Wir haben diesen Blog als Auffrischung oder Kurzanleitung geschrieben, basierend auf der Anzahl der Ressourcen und Veröffentlichungen aus dem Internet. Wir alle haben eine unterschiedliche Interpretation des gleichen Ziels, aber manchmal ist es gut, es mit dem zu vergleichen, was andere vielleicht denken.

Cisco ACI für Unternehmen in Rechenzentren

In der Netzwerkwelt sprechen alle oder verwenden die Application Centric Infrastructure (ACI). Beginnen wir mit einigen Fragen.

Was ist Cisco ACI?

ACI steht für Application Centric Infrastructure und ist eine Cisco SDN-Lösung für die Rechenzentrumsumgebung. Mit ACI kann ein gemeinsames richtlinienbasiertes Framework für die IT-Umgebung erstellt werden. Speziell für die Domänen Application, Networking und Security. Es ist richtlinienbasiert - eine Reihe von Richtlinien oder Regeln, die eine Vorgehensweise festlegen. Ein Beispiel wäre: Der Datenverkehr von einem Webserver zum Endhost muss durch eine Firewall geleitet werden. Versuchen Sie, wie QoS, Sicherheit und SLAs zu visualisieren

Was sind die Hauptmerkmale / Vorteile?

• Automation
• Anwendungen im Fokus
• Integrationsmöglichkeiten
• Virtualisierung
• Containernetzwerke
• Besetzung
• Public Cloud-Vernetzung

Warum ACI?

• Blatt-Wirbelsäule-Blatt-Topologie - einfach und skalierbar
• ECMP - Routing von Ethernet auf Aktiv / Aktiv-Weise
• Ost-West-Verkehrsoptimierung, Anycast-Gateway auf jedem Blatt
• Mikrosegmentierung - Gleiches Subnetz? Überhaupt kein Problem!
• Sicherheit - Standardmäßig eine White-List-Richtlinie

Was sind die ACI-Komponenten?

• Schalter -> Rollen: Blätter und Stacheln
• Nexus 9K-Modi: ACI für ACI und NX-OS für den eigenständigen Gebrauch
• Controller: APIC (Application Policy Infrastructure Controller). UCS-C Server -> verschiedene Kapazitäten für unterschiedliche Fabric-Größen. Hardware, die nicht von Cisco stammt, ist nicht zulässig. es wird nicht funktionieren.

ACI-Architektur

Bitte sehen Sie die Abbildung unten. Die goldene Regel ist das Wirbelsäulenschalter muss an alle Leaf-Schalter angeschlossen sein und umgekehrt. Wirbelsäulen sind jedoch nicht miteinander verbunden und Blätter können auch keine Verbindung herstellen. Server können nur mit Blättern und NICHT mit Stacheln verbunden werden. Wenn ein Server mit dem Spine verbunden ist, erkennt MCP (MisCabling Protocol) dies und beendet die Verbindung. LLDP (Link Layer Discovery Protocol) verbietet keine Verbindungen Spine <> Spine and Leaf <> Leaf

Wirbelsäulenblatt-Topologie

• IP-basiertes Fabric mit 40 Gbit / s und integriertem VXLAN-Overlay -> 100 Gbit / s-fähig
• Einfacher / konsistenter / skalierbarer Stoff
• Bestehend aus N9K-Geräten, 9500 Switches als Spine (mindestens 2x für Redundanz), die für die Fabric-Bandbreite verwendet werden
• Cisco 9300-Switches auf der Leaf-Ebene (ToR - Top of the Rack). Hier stellen Endgeräte, normalerweise Server und VMWare-Chassis, eine Verbindung her.

ACI - Spine and Leaf Underlay Routing

• IS-IS (Routing-Protokoll) bietet Underlay-Routing
• Im Geltungsbereich sind: IP nicht nummerierte Schnittstellen, nur (interne) L1-Verbindungen, Werbung für VTEP-Adressen, Generierung von Multicast-FTAG-Bäumen, Identifizierung und Ankündigung von Tunneln

Was ist VTEP?

Die Frame-Kapselung wird von einer Entität durchgeführt, die als VXLAN-Tunnelendpunkt (VTEP.) EIN VTEP hat zwei logische Schnittstellen: eine Aufwärtsverbindung und eine Abwärtsverbindung. Der Uplink ist für den Empfang von VXLAN-Frames verantwortlich und fungiert als Tunnelendpunkt mit einer IP-Adresse, die zum Weiterleiten von VXLAN-gekapselten Frames (von Cisco Portal) verwendet wird.

