[Cisco ACI] 목표 LAB 구성 테스트 - 2

이전글

2024.10.10 - [Network/Cisco ACI] - [Cisco ACI] 목표 LAB 구성 테스트 - 1

[Cisco ACI] 목표 LAB 구성 테스트 - 1

---

1. Application Profiles

AP(Application Profiles)의 정의
- AP는 ACI 내에서 애플리케이션 구성 요소를 논리적으로 그룹화한 개체
- 각 AP는 하나 이상의 EPG(Endpoint Group)으로 구성된다.
- EPG는 애플리케이션 구성 요소를 나타내며, 동일한 보안 및 네트워크 정책을 공유한다.

AP의 주요 특징
- AP는 애플리케이션 구성 요소를 중심으로 네트워크를 구축한다.
- AP를 통해 애플리케이션 구성 요소를 논리적으로 그룹화할수 있다.
- EPG 간 통신은 Contract를 통해 정의되며, 이를 통해 보안 정책을 적용할 수 있다.
- AP는 애플리케이션 요구사항에 따라 동적으로 구성할 수 있다.

• Application Profiles -> Create Application Profile 클릭

• AP Name : SJH-AP
• Submit 클릭

 

---

2. Endpoint Group(EPG)

EPG(Endpoint Group) 정의
- ACI 내에서 애플리케이션 구성 요소를 논리적으로 그룹화한 개체
- 동일한 보안 및 네트워크 정책을 공유하는 앤드포인트의 집합
- AP 내에 포함되며, BD와 연결된다.

• 생성한 AP -> Application EPGs 마우스 우클릭 -> Create Application EPG 클릭

• EPG의 Name 입력
• BD 선택 후 Finish 클릭

동일하게 남은 EPG들 생성(VLAN11-EPG, VLAN12-EPG, VLAN13-EPG, VLAN14-EPG)

2.1 EPG Domain 설정

• 생성한 EPG - Domains - Add Physical Domain Assoc

• 생성한 Physical Domain Profile 선택 후 Submit

동일하게 모든 EPG들 Physical Domain Profile 선택

---

3. L3Outs

L3Out 이란?
- ACI 도메인과 외부 네트워크간의 라우팅 경로를 설정하는데 사용한다.
- 해당 L3 OUT을 통해 ACI 네트워크와 외부 네트워크 간 통신을 가능하게 한다.
- OSPF, BGP 등 라우팅 프로토콜을 사용해 외부 네트워크와 동적으로 라우팅 정보를 교환한다.(Static도 가능)

• 해당 테스트는 방화벽과 LEAF 스위치와 연결되어 있음.
• 아래는 방화벽 Config
• 2개의 VRF가 서로 다른 L3OUT을 가지고 있기 때문에 일반 routed 포트로 사용시에는 2개의 링크로 연결해야함.
• 그렇지 않다면 하나의 링크를 사용하려면, sub interface 사용하거나, SVI를 사용해서 진행

• Tenants - 자신의 Tenant - Networking - L3Outs - Create L3Out 클릭

• L3OUT의 Name 입력
• L3OUT과 연결 할 VRF 선택
• L3 Domain 선택

• 해당 테스트는 Sub-interface로 진행
• 방화벽과 연결된 LEAF의 Node ID 선택 Router ID는 중복 안되게만 입력
• 방화벽과 연결된 LEAF의 Interface 지정 후 방화벽과 통신을 위한 Encap Vlan 입력
• IP는 방화벽 인터페이스와 통신할 아이피 지정 후 Next

• L3OUT의 External EPG Name 입력
• 아래의 Provided Contract은 Create Contract를 눌러 새로 생성

• Contract Name 설정
• Subject 추가를 위해 + 클릭

• Contract Subject의 Name 입력
• Filters에서 + 누른 후 default로 지정해서 Update 클릭 후 OK 클릭

• Consumed Contract도 아까 생성한 동일한 Contract으로 설정 후 Finish

만약 Consumed Contract에서 생성한 Contract이 보이지 않는다면 Cancel 누른 후 다시 L3OUT 생성 진행

728x90

• 설정 후 방화벽에서 해당 L3OUT 인터페이스로 핑 통신 확인

• 다음으로 동일하게 SJH-DB-WEB VRF 또한 L3OUT 생성

• 해당 SJH-DB-WEB VRF 가 사용할 L3OUT 인터페이스 아이피 및 세부 사항 입력

• SJH-USER VRF와 동일하게 설정은 하지만 Contract은 따로 생성 후 진행

• 동일하게 방화벽에서 SJH-DB-WEB VRF의 L3OUT 인터페이스로 핑 통신 확인

---

4. Contracts

Contract이란?
- 네트워크 내에서 서로 다른 Endpoint 그룹(EPG) 간의 토인을 제어하는 것
- 정책 기반 제어를 한다.
- 특정 프로토콜이나 포트에 대한 트래픽 허용/차단 한다.

• BD-192.151.10.0 과 BD-192.151.13.0의 통신을 위해 Contract 생성
• 서로 다른 VRF 끼리 통신할때는 Scope를 Tenant로 선택해서 진행

• default 로 모든 정책 설정

• 같은 VRF의 Contract 생성시에는 Scope를 VRF로 선택

나머지 연결되는 모든 Contract 생성

생성 Contract 목록
VLAN13_VLAN10, VLAN13_VLAN11, VLAN13_VLAN12, VLAN13_VLAN14, VLAN10_VLAN11(해당 Contract만 Scope Tenant로 설정), VLAN10_VLAN12, VLAN11_VLAN12, VLAN12_VLAN14

---

5. EPG Contract 추가

• Application profiles - 생성한 AP - Application EPGs - 생성한 EPG - Contract - Add Provided Contract 클릭

• 자신의 VLAN10이 포함된 Contract 추가

• 동일하게 Consumed Contract도 자신의 VLAN10 포함된 Contract 추가

 

동일한 방법으로 모든 EPG에 Contract 적용 진행

VLAN10-EPG Contract

VLAN11-EPG Contract

• 해당 EPG는 외부 통신을 해야하는 EPG로 L3OUT Contract 추가 필요

VLAN12-EPG Contract

VLAN13-EPG Contract

VLAN14-EPG Contract

• 해당 EPG는 외부 통신을 해야하는 EPG로 L3OUT Contract 추가 필요

---

6. EPG Static Ports

• 생성한 EPG - Static Ports - Deploy Static EPG on PC, VPC, or Interface 클릭

• 서버와 연결된 LEAF 스위치 선택 후 호스트의 연결 포트 설정 및 VLAN 설정

나머지 모든 EPG의 Static Ports 지정

VLAN10-EPG

• LEAF_201 / E1/1 / VLAN 10

VLAN11-EPG

• LEAF_201 / E1/1 / VLAN 11

VLAN12-EPG

• LEAF_201 / E1/3 / VLAN12

VLAN13-EPG

• LEAF_201 / E1/5  VLAN13

VLAN14-EPG

• LEAF_201 / E1/5 / VLAN14

---