Presentación del webinar Community Live

Con la colaboración de Yosef García y Antonio Pérez
¿Cómo funciona la integración? ¿Qué recomiendan nuestros expertos?
Descubre la respuesta a las preguntas de nuestra audiencia al final de este documento.

Este webinar trata sobre la integración entre la infraestructura de red del centro de datos existente y la Infraestructura centrada en aplicaciones de Cisco (Cisco ACI) con un enfoque en la conectividad de Capa 2 y Capa 3 entre ambas redes. Incluye mejores prácticas para evitar problemas durante la integración y con las funcionalidades que ofrece ACI en un entorno ya integrado.

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias! 

¿Cómo enviar una nueva pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!

Ir al foro de Discusión

Lista de las Q&R del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas Q&A

• Pregunta: Hola, hay alguna tabla comparativa entre network centric y application, ventajas y desventajas entre uno y otro? - Luis B. (min.16)
• Pregunta: Un Network Centric o BD puede alojar más de una VRF ? - Gabriel S. (min.16)
• Pregunta: He visto configuraciones en donde no han colocado ningún policy a las interfaces y aun así está funcionando y los endpoints tienen conectividad normal. ¿Esto puede traer problemas? - Carlos G. (min.19)
• Pregunta: ¿Hay recomendaciones de deshabilitar CDP y LLLDP por problemas de seguridad? ¿Cuál es su recomendación? – Alejandro E. (min.20)
• Pregunta: ¿O sea que si tengo múltiples VRF tengo que asociar un EPG y BD a cada VRF? – Gabriel S. (min.22)
• Pregunta: Si bien la solución de ACI no contempla STP, pero tienen la funcionalidad de MCP. ¿Qué pasa con la configuración de BPDU Guard, filter? – Julio G. (min.23)
• Pregunta: Los vlan pool al final están ligados a un dominio (physical o vmm), ¿puedo tener mismas vlans en diferentes vlan pools pero en diferentes tipos de dominio? – Manfred C. (min.24)
• Pregunta: ¿Cuál es la diferencia entre Cisco ISE y Cisco ACI? – Rosalio R. (min.25)
• Pregunta: ¿Es posible definir solo algunos leafs que vean el BD creado, o siempre serán siempre vistos por todos los leafs? – Evelia L. (min.31)
• Pregunta: ¿Cómo se configura la vlan Nativa si se quiere hacer un port channel hacia un switch "tradicional"? Hernán I. (min.37)
• Pregunta: El acceso CLI a los switches ¿es sólo para comandos de consulta? – Luis B. (min.38)
• Pregunta: Si ya tengo una infraestructura spine/leaf pero en modo tradicional o nxos sin ACI, ¿qué tan complicado o impacto tendría convertir sobre esa infraestructura a modo ACI, y cuál sería el mejor path? – Oscar P. (min.38)
• Pregunta: Cómo se licencia? Por cantidad de spines o leaf, o cómo es? – Luis B. (min.39)
• Pregunta: Sería interesante un webinar de troubleshooting en ACI. – Luis B. (min.41)
• Pregunta: Un Application profile debe estar asociado por lo general a los EPG de las misma VRF? o puedo poner EPG de la misma VRF en diferentes Application profile sin ningún problema? – Edwin C. (min.44)
• Pregunta: ¿Cómo puedes enviar la tabla de enrutamiento de una VRF específica de un Cliente entre 2 Datacenter? Me refiero a tener dos Fabric ACI en diferentes Datacenters. – Gabriel S. (min.45)
• Pregunta: Podría ACI permitir monitoreo por API de dispositivos legacy? Como el vManage por ejemplo. – Javier M. (min.47)
• Pregunta: ¿Qué pasa si se hace dos conexiones de legacy a ACI pero no en portchannel, buscando un activo - pasivo, del lado de legacy STP debería bloquear uno de los caminos para evitar el loop, es viable este diseño? – Luis B. (min.48)
• Pregunta: Cuál sería el diseño de conectividad para dos DCs separados geográficamente?, y en ambos DCs hay ACI? – Luis B. (min.56)
• Pregunta: Cuando estás creando un l3out para comunicar con por ejemplo un firewall fuera del fabric, pero ese l3out va a hablar ospf con el fw, por qué definir un segmento en el external epg? – Carlos G. (min.66)
• Pregunta: Cómo de transmite el BPDU sólo por el EPG, qué pasa si un EPG contiene múltiples VLAN? – Herbert C. (min.80)
• Pregunta: Claro, entiendo esa parte que debemos de tener los APIC y hacer un análisis exhaustivo, en este caso ¿con quién nos podemos apoyar para hacer este análisis? – Oscar P. (min.81)

