Михаил Сафронов Системный архитектор SDN в корпоративных сетях Код сессии: 1637 24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Михаил СафроновСистемный архитектор
SDN в корпоративных сетях
Код сессии: 1637
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2
“A platform for developing new control planes”
“An open solution for VM mobility in the Data-Center”
“An open solution for customized flow forwarding control in the Data-Center”
“A means to do traffic engineering without MPLS”
“A way to scale my firewalls and loadbalancers”
“A solution to build a very large scale layer-2 network”
“A way to build my own security/encryption solution, avoiding RSA”
“A way to reduce theCAPEX of my network
and leverage commodityswitches”
“A way to define virtual networks with specific topologies for my multi-tenant Data-Center”
“A means to scale my fixed/mobile gateways andoptimize their placement”
“A solution to build virtual topologies with optimum multicast forwarding behavior”
“A way to optimize link utilization in my network, through new multi-path algorithms”
“A way to avoid lock-in to a single networking vendor”
“A way to distribute policy/intent, e.g. for DDoSprevention, in the network”
“A way to configure my entire network as a whole rather than individual devices”
“A solution to get a global view of the network – topology and state”
“With SDN I can develop solutions to my problems far faster –“at software speeds”. I don’t have to work with my network
vendor or go through length standardization”
SDN – Still Don’t kNow – Stanford Defined NetworkingСколько людей – столько и мнений
Определения
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 3
https://www.opennetworking.org/images/stories/downloads/white-papers/wp-sdn-newnorm.pdf
“…открытый стандарт, который позволяет исследователям запускать экспериментальные протоколы в кампусных сетях, маскируя внутреннюю работу устройств разных производителей…”
http://www.openflow.org/wp/learnmore/
“…В архитектуре SDN разделены уровень управления и уровень данных, интеллект сети и ее состояние логически централизованы, и базовая сетевая инфраструктура абстрагирована от приложений…”
SDN подход не обязателен для программируемых сетей и для сетевой автоматизации
OF не обязателен для SDN
Терминология - II
Архитектура сети, в которой разделены уровни управления и передачи данных и при этом интеллект сети и контроль ее состояния централизованыРеализация возможности абстрагирования нижележащей сети от использующих сеть приложений [сетевая виртуализация]Концепция использования программных интерфейсов для участия внешних систем в управлении сетевыми сервисами и мониторинге состояния сети 4
О чем спрашивают заказчикиCisco Customer Focus Group, SDN Survey, Dec ‘13
Основные проблемы Что имеет значение?
В чем помогаетSDN?
0% 100%Уровень важности 0% 100% 0% 100%
Вся ценность SDN – в решении практических задач
Сложность IT Безопасность
BYODCloud
МобильностьBig Data
Visibility & Control, End-to-EndReal-time
AutomationAgility
Efficiency
Уровень важности Уровень важности
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 6
Плоскость управления
Плоскость Передачи данных
Контроллер
Плоскость передачи данных
Приложения
Частный API
OpenFlow
2a Классические SDN
Частный API(пример: onePK)
Контроллер
Плоскость передачи данных
Приложения
Частный API
OpenFlow,PCEP,I2RS
Плоскость управления
2b Гибридные “SDN”
Приложения
Виртуальное управление
Виртуальная плоскость ПД
Оверлейные сетевые протоколы(.VXLAN/VPLS/LISP/…)
Частный API
3Оверлеи, сетевая
виртуализация
Плоскость управления
Плоскость передачи данных
Частный API
Приложения
1Программируемые через APIs
Плоскость управления
Плоскость передачи данных
Частный API(пример: onePK)
Частный API(пример: onePK)
Openstack и сетевые оверлеи применимы ко всем моделям(физическим/ виртуальным). Возможно создание специальных польз. функций
CLI, SNMP, …
Программируемые сетиРазвитие архитектуры управления
Частный API
Приложения
4 Управление на основе политик
Плоскость управления
Плоскость передачи данных
Контроллер политик
Плоскость политик
Сервер политик
Агент
Подтвержденные практикой надежность и возможности масштабирования
Распределенные сетевые протоколы работают
Распределенные сетевые протоколы работают
?
Распределенные протоколы увеличивают сложность управления/понимания
!!
!
Однако
Но использует контроллер
для маскирования сложности
Сеть
Поведение сети определяет сетевой администратор…
WWW СЕТЬ
WebAdmin
NetworkAdmin
Сравнение подходов Оба админа имеют прямой доступ к управлению одновременно
Web Dev GUI
WWW Network
WWWAdmin
NetworkAdmin
Controller
Абстрагирование от сложностиПример для сетевого управления - Web -разработка
Фокус на Что?
