PLNOG16: Praktyczne zastosowania technologii SDN w  6 4 2 0 Kolumna 1 Kolumna 2 Kolumna 3 środowisku akademickim na przykładzie Cisco ACI, Jacek Kosiński, Remigiusz Górecki

1. Wiersz 1 Wiersz 2 Wiersz 3 Wiersz 4
0
2
4
6
8
10
12
Kolumna 1
Kolumna 2
Kolumna 3
Praktyczne zastosowania technologii SDN w
środowisku akademickim na przykładzie
Cisco ACI
Jacek Kosiński, Remigiusz Górecki
AGH, InfiniTree
{j.kosinski, r.gorecki}@infinitree.com.pl

2. Parę słów o prowadzących…
• dr inż Jacek Kosiński - od 2000 roku
pracownik naukowo-dydaktyczny Katedry
Informatyki AGH, zaangażowany w:
– projekty badawcze z zakresu sieci
komputerowych, wirtualizacji, środowisk
rozproszonych,
– realizację procesu dydaktycznego,
– (w wolnych chwilach :) obsługę wspólnie z
kolegą całej infrastruktury teleinformatycznej
budynku KI AGH.
• mgr inż. Remigiusz Górecki - od 2001 roku
pracownik Katedry Informatyki, zaangażowany:
• zarządzanie wirtualizacją, pamięciami
masowymi i systemami operacyjnymi Linux,
terminami PCoverIP

3. Centrum Informatyki AGH
• Rok 2012 - wdrożenie infrastruktury
informatycznej, bazując (głównie) na technologii
firmy Cisco do obsługi procesu dydaktycznego i
badań naukowych:
• Cisco UCS - zasoby serwerowe DC,
• Cisco Telepresence - system
wideokonferencyjny,
• Cisco Nexus, FEX - infrastruktura sieciowa DC
• Cisco CUCM - telefonia IP
• Cisco DMS - prezentacja treści multimedialnych
• Przełom 2015/2016 - wdrożenie sieci
programowalnych SDN - ACI:
• Cisco Nexus 9000 + FEX
• Cisco APIC + Cisco UCS Director

4. Realizacja dydaktyki w modelu Cloud
• Konsolidacja serwisów w oparciu o wirtualne
maszyny:
– ~300 VM do obsługi serwisów KI, dydaktyki i
infrastruktury,
– ~300 szt. terminali PCoverIP,
– ~900 maszyn wirtualnych typu desktop.
• Serwery Cisco UCS typu Blade:
– 8 szt. chassis, 64 szt. B200M2, B200M3,
– 1024 CPU core’s, 9 TB RAM, 140 TB HDD,
– 40-80 Gbps, converged I/O do każdej półki.
• VMware vCenter Enterprise+, vCloud, Nexus
1kv, ASA1kv, ASAv, VSG, CSR1kv, PNSC.

5. Dlaczego ACI?
• Cele:
• zmniejszenie złożoności konfiguracji,
• wprowadzenie automatyzacji,
• udostępnienie zarządzania siecią dla twórców aplikacji

6. ACI - koncepcja Policy Driven System
• Administrator tworzy polityki i profile,
• Administrator nie programuje bezpośrednio sprzętu,
• Kontroler tłumaczy wysoko-poziome polityki na niskopoziomową konfigurację
urządzeń sieciowych,
• Sprzęt sieciowy połączony w uniwersalny i programowalny fabric.
Cisco (2013): ACICisco (2009): UCS

7. APIC APIC APIC
ACI - elementy składowe
Nexus 9000 + APIC = ACI
APIC - Application Policy
Infrastructure Controler
Nexus 9k - programowalna i bezstanowa
infrastruktura sieciowa

8. Cisco ACI - reprezentacja modelu polityki
Application Network Profile jest to wysokopoziomowa grupa
łącząca zestaw EPG oraz określone dla nich polityki (kontrakty)
definiujące komunikację pomiędzy nimi.
EPG logicznie określona grupa stacji końcowych reprezentujących
aplikacje lub komponenty aplikacji o wspólnych parametrach.

9. Kontrakty w Cisco ACI
Konfiguracja kontraktów przekłada się
na konfigurację firewall’a (stateless L4)
zaimplementowanego wewnątrz fabric.

10. Koncepcja grafu serwisów
• Konfiguracja grafu serwisów składa się z uporządkowanej listy usług
sieciowych wymaganych przez aplikację lub jej komponent
• Usługi wchodzące w skład grafu serwisów są automatycznie konfigurowane
na dołączonych urządzeniach (wirtualnych lub fizycznych) zgodnie z
wymogami aplikacji.

