Workflow:
Tenant - é a separação de politicas pertencentes a uma entidade. Sua função primaria é o gerenciamento de domínio, que mantém o gerenciamento dessas configurações separadas daquelas contidas em outros Tenants.
Por default, 3 tenants já vem previamente configurados no AC (mgmt, common e infra)
VRF (Virtual Routing and Forwarding) é o elemento de segmentação do dataplane para tráfego dentro ou entre Tenants. O tráfego roteado usa a VRF como VNID. Mesmo que o tráfego da Camada 2 utilize a identificação do Bridge Domain, a VRF é sempre necessária na árvore de objetos para que um BD seja instanciado.
Portanto, é necessário criar um VRF no Tenant ou referir-se a uma VRF no Tenant comum.
Não há relação de 1:1 entre Tenants e instâncias VRF:
● Um Tenant pode contar com uma VRF do Tenant comum.
● Um Tenant pode conter diversas instâncias VRF.
Uma abordagem de design popular em ambientes multitenant, onde você precisa compartilhar uma conexão L3Out, é configurar BD e EPGs em Tenants de usuários individuais enquanto se refere a uma VRF residente no Tenant comum.
As conexões L3Out compartilhadas podem ser configurações simples ou complexas, dependendo da opção escolhida. Esta seção aborda as opções simples e recomendadas de uso de um VRF do locatário comum.
Web User Interface (Web UI):
Tenants > All Tenants
- mgmt - é onde ficam as politicas de gerenciamento da APIC, que é o IP OBM (Out-Of-Band - acesso externo) e o IP INBM (In-Band-Address - acesso interno via LEAF), e cada um em uma interface física diferente.
Tenants > mgmt > Node Management Address > Static Node Management Address (mostra os nodes e em qual APIC cada um está, IP e Gateway de gerencia dos nodes, tipo de IP se é OBM ou INBM e EPG)
Tenants > mgmt > Node Management Address > Static Node Management Address > botão direito > Create Static Management Address (criar estaticamente o endereço IP de gerenciamento da APIC)
- infra - especifico para configuração entre o SPINE e LEAF, como o protocolo de roteamento IS-IS.
- common - são as politicas em comum, como o DHCP, BGP, IP SLA, entre outros.
Tenants > commom > Policies > Protocol > OSPF > botão direito > Create OSPF Timers Policy
Criar um TENANT via Web UI:
Tenants > Add Tenant
ou
Tenants > All Tenantst > no ícone ferramentas Create Tenant
Name: XXXXX_TNT
VRF Name: XXXXX_VRF
Security Domains (é o RBAC [Role Base Access Control] que faz a segregação de quem pode e quem não pode acessar as Policies e Politicas)
Navigate on submit (após o Submit há o redirecionamento para o Tenant criado)
Criar um BD (Bridge Domain) via Web UI:
Bridge Domains - é como se fosse a interface vlan (SVI), é um domínio de broadcast.
Nele consta o Default Gateway e os EPGs (End-Point-Group).
Um BD pode ser L3 ou L2.
Tenants > Seleciona a Tenant > Network > Bridge Domains > com o botão direito Create Bridge Domain
Name: XXXXX_BD
VRF: associar a VRF criada
Next
Mac Address: é gerado automaticamente, mas também pode ser alterado manualmente
Criar uma subnet via Web UI:
Subnets > Create Subnet
Gateway IP: 192.168.10.1/24 (é o default gateway de todos que faram parte desse BD)
Scope (Advertised Externally é para divulgar a rede externamente, fora da rede Fabric ou em VRF diferentes / Shared between VRFs é fazer o duas VRFs diferentes se comunicarem via roteamento)
Quando Advertised Externally não é selecionado, o Scope fica na Private to VRF, que significa que o endereçamento só irá ser roteado dentro dessa VRF.
Ao definir uma sub-rede em um BD, você está criando um anycast gateway, ou seja, um endereço de gateway para uma sub-rede que existe potencialmente em cada LEAF (se necessário). No mundo tradicional, pense nisso como uma interface SVI que pode existir em mais de um node com o mesmo endereço.
Você também notará que podemos controlar o escopo da sub-rede (privada, pública ou compartilhada).
Eles são usados da seguinte forma:
- Privada: uma sub-rede privada é aquela que não é anunciada para nenhuma entidade externa por meio de um L3 externo e será restrita à estrutura Fabric.
- Pública: Uma sub-rede pública é sinalizada para ser anunciada a entidades externas através de um L3 externo (por exemplo, via OSPF ou BGP).
- Compartilhada: se uma sub-rede for sinalizada como compartilhada, ela será elegível para publicidade para outros Tenants ou contextos dentro da Fabric. Isso é análogo ao vazamento de rota VRF em redes tradicionais.
Quando optamos em divulgar uma rede externamente, ela é divulgada via iBGP.
Por default as rotas anunciadas via iBGP não são divulgadas para outro iBGP.
Para que seja divulgada entre iBGP é necessário incluir o Router Reflector no SPINE, com isso será possível divulgar as redes entre VRFs diferentes.
A adjacência do IS-IS é fechada em todos os SPINE x LEAF da fabric, nos TEP;
O iBGP também é fechado entre os SPINE x LEAF para divulgar as rotas aprendidas;
System > System Settings > BGP Router Reflector (verificar e criar o BGP Router Reflector)
