Simulace HPN sítí Simware V7 a VSR

Transkript

1 Simulace HPN sítí Simware V7 a VSR Martin Žampach Simware V7 ve verzi , Alpha 7143 VSR ve verzi , ESS 102 Dokument verze 1.10,

2 Úvod Následující lab guide není oficiálním dokumentem, ani jej nelze považovat za best practice. Doporučuji absolvovat HP ExpertONE školení v oblasti routing a switching. Tento text je zaměřen na první kroky se softwarovými nástroji a produkty fy HP, které umožňují simulaci reálných HPN sítí a nebo dokonce jsou alternativou specializovaného HW. Materiál je tvořen nad produktem HP VSR1000 Virtual Services Router Series, který si můžete stáhnout zde: HP VSR1000 Virtual Services Router Series. Pro simulaci lan switchovaných infrastruktur a jiných typů routerů je vyžíván nástroj Simware V7, který je zdarma dostupný všem síťovým partnerům z partnerského dropboxu. Přeji vám hodně zdaru a hlavně inovativní inspirace! Martin Žampach 2 H P S í ť o v é s i m u l a c e

3 Obsah Úvod... 2 Iniciální setup... 6 První rozhraní - IP nastavení - vmware... 6 První rozhraní - IP pro PC... 7 Instalace Nested Virtualizace 64bit host i guest... 8 Iniciální spuštění / ověření setupu... 8 Idea Cíl Postupné cíle VSR popis Simware popis Typy simulovaných zařízení Konfigurační soubor pro Simware Spuštění prvního zařízení D Seznámení s virtuálními sítěmi Testujeme síťové komunikace Vzdálený přístup VTY AUX Naplánování celé topologie Prototyp topologie Zadání Osazení zařízení Konektivita Adresní plán Zjednodušení Přehled co a kde se uvnitř počítače v rámci labu odehrává První chassis D Základní konfigurace IRF příprava Druhé chassis D IRF dokončení MDC Tvorba MDC H P S í ť o v é s i m u l a c e

4 IRF pro MDC Tvorba MDC IRF pro MDC Spuštění MDC Příprava na připojení access switchů do jednotlivých MDC Access switche dokončení D Konfigurace access switchů Zprovoznění D Routing mezi MDC - VSR Finální test Další témata Sniffování provozu Příklad odposlechu komunikace uvnitř Linuxu na rozhraní t Závěr Přílohy IRF Intelligent Resilient Framework Typické užití MDC Spolupráce IRF a MDC Instalace / Tvorba vlastního VM Instalace Ubuntu Instalace Nested Virtualizace 64bit host i guest Provedeni instalace Vypnuti Ipv4 a Ipv Skripty ksim rcfg vtapup vnetset Hotové skripty bash_aliases ksim rcfg vtapup vnetset H P S í ť o v é s i m u l a c e

5 MPLS/VPLS topologie vpls.cfg H P S í ť o v é s i m u l a c e

6 Iniciální setup Lab budeme realizovat jako dva virtuální stroje běžící uvnitř Vmware Workstation 9 na Windows. První stroj poběží Linux Ubuntu desktop s nainstalovaným Simware, druhý stroj běží VSR. Je nutno aby HW podporoval hardwarovou virtualizaci (VT-x/EPT ci AMD-V/RVI), měl minimálně 4G RAM VM jsou předinstalovaná a je pouze potřeba připravit vmware a windows. Je potřeba připravit dvě host síťová rozhraní pro Management virtualní infrastruktury IP segment /24 PC ma ip Pro provoz mezi Simware a VSR IP segment /24 - PC ma ip První rozhraní - IP nastavení - vmware 6 H P S í ť o v é s i m u l a c e

7 První rozhraní - IP pro PC Druhé síťové rozhraní se konfiguruje analogicky Tato síťová rozhraní jsou při importu VM v uvedeném pořadí připojena k síťovým kartám VM. Pro zvídavé Pokud chcete připojit fyzickou síť k labu který budete mít ve svém PC, nahraďte host rozhraní bridge rozhraním na reálnou síťovou kartu svého PC. 7 H P S í ť o v é s i m u l a c e

8 Pro VM Simware je potřeba při importu VM zapnout Nested Virtualizaci Instalace Nested Virtualizace 64bit host i guest Iniciální spuštění / ověření setupu Spustit VM Simware Po spuštěni přihlásit do grafickeho GUI s heslem: si Z xterm spustit další terminal pod rootem: sudo gnome-terminal 8 H P S í ť o v é s i m u l a c e

9 Pokud se vám v Linuxu objeví nová síťová rozhraní (jako Wired connection 3, 4, 5 na obrázku) nakonfigurujte je dle postupu Vypnuti IPv4 a IPv6. Spustit nastavení virtuální sitě: vnetset Ověření přikazem ifconfig 9 H P S í ť o v é s i m u l a c e

