Внедрение SDA для кампусных сетей – R&S Алексей Сажин Инженер-консультант, Customer Experience Cisco Systems Обо мне Алексей Сажин - инженер-консультант команды внедрения решений Cisco. Занимаюсь внедрением решений SDA, также мне интересно направление «маршрутизация и коммутация» и программирование для решения сетевых задач. 2009 © 2019 Cisco and/or its affiliates. All rights reserved. 2012 2014 2017 Повестка Архитектура SDA Роли устройств в Фабрике Компоненты Фабрики Миграция на SDA Подводные камни Заключение © 2019 Cisco and/or its affiliates. All rights reserved. Что пропустим? Multicast Wireless Distributed Campus (Multisite) Assurance Безопасность в SDA Синий зал 16:40 – 17:40 «Практический опыт внедрения решений по информационной безопасности в архитектуре SDA.» Сергей Сажин, инженер-консультант Cisco Customer Experience © 2019 Cisco and/or its affiliates. All rights reserved. Архитектура SD-Access (SDA) APIC-EM 1.X PI ISE ▪ DNA Center (DNAC) DNA Center Сервер для управления сетью с помощью графического интерфейса. B ▪ B C Кампусная фабрика *LISP - Locator/ID Separation Protocol *VXLAN - Virtual Extensible LAN *CTS – Cisco TrustSec ISE Сервер безопасности для аутентификации, авторизации и контроля доступа (ААА) ▪ Кампусная Фабрика Набор устройств, настроенных определенным образом (LISP + VXLAN + CTS) Взаимодействие между компонентами решения SDA ISE сервер на выделенном устройстве или VM Политики Cisco ISE 2.4 Identity Services Engine безопасности DN1-HW-APL API/pxGrid Сервер DNA DNA Center Настраиваем Фабрику SSH AAA (Radius) Кампусная Фабрика Коммутаторы | Маршрутизаторы| Беспроводная часть Собираем статистику SNMP NetFlow Syslog AAA - Authentication Authorization and Accounting Underlay и Overlay в Фабрике VxLAN «туннели» между Lo0 Edge-устройств Фабрика состоит из двух уровней: Физический уровень (Underlay) 1. • Плоская сеть, задача – анонс loopback адресов устройств фабрики (Edgeустройства) • Control-plane – IS-IS/OSPF VxLAN «туннели» между Lo0 Edge-устройств Наложенный уровень (Overlay) 2. • Подключение пользователей, предоставление сервисов • Control-plane - LISP Lo0: 172.16.1.2/32 Примеры Overlay в других технологиях • GRE Lo0: 172.16.1.1/32 OSPF/IS-IS • MPLS / VPLS • OTV Lo0: 172.16.1.3/32 Кампусная фабрика – Ключевые моменты 1. Control-Plane для Overlay - LISP 2. Data-Plane - инкапсуляция VXLAN 3. Policy-Plane – CTS (Cisco TrustSec) B B C На что обратить внимание • Overlay поддерживает L2 + L3 • Мобильность пользователей с помощью Anycast Gateway • Информация о SGT теперь в VXLAN заголовке Кампусная фабрика – Ключевые моменты LISP 1. Control-Plane для Overlay - LISP Обычный протокол маршрутизации = Большие таблицы маршрутизации Знаем о всех подключенных сетях. 192.168.0.0/24 Prefix Next-hop 192.168.1.0/24 >R1 192.168.0.0/24 >local 192.168.2.0/24 >R2 R0 R1 Prefix Next-hop 192.168.1.0/24 >local 192.168.0.0/24 >R0 192.168.2.0/24 >R2 Все маршруты R2 Prefix Next-hop 192.168.1.0/24 >R1 192.168.1.0/24 >R0 192.168.2.0/24 192.168.0.0/24 192.168.0.0/24 >local Кампусная фабрика – Ключевые моменты LISP 1. Control-Plane для Overlay - LISP Мобильность Устройств Prefix Next-hop 192.168.0.0/24 >local 192.168.0.0/24 C R0 Prefix Next-hop 192.168.1.0/24 >local R1 Prefix Underlay Loopback 192.168.0.11/32 R0 192.168.0.21/32 R0 192.168.1.33/32 R1 192.168.1.34/32 R1 192.168.2.10/32 R2 R2 База соответствий Только локальные маршруты Маршруты пользователей хранятся в Базе LISP LISP – маршрутизация «по запросу» Знаем только о подключенных сетях = Небольшие таблицы маршрутизации. 192.168.1.0/24 Next-hop 192.168.2.0/24 Prefix 192.168.0.0/24 >local Кампусная фабрика – Ключевые моменты VXLAN 1. Control-Plane для Overlay - LISP 2. Data-Plane - инкапсуляция VXLAN IP ETHERNET ETHERNET IP UDP Source IP Lo0 Src Edge Dest. IP Lo0 Dst Edge VXLAN IP ETHERNET VXLAN Flags PAYLOAD RRRRIRRR PAYLOAD 8 Segment ID 16 VN ID 24 8 Bytes VRF ID Reserved 8 ИСХОДНЫЙ пакет VXLAN пакет Поддерживает L2 и L3 Overlay Кампусная фабрика – Ключевые моменты TrustSec 1. Control-Plane для Overlay - LISP 2. Data-Plane - инкапсуляция VXLAN 3. Policy-Plane – CTS (Cisco TrustSec) VRF + SGT ETHERNET IP UDP VXLAN IP ETHERNET PAYLOAD SGT-метка VXLAN Flags RRRRIRRR 8 Segment ID 16 VN ID 24 8 Bytes Reserved 8 Роли устройств Роли устройств в кампусной Фабрике ▪ DNA Center – сервер управления сетью. DNA Center Identity Services • Настройка устройств