ក្រុមសន្តិសុខ ACI Endpoint
ការណែនាំអំពីការរចនា Cisco ACI Endpoint Security Group (ESG)
លក្ខណៈបច្ចេកទេស
| ឈ្មោះឯកសារ | ការណែនាំអំពីការរចនា Cisco ACI Endpoint Security Group (ESG) |
|---|---|
| ចំនួនទំព័រ | 49 |
មាតិកា
- គោលបំណងនៃឯកសារនេះ។
- តម្រូវការជាមុន
- វាក្យសព្ទ
- សេចក្តីផ្តើម
- បណ្តាញ - កណ្តាលទៅ
រឿងចំណាកស្រុកដែលផ្តោតលើកម្មវិធី៖ Pseudo Co - ESG Design Examples
- តំបន់សន្តិសុខដែលអាចបត់បែនបានជាមួយ
ESGs - ការរចនាលម្អិត Examples
- Cisco ACI Tenant Design Examples ការប្រើប្រាស់
ESGs - សំណួរគេសួរញឹកញាប់
- សូមមើលផងដែរ។
គោលបំណងនៃឯកសារនេះ។
ឯកសារនេះមានគោលបំណងផ្តល់ការណែនាំអំពីការរចនារបស់ Cisco
ACI Endpoint Security Group (ESG) ។
តម្រូវការជាមុន
ឯកសារនេះសន្មត់ថាអ្នកអានមានចំណេះដឹងជាមូលដ្ឋាន
បច្ចេកវិទ្យា Cisco ACI ។ សម្រាប់ព័ត៌មានបន្ថែមអំពី Cisco ACI សូមមើលទំព័រ
ស៊ីស្កូ ACI ក្រដាសស
មាននៅ Cisco.com ។
ឯកសារនេះផ្តោតលើ ESGs ហើយមិនគ្របដណ្តប់លម្អិតទេ។
ការកំណត់រចនាសម្ព័ន្ធកិច្ចសន្យា និងជម្រើសរចនា។ សម្រាប់ព័ត៌មានបន្ថែម
អំពីកិច្ចសន្យា សូមមើល ស៊ីស្កូ ACI
ការណែនាំអំពីកិច្ចសន្យា.
សម្រាប់ព័ត៌មានអំពីការកំណត់រចនាសម្ព័ន្ធ ESG សូមមើលទំព័រ ការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាព Cisco APIC
មគ្គុទ្ទេសក៍, ចេញផ្សាយ 6.0(x) ។
វាក្យសព្ទ
ឯកសារនេះប្រើលក្ខខណ្ឌដូចខាងក្រោម៖
- TN: អ្នកជួល
- VRF៖ បញ្ជូនបន្ត និងបញ្ជូនបន្តនិម្មិត
- BD: ដែនស្ពាន
- L3Out៖ ស្រទាប់ទី 3 ខាងក្រៅ ឬបណ្តាញផ្លូវខាងក្រៅ
- L3Out / EPG ខាងក្រៅ៖ EPG ដែលមានមូលដ្ឋានលើបណ្តាញរងនៅក្នុង L3Out
- Border leaf switch: Cisco ACI leaf switch ដែល L3Out គឺ
បានដាក់ពង្រាយ - ដែន VMware vCenter VMM៖ ដែនអ្នកគ្រប់គ្រងម៉ាស៊ីននិម្មិតបើក
Cisco ACI ដែលគូសផែនទីទៅកុងតាក់ចែកចាយនិម្មិត (vDS) នៅលើ VMware
vCenter - ការរចនាផ្តោតលើកម្មវិធី និងការរចនាបណ្តាញកណ្តាល៖ ក្នុង ក
ការរចនាបណ្តាញកណ្តាលធម្មតា EPG តែមួយ (ក្រុមសន្តិសុខ) គឺ
បង្កើតតាមដែនស្ពាន។ EPG ជាធម្មតាមាន VLAN តែមួយ
ID ដែលស្រដៀងទៅនឹងការរចនាបណ្តាញប្រពៃណី។ បណ្តាញ
ប្លុកអគារត្រូវបានដាក់ឈ្មោះតាមរបៀបដែលឆ្លុះបញ្ចាំងពីបណ្តាញ
សំណង់ដូចជា epg-vlan-10, epg-vlan-11, epgvlan-12 ។
សេចក្តីផ្តើម
ផ្នែកណែនាំផ្តល់នូវការបញ្ចប់view របស់ Cisco ACI
ការណែនាំអំពីការរចនា Endpoint Security Group (ESG) ។
បណ្តាញ - កណ្តាលទៅកម្មវិធីកណ្តាល
រឿងចំណាកស្រុក៖ Pseudo Co
ផ្នែកនេះពន្យល់ពីការធ្វើចំណាកស្រុកពីបណ្តាញកណ្តាល
ការរចនាទៅជាការរចនាផ្តោតលើកម្មវិធីដោយប្រើ Pseudo Co
វិធីសាស្រ្ត។
ESG Design Examples
ផ្នែកនេះបង្ហាញពីឧamples នៃការរចនា ESG ។
តំបន់សន្តិសុខដែលអាចបត់បែនបានជាមួយ ESGs
ផ្នែកនេះពិភាក្សាអំពីគោលគំនិតនៃតំបន់សន្តិសុខដែលអាចបត់បែនបាន។
ដោយប្រើ ESGs ។
ការរចនាលម្អិត Examples
ផ្នែកនេះផ្តល់ព័ត៌មានលម្អិត ឧamples នៃការរចនា ESG ។
Cisco ACI Tenant Design Examples ការប្រើប្រាស់
ESGs
ផ្នែកនេះបង្ហាញពី Cisco ACI tenant design examples នោះ។
ប្រើប្រាស់ ESGs ។
សំណួរគេសួរញឹកញាប់
ខាងក្រោមនេះគឺជាសំណួរដែលគេសួរញឹកញាប់អំពី Cisco ACI
ក្រុមសុវត្ថិភាព Endpoint (ESG)៖
-
- សំណួរ៖ តើឯកសារនេះមានគោលបំណងអ្វី?
A: គោលបំណងនៃឯកសារនេះគឺដើម្បីផ្តល់ការណែនាំអំពី
ការរចនានៃ Cisco ACI Endpoint Security Group (ESG) ។
-
- សំណួរ៖ តើអ្វីជាតម្រូវការជាមុនសម្រាប់ឯកសារនេះ?
ចម្លើយ៖ ឯកសារនេះសន្មត់ថាអ្នកអានមានចំណេះដឹងជាមូលដ្ឋាន
បច្ចេកវិទ្យា Cisco ACI ។ សម្រាប់ព័ត៌មានបន្ថែមអំពី Cisco ACI សូមមើល
ក្រដាសស Cisco ACI មាននៅ Cisco.com ។
-
- សំណួរ៖ តើឯកសារនេះគ្របដណ្តប់លើការកំណត់រចនាសម្ព័ន្ធកិច្ចសន្យា និងការរចនា
ជម្រើស?
- សំណួរ៖ តើឯកសារនេះគ្របដណ្តប់លើការកំណត់រចនាសម្ព័ន្ធកិច្ចសន្យា និងការរចនា
A: ទេ ឯកសារនេះផ្តោតលើ ESGs ហើយមិនគ្របដណ្តប់លម្អិតទេ។
ការកំណត់រចនាសម្ព័ន្ធកិច្ចសន្យា និងជម្រើសរចនា។ សម្រាប់ព័ត៌មានបន្ថែម
អំពីកិច្ចសន្យា សូមមើលការណែនាំអំពីកិច្ចសន្យា Cisco ACI ។
-
- សំណួរ៖ តើខ្ញុំអាចស្វែងរកព័ត៌មានអំពីការកំណត់រចនាសម្ព័ន្ធ ESG នៅឯណា?
ចម្លើយ៖ សម្រាប់ព័ត៌មានអំពីការកំណត់រចនាសម្ព័ន្ធ ESG សូមមើល Cisco APIC
ការណែនាំអំពីការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាព ចេញផ្សាយ 6.0(x)។
សូមមើលផងដែរ។
សម្រាប់ព័ត៌មានបន្ថែម សូមមើលធនធានដែលពាក់ព័ន្ធនៅលើ
ស៊ីស្កូ.com
ក្រដាសស ស៊ីស្កូ សាធារណៈ
ការណែនាំអំពីការរចនា Cisco ACI Endpoint Security Group (ESG)
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 1 នៃ 49
មាតិកា
គោលបំណងនៃឯកសារនេះ …………………………………………………………………………………………………………… ៤
តម្រូវការជាមុន…………………………………………………………………………………………………………………………………… ៤
វាក្យសព្ទ ……………………………………………………………………………………………………………………………………. ៤
សេចក្តីផ្តើម…………………………………………………………………………………………………………………………………….៥
Network-centric to Application-centric Migration Story: Pseudo Co ………………………………………….5
ជាងview នៃការដាក់ពង្រាយ Cisco ACI របស់ក្រុមហ៊ុន Pseudo …………………………………………………………………….. 5 ការដាក់ពង្រាយបណ្តាញ………………………………… …………………………………………………………………………………………… 6 ឯកសារយោង ……………………………………… ……………………………………………………………………………………………. 7 Endpoint Group vs Endpoint Security Group …………………………………………………………………………………………….. 9 Design BlueprintSingle ESG per Application ……… ……………………………………………………………………………….. 11 ជំហាននៃការធ្វើចំណាកស្រុក…………………………………………………… ……………………………………………………………………………………………. ១២
ជំហានទី 1: អនុវត្ត ESG តែមួយសម្រាប់ការទំនាក់ទំនងបើកចំហរវាងបណ្តាញរង (អ្នកជ្រើសរើស EPG) ……………………. 13 ជំហានទី 2៖ អនុវត្ត ESG តែមួយសម្រាប់ចំណុចបញ្ចប់ទាំងអស់នៃកម្មវិធីតែមួយ (tag អ្នកជ្រើសរើស) ……………………………. 15 ជំហានទី 3: ការទំនាក់ទំនងរវាងកម្មវិធី (កិច្ចសន្យារវាង ESGs) ……………………………………………………… 20 ជំហានទី 4: ពង្រឹងសុវត្ថិភាពកម្មវិធីបន្ថែម……………………………………… ………………………………………………………. ២១
ESG Design Examples……………………………………………………………………………………………………………………… 24
តំបន់សុវត្ថិភាពដែលអាចបត់បែនបានជាមួយនឹង ESGs ………………………………………………………………………………………………………….. 24 ការរចនាលម្អិត Examples ………………………………………………………………………………………………………………………. ២៦
Example 1: តំបន់សុវត្ថិភាពមួយក្នុងឧទាហរណ៍ VRF ជាតំបន់លំនាំដើម (អ្នកជ្រើសរើស EPG) …………………………………………. ២៧ ឧample 2: តំបន់សុវត្ថិភាពក្នុងមួយសំណុំនៃ subnets/VLANs (EPG Selectors) ………………………………………………………. 28 ឧampលេ ១៖ Tag អ្នកជ្រើសរើសជាមួយនឹងការរួមបញ្ចូល VMM …………………………………………………………………………………. ២៩ ឧampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសដោយគ្មានការរួមបញ្ចូល VMM សម្រាប់ចំណុចបញ្ចប់ VM ដោយប្រើអាសយដ្ឋាន MAC …………………… 29 ឧampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសដោយគ្មានការរួមបញ្ចូល VMM សម្រាប់ចំណុចបញ្ចប់ VM ដោយប្រើអាសយដ្ឋាន IP ………………………. ៣១ ឧampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសសម្រាប់ចំណុចបញ្ចប់ដែកទទេដោយប្រើអាសយដ្ឋាន MAC ………………………………………………. 32 ឧampលេ ១៖ Tag selectors for bare metal endpoints using the IP address …………………………………………………….. 33 Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសជាមួយកុងតាក់អន្តរការី……………………………………………………………………………… 34 ឧample 9: IP subnet selectors ………………………………………………………………………………………………………… 35 Example 10: ESG ជាកុងតឺន័រនៃកម្មវិធីដោយប្រើ tag ឧបករណ៍ជ្រើសរើសដែលមានតំបន់សុវត្ថិភាពលំនាំដើមដោយប្រើឧបករណ៍ជ្រើសរើស EPG ……………………………………………………………………………………………………………………… ………………………….. ៣៦ ឧampលេខ 11៖ តំបន់សន្តិសុខច្រើនដោយប្រើឧបករណ៍ជ្រើសរើស EPG ជាមួយនឹង ESG ដាច់ដោយឡែកដោយប្រើ tag អ្នកជ្រើសរើស………… ៣៧ ឧampលេ 12៖ ESG ជាមួយស្រទាប់ទី 2 ពហុខាស ……………………………………………………………………………………………. ៣៨ ឧample 13: EPG Selectors and IP-based Selectors without a VMM Domain …………………………………………………… 39
ឧបសម្ព័ន្ធ៖ Cisco ACI Tenant Design Examples ការប្រើប្រាស់ ESGs ………………………………………………………………… 40
Example 1: All in a user tenant………………………………………………………………………………………………………… 42 Example 2: VRF instance/bridge domains/EPGs (VLANs) in tenent common while ESGs in user tenants ……………………………………………………………………………… ………………………………………………………………………………. ៤២ ឧample 3: VRF instance/bridge domains ស្ថិតនៅក្នុងអ្នកជួលទូទៅ ខណៈដែល EPGs (VLANs) និង ESGs គឺនៅក្នុង user tenants ……………………………………………………………………… …………………………………………………………………. ៤៣
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 2 នៃ 49
Example 4: សេវាកម្មដែលបានចែករំលែកនៅក្នុងឧទាហរណ៍ VRF ដូចគ្នាពីភតិកៈទូទៅ …………………………………….. 43 Example 5 សេវាដែលបានចែករំលែកនៅក្នុងឧទាហរណ៍ VRF ផ្សេងគ្នា………………………………………………………………………. 44
FAQ ………………………………………………………………………………………………………………………………………………… ……. 46 សូមមើលផងដែរ …………………………………………………………………………………………………………………………………… …..៤៩
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 3 នៃ 49
គោលបំណងនៃឯកសារនេះ។
ឯកសារនេះពិពណ៌នាអំពីករណីប្រើប្រាស់ Cisco® Application Centric Infrastructure (Cisco ACI®) Endpoint Security Group (ESG) និងការពិចារណាលើការដាក់ពង្រាយ។
តម្រូវការជាមុន
ឯកសារនេះសន្មត់ថាអ្នកអានមានចំណេះដឹងជាមូលដ្ឋាននៃបច្ចេកវិទ្យា Cisco ACI ។ សម្រាប់ព័ត៌មានបន្ថែមអំពី Cisco ACI សូមមើលក្រដាសស Cisco ACI ដែលមាននៅ Cisco.com ។
ឯកសារនេះផ្តោតលើ ESGs និងមិនគ្របដណ្តប់លើការកំណត់រចនាសម្ព័ន្ធកិច្ចសន្យាលម្អិត និងជម្រើសនៃការរចនា។ សម្រាប់ព័ត៌មានបន្ថែមអំពីកិច្ចសន្យា សូមមើលការណែនាំអំពីកិច្ចសន្យា Cisco ACI ។
សម្រាប់ព័ត៌មានអំពីការកំណត់រចនាសម្ព័ន្ធ ESG សូមមើលការណែនាំអំពីការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាព Cisco APIC ចេញផ្សាយ 6.0(x)។
វាក្យសព្ទ
ឯកសារនេះប្រើលក្ខខណ្ឌដូចខាងក្រោម៖
TN: អ្នកជួល
VRF៖ បញ្ជូនបន្ត និងបញ្ជូនបន្តនិម្មិត
BD: ដែនស្ពាន
EPG៖ ក្រុមបញ្ចប់ការប្រមូលផ្តុំនៃចំណុចបញ្ចប់ដែលភ្ជាប់ទៅនឹង VLANs មួយឬច្រើននៅក្នុង BD ESG: ក្រុមសុវត្ថិភាព endpoint បណ្តុំនៃចំនុចបញ្ចប់នៅក្នុង VRF instance EP: endpoint រស់នៅក្នុងក្រណាត់ Cisco ACI
L3Out៖ ស្រទាប់ទី 3 ខាងក្រៅ ឬបណ្តាញផ្លូវខាងក្រៅ
L3Out / EPG ខាងក្រៅ៖ EPG ដែលមានមូលដ្ឋានលើបណ្តាញរងនៅក្នុង L3Out
កុងតាក់ស្លឹកព្រំដែន៖ កុងតាក់ស្លឹក Cisco ACI ដែល L3Out ត្រូវបានដាក់ពង្រាយ
ដែន VMware vCenter VMM៖ ដែនកម្មវិធីគ្រប់គ្រងម៉ាស៊ីននិម្មិតនៅលើ Cisco ACI ដែលផែនទីទៅកុងតាក់ចែកចាយនិម្មិត (vDS) នៅលើ VMware vCenter
ការរចនាផ្តោតលើកម្មវិធី និងការរចនាបណ្តាញកណ្តាល៖
នៅក្នុងការរចនាដែលផ្តោតលើបណ្តាញធម្មតា EPG តែមួយ (ក្រុមសុវត្ថិភាព) ត្រូវបានបង្កើតក្នុងមួយដែនស្ពាន។ EPG
ជាធម្មតាមានលេខសម្គាល់ VLAN តែមួយ ដែលស្រដៀងទៅនឹងការរចនាបណ្តាញប្រពៃណី។ ប្លុកការបង្កើតបណ្តាញត្រូវបានដាក់ឈ្មោះតាមលក្ខណៈដែលឆ្លុះបញ្ចាំងពីការបង្កើតបណ្តាញដូចជា “epg-vlan-10, epg-vlan-11, epgvlan-12”។
នៅក្នុងការរចនាដែលផ្តោតលើកម្មវិធី EPGs/ESGs មួយឬច្រើនត្រូវបានបង្កើតឡើងនៅលើដែនស្ពានតែមួយ។ នេះ។
ប្លុកការកសាងបណ្តាញត្រូវបានដាក់ឈ្មោះតាមរបៀបដែលឆ្លុះបញ្ចាំងពីកម្មវិធីដូចជា "epg-webepg-app, epgdb”។
រូបភាពទី 1 បង្ហាញរូបតំណាងដែលប្រើក្នុងឯកសារនេះ។ ចំណុចទាញវត្ថុបង្ហាញពីមុខងារដូចខាងក្រោមៈ C: Contract Consumer CCI: Consumed contract interface I: Intra EPG/ESG contract P: Contract provider
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 4 នៃ 49