10 Ev. ping H P S í ť o v é s i m u l a c e

11 Idea Seznámení se Simware a VSR prostřednictvím výstavby a simulace datového centra. Snahou je aby datové centrum odpovídalo stávajícím požadavkům a v současnosti nasazovaným řešením. Core datového centra je navržen jako dvě chassis spojené do IRF. Takto realizovaný core je rozdělen na dvě (resp. na 3, admin+2) virtuální DC prostřednictvím technologie MDC. Ke každému je DC redundadně připojen L2 access switch pro uživatele příslušného virtuálního DC Routovaný L3 prostup mezi virtuálními DC (a přístup k nim ze světa) realizuje VSR zapojený do obou access switchů. Každé zařízení je připojeno do dedikované management lan sítě. MDC2 MDC3 D1 MGMT LAN D3 D4 VSR Cíl Vymyslet, realizovat a nakonfigurovat výše uvedenou infrastrukturu, tak aby procházel provoz z MDC2 přes VSR do MDC3. Bude se ověřovat pingem mezi adresami uvnitř příslušných MDC. Postupné cíle - Seznámení s nástroji VSR - Seznámení s nástroji Simware - Spuštění prvního zařízení - Seznámení s virtuálními sítěmi - Naplánování celé topologie 11 H P S í ť o v é s i m u l a c e

12 - Postavení prvního chassis - Postavení druhého chassis - Realizace IRF - Konfigurace MDC2 - Konfigurace MDC3 - Postavení celého accesu - VSR routující mezi MDC - Finální test VSR popis VSR (Virtual Services Router) je komerční plnohodnotná implementace routeru s Comware 7 určená pro běh pod hypervizorem nebo přímo na x86 hw. Aktuálně podporované hypervizory jsou VMware, a KVM. Je dostupný v provedeních pro 1,4 a 8 virtuálních CPU. Pro účely testování je buď možno použít VSR bez licenčního klíče, kde je omezen výkon na 2kpps. Je možno požádat o testovací licenci, která umožní testovat VSR bez omezení po dobu 60 dní. Typické nasazení je cloud, datová centra, či virtualizované pobočky. Obsahuje vše co by univerzálni PE router s ethernetovými rozhraními měl/mohl poskytovat. Klasický routing, MPLS/VPLS, QoS, Firewall, VPN, IPSEC atd... Využívá rozhraní která mu nabízí hypervizor až do počtu 16. Hypervizor musí nabízet nějaký z těchto typů síťových karet: VirtIO NE1000 Vmxnet3 Pokud tomu tak nebude VSR nerozpozná rozhraní a žádná potom v CLI nenabídne. Z pohledu správy a pod. se VSR chová jako standardní Comware 7 router a nevyžaduje žádnou další konfiguraci či přípravu. Simware popis Simware V7 je x86 simulátor zařízení běžící na Windows a Ubuntu. Emuluje Comware 7 zařízení. Emuluje jak stackovatelné switche tak chassis včetně IRF a dalších pokročilých funkcionalit jako MDC, TRILL, EVB atd. Simware je implementováno nad QEMU (Quick Emulator), kde pro stackovatelné switche jeden QEMU process/instance realizuje jedno zařízení. U chassis, jeden QEMU process realizuje jednu kartu (MPU nebo LPU). 12 H P S í ť o v é s i m u l a c e

13 Simware existuje ve verzi pro Windows a Ubuntu Linux a to pro 32bit I 64bit OS. Je zřejmé, že některé funkcionality reálného HW není možno implementovat a výkon je nižší než u reálného HW. Simware samozřejmě realizuje i propojení mezi jednotlivými porty různých zařízení, včetně připojení na rozhraní poskytovaná samotným operačním systémem, kde Simware běží. Poznámky pro zvídavé 1) Simware běhá i na RedHat based Linuxech (jako Fedora) a pod., protože ale instalační balíček existuje pouze pro linuxové distribuce na bázi Debianu, je instalace pod jiným typem distribuce komplikovaná 2) Pokud processor zařízení podporuje virtualizaci a QEMU k ní má přístup, QEMU pouští kód Simware prakticky přímo bez jakékoliv emulační vrstvy. Jinak je veškerý kod Simware emulován. 3) V linuxu má QEMU přístup k virtualizaci prostřednictvím KVM hypervizoru. Velice rychlé a pro větší projekty jednoznačná volba. 4) Ve windows QEMU nemá přístup k podpoře virtualizace procesoru a každou instrukci kódu Simware musí emulovat. Použitelné na 1 nemodulární zařízení. 5) V labu běží QEMU pod Ubuntu Linuxem s KVM hypervizorem uvnitř virtuálního stroje pod VMware hypervizorem. Toto je obecně nedoporučovaná varianta. Hlavně proto, že vyžaduje Nested Virtualizaci (KVM hypervizor pod VMware hypervizorem), která je možná je při určítých kombinacích hypervizorů. V labu byla tato varianta vybrána, protože je možno dosáhnout výrazně většího výkonu než v samotných Windows. VSR je podporováno na Linuxu pod KVM (a běhá fantasticky), ale většina studentů labu dělá tento lab na firemních Windows zařízeních, kde přebootování do Linuxu (byť z usb disku) nemusí být možná. Vše zde popisované pro Linux budete používat uplně stejně i při spuštění Simware nativně v Linuxu. Typy simulovaných zařízení Simware emuluje následující zařízení a karty do chassis: Typ Router/ /Switch IRF Modul Port Typ portu SIM1x00 R Ne n/a SIM2x01 S Ano n/a Network Management Port GbE Serial POS E1 Network Management Port GbE 13 H P S í ť o v é s i m u l a c e

