Leaf 交换机的作用
Leaf 是 ACI Fabric 的边缘层,直接连接终端设备、服务器和外部网络,承担大部分数据平面和策略执行功能。
1. 基础设施与流量转发
| 功能 | 说明 |
|---|
| Infra Transit | 作为 Fabric 基础设施流量的传输节点 |
| Bridging/Routing | 为租户流量提供二层桥接和三层路由 |
| VXLAN/iVXLAN 封装 | 负责隧道的封装(Encap)与解封装(Decap) |
2. 终端学习与同步
- • Data Path Learning:通过数据平面学习 MAC/IP 端点信息
- • COOP 同步:作为 Citizen 角色,将本地学习的 EP 信息上报给 Spine(Oracle)用于代理查询
3. 网关与转发模式
- • Pervasive/Anycast Gateway:为租户子网提供分布式任播网关,实现跨 Leaf 的无缝三层转发
- • 转发模式:
- • Proxy:通过 Spine 代理查询未知目的地(如
iping、bounce场景)
- • Flood:广播未知单播/组播
- • ARP Unicast:ARP 请求单播优化
4. 负载均衡
| 流量类型 | 负载均衡方式 |
|---|
| 单播(Inter-Leaf / Proxy) | 跨多个 Spine 进行 ECMP 负载均衡 |
| 组播 | 跨多个 FTAG 树进行负载均衡 |
5. 组播与 STP 处理
- • IGMP Snooping:在 Leaf 上执行,优化组播流量转发
- • STP BPDU Flooding:仅在对应的 Access VLAN / FD(Flood Domain)内泛洪,不会扩散到整个 Bridge Domain
- • VPC DF/NDF:
- • DF(Designated Forwarder):VPC 正常时,仅由一个 VPC 成员端口转发组播/广播流量,避免重复
6. EPG 分类与安全策略
- • EPG 区分依据:VLAN、IP Prefix、iVXLAN 标识
- • 安全策略执行:
actrlRule(合约规则)仅下发到 Leaf,策略在边缘执行
7. 外部路由互联
- • 与外部路由器对等:支持 OSPF、BGP、静态路由
- • 路由同步:通过 MP-BGP将学习到的外部路由分发给其他 Leaf
Spine 交换机的作用
Spine 是 ACI Fabric 的核心层,主要负责高速转发、代理查询和控制平面协调,不直接连接终端设备。
1. 流量传输
| 功能 | 说明 |
|---|
| Infra Transit | 为基础设施单播和组播流量提供高速转发路径 |
| FTAG Root | 作为 FTAG 组播树的根节点,协调组播流量分发 |
2. 端点代理(Proxy)
- • 租户 MAC/IP 代理:当 Leaf 查询未知端点时,Spine 作为代理提供 EP 位置信息
- • 隧道处理:
- • Decap:解封装 Leaf → Spine 的 Proxy iVXLAN 隧道
- • Encap:封装 Spine → Leaf 的响应 iVXLAN 隧道
3. 控制平面
| 协议 | 作用 |
|---|
| MP-BGP Route Reflector | 作为路由反射器,集中分发外部路由信息 |
| COOP Oracle | 与所有 Leaf(Citizen)及其他 Spine 建立 COOP 邻居关系 |
COOP 层级结构:
- • Spine 之间的 COOP 邻居称为 Oracle,共同组成 Council(理事会)
- • Leaf 作为 Citizen,向 Oracle 上报并查询 EP 信息
要点总结
| 维度 | Leaf | Spine |
|---|
| 位置 | 边缘层(接入) | 核心层(汇聚) |
| EP 学习 | 直接学习 | 不学习,仅代理 |
| COOP 角色 | Citizen | Oracle(组成 Council) |
| 策略执行 | 是(actrlRule) | 否 |
| 外部路由 | 与外部对等 | 作为 RR 反射路由 |
| 组播树 | 参与 FTAG 转发 | 作为 FTAG Root |
https://wxa.wxs.qq.com/tmpl/pb/base_tmpl.html
补充说明
- • iVXLAN vs VXLAN:iVXLAN 是 ACI 内部使用的增强型 VXLAN,携带额外的策略标识(如 sClass);标准 VXLAN 用于与外部设备互通
- • FTAG(Forwarding Tag):ACI 用于组播负载均衡的机制,通过多棵树实现流量分散