រូបភាពទី 1. រូបតំណាង Cisco ACI
សេចក្តីផ្តើម
ឯកសារនេះគ្របដណ្តប់លក្ខណៈពិសេសរហូតដល់ការចេញផ្សាយរបស់ Cisco ACI 6.0(2)។ ឯកសារត្រូវបានបែងចែកជាផ្នែកជាច្រើន៖
Network Centric to Application Centric Migration Story: Pseudo Co ពន្យល់អតីតមួយ។ampការទទួលយក ESGs នៅក្នុងក្រណាត់ Cisco ACI សម្រាប់អ្នកប្រើប្រាស់ថ្មីចំពោះ ESGs ។
ESG Design Examples ពន្យល់បន្ថែម ESG design examples សម្រាប់អ្នកប្រើប្រាស់ដែលស្គាល់ ESGs ។ ឧបសម្ព័ន្ធពន្យល់យ៉ាងទូលំទូលាយ Cisco ACI multi-tenant design examples ។
Network-centric to Application-centric Migration Story: Pseudo Co
ផ្នែកនេះគ្របដណ្តប់រឿងរ៉ាវនៃការធ្វើចំណាកស្រុក EPG ទៅ ESG ដោយប្រើក្រុមហ៊ុន Pseudo Co a (ប្រឌិត) ដែលធ្លាប់ប្រើប្រាស់ Cisco ACI ក្នុងការរចនាបណ្តាញជាកណ្តាលជាមួយនឹង EPG តែមួយក្នុងមួយបណ្តាញរង។
សូមមើល ESG Design Exampផ្នែក les សម្រាប់ជម្រើសរចនាផ្សេងទៀត។
ជាងview នៃការដាក់ពង្រាយ Cisco ACI របស់ក្រុមហ៊ុន Pseudo
Pseudo Co បានកំណត់រចនាសម្ព័ន្ធអ្នកជួល Cisco ACI ជាច្រើនជាមួយនឹងចំណុចបញ្ចប់ម៉ាស៊ីននិម្មិតជាច្រើននៅលើម៉ាស៊ីន ESXi ដែលត្រូវបានភ្ជាប់ដោយផ្ទាល់ទៅនឹងក្រណាត់ Cisco ACI ។
តួលេខខាងក្រោមផ្តល់នូវកម្រិតខ្ពស់ជាងview ក្រណាត់ Cisco ACI របស់ Pseudo Co និងឧបករណ៍ភ្ជាប់មកជាមួយ៖
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 5 នៃ 49
រូបភាពទី 2. Cisco ACI Fabric របស់ Pseudo Co: Physical Topology
ការដាក់ពង្រាយបណ្តាញ
ក្រុមហ៊ុន Pseudo Co បានដាក់ពង្រាយក្រណាត់ Cisco ACI របស់ខ្លួននៅក្នុងអ្វីដែលត្រូវបានពិពណ៌នាជាទូទៅថាជាការរចនាបណ្តាញកណ្តាលដែលមានការគូសផែនទី 1: 1 នៃដែនស្ពានទៅកាន់ EPGs ។ ជាផ្នែកនៃការអនុវត្តបណ្តាញ Pseudo Co បានជ្រើសរើសអនុវត្តដែន VMM ដើម្បីសម្រួលការគ្រប់គ្រង VLAN រវាងក្រណាត់ Cisco ACI និងម៉ាស៊ីន ESXi ។ ដែន Cisco APIC VMM បែងចែក VLAN យ៉ាងសកម្មទៅក្រុមច្រក vDS ពីក្រុម VLAN លើ Cisco APIC ។ ដោយសារការបែងចែក VLAN ថាមវន្ត ជាញឹកញាប់វាមានប្រយោជន៍ក្នុងការអនុវត្តទម្រង់ដាក់ឈ្មោះដែល BD_name = EPG_name ។ ទោះយ៉ាងណាក៏ដោយ សម្រាប់គោលបំណងនៃឯកសារនេះ និងដើម្បីបង្ហាញពីមុខងារនៃដែនស្ពាន និង EPG ឯកសារនេះប្រើបណ្តាញរង CIDR សម្រាប់ឈ្មោះដែនស្ពាន និងលេខសម្គាល់ VLAN សម្រាប់ឈ្មោះ EPG៖
អ្នកជួល៖ ការបង្ហាញ VRF៖ vrf-01 ដែនស្ពាន៖ 10.0.1.0_24 10.0.7.0_24 EPGs៖ VLAN10 VLAN70 EPs៖ ចែកចាយតាមផ្នែកបណ្តាញផ្សេងៗគ្នា តួលេខខាងក្រោមតំណាងឱ្យអ្នកជួលម្នាក់របស់ Pseudo Co៖
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 6 នៃ 49
រូបភាពទី 3. Cisco ACI Fabric របស់ Pseudo Co: ផ្នែកបណ្តាញ
ពាក្យសុំយោង
សម្រាប់ការណែនាំអំពីការរចនានេះ យើងនឹងបង្ហាញពីរបៀបដែល Pseudo Co បានយ៉ាងងាយស្រួលបំប្លែងក្រណាត់ Cisco ACI របស់ខ្លួនពីការរចនាដែលផ្តោតលើបណ្តាញទៅជាការរចនាផ្តោតលើកម្មវិធី។ ដ្យាក្រាមខាងក្រោមបង្ហាញអំពីកម្មវិធីយោងពហុថ្នាក់ (ហាងអនឡាញ) ដែលនឹងត្រូវបានប្រើក្នុងការណែនាំអំពីការរចនានេះ។
ចំណាំ៖ កម្មវិធីយោងត្រូវបានបំផុសគំនិតពីកម្មវិធីសាកល្បងនេះនៅលើ GitHub ។
ចរាចរណ៍អ្នកប្រើប្រាស់ទៅកាន់កម្មវិធីហាងអនឡាញ ប្រើប្រាស់សេវាកម្មខាងមុខនៅលើច្រក 80/8080 ដូចដែលបានរៀបរាប់លម្អិតនៅក្នុងតារាងដែលភ្ជាប់មកជាមួយ។ សញ្ញាព្រួញនៅចន្លោះថ្នាក់កម្មវិធីលម្អិតអំពីលំហូរចរាចរណ៍ដែលរំពឹងទុក ដែលមកពីប្រភព/អ្នកប្រើប្រាស់ទៅកាន់គោលដៅ/អ្នកផ្តល់សេវា។
រូបភាពទី 4. Cisco ACI Fabric របស់ Pseudo Co: កម្មវិធីយោង
ដ្យាក្រាមខាងក្រោមបង្ហាញពីរបៀបដែលកម្មវិធីហាងអនឡាញត្រូវបានដាក់ពង្រាយនៅទូទាំងផ្នែកបណ្តាញផ្សេងៗ (បណ្តាញរង) នៅក្នុង "ការបង្ហាញ" អ្នកជួល។ ចំណាំថាសេវាកម្មកម្មវិធីជាច្រើនដូចជា ផ្នែកខាងមុខ ការទូទាត់ និងរទេះ លាតសន្ធឹងបណ្តាញរងផ្សេងៗគ្នា។ ការរីករាលដាលចំណុចបញ្ចប់នៅទូទាំងបណ្តាញរងផ្សេងៗគ្នានៅក្នុង Pseudo Co បានកើតឡើងដោយសារតែ
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 7 នៃ 49
នៃកំណើនអិចស្ប៉ូណង់ស្យែលនៅក្នុងចំនួននៃចំណុចបញ្ចប់ដែលត្រូវការសម្រាប់កម្រិតកម្មវិធីដែលបានផ្តល់ឱ្យ។ ចំណុចបញ្ចប់នៃកម្មវិធីបានឆ្លងកាត់ព្រំដែនបណ្តាញរង ដោយសារការអស់អាសយដ្ឋាន IP នៅក្នុងបណ្តាញរងដែលបានផ្តល់ឱ្យ។
រូបភាពទី 5. Cisco ACI Fabric របស់ Pseudo Co: កម្មវិធីយោងឆ្លងកាត់ផ្នែកបណ្តាញ
កម្មវិធីដូចជាកម្មវិធីហាងអនឡាញដែលត្រូវបានរៀបចំនៅលើក្រណាត់ Cisco ACI ដែលផ្តោតលើបណ្តាញរបស់ Pseudo Co ទាមទារឱ្យមានទំនាក់ទំនងបើកចំហររវាងថ្នាក់កម្មវិធីផ្សេងៗគ្នា ដើម្បីអាចឱ្យកម្មវិធីដំណើរការបានត្រឹមត្រូវ។
មានជម្រើសនៃការកំណត់រចនាសម្ព័ន្ធផ្សេងៗគ្នាជាច្រើនដែលអាចរកបានដើម្បីបើកការទំនាក់ទំនងបើកចំហក្នុងចំណោម EPGs ជាច្រើន/ទាំងអស់នៅលើក្រណាត់ Cisco ACI៖
កិច្ចសន្យាជាមួយ vzAny៖ vzAny តំណាងឱ្យ EPGs, ESGs និង EPGs ខាងក្រៅទាំងអស់នៅលើឧទាហរណ៍ VRF ។ ការផ្តល់ និងប្រើប្រាស់កិច្ចសន្យាបើកចំហ "អនុញ្ញាត-ណាមួយ" នៅលើ vzAny អនុញ្ញាតឱ្យទំនាក់ទំនងបើកចំហរវាងចំណុចបញ្ចប់ទាំងអស់នៅលើឧទាហរណ៍ VRF ។
ក្រុមដែលពេញចិត្ត ការផ្តល់ EPGs ច្រើនទៅក្រុមដែលពេញចិត្តអនុញ្ញាតឱ្យមានការទំនាក់ទំនងបើកចំហររវាង EPGs នៅក្នុងក្រុម Preferred ដោយមានការរឹតបន្តឹងថាអាចមានក្រុម Preferred តែមួយប៉ុណ្ណោះក្នុងមួយឧទាហរណ៍ VRF ។
បិទសុវត្ថិភាព យើងមិនណែនាំជម្រើសនេះទេ ព្រោះការកំណត់ VRF instance ទៅជា "unenforced" mode បំប្លែង VRF instance ទៅជា "permit only" ដែលអនុញ្ញាតឱ្យទំនាក់ទំនងបើកចំហររវាង endpoints ទាំងអស់នៅក្នុង instance VRF។ ការបិទសុវត្ថិភាពបង្កប់ន័យបិទកិច្ចសន្យាសុវត្ថិភាព និងមុខងារកម្រិតខ្ពស់ដូចជាក្រាហ្វសេវាកម្មជាដើម។
បន្ថែមពីលើជម្រើសខាងលើ ដោយចាប់ផ្តើមពី Cisco ACI ចេញផ្សាយ 5.2(1g) អ្នកអាចប្រើ ESG ជាមួយឧបករណ៍ជ្រើសរើស EPG ដើម្បីបង្កើតក្រុមសុវត្ថិភាពដែលប្រមូលផ្តុំ EPGs ជាច្រើន។ ការប្រាស្រ័យទាក់ទងនៅក្នុង ESG ដែលបានផ្តល់ឱ្យ (ទំនាក់ទំនងខាងក្នុង ESG) ត្រូវបានអនុញ្ញាតតាមលំនាំដើម។ ករណីប្រើប្រាស់សម្រាប់ EPG ទៅ ESG mapping ត្រូវបានគ្របដណ្តប់លម្អិតនៅពេលក្រោយនៅក្នុងផ្នែកនេះ។
បច្ចុប្បន្នក្រុមហ៊ុន Pseudo Co បានបើកការទំនាក់ទំនងបើកចំហនៅក្នុងឧទាហរណ៍ VRF តាមរយៈការប្រើប្រាស់ vzAny ដែលផ្តល់ និងប្រើប្រាស់កិច្ចសន្យា "លំនាំដើម" ពីអ្នកជួល "ទូទៅ" ដូចដែលបានបង្ហាញក្នុងរូបខាងក្រោម៖
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 8 នៃ 49
រូបភាពទី 6. Cisco ACI Fabric របស់ Pseudo Co: vzAny-to-vzAny កិច្ចសន្យាដើម្បីអនុញ្ញាតទំនាក់ទំនងអន្តរ EPG ទាំងអស់
ក្រុម Endpoint vs ក្រុមសុវត្ថិភាព Endpoint
វាមានសារៈសំខាន់ណាស់ក្នុងការប្រៀបធៀបមុខងារ និងការពិចារណាលើការរចនានៃក្រុម endpoint និងក្រុមសុវត្ថិភាព endpoint។ ប្លុកអគារមូលដ្ឋានរបស់ Cisco ACI (ដូចបានរៀបរាប់លម្អិតក្នុងរូបភាពខាងក្រោម) កំណត់ថា:
ឧទាហរណ៍ VRF៖ អាចមាននៅក្នុងភតិកៈតែមួយប៉ុណ្ណោះ។ Bridge domain៖ អាចត្រូវបានផ្គូផ្គងទៅនឹងវត្ថុ VRF មួយប៉ុណ្ណោះ ហើយអាចផ្តល់ការកំណត់ផ្លូវសម្រាប់មួយ ឬច្រើន។
បណ្តាញរង (អាសយដ្ឋាន IP ទីពីរ) ។ EPG៖ កំណត់ព្រំដែនក្រុមសន្តិសុខនៅក្នុងដែនស្ពាន។ ការចូលទៅកាន់ EPG ត្រូវបានកំណត់ដោយឋិតិវន្ត
ការចងផ្លូវនៅលើឧបករណ៍ប្តូរស្លឹក (ចំណុចប្រទាក់ / VLAN) ឬការចង VMM ។ ESG៖ កំណត់ព្រំដែនក្រុមសន្តិសុខនៅក្នុងឧទាហរណ៍ VRF ។ ការចូលរៀន ESG ត្រូវបានកំណត់ដោយមួយឬ
ច្រើនទៀតនៃវិធីសាស្រ្តដូចខាងក្រោម:
EPG Selectors មួយ ឬច្រើន EPG អាចត្រូវបានផ្គូផ្គងទៅនឹង ESG Tag SelectorsEndpoints អាចត្រូវបានគូសផែនទីទៅ ESG ដោយផ្អែកលើ៖
o អាសយដ្ឋាន MAC ឬ អាសយដ្ឋាន IP ឬ ឈ្មោះ VM ឬ VM Tag
អាសយដ្ឋាន IP SelectorsIP អាចត្រូវបានផ្គូផ្គងទៅនឹង ESG
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 9 នៃ 49
រូបភាពទី 7. ការពិចារណាផ្នែកសុវត្ថិភាពនៃក្រុម endpoint vs ក្រុមសុវត្ថិភាព endpoint
ការគូសផែនទី ESG ត្រូវបានអនុវត្តដោយផ្អែកលើលក្ខណៈវិនិច្ឆ័យនៃការសម្រេចចិត្តតាមឋានានុក្រមសម្រាប់ចរាចរណ៍ដែលបានប្តូរ និងបញ្ជូនបន្តដូចដែលបានបង្ហាញក្នុងតារាងក្នុង FAQ របស់ជម្រើសអាទិភាព។ ចំណុចបញ្ចប់ដែលត្រូវគ្នានឹងអ្នកជ្រើសរើស EPG មានអាទិភាពផ្គូផ្គងទាបជាងចំណុចបញ្ចប់ដែលត្រូវគ្នានឹង a tag អ្នកជ្រើសរើស។ ការជ្រើសរើសការសម្រេចចិត្ត ESG អនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងបណ្តាញផ្លាស់ទីចំណុចបញ្ចប់ដោយថាមវន្តរវាង ESGs ផ្សេងគ្នាដោយមិនចាំបាច់ផ្លាស់ប្តូរបណ្តាញគាំទ្រ។ សម្រាប់អតីតampដូច្នេះ ចំណុចបញ្ចប់ទាំងអស់ដែលមាននៅក្នុង EPG អាចត្រូវបានគូសផែនទីទៅ ESG-A ដោយប្រើឧបករណ៍ជ្រើសរើស EPG ។ បន្ទាប់មកចំនុចបញ្ចប់ជាក់លាក់អាចត្រូវបានគូសផែនទីទៅ ESG-B ដោយប្រើអាទិភាពខ្ពស់ជាងនេះ។ tag អ្នកជ្រើសរើស។
សរុបមក យើងសូមណែនាំឱ្យអ្នកប្រើ ESGs ដើម្បីផ្តល់នូវការបែងចែក Cisco ACI ដោយសារតែសមត្ថភាពរបស់ពួកគេក្នុងការគាំទ្រការរចនាសុវត្ថិភាពដែលអាចបត់បែនបានដូចជា៖
ក្រុមសន្តិសុខដែលកំណត់ដោយ ESG មិនត្រូវបានកំណត់ចំពោះការចាត់ថ្នាក់ចំណុចបញ្ចប់នៅក្នុងដែនស្ពានតែមួយទេ។ ចំណុចបញ្ចប់អាចផ្លាស់ប្តូរក្រុមសុវត្ថិភាព (ESG) ដោយមិនចាំបាច់ផ្លាស់ប្តូរការកំណត់បណ្តាញមូលដ្ឋាន។
ដូចជា VLAN ID ឬផ្លាស់ប្តូរចំណុចប្រទាក់តាមរយៈ EPGs ។ ព័ត៌មានលម្អិតពេញលេញនៃជម្រើសចំណាត់ថ្នាក់ ESG ត្រូវបានគ្របដណ្តប់នៅក្នុង ESG Design Exampផ្នែក les ។
ខណៈពេលដែលការប្រើប្រាស់កិច្ចសន្យាគឺអាចអនុវត្តបានស្មើៗគ្នាចំពោះទាំង EPGs និង ESGs ESGs ផ្តល់នូវជម្រើសសុវត្ថិភាពដែលប្រសើរឡើង ដោយសារពួកគេអនុញ្ញាតឱ្យមានការដាក់ជាក្រុមនៃចំនុចបញ្ចប់ឆ្លងកាត់ដែនស្ពានផ្សេងៗគ្នានៅក្នុងឧទាហរណ៍ VRF (ដូចបានបង្ហាញខាងលើ)។ ផ្ទុយទៅវិញ EPG ត្រូវបានចងភ្ជាប់ទៅនឹងដែនស្ពានតែមួយនៅក្នុងឧទាហរណ៍ VRF ដូច្នេះវាមិនអាចទៅរួចទេក្នុងការជ្រើសរើសចំណុចបញ្ចប់ឆ្លងកាត់ដែនស្ពានផ្សេងៗគ្នា។ ការគូសផែនទីពីដែនទៅ EPG អាចបង្ហាញឧបសគ្គនៅពេលផ្លាស់ប្តូរពីការរចនាបណ្តាញទៅចំណុចកណ្តាលនៃកម្មវិធី ប្រសិនបើចំណុចបញ្ចប់កម្មវិធីលាតសន្ធឹងឆ្លងកាត់ EPGs និងដែនស្ពានផ្សេងៗគ្នា (រូបភាពទី 5)។ ESGs ដកការរឹតបន្តឹងនេះចេញ ដោយសារពួកវាដំណើរការលើឧទាហរណ៍ VRF ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 10 នៃ 49
រចនា BlueprintSingle ESG ក្នុងមួយកម្មវិធី
ក្រុមហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញនៅ Pseudo Co បានជ្រើសរើសធ្វើចំណាកស្រុកពីការរចនាបណ្តាញកណ្តាលបច្ចុប្បន្នរបស់ពួកគេទៅជាការរចនាផ្តោតលើកម្មវិធីដោយបង្កើតតំបន់សុវត្ថិភាពមួយក្នុងមួយកម្មវិធី។ ប្លង់មេនៃការរចនាដំបូងដាក់ចំណុចបញ្ចប់ទាំងអស់នៃកម្មវិធីដែលបានផ្តល់ឱ្យទៅក្នុង ESG តែមួយ។ បន្ទាប់ពីកម្មវិធីត្រូវបានធ្វើផែនទីទៅ ESG ក្រុមនឹងវាយតម្លៃនិងកែសម្រួលសមាជិកភាព ESG តាមតម្រូវការ។ សម្រាប់អតីតampដូច្នេះ ក្រុមការងារអាចផ្លាស់ទីសេវាកម្មចែករំលែកមួយចំនួន ដូចជាមូលដ្ឋានទិន្នន័យ ទៅកាន់ ESG ដែលខិតខំប្រឹងប្រែង។ ការផ្លាស់ទីចំណុចបញ្ចប់រវាង ESGs អាចសម្រេចបានយ៉ាងរលូនដោយមិនចាំបាច់ផ្លាស់ប្តូរបណ្តាញគាំទ្រដោយគ្រាន់តែកែតម្រូវលក្ខណៈវិនិច្ឆ័យជ្រើសរើស ESG ។
រូបភាពទី 8. Cisco ACI Fabric របស់ Pseudo Co: មួយ ESG ក្នុងមួយកម្មវិធី (ការរចនាថ្មី)
ការអនុវត្ត ESG តែមួយក្នុងមួយកម្មវិធីផ្តល់ឱ្យអ្នកគ្រប់គ្រងបណ្តាញច្បាស់លាស់ view កន្លែងដែលកម្មវិធីកំពុងដំណើរការលើក្រណាត់ Cisco ACI ដែលផ្តល់អត្ថប្រយោជន៍សំខាន់ៗដូចខាងក្រោម៖
ធ្វើឱ្យប្រសើរឡើងនូវលទ្ធភាពមើលឃើញកម្មវិធី៖ ការបង្កើត ESG តែមួយសម្រាប់ចំណុចបញ្ចប់កម្មវិធីទាំងអស់អនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងបណ្តាញយល់ច្បាស់ពីកន្លែងដែលចំណុចបញ្ចប់កម្មវិធីត្រូវបានភ្ជាប់ទៅបណ្តាញ។ ព័ត៌មានលម្អិតរួមបញ្ចូលមានដូចខាងក្រោម៖
អាសយដ្ឋាន MAC/IP ចំណុចប្រទាក់ VLAN encapsulation ID គោលការណ៍ EPG Tag ឈ្មោះ VM (តម្រូវឱ្យអាន/សរសេរការរួមបញ្ចូល VMM) ម៉ាស៊ីនមេបង្ហោះ (តម្រូវឱ្យអាន/សរសេរការរួមបញ្ចូល VMM) ឧបករណ៍បញ្ជារាយការណ៍ (តម្រូវឱ្យអាន/សរសេរការរួមបញ្ចូល VMM) VM Tag (តម្រូវឱ្យអាន/សរសេរការរួមបញ្ចូល VMM)
