cisco aci. Инфраструктура, ориентированная на приложения...
TRANSCRIPT
Cisco ACI. Инфраструктура, ориентированная на приложения (часть 2). Интеграция с системами виртуализации (vSphere, Hyper-V, OpenStack) и сервисами L4-L7
Хаванкин Максим cистемный архитектор, CCIE [email protected]
10/1/15 © 2015 Cisco and/or its affiliates. All rights reserved.
Содержание
• Концепция интеграции с системами виртуализации • Интеграция с VMware • Интеграция с Microsoft Hyper-V • Интеграция c OpenStack
• Поддержка L4-L7 сервисных устройств • Проблема интеграции сервисных устройств в сеть ЦОД • Примеры дизайнов с сервисными графами • Встраивание Cisco ASA и Cisco IPS
10/1/15 © 2015 Cisco and/or its affiliates. All rights reserved. 2
Концепция интеграции с системами виртуализации
Взаимодействие гипервизоров с ACI Два режима работы
§ ACI фабрика используется как IP-Ethernet транспорт
§ Инкапсуляция настраивается руками
§ Разные домены политик для физической и виртуальной среды
Non-Integrated Mode
VXLAN
10000 VLAN 10
§ ACI фабрика контролирует подключение в виртуальной среде
§ Инкапсуляция нормализуется и настраивается динамически
§ Единый домен управления для физической и виртуальной среды
APP WEB DB
Integrated Mode
DB
vCenter DVS SCVMM
§ APIC контроллер и Virtual Machine Manager (VMM) интегрируются друг с другом
§ Несколько VMM могут подключаться к одной ACI фабрике
§ Каждый VMM ассоциируется с набором хостов
VMM Domain
§ Отношение 1:1 между виртуальным коммутатором и VMM Domain-ом
VMM Domain 1
Взаимодействие гипервизоров с ACI Концепция VMM Domain
vCenter AVS
VMM Domain 2 VMM Domain 3
L/B
EPGAPP
EPG DB F/W
EPG WEB
Application Network Profile
VM VM VM
WEB PORT GROUP
APP PORT GROUP
DB PORT GROUP
Взаимодействие гипервизоров с ACI Концепция VMM Domain
APIC § ACI фабрика использует EPG для управления политиками
§ В виртуальной среде EPG может представлять собой порт виртуального коммутатора, к которому подключен vNIC виртуальной машины
§ VMM применяет сетевую конфигурацию сетевым интерфейсам виртуальных машин с использованием следующих объектов:
Port Groups (VMware) VM Networks (Hyper-V) Networks (OpenStack)
Взаимодействие гипервизоров с ACI Нормализация инкапсуляции
VXLAN VNID = 5789
VXLAN VNID = 11348
NVGRE VSID = 7456
Any to Any
802.1Q VLAN 50
Нормализация инкапсуляции
Локализация инкапсуляции
IP фабрика использует
GBP VXLAN тег
Данные IP GBP VXLAN VTEP
• Весь трафик инкапсулируется при помощи extended VXLAN (eVXLAN) заголовка
• Внешний тег VLAN, VXLAN, NVGRE на входящем порту отображается во внутренний eVXLAN тег
• Внешние идентификаторы локализуются на уровне Leaf устройства или Leaf порта
• Возможность переиспользования, если требуется
Данные
Данные
Данные
Данные
Данные
Eth IP VXLAN Outer
IP
IP NVGRE Outer IP
IP 802.1Q
Eth IP
Eth MAC
Нормализация входящей инкапсуляции
APIC
4 разных типа интерфейсов в одном EPG
• ESX – распределенный коммутатор VMware (VLAN)
• ESX – коммутатор AVS от Cisco (VXLAN)
• Hyper-V – коммутатор от Microsoft (VLAN)
• Порт физического сервера (VLAN)
EP
EP
EP
EP
EP
EP EP
