Netzwerk Microsegmentierung zur automatisierten Absicherung von Produktionsnetzen am Beispiel der Extreme Networks Fabric Connect Lösung ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Netzwerk Microsegmentierung zur automatisierten Absicherung
von Produktionsnetzen am Beispiel der
Extreme Networks Fabric Connect Lösung
Marcom V1.0 2018
Matthias Neumann
Senior Consultant Professional Network Services
- Zweigstelle Kassel -
Kassel,
© 2018 5. Juni 2019
Controlware GmbH 1
Agenda
1 Warum Netzwerksegmentierung ?
2 Extreme Networks Fabric Connect - Shortest Path Bridging
3 Fabric Connect / Fabric Attach – im Detail
4 Kundenprojekt “Stealth hyper-segmented” Netzwerk
5 Stealth Networking mit Fabric Attach am Edge
6 Secure Automated Campus – die Komponenten
7 Campus Fabric Deployment model
Pause
Marcom V1.0 2018
8 Demo - Stealth Networking
© 2018 Controlware GmbH 2
Warum Netzwerksegmentierung ?
1
Marcom V1.0 2018
© 2018 Controlware GmbH 3
Warum Netzwerksegmentierung für mehr Sicherheit sorgt
Unternehmensnetzwerke sind über die Jahre hinweg immer komplexer geworden.
Eine Vielzahl von Änderungsanforderungen werden wöchentlich von IT-Teams bearbeitet, die dann auf die
jeweiligen Infrastruktur innerhalb des Netzwerkes übertragen werden.
Die Konsequenz:
Die Komplexität und Größe der Konfigurationen wächst und wächst – und damit werden interne und/oder
externe Ressourcen verbraucht, die eigentlich für die Umsetzung der Projekte und Aufgaben benötigt werden.
Die Änderungen betreffen dabei alle Umgebungen der IT, von Firewalls, Wifi-Infrastrukturen, Datacenter und IT-
Systemen verschiedener Hersteller. Die Größe eines modernen Netzwerks macht es für Unternehmen heute
immer schwieriger, die damit verbundene Komplexität zu bewältigen. Hinzu kommt zukünftig eine Vielzahl von
IOT-Geräten und Systemen, die zum Teil ältere und unsichere Betriebssysteme haben, die sicher und
segementiert in bestehende Infrastrukturen integriert werden müssen.
Cyberkriminelle können diesen Zustand und die Existenz möglicher Fehlkonfigurationen und ungeschützter
Zugriffe ausnutzen. Die möglichen Folgen davon wären Ausfall der Produktion, Nichterfüllung von
Marcom V1.0 2018
Lieferverpflichtungen und die damit verbundenen empfindlichen Strafzahlungen (Pönalen), sowie Spionage und
Sabotage.
© 2018 Controlware GmbH 4
Netzwerksegmentierung, Time-to-Service, Stealth Networking
Ein geeigneter Ansatz für die Netzwerksicherheit ist die Netzwerksegmentierung. Dazu werden Anwendungen,
Abteilungen und ganze Infrastrukturen in Segmente unterteilt, so dass Bedrohungen eingedämmt und deren
Ausbreitung auf andere Bereiche verhindert werden können.
Im Falle eines erfolgreichen Angriffs auf eines dieser Segmente ist die Folge lediglich eine lokale Störung im
Gegensatz zu einem Desaster, wenn der Zugriff auf die gesamte Infrastruktur möglich wäre.
Diese Unterteilung kann sehr granular und dynamisch erfolgen, so dass hier kein manueller
Konfigurationseingriff, mit einem dafür erforderlichen Wartungsfenster und der damit verbundenen Wartezeit,
notwendig ist.
Der Faktor „Time-to-Service“, d.h. die Implementierung neuer Services im Netzwerk, kann hier von Wochen
oder mehreren Tagen auf wenige Minuten reduziert werden, bei gleichbleibender Netzwerksicherheit.
Ein Ansatz dafür wäre die Netzwerkvirtualisierung „Fabric Connect“ als gesamtheitliche „Automated Campus“
Lösung der Extreme Networks, die zusätzlich zur dynamischen Provisionierung der Netzwerkservices auch noch
die Möglichkeit bietet, das Netzwerk gegenüber den Anwendern nahezu vollständig zu tarnen (Stealth
Marcom V1.0 2018
Networking) und unangreifbar zu machen.
Die „Fabric Services – I-SIDs“ sind “Ethernet Switched Paths” und nicht anfällig für IP-Scanning / Hacking-Tools
© 2018 Controlware GmbH 5
Extreme Networks Fabric Connect - Shortest Path Bridging
2
Marcom V1.0 2018
© 2018 Controlware GmbH 6
Kern des Automated Campus = Extreme Networks Fabric Connect
- Shortest Path Bridging (SPB)
Die Basis sind Standards!
