Документ описывает Cisco Connect 2017 в Москве и основные преимущества цифровизации и архитектуры Cisco DNA Campus Fabric. Он акцентирует внимание на программируемости, автоматизации и безопасности сетевых решений, предлагая гибкость для мобильных приложений и сетевых сервисов. Основное внимание уделяется разделению идентификаторов и местоположений в сетевой маршрутизации через протокол LISP.

1. Cisco
Connect
Москва, 2017
Цифровизация:
здесь и сейчас

2. Cisco DNA
Campus
Fabric
Станислав Рыпалов
Системный инженер,
CCIE R&S/Security #12561
© 2017 Cisco and/or its affiliates. All rights reserved.

3. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 4
Преимущества
Зачем мне это нужно?
Преимущества
Концепция
Обзор решения
Собираем все
вместе

4. Cisco Digital Network Architecture
Обзор
5
Automation
Abstraction & Policy Control
from Core to Edge
Open & Programmable | Standards-Based
Open APIs | Developers Environment
Cloud Service Management
Policy | Orchestration
Virtualization
Physical & Virtual Infrastructure | App Hosting
Analytics
Network Data,
Contextual Insights
Прозрачность &
Опыт
Автоматизация
& Уверенность
Безопасность &
Соответствие
Network-enabled Applications
Cloud-enabled | Software-delivered
Принципы

5. Cisco Connect 2017 6
Программируемый собственный ASIC
Лидирующие в отрасли
Wired and Wireless | Stacking | TrustSec | SDN
Расширенный функционал
Programmable Pipeline | Flexibility | Recirculation
Оптимизирован для кампуса
Integrated Stacking | Visibility | Security
Задел на будущее
Long Life Cycle | Investment Protection
`
Сетевые приложения
Collaboration | Mobility | IoT | Security
Автоматизация
Programmable | Open
Виртуализация
Campus Fabric | Segmentation | L2 Flexibility
Создана для развития
Strong Foundational Capabilities | HA
Программные сервисы
+
Поддержка инноваций через инвестиции в технологии
Технологическая основа фабрики

6. 7BRKCRS-1800
Provision
Простота развертывания
Внедрение сервисов с применением лучших практик
и конфигураций через Smart CLI

7. 8BRKCRS-1800
SecuritySegmentation
X Простая конструкция Сегментации
для обеспечения Безопасных границ для “пользователей и устройств”

8. 9BRKCRS-1800
Mobility
Проводная и беспроводная
Мобильность
потому что ваш адрес больше не привязан к месту

9. 10BRKCRS-1800
Intelligent
Policy
Сетевое
применение политик
основанное на идентификации, а не на адресе

10. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 11
Концепция
Что такое фабрика?
Преимущества
Концепция
Обзор решения
Собираем все
вместе

11. Что такое фабрика?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 12
Фабрика это Overlay
“Overlay” это логическая топология, которая виртуально соединяет
устройства, построенная на базе физической топологии “Underlay”.
“Overlay” сеть часто использует альтернативные атрибуты для
маршрутизации пакетов, что обеспечивает дополнительные сервисы,
не обеспечиваемые сетью “Underlay”.
• GRE или mGRE
• MPLS или VPLS
• IPSec или DMVPN
• CAPWAP
• LISP
• OTV
• DFA
• ACI
Примеры

12. Что такое фабрика?
Почему “Overlay”
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 13
Гибкость виртуальных сервисов
Мобильность – отслеживание конечных
устройств в точках подключения
Масштабирование – снижение нагрузки
на ядро
Распределение функций в сторону доступа/границы
Гибкость и программируемость
Снижение числа точек применения усилий
Простой транспорт
Физические устройства и соединения
Интеллектуальная обработка пакетов
Максимальная доступность
Простота и управляемость
Разделение шин коммутации и сервисов
BRKCRS- 13

13. Что такое фабрика?
Терминология
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 14
Overlay Control Plane
Underlay Control PlaneUnderlay Network
Hosts
(End-Points)
Edge DeviceEdge Device
Overlay Network
Encapsulation

