Практика внедрения и использования cisco aci

Практика внедрения и использования Cisco ACI

Хаванкин Максим cистемный архитектор, CCIE [email protected]

23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.

Содержание

•  Подключение физических устройств к фабрике •  Интеграция со средой виртуализации •  Создание профиля приложения •  Подключение к существующей сети по L2 •  Подключение к существующей сети по L3

23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 2

Что представляет собой ACI?

ACI фабрика

Неблокируемая фабрика на базе оверлеев

App DB Web

Внешняя сеть передачи данных

(Tenant VRF)

QoS

Filter

QoS QoS

Filter

Application Policy Infrastructure

Controller

APIC

1. Профиль приложения

2. Кластер контроллеров

3. Cеть на базе Nexus 9000

Service

Filter

Service Сеть ЦОД на базе коммутаторов Nexus 9000 с централизованным

управлением при помощи контроллера на основе политик

Подключение физических устройств к фабрике

VLAN Pool Interface Policies Group Physical/External Domain Interface Profile AAEP Switch Policy Profile Interface Policies



Гипервизор (стоечные сервера)

Гипервизор (Cisco UCS)

Физические сервера БД

L2+L3 сеть

L4-L7 устройства

Подключение физических устройств к фабрике VLAN-ы и пулы VLAN-ов




L2+L3 сеть


DB_VLAN_Pool

xOUT_VLAN_Pool ASA_VLAN_Pool

Hypervisor_VLAN_Pool


VLAN Pool создаются для внутренних подключений к фабрике (например физических серверов или виртуальных машин) и внешних по отношению к фабрике (например L2 extension) VLAN Pool используются физическими или виртуальными (VMM) доменами Выделение VLAN в пуле статическое или динамическое

Навигация: Fabric | Access Policies | Pools | VLAN

Настройка VLAN пулов

Подключение физических устройств к фабрике Пример настройки: VLAN Pool

Нагрузка размещаемая в среде виртуализации будет автоматически получать номера VLAN Для остальных подключений номера VLAN нужно будет указывать вручную из соответствующих пулов

Несколько статических VLAN для внешнего L2

подключения

Один статичный VLAN для серверов БД

Подключение физических устройств к фабрике Физические и внешние (external) домены




L2+L3 сеть


DB_Serv_PHD Rack_PHD UCS_PHD

xOUT_PHD ASA_PHD

DB_VLAN_Pool




Физические домены используются для определения подключений к фабрике следующих устройств – серверы, виртуальные машины, межсетевые экраны и т.д. Если одинаковые серверы подключаются разными способами (PC, vPC) создаются разные домены. Объекты External Bridged Domain, External Routed Domain и Physical Domain используют VLAN pool-ы как ресурс сами в свою очередь являясь ресурсом для объектов Attachable Access Entity Profile EPG ассоциируются с физическими доменами

Навигация: Fabric | Access Policies | Physical and External Domains

Настройка физических и внешних (external) доменов

Подключение физических устройств к фабрике Пример: Physical Domain

Обратите внимание что домены Rack_PHD и UCS_PHD ассоциированы с одним пулом VLAN-ов

Домены ассоциируются с VLAN Pool-ами

Подключение физических устройств к фабрике Attachable Access Entity Profile




L2+L3 сеть



xOUT_PHD ASA_PHD

DB_Serv_AAEP Rack_AAEP UCS_AAEP

xOUT_AAEP ASA_AAEP

DB_VLAN_Pool



Подключение физических устройств к фабрике Attachable Access Entity Profile


xOUT_PHD ASA_PHD

DB_Serv_AAEP Rack_AAEP UCS_AAEP

xOUT_AAEP ASA_AAEP

DB_VLAN_Pool



AAEP может использоваться для подключения к фабрике доменов с одинаковыми требованиями AAEP можно использовать как средство управления зонами использующими одинаковые VLAN- пулы

Подключение физических устройств к фабрике Пример использования AAEP




Rack_1_2_AAEP Rack_3_AAEP

Rack_1_2_VLAN_Pool Rack_3_VLAN_Pool

Rack_2_PHD Rack_1_PHD Rack_3_PHD


Attachable Access Entity Profile потребляют ресурсы объектов Physical и/или External Domain сами при этом являются ресурсом для объектов Interface Policy Group и VMM Domain Навигация: Fabric | Access Policies | Global Policies | Attachable Access Entity Profiles

