1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Báo cáo thực tập tốt nghiệp Đề tài nghiên cứu giao thức sdn trong mạng ip của mobifone

94 1 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Nghiên Cứu Giao Thức Sdn Trong Mạng Ip Của Mobifone
Tác giả Lê Công Nam
Người hướng dẫn Ths. Mai Thị Thu Hương
Trường học Trường Đại Học Giao Thông Vận Tải
Chuyên ngành Kỹ thuật viễn thông
Thể loại báo cáo thực tập tốt nghiệp
Năm xuất bản 2024
Thành phố Hà Nội
Định dạng
Số trang 94
Dung lượng 22,81 MB

Cấu trúc

  • PHẦN 1: GIỚI THIỆU VỀ CÔNG TY, ĐỊA ĐIỂM THỰC TẬP (6)
    • 1.1. Tổng công ty viễn thông Mobifone (6)
      • 1.1.1. Quá trình phát triển (6)
      • 1.1.2. Cơ cấu tổ chức (9)
    • 1.2. Trung tâm Quản lý, Điều hành mạng (NOC) (10)
      • 1.2.1. Chức năng, nhiệm vụ của NOC (11)
      • 1.2.2. Cơ cấu tổ chức (11)
    • 1.3 Phòng Kỹ thuật – Trung tâm Quản lý, Điều hành mạng (NOC) (14)
      • 1.3.1. Chức năng phòng kỹ thuật (14)
      • 1.3.2. Nhiệm vụ phòng kỹ thuật (14)
  • PHẦN 2: NỘI DUNG THỰC TẬP (16)
    • 2.1. Nhiệm vụ được giao (16)
    • 2.2. Triển khai, xử lý yêu cầu, nhiệm vụ được giao (16)
  • CHƯƠNG 1: GIỚI THIỆU VỀ CISCO ACI (16)
    • 1.1. Cisco ACI là gì? (16)
    • 1.2. Cisco ACI Topology (18)
      • 1.2.1. Mô hình tổng quan (18)
      • 1.2.2. Cisco APIC (19)
      • 1.2.3. Cisco Nexus 9000 Series Hardware (20)
    • 1.3. ACI Fabric discovery (23)
    • 1.4. Cisco ACI access policies (24)
    • 1.5. Cisco ACI Object model (27)
  • CHƯƠNG 2: CẤU TRÚC LOGIC CISCO ACI (29)
    • 2.1. Tenant (29)
    • 2.2. VRF (Virtual Routing and Forwarding) (30)
    • 2.3. BD (Bridge Domain) (31)
    • 2.4. EPG (Endpoint group) (32)
    • 2.5. ANP (Application network profile) (33)
    • 2.6. Contracts (33)
  • CHƯƠNG 3: CHUYỂN TIẾP GÓI TIN TRONG CISCO ACI (35)
    • 3.1. Endpoint Learning (35)
    • 3.2. Cấu hình bridge domain cơ bản (37)
    • 3.3. Quá trình chuyển tiếp gói tin ở lớp 2 trong Cisco ACI (39)
    • 3.4. Quá trình xử lý gói tin ARP trong Cisco ACI (40)
    • 3.5. Chuyển tiếp gói tin lớp 3 trong Cisco ACI (41)
  • CHƯƠNG 4: GIỚI THIỆU KẾT NỐI MẠNG BÊN NGOÀI (43)
    • 4.1. External Layer 3 Network Connectivity (43)
    • 4.2. L3Out (45)
    • 4.3. Cấu hình External Layer 3 Network Connectivity (49)
  • CHƯƠNG 5: TÍCH HỢP VMM (55)
    • 5.1. Tích hợp VMware vCenter VDS (55)
    • 5.2. Resolution immediacy trong VMM (61)
    • 5.3. Deployment immediacy trong VMM (63)
    • 5.4. Alternative VMM Integrations (63)
  • CHƯƠNG 6: MÔ TẢ TÍCH HỢP L4 ĐẾN L7 (67)
    • 6.1. Chèn các dịch vụ không dùng Service Graph (67)
    • 6.2. Chèn các dịch vụ dùng ACI L4-L7 Service Graph (68)
    • 6.3. Quy trình hoạt động Service Graph (70)
  • CHƯƠNG 7: PHƯƠNG PHÁP QUẢN TRỊ CISCO ACI (73)
    • 7.1. Out - of - band management (73)
    • 7.2. In - Band Management (75)
  • CHƯƠNG 8: MÔ PHỎNG CISCO ACI (77)
    • 8.1. Topology (77)
    • 8.2. Mô phỏng (77)
      • 8.2.1. Cấu hình cơ bản (77)
      • 8.2.2. Tạo VMware VMM Domain trong Cisco ACI (83)
      • 8.2.3. Áp dụng Interface Configuration (84)
      • 8.2.4. Tạo Tenant và Application Profile (85)
      • 8.2.5. Tạo Filters và Contracts (89)
      • 8.2.6. Tạo Endpoint Security Group (90)
      • 8.2.7. Khôi phục cấu hình (91)
  • PHẦN 3: KẾT LUẬN (93)
  • Tài liệu tham khảo (94)

Nội dung

1.2.1.Chức năng, nhiệm vụ của NOCQuản lý, vận hành, bảo dưỡng cơ sở hạ tầng, thiết bị mạng truyền dẫn và thiết bị phầnmạng lõi bao gồm: Kết nối từ giao diện IuCS/PS trở lên, hệ thống cun

GIỚI THIỆU VỀ CÔNG TY, ĐỊA ĐIỂM THỰC TẬP

Tổng công ty viễn thông Mobifone

MobiFone được thành lập ngày 16/4/1993 với tên gọi ban đầu là Công ty thông tin di động – là doanh nghiệp đầu tiên tại Việt Nam khai thác dịch vụ thông tin di động 900/1800 Ngày 01/12/2014, Công ty được chuyển đổi thành Tổng công ty Viễn thông MobiFone, trực thuộc Bộ Thông tin và Truyền thông, kinh doanh trong các lĩnh vực: dịch vụ viễn thông truyền thống, VAS, Data, Internet, sản phẩm khách hàng doanh nghiệp, dịch vụ công nghệ thông tin, bán lẻ và phân phối, đầu tư nước ngoài.

- Top 500 doanh nghiệp xuất sắc nhất khu vực Đông Nam Á - Fortune Southeast Asia 500

- Được bình chọn là “Nhà cung cấp dịch vụ Viễn thông tiêu biểu về Chăm sóc khách hàng và chương trình khuyến mãi Băng thông rộng di động”.

- Đạt 5 giải thưởng Sao Khuê cho các giải pháp, sản phẩm mới: Dịch vụ Truyền hình Internet đa nền tảng ClipTV, Dịch vụ trò chơi đám mây MobiGame (Cloud Gaming), Sổ tay Đảng viên điện tử, Nền tảng giải trí MobiOn Platform.

- mobiAgri giành giải Bạc - giải thưởng ASEAN Digital Awards 2024.

- Top 50 Doanh nghiệp Sáng tạo và Kinh doanh hiệu quả Việt Nam 2024 (VIE50).

- Top 10 Doanh nghiệp Sáng tạo và Kinh doanh hiệu quả Việt Nam 2024 trong các ngành kinh tế trọng điểm (VIE10).

- mobiEdu lọt Top 100 Sản phẩm, Dịch vụ Đổi mới, Sáng tạo Hiệu quả của năm

- Nhận bằng khen Doanh nghiệp tiêu biểu vì Người lao động năm 2024.

Hình 1.1 Quá trình hình thành phát triển của tổng công ty

- Thành lập Công ty Thông tin di động với lĩnh vực kinh doanh chính là dịch vụ viễn thông di động.

- MobiFone là nhà mạng di động đầu tiên tại Việt Nam với slogan Mọi lúc – Mọi nơi.

- Giám đốc Công ty: Ông Đinh Văn Phước.

- Thành lập Trung tâm Thông tin di động Khu vực I tại Hà Nội.

- Thành lập Trung tâm Thông tin di động Khu vực II tại TP Hồ Chí Minh.

- Ra mắt gói cước trả sau đầu tiên (tiền thân của MobiGold).

- Thành lập Trung tâm Thông tin di động Khu vực III tại Đà Nẵng.

- Công ty Thông tin di động ký Hợp đồng hợp tác kinh doanh (BCC) kéo dài 10 năm với Tập đoàn Kinnevik/Comvik (Thụy Điển).

- Mở rộng vùng phủ sóng tại miền Bắc, miền Trung, miền Nam với hơn 20 tỉnh thành.

- Thành lập Xí nghiệp Thiết kế trực thuộc Tổng công ty (năm 1997).

- Vinh dự đón nhận Huân chương Lao động hạng 3 năm 1998.

- Ra mắt dịch vụ trả trước đầu tiên tại Việt Nam với gói cước MobiCard.

- Khai thác 21 trạm phát sóng phát triển mới.

- Khai thác dịch vụ chuyển vùng quốc tế.

- Ra mắt website: mobifone.vnn.vn.

- Tổng số trạm phát sóng: 268 trạm.

- Là nhà mạng đầu tiên cung cấp các gói khuyến mãi tin nhắn nội mạng.

- Phủ sóng 61/61 tỉnh thành với tổng số 500 trạm thu phát sóng.

- Mở rộng cung cấp dịch vụ nhắn tin với mạng MobiFone.

- Được cấp Chứng chỉ tiêu chuẩn hệ thống chất lượng quản lý chất lượng ISO 9001:2000 về chất lượng mạng lưới.

- Vinh dự đón nhận Huân chương Lao động hạng Nhì.

- Ra mắt webportal tại địa chỉ: mobifone.com.vn.

- Trung tâm Thông tin di động III có số lượng thuê bao lớn nhất tại Đà Nẵng và được Nhà nước trao tặng Huân chương Lao động Hạng Ba.

- Công ty Thông tin di động ký thanh lý Hợp đồng hợp tác kinh doanh (BCC) vớiTập đoàn Kinnevik/Comvik.

- Nhà nước và Bộ Bưu chính Viễn thông (nay là Bộ Thông tin và Truyền thông) có quyết định chính thức về việc cổ phần hoá Công ty Thông tin di động.

- Thành lập Trung tâm thông tin di động Khu vực IV tại Cần Thơ

- Khởi động chương trình “Kết nối dài lâu” – là nhà mạng tiên phong thực hiện tích điểm hưởng ưu đãi cho khách hàng.

- Sở hữu 14.300 trạm phát sóng 2G.

- RockStorm được tổ chức lần đầu tiên, kéo dài 7 năm liên tiếp Toàn bộ tiền vé được BTC làm từ thiện.

- Kỷ niệm 15 năm thành lập Công ty Thông tin di động.

- Thành lập Trung tâm thông tin di động Khu vực V tại Hải Phòng.

- Thành lập Trung tâm Dịch vụ Giá trị Gia tăng tại Hà Nội.

- Cung cấp gói GPRS đầu tiên trên thị trường Việt Nam.

- Ra mắt gói cước Mobi365, được ICT Awards bình chọn là “Gói cước di động xuất sắc nhất năm 2008”.

- Tính đến tháng 04/2008, MobiFone đang chiếm lĩnh vị trí số 1 về thị phần thuê bao di động tại Việt Nam.

- Vinh dự đón nhận Huân chương Lao động hạng Nhất giai đoạn 2003 – 2007.

- Thành lập Trung tâm Tính cước và Thanh khoản tại Hà Nội

- MobiFone chính thức cung cấp dịch vụ dữ liệu 3G.

- Đạt mốc 30 triệu thuê bao.

- Chuyển đổi thành Công ty TNHH 1 thành viên do Nhà nước làm chủ sở hữu.

- Thành lập Trung tâm Thông tin di động VI tại Đồng Nai.

- Tháng 7/2011: Vinh dự đón nhận Danh hiệu Anh hùng Lao động do Nhà nước trao tặng.

- Cung cấp dịch vụ Data Roaming cho thuê bao trả trước – là nhà mạng đầu tiên cung cấp dịch vụ này.

- Sở hữu 21.000 trạm phát sóng 2G, 11.500 trạm phát sóng 3G.

- Kỷ niệm 20 năm thành lập Công ty Thông tin di động.

- Vinh dự đón nhận Huân chương Độc lập Hạng Ba giai đoạn 2008 – 2012.

- Ngày 10/07: Bàn giao quyền đại diện chủ sở hữu Nhà nước tại Công ty Thông tin di động từ Tập đoàn VNPT về Bộ Thông tin và Truyền thông.

- Ngày 01/12: Nhận quyết định thành lập Tổng công ty Viễn Thông MobiFone trên cơ sở tổ chức lại Công ty TNHH một thành viên Thông tin di động.

- Cơ cấu lại bộ máy tổ chức: 20 Ban, phòng chức năng và 20 đơn vị trực thuộc.

- Doanh thu đạt: 36.900 tỷ đồng.

- Kết nối giá trị - khơi dậy tiềm năng trở thành slogan của Tổng công ty.

- Tháng 7/2016: Ra mắt đường trục truyền dẫn Bắc Nam – thử nghiệm dịch vụ 4G.

- Tổng công ty Viễn thông MobiFone được Bộ Thông tin và truyền thông bàn giao về Ủy ban Quản lý vốn Nhà nước tại Doanh nghiệp làm đại diện chủ sở hữu.

- Kỷ niệm 25 năm thành lập Công ty Thông tin di động.

- Tháng 12/2020: MobiFone công bố giới thiệu dịch vụ 5G thương mại.

