vpodkory Cisco Connect ACI v3 · ACI 2.0 ACI 3.0 ACI 3.1 ACI 4.0 ACI 4.1 and 4.2 ACI Multi-POD ACI Multisite ACI Remote Leaf Virtual ACI Cloud ACI on the planet! Любой гипервизор

OnlineJune 17, 2020

Виктор ПодкорытовCisco SE17 июня 2020

Online

Еще раз о Cisco ACI:безопасное ядро сети ЦОД ACIСеть…

Там где она необходима Бизнесу!

© 2018 Cisco and/or its affiliates. All rights reserved.

Модули

Почему ACI, Почему Сейчас?

Обзор ACI

Cisco ACI 5.0

Endpoint Security Group

Миграция в Application Centric модель


Модули


Обзор ACI

Cisco ACI 5.0



ІТ в любом месте, там где этонужно вашему бизнесу

Местонахождение ИТ должно быть деловым решением,не ограничение технологии

ІТ должно быть в том месте,где это нужно вашему бизнесу

Инфраструктура Приложения Безопасность

ACISD-WAN

WOM

VM

HypervisorContainer

CloudCenter Tetration


Cisco Intent-Based Networking

Настало время модернизировать и развить сеть

Campus Data CenterWAN

ACI


Модули


Обзор ACI

Cisco ACI 5.0



Проактивнаэксплуатация

Защититесвой бизнес

Мульти Облачный

ACIAny SizeAnywhereAny Form

Cisco ACI

Любая скорость(100M/1/10/25/40/50/100/400G)

Работает на Nexus 9000

9

Проактивно Безопасно

Гибко

Единое окно управления сетью• Физической• Виртуальной• Контейнерной• Облачной100M/1/10/25/40/100/400Gунифицированные порты, 16/32G

• Автоматизация сокращает время предоставления

• Быстрое восстановление и устранение неполадок

• Уверенность, аналитика и телеметрия везде

• Целостная политика в любом месте

• Шифрование на скорости канала

• Интеграция сервисов L4-L7

Что такое Intent (Намерение)

ACI: Единая Сеть, любое местоположение

Containers

* *

ACI

Виртуальные сети Физические комутатори

100M/1/10/25/40/50/100/400G

Cloud

ACI Anywhere – Простота расширенияСамое простое решение взаимосвязи ЦОД на рынке

ACI 2.0 ACI 3.0 ACI 3.1 ACI 4.0 ACI 4.1 and 4.2

ACIMulti-POD

ACIMultisite

ACIRemote Leaf

VirtualACI

CloudACI

on the planet!

Любой гипервизор. Любая контейнер. Любое местонахождения.

ACI 5.0

Transit Gateway Up to 50Gbit/s bw VPC

ЦОДACI Single Site

Множество ЦОДACI MultiSite

Co-Lo / Branch / BrownfieldACI Single Site - Remote Leaf/vPod

Множество ОблаковACI MultiSite - Cloud ACI

Гибридные ОблакаACI MultiSite - Cloud ACI + ACI On-prem

Метро-ЦОДACI Single Site - Multipod

#onenetworkACI Anywhere

Intent - Based Networking

Site2Site1 L3 IP VXLAN

Сетевой ПрофильСервиса

Опорная сеть отделена от

Сетей заказчика

APIC Контроллер

LEAF

SPINE

APIC GUIApp/EPG/InfraHEALTH SCORE

Easy troubleshooting

NX-OS-подобный CLI

ANSIBLELibraryПлагин для vCenter

Physical Networking

Nexus 2K

Nexus 7K

Hypervisors and Virtual Networking

Compute L4–L7Services

Storage Multi DC WAN and Cloud

Integrated WAN Edge

ACI: Целостная, автоматизированная и простая Сеть

Nexus 9000

СервераPhysical &

Virtual

ACIДелает Сеть Проще!