14. Что такое фабрика?
Типы Overlay
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 15
Гибрид L2 + L3 Overlay – максимальные преимущества из обоих миров
Layer 2 Overlay
• Эмулируют сегменты ЛВС
• Транспорт для Ethernet фреймов (IP & Non-IP)
• Мобильность в единой подсети (L2 domain)
• Обеспечивает Layer 2 flooding
• Эмуляция физических топологий
Layer 3 Overlay
• Абстрактная связность IP
• Транспорт для IP пакетов (IPv4 & IPv6)
• Полная мобильность независимо от шлюза
• Изоляция доменов сетевых неисправностей(floods)
• Возможность по абстракции связности и политики

15. Уникальные функции в фабрике
Ключевые отличия
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 16
1. LISP в Control-Plane
2. VXLAN для Data-Plane
3. Встроенный Cisco TrustSec
Ключевые отличия
• L2 + L3 Overlay - против- L2 или L3
• Мобильность хостов с Anycast Gateway
• VRF + SGT на Data-Plane
• Туннелирование хостов (не статическое)
• Нет ограничения в топологии (Basic IP)

16. Campus Fabric
новые понятия
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 17
• “Control-Plane Node” ≈ “LISP Map-Server”
• “Edge Node” ≈ “LISP Tunnel Router” (xTR)
• “Border Node” ≈ “LISP Proxy Tunnel Router” (PxTR)
• “Intermediate Node” ≈ “Non-LISP IP Forwarder”

17. Обзор Campus Fabric
новые понятия
• “Fabric Domain” ≈ “FD” ≈ “LISP Process”
• “Virtual Network” ≈ “VN” ≈ “LISP Instance” ≈ “VRF”
• “Endpoint ID Group” ≈ “EIG” ≈ “Segment” ≈ “SGT”
• “Host Pool” ≈ “Dynamic EID” ≈ “VLAN + IP Subnet”
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 18

18. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 19
Обзор решения
Компоненты?
Преимущества
Концепция
Обзор решения
Собираем все
вместе
Locator / ID Separation
Protocol (LISP)
Cisco TrustSec
VXLAN
Encapsulation

19. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 20
Что такое LISP?

20. Locator/ID Separation Protocol (LISP)
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 21
EID
EID
Архитектура маршрутизации
Раздельная адресация пространств для
Identity и Location
End-point Identifiers (EID)
Routing locators (RLOC)
Control Plane Protocol
Сопоставление идентификатора хоста с
текущим местоположением (RLOC)
Data Plane Protocol
Инкапсуляция пакета с EID-адресом в
заголовок с RLOC-адресом
RLOC
Mapping
System
EID
EID
EID
EID

21. Разделение Locator / ID
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 22
IP core
IPv4 или IPv6 адрес
представляет и Identity
и Location
Традиционный подход -
Location + ID “совмещены”
10.1.0.1 Когда устройство перемещается,
оно получает новый адрес IPv4 или
IPv6 для нового Identity и Location
20.2.0.9
IPv4 или IPv6 адрес
представляет только
Identity
Когда устройство перемещается,
оно сохраняет тот же адрес IPv4
или IPv6.
Сохраняем Identity
Overlay подход -
Location & ID “разделены”
IP core
меняем только Location
10.1.0.1
10.1.0.1
Location здесь

22. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 23
Как LISP
используется в
фабрике?

23. Campus Fabric
узлы Control-Plane – детальный взгляд
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 24
Узел Fabric Control-Plane построен на LISP Map Server / Resolver
Содержит LISP Host Tracking Database для обеспечения информации о
доступности через overlay
C
• Простая база данных хостов, которая отслеживает
связку Endpoint ID к Edge Node и другие атрибуты
• База данных поддерживает поиск Endpoint ID (IPv4 /32,
IPv6 /128 или MAC)
• Получает зарегистрированные префиксы от Edge Node с
локальными Endpoint
• Отвечает на запросы поиска от удаленных Edge Node
для поиска Endpoint

24. Campus Fabric
Edge узлы – детальный взгляд
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 25
Fabric Edge узлы построены на LISP Tunnel Router (xTR)
Обеспечивают связность для пользователей и устройств, подключенных к
фабрике
E E E
• Отвечают за идентификацию и аутентификацию хостов
• Регистрируют информацию о Endpoint ID на узлах Control-
Plane
• Обеспечивают Anycast L3 Gateway для подключенных
хостов
• Обеспечивают инкапсуляцию / декапсуляцию хостового
трафика к хосту и от хоста в фабрику

