您当前的位置是:  首页 > 资讯 > 文章精选 >
 首页 > 资讯 > 文章精选 >

思享家 | 这个“PBR”不简单

2021-11-09 09:19:45   作者:   来源:CTI论坛   评论:0  点击:


  思科架构师 黄兆基
  思享家
  是一个介绍如何利用思科先进技术解决客户难题的栏目。每期聚焦一个技术热点或应用场景,邀请资深思科技术专家深入浅出地介绍,为读者提供实用性强的建议。
  在前面的几篇文章里,我为大家介绍了基于意图的网络(IBN)的架构及其优点、以AI工具精准梳理业务意图并运用DevOps手段快速部署到ACI等IBN之上。相信大家已经充分了解了IBN在自动化部署、持续运维等方面的突出优势,也掌握了一些部署方法,但鉴于每家企业的业务和网络环境千差万别、历史包袱有轻有重,所以仍然会碰到新问题。
  比如为了充分体现IBN的优点,首先要把网关迁移到IBN内的Anycast Gateway。这样IBN在识别所有负载(即其IP与MAC地址)后,除了把他们归类到不同的群组(Group)并以策略(Policy)来作零信任管控外,还可以利用新一代具备Telemetry功能的芯片,获得包括网络流(Flow)、延时(latency)、丢包(Drop)等在内的全栈可视化(Full Stack Observability),再配合Nexus Dashboard Insights人工智能整合和分析,可以加快运维特别是排错流程。
  用户一般都会把服务器网关配置在防火墙或负载均衡上,他们希望在迁移网关时让负载保留在原来的子网内,以减少对应用和其他团队的影响。但如何保证在网关迁移后负载的防火墙访问需求不变呢?这是一个令很多用户头疼的问题。
  Policy Based Redirect (PBR)能够很好的解决这个问题。下面我们来看一个简单的演示。
  以ACI为例,在初始阶段,图中负载A与B原来的网关还是停留在防火墙内,他们所属的ACI EPG群组因而被设定为纯二层。
  在这个设定下,ACI Fabric只能识别到最基本的MAC地址而不包括IP和其他信息。路由管控还在防火墙上而不在Fabric范围内。从ACI的拓扑图上也显示负载A与B两个群组之间没有被任何ACI策略所规范。IBN高可视性的优点无法体现。
  实施PBR第一步是在迁移网关的同时,将L4-L7 Service Graph和ACI Contract绑定,把原来的防火墙访问需求以Contract的方式配置。
  更新后的拓扑图显示负载A与B两个群组之间改为由L4-L7策略所规范。
  负载A与B的网关已迁移至ACI 内的Anycast网关,所属子网保留不变。
 
  通过PBR的设置,把数据包由负载A转发至防火墙指定的IP与MAC地址组合(图例的3.3.3.254),同时在防火墙上以静态路由等方式转发至下一站或是回到Fabric内。
  PBR不仅可以在网关迁移后保持子网和防火墙访问需求不变,配合多路径对称式导流和防火墙健康性检查等功能,PBR还能实现多台防火墙的冗余和负载均衡,实现具备弹性伸缩能力的防火墙资源池。而且在多活数据中心环境下,还可以解决多出口的非对称路由(Asymmetric Routing)等复杂问题,一举多得。还有一点值得留意的地方是ACI PBR的“R”是“Redirect”而不是“Routing”。顾名思义跟一般Policy Based Routing不同的地方是ACI PBR的Redirect 可以以L1,L2或是L3的模式配合不同场景需求来部署,弹性更大。除了能在ACI上实现,也可以通过最新发布的Nexus Dashboard Fabric Controller(从前的DCNM)在NXOS VxLAN上部署。
  思科把一般人认为的PBR加强成为PB Redirect, 不单可以对应L3,L1/L2也可以支持,因此可以适合更多不同场景。
  下次我会和大家分享如何利用NDFC简化配置NXOS版本的 VxLAN。
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

相关热词搜索: 思科

上一篇:为CX成功设置AI解决方案的4个提示

下一篇:最后一页

专题

CTI论坛会员企业