aci integrazione terze-parti e device package plug-in

Home » Blog » Switching » Software-Defined » aci application centric infrastructure » aci funzionalità » aci integrazione terze-parti e device package plug-in

aci integrazione terze-parti e device package plug-in

05.01 2020 | by massimiliano

ACI integrazione terze-parti e device package plug-in   Ci sono differenti modi di integrare i Firewall e/o Balancer in ACI […]


https://www.ingegnerianetworking.com/wp-content/uploads/2020/01/device-package-esempio-957.png

ACI integrazione terze-parti e device package plug-in

 

Ci sono differenti modi di integrare i Firewall e/o Balancer in ACI e sono:

 

  • Network Policy Mode: il traffico è trasmesso al firewall/balancer con una policy-based redirect (PBR); le configurazioni tra APIC e firewalls/balancer sono completamente separate lasciando grande flessibilità di “azione” al firewall.
  • Traffico east-west è definito attraverso un bridge-domain e subnet in ACI; la configurazione di “contract” tra EPG è necessaria per i flussi diretti al firewall via PBR;
  •  
  • Traffico north-south è definito attraverso una policy chiamata L3-out la quale contiene tutte le informazioni necessarie per un accesso verso external domain per un determinato tenant; un L3-out può raggruppare più external domain all’interno di un singolo EPG-ext usando un oggetto chiamato vzAny.

 

 

 

  • Service Manager Mode: questo metodo permette di utilizzare APIC come singola consolle di confgurazione (nello stesso modo con cui Panorama gestisce gli appliance Palo Alto); i seguenti componenti sono richiesti per l’integrazione di devices L4-L7 (Palo Alto Firewall, Balancer F5, etc..):

 

 

  • Vendor Controller (ad es. Panorama Palo Alto): per la gestione ed il rilascio di policy di sicurezza ed oggetti firewall usando APIC [ in alternativa è possibile non utilizzare Panorama con l’impiego di APIC per contesti virtuali (vsys), HA e network interface configuration, ma, in ogni caso, le policy debbono essere configurate direttamente sul firewall ];

 

 

  • Vendor Partners: firewall fisici appliance e VM-series firewall per VMware ESXi standalone version; ACI inoltre può integrare firewall fisici divisi in contesti che APIC può gestire come singole entità (vsys). Quando si utilizza un multi-vsys firewall in ACI è necessario creare uno chassis-manager per il tenant dedicato ed assegnare questo al firewall services;

 

 

  • Device Package (plug-in): permette e gestisce la comunicazione tra APIC, il controller del Vendor ed il devices L4 – L7 con la configurazione di HA, networking ed interfaces in APIC e pushing (inserimento) di queste configurazioni nei devices di competenza;

 

 

device package esempio

 

 

 

 

 

 

Torna in alto