Фабрики. ISE • Сбор мониторинг-информации. ▪ Identity Services – Сервер безопасности. • Аутентифицирует пользователей Fabric Border Nodes • Хранит политики контроля доступа для пользователей до x4 B B Intermediate Nodes (Underlay) Fabric Edge Nodes Fabric Wireless Controller ▪ Control-Plane Nodes – Хранит базу данных IP Пользователя -> Fabric Edge (Lo0 IP). C Кампусная Фабрика ▪ Fabric Border Nodes – Стык Фабрики с Control-Plane Nodes «Внешним миром». По L2/L3. x2 ▪ Fabric Edge Nodes – Коммутаторы доступа к которым подключаются проводные пользователи и точки доступа (AP). ▪ Fabric Wireless Controller – Беспроводной контроллер доступа управления беспроводными AP. ▪ Intermediate Nodes (Underlay) – Промежуточное устройство, агрегирует потоки трафика, участвует только в маршрутизации OSPF/IS-IS Роли устройств C 1. Control-Plane 2. Border 3. Fabric Edge Роли устройств Control-Plane Nodes – Подробнее Control-Plane Node информация о подключенных к Фабрике сетях • • Ведет базу данных к какому Fabric Edge подключается EID (Endpoint Identifier) пользователя POD1-BR-01#show lisp site instance-id 4099 LISP Site Registration Information Site Name Last Register 1d04h 1d04h site_uci Up yes# yes# Inst ID 4099 4099 EID Prefix 172.16.12.11/32 172.16.12.12/32 B Неизвестные Сети (Интернет) POD1-BR-01# EID пользователя может быть: • IPv4 • MAC • IPv6 (планируется с DNAC* 1.3) • Регистрирует соответствие «Известная» сеть -> Border node • Предоставляет информацию Fabric Edge, Border устройствам, о EID -> Fabric Edge Известные Сети C B 172.16.255.1 172.16.12.11/32 *DNAC – DNA Center Who Last Registered 172.16.255.1 172.16.255.2 172.16.255.2 172.16.12.12/32 Control-Plane Nodes Платформы * Wired Only Catalyst 3K • • • • Catalyst 3850 1/10G SFP 10/40G NM Cards IOS-XE 16.6.3+ 4K Host записей Catalyst 9500 • • • • Catalyst 9500 10/40G SFP/QSFP 10/40G NM Cards IOS-XE 16.6.3+ 96K Host записей Catalyst 6K* • • • • Catalyst 6800 Sup2T/6T 6840/6880-X IOS 15.4.1SY4+ 25K Host записей ASR1K, ISR4K & CSRv • • • • CSRv ASR 1000-X/HX ISR 4300/4400 IOS-XE 16.6.2+ 200K Host записей Роли устройств B 1. Control-Plane 2. Border 3. Fabric Edge Роли устройств Border Nodes – Подробнее Border Node – стык Фабрики с «Внешним миром» Три типа Border Node: • Internal Border • • Для подключения фабрики к «Известным» сетям. Основной критерий – количество сетей ограничено (WAN/DC/Офисы). Известные сети C B B Неизвестные Сети (Интернет) Неизвестные Сети (Интернет) B • External Border (или Default) • • • Для подключения к Неизвестному количеству сетей (Интернет). Данный Border Node будет использоваться как выход по умолчанию. Anywhere Border • • Комбинированный вариант. Необходим, если есть несколько Internal/External borders и к одному Border подключаются Известные и Неизвестные сети. До 4 External Border Node на Сайт Фабрики Известные сети Роли устройств Border Nodes - Internal Internal Border – отправляет маршруты Фабрики во «Внешний мир» и импортирует маршруты «Известных» сетей в Фабрику. • Стык с «Внешним миром» с помощью BGP/OSPF/Статической маршрутизации • Отправка маршрутов фабрики «Внешнему миру». • Прием и регистрация «Известных сетей» на Control-plane node 172.17.0.0/16 192.168.11.0/24 Известные сети BGP/OSPF/Static Маршруты Фабрики B 172.16.255.3 POD1-BR-01#show lisp site instance-id 4099 LISP Site Registration Information * = Some locators are down or unreachable # = Some registrations are sourced by reliable transport Site Name site_uci Last Register 3w5d 3w5d Up yes# yes# Who Last Registered 172.16.255.3 172.16.255.3 Inst ID 4099 4099 EID Prefix 172.17.0.0/16 192.168.11.0/24 C 172.17.0.0/16 192.168.11.0/24 LISP Роли устройств Border Nodes - External External Border – выход из фабрики по умолчанию • Подключение к «Неизвестным» сетям (Интернет). • Отправка маршрутов фабрики «Внешнему миру». • • 1.1.0.0/16 8.8.8.0/24 <…> <…> <…> 77.77.0.0/16 Неизвестные Сети (Интернет) Не импортирует неизвестные сети в Фабрику! Используется только если маршрут до сети не зарегистрирован на Control-plane node. BGP/OSPF/Static B Если External Border несколько, то трафик балансируется между ними (per-flow). C router lisp service ipv4 use-petr 172.17.73.1 use-petr 172.17.73.2 172.17.73.1 Маршруты Фабрики B 172.17.73.2 Роли устройств Border Nodes - Anywhere Anywhere Border – комбинированный вариант (Internal & External) • 172.17.0.0/16 192.168.11.0/24 