И не на Как?
2005 Power Technologist
2013 Non Technical Users
2010 Application Developers
2014 Intent Networking
2018Self Healing
2015Partial Automation
Что такое политика (Policy)?
ЧТО? КАК?
Policy способ упрощения за счет абстракции
Абстрагирование на примере обычной политики безопасности
Обычная модель
ЧТО? «Политика
безопасности для филиала А»
КАК? «Изменить
списки доступа на указанных
элементах…»”
ЧТО?«Политика
безопасности для филиала А»
КАК?
Политика ACIЗадача админа
Задача админа
Northbound API
APIC EM
]Политика ACI
ACI абстрагирует системное управление и использует программирование на уровне политик
«Изменить списки доступа на
указанных элементах…»”
Инфра-структура
Контроллер
Бизнес приложения
Новая модель абстракции сетевой среды от приложений
Есть выбор протоколовl/API для взаимодействия уровней
Интеллект сети и управление сетью централизованы
Архитектура сети, близкая к другим системам ИТ
SDN – архитектура управленияГибкие «программируемые» интерфейсы
• CLI• SNMP• Web UI• NETCONF• XML• onePK• Openstack
• Web UI• YANG• REST API
Intent Policies
High Level Constructs
Translation
Network Control Functions
QoS ACLConfiguration
Трансляция высокоуровневых конструкций в сетевые
функции – как способ сократить пробелы во
взаимодействии между средой бизнес-приложений и сетевой
средой
Cisco Intent Policy Management
Задачи для SDNАвтоматизация управления сетью, объединение доменов управления
Классика SDN
Пользовательская обработка трафика (аналитика, шифрование)
Маршрутизация по произвольным критериям (SLA, стоимость,
задержка, и т.д.)
Внедрение последовательных сетевых политик, политик безопасности и методик предотвращения вторжений
Объединение различных точек управления инфраструктурой(DC-WAN-LAN, Virtual-Physical, Layer-1-3, IaaS+VPN)
Сетевая виртуализация
Виртуализация сетевых сервисов (NfV)
Результат – создание быстро адаптируемой ИТ инфраструктуры.
Автоматизация сетевого управления и настройки
физических и виртуальных устройств
16
Разные функции для разных потребителей
Пользовательская обработка трафика (аналитика, шифрование)
Маршрутизация по произвольным критериям (SLA, стоимость, задержка…)
Внедрение последовательных сетевых политик, политик безопасности и методик предотвращения вторжений
Объединение различных точек управления инфраструктурой(DC-WAN-LAN, Virtual-Physical, Layer-1-3, IaaS+VPN)
Сетевая виртуализация
Виртуализация сетевых сервисов (NfV)
Результат – создание быстро адаптируемой ИТ инфраструктуры.
Автоматизация сетевого управления и настройки физических и виртуальных устройств
Разработчик сетевых сервисов
Разработчик Приложений, Системный Администратор,Оператор Сетевой Инфраструктуры
Создание новых и модификация существующих
сетевых функций
Использование новой функциональности сети и интеграция с новыми или существующими программными системами (прикладное ПО и ПО для
управления)
17
Стратегия развития Cisco SDN / Enterprise
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 18
Управление на основе политик:Application Centric Infrastructure (ACI)
Появилась в ноябре 2013 в продукте Application Policy Infrastructure Controller (APIC)Первоначально разработана для ЦОДСейчас – развитие политики ACI для использования в корпоративных сетях
Недостающий элемент – контроллер, который может управлять политиками применительно к разным доменам управления
Архитектура APIC
APIC APICEM
Data Center WAN Access
Controllers
Infrastructure
Network AwareApplications
Endpoints
SECURITY COLLABORATION ORCHESTRATIONSERVICES IoE
API API
DC - Controller Policy ENT - Controller Policy
DC = CAMPUS/WAN?
DC = ENTСтратегическое направление – единые политики
DC - Controller ENT - Controller
API API
Policy Policy
Application Intent User Intent
Common Policy
Новости Cisco SDN - 2014
Несколько основных направлений:
1) ODL/XNC контроллеры + OF plugins + базовые приложения
2) Законченные решения на основе п.п. 1 - Nexus Data Broker
3) APIC – контроллер для ЦОД, новая модель политик4) APIC-EM – контроллер для LAN/WAN, с
приложениями iWAN/Security/… в дополнение к базовым приложениям
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 23
Базовые приложения для OF контроллеров
Сегментирование сети
Высокая степень гранулярности, физическая или
виртуальная среда
Составление маршрутапо произвольным критериям
Статическое или динамическое задание
маршрутов для потоков трафика по различным
критериям
Зеркалирование (на основе политик) полезного
трафика на произвольные устройства для
последующего анализа, записи и т.д.
