Организация сервисных цепочек в виртуализированной среде - vPath.
Подключение сервисных устройств к DFA.
Интеграция сервисных устройств с ACI.
Архитектура Network Service Header.
В рамках данной сессии мы обсудим решения компании Cisco для защиты Центров обработки данных. Рассмотрим задачи и проблемы возникающие при переходе к виртуализованным средам и особенности их защиты. Основной акцент будет сделан на физические устройства защиты, их место в сети и особенности дизайна для обеспечения высокого уровня производительности. Так же будут рассматриваться решения по защите виртуальных сред, сегментации и фильтрации.
Система виртуальной коммутации - VSS и ее реализация на платформах Catalyst 4...Cisco Russia
Презентация с вебинара, организованного в рамках сообщества Cisco Support Community.
Приглашаем Вас на другие мероприятия Cisco Support Community, а также к участию в жизни нашего сообщества технической поддержки Cisco:
http://cs.co/CSCRu
Основной фокус предлагаемой сессии, это практическое применение технологий Программно Управляемых Сетей (SDN), Виртуализации Сетевых Функции (NFV), и новых платформ оркестрации, обеспечивающие гибкую и модульную сервисную платформу для операторов связи и облачных услуг. Будет подробна рассмотрена бизнес модель и техническая реализация Cisco vMS (Virtual Manaвged Services) решения, которое уже внедрено в коммерческую эксплуатацию ведущими операторами услуг, что позволило им предложить новые персонализированные услуги. Сервисы для корпоративных заказчиков формируются в виде модулей включающих виртуализированные сетевые функции, соглашения об уровне обслуживания (SLA), которые клиенты могут выбрать и активировать на интернет-портале. Будет подробно рассмотрена платформа оркестрации, представляющая собой интегрированную платформу включающую в себя подсистемы создания и обслуживания сервисного каталога, подсистемы кросс доменной оркестрации Cisco NSO (Tail-f NCS) и другие системы обеспечивающие полный цикл автоматизации и сопровождения жизненного цикла услуги.” Сессия будет интересна сетевым и ИТ -специалистам, руководителям отделов развития и эксплуатации сетей операторов связи, партнерам Cisco, интересующимся применением технологий SDN для предоставления современных телекоммуникационных и облачных услуг.
Обзор новых продуктов и решений Cisco для для сетевой инфраструктуры ЦОДCisco Russia
Семейство коммутаторов для сетей хранения данных Cisco MDS 9000 является ведущей в индустрии платформой SAN, обеспечивающей лучшую производительность, масштабируемость, интеграцию разных протоколах, непревзойденную доступность сетей хранения данных и сохранение инвестиций. Семейство коммутаторов для центров обработки данных Cisco Nexus присутствует на рынке с 2008 года и занимает ведущую позицию на рынке оборудования для сетей современных ЦОД благодаря высокой производительности, поддержке конвергентного транспорта и виртуализации, функциям высокой доступности и т.д. За последнее время номенклатура продуктов этих семейств существенно расширилась как за счёт появления новых поколений существующих продуктов, так и за счёт появления совершенно новых линеек. В данном докладе мы рассмотрим структуру семейств Cisco MDS и Cisco Nexus, проанализируем принципы оптимального выбора конкретных моделей оборудования, посмотрим на тенденции развития аппаратных и программных возможностей продуктов данного семейства.
В рамках данной сессии мы обсудим решения компании Cisco для защиты Центров обработки данных. Рассмотрим задачи и проблемы возникающие при переходе к виртуализованным средам и особенности их защиты. Основной акцент будет сделан на физические устройства защиты, их место в сети и особенности дизайна для обеспечения высокого уровня производительности. Так же будут рассматриваться решения по защите виртуальных сред, сегментации и фильтрации.
Система виртуальной коммутации - VSS и ее реализация на платформах Catalyst 4...Cisco Russia
Презентация с вебинара, организованного в рамках сообщества Cisco Support Community.
