La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Progetto di integrazione Enterprises Networks Data Centers

Presentazioni simili


Presentazione sul tema: "Progetto di integrazione Enterprises Networks Data Centers"— Transcript della presentazione:

1 Progetto di integrazione Enterprises Networks Data Centers
Massimiliano Sbaraglia

2 CLIENT 1 Services Privider DATACENTER A PROD DATACENTER B DR CLIENT 2

3 Requisiti del cliente HA = Alta affidabilità e ridondanza tra i due DCs Fault-Tolerance Bidirezionalità simmetrica tra sorgente e destinazione rispetto al Data Center di competenza Business Continuity Routers: ISR4451X-K9 Firewall: FirePower con modulo ASA integrato Nexus N9K di aggregazione DataCenter

4 Architettura a livelli
EGRESS: si occupa di stabilire sessioni EBGP con il Services Provider; quest’ultimo è responsabile di trasportare la quantità di informazione tra i due client Le politiche di gestione del traffico sono gestite dall’attributo as-path prepend per il traffico inbound e Local-Preferemce per il traffico outbound SECURITY: prevede una coppia di FPR con modulo ASA in cluster e si occupa di gestire la parte di routing con una mutua redistribuzione dei protocolli BGP e OSPF, la componente di NAT (source-nat, destination-nat, source/destination nat), access-list, Threat Detection, URL filtering e tutta la componente di security propria della coppia di ASA INGRESS: si occupa del collegamento lato interno del cliente attraverso i propri routers di bordo (ABR)

5 Advertisement IP-Prefix
POP A AS A Services Provider (MPLS VPN IP) POP A AS B CPE1 CPE2 CPE3 CPE4 N,M N,M N,M adv-routes N M (from Client 1) N,M N,M N,M N,M N,M EBGP Peering EBGP Peering adv-routes W Z S (from Client 2) W,Z,S W,Z,S W,Z,S W,Z,S W,Z,S W,Z,S EGR-1 EGR-2 EGR-3 EGR-4 Advertisement IP-Prefix ASA-cluster DC-A ASA-cluster DC-B active standby active standby Normal Area/Level IGP (OSPF or ISIS) Normal Area/Level IGP (OSPF or ISIS) Prefix S with NH IGP: DC-B Prefix Z with NH IGP: DC-A B1 B2 A1 A2 Backbone Client 2 IGP (OSPF or ISIS) Prefix W with NH IGP: DC-A

6 AS X BOCCIATA LP ? LP ? POP A POP A AS A
Services Provider (MPLS VPN IP) POP A AS B CPE1 CPE2 CPE3 CPE4 Prefix W Z Prepend 2X Prefix S Preped 6X Prefix W Z Prepend default Prefix S Prepend 4X Prefix W Z Prepend 4X Prefix S Prepend default 1B Prefix W Z Prepend 6X Prefix S Prepend 2X 1A 3A 3B Prefix W Z Prepend 3X Prefix S Prepend 7X Prefix W Z Prepend 1X Prefix S Prepend 5X 2A Prefix W Z Prepend 5X Prefix S Prepend 1X 2B 4A 4B Prefix W Z Prepend 7X Prefix S Prepend 3X LP ? LP ? EGR-1 EGR-2 EGR-3 EGR-4 AS X IBGP peering full-mesh ASA-cluster DC-B redistribuite OSPF-TO-BGP BOCCIATA redistribuite BGP-TO-OSPF ASA-cluster DC-A Normal Area/Level IGP (OSPF or ISIS) redistribuite BGP-TO-OSPF Normal Area/Level IGP (OSPF or ISIS) redistribuite OSPF-TO-BGP Prefix S with NH IGP: DC-B Prefix Z with NH IGP: DC-A B1 B2 A1 A2 Backbone Client 2 IGP (OSPF or ISIS) Prefix W with NH IGP: DC-A

