Tweet
L2Out là gì?
L2Out = Layer 2 Outside - là cơ chế để kéo dài (extend) miền broadcast L2 từ ACI Fabric ra bên ngoài, kết nối với các switch truyền thống (non-ACI) như Nexus 3000/5000/7000, Catalyst, hoặc switch của hãng khác.
Nói một cách dễ hiểu: L2Out cho phép VLAN bên ngoài "nói chuyện" trực tiếp với EPG trong ACI mà không cần routing.
Khi nào cần L2Out?
Luồng hoạt động của L2Out
Chi tiết các bước:
So Sánh Chi Tiết: L2Out vs L3Out
So Sánh Luồng Dữ Liệu
L2Out: Server cũ → Server mới (cùng subnet)
L3Out: Server ACI → Router WAN (khác subnet)
Migration Scenario: Từ Switch cũ vào ACI
Phase 1: Bắt đầu migration (dùng L2Out)
Phase 2: Chuyển Default GW vào ACI
Phase 3: Hoàn tất migration (xoá L2Out)
Lưu ý quan trọng về STP và L2Out
Khi nào dùng L2Out, khi nào dùng L3Out?
Tổng kết nhanh
L2Out = Layer 2 Outside - là cơ chế để kéo dài (extend) miền broadcast L2 từ ACI Fabric ra bên ngoài, kết nối với các switch truyền thống (non-ACI) như Nexus 3000/5000/7000, Catalyst, hoặc switch của hãng khác.
Nói một cách dễ hiểu: L2Out cho phép VLAN bên ngoài "nói chuyện" trực tiếp với EPG trong ACI mà không cần routing.
Khi nào cần L2Out?
| Tình huống | Mô tả | Giải pháp |
| Migration | Đang chuyển dần workload từ switch cũ vào ACI | Dùng L2Out để kéo dài VLAN, hai bên vẫn ping được |
| Workload chưa thể migrate | Máy chủ mainframe, storage cũ không thể chuyển vào ACI | Giữ nguyên kết nối L2 qua L2Out |
| Tránh đánh địa chỉ lại IP | Không muốn thay đổi IP cho hàng trăm server khi chuyển vào ACI | Giữ nguyên subnet, chỉ thay đổi kết nối vật lý |
| Kết nối thiết bị L2 legacy | Switch cũ chỉ hỗ trợ L2, không thể chạy routing | L2Out là lựa chọn duy nhất |
Chi tiết các bước:
- Switch cũ gán tag VLAN 100 cho traffic từ Server A (10.10.10.10).
- Trunk link (có thể là vPC) kết nối switch cũ với Border Leaf của ACI, mang VLAN 100.
- Border Leaf nhận frame 802.1Q, xác định VLAN 100 được ánh xạ (mapped) vào EPG_Web.
- Trong ACI, EPG_Web thuộc BD_Web có subnet 10.10.10.254/24.
- Server B (10.10.10.20) đã migrate vào ACI, cũng thuộc EPG_Web.
- ARP request từ Server A được flood ra toàn bộ EPG_Web (cả port L2Out và port nội bộ ACI) → Server B nhận được.
- Traffic L2 giữa Server A và Server B được ACI xử lý như traffic nội bộ (VXLAN encap/decap).