25. Campus Fabric
Border узлы – детальный взгляд
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 26
Узлы Fabric Border построены на LISP Proxy Tunnel Router (PxTR)
Весь трафик приходящий или покидающий фабрику проходит через узлы этого
типа
B B
• Соединяет традиционные L3 сети и / или различные
домены фабрики с локальным доменом
• Место где происходит обмен информацией о
доступности хостов и политиках
• Отвечает за трансляцию контекста (VRF или SGT) между
доменами
• Обеспечивает точку выхода из домена для узлов Edge

26. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 27
Звучит СЛОЖНО.
Какие
преимущества я
получу?

27. Преимущества LISP
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 28
Масштабируемая
маршрутизация
Мобильность
EID
RLOC
EID
Сегментация
EID
RLOC
EID

28. Масштабируемая маршрутизация LISP
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 29
Prefix Next-hop
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121
Prefix Next-hop
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121
Традиционные протоколы
• IP Address = Location + Identity
• Большие таблицы и нагрузка CPU
Topology + Endpoint Routes
Prefix Next-hop
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121Topology Routes
Endpoint Routes

29. Масштабируемая маршрутизация LISP
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 30
Только Local Routes
Prefix Next-hop
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121
Prefix Next-hop
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121
Prefix Next-hop
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121
LISP DB + Cache
• Меньше таблица и нагрузка CPU
• Разделение Identity и Location
Topology Routes
Endpoint Routes
Flexible
Mapping
Database
Prefix RLOC
192.58.28.128 ...171.68.228.121
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121
192.58.28.128 ...171.68.228.121
189.16.17.89 ...171.68.226.120
22.78.190.64 ...171.68.226.121
172.16.19.90 ...171.68.226.120
192.58.28.128 ...171.68.228.121

30. Мобильность LISP в фабрике
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 31
Host Pool построены на IP Subnet + VLAN ID
Обеспечивают базовую конструкцию, включающую “Anycast Gateway” для
каждого пула хостов
• Узел Edge обеспечивает Switch Virtual Interface (SVI), с IP
подсетью, шлюзом IP и т.д. для каждого пула
• LISP использует Dynamic EID для анонса Host Pool
(внутри каждого Instance ID)
• LISP Dynamic EID обеспечивает распространение и
мобильность хостовых-адресов(/32, /128, MAC)
• Host Pool’ы могут назначаться как статически (на порт),
так и динамически (используя аутентификацию хоста)
Pool
1
Pool
2
Pool
3
Pool
4
Pool
5
Pool
6
Pool
7
Pool
8
Pool
9

31. Сегментация LISP на фабрике
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 32
Virtual Network (VN) основаны на Virtual Routing and Forwarding
(VRF)
Обеспечивают раздельную маршрутизацию и коммутацию для каждой
виртуальной сети
• LISP использует Instance ID для поддержания
независимых VRF топологий (“Default” VRF это Instance
ID “0”)
• LISP добавляет VNID к LISP / VXLAN инкапсуляции
• Префиксы Endpoint ID (Host Pools) анонсируются внутри
LISP Instance ID
• Используется обычная конфигурация “vrf definition” с
RD и RT для анонсов за пределы фабрики (Border Node)
VN
“A”
VN
“B”
VN
“C”

32. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 33
Как работает LISP?

33. Locator / ID Separation Protocol
LISP Mapping System
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 34
LISP “Mapping System” аналогична запросу DNS
‒ DNS отвечает IP адресом на запрашиваемое Имя Отвечает на вопрос “КТО”
Host
DNS
Name -to- IP
URL Resolution
[ Who is lisp.cisco.com ] ?
DNS
Server
[ Address is 153.16.5.29, 2610:D0:110C:1::3 ]
‒ LISP отвечает Locators на запрос Identities Отвечает на вопрос “ГДЕ”
LISP
ID -to- Locator
Map Resolution
LISP
Router
LISP Map
System
[ Where is 2610:D0:110C:1::3 ] ?
[ Locator is 128.107.81.169, 128.107.81.170 ]

34. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35
Обзор решения
Компоненты?
Преимущества
Концепция
Обзор решения
Собираем все
вместе
Locator / ID Separation
Protocol (LISP)
Cisco TrustSec
VXLAN
Encapsulation

35. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 36
Что такое Cisco
TrustSec (CTS)?

36. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 37
Cisco TrustSec
Сложность традиционной сегментации
Access Layer
Enterprise
Backbone
Voice
VLAN
Voice
Data
VLAN
Employee
Aggregation Layer
Supplier
Guest
VLAN
BYOD
BYOD
VLAN
Non-Compliant
Quarantine
VLAN
VLAN
Address
DHCP Scope
Redundancy
Routing
Static ACL VACLОграничения
традиционной
сегментации
• Политика безопасности
базируется на
топологии (адресе)
• Высокая стоимость
поддержки и
сложность
Applications
access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165
access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428
access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511
access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945
access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116
access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959
access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993
access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848
access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216
access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111
access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
Классификация
Статическое или
динамическое
присвоение VLAN
Распространение
Передача “Сегмента”
контекста через сеть с
использованием
VLAN, IP адреса,
VRF
Применение
IP политика - ACL,
правила Firewall

37. Cisco TrustSec
Упрощение сегментации с использованием групповых политик
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 38
VLAN BVLAN A
Campus Switch
DC Switch
or Firewall
Application
Servers
ISE
Enterprise
Backbone
Enforcement
Campus Switch
Voice Employee Supplier Non-CompliantVoiceEmployeeNon-Compliant
Shared
Services
Employee Tag
Supplier Tag
Non-Compliant Tag
DC switch receives policy
for only what is connected
Классификация
Статическое или
динамическое
присвоение метки
SGT
Распространение
Передача “Группы”
контекста по сети с
использованием SGT
Применение
Групповые политики,
ACL, правила Firewall

38. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 39
Как Cisco TrustSec
применяется в
фабрике?

39. Cisco TrustSec
ISE включает CTS
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 40
SGACL - Name Table
Матрица политик для
распространения на
сетевые устройства
SGT и SGT Names
Централизованно
заданные названия
Endpoint ID Groups
802.1X Dynamic SGT
Assignment
ISE динамически
аутентифицирует
устройства
пользователей,
устройства и
присваиваетSGT
Static SGT
Assignment
SGACL -
Name Table
Sources
Destinations
✕ ✓ ✕ ✓ ✓ ✓
✓ ✓ ✕ ✓ ✕ ✕
✕ ✓ ✓ ✕ ✕ ✕
Scalable Group ACL
NDAC
Network Device
Admission Control
Rogue
Device(s)
SGT and
SGT Names
3: Employee
4: Contractors
8: PCI_Servers
9: App_Servers
Scalable Group Tags
NDAC аутентифицирует
устройства для домена
CTS Cisco ISE

40. Campus Fabric
Endpoint ID Groups – детальный взгляд
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 41
Endpoint ID Group построена на Scalable Group Tag (SGT)
Каждый пользователь или устройства назначаются в уникальную Endpoint ID
Group (EIG)
• CTS использует Endpoint ID “Groups” для назначения
уникальной Scalable Group Tag (SGT) на Host Pools
• LISP добавляет SGT в инкапсуляцию LISP / VXLAN
• CTS EIG используются для управления адрес-
независимыми политиками “Group-Based Policies”
• Узлы Edge и Border используют SGT для применения
локальных Scalable Group ACL (SGACL)
EIG
1
EIG
2
EIG
3
EIG
4
EIG
5
EIG
6
EIG
7
EIG
8
EIG
9

41. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 42
Какие
преимущества мне
дает Cisco TrustSec?

