lunedì 28 luglio 2014

È STP DAVVERO MALE?

Maxim Gelin mi ha inviato una domanda interessante:
Si può spiegare a me, perché è STP dovrebbe essere male? Cosa c'è di sbagliato con STP?
Problema fondamentale di STP è che è una, non è un protocollo di fail-close fail-open.
Ponti Ethernet (poi rinominato in layer-2 switch ) sono stati progettati per essere i dispositivi plug-and-Pray trasparenti che si potrebbe cadere in qualsiasi punto della rete e sperare lavoreranno. Non potevano contare su avere un protocollo di controllo-plane tra nodi adiacenti (come la maggior parte dei protocolli di routing moderni fanno) - mancanza di comunicazione control-plane ha indicato la mancanza di ponti adiacenti.
Questo è tutto bello e dandy fino ad un ponte perde la sua mente, e interrompe l'invio BPDU ( piano di controllo attività), mentre ancora l'inoltro del traffico (attività sul piano dei dati). Ponti adiacenti pensano di avere ospiti collegati alle porte interessate (questo è ilfail close parte), e iniziare a inoltrare il traffico attraverso queste porte, risultando in un loop di inoltro bella (stato lì, visto che).
Un ponte con il controllo aereo sospeso non trasmetterà BPDUs tra i suoi porti (che avrebbe fermato il ciclo di inoltro), perché la voce di inoltro per l'indirizzo multicast STP ancora punts pacchetti alla CPU.
La soluzione a questo problema è molto semplice: Cisco IOS è garanzia ponte - si configura una porta di aspettarsi un ponte adiacente, e la porta non inoltra traffico, se non riceve BPDU dall'altra estremità.
Fail-close natura della STP non è il suo unico limite. L'originale STP aveva numerose altre sfide, dalla convergenza lento per mancanza di consapevolezza VLAN. Purtroppo l'IEEE ha deciso di mantenere kludges colmi sulla parte superiore della STP fino a quando il tutto quasi rovesciato - è come cercare di costruire la rete Internet mondiale per armeggiare con RIPad nauseam invece di progettare BGP.
La soluzione generica a questo particolare problema (e pochi altri, compresi i padroni di casa si trasformano in ponti) sembra essere estremamente semplice: consentire una porta switch di essere una porta host rivolta (configurando implicitamente guardia BPDU e poche altre cose) o un tessuto porta (la configurazione implicitamente garanzia bridge e VLAN trunking). Perché non ha alcun fornitore implementato un concetto così semplice?Non riesco a capirlo - i vostri commenti sono i benvenuti!

lunedì 21 luglio 2014

LAYER-3 COMMUTAZIONE VXLAN REVISITED

Il mio Trident 2 Chipset e Nexus 9500 post del blog deve aver colpito un nervo scoperto o due - Bruce Davie ha dedicato un intero paragrafo nelle sue reti fisiche in virtualizzato Networking World post sul blog per raccontare a tutti quanto il tutto è un non-problema e come tutto del bene nella terra NSX.
E 'sempre divertente scavare più in dettaglio per capire cosa sta realmente accadendo dietro le quinte; facciamolo.

Quello che ho veramente pretendesse

Ecco cosa ho scritto nel mio post del blog:
Trident 2 chipset non supporta il routing dei pacchetti VXLAN-incapsulati [...] per il momento le cifre chipset fuori è il tunnel di sovrapposizione per il pacchetto in arrivo, ed esegue la ricerca L2 dell'indirizzo MAC di destinazione, è troppo tardi per un altro L3 ricerca.
I passi necessari per ottenere dal mondo fisico a quello virtuale (VLAN-to-VXLAN) sono totalmente diverse rispetto i passi necessari per ottenere dal virtuale al mondo fisico (VXLAN-to-VLAN). Nel primo caso, uno switch di livello 3 (alias router):
  • Riceve un pacchetto Ethernet, potenzialmente con tag 802.1Q;
  • Esegue L2 ricerca per capire l'indirizzo MAC di destinazione appartiene al router (trigger L3 ricerca);
  • Esegue L3 di ricerca per trovare il prossimo hop;
  • Aggiunge salto successivo incapsulamento specifico al pacchetto e invia il pacchetto alla coda interfaccia di uscita.
Finora l'unica differenza tra un interruttore tradizionale L3 e un interruttore L3 VXLAN-capace è la possibilità di aggiungere in testa qualsiasi intestazione davanti del pacchetto Invece di scambiare l'intestazione MAC. Qualsiasi piattaforma con funzionalità di scatter-gather potrebbe fare questo per decenni.
Ricezione di un pacchetto L2 VXLAN-incapsulato e performante L3 ricerca presso l'uscita è una storia completamente diversa. Uno switch di livello 3:
  • Riceve un payload-in-VXLAN-in-IP-in-MAC pacchetto Ethernet;
  • Esegue una ricerca L2, L3 che innesca ricerca;
  • Esegue L3 ricerca e capisce il pacchetto viene inviato al suo indirizzo IP VTEP;
  • Estrae payload originale busta VXLAN;
  • Effettua un'altra ricerca L2, L3 che innesca ricerca;
  • Effettua un'altra ricerca L3 per trovare il prossimo hop;
  • Swap MAC intestazione e invia il pacchetto alla coda interfaccia di uscita.
Le parti segnate in rosso sono quelle che alcune piattaforme non possono fare.
Limitazioni hardware sul tunnel router di uscita non sono una novità - Catalyst 6500 non poteva eseguire hardware decapsulation di MPLS-over-GRE-over-IPsec pacchetti (almeno i Linecards che abbiamo avuto), anche se potrebbe fare le singole operazioni in hardware.