Подключение к «Неизвестным» сетям (Интернет). • Прием и регистрация Всех сетей на Control-plane node, кроме маршрута 0.0.0.0/0 • Отправка маршрутов фабрики «Внешнему миру». • Если маршрут до сети не зарегистрирован на Control-plane Node, то Anywhere Border используется как шлюз по умолчанию. POD1-BR-01#show lisp site instance-id 4099 LISP Site Registration Information * = Some locators are down or unreachable # = Some registrations are sourced by reliable transport Site Name site_uci Last Register 3w5d 3w5d Up yes# yes# Who Last Registered 172.16.255.3 172.16.255.3 172.16.255.3 Необходимо контролировать количество маршрутов, регистрируемых на Controlplane Node Inst ID 4099 4099 4099 EID Prefix 172.17.0.0/16 192.168.11.0/24 1.1.0.0/16 router lisp service ipv4 use-petr 172.17.73.1 use-petr 172.17.73.2 Известные сети 1.1.0.0/16 8.8.8.0/24 <…> <…> <…> 77.77.0.0/16 Неизвестные Сети (Интернет) BGP/OSPF/Static B C 172.17.73.1 172.17.0.0/16 192.168.11.0/24 1.1.0.0/16 <…> Маршруты Фабрики B 172.17.73.2 Роли устройств Настройка Border Node в DNAC DNAC: Опция “Connected to the Internet” не используется для случая с одним Сайтом Фабрики (необходима для Сайта с доступом в Интернет, при использовании SDA Transit) Border Nodes Платформы * Только External Border Catalyst 3K Catalyst 9K Catalyst 6K • Catalyst 3850 • Catalyst 9500 • Catalyst 6800 • • 1/10G SFP+ 10/40G NM Cards • • 10/40G SFP/QSFP 10/40G NM Cards • • • IOS-XE 16.6.3+ • IOS-XE 16.6.3+ • • VNs: 64 • IPv4 TCAM: 16K/8K Nexus 7K* ASR1K & ISR4K ASR 1000-X/HX ISR 4300/4400 1/10G/40G • Nexus 7700 Sup2T/6T 6840/6880-X • • • Sup2E M3 Cards IOS 15.4.1SY4+ • IOS-XE 16.6.3+ • • • NXOS 8.2.1+ • VNs: 256 • VNs: 512 • IPv4 TCAM: 96K/48K • IPv4 TCAM: 256K • VNs: 4K • IPv4 TCAM: 1M • VNs: 500 • IPv4 TCAM: 1M Роли устройств 1. Control-Plane 2. Border 3. Fabric Edge E Роли устройств Edge Nodes – Подробнее • Edge Node – предоставляет сервисы Фабрики для подключенных пользователей. • Аутентификация проводных пользователей (MAB, 802.1X). • Регистрация пользователей (/32) на ControlPlane Node. • Одинаковый IP шлюза по умолчанию на всех Edge Nodes (L3 Anycast). • Осуществляет инкапсуляцию / декапсуляцию трафика от всех подключенный устройств. *MAB - MAC Authentication Bypass Известные сети B C B Неизвестные Сети (Интернет) Fabric Edge Nodes Платформы Catalyst 9300 Catalyst 9200 • • • • Catalyst 9200/L 1/mG RJ45 1G SFP (Uplinks) IOS-XE 16.10.1s • • • • Catalyst 9300 1/10G RJ45, SFP 10/40/MG NM Cards IOS-XE 16.6.3+ Catalyst 9400 • • • • Catalyst 9400 Sup1/XL 9400 Cards IOS-XE 16.6.3+ Fabric Edge Nodes Платформы Catalyst 4K Catalyst 3K • • • • Catalyst 3650/3850 1/10G RJ45, SFP 10/40G NM Cards IOS-XE 16.6.3+ • • • • Catalyst 4500 Sup8E/9E (Uplink) 4700 Cards IOS-XE 3.10.1E+ Компоненты Фабрики 1. Underlay 2. Virtual Network 3. Host Pool 4. Anycast GW 5. Layer 3 Overlay 6. Layer 2 Overlay Underlay Фабрики B B Поддерживаемые типы топологий • Дизайн Underlay топологии не ограничен • Fabric Edge могут подключаться цепочками, длина цепочки не ограничена • Рекомендуется использовать топологию из CVD* для кампусной сети: 2-уровневый дизайн 3-уровневый дизайн Ядро Seed Seed Seed Seed Распределение Pnp Agent Pnp Agent Pnp Agent Pnp Agent Pnp Agent Доступ Pnp Agent *CVD – Cisco Validated Design © 2019 Cisco and/or its affiliates. All rights reserved. Pnp Agent Pnp Agent Underlay – на что обратить внимание • Протокол маршрутизации – IS-IS или OSPF. • VxLAN добавляет 50 Байт нагрузки. Включить “Jumbo Frame” (9100 Байт) внутри Фабрики. • Рекомендован IS-IS, используется при автоматической начальной настройке (PnP) устройств Фабрики. • Если впоследствии решим удалить устройства из Фабрики, будет удалена конфигурация, созданная PnP • PnP поддерживает до трёх уровней иерархии: 2-уровневый 3-уровневый n-уровневый DNAC DNAC DNAC Seed Seed Seed Pnp Agent Pnp Agent Pnp Agent Pnp Agent Pnp Agent *PnP – Plug and play © 2019 Cisco and/or its affiliates. All rights reserved. Pnp Agent Новая терминология Фабрики • “Virtual Network” ≈ “VN” ≈ “VRF” • “Host Pool” ≈ “IP подсеть” • “Fabric Site” ≈ “Набор Control-Plane, Border, Edge nodes” • “Fabric Domain” ≈ “Набор Fabric Sites” + “Transit” Компоненты Фабрики 1. Underlay 2. Virtual Network 3. Host Pool 4. Anycast GW 5. Layer 3 Overlay 6. Layer 2 Overlay Компоненты Фабрики Virtual Network– Подробнее Virtual Network – виртуальная таблица маршрутизации (VRF) на устройствах Фабрики • Разделяет маршрутную информацию на макроуровне (разные сущности) C Неизвестные сети Известные сети B VN Campus B VN Guests VN Phones Компоненты Фабрики Virtual Network– Подробнее Virtual Network (VN) – виртуальная таблица маршрутизации (VRF) на устройствах Фабрики • Control-Plane хранит базу сетей отдельно для POD1-BR-01#show lisp site instance-id 4099 каждого VN ID Site Name Who Last Registered 192.168.0.2 192.168.0.2 192.168.0.2 Inst ID 4099 4099 4099 POD1-BR-01#show lisp site instance-id 4100 Site Name Last Up Who Last Register Registered site_uci 3w5d yes# 192.168.0.2 1w5d yes# 192.168.0.2 3w5d yes# 192.168.0.2 POD1-BR-01# Inst ID 4100 4100 4100 site_uci • Last Register 3w5d 1w5d 3w5d Up yes# yes# yes# Представлен обычным VRF на устройстве POD1-FE-01#show ip vrf Name Default RD Campus <not set> Guest POD1-FE-01# <not set> Interfaces Vl1022 Vl1024 Vl1034 • EID Prefix 172.17.0.0/16 192.168.10.2/32 192.168.10.3/32 EID Prefix 172.17.0.0/16 192.168.5.1/32 192.168.5.4/24 VN ID передается в заголовке VxLAN VXLAN Flags RRRRIRRR Segment ID VN ID Virtual Network На что обратить внимание • Выяснить на этапе проектирования: • Матрицу взаимодействия между VN. • Выяснить, для каких VN необходимы стыки с внешними сетями и доступ в Интернет. • Выяснить в каких VN необходим сервис DHCP. • Протокол маршрутизации для передачи маршрутной информации из Фабрики. • Оптимизировать стоимость решения за счет использования Catalyst 9200 vs 9300 (ограничение 4xVN). • Взаимодействие между VN-только через внешнее устройство, необходимо оценивать потоки трафика при разделении по VN. • IP Base с DNA Advantage на Catalyst3650/3850 – максимум 3xVN. Компоненты Фабрики 1. Underlay 2. Virtual Network 3. Host Pool 4. Anycast GW 5. Layer 3 Overlay 6. Layer 2 Overlay Компоненты Фабрики Host Pools – Подробнее • Host Pool – IP подсеть для оконечных устройств, подключаемых к Фабрике. • • • • Представлена интерфейсом VLAN с IP адресом Каждый Host Pool принадлежит определенному VRF (VN). При подключении пользователя, его адрес регистрируется на Control Plane Фабрики (per Instance ID). Адрес пользователю может назначаться статически или динамически, с помощью DHCP. C Неизвестные сети Известные сети B B Pool .4 Pool .17 Pool .13 Pool .23 Pool .11 Pool .19 Pool .25 Pool .8 Pool .12 interface Vlan1022 mac-address 0000.0c9f.f45d vrf forwarding Campus ip address 172.16.10.1 255.255.255.0 ip helper-address 192.168.11.8 lisp mobility 172_16_10_0-Campus © 2019 Cisco and/or its affiliates. All rights reserved. Новая терминология Фабрики • “Anycast GW” ≈ “Одинаковый SVI, IP + Mac на всех Fabric Edge” • “Layer 3 Overlay” ≈ “IP Clients” ≈ “Anycast + Host Pool” • “Layer 2 Overlay” ≈ ”Non-IP Clients” ≈ “Multipoint Tunnel” Компоненты Фабрики 1. Underlay 2. Virtual Network 3. Host Pool 4. Anycast GW 5. Layer 3 Overlay 6. Layer 2 Overlay Новая терминология Фабрики Anycast Gateway– Подробнее Anycast GW - L3 шлюз по умолчанию. • Тот же принцип, что и у HSRP/VRRP с “Виртульным” IP и MAC адресом. C Неизвестные сети Известные сети • SVI настроен на КАЖДОМ Fabric Edge, с одинаковым Virtual IP и MAC. • Control-Plane хранит базу соответствий IP (Host) -> Fabric Edge. • При переключении устройства между Fabric Edge Nodes, адрес шлюза не изменяется. interface Vlan1021 mac-address 0000.0c9f.f45c vrf forwarding Campus ip address 172.17.0.254 255.255.255.0 ip helper-address 172.17.72.254 <…> lisp mobility 172_17_0_0-OFFICE ! B GW B GW GW GW GW Компоненты Фабрики 1. Underlay 2. Virtual Network 3. Host Pool 4. Anycast GW 5. Layer 3 Overlay 6. Layer 2 Overlay Новая терминология Фабрики Layer 3 Overlay – Подробнее L3-подсеть «растягивается» на все Fabric Edge коммутаторы Фабрики. • Пользователь подключается к SVI на FEкоммутаторе и маршрутизируется через Overlay Фабрики. • При переключении на новый FE- коммутатор, LISP сообщит Фабрике о новом местонахождении пользователя. • Пользователи, подключенные к разным FE могут иметь IP-адреса из одной подсети. • Широковещательный домен ограничен SVI на каждом FE-коммутаторе • Одинаковый адрес шлюза (Anycast gateway) на каждом коммутаторе C Неизвестные сети Известные сети B B L3 -подсеть 192.168.1.1 GW 192.168.1.5 GW GW 192.168.1.1 192.168.1.22 43 Компоненты Фабрики 1. Underlay 2. Virtual Network 3. Host Pool 4. Anycast GW 5. Layer 3 Overlay 6. Layer 2 Overlay Новая терминология Фабрики L2 Overlay– Подробнее Два варианта: 1. L2 Overlay без опции Layer-2 Flooding –> передача non-IP трафика, без L2 Broadcast/Multicast. 