EP
EP
EP
EP
EP
EP
EP
VMM Domain 1 4K EPGs
VMM Domain 2 4K EPGs
16M Virtual Networks § VLAN ID дает возможность создать 4K уникальных EPG (12 бит)
§ Масштабирование пулами по 4K EPG
§ Выбор VMM домена для EPG на основе требований к миграции
§ Миграция (vMotion, Live migration) внутри VMM домена
Взаимодействие гипервизоров с ACI VMM домены и VLAN инкапсуляция
Взаимодействие гипервизоров с ACI Endpoint Discovery
ESXi с DVS
APIC
VMM
Control (vCenter API)
Передача данных
§ Виртуальные машины обнаруживаются двумя методами:
§ Control Plane Learning: Out-of-Band Handshake: vCenter API
Inband Handshake: хосты с поддержкой OpFlex (сегодня AVS и Hyper-V)
§ Data Path Learning: выучивание адресов на основе передавемых данных
§ LLDP используется для идентификации Virtual host ID (HV) и физического порта, к которому подключен гипервизор (для случаев когда OpFlex не используется)
OpFlex Host (ESXi с AVS или Hyper-V)
Control (OpFlex)
Передача данных
Интеграция с VMware
Интеграция ACI и VMware vCenter Три режима интеграции
+
Distributed Virtual Switch (DVS) vCenter + vShield Manager Application Virtual Switch
(AVS)
• Инкапсуляция: VLAN • Установка: Native • Обнаружение VM:
LLDP • Software/Licenses:
vCenter с лицензией EnterprisePlu
• Инкапсуляция: VLAN, VXLAN
• Установка: Native • Обнаружение VM:
LLDP • Software/Licenses:
vCenter с лицензией EnterprisePlus, vShield Manager с лицензией vShield
• Инкапсуляция: VLAN, VXLAN
• Установка: VIB при помощи VUM или консоли
• Обнаружение VM: OpFlex
• Software/Licenses: vCenter с лицензией EnterprisePlus
Интеграция ACI и VMware vCenter Определение EPG при помощи Port-Group
§ VM подключаются к порт-группа, определенным для каждой EPG § Трафик инкапсулируется при помощи VLAN или VXLAN
VXLAN VNID = 5789
VXLAN VNID = 11348
802.1Q VLAN 50
Payload IP GBP VXLAN VTEP
VXLAN Leaf VTEP
802.1Q vSwitch
WEB PORT GROUP
APP PORT GROUP
vSwitch
WEB PORT GROUP
APP PORT GROUP
802.1Q VLAN 125
Payload IP Payload IP
Port-group создается для каждой EPG
+ ( (
APIC Admin
VI/Server Admin Instantiate VMs, Assign to Port Groups
L/B
EPG APP
EPG DB
F/W
EPG WEB
Application Network Profile
Create Application Policy
Web Web Web App
HYPERVISOR HYPERVISOR
VIRTUAL DISTRIBUTED SWITCH
WEB PORT GROUP
APP PORT GROUP
DB PORT GROUP
vCenter Server / vShield
8
5
1
9 ACI Fabric
Automatically Map EPG To Port Groups
Push Policy
Create VDS 2
Cisco APIC and VMware vCenter Initial
Handshake
6
DB DB
7 Create Port Groups
Интеграция ACI и VMware vCenter: DVS
APIC
3
Attach Hypervisor to VDS
4 Learn location of ESX Host through LLDP
Southbound OpFlex API
VM VM VM VM
VEM
vSphere
vCenter
§ OpFlex Control protocol Протокол, контролирующий состояние Операции VM attach/detach, уведомления о состоянии канала
§ VEM как продолжение фабрики
§ С релиза vSphere 5.0 и выше § BPDU Filter/BPDU Guard § SPAN/ERSPAN § Сбор статистики § Remote Virtual Leaf (план)
Application Virtual Switch (AVS) Возможности по интеграции
APIC Admin
VI/Server Admin Instantiate VMs, Assign to Port Groups
L/B
EPG APP
EPG DB F/W
EPG WEB
