DockerCon 2017 - Cilium - Network and Application Security with BPF and XDPThomas Graf
This talk will start with a deep dive and hands on examples of BPF, possibly the most promising low level technology to address challenges in application and network security, tracing, and visibility. We will discuss how BPF evolved from a simple bytecode language to filter raw sockets for tcpdump to the a JITable virtual machine capable of universally extending and instrumenting both the Linux kernel and user space applications. The introduction is followed by a concrete example of how the Cilium open source project applies BPF to solve networking, security, and load balancing for highly distributed applications. We will discuss and demonstrate how Cilium with the help of BPF can be combined with distributed system orchestration such as Docker to simplify security, operations, and troubleshooting of distributed applications.
Building DataCenter networks with VXLAN BGP-EVPNCisco Canada
The session specifically covers the requirements and approaches for deploying the Underlay, Overlay as well as the inter-Fabric connectivity of Data Center Networks or Fabrics. Within the VXLAN BGP-EVPN based Overlay, we focus on the insights like forwarding and control plane functions which are critical to the simplicity operation of the architecture in achieving scale, small failure domains and consistent configuration. To complete the overlay view on VXLAN BGP-EVPN, we are going to the insides of BGP and its EVPN address-familiy and extend to about how multiple DC Fabric can be interconnected within, either as stretched Fabrics or with true DCI. The session concludes with a brief overview of manageability functions, network orchestration capabilities and multi-tenancy details. This Advanced session is intended for network, design and operation engineers from Enterprises to Service Providers.
Demystifying EVPN in the data center: Part 1 in 2 episode seriesCumulus Networks
Network operators are slowly but surely embracing L3-based leaf-spine designs. However, either due to legacy applications or certain multi-tenancy requirements, the need for L2 across racks is still present. How do you solve the problem of providing L2 across multiple racks? EVPN is quickly emerging as the best answer to this question.
In this episode of our 2-part series on EVPN, we start with a discussion of the use cases, a review of the technologies EVPN competes with, and dive into an evaluation of the pros and cons of each.
For a recording of the live event, go to http://go.cumulusnetworks.com/l/32472/2017-09-22/95t27t
Software Defined Network (SDN) using ASR9000 :: BRKSPG-2722 | San Diego 2015Bruno Teixeira
With the changing paradigm of network programmability using Software Defined Network (SDN), we are seeing new ways for monitoring, scaling and configuring network devices. With new network programability capabilities utilizing NETCONF, OpenFlow, BGP-LS, and PCEP it is vital for network architects and operations engineers to understand how these SDN related technologies can be leveraged to streamline the way we view, design, and operate our networks today. This session introduces these concepts and focuses on the use cases, implementation, and troubleshooting of these technologies on the ASR9000 platform.
Linux offers an extensive selection of programmable and configurable networking components from traditional bridges, encryption, to container optimized layer 2/3 devices, link aggregation, tunneling, several classification and filtering languages all the way up to full SDN components. This talk will provide an overview of many Linux networking components covering the Linux bridge, IPVLAN, MACVLAN, MACVTAP, Bonding/Team, OVS, classification & queueing, tunnel types, hidden routing tricks, IPSec, VTI, VRF and many others.
DockerCon 2017 - Cilium - Network and Application Security with BPF and XDPThomas Graf
This talk will start with a deep dive and hands on examples of BPF, possibly the most promising low level technology to address challenges in application and network security, tracing, and visibility. We will discuss how BPF evolved from a simple bytecode language to filter raw sockets for tcpdump to the a JITable virtual machine capable of universally extending and instrumenting both the Linux kernel and user space applications. The introduction is followed by a concrete example of how the Cilium open source project applies BPF to solve networking, security, and load balancing for highly distributed applications. We will discuss and demonstrate how Cilium with the help of BPF can be combined with distributed system orchestration such as Docker to simplify security, operations, and troubleshooting of distributed applications.
Building DataCenter networks with VXLAN BGP-EVPNCisco Canada
The session specifically covers the requirements and approaches for deploying the Underlay, Overlay as well as the inter-Fabric connectivity of Data Center Networks or Fabrics. Within the VXLAN BGP-EVPN based Overlay, we focus on the insights like forwarding and control plane functions which are critical to the simplicity operation of the architecture in achieving scale, small failure domains and consistent configuration. To complete the overlay view on VXLAN BGP-EVPN, we are going to the insides of BGP and its EVPN address-familiy and extend to about how multiple DC Fabric can be interconnected within, either as stretched Fabrics or with true DCI. The session concludes with a brief overview of manageability functions, network orchestration capabilities and multi-tenancy details. This Advanced session is intended for network, design and operation engineers from Enterprises to Service Providers.