Приглашаем Вас на другие мероприятия Cisco Support Community, а также к участию в жизни нашего сообщества технической поддержки Cisco:
http://cs.co/CSCRu
Основной фокус предлагаемой сессии, это практическое применение технологий Программно Управляемых Сетей (SDN), Виртуализации Сетевых Функции (NFV), и новых платформ оркестрации, обеспечивающие гибкую и модульную сервисную платформу для операторов связи и облачных услуг. Будет подробна рассмотрена бизнес модель и техническая реализация Cisco vMS (Virtual Manaвged Services) решения, которое уже внедрено в коммерческую эксплуатацию ведущими операторами услуг, что позволило им предложить новые персонализированные услуги. Сервисы для корпоративных заказчиков формируются в виде модулей включающих виртуализированные сетевые функции, соглашения об уровне обслуживания (SLA), которые клиенты могут выбрать и активировать на интернет-портале. Будет подробно рассмотрена платформа оркестрации, представляющая собой интегрированную платформу включающую в себя подсистемы создания и обслуживания сервисного каталога, подсистемы кросс доменной оркестрации Cisco NSO (Tail-f NCS) и другие системы обеспечивающие полный цикл автоматизации и сопровождения жизненного цикла услуги.” Сессия будет интересна сетевым и ИТ -специалистам, руководителям отделов развития и эксплуатации сетей операторов связи, партнерам Cisco, интересующимся применением технологий SDN для предоставления современных телекоммуникационных и облачных услуг.
Обзор новых продуктов и решений Cisco для для сетевой инфраструктуры ЦОДCisco Russia
Семейство коммутаторов для сетей хранения данных Cisco MDS 9000 является ведущей в индустрии платформой SAN, обеспечивающей лучшую производительность, масштабируемость, интеграцию разных протоколах, непревзойденную доступность сетей хранения данных и сохранение инвестиций. Семейство коммутаторов для центров обработки данных Cisco Nexus присутствует на рынке с 2008 года и занимает ведущую позицию на рынке оборудования для сетей современных ЦОД благодаря высокой производительности, поддержке конвергентного транспорта и виртуализации, функциям высокой доступности и т.д. За последнее время номенклатура продуктов этих семейств существенно расширилась как за счёт появления новых поколений существующих продуктов, так и за счёт появления совершенно новых линеек. В данном докладе мы рассмотрим структуру семейств Cisco MDS и Cisco Nexus, проанализируем принципы оптимального выбора конкретных моделей оборудования, посмотрим на тенденции развития аппаратных и программных возможностей продуктов данного семейства.
Технологии Intel для виртуализации сетей операторов связиCisco Russia
This document discusses Intel technologies for network operator virtualization. It summarizes Intel's positioning of products like Xeon processors, Ethernet controllers, and SSDs to help transform telecom networks through network functions virtualization (NFV). NFV aims to reduce costs and speed service deployment by consolidating network infrastructure on standard high-volume servers, switches and storage.
Модель политики Cisco ACI
Запись вебинара можно найти по ссылке: http://ciscoclub.ru/tektorial-po-cod-cisco-aci-arhitektura-preimushchestva-praktika-proektirovaniya-i-vnedreniya
Cisco ACI. Инфраструктура, ориентированная на приложения (часть 2). Интеграци...Cisco Russia
В этой презентации мы продолжим глубокое погружение в архитектуру Cisco ACI и подробно обсудим детали интеграции APIС и доменов виртуализации на базе решений Microsoft, Openstack и VMware. Основной целью такой интеграции является увеличение количества автоматизированных операции при настройке сетевых свойств приложения в средах виртуализации и как следствие снижение количества ошибок конфигурации, минимизация времени, затрачиваемого при первоначальной настройке и последующей эксплуатации интегрированного решения. Так же у слушателей будет возможность познакомиться с тем, как архитектура ACI взаимодействует со внешними, по отношению к фабрике, сервисными устройствами L4-L7, таким как балансировщики нагрузки, межсетевые экраны, системы предотвращения вторжений и другие. Конструкция сервисного графа и модель управления политиками сервисных устройств, о которых пойдет речь, позволяют значительно упростить и централизовать сложный процесс интеграции сервисных устройств с фабрикой Ethernet.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
Обзор Сервисных Услуг в России и странах СНГ.
