Программируемая сеть, думающая за вас: ночной кошмар...
DESCRIPTION
TRANSCRIPT
Cisco Confidential © 2013 Cisco and/or its affiliates. All rights reserved. 1
Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!
Алексей Лукацкий
Бизнес-консультант по безопасности Cisco
Cisco Confidential C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. 2
Финансовая дисциплина - Снижение CAPEX
- Оптимизация OPEX
Гибкость и масштабируемость бизнеса - Снижение времени вывода на рынок новых продуктов
- Быстрое и бесшовное предоставление услуг
Сервис-ориентированное ИТ-подразделение - Динамическая конфигурация
- Динамические политики и картина трафика
Мобильность/BYOD
Содействие и защищенное подключение личных мобильных
устройств
Видео
Содействие и приоритезация растущих объектов видео
Облака
Обеспечение и развитие опыта работы пользователей
с облаками
Разнообразие доступа к ресурсам сети
Бесшовное перемещение сотрудников по офису | Партнеры Филиалы |
Мобильные & Надомные работники
Видимость/Автоматизация
Реализация возможностей по автоматизации для
снижение TCO
VoIP VDI HD
Video
Понимание контекста для установки политик, снижающих
будущие риски
Безопасность
Стационарный доступ к ресурсам
Физические сервера
Фиксированные политики
Контролируемые ИТ приложения
Неизменные потоки трафика
Мобильный доступ к ресурсам
Виртуальные сервера
Инсталляция динамических политик
Принести свое приложение (BYOA)
«Мимолетные» потоки трафика
Все объединено в единую сеть
«Интернет вещей» (M2M)
Корпоративные сети
ЦОД / Облако
Сохраняя всё положительное Развиваться согласно
растущим требованиям
Развитие сети в соответствии с
требованиями современных приложений.
Результат появления концепции BYOD и облачных решений,
а также скачкообразного увеличения объема передаваемых данных и видео
• Отказоустойчивость
• Масштабируемость
• Гибкие функциональные
возможности
• Вложения в инфраструктуру
• Простота эксплуатации
• Возможность программного
управления
• Учет требований
приложений +
SNA поверх
IP
Голос
поверх IP
Inline
Power
Сети
хранения
Сетевая
виртуализация
Унифицированный
доступ
Унифицированная
фабрика
Унифицированные
вычисления
СЕТЬ
Открытая сеть
(ONE)
SDN Big Data Безопасность Хранение Видео Голос
ТЕХНОЛОГИИ, ВЛИЯЮЩИЕ НА СЕТЬ
ИННОВАЦИИ CISCO
Разделение уровня данных и уровня
управления
Сетевые функции в ПО
Изоляция / Разделение / Комбинация / Совместное
использование Сетевая виртуализация
SDN Облачные
вычисления
Cisco Confidential C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. 10
Множество
определений
• Openflow
• Контроллер
• Openstack
• Оверлейные сети
• Сетевая виртуализация
• Автоматизация
• API
• Ориентированные на
приложения
• Виртуальные сервисы
• Открытый vSwitch
• …
Что такое программно
управляемая сеть (SDN)?
“…В архитектуре SDN разделены уровни управления
и передачи данных, обеспечена логическая
централизация интеллектуальных сетевых механизмов
и информации о состоянии сети,
а низлежащая сетевая инфраструктура абстрагирована
от приложений…”
Источник: www.opennetworking.org
Что такое OpenStack?
ПО с открытым исходным кодом для создания
частных и публичных облаков; включает сервисы
вычислений (Nova), сетевые сервисы (Quantum)
и сервисы хранения (Swift).
Источник: www.openstack.org
Что такое оверлейная сеть?
Оверлейная сеть создается на основе существующей
сетевой инфраструктуры (физической или виртуальной)
с помощью сетевого протокола. В качестве примеров
протоколов оверлейных сетей можно привести GRE,
VPLS, OTV, LISP и VXLAN.
Что такое OpenFlow?
“…открытый стандарт, определяющий взаимодействие
между разделёнными уровнями управления
(контроллер) и передачи данных (агент)…”
Источник: www.opennetworking.org
Примечание. В SDN не обязательно используется
OpenFlow.
