Программируемая сеть, думающая за вас: ночной кошмар...

Cisco Confidential © 2013 Cisco and/or its affiliates. All rights reserved. 1

Программируемая сеть, думающая за вас: ночной кошмар или светлое будущее?!

Алексей Лукацкий

Бизнес-консультант по безопасности Cisco

Финансовая дисциплина - Снижение CAPEX

- Оптимизация OPEX

Гибкость и масштабируемость бизнеса - Снижение времени вывода на рынок новых продуктов

- Быстрое и бесшовное предоставление услуг

Сервис-ориентированное ИТ-подразделение - Динамическая конфигурация

- Динамические политики и картина трафика

Мобильность/BYOD

Содействие и защищенное подключение личных мобильных

устройств

Видео

Содействие и приоритезация растущих объектов видео

Облака

Обеспечение и развитие опыта работы пользователей

с облаками

Разнообразие доступа к ресурсам сети

Бесшовное перемещение сотрудников по офису | Партнеры Филиалы |

Мобильные & Надомные работники

Видимость/Автоматизация

Реализация возможностей по автоматизации для

снижение TCO

VoIP VDI HD

Video

Понимание контекста для установки политик, снижающих

будущие риски

Безопасность

Стационарный доступ к ресурсам

Физические сервера

Фиксированные политики

Контролируемые ИТ приложения

Неизменные потоки трафика

Мобильный доступ к ресурсам

Виртуальные сервера

Инсталляция динамических политик

Принести свое приложение (BYOA)

«Мимолетные» потоки трафика

Все объединено в единую сеть

«Интернет вещей» (M2M)

Корпоративные сети

ЦОД / Облако

Сохраняя всё положительное Развиваться согласно

растущим требованиям

Развитие сети в соответствии с

требованиями современных приложений.

Результат появления концепции BYOD и облачных решений,

а также скачкообразного увеличения объема передаваемых данных и видео

• Отказоустойчивость

• Масштабируемость

• Гибкие функциональные

возможности

• Вложения в инфраструктуру

• Простота эксплуатации

• Возможность программного

управления

• Учет требований

приложений +

SNA поверх

IP

Голос

поверх IP

Inline

Power

Сети

хранения

Сетевая

виртуализация

Унифицированный

доступ

Унифицированная

фабрика

Унифицированные

вычисления

СЕТЬ

Открытая сеть

(ONE)

SDN Big Data Безопасность Хранение Видео Голос

ТЕХНОЛОГИИ, ВЛИЯЮЩИЕ НА СЕТЬ

ИННОВАЦИИ CISCO

Разделение уровня данных и уровня


Сетевые функции в ПО

Изоляция / Разделение / Комбинация / Совместное

использование Сетевая виртуализация

SDN Облачные

вычисления

Множество

определений

• Openflow

• Контроллер

• Openstack

• Оверлейные сети

• Сетевая виртуализация

• Автоматизация

• API

• Ориентированные на

приложения

• Виртуальные сервисы

• Открытый vSwitch

• …

Что такое программно

управляемая сеть (SDN)?

“…В архитектуре SDN разделены уровни управления

и передачи данных, обеспечена логическая

централизация интеллектуальных сетевых механизмов

и информации о состоянии сети,

а низлежащая сетевая инфраструктура абстрагирована

от приложений…”

Источник: www.opennetworking.org

Что такое OpenStack?

ПО с открытым исходным кодом для создания

частных и публичных облаков; включает сервисы

вычислений (Nova), сетевые сервисы (Quantum)

и сервисы хранения (Swift).

Источник: www.openstack.org

Что такое оверлейная сеть?

Оверлейная сеть создается на основе существующей

сетевой инфраструктуры (физической или виртуальной)

с помощью сетевого протокола. В качестве примеров

протоколов оверлейных сетей можно привести GRE,

VPLS, OTV, LISP и VXLAN.

Что такое OpenFlow?