14 SIM2x02 S Ano n/a Network Management Port GbE 10GbE (FCoE capable) SIM3x00 R/S Ano SIM3x01 MPU SIM3x GbE SIM3x SIM3x SIM3x Pro 32bitové systémy je x = 1 pro 64bit x=2 GbE Serial GbE POS GbE E1 V labu pracujeme na 64bit. Realizujeme switche, pro chassis budeme tedy používat SIM3201, SIM3211, pro ostatní pak SIM2201. Konfigurační soubor pro Simware Celá simulovaná infrastruktura je popsána v konfiguračním souboru, který má následující strukturu. Příklad pro chassis s 1xMPU a SIM1x3212, switch SIM2201, ktere jsou propojeny takto: první GE ve slotu 3 na čtvrtý GE port druhého zařízení. Management porty obou zařízení jsou dostupné z Linuxu jako zařízení t1 a t3. sim.cfg: #sekce jednotlivých zařízení #device id device_id = 1 #device type is chassis device_model = SIM3200 #pokud by zařízení bylo realizováno na jiném PC #host_ip = #board slot type and aux_port memory_size board = slot 0 : SIM3201 : aux_port 3010 : memory_size 900 board = slot 3 : SIM H P S í ť o v é s i m u l a c e

15 device_id = 3 device_model = SIM2200 board = SIM2201 : aux_port 3030 : memory_size 480 #sekce propojeni zarizeni mezi sebou, interface odpovida hodnote port v tabulce device 1 : slot 3 : interface 1 <---> device 3 : interface 5 #sekce připojení do realneho sveta device 1 : slot 0 : interface 1 <---> host : t1 device 3 : interface 1 <---> host : t3 Simware na Linuxu je instalováno do /usr/local/simware. Přímo v tomto adresáři se ukládají konfigurační soubory a zde se také nachází konfigurační utilita cfgtool, jedna vzorová konfigurace (example.cfg) a podadresáře z nichž je důležitý run_env, kde cfgtool generuje simulovaná zařízení dle konfigurace. Utilita se pouští s názvem konfiguračního souboru: V podadresáří run_env vznikne adresář stejného jména jako konfigurační soubor 15 H P S í ť o v é s i m u l a c e

16 Jednotlive soubory pak mají název devicex_sloty.sh (kde X je id zařízení a Y číslo slotu) pro chassis nebo devicex.sh pro normální switch. Zařízení se aktivují spuštěním v shellu./device3.sh. U chassis je potřeba napřed pouštět MPU a pak LPU. Jednodušší je použít skript rcfg, který spustí celý setup. Spuštění prvního zařízení D3 Položíme základ našemu DC, tím že s připravíme access zařízení D3. Jedná se o obyčejný switch, který bude mít pouze připojen management interface k Linuxu prostřednictvím zařízení t3. V adresáři /usr/local/simware vytvoříme soubor pro konfiguraci vydefinujeme zařízení takto: device_id = 3 device_model = SIM2200 board = SIM2201 : memory_size 480 device 3 : interface 1 <---> host : t3 V shellu provedeme./cfgtool irf_mdc.cfg cd run_env/irf_mdc.cfg rcfg Seznámení s virtuálními sítěmi Pro propojeni síťových rozhraní uvnitř Linuxu jsou připraveny dva bridge b0 pro management lan a b1 pro komunikaci k VSR. Skript vtapup připojí zařízení t1, t2, t3, t4 do b0 a t5 a t6 k b1. Následně je všechna spustí. Protože zařízení tx vznikají dynamicky po spuštení patřičného simulovaného zařízení je potřeba skript pouštět opakovaně. 16 H P S í ť o v é s i m u l a c e

