نشر ACI كتطبيق مركزي
المحتويات
المقدمة
يصف هذا المستند نهج تحقيق التجزئة الدقيقة والأمان داخل/بين التطبيقات التي تستفيد من حل SDN المرتكز على التطبيقات من Cisco.
القيود باستخدام الشبكة التقليدية
- في الشبكات التقليدية، يكون من المستحيل التجزئة داخل شبكة VLAN/الشبكة الفرعية.
- توجد بوابات التطبيق على المحولات الأساسية. إذا أراد تطبيقان الاتصال، يلزم وجود قوائم تحكم في الوصول (ACL) معقدة على المحول الرئيسي.
- تكسر حلقة الشجرة المتفرعة بين المحولات تدفق مركز البيانات وتنتج عن ذلك إسقاط حركة مرور.
- تحتوي شبكة IP الفرعية نفسها على تطبيقات متعددة، لا توفر الأمان فيما بينها. لا يمكن إدارة هذه الاتصالات على الشبكات التقليدية.
- تأملوا في مثال يصور أيضا باستخدام الرسم التخطيطي. لديك ثلاثة تطبيقات EP_MB و EP_IB و EP_UPI تشكل جزءا من شبكة VLAN وشبكة IP الفرعية نفسها. مع أي حركة مرور من المستوى الثاني، تكون حركة المرور ملحقة دائما بجميع التطبيقات على الرغم من عدم الحاجة إلى الاتصال بينها. القيود بين التطبيقين غير ممكنة في هذا السيناريو.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- يجب نشر حمل العمل الآمن (CSW)/Tetration (حمل العمل الآمن) من Cisco في البيئة لتجميع بيانات تدفق حركة المرور بين التطبيقات.
- يجب نشر الوكلاء على الخوادم من أجل تجميع البيانات. وبالتالي، لا يمكن تحقيق ذلك إلا في حالة نشر Brownfield.
- يجب نشر الوكلاء على الخوادم لمدة تتراوح من 3 إلى 4 أسابيع على الأقل لجمع البيانات.
- إذا لم تكن أي أدوات لتعيين تبعية التطبيق (ADM) متوفرة، فيجب توفير البيانات ذات الصلة.
- يجب تكوين عبارة الخادم باستخدام بنية Application Centric Infrastructure (ACI) الليفية.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
نظرة عامة على الحل
لتحقيق التجزئة الجزئية، يجب عليك أولا ترحيل الشبكة إلى حل Cisco SDN من البنية الأساسية التقليدية وإعادة تصميم الشبكة من طريقة عرض مرتكزة على التطبيق. يصف هذا القسم المرحلتين من التصميم من أجل تحقيق التقسيم حسب الرغبة بناء على تدفق التطبيق الذي يتم التقاطه عبر أداة ADM. في البداية، يتم نشر حل Cisco للبنية الأساسية المرتكزة على التطبيقات في وضع الشبكة المركزي (كما هو الحال بالنسبة للتصميم الموجود) ثم يتم نقله إلى الوضع القائم على التطبيقات.
ملاحظة: يمكنك أيضا دمج وضع النشر هذا معا لترحيل الخدمات مباشرة من الشبكة التقليدية إلى الوضع المتمركز حول التطبيق.
تصميم متمركز حول الشبكة
في المثال الموضح في المخطط، يحتوي EPG_VL-100 على ثلاثة تطبيقات، EP_MB، EP_IB، و EP_UPI، ويتشارك نفس شبكة IP الفرعية ويستخدم شبكة VLAN 100.
- ترحيل AS من الشبكة التقليدية إلى ACI.
- يمكن أن تحتوي مجموعة نقطة نهاية واحدة (EPG) على تطبيقات متعددة.
- لا يوجد تجزئة للتطبيق ضمن نفس EPG في نوع النشر هذا.
- 1 bd = 1 epg = 1 VLAN
تصميم قائم على التطبيقات
المثال الموضح في الرسم التخطيطي هو EPG منفصل لثلاثة تطبيقات EP_MB و EP_IB و EP_UPI تشارك نفس شبكة IP الفرعية وتستخدم شبكات VLAN مختلفة تم تعيينها إلى كل EPG.
- في نوع النشر المتمركز حول التطبيق، يتم تكوين وحدات EPG مختلفة وفقا للتطبيق.
