More Related Content
Similar to Решения Cisco в области ИБ для центров обработки данных
Similar to Решения Cisco в области ИБ для центров обработки данных (20)
More from Cisco Russia (20)
Решения Cisco в области ИБ для центров обработки данных
- 1. Решения Cisco в области ИБ для
центров обработки данных
Руслан Иванов
ruivanov@cisco.com
Presentation_ID © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Public 1
- 2. Облачные Вычисления
Емкость по требованию;
Глобальный доступ
Виртуализация
Консолидация; Оптимизация; Скорость
Открытость
Защищенный доступ для мобильных пользователей,
Партнеров, Работников по контракту
Масштабируемость и простота
Емкость и Эффективность масштабируется
вместе с требованиями Бизнеса
2000 2005 2010 2015
© 2011 Cisco and/or its affiliates. All rights reserved. 2
- 3. Устаревшая Развивающаяся
§ Случайные Архитектуры § Консолидация ЦоД и Серверов
§ Приложения, внедренные в § Виртуализация Серверов
определенных ситуациях (пример. § “Любая рабочая нагрузка на любом
multi-tier deployment) сервере”
§ Предсказуемый поток трафика § Непредсказуемый поток трафика по
§ Безопасность обычно внедряется на мере миграции рабочей нагрузки
каждый набор серверов или § Безопасность становиться более
хранилище направленной на данные (не хранилища)
© 2011 Cisco and/or its affiliates. All rights reserved. 3
- 4. Физическая Сеть ЦОД
Виртуальная Сеть ЦОД
Достижимость и Контекст
Данные в vMotion, другие данные
Аутентификация пользователя и
устройства
4
© 2011 Cisco and/or its affiliates. All rights reserved. 4
- 5. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 547
- 6. • Определение границ: сеть, вычисления, виртуализация
Сегментация • Задание политик по функциям, устройствам, организациям
• Контроль доступа к сетям, ресурсам, приложениям
• Противодействие атакам
Защита от
• Контроль границ сети и межзонного взаимодействия
угроз • Контроль доступа и использования ресурсов
• Прозрачность использования
• Соответствие бизнес-требованиям
Прозрачность
• Упростить поддержку и соответствие требованиям
регуляторов
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 647
- 7. = Compute
Internet Edge
= Network
CORE
= Security
DISTRIBUTION VDC
Nexus 7018 Nexus 7018
SAN
ASA 5585-X ASA 5585-X
VPC VPC VPC VPC VPC VPC VPC VPC VSS
VSS
Nexus
5000 Catalyst
Series SERVICES
Unified 6500
Nexus Nexus Computing
7000 2100 System
Series Series
Nexus Firewall ACE
VSG
Zone 1000V
Multizone NAM IPS
10G Server Rack 10 G Server Rack Unified Compute Unified Access
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 747
- 8. Применение единой политики безопасности вне зависимости от
расположения и метода доступа к данным
Межсетевое
экранирование Сегментирование фабрики
Stateful/reflective ACL UCS Fabric Interconnect
Multi-context VM-FEX
VPN
Анализ и контроль TrustSec
доступа на основе
контекста Изоляция сетей
Security Group Tags (SGT) Physical
Security Exchange Protocol (SXP) Virtual (VLAN, VRF)
Security Group ACL Virtualized (Zones)
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 847
- 9. Сегментация
Направление север-юг: Проверка всего трафика
идущего в/из ЦОД
Physical
Cisco® ASA 5585-X • Устройства на границе ЦОД инспектируют весь
трафик
• Высокая производительность, включая сервисы IPS
Cisco Catalyst 6500 • Разделение внешнего трафика от трафика ЦОД
ASA FW Module
Направление запад-восток: Созданиебезопасных зон
Virtual / Multitenant
доверия между приложениями и пользователями в ЦОД
Cisco ASA 1000V ASA 1000V Virtual Firewall контроль границы виртуализации
Virtual Firewall
• Разделение между различными орг. единицами
VSG контролирует зоны
Cisco Virtual Security
Gateway (VSG) • Разделение приложений или VM в рамках одной орг.
