Cisco ACI Bridge Domain, L2 Unknown Unicast: Hardware Proxy vs Flooding Mode
Antes de começarmos, vamos mais uma vez nos certificar de compreender plenamente o que é o Bridge Domain em ACI. O Bridge Domain pode ser comparado a um gigantesco switch. A Cisco ACI preserva a semântica de encaminhamento de Camada 2, mesmo que o tráfego seja encaminhado no Fabric. A TTL não é diminuído para o tráfego de Camada 2, e os endereços MAC dos endpoints (pontos finais) de origem e destino são preservados.
Configuração Bridge Domain
Unicast Routing, permite ao Bridge Domain rotear o tráfego e aprender os endereços IP do endpoint (pontos terminais).
A melhor prática é não ativar esta opção quando o default gateway para os endpoints não é o bridge domain switch virtual interface (SVI) . Assim, quando o roteamento Unicast é desabilitado, as informações do IP endpoint e MAC são liberadas para o BD.
Quando o default gateway para os endpoints não é a bridge domain switch virtual interface (SVI), o bridge domain só faz a comutação. Se o Unicast Routing for ativado neste caso e os endereços IP forem aprendidos no bridge domain, esta configuração pode levar a um problema de encaminhamento de pacotes.
Quando você configura o Bridge Domain no ACI, você precisa decidir o que quer fazer com os pacotes ARP, e o que quer fazer com o L2 Unknown Unicast. Basicamente, você pode:
* Ativar o ARP Flooding, ou não.
* Escolher entre os dois modos L2 Unknown Unicast: Flood e Proxy de Hardware.
ARP Flooding
ARP Flooding decide se o bridge domain deve inundar solicitações do ARP o tempo todo (Enabled) ou se deve procurar o endereço IP alvo no cabeçalho do ARP e realizar roteamento unicast (Disabled).
A melhor prática é definir esta opção para Ativado quando houver servidores em cluster, firewalls ou balanceadores de carga para que o GARP seja inundado.
Tenant > Networking > Bridge Domains > Policy > General
No ACI BD, diferentemente das redes tradicionais, você pode otimizar o Unknown Unicast com a tecnologia Hardware-proxy, mas muitas vezes ele é utilizado como Flood porque muitas vezes o ACI é implantado como uma rede L2 pura.
1 Flooding Mode (modo inundação)
Você pode ativar o flooding mode: se o endereço MAC de destino não for conhecido, flood no bridge domain. Por default, o tráfego ARP não é inundado, mas enviado para o endpoint de destino. Ao ativar o modo de inundação ARP, o tráfego ARP também é inundado.
Este modo de operação é equivalente ao de um switch de Camada 2 regular, exceto que na Cisco ACI este tráfego é transportado no fabric como uma estrutura de Camada 3 com todos os benefícios da Camada 2 multi-pathing, convergência rápida, e assim por diante.
Hardware proxy e unknown unicast e ARP flooding são dois modos de operação opostos. Com Hardware proxy desativado e sem unicast e ARP flooding, a comutação de Camada 2 não funcionaria. A vantagem de desativar o hardware-based proxy e usar flooding para hosts desconhecidos e ARP é que o fabric não precisa aprender milhões de endereços IP de origem vindos de uma determinada porta.
Um bom caso de uso para habilitar a ARP flooding seria quando o Default Gateway reside fora do ACI Fabric. Essa configuração não ideal exigirá o ARP Flooding habilitado no BD.
Se você não ativar o roteamento ip porque quer usar o BD como um domínio L2 puro, então mantenha a unicast flooding on.
2 Hardware Proxy
Se o destino não for conhecido na leaf, envie-o para Spine proxy. Se a Spine também não souber o endereço, descarte o pacote. A vantagem do modo proxy de hardware é que não ocorre nenhum flooding no fabric. A desvantagem potencial é que o fabric tem que aprender todos os endereços dos endpoint (ponto final.)
A vantagem do modo HardwareProxy é que não ocorre nenhuma inundação no fabric. A desvantagem potencial é que o fabric tem que aprender todos os endereços dos endpoints.
Com a Cisco ACI, porém, isto não é uma preocupação com servidores virtuais e físicos que fazem parte do fabric: o banco de dados é construído para escalabilidade a milhões de endpoints. No entanto, se o fabric tivesse que aprender todos os endereços IP provenientes da Internet, ele claramente não escalaria.
Conclusão
Podemos dizer que quando a gente usa a opção flooding então o unknown unicast dentro do brigde domain ele vai ser vai fazer um flooding para todas as portas para aquele brigde domain para saber e determinar a onde está o dispositivo que a gente quer encontrar, isso é um funcionamento igual a um switch tradicional e essa opção de flooding no Bridge Domain é quando a gente está iniciando nossa implementação em ACI e temos o Bridge Domain funcionando como camada 2 puro e com o nosso gateway default fora do ACI o layer 3 ainda não pode influenciar porque queremos influenciar nesse momento que trabalhe como um camada 2 então usamos essa opção de flooding.
Opção de hardware proxy, unknown anycast o tráfego que está direcionado para um host específico aqui não é conhecido pelo leaf então ele vai ser direcionado para o Spine então o leaf vai pegar aquele unkonwn unicast e em vez de fazer um flooding no bridge domain para tentar descobrir onde está aquele cara ele vai mandar isso para o spine que é quem mantém as tabelas e conhece todos os dispositivos que estão conectados em todos os leafs depois disso o Spine encontrando aquele dispositivo vai encaminhar o tráfego para aquele dispositivo ou caso não encontra aquele dispositivo vai dropar esse tráfego porque vai assumir que aquele dispositivo ou não existe ou não está disponível no fabric em aquele instante.
Por agora isso é tudo, um grande abraço a todos e já sabe deixa um like para apoiar meu trabalho
Regards
Referencias:
