Cisco-ACI

با توجه به افزایش روز افزون اندازه دیتاسنتر‌ها و لزوم سادگی در مدیریت سرور ها، نیاز به وجود نرم افزار‌هایی برای ادمین‌های دیتا‌سنتر حس می شد تا بتوانند به خوبی عملیات‌های اتوماتیک سازی، توسعه پذیری و تجربه کاربری را بهبود بخشند.

به این ترتیب سیسکو با ارائه ACI یا به عبارت دیگر Application Centric Infrastructure توانست گامی بلند در زمینه SDN بردارد.

Cisco ACI چیست؟

ACI پیکربندی سخت افزار در دیتاسنترها را ساده تر می کند. چون پیچیدگی‌های محیط‌های شبکه که مجبور بودید به صورت دستی انواع سخت افزارها را پیکربندی کنید از بین می برد.

در گذشته سوییچ‌های Nexus که در یک محیط قرار گرفته بودند، باید به صورت دستی و تک-تک پیکربندی می شدند. در حقیقت پیکربندی در شبکه‌های قدیمی به این صورت بود که ما‌ تنها کاری که دستگاه‌های شبکه می کنند را کنترل می کردیم. ما در آن‌ها دستوراتی می نوشتیم و از آن ها انتظار داشتیم که آن دستور را اجرا کنند.

ACI از یک سیستم declarative استفاده می کند. یعنی مشخص می کنیم که نتیجه پایانی چه چیزی باشد. دستگاه نیز این دستور را تفسیر می کند و در نهایت نتیجه را بر می گرداند.

ACI یک شبکه Multi Cloud توسعه پذیر می سازد

ACI با استفاده از قابلیت SDN توانسته است یک شبکه Multi-Cloud با مدل مبتنی بر پالیسی ایجاد کند. تا به اپلیکیشن‌ها اجازه دهد به سادگی به هر موقعیت یا Cloud انتقال یابند. در حالی که امنیت و قابلیت در دسترس بودن حفظ شود.

این تکنولوژی روی اپلکیشن‌ها تمرکز دارد به جای اینکه روی محصولات شبکه تمرکز کند. علاوه بر آن یک پلتفرم مرکزی برای مدیریت پالیسی‌های اپلیکیشن‌ها در محیط های مجازی و فیزیکی فراهم می آورد.

ACI و شبکه

ACI قابلیت‌های فوق را از طریق پلتفرم مبتنی بر اپلیکیشن انجام می دهد. به جای آن که مقید به VLAN، Subnet، Routing و Trunk باشد. ACI در حقیقت از توپولوژی leaf-spine-leaf (CLOS) استفاده می کند. بنابراین Scale کردن شبکه را بسیار ساده تر می کند.

ACI تغییرات را بسته به تغییر در شرایط به صورت اتوماتیک به شبکه اعمال می کند. برای مثال ACI از پالیسی‌ای استفاده می کند تا مشخص کند که چگونه اپلیکیشن‌ها و سرویس‌ها با هم ارتباط برقرار کنند.

اجزای ACI

ACI از چندین سخت افزار و نرم افزار تشکیل می شود که در ادامه به مهم ترین آن‌ها اشاره شده است.

• Spine: گروهی از سوییچ‌های Cisco Nexus 9000 که با هم کار می کنند تا به همه Leaf‌ها متصل شوند.
• Leaf: سوییچ‌های Nexus 9000 با Spine ها کابل کشی می شوند. leaf ها علاوه بر آن وظیفه اتصال ACI به سرورها، هایپروایزر، فایروال، لود بالانسر و بقیه روتر ها و سوییچ‌های خارجی را دارند.
• APIC: Cisco Application Policy Infrastructure Controller (APIC) مغز مرکزی هر راه حل ACI است.
• VXVLAN
• Micro Segmentation

 APIC چیست؟

APIC ها سه یا ۵ سرور در یک کلاستر Fault Tolerant هستند که نقطه مدیریت، مانیتور کارایی شبکه و اتوماتیک سازی Provision شبکه را به عهده دارند. APIC یک رابط گرافیکی تحت وب در اختیار ادمین قرار می دهد. که با استفاده از آن اجزای لازم برای ایجاد شبکه ACI را پیکربندی می کند.