7 AS Y AS X POP A AS A Prefix W Z Prepend 6Y Prefix S Prepend 2Y
AS Services Provider (MPLS VPN IP) CPE1 CPE2 CPE3 CPE4 Prefix W Z Prepend 6Y Prefix S Prepend 2Y Prefix W Z Prepend default Prefix S Prepend 4X Prefix W Z Prepend 2X Prefix S Preped 6 Prefix W Z Prepend 4Y Prefix S Prepend default 3A 1B 1A 3B LP=80 LP=100 LP=100 LP=80 Prefix W Z Prepend 1X Prefix S Prepend 5X Prefix W Z Prepend 5Y Prefix S Prepend 1Y 2B Prefix W Z Prepend 7Y Prefix S Prepend 3Y 2A 4A Prefix W Z Prepend 3X Prefix S Prepend 7X 4B LP=90 LP=70 LP=90 LP=70 EGR-1 EGR-2 EGR-3 EGR-4 IBGP NHS IBGP NHS AS Y AS X IBGP NHS IBGP NHS IBGP NHS IBGP NHS ASA-cluster DC-B ASA-cluster DC-A redistribuite OSPF-TO-BGP redistribuite BGP-TO-OSPF redistribuite BGP-TO-OSPF Normal Area/Level IGP (OSPF or ISIS) Normal Area/Level IGP (OSPF or ISIS) redistribuite OSPF-TO-BGP Prefix S with NH IGP: DC-B Prefix Z with NH IGP: DC-A B1 B2 A1 A2 Backbone Client 2 IGP (OSPF or ISIS) Prefix W with NH IGP: DC-A

8 DC-A DC-B Architettura fisica data centers
CPE1 CPE2 CPE3 PCE4 Punto di demarcazione Services Provider peer keepalive peer keepalive Nexus-1 Nexus-2 Nexus-3 Nexus-4 vPC peer-link vPC peer-link EGR-1 EGR-2 EGR-3 EGR-4 DC-A peer keepalive peer keepalive DC-B Nexus-1 Nexus-2 Nexus-3 Nexus-4 vPC peer-link vPC peer-link Failover Link Failover Link ASA1 ASA2 ASA3 ASA4 cluster cluster peer keepalive peer keepalive Nexus-1 Nexus-2 Nexus-3 Nexus-4 vPC peer-link vPC peer-link A1 A2 Rete Interna Client 2 Protocol IGP dinamico per HA and fault-tolerance B1 B2

9 Architettura fisica e logica EGRESS LAYER
Architettura L2 vPC EGRESS LAYER Architettura L3 EGRESS LAYER CPE1 CPE2 CPE1 CPE2 peer Keepalive Nexus 1 Nexus 2 vPC peer link 1° link EBGP 4° link EBGP 2° link EBGP 3° link EBGP vPC 2 vPC 3 EGR-1 EGR-2 EGR-1 EGR-2

10 Architettura fisica e logica SECURITY INGRESS LAYER
Architettura L2 vPC SECURITY INGRESS LAYER (IBGP) Architettura L3 SECURITY INGRESS LAYER (IBGP) EGR-1 EGR-2 EGR-1 Loop Loop EGR-2 IBGP NHS peering IF PHY IF PHY vPC 4 vPC 5 peer Keepalive Nexus 2 IBGP NHS peering Nexus 1 IBGP NHS peering vPC peer link vPC 6 vPC 7 IF PHY IF PHY Failover Link ASA2 ASA1 cluster ASA Cluster

11 Architettura fisica e logica INGRESS LAYER
Architettura L2 vPC INGRESS LAYER Architettura L3 INGRESS LAYER Failover Link ASA2 ASA Cluster ASA1 cluster vPC 8 vPC 9 normal area OSPF peer Keepalive Nexus 1 Nexus 2 vPC peer link A1 A2 Rete Interna Client 2 Backbone OSPF area Protocol IGP dinamico per HA and fault-tolerance vPC 10 vPC 11 A2 A1

12 Concetto Definizione Concetti di vPC in tecnologia Cisco Nexus vPC
è un port-channel tra due vPC peers ed un downstream switch vPC domain una coppia di vPC peer rappresenta un dominio vPC vPC peer-link è un link utilizzato per sincronizzare gli stati tra i due vPC peers (è buona norma utilizzare un link a 10G) vPC peer-keepalive è un link utilizzato (differente rispetto al vpc peer-link) per verificare e monitorare lo stato di vita tra i due peer devices vPC member port una o più porte che fanno parte del port-channel a formare un vPC vPC LAN sono vlans trasportate via vpc peer-link tra i due peer-devices e verso il downstream switch via vPC Orphan Port sono porte collegate a terze parti switch non facenti parte di vPC trunks CFS (Cisco Fabric Services) è un protocollo che opera attraverso il vpc peer-link per rendere affidabile la sincronizzazione tra i due vpc peer devices Peer-switch permette ad entrambi i peer vPC switches di emulare un singolo STP bridge; cosi entrambi gli switch trasmettono BPDU down su tutte le loro interface usando lo stesso STP bridge ID (il vPC system MAC address è usato via le BPDU)


Scaricare ppt "Progetto di integrazione Enterprises Networks Data Centers"

Presentazioni simili


Annunci Google