Cisco ACI 4.0 революционная концепция сетевой ... · 6 BRKACI-1008 App...

© 2015 Cisco and/or its affiliates. All rights reserved. 1

Cisco ACI 4.0 революционная концепция сетевой инфраструктуры ЦОД.

Виктор ПодкорытовCisco SE

[email protected]

+38 044 3913600

Любая рабочая нагрузка, любой гипервизор, любое местоположение

Сервера

Cisco Forum Kyiv

2© 2013-2014 Cisco and/or its affiliates. All rights reserved.

Необходима НОВАЯ Операционная модель

Традиционная СЕТЕВАЯМОДЕЛЬ

SDN МОДЕЛЬНОВОЕ ПОКОЛЕНИЕ

Существующая Модель

2 Сети вместо 1… Едины Сеть и АвтоматизацияГибкость и HW производи-сть

Software-Based Network Virtualization

APP-CENTRICINFRASTRUCTURE

СЕТЬ КОРОБОК

Applications Drive Development Network

Cisco ACI на рынке

4

Заказчики по всему миру!

Site2Site1 L3 IP VXLAN

Сетевой ПрофильСервиса

Опорная сеть отделена от

Сетей заказчика

APIC Контроллер

LEAF

SPINE

APIC GUIApp/EPG/Infra

HEALTH SCOREEasy

troubleshootingNX-OS-

подобный CLI

ANSIBLELibraryПлагин для vCenter

Physical Networking

Nexus 2K

Nexus 7K

Hypervisors and Virtual Networking

Compute L4–L7Services

Storage Multi DC WAN and Cloud

Integrated WAN Edge

ACI: Целостная, автоматизированная и простая Сеть

Nexus 9000

СервераPhysical &

Virtual

ACIДелает Сеть Проще!

6BRKACI-1008

App Center AppsProgrammable Infrastructure: Open APIs for Value Added Applications

Get Your Fabric A Score On Security And Compliance.

Path Analysis

Connectivity and Compliance

Application Performance Monitoring

Discover Application Dependencies and Define Application Network Profile

Smart Tenant Deployment

Provisioning UCS uplinks from APIC with VMM integration (ESXi,

Hyper-V, etc

ACI UCS Integration

AlgoSec App Dynamics Tetration Cisco UCS

ECOSYSTEM Apps

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco

Как сложно ACI запустить?

SPINE

LEAF

Подключить все LEAF к SPINE1 Подключить Контроллеры к LEAF



Как сложно ACI запустить?

SPINE

LEAF

Подключиться Консолью к APIC2 Следуйте указаниям мастера начальной настройки



Как сложно ACI запустить? ACIДелает Сеть

Проще!


ACI: Как сложно это запустить?Adding elements to the ACI Fabric and automating VXLAN


ACI: Как сложно это запустить? What tasks & configuration did ACI just saved me from doing manually on every switch

Underlay Routed Network (IS-IS)

Overlay Network (VXLAN)

External to Internal Route redistribution (MBGP)

Multicast and Control Plane (MBGP)

Switch management (Inband or Out-of-Band options)

SSH to every switch, Assign IP Address, Enable Telnet/SSH, Add users on every switch/Create ACLs

(optional)(Times X Switches & Y VNIs)

ACI Автоматизирует задачиза секунды!

РАНЕЕ ACI


ACI: Единое и простое управление “Для всего Сетевого”


ACI Anywhere – Расширяем простоУправляем во множеством ЦОД как Одним из одного инструмента

ACI Multi-PODMultiple Networks (Pods) in a single Availability Zone

(Fabric)

ACI Remote-LeafPhysical Remote Leaf extends an Availability

Zone (Fabric) to remote locations

ACI Multi-SiteMultiple Availability Zones (Fabrics) in a Single Region ’and’ Multi-Region Policy

Management

ACI MulticloudACI Extensions to

Public Clouds

ACI vPodVirtual POD extends an

Availability Zone (Fabric) to remote locations on

standard VMs

ACI 2.0

ACI 3.0

ACI 3.1

ACI 4.0

CY19


ACI Multipod

Other Rooms/DCsActive-Active DCs Pod N

VMVMVM VMVMVMVM

Any Routed Network (IPN)