17 Testujeme síťové komunikace V shellu zadáme vtapup a přikazem brctl show ověříme přiřazení do bridge V konzoli device3 nakonfigurujeme management rozhraní sys int m-e 1/0/1 ip address sa f A pomocí ping na (linux b0) a ověříme komunikaci do Windows. Vzdálený přístup Výse uvedeným můžeme přistupovat na management ethernet rozhraní. Ještě je potřeba nastavit zařízení aby nás pustilo dovnitř a se správnými právy. VTY jde nám o surovou funkcionalitu, pro reálné nasazení musí zabezpečení vypadat jinak!!! : sys telnet server enable line vty 0 63 authentication-mode none user-role network-admin user-role network-operator # 17 H P S í ť o v é s i m u l a c e

18 AUX Simware nám umožňuje přistupovat přes telnet na aux port simulovaného zařízení. Prostřednictvím parametru aux_port XXXX v konfiguračním souboru specifikujeme na jakém portu je konkrétní zařízení dostupné. Aby nás zařízení pustilo je potřeba alespoň toto: line aux 0 authentication-mode none user-role network-admin Bohužel telnet na portu je spouštěn pouze na lokálním stroji, tj je dostupný pouze lokálně z Linuxu. Normálně je to v pohodě, pro naši dvojitou virtualizaci to znamená se buď připojit z Windows do Linuxu a pak telnet na aux port nebo rovnou z Windows telnet na management ethernet. Nyní můžeme simulaci ukončit. Je možno zavírat jednotlivá okna čímž simulujeme výpadek MPU či LPU, nebo je možno vše ukončit najednou skriptem ksim. 18 H P S í ť o v é s i m u l a c e

19 Naplánování celé topologie Chassis si pořizujeme protože chceme modularitu možnost přidávat karty. To by měl design zohlednit a chassis by mělo mit více karet. Samo o sobě by mělo být redundadní, takže dvě LPU. I když mám vice chassis tak chci spravovat vše jako jedno zařízení, takže je dám do IRF. Když už mám tolik portů a výkonu, tak zvirtualizuji DC dvou odlišných oddělení, takže MDC. IRF požaduje redundadně propojit chassis. MDC (čili virtuální zařízení) požadují pro speciální IRF propoje - pro control plane a MDC1 je použito normální propojení ale pro dataplane musí být použity porty, které jsou dedikovány relevantnímu MDC. IRF v Simware má omezení na 4 rozhraní na irfport. Prototyp topologie D1 D2 MGMT LAN D3 D4 VSR MDC dedikuje hardwarové zdroje. V připadě karet jsou to skupiny portů (které obvykle spadají pod stejný ASIC). U simware jsou skupiny na kartě SIM3211 po dvanácti portech. Připojované access L2 switche by měly být připojeny redundandně pomocí etherchannelu, každý do svého MDC (do dvou karet ve dvou chassis 4linky). V každém L2 switchi musí být port pro připojení VSR. Zadání Pro MDC2 bude na každé kartě dedikováno prvních dvanáct portů. Kde každý první port bude sloužit pro připojeni L2 switche D3. Pro MDC3 bude na každé kartě dedikováno druhých dvanáct portů. Kde každý první port bude sloužit pro připojeni L2 switche D4. Ostatní porty budou v MDC1. Porty 48 a 47 na každé kartě budou použity pro IRF. 19 H P S í ť o v é s i m u l a c e

20 První 4 GE porty na L2 switchi budou připojeny do relevantního MDC. Port 9 na každém zařízení bude určen pro připojení VSR. Osazení zařízení Zařízení Typ Slot SIM D1 SIM D2 SIM D3 SIM2200 SIM2212 D4 SIM2200 SIM2212 Konektivita Zařízení 1 Port 1 Zařízení 2 Port 2 Účel D1 slot 0: interface 1 Linux host : t1 Mgmt D2 slot 0: interface 1 Linux host : t2 Mgmt D3 interface 1 Linux host : t3 Mgmt D4 interface 1 Linux host : t3 Mgmt D1 slot 3 : interface 48 D2 slot 3 : interface 48 IRF / MDC1 D1 slot 4 : interface 48 D2 slot 4 : interface 48 IRF / MDC1 D1 slot 3 : interface 12 D2 slot 3 : interface 12 IRF / MDC2 D1 slot 3 : interface 24 D2 slot 3 : interface 24 IRF / MDC3 D1 slot 3 : interface 47 D2 slot 4 : interface 47 IRF / MDC1 D1 slot 4 : interface 47 D2 slot 3 : interface 47 IRF / MDC1 D1 slot 4 : interface 12 D2 slot 4 : interface 12 IRF / MDC2 D1 slot 4 : interface 24 D2 slot 4 : interface 24 IRF / MDC3 D3 interface 2 D1 slot 3 : interface 1 MDC2 acc D3 interface 3 D2 slot 3 : interface 1 MDC2 acc D3 interface 4 D1 slot 4 : interface 1 MDC2 acc D3 interface 5 D2 slot 4 : interface 1 MDC2 acc D4 interface 4 D1 slot 3 : interface 13 MDC3 acc D4 interface 5 D2 slot 3 : interface 13 MDC3 acc D4 interface 2 D1 slot 4 : interface 13 MDC3 acc D4 interface 3 D2 slot 4 : interface 13 MDC3 acc 20 H P S í ť o v é s i m u l a c e

