對Cisco ACI的理解

全稱：Application Centric Infrastructure

ACI邏輯：

租戶邏輯

接口邏輯：

1 上線

Spine設備和Leaf設備按照拓撲連接加電后拓撲和配置自動生產(chǎn)，無需人工干預，實現(xiàn)自動化上線（LLDP發(fā)現(xiàn)）

控制器APIC封裝在cisco自有的C系列服務器里，APIC接入到任意Leaf即可，三臺APIC服務器盡量分別接入不同的leaf并雙鏈路上行。

然后就是初始化APIC了。

2 初始化APIC

這部分配置內(nèi)容

1. 配置APIC基礎配置：設備名、ID、管理地址、登錄用戶名密碼等

2. 配置TEP地址池（每設備一個，建立VXLAN隧道用）

3. Infra network的vlan id（infra是APIC與網(wǎng)絡設備互通的網(wǎng)絡，相當于帶內(nèi)管理）

4. 配置BD組播地址池（ACI內(nèi)組播通信代替廣播，抑制泛洪）

3 基礎配置（登錄APIC）

3.1 查看Fabric

在Fabric界面可以查看注冊的Spine和Leaf節(jié)點(Node)詳細信息。

3.2 設備帶外管理（mgmt）

APIC默認帶有租戶 mgmt，在租戶mgmt里配置設備帶外管理

Tenants/Tenant mgmt/Node Management Addresses/Static Node Management Addresses，創(chuàng)建Node的帶外管理地址。

3.3 配置Leaf接入接口

進入fabric里的access policies配置leaf接入端口的屬性

邏輯如下：

先配置interface polices，進入interface polices界面

1. 配置interface polices，如speed,cdp,lldp,lacp等物理屬性

2. 配置interface policy group，關聯(lián)interface polices，將各個物理屬性組合

3. 配置interface profiles，關聯(lián)物理接口，再關聯(lián)interface policy group，相當于這個profile就是關聯(lián)的物理接口的配置，此時還沒有應用到具體的交換機。一個profile內(nèi)容有多個接口，每個接口關聯(lián)一個policy group，不同接口的policy group可以相同

然后配置switch polices，進入interface polices界面

4. 配置switch profiles,關聯(lián)具體的leaf節(jié)點，關聯(lián)interface profiles，選擇相當于當前l(fā)eaf的接口的配置就是profile的內(nèi)容

配置pools

5. 創(chuàng)建vlan pool，這些vlan是業(yè)務使用的vlan

配置physical and External Domain

6. Domain關聯(lián)VLAN pool

配置Gobal polices里的AEP（Attachable Access Entity Profiles）

7. 創(chuàng)建AEP，關聯(lián)Domain，可以關聯(lián)多個domain，再關聯(lián)policy group?；蛘咴趧?chuàng)建policy group時或創(chuàng)建domain時順帶創(chuàng)建并關聯(lián)AEP，AEP的作用相當于傳統(tǒng)網(wǎng)絡里的接口trunk allow 哪些vlan。

3.4 配置cisco vPC

ACI里是增強vPC，不需要心跳線

創(chuàng)建interface polices里創(chuàng)建policy group時選擇Creat VPC Interface Policy Group，其他步驟一樣。

