We schreven deze blog als opfriscursus of beknopte handleiding op basis van het aantal bronnen en publicaties van internet. We hebben allemaal een verschillende interpretatie van hetzelfde doel, maar soms is het goed om het te vergelijken met wat anderen misschien denken.

Cisco ACI voor ondernemingen in datacenters

In de netwerkwereld praat of gebruikt iedereen de Application Centric Infrastructure (ACI). Laten we beginnen met enkele vragen.

Wat is Cisco ACI?

ACI staat voor Application Centric Infrastructure en is de Cisco SDN-oplossing voor een datacenteromgeving. ACI is een manier om een ​​gemeenschappelijk beleidsgebaseerd raamwerk voor IT-omgevingen te creëren. Specifiek in de toepassings-, netwerk- en beveiligingsdomeinen. Het is gebaseerd op beleid - een reeks richtlijnen of regels die een te volgen koers bepalen. Een voorbeeld zou zijn: verkeer dat van een webserver naar de end-host gaat, moet door een firewall gaan. Probeer te visualiseren, zoals QoS, Security en SLA's

Wat zijn de belangrijkste kenmerken / voordelen?

• Automatisering
• Focus op applicaties
• Integratiemogelijkheden
• virtualisatie
• Containernetwerken
• orkestratie
• Public Cloud-netwerken

Waarom ACI?

• Leaf-Spine-Leaf-topologie - eenvoudig en schaalbaar
• ECMP - Ethernet-routering op actieve / actieve wijze
• Oost-West verkeersoptimalisatie, Anycast-gateway op elke Leaf
• Microsegmentatie - hetzelfde subnet? Helemaal geen probleem!
• Beveiliging: standaard witlijstbeleid

Wat zijn de ACI-componenten?

• Schakelaars -> Rollen: bladeren en stekels
• Nexus 9K-modi: ACI voor ACI en NX-OS voor stand-alone gebruik
• Controllers: Application Policy Infrastructure Controller (APIC). UCS-C Server -> verschillende capaciteit voor verschillende stofafmetingen. Niet-Cisco-hardware is niet toegestaan; het zal niet werken.

ACI-architectuur

Zie de onderstaande afbeelding. De gouden regel is dat Wervelkolomschakelaars moet worden aangesloten op alle Leaf-schakelaars en vice versa. Spine's zijn echter niet met elkaar verbonden en Leaves kunnen ook geen verbinding maken. Servers kunnen alleen worden verbonden met Leaves en NIET met Spines. Als een server is verbonden met de Spine - MCP (MisCabling Protocol) zal dat detecteren en de verbinding verbreken. LLDP (Link Layer Discovery Protocol) staat verbindingen Spine <> Spine en Leaf <> Leaf niet toe

Rug-blad topologie

• 40 Gbps IP-gebaseerde Fabric met geïntegreerde VXLAN-overlay -> 100 Gbbps mogelijk
• Eenvoudige / consistente / schaalbare stof
• Samengesteld uit N9K-apparaten, 9500 schakelaars als de ruggengraat (minimaal 2x voor redundantie) gebruikt voor Fabric Bandwidth
• Cisco 9300-switches op de Leaf-laag (ToR - Top of the Rack). Eindapparaten, meestal servers, VMWare-chassis maken hier verbinding.

ACI - Routing van wervelkolom- en bladonderlagen

• IS-IS (routeringsprotocol) biedt routing voor ondervloeren
• In de scope zijn: IP ongenummerde interfaces, L1 alleen (interne) verbindingen, Adverteert VTEP-adressen, Genereert multicast FTAG-boomstructuren, Identificeert en kondigt tunnels aan

Wat is VTEP?

Frame inkapseling wordt gedaan door een entiteit die bekend staat als een VXLAN Tunnel Endpoint (VTEP.) EEN VTEP heeft twee logische interfaces: een uplink en een downlink. De uplink is verantwoordelijk voor het ontvangen van VXLAN-frames en fungeert als tunneleindpunt met een IP-adres dat wordt gebruikt voor het routeren van in VXLAN ingekapselde frames (van Cisco Portal)

Wat is de APIC?