IEEE 802.1aq (verabschiedet am 29.03.2012)
Heute in IEEE Standard 802.1Q-2014 „Bridges and Brigded networks“
IS-IS Erweiterungen für SPB in IETF RFC 6329 standardisiert
Extreme Networks Erweiterungen
L3 VSN (IETF draft-unbehagen-spb-ip-ipvpn)
IP Shortcut Routing (IETF draft-unbehagen-spb-ip-ipvpn)
Inter-VSN Routing
Integration mit Switch Clustering (SMLT/MLAG)
IP Multicast Routing ohne die Notwendigkeit von PIM und OSPF
Distributed Virtual Routing – DVR (analog zu „Anycast Gateway“ anderer Fabrics)
Marcom V1.0 2018
Management und Fehlersuche auf Basis von CFM (IEEE 802.1ag)
Werkzeuge: l2 ping, l2 traceroute, l2 tracetree, l2 tracemroute
© 2018 Controlware GmbH 7
Fabric Connect bringt Vereinfachung: statt 4-10 Protokolle nur 1
Traditionell
Fabric Connect
MPLS Vorteile:
• Schnellere Einrichtung
• Erhöhte Stabilität
Extreme Networks Fabric
OSPF Connect • Schnelle Konvergenz ~80ms
Shortest Path Bridging SPBM • Einfachere Fehlerbehebung
1 Protokoll • Höhere Robustheit
(IEEE/ IETF Shortest Path Bridging)
802.1 • Geringere Kosten
Marcom V1.0 2018
© 2018 Controlware GmbH 8
Fabric Connect & Fabric Attach - Schematisch
Layer 3 Virtualized L3 VSN I-SID 30001 Layer 3 Virtualized
Service Service
Layer 2 (E-LAN) Layer 2 (E-LAN)
Virtualized Service L2 VSN I-SID 20001 VLAN 2
Virtualized Service
IP Multicast Service MC VSN I-SID 16000001 IP Multicast Service
Fabric Connect (SPBm) Fabric Attach (“Auto Attach”)
Control Data OAM Control Data
Plane Plane Plane Plane
IS-IS LLDP IEEE 802.1Q
(IETF RFC 6329)
IEEE 802.1ah IEEE 802.1ag FA TLVs (VLAN)
(MAC-in-MAC) CFM (IEEE 802.1Qcj)
Marcom V1.0 2018
Physik - ETHERNET Physik - ETHERNET
© 2018 Controlware GmbH OAM = Operation, Administration and Maintenance 9
CFM = Connectivity Fault Management
Vorteile der Extreme Automated Campus Fabric (1/2)
Kein IP Underlay Netzwerk
Alle Fabric Links sind mit jedem anderen (gleicher Geschwindigkeit) kompatibel, d.h. Umpatchung / Schwenk und
Hinzufügen von Links problemlos ohne Unterbrechung möglich
Komplette Topologiefreiheit – Alles ist möglich
Leaf-Spine, Ringe, Maschen, Sterne und alle Kombinationen daraus …
Dienste einfach einzurichten
L2, L3 = IP Unicast und Multicast) erfordern keine Overlay Netzwerke
L3 (IP Unicast & Multicast Routing) erfordert keine zusätzlichen Protokolle
Alle Dienste werden nur dort konfiguriert, wo sie das Endgerät bzw. der Nutzer benötigt.
Alle Transitknoten - Zero Touch ! (keine Wartungsfenster)
L3 VPN für Mandanten (=VRF Instanzen)
ohne zusätzliche Overlay und Netzwerkprotokolle (wie MPLS / MBGP)
Marcom V1.0 2018
Fabric Connect skaliert aktuell bis mehrere hundert Knoten
© 2018 Controlware GmbH 10Vorteile der Extreme Automated Campus Fabric (2/2)
Layer 2 Dienste können mittels Fabric Attach (IEEE „Auto Attach“) automatisch
durchgeschaltet werden
Fabric Automatisierung kann für L2 Konnektivität auf angeschlossene Komponenten
ausgedehnt werden
Extreme Summit Switches (ExtremeXOS™ ab 22.4) und Switches der ERS Serien
Automatisierte Provisionierung der Uplinks zwischen diesen Switches und der Fabric
Extreme WLAN (WLAN 39xx als auch WiNG Portfolio)
Automatisierte Provisionierung der Uplinks zu WLAN AP‘s (hinter FA Proxy / FA Server)
Hypervisor mit Open vSwitch (OVS ab Version 2.4), beispielsweise KVM
u.v.m.
Fabric Attach skaliert unbegrenzt
Marcom V1.0 2018
Hinter jedem Fabric Connect Knoten lassen sich soviel Fabric Attach Proxy Switches
anschliessen, wie Ports verfügbar sind
© 2018 Controlware GmbH 11Campus Fabric im Vergleich
Marcom V1.0 2018
© 2018 Controlware GmbH 12Verbesserung der Netzwerksicherheit durch Fabric Connect
Hyper-Segmentierung Stealth Networking Service Elastizität
• Ende zu Ende Isolierung des • Netzwerktopologie für den • Eliminiert Hintertür-
Datenverkehrs; isoliert kritische Benutzer völlig unsichtbar Einstiegspunkte in das Netzwerk
Informationen, Anwendungen
oder Benutzergruppen. • Dienste sind “Ethernet Switched • Die Dienste werden ein- und
• Verstöße werden eingedämmt; Paths” und nicht anfällig für IP- ausgeschaltet, wenn Benutzer
Verhinderung von Scanning / Hacking-Tools. und Geräte eine Verbindung
Seitenbewegungen. zum Netzwerk herstellen und
• Einfache und skalierbare trennen - keine statischen
Bereitstellung Konfigurationen von Vlans und
User-Ports
Rob Joyce “Ein gut segmentiertes Netzwerk bedeutet, dass, wenn ein
Chief of Tailored Einbruch erfolgt, dieser eingedämmt werden kann.... der
Access Operations
Marcom V1.0 2018
US National Security Unterschied zwischen einem eingedämmten und einem
Agency nicht eingedämmten Einbruch ist der Unterschied
zwischen einem Vorfall und einer Katastrophe.....”
© 2018 Controlware GmbH 13Fabric Connect / Fabric Attach – im Detail
3
Marcom V1.0 2018
© 2018 Controlware GmbH 14Fabric Connect ist einfach: Provisionierung am Rand
Status Quo Mit Extreme
Provisionierung Nur Provisionierung
jedes einzelnen
am Rand
Gerätes
‘Moves-Add- Kernbereich wird
nicht mehr angefasst
Changes’
erfordern ‘Moves-Add-
Veränderungen im Changes’ im
Kernbereich laufenden Betrieb
(keine Wartungs-
Anfällig für fenster mehr nötig)
menschliches
Versagen bei Von der Topologie
Veränderungen abstrahierte Dienste
Dienste sind an
Videoüber-
Marcom V1.0 2018
wachungs-
server Die Services folgen
Anwendung
die physikalische dem Anwender
Server Topologie dynamisch
gekoppelt
‘Moves, Adds and Changes’ – Umzüge, Hinzufügungen und Veränderungen
© 2018 Controlware GmbH 15Einfache Provisionierung durch Automatisierung am Rand des Netzwerkes
Fabric Attach
Ermöglicht die Erweiterung der Fabric auf
nicht Fabric-fähige Geräte (Switche, APs,
Fabric Connect
IP-Kameras und Hypervisors).
Bietet die sichere Anbindung von Benutzern
und Geräten an den entsprechenden Dienst.
Policy
Sicheres On-Boarding und Kontrolle über
Benutzer und Geräte.