Примечание. Может использоваться в SDN-сетях
и не-SDN-сетях. Примечание. Может использоваться в SDN-сетях и не-SDN-сетях.
Примечание. Как программное управление, так и
автоматизация возможны и без SDN.
Уровень
обработки
Где
запускается
Показатели
функционирования
Типы процессов и задач
Уровень
управления
ЦПУ
коммутатора
Тысячи пакетов в
секунду
Протоколы маршрутизации (например, OSPF, IS-
IS, BGP), Spanning Tree, SYSLOG, AAA
(Authentication Authorization Accounting), NDE
(Netflow Data Export), CLI (Command Line
interface), SNMP
Уровень
передачи
данных
Специальный
аппаратный
ASIC
Миллионы или
миллиарды пакетов
в секунду
Коммутация L2 и L3 (IPv4 | IPv6), MPLS
forwarding, VRF Forwarding, маркировка QOS
(Quality of Service), классификация, Policing, сбор
Netflow, ACL (Access Control Lists)
Уровень управления (Control Plane) и уровень передачи данных (Data Plane)
Два фундаментальных термина для понимания концепции SDN
Программируемый интерфейс управления
уровнем данных (например, OpenFlow
или OnePK)
(например, OpenStack, CloudStack)
Уровень
инфраструктуры
(данных)
Уровень
приложения
Уровень
приложений
APIs (Northbound)
Business Applications Business Applications Бизнес-приложения
ПО управления SDN
Сетевое устройство
https://www.opennetworking.org/
Сетевые сервисы
Сетевое устройство
Сетевое устройство
Сетевое устройство
Сетевое устройство
• Правила обработки пользовательского трафика задают сами приложения
Реализация собственных алгоритмов
Возможность избавиться от ненужных функций на сетевом уровне
• Управление трафиком в реальном времени
Оптимизация сети для различных приложений со специфичными требованиями
• Изоляция
Разделение сети между различными приложениями
• Унифицированные сетевые политики
Автоматизация и централизация сетевого управления
Эластичность сети
• Быстрое внедрение новых сервисов и процессов
1
5
1
6
ЦОД
• Концентрация на функциях ядра ЦОД
• Высокая гибкость
• Интеграция с облаком
• Обеспечение отказоустойчивости
• Динамическое распределение ресурсов
Мультимедиа
• Управление маршрутами на основе QoS
• Динамические изменения поведения сети
• Миграция контента
• Выделение ресурсов
Мобильные сети
• Мобильный доступ к облаку
• Взаимодействия IoT
• Функциональная виртуализация
Smart Grid
• Оптимизация для коротких команд управления
• Изоляция сетевых сегментов
Традиционная сетевая
архитектура - распределенный
контроль
Уровень управления
Уровень данных
Архитектура SDN –
централизованный контроль
SDN Controller “умный
ящик”
“Централизованное”
управление
• Переход от управления сетью на базе отдельного устройства к централизованному управлению
• Рост сетевой функциональности
• Адаптация к динамически изменяющимся потребностям
• Возможность изменений в реальном времени
• Еще дешевле и проще в управлении, чем современные сети
Для Cisco данная архитектура не нова – по ней построены наши
беспроводные решения (WLC) и решения по сетевой виртуализации (Nexus 1000V)
Что облегчает SDN?
