Cisco Connect 2018 – Software-Defined Access

Henrik Møll, CTO

Gustaf Hyllested Servé, System Engineer

12/4-2018

• Hvorfor er Conscia ”Early Adopters”

• Conscia og SDA

• Intent-based Network

• SDA Deep-dive

• SDA Lessons learned

2

Agenda

• Kunderelevans

• En troværdig rådgiver

• Dybere Cisco engagement

• Motivationsfaktor for vores konsulenter

• En sund forretningsmodel

3

Hvorfor er Conscia ”Early Adopters”

4

Conscia og SDA

Joint kunde PoC mellem

Cisco og Conscia

Cisco launch

Conscia EFTKunde 1

pilotprojekt

Conscia LAB Conscia EFT

Kunde 2 pilotprojekt

SDA lift-offAPIC EM EFT

Intent-based Network

Typiske udfordringer i traditionelle netværk

Løsning af problemertager lang tid

Kompleks at administrere

Svært at segmentere

Hele tiden flere og flere brugere,

og typer af endpoints.

Konstant stigning i antal VLANs

og IP-Subnets.

Mange steps (VM, Vlans, IP subnet)

bruger-login, komplekse

integrationer.

Mange steder at konfigurere og

deraf risiko for manuelle fejl.

Forskellige regler for trådløs og

kablet.

Ved ikke, hvor en bruger er, når der

skal løses problemer.

… Konvertere IT-tid til forretningsfokus

• Spare tid på netværkskonfiguration

• Forbedre tiden for løsning af problemer

• Fleksibilitet og agilitet

• Reducere konsekvenser af sikkerhedsbrister

• Reducere omkostninger ved driften af netværket

7

Software-Defined Access (SD-Access)Hvad nu hvis man kunne …

Intent-based Network Infrastructure

DNA Center

Analytics

Policy Automation

I N T E N T( H E N S I G T E R )

C O N T E X T

S E C U R I T Y

L E A R N I N G

Constantly learning, adapting and protecting.Oversættelse og validering af hensigter:Input: Forretningskrav og politikker (Hvad)Output: Netværkskonfiguration (Hvordan)

Automatiseret implementering:Konfiguration af netværksændringer på tværs af infrastruktur, med automatisering og/eller orkestrering

Kendskab til netværksstatus:Realtids netværksstatus for system (Hvem, Hvad, Hvor, Hvornår), konfiguration af netværksændringer på tværs af infrastruktur, med automatisering og/eller orkestrering

Det intuitive netværk

Sikring af regler og automatisk optimere/afhjælpe:Kontinuerlig validering (realtid) af hensigterne opretholdes, samt håndtering (blokere trafik, modificere kapacitet)

Software-Defined Access

Insights & Telemetry

AutomatiseretNetværkskompleks

Identitets-baseredeRegler & Segmentering

Sikkerhedsregel-definitioner er

afkoblet fra VLAN og IP-adresser

for at muliggøre hurtig opdatering af

regler

Automatisering på tværs af kablet

og trådløs for optimering af trafik-

flows og styrede arbejdsgange for

at sikre konsistens, der kan skalere

Analyse og indsigt i bruger- og

applikationsadfærd for proaktiv

problemidentifikation og -løsninger

12

SDN i en nøddeskal

Data-Plane

Control-Plane

Management-Plane

13

DNA udvider den traditionelle SDN-model

Policy-Plane

Control-Plane

Management-Plane

Data-Plane

Data

Insig

ht

/ Tele

metry

14

DNA – henover de traditionelle afgrænsninger i netværket

Campus CloudDC/ACI WAN

Data

Insig

ht

/ Tele

metry

Policy-Plane

Management-Plane

SDA Deep-dive – Byggeklodserne

• Switche

• Routere

• WLC

• AP

• DNA-C, NDP

• ISE

16

SDA - byggeklodser

• Fysiske switche med scale

• UADP 1 / 2.0 / 3.0 ASICs

• Catalyst 2960-X ikke understøttet

• Catalyst 9000-series med UADP2.0 ASICs og snart en model med UADP 3.0

• Catalyst 9300 edge-node

• Catalyst 9400 edge-node (modular switch)

• Catalyst 9500 border + control-plane-node (eller aggregation / intermediate node)

• Nexus 7700 / SUP2E / M3 large scale border-node

17

SDA byggeklodser - Switche

18

SDA byggeklodser – Switche fortsat… [hw pr0n]

• Flere supporterede switche (begrænsninger på supporterede line-cards/sups etc.). Vær opmærksom på scale!

• Cisco Catalyst 3K (3650/3850)

• Catalyst 4K (SUP8-E,SUP9-E)

• Catalyst 6500-E/6800 (SUP2-T/6-T/X6900-linecards)

• Catalyst 6840/6880

19

SDA byggeklodser – Switche fortsat...

