Upload
others
View
111
Download
1
Embed Size (px)
Citation preview
OnlineJune 17, 2020
Виктор ПодкорытовCisco SE17 июня 2020
Online
Еще раз о Cisco ACI:безопасное ядро сети ЦОД ACIСеть…
Там где она необходима Бизнесу!
© 2018 Cisco and/or its affiliates. All rights reserved.
Модули
Почему ACI, Почему Сейчас?
Обзор ACI
Cisco ACI 5.0
Endpoint Security Group
Миграция в Application Centric модель
© 2018 Cisco and/or its affiliates. All rights reserved.
Модули
Почему ACI, Почему Сейчас?
Обзор ACI
Cisco ACI 5.0
Endpoint Security Group
Миграция в Application Centric модель
ІТ в любом месте, там где этонужно вашему бизнесу
Местонахождение ИТ должно быть деловым решением,не ограничение технологии
ІТ должно быть в том месте,где это нужно вашему бизнесу
Инфраструктура Приложения Безопасность
ACISD-WAN
WOM
VM
HypervisorContainer
CloudCenter Tetration
© 2018 Cisco and/or its affiliates. All rights reserved.
Cisco Intent-Based Networking
Настало время модернизировать и развить сеть
Campus Data CenterWAN
ACI
© 2018 Cisco and/or its affiliates. All rights reserved.
Модули
Почему ACI, Почему Сейчас?
Обзор ACI
Cisco ACI 5.0
Endpoint Security Group
Миграция в Application Centric модель
Проактивнаэксплуатация
Защититесвой бизнес
Мульти Облачный
ACIAny SizeAnywhereAny Form
Cisco ACI
Любая скорость(100M/1/10/25/40/50/100/400G)
Работает на Nexus 9000
9
Проактивно Безопасно
Гибко
Единое окно управления сетью• Физической• Виртуальной• Контейнерной• Облачной100M/1/10/25/40/100/400Gунифицированные порты, 16/32G
• Автоматизация сокращает время предоставления
• Быстрое восстановление и устранение неполадок
• Уверенность, аналитика и телеметрия везде
• Целостная политика в любом месте
• Шифрование на скорости канала
• Интеграция сервисов L4-L7
Что такое Intent (Намерение)
ACI: Единая Сеть, любое местоположение
Containers
* *
ACI
Виртуальные сети Физические комутатори
100M/1/10/25/40/50/100/400G
Cloud
ACI Anywhere – Простота расширенияСамое простое решение взаимосвязи ЦОД на рынке
ACI 2.0 ACI 3.0 ACI 3.1 ACI 4.0 ACI 4.1 and 4.2
ACIMulti-POD
ACIMultisite
ACIRemote Leaf
VirtualACI
CloudACI
on the planet!
Любой гипервизор. Любая контейнер. Любое местонахождения.
ACI 5.0
Transit Gateway Up to 50Gbit/s bw VPC
ЦОДACI Single Site
Множество ЦОДACI MultiSite
Co-Lo / Branch / BrownfieldACI Single Site - Remote Leaf/vPod
Множество ОблаковACI MultiSite - Cloud ACI
Гибридные ОблакаACI MultiSite - Cloud ACI + ACI On-prem
Метро-ЦОДACI Single Site - Multipod
#onenetworkACI Anywhere
Intent - Based Networking
Site2Site1 L3 IP VXLAN
Сетевой ПрофильСервиса
Опорная сеть отделена от
Сетей заказчика
APIC Контроллер
LEAF
SPINE
APIC GUIApp/EPG/InfraHEALTH SCORE
Easy troubleshooting
NX-OS-подобный CLI
ANSIBLELibraryПлагин для vCenter
Physical Networking
Nexus 2K
Nexus 7K
Hypervisors and Virtual Networking
Compute L4–L7Services
Storage Multi DC WAN and Cloud
Integrated WAN Edge
ACI: Целостная, автоматизированная и простая Сеть
Nexus 9000
СервераPhysical &
Virtual
ACIДелает Сеть Проще!