Application Network Profile
Create Application Policy
Web Web Web App
HYPERVISOR HYPERVISOR
Application Virtual Switch (AVS)
WEB PORT GROUP
APP PORT GROUP
DB PORT GROUP
vCenter Server
8
5
1
9 ACI Fabric
Automatically Map EPG To Port Groups
Push Policy
Create AVS VDS 2
Cisco APIC and VMware vCenter Initial
Handshake
6
DB DB
7 Create Port Groups
Интеграция ACI и VMware vCenter: AVS
16
APIC
3
Attach Hypervisor to VDS
4 Learn location of ESX Host through OpFlex
OpFlex Agent OpFlex Agent
Микросегментация на базе ACI EPG классификация при помощи атрибутов VM
• End Point Group (EPG) могут использовать несколько методов для классификации
• VM Port Group – это самый простой механизм классификации ВМ
• Атрибуты ВМ так же могут использоваться для классификации EPG
• Используется ACI релиз 11.1 с AVS (первоначальная доступность)
• Поддержка коммутаторов в гипервизорах VMware vDS, Microsoft vSwitch, OVS (планируется)
Атрибуты ВМ Guest OS
VM Name
VM (id)
VNIC (id)
Hypervisor
DVS port-group
DVS
Datacenter
Custom Attribute
MAC Address
IP Address
vCenter VM
Attributes
VM Traffic
Attributes
Распределенный межсетевой экран на базе ACI
Provider B
Consumer A
Src class Src port Dest Class Dest port Flag Action
A * B 80 * Allow
B 80 A * ACK Allow
• Создание новой записи внутри «flow table» • Передача пакета на leaf коммутатор
Коммутатор Leaf реализует stateless policy
Аппаратная политика разрешает передачу пакета
При получении пакета TCP SYN создается новая запись
Пакет передается VM
• Получен пакет от VM • Поиск внутри «flow table»
VLAN Proto Src ip Src port Dst IP Dst port
A tcp IP_A 1234 IP_B 80
A tcp IP_B 80 IP_A 1234
VLAN Proto Src ip Src port Dst IP Dst port
B tcp IP_A 1234 IP_B 80
B tcp IP_B 80 IP_A 1234
Если уже есть запись то пакет передается на коммутатор Leaf
Применение политики на Leaf
Отслеживание состояния на AVS
Ответ от VM Поиск в таблице
Reflexive policy на коммутаторе разрешает передачу обратного пакета
AVS AVS
Интеграция с Microsoft Hyper-V
Интеграция решений Microsoft и ACI Два режима интеграции
• Управление политиками: посредством APIC
• Software / License: Windows Server с HyperV, SCVMM
• Обнаружение виртуальных машин: OpFlex
• Инкапсуляция: VLAN, NVGRE (План) • Установка plugin-а: в ручную
Интеграция с SCVMM
APIC
Интеграция с Azure Pack
APIC
• Расширение возможностей SCVMM • Управление политиками: посредством
APIC или через Azure Pack • Software / License: Windows Server с
HyperV, SCVMM, Azure Pack (бесплатно)
• Обнаружение виртуальных машин: OpFlex
• Инкапсуляция: VLAN, NVGRE (План) • Установка plugin-а: интегрирована
+
APIC
OpFlex: открытый, расширяемый протокол
OPFLEX ОБЕСПЕЧИВАЕТ:
Политики: • Кто и с кем может говорить
• О чем?
• Ops requirements Абстракцию политик вместо device-specific конфигурации 1. Гибкость и расширяемость с использованием XML / JSON 2.
Поддержку любых устройств, включая виртуальные коммутаторы, физические коммутаторы, МСЭ, обеспечивая совместимость между продуктами различных производителей
3.
Открытый и стандартизированный API с реализации в open source 4.
