思科cisco以應(yīng)用為中心基礎(chǔ)架構(gòu)aci全面介紹

本手冊(cè)中所述產(chǎn)品的規(guī)格和信息可能會(huì)發(fā)生改變，恕不另行通知。認(rèn)為本手冊(cè)中的所有信息和建議都準(zhǔn)確無(wú)誤，但不提供任何明示或暗示的保證。用戶必須對(duì)任得一思科執(zhí)行的TCP報(bào)頭壓縮是對(duì)加州大學(xué)伯克利分校（UCB）開(kāi)發(fā)的某一程序的修改，它是UNIX操作系統(tǒng)的UCB公用版的一部分。 。?1981，加利福尼亞大學(xué)董和性非過(guò)程用式或貿(mào)易慣例所生的擔(dān)保。任何情況下，思科或其供應(yīng)商均不對(duì)任何間接性特殊性性或附帶性損害承擔(dān)責(zé)任，包括但不限于由于使用或未能使用這些設(shè)計(jì)而導(dǎo)致的利潤(rùn)損失或數(shù)據(jù)丟失或損壞，本文檔中使用的任何互聯(lián)網(wǎng)協(xié)議(IP)地址和并不代表實(shí)際地址和。本文檔中包括的任何示例命令顯示輸出網(wǎng)絡(luò)拓?fù)鋱D和其他圖形僅用于說(shuō)明目的。在圖示內(nèi)容中使用的IP地址或純屬虛構(gòu)，雷同，純屬巧合。 ?2014思科系統(tǒng)公司 前 前言xixi文檔反饋獲取文檔和提交服務(wù)請(qǐng)求1全新的和經(jīng)過(guò)修改的信息全新的和經(jīng)過(guò)修改的信息2思科以應(yīng)用為中心的基礎(chǔ)架構(gòu)關(guān)于思科以應(yīng)用為中心的基礎(chǔ)架3關(guān)于思科應(yīng)用策略基礎(chǔ)架構(gòu)控制4確定矩陣的行為方式643ACI策略模ACI策略模型策略模型的關(guān)鍵特征邏輯構(gòu)造管理信息模型端點(diǎn)組應(yīng)用配置文件、過(guò)濾器和管理EPG通信橋域和外部網(wǎng)絡(luò)管理對(duì)象關(guān)系和策略解析跨租戶EPG通信系統(tǒng)第4 ACI矩陣的基本信息ACI矩陣的基本信息解耦和位置策略識(shí)別和執(zhí)行封裝正原生802.1p和帶的EPG組播樹(shù)關(guān)于流量風(fēng)暴控制風(fēng)暴控制指南負(fù)載均衡端點(diǎn)保留ACI矩陣的安全策略模型控制列表限制合約包含安全策略規(guī)范安全策略執(zhí)行34第5 矩陣配置矩陣配置啟動(dòng)發(fā)現(xiàn)和配置集群管理指南APIC集群規(guī)模37APIC集群規(guī)模3939默認(rèn)策略矩陣策略概覽矩陣策略配置策略概覽策略配置調(diào)度員固件升級(jí)地理位置第6 網(wǎng)絡(luò)和管理連接租戶的路由選擇用于傳輸子網(wǎng)間租戶流量的3VNID配置路由反射器WAN和其他外部網(wǎng)絡(luò)通往外部路由器的橋接接口路由器對(duì)等互連和路由分布式互連連接實(shí)體配置文件通往外部網(wǎng)絡(luò)的橋接和路由連接DHCPDNS帶內(nèi)和帶外管理帶內(nèi)管理帶外管理共享服務(wù)合約用法第7 用戶、驗(yàn)證的記錄用戶、驗(yàn)證和記錄多租戶用戶：角色、權(quán)限和安全域自定義RBAC跨安全域選擇性地物理資源允許跨安全域共享服務(wù)APIC本地用從外部管理的驗(yàn)證服務(wù)器用戶思科AVPair格式76RADIUS76LDAP/主動(dòng)式驗(yàn)證77APICBashID7777第8 虛擬機(jī)管理器域虛擬機(jī)管理器域VMM策略模型vCenter域配置工作流程vCentervShield配置工作流程創(chuàng)建應(yīng)用EPG策略解析和部署即時(shí)性VMM組件按需刷新93關(guān)于向ACIVLANVcenter管理程序VMK0的指南創(chuàng)建必要的管理EPG第9 第4至7層服務(wù)第4至7層服務(wù)47層策略模型服務(wù)圖服務(wù)圖配置參數(shù)服務(wù)圖自動(dòng)服務(wù)設(shè)備包關(guān)于設(shè)備關(guān)于具體設(shè)備功能節(jié)點(diǎn)功能節(jié)點(diǎn)連接器終端節(jié)點(diǎn)關(guān)于權(quán)限服務(wù)自動(dòng)化和配置管理服務(wù)資第10 管理工具管理工具GUICLIVisore管理的對(duì)象查看器管理信息模型參考API檢查器109類級(jí)查詢對(duì)象級(jí)被管理對(duì)象的屬性REST接口接入對(duì)配置導(dǎo)出/配置數(shù)據(jù)庫(kù)分片配置導(dǎo)出配置導(dǎo)入技術(shù)支持、統(tǒng)計(jì)、第11 117故障、錯(cuò)誤、事件、審計(jì)日志審計(jì)日志統(tǒng)計(jì)屬性、層級(jí)、閾值和配置策略第12 故障排除故障排除健康得分系統(tǒng)和Pod健康得分租戶健康得分MO健康得分健康得分匯總和影響原子計(jì)ARP、ICMP和路由附錄 租戶策略示例租戶策略示例概覽租戶策略示例XML租戶策略示例說(shuō)明總體策略租戶策略示例過(guò)濾器141142三層地橋接域應(yīng)用配置文件端點(diǎn)和服務(wù)器組（EPG）示例租戶策略的作用附錄 匹配匹配附錄 接入策略示例應(yīng)用于多個(gè)交換機(jī)的單端口通道配置應(yīng)用于多個(gè)交換機(jī)的雙端口通道配置跨兩個(gè)交換機(jī)的單虛擬端口通道兩個(gè)交換機(jī)選定端口組上的一個(gè)虛擬端口通道設(shè)置接口速度附錄 租戶第3層外部網(wǎng)絡(luò)策略示例租戶外部網(wǎng)絡(luò)策略示例附錄E DHCP中繼策略示例2層和第3DHCP中繼樣本策略附錄 DNS策略示例DNS附錄 RBAC規(guī)則樣本RBAC規(guī)則樣附錄 術(shù)語(yǔ)表術(shù)語(yǔ)表前前言包含下列幾部分目標(biāo)讀者，第xi文檔慣例，第xiError!Bookmarknotdefined.文檔反饋，第xiv獲取文檔和提交服務(wù)請(qǐng)求，第xiv目標(biāo)讀

本指南主要面向數(shù)據(jù)中心負(fù)責(zé)并懂得下列一個(gè)或多個(gè)領(lǐng)域的管理虛擬機(jī)安裝和管服務(wù)器管交換機(jī)和網(wǎng)絡(luò)管文檔慣

命令說(shuō)明適用下列慣例慣說(shuō)加加粗文本表示你按照說(shuō)明逐字輸入令和斜體文本表示用戶提供數(shù)值的參方括號(hào)中表示可選元素（關(guān)鍵字或參數(shù)）慣說(shuō)[x|方括號(hào)里面有被豎線隔開(kāi)的關(guān)鍵字或參數(shù)表示可選{x|大括號(hào)里面有被豎線隔開(kāi)的關(guān)鍵字或參數(shù)表示必選[x{y|變?cè)跓o(wú)法使用斜體的上下文中表示你為之提供數(shù)值的變量字符示例采用下列慣例慣說(shuō)屏幕字終端會(huì)話和交換機(jī)顯示的i型你西采用屏幕字體屏幕字體黑你必須用屏幕字體黑體輸入的信你為之提供數(shù)值的參數(shù)采用屏幕字體斜<非打印字符，如，用尖括號(hào)表示[對(duì)系統(tǒng)提示的默認(rèn)回復(fù)采用方括#-------------在一行代碼開(kāi)頭的嘆號(hào)（?。┗蚓?hào)（#）表示注釋行本文采用下列慣備 表示讀者應(yīng)注意的地方。備注包含指南中沒(méi)有涉及的有用建議或參考表示讀者應(yīng)的地方。在這種情況下，用戶可能會(huì)進(jìn)行可能導(dǎo)致儀器損壞或數(shù)據(jù)丟失的前前相關(guān)文警告這種警告符號(hào)表示。用戶所處的情況可能導(dǎo)致人身。在操作任何設(shè)備之前，注意與電路有關(guān)的，熟悉預(yù)防事故的常規(guī)做法。通過(guò)每個(gè)警告末尾的語(yǔ)句可以找到隨機(jī)附帶的保存說(shuō)相關(guān)文

《以應(yīng)用為中心的基礎(chǔ)架構(gòu)》文檔集包含的下列文檔可以在 中的下列查閱： controller-apic/tsd-products-support-series-homehtml。網(wǎng)頁(yè)文APIC思科APIC參APICPythonSDKACIACIMIB文知識(shí)庫(kù)文章（KB文章）可通過(guò)下列：ht systems-management/application-policy-infrastructure-controller-apic/products-configuration-APICAPICRESTAPI思科APIC思科APICACINX-OSAPIC47APIC47APIC47ACIACIACI交換機(jī)命令參考，NX-OSACIMIB思科NexusCLI到思科APIC指Nexus9336PQACI-ModeNexus9396PXACI-ModeNexus9396TXACI-ModeNexus93128TXACI-ModeNexus9504ACI-ModeNexus9508ACI-Mode思科以應(yīng)用為中心的基礎(chǔ)架構(gòu)（ACI）模擬器文如欲查看下列思科ACI模擬器文檔，可登錄ht 思科ACI思科ACI思科ACI思科Nexus9000系列交如欲查看思科Nexus9000系列交換機(jī)文檔，可登錄ht 思科應(yīng)用虛擬交換機(jī)如欲查看思科應(yīng)用虛擬交換機(jī)（AVS）文檔，可登錄ht 文檔反

