antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 8 Май , 2014

vPath представляет собой некую абстракцию или программируемый интерфейс для внедрения различных сетевых сервисов, таких как firewall, waas, nam на уровне виртуального доступа к сети (т.е. применительно к трафику виртуальных машин). Применяется эта технология на уровне data plane, а значит она позволяет распознавать все входящие пакеты и отсылать их на обработку к нужному сервису (например, на фаирвол). В качестве устройств, которые классифицируют трафик выступают VEM модули от коммутатора Cisco Nexus 1000v. В качестве сервисов, куда можно отослать трафик, на сегодняшний день поддерживаются:

— Virtual Security Gateway (VSG). Ответственен за обработку трафика внутри виртуальной локальной сети.

— ASA Virtual Firewall (ASA 1000v). Ответственен за обработку трафика между различными виртуальными локальными сетями.

— Virtual Network Analyze Module (vNAM)

— Virtual Wide Area Application Service (vWAAS)

Общее название для всех сервисных модулей – виртуальный сервисный узел (Virtual Service Node, VSN).

Концептуально архитектура выглядит примерно так:

vPath архитектура

У vPath можно выделить четыре основных компонента: management plane, control plane, VSN, data plane. Рассмотрим их чуть более подробно.

Management plane

На уровне управления используется инструмент Cisco Prime, который передает XML-команды на супервизор Nexus1000v (на VSM).

Control Plane

В качесте control plane используется VSM, который является связующим мостом между интерфейсом Prime и VEM-модулями коммутатора.

VSN

Каждый сервисный узел устанавливает доверительные отношения с vPath либо по L2, либо по L3. Соответственно весь трафик, который приходит к этому узлу (или уходит с него) инкапсулируется либо по типу MAC-in-MAC, либо в UDP.

Data Plane

В качестве устройств Data Plane выступают нам знакомые VEM-модули.

Давайте рассмотрим, что конкретно происходит с трафиком. Для примера возьмем случай, когда некий клиент из внешнего мира пытается связаться с виртуальной машиной, которая находится под нашим управлением.

  1. Пакет инициации сессии будет отправлен на ASA, где для него будут применены классические правила фаирвола. После выхода из устройства, пакет отправляется в облако vPath.
  2. В зависимости от vPath настройки, пакет может быть переслан на другие сервисные модули, используя overlay-туннели (или проще говоря, vPath инкапсуляцию). Внутри этой инкапсуляции содержится информация о том, какие политики необходимо применить к пакету.
  3. vPath принимает решение о том, что пакет является первым в сессии и создает новую flow-запись. Инкапсулирует пакет и передает его на VSG.
  4. VSG анализирует политики для полученного flow и выдает решение о том, что надо сделать с пакетом обратно на VEM. VEM кэширует принятое решение (сделано это для последующего off-load трафика).
  5. Основываясь на решении от VSG, VEM либо пропускает трафик (в нашем случае), либо отбрасывает его.
  6. Все последующие пакеты в сессии не отправляется от VEM на VSG, а решение принимается непосредственно на VEM благодаря сохраненному кэшу.

Взаимодействие vPath и VSN

Есть два способа связать VEM и VSN:

—         По L2. Для этого необходимо, чтобы модули находились в пределах одной vlan. В этом случае vPath инкапсуляция имеет вид MAC-in-MAC.

—         По L3. В этом случае инкапсуляция имеет вид MAC-in-UDP. Только VSG поддерживает L3 интеграцию.

Основные возможности, которые предоставляет vPath

Динамическое предоставление сервисов

Все сервисы завязываются не на конкретный порт коммутатора, а на виртуальную машину (через портовые профили). Это позволяет добиться того, что сервисы будут доступны в случае VMware vMotion и они автоматически применятся на новую виртуалку, при выходе старой из строя.

Благодаря тому, что трафик от VEM на VSN отправляется через туннель, нет необходимости ставит VSN в inline режиме. Также благодаря этому vPath не зависит от транспортной технологии – будь то VLAN или VXLAN.

Multitenancy

Прим. К сожалению, я не знаю, как нормально перевести это слово J. Можно считать, что Tenant – некий контейнер, который состоит из виртуальных машин, сетевых сервисов, которые в совокупности представляют собой единую целую политику.

Суть заключается в том, что все vPath таблицы (flow, policy) являются мульти-Tenant-aware.

Т.е. мы можем обрабатывать трафик, который идет от VM, которая управляется VSN-A, до виртуальной машины, управляемой VSN-B, в прозрачном режиме. За это ответственен Prime Service Controller.

Конфигурация

Здесь я не привожу конкретные команды или скрины из GUI-интерфейса. Расскажу об алгоритме внедрения технологии, в случае если у нас есть ASA и VSG.

Порядок шагов следующий:

  1. Устанавливаем Cisco Prime Services Controller в качестве виртуальной машины.
  2. Устанавливаем VSG в качестве виртуальной машины.
  3. Устанавливаем ASA в качестве виртуальной машины.
  4. Регистрируем VSG на Cisco Prime.
  5. Регистрируем ASA на Cisco Prime.
  6. Регистрируем VSM от Nexus 1000v на Cisco Prime.
  7. Регистрируем Cisco Prime на vCenter Server

Прим. Для получения технических деталей об установке и настройке соответствующих продуктов, обратитесь к Installation и Configuration Guide соответствующих продуктов

 

Метки: , ,
Опубликовано: Data Center , Virtualization

 

» Оставить комментарий

Вы должны войти чтобы прокомментировать.