“…открытый стандарт, определяющий взаимодействие

между разделёнными уровнями управления

(контроллер) и передачи данных (агент)…”

Источник: www.opennetworking.org

Примечание. В SDN не обязательно используется

OpenFlow.

Примечание. Может использоваться в SDN-сетях

и не-SDN-сетях. Примечание. Может использоваться в SDN-сетях и не-SDN-сетях.

Примечание. Как программное управление, так и

автоматизация возможны и без SDN.

Уровень

обработки

Где

запускается

Показатели

функционирования

Типы процессов и задач

Уровень


ЦПУ

коммутатора

Тысячи пакетов в

секунду

Протоколы маршрутизации (например, OSPF, IS-

IS, BGP), Spanning Tree, SYSLOG, AAA

(Authentication Authorization Accounting), NDE

(Netflow Data Export), CLI (Command Line

interface), SNMP

Уровень

передачи

данных

Специальный

аппаратный

ASIC

Миллионы или

миллиарды пакетов

в секунду

Коммутация L2 и L3 (IPv4 | IPv6), MPLS

forwarding, VRF Forwarding, маркировка QOS

(Quality of Service), классификация, Policing, сбор

Netflow, ACL (Access Control Lists)

Уровень управления (Control Plane) и уровень передачи данных (Data Plane)

Два фундаментальных термина для понимания концепции SDN

Программируемый интерфейс управления

уровнем данных (например, OpenFlow

или OnePK)

(например, OpenStack, CloudStack)

Уровень

инфраструктуры

(данных)

Уровень

приложения

Уровень

приложений

APIs (Northbound)

Business Applications Business Applications Бизнес-приложения

ПО управления SDN

Сетевое устройство

https://www.opennetworking.org/

Сетевые сервисы





• Правила обработки пользовательского трафика задают сами приложения

Реализация собственных алгоритмов

Возможность избавиться от ненужных функций на сетевом уровне

• Управление трафиком в реальном времени

Оптимизация сети для различных приложений со специфичными требованиями

• Изоляция

Разделение сети между различными приложениями

• Унифицированные сетевые политики

Автоматизация и централизация сетевого управления

Эластичность сети

• Быстрое внедрение новых сервисов и процессов

1

5

1

6

ЦОД

• Концентрация на функциях ядра ЦОД

• Высокая гибкость

• Интеграция с облаком

• Обеспечение отказоустойчивости

• Динамическое распределение ресурсов

Мультимедиа

• Управление маршрутами на основе QoS

• Динамические изменения поведения сети

• Миграция контента

• Выделение ресурсов

Мобильные сети

• Мобильный доступ к облаку

• Взаимодействия IoT

• Функциональная виртуализация

Smart Grid

• Оптимизация для коротких команд управления

• Изоляция сетевых сегментов

Традиционная сетевая

архитектура - распределенный

контроль

Уровень управления

Уровень данных

Архитектура SDN –

централизованный контроль

SDN Controller “умный

ящик”

“Централизованное”

управление

• Переход от управления сетью на базе отдельного устройства к централизованному управлению

• Рост сетевой функциональности

• Адаптация к динамически изменяющимся потребностям

• Возможность изменений в реальном времени

• Еще дешевле и проще в управлении, чем современные сети

Для Cisco данная архитектура не нова – по ней построены наши

беспроводные решения (WLC) и решения по сетевой виртуализации (Nexus 1000V)

Что облегчает SDN?

• Сетевая виртуализация

• Изменение цепочки обработки трафика и реализация новых сервисов

• Применение политик

• 5-tuple

• (ограниченный) AVC

• Фильтрация URL

• Проверка репутации

• Сетевые сервисы

• Балансировка нагрузки

• QoS

Что пока под вопросом

• Inter-domain

• BGP

• LISP

• Мультипакетные сервисы

• Stateful inspect

• DPI

• Производительность

• Задержки обработки пакетов

• Масштабирование контроллера

• Доступность

• Сложность переноса логики из действующей сети в контроллер

• Требуется кластеризация

• Зрелость технологии


Уровень передачи данных

Контроллер


Приложения

API произво-

дителя обо-

рудования

OpenFlow

2a Классическая SDN

Разработка

производителя

оборудования

(например,

onePK)

