Cisco Connect · Port 9 Leaf 3 * Proxy A Global Station Table содержит локальный кеш о подключенных хостах 10.1.3.35 Leaf 3 10.1.3.11 Leaf 1

Cisco Connect Москва, 2017

Цифровизация: здесь и сейчас

Связь территориально-распределенных ЦОД

Хаванкин Максим

Системный архитектор, CCIE [email protected]

© 2017 Cisco and/or its affiliates. All rights reserved.

Содержание

• Применение OTV в DCI дизайнах

• ACI Multipod

• Общая архитектура

• Требования к IPN

• Плоскости управления и передачи данных

• Отказоустойчивость кластера и APIC Standby

• Масштабируемое подключение ко внешним сетям

• Оптимизация входящего и исходящего трафика при помощи LISP

• Модель политик и микросегментация

• Интеграция с сервисными устройствами

• ACI Multi-Site

• VXLAN EVPN в распределенных ЦОД

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 3

Применение OTV в DCI дизайнах

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 4

Overlay Transport Virtualization (OTV)

Расширение L2 доменов по произвольной IP сети

Тёмная оптика, MPLS, IP VPN...

Поддержка нескольких ЦОД

Упрощение построения и эксплуатации Простота интеграции в существующие сети

Настройка за несколько команд

Высокая надёжность Изоляция доменов сбоев

Резервирование подключения сайтов без дополнительных усилий

Простое и надежное решение для связи ЦОД

Транспортная инфраструктура

OTV OTV OTV OTV

MAC TABLE

VLAN MAC IF

100 MAC 1 Eth 2

100 MAC 2 Eth 1

100 MAC 3 IP B

100 MAC 4 IP B

MAC 1 MAC 3

MAC TABLE

VLAN MAC IF

100 MAC 1 IP A

100 MAC 2 IP A

100 MAC 3 Eth 3

100 MAC 4 Eth 4

Layer 2 Lookup

6

IP A IP B MAC 1 MAC 3 MAC 1 MAC 3 Layer 2 Lookup

2 Encap

3 Decap

5

MAC 1 MAC 3 West Site Server 1 Server 3

East Site

4

7

IP A IP B

1

IP A IP B MAC 1 MAC 3

Передача данных в OTV

6

Передача пакетов между ЦОД

OTV – что нового Выбор вариантов инкапсуляции

Инкапсуляция по умолчанию для OTV - “IP GRE” (OTV 1.0)

Новая OTV инкапсуляция - “UDP VXLAN” RFC 7348 (OTV 2.5)

Формат OTV настраивается на VDC / Site

UDP инкапсуляция требует новых линейных карт (F3, M3)

Тип инкапсуляции должен быть одинаковым на всех связываемых при помощи OTV объектах

OTV-a(config)# otv encapsulation-format ip {gre | udp} # или IP GRE или IP UDP

BRKDCT-3000 7

ACI Multipod

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 8

Единый APIC кластер/домен Много APIC кластеров/доменов

Pod ‘A’ Pod ‘n’

MP-BGP - EVPN

Multi-Pod

…

L3

APIC кластер

Pod 1 Pod 2

ACI Fabric

Stretched Fabric

APIC Cluster

ACI Fabric 2 ACI Fabric 1

Multi-Fabric (with L2 and L3 DCI)

L2/L3

DCI

L3 Site ‘A’ Site ‘n’

MP-BGP - EVPN

Multi-Site (Q3CY17)

Multi-Site

Controller

Использование Cisco ACI в распределенных ЦОД

Использование VXLAN EVPN в распределенных ЦОД

Растянутая фабрика Изолированные фабрики

Pod ‘A’ Pod ‘n’

MP-BGP - EVPN

Multi-Pod

…

L3 VXLAN EVPN Fabric 2 VXLAN EVPN Fabric 1

Multi-Fabric (L2 и L3 DCI)

L2/L3

DCI

В этой презентации

отличительные особенности

VXLAN EVPN фабрики будут

выделяться таким образом

Единый APIC кластер/домен Много APIC кластеров/доменов

Pod ‘A’ Pod ‘n’

MP-BGP - EVPN

Multi-Pod

…

L3

APIC кластер

Pod 1 Pod 2

ACI Fabric

Stretched Fabric

APIC Cluster

ACI Fabric 2 ACI Fabric 1

Multi-Fabric (with L2 and L3 DCI)

L2/L3

DCI

L3 Site ‘A’ Site ‘n’

MP-BGP - EVPN

Multi-Site (Q3CY17)

Multi-Site

Controller

Использование Cisco ACI в распределенных ЦОД

Pod ‘A’

MP-BGP - EVPN

Единый APIC кластер

Несколько модулей (ACI Pod) связанных IP

сетью (Inter-Pod network), каждый состоит из

набора leaf и spine

Управлением единым кластером APIC

Единый домен управления и политик

Изоляция доменов отказов протоколов

control plane (IS-IS, COOP)

