SDN и OpenFlow от Cisco: DNA, SD-access и SD-wan, Viptela Fabric.
Программно-определяемая сеть или программно-конфигурируемая сеть (software-defined networking, SDN) — реализации Cisco называются SD-Access для уровня доступа и SD-WAN если рассматриваем конвергентные сети.
Сегодня на Catalyst 9000 и Catalyst 3800 вполне можно рассматривать решение Cisco для SD-Access.
Рассмотрим упрощённо, что же это такое и как работает.
Начнём с SD-Access и DNA.
Cisco DNA-Center (DNA — Digital Network Architecture) — это контроллер, он обеспечивает веб-интерфейс администратора и интерфейсы API, реализует сервисы аналитики, получая и анализируя служебную информацию и телеметрию от устройств фабрики. Для аутентификации ему необходим Cisco ISE (Cisco Identity Services Engine) — что-то вроде RADIUS сервера для сервисов, устройств и пользователей. Локально решающие задачи по работе устройств контроллеры (Cisco Application Centric Infrastructure, Cisco APIC , WLAN контроллеры) управляют устройствами Catalyst 9000, Catalyst 2960X cерий) с помощью политик.
Cisco SD-Access реализован на базе инкапсуляции Virtual Extensible LAN (VXLAN). Control plane оверлея использует протокол Locator/ID Separation Protocol (LISP). Политики реализуются на базе тегов Scalable Group Tag (SGT) технологии Cisco TrustSec. Data plane фабрики Cisco SD-Access построен на базе инкапсуляции VXLAN Group Policy Option (VXLAN с опцией групповой политики — VXLAN-GPO), получается такой локальный MPLS, но VXLAN-туннели не требуют предварительного установления соединения, т.е. являются stateless туннелями, кроме того вместо MPLS-TE трафик оптимизируется по Cisco Express Forwarding (CEF) в опорной сети. В месте, где устройства не поддерживают SD-Access ставится Fabric Edge Nodes, на границах с внешними сетями необходимы Fabric Border Nodes. Если в сети WLAN контроллеры используются во множественном числе удобно включить Fabric Enabled Wireless (FEW), трафик и проводных, и беспроводных клиентов пойдёт на коммутаторы Edge Node.
Базовый метод передачи меток внутри домена TrustSec (метод inline) заключается в инкапсуляции меток в заголовки фреймов или пакетов трафика (в поле Cisco Meta Data). А в фабрике Cisco SD-Access значение метки передается в составе заголовков VXLAN оверлея. Заголовок VXLAN содержит поля VN ID и Segment ID (24- и 16-разрядные соответственно). Эти поля используются для переноса информации о принадлежности пакета определенной виртуальной сети VN (адресуется свыше 16 млн. VRF) и группе SGT технологии TrustSec (адресуется свыше 64 тыс. меток). Таким образом, TrustSec изначально является неотъемлемым функционалом фабрики. Кроме того, инкапсуляция метки SGT в заголовок VXLAN облегчает внедрение TrustSec — ведь от промежуточных устройств опорной сети не требуется работа с метками. Для контроля доступа TrustSec использует метку SGT вместо IP-адреса в качестве критерия принадлежности пакета той или иной группе пользователей, специализированные списки контроля доступа SGACL реализуют политики контроля доступа. Далее используем VRF для грубой сегментации на высоком уровне и группы SGT для тонкой сегментации. Возможны VN-Agnostic группы, присутствующие в разных VN, т.к. SGT не зависит ни от IP-адресов, ни от VRF. Термин SGT появился в процессе разработки технологии TrustSec и изначально носил название Source Group Tag, но позже стал означать Security Group Tag. В случае TrustSec это было оправданно, ведь SGT использовались для реализации политик безопасности. Но SGT — это всего лишь метка, число, позволяющее различать пакеты и теперь означает Scalable Group Tag.
Предположим, мы построили новую сеть с технологией SD-Access, но как быть с удалёнными офисами? Требование в MTU 9100 байт для jumbo-фрейма и RTT в 100 мс не обеспечит ни один провайдер, а выкупать волокна или лямбды до всех филиалов слишком дорого. Вот тут мы плавно переходим к технологиям SD-WAN и IWAN.
SD-WAN (Viptela) работает с vEdge представлениями. Дополняется это Network Functions Virtualization Infrastructure Software (NFVIS) технологией и функционалом IWAN, работающим с маршрутизаторами Cisco ISR4 000, но обзор этих технологий требует отдельных статей.
Немного об истории вопроса: SDN и OpenFlow.