Михаил СафроновСистемный архитектор

SDN в корпоративных сетях

Код сессии: 1637

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2

“A platform for developing new control planes”

“An open solution for VM mobility in the Data-Center”

“An open solution for customized flow forwarding control in the Data-Center”

“A means to do traffic engineering without MPLS”

“A way to scale my firewalls and loadbalancers”

“A solution to build a very large scale layer-2 network”

“A way to build my own security/encryption solution, avoiding RSA”

“A way to reduce theCAPEX of my network

and leverage commodityswitches”

“A way to define virtual networks with specific topologies for my multi-tenant Data-Center”

“A means to scale my fixed/mobile gateways andoptimize their placement”

“A solution to build virtual topologies with optimum multicast forwarding behavior”

“A way to optimize link utilization in my network, through new multi-path algorithms”

“A way to avoid lock-in to a single networking vendor”

“A way to distribute policy/intent, e.g. for DDoSprevention, in the network”

“A way to configure my entire network as a whole rather than individual devices”

“A solution to get a global view of the network – topology and state”

“With SDN I can develop solutions to my problems far faster –“at software speeds”. I don’t have to work with my network

vendor or go through length standardization”

SDN – Still Don’t kNow – Stanford Defined NetworkingСколько людей – столько и мнений

Определения

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 3

https://www.opennetworking.org/images/stories/downloads/white-papers/wp-sdn-newnorm.pdf

“…открытый стандарт, который позволяет исследователям запускать экспериментальные протоколы в кампусных сетях, маскируя внутреннюю работу устройств разных производителей…”

http://www.openflow.org/wp/learnmore/

“…В архитектуре SDN разделены уровень управления и уровень данных, интеллект сети и ее состояние логически централизованы, и базовая сетевая инфраструктура абстрагирована от приложений…”

SDN подход не обязателен для программируемых сетей и для сетевой автоматизации

OF не обязателен для SDN

Терминология - II

Архитектура сети, в которой разделены уровни управления и передачи данных и при этом интеллект сети и контроль ее состояния централизованыРеализация возможности абстрагирования нижележащей сети от использующих сеть приложений [сетевая виртуализация]Концепция использования программных интерфейсов для участия внешних систем в управлении сетевыми сервисами и мониторинге состояния сети 4

О чем спрашивают заказчикиCisco Customer Focus Group, SDN Survey, Dec ‘13

Основные проблемы Что имеет значение?

В чем помогаетSDN?

0% 100%Уровень важности 0% 100% 0% 100%

Вся ценность SDN – в решении практических задач

Сложность IT Безопасность

BYODCloud

МобильностьBig Data

Visibility & Control, End-to-EndReal-time

AutomationAgility

Efficiency

Уровень важности Уровень важности

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 6

Плоскость управления

Плоскость Передачи данных

Контроллер

Плоскость передачи данных

Приложения

Частный API

OpenFlow

2a Классические SDN

Частный API(пример: onePK)

Контроллер

Плоскость передачи данных

Приложения

Частный API

OpenFlow,PCEP,I2RS

Плоскость управления

2b Гибридные “SDN”

Приложения

Виртуальное управление

Виртуальная плоскость ПД

Оверлейные сетевые протоколы(.VXLAN/VPLS/LISP/…)

Частный API

3Оверлеи, сетевая

виртуализация

Плоскость управления

Плоскость передачи данных

Частный API

Приложения

1Программируемые через APIs

Плоскость управления

Плоскость передачи данных

Частный API(пример: onePK)

Частный API(пример: onePK)

Openstack и сетевые оверлеи применимы ко всем моделям(физическим/ виртуальным). Возможно создание специальных польз. функций

CLI, SNMP, …

Программируемые сетиРазвитие архитектуры управления

Частный API

Приложения

4 Управление на основе политик

Плоскость управления

Плоскость передачи данных

Контроллер политик

Плоскость политик

Сервер политик

Агент

Подтвержденные практикой надежность и возможности масштабирования

Распределенные сетевые протоколы работают

Распределенные сетевые протоколы работают

?

Распределенные протоколы увеличивают сложность управления/понимания

!!

!

Однако

Но использует контроллер

для маскирования сложности

Сеть

Поведение сети определяет сетевой администратор…

WWW СЕТЬ

WebAdmin

NetworkAdmin

Сравнение подходов Оба админа имеют прямой доступ к управлению одновременно

Web Dev GUI

WWW Network

WWWAdmin

NetworkAdmin

Controller

Абстрагирование от сложностиПример для сетевого управления - Web -разработка

Фокус на Что?

И не на Как?

