Netzwerk Virtualisierung Netzwerktrennung im LAN und WAN Sascha Ulfig 20. November 2014
Warum Netzwerk Virtualisierung? Logische Partitionierung zur Trennung Ihrer Netze Ziele Datentrennung pro Applikation oder Gruppe Zonen mit unterschiedlichen Security Policies Minimierung der Betriebskosten durch Verwendung derselben Infrastruktur Anwendungsfälle Gäste Netz Management Netz Outsourcing Trennung Produktion / Office Zentrale Firewall / IDS Shared Campus 2
Lösungsbestandteile für Netzwerk Virtualisierung (1) Virtualisierung des Routings auf den Systemen (2) Virtualisierung des Datenpfades Hop-by-Hop Interface / VLAN VRF VRF Global Interface / VLAN Virtual Routing & Forwarding Table (VRF) 802.1q Multi-Hop IP 3
Option 1 - VRF-Lite Ende-zu-Ende Layer-2 Access VLANs werden eindeutigen VRFs zugeordnet Anlegen von VRFs (= separate Routing Tabelle) auf allen Routern und Layer-3 Switches Verwendung eindeutiger Layer-3 Transit Links für jedes VRF (Sub-Interfaces und VLAN Tagging) VLAN 11 VLAN 21 VLAN 10 VLAN 20 VLAN 12 VLAN 22 Pro Contra IGPs Unterstützte Plattformen (Catalyst, Nexus, IOS Router, non ) Verwendung bekannter Protokolle Bestandteil der Standard L3 Lizenzen/Feature Sets Skalierung Hoher administrativer Aufwand Core erfordert VRF Konfigurationen VLAN 13 VLAN 23 VLAN 16 VLAN 26 VLAN 15 VLAN 25 VLAN 14 VLAN 24 4
Option 2 - Easy Virtual Networking (EVN) VRF-lite Ende-zu-Ende in einfach mit VNET trunks VRF-Lite Subinterfaces interface TenGigabitEthernet1/1.101! description 10GE to core 3! encapsulation dot1q 101! ip vrf forwarding red! ip address 10.122.5.1 255.255.255.252! ip pim query-interval 1! ip pim sparse-mode!! interface TenGigabitEthernet1/1.102! description 10GE to core 3! encapsulation dot1q 102! ip vrf forwarding green ip address 10.122.5.1 255.255.255.252! ip pim query-interval 1! ip pim sparse-mode! VNET Trunks vrf definition red vnet tag 101 vrf definition green vnet tag 102! interface TenGigabitEthernet1/1! description 10GE to core 3! vnet trunk! ip address 10.122.5.1 255.255.255.252! ip pim query-interval 1! ip pim sparse-mode! 1 Punkt-zu-Punkt Konfiguration pro logischem Interface (VRF Subinterface) 1 Punkt-zu-Punkt Konfiguration pro physischem Interface Pro Verwendung bekannter Protokolle Bestandteil der Standard L3 Lizenzen/Feature Sets Einfache Konfiguration Contra Unterstützte Plattformen (Modulare Catalyst, IOS Router) Core erfordert VRF Konfigurationen Kein IPv6 Support Virtual Networks Neighbors VRF Subinterfaces VRF Trunks 4 4 16 4 10 4 40 4 20 4 80 4 30 4 120 4 5
Option 3 - MPLS Layer-3 VPN Paket Forwarding basierend auf MPLS Label Switching Label Stacking ermöglicht VPNs (virtuelle Netze) te 1 CE1 10.1.1.1 IP Packet 100 100 Pro PE1 10.1.1.1 Unterstützte Plattformen (Catalyst 6k, Nexus 7k, IOS Router, non ) Sehr hohe Skalierung Core (P) Router ohne VRF Konfiguration VPN Routes & VPN Labels P3 P1 50 MP-BGP MPLS / LDP 100 P4 P2 10.1.1.1 te 2 25 PE2 100 Contra CE2 10.1.1.1 te 2 10.1.1.1 IP Packet zusätzliche Protokolle (LDP, MP-BGP, ) Höherwertige IOS Lizenzen bzw. Feature Sets benötigt CE (Customer Edge) normales Layer-3 Routing (kein MPLS Tagging) PE (Provider Edge) assoziiert CE mit einem VRF und fügt zwei MPLS Labels an Äußeres Label à Pfad zum anderen PEs (LDP) Inneres Label à VRF/VPN Zugehörigkeit (MP-BGP) P (Provider) MPLS Label Switching zwischen PEs aufgrund des Äußeren Labels (keine VRF bzw. CE Mandanten Routen) 6
Option 3 Ist MPLS Layer-3 VPN wirklich so komplex? Anlegen eines neuen virtuellen Netzes am Beispiel für IPv4 Unicast Voraussetzung: LDP und MP-BGP Konfiguration im Core! Das Anlegen neuer VPNs benötigt nur wenige Änderungen auf dem/den PE(s) Rot: MPLS VPN spezifische Configs Schwarz: Mit VRF-Lite gemeinsame Configs vrf definition VPN-A rd 10:0! address-family ipv4 route-target export 10:0 route-target import 10:0 exit-address-family! interface Vlan10 description VPN-A VLAN10 DC vrf forwarding VPN-A ip address 10.43.10.33 255.255.255.240! router bgp 65100 address-family ipv4 vrf VPN-A redistribute connected redistribute exit-address-family Anlegen eines neuen VRFs Assoziierung eines Netzes mit einem VRF Import der VRF Routen ins MP-BGP 7
MPLS ermöglicht Layer-2 VPN Advanced VPLS auf einem Catalyst 6500/6800 SUP2T MPLS unterstützt Layer-2 VPNs für LAN oder WAN überspannende IP Netze Option 1: Punkt-2-Punkt PseudoWire (EoMPLS) Option 2: Full-Mesh (VPLS) Virtual-Ethernet Interface (A-VPLS) interface Virtual-Ethernet1 List of VLANs to be extended switchport switchport mode trunk switchport trunk allowed vlan 610-619 VPLS Neigbors (PE Routers) transport vpls mesh neighbor 10.100.2.2 pw-class Core neighbor 10.100.3.3 pw-class Core pseudowire-class Core encapsulation mpls 8 8
Zusammenfassung & Technologie Vergleich VRF- lite EVN MPLS Network Scale / Posi1oning Low Medium Large VN Scale Limit 8* 32 4K Opera1onal Complexity Medium Low High MPLS or GRE Transport / Infrastructure IP IP Troubleshoo1ng Medium Low High Provisioning Hop- by- Hop Hop- by- Hop LDP & mbgp L2VPN Extension No No Yes MPLS, MPLSoGRE, 2547oMPLS, L3VPNoMGRE WAN Extension GRE, LISP, DMVPN GRE, LISP, DMVPN Underlying Infrastructure IP IP MPLS mvpn Mul1cast Na1ve Na1ve or GRE QoS COS/DSCP COS/DSCP EXP Standards Based Yes Yes Yes MTU Considera1ons No No Yes End- to- End Yes No No 9
Enterprise Networking Raum: PS OG 1 Security Raum: PS EG 3 13:00 APIC-EM SDN im Enterprise Markus Harbeck AMP everywhere - warum es darauf ankommt Volker Marschner 13:30 14:00 SDN Paradigmenwechsel für Netzwerke und Datacenter Steffen Winkler Solution Manager Netzwerkumfeld Computacenter AG & Co ohg Instant Access - Netzwerk geht auch einfach Sascha Ulfig Einführung in Cloud Managed Networking Christian Goldberg Cloud Networking Systems Engineer Internet of Things... Let's Not Forget Security Please! Eric Vyncke Distinguished Systems Engineer Muninder Sambi Director Product Management Anupam Upadhyaya Manager Product Management Himanshu Mehra PM Engineering, Catalyst Plattform Jens Demmer Manager Product Management Jo Kern Manager Product Management Peter Provart Business Dev. Manager, EBG EMEAR 14:30 Netzwerk Virtualisierung - Netzwerktrennung im LAN und WAN Sascha Ulfig Akamai Connect Lorenz Jakober Sr. Product Marketing Manager Akamai Matthias Falkner Distinguished Engineer Carlo Terminiello CSE, EBG EMEAR James Weathersby Manager Technical Marketing 15:00 Threat Centric Security Solutions Holger Unterbrink DPDHL Branch of the Future Concept Zvezdan Schoppmann Head of Technology Innovation Management DPDHL Alan Cottom Technical Marketing Engineer 15:30 Prime Infrastructure Lothar Müller Berater & Service Ingenieur EnBW Netze GmbH Skyconnect, eine globale WAN Plattform moving to iwan Markus Vögele Senior Systems & Design Engineer Lufthansa Systems AG 10
Thank you.