Demystifying EVPN in the data center: Part 1 in 2 episode seriesCumulus Networks
Network operators are slowly but surely embracing L3-based leaf-spine designs. However, either due to legacy applications or certain multi-tenancy requirements, the need for L2 across racks is still present. How do you solve the problem of providing L2 across multiple racks? EVPN is quickly emerging as the best answer to this question.
In this episode of our 2-part series on EVPN, we start with a discussion of the use cases, a review of the technologies EVPN competes with, and dive into an evaluation of the pros and cons of each.
For a recording of the live event, go to http://go.cumulusnetworks.com/l/32472/2017-09-22/95t27t
Software Defined Network (SDN) using ASR9000 :: BRKSPG-2722 | San Diego 2015Bruno Teixeira
With the changing paradigm of network programmability using Software Defined Network (SDN), we are seeing new ways for monitoring, scaling and configuring network devices. With new network programability capabilities utilizing NETCONF, OpenFlow, BGP-LS, and PCEP it is vital for network architects and operations engineers to understand how these SDN related technologies can be leveraged to streamline the way we view, design, and operate our networks today. This session introduces these concepts and focuses on the use cases, implementation, and troubleshooting of these technologies on the ASR9000 platform.
Linux offers an extensive selection of programmable and configurable networking components from traditional bridges, encryption, to container optimized layer 2/3 devices, link aggregation, tunneling, several classification and filtering languages all the way up to full SDN components. This talk will provide an overview of many Linux networking components covering the Linux bridge, IPVLAN, MACVLAN, MACVTAP, Bonding/Team, OVS, classification & queueing, tunnel types, hidden routing tricks, IPSec, VTI, VRF and many others.
Отечественные решения на базе SDN и NFV для телеком-операторовARCCN
Доклад Р.Л. Смелянского на секции "Инновационные информационно-телекоммуникационные технологии в вооруженных силах Российской Федерации. Программно-конфигурируемые сети (SDN). Области применения и особенности внедрения" Форума Армия-2016
Виртуализированные сетевые сервисы на line rate в серверном окружении / Алекс...Ontico
Технологии NFV идут вперед и никого уже нельзя удивить тем, что сетевые сервисы вместо специализированного оборудования запускают на обычных серверах с хорошей пропускной способностью. Мир уже привык к тому, что на сервере можно обрабатывать 100 Гбит сетевого трафика. Однако эти числа характерны только тогда, когда запускают единственный сервис на сервере, например, только коммутацию пакетов (vSwitch), только NAT, только балансировку нагрузки и т.п. Сейчас же появляется потребность в запуске нескольких сервисов на одной машине, выстраивать сложные pipeline, которые учитывают различные сетевые функции, ACL, L2, L3, QoS, интегрированных с виртуальными машинами и контейнерами.
Для этого в сообществах разрабатываются более сложные фреймворки по обработке сетевых сервисов, которые позволяют разбивать задачи на этапы (stage) — каждый со своей сложностью и временем обработки, автоматически распределять такие этапы по вычислительным мощностям, планировать обработку пакетов так, чтобы увеличить суммарную пропускную способность.
В докладе будет представлен сравнительный обзор таких фреймворков: Intel DPDK Packet Framework, FD.io, Open Dataplane, Open Virtual Network (от проекта Open vSwtich). Будут представлены числовые характеристики и рекомендованные сценарии применения. Также будет освещена интеграция с системами виртуализации.
Обзор Сервисных Услуг Cisco в России и странах СНГ.Cisco Russia
Обзор Сервисных Услуг в России и странах СНГ.
Сервисные Услуги в России и странах СНГ делятсяна Базовую и Расширенную техническую поддержку.
БАЗОВАЯ ТЕХНИЧЕСКАЯ ПОДДЕРЖКА 1. Центр Технической Поддержки (ТАС) Центр технической поддержки Cisco TAC предоставляет Заказчикам быстрый доступ к технологическим экспертам с опытом диагностики и решения самых сложных проблем.
Cisco TAC обладает развитой системой управления запросами, которая позволяет оперативно направить проблему в соответствующую технологическую команду или перевести на следующий уровень поддержки, если проблема не решена в заданный период.
Cisco TAC предоставляет круглосуточную поддержку по всему миру.
Клиентские контракты на техническую поддержку Cisco Smart Net Total CareCisco Russia
Клиентские контракты на услуги технической поддержки Cisco Smart Net Total Care
Cisco Smart Net Total Care (SNTC) — это контракт на услуги технической поддержки Cisco.
