Cisco Adatközponti Hálózatok Kialakítása

Átírás

1 Cisco Adatközponti Hálózatok Kialakítása Spanning-Tree, Stacking, VSS, vpc, Fabricpath, VXLAN Boross Ádám Systems Engineer Techtorial2014

2 Célok az adatközponti hálózatokban Megoldási lehetőségek Spanning Tree Stacking VSS vpc Egy kis kitekintés: VXLAN Összegzés Cisco Confidential 2

3 Célok, motiváció az adatközpontban Flexibilis Feleljen meg minél több eszköz és alkalmazás követelményeinek Legyen egyszerű bővíteni Praktikus Egyszerű a konfiguráció és a hibakezelés Eszközök újrahasznosíthatósága Dinamikus Nagy sávszélesség, kevés eszközzel Cisco Confidential 3

4 Célok az adatközponti hálózatokban Megoldási lehetőségek Spanning Tree Stacking VSS vpc Egy kis kitekintés: VXLAN Összegzés Cisco Confidential 4

5 Ethernet flooding viselkesés Unknown unicast Broadcast MAC D Everyone MAC A E1/1 MAC A E1/1 MAC B E1/2 MAC B E1/2 MAC D MAC C E1/3 Everyone MAC C E1/3 MAC D Everyone Előnye: plug & play működés, gyors címtanulás Hátránya: hurok esetén problémákat okozhat, nagy MAC táblákat igényel Cisco Confidential 5

6 Spanning Tree Protokoll 1990-ben szabványosították (IEEE 802.1D) Két switch közötti redundáns utak felismerésére szolgál Detektálja és kezeli a hurkokat Az SPT algoritmus blokkolja vagy engedélyezi a portokat Előnye: jól ismert és tuningolható (RSPT, MST, PVST+) Hátránya: korlátozza az elérhető sávszélességet, nehéz a hibakezelés Primary Root Secondary Root Cisco Confidential 6

7 Multi-chassis EtherChannel (MCEC) MCEC port-channel két vagy több önálló switch felé Jelentős fejlesztést igényel MAC szinkronizáció Port-channel portok konfigurációjának ellenőrzése STP üzenetek kezelése Failover és split brain szituációk kezelése Hagyományos 10GE Fizikai nézet 10GE Logikai nézet Si Si Si Si Cisco Confidential 7

8 Stacking Egyetlen logikai switch építése egy speciális stack port segítségével Logikai és fizikiai gyűrű architektúra (két 16/32Gb gyűrű) Token ring jellegű működés StackWise (Cat 3k) max 9 switch FlexStack (Cat 2k) max 4 switch Támogatja az MCEC-t, az egypontos menedzsmentet és a StackPowert Cisco Confidential 8

9 Virtual Switching System - VSS Cél: egyetlen virtuális kapcsoló kiépítése Egyszeri konverzió, majd egyetlen konfigurációs felület Közös kontrol plane, A/A data plane Si Si Si Si Kezdetben két önálló switch Egyszeri konverzió (mindkét switchen) VSS(config)# switch virtual domain 100 VSS(config-vs-domain)# switch 1 VSS(config)# interface port-channel 1 VSS(config-if)# switch virtual link 1 VSS# switch convert mode virtual Egyetlen logikai switch: vss# show switch virtual Switch mode: Virtual Switch Virtual switch domain number: 10 Local switch number: 1 Local switch operational role: Virtual Switch Active Peer switch number: 2 Peer switch operational role: Virtual Switch Standby Cisco Confidential 9

10 Spanning Tree Stacking VSS Control Plane Elosztott (root switch) Master + slave-ek Aktív-passzív Data Plane Fastruktúra (Osztott) gyűrű Aktív-aktív Konfigurálás nehézsége Plug&play tuningolható Közepes Közepes Tipikus sávszélesség 10/100/1000 Mbps 100/1000 Mbps 1G/10G Konvergencia Lassú Közepes Gyors Skálázhatóság Nagy Max. 4/9 switch Max. 2 switch HW támogatás Gyakorlatilag minden J Cat 2k, 3k Cat 4k, 6k Egyéb Cisco Confidential 10

