ACI數(shù)據(jù)中心組網(wǎng)實施方案V1.0簽名：日期：簽名：日期：說明本文檔是用于提交給客戶的ACI數(shù)據(jù)中心上線實施方案適用的對象保密原則此文檔獲取的數(shù)據(jù)信息屬于客戶方機密信息，上海盈聯(lián)電信科技有相關(guān)資料泄漏給其他公司和上海盈聯(lián)電信科技有限公司項目無關(guān)人員，并承擔(dān)相關(guān)目錄 1 1 2 3 3 42.4EPG設(shè)計 52.5動態(tài)EPG分配 7 9 9 3.1網(wǎng)絡(luò)連接示意圖 3.2網(wǎng)絡(luò)詳細(xì)設(shè) 3.3.1網(wǎng)絡(luò)策略設(shè)計說明 3.3.2AP設(shè)計 3.4接口策略配置 3.4.4關(guān)聯(lián)交換機profiles 3.5實施計劃 203.6實施時間 213.7實施步驟 2 23 245.1風(fēng)險預(yù)案 24第一章設(shè)計概述TTI公司目前通過AIC_NEW6509E以及F7_3F_NPI6509E兩臺核心交換機連接服務(wù)器，部分服務(wù)器連接F7_S3f_4506以及Admin_4506,如圖1所示，存在以下問題：網(wǎng)絡(luò)拓?fù)鋱D現(xiàn)狀(圖1):10.6LD.50中0來南TUACI數(shù)據(jù)中心組網(wǎng)實施方案V1.01:使用ACI交換矩陣作為新的數(shù)據(jù)中心Pod并添加到現(xiàn)有網(wǎng)絡(luò)中。不需要針2:保護對現(xiàn)有基礎(chǔ)設(shè)施的投資的同時增強ACI交換矩陣的優(yōu)勢。能為ACI提供一個用于新應(yīng)用和新服務(wù)的平臺。并最終引導(dǎo)用戶全面實現(xiàn)平滑過渡到ACI數(shù)據(jù)實施后物理連接示意圖：盈聯(lián)電信盈聯(lián)電信實施后物理連接示意圖F7_3F_NPI6509EAIC_NEW6509EF7主機房ACI數(shù)據(jù)中心組網(wǎng)實施方案V1.0PROACTIVECYBERSPACE第二章方案設(shè)計應(yīng)用環(huán)境，設(shè)置不同的ApplicationProfiles(開發(fā)，集成，測試，集結(jié)，生產(chǎn));優(yōu)勢：應(yīng)用之間安全隔離較好，設(shè)計靈活，能突破某些系統(tǒng)容量限制，擴展性較好個公司Tenant。Tenant內(nèi)再根據(jù)不同的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)區(qū)域設(shè)置不同的AP及VRF,比內(nèi)或自己所屬Tenant下的CommonVRF內(nèi)(優(yōu)缺點請參考VRF設(shè)計章節(jié))。AAC控股公司：AAC(包含AAC控股公司的專屬用戶和專屬應(yīng)用)非AAC控股ABC公司：ABC(包含ABC公司的專屬用戶和專屬應(yīng)用)件與目前網(wǎng)絡(luò)架構(gòu)有比較清晰的對應(yīng)關(guān)系，現(xiàn)有工程基于上述Tenant的設(shè)計選擇，由于整個公司只創(chuàng)建了一個Tenant,因此各網(wǎng)絡(luò)區(qū)基于原子計數(shù)器有效性限制，所有需要進行原子計數(shù)統(tǒng)計(EPG到EPG統(tǒng)計)的網(wǎng)段，無論是園區(qū)網(wǎng)客戶端還是服務(wù)器，無論是否屬于相同功能客戶的(如果有),也放置在這個VRF之內(nèi)，原子計數(shù)統(tǒng)計只對該區(qū)域內(nèi)的客戶端和服VRF:Development、DEV客戶的(如果有),也放置在這個VRF之內(nèi)，原子計數(shù)統(tǒng)計只對該區(qū)域內(nèi)的客戶端和服所有DMZ服務(wù)器網(wǎng)段都統(tǒng)一放置在這個VRF之內(nèi)，與其它VRF完全隔離，其出口位于Internet區(qū)的DMZ鏈路上。2.3BD設(shè)計根據(jù)目前客戶所有服務(wù)器的信息，按照每VLAN劃分一個BD根據(jù)客戶情況及討論結(jié)果，采用每vlan每BD,每個BD下劃分一個subnet子網(wǎng)按照目前網(wǎng)絡(luò)架構(gòu)及應(yīng)用環(huán)境，EPG將分為園區(qū)EPG、舊應(yīng)用EPG、新應(yīng)用EPG三種EPG器動態(tài)獲取IP地址。