Network Tapping(замена матричных коммутаторов)
XNC
ODL-based.
Текущая версия – 1.5Приложения – Topology Independent Forwarding/Monitor Manager/Network SlicingИспользует OpenFlow 1.0, onePK.Платформы (FCS) – Nexus 3KЛицензирование – контроллер, контроллер + набор приложений
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 25
Southbound APIs
Physical and Logical Topology Manager Device Manager
Host Tracker ARP Handler
Forwarding Rules Manager
Dijkstra SPF L3 InterfaceInfrastructure (Core)
Java Bundle
H/A
NETWORK DEVICES
OF 1.xOnePK
Troubleshooting
Production Network Requirements
Abstraction for Future SB Protocols
Java Provides Dynamic
Component Linking
Advanced Feature Set vs.
Opensource
Published APIs Are Expandable
Service Abstraction Layer (SAL)
Dynamic Protocol Plugins
Import Topology from Inventory or
other sources
Authentication Monitor Manager
Topology Independent Forwarding (TIF)
Controller Applications
Slice Manager
Advanced Components
Cisco GUICisco XNC ControllerNorthbound APIsOSGI RESTful
Cisco Sourced Customers 3rd PartiesNetwork Applications
Cisco XNC Controller - архитектура
Flow Manager
Решение Nexus Data Broker
Network Tapping
• Область применения – ЦОДы, корпоративные сети• Платформы – Cisco Nexus• Режим работы с платформой – гибридный• Размещение контроллера и приложения – внешнее или
встроенное (в виде Linux-контейнера прямо на коммутаторе)
APIC-EM
Ранее - ENG контроллер
FCS – начало 2015 года.Встроенные функции – ACL management, Network Policy Deployment/Compliance Check, QoS mgmt, Network Topology Visualization, ZTD.Приложения – iWAN, Security, Collaboration (TBD) –планы на 2015Использует CLI.Платформы (FCS) – ASR, ISR, CSR, Catalyst product line
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 28
APIC – EM Постановка задачи
Автоматизация ручных процедур эксплуатации сети
Визуализация сети, объектно-ориентированный интерфейс
Поддержка существующей инсталлированной базы–без необходимости замены оборудования и ПО
Ключевые приложения – для управления QoS, ACL, реализация Zero Touch Deployment, поддержка IWAN, измеримый эффект от внедрения (OPEX, ROI)
Эластичность сервисной инфраструктуры –возможность наращивания мощности по мере внедрения
Автоматическая трансляция с высокоуровневого языка бизнес-задач в сетевые инструкции
Расширенная аналитика – для быстрого реагирования на изменения в реальном времени
Архитектура APIC-EM
ЭластичныеСервисыAPIC EM Service Abstarction Layer (SAL)
REST APIs
СервисыAPIC EM
Inventory andTopology
Identity andLocation
ApplicationAwareness
Policy Translation
QoSVisualizer
PolicyManagement
ZTDVisualizer
ACLVisualizer
Controller Infrastructure
CLI
Advanced Topology Visualizer
Automated Provisioning
ПриложенияAPIC EM
Analysis and Compliance
Network Infrastructure Management
Для горизонтального
масштабирования
Сервисы для приложенийDay 0/ Day 1
Приложения Day0 / Day 1
Меньше программирования
типовых задач
IWAN
APIC-EM Controller
NIB
DAS
REST API
Pxgrid Client + LDAP client
AD Client + LDAP client
Radius Proxy + LDAP client
Inventory
Topology
QoS Compliance
ACL Analysis
Statistics Manager
NetFlow Collector
ZTD
Application Visibility
User Identity Helper Services
Application Identity Helper Services
Basic Services
Policy Creation Services
Policy Helper Services
Network Information Base
Legacy Support ServicesInventory Visualizer
APIC
-EM
Ser
vices
APIC
-EM
App
s
Topology Visualizer
Application Visualizer
Discovery
NETWORK - Catalyst, ASR, ISR, WLC
Easy QoS Visualizer
Network Discovery
Network Programmer
Policy Programmer (QoS, ACL)
Network Tapping
Easy QoS
Network Events
Compliance Check
ACL Visualizer ZTD
Network Tapping Visualizer
Policy Engine
Conflict Detection and Resolution
(BI and NI)
Business Intent to Network Intent
Conversion
Policy Manager Policy Analysis Services
APIC-EMСервисы и приложения
IWAN(PfR, WaaS)
IWAN Services
Примеры применения APIC EM24.11.2014
© 2014 Cisco and/or its affiliates. All rights reserved. 32
© 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential –Use under NDA – DO NOT [email protected]
wol
fgan
g@ci
sco.
