ACI에서 활성/활성 L1 PBR 구성 및 확인
소개
이 문서에서는 ACI(Application Centric Infrastructure)에서 Active/Active L1 서비스 그래프를 구성하고 확인하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- ACI에서 레이어 3 서비스 그래프가 작동하는 방식 이해
- ACI에서 엔드포인트 정책 그룹, 브리지 도메인 및 계약을 구성하는 방법에 대한 이해
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- APIC 버전: 5.3(2a)
- 리프 H/W: N9K-C93180YC-FX , N9K-C93180YC-EX
- 리프 S/W: n9000-15.3(2a)
- 리프 노드 101, 102, 103,104
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다
토폴로지
EPG1 및 EPG2 컨피그레이션은 이 문서에 나와 있지 않으며, 핸드와 엔드포인트를 학습하기 전에 구성해야 합니다.
1. EPG1에 학습된 엔드포인트 192.168.132.100ș이 있는지 확인합니다(노드 101).
2. EPG2에 엔드포인트 192.168.132.200이 학습되었는지 확인합니다(노드 104).
ACI에서 L1 서비스 그래프가 필요한 이유는 무엇입니까?
Cisco ACI에서는 L4-L7 서비스 디바이스를 L3/L2/L1로 삽입할 수 있습니다. 레이어 3은 외부 디바이스가 라우팅 결정을 수행하여 트래픽을 전달할 수 있음을 의미하며, 레이어 2는 MAC 주소를 기반으로 트래픽을 단독으로 전달할 것임을 의미합니다. ACI에서는 IPS(Intrusion Prevention System)/Transparent Firewall과 같은 L2 디바이스를 삽입할 수 있습니다. 이제 트래픽을 리디렉션하려는 디바이스에서 어떤 포워딩 결정도 수행할 수 없는 시나리오를 가정해보겠습니다. 따라서 이러한 경우 L1 PBR(Policy-Based Routing)을 구축할 수 있습니다.
트래픽 포워딩은 L3 및 L2 PBR의 경우 동일하며, 유일한 차이점은 L3 PBR 트래픽이 IP 주소로 리디렉션되는 경우이며, 여기서 L1/L2 PBR 트래픽은 MAC 주소로 리디렉션됩니다. 이러한 MAC 주소는 전달 목적을 위해 리프 인터페이스에 정적으로 바인딩됩니다. 당신은 이것에 관해 더 나아가는 것을 볼 것입니다.
액티브/스탠바이 또는 액티브/액티브 L1/L2 PBR 활용 사례에 대한 자세한 내용은 PBR 백서 링크를 참조하십시오.
L1 디바이스 정보
이 구축 모델에서는 서비스 디바이스에서 VLAN 변환이 수행되지 않으며 두 인터페이스가 모두 동일한 VLAN에서 작동합니다. 이 접근 방식은 일반적으로 인라인 모드 또는 와이어 모드로 알려져 있으며 일반적으로 방화벽 및 IPS(Intrusion Prevention System)에 사용됩니다. 서비스 디바이스가 레이어 2 또는 레이어 3 포워딩에 참여하지 않고 보안 기능을 수행할 것으로 예상되는 경우에 이상적입니다.
활성/활성 L1 PBR
ACI 릴리스 5.0 이상에서는 L4-L7 디바이스가 있는 서비스 그래프를 액티브/액티브 모드로 구축할 수 있습니다. 이는 각 L4-L7 디바이스 인터페이스(콘크리트 인터페이스)에 고유한 캡슐화 방식을 할당하고, 숨겨진 서비스 EPG에서 '캡슐화 내 플러드(Flood in encap)'라는 ACI의 자동 컨피그레이션을 활용함으로써 구현됩니다. 이 숨겨진 서비스 EPG는 L4-L7 디바이스 인터페이스를 서비스 브릿지 도메인과 연결하기 위해 ACI에서 생성합니다.
ACI가 서비스 그래프 렌더링 프로세스 동안 'Flood in encap'을 자동으로 활성화하므로 관리자는 숨겨진 서비스 EPG를 수동으로 구성할 필요가 없습니다.
L1 PBR 활성-활성 구축의 경우 포트 로컬 범위를 구성해야 합니다. 이를 위해서는 L4-L7 디바이스의 소비자 및 공급자 클러스터 인터페이스(커넥터)를 별도의 물리적 도메인에 배치해야 하며, 각 도메인에는 고유한 VLAN 풀이 있고 두 도메인 간에 동일한 VLAN 범위가 유지됩니다.
참조: PBR 백서.
