Miftah Rahman (Go)-Blog

Cisco “nyebut” Campus bukan buat “akademisi”, “kuliahan”, ato “sekolahan” ya…

Kata Campus oleh Cisco digunakan untuk mendefinisikan Inside Network Design dari suatu perusahaan

Prerequisites for learning this article:

Network Engineer with Associate Level of Design Knowledge (ex. CCNA)

because what we’ll talk about is NSF, SSO, VSS, VDC, and those 3 hiearchical layer

============================

Kabarnya gambar dengan 3 layer diatas ini Cisco yang bikin

But Why? What? Who? Where? When? And How?

WHAT? Hierarchical Network Model is developed to make a good Network

WHO? The Design developed by Cisco in order to achieve maximum network potential of Their Clients (especially in Cisco Network Devices)

WHY? Why Cisco make Network Design based on that picture above…

1^st: To avoid complexity

Without Design

With Design

Gambar diatas “niat”nya mau FULL REDUDANCY, but in the end…too much links dan bikin komplek, yang bikin cost bengkak (nambah kabel = cost), dengan proper planning lo bisa “separate” area mana yang HARUS di-redudan, mana yang ga perlu

Remember This…KISS (Keep It Simple and Stupid)

Lu ga mau kan bilang bisa ini bisa itu, begitu ada masalah dan semua orang nunjuk lo, lo sendiri yang pusing sangking kompleknya lo nge-rancang network (entah karena blagu lo ngomong bisa ini bisa itu ato karena diteken sales harus bisa ini bisa itu, klo ga, ga akan tembus proyeknya…hahah)

When Trouble comes…You’ll be Shot First, hence came the name “Troubleshot” 😛

Nah, untuk tau area2 mana saja….Cisco bikin Hierarchical Network model yang menekankan Modular Approach

2^nd: Modular Approach

“wokeh…pertama kita harus tau, area2 mana saja yang ada end user-nya?, devices yang bisa diakses dari luar jaringan kita akan kita tempatin diarea mana?, perlu ga kita bikin area khusus untuk kita tempatin alat2 khusus jaringan kek Nexus 7000?”

“nah, ini printer2 plus PC2 punya end-user kita tempatin disuatu area yang beda dari server, klo ada hacker di network user kan ga bisa langsung akses server” (DMZ Area)

“Server2 ini harus kita pasang Firewall untuk ngehadang hacker dari luar, dan pasang juga Firewall yang ngadep ke end-user supaya hacker ga bisa jebol server dari dalem” (Firewall Sandwich)

“kita punya jaringan VoIP, berarti harus dibikin gimana caranya Voice traffic ga nge-drop”

Dll…

Nah, salah satu gunanya modular approach ini adalah troubleshooting yang gampang

3^rd: Easier Troubleshooting and Problem Isolation

Klo kita tau, PC-PC ada diarea mana, settingan Route Filtering-QoS-EtherChannel, etc. ada dimana, Firewall dan Server ada dimana, ini akan memudahkan kita untuk isolasi problem

Ada ga yang mau klo satu server rusak, trus impact-nya keseluruh network?!? Ga kan…

“woi…windows server-nya rusak nih…(pas dilihat ternyata switchnya mati)…oke…gw ganti switch-nya ya”

Dan ternyata itu switch kehubung ke PC-PC end user….mampus ente dimaki2 gara2 jaringan putus:D

Nah, dengan konsep Hierarchical Network ini kita bisa tshoot suatu area tanpa mempengaruhi area yang lain (klo di Routing&Switching, ini konsep kek OSPF dengan Area-nya)

Dengan mudahnya kita troubleshooting dan isolasi problem, artinya memudahkan kita dalam mengatur jaringan

4^th: Network Management

“woi…gw ga bisa konek ke internet nih (END USER)”

“oh…gw tau itu ada dimana”

“woi, Server SAP ga bisa diakses”

“ok….gw cek Core Switch”

Lo tau harus ngapain, lo tau jumlah devices nya ada berapa, lo tau network health and status, dan semua itu lo lakukan disebuah PC netMon (Network Monitoring), tinggal remote desktop, pake Laptop, IPad, bahkan Smartphone

