Embed Size (px)
Citation preview
Скороходов Александр
Системный инженер-консультант
Архитектура Cisco ACI
Варианты внедрения ACI и миграции существующих
сетей ЦОД
23.06.2015 © 2014 Cisco and/or its affiliates. All rights reserved.
Коммутаторы Nexus 9000 для инфраструктуры
Cisco ACI
23.06.2015 © 2013 Cisco and/or its affiliates. All rights reserved. 2
Стратегия Merchant+
Высочайшая производительность и плотность портов,
низкая стоимость за порт и энергопотребление
Эффективный дизайн и энергоэффективность
Следующее поколение операционной системы NX-OS
Поддержка коммутации L2/L3, FEX, VXLAN
Богатые возможности программируемости
Два семейства коммутаторов
- Модульные: Nexus 9500
- Фиксированной конфигурации: Nexus 9300
Два режима работы
- Автономный (NX-OS)
- ACI Fabric Mode (требуется контроллер APIC)
Семейство коммутаторов Nexus 9000 Для нового поколения сетевой инфраструктуры ЦОД
Одна платформа – два режима использования
Программируемость на
уровне устройства
Программируемая
фабрика
NXOS Policy Controller
1/10/40G
Готовность к 100G
Управление и
автоматизация сети
Автоматизация по политикам,
ориентированная на приложения
Nexus
9000
Nexus 9500 Семейство шасси
9504 9508 9516
Высота 7 RU 13 RU 21 RU
Слотов для модулей 4 8 16
Коммутационная емкость 15 Tbps 30 Tbps 60 Tbps
Неблокируемых
10G портов, максимум 576 1,152 2,048
Неблокируемых
40G портов, максимум 144 288 576
Использование в ACI ✔ ✔ ✔
Общие - Супервизор
- Системный контроллер
- Интерфейсные карты
- Блоки питания
- Образ NX-OS
Nexus 9504
Nexus 9508
Nexus 9516
Nexus 9500 Интерфейсные карты
Доступ 1/10G, агрегирование 10/40G, магистраль 100G в режиме NX-OS
32/36 портов 40G QSFP+
8 портов 100G CFP2 (CPAK через адаптер)
48 портов 10G SFP+ & 4 порта 40G QSFP+
48 портов 1/10G-T & 4 порта 40G QSFP+ Только NFE
• Только NX-OS
• L2/L3 коммутация
• Поддержка FEX
• VXLAN бриджинг
NFE + Cisco ALE • L2/L3 коммутация
• Поддержка FEX
• VXLAN бриджинг
• Маршрутизация VXLAN
• Будущая поддержка в режиме ACI
leaf*
Cisco ASE
• Только в режиме ACI spine
Доступ 1/10G и агрегирование 10/40G (в режиме NX-OS и ACI Leaf) 48 портов 10G SFP+ & 4 порта 40G QSFP+
48 портов 1/10G-T & 4 порта 40G QSFP+
36 портов 40G QSFP+ (1.5:1)
ACI Access Ready
40G – для работы в режиме ACI Spine 36 портов 40G QSFP+
Коммутаторы Nexus 9300 Возможности Nexus 9000 в фиксированном форм-факторе
• Высокая производительность
• Низкая стоимость за порт
• Богатые функции программируемости
Модель Портов 1/10G Порты 40G/100G Высота Режим работы
96 (витая пара) 6 или 8 40G QSFP или 2
100G CFP2/CPAK(не-ACI) 3 RU NX-OS или ACI Leaf
48 (SFP или витая
пара)
6 или 12 40G QSFP или 4
100G CFP2/CPAK(не-ACI) 2 RU
NX-OS или ACI Leaf
96 (витая пара) 6*40G QSFP 2 RU NX-OS или ACI Leaf
48 (SFP или витая
пара) 6*40G QSFP 1 RU
NX-OS или ACI Leaf
- 32*40G QSFP 1 RU NX-OS или ACI Leaf
- 36*40G QSFP 2 RU Только ACI Spine
Nexus 9396TX
Nexus 9372PX
Nexus 9332PQ
Nexus 9372TX
Nexus 9396PX
Nexus 93128TX
Nexus 9336PQ
Nexus 93120TX
Минимальная фабрика!