Was ist der APIC?

Application Policy Infrastructure Controller (APIC) ist die Hauptkomponente der ACI-Lösung. Es bietet Automatisierung und Verwaltung für die Cisco ACI-Struktur, die Durchsetzung von Richtlinien und die Überwachung des Zustands. Der Controller optimiert die Leistung und verwaltet und betreibt eine skalierbare Cisco ACI-Struktur mit mehreren Mandanten.

• APIC ist der Policy Controller in ACI
• Hochredundanter Cluster: In der Regel drei oder mehr APICs für Redundanz und Quorum. Sie befinden sich NICHT in der Aktiv / Standby-Konfiguration. Sie befinden sich in der Active / Active-Bereitstellung, und die Daten werden von den Knoten gemeinsam genutzt. Jeder Shard verfügt über 3x Replikate zwischen den Controllern.
• APIC hat KEINE Kontrolle oder Datenebene des Gewebes. Sobald die Netzwerkumgebung konfiguriert ist und der APIC nicht verfügbar ist, hat dies keine Auswirkungen auf die Infrastruktur. APIC ist jedoch für Verschiebungen / Hinzufügungen / Änderungen / Löschungen und alle täglichen Vorgänge erforderlich. Sie müssen also auf lange Sicht APIC haben. Ihr Netzwerk kann für kurze Zeit ohne es überleben.

ACI - Fabric Discovery

• Der APIC ist verantwortlich für: Fabric-Erkennung und -Adressierung, Image-Verwaltung, Topologie und Verkabelungsvalidierung.
• Die Fabric-Erkennung erfolgt über das LLDP (Link Layer Discovery Protocol), die ACI-spezifischen TLVs (OUI) und die APIC-Verwaltungsverbindung zur Infrastruktur-VRF

Huhn oder Ei? Wie entdecken sie sich?

ACI verwendet im Erkennungsprozess die IFM-Methode (Intra-Fabric Messaging), bei der APIC und Knoten Heartbeat-Nachrichten austauschen. Die vom APIC verwendete Technik zum Übertragen von Richtlinien auf die Fabric-Blattknoten wird als IFM-Prozess bezeichnet. In der letzten Phase wird die Ermittlung der anderen Blattknoten und APICs im Cluster verarbeitet.

• Bootstrap-API
• Leaf Switch erkennt APIC über LLDP, fordert TEP-Adresse und Boot-Datei von APIC an.
• Der Wirbelsäulenschalter findet Leaf, fordert TEP und Boot-Datei von APIC an.
• Stoff baut sich jetzt selbst zusammen
• Wenn auf dem AV (Appliance Vector) mehrere APICs erkannt werden, bilden sie einen ausfallsicheren Cluster.

Was ist Cisco ACI Tenant?

An ACI Das Mandantenobjektmodell repräsentiert das Objekt der höchsten Ebene. Im Inneren können Sie zwischen Objekten unterscheiden, die das Mandantennetzwerk definieren, z. B. private Netzwerke (VRFs), Bridge-Domänen und Subnetze. und die Objekte, die die Mandantenrichtlinien definieren, z. B. Anwendungsprofile und Endpunktgruppen.

• Mandant - eine logische Einheit für die Verwaltung
• Kann Kunden, Geschäftsbereiche oder Gruppen sein
• Ermöglicht: Separate Verwaltung und Datenflüsse, wiederverwendbarer IP-Adressraum, eindeutiger Profilraum.
• Drei Standardmandanten: Allgemein - Bietet allen Mandanten gemeinsame Dienste, Infra - wird für alle internen Fabric-Kommunikationen verwendet, Mgmt - wird für In-Band- und Out-of-Band-Verwaltungszugriffsrichtlinien verwendet.

Lassen Sie uns ACI wie Lego Bricks bauen

Kontext - eine VRF innerhalb eines Mandanten

• Mieter kann einen oder mehrere Kontexte haben, ermöglicht die Duplizierung von IP-Adressen

Bridge-Domäne - Container für Subnetze

• Hierbei handelt es sich zwangsläufig um VXLAN mit IRB-Funktionalität: Der Datenverkehr innerhalb einer BD wird überbrückt, der Datenverkehr zwischen BDs wird weitergeleitet, Subnetze sind daher irrelevant, da der Datenverkehr auf der Grundlage von ./32 Hostrouten weitergeleitet wird.
• Das Fluten auf Ebene 2 ist standardmäßig deaktiviert. Es kann innerhalb der Bridge Domain für ARP, DHCP und die Integration von CE aktiviert werden.