ACI Multipod
Other Rooms/DCsActive-Active DCs Pod N
VMVMVM VMVMVMVM
Any Routed Network (IPN)
Multicast on IPN needed& Jumbo Frames (<=1550)
<= 50 ms RTT RequiredUp to 12 Pods, distributed gateway
Single central management (APIC)Automated L2 DCI VXLAN extension
VMVMVM VMVMVMVM
Pod 1 Pod 2
VMVMVM VMVMVMVM
ACI Multi-Site
Other Rooms/DCs
Site N
VMVMVM VMVMVMVM
Any Routed Network
No MulticastPhased Changes (Zones)
<= 1s RTT Required (MSO à APIC)Up to 12 Sites, distributed gateway
Single central management (MSO)Automated L2 DCI VXLAN extension
VMVMVM VMVMVMVM
Site1 Site 2
VMVMVM VMVMVMVM
Multi-Site Orchestrator (MSO)
3 VM Cluster
ACI Multi-SiteТребование к Оборудованию и ПО
• Поддерживаются все ACI LEAF
• Модульные SPINE с EX/FX картами
• Фиксированные SPINE 9364c или 9332x
• 1-е поколение SPINE (9336PQ)
1st Gen -EX -EX
Can have only a subset of spines connecting to
the IP network
1st Gen
Any Routed Network
ACI Remote Leaf
Satellite DC
Brownfield
Remote Location A
VM
VMVMVM VMVMVMVM
Any Routed IP Network
Telco/Co-lo
VMVMVM VMVMVMVM
Remote Location B
VMVMVM VMVMVMVM
Remote Location C
VMVMVM VMVMVMVM
Zero Touch Auto Discovery of Remote Leaf
<= 300 ms RTT RequiredUp to 20 Remote Locations
Single central managementAutomated L2 VXLAN extension
RL
RL
RL
Pod 1
ACI Remote LeafСеть удаленной серверной за 2 минуты
Zero Touch Auto Discovery of Remote Leaf
<= 300 ms RTT RequiredUp to 20 Remote Locations
Single central managementAutomated L2 VXLAN extension
1/52OSPF Area 0
IPN
Data Center 1 (ACI Pod 1) Data Center 2
(ACI Pod 2)
Nexus 9000(DC Network)
Nexus 9000(DC Network)
WAN
Nexus 9000(Remote Leaf Network)
172.16.12.1/24
ACI(Central Network Control
Plane)
IPN
VXLANL2 Extension
DHCP Request
DHCP Offer
Local Router
IP Network
ACI: Конфиденциальность -Криптование на лету!
Внутри сайта
MACSEC between Spines and Leaves
BRKDCN-1850
20
Множество Сайтов
CloudSec между Spinesи/или Remote Leaves
Облака
IPSec между Публичным и Гибридным
Проблематика ЭксплуатацияиНайти ГДЕ проблема!
App Owners/Team(SysAdmin/DBA/Dev)
Network Admins(Virtual/Physical/ Container/Cloud)
Compute Admins(Windows/Linux/
Bare-metal/Virtual)
Storage Admins (Converged/ Hyperconverged
SAN/NAS/iSCSI)
Cloud Architects(incl. network, compute &
storage)
- $ 5600/minute of downtime
ACI: Контрольные точки немедленного восстановления Checkpoints and Rollbacks
Сколько времени вам понадобится для устранения неполадок и восстановления этой сложной сетевой среды
без ACI?
23
Multicloud Applications & Infra
Multicloud Networking Multi-Platform Compute & HX
Continuously Optimizedand Right-Sized Ops
Cisco WOM
Видеть Все! Везде!
Multicloud Applications & Infra
Multicloud Networking Multi-Platform Compute & HX
INTEGRATION
Видеть Все! Везде!
А что если использовать AI/ML для предотвращения проблемы?