2. L2 Overlay с опцией Layer-2 Flooding –> поддерживает L2 Broadcast/Multicast. • • • Поддержка L2 Overlay включается на уровне подсети (IP Pool). Каждый Layer-2 Flooding Overlay представлен Multicast-группой в Underlay. Layer-2 Flooding следует включать только если действительно нужно (Silent hosts). C VLAN VLAN L2 Overlay Layer-2 Flooding поддержка: VLAN Платформы Версия ПО C3K, C9K 16.9.1s 54ee.75cb.1111 VLAN VLAN 54ee.75cb.2222 45 Размерность подсетей для Фабрики Для L3/L2 Overlay (без Layer-2 Flooding): • Широковещательный домен ограничен SVI на каждом FE-коммутаторе • Количество подсетей (IP Pools) – до 500 ➢ Для новых подсетей (Pools), без L2 Flooding, рекомендуется использовать крупные подсети (/22) Один из подходов по выделению IP адресации: 1. Underlay (крупный блок) • • • • 2. Loopbacks P2P L3 Handoff Lan Automation (минимум /24, чтобы запустить процесс автоматизации больше 1 раза) Overlay (крупный блок) • • • Новые сети без L2 Flooding (/22) Новые сети с L2 Flooding (/24) Старые сети – как есть © 2019 Cisco and/or its affiliates. All rights reserved. Внешние сервисы для Фабрики Shared Services Shared Services – сегмент с инфраструктурными сервисами, доступ к которым необходим из всех VN (или из части). Shared Services расположены вне Фабрики. Включают: • DHCP • ISE (Guest portal, Posture, BYOD, SXP) • DNAC (Admin access) • DNS • NTP • MS AD Control Plane C DNAC DHCP ISE Shared Services T5/1 Edge Node Кампусная Фабрика T1/0/1 T5/2 B BGP T5/1 Border Node Fusion Router ASA (Защита Shared Services) OSPF WAN/Интернет Fusion router Внешнее устройство, подключается к Border nodes: • Обмен маршрутами между VN (route-leaking). • Связь с Фабрики с Shared Services. • Fusion router настраивается вручную (не с DNAC). Стык на Border node настраивается DNAC (пока только BGP), остальные протоколы: OSPF/EIGRP/Static – вручную. VRF Campus SVI 1021 C ip vrf Campus import ipv4 unicast export ipv4 unicast ! ip vrf Phones import ipv4 unicast export ipv4 unicast ! Control Plane T5/1 SVI C Edge Node LISP T5/2 B SVI B SVI A T1/0/1 T5/1 Border Node VRF Phones SVI 1022 ip vrf Campus rd 1:4099 route-target route-target ! ip vrf Phones rd 1:4098 route-target route-target export 1:4098 import 1:4099 map RM_FROM_GRT_SHARED map RM_GRT_TO_CAMPUS map RM_FROM_GRT_SHARED map RM_GRT_TO_PHONES BGP VRF Campus Ten0/0/0.С BGP VRF Phones Ten0/0/0.B INFRA_VN (GRT*) Ten0/0/0.A BGP VRF Campus VRF Phones G0/0/3 GRT* Fusion Router *GRT – Global Routing Table export 1:4099 import 1:4098 LAN/WAN Как быстро настроить Fusion router? (BGP) 1) Сохранить текущую конфигурацию Border node: #copy running-config flash:before-vn 2) Создаем IP Transit в DNAC – Стык фабрики с Fusion router по BGP. [Provision -> Fabric] 3) Указываем параметры IP Transit (физический интерфейс, BGP AS, VNs) B SVI C BGP VRF Campus Ten0/0/0.C SVI B BGP VRF Phones Ten0/0/0.B SVI A Border Node BGP AS65001 INFRA_VN (GRT*) VRF Phones Ten0/0/0.A GRT BGP Fusion Router BGP AS65010 *GRT – Global Routing Table VRF Campus Как быстро настроить Fusion router? (BGP) 1) Проверить конфигурацию, которая поступила на Border node: #show archive config differences flash:before-vn 2) Чтобы создать конфигурацию для Fusion 3) Добавить BGP allowas-in на Border node. router достаточно «перевернуть» конфигурацию Border node POD1-BR-01# show archive config differences flash:before-vn router bgp 65001 neighbor 172.17.19.6 remote-as 65010 neighbor 172.17.19.6 update-source Vlan3007 ! address-family ipv4 <...> neighbor 172.17.19.6 activate neighbor 172.17.19.6 weight 65535 exit-address-family neighbor 172.17.19.6 allowas-in ! address-family ipv4 vrf Campus <...> neighbor 172.17.19.10 remote-as 65010 neighbor 172.17.19.10 update-source Vlan3008 neighbor 172.17.19.10 activate neighbor 172.17.19.10 weight 65535 exit-address-family !neighbor 172.17.19.10 allowas-in interface Vlan3007 description vrf interface to External router ip address 172.17.19.5 255.255.255.252 no ip redirects ip route-cache same-interface ! <…> Fusion router: router bgp 65010 neighbor 172.17.19.5 remote-as 65001 neighbor 172.17.19.5 update-source Vlan3007 ! address-family ipv4 <...> neighbor 172.17.19.5 activate neighbor 172.17.19.5 weight 65535 exit-address-family ! address-family ipv4 vrf Campus <...