對Cisco ACI的理解
全稱:Application Centric Infrastructure
ACI邏輯:
租戶邏輯
接口邏輯:
1 上線
Spine設備和Leaf設備按照拓撲連接加電后拓撲和配置自動生產����,無需人工干預��,實現自動化上線(LLDP發現)
控制器APIC封裝在cisco自有的C系列服務器里����,APIC接入到任意Leaf即可��,三臺APIC服務器盡量分別接入不同的leaf并雙鏈路上行��。
然后就是初始化APIC了��。
2 初始化APIC
這部分配置內容
1. 配置APIC基礎配置:設備名�、ID�、管理地址���、登錄用戶名密碼等
2. 配置TEP地址池(每設備一個�,建立VXLAN隧道用)
3. Infra network的vlan id(infra是APIC與網絡設備互通的網絡�,相當于帶內管理)
4. 配置BD組播地址池(ACI內組播通信代替廣播�,抑制泛洪)
3 基礎配置(登錄APIC)
3.1 查看Fabric
在Fabric界面可以查看注冊的Spine和Leaf節點(Node)詳細信息�。
3.2 設備帶外管理(mgmt)
APIC默認帶有租戶 mgmt��,在租戶mgmt里配置設備帶外管理
Tenants/Tenant mgmt/Node Management Addresses/Static Node Management Addresses����,創建Node的帶外管理地址���。
3.3 配置Leaf接入接口
進入fabric里的access policies配置leaf接入端口的屬性
邏輯如下:
先配置interface polices����,進入interface polices界面
1. 配置interface polices����,如speed,cdp,lldp,lacp等物理屬性
2. 配置interface policy group�,關聯interface polices�,將各個物理屬性組合
3. 配置interface profiles�����,關聯物理接口����,再關聯interface policy group�����,相當于這個profile就是關聯的物理接口的配置�����,此時還沒有應用到具體的交換機����。一個profile內容有多個接口����,每個接口關聯一個policy group�,不同接口的policy group可以相同
然后配置switch polices�����,進入interface polices界面
4. 配置switch profiles,關聯具體的leaf節點�,關聯interface profiles����,選擇相當于當前leaf的接口的配置就是profile的內容
配置pools
5. 創建vlan pool�,這些vlan是業務使用的vlan
配置physical and External Domain
6. Domain關聯VLAN pool
配置Gobal polices里的AEP(Attachable Access Entity Profiles)
7. 創建AEP�����,關聯Domain�,可以關聯多個domain�,再關聯policy group��?���;蛘咴趧摻╬olicy group時或創建domain時順帶創建并關聯AEP�����,AEP的作用相當于傳統網絡里的接口trunk allow 哪些vlan��。
3.4 配置cisco vPC
ACI里是增強vPC�����,不需要心跳線
創建interface polices里創建policy group時選擇Creat VPC Interface Policy Group�,其他步驟一樣�。
3.5 fabric全局配置
fabric/fabric polices
3.6 總結:接口邏輯關系
4 新建租戶流程
4.1 ACI業務術語
1. Tenant:租戶
2. VRF:虛擬網絡
3. BD:Bridge Domain��,二層廣播域
4. EPG:End-Point Group��,具有相同屬性/策略的一組終端���,比如一個VLAN
5. EP:End-Point�,終端(物理服務器或者虛擬服務器)
6. L3Out:ACI網絡的出口
7. Contract/Filter:ACI網絡的安全策略�,通常用于EPG之間的訪問控制����,EPG到L3Out的訪問控制
4.2 創建tenant/VRF/DB/Subnet
進入Tenants�����,Add Tenant
1. 創建租戶Tenant
2. 在租戶networking里創建VRF(tenant xxx/Networking/VRF)�,一個L3私有網絡
3. 在租戶networking里創建BD(Brige Domain)����,BD是一個二層域����,BD要關聯一個VRF
4. 在BD里創建Subnet�����,這是該二層域的ip地址�,可以有多個subnet����,同屬一個BD
4.3 創建AP/EPG,并關聯接口
1. 創建AP(Application Profiles),在AP下創建EPG
2. 創建EPG���,關聯Domain��,關聯BD�,
3. EPG關聯端口���,可以在Static Ports里靜態關聯到物理接口(AP/EPG/Static Port)部署static port��,選擇leaf與接口���,配置封裝的vlan
4.4 創建contract并應用
在tenant/contract里創建contract(合約)��,contract策略是單向的�����,分為provider(提供者)與consumer(消費者)�����。
EPG_A訪問EPG_B����,可以由EPG_B提供合約訪問�����,用contract連接EPG_A與EPG_B���。
到此����,VPC內部配置完畢����。
如圖:EPG關聯接口或虛機����,EPG之間互訪需要通過contract�����,EPG關聯的服務器或虛機配置關聯BD下的subnet地址��。
4.5 特殊租戶(系統自帶)
4.5.1 Common
common租戶是一個可以訪問所有租戶的租戶���,租戶之間互訪��,部署FW/LB以及其他L4-L7的服務設備�,可以放在common租戶��。
4.5.2 Infra
Infra是ACI網絡內部���,用于overlay vxlan基礎配置
4.5.3 Mgmt
帶內帶外管理網絡配置
5 租戶OUT網絡
5.1 L2 OUT
ACI內部二層網絡擴展到ACI外部�����。兩種方法實現:
第一種是EPG級別����,如果某個EPG網絡需要擴展到ACI外部網絡��,可以手動配置一個端口到一個VLAN���,然后映射到一個EPG上����。
第二種是External Bridge Network�����,創建一個額外的用于二層連接的外部EPG��,ACI內部需要二層連接到外部的EPG通過contract連接外部EPG實現二層連接到外部網絡��。(這種方式創建的ACI內部vlan與ACI外部VLAN可以不同)
External Bridge Network方式:在tenant/network/External Bridge Network�����,
1. 添加一個L2 domain�����,關聯vlan pool���,AEP���,domain
2. 添加具體的leaf節點端口����;
3. 創建L2EPG
4. 創建contract�,contract連接需要L2訪問外部的EPG
5.2 L3OUT
ACI內部網絡與外部網絡路由連接��,通過Border Leaf連接��。
支持BGP����,OSPF�����,Static
1. 創建L3OUT�����。在tenant/network/External Routed Network,創建routed outside��,綁定VRF/BD�����,內容可以選擇路由協議�����,可選OSPF/BGP/EIGRP,
2. 選擇節點�。在logical node profile創建node profile���,選擇具體的border leaf�,配置route id��,這里可以添加靜態路由�����。
3. 選擇節點的物理接口�。在logical node profile下的logical interface profile創建interface profile��,這里可以選擇路由接口/路由子接口/vlan子接口�����,綁定具體物理接口���,配置接口IP�,雙Border創建IP時同時選擇創建VIP
建議每租戶一個L3out��。
6 回到最前面看那張圖���。