26BRKDCN-1850
App Owners/Team(SysAdmin/DBA/Dev)
Network Admins(Virtual/Physical/ Container/Cloud)
Compute Admins(Windows/Linux/
Bare-metal/Virtual)
Storage Admins (Converged/ Hyperconverged
SAN/NAS/iSCSI)
Cloud Architects(incl. network, compute &
storage)
- $ 5600/minute of downtime
IOT Edge
Data Center
ЕдинаяСеть
On Premises Cloud
Containers
Hypervisor
Insights Resources
Insights Advisory
Network Assurance
ПредсказуемостьВидеть Все! Быстрое восстановление
ACI Premier
Co-Lo
От Реактивного к ПРОАКТИВНОМУ…… везде CASE
Extend anywhereS
M
M
L
Single Management Point Any Scale
Single Fabric(incl. virtual/container)
Multi-Fabric(incl. On-Prem/Cloud)
NIA NIR
SimpleAgile
Secure
MSO
Spine and Leaf Physical Networks
Explorer | Assurance
Security Platform
Telemetry | Advisory
Integrated
NAE
Tetration
Network Insights
Virtual
Physical
Intent - Based Networking
Cloud Center SD-WAN AppDynamicsL4-L7Cisco SecurityUCS CWOMDNA-C
ISE
FC SAN (MDS)
IaaS and Bare-Metal Clouds Enterprise Edge/Branch
Stores/branches
Data Center
Future: Other Public Clouds
Cisco Data Center Anywhere
Cloud Center
Intent-Based NetworkingConsistent Cross-Domain Policy
31
BRKDCN-1850
Campus
DNA Center
Data Center
ACI
WAN
SD-WAN
ISE
© 2018 Cisco and/or its affiliates. All rights reserved.
Модули
Почему ACI, Почему Сейчас?
Обзор ACI
Cisco ACI 5.0
Endpoint Security Group
Миграция в Application Centric модель
© 2020 Cisco and/or its affiliates. All rights reserved. 33
Cisco ACI 5.0 Новые Возможности
Решение для Service Provider
Усовершенствование Multicloud
Простота использования
Улучшенная безопасность
Автоматизация
Улучшено Масштабирование
© 2020 Cisco and/or its affiliates. All rights reserved. 34
ACI 5.0 Решение для SPNEW ACI 5.0
Проблематика:
Автоматизация политики в ЦОД и транспортной сети
Масштабируемость сетевых ресурсов
Решение:
• Новый 5G / Telco ЦОД с интеграцией ACI и SR-MPLS
• Оркестрация политик из ЦОД в транспортную сеть• Масштабируемый распределенный ЦОД
Видимость и масштабированиеАвтоматизировано Безопасно Защита
ИнвестицийВыгоды:
April 2020ACI 5.0
© 2020 Cisco and/or its affiliates. All rights reserved. 35
ACI Remote Leaf
ACI для SP SR-MPLS
Internet
SR/MPLS
Pre-aggregation Central office (CO)/ aggregation / headend (HE)
Regional DC Central DC Peering/Co-Lo
April 2020ACI 5.0
ACI Fabric ACI Fabric
Public cloud provider
SR-MPLSinterworking
Cisco Multi-Site Orchestrator
SR-MPLSinterworking
SR-MPLSinterworking
SR-MPLSinterworking
SR-MPLSinterworking
SR-MPLSinterworking
Mini ACI
IP/MPLS/SR IP/MPLS/SR
Построение согласованной сквозной политики в транспортных сетях ЦОД и SP
© 2020 Cisco and/or its affiliates. All rights reserved. 36
Усовершенствование Multicloud
© 2020 Cisco and/or its affiliates. All rights reserved. 37
Cloud ACI—transit GW automation (AWS) April 2020ACI 5.0
Enhanced performance
End-to-end automation of both network and policy
Network isolation
Policy segmentationBenefits:
VM VM VM
On-Premises DC – Cisco ACI Cloud
Region
Shared services VPC
AWS Transit Gateway VPC 1
VPC 2
VPC 3
Cisco Multi-Site Orchestrator
Policy orchestration
CSR
1kv
Router
© 2020 Cisco and/or its affiliates. All rights reserved. 38
Экспериментальные функции Multicloud April 2020ACI 5.0
Cloud microservices
Поддержка сетевого интерфейса Cisco ACI-Container (CNI) в
общедоступном облаке AWS с Red Hat OpenShift 4.3
Cloud ACI UI
Централизованное представление инвентаризации облачных ресурсов в AWS и
Microsoft Azure
Улучшения пользовательского интерфейса в Multi-Site Orchestrator.