> neighbor 172.17.19.9 remote-as 65010 neighbor 172.17.19.9 update-source Vlan3008 neighbor 172.17.19.9 activate neighbor 172.17.19.9 weight 65535 exit-address-family ! interface Vlan3007 description vrf interface to External router ip address 172.17.19.6 255.255.255.252 no ip redirects ip route-cache same-interface ! <…> Firewall в качестве Fusion router? 1. Плюсы: • Использование stateful правил (ACL) между VN и Shared Services. • Возможность включить передачу тегов (SGT) между Border Node <-> Fusion ASA*. Нюанс: ASA не поддерживает VRF -> нет возможности контролировать передачу маршрутов между VN (route-leaking). Решение: контроль взаимодействия между VN только с помощью ACL. 2. Рекомендуется использовать BGP: • автоматизация конфигураций на Border Node • поддерживает BFD (Bidirectional Forwarding Detection) Включить передачу SGT (Inline-SGT) c Border Node -> Fusion ASA: Cisco Catalyst: interface Te1/0/1 cts manual B SVI C BGP VRF Campus Ten0/0/0.C SVI B BGP VRF Phones Ten0/0/0.B SVI A Cisco Router: Cisco ASA: interface Te1/0/1.A cts manual interface Te1/0/1.A nameif inside cts manual Border Node INFRA_VN (GRT*) GRT Ten0/0/0.A BGP BGP AS65001 Fusion ASA BGP AS65010 *Рекомендуется использование платформы Cisco Firepower для большей производительности. Выбор протокола маршрутизации для стыка с Fusion router LISP Border Node 1 B Fusion router 1 eBGP DNAC DHCP E Фабрика E iBGP iBGP B eBGP Border Node 2 Fusion router 2 Для стыка Border Node с Fusion router рекомендуется использовать eBGP: • Настройка автоматизируется с DNAC • Простой route-leaking на стороне Fusion router Остальные протоколы: OSPF/EIGRP/Static – настройка вручную. • Необходимо увеличить MTU до 9К, между Border Node <-> Fusion ISE Shared Services Миграция на SDA Подходы к миграции на SDA Подходы к миграции Параллельный Последовательный Ядро сети Ядро сети SDA сегмент B Текущая сеть B C SDA сегмент B C Текущая сеть B C C Underlay ... ... ... (По одному коммутатору) Параллельный подход к миграции Миграция – параллельный подход Основные этапы: 1. Подключить DNAC/ISE в сегмент Shared Services (DC) 2. Подключить оборудование SDA-фабрики DNAC DHCP ISE Shared Services Ядро сети SDA сегмент SDA сеть Текущая сеть ... ... Миграция – параллельный подход Основные этапы: 1. Подключить DNAC/ISE в сегмент Shared Services (DC) 2. Подключить оборудование SDA-фабрики 3. Настроить связность Underlay Фабрики -> Shared Services 4. Настроить Underlay Фабрики (вручную или PnP) DNAC DHCP ISE Shared Services Ядро сети SDA сегмент SDA сеть Текущая сеть Underlay ... ... Миграция – параллельный подход Основные этапы: 1. Подключить DNAC/ISE в сегмент Shared Services (DC) 2. Подключить оборудование SDA-фабрики 3. Настроить связность Underlay Фабрики -> Shared Services 4. Настроить Underlay Фабрики (вручную или PnP) DNAC DHCP 5. Добавить устройства в DNAC ISE Shared Services Ядро сети SDA сегмент SDA сеть Текущая сеть Underlay ... ... Миграция – параллельный подход Основные этапы: 1. Подключить DNAC/ISE в сегмент Shared Services (DC) 2. Подключить оборудование SDA-фабрики 3. Настроить связность Underlay Фабрики -> Shared Services 4. Настроить Underlay Фабрики (вручную или PnP) DNAC DHCP 5. Добавить устройства в DNAC ISE Shared Services 6. Добавить устройства в Фабрику (Provision) Ядро сети SDA сегмент SDA сеть B Текущая сеть B C C Underlay ... ... Миграция – параллельный подход Основные этапы: 1. Подключить DNAC/ISE в сегмент Shared Services (DC) 2. Подключить оборудование SDA-фабрики 3. Настроить связность Underlay Фабрики -> Shared Services 4. Настроить Underlay Фабрики (вручную или PnP) DNAC DHCP ISE Shared Services 5. Добавить устройства в DNAC 6. Добавить устройства в Фабрику (Provision) Ядро сети 7. Настроить IP Transit для стыка всех VN SDA сегмент SDA сеть B Текущая сеть B C C Underlay ... Миграция – параллельный подход Основные этапы: 1. Подключить DNAC/ISE в сегмент Shared Services (DC) 2. Подключить оборудование SDA-фабрики 3. Настроить связность Underlay Фабрики -> Shared Services DNAC 4. Настроить Underlay Фабрики (вручную или PnP) DHCP 5. Добавить устройства в DNAC ISE Shared Services 6. Добавить устройства в Фабрику (Provision) Ядро сети 7. Настроить IP Transit для стыка всех VN 8. Протестировать взаимодействие SDA сеть SDA сегмент B Текущая сеть B C ... C ... Миграция – параллельный подход Основные этапы (продолжение): … 8. Протестировать