единицы
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 947
- 10. Межсетевое экранирование
Cisco® ASA 5585-X v9.0 с кластеризацией
• Хорошая мастштабируемость
128 Gbps EMIX
50M Connections , 1.2 M CPS
1000 Virtual Contexts
4000 VLANs
• Поддерживаемый функционал
http://www.cisco.com/en/US/partner/docs/security/asa/asa90/configuration/guide/ha_cluster.html#wp1571450
ASA 558x Appliance ASA Services Module
© 2010 Cisco and/or its affiliates. All rights reserved.
clustering in a roadmap Cisco Confidential 10
- 11. Защита бизнеса от внутренних и внешних угроз
hackers
organized crime
Защита
- IPS 4500 Security Appliance
- Cisco ASA CX Application Control
®
cyber criminals
disgruntled employee
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1147
- 12. Защита от угроз
Cisco IPS 4500 Protection for demanding data centers
• Delivers hardware-accelerated inspection, real-world
performance, high port density and energy-efficiency
in an expandable chassis
• Provides protection against both external and
internal attacks
Cisco ASA CX Contextual application-aware firewall
• Delivers hardware-accelerated inspection, real-world
performance, high port density and energy-efficiency
in an expandable chassis
• Provides protection against both external and
internal attacks
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1247
- 13. 80 Gbps Average Inspection 160 Gbps IMIX Firewall
160 Gbps Max Inspection 40 Gbps Average Inspection IPS
2 Blade 4520
XL
16 RU Form Factor Q1CY13 16 RU Form Factor
Scaling Factor = 1 Scaling Factor < 1
1 Box Latency
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1347
- 14. Прозрачность
Контроль, Контекст, Прозрачность
• Идеально подходит для ответа на вопросы: NetFlow
Кто с кем общается?
Что происходит в сети? Data Center Network
Куда перемещаются данные?
Visibility Context Control
Кто-нибудь имеет доступ к серверу
считающему зарплату? WHERE
И т.д… WHAT WHEN
• Уникальная ценность Cisco
WHO HOW
Cat 3K-X Cat 4K Cat 6K NGA
With Service Module Sup7E, Sup7L-E Sup2T NetFlow Generating Appliance
Unsampled
Line-Rate
NetFlow
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1447
- 15. Использование Lancope, NetFlow, Identity, Репутации
Unified View
Threat Analysis and Context in
Lancope StealthWatch
Internal Network and Borders
SIO
NetFlow Telemetry Threat Context Data
Cisco Switches, Routers, and ASA 5500 Cisco Identity, Device, Posture, Reputation, Application
© 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1547
- 16. © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1647
- 17. Для
справки
• VDC – Virtual Device Context
• VPC – Virtual Port Channel
• VSS & MEC – Virtual Switching System & Multi-chassis Ether-channel
• VSL & Peer Link – Virtual Switch Link
• ECMP – Equal cost Multi-Path
• VSD – Virtual Service Domain
• VBS – Virtual Blade Switching
• VRF – Virtual Routing & Forwarding
• FabricPath
• VSG – Virtual Security Gateway
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
- 18. vPC vPC и ASA
peer link peer link
vPC vPC vPC vPC
EC EC EC EC
Активный Резервный
Активный Резервный
• Позволяет одному устройству использовать port channel
через два коммутатора высшего уровня
• Два Активных Пути Передачи
• Дизайн свободный от петель/Исключает STP blocked
порты
• Использует всю пропускную способность каналов
• Предоставляет лучшую сходимость в случае выхода из
строя линка/устройства
1
© 2011 Cisco and/or its affiliates. All rights reserved. 18
- 19. Ядро Ядро • ASA*
поддерживает
Link
IP1 IP2 Aggrega9on