همه Packet Forwarding ها به وسیله سوییچ‌های نکسوس انجام می شوند. چون وظیفه آن‌ها همین است. پیکربندی‌ها بوسیله APIC انجام می شود و ترافیک را کنترل نمی کند.

در APIC می توانیم پالیسی، EndPoint Group، Cotracts، Application Network Profile و Tenant ایجاد کنیم.

VXLAN چیست؟

Virtual Extensible LAN (VXLAN) ها مکانیزم‌های اساسی به منظور ایجاد VLAN/subnet هایی هستند که در سراسر شبکه در دسترس قرار می گیرند. این قابلیت به ماشین مجازی امکان حرکت کردن از یک هاست به هاست دیگر را می دهد. با وجود این که هاست دیگر در یک بخش دیگر شبکه یا سابنت قرار گرفته باشد.

بدون VXLAN ها ماشین‌های مجازی منتقل شده نمی توانند با استفاده از آدرس IP هایشان ارتباط برقرار کنند. چون واضح است که در یک سابنت دیگر قرار می گیرند.

Micro Segmentation چیست؟

در این نوع تکنولوژی می توان سیاست‌های کنترل ترافیک مثل ترافیک‌های امنیتی، Quality of Service و Forwarding را روی هر سیستم عامل/ماشین مجازی اعمال کرد. بر خلاف اعمال این پالیسی‌ها روی کل سابنت/شبکه، سوییچ یا پورت فیزیکی.

ACI و بقیه محصولات

با وجود این که سوییچ‌های Nexus 9000 سیسکو اجزای فیزیکی شبکه را ایجاد می کنند، اما ACI می تواند با هایپروایزر های VMware ESXi، Microsoft Hyper-V و OpenStack نیز به منظور اتوماتیک سازی نرم افزارهای شبکه کار کند.

مقایسه ACI با SDN

یکی از سوالاتی که برخی کاربران از ما می پرسند این است که آیا ACI همان SDN است؟

به گفته کمپانی سیسکو، ACI کاملا متفاوت از SDN است. سیسکو در جایی اشاره کرده است که: “ما نسل اول SDN را پشت سر گذاشتیم”. به این ترتیب معتقد هستند که پیشرفت چشمگیری در SDN ایجاد کرده اند.

پس اگر SDN نیست، دقیقا چیه؟

با وجود این که ACI بخشی از کنترلر شبکه SDN (همان APIC) را دارد، اما مدل برنامه نویسی آن کاملا متفاوت است. به این دلیل که برنامه نویسی آن بیشتر روی Provision کردن اپلیکیشن، شامل همه زیرساخت‌های سرویس‌های شبکه، امنیت و اپلیکیشن تمرکز دارد.

تفاوت کلیدی دیگر این است که ACI شبکه را برای محیط های فیزیکی و مجازی بهینه می کند.

علاوه بر آن ACI مدل پالیسی اپلیکیشن را از شبکه و سرویس به سرور و فضای ذخیره سازی می برد. تا بتواند کل دیتاسنتر و ساختار Cloud را شامل شود.

کاملا واضح است که این ویژگی‌ها بیشتر از Software-defined Networking (SDN) است.

جمع بندی

در این مقاله شما را با یکی از مهم ترین تکنولوژی‌های دیتاسنتر ها یعنی ACI که در سوییچ‌های Nexus 9000 موجود هستند، آشنا کردیم. اجزای یک دیتاسنتر بروز سیسکویی را بیان کردیم. همینطور گفتیم که با وجود این که ACI شباهت زیادی با SDN دارد، اما به گفته کمپانی سیسکو نمی توان آن را کاملا به عنوان یک SDN در نظر گرفت.