Trong chặng đường dài phát triển của mình, bên cạnh những dấu ấn thành công, MobiFone cũng đứng trước những thách thức không nhỏ MobiFone luôn nỗ lực bền bỉ không ngừng trong việc hoàn thiện sản phẩm, liên tục hiện đại hoá các ứng dụng công nghệ để nâng cao chất lượng dịch vụ, đáp ứng tối đa nhu cầu của người dân - doanh nghiệp - xã hội, sẵn sàng bước vào kỷ nguyên mới của chuyển đổi số.

Hiện nay, Tổng công ty Viễn thông MobiFone có 25 đơn vị trực thuộc bao gồm các khối và các công ty con.

- Khối kinh doanh, tạo sản phẩm

Hình 1.2 Mô hình tổ chức tổng công ty

+ 9 Công ty Dịch vụ MobiFone tại 9 khu vực

+ Trung tâm Dịch vụ số

+ Trung tâm Công nghệ Thông tin MobiFone

+ Trung tâm Viễn thông Quốc tế MobiFone

- Khối kỹ thuật công nghệ

+ Trung tâm Quản lý, Điều hành mạng (NOC)

+ Trung tâm Mạng lưới MobiFone miền Bắc, miền Trung, miền Nam

+ Trung tâm Đo kiểm và sửa chữa thiết bị viễn thông MobiFone.

+ Trung tâm Tính cước và Thanh khoản

+ Trung tâm Nghiên cứu và Phát triển

- Khối đầu tư, phát triển mạng

+ Trung tâm Tư vấn Thiết kế MobiFone

+ Ban quản lý dự án MobiFone

- Công ty con bao gồm

+ Công ty cổ phần Công nghệ MobiFone toàn cầu (MobiFone Global)

+ Công ty cổ phần Dịch vụ kỹ thuật MobiFone (MobiFone Service)

+ Công ty cổ phần Dịch vụ gia tăng MobiFone (MobiFone Plus)

Trung tâm Quản lý, Điều hành mạng (NOC)

Trung tâm Quản lý điều hành mạng (NOC) là một trong 3 trung tâm thuộc khối kỹ thuật, công nghệ.

1.2.1.Chức năng, nhiệm vụ của NOC

Quản lý, vận hành, bảo dưỡng cơ sở hạ tầng, thiết bị mạng truyền dẫn và thiết bị phần mạng lõi bao gồm: Kết nối từ giao diện IuCS/PS trở lên, hệ thống cung cấp dịch vụ VAS/OCS, kết nối các hướng lưu lượng quốc tế và mạng khác.

Giám sát toàn trình chất lượng mạng truyền dẫn quốc tế, xác nhận chất lượng kỹ thuật, dung lượng đường truyền để Trung tâm Viễn thông quốc tế MobiFone làm cơ sở thanh toán hợp đồng với đối tác. Điều hành công tác xử lý sự cố phần mạng lõi và vô tuyến.

Tối ưu đảm bảo chất lượng các hướng lưu lượng và dịch vụ cung cấp tới khách hàng.

Phối hợp đơn vị trong công tác phát triển mạng, triển khai dịch vụ mới, an toàn an ninh.

Triển khai các nhiệm vụ khác do TCT giao.

Công tác Tổ chức – Hành chính

- Nghiên cứu, xây dựng, đề xuất bộ máy tổ chức của Trung tâm.

- Nghiên cứu, đề xuất và triển khai thực hiện công tác quản lý các bộ theo phân cấp: Điều chuyển cán bộ; Bổ nhiệm, miễn nhiệm cán bộ; Khen thưởng, kỷ luận cán bộ…

- Nghiên cứu, đề xuất và triển khai thực hiện công tác lao động, tiền lương theo phân cấp:

+ Tổ chức thực hiện công tác tuyển dụng lao động tại Trung tâm theo phân cấp và quy định của Tổng công ty.

+ Quản lý lao động của toàn Trung tâm.

+ Quản lý và phân bổ quỹ tiền lương của Trung tâm theo đúng quy chế trả lương hiện hành của Tổng công ty.

+ Đề xuất ký hợp đồng lao động, xếp lương, nâng lương…đối với CB-CNV.

- Nghiên cứu, đề xuất, triển khai thực hiện công tác chính sách xã hội, công tác bảo hiểm xã hội, bảo hiểm y tế; các chế độ chính sách khác đối với người lao động.

- Nghiên cứu, đề xuất và triển khai thực hiện công tác tổng hợp, đào tạo, thi đua, khen thưởng.

- Triển khai thực hiện công tác bảo vệ an ninh quốc phòng, thanh tra, bảo hộ lao động.

- Triển khai thực hiện công tác bảo vệ an ninh quốc phòng, thanh tra, bảo hộ lao động.

- Triển khai thực hiện công tác hành chính, quản trị, y tế, thông tin nội bộ.

- Triển khai thực hiện công tác Đảng, Đoàn thể.

- Nghiên cứu, đề xuất, lập kế hoạch chi phí, kế hoạch đầu tư của Trung tâm theo định kỳ hàng năm, ngắn hạn và dài hạn theo định hướng phát triển của Tổng Công ty.

- Triển khai, hướng dẫn, giám sát, kiểm tra, đôn đốc các đơn vị thuộc Trung tâm thực hiện kế hoạch sản xuất kinh doanh, kế hoạch chi phí, kế hoạch đầu tư đã được duyệt.

Công tác Đầu tư – Thẩm định:

- Thẩm định các đề xuất, kế hoạch, định mức chi phí cho các hoạt động của Trung tâm.

- Thẩm định, phê duyệt các dự án đầu tư, chi phí theo phân cấp.

- Thực hiện công tác giám sát, đánh giá đầu tư tại Trung tâm.

- Phối hợp với các đơn vị có liên quan trong việc lập kế hoạch đầu tư tại Trung tâm.

- Tổ chức, triển khai thực hiện và quản lý công tác kế toán, thống kê, tài chính.

- Triển khai thực hiện công tác hạch toán kinh tế.

- Trích lập và quản lý các quỹ của Trung tâm theo đúng quy định của Tổng công ty.

- Quản lý toàn bộ vật tư, tài sản đã giao Trung tâm quản lý.

- Quản lý, điều hành nhằm đảm bảo an toàn, chất lượng viễn thông, mạng truyền dẫn, công nghệ thông tin và an ninh thông tin mạng.

- Xây dựng kế hoạch và đề xuất các giải pháp kỹ thuật về cấu hình hệ thống, tham số, tối ưu để nâng cao chất lượng mạng lưới.

- Xây dựng phương án kỹ thuật và đề xuất triển khai ứng dụng công nghệ mới và dịch vụ mới.

- Báo cáo định kỳ, đột xuất, tham mưu đánh giá về quy hoạch, chất lượng mạng viễn thông cho các đơn vị.

Phòng Quản lý hệ thống VAS

Thực hiện các nhiệm vụ quản lý, hỗ trợ cho các nghiệp vụ vận hành, khai thác đối với các hệ thống VAS được giao, bao gồm:

- Quản lý, triển khai các nguồn lực hỗ trợ công tác vận hành thiết bị VAS

- Quản lý cấu hình, kết nối, các hướng lưu lượng hệ thống VAS với các hệ thống

- Quản lý, xây dựng quy trình, chính sách liên quan đến nghiệp vụ bảo dưỡng các thiết bị mạng VAS.

- Xây dựng các phương án điều chỉnh cấu hình, tối ưu đảm bảo chất lượng hệ thống VAS phục vụ sản xuất kinh doanh.

- Xây dựng quy định thủ tục kỹ thuật phục vụ FO: ƯCTT, Test, Healthcheck, Backup…cho hệ thống VAS.

- Xây dựng phương án kỹ thuật phục vụ sản xuất kinh doanh

Phòng Quản lý chất lượng

- Xây dựng kế hoạch thực hiện quản lý chất lượng các hướng lưu lượng, dịch vụ, truyền dẫn, báo hiệu trong và ngoài nước.

- Quản lý, quản trị, vận hành khai thác công cụ số liệu, hệ thống giám sát chất lượng mạng và dịch vụ.

- Xây dựng và giám sát thực hiện các quy trình thực hiện các nghiệp vụ.

- Nghiên cứu đề xuất, triển khai công tác ISO của Trung tâm

- Báo cáo tình hình mạng lưới định kỳ, đột xuất, tham mưu tư vấn đánh giá về chất lượng dịch vụ, tính năng mới cho các đơn vị

- Tối ưu tăng cường chất lượng dịch vụ cung cấp tới khách hàng Tư vấn đánh giá về chất lượng dịch vụ, tính năng mới.

- Các đài điều hành miền Bắc, Trung, Nam

Các Đài Điều hành miền Bắc, Trung, Nam (FO, BO)

Các Đài Điều hành miền Bắc, Trung, Nam trực tiếp thực hiện công tác quản lý, điều hành, vận hành khai thác mạng lưới khu vực miền Bắc, Trung, Nam bao gồm:

1 Giám sát (ONLINE) hoạt động mạng lưới, lưu lượng, chất lượng dịch vụ các hệ thống mạng Lõi, VAS & OCS thuộc địa bàn quản lý.

2 Điều hành công tác xử lý sự cố, phản ánh khách hàng (PAKH) về chất lượng dịch vụ các hệ thống mạng Lõi, VAS & OCS theo phân cấp.

3 Giám sát hoạt động và điều hành xử lý sự cố, và các PAKH về chất lượng dịch vụ có liên quan đến phần mạng RAN (thực hiện theo lộ trình điều chuyển chức năng nhiệm vụ từ các Trung tâm mạng lưới miền mà Tổng Công ty phê duyệt).

4 Trực xử lý Tickets sự cố, chất lượng, PAKH, yêu cầu từ các đơn vị khác ở mức 1(Level-1), mức 2 (Level-2) theo phân cấp.

5 Thực hiện các công tác vận hành, khai thác, điều chỉnh cấu hình, tối ưu đối với các hệ thống mạng Lõi, VAS & OCS, CNTT, đảm bảo chất lượng mạng dịch vụ theo quy định.

6 Thực hiện công tác bảo dưỡng các thiết bị mạng lưới, CNTT và các thiết bị CSHT theo phân cấp.

7 Triển khai các nghiệp vụ kỹ thuật về an toàn mạng (ứng cứu thông tin phần mềm, 1 Test, Healthcheck, Backup…) theo phân cấp thiết bị quản lý.

8 Điều hành, phối hợp các đơn vị và báo cáo sự cố các cấp theo quy định.

1 Thiết bị mạng Lõi: Thiết bị mạng Lõi bao gồm: Kết nối giao diện IuCS/PS trở lên, hệ thống cung cấp các dịch vụ VAS/OCS, kết nối các hướng lưu lượng quốc tế và mạng khác, các máy chủ và thiết bị mạng CNTT.

2 Cơ sở hạ tầng: Cơ sở hạ tầng (CSHT) gồm 4 nhóm hạng mục: mặt bằng, nguồn điện, máy lạnh, thiết bị an toàn an ninh (không bao gồm: truyền dẫn, nguồn điện đi kèm thiết bị mạng).

3 Hệ thống VAS:Hệ thống VAS bao gồm các hệ thống, thiết bị do Lãnh đạo Tổng Công ty phê duyệt giao cho Trung tâm quản lý.

4 Vùng quản lý: Phân vùng quản lý địa lý của các Đài Điều hành miền Bắc,Trung, Nam theo nguyên tắc phân vùng địa lý hành chính quốc gia theo 3 miềnBắc, Trung, Nam (tương đồng với 3 Trung tâm mạng lưới MobiFone miền Bắc,Trung, Nam).

Phòng Kỹ thuật – Trung tâm Quản lý, Điều hành mạng (NOC)

1.3.1 Chức năng phòng kỹ thuật

Thực hiện các nhiệm vụ hỗ trợ cho các nghiệp vụ vận hành, khai thác mạng lưới đối với các hệ thống thiết bị, truyền dẫn, CNTT, CSHT lắp đặt thiết bị phần mạng Lõi, mạng OCS; và công tác điều hành mạng RAN.

- Quản lý, điều hành, khai thác mạng lõi, mạng truyền dẫn, công nghệ thông tin và an ninh thông tin mạng.

- Đảm bảo chất lượng mạng lưới viễn thông.

- Tối ưu, quy hoạch, cấu hình, tham số, dung lượng, phát triển mạng lưới.

- Xây dựng phương án kỹ thuật, triển khai ứng dụng công nghệ và dịch vụ mới.

- Tư vấn đánh giá cho các đơn vị về hệ thống Viễn thông do Trung tâm quản lý.

- Các công tác khác theo yêu cầu của Giám đốc Trung tâm.

1.3.2 Nhiệm vụ phòng kỹ thuật

1 Quản lý về tổ chức, cán bộ, người lao động, tài sản, tài liệu thuộc Phòng theo đúng mục đích, nhiệm vụ được giao, tuân thủ các quy định của Pháp luật, của Tổng công ty và Trung tâm.

2 Chủ trì hoặc phối hợp thực hiện các chủ trương, chính sách về xây dựng và phát triển các công tác thuộc chức năng, nhiệm vụ được giao trong toàn Trung tâm.

3 Chủ trì xây dựng, trình Giám đốc các quy chế, quy định, quy trình quản lý nội bộ về các công tác thuộc chức năng, nhiệm vụ được giao.

4 Phối hợp xây dựng kế hoạch chi phí, đầu tư hàng năm về công tác thuộc chức năng, nhiệm vụ được giao trong phạm vi toàn Trung tâm và triển khai thực hiện sau khi được phê duyệt.

