Odolná, pružná a automatizovaná DC

Odolná, pružná a automatizovaná DC Od infrastruktury k aplikacím B-DC1 Ivo Němeček, Cisco Petr Mácha, Dimension Data

© 2013 2012 Cisco and/or its affiliates. All rights reserved. 2011

B-DC1, Connect 2013

© 2010 Cisco and/or its affiliates. All rights reserved.

Cisco Cisco Connect Connect

1

11

Snižování nákladů

Doba do materializace •  Inovované produkty a služby v kratším čase

Doba vývoje •  Těsné propojení mezi zákazníky a vývojáři

Aplikace a služby •  Nákup aplikací •  Nákup služeb •  Od partnerů •  Vlastní vývoj Pružnost a rozšiřitelnost •  Uživatelé, zařízení, místa


B-DC1, Connect 2013

Nepřerušené služby, DR, bezpečnost, kritické apl

Co potřebují firmy a jaké to má dopady na IT


Více aplikací •  IDG: podniky zavedou v průměru 46 nových aplikací v roce 20123

Orientace na služby •  Infrastruktura podporující aplikace •  Služby integrované napříč cloudy •  privátní a veřejné cloudy

Pružná architektura •  Rozšiřitelná podle potřeby •  (plať jak potřebuješ)

Připravená pro neočekávané Cisco Connect

2

2

Vývoj datových center

Application

Application

Storage

Storage

Compute

Compute

Application

Application

Storage

Storage

Compute

Compute

Unified Fabric V Computing V V V Unified M

Application

Application

Storage

Storage

Compute

Compute

LAN

SAN

Fyzická konsolidace Server je středem

V M

V M

V M

V M

Unified Fabric LAN SAN Sjednocení LAN a SAN, fyzického a virtuálního prostředí

M

LAN

M

M

SAN

Sjednocení výpočetního a storage prostředí Zásobník zdrojů

Virtualizace VM je středem

Application

Application

Storage

Storage

Compute

Compute

Unified Fabric V V V UnifiedV Computing M M M M Unified Management Cisco ONE LAN SAN Otevřená API a programovatelná rozhraní do infrastruktury

Cloud Aplikace jsou středem

DC mají mnoho podob

Různé architektury pro různá využití

DC s nízkou latencí • High Frequency Trading • Layer 3 & Multicast • No Virtualization • Limited Physical Scale • Nexus 3000 & UCS • 10G edge moving to 40G

HPC/GRID • Layer 3 & Layer 2 • No Virtualization • Nexus 2000, 3000, 5500, 7000 & UCS • 10G moving to 40G

blade1 slot 1 blade2 slot 2 blade3


slot 3 blade4 slot 4 blade5


slot 5 blade6 slot 6 blade7 slot 7 blade8


slot 8

slot 8







slot 8

slot 8







slot 7 blade8 slot 8


blade1 slot 1 blade2 slot 2 blade3 slot 3 blade4 slot 4 blade5 slot 5 blade6 slot 6 blade7 slot 7 blade8

blade1 slot 1 blade2 slot 2 blade3 slot 3 blade4 slot 4 blade5 slot 5 blade6 slot 6 blade7 slot 7 blade8

slot 8

slot 8







slot 8

slot 8









Virtualizovaná DC • SP and Enterprise • Hypervisor Virtualization • Shared infrastructure Heterogenous • 1G Edge moving to 10G • Nexus 1000v, 2000, 5500, 7000 & UCS

MSDC • Layer 3 Edge (iBGP, ISIS) • 1000’s of racks • Homogeneous Environment • No Hypervisor virtualization • 1G edge moving to 10G • Nexus 2000, 3000, 5500, 7000 & UCS

Cisco Unified Fabric

LAN/SAN konvergence s FCoE LAN

SAN A

SAN B

Přístupová vrstva

SAN A

LAN

SAN B

Přístupová vrstva

4 x 1GE

Ethernet

Server

Fibre-Channel

Méně kabelů, méně zařízení © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


Server s Unified I/O Libovolné I/O přes jednu síť SAN, NAS, iSCSI

Cisco Connect

5

5

Virtualizace má dopad na složitost sítě Virtualizace tlačí v posledních 5 letech náklady DC vzhůru

Server-Related Spend (Capex+Opex)

…a tento trend bude pokračovat

“increased OpEx is attributed to network optimization to VM’s to deliver application SLA’s”

Customer Spending $B

Source: Zeus kerravala ZK Research

2006

“Customers often overprovision the network to address the complexity further increasing CapEx spend!” Source: Zeus Kerravala. ZK Research Source: IDC, 2011 “New Economic Model for the Datacenter” © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


2008

2010

2012

2014

  Hustota VM vzroste o 25% mezi 2010 a 2015   Rychlý růst VM vynucuje změny síťové infrastruktury Cisco Connect

6

6

6

Virtualizace „tlačí“ na síťové prostředí

Fabric Path

•  Rozšiřitelnost vs. topologie

vPC

- Vyhovuje stále Spanning Tree dnešním potřebám? -  Jak využíváme fyzickou infrastrukturu? -  Nejsou přežité hierarchické topologie?

VN-Link

•  Virtualizace vs. škálovatelnost Konzistence pravidel pro fyzické a virtuální síťové prostředí

VXLAN

Máme dost VLAN?

