Hoe monitor je de ACI fabric?

Eén van de sessies die ik tijdens Cisco Live heb bijgewoond, ging over het monitoren van de ACI fabric. De ondertitel was Providing a complete view of your fabric. De presentator Sadiq H. Memon heeft dat zeker geprobeerd waar te maken. Uit ervaring weet ik dat het, zeker in het begin, best lastig is om met een nieuwe techniek, zoals Cisco ACI, te werken. Ondanks dat het nog steeds gaat om een verzameling van netwerkapparatuur, is de manier waarop je ermee omgaat en het configureert heel anders dan bij een traditioneel netwerk. In het geval van ACI (een SDN-oplossing voor het datacenter) doe je alles via de APIC-controllers en bij een traditioneel netwerk worden componenten los geconfigureerd (tenzij je daar extra tooling voor inzet).

Op het gebied van monitoring loop je eigenlijk tegen hetzelfde aan. Hoe moet ik deze nieuwe ACI fabric monitoren? Gelukkig zijn er aardig wat opties en nog beter: veel van de zaken die je wellicht gebruikt in traditionele netwerken voor monitoring, kunnen ook in het moderne ACI worden gebruikt. Zo ondersteunt ACI de protocollen SNMP en syslog. Alle componenten in de ACI fabric (de switches én de controllers) draaien een SNMP-agent die door een Management Station kan worden uitgevraagd. Belangrijk verschil ten opzichte van traditionele netwerken: er kunnen met SNMP alleen read-only zaken worden uitgevraagd, je kunt geen instellingen wijzigen met SNMP. De APIC-controllers van de fabric dienen namelijk altijd te ‘weten’ hoe de fabric geconfigureerd is en alleen de controllers voeren wijzigingen door. Eén kapitein op het schip dus. Net als met SNMP zal de gemiddelde netwerk-engineer ook bekend zijn met syslog. Ook syslog is mogelijk met ACI, waarbij alle faults en events naar een syslog-server in het netwerk kunnen worden gestuurd. Maar welke faults en events zijn belangrijk voor engineers om in de gaten te houden? Hiervoor gaf Sadiq een mooi overzicht dat je in de praktijk kunt gebruiken.

Het bovenstaande overzicht is slechts een deel uit de presentatie. Voor het geheel verwijs ik graag naar de presentatie die je op www.ciscolive.com kunt vinden met de presentatiecode BRKACI-2271. In die presentatie wordt ook uitgelegd hoe je SNMP en syslog kunt configureren in ACI. Dat geldt ook voor de onderwerpen die nog volgen in deze blog.

Packet capture

Soms wil je voor diepgaande monitoring of troubleshooting al het verkeer kunnen zien: een packet capture. ACI beschikt over Switches Port Analyzer (SPAN). Ook dit is een al langer bestaande techniek om op netwerkapparatuur verkeer te kopiëren en naar een toegewezen poort te sturen, waaraan je dan een packet sniffer-apparaat kunt koppelen. De daarop verzamelde netwerkpakketten kunnen dan achteraf worden geanalyseerd. In ACI kan op vier plekken gebruik worden gemaakt van SPAN:

1. Access – om het verkeer te monitoren dat op access-poorten is aangesloten (bijvoorbeeld van een server)
2. Fabric – om het verkeer te monitoren dat op fabric-poorten is aangesloten (spine-/leaf-verbindingen)
3. Tenant – om het verkeer van Endpoint Groups (EPGs) te monitoren binnen een tenant
4. Visibility & troubleshooting – het end-to-end monitoren van verkeer tussen twee endpoints (van A naar B)

Netflow

Naast de al genoemde mogelijkheden wordt ook Netflow ondersteund, waarmee gegevens over verkeersstromen die door een netwerkapparaat gaan, worden bijgehouden en naar een collector station worden gestuurd. Bijzonderheden bij ACI: Netflow wordt niet ondersteund op spine switches, alleen exporter version 9 wordt ondersteund. Ook active/inactive timers worden niet ondersteund. Opgeslagen flows worden vast elke minuut naar de collectors gestuurd.

API-calls

Een interessante mogelijkheid bij Cisco ACI is het gebruiken van de REST API. Dit zal voor een deel van de doorgewinterde engineers anders zijn dan de tools die tot nu toe zijn besproken. Met de SDN-oplossing die ACI is, kan alles wat je wilt opvragen of aanpassen aan de ACI fabric met API-calls gerealiseerd worden. De APIC-controller slaat statistische informatie op over de werking en toestand van het geheel en ook deze informatie kan met API-calls worden opgevraagd. Omdat je precies kunt opvragen wat jij wilt weten, zou je je eigen dashboard kunnen ‘programmeren’ dat precies laat zien wat voor jou belangrijk is.

Wiskundig model

Je kunt met monitoring nog een stap verder gaan door gebruik te maken van tools buiten de ACI fabric. Zo biedt Cisco de Network Assurance Engine-tool. Deze tool creëert een wiskundig model van het netwerk dat gebruikt kan worden om heel precies te beredeneren welke policies, configuraties en dynamische wijzigingen binnen ACI voor problemen zorgen. De tool kan zogenaamde smart events genereren die je niet alleen vertellen wat er aan de hand is, maar ook wie, waar, waarom en hoe het opgelost kan worden.

Tetration

Een andere tool van Cisco is Tetration. Dit is nog weer een stapje zwaarder. Tetration is een hybrid cloud-oplossing die gebruikt kan worden om workloads in het eigen datacenter én in de cloud te beveiligen. Het maakt daarbij niet uit of het gaat om virtual machines, fysieke servers of containers. Er wordt gebruikgemaakt van machine learning en het analyseren van gedrag. Op basis hiervan kan microsegmentering worden toegepast of kunnen security-incidenten proactief worden ontdekt. De verkeersstromen in het datacenter worden volledig inzichtelijk gemaakt. Deze informatie kan ook weer gebruikt worden om bijvoorbeeld automatisch white list-policies te genereren en toe te passen (welk verkeer mag plaatsvinden tussen workloads?).

Voor de volledige presentatie, bekijk je de video of slides op www.ciscolive.com (zoek naar BRKACI-2271). Voor de al in ACI aanwezige mogelijkheden wordt uitgelegd hoe je het kunt configureren.

Team Centric tijdens Cisco Live 2020

Van 27 januari tot en met 31 januari vond in Barcelona het event Cisco Live 2020 plaats. Ook Centric was hier vertegenwoordigd. Arjan Hummel, Ronald Aartman, Stefan Langereis, Angelo Schalley en Raymond Snel bezochten een breed scala aan sessies en delen hun kennis graag met jou!

Benieuwd naar hun bevindingen? Volg de Centric-medewerkers op social media of lees de blog-updates op deze pagina!