Odolná, pružná a automatizovaná DC

Transkript

1 Odolná, pružná a automatizovaná DC Od infrastruktury k aplikacím B-DC1 Ivo Němeček, Cisco Petr Mácha, Dimension Data Cisco and/or its affiliates. All rights reserved. Cisco Connect 1 B-DC1, Connect

2 Co potřebují firmy a jaké to má dopady na IT Snižování nákladů Doba do materializace Inovované produkty a služby v kratším čase Doba vývoje Těsné propojení mezi zákazníky a vývojáři Aplikace a služby Nákup aplikací Nákup služeb Od partnerů Vlastní vývoj Pružnost a rozšiřitelnost Uživatelé, zařízení, místa Nepřerušené služby, DR, bezpečnost, kritické apl Více aplikací IDG: podniky zavedou v průměru 46 nových aplikací v roce Orientace na služby Infrastruktura podporující aplikace Služby integrované napříč cloudy privátní a veřejné cloudy Pružná architektura Rozšiřitelná podle potřeby (plať jak potřebuješ) Připravená pro neočekávané 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 2 B-DC1, Connect

3 Vývoj datových center Application Application Application Application Storage Storage Application Storage Compute LAN Application Storage Compute SAN Application Storage Compute V M V M Application Storage Compute V M Unified Fabric LAN SAN V M Sjednocení LAN a SAN, fyzického a virtuálního prostředí Storage Compute V M V M LAN Storage Compute Unified Fabric Unified Computing V M SAN V M Sjednocení výpočetního a storage prostředí Zásobník zdrojů Compute Compute Unified Fabric Unified V V Computing V V M M M M Unified Management LAN Cisco ONE SAN Otevřená API a programovatelná rozhraní do infrastruktury Fyzická konsolidace Server je středem Virtualizace je středem Cloud Aplikace jsou středem

4 blade1 blade2 slot 1 blade3 slot 2 blade4 slot 3 blade5 slot 4 blade6 slot 5 blade7 slot 6 blade8 slot 7 slot 8 blade1 blade2 slot 1 blade3 slot 2 blade4 slot 3 blade5 slot 4 blade6 slot 5 blade7 slot 6 blade8 slot 7 slot 8 blade1 blade2 slot 1 blade3 slot 2 blade4 slot 3 blade5 slot 4 blade6 slot 5 blade7 slot 6 blade8 slot 7 slot 8 blade1 blade2 slot 1 blade3 slot 2 blade4 slot 3 blade5 slot 4 blade6 slot 5 blade7 slot 6 blade8 slot 7 slot 8 blade1 blade2 slot 1 blade3 slot 2 blade4 slot 3 blade5 slot 4 blade6 slot 5 blade7 slot 6 blade8 slot 7 slot 8 blade1 blade2 slot 1 blade3 slot 2 blade4 slot 3 blade5 slot 4 blade6 slot 5 blade7 slot 6 blade8 slot 7 slot 8 blade1 blade2 slot 1 blade3 slot 2 blade4 slot 3 blade5 slot 4 blade6 slot 5 blade7 slot 6 blade8 slot 7 slot 8 blade1 blade2 slot 1 blade3 slot 2 blade4 slot 3 blade5 slot 4 blade6 slot 5 blade7 slot 6 blade8 slot 7 slot 8 blade1 blade2 slot 1 blade3 slot 2 blade4 slot 3 blade5 slot 4 blade6 slot 5 blade7 slot 6 blade8 slot 7 slot 8 blade1 blade2 slot 1 blade3 slot 2 blade4 slot 3 blade5 slot 4 blade6 slot 5 blade7 slot 6 blade8 slot 7 slot 8 blade1 blade2 slot 1 blade3 slot 2 blade4 slot 3 blade5 slot 4 blade6 slot 5 blade7 slot 6 blade8 slot 7 slot 8 blade1 blade2 slot 1 blade3 slot 2 blade4 slot 3 blade5 slot 4 blade6 slot 5 blade7 slot 6 blade8 slot 7 slot 8 DC mají mnoho podob Různé architektury pro různá využití DC s nízkou latencí HPC/GRID Virtualizovaná DC MSDC High Frequency Trading Layer 3 & Multicast No Virtualization Limited Physical Scale Nexus 3000 & UCS 10G edge moving to 40G Layer 3 & Layer 2 No Virtualization Nexus 2000, 3000, 5500, 7000 & UCS 10G moving to 40G SP and Enterprise Hypervisor Virtualization Shared infrastructure Heterogenous 1G Edge moving to 10G Nexus 1000v, 2000, 5500, 7000 & UCS Layer 3 Edge (ibgp, ISIS) 1000 s of racks Homogeneous Environment No Hypervisor virtualization 1G edge moving to 10G Nexus 2000, 3000, 5500, 7000 & UCS