Инкапсуляция VXLAN между модулями

Сквозное применение политик

Pod ‘n’

Inter-Pod Network

…

IS-IS, COOP, MP-BGP IS-IS, COOP, MP-BGP

ACI Multi-Pod Обзор

ACI Multi-Pod Поддерживаемые топологии

Pod 1 Pod n

Web/App DB Web/App APIC кластер

…

Внутри ЦОД Прямое соединение двух ЦОД

Pod 1 Pod 2

Web/App DB Web/App APIC кластер

Dark fiber/DWDM (up to 10 msec RTT)

Много ЦОД через транспортную сеть Pod 1 Pod 2

Pod 3

3 ЦОД

Dark fiber/DWDM (up to 10 msec RTT)

L3

10G*/40G/100G

10G*/40G/100G

10G/40G/100G 10G*/40G/100G 10G*/40G/100G

10G*/40G/100G 10G*/40G/100G

10G*/40G/100G

10G/40G/100G

10G*/40G/100G

10G*/40G/100G

10G*/40G/100G

10G*/40G/100G

* 10G только с QSA адаптерами на Spine коммутаторах -EX

ACI Multipod: требования к IPN

Не управляется при помощи APIC, требуется отдельная настройка (day-0)

Топология IPN произвольная, все spine узлы к IPN подключать не обязательно

Основные требования:

Multicast BiDir PIM для передачи L2 BUM* трафика

OSPF для установления соседских отношений между spine и IPN для обеспечения связанности между VTEP

Поддержка Jumbo MTU (9150B) для обработки VXLAN инкапсулированного трафика

DHCP-Relay

Pod ‘A’ Pod ‘B’

Web/App DB Web/App

MP-BGP - EVPN

APIC Cluster

* Broadcast, Unknown unicast, Multicast

ACI Multi-Pod Требования к Inter-Pod Network (IPN)

16

ACI Multipod: плоскости управления и передачи данных

ACI Multi-Pod Автоматическое обнаружение Pod

Обнаруживание и

настройка всех

устройств в корневом

Pod

2

Настройка интерфейсов на узлах

spine смотрящих в IPN, а так же

запуск EVPN

3

Узел Spine 1 в Pod 2

подключается к IPN и

отправляет DHCP request

1 4

DHCP request передается

IPN устройством на APIC

в Pod 1

5

DHCP response возвращается

на Spine 1 после чего

выполняется его полная

автоматическая настройка

6

‘Корневой’

Pod 1

Единый APIC кластер

APIC узел 2

присоединяется к

кластеру

9

Обнаруживание и

настройка всех

устройств в локальном

Pod

7

APIC узел 2

подключается к узлу

Leaf в Pod 2

8 1

APIC узел 1 подключается

к узлу Leaf в ‘корневом’

Pod 1

Pod 2

1

Обнаружение остальных Pod по этому же алгоритму 10

Автоматическая

конфигурация всех

POD в VXLAN EVPN

недоступна,

частичная при

помощи PoAP

ACI Multi-Pod Плоскость управления IPN

Два разных пула IP адресов для интерфейсов VTEP назначаемых при помощи APIC каждому Pod

Суммарные маршруты для этих пулов объявляются в сторону IPN при помощи OSPF

Узлы Spine редистрибутят суммарные машруты для других Pod в локальные процессы IS-IS

Требуется для того чтобы локальные VTEP могли взаимодействовать с удаленными VTEP

Web/App DB Web/App APIC кластер

OSPF OSPF

10.1.0.0/16 10.2.0.0/16

IPN Global VRF

IP Prefix Next-Hop

10.1.0.0/16 Pod1-S1, Pod1-S2, Pod1-S3, Pod1-S4

10.2.0.0/16 Pod2-S1, Pod2-S2, Pod2-S3, Pod2-S4

Leaf Node Underlay VRF

IP Prefix Next-Hop

10.2.0.0/16 Pod1-S1, Pod1-S2, Pod1-S3, Pod1-S4

IS-IS в OSPF

взаимная

редистрибуция

ACI фабрика обеспечивает независимость адресов конечных узлов (end-point), или их

идентификаторов (identifier), от местоположения конечного узла которое определяется при

помощи VTEP адреса или “locator”-адреса

Передача данных внутри фабрики осуществляется между VTEP-ами (ACI VXLAN tunnel

endpoints) с использованием расширенного VXLAN заголовка, известного как ACI VXLAN

policy header

Отображение внутренних MAC и IP адресов на местоположение обеспечивается при

помощи адресов VTEP с опорой на распределенную базу данных COOP

ACI фабрик – интегрированный оверлей Decoupled Identity, Location & Policy

Payload IP VXLAN VTEP

APIC

VTEP VTEP VTEP VTEP VTEP VTEP

Организация распределенной базы о конечных хостах Inline Hardware Mapping DB - 1,000,000+ хостов