如需為本文提供技術(shù)反饋或報(bào)告錯(cuò)誤或遺漏，請(qǐng)將您的意見(jiàn)發(fā)送至apic-doc 獲取文檔和提交關(guān)于獲得文檔、使用思科搜索工具（BST）、提交服務(wù)請(qǐng)求和搜集其他信息的信息， us/td/docs/general/whatsnew/whatsnew 參考《思科產(chǎn)品文檔動(dòng)態(tài)訂閱《思科產(chǎn)品文檔動(dòng)態(tài)》，以RSS郵件的方式查看所有全新的和經(jīng)過(guò)修改的思科技術(shù)文檔，通過(guò)閱讀器應(yīng)用直接把內(nèi)容推送到桌面。RSS郵件是一項(xiàng)免費(fèi)服務(wù)。1章本章包括以下部分全新的和經(jīng)過(guò)修改的信息，第1全新的和經(jīng)過(guò)修表1：思科APIC版本1.0中的新特性和行為變化特說(shuō)在文中的位--風(fēng)暴控執(zhí)行第2層風(fēng)暴控制第28頁(yè)--AAAVMM域VMM域可以被標(biāo)記為安全域，這樣安全域，第70頁(yè)--VMM組件按需同步VMMAPIC之第93頁(yè)支持選擇目標(biāo)MAC地址或IP--原子計(jì)數(shù)器，第133--VMM找出建議的工作流程順序VMM域指南，第頁(yè)特說(shuō)在文中的位--自定70--RBAC規(guī)則樣本，第167--健康得分計(jì)算確定系統(tǒng)、podMO層級(jí)健--健康得分，第128--多節(jié)點(diǎn)SPANERSPAN方針和首標(biāo)確定ERSPANERSPAN的指導(dǎo)--多節(jié)SPAN，第134--EPG不帶VLAN和帶的為使用不帶的EPGVLANS提供--服務(wù)器組，第13--橋接域傳統(tǒng)模式提供用于配置傳統(tǒng)橋接域的指導(dǎo)--橋接域和子網(wǎng)18TCACS+配置，包含示例增加AAALDAP和TCACS配置示例證，第77頁(yè)驗(yàn)--TACACS+驗(yàn)證，76--VMMESXVMK0指導(dǎo)方針本文沒(méi)有重大改動(dòng)ACIVLAN遷移Vcenter管理程序VMK094頁(yè)--針對(duì)配置導(dǎo)入/導(dǎo)出最佳努力、原子、合并和更換選項(xiàng)的說(shuō)明配置導(dǎo)入/導(dǎo)出策略的增強(qiáng)配置導(dǎo)出導(dǎo)入，第112--更新刪除（帶擦除選項(xiàng)）為使用刪除邊緣交換機(jī)（矩陣組件，第392思科以應(yīng)用為中心的基礎(chǔ)架本章包括以下部分關(guān)于思科以應(yīng)用為中心的基礎(chǔ)架構(gòu)，3頁(yè)關(guān)于思科應(yīng)用策略基礎(chǔ)架構(gòu)控制器，4頁(yè)思科以應(yīng)用為中心的基礎(chǔ)架構(gòu)概覽，確定矩陣的行為方式，第64頁(yè)關(guān)于思科以應(yīng)用為中心的基礎(chǔ)關(guān)于思科應(yīng)用策略基礎(chǔ)架構(gòu)控思科應(yīng)用策略基礎(chǔ)架構(gòu)控制器（）I支持應(yīng)用直接連接一個(gè)包含網(wǎng)絡(luò)、計(jì)算和能力的安全、共享且高性能的。下圖概括描述了C。1：APICPICIPIC應(yīng)用部署和健康的管理點(diǎn)。作為一個(gè)、同步、集群化控制器實(shí)施的PIC優(yōu)化了性能、在任何地方為任何設(shè)備提供支持，提供物理和虛擬基礎(chǔ)機(jī)構(gòu)的操作。PC使得網(wǎng)絡(luò)管理員可以輕松地為應(yīng)用定義最佳網(wǎng)絡(luò)。數(shù)據(jù)中心操作員可以清楚地看到應(yīng)用使用網(wǎng)絡(luò)資源的方地并思科以應(yīng)用為中心的基礎(chǔ)架構(gòu)備/設(shè)備矩陣模型運(yùn)行。這些交換機(jī)把每個(gè)邊緣節(jié)點(diǎn)同每個(gè)節(jié)點(diǎn)連在一起，形成了一個(gè)“胖樹(shù)”網(wǎng)絡(luò)；所有其他設(shè)備都與邊緣節(jié)點(diǎn)連接。APIC管理ACI矩陣。為APIC的最小配置是三個(gè)主機(jī)的集群。APIC矩陣管理功能不在矩陣數(shù)據(jù)路徑中運(yùn)行。下圖概括描述了邊緣/核心ACI矩陣。思思科以應(yīng)用為中心的思科以應(yīng)用為中心的基礎(chǔ)架構(gòu)概表2：ACI矩陣概NexusI40bps100bp址位于同一個(gè)邊緣交換機(jī)上的流量在本地處理，而所有其他流量通過(guò)交換機(jī)從邊緣節(jié)點(diǎn)33ACI矩陣面象的操作系統(tǒng)（OS）在思科Nexus9000系列的每個(gè)節(jié)點(diǎn)上運(yùn)行。它使得能夠?yàn)镮矩陣操作系統(tǒng)把來(lái)自PIC種物理模型物理模型類似于編譯的；它是交換機(jī)操作系統(tǒng)可以執(zhí)行的那種模型。下圖顯示了圖3：被渲染為物理模型物理模型的邏輯模NX-

策略元素NX-所有的交換機(jī)節(jié)點(diǎn)都包含一套完整的物理模型物理模型。當(dāng)一名管理員在代表一種配置的APIC中創(chuàng)建一個(gè)策略時(shí)，APICAPIC就會(huì)執(zhí)行創(chuàng)建一個(gè)完全詳盡的策略，備 思科Nexus9000系列交換機(jī)僅能執(zhí)行這個(gè)物理模型。每個(gè)交換機(jī)都有一套物理模型。如果所 都離線，那么矩陣會(huì)繼續(xù)運(yùn)行，但無(wú)法修改矩陣策PICPICPIC思科Nexus9000系列交換機(jī)提供模塊化且固定的1G、10G和40G以太網(wǎng)交換機(jī)配置。該配置既可以在思科NX-OS獨(dú)立模式下運(yùn)行，從而與當(dāng)前的思科Nexus交換機(jī)兼容和一致；也可以在ACI模式下運(yùn)行，以便完全利用APIC的應(yīng)用策略驅(qū)動(dòng)服務(wù)和基礎(chǔ)結(jié)構(gòu)的自動(dòng)化特性。確定矩陣的行為ACI矩陣允許客戶自動(dòng)化和安排可擴(kuò)展、高性能的網(wǎng)絡(luò)資源、計(jì)算資源和資源，從而部署云。定義ACI矩陣行為方式的重要參與者包括：IT計(jì)劃員、網(wǎng)絡(luò)工程師和安全工程通過(guò)APICAPI系統(tǒng)的開(kāi)發(fā)應(yīng)用和網(wǎng)絡(luò)管理REST架構(gòu)是一種支持云計(jì)算的重要開(kāi)發(fā)方法。ACIAPI基于REST。網(wǎng)（WorldWideWed）是一種符合REST架構(gòu)風(fēng)格的最大的系統(tǒng)實(shí)施。云計(jì)算在規(guī)模和方法方面與傳統(tǒng)計(jì)算有所不同。傳統(tǒng)環(huán)境包括需求，需要各種相關(guān)技能，消耗大量運(yùn)行成本。大規(guī)?；A(chǔ)架構(gòu)為云應(yīng)用所用的系統(tǒng)設(shè)計(jì)提供支持，而前者的部署成本曲線下降得非常迅速。在這種基礎(chǔ)架構(gòu)風(fēng)格下，系統(tǒng)管理員、開(kāi)發(fā)團(tuán)隊(duì)和網(wǎng)絡(luò)通過(guò)協(xié)在傳統(tǒng)環(huán)境下，計(jì)算資源和端點(diǎn)的網(wǎng)絡(luò)接入通過(guò)虛擬N（VN）或剛性面層（如多協(xié)議標(biāo)簽交換（PS））管理，通過(guò)嚴(yán)格定義的網(wǎng)絡(luò)服務(wù)（如負(fù)載均衡器和）推動(dòng)流量。PICI網(wǎng)絡(luò)中動(dòng)態(tài)而不是靜態(tài)地配置資源。如此一來(lái)，部署時(shí)間（上市時(shí)間）可以從數(shù)月或數(shù)周減少到幾分鐘。通過(guò)調(diào)用PI，改變虛擬或物理交換機(jī)、適配器、策略和其他軟硬件部件的配置可從傳統(tǒng)做法到云計(jì)算方法要求從數(shù)據(jù)中心獲得更加靈活、可擴(kuò)展的服務(wù)。這些需要大量技能高超的。PIC的設(shè)計(jì)過(guò)程中考慮了可編程性和集中化管理。PIC的一種重要特性ETPI。PICTPIP或PJaScrpt對(duì)象表示法（JSON）或可擴(kuò)展標(biāo)記語(yǔ)言（ML）文件?，F(xiàn)在很多網(wǎng)頁(yè)開(kāi)發(fā)者使用Tl方法。在整個(gè)網(wǎng)絡(luò)中采用PI使得業(yè)可輕松與其他外部服務(wù)供方創(chuàng)3ACI策略模本章包括以下部分ACI策略模型，第7策略模型的關(guān)鍵特征，第8邏輯構(gòu)造，第8管理信息模9租戶，第11端點(diǎn)組13應(yīng)用配置文14合約，第15、過(guò)濾器和管理EPG通信，第16情境，第17橋域和子網(wǎng)，第18外部網(wǎng)絡(luò)，第19管理對(duì)象關(guān)系和策略解析，第19跨租戶EPG通信系統(tǒng)，第20標(biāo)記，第20ACIACI策略模型實(shí)現(xiàn)了應(yīng)用程序需求策略的具體要求。APIC在結(jié)構(gòu)基礎(chǔ)架構(gòu)中自動(dòng)傳遞策略。當(dāng)用戶或程序?qū)Y(jié)構(gòu)中的一個(gè)對(duì)象發(fā)起管理變更時(shí)，APIC首先會(huì)將該變更應(yīng)用到策略模型中。隨后，策略模型變更了實(shí)際管理端點(diǎn)的變更。這種方法被稱作模型驅(qū)動(dòng)架構(gòu)。策略模型的關(guān)鍵策略模型的關(guān)鍵特征包括以下內(nèi)容作為一種模型驅(qū)動(dòng)的結(jié)構(gòu)，該全面展現(xiàn)了系統(tǒng)（模型）的管理狀態(tài)和運(yùn)行狀態(tài)。該模型邏輯域和具體域是分開(kāi)的；通過(guò)應(yīng)用與可用的實(shí)體資源相關(guān)的策略，邏輯配置轉(zhuǎn)換為具體配置。實(shí)施的配置沒(méi)有不符合具體實(shí)體的。具體實(shí)體是作為PIC策略模型變更的副作用而配VN）。系統(tǒng)與新接入的設(shè)備通信，除非策略模型更新，已包括該新設(shè)備網(wǎng)絡(luò)管理員不直接配置邏輯系統(tǒng)資源和實(shí)物系統(tǒng)資源，而是定義邏輯（獨(dú)立于硬件的）PIC邏輯構(gòu)

