Introduction
Cisco Nexus Data Broker (NDB) offre une solution simple, évolutive et économique pour la surveillance du trafic important et stratégique. La visibilité sur ce trafic est essentielle pour maintenir la sécurité, prendre en charge le dépannage, assurer la conformité et planifier les ressources. Cette approche logicielle de courtage de paquets est disponible pour les commutateurs de data center des gammes Cisco Nexus 3000 et 9000.
Fonctionnalités NDB
Surveiller le trafic réseau
La visibilité sur le trafic des applications est importante pour les opérations de l'infrastructure afin de maintenir la sécurité, de résoudre les problèmes et d'effectuer la planification des ressources.
Agrégation TAP et SPAN évolutive
Il remplace les commutateurs traditionnels à matrice spécifique par un ou plusieurs commutateurs Cisco Nexus 3000 ou 9000 que vous pouvez interconnecter pour créer une infrastructure d'agrégation Cisco® Switched Port Analyzer (SPAN) prenant en charge 1, 10, 40 et 100 Gbit/s. Il peut également dédier des ports à la fois pour TAP et SPAN et pour la connectivité Ethernet traditionnelle.
Intégration de l'infrastructure axée sur les applications Cisco
Cisco Nexus Data Broker s'intègre à l'ACI Cisco pour configurer les sessions SPAN et/ou la fonction Copy pour surveiller le trafic au sein du fabric ACI Cisco. Cette intégration élimine la nécessité pour l'utilisateur de configurer séparément les sessions SPAN ou la fonction Copy dans l'APIC.
Configuration SPAN automatisée dans le réseau de production
NDB peut désormais ajouter des commutateurs de production dans Cisco Nexus Data Broker et automatiser la configuration de la destination et de la session SPAN. Cette fonctionnalité permet aux administrateurs d'utiliser une interface unique pour acheminer le trafic à des fins de surveillance.
Surveillance du trafic évolutive avec l'option en ligne Cisco Nexus Data Broker
L'option Cisco Nexus Data Broker Inline permet d'insérer un ou plusieurs commutateurs de plate-forme Cisco Nexus 3000 ou 9300 dans votre infrastructure de production à laquelle les outils de sécurité (ou noeuds de service) sont connectés. À l'aide du logiciel Data Broker, configurez des stratégies de redirection qui peuvent correspondre à un trafic spécifique et le rediriger via plusieurs outils de sécurité avant que le trafic n'entre dans le data center ou ne le quitte.
Il peut être déployé dans les modes suivants :
- Mode centralisé pour l'agrégation à moyenne et grande échelle par effleurement/SPAN où NDB est installé sur la machine virtuelle Linux.
- Mode commutateur unique intégré pour l'agrégation à petite échelle par effleurement/SPAN où NDB est installé sur le conteneur Linux du commutateur Nexus lui-même.
Modes de fonctionnement
- Mode OpenFlow
- Mode NX-API
Ouverture
OpenFlow est une interface normalisée ouverte qui permet à un contrôleur SDN (Software-Defined Networking) de gérer le plan de transfert d'un réseau.
Cisco OpenFlow Agent offre un meilleur contrôle sur les réseaux, ce qui les rend plus ouverts, programmables et sensibles aux applications et prend en charge les spécifications suivantes définies par l'organisation de normalisation Open Networking Foundation (ONF) :
- Spécification du commutateur OpenFlow version 1.0.1 (protocole filaire 0x01) (appelée OpenFlow 1.0)
- Spécification du commutateur OpenFlow version 1.3.0 (protocole filaire 0x04) (appelée OpenFlow 1.3)
Ces spécifications sont basées sur le concept d'un commutateur Ethernet, avec un tableau de flux interne et une interface standardisée permettant d'ajouter ou de supprimer des flux de trafic sur un périphérique. OpenFlow 1.3 définit le canal de communication entre Cisco OpenFlow Agent et les contrôleurs.
Un contrôleur peut être Cisco Open SDN Controller ou tout autre contrôleur conforme à OpenFlow 1.3.
Dans un réseau OpenFlow, Cisco OpenFlow Agent existe sur le périphérique et les contrôleurs existent sur un serveur externe au périphérique. La gestion des flux et toute gestion du réseau font partie d'un contrôleur ou sont réalisées par l'intermédiaire d'un contrôleur. La gestion de flux inclut l'ajout, la modification ou la suppression de flux, ainsi que la gestion des messages d'erreur OpenFlow.
Composants d'ouverture
Cisco OpenFlow Agent crée des connexions TCP/IP basées sur OpenFlow aux contrôleurs pour un commutateur logique Cisco OpenFlow Agent. Cisco OpenFlow Agent crée des bases de données pour un commutateur logique configuré, des interfaces compatibles OpenFlow et des flux. La base de données du commutateur logique contient toutes les informations nécessaires pour se connecter à un contrôleur. La base de données d'interface contient la liste des interfaces compatibles OpenFlow associées à un commutateur logique, et la base de données de flux contient la liste des flux sur un commutateur logique ainsi que pour l'interface qui est programmée dans le trafic transféré.
Le contrôleur OpenFlow (appelé contrôleur) contrôle le commutateur et insère des flux avec un sous-ensemble de critères de correspondance et d'action OpenFlow 1.3 et 1.0 via le commutateur logique Cisco OpenFlow Agent. Cisco OpenFlow Agent rejette tous les messages OpenFlow avec toute autre action.
Limitation lors de l'utilisation de NDB avec Openflow
Lorsque Openflow est activé sur un port particulier, 'spanning-tree bpdufilter enable' est automatiquement configuré sur l'interface, ce qui entraîne la perte du logiciel BPDU STP.
De plus, 'no lldp transmit' est également configuré sur l'interface. Ainsi, le voisinage LLDP de ces interfaces ne se forme pas sur le commutateur. Les paquets LLDP sont toutefois capturés par l’entrée ACL.
Actuellement, NDB ne capture pas le trafic des protocoles de plan de contrôle de niveau de liaison inférieur :
- STP
- LACP
- CDP
Défauts connus
CSCvr09006 NDB avec 3500 ne peut pas capturer les paquets STP/CDP
CSCvr01876 Re-direct STP, paquets CDP similaires au port LLDP pour Openflow