OPFLEX PROXY
OPFLEX AGENT
OPFLEX AGENT
OPFLEX AGENT
HYPERVISOR SWITCH ADC FIREWALL
APIC Admin
SCVMM Admin Instantiate VMs, Assign to VM Networks
L/B
EPG APP
EPG DB F/W
EPG WEB
Application Network Profile
Create Application Policy
MSFT SCVMM
8
5
1
9 ACI Fabric
Automatically Map EPG To VM Networks
Push Policy
Create Virtual Switch
2
Cisco APIC and MSFT SCVMM Initial
Handshake
6
Интеграция MSFT SCVMM и ACI
APIC
3 Attach Hypervisor to Virtual Switch
4 Learn location of HyperV Host through OpFlex
HYPERVISOR HYPERVISOR
OpFlex Agent
HYPER-V VIRTUAL SWITCH
7 Create VM Networks
OpFlex Agent
WEB VM NETWORK
APP VM NETWORK
DB VM NETWORK
Web Web App App DB
Интеграция с SCVMM Интеграция с SCVMM концептуально ничем не отличается от интеграции с vCenter от VMware. APIC получает всю информацию о виртуальных машинах с Hyper-V хостов, зарегистрированных на APIC при помощи протокола Opflex APIC создает виртуальные сети внутри SCVMM когда VMM domain подключается к EPG
Интеграция с SCVMM 2 виртуальных машины в одном EPG
Виртуальные машины на гипервизорах ESXi и Hyper-V:
Интеграция Microsoft Azure Pack и ACI
25
§ Для этого режима интеграции с Microsoft требуется: Windows Server 2012 Systems Center 2012 R2 с SPF
Windows Azure Pack § Azure Pack обеспечивает централизованное определение, настройку и управление облачными сервисами
§ Состоит из портала администратора (Admin) и портала самообслуживания (Tenant)
§ Cisco ACI Service Plugin использует APIC REST API
R2 w/ Service Provider Foundation
Web Sites
Service Plans Users
Порта админа
Портал пользователя
Web Sites Apps Database VMs ACI
Service Provider Пользователь
VMs SQL Service Bus …
Сценарии использования ACI и Azure Pack Разделяемый балансировщик нагрузки между WAP контейнерами (tenants)
Разделяемый балансировщик
нагрузки
Tenant 1 EPG1 Application Servers
VIP1 для EPG1
Tenant 2 EPG 2 Application Servers
VIP2 для EPG2
• Разделяемый балансировщик нагрузки размемещается в ACI Tenant Common • Интеграция при помощи device package • Поддерживаемые устройства: F5 и Citrix
Сценарии использования ACI и Azure Pack Разделяемые сервисы между WAP контейнерами (tenants)
Tenant 1
Провайдер • Интеграция поддерживает концепцию разделяемых между ACI-тенантами сервисов
• Один из тенантов может быть наделен правом публиковать разделяемые сервисы
• Другие тенанты могу быть наделены правами потреблять сервисы
• Для работы сценария требуется использование правильной схемы адресации
• Централизованное управление
• Пространства адресов, которые не пересекаются
Tenant 2
Tenant 3
Tenant 4
Потребитель
FTP
DB
NFS
Сценарии использования ACI и Azure Pack Портал администратора: разделяемый балансировщик и сервисы
F5 или Citrix являющиеся частью ACI фабрики
Разделяемые сервисы
Сценарии использования ACI и Azure Pack Портал пользователя: управление интеграционными возможностями
Вычислительные и сетевые ресурсы, к которым есть доступ
Application Network Profile создается средствами Azure Pack, и настраивается на APIC при
помощи REST API
Доступные пользователю ACI объекты
Интеграция с KVM/OpenStack
Партнеры OpenStack
Поддержка основных OpenStack дистрибутивов
Тестирование и интеграция Тесная работа с производителями дистрибутивов для
тестирования и квалификации
Простота развертывания Интеграция со средствами автоматизированного
развертывания для каждого из дистрибутивов
Кастомизация для решений Cisco Например поддержка аппаратных решений на базе ACI или UCS
Два варианта использования OpenStack API
NEUTRON ROUTER
SECURITY
GROUP
NEUTRON NETWORK
Neutron API Group Policy API
NE
UTRO
N NE
TWOR
K
Port
Port
Tenant Tenant
Используется существующий Neutron API с контроллером APIC и
Cisco ACI фабрикой
Contract
GROUP
SERVICE CHAIN
GROUP
Конструкция Group Policy предлагает новый API который напрямую использует модель политик ACI (Juno Release)
APIC драйвер отображает: • Network -> EPG • Router -> Context
OpenStack APIC Plugin – neutron (Фаза № 1)
APIC APIC Plugin
APIC Driver OVS Driver
Neutron Networking
Host 1
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 2
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 3
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 4
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables
IP tables для контроля безопасности
ACI фабрика обеспечивает распределенный L2 и L3 (без L3 агента). Туннели терминируются на ToR коммутаторах.