AAEP используются для контроля за назначением номеров VLAN, например какие интерфейсы или VMM домены могут использовать определенные VLAN AAEP так же используется для переписывания параметров vSwitch

применяется при подключении Сisco UCS к ACI

Настройка Attachable Access Entity Profile

Подключение физических устройств к фабрике Пример: Attachable Access Entity Profile

В этом примере AAEP пока не ассоциированы с объектом Policy Group

Подключение физических устройств к фабрике Attachable Access Entity Profile – ассоциация с физическим доменом

Подключение физических устройств к фабрике Interface Policies – индивидуальные параметры интерфейса




Port Channel: disable LLDP: disable CDP: disable Speed: 10G

Port Channel: enable LLDP: enable

Подключение физических устройств к фабрике Пример настройки: Interface Policy

Создавайте Interfaces Polices сразу на все случаи жизни в явном виде указывая в названии политики характеристику настраиваемого параметра Использование политик типа “default” не рекомендуется

Подключение физических устройств к фабрике Interface Policies Group – шаблон настройки интерфейса целиком





Port Channel: enable LLDP: enable

vPC_Hypervisor_IPG

объединение индивидуальных параметров

DB_IPG

объединение индивидуальных параметров

Подключение физических устройств к фабрике Interface Policies Group – шаблон настройки интерфейса целиком





Port Channel: enable LLDP: enable CDP: disable Speed: 10G


Interface Policy Groups определяют шаблон настройки портов фабрики следующих типов

Access port Port Channel (v)Port Channel

Interface Policy Groups использует для своего определения объекты типа «Interface Policies» и сам является объектом который используется при определении «Interface Profile» Шаблон может включать в себя настройку следующих параметров

Port Channel | vPC | CDP Policy | Monitoring Policy | Attached Entity Profile | …

Примеры DC_IPG, Hypervisor_IPG

Настройка Interface Policy Groups

Подключение физических устройств к фабрике Пример: Interface Policy Group

Название Policy Group

Используемые Interface Policies

Используемые AAEP (Domains, Pools)

Тип интерфейса - Access, v(Port-Channel

vPC_Hypervisor_IPG

DB_IPG

Подключение физических устройств к фабрике Interface Profile – привязка шаблона к номерам интерфейсов






Leaf_x_DB_IP Leaf_y_UCS_IP

vPC_Hypervisor_IPG

DB_IPG

Подключение физических устройств к фабрике Interface Profile – привязка шаблона к номерам интерфейсов




Leaf_x_DB_IP

Селектор

интерфейсов пока без физической привязки

к коммутатору

1_10 -> 1/10 1_20 -> 1/20

Leaf_y_UCS_IP

Селектор



1_1_9 -> 1/1-9 1_30_40 -> 1/30-40


Interface Profiles использует для своего определения объекты типа “Interface Policy Groups” и так же ссылается на физические интерфейсы (не коммутаторы) к которым применяются шаблоны настроек (IPG) Что можно определить при помощи Interface Profile

Interface Policy Group | Interface range Примеры

Leaf_1_DB_IP, Leaf_5_UCS_IP Дизайн

Распределение приложений по физическим серверам будет влиять на количество Interface Profile, например подключение физических серверов к одним и тем же портам leaf-коммутаторов даст возможность переиспользовать одни и те же профили и сократить число объектов на контроллере и упростить процесс настройки

Настройка Interface Profiles

Подключение физических устройств к фабрике Пример: Interface Profile

Interface Profiles используют ссылки на индивидуальные номера портов или группы портов

Interface Selector Name Номера физических интерфейсов (пока без

привязки к конкретному коммутатору)

vPC_Hypervisor_IPG

DB_IPG

Подключение физических устройств к фабрике Switch Policy Profile – привязка настройки интерфейса к коммутатору