11 Virtual Port Channel - vpc Port-channel funkció két önálló switch között Megszünteti az SPT blokkolt portjait és gyors konvergenciát biztosít Két önálló control plane-t futtat Támogatja a két SAN fabricot Lehetőség van többszintű vpc kialakítására Egyszerű design Si L2 Non-vPC Si Si vpc Si Bi-sectional BW with vpc Cisco Confidential 11

12 vpc építőelemek vpc Domain vpc Peer vpc Domain vpc Peerkeepalive link vpc peer-link vpc vpc member port Peer-link Peer-keepalive-link vpc vpc peer vpc member port Orphan port vpc VLAN vpc vpc member port Cisco Confidential 12

13 vpc működés Data plane vs. Control plane hurokkezelés Peer-link tipikusan nem forgalmaz csomagot (control plane) A peer-linken áthaladó csomagokat az egyik oldal megjelöli, a másik oldal pedig eldobja Kivétel: vpc hiba csak az egyik oldalon, orphan ports STP Domain vpc Domain vpc Domain STP Failure M T h e i Cisco Confidential 13

14 vpc Konfiguráció vpc domain definiálása Peer-keepalive beállítása Peer-link konfigurációja vpc-k elkészítése Konfiguráció ellenőrzése Cisco Confidential 14

15 vpc Konfiguráció (2) NX7K-1 & NX7K-2: NX7K-1(config)# feature vpc NX7K-1(config)# feature lacp NX7K-1(config)# vpc domain 20 NX7K-1 : NX7K-1(config-vpc-domain)# peer-keepalive destination source NX7K-2 : NX7K-2(config-vpc-domain)# peer-keepalive destination source NX7K-1 : NX7K-1(config)# int e1/10 NX7K-1(config-if)# channel-group 10 mode active NX7K-1(config-if)# int po10 NX7K-1(config-if)# switchport mode trunk NX7K-1(config-if)# switchport trunk allowed vlan all NX7K-1(config-if)# vpc peer-link NX7K-2 : NX7K-2(config)# int e1/10 NX7K-2(config-if)# channel-group 10 mode active NX7K-2(config-if)# int po10 NX7K-2(config-if)# switchport mode trunk NX7K-2(config-if)# switchport trunk allowed vlan all NX7K-2(config-if)# vpc peer-link NX7K-1 : interface port-channel201 switchport mode trunk switchport trunk native vlan 100 switchport trunk allowed vlan vpc 201 NX7K-2 : interface port-channel201 switchport mode trunk switchport trunk native vlan 100 switchport trunk allowed vlan vpc 201 Cisco Confidential 15

16 vpc Ellenőrzés sh vpc Legend: (*) - local vpc is down, forwarding via vpc peer-link vpc domain id : 100 Peer status : peer adjacency formed ok vpc keep-alive status : peer is alive Configuration consistency status : success Per-vlan consistency status : success Type-2 consistency status : success vpc role : primary Number of vpcs configured : 99 Peer Gateway : Disabled Dual-active excluded VLANs : - Graceful Consistency Check : Enabled Auto-recovery status : Disabled vpc Peer-link status id Port Status Active vlans Po100 up 1,11 vpc status id Port Status Consistency Reason Active vlans Po400 up success success 11 sh vpc consistency-parameters global Legend: Type 1 : vpc will be suspended in case of mismatch Name Type Local Value Peer Value QoS 2 ([], [3], [], [], [], ([], [3], [], [], [], []) []) Network QoS (MTU) 2 (1538, 2240, 0, 0, 0, (1538, 2240, 0, 0, 0, 0) 0) Network Qos (Pause) 2 (F, T, F, F, F, F) (F, T, F, F, F, F) Input Queuing (Bandwidth) 2 (50, 50, 0, 0, 0, 0) (50, 50, 0, 0, 0, 0) Input Queuing (Absolute 2 (F, F, F, F, F, F) (F, F, F, F, F, F) Priority) Output Queuing (Bandwidth) 2 (50, 50, 0, 0, 0, 0) (50, 50, 0, 0, 0, 0) Output Queuing (Absolute 2 (F, F, F, F, F, F) (F, F, F, F, F, F) Priority) STP Mode 1 Rapid-PVST Rapid-PVST STP Disabled 1 VLANs 30 VLANs 3,30 STP MST Region Name 1 "" "" STP MST Region Revision STP MST Region Instance to 1 VLAN Mapping STP Loopguard 1 Disabled Disabled STP Bridge Assurance 1 Enabled Enabled STP Port Type, Edge 1 Normal, Disabled, Cisco Confidential Normal, 16

