el - fecha de última edición por
Jimena Saez
Presentación del webinar Community Live
Domina el Flujo de Paquetes en Cisco ACI: Casos Prácticos y Estrategia
Con la colaboración de Antonio Pérez Oseguera y Élfego Gutierrez.
En esta presentación nos enfocaremos en visualizar como es que ACI realiza el flujo de paquetes dentro de la fábrica en múltiples escenarios y configuraciones. Nos adentraremos en el "detrás de las cámaras" y paso a paso de un paquete que fluye por nuestra fábrica. Finalmente, veremos pasos de validación básicos pare determinar el correcto flujo de nuestras comunicaciones. No espere más y únase a los expertos de TAC.
Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias!,
¿Cómo enviar una pregunta?
Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Esperamos sus preguntas!
Lista de las Q&A del webinar Community Live
Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".
Lista de Preguntas y Respuestas (Q&A)
- Domina el Flujo de Paquetes en Cisco ACI: Casos Prácticos y Estrategia
- Pregunta: ¿Es posible modificar esas veces de movimiento de los Endpoints por vmotions en ACI? - Ely P. (min.31)
- Pregunta: ¿Se puede hacer microsegmentación en ACI? ¿Qué se puede y qué no se puede hacer en temas de microsegmentación, qué debería de hacer ACI y qué debería de hacer mi firewall de Data Center? - Joel A. G. (min.38)
- Pregunta: ARP Glean entonces es similar al comportamiento de ARP en una red tradicional? - Joel A. G. (min.39)
- Pregunta: ¿Cómo se llama la presentación del redirect? - Joel A. G. (min.39)
- Pregunta: ¿Siempre debe estar deshabilitado el unicast routing? - Joel A. G. (min.42)
- Pregunta: ¿Este comando de show system internal epm endpoint funciona solo para mac locales (que se aprenden dentro del mismo SW), o también sirve para ver macs en otros SW? - Román G. (min.45)
- Pregunta: Rouge EP Control esta deshabitado por defecto, en este estado ¿no cataloga a los EP como rougue? - Santiago I. (min.46)
- Pregunta: ¿El ftag tree es la manera en la que se forma el multicast tree, como sparse mode? - Román G. (min.52)
- Pregunta: Si no se pueden aprender IPs detrás de una L3out, ¿cómo envío tráfico ruteado fuera de mi fábrica de ACI? - Joel A. G. (min.54)
- Pregunta: El checbox de IP Data Plane Learning ¿cuál es propósito, y en sí, cuál sería la best practice con este feature’ - Roman G. (min.56)
- Pregunta: el MP-BGP EVPN se debe configurar en los sipines o ya viene configurado por defecto? - Joel A. G. (min.66)
- Pregunta: Si tengo 2 POD, en cada de uno se tiene el mismo direccionamiento en modo activo - pasivo los server bermetal. Cuando requiera activar el server que está en modo pasivo a activo, ¿es necesario hacer un clear arp? - Paul M. (min.67)
- Pregunta: ¿Hace sentido o tiene algún valor tener Nexus Dashboard Orchestrator teniendo un solo sitio? - José Luis C. (min.75)
- Pregunta: En multisite ¿todo lo debo configurar en el NDO o también puedo seguir configurando en los APICs locales de cada sitio? - Joel A. G. (min.78)
- Pregunta: Los valores de VXLAN no son los mismos en un sitio en multisite, pero que hay de multipod, ¿aquí sí son los mismos valores de vxlan? - Joel A. G. (min.81)
- Pregunta: ¿ftag y gipo es lo mismo? - Joel A. G. (min.81)
- Pregunta: ¿Qué criterio debo usar para decidir sobre un despliegue multipod o uno multisite? - Joel A. G. (min.86)
- Pregunta: ¿Dónde descargo la presentación? Gracias - Santiago I. (min.94)
- Pregunta PQ#1: ¿Qué objetivo tiene COOP en ACI?
- Pregunta PQ#2: Dentro del Bridge Domain, ¿Qué opciones se pueden configurar en L2 Unknown Unicast?
- Pregunta PQ#3: ¿Qué es un Pervasive Gateway en ACI?
- Pregunta PQ#4: ¿Quién se encarga de hacer un ARP Glean para un ARP flooding, en una fábrica Multi-pod?