Leaf_x_DB_IP

Селектор



1_10 -> 1/10 1_20 -> 1/20

Leaf_y_UCS_IP

Селектор



1_1_9 -> 1/1-9 1_30_40 -> 1/30-40

vPC_Hypervisor_IPG

DB_IPG

Подключение физических устройств к фабрике Switch Policy Profile – привязка настройки интерфейса к коммутатору



Leaf_x_DB_IP

Селектор



1_10 -> 1/10 1_20 -> 1/20

Leaf_y_UCS_IP

Селектор



1_1_9 -> 1/1-9 1_30_40 -> 1/30-40

Leaf_x_SPP

Привязка настроек DB интерфейсов к конкретным коммутаторам leaf 1 и leaf 2

Leaf_y_SPP

Привязка настроек UCS интерфейсов к конкретным коммутаторам leaf 5 и leaf 6


Switch Policies Profiles использует для своего определения объекты типа “Interface Profile” таким образом конфигурация интерфейса окончательно «привязывается» к коммутатору Что можно определить при помощи

Switches ID | Interface profile Пример

Leaf_1_SPP, Leaf_2_SPP

Настройка Switch Policy Profile

Подключение физических устройств к фабрике Пример: Switch Policy Profile

Имя Switch Profile

При необходимости (vPC) один селектор может включать в себя

несколько коммутаторов

Ссылка на шаблоны настроек интерфейсов Ссылки на шаблоны настроек интерфейсов

Policy Groups DB_IPG

L2OUT_IPG vPC_Hypervisor_IPG

Interface Policies CDP_enabled LACP_Active

AAEP DB_Serv_AAEP

xOUT_AAEP UCS_AAEP

Подключение физических устройств к фабрике Картина целиком

Interfaces Profiles

Leaf_1_DB_IP Leaf_5_UCS_IP

Switche Profiles Leaf_1_SPP Leaf_5_SPP

Concrete Model

Logical Model

Virtual Machine Domains

(vSwitches) vCenter-01_vDS-01

Application Network Profile

Hello_world

Phy/Out Domain DB_Serv_PHD

xOUT_PHD UCS_PHD

VLAN/VxLAN Pools DB_VLAN_Pool

xOUT_VLAN_Pool Hypervisor_VLAN_Pool

Об этих объектах более детальный разговор дальше

Интеграция со средой виртуализации

На примере VMware vCenter


Интеграция со средой виртуализации Взаимодействие через сегмент Out-Of-Band Management (вариант)




L2+L3 сеть


vCenter

Интеграция со средой виртуализации Взаимодействие через сегмент Out-Of-Band Management (вариант)


L2+L3 сеть


Кластер APIC

APIC APIC

APIC

OOBM

Интеграция

Интеграция со средой виртуализации Три режима интеграции с VMware vCenter

+

Distributed Virtual Switch (DVS) vCenter + vShield Manager Application Virtual Switch

(AVS)

•  Инкапсуляция: VLAN •  Установка: Native •  Обнаружение VM:

LLDP •  Software/Licenses:

vCenter с лицензией EnterprisePlu

•  Инкапсуляция: VLAN, VXLAN

•  Установка: Native •  Обнаружение VM:

LLDP •  Software/Licenses:

vCenter с лицензией EnterprisePlus, vShield Manager с лицензией vShield

•  Инкапсуляция: VLAN, VXLAN

•  Установка: VIB при помощи VUM или консоли

•  Обнаружение VM: OpFlex

•  Software/Licenses: vCenter с лицензией EnterprisePlus

APIC Admin

VI/Server Admin Instantiate VMs, Assign to Port Groups

L/B

EPG APP

EPG DB

F/W

EPG WEB

Application Network Profile

Create Application Policy

Web Web Web App

HYPERVISOR HYPERVISOR

VIRTUAL DISTRIBUTED SWITCH

WEB PORT GROUP

APP PORT GROUP

DB PORT GROUP

vCenter Server / vShield

8

5

1

9 ACI Fabric

Automatically Map EPG To Port Groups

Push Policy

Create VDS 2

Cisco APIC and VMware vCenter Initial

Handshake

6

DB DB

7 Create Port Groups

Интеграция со средой виртуализации VMware vCenter: DVS

APIC

3

Attach Hypervisor to VDS

4 Learn location of ESX Host through LLDP



Создание VMM-домена на базе vCenter

AAEP определяет настройки vDS

Динамический VLAN Pool

vCenter ID

vCenter Credentials



Настройка подключения к vCenter

IP-адрес vCenter Тип vDS

Имя vCenter Datacenter EPG для Inband

Management подключения

Credentials

Режим интеграции


APIC •  создает распределенный коммутатор

•  настраивает порты и функции этого коммутатора при помощи политик

•  при ассоциации EPG с VMM-доменом создается портовая группа


Результат интеграции

Интеграция со средой виртуализации Добавить руками хост к коммутатору, созданному автоматически


