เรียนรู้การเริ่มต้น Configure Cisco ACI

Cisco ACI คือ Software Define Network ตัวนึงของ Cisco นั่นเองครับ ซึ่งตัว ACI นี่เองก็มีศัพท์เทคนิคเวลาเราจะทำการ Configuration เยอะแยะมากมายนะครับ วันนี้ผมจะมาเรียบเรียงเอาไว้ให้เราคุ้น ๆ กันไว้ก่อน เผื่ออนาคตจะได้มีโอกาสไปทำงานที่เกี่ยวข้องกับ ACI นะครับ โดยจะเริ่มต้นจากเวลาเราเข้าไป Configure ตัว ACI กันเลยครับ

Step configuration workflow:: Add tenant > สร้าง VRF > สร้าง object ตัว bridge domain

– Tenant คือ Logical Container เป็นกล่อง ๆ นึง แยก admin scope ในมุมมองของ policy หรือแยกตาม flow การทำงานก็ได้ เช่น Production, Development, Sales

1 Tenant มีผู้ดูแลระบบ 1 คน ซึ่งทำอะไรจะไม่มีผลกระทบต่อ Tenant อื่น

Cisco มี 3 defaults Tenant มาให้แล้ว
Common tenant เอาไว้ใช้กับทุก ๆ Tenant เลยจะเก็บพวก share service เช่น DNS
Infra tenant เป็นการสื่อสาร infra ภายในกันเอง เช่นระหว่าง Spine กับ Leaf กันเอง, DHCP
Mgmt tenant ใช้สำหรับ out of band, in band management ใช้สำหรับการส่ง snmp, syslog

มีการสร้าง vrf ขึ้นมา ในแต่ละ Tenant

– BD (Bridge Domain) step ของการ flood ใน L2 ให้นึกถึง VLAN ที่เป็นกลุ่ม domain เดียวกัน
– ใครอยู่ใน BD เดียวกัน สามารถคุยกันได้ ถึงแม้ว่าจะอยู่คนละ vlan ก็ตาม
– BD คือ scope การ flood ของ Layer2 ตราบใดที่อยู่ใน BD เดียวกัน สามารถติดต่อกันได้ แม้ว่าอยู่คนละ vlan

– EPG (Endpoint Group) คือกลุ่มของ Endpoint
– Endpoint คือเครื่องอะไรก็ตามที่มี MAC Address
– ใน ACI ใน Leaf จะเก็บตาราง IP และ Endpoint
– Contracts จะอนุญาตให้ 2 EPGs คุยกันได้ เป็นเหมือน acl ที่ permit ให้ EPG คุยกัน

– Managed object hierarchy ใน object ของ ACI ต้องมีการผูกเป็น พ่อแม่ ลูก กันเสมอ
Tenant > VRF > Bridge Domain > EPG > EP

– Network-centric configuration เป็นการ configure แบบอิง vlan เป็นหลัก
– Application-centric configuration มี BD เดียว เครื่องทุกเครื่องอยู่ใน subnet เดียวกัน แล้ว classify ตัว EPG ให้อยู่ในกลุ่มตามแต่ละ Application เป็นหลัก เช่น WEB EPG, APP EPG โดยไม่สนใจเรื่องของ vlan อีกต่อไป

– วิธีการสร้างชื่อใช้ Camel case เช่น SwitchProfile คือตัวแรกตัวใหญ่ หรือ ใช้ _ ช่วย Cloud_Mgmt ไม่ควรใช้เครื่องหมาย – เพราะเป็นเครื่องหมายที่ ACI System มัน generate ให้เราอัตโนมัติ ป้องกันการสับสน

– Tenant names ให้สั้นและสื่อความหมาย
– VRF ex Prod_VRF, Main_VRF

– BUM traffic: Broadcast, unknown unicast, multicast
บน ACI จะใช้ multicast address เป็นคนทำ โดยกระจายตาม bridge domain ซึ่งแตกต่างจาก flood สมัยก่อนที่ flood ภายใต้ vlan เดียวกัน (บน ACI จะ flood ภายใต้ bridge domain เดียวกัน)
– Flood in Encapsulation จะ flood ใน BD เดียวกัน และ vlan เดียวกันเท่านั้น
– Hardware Proxy mode คืออะไรไม่รู้ให้ถาม spine (ไม่ flood) ตัว spine จะมี coop database เป็นฐานข้อมูลที่เก็บ endpoints ซึ่งจะทำให้ลดปริมาณการ flood ใน fabric แต่เมื่อไหร่ Spine ไม่มีฐานข้อมูลนี้มันก็จะ drop (อาจจะมี silent host ใน vm อาจจะโดน firewall block ไม่ส่งอะไรขึ้นไปบน leaf และ spine เลย)

– ARP flooding ใครก็ตามส่ง arp ขึ้นมา ตัว leaf จะ learn ip นั้นและส่งไปเก็บใน coop database บน Spine, การเปิด arp flooding เป็นการ make sure ว่า arp นี้ไปถึงปลายทางแน่ ๆ

– Endpoint Tables Tuning
1.การเปิด unicast routing เปิดให้ ACI learn ip เมื่อไหร่ spine อยู่ใน ACI fablic เปิด unicast routing แล้วใส่ gateway ip เข้าไป แต่เมื่อไหร่เป็น gateway ภายนอก ACI fabric ต้องไปปิด unicast routing เพื่อไม่ให้ learn ip ชุดนี้ แล้วทำการ flood ออกไป
2.IP aging เป็นการแก้ปัญหา mac ที่มันซ้ำกัน (หลาย ๆ ip share mac address เดียวกัน) เมื่อโดน nat ไปจะเป็น ip เดียวกัน ตัว ACI มันจะคิดว่าทำงานด้วยกันทั้งหมด การ set ip aging ทำให้มีการ clear เรื่องของบาง ip ที่ไม่ได้ใช้งานนานสักพักแล้วออกไป

ถือว่าเป็น EP1 เริ่มต้นของ Cisco ACI กันก่อนนะครับ ฝากกด Share ไปให้เพื่อน ๆ อีกหลาย ๆ คนเพื่อเป็นประโยชน์ในการทำงานกันและกันนะครับ ขอบคุณมากครับ