策略模型管理著整個(gè)結(jié)構(gòu)，包括基礎(chǔ)架構(gòu)、驗(yàn)證、安全、服務(wù)、應(yīng)用和。策略模型中的邏輯構(gòu)造定義了結(jié)構(gòu)如何滿足結(jié)構(gòu)中所有功能的需求。下表展示了I策略模型邏輯構(gòu)造的概表4：ACI策略模型邏輯構(gòu)造概APICAPIC策租戶，……租戶端點(diǎn)（橋（合指定的相關(guān)端點(diǎn)L3功組，例如財(cái) 子網(wǎng)默認(rèn)網(wǎng)靜態(tài)或動(dòng)態(tài)成EPG間情Unigue轉(zhuǎn)發(fā)端點(diǎn)：服務(wù)器、VM 、互聯(lián)網(wǎng)客戶端等獨(dú)立于位置的結(jié)構(gòu)范圍內(nèi)的管理員或租戶管理員創(chuàng)建了預(yù)定義的策略，包括應(yīng)用程序或共享資源需求。這些策略使得應(yīng)用程序設(shè)置、與網(wǎng)絡(luò)相關(guān)的服務(wù)、安全策略、租戶子網(wǎng)等實(shí)現(xiàn)自動(dòng)化，將管理員置于根管理信息結(jié)構(gòu)包括實(shí)物組件和邏輯組件，都記錄在管理信息模型（簡(jiǎn)稱MIM）中，可以用分層的管理信息樹(shù)（簡(jiǎn)稱MIT）展現(xiàn)。信息模型由APIC上運(yùn)行的程序來(lái)并管理。與OSI的公共管理信息協(xié)議（CMIP）X.500變體類似，APIC能夠控制管理資源，方法是展示它們的管理特征作為對(duì)象屬性，這些屬性可以根據(jù)對(duì)象在MIT分層結(jié)構(gòu)中的位置來(lái)獲得。樹(shù)上的每個(gè)節(jié)點(diǎn)都代表了一個(gè)管理對(duì)象（簡(jiǎn)稱MO）或一組對(duì)象。O是結(jié)構(gòu)資源的抽象?？梢源砭唧w對(duì)象，例交換機(jī)、適配器，也可以代表邏輯對(duì)象，例如應(yīng)用配置文檔、端點(diǎn)組，或IT表5：管理信息樹(shù)總總體策控制器租戶-用戶結(jié)構(gòu) 庫(kù)VM第4-7層服 AAA，安分層結(jié)構(gòu)開(kāi)始于頂層的總體策略（稱作oot），包括父節(jié)點(diǎn)和子節(jié)點(diǎn)。樹(shù)上的每個(gè)節(jié)點(diǎn)都是一個(gè)MO，結(jié)構(gòu)中的每個(gè)對(duì)象都有一個(gè)唯一的專有名稱（簡(jiǎn)稱DN）下面的管理對(duì)象包括了管理系統(tǒng)運(yùn)行的策略APIC控制器包括了一個(gè)的同步群集控制器，提供針對(duì)多租戶結(jié)構(gòu)的管理、策略編程、租戶是策略的容器，使得管理員能夠行使基于域的接入控制。系統(tǒng)提供以下四種租用戶租戶由管理員根據(jù)用戶的需要而定義。其包含各項(xiàng)策略，管理各種資源的運(yùn)的通用租戶由系統(tǒng)提供，但可以由結(jié)構(gòu)管理員配置。其包含各項(xiàng)策略，管理所有租戶可的資源的運(yùn)行，例如、負(fù)載均衡器、第4至7層服務(wù)、檢測(cè)種基礎(chǔ)架構(gòu)資源的運(yùn)行，例如結(jié)構(gòu)VXLAN疊加等。它使得結(jié)構(gòu)提供者可以選擇管理租戶由系統(tǒng)提供，但可以由結(jié)構(gòu)管理員配置。其包含多項(xiàng)策略，管理結(jié)構(gòu)管理功能的運(yùn)行，這些功能用于結(jié)構(gòu)節(jié)點(diǎn)的帶內(nèi)和帶外配置。管理租戶包含一個(gè)私人的帶外地址空間，用于PI/結(jié)構(gòu)通信，其處于結(jié)構(gòu)數(shù)據(jù)路徑之外，通過(guò)交換機(jī)的管理端口提供接入。管理租戶能夠發(fā)現(xiàn)與虛擬機(jī)管理者的通信，并使其接入策略管理著轉(zhuǎn)換接入端口的運(yùn)行，提供與如下資源的連接，例如、計(jì)算、第2層和第3層（橋接與路由）連接、虛擬機(jī)管理程序、第4層至第7層設(shè)備，等。如果租戶需要一些接口配置，且不是默認(rèn)提供的那些接口配置，思科發(fā)現(xiàn)協(xié)議（簡(jiǎn)稱CDP），鏈路層發(fā)現(xiàn)協(xié)議（簡(jiǎn)稱LLDP），鏈路聚合控制協(xié)議（LACP），或生成樹(shù)，管理員必須結(jié)構(gòu)策略管理著轉(zhuǎn)換結(jié)構(gòu)接口的運(yùn)行，包括如下功能，例如網(wǎng)絡(luò)時(shí)間協(xié)議服務(wù)器同步（簡(jiǎn)稱TP），中間系統(tǒng)到中間系統(tǒng)協(xié)議（簡(jiǎn)稱SIS），邊界網(wǎng)關(guān)協(xié)議（簡(jiǎn)稱BP）路由反，稱DS等構(gòu)MO虛擬機(jī)（VM）VM控制器。VM控制器可以共享VLAN或虛擬可擴(kuò)展局域網(wǎng)（VXLAN）空間和應(yīng)用端點(diǎn)組（EPG）。APIC與VM控制器通信，以發(fā)布網(wǎng)絡(luò)配置，例如接口組，隨后應(yīng)用到虛擬工作負(fù)載上。第4層至第7層服務(wù)集成生命周期自動(dòng)化框架，使得系統(tǒng)在服務(wù)上線或下線時(shí)能夠動(dòng)態(tài)響應(yīng)。、認(rèn)證、計(jì)費(fèi)（簡(jiǎn)稱AAA）策略管理著思科ACI結(jié)構(gòu)的用戶權(quán)限、角色和安全分層策略模型與RESTfulAPI接口非常匹配。當(dāng)調(diào)用時(shí)，API或?qū)懭氲組IT上的對(duì)象。URL直接到專有名稱上，這些名稱可以識(shí)別出MIT上的對(duì)象。MIT上的任何數(shù)據(jù)都可以被描述成一個(gè)設(shè)施齊全的結(jié)構(gòu)樹(shù)文本文檔，該文檔采用了XML或JSON編碼。租租戶（fTnt）是一個(gè)應(yīng)用策略的邏輯容器，使得管理員能夠執(zhí)行基于域的接入控制。租戶代表了一個(gè)從策略角度來(lái)看的獨(dú)立單元，但并不代表一個(gè)網(wǎng)絡(luò)。租戶可以代表服務(wù)供應(yīng)者設(shè)置中的客戶，企業(yè)設(shè)置中的組織機(jī)構(gòu)或域，或只是一組方便分組的策略。下表展示了管理信息樹(shù)（MIT）中租戶部分的概覽6：租租租外部網(wǎng)應(yīng)配置文橋情合過(guò)濾子端點(diǎn)圖例：實(shí)線表示該對(duì)象包含下面的對(duì)象。虛線表示兩者之間有1:n表示一對(duì)多；n:n表示多租戶可以彼此獨(dú)立，也可以共享資源。租戶包含的主要組成部分有：過(guò)濾器、合約、外部網(wǎng)絡(luò)、橋域、情境、包含端點(diǎn)組（PG）的應(yīng)用配置文檔。租戶內(nèi)的單元獲得了其策略。租戶可以包含（R租戶是應(yīng)用策略的邏輯容器。結(jié)構(gòu)可以包含多個(gè)租戶。你必須先配置一個(gè)租戶，然后才能部署47層的服務(wù)端點(diǎn)

P）（IT7：端點(diǎn)PG是一個(gè)管理對(duì)象，它是一個(gè)包含一系列端點(diǎn)的指定邏輯單元。端點(diǎn)是直接或間接與網(wǎng)絡(luò)相連的設(shè)備。他們有地址（標(biāo)識(shí)）、位置、屬性（例如版本或補(bǔ)丁級(jí)別），可以是實(shí)物，也可以是虛擬的。知道一個(gè)端點(diǎn)的地址，就能接入其他所有的。PG在實(shí)物和邏輯拓?fù)渲芯耆怦詈?。端點(diǎn)的示例包括服務(wù)器、虛擬機(jī)、與網(wǎng)絡(luò)相連的、或是互聯(lián)網(wǎng)上的客戶端。EPGEPG包含擁有共同策略需求的端點(diǎn)，例如安全性、虛擬機(jī)移動(dòng)性（VMM）、QoS4層至7EPG中，作為一組整體管理。ACI結(jié)EPG：應(yīng)用程序端點(diǎn)組第2層外部的實(shí)例端點(diǎn)組第3層外部的實(shí)例端點(diǎn)組帶外（mgmtOoB）或帶內(nèi)（mgmtInB）接入管理端點(diǎn)EPG，而絕不會(huì)應(yīng)用于單獨(dú)的端點(diǎn)。EPGAPIC中的管理員進(jìn)行靜態(tài)配置，或者是由例如vCenter或OpenStack的自動(dòng)系統(tǒng)進(jìn)行動(dòng)態(tài)配置。 當(dāng)EPG使用靜態(tài)綁定路徑，與此EPG相關(guān)聯(lián)的封裝VLAN必須是一個(gè)靜態(tài)VLAN池的一無(wú)論EPG如何配置，EPG策略都被應(yīng)用到其包含的端點(diǎn)上WAN路由器連接至結(jié)構(gòu)是使用靜態(tài)EPG配置的一個(gè)示例。為了WN3eIntPPGWN有端點(diǎn)。當(dāng)端點(diǎn)在其連接生命周期中前進(jìn)時(shí)，結(jié)構(gòu)通過(guò)發(fā)現(xiàn)程序獲知到端點(diǎn)。通過(guò)獲知端點(diǎn)，結(jié)3eIntPPGWN（fvAEPg）EPGTCP會(huì)話，l3extInstPEPGfvAEPgEPG網(wǎng)絡(luò)服務(wù)器開(kāi)始通TCP會(huì)話結(jié)束、客戶端與服務(wù)器之虛擬機(jī)管理連接至VMwarevCenter是使用動(dòng)態(tài)EPG配置的一個(gè)示例。一旦虛擬機(jī)管理域被配置在結(jié)構(gòu)中，vCenter就啟動(dòng)動(dòng)態(tài)配置EPG，使得虛擬機(jī)端點(diǎn)能夠根據(jù)需要啟動(dòng)、運(yùn)動(dòng)、關(guān)閉。應(yīng)用配置應(yīng)用配置文檔（vp）創(chuàng)立了應(yīng)用程序需求模型。應(yīng)用配置文檔是針對(duì)PG容器。下表展示了在管理信息樹(shù)（IT）中應(yīng)用配置文檔位于何處，以及他們與租戶中其他對(duì)表8：應(yīng)用配置文租租外部網(wǎng)橋情合過(guò)濾子端點(diǎn)應(yīng)用配置文檔包含一個(gè)或多個(gè)PG?，F(xiàn)代應(yīng)用包含多個(gè)組成部分。例如，一個(gè)電子商務(wù)應(yīng)用可能需要網(wǎng)絡(luò)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、位于區(qū)域網(wǎng)絡(luò)的數(shù)據(jù)、能夠?qū)崿F(xiàn)金融交易的與外部資源的接入。應(yīng)用配置文檔包含所需的盡可能多（或者盡可能少）的PG，它們與一個(gè)應(yīng)用的能力EPG可以根據(jù)以下的某一點(diǎn)進(jìn)行組織它們提供的應(yīng)用（例如附錄A中示例里的它們提供的功能（例如基礎(chǔ)架構(gòu)他們?cè)跀?shù)據(jù)中心機(jī)構(gòu)里位于哪里（例如結(jié)構(gòu)或租戶管理員選擇使用的無(wú)論何種組織原合EPG之外，合約（vzBrCP）也是策略模型中的關(guān)鍵對(duì)象。EPG要根據(jù)合約規(guī)則才能與其他EPG通信。下表展示了在管理信息樹(shù)（MIT）中合約位于何處，以及他們與租戶中其他對(duì)象的9：合租租外部網(wǎng)橋情合過(guò)濾子端點(diǎn)管理員使用合約來(lái)選 之間傳遞的流量的方式，包括允許的協(xié)議和端口。如果沒(méi)有合約EPG間通信是默認(rèn)禁用的。EPG內(nèi)通信不需要合約；EPG內(nèi)通信一般是默許的。ACI結(jié)構(gòu)應(yīng)用EPG之間（fvAEPg），包括租戶內(nèi)和租戶間備注 在共享服務(wù)模式的情況下，租戶間通信需要合約。合約被用于指定情境中的靜態(tài)路由，盡管租不執(zhí)略。在ACI結(jié)構(gòu)應(yīng)用EPG和第2層外部的實(shí)例EPG（l2extInstP）之在ACI結(jié)構(gòu)應(yīng)用EPG和第3層外部的實(shí)例EPG（l3extInstP）之ACI結(jié)構(gòu)帶外EPG合約管理著被標(biāo)記為供應(yīng)者、消費(fèi)者或兩者都有的EPG之間的通信。EPG供應(yīng)者提供合約，潛EPG必須要遵守該合約。EPG與合約之間的關(guān)系既可以是供應(yīng)者，也可以是消費(fèi)者。當(dāng)一個(gè)EPG提供了一個(gè)合約，與該EPG的通信可以由其他EPG發(fā)起，只要通信遵守提供的合約。當(dāng)EPG消費(fèi)了一個(gè)合約，那么消費(fèi)EPG內(nèi)的端點(diǎn)可以與提供該合約的EPG內(nèi)的任何一個(gè) 備 一個(gè)EPG可以提供并消費(fèi)同一個(gè)合約。一個(gè)EPG也可以同時(shí)提供并消費(fèi)多個(gè)合約、過(guò)濾器和管理EPG通、和過(guò)濾器管理的對(duì)象使得PG應(yīng)用或服務(wù)傳遞需求。下表展示了在管理信息樹(shù)（IT）中應(yīng)用和過(guò)濾器位于何處，以及他圖10：、和過(guò)濾租租外部網(wǎng)橋情合過(guò)濾子端點(diǎn)合約可以包含多個(gè)通訊規(guī)則，多個(gè)EPG可以消費(fèi)和提供多個(gè)合約?？刂频氖且粚?duì)特定的EPG之間通信時(shí)應(yīng)用哪些規(guī)則。策略設(shè)計(jì)者可以簡(jiǎn)潔地表示復(fù)雜的通信策略，并在同一個(gè)應(yīng)用的多個(gè)實(shí)例中重復(fù)使用這些策略。例如，附錄A中的樣例策略展示了同一個(gè)合約如何使用、和過(guò)濾器來(lái)區(qū)分需要HTTP或HTTPS的不同EPG之間怎么發(fā)生通信。、和過(guò)濾器根據(jù)以下選項(xiàng)定義EPG通信是只有一個(gè)屬性“名稱”的管理對(duì)象。能夠分類，哪些對(duì)象可以或是不可以與其他對(duì)象通信。匹配是首先完成的。如果不匹配，就不會(huì)處理其他合約或過(guò)濾器信息。B展示了所有這些匹配類型及其結(jié)果的簡(jiǎn)單示例。備注可以被應(yīng)用到一系列供應(yīng)者和消費(fèi)者管理對(duì)象上，包括EPG、合約、橋域、DHCP中繼策略和DNS策略。不會(huì)跨對(duì)象類型應(yīng)用；應(yīng)用EPG上的和橋域上的沒(méi)有任何關(guān)系。決定著哪個(gè)EPG消費(fèi)者和EPG供應(yīng)者可以彼此通信。匹配決定著合約的哪個(gè)主題被指定的合約的EPG供應(yīng)者或EPG消費(fèi)者所使用。的兩種類型如下應(yīng)用于EPG的。匹配使得EPG可以選擇合約內(nèi)的子集應(yīng)用于EPG的供應(yīng)者/消費(fèi)者。供應(yīng)者/消費(fèi)者匹配使得消費(fèi)者EPG能夠選擇EPG，反之亦然。24層的字段，TCPIP34層的端口，等等。根據(jù)相關(guān)的合約，EPG供應(yīng)者決定進(jìn)出雙方向的協(xié)議和端口。合約包括與過(guò)濾器（及其方向）的關(guān)聯(lián)，應(yīng)用于制造和消費(fèi)合約的EPG之間。及通信如何發(fā)生。例如，對(duì)于HTTPS信息，指定方向，過(guò)濾器指定IP地址類型（例如IP4）、TP協(xié)議和允許的端口。決定過(guò)濾器是單向的還是雙向的。單向過(guò)濾器用于一個(gè)方向。單向過(guò)濾器定義進(jìn)入通信或出通信，但兩者不一樣。雙向過(guò)濾器對(duì)兩情情境（fvCtx）是一種獨(dú)特的第3層轉(zhuǎn)發(fā)和應(yīng)用策略域。下表展示了在管理信息樹(shù)（MIT）中情11:租租外部網(wǎng)橋情合過(guò)濾子端點(diǎn)33唯一的IP包含多個(gè)情境。當(dāng)管理員創(chuàng)建了一個(gè)邏輯設(shè)備之后，管理員可以創(chuàng)建一個(gè)邏輯設(shè)備情境，為設(shè)備 備 情境相當(dāng)于網(wǎng)絡(luò)世界中的虛擬路由和轉(zhuǎn)發(fā)VRF實(shí)例橋域和