Целостная видимость и политики Быстрая навигация Единое окно
© 2020 Cisco and/or its affiliates. All rights reserved. 39
Простота использования
© 2020 Cisco and/or its affiliates. All rights reserved. 40
April 2020ACI 5.0
ACI 5.0GUI
Обновление Новый мастер начальной настройки
Начальная настройка для политики SNMP / Syslog
Улучшение апгрейда Улучшенный Интерфейс Улучшена продуктивность
Обновление нескольких multi-pod параллельно
Новый индикатор состояния обновления
Новые предварительные проверки обновлений
© 2020 Cisco and/or its affiliates. All rights reserved. 41
Улучшения Безопасности
© 2020 Cisco and/or its affiliates. All rights reserved. 42
Безопасность
Role based access control
Multi-tenancy App Center
RBAC
Доступ
Двухфакторная аутентификация с Duo для
Cisco APIC, cAPIC
Изоляция коммутаторов для Теннант
Интеграция с App center
April 2020ACI 5.0
Duo authentication
Улучшен role access для теннантов
Улучшение безопасности контроллера ACI
Улучшение безопасности для приложений ACI
© 2020 Cisco and/or its affiliates. All rights reserved. 43
Автоматизация
© 2020 Cisco and/or its affiliates. All rights reserved. 44
April 2020ACI 5.0
Site 1 Site 2
Multisite Orchestrator
RP RP RP RP
L3Out L3Out
Координированная Автоматизация Фабрик
Гибкие варианты развертыванияВыгоды Multicast с Multi-site :
Anycast Rendezvous Point (RP) для ACI Multi-Site
April 2020ACI 5.0
© 2020 Cisco and/or its affiliates. All rights reserved. 45
Автоматизация в масштабе
Улучшения Dataplane
Увеличение масштаба для VMware VM Увеличенная плотность портов
Улучшение масштабирования
интеграции OpenStack
Масштабирование VMM Breakout поддержка 15 виртуальных дата-центров в интеграции
с VMware vCenter
Поддержка Breakout на коммутаторе N9K-C9336-FX2 для подключение до 136 портов
Для поддержки OpenStack 120 вычислительных узлов, на которых работают агенты OpFlex
April 2020ACI 5.0
© 2020 Cisco and/or its affiliates. All rights reserved. 46
Расширение функциональности
© 2020 Cisco and/or its affiliates. All rights reserved. 47
Улучшения инфраструктуры
For Kubernetes, поддержка HW и VMинсталляций одновременно
For Kubernetes, выставлять метрики политики для Prometheus (Day 2)
April 2020ACI 5.0
Увеличенная расширяемость с HW серверами
Расширенные возможности, видимость и политики для HW серверов Улучшенная поддержка
Микросервисные развертывания
Поддержка ACI для дополнительных платформ
ACI Neutron Plugin для HW серверов OpenStack
Поддержка ACI-CNI с OpenShift 4.3 на OpenStack и AWS
Поддержка Docker Enterprise Release 3.0
© 2020 Cisco and/or its affiliates. All rights reserved. 48
Policy Based Redirect (PBR)
Однонаправленный PBR
L1/L2 сервисные устройства
Перезапись Source MAC
Support L1/L2 devicesin cluster mode
Возможность переписать исходный MAC в политике PBR
L3Out может быть входом/выходом сервисного узла, который имеет другой участок в BD с PBR
Улучшенная масштабируемость для дополнительных сервисных
устройств
Дополнительная поддержка для устройств, которые требуют перенаправления на
основе исходного MAC
Расширение существующих возможностей однонаправленного
PBR
April 2020ACI 5.0
© 2018 Cisco and/or its affiliates. All rights reserved.
Модули
Почему ACI, Почему Сейчас?
Обзор ACI
Cisco ACI 5.0
Endpoint Security Group
Миграция в Application Centric модель
Новые возможностиESG (Endpoint Security Group)
April 2020ACI 5.0
Network Centric(название) - Application Centric(название)
51
Bridge Domain10.0.0.254/24
EPG (VLAN 10)
Группа безопасности в 1 подсети
Network Centric Application Centric
Несколько групп безопасности в 1 подсети
10.0.0.310.0.0.2
10.0.0.1
Группы безопасности в подсетях
Bridge Domain10.0.0.254/24
EPG(VLAN 11)
10.0.0.310.0.0.2
10.0.0.1
EPG(VLAN 12)
EPG(VLAN 13)
Bridge Domain10.0.0.254/2420.0.0.254/24
EPG(VLAN 11)
20.0.0.110.0.0.2
10.0.0.1
EPG(VLAN 12)
BD10.0.0.254/24
EPG(11)
20.0.0.110.0.0.2
10.0.0.1
BD20.0.0.254/24
EPG(VLAN 20)
Группы безопасностимежду бридж доменами
ESG ESG
== 5.0 ==Endpoint Security Group
(ESG)
Совместное использование
широковещательного домена вызывает еще
одну проблему безопасности
Что если нескольким подсетям необходимо
использовать одни и те же правила
безопасности?