10.1.3.11 fe80::462a:60ff:fef7:8e5e 10.1.3.35 fe80::62c5:47ff:fe0a:5b1a

Forwarding Table на Leaf коммутаторе разделяется на две части между локальными

(directly attached) и глобальными записями

Таблица с глобальными записями на Leaf коммутаторе кеширует часть полной

глобальной таблицы которая хранится на Proxy-устройствах

Если адрес хоста не найден в локальном кеше, то пакет по умолчанию отправляется

на spine коммутатор, который должен иметь информацию обо всех хостах (до

1,000,000+ записей)

Local Station Table

содержит адреса

‘всех’ хостов,

которые напрямую

подключены к Leaf

10.1.3.11

10.1.3.35

Port 9

Leaf 3

Proxy A *

Global Station Table

содержит локальный

кеш о подключенных

хостах

10.1.3.35 Leaf 3

10.1.3.11 Leaf 1 Leaf 4

Leaf 6

fe80::8e5e

fe80::5b1a

Proxy Station Table содержит

адреса ‘всех’ хостов,

подключенных к фабрике

Proxy Proxy Proxy Proxy

ACI Multi-Pod Плоскость управления MP-BGP EVPN

MP-BGP EVPN используется для синхронизации информации о конечных хостах и (Endpoint - EP) и группах Multicast (для каждого BD регистрируется своя группа)

Все записи с удаленных Pod ассоциируются с адресом Proxy VTEP который должен маршрутизироваться глобально (не является частью Pod TEP Pool)

Один и тот же BGP AS во всех Pod

iBGP EVPN сессии между узлами spine в разных Pod

Full mesh MP-iBGP EVPN связанность между локальными и удаленными узлами spine (по умолчанию)

Опционально возможно настроить RR (рекомендация – один RR на каждый Pod для отказоустойчивости)

Единый APIC кластер

MP-BGP - EVPN

EP1

EP1 Leaf 1

Proxy A Proxy B

EP1 Proxy A

EP2 EP3

EP2 Leaf 3

Proxy B

Proxy B

EP3

EP4

EP4

EP2 Proxy A

Leaf 4

Leaf 6

EP3

EP4

COOP

Одна BGP ASN

Аналог протокола

COOP и

возможность

поддержки 1М+

хостов в VXLAN

EVPN фабрике

отсутствует

EP2 EP1

Proxy A Proxy B

Spine инкапсулирует

трафик в сторону

Proxy B Spine VTEP

3

EP1 Leaf 4

EP2 Proxy B

4

Spine инкапсулирует

трафик в сторону leaf

EP2 Leaf 4

EP1 Proxy A

6

Если политика

позволяет, EP2 получает

пакет

EP1 посылает трафик

удаленному узлу EP2

1 1

VTEP IP VNID Tenant Packet Group

Policy

Информация о

политике переносится

между Pod

5

EP1 Pod1 L4

Proxy B *

Leaf выучивает адрес

удаленного EP1 и

имплементирует политику

EP2 e1/1

Местоположение EP2

неизвестно, трафик

инкапсулируется в сторону

local Proxy A Spine VTEP

(добавляется информация

S_Class)

Proxy A *

2

EP1 e1/3

ACI Multi-Pod Передача данных между POD

= VXLAN Encap/Decap

Единый APIC кластер

Другие механизмы

выучивания адресов

EP (MP-BGP или

через L2/L3 cтык)

EP2 EP1

*

EP1 Pod1 L4

Proxy B *

Leaf имплементирует

политику на входе и, если

политика разрешает

передачу, инкапсулирует

трафик в сторону

Leaf node L4

8 Leaf изучает местоположение

EP2 (имплементировать

политику уже не требуется)

Proxy A

9

EP2 Pod2 L4

7

EP2 посылает

обратный пакет VM1

EP1 получает пакет

10

VTEP IP VNID Tenant Packet Group

Policy

*

EP1 e1/3

ACI Multi-Pod Solution Передача данных между POD

= VXLAN Encap/Decap

Единый APIC кластер

11

С этого момента для взаимодействия EP1 и EP2

коммутаторы инкапсулируют трафик от Leaf к Leaf (VTEP к

VTEP) а политика всегда имплементируется на входящем

leaf коммутаторе (и для L2 и L3 взаимодействия

независимо от типа)

EP2 EP1

*

EP1 Pod1 L4

Proxy B *

Proxy A

EP2 Pod2 L4

VTEP IP VNID Tenant Packet Group

Policy

*

EP1 e1/3

ACI Multi-Pod Solution Передача данных между POD

= VXLAN Encap/Decap

Единый APIC кластер

Для растянутой

VXLAN EVPN

фабрики аналогично

единая плоскость

передачи данных

ACI Multipod: отказоустойчивость кластера и APIC Standby

Процессы активны на всех узлах (не active/standby)