5 Cisco Unified Fabric LAN/SAN konvergence s FCoE LAN SAN A SAN B SAN A LAN SAN B Přístupová vrstva Přístupová vrstva 4 x 1GE Ethernet Server Fibre-Channel Server s Unified I/O Méně kabelů, méně zařízení Libovolné I/O přes jednu síť SAN, NAS, iscsi 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 5 B-DC1, Connect

6 Virtualizace má dopad na složitost sítě a tento trend bude pokračovat Customer Spending $B Virtualizace tlačí v posledních 5 letech náklady DC vzhůru Server-Related Spend (Capex+Opex) increased OpEx is attributed to network optimization to s to deliver application SLA s Source: Zeus kerravala ZK Research Customers often overprovision the network to address the complexity further increasing CapEx spend! Source: Zeus Kerravala. ZK Research Hustota vzroste o 25% mezi 2010 a 2015 Rychlý růst vynucuje změny síťové Source: IDC, 2011 New Economic Model for the Datacenter infrastruktury 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 6 B-DC1, Connect

7 Virtualizace tlačí na síťové prostředí Rozšiřitelnost vs. topologie - Vyhovuje stále Spanning Tree dnešním potřebám? - Jak využíváme fyzickou infrastrukturu? - Nejsou přežité hierarchické topologie? Virtualizace vs. škálovatelnost Konzistence pravidel pro fyzické a virtuální síťové prostředí Máme dost VLAN? Fabric Path vpc VN-Link VXLAN Topologie vs. virtualizace Disaster Recovery, active-active datová centra otion mezi datovými centry Fabric Path OTV LISP 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 7 B-DC1, Connect

8 Cisco FabricPath... když Spanning Tree nestačí 2013 Cisco and/or its affiliates. All rights reserved. Cisco Connect 8

9 Pružnost architektury s NX-OS Spanning-Tree vpc FabricPath Aktivní cesty Propustnost Až10 Tbps Až 20 Tbps Až 160 Tbps Rozšiřitelnost na L2 Virtualizace a kapacita infrastruktury

10 Rozšiřování DC infrastruktury Cisco virtual Port Channel - Multichassis EtherChannel vpc rozšiřuje sdružování portů (Portchanneling) na dva oddělené přepínače Dovoluje vytvoření odolných L2 topologií založených na sdružování portů Zajišťuje L2 topologie bez smyček s redundancí Odstraňuje blokování portů STP a využívá dostupné pásmo Poskytuje rychlou konvergenci při poruše zařízení nebo linky Fyzická topologie Si Virtual Port Channel L2 Si Logická topologie Non-vPC Vyšší pásmo s vpc vpc 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 10 B-DC1, Connect

11 Cisco FabricPath Škálování a zjednodušení Layer 2 Ethernet sítí Tradiční spanning tree sítě blokují cesty Eliminuje omezení Spanning Tree Multi-pathing přes všechny linky Vysoká odolnost, rychlá konvergence Nemusíme dělat VLAN scoping Cisco FabricPath Network - všechny spoje jsou aktivní Až 16 Agg přepínačů 160+ Tbps přepínací kapacity Až 32 přístupových přepínačů 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 11 B-DC1, Connect

12 FabricPath Rozhraní Konfigurace říká, zda je dané rozhraní součástí FP nebo ne FabricPath Port Rozhraní vůči dalšímu FabricPath portu Provoz zapouzdřen ve FabricPath záhlaví Bez Spanning-Tree!!! Bez MAC Learning Topologie postavená pomocí L2 ISIS sousednosti Forwarding pomocí Switch Table L2 Fabric Klasický Ethernet (CE) Port Rozhraní vůči tradičním NICs síťovým zařízením Provoz zapouzdřen v Ethernet rámcích Používá STP Směrování pomocí MAC Table Ethernet STP Doména FabricPath Port CE Port 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 12 B-DC1, Connect

13 Jak funguje Data Plane Hierarchické adresní schéma FabricPath záhlaví je přidáno na ingress přepínači Pro směrování jsou používány adresy ingress a egress přepínačů L2 Fabric uvnitř nepoužívá vůbec MAC adresy FabricPath Header C A S42 S11 C A DATA Ingress Switch S11 STP FabricPath Domain DATA A C STP doména 1 STP doména 2 A C S11 S42 A C 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 13 B-DC1, Connect S42 A C FabricPath Routing Egress Switch L2 Bridging

