gaweł mikołajczyk gmikolaj@cisco · [email protected] security consulting systems engineer emea...
TRANSCRIPT
Gaweł Mikołajczyk [email protected] Security Consulting Systems Engineer EMEA Central Core Team CCIE #24987, CISSP-ISSAP, CISA, C|EH
PLNOG10, February 28, 2013, Warsaw, Poland
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 3
http://plnog.pl/spotkanie-8-marzec/materialy
• Bezpieczeństwo L2
• Segmentacja N-S
• Segmentacja E-W
• RBAC
• Service Sandwich
• FW | LB | IPS | NAM
• Multitenant VMDC
• TrustSec intro
• Widoczność per VM
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 4
http://plnog.pl/spotkanie-9-pazdziernik/materialy-2013-krakow
• Firewall Clustering
• Virtual Tenant Edge
Firewall
• Cloud Services
Routing intro
• Segmentacja overlay
z TrustSec
• ASA1000V
• VSG
• Nexus1000V
• vPath
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 5
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 6
Tenant 2
Segment 3
Segment 2
Segment 1
vPath
Chroniony VRF (control point)
Nexus
1000v
Współdzielony
Segment
VSG
Protected
Zone
ASA Context
Tenant 1
Segment 3
Segment 2
Segment 1
vPath
Chroniony VRF (control point)
Nexus
1000v
Współdzielony
Segment
VSG
Protected
Zone
ASA Context
Globalne/
Współdzielone
Segmenty
Globalny
VRF
Klient do Serwera
Tenant do Współdzielonego Segmentu
Inter-Tenant
Intra-Tenant (ten sam segment)
Intra-Tenant Segment-to-Segment
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 8
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 9
Dualne podejście
Przekierowanie ruchu z
maszyny wirtualnej w VLAN do
appliance fizycznego
Usługi bezpieczeństwa oparte
hypervisora o appliance wirtualne 1 2
Web Server
Application Server
Database Server
Web Server
Application Server
Database Server
Hypervisor Hypervisor
VLANs
Tradycyjne Appliance i Moduły Wirtualne moduły serwisowe
Wirtualne Kontesty
VSN
VSN
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 10
• Ochrona Hypervisora
• Bezpieczny dostęp zarządzania do Hypervisora
• Ochrona przed wyczerpaniem zasobów
• Kontrola nad ruchem sieciowym
• Separacja ruchu Inter-VM
• Umiejscowienie urządzeń/VM bezpieczeństwa?
• Multi-tenancy
• Uwierzytelnienie, Ochrona zasobów, Separacja zasobów
• Kto i za co jest odpowiedzialny?
• Audytowanie/Monitorowanie/Raportowanie
• Zgodność i Standardy
Wirtualna sieć dostępowa
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 11
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 12
• Domeny L2 w dużej skali:
Dzięsiątki tysięcy portów wirtualnych
Setki serwerów
• Wspólne APIs
OpenStack Quantum API dla automatyzacji / orchestracji
• Skalowalna segmentacja i adresacja DC Scalable DC: VXLAN
• Wirtualne appliance z service chaining / sterowaniem ruchu
VSG (segmentacja E-W),
ASA1000V (segmentacja N-S)
vWAAS (akceleracja ruchu)
vPATH
• Konieczne wsparcie wielu hypervisorów: ESX, Hyper-V, OpenSource
• Transport: VXLAN do VLAN GW
Nexus 1000V
OpenStack Quantum API
REST API
Hypervisor
Tenant 1
Wirtualne
Usługi
vWAAS
VSG ASA 1KV
Tenant 3
ASA
5585-X
Serwery
Fizyczne
Sieć
fizyczna
(VLAN) VXLAN Gateway
Serwery
Wirtualne
Tenant 2
Tenant 1: wirtualne zasoby chronione przez wirtualny firewall
Tenant 2: wirtualne zasoby chronione przez fizyczny firewall (via VXLAN GW)
Tenant 3: wirtualne i fizyczne zasoby w jednej domenie L2 (via VXLAN GW)
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
• Ethernet w sieci IP overlay
– Ramka L2 frame enkapsulowana w UDP
DST/8472
– 50 Bajtów overhead
– Wspólny format Cisco, VMware, Red hat,
Citrix
• Zawiera 24-bitowy segment ID
– Reprezentuje VXLAN ID
– 16 M segmentów sieci
– Przekracza limit 4096 VLAN
• Tunel pomiędzy VEMs
– VM podłączone do portów
dostępowych
– VM NIE widzą segment ID
• IP multicast użyty dla L2
broadcast/multicast lub nieznanych
adresów unicast
• Hosty ESXi hosts moga rezydować
w różnych sieciach L3
VEM
MAC
Dest
VEM
MAC
Src
Transport
VLAN
802.1Q
VEM IP
Dest
VEM IP
Src UDP
VM MAC
Dest CRC
VXLAN
ID
VM MAC
Src L3
Oryginalna ramka Enkapsulacja VXLAN
http://tools.ietf.org/html/draft-mahalingam-dutt-dcops-vxlan-03.html
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
CSR 1000V
• Brama WAN
• Routing i VPN
vWAAS
• Optymizacja WAN
• Kontrola aplikacji
ASA 1000V
• Brzegowy firewall
• Ruch WAN-LAN
VSG
• Ruch pomiędzy VM
Nexus 1000V
• Rozproszony przełącznik
• NetFlow, TrustSec
• Nexus 1000V, CSR 1000V, ASA 1000V, VSG oraz vWAAS
Hypervisor
Router
WAN Przełączniki
Serwery
Dzierżawca A
ASA
1000V CSR
1000V
Dział B Dział A
Nexus 1000V
vPath
Infrastruktura fizyczna Infrastruktura wirtualna
DC dostawcy chmury
vWAAS
AppNav
VSG VSG
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 15
vPath
VM VM
ASA 1000V ASA 1000V
VM VM
Nexus 1000V
SDN-enabled security services
Pakiet dociera do vPath i jest przekazywany
do pierwszego VSN zgodnie ze zdefiniowaną
polityką.