11. Koncepcja ACI Fabric
• Fabric to ściśle określona topologia z użyciem połączeń 40G Ethernet, wewnątrz komunikacja
enkapsulowana za pomocą technologi VXLAN,
• Dwa rodzaje switchy pełniących różne funkcje: spine i leaf,
• Pełna normalizacja ruchu przychodzącego (802.1Q VLAN, IETF VXLAN, IETF NVGRE),
• Standardowe mechanizmy routingu i przełączania, możliwość wprowadzania serwisów i przekierowań,
• Globalna, rozproszona tablica urządzeń końcowych - eliminacja zalewania w ARP, GARP

12. Metody integracji serwisów L4-L7
• Go To (Routing): W tym trybie pakiet jest adresowany do
urządzenia serwisowego i posiada konkretny cel.
Reprezentuje dowolne urządzenie jako podłączone za pomocą
integracji w warstwie 3 (L3).
• Go Through (Transparentny): W tym trybie pakiet jest
przesyłany bezpośrednio przez urządzenie a nie jest
adresowany do urządzenia. Stacje końcowe nie są świadome
urządzenia pomiędzy nimi.
• Device Package: jest to plik ZIP zawierający definicje
urządzenia pozwalające na zarządzanie jego konfiguracja
bezpośrednio z poziomu APIC.
• Tryb „niezarządzalny”: brak integracji z APIC, urządzenie
jest konfigurowane niezależnie w klasyczny sposób. APIC jest
odpowiedzialny jedynie za przekierowanie ruchu do i z
urządzenia.

13. APIC - programowanie i automatyzacja
• CLI (Interfejs linii komend):
• Możliwość zarządzania konfiguracją APIC za
pomocą poleceń.
• Dwa tryby pracy NX-OS oraz natywny dla APIC
(interfejs obiektowy).
• GUI (Graficzny Interfejs Użytkownika)
• Interfejs programistyczny:
• Model obiektowy APIC udostępniony na zewnątrz
do interakcji za pomocą API
• Możliwość integracji z innymi programami i
narzędziami.
• REST API, zawartość w XML lub JSON.
• Narzędzia Open Source:
• ACI Toolkit – zestaw programów i skryptów do
zarządzania i monitorowania ACI
• Automatyzacja:
• Biblioteki dla narzędzi: Puppet, Ansible, Chef itp.

14. Integracja z istniejącą infrastrukturą
‘Outside’ EPG
associated with
external network
policies (OSPF,
BGP, … peering)
Forwarding Policy for
‘inside’ EPG’s defined by
associated Bridge
Domain network policies
Location for Endpoints
that are ‘Outside’ the
Fabric are found via
redistributed routes
sourced from the
externally peered
routers (Network Level
Granularity)
Location for
Endpoints that are
‘Inside’ the Fabric
are found via the
Proxy Mapping DB
(Host Level

15. Połączenie z użyciem warstwy 3
•Integracja ze zewnętrznym światem L3 następuje za pomocą obiektu L3Out,
•Obiekt przechowuje konfigurację adresacji, protokołów routingu i zasad redystrybucji tras,
•Możliwe jest współdzielenie pojedynczego wyjścia na zewnątrz fabric przez wiele aplikacji
równocześnie,
•W wewnątrz fabric działa protokól MP-BGP odpowiedzialny za dystrybucje tras (VRF-
leaking).

16. Integracja z wirtualizacją
 Integracja polega na bezpośredniej
powiązaniu APIC z VMM (Virtual
Machine Manager),
 Możliwość integracji wielu VMM z
jedną instancją ACI,
 Każda maszyna wirtualna jest
przypisana do domeny VMM a
parametry jej są pobierane za
pomocą API danego VMM,
 W każdej domenie VMM musi być
uruchomiony jeden wirtualny switch
zarządzany przez APIC,
 EPG z profilu aplikacji są mapowane
w relacji 1:1 na Port Group’y, VM
Networks lub sieci w OpenStack.

17. Integracja z Application Virtual Switch
OpFlex Control protocol
- Control channel
- VM attach/detach,
link state notifications
VEM extension to the
fabric
vSphere 5.0 and above
BPDU Filter/BPDU
Guard
SPAN/ERSPAN
Port level stats
collection
Remote Virtual Leaf
Support (future)

18. Możliwości orchestracji ACI

19. Mikrosegmentacja w ACI
 Mikrosegmentacja pozwala na dynamiczne wydzielenie grupy hostów
końcowych (EPG)
 Możliwa integracja z rożnymi wirtualizatorami (VMM) a także z hostami
fizycznymi,
 Wyodrębnienie hostów odbywać się może na podstawie:
 Parametrów sieciowych: adres MAC lub adres IP (VM i maszyny
fizyczne),
 Parametrów związanych z maszyną wirtualną (uzyskane z VMM):
identyfikator VM, nazwa VM, atrybut VM (tylko dla AVS), system
operacyjny VM, identyfikator hypervisora, nazwa DataCenter, itp.

20. Demo mikrosegmentacji
w ACI

21. Dziękujemy za uwagę