Data Center LISP VM Mobility

Problemy i dyskusje z zakresu rozwiązań i technologii Data Center
Wiadomość
Autor
martino76
CCIE
CCIE
Posty: 883
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

Data Center LISP VM Mobility

#1

#1 Post autor: martino76 »

Witam,

Mam 4 DC załóżmy DC1-DC4 spięte ze sobą za pomocą MP+BGP gdzie klienci maja swoje VRF-y.

Załóżmy, ze w DC1 mam klienta X i przypisany dla niego publiczny IP X.X.X.X/24 oraz subnet, w którym mam kilka VM w podsieci 10.10.10.0/24. Teraz założenie jest takie by przenieść VM z podsieci 10.10.10.0/24 do DC-2. Z tym nie mam problemu gdyż pomiędzy DC's mam OTV/VXLAN, które zapewni mi L2 Overlay.

Po przeniesieniu VM z podsieci 10.10.10.0/24 do DC-2, klient X ma przypisany publiczny subnet Y.Y.Y.Y/24, gdzie będzie robiony NAT i DC-2 będzie służyć jako wyjście do Internet.

Czy jest możliwość za pomocą LISP sterować IP flow w taki sposób by traffic z internetu był wysyłana do DC-2 na adres Y.Y.Y.Y jeśli DNS rekordy wskazują na address X.X.X.X. Wiem, zaraz się ktoś zapyta lub powie, ze mogę zmienić DNS rekordy na nowy IP, mogę to zrobić ale załóżmy, ze chciałbym dalej uzywac adresu publicznego z DC-1 w rekordach DNS. Ale chciałbym by trafik nie był wysyłany do DC-1 a później poprzez DCI do DC-2, tylko bezpośrednio z internetu do DC-2

Czy odpowiednie skonfigurowanie LISP Proxy Ingress Tunnel Router mogło by być pomocne by osiągnąć takie efekt?


Pozdro,

Awatar użytkownika
gangrena
CCIE/CCDE
CCIE/CCDE
Posty: 2349
Rejestracja: 08 mar 2004, 12:17
Lokalizacja: Wawa

Re: Data Center LISP VM Mobility

#2

#2 Post autor: gangrena »

martino76 pisze:Witam,

Mam 4 DC załóżmy DC1-DC4 spięte ze sobą za pomocą MP+BGP gdzie klienci maja swoje VRF-y.

Załóżmy, ze w DC1 mam klienta X i przypisany dla niego publiczny IP X.X.X.X/24 oraz subnet, w którym mam kilka VM w podsieci 10.10.10.0/24. Teraz założenie jest takie by przenieść VM z podsieci 10.10.10.0/24 do DC-2. Z tym nie mam problemu gdyż pomiędzy DC's mam OTV/VXLAN, które zapewni mi L2 Overlay.

Po przeniesieniu VM z podsieci 10.10.10.0/24 do DC-2, klient X ma przypisany publiczny subnet Y.Y.Y.Y/24, gdzie będzie robiony NAT i DC-2 będzie służyć jako wyjście do Internet.

Czy jest możliwość za pomocą LISP sterować IP flow w taki sposób by traffic z internetu był wysyłana do DC-2 na adres Y.Y.Y.Y jeśli DNS rekordy wskazują na address X.X.X.X. Wiem, zaraz się ktoś zapyta lub powie, ze mogę zmienić DNS rekordy na nowy IP, mogę to zrobić ale załóżmy, ze chciałbym dalej uzywac adresu publicznego z DC-1 w rekordach DNS. Ale chciałbym by trafik nie był wysyłany do DC-1 a później poprzez DCI do DC-2, tylko bezpośrednio z internetu do DC-2