Control
Protocol
(LACP),
стандарт
IEEE
802.3ad
•
Каждый
port-‐channel
поддерживает
до
8
активных
и
8
резервных
линков
Активный
vPC
Peer-‐link
Активный
•
Порты
Etherchannel
S1
S2
или
воспринимаются
как
резервный
физические
или
логические
интерфейсы
на
ASA
•
ASA
5585-‐X
приносит
МСЭ
и
vPC
vPC
IPS
уровня
ЦОД
•
Так
как
IPS
внедряется
как
устройство
внутри
МСЭ,
потоки
S3
S4
IPS
теперь
могут
быть
vApp vApp
полностью
оптимизированы
vApp vApp
vApp vApp
Zone/Multi-Tennant Zone/Multi-Tennant
© 2011 Cisco and/or its affiliates. All rights reserved. 19
- 20. Ядро Ядро
IP1 IP2
Коммутатор
6500
в
роли
Сервисного
коммутатора
• 6500
поддерживает
Link
Активный
vPC
Peer-‐link
Активный
Aggrega9on
Control
Protocol
S1
S2
или
(LACP),
стандарт
IEEE
802.3ad
резервный
• Трафик
направляется
через
сервисные
VLANы
• Каждый
port-‐channel
vPC
vPC
поддерживает
до
8
активных
и
8
резервных
линков
S3
S4
vApp vApp vApp vApp
vApp vApp
Zone/Multi-Tennant Zone/Multi-Tennant
© 2011 Cisco and/or its affiliates. All rights reserved. 20
- 21. VDC 1
Ключевая
Layer 2 Protocols Layer 3 Protocols
VLAN UDLD OSPF GLBP функция
PVLAN CDP BGP HSRP
STP 802.1X EIGRP IGMP
LACP CTS PIM SNMP
… …
VDCs
VDC 2
Layer 2 Protocols Layer 3 Protocols
VLAN UDLD OSPF GLBP
PVLAN CDP BGP HSRP
Nexus 7000 STP 802.1X EIGRP IGMP
LACP CTS PIM SNMP
… …
Nexus 7000 VDC – Virtual Device Context
§ Разделение data plane и control plane
§ Надежное разделение контекстов управления (management plane)
§ Гибкое разделение аппаратных и программных ресурсов между контекстами –
портов, L2/L3 стеков, VLAN, VRFs, таблиц маршрутизации
§ Контроль выделяемых под контекст ресурсов
§ Изоляция процессов и программных сбоев
© 2011 Cisco and/or its affiliates. All rights reserved. 21
- 22. VDC 1
Ключевая
Layer 2 Protocols Layer 3 Protocols
VLAN UDLD OSPF GLBP
функция
PVLAN CDP BGP HSRP
STP 802.1X EIGRP IGMP
LACP CTS PIM SNMP
… …
VDCs
VDC 2
Layer 2 Protocols Layer 3 Protocols
VLAN UDLD OSPF GLBP
PVLAN CDP BGP HSRP
STP 802.1X EIGRP IGMP
Nexus 7000 LACP CTS PIM SNMP
… …
Разделение VDC индустриально сертифицировано .
NSS Labs сертифицировал использование Cisco Nexus 7000 VDC функционал для Payment Card
Industry (PCI) среды в 2010 году.
http://www.nsslabs.com/research/network-security/virtualization/cisco-nexus-7000-q2-2010.html
Federal Information Processing Standards (FIP-140-2) сертификация была получена в 2011году
http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp1533.pdf
Cisco Nexus 7000 получил сертификацию по требованиям Common Criteria с уровнем
сооттвествия EAL4 в 2011 году.
http://www.niap-ccevs.org/cc-scheme/st/vid10349/
© 2011 Cisco and/or its affiliates. All rights reserved. 22
- 23. • МСЭ на пути следования Inter-VDC трафика
VRF
Север
VRF
Юг
VDC
VDC
Ядра
ASA
HA
Pair
1
Агрегации
v200
GW:
ASA
HA
Pair
2
10.1.200.254
VRF
VRF
Юг
Север
• Прозрачные (L2) сервисы МСЭ • Удобно использовать для топологий, где
установлены между Nexus VDC требуется нахождение МСЭ между
• Позволяют применять другие сервисы
уровнем агрегации и ядром
(IPS, LB и т.д.) в случае необходимости • Недостаток, что большинство/весь
• ASA может быть виртуализирована 1:1 с
трафик направленный в Ядро проходит
привязкой к VRF-ам через МСЭ; возможно узкое место
2
© 2011 Cisco and/or its affiliates. All rights reserved. 23
- 24. • МСЭ между Сервером и Шлюзом
Пара ASA в режиме высокой доступности в прозрачном режиме с VRF на
VDC Агрегации. Шлюз для серверов подключен к внешнему интерфейсу
МСЭ
GW:
VDC
10.1.200.254
Агрегации
v201
-‐
Outside
v200
–
Inside
Простой дизайн.