- تستمر التطبيقات في إستخدام شبكة IP الفرعية نفسها وبوابتها.
- ال مقسم تطبيق EPGs أن يستعمل VLAN جديد.
- 1 BD يتم تكوينه باستخدام شبكة IP الفرعية وتخصيصه إلى وحدات EPG متعددة التطبيقات.
- 1 bd = N EPG = N VLAN
- الآن، يمكن لمجموعتي EPG (تطبيقات) الاتصال ببعضهما البعض من خلال العقد.
أساليب الهجرة
قبل نشر قائمة التحكم في الوصول (ACI) كمتركزة على التطبيقات، يمكن نشر قائمة التحكم في الوصول (ACI) كمتركزة على الشبكة، كما يمكن تجزئة التطبيقات.
نهج الهجرة المرتكزة على الشبكات: المرحلة الأولى
- يجب إنشاء إرتباط مؤقت من الطبقة 2 بين المحولات الطرفية والمحولات الأساسية.
- قم بتكوين مجال جسر الطبقة 2 ومجموعة نقاط النهاية على واجهة التحكم في الوصول (ACI) وفقا لشبكات VLAN الموجودة التي تم تكوينها في الشبكات التقليدية.
- شكلت كل هذا VLANs على الطبقة 2 مؤقت خطوة بين الحد ورقة و لب مفتاح.
- يجب أن تكون واجهة برمجة التطبيقات (ACI) تتعلم جميع نقاط النهاية الموجودة على المحولات الأساسية.
- تظل البوابة على المحولات الأساسية.
- يبقى اتصال جدار الحماية على المحولات المركزية.
نهج الهجرة المرتكزة على الشبكات: المرحلة الثانية
- انقل حمولات العمل من Access Switches إلى ورقة الخادم.
- تظل البوابة على المحولات الأساسية.
- تحقق من إمكانية الوصول إلى البوابة من الخوادم.
- تحقق من إمكانية الوصول إلى الخادم/التطبيق.
نهج الهجرة المرتكزة على الشبكات: المرحلة الثالثة
- قم بإيقاف تشغيل البوابات على المحولات الأساسية والتكوين على واجهة التحكم في الوصول (ACI).
- انقل إرتباط جدار الحماية من المحولات الأساسية إلى صفحة قائمة التحكم في الوصول (ACI).
- قم بتكوين L3out باتجاه جدار الحماية/الموجه.
- إضافة الموجهات في جدار الحماية/الموجه وأوراق واجهة التحكم في الوصول (ACI).
- إيقاف تشغيل الارتباط بين ورقة الحدود والمحولات الأساسية.
- تحقق من إمكانية الوصول إلى الخادم/التطبيق.
التمثيل المنطقي ل ACI بعد نهج الترحيل المركزي للشبكة.
نهج الهجرة القائم على التطبيقات: المرحلة الأولى
- جمع وتحليل بيانات CSW/Tetration.
- تكوين EPG جديد وفقا لبيانات CSW/Tetration (الويب والتطبيق وقاعدة البيانات).
- على سبيل المثال، بالنسبة لتطبيق MB، يتم إنشاء ثلاث نقاط EPG مثل EPG_MB_WEB و EPG_MB_APP و EPG_MB_DB. يجب تكوين بروتوكولات EPG هذه ضمن نقطة وصول واحدة لملف تعريف التطبيق AP_MB.
- في حالة تكامل "مدير الجهاز الظاهري" (VMM)، يلزم تكوين vDS لتعيين الخوادم في EPG الجديد باستخدام شبكة VLAN الجديدة.
- تخطيط الجهاز الظاهري (VM) للجهاز vDS الجديد الذي يتم دفعه من خلال دمج الجهاز الافتراضي (VMM).
- بالنسبة للمعادن الخالية، يجب أن يقوم فريق الخادم بتغيير معرف VLAN على الخادم.
- يكون عنونة IP هو نفسه لعمليات النشر هذه.
- تكوين العقد بين EPGs طبقا لبيانات CSW/Tetration.