Czy odpowiednie skonfigurowanie LISP Proxy Ingress Tunnel Router mogło by być pomocne by osiągnąć takie efekt?
Miało być powiązanie NAT z LISP. Info z 2011: http://www.cisco.com/c/dam/en/us/td/doc ... p_note.pdf
Using a dummy lisp database-mapping command entry is a temporary workaround for enabling private-to-EID NAT translation prior to LISP encapsulation. A future release of Cisco IOS LISP will include a mechanism for identifying private-to-EID NAT eligible prefixes without the need for this dummy entry.
Nie widzę tego w nowych odsłonach softu. Nawet jakby było, to LISP jest wystarczający. Moim zdaniem NAT oraz LISP jednocześnie, to duplikacja mechanizmów służących wysterowaniu ruchu wchodzącego. Jeżeli stosujesz LISP, to NAT nie jest potrzebny i na odwrót.

Czy na brzegu DC jest firewall? Jeżeli tak, to NAT powoduje problem z przeniesieniem sesji z jednego DC do drugiego DC.

Jeżeli proporcja ruchu North-South do East-West ma się jak np. 80 do 20, to nie przejmowałbym się ruchem skrośnym. LISP i tak nie pomoże we wszystkich przypadkach. Korzyści są zbyt małe kosztem komplikacji rozwiązania.

Obecnie można obyć się bez OTV, który wymaga rozciągania VLAN-ów. Wystarczy VXLAN. Routed vMotion umożliwia przeniesienie VM do innego DC bez L2, zaś VXLAN zapewnia połączenie L2 między klastrami urządzeń lub VM. Piszę o tym dlatego, że jest spora różnica w wielkości domeny rozgłoszeniowej w OTV rozciągniętego na 4 DC, a VXLAN. Widać postępującą ewolucję rozwiązań DCI. Kiedyś VPLS działał lepiej, niż OTV. Potem OTV dojrzał. Teraz do głosu dochodzi EVPN/VXLAN, który ma więcej zalet.

martino76
CCIE
CCIE
Posty: 883
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

Re: Data Center LISP VM Mobility

#3

#3 Post autor: martino76 »

gangrena pisze: Nie widzę tego w nowych odsłonach softu. Nawet jakby było, to LISP jest wystarczający. Moim zdaniem NAT oraz LISP jednocześnie, to duplikacja mechanizmów służących wysterowaniu ruchu wchodzącego. Jeżeli stosujesz LISP, to NAT nie jest potrzebny i na odwrót.
Jak rozumiem LISP wystarczy w przypadku kiedy komunikacja jest do innych lokalizacji z LISP, ponieważ pakiety są enkapsulowane. A co w przypadku kiedy trafik ma lecieć do no-LISP np. onet.pl? Czy w takim przypadku nie potrzebujemy NAT jeśli w DC używamy RFC1918? Czy wystarczy skonfigurować odpowiednio PxTR, który będzie odpowiedzialny za komunikacje z non-LISP site, jeśli tak to czy musimy posiadać proxy w każdej lokalizacji? Tutaj mam najwięcej niewiadomych, ponieważ nie ma za wiele info na temat no-LISP site deployment., ale jeszcze poszukam
gangrena pisze: Czy na brzegu DC jest firewall? Jeżeli tak, to NAT powoduje problem z przeniesieniem sesji z jednego DC do drugiego DC.
Tak w każdym z DC ma być Firewall ale jeszcze się zastanawiam czy będzie to fizyczny czy w przypadku zastosowania NSX/VXLAN będzie to DFW
gangrena pisze: Jeżeli proporcja ruchu North-South do East-West ma się jak np. 80 do 20, to nie przejmowałbym się ruchem skrośnym. LISP i tak nie pomoże we wszystkich przypadkach. Korzyści są zbyt małe kosztem komplikacji rozwiązania.
W przypadku DC oddalonych od siebie o 30km, tez nie będę się przejmował bo mamy fiber, ale mam sytuacje, gdzie jedno DC jest w Dublinie a drugie w Londynie i tutaj wolałbym uniknąć sytuacji gdzie trafik w przypadku vMotion do innego DC będzie używało DCI by wyjść do Internetu. W takim przypadku wolałbym użyć lokalnego ISP i załatwić sprawę za pomocą LISP, jeśli jest taka możliwość :) by trafik do tej maszyny również wracał poprzez lokalny ISP bez zmiany DNS lub stosowania GSS
gangrena pisze: Obecnie można obyć się bez OTV, który wymaga rozciągania VLAN-ów. Wystarczy VXLAN. Routed vMotion umożliwia przeniesienie VM do innego DC bez L2, zaś VXLAN zapewnia połączenie L2 między klastrami urządzeń lub VM. Piszę o tym dlatego, że jest spora różnica w wielkości domeny rozgłoszeniowej w OTV rozciągniętego na 4 DC, a VXLAN. Widać postępującą ewolucję rozwiązań DCI. Kiedyś VPLS działał lepiej, niż OTV. Potem OTV dojrzał. Teraz do głosu dochodzi EVPN/VXLAN, który ma więcej zalet.
Dlatego, tez zastanawiamy się nad EVPN/VXLAN ale te rozwiązanie będzie zdecydowanie droższe niż sam NSX/VXLAN, dodatkowo widzę, ze od wersji NSX 6.1 wspierany jest ESG trunk per NSX Edge co w przypadku multi tenant DC zapewnia również dobra skalowalnosc.

Pozdro,

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

Re: Data Center LISP VM Mobility

#4

#4 Post autor: lbromirs »

martino76 pisze:Jak rozumiem LISP wystarczy w przypadku kiedy komunikacja jest do innych lokalizacji z LISP, ponieważ pakiety są enkapsulowane. A co w przypadku kiedy trafik ma lecieć do no-LISP np. onet.pl? Czy w takim przypadku nie potrzebujemy NAT jeśli w DC używamy RFC1918? Czy wystarczy skonfigurować odpowiednio PxTR, który będzie odpowiedzialny za komunikacje z non-LISP site, jeśli tak to czy musimy posiadać proxy w każdej lokalizacji? Tutaj mam najwięcej niewiadomych, ponieważ nie ma za wiele info na temat no-LISP site deployment., ale jeszcze poszukam
Rzuć okiem tutaj. NAT to NAT, a PxTR to PxTR.
martino76 pisze:W przypadku DC oddalonych od siebie o 30km, tez nie będę się przejmował bo mamy fiber, ale mam sytuacje, gdzie jedno DC jest w Dublinie a drugie w Londynie i tutaj wolałbym uniknąć sytuacji gdzie trafik w przypadku vMotion do innego DC będzie używało DCI by wyjść do Internetu. W takim przypadku wolałbym użyć lokalnego ISP i załatwić sprawę za pomocą LISP, jeśli jest taka możliwość :) by trafik do tej maszyny również wracał poprzez lokalny ISP bez zmiany DNS lub stosowania GSS
Jeśli będziesz mógł wygospodarować odpowiednio dużo przestrzeni publicznej adresowej żeby użyć LISP, to tak, możesz użyć.

martino76
CCIE
CCIE
Posty: 883
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

#5

#5 Post autor: martino76 »

Witam,

Dziki za linka.

Znalazłem fajnego lab guide na link, może się komuś przyda.

Dodatkowo widzę na http://lisp.cisco.com/ następujące info, czy cos wiadomo kiedy pojawi się ten feature?
Cisco LISP NAT-Traversal (LISP-NAT-T) Details and Configuration Guide Roadmap
Pozdro,

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

#6

#6 Post autor: lbromirs »

AFAIK w XB12 był już kod (linia eksperymentalna), wszedł od 15.4S do IOS-XE "mainline" (15.3(3)S->15.4S).

Awatar użytkownika
gangrena
CCIE/CCDE
CCIE/CCDE
Posty: 2349
Rejestracja: 08 mar 2004, 12:17
Lokalizacja: Wawa

Re: Data Center LISP VM Mobility

#7

#7 Post autor: gangrena »

martino76 pisze:Jak rozumiem LISP wystarczy w przypadku kiedy komunikacja jest do innych lokalizacji z LISP, ponieważ pakiety są enkapsulowane. A co w przypadku kiedy trafik ma lecieć do no-LISP np. onet.pl? Czy w takim przypadku nie potrzebujemy NAT jeśli w DC używamy RFC1918? Czy wystarczy skonfigurować odpowiednio PxTR, który będzie odpowiedzialny za komunikacje z non-LISP site, jeśli tak to czy musimy posiadać proxy w każdej lokalizacji? Tutaj mam najwięcej niewiadomych, ponieważ nie ma za wiele info na temat no-LISP site deployment., ale jeszcze poszukam
Ano właśnie. Przy większej ilości lokalizacji IMHO lepiej zrobić NAT na PxTR (lub parze PxTR dla redundacji). Wówczas nie trzeba by ani podmieniać wpisu w DNS, ani robić N translacji na brzegu każdego z DC. Wada, to mniej optymalny przepływ ruchu, który kierowany by był przez PxTR, a nie bezpośrednio do danego DC.
martino76 pisze:Tak w każdym z DC ma być Firewall ale jeszcze się zastanawiam czy będzie to fizyczny czy w przypadku zastosowania NSX/VXLAN będzie to DFW
Pamiętaj tylko, że DFW nie jest firewallem warstwy 7. Jeżeli chciałbyś zmniejszyć ryzyko ataków w warstwie aplikacyjnej, to lepiej zastosować IPS np. Cisco Firepower lub innego vendora. Natomiast DFW lepiej się skaluje w porównaniu do standardowych firewalli, a już zupełnie nie ma odpowiednika dla zabezpieczenia ruchu East-West.
martino76 pisze:Dlatego, tez zastanawiamy się nad EVPN/VXLAN ale te rozwiązanie będzie zdecydowanie droższe niż sam NSX/VXLAN, dodatkowo widzę, ze od wersji NSX 6.1 wspierany jest ESG trunk per NSX Edge co w przypadku multi tenant DC zapewnia również dobra skalowalnosc.
Per tenant można uruchomić osobne ESG w razie potrzeby.

Co do decyzji i wyborem rozwiązania, to EVPN/VXLAN odpowiada na potrzeby typowo sieciowe. NSX, to odpowiedź na potrzeby całego Data Center, w tym aplikacji. Wpasowuje się w trend budowy chmury hybrydowej, ułatwia ew. migrację VM/kontenerów z lokalnego DC do chmury publicznej i z powrotem, wspólny hypervisor ułatwia dołączenie pod jedno zarządzanie computing, networking oraz storage (VSAN), umożliwia budowanie szablonów połączeń między aplikacjami, itd. Dlatego spojrzałbym dodatkowo na tą decyzję strategicznie. Czy firma będzie chciała w przyszłości udostępniać developerom chmurę publiczną, jakie aplikacje będą uruchamiane, czy DC będzie udostępniane zew. klientom? Jak wyglądają pozostałe elementy DC, gdzie będzie rozciągać się klastrowanie, jaka replikacja, gdzie LB (nasz LB wiadomo gdzie;), gdzie SSL-offload (NSX też się przyda), czy ma być widoczność aplikacji, itp.?
martino76 pisze:Dodatkowo widzę na http://lisp.cisco.com/ następujące info, czy cos wiadomo kiedy pojawi się ten feature?

Cisco LISP NAT-Traversal (LISP-NAT-T) Details and Configuration Guide Roadmap
Moim zdaniem, LISP-NAT-T jest przydatny w sytuacji, gdy RLOC nie jest routowalny globalnie. U Ciebie EID pochodzi z puli prywatnej, zaś RLOC jest publiczny. Można to zmienić, ale wymaga to użycia RTR. Czyli to takie przeniesienie NAT na PxTR.

ODPOWIEDZ