Introduction
Cisco Nexus Data Broker (NDB) offre une solution simple, évolutive et économique pour surveiller le trafic important et critique de l'entreprise. La visibilité sur ce trafic est essentielle au maintien de la sécurité, à la prise en charge du dépannage, à la garantie de conformité et à la planification des ressources. Cette approche définie par logiciel est disponible pour les commutateurs de data center Cisco Nexus 3000 et 9000.
Fonctionnalités NDB
Surveillance du trafic réseau
La visibilité sur le trafic des applications est importante pour les opérations d'infrastructure afin de maintenir la sécurité, de résoudre les problèmes et d'effectuer la planification des ressources.
Agrégation TAP et SPAN évolutive
Il remplace les commutateurs matriciels spécialisés traditionnels par un ou plusieurs commutateurs Cisco Nexus 3000 ou 9000 que vous pouvez interconnecter pour créer une infrastructure d'agrégation TAP (Network Test Access Port) évolutive et Cisco® SPAN (Switched Port Analyzer) prenant en charge 1, 10, 40 et 100 Gbit/s. Il peut également dédier des ports pour les protocoles TAP et SPAN et pour la connectivité Ethernet traditionnelle.
Intégration de l'infrastructure axée sur les applications Cisco
Cisco Nexus Data Broker s'intègre à l'ACI Cisco pour configurer les sessions SPAN et/ou la fonction de copie pour surveiller le trafic au sein du fabric Cisco ACI. Cette intégration évite à l'utilisateur de configurer séparément les sessions SPAN ou la fonction de copie dans le contrôleur APIC.
Configuration SPAN automatisée dans le réseau de production
NDB peut désormais ajouter des commutateurs de production dans Cisco Nexus Data Broker et automatiser la configuration de la destination et de la session SPAN. Cette fonctionnalité permet aux administrateurs d'utiliser une interface unique pour acheminer le trafic à des fins de surveillance.
Surveillance évolutive du trafic avec l'option en ligne Cisco Nexus Data Broker
L'option Cisco Nexus Data Broker Inline permet d'insérer un ou plusieurs commutateurs de plate-forme Cisco Nexus 3000 ou 9300 dans votre infrastructure de production à laquelle les outils de sécurité (ou noeuds de service) sont connectés. À l'aide du logiciel du courtier de données, configurez des stratégies de redirection qui peuvent correspondre à un trafic spécifique et le rediriger via plusieurs outils de sécurité avant que le trafic n'entre dans le centre de données ou n'en sorte.
Il peut être déployé dans les modes suivants
- Mode centralisé pour l'agrégation tap/SPAN à moyenne ou grande échelle où NDB est installé sur une machine virtuelle Linux.
- Mode commutateur unique intégré pour l'agrégation tap/SPAN à petite échelle où NDB est installé sur le conteneur Linux du commutateur Nexus lui-même.
Modes de fonctionnement
- Mode OpenFlow
- Mode NX-API
Débit
OpenFlow est une interface normalisée ouverte qui permet à un contrôleur SDN (Software-Defined Networking) de gérer le plan de transfert d'un réseau.
Cisco OpenFlow Agent offre un meilleur contrôle sur les réseaux, ce qui les rend plus ouverts, programmables et sensibles aux applications. Il prend en charge les spécifications suivantes définies par l'organisme de normalisation Open Networking Foundation (ONF) :
- OpenFlow Switch Specification version 1.0.1 (Wire Protocol 0x01) (appelée OpenFlow 1.0)
- OpenFlow Switch Specification version 1.3.0 (Wire Protocol 0x04) (appelée OpenFlow 1.3)
Ces spécifications sont basées sur le concept d'un commutateur Ethernet, avec une table de flux interne et une interface normalisée permettant d'ajouter ou de supprimer des flux de trafic sur un périphérique. OpenFlow 1.3 définit le canal de communication entre Cisco OpenFlow Agent et les contrôleurs.
Un contrôleur peut être un contrôleur Cisco Open SDN ou tout contrôleur compatible avec OpenFlow 1.3.
Dans un réseau OpenFlow, Cisco OpenFlow Agent existe sur le périphérique et les contrôleurs sur un serveur externe au périphérique. La gestion des flux et la gestion du réseau font partie d'un contrôleur ou sont effectuées par le biais d'un contrôleur. La gestion des flux inclut l'ajout, la modification ou la suppression de flux, ainsi que la gestion des messages d'erreur OpenFlow.
Composants OpenFlow
Cisco OpenFlow Agent crée des connexions TCP/IP basées sur OpenFlow aux contrôleurs d'un commutateur logique Cisco OpenFlow Agent. Cisco OpenFlow Agent crée des bases de données pour un commutateur logique configuré, des interfaces compatibles OpenFlow et des flux. La base de données du commutateur logique contient toutes les informations nécessaires pour se connecter à un contrôleur. La base de données d'interface contient la liste des interfaces compatibles OpenFlow associées à un commutateur logique, et la base de données de flux contient la liste des flux sur un commutateur logique ainsi que pour l'interface qui est programmée dans le trafic transféré.
Le contrôleur OpenFlow (appelé contrôleur) contrôle le commutateur et insère les flux avec un sous-ensemble de critères de correspondance et d'action OpenFlow 1.3 et 1.0 via le commutateur logique Cisco OpenFlow Agent. Cisco OpenFlow Agent rejette tous les messages OpenFlow avec toute autre action.
Limitation lors de l'utilisation de NDB avec Openflow
Lorsque Openflow est activé sur un port particulier, « spanning-tree bpdufilter enable » est automatiquement configuré sur l'interface, ce qui entraîne l'abandon des BPDU STP dans le logiciel.
En outre, « no lldp transmit » est également configuré sur l'interface. Ainsi, le voisinage LLDP pour ces interfaces ne se forme pas sur le commutateur. Les paquets LLDP sont toutefois capturés via une entrée ACL.
Actuellement, NDB ne capture pas le trafic des protocoles de plan de contrôle de niveau de liaison inférieurs :
- STP
- LACP
- CDP
Défauts connus
CSCvr09006 NDB avec 3500 ne peut pas capturer les paquets STP/CDP
CSCvr01876 Redirection STP, paquets CDP similaires au port LLDP pour Openflow
Commentaires