Данные распределяются как активные + 2 резервные копии (shards) для каждого

атрибута/объекта/политики

База Данных

реплицируется между

APIC контроллерами

APIC APIC APIC

Shard 2

Shard 1

Shard 3

Shard 1 Shard 1

Shard 2 Shard 2 Shard 3 Shard 3

Одна копия находится в

‘активном’ состоянии для

части БД

30

APIC – распределенная Multi-Active база данных

Контроллер на

основе полити для

VXLAN EVPN

фабрики не

доступен

APIC отключает доступ на запись к Базе

Данных, когда только один узел кластер

остается активным (standard DB quorum)

Аппаратная ошибка на двух узлах

приводит к тому что все шарды (shards)

переключаются в режим ‘read-only’ (по

мере восстановления узлов кластер

переключается в исходный режим)

Дополнительные узлы APIC кластера

увеличивают масштабируемость, но не

добавляют отказоустойчивости

Аппаратная ошибка на двух серверах приводит к

неконсистентному поведению для некоторых

шард (некоторые окажутся в режиме ‘read-only’

некоторые в режиме ‘read-write’)

APIC APIC APIC X X Шарды в

режиме

‘read-only’

APIC APIC APIC

Шарды в режиме

‘read-only’

APIC APIC X X

Шарды в режиме

‘read-write’

APIC – соображения по развертыванию кластера Сценарий с одним POD

31

Pod 1 Pod 2

Up to 10 msec

APIC APIC APIC X X

X

X Сценарий изоляции Pod: изменения

возможны на узлах в Pod1, но не в Pod2.

Кластер восстанавливается после того как

Pod-ы восстановят связанность

Полный выход из строя одного из Pod: при

полном выходе из строя одного из Pod

рекомендуется активировать Standby узел

чтобы вернуть возможность вносить

изменения в конфигурацию

APIC

Cценарий изоляции Pod: такое же поведение как и

в случае с кластером на 3 ноды (некоторые шарды

могут перейти в режим ”read-only”)

Полный выход из строя одного из Pod: полный

выход из строя Pod1 может привести к потере

информации

Возможно восстановление состояния при наличии

снепшота конфигурации (‘ID Recovery’ procedure –

требуется вовлечение BU и TAC)

Pod 1 Pod 2

Up to 10 msec

APIC APIC APIC APIC APIC

X

X X X

X

APIC – соображения по развертыванию кластера Multi-Pod – сценарий с 2-мя POD

32

• Упрощает замену вышедших из строя APIC контроллеров

• Standby APIC используется для замены любого активного узла в кластере

• Не принимает участия в конфигурации или управлении фабрикой до момента активации

• Никакие данные на него не реплицируются, даже admin credentials (Rescue-user логин работает)

• Минимальный рекомендуемый размер кластера - 3

• Поддерживается в Multi POD.

Функция Standby APIC

Multi pod Один контроллер вышел из строя в Pod2

Active APIC1 (id=1)

Active APIC2 (id=2)

Active APIC3 (id=3)

Можно заменить APIC3 на Standby APIC5

Standby APIC5 (id=5)

Standby APIC4 (id=4)

Multi pod Полная потеря связанности и утрата POD целиком

Active APIC1 (id=1)

Active APIC2 (id=2)

Active APIC3 (id=3)

Можно заменить APIC1 на Standby APIC4

APIC3 в pod2 перейдет в состояние, которое не позволит вносить изменения. (read-only access)

Standby APIC5 (id=5)

Standby APIC4 (id=4)

ACI Multipod: масштабируемое подключение ко внешним сетям

WAN

Client

PE

PE

PE

PE

Подключение WAN Edge устройств к Border Leaf узлам

Определение логической конструкции L3Out

VRF-lite для организации подключений различных контекстов маршрутизации

Для каждого tenant определяется один (или больше) L3Out с набором из Logical Nodes, Logical Interfaces, peering protocol

L3Out

Border Leafs

Организация L3 подключений фабрики ACI ‘Традиционный’ L3Out на пограничных узлах

42

43

Организация L3 подключений фабрики ACI ‘GOLF’ Design (начиная с релиза ACI 2.0)

Web/App

DCI OTV/VPLS

WAN

Client

PE

PE

PE

PE

Прямое/непрямое

подключение узла

spine к PE

GOLF (WAN Edge)

Routers

Прямое или непрямое подключение к WAN Edge маршрутизаторам

Лучшая масштабируемость, одна сессия протокола для всех VRF

Нет ограничений, которые накладывает аппаратная платформа border leaf (число префиксов)

VXLAN handoff на базе MP-BGP EVPN

Упрощенная настройка L3Out

= VXLAN Encap/Decap Автоматизированное

подключение ко

внешним сетям не

доступно в VXLAN

EVPN фабрике

WAN

Масштабируемое подключение Multi-Pod к WAN Поддерживаемые платформы

IP Network

WAN Edge Router

Nexus 7000/7700: F3 карта с релиза 7.3(1)D1(1). M3 планируется (Q3CY17)

ASR 9000: IOS-XR 6.1.2 для платформ с

RSP2*, RSP440 и RSP880 супервизорами

ASR 1000: все платформы (включая CSR1Kv).