•  Topologie vs. virtualizace Disaster Recovery, active-active datová centra VMotion mezi datovými centry

Fabric Path

LISP OTV


B-DC1, Connect 2013


Cisco Connect

7

7

Cisco FabricPath ... když Spanning Tree nestačí


Cisco Connect

8

Pružnost architektury s NX-OS Spanning-Tree

vPC

FabricPath

Aktivní cesty

1

2

16

Propustnost

Až10 Tbps

Až 20 Tbps

Až 160 Tbps

Rozšiřitelnost na L2 Virtualizace a kapacita infrastruktury

Rozšiřování DC infrastruktury

Cisco virtual Port Channel - Multichassis EtherChannel   vPC rozšiřuje sdružování portů (Portchanneling) na dva oddělené přepínače   Dovoluje vytvoření odolných L2 topologií založených na sdružování portů

Fyzická topologie

  Zajišťuje L2 topologie bez smyček s redundancí   Odstraňuje blokování portů STP a využívá dostupné pásmo

Logická topologie

Virtual Port Channel L2 Si

Si

  Poskytuje rychlou konvergenci při poruše zařízení nebo linky Non-vPC Vyšší pásmo s vPC © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


vPC Cisco Connect

10

10

Cisco FabricPath

Škálování a zjednodušení Layer 2 Ethernet sítí Až 16 Agg přepínačů 160+ Tbps přepínací kapacity

Tradiční spanning tree sítě blokují cesty  

Eliminuje omezení Spanning Tree

 

Multi-pathing přes všechny linky

 

Vysoká odolnost, rychlá konvergence

 

Nemusíme dělat VLAN scoping


B-DC1, Connect 2013


Cisco FabricPath Network - všechny spoje jsou aktivní

Až 32 přístupových přepínačů

Cisco Connect

11

11

FabricPath Rozhraní Konfigurace říká, zda je dané rozhraní součástí FP nebo ne FabricPath Port •  Rozhraní vůči dalšímu FabricPath portu •  Provoz zapouzdřen ve FabricPath záhlaví •  Bez Spanning-Tree!!! •  Bez ‘MAC Learning’ •  Topologie postavená pomocí L2 ISIS sousednosti •  Forwarding pomocí ‘Switch Table’

L2 Fabric

•  Rozhraní vůči tradičním NICs síťovým zařízením •  Provoz zapouzdřen v 802.3 Ethernet rámcích •  Používá STP •  Směrování pomocí MAC Table © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


Ethernet

Klasický Ethernet (CE) Port STP Doména FabricPath Port CE Port Cisco Connect

12

12

Jak funguje Data Plane Hierarchické adresní schéma •  FabricPath záhlaví je přidáno na ingress přepínači •  Pro směrování jsou používány adresy ingress a egress přepínačů •  L2 Fabric uvnitř nepoužívá vůbec MAC adresy S42

FabricPath Header

S11 C

FabricPath Routing

S11  S42

A DATA

S11

STP FabricPath Domain

Ingress Switch

S42

Egress Switch

AC

C A DATA

A

STP doména 1 A  C© 2010 Cisco and/or its affiliates. All rights reserved.


B-DC1, Connect 2013

C

L2 Bridging

STP doména 2 AC

Cisco Connect

13

13

FabricPath Encapsulation 16-Byte MAC-in-MAC Header (Classical) Ethernet Frame Cisco FabricPath Frame

Outer DA (48)*

Outer SA (48)*

FP TAG (32*)

DMAC

SMAC

802.1Q Header

Ether Type

Payload

DMAC

SMAC

802.1Q Header

Ether Type

Payload

CRC

CRC( New)

* Lengths for all fields are shown in “bits”

I/G U/L

EndNode_ID (5:0)

EndNode_I D (7:6)

RSV D (1)*

OOO/ DL (1)

Switch ID (12)

Sub-Switch ID (8)

Port ID (16)

Ether Type

Tree ID (10)

TTL (6)

•  Switch ID: Unique number assigned to help identify each device that is part of L2 Fabric •  Sub-Switch ID: Combined with Switch ID to identify vPC+ behind a pair of peer-switches •  Tree ID: Unique number assigned to help identify each distribution “Tree” •  TTL: Decrement at each hop to prevent frames looping infinitely in the fabric in case of

unexpected failure © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


Cisco Connect

14

14

Funkce řídící vrstvy

L2 IS-IS funguje automaticky, spravuje topologii •  Automatická adresace přepínačů v FP, žádná konfigurace adres •  Shortest path algoritmus •  equal-cost multipathing mezi libovolnými FP přepínači