com
Управление списками доступа (ACL mgmt)Flow-Based трассировка ACL, устранение неисправностей
ACL
Switch 1
Router 1Router 2Router 3
Switch 1
Router 1
Router 2
© 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential –Use under NDA – DO NOT [email protected]
wol
fgan
g@ci
sco.
com
Визуализация пути трафика приложений
APIC EM возвращает расширенные данные о маршруте трафика (IP D/S addr/port, protocol)
• Нужен эффективный способ поиска неисправностей в сети, связанных с передачей голоса и видео сессий поверх IP
• Проблема – нестабильная работа вызовов • Отсутствие видимости путей трафика несет
существенные расходы на диагностирование и поиск источников проблем (время, деньги)
• Проверки и устранение проблем сети часто занимает дни и недели
Easy QoS
ControllerCognitive
Identity Services Security
MSE CUCM
Surveillane FTP
Gol
dSi
lver
Plat
inum
Best
Effo
rt
Приоритетная обработка трафика – настройка сети, а не отдельных устройствПростое внедрение политик качества обслуживания (Easy QoS)
Cisco Validated Design {CVD}
• Корпоративные приложения автоматически классифицируются, им назначаются соответствующие классы обслуживания – с использованием рекомендаций CVD .
• Политики QoS применяются к системе (а не к отдельному устройству) – проще, быстрее, надежнее и все по нажатию кнопки в интерфейсе управления приложения к APIC EM
Гранулярное управление доступом По пользователям, по приложениям,…
APIC-EM
Block Bit-Torrent
ISE
Block Bit-Torrent
AD/Radius Server• Администратор создает правило по требованию
бизнеса – блокировать определенные приложения для пользователей или групп.
• Контроллер использует информацию о пользователе для настройки пользовательской политики на границе сети.
• Управление в реальном времени – при перемещении пользователя контроллер переместит политику вслед за ним
User moves to a branch site. Policy moves with it
MPLS Internet
Data Center
Branch
SP ISP
Video
Delay = 50Delay = 70Delay = 90Delay = 200
ENC
TP - Video
TP - Video
Deteriorating Video Quality
ISR-G2
ASR ASR
• Трафик TP передается через MPLS, трафик Youtube черезInternet
• Задержка в сети MPLS повышается, качество видео страдает• Специальное приложение для контроля
производительности приложения инструктирует контроллер перенаправить TP трафик через лучший путь
• Применяется соответствующая политика QoS для видео на этом маршруте
Smart Routing Автоматизированный выбор путей
для трафика различных приложений
Profile Creation- Policies for IOS version, Security- Rules for Matching config to devicesTFTP
Server
Customer branch
DHCP Server (Option 150)
Device Type
Serial Number
Connected to Device
Connected to Port
Connected to Device Location
Connected to Device Tag
3
ENG Controller
DHCP Server (Option 150)
TFTP Server Info
Config and Image
1
2
3
5
Bootstrap Config
4
SNMP Trap or CDP
Zero Touch Deployment (ZTD)Автоматизированная настройка и развертывание
• Настройка и включение в работу сети новых устройств, обнаруженных контроллером в сети
• Профили устройств, включающие желаемые блоки конфигурации, версии ПО, критерии отбора ((PID, Serial No, Connected to Device, Connected to port) используются для классификации
• Поддержка локального TFTPдля начальной загрузки устройств
• CDP для быстрой локализации устройств• Контроллер взаимодействует с обнаруженными
устройствами по SSH и доставляет конфигурацию и образ ПО, доводя устройство до принятых в компании стандартов
ЗаключениеSDN подход дает возможность сфокусироваться на целевой задаче ИТ для бизнеса – задание политик, бизнес-цели (ЧТО?)
Контроллеры SDN транслируют требования в сетевые настройки (КАК?)
Контроллер – единая точка создания политик Согласованность, предотвращение дубликатов и конфликтов правил
API для показа возможностей сети: Метод создания новых сетевых функций, Комбинирование существующих возможностей без создания функции с нуля, APIC EM – маскирует сложность сетевой инфраструктуры
APIC EM создан для работы с существующими сетями на основе Cisco ASR/ISR/Catalyst
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом#CiscoConnectRu
Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.
Спасибо
Номер лекции в приложении :: 1637
24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.