Уровень
3
Уровень
2
Физическое
подключение
© 2011 Cisco and/or its affiliates. All rights reserved. 24
- 25. Перенаправляем трафик Применяем сетевые
VM через VLAN-ы на сервисы на уровне
физические устройства гипервизора
Web App Database Web App Database
Server Server Server Server Server Server
Hypervisor Hypervisor
VLANs
Virtual Contexts VSN
VSN
Традиционные сервисные узлы Виртуальные сервисные узлы
© 2011 Cisco and/or its affiliates. All rights reserved. 25
- 26. Сервисный Модуль ASA
Web App Database
Server Server Server
Hypervisor
Устройства ASA 5585
VLANs
Virtual Contexts
Устройства защиты от атак Cisco IPS
Traditional Service Nodes
© 2011 Cisco and/or its affiliates. All rights reserved. 26
- 27. ASA 5585-SSP60
40 Гбит/с —
пропускная
способность
ASA 5585-SSP40 межсетевого экрана
10 Гбит/c —
пропускная
ASA 5585-SSP20 20 Гбит/с — способность системы
пропускная IPS
ASA 5585-SSP10 способность 350 000 соединений в
4 Гбит/c — пропускная 10 Гбит/с — межсетевого экрана секунду
способность пропускная 5 Гбит/с — пропускная
межсетевого экрана способность способность системы
2 Гбит/с — пропускная межсетевого экрана IPS
способность системы 3 Гбит/с — пропускная 200 000 соединений в
IPS способность системы секунду
50 000 соединений в IPS
секунду 125 000 соединений в
секунду
Комплекс зданий Центр обработки данных
© 2011 Cisco and/or its affiliates. All rights reserved. 27
- 28. Показатель Значение
Производительность шасси 64 Гбит/сек
Производительность модуля 16 Гбит/сек
Одновременных сессий 10M
Новых соединений в секунду 350K
Контекстов безопасности 250
VLANs 1K
© 2011 Cisco and/or its affiliates. All rights reserved. 28
- 29. • Выход за рамки традиционных
решений
• Наращивание мощностей в
соответствии с ведущими
отраслевыми системными
возможностями
– 64 Гбит/с
– 1,2 млн. соединений в секунду
– 1 000 виртуальных контекстов
– 4 000 сетей VLAN
• Поддержка решений для ЦОД,
например развертываний
частных облачных
инфраструктур
© 2011 Cisco and/or its affiliates. All rights reserved. 29
- 30. 100+Gbps
• Все устройства в кластере
2 x 10GbE Data Traffic Port Channel
являются активными и
передают трафик
Cluster Control Link
• Все устройства в кластере
являются либо основными
устройствами, либо
резервными, используемыми
от сеанса к сеансу
• В случае сбоя узла
проведение сеанса переходит
на резервные устройства
• Благодаря протоколу LACP
соседние коммутаторы
прекращают передачу
трафика по неработающему
каналу
© 2011 Cisco and/or its affiliates. All rights reserved. 30
- 31. высокая доступность
• Все устройства в кластере
являются активными и
передают трафик.
• Все устройства в кластере
являются либо основными
Cluster Control Link
устройствами, либо
резервными, используемыми
от сеанса к сеансу.
• В случае сбоя узла
проведение сеанса переходит
на резервные устройства.
• Благодаря протоколу LACP
соседние коммутаторы
прекращают передачу
трафика по неработающему
каналу.
© 2011 Cisco and/or its affiliates. All rights reserved. 31
- 32. • Единая консоль конфигурации и автоматическая
синхронизация конфигурации в кластере.
