• <strike id="fdgpu"><input id="fdgpu"></input></strike>
    <label id="fdgpu"></label>
    <s id="fdgpu"><code id="fdgpu"></code></s>

  • <label id="fdgpu"></label>
  • <span id="fdgpu"><u id="fdgpu"></u></span>

    <s id="fdgpu"><sub id="fdgpu"></sub></s>
    您當前的位置是:  首頁 > 資訊 > 文章精選 >
     首頁 > 資訊 > 文章精選 >

    思享家 | 這個“PBR”不簡單

    2021-11-09 09:19:45   作者:   來源:CTI論壇   評論:0  點擊:7191


      思科架構師 黃兆基
      思享家
      是一個介紹如何利用思科先進技術解決客戶難題的欄目。每期聚焦一個技術熱點或應用場景,邀請資深思科技術專家深入淺出地介紹,為讀者提供實用性強的建議。
      在前面的幾篇文章里,我為大家介紹了基于意圖的網絡(IBN)的架構及其優(yōu)點、以AI工具精準梳理業(yè)務意圖并運用DevOps手段快速部署到ACI等IBN之上。相信大家已經充分了解了IBN在自動化部署、持續(xù)運維等方面的突出優(yōu)勢,也掌握了一些部署方法,但鑒于每家企業(yè)的業(yè)務和網絡環(huán)境千差萬別、歷史包袱有輕有重,所以仍然會碰到新問題。
      比如為了充分體現(xiàn)IBN的優(yōu)點,首先要把網關遷移到IBN內的Anycast Gateway。這樣IBN在識別所有負載(即其IP與MAC地址)后,除了把他們歸類到不同的群組(Group)并以策略(Policy)來作零信任管控外,還可以利用新一代具備Telemetry功能的芯片,獲得包括網絡流(Flow)、延時(latency)、丟包(Drop)等在內的全棧可視化(Full Stack Observability),再配合Nexus Dashboard Insights人工智能整合和分析,可以加快運維特別是排錯流程。
      用戶一般都會把服務器網關配置在防火墻或負載均衡上,他們希望在遷移網關時讓負載保留在原來的子網內,以減少對應用和其他團隊的影響。但如何保證在網關遷移后負載的防火墻訪問需求不變呢?這是一個令很多用戶頭疼的問題。
      Policy Based Redirect (PBR)能夠很好的解決這個問題。下面我們來看一個簡單的演示。
      以ACI為例,在初始階段,圖中負載A與B原來的網關還是停留在防火墻內,他們所屬的ACI EPG群組因而被設定為純二層。
      在這個設定下,ACI Fabric只能識別到最基本的MAC地址而不包括IP和其他信息。路由管控還在防火墻上而不在Fabric范圍內。從ACI的拓撲圖上也顯示負載A與B兩個群組之間沒有被任何ACI策略所規(guī)范。IBN高可視性的優(yōu)點無法體現(xiàn)。
      實施PBR第一步是在遷移網關的同時,將L4-L7 Service Graph和ACI Contract綁定,把原來的防火墻訪問需求以Contract的方式配置。
      更新后的拓撲圖顯示負載A與B兩個群組之間改為由L4-L7策略所規(guī)范。
      負載A與B的網關已遷移至ACI 內的Anycast網關,所屬子網保留不變。
     
      通過PBR的設置,把數據包由負載A轉發(fā)至防火墻指定的IP與MAC地址組合(圖例的3.3.3.254),同時在防火墻上以靜態(tài)路由等方式轉發(fā)至下一站或是回到Fabric內。
      PBR不僅可以在網關遷移后保持子網和防火墻訪問需求不變,配合多路徑對稱式導流和防火墻健康性檢查等功能,PBR還能實現(xiàn)多臺防火墻的冗余和負載均衡,實現(xiàn)具備彈性伸縮能力的防火墻資源池。而且在多活數據中心環(huán)境下,還可以解決多出口的非對稱路由(Asymmetric Routing)等復雜問題,一舉多得。還有一點值得留意的地方是ACI PBR的“R”是“Redirect”而不是“Routing”。顧名思義跟一般Policy Based Routing不同的地方是ACI PBR的Redirect 可以以L1,L2或是L3的模式配合不同場景需求來部署,彈性更大。除了能在ACI上實現(xiàn),也可以通過最新發(fā)布的Nexus Dashboard Fabric Controller(從前的DCNM)在NXOS VxLAN上部署。
      思科把一般人認為的PBR加強成為PB Redirect, 不單可以對應L3,L1/L2也可以支持,因此可以適合更多不同場景。
      下次我會和大家分享如何利用NDFC簡化配置NXOS版本的 VxLAN。
    【免責聲明】本文僅代表作者本人觀點,與CTI論壇無關。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。

    相關熱詞搜索: 思科

    上一篇:為CX成功設置AI解決方案的4個提示

    下一篇:最后一頁

    • 0

    • 0

    • 0

    • 0

    • 0

    • 0

    • 0

    • 0

    專題

    CTI論壇會員企業(yè)

    亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩 承德市| 广丰县| 泽州县| 南宫市| 百色市| 隆回县| 平陆县| 阿拉善左旗| 石景山区| 汶川县| 历史| 密云县| 新竹市| 寿宁县| 慈利县| 锡林浩特市| 东乌珠穆沁旗| 安塞县| 荥阳市| 新晃| 湘阴县| 贵德县| 项城市| 波密县| 铁岭县| 吉首市| 宕昌县| 河津市| 麦盖提县| 洞口县| 翁源县| 宜都市| 蒙城县| 济南市| 鹰潭市| 唐山市| 大理市| 江华| 定西市| 司法| 陇西县| http://444 http://444 http://444 http://444 http://444 http://444