Сервисные Услуги в России и странах СНГ делятсяна Базовую и Расширенную техническую поддержку.
БАЗОВАЯ ТЕХНИЧЕСКАЯ ПОДДЕРЖКА 1. Центр Технической Поддержки (ТАС) Центр технической поддержки Cisco TAC предоставляет Заказчикам быстрый доступ к технологическим экспертам с опытом диагностики и решения самых сложных проблем.
Cisco TAC обладает развитой системой управления запросами, которая позволяет оперативно направить проблему в соответствующую технологическую команду или перевести на следующий уровень поддержки, если проблема не решена в заданный период.
Cisco TAC предоставляет круглосуточную поддержку по всему миру.
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
Клиентские контракты на услуги технической поддержки Cisco Smart Net Total Care
Cisco Smart Net Total Care (SNTC) — это контракт на услуги технической поддержки Cisco.
Cервис сочетает в себе ведущие в отрасли и получившие множество наград технические сервисы с дополнительно встроенными инструментами бизнес-аналитики, которые получает Заказчик через встроенные интеллектуальные возможности на портале Smart Net Total Care.
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
Как реализовать SDA, создать стратегию, которая будет сопоставлена с бизнес задачами, оценить готовность к трансформации, успешно и максимально надежно реализовать намеченные планы.
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
О работе группы исследователей компании Cisco, в которой доказана применимость традиционных методов статистического и поведенческого анализа для обнаружения и атрибуции известного вредоносного ПО, использующего TLS в качестве метода шифрования каналов взаимодействия, без дешифровки или компрометации TLS-сессии. Также рассказано о решении Cisco Encrypted Traffic Analytics, реализующем принципы, заложенные в данном исследовании, его архитектуре и преимуществах.
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
Как компания Cisco способствует цифровой трансформации предприятий нефтегазовой отрасли. Описание внедренных проектов, полученных результатов, обзор примененных архитектур.
4. Сложности при интеграции сервисов
в существующие ЦОД
Настройка сети для подключения МСЭ
Настройка сетевых параметров балансировщика
4
VLAN 12
10.0.12.0/24
Вставка сервиса в традиционных
сетях
SNAT
Настройка сетевых параметров МСЭ
Настройка правил на МСЭ
Перенаправление трафика на балансировщик
Серверы Настройка балансировщика
Вставка сервиса
занимает дни
Настройка сети
занимает время и
является возможным
источником ошибок
Сложности в
отслеживании
изменений
VLAN 10
10.0.10.0/28
VLAN 11
10.0.11.0/28
PBR
VLAN 13
10.0.13.0/24
5. Решает ли проблему сложности тотальная
виртуализация?
5
Virtual router
SNAT
VXLAN 12
10.0.12.0/24
Вставка сервиса в традиционных
виртуализированных сетях
Configure Network to insert Firewall
Configure firewall rules
Виртуальные серверы
Упростится ли решаемая
задача, если для вставки
виртуализированного
сервиса применяются те
же сетевые концепции,
что и для физической
сети?
VXLAN 10
10.0.10.0/28
VXLAN 11
10.0.11.0/28
PBR
VXLAN 13
10.0.13.0/24
Virtual FW
Virtual router Virtual ADC
Virtual switch
6. Что делать с распределенными сервисами?