ACI Multipod

Other Rooms/DCsActive-Active DCs Pod N

VMVMVM VMVMVMVM

Any Routed Network (IPN)

Multicast on IPN needed& Jumbo Frames (<=1550)

<= 50 ms RTT RequiredUp to 12 Pods, distributed gateway

Single central management (APIC)Automated L2 DCI VXLAN extension

VMVMVM VMVMVMVM

Pod 1 Pod 2

VMVMVM VMVMVMVM

ACI Multi-Site

Other Rooms/DCs

Site N

VMVMVM VMVMVMVM

Any Routed Network

No MulticastPhased Changes (Zones)

<= 1s RTT Required (MSO à APIC)Up to 12 Sites, distributed gateway

Single central management (MSO)Automated L2 DCI VXLAN extension

VMVMVM VMVMVMVM

Site1 Site 2

VMVMVM VMVMVMVM

Multi-Site Orchestrator (MSO)

3 VM Cluster

ACI Multi-SiteТребование к Оборудованию и ПО

• Поддерживаются все ACI LEAF

• Модульные SPINE с EX/FX картами

• Фиксированные SPINE 9364c или 9332x

• 1-е поколение SPINE (9336PQ)

1st Gen -EX -EX

Can have only a subset of spines connecting to

the IP network

1st Gen

Any Routed Network

ACI Remote Leaf

Satellite DC

Brownfield

Remote Location A

VM

VMVMVM VMVMVMVM

Any Routed IP Network

Telco/Co-lo

VMVMVM VMVMVMVM

Remote Location B

VMVMVM VMVMVMVM

Remote Location C

VMVMVM VMVMVMVM

Zero Touch Auto Discovery of Remote Leaf

<= 300 ms RTT RequiredUp to 20 Remote Locations

Single central managementAutomated L2 VXLAN extension

RL

RL

RL

Pod 1

ACI Remote LeafСеть удаленной серверной за 2 минуты

Zero Touch Auto Discovery of Remote Leaf

<= 300 ms RTT RequiredUp to 20 Remote Locations

Single central managementAutomated L2 VXLAN extension

1/52OSPF Area 0

IPN

Data Center 1 (ACI Pod 1) Data Center 2

(ACI Pod 2)

Nexus 9000(DC Network)

Nexus 9000(DC Network)

WAN

Nexus 9000(Remote Leaf Network)

172.16.12.1/24

ACI(Central Network Control

Plane)

IPN

VXLANL2 Extension

DHCP Request

DHCP Offer

Local Router

IP Network

ACI: Конфиденциальность -Криптование на лету!

Внутри сайта

MACSEC between Spines and Leaves

BRKDCN-1850

20

Множество Сайтов

CloudSec между Spinesи/или Remote Leaves

Облака

IPSec между Публичным и Гибридным

Проблематика ЭксплуатацияиНайти ГДЕ проблема!

App Owners/Team(SysAdmin/DBA/Dev)

Network Admins(Virtual/Physical/ Container/Cloud)

Compute Admins(Windows/Linux/

Bare-metal/Virtual)

Storage Admins (Converged/ Hyperconverged

SAN/NAS/iSCSI)

Cloud Architects(incl. network, compute &

storage)

- $ 5600/minute of downtime

ACI: Контрольные точки немедленного восстановления Checkpoints and Rollbacks

Сколько времени вам понадобится для устранения неполадок и восстановления этой сложной сетевой среды

без ACI?

23

Multicloud Applications & Infra

Multicloud Networking Multi-Platform Compute & HX

Continuously Optimizedand Right-Sized Ops

Cisco WOM

Видеть Все! Везде!

Multicloud Applications & Infra

Multicloud Networking Multi-Platform Compute & HX

INTEGRATION

Видеть Все! Везде!

А что если использовать AI/ML для предотвращения проблемы?

