စာရွက်စာတမ်းအမည်	Cisco ACI Endpoint Security Group (ESG) ဒီဇိုင်းလမ်းညွှန်
စာမျက်နှာအရေအတွက်	49

မာတိကာ

ဤစာတမ်း၏ရည်မှန်းချက်များ
လိုအပ်ချက်များ
အသုံးအနှုန်းများ
နိဒါန်း
ကွန်ရက်ဗဟိုပြုရန်
အပလီကေးရှင်းဗဟိုပြု ရွှေ့ပြောင်းနေထိုင်မှုဇာတ်လမ်း- Pseudo Co
ESG ဒီဇိုင်းထွamples
Flexible Security Zones တို့နဲ့
ESGs
အသေးစိတ်ဒီဇိုင်း Examples
Cisco ACI Tenant Design Examples ကိုအသုံးပြုခြင်း။
ESGs
အမြဲမေးလေ့ရှိသောမေးခွန်းများ
ဒါကိုလည်းကြည့်ပါ။

ဤစာတမ်း၏ရည်မှန်းချက်များ

ဤစာတမ်းသည် Cisco ၏ ဒီဇိုင်းဆိုင်ရာ လမ်းညွှန်ချက်ပေးရန် ရည်ရွယ်ပါသည်။
ACI Endpoint Security Group (ESG)။

လိုအပ်ချက်များ

ဤစာတမ်းသည် စာဖတ်သူ၏ အခြေခံ ဗဟုသုတ ရှိသည်ဟု ယူဆသည်။
Cisco ACI နည်းပညာ။ Cisco ACI အကြောင်း ပိုမိုသိရှိလိုပါက၊ တွင် ကြည့်ရှုပါ။
Cisco ACI အဖြူရောင်စာရွက်များ
Cisco.com မှာ ရနိုင်ပါတယ်။

ဤစာတမ်းသည် ESGs များကို အဓိကထားပြီး အသေးစိတ်အကျုံးမဝင်ပါ။
စာချုပ်ဖွဲ့စည်းပုံနှင့် ဒီဇိုင်းရွေးချယ်မှုများ။ ပိုမိုသိရှိလိုပါက
စာချုပ်စာတမ်းများအကြောင်း ကြည့်ပါ။ Cisco ACI
စာချုပ်လမ်းညွှန်.

ESG configuration အကြောင်း အချက်အလက်အတွက်၊ တွင် ကြည့်ရှုပါ။ Cisco APIC လုံခြုံရေးဖွဲ့စည်းမှု
လမ်းညွှန်၊ ထုတ်ဝေမှု 6.0(x)။

အသုံးအနှုန်းများ

ဤစာတမ်းသည် အောက်ပါဝေါဟာရများကို အသုံးပြုသည်-

TN : အိမ်ငှား
VRF- virtual လမ်းကြောင်းတင်ခြင်းနှင့် ထပ်ဆင့်ပို့ခြင်း။
BD: တံတားဒိုမိန်း
L3Out- Layer 3 ပြင်ပ သို့မဟုတ် ပြင်ပလမ်းကြောင်းမှ ကွန်ရက်
L3Out/External EPG- L3Out ရှိ ကွန်ရက်အခြေပြု EPG
နယ်စပ်အရွက်ခလုတ်- L3Out ရှိသည့် Cisco ACI အရွက်ခလုတ်
တပ်စွဲထားသည်။

VMware vCenter VMM ဒိုမိန်း- virtual machine manager ဒိုမိန်းကို ဖွင့်ထားသည်။
VMware ရှိ virtual distribution switch (vDS) သို့ မြေပုံပြုလုပ်သော Cisco ACI
vCenter
အပလီကေးရှင်းဗဟိုပြု ဒီဇိုင်းနှင့် ကွန်ရက်ဗဟိုပြု ဒီဇိုင်း- တစ်
ပုံမှန် network-centric design, single EPG (security group) is
တံတားဒိုမိန်းအလိုက် ဖန်တီးထားသည်။ EPG တွင် ပုံမှန်အားဖြင့် VLAN တစ်ခုတည်းပါရှိသည်။
ID၊ ရိုးရာကွန်ရက် ဒီဇိုင်းနှင့် ဆင်တူသည်။ ကွန်ရက်
ကွန်ရက်ကို ရောင်ပြန်ဟပ်သည့်ပုံစံဖြင့် အဆောက်အဦလုပ်ကွက်များကို အမည်ပေးထားသည်။
epg-vlan-10၊ epg-vlan-11၊ epgvlan-12 ကဲ့သို့သော တည်ဆောက်မှုများ။

နိဒါန်း

နိဒါန်းအပိုင်းတွင် အပိုင်းတစ်ပိုင်းကို ဖော်ပြပေးထားသည်။view Cisco ACI ၏
Endpoint Security Group (ESG) ဒီဇိုင်းလမ်းညွှန်။

ကွန်ရက်ဗဟိုပြုမှ အပလီကေးရှင်းဗဟိုပြု
ရွှေ့ပြောင်းနေထိုင်မှုဇာတ်လမ်း- Pseudo Co

ဤအပိုင်းတွင် ကွန်ရက်ဗဟိုပြုမှ ပြောင်းရွှေ့ခြင်းကို ရှင်းပြထားသည်။
Pseudo Co ကို အသုံးပြု၍ အက်ပလီကေးရှင်းဗဟိုပြု ဒီဇိုင်းသို့ ဒီဇိုင်း
ချဉ်းကပ်

ESG ဒီဇိုင်းထွamples

ဤအပိုင်းသည် ex ကိုတင်ပြသည်။ampESG ဒီဇိုင်းများ

ESGs ဖြင့် ပြောင်းလွယ်ပြင်လွယ် လုံခြုံရေးဇုန်များ

ဤအပိုင်းတွင် လိုက်လျောညီထွေရှိသော လုံခြုံရေးဇုန်များ၏ သဘောတရားကို ဆွေးနွေးထားသည်။
ESGs ကို အသုံးပြု.

အသေးစိတ်ဒီဇိုင်း Examples

ဤကဏ္ဍတွင်အသေးစိတ် ex ပေးသည်။ampESG ဒီဇိုင်းများ

Cisco ACI Tenant Design Examples ကိုအသုံးပြုခြင်း။
ESGs

ဤကဏ္ဍတွင် Cisco ACI အိမ်ငှားဒီဇိုင်းဟောင်းကို ပြသထားသည်။ampအဲဒါကို
ESGs ကိုအသုံးပြုပါ။

အမြဲမေးလေ့ရှိသောမေးခွန်းများ

အောက်တွင် Cisco ACI နှင့် ပတ်သက်၍ မကြာခဏမေးလေ့ရှိသော မေးခွန်းအချို့ဖြစ်သည်။
Endpoint Security Group (ESG)-

1. မေး- ဒီစာတမ်းရဲ့ ရည်ရွယ်ချက်က ဘာလဲ။

A: ဤစာတမ်း၏ရည်ရွယ်ချက်မှာ လမ်းညွှန်ချက်ပေးရန်ဖြစ်သည်။
Cisco ACI Endpoint Security Group (ESG) ၏ ဒီဇိုင်း။

1. မေး- ဒီစာရွက်စာတမ်းအတွက် ဘာတွေလိုအပ်လဲ။

ဖြေ- ဒီစာတမ်းက စာဖတ်သူမှာ အခြေခံဗဟုသုတရှိတယ်လို့ ယူဆတယ်။
Cisco ACI နည်းပညာ။ Cisco ACI အကြောင်း ပိုမိုသိရှိလိုပါက ကြည့်ပါ။
Cisco ACI အဖြူရောင်စာရွက်များကို Cisco.com တွင်ရရှိနိုင်သည်။

1. မေး- ဒီစာတမ်းက စာချုပ်ဖွဲ့စည်းပုံနဲ့ ဒီဇိုင်းကို အကျုံးဝင်ပါသလား။
  ရွေးချယ်စရာများ?

A- မဟုတ်ဘူး၊ ဒီစာတမ်းက ESGs ကို အဓိကထားပြီး အသေးစိတ်အကျုံးမဝင်ပါဘူး။
စာချုပ်ဖွဲ့စည်းပုံနှင့် ဒီဇိုင်းရွေးချယ်မှုများ။ ပိုမိုသိရှိလိုပါက
စာချုပ်များအကြောင်း Cisco ACI စာချုပ်လမ်းညွှန်ကို ကြည့်ပါ။

1. မေး- ESG configuration နဲ့ ပတ်သက်တဲ့ အချက်အလက်တွေကို ဘယ်မှာ ရှာလို့ရမလဲ။

A- ESG configuration အကြောင်း အချက်အလက်အတွက် Cisco APIC ကို ကြည့်ပါ။
လုံခြုံရေးဖွဲ့စည်းမှုလမ်းညွှန်၊ ထုတ်ဝေမှု 6.0(x)။

ဒါကိုလည်းကြည့်ပါ။

နောက်ထပ်အချက်အလက်များအတွက် ဆက်စပ်အရင်းအမြစ်များကို ကိုးကားပါ။
Cisco.com

View Fullscreen

စက္ကူဖြူ Cisco အများသူငှာ
Cisco ACI Endpoint Security Group (ESG) ဒီဇိုင်းလမ်းညွှန်

စာမျက်နှာ ၃ မှ ၃

မာတိကာ
ဤစာတမ်း၏ ရည်မှန်းချက်များ ……………………………………………………………………………………………………………………… 4
လိုအပ်ချက်များ …………………………………………………………………………………………………………………………………….. ၄
အသုံးအနှုန်း …………………………………………………………………………………………………………………………………………………။ ၄
နိဒါန်း ………………………………………………………………………………………………………………………………………………….၅
Network-centric to Application-centric Migration Story- Pseudo Co ………………………………………….၅
ကျော်view Pseudo Company ၏ Cisco ACI ဖြန့်ကျက်ခြင်း …………………………………………………………………….. 5 ကွန်ရက်ဖြန့်ကျက်မှု ………………………………… …………………………………………………………………………………………… 6 အကိုးအကား လျှောက်လွှာ……………………………………… …………………………………………………………………………………. 7 Endpoint Group vs Endpoint Security Group …………………………………………………………………………………………….. 9 လျှောက်လွှာတစ်ခုလျှင် ဒီဇိုင်း BlueprintSingle ESG ……… ……………………………………………………………………………….. 11 ရွှေ့ပြောင်းခြင်း အဆင့်များ …………………………………………………… …………………………………………………………………………………. ၁၂
အဆင့် 1- subnets (EPG ရွေးချယ်သူများ) အကြား ပွင့်လင်းသော ဆက်သွယ်မှုအတွက် ESG တစ်ခုတည်းကို အကောင်အထည်ဖော်ပါ။ 13 အဆင့် 2- အပလီကေးရှင်းတစ်ခု၏ အဆုံးမှတ်အားလုံးအတွက် ESG တစ်ခုတည်းကို အကောင်အထည်ဖော်ပါ (tag ရွေးချယ်သူများ)……………………………. 15 အဆင့် 3- အပလီကေးရှင်းများအကြား ဆက်သွယ်မှု (ESGs အကြား စာချုပ်) …………………………………………………… 20 အဆင့် 4- အပိုဆောင်း အပလီကေးရှင်း လုံခြုံရေးကို တွန်းအားပေးရန်………………………………… ………………………………………………………. ၂၁
ESG ဒီဇိုင်းထွamples……………………………………………………………………………………………………………………… 24
ESGs ပါသော ပြောင်းလွယ်ပြင်လွယ် လုံခြုံရေးဇုန်များ ………………………………………………………………………………………………………….. 24 အသေးစိတ်ဒီဇိုင်း Examples ………………………………………………………………………………………………………………………. ၂၆
Example 1- ပုံသေဇုန်တစ်ခုအဖြစ် VRF ဖြစ်ရပ်တစ်ခုအတွက် လုံခြုံရေးဇုန်တစ်ခု (EPG ရွေးချယ်မှုများ) …………………………………………. 27 ထွample 2- subnets/VLAN အစုတစ်ခုလျှင် လုံခြုံရေးဇုန်တစ်ခု (EPG Selectors) ………………………………………………………. 28 ထွample 3- Tag VMM ပေါင်းစပ်မှုဖြင့် ရွေးချယ်သူများ …………………………………………………………………………………. ၂၉ ထွample 4- Tag MAC လိပ်စာကို အသုံးပြု၍ VM အဆုံးမှတ်များအတွက် VMM ပေါင်းစည်းခြင်းမရှိဘဲ ရွေးချယ်သူများ …………………… 29 Example 5- Tag IP လိပ်စာကို အသုံးပြု၍ VM အဆုံးမှတ်များအတွက် VMM ပေါင်းစည်းခြင်းမရှိဘဲ ရွေးချယ်သူများ။ ၃၁ ထွample 6- Tag MAC လိပ်စာကို အသုံးပြု၍ ဗလာသတ္တု အဆုံးမှတ်များအတွက် ရွေးပေးသူများ ………………………………………………။ ၃၂ ထွample 7- Tag IP address ကိုအသုံးပြု၍ bare metal endpoints များအတွက် selectors များ …………………………………………………….. 33 Example 8- Tag ကြားခံခလုတ်များပါရှိသော ရွေးချယ်သူများ……………………………………………………………………………… 34 ထွample 9: IP subnet ရွေးချယ်သူများ ………………………………………………………………………………………………………… 35 ထွample 10: ESG ကို အသုံးပြု၍ အက်ပလီကေးရှင်းတစ်ခု၏ ကွန်တိန်နာတစ်ခုဖြစ်သည်။ tag EPG ရွေးချယ်မှုများကို အသုံးပြု၍ ပုံသေလုံခြုံရေးဇုန်ရှိသော ရွေးချယ်သူများ ……………………………………………………………………………………………………………………… ………………………….. 36 ထွample 11- EPG ရွေးချယ်မှုများ အသုံးပြု၍ သီးသန့် ESG ကို အသုံးပြု၍ လုံခြုံရေးဇုန်များစွာ tag ရွေးချယ်သူများ…………… 37 ထွample 12- ESG သည် အလွှာ 2 multicast ဖြင့် …………………………………………………………………………………………………………. ၃၈ ထွample 13- EPG ရွေးချယ်မှုများနှင့် VMM Domain မပါဘဲ IP-based ရွေးချယ်မှုများ …………………………………………………… 39
နောက်ဆက်တွဲ- Cisco ACI Tenant Design ExampESGs ကိုအသုံးပြုခြင်း ……………………………………………………40
Example 1: အသုံးပြုသူ အိမ်ငှားတွင် အားလုံး ………………………………………………………………………………………………………… 42 ထွample 2- VRF ဥပမာ/တံတားဒိုမိန်းများ/EPGs (VLANs) များတွင် ငှားရမ်းအသုံးပြုသူတွင် ESGs များ နှင့် ESGs များ ……………………………………………………………………………………… …………………………………………………………………………………. 42 ထွample 3- VRF စံနမူနာ/တံတားဒိုမိန်းများသည် EPGs (VLANs) နှင့် ESG များသည် အသုံးပြုသူငှားရမ်းသူများတွင် ရှိနေစဉ်တွင် အိမ်ငှားအဖြစ်များပါသည်။ …………………………………………………………………. ၄၃

စာမျက်နှာ ၃ မှ ၃

Example 4- အိမ်ငှားဘုံမှ တူညီသော VRF ဥပမာတွင် မျှဝေထားသော ဝန်ဆောင်မှုများ ………………………………………….. 43 ထွample 5 မတူညီသော VRF ဥပမာတွင် မျှဝေထားသော ဝန်ဆောင်မှုများ ……………………………………………………………………….. 44
အမြဲမေးလေ့ရှိသောမေးခွန်းများ ………………………………………………………………………………………………………………………………… ……. 46 ထပ်မံကြည့်ပါ …………………………………………………………………………………………………………………………………… .....၄၉

စာမျက်နှာ ၃ မှ ၃

ဤစာတမ်း၏ရည်မှန်းချက်များ
ဤစာတမ်းတွင် Cisco® Application Centric Infrastructure (Cisco ACI®) Endpoint Security Group (ESG) အသုံးပြုမှုကိစ္စများနှင့် အသုံးချခြင်းဆိုင်ရာ ထည့်သွင်းစဉ်းစားချက်များကို ဖော်ပြထားပါသည်။
လိုအပ်ချက်များ
ဤစာတမ်းသည် စာဖတ်သူတွင် Cisco ACI နည်းပညာဆိုင်ရာ အခြေခံဗဟုသုတရှိနေသည်ဟု ယူဆပါသည်။ Cisco ACI အကြောင်း ပိုမိုသိရှိလိုပါက Cisco.com တွင်ရရှိနိုင်သော Cisco ACI အဖြူရောင်စာရွက်များကို ကြည့်ပါ။
ဤစာတမ်းသည် ESGs များကို အဓိကထားပြီး အသေးစိတ် စာချုပ်ဖွဲ့စည်းပုံနှင့် ဒီဇိုင်းရွေးချယ်စရာများကို အကျုံးမဝင်ပါ။ စာချုပ်များအကြောင်း နောက်ထပ်အချက်အလက်များအတွက် Cisco ACI စာချုပ်လမ်းညွှန်ကို ကြည့်ပါ။
ESG ဖွဲ့စည်းမှုပုံစံဆိုင်ရာ အချက်အလက်အတွက် Cisco APIC လုံခြုံရေးဖွဲ့စည်းမှုလမ်းညွှန်၊ ဖြန့်ချိမှု 6.0(x) ကို ကြည့်ပါ။
အသုံးအနှုန်းများ
ဤစာတမ်းသည် အောက်ပါဝေါဟာရများကို အသုံးပြုသည်-
TN : အိမ်ငှား
VRF- virtual လမ်းကြောင်းတင်ခြင်းနှင့် ထပ်ဆင့်ပို့ခြင်း။
BD: တံတားဒိုမိန်း
EPG- အဆုံးမှတ်အုပ်စု BD ESG အတွင်း တစ်ခု သို့မဟုတ် တစ်ခုထက်ပိုသော VLAN များနှင့် ချိတ်ဆက်ထားသော အဆုံးမှတ်များစုစည်းမှု- endpoint လုံခြုံရေးအဖွဲ့ VRF instance EP အတွင်းရှိ endpoints အစုအဝေး- Cisco ACI ထည်တွင်နေထိုင်သည့် endpoint
L3Out- Layer 3 ပြင်ပ သို့မဟုတ် ပြင်ပလမ်းကြောင်းမှ ကွန်ရက်
L3Out/External EPG- L3Out ရှိ ကွန်ရက်အခြေပြု EPG
နယ်စပ်အရွက်ခလုတ်- L3Out ကိုအသုံးပြုထားသည့် Cisco ACI အရွက်ခလုတ်
VMware vCenter VMM ဒိုမိန်း- VMware vCenter ရှိ virtual distribution switch (vDS) သို့ မြေပုံပြုလုပ်သော Cisco ACI ရှိ virtual machine manager ဒိုမိန်း
အပလီကေးရှင်းဗဟိုပြု ဒီဇိုင်းနှင့် ကွန်ရက်ဗဟိုပြု ဒီဇိုင်း-
ပုံမှန်ကွန်ရက်ဗဟိုပြုဒီဇိုင်းတွင်၊ တံတားဒိုမိန်းတစ်ခုအတွက် EPG (လုံခြုံရေးအဖွဲ့) တစ်ခုတည်းကို ဖန်တီးထားသည်။ EPG
ပုံမှန်အားဖြင့် သမားရိုးကျ ကွန်ရက် ဒီဇိုင်းနှင့် ဆင်တူသည့် VLAN ID တစ်ခုတည်း ပါရှိသည်။ ကွန်ရက်တည်ဆောက်မှုလုပ်ကွက်များကို “epg-vlan-10၊ epg-vlan-11၊ epgvlan-12” ကဲ့သို့သော ကွန်ရက်တည်ဆောက်မှုများကို ရောင်ပြန်ဟပ်သည့်ပုံစံဖြင့် အမည်ပေးထားသည်။
အပလီကေးရှင်းဗဟိုပြု ဒီဇိုင်းတစ်ခုတွင်၊ တစ်ခု သို့မဟုတ် တစ်ခုထက်ပိုသော EPGs/ESG များကို တူညီသော တံတားဒိုမိန်းပေါ်တွင် ဖန်တီးထားသည်။ ဟိ
ကွန်ရက်တည်ဆောက်မှုလုပ်ကွက်များကို “epg- ကဲ့သို့သော အပလီကေးရှင်းကို ထင်ဟပ်စေသည့် နည်းလမ်းဖြင့် အမည်ပေးထားသည်။webepg-app၊ epgdb"။
ပုံ 1 သည် ဤစာရွက်စာတမ်းတစ်လျှောက် အသုံးပြုသည့် အိုင်ကွန်များကို ပြထားသည်။ အရာဝတ္ထုသည် အောက်ပါလုပ်ဆောင်ချက်များကို ဖော်ညွှန်းသည်- C: Contract Contract စားသုံးသူ CCI- Consumed contract interface I- Intra EPG/ESG စာချုပ် P- Contract provider

စာမျက်နှာ ၃ မှ ၃

ပုံ 1. Cisco ACI အိုင်ကွန်များ
နိဒါန်း
စာရွက်စာတမ်းသည် Cisco ACI ထုတ်ဝေမှု 6.0(2) အထိ ပါ၀င်သည်။ စာတမ်းကို ကဏ္ဍများစွာ ခွဲထားသည်။
Network Centric to Application Centric Migration Story- Pseudo Co သည် ဟောင်းတစ်ဦးကို ရှင်းပြသည်။ampESG နှင့် အသစ်သော သုံးစွဲသူများအတွက် Cisco ACI fabric တွင် ESGs ကို လက်ခံကျင့်သုံးခြင်း။
ESG ဒီဇိုင်းထွamples သည် ESG ဒီဇိုင်း ex ကိုပိုမိုရှင်းပြသည်။ampESGs နှင့်ရင်းနှီးသောအသုံးပြုသူများအတွက် les ။ နောက်ဆက်တွဲတွင် ပြည့်စုံသော Cisco ACI multi-tenant ဒီဇိုင်းဟောင်းကို ရှင်းပြထားသည်။amples
အပလီကေးရှင်းမှ ကွန်ရက်ကိုဗဟိုပြုကာ ရွှေ့ပြောင်းခြင်းဇာတ်လမ်း- Pseudo Co
ဤကဏ္ဍတွင် Cisco ACI ကို ကွန်ရက်ဗဟိုပြု ဒီဇိုင်းဖြင့် ကွန်ရက်တစ်ခုစီတွင် EPG တစ်ခုတည်းဖြင့် ကွန်ရက်ကို ဗဟိုပြုသည့် ဒီဇိုင်းဖြင့် သမိုင်းကြောင်းအရ Cisco ACI ကို အသုံးပြုခဲ့သည့် Pseudo Co (အတုထင်ထင်) ကုမ္ပဏီကို အသုံးပြု၍ EPG မှ ESG ရွှေ့ပြောင်းမှုဇာတ်လမ်းကို အကျုံးဝင်ပါသည်။
ESG Design Ex ကိုကြည့်ပါ။ampအခြားဒီဇိုင်းရွေးချယ်စရာများအတွက် les ကဏ္ဍ။
ကျော်view Pseudo ကုမ္ပဏီ၏ Cisco ACI ဖြန့်ကျက်မှု
Pseudo Co သည် Cisco ACI ထည်နှင့်တိုက်ရိုက်ချိတ်ဆက်ထားသည့် ESXi hosts များရှိ virtual machine endpoints မြောက်မြားစွာဖြင့် Cisco ACI ငှားရမ်းသူများကို configure လုပ်ထားပါသည်။
အောက်ပါပုံသည် အထက်တန်းအဆင့်ကို ဖော်ပြပေးသည်။view Pseudo Co ၏ Cisco ACI ထည်နှင့် ဆက်စပ်ပစ္စည်းများ-