Benutzer und Geräte können von überall aus LLDP / AutoAttach
eine Verbindung herstellen und erhalten die
korrekte Richtlinie mit Zugang zum richtigen Fabric Attach VM-1
Fabric-Service ohne manuellen Eingriff.
Marcom V1.0 2018
VM-2
Zero-Touch Edge = IoT-Ready
© 2018 Controlware GmbH 16Fabric Attach – die Übersicht der Funktionen
Marcom V1.0 2018
© 2018 Controlware GmbH 17Fabric Attach – die Bausteine im Detail
Fabric Attach (802.1Qcj Auto Attach)
End devices/users
VSP - Fabric edge ERS – Access ONA Wired IoT device
(switch cluster) Non-FA
EXOS-Access FA Client device
(wiring closet)
FA Server FA Proxy WLAN AP Laptop/tablet/Smartphone
SPB & IS-IS (BEB) Non-FA
FA Client device
Fabric vIST
Connect OVS / 3rd Party IP Phone/PC/Printer/Camera
FA Server Non-FA
(FC) (BEB)
FA Client device
PC/Server Switch (ERS3510)
Non-FA Non-FA
device device
SPBM LLDP Control plane
I-SID (MAC-in-MAC) VLAN (q-tag) Services Data plane
Marcom V1.0 2018
FA Proxy & FA Clients sind nur für die Anbindung an einen Fabric Service (I-SID) zuständig
Fabric Attach verbindet Endsysteme nur mit L2VSN I-SIDs
Sie benötigen ISIS nicht, um den kürzesten Weg zu berechnen, da sie alle über einen einzigen logischen Uplink in die Fabric
verfügen.
© 2018 Controlware GmbH 18KVM Hypervisor mit Open vSwitch im Detail
root@kvm01:~# ovs-appctl autoattach/show-isid
LLDP: eth2
I-SID VLAN Source Status
-------- ---- ----------- --------
10911 911 Switch Pending
90090 90 Switch Pending
10012 12 Switch Pending
50050 50 Switch Pending
10912 912 Switch Pending
50055 55 Switch Pending
10910 910 Switch Pending
10011 11 Switch Pending
70070 70 Switch Pending
70075 75 Switch Pending
10010 10 Switch Pending
root@kvm01:~# ovs-appctl autoattach/show-isid
LLDP: eth2
I-SID VLAN Source Status
-------- ---- ----------- --------
10911 911 Switch Active
90090 90 Switch Active
10012 12 Switch Active
50050 50 Switch Active
10912 912 Switch Active
Marcom V1.0 2018
50055 55 Switch Active
10910 910 Switch Active
10011 11 Switch Active
70070 70 Switch Active
70075 75 Switch Active
10010 10 Switch Active
© 2018 Controlware GmbH 19Kundenprojekt “Stealth hyper-segmented” Netzwerk
4
Marcom V1.0 2018
© 2018 Controlware GmbH 20Controlware Kundenprojekt mit L2 VSNs - Detail Alternative Konfiguration als L3VSN (IP-VPN):
conf t
L2VSN – “Stealth hyper-segmented” Netzwerk mit GRT (VRF0) Isolation
router vrf vrf-blue
ipvpn
i-sid 10.000
ipvpn enable
DC 1 DC 2 mvpn enable (optionales Multicast-Routing
aktiviert)
Stealth Layer 2 Network (L2VSN) – I-SID 10.000 vrf-blue exit
Stealth Layer 2 Network (L2VSN) – I-SID 20.000 vrf-red Vlan / L2VSN
Stealth Layer 2 Network (L2VSN) – I-SID 30.000 vrf-green Vlan / L2VSN
User Data Planes
Stealth Layer 2 Network (L2VSN) – I-SID 40.000 vrf-yellow
Das IP-Management der Core Komponenten kann aus
Layer 2 VSN – I-SID 100 (GRT)
einem VRF heraus nicht erreicht, evaluiert oder
attakiert werden.
Die “Bewegungsfreiheit” ist grundsätzlich nur innerhalb
GRT (VRF0)
eines VRF möglich und durch Firewalls in andere VRFs,
Base IP Forwarding Plane
je nach Vorgaben der IT, eingeschränkt.
IT Management only!
Der mögliche erfolgreiche Angriff auf IT-Ressourcen
Marcom V1.0 2018
innerhalb eines dedizierten VRF’s betrifft hier lediglich
GRT = Global Routing Table ein Subnetz und nicht das gesamte Netzwerk, was sich
VSN = Virtual Services Network
= L3 Instanz
unterscheidet zwischen einer lokalen Störung oder
= Firewall GRT IPv4 Shortcuts – I-SID 500 (Device Mgmt-Vlan) einem Desaster.
