Gaweł Mikołajczyk gmikolaj@cisco.com

Gaweł Mikołajczyk gmikolaj@cisco.com Security Consulting Systems Engineer EMEA Central Core Team CCIE #24987, CISSP-ISSAP, CISA, C EH PLNOG10, February 28, 2013, Warsaw, Poland

2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2

Bezpieczeństwo L2 Segmentacja N-S Segmentacja E-W RBAC Service Sandwich FW LB IPS NAM Multitenant VMDC TrustSec intro Widoczność per VM http://plnog.pl/spotkanie-8-marzec/materialy 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 3

Firewall Clustering Virtual Tenant Edge Firewall Cloud Services Routing intro Segmentacja overlay z TrustSec ASA1000V VSG Nexus1000V vpath http://plnog.pl/spotkanie-9-pazdziernik/materialy-2013-krakow 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 4

2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 5

2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 6

Klient do Serwera Tenant do Współdzielonego Segmentu Inter-Tenant Intra-Tenant (ten sam segment) Intra-Tenant Segment-to-Segment Globalny VRF Globalne/ Współdzielone Segmenty ASA Context ASA Context Protected Zone Chroniony VRF (control point) Protected Zone Chroniony VRF (control point) Nexus 1000v Nexus 1000v vpath vpath VSG VSG Tenant 1 Współdzielony Segment Segment 1 Segment 2 Tenant 2 Współdzielony Segment Segment 1 Segment 2 Segment 3 Segment 3

2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 8

Dualne podejście Przekierowanie ruchu z maszyny wirtualnej w VLAN do appliance fizycznego 1 2 Usługi bezpieczeństwa oparte hypervisora o appliance wirtualne Web Server Application Server Database Server Web Server Application Server Database Server Hypervisor Hypervisor VLANs Wirtualne Kontesty VSN VSN Tradycyjne Appliance i Moduły Wirtualne moduły serwisowe 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 9

Wirtualna sieć dostępowa Ochrona Hypervisora Bezpieczny dostęp zarządzania do Hypervisora Ochrona przed wyczerpaniem zasobów Kontrola nad ruchem sieciowym Separacja ruchu Inter-VM Umiejscowienie urządzeń/vm bezpieczeństwa? Multi-tenancy Uwierzytelnienie, Ochrona zasobów, Separacja zasobów Kto i za co jest odpowiedzialny? Audytowanie/Monitorowanie/Raportowanie Zgodność i Standardy 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 10

2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 11

Domeny L2 w dużej skali: Dzięsiątki tysięcy portów wirtualnych Setki serwerów OpenStack Quantum API REST API Wspólne APIs OpenStack Quantum API dla automatyzacji / orchestracji Skalowalna segmentacja i adresacja DC Scalable DC: VXLAN Wirtualne appliance z service chaining / sterowaniem ruchu VSG (segmentacja E-W), ASA1000V (segmentacja N-S) vwaas (akceleracja ruchu) vpath Konieczne wsparcie wielu hypervisorów: ESX, Hyper-V, OpenSource Transport: VXLAN do VLAN GW ASA 1KV vwaas Wirtualne Usługi VSG Nexus 1000V Tenant 1 Hypervisor Tenant 2 Serwery Wirtualne Tenant 3 VXLAN Gateway Tenant 1: wirtualne zasoby chronione przez wirtualny firewall Sieć fizyczna (VLAN) Serwery Fizyczne ASA 5585-X Tenant 2: wirtualne zasoby chronione przez fizyczny firewall (via VXLAN GW) Tenant 3: wirtualne i fizyczne zasoby w jednej domenie L2 (via VXLAN GW) 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 12

Ethernet w sieci IP overlay Ramka L2 frame enkapsulowana w UDP DST/8472 50 Bajtów overhead Wspólny format Cisco, VMware, Red hat, Citrix Zawiera 24-bitowy segment ID Reprezentuje VXLAN ID 16 M segmentów sieci Przekracza limit 4096 VLAN Tunel pomiędzy VEMs VM podłączone do portów dostępowych VM NIE widzą segment ID IP multicast użyty dla L2 broadcast/multicast lub nieznanych adresów unicast Hosty ESXi hosts moga rezydować w różnych sieciach L3 VEM MAC Dest VEM MAC Src Transport VLAN 802.1Q VEM IP Dest VEM IP Src UDP VXLAN ID VM MAC Dest VM MAC Src L3 CRC Enkapsulacja VXLAN Oryginalna ramka http://tools.ietf.org/html/draft-mahalingam-dutt-dcops-vxlan-03.html 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 13