21 D3 interface 9 Linux host : t5 VSR D4 interface 9 Linux host : t6 VSR Adresní plán Síť Zařízení IP adresa /24 Management D t1 Port v Linuxu Port v sim Port v Simware zarizeni slot 0: interface 1 M-E1/0/0 slot 0: interface 1 M-E1/0/0 D t2 D t3 interface 1 D t4 interface 1 VSR GE 1/0 Linux b0 Linux Windows MDC2_VSR MDC D3 t5 VSR GE 2/0 Linux b1 Linux eth1 Windows MDC3_VSR MDC D4 t6 VSR Linux b1 Linux eth1.102 GE 2/0.102 Windows eth0 Zjednodušení Přesto že by si architektura zasloužila plnou realizaci dle návrhu je velmi pravděpodobné, že by pro celou architekturu nebylo dost RAM v PC a proto u šedě označených položek promyslete jak byste je realizovali, ale nerealizujte je! Doplnění pro zvídavé Byly odstraněny redundandní MPU a druhá řada LPU. Primárně je to proto abychom se vešli RAM. MPU s MDC potřebuje cca 900MB RAM, LPU v chassis cca 650MB a samostatný switch 500MB. VSR samotné potřebuje cca 1GB RAM. 21 H P S í ť o v é s i m u l a c e

22 Přehled co a kde se uvnitř počítače v rámci labu odehrává VM Linux Windows MGMT LAN VM První chassis D1 Podle zadání připravíme doplnění konfiguračního souboru a patřičně jej doplníme: #device 1 device_id = 1 #device type is chassis device_model = SIM3200 #board = slot X : type T: aux_port A : memory_size M board = slot 0 : SIM3201 : aux_port 3010 : memory_size 900 #board = slot 1 : SIM3201 : aux_port 3011 : memory_size 900 board = slot 3 : SIM3211 : memory_size 640 #board = slot 4 : SIM3211 : memory_size 640 #connect host tap interface for mgmt device 1 : slot 0 : interface 1 <---> host : t1 Provedeme vygenerování simulace, spuštění zařízení jedna a připojení sítí. V shellu provedeme:./cfgtool irf_mdc.cfg cd run_env/irf_mdc.cfg rcfg 1 vtapup 22 H P S í ť o v é s i m u l a c e

23 Pokud šlo všechno dobře... Základní konfigurace (v konzoli okno device1_slot0): sys sysname D1 interface M-E 0/0/0 ip address proveďte test připojení: ping nezapomeňte průběžně ukládat: sa f Někdy se hodí vzdálený přístup (jde nám o surovou funkcionalitu, pro reálné nasazení musí zabezpečení vypadat jinak!!!): sys telnet server enable line vty 0 63 authentication-mode none user-role network-ad user-role network-operator # 23 H P S í ť o v é s i m u l a c e

24 IRF příprava A když už tam jsme, tak nakonfiguruje připravu na IRF: sys irf member 1 irf priority 1 #fyzicke rozhrani pro IRF ge 3/0/48 interface g 3/0/48 Shut irf-port 1 port group mdc 1 interface GigabitEthernet3/0/48 mode enhanced interface g 3/0/48 undo shut sa f chassis convert mode irf Následuje reboot... Pak doplníme system-view #Undo irf auto-merge enable Irf-port-configuration active Sa f Vypneme simulaci pomoci ksim 24 H P S í ť o v é s i m u l a c e

25 Druhé chassis D2 Podle zadání připravíme doplnění konfiguračního souboru a patřičně jej doplníme: device_id = 2 device_model = SIM3200 board = slot 0 : SIM3201 : aux_port 3020 : memory_size 900 board = slot 3 : SIM3211 : memory_size 640 # # IRF device 1 : slot 3 : interface 48 <---> device 2 : slot 3 : interface 48 # IRF for MDCs / datapart # MDC 2 device 1 : slot 3 : interface 12 <---> device 2 : slot 3 : interface 12 #device 1 : slot 4 : interface 12 <---> device 2 : slot 4 : interface 12 # MDC 3 device 1 : slot 3 : interface 24 <---> device 2 : slot 3 : interface 24 #connect host tap interface for mgmt device 2 : slot 0 : interface 1 <---> host : t2 Provedeme vygenerování simulace, spuštění zařízení jedna a dvě a připojení sítí. V shellu provedeme:./cfgtool irf_mdc.cfg cd run_env/irf_mdc.cfg rcfg 1 2 vtapup 25 H P S í ť o v é s i m u l a c e