橋域（fBD）代表了結(jié)構(gòu)中的第二層（2）轉(zhuǎn)發(fā)構(gòu)造。下表展示了在管理信息樹(shù)（IT）12:租租外部網(wǎng)橋情合過(guò)濾子端點(diǎn)一個(gè)橋域必須和一個(gè)情境相連，并有至少一個(gè)與其相關(guān)聯(lián)的子網(wǎng)（vbt）。橋域確定了唯一2層C2P地址空間，而該地址空間可以包括多個(gè)子網(wǎng)。這些子網(wǎng)被定義在一個(gè)或多個(gè)橋域中，涉及相應(yīng)的情境。橋域可以多個(gè)交換機(jī)。一個(gè)橋域可以包含多個(gè)子網(wǎng)，但一個(gè)子網(wǎng)只能被包含在唯一的一個(gè)橋以個(gè)PG；個(gè)PG 橋域傳統(tǒng)模式只允許每個(gè)橋域有一個(gè)VLAN。當(dāng)指定橋域傳統(tǒng)模式時(shí)，橋域封裝被用于所有涉及該橋域的EPG；如果定義了EPG封裝，將被忽略。此外，單播路由不適用橋域傳統(tǒng)模式。外部網(wǎng)

（IT圖13：外租租外部網(wǎng)橋情合過(guò)濾子端點(diǎn)外部網(wǎng)絡(luò)策略規(guī)定了相關(guān)的第2層（l2extOut）或第3層（l3extOut）的屬性，這控制著外部公共網(wǎng)絡(luò)或私有網(wǎng)絡(luò)與ACI結(jié)構(gòu)之間的通信。外部設(shè)備，例如連接到WAN和企業(yè)的路由器，或是現(xiàn)有的第2層交換機(jī)，與邊緣交換機(jī)的前部面板接口相連。提供此類連接功能的邊緣交換管理對(duì)象關(guān)系和（）MOMOMO一種明確的關(guān)系（fvRsPathAtt），定義的是基于目標(biāo)MO（DN）的關(guān)系一種指定的關(guān)系，定義的是基于目標(biāo)MO名稱的關(guān)下表中的虛線展示了幾種常見(jiàn)的MO租外部網(wǎng)合租外部網(wǎng)合橋情子例如，EPG和橋域之間虛線表示的是這MO之間的關(guān)系。在該表中，EPG（fvAEPg）包含了一個(gè)關(guān)系MO（fvRsBD），采用了目標(biāo)橋域MO（fvDB）的名稱來(lái)命名。例如，如果“生產(chǎn)”是該橋在策略決議是基于名稱關(guān)系的情況下，如果在現(xiàn)有租戶中沒(méi)有找到那個(gè)擁有匹配名稱的目標(biāo)MO，那么ACI結(jié)構(gòu)將嘗試在通用租戶內(nèi)解析。例如，如果用戶租戶EPG包含了一個(gè)目標(biāo)是橋域的關(guān)系MO，而該橋域不存在于租戶中，那么系統(tǒng)會(huì)嘗試在通用租戶內(nèi)解析該關(guān)系。如果一個(gè)指定的關(guān)系既不能在現(xiàn)有租戶內(nèi)解析，也不能在通用租戶內(nèi)解析，ACI結(jié)構(gòu)會(huì)嘗試解析到一個(gè)默認(rèn)策略。如果默認(rèn)策略存在于現(xiàn)有租戶內(nèi)，那么就會(huì)使用它。如果不存在，那么ACI結(jié)構(gòu)會(huì)在通用租戶內(nèi)尋找一個(gè)默認(rèn)策略。橋域、情境和合約（安全策略）指定關(guān)系不會(huì)解析到默認(rèn)策略?？缱釫PG一個(gè)租戶內(nèi)的EPG可以與另一個(gè)租戶內(nèi)的EPG通信，方式是通過(guò)共享租戶內(nèi)包含的合約接口。MOEPG作為合約消費(fèi)接口使用。通過(guò)與接口相關(guān)聯(lián)，EPG消耗了接口代表的，成為共享租戶內(nèi)包含的合約。租戶可以參與一個(gè)單獨(dú)的合約，該標(biāo)對(duì)象標(biāo)記簡(jiǎn)化了IP運(yùn)行。在PI運(yùn)行中，一個(gè)對(duì)象或一組對(duì)象可以通過(guò)標(biāo)記名稱來(lái)而無(wú)需通過(guò)專有名稱（DN）來(lái)。標(biāo)記是它們所標(biāo)記物體的子對(duì)象；除了名稱之外，它們沒(méi)有使用標(biāo)記給一組對(duì)象分配一個(gè)描述性的名稱。相同的標(biāo)記名稱可以分配給多個(gè)對(duì)象。多個(gè)標(biāo)記名稱可以分配給一個(gè)對(duì)象。例如，為了能夠?qū)崿F(xiàn)方便、可搜索的接口接入所有的網(wǎng)絡(luò)服務(wù)器EPG，可以分配一個(gè)網(wǎng)絡(luò)服務(wù)器標(biāo)記給所有這樣的PG。整個(gè)結(jié)構(gòu)的網(wǎng)絡(luò)服務(wù)器PG都可以通過(guò)4ACI矩陣的基本信本章包括以下部分ACI矩陣的基本信息23解耦和位置，第24策略識(shí)別和執(zhí)行，第24封裝正?；?，第26原生802.1p和帶的EPG，第26組播樹(shù)拓?fù)?，?7關(guān)于流量風(fēng)暴控制，第28風(fēng)暴控制指28負(fù)載均衡，第29端點(diǎn)保留，第30ACI矩陣的安全策略模型30ACII矩陣超過(guò)64000租網(wǎng)。個(gè)陣以持過(guò)100萬(wàn)IP4IP6端過(guò)64002000010GI無(wú)需額外的或硬件網(wǎng)關(guān)來(lái)連接物理和虛擬服務(wù)，該矩陣還可以使用通用路由封裝（GE）針（XNVN/ACI矩陣將端點(diǎn)和相關(guān)策略從底層轉(zhuǎn)發(fā)圖中分離出來(lái)。它提供一個(gè)分布式第3層網(wǎng)關(guān)，確保第3層和第2層轉(zhuǎn)發(fā)的最佳效果。該矩陣支持標(biāo)準(zhǔn)橋接和路由語(yǔ)義，沒(méi)有標(biāo)準(zhǔn)位置約束（任何地方的任何IP地址），去掉了IP控制層地址解析協(xié)議（ARP）/通用屬性協(xié)議（GARP）的洪泛要求。矩陣內(nèi)的所有流量都封裝VXLAN之中。解耦和位IVNTP耦圖圖15：解 和位矩陣內(nèi)的流量位于VTEP之中。租戶MAC或IP地址的由VTEP通過(guò)分布式數(shù)據(jù)庫(kù)策略識(shí)別和執(zhí)應(yīng)用策略通過(guò)一個(gè)同樣在VN數(shù)據(jù)包中運(yùn)載的獨(dú)特屬性從轉(zhuǎn)發(fā)中分離出來(lái)。策略識(shí)別I矩陣的每個(gè)數(shù)據(jù)包中進(jìn)行，這樣能以一種完全分布式的方式一致地實(shí)施策略。下圖對(duì)策略識(shí)（源 （源 矩陣和接入策略控制矩陣和外部接入界面的操作。系統(tǒng)自動(dòng)創(chuàng)建默認(rèn)矩陣和接入策略。矩陣管理員（對(duì)整個(gè)矩陣擁有權(quán)的）可以根據(jù)他的要求修改認(rèn)策略或創(chuàng)全新策略。PIC封裝正

矩陣內(nèi)的流量被封裝為VXLAN。外部VLAN/VXLAN/NVGRE在處被到 。下圖對(duì)封裝正?；M(jìn)行了說(shuō)明IP矩陣?yán)麍D17：IP矩陣?yán)D(zhuǎn)發(fā)不局限于封裝類型或封裝覆蓋網(wǎng)絡(luò)。外部標(biāo)識(shí)符按照邊緣或邊緣端口進(jìn)行本地化，使得在必要時(shí)重新利用或翻譯成為可能。橋接域轉(zhuǎn)發(fā)策略可以被定義為在必要時(shí)提供標(biāo)準(zhǔn)N原生802.1p和帶的ACI邊緣交換機(jī)接入端口時(shí)按照預(yù)備 每個(gè)接入端口僅允許一個(gè)802.1pEPG當(dāng)某個(gè)接入端口配置一個(gè)原生802.1p模式的EPG時(shí)，它的數(shù)據(jù)包會(huì)退出那個(gè)未標(biāo)記端口當(dāng)某個(gè)接入端口配置多個(gè)EPG時(shí)，一個(gè)以原生802.1p模式，某些帶有VLAN標(biāo)記，所有對(duì)于已原生802.1p模式配置的EPG，數(shù)據(jù)包被標(biāo)記為VLNAN0對(duì)于其他EPG，數(shù)據(jù)包退出時(shí)帶有各自的VLAN當(dāng)某個(gè)邊緣交換機(jī)針對(duì)一個(gè)將要除去的EPG進(jìn)行配置時(shí)，對(duì)于該EPG使用的每個(gè)端 備 當(dāng)以不帶的方式部 時(shí)，不要在同一個(gè)交換機(jī)的其他端口上以帶的方式部署組播樹(shù)