Pregunta: ¿Es posible modificar esas veces de movimiento de los Endpoints por vmotions en ACI? - Ely P. (min.31)
Respuesta (Alfredo Daniel R.): Rogue EP Control es configurable. Se puede definir el número de movimientos dentro de un periodo. Tanto el número de movimientos como el periodo son configurables. Ej. X número de movimientos en Y minutos. La config la encuentras en System Settings -> Endpoint Controls -> Rogue EP Control
Pregunta: ¿Se puede hacer microsegmentación en ACI? ¿Qué se puede y qué no se puede hacer en temas de microsegmentación, qué debería de hacer ACI y qué debería de hacer mi firewall de Data Center? - Joel A. G. (min.38)
Respuesta (Jeepson R.): Hola Joel gracias, gracias por tu pregunta
Sí, Cisco ACI permite la microsegmentación, que es una característica clave para mejorar la seguridad dentro del centro de datos al proporcionar un control más granular sobre el tráfico de red. Microsegmentación en ACI Lo que se puede hacer: Filtros y Contratos: Puedes definir filtros y contratos para controlar el tráfico entre endpoints. Esto permite aplicar políticas de seguridad específicas a nivel de aplicación. Endpoint Groups (EPGs): Utiliza EPGs para agrupar endpoints con funciones similares y aplicar políticas de red y seguridad de manera consistente. Zonas de Seguridad: Crea zonas de seguridad dentro de ACI para segmentar aún más el tráfico y aplicar políticas estrictas entre diferentes zonas. Lo que no se puede hacer: Inspección de Nivel de Aplicación Compleja: Aunque ACI permite definir políticas a nivel de capa de aplicación, no puede realizar una inspección profunda de paquetes como un firewall dedicado. Funciones Avanzadas de Seguridad: Características como protección contra amenazas avanzadas, filtrado de contenido, o análisis de tráfico cifrado suelen requerir soluciones específicas de seguridad. Este documento explica las capacidades de microsegmentación en Cisco ACI. https://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/white-paper-c11-743951.html#Microsegmentation
Pregunta: ARP Glean entonces es similar al comportamiento de ARP en una red tradicional? - Joel A. G. (min.39)
Respuesta (Alfredo Daniel R.): Sí es similar, se basa en intentar encontrar el host destino cuando no se ha aprendido.
Pregunta: ¿Cómo se llama la presentación del redirect? - Joel A. G. (min.39)
Respuesta (Alfredo Daniel R.): Hola Joel, te refieres a la presentación de PBR? Si es así, se llama Inmersión profunda a Enrutamiento Basado en Políticas (PBR).
Pregunta: ¿Siempre debe estar deshabilitado el unicast routing? - Joel A. G. (min.42)
Respuesta (Alfredo Daniel R.): No, dependiendo el tipo de BD que quieras, L2 o L3. Si quieres definir los leaf como el GW del segmento de red, entonces va habilitado. Si por ejemplo el GW queda en un dispositivo conectado al leaf(ACI no es el GW), el BD debe ser L2 y por lo tanto Unicast routing deshabilitado.
Pregunta: ¿Este comando de show system internal epm endpoint funciona solo para mac locales (que se aprenden dentro del mismo SW), o también sirve para ver macs en otros SW? - Román G. (min.45)
Respuesta (Alfredo Daniel R.): El comando también es posible para MAC remotas. Por ejemplo en BDs capa 2, el leaf tiene que buscar si sabe en qué leaf remoto vive esa MAC. Si tiene el learning manda el tráfico a ese leaf remoto
Pregunta: Rouge EP Control esta deshabitado por defecto, en este estado ¿no cataloga a los EP como rougue? - Santiago I. (min.46)
Respuesta (Jeepson R.): Hola Santiago gracias por participar. Cuando esta función está deshabilitada, ACI no realizará la clasificación automática de endpoints como "rogue" o sospechosos. En el siguiente documento encontraras mayor información sobre Rogue EP Control https://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/white-paper-c11-739989.html#RogueEPControl
Pregunta: ¿El ftag tree es la manera en la que se forma el multicast tree, como sparse mode? - Román G. (min.52)
Respuesta (Alfredo Daniel R.): ftag tree es la forma en la que ACI manda tráfico BUM sin crear loops. Y sí utiliza multicast para ello. Cada BD usa una IP multicast llamada GiPo y el ruteo del tráfico broadcast, unknown o multicast es encapsulado dentro de este GiPo (mcast address) dentro de la fábrica.
Pregunta: Si no se pueden aprender IPs detrás de una L3out, ¿cómo envío tráfico ruteado fuera de mi fábrica de ACI? - Joel A. G. (min.54)
Respuesta (Jeepson R.): Hola Joel gracias por tu pregunta. Cuando se trabaja con Layer 3 Out (L3Out), es importante entender cómo se manejan las rutas y el tráfico hacia y desde la red externa. Aunque ACI no "aprende" las IPs de la misma manera que en un entorno tradicional, sí permite el enrutamiento de tráfico hacia redes externas mediante configuraciones específicas. Cómo Enviar Tráfico Ruteado Fuera de ACI:
[+] Configuración de L3Out: Asegúrate de que tienes configurada correctamente la L3Out. Esto implica definir un External Routed Network (ERN) en el ACI que se conecte a tu red externa.