26 IRF dokončení Což by nám mělo spustit obě chassis, které si ještě nebudou spolu povídat, protože v chassis není nakonfigurováno IRF a také porty pro IRF jsou shozeny. Provedeme minimální konfiguraci potřebnou pro IRF: sys irf member 2 irf priority irf-port 2 port group interface GigabitEthernet3/0/48 mode enhanced interface g 3/0/48 undo shut chassis convert mode irf Následuje reboot... Po kterem by už mělo existovat pouze jedno chassis spojene IRF 26 H P S í ť o v é s i m u l a c e

27 MDC Tvorba MDC2 system-view Mdc 2 id 2 # priradime do MDC2 prvnich 12 portu z karty 3 v chassis 1 allocate interface GigabitEthernet 1/3/0/1 to GigabitEthernet 1/3/0/12 # priradime do MDC2 prvnich 12 portu z karty 3 v chassis 2 allocate interface GigabitEthernet 2/3/0/1 to GigabitEthernet 2/3/0/12 #jeste lokace MDC2 tj. Kde opravdu poběží location chassis 1 slot 3 location chassis 2 slot 3 IRF pro MDC2 irf-port 1/1 port group mdc 2 interface GigabitEthernet1/3/0/12 mode enhanced irf-port 2/2 port group mdc 2 interface GigabitEthernet 2/3/0/12 mode enhanced Tvorba MDC3 system-view Mdc 3 id 3 # priradime do MDC3 porty z karty 3 v chassis 1 allocate interface GigabitEthernet 1/3/0/13 to GigabitEthernet 1/3/0/24 # priradime do MDC3 porty z karty 3 v chassis 2 allocate interface GigabitEthernet 2/3/0/13 to GigabitEthernet 2/3/0/24 #jeste lokace MDC3 tj. Kde opravdu poběží location chassis 1 slot 3 location chassis 2 slot 3 IRF pro MDC3 irf-port 1/1 port group mdc 3 interface GigabitEthernet1/3/0/24 mode enhanced irf-port 2/2 port group mdc 3 interface GigabitEthernet 2/3/0/24 mode enhanced 27 H P S í ť o v é s i m u l a c e

28 Ověření, že je nakonfigurováno správně Spuštění MDC Teď je čas uvést MDC v život. system-view Mdc 2 Mdc start Mdc 3 Mdc start 28 H P S í ť o v é s i m u l a c e

29 29 H P S í ť o v é s i m u l a c e

30 Příprava na připojení access switchů do jednotlivých MDC MDC2 Stav po přepnutí dovnitř do MDC přikazem Switchto mdc 2 30 H P S í ť o v é s i m u l a c e

31 Konektivitu uděláme jako L2 etherchannel a IP adresu dáme na vlan interface, nastavíme default routu na VSR: system-view Sysname MDC2 Vlan 200 int Bridge-Aggregation 1 int g 1/3/0/1 port link-aggregation group 1 undo shut int g 2/3/0/1 port link-aggregation group 1 undo shut int Bridge-Aggregation 1 port access vlan 200 link-aggregation mode dynamic undo shut int vlan 200 ip address undo shut ip route-static H P S í ť o v é s i m u l a c e

32 MDC 3 Nakonfigurujeme jako L3 etherchannel a ten oadresujume, nastavíme default routu na VSR Switchto mdc 3 system-view Sysname MDC3 int Route-Aggregation 1 int GigabitEthernet 1/3/0/13 port link-mode route port link-aggregation group 1 undo shut int GigabitEthernet 2/3/0/13 port link-mode route port link-aggregation group 1 undo shut interface Route-Aggregation1 link-aggregation mode dynamic ip address undo shut ip route-static H P S í ť o v é s i m u l a c e

33 Access switche dokončení D4 Zbývá do topologie doplnit druhý access switch (D4) a propojení na core (D1/D2) resp MDC2 a MDC3. Do konfiguračního souboru doplníme do patřičné sekce D4: device_id = 4 device_model = SIM2200 board = SIM2201 : aux_port 3040 : memory_size 480 # # doplníme pripojeni accessu do core device 1 : slot 3 : interface 1 <---> device 3 : interface 2 device 1 : slot 3 : interface 13 <---> device 4 : interface 4 device 2 : slot 3 : interface 1 <---> device 3 : interface 3 device 2 : slot 3 : interface 13 <---> device 4 : interface 5 #device 1 : slot 4 : interface 1 <---> device 3 : interface 4 #device 1 : slot 4 : interface 13 <---> device 4 : interface 2 #device 2 : slot 4 : interface 1 <---> device 3 : interface 5 #device 2 : slot 4 : interface 13 <---> device 4 : interface 3 # # management rozhrani device 4 : interface 1 <---> host : t4 # # jeste rozhrani do bridge b1 pro spojeni s VSR device 3 : interface 9 <---> host : t5 device 4 : interface 9 <---> host : t6 Provedeme vygenerování simulace, spuštění všech zařízení a připojíme sítě. V shellu provedeme:./cfgtool irf_mdc.cfg cd run_env/irf_mdc.cfg rcfg 1 2 rcfg 3 4 vtapup 33 H P S í ť o v é s i m u l a c e