IACI矩陣包含在Clos拓?fù)洌Q取自CharlesClos）中連接的和邊緣交換機(jī)，在這里進(jìn)入入口界面的流量可以通過(guò)任何可用的中級(jí)交換機(jī)路由到相關(guān)的出換機(jī)。邊緣交換機(jī)擁有兩種端口：連接邊緣交換機(jī)的矩陣端口和連接服務(wù)器、服務(wù)設(shè)備、路由器和矩陣擴(kuò)展器（X）To在而交os個(gè)在I矩徑在ACI矩陣使用轉(zhuǎn)發(fā)（FTAG）樹(shù)平衡多重目的地流量負(fù)載。在矩陣中所有多重目的地流量都以封裝IP組播流量的方式轉(zhuǎn)發(fā)。當(dāng)把流量轉(zhuǎn)發(fā)到交換機(jī)時(shí)邊緣交換機(jī)會(huì)為流量分配一FTAGFTAG時(shí)它在數(shù)據(jù)包中作為目標(biāo)組播地址的一部分。在矩陣中，轉(zhuǎn)發(fā)流量時(shí)伴隨特定的FTAG樹(shù)。交換機(jī)和任何中級(jí)邊緣交換機(jī)都根據(jù)FTAGID轉(zhuǎn)發(fā)流量。每個(gè)FTAGID創(chuàng)建一個(gè)轉(zhuǎn)發(fā)樹(shù)。任何兩個(gè)節(jié)點(diǎn)之間每個(gè)FTAG僅由一個(gè)轉(zhuǎn)發(fā)。由于使用多個(gè)FTAG，平行可與每個(gè)FTAG配合使用，選擇不同的轉(zhuǎn)發(fā)。矩陣中FTAG樹(shù)的數(shù)量越大，負(fù)載均衡潛力越佳。ACI矩陣最多支持12個(gè)FTAG。下圖顯示了一個(gè)帶有四個(gè)FTAG的拓?fù)浣Y(jié)構(gòu)。矩陣中的每個(gè)邊緣交換機(jī)都直接或通過(guò)傳輸節(jié)點(diǎn)連接到每個(gè)FTAG。一個(gè)FTAG固定在每個(gè)節(jié)點(diǎn)上。圖18：組播樹(shù)拓如果邊緣交換機(jī)直接連接交換機(jī)，那么它使用直接路徑連接TG樹(shù)。如果沒(méi)有直接連接，TGFTG個(gè)個(gè)TG個(gè)作為ACI矩陣的一部分，F(xiàn)TAG根被放置在交換機(jī)上。APIC通過(guò)交換機(jī)錨定的FTAG配置每個(gè)交換機(jī)。根的和FTAG的數(shù)量源自配置。APIC指定將要使用的FTAG樹(shù)的數(shù)量和每個(gè)樹(shù)的根。矩陣中的拓?fù)浣Y(jié)構(gòu)每改變一次，F(xiàn)TAG樹(shù)就會(huì)重新計(jì)算一次。根的布置由配置驅(qū)動(dòng)，不會(huì)動(dòng)態(tài)地重新植根于運(yùn)行期間發(fā)生的事件（如交換機(jī)故障）上。通常，F(xiàn)TAG配置是靜態(tài)的。當(dāng)因?yàn)楣芾韱T決定在剩余的或擴(kuò)展的交換機(jī)組之間重新分配FTAG而添加或移除交換機(jī)時(shí)可以把FTAG從一個(gè)交換機(jī)重新錨定到另一個(gè)。關(guān)于流量當(dāng)數(shù)據(jù)包涌向LAN從而導(dǎo)致過(guò)多流量、降低網(wǎng)絡(luò)性能時(shí)，稱之為流量風(fēng)暴。用戶可以使用流量風(fēng)暴控制策略防止第2層端口被廣播、未知組播或未知單播流量風(fēng)暴中斷。默認(rèn)情況下，ACI矩陣中不啟用風(fēng)暴控制。ACI橋接域（BD）2層位置單播洪泛在橋接域中默認(rèn)果在橋接域中啟用了2層未知單播洪泛，那么除了廣播和未知組播流量，風(fēng)暴控制策略應(yīng)用2層未知單播洪泛流量風(fēng)暴控制（也稱為“流量抑制”）允許用戶在一秒的間隔內(nèi)流入廣播、組播和未知單播的流量水平。在此間隔內(nèi)，流量水平（既可以表述為端口總可用帶寬的百分比或給定端口上每秒鐘的最大數(shù)據(jù)包）與用戶配置的流量風(fēng)暴控制水平進(jìn)行對(duì)比。當(dāng)流量達(dá)到端口上配置的流量風(fēng)暴控制水平時(shí)，流量風(fēng)暴控制會(huì)降低流量直到間隔結(jié)束。當(dāng)超過(guò)風(fēng)暴控制閾值時(shí)，管置風(fēng)暴控制按照下列指南和限制配置流量風(fēng)暴控制水平通常，矩陣管理員在下列接口上配置矩陣接入策略的風(fēng)暴控常規(guī)中繼（trunk）接口單個(gè)邊緣交換機(jī)上的直接端口通虛擬端口通道（兩個(gè)邊緣交換機(jī)上的一個(gè)端口通道）端口通道和虛擬端口通道風(fēng)暴控制值（每秒鐘的數(shù)據(jù)包或百分比）1000.01表示抑制所由于硬件的限制和不同尺寸的數(shù)據(jù)包的計(jì)數(shù)方法，百分比數(shù)值是一種約數(shù)。根據(jù)組成流入流量的幀大小的不同，實(shí)際實(shí)施的水平可能與配置水平相差若干個(gè)百分點(diǎn)。每秒封包數(shù)（PPS）換算為基于256比特的百分65535BPPS在一個(gè)采用優(yōu)化組播洪泛（OMF）模式的出口邊緣交換機(jī)，不會(huì)應(yīng)用流量風(fēng)暴控制在一個(gè)采用非OMF模式的出口邊緣交換機(jī)，會(huì)應(yīng)用流量風(fēng)暴控在一個(gè)FEX邊緣交換機(jī)上，在面向主機(jī)的接口上無(wú)法使用流量風(fēng)暴控

I矩陣提供多個(gè)負(fù)載均衡選項(xiàng)，用于平衡可用上行之間的流量。在每個(gè)流量按照5元組哈分配到一個(gè)上行鏈路中的網(wǎng)絡(luò)中，靜態(tài)哈希負(fù)載均衡是傳統(tǒng)負(fù)載均衡機(jī)制。這種負(fù)載均衡在大體均勻的可用之間分配數(shù)據(jù)流。通常，在有大量數(shù)據(jù)流時(shí)，數(shù)據(jù)流的均勻分配會(huì)使得帶寬也均勻分（B）可以通過(guò)配置DLB使用數(shù)據(jù)流或流簇的粒度將流量放置到可用的上行鏈。流簇是來(lái)自被大小合DLB的運(yùn)行模式要么激進(jìn)要么保守。這些模式與用于流簇計(jì)數(shù)器的超時(shí)值有關(guān)。激進(jìn)模式的流程超率更低。DLB無(wú)法總能提供最優(yōu)的負(fù)載均衡，但不會(huì)劣于靜態(tài)哈希負(fù)載均衡。當(dāng)可用的數(shù)量因?yàn)橄戮€或上線而變化時(shí)，I矩陣會(huì)調(diào)整流量。矩陣在新組之間重（P）（PPBP配DBPP個(gè)PPI矩陣默認(rèn)設(shè)置使用傳統(tǒng)的靜態(tài)哈希。靜態(tài)哈希功能在上行鏈路之間向交換機(jī)分配來(lái)自邊緣交換機(jī)的流量。當(dāng)某個(gè)鏈路故障或上線時(shí)，所有鏈的流量按照新的上行鏈路數(shù)量進(jìn)行重新端點(diǎn)保

MC或IP本地端點(diǎn)位于本地交換機(jī)上。端點(diǎn)位于另一個(gè)交換機(jī)上，但緩存在本地。邊緣交換機(jī)直接連接這些交換機(jī)（或通過(guò)某個(gè)直接連接第2層交換機(jī)或矩陣擴(kuò)展器）的端點(diǎn)的、本地端點(diǎn)的連接矩陣上其他邊緣交換機(jī)的端點(diǎn)（硬件中的端點(diǎn)）的本地和策略信息。交換機(jī)針對(duì)本用32K對(duì)用64K的后15個(gè)P于態(tài)3，端點(diǎn)，不會(huì)有性能代償，除非策略在邊緣交換機(jī)中執(zhí)行，直到端點(diǎn)再次緩存久性地將其在交換機(jī)緩存中。將某個(gè)條目的保留計(jì)時(shí)器設(shè)置為零意味著不會(huì)刪除該條目。進(jìn)行此項(xiàng)操作時(shí)必須十分。如果端點(diǎn)移動(dòng)或其測(cè)量發(fā)生改變，必須通過(guò)APIC利用更新信息刷新端點(diǎn)保留策略決定刪除方式。對(duì)大多數(shù)操作使用默認(rèn)策略算法。更改端點(diǎn)保留策略可以影響系統(tǒng)性能。如果某個(gè)交換機(jī)與數(shù)以千計(jì)的端點(diǎn)通訊，降低超時(shí)間隔增加了緩存窗口的數(shù)量，從而過(guò)1000， 矩陣的安全策略I矩陣的安全策略模型基于合約。這種方法解決了傳統(tǒng)控制列表（CL）的限制。合約PGPG到PGPIC括合約及其相關(guān)的PG）轉(zhuǎn)化為每個(gè)交換機(jī)的物理模型。進(jìn)入時(shí)，進(jìn)入矩陣的每個(gè)封包都帶有所需的策略詳細(xì)信息。因?yàn)樾枰霞s選擇能夠通過(guò)PG安全安全策略。在傳統(tǒng)網(wǎng)絡(luò)環(huán)境下，合約滿足控制列表（CL）處理的安全要求，因此合控制列表限制傳統(tǒng)的控制列表（CL）帶有若干I矩陣安全模式可以解決的限制。傳統(tǒng)的CL非常緊密地與網(wǎng)絡(luò)拓?fù)漶詈?。它們通常在每個(gè)路由器或交換機(jī)入接口和出接口上配置，可以根據(jù)接口和預(yù)期流過(guò)這些接口的流量進(jìn)行自定義。由于自定義的關(guān)系，它們常常無(wú)法跨接口使用，更不用說(shuō)跨路由傳統(tǒng)ACL非常復(fù)雜、神秘，因?yàn)樗鼈儼颂豂P地址、子網(wǎng)和協(xié)議的列表，這些列表有些是不愿意刪除任何ACL列表規(guī)則，所以列表越來(lái)越臃腫。正因?yàn)檫@種復(fù)雜性，這些列表通常僅在網(wǎng)絡(luò)中的特定分界點(diǎn)（WAN和企業(yè)之間的分界WAN和數(shù)據(jù)中心之間的分界）部署。在這種情況下，企業(yè)或?qū)τ跀?shù)據(jù)中心包含的流量，ACL的安全優(yōu)勢(shì)并沒(méi)有被開(kāi)發(fā)利用。ACLACL，通過(guò)使用一組協(xié)議讓一組資源與一組目標(biāo)。在的情況下，如果N個(gè)資源與M個(gè)目標(biāo)使用K個(gè)協(xié)議進(jìn)行，那么ACL中可能有N*M*K行。ACL必須列出針對(duì)每個(gè)協(xié)議與每個(gè)目標(biāo)進(jìn)行通訊的每個(gè)資源。在設(shè)備和協(xié)議不多的情況下ACL也可能非常龐大。ACIACL問(wèn)題。ACI矩陣安全模型直接表達(dá)了管理員的意圖。管理員使I矩陣安全模型直接使用端點(diǎn)分組構(gòu)造，因此讓服務(wù)器組相互通訊的理念非常簡(jiǎn)單。一個(gè)單一規(guī)標(biāo)可合約包含安全策略規(guī)在ACI安全模型中，合約包含控制在EPGEPG規(guī)定通訊的源地址和目標(biāo)地址。合約連接EPG，如下圖所示。EPG1 EPG2EPG1中的端點(diǎn)能與EPG2中的端點(diǎn)通訊，如果合約允許，反過(guò)來(lái)也可以。策略結(jié)構(gòu)非常靈活。EPG1EPG2EPGEPG組PG和合約之間的關(guān)系中也存在方向性。PG可以提供或使用一個(gè)合約。提供合約的某個(gè)PG常是向一組租戶設(shè)備提供某種服務(wù)的一組端點(diǎn)。該服務(wù)使用的協(xié)議在合約中進(jìn)行了定義。使用合約的某個(gè)PG通常是作為該服務(wù)租戶的一組端點(diǎn)。當(dāng)租戶端點(diǎn)（服務(wù)使用方）試圖連接某個(gè)服務(wù)端點(diǎn)（服務(wù)提供方）時(shí)，合檢查連接是否被允許。除非另有規(guī)定，該合約將不允許服務(wù)器向租戶PG這種供給/使用關(guān)系通常用EPG和合約之間的箭頭表示。注意下圖中箭頭的方EPG1<-------使用--------合約 提 EPG個(gè)個(gè)定下圖說(shuō)明了合約如何控制EPG圖19：合約決定EPG與EPG之間的通例如，你可以定義一個(gè)名為“HTTPTCP808080的過(guò)濾器和另一個(gè)名為“HTTPS”、規(guī)定TCP端口443的過(guò)濾器。然后你可以創(chuàng)建一個(gè)擁有兩個(gè)組、名為“webCtrct”的合約。openProv和openCons是包含HTTP過(guò)濾器的。secureProv和secureCons是包含HTTPS過(guò)濾器的。webCtrct合約可以被用作允許兩類EPG——提供網(wǎng)頁(yè)服務(wù)的EPG和包含希望使用該服務(wù)的端點(diǎn)的EPG——之間的安全和不安全網(wǎng)頁(yè)流量。對(duì)VMM域的完整解釋，請(qǐng)參考《ACI基礎(chǔ)知識(shí)》手冊(cè)中的《虛擬機(jī)器管理器域》一章。當(dāng)建點(diǎn)發(fā)送封包時(shí)，源EPG和目標(biāo)EPG來(lái)自該封包，而相應(yīng)合約規(guī)定的策略會(huì)被檢查，看該封包是否重新發(fā)送給某個(gè)服務(wù)，被，或其QoS級(jí)別被修改。物理模型中的接入策略被預(yù)先填充之后，端點(diǎn)可以移動(dòng)，新端點(diǎn)可以上線，通訊可以發(fā)生——即使APIC下線或由于其他原因而無(wú)法接入。APIC不再是網(wǎng)絡(luò)中的一個(gè)故障點(diǎn)。封包進(jìn)入ACI矩陣時(shí)，在交換機(jī)中運(yùn)行的物理模型可以執(zhí)行安全策略

