Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí •...
Transcript of Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí •...
![Page 1: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/1.jpg)
Virtualizácia
v Enterprise sieťach
Martin Hronský
CCIE #20935
![Page 2: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/2.jpg)
o Rozsah prednášky
• Technické znalosti na pochopenie
o Dôvody virtualizácie
• Definícia virtualizácie
o Sieť ako kritická platforma
o Typy technológií umožňujúce virtualizáciu:
• vlan segm + IP ACL
• Multi VRF CE
• EVN
• MPLS (L2, L3)
o Migrácia pri komplexných sieťach
Obsah
![Page 3: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/3.jpg)
o Áno – virtualizácia LAN, MAN(Campus), WAN
• externá forma virtualizácie
o Nie – cloud/DC (CSR, Nexus & etc…)
• interná forma virtualizácie, security (FW)
Technické znalosti na pochopenie
o Úroveň CCNA
o znalosť MPLS VPN - L2 & L3
o Predstava o “business critical” aplikáciách vo vlastnej/zákazníckej
sieti
Rozsah prednášky
![Page 4: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/4.jpg)
o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security Standard (PCI DSS) • ISO/IEC 27001 Systém manažérstva informačnej bezpečnosti • VDI • WiFi • technologické siete • inteligentné budovy • Služby cloudu <> užívateľ
o Virtualizácia = použitie technológií na logické oddelenie jednotlivých
typov prevádzky
Dôvody virtualizácie
![Page 5: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/5.jpg)
o Sieť = jeden zo základov IT infraštruktúry
o Výpadok ktorej služby (aplikácie) by spôsobil vážny problém pre business ? Na ako dlho ?
o Výpadok siete === výpadok VŠETKÝCH aplikácií
o Konvergencia = čím rýchlejšia, tým menej problémov s app (a štastnejší admini :)
S využitím virtualizácie sa nesmie výrazne meniť
o Prínos virtualizácie - nové služby, bezpečnosť, finančný, “obchodný”
Sieť ako kritická platforma
![Page 6: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/6.jpg)
o VLAN segmentácia + IP ACL
o Multi VRF CE
o EVN
o MPLS VPN (L2, L3)
Typy technológií umožňujúcich virtualizáciu
![Page 7: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/7.jpg)
VLAN segmentácia + IP ACL
![Page 8: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/8.jpg)
Campus
![Page 9: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/9.jpg)
Campus w/ACL inbound
![Page 10: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/10.jpg)
Campus w/ACL inbound & outbound
![Page 11: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/11.jpg)
Multi VRF CE
![Page 12: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/12.jpg)
o + jednoduchá technológia o + nenáročné na pochopenie o + prestup na FW o + ladenie cesty IGP metrikou
• + symetrická cesta o + rýchla konvergencia (IGP based) o + GRE pre Core transport
o - Nutnosť vytvárať sub-if or SVI pre každú vrf a linku • - slabá škálovateľnosť
o - viac routing procesov o - náročná správa
o Vhodná pre:
• Access/distrib vrstva (staršie prvky) • Menšie siete (počet „zákazníkov“)
Multi VRF CE
![Page 13: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/13.jpg)
o IP based on VRF-lite
o Key words: • vnet trunk | vnet tag
• route replication
• routing context
EVN = Easy Virtual Network
![Page 14: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/14.jpg)
o VRF definition
EVN – Configuration
vrf definition HRUSKA vnet tag 101 address-family ipv4
o Edge interface – no changes
![Page 15: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/15.jpg)
o Core interface – Multi VRF vs EVN
EVN – Configuration
Multi VRF
interface TenGigabitEthernet1/1 ip address 10.1.1.1 255.255.255.252 Interface TenGigabitEthernet1/1.101 encapsulation dot1Q 101 ip vrf forwarding HRUSKA ip address 10.1.1.1 255.255.255.252 Interface TenGigabitEthernet1/1.102 encapsulation dot1Q 102 ip vrf forwarding SLIVKA ip address 10.1.1.1 255.255.255.252
