© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Виртуализация сетевых функций в корпоративных сетях
• Евгений Петякшев, старший системный инженер• 3xCCIE: Security, DC, SP• [email protected]
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
План
• Постановка задачи
• Виртуализация сетевых функций в корпоративных сетях
• Платформа для филиалов Cisco ENSC5000 и система управления NFVIS
• Серверы Cisco UCS-E
• Сервисные контейнеры в IOS
ПЛАН
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Виртуализация в распределенных сетяхБаланс между стоимостью, эффективностью и пользовательскими сервисами
• Отсутствие серверов
• Полная зависимость от WAN
• Простота, низкая стоимость
• Отсутствуют гарантии сервиса
Филиал без серверов
ЦОД/
Облако
WAN/Интернет
Филиал
Lean подход
ЦОД/
Облако
WAN/Интернет
Филиал
• 2-3 локально установленных сервера
• Зависимость от WAN, кроме критичных приложений
• Локально установленные серверы
• WAN не важен
• Сложно, дорого
• Гарантия сервисов
Филиал с серверами
ЦОД/
Облако
WAN/Интернет
Филиал
4
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Виртуализация филиала, NVF
5
Физические устройства
Длительное внедрение
Может быть дорого
Недоутилизация
Отсутствует гибкость
Виртуализованные функции
Гибкость
Эффективное использование ресурсов
Сокращение OPEX
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Цели виртуализации сетевых функций
6
Уменьшение количества сетевых
устройств, которые надо внедрять и
которыми надо управлять
Сокращение OPEX, повышение
утилизации
Гибкость &
Автоматизация Сетевых Операций
Возможность быстрее внедрять
новшества
Корпоративные заказчики
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Варианты виртуализации сетевых функций
7
Интегрированные сервисы
• ISR4K + IOX / Контейнеры (KVM/LXC)
• ISR Сервисы + Open NFV
Интегрированные сервисы + сервер
• ISR4K + UCS C/E сервер(ы)
• Сервисы ISR + NFV Функции
• Различные ‘домены’ администрирования
Полная виртуализация
• Обычный X86 сервер
• Полная виртуализация сервисов
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
“Мы часто используем ВКС и 1С-Бухгалтерию внутри нашей компании. Случается что пользователи звонят в поддержку по поводу качества данных сервисов. Очень сложно предположить где проблема: со стороны клиента, со стороны сервиса, со стороны оператора связи,… Нам нужен механизм, инструмент, который бы позволил быстро выявлять причину.”
Какого инструмента не хватает ?
8
MPLSФилиал
3G/4G-LTE
Интернет
ЧастнойОблако
ЧастноеОблако
ПубличноеОблако
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Виртуализация сетевых функций в корпоративных сетях
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco Enterprise NFV
10
Оркестрация и
централизация управления
SDN: APIC-EM | ESA VNF | App Hosting |
3rd Party
Множество сетевых
сервисов
NFV Virtualization
Software (NFVIS)ISR 4K | UCS
‘Софтовые’ принципы Свобода выбора
платформы
Снижение OPEX/CAPEX на филиалах
Гибкость: быстро, простоПринципы и компоненты
Шаблоны, тиражирование,
автоматизация
Сервисные цепочки
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco 4000 Series ISR + UCS® E-Series
Cisco® UCS C-Series
Network Functions Virtualization Infrastructure Software (NFVIS)
Cisco Enterprise Service Automation (ESA) на APIC-EM
Cisco Enterprise NFV
11
Virtual Router
(ISRv)
Virtual Firewall
(ASAv)
Virtual WAN
