Introducción
Cisco Nexus Data Broker (NDB) ofrece una solución sencilla, escalable y rentable para supervisar el tráfico crítico para la empresa y de gran volumen. La visibilidad de este tráfico es fundamental para mantener la seguridad, respaldar la resolución de problemas, ayudar a garantizar el cumplimiento y llevar a cabo la planificación de recursos. Este enfoque de agentes de paquetes definido por software está disponible para los switches de Data Center Cisco Nexus serie 3000 y 9000.
Funciones de NDB
Supervisar el tráfico de red
La visibilidad del tráfico de aplicaciones es importante para que las operaciones de infraestructura mantengan la seguridad, resuelvan los problemas y realicen la planificación de recursos.
Agregación escalable de TAP y SPAN
Sustituye a los switches de matriz específicos tradicionales por uno o más switches Nexus de Cisco serie 3000 o 9000 que puede interconectar para crear un puerto de acceso de prueba de red escalable (TAP) y una infraestructura de agregación de Cisco® Switched Port Analyzer (SPAN) que admite 1, 10, 40 y 100 Gbps. También puede dedicar puertos tanto para TAP y SPAN como para la conectividad Ethernet tradicional.
Integración de Cisco Application Centric Infrastructure
Cisco Nexus Data Broker se integra con Cisco ACI para configurar sesiones SPAN o funciones de copia para supervisar el tráfico dentro del fabric de Cisco ACI. Esta integración elimina la necesidad de que el usuario configure por separado sesiones SPAN o la función Copiar en el APIC.
Configuración de SPAN automatizada en la red de producción
Ahora, NDB puede agregar switches de producción en Cisco Nexus Data Broker y automatizar la configuración de sesiones y el destino de SPAN. Esta capacidad permite a los administradores utilizar una única interfaz para atraer tráfico con fines de supervisión.
Supervisión de tráfico escalable con la opción en línea de Cisco Nexus Data Broker
La opción Cisco Nexus Data Broker Inline permite insertar uno o más switches de la plataforma Cisco Nexus serie 3000 o 9300 en la infraestructura de producción a los que están conectadas las herramientas de seguridad (o nodos de servicio). Mediante el software de agente de datos, configure políticas de redirección que puedan coincidir con tráfico específico y redirecciónelo a través de varias herramientas de seguridad antes de que el tráfico entre o salga del Data Center.
Se puede implementar en los siguientes modos
- Modo centralizado para agregación tap/SPAN de mediana a gran escala donde NDB está instalado en una máquina virtual Linux.
- Modo de switch único integrado para agregación tap/SPAN a pequeña escala donde NDB se instala en el contenedor Linux del propio switch Nexus.
Modos de Funcionamiento
- modo OpenFlow
- Modo NX-API
Openflow
OpenFlow es una interfaz estandarizada abierta que permite a un controlador de redes definidas por software (SDN) gestionar el plano de reenvío de una red.
Cisco OpenFlow Agent proporciona un mejor control sobre las redes, lo que las hace más abiertas, programables y capaces de reconocer las aplicaciones. Además, admite las siguientes especificaciones definidas por la organización de estándares Open Networking Foundation (ONF):
- Especificación del switch OpenFlow versión 1.0.1 (Wire Protocol 0x01) (conocido como OpenFlow 1.0)
- Especificación del switch OpenFlow versión 1.3.0 (Wire Protocol 0x04) (conocido como OpenFlow 1.3)
Estas especificaciones se basan en el concepto de un switch Ethernet, con una tabla de flujo interna y una interfaz estandarizada para permitir que se agreguen o eliminen los flujos de tráfico en un dispositivo. OpenFlow 1.3 define el canal de comunicación entre Cisco OpenFlow Agent y los controladores.
Un controlador puede ser Cisco Open SDN Controller o cualquier controlador compatible con OpenFlow 1.3.
En una red OpenFlow, Cisco OpenFlow Agent existe en el dispositivo y los controladores existen en un servidor externo al dispositivo. La gestión del flujo y cualquier gestión de la red forman parte de un controlador o se realizan a través de un controlador. La gestión de flujos incluye la adición, modificación o eliminación de flujos, y la gestión de mensajes de error de OpenFlow.
Componentes de OpenFlow
Cisco OpenFlow Agent crea conexiones TCP/IP basadas en OpenFlow a controladores para un switch lógico de Cisco OpenFlow Agent. Cisco OpenFlow Agent crea bases de datos para un switch lógico configurado, interfaces habilitadas para OpenFlow y flujos. La base de datos del switch lógico contiene toda la información necesaria para conectarse a un controlador. La base de datos de interfaz contiene la lista de interfaces habilitadas para OpenFlow asociadas con un switch lógico, y la base de datos de flujo contiene la lista de flujos en un switch lógico, así como para la interfaz programada en tráfico reenviado.
El controlador OpenFlow (denominado controlador) controla el switch e inserta flujos con un subconjunto de coincidencias y criterios de acción de OpenFlow 1.3 y 1.0 a través del switch lógico Cisco OpenFlow Agent. Cisco OpenFlow Agent rechaza todos los mensajes de OpenFlow con cualquier otra acción.
Limitación al utilizar NDB con Openflow
Cuando se habilita Openflow en un puerto determinado, se configura automáticamente 'spanning-tree bpdufilter enable' en la interfaz que resulta en la caída de BPDU STP en el software.
Además, 'no lldp transmit' también está configurado en la interfaz. Por lo tanto, la vecindad LLDP para estas interfaces no se forma en el switch. Sin embargo, los paquetes LLDP se capturan mediante la entrada de ACL.
Actualmente, NDB no captura el tráfico de los protocolos del plano de control por debajo del nivel de link:
- STP
- LACP
-CDP
Defectos conocidos
CSCvr09006 NDB con 3500 no puede capturar paquetes STP/CDP
CSCvr01876 Redirección de paquetes CDP y STP similares al puerto LLDP para Openflow
Comentarios