• Сетевая виртуализация
• Изменение цепочки обработки трафика и реализация новых сервисов
• Применение политик
• 5-tuple
• (ограниченный) AVC
• Фильтрация URL
• Проверка репутации
• Сетевые сервисы
• Балансировка нагрузки
• QoS
Что пока под вопросом
• Inter-domain
• BGP
• LISP
• Мультипакетные сервисы
• Stateful inspect
• DPI
• Производительность
• Задержки обработки пакетов
• Масштабирование контроллера
• Доступность
• Сложность переноса логики из действующей сети в контроллер
• Требуется кластеризация
• Зрелость технологии
Уровень управления
Уровень передачи данных
Контроллер
Уровень передачи данных
Приложения
API произво-
дителя обо-
рудования
OpenFlow
2a Классическая SDN
Разработка
производителя
оборудования
(например,
onePK)
Контроллер
Уровень передачи данных
Приложения
API произво-
дителя обо-
рудования
OpenFlow
Уровень управления
2b Гибридная “SDN”
Приложения
Виртуальный УУ
Виртуальный УПД
Оверлейные
протоколы
(например,
VXLAN)
API произво-
дителя обо-
рудования
3 Виртуализация сети/
Оверлейные сети
Уровень управления
Уровень передачи данных
API произво-
дителя обо-
рудования
Приложения
1 Интерфейсы API
Уровень управления
Уровень передачи данных
Разработка
производителя
оборудования
(например,
onePK)
Разработка
производителя
оборудования
(например,
onePK) CLI, SNMP, Netflow, …
ASIC ПО Управление Железо
Cisco Confidential C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. 21
z
Уровень пересылки
Уровень управления
Сетевые сервисы
Управление и оркестрация
Транспорт
Сетевые элементы и абстрактные представления
Анализ и мониторинг, производительность и безопасность
OpenFlow/ SDN
Среда разработки приложений
Сбор
сетевой
аналитики
Программное управление для оптимизации работы
Open
Network
Environment
a
Самый полный набор сетевых решений в отрасли
Оборудование и ПО Физические и виртуальные Сеть + вычисления
Network
Интерфейсы
API для
платформ
Контроллеры
и агенты
Виртуальные
оверлейные
сети
Приложения
www.cisco.com/go/one
onePK Контроллер
и агент OpenFlow;
onePK
Nexus 1000v
Шлюз VXLAN
API для OpenStack
Полномасштабный подход к программному управлению сетями
Cisco Confidential C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. 24
Вы начинаете с
локальной сети на
базе физических
коммутаторов
Физические устройства и
физические соединения
Затем вы
добавляете
«перекрытие»
(overlay)
Перекрытие
обеспечивает базу
для создания
логической сети
Виртуальные
“коммутаторы”
накладываются на
физическую сеть
Используется
физическая сеть для
передачи по
виртуальной сети
Они определяют
собственную
топологию
Multiple “overlay”
networks can co-exist
at the same time
Overlays provides logical
network constructs for
different tenants (customers)
2
9
Nexus 1000V VEM (уровень коммутации)
OpenStack Quantum API
REST API
VXLAN
(16M Segments)
vPath
(VXLAN Aware)
Любой гипервизор (VMware, Microsoft, Opensource)
Tenant 1 Виртуальные
сетевые сервисы
(с vPath)
vWAAS
VSG ASA 1KV
vACE
Tenant 3
ASA 55xx
Физические
нагрузки
Физическая
сеть (VLAN) Шлюз
VXLAN – VLAN
Универсальная функциональность для физических и виртуальных нагрузок
Nexus 1000V VEM (контроллер)
Виртуальные
нагрузки
Tenant 2
LAN Switch (vSwitch)
Security Gateway (VSG)
Identity Services (vISE)
Adaptive Security (vASA)
WAN Acceleration (vWAAS)
Mobility Services (vMSE)
Wireless LAN Control (vWLC)
Cloud Services Router (vCE)
Network Analysis (vNAM)
Video Cache
Network Management (PRIME NCS)
Network Analytics (vDNA)
.. Многие известные сетевые сервисы уже оптимизированы или разработаны заново для виртуальной реализации
WAN маршрутизатор
Tenant A
Физическая инфраструктура
Виртуализованный
/облачный
ЦОД
Коммутатор
Виртуализированные сетевые сервисы
Cisco Nexus 1000V vPath VXLAN