FabricPath Routing Table Switch

IF

S1

L1

S2

L2

S3

L3

S4

L4

S12

L1, L2, L3, L4

…

…

S42

L1, L2, L3, L4

S1

L1 S11

S2

L2

S3

S4

L3 L4

S12

L2 Fabric

S42

show mac address-table dynamic S100# sh mac address-table dynamic Legend: * - primary entry, G - Gateway MAC, (R) - Routed MAC, O - Overlay MAC age - seconds since last seen,+ - primary entry using vPC Peer-Link VLAN MAC Address Type age Secure NTFY Ports/SWID.SSID.LID ---------+-----------------+--------+---------+------+----+-----------------* 10 0000.0000.0001 dynamic 0 F F Eth1/15 * 10 0000.0000.0002 dynamic 0 F F Eth1/15 * 10 0000.0000.0003 dynamic 0 F F Eth1/15 * 10 0000.0000.0004 dynamic 0 F F Eth1/15 * 10 0000.0000.0005 dynamic 0 F F Eth1/15 * 10 0000.0000.0006 dynamic 0 F F Eth1/15 * 10 0000.0000.0007 dynamic 0 F F Eth1/15 * 10 0000.0000.0008 dynamic 0 F F Eth1/15 * 10 0000.0000.0009 dynamic 0 F F Eth1/15 * 10 0000.0000.000a dynamic 0 F F Eth1/15 10 0000.0000.000b dynamic 0 F F 200.0.30 10 0000.0000.000c dynamic 0 F F 200.0.30 10 0000.0000.000d dynamic 0 F F 200.0.30 10 0000.0000.000e dynamic 0 F F 200.0.30 10 0000.0000.000f dynamic 0 F F 200.0.30 10 0000.0000.0010 dynamic 0 F F 200.0.30 S100 10 0000.0000.0011 dynamic 0 F F 200.0.30 10 0000.0000.0012 dynamic 0 F F 200.0.30 © 2012 Cisco and/or its affiliates. All rights reserved. B-DC1, Connect 2013 Cisco and/or its affiliates. All rights reserved. 10 0000.0000.0013 © 2010 dynamic 0 F F 200.0.30

S10

S20

S30

S40

po1 po2 po3 po4

FabricPath A

S200 Cisco Connect

B

16

16

MAC adresy se FP učí konverzací Optimalizace zdrojů – učí se pouze potřebné MAC adresy 250 MACs

250 MACs

500 MACs

500 MACs

MAC

IF

L2 Fabric

2/1

B MAC

500 MACs

500 MACs

250 MACs

250 MACs

•  Všechny MACs na všech

přepínačích •  Problémy se škálovatelností

ve velkých L2 sítích B-DC1, Connect 2013

IF

B

S11

STP Domain


MAC

A

IF

C

3/1

A

S11

C

  Lokální MAC: Source-MAC Learning pouze z provozu na CE portech   Vzdálená MAC: Source-MAC Learning pro provoz přijatý přes FP porty


Cisco Connect

17

17

L2 Multi-destination s FabricPath Unknown Unicast, Broadcast a Multicast

 Multidestination Tree –

Root pro strom #1

několik pro danou topologii

Root pro strom #2

Root pro strom #3

Root pro strom #4

•  Všechny switche mají

stejnou topologii těchto Trees Ingress switch rozhoduje, který Tree se použije a zapíše do záhlaví

L2 Fabric

•  Multicast data rozkládána

mezi tyto Trees A

C

FabricPath Forwarding: Broadcast

Tree #

IF

1

L1, L5, L9

Root for Tree #1 S1

S2

L2 L1

L5

S3

L3

L6

L4

L7

L10 IF

1

L1, L2, L3, L4 MAC A

IF 1/1

S11

B-DC1, Connect 2013

V tomto okamžiku se switch neučí MAC. Cílová MAC je neznámá S42 MAC

MAC

IF

IF

3/1 Decap

1/1 Decap


L12

L2 Fabric

S12

Encap

A

L11

L9

L8

Tree #

S4

B


C FabricPath Port 19 Cisco Connect 19 CE Port

FabricPath Forwarding: Unknown Unicast

Tree #

IF

1

L1, L5, L9

Root for Tree #1 S1

L1

Tree #

IF

1

L1, L2, L3, L4

HIT!

MAC

IF

A

1/1

C

S42

S11 Decap

B-DC1, Connect 2013

L2

S3

L3

L6

L7

L4 L10

L2 Fabric

S12

MAC

1/1

S4

L8 L11

L12

L9

IF

3/1 Encap

Decap A


L5

S2

B


S42 MISS

Tree #

IF

1

L9

MAC

IF

C

3/1

C FabricPath Port 20 Cisco Connect 20 CE Port

vPC Enhancement for FabricPath MAC Table

MAC Table

B

A è ???

B

A è S4

S3

S3

L2 Fabric

L2 Fabric S3 S1 B A

Payload

vPC

S1

S3 S2 B

A

Payload

S2 MAC Table

B A

Payload

S3 S4 B

A

vPC+

Payload

S3 S4 B

S1

Payload

S2 MAC Table B è S3

B è S3

S4

A

For Switches at L2 Fabric Edge

A

B

A

Payload A

•  vPC is still required to provide active/active

  Each vPC domain is represented by an unique ‘Virtual Switch’ to the rest of L2 Fabric

•  However, MAC Table only allows 1-to-1

  Switch ID for such ‘Virtual Switch’ is then used as Source in FabricPath encapsulation

L2 paths for dual-homed CE devices or clouds mapping between MAC and Switch ID © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


Cisco Connect

21

21

Ohraničení Spanning Tree

FabricPath (L2 IS-IS)

L2 Fabric Classical Ethernet (STP)

       

STP Domain 1

STP ✖Domain 2

FabricPath Port CE Port

L2MP Core vypadá jako jeden bridge pro všecha připojená CE zařízení STP BPDUs jsou zpracována a terminována na CE portech Smyčky mimo L2 Fabric jsou blokovány v jednotlivých STP doménách L2 Fabric by měl být root pro všechny STP domény.