42. Преимущества TrustSec
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 43
access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165
access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428
access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511
access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945
access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116
access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959
access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993
access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848
access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
access-list 102 permit icmp 100.211.144.227 0.0.1.255 lt 4962 94.127.214.49 0.255.255.255 eq 1216
access-list 102 deny icmp 88.91.79.30 0.0.0.255 gt 26 207.4.250.132 0.0.1.255 gt 1111
access-list 102 deny ip 167.17.174.35 0.0.1.255 eq 3914 140.119.154.142 255.255.255.255 eq 4175
access-list 102 permit tcp 37.85.170.24 0.0.0.127 lt 3146 77.26.232.98 0.0.0.127 gt 1462
access-list 102 permit tcp 155.237.22.232 0.0.0.127 gt 1843 239.16.35.19 0.0.1.255 lt 4384
access-list 102 deny udp 167.160.188.162 0.0.0.255 gt 4230 248.11.187.246 0.255.255.255 eq 2165
access-list 102 deny udp 32.124.217.1 255.255.255.255 lt 907 11.38.130.82 0.0.31.255 gt 428
access-list 102 permit ip 64.98.77.248 0.0.0.127 eq 639 122.201.132.164 0.0.31.255 gt 1511
access-list 102 deny tcp 247.54.117.116 0.0.0.127 gt 4437 136.68.158.104 0.0.1.255 gt 1945
access-list 102 permit icmp 136.196.101.101 0.0.0.255 lt 2361 90.186.112.213 0.0.31.255 eq 116
access-list 102 deny udp 242.4.189.142 0.0.1.255 eq 1112 19.94.101.166 0.0.0.127 eq 959
access-list 102 deny tcp 82.1.221.1 255.255.255.255 eq 2587 174.222.14.125 0.0.31.255 lt 4993
access-list 102 deny tcp 103.10.93.140 255.255.255.255 eq 970 71.103.141.91 0.0.0.127 lt 848
access-list 102 deny ip 32.15.78.227 0.0.0.127 eq 1493 72.92.200.157 0.0.0.255 gt 4878
Упрощение ACL
IPv4 and v6

43. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 44
Как работает Cisco
TrustSec?

44. Cisco Trust Security
Ingress классификация с Egress применением
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 45
Egress
Enforcement
(SGACL)
Cat3850 Cat6800 Nexus 2248
WLC5508
Cat6800 Nexus 7000
User Authenticated =
Classified as Marketing (5)
FIB Lookup =
Destination MAC = SGT 20
DST: 10.1.100.52
SGT: 20
SRC: 10.1.10.220
DST: 10.1.200.100
SGT: 30
CRM
Web
DST 
 SRC
CRM
(20)
Web
(30)
Marketing (5) Permit Deny
BYOD (7) Deny Permit
Destination Classification
CRM: SGT 20
Web: SGT 30
Enterprise
Backbone
Nexus 5500
SRC: 10.1.10.220
DST: 10.1.100.52
SGT: 5
5 5

45. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 46
Обзор решения
Компоненты?
Преимущества
Концепция
Обзор решения
Собираем все
вместе
Locator / ID Separation
Protocol (LISP)
Cisco TrustSec
VXLAN
Encapsulation

46. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 47
Что такое
инкапсуляция Virtual
Extensible LAN
(VXLAN)?

47. Инкапсуляция VXLAN
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 48
VXLAN это шина данных
ORIGINAL
PACKET
PAYLOADETHERNET IP
PACKET IN
LISP
PAYLOADIPLISPUDPIPETHERNET
PAYLOADETHERNET IPVXLANUDPIPETHERNET
PACKET IN
VXLAN
Работает
через L2
и L3 Overlay
Работает
через L3
Overlay

48. Обзор шины данных
заголовок инкапсуляции в фабрике
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 49
Шина данных фабрики обеспечивает:
Распространение адресов Underlay и их mapping
Автоматическое установление туннелей (Virtual Tunnel End-Points)
Инкапсуляцию фреймов между RLOC’ами
Поддержка формата заголовка LISP или VXLAN
Примерно похожи, с разными полями и данными
Заголовок LISP передает IP данные (IP в IP)
Заголовок VXLAN передает MAC данные (MAC в IP)
Запускаются по событиям от LISP Control-Plane
ARP или NDP Learning на L3 шлюзах
Map-Reply или Cache на Routing Locators
Decap
Encap
Inner
InnerOuterInner
InnerOuter

49. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 52
Собираем все вместе
Как построить фабрику?
Преимущества
Концепция
Обзор решения
Собираем все
вместе

50. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 53
Какие коммутаторы
поддерживают
режим фабрики?
BRKCRS- 53