5 Quản lý, chỉ đạo, hướng dẫn kiểm tra việc thực hiện các công tác thuộc chức năng nhiệm vụ được giao trong toàn Trung tâm.

6 Công tác quản lý, điều hành, khai thác mạng.

8 Chủ trì báo cáo phân tích, tư vấn đánh giá về hệ thống viễn thông bao gồm: dung lượng, quy hoạch, kết nối, giải pháp, công nghệ…cho các đơn vị trong Trung tâm và TCT.

9 Phối hợp xây dựng, thẩm định, triển khai và giám sát các đơn vị thực hiện quy trình.

10 Lập kế hoạch, nghiên cứu, đề xuất triển khai ứng dụng tiến bộ Khoa học - Kỹ thuật của Trung tâm Quản lý triển khai công tác đề tài sáng kiến của Trung tâm.

11 Chủ trì triển khai, hướng dẫn, kiểm tra giám sát trong việc khai thác, cung cấp và sử dụng các dịch vụ mới, công nghệ mới, thiết bị mới.

12 Xây dựng, đề xuất các chương trình tin học phục vụ cho khối kỹ thuật Nghiên cứu và tổ chức thực hiện, quản trị trang và cập nhật thông tin lên trang web của Trung tâm về các vấn đề liên quan đến kỹ thuật.

13 Phối hợp với các đơn vị kiểm tra, giám sát công tác AT-VSLĐ, PCCN tại các site cấp 1 định kỳ.

14 Lập kế hoạch, xây dựng phương án và tổ chức thực hiện mua sắm các vật tư, thiết bị dự phòng phục vụ cho công tác sửa chữa, thay thế trên mạng lưới.

15 Phối hợp xây dựng kế hoạch đào tạo, bồi dưỡng nâng cao trình độ chuyên môn nghiệp vụ cho đội ngũ cán bộ làm công tác thuộc chức năng nhiệm vụ của Phòng trong toàn Trung tâm.

16 Thực hiện chế độ báo cáo, thống kê về các hoạt động, công tác của Phòng theo đúng quy định.

17 Thực hiện các nhiệm vụ khác do Giám đốc Trung tâm giao.

NỘI DUNG THỰC TẬP

GIỚI THIỆU VỀ CISCO ACI

Cisco ACI là gì?

- Cisco ACI viết tắt của (Cisco Application Centric Infrastructure), là một giải pháp quản lý hệ thống mạng bằng phần mềm software-defined networking (SDN), được thiết kế để giúp các tổ chức, doanh nghiệp quản lý hệ thống mạng phức tạp bằng cách tự động hóa, tăng hiệu quả hoạt động.Cisco ACI tích hợp phần mềm và phần cứng.

- Các thành phần chính của Cisco ACI:

+ Cisco Nexus 9000 Series Spines and Leaf: Spines switch: Là xương sống của ACI fabric, kết nối vs leaf sw Leaf switch: kết nối với thiết bị đầu cuối, APIC, spine switch.

+ Application Policy Infrastructure Controllers (APIC): APIC là bộ điều khiển chính sách cơ sở hạ tầng cho Cisco ACI Nó tạo ra các chính sách xác định cơ sở hạ tầng mạng của trung tâm dữ liệu.

- ACI Cisco giải quyết các vấn đề của mạng truyền thống.

+ Mô hình mạng phức tạp:

+ Tránh loop giữa các thiết bị layer 2:

+ Quản lý các thiết bị dễ dàng hơn:

=> Trong SDN, kỹ sư hoặc quản trị viên mạng có thể định hình lưu lượng truy cập từ bộ điều khiển tập trung mà không phải thiết lập trên từng thiết bị riêng lẻ trong mạng Bộ điều khiển SDN tập trung quản lý các thiết bị cung cấp các dịch vụ mạng bất cứ khi nào chúng cần.

Mạng truyền thống: không tự động hóa và cấu hình được thực hiện thủ công.

- Cisco ACI: bằng cách sử dụng các lệnh gọi API REST, việc tự động hóa cấu hình trở nên dễ dàng

Cisco ACI Topology

=>ACI Fabric sử dụng kiến trúc Spine-Leaf.

+ Bao gồm: sw Cisco Nexus 9000 spines and leaf.

+ Spines: Các spine switch đóng vai trò là xương sống của mạng, kết nối tất cả các leaf switch với nhau Spine switch không kết nối trực tiếp đến các thiết bị đầu cuối (endpoints) mà chỉ làm nhiệm vụ chuyển tiếp dữ liệu giữa các leaf switch.

+ Các leaf switch kết nối trực tiếp đến các thiết bị đầu cuối như server, máy ảo, hoặc các thiết bị mạng khác (như firewall, router, etc.) Mỗi leaf switch cũng kết nối đến tất cả các spine switch để đảm bảo rằng bất kỳ thiết bị nào trong mạng đều có thể giao tiếp với nhau mà không cần phải thông qua bất kỳ leaf switch nào khác.

- Lợi ích của kiến trúc spine - leaf.

+ Kiến trúc đơn giản và nhất quán.

+ link giữa sw spine và sw leaf là link layer 3 ( 2 đầu cấu hình ip cùng subnet), chạy giao thức định tuyến (IS - IS, BGP ).=> không có loop => không STP => mạng hội tụ nhanh hơn và tận dụng được cả 2 link.

+ Chi phí thấp cho băng thông cao.

+ Lưu lượng dữ liệu người dùng được đóng gói bằng tiêu đề VXLAN khi được chuyển tiếp đến Leaf khác.

+ IS-IS chịu trách nhiệm kết nối cơ sở hạ tầng trong Cisco ACI, triển khai tự động, không cần sự can thiệp của người dùng.

- Cisco APIC là bộ điều khiển chính sách cơ sở hạ tầng của ACI Lưu giữ các chính sách được xác định và khởi tạo sự thay đổi chính sách.

- Cisco APIC đại diện cho mặt phẳng quản lý (management plane) chứ không phải là mặt phẳng điều khiển (control plane).

- APIC không nằm trên đường truyền lưu lượng.

- Thường đi theo 1 cụm 3 APIC hoặc nhiều hơn (cluster) Trong đó sẽ có một APIC sẽ đóng vai trò dự phòng (Standby APIC) Các APIC hoạt động cùng nhau để xử lý các yêu cầu quản lý mạng, chia sẻ tải công việc để đảm bảo hiệu suất tối ưu.

- Cơ sở dữ liệu cấu hình của APIC được chia thành các phân đoạn logic gọi là shards Mỗi shard được sao chép (replication) trên nhiều APIC trong cụm để đảm bảo dữ liệu không bị mất mát khi một APIC gặp sự cố.

- Khi quản lý một Cisco APIC Cluster, các nhiệm vụ cụ thể có thể thực hiện: + Mở rộng kích thước cụm APIC (Expanding the APIC cluster size): Thêm các APIC mới vào cụm hiện có để tăng khả năng xử lý và tính sẵn sàng.

+ Giảm kích thước cụm APIC (Reducing the APIC cluster size): Loại bỏ một hoặc nhiều APIC khỏi cụm khi không còn cần thiết hoặc khi cần thay thế.

+ Thay thế một APIC trong cụm (Replacing an APIC in the cluster): Thay thế một APIC gặp sự cố hoặc đã cũ kỹ bằng một APIC mới.

+ Chuẩn bị một APIC dự phòng lạnh trong cụm (Prepare a cold standby APIC in the cluster): Cấu hình một APIC dự phòng sẵn sàng nhưng không hoạt động cho đến khi cần thiết.

+ Tắt và khởi động lại các APIC trong cụm (Shutting down and bringing up APICs in a cluster): Thực hiện tắt và khởi động lại APIC để bảo trì hoặc cập nhật.

ACI Fabric discovery

- Để thực hiện quá trình khám phá ACI Fabric cần:

+ Thiết lập hệ thống cap ban đầu của ACI Fabric.

+ Hoàn tất các câu lệnh cấu hình trên các thiết bị trong Cisco APIC.

+ Đảm bảo rằng các Cisco APIC nodes và switches chạy cùng phiên bản phần mềm.

+ Các APIC trong APIC Cluster hoạt động như một APIC duy nhất về mặt logic, (nhưng có thể được đặt ở các vị trí khác nhau trong mạng) quản lý và cung cấp chính sách, khởi động (bootstrap), và quản lý hình ảnh.

+ Tự động phát hiện các tài nguyên fabric (các switch, liên kết và đường truyền), cấu hình tự động underlay với các giao thức tiêu chuẩn ngành: (IS-IS, LLDP và DHCP)

+ Quản lý cấu hình có thể mở rộng.

- Các bước phát hiện và khởi tạo mạng trong ACI Fabric (gồm Spines and Leaf Switch):

+ (1) Thiết lập ban đầu trên APIC

+ (2) Spine Switch: phát hiện APIC qua LLDP: Quá trình này giúp spine switch nhận diện được APIC trong mạng và thiết lập kết nối ban đầu với APIC.

+ (3) Spine switch phát hiện Leaf switch qua LLDP: Các spine switch sử dụng LLDP để phát hiện các leaf switch kết nối với chúng Điều này giúp tạo ra bản đồ mạng, xác định cách các thiết bị được kết nối với nhau.

+ (4) LLDP và giữa các spine switch và các leaf switch còn lại: Điều này giúp tạo ra bản đồ đầy đủ về cấu trúc mạng, đảm bảo tất cả các thiết bị đều được phát hiện và quản lý.

+ (5) IS-IS cho khả năng tiếp cận IP TEP giữa các thiết bị: IS-IS được sử dụng để đảm bảo rằng các địa chỉ IP TEP (Tunnel Endpoint) có thể tiếp cận được giữa các thiết bị trong mạng.

+ (6)LLDP giữa các leaf switch và APIC 2 và 3: Điều này giúp đảm bảo rằng tất cả các APIC trong cụm APIC đều được kết nối và có thể quản lý các switch lá một cách hiệu quả.

- Cisco APIC Cluster Discovery Process

+ Khám phá và đăng ký Switches qua APIC 1: Các switches được khám phá và đăng ký qua APIC 1 Tất cả các switches được cập nhật với AV (Active Version) mới nhất chứa dữ liệu của APIC 1.

+ Kết nối APIC mới vào Leaf switch (APIC 2): APIC mới (APIC 2) được kết nối vào một leaf Leaf kiểm tra một số thông tin chung như Tên Fabric vì tại thời điểm này không có mục nào về APIC 2 trong AV.Nếu không có sự không nhất quán, leaf sẽ báo cáo APIC 2 cho APIC 1 Nếu AV có một mục cho APIC 2, leaf sẽ kiểm tra UUID và ID mapping trong AV và LLDP TLV từ APIC 2 mới. + APIC 1 và APIC 2 bắt đầu tạo thành Cluster: Việc đồng bộ cơ sở dữ liệu được thực hiện giữa các APIC ở giai đoạn này và mỗi APIC sẽ đạt trạng thái Fully-Fit khi hoàn toàn đồng bộ.

+ Lặp lại Bước 2 và 3 cho APIC 3: Các bước tương tự được lặp lại cho APIC 3,tạo ra một cluster với ba APIC đồng bộ hoàn toàn.

Cisco ACI access policies

- Chính sách truy cập (access policies) đề cập đến cấu hình được áp dụng cho các thiết bị vật lý và ảo (hypervisor/ VM) được kết nối vào fabric.

- Chia thành một số lĩnh vực chính:

- Cisco ACI access policies bao gồm:

+ Pools: Chỉ định nhóm địa chỉ VLAN và multicast.

+ Interface Policies: Chỉ định giao diện truy cập nào cần cấu hình và chính sách sách cấu hình giao diện

+ Sw policies: : Chỉ định switch nào sẽ được cấu hình và chính sách cấu hình sw. + Module Policies: Chỉ định mô-đun leaf nào sẽ được cấu hình Nhưng kể từ phiên bản 4.1, không có mô hình leaf nào có nhiều hơn một mô-đun Do đó hồ sơ này thường không bao giờ được sử dụng.

+ Global Policies: Cho phép cấu hình DHCP, QoS và Attachable Access Entity Profile (AAEP).

+ Physical and external domain: Xác định một miền bao gồm một tập hợp các giao diện (AAEP) và đóng gói (pool Vlan) để cho phép các thành phần khác. + Monitoring and Troubleshooting Policies: Chỉ định những gì cần giám sát, các ngưỡng, cách xử lý lỗi và nhật ký cũng như cách thực hiện chẩn đoán liên quan đến giao diện bên ngoài.

- Interface policies và SW Policies

+ Policies xác định cấu hình protocol/feature

+ Policies group lựa chọn chính sách nào sẽ được áp dụng.

+ Hồ sơ liên kết nhóm chính sách với sw hoặc giao diện thông qua việc sử dụng bộ chọn.

- Interface Policy Groups: Được sử dụng để xác định các chính sách giao thức giao diện cho các loại giao diện cụ thể.

+ Thành phần chính: Interface Selector và AAEP.

Access Port Policy Group (EP1): Cho cổng truy cập.

Port Channel Policy Group (EP3): Cho cổng kênh.

vPC Policy Group (EP2): Cho Virtual Port Channel.

- Interface Profile: Chứa các khối cổng (interface selectors) và liên kết với các nhóm chính sách giao diện (interface policy groups).

+ Interface Selector: Chọn các cổng cụ thể trong khối cổng.

+ Liên kết với Interface Policy Group: Gắn các cổng đã chọn với một nhóm chính sách giao diện cụ thể.

+ Mục đích: Giúp xác định và quản lý cách các cổng trên switch được cấu hình và quản lý một cách dễ dàng và nhất quán.