14 FabricPath Encapsulation 16-Byte MAC-in-MAC Header (Classical) Ethernet Frame DMAC SMAC 802.1Q Header Ether Type Payload CRC Cisco FabricPath Frame Outer DA (48)* Outer SA (48)* FP TAG (32*) DMAC SMAC 802.1Q Header Ether Type Payload CRC( New) * Lengths for all fields are shown in bits EndNode_ID (5:0) I/G U/L EndNode_I D (7:6) RSV D (1)* OOO/ DL (1) Switch ID (12) Sub-Switch ID (8) Port ID (16) Ether Type Tree ID (10) TTL (6) Switch ID: Unique number assigned to help identify each device that is part of L2 Fabric Sub-Switch ID: Combined with Switch ID to identify vpc+ behind a pair of peer-switches Tree ID: Unique number assigned to help identify each distribution Tree TTL: Decrement at each hop to prevent frames looping infinitely in the fabric in case of unexpected failure 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 14 B-DC1, Connect

15 Funkce řídící vrstvy L2 IS-IS funguje automaticky, spravuje topologii Automatická adresace přepínačů v FP, žádná konfigurace adres Shortest path algoritmus equal-cost multipathing mezi libovolnými FP přepínači FabricPath Routing Table Switch S1 S2 S3 S4 S12 S42 IF L1 L2 L3 L4 L1, L2, L3, L4 L1, L2, L3, L4 S1 S2 S3 S4 L1 L2 L3 S11 L4 S12 S42 L2 Fabric

16 show mac address-table dynamic S100# sh mac address-table dynamic Legend: * - primary entry, G - Gateway MAC, (R) - Routed MAC, O - Overlay MAC age - seconds since last seen,+ - primary entry using vpc Peer-Link VLAN MAC Address Type age Secure NTFY Ports/SWID.SSID.LID * dynamic 0 F F Eth1/15 * dynamic 0 F F Eth1/15 * dynamic 0 F F Eth1/15 * dynamic 0 F F Eth1/15 * dynamic 0 F F Eth1/15 * dynamic 0 F F Eth1/15 * dynamic 0 F F Eth1/15 * dynamic 0 F F Eth1/15 * dynamic 0 F F Eth1/15 * a dynamic 0 F F Eth1/ b dynamic 0 F F c dynamic 0 F F d dynamic 0 F F e dynamic 0 F F f dynamic 0 F F dynamic 0 F F dynamic 0 F F S dynamic 0 F F dynamic 0 F F S10 S20 S30 S40 po1 po2 po3 po4 FabricPath 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 16 B-DC1, Connect 2013 A B 16 S200

17 MAC adresy se FP učí konverzací Optimalizace zdrojů učí se pouze potřebné MAC adresy 250 MACs 500 MACs 250 MACs 500 MACs MAC IF L2 Fabric MAC IF B 2/1 STP Domain S11 MAC IF B 500 MACs 500 MACs C 3/1 A S MACs 250 MACs A C Všechny MACs na všech přepínačích Problémy se škálovatelností ve velkých L2 sítích Lokální MAC: Source-MAC Learning pouze z provozu na CE portech Vzdálená MAC: Source-MAC Learning pro provoz přijatý přes FP porty 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 17 B-DC1, Connect

18 L2 Multi-destination s FabricPath Unknown Unicast, Broadcast a Multicast Multidestination Tree několik pro danou topologii Root pro strom #1 Root pro strom #2 Root pro strom #3 Root pro strom #4 Všechny switche mají stejnou topologii těchto Trees Ingress switch rozhoduje, který Tree se použije a zapíše do záhlaví Multicast data rozkládána mezi tyto Trees L2 Fabric A C

19 FabricPath Forwarding: Broadcast Tree # IF 1 L1, L5, L9 Root for Tree #1 S1 S2 S3 S4 Tree # IF 1 L1, L2, L3, L4 L2 L3 L4 L1 L5 L6 L7 L10 L11 L12 L8 S11 S12 S42 L9 L2 Fabric V tomto okamžiku se switch neučí MAC. Cílová MAC je neznámá MAC IF A 1/1 Encap MAC IF MAC IF 1/1 3/1 Decap Decap A B C FabricPath Port CE Port 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 19 B-DC1, Connect

20 FabricPath Forwarding: Unknown Unicast Tree # IF 1 L1, L5, L9 Root for Tree #1 S1 S2 S3 S4 L1 L5 L2 L3 L4 L6 L7 L8 L10 L11 L12 Tree # IF 1 L1, L2, L3, L4 L2 Fabric S11 S12 L9 S42 Tree # IF 1 L9 HIT! MAC IF MAC IF MISS A 1/1 C S42 Decap 1/1 3/1 Encap Decap A B C MAC IF C 3/1 FabricPath Port CE Port 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 20 B-DC1, Connect

