Cisco Live 2017 – BRKDCN-2044 – Effective Evolution of the Data Center Virtual Network

Dag 1 begon met de sessie – BRKDCN-2044 – Effective Evolution of the Data Center Virtual Network (2 uur).

Deze sessie gaat over de evolutie van het Data Center Virtual netwerk en hoe dit efficiënt te doen. Het is begonnen met de adaptie van Virtualisatie, begin 2000. De introductie van de Virtuele Switch, deze had vaak geen eigenaar, was complex om te beheren, was niet schaalbaar, en het was moeilijk te zien wat er in de virtuele switch gebeurde.

Cisco heeft dit rond 2010 aangepakt met de eigen virtuele switch, Cisco Nexus 1000V, maar de adoptie van deze switch liep niet echt lekker. De complexiteit was nog steeds hoog.

Rond 2014 werd Cisco ACI gepresenteerd als oplossing voor de eerdergenoemde uitdagingen met Virtuele netwerken, complexiteit, schaalbaarheid en netwerkinzicht. Deze manier wordt ook wel “Application Centric” genoemd en gaat eigenlijk verder dan alleen maar Cisco ACI. Het draait bij Application Centric om, elke workload, waar dan ook, of het nu binnen Cisco ACI is, of in de Cloud, het maakt niet meer uit.

We krijgen nu te maken met ontwikkelaars en beheerders voor wie het niet meer uitmaakt waar hun applicatie draait. Als de applicatie maar toegankelijk is vanuit welke plek dan ook. Dit is alleen mogelijk door het gebruik van policies en deze in te zetten middels automation. De uitrol van applicatie omgevingen moet namelijk snel gebeuren. Dat gebeurt namelijk ook op Cloud platformen, zoals Azure en AWS.

Een ander belangrijk aspect dat invloed heeft op de evolutie van het Data Center virtuele netwerk, is de methode waarop applicaties worden ontwikkeld en steeds meer leunen op modulaire delen die via een zogenaamde service interface worden aangeboden, niet alleen meer via een website, maar ook aan “dingen”, dus daar speelt Mobile, IoT en Machine Learning weer een grote rol in de evolutie. Denk daarbij aan Mobiele Apps, Sensoren en website die allemaal met elkaar moeten communiceren.

Als we kijken naar de opkomst van steeds meer virtuele netwerkservices, zoals virtuele routers, switches, load balancers, etc. wat zijn dan de uitdaging die de netwerkbeheerders tegenkomen?

  • Complexiteit van de virtuele omgeving (Openstack, Linux, vCenter, Docker)
  • Toegang tot de virtuele omgeving, maar ook het beheer van de virtuele appliances
  • Gewend zijn aan hardware appliances en de betere performance die dit (soms) geeft.

Voorbeeld: De perimeter firewall is niet meer genoeg voor inzicht in Oost-West verkeer. De “per applicatie firewall” wordt steeds belangrijker. Deze virtuele firewalls draaien op een virtuele omgeving met de eerdergenoemde uitdagingen.

Deze uitdagingen lossen we alleen op met de inzet van policies en automation. Waarbij de integratie wordt gedaan met virtuele appliances en de virtuele omgevingen, of het nu on-premise is of in de Cloud.

5 jaar geleden zijn we begonnen met Virtual Overlay Extensibility in het Data Center. Natuurlijk was er al Overlay techniek om over het WAN-netwerk te gaan, zoals GRE tunnels, MPLS, etc. Maar dit soort configuraties is geen goede oplossing voor het Data Center netwerk.

Als we nu kijken naar wat deze evolutie ons heeft gebracht in het Data Center, dan kunnen we vaststellen dat VXLAN steeds vaker wordt ingezet als overlay technologie.

VXLAN – Virtual eXtensible Local Area Network is een encapsulation technologie die tunnels opzet tussen (virtuele) switches (VTEP) en zorgen voor een L2 extensie over een L3 netwerk. Omdat de complete L2 frame gebruikt wordt is er een additionele overhead van 50 bytes, waar rekening mee gehouden moet worden. Je kunt elk 24bit VXLAN-segment beschouwen als een logisch netwerk. Het is mogelijk 16 miljoen logische netwerken te gebruiken.

IP Multicast of MP-BGP met EVPN wordt gebruikt voor L2 BUM-verkeer.

