cisco connect 2018 – Презентация · централизация управления...


Виртуализация сетевых функций в корпоративных сетях

• Евгений Петякшев, старший системный инженер• 3xCCIE: Security, DC, SP• [email protected]


План

• Постановка задачи

• Виртуализация сетевых функций в корпоративных сетях

• Платформа для филиалов Cisco ENSC5000 и система управления NFVIS

• Серверы Cisco UCS-E

• Сервисные контейнеры в IOS

ПЛАН


Виртуализация в распределенных сетяхБаланс между стоимостью, эффективностью и пользовательскими сервисами

• Отсутствие серверов

• Полная зависимость от WAN

• Простота, низкая стоимость

• Отсутствуют гарантии сервиса

Филиал без серверов

ЦОД/

Облако

WAN/Интернет

Филиал

Lean подход

ЦОД/

Облако


Филиал

• 2-3 локально установленных сервера

• Зависимость от WAN, кроме критичных приложений

• Локально установленные серверы

• WAN не важен

• Сложно, дорого

• Гарантия сервисов

Филиал с серверами

ЦОД/

Облако


Филиал

4


Виртуализация филиала, NVF

5

Физические устройства

Длительное внедрение

Может быть дорого

Недоутилизация

Отсутствует гибкость

Виртуализованные функции

Гибкость

Эффективное использование ресурсов

Сокращение OPEX


Цели виртуализации сетевых функций

6

Уменьшение количества сетевых

устройств, которые надо внедрять и

которыми надо управлять

Сокращение OPEX, повышение

утилизации

Гибкость &

Автоматизация Сетевых Операций

Возможность быстрее внедрять

новшества

Корпоративные заказчики


Варианты виртуализации сетевых функций

7

Интегрированные сервисы

• ISR4K + IOX / Контейнеры (KVM/LXC)

• ISR Сервисы + Open NFV

Интегрированные сервисы + сервер

• ISR4K + UCS C/E сервер(ы)

• Сервисы ISR + NFV Функции

• Различные ‘домены’ администрирования

Полная виртуализация

• Обычный X86 сервер

• Полная виртуализация сервисов


“Мы часто используем ВКС и 1С-Бухгалтерию внутри нашей компании. Случается что пользователи звонят в поддержку по поводу качества данных сервисов. Очень сложно предположить где проблема: со стороны клиента, со стороны сервиса, со стороны оператора связи,… Нам нужен механизм, инструмент, который бы позволил быстро выявлять причину.”

Какого инструмента не хватает ?

8

MPLSФилиал

3G/4G-LTE

Интернет

ЧастнойОблако

ЧастноеОблако

ПубличноеОблако


Виртуализация сетевых функций в корпоративных сетях


Cisco Enterprise NFV

10

Оркестрация и

централизация управления

SDN: APIC-EM | ESA VNF | App Hosting |

3rd Party

Множество сетевых

сервисов

NFV Virtualization

Software (NFVIS)ISR 4K | UCS

‘Софтовые’ принципы Свобода выбора

платформы

Снижение OPEX/CAPEX на филиалах

Гибкость: быстро, простоПринципы и компоненты

Шаблоны, тиражирование,

автоматизация

Сервисные цепочки


Cisco 4000 Series ISR + UCS® E-Series

Cisco® UCS C-Series

Network Functions Virtualization Infrastructure Software (NFVIS)

Cisco Enterprise Service Automation (ESA) на APIC-EM

Cisco Enterprise NFV

11

Virtual Router

(ISRv)

Virtual Firewall

(ASAv)

Virtual WAN

Optimization

(vWAAS)

Virtual Wireless

LAN Controller

(vWLC)