Application Policy Infrastructure Controller - APIC, is het belangrijkste onderdeel van de ACI-oplossing. Het biedt automatisering en beheer voor de Cisco ACI-fabric, beleidshandhaving en gezondheidsmonitoring. De controller optimaliseert de prestaties en beheert en exploiteert een schaalbare Cisco ACI-fabric met meerdere tenants.

• APIC is de Policy Controller in ACI
• Zeer redundante cluster: doorgaans drie of meer APIC's voor redundantie en quorum. Ze zijn NIET in de actieve / standby-configuratie. Ze zijn in actieve / actieve implementatie en gegevens worden gedeeld tussen de knooppunten. Elke shard heeft 3x replica's over controllers.
• APIC heeft NIET de controle, of datavlak van de stof. Als de netwerkomgeving eenmaal is geconfigureerd en de APIC is uitgeschakeld, heeft dit geen invloed op de infrastructuur. APIC is echter vereist voor verplaatsingen / toevoegingen / wijzigingen / verwijderingen en alle dagelijkse bewerkingen. Dus je moet op de lange termijn APIC hebben. Uw netwerk kan een korte tijd zonder.

ACI - Fabric Discovery

• De APIC is verantwoordelijk voor: Fabric-ontdekking en -adressering, beeldbeheer, topologie en validatie van bekabeling.
• Fabric Discovery wordt gemaakt via Link Layer Discovery Protocol (LLDP), ACI-specifieke TLV's (OUI) en APIC-beheerverbinding met infrastructuur-vrf

Kip of ei? Hoe ontdekken ze elkaar?

ACI gebruikt in het ontdekkingsproces de Intra-Fabric Messaging (IFM) -methode waarbij APIC en knooppunten hartslagberichten uitwisselen. De techniek die door de APIC wordt gebruikt om het beleid naar de knooppunten van het stoffenblad te pushen, wordt IFM-proces genoemd. In de laatste fase verwerkt de ontdekking van de andere bladknooppunten en APIC's in het cluster.

• Bootstrap-API
• Leaf switch ontdekt APIC via LLDP, vraagt ​​TEP-adres en opstartbestand op van APIC.
• Spine switch zal Leaf vinden, vraagt ​​TEP en opstartbestand van APIC.
• Stof assembleert nu zelf
• Als er meerdere APIC's worden ontdekt op de AV (Appliance Vector), vormen ze een veerkrachtig cluster.

Wat is Cisco ACI Tenant?

An ACI Tenant-objectmodel vertegenwoordigt het object op het hoogste niveau. Binnenin kunt u onderscheid maken tussen de objecten die de tenantnetwerken definiëren, zoals private networks (VRF's), bridge-domeinen en subnetten; en de objecten die het tenantbeleid definiëren, zoals toepassingsprofielen en eindpuntgroepen.

• Huurder - een logische eenheid voor beheer
• Dit kunnen klanten, business units (BU's) of groepen zijn
• Zorgt voor: Afzonderlijke administratie- en gegevensstromen, Herbruikbare IP-adresruimte, Onderscheidende profielruimte.
• Drie standaardtenants: Common - Biedt gemeenschappelijke services aan alle tenants, Infra - gebruikt voor alle interne fabric-communicatie, Mgmt - gebruikt voor in-band en out-of-band beheertoegangsbeleid.

Laten we ACI bouwen zoals Lego Bricks

Context - een VRF binnen een huurder

• huurders kan een of meer contexten hebben, maakt duplicatie van IP-adressen mogelijk

Bridge-domein - container voor subnetten

• Dit zijn noodzakelijkerwijs VXLAN, met behulp van IRB-functionaliteit: verkeer binnen een BD wordt overbrugd, verkeer tussen BD's wordt gerouteerd, subnetten zijn daarom niet relevant aangezien verkeer wordt gerouteerd op basis van ./32 hostroutes.
• Laag 2-overstroming is standaard uitgeschakeld; het kan binnen Bridge Domain worden ingeschakeld voor ARP, DHCP en integratie van CE.