សុវត្ថិភាពភ្ជាប់ទៅនឹងកម្មវិធីជាជាងផ្នែកបណ្តាញ៖ ESGs អនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងបណ្តាញ និងសុវត្ថិភាពអនុវត្តសុវត្ថិភាពដោយផ្អែកលើកម្មវិធីជាជាងនៅលើផ្នែកបណ្តាញ ឬអាសយដ្ឋាន IP ។ នេះអនុញ្ញាតឱ្យមានការរចនាបណ្តាញសាមញ្ញជាងមុន ដោយសារវាលែងមានតម្រូវការក្នុងការបញ្ចូលឧបករណ៍សុវត្ថិភាពទៅក្នុងផ្លូវ
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 11 នៃ 49
ផ្លូវ។ ផ្ទុយទៅវិញ ឧបករណ៍សេវាកម្មស្រទាប់ទី 4 ដល់ស្រទាប់ទី 7 អាចត្រូវបានបញ្ចូលដោយថាមវន្ត (ដោយប្រើក្រាហ្វសេវាកម្ម) នៅក្នុងកម្មវិធី ឬរវាងកម្មវិធី។
ការបង្កើនសុវត្ថិភាពតាមរយៈការរឹតបន្តឹងកិច្ចសន្យា៖ កិច្ចសន្យា Cisco ACI ផ្តល់នូវស្រទាប់គ្មានរដ្ឋ 4
ការគ្រប់គ្រងសុវត្ថិភាព ACL ដែលមានមូលដ្ឋានលើផ្នែករឹងរវាងកម្មវិធីដោយប្រើកិច្ចសន្យាដែលបានផ្តល់/ប្រើប្រាស់ ឬនៅក្នុងកម្មវិធីដែលបានផ្តល់ឱ្យដោយប្រើកិច្ចសន្យាខាងក្នុង ESG ។ បន្ទាប់ពីកម្មវិធីមួយត្រូវបានគេកំណត់អត្តសញ្ញាណ ហើយចំនុចបញ្ចប់របស់វាត្រូវបានដាក់ក្នុង ESG អ្នកអាចបង្កើនសុវត្ថិភាពនៃកម្មវិធីដោយដាក់កម្រិតច្រក (តម្រង) ដែលយោងនៅក្នុងកិច្ចសន្យាដែលបានផ្តល់ ឬដោយការគ្រប់គ្រងទិសដៅដែលការតភ្ជាប់ TCP ត្រូវបានបង្កើតឡើង។ នោះគឺការតភ្ជាប់អាចត្រូវបានបង្កើតឡើងតែពីអ្នកប្រើប្រាស់ទៅអ្នកផ្តល់សេវាប៉ុណ្ណោះ។
ក្រុមកម្មវិធីដាច់ដោយឡែក៖ ESGs អាចត្រូវបានកំណត់ទៅជារបៀប "បង្ខំ" (ភាពឯកោក្នុង ESG) ដែលរារាំងទាំងអស់
ចរាចរណ៍នៅក្នុង ESG ដូច្នេះការដាច់ពីគ្នានូវចំណុចបញ្ចប់នៃកម្មវិធី។ ជាជម្រើស អ្នកអាចបន្ថែមកិច្ចសន្យាខាងក្នុង ESG ទៅ ESG ដើម្បីអនុញ្ញាតឱ្យមានការទំនាក់ទំនងនៅលើច្រកជាក់លាក់នៅក្នុង ESG ។
ការបញ្ចូលសេវាកម្មឆ្លាតវៃ៖ សេវាកម្មស្រទាប់ទី 4 ដល់ស្រទាប់ទី 7 អាចត្រូវបានបញ្ចូលដោយថាមវន្តនៅពីមុខ
កម្មវិធី ESG ឬនៅក្នុង ESG ។ សម្រាប់អតីតampដូច្នេះ កិច្ចសន្យា ESG ខាងក្នុងជាមួយ Service Graph អាចត្រូវបានបន្ថែមទៅ ESG ដាច់ស្រយាល ដើម្បីប្តូរទិសចរាចរណ៍ចំណុចខាងក្នុងទាំងអស់តាមរយៈ Firewalls/IPS ជំនាន់បន្ទាប់។
ការគូសផែនទីភាពអាស្រ័យកម្មវិធី៖ អ្នកគ្រប់គ្រងបណ្តាញអាចប្រើប្រាស់កិច្ចសន្យាខាងក្នុង ESG ដើម្បីបញ្ជូនចរាចរទាំងអស់នៅក្នុង ESG តាមរយៈក្រាហ្វសេវាកម្ម ទៅកាន់ឧបករណ៍សេវាកម្មស្រទាប់ 4 ទៅស្រទាប់ 7 ដូចជាជញ្ជាំងភ្លើង។ កំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើងដោយប្រើ "អនុញ្ញាត-ណាមួយ | log” rule អនុញ្ញាតឱ្យ firewall បង្កើតសារ syslog សម្រាប់ទំនាក់ទំនងអន្តរ-endpoint ទាំងអស់នៅក្នុង ESG។ លើសពីនេះ ចរាចរណ៍ដែលកំណត់ទៅ ESG ក៏អាចត្រូវបានបញ្ជូនបន្ត ដោយប្រើក្រាហ្វសេវាកម្ម ទៅកាន់ឧបករណ៍សេវាកម្មស្រទាប់ 4 ទៅស្រទាប់ 7 ដើម្បីកត់ត្រាចរាចរណ៍ទាំងអស់ទៅកាន់កម្មវិធី។ ចំណាំ៖ អ្នកក៏អាចបើកដំណើរការចុះកិច្ចសន្យា Cisco ACI ផងដែរ។ ទោះជាយ៉ាងណាក៏ដោយ ការកាប់ឈើត្រូវបានកំណត់ត្រឹម 500pps សម្រាប់ចរាចរណ៍ដែលត្រូវបានបដិសេធ និង 300pps សម្រាប់ចរាចរណ៍ដែលត្រូវបានអនុញ្ញាត។
សមត្ថភាពសវនកម្មប្រសើរឡើង៖ សមត្ថភាព view ចំណុចបញ្ចប់នៃកម្មវិធីនៅលើក្រណាត់ Cisco ACI ផ្តល់ឱ្យអ្នកគ្រប់គ្រងបណ្តាញនូវវិធីសាស្រ្តដ៏ប្រសើរមួយចំពោះកម្មវិធីសវនកម្ម ច្បាប់សុវត្ថិភាពដែលពាក់ព័ន្ធរបស់ពួកគេ និងការរួមបញ្ចូលសេវាកម្មស្រទាប់ 4 ទៅស្រទាប់ 7 ។
ការដោះស្រាយបញ្ហាប្រសើរឡើង៖ សមត្ថភាព view កម្មវិធីនៅលើក្រណាត់ Cisco ACI អនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងបណ្តាញ view សុខភាពរបស់កម្មវិធីនីមួយៗ ហើយដូច្នេះយ៉ាងឆាប់រហ័ស និងសាមញ្ញទាក់ទងបញ្ហាដំណើរការកម្មវិធីណាមួយជាមួយនឹងបញ្ហាបណ្តាញដែលមានសក្តានុពលដូចជាការធ្លាក់ចុះកញ្ចប់ព័ត៌មាន។
ក្រាហ្វិកខាងក្រោមរៀបរាប់លម្អិតអំពីព័ត៌មានប្រតិបត្តិការដែលមាននៅក្នុង Cisco APIC សម្រាប់ ESG ដែលបានផ្តល់ឱ្យ៖
រូបភាពទី 9. ការមើលឃើញ ESG (ផ្ទាំងប្រតិបត្តិការ)
ជំហាននៃការធ្វើចំណាកស្រុក
Pseudo Co បានកំណត់ជំហានខាងក្រោមដែលតម្រូវឱ្យបំប្លែងពីការរចនាបណ្តាញកណ្តាលទៅជាការរចនាផ្តោតលើកម្មវិធី៖
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 12 នៃ 49
1. អនុវត្តការគូសផែនទី EPG-to-ESG ដោយប្រើឧបករណ៍ជ្រើស EPG ដើម្បីអនុញ្ញាតឱ្យទំនាក់ទំនងបើកចំហរវាង EPGs លើឧទាហរណ៍ VRF ដែលបានផ្តល់ឱ្យ។ វាដកចេញនូវតម្រូវការនៃកិច្ចសន្យា vzAny ដែលអនុញ្ញាតឱ្យមានជម្រើសសុវត្ថិភាពដែលអាចបត់បែនបានបន្ថែមទៀតនាពេលអនាគត។
2. អនុវត្ត ESG តែមួយសម្រាប់ហាងលក់ម៉ាស៊ីននិម្មិតតាមអ៊ីនធឺណិតដោយប្រើ VM tag ការកំណត់អត្តសញ្ញាណដោយវិធី ក tag អ្នកជ្រើសរើស។
3. អនុញ្ញាតឱ្យទំនាក់ទំនងដោយប្រើកិច្ចសន្យារវាងកម្មវិធីហាងអនឡាញ ESG និង ESGs ផ្សេងទៀតនៅលើបណ្តាញ។
4. ពង្រឹងសុវត្ថិភាពបន្ថែមដោយជ្រើសរើសពិធីការ និងច្រកដែលបើកសម្រាប់កម្មវិធីហាងអនឡាញ ESG ។
ដូចដែលបានរៀបរាប់ពីមុនមក ក្រុមហ៊ុន Pseudo Co បានអនុវត្តកិច្ចសន្យា "អនុញ្ញាត-ណាមួយ" សាមញ្ញ ដែលត្រូវបានផ្តល់ និងប្រើប្រាស់នៅលើ vzAny ។ កំឡុងពេលធ្វើចំណាកស្រុកពីការរចនាដែលផ្តោតលើបណ្តាញទៅការរចនាផ្តោតលើកម្មវិធី កុំផ្លាស់ប្តូរការគ្រប់គ្រងសុវត្ថិភាពបើកចំហដែលត្រូវបានផ្តល់ដោយ vzAny ។ ការបរាជ័យក្នុងការថែរក្សាការគ្រប់គ្រងសុវត្ថិភាពបើកចំហបច្ចុប្បន្នអាចបណ្តាលឱ្យមានបញ្ហាក្នុងការតភ្ជាប់កម្មវិធី។ នៅពេលក្រោយ សtage, Pseduo Co អាចសម្រេចថាតើច្បាប់សុវត្ថិភាពកម្មវិធីបើកចំហដែលបានកំណត់ក្នុងកិច្ចសន្យាគឺគ្រប់គ្រាន់តាមទស្សនៈសុវត្ថិភាពដែរឬទេ។ ប្រសិនបើមានតម្រូវការសម្រាប់សុវត្ថិភាពកាន់តែតឹងរ៉ឹង នេះអាចសម្រេចបានដោយគ្រាន់តែបញ្ជាក់ពិធីការ/ច្រកដែលត្រូវបានទាមទារដោយកម្មវិធីប៉ុណ្ណោះ។
ជំហានទី 1៖ អនុវត្ត ESG តែមួយសម្រាប់ការទំនាក់ទំនងបើកចំហររវាងបណ្តាញរង (អ្នកជ្រើសរើស EPG) Pseudo Co បានអនុវត្តបណ្តាញ Cisco ACI របស់ពួកគេក្នុងការរចនាបណ្តាញកណ្តាលធម្មតាជាមួយនឹងផែនទី 1:1 រវាងដែនស្ពាន និង EPGs ដូចបង្ហាញក្នុងរូបភាពទី 3 ។ ស្ពាននីមួយៗ ដែនត្រូវបានកំណត់រចនាសម្ព័ន្ធជាមួយបណ្តាញរង/ច្រកផ្លូវលំនាំដើមតែមួយសម្រាប់ចំណុចបញ្ចប់ ហើយត្រូវបានគូសផែនទីទៅ EPG តែមួយដែលផ្តល់ការគាំទ្រ VLAN ។ ការចាត់ថ្នាក់នៃចំណុចបញ្ចប់ទៅជា EPG ត្រូវបានអនុវត្តដោយការផ្គូផ្គងចរាចរណ៍នៅលើស្លឹកចូល/ចំណុចប្រទាក់/VLAN។
ជាផ្នែកមួយនៃការធ្វើចំណាកស្រុកដែលផ្តោតលើបណ្តាញទៅកម្មវិធី Pseudo Co នឹងអនុវត្ត ESG តែមួយដែលនឹងផ្តល់នូវការទំនាក់ទំនងបើកចំហររវាងបណ្តាញរង/EPGs ទាំងអស់។ សូមមើលដ្យាក្រាមខាងក្រោម៖
រូបភាពទី 10. Cisco ACI Fabric របស់ Pseudo Co៖ តំបន់សុវត្ថិភាពតែមួយសម្រាប់ EPGs ច្រើន
ការធ្វើផែនទីនៃ EPGs ច្រើនទៅ ESG តែមួយដោយប្រើឧបករណ៍ជ្រើសរើស EPG គឺជាដំណោះស្រាយជំនួសដើម្បីអនុញ្ញាតឱ្យមានការទំនាក់ទំនងក្នុងចំណោម EPGs ជាច្រើននៅលើក្រណាត់ Cisco ACI ។ ការធ្វើផែនទី EPG-to-ESG គឺជាដំណោះស្រាយដែលអាចបត់បែនបានជាងបើប្រៀបធៀបទៅនឹងការប្រើប្រាស់ក្រុមដែលពេញចិត្ត។ Cisco ACI គាំទ្រ ESGs ច្រើនក្នុងមួយ VRF instance ខណៈពេលដែលមានក្រុមដែលពេញចិត្តតែមួយសម្រាប់ VRF instance ។ លើសពីនេះទៀត អ្នកមិនអាចអនុវត្តកិច្ចសន្យាទៅក្រុមដែលពេញចិត្តដោយខ្លួនឯង ដើម្បីអនុញ្ញាតឱ្យមានការប្រាស្រ័យទាក់ទងពីសមាជិក EPG ទាំងអស់នៃក្រុមដែលពេញចិត្តទៅកាន់ EPG ផ្សេងទៀតក្រៅពីក្រុមដែលពេញចិត្ត ខណៈពេលដែលអ្នកអាចអនុវត្តកិច្ចសន្យាដោយផ្ទាល់ទៅ ESGs ។
ការធ្វើផែនទីនៃ EPGs ជាច្រើនទៅ ESGs ក៏ត្រូវបានចាត់ទុកថាជាការរចនាសុវត្ថិភាពប្រសើរជាងមុនបើប្រៀបធៀបទៅនឹង vzAny ព្រោះវាអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងបណ្តាញជ្រើសរើស EPGs ជាក់លាក់ដើម្បីធ្វើផែនទីជាជាងការប្រើប្រាស់ vzAny ដែលជ្រើសរើស EPGs, ESGs និង EPGs ខាងក្រៅទាំងអស់នៅក្នុង VRF ។ ឧទាហរណ៍។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 13 នៃ 49
អ្នកគ្រប់គ្រងបណ្តាញគួរតែដឹងថាការគូសផែនទី EPGs មួយ ឬច្រើនទៅ ESG បង្កឱ្យមានការផ្លាស់ប្តូរនៅក្នុង class ID នៃ EPGs ។ មុនពេលធ្វើផែនទី EPGs ទៅ ESG នីមួយៗ EPG នៅលើ VRF នឹងមានលេខសម្គាល់ថ្នាក់តែមួយគត់។ នៅពេលគូសផែនទី EPGs ទៅ ESG លេខសម្គាល់ថ្នាក់នៃ EPG ដែលបានគូសផែនទីនីមួយៗត្រូវបានសរសេរឡើងវិញទៅ ESG ។ ដោយសារតែចំណុចបញ្ចប់ទាំងអស់ឥឡូវនេះត្រូវបានចាត់ថ្នាក់ទៅជា ESG ដែលមានលេខសម្គាល់ថ្នាក់ដូចគ្នា ចរាចរណ៍ទាំងអស់ត្រូវបានអនុញ្ញាតដោយប្រយោលដោយគ្មានកិច្ចសន្យា។ ចំណាំ៖ ការចាត់ថ្នាក់ឡើងវិញនៃលេខសម្គាល់ថ្នាក់បណ្តាលឱ្យមានការធ្លាក់ចុះនៃចរាចរណ៍បណ្តាញ។ យើងណែនាំអ្នកឱ្យធ្វើផែនទី EPG-to-ESG កំឡុងពេលផ្លាស់ប្តូរបង្អួច។
រូបភាពទី 11. ក្រណាត់ Cisco ACI របស់ Pseudo Co: ការផ្លាស់ប្តូរ EPG ទៅ ESG (ការផ្លាស់ប្តូរលេខសម្គាល់ថ្នាក់)
ឧបករណ៍ជ្រើសរើស EPG ក៏មានប្រយោជន៍សម្រាប់សេណារីយ៉ូការធ្វើចំណាកស្រុកកម្រិតខ្ពស់បន្ថែមទៀត ដូចជាក្រណាត់ Cisco ACI ដែលត្រូវបានដាក់ពង្រាយរួចហើយជាមួយនឹងកិច្ចសន្យារវាង EPGs ផ្ទុយពី vzAny ដែលអនុញ្ញាតឱ្យទំនាក់ទំនងបើកចំហនៅក្នុងឧទាហរណ៍ VRF ។ ក្នុងស្ថានភាពបែបនេះ អ្នកត្រូវតែរក្សាកិច្ចសន្យា និងការដាក់ក្រុមសុវត្ថិភាពទាំងនោះ ខណៈពេលដែលធ្វើចំណាកស្រុកទៅ ESGs ពី EPGs ។ សូមមើល "ក្រុមសុវត្ថិភាព Endpoint > ESG Migration Strategy" នៅក្នុង Cisco APIC Security Guide សម្រាប់ជំហានលម្អិត។ កំណត់រចនាសម្ព័ន្ធឧបករណ៍ជ្រើសរើស EPG រូបភាពខាងក្រោមបង្ហាញពីការកំណត់រចនាសម្ព័ន្ធ។ ទីតាំងគឺនៅ Tenant > Application Profiles > Application_Profile_name > Endpoint Security Groups > ESG_name > Selectors > EPG Selectors ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 14 នៃ 49
រូបភាពទី 12. ឧបករណ៍ជ្រើសរើស EPG
ចំណាំ៖ ចំណុចបញ្ចប់ណាមួយនៅក្នុងឧទាហរណ៍ VRF ដូចគ្នាអាចជារបស់ ESG ដូចគ្នា។ ទោះយ៉ាងណាក៏ដោយ នៅពេលកំណត់រចនាសម្ព័ន្ធ ESG ជាមួយឧបករណ៍ជ្រើសរើស EPG នោះ EPGs ត្រូវតែជាកម្មសិទ្ធិរបស់អ្នកជួលដូចគ្នានឹង ESG ដែរ។
ជំហានទី 2: អនុវត្ត ESG តែមួយសម្រាប់ចំណុចបញ្ចប់ទាំងអស់នៃកម្មវិធីតែមួយ (tag អ្នកជ្រើសរើស) ម្ចាស់កម្មវិធីនៅ Pseudo Co បានចាត់តាំង tags ទៅម៉ាស៊ីននិម្មិតកម្មវិធីរបស់ពួកគេនៅក្នុង VMware vCenter ដើម្បីអនុញ្ញាតឱ្យកំណត់អត្តសញ្ញាណសាមញ្ញនៃបន្ទុកការងារដែលបង្កើតជាកម្មវិធីដែលបានផ្តល់ឱ្យ។ Cisco ACI អាចប្រើប្រាស់ម៉ាស៊ីននិម្មិតដែលបានកំណត់ tags ដោយប្រមូលពួកវាពី VMware vCenter ហើយបន្ទាប់មកគូសវាសទៅ ESG tag ឧបករណ៍ជ្រើសរើសនៅលើ Cisco APIC ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 15 នៃ 49
រូបភាពទី 13. ម៉ាស៊ីននិម្មិត tag កិច្ចការ
ការផ្គូផ្គងម៉ាស៊ីននិម្មិត tags នៅក្នុង VMware vCenter ទៅ Cisco ACI tags នៅក្នុង Cisco APIC អនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងបណ្តាញ និងម្ចាស់កម្មវិធីអាចផ្លាស់ទីម៉ាស៊ីននិម្មិតបានយ៉ាងរលូន និងប្រកបដោយថាមពលពី ESG "allnetwork-segments" ESG (ដូចបង្ហាញក្នុងរូបភាពទី 10 ។ ) ទៅក្នុងកម្មវិធី "online-boutique: all-services" ESG ។ នៅក្នុងជំហាននេះ វាត្រូវបានផ្តោតលើកម្មវិធីតែមួយ - ហាងអនឡាញ - ប៉ុន្តែសមត្ថភាពក្នុងការបង្កើត ESGs ច្រើននៅក្នុងឧទាហរណ៍ VRF អនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងបណ្តាញមានកម្មវិធីជាច្រើននៅក្នុងឧទាហរណ៍ VRF ដូចគ្នាជាមួយនឹង ESG មួយ (ឬច្រើន) ក្នុងមួយកម្មវិធីដូចដែលបានបង្ហាញក្នុង រូបភាពទី 20 ។
ចំណាំ៖ Tag ឧបករណ៍ជ្រើសរើសជាមួយម៉ាស៊ីននិម្មិត tags មានអាទិភាពខ្ពស់ជាងអ្នកជ្រើសរើស EPG ។ អាទិភាពនេះអនុញ្ញាតឱ្យមានចលនាថាមវន្តនៃចំណុចបញ្ចប់រវាង ESGs ផ្សេងគ្នានៅលើឧទាហរណ៍ VRF ។ ព័ត៌មានលម្អិតពេញលេញនៃអាទិភាពអ្នកជ្រើសរើសអាចរកបាននៅក្នុងលំដាប់អាទិភាពអ្នកជ្រើសរើសនៅក្នុង FAQ ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 16 នៃ 49
រូបភាពទី 14. ចំណុចបញ្ចប់នៃកម្មវិធីទាំងអស់នៅក្នុង ESG តែមួយ
ការចាត់ថ្នាក់ផ្អែកលើ tag selectors រូបភាពខាងក្រោមបង្ហាញពីវត្ថុកំណត់រចនាសម្ព័ន្ធសម្រាប់បង្កើត tag អ្នកជ្រើសរើស។