SW release 16.4.1 без OpFlex

SW release 16.5.1 OpFlex

Whitepaper:

http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/white-paper-c11-736899.html

MP-BGP

EVPN

*Поддержка OpFlex будет добавлена в версии 6.2.1 (Q1CY17)

44

Масштабируемое подключение Multi-Pod к WAN Централизованная и распределенная модели

MP-BGP

EVPN

WAN

Централизованная модель WAN Edge

Применяется когда Pod-ы представляют собой комнаты/залы в одном физическом ЦОД

MP-BGP EVPN peering между узлом spine в каждом Pod и общими WAN Edge устройствами

WAN Edge

Routers

IPN

WAN

Распределенная модель WAN Edge

Pod-ы представляют собой различные ЦОД

Full mesh EVPN подключения между узлами spine внутри Pod и WAN Edge устройствами в каждом ЦОД

IPN IPN

WAN Edge

Routers WAN Edge

Routers

MP-BGP

EVPN

ACI Multipod: пути входящего трафика без оптимизации

Предполагается, что при разворачивании ACI Multi-Pod совместно с GOLF все узлы spine имеют соседские отношения с одним и тем же набором устройств GOLF (и с локальными и с расположенными на соседней площадке GOLF устройствами)

Масштабируемое подключение Multi-Pod к WAN Full Mesh Peering между Spines и GOLF устройствами

IPN

WAN

APIC кластер

= MP-BGP EVPN Peering 49

IPN

WAN

10.10.10.10 20.20.20.10

Proxy A Proxy B

G1 G2 G3 G4

20.20.20.10

10.10.10.20

= VXLAN Encap/Decap

Оптимальный путь передачи

Update

APIC кластер

ACI Leaf Routing Table

20.20.20.0/24 G1,G2

G3,G4

Full Mesh Peering между Spines и GOLF устройствами Исходящие потоки трафика

Неоптимальный путь передачи

50

IPN

WAN

10.10.10.10

Proxy A Proxy B

Remote Router Table

10.10.10.0/24 G1,G2

G3,G4

G1 G2 G3 G4

20.20.20.10 10.10.10.10

10.10.10.20

= VXLAN Encap/Decap

Full Mesh Peering между Spines и GOLF устройствами Входящие потоки трафика

APIC кластер

Оптимальный путь передачи

G1,G2 Routing Table

10.10.10.0/24 A,B

G1,G2 Routing Table

10.10.10.0/24 A,B

Неоптимальный путь передачи

Update

Оптимизация путей

входящего и

исходящего трафика

так же требуется и в

VXLAN EVPN

фабрике

ACI Multipod: оптимизация входящего и исходящего трафика на примере LISP

WAN/Campus

Сравнимая с DNS проблема по масштабированию

• Протокол на основе запросов

Каталог хостов

• Location != Routing

Исключение хостовых маршрутов из таблицы маршрутизации

• Состояние хостов перемещается в LISP directory

Минимизация ресурсов на коммутаторах и маршрутизаторах

Branch/Closet

LISP XTR

DC 1 DC 2

LISP Host directory

Отслеживание состояния конечного хоста при помощи LISP

66 BRKACI-2220

IP core

IPv4 или IPv6 адрес устройства

or IPv6 определяет и его

идентификатор (identity) и

местоположение (location)

Традиционная IP сеть

10.1.0.1 Когда устройство перемещается,

оно получает новый IPv4 или IPv6

адрес, который определяет и его

идентификатор (identity) и

местоположение (location)

20.2.0.9

IPv4 или IPv6

адреса устройств

определяют только

их идентификацию.

Когда устройство

перемещается, его IPv4 или

IPv6 адрес, определяющий

его идентификатор не

изменяется.

Сеть с поддержкой LISP Loc/ID “Разделение”

IP core

1.1.1.1

2.2.2.2

Только местоположение

изменяется при переезде

10.1.0.1

10.1.0.1

Это его местоположение

Location Identity Separation Protocol Что понимается под “Location” и “Identity”

Сайт без LISP

East-DC

LISP сайт

IP сеть

ETR

EID-to-RLOC mapping

5.1.1.1

5.3.3.3

1.1.1.1

5.2.2.2

10.3.0.0/24 10.2.0.0/24

West-DC

PITR

5.4.4.4

10.1.0.0/24

Сайт без LISP

ITR S

D

DNS Entry: D.abc.com A 10.2.0.1

1

10.1.0.1 -> 10.2.0.1

2

EID-prefix: 10.2.0.0/24

Locator-set:

2.1.1.1, priority: 1, weight: 50 (D1)

2.1.2.1, priority: 1, weight: 50 (D2)

Mapping

Entry

3 Эта политика контролируется владельцем ЦОД, который устанавливает веса

10.1.0.1 -> 10.2.0.1

1.1.1.1 -> 2.1.1.1

4

10.1.0.1 -> 10.2.0.1

5

2.1.1.1 2.1.2.1 3.1.1.1 3.1.2.1

Передача пакетов в LISP Как работает LISP?