= Virtual Routing and Forwarding Instanz Ab VOSS 8.0.0.0 kann Mgmt innerhalb des GRT0 auf ein
einziges Vlan oder nur eine IP eingeschränkt werden
© 2018 Controlware GmbH 21Stealth Networking mit Fabric Attach am Edge
5
Marcom V1.0 2018
© 2018 Controlware GmbH 22Stealth Network Demo mit Fabric Attach am Edge
Marcom V1.0 2018
© 2018 Controlware GmbH 23i-sid 50050 vlan 50
BCB-1:1#sho ip interface
=========================================================================================
IP Interface - GlobalRouter
=========================================================================================
INTERFACE IP NET BCASTADDR REASM VLAN BROUTER IPSEC
ADDRESS MASK FORMAT MAXSIZE ID PORT STATE
------------------------------------------------------------------------------------------
Clip1 10.49.255.25 255.255.255.255 ones 1500 -- false disable
Vlan910 10.9.100.25 255.255.255.0 ones 1500 910 false disable
BCB-1:1#sho ip arp
==========================================================================================
IP Arp - GlobalRouter
==========================================================================================
IP_ADDRESS MAC_ADDRESS VLAN PORT TYPE TTL(10 Sec) TUNNEL
------------------------------------------------------------------------------------------
10.9.100.10 14:61:2f:ef:0d:81 910 Trunk_to_BCB-2 DYNAMIC 882 BEB2-2 BCB-1:1#sho ip vrf
10.9.100.11 f8:15:47:e2:62:81 910 Trunk_to_BCB-2 DYNAMIC 543 BEB2-2
10.9.100.16 04:78:56:ae:50:00 910 Trunk_to_BCB-2 DYNAMIC 2134 BEB2-2
10.9.100.17 70:7c:69:05:7a:00 910 1/2 DYNAMIC 2159 BEB1-2 ==============================================================================
10.9.100.25 b4:2d:56:98:fa:00 910 - LOCAL 2160 VRF INFORMATION
10.9.100.26 a4:ea:8e:7c:15:00 910 Trunk_to_BCB-2 DYNAMIC 296 BCB-2 ==============================================================================
VRF OSPF RIP BGP PIM ARP PIM6
10.9.100.74 ac:1f:6b:73:2c:39 910 1/2 DYNAMIC 605 BEB1-2
COUNT COUNT COUNT COUNT COUNT COUNT COUNT
10.9.100.240 00:0c:29:19:09:a6 910 1/2 DYNAMIC 2158 BEB1-2 ------------------------------------------------------------------------------
10.9.100.242 00:0c:29:82:ee:b3 910 1/2 DYNAMIC 781 BEB1-2 2 1 1 1 1 11 0
10.9.100.255 ff:ff:ff:ff:ff:ff 910 - LOCAL 2160
10.49.255.25 00:00:00:00:00:01 - - LOCAL 2160 VRF VRF VLAN ARP
NAME ID OSPF RIP BGP PIM COUNT COUNT
========================================================================================== ------------------------------------------------------------------------------
Marcom V1.0 2018
GlobalRouter 0 TRUE TRUE TRUE TRUE 4 11
MgmtRouter 512 FALSE FALSE FALSE FALSE 1 0
© 2018 Controlware GmbH 25BCB-2:1#sho ip interface
=========================================================================================
IP Interface - GlobalRouter
=========================================================================================
INTERFACE IP NET BCASTADDR REASM VLAN BROUTER IPSEC
ADDRESS MASK FORMAT MAXSIZE ID PORT STATE
----------------------------------------------------------------------------------------------------
Clip1 10.49.255.26 255.255.255.255 ones 1500 -- false disable
Vlan910 10.9.100.26 255.255.255.0 ones 1500 910 false disable
BCB-2:1#sho ip arp
************************************************************************************
Command Execution Time: Tue Jun 04 13:43:57 2019 CEST
************************************************************************************
=========================================================================================
IP Arp - GlobalRouter
=========================================================================================
IP_ADDRESS MAC_ADDRESS VLAN PORT TYPE TTL(10 Sec) TUNNEL
------------------------------------------------------------------------------------------
10.9.100.1 64:6a:52:b3:1d:01 910 Trunk_to_BCB-1 DYNAMIC 2125 BEB1-2
10.9.100.2 64:6a:52:a4:1d:01 910 Trunk_to_BCB-1 DYNAMIC 2125 BEB1-2
10.9.100.10 14:61:2f:ef:0d:81 910 1/24 DYNAMIC 778 BEB2-2
10.9.100.11 f8:15:47:e2:62:81 910 1/24 DYNAMIC 1464 BEB2-2
10.9.100.16 04:78:56:ae:50:00 910 1/24 DYNAMIC 2125 BEB2-2
10.9.100.17 70:7c:69:05:7a:00 910 Trunk_to_BCB-1 DYNAMIC 2155 BEB1-2
10.9.100.25 b4:2d:56:98:fa:00 910 Trunk_to_BCB-1 DYNAMIC 2125 BCB-1
10.9.100.26 a4:ea:8e:7c:15:00 910 - LOCAL 2160
10.9.100.66 f8:db:88:fb:d4:96 910 1/24 DYNAMIC 2125 BEB2-2
10.9.100.74 ac:1f:6b:73:2c:39 910 Trunk_to_BCB-1 DYNAMIC 541 BEB1-2
10.9.100.100 ac:1f:6b:73:2d:6f 910 Trunk_to_BCB-1 DYNAMIC 2155 BEB1-2
Marcom V1.0 2018
10.9.100.240 00:0c:29:19:09:a6 910 Trunk_to_BCB-1 DYNAMIC 2156 BEB1-2
10.9.100.242 00:0c:29:82:ee:b3 910 Trunk_to_BCB-1 DYNAMIC 704 BEB1-2
10.9.100.255 ff:ff:ff:ff:ff:ff 910 - LOCAL 2160
10.49.255.26 00:00:00:00:00:01 - - LOCAL 2160
====================================================================================================
© 2018 Controlware GmbH 26Secure Automated Campus – die Komponenten
6
Marcom V1.0 2018
© 2018 Controlware GmbH 27Secure Automated Campus – die Komponenten
Management | Control | Analytics | Alarms / Events
Extreme Management Center (XMC)
VSP series 4000 / 7200 / 7400 / 8000 / 8600 ERS 4900/5900 ERS 3500/3600 ExtremeXOS™ APs
Fabric Attach
Marcom V1.0 2018
Fabric Connect
Automated, Secure, Policy-enabled Campus Architecture
XMC ermöglicht das komplettes Netzwerk, inklusive Automatisierung, vom Edge bis ins
© 2018 Controlware GmbH Rechenzentrum, über eine einzige Oberfläche zu verwalten 28Extreme Management Center als Basis des Automated Campus
EINE 360° Oberfläche für das Management, Events,
Control, Compliance, Analytik und Workflows
• Vollständig integrierte Software-Suite für 360-Grad-Ansicht
• Granulare Richtlinienkontrolle - Dynamische rollenbasierte
Zugriffskontrolle basierend auf kontextueller
Identitätskontrolle
• Durchgängige Layer-7-Steuerung und -Visibilität für
kabelgebundene und drahtlose Netzwerke
• Zusammenführung von Analysedaten mit Richtlinien- und
Standortdaten für eine 360°-Ansicht
• Umfassende Integration von Drittanbietern für Sicherheit
und Automatisierung
• Erstellung und Nutzung eigener oder bereits veröffentlichter
Workflows zur Automatisierung von Vorgängen
Marcom V1.0 2018
• Integrierte und automatisierte Compliance-Prüfung und
Audit-Tests für eigene oder vordefinierte Regimes wie
GDPR, PCI, HIPAA
© 2018 Controlware GmbH 30Campus Fabric Deployment model
7
Marcom V1.0 2018
© 2018 Controlware GmbH 31Campus Fabric Deployment model
WLAN AP FA Clients
Wireless Access
Campus Fabric ist … DMZ / Internet
Fabric
FA Proxies Attach FA Proxies
FC: Fabric Connect Wiring Closet
802.1aq Shortest Path
Campus BEB BEB BEB BEB
Bridging (SPB) Distribution
Muss die Campus Fabric
FA: Fabric Attach
802.1Qcj Automatic
Attachment to Provider
Branch
BEB
SPB Backbone
(Fabric Connect)
SPB extended
over WAN
Core BCB BCB
BEB
Internet
(Fabric Extend)
so aussehen?