ទីតាំងគឺនៅ Tenant > Application Profiles > Application_Profile_name > Endpoint Security Groups > ESG_name > Selectors > Tag អ្នកជ្រើសរើស។
ស៊ីស្កូ ACI tag ឧបករណ៍ជ្រើសរើស (ខាងក្រោម) ត្រូវគ្នានឹងម៉ាស៊ីននិម្មិត tags នៅលើ VMware vCenter ដែលមុខងាររបស់ម៉ាស៊ីននិម្មិតស្មើនឹងជាក់លាក់មួយ។ Tag តម្លៃ។
សម្រាប់អតីតample: មុខងារ = tn-demo-online-boutique-currency-service គូសោ/តម្លៃនេះត្រូវគ្នានឹងម៉ាស៊ីននិម្មិតណាមួយដែលផ្តល់ "សេវារូបិយប័ណ្ណ" ជាផ្នែកនៃកម្មវិធី "online-boutique" នៅក្នុង "ការបង្ហាញ" អ្នកជួល។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 17 នៃ 49
រូបភាពទី 15. ក្រណាត់ Cisco ACI របស់ Pseudo Co: ESG មួយសម្រាប់សំណុំ EPGs ជាមួយ VM tags
ការកំណត់រចនាសម្ព័ន្ធរបស់អ្នកត្រូវតែបំពេញតាមតម្រូវការជាមុនខាងក្រោម មុនពេលអ្នកអាចប្រើ VM tags សម្រាប់ ESG mapping៖ បើក tag ការប្រមូលនៅលើដែន VMM ។ បើកដំណើរការការបែងចែកខ្នាតតូចនៅលើ EPGs ជាមួយដែន VMM ។
តម្រូវការជាមុន៖ បើក tag ការប្រមូលនៅលើដែន VMM ប្រសិនបើអ្នកប្រើ ESG ជាមួយ VMware tag អ្នកជ្រើសរើសអ្នកត្រូវដាក់សញ្ញាធីកនៅក្នុង "បើកដំណើរការ Tag ប្រអប់ប្រមូលសម្រាប់ដែន VMM ។ រូបខាងក្រោមបង្ហាញពីការកំណត់។ ទីតាំងគឺនៅ Virtual Networking > VMware > Domain name > General។
រូបភាពទី 16. តម្រូវការជាមុន៖ “បើកដំណើរការ Tag ការប្រមូល” នៅលើដែន VMM
តម្រូវការជាមុន៖ បើកដំណើរការការបែងចែកខ្នាតតូចនៅលើ EPGs ជាមួយដែន VMM ប្រសិនបើអ្នកប្រើ ESG ជាមួយដែន VMware vDS VMM អ្នកត្រូវតែដាក់សញ្ញាធីកក្នុងប្រអប់ "អនុញ្ញាតការបំបែកផ្នែកមីក្រូ" នៅលើ EPG ដែលភ្ជាប់ជាមួយដែន VMM ដើម្បីអនុញ្ញាតឱ្យចំណុចបញ្ចប់ទៅ ត្រូវបានជ្រើសរើសដោយ VM tag ឬឈ្មោះ VM ។ ប្រសិនបើ EPG ត្រូវបានគូសវាសដោយផ្ទាល់ទៅ ESG (អ្នកជ្រើសរើស EPG) នោះវាមិនមានតម្រូវការក្នុងការកំណត់រចនាសម្ព័ន្ធ "Allow MicroSegmentation" ទេ ព្រោះការគូសផែនទី EPG ទៅ ESG គឺផ្អែកលើ EPG VLANs។
ការដាក់សញ្ញាធីកក្នុងប្រអប់ "អនុញ្ញាតការបែងចែកខ្នាតតូច" កំណត់រចនាសម្ព័ន្ធ PVLAN (Private VLAN) នៅលើក្រុមច្រកសម្រាប់ EPG ។ នៅពេលកំណត់រចនាសម្ព័ន្ធ EPG ដែលមានស្រាប់ VMM ឡើងវិញ vDS ត្រូវបានធ្វើបច្ចុប្បន្នភាពថាមវន្តជាមួយនឹងគូ PVLAN ថ្មីពីអាង VLAN ថាមវន្ត។ ប្រសិនបើ Layer 2 multicast ឬចរាចរណ៍ទឹកជំនន់ត្រូវបានទាមទារ សូមមើលផ្នែក Example 12: ESG ជាមួយ L2 multicast ។
ចំណាំ៖ ប្រអប់ "អនុញ្ញាតការបែងចែកមីក្រូ" មិនត្រូវបានធីកតាមលំនាំដើមទេ។
រូបខាងក្រោមបង្ហាញពីការកំណត់។ ទីតាំងគឺនៅ Tenant > Application Profiles > Application_Profile_name > កម្មវិធី EPGs > EPG_name > Domains ។
សម្រាប់ការដាក់ពង្រាយបណ្តាញដែលមានកុងតាក់អន្តរការី (ដូចជាឧបករណ៍ប្តូរ blade) រវាងកុងតាក់ស្លឹក Cisco ACI និងម៉ាស៊ីន ESXi អ្នកគ្រប់គ្រងបណ្តាញត្រូវតែកំណត់ជាស្ថាពរនូវគូ PVLAN ដែលនឹងត្រូវប្រើ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 18 នៃ 49
នៅលើដែន VMM ។ VLANs ដែលបានបែងចែកក៏ត្រូវតែកំណត់រចនាសម្ព័ន្ធនៅលើកុងតាក់អន្តរការីផងដែរ។ ខណៈពេលដែលគូ PVLAN អាចត្រូវបានបែងចែកដោយថាមវន្តនៅលើ Cisco ACI វាអាចធ្វើឱ្យមានការលំបាកសម្រាប់អ្នកគ្រប់គ្រងក្នុងការកំណត់សំណុំដូចគ្នានៃគូ PVLAN ដោយដៃនៅលើកុងតាក់អន្តរការី។ នៅពេលកំណត់ជាស្ថាបត្យកម្មគូ PVLAN នៅលើ Cisco ACI លេខសម្គាល់ VLAN គួរតែត្រូវបានបែងចែកពីជួរ VLAN ឋិតិវន្តនៅក្នុង VLAN ដែលភ្ជាប់ទៅដែន VMM ។
រូបភាពទី 17. តម្រូវការជាមុន៖ "អនុញ្ញាតឱ្យការបែងចែកខ្នាតតូច" នៅលើ EPGs សម្រាប់ម៉ាស៊ីនដែលភ្ជាប់ដោយផ្ទាល់ ការបែងចែក VLAN ឋិតិវន្តត្រូវបានណែនាំ នៅពេលដែលឧបករណ៍ប្តូរអន្តរការីត្រូវបានដាក់ឱ្យប្រើប្រាស់
កំណត់រចនាសម្ព័ន្ធ Tag selectors ជំហានបន្ទាប់គឺកំណត់រចនាសម្ព័ន្ធ ESG ជាមួយ a tag ឧបករណ៍ជ្រើសរើសដើម្បីកំណត់ចំណុចបញ្ចប់ម៉ាស៊ីននិម្មិតណាមួយគួរតែជាកម្មសិទ្ធិរបស់ ESG ។
រូបខាងក្រោមបង្ហាញពីការកំណត់។ ទីតាំងគឺនៅ Tenant > Application Profiles > Application_Profile_name > Endpoint Security Groups > ESG_name > Selectors > Tag អ្នកជ្រើសរើស។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 19 នៃ 49
រូបភាពទី 18. VM tag អ្នកជ្រើសរើស
ព័ត៌មាន VMM ខាងក្រោមត្រូវបានគាំទ្រ៖ ឈ្មោះ VM (Tag គន្លឹះ៖ __vmm::vmname, Tag តម្លៃ៖ )) vSphere VM tag (Tag គន្លឹះ៖ , Tag តម្លៃ៖tag ឈ្មោះ>)
នៅក្នុងអតីតampនៅខាងក្រោម Cisco APIC បានទាញឈ្មោះ VM (vmm::vmname) និង vSphere VM Tags ពី VMware vCenter ។ Cisco APIC បន្ទាប់មកបានកំណត់ពួកវាទៅអាសយដ្ឋាន MAC របស់ VM ។ បន្ទាប់មក Cisco APIC បានផ្គូផ្គង vSphere tags ទៅ Cisco APIC tag អ្នកជ្រើសរើស។ ដែនស្ពាន និងឧទាហរណ៍ VRF ត្រូវបានកំណត់អត្តសញ្ញាណពីមូលដ្ឋានទិន្នន័យផែនទីចុងរបស់ Cisco APIC ។ ចំណាំ៖ Cisco APIC អាន tags ពី VMware vCenter ម្តងក្នុងមួយវិនដូម៉ោង 5 នាទី។
ទីតាំងនៅក្នុង Cisco APIC GUI គឺនៅ Tenant > Policies > Endpoint Tags > ចំណុចបញ្ចប់ MAC ។
រូបភាពទី 19. គោលនយោបាយ Tags៖ ចំណុចបញ្ចប់ MAC
ជំហានទី 3៖ ការទំនាក់ទំនងរវាងកម្មវិធី (កិច្ចសន្យារវាង ESGs) បន្ទាប់ពីចំនុចបញ្ចប់នៃកម្មវិធីត្រូវបានដាក់ជាក្រុមទៅជា ESG តែមួយ អ្នកត្រូវតែផ្តល់សិទ្ធិចូលប្រើកម្មវិធី (ដោយប្រើកិច្ចសន្យា) ពីបណ្តាញធំទូលាយ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 20 នៃ 49
នៅក្នុងអតីតampខាងក្រោមនេះ កម្មវិធីហាងអនឡាញ (online-boutique: all-services ESG) ផ្តល់សេវាកម្ម (អ្នកផ្តល់កិច្ចសន្យា) ដែលត្រូវបានប្រើប្រាស់ដោយការត្រួតពិនិត្យកម្មវិធី៖ សេវាកម្មទាំងអស់ ESG ផ្នែកបណ្តាញទាំងអស់ ESG និងឧបករណ៍ពីចម្ងាយ។ អ្នកប្រើប្រាស់ EPG ខាងក្រៅពីបណ្តាញរងពីចម្ងាយណាមួយ ដោយប្រើកិច្ចសន្យា "អនុញ្ញាតទៅ tn-demo-online-boutique" ។
ហាងអនឡាញ៖ សេវាកម្មទាំងអស់ ESG ក៏ប្រើប្រាស់សេវាកម្មដូចជា Active Directory, DNS, NTP និងការអាប់ដេតផ្នែកទន់ពីសេវាកម្មស្នូល៖ សេវាកម្មទាំងអស់ ESG ។
រូបភាពទី 20. Cisco ACI Fabric របស់ Pseudo Co: កិច្ចសន្យារវាង ESGs
ព្រួញបង្ហាញពីលំហូរចរាចរដែលរំពឹងទុក ដែលមកពីអ្នកប្រើប្រាស់ទៅកាន់អ្នកផ្តល់សេវា។
តារាងទី 1. ទំនាក់ទំនងកិច្ចសន្យា
ESGs អ្នកប្រើប្រាស់
ឈ្មោះកិច្ចសន្យា
អ្នកផ្គត់ផ្គង់ ESGs
epg-matched-esg: បណ្តាញទាំងអស់-ផ្នែក
permit-tn-demo-online-boutique
ហាងអនឡាញ៖ សេវាកម្មទាំងអស់។
ការត្រួតពិនិត្យកម្មវិធី៖ សេវាកម្មទាំងអស់។
permit-tn-demo-online-boutique
ហាងអនឡាញ៖ សេវាកម្មទាំងអស់។
extEPG: អ្នកប្រើប្រាស់ពីចម្ងាយ
permit-tn-demo-online-boutique
ហាងអនឡាញ៖ សេវាកម្មទាំងអស់។
online-boutique: all-services application-monitoring: all-services
permit-tn-demo-core-services permit-tn-demo-core-services
core-services: all-services core-services: all-services
តាមរយៈការកំណត់កិច្ចសន្យារវាង ESGs មានតែចរាចរណ៍អន្តរ ESG ជាក់លាក់ប៉ុណ្ណោះដែលត្រូវបានអនុញ្ញាត។ លើសពីនេះទៀត ចរាចរណ៍ ESG ខាងក្នុងត្រូវបានអនុញ្ញាតតាមលំនាំដើម។ ជំនួសឱ្យការប្រើ "លំនាំដើម" អនុញ្ញាត - តម្រងណាមួយ អ្នកអាចប្រើតម្រងបន្ថែម ដើម្បីអនុញ្ញាតឱ្យប្រភេទជាក់លាក់នៃចរាចរណ៍សម្រាប់តែចរាចរអន្តរ ESG ប៉ុណ្ណោះ។ សម្រាប់ព័ត៌មានបន្ថែម សូមមើលការណែនាំអំពីកិច្ចសន្យា ACI ។
ជំហានទី 4៖ ពង្រឹងសុវត្ថិភាពកម្មវិធីបន្ថែម
Intra-ESG ឯកោ ឬកិច្ចសន្យា ខណៈពេលដែលទំនាក់ទំនងនៅក្នុង ESG គឺ "អនុញ្ញាតទាំងអស់" តាមលំនាំដើម ការអនុវត្តសុវត្ថិភាពបន្ថែមអាចត្រូវបានអនុវត្តទៅ ESG ដើម្បីទាំង "បដិសេធ-ទាំងអស់" ចរាចរ ឬ "ច្រកអនុញ្ញាតជាក់លាក់" នៅក្នុង ESG ។ ដើម្បី "បដិសេធទាំងអស់" ចរាចរណ៍ ESG គ្រាន់តែត្រូវមាន Intra-ESG ឯកោត្រូវបានកំណត់ដើម្បីអនុវត្ត។ ដើម្បី "អនុញ្ញាតច្រកជាក់លាក់" កិច្ចសន្យាខាងក្នុង ESG ចាំបាច់ត្រូវបន្ថែមទៅ ESG ។ កិច្ចសន្យា Intra-ESG អាចប្រើក្រាហ្វសេវាកម្មដើម្បីប្តូរទិសចរាចរណ៍ទៅកាន់ឧបករណ៍សេវាកម្មស្រទាប់ 4 ទៅស្រទាប់ 7 ដូចជាជញ្ជាំងភ្លើង/IPS ជំនាន់ក្រោយ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 21 នៃ 49
នៅក្នុងអតីតampខាងក្រោម ចំណុចបញ្ចប់ទាំងអស់នៅក្នុងហាងអនឡាញ៖ សេវាកម្មទាំងអស់ ESG អាចទំនាក់ទំនងបានដោយសេរី។ ទោះជាយ៉ាងណាក៏ដោយ ការទំនាក់ទំនងរវាងចំណុចបញ្ចប់នៅក្នុងការត្រួតពិនិត្យកម្មវិធី៖ សេវាកម្មទាំងអស់ ESG ត្រូវបានរារាំង ដោយសារមិនមានតម្រូវការសម្រាប់ការទំនាក់ទំនងអន្តរចំណុចបញ្ចប់រវាងម៉ាស៊ីនមេត្រួតពិនិត្យនោះទេ។
រូបភាពទី 21. ក្រណាត់ Cisco ACI របស់ Pseudo Co៖ ភាពឯកោក្នុង ESG
រូបខាងក្រោមបង្ហាញពីការកំណត់រចនាសម្ព័ន្ធឯកោ ESG ខាងក្នុង។ តាមលំនាំដើម ភាពឯកោក្នុង ESG មិនត្រូវបានអនុវត្តទេ។ ទីតាំងគឺនៅ Tenant > Application Profiles > Application_Profile_name > ក្រុមសុវត្ថិភាព Endpoint > ESG_name > គោលការណ៍ > ទូទៅ។
រូបភាពទី 22. ក្រណាត់ Cisco ACI របស់ Pseudo Co៖ ភាពឯកោក្នុង ESG (បង្ខំ)
រូបខាងក្រោមបង្ហាញពីការកំណត់រចនាសម្ព័ន្ធកិច្ចសន្យាខាងក្នុង ESG ។ ទីតាំងគឺនៅ Tenant > Application Profiles > Application_Profile_name > ក្រុមសុវត្ថិភាព Endpoint > ESG_name > កិច្ចសន្យា > បន្ថែមកិច្ចសន្យា Intra-ESG ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 22 នៃ 49
រូបភាពទី 23. Cisco ACI Fabric របស់ Pseudo Co: កិច្ចសន្យា intra-ESG
ក្រាហ្វសេវាកម្មជាមួយ PBR សម្រាប់ការបញ្ចូលសេវាកម្មស្រទាប់ 4 ដល់ស្រទាប់ 7 បន្ថែមពីលើការអនុញ្ញាត/បដិសេធការពង្រឹងសុវត្ថិភាពផ្អែកលើផ្នែករឹងដោយប្រើកិច្ចសន្យាជាមួយការច្រោះគ្មានរដ្ឋ អ្នកក៏អាចបញ្ចូលឧបករណ៍ស្រទាប់ 4 ទៅស្រទាប់ 7 យ៉ាងសកម្មដូចជាជញ្ជាំងភ្លើង និង IPS (ការការពារការឈ្លានពាន ប្រព័ន្ធ) ចូលទៅក្នុងផ្លូវទិន្នន័យ ទាំងរវាង ESGs ឬក្នុង ESGs (intra-ESG)។
រូបភាពទី 24. Cisco ACI Fabric របស់ Pseudo Co: ក្រាហ្វសេវាកម្មជាមួយ PBR សម្រាប់បញ្ចូលជញ្ជាំងភ្លើង
សម្រាប់ព័ត៌មានបន្ថែម សូមមើលការណែនាំអំពីកិច្ចសន្យា ACI និង Cisco ACI Policy-Based Redirect Service Graph Design Paper ។
អ្នកត្រូវតែពិចារណាលើការកំណត់រចនាសម្ព័ន្ធឧបករណ៍សេវាកម្មស្រទាប់ 4 ដល់ស្រទាប់ 7 នៅពេលប្តូរទិសចរាចរទៅកាន់ឧបករណ៍សេវាកម្មស្រទាប់ 4 ទៅស្រទាប់ 7 ។ នៅក្នុងអតីតampខាងក្រោមនេះ លក្ខណៈដែលអាចបត់បែនបាននៃ ESGs អនុញ្ញាតឱ្យមានការដាក់ជាក្រុមឡូជីខលនៃចំណុចបញ្ចប់ពីបណ្តាញរងផ្សេងៗគ្នាចូលទៅក្នុងតំបន់សុវត្ថិភាពដាច់ដោយឡែក។ ការកំណត់រចនាសម្ព័ន្ធនៅលើជញ្ជាំងភ្លើងត្រូវការឆ្លុះបញ្ចាំងព័ត៌មានអាសយដ្ឋាន IP ដែលបានមកពី ESGs ។ នេះអាចសម្រេចបានដោយវេទិកាគ្រប់គ្រងជញ្ជាំងភ្លើងទាញព័ត៌មានសមាជិកភាព ESG ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 23 នៃ 49
រូបភាពទី 25. ព័ត៌មានសមាជិកភាព Endpoint
កម្មវិធី និងកម្មវិធីជំនួយខាងក្រោមមាននាពេលបច្ចុប្បន្នសម្រាប់ការផ្សាយពាណិជ្ជកម្មសមាជិកភាព ESG៖
Cisco Adaptive Security Appliance (ASA) និង Cisco Firepower Threat Defense (FTD): ACI Endpoint Update Palo Alto Networks Panorama: Panorama Plugin សម្រាប់ Cisco ACI (Roadmap) ប្រសិនបើឧបករណ៍សេវាកម្ម Layer 4 ទៅ Layer 7 របស់អ្នកខុសពីអ្វីដែលបានរាយខាងលើ ចំនុចបញ្ចប់ទៅ ព័ត៌មានអំពីសមាជិកភាព ESG អាចទាញយកបានដោយប្រើ Cisco APIC API ។ ដូច្នេះ ស្គ្រីប ឬកម្មវិធីសាមញ្ញអាចត្រូវប្រើដើម្បីទាញយកព័ត៌មាន និងបង្កើតក្រុមសុវត្ថិភាពសមមូលនៅលើឧបករណ៍សេវាកម្ម Layer 4 ដល់ Layer 7 ។ សម្រាប់ព័ត៌មានបន្ថែម សូមមើល FAQ ។
ESG Design Examples
ជំពូកនេះបង្ហាញពីករណីប្រើប្រាស់ ESG ជាមួយអតីតបុគ្គលជាច្រើន។amples ដូច្នេះអ្នកអាចលោតដោយផ្ទាល់ទៅករណីនៃការចាប់អារម្មណ៍ (តារាងទី 2 និងតារាងទី 3) ។ ប្រសិនបើអ្នកជាមនុស្សថ្មីចំពោះ ESGs ឬចូលចិត្តការពន្យល់អំពីអតីតដែលមានមូលដ្ឋានលើសេណារីយ៉ូample សូមអានជំពូក Network Centric to Application Centric Migration Story: Pseudo Co.
