取消
显示结果 
搜索替代 
您的意思是: 
cancel
公告

December 2020

December 2020

【专家讲堂(ATXs) 】常见问题解答之Cisco ACI篇

865
查看次数
0
有帮助
2
评论

本帖最后由 huisong 于 2021-1-8 09:21 编辑
此篇为思科专家讲堂(ATXs)在线课程中关于Cisco ACIFAQ(常见问题解答)集锦,小编将定期更新。

 
*思科ATXs(Ask the Experts)中文全称为专家讲堂 - 是由思科客户成功团队带给思科客户的专属技术讲堂。每月针对不同的思科技术的部署和实施,由思科专家为您分享使用案例、操作演示、并答疑解惑。 更多信息请访问http://cs.co/asksuccess
*Cisco Application Centric Infrastructure以下简称为ACI
 
 
问:如果BD里面打开了"UnicastRouting",但是沒有Subnet会怎么样?
答:没有subnet,ACI 对待该报文为L2报文,只学习SMAC 也很容易路由黑洞,不建议这样做。
 
 
问:epg里的subnet与bd里的subnet有什么区别,cisco建议在哪里设置subnet比较好?
答: Subnet和EPG相关联用作路由泄露,如果有跨VRF的路由泄露,建议在BD下配置Subnet。根据不同情况,大约有70%-80%的用户会在BD下面配置Subnet。
 
 
问:像我们通常都是通过命令行来确定各个协议的状态是否正常。ACI应该如何做?从哪里开始?都有哪些协议?
答:使用nexus9k, 只能在APIC上做相关配置。
1.运行状态也可以login单独设备去查看相关协议。
2.inventory下都有protocol也可以看学习的协议的状态。主要限制:IPN的设备要求很简单,支持OSPF,支持jumbo MTU。
 
 
问:不需要切割网络,还需要创建很多TENANT么?
答:如果没有特殊需求去做隔离,可以不需要创建更多TENANT,至少创建一个。
 
 
问:如果网关原来写在bd下,这个时候如果要做路由泄露改到epg下,这个过程如何在对业务的影响最小的前提下去操作?
答:在EPG下添加这个Subnet ,迁移的时候不从BD上移除这个Subnet。
 
 
问:目前多ACI之间,要么用m pod方式,要么用m site模式,mpod 要求API共用一个集群m site必须要MSO,否则无法连接 IPN设备。这对网络限制比较多,后期时候有其他方式?
答:目前主要的跨场点分布式部署主要就是apic一个集群,或者多个集群再使用mso来管控,这个是产品的两个主要方向。
追加问:多pod限制两个节点必须公用一套apic,多site限制必须使用MSO 这不太好。我们两个机房都需要aci ,但是我们并不想使用MSO 或者一套apic 。如果不使用,看起来我们无法通过apic自动配置IPN设备,也没有很好的办法,处理双机房IP漂移问题。
答: 明白您的难处,不想共享一个配置域。连接IPN的配置是在APIC 上或者 MSO上实现的。如果想两个机房单独两套APIC,不需要MSO,只能采用ACI multi fabric的方式,手动DCI打通。中间不能使用vxlan来转发,部署时候的策略需要做两遍。这个我们也有客户是这样做的,尤其是在早期不支持multipod或者multisite的版本上。
 
问:L4-L7设备接在service leaf下,这些L4-L7层设备只是用于fabric内部东西向流量;还是也用于与fabric外部(或称南北向流量)?
答:东西,南北的流量都可以,取决于配置。
 
 
问:ACI 是否有中文版本计划?
答:没有中文版本计划。
 
 
问:怎么样计算APIC的Stat可以储存多久?比如说我想5分钟收集比较多一点的Metric可以储存多久?
答:这个可以在fabric-> Fabric Policies -> Policies -> Monitoring -> common Policy.Stats collection policies里设定,另外這些statistics可以在default stats export policies去export到外面的scp/ftp/http server永久保存,保存出来是JsonFile。
 
 
问:ACI能创建SNMP TRAP某个特定的OID吗?
 
