CISCO ACI 虚拟机网络

产品信息

• 规格：
  • 支持的产品和供应商： 思科 ACI 支持来自各种产品和供应商的虚拟机管理器 (VMM)。请参阅思科 ACI 虚拟化兼容性表，了解经过验证的可互操作产品的最新列表。

产品使用说明

• 映射 Cisco ACI 和 VMware 构造： 思科以应用程序为中心的基础设施 (ACI) 和 VMware 使用不同的术语来描述相同的结构。下表提供了与 VMware vSphere Distributed Switch (VDS) 相关的 Cisco ACI 和 VMware 术语的映射。

思科 ACI 条款	VMware 条款
端点组 (EPG)	端口组、端口组
LACP 活动	LACP 被动
MAC固定	MAC 固定-物理-NIC-负载
静态通道 – 模式开启	虚拟机管理器 (VMM) 域 VDS
虚拟机控制器	vCenter（数据中心）

• 虚拟机管理器域主要组件：
  • ACI 结构虚拟机管理器 (VMM) 域允许管理员为虚拟机控制器配置连接策略。 ACI VMM 域策略的主要组件包括：
  • 虚拟机管理器 (VMM) 域
  • 虚拟机控制器
  • vCenter（数据中心）
  • 笔记： 单个 VMM 域可以包含 VM 控制器的多个实例，但它们必须来自同一供应商（例如 VMware 或 Microsoft）。
• 虚拟机管理器域：
  • APIC VMM 域专业人士file 是定义 VMM 域的策略。 VMM 域策略在 APIC 中创建并推送到叶子交换机中。 VMM 域提供以下功能：
• VMM 域 VLAN 池关联
  • VLAN 池代表流量 VLAN 标识符块。 VLAN 池是共享资源，可由多个域（例如 VMM 域和第 4 层到第 7 层服务）使用。
  • 一个VMM 域只能与一个动态VLAN 池关联。
  • 默认情况下，VLAN 标识符由 Cisco APIC 动态分配给与 VMM 域关联的 EPG。
  • 但是，管理员可以将 VLAN 标识符静态分配给端点组 (EPG)。
  • 在这种情况下，必须从与 VMM 域关联的 VLAN 池中的封装块中选择所使用的标识符，并且必须将其分配类型更改为静态。
  • Cisco APIC 根据 EPG 事件在叶端口上配置 VMM 域 VLAN，静态绑定在叶端口上，或者基于来自 VMware vCenter 或 Microsoft SCVMM 等控制器的 VM 事件。
  • 笔记： 在动态VLAN池中，如果某个VLAN与EPG解除关联，则5分钟后它会自动与EPG重新关联。
  • 动态 VLAN 关联不是配置回滚的一部分，这意味着如果 EPG 或租户最初被删除然后从备份中恢复，将自动从动态 VLAN 池中分配一个新的 VLAN。
• 常问问题：
  • Q: 思科 ACI 支持哪些产品和供应商？
  • A: 思科 ACI 支持来自各种产品和供应商的虚拟机管理器 (VMM)。请参阅思科 ACI 虚拟化兼容性表，了解最新的经过验证的可互操作产品列表。
  • Q: 我可以为 EPG 静态分配 VLAN 标识符，而不是动态分配吗？
  • A: 是的，您可以将 VLAN 标识符静态分配给与 VMM 域关联的端点组 (EPG)。但是，必须从与 VMM 域关联的 VLAN 池中的封装块中选择标识符，并且必须将分配类型更改为静态。
  • Q: 如果 VLAN 与动态 VLAN 池中的 EPG 解除关联，会发生什么情况？
  • A: 如果某个 VLAN 与动态 VLAN 池中的 EPG 解除关联，则 5 分钟后将自动与该 EPG 重新关联。
  • Q: 动态VLAN关联是配置回滚的一部分吗？
  • A: 不，动态 VLAN 关联不是配置回滚的一部分。如果 EPG 或租户最初被删除，然后从备份中恢复，则会自动从动态 VLAN 池中分配一个新的 VLAN。