Cервис сочетает в себе ведущие в отрасли и получившие множество наград технические сервисы с дополнительно встроенными инструментами бизнес-аналитики, которые получает Заказчик через встроенные интеллектуальные возможности на портале Smart Net Total Care.
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Запись вебинара "Решения компании Cisco для операторов связи по защите от взлома и вредоносного программного обеспечения": https://ciscoclub.ru/resheniya-kompanii-cisco-dlya-operatorov-svyazi-po-zashchite-ot-vzloma-i-vredonosnogo-programmnogo-o
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
Как реализовать SDA, создать стратегию, которая будет сопоставлена с бизнес задачами, оценить готовность к трансформации, успешно и максимально надежно реализовать намеченные планы.
Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафик...Cisco Russia
О работе группы исследователей компании Cisco, в которой доказана применимость традиционных методов статистического и поведенческого анализа для обнаружения и атрибуции известного вредоносного ПО, использующего TLS в качестве метода шифрования каналов взаимодействия, без дешифровки или компрометации TLS-сессии. Также рассказано о решении Cisco Encrypted Traffic Analytics, реализующем принципы, заложенные в данном исследовании, его архитектуре и преимуществах.
Промышленный Интернет вещей: опыт и результаты применения в нефтегазовой отраслиCisco Russia
Как компания Cisco способствует цифровой трансформации предприятий нефтегазовой отрасли. Описание внедренных проектов, полученных результатов, обзор примененных архитектур.
2. Зачем нужны оверлейные сети?
Гибкая наложенная сеть
Мобильность подключенных адресов
Изолированные частные сети
Масштабирование – снижение сложности в
ядре
Гибкость, программируемость
Эффективный транспорт
Резервирование и производительность
Эффективное управление трафиком
Управление, диагностика,
программируемость
3. Типы наложенных сетей: вид сервиса
Layer 2
Эмуляция сегмента LAN
Передача кадров Ethernet (IP и не-IP)
Мобильность в подсети (L2 домене)
Риск L2 фладинга
Имитация физической топологии
Layer 3
Абстракция связности на основе IP
Передача IP пакетов
Мобильность адреса без растягивания L2
Ограничение доменов сбоя
Гибридные L2/L3 оверлеи - «лучшее из обоих миров»
4. Типы наложенных сетей: вид подключений
• Физические и виртуальные
подключения
• Надёжность и
масштабирование
• «Федерация» доменов
• Открытые стандарты
Сетевые оверлеи Гибридные оверлеи
A
p
p
O
S
A
p
p
O
S
Virtual Physical
Network DB
V
M
O
S
V
M
O
S
Virtual Virtual
V
M
O
S
V
M
O
S
Хостовые оверлеи
Physical Physical
• Физические хосты
• С использованием
сетевого оборудования
• Традиционные VPN
• OTV, VPLS, LISP, FP
Protocols Flooding
• Только виртуальные
подключения
• Единый домен
управления
• VXLAN, NVGRE, STT
5. Заполнение таблиц отображения
Используется сбор информации от уровня коммутации
§ Примеры: изучение (Learning) адресов на традиционных коммутаторах,
FabricPath, VXLAN (Flood&Learn)
Не используется дополнительный управляющий протокол
Обеспечивается:
§ Обнаружение адресов и построение соответствия
§ Не обеспечивается обнаружение сервисов
Распространение (Flooding) пакетов, требующих мультинаправленной доставки
(BUM)
§ Multicast дерево
§ Репликация в unicast трафик на входе в оверлей
Data Plane Learning
*BUM: Broadcast, Unknown Unicast, Multicast
6. Заполнение таблиц отображения
Обеспечивает:
§ Обнаружение пограничных узлов
§ Анонс подключений
§ Управление туннелями
§ Могут обеспечиваться расширения для резервирования подключений и
дополнительных сервисов
Уровень управления (Control Plane)
«Push» или «Pull»:
§ Распространение (Push)
информации до всех пограничных
устройств
– BGP, IS-IS, контроллеры
§ Запрос (Pull) и кеширование на
пограничном устройстве
– LISP, DNS, контроллеры
Протокол или контроллер:
§ Управляющий протокол между
пограничными узлами
– BGP, IS-IS, LISP
§ Центральная БД на контроллере
– Распределённые виртуальные коммутаторы
(OVS, N1Kv/VSM)
8. Почему VXLAN?