تحليل بيانات CSW/Tetration
مثال للتحليل المستند إلى بيانات CSW/Tetration:
| src_ip |
مجال_المستهلك |
dst_ip |
provider_scope |
البروتوكول |
المنفذ |
| 192.168.34.248 |
الافتراضي:داخلي:المقر |
192.168.20.81 |
PRODAPP |
TCP |
443 |
| 192.168.78.45 |
الافتراضي:داخلي:المقر |
192.168.20.81 |
PRODAPP |
TCP |
443 |
| 192.168.78.16 |
الافتراضي:داخلي:المقر |
192.168.20.81 |
PRODAPP |
TCP |
443 |
| 192.168.78.25 |
الافتراضي:داخلي:المقر |
192.168.20.81 |
PRODAPP |
TCP |
443 |
| 192.168.44.69 |
الافتراضي:داخلي:DataCenter:DC:Application:Prod:Discovery |
192.168.20.81 |
PRODAPP |
UDP |
137 |
| 192.168.44.69 |
الافتراضي:داخلي:DataCenter:DC:Application:Prod:Discovery |
192.168.20.81 |
PRODAPP |
TCP |
445 |
| 192.168.32.173 |
الافتراضي:داخلي:مركز البيانات:dc:التطبيق:prod:dmz |
192.168.20.81 |
PRODAPP |
TCP |
7777 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.81 |
PRODAPP |
TCP |
135 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.81 |
PRODAPP |
UDP |
137 |
| 192.168.44.48 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.81 |
PRODAPP |
UDP |
137 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.81 |
PRODAPP |
TCP |
443 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.81 |
PRODAPP |
TCP |
445 |
| 192.168.44.48 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.81 |
PRODAPP |
TCP |
445 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.81 |
PRODAPP |
TCP |
5985 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.81 |
PRODAPP |
TCP |
49154 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.81 |
PRODAPP |
TCP |
49169 |
| 192.168.44.29 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.81 |
PRODAPP |
TCP |
4750 |
| 192.168.44.30 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.81 |
PRODAPP |
TCP |
4750 |
| 192.168.44.21 |
الافتراضي:داخلي:مركز البيانات:dc:التطبيق:prod:aaa |
192.168.20.81 |
PRODAPP |
ICMP |
0 |
| 192.168.103.80 |
الافتراضي:داخلي:مركز البيانات:dc:التطبيق:prod:dhcp |
192.168.20.81 |
PRODAPP |
TCP |
7777 |
| 192.168.103.71 |
الافتراضي:داخلي:مركز البيانات:dc:التطبيق:prod:dhcp |
192.168.20.81 |
PRODAPP |
TCP |
7777 |
| 192.168.103.20 |
الافتراضي:داخلي:مركز البيانات:dc:التطبيق:prod:dhcp |
192.168.20.81 |
PRODAPP |
TCP |
7777 |
| 192.168.103.21 |
الافتراضي:داخلي:مركز البيانات:dc:التطبيق:prod:dhcp |
192.168.20.81 |
PRODAPP |
TCP |
7777 |
| 192.168.44.68 |
الافتراضي:داخلي:DataCenter:DC:Application:Prod:Discovery |
192.168.20.85 |
برودب |
UDP |
137 |
| 192.168.44.69 |
الافتراضي:داخلي:DataCenter:DC:Application:Prod:Discovery |
192.168.20.85 |
برودب |
UDP |
137 |
| 192.168.44.68 |
الافتراضي:داخلي:DataCenter:DC:Application:Prod:Discovery |
192.168.20.85 |
برودب |
TCP |
445 |
| 192.168.44.69 |
الافتراضي:داخلي:DataCenter:DC:Application:Prod:Discovery |
192.168.20.85 |
برودب |
TCP |
445 |
| 172.16.32.173 |
الافتراضي:داخلي:مركز البيانات:dc:التطبيق:prod:mz |
192.168.20.85 |
برودب |
TCP |
1522 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.85 |
برودب |
TCP |
135 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.85 |
برودب |
UDP |
137 |
| 192.168.44.48 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.85 |
برودب |
UDP |
137 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.85 |
برودب |
UDP |
161 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.85 |
برودب |
TCP |
445 |
| 192.168.44.48 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.85 |
برودب |
TCP |
445 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.85 |
برودب |
TCP |
5985 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.85 |
برودب |
TCP |
49154 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.85 |
برودب |
TCP |
60801 |
| 192.168.44.30 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.85 |
