Cisco N9k w trybie NX-OS ma jak najbardziej możliwości wsparcia HW VTEP również dla NSX. Security East-West na Cisco, czyli jak rozumiem masz na myśli ACI, jest zależne od hypervisora oraz użytego switcha wirtualnego. Mikrosegmentacja w ACI np. dla ESXi wymaga użycia private VLANs oraz uruchomienia sieci overlay. Jest zero jedynkowa w oparciu o ACL. Mikrosegmentacja w NSX, to stateful firewall, identity firewall, nie wymaga uruchomienia sieci overlay. Może być selektywna w oparciu o reguły dystrybucyjnego firewalla. Ale zanim bym polecił ACI lub NSX musiałbym mieć więcej informacji o obecnym środowisku i jego wymaganiach.martino76 pisze:Wygląda ciekawie szczególnie, ze jestem po szkoleniu z NSX i obecnie prowadzimy rozmowy z Cisco odnośnie VXLAN EVPN i mamy podjąć decyzje w jaki produkt uderzyć. Chętnie bym się dowiedział czegoś więcej na temat możliwości jakie oferuje Cisco w sprawie mikrosegmentacji i security East-West. Dodatkowo, wiem ze Cisco jako jedyny z graczy nie ogłosił sprzętowego wsparcia dla VTEP na swoich switchach ToR.
VTEP a Nexus, ACI, NSX (wydzielone z CCDE Bootcamp 1HCY2015)
VTEP a Nexus, ACI, NSX (wydzielone z CCDE Bootcamp 1HCY2015)
Ostatnio zmieniony 01 sty 1970, 01:00 przez gangrena, łącznie zmieniany 1 raz.
Jest jakis oficjalny dokument na ten temat, ze Cisco ma wsparcie hardwarowe dla NSX VTEP?gangrena pisze:Cisco N9k w trybie NX-OS ma jak najbardziej możliwości wsparcia HW VTEP również dla NSX.
Tak, bo Cisco nie oferuje innej opcji jak ACI jeśli chodzi o mikrosegmentacje East-West, przynajmniej nie słyszałem o innym rozwiązaniu.gangrena pisze:Security East-West na Cisco, czyli jak rozumiem masz na myśli ACI, jest zależne od hypervisora oraz użytego switcha wirtualnego.
Możesz napisać cos więcej na ten temat. Albo jak masz jakiś dokument który to fajnie opisuje to chętnie bym zgłębił tematgangrena pisze:Mikrosegmentacja w ACI np. dla ESXi wymaga użycia private VLANs oraz uruchomienia sieci overlay. Jest zero jedynkowa w oparciu o ACL.
NSX i mówią to sami ludzie VMware jest wdrażany własnie z tego powodu, ze FW jest zaimplementowany w kernel i pozwala na Statefull FW per VM oraz tworzenie security grup, gdzie VM może być wrzucana do odpowiedniej grup na podstawie rożnych tagow jak np. name etc.gangrena pisze:Mikrosegmentacja w NSX, to stateful firewall, identity firewall, nie wymaga uruchomienia sieci overlay. Może być selektywna w oparciu o reguły dystrybucyjnego firewalla. Ale zanim bym polecił ACI lub NSX musiałbym mieć więcej informacji o obecnym środowisku i jego wymaganiach.
NSX rowniez jeśli chodzi o VXLAN pozwala na tryb unicast wiec nie musimy miec odpalonego multicastu w core IP, Cisco wspiera również unicast. Wada NSX na chwile obecna v 6.2 jest to, ze ma wsparcie maksymalnie 8 klastrów, wiec jeśli masz sytuacja, gdzie per DC masz więcej klastrów, to może być problem, jeśli masz większa ilość DC np 6 i chciałbyś zrobić pomiędzy nimi overlay L2 network. NSX ma jeszcze inne ograniczenia jak np control VM, która jest odpowiedzialna za routing itd. Jeśli chodzi o skalowalność zdecydowanie poszedłbym w VXLAN EVPN z drugiej strony jeśli, ktoś ma male środowiska DC to NSX jest dobrym wyborem
Pozdro,
Nie widziałem, by był opublikowany, ale pewnie się pokaże w ciągu 1-2 miesięcy.martino76 pisze:Jest jakis oficjalny dokument na ten temat, ze Cisco ma wsparcie hardwarowe dla NSX VTEP?gangrena pisze:Cisco N9k w trybie NX-OS ma jak najbardziej możliwości wsparcia HW VTEP również dla NSX.
Wspomniałeś o security East-West, a to nie to samo, co mikrosegmentacja.martino76 pisze:Tak, bo Cisco nie oferuje innej opcji jak ACI jeśli chodzi o mikrosegmentacje East-West, przynajmniej nie słyszałem o innym rozwiązaniu.gangrena pisze:Security East-West na Cisco, czyli jak rozumiem masz na myśli ACI, jest zależne od hypervisora oraz użytego switcha wirtualnego.
Nie jest to jeszcze dokładnie opisane, gdyż łatana mikrosegmentacja w ACI dla ESXi dopiero ma się ukazać.martino76 pisze:Możesz napisać cos więcej na ten temat. Albo jak masz jakiś dokument który to fajnie opisuje to chętnie bym zgłębił tematgangrena pisze:Mikrosegmentacja w ACI np. dla ESXi wymaga użycia private VLANs oraz uruchomienia sieci overlay. Jest zero jedynkowa w oparciu o ACL.
Około 40% wdrożeń NSX jest z uwagi na mikrosegmentację.martino76 pisze:NSX i mówią to sami ludzie VMware jest wdrażany własnie z tego powodu, ze FW jest zaimplementowany w kernel i pozwala na Statefull FW per VM oraz tworzenie security grup, gdzie VM może być wrzucana do odpowiedniej grup na podstawie rożnych tagow jak np. name etc.gangrena pisze:Mikrosegmentacja w NSX, to stateful firewall, identity firewall, nie wymaga uruchomienia sieci overlay. Może być selektywna w oparciu o reguły dystrybucyjnego firewalla. Ale zanim bym polecił ACI lub NSX musiałbym mieć więcej informacji o obecnym środowisku i jego wymaganiach.
NSX wspiera unicast, hybrid oraz mcast mode. Zatem można wybrać, co bardziej pasuje.martino76 pisze:NSX rowniez jeśli chodzi o VXLAN pozwala na tryb unicast wiec nie musimy miec odpalonego multicastu w core IP, Cisco wspiera również unicast.
Z tego, co wiem, to NSX 6.2 wspiera 16 klastrów vCenter. Jeżeli nawet założymy dwa klastry per DC, to daje to 8 DC. To sporo, nawet jak dla operatorów. Dodatkowo trzeba pamiętać, że klastry vCenter mogą rozciągać się między DC (jeżeli nie są daleko do siebie). W ACI przy założeniu 2 switchy spine per DC można uzyskać tylko 3 DC. Chyba, że mówimy o NX-OS + EVPN, ale wówczas każde urządzenie musi być zarządzane oddzielnie, brak kontrolera, brak automatyzacji (chyba, że API), brak mikrosegmentacji. Wszystko zależy od użytej wirtualizacji.martino76 pisze:Wada NSX na chwile obecna v 6.2 jest to, ze ma wsparcie maksymalnie 8 klastrów, wiec jeśli masz sytuacja, gdzie per DC masz więcej klastrów, to może być problem, jeśli masz większa ilość DC np 6 i chciałbyś zrobić pomiędzy nimi overlay L2 network.
Hmm.. jakie ograniczenia masz na myśli odnośnie control VM? Od 6.2 NSX nadaje się również do dużych środowisk.martino76 pisze:NSX ma jeszcze inne ograniczenia jak np control VM, która jest odpowiedzialna za routing itd. Jeśli chodzi o skalowalność zdecydowanie poszedłbym w VXLAN EVPN z drugiej strony jeśli, ktoś ma male środowiska DC to NSX jest dobrym wyborem
O, to jednak się dogadali? Nie słyszałem nic.gangrena pisze:Nie widziałem, by był opublikowany, ale pewnie się pokaże w ciągu 1-2 miesięcy.martino76 pisze:Jest jakis oficjalny dokument na ten temat, ze Cisco ma wsparcie hardwarowe dla NSX VTEP?gangrena pisze:Cisco N9k w trybie NX-OS ma jak najbardziej możliwości wsparcia HW VTEP również dla NSX.
Dla mniej zorientowanych:
Były sobie dwa NSXy - "MH" (multi-hypervisor, używający OVS), i "v" (nowy, używający własnego słicza i control plane).
Wszelakie "hardware VTEP support" dla NSX były właśnie dla NSH-MH; na takiej Ariście trzeba było agenta ovs zainstalować/włączyć, i po zabawie.
Trik z NSX-v jest (był?) taki, że control plane jest (było?) szyfrowane/proprietary, a VMware kazało sobie płacić za agenta. A Cisco płacić nie chciało (plotka głosiła).
W skrócie, tworzy się "private VLAN" port-grupa w DVSie, a portem promiscuous jest leaf switch ACI. Czyli jak VMki chcą ze sobą gadać, pakiet musi być wypchnięty z serwera, "odbić się" od słicza (tam jest sprawdzany kontrakt, i być może redirect do firewalla), pakiet wraca do serwera (drugiej VMki).martino76 pisze:Możesz napisać cos więcej na ten temat. Albo jak masz jakiś dokument który to fajnie opisuje to chętnie bym zgłębił tematgangrena pisze:Mikrosegmentacja w ACI np. dla ESXi wymaga użycia private VLANs oraz uruchomienia sieci overlay. Jest zero jedynkowa w oparciu o ACL.
Działa obecnie w Hyper-V, w VMware na razie testowo (nie trzeba żadnych AVSów instalować, zwykły VDS/dVS). W OpenStacku też chyba tylko testowo (z użyciem Group Base Policy agenta).
E tam, wszystko jest opisane, ale "Cisco confidential" na razie.gangrena pisze:Nie jest to jeszcze dokładnie opisane, gdyż łatana mikrosegmentacja w ACI dla ESXi dopiero ma się ukazać.
Ponoć tak, teraz Cisco przechodzi proces certyfikacji. Do połowy roku uzbiera się spora lista wendorów.konradrz pisze:O, to jednak się dogadali? Nie słyszałem nic.
No dokładnie w tym znaczeniu. Nie jest to dokładnie opisane publicznie, ale wiadomo, wewnętrzne specyfikacje musiały istnieć dużo wcześniej.konradrz pisze:E tam, wszystko jest opisane, ale "Cisco confidential" na razie.gangrena pisze:Nie jest to jeszcze dokładnie opisane, gdyż łatana mikrosegmentacja w ACI dla ESXi dopiero ma się ukazać.