Multicast on IPN needed& Jumbo Frames (<=1550)

<= 50 ms RTT RequiredUp to 12 Pods, distributed gateway

Single central management (APIC)Automated L2 DCI VXLAN extension

VMVMVM VMVMVMVM

Pod 1 Pod 2

VMVMVM VMVMVMVM


ACI Multi-Site

Other Rooms/DCs

Site N

VMVMVM VMVMVMVM

Any Routed Network

No MulticastPhased Changes (Zones)

<= 1s RTT Required (MSO à APIC)Up to 12 Sites, distributed gateway

Single central management (MSO)Automated L2 DCI VXLAN extension

VMVMVM VMVMVMVM

Site1 Site 2

VMVMVM VMVMVMVM

Multi-Site Orchestrator (MSO)

3 VM Cluster


ACI Multi-SiteТребование к Оборудованию и ПО

• Поддерживаются все ACI LEAF

• Модульные SPINE с EX/FX картами

• Фиксированные SPINE 9364c или 9332x

• 1-е поколение SPINE (9336PQ)

1st Gen -EX -EX

Can have only a subset of spines connecting to

the IP network

1st Gen

Any Routed Network


ACI Remote Leaf

Satellite DC

Brownfield

Remote Location A

VM

VMVMVM VMVMVMVM

Any Routed IP Network

Telco/Co-lo

VMVMVM VMVMVMVM

Remote Location B

VMVMVM VMVMVMVM

Remote Location C

VMVMVM VMVMVMVM

Zero Touch Auto Discovery of Remote Leaf

<= 300 ms RTT RequiredUp to 20 Remote Locations

Single central managementAutomated L2 VXLAN extension

RL

RL

RL

Pod 1


ACI Remote LeafСеть удаленной серверной за 2 минуты

Zero Touch Auto Discovery of Remote Leaf

<= 300 ms RTT RequiredUp to 20 Remote Locations

Single central managementAutomated L2 VXLAN extension

1/52OSPF Area 0

IPN

Data Center 1 (ACI Pod 1) Data Center 2

(ACI Pod 2)

Nexus 9000(DC Network)

Nexus 9000(DC Network)

WAN

Nexus 9000(Remote Leaf Network)

172.16.12.1/24

ACI(Central Network Control

Plane)

IPN

VXLANL2 Extension

DHCP Request

DHCP Offer

Local Router

IP Network


ACI Remote Leaf


ACI Remote Leaf Требование к Оборудованию и ПО

ACI Основной ЦОДФиксированные SPINE• N9364C• N9332C

Модульные SPINE• N9732C-EX• N9736C-FX

Удаленная Серверная• N93180YC-EX• N93108TC-EX• N93180LC-EX• N93180YC-FX• N93108TC-FX• N9348GC-FXP• N9336C-FX2

Все оборудования начиная с –EX серии


ACI vPod

VMVMVM VMVMVMVM

Any Routed IP Network

Virtual Spine/Leaf Functionalityw/AVE integration Up to 64 AVEs per vPod Single central management

Automated L2 VXLAN extension

Bare Metal Cloud

Brownfield

Co-location/Remote DC

Data Center A

VM VM VM VM

Data Center B

Data Center C

ACI Virtual Edge

ACI VPod

ACI Virtual Edge

ACI VPod

ACI Virtual Edge

ACI VPod

Pod 1

Pod 2

Pod 3

Pod 4


ACI vPodТребование к Оборудованию и ПО

Основной ЦОДФиксированные SPINE• N9364C• N9332C

Модульные SPINE• N9732C-EX с N9K-C950x-FM-E(2)• N9736C-FX с N9K-C950x-FM-E(2)

Контроллер APIC• ACI 4.0+

Виртуальный vPoD• VMware vCenter начиная с 6.0• 2 сервера для управляющего кластера• ESXi 6.0 or 6.5