Optimization
(vWAAS)
Virtual Wireless
LAN Controller
(vWLC)
Third-Party VNFs
ENCS 5000 Series
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
ENCS 5000
12
ENCS541212-Ядра
ENCS51044-Ядра
ENCS54088-Ядра
ENCS54066-Ядра
• ISRv + 3 ядра
• LAN Порты
• NIM LTE, DSL, T1
• HDD, SSD
• RAID, HW Crypto
• ISRv + 9 ядер
• PoE
• ISRv + 5 ядер
• PoE
• ISRv + 2 ядра
Новый
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
ENCS 5400
13
6, 8, or 12-Ядер
Intel Xeon-D
16 - 64 GB
DRAM
8 LAN Портов,
опциональное POE
NIM модуль для LTE &
старых WAN каналов
Выделенный
контроллер управления
2 HDD или SSD
RAID 0 & 1
Внутренний диск
USB 3.0
2 Gigabit Ethernet
порта
С SFP
Опциональный
аппаратный RAID
контроллер
Встроенный
БП
Аппаратное ускорение
трафика виртуальных
машин
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
ENCS 5100
14
4-Ядра CPU
ISRv + 1 VNF 16 & 32 GB
DRAM
Внутренний
диск
64 – 400 GB
2 x USB 3.0 4 GE порта
с 2 SFPsВстроенный
БП
Размер: 1 RU
13” x 10”
Console
& MGMT
Встроенное
4G LTE
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Для VNF с целью
производительности:
1 ядро = 1 vCPU = 1 физическое
ядро
• 1-ядро для NFVIS: Гипервизор &
vSwitch функции
• 2-ядра минимально для ISRv
• Несколько VNF профилей в
зависимости от производительности
• Cisco VNF будут ‘прикреплены’ к
ядрам для производительности.
ENCS 5400 Распределение ядер
15
12-ядер CPU (ENCS 5412)(Hyper-threading)
1 3 52 4 6 7 9 118 10 12
NF
VIS
ISR
v
AS
Av
vW
AA
S
Lin
ux V
M
Win
dow
s V
M
Core
s
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
NFVIS Архитектура
16
LinuxДрайверы
платформы
Драйверы
интерфейсов
NFVIS
Уровень Виртуализации – Гипервизор & vSwitch
API
ОркестрацииHTTPS
Plug-n-Play
Клиент
Plug-n-Play
СерверКонсоль
/SSHYANG
APIC-
EM/Prime
CLI NETCONF REST
Health Monitor
Device Web
Portal
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKARC-2014
NFVISВОЗМОЖНОСТИ
Виртуализация
17
API
Interface
Platform Management KVM
Virtualized Service
Virtualized Service
Virtualized Service
vSwitch
Linux
PnP
Client br2 br1
Int-1 Int-2 Int-3
• Основа - Kernel Virtual Machine (KVM)
• Виртуальная коммутация – связность между виртуальными сетевыми функциями и физическими интерфейсами -> Service Chaining
© 2016 Cisco and/or its ffiliates. All rights reserved. Cisco Public
Виртуализация сетевых функций: ПО Инфраструктуры
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco PublicBRKARC-2014
NFVISВОЗМОЖНОСТИ
REST (HTTPS) и NETCONF (SSH)
18
API
Interface
Platform Management KVM
Virtualized Service
Virtualized Service
Virtualized Service
vSwitch
Linux
PnP
Client br2 br1
Int-1 Int-2 Int-3
• Регистрация и разворачивание сервисов
• Настройка
• Мониторинг и статистика
Управление
• Контроль аппаратных средства: хранение, память, сетевые интерфейсы
• Контроль производительности, например SR-IOV
VF
PF = Physical Function
VF = Virtual Function
VF
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Public
Виртуализация сетевых функций: ПО Инфраструктуры
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
• Zero-touch deployment
• Оркестрация функций NFV
• Лицензирование и Service Chaining
• Мониторинг
• Динамические масштабирование сервисов
• Управление SLA
• Стандартные профили филиалов
• Cisco® протестированные и валидированные дизайны
• Процесс контроля версий с подтверждениями
Оркестрация, Управление, ПолитикиCisco Enterprise Service Automation (ESA и DNA-C)