+ Pools (VLAN / VXLAN): Đây là một tập hợp các encapsulation (bao gói) có thể được phân bổ trong mạng fabric Pools giúp quản lý và phân bổ các VLAN và VXLAN một cách hiệu quả trong hạ tầng mạng.

+ Domains (Physical / VMM / External Bridged / External Routed): Domain là một miền quản trị chọn một pool VLAN/VXLAN cho việc phân bổ các encapsulation (encaps) trong miền đó.

.Physical: Liên quan đến mạng vật lý.

.VMM (Virtual Machine Manager): Quản lý máy ảo.

.External Bridged: Kết nối mạng ngoài với phương pháp bridging.

.External Routed: Kết nối mạng ngoài với phương pháp routing.

+ Attachable Access Entity Profiles (AEP): AEP chọn một hoặc nhiều domains và được tham chiếu/áp dụng bởi các nhóm chính sách giao diện (interface policy groups) Giúp cấu hình và quản lý các chính sách truy cập cho các thực thể được kết nối (các thiết bị hoặc hệ thống) trong mạng.

Cisco ACI Object model

- Về tổng quan, mô hình đối tượng Cisco ACI có thể được phân loại thành 4 nhóm chính:

+ Security Group (Security/Application Tenant Policies): Nhóm này tập trung vào các chính sách bảo mật và ứng dụng cho từng người thuê (tenant) Các chính sách này xác định quyền truy cập, kiểm soát an ninh và quản lý các ứng dụng trong mạng ACI Ví dụ, có thể thiết lập các quy tắc tường lửa, giám sát và bảo vệ các ứng dụng quan trọng của từng khách hàng hoặc nhóm người dùng.

+ Overlay Network (Network Tenant Policies): Đây là nhóm chính sách liên quan đến mạng overlay (mạng ảo) trong các môi trường thuê bao Mạng overlay sử dụng giao thức VXLAN để cung cấp phân tán mạng và mở rộng mạng ảo hóa trong ACI Các chính sách này bao gồm cấu hình IP, VLAN, VXLAN, và các thông số mạng khác để đảm bảo hoạt động hiệu quả của mạng overlay.

+ Fabric Access (Access Policies): Nhóm chính sách này quản lý quyền truy cập và điều khiển kết nối vào mạng ACI từ các thiết bị ngoài Các chính sách này xác định cách các thiết bị ngoài (như server, firewall, load balancer) kết nối và tương tác với hạ tầng ACI Chúng có thể bao gồm cấu hình port, VLAN truy cập, và các giao thức kết nối.

+ Underlay Network (Fabric Policies): Đây là nhóm chính sách quản lý mạng underlay (mạng dưới) trong ACI, bao gồm các cấu hình mạng vật lý như switch, router, và kết nối trực tiếp giữa các thành phần hạ tầng mạng Các chính sách này đảm bảo rằng mạng lưới hoạt động một cách hiệu quả và bền vững để hỗ trợ hoạt động của mạng overlay và các ứng dụng của người dùng.

CẤU TRÚC LOGIC CISCO ACI

Tenant

- Tenant là một không gian logic độc lập dùng để cô lập và quản lý các tài nguyên mạng và chính sách cho các ứng dụng hoặc nhóm ứng dụng.

- Tenant là các không gian riêng biệt cho phép lưu trữ các đơn vị khác nhau ( khách hàng, nhóm hoặc doanh nghiệp).

- Các đặc trưng điểm của tenant:

+ Có thể là đại diện cho một khách hàng, một nhóm, một công ty.

+ Tenant cung cấp một không gian hồ sơ riêng biệt

+ Tenant chỉ nhìn thấy bên trong không gian của mình.

+ Chia sẻ dịch vụ có thể được xác định giữa các tenant.

+ Common: Tenant này chứa các tài nguyên và chính sách dùng chung, có thể được dùng bởi bởi các tenant khác Ví dụ như DNS, DHCP, và ActiveDirectory.

+ Infra: Được sử dụng cho tất cả liên lạc trong nội bộ fabric, chẳng hạn như tunnel và policy deployment, , bao gồm cả switch-to- switch và switch-to-APIC.

+ Mgmt: Tenant để quản lý giao tiếp in - band và out - of - band của APIC và spine and leaf switch.

+ Users: Tenant được tạo ra theo nhu cầu của người dùng để phục vụ cho các ứng dụng và dịch vụ cụ thể.

=> 3 tenant Common, Infra, Mgmt được hệ thống tự động tạo ra, không thể xóa bỏ.

VRF (Virtual Routing and Forwarding)

- VRF (Virtual Routing and Forwarding): cho phép tạo ra các bảng định tuyến ảo trong tenant.

- Đặc điểm của của VRF:

+ Có miền định tuyến riêng.

+ Có thể có hoặc nhiều hơn 1 VRF trong mỗi tenant.

+ Được đóng ở trong mỗi Tenant ( trừ tenant dùng chung).

=> Hình bên phải là tối ưu và phù hợp với thực tế hơn Do sử dụng cùng mộtVRF cho các Bridge Domain liên quan trong cùng một tenant Điều này giúp quản lý mạng hiệu quả hơn, tăng cường bảo mật và cải thiện hiệu suất mạng.

BD (Bridge Domain)

- BD (Bridge Domain): là một miền chuyển tiếp tầng 2 (Layer 2) trong mạng ACI Nó chịu trách nhiệm cho việc chuyển tiếp lưu lượng mạng giữa các thiết bị trong cùng một miền. Đặc điểm:

+ Layer 2 Forwarding Domain: Bridge Domain hoạt động ở tầng 2, chuyển tiếp lưu lượng mạng giữa các thiết bị trong cùng một BD.

+ Provide a default gateway and subnet for endpoints: Mỗi BD cung cấp một cổng mặc định và một dải địa chỉ IP (subnet) cho các điểm cuối (endpoints) trong BD đó.

+ Belongs to one VRF: Mỗi BD thuộc về một VRF duy nhất, tạo ra một phân đoạn mạng riêng biệt và cô lập lưu lượng mạng giữa các VRF.

+ One or more bridge domains per tenant: Một tenant có thể có một hoặc nhiều BD.

+ One or more bridge domains per VRF: Một VRF có thể chứa một hoặc nhiều BD.

+ Can consist of multiple subnets: Một BD có thể chứa nhiều dải địa chỉ IP(subnet).

EPG (Endpoint group)

- EPG (Endpoint group): được sử dụng để nhóm các endpoint (thiết bị hoặc máy ảo) có yêu cầu bảo mật tương tự nhau.

+ EPG bao gồm các endpoint có nhu cầu bảo mật tương tự.

+ EPG cung cấp khả năng phân đoạn (segmentation) chi tiết hơn so với phân tách mạng Lớp 2.

+ Các endpoint trong cùng một EPG có thể giao tiếp tự do.

+ Giao tiếp giữa các EPG khác nhau được kiểm soát bởi các contracts (hợp đồng). + Mỗi EPG liên kết với một bridge domain.

+ Một bridge có thể chứa nhiều EPG.

- Hệ thống ACI (Application Centric Infrastructure) học và lưu trữ thông tin về các endpoint Thông tin chính được lưu trữ:

+ Địa chỉ MAC: Định danh duy nhất cho mỗi giao diện mạng.

+ Địa chỉ IP: Bao gồm cả IPv4 (/32) và IPv6 (/128).

+ Liên kết với EPG: Xác định EPG mà endpoint thuộc về, thường sử dụng VLAN ID.

+ Vị trí của Endpoint: Giao diện vật lý hoặc địa chỉ IP Leaf TEP (Tunnel Endpoint) đã học endpoint.

- Các endpoint có thể được liên kết với một EPG bằng cách sử dụng liên kết tĩnh hoặc liên kết động.

+ Liên kết tĩnh: Liên kết thủ công một VLAN và interface với một EPG.Loại miền: Miền vật lý.

+ Liên kết động: Định nghĩa một nhóm VLAN ID và các interface APIC sẽ chọn và liên kết VLAN và các giao diện phù hợp dựa vào các bộ điều khiển VMM(Virtual Machine Manager) của bên thứ ba như vCenter và SCVMM Loại miền: Miền VMM.

Liên kết tĩnh: VLAN 10 được liên kết tĩnh với EPG1 và interface (Leaf 101, Eth1/1).

Liên kết động: Các VLAN được gán động cho các EPG dựa trên nhóm và giao tiếp với các bộ điều khiển VMM.

ANP (Application network profile)

- Application Profile là tập hợp của các EPGs (Endpoint Groups).

- Mỗi Application Profile có thể có chính sách giám sát (monitoring policy) và chính sách QoS (Quality of Service) riêng.

Contracts

- Những đặc điểm của contracts:

+ Sử dụng subject và filter để xác định chính sách (loại lưu lượng truy cập để cho phép hoặc từ chối) giữa các EPG.

+ Các EPG không thể liên lạc nếu không có contract.

+ EPG hướng lưu lượng bằng contracts.

Blacklisting = tất cả mọi thứ mặc định đều được cho phép nếu bạn không từ chối một lưu lượng nhất định.

Whitelisting = tất cả mọi thứ mặc định đều không được cho phép cho đến khi bạn cho phép nó xảy ra.

- Cấu trúc Contract bao gồm:

+ Subjects: mỗi contracts có thể có một hoặc nhiều subject có có chức năng quản lý hướng của lưu lượng được xác định bởi filters.

+ Filters: trong mỗi Subject, filters được sử dụng để xác định các loại lưu lượng (traffic type) nào được cho phép hoặc bị chặn

+ Traffic Type: Xác định cụ thể loại lưu lượng nào được áp dụng.

+ Actions: mỗi Filter sẽ đi kèm với một Action xác định việc cho phép hay chặn các lưu lượng đó.

CHUYỂN TIẾP GÓI TIN TRONG CISCO ACI

Endpoint Learning

- Endpoint bao gồm 1 địa chỉ MAC và có thể có hoặc không có địa chỉ IP.

- Trong mạng truyền thống, ba bảng được sử dụng để duy trì địa chỉ mạng của các thiết bị bên ngoài:

+ Bảng địa chỉ MAC để chuyển tiếp Lớp 2.

+ Bảng RIB (Routing Information base) để chuyển tiếp lớp 3

+ Bảng ARP giúp các thiết bị trong mạng có thể giao tiếp với nhau dựa trên địa chỉ IP, bằng cách dịch địa chỉ IP sang địa chỉ MAC, và ngược lại.

- Bảng ACI Endpoint Table = Mac Address Table và ARP Table

=> Cisco ACI chỉ cần 2 bảng Endpoint table và RIB table.

- Trong một leaf sw có 2 dạng endpoints:

+ Local endpoint: các endpoint được kết nối trực tiếp vào sw.

+ Remote endpoint: các endpoint được học bởi VXLAN.

- Khi một leaf sw không biết endpoint đích thì leaf sw sẽ đẩy gói tin đến spine sw để spine sw xác định nơi cần gửi gói tin thông qua giao thức COOP (Council of Oracle Protocol)

- COOP chạy trong Fabric phải đảm bảo:

+ Tất cả các spine sw đều duy trì một bản sao nhất quán của địa chỉ endpoint và thông tin cục bộ.

+ Tất cả các spine sw duy trì thông tin đường đi đến các endpoint để cung cấp thông tin đến leaf sw không biết endpoint đích.

- Hình dưới đây mô tả nhận dạng endpoint và tìm vị trí:

(1): EP A gửi một gói tin.

(2): Leaf sw nhận gói tin sẽ học địa chỉ Mac và/hoặc IP của EPA thông qua data-plane từ gói tin.

(3): Leaf sw nhận gói tin sẽ báo cáo thông tin cho một trong những spine COOP sw này sẽ gửi gói tin qua leaf sw đi ra thông qua tunnel của VxLan. (4): Spine chia sẻ dữ liệu COOP mới với các spine khác.

(5): Sw đi ra sẽ học source MAC or IP từ trong gói tin của VxLan.

(6): Sw ra sẽ gửi gói tin đến đích.

Cấu hình bridge domain cơ bản

Các tùy chọn cấu hình cơ bản:

- Chế độ Hardware Proxy hoặc Flooding cho các gói Layer 2 Unknown Unicast:

+ Hardware Proxy: Khi sử dụng chế độ này, các gói Layer 2 Unknown Unicast sẽ được gửi đến các phần cứng proxy trong mạng ACI Proxy sẽ chịu trách nhiệm tìm kiếm đích đến chính xác mà không cần phải flood (lan truyền) gói tin qua toàn bộ mạng Điều này giúp giảm lưu lượng không cần thiết và cải thiện hiệu suất mạng.

+ Flooding Mode: Trong chế độ này, khi có một gói Layer 2 Unknown Unicast, gói tin đó sẽ được flood tới tất cả các cổng trong cùng một Bridge Domain Đây là phương pháp truyền thống nhưng có thể dẫn đến tăng tải lưu lượng mạng.

- Bật hoặc tắt ARP Flooding:

+ Enable ARP Flooding: Khi được bật, các gói tin ARP (Address Resolution Protocol) sẽ được flood tới tất cả các thiết bị trong cùng một Bridge Domain. Điều này giúp đảm bảo rằng tất cả các thiết bị có thể cập nhật bảng ARP của mình.

+ Disable ARP Flooding: Khi tắt, các gói tin ARP sẽ không được flood Thay vào đó, ACI sẽ xử lý các yêu cầu ARP một cách hiệu quả hơn bằng cách sử dụng bảng MAC và IP được duy trì bởi cơ sở hạ tầng ACI.