26BRKDCN-1850

App Owners/Team(SysAdmin/DBA/Dev)

Network Admins(Virtual/Physical/ Container/Cloud)

Compute Admins(Windows/Linux/

Bare-metal/Virtual)

Storage Admins (Converged/ Hyperconverged

SAN/NAS/iSCSI)

Cloud Architects(incl. network, compute &

storage)

- $ 5600/minute of downtime

IOT Edge

Data Center

ЕдинаяСеть

On Premises Cloud

Containers

Hypervisor

Insights Resources

Insights Advisory

Network Assurance

ПредсказуемостьВидеть Все! Быстрое восстановление

ACI Premier

Co-Lo

От Реактивного к ПРОАКТИВНОМУ…… везде CASE

Extend anywhereS

M

M

L

Single Management Point Any Scale

Single Fabric(incl. virtual/container)

Multi-Fabric(incl. On-Prem/Cloud)

NIA NIR

SimpleAgile

Secure

MSO

Spine and Leaf Physical Networks

Explorer | Assurance

Security Platform

Telemetry | Advisory

Integrated

NAE

Tetration

Network Insights

Virtual

Physical

Intent - Based Networking

Cloud Center SD-WAN AppDynamicsL4-L7Cisco SecurityUCS CWOMDNA-C

ISE

FC SAN (MDS)

IaaS and Bare-Metal Clouds Enterprise Edge/Branch

Stores/branches

Data Center

Future: Other Public Clouds

Cisco Data Center Anywhere

Cloud Center

Intent-Based NetworkingConsistent Cross-Domain Policy

31

BRKDCN-1850

Campus

DNA Center

Data Center

ACI

WAN

SD-WAN

ISE


Модули


Обзор ACI

Cisco ACI 5.0



© 2020 Cisco and/or its affiliates. All rights reserved. 33

Cisco ACI 5.0 Новые Возможности

Решение для Service Provider

Усовершенствование Multicloud

Простота использования

Улучшенная безопасность

Автоматизация

Улучшено Масштабирование


ACI 5.0 Решение для SPNEW ACI 5.0

Проблематика:

Автоматизация политики в ЦОД и транспортной сети

Масштабируемость сетевых ресурсов

Решение:

• Новый 5G / Telco ЦОД с интеграцией ACI и SR-MPLS

• Оркестрация политик из ЦОД в транспортную сеть• Масштабируемый распределенный ЦОД

Видимость и масштабированиеАвтоматизировано Безопасно Защита

ИнвестицийВыгоды:

April 2020ACI 5.0


ACI Remote Leaf

ACI для SP SR-MPLS

Internet

SR/MPLS

Pre-aggregation Central office (CO)/ aggregation / headend (HE)

Regional DC Central DC Peering/Co-Lo

April 2020ACI 5.0

ACI Fabric ACI Fabric

Public cloud provider

SR-MPLSinterworking

Cisco Multi-Site Orchestrator

SR-MPLSinterworking

SR-MPLSinterworking

SR-MPLSinterworking

SR-MPLSinterworking

SR-MPLSinterworking

Mini ACI

IP/MPLS/SR IP/MPLS/SR

Построение согласованной сквозной политики в транспортных сетях ЦОД и SP


Усовершенствование Multicloud


Cloud ACI—transit GW automation (AWS) April 2020ACI 5.0

Enhanced performance

End-to-end automation of both network and policy

Network isolation

Policy segmentationBenefits:

VM VM VM

On-Premises DC – Cisco ACI Cloud

Region

Shared services VPC

AWS Transit Gateway VPC 1

VPC 2

VPC 3

Cisco Multi-Site Orchestrator

Policy orchestration

CSR

1kv

Router


Экспериментальные функции Multicloud April 2020ACI 5.0

Cloud microservices

Поддержка сетевого интерфейса Cisco ACI-Container (CNI) в

общедоступном облаке AWS с Red Hat OpenShift 4.3

Cloud ACI UI

Централизованное представление инвентаризации облачных ресурсов в AWS и

Microsoft Azure

Улучшения пользовательского интерфейса в Multi-Site Orchestrator.