Управление кластером из 8 устройств осуществляет всего один
экземпляр Cisco ASDM или CSM 4.4
• Обработка удаленных команд выполняется на любом
узле.
• Статистические данные использования ресурсов в
рамках кластера
Использование ресурсов ЦП и памяти для любого узла.
Использование канала управления кластером.
• Поддержка Cisco® Security Manager
© 2011 Cisco and/or its affiliates. All rights reserved. 32
- 33. CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster
ASA
Port-‐Channel
32
• Data Plane of Cluster MUST use
cLACP (Spanned Port-Channel)
cLACP
–
Spanned
Port
Channel
VPC Identifier on N7K must be the
same for channel consistency
ASA uses the ‘span-cluster’
command on channel
N7K
VPC
32
ASA
interface Port-channel32 Cluster
Data
Plane
port-channel span-cluster Cluster
Control
Plane
VPC
PEER
LINK
vss-load-balance
• Control Plane [Cluster
Control Link] of Cluster N7K
N7K
MUST use standard LACP N7K
VPC
42
N7K
VPC
41
VPC
40
VPC
43
(Local Port-Channel) LACP
–
Local
Port
Channels
• Each VPC Identifier on Nexus
7K is unique ASA
Port-‐Channel
40
CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster
• Port Channel Identifier on ASA
is arbitrary
(max number 48)
© 2011 Cisco and/or its affiliates. All rights reserved. 33
- 34. • ASA clustering relies upon stateless load
balancing from an external mechanism
• Recommended method is to use a
spanned port-channel to a switch for
ingress and egress connections (vPC/ Внутренний
VSS with cLACP) Внешний
коммутатор
Коммутатор
• BP is to use a symmetrical hashing
algorithm like src-dest IP (the default)
• Could also use Policy Based Routing
(PBR) or Equal Cost Multi-Path (ECMP);
use both with Object Tracking
• Both the latter two methods are only
supported in routed (L3) mode on the
firewall
3
© 2011 Cisco and/or its affiliates. All rights reserved. 34
- 35. 3
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
- 36. CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster
ASA
Port-‐Channel
32
Test 1: Pull Cluster
Control Link 1 on
MASTER cLACP
–
Spanned
Port
Channel
Result: No Change, No
Packet loss N7K
VPC
32
Cluster
Data
Plane
Cluster
Control
Plane
VPC
PEER
LINK
Test 2: Pull Cluster
Control Link 2 on
MASTER
N7K
N7K
N7K
VPC
42
N7K
VPC
41
Result: ASA Leaves VPC
40
VPC
43
Cluster – ASA 2 LACP
–
Local
Port
Channels
becomes MASTER, No
Packet Loss ASA
Port-‐Channel
40
CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster
© 2011 Cisco and/or its affiliates. All rights reserved. 36
- 37. CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster
ASA
Port-‐Channel
32
Test 1: Power Off cLACP
–
Spanned
Port
Channel
ASA1
Result: No N7K
VPC
32
Packet loss
Cluster
Data
Plane
Cluster
Control
Plane
VPC
PEER
LINK
N7K
N7K
N7K
VPC
42
N7K
VPC
41
VPC
40
VPC
43
LACP
–
Local
Port
Channels
ASA
Port-‐Channel
40
CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster
© 2011 Cisco and/or its affiliates. All rights reserved. 37
- 38. CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster
ASA
Port-‐Channel
32
cLACP
–
Spanned
Port
Channel
Test 2: Pull te0/6 on ASA1
Result: No Packet loss
N7K
VPC
32
Cluster
Data
Plane
Cluster
Control
Plane
VPC
PEER
LINK
Test 3: Pull te0/7 on ASA1
Result: ASA Leaves Cluster
– ASA2 becomes MASTER, N7K
N7K
No Packet Loss N7K
VPC
42
N7K
VPC
41
VPC
40
VPC
43
LACP
–
Local
Port
Channels
Note: Plugging ASA1 link(s)
back in, will eventually rejoin