WAN/Campus

• Фабрика может быть основана на любой технологии:

• ACI, EVPN

• LISP маршрутизаторы получают от фабрики /32 маршруты и регистрируют их в базе данных LISP

LISP Host Directory Services для любой фабрики Branch/Clo

set

LISP XTR

DC 1 DC 2

Local host routes

Local host routes

69 BRKACI-2220

Решение на базе

LISP совместимо с

VXLAN EVPN

фабрикой

IPN

IP WAN

Proxy A Proxy B

G1 G2 G3 G4

= VXLAN Encap/Decap

Site Gateway (SG): LISP encap/decap

LISP signaling

= LISP Encap/Decap

Fabric based Mobility: Move Detection

Local Routing Fix-up

COOP Registration

Fabric based Mobility: Move Detection

Local Routing Fix-up

COOP Registration

Site Gateway (SG): LISP encap/decap

LISP signaling

APIC кластер

ACI, GOLF и LISP взаимодействие Функциональные компоненты

70

IPN

IP WAN

10.10.10.10

Proxy A Proxy B

G1 G2 G3 G4

20.20.20.10

10.10.10.20

LISP Map-System

IP Prefix RLOC

= LISP Encap/Decap = VXLAN Encap/Decap = EVPN Update = LISP Map-Register

APIC кластер

… …

20.20.20.0/24 Branch1

Branch1

TOR Routing Table

… …

0.0.0.0/24 G3,G4

TOR Routing Table

… …

0.0.0.0/24 G1,G2

Передача исходящего трафика на LISP устройства Вариант 1 – шлюз по умолчанию (Control Plane)

G1-G4 анонсируют

шлюз по умолчанию в

фабрику

Филиальные

маршрутизаторы

регистрируют свои

префиксы в LISP

71

1

2

IPN

IP WAN

10.10.10.10

Proxy A Proxy B

G1 G2 G3 G4

20.20.20.10

10.10.10.20

LISP Map-System

IP Prefix RLOC

= LISP Encap/Decap = VXLAN Encap/Decap = BGP Message = LISP Map-Register

APIC кластер

… …

20.20.20.0/24 Branch1

Branch1

G1-G4 анонсируют

удаленные

префиксы в фабрику

TOR Routing Table

… …

20.20.20.0/24 G3,G4

TOR Routing Table

… …

20.20.20.0/24 G1,G2

Филиальные

маршрутизаторы

регистрируют свои

префиксы в LISP

Экспорт LISP префиксов

& редистрибуция в BGP ipv4 route-export site-registrations

redistribute lisp

Передача исходящего трафика на LISP устройства Вариант 2 – анонсирование специфических маршрутов (Control Plane)

72

1

2

3

IPN

IP WAN

10.10.10.10

Proxy A Proxy B

G1 G2 G3 G4

20.20.20.10

10.10.10.20

LISP Map-System

DC-WAN Router LISP Cache

20.20.20.0 /24 Branch1

IP Prefix RLOC

= LISP Encap/Decap = VXLAN Encap/Decap = EVPN Update = LISP Map-Request/Reply

APIC кластер

… …

20.20.20.0/24 Branch1

Branch1

TOR Routing Table

… …

0.0.0.0/24 G3,G4

TOR Routing Table

… …

0.0.0.0/24 G1,G2

ACI, GOLF и LISP взаимодействие Передача исходящего трафика

75

Настройка APIC

Настройка анонсов для хостов на уровне VRF

Применяется для всех public subnets, которые анонсируются через L3Out

Настройка N7K GOLF

Type-2 апдейты, которые шлются в сторону GOLF устройства содержать идентификатора L2VNI в поле Ethernet Tag ID (такие же апдейты пересылаются между spine-узлами Pod)

VTEP-ы ожидают что Ethernet Tag ID будет установлен в значение zero, поэтому N7K GOLF по умолчанию будет игнорировать Type-2 апдейты

Дополнительная команда была добавлена в N7K:

Эта настройка не требуется на ASR9K или ASR1K

router bgp 3 router-id 111.111.111.111 address-family l2vpn evpn allow-vni-in-ethertag