Контроллер



API произво-


рудования

OpenFlow


2b Гибридная “SDN”


Виртуальный УУ

Виртуальный УПД

Оверлейные

протоколы

(например,

VXLAN)

API произво-


рудования

3 Виртуализация сети/

Оверлейные сети



API произво-


рудования


1 Интерфейсы API






(например,

onePK)




(например,

onePK) CLI, SNMP, Netflow, …

ASIC ПО Управление Железо

z

Уровень пересылки



Управление и оркестрация

Транспорт

Сетевые элементы и абстрактные представления

Анализ и мониторинг, производительность и безопасность

OpenFlow/ SDN

Среда разработки приложений

Сбор

сетевой

аналитики

Программное управление для оптимизации работы

Open

Network

Environment

a

Самый полный набор сетевых решений в отрасли

Оборудование и ПО Физические и виртуальные Сеть + вычисления

Network

Интерфейсы

API для

платформ

Контроллеры

и агенты

Виртуальные

оверлейные

сети


www.cisco.com/go/one

onePK Контроллер

и агент OpenFlow;

onePK

Nexus 1000v

Шлюз VXLAN

API для OpenStack

Полномасштабный подход к программному управлению сетями

Вы начинаете с

локальной сети на

базе физических

коммутаторов

Физические устройства и

физические соединения

Затем вы

добавляете

«перекрытие»

(overlay)

Перекрытие

обеспечивает базу

для создания

логической сети


“коммутаторы”

накладываются на

физическую сеть

Используется

физическая сеть для

передачи по

виртуальной сети

Они определяют

собственную

топологию

Multiple “overlay”

networks can co-exist

at the same time

Overlays provides logical

network constructs for

different tenants (customers)

2

9

Nexus 1000V VEM (уровень коммутации)

OpenStack Quantum API

REST API

VXLAN

(16M Segments)

vPath

(VXLAN Aware)

Любой гипервизор (VMware, Microsoft, Opensource)

Tenant 1 Виртуальные

сетевые сервисы

(с vPath)

vWAAS

VSG ASA 1KV

vACE

Tenant 3

ASA 55xx

Физические

нагрузки

Физическая

сеть (VLAN) Шлюз

VXLAN – VLAN

Универсальная функциональность для физических и виртуальных нагрузок

Nexus 1000V VEM (контроллер)


нагрузки

Tenant 2

LAN Switch (vSwitch)

Security Gateway (VSG)

Identity Services (vISE)

Adaptive Security (vASA)

WAN Acceleration (vWAAS)

Mobility Services (vMSE)

Wireless LAN Control (vWLC)

Cloud Services Router (vCE)

Network Analysis (vNAM)

Video Cache

Network Management (PRIME NCS)

Network Analytics (vDNA)

.. Многие известные сетевые сервисы уже оптимизированы или разработаны заново для виртуальной реализации

WAN маршрутизатор

Tenant A

Физическая инфраструктура

Виртуализованный

/облачный

ЦОД

Коммутатор

Виртуализированные сетевые сервисы

Cisco Nexus 1000V vPath VXLAN

Multi-Hypervisor (VMware, Microsoft, RedHat*, Citrix*)

ASA 1000V Cloud

Firewall

Cisco Virtual

Security Gateway Citrix

NetScaler VPX

Imperva SecureSphere

WAF

Cloud Services Router 1000V

Network Analysis Module (vNAM)

vWAAS

Cisco Nexus 1000V

• Распределенный коммутатор

• Согласованность с NX-OS

VSG

• Контроль на уровне VM

• Zone-based FW

ASA 1000V

• МСЭ периметра, VPN

• Инспекция протоколов

vWAAS

• WAN оптимизация

• Трафик приложений

CSR 1000V (Cloud Router)

• WAN L3 шлюз

• Маршрутизация и VPN

• Citrix NetScaler VPX virtual ADC

• Imperva Web App Firewall

Ecosystem Services

Zone A

Zone B

Сервера

Email / Web Security (vESA

/vWSA)