စာမျက်နှာ ၃ မှ ၃

ပုံ 2. Pseudo Co ၏ Cisco ACI Fabric- Physical Topology
ကွန်ရက်ဖြန့်ကျက်ခြင်း။
Pseudo Co သည် EPGs များသို့ တံတားဒိုမိန်းများကို 1:1 မြေပုံဆွဲခြင်းပါရှိသည့် ကွန်ရက်ဗဟိုပြု ဒီဇိုင်းအဖြစ် အများအားဖြင့် ဖော်ပြထားသည့် Cisco ACI ထည်ကို အသုံးပြုထားသည်။ ကွန်ရက်အကောင်အထည်ဖော်မှု၏တစ်စိတ်တစ်ပိုင်းအနေဖြင့်၊ Pseudo Co သည် Cisco ACI fabric နှင့် ESXi hosts များကြားရှိ VLANs စီမံခန့်ခွဲမှုကို ရိုးရှင်းစေရန် VMM ဒိုမိန်းတစ်ခုကို အကောင်အထည်ဖော်ရန် ရွေးချယ်ခဲ့သည်။ Cisco APIC VMM ဒိုမိန်းသည် Cisco APIC ရှိ VLAN pool မှ vDS port အုပ်စုများသို့ VLAN များကို ဒိုင်းနမစ်ခွဲဝေပေးသည်။ Dynamic VLAN ခွဲဝေပေးမှုကြောင့်၊ BD_name = EPG_name နေရာတွင် အမည်အမည်ဖော်မတ်ကို အကောင်အထည်ဖော်ရန် မကြာခဏ လက်တွေ့ကျသည်။ သို့သော် ဤစာရွက်စာတမ်း၏ရည်ရွယ်ချက်များအတွက် တံတားဒိုမိန်းများနှင့် EPG များ၏လုပ်ဆောင်ချက်ကိုသရုပ်ဖော်ရန်အတွက်၊ ဤစာရွက်စာတမ်းသည် တံတားဒိုမိန်းအမည်အတွက် CIDR နှင့် EPG အမည်အတွက် VLAN ID ကိုအသုံးပြုသည်-
ငှားရမ်းသူ- ဒီမို VRF- vrf-01 တံတား ဒိုမိန်းများ- 10.0.1.0_24 10.0.7.0_24 EPGs- VLAN10 VLAN70 EPs- မတူညီသော ကွန်ရက် အပိုင်းများကို ဖြတ်၍ ဖြန့်ဝေထားသော အောက်ပါပုံသည် Pseudo Co ၏ အိမ်ငှားများထဲမှ တစ်ခုကို ကိုယ်စားပြုသည်-

စာမျက်နှာ ၃ မှ ၃

ပုံ 3. Pseudo Co ၏ Cisco ACI Fabric- Network အပိုင်းများ
အကိုးအကားလျှောက်လွှာ
ဤဒီဇိုင်းလမ်းညွှန်အတွက်၊ Pseudo Co သည် ၎င်း၏ Cisco ACI ထည်ကို ကွန်ရက်ဗဟိုပြုဒီဇိုင်းမှ အက်ပလီကေးရှင်းဗဟိုပြုဒီဇိုင်းသို့ မည်သို့မည်ပုံ လွယ်ကူစွာ ပြောင်းလဲကြောင်း ပြသပါမည်။ အောက်ဖော်ပြပါပုံသည် ဤဒီဇိုင်းလမ်းညွှန်တစ်လျှောက်တွင် အသုံးပြုမည့် ဆင့်ပွားရည်ညွှန်းလျှောက်လွှာ (onlineboutique) ကို သရုပ်ဖော်ထားသည်။
မှတ်ချက်- ရည်ညွှန်းလျှောက်လွှာကို GitHub ပေါ်ရှိ ဤသရုပ်ပြအက်ပ်မှ မှုတ်သွင်းထားသည်။
အွန်လိုင်း-အရောင်းဆိုင်အပလီကေးရှင်းသို့ စားသုံးသူအသွားအလာကို ပူးတွဲပါဇယားတွင် အသေးစိတ်ဖော်ပြထားသည့်အတိုင်း ဆိပ်ကမ်း 80/8080 တွင် ရှေ့ဆုံးဝန်ဆောင်မှုကို အသုံးပြုသည်။ အပလီကေးရှင်းအဆင့်များကြားရှိ မြှားများသည် အရင်းအမြစ်/စားသုံးသူမှ ပစ်မှတ်/ပံ့ပိုးပေးသူထံသို့ မျှော်မှန်းထားသော အသွားအလာစီးဆင်းမှုများကို အသေးစိတ်ဖော်ပြသည်။

ပုံ 4. Pseudo Co ၏ Cisco ACI Fabric- ရည်ညွှန်းလျှောက်လွှာ
အောက်ဖော်ပြပါ ပုံတွင် ပြကွက်သည် “သရုပ်ပြ” အိမ်ငှားအတွင်း မတူညီသော ကွန်ရက် အပိုင်းများ (subnets) တစ်လျှောက် အွန်လိုင်း အရောင်းဆိုင် အက်ပ်လီကေးရှင်းကို မည်သို့ အသုံးချပုံကို ဖော်ပြသည်။ ရှေ့တန်း၊ ငွေပေးချေမှုနှင့် စျေးဝယ်လှည်းကဲ့သို့သော အပလီကေးရှင်းဝန်ဆောင်မှုများစွာသည် မတူညီသော ကွန်ရက်ခွဲများကို လွှမ်းမိုးထားကြောင်း သတိပြုပါ။ Pseudo Co အတွင်းရှိ မတူညီသော subnets များတစ်လျှောက် အဆုံးမှတ်များကို ဖြန့်ကျက်ခြင်းကြောင့် ဖြစ်ပေါ်ခဲ့သည်။

စာမျက်နှာ ၃ မှ ၃

ပေးထားသော အပလီကေးရှင်းအဆင့်အတွက် လိုအပ်သော အဆုံးမှတ်အရေအတွက်တွင် ထပ်ကိန်းကြီးထွားမှု။ ပေးထားသော ကွန်ရက်တစ်ခုအတွင်း IP လိပ်စာ ကုန်ဆုံးသွားခြင်းကြောင့် အပလီကေးရှင်း အဆုံးမှတ်များသည် ကွန်ရက်ခွဲဘောင်များကို ဖြတ်ကျော်သွားကြသည်။

ပုံ 5. Pseudo Co ၏ Cisco ACI Fabric- ကွန်ရက် အပိုင်းများတစ်လျှောက် အကိုးအကား လျှောက်လွှာ
Pseudo Co ၏ ကွန်ရက်ဗဟိုပြု Cisco ACI fabric တွင် ကျင်းပသည့် အွန်လိုင်း အရောင်းဆိုင် အက်ပလီကေးရှင်းကဲ့သို့သော အပလီကေးရှင်းများသည် အက်ပလီကေးရှင်းကို မှန်ကန်စွာ လုပ်ဆောင်နိုင်စေရန် မတူညီသော အပလီကေးရှင်းအဆင့်များကြားတွင် ပွင့်လင်းသော ဆက်သွယ်မှု လိုအပ်ပါသည်။
Cisco ACI ထည်ပေါ်ရှိ EPG အများအပြား/အားလုံးကြားတွင် ပွင့်လင်းသော ဆက်သွယ်မှုကို ဖွင့်ရန် မတူညီသော ဖွဲ့စည်းမှုဆိုင်ရာ ရွေးချယ်စရာများ အများအပြားရှိပါသည်-
vzAny နှင့် စာချုပ်- vzAny သည် VRF ဥပမာတစ်ခုရှိ EPGs၊ ESGs နှင့် ပြင်ပ EPGs အားလုံးကို ကိုယ်စားပြုသည်။ vzAny တွင် ပွင့်လင်းသော “ခွင့်ပြု-မည်သည့်” စာချုပ်ကို ပံ့ပိုးခြင်းနှင့် သုံးစွဲခြင်းသည် VRF ဥပမာတစ်ခုရှိ အဆုံးမှတ်များအားလုံးကြားတွင် ပွင့်လင်းသော ဆက်သွယ်မှုကို ခွင့်ပြုသည်။
ဦးစားပေးအုပ်စုများ အများအပြား EPG များကို နှစ်သက်ရာအုပ်စုတစ်ခုသို့ အပ်နှင်းခြင်းသည် နှစ်သက်ရာအုပ်စုရှိ EPG များအကြား ပွင့်လင်းသော ဆက်သွယ်မှုကို ခွင့်ပြုပေးပြီး VRF ဥပမာတစ်ခုလျှင် ဦးစားပေးအုပ်စုတစ်ခုသာရှိနိုင်သည်ဟု ကန့်သတ်ချက်ဖြင့် ခွင့်ပြုသည်။
လုံခြုံရေးကိုပိတ်ရန် ကျွန်ုပ်တို့သည် VRF instance ကို "enforced" mode သို့ configure လုပ်ခြင်းဖြင့် VRF instance ကို "ခွင့်ပြုသာ" အဖြစ်သို့ ပြောင်းလဲပေးသောကြောင့် VRF instance အတွင်းရှိ endpoints အားလုံးကြားတွင် ပွင့်လင်းသော ဆက်သွယ်မှုကို ခွင့်ပြုပေးသောကြောင့် ဤရွေးချယ်မှုကို အကြံပြုပါသည်။ လုံခြုံရေးကို ပိတ်ထားခြင်းသည် လုံခြုံရေးစာချုပ်များနှင့် ဝန်ဆောင်မှုဂရပ်များကဲ့သို့သော အဆင့်မြင့်လုပ်ဆောင်နိုင်စွမ်းများကို သွယ်ဝိုက်ပြီး သွယ်ဝိုက်၍ ပိတ်ထားသည်။
အထက်ဖော်ပြပါရွေးချယ်မှုများအပြင် Cisco ACI ထုတ်ဝေမှု 5.2(1g) မှစတင်၍ EPG အများအပြားကို ပေါင်းစည်းထားသော လုံခြုံရေးအဖွဲ့တစ်ခုကို ဖန်တီးရန်အတွက် သင်သည် ESG နှင့် EPG ရွေးချယ်သည့်ကိရိယာများကို အသုံးပြုနိုင်သည်။ ပေးထားသည့် ESG (intra-ESG ဆက်သွယ်ရေး) အတွင်း ဆက်သွယ်မှုကို မူရင်းအတိုင်း ခွင့်ပြုထားသည်။ EPG မှ ESG မြေပုံဆွဲခြင်းအတွက် အသုံးပြုမှုကိစ္စအား ဤကဏ္ဍတွင် နောက်ပိုင်းတွင် အသေးစိတ်ဖော်ပြထားပါသည်။
Pseudo Co သည် vzAny ကိုအသုံးပြုခြင်းအားဖြင့် VRF ဥပမာတစ်ခုအတွင်း ပွင့်လင်းသောဆက်သွယ်ရေးကို လက်ရှိတွင်ဖွင့်ထားပြီး၊ အောက်ပါပုံတွင်ပြထားသည့်အတိုင်း "ပုံမှန်" အိမ်ငှားထံမှ "ပုံမှန်" စာချုပ်ကို ပေးဆောင်ပြီး စားသုံးသည်-

စာမျက်နှာ ၃ မှ ၃

ပုံ 6. Pseudo Co ၏ Cisco ACI Fabric- EPG အချင်းချင်း ဆက်သွယ်မှုအားလုံးကို ခွင့်ပြုရန် vzAny-to-vzAny စာချုပ်
Endpoint အုပ်စုနှင့် Endpoint လုံခြုံရေးအုပ်စု
အဆုံးမှတ်အုပ်စုများနှင့် အဆုံးမှတ်လုံခြုံရေးအုပ်စုများ၏ လုပ်ဆောင်နိုင်စွမ်းနှင့် ဒီဇိုင်းထည့်သွင်းစဉ်းစားမှုများကို နှိုင်းယှဉ်ရန် အရေးကြီးသည်။ Cisco ACI ၏ အခြေခံအဆောက်အဦတုံးများ (အောက်ပါပုံတွင် အသေးစိတ်ဖော်ပြထားသည့်အတိုင်း) က အောက်ပါအတိုင်းဖော်ပြထားသည်-
VRF ဥပမာ- အိမ်ငှားတစ်ဦးတည်းတွင်သာ တည်ရှိနိုင်သည်။ Bridge domain- VRF တစ်ခုတည်းအတွက်သာ မြေပုံဆွဲနိုင်ပြီး တစ်ခု သို့မဟုတ် တစ်ခုထက်ပိုသော လမ်းကြောင်းကို ပံ့ပိုးပေးနိုင်ပါသည်။
subnets (ဒုတိယ IP လိပ်စာများ)။ EPG- တံတားဒိုမိန်းအတွင်း လုံခြုံရေးအဖွဲ့နယ်နိမိတ်ကို သတ်မှတ်သည်။ EPG သို့ဝင်ခွင့်ကို static ဖြင့်သတ်မှတ်သည်။
အရွက်ခလုတ်များ (အင်တာဖေ့စ်/VLAN) သို့မဟုတ် VMM ချိတ်ဆက်မှုတွင် လမ်းကြောင်း ချိတ်ထားသည်။ ESG- VRF ဥပမာတစ်ခုအတွင်း လုံခြုံရေးအဖွဲ့နယ်နိမိတ်ကို သတ်မှတ်သည်။ ESG သို့ဝင်ခွင့်ကို တစ်ခု သို့မဟုတ် တစ်ခုက သတ်မှတ်သည်။
အောက်ပါနည်းလမ်းများ၏ နောက်ထပ်
EPG Selectors တစ်ခု သို့မဟုတ် တစ်ခုထက်ပိုသော EPG များကို ESG တစ်ခုသို့ ပုံဖော်နိုင်သည်။ Tag SelectorsEndpoints များကို အခြေခံ၍ ESG သို့ ပုံဖော်နိုင်သည်-
o MAC လိပ်စာ o IP လိပ်စာ o VM အမည် o VM Tag
IP SelectorsIP လိပ်စာများကို ESG တွင် ပုံဖော်နိုင်သည်။

စာမျက်နှာ ၃ မှ ၃

ပုံ 7။ အဆုံးမှတ်အုပ်စုများနှင့် အဆုံးမှတ်လုံခြုံရေးအုပ်စုများ၏ လုံခြုံရေးထည့်သွင်းစဉ်းစားမှုများ
ESG မြေပုံဆွဲခြင်းကို Selector Precedence FAQ ရှိ ဇယားများတွင် ပြထားသည့်အတိုင်း လမ်းကြောင်းပြောင်းပြီး လမ်းကြောင်းပြောင်းခြင်းအတွက် အထက်အောက် ဆုံးဖြတ်ချက်စံနှုန်းတစ်ခုအပေါ် အခြေခံ၍ လုပ်ဆောင်ပါသည်။ EPG ရွေးချယ်မှုတစ်ခုနှင့် ကိုက်ညီသော အဆုံးမှတ်များသည် a နှင့် ကိုက်ညီသော အဆုံးမှတ်များထက် ကိုက်ညီမှုဦးစားပေးမှု နည်းပါးသည်။ tag ရွေးချယ်မှု ESG ဆုံးဖြတ်ချက်ရွေးချယ်မှုသည် ကွန်ရက်စီမံခန့်ခွဲသူများအား ကွန်ရက်ပံ့ပိုးမှုကို မပြောင်းလဲဘဲ မတူညီသော ESG များကြားတွင် အဆုံးမှတ်များကို ရွေ့လျားနိုင်စေပါသည်။ ဟောင်းအတွက်ampထို့ကြောင့် EPG တစ်ခုတွင်ပါရှိသော အဆုံးမှတ်အားလုံးကို EPG ရွေးပေးသည့်ကိရိယာကို အသုံးပြု၍ ESG-A သို့ ပုံဖော်နိုင်သည်။ ထို့နောက် ပိုမိုဦးစားပေး၍ သတ်မှတ်ထားသော အဆုံးမှတ်များကို ESG-B သို့ မြေပုံဆွဲနိုင်ပါသည်။ tag ရွေးချယ်မှုများ။
အချုပ်အားဖြင့်၊ Cisco ACI အပိုင်းကို ပံ့ပိုးပေးရန်အတွက် ၎င်းတို့သည် လိုက်လျောညီထွေရှိသော လုံခြုံရေးဒီဇိုင်းကို ပံ့ပိုးပေးနိုင်သောကြောင့် ESGs ကို အသုံးပြုရန် အကြံပြုလိုပါသည်။
ESG မှသတ်မှတ်ထားသော လုံခြုံရေးအုပ်စုသည် တံတားဒိုမိန်းတစ်ခုအတွင်း အဆုံးမှတ်အမျိုးအစားခွဲခြားခြင်းအတွက် အကန့်အသတ်မရှိပါ။ Endpoints များသည် လုံခြုံရေးအဖွဲ့ (ESG) ကို အရင်းခံကွန်ရက်ပုံစံကို ပြောင်းလဲခြင်းမရှိဘဲ၊
VLAN ID ကဲ့သို့သော၊ EPG များမှတစ်ဆင့် အင်တာဖေ့စ်များကို ပြောင်းလဲခြင်းမပြုပါ။ ESG အမျိုးအစားခွဲခြားမှုရွေးချယ်စရာများ၏အသေးစိတ်အချက်အလက်များကို ESG Design Ex တွင် အကျုံးဝင်ပါသည်။amples အပိုင်း။
စာချုပ်များကိုအသုံးပြုခြင်းသည် EPG နှင့် ESG နှစ်ခုလုံးအတွက် တူညီသော်လည်း ESG များသည် VRF ဥပမာတစ်ခုအတွင်း မတူညီသောတံတားဒိုမိန်းများတစ်လျှောက် endpoints အုပ်စုဖွဲ့ခြင်းကို ခွင့်ပြုသောကြောင့် ESG များသည် ပိုမိုကောင်းမွန်သောလုံခြုံရေးရွေးချယ်မှုကို ပေးပါသည်။ အပြန်အလှန်အားဖြင့်၊ EPG သည် VRF ဥပမာတစ်ခုအတွင်းရှိ တံတားဒိုမိန်းတစ်ခုနှင့် ချိတ်ဆက်ထားသောကြောင့် မတူညီသောတံတားဒိုမိန်းများတစ်လျှောက် အဆုံးမှတ်များကို ရွေးချယ်ရန် မဖြစ်နိုင်ပါ။ အက်ပလီကေးရှင်းအဆုံးမှတ်များသည် မတူညီသော EPG များနှင့် တံတားဒိုမိန်းများတစ်လျှောက် ပျံ့နှံ့သွားပါက ကွန်ရက်ဗဟိုပြုဒီဇိုင်းမှ အပလီကေးရှင်းဗဟိုပြုဒီဇိုင်းသို့ ကူးပြောင်းသည့်အခါ တံတားဒိုမိန်းမှ EPG မြေပုံဆွဲခြင်းတွင် အတားအဆီးတစ်ခုကို တင်ပြနိုင်သည် (ပုံ 5)။ ESG များသည် VRF စံနမူနာကိုဖြတ်၍ လုပ်ဆောင်သောကြောင့် ဤကန့်သတ်ချက်ကို ဖယ်ရှားပါ။

စာမျက်နှာ ၃ မှ ၃

လျှောက်လွှာတစ်ခုအတွက် BlueprintSingle ESG ဒီဇိုင်း
Pseudo Co ရှိ ကွန်ရက်အခြေခံအဆောက်အအုံအဖွဲ့သည် အက်ပ်တစ်ခုလျှင် လုံခြုံရေးဇုန်တစ်ခုဖန်တီးခြင်းဖြင့် ၎င်းတို့၏လက်ရှိကွန်ရက်ဗဟိုပြုဒီဇိုင်းမှ အပလီကေးရှင်းဗဟိုပြုဒီဇိုင်းသို့ ပြောင်းရွှေ့ရန် ရွေးချယ်ခဲ့သည်။ ကနဦး ဒီဇိုင်းပုံစံအသေးစိတ်သည် ပေးထားသော အပလီကေးရှင်းတစ်ခု၏ အဆုံးမှတ်အားလုံးကို ESG တစ်ခုတည်းအဖြစ် ထားပေးသည်။ အက်ပလီကေးရှင်းကို ESG နှင့် ပုံဖော်ပြီးနောက်၊ အဖွဲ့သည် ESG အဖွဲ့ဝင်ဖြစ်မှုကို လိုအပ်သလို အကဲဖြတ်ပြီး ချိန်ညှိမည်ဖြစ်သည်။ ဟောင်းအတွက်ampထို့ကြောင့်၊ အဖွဲ့သည် ဒေတာဘေ့စ်များကဲ့သို့သော မျှဝေထားသောဝန်ဆောင်မှုအချို့ကို သီးခြား ESG တစ်ခုသို့ ရွှေ့နိုင်သည်။ ESG ရွေးချယ်မှုစံနှုန်းများကို ချိန်ညှိရုံဖြင့် ကွန်ရက်ကျောထောက်နောက်ခံကို ပြောင်းလဲခြင်းမရှိဘဲ ESG များအကြား အဆုံးမှတ်များကို ရွှေ့ခြင်းဖြင့် ချောမွေ့စွာ အောင်မြင်နိုင်သည်။

ပုံ 8. Pseudo Co ၏ Cisco ACI Fabric- လျှောက်လွှာတစ်ခုလျှင် ESG တစ်ခု (ဒီဇိုင်းအသစ်)
အပလီကေးရှင်းတစ်ခုလျှင် ESG တစ်ခုတည်းကို အကောင်အထည်ဖော်ခြင်းသည် ကွန်ရက်စီမံခန့်ခွဲသူများကို ရှင်းလင်းပြတ်သားစွာ ပံ့ပိုးပေးသည်။ view Cisco ACI fabric ပေါ်တွင် အပလီကေးရှင်းများ လုပ်ဆောင်နေသည့်နေရာမှ အောက်ပါ အဓိက အကျိုးကျေးဇူးများကို ပေးဆောင်သည်-
ပိုမိုကောင်းမွန်သော အပလီကေးရှင်းများ၏ မြင်နိုင်စွမ်း- အပလီကေးရှင်း အဆုံးမှတ်များအားလုံးအတွက် ESG တစ်ခုတည်းကို ဖန်တီးခြင်းသည် ကွန်ရက်စီမံခန့်ခွဲသူများအား ကွန်ရက်သို့ အပလီကေးရှင်း အဆုံးမှတ်များ ချိတ်ဆက်ထားသည့် နေရာအတိအကျကို နားလည်နိုင်စေပါသည်။ ပါဝင်သောအသေးစိတ်အချက်အလက်များမှာ အောက်ပါအတိုင်းဖြစ်သည်။
MAC/IP လိပ်စာ အင်တာဖေ့စ် VLAN ကက်ပ်ပေါင်းအိုင်ဒီ EPG မူဝါဒ Tag VM အမည် (ဖတ်/ရေး VMM ပေါင်းစပ်မှု လိုအပ်သည်) Hosting ဆာဗာ (VMM ပေါင်းစပ်မှုကို ဖတ်ရန်/ရေးရန် လိုအပ်သည်) အစီရင်ခံခြင်း ထိန်းချုပ်ကိရိယာ (VMM ပေါင်းစပ်မှုကို ဖတ်ရန်/ရေးရန် လိုအပ်သည်) VM Tag (VMM ပေါင်းစည်းမှုကို ဖတ်/ရေးရန် လိုအပ်သည်)
ကွန်ရက် အပိုင်းများထက် အပလီကေးရှင်းများနှင့် ချိတ်ဆက်ထားသော လုံခြုံရေး- ESG များသည် ကွန်ရက်နှင့် လုံခြုံရေး စီမံခန့်ခွဲသူများကို ကွန်ရက်အပိုင်း သို့မဟုတ် IP လိပ်စာများထက် အပလီကေးရှင်းများပေါ်တွင် အခြေခံသည့် လုံခြုံရေးကို အကောင်အထည်ဖော်ရန် ခွင့်ပြုသည်။ ၎င်းသည် လမ်းကြောင်းလမ်းကြောင်းတွင် လုံခြုံရေးကိရိယာများကို ထည့်သွင်းရန် လိုအပ်ချက်မရှိတော့သောကြောင့် ပိုမိုရိုးရှင်းသော ကွန်ရက်ဒီဇိုင်းများကို ပြုလုပ်နိုင်စေပါသည်။