34 Konfigurace access switchů Dokonfigurujeme D3 - etherchannel sys interface Bridge-Aggregation1 link-aggregation mode dynamic interface range name agg interface GigabitEthernet1/0/2 to GigabitEthernet1/0/5 port link-aggregation group 1 undo shutdown A povolíme port pro VSR: int gigabitethernet 1/0/9 undo shut V tomto okamžiku je možno na int vlan 1 dát ip adresu z rozsahu /24 a měla by fungovat komunikace do MDC2. Tedy int vlan 1 ip address undo shut 34 H P S í ť o v é s i m u l a c e

35 a ping na by měl odpovídat Zprovoznění D4 - Dáme management IP adresu - Uděláme etherchannel - Zprovozníme VSR port, kde z trunku přijmeme vlanu 102 ve které je provoz a ten předáme dál na etherchannel system-view Sysname D4 int m-e 1/0/1 ip address interface GigabitEthernet1/0/9 port link-mode bridge port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 102 interface Bridge-Aggregation1 interface range name agg interface GigabitEthernet1/0/2 to GigabitEthernet1/0/5 port link-aggregation group 1 undo shut vlan 102 interface Bridge-Aggregation1 port access vlan 102 link-aggregation mode dynamic undo shutdown 35 H P S í ť o v é s i m u l a c e

36 Routing mezi MDC - VSR Už zbýva jen komplet spustit VSR. Nakonfigurovat management přístup, další základní věci a routing mezi rozhraními routeru. Pro účely managementu by měl být první interface připojen k management síti. Druhý interface v netagovaném provozu přenáší přes D3, komunikaci do MDC2. Na tomtéž interface je ve vlaně 102 posílán provoz do MDC3. Boot proces VSR Napřed management lan system-view interface g 1/0 ip address pingem ověříme konektivitu po management lan 36 H P S í ť o v é s i m u l a c e

37 nakonfigurujeme komunikaci do MDC2 interface g 2/0 ip address a pingem na ověříme Ještě komunikaci do MDC3 ve vlaně 102. Zrealizujeme jako subinterface.102 interface GigabitEthernet2/0.102 ip address vlan-type dot1q vid 102 A pingem do MDC3 ( ) si potvrdíme fukčnost setupu Hlavně aby to routovalo!!! 37 H P S í ť o v é s i m u l a c e

38 Finální test 38 H P S í ť o v é s i m u l a c e

39 Další témata Pokud jste nevyčerpali veškerý čas, je možno se zamyslet jak doplnit topologii Simware o redundadní MPU a druhé karty (do slotu 4, např.) Také zvažte realizaci nějakého zabezpečení (na VTY, jména, hesla) Další zajímavou oblastí je vyzkoušet, jak se topologie bude chovat, když dojde k výpadku LPU, MPU, celého chassis (simulujte zavřením relevantniho okna). Vyzkoušejte si sniffování provozu v simulované infrastruktuře. Sniffování provozu Tap rozhraní se chovaní jako standardní fyzická rozhraní a rámci labu je možno na různých urovních pomocí utility wireshark sbírat provoz. Uvnitř Linuxu na rozhraních tap (t1-t6) představujících rozhraní do simulovaných systému, na rozhraních b0,b1 představujících broadcast domény/lan segmenty nebo na rozhraních ethx představujích rozhraní Linuxu samotného. Mimo to na urovní Windows je možno odposlouchávat na samotných Vmware rozhraních představujících rozhraní mezi Windows a Linuxem (resp segmenty b0, b1). 39 H P S í ť o v é s i m u l a c e

40 Příklad odposlechu komunikace uvnitř Linuxu na rozhraní t3. Jedná se o telnet přístup z VSR do managementu D3. 40 H P S í ť o v é s i m u l a c e

