全面系统地介绍ACI，帮助读者从原理深入理解ACI的技术特点与优势。 本书涵盖了故障排除和自动化内容，有助于提高读者的实操能力。 本书旨在为设计与部署ACI提供现场指导，并试图弥合传统网络架构与ACI之间的鸿 沟。身为网络管理员，特别是在新技术方面寻找相关且准确的信息上，我们也意识到压力 和挑战。 作者尝试将这些信息汇总到一起并进行深入解析，作为网络管理员优先涉猎的资 源。本书着重讨论了如何 大限度减少操作的复杂性，并 大化可支持性的 佳实践，衷 心希望它能够解决 大多数常见的部署问题。 ■ 理解当前推动数据中心部署ACI的趋势性因素。 ■ 构建ACI矩阵时常见的决策点和矩阵上线。 ■ 如何与ACI相集成以及选择哪些虚拟化技术。 ■ ACI矩阵网络、外部2/3层连通性的实现及其与传统方式的差异。 ■ 深入理解管理传统网络与管理ACI之间的差异。 ■ 基于应用/功能配置精细化策略所带来的优势。 ■ 创建租户隔离用例及其对网络/安全/服务的影响。 ■ 深入研究将服务集成至ACI矩阵的细节。 ■ 设计ACI Multi-Site以满足冗余性与业务连续性的需求。 ■ 内置的排障、监控工具以及自动化与可编程性助力提高ACI运营效率。 Frank Dagenhardt（CCIE #42081），思科专注于下一代数据中心体系结构的技 术解决方案架构师，拥有超过22年的信息技术经验及多项行业认证。 Jose Moreno（CCIE #16601），曾就读于马德里理工大学与米兰理工大学。自 2014年以来，作为技术解决方案架构师一直专注于ACI。 Bill Dufresne（CCIE #4375），思科杰出系统工程师， 数据中心/云团队成 员。自1996年以来一直在思科工作，具有超过31年的IT行业丰富经验。 为降低数据中心运营成本、提 升灵活性、改进安全性并减少人为失 误，需要根本性地转变网络配置与管 理的方式。 终的产物就是以应用为 中心的基础设施（ACI）以及基于意 图的网络（IBN）。 ——Tom Edsall 思科院士/ACI之父 “数据中心不再是中心了”，每 一朵云，每一座数据中心，每一家分 支机构——ACI无处不在。 ——萧洁云 思科 副总裁/ 大中华区首席执行官 作为行业内系统介绍SDN落 地的专著，本书的出版可谓恰逢其 时——就像多年前思科普及路由器操 作的 Introduction To Cisco Router Configuration 一样，本书将成为网 络工程师学习SDN的指南。 ——曹图强 思科 副总裁/ 大中华区首席技术官

本书是一本讲述部署和管理思科ACI解决方案的 指南，由3位思科架构师和工程师撰写。本书将帮助读者顺利学习思科的VXLAN解决方案。全书内容涵盖了ACI基础入门知识，整合虚拟化和外部路由技术、APIC集中和简化策略管理、ACI基础架构故障排除等内容。    本书可供网络技术相关领域的研发人员、市场人员以及数据中心设计、运维人员参考，也可作为大专院校教材使用。

Frank Dagenhardt（CCIE #42081），思科专注于下一代数据中心体系结构的技 术解决方案架构师，拥有超过22年的信息技术经验及多项行业认证。  Jose Moreno（CCIE #16601），曾就读于马德里理工大学与米兰理工大学。自 2014年以来，作为技术解决方案架构师一直专注于ACI。  Bill Dufresne（CCIE #4375），思科杰出系统工程师， 数据中心/云团队成 员。自1996年以来一直在思科工作，具有超过31年的IT行业丰富经验。

第 1章　ACI客户指南11.1　产业趋势与变革11.2　下一代数据中心21.2.1　新的应用类型21.2.2　自动化、编排和云31.2.3　端到端安全性41.3　主干—叶（Spine-Leaf）架构51.4　ACI概述81.5　ACI功能组件91.5.1　Nexus 950091.5.2　Nexus 930091.5.3　以应用为中心的基础设施控制器101.6　激活ACI矩阵协议101.6.1　数据平面协议101.6.2　控制平面协议111.7　与ACI交互121.7.1　GUI121.7.2　NX-OS CLI121.7.3　开放式REST API131.8　策略模型简介131.8.1　应用配置描述（AP）和端点组（EPG）131.8.2　VRF和桥接域（BD）141.9　矩阵拓扑141.9.1　单站点模型141.9.2　Multi-Pod模型141.9.3　Multi-Site模型151.10　小结15