Nexus 1000V, CSR 1000V, ASA 1000V, VSG oraz vwaas Dzierżawca A DC dostawcy chmury CSR 1000V vwaas ASA 1000V VSG Dział A VSG Dział B Router WAN Przełączniki Serwery AppNav vpath Nexus 1000V Hypervisor Infrastruktura fizyczna Infrastruktura wirtualna CSR 1000V vwaas ASA 1000V VSG Nexus 1000V Brama WAN Routing i VPN Optymizacja WAN Kontrola aplikacji Brzegowy firewall Ruch WAN-LAN Ruch pomiędzy VM Rozproszony przełącznik NetFlow, TrustSec 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 14

SDN-enabled security services VM VM VM VM Pakiet dociera do vpath i jest przekazywany do pierwszego VSN zgodnie ze zdefiniowaną polityką. ASA 1000V Nexus 1000V ASA 1000V vpath VSN może przekazać pakiet z powrotem do vpath lub przekierować go do innego VSN. vpath oferuje mechanizmy: FastPath Service Chaining Ścieżkę powrotną z zachowaniem stanu Clustering dla skali w środowisku wirtualnym 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 15

Segmentacja wirtualnego brzegu VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM 5 4 VSG Nexus 1000V Distributed Virtual Switch vpath 1 2 3 ASA 1000V 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 16

Virtual Tenant Edge Security vservice node ASA1 type asa ip address 172.31.2.11 adjacency l2 vlan 3770 vservice node VSG1 type vsg ip address 10.10.11.202 adjacency l3 vservice path chain-vsg-asa node VSG1 profile sp-web order 10 node ASA1 profile sp-edge order 20 port-profile type vethernet Tenant-1 org root/tenant-1 vservice path chain-vsg-asa Definicja Service Node w Nexus 1000V Chaining w kolejności od inside do outside. Enable the Service Chain Per Port-Profile 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 17

2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 18

VM VM VM VM VM VM VM VM Nexus 1000V VSM Nexus 1000V VEM VMware vsphere Nexus 1000V VSM Nexus 1000V VEM Windows 8 Hyper-V VMware vcenter SCVMM Spójna architektura, funkcjonalności i usługi sieciowe w heterogenicznych środowiskach z wieloma hypervisorami w środowisku wirtualnym. 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 19

Beta ruszyła. Cisco Nexus 1000V KVM Hypervisor Adapter Server Automatyzacja Openstack. VXLAN i VXLAN Gateway Zainteresowanie Cloud SP 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 20

2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 21

Hybrid Cloud connectivity Enterprise Data Center Chmura Publiczna (każdy hypervisor) Bezpieczna Chmura Hybrydowa Chmura Prywatna Wirtualna Chmura Prywatna L2 Cloud Provider Bezpieczny Interconnect L2. Transport do chmury dostawcy w locie. Hypervisor-agnostic. Integracja zwirtualizowanych usług bezpieczeństwa z vpath. Cisco Nexus 1000V InterCloud: http://www.youtube.com/watch?v=kt8xhnx1nsg 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 22

PODEJŚCIE TRADYCYJNE 1 2 3 4 5 6 7 8 9 10 Wybierz VM do migracji Zapisanie polityki sieci, L4-L7 Shutdown aplikacji Eksport VM Konwersja VM do formatu dostawcy Kreacja template z obrazu VM Kreacja instancji VM z template Start VM w chmurze Kreacja tunelu siteto-site Zmiana polityk sieciowych R PODEJŚCIE INTERCLOUD 1 2 Simplified Operations Rapid Provisioning Accelerated Time-to-Market Wybierz VM do migracji Wybierz chmurę docelową Zmigruj VM 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23

2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 24

Embedded Services Processor (active) Route Processor (active) FECP RP Crypto assist QFP subsystem Interconn. Interconn vcpu vmemory vdisk vnic Interconn SPA Agg. IOCP SPA SPA

Embedded Services Processor (active) Route Processor (active) FECP RP Wybrane funkcje Cisco IOS XE Crypto assist QFP subsystem Interconn. Virtual Route Processor (RP) Virtual Forwarding Processor (FP) Interconn vcpu vmemory vdisk vnic Zoptymalizowana do pojedynczych nabywców w DC Hypervisor (VMware / Citrix) CPU Memory Disk NIC Hardware Hypervisor Wirtualny przełącznik Serwer

