[Cisco] ACI(APIC) 초기 구성 Test - 1

안녕하세요. 오송입니다.

 

오늘은 SJH-Tenant을 생성하여 설정을 해보도록 하겠습니다.

---

1. ACI 구성 Topology

• 해당 Test에서는 Leaf203 / Leaf204에 서버가 연결되어 있습니다.
• 초기 구성들은 셋팅이 되어 있는 상태로 간단한 구성을 진행합니다.

2. Tenant 생성

Tenant 정의
- ACI의 논리적 관리 단위
- 고객, 사업부, 별도의 관리와 데이터 흐름이 필요한 그룹 등을 나타낸다.
- Tenant를 통해 관리자는 도메인 기반의 액세스 제어를 수행할 수 있다.

Tenant 주요 특징
- 독집적인 네트워크 구성할 수 있다.
- Tenant 간 트래픽은 기본적으로 격리가 되어 있어 보안이 유지된다.
- Tenant 단위로 관리자를 지정해 독립적으로 운영이 가능하다.
- 하나의 ACI 환경에서 여러 Tenant를 생성하여 운영할 수 있다.

• 상단의 Add Tenant 클릭

2.1 SJH-Tenant 생성

• 상단의 Add Tenant 클릭
• Tenant Name 입력 후 Submit 클릭
• Tenant Name : SJH-Tenant

3. SJH-Tenant의 VRF 생성

VRF의 정의
- ACI 내에서 독립적인 라우팅 및 전달 테이블을 가지는 논리적 라우팅 인스턴스이다.
- VRF를 통해 Tenant 내에서 독립적인 ip 주소 공간을 구성할 수 있다.
- 각 VRF는 고유한 라우팅 및 전달 테이블을 가지므로, Tenant 간 트래픽은 기본적으로 격리된다.

VRF의 주요 특징
- Tenant 내에서 VRF별로 독집적인 IP 주소 공간을 가질 수 있다.
- VRF 단위로 라우팅 및 전달 테이블이 분리되어 관리된다.
- VRF 간 트래픽은 기본적으로 격리되어 있어 보안이 유지된다.

여기서부터는 SJH-Tenant에 대한 내용 생성

• 생성한 Tenant -> Networking -> VRFs -> Create VRF 클릭

3.1 SJH-VRF 생성

• VRF Name : SJH-VRF
• 아래의 체크 표시 모두 해제
• Finish 클릭

3.2 SJH-VRF-2 생성

• VRF Name : SJH-VRF-2
• 아래의 체크 표시 모두 해제
• Finish 클릭

4. SJH-Tenant의 BD 생성

BD(Bridge Domain) 정의
- ACI 내에서 L2 네트워크 세그먼트를 나타내는 논리적인 개체
- 각 BD는 하나의 서브넷을 가지며, 이 서브넷은 게이트웨이 역할을 한다.
- BD 내에서는 MAC 주소 학습 및 전달이 이루어진다.
- BD는 VRF와 연결되어 L3 연결을 제공한다.

BD의 특징
- BD는 L2 브로드캐스트 경계를 정의한다.
- BD내에서 MAC 주소 학습 및 전달이 이루어진다.
- BD는 VRF와 연결되어 L3 연결을 제공한다.
- 각 BD는 하나의 서브넷을 가지며, 이 서브넷은 게이트웨이 역할을 한다.

• Networking -> Bridge Domains 우클릭 -> Create Bridge Domain 클릭

4.1 BD-192.150.53.0 생성

• BD Name : BD-192.150.53.0

BD의 Name은 가능하면 해당 BD의 사용할 대역으로 해주면 나중에 설정할 때에 편함.

• VRF : SJH-VRF
• Next 클릭

• 해당부분 Default로 두고 Next 클릭

• 해당 부분도 Default로 두고 Finish  클릭

4.2  BD-192.150.54.0 생성

• BD Name : BD-192.150.54.0
• VRF : SJH-VRF
• 나머지 모두 Default로 두고 생성

5. BD Subnet 생성

• Networking -> Bridge Domains -> 생성한 BD -> Subnet -> Create Subnet 클릭

5.1 BD-192.150.53.0의 Subnet 생성

• Gateway IP : 192.150.53.254/24
  • 아래의 서버들이 바라 볼 G/W 입력
• Shared between VRFs 체크

Shared between VRFs
- 해당 옵션 체크 시에 해당 서브넷이 다른 VRF와 공유한다.
- 그러하여 VRF 간에 Routing이 가능해진다.
- 즉, 다른 VRF에서도 해당 Subnet에 접근이 가능해진다.

• Submit 클릭

5.2 BD-192.150.54.0의 Subnet 생성

• Gateway IP : 192.150.54.254/24
• Shared betwwen VRFs 체크
• Submit 클릭

6. SJH-Tenant의 Application Profiles 생성

AP(Application Profiles)의 정의
- AP는 ACI 내에서 애플리케이션 구성 요소를 논리적으로 그룹화한 개체
- 각 AP는 하나 이상의 EPG(Endpoint Group)으로 구성된다.
- EPG는 애플리케이션 구성 요소를 나타내며, 동일한 보안 및 네트워크 정책을 공유한다.

