Virtuální směrovač Cisco CSR1000V

Už nějakou dobu sleduju vývoj v oblasti virtuálních směrovačů a v prosinci jsme nasadili do ostrého provozu na CITu VŠB-TU Ostrava virtuální směrovač Cisco CSR1000V. V krátkosti uvedu důvody a prostředí nasazení tohoto virtuálního směrovače.


Přišel provozní požadavek na realizaci IPsec spojení do více lokalit. Z logiky provozovaného projektu nebylo vhodné ukončovat tato spojení na našich VPN koncetrátorech, které slouží k něčemu jinému.

V zásadě se nabízely tyto možnosti:

• Pořídít fyzické zařízení (ASA nebo směrovač ISR).

• Pořídit virtuální ASu Cisco ASA1000V je určena primárně pro site-to-site VPN a FW. Lze ji provozovat v prostředí VMWARE. Nicméně licenční podmínky Cisca IMHO nejsou v tuto chvíli úplně dobré, protože se licencuje na CPU socket, kterých je v našem případě cca 22. Licencování je podobné jako u Cisco Nexus 1000V, ale užití je trochu jiné.

• Cisco ASAv je klasická Cisco ASA, která je portovaná do virtuálního prostředí, nicméně má být dostupná až v průběhu roku 2014.

• Virtuální směrovač Cisco CSR1000V. Tento virtuální směrovač jsem zkoušel už před několika měsíci. Je to v podstatě směrovač z řady Cisco ISR (tedy funkcionálně řady 1900, 2900 a 3900), který lze provozovat v prostředí VMWARE.

Zde si dovolím malou odbočku - pro provoz Cisco CSR1000V (a i výše uvedených produktů Cisco ASA*V) je možná/vhodná (ale ne nutná) instalace do prostředí s virtuálním distribuovaným přepínačem Cisco Nexus1000V. Tento přepínač je i ve free verzi (používáme i u nás). Instalace Cisco Nexus1000V je podporována ve VMWARE pouze ve verzi VMWARE Enterprise Plus, tedy v nejvyšší možné. Nicméně Cisco Nexus1000V lze instalovat i v prostředích Hyper-V nebo KVM.

Už podle názvu příspěvku může bedlivý čtenář usoudit, že vyhrála instalace Cisco CSR1000V. CSR1000V se licencuje podle propustnosti a pro začátek lze použít 2-měsíční trial licenci. Probíral jsem to ze všech stran a po finanční stránce (OPEXové náklady) vyjde provoz Cisco CSR1000V a Cisco 2900 v podstatě velmi podobně. Výhody hovořící pro Cisco CSR1000V (minimálně v našem případě) jsou:

• Okamžité nasazení - stačí jen stáhnout OVF file, provést instalaci (oboje je otázka tak 30-ti minut) a máme plnohodnotný směrovač a není potřeba s někým řešit objednávku a čekat na dodávku fyzického boxu. Jen je potřeba během dvou měsíců dokoupit licenci, jinak propustnost klesne na 250kbps. Tedy službu jsme byli schopni realizovat (=rozšířit infrastrukturu a její služby) bez nějakých administrativních procesů v podstatě okamžitě.

• Škálovatelnost - budeme potřebovat licenci na 50Mbps. Vyvstane-li v budoucnu potřeba upgradovat propustnost, tak stačí jen dokoupit licenci. Takový upgrade u fyzického boxu neuděláte.

• Stabilita - naše virtuální infrastruktura je IMHO velmi dobře postavena, je stabilní a tak jsou z pohledu správce směrovače eliminovány klasické HW problémy.

Mimochodem, u toho mého cvičného směrovače vypršela licence a když jsem ho chtěl upgradnout na poslední IOS, tak jsem ten IOS nahrával do směrovače asi dvě hodiny :-). Samotný upgrade směrovače se řeší úplně stejně jako na fyzickém směrovači - tedy nahrát IOS na flash disk a pak směrovač reloadnout.

Virtuální směrovače se nehodí pro každý příklad. Ale kdybyste zvažovali podobné nasazení, tak taková aplikace virtuálních směrovačů je velmi vhodná a pěkná.

---

Odkazy:

• Cisco CSR1000v: Cisco Cloud Services Router 1000V
• Cisco ASAv: Cisco Adaptive Security Virtual Appliance
• Cisco ASA1000V: Cisco ASA 1000V Cloud Firewall