 
问:有没有一些好工具让ACI管理员可以更快知道两个endpoint之间有哪些service是permit还是deny?像ASA的packet-tracer, ACI的visibility&troubleshoot很难找出哪一个service是permit还是deny。
答:可以使用叫NAE的工具,里面的PE的功能可以详细展示EPG和contract细节 https://www.cisco.com/c/en_hk/products/data-center-analytics/network-assurance-engine/index.html
 
 
问:请教一个EPG之间的互访问题:客户部署的是基于VLAN的EPG,一个VLAN对应一个BD和EPG。现在有两个EPG,分别是EPG-A和EPG-B,两者之间没有contract。如果EPG-A的某个IP想访问EPG-B的某几个IP,要如何处理?
答:可以使用uSegEPG把特定的ip 指定到uSeg EPG 在这些uSeg EPG之间拉contract 但是需要额外的VLAN https://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/3-x/virtualization/b_ACI_Virtualization_Guide_3_1_1/b_ACI_Virtualization_Guide_3_1_1_chapter_0100.html
 
 
问:ACI的contract有没有能像防火墙那样专门显示策略的界面,例如A到B,A到C的那样展示? contract多了日常运维麻烦,命令行也只显示ID号。
答:也依靠NAE另外有一个叫ContractViewer的APP也可以试试 https://dcappcenter.cisco.com/contract-viewer.html
 
 
问:如果不知道现在设备应用的依赖性,应该如何应用到ACI
答:有如下几种方式:
1.询问业务人员关于现有应用的依赖性
2.使用tetration
3.全部放行,不会有业务影响
 
 
问:vZany是否可以定义permit any any的filter?
答:可以,比如permitall的contract在vrf下面既做consumer也做provider,那这个vrf下面的流量就会全部permit。效果等于unenforcement。
 
 
问:BUM流量能通过头端复制方式实现吗?
答:头端复制是multi-site的实现方法,在multipod里面一定是underlay的multicast 请参考图10、12:https://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/white-paper-c11-737855.html
 
 
问:9332c / 9364c spine 可以用原有的10G 连IPN么?
答:可以用自带的10G接口,也可以用QSA,1:1 把40G转成10G
 
 
问:2 + 2 的時候如果IPN断掉恢复后,APIC会怎么样解决Dual-Active的问题? 会用 POD1还是POD2的分享资料呢?
 
 
问:每个POD都是本地流量优先出局吗?需要什么特殊考虑吗?(L3out的时候)
答:本地出局优先级顺序都是根据QoS设定的,这个和L3out的路由设计有关,如果在一个vrf下面两边都有l3out,学习到相同的路由,优选本地,因为MP-BGP的路由会带入metric。
 
 
问:multi-pod组网,每个pod都有自己的出口防火墙,防火墙A/S方式部署,在设计上有什么Best Practice?
答:我们一般推荐A/A设计,这个问题没有BP,应该是看实现需求和目标,这个guide里面有各种实现的比对,可以看下:https://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/white-paper-c11-739571.html
 
 
问:LEAF 连接防火墙做HA这个应该怎样设计?
 
 
问:Policy group 是ACI默认设定好的么?是不能进行自定义进行修改或添加的么?
答:policy group是一组policy的结合,policy有预定义的策略,当然也可以自定义;policy group是需要自定义的,系统默认没有。
 
 
问:创建snapshot的时候,是否需要选择fabric?
答:建议选择整个fabric的snapshot,如果选择tenant就只是tenant的配置。
 
 
问:APIC怎么可以单独升级一台?我们以前都是右键点upgrade一起升级的。
答:不可以单独升级一台,没有独立升级的选项。因为多台APIC是一个cluster,系统强制一起升级。 升级过程中,系统会选择某一台先升级,完成以后自动选择另外一台再升级,不可以并行升级,但是最终所有apic都会升级。
 
 
问:先升级SPINE还是先升级leaf,这个有没有best practice
答:一般规模的fabric选择奇偶数分组,保证系统冗余性;如果fabric规模很大,可以切更多的组,因为一个组同时升级的switch大概最多只有50台;并没有先升级spine或者leaf的practice。
 
 

 

评论
wuhao0015
Rising star
支持下~! .
fortune
VIP Expert
谢谢分享,学习了
不能显示该小部件。