[+] Políticas de Contrato: Configura contratos entre los Endpoint Groups (EPGs) internos y la L3Out para permitir el tráfico. Esto es fundamental ya que ACI utiliza contratos para gestionar el flujo de tráfico entre diferentes segmentos de la red
[+] Anuncios de Ruta: Publica las rutas necesarias desde ACI hacia la red externa. Esto se hace a través de protocolos de enrutamiento dinámico como BGP (Border Gateway Protocol) o OSPF (Open Shortest Path First).
[+] Red de Enrutamiento Externa: Configura la red externa para que acepte rutas de ACI y anuncie sus propias rutas de retorno. Esto asegura que haya un camino bidireccional para el tráfico.
[+] Subredes Publicadas: Asegúrate de que las subredes internas que necesitan comunicarse con la red externa están correctamente publicadas a través de la L3Out.
Pregunta: El checbox de IP Data Plane Learning ¿cuál es propósito, y en sí, cuál sería la best practice con este feature’ - Roman G. (min.56)
Respuesta (Alfredo Daniel R.): Hola Roman, IP data plane learning es básicamente aprender las IPs de los endpoints del tráfico y el comportamiento por defecto. Para aprender un EP en ACI se aprende del tráfico y la IP de origen. En ocasiones especiales como PBR donde el tráfico puede regresar por otro puerto, el leaf estaría actualizando el EP a ese puerto nuevo por lo tanto causando intermitencias. Deshabilitarlo implica aprender las IPs de paquetes especiales como son ARP o GARP, de esa forma el EP sigue aprendido en el leaf original y cuando el tráfico regresa al fabric por PBR no se reaprende ya que no hay forma que el ARP provenga del FW o LB que se usa para PBR.
Pregunta: el MP-BGP EVPN se debe configurar en los sipines o ya viene configurado por defecto? - Joel A. G. (min.66)
Respuesta (Jeepson R.): Hola Joel, gracias por tu pregunta: Esta configuración es parte de los primeros pasos al configurar su fábrica. MP-BGP EVPN está configurado automáticamente en los switches spine como parte del funcionamiento estándar del fabric de ACI. Los switches spine se encargan de la propagación de rutas y la comunicación entre los leaf switches. https://www.cisco.com/c/dam/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/aci-guide-configuring-fabric-bgp-route-reflectors.pdf
Pregunta: Si tengo 2 POD, en cada de uno se tiene el mismo direccionamiento en modo activo - pasivo los server bermetal. Cuando requiera activar el server que está en modo pasivo a activo, ¿es necesario hacer un clear arp? - Paul M. (min.67)
Respuesta (TBC): en espera.
Pregunta: ¿Hace sentido o tiene algún valor tener Nexus Dashboard Orchestrator teniendo un solo sitio? - José Luis C. (min.75)
Respuesta (Alfredo Daniel R.): Hola José, una ventaja es que NDO permite definir la configuración antes de empujarla al APIC y los switches. En el APIC puede ser tedioso si buscas configurar varios objetos a la vez. Considera que dependiendo la versión de NDO, algunas cosas pueden no estar disponibles para configurar o no estar soportadas desde NDO.
Pregunta: En multisite ¿todo lo debo configurar en el NDO o también puedo seguir configurando en los APICs locales de cada sitio? - Joel A. G. (min.78)
Respuesta (Jeepson R.): Hola Joel, gracias por tu pregunta:
[+]Network Domain Orchestrator (NDO): Centralización de Políticas: El NDO se utiliza para gestionar políticas y configuraciones que deben aplicarse de manera consistente en múltiples sitios. Esto incluye la creación de plantillas de políticas comunes que se replican en todos los sitios. Interconexión de Sitios: Configura la conectividad entre diferentes sitios ACI, asegurando que las políticas y el tráfico se gestionen adecuadamente entre ellos. Consistencia: Facilita la consistencia de políticas y configuraciones a través de los sitios, lo cual es esencial para mantener una administración simplificada
[+] APICs Locales: Configuraciones Específicas del Sitio: Puedes seguir configurando aspectos específicos y únicos de cada sitio localmente en los APICs individuales. Esto incluye configuraciones que no necesitan ser replicadas o gestionadas a nivel global. Operaciones Locales: Gestiona y supervisa las operaciones y configuraciones locales específicas que no afectan a otros sitios.
