Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

CisCon 2018 - Progetto di integrazione Enterprises Network Datacenters

20 views

Published on

Relatore: Massimiliano Sbaraglia, System Network Engineer

In questo speech vedremo le logiche di ingegneria in ambito Routing e Switching applicate a ruoli di egress, security ed ingress all’interno di due Datacenters ridondati e colocati geograficamente distanti.

Published in: Technology
  • Be the first to comment

CisCon 2018 - Progetto di integrazione Enterprises Network Datacenters

  1. 1. Progetto di integrazione Enterprises Networks Data Centers Massimiliano Sbaraglia
  2. 2. CLIENT 2 CLIENT 1 DATACENTER A PROD DATACENTER B DR Services Privider
  3. 3. Requisiti del cliente • HA = Alta affidabilità e ridondanza tra i due DCs • Fault-Tolerance • Bidirezionalità simmetrica tra sorgente e destinazione rispetto al Data Center di competenza • Business Continuity • Routers: ISR4451X-K9 • Firewall: FirePower con modulo ASA integrato • Nexus N9K di aggregazione DataCenter
  4. 4. Architettura a livelli • EGRESS: si occupa di stabilire sessioni EBGP con il Services Provider; quest’ultimo è responsabile di trasportare la quantità di informazione tra i due client • Le politiche di gestione del traffico sono gestite dall’attributo as-path prepend per il traffico inbound e Local-Preference per il traffico outbound • SECURITY: prevede una coppia di FPR con modulo ASA in cluster e si occupa di gestire la parte di routing con una mutua redistribuzione dei protocolli BGP e OSPF, la componente di NAT (source-nat, destination-nat, source/destination nat), access-list, Threat Detection, URL filtering e tutta la componente di security propria della coppia di ASA • INGRESS: si occupa del collegamento lato interno del cliente attraverso i propri routers di bordo (ABR)
  5. 5. A1 A2 Prefix W with NH IGP: DC-A Prefix S with NH IGP: DC-B B1 B2 Prefix Z with NH IGP: DC-A Backbone Client 2 IGP (OSPF or ISIS) Normal Area/Level IGP (OSPF or ISIS) Normal Area/Level IGP (OSPF or ISIS) ASA-cluster DC-A ASA-cluster DC-B EGR-1 EGR-2 CPE1 CPE2 CPE3 CPE4 Services Provider (MPLS VPN IP) EGR-3 EGR-4 EBGP Peering adv-routes N M (from Client 1) adv-routes W Z S (from Client 2) Advertisement IP-Prefix POP A AS A POP A AS B N,M N,M N,M N,M N,M N,MN,MN,M W,Z,S W,Z,S W,Z,S W,Z,S W,Z,S W,Z,S EBGP Peering active standby active standby
  6. 6. A1 A2 B1 B2 Normal Area/Level IGP (OSPF or ISIS) Normal Area/Level IGP (OSPF or ISIS) ASA-cluster DC-A ASA-cluster DC-B EGR-1 EGR-2 CPE1 CPE2 CPE3 CPE4 Services Provider (MPLS VPN IP) EGR-3 EGR-4 edistribuite BGP-TO-OSPF redistribuite OSPF-TO-BGP redistribuite BGP-TO-OSPF redistribuite OSPF-TO-BGP Prefix W Z Prepend default Prefix S Prepend 4X Prefix W Z Prepend 1X Prefix S Prepend 5X Prefix W Z Prepend 2X Prefix S Preped 6X Prefix W Z Prepend 3X Prefix S Prepend 7X Prefix W Z Prepend 4X Prefix S Prepend default Prefix W Z Prepend 5X Prefix S Prepend 1X Prefix W Z Prepend 6X Prefix S Prepend 2X Prefix W Z Prepend 7X Prefix S Prepend 3X 1B 2B 3B 4B 1A 2A 3A 4A AS X IBGP peering full-mesh LP ? POP A AS A POP A AS B refix Z with NH IGP: DC-A Prefix S with NH IGP: DC-B Prefix W with NH IGP: DC-A Backbone Client 2 IGP (OSPF or ISIS) LP ? BOCCIATA