Third-Party VNFs

ENCS 5000 Series


ENCS 5000

12

ENCS541212-Ядра

ENCS51044-Ядра

ENCS54088-Ядра

ENCS54066-Ядра

• ISRv + 3 ядра

• LAN Порты

• NIM LTE, DSL, T1

• HDD, SSD

• RAID, HW Crypto

• ISRv + 9 ядер

• PoE

• ISRv + 5 ядер

• PoE

• ISRv + 2 ядра

Новый


ENCS 5400

13

6, 8, or 12-Ядер

Intel Xeon-D

16 - 64 GB

DRAM

8 LAN Портов,

опциональное POE

NIM модуль для LTE &

старых WAN каналов

Выделенный

контроллер управления

2 HDD или SSD

RAID 0 & 1

Внутренний диск

USB 3.0

2 Gigabit Ethernet

порта

С SFP

Опциональный

аппаратный RAID

контроллер

Встроенный

БП

Аппаратное ускорение

трафика виртуальных

машин


ENCS 5100

14

4-Ядра CPU

ISRv + 1 VNF 16 & 32 GB

DRAM

Внутренний

диск

64 – 400 GB

2 x USB 3.0 4 GE порта

с 2 SFPsВстроенный

БП

Размер: 1 RU

13” x 10”

Console

& MGMT

Встроенное

4G LTE


• Для VNF с целью

производительности:

1 ядро = 1 vCPU = 1 физическое

ядро

• 1-ядро для NFVIS: Гипервизор &

vSwitch функции

• 2-ядра минимально для ISRv

• Несколько VNF профилей в

зависимости от производительности

• Cisco VNF будут ‘прикреплены’ к

ядрам для производительности.

ENCS 5400 Распределение ядер

15

12-ядер CPU (ENCS 5412)(Hyper-threading)

1 3 52 4 6 7 9 118 10 12

NF

VIS

ISR

v

AS

Av

vW

AA

S

Lin

ux V

M

Win

dow

s V

M

Core

s


NFVIS Архитектура

16

LinuxДрайверы

платформы

Драйверы

интерфейсов

NFVIS

Уровень Виртуализации – Гипервизор & vSwitch

API

ОркестрацииHTTPS

Plug-n-Play

Клиент

Plug-n-Play

СерверКонсоль

/SSHYANG

APIC-

EM/Prime

CLI NETCONF REST

Health Monitor

Device Web

Portal

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKARC-2014

NFVISВОЗМОЖНОСТИ

Виртуализация

17

API

Interface

Platform Management KVM

Virtualized Service

Virtualized Service

Virtualized Service

vSwitch

Linux

PnP

Client br2 br1

Int-1 Int-2 Int-3

• Основа - Kernel Virtual Machine (KVM)

• Виртуальная коммутация – связность между виртуальными сетевыми функциями и физическими интерфейсами -> Service Chaining

© 2016 Cisco and/or its ffiliates. All rights reserved. Cisco Public

Виртуализация сетевых функций: ПО Инфраструктуры

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKARC-2014

NFVISВОЗМОЖНОСТИ

REST (HTTPS) и NETCONF (SSH)

18

API

Interface

Platform Management KVM

Virtualized Service

Virtualized Service

Virtualized Service

vSwitch

Linux

PnP

Client br2 br1

Int-1 Int-2 Int-3

• Регистрация и разворачивание сервисов

• Настройка

• Мониторинг и статистика

Управление

• Контроль аппаратных средства: хранение, память, сетевые интерфейсы

• Контроль производительности, например SR-IOV

VF

PF = Physical Function

VF = Virtual Function

VF


Виртуализация сетевых функций: ПО Инфраструктуры


• Zero-touch deployment

• Оркестрация функций NFV

• Лицензирование и Service Chaining

• Мониторинг

• Динамические масштабирование сервисов

• Управление SLA

• Стандартные профили филиалов

• Cisco® протестированные и валидированные дизайны

• Процесс контроля версий с подтверждениями

Оркестрация, Управление, ПолитикиCisco Enterprise Service Automation (ESA и DNA-C)