21 vpc Enhancement for FabricPath MAC Table MAC Table S3 S1 B A A è??? L2 Fabric Payload S3 S2 S3 B B A Payload L2 Fabric A è S4 B S3 S4 B A Payload S3 S4 B A Payload S3 vpc S1 S2 MAC Table vpc+ S1 S2 MAC Table B A Payload A B è S3 S4 B è S3 For Switches at L2 Fabric Edge vpc is still required to provide active/active L2 paths for dual-homed CE devices or clouds B A Payload Each vpc domain is represented by an unique Virtual Switch to the rest of L2 Fabric A However, MAC Table only allows 1-to-1 mapping between MAC and Switch ID Switch ID for such Virtual Switch is then used as Source in FabricPath encapsulation 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 21 B-DC1, Connect

22 Ohraničení Spanning Tree FabricPath (L2 IS-IS) L2 Fabric Classical Ethernet (STP) STP Domain 1 L2MP Core vypadá jako jeden bridge pro všecha připojená CE zařízení STP BPDUs jsou zpracována a terminována na CE portech Smyčky mimo L2 Fabric jsou blokovány v jednotlivých STP doménách L2 Fabric by měl být root pro všechny STP domény. B-DC1, Connect Cisco Systems, Inc. All rights reserved. 22 STP Domain 2 FabricPath Port CE Port

23 Konfigurace FabricPath Žádná konfigurace L2 IS-IS Jednoduché použití pouze 3 CLI příkazy jsou třeba ke spuštění FabricPath N7K(d)# feature-set fabricpath N7K(config)# fabricpath switch-id <#> N7K(config)# interface ethernet 1/1 N7K(config-if)# switchport mode fabricpath L2 Fabric FabricPath Port CE Port 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 23 B-DC1, Connect

24 Shrnutí FabricPath je jednoduchý a zachovává výhody L2 Transparentní vůči L3 protokolům Žádná adresace, jednoduchá konfigurace a nasazení FabricPath je rozšiřitelný Může rozšířit L2 doménu bez rizik dosud s tímto krokem spojených (frame routing, TTL, RPFC) FabricPath je efektivní Plné využití dostupného pásma (ECMP) Optimální cesta mezi uzly

25 Overlay Transport Virtualization propojení DC na L Cisco and/or its affiliates. All rights reserved. Cisco Connect 25

26 Typické důvody pro L2 mezi DC Geografické clustery Migrace Mobilita Rozšíření kapacity DC IP adresy napevno v aplikacích

27 OTV Data Plane: jak funguje 1 Layer 2 Lookup MAC TABLE 3 Transportní Infrastruktura VLAN MAC IF VLAN MAC IF 100 MAC 1 Eth 2 IP A Decap IP B MAC 1 IP A OTV OTV OTV OTV 100 MAC 2 Eth 1 Encap 100 MAC 2 IP A 100 MAC 3 IP B MAC 1 MAC 3 IP A IP B MAC 1 MAC 3 IP A IP B 100 MAC 4 IP B MAC TABLE 100 MAC 3 Eth MAC 4 Eth 4 5 Layer 2 Lookup MAC 1 MAC 3 MAC 1 West Site East Site MAC 1 MAC 3 MAC Cisco and/or its affiliates. All rights reserved. Cisco Connect 27 B-DC1, Connect

28 Řídící vrstva OTV (Control Plane) Zjišťování sousedů, sestavování sousedností Hranční zařízení (OTV Edge Devices) nejprve musí navázat vzájemnou asociaci Asociace může být navázána pomocí: multicast-enabled transportní infrastruktury unicast-only transportní infrastruktury B-DC1, Connect Cisco Systems, Inc. All rights reserved. 28

29 Asociace zařízení Multicast Control Plane OTV sousednost sestavena přes multicast skupinu v páteři Control Plane OTV OTV Západ IP A IGMP Join Core IP B IGMP Join Východ IGMP Join OTV IP C Control Plane 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 29 B-DC1, Connect Jih

30 Asociace zařízení Unicast 1 1. Jedno z OTV Edge Devices (ED) je nakonfigurováno jako Adjacency Server (AS)* Všechna ED se registrují k AS svým site-id a IP adresou AS sestaví seznam zařízení a jejich parametrů: overlay Neighbor List (onl) AS zašle unicastem onl všem zařízením Každé zařízení potvrdí příjem Site 2 Site 3 OTV OTV onl Site 1, IP A Site 2, IP B Site 3, IP C Site 4, IP D Site 5, IP E Site 1 OTV IP A Adjacency Server Mode Site2, IP B OTV IP B onl onl IP D Site3, IP C Site5, IP E IP C Pouze unicast transport OTV IP E * Může být i redundantní pár Site 4 Site Cisco and/or its affiliates. All rights reserved. Cisco Connect 30 B-DC1, Connect

31 OTV zapouzdření OTV přidává 42 bytů IP hlavičky OTV shim header obsahuje VLAN ID, overlay number a CoS 802.1Q DMAC SMAC Ether Type IP Header OTV Shim 6B 6B 2B 20B 8B CoS ToS VLAN 802.1Q DMAC SMAC Eth Payload Original Frame CRC 4B 42 bytové zapouzdření 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 31 B-DC1, Connect