B-DC1, Connect 2013

© 2009 Cisco Systems, Inc. All rights reserved.

22

Konfigurace FabricPath •  Žádná konfigurace L2 IS-IS •  Jednoduché použití – pouze 3 CLI příkazy jsou třeba ke

spuštění FabricPath

N7K(d)# feature-set fabricpath N7K(config)# fabricpath switch-id <#> N7K(config)# interface ethernet 1/1 N7K(config-if)# switchport mode fabricpath

L2 Fabric


B-DC1, Connect 2013


FabricPath Port 23 Cisco Connect CE Port 23

Shrnutí FabricPath je jednoduchý a zachovává výhody L2 Transparentní vůči L3 protokolům Žádná adresace, jednoduchá konfigurace a nasazení

FabricPath je rozšiřitelný Může rozšířit L2 doménu bez rizik dosud s tímto krokem spojených (frame routing, TTL, RPFC)

FabricPath je efektivní Plné využití dostupného pásma (ECMP) Optimální cesta mezi uzly

Overlay Transport Virtualization propojení DC na L2 © 2013 Cisco and/or its affiliates. All rights reserved.

Cisco Connect

25

Typické důvody pro L2 mezi DC •  Geografické clustery •  Migrace •  Mobilita VM •  Rozšíření kapacity DC •  IP adresy napevno v aplikacích

OTV Data Plane: jak funguje

3

MAC TABLE VLAN

MAC

100

1 Layer 2 Lookup

100

MAC 1 OTV

IF Eth 2

MAC 2

Eth 1

100

MAC 3

IP B

100

MAC 4

IP B

IP A

MAC 1  MAC 3

MAC 1


B-DC1, Connect 2013

Transportní Infrastruktura

OTV

2 Encap

MAC 1  MAC 3

IP A  IP B

West Site


MAC TABLE

Decap 4

MAC 1  MAC 3

East Site

VLAN

IP B

100

MAC MAC 1

OTV

IP A  IP B

IF IP A OTV

100

MAC 2

IP A

100

MAC 3

Eth 3

100

MAC 4

Eth 4

MAC 1  MAC 3

5 Layer 2 Lookup

6

MAC 3

Cisco Connect

27

27

Řídící vrstva OTV (Control Plane)

Zjišťování sousedů, sestavování sousedností

  Hranční zařízení (OTV Edge Devices) nejprve musí navázat vzájemnou asociaci   Asociace může být navázána pomocí: multicast-enabled transportní infrastruktury unicast-only transportní infrastruktury

B-DC1, Connect 2013


28

Asociace zařízení – Multicast

Control Plane

OTV sousednost sestavena přes multicast skupinu v páteři

Control Plane

OTV

OTV IP B IP A

Západ

IGMP Join

IGMP Join

Core IGMP Join


B-DC1, Connect 2013

Východ

Control Plane

OTV


IP C

Jih Cisco Connect

29

29

Asociace zařízení – Unicast 1  2  3  4  5 

1. Jedno z OTV Edge Devices (ED) je nakonfigurováno jako Adjacency Server (AS)*. 2. Všechna ED se registrují k AS svým site-id a IP adresou. 3. AS sestaví seznam zařízení a jejich parametrů: overlay Neighbor List (oNL). 4. AS zašle unicastem oNL všem zařízením. Site 3 Site 2 5. Každé zařízení potvrdí příjem OTV

OTV

oNL Site Site Site Site Site

1, 2, 3, 4, 5,

Site 1 IP IP IP IP IP

A B C D E

Site

B 2, IP

IP C

Pouze unicast transport

oNL oNL

IP A

* Může být i redundantní pár B-DC1, Connect 2013

, IP C

OTV

Adjacency Server Mode


IP B

Site3


OTV

IP D

Site 4

Site5, IP

E

OTV

IP E

Site 5 Cisco Connect

30

30

OTV zapouzdření •  OTV přidává 42 bytů IP hlavičky •  OTV shim header obsahuje VLAN ID, overlay number a CoS

DMAC

802.1Q

6B

20B

802.1Q

Eth

OTV Shim

IP Header VLAN

6B

Ether Type 2B

ToS

SMAC

CoS

DMAC

SMAC

8B

Payload

CRC Original Frame

4B

42 bytové zapouzdření © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


Cisco Connect

31

31

OTV Control Plane: Učení se MAC adresám •  Pokud se Edge device naučí novou MAC adresu, pošle tuto informaci i

ostatním zařízením participujícím na OTV •  Jedna informační zpráva může obsahovat několik MAC adres •  Multicast používá jednu zprávu pro vyrozumění všech zařízení 4 VLAN 3 New MACs are learned on VLAN 100 Vlan 100

1 OTV aktualizace je replikována páteří

MAC B

WestMAC C

2

100

MAC A

IP A

100 OTV 100

MAC B

IP A

MAC C

IP A

IP B

IP A 3 IP C

OTV te Upda

Vlan 100

IF

MAC A OTV

Vlan 100

3

MAC

OTV

VLAN

East MAC

IF

100

MAC A

IP A

100

MAC B

IP A

100

MAC C

IP A

4

South © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


Cisco Connect

32

32

Spanning Tree a OTV Nezávislost lokalit

OTV nemá vliv na topologii STP v lokalitě Každá lokalita je vlastní STP doménou Toto je vlastností OTV a nevyžaduje zvláštní konfiguraci