OVS терминирует VLAN / VXLAN теги для каждой сети
OVS драйвер выбирает VLAN / VXLAN тег для каждой сети и настраивает OVS
APIC REST API
APIC Admin (Performs Steps 3)
OpenStack Tenant (Performs Steps 1,4)
Instantiate VMs
Create Application Policy
Web Web Web Web App App 4
3
5 ACI Fabric
Automatically Push Network Profiles to APIC
Push Policy
Create Network, Subnet, Security Groups, Policy
NETWORK
SUBNET
SECURITY
1
2
DB DB
HYPERVISOR HYPERVISOR HYPERVISOR
NOVA
NEUTRON
OPEN VIRTUAL SWITCH OPEN VIRTUAL SWITCH OPEN VIRTUAL SWITCH
APIC
34
Интеграция OpenStack и APIC (Фаза № 1)
34
Что было улучшено при помощи GBP?
§ Определение сервисной цепочки по которым данные должны передаваться между компонентами приложения
Поддержка сетевых сервисов
§ Само-документирование взаимосвязей между различными компонентами приложения
Возможность определить взаимосвязи
Сервис A
СервисC
Сервис A потребляет ресурсы сервисов B и C
Сервис B
Сервис A
Сервис C
МЕЖСЕТЕВОЙ ЭКРАН
§ Разделение API на низко и высоко уровневые
§ Две зоны ответственности: tenant admin и operator
Разделение зон ответственности
Сервис A
Сервис C
Абстракция при помощи API
Низкоуровневые API
Operator / Admin
OpenStack Tenant
OpenStack GBP обзор
Neutron Driver - отображает GBP на существующие Neutron API и обеспечивает совместимость с любым Neutron Plugin Native Driver – существует для OpenDaylight а так же различных производителей (Cisco, Nuage Networks и One Convergence)
Group Policy
CLI Horizon Heat
Neutron Driver
Neutron Любой существующий плагин и ML2 драйвер
Открытая модель, обеспечивающая совместимость с физической и виртуальной
инфраструктурой
Native Driver 1
1
2
2
Архитектура на основе драйверов
APIC драйвер создает сетевой профиль приложения
OpenStack APIC Plugin – group Policy (Фаза № 2)
APIC
Host 1
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 2
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 3
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 4
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables
IP tables для контроля безопасности
ACI фабрика обеспечивает распределенный L2 и L3 (без L3 агента). Туннели терминируются на ToR коммутаторах.