32 OTV Control Plane: Učení se MAC adresám Pokud se Edge device naučí novou MAC adresu, pošle tuto informaci i ostatním zařízením participujícím na OTV Jedna informační zpráva může obsahovat několik MAC adres 3 New MACs are learned on VLAN 100 Vlan 100 Vlan 100 Vlan 100 West Multicast používá jednu zprávu pro vyrozumění všech zařízení MAC A MAC B MAC C 1 OTV 2 IP A OTV aktualizace je replikována páteří 3 3 IP C OTV Update IP B VLAN MAC IF 100 MAC A IP A 100 OTV MAC B IP A 100 MAC C IP A East VLAN MAC IF 100 MAC A IP A 100 MAC B IP A OTV 100 MAC C IP A 4 4 South 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 32 B-DC1, Connect

33 Spanning Tree a OTV Nezávislost lokalit OTV nemá vliv na topologii STP v lokalitě Každá lokalita je vlastní STP doménou Toto je vlastností OTV a nevyžaduje zvláštní konfiguraci BPDUs neprojdou OTV OTV L3 L2 BPDUs neprojdou 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 33 B-DC1, Connect

34 Unknown Unicast a OTV OTV nepoužívá flooding pro propagaci MAC adres Unknown unicast: žádný flooding a tudíž ani forwarding přes OTV Předpokládá se, že každý host vysílá nějaký provoz a není striktně adresným příjemcem unicast provozu OTV OTV MAC TABLE VLAN MAC IF 100 MAC 1 Eth1 100 MAC 2 IP B L3 L No MAC 3 in the MAC Table MAC 1 MAC Cisco and/or its affiliates. All rights reserved. Cisco Connect 34 B-DC1, Connect

35 Konfigurace OTV s multicastem Single PIM-SM/bidir group used for OTV control plane communication (hellos, routing updates) interface Overlay0 otv control-group otv data-group /24 interface Ethernet x/y [ description OTV Join Interface] ip igmp version 3 SSM group range used to carry multicast data plane traffic between sites IGMPv3 used to join the SSM groups in the transport. The OTV ED joins these groups as a simple host 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 35 B-DC1, Connect

36 Shrnutí OTV je vhodné pro propojení dvou a více DC na L2 přes L3 infrastrukturu Multihoming v jednotlivývh DC Transparentní pro koncové stanice Efektivní řešení Spanning Tree problematiky Jednoduchá konfigurace a správa Podpora mobility koncových stanic 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 36 B-DC1, Connect

37 LISP... když servery cestují DC Cisco and/or its affiliates. All rights reserved. Cisco Connect 37

38 Stejná subsíť na více lokalitách? Směrování provozu do a z lokality Optimální cesta do lokality Default gateway kde a proč? Služby sítě (loadbalancing, firewalling,...) kde a proč? S L2 propojením i BEZ L2 propojení

39 Location Identity Separation Protocol Co myslíme lokalitou a identitou? x.y.z.1 Adesy IPv4 or IPv6 zařízení představují identitu a lokalitu Internet Dnešní IP adresy představují jak ID, tak informaci o lokalitě w.z.y.9 Když se zařízení přesune, získá novou IPv4 nebo IPv6 adresu pro novou identitu a lokalitu x.y.z.1 Adresa IPv4 nebo IPv6 představuje pouze identitu location je zde! Internet a.b.c.1 e.f.g.7 Jen location se změní LISP odděluje funkci ID od lokality x.y.z.1 Když se zařízení přesune, zachová si svoji IPv4 nebo IPv6 adresu. Má stejnou identitu 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 39 B-DC1, Connect

40 LISP součásti, role a adresace Mapping DB LISP role EID Space Tunnel Routers - xtrs Edge zařízení zapouzdřují a odpouzdřují Non-LISP itr ALT Ingress/Egress Tunnel Routers (itr/etr) EID to RLOC Mapping DB Zajišťuje mapování RLOC na EID PxTR etr RLOC Space Rozprostřená mezi více Map Serverů (MS) EID Space MS může spojovat přes ALT network Proxy Tunnel Routers - PxTR komunikace mezi LISP a non- LISP oblastmi Ingress/Egress: PiTR, PeTR Adresní prostory EID = End-point Identifier Host IP nebo prefix RLOC = Routing Locator IP adresa směrovačů v páteři

41 LISP cesta paketu Jak LISP funguje? 1 DNS entry: D.abc.com A > > > > /24 LISP site S ETR West- DC ITR D 3 Mapping Entry /24 EID- prefix: /24 Locator- set: Non- LISP site Non- LISP , site priority: 1, weight: 50 (D1) , priority: 1, weight: 50 (D2) IP Network EID- to- RLOC mapping /24 PiTR East- DC Pravidla určuje cílová lokalita 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 41 B-DC1, Connect