2005 Power Technologist

2013 Non Technical Users

2010 Application Developers

2014 Intent Networking

2018Self Healing

2015Partial Automation

Что такое политика (Policy)?

ЧТО? КАК?

Policy способ упрощения за счет абстракции

Абстрагирование на примере обычной политики безопасности

Обычная модель

ЧТО? «Политика

безопасности для филиала А»

КАК? «Изменить

списки доступа на указанных

элементах…»”

ЧТО?«Политика

безопасности для филиала А»

КАК?

Политика ACIЗадача админа

Задача админа

Northbound API

APIC EM

]Политика ACI

ACI абстрагирует системное управление и использует программирование на уровне политик

«Изменить списки доступа на

указанных элементах…»”

Инфра-структура

Контроллер

Бизнес приложения

Новая модель абстракции сетевой среды от приложений

Есть выбор протоколовl/API для взаимодействия уровней

Интеллект сети и управление сетью централизованы

Архитектура сети, близкая к другим системам ИТ

SDN – архитектура управленияГибкие «программируемые» интерфейсы

• CLI• SNMP• Web UI• NETCONF• XML• onePK• Openstack

• Web UI• YANG• REST API

Intent Policies

High Level Constructs

Translation

Network Control Functions

QoS ACLConfiguration

Трансляция высокоуровневых конструкций в сетевые

функции – как способ сократить пробелы во

взаимодействии между средой бизнес-приложений и сетевой

средой

Cisco Intent Policy Management

Задачи для SDNАвтоматизация управления сетью, объединение доменов управления

Классика SDN

Пользовательская обработка трафика (аналитика, шифрование)

Маршрутизация по произвольным критериям (SLA, стоимость,

задержка, и т.д.)

Внедрение последовательных сетевых политик, политик безопасности и методик предотвращения вторжений

Объединение различных точек управления инфраструктурой(DC-WAN-LAN, Virtual-Physical, Layer-1-3, IaaS+VPN)

Сетевая виртуализация

Виртуализация сетевых сервисов (NfV)

Результат – создание быстро адаптируемой ИТ инфраструктуры.

Автоматизация сетевого управления и настройки

физических и виртуальных устройств

16

Разные функции для разных потребителей

Пользовательская обработка трафика (аналитика, шифрование)

Маршрутизация по произвольным критериям (SLA, стоимость, задержка…)

Внедрение последовательных сетевых политик, политик безопасности и методик предотвращения вторжений

Объединение различных точек управления инфраструктурой(DC-WAN-LAN, Virtual-Physical, Layer-1-3, IaaS+VPN)

Сетевая виртуализация

Виртуализация сетевых сервисов (NfV)

Результат – создание быстро адаптируемой ИТ инфраструктуры.

Автоматизация сетевого управления и настройки физических и виртуальных устройств

Разработчик сетевых сервисов

Разработчик Приложений, Системный Администратор,Оператор Сетевой Инфраструктуры

Создание новых и модификация существующих

сетевых функций

Использование новой функциональности сети и интеграция с новыми или существующими программными системами (прикладное ПО и ПО для

управления)

17

Стратегия развития Cisco SDN / Enterprise

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 18

Управление на основе политик:Application Centric Infrastructure (ACI)

Появилась в ноябре 2013 в продукте Application Policy Infrastructure Controller (APIC)Первоначально разработана для ЦОДСейчас – развитие политики ACI для использования в корпоративных сетях

Недостающий элемент – контроллер, который может управлять политиками применительно к разным доменам управления

Архитектура APIC

APIC APICEM

Data Center WAN Access

Controllers

Infrastructure

Network AwareApplications

Endpoints

SECURITY COLLABORATION ORCHESTRATIONSERVICES IoE

API API

DC - Controller Policy ENT - Controller Policy

DC = CAMPUS/WAN?

DC = ENTСтратегическое направление – единые политики

DC - Controller ENT - Controller

API API

Policy Policy

Application Intent User Intent

Common Policy

Новости Cisco SDN - 2014

Несколько основных направлений:

1) ODL/XNC контроллеры + OF plugins + базовые приложения

2) Законченные решения на основе п.п. 1 - Nexus Data Broker

3) APIC – контроллер для ЦОД, новая модель политик4) APIC-EM – контроллер для LAN/WAN, с

приложениями iWAN/Security/… в дополнение к базовым приложениям

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 23

Базовые приложения для OF контроллеров

Сегментирование сети

Высокая степень гранулярности, физическая или

виртуальная среда

Составление маршрутапо произвольным критериям

Статическое или динамическое задание

маршрутов для потоков трафика по различным

критериям

Зеркалирование (на основе политик) полезного

трафика на произвольные устройства для

последующего анализа, записи и т.д.