19


Дизайн WAN сети филиала

20


Виртуализованные сетевые функции, сервисы

21


Серверы Cisco UCS-E


Традиционно

• Неэффективность по отношению к ресурсам

• Высокая производительность

LXC

• Только Linux

• Хорошая производительность, посредственная безопасность

Docker

• Бурный рост, интерес индустрии

• Лучше безопасность

KVM

• Любая OS

• Полное разграничение ресурсов

• Linux – ОС на хосте–Гипервизор тип 2

Гипервизоры тип 1

• VMWare, HyperV, Zen…

Варианты размещения приложений на Cisco UCS-E

23

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public 24

Cisco UCS E-Series серверы

Cisco® UCS E160D

SM 2x ширины

VMware, Hyper-V,

Citrix сертифицированы

Intel E5 6 ядер

96GB DRAM

Cisco UCS E180D/1120D

SM 2x ширины

VMware, Hyper-V,


Intel E5 8 ядер

96GB DRAM

Cisco UCS® E140S

Service module (SM)

VMware, Hyper-V,


Intel E3 4 ядра

16GB DRAM

Производительность

Ма

сш

таб

ировани

е Cisco UCS® E160S

SM

VMware, Hyper-V,


Intel Broadwell 6 ядер

32GB DRAM

USB 3.0 & 10Gb

Интерфейсы

Intel Broadwell

Intel Ivy Bridge

Intel Ivy Bridge

Intel Broadwell


Cisco UCS E-Series Network Compute EngineОЧЕНЬ компактный сервер для ISR 4000 -Cisco UCS EN140N M2

25

До 8 GB RAM

Intel® Atom

4 ядра

Одна 2GB SD карта

для CIMC

50, 100, 200 GB mSATA

SSD

Выделенный

порт управления

Один внешний

Gigabit Ethernet порт/

2 внцтренних

Ethernet порта

KVM консоль

USB 2.0


Cisco UCS E-Series серверы, модель поддержки

26

Аппаратные ресурсы поддерживаются Cisco

Cisco UCS® E-Series серверы поддерживаются по смартнеру на сам ISR без дополнительных

стоимостей

Гипервизор и ОС поддерживается вендором ОС/Гипервизора

ISR

Cisco® UCS E SM

Гипервизор

Поддержка по Cisco SMARTnet

Прикреплено кISR 4K

Поддержка производителем ОС/Гипервизора

Опция Cisco гипервизор (NFVIS)

Приобретается отдельно или от Cisco (NFVIS)


KVM внутри IOS-XE Маршрутизаторов

ISR 4K, ASR1K, CSR1Kv


Linux ОС

KVM/LXC

28

IOS-XE Архитектура

IOSd

Control Plane

Приложения Cisco (WAAS,

Snort)Приложения пользователя

Data Plane платформы

Virtual Ethernet

ERSPAN NSH AppNav


Что можно делать на платформах Cisco ?

29

Поддержка установки RPM (Package Manager) непосредственно на устройство.

IOS XR

Поддержка 3rd party LXC контейнеров. Поддерка Docker контейнеров в будущем

Nexus OS

Любое KVM приложение на платформах маршрутизации. Планы поддержки Docker.

Гибкость при использовании UCS-E модуля.

IOS XE


Приложения, Системы Управления, Контроллеры, ...

Device

Forwarding

Control

Network Services

Orchestration

Management

…

…

OpenFlow

OpenFlow

Cisco ОС: IOS-XE / NX-OS / IOS-XR

API (OnePK) и модель данных (YANG)

OpenStack PuppetOnePK

C/Java

Puppet

Neutron

Protocols

“Protocols”BGP, PCEP,...

Python NETCONF REST ACI Fabric

OpFlex

onePK Plug-Ins

RESTful

YANG JSONXML

Что можно делать на платформах Cisco ?


Что можно делать на платформах Cisco ?)ietf-interfaces структура (RFC7223)

+--rw interfaces

| +--rw interface* [name]

| +--rw name string

| +--rw description? string

| +--rw type identityref

| +--rw enabled? boolean

| +--rw link-up-down-trap-enable? enumeration

+--ro interfaces-state

+--ro interface* [name]

+--ro name string

+--ro type identityref

+--ro admin-status enumeration

+--ro oper-status enumeration

+--ro last-change? yang:date-and-time

+--ro if-index int32

+--ro phys-address? yang:phys-address

+--ro higher-layer-if* interface-state-ref

+--ro lower-layer-if* interface-state-ref

+--ro speed? yang:gauge64

+--ro statistics

+--ro discontinuity-time yang:date-and-time

+--ro in-octets? yang:counter64

+--ro in-unicast-pkts? yang:counter64

+--ro in-broadcast-pkts? yang:counter64

+--ro in-multicast-pkts? yang:counter64

+--ro in-discards? yang:counter32

...

