System Engineer Data Center
Cisco ITD (Intelligent Traffic Director) este o soluție inovatoare bazată pe hardware, care oferă capacități de multi-terabit și permite construirea unei arhitecturi scalabile pentru balansarea traficului Layer 3 și Layer 4 fără să avem latențe crescute, sau degradarea vitezei de transfer. Datorită faptului că această funcționalitate se bazează pe ASIC-urile switch-urilor, încărcarea procesorului este minimă.
În gestionarea traficului din rețelele de date, load balancing-ul joacă un rol crucial în asigurarea performanței și eficienței. Cisco ITD exploatează puterea și inteligența switch-urilor Nexus pentru a distribui eficient traficul între diverse servicii sau aplicații. Această tehnologie elimină necesitatea unor echipamente hardware suplimentare și permite o utilizare optimă a infrastructurii de rețea existente.
Această funcționalitate este inclusă în switch-urilor Nexus 9000, și nu este nevoie să adăugam module hardware sau software suplimentare. Din punct de vedere licențiere este nevoie sa avem minim licențiere Essentials.
Pentru a răspunde creșterii numărului de echipamente din centrele de date, precum și pentru a elimina discrepanța de performanță între infrastructura switch-urilor multi-terabit, și dispozitivele atașate, putem folosi Cisco ITD, în diverse scenarii de utilizare.
Cele mai comune cazuri de utilizare ale ITD sunt următoarele:
Distribuția echilibrată a traficului către grupuri de servere, servere de aplicații, servere web, etc. De exemplu, echilibrarea încărcării traficului către 256 de servere care au conectivitate de 10 Gbps fiecare.
Echilibrarea încărcării către clustere de firewall-uri, scalarea IPS și WAF prin echilibrarea încărcării către dispozitive independente, precum și scalarea încărcării către dispozitive L7.
Mecanism de redirecționare a traficului pentru soluția Cisco Wide Area Application Services (WAAS) sau Web Accelerator Engine (WAE).
ITD este mult superior PBR-ului și poate înlocui ECMP sau Port Channel pentru a evita rehashing-ul. ITD este rezilient și nu cauzează mutarea fluxurilor de date, la adăugarea/ștergerea/defecțiunea nodurilor.
Procesul de direcționare a traficului prin mai multe servicii și servere secvențial, cum ar fi firewall-uri, IPS-uri, load balancers și altele, pentru a asigura securitatea, optimizarea și îmbunătățirea performanței rețelei.
Această utilizare se poate folosi în paralel cu alte funcționalități, cum ar fi PBR sau ePBR.
Putem conecta servere (sau alte dispozitive de servicii, cum ar fi firewall-uri, IPS-uri, etc.) la switch-ul Cisco Nexus în modul de implementare „one-arm”, iar traficul va intra și va ieși din server prin intermediul unei singure interfețe. Acest exemplu prezintă o topologie de implementare „one-arm”, în care serverele nu se află în calea directă (și naturală) a traficului între clienți și servere. Switch-ul Cisco Nexus Seria 9000, cu ITD activat, redirecționează și echilibrează încărcarea traficului către diferite grupuri de servere (de exemplu, servere web), înainte ca acesta să fie trimis mai departe în rețea, spre serverele de aplicații, baze de date, și altele.
Aceasta topologie ne permite să conectăm servere la rețea, fără să fie nevoie să schimbăm topologia existentă. Tot ce trebuie să facem este să adăugăm serverul nou în lista de dispozitive a ITD, pentru a începe să redirecționăm trafic către acest nou dispozitiv.
Pentru a avea redundanță la nivel de switch, putem implementa “One-Arm” cu vPC (virtual Port Channel). După cum se poate vedea din imaginea de mai jos serverele/appliance-urile sunt conectate către două switch-uri via vPC, iar cele două switch-uri rulează ITD.
În acest model de implementare folosim 2 switch-uri Nexus, care să ofere partea de conectivitate, iar appliance-urile care oferă serviciile de care avem nevoie sunt inserate între cele 2 switch-uri după cum putea vedea în imaginea de mai jos. (atunci când avem nevoie de redundanță / performanță suplimentară putem implementa aceasta topologie și folosind câte 2 perechi de switch-uri de fiecare parte, fiecare pereche rulând vPC)
Putem implementa această topologie atunci când dorim să folosim de exemplu clustere de Firewall-uri, IPS-uri sau Load Balancere, prin care să trecem traficul care vine de la utilizatori către rețeaua noastră, având astfel o securitate și o performanță crescută.
ITD lucrează într-o singura direcție a flow-ului, însă (de ex) Firewall-urile au nevoie sa inspecteze flow-urile in ambele direcții. Din acest motiv este nevoie sa configuram doua servicii de ITD care sa trimită atât traficul de tur cat si cel de retur către același nod.
Algoritmii de balansare ai ITD pot folosi următoarele informații:
Serviciul ITD poate fi configurat să prezinte o adresă virtuală (VIP – Virtual IP), adresă care să fie folosită de către clienți pentru a accesa serviciul din data center (un site web de exemplu). Traficul care va ajunge la această adresă va fi balansat la nodurile active din spate. În acest mod vom avea o performanță sporită a serviciului, precum și redundanță.
Folosirea NAT-ului este foarte întâlnită în implementările de LB, Firewall, IPS precum și alte appliance-uri de servicii. Atunci când folosim ITD împreuna cu NAT, vom avea un nivel de securitate crescut datorită faptului că adresele serverelor sunt ascunse, clienții comunicând doar cu adresa VIP.
Atunci când switch-ul detectează că unul din serverele din spate nu mai răspunde, va muta traficul către serverele rămase, fără să existe vreun impact asupra utilizatorilor.
Putem implementa mai multe tipuri de NAT, însă cel mai utilizat este „Destination NAT”, datorită următoarelor avantaje:
În imaginea de mai jos putem vedea pașii care sunt urmați în timpul comunicației atunci când avem ITD și NAT configurate.
Mai putem avea și alte modalități de implementare:
Informații suplimentare legate de toate aceste modalități de a face Load Balancing, precum și exemple de configurare, găsim în link-urile de la sfârșitul acestui articol.
Mai jos putem vedea care sunt etapele necesare implementării acestei funcționalități:
Mai jos putem vedea un exemplu generic de configurare din NX-OS CLI:
Tehnologia ITD vine să înlocuiască Load Balancerele tradiționale care funcționează la L4.
Mai jos putem vedea ce aduce în plus ITD față de Load Balancerele L4:
NOTA: ITD NU înlocuiește Load Balancerele L7. Avem nevoie în continuare de aceste echipamente, însă atunci când avem nevoie de un mix de servicii de balansare L4 si L7 (și de obicei avem), putem să facem offload la serviciile de LB L4 pe switch-urile Nexus, și să păstrăm serviciile de L7 pe aceste echipamente.
Documentație
Cisco Nexus 9000 Series NX-OS Intelligent Traffic Director Configuration Guide, Release 10.3(x)
Cisco ITD: Interop Award Winner for Load Balancing
Bloguri
Exemple de configurare
Nexus 9000: ITD Configuration Example and Verification
Deploying ITD: Server Traffic distribution Using Direct Server Return
Cisco Intelligent Traffic Director Deployment Guide with Cisco ASA
Intelligent Traffic Director Deployment Guide with Cisco Firepower
PAN-OS HA Clustering Deployment with Cisco Nexus Intelligent Traffic Director
Cisco Intelligent Traffic Director and SteelHead
Cisco Live Sessions