Backbone Bridging BEB BCB BCB
BEB
FE: Fabric Extend BEB
BEB BEB BEB BEB
Über WAN oder IP transport BEB
Data Centre
Distribution
mit VXLAN
Marcom V1.0 2018
Server Access (TOR)
L2 BEBs L2 BEBs
Fabric Attach
Hypervisors
© 2018 Controlware GmbH 32Campus Fabric – kann auch anders aussehen ...
WLAN AP FA Clients
Wireless Access
• Jede Topologie ist erlaubt ! DMZ / Internet
Fabric
Attach
•
FA Proxies FA Proxies
Oft sind Core Switches Wiring Closet
unnötig
Campus BEB BEB BEB BEB
• Hier im Beispiel: Distribution
ein Doppelring SPB Backbone BEB
(Fabric Connect)
Branch
BEB
Internet
SPB extended
over WAN
BEB (Fabric Extend)
BEB
BEB
BEB BEB BEB BEB
BEB
Data Centre
Distribution
Marcom V1.0 2018
Server Access (TOR)
L2 BEBs L2 BEBs
Fabric Attach
Hypervisors
© 2018 Controlware GmbH 33Haben Sie Fragen ?
Marcom V1.0 2018
© 2018 Controlware GmbH 34Vielen Dank für Ihre Aufmerksamkeit!
Thank you very much for your attention!
Marcom V1.0 2018
© 2018 Controlware GmbH 35Backup Slides
Marcom V1.0 2018
© 2018 Controlware GmbH Controlware Kick-Off 2019 – CHANGE IT 36Shortest Path Bridging – Fabric Connect
IS-IS bildet Nachbarknoten, entdeckt die Kernnetztopologie und berechnet
dann automatisch die kürzesten Wege von sich selbst zu jedem anderen
Knoten im Netzwerk.
IS-IS leitet die Pakete in den Backbone-VLANs (BVIDs) weiter.
Extreme Management Center
Wichtige Eigenschaften
• Kürzester Weg basierend auf Link-Metriken ohne blockierte Pfade ISIS ISIS
• Reverse Path Forwarding Check (RPFC) eliminiert Schleifen.
• Symmetrischer Datenpfad zwischen zwei beliebigen Knoten bietet ein ISIS
geschlossenes OAM-System. ISIS ISIS
ISIS
• Unicast-Pfad, wird von jedem Knoten zu jedem anderen Knoten
berechnet.
• Möglichkeit zur Berechnung dienstspezifischer Multicast-Pfade
ISIS
• Keine IP-Konfiguration innerhalb des Fabric erforderlich ISIS
Marcom V1.0 2018
ISIS
• Das Netzwerk wird zur virtuellen Switched Fabric
• Kein “Flood & Learn”, IS-IS programmiert die entsprechenden
Tabellen der SPB-Knoten ISIS ISIS
OAM = Operation, Administration and Maintenance
© 2018 Controlware GmbH 37Erweiterung von Fabric Links über Ethernet oder IP
Extreme Management Center
IS-IS interfaces können gebildet werden über:
- Physische Ethernet links
- Optische Ethernet links ISIS ISIS
- Emulierte Ethernet links
- IP geroutete Netzwerke (via logical ISIS
interfaces) ISIS
ISIS ISIS ISIS
L2 IP
ISIS
ISIS
ISIS
ISIS ISIS
Marcom V1.0 2018
© 2018 Controlware GmbH 38Shortest Path Bridging – L2 Services
Extreme Management Center
Ein VLAN provisioniert am Rand der Fabric wird auf Zuweisung VLAN20 I-SID 100
ein Virtual Service Network gemappt mit einem
User
Individual Service Identifier (I-SID) ISIS ISIS
ISIS
Vlan 20 ISIS ISIS ISIS
Virtual Service Network I-SID 100
ISIS
ISIS Vlan ISIS
30
IS-IS verbreitet alle neuen Dienste und Services (I-SID-
Informationen) im Netzwerk weiter und aktualisiert die ISIS ISIS
Marcom V1.0 2018
#config VLAN ISID 30 100
entsprechenden Datenbanken mit I-SID-Dienst-spezifischen
Vlan 20
Einträgen auf allen SPB-Knoten. Die Vlan-ID am UNI ist
variabel, entscheidend ist der gemeinsame I-SID #config VLAN ISID 20 100
(Vlan-Translation möglich)
© 2018 Controlware GmbH 39Shortest Path Bridging – L2 Services
Extreme Management Center
Das herkömmliche Routing im Ethernet:
“Flooding and Learning” von MAC
Adressen und Hinzufügen in die User
ISIS ISIS
Forwarding Databases (FDB) CREATE
ISID=100
Vlan 20 ISIS
ISIS 100 ISIS ISIS
ISIS 100
ISIS
ISIS
Vlan 20
Das Routing im SPB:
100
“IS-IS” berechnet den “shortest path” und ISIS ISIS
programmiert die BMAC Adressen in die Vlan 20
Marcom V1.0 2018
FDB aller SPB-Knoten
© 2018 Controlware GmbH 40Shortest Path Bridging – L2 Service VSN
Gleiche Unicast & Multicast Pfade
Gleiche “forward & reverse” Pfade
Vlan 20
Wichtige Eigenschaften:
• Alle Verkehrstypen (bekannt, unbekannter Verkehr, A
Broadcast) nutzen den gleichen Pfad– keine “out of
order” Pakete möglich
– Datenverkehr A B nutzt den gleichen Pfad wie
