Efektivní návrh moderních lokálních sítí

Efektivní návrh moderních lokálních sítí NET3/L2 Pavel Křižanovský Systems Engineer Manager, CCIE #11457 pkrizano@cisco.com Helenka Jetelová Systems Engineer, Intercom Systems a.s. helena@intercomsys.cz 1

Agenda Trendy ovlivňující návrh LAN Ověřené architektury LAN Virtual Switching System Srovnání VSS s obdobnými technologiemi Příklady použití VSS a VPC v praxi Výhled do budoucna? Typické platformy pro campus LAN 2

Next Generation Campus Design Změna způsobu práce uživatelů Dnešní uživatelé jsou jiní V CZ se projevuje mladá pracovní síla z babyboomu v 70-tých letech Splývání práce a soukromého života Konektivita všude, svět bez hranic Mobilita, spolupráce V příštích třech letech (IDC, 2009) : IT staff : 1.1X Servery: 1.8X Mobilní uživatelé: 3X Nárůst informací: 4.5X Denní interakce uživatelů: 8.4X Application Evolution 4

Next Generation Campus Design Vývoj v oblasti nástrojů pro spolupráci IP telefonie se stává mainstream technologií Postupné využívání plné škály Unified Communications nástrojů Komunikace ve vysokém rozlišení mají striktní nároky na Service-Level Agreement (SLA) Spolehlivá služba Infrastruktura s vysokou dostupností Řízení aplikačních služeb QoS 5 Efektivní Presentation_ID návrh LAN 2010 2007 Cisco Systems, Inc. All rights reserved. Cisco Cisco Confidential Public 5

Next Generation Campus Design Noví uživatelé sítě Čtečky přístupových karet Hosté Partneři Zaměstnanci Subkontraktoři Konzultanti Campus Data Center 6

Next Generation Campus Design Nové modely aplikačního provozu Pravidla 80:20 resp. 20:80 přestávají platit Peer-to-Peer provoz UC aplikací mezi počítači HD Video Vzájemně spolupracující aplikace Požadavky na inteligenci sítě v různých vrstvách Bezpečnost, Aplikační inteligence QoS, HA Campus Application Intelligence, Security and Flow Information Required at more layers Nároky na propustnost sítě rostou 10GE uplink z Access vrstvy se stává nutností Data Center 7

Campus Design Vycházíme stále ze stejných principů Access Distribution Core Distribution Access WAN Data Center Internet 9

Campus Design Různé přístupy, historický vývoj Layer 2 Access Routed Access Virtual Switching System Access Distribution Core Distribution Access WAN Data Center Internet 10

Layer 2 propojení v Distribution vrstvě Layer 2 Access Některé VLANy jsou rozprostřeny přes Access vrstvu Dlouholetou praxí prověřený design Typické problémy Zákonitý vznik L2 smyček => Nutnost nasazení STP Blokování portů, Konvergence při výpadku Nevyužití plných rychlostí uplinku Složitejší multicast - dva směrovače v jedné VLAN Celková složitost, náchylnost k chybám konfigurace Best practise Zajistit balancování provozu pomocí rozdílného nastavení STP root a HSRP, příp. GLBP Koretní nastavení trunk módu (desirabledesirable) Směrování CEF balancování, sumarizace cest směrem do core, jednoduchost Využití STP nástrojů: Rapid PVSTP+, Rootguard na DL, LoopGuard na UL, Portfast a BPDU guard na host portech Bezpečnostní vlastnosti Layer 2 Trunk VLAN 20 Data VLAN 40 Data 10.1.20.0/24 10.1.40.0/24 VLAN 120 Voice VLAN 140 Voice 10.1.120.0/24 10.1.140.0/24 VLAN 250 WLAN 10.1.250.0/24 Core Distribution Access 11

Layer 3 propojení v Distribution vrstvě Layer 2 Access VLANy zůstávají vždy ve svém Access přepínači Odstranění L2 smyček, odstranění blokovaných linek Typické problémy Ideální design VLAN často nelze dodržet, rozprostřené VLAN mezi access přepínači jsou vyžadovány, v tomto scénáři je nelze využít Obtížné využití plných rychlostí uplinku Složitejší multicast - dva směrovače v jedné VLAN Celková složitost, náchylnost k chybám konfigurace Best practise Zajistit balancování provozu pomocí rozdílného nastavení HSRP priorit, příp. GLBP Směrování CEF balancování, sumarizace cest směrem do core, jednoduchost Využití STP nástrojů pro access: Portfast/BPDU G na host portech Bezpečnostní vlastnosti VLAN 20 Data 10.1.20.0/24 VLAN 120 Voice 10.1.120.0/24 Layer 3 Point-to-Point Link VLAN 40 Data 10.1.40.0/24 VLAN 140 Voice 10.1.140.0/24 Core Distribution Access 12