第 2章　矩阵构建162.1　构建一个 好的网络162.1.1　关于矩阵的考量172.1.2　分阶段向ACI迁移282.1.3　向以应用为中心的模式演进352.2　与虚拟机管理器（VMM）的集成392.2.1　AVS392.2.2　VMware412.2.3　Microsoft422.2.4　OpenStack432.3　4～7层服务442.3.1　纳管模式（Managed Mode）442.3.2　非纳管模式（Unmanaged Mode）462.4　其他Multi-Site配置462.4.1　ACI Stretched Fabric482.4.2　ACI Multi-Pod482.4.3　ACI Multi-Site492.4.4　ACI双矩阵设计492.4.5　分布式网关（Pervasive Gateway）502.4.6　虚拟机管理器的考量502.5　小结51

第3章　矩阵上线533.1　开箱并初始化533.1.1　建议开启的服务543.1.2　管理网络563.1.3　配置控制器之所见573.2　 登录APIC GUI623.2.1　基础模式与 模式633.2.2　矩阵发现663.2.3　叶节点扩展交换机（FEX）683.3　必需的服务683.3.1　基础模式的初始化设置693.3.2　 模式的初始化设置733.3.3　管理网络803.3.4　矩阵策略823.4　管理软件版本833.4.1　固件仓库843.4.2　控制器固件和维护策略853.4.3　配置管理873.5　小结91

第4章　ACI与虚拟化技术集成924.1　为什么要集成924.2　虚拟机与容器网络934.2.1　ACI与虚拟交换机集成的优势954.2.2　ACI集成与软件叠加（Overlay）网络的比较974.2.3　虚拟机管理域（VMM Domain）994.2.4　EPG分段与微分段（Micro-Segmentation）1044.2.5　EPG内部隔离与EPG内合约1114.2.6　ACI与刀片系统虚拟交换机集成1144.2.7　OpFlex1174.2.8　多数据中心部署1174.3　VMware vSphere1184.3.1　ACI与vSphere VSS共存1194.3.2　ACI与vSphere VDS共存1204.3.3　ACI与vSphere VDS集成1214.3.4　vCenter账户要求1224.3.5　VDS上的微分段1234.3.6　刀片服务器与VDS集成1234.3.7　ACI与思科AVS集成1244.3.8　基于VDS和AVS的虚拟网络设计1254.3.9　面向vCenter服务器的ACI插件：通过vCenter配置ACI1284.3.10　ACI与VMware NSX共存1314.4　Microsoft1314.4.1　Microsoft Hyper-V与SCVMM简介1324.4.2　集成准备1324.4.3　微分段1344.4.4　刀片服务器与SCVMM集成1344.5　OpenStack1354.5.1　ML2和基于组的策略1354.5.2　ACI与OpenStack集成1364.5.3　面向OpenStack的ACI ML2插件基本操作1374.5.4　面向OpenStack的ACI ML2插件安全性1384.5.5　面向OpenStack的ACI ML2插件NAT1394.5.6　面向OpenStack的ACI GBP插件1414.6　Docker网络与Contiv项目1424.7　Kubernetes1464.7.1　Kubernetes网络模型1474.7.2　隔离模型1484.7.3　为Kubernetes Pod创建新EPG1494.7.4　通过注解将Deployment或Namespace分配给EPG1504.7.5　Kubernetes对象在ACI上的可见性1514.8　公有云集成1514.9　小结152

第5章　进入ACI网络世界1535.1　探索ACI网络1545.1.1　端点组（EPG）与合约（Contract）1545.1.2　VRF与BD1655.1.3　将外部网络连接到矩阵1745.1.4　基本模式GUI1805.1.5　 模式接入策略1825.2　以网络为中心VLAN=BD=EPG1925.2.1　将策略应用于物理工作负载及虚拟化工作负载1945.2.2　将设备逐VLAN迁移至矩阵1965.2.3　策略执行（Enforced）VRF与策略放行（Unenforced）VRF2005.2.4　3层到核心2005.2.5　L3 Out与外部路由网络2015.2.6　L3 Out的简化对象模型2025.2.7　边界叶节点（Border Leaf）2055.2.8　将默认网关迁移至矩阵2065.3　小结209