Физическая

нагрузка

Виртуальная

нагрузка

Облачная

нагрузка

• Одно прил. на сервер

• Статично

• Ручное управление

• Много прил. на сервер

• Мобильность

• Динамическое управление

• Несколько зон на сервер

• Эластичность

• Автомат.масштабирование

ГИПЕРВИЗОР VDC-1 VDC-2

СОГЛАСОВАННОСТЬ: Политики, Возможности, Безопасность, Управление,

Разделение полномочий

Multi-Hypervisor Multi-Service Multi-Cloud

Корпоративное облако Private/Hosted/Managed

Cisco Nexus1000V vSwitch

Облако провайдера Public/Utility/Community

N1KV InterCloud

Другие

потребители

L2 Virtual Private Cloud

Nexus 1000V InterCloud

Коммутация Nexus | Маршрутизация IOS | Сетевые сервисы

Интеграция VM Manager API интеграции с облаком ASP

VNMC InterCloud

Сценарии

• Всплески (события, сезонность, вывод на рынок…)

• Обновление/миграция

• Непрерывность/избежание катастроф

• Защита от «наездов»

Преимущества

• Согласованность сети/сервисов/политик

• Защита и шифрование

• Единая точка управления

• Выбор между провайдерами

Защищенное гибридное облако = Защищенное расширение частного облака в публичное

• Гибкая модель безопасность

Cisco Virtual Secure Gateway (VSG) для внутризоновой защиты

Cisco ASA 1000V для контроля между зонами

• Прозрачная интеграция

С Cisco Nexus 1000V и Cisco vPath

• Единый контроль доступа с помощью Cisco ISE

• Контроль аномалий в сети с помощью Sourcefire Virtual Appliance и Cisco CTD

• Расширение защитных функций

Cisco vESA/vWSA, Imperva WAF

Tenant A

vApp

Гипервизор

Cisco Nexus 1000V

Cisco vPath

VDC

Cisco Virtual Network Management Center (VNMC)

VMware vCenter

Cisco VSG Cisco

VSG

Cisco ASA 1000V Cisco ASA 1000V

Cisco VSG

Cisco VSG

vApp

Tenant B

VDC

• Платформа для управления поведением сети – консолидация состояния для многих сетевых узлов

• Существующие примеры применения

Гибкая «нарезка» (“Slicing”) сетей

Диагностика проблем

Маршрутизация по правилам

OF onePK onePK

OF

Протокол OpenFlow 1.x onePK API

Управление потоками Логика форвардинга Управление устройствами

Сегментация сети (slicing)

Приложения (Cisco) Приложения (Заказчик) Приложения (3rd party)

Northbound API (REST, WebSockets, OSGi)

Встроенные в контроллер приложения

Bu

ilt-in G

UI

for

Ma

na

ge

ment


Сетевой траблшутинг

Инфраструктура ядра контроллера

Southbound APIs (onePK, OneFlow,)

Пользовательская маршрутизация

Сетевая сегментация (она же Slicing)

Разделение сети на

части

Topology Independent Forwarding (независимая от топологии пересылка)

Статическое или

динамическое создание

бизнес-правил по

маршрутизации

трафика

Подход по

зеркалированию

трафика на средства

анализа на базе политик

Сетевое ответвление (мониторинг трафика)

Рабочая сеть

Наложенная сеть, специально созданная для мониторинга

Инструменты

Специализированное

решение

IDS /

СОРМ

Wireshark

Видео-

монитор

Статическая

фильтрация и

пересылка

Netflow телеметрия

Cisco Switches, Routers и ASA

5500

Внутренняя сеть &

периметр

Общий вид

Анализ и контекст в

Cisco Cyber Threat Defense

Знание «Кто, что, как» подозрительного трафика позволяет сделать следующее:

• ISE отправляет identity данные в CTD

• NBAR из маршрутизаторов тоже попадает в CTD

• NAT stitching feature для ASA и ASR 1k объединяет внешнее и внутреннее адресное пространства