- Bật hoặc tắt Unicast Routing:

+ Enable Unicast Routing: Khi bật tùy chọn này, Bridge Domain sẽ cho phép định tuyến các gói tin Unicast Điều này có nghĩa là các gói tin từ một subnet trong Bridge Domain có thể được định tuyến đến các subnet khác hoặc đến các Bridge Domain khác.

+ Disable Unicast Routing: Khi tắt tùy chọn này, các gói tin Unicast sẽ không được định tuyến ra khỏi Bridge Domain Chúng chỉ có thể di chuyển trong cùng một Bridge Domain.

- Định nghĩa một hoặc nhiều subnet dưới Bridge Domain:

+ Subnets: Trong Bridge Domain, có thể định nghĩa một hoặc nhiều subnet Mỗi subnet có thể được cấu hình với một địa chỉ IP và mặt nạ mạng cụ thể Các subnet này giúp phân chia địa chỉ IP và quản lý lưu lượng trong BridgeDomain Việc định nghĩa subnet cũng quan trọng đối với việc định tuyến và phân phối lưu lượng mạng.

Quá trình chuyển tiếp gói tin ở lớp 2 trong Cisco ACI

- Packet Coming In To Leaf (Gói tin vào thiết bị Leaf): Khi một gói tin vào một thiết bị leaf, quá trình xử lý bắt đầu từ đây.

- L2 Or L3? (Lớp 2 hay Lớp 3?): Nếu gói tin thuộc lớp 3, nó sẽ được chuyển sang quy trình xử lý lớp 3 (See Layer 3 Forwarding) Nếu gói tin thuộc lớp 2, quá trình xử lý sẽ tiếp tục theo hướng L2.

- Does Leaf Know Dst MAC? (Thiết bị Leaf có biết MAC đích không?): Nếu thiết bị leaf biết địa chỉ MAC đích (Dst MAC), nó sẽ tiếp tục kiểm tra xem địa chỉ MAC đích này có nằm trên thiết bị leaf cục bộ không.

- Is Dst MAC On Local Leaf? (MAC đích có trên thiết bị Leaf cục bộ không?): Nếu có, gói tin sẽ được chuyển tiếp đến cổng cục bộ (Forward to Local Port). Nếu không, gói tin sẽ được chuyển tiếp đến thiết bị leaf đầu ra (Forward to Egress Leaf).

- What is BD Config? (Cấu hình BD là gì?): Nếu thiết bị leaf không biết địa chỉ MAC đích, nó sẽ kiểm tra cấu hình Bridge Domain (BD).

+ Nếu cấu hình là L2 Unknown Unicast, gói tin sẽ được phát tán (Flood) Gói tin sẽ được flood trong phạm vi BD (Flood Within BD) Gói tin sẽ đến thiết bị leaf đầu ra và tiếp tục quá trình flood(Reaches Egress Leaf That Floods It).

+ Nếu cấu hình BD yêu cầu sử dụng proxy phần cứng hoặc proxy spine, gói tin sẽ được chuyển tiếp tới phần cứng proxy hoặc spine proxy Nếu spine biết địa chỉMAC đích, gói tin sẽ được chuyển tiếp đến thiết bị leaf đầu ra (Forward toEgress Leaf) Nếu spine không biết địa chỉ MAC đích, gói tin sẽ bị loại bỏ(Drop).

Quá trình xử lý gói tin ARP trong Cisco ACI

- ARP Packet Arriving at Leaf (Gói tin ARP đến thiết bị Leaf): Khi một gói tin ARP đến thiết bị leaf, quá trình xử lý bắt đầu từ đây.

- Unicast Routing Enabled in BD? (Định tuyến unicast được bật trong BD?): Nếu không, gói tin sẽ được flood trong phạm vi BD (Flood Within BD (GIPo)) Nếu có, quá trình xử lý tiếp tục với việc kiểm tra gói tin ARP.

- ARP is for ACI BD Pervasive GW? (ARP dành cho ACI BD Pervasive Gateway?): Nếu đúng, thiết bị leaf nhận sẽ chặn gói tin và gửi phản hồi ARP (Ingress leaf intercepts and sends ARP reply) Nếu không, quá trình tiếp tục với bước kiểm tra tiếp theo.

- Is ARP flood enabled? (Chế độ flood ARP có được bật không?): Nếu đúng, gói tin sẽ được flood trong phạm vi BD (Flood Within BD (GIPo)).Nếu không, quá trình tiếp tục với bước kiểm tra tiếp theo.

- Does leaf know target-ip-addr in EP table? (Thiết bị Leaf có biết địa chỉ IP đích trong bảng EP không?): Nếu đúng, gói tin sẽ được chuyển tiếp đến thiết bị leaf đầu ra để gửi ARP tới đích (Forward to Egress Leaf that Sends the ARP to the Target ARP).Nếu thiết bị leaf không biết địa chỉ IP đích, gói tin sẽ được chuyển tới spine proxy.

- Does spine know Target-IP in COOP? (Spine có biết địa chỉ IP đích trongCOOP không?):Nếu đúng, gói tin sẽ được chuyển tiếp đến thiết bị leaf đầu ra để gửi ARP tới đích (Forward to Egress Leaf that Sends the ARP to the TargetARP) Nếu không, yêu cầu ARP và ARP Glean sẽ bị loại bỏ (Drop ARP Req and ARP Glean for Destination IP).

Chuyển tiếp gói tin lớp 3 trong Cisco ACI

- Gói tin L3 đến Leaf: Khi một gói tin Layer 3 đến switch leaf, quá trình xử lý bắt đầu.

- Kiểm tra Leaf có biết địa chỉ IP đích không? (Điểm cuối - Endpoint)

+ Nếu Leaf đã biết địa chỉ IP đích thì kiểm tra xem địa chỉ IP đích có nằm trên leaf cục bộ không?Nếu có: Chuyển tiếp gói tin đến cổng cục bộ (Forward to Local Port) Nếu không: Chuyển tiếp gói tin đến leaf thoát (Forward to Egress Leaf).

+ Nếu Leaf không biết địa chỉ IP đích thì kiểm tra Leaf có các subnets BD cho địa chỉ IP đích không? (Chuyển tiếp đến Anycast Spine) Nếu có: Chuyển tiếp gói tin đến spine proxy Nếu không: kiểm tra Leaf có tuyến đường bên ngoài cho địa chỉ IP đích không? Nếu có: Chuyển tiếp gói tin đến leaf thoát theo bảng định tuyến (Forward to Egress Leaf per Routing-table).Nếu không: Hủy bỏ gói tin (Drop).

- Spine Proxy: Nếu gói tin được chuyển tiếp đến spine proxy, spine sẽ kiểm tra: Spine có biết địa chỉ IP đích trong COOP (Council of Oracles Protocol) không? Nếu có: Chuyển tiếp gói tin đến leaf thoát (Forward to Egress Leaf) Nếu không: Hủy bỏ gói tin và thực hiện ARP Glean cho địa chỉ IP đích (Drop and ARP Glean for Destination IP).

3.6 Quá trình chuyển tiếp lưu lượng unicast trong Cisco ACI, sử dụng giao thức vPC (Virtual Port Channel).

Sơ đồ này minh họa cách mà Cisco ACI chuyển tiếp lưu lượng từ một host không kết nối vPC đến một miền vPC trong mạng, và ngược lại:

- vPC sử dụng một địa chỉ IP TEP anycast riêng biệt.

- Địa chỉ IP TEP anycast đại diện cho một switch logic trong quá trình chuyển tiếp lưu lượng.

- Host2 gửi một gói tin đến Host1 qua liên kết của nó với Leaf-3.

- Leaf-3 thực hiện tra cứu bảng và gửi gói tin với địa chỉ IP TEP của Leaf-3.

- Spine Switch xử lý: Spine switch nhận gói tin từ Leaf-3 Nó thấy nhiều đường dẫn đến đích qua các địa chỉ IP TEP và chọn một đường (trong trường hợp này là Leaf-2).

- Leaf-2 chuyển tiếp gói tin đến Host1: Leaf-2 nhận gói tin từ Spine switch và chuyển tiếp nó đến Host1, máy chủ đích nằm trên Leaf-2.

- Luồng gói tin unicast từ Host1 đến Host2 được đánh dấu bằng các mũi tên màu xanh.

- Host1 gửi gói tin đến Host2 thông qua Leaf-1: Host1 gửi một gói tin đến Host2 qua một trong các liên kết vPC của nó (trong trường hợp này là Leaf-1).

- Leaf-1 thực hiện tra cứu bảng và gửi gói tin với địa chỉ IP TEP của Leaf-3.

- Spine Switch xử lý: Spine switch nhận gói tin từ Leaf-1 Nó gửi gói tin đến Leaf-3.

- Leaf-3 chuyển tiếp gói tin đến Host2: Leaf-3 nhận gói tin từ Spine switch và chuyển tiếp nó đến Host2, máy chủ đích nằm trên Leaf-3.

GIỚI THIỆU KẾT NỐI MẠNG BÊN NGOÀI

External Layer 3 Network Connectivity

4.1.1 Interface hỗ trợ kết nối ra ngoài mạng.

Trong Cisco ACI, để kết nối switch ở biên (border leaf switch) với một router bên ngoài, có ba loại interface (giao diện) khác nhau được hỗ trợ.

- Layer 3 Interface (Giao diện lớp 3): Đây là giao diện vật lý dành riêng cho một VRF (Virtual Routing and Forwarding) Thường được sử dụng khi mỗi interface vật lý của router được dành riêng cho một VRF.

- Layer 3 subinterfaces được gắn tag 802.1q: với subinterface, cùng một interface vật lý có thể được cung cấp multiples connections Thường được sử dụng khi interface vật lý của router được chia sẻ bởi nhiều tenant hoặc VRFs.

- Switch virtual interface: đối với SVI interface, cùng một cổng vật lý có thể được hỗ trợ L2 và L3 có thể được sử dụng cho L2 Outside connection và L3Outside connection Thường được sử dụng để kết nối service device, ví dụ như firewall và load balancer thông qua port channel hoặc vPC, và chia sẻ service devices interfaces vật lý.

- Quảng bá route trong Cisco ACI: Cisco ACI hỗ trợ kết nối L3 sử dụng static routing (IPv4 và IPv6) hoặc các giao thức dynamic routing:OSPFv2 (IPv4) và OSPFv3 (IPv6), BGP (IPv4 và IPv6), EIGRP (IPv4 và IPv6).

4.1.2 Ví dụ về quảng bá tuyến giữa các thiết bị trong Cisco ACI và các mạng bên ngoài sử dụng OSPFv2.

+ MP-BGP Peering: Kết nối BGP đa giao thức (MP-BGP) được thiết lập tự động giữa các leaf switch và spine switch ngay sau khi các spine switch được cấu hình làm route reflectors Điều này có nghĩa là việc trao đổi thông tin định tuyến giữa các leaf switch và spine switch diễn ra tự động, giúp đơn giản hóa cấu hình và quản lý.

+ ASBR Border Leaf Redistributes Subnets to OSPF: Leaf switch ở biên (border leaf) thực hiện chức năng ASBR (Autonomous System Boundary Router) và phân phối lại các subnet của bridge domain vào OSPF => Các subnet trong ACI được thông báo ra ngoài mạng OSPF, cho phép các router bên ngoài nhận biết và định tuyến đến các subnet này.

+ SBR Border Leaf Redistributes External OSPF Routes to MP-BGP: Leaf switch ở biên cũng phân phối lại các route OSPF bên ngoài vào MP-BGP => Các route từ mạng OSPF bên ngoài được chuyển vào hệ thống MP-BGP trong ACI,

+ MP-BGP Propagates External Routes: MP-BGP lan truyền các route bên ngoài tới tất cả các leaf switch nơi VRF được khởi tạo.=> Các route nhận từ mạng bên ngoài được chuyển đến tất cả các leaf switch trong ACI có liên quan, đảm bảo rằng các thiết bị trong mạng ACI có thể truy cập các mạng bên ngoài.

Transit Routing trong Cisco ACI là quá trình mà thông tin định tuyến được chuyển từ một miền định tuyến này sang một miền định tuyến khác.

Các nguyên tắc của Transit Routing:

- Thông tin định tuyến có thể được chuyển từ một miền định tuyến sang miền khác:Điều này có nghĩa là thông tin về các mạng có thể được trao đổi giữa các miền định tuyến khác nhau, giúp các thiết bị trong các miền khác nhau có thể giao tiếp với nhau.

- Mở rộng khái niệm định tuyến stub: Khái niệm định tuyến stub thường liên quan đến việc sử dụng một router để định tuyến tất cả lưu lượng đến và đi từ một mạng cụ thể Transit Routing mở rộng khái niệm này để bao gồm cả việc chuyển tiếp thông tin định tuyến giữa nhiều miền.

- Phân phối lại hai chiều với các miền định tuyến khác:

+ Quảng bá các route mặc định và cụ thể: Thông tin về các route mặc định (default route) và các route cụ thể có thể được quảng cáo đến các miền định tuyến khác.

+ Lọc các cập nhật định tuyến: Các cập nhật về thông tin định tuyến có thể được lọc để chỉ những thông tin cần thiết mới được chuyển tiếp.

+ Trao đổi giữa các giao thức định tuyến (BGP, OSPF, EIGRP): Thông tin định tuyến có thể được trao đổi giữa các giao thức định tuyến khác nhau, chẳng hạn như BGP, OSPF và EIGRP.