42 LISP Overview LISP Header Format draft-ietf-lisp-05 Outer IP Header (20 Bytes): Router supplied RLOCs UDP Header (8 Bytes) LISP Header (8 Bytes) Inner IP Header: Host supplied IDs Overall IP MTU Increase: 36 Bytes

43 Použití LISP Jedna architektura, různá využití Efektivní Multi-Homing LISP Site LISP routers IP Portability Ingress Traffic Engineering without BGP Multi-tenancy and VPNs LISP site Internet Podpora přechodu na IPv6 v6 services Mobilita LISP router v6 LISP router IPv4 Internet v4 v6 v6-over-v4, v6-over-v6 v4-over-v6, v4-over-v4 LISP site v6 IPv6 Internet IP Network IP Network West- DC East- DC West- DC East- DC Reduced CapEx/OpEx Large scale Segmentation 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 43 B-DC1, Connect Cloud / Layer 3 workload moves Segmentation

44 Mobilita virtuálních počítačů Propojení virtualizovaných datových center Multi-tenancy/segmentace: Segment-IDs: LISP, FabricPath a OTV IP Mobilita: LISP OTV OTV OTV L2 Domain Elasticity: vpc, FabricPath/TRILL OTV LAN extenze OTV VN-link návěští Virtualizace zařízení: VDCs, VRF zdokoknalení MPLS VPN Umístění výpočetních zdrojů je pro uživatele transparentní Přehled o VN-link, Port Profiles 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 44 B-DC1, Connect OTV

45 Mobilita s LISP - scénáře S LAN Extension Bez LAN Extension Non- LISP Site LISP Site xtr LISP Site xtr LAN Extension IP Network Mapping DB Mapping DB Internet or Shared WAN DR LocaUon or Cloud Provider DC LISP- (xtr) West- DC East- DC LISP- (xtr) West- DC East- DC Směrování pro Extended Subnets Datová centra active-active IP mobilita mezi subsítěmi Disaster Recovery Aplikační servery Distribuované jedné aplikace clustery mohou být distribuovány Aplikační servery Cloud jedné Bursting aplikace musí být ve stejné lokalitě 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 45 B-DC1, Connect

46 LISP Sites vs. Data Center Sites With or Without Extended Subnets Without Extended Subnets Different subnets Different LISP sites A LISP site = A DC site Move across DC/LISP sites With Extended Subnets Single subnet Single LISP site One LISP site = Multiple DC sites Move within a LISP site and across DC sites A B C D West- DC East- DC / /16 X LISP site DC site A B C D Y Z LISP site DC site West- DC East- DC / /16 X DC site OTV Y Extended LISP site Z DC site

47 Shrnutí LISP je v DC vhodný pro mobilitu virtuálních stanic long distance otion disaster recovery (se Site Recovery Managerem i bez) Je transparentní pro koncové stanice. Mimo DC umožňuje Internet multihoming IPv6 over IPv4 tunelling (a jiné kombinace) 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 47 B-DC1, Connect

48 VXLAN...když VLAN nestačí 2013 Cisco and/or its affiliates. All rights reserved. Cisco Connect 48

49 Virtuální počítače a sítě Virtualizace dovoluje velkou koncentraci počítačů Počet VLAN je omezený (teoreticky 4096) Multitenant prostředí vyžaduje důkladnou separaci Některé modely nasazení virtualizace mají extrémní nároky na počet VLAN POD design s L3 oddělením a vzdálená datová centra vs. flexibilita

50 ware vcloud Director Users Organization 1 Organization m Nadstavba nad vsphere Vytváří virtuální datová centra (VDCs) pro každého zákazníka Poskytuje samoobslužný portál User Portals Virtual Datacenter 1 (Gold) ware vcloud Director Catalogs ware vshield Security Virtual Datacenter n (Silver) ware vcenter Server ware vsphere ware vcenter Server ware vsphere ware vcenter Server ware vsphere Secure Private Cloud vcloud API Public Clouds IT Programmatic Control and Integrations

51 Síťový model vdc Sítě mohou být: Isolated bez externí konektivity Firma A Fenced konektivita přes gateway VDC 1 vapp 1 vapp 2 VDC 2 vapp 1 Directly Connected stejná L2 síť 3 úrovně sítě vapp1-i (isolated) VApp1-F (fenced) Gwy Org-Net1 (isolated) vapp2-f (fenced) Gwy vapp1-i (isolated) VApp1-F (fenced) Gwy vapp: Isolated nebo Fenced (VXLAN nebo VLAN backed) Org: Isolated, Fenced nebo Directly Connected (VXLAN nebo VLAN backed) Org-Net2 (fenced) Gwy External: Více organizací (VLAN backed) External-Net 1 (VLAN) 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 51 B-DC1, Connect