စာမျက်နှာ ၃ မှ ၃

လမ်းကြောင်း။ ယင်းအစား၊ Layer 4 မှ Layer 7 ဝန်ဆောင်မှုစက်များကို အက်ပ်တစ်ခုအတွင်း သို့မဟုတ် အပလီကေးရှင်းများကြားတွင် ဒိုင်းနမစ်ထည့်သွင်းနိုင်သည် (ဝန်ဆောင်မှုဂရပ်များကို အသုံးပြု၍) ပြုလုပ်နိုင်သည်။
စာချုပ်များကို တင်းကျပ်ခြင်းဖြင့် လုံခြုံရေးတိုးမြှင့်ခြင်း- Cisco ACI စာချုပ်များသည် နိုင်ငံမဲ့ Layer 4 ကို ပေးဆောင်သည်။
ဟာ့ဒ်ဝဲအခြေခံ ACL သည် ပေးထားသော/စားသုံးထားသော စာချုပ်များကို အသုံးပြုသည့် အပလီကေးရှင်းများအကြား လုံခြုံရေး ထိန်းချုပ်မှုများ၊ သို့မဟုတ် ပေးထားသည့် အက်ပလီကေးရှင်းအတွင်း အတွင်း ESG စာချုပ်များကို အသုံးပြုထားသည်။ အက်ပလီကေးရှင်းကို ဖော်ထုတ်ပြီး ESG တွင် ၎င်း၏ အဆုံးမှတ်များကို ပုံဖော်ပြီးနောက်၊ ပေးထားသည့် စာချုပ်တွင် ကိုးကားထားသော (filter) ပေါက်များကို ကန့်သတ်ခြင်းဖြင့် သို့မဟုတ် TCP ချိတ်ဆက်မှုများကို ဦးတည်ထိန်းချုပ်ခြင်းဖြင့် အပလီကေးရှင်း၏ လုံခြုံရေးကို တိုးမြှင့်နိုင်သည်။ ဆိုလိုသည်မှာ၊ ချိတ်ဆက်မှုများကို စားသုံးသူမှ ပံ့ပိုးသူထံသို့သာ ချိတ်ဆက်နိုင်မည်ဖြစ်သည်။
သီးခြားအပလီကေးရှင်းအုပ်စုများ- ESGs အားလုံးကို ပိတ်ဆို့ထားသည့် " enforced" mode (intra-ESG isolation) သို့ သတ်မှတ်နိုင်သည်။
ESG အတွင်း အသွားအလာ၊ ထို့ကြောင့် အပလီကေးရှင်း အဆုံးမှတ်များကို ခွဲထုတ်သည်။ ရွေးချယ်နိုင်သောအားဖြင့်၊ သင်သည် ESG အတွင်း သတ်မှတ်ထားသော port များပေါ်တွင် ဆက်သွယ်မှုကို ခွင့်ပြုရန် ESG သို့ အပြန်အလှန် ESG စာချုပ်ကို ပေါင်းထည့်နိုင်သည်။
Intelligent ဝန်ဆောင်မှုထည့်သွင်းခြင်း- Layer 4 မှ Layer 7 ဝန်ဆောင်မှုများကို တစ်ခု၏ရှေ့တွင်ဖြစ်စေ ဒိုင်းနမစ်ဖြင့် ထည့်သွင်းနိုင်သည်။
လျှောက်လွှာ ESG သို့မဟုတ် ESG အတွင်း။ ဟောင်းအတွက်ampထို့နောက်၊ မျိုးဆက်သစ် Firewalls/IPS မှတဆင့် အတွင်းအဆုံးမှတ်အသွားအလာအားလုံးကို ပြန်ညွှန်းရန် Service Graph နှင့် အပြန်အလှန် ESG စာချုပ်ကို သီးခြား ESG သို့ ပေါင်းထည့်နိုင်သည်။
အပလီကေးရှင်းမှီခိုမှုမြေပုံဆွဲခြင်း- ကွန်ရက်စီမံခန့်ခွဲသူများသည် Firewall ကဲ့သို့သော Layer 4 မှ Layer 7 ဝန်ဆောင်မှုကိရိယာသို့ ESG တစ်ခုအတွင်း အသွားအလာအားလုံးကို ဝန်ဆောင်မှုဂရပ်တစ်ခုမှတစ်ဆင့် ပေးပို့ရန် ESG အတွင်း အသွားအလာအားလုံးကို ပေးပို့နိုင်သည်။ Firewall ကို “ခွင့်ပြု-မည်သည့် | log” စည်းမျဉ်းသည် ESG အတွင်းရှိ အပြန်အလှန်ဆက်သွယ်မှုအားလုံးအတွက် syslog မက်ဆေ့ဂျ်များကို Firewall မှ ထုတ်လုပ်ခွင့်ပြုသည်။ ထို့အပြင်၊ ESG ထံ ဦးတည်ထားသော အသွားအလာများကိုလည်း ဝန်ဆောင်မှုဂရပ်ကို အသုံးပြု၍ အပလီကေးရှင်းသို့ အသွားအလာအားလုံးကို မှတ်တမ်းတင်ရန်အတွက် Layer 4 မှ Layer 7 ဝန်ဆောင်မှုကိရိယာသို့ ပြန်ညွှန်းနိုင်သည်။ မှတ်ချက်- Cisco ACI စာချုပ်မှတ်တမ်းကို သင်လည်း ဖွင့်နိုင်သည်။ သို့သော်၊ သစ်ခုတ်ခြင်းကို ငြင်းဆိုထားသည့်လမ်းကြောင်းအတွက် 500pps နှင့် ခွင့်ပြုထားသောလမ်းကြောင်းအတွက် 300pps ကန့်သတ်ထားသည်။
မြှင့်တင်ထားသော စာရင်းစစ်စွမ်းရည်- လုပ်ဆောင်နိုင်မှု view Cisco ACI fabric ပေါ်ရှိ အပလီကေးရှင်းအဆုံးမှတ်များသည် ကွန်ရက်စီမံခန့်ခွဲသူများအား စာရင်းစစ်အက်ပ်လီကေးရှင်းများ၊ ၎င်းတို့၏ဆက်စပ်လုံခြုံရေးစည်းမျဉ်းများနှင့် Layer 4 မှ Layer 7 ဝန်ဆောင်မှုပေါင်းစည်းခြင်းအတွက် ရိုးရှင်းသောချဉ်းကပ်မှုဖြင့် ပံ့ပိုးပေးပါသည်။
ပိုမိုကောင်းမွန်သော ပြဿနာဖြေရှင်းခြင်း- လုပ်ဆောင်နိုင်စွမ်း view Cisco ACI fabric ပေါ်ရှိ အက်ပလီကေးရှင်းတစ်ခုသည် ကွန်ရက်စီမံခန့်ခွဲသူများကို ခွင့်ပြုသည်။ view အပလီကေးရှင်းတစ်ခုချင်းစီ၏ ကျန်းမာရေးနှင့် ပက်ကက်စက်များကဲ့သို့သော ဖြစ်နိုင်ချေရှိသော ကွန်ရက်အမှားအယွင်းများနှင့် လျင်မြန်စွာနှင့် ရိုးရိုးရှင်းရှင်း ဆက်စပ်ပေးပါသည်။
အောက်ဖော်ပြပါ ဂရပ်ဖစ်သည် ပေးထားသော ESG အတွက် Cisco APIC တွင် ရရှိနိုင်သော လုပ်ငန်းဆောင်ရွက်မှု အချက်အလက်ကို အသေးစိတ်ဖော်ပြထားသည်-

ပုံ 9. ESG မြင်နိုင်စွမ်း (လုပ်ငန်းလည်ပတ်မှုတက်ဘ်)
ရွှေ့ပြောင်းခြင်း အဆင့်များ
Pseudo Co သည် ကွန်ရက်ဗဟိုပြု ဒီဇိုင်းမှ အပလီကေးရှင်းဗဟိုပြု ဒီဇိုင်းသို့ ပြောင်းလဲရန် လိုအပ်သော အောက်ပါ အဆင့်များကို ဖော်ထုတ်ခဲ့သည်-

စာမျက်နှာ ၃ မှ ၃

1. ပေးထားသည့် VRF စံနမူနာတစ်ခုပေါ်ရှိ EPGs များအကြား ပွင့်လင်းသော ဆက်သွယ်မှုကို ခွင့်ပြုရန် EPG-to-ESG မြေပုံဆွဲခြင်းကို EPG ရွေးချယ်သည့်ကိရိယာကို အသုံးပြု၍ အကောင်အထည်ဖော်ပါ။ ၎င်းသည် အနာဂတ်တွင် ပိုမိုလိုက်လျောညီထွေရှိသော လုံခြုံရေးရွေးချယ်မှုများကို ခွင့်ပြုပေးသည့် vzAny စာချုပ်၏ လိုအပ်ချက်ကို ဖယ်ရှားသည်။
2. VM ကို အသုံးပြု၍ အွန်လိုင်း အရောင်းဆိုင် virtual machine endpoints အတွက် ESG တစ်ခုတည်းကို အကောင်အထည်ဖော်ပါ။ tag ခွဲခြားသတ်မှတ်ခြင်းများ tag ရွေးချယ်မှု
3. အွန်လိုင်း အရောင်းဆိုင် အပလီကေးရှင်း ESG နှင့် ကွန်ရက်ပေါ်ရှိ အခြား ESG များကြား စာချုပ်များကို အသုံးပြု၍ ဆက်သွယ်မှုအား ခွင့်ပြုပါ။
4. အွန်လိုင်း အရောင်းဆိုင် အပလီကေးရှင်း ESG အတွက် ဖွင့်ထားသော ပရိုတိုကောများနှင့် ဆိပ်ကမ်းများကို ရွေးချယ်ခြင်းဖြင့် အပိုလုံခြုံရေးကို တွန်းအားပေးပါ။
ယခင်ကအသေးစိတ်ဖော်ပြခဲ့သည့်အတိုင်း၊ Pseudo Co သည် vzAny တွင် ပေးဆောင်ပြီး အသုံးပြုသည့် ရိုးရှင်းသော “ခွင့်ပြု-မည်သည့်” စာချုပ်ကို အကောင်အထည်ဖော်ခဲ့သည်။ ကွန်ရက်ဗဟိုပြုဒီဇိုင်းမှ အပလီကေးရှင်းဗဟိုပြုဒီဇိုင်းသို့ ပြောင်းရွှေ့နေစဉ်၊ vzAny မှ ပံ့ပိုးပေးထားသည့် အဖွင့်လုံခြုံရေးထိန်းချုပ်မှုကို မပြောင်းပါနှင့်။ လက်ရှိဖွင့်ထားသော လုံခြုံရေးထိန်းချုပ်မှုများကို ထိန်းသိမ်းရန် ပျက်ကွက်ပါက အပလီကေးရှင်းချိတ်ဆက်မှုဆိုင်ရာ ပြဿနာများ ဖြစ်ပေါ်နိုင်သည်။ နောက်ပိုင်းမှာ stage၊ Pseduo Co သည် စာချုပ်တွင်ဖော်ပြထားသော ဖွင့်ထားသော အပလီကေးရှင်းလုံခြုံရေးစည်းမျဉ်းများသည် လုံခြုံရေးရှုထောင့်မှ လုံလောက်မှု ရှိ၊ မရှိ ဆုံးဖြတ်နိုင်သည်။ ပိုမိုတင်းကျပ်သော လုံခြုံရေးအတွက် လိုအပ်ချက်များရှိပါက၊ အပလီကေးရှင်းမှ လိုအပ်သော ပရိုတိုကော/ပို့တ်များကို သတ်မှတ်ခြင်းဖြင့်သာ အောင်မြင်နိုင်ပါသည်။
အဆင့် 1- ကွန်ရက်ခွဲများ (EPG ရွေးချယ်ပေးသူများအကြား ပွင့်လင်းဆက်သွယ်ရေးအတွက် ESG တစ်ခုတည်းကို အကောင်အထည်ဖော်ပါ) Pseudo Co သည် ၎င်းတို့၏ Cisco ACI ကွန်ရက်ကို ပုံမှန်ကွန်ရက်ဗဟိုပြုဒီဇိုင်းဖြင့် 1:1 တံတားဒိုမိန်းများနှင့် EPG များအကြား မြေပုံထုတ်ခြင်းနှင့်အတူ ပုံ 3 တွင် ပြထားသည့်အတိုင်း တံတားတစ်ခုစီ ဒိုမိန်းကို endpoints အတွက် subnet/default gateway တစ်ခုတည်းဖြင့် configure လုပ်ထားပြီး VLAN backing ကိုပံ့ပိုးပေးသည့် EPG တစ်ခုတည်းသို့ ပုံဖော်ထားသည်။ EPG သို့ အဆုံးမှတ်များ အမျိုးအစားခွဲခြင်းကို အဝင်အရွက်/အင်တာဖေ့စ်/VLAN တစ်ခုပေါ်ရှိ အသွားအလာ ကိုက်ညီခြင်းဖြင့် လုပ်ဆောင်သည်။
အပလီကေးရှင်း-ဗဟိုပြု ရွှေ့ပြောင်းခြင်းမှ ကွန်ရက်ကိုဗဟိုပြုခြင်း၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့် Pseudo Co သည် subnets/EPGs အားလုံးကြားတွင် ပွင့်လင်းသော ဆက်သွယ်မှုများကို ပံ့ပိုးပေးမည့် ESG တစ်ခုတည်းကို အကောင်အထည်ဖော်မည်ဖြစ်သည်။ အောက်ပါ ပုံကြမ်းကို ကိုးကားပါ။

ပုံ 10. Pseudo Co ၏ Cisco ACI Fabric- EPG အများအပြားအတွက် လုံခြုံရေးဇုန်တစ်ခုတည်း
EPG ရွေးချယ်သည့်ကိရိယာကို အသုံးပြု၍ EPG တစ်ခုတည်းသို့ EPG အများအပြားကို ပုံဖော်ခြင်းသည် Cisco ACI ထည်ပေါ်ရှိ EPG အများအပြားကြားတွင် ဆက်သွယ်မှုကို ခွင့်ပြုရန် အခြားနည်းလမ်းတစ်ခုဖြစ်သည်။ EPG-to-ESG မြေပုံဆွဲခြင်းသည် နှစ်သက်သောအုပ်စုများကို အသုံးပြုခြင်းနှင့် နှိုင်းယှဉ်ပါက ပိုမိုပြောင်းလွယ်ပြင်လွယ်ရှိသော ဖြေရှင်းချက်ဖြစ်သည်။ Cisco ACI သည် VRF instance တစ်ခုလျှင် ESG အများအပြားကို ပံ့ပိုးပေးသော်လည်း VRF instance တစ်ခုလျှင် နှစ်သက်သော အုပ်စုတစ်ခုသာ ရှိနိုင်ပါသည်။ ထို့အပြင်၊ သင်နှစ်သက်သောအဖွဲ့၏ EPG အဖွဲ့ဝင်များအားလုံးမှ နှစ်သက်ရာအဖွဲ့၏အပြင်ဘက်ရှိ အခြား EPG သို့ ဆက်သွယ်မှုပြုရန် နှစ်သက်ရာအဖွဲ့ကိုယ်တိုင်က စာချုပ်ကို လျှောက်ထားနိုင်သော်လည်း၊ သင်သည် ESGs သို့ တိုက်ရိုက်စာချုပ်ကို လျှောက်ထားနိုင်ပါသည်။
EPGs အများအပြားကို ESGs သို့ မြေပုံဆွဲခြင်းသည် vzAny နှင့် နှိုင်းယှဉ်ပါက ပိုမိုကောင်းမွန်သော လုံခြုံရေးဒီဇိုင်းတစ်ခုအဖြစ် မှတ်ယူထားပြီး၊ ၎င်းသည် VRF တစ်ခုအတွင်း EPGs၊ ESGs နှင့် ပြင်ပ EPGs အားလုံးကို သွယ်ဝိုက်သောနည်းဖြင့် ရွေးချယ်မည့် vzAny ကိုအသုံးပြုမည့်အစား ကွန်ရက်စီမံခန့်ခွဲသူများအား သီးခြား EPGs များကို မြေပုံပြုလုပ်ရန် EPGs များကို ရွေးချယ်နိုင်စေသောကြောင့် ဖြစ်သည်။ ဥပမာ။

စာမျက်နှာ ၃ မှ ၃

EPG တစ်ခု သို့မဟုတ် တစ်ခုထက်ပိုသော EPG များကို ESG သို့ မြေပုံဆွဲခြင်းက EPG ၏ class ID တွင် အပြောင်းအလဲတစ်ခု အစပြုကြောင်း ကွန်ရက်စီမံခန့်ခွဲသူက သတိပြုသင့်သည်။ EPG များကို ESG တစ်ခုသို့ ပုံဖော်ခြင်းမပြုမီ၊ VRF instance တစ်ခုစီတွင် EPG တစ်ခုစီသည် သီးခြားအတန်း ID တစ်ခုရှိပါမည်။ EPG များကို ESG တစ်ခုသို့ ပုံဖော်သောအခါ၊ မြေပုံပြုလုပ်ထားသော EPG တစ်ခုစီ၏ အတန်း ID ကို ESG ၏ ပုံစံသို့ ပြန်လည်ရေးသားပါသည်။ အဆုံးမှတ်အားလုံးကို ယခု ESG အတန်းအစား ID တစ်ခုတည်းဖြင့် ခွဲခြားထားသောကြောင့်၊ လမ်းကြောင်းအားလုံးကို စာချုပ်မပါဘဲ သွယ်ဝိုက်သောနည်းဖြင့် ခွင့်ပြုထားသည်။ မှတ်ချက်- အတန်း ID များကို ပြန်လည် အမျိုးအစားခွဲခြင်းသည် ကွန်ရက်အသွားအလာကို ခဏတာ ကျဆင်းစေပါသည်။ အပြောင်းအလဲဝင်းဒိုးအတွင်း EPG-to-ESG မြေပုံကို လုပ်ဆောင်ရန် အကြံပြုအပ်ပါသည်။
ပုံ 11။ Pseudo Co ၏ Cisco ACI Fabric- EPG သို့ ESG ရွှေ့ပြောင်းခြင်း (အတန်းအစား ID ပြောင်းလဲမှု)
EPG များရွေးချယ်သည့်ကိရိယာများသည် VRF စံနမူနာအတွင်း ပွင့်လင်းသောဆက်သွယ်မှုကို ခွင့်ပြုထားသည့် vzAny နှင့် ဆန့်ကျင်သည့်အနေဖြင့် EPGs များကြားတွင် စာချုပ်များပါရှိပြီးဖြစ်သော Cisco ACI ထည်ကဲ့သို့သော ပိုမိုအဆင့်မြင့်သောရွှေ့ပြောင်းမှုအခြေအနေများအတွက်လည်း အသုံးဝင်ပါသည်။ ထိုသို့သော အခြေအနေမျိုးတွင်၊ EPG များမှ ESGs သို့ ပြောင်းရွှေ့နေချိန်တွင် အဆိုပါ စာချုပ်များနှင့် လုံခြုံရေးအဖွဲ့များကို သိမ်းဆည်းထားရပါမည်။ အသေးစိတ်အဆင့်များအတွက် Cisco APIC Security Configuration Guide ရှိ "Endpoint Security Groups > ESG Migration Strategy" ကို ကိုးကားပါ။ EPG ရွေးချယ်မှုများကို စီစဉ်သတ်မှတ်ခြင်း အောက်ပါပုံသည် ဖွဲ့စည်းမှုပုံစံကို ပြသသည်။ တည်နေရာသည် Tenant > Application Pro တွင်ဖြစ်သည်။files > Application_Profile_name > Endpoint Security Groups > ESG_name > Selectors > EPG Selectors

စာမျက်နှာ ၃ မှ ၃

ပုံ 12. EPG ရွေးချယ်မှု
မှတ်ချက်- တူညီသော VRF instance ရှိ မည်သည့် endpoints မဆို တူညီသော ESG နှင့် သက်ဆိုင်ပါသည်။ သို့သော် ESG ရွေးချယ်မှုများဖြင့် ESG ကို configure လုပ်သောအခါ၊ EPG များသည် ESG ကဲ့သို့ တူညီသော ငှားရမ်းသူနှင့် သက်ဆိုင်ပါသည်။
အဆင့် 2- အပလီကေးရှင်းတစ်ခု၏ အဆုံးမှတ်အားလုံးအတွက် ESG တစ်ခုတည်းကို အကောင်အထည်ဖော်ပါ (tag ရွေးချယ်သူများ) Pseudo Co မှ အပလီကေးရှင်းပိုင်ရှင်များကို တာဝန်ပေးအပ်ထားသည်။ tags ပေးထားသည့် အက်ပ်လီကေးရှင်းတစ်ခုပါဝင်သည့် အလုပ်ဝန်များကို ရိုးရှင်းစွာ ခွဲခြားသတ်မှတ်နိုင်စေရန်အတွက် VMware vCenter ရှိ ၎င်းတို့၏ အပလီကေးရှင်း virtual machines များသို့။ Cisco ACI သည် သတ်မှတ်ထားသော virtual machine ကို လွှမ်းမိုးနိုင်သည် tags ၎င်းတို့ကို VMware vCenter မှစုဆောင်းပြီး ESG သို့ ပုံဖော်ခြင်းဖြင့် tag Cisco APIC ပေါ်ရှိ ရွေးချယ်မှုများ။

စာမျက်နှာ ၃ မှ ၃

ပုံ 13. Virtual machine tag ဟယ်
virtual machine ၏ကိုက်ညီမှု tags VMware vCenter တွင် Cisco ACI သို့ tags Cisco APIC တွင် ကွန်ရက်စီမံခန့်ခွဲသူများနှင့် အပလီကေးရှင်းပိုင်ရှင်များသည် ၎င်းတို့၏မူလ “allnetwork-segments” ESG (ပုံ 10 တွင်ပြထားသည့်အတိုင်း) မှ virtual machines များကို ချောမွေ့စွာ ရွေ့လျားနိုင်စေရန် ခွင့်ပြုပေးပါသည်။ ဤအဆင့်တွင်၊ ၎င်းသည် တစ်ခုတည်းသော application-Online Boutique ကိုအာရုံစိုက်ထားသော်လည်း VRF instance တစ်ခုအတွင်း ESG အများအပြားဖန်တီးနိုင်မှုသည် network administrator များအား တူညီသော VRF instance တွင် application တစ်ခု (သို့) တစ်ခုထက်ပိုသော ESG ဖြင့် network administrators များကို ထည့်သွင်းနိုင်စေပါသည်။ ပုံ 20 ။
မှတ်ချက် - Tag Virtual Machine ဖြင့် ရွေးချယ်မှုများ tags EPG ရွေးချယ်သူများထက် ဦးစားပေးရှိသည်။ ဤဦးစားပေးသည် VRF စံနမူနာတစ်ခုပေါ်ရှိ မတူညီသော ESGs များကြားရှိ အဆုံးမှတ်များ၏ တက်ကြွမှုကို ခွင့်ပြုသည်။ FAQ ရှိ ရွေးချယ်သူဦးစားပေးအစီအစဥ်တွင် ရွေးချယ်သူဦးစားပေးမှုအသေးစိတ်အချက်အလက်များကို အပြည့်အစုံကြည့်ရှုနိုင်ပါသည်။