Software Defined Networking (SDN) – Comparing Cisco ACI with VMware NSX

Overview

Key terms related to software defined network (SDN)

SDN offerings from Cisco and VMware

Underlying mechanism (VXLAN)

Microsegmentation

Comparing two software defined network (SDN) offerings

 1. Key terms

1. Software Defined Networking (SDN) refers to the ability to create, modify and update networks solely through the software when physical infrastructure has already been in place. SDN disassociates network configuration from underlying physical devices. These underlying devices are mostly switches, routers, firewalls, VPN concentrators and load balancers. The concept is similar to virtual machines in which VMs are independent of underlying physical hosts in which provide physical memory and CPU.
2. SDN Controller Software defined networking (SDN) products, usually referred to as SDN controllers are software that aim to control all aspects of networking through a central dashboard (controller dashboard). Almost all major networking vendors offer an SDN controller. Here is a link to list of SDN controllers and their comparison.
3. Network Function Virtualization (NFV) is simply virtualization of different aspects of networks. Typically routing, switching, firewall and load balancing functions are carried out by dedicated appliances. These appliances could be from a variety of vendors such as Cisco, HP, Juniper, F5, CheckPoint or Fortinet and come with pre-installed software that allows these devices to be managed through central controller. The controller uses standard APIs to connect to these devices. Making these network functions available through a software which is not dependent on underlying hardware or hardware vendor is network function virtualization.
4. Micro-segmentation refers to applying traffic management policies (such as security, Quality of Services, forwarding) on a per operating system/virtual machine level as opposed to applying these policies per subnet/network, switch or physical port level.
5. Application Programming Interface (API) can be though of hooks or interface in a software through which information can be provided or collected from a software. Network device vendors provide standard APIs in their software (for example a router running a Cisco IOS) that allow controllers to connect to and control those devices. OpenFlow (OF) is one of the communication standards that define how virtual network controller can interact with a specific network device. Here is more information on OpenFlow and how it relates to SDN.

2. SDN Offerings from Cisco & VMware

Cisco and VMware are two major players in SDN arena with both having SDN offerings that meet a variety of today’s evolving network needs. Cisco is number 1 player in networking physical hardware devices such as routers and switches, whereas VMware is dominant player in virtual environments leading with its flagship ESXi hypervisor and now well extended into software network environments.

 Let’s have a look to see what are these products/technologies, how they are similar to each other and how they differ.

 Cisco

Cisco is an established player in technology hardware space with market leadership in Routing, Switching, Wireless, Unified Communications and x86 blade server. Traditionally Cisco’s focus had been on hardware platform innovation and development. However, with recent industry trends and to create further value for its customers, Cisco has been focusing on software development.

 Cisco ACI

Application centric infrastructure (ACI) is Cisco’s take on software defined networking (SDN). ACI is a new network architecture (as opposed to VMware’s NSX which, at a general scale, uses typical network architecture through software).

Current dominant architecture in today’s datacenter networks is to segregate network into core, aggregation and access layers. The traffic in current architecture routes through the core of the network to reach different network segments. This can result in multiple hops before traffic reaches its final destination. A limitation of this architecture is that all vlans and associated subnets are usually not available in all parts of the network.

ACI leverages a new approach termed as spine leaf architecture. In this approach network devices take the role of either a spine or leaf. All end points such as servers are connected to leave’s only. All traffic flows from leaf to spine to leaf. This spine-leaf architecture can be referred to as network fabric. Once all hardware connectivity is established then the fabric can be controlled by an application policy infrastructure controller or APIC. APIC is really a piece of software that talks to the fabric (physical switches) and is used to configure the fabric from one central location as opposed to logging in to each device and configuring it.

Additionally Cisco application policy infrastructure controller (APIC) provides application centric view through dashboards that provide current health state of an application as opposed to physical infrastructure health. An application can be defined as a group of servers along with the security, bandwidth and quality of services (QoS). The dashboards available within the APIC interface shows an aggregate picture of how each of the underlying pieces of application are performing by collecting information from each component that makes up the application. If a user complains that their response time is slow, APIC can not only confirm that the response time is indeed slow but also point out that the database server in the backend is saturated or the network port connected to database server is congested.

Here is Cisco’s view on SDN

 VMware

VMware is dominant player for virtualization of typical servers (x86 platform) allowing multiple virtual operating systems to be installed on one physical x86 based machine/PC/server. Today VMware controls majority of market share for virtualized platforms. Transition into networking space is a natural expansion for VMware.