Нужна более детальная группа
безопасности
EPG(12)
Гибкая группировка безопасности
Что такое ESG (Endpoint Security Group)?
• ESG - это группа безопасности между BD (EPG была для VLAN, но в пределах одного BD)• Сконфигурируйте «EP Selector», чтобы классифицировать конечные точки в каждом ESG
• в ACI 5.0, только селектор IP• EPG становится просто компонентом привязки «VLAN-порт».
ESG webVRF – VRF A
EP SelectorsIP == 192.168.1.11IP == 192.168.2.11
ESG appVRF – VRF A
EP SelectorsIP == 192.168.3.11IP == 192.168.4.11
Что такое ESG (Endpoint Security Group)?
ESG appESG web
BD 1192.168.1.254/24
192.168.1.11
VRF A
EPG 1(VLAN 2011)
BD 2192.168.2.254/24
BD 3192.168.3.254/24
BD 4192.168.4.254/24
192.168.2.11
EPG 2(VLAN 2021)
192.168.3.11
EPG 3(VLAN 2031)
192.168.4.11
EPG 4(VLAN 2041)
• ESG - это группа безопасности между BD (EPG была для VLAN, но в пределах одного BD)• Сконфигурируйте «EP Selector», чтобы классифицировать конечные точки в каждом ESG
• в ACI 5.0, только селектор IP• EPG становится просто компонентом привязки «VLAN-порт».
Основные преимущества ESG== Requirement ==
Web VMs can talk to App VMs via port X
EPG 1 EPG 3
EPG 2 EPG 4
EPG1 à EPG3
EPG1 à EPG4
EPG2 à EPG3
EPG2 à EPG4
== With EPG ==6 Contract Rules (Zoning Rules)
※ 12 rules for bi-directional
BD 1192.168.1.254/24
Web VM 1
VRF A
EPG 1(VLAN 2011)
BD 2192.168.2.254/24
BD 3192.168.3.254/24
BD 4192.168.4.254/24
Web VM 2
EPG 2(VLAN 2021)
App VM 1
EPG 3(VLAN 2031)
App VM 2
EPG 4(VLAN 2041)
Protocol X
PermitAll
PermitAll’
EPG1 à EPG2Permit All Protocol X
EPG3 à EPG4Permit All’
ESG appESG web
Основные преимущества ESG== With ESG ==
1 Contract Rule (Zoning Rule)
ESG web à ESG app
ESG web ESG app
※ 2 rules for bi-directional
Simple & Optimized
== Requirement ==Web VMs can talk to App VMs via port X
BD 1192.168.1.254/24
Web VM 1
VRF A
EPG 1(VLAN 2011)
BD 2192.168.2.254/24
BD 3192.168.3.254/24
BD 4192.168.4.254/24
Web VM 2
EPG 2(VLAN 2021)
App VM 1
EPG 3(VLAN 2031)
App VM 2
EPG 4(VLAN 2041)
Protocol X
Protocol X
ESG Sales
Пример (с L3Out)
ESG IT
BD 1
IT
VRF A
BD 2
EPG 1 EPG 2
ITIT IT
BD 3
EPG 3
Sales Sales
L3Out
L3Out EPG
ESG Sales
ESG ITL3OutEPG
EPG 1
EPG 2
EPG 3
L3OutEPG
NOTE:Contracts between ESG and L3Out are supported.Contracts between ESG and EPG are not supported.
Permit-All
ESG Shared Service(VRF route leaking)
NewShared Service
BD 1192.168.1.254/24ü Shared between VRFs
VRF A
EPG 1-1192.168.1.254/24ü Shared between VRFs
BD 2192.168.2.254/24ü Shared between VRFs
EPG 2-1
Provider Consumer
VRF B
BD 1192.168.1.254/24
VRF A192.168.1.0/24 leak to VRF B
EPG 1-1
BD 2192.168.2.254/24
EPG 2-1
Provider Consumer
VRF B192.168.2.0/24 leak to VRF A
ESG 1 ESG 2
EPG Shared ServiceSemi-automatic via Contract
ESG Shared ServiceDecouple route-leaking & contract
※ EPG shared service still needs the old way. The new method does not work for EPG. See the later section for details.
