P: ¿El gestor (APIC) puede ser implementado en nube?

R: Es correcto, desde cierta versión, 4.x en adelante se puede implementar en AWS, Azure y Google Cloud. 

 

P: ¿APIC es un servidor y CLUSTER es un conjunto de servidores APICs?

R: Es correcto.

 

P: ¿Qué es fábrica? ¿Son servidores dedicados?

R: La fábrica se refiere al conjunto de APICs, Leafs y Spines.

 

P: ¿Aquí no existe nada de spanning tree?

R: Correcto ACI no corre spannning tree.

 

P: ¿Por qué se le dice fábrica?

R: A la solución integral de ACI (APIC + Leaf Switch + Spine Switch) se le hace llamar fábrica o fábrica de ACI. 

 

P: ¿El despliegue del fabric requiere mínimo 03 APIC? ¿cuál sería la función del tercero?

R: La fábrica puede incluso ser administrada por un APIC. Pero para un cluster el mínimo es de 3 por best practice por si llega a fallar cualquier otro controlador.

 

P: ¿Los SPINEs usan direcciones TEP como indican en la lámina pasada?, tenía entendido que sólo los LEAFs.

R: Es correcto, todo switch Leaf y Spine dependen de una dirección TEP para formar el underlay con ISIS y el overlay con VXLAN.

 

P: ¿Cisco ACI funciona orquesta dispositivos multivendor?

R: No, el APIC es sólo orquestador de los switches N9k de Cisco. Ya en los puertos de acceso de los Leaf swithes se puede conectar prácticamente cualquier dispositivo de red. 

 

P: Se puede/recomienda habilitar ACImultisite? ¿Existen requisitos para ello, por ejemplo, límite de latencia?

R: Se recomienda si y sólo si quieres extender tu fábrica, existen algunos requisitos los cuales mencionaremos más adelante.

 

P: Estoy en una empresa donde no tienen documentado las IPs del CIMC. ¿Cómo puedo verlo por medio del apic?

R: Desde el APIC no se puede ver la IP del CIMC. Para ello es necesario ir directamente a sitio y se puede conectar localmente al equipo con una pantalla y un teclado para ver la configuración del mismo.  

 

P: Entiendo que ACI estaría orientado a SDWAN, entonces ¿cuál es la diferencia con Viptela?

R: SDWAN es otra solución de Cisco, y tiene integración con ACI. SDWAN está orientado como lo dice el nombre a la WAN o ISP. Mientras que ACI es una solución orientada a Centro de Datos.

 

P: ¿Los APIC cluster no deberían conectarse directamente a los Spines? 

R: Por la arquitectura es mandatorio conectarlo siempre a un leaf switch, nunca a un spine.

 

P: ¿Dónde queda la capa de acceso? ¿Se conectan al APIC?

R: En ACI, la capa de acceso queda en los Leaf switches.

 

P: ¿así que conecte no debería entrar por medio de console con usr y pwd? ¿Ok, entonces me puedes decir white paper a seguir?

 

P: ¿Pueden coexistir en un fabric ACI una implementación enfocada en Aplication Centric y Network Centric a la vez? ¿Cuál es la diferencia entre estas implementaciones?

R: Si pueden coexistir, esto depende de las necesidades del diseño. Network Centric es relación uno a uno EPG - BD. Mientras que Application Centric es una relación de muchos EPG a un BD.

 

P: ¿Se puede desactivar la API o restringir los accesos desde las estaciones de administración permitidas? ¿Esta API está disponible sólo en los APIC o aplica en más equipos?

R: El APIC por defecto utiliza APIs para cualquier configuración. Se puede restringir los accesos utilizando Usuarios con privilegios Only Read para no realizar ningún cambio. Toda operación se realiza desde el APIC, no se puede hacer ningún cambio desde ningún Leaf o el Spine. 

 

P: ¿Qué es IPN?

R: Significa InterPod Network. Es decir, son los routers externos a ACI que van a conectar ambos Pods.

 

P: ¿Se requiere/soporta Jumbo Frame?

R: ACI por defecto soporta JumboFrame. El IPN sólo se requiere si algún servidor final envía paquetes JumboFrame. 

 

P: El reemplazo de una red tradicional o una red ACI en el punto de vista seguridad, ¿cómo es el tratamiento de las alarmas en la red ACI, viene con modelos de seguridad o se debe implementar FW en la red ACI?

R: ACI tiene un sistema de administración y monitoreo por medio de Eventos o Faults, por defecto es una red Zero-Trust y para habilitar la comunicación se deben de crear Contratos, cabe destacar que no se reemplaza a un FW ya que ambos funcionan de manera diferente.

 

P: ¿Los IPN son routers o modelos?

R: Es correcto, son routers externos. Pueden ser N7k, N9k, u otro tipo de router que soporte Multicast PIM BIDIR y DHCP Relay. Además de los requerimientos antes mencionados.

 

P: ¿Licenciamiento es en base a suscripción? ¿Hay distintos tier de licencias?

R:  Es necesario para cierta features que se pueden ver en el siguiente whitepaper. Pero por defecto puede operar sin licenciamiento. https://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/all/smart-licensing/b_Smart_Licensing.html

 

P: ¿Encripta los datos en tránsito en el fabric y extensión fabric, ya sea en un DC local y a otro remoto como multisite? 

R: El tráfico local se encapsula en VXLAN pero este no es encriptado, para el deployment de Multisite existe la opción de encriptar el tráfico entre sitios. 

 

P: En escenario de integración ACI con topología tradicional (legacy) en otro DC, es soportado compartir default gateway (tipo VIP), ¿cómo conmuta en dicho caso?

R: No, sólo 1 Gateway debe de existir en la red, se puede extender las VLANs hacia ACI o viceversa que el Gateway se migre a ACI y se extiendan los trunk ports hacia la red legacy. 

 

P: ¿La VRF se podría considerar como una VLAN?

R: No, el Bridge Domain es el que puede considerar como una Vlan, en ACI un Bridge domain puede contener diferentes VLANs en diseño Application Centric. 

 

P: ¿Es decir que tengo un EPG para entrada y otro para salida?

 

P: ¿Un EPG es como una VLAN?

R: Correcto, un EPG maneja una VLAN única.

 

P: ¿Se pueden hacer labs de ACI en Netsim o alguna otra herramienta como EVE-NG?

R: Sí, existe un pequeño simulador de ACI (ACI Simulator), pero este no se puede simular en EVE-NG u otros programas.

 

P: ¿Se elimina el problema de STP?

R: Así es en la infraestructura de ACI no hay más STP. 

 

P: ¿Se pueden configurar puertos mirror? 

R: Sí, en ACI también se puede configurar SPAN o ERSPAN.

 

P: ¿Cuál es el límite de Tenant, bridge domain y EPG que se pueden crear?

R: La escalabilidad depende de la versión y el HW instalado. 

 

P: ¿Un tenant sólo puede pertenecer a una VRF?

R: No, dentro de un tenant pueden existir multiples VRFs.

 

P: ¿Para agregar leaf o spine dentro de un ACI establecido, deben contar desde antes con el mismo firmware de la topología o se asocia indistintamente y desde el apic se realiza el upgrade posterior a la asociación?