စာမျက်နှာ ၃ မှ ၃

ပုံ 14။ ESG တစ်ခုတည်းရှိ အပလီကေးရှင်းအဆုံးမှတ်များအားလုံး
အမျိုးအစားခွဲခြားမှုအပေါ်အခြေခံသည်။ tag selectors အောက်တွင်ဖော်ပြထားသောပုံသည်ဖန်တီးမှုအတွက်ဖွဲ့စည်းမှုအရာဝတ္တုကိုပြသထားတယ်။ tag ရွေးချယ်မှုများ။
တည်နေရာသည် Tenant > Application Pro တွင်ဖြစ်သည်။files > Application_Profile_name > Endpoint Security Groups > ESG_name > Selectors > Tag ရွေးချယ်မှုများ။
Cisco ACI tag ရွေးချယ်ပေးသူများ (အောက်တွင်) virtual machine နှင့် ကိုက်ညီသည်။ tags virtual machine တစ်ခု၏လုပ်ဆောင်ချက်သည် သီးခြားတစ်ခုနှင့်ညီမျှသည့် VMware vCenter တွင် Tag တန်ဖိုး။
ဟောင်းအတွက်ample- Function = tn-demo-online-boutique-currency-service ဤသော့/တန်ဖိုးအတွဲသည် အိမ်ငှား “သရုပ်ပြ” ရှိ “အွန်လိုင်း-ဆိုင်” အပလီကေးရှင်း၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့် “ငွေကြေးဝန်ဆောင်မှု” ကို ပေးဆောင်သည့် မည်သည့် virtual machines နှင့်မဆို ကိုက်ညီပါသည်။

စာမျက်နှာ ၃ မှ ၃

ပုံ 15. Pseudo Co ၏ Cisco ACI Fabric- VM နှင့် EPG အစုံအတွက် ESG တစ်ခု tags
VM ကို အသုံးမပြုမီ သင့်ဖွဲ့စည်းပုံသည် အောက်ပါကြိုတင်လိုအပ်ချက်များနှင့် ကိုက်ညီရပါမည်။ tags ESG မြေပုံရေးဆွဲခြင်းအတွက်- ဖွင့်ပါ။ tag VMM ဒိုမိန်းတွင် စုစည်းမှု။ VMM ဒိုမိန်းဖြင့် EPG များပေါ်တွင် မိုက်ခရိုခွဲဝေခြင်းကို ဖွင့်ပါ။
လိုအပ်ချက်များ- ဖွင့်ပါ။ tag VMM ဒိုမိန်းပေါ်တွင် ESG ကို VMware ဖြင့်အသုံးပြုပါက စုစည်းမှု tag ရွေးချယ်ကိရိယာ၊ သင်သည် “Enable Tag VMM ဒိုမိန်းအတွက် စုစည်းမှု” အကွက်။ အောက်ပါပုံသည် configuration ကိုပြသထားသည်။ တည်နေရာသည် Virtual Networking > VMware > Domain name > General တွင်ဖြစ်သည်။

ပုံ 16။ ကြိုတင်လိုအပ်ချက်- “ဖွင့်ပါ။ Tag VMM ဒိုမိန်းတွင် စုစည်းမှု
ကြိုတင်လိုအပ်ချက်- VMM ဒိုမိန်းတစ်ခုဖြင့် EPG များပေါ်တွင် မိုက်ခရိုခွဲဝေခြင်းကို ဖွင့်ပါ အကယ်၍ သင်သည် VMware vDS VMM ဒိုမိန်းဖြင့် ESG ကိုအသုံးပြုပါက၊ အဆုံးမှတ်များကိုခွင့်ပြုရန် EPG နှင့်ဆက်စပ်နေသည့် VMM ဒိုမိန်းရှိ "Allow Micro-Segmentation" အကွက်တွင် စစ်ဆေးရပါမည်။ VM မှရွေးချယ်မည်ဖြစ်သည်။ tag သို့မဟုတ် VM အမည်။ EPG ကို ESG (EPG ရွေးပေးသူထံ တိုက်ရိုက် မြေပုံဆွဲထားလျှင်) EPG သို့ ESG မြေပုံဆွဲခြင်းသည် EPG VLANs များအပေါ် အခြေခံသောကြောင့် "Allow MicroSegmentation" ကို configure လုပ်ရန် မလိုအပ်ပါ။
“Allow Micro-Segmentation” ဘောက်စ်တွင် အမှန်ခြစ်ထည့်ခြင်းသည် EPG အတွက် ဆိပ်ကမ်းအုပ်စုတွင် PVLAN (Private VLAN) ကို စီစဉ်ပေးသည်။ ရှိပြီးသား VMM မြေပုံပြုလုပ်ထားသော EPG ကို ပြန်လည်ပြင်ဆင်သည့်အခါ၊ vDS သည် ဒိုင်းနမစ် VLAN ရေကူးကန်မှ PVLAN အတွဲအသစ်ဖြင့် ဒိုင်းနမစ်မွမ်းမံသည်။ Layer 2 multicast သို့မဟုတ် flooding traffic လိုအပ်ပါက၊ section Ex ကိုကြည့်ပါ။ample 12- L2 multicast ဖြင့် ESG။
မှတ်ချက်- “အသေးစားခွဲဝေမှုကို ခွင့်ပြုပါ” အကွက်ကို မူရင်းအတိုင်း အမှန်ခြစ်မထားပါ။
အောက်ပါပုံသည် configuration ကိုပြသထားသည်။ တည်နေရာသည် Tenant > Application Pro တွင်ဖြစ်သည်။files > Application_Profile_name > အပလီကေးရှင်း EPGs > EPG_name > Domains
Cisco ACI leaf switch နှင့် ESXi host အကြား ကြားခံခလုတ်များ (ဥပမာ blade ခလုတ်များ) ရှိသည့် ကွန်ရက် ဖြန့်ကျက်ခြင်းအတွက်၊ အသုံးပြုရမည့် PVLAN အတွဲများကို ကွန်ရက်စီမံခန့်ခွဲသူက တည်ငြိမ်စွာ သတ်မှတ်ရပါမည်။

စာမျက်နှာ ၃ မှ ၃

VMM ဒိုမိန်းပေါ်တွင် ခွဲဝေပေးထားသော VLAN များကို ကြားခံခလုတ်တွင်လည်း configure လုပ်ရပါမည်။ PVLAN အတွဲများကို Cisco ACI တွင် ဒိုင်းနမစ်ဖြင့် ခွဲဝေပေးနိုင်သော်လည်း၊ ၎င်းသည် စီမံခန့်ခွဲသူအတွက် တူညီသော PVLAN အတွဲများကို ကြားခံခလုတ်များပေါ်တွင် ကိုယ်တိုင်ပြင်ဆင်သတ်မှတ်ရန် ခက်ခဲစေနိုင်သည်။ Cisco ACI တွင် PVLAN အတွဲများကို ကိန်းသေသတ်မှတ်သည့်အခါ၊ VLAN ID များကို VMM ဒိုမိန်းနှင့်ဆက်စပ်နေသည့် VLAN pool ရှိ static VLAN အကွာအဝေးမှ ခွဲဝေပေးသင့်သည်။

ပုံ 17။ ကြိုတင်လိုအပ်ချက်- EPG များပေါ်ရှိ "Micro-Segmentation ကိုခွင့်ပြုပါ" တိုက်ရိုက်ချိတ်ဆက်ထားသော hosts static VLAN ခွဲဝေမှုကို ကြားခံခလုတ်များကိုအသုံးပြုသောအခါတွင် အကြံပြုထားသည်
စီစဉ်ပေးသည်။ Tag ရွေးချယ်သူများ နောက်တစ်ဆင့်မှာ ESG ကို a ဖြင့် configure လုပ်ရန်ဖြစ်သည်။ tag မည်သည့် virtual machine endpoints များသည် ESG နှင့် သက်ဆိုင်သင့်သည်ဟု သတ်မှတ်ရန် ရွေးချယ်သူ။
အောက်ပါပုံသည် configuration ကိုပြသထားသည်။ တည်နေရာသည် Tenant > Application Pro တွင်ဖြစ်သည်။files > Application_Profile_name > Endpoint Security Groups > ESG_name > Selectors > Tag ရွေးချယ်မှုများ။

စာမျက်နှာ ၃ မှ ၃

ပုံ 18. VM tag ရွေးချယ်မှု
အောက်ပါ VMM အချက်အလက်ကို ပံ့ပိုးထားသည်- VM အမည် (Tag သော့- __vmm::vmname၊ Tag တန်ဖိုး- )) vSphere VM tag (Tag သော့- ၊ Tag တန်ဖိုး-tag နာမည်>)
ဟောင်း၌ampအောက်တွင် Cisco APIC သည် VM အမည်များ (vmm::vmname) နှင့် vSphere VM ကို ဆွဲထုတ်ခဲ့သည်။ Tags VMware vCenter မှ။ ထို့နောက် Cisco APIC သည် ၎င်းတို့အား VM ၏ MAC လိပ်စာသို့ တာဝန်ပေးအပ်ခဲ့သည်။ Cisco APIC သည် vSphere နှင့် ကိုက်ညီပါသည်။ tags Cisco APIC သို့ tag ရွေးချယ်မှုများ။ Bridge domain နှင့် VRF instance ကို Cisco APIC endpoint mapping database မှ ဖော်ထုတ်ထားပါသည်။ မှတ်ချက်- Cisco APIC သည် ဖတ်သည်။ tags VMware vCenter မှ 5 မိနစ်အချိန်ဝင်းဒိုးတစ်ခုလျှင်တစ်ကြိမ်
Cisco APIC GUI ရှိတည်နေရာသည် Tenant > Policies > Endpoint တွင်ဖြစ်သည်။ Tags > Endpoint MAC

ပုံ 19. မူဝါဒ Tags: အဆုံးမှတ် MAC
အဆင့် 3- အပလီကေးရှင်းများအကြား ဆက်သွယ်မှု (ESGs အကြား စာချုပ်များ) အက်ပလီကေးရှင်းတစ်ခု၏ အဆုံးမှတ်များကို ESG တစ်ခုတည်းအဖြစ် အုပ်စုဖွဲ့ပြီးနောက်၊ ပိုမိုကျယ်ပြန့်သော ကွန်ရက်မှ အက်ပ်လီကေးရှင်း (စာချုပ်များကို အသုံးပြု၍) ဝင်ရောက်ခွင့် ပေးရပါမည်။

စာမျက်နှာ ၃ မှ ၃

ဟောင်း၌ampအောက်ပါအွန်လိုင်းဆိုင်ခန်းအက်ပလီကေးရှင်း (online-boutique:all-services ESG) သည် application-monitoring: all-services ESG, all-network-segments ESG, နှင့် remote- အသုံးပြုသူများသည် “permit-to-tn-demo-online-boutique” စာချုပ်ကို အသုံးပြု၍ မည်သည့်အဝေးမှ EPG ကွန်ရက်မှမဆို ပြင်ပ EPG အသုံးပြုသူများ။
အွန်လိုင်း-အရောင်းဆိုင်- ဝန်ဆောင်မှုအားလုံး ESG သည် Active Directory၊ DNS၊ NTP နှင့် core-services-all-services ESG တို့မှ ဆော့ဖ်ဝဲအပ်ဒိတ်များကဲ့သို့သော ဝန်ဆောင်မှုများကို စားသုံးပါသည်။

ပုံ 20. Pseudo Co ၏ Cisco ACI Fabric- ESGs များအကြား စာချုပ်

မြှားများသည် စားသုံးသူထံမှ ဝန်ဆောင်မှုပေးသူထံသို့ မျှော်မှန်းထားသော လမ်းကြောင်းစီးဆင်းမှုကို ညွှန်ပြသည်။

ဇယား 1. စာချုပ်ဆက်ဆံရေး

စားသုံးသူ ESGs

စာချုပ်အမည်

ပံ့ပိုးပေးသူ ESGs

epg-matched-esg:all-network-segments

permit-tn-demo-online-boutique

online-boutique-ဝန်ဆောင်မှုအားလုံး

အပလီကေးရှင်း-စောင့်ကြည့်ရေး- ဝန်ဆောင်မှုအားလုံး

permit-tn-demo-online-boutique

online-boutique-ဝန်ဆောင်မှုအားလုံး

extEPG: အဝေးထိန်း-အသုံးပြုသူများ

permit-tn-demo-online-boutique

online-boutique-ဝန်ဆောင်မှုအားလုံး

online-boutique:all-services application-monitoring-all-services

permit-tn-demo-core-services permit-tn-demo-core-services

core-services:all-services core-services-အားလုံး-ဝန်ဆောင်မှုများ

ESGs များအကြား စာချုပ်များကို ပြင်ဆင်သတ်မှတ်ခြင်းဖြင့်၊ သီးခြား ESG အချင်းချင်း လမ်းကြောင်းများကိုသာ ခွင့်ပြုထားသည်။ ထို့အပြင်၊ အတွင်း-ESG အသွားအလာကို မူရင်းအတိုင်း ခွင့်ပြုထားသည်။ "မူလ" ခွင့်ပြုချက်-မည်သည့် filter ကိုမဆိုအသုံးပြုမည့်အစား၊ ESG အကြားအသွားအလာအတွက်သာ သီးခြားယာဉ်အသွားအလာအမျိုးအစားများကို ခွင့်ပြုရန် ပိုမိုအသေးစိတ်စစ်ထုတ်မှုများကို သင်အသုံးပြုနိုင်ပါသည်။ ပိုမိုသိရှိလိုပါက၊ ACI စာချုပ်လမ်းညွှန်ကို ကြည့်ပါ။

အဆင့် 4- နောက်ထပ် အပလီကေးရှင်းလုံခြုံရေးကို တွန်းအားပေးပါ။

Intra-ESG သီးခြားခွဲထားမှု သို့မဟုတ် စာချုပ်တွင် ESG အတွင်းရှိ ဆက်သွယ်ရေးသည် မူရင်းအားဖြင့် "ခွင့်ပြု-အားလုံး" ဖြစ်သော်လည်း၊ ESG အတွင်းရှိ "အားလုံးကို ငြင်းဆိုခြင်း" သို့မဟုတ် "ခွင့်ပြု-သတ်မှတ်ထားသော ဆိပ်ကမ်းများ" တစ်ခုခုအတွက် ESG တွင် အပိုလုံခြုံရေးအား ထပ်လောင်းအသုံးပြုနိုင်ပါသည်။ "အားလုံးကိုငြင်းဆိုခြင်း" အသွားအလာအတွက် ESG သည် Intra-ESG Isolation ကို ကျင့်သုံးရန် ရိုးရှင်းစွာ လိုအပ်ပါသည်။ "ခွင့်ပြု-တိကျသော-ဆိပ်ကမ်းများ" အတွက် ESG အချင်းချင်းကြားတွင် စာချုပ်တစ်ခု ESG သို့ ပေါင်းထည့်ရန်လိုအပ်သည်။ အပြန်အလှန်အားဖြင့် ESG စာချုပ်သည် နောက်မျိုးဆက် firewall/IPS ကဲ့သို့သော Layer 4 မှ Layer 7 ဝန်ဆောင်မှုကိရိယာသို့ လမ်းကြောင်းပြောင်းရန် ဝန်ဆောင်မှုဂရပ်ကို လွှမ်းမိုးနိုင်မည်ဖြစ်သည်။

စာမျက်နှာ ၃ မှ ၃

ဟောင်း၌ampအောက်တွင်၊ အွန်လိုင်း-အရောင်းဆိုင်ရှိ အဆုံးမှတ်များအားလုံး- ဝန်ဆောင်မှုများ ESG သည် လွတ်လပ်စွာ ဆက်သွယ်နိုင်သည်။ သို့ရာတွင်၊ အပလီကေးရှင်း-စောင့်ကြည့်ခြင်းရှိ အဆုံးမှတ်များအကြား ဆက်သွယ်မှု- ဝန်ဆောင်မှုများ ESG သည် စောင့်ကြည့်ရေးဆာဗာများအကြား အပြန်အလှန်ဆက်သွယ်မှုများအတွက် လိုအပ်ချက်မရှိသောကြောင့် ပိတ်ဆို့ထားသည်။

ပုံ 21. Pseudo Co ၏ Cisco ACI Fabric- အတွင်း ESG သီးခြားခွဲထုတ်ခြင်း
အောက်တွင်ဖော်ပြထားသောပုံသည် intra-ESG isolation configuration ကိုပြသထားသည်။ ပုံသေအားဖြင့်၊ အတွင်း-ESG သီးခြားခွဲထုတ်ခြင်းကို အတင်းအကြပ်မလုပ်ပါ။ တည်နေရာသည် Tenant > Application Pro တွင်ဖြစ်သည်။files > Application_Profile_name > Endpoint လုံခြုံရေးအဖွဲ့များ > ESG_name > မူဝါဒ > အထွေထွေ။

ပုံ 22. Pseudo Co ၏ Cisco ACI Fabric- intra-ESG isolation (ပြဌာန်းထားသည်)
အောက်တွင်ဖော်ပြထားသောပုံသည် ESG စာချုပ်ဖွဲ့စည်းပုံကိုပြသထားသည်။ တည်နေရာသည် Tenant > Application Pro တွင်ဖြစ်သည်။files > Application_Profile_name > Endpoint Security Groups > ESG_name > စာချုပ်များ > Intra-ESG စာချုပ်ကို ထည့်ပါ။

စာမျက်နှာ ၃ မှ ၃

ပုံ 23. Pseudo Co ၏ Cisco ACI Fabric- ESG အပြန်အလှန် စာချုပ်
Layer 4 မှ Layer 7 ဝန်ဆောင်မှုထည့်သွင်းမှုအတွက် PBR ပါသော ဝန်ဆောင်မှုဂရပ်များအပြင် ဟာ့ဒ်ဝဲအခြေခံခွင့်ပြုချက်/ငြင်းပယ်ခြင်းဆိုင်ရာ လုံခြုံရေးပြဋ္ဌာန်းချက်များအပြင်၊ နိုင်ငံမဲ့စစ်ထုတ်ခြင်းဆိုင်ရာ စာချုပ်များကို အသုံးပြုခြင်းအပြင်၊ Firewalls နှင့် IPS ကဲ့သို့သော အလွှာ 4 စက်ပစ္စည်းများတွင် stateful Layer 7 သို့ အင်တိုက်အားတိုက်ထည့်သွင်းနိုင်သည်။ စနစ်များ) ESGs များအကြား သို့မဟုတ် ESGs (intra-ESG) အတွင်း ဒေတာလမ်းကြောင်းသို့။

ပုံ 24။ Pseudo Co ၏ Cisco ACI Fabric- firewall ထည့်သွင်းမှုအတွက် PBR ပါသော ဝန်ဆောင်မှုဂရပ်
ပိုမိုသိရှိလိုပါက၊ ACI စာချုပ်လမ်းညွှန်နှင့် Cisco ACI Policy-Based Redirect Service Graph Design White Paper ကို ကြည့်ပါ။
Layer 4 မှ Layer 7 ဝန်ဆောင်မှုများ စက်ပစ္စည်းသို့ အသွားအလာလမ်းကြောင်းကို ပြန်ညွှန်းသည့်အခါ Layer 4 မှ Layer 7 ဝန်ဆောင်မှုများ စက်ပစ္စည်းဖွဲ့စည်းပုံကို ထည့်သွင်းစဉ်းစားရပါမည်။ ဟောင်း၌ampအောက်တွင် ESGs များ၏ လိုက်လျောညီထွေရှိသော သဘောသဘာဝသည် မတူညီသော subnet များမှ endpoints များကို သီးခြားလုံခြုံရေးဇုန်များအဖြစ် ယုတ္တိနည်းကျကျ အုပ်စုဖွဲ့ခွင့်ပြုထားသည်။ Firewall ပေါ်ရှိ configuration သည် ESGs မှရရှိသော IP လိပ်စာအချက်အလက်များကို ထင်ဟပ်ရန် လိုအပ်သည်။ ESG အဖွဲ့ဝင်အချက်အလက်ကို ဆွဲထုတ်သည့် firewall စီမံခန့်ခွဲမှုပလပ်ဖောင်းမှ ၎င်းကို အောင်မြင်နိုင်သည်။

စာမျက်နှာ ၃ မှ ၃

ပုံ 25။ Endpoint အဖွဲ့ဝင်ခြင်းအချက်အလက်
ESG အဖွဲ့ဝင်ကြော်ငြာအတွက် အောက်ပါအက်ပ်များနှင့် ပလပ်အင်များကို လက်ရှိရရှိနိုင်ပါသည်-
Cisco Adaptive Security Appliance (ASA) နှင့် Cisco Firepower Threat Defense (FTD)- ACI Endpoint Update Palo Alto Networks Panorama- Cisco ACI (Roadmap) အတွက် သင်၏ Layer 4 မှ Layer 7 ဝန်ဆောင်မှုကိရိယာသည် အထက်ဖော်ပြပါအရာများနှင့် ကွဲပြားပါက၊ ESG အဖွဲ့ဝင်အချက်အလက်ကို Cisco APIC API ကို အသုံးပြု၍ ထုတ်ယူနိုင်သည်။ ထို့ကြောင့်၊ ရိုးရှင်းသော script သို့မဟုတ် အပလီကေးရှင်းတစ်ခုသည် အချက်အလက်များကို ပြန်လည်ရယူရန်နှင့် Layer 4 မှ Layer 7 ဝန်ဆောင်မှုများစက်ပစ္စည်းတွင် တူညီသောလုံခြုံရေးအုပ်စုများဖန်တီးရန် အသုံးပြုနိုင်သည်။ ပိုမိုသိရှိလိုပါက FAQ ကို ကြည့်ပါ။
ESG ဒီဇိုင်းထွamples
ဤအခန်းတွင် တစ်ဦးချင်းဟောင်းများစွာနှင့် ESG အသုံးပြုမှုကိစ္စများကို ပြသထားသည်။ampထို့ကြောင့် သင်စိတ်ဝင်စားသော အသုံးပြုမှုကိစ္စများ (ဇယား 2 နှင့် ဇယား 3) သို့ တိုက်ရိုက် ခုန်ဆင်းနိုင်စေရန်။ အကယ်၍ သင်သည် ESGs နှင့် အသစ်ဖြစ်ပါက သို့မဟုတ် ဇာတ်လမ်းကိုအခြေခံသော ex ၏ ရှင်းလင်းချက်တစ်ခုကို နှစ်သက်သည်။ample၊ Network Centric to Application Centric Migration Story- Pseudo Co.
ESGs များသည် Detailed Design Ex တွင် အသေးစိတ်ဖော်ပြထားသည့်အတိုင်း ရုပ်ပိုင်းဆိုင်ရာ သို့မဟုတ် virtual workload များကို အပိုင်းခွဲခြင်းအတွက် ပြောင်းလွယ်ပြင်လွယ်သော ဒီဇိုင်းရွေးချယ်စရာများစွာဖြင့် ကွန်ရက်စီမံခန့်ခွဲသူများကို တင်ပြသည်amples အပိုင်း။ သပ်ရပ်သော၊ အက်ပလီကေးရှင်းကို အဓိကထား ESG များဖန်တီးခြင်း၏ ရွေးချယ်ခွင့်အပြင် Cisco ACI သည် ကွန်ရက်စီမံခန့်ခွဲသူများကို EPG အများအပြား (VLANs) အများအပြားကို စုစည်းရန် သို့မဟုတ် VRF ဖြစ်ရပ်တစ်ခုအတွင်း ကွန်ရက်အခြေပြုလုံခြုံရေးဇုန်များဖန်တီးရန် ESGs များကို ကွန်ရက်စီမံခန့်ခွဲသူများကိုလည်း ESGs အသုံးပြုခွင့်ပေးသည်။ ရွေးချယ်စရာနှစ်ခုလုံးသည် ညီတူညီမျှ လိုက်လျောညီထွေရှိပြီး ၎င်းတို့ကို တစ်ပြိုင်နက် အသုံးပြုနိုင်သည်။ အမှန်စင်စစ်၊ ESGs ၏ အစွမ်းထက်သောအကျိုးကျေးဇူးမှာ ကွန်ရက်ပံ့ပိုးမှုကိုမွမ်းမံခြင်းမပြုဘဲ ဇုန်အခြေပြုလုံခြုံရေးပတ်ဝန်းကျင်မှ အက်ပလီကေးရှင်းအခြေခံလုံခြုံရေးပတ်ဝန်းကျင်သို့ endpoints များကို အင်တိုက်အားတိုက်ရွေ့လျားနိုင်သည့်စွမ်းရည်ဖြစ်သည်။
ESGs ဖြင့် ပြောင်းလွယ်ပြင်လွယ် လုံခြုံရေးဇုန်များ
1. VRF စံနမူနာတစ်ခုအတွက် တစ်ခုတည်းသော လုံခြုံရေးဇုန်- VRF ဖြစ်ရပ်တစ်ခုအတွင်း EPG အားလုံးကို ESG တစ်ခုတည်းသို့ အဆုံးမှတ်အားလုံးအတွက် မူရင်းလုံခြုံရေးဇုန်အဖြစ် မြေပုံကြည့်ပါ။
2. VRF ဖြစ်ရပ်တစ်ခုအတွက် လုံခြုံရေးဇုန်များစွာ- EPG ၏ အစုခွဲတစ်ခုကို ESG လုံခြုံရေးဇုန်တစ်ခုသို့ မြေပုံဆွဲပါ။ VRF ဥပမာတစ်ခု သို့မဟုတ် တစ်ခုထက်ပိုသော ESG လုံခြုံရေးဇုန်များကို ဖန်တီးပါ။
3. အပလီကေးရှင်းတစ်ခုစီအတွက် လုံခြုံရေးဇုန်များ- တစ်ဦးချင်းစီ၏ အဆုံးမှတ်များကို ESG မှတစ်ဆင့် မြေပုံဆွဲပါ။ Tag ပေးထားသည့် VRF စံနမူနာတစ်ခုပေါ်ရှိ မည်သည့် subnet သို့မဟုတ် VLAN မှ ရွေးချယ်ပေးသည့်အရာများ။

