Autonomic Networking Pierwsze kroki

Piotr Jabłoński

Network Consulting Engineer

CCIE #19476, CCDE 2012::7

2

Source: http://www.ny times.com/2010/10/10/science/10google.html?_r=0

3

Sieci są bardziej złożone

Bezpośrednia konfiguracja urządzeń coraz mniej możliwa.

0

500

1000

1500

2000

2500

2003 2004 2005 2006 2007 2008 2009 2010

routers

lines/router

4

Złożoność operacyjna

operator

NMS/OSS

sieć fizyczna

5

operator

zarządzanie siecią

sieć fizyczna

Złożoność operacyjna

6

operator

zarządzanie siecią

sieć fizyczna

Złożoność operacyjna

Autonomic Networking oznacza: Minimalizacja interwerncji operatora Minimalizacja zależności od NMS

7

Podejście do zarządzania

Tradycyjne

• Konfiguracja • Monitorowanie • Raportowanie

• Routing

Autonomiczne

• Zarządzanie politykami/usługami • Raportowanie zagregowane

• Routing • Wykrywanie usług/urządzeń • Interakcje

8

Jak zapewnić komunikację?

Nowe urządzenie Proxy Registrar

“mój unikatowy ID urządzenia”

(802.1AR / SUDI)

“mój certyfikat domeny”

“nowe urządzenie x + ID”

Akceptacja?

Parametry domeny

dla nowego urządzenia

Dołączenie do domeny

Dołączenie do domeny

Certyfikat domeny dla nowego urządzenia

Jak węzły się komunikują bez

adresów IP?

Parametry domeny

dla nowego urządzenia

Certyfikat domeny dla nowego urządzenia

9

Demo

10

Zestawienie ACP – Registar

Registrar Zarządzanie

1. Włączenie funkcji Registrar 2. Dodanie domeny 3. (opcjonalnie) Lista dozwolonych

urządzeń oraz ich UID

11

Zestawienie ACP – Nowe urządzenie

Zarządzanie

Nowe urządzenie

Włączenie nowego urządzenia

Registrar

• Uruchomienie zero-touch: identyfikacja urządzenia poprzez UDI

• Jeżeli urządzenie jest na liście, to nie jest potrzebna interwencja operatora

• Jeżeli urządzenie nie jest na liście, wówczas konieczna jest ręczna

akceptacja urządzenia na bazie UDI.

12

Log: Device <udi> joined on device <udi> port <x> with IPv6 address xxx

Urządzenie otrzymuje swój domenowy

certyfikat

Zestawienie ACP – Nowe urządzenie

Zarządzanie

Nowe urządzenie Registrar

• Uruchomienie zero-touch: identyfikacja urządzenia poprzez UDI

• Jeżeli urządzenie jest na liście, to nie jest potrzebna interwencja operatora

• Jeżeli urządzenie nie jest na liście, wówczas konieczna jest ręczna

akceptacja urządzenia na bazie UDI.

13

Log: Device <udi> joined on device <udi> port <x> with IPv6 address xxx

Zestawienie ACP – Dodatkowe urządzenie

Zarządzanie

Router domenowy Registrar

Nowe urządzenie

• Uruchomienie zero-touch: identyfikacja urządzenia poprzez UDI

• Jeżeli urządzenie jest na liście, to nie jest potrzebna interwencja operatora

• Jeżeli urządzenie nie jest na liście, wówczas konieczna jest ręczna

akceptacja urządzenia na bazie UDI.

Włączenie nowego urządzenia

14

Log: Device <udi> joined on device <udi> port <x> with IPv6 address xxx Device <udi> joined on device <udi> port <x> with IPv6 address xxx

Zestawienie ACP – Dodatkowe urządzenie

Zarządzanie

Router domenowy Registrar

Nowe urządzenie

Urządzenie otrzymuje swój domenowy

certyfikat

• Uruchomienie zero-touch: identyfikacja urządzenia poprzez UDI

• Jeżeli urządzenie jest na liście, to nie jest potrzebna interwencja operatora

• Jeżeli urządzenie nie jest na liście, wówczas konieczna jest ręczna

akceptacja urządzenia na bazie UDI.

15

Autonomic Control Plane (ACP)

Budowany i zarządzany samoczynnie

Zgodny z topologią sieci

Niezależny od konfiguracji lub tablicy routingu

IPv 6 link local IPv 6 link local

Tunel szyfrowany VRF VRF

loopback loopback

16

Połączenie do ACP

Dołączenie urządzeń poprzez VRF

Wszystkie urządzenia mają pełny dostęp do ACP

Serwery też mogą być urządzeniami typu autonomic

VRF VRF

loopback loopback

Interface eth 2

autonomic connect

ipv6 address 2000::10/64

Tunel szyfrowany

17

Zalety ACP

Samoczynny

Bez konfiguracji

Bezpieczny

Oddzielny szyfrowany VPN (IPSec)

Niezależny routing

Zbudowany na bazie adresów link-local

Niezależna konfiguracja

Tylko certyfikat widoczny w “show running”

Widoczny

Dostępne komendy show, debug, itd.

