Tweet
Vì sao Cisco nói SD-Access Fabric và ACI Fabric rất giống nhau?
Slide này mang đến một tin vui cho các kỹ sư mạng: nếu bạn đã hiểu SD-Access (Campus Fabric), việc học ACI (Data Center Fabric) sẽ dễ dàng hơn rất nhiều, bởi cả hai đều dựa trên cùng một tư duy thiết kế mạng hiện đại: Fabric Networking, Overlay/Underlay và Policy-Based Networking.
Mặc dù triển khai ở hai môi trường khác nhau (Campus và Data Center), các thành phần cốt lõi gần như tương đương.
1. Underlay
SD-Access
Underlay là mạng IP vật lý kết nối:
Thường sử dụng:
Nhiệm vụ:
ACI
Underlay là mạng IP giữa:
ACI tự động xây dựng Underlay bằng:
Người quản trị gần như không cần cấu hình routing thủ công.
Mục tiêu vẫn giống SD-Access:
Điểm tương đồng
Cả hai đều coi Underlay như:
IP Fabric
+
ECMP
+
Layer-3 Point-to-Point
Underlay chỉ vận chuyển gói tin, không quan tâm đến chính sách hay tenant.
2. Overlay
SD-Access
Overlay sử dụng:
VXLAN
+
LISP
Trong đó:
LISP lưu thông tin:
Endpoint
↓
Vị trí hiện tại
↓
Policy
ACI
Overlay sử dụng:
VXLAN
+
MP-BGP EVPN
Trong đó:
EVPN phân phối:
Điểm tương đồng
Cả hai đều:
VXLAN Overlay
+
Control Plane riêng
+
Endpoint Mobility
Nghĩa là khi endpoint di chuyển, fabric vẫn biết chính xác vị trí mới của endpoint mà không cần flood.
3. Logical Constructs
Đây là phần giống nhau nhất.
SD-Access: Virtual Network (VN)
Virtual Network giống như:
VRF
Ví dụ:
VN-Sales
VN-Engineering
VN-Guest
Mỗi VN:
ACI: VRF
ACI sử dụng:
Tenant
↓
VRF
↓
Bridge Domain
↓
EPG
Ví dụ:
Tenant Production
|
+-- VRF-ERP
+-- VRF-CRM
Tương đồng
SD-Access Virtual Network
≈
ACI VRF
Cả hai đều tạo ra:
4. SGT và EPG
Đây là phần khiến nhiều kỹ sư ngạc nhiên.
SD-Access: SGT (Security Group Tag)
Mỗi endpoint được gán:
SGT = Finance
SGT = HR
SGT = Guest
Chính sách:
Finance → ERP = Allow
Guest → ERP = Deny
Chính sách đi theo người dùng.
Không phụ thuộc:
Đây chính là Identity-Based Access Control.
ACI: EPG (Endpoint Group)
ACI nhóm các endpoint:
Web Servers
App Servers
Database Servers
Ví dụ:
EPG-Web
EPG-App
EPG-DB
Chính sách:
Web
↓
App
↓
Database
Tương đồng
SD-Access SGT
≈
ACI EPG
Cả hai đều:
5. User Endpoint và App Endpoint
SD-Access
Endpoint thường là:
Tập trung vào:
Who are you?
ACI
Endpoint thường là:
Tập trung vào:
What application are you?
Tương đồng
Cả hai đều:
Endpoint
↓
Identity
↓
Policy
↓
Automation
Chỉ khác đối tượng:
6. Group-Based Access Control và Contract
SD-Access
Policy:
SGT-A → SGT-B = Permit
SGT-A → SGT-C = Deny
ACI
Policy:
EPG-Web
|
Contract-HTTP
|
EPG-App
Contract xác định:
Tương đồng
Group Based Access Control
≈
ACI Contract
Đều thực hiện:
Tư duy tổng thể
Có thể xem hai kiến trúc như sau:
SD-Access (Campus)
Underlay : IS-IS IP Fabric
Overlay : VXLAN + LISP
Policy : SGT
Segmentation : VN
Endpoint : User/IoTACI (Data Center)
Underlay : IS-IS IP Fabric
Overlay : VXLAN + EVPN
Policy : Contract
Segmentation : VRF
Endpoint : Application/VM/Container
Câu nói mà nhiều CCIE Data Center thường dùng
Cả hai đều được xây dựng trên cùng một triết lý:
Fabric + VXLAN Overlay + Endpoint Identity + Policy-Based Networking + Automation, chỉ khác nhau ở môi trường triển khai và đối tượng mà chúng phục vụ.
Slide này mang đến một tin vui cho các kỹ sư mạng: nếu bạn đã hiểu SD-Access (Campus Fabric), việc học ACI (Data Center Fabric) sẽ dễ dàng hơn rất nhiều, bởi cả hai đều dựa trên cùng một tư duy thiết kế mạng hiện đại: Fabric Networking, Overlay/Underlay và Policy-Based Networking.
Mặc dù triển khai ở hai môi trường khác nhau (Campus và Data Center), các thành phần cốt lõi gần như tương đương.