Pregunta: Hola, hay alguna tabla comparativa entre network centric y application, ventajas y desventajas entre uno y otro? - Luis B. (min.16)

Respuesta (Yosef G.): Nos encontramos trabajando internamente en un documento que permita explicar con mayor detalle la diferencia, desafortunadamente por el momento no tenemos ningún documento oficial que se pueda consultar.

Pregunta: Un Network Centric o BD puede alojar más de una VRF ? - Gabriel S. (min.16)

Respuesta (Alejandro A.): En Network Centric, un EPG debe estar asociado a un BD y un BD a un VRF, es la forma tradicional que se hacían las redes, lo que llamamos un mapeo 1 a 1. Entonces sí, un BD solo puede estar a un VRF.

Pregunta: He visto configuraciones en donde no han colocado ningún policy a las interfaces y aun así está funcionando y los endpoints tienen conectividad normal. ¿Esto puede traer problemas? - Carlos G. (min.19)

Respuesta (Alejandro A.): Es necesario siempre tener las relaciones correctas entre las políticas, esto asegura la integridad de funcionamiento de ACI. En ACI tenemos un modelo de objetos que es la base de cómo funciona ACI y si la relación de objetos no existe podemos esperar comportamientos no esperados.

Pregunta: ¿Hay recomendaciones de deshabilitar CDP y LLLDP por problemas de seguridad? ¿Cuál es su recomendación? – Alejandro E. (min.20)

Respuesta (Alejandro A.): Este tipo de recomendaciones van a ser especificas a la necesidad de cada cliente, generalmente es común tener esta políticas habilitadas en ACI, pero como menciono es en base a cada necesidad. ACI depende de estas políticas en algunas implementaciones de algunos features.

Pregunta: ¿O sea que si tengo múltiples VRF tengo que asociar un EPG y BD a cada VRF? – Gabriel S. (min.22)

Respuesta (Alejandro A.): La lógica de tener muchos VRFs en Application Centric o Network Centric se va a mantener de la misma forma, que quiero decir con esto: En Network Centric todo es un mapeo 1 a 1, es decir un VRF a uno o muchos BDs y un BD un EPG. En Application Centric la lógica cambia pero sólo a nivel de BD-EPG, la lógica sería, un VRF a uno o muchos BDs y un BD a muchos EPGs, como puedes ver donde cambia es en realmente en la parte de BD y EPGs, pero lo de VRF se mantiene igual.

Pregunta: Si bien la solución de ACI no contempla STP, pero tienen la funcionalidad de MCP. ¿Qué pasa con la configuración de BPDU Guard, filter? – Julio G. (min.23)

Respuesta (Alejandro A.): (en espera)

Pregunta: Los vlan pool al final están ligados a un dominio (physical o vmm), ¿puedo tener mismas vlans en diferentes vlan pools pero en diferentes tipos de dominio? – Manfred C. (min.24)

Respuesta (Alejandro A.): Sí se puede, pero las mejores prácticas nos dicen que tengamos estos vlan pools separados para cada dominio, esto debido a que por ejemplo para VMM debemos colocar un Allocation tipo Dinámico y para Phy deberían de ser Allocation tipo Estático, hay escenarios muy específicos donde pueden convivir pero se tiene que revisar la justificación y operabilidad de manera detallada.