本章包含以下部分：

• • 虚拟机管理器的 Cisco ACI VM 网络支持，第 1 页
  • 映射 Cisco ACI 和 VMware 构造，第 2 页
  • Virtual Machine Manager 域主要组件，第 3 页
  • Virtual Machine Manager 域，第 4 页
  • VMM 域 VLAN 池关联，第 4 页
  • VMM 域 EPG 关联，第 5 页
  • 关于中继端口组，第 7 页
  • 可附加实体专业版file，第 8 页
  • EPG 策略解析和部署即时性，第 9 页
  • 删除 VMM 域的准则，第 10 页
  • NetFlow 与虚拟机网络，第 11 页
  • VMM 连接故障排除，第 13 页

网络支持

虚拟机管理器的 Cisco ACI VM 网络支持

ACI 虚拟机网络的优势

• 思科以应用为中心的基础设施 (ACI) 虚拟机 (VM) 网络支持来自多个供应商的虚拟机管理程序。
• 它提供虚拟机管理程序对高性能可扩展虚拟化数据中心基础设施的可编程和自动化访问。
• 可编程性和自动化是可扩展数据中心虚拟化基础设施的关键特性。
• 思科 ACI 开放 REST API 支持虚拟机与基于策略模型的思科 ACI 结构的集成和编排。
• Cisco ACI VM 网络支持在由多个供应商的虚拟机管理程序管理的虚拟和物理工作负载中一致执行策略。
• 可附加实体专业版file可以轻松实现虚拟机移动性以及将工作负载放置在 Cisco ACI 结构中的任何位置。
• 思科应用策略基础设施控制器 (APIC) 提供集中故障排除、应用程序运行状况评分和虚拟化监控。
• 思科 ACI 多管理程序虚拟机自动化减少或消除了手动配置和手动错误。这使得虚拟化数据中心能够可靠且经济高效地支持大量虚拟机。

支持的产品和供应商

• 思科 ACI 支持以下产品和供应商的虚拟机管理器 (VMM)：
• 思科统一计算系统管理器 (UCSM)
• 整合 从 Cisco Cisco APIC 版本 4.1(1) 开始支持 Cisco UCSM。有关信息，请参阅《Cisco ACI 虚拟化指南》版本 4.1(1) 中的“Cisco ACI 与 Cisco UCSM 集成”一章。

思科以应用为中心的基础设施 (ACI) 虚拟 Pod (iPod)

• Cisco ACI vPod 从 Cisco APIC 版本 4.0(2) 开始全面上市。有关信息，请参阅 Cisco ACI vPod 文档： 思科公司.

Cloud Foundry

• 从 Cisco APIC 版本 3.1(2) 开始，支持 Cloud Foundry 与 Cisco ACI 集成。有关信息，请参阅知识库文章 Cisco ACI 和 Cloud Found Integration 思科公司.

Kubernetes

• 有关信息，请参阅知识库文章， 思科 ACI 和 Kubernetes 集成 on 思科公司.

Microsoft 系统中心虚拟机管理器 (SCVMM)

• 有关信息，请参阅《Cisco ACI with Microsoft SCVMM》和“Cisco ACI with Microsoft Windows Azure Pack”章节。 思科 ACI 虚拟化指南 on 思科公司.

OpenShift

• 有关信息，请参阅 OpenShift 文档。 在 思科公司.

OpenStack

• 有关信息，请参阅 OpenStack 文档 on 思科公司.

Red Hat 虚拟化 (RHV)

• 有关信息，请参阅知识库文章， 思科 ACI 和红帽集成。 在 思科公司.