• Afhængig af scale og use-case

• CSR1000v (control-plane, virtual router)

• ISR4000 (border og control-plane-node)

• ASR1000-X/HX (border og large-scale control-plane-node)

21

SDA byggeklodser - Routere

• Access-points - 802.11ac wave1 eller wave2 supporteret(vær opmærksom på caveats ift. wave1-APs)

• 1700, 2700, 3700 (wave1, some caveats)

• 1800, 2800, 3800 (wave2)

• Wireless LAN Controllers

• 3504

• 5520

• 8540

• WLCs fysisk placeret udenfor Fabric – ved hjælp af Multichassis EtherChannel(VSS/vPC) for redundans

22

SDA byggeklodser - Wireless

• DNA-Center appliance – en Cisco UCS-server

• Meget kraftig server, så den kanhåndtere store Campus-Fabrics – med Assurance

24

SDA byggeklodser – DNA-C

• Cisco Identity Services Engine server

• ISE med DNA Center for dynamisk mapping af brugere ogenheder til SGTs via pxGrid og REST APIs

• Usecase: Integration med ServiceNow

27

SDA byggeklodser – ISE

SDA Deep-dive – Fabric Components

30

Underlay

• Giver connectivity og transport mellem SDA devices

• SDA unaware!

• Eksempel - Internet er underlay for DMVPN

• IPv4 only (i dag)

• MTU 1550 (9k)

• Custom underlay

• Brownfield

• Non-Cisco

• Automatiseret underlay

• Greenfield

• PnP modul fra APIC-EM

• Benytter underlay

• Det er her, konnektiviteten i SDA skabes

31

Overlay

32

SDA – Fabric Components

33

SDA – Fabric Components – border node

35

SDA – Fabric Components – control-plane node (aka. cp)

36

SDA – Fabric Components – intermediate-node

37

SDA – Fabric Components – edge-node (aka. fe)

SDA Deep-dive – Policy Constructs

• Macro Segmentering

• Virtual Networks

• Micro Segmentering

• SGTs

• Contracts

• Policies

40

SDA (DNA) Policy Constructs

• Virtual Networks er top-level ”security containers”

• Implementeret som VRFs

• Inter-VN trafik bliver (i øjeblikket) forwardet og enforcet udenfor Fabric

• Fx ekstern firewall med interfaces i relevante VNs/VRFs

• Simpel use-case:

• Medarbejdere vs Guests

41

Macro Segmentering

42

Macro Segmentering

VN Orange VN Blue

Forwarding/Enforcement

B

E

• Segmentering indenfor et VN

• SGTs er Identifieren

• Et endpoint tilhører én SGT

• Uafhængig af IP-adressen

• To IP-adresser i samme subnet kan tilhøre forskellige SGTs

• Kan assignes statisk (pr switchport)

• Kan assignes dynamisk (dot1x/mab/ISE)

43

Micro Segmentering

• Policies knytter Contracts mellem SGT’er

• Fx Src SGT ”Employees” => Contract ”Permit something” => Dst SGT ”Servers”

• Uni-directional

• Optional - automatisk oprettelse af reverse policy

• Caveats apply! Det er ikke en statefull firewall!

45

Micro Segmentering

46

Micro Segmentering

VN Green

Forwarding/Enforcement

B

E

SGT Black SGT Blue

Policy BLACK-BLUE

src: BLACK dst: BLUE Contract: Permit-Something

Policy BLACK-BLUE-Rev

src: BLUE dst: BLACK Contract: Permit-Something

SDA Deep-dive – Protokoller

• Host mobility

• Abstraction

48

LISP - fordele

• Locator/ID Separation Protocol

• Routing architecture

• Seperation af address-space fraidentitet og lokation

• Endpoint Identifier (EID)

• IPv4 address

• IPv6 address

• MAC address

• Routing locators (RLOC)

• Loopback af SDA node

• Control Plane

• Map EIDs til nuværende RLOCs49

LISP Control Plane

53

LISP Devices

Border/CP Node

Fabric Edge Node

SDA WLC

• Det “Magiske” ved SDA!

• Indeholder VNI (VRF) og Group Policy (SGT)

• IETF Draft

54

VXLAN Data Plane

Map business intent to new policy model

Start with users and applications, map existing strategy to new

policy model loosely (w/ transition edge node/policy enforcer)

Migrate users and applications to new policy model

Migrate access networks to new policy model

61

Policy: Application-centric (micro segmentering)

T-minus X SDA deployed

Use DNAC to rapidly provision virtual networks

(VRFs) and subnets

Use external fusion device (firewall) to enforce policy on traffic flowing between

virtual networks

Leverage NDP to gain insight into the application

and traffic flows in the network

Formulate increasingly granular policies based on accumulated traffic insight

62

Policy: Network-centric (macro segmentering)

SDA deployed

SDA Lessons learned

• Policy-based access er helt sikkert fremtiden. Skal det skalere bør man kigge på SDA/DNA

• Start med et ISE-projekt, profilering af brugere osv. (hvis man ikke allerede er der)

• Lav en pilot / PoC - det er ny teknologi med mange bevægelige dele – bliv komfortabel med teknologien – evt. et hjørne af infrastrukturen, i prod.

• Vær opmærksom på roadmaps fra Cisco, ikke alle features er tilgængelige fra dag ét

• Kigger man ind i hardware-investeringer, så vælg SDA-ready hardware, byg evt. et lækkert underlay (routed access) hvis muligt (DNAC kan automatisere underlay provisionering)

64

SDA Lessons learned

Tak

65