1.理解Contract
Contract即合约,作用于消费者和生产者,生产者和消费者可以是Application EPG、L3 out EPG等;
打个比方,EPG_10.103.111.0_24需要访问EPG_10.103.11.0_24的SSH服务,那么EPG_10.103.111.0_24就是消费者,EPG_10.103.11.0_24生产者。
需要在EPG_10.103.111.0_24关联消费者合约,在EPG_10.103.11.0_24关联生产者合约才能够实现这个效果。
2.配置PBR
理解Contract以后,着手开始配置PBR。
假设有这么一个场景,EPG_10.103.111.0_24访问EPG_10.103.11.0_24的所有流量都需要先经过防火墙再转发给EPG_10.103.11.0_24,从而实现对这些流量做过滤、反病毒、IPS等功能。
注意,需要重定向的流量在合约过滤器里面配置,不能精确筛选某个IP,只能筛选协议。
双臂PBR配置示例:
2.1.创建Firewall_External、Firewall_Internal BD
备注:Firewall_External用于连接外部区域,Firewall_Internal用于连接内部区域,这两个用于PBR的BD需要关闭数据平面学习的选项。
2.2.在vCenter上创建虚拟机并安装系统
注意网卡规划,网卡1用于管理,网卡2用于连接外部区域,网卡3用于连接内部区域,网卡2和网卡3的端口组可以先随意选择,当ACI配置好PBR后会自动生成新的端口组并应用。
2.3.创建L4-L7 Devices
按需选择物理/虚拟
2.4.创建服务路线图模板
2.5.ACI自动下发指令创建分布式端口组及配置虚拟机
为分布式端口组选择上行链路