17 vpc Ellenőrzés 7K_1# sh vpc role <snip> vpc system-mac : 00:23:04:ee:be:14 vpc system-priority : 1024 vpc local system-mac : 00:0d:ec:a4:53:3c vpc local role-priority : K_1 7K_2 7K_2 # sh vpc role <snip> vpc system-mac : 00:23:04:ee:be:14 vpc system-priority : 1024 vpc local system-mac : 00:0d:ec:a4:5f:7c vpc local role-priority : Regular (non vpc) Port Channel 1/4 1/5 dc /1 1/2 5K_2 MCEC (vpc) EtherChannel 5K_2#sh lacp neighbor <snip> LACP port Admin Oper Port Port Port Flags Priority Dev ID Age key Key Number State E1/1 SA ee.be14 9s 0x0 0x801E 0x4104 0x3D E1/2 SA ee.be14 21s 0x0 0x801E 0x104 0x3D Cisco Confidential 17

18 vpc és Layer-3 vpc view Layer 2 topology Layer 3 topology Layer 3 peering S 7k1 7k2 7k vpc 7k1 7k2 Po2 R R could be any router, L3 switch or VSS building a port-channel R Port-channel looks like a single L2 pipe. Hashing will decide which link to choose R Layer 3 will use ECMP for northbound traffic 7k1 7k2 Po1 R Not until NX-OS 7.0 Cisco Confidential 18

19 Enhanced vpc Dual-homed FEX és vpc a hoszt felé Csak Nexus 5500, de bármilyen Nexus 2000 Az Ethernet forgalom egyformán oszlik el a két uplinken Az FCoE forgalom szeparált a két fabricon Csak Ethernet forgalom Ethernet + FCoE forgalom Ethernet + FCoE forgalom Dual-homed Fabric Extenders N5k-1(config)# fex 101 N5k-1(config-fex)# fcoe N5k-1(config-fex)# interface vfc1 N5k-1(config-if)# bind interface eth101/1/1 N5k-2(config)# fex 102 N5k-2(config-fex)# fcoe N5k-2(config-fex)# interface vfc1 N5k-2(config-if)# bind interface eth102/1/1 Mix of Single NIC, Active/Standby and Etherchanneled servers can connect to same FEX Cisco Confidential 19

20 Spanning Tree Stacking VSS vpc Control Plane Elosztott (root switch) Master + slave-ek Aktív-passzív Aktív-aktív Data Plane Fastruktúra (Osztott) gyűrű Aktív-aktív Aktív-aktív Konfigurálás nehézsége Plug&play tuningolható Közepes Közepes Közepes Tipikus sávszélesség 10/100/1000 Mbps 100/1000 Mbps 1G/10G 1G/10G/40G Konvergencia Lassú Közepes Gyors Gyors Skálázhatóság Nagy Max. 4/9 switch Max. 2 switch 2/4 switch + 24 FEX HW támogatás Gyakorlatilag minden J Cat 2k, 3k Cat 4k, 6k Nexus 3k,5k, 6k,7k Egyéb FCoE támogatás Cisco Confidential 20

21 Cél: a vpc előnyeinek megtartásával skálázzuk tovább a rendszert Egyetlen, logikai hálózatot Egyszerű konfiguráció Párhuzamos utak hatékony kezelése VLAN anywhere Cisco Confidential 21

22 Control Plane Routing Table on S100 Switch IF S10 L1 S20 L2 A control plane a háttérben IS-IS-t futtat Az IS-IS feladatai Switch-id-t oszt minden eszköznek a fabricban Kiszámolja a legrövidebb utat bármely két switch között Támogatja az azonos távolságú utakat S30 S40 S200 S300 L3 L4 L1, L2, L3, L4 S10 S20 S30 S40 L1, L2, L3, L4 Így a kapcsolás nem a MAC cím, hanem a switch-id alapján történik S100 L1 L2 L3 L4 S200 S300 Fontos: IS-IS nem reklámoz MAC címet Cisco Confidential 22