ESGs បង្ហាញអ្នកគ្រប់គ្រងបណ្តាញជាមួយនឹងជម្រើសការរចនាដែលអាចបត់បែនបានជាច្រើនសម្រាប់ការបែងចែកការងាររូបវន្ត ឬនិម្មិត ដូចដែលបានរៀបរាប់នៅក្នុង Detailed Design Exampផ្នែក les ។ បន្ថែមពីលើជម្រើសនៃការបង្កើត ESGs ដែលផ្តោតលើកម្មវិធីដែលមានលក្ខណៈល្អិតល្អន់ Cisco ACI ក៏អនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងបណ្តាញប្រើប្រាស់ ESGs ដើម្បីប្រមូលផ្តុំ EPGs (VLANs) ជាច្រើន ឬបង្កើតតំបន់សុវត្ថិភាពដែលមានមូលដ្ឋានលើបណ្តាញរងនៅក្នុងឧទាហរណ៍ VRF ។ ជម្រើសទាំងពីរមានភាពបត់បែនស្មើគ្នា ហើយអ្នកអាចប្រើវាក្នុងពេលដំណាលគ្នា។ ជាការពិតណាស់ អត្ថប្រយោជន៍ដ៏មានអានុភាពនៃ ESGs គឺសមត្ថភាពក្នុងការផ្លាស់ទីចំណុចបញ្ចប់ដោយថាមវន្តពីបរិស្ថានសុវត្ថិភាពផ្អែកលើតំបន់ទៅបរិយាកាសសុវត្ថិភាពផ្អែកលើកម្មវិធីដោយមិនកែប្រែបណ្តាញគាំទ្រ។
តំបន់សន្តិសុខដែលអាចបត់បែនបានជាមួយ ESGs
1. តំបន់សុវត្ថិភាពតែមួយក្នុងមួយឧទាហរណ៍ VRF៖ គូសផែនទី EPG ទាំងអស់នៅក្នុងឧទាហរណ៍ VRF ទៅ ESG តែមួយជាតំបន់សុវត្ថិភាពលំនាំដើមសម្រាប់ចំណុចបញ្ចប់ទាំងអស់។
2. តំបន់សន្តិសុខច្រើនក្នុងមួយឧទាហរណ៍ VRF៖ គូសផែនទីសំណុំរងនៃ EPGs ទៅតំបន់សុវត្ថិភាព ESG ។ បង្កើតតំបន់សុវត្ថិភាព ESG មួយ ឬច្រើនក្នុងមួយឧទាហរណ៍ VRF ។
3. តំបន់សុវត្ថិភាពក្នុងមួយកម្មវិធី៖ គូសផែនទីចំណុចបញ្ចប់នីមួយៗទៅកាន់ ESG តាមរយៈ Tag ឧបករណ៍ជ្រើសរើសឆ្លងកាត់បណ្តាញរង ឬ VLAN ណាមួយនៅលើឧទាហរណ៍ VRF ដែលបានផ្តល់ឱ្យ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 24 នៃ 49
យើងណែនាំអ្នកឱ្យប្រើជម្រើស 1 ឬ 2 ជាការកំណត់មូលដ្ឋាន ដូច្នេះចំណុចបញ្ចប់ទាំងអស់ត្រូវបានគ្របដណ្ដប់ដោយ ESG ក្នុងមធ្យោបាយមួយ ឬវិធីផ្សេងទៀត ហើយបន្ទាប់មកប្រើជម្រើសទី 3 សម្រាប់ក្រុមបែងចែកជាផ្នែកបន្ថែម។ ដ្យាក្រាមខាងក្រោមពណ៌នាពីជម្រើសនីមួយៗ នៅពេលដាក់ពង្រាយជាលក្ខណៈបុគ្គល។ ដើម្បីបញ្ចូលគ្នានូវប្រភេទឧបករណ៍ជ្រើសរើសផ្សេងៗគ្នា សូមយោងទៅលើលំដាប់អាទិភាពរបស់ឧបករណ៍ជ្រើសរើសនៅក្នុង FAQ ។ រូបខាងក្រោមត្រូវបានពន្យល់យ៉ាងលម្អិតនៅក្នុង Example 1: តំបន់សុវត្ថិភាពក្នុងមួយ VRF ជាតំបន់លំនាំដើម (អ្នកជ្រើសរើស EPG) រួមជាមួយនឹងរូបភាពទី 29 ។
រូបភាពទី 26. តំបន់សុវត្ថិភាពលំនាំដើមសម្រាប់បណ្តាញរង/VLANs ទាំងអស់នៅក្នុងឧទាហរណ៍ VRF ដូចគ្នា
រូបខាងក្រោមត្រូវបានពន្យល់យ៉ាងលម្អិតនៅក្នុង Example 2: តំបន់សុវត្ថិភាពក្នុងមួយសំណុំនៃ subnets/VLANs (EPG Selectors) រួមជាមួយនឹងរូបភាពទី 30 ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 25 នៃ 49
រូបភាពទី 27. តំបន់សុវត្ថិភាពក្នុងមួយសំណុំនៃ EPGs (បណ្តាញរង/VLANs)
រូបខាងក្រោមបង្ហាញពីចំណុចបញ្ចប់កម្មវិធីដែលត្រូវបានជ្រើសរើសដោយ VMware vCenter/Cisco APIC tags. ឧamples ដូចជារូបភាពទី 31. ត្រូវបានបង្ហាញលម្អិតនៅក្នុងផ្នែកបន្ទាប់។
រូបភាពទី 28. តំបន់សុវត្ថិភាពក្នុងមួយកម្មវិធី
ការរចនាលម្អិត Examples
តារាងខាងក្រោមសង្ខេប ESG ផ្សេងៗគ្នាជាច្រើន។ampនេះមានន័យថាអ្នកអានអាចយល់ពីរបៀបដែលជម្រើសឧបករណ៍ជ្រើសរើសផ្សេងគ្នាអាចត្រូវបានប្រើ។ អ្នកអាចប្រើជម្រើសទាំងអស់ក្នុងពេលដំណាលគ្នាតាមការចង់បាន និងដូចបានបង្ហាញក្នុងតារាងខាងក្រោម។
ចំណាំ៖ ប្រសិនបើអ្នកត្រូវការស្រទាប់ 2 multicast នៅក្នុង ESGs ឧបករណ៍ជ្រើសរើសគួរតែជា EPG selectors ឬ tag ឧបករណ៍ជ្រើសរើសដែលមានអាសយដ្ឋាន MAC ។ សូមមើល Example 12 សម្រាប់ព័ត៌មានបន្ថែម។
តារាង 2 ។
Exampជម្រើសនៃការដាក់ពង្រាយ ESG លក្ខខណ្ឌជ្រើសរើសតែមួយ
ប្រភេទ
Example
ការពិពណ៌នា
សុវត្ថិភាពមូលដ្ឋានជាមួយ EPG Example 1: តំបន់សុវត្ថិភាពមួយក្នុងផែនទី EPGs ទាំងអស់ទៅកាន់ ESG តែមួយជាតំបន់សុវត្ថិភាពលំនាំដើមនៃតំបន់ដែលបានផ្តល់ឱ្យ
អ្នកជ្រើសរើស
វត្ថុ VRF ជាឧទាហរណ៍តំបន់លំនាំដើម VRF ។
(ឧបករណ៍ជ្រើសរើស EPG)
Example 2: តំបន់សន្តិសុខក្នុងមួយផែនទីសំណុំរងនៃ EPGs ទៅតំបន់សុវត្ថិភាព ESG ។ បង្កើតមួយបន្ថែមទៀត
សំណុំនៃបណ្តាញរង/VLANs (EPG Selectors)
តំបន់សុវត្ថិភាព ESG ក្នុងមួយឧទាហរណ៍ VRF ។
(តំបន់សន្តិសុខច្រើនក្នុងមួយឧទាហរណ៍ VRF)
Granular Security ជាមួយ Tag អ្នកជ្រើសរើស
Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសជាមួយ VMware VM tags ត្រូវបានទាញចេញពី VMware vCenter តាមរយៈ VMM
ការរួមបញ្ចូល VMM
ការរួមបញ្ចូល។
Exampលេ ១៖ Tag អ្នកជ្រើសរើសដោយគ្មានអ្នកគ្រប់គ្រង Cisco ACI ផ្តល់គោលការណ៍ Cisco APIC tag ទៅ MAC
គូសផែនទីចំណុចបញ្ចប់នីមួយៗ ការរួមបញ្ចូល VMM សម្រាប់ VM
អាសយដ្ឋាននៃចំណុចបញ្ចប់ម៉ាស៊ីននិម្មិតនីមួយៗនៅលើ Cisco APIC ។ ទេ tag
ឆ្លងកាត់បណ្តាញរង ឬចំណុចបញ្ចប់ណាមួយដោយប្រើអាសយដ្ឋាន MAC ធ្វើសមកាលកម្មជាមួយ VMware vCenter ។
VLANs ទៅ ESG ជា Exampលេ ១៖ Tag អ្នកជ្រើសរើសដោយគ្មានអ្នកគ្រប់គ្រង Cisco ACI ផ្តល់គោលការណ៍ Cisco APIC tag ទៅ IP
ក្រុមសន្តិសុខតាមលំដាប់លំដោយតាមរយៈការរួមបញ្ចូល VMM សម្រាប់ VM
អាសយដ្ឋាននៃចំណុចបញ្ចប់ម៉ាស៊ីននិម្មិតនីមួយៗនៅលើ Cisco APIC ។ ទេ tag
VMware tags ឬចំណុចបញ្ចប់ Cisco ដោយប្រើអាសយដ្ឋាន IP ធ្វើសមកាលកម្មជាមួយ VMware vCenter ។
គោលការណ៍ APIC tags
Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសសម្រាប់អ្នកគ្រប់គ្រង Cisco ACI ទទេផ្តល់គោលការណ៍ Cisco APIC tag ទៅ MAC
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 26 នៃ 49
ចំណុចបញ្ចប់លោហៈដោយប្រើអាសយដ្ឋាន MAC នៃចំណុចបញ្ចប់លោហៈទទេនីមួយៗនៅលើ Cisco APIC ។ អាសយដ្ឋាន
Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសសម្រាប់អ្នកគ្រប់គ្រង Cisco ACI ទទេផ្តល់គោលការណ៍ Cisco APIC tag ទៅចំណុចបញ្ចប់លោហៈ IP ដោយប្រើអាសយដ្ឋាន IP នៃចំណុចបញ្ចប់លោហៈទទេនីមួយៗនៅលើ Cisco APIC ។ អាសយដ្ឋាន
Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសជាមួយ PVLAN គឺត្រូវបានទាមទារនៅលើកុងតាក់មិនមែនស៊ីស្កូ ACI អន្តរការី។ កុងតាក់អន្តរការី
សុវត្ថិភាព Granular ជាមួយ IP Exampលេខ ៩៖ ឧបករណ៍ជ្រើសរើសបណ្តាញរង IP ផ្តល់អាសយដ្ឋាន IP ឬបណ្តាញរងដោយផ្ទាល់ទៅ ESG ។ ឧបករណ៍ជ្រើសរើសបណ្តាញរង
តារាងខាងក្រោមបង្ហាញពី examples ជាមួយឧបករណ៍ជ្រើសរើសច្រើនប្រើរួមគ្នាជាមួយគ្នាទៅវិញទៅមក៖
តារាង 3 ។
Exampជម្រើសនៃការដាក់ពង្រាយ ESG លក្ខខណ្ឌជ្រើសរើសច្រើន។
Example
ការពិពណ៌នា
Example 10: ESG ជាកុងតឺន័រនៃចំណុចបញ្ចប់កម្មវិធីតាមរយៈ Tag ឧបករណ៍ជ្រើសរើសដែលមានតំបន់សុវត្ថិភាពលំនាំដើមតាមរយៈឧបករណ៍ជ្រើសរើស EPG ។
អតីតមួយample ពីជំពូក Network Centric ទៅ Application Centric Migration Story: Pseudo Co.
Example 11: តំបន់សន្តិសុខច្រើនតាមរយៈ Assign a tag ទៅកាន់ចំណុចបញ្ចប់ដែលដំណើរការខុសប្រក្រតី ឬងាយរងគ្រោះក្នុងការញែកពួកវាចេញពីឧបករណ៍ជ្រើសរើស EPG ជាមួយនឹង ESG ដាច់ដោយឡែកតាមរយៈតំបន់សុវត្ថិភាពនីមួយៗ។ Tag អ្នកជ្រើសរើស។
Exampលេខ 12៖ ESG ជាមួយស្រទាប់ 2 ពហុខាស។ អតីតampពីវិធីរចនា ESGs សម្រាប់ស្ថានភាពដែលមានចរាចរណ៍ L2 multicast/ទឹកជំនន់។
Example 13: ឧបករណ៍ជ្រើសរើស EPG និង IP ដែលមានមូលដ្ឋានលើ An exampពីវិធីកំណត់រចនាសម្ព័ន្ធប្រូកស៊ី ARP សម្រាប់អ្នកជ្រើសរើសដែលមានមូលដ្ឋានលើ IP នៅពេលដែល EPGs មាន
អ្នកជ្រើសរើស
ផ្គូផ្គងទៅនឹង ESG ដោយប្រើឧបករណ៍ជ្រើសរើស EPG ។
Example 1: តំបន់សុវត្ថិភាពក្នុងមួយឧទាហរណ៍ VRF ជាតំបន់លំនាំដើម (អ្នកជ្រើសរើស EPG) អតិថិជនជាច្រើនចាប់ផ្តើមការដាក់ពង្រាយ Cisco ACI របស់ពួកគេជាមួយនឹងកិច្ចសន្យាអនុញ្ញាត-ទាំងអស់ដែលបានផ្តល់ និងប្រើប្រាស់នៅលើ vzAny ឬជំនួសមកវិញរួមទាំង EPGs ទាំងអស់នៅក្នុងក្រុមដែលពេញចិត្ត ដើម្បីអនុញ្ញាតឱ្យទំនាក់ទំនងទាំងអស់នៅក្នុង ឧទាហរណ៍ VRF ដោយមានគោលបំណងអនុវត្តជាបណ្តើរៗនូវសុវត្ថិភាពបន្ថែមទៀតនៅពេលក្រោយ។ ESG អាចសម្រួលវិធីសាស្រ្តនេះដោយអនុញ្ញាតឱ្យអ្នកគ្រប់គ្រងបណ្តាញមានចំណុចចាប់ផ្តើមដ៏សាមញ្ញ និងអាចបត់បែនបានជាមួយនឹងការពង្រីកកាន់តែប្រសើរសម្រាប់អនាគត។ ដោយការគូសផែនទី EPGs ទាំងអស់នៅក្នុង VRF instance ទៅ ESG តែមួយដោយប្រើ EPG selectors ESG ដើរតួជាតំបន់សុវត្ថិភាពលំនាំដើម។ បន្ទាប់ពីអ្នកបង្កើតតំបន់សុវត្ថិភាពមូលដ្ឋាននេះ អ្នកអាចជ្រើសរើសចំណុចបញ្ចប់យ៉ាងច្បាស់ដើម្បីត្រូវបានចាត់ថ្នាក់ទៅ ESGs ដ៏លម្អិតផ្សេងទៀត។
ESG ជាតំបន់សុវត្ថិភាពលំនាំដើមដើរតួនាទីជាផ្នែកខាងក្រោយសម្រាប់ចំណុចបញ្ចប់ទាំងអស់នៅក្នុងឧទាហរណ៍ VRF ដោយគូសផែនទី EPGs ទាំងអស់នៅក្នុងឧទាហរណ៍ VRF ទៅ ESG ដោយប្រើឧបករណ៍ជ្រើសរើស EPG ។ ចំណុចបញ្ចប់ទាំងអស់ដែលបង្ហាញខាងក្រោមអាចនិយាយគ្នាទៅវិញទៅមក ដោយសារវាជាកម្មសិទ្ធិរបស់ ESG ដូចគ្នា។ អ្នកគ្រប់គ្រងបណ្តាញអាចអនុវត្តកិច្ចសន្យា intra-ESG ជាមួយនឹងក្រាហ្វសេវាកម្ម PBR ដែល (តាមលំនាំដើម) ចរាចរខាងក្នុង ESG ទាំងអស់ត្រូវបានបញ្ជូនបន្តទៅជញ្ជាំងភ្លើង។ ជាជម្រើស អ្នកអាចកំណត់តំបន់សុវត្ថិភាពលំនាំដើម ESG ជាមួយនឹងភាពឯកោដោយបង្ខំ ដោយការពារការទំនាក់ទំនងខាងក្នុង ESG រហូតដល់បន្ទុកការងារត្រូវបានផ្លាស់ទីទៅកម្មវិធីត្រឹមត្រូវ ESG ជាមួយនឹងកិច្ចសន្យាដែលពាក់ព័ន្ធរបស់ពួកគេ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 27 នៃ 49
រូបភាពទី 29. ការរចនា Example៖ តំបន់សុវត្ថិភាពលំនាំដើមសម្រាប់ឧទាហរណ៍ VRF ដែលបានផ្តល់ឱ្យ
Example 2: តំបន់សុវត្ថិភាពក្នុងមួយសំណុំនៃបណ្តាញរង/VLANs (EPG Selectors) ជំនួសឱ្យការបង្កើតតំបន់សុវត្ថិភាពលំនាំដើមតែមួយសម្រាប់ឧទាហរណ៍ VRF ដែលបានផ្តល់ឱ្យដូចដែលបានបង្ហាញនៅក្នុងអតីតពីមុនampដូច្នេះ ESG ដែលមានឧបករណ៍ជ្រើសរើស EPG អាចបង្កើតតំបន់សុវត្ថិភាពជាច្រើនយ៉ាងងាយស្រួលក្នុងឧទាហរណ៍ VRF ដូចគ្នា ដោយមិនមានតំបន់នីមួយៗត្រូវបានកំណត់ត្រឹមដែនស្ពានតែមួយ។ នៅក្នុងករណីនៃការប្រើប្រាស់នេះ ESG នីមួយៗតំណាងឱ្យក្រុមមួយ ដូចជាអង្គការ ឬក្រុមអភិវឌ្ឍន៍ ដោយផ្អែកលើតម្រូវការសុវត្ថិភាពរបស់អង្គការមួយ។ នេះអនុញ្ញាតឱ្យទំនាក់ទំនងក្នុងរង្វង់នីមួយៗដោយគ្មានការកំណត់រចនាសម្ព័ន្ធបន្ថែម ខណៈពេលដែលតាមលំនាំដើម រារាំងការទំនាក់ទំនងឆ្លងដែន។ បរិក្ខារនីមួយៗទំនងជាមានកម្មវិធីជាច្រើនដែលមានសំណុំនៃចំណុចបញ្ចប់ឆ្លងកាត់ដែនស្ពាន។ អ្នកមិនអាចសម្រេចបានការរចនានេះដោយប្រើ EPGs ទេ ដោយសារចំណុចបញ្ចប់ស្ថិតនៅទូទាំងដែនស្ពានច្រើន។
នៅក្នុងនេះ អតីតampដូច្នេះ បរិក្ខារនីមួយៗត្រូវបានចាត់តាំងសំណុំនៃ VLANs/subnets ដែលខិតខំប្រឹងប្រែង ដូចជា VLAN 10 និង 20 សម្រាប់ ESG subnet-group-01 និង VLAN 30 និង 40 សម្រាប់ ESG subnet-group-02។ ក្នុងស្ថានភាពនេះ អ្នកគ្រប់គ្រងបណ្តាញអាចបង្កើត ESG យ៉ាងងាយស្រួលសម្រាប់ក្រុមនីមួយៗដោយប្រើឧបករណ៍ជ្រើសរើស EPG ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 28 នៃ 49
រូបភាពទី 30. ការរចនា Example៖ តំបន់សុវត្ថិភាពលំនាំដើមច្រើនសម្រាប់ឧទាហរណ៍ VRF ដែលបានផ្តល់ឱ្យ
Exampលេ ១៖ Tag អ្នកជ្រើសរើសជាមួយនឹងការរួមបញ្ចូល VMM នេះគឺជាអតីតampពី ESG tag ឧបករណ៍ជ្រើសរើសដែលត្រូវគ្នានឹង VM tags ឬឈ្មោះ VM ពី VMware vCenter ។ សម្រាប់ករណីប្រើប្រាស់នេះ ការរួមបញ្ចូលដែន VMM ជាមួយនឹងសិទ្ធិអាន-សរសេរគឺត្រូវបានទាមទារ ខុសពីការអានតែប៉ុណ្ណោះ។ ទោះបីជា Cisco APIC ជាមួយការរួមបញ្ចូលបានតែអាន ទាញយកឈ្មោះ VM និង tags ពី VMware vCenter ទិន្នន័យបែបនេះមិនត្រូវបានភ្ជាប់ជាមួយវត្ថុជួលដូចជា EPGs ឬ ESGs ទេ។ ដូច្នេះ បច្ចុប្បន្ន អ្នកមិនអាចប្រើប្រាស់វាសម្រាប់អ្នកជ្រើសរើស ESG បានទេ។
ពេល VM tags ឬឈ្មោះ VM ត្រូវបានប្រើសម្រាប់ tag ការជ្រើសរើស ការកំណត់រចនាសម្ព័ន្ធពីរខាងក្រោមគឺត្រូវបានទាមទារនៅលើកំពូលនៃ tag អ្នកជ្រើសរើសខ្លួនឯង។
បើក "Tag ការប្រមូល” នៅក្រោមដែន VMM ខ្លួនវាផ្ទាល់។ បើកដំណើរការ "អនុញ្ញាតការបែងចែកខ្នាតតូច" តាមរយៈសមាគមដែន VMM នៅក្នុង EPG ។
នេះដាក់ពង្រាយ PVLAN នៅលើឧបករណ៍ប្តូរស្លឹក Cisco ACI និងក្រុមច្រក VMware vCenter ដោយស្វ័យប្រវត្តិ។ នេះគឺជា
ដើម្បីការពារការប្តូរនិម្មិត VMware ពីការបិទចរាចរនៅក្នុងក្រុមច្រកដូចគ្នាដោយមិនបញ្ជូនចរាចរទៅកាន់ Cisco ACI ។
រូបភាពទី 31. ការរចនា Exampលេ៖ Tag ឧបករណ៍ជ្រើសរើសជាមួយនឹងការរួមបញ្ចូល VMM
Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសដោយគ្មានការរួមបញ្ចូល VMM សម្រាប់ចំណុចបញ្ចប់ VM ដោយប្រើអាសយដ្ឋាន MAC នេះ example បង្ហាញ ESG tag ឧបករណ៍ជ្រើសរើសដែលត្រូវគ្នានឹងចំណុចបញ្ចប់ VM ដោយប្រើអាសយដ្ឋាន MAC ។ ជម្រើសនេះអាចអនុវត្តបានចំពោះអតិថិជនទាំងនោះដែលមានចង្កោម ESX ដោយមិនមានការរួមបញ្ចូល VMM អាន-សរសេរ។
អ្នកអាចភ្ជាប់ចំណុចបញ្ចប់ VM នៅលើ VMware vCenter ទៅក្រណាត់ Cisco ACI តាមរយៈដែន "រូបវន្ត" ដោយមិនចាំបាច់រួមបញ្ចូល vCenter VMM ។ ប្រសិនបើអ្នកកំពុងប្រើដែនរូបវន្តសម្រាប់ VMware vCenter អ្នកអាចមានជម្រើសអានតែការរួមបញ្ចូល VMM ដែល Cisco APIC អាចមានភាពមើលឃើញនៃឯកសារភ្ជាប់ចុង VM ។ ទោះយ៉ាងណាក៏ដោយ អ្នកមិនអាចប្រើ VM បានទេ។ tags ឬឈ្មោះ VM នៅលើ VMware vCenter សម្រាប់ការចាត់ថ្នាក់ ESG ដោយមិនចាំបាច់អាន-សរសេរសមាហរណកម្ម VMM ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 29 នៃ 49