========================================

WHERE? Cisco membagi Model ini menjadi 3 layer: Access, Distribution, dan Core

3 Layer Hierarchical Models Fundamentals

Access Layer: Area2 dimana End-Devices terhubung

Access layer biasanya mempunyai karakteristik sebagi berikut:

• End Point Security (Switchport Security, 802.1X authentication, DAI, etc.), karena ini “Front-Line” dari Security trust area…klo Access layer Jebol, artinya hacker bisa berpura2 jadi authorized end-user untuk akses network resources
• PoE (Power over Ethernet), biasanya perusahaan beli untuk 4-5 tahun kedepan atau lebih, yang tadinya disupport PSTN (ex. Telkom), to reduce cost…mereka kedepannya mau upgrade dan move ke VoIP, PoE ini bisa provide power buat IP Phone dan Access Point (AP) untuk wireless
• Virtual LAN (VLAN), perusahaan biasanya pengen separate traffic dari department yang satu ke yang lain (termasuk broadcast traffic) tanpa harus membeli another switch

Distribution Layer: Area yang menghubungkan Access Layer ke Access Layer Lainnya

Karena Distribution itu perannya sebagai “bridge” antar LAN, Area, atau Gedung, karakteristiknya sebagai berikut:

• QoS (Quality of Service), disini tempatnya settingan QoS untuk handle traffic keluar masuk
• Redundan, jelas…karena ini layer penting, artinya ga bole mati, dan biasanya default gateway adanya disini, itu berarti device di layer ini harus ada yang backup, baik itu Active/Standby mode…ataupun Active/Active mode. Contoh redundancy untuk default gateway adalah FHRP (HSRP, GLBP, VRRP)
• Summarisasi, summarisasi biasanya dilakukan agar menghemat kinerja proses dari routing table

Core Layer: Extend Distribution

Tapi bayangin klo network kita uda makin gede, dari yang 1 gedung dengan 2 Distribution Layer Switch dan 4 Access layer Switch…jadi 4 gedung dengan jumlah alat yang sama

RIbet kan klo diliat jadinya.nah, klo ada Core…jadi lebih “neat, seperti gambar dibawah ini

Karakteristik dari Core Layer adalah sebagai berikut:

• High Speed Switching, karena tujuan awalnya adalah sebagai “perpanjangan tangan” dari Distribution Switch, jadi kita ga pengen ganggu dengan hal2 lain yang ganggu prosess CPU-nya
• No Packet/Frame Policing, karena? Alasannya adalah Point pertama…
• EtherChannel, to maximize their potential of HIGH SPEED…
• Fast Convergence and Redudancy, klo yang satu fail…harus ada yang backup…IN SPLIT SECOND

Eh itu digambar atas kok WAN Router koneknya ke Access Layer Switch? Emang termasuk Access Layer?

Termasuk Access layer, inget…Hierarchical Model ini didevelop untuk maximize the network within the company (Core Layer-nya aja menghubungkan jaringan perusahaan yang sama)

Hierarchical Network Model ini sering disebut Enterprise Campus Network Design
oleh Cisco (klo untuk WAN ada strategi design-nya lagi, sebutannya juga beda lagi hahaha…nanti gw bahas)

=================================

In Split Second? But HOW did they do that?

In order to Achieve <200ms failover convergence, selain dari Routing Protocol Convergence, Cisco punya namanya SSO (Stateful Switchover), apaan inih?

Bayangin klo lo punya “otak” cadangan…begitu otak primary lo mati *hahah* kocak juga…”otak primary mati”, ada otak lain yang bisa backup

Nah, Otak di Switch-nya Cisco disebut Supervisor (dia yang ngatur L2 dan L3 forwarding, ACL, sampe QoS), dalam Supervisor juga terdapat Route Processor (RP) yang ngatur Routing (makanya dia bisa ngatur L3 Forwarding)

Jadi begitu itu Supervisor kenapa2 (anggeplah HANG kebanyak mikir routing wkwkw) ada supervisor 1 lagi yang siap backup

Tapi kan saat pindah supervisor perlu waktu walaupun sepersekian detik, gimana cara biar “keep forwarding” sambil switch ke backup supervisor?