BPDUs neprojdou


B-DC1, Connect 2013

OTV


OTV

L3 L2

BPDUs neprojdou

Cisco Connect

33

33

Unknown Unicast a OTV •  OTV nepoužívá flooding pro propagaci MAC adres •  Unknown unicast: žádný flooding a tudíž ani forwarding přes OTV •  Předpokládá se, že každý host vysílá nějaký provoz a není striktně adresným

příjemcem unicast provozu

MAC TABLE VLAN OTV

OTV

MAC

IF

100

MAC 1

Eth1

100

MAC 2

IP B

-

-

-

L3 L2

No MAC 3 in the MAC Table

MAC 1  MAC 3 © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


Cisco Connect

34

34

Konfigurace OTV s multicastem Single PIM-SM/bidir group used for OTV control plane communication (hellos, routing updates)

interface Overlay0 otv control-group 239.1.1.1 otv data-group 232.192.1.0/24 interface Ethernet x/y [ description – OTV Join Interface] ip igmp version 3


B-DC1, Connect 2013


SSM group range used to carry multicast data plane traffic between sites IGMPv3 used to join the SSM groups in the transport. The OTV ED joins these groups as a simple host

Cisco Connect

35

35

Shrnutí •  OTV je vhodné pro propojení dvou a více DC na L2 přes L3

infrastrukturu

•  Multihoming v jednotlivývh DC •  Transparentní pro koncové stanice •  Efektivní řešení Spanning Tree problematiky •  Jednoduchá konfigurace a správa •  Podpora mobility koncových stanic


B-DC1, Connect 2013


Cisco Connect

36

36

LISP ... když servery cestují DC 2


Cisco Connect

37

Stejná subsíť na více lokalitách?

•  Směrování provozu do a z lokality Optimální cesta do lokality Default gateway – kde a proč? Služby sítě (loadbalancing, firewalling, ...) – kde a proč?

•  S L2 propojením i BEZ L2 propojení

Location Identity Separation Protocol Co myslíme “lokalitou” a “identitou”?

Dnešní IP adresy představují jak ID, tak informaci o lokalitě Internet

x.y.z.1 Adesy IPv4 or IPv6 zařízení představují identitu a lokalitu

x.y.z.1 Adresa IPv4 nebo IPv6 představuje pouze identitu location je zde !

w.z.y.9

B-DC1, Connect 2013

LISP odděluje funkci ID od lokality

Internet a.b.c.1


Když se zařízení přesune, získá novou IPv4 nebo IPv6 adresu pro novou identitu a lokalitu

e.f.g.7

x.y.z.1

Když se zařízení přesune, zachová si svoji IPv4 nebo IPv6 adresu. Má stejnou identitu

Jen location se změní © 2010 Cisco and/or its affiliates. All rights reserved.

Cisco Connect

39

39

LISP – součásti, role a adresace EID Space

LISP role • 

• 

• 

Mapping DB

Tunnel Routers - xTRs • 

Edge zařízení zapouzdřují a odpouzdřují

• 

Ingress/Egress Tunnel Routers (iTR/eTR) Zajišťuje mapování RLOC na EID

• 

Rozprostřená mezi více Map Serverů (MS)

• 

MS může spojovat přes ALT network

Proxy Tunnel Routers - PxTR • 

komunikace mezi LISP a nonLISP oblastmi

• 

Ingress/Egress: PiTR, PeTR

ALT

PxTR

EID to RLOC Mapping DB • 

iTR

Non-LISP

eTR

RLOC Space

EID Space

Adresní prostory • 

EID = End-point Identifier • 

• 

Host IP nebo prefix

RLOC = Routing Locator • 

IP adresa směrovačů v páteři

LISP – cesta paketu Jak LISP funguje?

3

EID-‐preﬁx: 10.1.0.0/24

Mapping 1

Locator-‐set:

Entry DNS entry: D.abc.com A 10.1.0.1

Non-‐LISP site

Non-‐LISP 172.16.1.1, site priority: 1, weight: 50 (D1) 172.16.2.1, priority: 1, weight: 50 (D2)

Pravidla určuje cílová lokalita

10.3.0.0/24

LISP site

S

2

172.16.10.1

10.3.0.1 -‐> 10.1.0.1

4.4.4.4

IP Network

4

172.16.10.1 -‐> 172.16.1.1 10.3.0.1 -‐> 10.1.0.1

PiTR

ITR

172.16.1.1

172.16.2.1

3.3.3.3 EID-‐to-‐RLOC mapping 2.2.2.2 1.1.1.1 172.16.3.1 172.16.4.1

ETR 5

10.3.0.1 -‐> 10.1.0.1

West-‐DC © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013

D

10.1.0.0/24


East-‐DC 10.2.0.0/24 Cisco Connect

41

41

LISP Overview

LISP Header Format

draft-ietf-lisp-05

Outer IP Header (20 Bytes): Router supplied RLOCs UDP Header (8 Bytes) LISP Header (8 Bytes) Inner IP Header: Host supplied IDs