برودب |
TCP |
4750 |
| 192.168.44.29 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.85 |
برودب |
TCP |
4750 |
| 192.168.44.21 |
الافتراضي:داخلي:مركز البيانات:DC:التطبيق:Prod:المراقبة |
192.168.20.85 |
برودب |
ICMP |
0 |
مثال على توصية EPG من CSW/Tetration:
| EPG |
IP |
| PRODAPP |
192.168.20.81 |
| رودب |
192.168.20.85 |
استنادا إلى التفاصيل، يجب تحليل البيانات لتكوين العقد. مثال على البيانات التي تم تحليلها:
| src_ip |
مجال_المستهلك |
consumer_epg |
dst_IP |
provider_epg |
البروتوكول |
المنفذ |
| 192.168.44.69 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Disocvery |
EPG_DISCOVERY |
192.168.20.81 |
EPG-PROD-APP |
UDP |
137 |
| 192.168.44.69 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Disocvery |
EPG_DISCOVERY |
192.168.20.81 |
EPG-PROD-APP |
TCP |
445 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.81 |
EPG-PROD-APP |
TCP |
135 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.81 |
EPG-PROD-APP |
UDP |
137 |
| 192.168.44.48 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.81 |
EPG-PROD-APP |
TCP |
443 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.81 |
EPG-PROD-APP |
TCP |
445 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.81 |
EPG-PROD-APP |
TCP |
5985 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.81 |
EPG-PROD-APP |
TCP |
49154 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.81 |
EPG-PROD-APP |
TCP |
49169 |
| 192.168.44.48 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.81 |
EPG-PROD-APP |
TCP |
4750 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.81 |
EPG-PROD-APP |
ICMP |
0 |
| 192.168.103.21 |
الافتراضي:داخلي:مركز البيانات: dc:application:prod:dhcp |
EPG_VL_157 |
192.168.20.81 |
EPG-PROD-APP |
TCP |
7777 |
| 192.168.44.68 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Disocvery |
EPG_DISCOVERY |
192.168.20.85 |
EPG-PROD-DB |
UDP |
137 |
| 192.168.44.68 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Disocvery |
EPG_DISCOVERY |
192.168.20.85 |
EPG-PROD-DB |
TCP |
445 |
| 192.168.44.69 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.85 |
EPG-PROD-DB |
TCP |
135 |
| 192.168.44.69 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.85 |
EPG-PROD-DB |
UDP |
137 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.85 |
EPG-PROD-DB |
UDP |
161 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.85 |
EPG-PROD-DB |
TCP |
445 |
| 192.168.44.48 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.85 |
EPG-PROD-DB |
TCP |
5985 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.85 |
EPG-PROD-DB |
TCP |
49154 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.85 |
EPG-PROD-DB |
TCP |
60801 |
| 192.168.44.48 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.85 |
EPG-PROD-DB |
TCP |
4750 |
| 192.168.44.47 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Monitoring |
EPG_Monitoring |
192.168.20.85 |
EPG-PROD-DB |
ICMP |
0 |
| 192.168.48.45 |
الافتراضي:داخلي:مركز البيانات: DC:Application:Prod:Backup |
EPG_VL_71 |
192.168.20.85 |
EPG-PROD-DB |
TCP |
5555 |
استنادا إلى عنوان IP، يتم ذكر وحدات EPG الخاصة بالمستهلك والمزود. يجب إستبعاد الإدخالات المتكررة وحركة المرور بين الشمال والجنوب (مثل الإنترنت وحركة المرور بين المناطق وما إلى ذلك) من هذه البيانات. هناك بعض EPGs يعين مع VLANs مثل EPG_VL_157، EPG_VL_71، وهكذا. وهذا يعني أنه لا يتم نقل هذه الخوادم إلى EPG الهدف كجزء من الترحيل الذي يرتكز على التطبيق. لذلك، يجب تكوين العقد فيما بينها باستخدام التعيين الحالي ل EPG. بمجرد ترحيل هذه الخوادم إلى EPG الهدف، يجب حذف هذه العقود الموجودة كجزء من عملية التنظيف ويجب إضافة العقد المناسب إلى EPG الهدف.
العقد
يلزم وجود عقود للاتصال بين مجموعات إدارة البرامج. تم التقاط تدفق التنفيذ أثناء عملية تكوين العقد في هذا القسم.