| Thành phần | Vai trò | So với L3Out |
| External Bridged Domain | Domain đặc biệt dành cho L2Out, thay vì Physical Domain | L3Out dùng External Routed Domain |
| L2Out EPG | EPG đại diện cho VLAN bên ngoài | L3Out dùng External EPG (prefix-based) |
| Static VLAN Mapping | Ánh xạ trực tiếp VLAN ID bên ngoài vào EPG | L3Out dùng IP prefix |
| No Routing Protocol | Không có OSPF/BGP, chỉ L2 forwarding | L3Out có routing protocol |
| AAEP | Vẫn cần AAEP để gán domain vào port | Giống nhau |
| Tiêu chí | L2Out | L3Out |
| Mục đích chính | Kéo dài miền broadcast L2 | Kết nối routing L3 ra ngoài |
| Giao thức | Không (L2 forwarding thuần túy) | OSPF, BGP, EIGRP, Static Route |
| Phân loại traffic | Dựa trên VLAN ID | Dựa trên IP Prefix |
| Đơn vị kết nối | Trunk port (VLAN tagged) | Routed interface, SVI, sub-interface |
| Default Gateway | Nằm ở switch cũ hoặc trong ACI | Thường là Border Leaf (Anycast GW) |
| ARP handling | ARP flooding (cần bật trên BD) | ARP flooding có thể tắt (dùng Spine Proxy) |
| L2 Unknown Unicast | Flood ra ngoài (cần bật) | Không liên quan (L3 forwarding) |
| Spanning Tree (STP) | ACI flood BPDU, không xử lý STP | Không liên quan |
| Loop prevention | Dựa vào STP bên ngoài | Routing (ECMP, TTL) |
| Migration use case | Chính - di chuyển workload từ switch cũ | Không liên quan |
| VLAN overlap | Có thể dùng Port Local Scope để giải quyết | Không issue (dùng IP) |
| Scalability | Bị giới hạn bởi VLAN (4096) | Không giới hạn (IP routing) |
| Troubleshooting | Khó hơn (STP, flooding, TCN) | Dễ hơn (routing table, ping, traceroute) |
L2Out: Server cũ → Server mới (cùng subnet)
L3Out: Server ACI → Router WAN (khác subnet)
Migration Scenario: Từ Switch cũ vào ACI
Phase 1: Bắt đầu migration (dùng L2Out)
Phase 2: Chuyển Default GW vào ACI
Phase 3: Hoàn tất migration (xoá L2Out)
Lưu ý quan trọng về STP và L2Out
| Vấn đề | Tác động | Giải pháp |
| ACI flood BPDU | ACI không xử lý STP, chỉ flood BPDU trong EPG | Đảm bảo switch ngoài xử lý STP đúng |
| TCN (Topology Change Notification) | Khi switch ngoài gửi TCN, ACI flush endpoint table trong EPG đó | Hạn chế TCN bằng PortFast, BPDU Guard |
| MST BPDU | Không có VLAN tag, ACI không biết flood vào EPG nào | Dùng PVST+ thay vì MST nếu có thể |
| L2 loop | Nếu switch ngoài kết nối nhiều port vào ACI | Chỉ kết nối một điểm duy nhất cho mỗi VLAN |
| Tình huống | Giải pháp | Lý do |
| Migration từ switch cũ | L2Out (tạm thời) | Cần giữ cùng subnet, cùng broadcast domain |
| Mainframe, storage cũ | L2Out (vĩnh viễn) | Không thể migrate, chỉ support L2 |
| Kết nối Data Center qua WAN | L3Out (hoặc Multi-Site) | L2 over WAN không tốt (STP, broadcast storm) |
| Kết nối Internet/ISP | L3Out | Bắt buộc có routing |
| Kết nối với firewall L3 mode | L3Out | Firewall cần routing |
| Kết nối với firewall transparent mode | L2Out | Firewall bridge L2 |
| VXLAN EVPN với switch hãng khác | L2Out (hoặc L3Out) | Tùy requirement |
| L2Out | L3Out | |
| Bản chất | Kéo dài VLAN | Kết nối routing |
| Phân loại | VLAN ID | IP Prefix |
| Giao thức | Không (L2) | OSPF, BGP, EIGRP |
| Use case chính | Migration, legacy device | Kết nối WAN, Internet, DC khác |
| Flooding | ARP, L2 unknown unicast (cần bật) | Không (routing) |
| STP | Có (flood BPDU) | Không |
| Tính chất | Tạm thời hoặc niche | Lâu dài, phổ biến |