VXLAN обеспечивает сеть с сегментацией,
мобильностью и масштабированием
• Используются «стандарты»
• Используется IP сеть с Layer-3 ECMP
• «Пространство имен» сегментов до 16 миллионов
• Развёртывание сегментов без изменений на промежуточных
устройствах
• Поддержка физическими и виртуальными коммутаторами
• Поддержка разными производителями
• Это «SDN» J
8
9. Формат пакета VXLAN
Инкапскуляция MAC-in-IP
Underlay
Outer IP Header
Outer MAC Header
UDP Header
VXLAN Header
Original Layer-2 Frame
Overlay
14 Bytes
(4 Bytes Optional)
Ether Type
0x0800
VLAN ID
Tag
VLAN Type
0x8100
Src. MAC Address
Dest. MAC Address 48
48
16
16
16
20 Bytes
Dest. IP
Source IP
Header
Checksum
Protocol 0x11 (UDP)
IP Header
Misc. Data
72
8
16
32
32
8 Bytes
Checksum 0x0000
UDP Length
VXLAN Port
Source
Port
16
16
16
16
8 Bytes
Reserved
VNI
Reserved
VXLAN Flags
RRRRIRRR
8
24
24
8
Src VTEP MAC Address
Next-Hop MAC Address
Src and Dst addresses
of the VTEPs
Allows for 16M
possible Segments
UDP 4789
Hash of the inner L2/L3/L4 headers of the
original frame.
Enables entropy for ECMP Load
balancing in the Network.
50(54)BytesofOverhead
11. Функционирование VXLAN
11
Local LAN
Segment
Physical Host
Local LAN
Segment
Physical Host
VTEP
VTEP
VTEP
VV
V
Encapsulation
Virtual Hosts
Local LAN
Segment
Virtual Switch
VTEP – VXLAN Tunnel End-Point
VNI/VNID – VXLAN Network Identifier
12. VXLAN: типы шлюзов
Бриджинг VXLAN-VLAN
§ (Шлюз L2)
Маршрутизация VXLAN-VXLAN
§ (Шлюз L3)
Маршрутизация VXLAN-VLAN
§ (Шлюз L3)
12
V
VXLAN Router
Ingress VXLAN packet
on RED segment
Egress VXLAN packet is
ROUTED to new segment
V
VXLAN Router
Ingress VXLAN packet
on RED segment
Egress packet is IEEE 802.1q
tagged interface. packet is
ROUTED to new VLAN
V
VXLAN Layer-2
Gateway
Ingress VXLAN packet
on RED segment
Egress packet is IEEE 802.1q
tagged interface. packet is
BRIDGED to new VLAN
13. VXLAN Flood&Learn
13
V1
V3
MAC VNI VTEP
MAC_A 30000 E1/12
Host B
MAC_B / IP_B
MAC VNI VTEP
MAC_B 30000 E1/4
Virtual Switch
MAC VNI VTEP
MAC_C 30000 E1/8
V2
Host A
MAC_A / IP_A
Host C
MAC_C / IP_C
14. VTEP: изучение адресов
VXLAN Flood&Learn
14
V1
V3Underlay
SIP: IP_V1
DIP: 239.1.1.1
SMAC: MAC_V1
DMAC: 00:01:5E:01:01:01
UDP
VXLAN VNID: 30000
ARP Request
SMAC: MAC_A
DMAC: FF:FF:FF:FF:FF:FF
Overlay
2
MAC VNI VTEP
MAC_A 30000 E1/12
Host B
MAC_B / IP_B
MAC VNI VTEP
MAC_B 30000 E1/4
MAC_A 30000 V1
Virtual Switch
ARP Request for IP_B
Src MAC: MAC_A
Dst MAC: FF:FF:FF:FF:FF:FF
4
MAC VNI VTEP
MAC_C 30000 E1/8
MAC_A 30000 V1
V2
3
Host A
MAC_A / IP_A
1
ARP Request for IP_B
Src MAC: MAC_A
Dst MAC: FF:FF:FF:FF:FF:FF
3
Host C
MAC_C / IP_C
ARP Request for IP_B
Src MAC: MAC_A
Dst MAC: FF:FF:FF:FF:FF:FF
4
MAC VNI VTEP
MAC_B 30000 E1/4
MAC VNI VTEP
MAC_C 30000 E1/8
18. Развитие VXLAN
Независимость
от multicast
• Репликация на входе
(Head-End Replication/
Ingress Replication)
позволяет использовать
unicast транспорт
• Уровень управления