взаимодействие 9. Начать перевод пользователей DNAC 10. Демонтировать прежнюю сеть DHCP ISE Shared Services Ядро сети SDA сеть SDA сегмент B Текущая сеть B C ... C ... Последовательный подход к миграции Миграция – последовательный подход Основные этапы: 1. Подключить DNAC/ISE в сегмент Shared Services (DC) 2. Подключить оборудование Control/Border Nodes DNAC DHCP ISE Shared Services Ядро сети SDA сегмент SDA сегмент Текущая сеть ... Миграция – последовательный подход Основные этапы: 1. Подключить DNAC/ISE в сегмент Shared Services (DC) 2. Подключить оборудование Control/Border Nodes 3. Настроить связность Underlay Фабрики -> Shared Services 4. Добавить устройства Control/Border Nodes в DNAC DNAC DHCP 5. Добавить устройства Control/Border Nodes в Фабрику (Provision) ISE Shared Services Ядро сети SDA сеть SDA сегмент B C Текущая сеть B C ... Миграция – последовательный подход Основные этапы: 1. Подключить DNAC/ISE в сегмент Shared Services (DC) 2. Подключить оборудование Control/Border Nodes 3. Настроить связность Underlay Фабрики -> Shared Services 4. Добавить устройства Control/Border Nodes в DNAC DNAC DHCP ISE Shared Services 5. Добавить устройства Control/Border Nodes в Фабрику (Provision) Ядро сети 6. Настроить IP Transit для стыка всех VN 7. Настроить L2 Handoff (опция) если переносим сети в SDA сегмент SDA сеть SDA «как есть» B Текущая сеть B C Underlay C L2 Handoff ... Миграция – последовательный подход Основные этапы: 1. Подключить DNAC/ISE в сегмент Shared Services (DC) 2. Подключить оборудование Control/Border Nodes 3. Настроить связность Underlay Фабрики -> Shared Services 4. Добавить устройства Control/Border Nodes в DNAC DNAC DHCP ISE Shared Services 5. Добавить устройства Control/Border Nodes в Фабрику (Provision) Ядро сети 6. Настроить IP Transit для стыка всех VN 7. Настроить L2 Handoff (опция) если переносим сети в SDA сегмент SDA сеть SDA «как есть» 8. Перенести шлюзы «растянутых» VLAN в Фабрику B Текущая сеть B C Underlay ... SVI A SVI B C L2 Handoff ... Миграция – последовательный подход Основные этапы: 1. Подключить DNAC/ISE в сегмент Shared Services (DC) 2. Подключить оборудование Control/Border Nodes 3. Настроить связность Underlay Фабрики -> Shared Services 4. Добавить устройства Control/Border Nodes в DNAC DNAC DHCP ISE Shared Services 5. Добавить устройства Control/Border Nodes в Фабрику (Provision) Ядро сети 6. Настроить IP Transit для стыка всех VN 7. Настроить L2 Handoff (опция) если переносим сети в SDA сегмент SDA сеть SDA «как есть» 8. Перенести шлюзы «растянутых» VLAN в Фабрику B Текущая сеть B C Underlay C L2 Handoff 9. Установить новый FE Node ... 10. Отключить прежний коммутатор и перевести пользователей в Фабрику ... Миграция – последовательный подход Основные этапы (продолжение): … 11. Повторить для остальных коммутаторов DNAC DHCP ISE Shared Services Ядро сети SDA сегмент SDA сеть B Текущая сеть B C Underlay ... C L2 Handoff ... Миграция – последовательный подход Основные этапы (продолжение): … 11. Повторить для остальных коммутаторов 12. Отключить L2 Handoff DNAC 13. Переключить текущий уровень распределения в Border Nodes Фабрики DHCP Ядро сети SDASDA сегмент сегмент B ISE Shared Services B C Underlay C L2 Handoff Подходы к миграции на SDA Параллельный и Последовательный Параллельный Последовательный (По одному коммутатору) Небольшой кампус/филиал Любой размер кампуса Требует новых кабельных ресурсов Использует текущие кабельные ресурсы Электропитание и место для параллельной сети Незначительное требование к электропитанию и месту Замена всех сетевых устройств кампуса Замена части сетевых устройств кампуса Возможность полностью протестировать Частичный тест Фабрики Фабрику перед миграцией Какой подход к миграции выбрать? Условие Имеется дополнительное место, электропитание и кабельные ресурсы Параллельный Последовательный (текущие сети) ✓ ✓ ✓ Физическая топология текущей сети соответствует CVD Планируете изменить физическую топологию текущего кампуса Последовательный (новые сети) ✓ Наличие устройств без поддержки DHCP (IOT/камеры) ✓ Быстрая миграция ✓ Текущие сети удовлетворяют потребности дальнейшего роста ✓ Сложность с изменением ACL на межсетевых экранах ✓ Миграция – «растягивание» подсетей между Текущей сетью и Фабрикой SVI300 Ядро сети • • • • С помощью функционала Layer2 Handoff, «растягиваем» VLAN между Текущей сетью и Фабрикой Layer 2 Border