ACI release 2.1(1h) Оптимизация входящего трафика

Настройка анонсирования /32 маршрутов

76

IPN

IP WAN

10.10.10.10

Proxy A Proxy B

G1 G2 G3 G4

20.20.20.10

10.10.10.20

LISP Map-System

Remote Router LISP Cache

10.10.10.10/32 G1,G2

G3,G4 10.10.10.20/32

IP Prefix RLOC

= LISP Encap/Decap

G3, G4 Routing Table

10.10.10.20/32 B

10.10.10.0/24 B

10.10.10.10/32 A

10.10.10.0/24 A

G1, G2 Routing Table

= VXLAN Encap/Decap = EVPN Update = LISP Map-Register

APIC кластер

10.10.10.10/32 G1,G2

10.10.10.20/32 G3,G4

10.10.10.0/24 G1,G2,G3,G4

Оптимальный

путь для

входящего

трафика

Оптимальный

путь для

входящего

трафика

ACI, GOLF и LISP взаимодействие Оптимизация входящего трафика

77

IPN

IPWAN

Proxy A Proxy B

G1 G2 G3 G4

20.20.20.10

10.10.10.20

= VXLAN Encap/Decap

LISP Map-System

IP Prefix RLOC

Remote Router LISP Cache

10.10.10.10/32 G1,G2

G3,G4 10.10.10.20/32

APIC кластер

10.10.10.10

10.10.10.10/32 B

10.10.10.20/32 B

10.10.10.0/24 B

G3, G4 Routing Table

10.10.10.10/32 Null0

10.10.10.0/24 A

G1, G2 Routing Table

10.10.10.10/32 G1,G2

10.10.10.20/32 G3,G4

10.10.10.0/24 G1,G2,G3,G4

10.10.10.10/32 G3,G4

ACI, GOLF и LISP взаимодействие Оптимизация входящего трафика и мобильность (1)

78

IPN

IPWAN

10.10.10.10

Proxy A Proxy B

G1 G2 G3 G4

20.20.20.10

10.10.10.20

= VXLAN Encap/Decap

10.10.10.10/32 B

10.10.10.20/32 B

10.10.10.0/24 B

G3, G4 Routing Table

LISP Map-System

IP Prefix RLOC

10.10.10.10 G3,G4

10.10.10.20 G3,G4

10.10.10.0/24 G1,G2,G3,G4

Remote Router LISP Cache

10.10.10.10/32 G3,G4

G3,G4 10.10.10.20/32

APIC кластер

10.10.10.10/32 Null0

10.10.10.0/24 A

G1, G2 Routing Table

ACI, GOLF и LISP взаимодействие Оптимизация входящего трафика и мобильность (2)

79

ACI Multipod: модель политик и микросегментация

ANP

WEB

ACI Multi-Pod Сохранение модели политик при перемещении нагрузки между Pod

Единый APIC кластер APP DB

WEB APP DB L3OUT Определяется

профиль приложения

(не зависит от POD)

1

При подключении

нагрузки происходит

рендеринг контрактов

2

ANP

WEB

ACI Multi-Pod Сохранение модели политик при перемещении нагрузки между Pod

Единый APIC кластер APP DB

WEB APP DB L3OUT

Нагрузка

перемещается между

POD вручную или

автоматически

3

ANP

WEB

ACI Multi-Pod Сохранение модели политик при перемещении нагрузки между Pod

Единый APIC кластер APP DB

WEB APP DB L3OUT

Рендеринг контракта

происходит

автоматически (см

детали на слайде по

передаче данных)

4

В VXLAN EVPN

фабрике отсутствует

модель политик

ACI Multipod: интеграция с сервисным устройствами

ACI Multi-Pod Интеграция сервисными устройствами

Устройства в режиме Active и Standby в разных Pod

Создается точка в сети которая «притягивает» трафик через IPN сеть (hair-pinning across the IPN) Active Standby

Active/Standby Active/Standby

Независимые пары Active/Standby разворачиваются в каждом Pod

Рекомендуется только сценария использования МСЭ на периметре сети, предполагая что мероприятия по организации симметричных потоков проведены

Cluster

Кластер МСЭ между Pod

Для режима ‘Split Spanned EtherChannel’ не поддерживается (единственный режим доступный в кластере на основе FTD)

Поддерживается только в режиме ‘Single Individual’ (кластер на основе ASA)

Есть возможность организовать подключение

в режиме Spanned Etherchannel –

фильтрация cluster-mac на уровне IPN

Pod 1 Pod 2

86

Все узлы кластера ASA используют один и тот же MAC и IP адреса (назначен узлу

с ролью – «cluster Master»)

В случае Multi-POD приводит к проблеме одновременного детектирования EP в

обоих POD в настоящий момент НЕ ПОДДЕРЖИВАЕТСЯ

Замечание: так же самая проблема, если ASA подключается к разным узлам leaf в

одном и том же POD

MAC1 (or MAC1/IP1) COOP Update

Multi-Pod и кластер ASA Режим ‘Split Spanned EtherChannel’

MAC1 (or MAC1/IP1) COOP Update

Не поддерживается на

данный момент для всех

версий кластера

ASA и FTD

87

Каждый узел ASA кластера имеет уникальную пару MAC/IP

Каждый узел имеет индивидуальный конфиг в настоящее время не

поддерживается device-package для ASA (только un-managed mode)

