Transcript ACI cisco Application Centric Infrastructure overview

ACI CISCO
Application Centric Infrastructure
Massimiliano Sbaraglia
ACI Concepts
Cisco ACI (Application Centric Infrastructure) è basato sul concetto di group-based policy SDN;
End-User ACI può definire una serie di regole senza la conoscenza e/o informazioni che derivano dalla sruttura networking;
Cisco APIC (Application Policy Infrastructure Controller) è responsabile della gestione centralizzata delle policies configurate e
distribuirle a tutti i nodi facenti parte della ACI Fabric;
Cisco ACI è disegnato per scalare in modo trasparente nei confronti di cambiamenti di connettività, bandwidth, tenants e policies;
la sua architettura è di tipo spine-leaf che si presta efficientemente a introdurre e/o cambiare requisiti di rete;
Cisco ACI include servizi layer 4 to layer 7, APIs (Application Programming Interface), virtual networking, computing, storage
resources, wan routers, orchestration services.
Cisco ACI consiste in:
o Un insieme di software e hardware devices che costituiscono una Fabric
o APIC per la gestione delle policies centralizzata
o AVS (Application Virtual Switch) per virtual network edge level
o Integrazione di fisiche e virtuali infrastruttre
o Un aperto ecosistema di network, storage, management e orchestration vendor
WAN
MPLS
External
ACI SPINE and LEAF ARCHITECTURE
External Networks to Leaf level
Spine Level
Capacity 40/100 Gbps
ACI
Fabric
APIC-M
> 1000 edge ports
Nexus 9K
APIC-L
< 1000 edge ports
Cluster APIC
Access/Leaf Level
APIC to Leaf level
Nexus 9K
Capacity 1/10 Gbps
single-homed
UCS Fabric Interconnect
dual-homed
UCS B series
Computing Level
N1KV VEM
Physical Server
VM
VM
VM
VM
Vmware vSphere
ACI Fabric is IP-based with VXLAN overlay
NO STP
ACI FABRIC UNDERLAY and OVERLAY
VXLAN for encapsulation traffic inside the Fabric MAC-to-IP
Leaf Switch acts as VTEP
Spine Level
Capacity 40/100 Gbps
ACI
Fabric
Nexus 9K
Cluster APIC
Access/Leaf Level
Capacity 1/10 Gbps
APIC-M
> 1000 edge ports
Full Routed underlay using IS-IS
APIC-L
< 1000 edge ports
VTEP
VTEP
VTEP
VTEP
VTEP
APIC to Leaf level
Nexus 9K
VTEP
VXLAN
IP
Payload
VXLAN HEADER FORMAT
MAC
destin.
DA
MAC
source
802.1q
vlan-id
data
check
error
TPID
TAG
PAYLOAD
CRC
SA
encapusulation on
VXLAN Encapsulation
Outer MAC
Outer IP
Outer UDP
SP
SMAC
NHMAC
MAC
VTEP
source
MAC
Next Hop
to VTEP
destinat
VLAN
802.1q
SIP
DIP
IP addr
VTEP
source
IP addr
VTEP
destinat
Source
Port
VTEP
source
Ethernet Frame
VXLAN
DP
FLAG
VNI
Destinat
Port UDP
valid
VNI
VNI ID
segment
rsvd
reserved
VXLAN Header
Ethernet Frame
ACI FABRIC FORWARDING PACKETS with VXLAN header
Spine Level
Capacity 40/100 Gbps
ACI
Fabric
Cluster APIC
Nexus 9K
VXLAN ID internal
rossa
Access/Leaf Level
LISP
VTEP
ingress Leaf
swap vlans
eVXLAN
Enhanced VXLAN Fabric
VXLAN
IP
egress Leaf
swap vlans
Data
Capacity 1/10 Gbps
Outer IP VXLAN Eth IP Data
VTEP
VTEP
External
VXLAN-ID viola
Outer IP NVGRE Eth IP Data
External
VLAN-ID verde
802.1q Eth IP Data
VTEP
VTEP
External
VLAN-ID verde
External
VXLAN-ID viola
Vswitch
vlan viola
Vswitch
vlan verde
OR
Physical server
VM
MAC/IP
Virtual server
vlan viola
End-Point ACI
vlan verde
OR
Physical server
VM
MAC/IP
Virtual server
ACI FABRIC Control Planewith MappingDatabase
Proxy Station Table
ACI
Fabric
Nexus 9K
10.1.1.3
VTEP3
address
PROXY
LST
Local Station Table
10.1.1.1
VTEP1
VTEP2
porta 3
aaa.bbb.ccc.222
VTEP6
VTEP3
9
12
3
10.1.1.3
porta 12
Virtual server
MAC/IP
Virtual server
VM
MAC/IP
Virtual server
10.1.1.3
VTEP3
VTEP 2
zzz.qqq.sss.777
VTEP 7
VTEP7
LST
Local Station Table
porta 9
zzz.qqq.sss.777
10.1.1.3
VM
VTEP1
aaa.bbb.ccc.222
zzz.qqq.sss.777
10.1.1.1
MAC/IP
PROXY
6
aaa.bbb.ccc.222
VM
PROXY
PROXY
PROXY
GST
Global Station Table
10.1.1.1
VM
MAC/IP
Virtual server
porta 6
ACI Policy Basedapproach
Cisco APIC (Application Policy Infrastructure Controller): è responsabile della gestione centralizzata delle policies configurate e
distribuirle a tutti i nodi facenti parte della ACI Fabric;
ANP (Application Network Profile): contiene le policies dei sistemi applicativi;
EPG (End Point Group): consiste di un numero di end-point groups rappresentati da uno o più servers all’interno di uno stesso
segmento di rete (vlans)
Contract: consiste di policies che definiscono il modo con cui comunicano tra loro gli EPG.
