CCIE.pl

site 4 CCIE wannabies
Dzisiaj jest 23 kwie 2018, 17:02

Strefa czasowa UTC+02:00




Nowy temat  Odpowiedz w temacie  [ Posty: 5 ] 
Autor Wiadomość
Post #1 : 27 sty 2016, 10:55 
Offline
CCIE/CCDE
CCIE/CCDE
Awatar użytkownika

Rejestracja: 08 mar 2004, 12:17
Posty: 2340
Lokalizacja: Wawa
Cytuj:
Wygląda ciekawie szczególnie, ze jestem po szkoleniu z NSX i obecnie prowadzimy rozmowy z Cisco odnośnie VXLAN EVPN i mamy podjąć decyzje w jaki produkt uderzyć. Chętnie bym się dowiedział czegoś więcej na temat możliwości jakie oferuje Cisco w sprawie mikrosegmentacji i security East-West. Dodatkowo, wiem ze Cisco jako jedyny z graczy nie ogłosił sprzętowego wsparcia dla VTEP na swoich switchach ToR.
Cisco N9k w trybie NX-OS ma jak najbardziej możliwości wsparcia HW VTEP również dla NSX. Security East-West na Cisco, czyli jak rozumiem masz na myśli ACI, jest zależne od hypervisora oraz użytego switcha wirtualnego. Mikrosegmentacja w ACI np. dla ESXi wymaga użycia private VLANs oraz uruchomienia sieci overlay. Jest zero jedynkowa w oparciu o ACL. Mikrosegmentacja w NSX, to stateful firewall, identity firewall, nie wymaga uruchomienia sieci overlay. Może być selektywna w oparciu o reguły dystrybucyjnego firewalla. Ale zanim bym polecił ACI lub NSX musiałbym mieć więcej informacji o obecnym środowisku i jego wymaganiach.


Ostatnio zmieniony 01 sty 1970, 01:00 przez gangrena, łącznie zmieniany 1 raz.

Na górę
 Tytuł:
Post #2 : 27 sty 2016, 11:42 
Offline
CCIE
CCIE

Rejestracja: 17 gru 2010, 15:23
Posty: 793
Lokalizacja: Dublin
Cytuj:
Cisco N9k w trybie NX-OS ma jak najbardziej możliwości wsparcia HW VTEP również dla NSX.
Jest jakis oficjalny dokument na ten temat, ze Cisco ma wsparcie hardwarowe dla NSX VTEP?
Cytuj:
Security East-West na Cisco, czyli jak rozumiem masz na myśli ACI, jest zależne od hypervisora oraz użytego switcha wirtualnego.
Tak, bo Cisco nie oferuje innej opcji jak ACI jeśli chodzi o mikrosegmentacje East-West, przynajmniej nie słyszałem o innym rozwiązaniu.
Cytuj:
Mikrosegmentacja w ACI np. dla ESXi wymaga użycia private VLANs oraz uruchomienia sieci overlay. Jest zero jedynkowa w oparciu o ACL.
Możesz napisać cos więcej na ten temat. Albo jak masz jakiś dokument który to fajnie opisuje to chętnie bym zgłębił temat :)

Cytuj:
Mikrosegmentacja w NSX, to stateful firewall, identity firewall, nie wymaga uruchomienia sieci overlay. Może być selektywna w oparciu o reguły dystrybucyjnego firewalla. Ale zanim bym polecił ACI lub NSX musiałbym mieć więcej informacji o obecnym środowisku i jego wymaganiach.
NSX i mówią to sami ludzie VMware jest wdrażany własnie z tego powodu, ze FW jest zaimplementowany w kernel i pozwala na Statefull FW per VM oraz tworzenie security grup, gdzie VM może być wrzucana do odpowiedniej grup na podstawie rożnych tagow jak np. name etc.