  7. 7. A1 A2 B1 B2 Backbone Client 2 IGP (OSPF or ISIS) Normal Area/Level IGP (OSPF or ISIS) Normal Area/Level IGP (OSPF or ISIS) ASA-cluster DC-A ASA-cluster DC-B EGR-1 EGR-2 CPE1 CPE2 CPE3 CPE4 AS Services Provider (MPLS VPN IP) EGR-3 EGR-4 redistribuite BGP-TO-OSPF redistribuite OSPF-TO-BGP redistribuite BGP-TO-OSPF redistribuite OSPF-TO-BGP Prefix W Z Prepend default Prefix S Prepend 4X Prefix W Z Prepend 1X Prefix S Prepend 5X Prefix W Z Prepend 2X Prefix S Preped 6 Prefix W Z Prepend 3X Prefix S Prepend 7X Prefix W Z Prepend 4Y Prefix S Prepend default Prefix W Z Prepend 5Y Prefix S Prepend 1Y Prefix W Z Prepend 6Y Prefix S Prepend 2Y Prefix W Z Prepend 7Y Prefix S Prepend 3Y 1B 2B 3B 4B 1A 2A 3A 4A AS Y AS X IBGP NHS IBGP NHS IBGP NHS IBGP NHS IBGP NHS IBGP NHS LP=100 LP=90 LP=80 LP=70 LP=100 LP=90 LP=80 LP=70 POP A AS A refix Z with NH IGP: DC-A Prefix W with NH IGP: DC-A Prefix S with NH IGP: DC-B
  8. 8. CPE1 CPE2 EGR-1 A1 A2 peer keepalive Punto di demarcazione Services Provider Rete Interna Client 2 Protocol IGP dinamico per HA and fault-tolerance Architettura fisica data centers EGR-2 vPC peer-link peer keepalive vPC peer-link peer keepalive vPC peer-link Failover Link cluster CPE3 PCE4 EGR-3 B1 B2 peer keepalive EGR-4 vPC peer-link peer keepalive vPC peer-link peer keepalive vPC peer-link Failover Link cluster Nexus-1 Nexus-1 Nexus-1 Nexus-2 Nexus-2 Nexus-2 Nexus-3 Nexus-3 Nexus-3 Nexus-4 Nexus-4 Nexus-4 ASA1 ASA2 ASA3 ASA4 DC-A DC-B
  9. 9. CPE1 CPE2 EGR-1 EGR-2 vPC peer link peer Keepalive vPC 2 vPC 3 CPE1 CPE2 EGR-1 EGR-2 1° link EBGP 2° link EBGP 3° link EBGP 4° link EBGP Architettura L2 vPC EGRESS LAYER Architettura L3 EGRESS LAYER Architettura fisica e logica EGRESS LAYER Nexus 1 Nexus 2
  10. 10. EGR-1 EGR-2 vPC peer link peer Keepalive Failover Link cluster ASA1 ASA2 vPC 4 vPC 5 vPC 6 vPC 7 Architettura L2 vPC SECURITY INGRESS LAYER (IBGP) EGR-1 EGR-2 ASA Cluster IBGP NHS peering IBGP NHS peering IBGP NHS peering Loop Loop IF PHY IF PHY IF PHY IF PHY Architettura L3 SECURITY INGRESS LAYER (IBGP) Architettura fisica e logica SECURITY INGRESS LAYER Nexus 1 Nexus 2
  11. 11. A1 A2 Failover Link cluster ASA1 ASA2 vPC peer link peer Keepalive vPC 8 vPC 9 vPC 10 vPC 11 ASA Cluster A1 A2 normal area OSPF Rete Interna Client 2 Backbone OSPF area 0.0.0.0 Protocol IGP dinamico per HA and fault-tolerance Architettura fisica e logica INGRESS LAYER Architettura L2 vPC INGRESS LAYER Architettura L3 INGRESS LAYER Nexus 1 Nexus 2
  12. 12. Concetti di vPC in tecnologia Cisco Nexus Concetto Definizione vPC è un port-channel tra due vPC peers ed un downstream switch vPC domain una coppia di vPC peer rappresenta un dominio vPC vPC peer-link è un link utilizzato per sincronizzare gli stati tra i due vPC peers (è buona norma utilizzare un link a 10G) vPC peer-keepalive è un link utilizzato (differente rispetto al vpc peer-link) per verificare e monitorare lo stato di vita tra i due peer devices vPC member port una o più porte che fanno parte del port-channel a formare un vPC vPC LAN sono vlans trasportate via vpc peer-link tra i due peer-devices e verso il downstream switch via vPC Orphan Port sono porte collegate a terze parti switch non facenti parte di vPC trunks CFS (Cisco Fabric Services) è un protocollo che opera attraverso il vpc peer-link per rendere affidabile la sincronizzazione tra i due vpc peer devices Peer-switch permette ad entrambi i peer vPC switches di emulare un singolo STP bridge; cosi entrambi gli switch trasmettono BPDU down su tutte le loro interface usando lo stesso STP bridge ID (il vPC system MAC address è usato via le BPDU)

×