Network Tapping(замена матричных коммутаторов)

XNC

ODL-based.

Текущая версия – 1.5Приложения – Topology Independent Forwarding/Monitor Manager/Network SlicingИспользует OpenFlow 1.0, onePK.Платформы (FCS) – Nexus 3KЛицензирование – контроллер, контроллер + набор приложений

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 25

Southbound APIs

Physical and Logical Topology Manager Device Manager

Host Tracker ARP Handler

Forwarding Rules Manager

Dijkstra SPF L3 InterfaceInfrastructure (Core)

Java Bundle

H/A

NETWORK DEVICES

OF 1.xOnePK

Troubleshooting

Production Network Requirements

Abstraction for Future SB Protocols

Java Provides Dynamic

Component Linking

Advanced Feature Set vs.

Opensource

Published APIs Are Expandable

Service Abstraction Layer (SAL)

Dynamic Protocol Plugins

Import Topology from Inventory or

other sources

Authentication Monitor Manager

Topology Independent Forwarding (TIF)

Controller Applications

Slice Manager

Advanced Components

Cisco GUICisco XNC ControllerNorthbound APIsOSGI RESTful

Cisco Sourced Customers 3rd PartiesNetwork Applications

Cisco XNC Controller - архитектура

Flow Manager

Решение Nexus Data Broker

Network Tapping

• Область применения – ЦОДы, корпоративные сети• Платформы – Cisco Nexus• Режим работы с платформой – гибридный• Размещение контроллера и приложения – внешнее или

встроенное (в виде Linux-контейнера прямо на коммутаторе)

APIC-EM

Ранее - ENG контроллер

FCS – начало 2015 года.Встроенные функции – ACL management, Network Policy Deployment/Compliance Check, QoS mgmt, Network Topology Visualization, ZTD.Приложения – iWAN, Security, Collaboration (TBD) –планы на 2015Использует CLI.Платформы (FCS) – ASR, ISR, CSR, Catalyst product line

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 28

APIC – EM Постановка задачи

Автоматизация ручных процедур эксплуатации сети

Визуализация сети, объектно-ориентированный интерфейс

Поддержка существующей инсталлированной базы–без необходимости замены оборудования и ПО

Ключевые приложения – для управления QoS, ACL, реализация Zero Touch Deployment, поддержка IWAN, измеримый эффект от внедрения (OPEX, ROI)

Эластичность сервисной инфраструктуры –возможность наращивания мощности по мере внедрения

Автоматическая трансляция с высокоуровневого языка бизнес-задач в сетевые инструкции

Расширенная аналитика – для быстрого реагирования на изменения в реальном времени

Архитектура APIC-EM

ЭластичныеСервисыAPIC EM Service Abstarction Layer (SAL)

REST APIs

СервисыAPIC EM

Inventory andTopology

Identity andLocation

ApplicationAwareness

Policy Translation

QoSVisualizer

PolicyManagement

ZTDVisualizer

ACLVisualizer

Controller Infrastructure

CLI

Advanced Topology Visualizer

Automated Provisioning

ПриложенияAPIC EM

Analysis and Compliance

Network Infrastructure Management

Для горизонтального

масштабирования

Сервисы для приложенийDay 0/ Day 1

Приложения Day0 / Day 1

Меньше программирования

типовых задач

IWAN

APIC-EM Controller

NIB

DAS

REST API

Pxgrid Client + LDAP client

AD Client + LDAP client

Radius Proxy + LDAP client

Inventory

Topology

QoS Compliance

ACL Analysis

Statistics Manager

NetFlow Collector

ZTD

Application Visibility

User Identity Helper Services

Application Identity Helper Services

Basic Services

Policy Creation Services

Policy Helper Services

Network Information Base

Legacy Support ServicesInventory Visualizer

APIC

-EM

Ser

vices

APIC

-EM

App

s

Topology Visualizer

Application Visualizer

Discovery

NETWORK - Catalyst, ASR, ISR, WLC

Easy QoS Visualizer

Network Discovery

Network Programmer

Policy Programmer (QoS, ACL)

Network Tapping

Easy QoS

Network Events

Compliance Check

ACL Visualizer ZTD

Network Tapping Visualizer

Policy Engine

Conflict Detection and Resolution

(BI and NI)

Business Intent to Network Intent

Conversion

Policy Manager Policy Analysis Services

APIC-EMСервисы и приложения

IWAN(PfR, WaaS)