Multi-Hypervisor (VMware, Microsoft, RedHat*, Citrix*)
ASA 1000V Cloud
Firewall
Cisco Virtual
Security Gateway Citrix
NetScaler VPX
Imperva SecureSphere
WAF
Cloud Services Router 1000V
Network Analysis Module (vNAM)
vWAAS
Cisco Nexus 1000V
• Распределенный коммутатор
• Согласованность с NX-OS
VSG
• Контроль на уровне VM
• Zone-based FW
ASA 1000V
• МСЭ периметра, VPN
• Инспекция протоколов
vWAAS
• WAN оптимизация
• Трафик приложений
CSR 1000V (Cloud Router)
• WAN L3 шлюз
• Маршрутизация и VPN
• Citrix NetScaler VPX virtual ADC
• Imperva Web App Firewall
Ecosystem Services
Zone A
Zone B
Сервера
Email / Web Security (vESA
/vWSA)
Физическая
нагрузка
Виртуальная
нагрузка
Облачная
нагрузка
• Одно прил. на сервер
• Статично
• Ручное управление
• Много прил. на сервер
• Мобильность
• Динамическое управление
• Несколько зон на сервер
• Эластичность
• Автомат.масштабирование
ГИПЕРВИЗОР VDC-1 VDC-2
СОГЛАСОВАННОСТЬ: Политики, Возможности, Безопасность, Управление,
Разделение полномочий
Multi-Hypervisor Multi-Service Multi-Cloud
Корпоративное облако Private/Hosted/Managed
Cisco Nexus1000V vSwitch
Облако провайдера Public/Utility/Community
N1KV InterCloud
Другие
потребители
L2 Virtual Private Cloud
Nexus 1000V InterCloud
Коммутация Nexus | Маршрутизация IOS | Сетевые сервисы
Интеграция VM Manager API интеграции с облаком ASP
VNMC InterCloud
Сценарии
• Всплески (события, сезонность, вывод на рынок…)
• Обновление/миграция
• Непрерывность/избежание катастроф
• Защита от «наездов»
Преимущества
• Согласованность сети/сервисов/политик
• Защита и шифрование
• Единая точка управления
• Выбор между провайдерами
Защищенное гибридное облако = Защищенное расширение частного облака в публичное
• Гибкая модель безопасность
Cisco Virtual Secure Gateway (VSG) для внутризоновой защиты
Cisco ASA 1000V для контроля между зонами
• Прозрачная интеграция
С Cisco Nexus 1000V и Cisco vPath
• Единый контроль доступа с помощью Cisco ISE
• Контроль аномалий в сети с помощью Sourcefire Virtual Appliance и Cisco CTD
• Расширение защитных функций
Cisco vESA/vWSA, Imperva WAF
Tenant A
vApp
Гипервизор
Cisco Nexus 1000V
Cisco vPath
VDC
Cisco Virtual Network Management Center (VNMC)
VMware vCenter
Cisco VSG Cisco
VSG
Cisco ASA 1000V Cisco ASA 1000V
Cisco VSG
Cisco VSG
vApp
Tenant B
VDC
Cisco Confidential C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. 35
• Платформа для управления поведением сети – консолидация состояния для многих сетевых узлов
• Существующие примеры применения
Гибкая «нарезка» (“Slicing”) сетей
Диагностика проблем
Маршрутизация по правилам
OF onePK onePK
OF
Протокол OpenFlow 1.x onePK API
Управление потоками Логика форвардинга Управление устройствами
Сегментация сети (slicing)
Приложения (Cisco) Приложения (Заказчик) Приложения (3rd party)
Northbound API (REST, WebSockets, OSGi)
Встроенные в контроллер приложения
Bu
ilt-in G
UI
for
Ma
na
ge
ment
Приложения
Сетевой траблшутинг
Инфраструктура ядра контроллера
Southbound APIs (onePK, OneFlow,)
Пользовательская маршрутизация
Сетевая сегментация (она же Slicing)
Разделение сети на
части
Topology Independent Forwarding (независимая от топологии пересылка)
Статическое или
динамическое создание
бизнес-правил по
маршрутизации
трафика
Подход по
зеркалированию
трафика на средства
анализа на базе политик
Сетевое ответвление (мониторинг трафика)
Рабочая сеть
Наложенная сеть, специально созданная для мониторинга
Инструменты
Специализированное
решение
IDS /
СОРМ
Wireshark
Видео-
монитор
Статическая
фильтрация и
пересылка
Netflow телеметрия
Cisco Switches, Routers и ASA
5500
Внутренняя сеть &
периметр
Общий вид
Анализ и контекст в
Cisco Cyber Threat Defense