流量從前面板接口進(jìn)入邊緣交換機(jī)時(shí)，封包被標(biāo)注為帶有EPGEPG。然后邊緣交換機(jī)在租戶空間內(nèi)的封包目IP地址上執(zhí)行正向搜索?！懊小笨赡軐?dǎo)致下列任何一種場(chǎng)景：?jiǎn)尾ィ?32）命中提供目標(biāo)端點(diǎn)的EPG和目標(biāo)端點(diǎn)所在的本地接口或邊緣交換機(jī)VTEPIP地址。程邊緣交換機(jī)VTEPIP地址。組播命中提供本地的本地接口和外部目標(biāo)IP地址，以便在矩陣和組播組EPGVXLAN封裝中使用 備播和外部路由器子網(wǎng)始終在邊緣交換機(jī)上“命中”。一旦邊緣交換機(jī)獲悉目EPG，即開(kāi)始執(zhí)行安全策略轉(zhuǎn)到發(fā)發(fā)轉(zhuǎn)PGPGPG從邊緣交換機(jī)運(yùn)載到出口邊緣交換機(jī)。交換機(jī)在執(zhí)行轉(zhuǎn)發(fā)功能時(shí)會(huì)在封包中保留原始EPG在出口交換機(jī)上，源IP地址、源VTEP和源EPG信息都通過(guò)學(xué)習(xí)被在本地轉(zhuǎn)中。因?yàn)榇蠖鄶?shù)數(shù)據(jù)流都具有雙向性，一個(gè)返回封包會(huì)在數(shù)據(jù)流兩端填充轉(zhuǎn)，使得流量在兩個(gè)方組播EPG組播流量會(huì)產(chǎn)生一個(gè)有趣的問(wèn)題。對(duì)于單播流量，通過(guò)檢包的目標(biāo)地址而能夠清楚地知道目標(biāo)EPG。但是，對(duì)于組播流量，目標(biāo)地址是一個(gè)抽象的實(shí)體：組播組。封包的源地址從來(lái)都不是組播組有些獨(dú)立于網(wǎng)絡(luò)拓?fù)?，因此允許將(SG)和(*,G)靜態(tài)配置到組綁定。當(dāng)把組播組放置于轉(zhuǎn)中時(shí)，對(duì)應(yīng)組播組的EPG也被放置在轉(zhuǎn)中。備 本文把“組播流”稱為“組播組”標(biāo)PG源PG播EPG行 轉(zhuǎn)在在IP4為組播流的接收方在接收流量前必須首先加入組播流。發(fā)送IGMPJoin請(qǐng)求時(shí)，組播接收方實(shí)際上是IGMP封包的源地址。目標(biāo)地址被定義為組播組，而目標(biāo)EPG檢索自轉(zhuǎn)。在路由器接收IGMPJoint請(qǐng)求的點(diǎn)上會(huì)施加控制。如果Joint請(qǐng)求被，接收端不會(huì)從特定組播組播EPG策略強(qiáng)制實(shí)施由邊緣交換機(jī)按照上文所述的合約規(guī)則在處執(zhí)行。EPG的組播組由APIC推送到所有包含特定租戶（VRF）的邊緣交換機(jī)。ACI策略模型輔助。在ACI策略模型方法中，所有通訊都必須符合下列條件：通訊是否被允許取決于合約，而合約是模型中的被管對(duì)象。如果沒(méi)有合約，EPG間的通訊無(wú)法直接介入硬件；所有交互都通過(guò)策略模型接受管理來(lái)。何PG定PG。施5矩陣配本章包括以下部分矩陣配置，第35啟動(dòng)發(fā)現(xiàn)和配置，第36集群管理指37矩陣組件，第39配置，第41默認(rèn)策略，第41矩陣策略概42矩陣策略配43策略概45頁(yè)策略配46頁(yè)調(diào)度程序，第48固件升級(jí)，第49地理位置，第52矩陣配

（IAPIC為整個(gè)矩陣提供了策略、引導(dǎo)程序 提供了簡(jiǎn)單、自動(dòng)、以策略為基礎(chǔ)的配置和升級(jí)流程以及自動(dòng)化的映像管理能PIC提供了可擴(kuò)展的配置管理功能。I數(shù)據(jù)中心可以非常大，因此單獨(dú)配置交換機(jī)或接口無(wú)法很好地?cái)U(kuò)展，即使使用。PCpod、控制器、交換機(jī)、模塊和接口選擇器（所有、系列、特定實(shí)例）在整個(gè)矩陣上實(shí)現(xiàn)了對(duì)稱配置。應(yīng)用對(duì)稱配置時(shí)，管理員確定在一啟動(dòng)發(fā)現(xiàn)和配集群化的APIC控制器向矩陣提供DHCP、引導(dǎo)程序配置和映像管理，從而實(shí)現(xiàn)自動(dòng)化啟動(dòng)和升圖20：?jiǎn)?dòng)發(fā)現(xiàn)配思科NexusACI矩陣作為ISO映像，可以通過(guò)管理控制臺(tái)安裝在思科APIC服務(wù)器上。思科NexusACIISO包含思科APIC映像、邊緣節(jié)點(diǎn)的固件映像、節(jié)點(diǎn)的固件ACI矩陣引導(dǎo)程序順序在所有交換機(jī)使用原廠安裝的映像引導(dǎo)時(shí)開(kāi)始。運(yùn)行ACI固件和APICNexus9000系列交換機(jī)在引導(dǎo)過(guò)程中使用保留層。這種基礎(chǔ)架構(gòu)空間硬編碼在交換機(jī)中。APIC能夠通過(guò)默認(rèn)層連接邊緣交換機(jī)，或使用一個(gè)本地重要的標(biāo)識(shí)符。ACI矩陣使用一個(gè)基礎(chǔ)架構(gòu)空間，后者安全地孤立在矩陣中，是執(zhí)行所有拓?fù)浒l(fā)現(xiàn)、矩陣管理和基礎(chǔ)架構(gòu)尋址的地方。矩陣中的ACI矩陣管理通訊通過(guò)基礎(chǔ)架構(gòu)私有IP地址空間進(jìn)行。這種尋址方案允APIC與矩陣節(jié)點(diǎn)和集群中的其他思APIC控制器通訊。APIC使用基于鏈路層發(fā)現(xiàn)協(xié)議（LLDP）的發(fā)現(xiàn)過(guò)程發(fā)現(xiàn)集群中其他思APIC控制器IP地址和節(jié)點(diǎn)信息。APIC集現(xiàn)過(guò)程如下思科ACI中的每個(gè)APIC都使用一個(gè)私有IP地址與ACI節(jié)點(diǎn)和集群中的其他APIC通訊APIC使用基于LLDP的發(fā)現(xiàn)過(guò)程發(fā)現(xiàn)集群中其他APIC控制器的IP地址APIC擁有一個(gè)設(shè)備向量（AV），該向量提供了從某個(gè)APICID到某個(gè)APICIP地址APIC通用唯一標(biāo)識(shí)符（UUID）的。最初，每個(gè)APIC都從一個(gè)充滿本地IP地址的AV開(kāi)始，所有其他APIC插槽都標(biāo)記為未知。某個(gè)交換機(jī)重啟時(shí)，邊緣節(jié)點(diǎn)設(shè)備上的策略元素（PE）從APIC取得其AV。然后交換機(jī)將此AV向所有相鄰設(shè)備并向本地AV中的所有APIC報(bào)告本地AV和相鄰設(shè)備AV的差別。通過(guò)該過(guò)程，APICACIAPIC控制器。在集群中驗(yàn)證了這些新發(fā)APIC之后，APICAVAV對(duì)交換機(jī)編程。然后交換機(jī)開(kāi)始這個(gè)新的AV。所有交換機(jī)擁有相同AV，所有APIC控制器知道所有其他APIC控制器的IP地址之后，上述過(guò)程結(jié)束。ACIAPIC相連的邊緣節(jié)點(diǎn)開(kāi)始。LLDPIS-IS融合與引導(dǎo)過(guò)程并行發(fā)生。ACILLDPDHCP的矩陣發(fā)現(xiàn)功能自動(dòng)發(fā)現(xiàn)矩陣交換VXLAN通道端點(diǎn)（VTEP）地址，在交換機(jī)上安裝固件。在這個(gè)自動(dòng)過(guò)程之前，必須在思科APIC控制器上執(zhí)行最小限度的引導(dǎo)程序控制。集群管理APIC集群包含多個(gè)APIC控制器，為操作員提供了針對(duì)ACI矩陣的實(shí)時(shí)、和配置管理能力。為確保最佳的系統(tǒng)性能，在對(duì)APIC集群進(jìn)行更改時(shí)遵循下列指南：備注在對(duì)集群進(jìn)行更改前，務(wù)必核實(shí)其是否健康。在對(duì)集群實(shí)施計(jì)劃之中的更改時(shí)，集群中的所有控制器都應(yīng)當(dāng)健康。如果集群中的一個(gè)或多個(gè)APIC控制器不健康，在采取行動(dòng)前糾正該狀況。解決APIC集群健康問(wèn)題時(shí)，請(qǐng)參考“思科APIC故障排除指南”以獲得信息。管理集群時(shí)遵守下列通用指南忽略來(lái)自那些當(dāng)前不在集群中的APIC的信息，這些APIC提供的集群信息不精確APICChassisID停止APIC之前，插槽處于不可使用狀態(tài)如果APIC固件正在升級(jí)之中，在對(duì)集群進(jìn)行其他更改之前，等待升級(jí)完成和集群完全APIC集群規(guī)擴(kuò)大APIC集群規(guī)模時(shí)請(qǐng)遵守下列指當(dāng)矩陣工作負(fù)載不會(huì)受到集群擴(kuò)展影響時(shí)，規(guī)劃集群擴(kuò)展的日程按照硬件安裝指南中的說(shuō)明逐步實(shí)施新的APIC控制器。確認(rèn) 測(cè)試的帶內(nèi)連接性336.集群開(kāi)始按順序增加規(guī)模，一次一個(gè)控制器，直到所有新控制都包含在了集群中 根據(jù)增加每個(gè)設(shè)備時(shí)APIC必須同步的數(shù)據(jù)量，完成擴(kuò)展所需的時(shí)間可能大于10分鐘/臺(tái)設(shè)備。成功擴(kuò)展集群之后，APIC操作規(guī)模等于目標(biāo)規(guī)模。備 在對(duì)集群進(jìn)行額外的更改之前，讓APIC完成集群擴(kuò)展在集群中更APIC更換APIC控制器時(shí)遵守下列指南記錄將要更換的APIC控制器的ID停止將要更換的APIC控制備 若在更換前未停止APIC控制器，集群將無(wú)法吸收替換后的控制器按照硬件安裝指南中的說(shuō)明逐步更換APIC控制器。確認(rèn) 測(cè)試的帶內(nèi)連接性APICAPICAPICID編號(hào)。APIC將使替換控制器與集群同步。 如果當(dāng)前APIC控制器變得不可用，集群同步停止。開(kāi)始同步集群之前解決這個(gè)替換控制器與集群成功同步后，APIC運(yùn)行規(guī)模和目標(biāo)規(guī)模將保持不變。備 在對(duì)集群進(jìn)行額外的更改之前，讓APIC完成集群同步當(dāng)矩陣工作負(fù)載不會(huì)受到集群同步影響時(shí)，規(guī)劃集群更換的日程UUID和矩陣在重啟時(shí)在APIC控制器中存留。但是，恢復(fù)出廠設(shè)置的重啟會(huì)刪除該信APIC控制器從一個(gè)矩陣移動(dòng)到另一個(gè)，必須在將該控制器添加到另一ACI矩陣之前恢復(fù)出廠設(shè)置。APIC集群規(guī)按照下列指南減少APIC的集群規(guī)模并停止從集群中刪除的APIC控制器 如果未能停止并關(guān)閉減小集群中的APIC控制器，可能會(huì)發(fā)生無(wú)法預(yù)知的。不要讓未識(shí)別的APIC控制器與矩陣連接。APIC控制器上的負(fù)載。當(dāng)矩陣工作負(fù)載不會(huì)受到集群同步影響時(shí)，規(guī)劃縮小APIC控制器規(guī)模的日程。6個(gè)控制器，那么將集群的目標(biāo)規(guī)模減少到3從現(xiàn)有集群中ID最高的控制器開(kāi)始，逐一停止、關(guān)閉并斷開(kāi)APIC控制器，直到集群停止并刪除每個(gè)控制器后 使集群同步備注如果當(dāng) 控制器變得不可用，集群同步停止。開(kāi)始同步集群之前解決這個(gè)問(wèn)題APIC必須同步的數(shù)據(jù)量，為每個(gè)控制器停止和完成集群同步所需的時(shí)間可能大于10分鐘。備 完成所有必需的停止步驟，在對(duì)集群進(jìn)行額外的更改之前，讓APIC完成集群同步矩陣組