OVS терминирует VLAN / VXLAN теги для каждой сети
OVS драйвер выбирает VLAN / VXLAN тег для каждой сети и настраивает OVS
Group Policy Extensions
OVS Driver
Neutron Networking
APIC Group Driver
Group Policy extension расширяет существующий neutron APIs
APIC REST API
2
ACI Admin (manages physical
network, monitors tenant state)
L/B
EPG APP
EPG DB F/W
L/B
EPG WEB
Application Network Profile
Create Application Policy
3
5 ACI Fabric
Push Policy
APIC
OpenStack Tenant (Performs step 1,4) Instantiate VMs
Web Web Web Web App App 4
Create Application Network Profile
1
DB DB
HYPERVISOR HYPERVISOR HYPERVISOR
NOVA
NEUTRON
Automatically Push Network Profiles to APIC
L/B
EPG APP
EPG DB F/W
L/B
EPG WEB
Application Network Profile
Интеграция OpenStack и APIC (Фаза № 2)
Интеграция со средами виртуализации
• Выбор среды виртуализации за Вами!
• Выбор это всегда хорошо J
10/1/15 © 2015 Cisco and/or its affiliates. All rights reserved. 39
Поддержка L4-L7 сервисных устройств
10/1/15 © 2015 Cisco and/or its affiliates. All rights reserved. 40
Сложности при интеграции сервисов в существующие ЦОД
41
Вставка сервиса в традиционных сетях
SNAT
Настройка сетевых параметров МСЭ
Настройка сети для подключения МСЭ
Настройка правил на МСЭ
Перенаправление трафика на балансировщик
Настройка сетевых параметров балансировщика
Настройка балансировщика Серверы
Вставка сервиса занимает дни Настройка сети занимает время и является возможным источником ошибок Сложности в отслеживании изменений
VLAN 10 10.0.10.0/28
VLAN 11 10.0.11.0/28
PBR
VLAN 13 10.0.13.0/24
VLAN 12 10.0.12.0/24
Решает ли проблему сложности тотальная виртуализация?
42
Вставка сервиса в традиционных виртуализированных сетях
SNAT
Configure Network to insert Firewall
Configure firewall rules
Virtual servers
Упростится ли решаемая задача, если для вставки виртуализированного сервиса применяются те же сетевые концепции, что и для физической сети?
VXLAN 10 10.0.10.0/28
VXLAN 11 10.0.11.0/28
PBR
VXLAN 13 10.0.13.0/24
VXLAN 12 10.0.12.0/24
Virtual router
Virtual FW
Virtual ADC Virtual router
Virtual switch
ACI: интеграция с сервисами 4 - 7 уровня Централизация, автоматизация и поддержка существующей модели
• Эластичность вставки сервиса физического или виртуального
• Помощь в административном разделении между уровнями приложения и сервиса
• APIC – центральная точка контроля сети и согласовании политик
• Автоматизация процесса развертывания/свертывания сервиса посредством программируемого интерфейса
• Поддержка текущей операционной модели эксплуатации
• Применение сервиса вне зависимости от места нахождения приложения
Web Server
App Tier A
Web сервер
Web Server
App Tier B
App сервер
Сервисная послед-ть “Security ”
Политика перенаправления
Администратор приложения
Администратор сервиса
Серв.
граф
begin end Stage 1 …..
Stage N
Pro
vide
rs inst
inst
…
МСЭ
inst
inst
…
Балансировка
……..
Сервисный
профиль
Определение “Security 5”
App DB Web
Внешняя сеть передачи данных
(Tenant VRF) QoS
Filter
QoS
Service
QoS
Filter Filter
Service Service
ACI фабрика
Неблокируемая фабрика на базе оверлеев Application Policy
Infrastructure Controller
APIC
Вставка сервисной цепочки
Основной принцип ACI - логическая конфигурация сети, не привязанная оборудованию
Управление внешним устройством
Партнерская экосистема ACI
СЛЕДИТЕ ЗА АНОНСАМИ!
Примеры дизайнов с сервисными графами
Коммутаторы Spine
Коммутаторы Leaf
Исходная топология
Port-channel? vPC? Конфигурация L3? Кокой режим встраивания: routed или transparent?