Cisco IOS-XE w postaci paczki oprogramowania App OS App OS VPC/vDC CSR 1000V Wybrane funkcje Cisco IOS XE Virtual Route Processor (RP) Virtual Forwarding Processor (FP) Hypervisor Wirtualny przełącznik Zoptymalizowana do pojedynczych nabywców w DC Serwer Hypervisor Wirtualny przełącznik Serwer 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 27

Max vnics per Hypervisor E1000, VMXNET2, VMXNET3 Subinterfejsy Hypervisor Serwer 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 28

DC ASR Oddział ISR Oddział ISR Router WAN Przełączniki CPD dostawcy chmury Serwery CSR 1000 V CSR 1000 V VPC/vDC VPC/vDC Korzyści JEDNA polityka bezpieczeństwa JEDNA konfiguracja VPN i routing IPSec VPN, DMVPN, EZVPN, FlexVPN Firewall, ACL, AAA Zalety Prosty, replikowalny model wdrożeniowy Skalowalny VPN CSR1000V @CiscoLive! London: http://www.youtube.com/watch?v=t6wm5pnpvp4 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 29

Ekspansja MPLS głębiej do chmury Router WAN Przełączniki CPD dostawcy chmury Serwery CSR 1000V VPC/vDC Wyzwanie Mapowanie ruchu Tenant VLAN do VRF Limit skalowalności 4K VLAN Rozwiązanie Terminacja MPLS głębiej w chmurze L3 Connectivity i routing do VPC/vDC Zalety VPC/vDC Większa gęstość środowiska MultiTenant MPLS EBGP 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 30

Rozszerzenie prywatnej chmury przez L2 Interconnect Koegzystencja z FlexVPN overlay WAN Centrala firmy CPD dostawcy chmury vcenter VNMC InterCloud VM VM InterCloud Node Nexus1KV InterCloud InterCloud Switch vswitch ESX Host ASR1K/ASR9K CSR1000V cvm cvm cvm Oddział ISR http://blogs.cisco.com/datacenter/nexus-1000v-intercloud-and-now-heres-the-demo/ 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 31

Mbps Pakiety 64B do 1518B 438 Mbps @ IMIX Maksymalnie 1.173 Gbps 1173 885 658 338 438 67 86 155 64B 76B 128B 256B IMIX 512B 1024B 1518B 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 32

Pakiety 64B do 1518B 178 Mbps @ IMIX (AES) 53 Mbps @ IMIX (3DES) Maksymalnie 457 Mbps @ 1418 bytes 457 AES 178 24 21 53 68 64B IMIX 1418B 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 33

IOS XE Listopad 2012 (IOS-XE 3.8) Marzec 2013 (IOS-XE 3.9) July 2013 (IOS-XE 3.10) Listopad 2013 (IOS-XE 3.11) Dostępny FCS I-post FCS Review Możliwości Wirtualizacja Management API Wydajność Kontrolowana dostępność Routing, NAT, DHCP, IPSec, DMVPN, FlexVPN, HSRP, AppNav, FW, MPLS, LISP VMware vsphere Std. (Cloning,..) Cisco Prime NCS VMware vcenter 4-vCPU /4-GB 50 Mbps Ogólna dostępność Multicast, L2TP, QoS, NetFlow, AVC, Full IPv6 VMware vsphere Ent. (vmotion, DRS,..) VMware vcloud Director 4-vCPU/ 4-GB 10/ 25/ 50 Mbps OTV, VXLAN Citrix Xen, Red Hat KVM Citrix XenCenter License, Interface, IPSec, Routing, FW, NAT, DHCP 2-vCPU/ 2-GB 10/25/50 Mbps, 2 to 8-GB GETVPN, SSLVPN, FIPS, Suite-B Amazon (AMI) Cisco VNMC DMVPN, FlexVPN, QoS, HSRP, OTV, MPLS,.. 1-vCPU/ 2-GB 10 Mbps to 1 Gbps, 2 to 8-GB Licencje Czasowe (1, 3, 5 yr) Bulk Usage, Perpetual 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 34

Propozycja: Licencja 5-letnia RTU ze wsparciem SASU. Funkcjonalności 10 Mbps 25 Mbps 50 Mbps 100 Mbps 250 Mbps 500 Mbps 1 Gbps IP Base $250 $500 $1,000 $2,500 $3,500 $5,000 $10,000 SEC (zawiera IPBase) $1,000 $1,500 $3,000 $10,000 $22,500 $28,500 $33,000 HSEC (zawiera SEC) N/A N/A N/A $11,500 $24,000 $31,500 $36,000 AX (zawiera IP Base) N/A N/A $2,000 $3,500 $4,500 $6,500 $12,500 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 35

2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 36

2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 37

2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 38