• Каждый 2x vSpine (x2) 2x vLeaf(x2) VM

х 4vCPU, 16 GB RAM 80 GB

• Каждый AVE (1 на ESXi) VM

2vCPU, 8 GB RAM and 8 GB storage


ACI vPod ЛицензированиеЛицензия Cisco ACI Virtual Edge

• До 64 AVE на vPod (8 в 4.0 релизе)• AVE НЕ лицензируется не в vPod J

Management Cluster

AVE (vPod Mode) – на Сервер




IP Network

AWS Region

EPG Web

EPG APPContract Contract EPG

DB SG Web

SG APPSG Rule SG Rule SG

DB

On-Premise DC

VMVMVM

Public Cloud

CSR-1Kv/Direct-Connect integration

Operational Consistency

Single Point Of Orchestration

Discovery & Visibility

Policy Translation

Multi-SiteOrchestrator (MSO)

ACI Multicloud

Site 1 Site 2

Скоро

VXLAN


Cisco Data Center Архитектурные бизнес выгодыБезопасная Простая Сеть

ACI ВЕЗДЕ

УнификацияIP, FC и FCoE

3 Секунды

откат на проверенную конфигурацию ACI (rollbacks)

БезопасностьМикро-сегментация везде! &

Multicloud consistent policy

200+Коммутаторов управляются

как ОДИН

МасштабируемостьACI supports any bandwidth 100M/1/10/25/40/50/100/400G

ИнтеграцияData Center Interconnect (VXLAN) and Monitoring

(at no additional cost)

79%Скорость настройки Сети

АвтоматизацияSwitch discovery &

configuration (even at remote sites)

Единообразная и автоматизированная настройка и мониторингДля Физической, Виртуальной и Контейнерной Сети1


SDN Сеть Ciscoдля ЦОД

БезопаснееАвтоматизированная конфигурация сети и / или политики на любом облаке

ПрощеДекларация намерения, трансляция в политику и проверка целостности

Правильная и оптимизированнаяНепрерывная проверка, понимание и видимость плюс корректирующие действия

ACI


ACI: Настраиваем по новому,... Проще!1-2-3-4-5

Создание TenantYou can ”partition” your ACI Fabric & have up to 3000 Tenants even

using the same IP subnets with no conflict

Физические Сети/VRFWe would purchase separate networks and assign

different IP subnets to each (Prod, Test, etc)

ПЕРЕД ACI

Test2.2.2.0

Production1.1.1.0IP Change

Tenant Test1.1.1.0

Tenant Prod1.1.1.0

ACIThe network

made simple


ACI: Настраиваем по новому,... Проще!Easy as 1-2-3-4-5 Создаем Теннант:

1



Create Application ProfilesAn Application Profile is a graphical representation of our network configuration. Think of it as a “folder of VLANs” at the Fabric level.

A Tenant may have multiple Application Profiles

Unclear network connectityShow VLAN would show all and every VLAN per-Switch

without understanding how they connect between each other

БЫЛО ACI

ACIThe network

made simple

Switch 1

Switch 2

Switch 5

Switch 6

Application Profile App


Инновационный подход к описанию сети

Что такое Политика Приложения?

Группа: Набор VM или физических серверов с одинаковой политикой1.

Контракт: Набор правил (ACL) взаимодействия между группами2.

Сервисная Цепочка: Набор сетевых сервисов между группами3.

OUTSIDE

WEBAPPDBCRM APP

SLBF/WADC


ACI: Настраиваем по новому,... Проще!1-2-3-4-5 Создаем Сетевой Сервис Приложения

2



Создаем End Point Groups (EPGs)We will create an EPG and name it just as we would with a VLAN. You may also add one Bridge Domain per EPG with an IP address (just like

an SVI) in case you want ACI Anycast Gateway functionality

Создаем VLANAdd VLANs per Switch, name each of them and then

configure trunks to extend connectivity. Additionally configure HSRP/VRRP for Gateways at the distribution/core layer