(BD1 subnet is optional)
See the later section for details and under the hood
ESG Shared L3Out(VRF route leaking)
Shared L3Out (provider/consumer)
BD 1192.168.1.254/24ü Advertise Externallyü Shared between VRFs
VRF A
EPG 1-1
L3Out OSPF
EPG 110.0.0.0/8ü External Subnets for
External EPGü Shared Security Importü Shared Route Control
Consumer Provider
VRF B
BD 1192.168.1.254/24
VRF A192.168.1.0/24 leak to VRF Bü Allow L3Out Advertisement
EPG 1-1
L3Out OSPF
EPG 110.0.0.0/8ü External Subnets for
External EPGü Shared Security Import
Consumer Provider
VRF B10.0.0.0/8 leak to VRF A
ESG 1
EPG Shared L3OutSemi-automatic via Contract
ESG Shared L3OutDecouple route-leaking & contract
New
※ The old way (EPG) still works for EPG
Other contracts in ESG
ESG Contracts SupportSupported Not Supported
• Contracts between:○ ESG ⇔ ESG○ ESG ⇔ L3Out EPG○ ESG ⇔ inband-EPG○ ESG ⇔ vzAny○ ESG ⇔ service-EPG (internally created shadow EPG)○ ESG ⇔ Cloud EPG
• Preferred Group• Intra ESG Contract• Contract Inheritance • …
• Contracts between:○ ESG ⇔ EPG○ ESG ⇔ uSeg EPG
• Taboo Contracts
ESG and vzAnyvzAny represents everything in the given VRF
Ø This includes ESG as wellØ No configuration changes
ESG 1
BD 1192.168.1.254/24
192.168.1.11
VRF A
EPG 1-1(VLAN 2011)
BD 2192.168.2.254/24
BD 3192.168.3.254/24
BD 4192.168.4.254/24
192.168.2.11
EPG 2-1(VLAN 2021)
192.168.3.11
EPG 3-1(VLAN 2031)
192.168.4.11
EPG 4-1vzAny
EPG 4-1(VLAN 2041)
This means
192.168.1.11 (ESG1)192.168.2.11 (ESG1)192.168.3.11 (EPG3-1)
192.168.4.11 (EGP4-1)
Even though contracts between ESG and EPG are not allowed, vzAny contracts can allow traffic between ESG and EPG by representing all EPGs and ESGs in the VRF.Note:
This doesn’t mean ESG 1 and EPG3-1 belong to the same group and can communicate.
ESG and vzAny (cont.)It is supported for vzAny to provide and consume a permit-all contract.This allows any endpoints in the VRF to talk regardless of ESG or EPG.
(nothing new. It has been doing this for EPGs)
ESG 1
BD 1192.168.1.254/24
192.168.1.11
VRF A
EPG 1-1(VLAN 2011)
BD 2192.168.2.254/24
BD 3192.168.3.254/24
BD 4192.168.4.254/24
192.168.2.11
EPG 2-1(VLAN 2021)
192.168.3.11
EPG 3-1(VLAN 2031)
192.168.4.11
vzAnyvzAny
EPG 4-1(VLAN 2041)
This means
192.168.1.11 (ESG1)192.168.2.11 (ESG1)192.168.3.11 (EGP3-1)192.168.4.11 (EPG4-1)
192.168.1.11 (ESG1)192.168.2.11 (ESG1)192.168.3.11 (EGP3-1)192.168.4.11 (EPG4-1)
This configuration has been used typically for two scenarios.• To allow all communication without using VRF “Unenforced” mode• To apply a service graph PBR rule for all traffic within the VRF (See the slide “Service EPG
Implementation Change for ESG“)
permit-all
ESG and Preferred Group
ESG 1
BD 1192.168.1.254/24
192.168.1.11
VRF A
EPG 1-1(VLAN 2011)
BD 2192.168.2.254/24
BD 3192.168.3.254/24
BD 4192.168.4.254/24
192.168.2.11
EPG 2-1(VLAN 2021)
192.168.3.11
EPG 3-1(VLAN 2031)
192.168.4.11
EPG 4-1(VLAN 2041)
Any endpoints in the preferred group can communicate each other freelyØ Both EPG and ESG can be included in the preferred group togetherØ One Preferred Group per VRF across EPG/ESG
“Included” in the Preferred Group
• ESG 1 and EPG 3-1 can communicate each other because
1. Both are included in the preferred group
• ESG 1 and EPG 4-1 cannot communicate each other because
1. EPG 4-1 is not included in the preferred group
2. Contracts between EPG and ESG are not supported.
Basically the same as EPG Service Graph
ESG L4-L7 Service Graph
Note:In 5.0, Service Graph within a VRF (intra-VRF) is supported for ESG.Service Graph across VRFs (inter-VRF) for ESG will be supported in future.