和對(duì)于思科I矩陣交換機(jī)，矩陣成員節(jié)點(diǎn)組件包含識(shí)別節(jié)點(diǎn)ID、序列號(hào)和名稱的策略。第點(diǎn)被記錄為未被管理的矩陣節(jié)點(diǎn)。思科I會(huì)節(jié)點(diǎn)狀狀未無(wú)策略。所有節(jié)點(diǎn)都需要一個(gè)策略；沒(méi)有策略，成員節(jié)點(diǎn)狀態(tài)處于未知狀發(fā)顯示節(jié)點(diǎn)正在被發(fā)現(xiàn)的暫態(tài)未被發(fā)節(jié)點(diǎn)有策略，但從未在矩陣中初不受支節(jié)點(diǎn)是一個(gè)思科交換機(jī)，但不受支持。例如，固件版本不與ACI矩陣兼容停節(jié)點(diǎn)具有策略，已被發(fā)現(xiàn)，但某個(gè)用戶將其禁用。該節(jié)點(diǎn)可被重新激活備注如果在停止某個(gè)邊緣交換機(jī)時(shí)指定清除選項(xiàng)，那么APIC會(huì)試圖在邊緣未激激該節(jié)點(diǎn)是矩陣的激活成員被禁用的接口可能被管理員列入或由 檢測(cè)到異?，F(xiàn)象而被拆除。鏈路狀態(tài)異常例如如到、接、非I非I設(shè)。矩陣名稱不匹配。矩陣名稱在每個(gè)ACI節(jié)點(diǎn)。如果某個(gè)節(jié)點(diǎn)移動(dòng)到另一個(gè)矩陣而沒(méi)有進(jìn)UUID不匹配可導(dǎo)致APIC禁用節(jié)點(diǎn) 如果管理員使用APIC禁用設(shè)備上的所有邊緣節(jié)點(diǎn)，那么需要重啟設(shè)備才能恢復(fù)對(duì)配APIC配置方法自動(dòng)通過(guò)合適的連接初啟ACI矩陣。下圖對(duì)矩陣配置進(jìn)行了說(shuō)驗(yàn)證思科9300平驗(yàn)證思科9300平臺(tái)到Nexus9500驗(yàn)證思科9300平臺(tái)到Nexus9500名稱序列激待 鏈路層發(fā)現(xiàn)協(xié)議（P（如EFPIE-1-""PE1-PIE-2-或E"行驗(yàn)證。如果現(xiàn)規(guī)則不匹的情況，那會(huì)發(fā)生故障連接被此外，會(huì)創(chuàng)一個(gè)警報(bào)，IP或允許矩陣自動(dòng)發(fā)現(xiàn)序列號(hào)，然后使用APICGUI、命令行界面（CLI）或API把名稱分配到節(jié)點(diǎn)默認(rèn)策

APIC默認(rèn)策略值的初始值從加載到交換機(jī)的物理模型中取得。矩陣管理員可以修改默認(rèn)策略。允許矩陣管理員覆蓋模型的默認(rèn)值理員提供了明確的策略，否則APIC使用默認(rèn)策略。端口選1/1-Lacp端口選1/1-Lacp<lldp策略例如，根據(jù)管理員采取或未采取的動(dòng)作 會(huì)進(jìn)行如下操作LLDP策略，APICLLDP接口策略如果管理員從端口選擇器中刪除端口，那么PIC對(duì)該端口使用默認(rèn)策略。在上例中，如果管理員從端口選擇器中刪除端口115，那么端口不再是端口通道的一部分，PCACI矩陣升級(jí)時(shí)，現(xiàn)有策略默認(rèn)值仍保留，即使在更新的版本中默認(rèn)值發(fā)生改變。當(dāng)節(jié)點(diǎn)首次連接APIC時(shí)，節(jié)點(diǎn)在向該節(jié)點(diǎn)推送所有默認(rèn)策略 APIC上自身信息。默認(rèn)策略的任何變化都會(huì)推送到節(jié)點(diǎn)矩陣策略矩陣策略控制矩陣接口的操作，啟用連接和邊緣交換機(jī)的各種功能、協(xié)議和接口。擁有矩陣管理員權(quán)限的管理員可以按照自己的要求創(chuàng)建新的矩陣策略。PIC可以讓管理員選擇他pod圖23：矩陣策略概矩矩DNS組播負(fù)載均衡策略pod矩陣策略被劃分到下列類別中交換機(jī)配置文件規(guī)定配置哪些交換機(jī)以及交換機(jī)的配置策模塊配置文件規(guī)定配置哪些交換機(jī)模塊以及交換機(jī)的配置策略接口配置文件規(guī)定配置哪些矩陣接口以及接口的配置策DNSMTU默認(rèn)值、組播樹(shù)和將要在整個(gè)矩陣中使用的負(fù)載均衡器配 配置文件規(guī)定日期、時(shí)間、SNMP、協(xié)作密鑰服務(wù)器（COOP）、IS- 和邊界網(wǎng)關(guān)協(xié)（BGP）路由反射器策略和故障排除策略規(guī)定對(duì)象、閾值、處理故障和日志的方法和執(zhí)行的方法矩陣策略接用（）（需和P）II、（OP、SMPBPDNS（P在整個(gè)矩陣中應(yīng)用某個(gè)配置時(shí)，管理員只用一步即可將確定的策略組關(guān)聯(lián)到交換機(jī)的接口上。這樣，矩陣上的大量接口可以配置；一次配置一個(gè)端口不可擴(kuò)展。下圖顯示了上述過(guò)程I圖24：矩陣策略配置過(guò)創(chuàng)建配置策 創(chuàng)建組策 創(chuàng)建接口策 創(chuàng)建交換

管理員創(chuàng)建策1策略組2并制定要使用

創(chuàng)建接口配置文件2并將其與策略組2關(guān)聯(lián)

接口配置文件2的交換機(jī)配置文件策健康策略組健康接口配置文件邊緣矩陣端交換機(jī)配置文件邊緣節(jié)點(diǎn)設(shè)備101、健康1狀態(tài)收集 狀態(tài)收集統(tǒng)計(jì)信息收集1，2策略組接口配置文件交換機(jī)配置文件健康矩陣端所 設(shè)2下圖說(shuō)明了針對(duì)ACI矩陣應(yīng)用交換機(jī)配置文件1和交換機(jī)配置文件2的結(jié)構(gòu)圖25：矩陣交換機(jī)策略的應(yīng)所所 設(shè)交換機(jī)配置文接 被配置的策矩2邊緣交交換機(jī)配置文邊緣交交換機(jī)配置文接被配置的策接被配置的策1端統(tǒng)計(jì)1端統(tǒng)計(jì)基礎(chǔ)架構(gòu)和范圍的這種組合使得管理員能夠以一種可擴(kuò)展的方式管理矩陣配置。可以使用RESTAPI、CLIGUI實(shí)施這些配置。GUIQuickStartFabricInterfaceConfiguration向?qū)軌蜃圆呗愿庞[

策略配置連接虛擬機(jī)器控制器、管理程序、主機(jī)、連接網(wǎng)絡(luò) 、路由器或矩陣擴(kuò)展（FEX）接口。接口策略可以啟用端口通道和虛擬端口通道的配置、協(xié)議（如鏈路層發(fā)現(xiàn)協(xié)（P）、思科發(fā)現(xiàn)協(xié)議（P）或鏈路聚合控制協(xié)議（P））和功能（如統(tǒng)計(jì)信息收集、和了圖26：策略模型概 QoSAEP策VLANL2L3策略被劃分為下列類別交換機(jī)配置文件規(guī)定配置哪些交換機(jī)以及交換機(jī)的配置策略模塊配置文件規(guī)定配置哪些邊緣交換機(jī)接入卡和接入模塊以及邊緣交換機(jī)配置策略接口配置文件規(guī)定配置哪些接入接口以及接口的配置策能。AEP配置文件提供了在一大組邊緣端口上配置管理程序的策略并將一個(gè)虛擬機(jī)管理（VMM）域和物理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)關(guān)聯(lián)起來(lái)。在第2層和第3層外部網(wǎng)絡(luò)連接中也需要它們使用的共享資源。池代表一系列流量封裝標(biāo)識(shí)符（如VLAN、VNID和組播地址）。物理和外部域策略包括下列內(nèi)容外部橋接域第2層域配置文件包含連接到矩陣的橋接第2層網(wǎng)絡(luò)使用的端口和規(guī)范33配置物理域策略包含物理基礎(chǔ)架構(gòu)規(guī)范，如端口 VLAN，由租戶或服務(wù)器組使用和故障排除策略規(guī)定對(duì)象、閾值、處理故障和日志的方法和執(zhí)行的方法策略配置策略配置不連接交換機(jī)的面向外部的接口。面向外部的接口連接虛擬機(jī)控制器和管理程序、道、虛擬端口通道和改變端口速度的樣本XML策略。策略示例。 租戶網(wǎng)絡(luò)策略與矩陣策略單獨(dú)配置時(shí)，在租戶策略以來(lái)的底層策略就緒之后，租戶在可能非常多的交換機(jī)之間應(yīng)用某種配置時(shí)，管理員確定在一個(gè)策略組中與接口配置關(guān)聯(lián)的交換機(jī)配置文件。這樣，矩陣上的大量接口可以完成配置。交換機(jī)配置文件可能包含針對(duì)I圖27：策略配置過(guò)創(chuàng)建配置策 創(chuàng)建組策 創(chuàng)建接口策 創(chuàng)建交換機(jī)配置文管理員創(chuàng)建配置可用選項(xiàng)的新矩陣策略（現(xiàn)有矩陣策略

策略1和策略組2

管理員創(chuàng)建接口配置文聯(lián)并創(chuàng)建接口配置文件并將其與策2

管理員創(chuàng)建指定哪些交換機(jī)使用接口配置文件的交換機(jī)配置l并創(chuàng)建指定哪個(gè)交換機(jī)使用接口配置文件2的交機(jī)配置文件接口配置策CDP1、LLDP1、統(tǒng)

策略組LLDP統(tǒng)策略組LLDP

端口：1/12/20接口配置文件-

交換機(jī)配置文件101,交換機(jī)配置文件下圖說(shuō)明了針對(duì)ACI矩陣應(yīng)用交換機(jī)配置文件1和交換機(jī)配置文件2的結(jié)構(gòu)圖28：應(yīng)用接入交換機(jī)策邊緣交交換機(jī)配置文件接 配置的策

邊緣交交換機(jī)配置文件

邊緣交交換機(jī)配置文件接 配置的策CDPLLDP統(tǒng)

接 配置的策CDPLLDP統(tǒng)

CDPLLDP基礎(chǔ)架構(gòu)和范圍的這種組合使得管理員能夠以一種可擴(kuò)展的方式管理矩陣配置?？梢訰ESTAPI、CLIGUI實(shí)施這些配置。GUIQuickStartInterface、PC、VPCConfiguration向?qū)苷{(diào)度

日程表允許配置導(dǎo)入/導(dǎo)出或技術(shù)支持收集等操作在一個(gè)或多個(gè)指定時(shí)間窗口內(nèi)發(fā)生一個(gè)日程表包含一組時(shí)間窗口（事件）。這些時(shí)間窗口可以是的，或者可以在每周的指定時(shí)間和指定日期再次發(fā)生。在窗口中規(guī)定的選項(xiàng)，如時(shí)長(zhǎng)或?qū)⒁\(yùn)行的任務(wù)的最大數(shù)量，決定某個(gè)已安排的任務(wù)的執(zhí)行時(shí)間。例如，如果由于最大時(shí)長(zhǎng)或任務(wù)的最大數(shù)量已經(jīng)達(dá)到而致使定口每個(gè)日程表定期查看PIC是否已經(jīng)進(jìn)入一個(gè)或多個(gè)窗口。如果已經(jīng)進(jìn)入，那么日程表執(zhí)行合一個(gè)日程表含一個(gè)或多事件，這決了與日程表聯(lián)的窗。某個(gè)事件以是下列中的?規(guī)定僅發(fā)生次的某個(gè)日表。窗口的大時(shí)長(zhǎng)或可運(yùn)行的任務(wù)最大循環(huán)窗口—定義重復(fù)出現(xiàn)的日程表。任務(wù)的最大數(shù)量或窗口中指定的日期結(jié)束后，窗口關(guān)閉。固件升