VMware 虚拟分布式交换机 (VDS)

• 有关信息，请参阅《Cisco“ACI 与 VMware VDS 集成”》一章 思科 ACI 虚拟化指南.
• 查看 思科 ACI 虚拟化兼容性表。获取经过验证的可互操作产品的最新列表。

映射 Cisco ACI 和 VMware 构造

思科以应用程序为中心的基础设施 (ACI) 和 VMware 使用不同的术语来描述相同的结构。本节提供了 Cisco ACI 和 VMware 术语的对应表；该信息与 VMware vSphere Distributed Switch (VDS) 相关。

思科 ACI 条款	VMware 条款
端点组 (EPG)	端口组、端口组

思科 ACI 条款	VMware 条款
LACP 活动	•  基于 IP 哈希的路由（下行链路端口组） •  LACP 启用/活动（上行链路端口组）
LACP 被动	•  基于 IP 哈希的路由（下行链路端口组） •  LACP 启用/活动（上行链路端口组）
MAC固定	•  基于原始虚拟端口的路由 •  LACP 已禁用
MAC 固定-物理-NIC-负载	• 基于物理网卡负载的路由 •  LACP 已禁用
静态通道 – 模式开启	•  基于 IP 哈希的路由（下行链路端口组） •  LACP 已禁用
虚拟机管理器 (VMM) 域	电压差分信号
虚拟机控制器	vCenter（数据中心）

Virtual Machine Manager 域主要组件

ACI 结构虚拟机管理器 (VMM) 域使管理员能够配置虚拟机控制器的连接策略。 ACI VMM 域策略的基本组件包括以下内容：

• 虚拟机管理器 Domain Profile—将具有相似网络策略要求的虚拟机控制器分组。对于前amp根据文件，VM 控制器可以共享 VLAN 池和应用程序端点组 (EPG)。 APIC 与控制器通信以发布网络配置，例如端口组，然后将其应用于虚拟工作负载。 VMM 域专业版file 包括以下基本组件：
• 凭据-将有效的 VM 控制器用户凭据与 APIC VMM 域关联。
• 控制器-指定如何连接到属于策略实施域的 VM 控制器。
• 例如amp在该文件中，控制器指定与属于 VMM 域的 VMware vCenter 的连接。

笔记

单个 VMM 域可以包含 VM 控制器的多个实例，但它们必须来自同一供应商（例如amp文件，来自 VMware 或 Microsoft。

• EPG协会—端点组在 VMM 域策略范围内调节端点之间的连接性和可见性。 VMM 域 EPG 的行为如下： APIC 将这些 EPG 作为端口组推送到 VM 控制器中。一个EPG可以跨越多个VMM域，一个VMM域可以包含多个EPG。
• 可附加实体专业版file 协会-将 VMM 域与物理网络基础结构关联。可附加实体专业版file (AEP) 是一个网络接口模板，支持在大量叶子交换机端口上部署 VM 控制器策略。 AEP 指定哪些交换机和端口可用以及它们的配置方式。
• VLAN池关联—A VLAN 池指定 VMM 域使用的用于 VLAN 封装的 VLAN ID 或范围。

虚拟机管理器域

• APIC VMM 域专业人士file 是定义 VMM 域的策略。 VMM 域策略在 APIC 中创建并推送到叶子交换机中。

VMM 域提供以下功能：

• ACI 结构中的公共层，可为多个 VM 控制器平台提供可扩展的容错支持。
• VMM 支持 ACI 结构内的多个租户。 VMM 域包含 VM 控制器（例如 VMware vCenter 或 Microsoft SCVMM Manager）以及 ACI API 与 VM 控制器交互所需的凭据。
• VMM 域在域内启用 VMmobility，但不能跨域。
• 单个 VMM 域可以包含多个 VM 控制器实例，但它们必须是同一类型。
• 例如amp根据文件，VMM 域可以包含许多管理多个控制器的 VMware vCenter，每个控制器运行多个虚拟机，但它可能不包含 SCVMM 管理器。
• VMM 域清点控制器元素（例如 pNIC、vNIC、VM 名称等）并将策略推送到控制器中，创建端口组和其他必要的元素。
• ACI VMM 域侦听控制器事件（例如 VM 移动性）并做出相应响应。