NetFlow

Данные контекста

Cisco Identity, Device, Posture, NAT,

Application

Рабочая сеть

Замена выделенной сети для мониторинга на Nexus 3000, Controller и приложение Monitor Manager на XNC

Инструменты

С решением SDN Monitor Manager

NEW CUSTOM

TOOLS

Динамические фильтры и

пересылка на базе событий

в реальном времени

Openflow Enabled

Nexus 3000s

Wireshark

Видео-

монитор

Optical

Taps

Cisco XNC

SPAN

Central Tapping

Point

Следующий шаг после Monitor Manager

Упрощение правил пересылки трафика для улучшения утилизации WAN

Cisco XNC

• Традиционный подходит тормозит эффективное использование WAN

- Приложение должно заставлять пользователей использовать Policy Based Routing (PBR)

- Политика маршрутизации статична

- Нет возможности для использования дополнительных метрик, таких как полоса пропускания, утилизация или задержки

• Приложение Cisco XNC Topology Independent Forwarding решает эти проблемы

- Устраняя необходимость в использовании PBR

- Реализуя независимость от физической топологии сети

- Обеспечивая возможность перенаправлять трафик при обнаружении отказов в сети

- Поддерживая различные метрики

- Кратчайший путь

- Полоса пропускания (1 Gbps/ 10 Gbps)

- Задержка

- Утилизация

- Пользовательские правила

Обход МСЭ для доверенных приложений или выборочное шифрование

Поток для

резервирования

Другие параметры для определения маршрута также возможны

2 мс

Openflow / one PK

Cisco XNC

Цены ISP Маршрут A Маршрут B

$1

$2

$3

$1

$2

$3

2

3

App

1

Маршрут A

on

eP

K

Назначение

Маршрут B

Собственные правила определения маршрута движения трафика

Возможности

• Динамическая сетевая

сегментация из “единой

точки контроля”

• Изоляция сегментов

• Бесшовная интеграция с

пересылкой по

пользовательским

правилам

Максимум гибкости и учета динамических потребностей предприятия

Slice 1

Slice 2

Slice 3

• Сетевая «нарезка» логически делит сеть на основе набора критериев

- Физические устройства

- Физические интерфейсы

- Логические интерфейсы

- VLAN ID

- Дополнительные параметры потоков (например: порт, протокол, источник, назначение и т.д.)

• Пользователи могут быть привязаны к специфичным сегментам

• Пользователи будут видеть только свою часть сети

• Вспомните Cisco Identity Service Engine – он реализует схожую функциональность

onePK предоставляет доступ к информации о системе и интерфейсах?

Система


Routing

QoS

CPU, Memory, Platform, Serial #, Versions, Uptime,

Location, OIR, CLI Changes

Port, Slot, BW, MTU, TX/RX, BPS, PPS, Errors,

Other Stats, Config, Link Changes

Пр

ил

ож

ен

ие

onePK предоставляет возможность Копировать/Пересылать/Вводить пакеты?

Уровень

передачи

данных

Пр

ил

ож

ен

ие

Копирование пакетов

Вставка новых или модификация

Вспомните Cisco Email Security Appliance

и его функцию по включению в исходящие email

предустановленного Disclaimer!

IP NGN

Полоса по требованию, утилизация пропускной способности Гарантия SLA, динамический QoS

Облака

Создание эластичных сервисов, Security as a Service (SaaS), Автоматизация восстановления после катастроф, Балансировка нагрузки

Мобильный доступ

Динамичные политики и ценообразование, M2M, данные спонсоров

Видео

Премиальное видео, виртуализированное видео, облачный DVR

Традиционные средства

CLI

AAA

SNMP

HTML

XML

Syslog

Span

Netflow

CDP

Routing Protocols

Monitorin

g

Routing

QoS

Discovery

Security

Interfaces

EEM (TCL)

Новая парадигма

App

C

Java

Python

Все о

чем

мечта

ете

..