Wirtualny kanał

Out-Of-Band

IPv 6 link local IPv 6 link local

VRF VRF

loopback loopback

Tunel szyfrowany

18

AN Dev 2 AN Dev 1

Autonomic Control Plane – Tunele

Autonomiczna warstwa kontrolna

Router# sh derived-config interface tunnel100000

Building configuration...

Derived configuration : 260 bytes !

interface Tunnel100000

vrf forwarding cisco_autonomic

no ip address no ip route-cache

ipv6 enable

tunnel source

FE80::A8BB:CCFF:FE00:C800 tunnel mode gre ipv6

tunnel destination

FE80::A8BB:CCFF:FE00:C900

end

Router#sh derived-config interface tunnel100000

Building configuration...

Derived configuration : 260 bytes !

interface Tunnel100000

vrf forwarding cisco_autonomic

no ip address no ip route-cache

ipv6 enable

tunnel source

FE80::A8BB:CCFF:FE00:C900 tunnel mode gre ipv6

tunnel destination

FE80::A8BB:CCFF:FE00:C800

end

19

AN Dev 2 AN Dev 1

Autonomic Control Plane – Routing Table

Autonomiczna warstwa controlna

Router#sh ipv6 route vrf cisco_autonomic

IPv6 Routing Table - cisco_autonomic - 4 entries

Codes: C - Connected, L - Local, S - Static, U - Per-user Static route

B - BGP, R - RIP, H - NHRP, I1 - ISIS L1 I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP

EX - EIGRP external, ND - ND Default, NDp - ND Prefix, DCE - Destination

NDr - Redirect, RL - RPL, O - OSPF Intra, OI - OSPF Inter

OE1 - OSPF ext 1, OE2 - OSPF ext 2, ON1 - OSPF NSSA ext 1 ON2 - OSPF NSSA ext 2, ls - LISP site, ld - LISP dyn-EID, a - Application

RL ::/0 [210/0]

via FE80::A8BB:CCFF:FE00:C800%default, Tunnel100000%default

LC FD8C:2761:F548::D253:5185:5476/128 [0/0]

via Loopback100000, receive

RL FD8C:2761:F548::D253:5185:547A/128 [210/0]

via FE80::A8BB:CCFF:FE00:CA00%default, Tunnel100001%default

L FF00::/8 [0/0] via Null0, receive

Brak wpływu na

GRT

20

AN Dev 2 AN Dev 1

Autonomic Control Plane – Loopback

Autonomiczna warstwa kontrolna

Router#sh derived-config int loopback 100000 Building configuration...

Derived configuration : 160 bytes

! interface Loopback100000

vrf forwarding cisco_autonomic

no ip address

no ip route-cache ipv6 address FD8C:2761:F548::D253:5185:5476/128

ipv6 enable

end

Adres Loopback IPv6 – hash

nazwy urządzenia i

domeny

21

SDN + Autonomic Networking

Infrastruktura sieciowa

Instrumentacja wewnątrz sieci •Wspólny interfejs programowalny •Większa niezawodność •Automatyczne bezpieczeństwo •Lepsza kontrola pętli •Uproszczenie instrumentacji usług •Uproszczony dostęp do sieci

Zarządzanie usługami

Instrumentacja sieci

Tworzenie usług sieciowych

Konfiguracje/Raportowanie

Poziom biznesowy

Kontroler usług sieciowych

Operator

Serw ery aplikacyjne

22

Podsumowanie

Plug and Play

Zarządzanie usługą/siecią, a nie pojedynczymi węzłami

Globalny widok sieci

Zdecentralizowana inteligencja

Wbudowane bezpieczeństwo

Zautomatyzowane procesy OS

Proces AN

OS

Proces AN

Prostsze narzędzia do zarządzania

Globalny widok na sieć i urządzenia

AN – Autonomic Network, OS – Operating System

23

Linki do materiałów

www.cisco.com/go/autonomic/

A Framework for Autonomic Networking http://tools.ietf.org/html/draft-behringer-autonomic-network-framework

Autonomic Networking: Definitions and Design Goals http://tools.ietf.org/html/draft-irtf-nmrg-autonomic-network-definitions

Making the Internet Secure by Default http://tools.ietf.org/html/draft-behringer-default-secure

Bootstrapping Key Infrastructures http://tools.ietf.org/html/draft-pritikin-bootstrapping-keyinfrastructures

Autonomic Networking Configuration Guide, Cisco IOS Release 15S www.cisco.com/en/US/partner/docs/ios-xml/ios/auto_net/configuration/15-s/an-auto-net-15-s-book.html

Cisco IOS Autonomic Networking Command Reference www.cisco.com/en/US/partner/docs/ios-xml/ios/auto_net/command/an-cr-book.html

24