регистрирует устройства из «растянутых» VLAN Текущей сети на Control plane Node SVI для VLAN текущей сети, располагается на L2 Border Роли Layer 2 и Layer 3 Border могут быть совмещены B Стек или VSS Layer 2 Border Фабрика E Пользователь 1 IP: 10.2.2.0/24 Пользователь 2 IP: 10.2.2.0/24 SDA сегмент Текущая сеть Устройства в Address Pool (1021) Устройства в VLAN (300) Миграция на SDA На что обратить внимание Сетевая часть: MTU, топология, IP-адресация для Underlay и Overlay, расположение Shared Services Нужно ли взаимодействие между Virtual Networks (VN) Определить количество VN Определить группы микро-сегментации Используем новые или текущие сети? DHCP? PBR, WCCP перенести с Distribution Layer вне Фабрики © 2019 Cisco and/or its affiliates. All rights reserved. Подводные камни Вариант отказа для резервируемых External borders И как с ним справиться Внешние сети eBGP iBGP eBGP B B Border Node 1 172.17.73.1 Border Node 1 iBGP E VRF Campus VRF Phones Border Node 2 Border172.17.73.2 Node 2 Фабрика LISP Решение: E router lisp service ipv4 use-petr 172.17.73.1 use-petr 172.17.73.2 Настроить дополнительные iBGP-сессии в каждом VN, между Border Node. interface Vlan2500 vrf forwarding OFFICE ip address 172.17.12.0 255.255.255.254 bfd interval 100 min_rx 100 multiplier 3 ! router bgp 65001 address-family ipv4 vrf Campus neighbor 172.17.12.1 remote-as 65001 neighbor 172.17.12.1 update-source Vlan2500 neighbor 172.17.12.1 fall-over bfd neighbor 172.17.12.1 activate Клиенты не получают адрес по DHCP На что обратить внимание • Для работы DHCP в SDA Фабрике необходима DHCP опция-82. • Если сервер возвращает DHCP пакет без опции-82, то такой пакет будет отброшен на входе в Фабрику. 10.1.18.0/24 E • Опция 82 = “1.1.1.1”(FE loopback) и “10” VN-ID • GIADDR = 10.1.18.1 ( SVI address) B 3 2 DHCP запрос 1 Отправляется DHCP Запрос B C 192.168.0.1 4 SVI 10.1.18.1 SVI 10.1.18.1 GIADDR - Gateway IP address – Адрес DHCP relay серверу Общие рекомендации Рекомендации по миграции и внедрению Используйте рекомендуемые и проверенные версии ПО для SDA: SD-Access Hardware and Software Compatibility Matrix Тестируйте изменения в лаборатории Используйте временные IP Pools перед вводом в промышленную эксплуатацию Следуйте стандартному процессу проектирования Используйте проактивные сервисные запросы в TAC Обучайтесь технологии SDA для управления сетью Процесс проектирования Архитектура SDA не меняет стандартного подхода к проектированию: Сбор требований Проектирование Настройка Тестирование Перевод пользователей Усиленный мониторинг после внедрения Заключение Архитектура SDA SDA = Кампусная Фабрика + DNAC + ISE B B C Кампусная Фабрика DNA Center Простые Процессы DESIGN PROVISION POLICY ASSURANCE Ключевые моменты Фабрики 1. Control-Plane для Overlay - LISP 2. Data-Plane - инкапсуляция VXLAN 3. Policy-Plane – CTS (Cisco TrustSec) B B C На что обратить внимание • Overlay поддерживает L2 + L3 • Мобильность пользователей с помощью Anycast Gateway • Информация о SGT теперь в VXLAN заголовке Роли устройств в Фабрике • Control-Plane Node база соответствий “IP -> Loopback” устройства Фабрики. • Border – Стык Фабрики с внешними Внешние Сети сетями. BGP/OSPF/Static • Edge Node – предоставляет сервисы Фабрики для подключенных пользователей. B C B Маршруты Фабрики Подходы к миграции на SDA Подходы к миграции Параллельный Последовательный Ядро сети Ядро сети SDA сегмент B Текущая сеть B C SDA сегмент B C Текущая сеть B C C Underlay ... ... ... (По одному коммутатору) Миграция и внедрение Выбираем один из четырех типовых дизайнов Фабрики (XS, S, M, L, XL) Выбираем подход к миграции (последовательный или параллельный) Следуем рекомендациям по миграции и внедрению Тестирование!!! Учитываем подводные камни Скрытые слайды Поддержка SDA на платформах Коммутаторы Маршрутизаторы Catalyst 9500 Catalyst 9400 ASR-1000-X Catalyst 9300 ASR-1000-HX NEW Catalyst 9200 ISR 4430 Catalyst 4500E Catalyst 6800 Catalyst 3650 and 3850 Nexus 7700 ISR 4450 ISRv/CSRv Дальнейшие шаги Проверьте поддержку SDA на своих устройствах Изучите Технологию SDA Запланируйте миграцию И…. 106 Будьте на волне цифровизации! Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции www.facebook.com/CiscoRu www.instagram.com/ciscoru www.youtube.com/user/CiscoRussiaMedia www.vk.com/cisco © 2019 Cisco and/or its affiliates. All rights reserved. Контакты: Тел.: +7 495 9611410 www.cisco.com