BA B Vlan 20
– Multicast Bäume sind ROOT-ed am Quell-
Knoten mit jeder Service Instanz und werden nur
Vlan 20
zu Knoten mit gleichen I-SID weitergeleitet
Marcom V1.0 2018
– Kein “MAC learning & flooding” im Core Service & Source Specific Multicast Tree Unicast Path
– Volle QoS unterstütze Infrastruktur
© 2018 Controlware GmbH 41Shortest Path Bridging – L2 Service VSN
Gleiche Unicast & Multicast Pfade
Gleiche “forward & reverse” Pfade
Vlan 20
Wichtige Eigenschaften:
• Alle Verkehrstypen (bekannt, unbekannter Verkehr,
A
Broadcast) nutzen den gleichen Pfad– keine “out of
order” Pakete möglich
– Datenverkehr A B nutzt den gleichen Pfad wie B Vlan 20
BA
– Multicast Bäume sind ROOT-ed am Quell-
Knoten mit jeder Service Instanz und werden nur Vlan 20
zu Knoten mit gleichen I-SID weitergeleitet
Marcom V1.0 2018
– Kein “MAC learning & flooding” im Core Service & Source Specific Multicast Tree Unicast Path
– Volle QoS unterstütze Infrastruktur
© 2018 Controlware GmbH 42Shortest Path Bridging – L3 Service VSN
Extreme Management Center
Eine Virtual Routing Instanz (VRF)
provisioniert am Rand der Fabric wird auf
Zuweisung VRF-2 IPVPN I-SID 200
einen Virtual Service Network gemappt mit
einem Individual Service Identifier (I-SID) ISIS ISIS
User
VRF2 ISIS
Vlan / IP net1 ISIS
ISIS ISIS
Vlan / IP net2
Virtual Service Network I-SID 200
ISIS
ISIS
ISIS
IS-IS verbreitet alle neuen Dienste und I-SID-
Marcom V1.0 2018
ISIS ISIS
Informationen im Netzwerk, sowie auch die
VRF-IP-Routen, die nur auf den Knoten mit Vlan / IP net3
VRF2
derselben I-SID akzeptiert und installiert werden. Vlan / IP net4
© 2018 Controlware GmbH 43VRF0 (GRT) IP Shortcuts
Extreme Management Center
Global Routing Table (GRT oder VRF0)
provisioniert am Rand der Fabric routet Enable IP Shortcut
Standard IP Pakete via IS-IS im SPBM
Core ISIS ISIS
User
GRT ISIS
Vlan / IP net1 ISIS
ISIS ISIS
Vlan / IP net2
ISIS
ISIS
ISIS
IS-IS wird verwendet, um die
Erreichbarkeit von IP-Routen zu ISIS ISIS
Marcom V1.0 2018
verteilen, die IP-Routen werden in der
Vlan / IP net3
GRT/VRF0 - IP-Routingtabelle installiert,
GRT
wobei der Next-Hop direkt zum Vlan / IP net4
bekanntgebenden Knoten erfolgt.
© 2018 Controlware GmbH 44SPB VSN Service Flexibilität
Extreme Management Center
Vlan / IP net1
Routing irgendwo in the Fabric mit Vlan / IP net2 VRF2
L3VSNs (oder GRT IP Shortcuts) ISIS ISIS
ISIS
ISIS ISIS
L3-VSN ISIS
I-SID 200
VRF2
ISIS
ISIS Vlan 21 / IP net3
ISIS
L2-VSN I-SID 101
ISIS ISIS
Marcom V1.0 2018
Verlängerung von L2 VLANs überall Vlan 21
Vlan 21
innerhalb oder außerhalb der Fabric mit
Hilfe von L2VSNs DC1 DC2
© 2018 Controlware GmbH 45SPB VSN Service Flexibilität
Extreme Management Center
Vlan / IP net1
Routing irgendwo in the Fabric mit Vlan / IP net2 VRF2
L3VSNs (oder GRT IP Shortcuts) ISIS ISIS
ISIS
ISIS ISIS
L3-VSN ISIS
I-SID 200
ISIS
ISIS
ISIS
L2-VSN I-SID 101
VRF2 ISIS ISIS
VRF2
Marcom V1.0 2018
Verlängerung von L2 VLANs überall Vlan 21 / IP net3
IP if - DGW
IP if - DGW
Vlan 21 / IP net3
innerhalb oder außerhalb der Fabric mit
Hilfe von L2VSNs DC1 DC2
© 2018 Controlware GmbH 46Shortest Path Bridging – IP Multicast Services
Extreme Management Center
Ein Multicast Stream empfangen am Rand der Fabric wird Receiver
automatisch auf einen dedizierten Multicast Service
Identifier (I-SID) gemappt (I-SID >/= 16.000.000)
IGMP
Join 239.0.0.10
ISIS ISIS
Wichtige Eigenschaften:
IGMP am Edge
ISIS
IS-IS in der Fabric IPMC ISIS
I-SID 16000000 ISIS ISIS
Ohne PIM oder DVMRP Komplexität Multicast Sender
Grp 239.0.0.10
Kann genutzt werden innerhalb von
ISIS
einem L2 oder L3 VSN
ISIS
ISIS
IGMP
Join
IS-IS propagiert diesen MC-Stream innerhalb der 239.0.0.10
ISIS ISIS
Marcom V1.0 2018
Fabric. Der MC-Stream wird erst gesendet, sofern ein
IGMP
Empfänger diesen anfragt und er wird NUR zu den
Join 239.0.0.10
Empfänger weitergeleitet, die ihn auch angefragt haben. Receiver
Receiver
© 2018 Controlware GmbH 47SPB Fabric basierende Video Überwachung
Routing Instanz!
