ACI逻辑:
租户逻辑
接口逻辑:
1 上线
Spine设备和Leaf设备按照拓扑连接加电后拓扑和配置自动生产,无需人工干预,实现自动化上线(LLDP发现)
控制器APIC封装在cisco自有的C系列服务器里,APIC接入到任意Leaf即可,三台APIC服务器尽量分别接入不同的leaf并双链路上行。
然后就是初始化APIC了。
2 初始化APIC
这部分配置内容
1. 配置APIC基础配置:设备名、ID、管理地址、登录用户名密码等
2. 配置TEP地址池(每设备一个,建立VXLAN隧道用)
3. Infra network的vlan id(infra是APIC与网络设备互通的网络,相当于带内管理)
4. 配置BD组播地址池(ACI内组播通信代替广播,抑制泛洪)
3 基础配置(登录APIC)
3.1 查看Fabric
在Fabric界面可以查看注册的Spine和Leaf节点(Node)详细信息。
3.2 设备带外管理(mgmt)
APIC默认带有租户 mgmt,在租户mgmt里配置设备带外管理
Tenants/Tenant mgmt/Node Management Addresses/Static Node Management Addresses,创建Node的带外管理地址。
3.3 配置Leaf接入接口
进入fabric里的access policies配置leaf接入端口的属性
逻辑如下:
先配置interface polices,进入interface polices界面
1. 配置interface polices,如speed,cdp,lldp,lacp等物理属性
2. 配置interface policy group,关联interface polices,将各个物理属性组合
3. 配置interface profiles,关联物理接口,再关联interface policy group,相当于这个profile就是关联的物理接口的配置,此时还没有应用到具体的交换机。一个profile内容有多个接口,每个接口关联一个policy group,不同接口的policy group可以相同
然后配置switch polices,进入interface polices界面
4. 配置switch profiles,关联具体的leaf节点,关联interface profiles,选择相当于当前leaf的接口的配置就是profile的内容
配置pools
5. 创建vlan pool,这些vlan是业务使用的vlan
配置physical and External Domain
6. Domain关联VLAN pool
配置Gobal polices里的AEP(Attachable Access Entity Profiles)
7. 创建AEP,关联Domain,可以关联多个domain,再关联policy group。或者在创建policy group时或创建domain时顺带创建并关联AEP,AEP的作用相当于传统网络里的接口trunk allow 哪些vlan。
3.4 配置cisco vPC
ACI里是增强vPC,不需要心跳线
创建interface polices里创建policy group时选择Creat VPC Interface Policy Group,其他步骤一样。
3.5 fabric全局配置
fabric/fabric polices
3.6 总结:接口逻辑关系
4 新建租户流程
4.1 ACI业务术语
1. Tenant:租户
2. VRF:虚拟网络
3. BD:Bridge Domain,二层广播域
4. EPG:End-Point Group,具有相同属性/策略的一组终端,比如一个VLAN
5. EP:End-Point,终端(物理服务器或者虚拟服务器)
6. L3Out:ACI网络的出口
7. Contract/Filter:ACI网络的安全策略,通常用于EPG之间的访问控制,EPG到L3Out的访问控制
4.2 创建tenant/VRF/DB/Subnet
进入Tenants,Add Tenant
1. 创建租户Tenant
2. 在租户networking里创建VRF(tenant xxx/Networking/VRF),一个L3私有网络
3. 在租户networking里创建BD(Brige Domain),BD是一个二层域,BD要关联一个VRF
4. 在BD里创建Subnet,这是该二层域的ip地址,可以有多个subnet,同属一个BD
4.3 创建AP/EPG,并关联接口
1. 创建AP(Application Profiles),在AP下创建EPG
2. 创建EPG,关联Domain,关联BD,
3. EPG关联端口,可以在Static Ports里静态关联到物理接口(AP/EPG/Static Port)部署static port,选择leaf与接口,配置封装的vlan
4.4 创建contract并应用
在tenant/contract里创建contract(合约),contract策略是单向的,分为provider(提供者)与consumer(消费者)。
EPG_A访问EPG_B,可以由EPG_B提供合约访问,用contract连接EPG_A与EPG_B。
到此,VPC内部配置完毕。
如图:EPG关联接口或虚机,EPG之间互访需要通过contract,EPG关联的服务器或虚机配置关联BD下的subnet地址。
4.5 特殊租户(系统自带)
4.5.1 Common
common租户是一个可以访问所有租户的租户,租户之间互访,部署FW/LB以及其他L4-L7的服务设备,可以放在common租户。
4.5.2 Infra
Infra是ACI网络内部,用于overlay vxlan基础配置
4.5.3 Mgmt
带内带外管理网络配置
5 租户OUT网络
5.1 L2 OUT
ACI内部二层网络扩展到ACI外部。两种方法实现:
第一种是EPG级别,如果某个EPG网络需要扩展到ACI外部网络,可以手动配置一个端口到一个VLAN,然后映射到一个EPG上。
第二种是External Bridge Network,创建一个额外的用于二层连接的外部EPG,ACI内部需要二层连接到外部的EPG通过contract连接外部EPG实现二层连接到外部网络。(这种方式创建的ACI内部vlan与ACI外部VLAN可以不同)
External Bridge Network方式:在tenant/network/External Bridge Network,
1. 添加一个L2 domain,关联vlan pool,AEP,domain
2. 添加具体的leaf节点端口;
3. 创建L2EPG
4. 创建contract,contract连接需要L2访问外部的EPG
5.2 L3OUT
ACI内部网络与外部网络路由连接,通过Border Leaf连接。
支持BGP,OSPF,Static
1. 创建L3OUT。在tenant/network/External Routed Network,创建routed outside,绑定VRF/BD,内容可以选择路由协议,可选OSPF/BGP/EIGRP,
2. 选择节点。在logical node profile创建node profile,选择具体的border leaf,配置route id,这里可以添加静态路由。
3. 选择节点的物理接口。在logical node profile下的logical interface profile创建interface profile,这里可以选择路由接口/路由子接口/vlan子接口,绑定具体物理接口,配置接口IP,双Border创建IP时同时选择创建VIP
建议每租户一个L3out。
6 回到最前面看那张图。