Layer 3 v Access vrstvě VLANy zůstávají vždy ve svém Access přepínači Odstranění L2 smyček, odstranění blokovaných linek Konvergence daná konvergencí L3 IGP protokolu, jednodušší multicast Typické problémy Ideální design VLAN často nelze dodržet, rozprostřené VLAN mezi access přepínači jsou vyžadovány, v tomto scénáři je nelze využít Vyšší spotřeba IP adres L3 přepínače v accessu dražší HW, licence Nelze použít RSPAN Best practise Směrování CEF balancování, sumarizace cest směrem do core, jednoduchost Využití STP nástrojů pro access: Portfast a příp. BPDU G na host portech Bezpečnostní vlastnosti VLAN 20 Data 10.1.20.0/24 VLAN 120 Voice 10.1.120.0/24 Layer 3 Point-to-Point Link Layer 3 VLAN 40 Data 10.1.40.0/24 VLAN 140 Voice 10.1.140.0/24 Core Distribution Access 13

Existuje něco lepšího? ANO, Virtual Switching System! Core VSS Link New Concept Distribution VLAN 20 Data VLAN 10.1.20.0/24 40 Data VLAN 10.1.40.0/24 120 Voice VLAN 10.1.120.0/24 140 Voice VLAN 10.1.140.0/24 250 WLAN 10.1.250.0/24 VLAN 20 Data VLAN 10.1.20.0/24 40 Data VLAN 10.1.40.0/24 120 Voice VLAN 10.1.120.0/24 140 Voice VLAN 10.1.140.0/24 250 WLAN 10.1.250.0/24 Access 14

A kam se službami? Servisní bloky Centralizované bezdrátové LWAPP kontroléry Zakončení IPv6 ISATAP tunelů Služby Unified Communications services Cisco Unified Communications Manager Gateways MTP atd. Policy gateways Local Internet edge 15

Důležité mechanismy Redundance na L2 Spanning Tree (PVSTP+, RSTP,MST) Redundance na prvním skoku VRRP, HSRP, GLBP Load balancing EtherChannel link aggregation (PAGP+, LACP) CEF equal cost load balancing 1. Trunking protokoly 802.1Q, (ISL) Unidirectional link detection Layer 3 routing protocols LACP ECMP Routing HSRP MEC GLBP CEF PAGP UDLD Load Balancing Spanning Tree 16

Co je Virtual Switching System VSS? Virtual Switching System se skládá ze dvou fyzických přepínačů Cisco Catalyst 6500 tvořících jeden logický přepínač Jednotnéřízení, active-active systém Zvýšení transportní kapacity, zvýšení dostupnosti, eliminace smyček a potřeby STP Snížení složitosti údržby, drastické zjednodušení konfigurace Virtual Switch Domain Virtual Switch Link Switch 1 + Switch 2 = VSS ngle Logical Switch 18

Catalyst 6500 Virtual Switching System 1440 Network System Virtualization Dříve bez VSS VSS (Fyzický pohled) VSS (Logický pohled) 10GE 10GE Cat6500 Sup720-10GE Cat6500 Sup720-10GE 802.3ad 802.3ad 802.3ad 802.3ad Access Switch or ToR or Blades Server Access Switch or ToR or Blades Výhody VSS Zjednodušení správy díky jednotnolité konfiguraci, eliminace STP, FHRP atd. Active-Active Multi-Chassis Etherchannel (802.3ad) pro zdvojnásobení využitelné propustnosti a snížení latence Deterministická sub-200ms plně stavová obnova při výpadku přepínače nebo uplinku minimalizuje výpadek v provozu Server Access Switch or ToR or Blades Server 19