基于DHCP限制，園區(qū)EPG只能采取VLA這種部署模式在一個部門等于一個VLAN的情況下對EPG的命名和定義沒有影響，但如果一個部門有多個VLAN,則只能分開定義EPG,我們建議可以在部門名字之后增加VLAN上述的EPG定義方式，如果一個部門有多個VLAN,會影響到原子計數(shù)器的統(tǒng)計。例如想看某部門到某個EPG服務(wù)器的數(shù)據(jù)統(tǒng)計，但該部門有多個VLAN對應(yīng)，則只能分開VLAN統(tǒng)計，因為統(tǒng)計針對的是每個EPG到EPG的流量，而該部門有多個VLAN,等2)舊應(yīng)用EPG(分布在PRD、TST、DEV)舊應(yīng)用目前主要以VLAN形式接入傳統(tǒng)網(wǎng)絡(luò)中，由于數(shù)量比較多，目前階段暫以如下圖所示，新應(yīng)用在調(diào)研清楚應(yīng)用關(guān)系之后，將完全以ACI策略模型部署，EPGPROACTIVECYBERSPAUSER期a)在自己內(nèi)Tenant(如AAC)設(shè)置一個COMMONVRF,所有提供共享服務(wù)的服優(yōu)勢：每個公司有自己的共享服務(wù)區(qū)域，管理缺點：受某些系統(tǒng)容量限制(一個Tenant內(nèi)最多支持8個VRF,再建CommonVRF,常州就已經(jīng)達(dá)到最大可用極限),規(guī)劃上缺乏靈活性及擴展性b)利用ACI內(nèi)置的CommonTenant,把服務(wù)器放置在CommonTenant的VRF中。優(yōu)勢：每個公司在CommonTenant內(nèi)可以劃分不同的VRF定義自己的共享服缺點：需要跨Tenant管理，跨VRF的訪問及關(guān)聯(lián)性比較多，配置容易出錯，類對EPG進行設(shè)計。APICuSegEPG特性，允許APIC根據(jù)多個條件(network-basedattributes或者VM-basedattributes),自動分配終端到EPG的方法。2)VM操作系統(tǒng)VMwareTools:正在運行(當(dāng)前版本)DNS名稱：EVC模式：不可用VM的虛擬網(wǎng)卡。根據(jù)評審討論結(jié)果，應(yīng)用系統(tǒng)數(shù)據(jù)EPG采用IP地址范圍動態(tài)EPG分配方式，對于備份，心跳等特殊網(wǎng)絡(luò)，采用VMVNIC動態(tài)EPG分配方式。CiscoAPIC可以與VMwarevCenterServer5.1,5.5,6.0兼容?？蛻粜杼峁簐CenterIP和管理員帳戶；vCenter創(chuàng)建完成數(shù)據(jù)中心，ESXi主機加入到數(shù)據(jù)中心；與VMware集成后，虛擬機流量轉(zhuǎn)發(fā)有如下兩種方式：1)LocalSwitching模式Intra-EPG流量，直接在軟交換機本地轉(zhuǎn)發(fā)。Inter-EPG流量，需要繞經(jīng)Leaf進行轉(zhuǎn)發(fā)。VMVMVMVM→Intra-EPG流量和Inter-EPG流量，都需要繞經(jīng)Leaf進行轉(zhuǎn)發(fā)。VMVMVMVM 根據(jù)評審討論結(jié)果，采用LocalSwitching模式。根據(jù)客戶現(xiàn)網(wǎng)情況和討論結(jié)果，采用單個Tenant內(nèi)部單獨設(shè)置一個CommonVRF。第三章方案實施盈聯(lián)電信實施后物理連接示意圖F7_3F_NPI6509EA根據(jù)Tenant設(shè)計方法，設(shè)計Tenant如下：ACI內(nèi)置TenantACI內(nèi)置TenantTTI數(shù)據(jù)中心ACI內(nèi)置TenantTI公司Tenant3.2.2VRF設(shè)計現(xiàn)有應(yīng)用系統(tǒng)BD和Subnet(目前只是測試ip)192.168.68.1/24(測試)192.168.11.1/24(測試)ACI內(nèi)部VRF,需要配置相應(yīng)的L3Out,使得VRF內(nèi)部應(yīng)用系統(tǒng)可以跟園區(qū)網(wǎng)進行通信。Borderleaf與6509E互聯(lián)與園區(qū)網(wǎng)對接√定義所有實體服務(wù)器對應(yīng)的leaf交換機端口，對端口進行策略配置?！潭x所有VM服務(wù)器對應(yīng)的leaf交換機接口，對端口進行策略配置。