Che cosa ha VMware fare?

Hanno usato la funzionalità di inoltro esistente distribuito L3 di VMware NSX per spostare la ricerca L3 nelle hypervisor. Sulla base della descrizione nel post del blog di Bruce, che utilizzano routing VTEP nella direzione in entrata e ponte sul VTEP nella direzione di uscita, in modo efficace ballando intorno alle limitazioni hardware.

Da fisico a virtuale: Layer-3 lookup seguita da incapsulamento VXLAN

Virtuale a fisico: decapsulation VXLAN seguita da layer-2 ricerca

Ha importanza?

Il design disegno Bruce descritto rimuove la funzionalità confine strato-3 dal VTEP L3 - tutti hypervisor sono collegati direttamente alla VLAN esterno e devono avere tutte le informazioni inoltro L3 che la L3 VTEP ha.
In qualche modo mi ricorda il vecchio trucco abbiamo dovuto usare per collegare le reti MPLS / VPN su Internet - basta usare una route statica con un salto successivo globale .Devo dire di più?

giovedì 17 luglio 2014

NETWORK AUTOMATION @ SPOTIFY ON SOFTWARE GONE WILD

Cosa si può fare se si ha un piccolo team di ingegneri di rete responsabili per quattro anche crescenti data center (con diverse centinaia di dispositivi di rete in ciascuna di esse)? C'è solo una risposta: si tenta di sopravvivere, automatizzando il più possibile.

Nel quarto episodio di Software Gone Wild podcast di David Barroso da Spotify spiega come usano l'automazione di rete per far fronte alla sempre crescente base installata senza aumentare le dimensioni del team di networking.

Durante la nostra chiacchierata abbiamo anche toccato altri argomenti che potreste trovare interessanti:

Il tasso di cambiamento è incredibile: tutto ciò che è di sei mesi è già legacy.
Utilizzo di adeguati strumenti e processi di sviluppo del software: la squadra di networking sviluppa una implementazione pilota (la fase di hacking), e lo consegna agli sviluppatori di software che productize esso.
Non overautomate: il software di monitoraggio rileva gallerie rotti, ma i cambiamenti sono ancora innescato da un operatore;
Trattare con ambiente multi-vendor: sintassi di configurazione del dispositivo specifico del fornitore viene memorizzato in ansible modelli;
Scale-out la connettività WAN: hanno bisogno di una fattoria scale-out di dispositivi di terminazione VPN per far fronte al traffico inter-DC;
Utilizzando Ansible per la risoluzione dei problemi: gli script dipendenti dalla periferica estrarre informazioni in formato JSON, che viene poi utilizzato in Playbook ansible per eseguire la risoluzione dei problemi di base;
CLI in cima Ansible: utilizzare Ansible per creare servizi script di distribuzione che può essere richiamato con semplici comandi CLI dagli operatori;
Naturalmente abbiamo dovuto citare numerosi dettagli tecnici, tra cui:

A base di BGP SDN: Usano comunità BGP prendere tunnel VPN inaffidabili fuori dal percorso di inoltro;
Arresto regolare: le soluzioni implementate dai fornitori non sono esattamente grazioso. Spotify sta utilizzando un playbook Ansible di attuare un vero e proprio arresto regolare - l'impostazione del IS-IS po 'di sovraccarico e l'utilizzo di BGP AS-path anteponendo per reindirizzare il traffico prima di spegnere un dispositivo di rete;
Rotti API: la maggior parte delle API offerti dai fornitori di rete sono solo poveri involucri CLI;
Indipendenza linguaggio di Ansible: oltre a dover scrivere i modelli in Jinja2, è possibile scrivere moduli ansible in qualsiasi lingua, purché la lingua può essere fatto per supportare la codifica JSON;

venerdì 11 luglio 2014

QUANTO GRANDE SARÀ IL VOSTRO NUBE BE?