Целостная видимость и политики Быстрая навигация Единое окно


Простота использования


April 2020ACI 5.0

ACI 5.0GUI

Обновление Новый мастер начальной настройки

Начальная настройка для политики SNMP / Syslog

Улучшение апгрейда Улучшенный Интерфейс Улучшена продуктивность

Обновление нескольких multi-pod параллельно

Новый индикатор состояния обновления

Новые предварительные проверки обновлений


Улучшения Безопасности


Безопасность

Role based access control

Multi-tenancy App Center

RBAC

Доступ

Двухфакторная аутентификация с Duo для

Cisco APIC, cAPIC

Изоляция коммутаторов для Теннант

Интеграция с App center

April 2020ACI 5.0

Duo authentication

Улучшен role access для теннантов

Улучшение безопасности контроллера ACI

Улучшение безопасности для приложений ACI


Автоматизация


April 2020ACI 5.0

Site 1 Site 2

Multisite Orchestrator

RP RP RP RP

L3Out L3Out

Координированная Автоматизация Фабрик

Гибкие варианты развертыванияВыгоды Multicast с Multi-site :

Anycast Rendezvous Point (RP) для ACI Multi-Site

April 2020ACI 5.0


Автоматизация в масштабе

Улучшения Dataplane

Увеличение масштаба для VMware VM Увеличенная плотность портов

Улучшение масштабирования

интеграции OpenStack

Масштабирование VMM Breakout поддержка 15 виртуальных дата-центров в интеграции

с VMware vCenter

Поддержка Breakout на коммутаторе N9K-C9336-FX2 для подключение до 136 портов

Для поддержки OpenStack 120 вычислительных узлов, на которых работают агенты OpFlex

April 2020ACI 5.0


Расширение функциональности


Улучшения инфраструктуры

For Kubernetes, поддержка HW и VMинсталляций одновременно

For Kubernetes, выставлять метрики политики для Prometheus (Day 2)

April 2020ACI 5.0

Увеличенная расширяемость с HW серверами

Расширенные возможности, видимость и политики для HW серверов Улучшенная поддержка

Микросервисные развертывания

Поддержка ACI для дополнительных платформ

ACI Neutron Plugin для HW серверов OpenStack

Поддержка ACI-CNI с OpenShift 4.3 на OpenStack и AWS

Поддержка Docker Enterprise Release 3.0


Policy Based Redirect (PBR)

Однонаправленный PBR

L1/L2 сервисные устройства

Перезапись Source MAC

Support L1/L2 devicesin cluster mode

Возможность переписать исходный MAC в политике PBR

L3Out может быть входом/выходом сервисного узла, который имеет другой участок в BD с PBR

Улучшенная масштабируемость для дополнительных сервисных

устройств

Дополнительная поддержка для устройств, которые требуют перенаправления на

основе исходного MAC

Расширение существующих возможностей однонаправленного

PBR

April 2020ACI 5.0


Модули


Обзор ACI

Cisco ACI 5.0



Новые возможностиESG (Endpoint Security Group)

April 2020ACI 5.0

Network Centric(название) - Application Centric(название)

51

Bridge Domain10.0.0.254/24

EPG (VLAN 10)

Группа безопасности в 1 подсети

Network Centric Application Centric

Несколько групп безопасности в 1 подсети

10.0.0.310.0.0.2

10.0.0.1

Группы безопасности в подсетях

Bridge Domain10.0.0.254/24

EPG(VLAN 11)

10.0.0.310.0.0.2

10.0.0.1

EPG(VLAN 12)

EPG(VLAN 13)

Bridge Domain10.0.0.254/2420.0.0.254/24

EPG(VLAN 11)

20.0.0.110.0.0.2

10.0.0.1

EPG(VLAN 12)

BD10.0.0.254/24

EPG(11)

20.0.0.110.0.0.2

10.0.0.1

BD20.0.0.254/24

EPG(VLAN 20)

Группы безопасностимежду бридж доменами

ESG ESG

== 5.0 ==Endpoint Security Group

(ESG)

Совместное использование

широковещательного домена вызывает еще

одну проблему безопасности

Что если нескольким подсетям необходимо

использовать одни и те же правила

безопасности?

Нужна более детальная группа

безопасности

EPG(12)

Гибкая группировка безопасности

Что такое ESG (Endpoint Security Group)?

