114 ciscoconnect powersession netzwerk virtualisierung ... · router bgp 65100 address-family ipv4...

Netzwerk Virtualisierung

Sascha Ulfig

Netzwerktrennung im LAN und WAN

Consulting Systems Engineer

20. November 2014

2 © 2014 Cisco and/or its affiliates. All rights reserved. Cisco Connect | Berlin 20.–21. November 2014

Warum Netzwerk Virtualisierung ? Logische Partitionierung zur Trennung Ihrer Netze

Ziele •  Datentrennung pro Applikation oder Gruppe •  Zonen mit unterschiedlichen Security Policies •  Minimierung der Betriebskosten durch

Verwendung derselben Infrastruktur

Anwendungsfälle •  Gäste Netz •  Management Netz •  Outsourcing •  Trennung Produktion / Office •  Zentrale Firewall / IDS •  Shared Campus •  …


VRF VRF

Global

Lösungsbestandteile für Netzwerk Virtualisierung

(1)  Virtualisierung des Routings auf den Systemen

IP

802.1q

(2) Virtualisierung des Datenpfades

Hop-by-Hop

Multi-Hop

Virtual Routing & Forwarding Table (VRF)

Interface / VLAN Interface / VLAN


Option 1 - VRF-Lite Ende-zu-Ende §  Layer-2 Access VLANs werden

eindeutigen VRFs zugeordnet

§  Anlegen von VRFs (= separate Routing Tabelle) auf allen Routern und Layer-3 Switches

§  Verwendung eindeutiger Layer-3 Transit Links für jedes VRF (Sub-Interfaces und VLAN Tagging)

VLAN 10 VLAN 20

VLAN 11 VLAN 21

VLAN 12 VLAN 22

VLAN 13 VLAN 23

VLAN 15 VLAN 25

VLAN 16 VLAN 26

VLAN 14 VLAN 24

IGPs Pro

•  Unterstützte Plattformen (Catalyst, Nexus, IOS Router, non Cisco)

•  Verwendung bekannter Protokolle

•  Bestandteil der Standard L3 Lizenzen/Feature Sets

Contra •  Skalierung •  Hoher administrativer

Aufwand •  Core erfordert VRF

Konfigurationen


Option 2 - Easy Virtual Networking (EVN) VRF-lite Ende-zu-Ende “in einfach” mit VNET trunks

Virtual Networks Neighbors VRF

Subinterfaces VRF

Trunks

4 4 16 4

10 4 40 4

20 4 80 4

30 4 120 4

VRF-Lite Subinterfaces VNET Trunks interface TenGigabitEthernet1/1.101! description 10GE to core 3! encapsulation dot1Q 101! ip vrf forwarding red! ip address 10.122.5.1 255.255.255.252! ip pim query-interval 1! ip pim sparse-mode!!interface TenGigabitEthernet1/1.102! description 10GE to core 3! encapsulation dot1Q 102! ip vrf forwarding green ip address 10.122.5.1 255.255.255.252! ip pim query-interval 1! ip pim sparse-mode!

vrf definition red vnet tag 101 vrf definition green vnet tag 102 ! interface TenGigabitEthernet1/1! description 10GE to core 3! vnet trunk! ip address 10.122.5.1 255.255.255.252! ip pim query-interval 1! ip pim sparse-mode!

1 Punkt-zu-Punkt Konfiguration pro logischem Interface (VRF Subinterface)

1 Punkt-zu-Punkt Konfiguration pro physischem Interface

Pro •  Verwendung bekannter

Protokolle •  Bestandteil der Standard

L3 Lizenzen/Feature Sets •  Einfache Konfiguration

Contra •  Unterstützte Plattformen

(Modulare Catalyst, IOS Router)

•  Core erfordert VRF Konfigurationen

•  Kein IPv6 Support


Option 3 - MPLS Layer-3 VPN §  Paket Forwarding basierend auf MPLS Label Switching

§  Label Stacking ermöglicht VPNs (virtuelle Netze)

§  CE (Customer Edge) normales Layer-3 Routing (kein MPLS Tagging)

§  PE (Provider Edge) assoziiert CE mit einem VRF und fügt zwei MPLS Labels an –  Äußeres Label à Pfad zum anderen PEs (LDP) –  Inneres Label à VRF/VPN Zugehörigkeit (MP-BGP)

§  P (Provider) MPLS Label Switching zwischen PEs aufgrund des Äußeren Labels (keine VRF bzw. CE Mandanten Routen)

Site 1 Site 2

PE1 PE2

CE2 CE1

10.1.1.1

10.1.1.1

100 50

10.1.1.1

10.1.1.1 100

10.1.1.1

100 25

IP Packet IP Packet

P4

P1 P2

P3

Site 2

Pro •  Unterstützte Plattformen

(Catalyst 6k, Nexus 7k, IOS Router, non Cisco)

•  Sehr hohe Skalierung •  Core (P) Router ohne VRF

Konfiguration

Contra •  zusätzliche Protokolle

(LDP, MP-BGP, …) •  Höherwertige IOS

Lizenzen bzw. Feature Sets benötigt

100

VPN Routes & VPN Labels

MP-BGP

MPLS / LDP


Option 3 – Ist MPLS Layer-3 VPN wirklich so komplex ? Anlegen eines neuen virtuellen Netzes am Beispiel für IPv4 Unicast

§  Voraussetzung: LDP und MP-BGP Konfiguration im Core !