Overall IP MTU Increase: 36 Bytes

Použití LISP

Jedna architektura, různá využití

Efektivní Multi-Homing

Podpora přechodu na IPv6 v6

Internet LISP Site

•  • 

v6 services

LISP routers

LISP router

v6

IP Portability Ingress Traffic Engineering without BGP

Mobilita LISP site

LISP site

IP Network

IP Network

East-‐DC

  Reduced CapEx/OpEx   Large scale Segmentation © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013

IPv6 Internet

  v6-over-v4, v6-over-v6   v4-over-v6, v4-over-v4

Multi-tenancy and VPNs

West-‐DC

IPv4 Internet v4 v6

LISP router


West-‐DC

   

East-‐DC

Cloud / Layer 3 workload moves Segmentation Cisco Connect

43

43

Mobilita virtuálních počítačů

Propojení virtualizovaných datových center IP Mobilita:

Multi-tenancy/segmentace:

LISP

Segment-IDs: LISP, FabricPath a OTV OTV

OTV

OTV

L2 Domain Elasticity: vPC, FabricPath/TRILL OTV LAN extenze OTV OTV

VN-link návěští

OTV

Virtualizace zařízení: VDCs, VRF zdokoknalení MPLS VPN

Přehled o VM VN-link, Port Profiles

Umístění výpočetních zdrojů je pro uživatele transparentní © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


Cisco Connect

44

44

Mobilita s LISP - scénáře S LAN Extension Non-‐LISP Site

Bez LAN Extension

LISP Site

LISP Site

xTR Mapping DB IP Network

DR LocaUon or Cloud Provider DC

Mapping DB

Internet or Shared WAN

LAN Extension LISP-‐VM (xTR) West-‐DC

xTR

LISP-‐VM (xTR) East-‐DC

West-‐DC

East-‐DC

Směrování pro Extended Subnets

IP mobilita mezi subsítěmi

Datová centra active-active

Disaster Recovery

Distribuované clusterymohou být Aplikační servery jedné aplikace distribuovány

Cloud Bursting Aplikační servery jedné aplikace musí být ve stejné lokalitě


B-DC1, Connect 2013


Cisco Connect

45

45

LISP Sites vs. Data Center Sites With or Without Extended Subnets Without Extended Subnets Different subnets  Different LISP sites A

B

C

D

A LISP site = A DC site East-‐DC

West-‐DC

Move across DC/LISP sites

10.1.0.0 /16

10.2.0.0 /16

X

Y

LISP site DC site

Z

LISP site DC site

With Extended Subnets A

Single subnet  Single LISP site

B

Move within a LISP site and across DC sites

D

OTV

West-‐DC

One LISP site = Multiple DC sites

C

East-‐DC

10.1.0.0 /16

10.1.0.0 /16

X

DC site

Y

Extended LISP site

Z

DC site

Shrnutí •  LISP je v DC vhodný pro mobilitu virtuálních stanic long distance VMotion disaster recovery (se Site Recovery Managerem i bez) Je transparentní pro koncové stanice. •  Mimo DC umožňuje Internet multihoming IPv6 over IPv4 tunelling (a jiné kombinace)


B-DC1, Connect 2013


Cisco Connect

47

47

VXLAN ...když VLAN nestačí


Cisco Connect

48

Virtuální počítače a sítě •  Virtualizace dovoluje velkou koncentraci počítačů •  Počet VLAN je omezený (teoreticky 4096) •  Multitenant prostředí vyžaduje důkladnou separaci •  Některé modely nasazení virtualizace mají extrémní nároky na počet

VLAN

•  POD design s L3 oddělením a vzdálená datová centra vs. flexibilita

VMware vCloud Director

Organization 1

Organization m

Users

VMware vCloud Director

•  Nadstavba nad vSphere •  Vytváří virtuální datová centra

User Portals

Catalogs

Virtual Datacenter 1 (Gold)

VMware vShield

(VDCs) pro každého „zákazníka“

Security

Virtual Datacenter n (Silver)

•  Poskytuje samoobslužný portál VMware vCenter Server

VMware vCenter Server

VMware vCenter Server

VMware vSphere

VMware vSphere

VMware vSphere

Secure Private Cloud

vCloud API

IT Programmatic Control and Integrations

Public Clouds

Síťový model vDC

•  Sítě mohou být: Isolated – bez externí konektivity

Firma A

Fenced – konektivita přes gateway

VDC 1 vApp 1

VDC 2 vApp 1

vApp 2

“vApp1-I”(isolated)

“vApp2-F” (fenced)

Gwy

“VApp1-F” (fenced)

Directly Connected – stejná L2 síť

•  3 úrovně sítě

“vApp1-I” (isolated) “VApp1-F” (fenced)

Gwy

Gwy “Org-Net1”(isolated) “Org-Net2” (fenced)

vApp: Isolated nebo Fenced (VXLAN nebo VLAN backed) Org: Isolated, Fenced nebo Directly Connected (VXLAN nebo VLAN backed) External: Více organizací (VLAN backed)

Gwy

External-Net 1 (VLAN)


B-DC1, Connect 2013


Cisco Connect

51

51

vApps

Org síť

•  vCD nabízí katalog vApps •  Při použití vApps template, vApp

může zachovat MAC a IP adresaci

vApp

vApp Web Net vApp App Net

vApp DB Net

•  Duplicitní MACs v různých different

vApps vyžadují izolaci na L2

•  Duplicitní IP adresy vyžadují izolaci na

L2/L3 (NAT na externí IP adresy)