БЫЛО ACI

Создаем Группу Серверов

Collapsed Core

Access Layer

HSRP/VRRPGateways

802.1q

Switch(config)#vlan 1Switch(config-vlan)#name NetweaverSwitch(config)#vlan 2Switch(config-vlan)#name HANASwitch(config)#int e1/1Switch(config-if)#switchport mode trunkSwitch(config-if)#switchport trunk allowed vlan 1-2

VXLAN

Anycast GW

EPG Netweaver

EPG HANA

Switch(config)#feature hsrpSwitch(config)#interface vlan 1Switch(config-if)#ip address 1.1.1.253 255.255.255.0Switch(config-if)#no shutSwitch(config-if)#hsrp 1Switch(config-hsrp)#ip 1.1.1.1 255.255.255.0Switch(config-hsrp)#priority 100Switch(config-hsrp)#preemptSwitch(config-hsrp)#no shutSwitch(config)#interface vlan 2Switch(config-if)#ip address 2.2.2.253 255.255.255.0Switch(config-if)#no shutSwitch(config-if)#hsrp 2Switch(config-hsrp)#ip 2.2.2.1 255.255.255.0Switch(config-hsrp)#priority 100Switch(config-hsrp)#preemptSwitch(config-hsrp)#no shut

BD 1.1.1.1 BD 2.2.2.1

Spine Layer

Leaf Layer

3


ACI: Настраиваем по новому,... Проще!1-2-3-4-5 Создаем End Point Groups (EPGs)

3



Создаем КонтрактыWe will create a Contract to specify how 2 EPGs may talk between

each other. This contract will be pushed to the whole fabric (physical, virtual, etc) consistently. NO complex IP + Ports to specify like ACLs

Создаем ACL per Switch/PortSpecify the type of traffic you want each switch to allow

БЫЛО ACI

ACIThe network

made simple

Collapsed Core

Access Layer

HSRP/VRRPGateways

802.1q

Switch(config)#ip access-list extended name SAP_POLICYSwitch(config-acl)#10 permit icmp any anySwitch(config-acl)#20 permit tcp any any eq 80Switch(config-acl)#30 permit tcp any eq 80 anySwitch(config)#int e1/1Switch(config-if)#ip access-group SAP_POLICY inSwitch(config-if)#ip access-group SAP_POLICY out

VXLAN

Anycast GW

EPG Netweaver

EPG HANA

BD 1.1.1.1 BD 2.2.2.1

Spine Layer

Leaf Layer

Contract SAP_POLICYFilters

permit icmppermit tcp eq 80

(Bidirectional)

ICMP

FCoE


ACI: Настраиваем по новому,... Проще!Easy as 1-2-3-4-5 Создаем Контракты

4


ACI Политика по умолчанию “Zero Trust”

TRUST BASED ON LOCATION(Traditional DC Switch)

1 42 3

ZERO TRUST ARCHITECTURE(Nexus 9000 with ACI)

EPG 1“WEB”

EPG 2“APP”

1 2 3 4

Whitelist policy = Explicitly configured ACI contract between EPG 1 and EPG 2 allowing traffic between their membersACI architecture allows flexible EPG membership, enabling wide range of security policies


УПРОЩЕНИЕ ACL / интеграции сетевых сервисов

Cisco ASA / ASAv, SLB и т.п.

Файл с описаниемВозможностей Устройства

Device PackageDevice Specification<dev type= “f5”>

<service type= “slb”><param name= “vip”><dev ident“210.1.1.1”

<validator=“ip”<hidden=“no”><locked=“yes”>

FW/SLB/DDoSDevice Model

Device-Specific Python Scripts

APIC Script Interface

Script Engine

Device Interface: REST/CLI

Service Device

Что такое СервисныйГраф?