19
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Дизайн WAN сети филиала
20
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Виртуализованные сетевые функции, сервисы
21
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Серверы Cisco UCS-E
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Традиционно
• Неэффективность по отношению к ресурсам
• Высокая производительность
LXC
• Только Linux
• Хорошая производительность, посредственная безопасность
Docker
• Бурный рост, интерес индустрии
• Лучше безопасность
KVM
• Любая OS
• Полное разграничение ресурсов
• Linux – ОС на хосте–Гипервизор тип 2
Гипервизоры тип 1
• VMWare, HyperV, Zen…
Варианты размещения приложений на Cisco UCS-E
23
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
Cisco UCS E-Series серверы
Cisco® UCS E160D
SM 2x ширины
VMware, Hyper-V,
Citrix сертифицированы
Intel E5 6 ядер
96GB DRAM
Cisco UCS E180D/1120D
SM 2x ширины
VMware, Hyper-V,
Citrix сертифицированы
Intel E5 8 ядер
96GB DRAM
Cisco UCS® E140S
Service module (SM)
VMware, Hyper-V,
Citrix сертифицированы
Intel E3 4 ядра
16GB DRAM
Производительность
Ма
сш
таб
ировани
е Cisco UCS® E160S
SM
VMware, Hyper-V,
Citrix сертифицированы
Intel Broadwell 6 ядер
32GB DRAM
USB 3.0 & 10Gb
Интерфейсы
Intel Broadwell
Intel Ivy Bridge
Intel Ivy Bridge
Intel Broadwell
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco UCS E-Series Network Compute EngineОЧЕНЬ компактный сервер для ISR 4000 -Cisco UCS EN140N M2
25
До 8 GB RAM
Intel® Atom
4 ядра
Одна 2GB SD карта
для CIMC
50, 100, 200 GB mSATA
SSD
Выделенный
порт управления
Один внешний
Gigabit Ethernet порт/
2 внцтренних
Ethernet порта
KVM консоль
USB 2.0
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco UCS E-Series серверы, модель поддержки
26
Аппаратные ресурсы поддерживаются Cisco
Cisco UCS® E-Series серверы поддерживаются по смартнеру на сам ISR без дополнительных
стоимостей
Гипервизор и ОС поддерживается вендором ОС/Гипервизора
ISR
Cisco® UCS E SM
Гипервизор
Поддержка по Cisco SMARTnet
Прикреплено кISR 4K
Поддержка производителем ОС/Гипервизора
Опция Cisco гипервизор (NFVIS)
Приобретается отдельно или от Cisco (NFVIS)
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
KVM внутри IOS-XE Маршрутизаторов
ISR 4K, ASR1K, CSR1Kv
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Linux ОС
KVM/LXC
28
IOS-XE Архитектура
IOSd
Control Plane
Приложения Cisco (WAAS,
Snort)Приложения пользователя
Data Plane платформы
Virtual Ethernet
ERSPAN NSH AppNav
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что можно делать на платформах Cisco ?
29
Поддержка установки RPM (Package Manager) непосредственно на устройство.
IOS XR
Поддержка 3rd party LXC контейнеров. Поддерка Docker контейнеров в будущем
Nexus OS
Любое KVM приложение на платформах маршрутизации. Планы поддержки Docker.
Гибкость при использовании UCS-E модуля.
IOS XE
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Приложения, Системы Управления, Контроллеры, ...
Device
Forwarding
Control
Network Services
Orchestration
Management
…
…
OpenFlow
OpenFlow
Cisco ОС: IOS-XE / NX-OS / IOS-XR
API (OnePK) и модель данных (YANG)
OpenStack PuppetOnePK
C/Java
Puppet
Neutron
Protocols
“Protocols”BGP, PCEP,...
Python NETCONF REST ACI Fabric
OpFlex
onePK Plug-Ins
RESTful
YANG JSONXML
Что можно делать на платформах Cisco ?
