В первой части статьи мы с Вами разобрали самые основы программно-определяемой фабрики Cisco ACI. В данной части статьи мы с Вами поговорим об основных кирпичиках, на которых строятся модели политик доступа на фабрике.
Модель сетевых политик, применяемых на фабрике Cisco ACI, состоит из набора определенных компонент, таких как Тенант (Tenant), Домен коммутации (Bridge Domain, BD), группа конечных хостов (End Point Group, EPG) и др.
Модель политик можно разделить на две основные части: логическая модель и конкретная модель. Это означает, что все логические настройки преобразуются в конкретные настройки, которые помещаются на физическое оборудование. Данный процесс представлен на рисунке ниже.
Связь между физическими и логическими компонентами Cisco ACI можно изобразить в виде условного иерархического дерева Management Information tree (MIT), как показано на рисунке ниже.
Тенант
Тенант представляет собой контейнер, используемый для объединения других объектов (контектсы, домены, контракты и пр) между собой. Тенанты могут быть как полностью изолированы друг от друга, так и иметь общие ресурсы.
Контексты
Контекст используется для определения уникального домена передачи трафика 3-го уровня. В одном тенанте может существовать один или более контекстов.
Контекст также известен как ‘частная (или приватная) сеть’ и может рассматриваться как аналог VRF (Virtual Routing Forwarding) в классических сетях передачи данных. IP адресация между разными контекстами может пересекаться друг с другом.
Коммутируемые домены и сети
Коммутируемый домен (BD) представляет собой конструкцию, которая определяет границы широковещательного домена 2-го уровня. BD может рассматриваться как аналог VLAN в классической сети с определенными улучшениями (напр. ARP snooping).
Сеть (subnet) определяет шлюз, который используется в данном BD. Обычно указанный шлюз выступает в роли шлюза по-умолчанию для конечных устройств, подключенных в BD. Шлюз существует на всех Leaf коммутаторах, на которых присутствует соответствующий BD.
Группы конечных устройств
EPG это один из самых важных компонентов в структуре политик Cisco ACI, который используется для группирования конечных устройств по какому-либо признаку.
В большинстве случаев классификация устройств осуществляется по одному из следующих параметров:
- Virtual NIC интерфейс
- Физический интерфейс Leaf коммутатора
- Номер VLAN, полученный из заголовка 802.1Q пакета
- IP адрес устройства.
Контракты
Контракт представляет собой объект, используемый для определения правил взаимодействия между разными EPG (как показано на рисунке ниже).
Для контрактов действуют следующие правила:
- Если между двумя EPG не применен контракт, то взаимодействие между казанными EPG невозможно.
- Внутри EPG весь трафик разрешен (если не применяется микросегментация)
У любого контракта есть провайдер и потребитель. Провайдер – тот, кто предоставляет услугу, потребитель – тот, кто получает услугу. Контракт применяется по направлению от потребителся к провайдеру.
Фильтры и субъекты
Фильтр представляет собой правило, которое разрешает или запрещает взаимодействие по определенному протоколу и/или порту (напр. TCP/80). В каждом фильтре может быть одно или более правил (называемых субъектами, Subject).
Профиль приложений
Профиль приложения — это конструкция, которая связывает несколько EPG вместе с контрактами, которые каждый EPG предоставляет или потребляет. Профиль приложения содержит столько EPG, сколько необходимо, что логически связано с возможностями, предоставляемыми приложением.
» Оставить комментарий
Вы должны войти чтобы прокомментировать.