Virtual Switching System Unified Control Plane Jeden supervisor v každém chassis, využití metody inter-chassis Stateful Switchover (SSO) Jeden supervisor je ACTIVE, druhý v HOT_STANDBY módu Active/standby supervisory běží v synchronizovaném režimu (boot-env, runningconfiguration, stav protokolů, stav line karet) ACTIVE supervisor zajišťuje control plane funkce, jako např. protokoly (routing, EtherChannel, SNMP, telnet, etc.) a správu hardware (OIR, port management) Přepnutí na HOT_STANDBY supervisor nastane ve chvíli, kdy ACTIVE supervisor přestane zasílat heartbeat informace přes Virtual Switch Link Data Plane Active CFC or DFC Line Cards CFC or DFC Line Cards Data Plane Active CFC or DFC Line Cards CFC or DFC Line Cards SF RP PFC Active Supervisor VSL CFC or DFC Line Cards CFC or DFC Line Cards SF RP PFC Standby HOT Supervisor CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards CFC or DFC Line Cards SF: Switch Fabric RP: Route Processor PFC: Policy Forwarding Card CFC: Centralized Forwarding Card DFC: Distributed Forwarding Card 20

Virtual Switching System Dual Active Forwarding Planes Jeden supervisor v rámci virtuálního přepínače zabezpečuje control plane, oba supervisory aktivně zabezpečují forwarding plane Všechny moduly (s centrálním i distribuovaným DFC módem) v obou chassis včetně portů na obou supervisorech se aktivně účastní forwardingu VSS-Router#show switch virtual redundancy My Switch Id = 1 Peer Switch Id = 2 Switch 1 Slot 5 Processor Information : ----------------------------------------------- Current Software state = ACTIVE <snip> Configuration register = 0x2 Fabric State = ACTIVE Control Plane State = ACTIVE Data Plane Active Data Plane Active Switch 2 Slot 5 Processor Information : ----------------------------------------------- Current Software state = STANDBY HOT (switchover target) <snip> Configuration register = 0x2 Fabric State = ACTIVE Control Plane State = STANDBY 21

Virtual Switching System Multichassis EtherChannel (MEC) MEC je rozšíření technologie EtherChannel umožňující agregaci spojů mezi dvě fyzická chassis MEC umožňuje, že se pro připojená zařízení VSS jeví jako jeden logický celek, což významně zjednodušuje topologii campus sítě V tradičním prostředí vytvářejí VLANy rozprostřené mezi nadřazené přepínače smyčky, které je nutno řešit pomocí Spanning Tree. MEC v rámci VSS umožňuje eliminaci smyček MEC eliminuje spanning tree a zároveň poskytuje vyšší propustnost při zachování redundance linek z přístupové vrstvy Přepínač z přístupové vrstvy má nastaven standardní Etherchannel uplink k VSS Physical Topology Multichassis EtherChannel L2 VLAN 30 Logical Topology VLAN 30 Non-MEC MEC BW Capacity in Non-MEC and MEC Topology 22

Kde používat VSS? Dříve Campus Distribution Nyní s VSS Campus/DC Core DC Server Access DC Aggregation WAN DC Internet WAN DC Internet 23

Virtual Switching System 1440 Podporovaný Hardware and Software Catalyst 6500 Virtual Switch Link (VSL) 10GE Virtual Switching Supervisor 720-10G uplink VS-S720-10G-3C VS-S720-10G-3CXL Doporučení: minimálně 2 linky ve VSL svazku VSL bundle se může skládat až z 8 10GbE linek 8 port 10 Gigabit Ethernet module WS-X6708-10G-3C WS-X6708-10G-3CXL 16 port 10 Gigabit Ethernet module WS-X6716-10G-3C WS-X6716-10G-3CXL 12.2(33)SXI Service modules: NAM1, NAM2, ACE10, ACE20 FWSM, IDSM2, WiSM Virtual Switching System Hardware Virtual Switching Supervisor 720-10G 67XX cards with CFC or DFC3C or DFC3CXL Non-E and E-Series Chassis Software 12.2(33)SXH1 IOS Software Modularity or Native IOS 24

Vývoj VSS 25

VSS chystaná novinka Dual-Supervisor Support Dnes Chystáme Polovina 2010 Active ports In active ports Switch-1 Switch-2 Switch-1 Switch-2 SF RP PFC SF RP PFC SF RP PFC SF RP PFC Standby Active HOT Supervisor Supervisor Standby HOT Supervisor Standby Active HOT Supervisor Standby HOT Supervisor SF RP PFC SF RP PFC In chassis Standby ROMMON VSL In chassis Standby ROMMON In chassis Standby VSL In chassis Standby Uplink forwarding Uplinky na Standby supervisoru jsou aktivní Zvýšen ená odolnost Konektivita a kapacita propoje 26

