Hoje vamos falar sobre o Encapsulamento de Virtualização de Rede Genérica (Geneve), que é o protocolo de encapsulamento de virtualização de rede projetado para estabelecer túneis entre os pontos finais de virtualização de rede.
Encapsulação de virtualização de rede genérica (Genebra)
O pacote encapsulado no formato GENEVE compreende um cabeçalho de túnel compacto encapsulado em UDP sobre IP. Um pequeno cabeçalho de túnel fixo fornece informações de controle, além de um nível básico de funcionalidade e interoperabilidade com foco na simplicidade.
Este cabeçalho é então seguido por um monte de alternativas variáveis para levar em consideração o desenvolvimento futuro. Por fim, a carga é composta por uma unidade de dados de protocolo do tipo indicado, como um quadro Ethernet.
O Encapsulamento de Virtualização de Rede Genérica (Genebra) evita a fragmentação de IP e maximiza o desempenho, as melhores práticas ao usar o Genéve é garantir que o MTU da rede física Maior ou igual ou igual ao MTU da malha revestida mais cabeçalhos de túnel.
Os túneis de Geneve transmitem uma única transmissão de ponto a ponto entre dois Endpoints ou podem usar endereçamento de transmissão ou multicast. O endereço interno e externo não é necessário nesse sentido.
Incapsulação de virtualização de rede Genérico (Genebra) em NSX-T
Como estamos discutindo no NSX-T, o NSX-T usa o Generic Network Virtualization Encapsulation (Genebra) para seu modelo de sobreposição.
O Geneve é atualmente um padrão IETF Internet Draft que se baseia no topo dos conceitos VXLAN/STT/NVGRE para fornecer maior flexibilidade em termos de extensibilidade do plano de dados.
O Geneve permite que qualquer fornecedor adicione seus próprios metadados no cabeçalho do túnel com um modelo simples de tipo-comprimento-Value (TLV). O NSX-T define um único TLV, com campos para:
- Identificando o TEP que originou um pacote de túnel
- Um bit de versão usado durante o estado intermediário de uma atualização
- Um pouco indicando se o quadro encapsulado deve ser rastreado
- Um pouco para implementar o mecanismo de inundação hierárquico de dois níveis. Quando um nó de transporte recebe uma estrutura em túnel com este conjunto de bits, ele sabe que deve realizar a replicação local para seus pares.
- Dois bits identificando o tipo de TEP fonte
Referência: https://www.thenetworkdna.com/2020/09/generic-network-virtualization.html
Encapsulamento de virtualização NGN: GENEVE vs VXLAN
É importante entender a próxima geração de virtualização de rede e o encapsulamento de virtualização de rede de próxima geração também. O VXLAN é muito popular neste domínio e o GENEVE é um novo encapsulamento proposto, co-autoria da VMware, Microsoft, Red Hat e Intel.
GENEVE (Encapsulação de Virtualização de Rede Genérica)
O pacote encapsulado no formato GENEVE compreende um cabeçalho de túnel compacto encapsulado em UDP sobre IP. Um pequeno cabeçalho de túnel fixo fornece informações de controle, além de um nível básico de funcionalidade e interoperabilidade com foco na simplicidade.
Este cabeçalho é então seguido por um monte de alternativas variáveis para levar em consideração o desenvolvimento futuro. Por fim, a carga é composta por uma unidade de dados de protocolo do tipo indicado, como um quadro Ethernet.
O Encapsulamento de Virtualização de Rede Genérico (GENEVE) evita a fragmentação de IP e maximiza o desempenho, as melhores práticas ao usar o Genéve é para garantir que o MTU da rede física Maior ou igual ou igual ao MTU da malha revestida mais cabeçalhos do túnel.
VXLAN (Rede Virtual Extensível Local de Área)
O VXLAN foi projetado para fornecer os mesmos serviços de nível 2 Ethernet que a VLAN, mas com maior extensibilidade e flexibilidade. Em um grande ambiente multilocatário, a VXLAN fornece uma solução flexível e multilocatário em uma infraestrutura física compartilhada. Ele opera usando IP mais UDP para viajar pela rede física.