cluster as SLAVE after LACP ASA
Port-‐Channel
40
negotiation – No preempt CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster
© 2011 Cisco and/or its affiliates. All rights reserved. 38
- 39. CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster
ASA
Port-‐Channel
32
cLACP
–
Spanned
Port
Channel
Test 4: Looking for Packet
loss
N7K
VPC
32
Eliminate as much of the
Cluster as possible until loss Cluster
Data
Plane
is detected Cluster
Control
Plane
VPC
PEER
LINK
Lose ASA1, ASA2 and ASA 3
and one of the data plane
Links on ASA4 N7K
N7K
N7K
N7K
VPC
41
VPC
42
VPC
40
VPC
43
Result: No Packet loss until a LACP
–
Local
Port
Channels
single ASA with a single link
is left standing ASA
Port-‐Channel
40
CL
MASTER
CL
SLAVE
CL
SLAVE
CL
SLAVE
ASA
x
Node
Cluster
© 2011 Cisco and/or its affiliates. All rights reserved. 39
- 40. 4
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
- 41. OTV delivers a virtual L2 transport over any L3 Infrastructure
O
Overlay - A solution that is independent of the
infrastructure technology and services, flexible over various
inter-connect facilities
T Transport - Transporting services for layer 2 and layer 3
Ethernet and IP traffic
V
Virtualization - Provides virtual stateless multi-access
connections, which can be further partitioned into VPNs,
VRFs, VLANs
© 2011 Cisco and/or its affiliates. All rights reserved. 41
- 42. MAC TABLE
Transport
VLAN MAC IF Infrastructure
2 OTV OTV OTV OTV
100 MAC 1 Eth 2
Layer 2
Lookup 100 MAC 2 Eth 1
MAC 1 è MAC 2
1
MAC 1 MAC 2 West East
Site Site
© 2011 Cisco and/or its affiliates. All rights reserved. 42
- 43. 4
MAC TABLE Transport MAC TABLE
Infrastructure
VLAN MAC IF VLAN MAC IF
Decap
IP A
100 MAC 1 Eth 2 3 5 IP B 100 MAC 1 IP A
2 100 OTV MAC 2 Eth 1 OTV
Encap OTV
100 OTV
MAC 2 IP A 6
Layer 2 100 MAC 3 IP B MAC 1 è MAC 3 IP A è IP B
MAC 1 è MAC 3 IP A è IP B
100 MAC 3 Eth 3
Layer 2
Lookup Lookup
100 MAC 4 IP B 100 MAC 4 Eth 4
MAC 1 è MAC 3
MAC 1 è MAC 3 MAC 1 West East
MAC 3
Site Site
1
7
© 2011 Cisco and/or its affiliates. All rights reserved. 43
- 44. Two Active Data Centers
Connected via Layer 3 Core
OTV VDC Data Center 1 Data Center 2
from each
Core Core 2
OTV
Core 1
Core 3 Core 4
switch 20.1.1.0/24 . . 20.2.1.0/24 .
20.3.1.0/24 . 20.4.1.0/24
2 2 2
Core 1 Core 2 2
Core 3 Core 4
OTV Join
Interface Agg 1 Agg 2 Agg 3 Agg 4
OTV vPC 10 vPC 11 OTV OTV vPC 25 vPC 26 OTV
1 2 3
.1 .1 4 .1
.1
OTV Site VLAN 700 OTV Site VLAN 700
OTV 1 OTV 2 OTV 3 OTV 4
OTV switch s
connected to
Aggregation via
vPC
© 2011 Cisco and/or its affiliates. All rights reserved. 44
- 45. otv site-vlan 700
otv site-identifier 0001.0001.0001
vlan 1,101,700,999
CORE11-N7K-1-OTV# sh run int Overlay 1
Data Center 1
!Command: show running-config interface Overlay1
OTV !Time: Fri Oct 12 13:11:03 2012
Core 1 Core 2 version 5.2(1)
20.1.1.0/24 . . 20.2.1.0/24
2 2 interface Overlay1
Core 1 Core 2
otv join-interface Ethernet2/39
otv extend-vlan 101, 999
AS AS
A1 A2 otv use-adjacency-server 20.1.1.1 20.2.1.1 unicast-
only
AGG 1 AGG 2 otv adjacency-server unicast-only
no shutdown
vPC 10 vPC 11
.1
CORE11-N7K-1-OTV# sh otv adjacency
.1 OT OT Overlay Adjacency database
V OTV Site VLAN 700 V
OTV 1 OTV 2
Overlay-Interface Overlay1 :
Hostname System-ID Dest Addr
Up Time State
0024.f716.43c4 20.2.1.1
02:28:19 UP
CORE31-N7K-1-OTV f866.f206.fcc3 20.3.1.1
10:28:07 UP
© 2011 Cisco and/or its affiliates. All rights reserved.
