思科ACI体系结构从2013年末到现在提出了两年。选择它的客户已经接近2000家，其中选择Nexus 9000系列的客户有1700家，选择ACI核心应用战略基础中心APIC的用户根据Cisco最近公布的数据已经接近500家。而且ACI的每一次技术进化总是会影响产业的神经。尽管如此，ACI的潜在价值并不为大多数用户(尤其是中国用户)所知。最近，IT168发布了Cisco ACI系列文章《ACI是SDN技术吗？》。这篇文章(IT 168)解释了Cisco ACI对ONF白皮书《软件定义网络：网络新常态》中提到的SDN的多项挑战的理解，并详细分析了Cisco的各种组件(如ACI Fabric、APIC)。

但是，ACI能否如文章(WHO)所述，完全满足SDN当前的所有需求？还有，ACI怎么样才能做到后发船队？ACI本身的优点与其他SDN体系结构相比如何显示？ACI构建的初始逻辑是什么？IT168与思科大中华区首席解决方案设计师马原奇和思科大中华区数据中心交换机产品线产品总监李小杰进行了独家对话。

打破网络体系结构的基本框架

在基于网络的协议和体系结构形成过程中，有很多有趣的事情。比如早期的以太网这样的标准在诞生初期没有得到业界的广泛认可，马原奇说：“不是当初最不显眼的，而是最后延伸到了广泛使用的标准，网络技术发展出现了很多问题。”这意味着，在现有网络体系结构中，基于物理设备、固定IP、VLAN域等已经很容易掌握的功能和手段，面对云、虚拟化时，反而使网络成为制约因素。

ONF白皮书中也说明了丰富的网络协议和功能大大增加了网络复杂性，VLAN的隔离战略降低了业务更改的灵活性。迁移虚拟机后，必须在当前网络上数百个或数千个网络设备之间手动配置安全和服务质量(QoS)策略。工程复杂，手动配置容易出错。当新的业务需求到来时，扩展网络体系结构意味着许多规划和重新设计，如端点、服务和带宽。

满足云环境的基础架构必须更加灵活、灵活和易于规模扩展。马原奇认为：“在SDN诞生之初，SDN被承认在广域网上分配路由，但经过过去几年的发展，SDN仍然没有在数据中心形成比较理想的实现模式。”马原奇在判断目前SDN还不完善的同时，隐约解释了思科ACI后发的原因。因为为了打破已经广泛使用的以太网、TCP/IP等技术标准，需要更多的思考。

因此，Cisco希望打破基础设施的逻辑，特别是基于网络的限制，特别是以太网、TCP/IP等。当互联网影响商业商业化的时候，只会打破它。John F . Kennedy，互联网名言)他举例说：“今天，服务器和虚拟机配置了什么IP，应该在什么VLAN上，对用户来说并不重要。”重要的是要知道服务器A和服务器B之间是否有关联，下一跳是连接到服务器C，还是连接到其他。要完成用户的业务流程，安全性、策略和业务实施是最重要的。" "

ACI的构建初期逻辑是从应用程序部署的逻辑和相关性谈基础体系结构是如何部署的。ACI以此为主要设计理念。

打破战略变化的紧密结合

传统网络体系结构的限制是什么？答案是网络协议与功能、转发和政策的紧密结合。这种结合会导致战略的变化对传播产生不利影响。当前网络环境中最大的冲突发生在系统应用程序开发部门和IT运营维护部门之间，这种冲突越来越不协调。

系统开发人员考虑功能模型是什么。它是如何连接的？有几个功能组件与下一级别的功能组件通信。系统应用程序开发人员对基本实现的IP、位置和VLAN完全不感兴趣。系统开发人员与IT运维团队交谈时，经常得到的反馈是：VLAN还剩多少？IP网段中只剩下多少个位置？你的这些要求在现网上是不可能实现的。

因此，为了为数据中心基础架构提供灵活性和简单性，需要新的语言来说明连接的抽象意图。这使最终用户不需要丰富的网络知识来说明连接要求。此外，必须从网络传播语义中分离此意图，以便最终用户能够描述策略，并且策略的更改不会影响传播行为。

所以思科提出了GBP的逻辑模型。全名是(基于组的策略)，基于组的策略。将应用程序连接要求的信息与基本网络基础架构的详细信息分开。特别是，Cisco创建了GBP模型，并将其推送到OpenStack和OpenDaylight的工作项目中。OpenDaylight将基于组的策略称为“以应用为中心的战略模型”。在思科ACI的逻辑实现中，称为应用程序网络策略(ANP)。

马原奇提到：“ANP是Cisco在ACI上实现战略，GBP是Cisco将模型推送到开源社区的主张。”希望开源社区能够在APIC的基础上获得价值。" "

