Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Virtualizácia
v Enterprise sieťach
Martin Hronský
CCIE #20935
o Rozsah prednášky
• Technické znalosti na pochopenie
o Dôvody virtualizácie
• Definícia virtualizácie
o Sieť ako kritická platforma
o Typy technológií umožňujúce virtualizáciu:
• vlan segm + IP ACL
• Multi VRF CE
• EVN
• MPLS (L2, L3)
o Migrácia pri komplexných sieťach
Obsah
o Áno – virtualizácia LAN, MAN(Campus), WAN
• externá forma virtualizácie
o Nie – cloud/DC (CSR, Nexus & etc…)
• interná forma virtualizácie, security (FW)
Technické znalosti na pochopenie
o Úroveň CCNA
o znalosť MPLS VPN - L2 & L3
o Predstava o “business critical” aplikáciách vo vlastnej/zákazníckej
sieti
Rozsah prednášky
o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security Standard (PCI DSS) • ISO/IEC 27001 Systém manažérstva informačnej bezpečnosti • VDI • WiFi • technologické siete • inteligentné budovy • Služby cloudu <> užívateľ
o Virtualizácia = použitie technológií na logické oddelenie jednotlivých
typov prevádzky
Dôvody virtualizácie
o Sieť = jeden zo základov IT infraštruktúry
o Výpadok ktorej služby (aplikácie) by spôsobil vážny problém pre business ? Na ako dlho ?
o Výpadok siete === výpadok VŠETKÝCH aplikácií
o Konvergencia = čím rýchlejšia, tým menej problémov s app (a štastnejší admini :)
S využitím virtualizácie sa nesmie výrazne meniť
o Prínos virtualizácie - nové služby, bezpečnosť, finančný, “obchodný”
Sieť ako kritická platforma
o VLAN segmentácia + IP ACL
o Multi VRF CE
o EVN
o MPLS VPN (L2, L3)
Typy technológií umožňujúcich virtualizáciu
VLAN segmentácia + IP ACL
Campus
Campus w/ACL inbound
Campus w/ACL inbound & outbound
Multi VRF CE
o + jednoduchá technológia o + nenáročné na pochopenie o + prestup na FW o + ladenie cesty IGP metrikou
• + symetrická cesta o + rýchla konvergencia (IGP based) o + GRE pre Core transport
o - Nutnosť vytvárať sub-if or SVI pre každú vrf a linku • - slabá škálovateľnosť
o - viac routing procesov o - náročná správa
o Vhodná pre:
• Access/distrib vrstva (staršie prvky) • Menšie siete (počet „zákazníkov“)
Multi VRF CE
o IP based on VRF-lite
o Key words: • vnet trunk | vnet tag
• route replication
• routing context
EVN = Easy Virtual Network
o VRF definition
EVN – Configuration
vrf definition HRUSKA vnet tag 101 address-family ipv4
o Edge interface – no changes
o Core interface – Multi VRF vs EVN
EVN – Configuration
Multi VRF
interface TenGigabitEthernet1/1 ip address 10.1.1.1 255.255.255.252 Interface TenGigabitEthernet1/1.101 encapsulation dot1Q 101 ip vrf forwarding HRUSKA ip address 10.1.1.1 255.255.255.252 Interface TenGigabitEthernet1/1.102 encapsulation dot1Q 102 ip vrf forwarding SLIVKA ip address 10.1.1.1 255.255.255.252
EVN
interface TenGigabitEthernet1/1 ip address 10.1.1.1 255.255.255.252 vnet trunk
EVN – Route replication
o No BGP needed
o Need to redistribute routes to IGP after replication
vrf definition HRUSKA address-family ipv4 route-replicate from vrf JABLKO all route-map jablko-prefix-map route-replicate from vrf SLIVKA all route-map slivka-prefix-map
EVN – Routing context
o Easier troubleshooting within VRF
Router# routing-context vrf HRUSKA Router%HRUSKA# Router%HRUSKA# show ip route # routing table output for VRF HRUSKA Router%HRUSKA# ping 192.168.100.1 # Ping result using VRF HRUSKA Router%HRUSKA# telnet 192.168.100.1 # Telnet to 192.168.100.1 in VRF HRUSKA Router%HRUSKA# traceroute 192.168.100.1 # Traceroute output in VRF HRUSKA
EVN – Restrictions
o EVN trunk - 802.1q encapsulation o Max 32 virtual networks o NO VRF-lite on EVN trunk
o NOT supported
• OSPFv3, ISIS, RIP • BGP route replication
o NOT supported on EVN trunk
• ACL • BGP • IPv6 • NAT • NetFlow
EVN – Supported platforms
Platform EVN
Catalyst 6500/Sup2T YES
Catalyst 4500/Sup6&7 YES
Catalyst 3k-X series CY2013
ASR1000 YES
EVN – Zhrnutie
o IP alternatíva k MPLS (L3VPN) o MC routing support (SM & SSM mode) in mVPN o Route replication o Routing context
o Prestupy medzi rozličnými zákazníkmi: o Pomocou route leaking o Pomocou externého zariadenia (router, FW) o Závislé od požiadaviek (výkon, doba konvergencie)
o + všetko z VRF-lite & o + zjednodušenie správy pre p2p linky
o + route leaking (mimo FW)
o - podpora len na novších platformách
o - viac routing procesov
o Vhodná pre:
• Access/distrib vrstva, kde nie je podpora MPLS • napr. menší Campus
EVN
MPLS VPN
MPLS VPN
o + všeobecne známa technológia o + veľmi dobrá škálovateľnosť o + prestup na FW o + jeden routing proces o + jednoduchá správa o + podpora L2VPN o - ladenie cesty pomocou BGP PA
• - problém s asymetrickou cestou o - nutnosť ladiť konvergenciu RP
o Vhodná pre:
• Distrib/core vrstva • Veľké siete vr. WAN • takmer neobmedzený počet „zákazníkov“
MPLS VPN
o Impact window = Migrácia + ďalšie „drobné“ zmeny o Typy prístupov :
• postupný • big bang
• Závislé na aplikáciách a SLA
o Na čo si dávať pozor • Základ = Príprava NMP a LLD, tím(obe strany): • Technicky:
• Login issue • HW failure • bug <> new feature
• Organizačne: • Small migration window • Unsynchronized team (customer, partner) • 3rd party issue • SLA measurement
Migrácia pri komplexných sieťach
Komplexné siete vyžadujú mix technológií umožňujúcich virtualizáciu
S komplexnosťou sietí rastie náročnosť riešenia a riziko výpadku pri migrácii
Migrácia = dokonalá súhra tímov partnera a zákazníka už od prípravnej fázy!
Takeaway
Ďakujem za pozornosť