ESG 2b
ESG Service Graph PBR Example
ESG 1b
BD 1192.168.1.254/24
192.168.1.12
VRF A
EPG 1-2(VLAN 2012)
BD 2192.168.2.254/24
BD SG_OUT192.168.48.254/24
BD SG_IN192.168.49.254/24
192.168.49.3
EPG 2-2(VLAN 2022)
Service EPG(VLAN 2048)
Service EPG(VLAN 2049)
192.168.48.3192.168.2.12
GW is BD 2GW is BD 1
consumer provider
Service Graph with PBRCons -> Prov = redirect to 192.168.48.3Prov -> Cons = redirect to 192.168.49.3
Example with Service Graph Template
Note:Omitting the L4-L7 Device definition etc. because it’s exactly the same as EPG
Select ESG.Everything else is the same.
1. Select ESGs and a contract
Планы развития ESGПоддерживаемые сегодня:• IP (both host and subnet range for endpoints. Not for external IP behind L3Out)
Роадмап:• (BD, MAC) pair• (Port, VLAN) pair
Ø The same as EPG = mainly for physical domain• VM attributes, domain• Label/Tag
Развитие:• (*, MAC) as in MAC in any BD.• (*, VLAN) as in VLAN on any interface• (Port, *) as in interface with any VLAN• Regular Expression (ex. IP & VM attribute, Subnet A except for IP X)
Итоги ESG:
В ACI 5.0 выходит первая итерация.
Единственным классификатором является «IP». Мы собираемся добавить все остальные классификаторы: MAC, BD / VLAN, метки VM в следующем выпуске.
Мы призываем всех взглянуть на это важное усовершенствование J
© 2018 Cisco and/or its affiliates. All rights reserved.
Модули
Почему ACI, Почему Сейчас?
Обзор ACI
Cisco ACI 5.0
Endpoint Security Group
Миграция в Application Centric модель
Варианты Дизайна Tenant
Доступные варианты:
Bridge Domain
Tenant: commonVRF: vrf-01
Application Profile:
EPG
Bridge Domain
Tenant: commonVRF: vrf-01
Application Profile:
EPG
Tenant: Production
Tenant: commonVRF: vrf-01
Application Profile:
EPG
Bridge Domain
Tenant: Production
Bridge Domain
Tenant: ProductionVRF: vrf-01
Application Profile:
EPG
Обычно используется, когда RBAC не является строгим требованием, и
одна команда владеет всей конфигурацией
VRF и подсети - все в Common Tenant - это
означает, что любой Tenantможет использовать любую
подсеть.
VRF доступны для всех Tenant, однако подсети относятся
к конкретному Tenant.
VRF и подсети выделены для
отдельного Tenant -обычно это связано с правилами RBAC для доступа к APIC
от нескольких групп
Application Centric или Network Centric….?
• Режим Network Centric(название) или Application Centric(название) - это просто термины, описывающие, как называется конфигурация сети ACI, например, VLAN с именем «VLAN-10» или VLAN с именем «Web».
• Конфигурация сети, названная в честь сетевых объектов (подсетей / VLAN), является традиционным способом настройки сети.
• Конфигурация сети, названная в честь приложений, запущенных в сети, обеспечивает улучшенную видимость приложений, упрощает поиск неисправностей и упрощает аудит
• Приложение может представлять собой фактическое приложение, такое как «онлайн-банкинг», или оно может представлять собой услугу инфраструктуры, такую как «инфраструктура ESX».
• Обычно заказачики используют режим Network Centric(название) для описания традиционных VLAN и подсетей, а режим Application Centric mode(название) для описания приложений в сети.
• Оба режима наименования могут использоваться одновременно
Что подразумевается под режимом Network Centric и Application Centric …?