1. في البداية، يجب تطبيق عقد VzAny على مستوى التوجيه وإعادة التوجيه الظاهري (VRF).
2. وفقا لبيانات CSW/Tetration، يجب إنشاء عقود EPG محددة.
3. قم بتكوين قاعدة deny_all ذات أولوية منخفضة حتى لا يسمح عقد VzAny باتصال حركة مرور غير محدد. بالنسبة للتطبيقات التي لم يتم ترحيلها بعد كمركز حول التطبيقات، يحدث الاتصال عبر عقد VzAny.
4. بعد كل عملية الترحيل، احذف عقد VzAny من VRF.
ويعد تحليل بيانات CSW/Tetration وتحويلها إلى كائنات قائمة تحكم في الوصول (ACI) مناسبة خطوة بالغة الأهمية. ومن ثم، بعد التحليل الأولي، من المهم مناقشة ملاحظتنا مع المعنيين وإعادة تأكيد ذلك. وخلال التنفيذ أيضا، يجب النظر بعناية لضمان السماح بجميع حركات المرور كما هو متوقع. لاستكشاف الأخطاء وإصلاحها، يمكنك تمكين تسجيل الدخول إلى العقد وتعقب أيضا أي إسقاط حزمة على منفذ محدد باستخدام واجهة واجهة المستخدم الرسومية (GUI) أو واجهة سطر الأوامر (CLI).
رفض تسجيل ip access-list الداخلي لسجل الحزم من خلال Leaf#
[ Tue Oct 1 10:34:37 2019 37572 usecs]: CName: Prod1:VRF1(VXLAN: 2654209)، VlanType: غير معروف، Vlan-Id: 0، SMac: 0x000c0c0c0c، DMac:0x000c0c0c0c0c، SIP: 192.168.2.1 1، DIP: 192.168.22.11، SPort: صفر، SRC Intf: Tunnel7، Proto: 1، PktLen: 98
[ Tue Oct 1 10:34:36 2019 37731 usecs]: CName: Prod1:VRF1(VXLAN: 2654209)، VlanType: غير معروف، Vlan-Id: 0، SMac: 0x000c0c0c0c، DMac:0x000c0c0c0c0c، SIP: 192.168.2.1 1، DIP: 192.168.22.11، SPort: صفر، SRC Intf: Tunnel7، Proto: 1، PktLen: 98
contract_parser
نص تنفيذي Python على الجهاز ينتج مخرجات تربط قواعد تقسيم المناطق، المرشحات وإحصائيات الوصول أثناء إجراء عمليات البحث عن الأسماء من المعرفات. هذا النص البرمجي مفيد للغاية من حيث أنه يأخذ عملية متعددة الخطوات ويحوله إلى أمر واحد يمكن تصفيته إلى EPGs/VRFs معينة أو قيم أخرى متعلقة بالعقد.
page# contract_parser.py
المفتاح:
[prio:RuleId] [vrf:{str}] بروتوكول الإجراء src-epg [src-l4] dst-epg [dst-l4] [flags] [contract:{str}] [hit=count]
[7:4131] [vrf:common:default] يسمح ip tcp tn-prod1/ap-services/epg-ntp(16410) tn-prod1/l3out-L3Out1/instP-extEpg(25) eq 123 [contract:uni/tn-prod1/brc-external_to_ntp] [hit=0]
[7:4156] [vrf:common:default] يسمح ip tcp tn-Prod1/l3out-L3Out1/instP-extEpg(25) eq 123 tn-Prod1/ap-Services/epg-NTP(16410) [contract:uni/tn-Prod1/brc-external_to_ntp] [hit=0]
[12:4169] [vrf:common:default] deny، سجل أي tn-Prod1/l3out-L3Out1/instP-extEpg(25) epg:any [contract:implicit] [hit=0]
[16:4167] [vrf:common:default] يسمح بأي epg:any tn-prod1/bd-services(32789) [العقد:ضمني] [hit=0]
يمكن أيضا عرض حالات إسقاط الحزمة في واجهة المستخدم الرسومية باستخدام المسار: المستأجر > Tenant_Name > تشغيل > التدفقات/الحزم.
إعتبار
التوصية أثناء تطبيق العقود بين مجموعات الخدمات البيئية:
1. لا يمكن إعتبار ACI جدار حماية من حيث تعيين النهج الذي يمكن أن يتسبب في إستخدام ذاكرة توجيه (TCAM) عالية المحتوى الثالث.