1. Underlay
SD-Access
Underlay là mạng IP vật lý kết nối:
- Fabric Edge
- Control Plane Node
- Border Node
Thường sử dụng:
- IS-IS
- Layer-3 Routed Links
Nhiệm vụ:
Đảm bảo tất cả các node trong fabric có IP reachability.
ACI
Underlay là mạng IP giữa:
- Spine
- Leaf
ACI tự động xây dựng Underlay bằng:
- IS-IS
- MP-BGP
- COOP (Council of Oracle Protocol)
Người quản trị gần như không cần cấu hình routing thủ công.
Mục tiêu vẫn giống SD-Access:
Bảo đảm các VTEP có thể liên lạc với nhau.
Điểm tương đồng
Cả hai đều coi Underlay như:
IP Fabric
+
ECMP
+
Layer-3 Point-to-Point
Underlay chỉ vận chuyển gói tin, không quan tâm đến chính sách hay tenant.
2. Overlay
SD-Access
Overlay sử dụng:
VXLAN
+
LISP
Trong đó:
- VXLAN vận chuyển dữ liệu
- LISP đóng vai trò Control Plane
LISP lưu thông tin:
Endpoint
↓
Vị trí hiện tại
↓
Policy
ACI
Overlay sử dụng:
VXLAN
+
MP-BGP EVPN
Trong đó:
- VXLAN là Data Plane
- EVPN là Control Plane
EVPN phân phối:
- MAC
- IP
- VTEP
- Tenant
Điểm tương đồng
Cả hai đều:
VXLAN Overlay
+
Control Plane riêng
+
Endpoint Mobility
Nghĩa là khi endpoint di chuyển, fabric vẫn biết chính xác vị trí mới của endpoint mà không cần flood.
3. Logical Constructs
Đây là phần giống nhau nhất.
SD-Access: Virtual Network (VN)
Virtual Network giống như:
VRF
Ví dụ:
VN-Sales
VN-Engineering
VN-Guest
Mỗi VN:
- Có Routing Table riêng
- Chính sách riêng
- Cách ly hoàn toàn.
ACI: VRF
ACI sử dụng:
Tenant
↓
VRF
↓
Bridge Domain
↓
EPG
Ví dụ:
Tenant Production
|
+-- VRF-ERP
+-- VRF-CRM
Tương đồng
SD-Access Virtual Network
≈
ACI VRF
Cả hai đều tạo ra:
- Network Segmentation
- Multi-tenancy
- Isolation
4. SGT và EPG
Đây là phần khiến nhiều kỹ sư ngạc nhiên.
SD-Access: SGT (Security Group Tag)
Mỗi endpoint được gán:
SGT = Finance
SGT = HR
SGT = Guest
Chính sách:
Finance → ERP = Allow
Guest → ERP = Deny
Chính sách đi theo người dùng.
Không phụ thuộc:
- VLAN
- IP
- Địa điểm kết nối
Đây chính là Identity-Based Access Control.
ACI: EPG (Endpoint Group)
ACI nhóm các endpoint:
Web Servers
App Servers
Database Servers
Ví dụ:
EPG-Web
EPG-App
EPG-DB
Chính sách:
Web
↓
App
↓
Database
Tương đồng
SD-Access SGT
≈
ACI EPG
Cả hai đều:
- Nhóm endpoint theo vai trò
- Áp dụng policy theo nhóm
- Không phụ thuộc topology vật lý
5. User Endpoint và App Endpoint
SD-Access
Endpoint thường là:
- Laptop
- Smartphone
- Printer
- IoT Device
- Camera
Tập trung vào:
Who are you?
ACI
Endpoint thường là:
- VM
- Container
- Kubernetes Pod
- Database
- Application Server
Tập trung vào:
What application are you?
Tương đồng
Cả hai đều:
Endpoint
↓
Identity
↓
Policy
↓
Automation
Chỉ khác đối tượng:
- SD-Access → User/Device
- ACI → Application/Workload
6. Group-Based Access Control và Contract
SD-Access
Policy:
SGT-A → SGT-B = Permit
SGT-A → SGT-C = Deny
ACI
Policy:
EPG-Web
|
Contract-HTTP
|
EPG-App
Contract xác định:
- Port
- Protocol
- Direction
- Service Graph
Tương đồng
Group Based Access Control
≈
ACI Contract
Đều thực hiện:
Chỉ cho phép giao tiếp được định nghĩa bởi Policy, thay vì cho phép mọi thứ mặc định.
Tư duy tổng thể
Có thể xem hai kiến trúc như sau:
SD-Access (Campus)
Underlay : IS-IS IP Fabric
Overlay : VXLAN + LISP
Policy : SGT
Segmentation : VN
Endpoint : User/IoTACI (Data Center)
Underlay : IS-IS IP Fabric
Overlay : VXLAN + EVPN
Policy : Contract
Segmentation : VRF
Endpoint : Application/VM/Container
Câu nói mà nhiều CCIE Data Center thường dùng
SD-Access là ACI dành cho Campus.
ACI là SD-Access dành cho Data Center.
ACI là SD-Access dành cho Data Center.
Cả hai đều được xây dựng trên cùng một triết lý:
Fabric + VXLAN Overlay + Endpoint Identity + Policy-Based Networking + Automation, chỉ khác nhau ở môi trường triển khai và đối tượng mà chúng phục vụ.
Attached Files