Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security

Virtualizácia

v Enterprise sieťach

Martin Hronský

CCIE #20935

o Rozsah prednášky

• Technické znalosti na pochopenie

o Dôvody virtualizácie

• Definícia virtualizácie

o Sieť ako kritická platforma

o Typy technológií umožňujúce virtualizáciu:

• vlan segm + IP ACL

• Multi VRF CE

• EVN

• MPLS (L2, L3)

o Migrácia pri komplexných sieťach

Obsah

o Áno – virtualizácia LAN, MAN(Campus), WAN

• externá forma virtualizácie

o Nie – cloud/DC (CSR, Nexus & etc…)

• interná forma virtualizácie, security (FW)

Technické znalosti na pochopenie

o Úroveň CCNA

o znalosť MPLS VPN - L2 & L3

o Predstava o “business critical” aplikáciách vo vlastnej/zákazníckej

sieti

Rozsah prednášky

o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security Standard (PCI DSS) • ISO/IEC 27001 Systém manažérstva informačnej bezpečnosti • VDI • WiFi • technologické siete • inteligentné budovy • Služby cloudu <> užívateľ

o Virtualizácia = použitie technológií na logické oddelenie jednotlivých

typov prevádzky

Dôvody virtualizácie

o Sieť = jeden zo základov IT infraštruktúry

o Výpadok ktorej služby (aplikácie) by spôsobil vážny problém pre business ? Na ako dlho ?

o Výpadok siete === výpadok VŠETKÝCH aplikácií

o Konvergencia = čím rýchlejšia, tým menej problémov s app (a štastnejší admini :)

S využitím virtualizácie sa nesmie výrazne meniť

o Prínos virtualizácie - nové služby, bezpečnosť, finančný, “obchodný”

Sieť ako kritická platforma

o VLAN segmentácia + IP ACL

o Multi VRF CE

o EVN

o MPLS VPN (L2, L3)

Typy technológií umožňujúcich virtualizáciu

VLAN segmentácia + IP ACL

Campus

Campus w/ACL inbound

Campus w/ACL inbound & outbound

Multi VRF CE

o + jednoduchá technológia o + nenáročné na pochopenie o + prestup na FW o + ladenie cesty IGP metrikou

• + symetrická cesta o + rýchla konvergencia (IGP based) o + GRE pre Core transport

o - Nutnosť vytvárať sub-if or SVI pre každú vrf a linku • - slabá škálovateľnosť

o - viac routing procesov o - náročná správa

o Vhodná pre:

• Access/distrib vrstva (staršie prvky) • Menšie siete (počet „zákazníkov“)

Multi VRF CE

o IP based on VRF-lite

o Key words: • vnet trunk | vnet tag

• route replication

• routing context

EVN = Easy Virtual Network

o VRF definition

EVN – Configuration

vrf definition HRUSKA vnet tag 101 address-family ipv4

o Edge interface – no changes

o Core interface – Multi VRF vs EVN

EVN – Configuration

Multi VRF

interface TenGigabitEthernet1/1 ip address 10.1.1.1 255.255.255.252 Interface TenGigabitEthernet1/1.101 encapsulation dot1Q 101 ip vrf forwarding HRUSKA ip address 10.1.1.1 255.255.255.252 Interface TenGigabitEthernet1/1.102 encapsulation dot1Q 102 ip vrf forwarding SLIVKA ip address 10.1.1.1 255.255.255.252

EVN

interface TenGigabitEthernet1/1 ip address 10.1.1.1 255.255.255.252 vnet trunk

EVN – Route replication

o No BGP needed

o Need to redistribute routes to IGP after replication

vrf definition HRUSKA address-family ipv4 route-replicate from vrf JABLKO all route-map jablko-prefix-map route-replicate from vrf SLIVKA all route-map slivka-prefix-map

EVN – Routing context

o Easier troubleshooting within VRF

Router# routing-context vrf HRUSKA Router%HRUSKA# Router%HRUSKA# show ip route # routing table output for VRF HRUSKA Router%HRUSKA# ping 192.168.100.1 # Ping result using VRF HRUSKA Router%HRUSKA# telnet 192.168.100.1 # Telnet to 192.168.100.1 in VRF HRUSKA Router%HRUSKA# traceroute 192.168.100.1 # Traceroute output in VRF HRUSKA

EVN – Restrictions

o EVN trunk - 802.1q encapsulation o Max 32 virtual networks o NO VRF-lite on EVN trunk

o NOT supported

• OSPFv3, ISIS, RIP • BGP route replication

o NOT supported on EVN trunk

• ACL • BGP • IPv6 • NAT • NetFlow

EVN – Supported platforms

Platform EVN

Catalyst 6500/Sup2T YES

Catalyst 4500/Sup6&7 YES

Catalyst 3k-X series CY2013

ASR1000 YES

EVN – Zhrnutie

o IP alternatíva k MPLS (L3VPN) o MC routing support (SM & SSM mode) in mVPN o Route replication o Routing context

o Prestupy medzi rozličnými zákazníkmi: o Pomocou route leaking o Pomocou externého zariadenia (router, FW) o Závislé od požiadaviek (výkon, doba konvergencie)

o + všetko z VRF-lite & o + zjednodušenie správy pre p2p linky

o + route leaking (mimo FW)

o - podpora len na novších platformách

o - viac routing procesov

o Vhodná pre:

• Access/distrib vrstva, kde nie je podpora MPLS • napr. menší Campus

EVN

MPLS VPN

MPLS VPN

o + všeobecne známa technológia o + veľmi dobrá škálovateľnosť o + prestup na FW o + jeden routing proces o + jednoduchá správa o + podpora L2VPN o - ladenie cesty pomocou BGP PA

• - problém s asymetrickou cestou o - nutnosť ladiť konvergenciu RP

o Vhodná pre:

• Distrib/core vrstva • Veľké siete vr. WAN • takmer neobmedzený počet „zákazníkov“

MPLS VPN

o Impact window = Migrácia + ďalšie „drobné“ zmeny o Typy prístupov :

• postupný • big bang

• Závislé na aplikáciách a SLA

o Na čo si dávať pozor • Základ = Príprava NMP a LLD, tím(obe strany): • Technicky:

• Login issue • HW failure • bug <> new feature

• Organizačne: • Small migration window • Unsynchronized team (customer, partner) • 3rd party issue • SLA measurement

Migrácia pri komplexných sieťach

Komplexné siete vyžadujú mix technológií umožňujúcich virtualizáciu

S komplexnosťou sietí rastie náročnosť riešenia a riziko výpadku pri migrácii

Migrácia = dokonalá súhra tímov partnera a zákazníka už od prípravnej fázy!

Takeaway

Ďakujem za pozornosť

[email protected]

Documents

Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security