позволяет автоматически
обнаруживать адреса
VTEP
• VXLAN Hardware Gateway
Redundancy (VPC)
• Integrated physical and
virtual Overlays (Hybrid
Overlays)
• Inter-Pod Connectivity
• VXLAN Gateway to other
Encaps/Networks
Внешние подключения
• Резервирование
подключения к VTEP (VPC)
• Интеграция физических и
виртуальных оверлеев
(гибридные оверлеи)
• VXLAN шлюзы во внешние
сети
Уровень управления
• MAC и IP адреса нагрузок
выучиваются VTEP
• Анонс ассоциации L2 и L3
адресов с VTEP с
использованием
управляющего протокола
• Предотвращение
фладинга
• Оптимальное
распространение ARP
IP сервисы
• Маршрутизация между
VXLAN
• Распределённый шлюз по
умолчанию
• Изоляция организаций
(Multi-Tenancy)
19. Развитие VXLAN
Уровень управления на основе Multi-Protocol BGP
(MP-BGP) с использованием EVPN NLRI (Network
Layer Reachability Information)
Коммутация на VTEP на основании полученной
информации о L2 (MAC) и L3 (IP) адресах
Снижение риска фладинга
Снижение нагрузки ARP на сеть
Использование стандартов (IETF draft)
Уровень управления
• MAC и IP адреса нагрузок
выучиваются VTEP
• Анонс ассоциации L2 и L3
адресов с VTEP с
использованием
управляющего протокола
• Предотвращение
фладинга
• Оптимальное
распространение ARP
20. EVPN – Ethernet VPN
Развитие VXLAN
Control-
Plane
EVPN MP-BGP
draft-ietf-l2vpn-evpn
Data-
Plane
Multi-Protocol Label Switching
(MPLS)
draft-ietf-l2vpn-evpn
Provider Backbone Bridges
(PBB)
draft-ietf-l2vpn-pbb-evpn
Network Virtualization Overlay
(NVO)
draft-sd-l2vpn-evpn-overlay
Ø EVPN с использованием NVO туннелей (VXLAN,
NVGRE, MPLSoGRE) для сетевых фабрик ЦОД
Ø Построение L2 и L3 оверлеев поверх IP сетей
Ø Поддержка различными производителями
21. Распространение информации о хостах и подсетях
• Распространение информации о
хостах независимо от фладинга или
протоколов транспортной сети
• Использование Multi Protocol-BGP
(MP-BGP) на VTEP для
распространения «маршрутов» на
хосты и подсети, а также внешние
сети
• Route Reflector-ы для обеспечения
масштабирования
VXLAN/EVPN
RR RR
V2
V1
V3
BGP Route-ReflectorRR
iBGP Adjacency
22. Обнаружение и распространение информации
VXLAN/EVPN
Host A
MAC_A / IP_A Host B
MAC_B / IP_B
Virtual Switch
Host C
MAC_C / IP_C
Host Y
MAC_Y / IP_Y
RR RR
V2
V1
V3
1
1
1
VTEPы анонсирует машруты на хосты (IP+MAC)
с использованием управляющего протокола (MP-BGP)
1
23. Обнаружение и распространение информации
VXLAN/EVPN
Host A
MAC_A / IP_A Host B
MAC_B / IP_B
Virtual Switch
Host C
MAC_C / IP_C
Host Y
MAC_Y / IP_Y
RR RR
V2
V1
V3
2
2
2
2
BGP распространяет маршруты до остальных VTEP
MAC, IP VNI VTEP
MAC_A, IP_A 30000 V1
MAC_B, IP_B 30000 V2
MAC, IP VNI VTEP
MAC_A, IP_A 30000 V1
MAC_C, IP_C 30000 V3
MAC_Y, IP_Y 30001 V3
3 VTEP-ы получают маршруты и вставляют их в RIB/FIB
3 3
3
MAC, IP VNI VTEP
MAC_B, IP_B 30000 V2
MAC_C, IP_C 30000 V3
MAC_Y, IP_Y 30001 V3
24. Анонс хостов
1. Подключение хоста
2. VTEP, к которому выполнено