DB VM

App VM

Web VM

Edge Gateway

•  Užití vApps znamená explozi v počtu

izolovaných L2 segmentů


B-DC1, Connect 2013


Cisco Connect

52

52

L3 propojení

VLAN

•  Edge Gateway možnosti: vShield Edge Virtual ASA •  VPN nebo NAT u edge

gateway •  Mnoho segmentů nepotřebuje

L3 funkcionalitu


B-DC1, Connect 2013


VXLAN 3

vApp

VXLAN 2 VXLAN 1

DB VM

App VM

Web VM

Edge Gateway

Default gateway interface

NAT

Cisco Connect

53

53

VXLAN zapouzdření •  Tunel mezi VEMs

•  Ethernet over IP overlay network

VMs nevidí VXLAN ID

Celý L2 frame zapouzdřen do UDP 50 bytes overhead

•  IP multicast je použit pro L2

broadcast/multicast, unknown unicast

•  Obsahuje 24 bit VXLAN Identifier 16 M logických sítí

•  VXLAN může překračovat hranice Layer 3

•  Technologie nabídnuta IETF ke

standardizaci With VMware, Citrix, Red Hat, Broadcom, Arista, and Others

Outer MAC DA

Outer MAC SA

Outer 802.1Q

Outer IP DA

Outer IP SA

Outer UDP

VXLAN Encapsulation

VXLAN ID (24 bits)

Inner MAC DA

Inner MAC SA

Optional Inner 802.1Q

Original Ethernet Payload

Original Ethernet Frame

CRC

Princip VXLAN •  VXLAN port vypadá jako port

virtuálního switche a VXLAN je prezentována jako Port Group

•  Forwardování podobné Layer 2

bridge: Flood & Learn

VM

VM

VM

VM

VEM se učí VM’s Source (MAC, Host VXLAN IP) tuple

•  Broadcast, Multicast, and Unknown

Unicast Traffic VM broadcast & unknown unicast data jsou posílána jako multicast

VEM 1

VEM 2 Nexus 1000V

•  Unicast Traffic Unicast zapouzdřen a poslán přímo unicastem na cílový hypervisor podle VXLAN IP (Destination VEM) © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


Cisco Connect

55

55

Broadcast, multicast, unknown unicast

Web VM

DB VM

•  Zapoudření v Blue VXLAN ID •  Multicast na servery: Multicast Group 239.1.1.1

•  Blue & Red VXLANs sdíli 239.1.1.1 Multicast Group •  Všechny servery v Multicast Group 239.1.1.1

DB VM

Web VM

VEM zahodí, protože není VM s Blue VXLAN ID

Broadcast odeslán více serverům Broadcast doména je však respektovánav logické síti B-DC1, Connect 2013


56

Rozšiřování segmentů pomocí VXLAN VM

VM

VM

VM

Logické sítě napříč L3

VM

VM

Využívá všechny spoje v Port Channel s UDP

Rozšiřování přidáváním PODů

VM

Shrnutí •  VXLAN je technologie vhodná pro masivní využití oddělených VLAN s málo uzly prostředí virtuálních počítačů multitenant prostředí poskytovatelů IaaS cloud řešení •  L3 rozhraní dnes pouze na SW zařízeních •  Vyžaduje specifické vlastnosti SW switche v hypervisoru


B-DC1, Connect 2013


Cisco Connect

58

58

Virtualizované síťové služby


Cisco Connect

59

Řešení Cisco Unified Fabric

sítě s přehledem o VM / cesta ke cloudu OBTÍŽE PŘI VIRTUALIZACI SERVERŮ 1. vMotion přesouvá VMs mezi fyzickými porty—síťová pravidla se musí přizpůsobit 2. Chybí vhled nebo aktivní pravidla pro lokálně přepínaná data

Port Group

vCenter

3. Jsou nutná dělba práce při nastavování bezpečnostních pravidel mezi správci sítě a serverů

fyzické rozhraní přepínače © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


Cisco Connect

60

60

Sítě s přehledem o VM

VN-Link – infrastruktura pro VM VM VM

SWITCH SERVER

Nexus 1000V – v souladu s IEEE 802.1Q VM VM

SWITCH SÍŤOVÉ ZAŘÍZENÍ

vETH

vETH

SERVER

Virtualizace síťového rozhraní (Cisco VNTAG technologie - IEEE 802.1BR pre-standard) © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


Cisco Connect

61

61

Sítě s přehledem o VM: varianty přes 200 VM

VN-Link v SW Nevirtualizované aplikace © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013

přes 50 VM

VN-Link v HW

Virtualizované aplikace © 2010 Cisco and/or its affiliates. All rights reserved.

přes 50 VM

VN-Link v HW s VMDirectPath Cisco Connect

62

62

Sítě s přehledem o VM Nexus 1000V

Nexus 55x0

Software Hypervisor Switching

External Hardware Switching

Tagless (802.1Q)

Tag-based (Pre-standard 802.1Qbh)

Pružnost

Výkon, konsolidace

VM #1

Server

VM #2

VM #3

VM #4

VM #1

VM #2

Server

VM #3

VM #4

Hypervisor!