41 Závěr Gratuluji, že se vám podařilo dostat až na konec labu! Doufám, že vás bude inspirovat k dalšímu zkoumání a seznamování se fascinujícím světem virtualize, simulace síťových prostředí a vůbec k prohloubení zájmu o HP networking. Tento lab ilustroval základní možnosti nástrojů a produktů a proto je zde obrovský prostor pro další zkoumání... Například: Spanning tree Dynamický routing IPSEC MPLS / VPLS (konfigurace pro simware viz přiloha) TRILL (možno užít stejný konfig jako VPLS) EVI či nějaká jiná forma tunelování síťového provozu. Při zkoumání nezapomínejte i na český kde najdete články, videa, ukázky či dokumenty apod. NetSvět můžete následovat i na Twitteru Zkuste odkrýt obrovský potenciál, který vám Simware s VSR nabízejí. Komplexní síťové topologie, které si mohu nosit s sebou! Vlastní lab pro další vzdělávání v oblasti networkingu i HP specifických síťových technologiích. Možnost zkusit technologie, které byly možné pouze na nedostupném drahém hw. Vyzkoušet každou myšlenku hned! Studujte dál s VSR (nelicencovaná verze je plně vybavena, jen limituje propustnost) neboť ten je jedním ze základních kamenů NFV. Povyšte svujl lab tím, že si instalujete imc do VM a začnete jím řídit své simulované sítě. Martin Žampach martin.zampach@hp.com 41 H P S í ť o v é s i m u l a c e

42 Přílohy IRF Intelligent Resilient Framework Technologie která několik zařízení spojí dohromady, tak že se ve všech ohledech chovají jako jedno (virtuální) chassis zařízení kde každé zařízení je presentováno jako karta (nemodulární switch) nebo jako sada subkaret (v připadě spojení více chassis zařízení). Takto jsou virtualizovány všechny služby, které fyzické zařízení umožňovalo (L2 switching, L3 routing včetně MPLS/VPLS atd). Okolní sít vnímá veškerou komunikaci jako komunikaci s jedním zařízením. Topologicky mohou být zařízení propojena do řetězu nebo do kruhu. Pro fyzické propojení se v reálnem hw užívají 10GE rozhraní, v prostředí Simware je tato funkcionalita možná i na 1GE. Doporučuje se propojení více linkami. Přes tyto linky se přenáší heartbeat a synchronizace, (užívatelský provoz normálně tudy neteče) což neni na provoz náročné, více linek je kvůli redundanci. Typické užití Zařízení je připojeno virtuálnímu zařízení ethechannelem (duálně - fyzicky do různých fyzických zařízení). To umožňuje napřiklad realizovat ISSU (In Service Software Upgrade) jednoduchým zpusobem postupně se upgradují jednotlivá fyzická zařízení, ostatní stále forwardují provoz (tj. nedochází k vypadku služby, maximálně ke snížení propustnosti). MDC Multitenant Device Context je způsob jak fyzický hw rozřezat na více logických entit, které se chovají jako samostatná zařízení. Jednotlivým MDC jsou dedikováný HW zdroje chassis/sloty, karty (a CPU, pamět, CF). Je možno dedikovat jednotlivá síťová rozhraní respektive skupiny rozhraní, které jsou ovládány jedním hw zdrojem (ASIC v rámci karty typicky 8 nebo 16 portů) v Simware jsou skupiny po 12ti ge rozhraních (tj 1-12, ). Zařízení běží defaultně v MDC 1 Admin. Spolupráce IRF a MDC Z IRF z pohledu funkce je možno rozdělit na control-plane (synchronizace atd) a data-plane (uzivatelský provoz uvnitř MDC). Control-plane všech MDC běhá po klasickém IRF propoji v rámci MDC1. Dataplane musí být realizován separátním propojem na portu uvnitř relevatního MDC. 42 H P S í ť o v é s i m u l a c e

43 Instalace / Tvorba vlastního VM Instalace Ubuntu 43 H P S í ť o v é s i m u l a c e

44 Instalace Nested Virtualizace 64bit host i guest Provedeni instalace Instalace podpory vlan sudo Apt-get install vlan Instalace Comware 7 Simulator Ubuntu 64 Bit.deb sudo dpkg i Comware 7 Simulator Ubuntu 64 Bit.deb Doplnění SSH přístupu sudo apt-get openssh-server Wireshark pro sniffování provozu sudo apt-get install wireshark 44 H P S í ť o v é s i m u l a c e

45 Vypnuti IPv4 a IPv6 nutno provézt na connection 1 a 2 (odpovidaji eth0 a eth1)! 45 H P S í ť o v é s i m u l a c e

46 Skripty (uloženy v /usr/local/bin, spouštěny pod rootem) ksim Zruší všechny běžící simulace rcfg Spouští všechny simulované stroje (a jejich karty v případě chassis) ve vyžadovaném pořadí. Je možno dát jako parametry čísla zařízení která se maji spustit (tj. rcfg 1 3). vtapup Spustí všechna TAP rozhraní ze simulovaných zařízení a přiřadí je do patřičných bridgů (t1-4 do b0 a t5,t6 do b1) vnetset Nastaví virtuální networking unitř linuxu vytvoří bridge b0, b1. Spustí podporu vlan, zařadí fyzická rozhraní do bridgu (eth0 do b0, eth1 do b1). Spustí bridge a přiřadí jim IP adresy. 46 H P S í ť o v é s i m u l a c e