စာမျက်နှာ ၃ မှ ၃

အဆုံးမှတ်အားလုံးကို ESG တစ်နည်းမဟုတ်တစ်နည်းဖြင့် ဖုံးအုပ်ထားနိုင်ရန် ရွေးချယ်စရာ 1 သို့မဟုတ် 2 ကို အခြေခံဖွဲ့စည်းပုံအဖြစ် အသုံးပြုရန် အကြံပြုထားပြီး ပိုမိုအသေးစိတ်ခွဲခြားထားသော အုပ်စုများအတွက် ရွေးချယ်မှု 3 ကို အသုံးပြုပါ။ တစ်ဦးချင်းအသုံးပြုသည့်အခါ အောက်ပါပုံများသည် ရွေးစရာတစ်ခုစီကို သရုပ်ဖော်သည်။ အမျိုးမျိုးသောရွေးချယ်မှုအမျိုးအစားများကို ပေါင်းစပ်ရန် FAQ ရှိ ရွေးချယ်သူဦးစားပေးအစီအစဥ်ကို ကိုးကားပါ။ အောက်ပါပုံအား Ex တွင် အသေးစိတ်ရှင်းပြထားပါသည်။ample 1- ပုံ 29 နှင့်အတူ ပုံ XNUMX နှင့်အတူ မူရင်းဇုန် (EPG ရွေးချယ်မှုများ) အဖြစ် VRF တစ်ခုလျှင် လုံခြုံရေးဇုန်တစ်ခု။
ပုံ 26။ တူညီသော VRF instance ရှိ subnets/VLAN များအားလုံးအတွက် မူရင်းလုံခြုံရေးဇုန်
အောက်ပါပုံအား Ex တွင် အသေးစိတ်ရှင်းပြထားပါသည်။ample 2- ပုံ 30 နှင့်အတူ subnets/VLANs (EPG Selectors) အစုအလိုက် လုံခြုံရေးဇုန်တစ်ခု။

စာမျက်နှာ ၃ မှ ၃

ပုံ 27။ EPG အစုအလိုက် လုံခြုံရေးဇုန်များ (subnets/VLANs)
အောက်ပါပုံသည် VMware vCenter/Cisco APIC မှ ရွေးချယ်ထားသော အပလီကေးရှင်း အဆုံးမှတ်များကို ပြသထားသည်။ tags. နောက်ထပ် ဟောင်းampပုံ 31 ကဲ့သို့သော les များကို နောက်အပိုင်းတွင် အသေးစိတ်ပြထားသည်။

ပုံ 28။ လျှောက်လွှာတစ်ခုလျှင် လုံခြုံရေးဇုန်များ
အသေးစိတ်ဒီဇိုင်း Examples
အောက်ပါဇယားသည် မတူညီသော ESG ex အများအပြားကို အကျဉ်းချုပ်ဖော်ပြထားသည်။ampမတူညီသောရွေးချယ်မှုရွေးချယ်စရာများကို စာဖတ်သူနားလည်သဘောပေါက်နိုင်စေရန် စသည်တို့ဖြစ်သည်။ အောက်တွင်ဖော်ပြထားသောဇယားတွင်ပြထားသည့်အတိုင်းအလိုရှိသောအတိုင်းရွေးချယ်စရာအားလုံးကိုတစ်ပြိုင်နက်အသုံးပြုနိုင်ပါသည်။
မှတ်ချက်- ESGs အတွင်း Layer 2 multicast ကို လိုအပ်ပါက၊ ရွေးချယ်သူများသည် EPG ရွေးချယ်သူများ ဖြစ်သင့်သည် သို့မဟုတ် tag MAC လိပ်စာများပါသော ရွေးချယ်မှုစနစ်များ။ Ex ကြည့်ပါ။ampအသေးစိတ်အချက်အလက်များအတွက် le 12။

ဇယား ၁။

ExampESG ဖြန့်ကျက်မှု ရွေးချယ်စရာများ တစ်ခုတည်း ရွေးချယ်သည့် သတ်မှတ်ချက်များ

အမျိုးအစား

Example

ဖော်ပြချက်

EPG Ex ဖြင့် အခြေခံလုံခြုံရေးample 1- လုံခြုံရေးဇုန်တစ်ခုသည် EPG အားလုံးကို ESG တစ်ခု၏ ပုံသေလုံခြုံရေးဇုန်အဖြစ် တစ်ခုတည်းသို့ မြေပုံညွှန်းပေးသည်

ရွေးချယ်မှုများ

VRF instance သည် မူရင်းဇုန် VRF instance တစ်ခုဖြစ်သည်။

(EPG ရွေးချယ်မှုများ)

Example 2- လုံခြုံရေးဇုန်တစ်ခုအတွက် EPGs အစုအဝေးတစ်ခုကို ESG လုံခြုံရေးဇုန်သို့ မြေပုံဆွဲပါ။ နောက်ထပ်တစ်ခုဖန်တီးပါ။

subnets/VLANs အစုံ (EPG Selectors)

VRF ဥပမာတစ်ခုအတွက် ESG လုံခြုံရေးဇုန်များ။

(VRF ဥပမာတစ်ခုလျှင် လုံခြုံရေးဇုန်များစွာ)

Granular Security တို့နဲ့ Tag ရွေးချယ်မှုများ

Example 3- Tag VMware VM ပါသော ရွေးချယ်မှုများ tags VMware မှ vCenter မှ VMM မှ ဆွဲထုတ်သည်။

VMM ပေါင်းစည်းမှု

ပေါင်းစည်းမှု။

Example 4- Tag Cisco ACI စီမံခန့်ခွဲသူများမပါဘဲ ရွေးချယ်သူများသည် Cisco APIC မူဝါဒကို သတ်မှတ်ပေးသည်။ tag MAC သို့

VM အတွက် တစ်ဦးချင်း အဆုံးမှတ်များ VMM ပေါင်းစည်းမှုကို မြေပုံဆွဲပါ။

Cisco APIC ရှိ virtual machine endpoint တစ်ခုစီ၏ လိပ်စာများ။ မရှိ tag

VMware vCenter နှင့် MAC လိပ်စာစင့်ခ်ကိုအသုံးပြု၍ မည်သည့် subnets သို့မဟုတ် endpoints များပေါ်တွင်မဆို။

Ex တစ်ခုအနေဖြင့် ESG သို့ VLAN များample 5- Tag Cisco ACI စီမံခန့်ခွဲသူများမပါဘဲ ရွေးချယ်သူများသည် Cisco APIC မူဝါဒကို သတ်မှတ်ပေးသည်။ tag IP သို့

VM အတွက် VMM ပေါင်းစပ်မှုမှတစ်ဆင့် အသေးစိပ်လုံခြုံရေးအဖွဲ့

Cisco APIC ရှိ virtual machine endpoint တစ်ခုစီ၏ လိပ်စာများ။ မရှိ tag

VMware tags သို့မဟုတ် VMware vCenter နှင့် IP လိပ်စာထပ်တူကျမှုကို အသုံးပြု၍ Cisco အဆုံးမှတ်များ။

APIC မူဝါဒ tags

Example 6- Tag Cisco ACI အက်ဒမင်များသည် ဗလာဖြစ်နေသော Cisco APIC မူဝါဒကို ရွေးချယ်ပေးသည်။ tag MAC သို့

စာမျက်နှာ ၃ မှ ၃

Cisco APIC ရှိ သတ္တု အဆုံးမှတ်တစ်ခုစီ၏ MAC လိပ်စာများကို အသုံးပြု၍ သတ္တုအဆုံးမှတ်များ။ လိပ်စာ
Example 7- Tag Cisco ACI အက်ဒမင်များသည် ဗလာဖြစ်နေသော Cisco APIC မူဝါဒကို ရွေးချယ်ပေးသည်။ tag Cisco APIC ရှိ သတ္တု အဆုံးမှတ် တစ်ခုစီ၏ IP လိပ်စာများကို အသုံးပြု၍ IP သတ္တု အဆုံးမှတ်များဆီသို့။ လိပ်စာ
Example 8- Tag ကြားခံမဟုတ်သော Cisco ACI ခလုတ်များပေါ်တွင် PVLAN ပါသော ရွေးချယ်သူများ လိုအပ်ပါသည်။ ကြားခံခလုတ်များ
IP Ex ဖြင့် Granular Securityample 9- IP subnet ရွေးချယ်သူများသည် IP လိပ်စာများ သို့မဟုတ် subnets များကို ESG သို့ တိုက်ရိုက် အပ်နှင်းပါ။ Subnet ရွေးချယ်မှုများ
အောက်ပါဇယားသည် နောက်ထပ် ex ကိုပြသည်။ampတစ်ခုနှင့်တစ်ခုတွဲ၍အသုံးပြုသော ရွေးချယ်စရာများစွာရှိသော les များ

ဇယား ၁။

ExampESG ဖြန့်ကျက်မှု ရွေးချယ်စရာများ အများအပြား ရွေးချယ်မှု သတ်မှတ်ချက်များ

Example

ဖော်ပြချက်

Example 10: ESG မှတဆင့် application endpoints ၏ကွန်တိန်နာအဖြစ် Tag EPG ရွေးချယ်မှုများမှတစ်ဆင့် ပုံသေလုံခြုံရေးဇုန်ပါရှိသော ရွေးချယ်သူများ။

ရည်းစားဟောင်းတစ်ယောက်ample အခန်းတွင် Network Centric မှ Application Centric Migration Story- Pseudo Co.

Example 11- လုံခြုံရေးဇုန်အများအပြားကို a ကိုသတ်မှတ်ပါ။ tag လုံခြုံရေးဇုန်တစ်ခုစီမှတစ်ဆင့် သီးသန့် ESG ဖြင့် EPG ရွေးပေးသူများမှ ၎င်းတို့ကို ခွဲထုတ်ရန် ချို့ယွင်းနေသော သို့မဟုတ် အားနည်းချက်ရှိသော အဆုံးမှတ်များဆီသို့။ Tag ရွေးချယ်မှုများ။

Example 12- အလွှာ 2 multicast ပါသော ESG ။ ရည်းစားဟောင်းampL2 Multicast/Flood Traffic ရှိသော အခြေအနေများအတွက် ESG များကို ဒီဇိုင်းဆွဲနည်း။

Example 13- EPG ရွေးချယ်မှုများနှင့် IP အခြေခံ ဟောင်းampEPG များရှိနေချိန်တွင် IP-based ရွေးချယ်သူများအတွက် proxy ARP ကိုမည်သို့ပြင်ဆင်ရမည်နည်း

ရွေးချယ်မှုများ

EPG ရွေးချယ်မှုများကို အသုံးပြု၍ ESG နှင့် ကိုက်ညီသည်။

Example 1- မူရင်းဇုန်တစ်ခုအဖြစ် VRF စံနမူနာတစ်ခုအတွက် လုံခြုံရေးဇုန်တစ်ခု (EPG ရွေးချယ်မှုများ) သုံးစွဲသူအများအပြားသည် ၎င်းတို့၏ Cisco ACI ဖြန့်ကျက်မှုကို vzAny တွင် ပေးထားသည့် ခွင့်ပြုချက်အားလုံးကို စားသုံးခြင်း သို့မဟုတ် နှစ်သက်ရာအုပ်စုရှိ EPGs များအားလုံးကို အပါအဝင် အခြားတစ်နည်းအားဖြင့် ၎င်းတို့အတွင်း ဆက်သွယ်မှုအားလုံးကို ခွင့်ပြုရန် Cisco ACI ဖြန့်ကျက်မှုကို စတင်သည်။ နောက်ပိုင်းတွင် လုံခြုံရေးကို ဖြည်းဖြည်းချင်း အကောင်အထည်ဖော်ရန် ရည်ရွယ်ချက်ဖြင့် VRF ဥပမာတစ်ခု။ ESG သည် အနာဂတ်အတွက် ပိုမိုကောင်းမွန်သော တိုးချဲ့နိုင်မှုနှင့်အတူ ကွန်ရက်စီမံခန့်ခွဲသူများအား ရိုးရှင်းပြီး လိုက်လျောညီထွေရှိသော အစမှတ်ကို ခွင့်ပြုခြင်းဖြင့် ဤချဉ်းကပ်မှုကို ရိုးရှင်းစေနိုင်သည်။ VRF instance ရှိ EPG အားလုံးကို EPG ရွေးပေးမှုများကို အသုံးပြု၍ ESG တစ်ခုတည်းသို့ ပုံဖော်ခြင်းဖြင့် ESG သည် မူရင်းလုံခြုံရေးဇုန်တစ်ခုအဖြစ် လုပ်ဆောင်သည်။ ဤအခြေခံလုံခြုံရေးဇုန်ကို သင်ဖန်တီးပြီးနောက်၊ သင်သည် အခြားအသေးစိတ် ESG များအဖြစ် ခွဲခြားသတ်မှတ်ရန် အဆုံးမှတ်များကို ပြတ်သားစွာရွေးချယ်နိုင်သည်။
ပုံသေလုံခြုံရေးဇုန်အဖြစ် ESG သည် VRF စံနမူနာရှိ EPG အားလုံးကို EPG ရွေးချယ်မှုများဖြင့် ESG တစ်ခုသို့ မြေပုံဆွဲခြင်းဖြင့် VRF instance ရှိ အဆုံးမှတ်အားလုံးအတွက် ကျောခိုင်းမှုတစ်ခုအဖြစ် လုပ်ဆောင်သည်။ အောက်တွင်ပြထားသည့် အဆုံးမှတ်များအားလုံးသည် ESG တွင် တူညီသောကြောင့် အချင်းချင်း စကားပြောနိုင်သည်။ ကွန်ရက်စီမံခန့်ခွဲသူတစ်ဦးသည် (မူလအားဖြင့်) အတွင်း-ESG လမ်းကြောင်းအားလုံးကို firewall သို့ ပြန်ညွှန်းသည့် ဝန်ဆောင်မှုဂရပ် PBR ဖြင့် အပြန်အလှန် ESG စာချုပ်ကို အကောင်အထည်ဖော်နိုင်သည်။ တနည်းအားဖြင့်၊ သင်သည် အလုပ်ချိန်များကို ၎င်းတို့၏ မှန်ကန်သော အပလီကေးရှင်း ESG သို့ ၎င်းတို့၏ ဆက်စပ်စာချုပ်များဖြင့် ရွှေ့မပြောင်းမချင်း သီးသန့်လုံခြုံရေးဇုန် ESG ကို သီးသန့်ခွဲထားခြင်းဖြင့် ထိန်းညှိပေးနိုင်သည်။

စာမျက်နှာ ၃ မှ ၃

ပုံ 29. ဒီဇိုင်း Example- ပေးထားသော VRF ဥပမာအတွက် မူရင်းလုံခြုံရေးဇုန်
Example 2- ယခင် ex တွင်ပြထားသည့်အတိုင်း ပေးထားသည့် VRF စံနမူနာအတွက် တစ်ခုတည်းသော ပုံသေလုံခြုံရေးဇုန်တစ်ခုကို ဖန်တီးမည့်အစား subnets/VLANs (EPG Selectors) အစုအလိုက် လုံခြုံရေးဇုန်တစ်ခု၊ampထို့ကြောင့်၊ EPG ရွေးချယ်သူများပါရှိသော ESG သည် ဇုန်တစ်ခုစီကို တံတားဒိုမိန်းတစ်ခုတွင် ကန့်သတ်ထားခြင်းမရှိဘဲ တူညီသော VRF ဖြစ်ရပ်အတွင်း လုံခြုံရေးဇုန်များစွာကို အလွယ်တကူ ဖန်တီးနိုင်သည်။ ဤအသုံးပြုမှုအခြေအနေတွင်၊ ESG တစ်ခုစီသည် အဖွဲ့အစည်းတစ်ခု၏ လုံခြုံရေးလိုအပ်ချက်များအပေါ် အခြေခံ၍ အဖွဲ့အစည်း သို့မဟုတ် ဖွံ့ဖြိုးတိုးတက်ရေးအဖွဲ့ကဲ့သို့သော နယ်ပယ်တစ်ခုအား ကိုယ်စားပြုသည်။ ၎င်းသည် ဧရိယာတစ်ခုစီအတွင်း ဆက်သွယ်ရေးကို အပိုဖွဲ့စည်းမှုပုံစံမရှိဘဲ၊ ပုံမှန်အားဖြင့်၊ အပြန်အလှန်ဆက်သွယ်မှုများကို ပိတ်ဆို့ထားချိန်တွင် ခွင့်ပြုသည်။ နယ်ပယ်တစ်ခုစီတွင် တံတားဒိုမိန်းများတစ်လျှောက် အဆုံးမှတ်အစုတစ်ခုပါ၀င်သည့် အပလီကေးရှင်းများစွာ ပါဝင်နိုင်ဖွယ်ရှိသည်။ အဆုံးမှတ်များသည် တံတားဒိုမိန်းများစွာကိုဖြတ်၍ တည်ရှိနေသောကြောင့် EPG များကို အသုံးပြု၍ ဤဒီဇိုင်းကို သင်အောင်မြင်နိုင်မည်မဟုတ်ပါ။
ဒီ exampထို့ကြောင့်၊ ESG subnet-group-10 အတွက် VLAN 20 နှင့် ESG subnet-group-01 အတွက် VLAN 30 နှင့် 40 ကဲ့သို့သော သီးခြား VLANs/subnets အစုတစ်ခုစီကို သတ်မှတ်ပေးထားသည် ။ ဤအခြေအနေတွင်၊ ကွန်ရက်စီမံခန့်ခွဲသူသည် EPG ရွေးပေးမှုများကို အသုံးပြု၍ အဝိုင်းတစ်ခုစီအတွက် ESG တစ်ခုကို အလွယ်တကူ ဖန်တီးနိုင်သည်။

စာမျက်နှာ ၃ မှ ၃

ပုံ 30. ဒီဇိုင်း Example- ပေးထားသော VRF ဥပမာအတွက် ပုံသေလုံခြုံရေးဇုန်များစွာ
Example 3- Tag VMM ပေါင်းစည်းမှု ပါ၀င်သည့် ရွေးချယ်သူများ ဤသည်မှာ ဟောင်းတစ်ခုဖြစ်သည်။ampESG ၏ le tag VM နှင့် ကိုက်ညီသော ရွေးချယ်မှုများ tags သို့မဟုတ် VMware vCenter မှ VM အမည်များ။ ဤအသုံးပြုမှုကိစ္စအတွက်၊ ဖတ်ရှုရန်သာမဟုတ်ဘဲ ဖတ်ရှုရန်ခွင့်ပြုချက်များနှင့်အတူ VMM ဒိုမိန်း ပေါင်းစည်းမှု လိုအပ်ပါသည်။ Cisco APIC သည် read-only ပေါင်းစပ်ထားသော်လည်း VM အမည်များနှင့် ထုတ်ယူသည်။ tags VMware vCenter မှ၊ ထိုဒေတာသည် EPGs သို့မဟုတ် ESGs ကဲ့သို့သော အိမ်ငှားအရာဝတ္ထုများနှင့် ဆက်စပ်မှုမရှိပါ။ ထို့ကြောင့်၊ သင်သည် ESG ရွေးချယ်သူများအတွက် ၎င်းတို့ကို လက်ရှိတွင် အသုံးချ၍မရပါ။
VM တုန်းက tags သို့မဟုတ် VM အမည်များကို အသုံးပြုသည်။ tag ရွေးချယ်သူများ၊ ၏ထိပ်တွင် အောက်ပါ configuration နှစ်ခု လိုအပ်ပါသည်။ tag ရွေးချယ်သူများကိုယ်တိုင်
ဖွင့်ပါ"Tag VMM ဒိုမိန်းကိုယ်တိုင်က စုစည်းမှု”။ EPG ရှိ VMM ဒိုမိန်း ချိတ်ဆက်မှုမှတစ်ဆင့် “Micro-Segmentation ကိုခွင့်ပြုပါ” ကိုဖွင့်ပါ။
၎င်းသည် Cisco ACI အရွက်ခလုတ်များနှင့် VMware vCenter အပေါက်အုပ်စုများပေါ်တွင် PVLAN ကို အလိုအလျောက်ချထားပေးသည်။ ဒါက
အသွားအလာကို Cisco ACI သို့ ထပ်ဆင့်မပို့ဘဲ တူညီသော port အုပ်စုအတွင်း အသွားအလာကို ပေါင်းကူးခြင်းမှ VMware virtual switches များကို တားဆီးရန်။

ပုံ 31. ဒီဇိုင်း Example- Tag VMM ပေါင်းစည်းမှုနှင့်အတူ ရွေးချယ်သူများ
Example 4- Tag MAC လိပ်စာ ဤex ကိုအသုံးပြု၍ VM အဆုံးမှတ်များအတွက် VMM ပေါင်းစပ်မှုမပါဘဲ ရွေးချယ်သူများample က ESG ကိုပြတယ်။ tag MAC လိပ်စာကို အသုံးပြု၍ VM အဆုံးမှတ်များနှင့် ကိုက်ညီသော ရွေးချယ်ရေးကိရိယာများ။ ဤရွေးချယ်မှုသည် ဖတ်-ရေး VMM ပေါင်းစည်းခြင်းမရှိဘဲ ESX အစုအဝေးများရှိသည့် သုံးစွဲသူများနှင့် သက်ဆိုင်ပါသည်။
သင်သည် VMware vCenter ရှိ VM အဆုံးမှတ်များကို vCenter VMM ပေါင်းစပ်မှုမပါဘဲ "ရုပ်ပိုင်းဆိုင်ရာ" ဒိုမိန်းမှတဆင့် Cisco ACI ထည်သို့ ချိတ်ဆက်နိုင်သည်။ အကယ်၍ သင်သည် VMware vCenter အတွက် ရုပ်ပိုင်းဆိုင်ရာ ဒိုမိန်းများကို အသုံးပြုနေပါက၊ Cisco APIC တွင် VM endpoints ပူးတွဲဖိုင်ကို မြင်နိုင်စေမည့် VMM ပေါင်းစည်းမှုကို သင်ရွေးချယ်နိုင်သည်။ သို့သော်၊ သင်သည် VM ကိုသုံး၍မရပါ။ tags သို့မဟုတ် VMM ပေါင်းစည်းခြင်းမရှိဘဲ ESG အမျိုးအစားခွဲခြင်းအတွက် VMware vCenter ရှိ VM အမည်များ။