L1 서비스 그래프 컨피그레이션
유니캐스트 라우팅을 활성화해야 하며, L2 알 수 없는 유니캐스트는 하드웨어 프록시로 설정되어야 하며, CON 및 PROV 브리지 도메인에는 서브넷이 필요하지 않습니다.
1단계. cons_bd1이라는 소비자 브리지 도메인을 구성합니다.
2단계. prov-bd1이라는 공급자 브리지 도메인을 구성합니다.
3단계. SLA 유형 L2Ping을 사용하여 IP SLA(서비스 수준 계약) 정책을 구성합니다.
Tenant(테넌트) > Policies(정책) > Protocol(프로토콜) > IP SLA > IP SLA Monitoring Policies(IP SLA 모니터링 정책)로 이동한 다음 마우스 오른쪽 버튼을 클릭하고 policy를 생성합니다.
4단계. L4/L7 디바이스를 구성합니다.
Tenant(테넌트) > Services(서비스) > Devices(디바이스)로 이동한 다음 마우스 오른쪽 버튼을 클릭하고 L4-L7 디바이스를 생성합니다.
참고: L1 디바이스의 경우 각 클러스터 인터페이스는 포트 로컬 범위에 대해 서로 다른 물리적 도메인에 있어야 합니다.
5단계. 내부 및 외부 인터페이스에 대한 L4-L7 정책 기반 리디렉션을 구성합니다.
Tenant(테넌트) > Policies(정책) > Protocol(프로토콜) > L4-L7 Policy based redirect(L4-L7 정책 기반 리디렉션)로 이동한 다음 마우스 오른쪽 버튼을 클릭하여 정책을 생성합니다.
++ 정책 이름이 내부에 있음
++ 각 L1 디바이스에 하나씩, 두 개의 L1 대상이 있습니다.
++ 정책 이름이 외부에 있습니다.
++ 각 L1 디바이스에 하나씩, 두 개의 L1 대상이 있습니다.
참고: L4-L7 리디렉션 정책 둘 다에 대해 임계값 중지 작업이 동일해야 합니다.
6단계. 서비스 그래프 템플릿을 구성합니다.
Tenant(테넌트) > Services(서비스) > Service Graph Template(서비스 그래프 템플릿)으로 이동한 다음 마우스 오른쪽 버튼을 클릭하여 L4-L7 서비스 그래프 템플릿을 생성합니다.
7단계. 계약을 생성합니다.
Tenant(테넌트) > Contract(계약) > Standard(표준)로 이동한 다음 마우스 오른쪽 버튼을 클릭하고 계약을 생성합니다.
8단계. EPG1 및 EPG2에 각각 컨슈머와 공급자로 계약을 적용합니다.
9단계. L4-L7 서비스 그래프 템플릿을 적용합니다.
Tenant(테넌트) > Services(서비스) > Service Graph Template(서비스 그래프 템플릿)으로 이동한 다음 PBR1을 마우스 오른쪽 버튼으로 클릭하고 L4-L7 서비스 그래프 템플릿을 적용합니다.
++ 소비자 및 공급자 EPG 추가
++ 계약 지정
++ 클릭
++ 소비자 커넥터 세부 정보 지정
++ 공급자 커넥터 세부 정보 지정
++ 마침을 클릭합니다.
APIC GUI에서 L1 서비스 그래프 확인
1단계. 서비스 그래프 템플릿을 적용한 후 생성된 디바이스 선택 정책을 확인합니다.
++ 소비자 커넥터 확인
++ 공급자 커넥터 구성
2단계. 배포된 그래프 인스턴스를 확인합니다. 여기서 인스턴스를 볼 수 있습니다. 해당 인스턴스는 적용됨 상태여야 합니다.
++ 서비스 EPG와 연결된 PCTAG를 확인할 디바이스 인터페이스 및 기능 커넥터 확인
APIC CLI에서 L1 서비스 그래프 확인
1단계. 서비스 그래프가 상태 그룹 상태와 함께 소비자 및 공급자 노드에 적용되는지 확인합니다.