Cisco punya fitur yang namanya NSF (Non-Stop Forwarding), standby supervisor akan ngebackup L2 Forwarding/Data Plane (including CEF dan LFIB) dari active supervisor, jadi begitu supervisor active mati, data transfer masi bisa di lakukan sambil nunggu supervisor selesai switchover

Kesimpulannya…NSF pasti bareng sama SSO, makanya terms NSF SSO pasti disebut bareng

Dan tenang…EIGRP, OSPF, IS-IS, dan BGP support NSF SSO (no RIP? Yup)

softwarenya itu para routing protocol uda disetting untuk detect ini device lagi failover ato engga, status nya klo di routing table jadi STALE, alias router akan nganggep ini rute uda ga “fresh” lagi…dan dia akan update L2 dan L3 forwarding table yang dia punya klo ada update-an yang fresh masuk ke dia

Klo di BGP, kita bisa liat pake “show ip bgp” untuk liat mana aja rute yang STALE (lagi di switchover network-nya)

*note: klo pake NSF SSO, timer itu routing protocol jgn disetting terlalu cepat, karena NSF bergantung ama CEF…begitu CEF-nya ganti gara2 timer convergensi routing protocolnya terlalu cepet, NSF-nya jadi fail

OKE…jadi supervisor2 itu di 1 Switch kan? Yup

klo SWITCH ITU SENDIRI-nya mati…ga ada gunanya kan 2 supervisor itu?!?That’s when VSS (Virtual Switching System) comes into play

========================================================

VSS (Virtual Switching System)

Pernah nonton dragon ball?!? Liat Goku ama Vegeta fusion ga?!?

Mereka jadi 1 tubuh…tapi masing2 punya pikiran sendiri…lawan Goku sendirian aja uda mabok…ini di Fusion ama Vegeta wkwkwk, prinsip yang sama juga dipake di VSS

Ambil 2 Catalyst 6500…gw bisa bikin mereka FUSION juga hahaha, Konsep VSS juga sama…2 device fisik digabung jadi 1 device virtual

Jadi klo switch yang 1 mati, masi bisa ke yang lain, VSS terbentuk dengan cara konekin 2 link Cat6500 ke Cat6500 yang lain (I don’t know about another switch), link ini disebut VSL (Virtual Switch Link)

Kok 2 sih link nya? Ya itu…klo 1 link mati…masi ada link lain…jadi ENSURE DRAGON BALL FUSION-nya ga PECAH *hahaha* maksudnya VSS-nya

Lagian klo di production network, itu VSS tiba2 ga jalan…yang tadinya 2 switch itu share routing table, tiba2 kepisah…akhirnya masing2 switch akan berdiri sendiri…yang artinya…DUPLICATE anything (contoh: duplicate OSPF router-id)

Lets take a look at picture below

nah… sebuah EtherChannel versi VSS akan terbentuk otomatis begitu itu 2 switch FUSION *gw lebih suka ngomong ini wkwkwk

Gambar A. traditional design, redudancy minded, Access Switch punya 1 link ke Switch X (main uplink) dan 1 link lagi ke switch Y (standby uplink)…ada STP (look at blocked port)

Gambar B. desain fisik VSS, secara fisik konek ke 2 Switch, tapi di mata Access Switch (Access Layer logical view), 2 uplink-nya konek ke 1 device (VSS)

Gambar C. karena itu 2 uplink-nya jadi 1 gara2 VSS…itu Switch2 di VSS otomatis akan perform MEC (MEC – Multichassis EtherChannel) alias EtherChannel-nya VSS and no STP

Look at that!!!….bagi gw ini OVERKILL banget…tapi dengan design seperti ini…ini network RESILIENT ABIS, uda kek jagoan superhero…susah mati

2 switch yang sama2 aktif (bukan failover, remember FUSION), yang masing2 punya 2 supervisor, jantung yang satu kena…masi ada satu lagi…jantungnya mati 2-2nya…masi ada jagoan laen yang masi aktif dengan 2 jantung pula…IMAGINE THAT!!!