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что можно делать на платформах Cisco ?)ietf-interfaces структура (RFC7223)
+--rw interfaces
| +--rw interface* [name]
| +--rw name string
| +--rw description? string
| +--rw type identityref
| +--rw enabled? boolean
| +--rw link-up-down-trap-enable? enumeration
+--ro interfaces-state
+--ro interface* [name]
+--ro name string
+--ro type identityref
+--ro admin-status enumeration
+--ro oper-status enumeration
+--ro last-change? yang:date-and-time
+--ro if-index int32
+--ro phys-address? yang:phys-address
+--ro higher-layer-if* interface-state-ref
+--ro lower-layer-if* interface-state-ref
+--ro speed? yang:gauge64
+--ro statistics
+--ro discontinuity-time yang:date-and-time
+--ro in-octets? yang:counter64
+--ro in-unicast-pkts? yang:counter64
+--ro in-broadcast-pkts? yang:counter64
+--ro in-multicast-pkts? yang:counter64
+--ro in-discards? yang:counter32
...
ietf-interfaces.yang – YANG пример модуля
container interfaces {
description "Interface configuration parameters.";
list interface { key "name“;
leaf name { type string; }
leaf description { type string; }
leaf type {
type identityref {
base interface-type;
}
mandatory true;
}
leaf enabled {
type boolean;
default "true";
}
leaf link-up-down-trap-enable {
if-feature if-mib;
type enumeration {
enum enabled { value 1; }
enum disabled { value 2; }
}
}
}
}
container interfaces-state {
config false;
description
"Data nodes for the operational state of interfaces.";
list interface { key "name";
...
get – пример данных YANG в формате XML
<?xml version="1.0" encoding="UTF-8"?>
<rpc-reply message-id=“9“
xmlns="urn:ietf:params:xml:ns:netconf:base:1.0“>
<data>
<interfaces
xmlns="urn:ietf:params:xml:ns:yang:ietf-interfaces“>
<interface>
<name>eth0</name>
<type>ianaift:ethernetCsmacd</type>
<enabled>false</enabled>
</interface>
</interfaces>
<interfaces-state
xmlns="urn:ietf:params:xml:ns:yang:ietf-interfaces“>
<interface>
<name>eth0</name>
<type>ianaift:ethernetCsmacd</type>
<admin-status>down</admin-status>
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Cisco ISR 4400 Архитектура
32
Control Plane (1
ядро) и Services
Plane (3 ядра)
Data Plane
(6 или 10 ядер)
Мультигигабитная
фабрика
FPGE
ISC
SM-X
NIMService Plane
(control plane CPU)
KVM - Гипервизор
Сервисные
контейнеры
Сервисные
контейнеры:
75% CPU
IOS-XE
25% CPU
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что это ?
Open source IPS система для анализа трафика в реальном времени
Интегрировано в качестве контейнера в IOS-XE
IPS/IDS функциональность
33
Контейнер для ISR 4000
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Производитеьлность SNORT IPS/IDS
34
ISR 4321Up to 50 Mbps
ISR 433160 – 140 Mbps
ISR 4351 75 – 170 Mbps
ISR 4451 115 – 270 Mbps
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Примеры использования KVM
35
Виртуальная машина с open-source утилитами, такими как Wireshark, Speedtest, ...
VM для поиска и устранения
неисправностей
Часто используемые сетевые сервисы: Принт Сервер, Контроллер Домена, Файловое
Хранилище, ...
Сетевые Сервисы
Сетевая Аналитика и Мониторинг Производительности приложений
Аналитика
Например: (произвольное шифрование, специфичные API сервисы, ВМ для скриптов,
связанных с событиями на маршрутизаторе: SNMP, Logs,…
Кастомизация устройства
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что необходимо добавить в ISR4K ?
36
• Сервисные контейнеры на текущий момент требуют дополнительной DRAM к
установленным 4Gb
• Дополнительная пямять за пределами 4GB будет доступна KVM приложениям
• Пример: 8GB DRAM будет иметь 4GB для сервисных контейнеров
• Пример: 16GB DRAM будет иметь 12GB для сервисных контейнеров
Память
• Места по умолчанию нет. И контейнеры не имеют доступ к bootflash.
• Опции включают MSATA SSD на 4300, NIM-SSD или NIM-HD на всех ISR4K.