52 vapps vcd nabízí katalog vapps Při použití vapps template, vapp může zachovat MAC a IP adresaci Duplicitní MACs v různých different vapps vyžadují izolaci na L2 Duplicitní IP adresy vyžadují izolaci na L2/L3 (NAT na externí IP adresy) vapp vapp DB Net DB vapp Web Net vapp App Net App Web Org síť Edge Gateway Užití vapps znamená explozi v počtu izolovaných L2 segmentů 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 52 B-DC1, Connect

53 L3 propojení VLAN Edge Gateway možnosti: vshield Edge Virtual ASA vapp VXLAN 1 VXLAN 2 VXLAN 3 VPN nebo NAT u edge gateway DB App Web Edge Gateway Mnoho segmentů nepotřebuje L3 funkcionalitu Default gateway interface NAT 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 53 B-DC1, Connect

54 VXLAN zapouzdření Ethernet over IP overlay network Celý L2 frame zapouzdřen do UDP 50 bytes overhead Obsahuje 24 bit VXLAN Identifier 16 M logických sítí VXLAN může překračovat hranice Layer 3 Tunel mezi VEMs s nevidí VXLAN ID IP multicast je použit pro L2 broadcast/multicast, unknown unicast Technologie nabídnuta IETF ke standardizaci With ware, Citrix, Red Hat, Broadcom, Arista, and Others Outer MAC DA Outer MAC SA Outer 802.1Q Outer IP DA Outer IP SA Outer UDP VXLAN ID (24 bits) Inner MAC DA Inner MAC SA Optional Inner 802.1Q Original Ethernet Payload CRC VXLAN Encapsulation Original Ethernet Frame

55 Princip VXLAN VXLAN port vypadá jako port virtuálního switche a VXLAN je prezentována jako Port Group Forwardování podobné Layer 2 bridge: Flood & Learn VEM se učí s Source (MAC, Host VXLAN IP) tuple Broadcast, Multicast, and Unknown Unicast Traffic broadcast & unknown unicast data jsou posílána jako multicast Unicast Traffic Unicast zapouzdřen a poslán přímo unicastem na cílový hypervisor podle VXLAN IP (Destination VEM) VEM 1 VEM 2 Nexus 1000V 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 55 B-DC1, Connect

56 Broadcast, multicast, unknown unicast Blue & Red VXLANs sdíli Multicast Group Všechny servery v Multicast Group Web DB DB Web Zapoudření v Blue VXLAN ID Multicast na servery: Multicast Group VEM zahodí, protože není s Blue VXLAN ID Broadcast odeslán více serverům Broadcast doména je však respektovánav logické síti B-DC1, Connect Cisco Systems, Inc. All rights reserved. 56

57 Rozšiřování segmentů pomocí VXLAN Logické sítě napříč L3 Využívá všechny spoje v Port Channel s UDP Rozšiřování přidáváním PODů

58 Shrnutí VXLAN je technologie vhodná pro masivní využití oddělených VLAN s málo uzly prostředí virtuálních počítačů multitenant prostředí poskytovatelů IaaS cloud řešení L3 rozhraní dnes pouze na SW zařízeních Vyžaduje specifické vlastnosti SW switche v hypervisoru 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 58 B-DC1, Connect

59 Virtualizované síťové služby 2013 Cisco and/or its affiliates. All rights reserved. Cisco Connect 59

60 Řešení Cisco Unified Fabric sítě s přehledem o / cesta ke cloudu OBTÍŽE PŘI VIRTUALIZACI SERVERŮ 1. vmotion přesouvá s mezi fyzickými porty síťová pravidla se musí přizpůsobit Port Group 2. Chybí vhled nebo aktivní pravidla pro lokálně přepínaná data vcenter fyzické rozhraní přepínače 3. Jsou nutná dělba práce při nastavování bezpečnostních pravidel mezi správci sítě a serverů 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 60 B-DC1, Connect

61 Sítě s přehledem o VN-Link infrastruktura pro SWITCH SERVER Nexus 1000V v souladu s IEEE 802.1Q SWITCH veth veth SÍŤOVÉ ZAŘÍZENÍ SERVER Virtualizace síťového rozhraní (Cisco VNTAG technologie - IEEE 802.1BR pre-standard) 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 61 B-DC1, Connect

62 Sítě s přehledem o : varianty přes 200 přes 50 přes 50 Nevirtualizované aplikace VN-Link v SW VN-Link v HW Virtualizované aplikace VN-Link v HW s DirectPath 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 62 B-DC1, Connect