IWAN Services

Примеры применения APIC EM24.11.2014

© 2014 Cisco and/or its affiliates. All rights reserved. 32

© 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential –Use under NDA – DO NOT DISTRIBUTEwolfgang@cisco.com

wol

fgan

g@ci

sco.

com

Управление списками доступа (ACL mgmt)Flow-Based трассировка ACL, устранение неисправностей

ACL

Switch 1

Router 1Router 2Router 3

Switch 1

Router 1

Router 2

© 2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential –Use under NDA – DO NOT DISTRIBUTEwolfgang@cisco.com

wol

fgan

g@ci

sco.

com

Визуализация пути трафика приложений

APIC EM возвращает расширенные данные о маршруте трафика (IP D/S addr/port, protocol)

• Нужен эффективный способ поиска неисправностей в сети, связанных с передачей голоса и видео сессий поверх IP

• Проблема – нестабильная работа вызовов • Отсутствие видимости путей трафика несет

существенные расходы на диагностирование и поиск источников проблем (время, деньги)

• Проверки и устранение проблем сети часто занимает дни и недели

Easy QoS

ControllerCognitive

Identity Services Security

MSE CUCM

Surveillane FTP

Gol

dSi

lver

Plat

inum

Best

Effo

rt

Приоритетная обработка трафика – настройка сети, а не отдельных устройствПростое внедрение политик качества обслуживания (Easy QoS)

Cisco Validated Design {CVD}

• Корпоративные приложения автоматически классифицируются, им назначаются соответствующие классы обслуживания – с использованием рекомендаций CVD .

• Политики QoS применяются к системе (а не к отдельному устройству) – проще, быстрее, надежнее и все по нажатию кнопки в интерфейсе управления приложения к APIC EM

Гранулярное управление доступом По пользователям, по приложениям,…

APIC-EM

Block Bit-Torrent

ISE

Block Bit-Torrent

AD/Radius Server• Администратор создает правило по требованию

бизнеса – блокировать определенные приложения для пользователей или групп.

• Контроллер использует информацию о пользователе для настройки пользовательской политики на границе сети.

• Управление в реальном времени – при перемещении пользователя контроллер переместит политику вслед за ним

User moves to a branch site. Policy moves with it

MPLS Internet

Data Center

Branch

SP ISP

Video

Delay = 50Delay = 70Delay = 90Delay = 200

ENC

TP - Video

TP - Video

Deteriorating Video Quality

ISR-G2

ASR ASR

• Трафик TP передается через MPLS, трафик Youtube черезInternet

• Задержка в сети MPLS повышается, качество видео страдает• Специальное приложение для контроля

производительности приложения инструктирует контроллер перенаправить TP трафик через лучший путь

• Применяется соответствующая политика QoS для видео на этом маршруте

Smart Routing Автоматизированный выбор путей

для трафика различных приложений

Profile Creation- Policies for IOS version, Security- Rules for Matching config to devicesTFTP

Server

Customer branch

DHCP Server (Option 150)

Device Type

Serial Number

Connected to Device

Connected to Port

Connected to Device Location

Connected to Device Tag

3

ENG Controller

DHCP Server (Option 150)

TFTP Server Info

Config and Image

1

2

3

5

Bootstrap Config

4

SNMP Trap or CDP

Zero Touch Deployment (ZTD)Автоматизированная настройка и развертывание

• Настройка и включение в работу сети новых устройств, обнаруженных контроллером в сети

• Профили устройств, включающие желаемые блоки конфигурации, версии ПО, критерии отбора ((PID, Serial No, Connected to Device, Connected to port) используются для классификации

• Поддержка локального TFTPдля начальной загрузки устройств

• CDP для быстрой локализации устройств• Контроллер взаимодействует с обнаруженными

устройствами по SSH и доставляет конфигурацию и образ ПО, доводя устройство до принятых в компании стандартов

ЗаключениеSDN подход дает возможность сфокусироваться на целевой задаче ИТ для бизнеса – задание политик, бизнес-цели (ЧТО?)

Контроллеры SDN транслируют требования в сетевые настройки (КАК?)

Контроллер – единая точка создания политик Согласованность, предотвращение дубликатов и конфликтов правил

API для показа возможностей сети: Метод создания новых сетевых функций, Комбинирование существующих возможностей без создания функции с нуля, APIC EM – маскирует сложность сетевой инфраструктуры

APIC EM создан для работы с существующими сетями на основе Cisco ASR/ISR/Catalyst

CiscoRu Cisco CiscoRussia

Ждем ваших сообщений с хештегом#CiscoConnectRu

Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.

Спасибо

Номер лекции в приложении :: 1637

24.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.