VSN może przekazać pakiet z powrotem do
vPath lub przekierować go do innego VSN.
vPath oferuje mechanizmy:
• FastPath
• Service Chaining
• Ścieżkę powrotną z zachowaniem
stanu
• Clustering dla skali w środowisku
wirtualnym
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 16
Nexus 1000V
Distributed Virtual Switch
VM VM VM
VM VM
VM
VM VM VM
VM
VM
VM VM VM
VM VM VM VM
vPath
VSG
ASA 1000V 1
2
3
4 5
Segmentacja wirtualnego brzegu
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 17
1
7
vservice node ASA1 type asa ip address 172.31.2.11
adjacency l2 vlan 3770
vservice node VSG1 type vsg
ip address 10.10.11.202
adjacency l3
vservice path chain-VSG-ASA
node VSG1 profile sp-web order 10
node ASA1 profile sp-edge order 20
port-profile type vethernet Tenant-1 org root/Tenant-1
vservice path chain-VSG-ASA
Definicja Service
Node w Nexus 1000V
Chaining w kolejności
od inside do outside.
Enable the Service
Chain Per Port-Profile
Virtual Tenant Edge Security
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 18
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 19
VM VM VM VM
Nexus
1000V
VEM
VM VM VM VM
Nexus
1000V
VEM
Nexus 1000V
VSM
Windows 8 Hyper-V Nexus 1000V
VSM
VMware vSphere
VMware vCenter SCVMM
Spójna architektura, funkcjonalności i usługi sieciowe w heterogenicznych środowiskach z wieloma hypervisorami w środowisku wirtualnym.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 20
KVM Hypervisor
Cisco Nexus 1000V
Adapter Server
Beta ruszyła.
Automatyzacja Openstack.
VXLAN i VXLAN Gateway
Zainteresowanie Cloud SP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 21
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 22
Enterprise Data Center
Chmura Prywatna Wirtualna
Chmura
Prywatna L2
Cloud
Provider
Chmura Publiczna (każdy hypervisor)
Bezpieczna Chmura Hybrydowa
Bezpieczny Interconnect L2.
Transport do chmury dostawcy w locie.
Hypervisor-agnostic.
Integracja zwirtualizowanych usług bezpieczeństwa z vPath.
Hybrid Cloud connectivity
Cisco Nexus 1000V InterCloud: http://www.youtube.com/watch?v=KT8XHNX1NSg
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
PODEJŚCIE
TRADYCYJNE 1 2 3 4 5 6 7 8 9 10
Kreacja template z obrazu VM
Kreacja instancji
VM z template
Zapisaniepolityki sieci, L4-L7
Shutdown aplikacji
Eksport VM
Konwersja VM do
formatu dostawcy
Start VM w
chmurze
Kreacja tunelu site-
to-site
Wybierz VM do
migracji
Wybierz VM do
migracji
Zmigruj VM
Wybierz chmurę
docelową
2 1
R Zmiana polityk
sieciowych
PODEJŚCIE
INTERCLOUD
• Simplified Operations
• Rapid Provisioning
• Accelerated Time-to-Market
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 24
Route Processor (active)
Interconn.
RP
Embedded Services Processor (active)
FECP
Interconn
QFP subsystem
Crypto assist
SPA SPA
IOCP SPA
Agg.
…
Interconn
vNIC vCPU vMemory vDisk
Route Processor (active)
Interconn.