Senders
VLAN VLA
N
VLA
SPB
N
Senders
VLAN Video on Demand
Empfänger Monitore
(IP Multicast der IP-
Senders VLAN Kameras)
VLAN
VLAN
Senders VLAN
Senders VLAN Video Recorders
(IP Unicast der IP-Kameras)
Marcom V1.0 2018
IGMP IGMP
SPB L3 VSN mit MC Erweiterung
(Sender und Empfänger in verschiedenen IP-Subnetzen)
© 2018 Controlware GmbH 48Fabric Connect Dienste im Überblick
SPB Access SPB Core SPB Access
Infrastruktur
Tester Tester
IPv4 Multicast Routing enable
vlan 13 vlan 14
GRT IP 10.0.13.0/24
GRT IPv4 Shortcuts (Mgmt of devices) 10.0.14.0/24
Shortcut 3000:13/64 GRT IPv6 Shortcuts 3000:14/64
IPv4 Multicast Snoop enable
vlan 10 I-SID 20010 vlan 10
L2VSN
Virtualisierte Dienste
IPv4 Multicast Snoop enable
vlan 9 I-SID 20009 vlan 19
vlan 101 IPv4 Multicast Routing enable vlan 102
10.1.101.0/24 I-SID 30001 10.1.102.0/24
2001::101/64 2001:102/64
L3VSN
vlan 201 vlan 202
IPv4 Multicast Routing enable
10.2.201.0/24 I-SID 30002 10.2.202.0/24
2002::201/64 2002::202/64
Marcom V1.0 2018
vlan 11
L2VSN I-SID 20011 vlan 11
10.3.11.0/24 vlan 300
I-SID 30005 10.3.1.0/24
vlan 12
L2VSN I-SID 20012 vlan 12
10.3.12.0/24
For this topology IP Multicast would be handled as above for L3VSNs; forwarding streams through the fabric multiple times is
sub-optimal
Inter-VSN L3VSN (or IP Shortcuts)
© 2018 Controlware GmbH 49Fabric Attach (FA) – Komponenten
Wie arbeitet Fabric Attach
FA benutzt Standard-Protokolle wie LLDP und Radius
Austausch über die möglichen FA-Funktionen zwischen FA-Geräten.
Übermittlung von Provisionierungs-Informationen (ISID-VLAN).
Extreme Networks spezifische LLDP-TLVs übertragen die FA-Informationen.
Dadurch ist FA auch von Drittanbietern einfach und schnell zu implementieren.
Radius und EAP werden benötigt, falls man automatisch und sicher
Benutzer oder Client-Geräte anbinden möchte.
Extreme Identity Engines sendet hierzu herstellerspezifische Attribute zum FA Switch
VLAN
Marcom V1.0 2018
ISID
Die Option VLANs zu erzeugen, falls diese noch nicht existieren
© 2018 Controlware GmbH 50Fabric Attach (FA) – Komponenten
FA-Komponenten:
FA Server
Muss Teil der Fabric sein (SPB enabled)
Reales Mapping von VLANs auf ISIDs
Implementierung: VSP 4000/7200/7400/8000 (auch als Cluster (redundant); ERS 4900/5900 (nicht
redundant)
FA Proxy
Virtuelles Mapping von VLANs auf ISIDs
Manuelle oder automatische Provisionierung
FA Proxy, transparente FA-Signalisierung
Implementierungen: ab XOS 22.4.1, ERS 3500/3600/4800/4900/5900
FA Client
Marcom V1.0 2018
Client-Gerät (z.B. Access Point) mit FA-Funktionen
Implementierungen: Extreme Wireless (3900 Series), OVS 2.4, Microsens Switches …
© 2018 Controlware GmbH 51IEEE 802.1ah Frame Format (MAC-in-MAC)
SPBm nutzt diesen Standard
Service Instance ID (3 Byte)
Backbone Adressen
DA SA C-VID Nutzerdaten
B-DA B-SA B-VID I-SID Daten
Kein Lernen von Nutzer-MAC-Adressen
Nutzer/Edge Adressen
Nutzer MAC-Adressen sind versteckt hinter dem “Backbone MAC Header” das Kernnetz lernt keine Kunden-MAC-Adressen
Virtualisierung
Marcom V1.0 2018
Service-Instanz (I-SID) ermöglicht die Trennung/Virtualisierung der Netzwerkinfrastruktur vom Netzwerkservice (VLAN, L2 VPN, L3
VPN, Routing)
3 Byte, daher ca. 16 Millionen von virtuellen Netzen möglich
Kunden-VLAN (C-VID) wird auf Service-Instanz (I-SID) abgebildet
© 2018 Controlware GmbH 52
©2017 Extreme Networks, Inc. All rights reservedSPBm nutzt IEEE 802.1ah MAC-in-MAC Encapsulation (Provider Backbone Bridging)
Kunden LAN Kunden
VLANs
Payload Payload
Payload
or Legende:
VLAN ID C-VID
SA SA SA SA = Source MAC address
DA DA DA DA = Dest. MAC address
802.1Q I-SID VID = VLAN ID
B-VID C-VID = Customer VID
Consolidated Service and Tunnel I-SID = 24 Bit Service ID
B-SA
B-VID = Backbone VID
B-DA B-DA = Backbone DA
802.1ah B-SA = Backbone SA
Service Identifiers
Marcom V1.0 2018
Provider
Tunnel Identifiers Backbone
Bridges
© 2018 Controlware GmbH 53Fabric Connect
SPBM Service Typ Enkapsulierungen
BEB BCB BCB BEB
Service-Typ
IP Shortcuts (GRT) Data IP C-MAC Data IP B-MAC reguläres IP
Auf Ethernet
Data IP C-MAC Data IP C-MAC I-SID B-MAC IEEE 802.1ah
L2 VSN Data Type C-MAC Data Type C-MAC MAC-in-MAC
IEEE 802.1ah
L3 VSN Data IP C-MAC Data IP *C-MAC I-SID B-MAC
MAC-in-MAC
Marcom V1.0 2018
* C-MAC header is NULL
Edge SPBM
© 2018 Controlware GmbH 54Shortest Path Bridging – Equal Cost Paths
Cost =30
ISIS ISIS
IS-IS sees 2 Equal Cost paths between 2 nodes
(referred as Equal Cost Trees – ECT) ISIS ISIS
ISIS ISIS
Cost =30
SPB network was provisioned with 2 Backbone VLANs (BVIDs)
BVID-1
BVID-2
IS-IS programs 1st Equal Cost path in Forwarding Database of
BVID 1 BVID-1
IS-IS programs 2nd Equal Cost path in Forwarding Database of
BVID 2
Marcom V1.0 2018
Service Networks (VSNs) are then hashed against one or the
other or both (per flow hashing) BVIDs
SPB 802.1aq defines max of 16 BVIDs
BVID-2
© 2018 Controlware GmbH 55©2019 Extreme Networks, Inc. All rights reserved
56
Reverse Path Forwarding Check (RPFC)
Loop suppression
SPB requires that the shortest path in each direction be the same between any two
devices for both unicast and multicast paths
Mac-A Mac-B Mac-A Mac-B
BVLAN Forwarding
Information Base (FIB)
2/11 2/12 2/11 MAC-A 2/11 2/12
2/12 MAC-B
Logic of Reverse path Forwarding Check is to examine all frames received on a
Marcom V1.0 2018
interface and make sure that the source address and ingress interface are correct. If
not the frame gets dropped.