Wie verwalte ich den OOB-Zugriff?

Verwalten des Fabric, Cisco Nexus 9K Mgmt-Bereichs

• In-Band, über die Infra- und Management-VRFs, Konsolenports, Out-of-Band-dedizierten Management-Port (wie andere Nexus-Geräte, N5k und N7k)
• APIC Mgmt-Bereich; Fabric-Ports (2x Daten), OOB-Verwaltung, Konsolen-Ethernet, CIMC / IPMI

Wie erfolgt die ACI-Weiterleitung im Stoff?

Kurz gesagt, wenn ein Server, der mit einem Leaf-Switch verbunden ist, mit dem anderen Server an einer anderen Stelle im LAN kommunizieren möchte, sucht Leaf in seiner 'Local Station Table' nach einem VTEP (Virtual Tunnel Endpoint). Wenn es dort nicht gefunden werden kann, wird 'Global Station Table' ausprobiert. Wenn es dort aus früheren Mitteilungen nicht gefunden werden kann, wird der Wirbelsäulenschalter abgefragt. Die Wirbelsäule (n) wissen alles und sehen einen VTEP-Eintrag, um den Verkehr an das Ziel weiterzuleiten.

Weiterleiten, Kanalisieren Ihres inneren LISP.

• Schicht 2 und Schicht 3 werden basierend auf der Ziel-IP, Intra und Inter Subnet weitergeleitet.
• Jeder Leaf-Switch verfügt über zwei Weiterleitungstabellen: Globale Stationstabelle -> Cache der Fabric-Endpunkte, Lokale Stationstabelle -> Hosts, die direkt an Leaf angeschlossen sind oder außerhalb von Leaf sind, zeigen den Endpunkt in der CLI an.

Durchdringendes SVI-Gateway

• Kein HSRP oder VRRP, verfügbar auf allen Leafs (wo sich Endpunkte befinden), ähnlich dem Distributed IP AnyCast GW in VXLAN eVPN

Verwaltungsprotokolle und Schnittstellenrichtlinien für ACI

• Cisco Discovery Protocol (CDP) - Standardrichtlinie ist "Aus" -> wird in "Schnittstellenrichtlinien" verwendet.
• LLDP (Link Layer Discovery Protocol) - Standardrichtlinie ist "aktiviert" -> wird in "Schnittstellenrichtlinien" verwendet.
• Network Tim Protocol (NTP) - Sie können In-Band- oder Out-of-Band-NTP verwenden, abhängig vom MGMT-Schema, das die Fabric verwendet
• Domain Name Services (DNS) - nützlich und kann für die Auflösung von Hostnamen zu IP-Adressen erforderlich sein

ACI, Fabric-Zugriffsrichtlinien

VLAN-Pools stellen Verkehrsblock-VLAN-IDs dar. Ein VLAN-Pool ist eine gemeinsam genutzte Ressource und kann von mehreren Domänen wie VMM-Domänen und Layer 4 bis Layer 7-Diensten verwendet werden.
Jeder Pool verfügt über einen Zuordnungstyp (statisch oder dynamisch), der zum Zeitpunkt seiner Erstellung definiert wurde. Der Zuordnungstyp bestimmt, ob die darin enthaltenen Bezeichner vom APIC für die automatische Zuweisung verwendet werden (dynamisch) oder vom Administrator explizit festgelegt werden (statisch). Standardmäßig haben alle in einem VLAN-Pool enthaltenen Blöcke denselben Zuordnungstyp wie der Pool. Benutzer können jedoch den Zuordnungstyp für in dynamischen Pools enthaltene Kapselungsblöcke in statisch ändern.

• Die Namespace-Richtlinie definiert ID-Bereiche, die für die VLAN-Kapselung verwendet werden. Gibt die Vlans an, die von einer Domain verwendet werden dürfen (ähnlich einer 'erlaubten Liste'). 1x Vlan-Pool pro Domain
• 2x Betriebsmodi: Statische Zuordnung - Wird mit Bare-Metal-Servern verwendet, Layer 2 / Layer 3-Handoffs für Aktionen wie "statische Pfadbindungen", Dynamische Zuweisung - APIC zieht einen Vlan dynamisch aus dem Pool (vertraut mit VMM-Implementierungen).

Die ACI-Struktur kann automatisch VLAN-IDs aus VLAN-Pools zuweisen. Dies spart enorm viel Zeit im Vergleich zum Trunking von VLANs in einem herkömmlichen Rechenzentrum.