DC-1
Subnet A
DC-2
Subnet A
L3 ядро
Outside
VLAN
Inside
VLAN
VIP
VLAN
Front-‐end
VLAN
Back-‐end
VLAN
VIP
Src-NAT
• Эффект пинг-понга
для сервисных
элементов в
распределенных
ЦОД
11. Компоненты коммутатора Nexus 1000V
VSM-1 VSM-2
Гипервизор Гипервизор Гипервизор
…
Устройство Nexus 1100
VSM-A1 VSM-A6
VSM-B1 VSM-B6
Виртуальная машина
Управление
VEM-N VEM-2 VEM-1
Модульный коммутатор
L2
M
O
D
E
Supervisor-1
Supervisor-2
Linecard-1
Linecard-2
Linecard-N
VSM-1
VSM-2
VEM-1
VEM-2
VEM-N
L3
M
O
D
E
…
Back plane
VSM: Virtual Supervisor Module
VEM: Virtual Ethernet Module
12. vPath – перенаправление 1-го пакета каждой новой
сессии на сервисную цепочку
VM VM
VM VM VM
Nexus 1000V
Distributed Virtual Switch
VM
VM VM
VM VM VM
VM VM VM
VM
VM VM VM
VM
vPath
Первый
пакет в
сессии
Сервисное
устройство
1 Проверка пакета
согласно политике
2
3
4
Результат
политики в
кеше
13. vPath – перенаправление 1-го пакета каждой новой
сессии на сервисную цепочку
VM VM
VM VM VM
Nexus 1000V
Distributed Virtual Switch
VM
VM VM
VM VM VM
VM VM VM
VM
VM VM VM
VM
vPath
Первый
пакет в
сессии
Сервисное
устройство
1 Проверка пакета
согласно политике
2
3
4
Результат
политики в
кеше
14. vPath – обработка последующих пакетов этого же потока
VM VM
VM VM VM
Nexus 1000V
Distributed Virtual Switch
VM
VM VM
VM VM VM
VM VM VM
VM
VM VM VM
VM
vPath
Результат политики в кеше
определяет дальнейшие
действия Nexus 1000v
Последующие
пакеты к сессии
Сервисное
устройство
24. Управление
фабрикой
Оптимизация Автоматизация передачи данных
Оптимизация
передачи данных
Автоматизация Виртуальные фабрики
24
Архитектура Dynamic Fabric Automation
Основные компоненты
Простой модульный набор функций упрощающий развертывание
25. Архитектура Dynamic Fabric Automation
Подключение сервисных устройств
N1KV/OVS
Точки подключения сервисных
устройств и виртуальных машин
Services WAN/Core
Spine - агрегация
Leaf - доступ
Border Leaf – граница
Services Leaf - сервис
Virtual Leaf - виртуальный
N1KV/OVS
N1KV/OVS
Виртуальные машины
Физические сервера
FEX-ы, UCS FI, СХД, блейды
Коммутаторы 3-х производителей
Сервисные вирт. машины
МСЭ
Балансировщики
Устройства 3х производителей
Маршрутизаторы
Коммутаторы
Устройства 3х производителей
Замечание: роли на уровне доступа (leaf) - логические. Один и тот же
коммутатор доступа (leaf) может быть одновременно обычным
коммутатором доступа и сервисным и пограничным.
26. Шаг 1: подготовка сетевой фабрики
§ Развертывание DFA фабрики при помощи POAP-шаблонов
§ Подключение продуктивной нагрузки
26
Core/WAN
Leaf
BL
Spine
Spine
Leaf Leaf
Клиенты
www1 - 10.10.10.11
vlan 55
vn-segment 30051
mode fabricpath
interface vlan 55
vrf member INSIDE
ip address 10.10.10.1/24
fabric forwarding mode proxy-gateway
no ip redirects
no shutdown
VRF: INSIDE
28. Шаг 2: создаем виртуальную фабрику для подключения
сервисного устройства
28
§ Добавляем дополнительный VRF
§ Сервисный узел = маршрутизация между VRF
Leaf
Spine
Spine
Leaf Leaf
www1 - 10.10.10.11
Core/WAN
Leaf
BL
Spine
Spine
Leaf Leaf
VRF: INSIDE
Клиенты
VRF: OUTSIDE
vlan 55
vn-segment 30051
mode fabricpath
interface vlan 55
vrf member INSIDE
ip address 10.10.10.1/24
fabric forwarding mode proxy-gateway
no ip redirects
no shutdown
Дополнительный VRF
Сервисное
устройство
29. Шаг 2: создаем виртуальную фабрику для подключения
сервисного устройства
29
§ Cоздаем в DCNM партицию = VRF для подключения внешнего
интерфейса сервисного устройства
§ Указываем IP адрес сервисного устройства
§ OUTSIDE-интерфейс (условно)
IP адрес сервисного
устройства = OUTSIDE =
External network
39. ACI: интеграция с сервисами 4 - 7 уровня
Централизация, автоматизация и поддержка существующей модели
• Эластичность вставки сервиса
физического или виртуального
App Tier
• Помощь в административном
A
Web
Web
разделении между уровнями приложения
сервер
Server
и сервиса
• APIC – центральная точка контроля сети
и согласовании политик
• Автоматизация процесса развертывания/
свертывания сервиса посредством
программируемого интерфейса
• Поддержка текущей операционной
модели эксплуатации
• Применение сервиса вне зависимости от
места нахождения приложения
App Tier
B
App
Web
сервер
Server
Политика
перенаправления
Сервисная
послед-ть
“Security 5”
Администратор
приложения
Администратор
сервиса
Серв.