Srovnání VSS a jiných technologií virtual Port-Channel (vpc) Cisco Nexus Series Jako VSS Jako VSS Jako VSS Jako VSS Jako VSS Umožňuje aby zařízení (přepínač, server) využívalo jeden port channel ke dvěma nadřazeným přepínačům Eliminuje blokování portů pomocí STP Používá plnou propustnost uplink spojů Dual-homed server pracuje v režimu active-active Poskytuje rychlou konvergenci v případě výpadku spoje nebo zařízení Logical Topology without vpc Logical Topology with vpc 28

Srovnání VSS a vpc Vlastnost VSS on Catalyst 6500 vpc on Nexus Availability Software 12.2(33)SXH1 N7K - 4.1 General Control Plane/ HA Multi-chassis Etherchannel (Active-active) Yes N5k - 4.1.3 Yes Load-Balancing at L2/L3 Yes Yes Control Plane Unified Independent Configuration Files Unified Independent Supervisor Redundancy ngle sup (redundancy across chassis) L2 Link Agg Protocol LACP, PaGP(+) LACP STP Required No No Redundant supervisors per chassis L3 ngle Logical Gateway Yes (No Need for FHRP) Yes, active-active HSRP Routing Instance ngle Independent Routing Peers Reduced Same as before Multicast Multicast multi-pathing Yes Yes PIM Designated Router ngle Independent (DR&N-DR) 29

VSS, vpc, ještě něco srovnatelného? Stackwise+ Virtual Switching System Jednotný control plane Jednotný management plane Jeden supervisor per chassis (do 1H 2010) Automatická synchronizace konfigurace portů Jednotná L3 doména (single SVI), FHRP není potřeba Virtual Port Channel Separátní control plane Separátní management plane se synchronizací VPC Redundantní supervisory per chassis s hitless SSO Manualní synchronizace konfigurace portů (DataCenterNetworkMgr) Vylepšený HSRP/PIM SVI pro active-active funkcionalitu Stackwise+ Jednotná control plane řízená Master Switchem Master switch řídí etherchannel Redundantní master switche per stack Automatická synchronizace konfigurace portů Stack se jeví jako jeden směrovač, FHRP není potřeba SW1 VPC FT-Link VPC peer-link SW2 30

Dlouhodobá působnost na trhu ICT založena 1991 Technologický leader v ČR optické sítě, RaS Orientace hlavně na 1 strategického partnera (vendora) Další partneři Vysoká přizpůsobivost požadavkům zákazníka

Helena Jetelová

Virtual PortChannel AMU Virtual Switching Systems VŠCHT ukázky testování výpadku

virtual PortChannel (vpc) mgmt (peer keepalive link) 10Gbps 1Gbps 10Gbps Peer link gw mgmt vpc domain Nexus 5010 Nexus 5010 přístupová vrstva NIC teaming active/active FEX ESX servery

4 Gbps Fibre Channel SAN Nexus 5010 active/passive active/passive ESX servery

10Gbps 1 Gbps (STP blocking) 1 Gbps gw virtual switch link C6509-E Sup720-3C Virtual switching system (VSS) C6509-E Sup720-3C cat 6500 cat 3500 cat 4900 budova A budova B budova C

host 10.252.100.1 VSS-lab intgi1/3/1 intvlan 18, intvlan 28 10.252.18.1,10.256.28.1 Po40 intgi2/3/1 aktivní přepínač# 2 VM host 10.252.18.2 VLAN 18 VM host 10.252.28.2 VLAN 28

intvlan 34 intvlan 35 192.168.34.1 VLAN 34 192.168.35.1 VLAN 35

Nový L2 řídící protokol Proč? Současný Spanning Tree protokol Neoptimální transportní cesta Nelze využít paralelních cest Složitá správa v komplexních topologiích Root 1 2 1 1 2 2 2 2 2 2 42

Nový L2 řídící protokol Možná budoucířešení 1. IETF TRILL 2. Shortest Path Bridging IEEE P802.1aq 3. Cisco Layer 2 Multi Path / C-L2MP (a pre-version of TRILL) ~směrování na L2, využití MAC-in-MAC principů, IS-IS protokol 43