подключение, анонсирует MAC
(+IP) через BGP RR
3. Анонсируются также детали
инкапсуляции
VXLAN/EVPN
BGP Route-ReflectorRR
iBGP Adjacency
MAC, IP VNI
(L2)
VNI
(L3)
VTEP Encap Seq
MAC_A, IP_A 30000 50000 V1 3:VXLAN 0
RR RR
V2
V1
V3
Host A
MAC_A / IP_A
V1# sh bgp l2vpn evpn IP_A
BGP routing table information for VRF default, address family L2VPN EVPN
Route Distinguisher: 30000:V1
BGP routing table entry for [2]:[0]:[0]:[48]:[MAC_A]:[32]:[IP_A]/272, version 28838
Paths: (1 available, best #1)
Flags: (0x000202) on xmit-list, is not in l2rib/evpn
Advertised path-id 1
Path type: internal, path is valid, is best path, no labeled nexthop
AS-Path: NONE, path sourced internal to AS
IP_V1 (metric 3) from RR (RR)
Origin IGP, MED not set, localpref 100, weight 0
Received label 30000 50000
Extcommunity: RT:1000:30000 RT:1000:50000 ENCAP:3
Originator: IP_V1 Cluster list: RR
Remote Next-hop Attribute: IP_V1
encapsulation VXLAN VNID 50000 MAC MAC_V1
48, MAC, 32, IP
ENCAP:3 = VXLAN
25. Мобильность хоста
1. Хост переехал на V3
2. V3 обнаруживает хост A и
анонсирует его с Seq #1
3. V1 видит более «свежий»
маршрут и прекращает
анонсировать от себя
VXLAN/EVPN
BGP Route-ReflectorRR
iBGP Adjacency
MAC, IP VNI
(L2)
VNI
(L3)
VTEP Encap Seq
MAC_A, IP_A 30000 50000 V3 3:VXLAN 1
Host A
MAC_A / IP_A
RR RR
V2
V1
V3
V1# sh bgp l2vpn evpn IP_A
BGP routing table information for VRF default, address family L2VPN EVPN
Route Distinguisher: 30000:V3
BGP routing table entry for [2]:[0]:[0]:[48]:[MAC_A]:[32]:[IP_A]/272, version 28839
Paths: (1 available, best #1)
Flags: (0x000202) on xmit-list, is not in l2rib/evpn
Advertised path-id 1
Path type: internal, path is valid, is best path, no labeled nexthop
AS-Path: NONE, path sourced internal to AS
IP_V3 (metric 3) from RR (RR)
Origin IGP, MED not set, localpref 100, weight 0
Received label 30000 50000
Extcommunity: RT:1000:30000 RT:1000:50000 ENCAP:3
Originator: IP_V3 Cluster list: RR
Remote Next-hop Attribute: IP_V3
encapsulation VXLAN VNID 50000 MAC MAC_V3
48, MAC, 32, IP
ENCAP:3 = VXLAN
26. Подавление ARP
VXLAN/EVPN
Host A
MAC_A / IP_A Host B
MAC_B / IP_B
Virtual Switch
Host C
MAC_C / IP_C
Host Y
MAC_Y / IP_Y
RR RR
V2
V1
V3
1 ARP запрос на адрес IP_B от хоста A
MAC, IP VNI VTEP
MAC_A, IP_A 30000 V1
MAC_B, IP_B 30000 V2
MAC, IP VNI VTEP
MAC_A, IP_A 30000 V1
MAC_C, IP_C 30000 V3
MAC_Y, IP_Y 30001 V3
2 V1 знает про IP_B и может ответить локально, не
распространяя ARP запрос по сети
MAC, IP VNI VTEP
MAC_B, IP_B 30000 V2
MAC_C, IP_C 30000 V3
MAC_Y, IP_Y 30001 V3ARP Request for IP_B
Src MAC: MAC_A
Dst MAC: FF:FF:FF:FF:FF:FF
1
2
ARP Response for IP_B
Src MAC: MAC_B
Dst MAC: MAC_A
27. Развитие VXLAN
Репликация на входе чтобы уйти (если необходимо) от
требования поддержки multicast в транспортной сети
Использование Control-Plane для автоматического
проактивного обнаружения VTEP
Использование multicast необходимо для высокого
масштабирования!