 NSX is VMware’s software defined networking (SDN) controller. VMware entry into networking space came from the virtual switch that would connect virtual network interfaces on virtual machines. Outside interfaces of this virtual switch were real hardware interfaces with cables connecting as an uplink to physical switches. Earlier version of vSwitch had basic layer 2 network connectivity and lacked features such as QoS, port mirroring etc. Additionally, the switch was limited to only a specific host on which it resided.

Over time VMware added functionality to the virtual switch so it more closely match with actual switch. Additionally, they extended original standard switch into a distribute switch so virtual machines on different hosts can connect to same switch. Cisco responded with it’s Nexus 1000v switch that was a virtual switch installed as a software on ESXi host machines.

Here is Official VMware NSX page

Extending into Layer 3 and beyond

VMware somewhat recently developed it’s networking offerings further to include layer 3 routing functionality using Distributed Logical Routers (DLR). DLRs are software routers that operate at IP layer and are used to route traffic east-west i.e. within different subnets in the datacenter. To get traffic out of datacenter or to WAN, VMware NSX is offering Edge Services Gateway (ESG). ESG also offers additional services such as routing at the edge of software, redistribution, load balancing, L2/L3 VPN and DHCP/DNS relays and is used to connect at the boundary of physical vs. virtual network.

3. Underlying mechanism – Virtual Extensible LAN (VXLAN)

Virtual Extensible LANs (VXLANs) are the underlying mechanism for both Cisco ACI and VMware NSX to make particular VLANs/subnets available throughout the network. This allows for a virtual machine to be moved from one host to another host with the new host being on a different part of the network or subnet and still be able to communicate. Without VXLANs moved virtual machine cannot communicate using its IP address since it’s at a different subnet.

VXLANs is a Layer 2 overlay scheme over a Layer 3 network and it uses MAC Address-in-User Datagram Protocol (MAC-in-UDP) encapsulation to provide a means to extend Layer 2 segments across the data center network. Leveraging VXLAN by ACI or NSX simply means that original Layer 2 frame has a VXLAN header added. This modified frame is then placed in a UDP-IP packet. After this normal network transport takes places which means encapsulating UDP (Layer 4) with IP (Layer 3) and then IP (Layer 3) with MAC (Layer 2). From a transport perspective, the difference is that we are transporting a UDP packet now. With this MAC-in-UDP encapsulation, VXLAN tunnels Layer 2 network over Layer 3 network.

RFC 7348 provides technical specifications and details for VXLAN

4. Micro-segmentation

Since VMware NSX has ultimate final connection using virtual switches to virtual machines, it have the ability to implement security and QoS policies that are relevant to each machine individually as opposed to perimeter network firewalls that protect overall network.

Operating systems running on virtual machines such as windows or Linux have their own built in firewalls that have been available for many years. With VMware NSX firewall, administration and monitoring of these policies are much more smoother and they can be managed from one central location. The firewall features that are available with VMware NSX are L2-L4 protection and it lacks advanced full blown next generation firewall features such as protection up to L7 and intrusion protection and detection (IPS/IDP)

Cisco ACI uses an application-aware construct called End-Point Group (EPG) that allows to define the group of endpoints that belong to a specific EPG. End point groups are independent of their IP addresses or subnets and can be physical server or a virtual machine. Security, QoS and forwarding policies are then applied to these end point groups. This approach allows for granular control on traffic flow from each machine.

5. Differences between Cisco ACI and VMware NSX

Cisco Application Centric Infrastructure (ACI) is a totally new spine-leaf architecture. It is an improvement on existing traditional network architectures. VMware NSX on the other hand use existing underlying networking architecture, which in most cases has been already setup and functioning, and uses an overlay technology (VXLAN) so that networking decisions can be made independent of underlying connectivity

Cisco ACI requires specialized hardware (Nexus 9k series switches) whereas VMware NSX is a software that uses existing network topologies.

Similarities between Cisco ACI and VMware NSX

Both ACI and NSX leverage virtual extensible LANs (VXLANs) as an overlay

ACI, APIC ciso, Micro segmentation ,nexus 9000, VXLAN ,vxrail