VMM 域 VLAN 池关联

• VLAN 池代表流量 VLAN 标识符块。 VLAN 池是共享资源，可由多个域（例如 VMM 域和第 4 层到第 7 层服务）使用。
• 每个池都有一个分配类型（静态或动态），在创建时定义。
• 分配类型决定其中包含的标识符是由 Cisco APIC 自动分配（动态）还是由管理员明确设置（静态）。
• 默认情况下，VLAN 池中包含的所有块都具有与池相同的分配类型，但用户可以将动态池中包含的封装块的分配类型更改为静态。这样做会将它们排除在动态分配之外。
• 一个VMM 域只能与一个动态VLAN 池关联。
• 默认情况下，将 VLAN 标识符分配给与 VMM 域关联的 EPG 是由 Cisco APIC 动态完成的。
• 虽然动态分配是默认和首选配置，但管理员可以将 VLAN 标识符静态分配给端点组 (EPG)。
• 在这种情况下，所使用的标识符必须从与 VMM 域关联的 VLAN 池中的封装块中选择，并且它们的分配类型必须更改为静态。
• Cisco APIC 根据 EPG 事件在叶端口上配置 VMM 域 VLAN，静态绑定在叶端口上，或者基于来自 VMware vCenter 或 Microsoft SCVMM 等控制器的 VM 事件。

笔记

• 在动态VLAN池中，如果某个VLAN与EPG解除关联，则5分钟后会自动重新与EPG关联。

笔记

• 动态 VLAN 关联不是配置回滚的一部分，也就是说，如果 EPG 或租户最初被删除，然后从备份中恢复，则会从动态 VLAN 池中自动分配新的 VLAN。

VMM 域 EPG 协会

思科以应用程序为中心的基础设施 (ACI) 结构将租户应用程序专业人员关联起来file 端点组 (EPG) 到虚拟机管理器 (VMM) 域，思科 ACI 可以通过 Microsoft Azure 等编排组件自动执行此操作，也可以由创建此类配置的思科应用策略基础设施控制器 (APIC) 管理员自动执行此操作。一个EPG可以跨越多个VMM域，一个VMM域可以包含多个EPG。

在上图中，相同颜色的端点 (EP) 是同一 EPG 的一部分。对于前amp例如，所有绿色 EP 都在同一个 EPG 中，尽管它们位于两个不同的 VMM 域中。有关虚拟网络和 VMM 域 EPG 容量信息，请参阅最新的 Cisco ACI 验证可扩展性指南。

笔记

• 如果多个 VMM 域在同一端口上没有重叠的 VLAN 池，则它们可以连接到同一分支交换机。
• 同样，如果不同域不使用叶子交换机的相同端口，则可以在不同域之间使用相同的 VLAN 池。

EPG 可以通过以下方式使用多个 VMM 域：

• VMM域内的EPG通过封装标识符来标识。 Cisco APIC 可以自动管理标识符，管理员也可以静态选择它。前任ample 是一个 VLAN，一个虚拟网络 ID (VNID)。
• 一个 EPG 可以映射到多个物理域（对于裸机服务器）或虚拟域。它可以在每个域中使用不同的 VLAN 或 VNID 封装。

笔记

• 默认情况下，Cisco APIC 动态管理 EPG 的 VLAN 分配。
• VMware DVS 管理员可以选择为 EPG 配置特定 VLAN。
• 在这种情况下，VLAN 是从与 VMM 域关联的池内的静态分配块中选择的。
• 应用程序可以跨 VMM 域部署。
• 虽然支持 VMM 域内的 VM 实时迁移，但不支持跨 VMM 域的 VM 实时迁移。

笔记

• 当您更改链接到具有关联 VMM 域的 EPG 的桥接域上的 VRF 时，端口组将被删除，然后重新添加到 vCenter 上。
• 这会导致 EPG 从 VMM 域取消部署。这是预期的行为。