ACI_Leaf_101# show port-channel summary Flags: D - Down P - Up in port-channel (members) I - Individual H - Hot-standby (LACP only) s - Suspended r - Module-removed S - Switched R - Routed U - Up (port-channel) M - Not in use. Min-links not met F - Configuration failed ------------------------------------------------------------------------------- Group Port- Type Protocol Member Ports Channel ------------------------------------------------------------------------------- 3 Po3(SU) Eth LACP Eth1/1(P)

Автоматизация настроек портов со стороны фабрики

Port-Channel интерфейс для подключения dVS при помощи LACP – создан автоматически APIC-

контроллером

Интеграция со средой виртуализации Особенности интеграции с Cisco UCS B-series – настройка vSwitch Policy




L2+L3 сеть


Требуется создать vSwitch политику которая настроит алгоритм

балансировки на портовых группах «MAC-Pinning» или

«Route based on originating virtual port» в терминах VMware

Интеграция со средой виртуализации Особенности интеграции с Cisco UCS B-series – настройка vSwitch Policy



UCS_AAEP

UCS_PHD

VLAN_Pool


•  Проверяем настройки со стороны dSwitch •  Не изменяйте эти настройки руками!


Особенности интеграции с Cisco UCS B-series – свойства портовой группы

Создание профиля приложения

Hello_world J


Создание профиля приложения Tenant - контейнер для хранения сетевых свойств приложений

Tenant: Hello_Connect



Пример создания объекта “Tenant”

Название

Создание профиля приложения Логическая модель: private network, как набор изолированных сетевых сегментов, или VRF

Tenant: Hello_Connect VRF: VRF_INSIDE



Пример создания объекта “VRF”

Добавляем VRF

Название VRF

Режим реализации политик

Удобно переключиться в режим «Unenforced» во время откладки

контрактов между EPG

Создание профиля приложения Bridge Domain логическая конструкция обозначающая границы L2-сегмента

Bridge Domain: 10.0.0.1_255.255.255.0


Новая концепция: Bridge Domain

Bridge Domain - логическая конструкция представляющая L2-сегмент передачи данных внутри фабрики Один или несколько EPG могут быть ассоциированы с одним BD Можно «превратить» в аналог VLAN: 1.  Влючить flood для L2

unknown unicast 2.  Включить ARP Flooding

Название BD удобно сделать «говорящим», например

использовать для этого адрес и маску подсети

Создание профиля приложения Знакомая концепция: подсети – primary/secondary IP адреса на SVI-интерфейсах

Bridge Domain: 10.0.0.1_255.255.255.0


Secondary 10.1.1.x/24

Primary 10.0.0.x/24

interface vlan123 ip address 10.0.0.1 255.255.255.0 ip address 10.1.1.1 255.255.255.0 secondary



Настройка подсети

Адрес шлюза по умолчанию для подсети

Область видимости

Новая концепция: профиль приложения §  Сетевой профиль приложения представляет собой набор EPG и политик, которые определяют правила взаимоотношений между группами

Inbound/Outbound политики

Сетевой Профиль Приложения

Inbound/Outbound политики

EPG A Service A

Service A

Service A

Service A

Service B

Service B

Service B

Service B

EPG B Service C

Service C

Service C

Service C

Service C Service C

EPG C Service D

Service E

Service D

Service E

Создание профиля приложения Сетевой профиль ANP содержит один или несколько EPG

Bridge Domain: 10.0.0.1_255.255.255.0


vPC_to_UCS_a vlan-10

vPC_to_UCS_b vlan-10

EPG: db Security Zone



EPG: app Security Zone

ANP: Hello_world Нет контрактов = нет передачи данных



EPG: web Security Zone


Primary 10.0.0.x/24




Название профиля

приложения

Мастер создания EPG Мастер создания контрактов –

активируется после создания EPG

Новая концепция: EPG

60

Ø Интерфейс, при помощи которого конечное устройство подключается к сети

Ø Имеет адрес (identity), местоположения, атрибуты (version, patch level)