Независимость
от multicast*
• Репликация на входе
(Head-End Replication/
Ingress Replication)
позволяет использовать
unicast транспорт
• Уровень управления
позволяет автоматически
обнаруживать адреса
VTEP
*Необходимо использование уровня управления или статическая конфигурация
29. Развитие VXLAN
Резевирование подключения к VTEP с использовнием
vPC (virtual Port-Channel)
Обеспечивает двойное подключение хоста или
сервисного элемента
Интеграция физических и виртуальных оверлеев
(гибридные оверлеи)
Многопротоколные шлюзы обеспечивают связь VXLAN с
Ethernet, MPLS или другими типами оверлеев
Внешние подключения
• Резервирование
подключения к VTEP (VPC)
• Интеграция физических и
виртуальных оверлеев
(гибридные оверлеи)
• VXLAN шлюзы во внешние
сети
30. Резервирование подключения к VTEP (vPC)
Работа VXLAN vPC домена аналогична
традиционному vPC
Резервирование обеспечивается за счёт
настройки двух адресов на Loopback
интерфейсе VTEP
§ Primary адрес используется как адрес
VTEP для хостов с одиночным
подключением (orphan)
§ Secondary адрес (anycast) используется
как адрес VTEP для хостов с двойным
подключением (vPC)
Две независимых MP-BGP сессии
Трафик к VPC балансируется между V4 и V5
Хосты и внешние подключения
Host D
VNI 30000
V4
V5
31. Развитие VXLAN
Коммутация на VTEP на основании полученной по MP-
BGP информации о L2 (MAC) и L3 (IP) адресах:
интегрированная маршрутизация и коммутация (IRB)
Распределённая маршрутизация на VTEP
Масштабируемость уровня коммутации и управления
LISP-подобный подход к мобильности
§ Location (VTEP), Identifier (MAC, IP)
IP сервисы
• Маршрутизация между
VXLAN
• Распределённый шлюз по
умолчанию
• Изоляция организаций
(Multi-Tenancy)
32. Шлюз по умолчанию в VXLAN
Централизованный шлюз
Бриджинг, потом роутинг
Центральная точка маршрутизации (агрегация)
Большие потребности в масштабируемости
Трудно внедрять в больших L2 доменах
Работает с VXLAN Flood&Learn и с EVPN
Маршрутизация VXLAN
Распределённый шлюз
Маршрутизация или бриджинг на входе в оверлей
Распределённый шлюз по умолчанию (Anycast)
Распределяет задачу
Лучше масштабируется
Требует VXLAN/EVPN!
V1
V3
V2
V1
V3
VX
VY
V2
Layer-3 граница
Layer-3 граница
33. Layer-2 Multi-Tenancy
VNI обеспечивают изоляцию на L2 и
L3 в VXLAN сети
§ Принятые фреймы отображаются
в конкретный VNI
§ Соответствие VLAN-VNI возможно
(в завимости от версии ПО и
платформы):
— На уровне коммутатора
— На уровне порта
VLANы имеют локальное значение,
VNI - глобальное
Изоляция организаций
33
Host B
VNI 43
Host A
VLAN 43
V2
V1
V3
VLAN
VLAN
34. Layer-3 Multi-Tenancy
VNI обеспечивают изоляцию на L2 и
L3 в VXLAN сети
§ Принятые фреймы отображаются
в VNI, соответсвующий данному
VRF
Весь маршрутизируемый трафик
использует VNI, соответствующий
данному VRF («симметричный
режим»)
Изоляция организаций
Host Y
VNI 30001
Host A
VNI 30000
V2
V1
V3
VLAN
VLAN
35. VXLAN/EVPN, VXLAN Flood&Learn и Cisco FabricPath
Сравнение
VXLAN/EVPN VXLAN Flood&Learn FabricPath
Инкапсуляция VXLAN (MAC в IP) VXLAN (MAC в IP) FabricPath (MAC in MAC)
Требования к транспорту IP IP “Layer-1”
Распространение информации о
подключенных хостах
MP-BGP EVPN Flood&Learn Flood&Learn
(+conversational learning)
Построение дерева для BUM*
трафика
Multicast (PIM) или репликация
через unicast
Multicast (PIM) или
репликация через unicast
FabricPath IS-IS
Уровень управления в
транспортной сети
Любой протокол
машрутизации
(static, OSPF, IS-IS, BGP)
Любой протокол
машрутизации
(static, OSPF, IS-IS, BGP)
FabricPath IS-IS
Тип сервиса L2 и L3 L2 L2
Идентификатор пограничного
узла
VTEP IP VTEP IP SwitchID
Аутентификация MP-BGP Нет FabricPath IS-IS
Стандарт RFC 7348 + draft-sd-l2vnp-
evpn-overlay
RFC 7348 TRILL based (Cisco
Proprietary)
*BUM: Broadcast, Unknown Unicast, Multicast
37. VXLAN в традиционной сети
DC Core
VTEP