Web App

ACI Fabric

Device automation

Networkautomation

EPGApp

Service Graph

EPGWeb

Contract

39

Кластер FW между сайтами

Cluster

IPN

Интеграция FMC с APIC: Rapid Threat ContainmentFMC Remediation Module для APIC

DB EPG

ACI Fabric

App EPG

Infected App1

Шаг 4: APIC быстро перемещает заражённый узел в карантинную

микросегментационную uSeg EPG

Шаг 1: Заражённый узел начинает атаку, обнаруживаемую и блокируемую NGFW(v), FirePOWER

Services в ASA или FirePOWER appliance

Шаг 2: Событие о попытке вторжения генерируется и передаётся на FMC с

информацией о заражённом хосте

Шаг 3: На основании события атаки срабатывает remediation модуль для APIC, использующий API

для сообщения APIC о зараженном узле

1FMC

App2

2

34

uSegEPG


Certification ACI

Done

Done

Done

Vulnerability Scanners• Nessus, Norad• Corona, AppScan

Done(Ran every release)

Done

Security Certifications

План реагирования на угрозы безопасности

Ограничение распространения

Multiple levels of policy setsApplied globally

Задаем политики для Сети

Инструментарий (микро)сегментации Cisco ACI

EPG и контрактыМодель политик

ACI

Изоляция внутри EPG

Микросегментация с использованием

атрибутов

Интеграция с сервисами L4/L7

ACI Stateful Distributed Firewall with AVE

OpFlex

VM

VMware ESXi Server

VM VM VM

VMware ESXi Server

OpFlex

AVE AVE

VM VM

Provider B

VLAN ProtocolSource IP

Source Port

DstIP

DstPort

A TCP IP_A 1234 IP_B 80

A TCP IP_B 80 IP_A 1234

VLAN ProtocolSource IP

Source Port

DstIP

DstPort

B TCP IP_A 1234 IP_B 80

B TCP IP_B 80 IP_A 1234

Consumer A

SYN + ACK attack FAIL

Микросегментация на основании Active Directory

• Включить политику микросегментации на основе Active Directory.

• Динамически отслеживать активность AD и применять политику при входе пользователя в систему



Create L3 OutSpecify on which leaf and port of the fabric you want to enable external

routing. Those routes will be imported inside the ACI Fabric with BGP (auto-configured) and Spines will serve as Route Reflectors. L3 Outs need a

contract to communicate to EPGs and BDs need to be associated to L3 Outs

Configure IP RoutingConfigure the routing protocol you may need on each switch/router to learn routes coming from the outside

БЫЛО ACI

ACIThe network

made simple

Collapsed Core

Access Layer

HSRP/VRRPGateways

802.1q

Switch(config)#router ospf 1Switch(config)#interface e1/1Switch(config)#ip address 221.221.221.2 255.255.255.0Switch(config-if)#ip ospf network point-to-pointSwitch(config-if)#ip router ospf 1 area 0Switch(config-if)#ip ospf mtu ignore

BGP RRs

EPG Netweaver

BD 1.1.1.1

Spine Layer

Leaf Layer

L3Out InternetLeaf 1 Int 1/15

ospf area 0network p2pmtu ignoreIP 221.221.221.2/24

Contract Internet (EPGàL3Out)permit any (bidirectional) OSPF L3 Out

Router

RouterOSPF

1/15Leaf 1


ACI: Настраиваем по новому,... Проще!Easy as 1-2-3-4-5 Создаем L3Out

5


Миграция с Существующей Сети в ACIEasy as 1-2-3-4-5

Nexus 7000 (or L2/L3 Boundary)

Nexus 5000(or L2 Access/ToR)

VLAN 1 1.1.1.0/24

EPG 1EPG 2

HSRP/VRRPGateways Nexus 9000

Spine Layer

Nexus 9000Leaf Layer

APIC Cluster

VLAN 2 2.2.2.0/24

VXLAN802.1q 802.1q

VLAN 1 à EPG 1VLAN 2 à EPG 2

Существующая Сеть ЦОД

Новая ACI Фабрика

2) Assign EPG 2 to End-Point, communication within the same EPGàVLAN allowed by default

1) Redundant-NIC Server failover (disconnect standby NIC from legacy & connect to ACI)

3) Inter-EPG/EPGàVLAN Communication routed by existing gateway requiring a contract on ACI