2. أستخدم نطاق من عوامل التصفية بدلا من عدد كبير من عوامل التصفية الفردية.
3. يجب ألا يستخدم أي عقد أكثر من أربع نطاقات من عوامل التصفية. يمكن أن يستهلك ذاكرة قابلة للتوجيه (OTCAM) ذات محتوى ثالثي زائد عن الحد.
4. إذا كانت أي مجموعة إدارة (EPG) تتطلب عددا كبيرا من المنافذ، فحاول إستخدام عقد "السماح بأي".
5. كجزء من الحل، إذا كنت تتوقع نشر عدد كبير من العقود، فابحث تعديل ملف تعريف مقياس إعادة التوجيه (FSP) وفقا لذلك.
6. قبل نشر عدد كبير من العقود، قم بحساب TCAM باستخدام الصيغة: رقم EPG الخاص بتقديم EPG * رقم EPG الخاص بالمستهلك * عدد القواعد.
7. يمكن التحقق من حجم TCAM الحالي على واجهة مستخدم ACI باستخدام المسار: العمليات > لوحة معلومات السعة > سعة الأوراق أو
terminal-101# vsh_lc
الوحدة النمطية-1# إظهار الحالة الصحية الداخلية للنظام الأساسي | تعداد _GREP
mcast_count : 0
max_mcast_count : 8192
Policy_count: 221
max_policy_count: 65536
Policy_otcam_count : 322
max_policy_otcam_count : 8192
Policy_label_count : 0
max_policy_label_count : 0
بعض تحديات النشر والحلول المرتكزين على التطبيقات
1. يمكن أن يؤدي عدد أكبر من العقود إلى إستخدام TCAM بشكل كبير للمحولات الطرفية.
وبالتالي، من المهم تعقب إستخدام TCAM بشكل فعال وإعداد زيادة مقدرة في قيمة TCAM عند القيام بمقدار كبير من نشر التكوين. من الجيد أن يكون لديك عملية مدقق صانع لضمان أن التكوين الذي يتم دفعه مناسب. ويوصى أيضا بإجراء التغييرات باستخدام إطار صيانة مجدول مناسب.
2. قد يؤدي التكوين المجمع (أكثر من 50 آلاف TCAM) في دفعة واحدة من العقد إلى تعطل ذاكرة "مدير السياسات".
يوصى بدفع التكوين في مجموعات صغيرة خاصة عندما يكون التكوين كبيرا في الحجم. وهذا يوفر نهجا منهجيا وخاليا من المخاطر إزاء تكوين العقود. ومع كل عملية دفع للتكوين، قم بقياس الزيادة في قيم TCAM.
3. لا يتم التقاط تدفق حركة المرور إذا لم تتصل التطبيقات أثناء الفاصل الزمني لنشر CSW/Tetration (3-4 أسابيع).
ولتجنب مثل هذا الوضع، فإن أفضل نهج هو إعادة التحقق من بيانات CSW/Tetration من أصحاب التطبيقات قبل نشاط التغيير. تحقق أيضا، بعد التنفيذ، من السجلات لأي عدد مرات الوصول إلى الفشل.
القيمة المضافة
1 - تم تقسيم جميع الطلبات وتقييدها وفقا للمبادئ التوجيهية للمصارف المركزية.
2. إمكانية رؤية الاتصال بين التطبيقات بعد الترحيل إلى النشر القائم على التطبيقات.
3 - ويتحقق التجزئة الجزئية للطلب.
4. عرض واحد لتدفق التطبيقات. في أحد ملفات تعريف التطبيقات، يتم تعيين EPGs طبقا لتدفق حركة المرور مثل AP_Banking لملف تعريف التطبيق، للحصول على ثلاثة EPG (EPG_Banking_WEB، EPG_Banking_APP، و EPG_Banking_DB) بغض النظر عن شبكة IP الفرعية الخاصة بها.
4. تسهل طريقة عرض واحدة لتدفق التطبيقات أستكشاف الأخطاء وإصلاحها.
5. تكون أشعة تحت الحمراء أكثر أمانا.
6 - النهج المنظم للتنفيذ والتوسع في المستقبل.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
14-Oct-2024
|
الإصدار الأولي |
التعليقات