Pregunta: ¿Cuál es la diferencia entre Cisco ISE y Cisco ACI? – Rosalio R. (min.25)

Respuesta (Alejandro A.): Cisco ISE es un producto que generalmente sirve para temas de seguridad donde vas a tener los servicios de TACACS para AAA y otras funciones. Cisco ACI es una solución para Data Centers que puede brindar conectividad a gran escala y gran capacidad de envío de tráfico por sus link de 40-100Gb; además ACI brinda soluciones de End to End con temas de integración para soluciones de Virtualización! Punto clave, ACI es una solución de data center y ISE es un producto de seguridad.

Pregunta: ¿Es posible definir solo algunos leafs que vean el BD creado, o siempre serán siempre vistos por todos los leafs? – Evelia L. (min.31)

Respuesta (Alejandro A.): Puedes definir a que leaf le vas a asignar a cada BD, esto pasa básicamente de forma automática cuando asignas un puerto dentro de un EPG. Automáticamente el leaf configura el BD relacionado al EPG cuando se cumple esta configuración. Esto para que la utilización de recursos sea más efectiva en ACI.

Pregunta: ¿Cómo se configura la vlan Nativa si se quiere hacer un port channel hacia un switch "tradicional"? Hernán I. (min.37)

Respuesta (Alejandro A.): Hernán, cuando haces una asignación de un puerto de forma estática dentro de un EPG, ACI te da la opción de configurar el puerto de manera truncal, incluyendo la vlan nativa y de modo acceso. Esto se realiza dentro del Tenant > Application Profile > EPG > Static Ports.

Pregunta: El acceso CLI a los switches ¿es sólo para comandos de consulta? – Luis B. (min.38)

Respuesta (Alejandro A.): Sí, esto debido a que ACI es una solución SDN donde toda su configuración la envía un controlador llamado APIC, toda la configuración se hace desde este controlador.

Pregunta: Si ya tengo una infraestructura spine/leaf pero en modo tradicional o nxos sin ACI, ¿qué tan complicado o impacto tendría convertir sobre esa infraestructura a modo ACI, y cuál sería el mejor path? – Oscar P. (min.38)

Respuesta (Alejandro A.): Hay muchas cosas a considerar, para que pueda funcionar ACI vas a depender de si ya tengas las controladoras que son mandatorias para poder implementar ACI. No es como que puedas llegar y simplemente convertir tus equipos a ACI y listo, hay consideraciones a tomar. Es necesario una estrategia en tu caso para asegurarnos que la migración para de forma correcta.

Pregunta: Cómo se licencia? Por cantidad de spines o leaf, o cómo es? – Luis B. (min.39)

Respuesta (Yosef G.): Para hacer uso de ACI se cuenta con un sistema de licenciamiento conocido como smart licensing, las licencias van a depender del número y modelos de dispositivos que se requieran integrar a la fábrica. Puedes consultar más sobre los detalles del licenciamiento en el siguiente enlace: https://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/guide-c07-736255.html#4CiscoACItieredlicensing 

Pregunta: Sería interesante un webinar de troubleshooting en ACI. – Luis B. (min.41)

Respuesta (Alejandro A.): Ya viene en camino, eso te lo puedo asegurar. Ya está programando sólo es cuestión de tiempo.

Pregunta: Un Application profile debe estar asociado por lo general a los EPG de las misma VRF? o puedo poner EPG de la misma VRF en diferentes Application profile sin ningún problema? – Edwin C. (min.44)

Respuesta (Alejandro A.): Puedes hacerlo sin problema, el Application Profile es nuestra forma de agrupar EPGs, pero no significa que necesariamente todos los EPGs estén dentro del mismo BD o VRF.

Pregunta: ¿Cómo puedes enviar la tabla de enrutamiento de una VRF específica de un Cliente entre 2 Datacenter? Me refiero a tener dos Fabric ACI en diferentes Datacenters. – Gabriel S. (min.45)

Respuesta (Alejandro A.): Quiero entender que esto te refieres a compartir prefijos mediante algún Routing Protocol, si es así ACI tiene algo que se llama L3Out que es justo para poder anunciar estas redes que existen en ACI o para redistribuir rutas que se aprenden de algún otro componente de red. En los siguientes Slides ya van a mostrar esta parte.