စာမျက်နှာ ၃ မှ ၃

အောက်ပါ exampထို့ကြောင့်၊ အပေါ်မှအောက်ပါ configuration option သုံးခုလိုအပ်ပါသည်။ tag ရွေးချယ်သူများကိုယ်တိုင်
Cisco APIC မူဝါဒကို ကိုယ်တိုင်ဖန်တီးပြီး သတ်မှတ်ပေးပါ။ tag Cisco APIC ရှိ MAC လိပ်စာတစ်ခုစီသို့။ Cisco ACI EPGs (VLANs) နှင့် VMware vCenter ရှိ ဆိပ်ကမ်းအုပ်စုနှစ်ခုလုံးတွင် PVLAN ကို ကိုယ်တိုင်ပြင်ဆင်ပါ။
၎င်းသည် VMware virtual switches များမပါဘဲ တူညီသော port အုပ်စုအတွင်း အသွားအလာကို ပေါင်းကူးခြင်းမှ ကာကွယ်ပေးသည်။
လမ်းကြောင်းကို Cisco ACI သို့ ထပ်ဆင့်ပို့ခြင်း။ (ချန်လှပ်ထားနိုင်သည်) EPG များပေါ်တွင် proxy ARP ကိုဖွင့်ပါ။
PVLAN ကိုဖွင့်ထားသောအခါ၊ EPG တစ်ခုစီအတွင်းအပြင် ရေလွှမ်းမိုးခြင်း သို့မဟုတ် အလွှာ 2 များစွာသော ကာစ်အသွားအလာများကို ပိတ်ဆို့ထားသည်။
PVLAN နှင့် EPG များအကြား။ ယင်းကြောင့် ARP သည် အဆိုပါ EPG များရှိ အဆုံးမှတ်များကြားတွင် မဖြေရှင်းနိုင်ဘဲ၊ proxy ARP သည် ပစ်မှတ်အဆုံးမှတ်၏ကိုယ်စား ARP တောင်းဆိုမှုများကို Cisco ACI အရွက်ခလုတ်များမှ တုံ့ပြန်ခြင်းဖြင့် ဤကန့်သတ်ချက်ကို ဖြေရှင်းပေးပါသည်။ မတူညီသော subnets များရှိ endpoints များကြား ဆက်သွယ်ရေးသည် proxy ARP မလိုအပ်ကြောင်း သတိပြုပါ အဘယ်ကြောင့်ဆိုသော် ARP မှ Cisco ACI တံတားဒိုမိန်း SVI သို့ ARP တောင်းခံမှုများသည် မူရင်းတံခါးပေါက်ဖြစ်သင့်ပြီး PVLAN မှ ပိတ်ဆို့ထားခြင်းမရှိပါ။ Cisco ACI EPG များပေါ်တွင် PVLAN ကို static ports (static path binding) ကိုအသုံးပြု၍ ရုပ်ပိုင်းဆိုင်ရာဒိုမိန်းများနှင့်အတူ ပြင်ဆင်သတ်မှတ်ပါ။ Cisco ACI EPGs ရှိ PVLAN သည် အောက်ပါဖွဲ့စည်းပုံများထဲမှ တစ်ခုလည်း လိုအပ်သည်-
Intra-EPG isolation ကိုဖွင့်ပါ Intra-EPG စာချုပ်ကို Configure သင်သည် အောက်ပါရွေးချယ်စရာများနှင့်အတူ proxy ARP ကိုဖွင့်နိုင်သည်။
Intra-EPG isolation ကိုဖွင့်ပါ၊ ထို့နောက် proxy ARP Configure Intra-EPG စာချုပ်ကို ပြတ်သားစွာဖွင့်ပါ၊ ထို့နောက် proxy ARP ကို ဤ ex တွင် သွယ်ဝိုက်စွာဖွင့်ထားသည်ample၊ ပထမရွေးချယ်မှု (Intra-EPG isolation with proxy ARP) ကို အသုံးပြုသည်။
မှတ်ချက်- ပေါင်းစည်းခြင်းလုပ်ငန်းစဉ်ကို ချောမွေ့စေရန်၊ ကွန်ရက်စီမံခန့်ခွဲသူများသည် VMware vCenter မှ virtual machine MAC လိပ်စာများကိုဖတ်ရန် Ansible၊ Terraform သို့မဟုတ် python ကဲ့သို့သော အလိုအလျောက်စနစ်သုံးကိရိယာများကို အသုံးပြုနိုင်ပြီး MAC ကို ဖန်တီးနိုင်သည်။ tags Cisco APIC တွင် Cisco APIC တွင် EPG/VLAN static binding နှစ်ခုလုံးကို ဖန်တီးရန်နှင့် VMware vCenter ရှိ PVLAN port အုပ်စုများကို ဖန်တီးရန်အတွက်လည်း အလိုအလျောက်အသုံးပြုနိုင်ပါသည်။

စာမျက်နှာ ၃ မှ ၃

ပုံ 32. ဒီဇိုင်း Example- Tag MAC လိပ်စာကို အသုံးပြု၍ VM အဆုံးမှတ်များအတွက် VMM ပေါင်းစည်းမှုမပါဘဲ ရွေးချယ်သူများ
Example 5- Tag IP လိပ်စာ ဤ ex ကို အသုံးပြု၍ VM အဆုံးမှတ်များအတွက် VMM ပေါင်းစည်းခြင်းမရှိဘဲ ရွေးချယ်သူများample က ESG ကိုပြတယ်။ tag IP လိပ်စာမှတစ်ဆင့် VM အဆုံးမှတ်များနှင့် ကိုက်ညီသော ရွေးချယ်ရေးကိရိယာများ။ ဤရွေးချယ်မှုသည် Read-Write VMM ပေါင်းစည်းခြင်းမရှိဘဲ ESX အစုအဝေးများရှိသည့် သုံးစွဲသူများနှင့် သက်ဆိုင်ပါသည်။
VMware vCenter ရှိ VM အဆုံးမှတ်များကို vCenter VMM ပေါင်းစည်းခြင်းမရှိဘဲ "ရုပ်ပိုင်းဆိုင်ရာ" ဒိုမိန်းမှတဆင့် Cisco ACI ထည်သို့ ချိတ်ဆက်နိုင်ပါသည်။ VMware vCenter အတွက် ရုပ်ပိုင်းဆိုင်ရာ ဒိုမိန်းများကို အသုံးပြုသည့် သုံးစွဲသူများသည် Cisco APIC တွင် VM endpoints ပူးတွဲဖိုင်ကို မြင်နိုင်စွမ်းရှိနိုင်သောကြောင့် ဖတ်ရှုရန်-သီးသန့် VMM ပေါင်းစပ်မှုကို ရွေးချယ်နိုင်သည်။ သို့သော် VM tags သို့မဟုတ် VMware vCenter ပေါ်ရှိ VM အမည်များကို ESG အမျိုးအစားခွဲခြင်းအတွက် VMM တွင် ဖတ်ရှုရေးသားခြင်း ပေါင်းစပ်ခြင်းမပြုဘဲ အသုံးမပြုနိုင်ပါ။
ဒီ exampထို့ အပြင် အောက်ပါ configuration options သုံးခု လိုအပ်ပါသည်။ tag ရွေးချယ်သူများ-
Cisco APIC မူဝါဒကို ကိုယ်တိုင်ဖန်တီးပြီး သတ်မှတ်ပေးပါ။ tag Cisco APIC ရှိ IP လိပ်စာတစ်ခုစီသို့။ Cisco ACI EPGs (VLANs) နှင့် VMware vCenter ရှိ ဆိပ်ကမ်းအုပ်စုနှစ်ခုလုံးတွင် PVLAN ကို ကိုယ်တိုင်ပြင်ဆင်ပါ။
၎င်းသည် VMware virtual switches များမပါဘဲ တူညီသော port အုပ်စုအတွင်း traffic ကို ပေါင်းကူးခြင်းမှ ကာကွယ်ရန်ဖြစ်သည်။
လမ်းကြောင်းကို Cisco ACI သို့ ထပ်ဆင့်ပို့ခြင်း။ EPG များပေါ်တွင် proxy ARP ကိုဖွင့်ပါ။
IP လိပ်စာများကိုအခြေခံ၍ ESG လုံခြုံရေးကိုအသုံးပြုရန် Cisco ACI ခလုတ်များသည် လမ်းကြောင်းအစား လမ်းကြောင်းပြောင်းရပါမည်။
တံတားထိုးထားသည်။ အသွားအလာအားလုံးကို လမ်းကြောင်းအသွားအလာအဖြစ် ကိုင်တွယ်ကြောင်း သေချာစေရန်၊ သင်သည် EPG များတွင် proxy ARP ကို ဖွင့်ထားရပါမည်။
PVLAN ကိုဖွင့်ထားသောအခါတွင် EPG တစ်ခုစီအတွင်း ရေလွှမ်းမိုးခြင်း သို့မဟုတ် Layer 2 multicast အသွားအလာကို ပိတ်ဆို့သည်
PVLAN နှင့် EPG များအကြား။ ယင်းကြောင့် ARP သည် အဆိုပါ EPG များရှိ အဆုံးမှတ်များကြားတွင် မဖြေရှင်းနိုင်ဘဲ၊ Proxy ARP သည် ပစ်မှတ်အဆုံးမှတ်၏ကိုယ်စား ARP တောင်းဆိုမှုများကို တုံ့ပြန်သည့် Cisco ACI အရွက်ခလုတ်များဖြင့် ဤကန့်သတ်ချက်ကို ဖြေရှင်းပေးသည်။

စာမျက်နှာ ၃ မှ ၃

ဒီ example သည် Ex နှင့် အလွန်ဆင်တူသည်။ample 4- Tag ပထမအချက် (MAC လိပ်စာအစား IP လိပ်စာ) နှင့် တတိယအမှတ် (ပရောက်စီ ARP သည် မဖြစ်မနေ လိုအပ်သည်) မှလွဲ၍ VM အဆုံးမှတ်များအတွက် VMM ပေါင်းစပ်မှုမပါဝင်ဘဲ ရွေးချယ်သူများ။
Cisco ACI EPG များပေါ်တွင် PVLAN ကို static ports (static path binding) ကိုအသုံးပြု၍ ရုပ်ပိုင်းဆိုင်ရာဒိုမိန်းများနှင့်အတူ ပြင်ဆင်သတ်မှတ်ပါ။ Cisco ACI EPGs ရှိ PVLAN သည် အောက်ပါဖွဲ့စည်းပုံများထဲမှ တစ်ခုလည်း လိုအပ်သည်-
intra-EPG isolation ကိုဖွင့်ပါ intra-EPG စာချုပ်ကို Configure Proxy ARP ကိုလည်း အောက်ပါရွေးချယ်စရာများနှင့်အတူ ဖွင့်နိုင်သည်-
Intra-EPG isolation ကိုဖွင့်ပါ၊ ထို့နောက် proxy ARP ကို ပြတ်သားစွာဖွင့်ပါ-EPG စာချုပ်ကို ပေါင်းစပ်သတ်မှတ်ပါ၊ ထို့နောက် proxy ARP ကို သွယ်ဝိုက်သောနည်းဖြင့် ဖွင့်ထားသည် ဤ example သည် ပထမရွေးချယ်မှု (intra-EPG isolation and proxy ARP) ကို အသုံးပြုသည်။
မှတ်ချက်- ပေါင်းစည်းခြင်းလုပ်ငန်းစဉ်ကို ချောမွေ့စေရန်၊ ကွန်ရက်စီမံခန့်ခွဲသူများသည် VMware vCenter မှ virtual machine IP လိပ်စာများကို ဖတ်ရန် Ansible၊ Terraform သို့မဟုတ် python ကဲ့သို့သော အလိုအလျောက်စနစ်သုံးကိရိယာများကို အသုံးပြုနိုင်ပြီး IP ကို ဖန်တီးနိုင်သည် tags Cisco APIC တွင် Cisco APIC နှင့် VMware vCenter ရှိ PVLAN ဆိပ်ကမ်းအုပ်စုများတွင် EPG/VLAN static binding နှစ်ခုလုံးကို ဖန်တီးရန် အလိုအလျောက်စနစ်အား သင်အသုံးပြုနိုင်သည်။

ပုံ 33. ဒီဇိုင်း Example- Tag IP လိပ်စာကို အသုံးပြု၍ VM အဆုံးမှတ်များအတွက် VMM ပေါင်းစည်းခြင်းမရှိဘဲ ရွေးချယ်သူများ
Example 6- Tag MAC လိပ်စာ ဤ ex ကို အသုံးပြု၍ သတ္တုအလွတ် အဆုံးမှတ်များအတွက် ရွေးပေးသည့်ကိရိယာများample က ESG ကိုပြတယ်။ tag Cisco ACI မူဝါဒမှတစ်ဆင့် သတ္တုမပါသော အဆုံးအမှတ်များနှင့် ကိုက်ညီသည့် ရွေးချယ်ကိရိယာများ tag အဆုံးမှတ်တစ်ခုစီတွင် MAC လိပ်စာကို တည်ငြိမ်စွာ တွဲထားသည်။

စာမျက်နှာ ၃ မှ ၃

ဒါက Ex နဲ့ ထပ်တူပါပဲ။ample 4- Tag vDS ကို configure မလုပ်ခြင်းမှလွဲ၍ MAC လိပ်စာမှတဆင့် VM အဆုံးမှတ်များအတွက် VMM ပေါင်းစည်းခြင်းမရှိဘဲ ရွေးချယ်သူများ။ blade သို့မဟုတ် virtual switches များကဲ့သို့သော ကြားခံခလုတ်များ မရှိသောကြောင့် PVLAN ဖွဲ့စည်းမှုပုံစံသည် EPG တွင် မလိုအပ်ပါ။ အဆုံးမှတ်များနှင့် Cisco ACI ခလုတ်များကြားတွင် Cisco ACI မဟုတ်သော ခလုတ်များ ရှိနေပါက၊ PVLAN များသည် လိုအပ်နေသေးသည်။ Ex ကြည့်ပါ။ample 8- Tag ဟောင်းတစ်ခုအတွက် ကြားခံခလုတ်များပါရှိသော ရွေးပေးသူများample case ကိုသုံးပါ။

ပုံ 34. ဒီဇိုင်း Example- Tag MAC လိပ်စာကို အသုံးပြု၍ သတ္တုမပါသော အဆုံးမှတ်များအတွက် ရွေးပေးသည့်ကိရိယာများ
Example 7- Tag IP လိပ်စာ ဤ ex ကို အသုံးပြု၍ သတ္တုအလွတ် အဆုံးမှတ်များအတွက် ရွေးပေးသည့်ကိရိယာများample က ESG ကိုပြတယ်။ tag Cisco ACI မူဝါဒမှတစ်ဆင့် သတ္တုမပါသော အဆုံးအမှတ်များနှင့် ကိုက်ညီသည့် ရွေးချယ်ကိရိယာများ tag အဆုံးမှတ် IP လိပ်စာတစ်ခုစီတွင် တွဲထားသည်။
ဒါက Ex နဲ့ ထပ်တူပါပဲ။ample 5: “Tag vDS ကို configure မလုပ်ခြင်းမှလွဲ၍ VM endpoints များအတွက် VMM ပေါင်းစည်းခြင်းမရှိဘဲ ရွေးချယ်သူများ" blade switches များကဲ့သို့ ကြားခံခလုတ်များ မရှိသောကြောင့် PVLAN configuration ကို EPG တွင် မလိုအပ်ပါ။ အဆုံးမှတ်များနှင့် Cisco ACI ခလုတ်များကြားတွင် Cisco ACI မဟုတ်သော ခလုတ်များ ရှိနေပါက၊ PVLAN များသည် လိုအပ်နေသေးသည်။ Ex ကြည့်ပါ။ample 8: “Tag ဟောင်းတစ်ခုအတွက် ကြားခံခလုတ်များ ပါသည့် ရွေးခြယ်ကိရိယာများample case ကိုသုံးပါ။
မှတ်ချက်- ဤဥပမာကြောင့် Proxy ARP လိုအပ်ဆဲဖြစ်သည်။ample သည် ရွေးချယ်မှုစံနှုန်းအဖြစ် IP လိပ်စာကို အသုံးပြုနေသည်။

စာမျက်နှာ ၃ မှ ၃

ပုံ 35. ဒီဇိုင်း Example- Tag IP လိပ်စာများကို အသုံးပြု၍ သတ္တုမပါသော အဆုံးမှတ်များအတွက် ရွေးပေးသူများ
Example 8- Tag ကြားခံခလုတ်များပါရှိသော ရွေးချယ်သူများ ဤအရာသည် ဟောင်းတစ်ခုဖြစ်သည်။ampCisco ACI အရွက်ခလုတ်များနှင့် အဆုံးမှတ်များကြားတွင် ကြားခံခလုတ်များ ရှိနေပါသည်။ VM အဆုံးမှတ်များကိစ္စတွင်၊ ၎င်းတို့သည် Cisco UCS Fabric Interconnect ကဲ့သို့ blade switches များ သို့မဟုတ် virtualization solution မှ virtual switches များဖြစ်သည်။
ထိုသို့သောအခြေအနေတွင်၊ PVLANs များကို Cisco ACI အရွက်ခလုတ်များမှ ကြားခံခလုတ်များမှတစ်ဆင့် virtual switches များရှိ vDS port အုပ်စုများသို့ တိုးချဲ့ရန်လိုအပ်သည်။ ၎င်းသည် ESG လုံခြုံရေးကို အသုံးပြုသည့် Cisco ACI အရွက်ခလုတ်သို့ မရောက်ရှိမီ အဆိုပါခလုတ်များသည် VLAN များပေါ်တွင် အခြေခံထားသည့် အသွားအလာကို တံတားထိုးခြင်းမပြုကြောင်း သေချာစေရန်ဖြစ်သည်။

စာမျက်နှာ ၃ မှ ၃

ပုံ 36. ဒီဇိုင်း Example- Tag ကြားခံခလုတ်များပါရှိသော ရွေးချယ်သူများ
Example 9: IP subnet ရွေးပေးသူများ ဤသည်မှာ exampESG အောက်တွင် IP လိပ်စာများ သို့မဟုတ် subnet များကို တိုက်ရိုက်သတ်မှတ်နည်း tag. သတ်မှတ်ထားသော အကွာအဝေးတစ်ခုအတွင်း IP လိပ်စာများအားလုံး တူညီသော ESG နှင့် သက်ဆိုင်သည့်အခါ ၎င်းသည် အသုံးဝင်သည်။
၎င်းသည် IP လိပ်စာကို စံသတ်မှတ်ချက်အဖြစ် အသုံးပြုသောကြောင့်၊ အခြား IP လိပ်စာဟောင်းတွင် ဖော်ပြထားသော ပရောက်စီ ARP လိုအပ်ချက်amples ကိုလည်း ဤနေရာတွင် အသုံးပြုနိုင်သည်။ ထို့အတွက်ကြောင့် Bridge domain subnet အတွင်းရှိ endpoints များအားလုံး သို့မဟုတ် bridge domain subnets အများအပြားသည် တူညီသော ESG နှင့် သက်ဆိုင်ပါက၊ Bridge domains များရှိ EPGs များအားလုံးနှင့် ကိုက်ညီရန် EPG selectors ကို အသုံးပြုရန် အကြံပြုအပ်ပါသည်။ သို့သော် EPGs နှင့် ESG တို့သည် ငှားရမ်းသူနှင့် ESG သည် အသုံးပြုသူနှင့် သက်ဆိုင်နေချိန်တွင် EPG များသည် သာမန်အိမ်ငှားနှင့် သက်ဆိုင်သည့်အခါကဲ့သို့သော EPGs နှင့် ESG တို့ကို မတူညီသောငှားရမ်းသူများနှင့် သက်ဆိုင်သည့်အခါ EPG ရွေးချယ်မှုများကို ပံ့ပိုးမပေးပါ။ ထိုသို့သောအခြေအနေမျိုးတွင်၊ သင်သည် IP subnet ရွေးချယ်မှုများကို ဆက်လက်အသုံးပြုနိုင်သေးသည်။
ဒီ exampသို့ဖြစ်ပါ၍၊ အဆုံးမှတ်များသည် VMM ပေါင်းစပ်ထားသော သို့မဟုတ် သတ္တုဗလာဖြစ်နေပါစေ၊ တံတားဒိုမိန်းခွဲတစ်ခုစီ၏ တစ်ဝက်ကို ESG တစ်ခုနှင့် အခြား ESG သို့ ခွဲခြားသတ်မှတ်ရန် IP subnet ရွေးကိရိယာများကို အသုံးပြုထားသည်။ VM အဆုံးမှတ်များအတွက်၊ ကြားခံ virtual switches များကြောင့်၊ port အုပ်စုများတွင် PVLAN လိုအပ်သည်။ ဒီ exampထို့ကြောင့်၊ VMM ပေါင်းစည်းမှုနှင့်အတူ "Allow Microsegmentation" option ကို အောင်မြင်စေရန်အတွက် အသုံးပြုပါသည်။ “Micro-Segmentation ကိုခွင့်ပြုပါ” သည် proxy ARP ကို သွယ်ဝိုက်၍ဖြစ်စေ ဖွင့်ပေးသည် ။

စာမျက်နှာ ၃ မှ ၃

ပုံ 37. ဒီဇိုင်း Example- IP Subnet ရွေးချယ်မှုများ
Example 10: ESG ကို အသုံးပြု၍ အက်ပလီကေးရှင်းတစ်ခု၏ ကွန်တိန်နာတစ်ခုဖြစ်သည်။ tag EPG ရွေးကိရိယာများကို အသုံးပြု၍ ပုံသေလုံခြုံရေးဇုန်ရှိ ရွေးချယ်သူများ အောက်ပါ ဟောင်းample သည် မတူညီသောရွေးချယ်မှုအမျိုးအစားများကို အတူတကွအသုံးပြုသည်-
VRF စံနမူနာတစ်ခုအတွက် လုံခြုံရေးဇုန်တစ်ခု (EPG ရွေးပေးသူများ) VRF စံနမူနာအတွက် ပုံသေလုံခြုံရေးဇုန်တစ်ခု Intra-ESG သီးခြားခွဲထားခြင်းဖြင့် ဖမ်းမိသောအုပ်စုတစ်ခုအနေဖြင့် ပုံမှန်အားဖြင့် မည်သည့် endpoints မျှ အချင်းချင်း ပြောဆိုနိုင်ခြင်းမရှိစေရပါ။
လျှောက်လွှာတစ်ခုစီအတွက် လုံခြုံရေးဇုန်တစ်ခု (tag VMM ပေါင်းစည်းမှုပါရှိသော ရွေးချယ်သူများ) - စာချုပ်များကို အသုံးပြု၍ တူညီသောအုပ်စုရှိ အခြားသူများ သို့မဟုတ် အခြားအုပ်စုနှင့် စကားပြောဆိုနိုင်ရန် မူရင်းလုံခြုံရေးဇုန်မှ အဆုံးမှတ်များကို ဆွဲထုတ်ရန်။
ဒါက ရည်းစားဟောင်းနဲ့ ညီမျှတယ်။ample Network Centric မှ Application Centric Migration Story- Pseudo Co. အခန်း။