51. Поддерживаемые платформы
Fabric Edge узлы - опции
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 54
Catalyst 3K
• Catalyst 3650
• Catalyst 3850
• 1G/MGIG (Copper)
• IOS-XE 16.3.1+
Catalyst 4K
• Catalyst 4500
• Sup8E (Uplinks)
• 4700 Cards
• IOS-XE 3.9.1+

52. Поддерживаемые платформы
Fabric Border узлы - опции
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 55
Catalyst 3K Catalyst 6K
• Catalyst 3850
• 12/24 or 48XS
• 1/10G (Fiber)
• IOS-XE 16.3.1+
• Catalyst 6800
• Sup2T or 6T
• 6880 or 6840-X
• IOS 15.4.1SY+
Nexus 7K
• Nexus 7700
• Sup2E
• M3 Cards
• NXOS 7.3.2+
ASR1K & ISR4K
• ASR1000-X
• ISR4430/4450
• X or HX Series
• IOS-XE 16.4.1+

53. Поддерживаемые платформы
Fabric Control-Plane - опции
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 56
Catalyst 3K Catalyst 6K
• Catalyst 3850
• 12/24 or 48XS
• 1/10G (Fiber)
• IOS-XE 16.3.1+
• Catalyst 6800
• Sup2T or 6T
• 6880 or 6840-X
• IOS 15.4.1SY+
ASR1K & ISR4K
• ASR1000-X
• ISR4430/4450
• X or HX Series
• IOS-XE 16.4.1+

54. Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 57
Как настроить
фабрику?
BRKCRS- 57

55. Campus Fabric - Smart CLI
Простая настройка и поиск неисправностей
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 58
Что такое Smart CLI?
• Новый конфигурационный режим для простой
настройки и управления фабрикой
• Включается глобальной командой “fabric auto”
• Обеспечивает простой набор интуитивно понятных
команд
• Автоматическая генерация команд для настройки
LISP, VRF, IP, CTS
fabric_device(config)# fabric auto

56. Smart CLI
Включение сервисов узла Edge
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 59
Class CLI Description
fabric-domain (config-fabric-auto)# [no] domain {default} Exists under (config-fabric-auto) mode
 Configure default domain
 Enters domain configuration mode (config-fabric-auto-domain)
(config-fabric-auto-domain)# [no] control-plane <ipv4_addr> auth-key <key> Exists under (config-fabric-auto-domain) mode
 Configures remote control-plane address and authentication key
(config-fabric-auto-domain)# [no] border <ipv4_addr> Exists under (config-fabric-auto-domain) mode
 Configures remote fabric border address
neighborhood (config-fabric-auto-domain)# [no] neighborhood name <name> id <ID> Exists under (config-fabric-auto-domain) mode
 (OPTIONAL) Creates a neighborhood by name and ID
host-pool (config-fabric-auto-domain)# [no] host-pool name <name> Exists under (config-fabric-auto-domain) mode
 Creates a host-pool by name
 Enters host-pool config mode (config-fabric-auto-domain-host-pool)
(config-fabric-auto-domain-host-pool)# vlan <id> Exists under (config-fabric-auto-domain-host-pool) mode
 Configures VLAN ID
(config-fabric-auto-domain-host-pool)# [no] gateway <addr/mask>
(config-fabric-auto-domain-host-pool)# [no] neighborhood name <>
Exists under (config-fabric-auto-domain-host-pool) mode
 Gateway – Configures Gateway IP/mask (prefix).
 Neighborhood – Attaches host-pool to a neighborhood
(config-fabric-auto-domain-host-pool)# [no] use-dhcp <addr> Exists under (config-fabric-auto-domain-host-pool) mode
 (OPTIONAL) Configures dhcp server address
(config-fabric-auto-domain-host-pool)# exit exit sub-mode and apply configurations

57. Smart CLI
Включение сервисов узлов Control-Plane
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 60
Class CLI Description
fabric-domain (config-fabric-auto)# [no] domain {default} Exists under (config-fabric-auto) mode
 Configure default domain
 Enters domain configuration mode (config-fabric-auto-domain)
(config-fabric-auto-domain)# [no] control-plane self auth-key <key> Exists under (config-fabric-auto-domain) mode
 Configures local control-plane address and authentication key
host-prefix (config-fabric-auto-domain)# [no] host-prefix <prefix> [neighborhood name <name> id <ID>] Exists under (config-fabric-auto-domain) mode
 Enables c-plane service (per-neighborhood) for host-prefix
 If “neighborhood” not configured, use default neighborhood
(config-fabric-auto-domain-host-pool)# exit exit sub-mode and apply configurations