граф
…..
begin Stage 1 Stage N
end
Providers
inst
…
inst
МСЭ
inst
…
inst
Балансировка
……..
Сервисный
профиль
Определение “Security 5”
40. Шаг 1: Научить ACI говорить на языке сетевых сервисов
§ Установка “device packages”
§ Device packages выпускается вендором сетевого сервиса (F5, Citrix,
etc): кто знает их собственные продукты лучше?
§ Нет ограничений на презентацию уникальных для производителя
сервисного устройства функций
§ Включает в себя:
§ Конфигурацию сервисного устройства
§ Проверку конфигурации на корректность
§ Мониторинг состояния сервисного устройства
41. Пример: функции, которые презентуются Citrix NetScaler
§ Производитель может презентовать
все функции сервисного устройства
в сторону ACI
§ ACI настроит все функции
устройства при помощи скриптов,
которые являются частью integration
package
42. Шаг 2: Определить «сервисный граф» который можно
использовать повторно
§ Определение порядка в котором сервисы должны быть добавлены
при помощи графического интерфейса
§ Объект “service graph” может быть использован повторно и
ассоциирован с несколькими приложениями
43. Параметры, которые могут быть настроены в сервисном
графе
§ Эти параметры определяют как будет настроено сервисное
устройство
§ Например: алгоритм балансировки нагрузки, виртуальный IP адрес,
и т.д.
44. Шаг 3: Сообщить ACI как подключиться
к сервисному устройству
45. Шаг 4: Ассоциировать “сервисный граф” с приложением
§ Сервисный граф является частью
контракта, который «заключается»
между EPG (End-Point Group)
§ Cервисное устройство
настраивается при помощи
указанных атрибутов при помощи
скриптов, которые являются часть
«device package»
46. Шаг 5: Подключить серверы к сети
Серверы ассоциируются с End-Point-Group (EPGs) при помощи VLAN,
портовой группы VMware ил AVS на момент FCS. Другие атрибуты – имя
виртуальной машины, DNS или IP адрес/подсеть (roadmap)
Как только сервер попадает в нужный EPG, все необходимое (сетевой QoS,
cетевые ACL, L4-L7 сервисы) настраиваются автоматически
Триггер автоконфигурации политики на сервисном
устройстве = подключение нагрузки, а не сервисного
устройства
Никаких дополнительных действий со стороны администратора
сети и администратора сервисного устройства не требуется
47. Рендеринг сервисного графа
EPG:
External
1
Func9on
Firewall
Firewall
Выделение
VLAN
3
Настройка
VLAN
4
§ Для каждой функции в графе:
EPG:
Web
Сервисный
граф:
Func9on
SSL
offload
“web-‐applicaIon”
Func9on
Load
Balancer
Func9on
SSL
offload
Func9on
Load
Balancer
2
5
1. APIC выбирает логическое устройство из ранее определенных
2. APIC разрешает параметры конфигурации и готовит конфигурационный словарь
3. APIC выделяет VLAN для каждого соединения, ассоциированного с функцией
4. APIC настраивает сеть - VLAN, EPG и соответствующие фильтры
5. APIC запускает скрипт и настраивает сервисное устройство