请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 279|回复: 2

【咨询专家(ATXs) 】常见问题解答之Cisco ACI篇

[复制链接]
发表于 2021-1-8 09:21:11 | 显示全部楼层 |阅读模式
本帖最后由 huisong 于 2021-1-8 09:21 编辑

此篇为思科咨询专家(ATXs)在线课程中关于Cisco ACIFAQ(常见问题解答)集锦,小编将定期更新。

*思科ATXs全称为咨询专家(Ask the Experts)在线活动 - 是由思科客户成功团队带给思科客户的专属技术讲堂。每月针对不同的思科技术的部署和实施,由思科专家为您分享使用案例、操作演示、并答疑解惑。 更多信息请访问http://cs.co/asksuccess
*Cisco ApplicationCentric Infrastructure以下简称为ACI

问:如果BD里面打开了"UnicastRouting",但是沒有Subnet会怎么样?
答:没有subnetACI 对待该报文为L2报文,只学习SMAC 也很容易路由黑洞,不建议这样做。

问:epg里的subnetbd里的subnet有什么区别,cisco建议在哪里设置subnet比较好?
答: SubnetEPG相关联用作路由泄露,如果有跨VRF的路由泄露,建议在BD下配置Subnet。根据不同情况,大约有70%-80%的用户会在BD下面配置Subnet

问:像我们通常都是通过命令行来确定各个协议的状态是否正常。ACI应该如何做?从哪里开始?都有哪些协议?
答:使用nexus9k, 只能在APIC上做相关配置。
1.运行状态也可以login单独设备去查看相关协议。
2.inventory下都有protocol也可以看学习的协议的状态。主要限制:IPN的设备要求很简单,支持OSPF,支持jumbo MTU

问:不需要切割网络,还需要创建很多TENANT么?
答:如果没有特殊需求去做隔离,可以不需要创建更多TENANT,至少创建一个。

问:如果网关原来写在bd下,这个时候如果要做路由泄露改到epg下,这个过程如何在对业务的影响最小的前提下去操作?
答:EPG下添加这个Subnet ,迁移的时候不从BD上移除这个Subnet

问:目前多ACI之间,要么用m pod方式,要么用m site模式,mpod 要求API共用一个集群m site必须要MSO,否则无法连接 IPN设备。这对网络限制比较多,后期时候有其他方式?
答:目前主要的跨场点分布式部署主要就是apic一个集群,或者多个集群再使用mso来管控,这个是产品的两个主要方向。
追加问:pod限制两个节点必须公用一套apic,site限制必须使用MSO 这不太好。我们两个机房都需要aci ,但是我们并不想使用MSO 或者一套apic 。如果不使用,看起来我们无法通过apic自动配置IPN设备,也没有很好的办法,处理双机房IP漂移问题。
答: 明白您的难处,不想共享一个配置域。连接IPN的配置是在APIC 上或者 MSO上实现的。如果想两个机房单独两套APIC,不需要MSO,只能采用ACI multi fabric的方式,手动DCI打通。中间不能使用vxlan来转发,部署时候的策略需要做两遍。这个我们也有客户是这样做的,尤其是在早期不支持multipod或者multisite的版本上。

问:L4-L7设备接在service leaf下,这些L4-L7层设备只是用于fabric内部东西向流量;还是也用于与fabric外部(或称南北向流量)?
答:东西,南北的流量都可以,取决于配置。

问:ACI 是否有中文版本计划?
答:没有中文版本计划。

问:怎么样计算APICStat可以储存多久?比如说我想5分钟收集比较多一点的Metric可以储存多久?
答:这个可以在fabric-> Fabric Policies -> Policies -> Monitoring -> common Policy.Stats collection policies里设定,另外這些statistics可以在default stats export policiesexport到外面的scp/ftp/http server永久保存,保存出来是JsonFile

问:ACI能创建SNMP TRAP某个特定的OID?