Deze sessie gaat verder in op het gebruik van VXLAN met de verschillende soorten virtuele switches die Cisco aanbiedt. Cisco 1000v, AVS, en Cisco ACI met de DVS-integratie en waarom en hoe je (micro)segmentatie toepast

Er werd ook nog even ingegaan op het feit dat VMware de kernel niet meer toegankelijk maakt voor 3de partijen voor virtuele switches (=> vSphere 6.5u2). De bedoeling is dat er een soort native vSwitch komt die losstaat van de kernel. Die dan ook weer makkelijker is te integreren met externe policy tooling.

Registration..Cisco Live 2017

My first session started 8 am, and because I got in at 11 pm I had to do the registration early today. All went smooth!

First session was the TECCCDE-3005 CCDE technical session. It is an 8 hour session about both the CCDE written and practical exam. I am preparing a blog post about this session and I will post it by the end of the week.

In the evening we visited the Fremont Experience, but it was just too hot to stay long.

Ready for Cisco Live US 2017

Finally..again…I am going to Las Vegas for Cisco Live!

I’ll be traveling from Amsterdam and will arrive at 7:30pm. I’ll be staying at the Luxor, right next to the Manadalay Bay convention center. It will be a 15 minute walk every day to get there.

So of course I’m wearing my fitbit 🙂

Today I’ll meetup with some Brazilian friends and have (probably) some steak for dinner 🙂

tomorrow I have a 8 hour session called: TECCCDE-3005: CCDE: The Cisco Certified Design Expert

Because I am preparing for the CCDE exam this is the perfect session (they say)

So keep an eye on my blog, as I will be posting a lot this week!!

Michel van Kessel

Cisco ACI 2.1.1h notes

 

Some interesting notes on the latest ACI 2.1.1h firmware.

When configuring two Layer 3 external networks on the same node, the loopbacks need to be configured separately for both Layer 3 networks.

All endpoint groups (EPGs), including application EPGs and Layer 3 external EPGs, require a domain. Interface policy groups must also be associated with an Attach Entity Profile (AEP), and the AEP must be associated with domains. Based on the association of EPGs to domains and of the interface policy groups to domains, the ports and VLANs that the EPG uses are validated. This applies to all EPGs including bridged Layer 2 outside and routed Layer 3 outside EPGs. For more information, see the Cisco Fundamentals Guide and the KB: Creating Domains, Attach Entity Profiles, and VLANs to Deploy an EPG on a Specific Port article.

When creating static paths for application EPGs or Layer 2/Layer 3 outside EPGs, the physical domain is not required. Upgrading without the physical domain will raise a fault on the EPG stating “invalid path configuration.”

When contracts are not associated with an endpoint group, DSCP marking is not supported for a VRF with a vzAny contract. DSCP is sent to a leaf along with the actrl rule, but a vzAny contract does not have an actrl rule. Therefore, the DSCP value cannot be sent.

The Cisco Discovery Protocol (CDP) is not supported in policies that are used on FEX interfaces.

Download ACI firmware via WGET

In release 1.1(4e) was a bug present that caused issues with uploading/downloading firmware via the GUI.

A workaround is using WGET from the APIC CLI and download the firmware from a http server to the /tmp directory

After downloading just use the “firmware repository” command to add the firmware to the repository.

After doing this, you can use the GUI to upgrade the firmware for the APIC and switches, as you were used to.

Example

apic1# cd /tmp
apic1# ls
bootflash flashenc logrotate.status snmpd2.pid vrf-init.log vrf-set-spineproxy.log
apic1# pwd
/tmp

apic1# wget http://10.249.112.134/aci/aci-n9000-dk9.11.2.1k.bin
–2016-01-03 16:50:06– http://10.249.112.134/aci/aci-n9000-dk9.11.2.1k.bin
Connecting to 10.249.112.134:80… connected.
HTTP request sent, awaiting response… 200 OK
Length: 558322599 (532M) [application/octet-stream]
Saving to: `aci-n9000-dk9.11.2.1k.bin’

58% [======================================================================================> ] 327,484,640 1.81M/s eta 2m 5s h100%[====================================================================================================================================================>] 558,322,599 1.81M/s in 5m 0s

2016-01-03 16:55:06 (1.77 MB/s) – `aci-n9000-dk9.11.2.1k.bin’ saved [558322599/558322599]

apic1# firmware
repository upgrade
apic1# firmware repository
add delete
apic1# firmware repository add aci-n9000-dk9.11.2.1k.bin
Syncing… might take a bit if the image is large or many pending filesystem buffers
Firmware image aci-n9000-dk9.11.2.1k.bin is added to the repository