第6章　ACI外部路由2106.1　物理连接考量2106.2　路由接口与SVI2116.3　外部BD2136.4　BFD2146.5　接入端口2156.6　端口通道2166.7　虚拟端口通道2176.8　L3 Out弹性网关2186.9　HSRP2196.10　路由协议2216.10.1　静态路由2226.10.2　EIGRP2226.10.3　OSPF2236.10.4　BGP2276.11　外部EPG与合约2306.11.1　外部EPG2306.11.2　L3 Out EPG与内部EPG之间的合约2316.12　多租户路由考量2316.12.1　共享3层外部连接2336.12.2　穿透路由2356.13　广域网集成2396.13.1　多租户外部3层连通性的设计建议2406.13.2　QoS2416.14　组播2436.14.1　 的组播 佳实践2446.14.2　组播配置概述2476.15　小结247

第7章　ACI如此不同2487.1　管理矩阵与管理设备2497.1.1　集中化CLI2497.1.2　系统仪表板2507.1.3　租户仪表板2517.1.4　健康指数2527.1.5　物理对象与逻辑对象2537.1.6　网络策略2547.2　维护网络2587.2.1　故障管理2587.2.2　配置管理2627.2.3　软件升级2697.2.4　打破IP设计束缚2737.2.5　物理网络拓扑2747.2.6　变革网络消费模式2787.3　小结279

第8章　迈向以应用为中心的网络2808.1　以网络为中心的部署2818.1.1　在以网络为中心的部署中取消数据包过滤2828.1.2　提高每台叶交换机的VLAN可扩展性2838.1.3　查看以网络为中心设计的配置2848.1.4　以应用为中心的部署：安全性用例2868.1.5　白名单模型与黑名单模型2878.1.6　策略执行与策略放行：没有合约的ACI2878.1.7　EPG作为一台基于区域的防火墙2888.1.8　合约的安全模型2908.1.9　基于思科AVS的状态防火墙2978.1.10　EPG内部通信2998.1.11　任意EPG（Any EPG）3018.1.12　有效利用资源的合约定义 佳实践3028.2　以应用为中心部署的运营用例3038.2.1　以应用为中心的监控3038.2.2　QoS3048.3　迁移至以应用为中心的模型3078.3.1　禁用传统模式BD3078.3.2　禁用VRF的策略放行3088.3.3　创建新应用配置描述及EPG3088.3.4　将端点迁移至新EPG3098.3.5　微调安全规则3098.4　如何发现应用依赖性3108.4.1　专注于新应用3108.4.2　迁移现有应用3118.5　小结314

第9章　多租户3169.1　网络多租户的需求3169.1.1　数据平面多租户3179.1.2　管理平面多租户3179.2　ACI中的多租户3189.2.1　安全域3199.2.2　基于角色的访问控制（RBAC）3209.2.3　物理域3249.2.4　通过QoS保护逻辑带宽3269.2.5　租户和应用3279.2.6　业务线的逻辑隔离3279.2.7　安全性或合规性的逻辑隔离3289.3　将资源迁移至租户3309.3.1　创建逻辑租户结构3319.3.2　实施管理平面多租户3319.3.3　迁移EPG与合约3319.3.4　导出与导入租户间通信合约3329.3.5　实施数据平面多租户3349.3.6　何时选择专用VRF或共享VRF3369.3.7　多租户的可扩展性3379.4　外部连通性3389.5　租户间连通性3449.5.1　VRF间外部连通性3449.5.2　VRF间内部连通性（路由泄露）3459.6　4～7层服务集成3479.6.1　导出4～7层设备3479.6.2　4～7层Multi-Context设备3489.7　多租户连通性用例3489.7.1　ACI作为传统网络3489.7.2　将网络可见性赋予其他部门3489.7.3　提供共享服务的跨组织共享网络3499.7.4　外部防火墙互连多个安全区域3509.7.5　服务提供商3519.8　小结352