Porovnání TRILL, C-L2MP a 802.1aq/ah TRILL C-L2MP 802.1aq with 802.1ah Standard Yes (IETF) No Yes (IEEE) Interoperability Routed (Can operate across normal.1q) P2P trunks (C-L2MP = tunnel) Client/Server (Only Edge Bridges needs to be 802.1ah) Extra Service Instance Tag No (will be fixed) Yes (FTAG) but not bigger than S-tag Yes (I-tag), 24 bits L2 Multipath Yes Yes No (Per VLAN Tree possible) Outer Destination Mac-address == Next TRILL node Egress C-L2MP node Egress 802.1ah node Loop Avoidance ISIS+TTL ISIS+TTL ISIS+RPF 44

Co nás čeká v evoluci dále? Prolínání trendů z DC do Campus LAN? STP vpc/vss DCE/L2MP agg1 agg2 agg1 agg1 agg2 agg2 agg1 agg2 agg3 agg4 virtual switch2 Cross-chassis port channel virtual switch1 4x 2x 2x acc1 acc2 accx accn acc1 acc1 acc2 accx accn acc1 acc2 accx accn 2x 2x 4x2x 2 4 A B D E A B D E A B D E Dual-homed server Dual-homed virtual servers Dual-homed server ngle-homed server Dual-homed server Dual-homed virtual servers Dual-homed server ngle-homed server Dual-homed server Dual-homed virtual servers Dual-homed server ngle-homed server Topologie bez smyček díky STP Částečně využitá kapacita blokované porty STP jako background protokol. Topologie bez smyček díky vpc/vss Plné využití propustnosti pro až 8 linek současně Plné odstranění STP. L2 topologie beze smyček. Plné využití propustnosti přes 16 linek 45

Další iniciativy Potenciálně zajímavé i pro campus LAN EnergyWise Chytré měření a řízení spotřeby prvků v síti a nejen tam Všechny přepínané platformy, hodně vlastností dostupno již dnes Viz dnešní přednáška SOL1 Virtualizace v Campus prostředí Path isolation: VRF-Lite, GRE, MPLS-VPN Dostupné již dnes 100GE, 40GE TrustSec/MACSec Nexus 7000, Catalyst 3750-X / Catalyst 3560-X Policy-based access control Identity-aware networking Data integrity and confidentiality 46

Produkty pro Campus LAN Access Access 3750-X 3560-X (2960-S) 4500 6500 Security UC Integration Converged Services Reliability Resiliency Service Resiliency Ease of Mgmt mplified Operations End-to-End 48

Produkty pro Campus LAN Core a Distribution Core Distribution Catalyst 6500 Nexus 7000 Catalyst 4500 49

Dnes datacentrum, zítra možná i campus LAN? Již dnes? 10GbE Aggregation Catalyst 4900M Nexus 5000 Catalyst 6500 Nexus 7000 Gigabit Ethernet Access Catalyst 2350 Catalyst 4900 Catalyst 4900M Nexus 2000 Catalyst 6500 Nexus 7000 Small Data Center Solution Large 50

Přenesení principu vzdálených linkových modulů s centrálním řídícím modulem do konceptu Campus LAN? Nexus 5000 + FEX ngle Access Layer Nexus 5000 Parent Switch NX5k: Control Plane - správa a konfigurace (+lokální dataplane) + Cisco Nexus 2000 FEX = NX2k Fabric Extender: - Data Plane Virtual Modular System 51

Závěr Nové IT trendy přinášejí zvýšené nároky na LAN Dostupnost, Spolehlivost, Propustnost, Mobilita, Síťová inteligence... Vícevrstvý návrh LAN zůstává stále v platnosti Technologie VSS na přepínačích Catalyst 6500 výrazně zjednodušuje návrh, implementaci i správu campus sítě Existují obdobné technologie pracující na jiných platformách Do budoucna můžeme v Campus sítích očekávat poměrně hodně novinek 40GE/100GE, L2MP, TrustSEC,... 52

Cisco SRND - ověřené návrhy campus LAN http://www.cisco.com/go/srnd 53

Otázky? Odpovědi??? Vaše otázky zaslané pomocí SMS načíslo 773 501 255 zodpovíme dnes od 17:45 v místnosti LEO 54

Prosíme, vyplňte dotazník s hodnocením prezentace Děkujeme! Efektivní návrh moderních lokálních sítí, NET3/L2 55