Le ultime generazioni di server di fascia alta sono sorprendenti: possono avere terabyte (o più) di RAM, decine di core della CPU, e quattro (o più) uplink 10GE. E 'facile da trasportare 100 + ben educati macchine virtuali su un unico server, riducendo l'intero centro dati in un cloud privato che si inserisce in un unico rack.

Sono stato coinvolto in un bel paio di data center disegni di recente, e in molti casi il cliente non ha avuto più di qualche migliaio di macchine virtuali, che potrebbe facilmente inserirsi in decine di server. I server e alcuni di stoccaggio (a meno che usavano Nutanix o VSAN, nel qual caso sono scomparsi anche gli array di storage esterno) non ha bisogno di più connettività di due switch ToR (distribuzioni di grandi dimensioni necessarie 2 RU passa con 128 10GE porte per un totale di 256 porte 10GE ).

Troverete un disegno di campionamento utilizzando Nutanix server NX-3050 e sostenendo 2.500 macchine virtuali e un gruppo di appliance virtuali nelle Case Studies ExpertExpress ; è incluso anche nel Data Center caso di disegno Studies libro.

Corso Cisco - Corso CCNA - Corso Security - Corso CCNA Security - Certificazione Cisco - CCNA 200-120

martedì 8 luglio 2014

DATA CENTER CASO DI DISEGNO STUDI SU AMAZON KINDLE

Se sei un utente appassionato Kindle, è possibile acquistare il Data Center caso di disegno Studies libro su Amazon. Ecco il collegamento Amazon.com , ricerca deve trovare sulla maggior parte degli altri mercati di Amazon.

Tuttavia, se si può sopravvivere a leggere la versione PDF, si prega di acquistare direttamente dal mio sito web . Ecco perché:

Quando si utilizza il Kindle diretto Publishing, Amazon dà l'autore il 35% o il 70% delle vendite di libri come royalties . L'autore riceve 70% di royalties solo se il libro costa meno di $ 9.99 (e non credo nelle 180 pagine di casi studio di progettazione a valere 9,99 dollari) e solo per le vendite in determinati territori.
C'è una ritenuta alla fonte del 30% sui canoni percepiti da soggetti non statunitensi su Amazon.com.
Riassunto: Migliore caso mi piacerebbe avere il 35% per ogni libro venduto su Amazon (supponendo che riesco a vincere la guerra pratiche burocratiche), in questo momento sarebbe del 24,5%. Lasciando il 75% del prezzo del libro a terze parti che aggiungono poco valore al processo sembra uno spreco colossale.

venerdì 4 luglio 2014

COSTRUIRE UN CLOUD IN TRE SEMPLICI PASSAGGI

Di tanto in tanto ricevo una domanda su qualche dettaglio di implementazione del tutto impossibile (esempio: possiamo usare OpenStack OVS plugin su VMware per evitare di acquistare NSX ? ). Queste domande sono spesso provengono da persone che si sono dipinte in un angolo e stanno ora disperatamente alla ricerca di lacci delle scarpe di MacGyver a tirarsi fuori.
E 'facile dare la colpa al tecnico che cerca di fare l'impossibile, ovviamente, ma spesso non è colpa sua - in questi giorni un sacco di gente tecnici ottenere tirato nel gioco di costruzione di una Copertura in tre semplici passaggi .
Appassionati di fai da te che si sovraccaricare perché "si può costruire la nuvola" (anche se non hanno mai fatto prima) sono un'eccezione evidente - la loro organizzazione merita la nube che ottengono perché lasciarli sciolti.
Invece di cercare di capire se utilizzare overlay di rete virtuale con GRE o incapsulamento VXLAN, provare a cogliere il quadro prima:
  • Quali servizi offrirà nostra nuvola?
  • Chi è il cliente?
  • Quanti clienti avremo?
  • Qual è la dimensione carico di lavoro previsto?
  • Qual è la crescita prevista?
  • Avremo più tenant (o applicazioni-come-inquilini )?
Sulla base delle risposte a queste domande, sarete in grado di capire quanto è grande una rete avete bisogno, e si potrebbe capire che non più di due interruttori Tor, nel qual caso non si hanno davvero un problema più.