AP의 주요 특징
- AP는 애플리케이션 구성 요소를 중심으로 네트워크를 구축한다.
- AP를 통해 애플리케이션 구성 요소를 논리적으로 그룹화할수 있다.
- EPG 간 통신은 Contract를 통해 정의되며, 이를 통해 보안 정책을 적용할 수 있다.
- AP는 애플리케이션 요구사항에 따라 동적으로 구성할 수 있다.

• Application Profiles -> Create Application Profile 클릭

6.1 SJH-AP 생성

• AP Name : SJH-AP
• Submit 클릭

7. SJH-Tenant의 EPG 생성

EPG(Endpoint Group) 정의
- ACI 내에서 애플리케이션 구성 요소를 논리적으로 그룹화한 개체
- 동일한 보안 및 네트워크 정책을 공유하는 앤드포인트의 집합
- AP 내에 포함되며, BD와 연결된다.

• 생성한 AP -> Application EPGs 마우스 우클릭 -> Create Application EPG 클릭

7.1 VLAN153-EPG 생성

• EPG Name : VLAN153-EPG
  • 해당 Name은 EPG가 사용할 VLAN을 넣어주면 편함.
• Bridge Domain : BD-192.150.53.0 선택
• Finish 클릭

7.2 VLAN154-EPG 생성

• EPG Name : VLAN154-EPG
  • 해당 Name은 EPG가 사용할 VLAN을 넣어주면 편함.
• Bridge Domain : BD-192.150.54.0 선택
• Finish 클릭

728x90

8. SJH-Tenant의 Domains 생성

Physical Domain 정의
- ACI 패브릭 외부의 물리적 네트워크 리소르를 정의하는 ACI 구성 요소
- VLAN 풀과 AEP(Access Entity Profile)을 연결하는 역할
- ACI 패브릭 구성을 물리적 네트워크 인프라와 연결한다.

• 생성한 EPG -> Domains 우클릭 -> Add Physical Domain Association 클릭

8.1 VLAN153-EPG Domain 생성

• Cteate Physical Domain 클릭

• Domain Name : SJH-Physical-Domain
• AAEP : 생성한 AAEP 선택
  • 해당 AAEP 는 기존에 미리 생성하였음.
• VLAN Pool : 생성한 VLAN Pool 선택
  • 해당 VLAN Pool은 기존에 미리 생성하였음.
• Submit 클릭

• 생성한 Domain  선택 후 Submit 클릭

• 동일하게 VLAN154-EPG도 Domain 생성

9. SJH-Tenant의 Static Ports 생성

Static Ports 정의
- ACI LEAF 스위치 포트를 특정 앤드포인트 그룹(EPG)에 수동으로 바인딩하는 기능
- 이를 통해 특정 포트와 EPG 간의 고정적인 연결을 설정할 수  있다.

• 생성한 EPG -> Static Ports 우클릭 -> Deploy Static EPG on PC, VPC, or interface 클릭

SMALL

9.1  VLAN153-EPG Static Ports 구성

• Node : 어떠한 LEAF를 사용할 지 선택
• Path : 어떠한 Port를 사용할 지 선택
  • 어떠한 포트가 서버와 연결되어 있는지 파악 필요
  • 해당 테스트는 Leaf204의 e1/1에 서버 연결
• VLAN : 해당 인터페이스를 어떠한 포트로 사용할 지 지정
• Next 클릭

• 해당부분 Default로 두고 Finish 클릭

9.2 VLAN154-EPF Static Ports 구성

10. SJH-Tenant의 Contracts 생성

Contract 정의
- ACI 패브릭 내에서  EPG 간의 트래픽 흐름을 제어하는 정책
- EPG 간 또는 EPG와 L3OUT 간에 Contracts를 구성하여 트래픽 흐름을 관리할 수 있다.

Contract 주요 기능
- Contracts를 통해 EPG 간 세부적인 트래픽 제어가 가능하다.
- Contracts에 우선순위를 부여해 중요한 트래픽의 우선 처리가 가능하다.
- Contracts를 통해 ACI 패브릭의 확장성을 높일 수 있다.

• Contracts 우클릭 -> Create Contract 클릭

• Name : BD-53.0_to_BD-54.0
• Scope : VRF
• Subjects + 모양 클릭

• Name : SJH-Subject
• Filters는 Default로 지정 후 Update
• ok 클릭

• 생성한 EPG -> Contracts -> Add Provided Contract 클릭

• 생성한 Contract 지정 후 Submit

• 생성한 EPG -> Contracts -> Add Consumed Contract 클릭

• 동일하게 생성한 Contract 지정 후 Submit

11. 통신 확인

• VM에서 통신 확인 필요

• vCenter Port Group 설정

• VM 설정

---

다음글

2024.06.03 - [Network/Cisco] - [Cisco] ACI(APIC) 초기구성 Test - 2

[Cisco] ACI(APIC) 초기구성 Test - 2