Hoe te beheren, OOB-toegang?

Beheer van de Fabric, Cisco Nexus 9K Mgmt-scope

• In-band, via de infra en beheer VRF's, consolepoorten, out-of-band speciale beheerpoort (zoals andere Nexus-apparaten, N5k en N7k)
• APIC Mgmt-reikwijdte; Fabric-poorten (2x data), OOB Mgmt, Console ethernet, CIMC / IPMI

Hoe werkt ACI Forwarding in de stof?

In een notendop, als een server die is aangesloten op een Leaf-switch wil communiceren met de andere server ergens anders op het LAN, zal Leaf zijn 'Local Station Table' opzoeken voor een VTEP (Virtual Tunnel Endpoint). Als het het daar niet kan vinden, zal het 'Global Station Table' proberen. Maar als het het daar ook niet kan vinden in eerdere communicatie, zal het de Spine-schakelaar vragen. De ruggengraat (en) weten alles, en ze zullen een VTEP-vermelding zien om het verkeer naar de bestemming door te sturen.

Doorsturen, channelen van je innerlijke LISP.

• Laag 2 en laag 3 worden doorgestuurd op basis van het bestemmings-IP, Intra en Inter Subnet.
• Elke Leaf-switch heeft 2x doorstuurtabellen: Global Station Table -> Cache of Fabric-eindpunten, Local Station-tabel -> Hosts die rechtstreeks aan Leaf zijn gekoppeld, of buiten Leaf, 'show endpoint' in CLI.

Alomtegenwoordige SVI Gateway

• Geen HSRP of VRRP, beschikbaar op alle Leafs (waar eindpunten zich bevinden), vergelijkbaar met de gedistribueerde IP AnyCast GW in VXLAN eVPN

Beheerprotocollen en interfacebeleid voor ACI

• Cisco Discovery Protocol (CDP) - standaardbeleid is 'uit' -> gebruikt in 'interfacebeleid'
• Link Layer Discovery Protocol (LLDP) - standaardbeleid is 'ingeschakeld' -> gebruikt in 'interfacebeleid'
• Network Tim Protocol (NTP) - u kunt in-band of out-of-band NTP gebruiken, afhankelijk van het MGMT-schema dat de fabric gebruikt
• Domain Name Services (DNS) - handig en kan nodig zijn voor de omzetting van hostnaam naar IP-adres

ACI, Fabric-toegangsbeleid

VLAN-pools vertegenwoordigen verkeersblokken VLAN-ID's. Een VLAN-pool is een gedeelde bron en kan worden gebruikt door meerdere domeinen, zoals VMM-domeinen en Layer 4 tot Layer 7-services.
Elke pool heeft een allocatietype (statisch of dynamisch), gedefinieerd op het moment van creatie. Het toewijzingstype bepaalt of de identificatiegegevens erin worden gebruikt voor automatische toewijzing door de APIC (dynamisch) of expliciet worden ingesteld door de beheerder (statisch). Standaard hebben alle blokken in een VLAN-pool hetzelfde toewijzingstype als de pool, maar gebruikers kunnen het toewijzingstype voor inkapselingsblokken in dynamische pools wijzigen in statisch.

• Het naamruimtebeleid definieert ID-bereiken die worden gebruikt voor VLAN-inkapseling. Specificeert de Vlan's die door een domein mogen worden gebruikt (een soort 'toegestane lijst'). 1x Vlan-pool per domein
• 2x bewerkingsmodi: statische toewijzing - gebruikt met bare-metal servers, Layer 2 / Layer 3 handoffs voor acties zoals 'statische padbindingen', dynamische toewijzing - APIC haalt dynamisch een Vlan uit de pool (bekend met VMM-implementaties)

De ACI-fabric kan automatisch VLAN-ID's uit VLAN-pools toewijzen. Het bespaart enorm veel tijd in vergelijking met het afkappen van VLAN's in een traditioneel datacenter.