Pregunta: Podría ACI permitir monitoreo por API de dispositivos legacy? Como el vManage por ejemplo. – Javier M. (min.47)

Respuesta (Alejandro A.): ACI tiene da acceso a sus APIs, es muy común monitoreo o automatización de configuración por sus APIs.

Pregunta: ¿Qué pasa si se hace dos conexiones de legacy a ACI pero no en portchannel, buscando un activo - pasivo, del lado de legacy STP debería bloquear uno de los caminos para evitar el loop, es viable este diseño? – Luis B. (min.48)

Respuesta (Alejandro A.): ACI por defecto lo que hace es simplemente reenviar los BDPUs, pero no los procesa. ACI se podría ver afectado si recibe un TCN de STP porque va este si causa una acción de borrar las tablas de MAC/EP en el BD donde este el puerto que reciba el BDPUs. La mejores prácticas dicen que mejor evitar este tipo de escenarios y hacer que la topología de STP no dependa de ACI y para esto bloqueamos el envío de BPDUs a ACI.

Pregunta: Cuál sería el diseño de conectividad para dos DCs separados geográficamente?, y en ambos DCs hay ACI? – Luis B. (min.56)

Respuesta (Alejandro A.): ACI tiene una solución para esto que se llama ACI Multisite, esto para lograr extender los 2 Data Centers Geográficamente separados controlado desde un punto central. https://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/white-paper-c11-739609.html 

Pregunta: Cuando estás creando un l3out para comunicar con por ejemplo un firewall fuera del fabric, pero ese l3out va a hablar ospf con el fw, por qué definir un segmento en el external epg? – Carlos G. (min.66)

Respuesta (Alejandro A.): En el L3Out siempre es necesario definir nuestro External EPG, es la relación directa a los objetos dentro de ACI, entonces es necesario poner los prefijos en esta parte para que podamos completar la relación de objetos de ACI correctamente. Generalmente lo que sea hace es un 0.0.0.0 que cubra todos los prefijos para no tener que colocar cada uno de los prefijos que se aprenden por OSPF, pero es importante mencionar que hay diferentes escenarios que esto se puede manejar de forma diferente.

Pregunta: Cómo de transmite el BPDU sólo por el EPG, qué pasa si un EPG contiene múltiples VLAN? – Herbert C. (min.80)

Respuesta (Alejandro A.): Esto depende de la configuración de Flooding que tengas en el BD.

Pregunta: Claro, entiendo esa parte que debemos de tener los APIC y hacer un análisis exhaustivo, en este caso ¿con quién nos podemos apoyar para hacer este análisis? – Oscar P. (min.81)

Respuesta (Alejandro A.): Te enviaremos la información.
Respuesta (Jimena S.): Se mandó un correo electrónico con las respuestas a las preguntas concretas.
Respuesta (Yosef G.): Nos hemos intentado comunicar contigo para darle seguimiento a tu pregunta y poder proporcionar la información que requieres.

Nuestros expertos

Yosef García - Se unió a Cisco en 2021 y es Technical Consulting Engineer del Centro de Asistencia Técnica (TAC) de Cisco para Data Center ACI. Yosef participa continuamente en proyectos enfocados en la detección de errores y la creación de contenido especializado para ACI. Anteriormente ha trabajado como ingeniero de verificación y validación de nuevas soluciones para diferentes sectores de telecomunicaciones. Yosef tiene las certificaciones CCNP Enterprise, CCNP Data Center y DevNet.

Antonio Pérez - Se incorporó a Cisco a finales de 2021 y es Technical Consulting Engineer del Cisco TAC para Data Center ACI. Cuenta con más de una década de experiencia como ingeniero de redes enfocándose principalmente en protocolos de enrutamiento a nivel Enterprise y Service Provider; así como en la integración de diferentes proveedores de comunicaciones celulares GSM, GPRS y LTE. Ha estado involucrado en proyectos de seguridad y migración de centros de datos, incluidas las mejores prácticas para instalar y montar equipos de red. Antonio tiene certificación CCNP Enterprise, CCNP Data Center (core exam) y CompTIA N+ y se está preparando para tomar su examen DevNet Associate.