L3Out

- L3Out (Layer 3 Out) trong Cisco Application Centric Infrastructure (ACI) là tập hợp các cấu hình xác định kết nối từ ACI ra bên ngoài thông qua định tuyến.Nói cách khác, L3Out cho phép kết nối ACI fabric với các mạng bên ngoài như mạng WAN, mạng đám mây hoặc mạng nội bộ khác.

- L3Out bao gồm các thành phần sau:

+ External EPG (External Endpoint Group): Đại diện cho một mạng bên ngoài. Mỗi subnet trong L3Out được biểu thị bằng một EPG bên ngoài.

+ Interfaces (Giao diện): L3Out sử dụng các giao diện lớp 3 trên các border leaf switch để kết nối với mạng bên ngoài Có thể sử dụng các loại giao diện khác nhau như Layer 3 Interface, Layer 3 Subinterface với 802.1Q tagging, hoặc Switched Virtual Interface (SVI).

+ Routing Protocols (Giao thức định tuyến): Các giao thức định tuyến như BGP, OSPF, EIGRP được sử dụng để trao đổi thông tin định tuyến giữa ACI và mạng bên ngoài Điều này đảm bảo rằng các route được thông báo và cập nhật giữa các hệ thống.

- Sử dụng L3out để kết nối đến bên ngoài ACI.

- L3 out có thể sử dụng static routing và dynamic routing: OSPF, EIGRP, BGP

- L3 out có thể cấu hình contract giữa internal EPG và external EPG.

- Mỗi tenant có thể có L3Out của chính nó hoặc có thể chia một L3Out cho các tenant trong ACI Fabric.

4.2.2 OSPF L3Out qua Routed interfaces và Routed subinterfaces

- Các OSPF Area kết nối với các leaf biên nhưng không được nối trực tiếp qua fabric của ACI Trừ khi sử dụng SVI trên nhiều leaf với cùng một L3Out và VLAN.

- Các tuyến OSPF học được từ một OSPF area sẽ được phân phối lại vào MP-BGP tại leaf biên vào và sau đó được phân phối lại ra OSPF tại leaf biên ra.

4.2.3 OSPF L3Out over VPC with SVI

- Các switch leaf biên (border leaf switches) kết nối với nhau qua fabric của ACI.Các switch này sẽ thực hiện MP-BGP (Multiprotocol BGP) để trao đổi các

- Khi sử dụng giao diện SVI cho kết nối L3Out, một External BD sẽ được tạo ra bởi hệ thống

- Thiết bị dịch vụ (service appliance) này chạy OSPF và kết nối với các switch leaf biên qua External BD Loại mạng OSPF sẽ là broadcast Thiết bị dịch vụ sẽ tạo mối quan hệ láng giềng (neighbor) với cả hai switch leaf biên.

=> Kết nối giữa các switch leaf biên và thiết bị dịch vụ được thực hiện thông qua một External BD Các switch leaf biên sẽ trao đổi các tuyến qua MP-BGP, trong khi thiết bị dịch vụ sẽ tạo mối quan hệ láng giềng OSPF với cả hai switch leaf biên.

Node: Các Endpoint Groups (EPGs) của Tenant không thể nằm trong External BD.

4.2.4 Cách cấu hình các giao diện SVI (Switch Virtual Interface) trên cùng một L3Out trong Cisco ACI.

- L3Out được cấu hình với tên ExtOSPF_L3Out và chứa các giao diện SVI Tất cả các SVI đều được cấu hình dưới cùng một L3Out và sử dụng cùng một encapsulation VLAN (VLAN-100).

- Các tuyến OSPF được phân phối lại vào MP-BGP và vì encapsulation VNID được sử dụng trên mỗi leaf, tất cả các router có thể peering qua fabric encapsulation kết nối vùng OSPF.

- Các router OSPF nằm trong OSPF Area 0, kết nối với các leaf biên của ACI qua các SVI Các router này sẽ tạo các adjacency OSPF với nhau qua fabric của ACI Các router sẽ trải qua quá trình bầu cử DR/BDR thông thường.

=> Các router OSPF kết nối với các leaf biên của ACI qua các SVI, tạo thành các adjacency OSPF và các tuyến OSPF được phân phối lại vào MP-BGP Điều này cho phép các router có thể peering qua encapsulation fabric.

Cấu hình External Layer 3 Network Connectivity

Quy trình cấu hình L3Out:

- Bật MP-BGP route reflectors

- Bắt buộc để phân phối các route bên ngoài trong ACI fabric

- Cấu hình BD để quảng bá subnet BD

+ Liên kết L3Out với một bridge domain

+ Chỉ định các subnet như được quảng bá ra ngoài

- Cấu hình một hợp đồng giữa L3Out External EPG và một EPG

+ L3Out được sử dụng để cấu hình các giao diện, giao thức định tuyến, và các tham số giao thức cần thiết cho kết nối IP với các thiết bị định tuyến bên ngoài

- External Network EPG Configuration: Xác định một hoặc nhiều mạng IP bên ngoài để đại diện cho L3Out EPG.

- Các thiết lập có sẵn cho một scope trong quá trình cấu hình External Network EPG:

+ Export Route Control Subnet: Thiết lập này chỉ định các subnet sẽ được quảng bá từ ACI fabric sang các thiết bị định tuyến bên ngoài Nó giúp kiểm soát các route nào sẽ được quảng bá ra ngoài từ ACI fabric.

+ Import Route Control Subnet: Thiết lập này chỉ định các subnet sẽ được quảng bá từ các thiết bị định tuyến bên ngoài vào ACI fabric Nó giúp kiểm soát các route nào sẽ được chấp nhận từ bên ngoài vào trong ACI fabric.

+ External Subnets for the External EPG: Đây là các subnet được xác định là thuộc về EPG (Endpoint Group) bên ngoài Thiết lập này xác định các địa chỉ

IP bên ngoài sẽ được liên kết với External EPG, cho phép quản lý và kiểm soát lưu lượng đến và đi từ những subnet này.

+ Shared Route Control Subnet: Thiết lập này chỉ định các subnet sẽ được chia sẻ giữa nhiều EPG khác nhau trong ACI fabric Điều này cho phép các subnet này được sử dụng chung bởi nhiều nhóm endpoint khác nhau, tạo điều kiện cho việc chia sẻ tài nguyên và quản lý hiệu quả hơn.

+ Shared Security Import Subnet: Thiết lập này chỉ định các subnet sẽ được chia sẻ về mặt bảo mật giữa nhiều EPG khác nhau trong ACI fabric Điều này đảm bảo rằng các quy tắc bảo mật được áp dụng cho các subnet này sẽ được thống nhất và quản lý một cách tập trung, tăng cường tính bảo mật và kiểm soát.

- MP-BGP Route Reflector Configuration:

+ Phân phối route từ border leaf đến các leaf switch khác: Border leaf switches nhận các route từ các thiết bị định tuyến bên ngoài và phân phối chúng đến các leaf switch khác thông qua spine switches Route distribution giúp tất cả các leaf switch trong fabric nhận được thông tin định tuyến cần thiết để giao tiếp với các mạng bên ngoài.

+ Bật chức năng MP-BGP route reflector trên spine switches: Spine switches

Chức năng này cho phép các spine switch nhận các route từ các leaf switch và phản chiếu chúng đến các leaf switch khác mà không cần thiết lập kết nối BGP trực tiếp giữa tất cả các leaf switch (full mesh).

+ Liên kết các Bridge Domain (BD) với các L3Out (Layer 3 Outside)

- Contract Between L3Out EPG and Normal EPG

- Ví dụ về L3Out Topology với một L3Out và nhiều Router kết nối qua leaf:

TÍCH HỢP VMM

Tích hợp VMware vCenter VDS

5.1.1.Tổng quan về tích hợp VMware vCenter VDS

- Hỗ trợ tích hợp miền máy ảo từ nhiều nhà cung cấp khác nhau.

- Chính sách miền quản lý máy ảo (VMM).

- Triển khai chính sách nhất quán giữa các miền ảo và vật lý.

- APIC cung cấp quản lý tập trung cho các miền VMM cùng với bộ điều khiển.

5.1.2.Cấu trúc của miền VMM

+ Controller (bộ điều khiển): Đây là phần mềm quản lý hạ tầng ảo hóa, chẳng hạn như VMware vCenter APIC cần kết nối và tương tác với bộ điều khiển này để quản lý các máy ảo và các chính sách mạng.

+ Credential (thông tin đăng nhập): Để quản lý VMM domain, cần có thông tin đăng nhập để kết nối với bộ điều khiển máy ảo Thông tin này được cung cấp bởi quản trị viên và được lưu trữ một cách an toàn trong APIC.

+ PortChannel Mode: Xác định cách các cổng mạng vật lý được cấu hình và nhóm lại để cung cấp băng thông và khả năng dự phòng.

+ vSwitch Policy: Bao gồm các quy tắc và cấu hình cho các switch ảo trong VMM domain.

- EPG Association (Liên kết EPG): Xác định các EPG sẽ được ánh xạ tới VMM domain.

- AEP Association (Liên kết AEP): Xác định cách các đối tượng mạng (như các giao diện máy ảo) được ánh xạ vào EPG Hồ sơ này chứa các thông số cấu hình cho các đối tượng đó.

- VLAN Pool Association (Liên kết VLAN Pool): Xác định các VLAN có thể được sử dụng cho các máy ảo trong VMM domain.

5.1.3 Chức năng chính của miền VMM

- Đẩy chính sách ACI như EPG đến các bộ điều khiển VM.

- Lấy thông tin như tồn kho VM từ các bộ điều khiển VM.

+ APIC (Application Policy Infrastructure Controller): Quản lý và vận hành hạ tầng ACI.

+ ACI Fabric: Hạ tầng mạng cơ sở được quản lý bởi APIC.

+ VMM Domain: Một nhóm tài nguyên logic trong ACI tích hợp với VMware vCenter.

+ EPG (Endpoint Group): Đại diện cho một tập hợp các điểm cuối chia sẻ cùng một chính sách mạng.

+ VDS (Virtual Distributed Switch): Một cấu trúc mạng của VMware cho phép quản lý tập trung các cấu hình mạng cho các máy chủ ESXi.

+ (1): Tạo VMM Domain: Quản trị viên APIC tạo một miền Quản lý Máy Ảo (VMM) trong Cisco ACI Miền này là một nhóm tài nguyên logic.

+ (2): Giao tiếp ban đầu: Có một giao tiếp ban đầu giữa Cisco APIC (Application Policy Infrastructure Controller - Bộ điều khiển hạ tầng chính sách ứng dụng) và VMware vCenter, được khởi tạo bởi quản trị viên APIC.

+ (3): Tạo công tắc Phân phối Ảo (VDS) trong VMware vCenter.

+ (4):Gắn kết VMware ESXi với VDS: Quản trị viên máy chủ gắn kết máy chủ VMware ESXi vào Công tắc Phân phối Ảo (VDS).

+ (5): Học vị trí của máy chủ ESXi: Hạ tầng ACI học vị trí của máy chủ ESXi thông qua giao thức LLDP (Link Layer Discovery Protocol - Giao thức khám phá lớp liên kết).

+ (6): Liên kết EPGs với VMM Domain: Nhóm Điểm cuối (EPGs) được liên kết với miền VMM bởi quản trị viên APIC EPGs đại diện cho một tập hợp các điểm cuối yêu cầu các chính sách mạng tương tự.

+ (7): Ánh xạ tự động EPGs vào Nhóm cổng: Cisco APIC tự động ánh xạ EPGs vào các nhóm cổng trên VDS.

+ (8):Tạo Nhóm cổng: Quản trị viên máy chủ tạo các nhóm cổng trong VDS trong VMware vCenter.

+ (9): Đẩy Chính sách: APIC đẩy chính sách tới hạ tầng ACI, đảm bảo cấu hình mạng phù hợp với các chính sách đã định nghĩa.

+ (10): Khởi tạo Máy Ảo: Quản trị viên máy chủ khởi tạo (tạo và chạy) các máy ảo (VMs) và gán chúng vào các nhóm cổng tương ứng.

5.1.5 Sự liên kết VLAN pool với VMM (Virtual Machine Manager) Domain

- VMM domain tự động gán VLAN ID cho một EPG (Endpoint Group) và nhóm cổng (port group) trên vSwitch Điều này giúp giảm thiểu công việc cấu hình thủ công và đảm bảo tính nhất quán của cấu hình mạng.

- Người dùng cũng có thể gán một VLAN ID cụ thể tĩnh cho một EPG hoặc nhóm cổng nếu cần Điều này cung cấp tính linh hoạt trong quản lý mạng, đặc biệt là khi có yêu cầu cụ thể về cấu hình mạng.

- VMM có thể sử dụng nhiều VMM domain:

+ EPG có thể mở rộng trên nhiều VMM domain và một VMM domain có thể chứa nhiều EPG.

+ EPG trong một VMM domain được xác định bằng cách sử dụng mã định danh encapsulation (VLAN, VLAN VNID), các mã định danh này được Cisco APIC tự động quản lý hoặc được quản trị viên chọn thủ công Ví dụ:Nếu bạn có mộtEPG được cấu hình với VLAN 100 hoặc VXLAN VNID 5000, thì tất cả các máy ảo trong miền VMM được gán mã định danh này sẽ thuộc về EPG đó.+ EPG có thể được ánh xạ tới nhiều domain vật lý hoặc ảo (VMM): điều này cung cấp sự linh hoạt cho quản lý và áp dụng các chính sách mạng cho cả tài nguyên vật lý và ảo Trong mỗi miền, EPG có thể sử dụng các mã định danh encapsulation khác nhau Ví dụ, một EPG có thể sử dụng VLAN 100 trong một miền vật lý và VXLAN VNID 5000 trong một miền VMM khác.

