思科架构师 黄兆基
思享家
是一个介绍如何利用思科先进技术解决客户难题的栏目。每期聚焦一个技术热点或应用场景,邀请资深思科技术专家深入浅出地介绍,为读者提供实用性强的建议。
在前面的几篇文章里,我为大家介绍了、并。相信大家已经充分了解了IBN在自动化部署、持续运维等方面的突出优势,也掌握了一些部署方法,但鉴于每家企业的业务和网络环境千差万别、历史包袱有轻有重,所以仍然会碰到新问题。
比如为了充分体现IBN的优点,首先要把网关迁移到IBN内的 。这样IBN在识别所有负载(即其IP与MAC地址)后,除了把他们归类到不同的群组(Group)并以策略()来作零信任管控外,还可以利用新一代具备功能的芯片,获得包括网络流(Flow)、延时()、丢包(Drop)等在内的全栈可视化(Full Stack ),再配合Nexus 人工智能整合和分析,可以加快运维特别是排错流程。
用户一般都会把服务器网关配置在防火墙或负载均衡上,他们希望在迁移网关时让负载保留在原来的子网内,以减少对应用和其他团队的影响。但如何保证在网关迁移后负载的防火墙访问需求不变呢?这是一个令很多用户头疼的问题。
Based (PBR)能够很好的解决这个问题。下面我们来看一个简单的演示。
以ACI为例,在初始阶段,图中负载A与B原来的网关还是停留在防火墙内,他们所属的ACI EPG群组因而被设定为纯二层。
在这个设定下,ACI 只能识别到最基本的MAC地址而不包括IP和其他信息。路由管控还在防火墙上而不在范围内。从ACI的拓扑图上也显示负载A与B两个群组之间没有被任何ACI策略所规范。IBN高可视性的优点无法体现。
实施PBR第一步是在迁移网关的同时,将L4-L7 Graph和ACI 绑定,把原来的防火墙访问需求以的方式配置。
更新后的拓扑图显示负载A与B两个群组之间改为由L4-L7策略所规范。
负载A与B的网关已迁移至ACI 内的网关,所属子网保留不变。
通过PBR的设置,把数据包由负载A转发至防火墙指定的IP与MAC地址组合(图例的3.3.3.254),同时在防火墙上以静态路由等方式转发至下一站或是回到内。
PBR不仅可以在网关迁移后保持子网和防火墙访问需求不变,配合多路径对称式导流和防火墙健康性检查等功能,PBR还能实现多台防火墙的冗余和负载均衡,实现具备弹性伸缩能力的防火墙资源池。而且在多活数据中心环境下,还可以解决多出口的非对称路由( )等复杂问题,一举多得。还有一点值得留意的地方是ACI PBR的“R”是“”而不是“”。顾名思义跟一般 Based 不同的地方是ACI PBR的 可以以L1,L2或是L3的模式配合不同场景需求来部署,弹性更大。除了能在ACI上实现,也可以通过最新发布的Nexus (从前的DCNM)在NXOS VxLAN上部署。
思科把一般人认为的PBR加强成为PB , 不单可以对应L3,L1/L2也可以支持,因此可以适合更多不同场景。
下次我会和大家分享如何利用NDFC简化配置NXOS版本的 VxLAN。
B. P商业伙伴是一家致力于为企业生态建设提供生态综合服务的平台。主要为客户提供生态战略咨询与调研、生态拓展与营销、生态合作伙伴大会系列服务,旗下拥有B.P商业伙伴生态全媒体矩阵、数字生态商学院、数字生态研究院等系列平台。
添加Vx:,加入B.P·ICT企业家俱乐部,与国内外名企200+董事长、总裁、总经理、CEO、创始人讨论战略发展;加入B.P生态营销俱乐部与700+精英互动交流市场营销,加入B.P生态管理者俱乐部200+生态管理精英对接合作,加入B.P商业伙伴和媒体朋友们与150+央媒、新闻资讯媒体、行业媒体、知名自媒体联合发声。B.P生态社群矩阵60+,覆盖2万人,定期分享课程及干货学习资料。扫码备注:公司 职务 姓名,发名片,审核后,邀请加入。
欢迎扫码入群、投稿
———END———
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,永久会员只需109元,全站资源免费下载 点击查看详情
站 长 微 信: nanadh666