Ø Может быть физическим или виртуальным Примеры:

§  End Point Group (EPG) определяются при помощи: —  Физический портов (leaf или FEX) —  Логический порт (VM port group) —  VLAN ID —  VXLAN (VNID) —  IP адрес (применимо ко внешним подключениям external/border leaf) —  IP Prefix/Subnet (применимо ко внешним подключениям external/border leaf) —  Атрибуты виртуальных машин (план)

Сервер

Виртуальные машины или контейнеры

СХД

Клиенты



Создание EPG

Название EPG

Ассоциация с BD (помещение EPG в L2-сегмент)

Ассоциация c VMM-доменом

(создание портовых групп

на DVS)

Ассоциация c физическими портами/Port-channel/vPC для

невиртуализированной нагрузки

Золотое правило EPG

•  Если есть EPG, значит должен быть и контракт!

•  Данные между EPG без контракта который явно это разрешает не передаются

•  Это касается •  Трафика между EPG в одном

ANP •  Трафика между EPG разных

ANP •  L2 OUT EPG •  L3 OUT EPG •  и т.д. и т.п.


Новая концепция: контракт

Subject-этокомбинацияследующихдействийcтрафиком-фильтрация,передачачерезService

GraphиQoS-приоритезация

Контрактыопределяютправила

взаимодействиямеждуEPG

Filter | L4-L7| QoS Subject

TCP Port 80 Фильтр

Service Graph

L4-L7 сервис

QoS Priority QoS

Контракт1 Subject 1

Subject 2 Subject 3

Создание профиля приложения Контракты необходимы для управления передачей данных между EPG

Bridge Domain: 10.0.0.1_255.255.255.0




EPG: app

Контакт = передача данных ANP: Hello_world



EPG: db 192.168.10.13 192.168.10.12


Primary 10.0.0.x/24

192.168.10.11 192.168.10.10

Нет контракта = нет передачи данных

Контакт = передача данных






Создание контракта

Название контракта

Фильтр

Ссылка на сервисную цепочку

Класс качества обслуживания



Применение контракта к EPG Источник/Source/Provider Получатель/DesZnaZon/Consumer


Создание профиля приложения Картина целиком

Bridge Domain: 10.0.0.1_255.255.255.0




L2+L3 сеть


ANP: Hello_world






EPG: app


Primary 10.0.0.1/24



EPG: db


Подключение к существующей сети по L2


Создание профиля приложения Подключение BD ко внешней L2-сети при помощи “External Bridge Network” или L2OUT

Bridge Domain: 10.0.0.1_255.255.255.0


Node-101/eth1/1 Node-102/eth1/1

L2 внешний сегмент

EPG: L2OUT-EPG Security Zone

При помощи механизма L2OUT L2-сегмент внутри фабрики подключается ко внешней L2-сети. Например, BD 10.0.0.1_255.255.255.0

при помощи VLAN-10

VLAN-10



Создание L2OUT – определение свойств L2-подключения

BD, который «вытаскивается» наружу из фабрики

Инкапсуляция на стыке ACI и внешнего L2 сегмента

Внешний L2 физический домен



Создание L2OUT EPG – определение точки для приложения политики доступа

Контракт разрешающий

передавать данные из фабрики во

внешний L2-cегмент

Подключение к существующей сети по L2 Золотое правило: создать контракт между внутренним и внешним EPG

Bridge Domain: 10.0.0.1_255.255.255.0




EPG: L2-OUT-EPG-DB Security Zone



EPG: db Security Zone Контакт db2l2out = передача данных

Управление внешним доступом при помощи

политики (контракт db2l2out)