问:有没有一些好工具让ACI管理员可以更快知道两个endpoint之间有哪些servicepermit还是deny?像ASApacket-tracer ACIvisibility&troubleshoot很难找出哪一个servicepermit还是deny
答:可以使用叫NAE的工具,里面的PE的功能可以详细展示EPGcontract细节 https://www.cisco.com/c/en_hk/products/data-center-analytics/network-assurance-engine/index.html

问:请教一个EPG之间的互访问题:客户部署的是基于VLANEPG,一个VLAN对应一个BDEPG。现在有两个EPG,分别是EPG-AEPG-B,两者之间没有contract。如果EPG-A的某个IP想访问EPG-B的某几个IP,要如何处理?
答:可以使用uSegEPG把特定的ip 指定到uSeg EPG 在这些uSeg EPG之间拉contract 但是需要额外的VLAN https://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/3-x/virtualization/b_ACI_Virtualization_Guide_3_1_1/b_ACI_Virtualization_Guide_3_1_1_chapter_0100.html

问:ACIcontract有没有能像防火墙那样专门显示策略的界面,例如ABAC的那样展示? contract多了日常运维麻烦,命令行也只显示ID号。
答:也依靠NAE另外有一个叫ContractViewerAPP也可以试试 https://dcappcenter.cisco.com/contract-viewer.html

问:如果不知道现在设备应用的依赖性,应该如何应用到ACI
答:有如下几种方式:
1.询问业务人员关于现有应用的依赖性
2.使用tetration
3.全部放行,不会有业务影响

问:vZany是否可以定义permit any anyfilter
答:可以,比如permitallcontractvrf下面既做consumer也做provider,那这个vrf下面的流量就会全部permit。效果等于unenforcement

问:BUM流量能通过头端复制方式实现吗?
答:头端复制是multi-site的实现方法,在multipod里面一定是underlaymulticast 请参考图1012https://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/white-paper-c11-737855.html

问:9332c / 9364c spine 可以用原有的10G IPN么?
答:可以用自带的10G接口,也可以用QSA11 40G转成10G

问:2 + 2 的時候如果IPN断掉恢复后,APIC会怎么样解决Dual-Active的问题? 会用 POD1还是POD2的分享资料呢?

问:每个POD都是本地流量优先出局吗?需要什么特殊考虑吗?(L3out的时候)
答:本地出局优先级顺序都是根据QoS设定的,这个和L3out的路由设计有关,如果在一个vrf下面两边都有l3out,学习到相同的路由,优选本地,因为MP-BGP的路由会带入metric

问:multi-pod组网,每个pod都有自己的出口防火墙,防火墙A/S方式部署,在设计上有什么Best Practice
答:我们一般推荐A/A设计,这个问题没有BP,应该是看实现需求和目标,这个guide里面有各种实现的比对,可以看下:https://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-infrastructure/white-paper-c11-739571.html

问:LEAF 连接防火墙做HA这个应该怎样设计?

问:Policy group ACI默认设定好的么?是不能进行自定义进行修改或添加的么?
答:policy group是一组policy的结合,policy有预定义的策略,当然也可以自定义;policy group是需要自定义的,系统默认没有。

问:创建snapshot的时候,是否需要选择fabric
答:建议选择整个fabricsnapshot,如果选择tenant就只是tenant的配置。

问:APIC怎么可以单独升级一台?我们以前都是右键点upgrade一起升级的。
答:不可以单独升级一台,没有独立升级的选项。因为多台APIC是一个cluster,系统强制一起升级。 升级过程中,系统会选择某一台先升级,完成以后自动选择另外一台再升级,不可以并行升级,但是最终所有apic都会升级。

问:先升级SPINE还是先升级leaf,这个有没有best practice
答:一般规模的fabric选择奇偶数分组,保证系统冗余性;如果fabric规模很大,可以切更多的组,因为一个组同时升级的switch大概最多只有50台;并没有先升级spine或者leafpractice

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2021-1-8 15:16:50 | 显示全部楼层
支持下~!                    .
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2021-1-9 13:18:36 | 显示全部楼层
谢谢分享,学习了
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2021-1-23 21:06 , Processed in 0.081103 second(s), 37 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表