នៅក្នុង exampដូច្នេះ ជម្រើសកំណត់រចនាសម្ព័ន្ធបីខាងក្រោមត្រូវបានទាមទារនៅលើកំពូលនៃ tag អ្នកជ្រើសរើសខ្លួនឯង៖
បង្កើត និងកំណត់គោលការណ៍ Cisco APIC ដោយដៃ tag ទៅអាសយដ្ឋាន MAC នីមួយៗនៅលើ Cisco APIC ។ កំណត់រចនាសម្ព័ន្ធ PVLAN ដោយដៃទាំង Cisco ACI EPGs (VLANs) និងក្រុមច្រកនៅក្នុង VMware vCenter ។
វារារាំងការប្តូរនិម្មិត VMware ពីការបិទចរាចរនៅក្នុងក្រុមច្រកដូចគ្នាដោយគ្មាន
បញ្ជូនបន្តចរាចរណ៍ទៅ Cisco ACI ។ (ជាជម្រើស) បើកដំណើរការប្រូកស៊ី ARP នៅលើ EPGs។
នៅពេលដែល PVLAN ត្រូវបានបើក ការជន់លិច ឬស្រទាប់ទី 2 ចរាចរពហុខាសត្រូវបានរារាំងនៅក្នុង EPG នីមួយៗក៏ដូចជា
រវាង EPGs ជាមួយ PVLAN ។ លទ្ធផលនេះនៅក្នុង ARP មិនត្រូវបានដោះស្រាយរវាងចំនុចបញ្ចប់នៅក្នុង EPGs ទាំងនោះ ប្រូកស៊ី ARP ដោះស្រាយការកំណត់នេះដោយការប្តូរស្លឹក Cisco ACI ឆ្លើយតបទៅនឹងសំណើ ARP ជំនួសអោយចំណុចបញ្ចប់គោលដៅ។ ចំណាំថាការទំនាក់ទំនងរវាងចំនុចបញ្ចប់នៅក្នុងបណ្តាញរងផ្សេងៗគ្នាមិនត្រូវការប្រូកស៊ី ARP ទេព្រោះ ARP ស្នើសុំទៅកាន់ Cisco ACI bridge domain SVI ដែលគួរតែជាច្រកចេញចូលលំនាំដើម មិនត្រូវបានរារាំងដោយ PVLAN ទេ។ កំណត់រចនាសម្ព័ន្ធ PVLAN នៅលើ Cisco ACI EPGs ជាមួយនឹងដែនរូបវន្តដោយដៃដោយប្រើច្រកឋិតិវន្ត (ការចងផ្លូវឋិតិវន្ត)។ PVLAN នៅលើ Cisco ACI EPGs ទាមទារនូវការកំណត់មួយក្នុងចំនោមការកំណត់ដូចខាងក្រោមផងដែរ៖
បើកដំណើរការភាពឯកោ Intra-EPG កំណត់រចនាសម្ព័ន្ធកិច្ចសន្យា Intra-EPG អ្នកក៏អាចបើកប្រូកស៊ី ARP រួមជាមួយនឹងជម្រើសដូចខាងក្រោមៈ
បើកដំណើរការភាពឯកោ Intra-EPG បន្ទាប់មកបើកប្រូកស៊ី ARP កំណត់រចនាសម្ព័ន្ធកិច្ចសន្យា Intra-EPG បន្ទាប់មកប្រូកស៊ី ARP ត្រូវបានបើកដោយប្រយោលនៅក្នុង ex នេះampដូច្នេះ ជម្រើសទីមួយ (ភាពឯកោ Intra-EPG ជាមួយប្រូកស៊ី ARP) ត្រូវបានប្រើ។
ចំណាំ៖ ដើម្បីសម្រួលដំណើរការរួមបញ្ចូល អ្នកគ្រប់គ្រងបណ្តាញអាចប្រើឧបករណ៍ស្វ័យប្រវត្តិកម្មដូចជា Ansible, Terraform ឬ python ដើម្បីអានអាសយដ្ឋាន MAC ម៉ាស៊ីននិម្មិតពី VMware vCenter ហើយបន្ទាប់មកបង្កើត MAC tags នៅក្នុង Cisco APIC ។ ស្វ័យប្រវត្តិកម្មក៏អាចត្រូវបានប្រើដើម្បីបង្កើតទាំងការចងឋិតិវន្ត EPG/VLAN នៅក្នុង Cisco APIC និងក្រុមច្រក PVLAN នៅក្នុង VMware vCenter ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 30 នៃ 49
រូបភាពទី 32. ការរចនា Exampលេ៖ Tag ឧបករណ៍ជ្រើសរើសដោយគ្មានការរួមបញ្ចូល VMM សម្រាប់ចំណុចបញ្ចប់ VM ដោយប្រើអាសយដ្ឋាន MAC
Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសដោយគ្មានការរួមបញ្ចូល VMM សម្រាប់ចំណុចបញ្ចប់ VM ដោយប្រើអាសយដ្ឋាន IP នេះ ឧample បង្ហាញ ESG tag ឧបករណ៍ជ្រើសរើសដែលត្រូវគ្នានឹងចំណុចបញ្ចប់ VM តាមរយៈអាសយដ្ឋាន IP ។ ជម្រើសនេះអាចអនុវត្តបានចំពោះអតិថិជនដែលមានចង្កោម ESX ដោយមិនមានការរួមបញ្ចូល Read-Write VMM ។
ចំណុចបញ្ចប់ VM នៅលើ VMware vCenter អាចត្រូវបានភ្ជាប់ទៅក្រណាត់ Cisco ACI តាមរយៈដែន "រូបវន្ត" ដោយមិនមានការរួមបញ្ចូល vCenter VMM ។ អតិថិជនដែលប្រើប្រាស់ដែនរូបវន្តសម្រាប់ VMware vCenter អាចមានជម្រើសក្នុងការរួមបញ្ចូល VMM ដែលបានតែអាន ដែល Cisco APIC អាចមានភាពមើលឃើញនៃឯកសារភ្ជាប់ VM ។ ទោះយ៉ាងណា VM tags ឬឈ្មោះ VM នៅលើ VMware vCenter មិនអាចប្រើសម្រាប់ការចាត់ថ្នាក់ ESG បានទេ ដោយគ្មានការរួមបញ្ចូល VMM អាន-សរសេរ។
នៅក្នុងនេះ អតីតampដូច្នេះ ជម្រើសនៃការកំណត់រចនាសម្ព័ន្ធបីខាងក្រោមត្រូវបានទាមទារបន្ថែមពីលើ tag អ្នកជ្រើសរើស៖
បង្កើត និងកំណត់គោលការណ៍ Cisco APIC ដោយដៃ tag ទៅអាសយដ្ឋាន IP នីមួយៗនៅលើ Cisco APIC ។ កំណត់រចនាសម្ព័ន្ធ PVLAN ដោយដៃទាំង Cisco ACI EPGs (VLANs) និងក្រុមច្រកនៅក្នុង VMware vCenter ។
នេះគឺដើម្បីការពារការប្តូរនិម្មិត VMware ពីការបិទចរាចរនៅក្នុងក្រុមច្រកដូចគ្នាដោយគ្មាន
បញ្ជូនបន្តចរាចរណ៍ទៅ Cisco ACI ។ បើកដំណើរការប្រូកស៊ី ARP នៅលើ EPGs ។
សម្រាប់ការផ្លាស់ប្តូរ Cisco ACI ដើម្បីអនុវត្តសុវត្ថិភាព ESG ដោយផ្អែកលើអាសយដ្ឋាន IP ចរាចរណ៍ត្រូវតែត្រូវបានបញ្ជូនជំនួសវិញ។
ស្ពាន។ ដើម្បីធានាថាចរាចរណ៍ទាំងអស់ត្រូវបានគ្រប់គ្រងជាចរាចរដែលបានបញ្ជូន អ្នកត្រូវតែបើកប្រូកស៊ី ARP នៅលើ EPGs។
នៅពេលដែល PVLAN ត្រូវបានបើក ការជន់លិច ឬស្រទាប់ទី 2 ចរាចរពហុខាសត្រូវបានរារាំងនៅក្នុង EPG នីមួយៗ ក៏ដូចជា
រវាង EPGs ជាមួយ PVLAN ។ លទ្ធផលនេះនៅក្នុង ARP មិនត្រូវបានដោះស្រាយរវាងចំនុចបញ្ចប់នៅក្នុង EPGs ទាំងនោះ ប្រូកស៊ី ARP ដោះស្រាយការកំណត់នេះដោយការប្តូរស្លឹក Cisco ACI ឆ្លើយតបទៅនឹងសំណើ ARP ជំនួសឱ្យចំណុចបញ្ចប់គោលដៅ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 31 នៃ 49
អតីតample គឺស្រដៀងទៅនឹង Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសដោយគ្មានការរួមបញ្ចូល VMM សម្រាប់ចំណុចបញ្ចប់ VM តាមរយៈអាសយដ្ឋាន MAC លើកលែងតែចំណុចទីមួយ (អាសយដ្ឋាន IP ជំនួសឱ្យអាសយដ្ឋាន MAC) និងចំណុចទីបី (ប្រូកស៊ី ARP គឺចាំបាច់) ។
កំណត់រចនាសម្ព័ន្ធ PVLAN នៅលើ Cisco ACI EPGs ជាមួយនឹងដែនរូបវន្តដោយដៃដោយប្រើច្រកឋិតិវន្ត (ការចងផ្លូវឋិតិវន្ត)។ PVLAN នៅលើ Cisco ACI EPGs ទាមទារនូវការកំណត់មួយក្នុងចំនោមការកំណត់ដូចខាងក្រោមផងដែរ៖
បើកដំណើរការភាពឯកោក្នុង EPG កំណត់រចនាសម្ព័ន្ធកិច្ចសន្យាអន្តរ EPG ប្រូកស៊ី ARP ក៏អាចត្រូវបានបើករួមជាមួយជម្រើសដូចខាងក្រោមៈ
បើកដំណើរការភាពឯកោក្នុង EPG បន្ទាប់មកបើកដំណើរការប្រូកស៊ី ARP កំណត់រចនាសម្ព័ន្ធកិច្ចសន្យាអន្តរ EPG បន្ទាប់មកប្រូកស៊ី ARP ត្រូវបានបើកដោយប្រយោល ឧ.ample ប្រើជម្រើសដំបូង (ឯកោខាងក្នុង EPG និងប្រូកស៊ី ARP) ។
ចំណាំ៖ ដើម្បីសម្រួលដំណើរការរួមបញ្ចូល អ្នកគ្រប់គ្រងបណ្តាញអាចប្រើឧបករណ៍ស្វ័យប្រវត្តិកម្មដូចជា Ansible, Terraform ឬ python ដើម្បីអានអាសយដ្ឋាន IP ម៉ាស៊ីននិម្មិតពី VMware vCenter ហើយបន្ទាប់មកបង្កើត IP tags នៅក្នុង Cisco APIC ។ អ្នកក៏អាចប្រើស្វ័យប្រវត្តិកម្មដើម្បីបង្កើតទាំងការភ្ជាប់ឋិតិវន្ត EPG/VLAN នៅក្នុង Cisco APIC និងក្រុមច្រក PVLAN នៅក្នុង VMware vCenter ។
រូបភាពទី 33. ការរចនា Exampលេ៖ Tag ឧបករណ៍ជ្រើសរើសដោយគ្មានការរួមបញ្ចូល VMM សម្រាប់ចំណុចបញ្ចប់ VM ដោយប្រើអាសយដ្ឋាន IP
Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសសម្រាប់ចំណុចបញ្ចប់ដែកទទេដោយប្រើអាសយដ្ឋាន MAC នេះ ឧample បង្ហាញ ESG tag ឧបករណ៍ជ្រើសរើសដែលផ្គូផ្គងចំណុចបញ្ចប់លោហៈទទេតាមរយៈគោលការណ៍ Cisco ACI tag ភ្ជាប់ជាស្ថាពរទៅអាសយដ្ឋាន MAC ចំណុចបញ្ចប់នីមួយៗ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 32 នៃ 49
នេះគឺដូចគ្នាទៅនឹង Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសដោយគ្មានការរួមបញ្ចូល VMM សម្រាប់ចំណុចបញ្ចប់ VM តាមរយៈអាសយដ្ឋាន MAC លើកលែងតែការមិនកំណត់រចនាសម្ព័ន្ធ vDS ។ ការកំណត់រចនាសម្ព័ន្ធ PVLAN ក៏មិនត្រូវបានទាមទារនៅលើ EPG ដែរ ពីព្រោះមិនមានកុងតាក់អន្តរការីដូចជា blade ឬ switches និម្មិត។ ប្រសិនបើមានកុងតាក់មិនមែនស៊ីស្កូ ACI រវាងចំនុចបញ្ចប់ និងកុងតាក់ Cisco ACI នោះ PVLAN នៅតែត្រូវបានទាមទារ។ សូមមើល Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសដែលមានកុងតាក់អន្តរការីសម្រាប់អតីតampករណីប្រើ។
រូបភាពទី 34. ការរចនា Exampលេ៖ Tag ឧបករណ៍ជ្រើសរើសសម្រាប់ចំណុចបញ្ចប់ដែកទទេដោយប្រើអាសយដ្ឋាន MAC
Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសសម្រាប់ចំណុចបញ្ចប់ដែកទទេដោយប្រើអាសយដ្ឋាន IP នេះ ឧample បង្ហាញ ESG tag ឧបករណ៍ជ្រើសរើសដែលផ្គូផ្គងចំណុចបញ្ចប់លោហៈទទេតាមរយៈគោលការណ៍ Cisco ACI tag ភ្ជាប់ទៅអាសយដ្ឋាន IP ចុងនីមួយៗ។
នេះគឺដូចគ្នាទៅនឹង Exampលេខ ៥៖ “Tag ឧបករណ៍ជ្រើសរើសដោយគ្មានការរួមបញ្ចូល VMM សម្រាប់ចំណុចបញ្ចប់ VM តាមរយៈអាសយដ្ឋាន IP” លើកលែងតែការមិនកំណត់រចនាសម្ព័ន្ធ vDS ។ ការកំណត់រចនាសម្ព័ន្ធ PVLAN ក៏មិនត្រូវបានទាមទារនៅលើ EPG ដែរ ពីព្រោះមិនមានឧបករណ៍ប្តូរអន្តរការីដូចជា blade switches ។ ប្រសិនបើមានកុងតាក់មិនមែនស៊ីស្កូ ACI រវាងចំនុចបញ្ចប់ និងកុងតាក់ Cisco ACI នោះ PVLAN នៅតែត្រូវបានទាមទារ។ សូមមើល Exampលេខ ៥៖ “Tag ឧបករណ៍ជ្រើសរើសជាមួយកុងតាក់អន្តរការី” សម្រាប់អតីតampករណីប្រើ។
ចំណាំ៖ ប្រូកស៊ី ARP នៅតែត្រូវបានទាមទារ ដូចករណីនេះដែរ។ample កំពុងប្រើអាសយដ្ឋាន IP ជាលក្ខណៈវិនិច្ឆ័យជ្រើសរើស។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 33 នៃ 49
រូបភាពទី 35. ការរចនា Exampលេ៖ Tag ឧបករណ៍ជ្រើសរើសសម្រាប់ចំណុចបញ្ចប់ដែកទទេដោយប្រើអាសយដ្ឋាន IP
Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសដែលមានកុងតាក់អន្តរការី នេះគឺជាអតីតampកន្លែងដែលមានកុងតាក់អន្តរការីរវាងកុងតាក់ស្លឹក Cisco ACI និងចំណុចបញ្ចប់។ នៅក្នុងករណីនៃចំណុចបញ្ចប់ VM វាអាចនៅពីក្រោយការប្តូរ blade ដូចជា Cisco UCS Fabric Interconnect ឬឧបករណ៍ប្តូរនិម្មិតពីដំណោះស្រាយនិម្មិតណាមួយ។
ក្នុងករណីបែបនេះ PVLANs ចាំបាច់ត្រូវពង្រីកពីកុងតាក់ស្លឹក Cisco ACI តាមរយៈកុងតាក់អន្តរការីទៅកាន់ក្រុមច្រក vDS នៅលើកុងតាក់និម្មិត។ នេះគឺដើម្បីធានាថាកុងតាក់ទាំងនោះមិនភ្ជាប់ចរាចរណ៍ដោយផ្អែកលើ VLANs មុនពេលវាទៅដល់កុងតាក់ស្លឹក Cisco ACI ដែលសុវត្ថិភាព ESG ត្រូវបានអនុវត្ត។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 34 នៃ 49
រូបភាពទី 36. ការរចនា Exampលេ៖ Tag ឧបករណ៍ជ្រើសរើសជាមួយកុងតាក់អន្តរការី
Example 9: ឧបករណ៍ជ្រើសរើសបណ្តាញរង IP នេះគឺជាអតីតample នៃរបៀបបញ្ជាក់អាសយដ្ឋាន IP ឬបណ្តាញរងដោយផ្ទាល់នៅក្រោម ESG ដោយគ្មាន a tag. វាមានប្រយោជន៍នៅពេលដែលអាសយដ្ឋាន IP ទាំងអស់នៅក្នុងជួរជាក់លាក់មួយគួរតែជាកម្មសិទ្ធិរបស់ ESG ដូចគ្នា។
ដោយសារតែវាប្រើអាសយដ្ឋាន IP ជាលក្ខណៈវិនិច្ឆ័យ តម្រូវការប្រូកស៊ី ARP ដែលបានលើកឡើងនៅក្នុងអាសយដ្ឋាន IP ផ្សេងទៀត ឧamples ក៏អាចអនុវត្តបាននៅទីនេះ។ ដោយសារតែនោះ ប្រសិនបើចំណុចបញ្ចប់ទាំងអស់នៅក្នុងបណ្តាញរងដែនស្ពាន ឬបណ្តាញរងដែនស្ពានច្រើនគួរតែជាកម្មសិទ្ធិរបស់ ESG ដូចគ្នា យើងសូមណែនាំឱ្យអ្នកប្រើឧបករណ៍ជ្រើសរើស EPG ដើម្បីផ្គូផ្គង EPGs ទាំងអស់នៅក្នុងដែនស្ពានជំនួសវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ឧបករណ៍ជ្រើសរើស EPG មិនត្រូវបានគាំទ្រទេ នៅពេលដែល EPGs និង ESG ជាកម្មសិទ្ធិរបស់អ្នកជួលផ្សេងៗគ្នា ដូចជានៅពេលដែល EPGs ជាកម្មសិទ្ធិរបស់អ្នកជួលធម្មតា ខណៈដែល ESG ជាកម្មសិទ្ធិរបស់អ្នកជួលអ្នកប្រើប្រាស់។ ក្នុងករណីបែបនេះ អ្នកនៅតែអាចប្រើឧបករណ៍ជ្រើសរើសបណ្តាញរង IP ។
នៅក្នុងនេះ អតីតampដូច្នេះ ឧបករណ៍ជ្រើសរើសបណ្តាញរង IP ត្រូវបានប្រើដើម្បីចាត់ថ្នាក់មួយពាក់កណ្តាលនៃបណ្តាញរងដែនស្ពាននីមួយៗទៅជា ESG មួយ និងពាក់កណ្តាលផ្សេងទៀតទៅ ESG ផ្សេងទៀត ដោយមិនគិតពីចំណុចបញ្ចប់ត្រូវបានរួមបញ្ចូល VMM ឬលោហៈទទេ។ សម្រាប់ចំណុចបញ្ចប់ VM ដោយសារតែកុងតាក់និម្មិតអន្តរការី PVLAN ត្រូវបានទាមទារនៅលើក្រុមច្រក។ នៅក្នុងនេះ អតីតampដូច្នេះ ជម្រើស "អនុញ្ញាត Microsegmentation" ជាមួយនឹងការរួមបញ្ចូល VMM ត្រូវបានប្រើដើម្បីសម្រេចបាន។ "អនុញ្ញាតឱ្យការបែងចែកខ្នាតតូច" ក៏អនុញ្ញាតឱ្យប្រូកស៊ី ARP ផងដែរ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 35 នៃ 49
រូបភាពទី 37. ការរចនា Exampលេខ៖ អ្នកជ្រើសរើសបណ្តាញរង IP
Example 10: ESG ជាកុងតឺន័រនៃកម្មវិធីដោយប្រើ tag ឧបករណ៍ជ្រើសរើសដែលមានតំបន់សុវត្ថិភាពលំនាំដើមដោយប្រើឧបករណ៍ជ្រើសរើស EPG ឧampឡេប្រើប្រភេទឧបករណ៍ជ្រើសរើសផ្សេងៗគ្នាជាមួយគ្នា៖
តំបន់សុវត្ថិភាពក្នុងមួយឧទាហរណ៍ VRF (អ្នកជ្រើសរើស EPG) តំបន់សុវត្ថិភាពលំនាំដើមសម្រាប់វត្ថុ VRF ជាក្រុមចាប់ទាំងអស់ដែលមានភាពឯកោក្នុង ESG ដូច្នេះតាមលំនាំដើមគ្មានចំណុចបញ្ចប់អាចនិយាយគ្នាបានទេ
តំបន់សុវត្ថិភាពក្នុងមួយកម្មវិធី (tag ឧបករណ៍ជ្រើសរើសជាមួយនឹងការរួមបញ្ចូល VMM) - ដើម្បីទាញចំណុចបញ្ចប់ពីតំបន់សុវត្ថិភាពលំនាំដើម ដូច្នេះពួកគេអាចនិយាយជាមួយអ្នកផ្សេងទៀតនៅក្នុងក្រុមដូចគ្នា ឬក្រុមផ្សេងទៀតដោយប្រើកិច្ចសន្យា។
នេះគឺស្មើនឹងអតីតample ពី Network Centric ទៅ Application Centric Migration Story: Pseudo Co. ជំពូក។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 36 នៃ 49
រូបភាពទី 38. ការរចនា Exampលេ៖ Tag ឧបករណ៍ជ្រើសរើសសម្រាប់ ESG ក្នុងមួយកម្មវិធី និងឧបករណ៍ជ្រើសរើស EPG សម្រាប់តំបន់សុវត្ថិភាពលំនាំដើម
Exampលេខ 11៖ តំបន់សន្តិសុខច្រើនដោយប្រើឧបករណ៍ជ្រើសរើស EPG ជាមួយនឹង ESG ដាច់ដោយឡែកដោយប្រើ tag អ្នកជ្រើសរើស។ ខាងក្រោមនេះ exampឡេប្រើប្រភេទឧបករណ៍ជ្រើសរើសផ្សេងៗគ្នាជាមួយគ្នា៖
តំបន់សុវត្ថិភាពក្នុងមួយបណ្តាញរង/VLANs (អ្នកជ្រើសរើស EPG) ជាតំបន់សុវត្ថិភាពមូលដ្ឋានក្នុងមួយក្រុមដែលមានសំណុំនៃបណ្តាញរង ឬ VLANs ដែលត្រូវបានតំណាងដោយ EPGs ។ ចំណុចបញ្ចប់នៅក្នុងតំបន់នីមួយៗ (ESG) អាចនិយាយគ្នាតាមលំនាំដើម។ ការទំនាក់ទំនងនៅទូទាំងតំបន់នីមួយៗត្រូវបានអនុញ្ញាតយ៉ាងច្បាស់ដោយប្រើកិច្ចសន្យា។