Коммутаторы Spine
Коммутаторы Leaf
Пример № 1: встраивание в режиме “transparent”
Настройка L2 vPC со стороны фабрики - номера портов?
- режим работы LACP? - номера VLAN разрешенные в LACP-бандле?
Настройка L2 подключения со стороны сервисного устройства
- номера портов? - режим работы LACP? - inside порт и его номер VLAN? - outside порт и его номер VLAN? - создание BVI интерфейса? - настройка IP-адреса на BVI?
Настройка политики безопасности на устройстве, работающем в режиме “transparent”
- access-list - object-group - NAT - и т.д.
APIC контролирует:
Коммутаторы Spine
Коммутаторы Leaf
Пример № 2: встраивание в режиме “routed”
Настройка L3 подключений со стороны фабрики - номера портов для inside и outside Port-Channel?
- режим работы LACP? - IP адресация для inside и outside Port-Channel со стороны фабрики? - настройка процесса маршрутизации или статичные маршруты?
Настройка L3 подключения со стороны сервисного устройства
- номера портов для inside и outside Port-Channel? - режим работы LACP?
- IP адресация для inside и outside Port-Channel ?
- настройка процесса маршрутизации или статичные маршруты?
Настройка политики безопасности на устройстве, работающем в режиме “routed”
- access-list - и т.д.
APIC контролирует:
Встраивание Cisco ASA и Cisco NGIPS
Интеграция с ACI устройств безопасности Cisco
Подключение к фабрике ACI
Подключение к фабрике ACI
Настройка политик
Мониторинг и уведомления в реальном времени
Настройка политик
События и syslog CSM
ASA Device Package
FirePOWER Device Package
Интеграция ASA Интеграция FirePOWER
ASA5585 c SFR в сервисном графе – Etherchannel
Po1.300 Po1.301
Vlan 100 Vlan 200
vPC4 VLAN 300 vPC4
Vlan 301
App1 DB
provider consumer class firepower_class_map sfr fail-close
SFR NGIPS policy ASA
Когда сервисный граф с сервисным устройством ASA активируется в определенном контракте (начинается рендеринг), APIC автоматически настроивает ASA интерфейсы и политики, включая redirection на модуль
FirePOWER. Поддерживаются L3 (GoTo) и L2 (GoThrough) режимы. FireSIGHT независимо управляет политиками FirePOWER.
ASA 1.2 Device Package
ASA5585+SFR
APIC
Vlan 100 App2 VM
Cервисный граф для FirePOWER - LAG
s1p1.300 s1p2.301
Vlan 100 Vlan 200
vPC4 Vlan 300 vPC4
Vlan 301
Идентификаторы VLAN ID назначаются автоматически из пула и для EPG и для портов сервисных устройств.
Настройка всех портов согласно логике (L2,L3) производится автоматически.
App DB
consumer provider
FirePOWER использует LAG (port-channel) для подключения к фабрике
для обеспечения отказоустойчивости к
одному коммутатору или паре коммутаторов с функцией vPC.
Physical
APIC использует FirePOWER Device package для
взаимодействия с FireSIGHT Management Center который
управляет NGIPS
APIC
ASAv и FirePOWERv в сервисном графе
vNIC2 vNIC3
Vlan 100 Vlan 200 App DB
provider consumer Устройства ASAv и NGIPSv разворачиваются вручную или при помощи оркестратора. vNIC
интерфейсы, помеченные как consumer и provider задействуются при
активации (рендеринге) сервисного графа.
vNIC2 vNIC3 provider consumer
Vlan 302 Vlan 303 Vlan 300 Vlan 301
APIC полностью управляет конфигурацией ASAv, при этом настройка виртуального FirePOWER устройства выполняется при помощи FireSIGHT.
APIC
Ждем ваших сообщений с хештегом #CiscoConnectKZ
© 2015 Cisco and/or its affiliates. All rights reserved.
Спасибо Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас. Contacts: Максим Хаванкин +74999295710 [email protected]