ietf-interfaces.yang – YANG пример модуля

container interfaces {

description "Interface configuration parameters.";

list interface { key "name“;

leaf name { type string; }

leaf description { type string; }

leaf type {

type identityref {

base interface-type;

}

mandatory true;

}

leaf enabled {

type boolean;

default "true";

}

leaf link-up-down-trap-enable {

if-feature if-mib;

type enumeration {

enum enabled { value 1; }

enum disabled { value 2; }

}

}

}

}

container interfaces-state {

config false;

description

"Data nodes for the operational state of interfaces.";

list interface { key "name";

...

get – пример данных YANG в формате XML

<?xml version="1.0" encoding="UTF-8"?>

<rpc-reply message-id=“9“

xmlns="urn:ietf:params:xml:ns:netconf:base:1.0“>

<data>

<interfaces

xmlns="urn:ietf:params:xml:ns:yang:ietf-interfaces“>

<interface>

<name>eth0</name>

<type>ianaift:ethernetCsmacd</type>

<enabled>false</enabled>

</interface>

</interfaces>

<interfaces-state

xmlns="urn:ietf:params:xml:ns:yang:ietf-interfaces“>

<interface>

<name>eth0</name>

<type>ianaift:ethernetCsmacd</type>

<admin-status>down</admin-status>


Cisco ISR 4400 Архитектура

32

Control Plane (1

ядро) и Services

Plane (3 ядра)

Data Plane

(6 или 10 ядер)

Мультигигабитная

фабрика

FPGE

ISC

SM-X

NIMService Plane

(control plane CPU)

KVM - Гипервизор

Сервисные

контейнеры

Сервисные

контейнеры:

75% CPU

IOS-XE

25% CPU


Что это ?

Open source IPS система для анализа трафика в реальном времени

Интегрировано в качестве контейнера в IOS-XE

IPS/IDS функциональность

33

Контейнер для ISR 4000


Производитеьлность SNORT IPS/IDS

34

ISR 4321Up to 50 Mbps

ISR 433160 – 140 Mbps

ISR 4351 75 – 170 Mbps

ISR 4451 115 – 270 Mbps


Примеры использования KVM

35

Виртуальная машина с open-source утилитами, такими как Wireshark, Speedtest, ...

VM для поиска и устранения

неисправностей

Часто используемые сетевые сервисы: Принт Сервер, Контроллер Домена, Файловое

Хранилище, ...

Сетевые Сервисы

Сетевая Аналитика и Мониторинг Производительности приложений

Аналитика

Например: (произвольное шифрование, специфичные API сервисы, ВМ для скриптов,

связанных с событиями на маршрутизаторе: SNMP, Logs,…

Кастомизация устройства


Что необходимо добавить в ISR4K ?

36

• Сервисные контейнеры на текущий момент требуют дополнительной DRAM к

установленным 4Gb

• Дополнительная пямять за пределами 4GB будет доступна KVM приложениям

• Пример: 8GB DRAM будет иметь 4GB для сервисных контейнеров

• Пример: 16GB DRAM будет иметь 12GB для сервисных контейнеров

Память

• Места по умолчанию нет. И контейнеры не имеют доступ к bootflash.

• Опции включают MSATA SSD на 4300, NIM-SSD или NIM-HD на всех ISR4K.

Хранение


ISR4K Объем ‘сервисных ядер’

37

Платфрма ЯдраСкорость

(GHz)

Мин. доп.

память

Мин. Доп.