23 Data Plane Conversational learning csak akkor tanulom meg a forrás MAC címét, ha a célcímet már ismerem Az Ethernet keretek keretezéssel utaznak a hálózatban S10 S20 S30 S40 Switch ID: Kapcsolás a routing táblája alapján (FP) A è B S100 è S300 S100 S200 S300 S300: routing tábla Switch S100 IF L1, L2, L3, L4 MAC: Switching a MAC tábla alapján A 1/1 1/2 S300: CE MAC cím tábla Classical Ethernet (CE) MAC IF B B 1/2 A S100 Cisco Confidential 23

24 Multidestination Forgalom Root for Tree 1 S10 S20 S30 S40 Root for Tree 2 A multidestination forgalmat fastruktúrák határozzák meg A fabricon belül egy ftag azonosító jelöli ki a fát Lehetőség van több fa kialakítására Jelenleg a szoftver 2 fát támogat topológiánként S100 S200 S300 Minden multidestination fában root switchet választ a protokoll Tipikusan - multi S100 S20 S100 S10 S10 S200 S30 S40 S200 S20 Root Logical Tree 1 (Ftag 1) S300 S40 Root Logical Tree 2 (Ftag 2) S300 S30 Cisco Confidential 24

25 Csomagolás Classical Ethernet Frame 16 bytes DMAC SMAC 802.1Q Etype Payload CRC Original CE Frame Cisco Frame Outer DA (48) Outer SA (48) FP Tag (32) DMAC SMAC 802.1Q Etype Payload CRC (new) 6 bits bits bits 8 bits 16 bits 16 bits 10 bits 6 bits Endnode ID (5:0) U/L I/G Endnode ID (7:6) RSVD OOO/DL Sub Etype Switch ID LID Switch ID 0x8903 Ftag TTL Switch ID Minde switch egyedi azonosítója Ftag (Forwarding tag) Egyedi azonosító topológia vagy multidestination fa meghatározására Cisco Confidential 25

26 Putting It All Together Host A to Host B (1) Broadcast ARP Request Multidestination Trees on Switch 10 Root for Root for Tree 1 S10 S20 S30 Tree 2 S40 Ftag Tree IF 1 po100,po200,po300 2 po100 FFFF.FFFF.FFFF SA 100 Ftag 1 po300 FFFF.FFFF.FFFF po100 po200 Hash Result Multidestination Trees on Switch 100 Tree IF 1 po10 2 po10,po20,po30,po40 SMAC A Payload po10 po20 po30 po20 po30 po40 po40 po10 Hash S100 S200 Multidestination S300 Trees on Switch 300 MAC Table on S100 MAC A IF/SID e1/13 (local) FFFF.FFFF.FFFF SMAC A Payload e1/13 MAC A Ftag Tree IF 1 po10,po20,po30,po40 2 po40 e2/29 MAC B Payload SMAC A FFFF.FFFF.FFFF MAC Table on S300 Learn MACs of directly-connected devices unconditionally Don t learn MACs from unknown flood frames MAC IF/SID Cisco Confidential 26

27 Putting It All Together Host A to Host B (2) Unicast ARP Reply Multidestination Trees on Switch 10 Root for Root for Tree 1 S10 S20 S30 Tree 2 S40 Ftag Tree IF 1 po100,po200,po300 2 po100 po F.FFC1.01C0* SA 300 po100 po200 Ftag 1 Ftag Multidestination Trees on Switch 100 Tree IF 1 po10 2 po10,po20,po30,po40 MAC Table on S100 MAC A B IF/SID e1/13 (local) 300 (remote) Payload SMAC B DMAC A S100 MAC A po10 po20 po30 e1/13 po40 S200 Hash Result Multidestination Trees on Switch 300 Tree IF 1 po10,po20,po30,po40 2 po40 MAC Table on S300 po20 po30 po40 po10 Hash e2/29 MAC B DMAC A SMAC B Payload S300 DMAC A SMAC B Payload If DMAC is known, then learn remote MAC A MAC B MISS IF/SID e2/29 (local) *MC1 DMAC Cisco Confidential 27

