Application Centric Infrastructure
1 上線
Spine設備和Leaf設備按照拓撲連接加電後拓撲和配置自動生產,無需人工干預,實現自動化上線(LLDP發現)
控制器APIC封裝在cisco自有的C系列服務器裏,APIC接入到任意Leaf即可,三臺APIC服務器儘量分別接入不同的leaf並雙鏈路上行。
然後就是初始化APIC了。
2 初始化APIC
這部分配置內容
1. 配置APIC基礎配置:設備名、ID、管理地址、登錄用戶名密碼等
2. 配置TEP地址池(每設備一個,建立VXLAN隧道用)
3. Infra network的vlan id(infra是APIC與網絡設備互通的網絡,相當於帶內管理)
4. 配置BD組播地址池(ACI內組播通信代替廣播,抑制泛洪)
3 基礎配置(登錄APIC)
3.1 查看Fabric
在Fabric界面可以查看註冊的Spine和Leaf節點(Node)詳細信息。
3.2 設備帶外管理(mgmt)
APIC默認帶有租戶 mgmt,在租戶mgmt裏配置設備帶外管理
Tenants/Tenant mgmt/Node Management Addresses/Static Node Management Addresses,創建Node的帶外管理地址。
3.3 配置Leaf接入接口
進入fabric裏的access policies配置leaf接入端口的屬性
邏輯如下:
先配置interface polices,進入interface polices界面
1. 配置interface polices,如speed,cdp,lldp,lacp等物理屬性
2. 配置interface policy group,關聯interface polices,將各個物理屬性組合
3. 配置interface profiles,關聯物理接口,再關聯interface policy group,相當於這個profile就是關聯的物理接口的配置,此時還沒有應用到具體的交換機。一個profile內容有多個接口,每個接口關聯一個policy group,不同接口的policy group可以相同
然後配置switch polices,進入interface polices界面
4. 配置switch profiles,關聯具體的leaf節點,關聯interface profiles,選擇相當於當前leaf的接口的配置就是profile的內容
配置pools
5. 創建vlan pool,這些vlan是業務使用的vlan
配置physical and External Domain
6. Domain關聯VLAN pool
配置Gobal polices裏的AEP(Attachable Access Entity Profiles)
7. 創建AEP,關聯Domain,可以關聯多個domain,再關聯policy group。或者在創建policy group時或創建domain時順帶創建並關聯AEP,AEP的作用相當於傳統網絡裏的接口trunk allow 哪些vlan。
3.4 配置cisco vPC
ACI裏是增強vPC,不需要心跳線
創建interface polices裏創建policy group時選擇Creat VPC Interface Policy Group,其他步驟一樣。
3.5 fabric全局配置
fabric/fabric polices
3.6 總結:接口邏輯關係
4 新建租戶流程
4.1 ACI業務術語
1. Tenant:租戶
2. VRF:虛擬網絡
3. BD:Bridge Domain,二層廣播域
4. EPG:End-Point Group,具有相同屬性/策略的一組終端,比如一個VLAN
5. EP:End-Point,終端(物理服務器或者虛擬服務器)
6. L3Out:ACI網絡的出口
7. Contract/Filter:ACI網絡的安全策略,通常用於EPG之間的訪問控制,EPG到L3Out的訪問控制
4.2 創建tenant/VRF/DB/Subnet
進入Tenants,Add Tenant
1. 創建租戶Tenant
2. 在租戶networking裏創建VRF(tenant xxx/Networking/VRF),一個L3私有網絡
3. 在租戶networking裏創建BD(Brige Domain),BD是一個二層域,BD要關聯一個VRF
4. 在BD裏創建Subnet,這是該二層域的ip地址,可以有多個subnet,同屬一個BD
4.3 創建AP/EPG,並關聯接口
1. 創建AP(Application Profiles),在AP下創建EPG
2. 創建EPG,關聯Domain,關聯BD,
3. EPG關聯端口,可以在Static Ports裏靜態關聯到物理接口(AP/EPG/Static Port)部署static port,選擇leaf與接口,配置封裝的vlan
4.4 創建contract並應用
在tenant/contract裏創建contract(合約),contract策略是單向的,分爲provider(提供者)與consumer(消費者)。
EPG_A訪問EPG_B,可以由EPG_B提供合約訪問,用contract連接EPG_A與EPG_B。
到此,VPC內部配置完畢。
如圖:EPG關聯接口或虛機,EPG之間互訪需要通過contract,EPG關聯的服務器或虛機配置關聯BD下的subnet地址。
4.5 特殊租戶(系統自帶)
4.5.1 Common
common租戶是一個可以訪問所有租戶的租戶,租戶之間互訪,部署FW/LB以及其他L4-L7的服務設備,可以放在common租戶。
4.5.2 Infra
Infra是ACI網絡內部,用於overlay vxlan基礎配置
4.5.3 Mgmt
帶內帶外管理網絡配置
5 租戶OUT網絡
5.1 L2 OUT
ACI內部二層網絡擴展到ACI外部。兩種方法實現:
第一種是EPG級別,如果某個EPG網絡需要擴展到ACI外部網絡,可以手動配置一個端口到一個VLAN,然後映射到一個EPG上。
第二種是External Bridge Network,創建一個額外的用於二層連接的外部EPG,ACI內部需要二層連接到外部的EPG通過contract連接外部EPG實現二層連接到外部網絡。(這種方式創建的ACI內部vlan與ACI外部VLAN可以不同)
External Bridge Network方式:在tenant/network/External Bridge Network,
1. 添加一個L2 domain,關聯vlan pool,AEP,domain
2. 添加具體的leaf節點端口;
3. 創建L2EPG
4. 創建contract,contract連接需要L2訪問外部的EPG
5.2 L3OUT
ACI內部網絡與外部網絡路由連接,通過Border Leaf連接。
支持BGP,OSPF,Static
1. 創建L3OUT。在tenant/network/External Routed Network,創建routed outside,綁定VRF/BD,內容可以選擇路由協議,可選OSPF/BGP/EIGRP,
2. 選擇節點。在logical node profile創建node profile,選擇具體的border leaf,配置route id,這裏可以添加靜態路由。
3. 選擇節點的物理接口。在logical node profile下的logical interface profile創建interface profile,這裏可以選擇路由接口/路由子接口/vlan子接口,綁定具體物理接口,配置接口IP,雙Border創建IP時同時選擇創建VIP
建議每租戶一個L3out。
6 ACI歸納理解