第 10章　集成4～7层服务35310.1　服务植入35310.1.1　当前主流做法35410.1.2　纳管与非纳管（Managed和Unmanaged）36010.1.3　生态系统合作伙伴36510.1.4　管理模型36610.1.5　功能配置描述36910.2　所有主机的安全性37310.2.1　建立端到端安全解决方案37510.2.2　防火墙集成38010.2.3　安全监控集成39210.2.4　入侵防御系统集成39310.2.5　服务器负载均衡及ADC集成39710.2.6　双节点服务视图（Service Graph）的设计40210.3　小结404

第 11章　ACI Multi-Site设计40511.1　打造第 2个站点40511.1.1　Stretched Fabric设计40811.1.2　多矩阵设计41311.2　Multi-Pod架构42311.2.1　ACI Multi-Pod应用案例及拓扑支持42411.2.2　ACI Multi-Pod可扩展性的考量42711.2.3　Pod间网络连通性部署的考量42711.2.4　IPN控制平面42911.2.5　IPN组播支持43011.2.6　主干与IPN连通性的考量43411.2.7　自动部署Pod43911.2.8　APIC集群部署的考量44011.2.9　通过配置区域减少配置失误的影响44511.2.10　迁移策略44611.3　Multi-Site架构44911.3.1　APIC与Multi-Site控制器的功能对比45211.3.2　Multi-Site的概要（Schema）与模板45311.3.3　Multi-Site应用案例45711.3.4　Multi-Site与L3 Out的考量46311.3.5　3层组播部署选项46511.3.6　将矩阵迁移至ACI Multi-Site46611.4　小结468

第 12章　排障与监控46912.1　如何应对低健康指数47012.2　NX-OS命令行界面47112.2.1　连接到叶交换机47412.2.2　Linux命令47712.2.3　将本地对象映射至全局对象47912.2.4　若干好用的叶交换机命令48312.2.5　解决物理问题48912.3　ACI排障工具49612.3.1　硬件诊断49612.3.2　丢包：计数器同步49812.3.3　原子计数器（Atomic Counter）49812.3.4　流量镜像：SPAN与复 务50012.3.5　Troubleshooting Wizard（排障向导）50612.3.6　Endpoint Tracker（端点追踪器）51212.3.7　有效利用矩阵资源51412.4　监控策略与统计51912.4.1　SNMP策略51912.4.2　系统日志策略52112.4.3　统计52212.5　ACI支持的第三方监控工具52312.5.1　IBM Tivoli Netcool52312.5.2　SevOne52312.5.3　ScienceLogic52412.5.4　Splunk52412.5.5　Zenoss52412.6　小结524

第 13章　ACI可编程性52513.1　为什么需要网络可编程性52513.1.1　传统网络自动化的问题52613.1.2　SNMP52613.1.3　NETCONF与YANG52713.1.4　编程接口和SDK52713.2　ACI编程接口52813.2.1　ACI REST API52813.2.2　REST API的身份验证52913.2.3　API Inspector（检查器）52913.2.4　REST API客户端52913.2.5　编程语言调用REST API53013.2.6　ACI对象模型53113.2.7　GUI调试信息53213.2.8　ACI软件开发套件53813.2.9　搜寻自动化与程式化示例54013.2.10　没有矩阵也能开发并测试代码54013.3　通过网络自动化提高运营效率54313.3.1　提供网络可见性54313.3.2　网络配置外部化54413.3.3　交换机端口配置外部化54513.3.4　安全配置外部化54613.3.5　自动化水平集成54713.3.6　产品内置水平集成示例54713.3.7　基于外部自动化的水平集成示例54813.3.8　自动生成网络文档55013.4　通过网络自动化实现 多业务模式55013.4.1　敏捷应用部署与DevOps55113.4.2　持续部署与持续集成55113.4.3　Linux容器与微服务架构55213.4.4　配置管理工具55213.4.5　私有云与IaaS55313.4.6　与思科企业云套件集成55413.4.7　与VMware vRealize套件集成555

13.4.8　与Microsoft Azure Pack和Azure Stack的集成55713.4.9　与OpenStack集成55713.4.10　混合云55713.4.11　平台即服务55813.4.12　ACI与Apprenda集成55813.4.13　Mantl和Shipped55913.5　ACI应用中心56013.6　小结562