关于干线端口组

• 您可以使用中继端口组来聚合 VMware 虚拟机管理器 (VMM) 域的端点组 (EPG) 的流量。
• 与在思科应用策略基础设施控制器 (APIC) GUI 的租户选项卡下配置的常规端口组不同，中继端口组在虚拟机网络选项卡下配置。
• 常规端口组遵循 EPG 名称的 T|A|E 格式。
• 同一域下的EPG的聚合是基于VLAN范围的，该范围被指定为Trunk端口组中包含的封装块。
• 每当 EPG 的封装发生更改或中继端口组的封装块发生更改时，都会重新评估聚合以确定是否应聚合 EGP。
• 中继端口组控制分配给聚合的 EPG 的网络资源（例如 VLAN）的叶子部署。
• EPG 包括基本 EPG 和微分段 (uSeg) EPG。对于用户EPG，Trunk端口组的VLAN范围需要同时包括Primary VLAN和Secondary VLAN。

有关详细信息，请参阅以下过程：

• 使用 GUI 创建中继端口组.
• 使用 NX-OS 风格 CLI 创建中继端口组.
• 使用 REST API 创建中继端口组.

可附加实体专业版file

ACI 结构提供多个连接点，通过叶端口连接到各种外部实体，例如裸机服务器、虚拟机管理程序、第 2 层交换机（例如amp文件，Cisco UCS 交换矩阵互连）或第 3 层路由器（例如ampCisco Nexus 7000 系列交换机）。这些连接点可以是叶子交换机上的物理端口、FEX 端口、端口通道或虚拟端口通道 (vPC)。

笔记

在两台叶子交换机之间创建 VPC 域时，两台交换机必须属于同一交换机代，属于以下其中一项：

• 第一代 – Cisco Nexus N9K 交换机名称末尾不带“EX”或“FX”；对于前任amp乐，N9K-9312TX
• 第一代 – Cisco Nexus N9K 交换机型号名称末尾带有“EX”或“FX”；对于前任amp勒，N9K-93108TC-EX

这两个交换机与 VPC 对等体不兼容。相反，请使用同一代的交换机。可附加实体专业版file （AEP）代表一组具有相似基础设施政策要求的外部实体。基础设施策略由配置各种协议选项的物理接口策略组成，例如思科发现协议 (CDP)、链路层发现协议 (LLDP) 或链路聚合控制协议 (LACP) 在枝叶交换机上部署 VLAN 池需要 AEP 。封装块（以及关联的 VLAN）可以在枝叶交换机之间重复使用。 AEP 隐式向物理基础设施提供 VLAN 池的范围。在各种配置场景中必须考虑以下 AEP 要求和依赖关系，包括网络连接、VMM 域和多 Pod 配置：

• AEP 定义了允许的 VLAN 范围，但不提供它们。除非在端口上部署 EPG，否则不会有流量流动。如果未在 AEP 中定义 VLAN 池，即使调配了 EPG，叶端口上也不会启用 VLAN。
• 在叶端口上配置或启用特定 VLAN，该 VLAN 基于静态绑定在叶端口上的 EPG 事件或基于来自外部控制器（例如 VMware vCenter 或 Microsoft Azure 服务中心虚拟机管理器 (SCVMM)）的 VM 事件。
• 附实体亲file可以直接与应用程序 EPG 关联，后者将关联的应用程序 EPG 部署到与所连接的实体 pro 关联的所有端口file。 AEP 具有可配置的通用函数 (infraGeneric)，其中包含与 EPG (infraRsFuncToEpg) 的关系，该函数部署在属于与可附加实体 pro 关联的选择器一部分的所有接口上。file.
• 虚拟机管理器 (VMM) 域自动从 AEP 的接口策略组派生物理接口策略。
• AEP 上的覆盖策略可用于为 VMM 域指定不同的物理接口策略。此策略在 VM 控制器通过中间第 2 层节点连接到叶子交换机，并且叶子交换机和 VM 控制器物理端口需要不同的策略的情况下非常有用。对于前amp通过该文件，可以在Leaf交换机和二层节点之间配置LACP。同时，您可以通过在 AEP 覆盖策略下禁用 LACP 来禁用 VM 控制器和二层交换机之间的 LACP。

