對Cisco ACI的理解

全稱：Application Centric Infrastructure

ACI邏輯：

租戶邏輯

接口邏輯：

1 上線

Spine設備和Leaf設備按照拓撲鏈接加電後拓撲和配置自動生產，無需人工干預，實現自動化上線（LLDP發現）

控制器APIC封裝在cisco自有的C系列服務器裏，APIC接入到任意Leaf便可，三臺APIC服務器儘可能分別接入不一樣的leaf並雙鏈路上行。

而後就是初始化APIC了。

2 初始化APIC

這部分配置內容

1. 配置APIC基礎配置：設備名、ID、管理地址、登陸用戶名密碼等

2. 配置TEP地址池（每設備一個，創建VXLAN隧道用）

3. Infra network的vlan id（infra是APIC與網絡設備互通的網絡，至關於帶內管理）

4. 配置BD組播地址池（ACI內組播通訊代替廣播，抑制泛洪）

3 基礎配置（登陸APIC）

3.1 查看Fabric

在Fabric界面能夠查看註冊的Spine和Leaf節點(Node)詳細信息。

3.2 設備帶外管理（mgmt）

APIC默認帶有租戶 mgmt，在租戶mgmt裏配置設備帶外管理

Tenants/Tenant mgmt/Node Management Addresses/Static Node Management Addresses，建立Node的帶外管理地址。

3.3 配置Leaf接入接口

進入fabric裏的access policies配置leaf接入端口的屬性

邏輯以下：

先配置interface polices，進入interface polices界面

1. 配置interface polices，如speed,cdp,lldp,lacp等物理屬性

2. 配置interface policy group，關聯interface polices，將各個物理屬性組合

3. 配置interface profiles，關聯物理接口，再關聯interface policy group，至關於這個profile就是關聯的物理接口的配置，此時尚未應用到具體的交換機。一個profile內容有多個接口，每一個接口關聯一個policy group，不一樣接口的policy group能夠相同

而後配置switch polices，進入interface polices界面

4. 配置switch profiles,關聯具體的leaf節點，關聯interface profiles，選擇至關於當前leaf的接口的配置就是profile的內容

配置pools

5. 建立vlan pool，這些vlan是業務使用的vlan

配置physical and External Domain

6. Domain關聯VLAN pool

配置Gobal polices裏的AEP（Attachable Access Entity Profiles）

7. 建立AEP，關聯Domain，能夠關聯多個domain，再關聯policy group。或者在建立policy group時或建立domain時順帶建立並關聯AEP，AEP的做用至關於傳統網絡裏的接口trunk allow 哪些vlan。

3.4 配置cisco vPC

ACI裏是加強vPC，不須要心跳線

建立interface polices裏建立policy group時選擇Creat VPC Interface Policy Group，其餘步驟同樣。

3.5 fabric全局配置

fabric/fabric polices

3.6 總結：接口邏輯關係

4 新建租戶流程

4.1 ACI業務術語

1. Tenant：租戶

2. VRF：虛擬網絡

3. BD：Bridge Domain，二層廣播域

4. EPG：End-Point Group，具備相同屬性/策略的一組終端，好比一個VLAN

5. EP：End-Point，終端（物理服務器或者虛擬服務器）

6. L3Out：ACI網絡的出口

7. Contract/Filter：ACI網絡的安全策略，一般用於EPG之間的訪問控制，EPG到L3Out的訪問控制

4.2 建立tenant/VRF/DB/Subnet

進入Tenants，Add Tenant

1. 建立租戶Tenant

2. 在租戶networking裏建立VRF（tenant xxx/Networking/VRF），一個L3私有網絡

3. 在租戶networking裏建立BD（Brige Domain），BD是一個二層域，BD要關聯一個VRF

4. 在BD裏建立Subnet，這是該二層域的ip地址，能夠有多個subnet，同屬一個BD

4.3 建立AP/EPG,並關聯接口

1. 建立AP(Application Profiles),在AP下建立EPG

2. 建立EPG，關聯Domain，關聯BD，

3. EPG關聯端口，能夠在Static Ports裏靜態關聯到物理接口（AP/EPG/Static Port）部署static port，選擇leaf與接口，配置封裝的vlan

4.4 建立contract並應用

在tenant/contract裏建立contract(合約)，contract策略是單向的，分爲provider（提供者）與consumer（消費者）。

EPG_A訪問EPG_B，能夠由EPG_B提供合約訪問，用contract鏈接EPG_A與EPG_B。

到此，VPC內部配置完畢。

如圖：EPG關聯接口或虛機，EPG之間互訪須要經過contract，EPG關聯的服務器或虛機配置關聯BD下的subnet地址。

4.5 特殊租戶（系統自帶）

4.5.1 Common

common租戶是一個能夠訪問全部租戶的租戶，租戶之間互訪，部署FW/LB以及其餘L4-L7的服務設備，能夠放在common租戶。

4.5.2 Infra

Infra是ACI網絡內部，用於overlay vxlan基礎配置

4.5.3 Mgmt

帶內帶外管理網絡配置

5 租戶OUT網絡

5.1 L2 OUT

ACI內部二層網絡擴展到ACI外部。兩種方法實現：

第一種是EPG級別，若是某個EPG網絡須要擴展到ACI外部網絡，能夠手動配置一個端口到一個VLAN，而後映射到一個EPG上。

第二種是External Bridge Network，建立一個額外的用於二層鏈接的外部EPG，ACI內部須要二層鏈接到外部的EPG經過contract鏈接外部EPG實現二層鏈接到外部網絡。（這種方式建立的ACI內部vlan與ACI外部VLAN能夠不一樣）

External Bridge Network方式：在tenant/network/External Bridge Network，

1. 添加一個L2 domain，關聯vlan pool，AEP，domain

2. 添加具體的leaf節點端口；

3. 建立L2EPG

4. 建立contract，contract鏈接須要L2訪問外部的EPG

5.2 L3OUT

ACI內部網絡與外部網絡路由鏈接，經過Border Leaf鏈接。

支持BGP，OSPF，Static

1. 建立L3OUT。在tenant/network/External Routed Network,建立routed outside，綁定VRF/BD，內容能夠選擇路由協議，可選OSPF/BGP/EIGRP,

2. 選擇節點。在logical node profile建立node profile，選擇具體的border leaf，配置route id，這裏能夠添加靜態路由。

3. 選擇節點的物理接口。在logical node profile下的logical interface profile建立interface profile，這裏能夠選擇路由接口/路由子接口/vlan子接口，綁定具體物理接口，配置接口IP，雙Border建立IP時同時選擇建立VIP
建議每租戶一個L3out。

6 回到最前面看那張圖。