- Những quy tắc khi liên kết giữa các EPG và VMM domain:

+ EPGs được liên kết với một VMM domain: Mỗi EPG có thể được liên kết với một hoặc nhiều VMM domain Giúp định nghĩa và quản lý các máy ảo thuộc về EPG trên các nền tảng ảo hóa khác nhau.

+ Cisco APIC đẩy các ports group cho từng EPG tới các bộ điều khiển VM: Cisco APIC tự động tạo và đẩy các cấu hình nhóm cổng tương ứng với mỗi EPG tới các bộ điều khiển máy ảo như VMware vCenter Các nhóm cổng định nghĩa cách các máy ảo sẽ kết nối với mạng.

+ Quản trị viên VMM liên kết các máy ảo với các port groups (EPGs): Quản trị viên của VMM sẽ gán các máy ảo vào các nhóm cổng được tạo bởi Cisco APIC Việc này xác định các máy ảo thuộc EPG nào vào các chính sách được áp dụng cho chúng.

+ Một EPG có thể mở rộng trên nhiều VMM domain: Một EPG không bị giới hạn trong một VMM domain duy nhất mà có thể được mở rộng vào định nghĩa trên nhiều VMM domain Điều này cho phép các máy ảo từ nhiều nền tảng ảo hóa khác nhau trở thành một phần của cùng một EPG giúp quản lý, bảo mật mạng một cách linh hoạt hiệu quả hơn.

5.1.6 Cấu hình liên kết VMM domain với EPG

- Một VMM domain có thể được liên kết với một EPG thông qua Cisco APICGUI theo các bước: Tenant > Application Profile > EPG > Domain.

Resolution immediacy trong VMM

Resolution Immediacy xác định khi nào các cấu hình VLAN sẽ được triển khai lên các giao diện leaf switch trong miền VMM (Virtual Machine Manager) Dưới đây là ba lựa chọn cho Resolution Immediacy:

- Pre - provision: VLAN sẽ được triển khai tự động trên tất cả các cổng leaf switch ngay lập tức dưới AAEP (Attachable Access Entity Profile) liên kết với miền VMM, bất kể trạng thái (đã được kết nối hay chưa) của VM controller hoặc hypervisor.

+ Ưu điểm: Đảm bảo cấu hình VLAN luôn sẵn sàng trên các cổng, không cần đợi hypervisor hoặc VMM kết nối.

+ Nhược điểm: có thể dẫn đến việc triển khai VLAN không cần thiết trên các cổng không sử dụng, gây lãng phí tài nguyên.

- Immediate: VLAN sẽ chỉ được triển khai trên các cổng leaf switch khi hypervisors được phát hiện bởi APIC thông qua LLDP (Link local discovery protocol) hoặc CDP (Cisco discovery protocol) (các VLAN sẽ được cấu hình ngay lập tức trên các cổng kết nối hypervisors đó)

+ Ưu điểm: Chỉ cấu hình VLAN trên các cổng có kết nối thực sự => tiết kiệm tài nguyên.

+ Nhược điểm: Cần phát hiện hai chiều giữa Leaf switch và hypervisors, điều này có thể làm chậm quá trình triển khai VLAN nếu thông tin không được cập nhật kịp thời.

- On Demand: VLAN sẽ được triển khai trên các cổng leaf switch khi hypervisors được phát hiện (như immediate) và ít nhất một VM được gán vào một cổng tương ứng.

+ Ưu điểm: tối ưu hóa tài nguyên do chỉ cấu hình VLAN trên các cổng có nhu cầu thực sự (khi có VM sử dụng).

+ Nhược điểm: Có thể gây chậm trễ trong việc triển khai VLAN khi phải chờ phát hiện cả hypervisor và VM.

Deployment immediacy trong VMM

Deployment Immediacy xác định khi nào các chính sách được tải xuống phần mềm của leaf switch sẽ được đẩy vào bộ nhớ phần cứng CAM (Content-Addressable Memory) Dưới đây là hai tùy chọn cho Deployment Immediacy:

- Immediate: Chỉ định rằng chính sách sẽ được lập trình vào bộ nhớ CAM của phần cứng ngay khi chính sách được tải xuống phần mềm của leaf switch Điều này đảm bảo chính sách sẵn sàng hoạt động mà không có bất kỳ chậm trễ nào khi gói dữ liệu đầu tiên gửi đến.

+ Ưu điểm: Đảm bảo tất cả các chính sách đều được áp dụng ngay lập tức.

+ Nhược điểm: có thể sử dụng nhiều tài nguyên CAM mà không có dữ liệu nào đi qua các chính sách đó.

- On Demand: Khi chính sách mạng được cấu hình và tải xuống leaf switch, nó sẽ không ngay lập tức được áp dụng vào bộ nhớ CAM phần cứng Thay vào đó, chỉ khi gói dữ liệu đầu tiên đến và yêu cầu chính sách, chính sách mới được đẩy vào bộ nhớ CAM phần cứng.

+ Ưu điểm: Tối ưu hóa tài nguyên bộ nhớ CAM, chỉ sử dụng khi thực sự cần thiết.

+ Nhược điểm: Có thể có độ trễ nhỏ khi gói dữ liệu đầu tiên đến và cần áp dụng chính sách.

Alternative VMM Integrations

+ vSwitch: Một thành phần ảo hóa mạng chạy trên mỗi ESXi hypervisor và cung cấp kết nối mạng cho các máy ảo (VMs) trên cùng một máy chủ vật lý.

+ Mỗi máy chủ vật lý có một vSwitch riêng.

+ Các máy ảo (VMs) giao tiếp với nhau thông qua vSwitch trên cùng một máy chủ vật lý.

+ Không có giao tiếp nội bộ giữa các vSwitch: Các vSwitch không thể giao tiếp trực tiếp với nhau giữa các máy chủ vật lý, dẫn đến việc các VMs trên các máy chủ khác nhau không thể giao tiếp trực tiếp qua vSwitch.

+ Sao chép các port groups giữa các ESXi hosts: Cần phải sao chép thủ công các port groups (nhóm cổng) giữa các ESXi hosts để đảm bảo cấu hình mạng nhất quán.

+ Định tuyến L3 cho lưu lượng giữa các VMs trong các VLAN khác nhau: Để các VMs trong các VLAN khác nhau giao tiếp với nhau, cần có định tuyến L3.

- Alternative VMM Integrations với vSphere Distributed Switch (vDS):

+ vSphere Distributed Switch (vDS): Một thành phần mạng phân tán cung cấp cấu hình mạng nhất quán trên tất cả các ESXi hosts trong một môi trường vCenter.

+ Các ESXi hosts đều được kết nối với một vDS chung.

+ Cấu hình mạng phân tán trên tất cả các hosts: Cấu hình mạng được quản lý và áp dụng đồng bộ trên tất cả các ESXi hosts.

+ Cấu hình mạng nhất quán trong quá trình di chuyển VMs: Khi một VM được di chuyển từ một ESXi host này sang host khác, cấu hình mạng của VM được giữ nguyên và không cần cấu hình lại.

+ Định tuyến lưu lượng trong và ngoài qua vNICs và Uplink Adapters: Đảm bảo rằng lưu lượng mạng của các VMs có thể được định tuyến hiệu quả thông qua các vNICs và Uplink Adapters.

- Các lựa chọn Alternative VMM Integrations được hỗ trợ trong Cisco ACI:

Cisco ACI hỗ trợ tích hợp với nhiều nền tảng quản lý máy ảo (VMM) khác nhau, bao gồm:

+ Cisco ACI virtual edge (AVE) trên VMware vCenter

+ Microsoft SCVMM (System Center Virtual Machine Manager)

- Cisco ACI (Application Centric Infrastructure) tích hợp với Cisco AVE (ACIVirtual Edge):

Cisco ACI (Application Centric Infrastructure) tích hợp với Cisco AVE (ACI Virtual Edge) là một phương pháp tiên tiến để quản lý và tối ưu hóa mạng ảo hóa trong các môi trường VMware.

+ Triển khai AVE (ACI Virtual Edge): AVE được triển khai dưới dạng một máy ảo (VM) trên VMware VDS (vSphere Distributed Switch) trong tất cả các ESXi hosts liên quan AVE VM hoạt động như một phần mở rộng của hạ tầng ACI, cung cấp khả năng tích hợp chặt chẽ giữa mạng ảo và vật lý.

+ Port Groups và EPGs: Các Port Groups tương ứng với EPGs (Endpoint Groups) được triển khai trên VMware VDS, giống như một tích hợp VMware VDS thông thường EPGs là một khái niệm trong ACI đại diện cho một nhóm các thiết bị đầu cuối chia sẻ cùng một chính sách mạng.

+ Sử dụng PVLAN: Tất cả các port groups sẽ sử dụng PVLAN (Private VLAN) để lưu lượng mạng đi qua AVE VM trước khi đến các uplinks của VMware VDS Điều này đảm bảo rằng các chính sách mạng có thể được thực thi trong AVE VM PVLAN giúp cô lập lưu lượng giữa các thiết bị trong cùng một VLAN, cung cấp thêm một lớp bảo mật và kiểm soát.

+ Giao thức OpFlex: AVE VM và các leaf switch của ACI sử dụng giao thứcOpFlex trong ACI Infra VLAN để tải xuống các chính sách ACI vào AVEVM.OpFlex là một giao thức giúp các thiết bị mạng có thể áp dụng và quản lý chính sách mạng một cách tập trung từ APIC (Application Policy InfrastructureController).

MÔ TẢ TÍCH HỢP L4 ĐẾN L7

Chèn các dịch vụ không dùng Service Graph

Khi triển khai các thiết bị dịch vụ mạng (như tường lửa, cân bằng tải) vào môi trường ACI mà không sử dụng Service Graph, ta phải thực hiện cấu hình thủ công để điều hướng lưu lượng qua các thiết bị này Điều này bao gồm việc sử dụng VLAN stitching và cấu hình các chính sách mạng trực tiếp.

- VLAN Stitching là kỹ thuật sử dụng VLAN để định tuyến lưu lượng giữa các thiết bị mạng và các máy chủ Hình trên minh họa việc sử dụng BIG-IP để chuyển lưu lượng từ Internet tới các máy chủ nội bộ.

+ VLAN External (Tagged 0002): Được sử dụng để lưu lượng từ Internet tới thiết bị BIG-IP.

+ VLAN Internal (Tagged 0001): Được sử dụng để lưu lượng từ thiết bị BIG-IP tới các máy chủ.

- Manual Configuration of Service Insertion without Service Graph: Để cấu hình chèn thiết bị dịch vụ mà không sử dụng Service Graph, ta phải thực hiện các bước sau:

+ Tạo các Bridge Domains (BDs): BD1 cho EPG1 và EPG2, BD2 cho EPG3 và EPG4.

+ Tạo các EPGs: EPG1 và EPG2 thuộc BD1, EPG3 và EPG4 thuộc BD2.

+ Thiết lập các hợp đồng (Contracts): Hợp đồng được sử dụng để xác định lưu lượng giữa các EPG Trong ví dụ, lưu lượng từ Client tới VIP (Virtual IP) của thiết bị dịch vụ, rồi từ đó tới Server.

Chèn các dịch vụ dùng ACI L4-L7 Service Graph

Cisco ACI cho phép chèn các thiết bị dịch vụ (service appliances) vào trong luồng dữ liệu thông qua ACI L4-L7 Service Graph Đây là cách để tích hợp các dịch vụ như cân bằng tải (SLB) và tường lửa (Firewall) vào mạng ACI.

- Tổng quan về Service Appliance Insertion

+ ACI Fabric: Là nền tảng mạng ACI bao gồm các switch leaf và spine.

+ VM và Web EPG: Nhóm các máy ảo và ứng dụng web.

+ SLB (Service Load Balancer): Thiết bị cân bằng tải.

+ External EPG: Nhóm các thiết bị bên ngoài mạng ACI, như máy chủ hoặc dịch vụ bên ngoài.

+ Firewall: Thiết bị tường lửa.

+ APIC (Application Policy Infrastructure Controller): Bộ điều khiển quản lý chính sách của ACI.

+ Service Graph: Là tập hợp các dịch vụ mạng hoặc dịch vụ chức năng cần thiết cho ứng dụng Nó xác định chuỗi dịch vụ (service chaining) mà lưu lượng cần phải đi qua.

- Cấu hình tự động hóa:

+ Người dùng tập trung vào hợp đồng giữa các máy ảo khách hàng (Client VM) và các máy chủ backend.

+ Một số cấu hình có thể được tự động hóa bởi Service Graph (SG).

Chi tiết các bước trong sơ đồ:

+ Client VM gửi gói tin: Lưu lượng từ Client VM thuộc EPG1 gửi đến Server

VM thuộc ains): BD là các domain cầu nối, mỗi BD có thể chứa nhiều EPG. Lưu lượng đi qua BD1 (Client) và BD2 (Server).

+ Service Graph với các dịch vụ L4-L7: Lưu lượng từ Client VM trước khi đến Server VM sẽ đi qua các dịch vụ được xác định trong Service Graph Ví dụ: Lưu lượng đi qua Load Balancer (SLB) và Firewall.

+ Contract: Hợp đồng xác định chính sách và quy tắc giao tiếp giữa các EPG.Contract điều khiển việc chuyển tiếp lưu lượng giữa EPG1 và EPG3 thông qua các dịch vụ xác định trong Service Graph.