Pregunta: Los valores de VXLAN no son los mismos en un sitio en multisite, pero que hay de multipod, ¿aquí sí son los mismos valores de vxlan? - Joel A. G. (min.81)
Respuesta (Jeepson R.): Hola Joel, gracias por tu pregunta:
[+] Multi-Site: VXLAN IDs Únicos: En un entorno Multi-Site, cada sitio ACI tiene su propio conjunto de IDs de VXLAN. Esto significa que los valores de VXLAN pueden ser diferentes entre los sitios, ya que cada uno opera de manera independiente en cuanto a encapsulación y segmentación
[+] Multi-Pod: VXLAN IDs Consistentes: En un entorno Multi-Pod, los pods están conectados y gestionados como una sola instancia ACI. Esto permite que los mismos valores de VXLAN IDs se utilicen a través de todos los pods, manteniendo la consistencia en la segmentación de red. La gestión centralizada a través de un solo clúster APIC asegura que las políticas y configuraciones, incluyendo los VXLAN IDs, se apliquen uniformemente.
Pregunta: ¿ftag y gipo es lo mismo? - Joel A. G. (min.81)
Respuesta (Alfredo Daniel R.): No, pero van relacionados. El ftag es un valor de 0 a 15, mientras que la GiPo es una IP de multicast. Ahora cuando el tráfico se manda dentro del fabric, se agrega la ftag a la Gipo. por ejemplo para una gipo 225.0.0.0 y un ftag 10, el paquete con cabecera VXLAN, del leaf al spine, tendría la IP destino de 225.0.0.10
Pregunta: ¿Qué criterio debo usar para decidir sobre un despliegue multipod o uno multisite? - Joel A. G. (min.86)
Respuesta (Jeepson R.): Hola Joel, gracias por tu pregunta. Elegir entre un despliegue Multi-Pod y uno Multi-Site en Cisco ACI depende de varios criterios relacionados con los requisitos técnicos, operativos y de negocio de tu organización. Aquí hay algunos puntos clave a considerar
[+] Multi-Pod: Proximidad Física - Ubicaciones Cercanas Requerimientos de Latencia - Baja Latencia Administración Centralizada - Gestión Unificada Menor Complejidad - Configuración Sencilla.
[+] Multi-Site: Distancia Geográfica - Ubicaciones Remotas Resiliencia y Recuperación ante Desastres - Alta Disponibilidad Autonomía Operativa - Independencia de Sitios Capacidades de Orquestación - Políticas Globales
Pregunta: ¿Dónde descargo la presentación? Gracias - Santiago I. (min.94)
Respuesta (Alfredo Daniel R.): Descarga la presentación desde https://community.cisco.com/t5/documentos-data-center/doc-domina-el-flujo-de-paquetes-en-cisco-aci-casos-pr%C3%A1cticos-y/ta-p/5230136?attachment-id=234840 La grabación del evento estará disponible a partir de mañana en este enlace https://community.cisco.com/t5/videos-data-center/video-flujo-de-paquetes-en-cisco-aci-casos-pr%C3%A1cticos-y/ba-p/5230142
Pregunta PQ#1: ¿Qué objetivo tiene COOP en ACI?
Opciones de respuesta: a) Proteger y separar el tráfico entre control y data plane b) Proteger que los endpoints locales no sean aprendidos como remotos c) Es un protocolo de sincronización y conectividad en ACI d) Guardar información de los endpoints que se han aprendido en la fábrica // Respuesta Correcta: d) Guardar información de los endpoints que se han aprendido en la fábrica
Pregunta PQ#2: Dentro del Bridge Domain, ¿Qué opciones se pueden configurar en L2 Unknown Unicast?
Opciones de respuesta: a) Flood b) Flood in BD c) HW Proxy d) Flood in Encapsulation e) ARP Flooding // Respuesta Correcta: a) Flood y c) HW Proxy
Pregunta PQ#3: ¿Qué es un Pervasive Gateway en ACI?
Opciones de respuesta: a) Es un Gateway que evita configurarse en otros switches que no han habilitado Unicast Routing b) Subnet que actúa como Gateway y es configurada a través de todo el BD c) Subnet que actúa como Gateway pero únicamente se configura en un switch dentro del mismo BD d) Es un Gateway virtual dentro del BD configurado // Respuesta Correcta: b) Subnet que actúa como Gateway y es configurada a través de todo el BD
Pregunta PQ#4: ¿Quién se encarga de hacer un ARP Glean para un ARP flooding, en una fábrica Multi-pod?
Opciones de respuesta: a) El mismo Leaf actúa como Proxy y reenvía el paquete b) Cualquier spine que reciba el paquete c) Spine que contenga la GIPO para poder realizar un mensaje JOIN the IGMP d) El Spine Remoto, ya que él es el único que tiene conocimiento de la GIPO del BD // Respuesta Correcta: c) Spine que contenga la GIPO para poder realizar un mensaje JOIN the IGMP
Nuestros expertos
Si usted tiene dudas o está experimentando problemas técnicos con alguno de los productos Cisco, publique su pregunta, solicite información o utilice el motor de búsqueda de la Comunidad de Cisco en español, antes de abrir un caso con el TAC.