28 Putting It All Together Host A to Host B (3) Unicast Data S300 B S300 Routing Table on S100 MAC Table on S100 MAC A B Switch S10 S20 S30 S40 S200 S300 Routing Table on S30 Switch S300 IF po10 po20 po30 po40 po10, po20, po30, po40 po10, po20, po30, po40 IF/SID e1/13 (local) 300 (remote) IF po300 DA 300 SA 100 Ftag 1 DMAC B SMAC A Payload DMAC B SMAC A Payload S100 Hash MAC A S10 S20 S30 S40 po10 po20 po30 e1/13 po40 S200 S300 B Routing Table on S300 Switch S300 po20 po30 po40 po10 MAC Table on S300 MAC A B po300 IF MAC Lookup IF/SID S100 (remote) e2/29 (local) e2/29 MAC B S300 Payload SMAC A DMAC B If DMAC is known, then learn remote MAC Cisco Confidential 28

29 vs. TRILL TRILL IETF szabványos L2 multipathing megoldás (RFC 5556) Nagyon sok mindenben egyezik a -szal A -t támogató Cisco ASIC-ek képesek a TRILL keretek hardveres kezelésére Funkció, képesség TRILL Frame routing (ECMP, TTL, RPF check, etc.) End-to-end multipathing Yes (vpc+) No Active-active FHRP / Anycast HSRP Yes No Multiple topologies Yes No Conversational learning Yes No Yes Inter-switch links Point-to-point only Point-to-point or shared Yes Cisco Confidential 29

30 vpc + Peer link runs as core port HSRP Active HSRP Standby Dual-homing egy hagyományos switch/kliens és két FP eszköz között Aktív-aktív uplink, STP futtatása nélkül A nem FP eszköznek csupán az LACP-t kell támogatnia VPCs configured as normal VLANs must be VLANs SVI S10 S20 S30 S40 S100 SVI S300 Aktív/aktív HSRP MAC A MAC B MAC C Cisco Confidential 30

31 és vpc+ konfiguráció N5k-1(config)# install feature-set fabricpath N5k-1(config)# feature-set fabricpath N5k-1(config)# fabricpath switch-id 100 N5k-1(config)# spanning-tree vlan 100 root primary N5k-1(config)# vlan 100 N5k-1(config-vlan)# mode fabricpath N5k-1(config)# int e1/1 N5k-1(config-if)# switchport mode fabricpath N5k-1(config)# vpc domain 10 N5k-1(config-vpc-domain)# fabricpath switch-id 1001 N5k-1(config)# int po10 N5k-1(config-if)# vpc peer-link N5k-1(config-if)# switchport mode fabricpath S10 S1001 VPC+ virtual switch ID Cisco Confidential 31

32 Konfiguráció ellenőrzés S100# sh fabricpath route Unicast Route Table 'a/b/c' denotes ftag/switch-id/subswitch-id '[x/y]' denotes [admin distance/metric] ftag 0 is local ftag subswitch-id 0 is default subswitch-id Unicast Route Table for Topology-Default 0/100/0, number of next-hops: 0 via ----, [60/0], 0 day/s 04:43:51, local 1/10/0, number of next-hops: 1 via Po10, [115/20], 0 day/s 02:24:02, isis_fabricpath-default 1/20/0, number of next-hops: 1 via Po20, [115/20], 0 day/s 04:43:25, isis_fabricpath-default 1/30/0, number of next-hops: 1 via Po30, [115/20], 0 day/s 04:43:25, isis_fabricpath-default 1/40/0, number of next-hops: 1 via Po40, [115/20], 0 day/s 04:43:25, isis_fabricpath-default 1/200/0, number of next-hops: 4 via Po10, [115/40], 0 day/s 02:24:02, isis_fabricpath-default via Po20, [115/40], 0 day/s 04:43:06, isis_fabricpath-default via Po30, [115/40], 0 day/s 04:43:06, isis_fabricpath-default via Po40, [115/40], 0 day/s 04:43:06, isis_fabricpath-default 1/300/0, number of next-hops: 4 via Po10, [115/40], 0 day/s 02:24:02, isis_fabricpath-default via Po20, [115/40], 0 day/s 04:43:25, isis_fabricpath-default via Po30, [115/40], 0 day/s 04:43:25, isis_fabricpath-default via Po40, [115/40], 0 day/s 04:43:25, isis_fabricpath-default S100# S100 Topology (Ftag), Switch ID Administrative distance, routing metric S10 S20 S30 S40 po10 Route age Client protocol Next-hop interface(s) po20 po30 po40 S200 S300 A B C Cisco Confidential 32