RP
Embedded Services Processor (active)
FECP
Interconn
QFP subsystem
Crypto assist
vNIC vCPU vMemory vDisk
Hardware
CPU Memory Disk NIC
Hypervisor (VMware / Citrix)
• Wybrane funkcje Cisco IOS XE
• Virtual Route Processor (RP)
• Virtual Forwarding Processor (FP)
• Zoptymalizowana do pojedynczych „nabywców” w DC
• Hypervisor
• Wirtualny przełącznik
• Serwer
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 27
• Cisco IOS-XE w postaci paczki oprogramowania
• Wybrane funkcje Cisco IOS XE
• Virtual Route Processor (RP)
• Virtual Forwarding Processor (FP)
• Zoptymalizowana do pojedynczych „nabywców” w DC
• Hypervisor
• Wirtualny przełącznik
• Serwer
Serwer
Hypervisor
Wirtualny przełącznik
VPC/vDC
OS
App
OS
App
CSR
1000V
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 28
• Max vNICs per Hypervisor
• E1000, VMXNET2, VMXNET3
• Subinterfejsy
Serwer
Hypervisor
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 29
CSR
1000
V
Router
WAN
Przełączniki
Serwery CSR
1000
V
VPC/vDC
VPC/vDC
CPD dostawcy chmury
Korzyści
• JEDNA polityka bezpieczeństwa
• JEDNA konfiguracja
Zalety
• Prosty, replikowalny model wdrożeniowy
• Skalowalny VPN
VPN i routing
• IPSec VPN, DMVPN, EZVPN, FlexVPN
• Firewall, ACL, AAA
ISR
ISR
ASR
DC
Oddział
Oddział
CSR1000V @CiscoLive! London: http://www.youtube.com/watch?v=t6Wm5pnPVp4
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 30
CSR
1000V Router
WAN
Przełączniki
Serwery
VPC/vDC
VPC/vDC
CPD dostawcy chmury
Wyzwanie
• Mapowanie ruchu Tenant VLAN do VRF
• Limit skalowalności 4K VLAN
• Ekspansja MPLS głębiej do chmury
Zalety
• Większa gęstość środowiska MultiTenant
Rozwiązanie
• Terminacja MPLS głębiej w chmurze
• L3 Connectivity i routing do VPC/vDC
MPLS
EBGP
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 31
vCenter
vSwitch
ESX Host
VM VM
Nexus1KV
InterCloud InterCloud
Node InterCloud Switch
cVM cVM cVM
VNMC
InterCloud
CPD dostawcy chmury Centrala firmy
ISR
Oddział
ASR1K/ASR9K
• Rozszerzenie prywatnej chmury przez L2 Interconnect
• Koegzystencja z FlexVPN overlay WAN
CSR1000V
http://blogs.cisco.com/datacenter/nexus-1000v-intercloud-and-now-heres-the-demo/
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 32
64B 76B 128B 256B IMIX 512B 1024B 1518B
67 86 155
338
438
658
1173
885
Pakiety 64B do 1518B
438 Mbps @ IMIX
Maksymalnie 1.173 Gbps
Mbps
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 33
64BIMIX
1418B
24
178
457
21 53 68
AES
Pakiety 64B do 1518B
178 Mbps @ IMIX (AES)
53 Mbps @ IMIX (3DES)
Maksymalnie 457 Mbps @ 1418 bytes
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 34
Możliwości
Wirtualizacja
Management
API
Wydajność
Licencje
Listopad 2012
(IOS-XE 3.8)
Marzec 2013
(IOS-XE 3.9) July 2013
(IOS-XE 3.10)
Listopad 2013
(IOS-XE 3.11)
IOS XE
Routing, NAT, DHCP,
IPSec, DMVPN, FlexVPN,
HSRP, AppNav, FW,
MPLS, LISP
VMware vSphere Std.
(Cloning, ..)
Cisco Prime NCS
VMware vCenter
4-vCPU /4-GB
50 Mbps
Czasowe (1, 3, 5 yr)
Multicast, L2TP,
QoS, NetFlow,
AVC, Full IPv6
VMware vSphere
Ent. (vMotion,
DRS, ..)
VMware vCloud
Director
4-vCPU/ 4-GB
10/ 25/ 50 Mbps
OTV, VXLAN
Citrix Xen, Red
Hat KVM
Citrix XenCenter
License, Interface,
IPSec, Routing,
FW, NAT, DHCP
2-vCPU/ 2-GB
10/25/50 Mbps, 2
to 8-GB
Bulk
GETVPN, SSLVPN,
FIPS, Suite-B
Amazon (AMI)
Cisco VNMC
DMVPN, FlexVPN,
QoS, HSRP, OTV,
MPLS, ..
1-vCPU/ 2-GB
10 Mbps to 1 Gbps, 2
to 8-GB
Usage, Perpetual
Ogólna dostępność Kontrolowana dostępność
Dostępny I-post FCS Review FCS
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 35
Funkcjonalności 10 Mbps 25 Mbps 50 Mbps 100 Mbps 250 Mbps 500 Mbps 1 Gbps
IP Base $250 $500 $1,000 $2,500 $3,500 $5,000 $10,000
SEC (zawiera IPBase) $1,000 $1,500 $3,000 $10,000 $22,500 $28,500 $33,000
HSEC (zawiera SEC) N/A N/A N/A $11,500 $24,000 $31,500 $36,000
AX (zawiera IP Base) N/A N/A $2,000 $3,500 $4,500 $6,500 $12,500
Propozycja: Licencja 5-letnia RTU ze wsparciem SASU.
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 36
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 37
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 38