តំបន់សុវត្ថិភាពដាច់ពីគេ (Tag ឧបករណ៍ជ្រើសរើសជាមួយនឹងការរួមបញ្ចូល VMM) - ដើម្បីទាញចំណុចបញ្ចប់ព្យាបាទពីតំបន់សុវត្ថិភាពនីមួយៗដើម្បីដាក់ឱ្យនៅដាច់ពីគេ។ តំបន់ដាច់ដោយឡែកមួយត្រូវបានកំណត់រចនាសម្ព័ន្ធដោយភាពឯកោក្នុងចន្លោះ ESG ដើម្បីបិទចរាចរណ៍ទាំងអស់នៅក្នុងតំបន់ (ESG)។
នេះកំពុងប្រើឧបករណ៍ជ្រើសរើសដូចគ្នា (EPG និង Tag) ដូចជា ឧample 10: ESG ជាកុងតឺន័រនៃកម្មវិធីតាមរយៈ Tag ឧបករណ៍ជ្រើសរើសដែលមានតំបន់សុវត្ថិភាពលំនាំដើមតាមរយៈឧបករណ៍ជ្រើសរើស EPG ប៉ុន្តែផ្ទុយទៅវិញ។ នៅក្នុងនេះ អតីតample តាមលំនាំដើម ចំណុចបញ្ចប់ជាកម្មសិទ្ធិរបស់តំបន់សុវត្ថិភាពរៀងៗខ្លួន (ESG) ជាមួយនឹងការកំណត់សុវត្ថិភាពសមស្របដោយផ្អែកលើការចែកចាយបណ្តាញ (បណ្តាញរង/VLANs) ខណៈពេលដែល tags ត្រូវបានប្រើដើម្បីដកហូតគោលការណ៍សុវត្ថិភាពដែលអនុញ្ញាតឱ្យទំនាក់ទំនងពីចំណុចបញ្ចប់ជាក់លាក់។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 37 នៃ 49
រូបភាពទី 39. តំបន់សុវត្ថិភាពច្រើនដោយប្រើឧបករណ៍ជ្រើសរើស EPG ជាមួយនឹង ESG quarantine ដោយប្រើ tag អ្នកជ្រើសរើស។
Example 12: ESG ជាមួយ Layer 2 multicast នៅពេលដែល Layer 2 multicast ត្រូវបានទាមទារសម្រាប់ការទំនាក់ទំនង endpoint នៅក្នុង ESG ដូចជា cluster keepalive ឬ multicast DNS ជម្រើសកំណត់រចនាសម្ព័ន្ធដែលបង្ហាញខាងក្រោមរំខានដល់តម្រូវការ ដោយសារជម្រើសទាំងនោះរារាំងការជន់លិច និងស្រទាប់ 2 multicast traffic ។
ភាពឯកោ Intra-EPG កិច្ចសន្យា Intra-EPG "អនុញ្ញាតឱ្យការបែងចែកខ្នាតតូច" ជាមួយដែន VMM ចំណាំ៖ ភាពឯកោ/កិច្ចសន្យា Intra-EPG រារាំងការជន់លិច និងស្រទាប់ទី 2 ចរាចរពហុខាសរវាង EPGs និងក្នុង EPGs ដែលមានការកំណត់ទាំងនេះ។ ទោះជាយ៉ាងណាក៏ដោយជាមួយនឹង "អនុញ្ញាតឱ្យផ្នែកមីក្រូ" វិសាលភាពនៃផលប៉ះពាល់គឺ VLANs ជំនួសឱ្យ EPG ទាំងមូល។
នេះមានន័យថាឧបករណ៍ជ្រើសរើសដែលទាមទារការកំណត់រចនាសម្ព័ន្ធទាំងនេះមិនអាចប្រើក្នុងស្ថានភាពបែបនេះបានទេ។
Selectors ដែលអាចប្រើសម្រាប់ Layer 2 multicast ជាពាក្យផ្សេងទៀត Selectors ដែលមិនត្រូវការការកំណត់ណាមួយខាងលើគឺ៖
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 38 នៃ 49
ឧបករណ៍ជ្រើសរើស EPG Tag ឧបករណ៍ជ្រើសរើសដែលមានអាសយដ្ឋាន MAC ព័ត៌មានលម្អិតរបស់ឧបករណ៍ជ្រើសរើសនីមួយៗត្រូវបានពន្យល់ខាងក្រោម។
EPG Selectors ឧបករណ៍ជ្រើសរើសទាំងនេះមិនតម្រូវឱ្យមានជម្រើសនៃការកំណត់រចនាសម្ព័ន្ធណាមួយដែលបានរៀបរាប់ខាងលើដែលរំខានដល់ការបញ្ជូនបន្តពហុខាសនៃស្រទាប់ 2 នោះទេ។
យោងទៅ Example 1 ឬ Exampលេ 2 ។
Tag ឧបករណ៍ជ្រើសរើសដែលមានអាសយដ្ឋាន MAC ឧបករណ៍ជ្រើសរើសទាំងនេះអាចបំពេញតាមតម្រូវការនៃស្រទាប់ទី 2 ពហុខាស នៅពេលដែល PVLAN មិនត្រូវបានទាមទារ។ នោះគឺនៅពេលដែលមិនមានកុងតាក់អន្តរការីនៅចន្លោះកុងតាក់ស្លឹក និងចំណុចបញ្ចប់។
យោងទៅ Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសសម្រាប់ចំណុចបញ្ចប់លោហៈទទេតាមរយៈអាសយដ្ឋាន MAC ។
Tag ឧបករណ៍ជ្រើសរើសជាមួយ VM Tags ឬឈ្មោះ VM ឧបករណ៍ជ្រើសរើសទាំងនេះមិនអាចប្រើបានទេព្រោះទាំងនេះតម្រូវឱ្យ "អនុញ្ញាតការបែងចែកខ្នាតតូច" ជាមួយដែន VMM ។
ឧបករណ៍ជ្រើសរើស IP ដែលមានមូលដ្ឋានដូចជា IP Subnet Selectors ឬ Tag ឧបករណ៍ជ្រើសរើសដែលមានអាសយដ្ឋាន IP មិនអាចប្រើឧបករណ៍ជ្រើសរើសទាំងនេះបានទេព្រោះឧបករណ៍ទាំងនេះត្រូវការប្រូកស៊ី ARP នៅលើ EPGs ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធដោយប្រើភាពឯកោ intraEPG កិច្ចសន្យា intra-EPG ឬ "អនុញ្ញាតឱ្យការបែងចែកខ្នាតតូច" ជាមួយដែន VMM ។
Example 13: EPG Selectors and IP-based Selectors without a VMM Domain ដូចដែលបានបង្ហាញក្នុង ex ខាងក្រោមamples, proxy ARP គឺត្រូវបានទាមទារនៅពេលប្រើអាសយដ្ឋាន IP ជាលក្ខណៈវិនិច្ឆ័យសម្រាប់អ្នកជ្រើសរើស៖
Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសដោយគ្មានការរួមបញ្ចូល VMM សម្រាប់ចំណុចបញ្ចប់ VM តាមរយៈអាសយដ្ឋាន IP Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសសម្រាប់ចំណុចបញ្ចប់ដែកទទេតាមរយៈអាសយដ្ឋាន IP Example 9: IP Subnet Selectors ដើម្បីបើកប្រូកស៊ី ARP ឧample 5 បានរាយជម្រើសដូចខាងក្រោមៈ
បើកដំណើរការភាពឯកោក្នុង EPG បន្ទាប់មកបើកប្រូកស៊ី ARP កំណត់រចនាសម្ព័ន្ធកិច្ចសន្យាអន្តរ EPG បន្ទាប់មកប្រូកស៊ី ARP ត្រូវបានបើកដោយប្រយោល ចំណាំ៖ បន្ថែមពីលើជម្រើសពីរខាងលើ "អនុញ្ញាតឱ្យការបែងចែកខ្នាតតូច" សម្រាប់ការរួមបញ្ចូល VMM ក៏បើកប្រូកស៊ី ARP យ៉ាងជាក់ស្តែងសម្រាប់ VLANs ដែលបានដាក់ពង្រាយ។ សម្រាប់ការរួមបញ្ចូល VMM ។ ក្នុងករណីបែបនេះការពិចារណាដែលបានរៀបរាប់ខាងក្រោមនៅក្នុងអតីតនេះ។ample មិនអាចអនុវត្តបានទេ។
មានការពិចារណាជាមួយជម្រើសទាំងពីរនេះ នៅពេលដែលឧបករណ៍ជ្រើសរើស EPG ត្រូវបានប្រើ ពីព្រោះនៅពេលដែល EPGs ត្រូវបានផ្គូផ្គងទៅនឹង ESG ការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាពទាំងអស់រួមទាំងទាំងពីរនេះត្រូវតែអនុវត្តដោយប្រើ ESG ជំនួសឱ្យ EPGs នីមួយៗ។ នេះចេញមកពីទស្សនវិជ្ជានៃ ESG: បណ្តាញ decouple និងសុវត្ថិភាព ដើម្បីរក្សាការកំណត់រចនាសម្ព័ន្ធ និងការរចនាងាយស្រួលយល់ និងថែទាំ។ បញ្ហាគឺនៅពេលដែលភាពឯកោក្នុង ESG ត្រូវបានបើកនៅក្នុង ESG ចរាចរណ៍ទាំងអស់នៅក្នុង ESG ត្រូវបានរារាំង ទោះបីជាអ្នកប្រើប្រាស់អាចបើកប្រូកស៊ី ARP ក្រោម EPGs ដែលត្រូវគ្នាក៏ដោយ។ ម៉្យាងវិញទៀត កិច្ចសន្យាអន្តរ ESG នៅក្នុង ESG អនុវត្តច្បាប់កិច្ចសន្យាស្តីពីចរាចរណ៍ក្នុង ESG ដូចគ្នា ប៉ុន្តែប្រូកស៊ី ARP មិនត្រូវបានបើកនៅក្រោមក្រណាត់មិនដូចកិច្ចសន្យាអន្តរ EPG ទេ។
ដើម្បីជម្នះបញ្ហាទាំងនេះ ជម្រើសនៃការកំណត់រចនាសម្ព័ន្ធខាងក្រោមគួរតែត្រូវបានអនុវត្ត នៅពេលដែលឧបករណ៍ជ្រើសរើស EPG និងឧបករណ៍ជ្រើសរើសផ្អែកលើ IP ត្រូវបានប្រើក្នុងពេលដំណាលគ្នា។
1. បើកដំណើរការឯកោខាងក្នុង EPG និងប្រូកស៊ី ARP នៅលើ EPGs ។
2. បើកដំណើរការភាពឯកោក្នុង ESG នៅលើ ESG ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 39 នៃ 49
ក. នេះធានាថាការកំណត់រចនាសម្ព័ន្ធ EPG នៅក្នុងជំហានទី 1 មិនត្រូវបានបដិសេធដោយ ESG ក្នុងជំហានទី 4 ។ 3. បើកកិច្ចសន្យាខាងក្នុង ESG ជាមួយនឹងការអនុញ្ញាតទាំងអស់ ដូចជាតម្រងលំនាំដើមនៅលើ ESG ជាដើម។
ក. នេះអនុញ្ញាតឱ្យទំនាក់ទំនងបើកចំហនៅក្នុង ESG ដែលត្រូវបានរារាំងបើមិនដូច្នេះទេដោយជំហាន 2. 4. ផ្គូផ្គង EPGs ទៅ ESG ដោយប្រើឧបករណ៍ជ្រើសរើស EPG ។ រូបខាងក្រោមបង្ហាញពីអតីតនេះ។ampជាមួយជម្រើសនៃការកំណត់រចនាសម្ព័ន្ធទាំងនេះ៖
រូបភាពទី 40. ការពិចារណានៅពេលដែលឧបករណ៍ជ្រើសរើស EPG និងឧបករណ៍ជ្រើសរើសដែលមានមូលដ្ឋានលើ IP ត្រូវបានប្រើក្នុងពេលដំណាលគ្នា
ឧបសម្ព័ន្ធ៖ Cisco ACI Tenant Design Examples ការប្រើប្រាស់ ESGs
ឧបសម្ព័ន្ធនេះពន្យល់ពីជម្រើសក្នុងការចែកចាយសមាសធាតុ Cisco ACI (VRF instance/bridge domain/EPG/ESG) ឆ្លងកាត់អ្នកជួលសម្រាប់ឧទាហរណ៍ VRF ដែលបានផ្តល់ឱ្យ។ វាត្រូវបានផ្តោតលើជាចម្បងនៅពេលដែល ESGs ត្រូវបានប្រើសម្រាប់សុវត្ថិភាព ប៉ុន្តែគោលគំនិតភាគច្រើនអាចអនុវត្តបានដោយមិនគិតពី ESGs នោះទេ។
តារាងខាងក្រោមសង្ខេបអំពីការរចនាអ្នកជួល Cisco ACI examples នៅក្នុងផ្នែកនេះ។ ផ្នែករងខាងក្រោមពន្យល់ example លម្អិត។
តារាង 4 ។
Cisco ACI tenant Design Examples
ប្រភេទ
Examples
ការរចនាអ្នកជួល
បណ្តាញ និង Example 1: ទាំងអស់ស្ថិតនៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់
សន្តិសុខ
Example 2: VRF ឧទាហរណ៍/ស្ពាន
ដែនចែកចាយ/EPGs (VLANs) ស្ថិតនៅក្នុងអ្នកជួល
នៅទូទាំងអ្នកជួលទូទៅខណៈពេលដែល ESGs ស្ថិតនៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់
ឧទាហរណ៍ VRF, ដែនស្ពាន, EPGs និង ESGs ស្ថិតនៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់
ការបែងចែកយ៉ាងតឹងរ៉ឹងរវាងបណ្តាញ និងសុវត្ថិភាព។ បណ្តាញទាំងអស់ - ឧទាហរណ៍ VRF, ដែនស្ពាន និង EPGs (VLANs) ស្ថិតនៅក្នុងសុវត្ថិភាពទូទៅរបស់អ្នកជួល - ESGs គឺស្ថិតនៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់
Example 3: VRF instances/bridge domains បន្ធូរការបំបែករវាងបណ្តាញ និងសុវត្ថិភាព។
ស្ថិតនៅក្នុងអ្នកជួលទូទៅខណៈពេលដែល EPGs
បណ្តាញមូលដ្ឋាន - ជាឧទាហរណ៍ VRF ដែនស្ពានគឺស្ថិតនៅក្នុងអ្នកជួលទូទៅ
(VLANs) និង ESGs ស្ថិតនៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់ EPGs (VLANs) ហើយ ESGs (សុវត្ថិភាព) ស្ថិតនៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់
បានចែករំលែក
Example 4: សេវាកម្មចែករំលែកគឺនៅក្នុង នេះត្រូវបានអនុវត្តនៅពេលដែលឧទាហរណ៍ VRF ដូចគ្នានៅក្នុងអ្នកជួលទូទៅ
សេវាកម្ម
ឧទាហរណ៍ VRF ដូចគ្នាពីភតិកៈទូទៅចែករំលែកនៅទូទាំងអ្នកជួលអ្នកប្រើប្រាស់ច្រើន។
នៅទូទាំងអ្នកជួល
ឧទាហរណ៍ VRF និងដែនស្ពានស្ថិតនៅក្នុងអ្នកជួលទូទៅ
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 40 នៃ 49
Example 5: សេវាកម្មដែលបានចែករំលែកគឺស្ថិតនៅក្នុងឧទាហរណ៍ VRF ផ្សេងគ្នា
EPGs និង ESGs ស្ថិតនៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់ 2
ដោយមិនគិតពីការចែកចាយបណ្តាញ និងសុវត្ថិភាពនៅទូទាំងអ្នកជួល សូមដាក់ពង្រាយសេវាកម្មចែករំលែកនៅក្នុងឧទាហរណ៍ VRF ផ្ទាល់ខ្លួនរបស់វា ហើយកំណត់រចនាសម្ព័ន្ធផ្លូវដែលលេចធ្លាយ VRF ច្បាស់លាស់ដើម្បីផ្តល់ការតភ្ជាប់។ ឧទាហរណ៍ VRF, ដែនស្ពាន, EPGs និង ESGs គឺនៅក្នុង user tenant1 A VRF instance និង L3Out គឺនៅក្នុង user tenant2
តារាងខាងក្រោមសង្ខេបអំពីឧបករណ៍ជ្រើសរើស ESG ដែលគាំទ្រសម្រាប់ជម្រើសរចនាអ្នកជួលនីមួយៗ៖
តារាងទី 5. ជម្រើសរចនាអ្នកជួល Cisco ACI និងឧបករណ៍ជ្រើសរើស ESG ដែលគាំទ្រ
VRF
ស្ពាន Domain EPG
ESG
អ្នកជ្រើសរើសដែលគាំទ្រ
អ្នកជួលទូទៅ អ្នកជួលទូទៅ អ្នកជួលទូទៅ អ្នកជួលទូទៅ Tag ឧបករណ៍ជ្រើសរើស (Ep MAC) Tag ឧបករណ៍ជ្រើសរើស (Ep IP) Tag ឧបករណ៍ជ្រើសរើស (BD Subnet) Tag ឧបករណ៍ជ្រើសរើស (ចំណុចបញ្ចប់ឋិតិវន្ត) Tag ឧបករណ៍ជ្រើសរើស (ឈ្មោះ VM) Tag ឧបករណ៍ជ្រើសរើស (VM Tag) IP Subnet Selector EPG Selector
អ្នកជួលទូទៅ អ្នកជួលទូទៅ អ្នកជួលទូទៅ អ្នកជួលអ្នកប្រើប្រាស់ទូទៅ
Tag អ្នកជ្រើសរើស (Ep MAC) ១ Tag ឧបករណ៍ជ្រើសរើស (Ep IP) 1 ឧបករណ៍ជ្រើសរើសបណ្តាញរង IP
អ្នកជួលទូទៅ អ្នកជួលទូទៅ អ្នកជួលអ្នកប្រើប្រាស់ទូទៅ
អ្នកជួលអ្នកប្រើប្រាស់
Tag ឧបករណ៍ជ្រើសរើស (Ep MAC) Tag ឧបករណ៍ជ្រើសរើស (Ep IP) Tag ឧបករណ៍ជ្រើសរើស (ចំណុចបញ្ចប់ឋិតិវន្ត) Tag ឧបករណ៍ជ្រើសរើស (ឈ្មោះ VM) Tag ឧបករណ៍ជ្រើសរើស (VM Tag) IP Subnet Selector EPG Selector
ភតិកៈ អ្នកប្រើប្រាស់ទូទៅ អ្នកជួល អ្នកប្រើប្រាស់ អ្នកជួល អ្នកប្រើប្រាស់ អ្នកជួល
ភតិកៈ អ្នកប្រើប្រាស់ អ្នកជួល
ភតិកៈ អ្នកប្រើប្រាស់ អ្នកជួល
Tag ឧបករណ៍ជ្រើសរើស (Ep MAC) Tag ឧបករណ៍ជ្រើសរើស (Ep IP) Tag ឧបករណ៍ជ្រើសរើស (BD Subnet) Tag ឧបករណ៍ជ្រើសរើស (ចំណុចបញ្ចប់ឋិតិវន្ត) Tag ឧបករណ៍ជ្រើសរើស (ឈ្មោះ VM) Tag ឧបករណ៍ជ្រើសរើស (VM Tag) IP Subnet Selector EPG Selector
Tag ឧបករណ៍ជ្រើសរើស (Ep MAC) Tag ឧបករណ៍ជ្រើសរើស (Ep IP) Tag ឧបករណ៍ជ្រើសរើស (BD Subnet) Tag ឧបករណ៍ជ្រើសរើស (ចំណុចបញ្ចប់ឋិតិវន្ត) Tag ឧបករណ៍ជ្រើសរើស (ឈ្មោះ VM) Tag ឧបករណ៍ជ្រើសរើស (VM Tag) IP Subnet Selector EPG Selector
លេខយោងទី១៖ គោលការណ៍ Tags នៅក្នុងភតិកៈអ្នកប្រើប្រាស់អាចត្រូវបានកំណត់ទៅអាសយដ្ឋាន MAC ឬ IP នៅក្នុងភតិកៈទូទៅដោយបញ្ជាក់ឈ្មោះដែនស្ពាន ឬឧទាហរណ៍ VRF នៅក្នុងភតិកៈទូទៅ។ ទោះជាយ៉ាងណាក៏ដោយ ប្រសិនបើអ្នកជួលអ្នកប្រើប្រាស់មានដែនស្ពាន ឬវត្ថុ VRF ដែលមានឈ្មោះដូចគ្នា គោលការណ៍ tag ត្រូវបានកំណត់ទៅអាសយដ្ឋាន MAC ឬ IP នៅក្នុងដែនស្ពាន ឬឧទាហរណ៍ VRF នៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 41 នៃ 49
Example 1: ទាំងអស់នៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់
អតីតample គឺជាករណីប្រើប្រាស់ទូទៅបំផុតមួយ ដែលវត្ថុទាំងអស់៖ ឧទាហរណ៍ VRF, ដែនស្ពាន, EPGs និង ESGs ស្ថិតនៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់។ កិច្ចសន្យារវាង ESGs ក៏ស្ថិតនៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់ដូចគ្នាដែរ។
រូបភាពទី 41. ដ្យាក្រាមឡូជីខលនៃការរចនាខាងក្នុងអ្នកជួល (ឧទាហរណ៍ VRF, ដែនស្ពាន, EPGs និង ESGs ស្ថិតនៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់)
Example 2: VRF instance/bridge domains/EPGs (VLANs) នៅក្នុងភតិកៈទូទៅ ខណៈពេលដែល ESGs នៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់
អតីតample មាន ESGs នៅក្នុងភតិកៈអ្នកប្រើប្រាស់ ចំណែកឧទាហរណ៍ VRF ដែនស្ពាន និង EPGs គឺស្ថិតនៅក្នុងភតិកៈទូទៅ។ កិច្ចសន្យារវាង ESGs ត្រូវបានកំណត់នៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់ដូចគ្នា។ ឧបករណ៍ជ្រើសរើស EPG មិនអាចប្រើក្នុង ex នេះបានទេ។ample ដោយសារតែ EPGs ត្រូវតែជាកម្មសិទ្ធិរបស់អ្នកជួលដូចគ្នានឹង ESG សម្រាប់អ្នកជ្រើសរើស EPG ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 42 នៃ 49