18ef.63e5.5343 20.4.1.1 45
- 46. otv site-vlan 700
otv site-identifier 0003.0003.0003
vlan 1,101,700,999
CORE31-N7K-1-OTV# sh run int Overlay 1
Data Center 2
!Command: show running-config interface Overlay1
OTV !Time: Fri Oct 12 23:05:50 2012
Core 3 Core 4 version 5.2(1)
20.3.1.0/24 . . 20.4.1.0/24
2 2
Core 3 Core 4 interface Overlay1
otv join-interface Ethernet2/27
AS
otv extend-vlan 101, 999
AS
A3 A4 otv use-adjacency-server 20.1.1.1 20.2.1.1 unicast-
only
AGG 3 AGG 4
otv adjacency-server unicast-only
no shutdown
vPC 26
CORE31-N7K-1-OTV# sh otv adjacency
vPC 25
.1 .1 Overlay Adjacency database
OT OT
V OTV Site VLAN 700 V
Overlay-Interface Overlay1 :
OTV 3 OTV 4 Hostname System-ID Dest Addr Up
Time State
CORE11-N7K-1-OTV 0024.f716.5444 20.1.1.1
13:00:46 UP
0024.f716.43c4 20.2.1.1 01:03:38
UP
© 2011 Cisco and/or its affiliates. All rights reserved.
18ef.63e5.5343 20.4.1.1 05:42:13
46
UP
- 47. Data Center 1 Data Center 2
Core 2
OTV
Core 1
. 20.2.1.0/24 Core 3 Core 4
20.1.1.0/24 . .
20.3.1.0/24 . 20.4.1.0/24
2 2 2 Core 3 Core 4 2
Core 1 Core 2
AS AS AS AS
A4
ASA
Cluster
A1 A2 A3
Master
AGG 1 AGG 2 Nigeria
Congo AGG 2
AGG 1 VDC 2
VDC 2
vPC 25 vPC 26
vPC 10 vPC 11
.1 OT OT .1 .1 OTV
.1
OTV OTV Site VLAN 700
V OTV Site VLAN 700 V
OTV 1 OTV 2 OTV 3 OTV 4
s
© 2011 Cisco and/or its affiliates. All rights reserved. 47
- 48. Data Center 1 OTV Data Center 2
VLAN999
Core 2 VLAN101
Core 1
. 20.2.1.0/24 Core 3 Core 4
VLAN
102
20.1.1.0/24 . .
20.3.1.0/24
. 20.4.1.0/24
Outside
2 2 2
Core 3 Core 4 2
BVI
Core 1 Core 2
Master Slave Slave Slave
10.101.10.2
00
ASA Po
32
Po
32
ASA ASA Po
32
Po
32
ASA
4
1 3
2
VLAN101
vPC
vPC
vPC
vPC
32
32
32
Inside
Po
40
AGG 1 AGG 2 32
Po
40
Po
40
Congo
AGG 1
Nigeria
AGG 2
VDC 2
Po
40
VDC 2
VLAN
999
vPC
vPC
vPC
vPC
CCL
42
43
40
vPC 25 vPC 26 41
vPC 10 vPC 11
.1 .1 .1 .1
Data:
Po
OTV
OTV Site VLAN 700
OTV OTV OTV Site VLAN 700
OTV
32
Control:
OTV 1 OTV 3
OTV 2 OTV 4
Po
40
s
© 2011 Cisco and/or its affiliates. All rights reserved. 48
- 49. Unit "asa2" in state SLAVE
ID : 1
asa(cfg-cluster)# sh cluster info Version : 9.0(0.129)
Cluster DC-SEC: On Serial No.: JAF1534CCHB
Interface mode: spanned
CCL IP : 99.99.99.2
This is "asa3" in state SLAVE
ID : 3 CCL MAC : 7081.055a.