Contractpermit ip any any

4) Migrate Gateway to ACI (AnycastGateway) when ready. Repeat 1-3L3

L3 Internet/WANContract

Anycast GW


Nexus 7K/5K and legacy networking migration

Integrate virtual & cloud

Simplify & secure your DC networkNon-disruptive At your own pace

Миграция с Существующей Сети в ACIEasy as 1-2-3-4-5

Nexus 7000 (or L2/L3 Boundary)

Nexus 5000(or L2 Access/ToR)

VLAN 1 1.1.1.0/24

EPG 1EPG 2

Nexus 9000Spine Layer


APIC Cluster

2.2.2.0/24

802.1q 802.1q

VLAN 1 à EPG 1VLAN 2 à EPG 2

Your existing network Your new ACI Fabric5) Once all servers are migrated to the ACI Fabric, you may remove your old gear

L3

Internet/WANContract

1 1.1.1.0/24

If you add more leaves or spines, APIC will auto-discover and auto-configure them. It is that SIMPLE!

VXLAN

Anycast GW


Миграция с Существующей Сети в ACI

Nexus 5000

EPG NETWEAVEREPG HANA

Nexus 9000Spine Layer


APIC Cluster

802.1q

Your existing network Your new ACI Fabric

VXLAN

VLAN 2143IP Address 1.1.1.101

Anycast GW

DEMO-NETWEAVER1.1.1.2

DEMO-HANA2.2.2.33

VLAN 2143 àEPG NETWEAVER


VM VMUCS C240

FCoE

Data Center 1 (ACI Site 1)


FC

Intersight Intersight

Nexus 9000(LAN Network)

Nexus 9000(LAN Network)

VMWare Cluster

VXLANL2 Extension

ACIMultiSite Orchestrator

MDSMDS DCNM

UCS C240FCoE

Site Replicated

ISN

Целостная Безопасная и ЗакриптованнаяACI 4.0 – MultiSite Orchestrator 2.0

WAN

Cisco FTD Cisco FTD

WAN

CloudSec CloudSec

Service-Chaining One-Click EncryptionSimple provisioning Integrated L4-L7

Web Server 1IIS

Web Server 2Apache

Web Server 3IIS

Web Server 4Apache

v v v v

marketplace-1.cisco.com marketplace-2.cisco.com


Enhanced MonitoringPowered by ACI 4.0 – AppD & Network Insights

VM VMUCS C240FCoE



FC

Intersight Intersight

Nexus 9000 FX(LAN Network)

Nexus 9000 FX(LAN Network)

VMWare Cluster

MDSMDS

WAN WAN

Cisco FTD Cisco FTD

DCNM

UCS C240FCoESite Replicated

GSLB

Network Insights -Resources (NIR)

Network Insights –Resources (NIR)

Cloud Center

Tetration

NAE

CWOM

Optimized Resources Better visibility and correlationSecure Data Center

ACIMultiSite Orchestrator


Virtual Networks Physical Networks

100M/1/10/25/40/50/100/400G*

Cloud Containers

ACI4.0

LAN & SANFC NPV Support

Start SmallvAPIC/ACI Mini

On any hardwareACI vPod* (vSpine/vLeaf)

Always SecureCloudSec Encrypted VXLAN

*Post GAAny Scale, Any App, Anywhere

* *


Day 1 Day 2 Day 3 Day 4

• Test Drive (2 day ILT)• Who delivers it

• Firefly, GK

• Objective: Introduction

• Beginner• Understand how to

implement• ILT and e-learnings

• Learning @ Cisco• Skyline

• Coursera (soon)• NetAcad (soon)• Firefly, Lumos, etc

• Advanced• Understand how to operate

and troubleshoot• ILT

• Learning @ Cisco• Lumos

• Housley• Mira, OneCloud, etc

• Intermediate• Understand how to

implement and operate• ILT

• Learning @ Cisco• Lumos

• BTA, NIL, etc

ACI : Рекомендуемый путь обучения

ACIThe network made simple

Cisco ACI 4.0 революционная концепция сетевой ... · 6 BRKACI-1008 App...

Documents

Transcript of Cisco ACI 4.0 революционная концепция сетевой ... · 6 BRKACI-1008 App...