စာမျက်နှာ ၃ မှ ၃

ပုံ 38. ဒီဇိုင်း Example- Tag အပလီကေးရှင်းတစ်ခုစီအတွက် ESG ရွေးချယ်မှုများနှင့် မူရင်းလုံခြုံရေးဇုန်အတွက် EPG ရွေးချယ်မှုများ
Example 11- EPG ရွေးချယ်မှုများ အသုံးပြု၍ သီးသန့် ESG ကို အသုံးပြု၍ လုံခြုံရေးဇုန်များစွာ tag ရွေးချယ်မှုများ။ အောက်ပါ example သည် မတူညီသောရွေးချယ်မှုအမျိုးအစားများကို အတူတကွအသုံးပြုသည်-
subnets/VLANs တစ်ခုစီအတွက် လုံခြုံရေးဇုန်တစ်ခု (EPG ရွေးပေးသူများ) EPGs မှကိုယ်စားပြုသော subnets သို့မဟုတ် VLANs အစုအဝေးတစ်ခုစီပါ၀င်သော အခြေခံလုံခြုံရေးဇုန်များအဖြစ် ဇုန်တစ်ခုစီရှိ အဆုံးမှတ်များ (ESG) သည် ပုံမှန်အားဖြင့် အချင်းချင်း စကားပြောနိုင်သည်။ စာချုပ်များကို အသုံးပြု၍ ဇုန်တစ်ခုစီတွင် ဆက်သွယ်ရေးကို အတိအလင်း ခွင့်ပြုထားသည်။
Quarantine လုံခြုံရေးဇုန် (Tag VMM ပေါင်းစပ်မှုပါရှိသော ရွေးချယ်သူများ) - ၎င်းတို့ကို သီးသန့်ခွဲထားရန် လုံခြုံရေးဇုန်တစ်ခုစီမှ အန္တရာယ်ရှိသော အဆုံးမှတ်များကို ဆွဲထုတ်ရန်။ ဇုန်အတွင်း အသွားအလာအားလုံးကို ပိတ်ဆို့ရန် သီးသန့်ဇုန်တစ်ခုအား အတွင်း-ESG သီးခြားခွဲထားခြင်းဖြင့် ပြင်ဆင်သတ်မှတ်ထားသည်။
၎င်းသည် တူညီသောရွေးချယ်မှုအတွဲ (EPG နှင့် Tag) Ex အနေဖြင့်ample 10: ESG မှတဆင့် လျှောက်လွှာတင်သည့်ကွန်တိန်နာအဖြစ် Tag EPG ရွေးချယ်မှုများမှတစ်ဆင့် ပုံသေလုံခြုံရေးဇုန်ရှိသော ရွေးချယ်သူများ၊ သို့သော် ဆန့်ကျင်ဘက်ဖြစ်သည်။ ဒီ example၊ မူရင်းအားဖြင့်၊ အဆုံးမှတ်များသည် ကွန်ရက်ဖြန့်ဝေမှု (subnets/VLANs) ပေါ်မူတည်၍ သင့်လျော်သော လုံခြုံရေးဆက်တင်များဖြင့် သက်ဆိုင်ရာ လုံခြုံရေးဇုန် (ESG) နှင့် သက်ဆိုင်ပါသည်။ tags အချို့သော endpoints များမှ ဆက်သွယ်မှုများကို ခွင့်ပြုထားသော လုံခြုံရေးမူဝါဒများကို ရုပ်သိမ်းရန် အသုံးပြုသည်။

စာမျက်နှာ ၃ မှ ၃

ပုံ 39။ လုံခြုံရေးဇုန်များစွာသည် EPG ရွေးချယ်မှုများဖြင့် သီးခြား ESG ကို အသုံးပြုထားသည်။ tag ရွေးချယ်မှုများ။
Example 12- ESG with Layer 2 multicast with ESG အတွင်း endpoint ဆက်သွယ်မှုအတွက် Layer 2 multicast လိုအပ်သောအခါ၊ ထိုရွေးချယ်မှုများသည် ရေလွှမ်းမိုးမှုနှင့် Layer 2 multicast အသွားအလာများကို ပိတ်ဆို့ထားသောကြောင့် အောက်တွင်ပြထားသည့် configuration options များသည် လိုအပ်ချက်များနှင့် အနှောင့်အယှက်ဖြစ်စေပါသည်။
Intra-EPG သီးခြားခွဲထုတ်ခြင်း Intra-EPG စာချုပ်သည် VMM ဒိုမိန်းတစ်ခုဖြင့် “အသေးစားခွဲခွဲခြင်းကို ခွင့်ပြုပါ” မှတ်ချက်- Intra-EPG သီးခြားခွဲထားခြင်း/စာချုပ်သည် ရေလွှမ်းမိုးခြင်းနှင့် ဤဆက်တင်များပါရှိသော EPGs များနှင့် EPGs အတွင်း အလွှာ 2 အကြား အသွားအလာများပြားသည်။ သို့သော်လည်း၊ "Allow Micro-Segmentation" ဖြင့် သက်ရောက်မှု၏အတိုင်းအတာမှာ EPG တစ်ခုလုံးအစား VLAN များဖြစ်သည်။
ဆိုလိုသည်မှာ ဤဖွဲ့စည်းပုံများ လိုအပ်သည့် ရွေးချယ်သူများကို ထိုသို့သောအခြေအနေမျိုးတွင် အသုံးမပြုနိုင်ပါ။
Layer 2 multicast အတွက် သုံးနိုင်သော ရွေးချယ်မှုများ၊ တစ်နည်းအားဖြင့် အထက်ဖော်ပြပါ ပုံစံသတ်မှတ်ချက်များ မလိုအပ်သော ရွေးချယ်မှုများမှာ-

စာမျက်နှာ ၃ မှ ၃

EPG ရွေးချယ်မှုများ Tag MAC လိပ်စာများပါရှိသော ရွေးချယ်သူရွေးချယ်သူ တစ်ဦးစီ၏ အသေးစိတ်အချက်အလက်များကို အောက်တွင် ရှင်းပြထားပါသည်။
EPG Selectors ဤရွေးချယ်မှုများသည် Layer 2 multicast forwarding ကို အနှောင့်အယှက်ဖြစ်စေသော အထက်ဖော်ပြပါ ဖွဲ့စည်းမှုပုံစံရွေးချယ်စရာများထဲမှ မလိုအပ်ပါ။
Ex ကိုကိုးကားပါ။ample 1 သို့မဟုတ် Example ၂။
Tag MAC Address ပါသော ရွေးချယ်သူများ ဤရွေးချယ်သူများသည် PVLAN တစ်ခုမလိုအပ်သောအခါ Layer 2 multicast ၏လိုအပ်ချက်ကို ဖြည့်ဆည်းပေးနိုင်ပါသည်။ အရွက်ခလုတ်နှင့် အဆုံးမှတ်ကြားတွင် ကြားခံခလုတ်များမရှိသည့်အခါ ဆိုလိုသည်။
Ex ကိုကိုးကားပါ။ample 6- Tag MAC လိပ်စာမှတဆင့် ဗလာသတ္တု အဆုံးမှတ်များအတွက် ရွေးချယ်မှုများ။
Tag VM ပါသော ရွေးချယ်မှုများ Tags သို့မဟုတ် VM အမည်များသည် VMM ဒိုမိန်းဖြင့် “Micro-Segmentation ကိုခွင့်ပြုရန်” လိုအပ်သောကြောင့် ဤရွေးချယ်မှုများကို အသုံးမပြုနိုင်ပါ။
IP Subnet Selectors များ သို့မဟုတ် IP အခြေခံ ရွေးချယ်မှုများ Tag IP လိပ်စာပါသော ရွေးချယ်သူများကို EPG တွင် ပရောက်စီ ARP လိုအပ်သောကြောင့် ၎င်းတို့ကို အသုံးပြု၍မရပါ၊ ၎င်းတို့သည် intraEPG သီးခြားခွဲထုတ်ခြင်း၊ intra-EPG စာချုပ်များ သို့မဟုတ် VMM ဒိုမိန်းဖြင့် "အသေးစားခွဲဝေခြင်းကို ခွင့်ပြုသည်" ကို အသုံးပြု၍ ပြင်ဆင်သတ်မှတ်ထားသောကြောင့် ၎င်းတို့ကို အသုံးမပြုနိုင်ပါ။
Example 13- EPG Selectors များနှင့် VMM Domain မပါသော IP-based Selectors များသည် အောက်ပါ ex တွင်ပြထားသည့်အတိုင်း၊ampရွေးချယ်သူများအတွက် စံသတ်မှတ်ချက်များအဖြစ် IP လိပ်စာများကို အသုံးပြုသည့်အခါ ပရောက်စီ ARP လိုအပ်သည်-
Example 5- Tag IP လိပ်စာ Ex မှတစ်ဆင့် VM အဆုံးမှတ်များအတွက် VMM ပေါင်းစည်းခြင်းမရှိဘဲ ရွေးချယ်သူများample 7- Tag IP လိပ်စာ Ex မှတစ်ဆင့် သတ္တုမပါသော အဆုံးမှတ်များအတွက် ရွေးချယ်မှုများample 9: IP Subnet Selectors များသည် proxy ARP ကိုဖွင့်ရန်၊ ဥပမာample 5 တွင် အောက်ပါရွေးချယ်စရာများကို ဖော်ပြထားပါသည်။
Intra-EPG သီးခြားခွဲထုတ်ခြင်းကို ဖွင့်ပါ၊ ထို့နောက် proxy ARP အတွင်း-EPG စာချုပ်ကို စီစဉ်သတ်မှတ်ခြင်းကို ဖွင့်ပါ၊ ထို့နောက် ပရောက်စီ ARP ကို သွယ်ဝိုက်သောနည်းဖြင့် ဖွင့်ထားသည် မှတ်ချက်- အထက်တွင် ရွေးချယ်စရာ နှစ်ခုအပြင် VMM ပေါင်းစည်းမှုအတွက် "Micro-Segmentation ကိုခွင့်ပြုပါ" သည် ထည့်သွင်းထားသော VLAN များအတွက် ပရောက်စီ ARP ကို အဓိပ္ပာယ်ဖွင့်ဆိုပေးသည် VMM ပေါင်းစည်းမှုအတွက်။ ထိုသို့သော အခြေအနေမျိုးတွင် ဤ ex တွင် အောက်တွင်ဖော်ပြထားသော ထည့်သွင်းစဉ်းစားမှုample သည် မသက်ဆိုင်ပါ။

EPG များကို ESG တစ်ခုနှင့် ကိုက်ညီသောအခါတွင် EPG များကို EPG တစ်ခုစီနှင့် ကိုက်ညီသောအခါတွင်၊ ဤနှစ်ခုအပါအဝင် လုံခြုံရေးဖွဲ့စည်းပုံအားလုံးကို EPG တစ်ခုချင်းစီအစား ESG ကို အသုံးပြု၍ လုပ်ဆောင်ရမည်ဖြစ်ပြီး ဤရွေးချယ်စရာနှစ်ခုနှင့် ထည့်သွင်းစဉ်းစားရမည်ဖြစ်သည်။ ဤအရာသည် ESG ၏ ဒဿနမှ ထွက်လာသည်- decouple network နှင့် security သည် configuration နှင့် design ကို နားလည်ရန်နှင့် ထိန်းသိမ်းရန် လွယ်ကူစေသည်။ ပြဿနာမှာ ESG တွင် intra-ESG သီးခြားခွဲထုတ်ခြင်းကို ဖွင့်ထားသောအခါ၊ အသုံးပြုသူများသည် ကိုက်ညီသော EPG များအောက်တွင် proxy ARP ကိုဖွင့်နိုင်သော်လည်း ESG အတွင်းရှိ အသွားအလာအားလုံးကို ပိတ်ဆို့ထားသည်။ တစ်ဖက်တွင်၊ ESG တွင် ESG အချင်းချင်း အပြန်အလှန် စာချုပ်များသည် ESG တစ်ခုတည်းအတွင်း လမ်းကြောင်းဆိုင်ရာ စာချုပ်စည်းမျဉ်းများကို ပြဋ္ဌာန်းထားသော်လည်း proxy ARP သည် intra-EPG စာချုပ်နှင့်မတူဘဲ ဘောင်အောက်တွင် ဖွင့်မထားပေ။
ဤပြဿနာများကို ကျော်လွှားနိုင်ရန်၊ EPG ရွေးချယ်မှုများနှင့် IP-အခြေခံရွေးချယ်မှုတို့ကို တစ်ပြိုင်နက်အသုံးပြုသောအခါတွင် အောက်ပါဖွဲ့စည်းပုံရွေးချယ်စရာများကို အသုံးပြုသင့်သည်။
1. EPG များပေါ်တွင် Intra-EPG သီးခြားခွဲထုတ်ခြင်းနှင့် proxy ARP ကိုဖွင့်ပါ။
2. ESG တွင် အတွင်း-ESG သီးခြားခွဲထုတ်ခြင်းကို ဖွင့်ပါ။

စာမျက်နှာ ၃ မှ ၃

a ၎င်းသည် အဆင့် 1 ရှိ EPG ဖွဲ့စည်းမှုပုံစံကို အဆင့် 4 တွင် ESG မှ လွှမ်းမိုးမည်မဟုတ်ကြောင်း သေချာစေသည်။ 3. ESG ပေါ်ရှိ ပုံသေစစ်ထုတ်မှုကဲ့သို့သော ခွင့်ပြုချက်အားလုံးနှင့် အပြန်အလှန် ESG စာချုပ်ကို ဖွင့်ပါ။
a ၎င်းသည် အဆင့် 2 ဖြင့် ပိတ်ဆို့ထားသည့် ESG အတွင်း ပွင့်လင်းသော ဆက်သွယ်မှုကို ခွင့်ပြုသည်။ 4. EPG ရွေးချယ်မှုများကို အသုံးပြု၍ EPG နှင့် ESG နှင့် တွဲပါ။ အောက်ပါပုံသည် ဤရည်းစားဟောင်းကို သရုပ်ဖော်သည်။ampဤ configuration options များနှင့်အတူ le-

ပုံ 40။ EPG ရွေးချယ်မှုများနှင့် IP အခြေပြု ရွေးချယ်ကိရိယာများကို တစ်ပြိုင်နက်အသုံးပြုသောအခါ ထည့်သွင်းစဉ်းစားမှုများ
နောက်ဆက်တွဲ- Cisco ACI Tenant Design ExampESGs ကိုအသုံးပြုခြင်း။
ဤနောက်ဆက်တွဲတွင် Cisco ACI အစိတ်အပိုင်းများ (VRF instance/bridge domain/EPG/ESG) ကို ပေးထားသည့် VRF စံနမူနာအတွက် ငှားရမ်းသူများအတွက် ဖြန့်ဝေရန် ရွေးချယ်စရာများကို ရှင်းပြထားသည်။ ESG များကို လုံခြုံရေးအတွက် အသုံးပြုသည့်အခါတွင် အဓိကအာရုံစိုက်ထားသော်လည်း သဘောတရားအများစုသည် ESG များ မည်သို့ပင်ဖြစ်စေ သက်ဆိုင်ပါသည်။
အောက်ပါဇယားသည် Cisco ACI အိမ်ငှားဒီဇိုင်းဟောင်းကို အကျဉ်းချုပ်ဖော်ပြထားသည်။ampဤအပိုင်းတွင် les ။ အောက်ပါ အပိုင်းခွဲများသည် ex တစ်ခုစီကို ရှင်းပြပါသည်။ampအသေးစိတ်ပြောပါ။

ဇယား ၁။

Cisco ACI ငှားရမ်းသူ ဒီဇိုင်းထွamples

အမျိုးအစား

Examples

အိမ်ငှားဒီဇိုင်း

Network နှင့် Example 1- အားလုံးသည် အသုံးပြုသူအိမ်ငှားထဲတွင် ရှိနေသည်။

လုံခြုံရေး

Example 2- VRF ဥပမာ/တံတား

ဖြန့်ဖြူးရေး ဒိုမိန်းများ/EPGs (VLANs) များသည် အိမ်ငှားထဲတွင် ရှိနေသည်။

ESGs များသည် အသုံးပြုသူငှားရမ်းသူများတွင် ရှိနေစဉ် အိမ်ငှားသူများတွင် အဖြစ်များသည်။

VRF ဥပမာ၊ တံတားဒိုမိန်းများ၊ EPG နှင့် ESG များသည် အသုံးပြုသူငှားရမ်းသူတွင် ရှိနေသည်။
ကွန်ရက်နှင့် လုံခြုံရေးကြား တင်းကျပ်စွာ ခွဲခြားထားသည်။ ကွန်ရက်အားလုံး - VRF ဥပမာ၊ တံတားဒိုမိန်းများနှင့် EPGs (VLANs) များသည် ငှားရမ်းသူ၏ ဘုံလုံခြုံရေးတွင် ရှိသည် - ESGs များသည် အသုံးပြုသူငှားရမ်းသူများတွင် ရှိပါသည်။

Example 3- VRF instance/bridge domains များ network နှင့် security အကြား ခွဲခြားမှု လျော့ရဲရဲ.

EPGs များနေချိန်တွင် အိမ်ငှားအဖြစ်များပါသည်။

အခြေခံကွန်ရက် - VRF ဥပမာတစ်ခု၊ တံတားဒိုမိန်းများသည် အိမ်ငှားအဖြစ်များသည်။

(VLANs) နှင့် ESG များသည် အသုံးပြုသူငှားရမ်းသူများတွင် EPGs (VLANs) နှင့် ESGs (လုံခြုံရေး) များသည် အသုံးပြုသူငှားရမ်းသူများတွင် ရှိသည်

မျှဝေခဲ့သည်။

Example 4- မျှဝေထားသော ဝန်ဆောင်မှုများသည် အိမ်ငှားတွင် တူညီသော VRF စံနမူနာဖြစ်သည့်အခါ ၎င်းတွင် အကျုံးဝင်ပါသည်။

ဝန်ဆောင်မှုများ

တူညီသော VRF စံနမူနာကို အသုံးပြုသူ ငှားရမ်းသူအများအပြားတွင် မျှဝေသုံးစွဲလေ့ရှိသည့် အိမ်ငှားထံမှ တူညီသည်။

အခန်းငှားခ

VRF စံနမူနာနှင့် တံတားဒိုမိန်းများသည် ဘုံအိမ်ငှားဖြစ်သည်။

စာမျက်နှာ ၃ မှ ၃

Example 5- မျှဝေထားသောဝန်ဆောင်မှုများသည် မတူညီသော VRF ဥပမာတစ်ခုတွင်ရှိသည်။

EPG နှင့် ESG များသည် အသုံးပြုသူငှားရမ်းသူ ၂ တွင်ရှိသည်။
အိမ်ငှားများတစ်လျှောက် ကွန်ရက်နှင့် လုံခြုံရေး ဖြန့်ဝေမှုများ မည်သို့ပင်ရှိစေကာမူ၊ ၎င်း၏ကိုယ်ပိုင်သီးသန့် VRF စံနမူနာတွင် မျှဝေထားသော ဝန်ဆောင်မှုများကို အသုံးချပြီး ဆက်သွယ်မှုပေးနိုင်ရန် ပေါက်ကြားနေသည့် တိကျပြတ်သားသော VRF ဥပမာလမ်းကြောင်းကို စီစဉ်သတ်မှတ်ပါ။ VRF ဥပမာတစ်ခု၊ တံတားဒိုမိန်းများ၊ EPG နှင့် ESG များသည် အသုံးပြုသူငှားရမ်းသူ1 တွင်ရှိပြီး A VRF instance နှင့် L3Out သည် အသုံးပြုသူငှားရမ်းသူ2 တွင်ရှိသည်

အောက်ပါဇယားသည် အိမ်ငှားဒီဇိုင်းရွေးချယ်မှုတစ်ခုစီအတွက် ပံ့ပိုးပေးထားသော ESG ရွေးချယ်မှုများကို အကျဉ်းချုပ်ဖော်ပြသည်-

ဇယား 5. Cisco ACI အိမ်ငှား ဒီဇိုင်းရွေးချယ်မှုများနှင့် ပံ့ပိုးပေးထားသော ESG ရွေးချယ်မှုများ

VRF

Bridge Domain EPG

ESG

ပံ့ပိုးထားသော ရွေးချယ်မှုများ

အိမ်ငှားဘုံ Tenant common Tenant common Tenant common Tag ရွေးချယ်မှု (Ep MAC) Tag ရွေးချယ်မှု (Ep IP) Tag ရွေးချယ်သူ (BD Subnet) Tag ရွေးချယ်သူ (တည်ငြိမ်သော အဆုံးမှတ်) Tag ရွေးချယ်မှု (VM အမည်) Tag ရွေးချယ်မှု (VM Tag) IP Subnet Selector EPG Selector

အိမ်ငှားဘုံ Tenant common Tenant common User Tenant

Tag ရွေးချယ်မှု (Ep MAC) ၁ Tag ရွေးချယ်မှု (Ep IP)1 IP လိုင်းခွဲရွေးချယ်မှု

အိမ်ငှားတတ်တဲ့ Tenant ဘုံ User Tenant

အသုံးပြုသူ အိမ်ငှား

Tag ရွေးချယ်မှု (Ep MAC) Tag ရွေးချယ်မှု (Ep IP) Tag ရွေးချယ်သူ (တည်ငြိမ်သော အဆုံးမှတ်) Tag ရွေးချယ်မှု (VM အမည်) Tag ရွေးချယ်မှု (VM Tag) IP Subnet Selector EPG Selector

အိမ်ငှား အသုံးများသော User Tenant User Tenant User Tenant

User Tenant User Tenant

Tag ရွေးချယ်မှု (Ep MAC) Tag ရွေးချယ်မှု (Ep IP) Tag ရွေးချယ်သူ (BD Subnet) Tag ရွေးချယ်သူ (တည်ငြိမ်သော အဆုံးမှတ်) Tag ရွေးချယ်မှု (VM အမည်) Tag ရွေးချယ်မှု (VM Tag) IP Subnet Selector EPG Selector
Tag ရွေးချယ်မှု (Ep MAC) Tag ရွေးချယ်မှု (Ep IP) Tag ရွေးချယ်သူ (BD Subnet) Tag ရွေးချယ်သူ (တည်ငြိမ်သော အဆုံးမှတ်) Tag ရွေးချယ်မှု (VM အမည်) Tag ရွေးချယ်မှု (VM Tag) IP Subnet Selector EPG Selector

အောက်ခြေမှတ်ချက် 1- မူဝါဒ Tags အသုံးပြုသူအိမ်ငှားတွင် တံတားဒိုမိန်း သို့မဟုတ် VRF ဥပမာ၏အမည်ကို သတ်မှတ်ခြင်းဖြင့် အိမ်ငှားဘုံတွင် MAC သို့မဟုတ် IP လိပ်စာကို သတ်မှတ်ပေးနိုင်သည်။ သို့ရာတွင်၊ အသုံးပြုသူတွင် အမည်တူသော တံတားဒိုမိန်း သို့မဟုတ် VRF စံနမူနာတစ်ခု ရှိပါက၊ မူဝါဒ tag အသုံးပြုသူငှားရမ်းသူရှိ တံတားဒိုမိန်း သို့မဟုတ် VRF စံနမူနာရှိ MAC သို့မဟုတ် IP လိပ်စာသို့ တာဝန်ပေးအပ်သည်။

စာမျက်နှာ ၃ မှ ၃

Example 1- အသုံးပြုသူ ငှားရမ်းသူတွင် အားလုံးပါဝင်သည်။
ဒီ example သည် အရာဝတ္ထုများအားလုံးကို VRF သာဓကတစ်ခု၊ တံတားဒိုမိန်းများ၊ EPG နှင့် ESG များသည် အသုံးပြုသူငှားရမ်းသူတွင် ရှိနေသည့် အသုံးအများဆုံးအသုံးပြုမှုကိစ္စများထဲမှတစ်ခုဖြစ်သည်။ ESGs များအကြား စာချုပ်များသည် တူညီသောအသုံးပြုသူငှားရမ်းခြင်းတွင်ရှိသည်။
ပုံ 41။ အတွင်းအိမ်ငှားခြင်း ဒီဇိုင်းယုတ္တိပုံဇယား (VRF ဥပမာတစ်ခု၊ တံတားဒိုမိန်းများ၊ EPG နှင့် ESG များသည် အသုံးပြုသူငှားရမ်းသူတွင်ရှိသည်)
Example 2- အသုံးပြုသူအိမ်ငှားများတွင် ESG များရှိနေသော်လည်း အိမ်ငှားဘုံတွင် VRF ဥပမာ/တံတားဒိုမိန်းများ/EPGs (VLANs)
ဒီ example တွင် အသုံးပြုသူငှားရမ်းသူတွင် ESG များ ရှိပြီး VRF ဥပမာ၊ တံတားဒိုမိန်းများနှင့် EPG များသည် ဘုံအိမ်ငှားများတွင်ဖြစ်သည်။ ESGs များအကြား စာချုပ်များကို တူညီသောအသုံးပြုသူငှားရမ်းသူတွင် သတ်မှတ်ထားပါသည်။ ဤ ex တွင် EPG ရွေးချယ်မှုအား အသုံးမပြုနိုင်ပါ။ampအဘယ်ကြောင့်ဆိုသော် EPG များသည် EPG ရွေးချယ်မှုအတွက် ESG အတွက် ESG နှင့် တူညီသော အိမ်ငှားနှင့် သက်ဆိုင်သောကြောင့်ဖြစ်သည်။