© 2018 Controlware GmbH 56Fabric Attach solution – Elements
Fabric Attach (802.1Qcj Auto Attach)
End devices/users
VSP - Fabric edge ERS – Access ONA Wired IoT device
(switch cluster) Non-FA
EXOS-Access FA Client device
(wiring closet)
FA Server FA Proxy WLAN AP Laptop/tablet/Smartphone
SPB & IS-IS (BEB) Non-FA
FA Client device
Fabric vIST
Connect OVS / 3rd Party IP Phone/PC/Printer/Camera
FA Server Non-FA
(FC) (BEB)
FA Client device
PC/Server Switch (ERS3510)
Non-FA Non-FA
device device
SPBM LLDP Control plane
I-SID (MAC-in-MAC) VLAN (q-tag) Services Data plane
Marcom V1.0 2018
FA Proxy & FA Clients are only concerned about attaching to the Fabric Service (I-SID)
Fabric Attach attaches users to L2VSN I-SIDs only
They have no need for ISIS to calculate a shortest path, as they all have a single logical uplink into the Fabric (stub connected)
© 2018 Controlware GmbH 57SPB Scalability Matrix
VSP 8600 VSP8000 VSP4450 VSP4850 ERS4800
SPB Capabilities VSP7200 (6.1) ERS5900 (7.4) ERS4900 (7.4)
(6.1) (6.1) (6.1) (6.1) (5.11)
SPBM Operational Mode Chassis Chassis or Unit Unit Unit Unit Unit or Stack Unit or Stack Unit or Stack
Number of SPBM regions 1 1 1 1 1 1 1 1
SPBM Nodes per region 2000 800 800 550 550 1000 750 450
Max distant BEBs I-SIDs can be shared with
1000? 500 500 500 500 512 512 450
(see NOTE1)
IS-IS adjacencies per node 255 255 255 255 24 4 4 4
Logical IS-IS interfaces - 255 255 255 24 - - -
CVLAN / node (Normal/SMLT) 4059 4059 4059 1000 1000 500 500 500
Up to
SPBM L2VSN ISIDs per node 4000 Up to 4000 Up to 1000 Up to 1000 500 500 500
4000
Marcom V1.0 2018
SPBM L3VSN VRFs per node 512 256 256 128 128 n/a n/a n/a
NOTE1: This limit only applies to unicast traffic, which requires a MAC-in-MAC encapsulation applied, i.e. only applies to L2VSNs and L3VSNs. It does not hence
apply to IP Shortcuts, nor does it apply to SPB Multicast. In practice IP Shortcuts and SPB Multicast over IP Shortcuts can scale beyond this limit up to the nodes
per region limit While L2VSNs and L3VSNs (and SPB Multicast if enabled on them) is constrained to at most as many BEBs as this limit
© 2018 Controlware GmbH 58
58Rollen der Geräte innerhalb eines SPB Enterprise Network Design
Marcom V1.0 2018
© 2018 Controlware GmbH 59Layer 2 Virtualisierung mit SPB als L2 VSN (Virtual Services Network)
Marcom V1.0 2018
© 2018 Controlware GmbH 60Layer 3 Virtualisierung mit SPB als L3 VSN (Virtual Services Network)
Marcom V1.0 2018
© 2018 Controlware GmbH 61Customer VLAN – CVLAN UNI
Marcom V1.0 2018
© 2018 Controlware GmbH 62Switched UNI
Für den VSP7254 könnten hier für jeden der 48
User-Ports jeweils 4000 Vlans, jedoch pro Port mit
unterschiedlichen I-SIDs provisioniert und dediziert
zur Verfügung gestellt werden:
Port 1 I-SID 1000 Vlan 10
Port 2 I-SID 2000 Vlan 10
Der Service für das Vlan 10 des Port wäre komplett
isoliert gegenüber dem gleichen Vlan 10 am Port 2.
4.000 Vlans * 48 Ports = 192.000 Services könnten
hier an einem Switch bereitgestellt werden.
Marcom V1.0 2018
© 2018 Controlware GmbH 63Transpartent UNI
Marcom V1.0 2018
© 2018 Controlware GmbH 64Traffic Tromboning
DC
Core R
Spine
Leaf
Subnet yellow
Subnet green
V V V V V V V V V V V V
Hosts M M M M M M M M M M M M
Beim traditionellen Netzwerkdesign mit zentralem Routerkonzept kreuzt der Verkehr das Netz mehrfach, selbst wenn
Quell- und Zielstation des Flows am gleichen Switch angeschlossen sind!
Mit VRRP Backup_Masterinstanzen (BM) lässt sich dies etwas verbessern …
Marcom V1.0 2018
Das ändert sich auch mit einer SPB Fabric nicht !
VRRP Backup Master hilft in einer Fabric-Umgebung nicht.
© 2018 Controlware GmbH 65Distributed Virtual Routing (DVR)
DC C C C C
Core
Spine
L L L L L L L L L L L L
Leaf
Subnet yellow
Subnet green
V V V V V V V V V V V V
Hosts M M M M M M M M M M M M
Controller Nodes (C ) and Leaf Nodes (N) => Host Routes distributed
Shortest Path Routing zwischen Servern in unterschiedlichen RZ, aber auch wenn Server am gleichen Switch in
unterschiedlichen Subnetzen angeschlossen sind
Marcom V1.0 2018
Eine DVR Domain wird über mehere Lokationen ausgedehnt – sinnvoll insbesondere, wenn eine Verbindung der
Lokationen über die ‘Spine’ Ebene vorhanden ist (kein Routing/Switching über den ‘DC Core’)
© 2018 Controlware GmbH 66Sie können auch lesen