Знание «Кто, что, как» подозрительного трафика позволяет сделать следующее:
• ISE отправляет identity данные в CTD
• NBAR из маршрутизаторов тоже попадает в CTD
• NAT stitching feature для ASA и ASR 1k объединяет внешнее и внутреннее адресное пространства
NetFlow
Данные контекста
Cisco Identity, Device, Posture, NAT,
Application
Рабочая сеть
Замена выделенной сети для мониторинга на Nexus 3000, Controller и приложение Monitor Manager на XNC
Инструменты
С решением SDN Monitor Manager
NEW CUSTOM
TOOLS
Динамические фильтры и
пересылка на базе событий
в реальном времени
Openflow Enabled
Nexus 3000s
Wireshark
Видео-
монитор
Optical
Taps
Cisco XNC
SPAN
Central Tapping
Point
Следующий шаг после Monitor Manager
Упрощение правил пересылки трафика для улучшения утилизации WAN
Cisco XNC
• Традиционный подходит тормозит эффективное использование WAN
- Приложение должно заставлять пользователей использовать Policy Based Routing (PBR)
- Политика маршрутизации статична
- Нет возможности для использования дополнительных метрик, таких как полоса пропускания, утилизация или задержки
• Приложение Cisco XNC Topology Independent Forwarding решает эти проблемы
- Устраняя необходимость в использовании PBR
- Реализуя независимость от физической топологии сети
- Обеспечивая возможность перенаправлять трафик при обнаружении отказов в сети
- Поддерживая различные метрики
- Кратчайший путь
- Полоса пропускания (1 Gbps/ 10 Gbps)
- Задержка
- Утилизация
- Пользовательские правила
Обход МСЭ для доверенных приложений или выборочное шифрование
Поток для
резервирования
Другие параметры для определения маршрута также возможны
2 мс
Openflow / one PK
Cisco XNC
Цены ISP Маршрут A Маршрут B
$1
$2
$3
$1
$2
$3
2
3
App
1
Маршрут A
on
eP
K
Назначение
Маршрут B
Собственные правила определения маршрута движения трафика
Возможности
• Динамическая сетевая
сегментация из “единой
точки контроля”
• Изоляция сегментов
• Бесшовная интеграция с
пересылкой по
пользовательским
правилам
Максимум гибкости и учета динамических потребностей предприятия
Slice 1
Slice 2
Slice 3
• Сетевая «нарезка» логически делит сеть на основе набора критериев
- Физические устройства
- Физические интерфейсы
- Логические интерфейсы
- VLAN ID
- Дополнительные параметры потоков (например: порт, протокол, источник, назначение и т.д.)
• Пользователи могут быть привязаны к специфичным сегментам
• Пользователи будут видеть только свою часть сети
• Вспомните Cisco Identity Service Engine – он реализует схожую функциональность
onePK предоставляет доступ к информации о системе и интерфейсах?
Система
Интерфейсы
Routing
QoS
CPU, Memory, Platform, Serial #, Versions, Uptime,
Location, OIR, CLI Changes
Port, Slot, BW, MTU, TX/RX, BPS, PPS, Errors,
Other Stats, Config, Link Changes
Пр
ил
ож
ен
ие
onePK предоставляет возможность Копировать/Пересылать/Вводить пакеты?
Уровень
передачи
данных
Пр
ил
ож
ен
ие
Копирование пакетов
Вставка новых или модификация
Вспомните Cisco Email Security Appliance
и его функцию по включению в исходящие email
предустановленного Disclaimer!
IP NGN
Полоса по требованию, утилизация пропускной способности Гарантия SLA, динамический QoS
Облака
Создание эластичных сервисов, Security as a Service (SaaS), Автоматизация восстановления после катастроф, Балансировка нагрузки
Мобильный доступ
Динамичные политики и ценообразование, M2M, данные спонсоров
Видео
Премиальное видео, виртуализированное видео, облачный DVR
Cisco Confidential C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. 51
Традиционные средства
CLI
AAA
SNMP
HTML
XML
Syslog
Span
Netflow
CDP
Routing Protocols
Monitorin
g
Routing
QoS
Discovery
Security
Interfaces
EEM (TCL)
Новая парадигма
App
C
Java
Python
Все о
чем
мечта
ете
..
