PLNOG 13: Piotr Jabłoński: First Steps in Autonomic Networking
Post on 26-May-2015
233 Views
Preview:
DESCRIPTION
Transcript
Autonomic Networking Pierwsze kroki
Piotr Jabłoński
Network Consulting Engineer
CCIE #19476, CCDE 2012::7
2
Source: http://www.ny times.com/2010/10/10/science/10google.html?_r=0
3
Sieci są bardziej złożone
Bezpośrednia konfiguracja urządzeń coraz mniej możliwa.
0
500
1000
1500
2000
2500
2003 2004 2005 2006 2007 2008 2009 2010
routers
lines/router
4
Złożoność operacyjna
operator
NMS/OSS
sieć fizyczna
5
operator
zarządzanie siecią
sieć fizyczna
Złożoność operacyjna
6
operator
zarządzanie siecią
sieć fizyczna
Złożoność operacyjna
Autonomic Networking oznacza: Minimalizacja interwerncji operatora Minimalizacja zależności od NMS
7
Podejście do zarządzania
Tradycyjne
• Konfiguracja • Monitorowanie • Raportowanie
• Routing
Autonomiczne
• Zarządzanie politykami/usługami • Raportowanie zagregowane
• Routing • Wykrywanie usług/urządzeń • Interakcje
8
Jak zapewnić komunikację?
Nowe urządzenie Proxy Registrar
“mój unikatowy ID urządzenia”
(802.1AR / SUDI)
“mój certyfikat domeny”
“nowe urządzenie x + ID”
Akceptacja?
Parametry domeny
dla nowego urządzenia
Dołączenie do domeny
Dołączenie do domeny
Certyfikat domeny dla nowego urządzenia
Jak węzły się komunikują bez
adresów IP?
Parametry domeny
dla nowego urządzenia
Certyfikat domeny dla nowego urządzenia
9
Demo
10
Zestawienie ACP – Registar
Registrar Zarządzanie
1. Włączenie funkcji Registrar 2. Dodanie domeny 3. (opcjonalnie) Lista dozwolonych
urządzeń oraz ich UID
11
Zestawienie ACP – Nowe urządzenie
Zarządzanie
Nowe urządzenie
Włączenie nowego urządzenia
Registrar
• Uruchomienie zero-touch: identyfikacja urządzenia poprzez UDI
• Jeżeli urządzenie jest na liście, to nie jest potrzebna interwencja operatora
• Jeżeli urządzenie nie jest na liście, wówczas konieczna jest ręczna
akceptacja urządzenia na bazie UDI.
12
Log: Device <udi> joined on device <udi> port <x> with IPv6 address xxx
Urządzenie otrzymuje swój domenowy
certyfikat
Zestawienie ACP – Nowe urządzenie
Zarządzanie
Nowe urządzenie Registrar
• Uruchomienie zero-touch: identyfikacja urządzenia poprzez UDI
• Jeżeli urządzenie jest na liście, to nie jest potrzebna interwencja operatora
• Jeżeli urządzenie nie jest na liście, wówczas konieczna jest ręczna
akceptacja urządzenia na bazie UDI.
13
Log: Device <udi> joined on device <udi> port <x> with IPv6 address xxx
Zestawienie ACP – Dodatkowe urządzenie
Zarządzanie
Router domenowy Registrar
Nowe urządzenie
• Uruchomienie zero-touch: identyfikacja urządzenia poprzez UDI
• Jeżeli urządzenie jest na liście, to nie jest potrzebna interwencja operatora
• Jeżeli urządzenie nie jest na liście, wówczas konieczna jest ręczna
akceptacja urządzenia na bazie UDI.
Włączenie nowego urządzenia
14
Log: Device <udi> joined on device <udi> port <x> with IPv6 address xxx Device <udi> joined on device <udi> port <x> with IPv6 address xxx
Zestawienie ACP – Dodatkowe urządzenie
Zarządzanie
Router domenowy Registrar
Nowe urządzenie
Urządzenie otrzymuje swój domenowy
certyfikat
• Uruchomienie zero-touch: identyfikacja urządzenia poprzez UDI
• Jeżeli urządzenie jest na liście, to nie jest potrzebna interwencja operatora
• Jeżeli urządzenie nie jest na liście, wówczas konieczna jest ręczna
akceptacja urządzenia na bazie UDI.
15
Autonomic Control Plane (ACP)
Budowany i zarządzany samoczynnie
Zgodny z topologią sieci
Niezależny od konfiguracji lub tablicy routingu
IPv 6 link local IPv 6 link local
Tunel szyfrowany VRF VRF
loopback loopback
16
Połączenie do ACP
Dołączenie urządzeń poprzez VRF
Wszystkie urządzenia mają pełny dostęp do ACP
Serwery też mogą być urządzeniami typu autonomic
VRF VRF
loopback loopback
Interface eth 2
autonomic connect
ipv6 address 2000::10/64
Tunel szyfrowany
17
Zalety ACP
Samoczynny
Bez konfiguracji
Bezpieczny
Oddzielny szyfrowany VPN (IPSec)
Niezależny routing
Zbudowany na bazie adresów link-local
Niezależna konfiguracja
Tylko certyfikat widoczny w “show running”
Widoczny
Dostępne komendy show, debug, itd.