Вариант 1: Единственная EPG в одном BD с одной подсетью = «Традиционная сеть»
vDSPortgoup:
ACI:MyApp:WebPortgoup:
ACI:MyApp:App
Application Profile: MyApp
EPG: WebvDS: ACI-vds-01VLAN: dynamic
EPG: AppvDS: ACI-vds-01VLAN: dynamic
EPG: DBPath: 101/1/1-2
VLAN: 12
BD: 192.168.10.x_24GW:192.168.10.1/24
Advertise Externally: Yes
BD: 192.168.11.x_24GW:192.168.11.1/24
Advertise Externally: Yes
BD: 192.168.12.x_24GW:192.168.12.1/24
Advertise Externally: Yes
Tenant: CommonVRF: vrf-01
VM VM VM VM VM VM
Tenant: ACI
Note: Tenant Design Option 2
Tenant: ACI
Вариант 2: Множество EPG в Единственном BD с одной подсетью и микро-сегментацией (µSeg) в IP space
vDSPortgoup:
ACI:MyApp:WebPortgoup:
ACI:MyApp:App
Application Profile: MyApp
EPG: WebvDS: ACI-vds-01VLAN: dynamic
EPG: AppvDS: ACI-vds-01VLAN: dynamic
EPG: DBPath: 101/1/1-2
VLAN: 12
BD: 192.168.10.x_24GW:192.168.10.1/24
Advertise Externally: Yes
Tenant: CommonVRF: vrf-01
VM VM VM VM VM VM
Note: Tenant Design Option 2
Tenant: ACI
Вариант 3: Несколько EPG в Единственном BD с Множеством подсетей (secondary IP)
Servers in either 192.168.10.x or 192.168.11.x subnets
Servers in either 192.168.10.x or 192.168.11.x subnets
vDSPortgoup:
ACI:MyApp:WebPortgoup:
ACI:MyApp:App
Application Profile: MyApp
EPG: WebvDS: ACI-vds-01VLAN: dynamic
EPG: AppvDS: ACI-vds-01VLAN: dynamic
EPG: DBPath: 101/1/1-2
VLAN: 12
BD: multiple_subnetsGW:192.168.10.1/24GW:192.168.11.1/24
Advertise Externally: Yes
Tenant: CommonVRF: vrf-01
VM VM VM VM VM VM
Note: Tenant Design Option 2
Варианты Миграции
Внутри Tenant Network Centric(название) -> Application Centric(название)
Tenant: ClassicVRF: vrf-01
Application Profile: 192.168.10.x_24
EPG (VLAN)VLAN-10
Application Profile: Online-Banking
EPG (VLAN)Web
EPG (VLAN)App
EPG (VLAN)DB
Contract Contract
BD192.168.10.x_24
Tenant: Common
Note: Tenant Design Option 4
Tenant: CommonVRF: vrf-01
Tenant: Production
Между Tenant Network Centric(название) -> Application Centric(название)
Tenant: Classic
Application Profile: 192.168.10.x_24
EPG (VLAN)VLAN-10
Application Profile: Online-Banking
EPG (VLAN)Web
EPG (VLAN)App
EPG (VLAN)DB
Contract Contract
BD192.168.10.x_24
Note: Tenant Design Option 2
Между Tenant Network Centric(название) -> Application Centric(название)
Tenant: ClassicVRF: vrf-01
Application Profile: 192.168.10.x_24
EPG (VLAN)VLAN-10
Application Profile: Online-Banking
EPG (VLAN)Web
EPG (VLAN)App
EPG (VLAN)DB
Contract Contract
BD192.168.10.x_24
Tenant: Production
Tenant: Common
Note: Tenant Design Option 4
IOT Edge
Data Center
ONENetwork
On Premises Cloud
Containers
Hypervisor
Edge
Service-Provider
Data CenterACI Anywhere
ProactiveAgile Secure
Co-Lo
ІТ в любом месте, там где этонужно вашему бизнесу
Местонахождение ИТ должно быть деловым решением,не ограничение технологии
© 2018 Cisco and/or its affiliates. All rights reserved.
Review the content and more
Take an official Cisco ACI Training
Get Certified on ACI and CCNP DC*
DCACIAImplementing Cisco ACI Advanced
DCACIImplementing Cisco ACI
What’s next?
ACI
/CiscoDataCenterMadeEasy
600-660 DCACIAImplementing Cisco ACI Advanced
300-620 DCACI ExamImplementing Cisco ACI
* CCNP through ACI Specialization requires passing both 350-601 DCCOR +300-620 DCACI