Cisco ACI는 레거시 네트워크와 달리, 정책 기반 구조를 중심으로 동작합니다.
일반적으로
1. Tenant를 만들고
2. Tenant에 속한 VRF를 만들고
3. VRF와 연결 된 BD를 만들고
4. BD와 연결된 EPG들을 만듭니다.
Contract(정책)은 Enforced 와 UnEnforced를 구분해야 하는데 . .
Enforced는 Contract을 적용 받는다. UnEnforced는 Contract를 적용 받지 않겠다.
BD사이는 Enforced, Ingress가 기본이고 ,
BD안의 EPG 사이는 UnEnforced가 기본이다.
사내 네트워크 대역을 증설한다고 가정해보자 . .
DB, Was, Web등 서버가 늘어남에 따라 IP수요가 증가하게 된다. IP 대역을 증설해 둬야 하는데!
일반적인 레거시 네트워크에서는
물리적인 상황 (케이블 포설 여부, 전력 가용성, 케이블 길이 , 분전함 위치 등 . .) 을 고려하고
증설되는 대역의 시스템의 성격에 따라 어디에 연결되면 좋을지 고려된다.
종합적으로 고려하여 VLAN 대역을 추가할 단말 네트워크 장비를 찾고. 해당 네트워크 장비에 VLAN 설정을 추가해준다.
VLAN 10, VLAN 20만 사용했다면 . . VLAN 30 (10.10.30.0/24) 대역의 설정이 추가되는 거지 . .
이 과정을 ACI망에서 생각해보면 ACI 망에는 Leaf101, Leaf102 등 . .
여러개의 Leaf 장비 아래에 네트워크 장비/ 서버들이 연결된 구조다.
ACI망에서의 트래픽 흐름과 네트워크 대역 증설을 하는 과정을 생각해보자
우선 네트워크 흐름은 예를 들면 ,
A EPG는 Leaf 1번 아래에 연결된 장비/서버들의 정책 그룹, B EPG는 Leaf 2번 아래에 연결된 장비/서버들의 정책 그룹
A EPG --> B EPG로 트래픽을 전달할 때!
A EPG에 있는 서버 a의 트래픽은 Leaf 1번 장비에서 정책을 검사하고 정책(Contract)에 맞지 않으면 DROP 된다.
(일반적으로 Contract Enforcement 방향은 Ingress)
다음으로 네트워크 대역에 관한 것은 Subnet은 BD에 정의되고 , BD에 속한 EPG는 해당 서브넷을 사용 가능하다
BD는 L2 네트워크 정책이라고 생각하면 된다.
- EPG1의 서버가 10.10.10.x 주소를 사용하면 →
BD의 10.10.10.1/24 서브넷이 해당 트래픽의 게이트웨이 역할 수행 - EPG2의 서버가 10.10.20.x 주소를 사용하면 →
BD의 10.10.20.1/24 서브넷이 해당 트래픽의 게이트웨이 역할 수행
네트워크 증설은 BD에 Subnet이 추가되는 것이다. 그리고 해당 BD에 해당 대역을 쓰는 EPG가 연결되면 된다.
BD안에 Subnet이 10.10.10.0/24 , 10.10.20.0/24만 사용되었고 여기에 10.10.30.0/24 대역이 추가된 것이다.
Leaf 아래에 중간 스위치가 있고, 그 아래에 서버가 연결되어 있더라도,
Leaf가 서버의 MAC/IP를 학습할 수 있다면 (L2 통신) 자동으로 Endpoint로 등록됩니다.