33 Konfiguráció ellenőrzése S100# sh mac address-table dynamic vlan 100 Legend: * - primary entry, G - Gateway MAC, (R) - Routed MAC, O - Overlay MAC age - seconds since last seen,+ - primary entry using vpc Peer-Link, (T) - True, (F) - False VLAN MAC Address Type age Secure NTFY Ports/ SWID.SSID.LID * a dynamic 0 F F Eth2/13 * af1 dynamic 0 F F Eth2/17 * b0.550e dynamic 0 F F Eth2/ c3.dd9d dynamic 0 F F c9f.f001 dynamic 0 F F bf.fb41 dynamic 0 F F cf.ae41 dynamic 660 F F c00.060b.5481 dynamic 0 F F b dynamic 0 F F * a.ba87 dynamic 0 F F Eth2/ dynamic 0 F F dc8 dynamic 0 F F d.9cd4 dynamic 0 F F ded dynamic 0 F F dynamic 0 F F * 100 1c e dynamic 0 F F Eth2/ c dynamic 120 F F c00.0ae dynamic 120 F F * a04 dynamic 0 F F Eth2/18 * b.533e dynamic 0 F F Eth2/17 --More-- S100 S10 S20 S30 S40 po10 po20 po30 po40 Local MAC entry (directly connected to CE edge port) Remote MAC entries (reached through ) S200 S300 A B C Cisco Confidential 33

34 Fabricpath + FCoE S10 S20 S30 S40 FCoE FC Fabric A Fabric MDS 9000 CNA Cisco Confidential 34

35 + Spanning-tree edge ports MUST BE spanning-tree ROOT If you have not configured, than port will be in UP state, but traffic will not go through because all VLANs would be blocked by spanning-tree. CE Spanning-tree CE Domain 1 Spanning-tree Domain 2 Cisco Confidential 35

36 Fabricpath + L3 vpc+ Physical Topology Logical Topology HSRP Active SVI HSRP Standby SVI S10 S20 S30 S40 S10 S20 S30 S40 S1000 S100 po2 po1 S200 S100 po2 po1 S200 MAC Table on S200 Routing Table on S200 HSRP MAC MAC Table on S200 Routing Table on S200 MAC IF/SID SID IF MAC IF/SID SID IF HSRP S1000 (remote) S1000 po1,po2 HSRP S1000 (remote) S1000 po1,po2 Cisco Confidential 36

37 Fabricpath + L3 Anycast HSRP (NX-OS 6.2) Physical Topology Logical Topology HSRP Active HSRP Standby HSRP Listen HSRP Listen SVI SVI SVI SVI S10 S20 S30 S40 S10 S20 S30 S40 S1000 S100 po2 po1 po3 po4 S200 S100 po2 po1 po3 po4 S200 MAC Table on S200 Routing Table on S200 HSRP MAC MAC Table on S200 Routing Table on S200 MAC IF/SID SID IF MAC IF/SID SID IF HSRP S1000 (remote) S1000 po1,po2,po3,po4 HSRP S1000 (remote) S1000 po1,po2,po3,po4 Cisco Confidential 37

38 Spanning Tree Stacking VSS vpc Control Plane Elosztott (root switch) Master + slave-ek Aktív-passzív Aktív-aktív Elosztott (ISIS) Data Plane Fastruktúra (Osztott) gyűrű Aktív-aktív Aktív-aktív Aktív (spine-leaf) Konfigurálás nehézsége Plug&play tuningolható Közepes Közepes Közepes Egyszerű Tipikus sávszélesség 10/100/1000 Mbps 100/1000M bps 1G/10G 1G/10G/40G 10G/40G/100G Konvergencia Lassú Közepes Közepesgyors Gyors Gyors Skálázhatóság Nagy Max. 4/9 switch Max. 2 switch 2/4 switch + 24 FEX 128 switch, 4000 VLAN HW támogatás Gyakorlatilag minden J Cat 2k, 3k Cat 4k, 6k Nexus 3k,5k, 6k,7k Nexus 5k, 6k, 7k Egyéb FCoE támogatás Cisco Confidential 38

39 Célok az adatközponti hálózatokban Megoldási lehetőségek Spanning Tree Stacking VSS vpc Egy kis kitekintés: VXLAN Összegzés Cisco Confidential 39