Rich Actions, Rich Events,
Rich Environment
Приложение
onePK
CLI
SNMP
EEM
NMS
Новые инструменты
позволяют быстрее
реализовать
необходимый сценарий
Новые
инструменты
вовлекают ИТ
разработчиков
Программы на C, JAVA, Python
Презентационный уровень onePK API
Инфраструктура onePK API
IOS / XE
(Catalyst, ISR, ASR1K)
NXOS
(Платформы Nexus)
IOS XR
(ASR 9K, CRS)
DATA PATH
POLICY
ROUTING
ELEMENT
DISCOVERY
UTILITY
DEVELOPER
Сервисы доставки пакетов приложениям – копирование,
врезка…
Фильтрация (NBAR), классификация (class-map, policy-map),
действия (маркировка, policing, queuing), применение политик
Чтение маршрутов RIB, добавить/удалить маршруты, получать
уведомления RIB
Статистика CPU/память, статистика по интерфейсам, событий
по элементам и интерфейсам
Анализ топологии 3-го уровня
События SYSLOG и отслеживание пути трафика
Отладка и расширение CLI (вызов CLI из приложений)
Наб
ор
ы с
ерви
сов O
neP
K
Cisco Confidential C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. 56
• Канал от пользовательского до сетевого устройства
• Сетевое устройство
• Протокол управления сетевыми устройствами (OpenFlow, onePK)
• Контроллер SDN
• Станция управления
• Приложения
• API
• С точки зрения доступности, конфиденциальности, целостности, подотчетности, неотказуемости…
Data Plane
Control &
Management
7
SDNdevice
SDNdevice
SDNdevice
AdminSta on
65
4
3
SDNController
SDNcontrolprotocol(e.g.,OpenFlow)
Managementconnec on(e.g.,SSH)
2
Dataplanephysical/logicalconnec ons
SDNdevice
1
• Классическая SDN базируется на публичных стандартах и интерфейсах
Хороши известный вектор для атаки
• Внешний доступ к внутренним ресурсам сетевого устройства
• Каскадное распространение проблемы/уязвимости по всей SDN
• Отказ в облуживании на контроллер
• Легкость тестирования сценариев атак для злоумышленника
• Компрометация контроллера = компрометация всей сети
Cisco Confidential C97-714479-00 © 2012 Cisco and/or its affiliates. All rights reserved. 59
Сегодня
Уровень пересылки
Уровень управления
Сетевые сервисы
Управление и оркестрация
Транспорт
Cisco Prime
ASA, WaaS, VSG,
vWaaS
Nexus 1000v
Новое!
Контроллеры
и агенты Виртуальные
оверлеи
VXLAN, vPath
Nexus 1000V: OpenStack
CSR 1000V
SDN PoC: Контроллер/
агент
OpenFlow
Nexus 1000V:
Различные
гипервизоры
Шлюз VXLAN
onePK
Интерфейсы
API для
платформ
Протоколы, интерфейсы API и модели развертывания С
по
со
бн
ос
ть
об
ъе
ди
ня
ть
ур
ов
ни
Классификаторы пакетов
Пометка
Копирование/удаление/
вставка
Статистика
Quantum API
Описания интерфейсов
Конфигурирование сети (L2)
L3 и упр. IP-адр. - ожидается
Гибкость функционала
Элемент
Свойства элемента
Управление
конфигурацией
События интерфейсов/
портов
Сведения о
местоположении
Утилиты
События и
запросы Syslog
Интерфейс AAA
События Netflow
События DHCP
Обнаружение
Обнаружение
сетевых элементов
Обнаружение сервисов
Обнаружение топологии
Разработчик
Возможность
отладки
Интерфейсы для
трассировки
Расширения для
управления
Политика
Политика
интерфейса
Политика
функционала
интерфейса
Политика пересылки
Политика обработки
сеанса
Маршрутизация
События
смены
протокола
Запросы из
таблицы RIB
Портал для разработчиков
Много ISV
Обучение/сертификация
Спасибо!