De domeinen - Fabric Access-beleid

Domeinen fungeren als lijm tussen de configuratie op het fabric-tabblad van het beleidsmodel en de configuratie van de eindpuntgroep in het tenantvenster. De fabric-operator maakt de domeinen en de tenant-beheerders koppelen domeinen aan eindpuntgroepen.

• Ze worden genoemd  domeinen, omdat 'hoe' apparaten / elementen verbinding maken met de stof.
• fysiek - gebruikt voor Bare-Metal hosts / servers.
• Extern overbrugd - wordt gebruikt voor externe Layer 2-verbindingen naar een extern geschakeld netwerk
• Extern gerouteerd - wordt gebruikt om verbinding te maken met een extern Layer 3-apparaat voor routering in / uit de fabric.
• VMM - gebruikt om verbinding te maken met een hypervisor-gecontroleerde omgeving zoals vCenter, OpenStack, of MS SCVMM

Attachable Access Entity Profile (AAEP) of (AEP)

Een Attachable Entity Profile (AEP) vertegenwoordigt een groep externe entiteiten met vergelijkbare vereisten voor het infrastructuurbeleid. Het infrastructuurbeleid bestaat uit fysiek interfacebeleid dat verschillende protocolopties configureert, zoals Cisco Discovery Protocol (CDP), Link Layer DiscoveryProtocol (LLDP) of Link Aggregation Control Protocol (LACP).
Een AEP is vereist om VLAN-pools op leaf-switches te implementeren. Encapsulation-blokken (en bijbehorende VLAN's) zijn herbruikbaar voor alle leaf-switches. Een AEP biedt impliciet de reikwijdte van de VLAN-pool aan de fysieke infrastructuur.

• U heeft doorgaans één AEP per huurder.
• Een groep 'externe' entiteiten met een soortgelijk beleid, vereist om VLAN-pool op Leafs te implementeren, definieert het bereik, maar levert NIET
• Brengt de interfaces en VLAN's samen, zodat de APIC weet waar VLAN's moeten worden geïmplementeerd (dwz wat Leaf schakelt om ook VLAN's te pushen)
• AAEP's bevatten domeinen en zijn
• gehouden door Interface Policy Groups

ACI-eindpuntgroepen (EPG's)

Endpoint Groups (EPG's) worden gebruikt om logische groepen te maken van hosts of servers die vergelijkbare functies uitvoeren binnen de fabric en die een vergelijkbaar beleid delen. Elke gemaakte eindpuntgroep kan een uniek monitoringbeleid of QoS-beleid hebben en zijn gekoppeld aan een bridge-domein.

• EPG's zijn groepen applicaties en / of entiteiten die onafhankelijk zijn van de netwerkformule (dwz VLAN's, IP's, enz ...)
• Normaal gesproken vergelijkbaar van aard (bijv. Web, database, applicatieservers)
• Groep eindpunten die een vergelijkbaar beleid vereisen: externe netwerken, groepen servers / applicaties, netwerkdiensten, opslagapparaten
• Soorten EPG's zijn onder meer: ​​Applicatie-EPG, Laag 2 Externe EPG, Laag 3 Externe EPG, Beheer EPG (Mgmt, OOB en Inkomend)

• EPG's zijn flexibel en uitbreidbaar
• EPG's zijn het beleidshandhavingspunt voor de groepsobjecten
• Het beleid wordt NIET gehandhaafd door subnet (len)
• Wijzigingen in IP-adressen hebben geen invloed op het beleid, tenzij het eindpunt is gedefinieerd door het IP-adres
• Knooppunten binnen een EPG kunnen communiceren
• Knooppunten tussen EPG's moeten een 'contract' hebben om te kunnen communiceren

Contracten - alles met elkaar verbinden

• Contracten bepalen hoe EPG's onderling communiceren, definiëren inkomende / uitgaande vergunningen en weigeringen, QoS, omleidingen en servicegrafieken
• Werken in een provider / consument-model; een EPG kan een contract opleveren dat een ander zal consumeren