apic01# fabric 101,104 show service redir info
----------------------------------------------------------------
Node 101
----------------------------------------------------------------
=======================================================================================================================================
LEGEND
TL: Threshold(Low) | TH: Threshold(High) | HP: HashProfile | HG: HealthGrp | BAC: Backup-Dest | TRA: Tracking | RES: Resiliency
=======================================================================================================================================
List of Dest Groups
GrpID Name destination HG-name BAC operSt operStQual TL TH HP TRAC RES
===== ==== =========== ============== === ======= ============ === === === === ===
10 destgrp-10 dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369] l1_pbr_tenant::HG2 N enabled no-oper-grp 51 100 sym yes no
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369] l1_pbr_tenant::HG1 N
2 destgrp-2 dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369] l1_pbr_tenant::HG1 N enabled no-oper-grp 51 100 sym yes no
dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369] l1_pbr_tenant::HG2 N
List of destinations
Name bdVnid vMac vrf operSt operStQual HG-name
==== ====== ==== ==== ===== ========= =======
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369] vxlan-16252846 10:B3:D5:14:99:99 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG1
dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369] vxlan-16252846 10:B3:D5:14:77:77 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG2
dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369] vxlan-15794150 10:B3:D5:14:66:66 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG1
dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369] vxlan-15794150 10:B3:D5:14:77:77 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG2
List of Health Groups
HG-Name HG-OperSt HG-Dest HG-Dest-OperSt
======= ========= ======= ==============
l1_pbr_tenant::HG1 enabled dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369]] up
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369]] up
l1_pbr_tenant::HG2 enabled dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369]] up
dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369]] up
----------------------------------------------------------------
Node 104
----------------------------------------------------------------
=======================================================================================================================================
LEGEND
TL: Threshold(Low) | TH: Threshold(High) | HP: HashProfile | HG: HealthGrp | BAC: Backup-Dest | TRA: Tracking | RES: Resiliency
=======================================================================================================================================
List of Dest Groups
GrpID Name destination HG-name BAC operSt operStQual TL TH HP TRAC RES
===== ==== =========== ============== === ======= ============ === === === === ===
3 destgrp-3 dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369] l1_pbr_tenant::HG2 N enabled no-oper-grp 51 100 sym yes no
dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369] l1_pbr_tenant::HG1 N
4 destgrp-4 dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369] l1_pbr_tenant::HG2 N enabled no-oper-grp 51 100 sym yes no
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369] l1_pbr_tenant::HG1 N
List of destinations
Name bdVnid vMac vrf operSt operStQual HG-name
==== ====== ==== ==== ===== ========= =======
dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369] vxlan-15794150 10:B3:D5:14:66:66 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG1
dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369] vxlan-15794150 10:B3:D5:14:77:77 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG2
dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369] vxlan-16252846 10:B3:D5:14:77:77 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG2
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369] vxlan-16252846 10:B3:D5:14:99:99 l1_pbr_tenant:l1_pbr_vrf enabled no-oper-dest l1_pbr_tenant::HG1
List of Health Groups
HG-Name HG-OperSt HG-Dest HG-Dest-OperSt
======= ========= ======= ==============
l1_pbr_tenant::HG1 enabled dest-[2958:ddd3:6eda:4ede:8bb4:1b66:8b19:1eb4]-[vxlan-2490369]] up
dest-[8301:bb59:e940:4233:81c6:e007:437e:45f]-[vxlan-2490369]] up
l1_pbr_tenant::HG2 enabled dest-[476f:9be9:5aab:4454:a5d6:8c9e:7017:61eb]-[vxlan-2490369]] up
dest-[d438:790d:6fdb:4485:bab7:197d:ef61:9a59]-[vxlan-2490369]] up
2단계. 고정 MAC 바인딩이 서비스 노드(102 및 103)에서 생성되었는지 확인합니다.
apic01# fabric 102-103 show endpoint vrf l1_pbr_tenant:l1_pbr_vrf
----------------------------------------------------------------
Node 102
----------------------------------------------------------------
Legend:
S - static s - arp L - local O - peer-attached
V - vpc-attached a - local-aged p - peer-aged M - span
B - bounce H - vtep R - peer-attached-rl D - bounce-to-proxy
E - shared-service m - svc-mgr
+-----------------------------------+---------------+-----------------+--------------+-------------+
VLAN/ Encap MAC Address MAC Info/ Interface
Domain VLAN IP Address IP Info
+-----------------------------------+---------------+-----------------+--------------+-------------+
23/l1_pbr_tenant:l1_pbr_vrf vlan-1310 10b3.d514.7777 LS eth1/6
24/l1_pbr_tenant:l1_pbr_vrf vlan-1301 10b3.d514.9999 LS eth1/5
----------------------------------------------------------------
Node 103
----------------------------------------------------------------
Legend:
S - static s - arp L - local O - peer-attached
V - vpc-attached a - local-aged p - peer-aged M - span
B - bounce H - vtep R - peer-attached-rl D - bounce-to-proxy
E - shared-service m - svc-mgr
+-----------------------------------+---------------+-----------------+--------------+-------------+
VLAN/ Encap MAC Address MAC Info/ Interface
Domain VLAN IP Address IP Info
+-----------------------------------+---------------+-----------------+--------------+-------------+