Die Domänen - Fabric-Zugriffsrichtlinien

Domänen fungieren als Bindeglied zwischen der auf der Registerkarte "Fabric" vorgenommenen Konfiguration und dem Richtlinienmodell und der Endpunktgruppenkonfiguration im Mandantenbereich. Der Fabric-Operator erstellt die Domänen, und die Mandantenadministratoren ordnen Domänen Endpunktgruppen zu.

• Sie heißen  Domains, weil 'wie' Geräte / Elemente mit dem Fabric verbunden sind.
• Physik - wird für Bare-Metal-Hosts / Server verwendet.
• Extern überbrückt - Wird für externe Layer 2-Verbindungen zu einem externen Switched Network verwendet
• Extern geroutet - Dient zum Anschließen an ein externes Layer 3-Gerät zum Ein- und Ausleiten in die Fabric.
• VMM - Wird verwendet, um eine Verbindung zu einer hypervisorgesteuerten Umgebung wie vCenter, OpenStack oder MS SCVMM herzustellen

Attachable Access Entity Profile (AAEP) oder (AEP)

Ein Attachable Entity Profile (AEP) repräsentiert eine Gruppe externer Entitäten mit ähnlichen Anforderungen an Infrastrukturrichtlinien. Die Infrastrukturrichtlinien bestehen aus Richtlinien für physische Schnittstellen, die verschiedene Protokolloptionen konfigurieren, z. B. CDP (Cisco Discovery Protocol), LLDP (Link Layer DiscoveryProtocol) oder LACP (Link Aggregation Control Protocol).
Ein AEP ist erforderlich, um VLAN-Pools auf Leaf-Switches bereitzustellen. Kapselungsblöcke (und zugehörige VLANs) können über Leaf-Switches hinweg wiederverwendet werden. Ein AEP stellt implizit den Umfang des VLAN-Pools für die physische Infrastruktur bereit.

• In der Regel haben Sie einen AEP pro Mandant.
• Eine Gruppe von 'externen' Entitäten mit einer ähnlichen Richtlinie. Erforderlich für die Bereitstellung des VLAN-Pools auf Leafs. Definiert den Bereich, stellt ihn jedoch NICHT bereit
• Bringt die Schnittstellen und VLANs zusammen, sodass der APIC weiß, wo VLANs bereitgestellt werden sollen (dh welche Leaf-Switches auch VLANs pushen).
• AAEP's enthalten Domains und sind
• gehalten von Interface Policy Groups

ACI-Endpunktgruppen (EPGs)

Endpunktgruppen (EPGs) werden verwendet, um logische Gruppierungen von Hosts oder Servern zu erstellen, die ähnliche Funktionen innerhalb der Fabric ausführen und ähnliche Richtlinien gemeinsam nutzen. Jede erstellte Endpunktgruppe kann eine eindeutige Überwachungsrichtlinie oder QoS-Richtlinie haben und ist einer Brückendomäne zugeordnet.

• EPGs sind Gruppen von Anwendungen und / oder Entitäten, die von der Netzwerkformel unabhängig sind (dh VLANs, IPs usw.).
• Normalerweise von ähnlicher Natur (dh Web, Datenbank, Anwendungsserver)
• Gruppe von Endpunkten, für die ähnliche Richtlinien erforderlich sind: Außerhalb von Netzwerken, Gruppen von Servern / Anwendungen, Netzwerkdienste, Speichergeräte
• Zu den Arten von EPGs gehören: Anwendungs-EPG, externer EPG der Schicht 2, externer EPG der Schicht 3, Verwaltungs-EPG (Mgmt, OOB und Inbound)

• EPGs sind flexibel und erweiterbar
• EPGs sind der Durchsetzungspunkt für Richtlinien für die Gruppenobjekte
• Die Richtlinie wird NICHT von Subnetzen durchgesetzt.
• Änderungen der IP-Adresse wirken sich nicht auf die Richtlinie aus, es sei denn, der Endpunkt wird durch die IP-Adresse definiert
• Knoten innerhalb eines EPG können kommunizieren
• Knoten zwischen EPGs müssen einen "Vertrag" haben, um kommunizieren zu können

Verträge - alle miteinander verbinden

• Verträge bestimmen, wie EPGs miteinander kommunizieren, eingehende / ausgehende Genehmigungen definieren und verweigern, QoS, Weiterleitungen und Servicediagramme
• Arbeit in einem Anbieter- / Verbrauchermodell; Ein EPG kann einen Vertrag bereitstellen, den ein anderer verbraucht