58. Smart CLI
настройка узла Border
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 61
Class CLI Description
fabric-domain (config-fabric-auto)# [no] domain {default} Exists under (config-fabric-auto) mode
 Configure default domain
 Enters domain configuration mode (config-fabric-auto-domain)
(config-fabric-auto-domain)# [no] control-plane <ipv4_addr> auth-key <key> Exists under (config-fabric-auto-domain) mode
 Configures remote control-plane address and authentication key
(config-fabric-auto-domain)# [no] border self Exists under (config-fabric-auto-domain) mode
 Configures local border address
neighborhood (config-fabric-auto-domain)# [no] neighborhood name <name> id <ID> Exists under (config-fabric-auto-domain) mode
 (OPTIONAL) Creates a neighborhood by name and ID
host-prefix (config-fabric-auto-domain)# [no] host-prefix <prefix> [neighborhood name <name> id <ID>] Exists under (config-fabric-auto-domain) mode
 Enables border services (per-neighborhood) for host prefix
 If “neighborhood” not configured, use default neighborhood
(config-fabric-auto-domain-host-pool)# exit exit sub-mode and apply configurations

59. Smart CLI – пример
Добавление нового Edge узла
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 62
 Генерация всех базовых настроек LISP XTR
 Настройка Loopback0 как адреса locator’а
 Настройка соседства по умолчанию с instance ID 0
 Включение инкапсуляции VXLAN
 Добавление SGT к инкапсуляции VXLAN
Edge(config)# fabric auto
Edge(config-fabric-auto)# domain default
Edge(config-fabric-auto-domain)# control-plane 2.2.2.2 auth-key key1
Edge(config-fabric-auto-domain)# border 4.4.4.4
Edge(config-fabric-auto-domain)# exit

60. Smart CLI – пример
команда show fabric domain
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 63
Edge# show fabric domain
Fabric Domain : "default"
Role : Edge
Control-Plane Service: Disabled
Border Service: Disabled
Number of Control-Plane Nodes: 1
IP Address Auth-key
---------------------------------
2.2.2.2 key1
Number of Border Nodes: 1
IP Address
---------------------------------
4.4.4.4
Number of Neighborhood(s): 4
Name ID Host-pools
---------------------------------------------
default 0 2
guest 50 1
pcie 60 1
cisco 70 *
 Текущий домен (default)
 Роль(и) устройства
 Узлы Control-Plane
 Узлы Border
 Виртуальные сети
 ассоциированные Host Pool(ы)

61. Campus Fabric - Smart CLI
Сделаем настройку и устранение неисправностей простым
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 64
Скоро! 
• Underlay Network – настройка интерфейсов и
протоколов для Underlay network
• Endpoint ID Groups – Настройка AAA и CTS
команд для статических и динамических ID
• Group Based Policy – настройка SGT и SGACL
политик
• и другое…
fabric_device(config)# fabric auto

62. ИТОГО
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 65

63. Что дальше?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 66
1. Обновите железо и ПО!
• Catalyst 3650 или 3850 - новый IOS-XE 16.3+
• Catalyst 4500 с Sup8E - новый IOS-XE 3.9+
• Catalyst 6807, 6880 или 6840 - новый IOS 15.4SY+
• Nexus 7700 с M3 Cards - новый NX-OS 7.3.2+
• ASR1000-X или ISR4400 - новый IOS-XE 16.4+
2. Попробуйте “Campus Fabric” в своей лабе!
• Необходимы 2 или 3 (+) коммутатора для тестирования
• 1 узел Control-Plane + Border и 1 узел Fabric Edge
3. Trial внедрения (Помните: это Overlay)
• Вы можете развернуть новые узлы C-Plane, Border и Edge без
изменения существующей (Underlay) сети
IP Network

64. Утвержденный/проверенный дизайн
http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Oct2016/CVD-
CampusFabricDesign-2016OCT.pdf
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 67

65. Вопросы?
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 68

66. #CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!
Оцените данную сессию в мобильном приложении
конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410
www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia