Netzwerk Virtualisierung Netzwerktrennung im LAN und WAN Sascha Ulfig Consulting Systems Engineer 20. November 2014 Warum Netzwerk Virtualisierung ? Logische Partitionierung zur Trennung Ihrer Netze Ziele • Datentrennung pro Applikation oder Gruppe • Zonen mit unterschiedlichen Security Policies • Minimierung der Betriebskosten durch Verwendung derselben Infrastruktur Anwendungsfälle © 2014 Cisco and/or its affiliates. All rights reserved. Cisco Connect | Berlin 20.–21. November 2014 • Gäste Netz • Management Netz • Outsourcing • Trennung Produktion / Office • Zentrale Firewall / IDS • Shared Campus • … 2 Lösungsbestandteile für Netzwerk Virtualisierung (1) Virtualisierung des Routings auf den Systemen (2) Virtualisierung des Datenpfades Hop-by-Hop Interface / VLAN VRF VRF Global 802.1q Interface / VLAN Multi-Hop Virtual Routing & Forwarding Table (VRF) © 2014 Cisco and/or its affiliates. All rights reserved. Cisco Connect | Berlin 20.–21. November 2014 IP 3 Option 1 - VRF-Lite Ende-zu-Ende § Layer-2 Access VLANs werden eindeutigen VRFs zugeordnet § Anlegen von VRFs (= separate Routing Tabelle) auf allen Routern und Layer-3 Switches § Verwendung eindeutiger Layer-3 Transit Links für jedes VRF (Sub-Interfaces und VLAN Tagging) Pro Contra • Unterstützte Plattformen (Catalyst, Nexus, IOS Router, non Cisco) • Skalierung • Verwendung bekannter Protokolle • Core erfordert VRF Konfigurationen • Bestandteil der Standard L3 Lizenzen/Feature Sets • Hoher administrativer Aufwand © 2014 Cisco and/or its affiliates. All rights reserved. Cisco Connect | Berlin 20.–21. November 2014 VLAN 10 VLAN 20 VLAN 11 VLAN 21 VLAN 12 VLAN 22 IGPs VLAN 13 VLAN 23 VLAN 15 VLAN 25 VLAN 14 VLAN 24 VLAN 16 VLAN 26 4 Option 2 - Easy Virtual Networking (EVN) VRF-lite Ende-zu-Ende “in einfach” mit VNET trunks VRF-Lite Subinterfaces VNET Trunks interface TenGigabitEthernet1/1.101! description 10GE to core 3! encapsulation dot1Q 101! ip vrf forwarding red! ip address 10.122.5.1 255.255.255.252! ip pim query-interval 1! ip pim sparse-mode! ! interface TenGigabitEthernet1/1.102! description 10GE to core 3! encapsulation dot1Q 102! ip vrf forwarding green ip address 10.122.5.1 255.255.255.252! ip pim query-interval 1! ip pim sparse-mode! Pro • Verwendung bekannter Protokolle • Bestandteil der Standard L3 Lizenzen/Feature Sets • Einfache Konfiguration vrf definition red vnet tag 101 vrf definition green vnet tag 102 ! interface TenGigabitEthernet1/1! description 10GE to core 3! vnet trunk! ip address 10.122.5.1 255.255.255.252! ip pim query-interval 1! ip pim sparse-mode! 1 Punkt-zu-Punkt Konfiguration pro logischem Interface (VRF Subinterface) Contra • Unterstützte Plattformen (Modulare Catalyst, IOS Router) • Core erfordert VRF Konfigurationen 1 Punkt-zu-Punkt Konfiguration pro physischem Interface Virtual Networks Neighbors VRF Subinterfaces VRF Trunks 4 4 16 4 10 4 40 4 20 4 80 4 30 4 120 4 • Kein IPv6 Support © 2014 Cisco and/or its affiliates. All rights reserved. Cisco Connect | Berlin 20.–21. November 2014 5 Option 3 - MPLS Layer-3 VPN § Paket Forwarding basierend auf MPLS Label Switching § Label Stacking ermöglicht VPNs (virtuelle Netze) § CE (Customer Edge) normales Layer-3 Routing (kein MPLS Tagging) VPN Routes & VPN Labels MP-BGP Site 1 CE1 Site 2 Site 2 MPLS / LDP PE1 CE2 P4 P3 PE2 10.1.1.1 10.1.1.1 100 P2 P1 IP Packet 100 10.1.1.1 25 50 Pro • Unterstützte Plattformen (Catalyst 6k, Nexus 7k, IOS Router, non Cisco) • Sehr hohe Skalierung • Core (P) Router ohne VRF Konfiguration IP Packet 100 100 § PE (Provider Edge) assoziiert CE mit einem VRF und fügt zwei MPLS Labels an – Äußeres Label à Pfad zum anderen PEs (LDP) – Inneres Label à VRF/VPN Zugehörigkeit (MP-BGP) 10.1.1.1 10.1.1.1 Contra § P (Provider) MPLS Label Switching zwischen PEs aufgrund des Äußeren Labels (keine VRF bzw. CE Mandanten Routen) • zusätzliche Protokolle (LDP, MP-BGP, …) • Höherwertige IOS Lizenzen bzw. Feature Sets benötigt © 2014 Cisco and/or its affiliates. All rights reserved. Cisco Connect | Berlin 20.–21. November 2014 6 Option 3 – Ist MPLS Layer-3 VPN wirklich so komplex ? Anlegen eines neuen virtuellen Netzes am Beispiel für IPv4 Unicast § Voraussetzung: LDP und MP-BGP Konfiguration im Core ! Rot: Schwarz: MPLS VPN spezifische Configs Mit VRF-Lite gemeinsame Configs § Das Anlegen neuer VPNs benötigt nur wenige Änderungen auf dem/den PE(s) vrf definition VPN-A rd 10:0 ! address-family ipv4 route-target export 10:0 route-target import 10:0 exit-address-family ! interface Vlan10 description VPN-A VLAN10 DC vrf forwarding VPN-A ip address 10.43.10.33 255.255.255.240 ! router bgp 65100 address-family ipv4 vrf VPN-A redistribute connected redistribute … exit-address-family © 2014 Cisco and/or its affiliates. All rights reserved. Cisco Connect | Berlin 20.–21. November 2014 Anlegen eines neuen VRFs Assoziierung eines Netzes mit einem VRF Import der VRF Routen ins MP-BGP 7 MPLS ermöglicht Layer-2 VPN Advanced VPLS auf einem Catalyst 6500/6800 SUP2T MPLS unterstützt Layer-2 VPNs für LAN oder WAN überspannende IP Netze § Option 1: Punkt-2-Punkt PseudoWire (EoMPLS) § Option 2: Full-Mesh (VPLS) Si Si Si Si List of VLANs to be extended VPLS Neigbors (PE Routers) interface Virtual-Ethernet1 switchport switchport mode trunk switchport trunk allowed vlan 610-619 Si Virtual-Ethernet Interface (A-VPLS) Si § transport vpls mesh neighbor 10.100.2.2 pw-class Core neighbor 10.100.3.3 pw-class Core pseudowire-class Core encapsulation mpls © 2014 Cisco and/or its affiliates. All rights reserved. Cisco Connect | Berlin 20.–21. November 2014 8 8 Zusammenfassung & Technologie Vergleich Network Scale / Posi1oning VN Scale Limit Opera1onal Complexity Transport / Infrastructure Troubleshoo1ng Provisioning L2VPN Extension VRF-‐lite Low 8* Medium EVN Medium 32 Low IP IP Medium Low Hop-‐by-‐Hop Hop-‐by-‐Hop No No WAN Extension Underlying Infrastructure GRE, LISP, DMVPN IP GRE, LISP, DMVPN IP Mul1cast QoS Standards Based MTU Considera1ons End-‐to-‐End Na1ve COS/DSCP Yes No Yes Na1ve COS/DSCP Yes No No © 2014 Cisco and/or its affiliates. All rights reserved. Cisco Connect | Berlin 20.–21. November 2014 MPLS Large 4K High MPLS or GRE High LDP & mBGP Yes MPLS, MPLSoGRE, 2547oMPLS, L3VPNoMGRE MPLS mVPN or GRE EXP Yes Yes No 9 Enterprise Networking Raum: PS OG 1 Security Raum: PS EG 3 13:00 APIC-EM – SDN im Enterprise Markus Harbeck Consulting Systems Engineer Cisco AMP everywhere - warum es darauf ankommt Volker Marschner Consulting Systems Engineer Cisco 13:30 SDN – Paradigmenwechsel für Netzwerke und Datacenter Steffen Winkler Solution Manager Netzwerkumfeld Computacenter AG & Co oHG Einführung in Cloud Managed Networking Christian Goldberg Cloud Networking Systems Engineer Cisco Instant Access - Netzwerk geht auch einfach Sascha Ulfig Consulting Systems Engineer Cisco Internet of Things... Let's Not Forget Security Please! Eric Vyncke Distinguished Systems Engineer Cisco Netzwerk Virtualisierung - Netzwerktrennung im LAN und WAN Sascha Ulfig Consulting Systems Engineer Cisco Akamai Connect Lorenz Jakober Sr. Product Marketing Manager Akamai 15:00 Cisco Threat Centric Security Solutions Holger Unterbrink Consulting Systems Engineer Cisco DPDHL Branch of the Future Concept Zvezdan Schoppmann Head of Technology Innovation Management DPDHL 15:30 Prime Infrastructure Lothar Müller Berater & Service Ingenieur EnBW Netze GmbH Skyconnect, eine globale WAN Plattform „moving to iWAN“ Markus Vögele Senior Systems & Design Engineer Lufthansa Systems AG 14:00 14:30 © 2014 Cisco and/or its affiliates. All rights reserved. Cisco Connect | Berlin 20.–21. November 2014 Muninder Sambi – Director Product Management Anupam Upadhyaya – Manager Product Management Himanshu Mehra – PM Engineering, Catalyst Plattform Jens Demmer – Manager Product Management Jo Kern – Manager Product Management Peter Provart – Business Dev. Manager, EBG EMEAR Matthias Falkner – Distinguished Engineer Carlo Terminiello – CSE, EBG EMEAR James Weathersby – Manager Technical Marketing Alan Cottom – Technical Marketing Engineer 10 Thank you.
© Copyright 2026 Paperzz