部署即时性

EPG策略解析和部署即时性

每当端点组 (EPG) 关联到虚拟机管理器 (VMM) 域时，管理员都可以选择分辨率和部署首选项来指定何时应将策略推送到分支交换机。

解决即时性

• 预置： 指定一个策略（例如amp文件、VLAN、VXLAN 绑定、合同或过滤器）甚至在 VM 控制器连接到虚拟交换机之前（例如amp文件，VMware vSphere 分布式交换机 (VDS)。这会预先配置交换机上的配置。
• 这有助于管理程序/VM 控制器的管理流量也使用与思科应用策略基础设施控制器 (APIC) VMM 域（VMM 交换机）关联的虚拟交换机。
• 在思科应用中心基础设施 (ACI) 枝叶交换机上部署 VMM 策略（例如 VLAN）需要 Cisco APIC 通过 VM 控制器和思科 ACI 枝叶交换机从两个虚拟机管理程序收集 CDP/LLDP 信息。但是，如果 VM 控制器应该使用相同的 VMM 策略（VMM 交换机）与其虚拟机管理程序甚至 Cisco APIC 进行通信，则永远无法收集虚拟机管理程序的 CDP/LLDP 信息，因为 VM 控制器/虚拟机管理程序所需的策略管理流量尚未部署。
• 使用预配置即时性时，策略会下载到 Cisco ACI 分支交换机，无论
• CDP/LLDP 邻居。即使没有连接到 VMM 交换机的管理程序主机。
• 即时： 指定在 ESXi 主机连接到 DVS 时将 EPG 策略（包括合同和过滤器）下载到关联的分支交换机软件。 LLDP 或 OpFlex 权限用于将 VM 控制器解析为叶节点连接。
• 当您将主机添加到 VMM 交换机时，该策略将下载到 Leaf。需要从主机到叶子的 CDP/LLDP 邻居。
• 一经请求： 指定一个策略（例如amp仅当 ESXi 主机连接到 DVS 并且虚拟机放置在端口组 (EPG) 中时，才会将文件、VLAN、VXLAN 绑定、合同或过滤器推送到叶节点。
• 当主机添加到 VMM 交换机时，策略将下载到叶子。需要将虚拟机放入端口组 (EPG) 中。需要从主机到叶子的 CDP/LLDP 邻居。对于即时和按需，如果主机和叶子失去 LLDP/CDP 邻居，策略将被删除。

笔记

• 在基于 OpFlex 的 VMM 域中，虚拟机管理程序上的 OpFlex 代理会将 EPG 的 VM/EP 虚拟网络接口卡 (vNIC) 连接报告给叶 OpFlex 进程。
• 使用按需解决即时性时，如果满足以下条件，则 EPG VLAN/VXLAN 会在所有叶端口通道端口、虚拟端口通道端口或两者上进行编程：
  • 管理程序连接到直接连接或通过刀片交换机连接的端口通道或虚拟端口通道上的叶子。
  • VM 或实例 vNIC 附加到 EPG。
  • 虚拟机管理程序作为 EPG 或 VMM 域的一部分附加。
• 基于 Opflex 的 VMM 域包括 Microsoft 安全中心虚拟机管理器 (SCVMM) 和 HyperV，以及思科应用虚拟交换机 (AVS)。

部署即时性

• 将策略下载到叶软件后，部署即时性可以指定何时将策略推入硬件策略内容可寻址存储器 (CAM)。
• 即时： 指定一旦将策略下载到叶软件中，就将策略编程到硬件策略 CAM 中。
• 一经请求： 指定仅当通过数据路径接收到第一个数据包时才将策略编程到硬件策略 CAM 中。此过程有助于优化硬件空间。

笔记

• 当您将按需部署即时性与 MAC 固定的 VPC 结合使用时，EPG 合同不会推送到叶三元内容可寻址内存 (TCAM)，直到在每个叶上的 EPG 中获知第一个终端节点。
• 这可能会导致 VPC 对等方之间的 TCAM 利用率不均匀。 （通常情况下，合同会被推送给双方。）

删除 VMM 域的准则

请按照以下顺序操作，以确保删除 VMM 域的 APIC 请求自动触发关联的 VM 控制器（例如ampVMware vCenter 或 Microsoft SCVMM）正常完成该过程，并且没有孤立的 EPG 滞留在 ACI 结构中。

