Leaf 交换机的作用
Leaf是ACI Fabric的边缘层,直接连接终端设备、服务器和外部网络。它承担了绝大部分的数据平面流量转发和安全策略执行功能。
1. 基础设施与流量转发
| 功能 |
说明 |
| Infra Transit |
作为Fabric基础设施流量的传输节点 |
| Bridging/Routing |
为租户流量提供二层桥接和三层路由 |
| VXLAN/iVXLAN 封装 |
负责隧道的封装(Encap)与解封装(Decap) |
2. 终端学习与同步
- Data Path Learning:通过数据平面学习MAC/IP端点信息。
- COOP 同步:作为 Citizen 角色,将本地学习的端点信息上报给Spine(Oracle),用于代理查询。
3. 网关与转发模式
- Pervasive/Anycast Gateway:为租户子网提供分布式任播网关,实现跨Leaf的无缝三层转发。
- 转发模式:
- Proxy:通过Spine代理查询未知目的地(例如
iping、bounce场景)。
- Flood:广播未知单播或组播流量。
- ARP Unicast:对ARP请求进行单播优化。
4. 负载均衡
| 流量类型 |
负载均衡方式 |
| 单播(Inter-Leaf / Proxy) |
跨多个Spine进行ECMP负载均衡 |
| 组播 |
跨多个FTAG树进行负载均衡 |
5. 组播与STP处理
- IGMP Snooping:在Leaf上执行,优化组播流量转发。
- STP BPDU Flooding:仅在对应的接入VLAN或泛洪域(Flood Domain)内泛洪,不会扩散到整个网桥域。
- VPC DF/NDF:
- DF(Designated Forwarder):在VPC正常工作时,仅由一个VPC成员端口转发组播或广播流量,避免重复。
6. EPG分类与安全策略
- EPG 区分依据:VLAN、IP前缀、iVXLAN标识。
- 安全策略执行:合约规则(
actrlRule)仅下发到Leaf,所有安全策略都在网络边缘执行。
7. 外部路由互联
- 与外部路由器对等:支持OSPF、BGP、静态路由等多种协议。
- 路由同步:通过 MP-BGP 将学习到的外部路由分发给Fabric内的其他Leaf。
Spine 交换机的作用
Spine是ACI Fabric的核心层,主要负责高速转发、代理查询和控制平面协调,它不直接连接任何终端设备。
1. 流量传输
| 功能 |
说明 |
| Infra Transit |
为基础设施的单播和组播流量提供高速转发路径 |
| FTAG Root |
作为FTAG组播树的根节点,协调组播流量的分发 |
2. 端点代理(Proxy)
- 租户MAC/IP代理:当Leaf需要查询未知端点位置时,Spine会作为代理提供相应的端点信息。
- 隧道处理:
- Decap:解封装从Leaf发往Spine的代理iVXLAN隧道流量。
- Encap:封装从Spine返回给Leaf的响应iVXLAN隧道流量。
3. 控制平面
| 协议 |
作用 |
| MP-BGP Route Reflector |
作为路由反射器,集中分发外部路由信息 |
| COOP Oracle |
与所有Leaf(Citizen)及其他Spine建立COOP邻居关系 |
COOP 层级结构:
- Spine之间的COOP邻居称为 Oracle,它们共同组成 Council(理事会)。
- Leaf则作为 Citizen,向Oracle上报并查询端点信息。
要点总结
下表清晰地对比了Leaf与Spine在ACI架构中的不同职责:
| 维度 |
Leaf |
Spine |
| 位置 |
边缘层(接入) |
核心层(汇聚) |
| 端点学习 |
直接学习 |
不学习,仅代理 |
| COOP 角色 |
Citizen |
Oracle(组成Council) |
| 策略执行 |
是(执行actrlRule) |
否 |
| 外部路由 |
与外部路由器直接对等 |
作为路由反射器反射路由 |
| 组播树 |
参与FTAG转发 |
作为FTAG根节点 |
补充说明
- iVXLAN vs VXLAN:iVXLAN是ACI内部使用的增强型VXLAN协议,携带了额外的策略标识(例如sClass);而标准VXLAN通常用于与外部网络设备进行互通。
- FTAG(Forwarding Tag):这是ACI用于实现组播负载均衡的一种机制,通过构建多棵转发树来分散流量,提升效率。
希望这篇关于Cisco ACI核心组件解析的内容能帮助你更清晰地理解Leaf与Spine的协同工作原理。想深入探讨更多网络架构知识,欢迎访问云栈社区。 | 
发表于 5 天前
|
查看: 14|
回复: 0