Collezione di Servers
EPG
End-Point Group
VM
VM
Contract Layer 4 protocol and port is allowed
VM
Bridge Domain
Network
ACI
Fabric
Network Tier
define and push ANP
ANP
Application Tier
WEB
APP
DB
ACI FABRIC Access Policies
ACI
Fabric
Nexus 9K
5
Switch Profile
4
Interface Policy and Profile
3
Attachable Access Entity Profile (AAEP)
2
Physical Domain
Vlan Pool
1
VM
MAC/IP
Virtual server
VM
Virtual server
MAC/IP
MAC/IP
Physical server
MAC/IP
ACI FABRIC Access Policies
o
vlan pool: definisce un singolo segmento di rete (vlan) oppure un pool di vlans;
o
Physical Domain: definisce un dominio (scopo) dove è creato il vlans pool;
o
AAEP (Attachabe Access Entity Profile): definisce un modo di raggruppare multipli domini applicabili ad un profilo su base
interfaccia;
o
Interface Policy and Profile: questa policy definisce i parametri richiesti come può essere un LLDP, LACP, ete; contiene la
interface policy e specifica a quale port number deve essere applicata usando la port-selector;
o
Switch Profile: applica il profilo su base interfaccia con la policy associata ad uno o più multiple access Leaf Nodes
ACI FABRIC Building Blocks Tenants
TENANT
Customer / BU / Unit
Context / Instances
VRF 1
VRF 2
Bridge Domain 1
subnet IP B
subnet IP C
End Point Groups
EPG A
EPG B
Application Profile Contract
VRF 3
Bridge Domain 3
Bridge Domain 2
L2 domain
L2 domain
L2 domain
subnet IP A
Context / Instances
subnet IP D
subnet IP E
End Point Groups
EPG C
Application Profile
EPG D
subnet IP F
End Point Groups
EPG E
Application Profile Contract
EPG F
Application Profile Contract
ACI FABRIC stepslayer2 network
1. VRF instances;
2. BD (Bridge Domain) associato alla VRF instance (senza abilitare nessun layer 3 IP SVIs subnet);
3. Configurazione del Bridge Domain per ottimizzare la funzionalità di switching (hardware-proxy-mode) usando il mapping
database oppure il tradizionale flood-and-learn;
4. EPG (End Point Group) relazionandoli ai bridge domain di riferimento; possiamo avere multipli EPG associati allo stesso bridge
domain;
5. Creare policy Contracts tra EPG come necessario; possiamo anche considerare una comunicazione tra diversi EPG senza
ausilio di filtri, settando la VRF instance in modalità < unenforced >
6. Creare access policies switch e port profiles assegnando i parametri richiesti, associate al nodo Leaf di pertinenza
ACI FABRIC layer 2 extending to layer2 externaldomain parameter
1. Enable fllooding of layer 2 unknown unicast;
2. Enable ARP flooding;
3. Disable unicast routing (può essere abilitato successivamente ad una fase di migrazione ad esempio ed gli end-point usano
come IP gateway il sistema ACI Fabric);
----------------L2Out option provvede ad una L2 extension da ACI Fabric ad un External domain bridged network
ACI FABRIC LeafNodeto ExternalNetworks parameters
o
o
o
Layer 3 interface routerd: usata quando si connette un determinato external devices per tenant /VRF;
Subinterface with 802.1q tagging: usata quando vi è una connessione condivisa ad un determinato external devices attraverso
tenants/ VRF-lite;
Switched Virtual Interface (SVI): usata quando entrambi i layer L2 ed L3 di connessione sono richiesti sulla stessa interfaccia
La propagazione di external network all’interno di un dominio ACI Fabric utilizza il MP-BGP (Multi Protocol BGP) tra Spine e Leaf
(si può avere anche la funzionalità di Route Reflector abilitato a livello Spine) all’interno di un unico AS;
L3Out option prevede i seguenti steps:
1.
2.
3.
4.
5.
6.
Create un external routed network
Set a layer 3 border leaf node for the L3 outside connection
Set a layer 3 interface profile for the L3 outside connection
Repeat step 2 and 3 if you need to add additional leaf nodes/interface
Configure an external EPG (ACI Fabric maps theexternal L3 router to the external EPG by using the IP prefix and mask
Configure a contract policies between the external and internal EPG (without this all connectivity to the outside will be
blocked)