1 switch aja uda resilient abis (ada NSF SSO), ini digabung dengan switch lain dengan fungsi sama…bener2 TOUGH BASTARD MU’FUKA hahaha

Biasanya klo topologi STAR yang rentan kan tengah2nya…but its not gonna happen in VSS, klo perlu masing2 core switch-nya lo pasang VSS juga…AJIIEEEB DAH

Nah, klo VSL nya ga jalan gimana? There’s 3 way to detect and overcome this

• E-PAgP (Enhanced PAgP), default: itu VSL pake konsep PAgP, tapi khusus di design buat VSL-nya VSS
• BFD (Bi-directional Forwarding Detection): lo harus buat 1 link dedicated buat tuker2an “keepalive”
• Fast Hellos: versi upgrade-nya BFD (rekomendasi pake ini klo E-PAgP ga bisa, tapi harus IOS 12.2(33)SXI keatas)

Berarti ini VSS bisa dijadiin default gateway dong? Bisa, bisa dipakein FHRP kek HSRP,GLBP, dan VRRP dong?? Ngapain!!

FHRP kan sifatnya failover (ada aktif ada standby)…lah VSS kan sama2 aktif…jadi ga perlu pake FHRP, pasang aja default gateway-nya di VSS…selese

Mau pake FHRP juga?? Ini lebih OVERKILL…VSS A dan VSS B digabung, VSS A jadi Active dan VSS B jadi Standby…klo perlu pake GLBP (yang bisa sama2 aktif)….BEEEEUHHHH

Lebih MUKE GILE nih topologi kek diatas @_@ (4 Cat6500 Switch, perform 2 VSS in pairs, with each pair partner have 2 supervisor)

Dibawah ini adalah gambar supervisor module dari Cisco Switch Catalyst 6500 Series

Note:

• MSFC: Supervisor Engine that capable of multilayer switching and routing intelligence (L3)
• PFC: Supervisor Engine for data plane/ASIC (L2)

Hmm…design boleh keren…tapi dengan VSS ini artinya kita NAMBAH DEVICE lagi kan?!? Another goddamn Cat6500 switch?!?! the price bro….i think its not gonna happen…

Hahaha…iya, but don’t worry (be happy)…ada satu teknologi di Cisco yang disebut VDC (Virtual Device Context) untuk handle tentang masalah device yang terlalu banyak

============================================

VDC (Virtual Device Context)

Singkat kata…lo pengen ga mau ngeluarin duit banyak2 untuk beli alat yang spesialis di Core Layer/Distribution layer?

Dengan VDC, kita bisa bikin Core Layer dan Distribution Layer function…di Switch yang SAMA

Gimana caranya?? Tau VMWare kan…nah, VDC itu ngikutin konsep VMWare…1 physical device separated into more than 2 logical devices, yang masing2 logical devices itu berdiri sendiri (1 VDC buat Core, 1 VDC buat distribution)

Bahkan dalam 1 logical VDC bisa perform VSS pula…gelo nih fitur…

Currently…up to 8 VDC can be build, tentu ga bisa pake supervisor biasa…mesti pake Enhanced Supervisor (the new one is SUP2E Supervisor Module)

Keuntungan dari VDC

• Rack Saving, klo bisa 1 device ngerjain kerjaan 2 device sekaligus…kenapa harus 2 ngerjain 1-1?!?
• HVAC Saving (Heat, Ventilation, and Air Conditioning), ruangan server/network pasti panas karena kebanyakan alat, we can save that in term of devices (soal AC kurang dingin jgn nanya ama gw…)
• Power Saving, yup…electrical savings
• Cost Saving…YEAH…FINALLY hahaha

Eh tapi kok gambar2nya semua pake Nexus 7000 ya?? Well…VDC baru ada di Nexus 7000 hehehe

Wkwkwk, Klo diliat2 memang target pasarnya adalah Data Center…Track Cisco Data Center (CCNA sampe CCIE Data Center) maenannya ke Nexus semua

=========================================

Reference:

ARCH – Designing Cisco Network Service Architecture (642-874) Student Guide

Cisco Network Supervisor from networkpcworld.com

Catalyst 6500 SSO Configuration Guide

Cisco Nexus 7000 VDC video by Alim H. Ali (CCIE #36988)

VDC White paper

SUP2E article