စာမျက်နှာ ၃ မှ ၃

ပုံ 42။ အတွင်းအိမ်ငှားခြင်း ဒီဇိုင်း ယုတ္တိပုံသေပုံ (VRF ဥပမာတစ်ခု၊ တံတားဒိုမိန်းများနှင့် EPG များသည် အများအားဖြင့် အိမ်ငှားတွင်ရှိသည်)
Example 3- VRF စံနမူနာ/တံတားဒိုမိန်းများသည် EPGs (VLANs) နှင့် ESGs များသည် အသုံးပြုသူငှားရမ်းသူများတွင် ရှိနေသော်လည်း အိမ်ငှားများတွင် အဖြစ်များပါသည်။
ဒီ example တွင် အသုံးပြုသူငှားရမ်းသူတွင် EPG နှင့် ESG များ ရှိပြီး VRF စံနမူနာနှင့် တံတားဒိုမိန်းများသည် ဘုံအိမ်ငှားတွင်ဖြစ်သည်။ ESGs များအကြား စာချုပ်များကို တူညီသောအသုံးပြုသူငှားရမ်းသူတွင် သတ်မှတ်ထားပါသည်။

ပုံ 43။ အတွင်းအိမ်ငှားခြင်း ဒီဇိုင်း ယုတ္တိပုံသေပုံ (VRF စံနမူနာနှင့် တံတားဒိုမိန်းများသည် ဘုံအိမ်ငှားတွင်ရှိသည်)
Example 4- အိမ်ငှားဘုံမှ တူညီသော VRF ဥပမာတွင် မျှဝေထားသော ဝန်ဆောင်မှုများ
ဒီ example တွင် အသုံးပြုသူအိမ်ငှားတစ်ဦးစီတွင် EPG နှင့် ESG များ ရှိပြီး VRF စံနမူနာနှင့် တံတားဒိုမိန်းများသည် အများအားဖြင့် အိမ်ငှားများတွင်ဖြစ်သည်။ ဒါပေမဲ့ example သည် ငှားရမ်းသူအချင်းချင်း စာချုပ်ကို အသုံးပြုသည်။ample သည် ဘုံအိမ်ငှားတွင် VRF စံနမူနာကို အသုံးပြုခြင်းဖြင့် အပြန်အလှန် VRF သာဓက ဆက်သွယ်မှုကို ခွင့်ပြုဆဲဖြစ်သည်။ ထို့ကြောင့် ပေါက်ကြားနေသောလမ်းကြောင်းကို ပြင်ဆင်ရန် မလိုအပ်ပါ။ ESGs များကြားတွင် အိမ်ငှားအချင်းချင်း အပြန်အလှန် VRF စံနမူနာစာချုပ်များကို အများအားဖြင့် သို့မဟုတ် ဝန်ဆောင်မှုပေးသူငှားရမ်းသူအတွက် သတ်မှတ်ရပါမည်။ စာချုပ်ကို ပံ့ပိုးသူအိမ်ငှားတွင် သတ်မှတ်ထားပါက၊ စာချုပ်ကို စားသုံးသူအိမ်ငှားထံ တင်ပို့ရမည် (ပုံ ၄၅)။

စာမျက်နှာ ၃ မှ ၃

ပုံ 44။ ငှားရမ်းသူအချင်းချင်း ESG စာချုပ်သည် ဘုံအိမ်ငှားတွင် ကွန်ရက်တည်ဆောက်မှုများဖြင့် စာချုပ်ပါ (စာချုပ်သည် ဘုံအိမ်ငှားအတွက်ဖြစ်သည်)

ပုံ 45။ ငှားရမ်းသူအချင်းချင်း ESG စာချုပ်သည် ဘုံအိမ်ငှားတွင် ကွန်ရက်တည်ဆောက်မှုများဖြင့် (စာချုပ်သည် ဝန်ဆောင်မှုပေးသူတွင်ရှိပြီး)
Example 5 မတူညီသော VRF ဥပမာတွင် မျှဝေထားသော ဝန်ဆောင်မှုများ
ဒီ example တွင် L3Out သည် အိမ်ငှားဘုံတွင် ရှိသည် သို့မဟုတ် VRF ဥပမာ၊ တံတားဒိုမိန်းများ၊ EPGs နှင့် ESG များပါရှိသော အခြားအသုံးပြုသူငှားရမ်းသူနှင့် အပြန်အလှန်ငှားရမ်းသူအချင်းချင်း VRF စံနမူနာစာချုပ်ပါရှိသော အသုံးပြုသူငှားရမ်းသူ။ L3Out ပြင်ပ EPG နှင့် ESG များအကြား အိမ်ငှားအချင်းချင်း interVRF စံနမူနာစာချုပ်များကို အများအားဖြင့် သို့မဟုတ် ဝန်ဆောင်မှုပေးသူငှားရမ်းသူတွင် သတ်မှတ်ရန် လိုအပ်သည်။ စာချုပ်ကို ပံ့ပိုးသူအိမ်ငှားတွင် သတ်မှတ်ထားပါက၊ စာချုပ်ကို စားသုံးသူအိမ်ငှားထံ တင်ပို့ရမည် (ပုံ 47)။

စာမျက်နှာ ၃ မှ ၃

ပုံ 46။ ငှားရမ်းသူအချင်းချင်း ESG စာချုပ်သည် ဘုံအိမ်ငှားတွင် မျှဝေထားသော L3Out နှင့် (စာချုပ်သည် ဘုံအိမ်ငှားအတွက်ဖြစ်သည်)

ပုံ 47။ ငှားရမ်းသူအချင်းချင်း ESG စာချုပ်သည် အခြားအသုံးပြုသူအိမ်ငှားတွင် မျှဝေထားသော L3Out နှင့် (စာချုပ်သည် ဝန်ဆောင်မှုပေးသူတွင်ရှိသည်)
Inter-VRF instance လမ်းကြောင်းပေါက်ကြားမှုသည် ဤဟောင်းအတွက် လိုအပ်ပါသည်။ampလဲ့ တည်နေရာမှာ Tenant > Networking > VRFs > VRF_name > Inter-VRF Leaked Routes တွင် ESG ဖြစ်သည်။

စာမျက်နှာ ၃ မှ ၃

ပုံ 48။ Inter-VRF instance လမ်းကြောင်း ပေါက်ကြားမှု ဖွဲ့စည်းမှုပုံစံ (tn-demo/vrf-01 မှ tn-shared-services/vrf-01)

ပုံ 49။ Inter-VRF instance route-leak configuration (tn-shared-services/vrf-01 မှ tn-demo/vrf-01 မှ)
အမြဲမေးလေ့ရှိသောမေးခွန်းများ
ဤကဏ္ဍတွင် မကြာခဏမေးလေ့ရှိသောမေးခွန်းများ ပါဝင်ပါသည်။
မေး။ ဆာဗာများနှင့် Cisco ACI အရွက်များကြားတွင် ကြားခံခလုတ်များ ရှိနေပါက အဘယ်နည်း။ A. “Example 8- Tag ကြားခံခလုတ်များ ကဏ္ဍပါရှိသော ရွေးချယ်သူများ။"
မေး။ ESG နှင့် EPG များအကြား စာချုပ်များကို ပြင်ဆင်သတ်မှတ်နိုင်ပါသလား။ A. ESGs ကိုအသုံးပြုသည့်အခါ လုံခြုံရေးအားလုံးကို ESGs တွင် ကိုင်တွယ်သင့်ပြီး EPG များကို ကွန်ရက်အတွက်သာ အသုံးပြုသင့်ပါသည်။
VLAN ကဲ့သို့သော တည်ဆောက်မှုများ။ EPGs များကို ESGs သို့ ပြောင်းရွှေ့သောအခါ၊ EPG ရွေးချယ်မှုများကို အသုံးပြုနိုင်ပါသည်။ EPG ရွေးချယ်မှုများသည် သင့်အား ကိုက်ညီသော EPGs များမှ ESG သို့ စာချုပ်များကို အမွေဆက်ခံနိုင်စေသည်၊ ထိုသို့သော ပြောင်းရွှေ့မှုအဆင့်တွင် ကိုက်ညီသော EPG များနှင့် ESG သို့ ရွှေ့ပြောင်းခြင်းမရှိသေးသော အခြား EPG များအကြား ဆက်သွယ်ရေးကို ရွှေ့ပြောင်းခြင်းအဆင့်တွင် ခွင့်ပြုထားသည်။ ESGs နှင့် စာချုပ်များ၏ အသေးစိတ်အချက်အလက်များအတွက် အောက်ပါစာရွက်စာတမ်းများကို ကိုးကားပါ။
Cisco APIC Security Configuration Guide ရှိ Cisco APIC Security Configuration Guide ရှိ "Endpoint Security Groups > ESG Migration Strategy"
မေး။ ESG ရွေးချယ်သူများအတွက် အနိမ့်ဆုံး Cisco APIC ဗားရှင်းသတ်မှတ်ချက်တွေက ဘာတွေလဲ။ A. ဤစာတမ်းတွင်ပါရှိသော ESG ရွေးချယ်မှုများကို အောက်ပါထုတ်ဝေမှုများတွင် စတင်အသုံးပြုနိုင်သည်-
EPG Selector Cisco APIC ထွက်ရှိမှု 5.2(1) Tag ရွေးချယ်သူ – Cisco APIC ထုတ်ဝေမှု 5.2(1)

စာမျက်နှာ ၃ မှ ၃

IP Subnet Selector – Cisco APIC ထုတ်ဝေမှု 5.0(1) Cisco APIC Security Configuration Guide တွင်လည်း “Endpoint Security Groups > Selectors” ကို ကြည့်ပါ။
Q. ESG ၏ အတိုင်းအတာသည် အဘယ်နည်း။ A. Cisco APIC အတွက် အတည်ပြုထားသော အတိုင်းအတာလမ်းညွှန်ရှိ Endpoint Security Groups (ESG) ကဏ္ဍကို ကိုးကားပါ။
မေး။ ESG များသည် EPG များနှင့် နှိုင်းယှဉ်ပါက TCAM အရင်းအမြစ်အသုံးချမှုကို မည်သို့ကူညီပေးသနည်း။ A. EPGs သို့မဟုတ် ESGs များနှင့် စာချုပ်များဖြင့် သုံးစွဲသည့် ခလုတ်များရှိ TCAM အရင်းအမြစ်များ ပမာဏသည် တူညီသည်
EPGs/ESG အရေအတွက်နှင့် စာချုပ်များသည် တူညီသောအခါ။ သို့သော်လည်း ESG များသည် သင့်အား EPG အများအပြားကို ESG တစ်ခုသို့ ပေါင်းစည်းပြီး EPG အများအပြားအစား ESG တစ်ခုတည်းမှ စာချုပ်များကို စားသုံးခြင်း/ ပေးဆောင်ခြင်းကဲ့သို့သော လုံခြုံရေးအုပ်စုများကို ဖန်တီးရန် ပိုမိုပြောင်းလွယ်ပြင်လွယ်ရွေးချယ်စရာများ ပေးပါသည်။ ရလဒ်အနေဖြင့် ESGs ကိုအသုံးပြုခြင်းဖြင့် switches များပေါ်တွင် TCAM ရင်းမြစ်များ၏အသုံးပြုမှုကို အကောင်းဆုံးဖြစ်အောင် ကူညီပေးနိုင်ပါသည်။
မေး။ ESG ရွေးချယ်မှု ရှေ့တန်းကဘာလဲ။ A. အောက်ပါဇယားများသည် ဦးစားပေးများကို စာရင်းပြုစုထားသည်။ ၎င်းကို “Endpoint Security Groups > Precedence of
Cisco APIC Security Configuration Guide တွင် ရွေးချယ်သူများ။

ဇယား ၁။

ပြောင်းလမ်းကြောင်းအတွက် ရှေ့တန်း

ရှေ့တန်း ၁
၇၁၄၀၅ ၀.၀၃၅

ရွေးချယ်သူ Tag ရွေးချယ်မှု (အဆုံးမှတ် MAC Tag) Tag ရွေးချယ်သူ (တည်ငြိမ်သော အဆုံးမှတ်) Tag ရွေးချယ်သူ (VMM Endpoint MAC Tag) EPG Selector

ဇယား ၁။

လမ်းကြောင်းလမ်းကြောင်းအတွက် ဦးစားပေး

ရှေ့တန်း

ရွေးချယ်သူ

Tag ရွေးချယ်သူ (အဆုံးမှတ် IP Tag)

IP Subnet Selector (အိမ်ရှင် IP)

Tag ရွေးချယ်သူ (BD ကွန်ရက်ခွဲ)

IP Subnet Selector (subnet)

Tag ရွေးချယ်မှု (အဆုံးမှတ် MAC Tag)

Tag ရွေးချယ်သူ (တည်ငြိမ်သော အဆုံးမှတ်)

Tag ရွေးချယ်သူ (VMM Endpoint MAC Tag)

EPG ရွေးချယ်မှု

မေး။ ဖတ်ရန်သပ်သပ်နှင့် VMM ဒိုမိန်းများကို ဖတ်ရန်/ရေးခြင်းကြား ကွာခြားချက်မှာ အဘယ်နည်း။ A. VMware vCenter VMM ဒိုမိန်းတွင် အောက်ပါပေါင်းစပ်ရွေးချယ်စရာများ ရှိသည်-

VMM ဒိုမိန်း (မူလရွေးချယ်စရာ) တွင် ကွန်ရက်စီမံခန့်ခွဲသူက EPG တစ်ခုကို VMM ဒိုမိန်းသို့ ရိုးရိုးမြေပုံဆွဲသည်။ ကွန်ရက်ထိန်းချုပ်သူ (Cisco APIC) သည် VLAN pool တစ်ခုမှ အသုံးမပြုသော VLAN တစ်ခုကို ရွေးချယ်ကာ VLAN ကို လက်ခံသည့် ပို့တ်များအားလုံးကို ထည့်သွင်းကာ VMware vDS ရှိ ဆိပ်ကမ်းအုပ်စုကို EPG အမည်နှင့် VMware vCenter ၏ အများသူငှာ API မှတစ်ဆင့် VMware vCenter မှ မှန်ကန်သော VLAN ID ဖြင့် ဆိပ်ကမ်းအုပ်စုကို သတ်မှတ်ပေးသည်။ Ansible/Terraform ကဲ့သို့ပင်။ ဤချဉ်းကပ်မှုသည် ရုပ်ပိုင်းဆိုင်ရာကွန်ရက်နှင့် vDS အကြား VLAN မကိုက်ညီမှုအန္တရာယ်ကို လျော့ပါးစေသည်။ ESG tag VM ပါသော ရွေးချယ်မှုများ tags သို့မဟုတ် VMware vCenter မှ VM အမည်များကို ဤမုဒ်တွင်သာ အသုံးပြုနိုင်ပါသည်။
ဖတ်ရန်-သီးသန့် VMM ဒိုမိန်းတွင် Cisco APIC ရှိ ကွန်ဖရင့်ဖွဲ့စည်းပုံသည် VMware vCenter ရှိ ကွန်ရက်စီမံခန့်ခွဲသူကို Cisco APIC ပေါ်ရှိ ဆိပ်ကမ်းအုပ်စုများ၊ VLAN များနှင့် VMs များကို VMware vCenter ပေါ်ရှိ ကွန်ရက်စီမံခန့်ခွဲသူကို ရှင်းရှင်းလင်းလင်း ခွဲခြားထားရှိရန် VMware vCenter သို့ ဖြန့်ဝေခြင်းမပြုပါ။ ဤမုဒ်တွင်၊ ကွန်ရက်စီမံခန့်ခွဲသူက ပေးထားသည့် VLAN ID တစ်ခုနှင့် လက်ခံဆောင်ရွက်ပေးသည့် ပို့တ်များအားလုံးတွင် EPG တစ်ခုအား စီစဉ်သတ်မှတ်ပေးသည်၊ ထို့နောက် ကွန်ရက်စီမံခန့်ခွဲသူက VLAN ID ၏ VMware vCenter စီမံခန့်ခွဲသူကို တူညီသော VLAN ID ဖြင့် vDS တွင် ဆိပ်ကမ်းအုပ်စုတစ်ခုဖန်တီးနိုင်စေရန် အကြောင်းကြားသည်။ အမှတ်သညာ။

စာမျက်နှာ ၃ မှ ၃

Q. အသွားအလာလမ်းကြောင်းတွင် ထည့်သွင်းထားသည့် firewalls နှင့် IPS ကဲ့သို့သော လုံခြုံရေးကိရိယာများသည် လုံခြုံရေးကို မည်သို့ခွဲခြားသတ်မှတ်သနည်း။
လုံခြုံရေးအဖွဲ့ နယ်နိမိတ်အဖြစ် subnets များကို အသုံးမပြုနိုင်သည့် application-centric design တွင် အုပ်စုများ?
A. အောက်ပါ အပလီကေးရှင်းနှင့် ပလပ်အင်များကို ESG အဖွဲ့ဝင်ကြော်ငြာအတွက် လက်ရှိရရှိနိုင်ပါသည်-
Cisco Adaptive Security Appliance (ASA) နှင့် Cisco Firepower Threat Defense (FTD)- Cisco ACI Endpoint အပ်ဒိတ်
Palo Alto Networks Panorama- Cisco ACI အတွက် Panorama Plugin (လမ်းပြမြေပုံ)
သင်၏ Layer 4 မှ Layer 7 ဝန်ဆောင်မှုစက်ပစ္စည်းသည် အထက်တွင်ဖော်ပြထားသည့်အရာများနှင့် ကွဲပြားပါက၊ ESG အဖွဲ့ဝင်ခြင်းဆိုင်ရာ အချက်အလက်အတွက် အဆုံးမှတ်များကို Cisco APIC API ကို အသုံးပြု၍ ပြန်လည်ရယူနိုင်ပါသည်။ ထို့ကြောင့်၊ သင်သည် အချက်အလက်များကို ထုတ်ယူရန်နှင့် Layer 4 မှ Layer 7 ဝန်ဆောင်မှုများ စက်ပစ္စည်းတွင် တူညီသော လုံခြုံရေးအုပ်စုများကို ဖန်တီးရန် ရိုးရှင်းသော script သို့မဟုတ် အက်ပ်လီကေးရှင်းကို အသုံးပြုနိုင်သည်။
အောက်ပါ API မေးမြန်းချက်သည် သတ်မှတ်ထားသော ESG မှ အဆုံးမှတ်များနှင့် ဆက်စပ် IP လိပ်စာအားလုံးကို ထုတ်ယူသည်-
https://{{apic}}/api/mo/uni/tn-{{tenantName}}/ap-{{appProfileName}}/esg{{esgName}}.json?query-target=subtree&target-subtree-class=fvCEp&rspsubtree=children&rsp-subtree-class=fvIp
Cisco APIC တုံ့ပြန်မှုတွင် ESG နှင့် ချိတ်ဆက်ထားသော အဆုံးမှတ်တစ်ခုစီ ပါဝင်ပြီး (ရရှိနိုင်သည့်နေရာတွင်) အဆုံးမှတ် IP လိပ်စာ-
{ “fvCEp”- { “ attributes”- { “annotation”: “”, “baseEpgDn”: “uni/tn-demo/ap-network-segments/epg-192.168.52.x_24”, “bdDn”: “uni /tn-demo/BD-192.168.52.x_24", "childAction"- "deleteNonPresent", "contName"- "email-service", "dn": "uni/tn-demo/ap-online-boutique-hx /esg-all-services/cep-
00:50:56:A1:81:D3", "encap": "vlan-1206", "esgUsegDn": "", "extMngdBy": "", "fabricPathDn": "topology/pod-1/paths- 102/pathep-[hx-dev-01-fi-b]”, “hostingServer”: “10.237.98.148”, “id”: “0”, “idepdn”: “”, “lcC”: “သင်ယူပြီး၊vmm ”, “lcOwn”- “ပြည်တွင်း”၊ “mac”: “00:50:56:A1:81:D3”, “mcastAddr”: “မသက်ဆိုင်”၊ “modTs”: “2023-04-12T11:55 :42.679+01:00", "monPolDn": "", "name": "00:50:56:A1:81:D3", "nameAlias": "", "reportingControllerName": "hx-dev-01 -vc01.uktme.cisco.com", "အခြေအနေ"- "", "uid": "0", "အသုံးပြုသူ": "အားလုံး",

စာမျက်နှာ ၃ မှ ၃

"uuid": "", "vmmSrc": "dvs", "vrfDn": "uni/tn-demo/ctx-vrf-01" }, "ကလေးများ": [ {
“fvIp”- { “attributes”: { “addr”: “192.168.52.31”, “annotation”: “”, “baseEpgDn”: “uni/tn-demo/ap-network-segments/epg-
192.168.52.x_24၊ 192.168.52:24", "debugMACMessage"- "", "esgUsegDn": "", "extMngdBy": "", "fabricPathDn": "topology/pod-2023/paths-04/pathep-[hx-dev-12-
fi-b]", "အလံများ"- "", "lcOwn"- "ဒေသ", "modTs": "2023-04-12T12:00:42.684+01:00", "monPolDn": "", "rn ": "ip-[192.168.52.31]", "အခြေအနေ"- "", "uid": "0", "အသုံးပြုသူ"- "အားလုံး", "vrfDn": "uni/tn-demo/ctx-vrf- 01”
} } } ] } }
ဒါကိုလည်းကြည့်ပါ။
Cisco APIC လုံခြုံရေးဖွဲ့စည်းမှုလမ်းညွှန်၊ ဖြန့်ချိမှု 6.0(x)
Endpoint Security Groups (ESG) ဖြင့် ACI ခွဲထွက်ခြင်းနှင့် ရွှေ့ပြောင်းခြင်းများကို ပိုမိုလွယ်ကူစေသည်
Cisco ACI White Papers

စာမျက်နှာ ၃ မှ ၃

စာရွက်စာတမ်းများ / အရင်းအမြစ်များ

CISCO ACI Endpoint လုံခြုံရေးအဖွဲ့ [pdf] အသုံးပြုသူလမ်းညွှန်
ACI Endpoint Security Group, ACI, Endpoint Security Group, Security Group, Group

ကိုးကား

အသုံးပြုသူလက်စွဲ

ACI Endpoint လုံခြုံရေးအဖွဲ့

Cisco ACI Endpoint Security Group (ESG) ဒီဇိုင်းလမ်းညွှန်

သတ်မှတ်ချက်များ

မာတိကာ

ဤစာတမ်း၏ရည်မှန်းချက်များ

လိုအပ်ချက်များ

အသုံးအနှုန်းများ

နိဒါန်း

ကွန်ရက်ဗဟိုပြုမှ အပလီကေးရှင်းဗဟိုပြု ရွှေ့ပြောင်းနေထိုင်မှုဇာတ်လမ်း- Pseudo Co

ESG ဒီဇိုင်းထွamples

ESGs ဖြင့် ပြောင်းလွယ်ပြင်လွယ် လုံခြုံရေးဇုန်များ

အသေးစိတ်ဒီဇိုင်း Examples

Cisco ACI Tenant Design Examples ကိုအသုံးပြုခြင်း။ ESGs

အမြဲမေးလေ့ရှိသောမေးခွန်းများ

ဒါကိုလည်းကြည့်ပါ။

စာရွက်စာတမ်းများ / အရင်းအမြစ်များ

ကိုးကား

ဆက်စပ်ပို့စ်များ

မှတ်ချက်တစ်ခုချန်ထားပါ။

ပြန်ကြားချက်ကို ပယ်ဖျက်ပါ။

ကွန်ရက်ဗဟိုပြုမှ အပလီကေးရှင်းဗဟိုပြု
ရွှေ့ပြောင်းနေထိုင်မှုဇာတ်လမ်း- Pseudo Co

Cisco ACI Tenant Design Examples ကိုအသုံးပြုခြင်း။
ESGs