1. VM 管理员必须将所有 VM 从 APIC 创建的端口组（对于 VMware vCenter）或 VM 网络（对于 SCVMM）分离。对于 Cisco AVS，VM 管理员还需要删除与 Cisco AVS 关联的 VMK 接口。
2. ACI 管理员删除 APIC 中的 VMM 域。 APIC 触发删除 VMware VDS Cisco AVS 或 SCVMM 逻辑交换机及关联对象。

笔记

VM管理员不应删除虚拟交换机或关联对象（例如端口组或VM网络）；完成上述步骤 2 后，允许 APIC 触发虚拟交换机删除。如果 VM 管理员在 APIC 中删除 VMM 域之前从 VM 控制器删除虚拟交换机，则 EPG 可能会在 APIC 中成为孤立的。如果不遵循此顺序，VM 控制器将删除与 APIC VMM 域关联的虚拟交换机。在这种情况下，VM 管理员必须手动从 VM 控制器中删除 VM 和 VTEP 关联，然后删除先前与 APIC VMM 域关联的虚拟交换机。

NetFlow 与虚拟机网络

关于 NetFlow 与虚拟机网络

• NetFlow 技术为一组关键应用程序提供了计量基础，包括网络流量统计、基于使用情况的网络计费、网络规划以及服务提供商和服务提供商的拒绝服务监控、网络监控、出站营销和数据挖掘。企业客户。
• 思科提供了一组 NetFlow 应用程序来收集 NetFlow 导出数据、执行数据量缩减、执行后处理，并为最终用户应用程序提供对 NetFlow 数据的轻松访问。
• 如果您已启用对流经数据中心的流量进行 NetFlow 监控，则此功能使您能够对流经思科应用中心基础设施 (Cisco ACI) 结构的流量执行相同级别的监控。
• 记录不是直接由硬件将记录导出到收集器，而是在管理引擎中进行处理，并以所需的格式导出到标准 NetFlow 收集器。有关 NetFlow 的更多信息，请参阅 Cisco APIC 和 NetFlow 知识库文章。

关于虚拟机网络的 NetFlow Exporter 策略

虚拟机管理器导出器策略 (netflowVmmExporterPol) 描述有关为发送到报告服务器或 NetFlow 收集器的流收集的数据的信息。 NetFlow 收集器是一个外部实体，支持标准 NetFlow 协议并接受标记有有效 NetFlow 标头的数据包。
出口商政策具有以下属性：

• VmmExporterPol.dstAddr—此强制属性指定接受 NetFlow 流数据包的 NetFlow 收集器的 IPv4 或 IPv6 地址。它必须采用主机格式（即“/32”或“/128”）。 vSphere Distributed Switch (vDS) 版本 6 及更高版本支持 IPv6.0 地址。
• VmmExporterPol.dstPort—此强制属性指定 NetFlow 收集器应用程序正在侦听的端口，这使得收集器能够接受传入连接。
• VmmExporterPol.srcAddr—此可选属性指定用作导出的 NetFlow 流数据包中的源地址的 IPv4 地址。

VMware vSphere Distributed Switch 的 NetFlow 支持

VMware vSphere Distributed Switch (VDS) 支持 NetFlow，但有以下注意事项：

• 外部收集器必须可通过 ESX 访问。 ESX 不支持虚拟路由和转发 (VRF)。
• 端口组可以启用或禁用 NetFlow。
• VDS 不支持流级过滤。

在 VMware vCenter 中配置以下 VDS 参数：

• 收集器IP地址和端口。 VDS 版本 6 或更高版本支持 IPv6.0。这些都是强制性的。
• 源IP地址。这是可选的。
• 活动流超时、空闲流超时、samp灵率。这些都是可选的。