Wirtualny kanał
Out-Of-Band
IPv 6 link local IPv 6 link local
VRF VRF
loopback loopback
Tunel szyfrowany
18
AN Dev 2 AN Dev 1
Autonomic Control Plane – Tunele
Autonomiczna warstwa kontrolna
Router# sh derived-config interface tunnel100000
Building configuration...
Derived configuration : 260 bytes !
interface Tunnel100000
vrf forwarding cisco_autonomic
no ip address no ip route-cache
ipv6 enable
tunnel source
FE80::A8BB:CCFF:FE00:C800 tunnel mode gre ipv6
tunnel destination
FE80::A8BB:CCFF:FE00:C900
end
Router#sh derived-config interface tunnel100000
Building configuration...
Derived configuration : 260 bytes !
interface Tunnel100000
vrf forwarding cisco_autonomic
no ip address no ip route-cache
ipv6 enable
tunnel source
FE80::A8BB:CCFF:FE00:C900 tunnel mode gre ipv6
tunnel destination
FE80::A8BB:CCFF:FE00:C800
end
19
AN Dev 2 AN Dev 1
Autonomic Control Plane – Routing Table
Autonomiczna warstwa controlna
Router#sh ipv6 route vrf cisco_autonomic
IPv6 Routing Table - cisco_autonomic - 4 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
B - BGP, R - RIP, H - NHRP, I1 - ISIS L1 I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP
EX - EIGRP external, ND - ND Default, NDp - ND Prefix, DCE - Destination
NDr - Redirect, RL - RPL, O - OSPF Intra, OI - OSPF Inter
OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1 ON2 - OSPF NSSA ext 2, ls - LISP site, ld - LISP dyn-EID, a - Application
RL ::/0 [210/0]
via FE80::A8BB:CCFF:FE00:C800%default, Tunnel100000%default
LC FD8C:2761:F548::D253:5185:5476/128 [0/0]
via Loopback100000, receive
RL FD8C:2761:F548::D253:5185:547A/128 [210/0]
via FE80::A8BB:CCFF:FE00:CA00%default, Tunnel100001%default
L FF00::/8 [0/0] via Null0, receive
Brak wpływu na
GRT
20
AN Dev 2 AN Dev 1
Autonomic Control Plane – Loopback
Autonomiczna warstwa kontrolna
Router#sh derived-config int loopback 100000 Building configuration...
Derived configuration : 160 bytes
! interface Loopback100000
vrf forwarding cisco_autonomic
no ip address
no ip route-cache ipv6 address FD8C:2761:F548::D253:5185:5476/128
ipv6 enable
end
Adres Loopback IPv6 – hash
nazwy urządzenia i
domeny
21
SDN + Autonomic Networking
Infrastruktura sieciowa
Instrumentacja wewnątrz sieci •Wspólny interfejs programowalny •Większa niezawodność •Automatyczne bezpieczeństwo •Lepsza kontrola pętli •Uproszczenie instrumentacji usług •Uproszczony dostęp do sieci
Zarządzanie usługami
Instrumentacja sieci
Tworzenie usług sieciowych
Konfiguracje/Raportowanie
Poziom biznesowy
Kontroler usług sieciowych
Operator
Serw ery aplikacyjne
22
Podsumowanie
Plug and Play
Zarządzanie usługą/siecią, a nie pojedynczymi węzłami
Globalny widok sieci
Zdecentralizowana inteligencja
Wbudowane bezpieczeństwo
Zautomatyzowane procesy OS
Proces AN
OS
Proces AN
Prostsze narzędzia do zarządzania
Globalny widok na sieć i urządzenia
AN – Autonomic Network, OS – Operating System
23
Linki do materiałów
www.cisco.com/go/autonomic/
A Framework for Autonomic Networking http://tools.ietf.org/html/draft-behringer-autonomic-network-framework
Autonomic Networking: Definitions and Design Goals http://tools.ietf.org/html/draft-irtf-nmrg-autonomic-network-definitions
Making the Internet Secure by Default http://tools.ietf.org/html/draft-behringer-default-secure
Bootstrapping Key Infrastructures http://tools.ietf.org/html/draft-pritikin-bootstrapping-keyinfrastructures
Autonomic Networking Configuration Guide, Cisco IOS Release 15S www.cisco.com/en/US/partner/docs/ios-xml/ios/auto_net/configuration/15-s/an-auto-net-15-s-book.html
Cisco IOS Autonomic Networking Command Reference www.cisco.com/en/US/partner/docs/ios-xml/ios/auto_net/command/an-cr-book.html
24
top related