SSDМин.Доп. HDD

ISR4451 3 2 4GB 200GB 1TB

ISR4431 3 1 4GB 200GB 1TB

ISR4351 3 2.4 4GB 50GB 1TB

ISR4331 3 2.0 4GB 50GB 1TB

ISR4321 1 2.4 4GB 50GB 1TB

UCS-E NIM 4 1.6 N/A N/A N/A

UCS-E EHWIC 2 1.6 N/A N/A N/A


Команды установки/мониторинга контейнеров

38

ISR4K# virtual-service install name testapp package bootflash:testapp.ova

ISR4K# show virtual-service list

ISR4K# show virtual-service detail name testapp

ISR4K# virtual-service connect name testapp aux|console

Установить OVA на диск

Показать статус установки

Подключится к serial порту контейнера

(если поддерживается)

FYI


Настройка и активация контейнера

39

virtual-service

signing level unsigned

!

interface virtualportgroup 1

ip address 10.0.0.1 255.255.255.0

!

virtual-service testapp

vnic gateway virtualportgroup 1

guest ip address 10.0.0.2

activate

Новая структура на глобальном уровне

Отключение подписи

До 32 интерфейсов для OVS

Настройка инстанса контейнера

Один или несколько интерфейсов приложению

Опциональная настройка гостевого IP

Активация

For YourReference


Модель поддержки Open Source контейнеров

40

Linux ОС

KVM/LXC

IOSd

Control Plane

WAASСторонние

приложения

Data Plane платформы

Virtual Ethernet

Поддержка Cisco:

Обращение в TAC.

Поддержка коммьюнити:

TAC направит в нужную сторону.

Cisco Devnet дает:

• Поддержка комьюнити для разработчиков

• Документация

• Инструменты разработчика

• Доступ к Cisco инженерам

• Шаблоны/примеры Open-Source VM

• Шарим Open Source проекты

• Примеры от инженеров Cisco


Предсказываем будущее (*):

41

• RAM Диски – разрешения приложениям с низким требованием к месту,

хранить свои данные на bootflash

• Default DRAM – Поддержка памяти в пределах 4GB.

• VM Настройка – Пользователь может переписать спецификации VM из

YAML файла (CPU, DRAM, NICS, ...) используя консольные команды.

• Docker – Поддержка Docker контейнеров в дополнении к KVM.

• NSO Оркестрация –Интеграция с Elastic Service Controller (ESC) и NSO

как для других продуктов NVF Cisco.

• Layer 2 перенаправление/цепочки – из data plane интерфейсов а так же

из L2 VLAN коммутации между сервисными контейнерами.

(*) планы и приоритеты могут меняться


Где взять more information ?

42

Cisco DevNet

• Коммьюнити разработчиков

• Прямой доступ к инженерам и продуктовым командам

• Хранилище гайдов, лучших практик и примеров кода

• По причине поддержки Cisco, виртуальные машины не будут зранится непосредственно на cisco.com

https://developer.cisco.com/site/iox/

https://developer.cisco.com/site/kvm/


Полезные ссылки

43

Что такое сервисные контейнеры? (блог)

http://cs.co/9006BnlDC

Введение в сервисные контейнеры (Презентация)

http://cs.co/9005BnlD7

Основы сервисных контейнеров (Видео)

http://cs.co/9004BnlDA

Wireshark на Catalyst 4500

http://cs.co/9002BnlD4

Virtual Service Container Config Guide (NXOS &IOSXE)

http://cs.co/9001BnlDN

http://blogs.cisco.com/enterprise/what-the-heck-is-a-service-container

http://www.cisco.com/web/learning/le21/le39/docs/tdw_202_presentation.pdf

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/15-1/XE_330SG/configuration/guide/config/wireshrk.html

http://www.cisco.com/c/en/us/td/docs/switches/datacenter/sdn/configuration/b_openflow_agent_nxos/b_openflow_agent_nxos_chapter_010.html


Оцените данную сессию в мобильном приложении

конференции

• www.facebook.com/CiscoRu

• www.instagram.com/ciscoru

• www.youtube.com/user/CiscoRussiaMedia

• www.vk.com/cisco

44

Спасибо за внимание!

Контакты:

Тел.: +7 495 9611410www.cisco.com

© 2018 Cisco and/or its affiliates. All rights reserved.

cisco connect 2018 – Презентация · централизация управления...

Documents