NSX rowniez jeśli chodzi o VXLAN pozwala na tryb unicast wiec nie musimy miec odpalonego multicastu w core IP, Cisco wspiera również unicast. Wada NSX na chwile obecna v 6.2 jest to, ze ma wsparcie maksymalnie 8 klastrów, wiec jeśli masz sytuacja, gdzie per DC masz więcej klastrów, to może być problem, jeśli masz większa ilość DC np 6 i chciałbyś zrobić pomiędzy nimi overlay L2 network. NSX ma jeszcze inne ograniczenia jak np control VM, która jest odpowiedzialna za routing itd. Jeśli chodzi o skalowalność zdecydowanie poszedłbym w VXLAN EVPN z drugiej strony jeśli, ktoś ma male środowiska DC to NSX jest dobrym wyborem :)

Pozdro,


Na górę
 Tytuł:
Post #3 : 27 sty 2016, 12:16 
Offline
CCIE/CCDE
CCIE/CCDE
Awatar użytkownika

Rejestracja: 08 mar 2004, 12:17
Posty: 2340
Lokalizacja: Wawa
Cytuj:
Cytuj:
Cisco N9k w trybie NX-OS ma jak najbardziej możliwości wsparcia HW VTEP również dla NSX.
Jest jakis oficjalny dokument na ten temat, ze Cisco ma wsparcie hardwarowe dla NSX VTEP?
Nie widziałem, by był opublikowany, ale pewnie się pokaże w ciągu 1-2 miesięcy.
Cytuj:
Cytuj:
Security East-West na Cisco, czyli jak rozumiem masz na myśli ACI, jest zależne od hypervisora oraz użytego switcha wirtualnego.
Tak, bo Cisco nie oferuje innej opcji jak ACI jeśli chodzi o mikrosegmentacje East-West, przynajmniej nie słyszałem o innym rozwiązaniu.
Wspomniałeś o security East-West, a to nie to samo, co mikrosegmentacja.
Cytuj:
Cytuj:
Mikrosegmentacja w ACI np. dla ESXi wymaga użycia private VLANs oraz uruchomienia sieci overlay. Jest zero jedynkowa w oparciu o ACL.
Możesz napisać cos więcej na ten temat. Albo jak masz jakiś dokument który to fajnie opisuje to chętnie bym zgłębił temat :)
Nie jest to jeszcze dokładnie opisane, gdyż łatana mikrosegmentacja w ACI dla ESXi dopiero ma się ukazać.
Cytuj:
Cytuj:
Mikrosegmentacja w NSX, to stateful firewall, identity firewall, nie wymaga uruchomienia sieci overlay. Może być selektywna w oparciu o reguły dystrybucyjnego firewalla. Ale zanim bym polecił ACI lub NSX musiałbym mieć więcej informacji o obecnym środowisku i jego wymaganiach.
NSX i mówią to sami ludzie VMware jest wdrażany własnie z tego powodu, ze FW jest zaimplementowany w kernel i pozwala na Statefull FW per VM oraz tworzenie security grup, gdzie VM może być wrzucana do odpowiedniej grup na podstawie rożnych tagow jak np. name etc.
Około 40% wdrożeń NSX jest z uwagi na mikrosegmentację.
Cytuj:
NSX rowniez jeśli chodzi o VXLAN pozwala na tryb unicast wiec nie musimy miec odpalonego multicastu w core IP, Cisco wspiera również unicast.
NSX wspiera unicast, hybrid oraz mcast mode. Zatem można wybrać, co bardziej pasuje.
Cytuj:
Wada NSX na chwile obecna v 6.2 jest to, ze ma wsparcie maksymalnie 8 klastrów, wiec jeśli masz sytuacja, gdzie per DC masz więcej klastrów, to może być problem, jeśli masz większa ilość DC np 6 i chciałbyś zrobić pomiędzy nimi overlay L2 network.
Z tego, co wiem, to NSX 6.2 wspiera 16 klastrów vCenter. Jeżeli nawet założymy dwa klastry per DC, to daje to 8 DC. To sporo, nawet jak dla operatorów. Dodatkowo trzeba pamiętać, że klastry vCenter mogą rozciągać się między DC (jeżeli nie są daleko do siebie). W ACI przy założeniu 2 switchy spine per DC można uzyskać tylko 3 DC. Chyba, że mówimy o NX-OS + EVPN, ale wówczas każde urządzenie musi być zarządzane oddzielnie, brak kontrolera, brak automatyzacji (chyba, że API), brak mikrosegmentacji. Wszystko zależy od użytej wirtualizacji.
Cytuj:
NSX ma jeszcze inne ograniczenia jak np control VM, która jest odpowiedzialna za routing itd. Jeśli chodzi o skalowalność zdecydowanie poszedłbym w VXLAN EVPN z drugiej strony jeśli, ktoś ma male środowiska DC to NSX jest dobrym wyborem :)
Hmm.. jakie ograniczenia masz na myśli odnośnie control VM? Od 6.2 NSX nadaje się również do dużych środowisk. :)


Na górę
 Tytuł:
Post #4 : 27 sty 2016, 14:29 
Offline
CCIE
CCIE
Awatar użytkownika

Rejestracja: 23 sty 2008, 14:21
Posty: 313
Lokalizacja: Singapore, SG
Cytuj:
Cytuj:
Cytuj:
Cisco N9k w trybie NX-OS ma jak najbardziej możliwości wsparcia HW VTEP również dla NSX.
Jest jakis oficjalny dokument na ten temat, ze Cisco ma wsparcie hardwarowe dla NSX VTEP?
Nie widziałem, by był opublikowany, ale pewnie się pokaże w ciągu 1-2 miesięcy.
O, to jednak się dogadali? Nie słyszałem nic.

Dla mniej zorientowanych:
Były sobie dwa NSXy - "MH" (multi-hypervisor, używający OVS), i "v" (nowy, używający własnego słicza i control plane).
Wszelakie "hardware VTEP support" dla NSX były właśnie dla NSH-MH; na takiej Ariście trzeba było agenta ovs zainstalować/włączyć, i po zabawie.
Trik z NSX-v jest (był?) taki, że control plane jest (było?) szyfrowane/proprietary, a VMware kazało sobie płacić za agenta. A Cisco płacić nie chciało (plotka głosiła).

Cytuj:
Cytuj:
Mikrosegmentacja w ACI np. dla ESXi wymaga użycia private VLANs oraz uruchomienia sieci overlay. Jest zero jedynkowa w oparciu o ACL.
Możesz napisać cos więcej na ten temat. Albo jak masz jakiś dokument który to fajnie opisuje to chętnie bym zgłębił temat :)
W skrócie, tworzy się "private VLAN" port-grupa w DVSie, a portem promiscuous jest leaf switch ACI. Czyli jak VMki chcą ze sobą gadać, pakiet musi być wypchnięty z serwera, "odbić się" od słicza (tam jest sprawdzany kontrakt, i być może redirect do firewalla), pakiet wraca do serwera (drugiej VMki).
Działa obecnie w Hyper-V, w VMware na razie testowo (nie trzeba żadnych AVSów instalować, zwykły VDS/dVS). W OpenStacku też chyba tylko testowo (z użyciem Group Base Policy agenta).

Cytuj:
Nie jest to jeszcze dokładnie opisane, gdyż łatana mikrosegmentacja w ACI dla ESXi dopiero ma się ukazać.
E tam, wszystko jest opisane, ale "Cisco confidential" na razie.


Na górę
 Tytuł:
Post #5 : 28 sty 2016, 07:51 
Offline
CCIE/CCDE
CCIE/CCDE
Awatar użytkownika

Rejestracja: 08 mar 2004, 12:17
Posty: 2340
Lokalizacja: Wawa
Cytuj:
O, to jednak się dogadali? Nie słyszałem nic.
Ponoć tak, teraz Cisco przechodzi proces certyfikacji. Do połowy roku uzbiera się spora lista wendorów.
Cytuj:
Cytuj:
Nie jest to jeszcze dokładnie opisane, gdyż łatana mikrosegmentacja w ACI dla ESXi dopiero ma się ukazać.
E tam, wszystko jest opisane, ale "Cisco confidential" na razie.
No dokładnie w tym znaczeniu. Nie jest to dokładnie opisane publicznie, ale wiadomo, wewnętrzne specyfikacje musiały istnieć dużo wcześniej.


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie  [ Posty: 5 ] 

Strefa czasowa UTC+02:00


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Technologię dostarcza phpBB® Forum Software © phpBB Limited
Polski pakiet językowy dostarcza phpBB.pl