• ESG - это группа безопасности между BD (EPG была для VLAN, но в пределах одного BD)• Сконфигурируйте «EP Selector», чтобы классифицировать конечные точки в каждом ESG

• в ACI 5.0, только селектор IP• EPG становится просто компонентом привязки «VLAN-порт».

ESG webVRF – VRF A

EP SelectorsIP == 192.168.1.11IP == 192.168.2.11

ESG appVRF – VRF A

EP SelectorsIP == 192.168.3.11IP == 192.168.4.11

Что такое ESG (Endpoint Security Group)?

ESG appESG web

BD 1192.168.1.254/24

192.168.1.11

VRF A

EPG 1(VLAN 2011)

BD 2192.168.2.254/24

BD 3192.168.3.254/24

BD 4192.168.4.254/24

192.168.2.11

EPG 2(VLAN 2021)

192.168.3.11

EPG 3(VLAN 2031)

192.168.4.11

EPG 4(VLAN 2041)

• ESG - это группа безопасности между BD (EPG была для VLAN, но в пределах одного BD)• Сконфигурируйте «EP Selector», чтобы классифицировать конечные точки в каждом ESG

• в ACI 5.0, только селектор IP• EPG становится просто компонентом привязки «VLAN-порт».

Основные преимущества ESG== Requirement ==

Web VMs can talk to App VMs via port X

EPG 1 EPG 3

EPG 2 EPG 4

EPG1 à EPG3

EPG1 à EPG4

EPG2 à EPG3

EPG2 à EPG4

== With EPG ==6 Contract Rules (Zoning Rules)

※ 12 rules for bi-directional

BD 1192.168.1.254/24

Web VM 1

VRF A

EPG 1(VLAN 2011)

BD 2192.168.2.254/24

BD 3192.168.3.254/24

BD 4192.168.4.254/24

Web VM 2

EPG 2(VLAN 2021)

App VM 1

EPG 3(VLAN 2031)

App VM 2

EPG 4(VLAN 2041)

Protocol X

PermitAll

PermitAll’

EPG1 à EPG2Permit All Protocol X

EPG3 à EPG4Permit All’

ESG appESG web

Основные преимущества ESG== With ESG ==

1 Contract Rule (Zoning Rule)

ESG web à ESG app

ESG web ESG app

※ 2 rules for bi-directional

Simple & Optimized

== Requirement ==Web VMs can talk to App VMs via port X

BD 1192.168.1.254/24

Web VM 1

VRF A

EPG 1(VLAN 2011)

BD 2192.168.2.254/24

BD 3192.168.3.254/24

BD 4192.168.4.254/24

Web VM 2

EPG 2(VLAN 2021)

App VM 1

EPG 3(VLAN 2031)

App VM 2

EPG 4(VLAN 2041)

Protocol X

Protocol X

ESG Sales

Пример (с L3Out)

ESG IT

BD 1

IT

VRF A

BD 2

EPG 1 EPG 2

ITIT IT

BD 3

EPG 3

Sales Sales

L3Out

L3Out EPG

ESG Sales

ESG ITL3OutEPG

EPG 1

EPG 2

EPG 3

L3OutEPG

NOTE:Contracts between ESG and L3Out are supported.Contracts between ESG and EPG are not supported.

Permit-All

ESG Shared Service(VRF route leaking)

NewShared Service

BD 1192.168.1.254/24ü Shared between VRFs

VRF A

EPG 1-1192.168.1.254/24ü Shared between VRFs

BD 2192.168.2.254/24ü Shared between VRFs

EPG 2-1

Provider Consumer

VRF B

BD 1192.168.1.254/24

VRF A192.168.1.0/24 leak to VRF B

EPG 1-1

BD 2192.168.2.254/24

EPG 2-1

Provider Consumer

VRF B192.168.2.0/24 leak to VRF A

ESG 1 ESG 2

EPG Shared ServiceSemi-automatic via Contract

ESG Shared ServiceDecouple route-leaking & contract

※ EPG shared service still needs the old way. The new method does not work for EPG. See the later section for details.