Nexus 1000V

VIC

Hypervisor" NIC"

NIC"

Nexus 1000V

Nexus 5500

LAN

Konektivita VM definována pravidly © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013

Mobilita síťových a bezpečnostních pravidel


Nepřerušený provoz Cisco Connect

63

63

Cisco Nexus 1000V Rozprostřený virtuální přepínač Server 2

Server 1 VM "" VM #1" #1"

VM "" VM #2" #2"

VM "" VM #3" #3"

VM "" VM #4" #4"

VM "" VM #5" #5"

VM "" VM #6" #6"

VM "" VM #7" #7"

Nexus 1000V " Nexus 1000V " VMware vSwitch VMware vSwitch Nexus 1000V DVS " VMW ESX"

VMW ESX"

VM "" VM #8" #8"

  Nexus 1000V zdokonaluje přepínání pro VM pro VMware ESX   Vlastnosti Cisco VN-Link:   Vlastnosti připojení podle definovaných pravidel   Mobilita síťových a bezpečnostních pravidel   Provoz bez přerušení

  Vidielnost a připojení během VMotion Lepší využití výhod virtualizace serverů


B-DC1, Connect 2013


Cisco Connect

64

64

Architektura Nexus 1000V Server 2

Server 1 VM " #1"

VM " #2"

VM " #3"

VM " #4"

VM " #5"

VM " #6"

VM " #7"

Server 3 VM " #8"

VM " #9"

VM " #10"

VM " #11"

VM " #12"

VEM VMware vSwitch

VEM Nexus 1000V DVS" VMware vSwitch

VEM VMware vSwitch

VMW ESX"

VMW ESX"

VMW ESX"

"

"

"

Virtual Supervisor Module (VSM) Ethernet   Virtual Virtual or Physical Module appliance(VEM) running Cisco OS (supports HA)přepínání na Zdokonaluje vlastnosti hypervisoru Performs management, monitoring, & configuration   Každá VM má vyhražený port   přepínače Tight integration with VMware Virtual Center   Soubor VEM = 1 DVS    


B-DC1, Connect 2013


Nexus 1000V Virtual Center

VSM Cisco Connect

65

65

Inteligence pro virtuální služby vPath – Virtual Service Datapath

Virtuální řešení ASA 1000V VSG •  Virtual Security Gateway

vWAAS

VSG

VSM

L2 Mode

vWAAS •  Virtual WAAS ASA 1000V •  Virtual ASA

L3 Mode

NX-OS Control Plane

vPath Virtual Service Datapath •  Navázání služeb (řízení toku dat) •  Odlehčení provozu: Fast-Path

VEM-1 vPath

Hypervisor

VEM-2 vPath

Hypervisor

•  Znalost VXLAN •  Service Chaining (vPath 2.0) © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


Cisco Connect

66

66

VSG a ASA Service Chaining :

Klient přistupuje zvenku k VM chráněné VSG a ASA VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VSG

3 2

Nexus 1000V Rozprostřený virtuální přepínač

vPath

Inside Outside

ASA 1000V ASA v cestě dat 1 © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013

Počáteční tok paketů


vPath Encap links Tok dat Cisco Connect

67

67



VM

VM

VM

VM VM

VM

VM

4. VSG Pravidla zavedeno do VEM VM

VSG

4 VM

VM

VM

VM

VM

VM

VM

VM

5


vPath

Inside Outside

ASA 1000V vPath Encap links © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


Cisco Connect

68

68



VM

VM

VM

VM VM

VM

VM

VM

Policy offloaded to VEM

VSG VM

VM

VM

VM

VM

VM


VM

VM

vPath

Inside Outside

Inline Enforcement

ASA 1000V

Tok dat po prvním paketu vPath Encap links © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013


Cisco Connect

69

69

Cisco Strategie: Multi-Hypervisor & Multi-Orchestrator Podpora platforem:

Správa Cloud prostředí

Cisco IAC

vCloud Director/ DynamicOps

System Center

Open Source

NSM

NSM

NSM

NSM

vPath

vPath

vPath

vPath

Nexus 1KV

Nexus 1KV

Nexus 1KV

Nexus 1KV

vSphere, Hyper-V, Xen, KVM

vSphere

Hyper-V

Open Source (Xen, KVM)

Virtuální síťová infrastruktura Hypervisor

Integrované systémy (FlexPod, Vblock, VSPEX)

Virtualizovaná infrastruktura


B-DC1, Connect 2013

SERVERY

SÍŤ

STORAGE

UCS Blades

Nexus 1000V

MDS

UCS Racks

Nexus 2/3/5/6/7K

Partner Products (EMC, NetApp)


Cisco Connect

70

70

Cisco Intelligent Automation for Cloud Cloud Service Providers

End Users

•  Široká orchestrace •  Rozšiřitelný servisní katalog •  Integrace s nástroji pro provoz a správu

Network Services Manager

Správa infrastruktury

Data Center Core Network & WAN

Compute

Network

vCloud Director MSCVMM

Multi-Cloud

Storage FlexPod

UCS

VSPEX

Fyzická instrastruktura © 2012 Cisco and/or its affiliates. All rights reserved.

B-DC1, Connect 2013

Hybridní cloud

Self Service portál


RHEV-M

Customer Choice

Partnerský ekosystém

IT Administrátoři IT provoz

Cisco Intelligent Automation For Cloud

Virtuální Infrastruktura Cisco Connect

71

71

Odolná, pružná a automatizovaná DC

Recommend Documents