O VXLAN permite que as cargas de trabalho de locatários sejam distribuídas em vários pods físicos no datacenter, estendendo segmentos da Camada 2 por meio de infraestrutura de rede compartilhada.
O VXLAN usa um ID de segmento de 24 bits conhecido como identificador de rede VXLAN (VNID), que permite que até 16 milhões de segmentos VXLAN coexistam no mesmo domínio administrativo.
Os pacotes VXLAN são transferidos através da rede subjacente com base em seu cabeçalho Layer 3 e podem aproveitar completamente o roteamento de roteamento de camada 3, o multipath (ECMP) de custo igual e os protocolos de agregação de links para usar todos os caminhos disponíveis.
Aqui está a comparação abaixo
Referência: https://www.thenetworkdna.com/2022/06/ngn-virtualization-encapsulation-geneve.html
Parte 2: Como executar o CBAR no centro de DNA da Cisco
Uma implementação CBAR é uma abordagem baseada em controlador para reconhecer aplicações nas quais o controlador interage com qualquer função NBAR na rede.
O NBAR/NBAR2 não pode classificar aplicativos caseiros e personalizados até que você configure as assinaturas NBAR personalizadas em todos os dispositivos que, portanto, cada um é gerenciado e forneça feeds para o Orchestrator como , mas o CBAR pode fazer para aplicações desconhecidas, integre-se aos adaptadores de terceiros para obter as informações através dos registros A e obter as assinaturas dos aplicativos cultivados em casa.
Como habilitar o CBAR no Centro de DNA
Passo 1: Aceda na visibilidade do aplicativo na guia de provisionamento no DNA Center e você verá os aplicativos em execução em sua infraestrutura.
Passo 2: Aqui está o exemplo que mostra os aplicativos em execução em sua infraestrutura. Existem alguns aplicativos não classificados também em execução, que podem ser os aplicativos domésticos ou personalizados que podem ser definidos e reconhecidos através de CBAR (em inglês)
Passo 3: Quando você vê o inventário, você vai saber que existem alguns dispositivos que estão prontos e existem dispositivos que não estão prontos. Estes são baseados na função de dispositivo que estamos usando para o dispositivo e a versão IOS suportada.
Em segundo lugar, devemos ter os serviços de aplicação em execução que devem ser (serviço de visibilidade do aplicativo; registro de aplicativos e política de aplicativos).
Outra coisa que você precisa verificar os pacotes de protocolo, pois por pacotes de protocolo as assinaturas estão sendo entregues aos dispositivos. Então você deve atualizar isso e certifique-se de ter conexão com cisco.com a partir do Centro de DNA para atualizar seus pacotes de protocolo.
Depois de ativar o dispositivo com o CBAR, ele receberá os feeds do NBAR, soquetes externos como o InfoBlox para registros DNS/A para entender os aplicativos, O365 para obter as informações de lista O365 dinâmicas.
Como funciona com o CBAR com NBAR/NBAR2
NBAR (Network Based Application Recognition) é a base do Serviço de Visibilidade de Aplicação CBAR. No back-end, os mecanismos NBAR estão enviando continuamente regras de classificação (mapeamento baseado em servidor de IP / porta para o nome da aplicação) para o controlador, detalhes sobre o tráfego não classificado e informações básicas de visibilidade do aplicativo para o controlador.
Para entender o serviço de aplicação, o CBAR precisa receber alimentos do NBAR.
Além disso, o controlador CBAR pode se conectar a fontes externas autorizadas, como Infoblox e O365, que podem ser usadas para classificar o tráfego não classificado ou para gerar assinaturas aprimoradas.
O controlador eventualmente resolve conflitos entre mecanismos, importa novos dados de fontes externas e gera um arquivo de regras de classificação (Regras do aplicativo) e um arquivo de assinatura dedicado (Protocol Pack) que são periodicamente baixados para os dispositivos (usando HTTPS) para melhorar a funcionalidade do software NBAR.
Referência: https://www.thenetworkdna.com/2022/06/part-2-how-to-run-cbar-on-cisco-dna.html
Comments are closed