(BD1 subnet is optional)

See the later section for details and under the hood

ESG Shared L3Out(VRF route leaking)

Shared L3Out (provider/consumer)

BD 1192.168.1.254/24ü Advertise Externallyü Shared between VRFs

VRF A

EPG 1-1

L3Out OSPF

EPG 110.0.0.0/8ü External Subnets for

External EPGü Shared Security Importü Shared Route Control

Consumer Provider

VRF B

BD 1192.168.1.254/24

VRF A192.168.1.0/24 leak to VRF Bü Allow L3Out Advertisement

EPG 1-1

L3Out OSPF

EPG 110.0.0.0/8ü External Subnets for

External EPGü Shared Security Import

Consumer Provider

VRF B10.0.0.0/8 leak to VRF A

ESG 1

EPG Shared L3OutSemi-automatic via Contract

ESG Shared L3OutDecouple route-leaking & contract

New

※ The old way (EPG) still works for EPG

Other contracts in ESG

ESG Contracts SupportSupported Not Supported

• Contracts between:○ ESG ⇔ ESG○ ESG ⇔ L3Out EPG○ ESG ⇔ inband-EPG○ ESG ⇔ vzAny○ ESG ⇔ service-EPG (internally created shadow EPG)○ ESG ⇔ Cloud EPG

• Preferred Group• Intra ESG Contract• Contract Inheritance • …

• Contracts between:○ ESG ⇔ EPG○ ESG ⇔ uSeg EPG

• Taboo Contracts

ESG and vzAnyvzAny represents everything in the given VRF

Ø This includes ESG as wellØ No configuration changes

ESG 1

BD 1192.168.1.254/24

192.168.1.11

VRF A

EPG 1-1(VLAN 2011)

BD 2192.168.2.254/24

BD 3192.168.3.254/24

BD 4192.168.4.254/24

192.168.2.11

EPG 2-1(VLAN 2021)

192.168.3.11

EPG 3-1(VLAN 2031)

192.168.4.11

EPG 4-1vzAny

EPG 4-1(VLAN 2041)

This means

192.168.1.11 (ESG1)192.168.2.11 (ESG1)192.168.3.11 (EPG3-1)

192.168.4.11 (EGP4-1)

Even though contracts between ESG and EPG are not allowed, vzAny contracts can allow traffic between ESG and EPG by representing all EPGs and ESGs in the VRF.Note:

This doesn’t mean ESG 1 and EPG3-1 belong to the same group and can communicate.

ESG and vzAny (cont.)It is supported for vzAny to provide and consume a permit-all contract.This allows any endpoints in the VRF to talk regardless of ESG or EPG.

(nothing new. It has been doing this for EPGs)

ESG 1

BD 1192.168.1.254/24

192.168.1.11

VRF A

EPG 1-1(VLAN 2011)

BD 2192.168.2.254/24

BD 3192.168.3.254/24

BD 4192.168.4.254/24

192.168.2.11

EPG 2-1(VLAN 2021)

192.168.3.11

EPG 3-1(VLAN 2031)

192.168.4.11

vzAnyvzAny

EPG 4-1(VLAN 2041)

This means

192.168.1.11 (ESG1)192.168.2.11 (ESG1)192.168.3.11 (EGP3-1)192.168.4.11 (EPG4-1)

192.168.1.11 (ESG1)192.168.2.11 (ESG1)192.168.3.11 (EGP3-1)192.168.4.11 (EPG4-1)

This configuration has been used typically for two scenarios.• To allow all communication without using VRF “Unenforced” mode• To apply a service graph PBR rule for all traffic within the VRF (See the slide “Service EPG

Implementation Change for ESG“)

permit-all

ESG and Preferred Group

ESG 1

BD 1192.168.1.254/24

192.168.1.11

VRF A

EPG 1-1(VLAN 2011)

BD 2192.168.2.254/24

BD 3192.168.3.254/24

BD 4192.168.4.254/24

192.168.2.11

EPG 2-1(VLAN 2021)

192.168.3.11

EPG 3-1(VLAN 2031)

192.168.4.11

EPG 4-1(VLAN 2041)