Rich Actions, Rich Events,

Rich Environment

Приложение

onePK

CLI

SNMP

EEM

NMS

Новые инструменты

позволяют быстрее

реализовать

необходимый сценарий

Новые

инструменты

вовлекают ИТ

разработчиков

Программы на C, JAVA, Python

Презентационный уровень onePK API

Инфраструктура onePK API

IOS / XE

(Catalyst, ISR, ASR1K)

NXOS

(Платформы Nexus)

IOS XR

(ASR 9K, CRS)

DATA PATH

POLICY

ROUTING

ELEMENT

DISCOVERY

UTILITY

DEVELOPER

Сервисы доставки пакетов приложениям – копирование,

врезка…

Фильтрация (NBAR), классификация (class-map, policy-map),

действия (маркировка, policing, queuing), применение политик

Чтение маршрутов RIB, добавить/удалить маршруты, получать

уведомления RIB

Статистика CPU/память, статистика по интерфейсам, событий

по элементам и интерфейсам

Анализ топологии 3-го уровня

События SYSLOG и отслеживание пути трафика

Отладка и расширение CLI (вызов CLI из приложений)

Наб

ор

ы с

ерви

сов O

neP

K

• Канал от пользовательского до сетевого устройства

• Сетевое устройство

• Протокол управления сетевыми устройствами (OpenFlow, onePK)

• Контроллер SDN

• Станция управления

• Приложения

• API

• С точки зрения доступности, конфиденциальности, целостности, подотчетности, неотказуемости…

Data Plane

Control &

Management

7

SDNdevice

SDNdevice

SDNdevice

AdminSta on

65

4

3

SDNController

SDNcontrolprotocol(e.g.,OpenFlow)

Managementconnec on(e.g.,SSH)

2

Dataplanephysical/logicalconnec ons

SDNdevice

1

• Классическая SDN базируется на публичных стандартах и интерфейсах

Хороши известный вектор для атаки

• Внешний доступ к внутренним ресурсам сетевого устройства

• Каскадное распространение проблемы/уязвимости по всей SDN

• Отказ в облуживании на контроллер

• Легкость тестирования сценариев атак для злоумышленника

• Компрометация контроллера = компрометация всей сети

Сегодня

Уровень пересылки



Управление и оркестрация

Транспорт

Cisco Prime

ASA, WaaS, VSG,

vWaaS

Nexus 1000v

Новое!

Контроллеры

и агенты Виртуальные

оверлеи

VXLAN, vPath

Nexus 1000V: OpenStack

CSR 1000V

SDN PoC: Контроллер/

агент

OpenFlow

Nexus 1000V:

Различные

гипервизоры

Шлюз VXLAN

onePK


API для

платформ

Протоколы, интерфейсы API и модели развертывания С

по

со

бн

ос

ть

об

ъе

ди

ня

ть

ур

ов

ни

Классификаторы пакетов

Пометка

Копирование/удаление/

вставка

Статистика

Quantum API

Описания интерфейсов

Конфигурирование сети (L2)

L3 и упр. IP-адр. - ожидается

Гибкость функционала

Элемент

Свойства элемента

Управление

конфигурацией

События интерфейсов/

портов

Сведения о

местоположении

Утилиты

События и

запросы Syslog

Интерфейс AAA

События Netflow

События DHCP

Обнаружение

Обнаружение

сетевых элементов

Обнаружение сервисов

Обнаружение топологии

Разработчик

Возможность

отладки

Интерфейсы для

трассировки

Расширения для


Политика

Политика

интерфейса

Политика

функционала

интерфейса

Политика пересылки

Политика обработки

сеанса

Маршрутизация

События

смены

протокола

Запросы из

таблицы RIB

Портал для разработчиков

Много ISV

Обучение/сертификация

Спасибо!

Программируемая сеть, думающая за вас: ночной кошмар...

Documents

cisco andor

slicing cisco

cisco confidential10

cisco confidential21

cisco confidential24

cisco confidential35

cisco confidential51

cisco wlc nexus