APIC上的策略管理固件升級(jí)流程的下列方要使用的固件的版本從思科向APIC庫(kù)固件映像兼容性強(qiáng)制執(zhí)行被升級(jí)的對(duì)交換兼容執(zhí)行升級(jí)的時(shí)間如何處理故障（重試、中止、忽略等）每個(gè)固件映像中都包含是被支持類型和交換機(jī)型號(hào)的兼容性。APIC管理固件映像、交換機(jī)型號(hào)和允許使用該固件映像的模型的。默認(rèn)設(shè)置是在升級(jí)不符合兼容性時(shí)固件升級(jí)APIC擁有一個(gè)針對(duì)兼容性、APIC控制器固件映像和交換機(jī)映像的映像庫(kù)。管理員可以通過(guò)創(chuàng)建映像源策略從外部HTTP服務(wù)器或SCP服務(wù)器向APIC映像庫(kù)新固件APIC上的固件組策略規(guī)定需要什么固件版組策略規(guī)定升級(jí)固件的時(shí)間、升級(jí)的節(jié)點(diǎn)和如何處理故障。此外，組策略規(guī)定可以同時(shí)升級(jí)的節(jié)點(diǎn)組并向日程表分配這些組。節(jié)點(diǎn)組選項(xiàng)包括所有邊緣節(jié)點(diǎn)、所有節(jié)點(diǎn)或APIC控制器固件升級(jí)策略始終適用于集群中的所有節(jié)點(diǎn)，但升級(jí)總是每次完成一個(gè)節(jié)點(diǎn)。APICGUI提供關(guān)于固件升級(jí)的實(shí)時(shí)狀態(tài)信息。下圖說(shuō)明了APIC集群節(jié)點(diǎn)固件升級(jí)的過(guò)程圖29：APIC集群控制器固件升級(jí)過(guò)固固件映編輯控制器升級(jí)策管理員向APIC APIC控器固件映管理員編輯默認(rèn)APIC控制器略，用于指定固件策略，包括兼容性檢目標(biāo)固件版注：缺省APIC集群控制器組包含APIC控制器固件映產(chǎn)品固件版本，安排周六午夜啟動(dòng)時(shí)APIC以下列方式應(yīng)用控制器固件升級(jí)策略控制器集群升級(jí)在周六午夜開(kāi)始系統(tǒng)根據(jù)隨新固件映像一同提供的兼容 檢查現(xiàn)有固件的兼容性以升級(jí)到新版本升級(jí)時(shí)每次一個(gè)節(jié)點(diǎn)，直到集群中的所有節(jié)點(diǎn)都升級(jí)完 因?yàn)锳PIC是節(jié)點(diǎn)的集群，應(yīng)盡量減少中斷。在考慮規(guī)劃APIC升級(jí)時(shí)管理員應(yīng)ACI矩陣，包括APIC在升級(jí)時(shí)繼續(xù)運(yùn)備注PIC10一旦控制器映像完成升級(jí)，它就會(huì)從集群中終止，集群中的其他PC器仍在運(yùn)行時(shí)該控制器映像會(huì)用更新的版本重啟?？刂破髦貑⒅?，它再次加入集群。然后集群融合，下一個(gè)控制器映像開(kāi)始升級(jí)。如果集群沒(méi)有立即融合且不完全合適，那么升級(jí)會(huì)等到集群融合并完全合適時(shí)再進(jìn)行。在此過(guò)Waigorteroree如果控制器節(jié)點(diǎn)升級(jí)失敗，升級(jí)暫停，等待手動(dòng)干下圖顯示了升級(jí)所有ACI矩陣交換機(jī)節(jié)點(diǎn)固件時(shí)該過(guò)程的工作原圖30：交換機(jī)固件升級(jí)過(guò)固件映 指定固件策 指定固件策管理員 交換機(jī)固件映像，包括兼容。和交換機(jī)，交換機(jī)APIC庫(kù)新的交

管理員創(chuàng)建新的或使用現(xiàn)有的規(guī)定下列內(nèi)容的目標(biāo)固件版組節(jié)兼容性檢提供針對(duì)所有節(jié)點(diǎn)的固件版本，啟用默認(rèn)兼容

組節(jié)并行-并行升級(jí)的交啟用節(jié)點(diǎn)失敗暫停，選擇所有交換機(jī)節(jié)點(diǎn)5個(gè)并行，安排周六午夜的APIC以下列方式應(yīng)用交換機(jī)升級(jí)策APIC在周六午夜開(kāi)始升級(jí)系統(tǒng)根據(jù)隨新固件映像一同提供的兼容 檢查現(xiàn)有固件的兼容性以升級(jí)到新版本升級(jí)每次處理5個(gè)節(jié)點(diǎn)，直到所有指定的節(jié)點(diǎn)都升級(jí)完備 固件升級(jí)導(dǎo)致交換機(jī)重啟；重啟可中斷交換機(jī)運(yùn)行數(shù)分鐘如果交換機(jī)節(jié)點(diǎn)升級(jí)失敗，升級(jí)暫停，等待手動(dòng)干地理位

管理員使用地理位置策略確定I矩陣節(jié)點(diǎn)在數(shù)據(jù)中心的物理位置。下圖舉例說(shuō)明了地址位置圖31：地理位樓 建 房 機(jī)例如，對(duì)于單個(gè)房間中的矩陣部署，管理員可以使用默認(rèn)房間對(duì)象，然后創(chuàng)建一個(gè)或多個(gè)匹配交換機(jī)物理位置的機(jī)架。對(duì)于更大規(guī)模的部署，管理員可以創(chuàng)建一個(gè)或多個(gè)站點(diǎn)對(duì)象。每個(gè)站點(diǎn)可以包含一個(gè)或多個(gè)建筑物。每個(gè)建筑物有一層或多層。每個(gè)樓層有一個(gè)或多個(gè)房間，每個(gè)房間有一個(gè)或6網(wǎng)絡(luò)和管理連本章包括以下部分租戶的路由選擇，第53WAN和其他外部網(wǎng)55DHCP中繼，第59DNS62帶內(nèi)和帶外管理，第62共享服務(wù)合約用法，第66租戶的路由選（I）XN了口界面共享同一個(gè)針對(duì)給定租戶子網(wǎng)的路由IP地址MAC地址。用于傳輸子網(wǎng)間租戶流量的3在ACI模型中，向ACI矩陣默認(rèn)網(wǎng)關(guān)發(fā)送、到達(dá)矩陣的流量被路由到虛擬網(wǎng)絡(luò)段（被稱為“3層VNID”）。針對(duì)每個(gè)租戶的三層地址域分配一個(gè)第3層VNID。下圖說(shuō)明了在租戶如何進(jìn)圖32：用于傳輸子網(wǎng)間租戶流量的第3層矩矩L3VNID子網(wǎng) 子網(wǎng) 子網(wǎng)子網(wǎng)封包從第3層段VNID路由到出口子網(wǎng)的VNID。 模型為在租戶內(nèi)路由的流量在矩陣內(nèi)提供更加高效的轉(zhuǎn)發(fā)。通過(guò)這種模型，兩個(gè)虛V到量配置路由反射路由反射器時(shí)，矩陣管理員必須選擇要充當(dāng)路由反射器的交換機(jī)，并提供自主系統(tǒng)（AS）。一ACI矩陣內(nèi)啟用路由反射器，管理員可以按照下列小節(jié)中的說(shuō)明配置通往外部網(wǎng)絡(luò)的連通性在把外部路由器 矩陣連接時(shí)，矩陣基礎(chǔ)架構(gòu)管理員把節(jié)點(diǎn)配置為邊界網(wǎng)關(guān)協(xié)（BP）路由反射器。出于冗余目的，被配置為路由反射器節(jié)點(diǎn)的設(shè)備不止一個(gè)（一個(gè)主）。當(dāng)租戶需要把一個(gè)WAN路由器連接到ACI矩陣上時(shí)，基礎(chǔ)架構(gòu)管理員配置與作為WAN架（ToR）的WAN路由器連接的邊緣節(jié)點(diǎn)（如下所述），并將此WANToR與一個(gè)路由反射器節(jié)點(diǎn)配對(duì)為BGP對(duì)等體。當(dāng)在WANToR上配置路由反射器時(shí)，反射器能夠在矩陣中公告這些租戶多4000個(gè)WN過(guò)4000與多個(gè)邊緣節(jié)點(diǎn)配對(duì)?；A(chǔ)架構(gòu)管理員使用它可以公告的路徑（或路徑前綴）配置每個(gè)配對(duì)的邊緣節(jié)基礎(chǔ)架構(gòu)管理員必須配置一個(gè)以下列方式連接到矩陣的外部WAN路由器最多把兩個(gè)節(jié)點(diǎn)配置為路由反射器。配置一個(gè)主路由反射器和一個(gè)輔助路由反射器，后在WANToR上配置一個(gè)主路由反射器節(jié)點(diǎn)和一個(gè)輔助路由反射器節(jié)點(diǎn)，后者作為冗WANToRToR負(fù)責(zé)公告的路徑。這位可選操作，僅在知道租戶路由器公告的路徑超過(guò)4000時(shí)實(shí)施。WAN和其他外部網(wǎng)接WN業(yè)換通往外部路由器的橋接如下圖所示，當(dāng)邊緣交換機(jī)接口被配置為橋接接口時(shí)，租戶VNID的默認(rèn)網(wǎng)關(guān)為外部路由器圖33：橋接外部路由矩矩ACI矩陣沒(méi)有外部路由器的存在，APIC將邊緣交換機(jī)靜態(tài)地分配到它的EPG路由器對(duì)等互連和路由分布式如下圖所示，當(dāng)使用路由對(duì)等互連模型時(shí)，靜態(tài)地把邊緣交換機(jī)接口配置為外部路由器的對(duì)圖34：路由器對(duì)總的地址，通過(guò)外部路由器連接的邊緣交換機(jī)的VTEPIP地址放置在邊緣交換機(jī)的轉(zhuǎn)中。WAN路徑?jīng)]有轉(zhuǎn)發(fā)。如果WAN路徑不適合邊緣交換機(jī)的轉(zhuǎn)，那么流量會(huì)被丟棄。外部路由器不是默認(rèn)網(wǎng)關(guān)，來(lái)自租戶端點(diǎn)（EP）的封包被發(fā)送到ACI矩陣的默認(rèn)網(wǎng)關(guān)。連接實(shí)體配置文ACI矩陣提供通過(guò)邊緣端口與多種外部實(shí)體（如機(jī)服務(wù)器、管理程序、第2層交換機(jī)（如思科UCS矩陣互連）3層路由器（Nexus7000系列交換機(jī)））連接的多個(gè)連接點(diǎn)。這些連圖35：可連接的實(shí)體配置文vCenter虛擬分布式交換連接點(diǎn)是端口、端口通道和與連接點(diǎn)對(duì)應(yīng)的外部vCenterDVS提供接口策（LACP、LLDP、CDP、VMMVLAN端+策物理VLAN外部VLAN（P）（P）（PT（PAEPVLAN。封裝池（VLAN）可以在邊緣交換機(jī)上重復(fù)使用。AEP向物理基礎(chǔ)架構(gòu)暗中提供VLAN池的范圍。 備 必須在各種配置情景下考慮下了AEP要求和依賴關(guān)系用VLAN。在端口上部署EPG之前，不會(huì)有流量流過(guò)。部署AEPVLAN池之前，即使提供了EPG，VLAN也不會(huì)在邊緣端口上啟用VLAN：該邊緣端口基于靜態(tài)綁定在某個(gè)邊緣端口上的EPGVMwarevCenterVM事件。邊緣交換機(jī)不支持的VLAN池。不同的VLAN池不得與同一個(gè)AEP關(guān)聯(lián)通往外部網(wǎng)絡(luò)的橋接和路由連被外部網(wǎng)絡(luò)管理的對(duì)象啟用第2層和第3層通往外部網(wǎng)絡(luò)的租戶連接可以使用GUI、CLI或RESTAPID3層外部網(wǎng)絡(luò)策略示例包含一個(gè)樣本XML23層外部邊緣節(jié)點(diǎn)可連接外部網(wǎng)絡(luò)的租戶路由連接性通過(guò)將某個(gè)矩陣接入（inana）外部路由域（3mP）與一個(gè)第3部（3tnP第3（3tntPG圖36：通往外部網(wǎng)絡(luò)的租戶租戶（用戶Common接L3外部網(wǎng)應(yīng)橋接三地址子L3外部實(shí)合實(shí)體配置文L3外部路徑附 包括路由協(xié)議選項(xiàng)（BGP、 或兩者都有）和特定于交換機(jī)的配置和特定于接口的配置 口配置文件包含必要的OSPF接口配置詳細(xì)信息。啟用OSPF時(shí)兩者都需要。網(wǎng)絡(luò)。但是，外部網(wǎng)絡(luò)配置可以通過(guò)把多個(gè)L3外部節(jié)點(diǎn)配置文件關(guān)聯(lián)被輕松地重復(fù)用于使用類似的流程配置通往外部網(wǎng)絡(luò)的租戶橋接連接性?？赏ㄟ^(guò)將矩陣接入（nna）外部橋接（2t2（2tut2（2tntPG起來(lái)啟用租戶第2層