Version : 9.0(0.129) 2a96
Serial No.: JAF1518CKJH Last join : 01:06:02 EDT
CCL IP : 99.99.99.3 Oct 12 2012
CCL MAC : 4055.3980.0076 Last leave: 01:02:24 EDT
Last join : 01:53:16 EDT
Oct 12 2012
Oct 12 2012
Last leave: 01:53:03 EDT
Unit "asa4" in state SLAVE
Oct 12 2012 ID : 2
Other members in the cluster: Version : 9.0(0.129)
Unit "asa1" in state MASTER
Serial No.: JAF1553ALFH
ID : 0
CCL IP : 99.99.99.4
Version : 9.0(0.129) CCL MAC :
Serial No.: JAF1504CQPKc464.1366.e396
CCL IP : 99.99.99.1 Last join : 01:53:10 EDT
CCL MAC : 5475.d05b.
Oct 12 2012
0876 Last leave: 01:52:35 EDT
Last join : 08:09:52 EDT 12 2012
Oct
Oct 12 2012
Last leave: 02:19:19 EDT
Oct 12 2012
© 2011 Cisco and/or its affiliates. All rights reserved. 49
- 50. Common Data vPC
DC10-N7K-1# sh vpc brief
Legend:
vPC status
(*) - local vPC is down, forwarding via vPC peer- ---------------------------------------------------------
link
-------------
vPC domain id : 10 id Port Status Consistency Reason
Peer status : peer adjacency formed ok
vPC keep-alive status : peer is not reachable Active vlans
through peer-keepalive
Configuration consistency status : success
-- ---- ------ ----------- ------
Per-vlan consistency status : success ------------
Type-2 consistency status : failed
Type-2 inconsistency reason : SVI type-2 configuration 32 Po32 up success success
Unique101-102,105
incompatible
vPC role : secondary, operational primary CCL vPCs
Number of vPCs configured : 10 ,
Peer Gateway : Enabled
Peer gateway excluded VLANs :- 191-193,19
Dual-active excluded VLANs :-
Graceful Consistency Check : Enabled
Auto-recovery status : Disabled 5,197,461,5
vPC Peer-link status
--------------------------------------------------------------------- 91-594,597,
id Port Status Active vlans
-- ---- ------ --------------------------------------------------
1 Po1 up
101-102,105,191-193,195,197,461,591-594,597,599-60
599-600,700 ....-
0,700,900-902,905,910,999
© 2011 Cisco and/or its affiliates. All rights reserved.
42 Po42 up success success 50
- 52. Cisco IPS 4520
Новинка
Производительность, масштабируемость, адаптивность
Cisco IPS 4510
Новинка
Cisco IPS 4360
Новинка
Cisco® IPS 4345
Новинка
Филиал Интернет- Комплекс Центр обработки
периметр зданий данных
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 52
Cisco Confidential – Redistribution Prohibited
- 53. Cisco® IPS 4345 Cisco IPS 4360 Cisco IPS 4510 Cisco IPS 4520
Основа платформы 1RU 1RU 2 RU (шасси) 2 RU (шасси)
4 ядер 4 ядер 8 ядер 12 ядер
Процессор
4 потока 8 потока 16 потока 24 потока
Память 8 GB 16 ГБ 24 ГБ 48 GB
6 x 1 GE Cu 6 x 1 GE Cu
Базовые порты данныъ 8 x 1 GE Cu 8 x 1 GE Cu
4 x 10 GE SFP 4 x 10 GE SFP
Ускоритель Regex Одинарный Одинарный Одинарный Двойной
Постоянное значение 2 с возможностью 2 с возможностью 2 с возможностью
Электропитание
переменного тока горячей замены горячей замены горячей замены
© 2011 Cisco and/or its affiliates. All rights reserved. 53