Nexus 9000, SDN и все-все-все

-

Начнем издаля 

С развития сетей в DC. Все мы знаем, что для быстрой передачи пакетов и сегментации сети лучше трафик передавать по L2. Однако черевато это петлями/блокировкамиSTP (не известно что хуже)), низкой утилизацией при балансировке, сложностью поддержания прозрачного L2 сегмента и большим количеством ручных настроек (раскидайте ка 400 вланов по сети в 100 свичей).
Что делать? Объединяем два шасси в один логический портчанел - получаем VPC
Пакеты передаем по L2, а таблицы форвардинга по L3 через IS-IS - получаем FabricPath
Соединяем L2 сегменты через L3 сеть - OTV

VXLAN

Однако ученые не довольствуются частным. Давайте брать L2 пакет и передавать его внутри UDP. А в качестве маркера, понятного человеку, повесим еще одну цифру - VXLAN Network Identifier. Тогда можно получить связность L2 сетей поверх существующей L3 и в тоже время логическую сегментацию на уровне L2. Для пущей связности можно транслировать VXLAN в мультикаст группы и пусть сами ищут друг друга. А для сегментации - поставить между сегментами - группами устройств VXLAN роутеры и там же прикрутить межсетевые экраны с политиками безопасности. Идея VXLAN описана тут (по русски, там же термины, типа VTEP).

VMWare NSX

Теперь представим VMware среду с виртуальными машинами. Задумываем группы машин, даем этим группам номера VXLAN. Определяем последовательность, в которой группы соединяются друг с другом и политики безопасности на стыках. А теперь давайте все это делать в графической оболочке. Вот и вышел NSX - еще один слой абстракции, реализующий VXLAN подход в рамках виртуальной среды)))

Nexus 9K and ACI

Чем плох NSX? Хоть он называет себя SDN, все отлично, пока трафик не ходит за пределы корзины серверов. Сеть вовне неизвестна, заниматься ей нужно отдельно (а так же мониторить, админить и проч). Второй минус - сетевая часть полностью софтверна, всякий новый функциональный блок (VXLAN роутер, файрвол, балансировщик) - это еще одна VM. Да она лежит рядом с пользовательскими VM, которые и обслуживает. Тем не менее специальное железо всегда быстрее софта. Как все эти "сетевые" VM балансировать, мониторить и траблшутить на десятках корзин уже не очевидно. И тут из-за колонны выходит весь белый наш герой и говорит: "здравствуй мама")))


Реализуем тот же подход на Nexus 9000. Они отличны сами по себе как обычные свичи: 6 портов 40G и 48x1/10G в 2U по цене GPL 20k$. Но нам мало - собираем двухуровневую структуру SPINE-LEAF. Все Leaf включаем во все Spine (это бекбон сети). Для управления ставим сервер с ACI GUI, все настройки функционала делаются на нем. Получаем SDN!
Клиентский гипервизор подключаем по LLDP он потом получит от нашей сети хост группы для своего виртуального коммутатора, в которые мы поместим нужные VM. Для повышения производительности нужно добавить в бекбон еще один spine и добавить к нему линки. За счет UDP и шифта дисперсия меньше 1%. Нужно подключить тупое железо - определяем порт как VTEP гейт. За счет специальных микросхем от Brocade трафик капсулируется в VXLAN на скорости провода. Я кончил)

И ссылочки:
Хороший обзор NSX и ACI от Джета
Блог про ACI  Адама из Cisco с объяснениями и настройками
Архитектура Nexus 9000



Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Cisco Policing and Shaping.

-
Изображение
Общая идея механизмов известна: установить контрактную скорость, считать пакеты, при превышении скорости полисер дропает лишние пакеты а шейпер копит в буфере.  Немного терминов. CIR – committed information rate. Контрактная скорость. Не надо забывать, что механизмы не от хорошей жизни. Их назначение в том, что при покупке полосы у провайдера вы должны отправлять пакеты максимум на этой полосе. Иначе они будут справедливо дропаться.  PIR – peak information rate. Переподписка! Провайдер вам продал полосу, но готов пропускать больше трафика (пока суммарно канал не загружен). Вероятность дропа как бы выше, для этого пакеты с рейтом выше CIR но ниже PIR часто помечают худшим маркером. Tc – time interval (measurement interval) . Фактически это время усреднения, интервал на котором будет отправлено пакетов столько, чтоб не превысить CIR. Bc – committed burst. Пакеты отправляются на физической скорости интерфейса. Так как за время Tc мы должны получить среднюю скор
Далее...

EDU-JUN-JMV lab on vMX. Part1.

-
Изображение
This time I'm going to continue my experiments with Juniper virtualMX I've started in this getting started post   It was written in Russian, but contains enough pictures and CLI issues which describe themselves. Now I'll cover how to set up Junos MPLS and VPN's labs with vMX. That may be useful for companies with a low education budget as a way to spread knowledge among staff. Objective I intend to solve two main tasks. Firstly, I have to deploy an appropriate topology in a virtual environment and accomplish two basic labs: Lab-1 and Lab-6 so as to prepare baseline configurations used in the rest of labs. Secondly, I must see that it works :) thus I will perform Lab-12 LDP based VPLS - my beloved technology. Physical topology. Almost physical) Let's take a diagram from site provides Juniper labs for rent  and make something similar. It will take two vMX - vr1 and vr2 for the core network and a couple vMX as two PE routers called mx
Далее...

Опять GRE. Мультикаст, MTU и мать всех статей.

-
Изображение
Поздравьте меня, я читаю курс ROUTE в Билайн-университете. Как всегда на каждую попытку поумничать прилетает пять возможностей сеть в лужу, много читать и думать. Вот например, зачем нам GRE  на туннелях?  Говорят без него не работают динамические протоколы. Проверяем: При этом туннель IPIP R1#sh run int tu1 Building configuration... Current configuration : 173 bytes ! interface Tunnel1  ip address 192.168.1.1 255.255.255.252  tunnel source Serial1/0   tunnel destination 20.0.0.1   tunnel mode ipip   tunnel protection ipsec profile CM end И даже зашифрованный IPSec`ом R1#sh int Tu1 Tunnel1 is up, line protocol is up   Hardware is Tunnel   Internet address is 192.168.1.1/30   MTU 17920 bytes, BW 100 Kbit/sec, DLY 50000 usec,      reliability 255/255, txload 1/255, rxload 1/255   Encapsulation TUNNEL, loopback not set   Keepalive not set   Tunnel source 30.0.0.2 (Serial1/0), destination 20.0.0.1   Tunnel protocol/transport IP/IP   Tunnel
Далее...