63 Sítě s přehledem o Nexus 1000V Software Hypervisor Switching Tagless (802.1Q) Pružnost Nexus 55x0 External Hardware Switching Tag-based (Pre-standard 802.1Qbh) Výkon, konsolidace #1 #2 Server #3 #4 #1 #2 Server #3 #4 Nexus 1000V Hypervisor" Hypervisor! VIC NIC" NIC" Nexus 1000V LAN Nexus 5500 Konektivita definována pravidly Mobilita síťových a bezpečnostních pravidel Nepřerušený provoz 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 63 B-DC1, Connect

64 Cisco Nexus 1000V Rozprostřený virtuální přepínač " #1" Server 1 " #2" " #3" W ESX" " #4" " #5" Server 2 " #6" " #7" ware Nexus 1000V" vswitch ware Nexus 1000V" Nexus 1000V vswitch DVS" W ESX" " #8" Lepší využití výhod virtualizace serverů Nexus 1000V zdokonaluje přepínání pro pro ware ESX Vlastnosti Cisco VN-Link: Vlastnosti připojení podle definovaných pravidel Mobilita síťových a bezpečnostních pravidel Provoz bez přerušení Vidielnost a připojení během otion 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 64 B-DC1, Connect

65 Architektura Nexus 1000V Server 1 Server 2 Server 3 " #1" " #2" " #3" " #4" " #5" " #6" " #7" " #8" " #9" " #10" " #11" " #12" ware VEM" vswitch Nexus ware 1000V VEM" vswitch DVS" ware VEM" vswitch W ESX" W ESX" W ESX" Virtual Supervisor Module (VSM) Virtual or Ethernet Physical Module appliance (VEM) running Cisco Zdokonaluje OS (supports vlastnosti HA) přepínání na hypervisoru Performs management, monitoring, & configuration Každá má vyhražený port přepínače Tight integration with ware Virtual Center Soubor VEM = 1 DVS Nexus 1000V VSM Virtual Center 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 65 B-DC1, Connect

66 Inteligence pro virtuální služby vpath Virtual Service Datapath VSG Virtual Security Gateway vwaas Virtual WAAS ASA 1000V Virtual ASA vpath Virtual Service Datapath Navázání služeb (řízení toku dat) Odlehčení provozu: Fast-Path Znalost VXLAN Service Chaining (vpath 2.0) ASA 1000V Virtuální řešení VEM-1 vpath vwaas Hypervisor 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 66 B-DC1, Connect L2 Mode VSG L3 Mode VSM NX-OS Control Plane VEM-2 vpath Hypervisor

67 VSG a ASA Service Chaining : Klient přistupuje zvenku k chráněné VSG a ASA 3 VSG Nexus 1000V Rozprostřený virtuální přepínač vpath 2 Inside Outside ASA 1000V ASA v cestě dat 1 Počáteční tok paketů vpath Encap links Tok dat 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 67 B-DC1, Connect

68 VSG a ASA Service Chaining : Klient přistupuje zvenku k chráněné VSG a ASA 4. VSG Pravidla zavedeno do VEM 4 VSG 5 Nexus 1000V Rozprostřený virtuální přepínač vpath Inside Outside ASA 1000V vpath Encap links 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 68 B-DC1, Connect

69 VSG a ASA Service Chaining : Klient přistupuje zvenku k chráněné VSG a ASA Policy offloaded to VEM VSG Nexus 1000V Rozprostřený virtuální přepínač vpath Inside Outside Inline Enforcement ASA 1000V Tok dat po prvním paketu vpath Encap links 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 69 B-DC1, Connect

70 Cisco Strategie: Multi-Hypervisor & Multi-Orchestrator Podpora platforem: Správa Cloud prostředí Cisco IAC vcloud Director/ DynamicOps System Center Open Source Virtuální síťová infrastruktura NSM vpath Nexus 1KV NSM vpath Nexus 1KV NSM vpath Nexus 1KV NSM vpath Nexus 1KV Hypervisor vsphere, Hyper-V, Xen, K vsphere Hyper-V Open Source (Xen, K) Integrované systémy (FlexPod, Vblock, VSPEX) Virtualizovaná infrastruktura SERVERY SÍŤ STORAGE UCS Blades Nexus 1000V MDS UCS Racks Nexus 2/3/5/6/7K Partner Products (EMC, NetApp) 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 70 B-DC1, Connect

71 Cisco Intelligent Automation for Cloud End Users Cloud Service Providers IT Administrátoři IT provoz Cisco Intelligent Automation For Cloud Network Services Manager Data Center Core Network & WAN Self Service portál Široká orchestrace Rozšiřitelný servisní katalog Integrace s nástroji pro provoz a správu Správa infrastruktury vcloud Director MSCM Multi-Cloud Compute Network Storage Customer UCS FlexPod Choice Hybridní cloud RHEV-M Partnerský ekosystém VSPEX Fyzická instrastruktura Virtuální Infrastruktura 2012 Cisco and/or its affiliates. All rights reserved. Cisco Connect 71 B-DC1, Connect