Cisco Catalyst 9200

У компании Cisco появилась новая линейка коммутаторов Cisco Catalyst 9200/9200L.

Линейка Catalyst C9200 без литеры L (всего четыре модели — C9200-24T, C9200-24P, C9200-48T, C9200-48P) содержит опциональные модули для аплинка (два варианта: четыре гигабитных слота под C9200-NM-4G  или четыре 1/10 слота C9200-NM-4X).

Catalyst C9200L со всеми фиксированными портами состоит из восьми моделей: C9200L-24T-4G, C9200L-24P-4G, C9200L-48T-4G, C9200L-48P-4G, C9200L-24T-4X, 9200L-24P-4X, C9200L-48T-4X, C9200L-48P-4X.

Кроме фиксации портов, литера L урезает возможности стэкирования свичей, а также количество mac-адресов, доступных vlan’ов, маршрутов IPv4/IPv6 и интерфейсов SVI.

Лицензирование Network Essentials или Network Advantage, дополнительные опции Cisco DNA Premier, DNA Advantage или DNA Essentials.  ASIC оптимизирован для управления коммутатором из под DNA-Centre. Конфигурирование из под cli аналогично другим с Cisco IOS XE. Настройки SD-Access с использованием Cisco Identity Services Engine (ISE), возможности расширенного шифрования MACsec позволяют повысить безопасность.

В будущем эта линейка станет заменой коммутаторам доступа серии Каталист 2960.

SDN и OpenFlow от Cisco: DNA, SD-access и SD-wan

SDN и OpenFlow от Cisco: DNA, SD-access и SD-wan, Viptela Fabric.

Программно-определяемая сеть или программно-конфигурируемая сеть (software-defined networking, SDN) — реализации Cisco называются SD-Access для уровня доступа и SD-WAN если рассматриваем конвергентные сети.

Сегодня на Catalyst 9000 и Catalyst 3800 вполне можно рассматривать решение Cisco для SD-Access.

Рассмотрим упрощённо, что же это такое и как работает.

Начнём с SD-Access и DNA.

Cisco DNA-Center (DNA — Digital Network Architecture) — это контроллер, он обеспечивает веб-интерфейс администратора и интерфейсы API, реализует сервисы аналитики, получая и анализируя служебную информацию и телеметрию от устройств фабрики. Для аутентификации ему необходим Cisco ISE (Cisco Identity Services Engine) — что-то вроде RADIUS сервера для сервисов, устройств и пользователей. Локально решающие задачи по работе устройств контроллеры (Cisco Application Centric Infrastructure, Cisco APIC , WLAN контроллеры) управляют устройствами Catalyst 9000, Catalyst 2960X cерий) с помощью политик.

Cisco SD-Access реализован на базе инкапсуляции Virtual Extensible LAN (VXLAN). Control plane оверлея использует протокол Locator/ID Separation Protocol (LISP). Политики реализуются на базе тегов Scalable Group Tag (SGT) технологии Cisco TrustSec. Data plane фабрики Cisco SD-Access построен на базе инкапсуляции VXLAN Group Policy Option (VXLAN с опцией групповой политики — VXLAN-GPO), получается такой локальный MPLS, но VXLAN-туннели не требуют предварительного установления соединения, т.е. являются stateless туннелями, кроме того вместо MPLS-TE трафик оптимизируется по Cisco Express Forwarding (CEF) в опорной сети. В месте, где устройства не поддерживают SD-Access ставится Fabric Edge Nodes, на границах с внешними сетями необходимы Fabric Border Nodes. Если в сети WLAN контроллеры используются во множественном числе удобно включить Fabric Enabled Wireless (FEW), трафик и проводных, и беспроводных клиентов пойдёт на коммутаторы Edge Node.

Базовый метод передачи меток внутри домена TrustSec (метод inline) заключается в инкапсуляции меток в заголовки фреймов или пакетов трафика (в поле Cisco Meta Data). А в фабрике Cisco SD-Access значение метки передается в составе заголовков VXLAN оверлея. Заголовок VXLAN содержит поля VN ID и Segment ID (24- и 16-разрядные соответственно). Эти поля используются для переноса информации о принадлежности пакета определенной виртуальной сети VN (адресуется свыше 16 млн. VRF) и группе SGT технологии TrustSec (адресуется свыше 64 тыс. меток). Таким образом, TrustSec изначально является неотъемлемым функционалом фабрики. Кроме того, инкапсуляция метки SGT в заголовок VXLAN облегчает внедрение TrustSec — ведь от промежуточных устройств опорной сети не требуется работа с метками. Для контроля доступа TrustSec использует метку SGT вместо IP-адреса в качестве критерия принадлежности пакета той или иной группе пользователей, специализированные списки контроля доступа SGACL реализуют политики контроля доступа. Далее используем VRF для грубой сегментации на высоком уровне и группы SGT для тонкой сегментации. Возможны VN-Agnostic группы, присутствующие в разных VN, т.к. SGT не зависит ни от IP-адресов, ни от VRF.   Термин SGT появился в процессе разработки технологии TrustSec и изначально носил название Source Group Tag, но позже стал означать Security Group Tag. В случае TrustSec это было оправданно, ведь SGT использовались для реализации политик безопасности. Но SGT — это всего лишь метка, число, позволяющее различать пакеты и теперь означает Scalable Group Tag.

Предположим, мы построили новую сеть с технологией SD-Access, но как быть с удалёнными офисами? Требование в MTU 9100 байт для jumbo-фрейма и RTT в 100 мс не обеспечит ни один провайдер, а выкупать волокна или лямбды до всех филиалов слишком дорого. Вот тут мы плавно переходим к технологиям SD-WAN и IWAN.

SD-WAN (Viptela) работает с vEdge  представлениями. Дополняется это Network Functions Virtualization Infrastructure Software (NFVIS) технологией и функционалом IWAN, работающим с маршрутизаторами Cisco ISR4 000, но обзор этих технологий требует отдельных статей.

 

 

Немного об истории вопроса: SDN и OpenFlow.