40 Miért építünk overlay hálózatot? Robosztus Fabric Nagy kapacitás Intelligens kapcsolás Programozhatóság Flexibilis overlay virtuális hálózat Mobil Regisztrálja a VM mozgásokat az edge kapcsolókban Skálázható Az állapot információ egy részét a virtuális edge kapcsolók tárolják Kevesebb adatot tartanak a core eszközök nyilván Multi-tenant hálózati erőforrások megosztása Flexibilitás / programozhatóság A konfigurációs pontok számának csökkentése Cisco Confidential 40

41 Overlay típusok Hálózati Overlay Host Overlay Integrált Overlay Fabric DB V M O S V MOS V M O S V MOS A pp O S A pp O S Physical Physical Virtual Virtual Virtual Physical Routerek/switchek a végpontok Hagyományos VPN-ek OTV, VXLAN, VPLS, LISP Csak virtuális végpontok Egyetlen adminisztrációs domain VXLAN, NVGRE, STT Fizikai és virtuális Jól skálázható és hibatűrő Komplett megoldás Tunnel End-points Cisco Confidential 41

42 Virtual extensible LAN Amire megoldást ad: VLAN skálázhatóság (4k vs 16 millió) VM mozgás L3 hálózat felett Hogyan működik Data plane: MAC in UDP enkapszuláció Control plane: nincs defíniálva (natív IP multicast) VTEP Virtual Tunnel Endpoint Transport IP Network VTEP IP Interface VTEP IP Interface Local LAN Segment Local LAN Segment End System End System End System End System Cisco Confidential 42

43 VTEP Virtual Tunnel Endpoint vswitch VTEP VNI 1000 VLAN 10 VNI (24-bit) VXLAN network I / VXLAN segment ID Switch VTEP vswitch VTEP VLAN 20 VNI 2000 Ethernet Header Payload FCS Outer Ethernet Outer IP Outer UDP VXLAN Inner Ethernet Payload New FCS 8 Bytes Flags Reserved Instance ID Reserved Rsvd 1 Byte 1 Rsvd Outer UDP Destination Port = VXLAN (originally 8472, recently updated to 4789) Outer UDP Source Port = Hash of Inner Frame Headers (optional) Cisco Confidential 43

44 Control plane Unicast forgalom hagyományos IP routing alapján Multi-destination forgalom (broadcast, multicast, unknown unicast) IP multicast segítségével (*) End System End System VTEP 3 IP-3 VTEP-3 (*) Nexus 1000v unicast mode End System A MAC-A IP-A VTEP-1 VTEP 1 IP-1 Mcast Group IP Network VTEP-2 VTEP 2 IP-2 End System B MAC-B IP-B Cisco Confidential 44

45 VXLAN-ból kimenő forgalom VXLAN to VLAN Bridging (L2 Gateway) VXLAN ORANGE Ingress VXLAN packet on Orange segment VXLAN L2 Gateway Egress interface chosen (bridge may.1q tag the packet) VXLAN to VLAN Routing (L3 Gateway) VXLAN ORANGE Ingress VXLAN packet on Orange segment VXLAN Router Egress is a tagged interface. Packet is routed to the new VLAN VXLAN to VXLAN Routing (L3 Gateway) VXLAN ORANGE Ingress VXLAN packet on Orange segment VXLAN Router Destination is in another segment. Packet is routed to the new segment VXLAN BLUE Nexus 7k F3 kártya közepén mindhármat támogatni fogja VMware vshield Edge, Nexus 1110, ASA 1000v, Nexus 9000, Nexus 5600 Cisco Confidential 45

46 VXLAN Versus NVGRE Network Virtualization Generic Routing Encapsulation IP Transport Hasonlóságok Tunnel technológia az access switchek között IP Multicast Broadcast és multicast csomagokra 24 Bit Segment ID Nexus 1000V a Hyper-V-n támogatni fogja az NVGRE-t IETF Draft Különbségek VXLAN: Cisco, VMware, Citrix, Red Hat, Broadcom, Arista NVGRE: Microsoft, Intel, Dell, HP, Broadcom, Arista, Emulex Enkapszuláció VXLAN: UDP 50 bytes NVGRE: GRE 42 bytes Firewall ACL VXLAN UDP port alapon Nehéz a GRE protocol field alapján Forwarding Logic VXLAN: Flooding/Learning NVGRE: Not specified Cisco Confidential 46

47 Thank you.