DC Aggregation
DC Access
VTEP VTEP VTEP
VXLAN Overlay
• VTEP можно внедрить на
уровне доступа, не требуя
поддержки VXLAN в других
частях сети
• Транспортная сеть может
быть преобразована в
стабильную и
производительную
маршрутизируемую сеть
• IGP для IP достужимости
между VTEP
• Для BUM трафика может
быть необходим multicast в
транспортной сети
38. VXLAN фабрика с EVPN Control Plane
LeafVTEPVTEPVTEPVTEP VTEP VTEP
Spine
• Типичная двухуровневая сеть Клоза (spine-leaf) для оптимальной внутренней
производительности, эффективности, надёжности и масштабируемости
• Наложенный оверлей с использованием VXLAN для мобильности нагрузок и изоляции
организаций
• BGP для переноса EVPN хостовых маршрутов (L2 и L3)
• Поддерживаются iBGP и eBGP
Стандартная
двухуровневая сеть
Клоза
39. Дизайн VXLAN фабрики с MP-iBGP EVPN
LeafVTEPVTEPVTEPVTEP VTEP VTEP
SpineRRRR
VXLAN Overlay
MP-iBGP EVPN
MP-iBGP сессии
• VTEP только на уровне leaf
• Spine коммутаторы являются iBGP RR
• Spine коммутаторы не требуют поддержки VTEP функций
• iBGP сессии между VTEP и RR
• IGP протокол для IP достижимости между loopback адресами
• Spine коммутаторы не
требуют поддержки
VTEP функций
• Должны поддерживать
MP-BGP EVPN AF
40. Spine
Leaf
VTEP VTEPVTEP VTEP VTEP
iBGP iBGP
iBGP iBGP iBGP RRRR
VXLAN Overlay
Пара leaf коммутаторов
выбранных для функций iBGP
route-reflector для других VTEP
Дизайн VXLAN фабрики с MP-iBGP EVPN
• Spine коммутаторы не требуют поддержки
VTEP функций
• Не требуют и поддержки EVPN
• Чистый IP транспорт
41. Дизайн VXLAN фабрики с MP-iBGP EVPN
Spine
Leaf
VTEP
Cisco Nexus 9300
VTEP
Cisco Nexus 9300
VTEP
Cisco Nexus 9300
VTEP
Cisco Nexus 9300
VTEP
Cisco Nexus 9300
iBGP iBGP iBGP iBGP iBGP
RR
RR
Пара выделенных iBGP route-
reflector-ов для пиринга со
всеми VTEP
All leaf VTEPs run iBGP sessions with the
dedicated route reflectors.
• Spine коммутаторы не требуют поддержки
VTEP функций
• Не требуют и поддержки EVPN
• Чистый IP транспорт
43. Программируемая сеть
Программируемая
фабрика
Application Centric
Infrastructure
DB DB
Web Web App Web App
Опора на стандарты:
VxLAN-BGP EVPN
Контроллер VTS для развёртывания
и управления оверлейными сетями
для N2K-N9K
Возможность использования
сторонних контроллеров
Современная NX-OS с
расширенным NX-API
Экосистема автоматизации
(Puppet, Chef, Ansible и т.д.)
Единый NX-API
для N2K-N9K
Готовое интегрированное решение:
единое управление, безопасность,
масштабируемость, автоматизация
Ориентированная на приложения
модель политик со встроенной
безопасностью
Широкая экосистема
Развитие SDN решений Cisco для ЦОД
выбор подходов к автоматизации и программируемости
43
Широкий круг заказчиков
(коммерческие, корпоративные, госсектор)
Сервис провайдеры ЦОД мега масштаба
VTS
44. Продукты Cisco с поддержкой VXLAN
Nexus
1000
Nexus
3100
Nexus
7000
Nexus
5600
L2 Gateway L3 Gateway
BGP EVPN
Control Plane
Anycast
Gateway
Head End
Replication
Nexus
9000
Cisco VXLAN Solutions
ASR1000
CSR1000 ASR9000
Scale
Secure
Multi-tenancy
Workload
Mobility
Workload
Anywhere
Nexus
2000
45. VXLAN в решениях Cisco
Подержка VXLAN/EVPN в коммутаторах Cisco Nexus:
§ Сейчас:
— Nexus 9300
— Nexus 9500 с модулями серии X9500
— Nexus 7000/7700 с модулями F3 (L3 шлюз и сопряжение с LISP)
§ Скоро:
— Nexus 7000/7700 с модулями F3 (L2 шлюз)
— Nexus 5600
Ключевые направления развития VXLAN в Cisco
§ Управление и орекстрация наложенной и транспортной сети
§ Тестирование в комплексных решениях (включая DCI)
§ Интеграция с ACI фабрикой
§ Интеграция с пограничными маршрутизаторами
46. Ссылки по теме
“VXLAN Network with MP-BGP EVPN Control Plane Design Guide”
§ http://www.cisco.com/c/en/us/products/collateral/switches/nexus-9000-series-switches/
guide-c07-734107.html
“Is VxLAN Control Plane a DCI solution for LAN extension”
§ http://yves-louis.com/DCI/?p=965