40/l1_pbr_tenant:l1_pbr_vrf vlan-1310 10b3.d514.7777 LS eth1/6
1/l1_pbr_tenant:l1_pbr_vrf vlan-1301 10b3.d514.6666 LS eth1/5
트래픽 검증
1. EP1~EP2에서 L1 디바이스로 리디렉션될 ICMP ping 패킷이 2,000개 생성됩니다.
switch1# ping 192.168.132.200 vrf l1_pbr1 count 2000 >>>>> sending 2000 packets
64 bytes from 192.168.132.200: icmp_seq=464 ttl=251 time=0.859 ms
64 bytes from 192.168.132.200: icmp_seq=465 ttl=251 time=0.872 ms
64 bytes from 192.168.132.200: icmp_seq=466 ttl=251 time=0.844 ms
64 bytes from 192.168.132.200: icmp_seq=467 ttl=251 time=0.821 ms
64 bytes from 192.168.132.200: icmp_seq=468 ttl=251 time=0.814 ms
64 bytes from 192.168.132.200: icmp_seq=469 ttl=251 time=0.846 ms
64 bytes from 192.168.132.200: icmp_seq=470 ttl=251 time=0.863 ms
64 bytes from 192.168.132.200: icmp_seq=471 ttl=251 time=0.819 ms
64 bytes from 192.168.132.200: icmp_seq=472 ttl=251 time=0.802 ms
64 bytes from 192.168.132.200: icmp_seq=473 ttl=251 time=0.851 ms
64 bytes from 192.168.132.200: icmp_seq=474 ttl=251 time=0.815 ms
2. L1 장치에 연결된 노드 102 및 103의 인터페이스 카운터를 확인합니다.
apic01# fabric 102-103 show interface ethernet 1/5-6 | grep "Node\|Ethernet\|RX\|packets\|TX"
Node 102
Ethernet1/5 is up
Hardware: 100/1000/10000/25000/auto Ethernet, address: 10b3.d5c5.8f25 (bia 10b3.d5c5.8f25)
30 seconds input rate 0 bits/sec, 0 packets/sec
30 seconds output rate 64 bits/sec, 0 packets/sec
RX
2008 unicast packets 2 multicast packets 0 broadcast packets >>>>>2000 packets recieved from L1 device
2010 input packets 213180 bytes
0 jumbo packets 0 storm suppression bytes
TX
2009 unicast packets 1 multicast packets 0 broadcast packets >>>>> 2000 packets transmitted towards L1 device
2010 output packets 213003 bytes
0 jumbo packets
Ethernet1/6 is up
Hardware: 100/1000/10000/25000/auto Ethernet, address: 10b3.d5c5.8f26 (bia 10b3.d5c5.8f26)
30 seconds input rate 0 bits/sec, 0 packets/sec
30 seconds output rate 64 bits/sec, 0 packets/sec
RX
9 unicast packets 2 multicast packets 0 broadcast packets
11 input packets 1286 bytes
0 jumbo packets 0 storm suppression bytes
TX
9 unicast packets 1 multicast packets 0 broadcast packets
10 output packets 1003 bytes
0 jumbo packets
Node 103
Ethernet1/5 is up
Hardware: 100/1000/10000/25000/auto Ethernet, address: a453.0e75.9a85 (bia a453.0e75.9a85)
30 seconds input rate 0 bits/sec, 0 packets/sec
30 seconds output rate 64 bits/sec, 0 packets/sec
RX
2009 unicast packets 1 multicast packets 0 broadcast packets >>>>> 2000 packets recieved from L1 device
2010 input packets 213003 bytes
0 jumbo packets 0 storm suppression bytes
TX
2008 unicast packets 1 multicast packets 0 broadcast packets >>> 2000 packets transmitted towards L1 device
2009 output packets 212897 bytes
0 jumbo packets
Ethernet1/6 is up
Hardware: 100/1000/10000/25000/auto Ethernet, address: a453.0e75.9a86 (bia a453.0e75.9a86)
30 seconds input rate 0 bits/sec, 0 packets/sec
30 seconds output rate 64 bits/sec, 0 packets/sec
RX
9 unicast packets 1 multicast packets 0 broadcast packets
10 input packets 1003 bytes
0 jumbo packets 0 storm suppression bytes
TX
9 unicast packets 1 multicast packets 0 broadcast packets
10 output packets 1003 bytes
0 jumbo packets
참고: 트래픽을 테스트하기 전에 인터페이스 카운터가 노드 102 및 103에서 지워졌습니다.
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
25-Mar-2025
|
최초 릴리스 |
피드백