+ VIP (Virtual IP): Địa chỉ IP ảo được sử dụng bởi các thiết bị dịch vụ như SLB để cân bằng tải.

Quy trình hoạt động Service Graph

+ Định nghĩa thiết bị lớp 4 đến lớp 7, ví dụ như cân bằng tải (Load Balancer), tường lửa (Firewall), v.v Bao gồm thông tin chi tiết về các cổng của thiết bị. + Tạo một Service Graph Template: xác định dòng lưu lượng và cách các dịch vụ mạng sẽ được triển khai.

+ Áp dụng mẫu Service Graph vào một hợp đồng (contract) giữa hai EPGs (Endpoint Groups).

+ Tạo chính sách chọn thiết bị, liên kết thiết bị vật lý với mẫu Service Graph và hợp đồng.

- Service Graph hoạt động như thế nào:

+ Service Graph Template: Định nghĩa cách lưu lượng di chuyển qua các thiết bị dịch vụ Xác định trình tự các bước mà cân bằng tải, tường lửa và các dịch vụ khác mà lưu lượng cần đi qua trước khi đến đích cuối cùng.

+ Contract: Xác định các lưu lượng nào cần chuyển hướng qua Service Graph.Xác định các chính sách giao tiếp giữa các EPGs.

+ Device: Cung cấp thông tin về các interfaces và kết nối logic của thiết bị dịch vụ Giúp đảm bảo rằng thiết bị có đủ tài nguyên và cấu hình đúng để xử lý lưu lượng.

+ Device Selection Policy: Định nghĩa cách thiết bị giao tiếp với hệ thống mạng.

PHƯƠNG PHÁP QUẢN TRỊ CISCO ACI

Out - of - band management

- Out-of-Band (OOB): cung cấp quản lý giao tiếp thông qua việc cấu hình các interfaces vật lý dành riêng trên APIC và các Node ACI (các switch)

- Hộp thoại thiết lập ban đầu của APIC yêu cầu một địa chỉ IP OOB cho mỗi APIC.

+ Các node Leaf sẽ được gán địa chỉ IP quản lý thông qua giao diện GUI/management.

+ Trên APIC, một cấu hình OOB sẽ tạo ra một giao diện oobmgmt: Giao diện này được sử dụng để quản lý và truy cập APIC qua mạng Out-of-Band, đảm bảo việc quản lý thiết bị không bị ảnh hưởng bởi lưu lượng dữ liệu chính.

- Out-of-Band management sử dụng cổng quản lý chuyên dụng trên các thiết bị APIC, các switch leaf và switch spine.

- Lưu lượng trong mạng OOB management hoàn toàn tách biệt với các lưu lượng dữ liệu khác.

- Các mối quan hệ của OOB management:

+ Out-of-Band EPG: Đại diện cho các node ACI.

+ External Mgmt Instance Profile EPG: Đại diện cho các host bên ngoài truy cập các node ACI thông qua mạng OOB.

+ OOB Contracts: Hợp đồng OOB xác định các quy tắc và chính sách truy cập giữa các EPG quản lý.

+ Mgmt Subnet: Bất kỳ host nào không thuộc phạm vi này sẽ không có quyền truy cập OOB.

- Cấu hình Out of band management:

Sử dụng Cisco APIC GUI:

(1) Trên thanh menu, chọn Tenants > mgmt Trong ngăn Điều hướng, mở rộng Tenant mgmt.

(2) Nhấp chuột phải vào Node Management Addresses, và chọn Create Node Management Addresses.

(3) Trong hộp thoại Create Node Management Addresses, chỉ định các tham số cần thiết, chẳng hạn như trường Policy Name, kiểm tra trường Nodes bên cạnh APIC, leaf và spine switch tương ứng, chỉ định trường Out-of-Band Management EPG, trường Out-of-Band Gateway, trường Out-of-Band IP Addresses cho phạm vi địa chỉ IPv4 hoặc IPv6 mong muốn, và các thông tin khác.

(4) Trong ngăn Điều hướng, mở rộng Node Management Addresses, và nhấp vào chính sách mà bạn đã tạo.

(5) Trong ngăn Điều hướng, mở rộng Contracts > Out-of-Band Contracts.

(6) Nhấp chuột phải vào Out-of-Band Contracts, và chọn Create Out-of-Band Contract.

(7) Trong hộp thoại Create Out-of-Band Contract, chỉ định các tham số cần thiết, chẳng hạn như trường Name cho hợp đồng, tạo các chủ đề hợp đồng, bộ lọc, và các thông tin khác.

(8) Trong ngăn Điều hướng, mở rộng Node Management EPGs > Out-of-Band

(9) Trong ngăn Làm việc, mở rộng Provided Out-of-Band Contracts.

(10) Trong cột OOB Contract, từ danh sách thả xuống, chọn hợp đồng OOB mà bạn đã tạo (oob-default) Nhấp Update, và nhấp Submit.

(11) Trong ngăn Điều hướng, nhấp chuột phải vào External Management Network Instance Profile, và chọn Create External Management Network Instance Profile.

(12) Trong hộp thoại Create External Management Network Instance Profile, chỉ định các tham số cần thiết, chẳng hạn như trường Name, chọn ConsumedOut-of-Band Contracts, trường Subnets, và các thông tin khác.

In - Band Management

- In-band management cung cấp giao tiếp quản lý thông qua một hoặc nhiều cổng bảng điều khiển trước (data plane) trên các leaf switch trong mạng.

- Khi cấu hình in-band management kết nối tới các ACI nodes, có thể sử dung 3 dạng EPGs đại diện cho các host bên ngoài:

+ Application EPG (fvAEPg): Cung cấp chức năng quản lý tới các host bên ngoài kết nối trực tiếp với các cổng truy cập của leaf switch Được sử dụng khi các thiết bị bên ngoài được kết nối vào các cổng truy cập của leaf switch bên trong ACI fabric.

+ L2Out EPG (l2extInstP): Cung cấp chức năng quản lý tới các host bên ngoài thông qua một L2 bridge mạng ngoài.

+ L3Out EPG ( l3extInstP): Cung cấp chức năng quản lý tới các host bên ngoài thông qua một L3 route mạng ngoài.

- Mối quan hệ của In-band management trong mgmt tenant:

+ In-band EPG đại diện cho ACI nodes.

+ App EPG, L2 Out EPG, L3 Out EPG đại diện cho các host bên ngoài được kết nối tới ACI nodes thông qua IB network

+ In-band contracts: Xác định các chính sách truy cập giữa các EPG khác nhau. + Bridge Domain và Subnet: subnet sẽ được sử dụng cho In-band management IP addresses.

- Cấu hình In-band management;

Sử dụng Cisco APIC GUI tạo IP address cho in-band management:

MÔ PHỎNG CISCO ACI

Topology

- Các thành phần trong topology gồm:

+ ACI Simulator version 6.0 - gồm: Spine 1 and Spine 2, Leaf 1 and Leaf 2, APIC1, APIC2 and APIC3.

+ VMware Virtual Center Server 7.0 Appliance

Mô phỏng

Bước 1:Đăng nhập vào Cisco APIC

Bước 2:Thiết lập Spine 1 and Spine 2, Leaf 1 and Leaf 2 vào Fabric.

- Trong giao diện của Cisco APIC chọn System > QuickStart > ACI Fabric setup để mở Let’s Configure the Basics.

- Bấm Begin để mở trang Fabric membership Với thiết bị được phát hiện với Serial Number TEP-1-101 bấm Register.

- Trong Register Node điền thông tin như hình > OK > bấm vào biểu tượngRefresh ở phía trên cùng bên phải.

- Sau khoảng một phút hệ thống sẽ thêm vào danh sách Registered devices Nếu nhận được thông báo warning thì bấm X.

- Điền thông tin các Spine và Leaf để thêm vào Registered devices như hình dưới > bấm vàoBack To Overview để trở lại trangLet's Configure the Basics.

Bước 3:Cấu hình Out-of-Band Management

- Bấm Edit để mở trang Setup Out-of-Band Management.

- Tại dòng Out-Of-Band IPv4 Gateway điền 198.18.128.1/18 > Bỏ trống Out-Of-Band IPv6 Gateway > Save.

Bước 4:Cấu hình vPC Pairs

- Bấm Begin để mở trang setup - vPC Pair.

- Click Actions > Create vPC Leaf Switch Pair > điền thông tin như hình dưới.

- Bấm Save and sau đó bấm Back to Overview.

Bước 5:Cấu hình BGP Route Reflector

- Bấm Begin để mở trang Setup - BGP Route Reflector.

- Ở dòng Autonomous System Number field điền 65000 > Chọn cả 2 Spine (1 chính, 1 dự phòng) > Save.

- Bấm Begin để mở trang Setup DNS

- Ở bảng DNS Servers, bấm + > ở IP Address, điền 198.18.133.1 > đánh dấu vào Preferred > nhấp vào √.

- Ở bảng Search Domains, bấm + > ở Name, điền dcloud.cisco.com > đánh dấu vào Preferred > nhấp vào √.

- Bấm Begin để mở tràn Setup - NTP

- Ở NTP Servers table, bấm + > ở dòng IP Address, điền 198.18.128.1 > đánh dấu vào Preferred > nhấp vào √ > bấm Save.

Bước 8:Xem lại cấu hình Fabric

- Bấm vào Proceed To Summary > chọn Collapsed

8.2.2 Tạo VMware VMM Domain trong Cisco ACI

Bước 1:trở lại Cisco APIC > chọn Virtual Networking > VMware

Bước 2: chuột phải vào folder VMware > chọn Create vCenter Domain > điền các thông tin như hình > submit.

Bước 1: Vào Cisco APIC > Access Policies > Interface Configuration > chọn Actions

Bước 2:Điền các thông tin như hình dưới

Bước 3: Bấm Save > xác minh Interface Configuration.

8.2.4 Tạo Tenant và Application Profile

- Vào Cisco APIC > Tenant > Add Tenant > Điền tên Tenant: dCloud > Submit

Bước 2:Tạo VRF trong Tenant

- Chọn Networking > kéo VRF icon vào khung vẽ > điền tên dCloud.vrf-01 > Submit

- Kéo icon Bridge Domain thả và icon VRF dCloud.vrf-01 > điền tên 192.168.20.0_24 > Next

- Trong L3 configuration, trong Subnet table > bấm + > trong Gateway IP >192.168.20.1/24 > OK > Next > OK.

- Làm tương tự để tạo BD: 192.168.20.1_24 và 192.168.20.2_24.

- Chọn Tenants > mở rộng dCloud > chuột phải vào Application Profiles > chọn Create Application Profile > điền tên network-segments > chọn Submit.

- Mở rộng Application Profiles > chuột phải network-segments > CreateApplication EPG > trong Name field điền 192.168.20.0_24 > Bridge Domain chọn 192.168.20.0_24 > chọn Finish.

- Chọn Application EPG > chuột phải EPG 192.168.20.0_24 > Add VMM domain Association > điền thông tin như hình dưới > Submit.

- Làm tương tự để tạo EPG: 192.168.21.0_24 và 192.168.22.0

- Vào APIC > mở rộng tenant dCloud > mở rông Contracts > chọn Filters

+ Tạo Filter cho HTTP từ mọi nguồn: chuột phải Filters > Create Filter > đặt tên: tcp-src-any-dst-80 > trên Entries table nhập thông tin như hình dưới > Update > Submit

+ Làm tương tự để tạo Filters cho HTTPS và myspl

- Tạo Contract chỉ cho phép lưu lượng chuyển đến ứng dụng VMs: chuột phải vào Contracts folder > Create Contracts > đặt tên: permit-to-finance-app > trên bảng Subject bấm + > điền tên tcp > trên bảng Filters bấm + > chọn tcp-src-any-dst-80 > Update > OK > Submit

- Làm tương tự để tạo Contracts cho DB VMs và Web VMs

Bước 1: Mở Cisco APIC > Tenants > dCloud > chuột phải Application Profiles > Create Application Profiles > đặt tên Finance > Submit

Bước 2: Mở rộng Finance > chuột phải Endpoint Security Group > chọn CreateEndpoint Security Group > điền tên: App > chọn VRF dCloud.vrf-01 > Next > bảngTag Selector chọn + > trong Tag key điền Function > điền App > OK.

Bước 3:Lặp lại các bước để tạo EPGs cho DB và Web VMs

Mở Cisco APIC > Admin > Config Rollbacks > chọn tenant muốn sao lưu để khôi phục > Description > điền nội dung > Create snapshot Now.

Bước 2:Khi muốn khôi phục về lại cấu hình đã lưu

Admin > Config Rollbacks > chọn Tenant đã lưu > Chọn Config Rollback to thisConfiguration.

Ngày đăng: 24/11/2024, 06:37

HÌNH ẢNH LIÊN QUAN

Hình 1.1 Quá trình hình thành phát triển của tổng công ty - Báo cáo thực tập tốt nghiệp Đề tài nghiên cứu giao thức sdn trong mạng ip của mobifone
Hình 1.1 Quá trình hình thành phát triển của tổng công ty (Trang 6)
Sơ đồ này minh họa cách mà Cisco ACI chuyển tiếp lưu lượng từ một host không kết nối vPC đến một miền vPC trong mạng, và ngược lại: - Báo cáo thực tập tốt nghiệp Đề tài nghiên cứu giao thức sdn trong mạng ip của mobifone
Sơ đồ n ày minh họa cách mà Cisco ACI chuyển tiếp lưu lượng từ một host không kết nối vPC đến một miền vPC trong mạng, và ngược lại: (Trang 41)

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w