Nexus 9336
(“mini-spine”)
Nexus 9336
(“mini-spine”)
Nexus 9372PX/TX Nexus 9372PX/TX
40G DAC
10G (DAC/TP)
Варианты миграции на решение Cisco ACI
23.06.2015 © 2013 Cisco and/or its affiliates. All rights reserved. 10
Сценарий № 1 – добавление нового POD в ЦОД
Добавление нового POD в ЦОД
Новый POD Существующая
инфраструктура
Добавление нового POD в ЦОД при помощи ACI
Новый POD Существующая
инфраструктура
Логическое подключение нового ACI Pod
Новый POD Существующая
инфраструктура
BGP
OSPF
VLAN
VxLAN
Сценарий № 2 – расширение уровня доступа
Расширение уровня доступа
VLAN 10
Дополнительные ToR
коммутаторы для
поддержки новых
серверных подключений
Существующая
инфраструктура
VLAN 20 VLAN 30
Расширение уровня доступа при помощи ACI
VLAN 10
Бандл ACI начального
уровня, подключенный к
коммутаторам агрегации Существующая
инфраструктура
VLAN 20 Новая группа серверов
Layer 2
соединения
Миграция шлюза по умолчанию на оборудование
ACI для реализации политик
Web Tier
EPG (VLAN 10)
10.10.10.1 Gateway
App Tier
EPG (VLAN 20)
10.10.20.1 Gateway
DB Tier
EPG
SVI 10.10.10.1
SVI 10.10.20.1
802.1q Trunk
для VLAN 10 и
20 Миграция SVI
интерфейсов на на ACI
фабрику для реализации
политик
Application
Client
Subnet
10.20.20.0/24
Subnet 10.10.10.0/24
Subnet
10.30.30.0/24
Subnet
10.40.40.0/24
Subnet
10.50.50.0/24
External Networks
(Outside)
Redirect to Pre-
configured FW
Redirect to Pre-
configured FW
Critical Users
(Outside)
Middle Ware
Servers
Web
Servers Oracle
DB Contract
Redirect to dynamically
configured FW
NFS Contract Redirect to
dynamically
configured FW
Default Users
(Outside)
NFS
Servers
Subnet
10.20.20.0/24
Subnet 10.10.10.0/24
Subnet
10.30.30.0/24
Permit TCP any
any Redirect to Pre-
configured FW
Политика может внедряться постепенно
Сценарий № 2 – пример миграции
Настройки ACI Bridge Domain для миграции
Временно меняем настройки
Bridge Domain пока мы
используем существующие
HSRP шлюзы
Настраиваем Forwarding =
“Custom”:
Разрешаем L2 unknown
unicast flooding
Разрешаем ARP flooding
Запрещаем Unicast routing
Tenant “Red”
Context “Red”
Bridge Domain “10”
Subnet 10 EPG-10
Переносим нагрузки
Существующий дизайн
HSRP
Default GW
VLAN 10 / Subnet A
P P VM VM VM
APIC
EPG “10”
P P VM VM VM
APIC point of view, the policy model
VM’s will need to be connected to new Port
Group under APIC control (AVS or DVS).
После завершения миграции
Возвращаем BD настройки к стандартным Запрещён Flooding
Разрешён Unicast Routing.
Перенос шлюза на ACI фабрику
Меняем MAC адрес шлюза. По
умолчанию вся фабрика использует
один и тот же GW MAC
Разрешаем
маршрутизацию и
ARP фладинг
Как сделать полностью «открытую» среду: VLAN10 общается со всеми
Создаём “контракт”
ALL если ещё не
создан
Используем фильтр
“common/default”
Как сделать полностью «открытую» среду: VLAN10 общается со всеми
EPG VLAN 10
провайдер и
потребитель
контракта “ALL”
Полностью открытое взаимодействие
Contracts
Provided
Filter Contracts
Provided
Contracts
consumed
Filter
EPG “VLAN 10” VLAN10 Default ALL ALL Default
EPG “VLAN 20” VLAN20 Default ALL ALL
EPG “VLAN 30” VLAN30 Default ALL ALL
ALL VLAN 10
VLAN 20
VLAN 30
Обмен между растянутыми VLAN
Разрешён обмен между
всеми портами в VLAN
10, 20 & 30
10.10.10.8 10.20.20.32 10.10.10.9
10.20.20.33
10.20.20.31 10.10.10.6
Все подсети могут взаимодействовать
Если я потом захотел внедрить ACL между VLAN 10 и 20...
ALL VLAN 10
VLAN 20
VLAN 30
Contracts
Provided
Filter Contracts
Provided
Contracts
consumed
Filter
EPG “VLAN 10” VLAN10 Default VLAN20 Port 80
EPG “VLAN 20” VLAN20 Default ALL ALL Default
EPG “VLAN 30” VLAN30 Default ALL ALL
Обмен между растянутыми VLAN
Между всеми
подключениями
функционирует ACL,
пропускающий только
порт 80
10.10.10.8 10.20.20.32 10.10.10.9
10.20.20.33
10.20.20.31 10.10.10.6
Между VLAN 10 & 20 пропускается только HTTP (порт 80)
Сценарий № 3 – реализация сервисов ЦОД на
базе ACI
ACI как сервисный appliance
МСЭ 1 МСЭ 1
L3 OSPF
BGP
L2 VLAN
802.1Q
L2
L3
40G ACI
Backbone
Внедрение сервисного блока с использованием ACI
vSwitch vSwitch vSwitch
APIC Policy
Controller
Directory/Proxy
Service Nodes
Border
Leaves
ACI Enabled L4-7
Virtual and Physical
Services (Поддержка
существующих и
новых/дополнительны
х сервисов)
Реализация
сервисов на базе
ACI в любом
существующем
ЦОД, который
использует IP
протокол
1. Установка сервисного
блока ACI
2. Использование
существующих L4-7
сервисных узлов ‘или’
использование новых
сервисов, которые
будут полностью
автоматизированы при
помощи APIC device
package
3. Протянуть VLAN ==
EPG из существующей
сети в сервисный
модуль ACI
4. Миграция шлюза по
умолчанию на
сервисный модуль ACI
5. Управление сервисами
через APIC с
сохранением текущей
схемы коммутации
Сценарий № 4 – интеграция с доменами
виртуализации
Backbone
Интеграция с доменами виртуализации
vSwitch
APIC Policy
Controller
Directory/Proxy
Service Nodes
Border
Leaves
Интеграция
коммутаторов
встроенных в
гипервизор в политику
APIC и домен
автоматизации
(Extended VLAN или
VXLAN overlay)
1. APIC интегрируется с
существующими
доменами VMM (ESX
vCenter FCS, Microsoft
SCVMM и Azure Pack
post FCS, OVS/KVM)
2. Используется
исходный «vSwitch»
‘или’ устанавливается
Cisco Application
Virtual Switch в
режиме L2
3. Существующие или
новые L4-L7 сервисы
могут быть
использованы ACI
для настройки
цепочек сервисов
AVS OVS Hyper-V AVS
CiscoRu Cisco CiscoRussia
Спасибо
Скороходов Александр
Phone: +7(495)789-8615
E-mail: [email protected]
23.06.2015 © 2014 Cisco and/or its affiliates. All rights reserved.