使用 GUI 配置 VM 网络的 NetFlow 导出器策略
以下过程为 VM 网络配置 NetFlow 导出器策略。

程序

• 步 1 在菜单栏上选择“结构 > 访问策略”。
• 步 2 在导航窗格中，展开策略 > 接口 > NetFlow。
• 步 3 右键单击用于 VM 网络的 NetFlow 导出器，然后选择创建用于 VM 网络的 NetFlow 导出器。
• 步 4 在“为 VM 网络创建 NetFlow 导出器”对话框中，根据需要填写字段。
• 步 5 单击“提交”。

使用 GUI 在 VMM 域下使用 NetFlow 导出器策略

以下过程使用 GUI 使用 VMM 域下的 NetFlow 导出器策略。

程序

• 步骤 1 在菜单栏上选择“虚拟网络 > 清单”。
• 步骤 2 在导航窗格中，展开 VMMDomains 文件夹，右键单击 VMware，然后选择创建中心域。
• 步骤 3 在创建 vCenter 域对话框中，根据需要填写字段（指定字段除外）：
  • a) 在 NetFlow 导出器策略下拉列表中，选择所需的导出器策略或创建新策略。
  • b) 在活动流超时字段中，输入所需的活动流超时（以秒为单位）。活动流超时参数指定活动流启动后 NetFlow 等待的延迟时间，之后 NetFlow 发送收集的数据。范围为 60 到 3600。默认值为 60。
  • c) 在空闲流超时字段中，输入所需的空闲流超时（以秒为单位）。空闲流超时参数指定空闲流启动后 NetFlow 等待的延迟时间，之后 NetFlow 发送收集的数据。范围为 10 到 300。默认值为 15。
  • d) （仅限 VDS）在 S 中ampling Rate字段，输入所需的samp灵率。 Sampling Rate 参数指定 NetFlow 在收集每个数据包后将丢弃多少数据包。如果指定值 0，则 NetFlow 不会丢弃任何数据包。范围是 0 到 1000。默认值为 0。
• 步骤 4 单击“提交”。

使用 GUI 在端点组上启用 NetFlow 与 VMM 域关联

以下过程启用端点组上的 NetFlow 与 VMM 域关联。
开始之前
您必须已配置以下内容：

• 应用程序专业人士file
• 应用程序端点组

程序

• 步 1 在菜单栏上选择“租户 > 所有租户”。
• 步 2 在“工作”窗格中，双击租户的名称。
• 步 3 在左侧导航窗格中，展开tenant_name > Application Profiles > application_profile_name > 应用程序 EPG > application_EPG_name
• 步 4 右键单击域（VM 和裸机）并选择添加 VMM 域关联。
• 步 5 在“添加VMM域关联”对话框中，根据需要填写字段；但是，在 NetFlow 区域中，选择启用。
• 步 6 单击“提交”。

VMM 连接故障排除

以下过程可解决 VMM 连接问题：

程序

• 步骤 1 在应用程序策略基础设施控制器 (APIC) 上触发清单重新同步。有关如何在 APIC 上触发库存重新同步的更多信息，请参阅以下知识库文章：
  http://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/kb/b_KB_VMM_OnDemand_Inventory_in_APIC.html.
• 步骤 2 如果步骤 1 未能解决问题，对于受影响的 EPG，请立即将分辨率设置为在 VMM 域中使用预配置。 “预配置”消除了对邻居邻接或 OpFlex 权限的需要，从而消除了 VMM 域 VLAN 编程的动态特性。有关立即解决类型的更多信息，请参阅以下 EPG 策略立即解决和部署部分：
  http://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/1-x/aci-fundamentals/b_ACI-Fundamentals/b_ACI-Fundamentals_chapter_01011.html#concept_EF87ADDAD4EF47BDA741EC6EFDAECBBD.
• 步骤 3 如果步骤 1 和 2 未能解决问题，并且您在所有虚拟机上都看到该问题，则删除虚拟机控制器策略并读取该策略。
• 笔记 删除控制器策略会影响该控制器上所有虚拟机的流量。思科 ACI 虚拟机网络。

文件/资源

CISCO ACI 虚拟机网络 [pdf] 用户指南 ACI 虚拟机网络、ACI、虚拟机网络、机器网络、网络

参考

• 用户手册