Подключение к существующей сети по L2 Сравнение методов

Extend EPG Extend Bridge Domain

Сценарий использования Подключение физического сервера, гипервизора для которого отсутствует интеграция, коммутатор/маршрутизатор

Настройка Статическая привязка EPG к порту (static binding under EPG)

Использование External Bridged Networks

Куда помещаются внешние подключения

В тот же EPG(VLAN) как и остальные EPG

Разные EPG (VLAN) но тот же bridge domain

Модель политик Внутри EPG любая передача данных разрещена

Определяется контрактом между внутренним и внешним EPG

WEB EPG

External EPG

100.1.1.5 100.1.1.4

WEB EPG

100.1.1.3 100.1.1.5

Bridge Domain BD1

Bridge Domain BD1

Extend EPG Static Binding

Extend BD L2 Outside Connection

C


Подключение к существующей сети по L2 Картина целиком

Bridge Domain: 10.0.0.1_255.255.255.0




L2+L3 сеть


ANP: Hello_world






EPG: app


Primary 10.0.0.1/24



EPG: db


DB-сервер DB-сервер

EPG: L2-OUT-EPG-DB Security Zone

Контракт

Подключение к существующей сети по L3 L3 подключение ко внешнему миру происходит на уровне VRF

Bridge Domain: 10.0.0.1_255.255.255.0




EPG: L3-OUT-EPG Security Zone



Настройка L3OUT

Внешний L3 физический домен



Создание L3OUT EPG – определение точки для приложения политики доступа

Контракт разрешающий

передавать данные из фабрики во

внешний L3-cегмент

Подключение к существующей сети по L3 Золотое правило: создать контракт между внутренним и внешним EPG

Bridge Domain: 10.0.0.1_255.255.255.0




EPG: L3-OUT-EPG Security Zone




Контакт web2l3out = передача данных

Управление внешним доступом при помощи

политики (контракт web2l3out)


Border Leaf •  Любой коммутатор может быть border leaf •  Нет ограничений по количеству border leaf на фабрику

•  Обеспечивает подключение ко внешним сетям Протоколы маршрутизации

•  Static route •  OSPFv2 NSSA, IBGP, eBGP, OSPF, EIGRP •  VRF-lite. BGP-EVPN (планируется)

Варианты интерфейсов •  L3 interface •  L3 sub-interface. VRF-lite для multi-tenancy •  SVI Interface. L2 и L3 на одной «физике»

Основные характеристики

Подключение к существующей сети по L3 Как внешние маршруты распространяются по фабрике

MP-BGP Peering

Protocol Peering VRF1

Route Redistribution

BGP RR BGP RR

VM VM

Protocol Peering VRF2

MP-BGP

1. Определить BGP ASN и выбрать спайны для BGP RR

2. APIC настраивает MP-BGP внутри ACI фабрики

3.Настройка L3 outside. Border leaf выучивает внешние маршруты.

4. BL редистрибуция внешних маршрутов в MP-BGP

5. Внешние маршруты распространяются по коммутаторам доступа

6.BL инжектирует информацию о префиксах подключенных к фабрике

Подключение к существующей сети по L3 Настройка MP-BGP

•  MP-BGP по умолчанию выключен.

•  Настроить BGP ASN и определить какие узлы spine будут выполнять роль BGP RR для включения MP-BGP

•  APIC настраивает все остальное (BGP сессии, RD, import и export target, VPNV4 address family, route-map для редистрибуции и т.д.)

•  MP-BGP не используется для переноса информации о подключенных к фабрике хостах (end point table - MAC and IP)

Fabric > Fabric Policies > Pod Policies > Policies folder



Проверка настройки MP-BGP

MP-BGP сессии с 2-мя spine коммутаторами

Подключение к существующей сети по L3 Пример распространения маршрутов

BGP RR

Border Leaf

100.1.1.10 10.1.1.10 Tenant Pepsi Public: 100.1.1.0/24 Private 10.1.1.0/24 200.1.1.0/24

MP-BGP Peering OSPF Adjacency Route Redistribution

BGP RR

VM VM

Внешний маршрут 200.1.1.0/24 получен от spine-коммутатора

Редистрибуция 200.1.1.0/24 в MP-BGP

•  Редистрибуция маршрутной информации автоматически настраивается APIC контроллером

•  Сеть которые нужно анонсировать за пределы фабрики должны иметь признак public

Редистрибуция публичной сети 100.1.1.0/24 в OSPF/BGP


•  IP-адреса между тенантами не пересекаются. VRF разделяется между тенантами. Изоляция трафика при помощи контрактов.

•  BD и subnet, L3outside определяются внутри тенанта “common”. •  EPG, Contract, application profile индивидуально внутри тенантов

Разделяемые между тенантами L3 подключения – вариант № 1

VRF

Tenant-A

BD1 192.168.100.1/24

Tenant-B Tenant-Common

BD-B 192.168.101.1/24

BD-A 192.168.102.1/24

L3out

App DB Web CC

Динамический протокол маршрутизации или статика

App DB Web CC


•  L3outside определяется в тенанте “common” •  BD, EPG, Contract, application profile индивидуально внутри тенантов

Разделяемые между тенантами L3 подключения – вариант № 2

VRF

Tenant-A

BD1 192.168.100.1/24

Tenant-B Tenant-Common

BD-A 192.168.102.1/24

L3out

App DB Web CC

Динамический протокол маршрутизации или статика

App DB Web CC

BD-A 192.168.101.1/24

VRF3 VRF2


•  L3outside определяется в тенанте “common” •  BD, EPG, Contract, application profile индивидуально внутри тенантов •  Border leaf может инжектировать маршруты в VRF при помощи MP-BGP

Разделяемые между тенантами L3 подключения – вариант № 3 (план)

VRF1

Tenant-Pepsi Tenant-Coke Tenant-Common

BD-Pepsi 192.168.101.1/24 (public+shared)

BD-Coke 192.168.102.1/24 (public+shared)

Border Leaf L3out

App DB Web CC

App DB Web CC

External EPG-1 20.20.20.0/24

20.20.20.0/24

MP-BGP и VRF route-leaking

20.20.20.0/24 20.20.20.0/24

20.20.20.0/24

192.168.101.0/24 192.168.102.0/24

192.168.101.0/24 192.168.102.0/24

Маршруты из VRF тенантов инжектируются в VRF в tenant-common, маршруты должны быть уникальными и не пересекаться.


•  Возможность включена по умолчанию •  Поддерживаются протоколы

•  BGP, OSPF, EIGRP •  Настройка Export Route Control Subnet

•  Для подсетей определенных внутри фабрики


Контроль за распространением маршрутов из фабрики

Маршруты экспортируемые из

фабрики


•  Возможность отключена по умолчанию •  Настройка L3Out

•  Поддерживаются протоколы •  BGP

•  Настройка Export Route Control Subnet •  Для внешних сетей


Контроль за маршрутам получаемыми от внешних устройств

Маршруты импортируемые в

фабрику

Заключение

•  Подключение физических устройств к фабрике •  удобное описание настройки физических подключений по шаблону

•  Интеграция со средой виртуализации •  создание/управление виртуальным коммутатором

•  Создание профиля приложения •  все что что приложению требовалось знать о подключении к сети

•  Подключение к существующей сети по L2 •  простое подключение к существующим L2 сегментам или DCI

•  Подключение к существующей сети по L3 •  надежный друг всегда с Вами


Полезные ссылки

•  Configuration Examples and TechNotes §  http://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-

infrastructure-controller-apic/products-configuration-examples-list.html •  ACI Operations Guide •  http://www.cisco.com/c/dam/en/us/td/docs/switches/datacenter/aci/apic/sw/1-

x/Operating_ACI/Cisco_OperatingApplicationCentricInfrastructure.pdf •  ACI Troubleshooting Book •  http://aci-troubleshooting-book.readthedocs.org/en/latest/index.html •  Блог архитектора из подразделения Cisco Advanced Services •  http://adamraffe.com/learning-aci/


CiscoRu Cisco CiscoRussia

Ждем ваших сообщений с хештегом #CiscoConnectRu

CiscoRu

Спасибо Хаванкин Максим cистемный архитектор, CCIE [email protected]

© 2015 Cisco and/or its affiliates. All rights reserved.

Практика внедрения и использования cisco aci

Technology