Хранение
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
ISR4K Объем ‘сервисных ядер’
37
Платфрма ЯдраСкорость
(GHz)
Мин. доп.
память
Мин. Доп.
SSDМин.Доп. HDD
ISR4451 3 2 4GB 200GB 1TB
ISR4431 3 1 4GB 200GB 1TB
ISR4351 3 2.4 4GB 50GB 1TB
ISR4331 3 2.0 4GB 50GB 1TB
ISR4321 1 2.4 4GB 50GB 1TB
UCS-E NIM 4 1.6 N/A N/A N/A
UCS-E EHWIC 2 1.6 N/A N/A N/A
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Команды установки/мониторинга контейнеров
38
ISR4K# virtual-service install name testapp package bootflash:testapp.ova
ISR4K# show virtual-service list
ISR4K# show virtual-service detail name testapp
ISR4K# virtual-service connect name testapp aux|console
Установить OVA на диск
Показать статус установки
Подключится к serial порту контейнера
(если поддерживается)
FYI
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Настройка и активация контейнера
39
virtual-service
signing level unsigned
!
interface virtualportgroup 1
ip address 10.0.0.1 255.255.255.0
!
virtual-service testapp
vnic gateway virtualportgroup 1
guest ip address 10.0.0.2
activate
Новая структура на глобальном уровне
Отключение подписи
До 32 интерфейсов для OVS
Настройка инстанса контейнера
Один или несколько интерфейсов приложению
Опциональная настройка гостевого IP
Активация
For YourReference
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Модель поддержки Open Source контейнеров
40
Linux ОС
KVM/LXC
IOSd
Control Plane
WAASСторонние
приложения
Data Plane платформы
Virtual Ethernet
Поддержка Cisco:
Обращение в TAC.
Поддержка коммьюнити:
TAC направит в нужную сторону.
Cisco Devnet дает:
• Поддержка комьюнити для разработчиков
• Документация
• Инструменты разработчика
• Доступ к Cisco инженерам
• Шаблоны/примеры Open-Source VM
• Шарим Open Source проекты
• Примеры от инженеров Cisco
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Предсказываем будущее (*):
41
• RAM Диски – разрешения приложениям с низким требованием к месту,
хранить свои данные на bootflash
• Default DRAM – Поддержка памяти в пределах 4GB.
• VM Настройка – Пользователь может переписать спецификации VM из
YAML файла (CPU, DRAM, NICS, ...) используя консольные команды.
• Docker – Поддержка Docker контейнеров в дополнении к KVM.
• NSO Оркестрация –Интеграция с Elastic Service Controller (ESC) и NSO
как для других продуктов NVF Cisco.
• Layer 2 перенаправление/цепочки – из data plane интерфейсов а так же
из L2 VLAN коммутации между сервисными контейнерами.
(*) планы и приоритеты могут меняться
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Где взять more information ?
42
Cisco DevNet
• Коммьюнити разработчиков
• Прямой доступ к инженерам и продуктовым командам
• Хранилище гайдов, лучших практик и примеров кода
• По причине поддержки Cisco, виртуальные машины не будут зранится непосредственно на cisco.com
https://developer.cisco.com/site/iox/
https://developer.cisco.com/site/kvm/
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Полезные ссылки
43
Что такое сервисные контейнеры? (блог)
http://cs.co/9006BnlDC
Введение в сервисные контейнеры (Презентация)
http://cs.co/9005BnlD7
Основы сервисных контейнеров (Видео)
http://cs.co/9004BnlDA
Wireshark на Catalyst 4500
http://cs.co/9002BnlD4
Virtual Service Container Config Guide (NXOS &IOSXE)
http://cs.co/9001BnlDN
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Оцените данную сессию в мобильном приложении
конференции
• www.facebook.com/CiscoRu
• www.instagram.com/ciscoru
• www.youtube.com/user/CiscoRussiaMedia
• www.vk.com/cisco
44
Спасибо за внимание!
Контакты:
Тел.: +7 495 9611410www.cisco.com
© 2018 Cisco and/or its affiliates. All rights reserved.
Top Related