§ Das Anlegen neuer VPNs benötigt nur wenige Änderungen auf dem/den PE(s)

vrf definition VPN-A rd 10:0 ! address-family ipv4 route-target export 10:0 route-target import 10:0 exit-address-family ! interface Vlan10 description VPN-A VLAN10 DC vrf forwarding VPN-A ip address 10.43.10.33 255.255.255.240 ! router bgp 65100 address-family ipv4 vrf VPN-A redistribute connected redistribute … exit-address-family

Assoziierung eines Netzes mit einem VRF

Anlegen eines neuen VRFs

Import der VRF Routen ins MP-BGP

Rot:

MPLS VPN spezifische Configs

Schwarz:

Mit VRF-Lite gemeinsame Configs


interface Virtual-Ethernet1 transport vpls mesh neighbor 10.100.2.2 pw-class Core neighbor 10.100.3.3 pw-class Core pseudowire-class Core encapsulation mpls

switchport switchport mode trunk switchport trunk allowed vlan 610-619

MPLS ermöglicht Layer-2 VPN Advanced VPLS auf einem Catalyst 6500/6800 SUP2T

§  MPLS unterstützt Layer-2 VPNs für LAN oder WAN über-spannende IP Netze

§  Option 1: Punkt-2-Punkt PseudoWire (EoMPLS)

§  Option 2: Full-Mesh (VPLS)

8

VPLS Neigbors (PE Routers)

List of VLANs to be extended

Virtual-Ethernet Interface (A-VPLS)

SiSi SiSi

SiSi

SiSi

SiSi

SiSi


Zusammenfassung & Technologie Vergleich

9

VRF-‐lite EVN MPLS Network Scale / Posi1oning Low Medium Large VN Scale Limit 8* 32 4K Opera1onal Complexity Medium Low High

Transport / Infrastructure IP IP MPLS or GRE

Troubleshoo1ng Medium Low High Provisioning Hop-‐by-‐Hop Hop-‐by-‐Hop LDP & mBGP L2VPN Extension No No Yes

WAN Extension GRE, LISP, DMVPN

GRE, LISP, DMVPN

MPLS, MPLSoGRE, 2547oMPLS, L3VPNoMGRE

Underlying Infrastructure IP IP MPLS

Mul1cast Na1ve Na1ve mVPN or GRE

QoS COS/DSCP COS/DSCP EXP Standards Based Yes Yes Yes MTU Considera1ons No No Yes End-‐to-‐End Yes No No


Muninder Sambi – Director Product Management Anupam Upadhyaya – Manager Product Management

Himanshu Mehra – PM Engineering, Catalyst Plattform

Jens Demmer – Manager Product Management Jo Kern – Manager Product Management

Peter Provart – Business Dev. Manager, EBG EMEAR

Matthias Falkner – Distinguished Engineer Carlo Terminiello – CSE, EBG EMEAR

James Weathersby – Manager Technical Marketing

Alan Cottom – Technical Marketing Engineer

Enterprise Networking Raum: PS OG 1

Security Raum: PS EG 3

13:00

APIC-EM – SDN im Enterprise Markus Harbeck

Consulting Systems Engineer Cisco

AMP everywhere - warum es darauf ankommt Volker Marschner


13:30

SDN – Paradigmenwechsel für Netzwerke und Datacenter Steffen Winkler

Solution Manager Netzwerkumfeld Computacenter AG & Co oHG

Einführung in Cloud Managed Networking Christian Goldberg

Cloud Networking Systems Engineer Cisco

14:00

Instant Access - Netzwerk geht auch einfach Sascha Ulfig


Internet of Things... Let's Not Forget Security Please! Eric Vyncke

Distinguished Systems Engineer Cisco

14:30

Netzwerk Virtualisierung - Netzwerktrennung im LAN und WAN Sascha Ulfig


Akamai Connect Lorenz Jakober

Sr. Product Marketing Manager Akamai

15:00

Cisco Threat Centric Security Solutions Holger Unterbrink


DPDHL Branch of the Future Concept Zvezdan Schoppmann

Head of Technology Innovation Management DPDHL

15:30

Prime Infrastructure Lothar Müller

Berater & Service Ingenieur EnBW Netze GmbH

Skyconnect, eine globale WAN Plattform „moving to iWAN“ Markus Vögele

Senior Systems & Design Engineer Lufthansa Systems AG

Thank you.

114 ciscoconnect powersession netzwerk virtualisierung ... · router bgp 65100 address-family ipv4...

Documents