Any endpoints in the preferred group can communicate each other freelyØ Both EPG and ESG can be included in the preferred group togetherØ One Preferred Group per VRF across EPG/ESG

“Included” in the Preferred Group

• ESG 1 and EPG 3-1 can communicate each other because

1. Both are included in the preferred group

• ESG 1 and EPG 4-1 cannot communicate each other because

1. EPG 4-1 is not included in the preferred group

2. Contracts between EPG and ESG are not supported.

Basically the same as EPG Service Graph

ESG L4-L7 Service Graph

Note:In 5.0, Service Graph within a VRF (intra-VRF) is supported for ESG.Service Graph across VRFs (inter-VRF) for ESG will be supported in future.

ESG 2b

ESG Service Graph PBR Example

ESG 1b

BD 1192.168.1.254/24

192.168.1.12

VRF A

EPG 1-2(VLAN 2012)

BD 2192.168.2.254/24

BD SG_OUT192.168.48.254/24

BD SG_IN192.168.49.254/24

192.168.49.3

EPG 2-2(VLAN 2022)

Service EPG(VLAN 2048)

Service EPG(VLAN 2049)

192.168.48.3192.168.2.12

GW is BD 2GW is BD 1

consumer provider

Service Graph with PBRCons -> Prov = redirect to 192.168.48.3Prov -> Cons = redirect to 192.168.49.3

Example with Service Graph Template

Note:Omitting the L4-L7 Device definition etc. because it’s exactly the same as EPG

Select ESG.Everything else is the same.

1. Select ESGs and a contract

Планы развития ESGПоддерживаемые сегодня:• IP (both host and subnet range for endpoints. Not for external IP behind L3Out)

Роадмап:• (BD, MAC) pair• (Port, VLAN) pair

Ø The same as EPG = mainly for physical domain• VM attributes, domain• Label/Tag

Развитие:• (*, MAC) as in MAC in any BD.• (*, VLAN) as in VLAN on any interface• (Port, *) as in interface with any VLAN• Regular Expression (ex. IP & VM attribute, Subnet A except for IP X)

Итоги ESG:

В ACI 5.0 выходит первая итерация.

Единственным классификатором является «IP». Мы собираемся добавить все остальные классификаторы: MAC, BD / VLAN, метки VM в следующем выпуске.

Мы призываем всех взглянуть на это важное усовершенствование J


Модули


Обзор ACI

Cisco ACI 5.0



Варианты Дизайна Tenant

Доступные варианты:

Bridge Domain

Tenant: commonVRF: vrf-01

Application Profile:

EPG

Bridge Domain



EPG

Tenant: Production



EPG

Bridge Domain

Tenant: Production

Bridge Domain

Tenant: ProductionVRF: vrf-01


EPG

Обычно используется, когда RBAC не является строгим требованием, и

одна команда владеет всей конфигурацией

VRF и подсети - все в Common Tenant - это

означает, что любой Tenantможет использовать любую

подсеть.

VRF доступны для всех Tenant, однако подсети относятся

к конкретному Tenant.

VRF и подсети выделены для

отдельного Tenant -обычно это связано с правилами RBAC для доступа к APIC

от нескольких групп

Application Centric или Network Centric….?

• Режим Network Centric(название) или Application Centric(название) - это просто термины, описывающие, как называется конфигурация сети ACI, например, VLAN с именем «VLAN-10» или VLAN с именем «Web».

• Конфигурация сети, названная в честь сетевых объектов (подсетей / VLAN), является традиционным способом настройки сети.

• Конфигурация сети, названная в честь приложений, запущенных в сети, обеспечивает улучшенную видимость приложений, упрощает поиск неисправностей и упрощает аудит

• Приложение может представлять собой фактическое приложение, такое как «онлайн-банкинг», или оно может представлять собой услугу инфраструктуры, такую как «инфраструктура ESX».

• Обычно заказачики используют режим Network Centric(название) для описания традиционных VLAN и подсетей, а режим Application Centric mode(название) для описания приложений в сети.