3.3.2AP設(shè)計根據(jù)與會討論，定義一個AP(ApplicationProfiles)AP下面定義多個EPG。TTI數(shù)據(jù)中心臺物理服務(wù)器/VM,共享同一個IP地址的情況下，將這些多個應(yīng)用組件定義為一個EPG?，F(xiàn)有應(yīng)用EPG設(shè)計PROACTIVECYBERSPACE目前階段暫以EPG=VLAN的方式將舊應(yīng)用遷移到ACI中。TTI數(shù)據(jù)中心Contract設(shè)計，需要分析應(yīng)用系統(tǒng)的各個組件及組件之間的關(guān)系圖，然后根據(jù)關(guān)系圖定義目前階段暫時創(chuàng)建全通ContractPermitAllTenantTTI_ITGroupTenantTTI_ITGroupTLEPG_SERVERVLANuSegEPGsNetworkingNameApplyBothDirections:Name:PermitAlContractSubject-PePolicyFauitsHistory+n3.4接口策略配置中中VMNetworkingL4-L7ServicesAdminOpera>自>自ModuePoicieos自LnLevel自LDPIntorface>PortChannel中中VMNetworkingVMNetworkingL4-L7ServicesAdminOpera自ModulePoicies自ModulePoicies>自Polcies自PolicyGroups自LeatPolicyGroups直vM-laf7-8-1-8 5er..Man118-leaf1-ports-tru3.4.3定義接口profilesSystemTenantsFabricVMNetworkingL4-L7Profes LeafProfiles自Profes LeafProfiles自loaf1-2-1-21-Man13aleaf1-vlan118-tru LeafSelectorsProf1/44,1/45,1/46,1/47,1/6,1/7,1/8,1/10,1/14,1/16,1/V1/5.137,124,1/29-32,1leal3-4-van10-vpe1/1leaf7-8-VM-VPC1/1,1/2,1/4,1/3,1/5,1/6,1/7,1/8,1/9,1/10,1/11,1/123.4.4關(guān)聯(lián)交換機profilesL4-L7ServicesAdminL4-L7ServicesAdmin ProflesLeafProfiles3.4.5創(chuàng)建AEP1>自Swich1>自SwichPolcies>自nterfacePoicosAttachableAccessEntityProfilMan118-leaf1-ports-truVlan118-leaf1-ports-trVM-AEPfalseVM-eal7-8-1-1,VM-leaf7-8-1-3.4.6創(chuàng)建physicaldomainsNetwokingL4-L7ServicesAdmiPhysicalDomains自hntertacePolices>自GoblPliciesSystemTenantsFabricvlan118(StaticAlocatL4-L7ServicesAdminOperation體資料如體資料如1服務(wù)器類型(實體/vm)已提供2已提供3已提供4已提供5服務(wù)器端口類型已提供6已提供ACI數(shù)據(jù)中心組網(wǎng)實施方案V1.04月123456789123452、此節(jié)點計劃為方案一二期實施AC策略模型設(shè)計和三期實施(新業(yè)務(wù)上線、業(yè)務(wù)遷移)。方案二按照應(yīng)PROACTIVECYBERSPACE上海盈聯(lián)電信科技有限公司21/8ACI數(shù)據(jù)中心組網(wǎng)實施方案V1.01.接口策略配置，實體服務(wù)器接口已經(jīng)配置完畢，主要配置VPC接口!2.服務(wù)器HA,交換機獨立和LACP兩種模式測試!3.VM測試虛擬機上線測試，Vcenter注冊到ACI!4.Borderleaf與6509線纜連接，L30ut策略配置!5.測試服務(wù)器上線，測試現(xiàn)網(wǎng)與測試服務(wù)器連通性!6.實體測試服務(wù)器與VM測試服務(wù)器上線測試!7.APIC整個配置檢查，排錯!8.對無影響或者影響較小服務(wù)器應(yīng)用進行上線測試!序號1接口策略配置，實體服務(wù)器接口已經(jīng)配置完畢，主要配置VPC接口何北無影響2無影響3VM測試虛擬機上線測試，Vc