3.5 fabric全局配置

fabric/fabric polices

3.6 總結：接口邏輯關系

4 新建租戶流程

4.1 ACI業(yè)務術語

1. Tenant：租戶

2. VRF：虛擬網(wǎng)絡

3. BD：Bridge Domain，二層廣播域

4. EPG：End-Point Group，具有相同屬性/策略的一組終端，比如一個VLAN

5. EP：End-Point，終端（物理服務器或者虛擬服務器）

6. L3Out：ACI網(wǎng)絡的出口

7. Contract/Filter：ACI網(wǎng)絡的安全策略，通常用于EPG之間的訪問控制，EPG到L3Out的訪問控制

4.2 創(chuàng)建tenant/VRF/DB/Subnet

進入Tenants，Add Tenant

1. 創(chuàng)建租戶Tenant

2. 在租戶networking里創(chuàng)建VRF（tenant xxx/Networking/VRF），一個L3私有網(wǎng)絡

3. 在租戶networking里創(chuàng)建BD（Brige Domain），BD是一個二層域，BD要關聯(lián)一個VRF

4. 在BD里創(chuàng)建Subnet，這是該二層域的ip地址，可以有多個subnet，同屬一個BD

4.3 創(chuàng)建AP/EPG,并關聯(lián)接口

1. 創(chuàng)建AP(Application Profiles),在AP下創(chuàng)建EPG

2. 創(chuàng)建EPG，關聯(lián)Domain，關聯(lián)BD，

3. EPG關聯(lián)端口，可以在Static Ports里靜態(tài)關聯(lián)到物理接口（AP/EPG/Static Port）部署static port，選擇leaf與接口，配置封裝的vlan

4.4 創(chuàng)建contract并應用

在tenant/contract里創(chuàng)建contract(合約)，contract策略是單向的，分為provider（提供者）與consumer（消費者）。

EPG_A訪問EPG_B，可以由EPG_B提供合約訪問，用contract連接EPG_A與EPG_B。

到此，VPC內(nèi)部配置完畢。

如圖：EPG關聯(lián)接口或虛機，EPG之間互訪需要通過contract，EPG關聯(lián)的服務器或虛機配置關聯(lián)BD下的subnet地址。

4.5 特殊租戶（系統(tǒng)自帶）

4.5.1 Common

common租戶是一個可以訪問所有租戶的租戶，租戶之間互訪，部署FW/LB以及其他L4-L7的服務設備，可以放在common租戶。

4.5.2 Infra

Infra是ACI網(wǎng)絡內(nèi)部，用于overlay vxlan基礎配置

4.5.3 Mgmt

帶內(nèi)帶外管理網(wǎng)絡配置

5 租戶OUT網(wǎng)絡

5.1 L2 OUT

ACI內(nèi)部二層網(wǎng)絡擴展到ACI外部。兩種方法實現(xiàn)：

第一種是EPG級別，如果某個EPG網(wǎng)絡需要擴展到ACI外部網(wǎng)絡，可以手動配置一個端口到一個VLAN，然后映射到一個EPG上。

第二種是External Bridge Network，創(chuàng)建一個額外的用于二層連接的外部EPG，ACI內(nèi)部需要二層連接到外部的EPG通過contract連接外部EPG實現(xiàn)二層連接到外部網(wǎng)絡。（這種方式創(chuàng)建的ACI內(nèi)部vlan與ACI外部VLAN可以不同）

External Bridge Network方式：在tenant/network/External Bridge Network，

1. 添加一個L2 domain，關聯(lián)vlan pool，AEP，domain

2. 添加具體的leaf節(jié)點端口；

3. 創(chuàng)建L2EPG

4. 創(chuàng)建contract，contract連接需要L2訪問外部的EPG

5.2 L3OUT

ACI內(nèi)部網(wǎng)絡與外部網(wǎng)絡路由連接，通過Border Leaf連接。

支持BGP，OSPF，Static

1. 創(chuàng)建L3OUT。在tenant/network/External Routed Network,創(chuàng)建routed outside，綁定VRF/BD，內(nèi)容可以選擇路由協(xié)議，可選OSPF/BGP/EIGRP,

2. 選擇節(jié)點。在logical node profile創(chuàng)建node profile，選擇具體的border leaf，配置route id，這里可以添加靜態(tài)路由。

3. 選擇節(jié)點的物理接口。在logical node profile下的logical interface profile創(chuàng)建interface profile，這里可以選擇路由接口/路由子接口/vlan子接口，綁定具體物理接口，配置接口IP，雙Border創(chuàng)建IP時同時選擇創(chuàng)建VIP
建議每租戶一個L3out。

6 回到最前面看那張圖。