• Оба режима наименования могут использоваться одновременно

Что подразумевается под режимом Network Centric и Application Centric …?

Вариант 1: Единственная EPG в одном BD с одной подсетью = «Традиционная сеть»

vDSPortgoup:

ACI:MyApp:WebPortgoup:

ACI:MyApp:App

Application Profile: MyApp

EPG: WebvDS: ACI-vds-01VLAN: dynamic

EPG: AppvDS: ACI-vds-01VLAN: dynamic

EPG: DBPath: 101/1/1-2

VLAN: 12

BD: 192.168.10.x_24GW:192.168.10.1/24

Advertise Externally: Yes

BD: 192.168.11.x_24GW:192.168.11.1/24


BD: 192.168.12.x_24GW:192.168.12.1/24


Tenant: CommonVRF: vrf-01

VM VM VM VM VM VM

Tenant: ACI

Note: Tenant Design Option 2

Tenant: ACI

Вариант 2: Множество EPG в Единственном BD с одной подсетью и микро-сегментацией (µSeg) в IP space

vDSPortgoup:


ACI:MyApp:App





VLAN: 12

BD: 192.168.10.x_24GW:192.168.10.1/24



VM VM VM VM VM VM


Tenant: ACI

Вариант 3: Несколько EPG в Единственном BD с Множеством подсетей (secondary IP)

Servers in either 192.168.10.x or 192.168.11.x subnets

Servers in either 192.168.10.x or 192.168.11.x subnets

vDSPortgoup:


ACI:MyApp:App





VLAN: 12

BD: multiple_subnetsGW:192.168.10.1/24GW:192.168.11.1/24



VM VM VM VM VM VM


Варианты Миграции

Внутри Tenant Network Centric(название) -> Application Centric(название)

Tenant: ClassicVRF: vrf-01

Application Profile: 192.168.10.x_24

EPG (VLAN)VLAN-10

Application Profile: Online-Banking

EPG (VLAN)Web

EPG (VLAN)App

EPG (VLAN)DB

Contract Contract

BD192.168.10.x_24

Tenant: Common



Tenant: Production

Между Tenant Network Centric(название) -> Application Centric(название)

Tenant: Classic


EPG (VLAN)VLAN-10


EPG (VLAN)Web

EPG (VLAN)App

EPG (VLAN)DB

Contract Contract

BD192.168.10.x_24


Между Tenant Network Centric(название) -> Application Centric(название)

Tenant: ClassicVRF: vrf-01


EPG (VLAN)VLAN-10


EPG (VLAN)Web

EPG (VLAN)App

EPG (VLAN)DB

Contract Contract

BD192.168.10.x_24

Tenant: Production

Tenant: Common


IOT Edge

Data Center

ONENetwork

On Premises Cloud

Containers

Hypervisor

Edge

Service-Provider

Data CenterACI Anywhere

ProactiveAgile Secure

Co-Lo

ІТ в любом месте, там где этонужно вашему бизнесу

Местонахождение ИТ должно быть деловым решением,не ограничение технологии


Review the content and more

Take an official Cisco ACI Training

Get Certified on ACI and CCNP DC*

DCACIAImplementing Cisco ACI Advanced

DCACIImplementing Cisco ACI

What’s next?

ACI

/CiscoDataCenterMadeEasy

600-660 DCACIAImplementing Cisco ACI Advanced

300-620 DCACI ExamImplementing Cisco ACI

* CCNP through ACI Specialization requires passing both 350-601 DCCOR +300-620 DCACI

http://youtube.com/CiscoDataCenterMadeEasy

https://www.cisco.com/c/en/us/training-events/training-certifications/exams/current-list/dcacia-600-660.html

https://www.cisco.com/c/en/us/training-events/training-certifications/exams/current-list/dcaci-300-620.html

Documents

vpodkory Cisco Connect ACI v3 · ACI 2.0 ACI 3.0 ACI 3.1 ACI 4.0 ACI 4.1 and 4.2 ACI Multi-POD ACI Multisite ACI Remote Leaf Virtual ACI Cloud ACI on the planet! Любой гипервизор