រូបភាពទី 42. ដ្យាក្រាមឡូជីខលនៃការរចនាខាងក្នុងអ្នកជួល (ឧទាហរណ៍ VRF, ដែនស្ពាន និង EPG ស្ថិតនៅក្នុងអ្នកជួលទូទៅ)
Example 3: VRF instance/bridge domains ស្ថិតនៅក្នុងអ្នកជួលទូទៅ ខណៈដែល EPGs (VLANs) និង ESGs ស្ថិតនៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់
អតីតample មាន EPGs និង ESGs នៅក្នុងភតិកៈអ្នកប្រើប្រាស់ ចំណែកឧទាហរណ៍ VRF និងដែនស្ពានស្ថិតនៅក្នុងអ្នកជួលទូទៅ។ កិច្ចសន្យារវាង ESGs ត្រូវបានកំណត់នៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់ដូចគ្នា។
រូបភាពទី 43. ដ្យាក្រាមឡូជីខលនៃការរចនាខាងក្នុងអ្នកជួល (ឧទាហរណ៍ VRF និងដែនស្ពានស្ថិតនៅក្នុងអ្នកជួលទូទៅ)
Example 4: សេវាកម្មដែលបានចែករំលែកនៅក្នុងឧទាហរណ៍ VRF ដូចគ្នាពីអ្នកជួលទូទៅ
អតីតample មាន EPGs និង ESGs នៅក្នុងអ្នកជួលអ្នកប្រើប្រាស់នីមួយៗ ចំណែកឯ VRF instance និង bridge domains គឺស្ថិតនៅក្នុងអ្នកជួលទូទៅ។ ទោះបីជាអតីតample ប្រើកិច្ចសន្យាអន្តរភតិកៈ ឧample នៅតែអនុញ្ញាតឱ្យមានការប្រាស្រ័យទាក់ទងគ្នារវាង VRF ដោយប្រើឧទាហរណ៍ VRF នៅក្នុងភតិកៈទូទៅ។ ដូច្នេះ មិនចាំបាច់កំណត់រចនាសម្ព័ន្ធការលេចធ្លាយផ្លូវទេ។ កិច្ចសន្យារវាងអ្នកជួលក្នុងអន្តរ-VRF រវាង ESGs ត្រូវតែកំណត់ទាំងអ្នកជួលទូទៅ ឬអ្នកផ្តល់សេវា។ ប្រសិនបើកិច្ចសន្យាត្រូវបានកំណត់នៅក្នុងភតិកៈអ្នកផ្តល់សេវា កិច្ចសន្យាត្រូវតែនាំចេញទៅឱ្យអ្នកជួលប្រើប្រាស់ (រូបភាពទី 45) ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 43 នៃ 49
រូបភាពទី 44. កិច្ចសន្យាអន្តរភតិកៈ ESG ជាមួយនឹងការសាងសង់បណ្តាញនៅក្នុងភតិកៈរួម (កិច្ចសន្យាគឺនៅក្នុងភតិកៈរួម)
រូបភាពទី 45. កិច្ចសន្យាអន្តរអ្នកជួល ESG ជាមួយនឹងការសាងសង់បណ្តាញនៅក្នុងភតិកៈទូទៅ (កិច្ចសន្យាគឺស្ថិតនៅក្នុងអ្នកជួលអ្នកផ្តល់សេវា)
Example 5 សេវាកម្មដែលបានចែករំលែកនៅក្នុងឧទាហរណ៍ VRF ផ្សេងគ្នា
អតីតample មាន L3Out នៅក្នុងភតិកៈទូទៅ ឬអ្នកជួលអ្នកប្រើប្រាស់ដែលមានកិច្ចសន្យាអន្តរភតិកៈអន្តរ VRF ជាមួយភតិកៈអ្នកប្រើប្រាស់ផ្សេងទៀតដែលមានឧទាហរណ៍ VRF ដែនស្ពាន EPGs និង ESGs ។ កិច្ចសន្យារវាងអ្នកជួល interVRF រវាង EPG ខាងក្រៅ L3Out និង ESG ចាំបាច់ត្រូវកំណត់ទាំងអ្នកជួលទូទៅ ឬអ្នកផ្តល់សេវា។ ប្រសិនបើកិច្ចសន្យាត្រូវបានកំណត់នៅក្នុងភតិកៈអ្នកផ្តល់សេវា កិច្ចសន្យាត្រូវតែនាំចេញទៅឱ្យអ្នកជួលប្រើប្រាស់ (រូបភាព 47) ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 44 នៃ 49
រូបភាពទី 46. កិច្ចសន្យាអន្តរអ្នកជួល ESG ជាមួយ L3Out រួមនៅក្នុងភតិកៈទូទៅ (កិច្ចសន្យាគឺនៅក្នុងភតិកៈរួម)
រូបភាពទី 47. កិច្ចសន្យាអន្តរអ្នកជួល ESG ជាមួយ L3Out ដែលបានចែករំលែកនៅក្នុងភតិកៈអ្នកប្រើប្រាស់ផ្សេងទៀត (កិច្ចសន្យាស្ថិតនៅក្នុងអ្នកជួលអ្នកផ្តល់សេវា)
ការលេចធ្លាយផ្លូវនៃវត្ថុអន្តរ-VRF គឺត្រូវបានទាមទារសម្រាប់អតីតនេះ។ampលេ ទីតាំងគឺនៅអ្នកជួល > បណ្តាញ > VRFs > VRF_name > Inter-VRF Leaked Routes សម្រាប់ ESG ។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 45 នៃ 49
រូបភាពទី 48. ការកំណត់រចនាសម្ព័ន្ធលេចធ្លាយផ្លូវអន្តរ-VRF (ពី tn-demo/vrf-01 ទៅ tn-shared-services/vrf-01)
រូបភាព 49. ការកំណត់រចនាសម្ព័ន្ធការលេចធ្លាយផ្លូវអន្តរ-VRF (ពី tn-shared-services/vrf-01 ទៅពី tn-demo/vrf-01)
សំណួរគេសួរញឹកញាប់
ផ្នែកនេះគ្របដណ្តប់សំណួរដែលសួរញឹកញាប់។
Q. ចុះបើមានការប្តូរអន្តរការីរវាងម៉ាស៊ីនមេ និងថ្នាំងស្លឹក Cisco ACI? ក. សូមមើល “Exampលេ ១៖ Tag ឧបករណ៍ជ្រើសរើសដែលមានផ្នែកប្តូរអន្តរការី”។
សំណួរ តើខ្ញុំអាចកំណត់រចនាសម្ព័ន្ធកិច្ចសន្យារវាង ESGs និង EPGs បានទេ? A. ទេ នៅពេលប្រើ ESGs សុវត្ថិភាពទាំងអស់គួរតែត្រូវបានគ្រប់គ្រងនៅក្នុង ESGs ហើយ EPGs គួរតែត្រូវបានប្រើសម្រាប់តែបណ្តាញប៉ុណ្ណោះ។
សំណង់ដូចជា VLAN ។ នៅពេលផ្លាស់ប្តូរ EPGs ទៅ ESGs ឧបករណ៍ជ្រើសរើស EPG អាចត្រូវបានប្រើ។ ឧបករណ៍ជ្រើសរើស EPG អនុញ្ញាតឱ្យអ្នកទទួលបន្តកិច្ចសន្យាពី EPGs ដែលត្រូវគ្នាទៅនឹង ESG ដែលទំនាក់ទំនងរវាង EPGs ដែលត្រូវគ្នាដែលបានធ្វើចំណាកស្រុកទៅ ESG និង EPGs ផ្សេងទៀតដែលមិនទាន់ធ្វើចំណាកស្រុកទៅ ESGs ត្រូវបានអនុញ្ញាតក្នុងដំណាក់កាលនៃការធ្វើចំណាកស្រុក។ សូមមើលឯកសារខាងក្រោមសម្រាប់ព័ត៌មានលម្អិតនៃ ESGs និងកិច្ចសន្យា៖
“ក្រុមសុវត្ថិភាព Endpoint > Contracts” នៅក្នុងមគ្គុទ្ទេសក៍ការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាព Cisco APIC “ក្រុមសុវត្ថិភាព Endpoint > ESG Migration Strategy” នៅក្នុងការណែនាំអំពីការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាព Cisco APIC
សំណួរ. តើអ្វីជាតម្រូវការកំណែ Cisco APIC អប្បបរមាសម្រាប់អ្នកជ្រើសរើស ESG? A. ឧបករណ៍ជ្រើសរើស ESG ដែលគ្របដណ្តប់នៅក្នុងឯកសារនេះត្រូវបានគាំទ្រដោយចាប់ផ្តើមនៅក្នុងការចេញផ្សាយខាងក្រោម៖
EPG Selector Cisco APIC ចេញផ្សាយ 5.2(1) Tag ឧបករណ៍ជ្រើសរើស - ការចេញផ្សាយ Cisco APIC 5.2(1)
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 46 នៃ 49
IP Subnet Selector – Cisco APIC release 5.0(1) សូមមើល “Endpoint Security Groups > Selectors” នៅក្នុង Cisco APIC Security Guide ផងដែរ។
Q. តើសមត្ថភាពធ្វើមាត្រដ្ឋាននៃ ESG គឺជាអ្វី? ក. សូមមើលផ្នែក Endpoint Security Groups (ESG) នៅក្នុងមគ្គុទ្ទេសក៍ការធ្វើមាត្រដ្ឋានដែលបានផ្ទៀងផ្ទាត់សម្រាប់ Cisco APIC
Q. តើ ESGs ជួយយ៉ាងដូចម្តេចជាមួយនឹងការប្រើប្រាស់ធនធាន TCAM បើប្រៀបធៀបទៅនឹង EPGs? A. បរិមាណនៃធនធាន TCAM នៅលើកុងតាក់ដែលប្រើប្រាស់ដោយកិច្ចសន្យាជាមួយ EPGs ឬ ESGs គឺដូចគ្នា
នៅពេលដែលចំនួន EPGs/ESGs និងកិច្ចសន្យាគឺដូចគ្នា។ ទោះជាយ៉ាងណាក៏ដោយ ESGs ផ្តល់ឱ្យអ្នកនូវជម្រើសដែលអាចបត់បែនបានបន្ថែមទៀតដើម្បីបង្កើតក្រុមសុវត្ថិភាពដូចជាការប្រមូលផ្តុំ EPGs ជាច្រើនចូលទៅក្នុង ESG តែមួយ ហើយប្រើប្រាស់/ផ្តល់កិច្ចសន្យាពី ESG តែមួយជំនួសឱ្យ EPGs ច្រើន។ ជាលទ្ធផល ការប្រើប្រាស់ ESGs អាចជួយអ្នកបង្កើនប្រសិទ្ធភាពការប្រើប្រាស់ធនធាន TCAM នៅលើឧបករណ៍ប្តូរ។
សំណួរ: តើអ្វីជាអាទិភាពអ្នកជ្រើសរើស ESG? A. តារាងខាងក្រោមរាយបញ្ជីអាទិភាព។ នេះក៏ត្រូវបានចងក្រងជាឯកសារនៅក្នុង “ក្រុមសុវត្ថិភាពចុង > អាទិភាពនៃ
អ្នកជ្រើសរើស” នៅក្នុងការណែនាំអំពីការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាព Cisco APIC ។
តារាង 6 ។
អាទិភាពសម្រាប់ចរាចរណ៍ដែលបានប្តូរ
អាទិភាព ១
៦៧ ៨
អ្នកជ្រើសរើស Tag ឧបករណ៍ជ្រើសរើស (ចំណុចបញ្ចប់ MAC Tag) Tag ឧបករណ៍ជ្រើសរើស (ចំណុចបញ្ចប់ឋិតិវន្ត) Tag ឧបករណ៍ជ្រើសរើស (VMM Endpoint MAC Tag) ឧបករណ៍ជ្រើសរើស EPG
តារាង 7 ។
អាទិភាពសម្រាប់ចរាចរណ៍ផ្លូវ
អាទិភាព
អ្នកជ្រើសរើស
1
Tag ឧបករណ៍ជ្រើសរើស (IP ចំណុចបញ្ចប់ Tag)
ឧបករណ៍ជ្រើសរើសបណ្តាញរង IP (IP ម៉ាស៊ីន)
2
Tag ឧបករណ៍ជ្រើសរើស (បណ្តាញរង BD)
ឧបករណ៍ជ្រើសរើសបណ្តាញរង IP (បណ្តាញរង)
3
Tag ឧបករណ៍ជ្រើសរើស (ចំណុចបញ្ចប់ MAC Tag)
Tag ឧបករណ៍ជ្រើសរើស (ចំណុចបញ្ចប់ឋិតិវន្ត)
4
Tag ឧបករណ៍ជ្រើសរើស (VMM Endpoint MAC Tag)
5
ឧបករណ៍ជ្រើសរើស EPG
សំណួរ. តើអ្វីជាភាពខុសគ្នារវាងដែនដែលបានអានតែប៉ុណ្ណោះ និងអាន/សរសេរដែន VMM? A. VMware vCenter ដែន VMM មានជម្រើសរួមបញ្ចូលដូចខាងក្រោម៖
នៅក្នុងការអាន/សរសេរដែន VMM (ជម្រើសលំនាំដើម) អ្នកគ្រប់គ្រងបណ្តាញគ្រាន់តែគូសផែនទី EPG ទៅដែន VMM ។ ឧបករណ៍បញ្ជាបណ្តាញ (Cisco APIC) ជ្រើសរើស VLAN ដែលមិនប្រើពី VLAN បន្ថែម VLAN ទៅច្រកដែលប្រឈមមុខនឹងម៉ាស៊ីនទាំងអស់ និងកំណត់រចនាសម្ព័ន្ធក្រុមច្រកនៅលើ VMware vDS ដោយប្រើឈ្មោះ EPG និងលេខសម្គាល់ VLAN ត្រឹមត្រូវតាមរយៈ API សាធារណៈរបស់ VMware vCenter នៅក្នុង វិធីដូចគ្នាដែល Ansible/Terraform ធ្វើ។ វិធីសាស្រ្តនេះកាត់បន្ថយហានិភ័យនៃការមិនស៊ីគ្នា VLAN រវាងបណ្តាញរូបវន្ត និង vDS ។ ESG tag ឧបករណ៍ជ្រើសរើសជាមួយ VM tags ឬឈ្មោះ VM ពី VMware vCenter អាចប្រើបានតែនៅក្នុងរបៀបនេះប៉ុណ្ណោះ។
នៅក្នុងដែន VMM បានតែអាន ការកំណត់នៅក្នុង Cisco APIC មិនត្រូវបានផ្សព្វផ្សាយទៅ VMware vCenter ដើម្បីរក្សាការបំបែកដែនកំណត់រចនាសម្ព័ន្ធច្បាស់លាស់ ខណៈពេលដែលនៅតែផ្តល់ឱ្យអ្នកគ្រប់គ្រងបណ្តាញនៅលើ Cisco APIC នូវភាពមើលឃើញនៃក្រុមច្រក VLAN និង VMs នៅលើ VMware vCenter ។ នៅក្នុងរបៀបនេះ អ្នកគ្រប់គ្រងបណ្តាញកំណត់រចនាសម្ព័ន្ធ EPG ជាមួយនឹងលេខសម្គាល់ VLAN ដែលបានផ្តល់ឱ្យនៅលើច្រកដែលប្រឈមមុខនឹងម៉ាស៊ីនទាំងអស់ បន្ទាប់មកអ្នកគ្រប់គ្រងបណ្តាញជូនដំណឹងដល់អ្នកគ្រប់គ្រង VMware vCenter អំពីលេខសម្គាល់ VLAN ដែលអ្នកគ្រប់គ្រងអាចបង្កើតក្រុមច្រកនៅលើ vDS ជាមួយនឹង VLAN ដូចគ្នា លេខសម្គាល់។
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 47 នៃ 49
សំណួរ៖ តើឧបករណ៍សុវត្ថិភាពដូចជាជញ្ជាំងភ្លើង និង IPS ដែលត្រូវបានបញ្ចូលទៅក្នុងផ្លូវចរាចរណ៍ កំណត់អត្តសញ្ញាណសុវត្ថិភាពដោយរបៀបណា
ក្រុមនៅក្នុងការរចនាដែលផ្តោតលើកម្មវិធីដែលបណ្តាញរងអាចមិនត្រូវបានប្រើជាព្រំដែនក្រុមសុវត្ថិភាព?
A. កម្មវិធី និងកម្មវិធីជំនួយខាងក្រោមមាននាពេលបច្ចុប្បន្នសម្រាប់ការផ្សាយពាណិជ្ជកម្មសមាជិកភាព ESG៖
Cisco Adaptive Security Appliance (ASA) និង Cisco Firepower Threat Defense (FTD): Cisco ACI Endpoint Update
Palo Alto Networks Panorama៖ កម្មវិធីជំនួយ Panorama សម្រាប់ Cisco ACI (ផែនទីបង្ហាញផ្លូវ)
ប្រសិនបើឧបករណ៍សេវាកម្ម Layer 4 ដល់ Layer 7 របស់អ្នកខុសពីឧបករណ៍ដែលបានរាយខាងលើ ចំណុចបញ្ចប់ចំពោះព័ត៌មានសមាជិកភាព ESG អាចទាញយកបានដោយប្រើ Cisco APIC API ។ ដូច្នេះ អ្នកអាចប្រើស្គ្រីប ឬកម្មវិធីសាមញ្ញដើម្បីទាញយកព័ត៌មាន និងបង្កើតក្រុមសុវត្ថិភាពដែលមានតម្លៃស្មើនៅលើឧបករណ៍សេវាកម្មស្រទាប់ 4 ដល់ស្រទាប់ 7 ។
សំណួរ API ខាងក្រោមទាញយកចំណុចបញ្ចប់ទាំងអស់ និងអាសយដ្ឋាន IP ដែលពាក់ព័ន្ធពី ESG ជាក់លាក់មួយ៖
https://{{apic}}/api/mo/uni/tn-{{tenantName}}/ap-{{appProfileName}}/esg{{esgName}}.json?query-target=subtree&target-subtree-class=fvCEp&rspsubtree=children&rsp-subtree-class=fvIp
ការឆ្លើយតបរបស់ Cisco APIC រួមមានចំណុចបញ្ចប់នីមួយៗដែលភ្ជាប់ទៅ ESG និង (កន្លែងដែលមាន) អាសយដ្ឋាន IP ចំណុចបញ្ចប់៖
{ “fvCEp”: { “attributes”: { “annotation”: “”, “baseEpgDn”: “uni/tn-demo/ap-network-segments/epg-192.168.52.x_24”, “bdDn”: “uni /tn-demo/BD-192.168.52.x_24", "childAction": "deleteNonPresent", "contName": "email-service", "dn": "uni/tn-demo/ap-online-boutique-hx /esg-all-services/cep-
00:50:56:A1:81:D3", "encap": "vlan-1206", "esgUsegDn": "", "extMngdBy": "", "fabricPathDn": "topology/pod-1/paths- 102/pathep-[hx-dev-01-fi-b]”, “hostingServer”: “10.237.98.148”, “id”: “0”, “idepdn”: “”, “lcC”: “បានរៀន, vmm ”, “lcOwn”: “local”, “mac”: “00:50:56:A1:81:D3”, “mcastAddr”: “មិនអាចអនុវត្តបាន”, “modTs”: “2023-04-12T11:55 : 42.679+01:00”, “monPolDn”: “”, “ឈ្មោះ”: “00:50:56:A1:81:D3”, “nameAlias”: “”, “reportingControllerName”: “hx-dev-01 -vc01.uktme.cisco.com", "ស្ថានភាព": "", "uid": "0", "អ្នកប្រើប្រាស់": "ទាំងអស់",
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 48 នៃ 49
“uuid”: “”, “vmmSrc”: “dvs”, “vrfDn”: “uni/tn-demo/ctx-vrf-01” }, “children”: [ {
“fvIp”: { “attributes”: { “addr”: “192.168.52.31”, “annotation”: “”, “baseEpgDn”: “uni/tn-demo/ap-network-segments/epg-
192.168.52.x_24”, “bdDn”: “uni/tn-demo/BD-192.168.52.x_24”, “childAction”: “deleteNonPresent”, “createTs”: “2023-04-12T12:00 43.000:01”, “debugMACMessage”: “”, “esgUsegDn”: “”, “extMngdBy”: “”, “fabricPathDn”: “topology/pod-00/paths-1/pathep-[hx-dev-102-
fi-b]", "ទង់": "", "lcOwn": "មូលដ្ឋាន", "modTs": "2023-04-12T12:00:42.684+01:00", "monPolDn": "", "rn ”: “ip-[192.168.52.31]”, “ស្ថានភាព”: “”, “uid”: “0”, “userdom”: “ទាំងអស់”, “vrfDn”: “uni/tn-demo/ctx-vrf- ០១”
} } } ] } }
សូមមើលផងដែរ។
ការណែនាំអំពីការកំណត់រចនាសម្ព័ន្ធសុវត្ថិភាព Cisco APIC ចេញផ្សាយ 6.0(x)
ការបែងចែក និងការធ្វើចំណាកស្រុករបស់ ACI កាន់តែងាយស្រួលជាមួយ Endpoint Security Groups (ESG)
ស៊ីស្កូ ACI White Papers
© 2023 Cisco និង/ឬសាខារបស់វា។ រក្សារសិទ្ធគ្រប់យ៉ាង។ ឯកសារនេះគឺជាព័ត៌មានសាធារណៈរបស់ស៊ីស្កូ។
ទំព័រទី 49 នៃ 49
ឯកសារ/ធនធាន
 |
ក្រុមសន្តិសុខ CISCO ACI Endpoint [pdf] ការណែនាំអ្នកប្រើប្រាស់ ACI Endpoint Security Group, ACI, Endpoint Security Group, ក្រុមសន្តិសុខ, ក្រុម |