Не поддерживается в прошивкой FTD на ASA

Валидированный дизайн отсутствует на данный момент

Pod 1 Pod 2

MAC1 (or MAC1/IP1) COOP Update

MAC2 (or MAC2/IP2) COOP Update

Multi-Pod и кластер ASA Режим ‘Single Individual’

Только кластер на

базе ASA

ACI Multisite

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 88

Единый APIC кластер/домен Много APIC кластеров/доменов

Варианты расширения Cisco ACI

Pod ‘A’ Pod ‘n’

MP-BGP - EVPN

Multi-Pod

…

L3

APIC Cluster

Pod 1 Pod 2

ACI Fabric

Stretched Fabric

APIC Cluster

ACI Fabric 2 ACI Fabric 1

Multi-Fabric (with L2 and L3 DCI)

L2/L3

DCI

L3 Site ‘A’ Site ‘n’

MP-BGP - EVPN

Multi-Site (Q3CY17)

Multi-Site

Controller

90

Отдельные ACI фабрики с независимыми

кластерами APIC

Каждая фабрика рассматривается как отдельный

«регион» и «зона доступности»

Ограничение зоны вносимых изменений

Использование для сценариев DR и Active/Active

Нет ограничений по расстоянию

Multi-Site контроллер настраивает

сквозные конфигурации в нескольких

кластерах APIC

MP-BGP EVPN с VXLAN инкапсуляцией

между сайтами

Сквозное применение политик

ACI Multi-Site Обзор решения

Site 1

MP-BGP - EVPN

Site 2

…

L3 Регион ‘A’ Регион ‘B’

Multi-Site

Controller

Web

GUI

Rest

API

Планируется:

Q3CY17

90

9

1

ACI Multi-Site Основные сценарии

Планируется:

Q3CY17

Layer 3 между сайтами

L3 Site 1

2 Мобильность IP для Disaster Recovery

• Одна и та же IP подсеть на нескольких сайтах

• Мобильность IP (‘холодная’ миграция) между сайтами

• Нет Layer 2 фладинга между сайтами

Site 2

L3 Site 1 Site 2

1

• L2 (BD) не растянут между сайтами

• Связь только на L3 (внутри ли между VRF)

• Каждый сайт можеть быть ACI Multi-Pod фабрикой*

*Позднее

L3 Site 1 Site 2

3 Высокомасштабируемые ЦОД Active/Active

• Связь нескольких фабрик, чтобы создать «большую» фабрику

• L2 домены (BD) растянуты между сайтами

• Поддержка ‘живой’ миграции VM

• Layer 2 фладинг между сайтами

VXLAN EVPN в распределенных ЦОД

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 92

Использование VXLAN EVPN в распределенных ЦОД

Растянутая фабрика Изолированные фабрики

• Два изолированных MP-BGP EVPN домена

• Связанность через L3 IPN

• Единая плоскость передачи данных – VTEP из POD1

напрямую взаимодействует c VTEP из POD2

• Для распространения BUM трафика используется

multicast или Ingress-репликация

• Точка контроля/фильтрации для BUM трафика между

POD отсутствует

• Две независимые MP-BGP EVPN фабрики

• L2-связанность через традиционный VLAN и далее OTV

• L3-связанность через традиционный VRF Lite, MPLS VPN

• Единая плоскость передачи данных между VTEP

отсутствует – передача всегда через border leaf

• Для распространения BUM трафика между POD

применяется OTV

• Есть точка контроля/фильтрации для BUM-трафика в

виде OTV устройства

Pod ‘A’ Pod ‘n’

MP-BGP - EVPN

Multi-Pod

…

L3 VXLAN EVPN Fabric 2 VXLAN EVPN Fabric 1

Multi-Fabric (L2 и L3 DCI)

L2/L3

DCI

Сравнение ACI и VXLAN EVPN Краткое и неполное

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 94

Функция ACI VXLAN

Автоматическая конфигурация фабрики/Pod

Полная Частичная PoAP

COOP, 1M+ хостов Да Нет

Контроллер Да Нет

GOLF (автоматизация L3) Да Нет

Требуется управление входящим/исходящим трафиков (для определенных сценариев)

Да Да

Модель политик Да Нет

Заключение

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 101

Заключение

• OTV

• Надежная и проверенная технология

• ACI MultiPod

• Баланс между изоляцией доменов сбоя и централизацией управления

• APIC Standby – выживаемость кластера без потери управления

• Автоматизация подключения ко внешним сетям при помощи Golf

• Простое управление входящими и исходящими потоками при помощи LISP

• VXLAN EVPN

• Еще один вариант организации взаимодействия между ЦОД на базе Nexus 9000

• ACI MultiSite

• То ли еще будет

Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 102

#CiscoConnectRu

Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции

© 2017 Cisco and/or its affiliates. All rights reserved.

Контакты:

Тел.: +7 495 9611410 www.cisco.com

www.facebook.com/CiscoRu

www.vk.com/cisco

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia