martedì 27 dicembre 2011

COSTRUIRE RETI IPV6 ACCESSO WEBINAR

Cisco IOS recente release sono miglioramenti significativi in DHCPv6 funzionalità IPv6 e altre funzioni di rete di accesso. Questi miglioramenti, nonché ulteriori modalità di accesso alla rete (incluso 6RD), saranno descritte nel Accesso Costruire reti IPv6 webinar il 25 gennaio.
La sessione dal vivo WebEx sarà una sessione di aggiornamento per la costruzione Core Service Provider IPv6 webinar. Quando si registra per la sessione di aggiornamento, avrete accesso immediato ai materiali webinar originale e in streaming le registrazioni delle sedute passate. Prima della sessione live, potrai anche ottenere la registrazione scaricabile (in formato MP4) di quelle parti del webinar originale che non saranno coperti nella sessione live WebEx.
Poiché si tratta di una sessione di aggiornamento, avrete accesso automatico alle nuove registrazioni, dopo il 25 gennaio ° sessione se avete acquistato il Palazzo IPv6 Service Provider webinar registrazione o partecipato a una sessione WebEx vivere nel passato.

martedì 20 dicembre 2011

NAT È UNA FUNZIONE DI SICUREZZA?

15 anni dopo NAT è stato inventato, sto ancora ricevendo domande sulla falsariga di "NAT è una caratteristica di sicurezza?" Risposta breve: NO!
Rispondo più: NAT ha alcuni effetti collaterali che assomigliano a meccanismi di sicurezza comunemente usata al bordo della rete. Che non lo rende un elemento di sicurezza, tanto più che ci sono tante varianti di NAT.

Di base NAT

NAT di base (come definito nella RFC 2663 ) esegue solo la traduzione di indirizzi IP (uno all'interno ospita un indirizzo IP nel pool NAT). Nel momento in cui l'host all'interno avvia una sessione attraverso il NAT, diventa completamente esposti al mondo esterno.
Quando si utilizza NAT statico di base (definito in modo statico all'interno a fuori mappatura degli indirizzi IP), l'host interno è esposto tutto il tempo.
Sommario: NAT di base non fornisce alcuna sicurezza.

Stateless NAT

Alcuni IPv6-to-IPv4 (o 4-a-6) algoritmi di NAT sono apolidi - indirizzo IPv6 viene calcolato in base IPv4 utilizzando un algoritmo (o configurazione del dispositivo). Dal punto di vista della sicurezza, apolidi NAT non è diverso da statico NAT di base (leggi: inutile).

Network Address Port Translation (NAPT)

NAPT (noto anche come PAT) mantiene un elenco di sessioni stabilite e utilizza tale elenco per eseguire indirizzo e traduzione porto di pacchetti in entrata e in uscita. Se un pacchetto sconosciuto arriva da dentro l'interfaccia, una nuova voce viene creata, se un pacchetto sconosciuto arriva dall'interfaccia esterna, è caduto.
Non esiste un comportamento "standard" NAPT. RFC 4787 descrive i parametri NAPT vari; i più importanti per la sicurezza legati discussione sono il Indirizzo e Port Mappingcomportamenti .
Con la mappatura degli endpoint indipendente , la tabella di traduzione NAT contiene solo l'indirizzo IP interno e porta TCP / UDP (comportamento di default sulla maggior parte dei dispositivi di fascia bassa). Non appena l'host all'interno si apre una sessione tramite NAT, chiunque può inviare i pacchetti TCP o UDP per la porta sorgente utilizzato da tale host.
Cisco IOS implementa solitamente Indirizzo e Port-Dependent Mapping - la tabella di traduzione NAT contiene piena 5-tupla (indirizzo sorgente / destinazione / porta e il protocollo L4).
Dispositivo NAPT utilizzando l'indirizzo e la porta-dipendente mappatura sembra comportarsi come un firewall stateful, ma non controllare il contenuto del protocollo TCP / UDP sessione e non controlla la validità delle intestazioni TCP. Il suo comportamento è quasi identica a quella caratteristica riflessiva ACL .
Sommario : NAPT fornisce alcune funzionalità di filtraggio dei pacchetti. NAPT statica è identico ad un semplice filtro di pacchetti (tutto ciò che è tradotto dalle regole NAPT statica è consentito).

Altre considerazioni

Mentre abbiamo sicuramente bisogno di firewall e / o filtri di pacchetti alla periferia della rete, la maggior parte del lavoro di attacchi di oggi sul livello di applicazione, utilizzando SQL injection o "minacce avanzate persistenti", come l'invio di un file Excel o PDF con un 0-day exploit ad un click -felice utente . Per maggiori informazioni, si prega di ascoltare ilpusher Packet Podcast Mostra 56 e 61 Mostra .
Infine, non voglio discutere l'assurdità della sicurezza-by-oscurità argomento ( Facciamo proteggere la rete da nascondere gli indirizzi interni con NAT ). Si prega di non citare nemmeno nei commenti.

lunedì 19 dicembre 2011

LINK INTERESSANTI

Strumento più cool della settimana: mxtommy / Cisco-SSH-Client . Thomas St. Pierre ha fatto un lavoro fantastico - ha modificato client SSH per colorare i tabulati generati dai router Cisco (VIM simile a quello che sta facendo per il codice sorgente). Scarica la patch client SSH, ricompilare il client SSH, e buon divertimento!
E qui ci sono i link di altri accumulato nella mia posta in arrivo, questa volta in formato un po 'più strutturato ... e una (si spera interessante) sorpresa alla fine.

Nuvole

ASCII da Jason Scott / FUCK THE CLOUD : una visione molto accurata l'affidabilità dei servizi cloud (e quanto si dovrebbe dipendere da loro).
Redux: Patch per il Cloud | di sopravvivenza razionale : Un post sul blog di 2 anni dalla coppa @ predire il Reboot Amazon Fiesta. La sua sfera di cristallo è trasparente;)
VMware: Ripensare IT: Evitare Monkeys Chaos - nuvole che proattivamente evitare tempi di inattività del cliente : Un articolo molto rilevante dopo il riavvio Amazon Fiesta
Alta scalabilità - Elevata scalabilità - Netflix: sviluppo, distribuzione e supporto del software Secondo la Via della Nuvola : L'uso delle macchine virtuali in Amazon EC2 cloud permette Netflix di implementare nuove versioni del software di modo di produzione più semplice che è possibile in un data center tradizionale.

Data Center

Fragmentation Needed: Pensando dimensionamento del dominio di broadcast : C'è solo una risposta alla "quando è il mio dominio di broadcast troppo grande" domanda - Dipende. Nel suo blog, Chris Marget discute alcuni dei parametri meno evidenti che ho chiaramente perso.
Coding Relic: Requiem per Jumbo Frame : Un altro eccellente articolo di Gentry Denton, che descrive i problemi jumbo frame cercato di risolvere, e perché sono in gran parte irrilevanti oggi.
F5 Venerdì: bilanciamento del carico di MySQL con F5 BIG-IP : F5 appena rimosso un altro ostacolo alla scaling-out craplications esistenti. Anche se non la sviluppatori di applicazioni sentito parlare di master / slave server di database, BIG-IP può bilanciare il carico di un solo indirizzo IP tra R / W e R / O server basati su richieste SQL ... se solo avessero implementare il supporto per le transazioni. Ma credo che sarebbe solo un paio di modifiche più alla iRules;)
Virtualizzazione e Cloud Computing: una tecnologica El Nino : La virtualizzazione sta cambiando gli schemi di traffico di NS di EW e causando tromboni traffico. Una bella panoramica da Lori MacVittie. Conclusione: bisogna capire le infrastrutture si lavora. Non potrebbe essere più d'accordo.
Gigamon Side Story - Il Overlord Data Center : Un altro grande descrizione del prodotto Gigamon. Se stai progettando un nuovo centro dati, sicuramente la possibilità di inserire Gigamon nella progettazione.
Perché Diventare Un CCIE non risolve Essere inesperti : superamento di un esame CCIE non ti rende un ingegnere esperto di networking. Le Banche fantastico Ethan al suo meglio.

Internet

RFC 6458 - Zoccoli estensioni API per il Transmission Control Protocol Stream (SCTP) : speravo che avrebbero capire un modo per fare apparire come SCTP ​​TCP per l'API socket (permettendo così di essere utilizzate dalle applicazioni esistenti senza modifiche al codice sorgente). Possibilità di grasso, presa API rimane spezzato che mai.

OpenFlow

HP firmware OpenFlow è ora in grado GA : OpenFlow-enable firmware per gli switch HP è disponibile al pubblico. Grande mossa, HP!

Virtualizzazione

Aprire codice del kernel switch virtuale sposta a monte | Loons Silicon : Aprire switch virtuale entra a far parte della distribuzione standard del kernel di Linux. Congratulazioni enorme alla squadra Nicira!

Altri temi

Io non capisco cosa sta dicendo Chiunque Anymore - Dan Pallotta - Harvard Business Review : Un consiglio fantastica da Dan Pallotta da HBR - di fronte a una raffica di cazzate vincitori bingo, dire loro "Non ho idea di cosa mi hai appena detto" Un esilarante lettura obbligata.
Link interessanti sono ora disponibili come un blocco appunti condiviso Evernote . Buon divertimento!

martedì 13 dicembre 2011

IPV6 MULTIHOMING SENZA NAT: IL PROBLEMA

Ogni volta che scrivo su IPv6 problemi multihoming e la necessità di NPT66 , ricevo un commento o due dice "ma ho pensato che questo fa già parte dello stack IPv6? - non può avere due o più indirizzi IPv6 sulla stessa interfaccia" L' commentatori è giusto, si può avere più indirizzi IPv6 sulla stessa interfaccia, il problema è: quale scegliete per le sessioni in uscita.
Le regole di selezione indirizzo sorgente sono specificati nella RFC 3484 (RFC che Greg tradotto in un semplice formato di consumare qualche tempo fa), ma non sono molto utili in quanto non possono essere influenzati dal router CPE. Guardiamo i dettagli.

Fase 1 - singola connessione ISP

Abbiamo una rete semplice SMB: un singolo router CPE collegato ad un ISP e un ospite seduto dietro il router (ignorare il PE-parte B, per il momento). CPE router chiede ISPA per un prefisso delegato (usando l'opzione IA_PD in DHCPv6) e utilizza una parte di quel prefisso di affrontare la sua interfaccia LAN.
Questo è il modo di configurare il router CPE se si sta utilizzando Cisco IOS:
Semplice configurazione del router CPE
ipv6-routing unicast
!
Interfaccia FastEthernet0 / 0
 Descrizione All'interno di interfaccia
 indirizzo ipv6 ISPA:: 1 / 64
 ipv6 ° router-Alto preferenza
 ipv6 ° ra intervallo di 10
!
Interfaccia FastEthernet1 / 0
 Descrizione del provider A uplink
 ipv6 indirizzo predefinito autoconfig
 ipv6 DHCP client pd ISPA
La configurazione del router CPE non è completa, si dovrebbe anche DHCPv6 server l'interfaccia all'interno di passare l'indirizzo del server DNS IPv6 per i clienti. Una completa (e testato) la configurazione è inclusa nel materiale che si ottiene con la costruzione Core Service Provider IPv6 webinar.
Il cliente riceve i messaggi IPv6 RA inviati dal CPE e crea un indirizzo IPv6 dal prefisso pubblicizzati / 64 sulla sua interfaccia LAN:
Il client è ora in grado di comunicare con Internet IPv6. Problema risolto ... fino a quando qualcuno figure una singola connessione a monte è un single point of failure e ordina un servizio Internet secondo.

Fase 2 - Due ISP uplink

Il secondo ISP uplink è configurato in modo quasi identico al primo. Poiché non è possibile avere due RA-generato percorsi predefiniti in Cisco IOS versione 15.1M, ho dovuto usare una route statica e predefinita galleggiante a livello di codice indirizzo IPv6 router next-hop è in esso.
CPE semplice configurazione del router - due uplink
ipv6-routing unicast
!
Interfaccia FastEthernet0 / 0
 Descrizione All'interno di interfaccia
 indirizzo ipv6 ISPA:: 1 / 64
 ipv6 ISPB indirizzo:: 1 / 64
 ipv6 ° router-Alto preferenza
 ipv6 ° ra intervallo di 10
!
Interfaccia FastEthernet1 / 0
 Descrizione del provider A uplink
 ipv6 indirizzo predefinito autoconfig
 ipv6 DHCP client pd ISPA
!
Interfaccia FastEthernet1 / 1
 descrizione ISP B uplink
 autoconfig indirizzo ipv6
 ipv6 DHCP client pd ISPB
!
ipv6 percorso:: / 0 FastEthernet1 / 1 FE80:: 2 30
Dopo che il router CPE riceve un prefisso delegata dal PE-B, aggiunge un / 64 prefisso da quel range di indirizzi alla sua interfaccia LAN e inizia pubblicità due / 64 prefissi (uno per ogni ISP) nei suoi messaggi, RA. Il client IPv6 crea un secondo indirizzo IPv6 dal prefisso secondo pubblicizzato - ha ora due indirizzi IPv6 sulla sua interfaccia LAN.

Il Problema

Ci sono numerosi problemi associati a questa impostazione, alcuni dei quali architettonico, molti di più a causa di implementazioni non ottimali, omissioni, o il rispetto rigoroso di RFC in host e router pile.
La facile primo: quando un client IPv6 con più indirizzi IPv6 avvia una nuova sessione, sceglie un indirizzo di origine che meglio corrisponde l'indirizzo di destinazione (indirizzo ULA ULA per la destinazione, l'indirizzo globale per la destinazione mondiale ...) senza alcuna conoscenza della topologia di rete.
Politica di distribuzione Selezione di indirizzi utilizzando DHCPv6 progetto descrive una possibile soluzione ... ma deve essere attuato in entrambi i router e gli host, ed è implementato da nessuna parte in questo momento.
Per esempio, quando il client IPv6 nella nostra rete di piccole collega al mondo esterno, si potrà scegliere un indirizzo IPv6 di origine assegnato dal provider sbagliato.
Potete vedere l'indirizzo sorgente utilizzato dal client con il netstat-n-p tcpv6 (Windows) o comando netstat-n-f-p tcp inet6 (Linux / OSX) comando.Sembra che Windows preleva l'indirizzo più basso IPv6, mentre OSX raccoglie la più antica indirizzo IPv6, quando tutti gli indirizzi di interfaccia IPv6 sono equivalenti in base alle regole RFC 3484.
Il meglio che possa capitare è di routing asimmetrico:
In alcuni rari casi, il provider esegue effettivamente RPF controllare e scarta il pacchetto con un indirizzo IPv6 fonte inaspettata.
L'intera situazione potrebbe essere stata sopravvivere erano questo il solo problema da risolvere (e la mancanza di controlli RPF sul lato ISP induce la gente a sostenere che le opere multihoming IPv6). Purtroppo, ci sono molti altri, per esempio:
  • Quando il router CPE (router Cisco IOS in esecuzione 15.1 (4), M) perde un uplink, non cessano di pubblicarlo prefisso delegato ha ricevuto attraverso questo (problema di implementazione) uplink. Uno degli indirizzi IPv6 cliente è quindi completamente non valido senza cliente se ne accorga.
  • Se si cancella il prefisso delegato manualmente (o con un applet EEM) sul router CPE, si ferma la pubblicità il prefisso nei suoi messaggi RA ... ma il prefisso resta valido sugli host IPv6 fino alla sua scadenza (problema architettonico). Prefisso la scadenza si basa sulla sua durata preferita , che deriva direttamente dal DHCPv6 prefisso delegazione e di solito è misurato in settimane.
  • Potrebbe essere possibile ridurre la durata preferita nei messaggi RA a un numero molto basso, ma la durata di un prefisso di interfaccia basata su un prefisso delegato non è configurabile (problema di implementazione).
Si prega di non provare a dirmi che tutto funziona se si utilizzano due router CPE. Potrebbe funzionare una volta che il pile ospitare implementare RFC 3484-bis , ma non ci siamo ancora (e io che descrivono lo scenario in un prossimo post).

Maggiori informazioni e le configurazioni dei router testati

Varie IPv6 accesso e progetti di rete core e configurazioni di esempio numerosi sono inclusi nel protocollo IPv6 costruzione Service Provider core webinar (attualmente disponibile solo come una registrazione ).

Fate il vostro test personalizzati

Se si vuole verificare come i padroni di casa si comportano in questo scenario o tentare di risolvere il mio configurazioni dei router, utilizzare queste configurazioni come punto di partenza:
CPE di configurazione del router (ripulito)
versione 15,1
timestamps servizio di debug datetime msec
timestamps log datetime msec service
no service password-encryption
!
hostname CPE
!
ipv6-routing unicast
ipv6 CEF
!
Interfaccia FastEthernet0 / 0
 Descrizione All'interno di interfaccia
 indirizzo ipv6 ISPA:: 1 / 64
 ipv6 ISPB indirizzo:: 1 / 64
 ipv6 ° router-Alto preferenza
 ipv6 ° ra intervallo di 10
!
Interfaccia FastEthernet1 / 0
 Descrizione del provider A uplink
 ipv6 indirizzo predefinito autoconfig
 ipv6 DHCP client pd ISPA
!
Interfaccia FastEthernet1 / 1
 descrizione ISP B uplink
 autoconfig indirizzo ipv6
 ipv6 DHCP client pd ISPB
!
ipv6 percorso:: / 0 FastEthernet1 / 1 FE80:: 2 30
!
line con 0
 exec-timeout 0 0
 privilegio livello 15
linea vty 0 4
 exec-timeout 0 0
 privilegio livello 15
 non login
!
ntp logging
fine
PE-configurazione del router (ripulito)
hostname PE
!
ipv6-routing unicast
ipv6 CEF
ipv6 dhcp piscina ISPA
 prefisso-delega piscina ISPA
!
ipv6 dhcp piscina ISPB
 prefisso-delega piscina ISPB
!
Interfaccia Loopback0
 indirizzo ipv6 2001: DB8: CAFE:: 1 / 64
!
Interfaccia FastEthernet0 / 0
 descrizione ISP Un'interfaccia
 indirizzo ipv6 FE80:: 1 link-local
 indirizzo ipv6 2001: DB8: 1: FF01:: 1 / 64
 ipv6 dhcp server di ISPA
!
Interfaccia FastEthernet0 / 1
 descrizione ISP B interfaccia
 
 indirizzo ipv6 FE80:: 2 link-local
 indirizzo ipv6 2001: DB8: 7: FF01:: 1 / 64
 ipv6 server DHCP ISPB
!
ipv6 piscina locale ISPA 2001: DB8: 1:: / 49 60
ipv6 piscina locale ISPB 2001: DB8: 7:: / 49 60
!
line con 0
 exec-timeout 0 0
 privilegio livello 15
linea vty 0 4
 exec-timeout 0 0
 privilegio livello 15
 non login
!
ntp logging
fine

lunedì 12 dicembre 2011

DHCPV6 SERVER SU CISCO IOS: PROGRESSI

DHCPv6 server su Cisco IOS ottenuto diversi miglioramenti molto utile in quanto la prima volta ho iniziato a cercare nel suo comportamento. Sembra che la maggior parte di loro sono implementate solo in 15.xS treni (dove sono più necessari male si potrebbe supporre), ma c'è speranza quei cambiamenti alla fine trickle down in IOS mainstream.
VRF-aware server DHCPv6 a 15.1 (2) S. Precedente che era impossibile fare DHCPv6 prefisso delegazione di CPE collegato alle interfacce VRF sul PE-router . Con il VRF-aware server DHCPv6 è possibile sbarazzarsi di PE-CE routing statico ( una route statica viene automaticamente inserito sul PE-router quando un prefisso IPv6 è delegata a un router CPE ) e distribuire scalabile IPv6 MPLS / VPN reti.
Ancora meglio-con VRF-aware relè DHCPv6, è possibile permettere al cliente di disposizione tutte le sue CPE (tra cui le interfacce LAN interna sui router CPE e PE-CE routing) in remoto utilizzando un proprio server centrale DHCPv6.
DHCPv6 Chaining relè a 15.2 (1) S. Questa funzione consente una serie di DHCPv6 relè - switch di accesso l'inoltro di una richiesta a un DHCPv6 di aggregazione a livello di switch che inoltra la richiesta alla centrale DHCPv6 server.
Vantaggio: grazie alla creazione automatica di IPv6 route statiche verso valle DHCPv6 clienti (o relè), è possibile costruire grandi reti di accesso, senza un protocollo di routing.Tutto quello che dovete fare è quello di pubblicizzare un prefisso aggregato dall'aggregazione strati passare in centro e lasciare route statiche DHCPv6 basato fare il loro lavoro nel livello di accesso.
DHCPv6 Bulk Lease-query a 15.1 (1) S. Questa funzione risolve bene il problema della PE-router ricaricare.
Il PE-router perde ogni PE-to-CPE route statiche per delegata prefissi DHCPv6 durante la ricarica. Il contratto di locazione-query funzionalità ( RFC 5 mila sette ) permette di interrogare il centrale DHCPv6 server, ricevere le informazioni relative al delegato prefissi, e reinstallare il route statiche. Bulk Lease-Query ( RFC 5460 ) è un miglioramento che consente il trasferimento di massa di informazioni delegato più di una sessione TCP.
Riassunto: Un importante showstopper a DHCPv6 implementazione risolto. Buon lavoro!

Non tutto è roseo

Non ero in grado di trovare alcun progresso sul fronte DHCPv6-RADIUS integrazione . Lo standard delegata-IPv6-Prefisso attributo RADIUS funziona solo in IOS XE , dove ladocumentazione confonde totalmente un lettore disattento (la configurazione RADIUS campione è impressionante # FAIL, basta controllare i prefissi IPv6).

Ulteriori informazioni

Varie IPv6 accesso e progetti di rete core e configurazioni di esempio numerosi sono inclusi nel protocollo IPv6 costruzione Service Provider core webinar (attualmente disponibile solo come una registrazione ).
Io descriverò recenti aggiunte a nuove funzionalità DHCPv6 e altri IPv6 in una sessione live update (nella primavera del 2012) e (come sempre) chi ha mai acquistato una registrazione o un biglietto webinar dal vivo avrà l'accesso automatico ai nuovi materiali.

venerdì 9 dicembre 2011

DISACCOPPIARE RETI VIRTUALI DAL MONDO FISICO

Non è sorprendente che si possa costruire il Internet, eseguire la stessa applicazione web-based su migliaia di server, consentono a milioni di persone di accedere ai servizi cloud ... e inciampare malamente ogni volta che stiamo progettando reti virtuali. Nessuna sorpresa, cercando di mantenere gli switch virtuali semplice (e di R & S e bassi costi di supporto), i fornitori di virtualizzazione violare uno dei principi fondamentali scalabilità: la complessità appartiene alla periferia della rete .

VLAN soluzioni basate su

La tecnologia più semplice possibile di rete virtuale (802.1Q VLAN basate su) è anche il meno scalabile, a causa del suo stretto accoppiamento fra il networking virtuale (e VM) e il mondo fisico.
VLAN basate rete virtuale utilizza bridging ( che non scala ), 12-bit tag VLAN (limitando a circa 4000 segmenti virtuali), e si aspettano tutti gli interruttori di conoscere gli indirizzi MAC di tutte le macchine virtuali. Otterrete inondazioni localizzate unicast sconosciuto se un interruttore ToR esperienze di overflow indirizzo MAC tavolo e un nucleo massiccio allagamento, se la stessa cosa accade a uno switch di core.
Nella sua incarnazione più semplice (ogni VLAN abilitato su ogni porta del server su switch ToR), la VLAN basate reti virtuali causa anche inondazioni massicce proporzionale al numero totale di macchine virtuali in rete.
VM-aware scale migliori prestazioni di rete (a seconda del numero di VLAN che avete e il numero di VM in ogni VLAN). Il nucleo passa ancora bisogno di conoscere tutti gli indirizzi MAC VM, ma almeno le modifiche dinamiche VLAN sul server rivolto a porte limitare la quantità di inondazioni dello switch-to-server i link; inondazioni diventa proporzionale al numero di VLAN attivi in un particolare hypervisor host e il numero di VM in quelle VLAN.

Altri colmare le soluzioni basate su

vCDNI è la prima soluzione che disaccoppia almeno uno degli aspetti delle reti virtuali dal mondo fisico. Utilizza MAC-in-MAC incapsulamento e quindi nasconde gli indirizzi MAC VM dal nucleo di rete. vCDNI rimuove anche limitazioni VLAN, ma provoca gravi inondazioni a causa della sua realizzazione non ottimale - l'importo di inondazioni è ancora una volta proporzionale al numero totale di VM nel dominio vCDNI.
Provider Backbone Bridging (PBB) o VPLS implementato negli switch capitolato tariffa migliore. La rete centrale ha bisogno di conoscere gli indirizzi MAC (o loopback IP) degli switch TOR; tutti gli altri dettagli di rete virtuali sono nascosti.
Maggiore showstopper: provisioning dinamico di una tale rete è un dolore importante, io non sono a conoscenza di qualsiasi soluzione commerciale che dinamicamente creare istanze VPLS (o PBB SID) negli switch capitolato sulla base delle variazioni VLAN nel hypervisor ospita ... e l'adattamento dinamico ai cambiamenti VLAN è un must se si desidera che la rete a scala.
Mentre PBB o VPLS risolve i problemi di rete core tabella degli indirizzi, la dimensione degli indirizzi MAC tabella switch Tor non può essere ridotta senza VPLS dinamico / creazione dell'istanza PBB. Se si configura tutte le VLAN su tutti gli switch capitolato, gli interruttori ToR dovranno memorizzare gli indirizzi MAC di tutte le macchine virtuali in rete (o unicast rischio allagamenti dopo il discorso tabella MAC cestinare esperienze).

MAC-over-IP soluzioni

L'unico modo corretto di separare le reti virtuali e fisiche è di trattare reti virtuali come ancora un'altra applicazione (come VoIP, iSCSI o qualsiasi altra applicazione "infrastruttura"). Switch virtuali in grado di incapsulare carichi utili L2 o L3 in UDP ( VXLAN) o GRE (NVGRE / Open vswitch) buste appaiono come host IP alla rete, è possibile utilizzare il time-tested su larga scala le tecniche di progettazione di rete per costruire veramente scalabile data center reti.
Tuttavia, MAC-over-IP incapsulamento potrebbe non portare al settimo cielo. VXLAN non ha un piano di controllo e quindi deve fare affidamento su IP multicast di effettuare flooding di cornici virtuali MAC. Tutti hypervisor host che usano VXLAN devono unirsi VXLAN specifici gruppi multicast IP, creando un sacco di (S, G) e (*, G), le voci nella rete principale. Il virtuale aereo rete dati è quindi completamente disaccoppiati dalla rete fisica, il piano di controllo non lo è.
Una soluzione veramente scalabile le reti virtuali che non richiedono il coinvolgimento della rete di trasporto IP. Hypervisor ospita apparirebbe come host IP semplice alla rete di trasporto e utilizzare solo il traffico unicast IP per lo scambio di carichi di reti virtuali; ad una rete virtuale avrebbe utilizzato i meccanismi di trasporto come oggi applicazioni basate su Internet e potrebbe quindi funzionare attraverso reti di trasporto enormi.Sono positivi Amazon ha una soluzione del genere , e sembra virtualizzazione Nicira La piattaforma di rete è un altro (ma io credo che quando la vedo).


martedì 6 dicembre 2011

DOBBIAMO SOLO AVER BISOGNO NAT66

Il mio amico Tom Hollingsworth ha scritto un altro NAT66-è-male post sul blog. Pur essendo d'accordo con lui in linea di principio, e la maggior parte tutti sono d'accordo NAT come lo conosciamo da IPv4 mondo è semplicemente stupido mondo in IPv6 (NAPT più che NAT), dobbiamo solo aver bisogno NPT66 ( Traduzione prefisso di rete; RFC 6296 ) per sostenere piccole sito multihoming ... e ancora una volta, sembra che molti esperti IPv6 a malincuore d'accordo con me.

Qual è il problema

C'è un sacco di multihoming succedendo in Internet corrente senza che nessuno se ne accorga. Chiunque utilizzi Internet per applicazioni mission-critical (o business-grade accesso cloud) possono ottenere due connessioni a Internet da due fornitori a monte el'uso molto semplice NAT trucchi da utilizzare quelle connessioni in modalità active-standby o active-active. Personalmente sono a conoscenza di alcune grandi organizzazioni multinazionali con disegni simili per uffici remoti o di accesso al dettaglio.
Utilizzando attualmente disponibili router di fascia bassa ed esistenti stack host IPv6 (con stack TCP senza un livello di sessione e API presa rotto ) si può risolvere lo stesso problema in due modi nel mondo IPv6:
BGP-based multihoming . Prendi un grande pezzo di provider indipendenti (PI) spazio di indirizzo e un numero AS, assegnare un / 48 per ogni luogo, ed eseguire BGP con due monte ISP da ogni posizione.
Con pochi accorgimenti di routing non è necessario più di un numero AS, è possibile utilizzare routing di default o allowas-in per ottenere la connettività tra i vostri siti.
Con questo chiunque approccio in Elbonia chi è disposto a pagare ASN e fiscali prefisso PI (poche decine o centinaia € o $ all'anno) e un business-grade connessione ISP a due fornitori di servizi ottiene il cambio di inquinare di routing e di inoltro tabelle in ogni router nel default-free zone ... in tutto il mondo. Non è una cosa che vedo l'ora di.
VPN basate multihoming . Utilizzate il vostro spazio di indirizzi all'interno del sito degli uffici remoti, lo spazio di indirizzamento pubblico assegnato dagli ISP viene utilizzato solo per affrontare endpoint del tunnel. Questo progetto non permette l'uscita di servizio Internet locale (tutto il traffico Internet deve essere mischiato in un tunnel VPN per un sito hub centrale) - spesso un showstopper per le aziende che hanno diffuso gli uffici remoti.
Multihoming NPT66 basato . Funziona esattamente allo stesso modo NAT basato multihoming in IPv4, ma si traduce solo in alto a 64 bit del prefisso IPv6. E 'NAT (quindi è male), ma almeno è apolide.
E 'incredibile quanto il nastro adesivo in grado di portare

Lacrime Unicorn e altre soluzioni

Ci sono una serie di altre soluzioni si potrebbero usare, ma tutti richiedono modifiche allo stack host IPv6, quindi non è probabile che vedremo quali vengono attuate in tempi brevi.
SCTP e Shim6 sono piuttosto vecchi e ben noti. SCTP richiede cambiamenti a livello di applicazione (a causa della presa di API rotto), Shim6 richiede cambiamenti nello stack IPv6.
IPv6 IPv6 multihoming senza NAT è uno dei progetti emergenti IETF che cercano di risolvere il problema (si dovrebbe leggere almeno le prime sezioni poche, dove è necessario ammettere NPT66) ... ma ancora richiede ancora modifiche alla pila host IPv6 per funzionare correttamente (ma solo nel codice l'indirizzo IP di origine politica di selezione).
LISP dovrebbe sostituire BGP-based multihoming con LISP basato multihoming (spostando i prefissi cliente in LISP + ALT topologia, che ancora una volta utilizza BGP).Questo approccio sarà probabilmente funziona bene una volta che tutti distribuisce LISP.Nel frattempo, avrete bisogno di router proxy-ITR/ETR (6to4 chiunque relè?), Determinando i flussi di traffico ottimale e centrale punti di soffocare.

Riassunto

Per quanto mi dispiace ammetterlo, NPT66 sembra essere la soluzione più flessibile per le piccole-site IPv6 multihoming problema che abbiamo oggi. Mi piacerebbe vedere gli stack IPv6 ospite fisso, ma ho imparato una lezione triste della storia del NAT: una volta che la rete McGyvers risolvere i problemi di altre persone con strati di nastro adesivo, ognuno inizia a far finta che il problema è andato e va a caccia un altro scoiattolo.

lunedì 5 dicembre 2011

VM-AWARE NETWORKING MIGLIORA LA SCALABILITÀ CLOUD IAAS

Nel switch virtuale VMware - la linea di base della semplicità post ho descritto semplice layer-2 switch offerti dalla maggior parte dei venditori hypervisor e la scalabilità sfide vi stanno davanti quando si cerca di costruire soluzioni su larga scala con loro. È possibile risolvere almeno uno dei problemi di scalabilità abbastanza facilmente: VM-aware soluzioni di rete disponibili dai fornitori più data center networking di regolare dinamicamente l'elenco delle VLAN su server-to-switch link.

Qual è il problema

Vediamo brevemente rivisitare il problema: switch virtuali non hanno quasi piano di controllo. Uno switch virtuale così non si può dire gli switch VLAN adiacente fisico che ha bisogno di supportare macchine virtuali collegati alla switch virtuale. In mancanza di tali informazioni, è necessario configurare una vasta gamma di VLAN sul server rivolto a porte sullo switch fisico per permettere la libera circolazione delle macchine virtuali tra i server (hypervisor host).
Il diagramma seguente illustra il problema:
  • Due inquilini sono in esecuzione in un cluster vSphere (ESX ESX-A e-B);
  • Red inquilino sta usando VLAN 100, Blu inquilino sta usando VLAN 200;
  • Con la distribuzione VM mostrato nel diagramma, ESX-A deve accedere a VLAN 100; ESX-B ha bisogno di accedere alle VLAN 200.
  • Come dispositivi di rete non può prevedere in che modo le macchine virtuali si muoverà tra gli host vSphere, è necessario configurare sia VLAN su tutti i server di fronte porte (GE1 / 0 su SW-1 e GE2 / 3 SW-2) così come su tutti gli inter -switch link.
L'elenco delle VLAN configurata sul server rivolti porte degli accessi a livello di switch comprende così comunemente VLAN completamente inutile.
La vasta gamma di VLAN configurate su tutti i server di fronte le porte cause inondazione di trasmissioni, multicast e unicast sconosciuto a tutti i server indiscriminato, anche se i pacchetti non sono necessari dai server (perché la VLAN su cui siamo sommersi non è attiva nel server). I pacchetti inondato aumentare l'utilizzo del server di uplink, la loro elaborazione (e caduta) aumenta anche il carico della CPU.

La soluzione standard

VSI Discovery Protocol (VDP) , parte di Edge Virtual Bridging (EVB, 802.1Qbg) avrebbe risolto quel problema, ma non è implementato in qualsiasi switch virtuale. Di conseguenza, non c'è alcun supporto nella switch fisici, anche se HP e Force10 tenere promettente EVB supporto; HP per più di un anno.
Il più vicino che abbiamo mai avuto modo di un prodotto di spedizione EVB-simili si Cisco VM-FEX . Il Virtual Ethernet Module (VEM) in esecuzione all'interno del kernel vSphere utilizza un protocollo simile a VDP per comunicare la sua VLAN / interfaccia esigenze con il dirigente UCS.
Sembra più persone hanno visto Nessie che un EVB-compliant switch virtuale

Il mondo reale le soluzioni

Di fronte alla mancanza di sostegno EVB (o qualsiasi altro simile control-plane protocollo) in switch virtuali, i venditori di rete implementata una varietà di impiego di espedienti.Alcuni di loro sono implementati nel livello di accesso interruttori (Arista di VM Tracer , HyperLink Force10, la integrazione vCenter Brocade), altri nel software di gestione della rete (Juniper Junos Spazio Virtuale di controllo e ALU OmniVista Virtual Machine Monitor).
Ho perso un VM-aware soluzione di rete? Si prega di scrivere un commento ... e notare che non ho dimenticato VM-FEX, ma utilizza una architettura completamente diversa .
In tutti i casi, un VM-aware soluzione deve scoprire la topologia della rete prima. Quasi tutte le soluzioni di inviare i pacchetti CDP da accesso a livello di switch e usare ascoltatori CDP gli ospiti alla scoperta di vSphere host-to-switch connettività. Le informazioni raccolte da CDP ospita vSphere è solitamente estratto da usare VMware vCenter API (sì, di solito si deve parlare con il vCenter se si vuole comunicare con l'ambiente VMware).
Ah, i fornitori di rete fastidiosi. Vogliono
parlare con qualcuno, devono parlare con me.
Avete notato che ho citato VMware API nel paragrafo precedente? Bene. Poiché non hypervisor venditore briga di implementare un protocollo standard, i fornitori di rete sono tenuti ad attuare una soluzione diversa per ogni hypervisor. Quasi tutti i VM-aware soluzioni di supporto vSphere / vCenter, pochi venditori affermano anche il supporto a Xen, KVM o Hyper-V, e non ho visto nessuno di supporto nulla al di là delle quattro grandi.
Dopo l'accesso a livello di topologia è stato scoperto, la VM-aware soluzioni di tracciare i movimenti di VM tra host e hypervisor di regolare dinamicamente la gamma di VLAN in materia di accesso a livello di porte switch. Idealmente ci si combinano con MVRP nel nucleo della rete per tagliare ulteriormente le VLAN, ma solo pochi venditori implementato MVRP (e presumibilmente solo pochi clienti stanno utilizzando). QFabric è un (proprietario) brillante eccezione: perché la sua architettura mandati ricerca di ingresso singolo, che dovrebbe sfociare in un elenco di porte in uscita , esegue anche ottimale inondazioni VLAN.