EVN
interface TenGigabitEthernet1/1 ip address 10.1.1.1 255.255.255.252 vnet trunk
![Page 16: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/16.jpg)
EVN – Route replication
o No BGP needed
o Need to redistribute routes to IGP after replication
vrf definition HRUSKA address-family ipv4 route-replicate from vrf JABLKO all route-map jablko-prefix-map route-replicate from vrf SLIVKA all route-map slivka-prefix-map
![Page 17: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/17.jpg)
EVN – Routing context
o Easier troubleshooting within VRF
Router# routing-context vrf HRUSKA Router%HRUSKA# Router%HRUSKA# show ip route # routing table output for VRF HRUSKA Router%HRUSKA# ping 192.168.100.1 # Ping result using VRF HRUSKA Router%HRUSKA# telnet 192.168.100.1 # Telnet to 192.168.100.1 in VRF HRUSKA Router%HRUSKA# traceroute 192.168.100.1 # Traceroute output in VRF HRUSKA
![Page 18: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/18.jpg)
EVN – Restrictions
o EVN trunk - 802.1q encapsulation o Max 32 virtual networks o NO VRF-lite on EVN trunk
o NOT supported
• OSPFv3, ISIS, RIP • BGP route replication
o NOT supported on EVN trunk
• ACL • BGP • IPv6 • NAT • NetFlow
![Page 19: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/19.jpg)
EVN – Supported platforms
Platform EVN
Catalyst 6500/Sup2T YES
Catalyst 4500/Sup6&7 YES
Catalyst 3k-X series CY2013
ASR1000 YES
![Page 20: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/20.jpg)
EVN – Zhrnutie
o IP alternatíva k MPLS (L3VPN) o MC routing support (SM & SSM mode) in mVPN o Route replication o Routing context
o Prestupy medzi rozličnými zákazníkmi: o Pomocou route leaking o Pomocou externého zariadenia (router, FW) o Závislé od požiadaviek (výkon, doba konvergencie)
![Page 21: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/21.jpg)
o + všetko z VRF-lite & o + zjednodušenie správy pre p2p linky
o + route leaking (mimo FW)
o - podpora len na novších platformách
o - viac routing procesov
o Vhodná pre:
• Access/distrib vrstva, kde nie je podpora MPLS • napr. menší Campus
EVN
![Page 22: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/22.jpg)
MPLS VPN
![Page 23: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/23.jpg)
MPLS VPN
![Page 24: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/24.jpg)
o + všeobecne známa technológia o + veľmi dobrá škálovateľnosť o + prestup na FW o + jeden routing proces o + jednoduchá správa o + podpora L2VPN o - ladenie cesty pomocou BGP PA
• - problém s asymetrickou cestou o - nutnosť ladiť konvergenciu RP
o Vhodná pre:
• Distrib/core vrstva • Veľké siete vr. WAN • takmer neobmedzený počet „zákazníkov“
MPLS VPN
![Page 25: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/25.jpg)
o Impact window = Migrácia + ďalšie „drobné“ zmeny o Typy prístupov :
• postupný • big bang
• Závislé na aplikáciách a SLA
o Na čo si dávať pozor • Základ = Príprava NMP a LLD, tím(obe strany): • Technicky:
• Login issue • HW failure • bug <> new feature
• Organizačne: • Small migration window • Unsynchronized team (customer, partner) • 3rd party issue • SLA measurement
Migrácia pri komplexných sieťach
![Page 26: Virtualizácia · o Príklady: • guest siete • pripájanie akvizovaných podnikov/častí • spracovanie osobných údajov • firemná bezpečnostná politika • PCI Data Security](https://reader033.fdocuments.net/reader033/viewer/2022060910/60a5399079c2a53f865b7df5/html5/thumbnails/26.jpg)
Komplexné siete vyžadujú mix technológií umožňujúcich virtualizáciu
S komplexnosťou sietí rastie náročnosť riešenia a riziko výpadku pri migrácii
Migrácia = dokonalá súhra tímov partnera a zákazníka už od prípravnej fázy!
Takeaway