GBP或ANP的优点包括：

1.以应用程序为中心的表示策略：通过创建策略映射应用程序含义的框架提供了一种简单的自我记录机制，可在不熟悉网络的情况下捕获策略要求。

2.提高自动化程度：组结构使高级自动化工具能够简单地同时操作网络端点组。

3.一致性：此框架通过对端点进行分组并将策略应用于组，提供了处理策略更改的一致方法。

4.可扩展的策略模型：此策略模型是抽象的，不绑定到特定的网络部署，因此可以轻松捕获连接、安全性、QoS等。

ps://p3-sign.toutiaoimg.com/large/3252/1504832063?_iz=31825&from=ar;x-expires=1707105601&x-signature=MhHhyYn7TLElQ1kI%2B%2FmjMypLYZo%3D&index=0" width="500" height="230"/>

图：可更加直观的理解GBP模型的实现。

理解了GBP，但它毕竟是一个逻辑，是一个模型。落实到实体上就是ACI的控制器APIC。APIC是通过基于组策略表示的基于策略配置的控制节点，就是ACI架构中的控制器。它的主要功能是为思科ACI架构及设备提供策略控制和策略解析机制。有了APIC，用户不再需要触碰每个网络元素以及手动确保所有策略而得到适当的配置。

马元骐特别提到了APIC的几个关键点。“其一APIC并不直接参与数据平面转发，因此集群中所有思科APIC元件的断连并不会影响转发功能，这提高了整个系统的可靠性。即便是APIC遭到安全威胁，那么除了新的策略和分发失效之外，其他数据转发不受影响。其二APIC的可视化，透过APIC对底层的了解，让用户很直观的了解的设备的等级、网络的等级，应用端到端等级，如掉包率增加了与否，延时增加与否等等。其三，APIC可满足用户当前的应用开发逻辑需求，随后当用户梳理清楚自身的应用模型后，用户可以用自己定义的应用模型转述底层的基础架构该怎么支撑。其四，APIC在策略的下发方面可以通过图形化的方式，也可以将APIC的逻辑释放给用户，由用户通过开发脚本来进行策略的下发。其五，关于OpFlex，它是思科专为交换基于组的策略信息而开发的新策略协议，它是南向API。Opflex是从逻辑到物理呈现的协议，是属于APIC与物理设备沟通的对话机制，功能是将APIC的策略逻辑呈现在物理的Config上，物理设备也会反馈给APIC，逻辑功能是否能够实现。OpFlex也可用于其他的控制器。”

此外APIC还支持多租户和基于角色的访问控制，具体可参考《ACI是SDN技术吗?》一文。

对于ACI的基础Fabric，马元骐也表达了对数据中心扁平化的见解。目前思科ACI有成功的在网案例，Spine-Leaf结构中Leaf节点140台的规模。

他谈到，“在物理结构上，目前Spine-Leaf的结构跟传统的三层结构差异性并不大，其实只是视觉逻辑上的感受不一样，为什么OSI二层结构中需要那么多标准和协议?为什么谈到高可用性就必须要主备，都以二为单位呢?其实组网协议和标准完全可以将这些抛开。那么二层的问题就会迎刃而解。Spine-Leaf是有固定的布线模型的要求，Spine与Spine之间不能有横向连接，Leaf与Leaf之间中间不能有横向连接，每个Leaf要能够连接到每个Spine，这是数据中心网络扁平化的绝对要求。这个是解决东西向流量增长的方法。这个模型是有数学模型可以验证每个硬件盒子上联和下联端口各有多少，可以算出拓扑大概是怎样的。”

通过以上的介绍，用户就完全可以从网络功能的虚拟资源实现层面、控制器层面和基础架构连接层面完全理解思科在GBP、APIC和Fabric方面构建ACI的想法了。

打破业界对思科的固有认知?

不管是封闭，还是ACI是硬件架构，是思科在面对用户，面对市场，都会被每每质疑的论调。虽然思科在公开或非公开的很多场合都会做出解释，但往往会引来更多的解读和批判。

在《ACI是SDN技术吗?》一文中，对思科ACI的开放API、合作伙伴生态系统做了说明，引用到这里。后面还有思科二位专家的QA。

思科ACI支持可扩展的合作伙伴生态系统，其中包括4-7层网络服务;虚拟机管理程序;以及管理、监测和云编排平台。所有合作伙伴都使用思科ACI的开放API和开发工具包、设备封装和插件，以及OpFlex。

开放API：思科ACI支持通过REST接口的API接入、GUI和CLI以及一些软件开发工具包(包括Python和Ruby)。思科APIC支持跨HTTP/HTTPS的REST API，并绑定XML和JSON编码。这个API同时提供类级别和树级数据访问。REST是分布式系统软件架构，多年来，它一直是领先的Web服务设计模型，并已经逐渐取代简单对象访问(SOAP)和Web服务描述语言(WSDL)等其他设计模型。

合作伙伴生态系统和OpFlex：南向API—OpFlex是开放的可扩展策略协议，用于在策略控制器(例如思科APIC)和任何设备(包括管理程序交换机、物理交换机和4-7层网络设备)之间的XML或JSON传输抽象策略。思科的合作伙伴包括英特尔、微软、Red Hat、Citrix、F5、Embrane和Canonical，现在他们正与IETF和开源社区合作来规范OpFlex，并提供参考部署。

思科将APIC装进了盒子，部署在了其UCS服务器上。每当思科要将其某项强大的功能和软件绑定在硬件产品上时，业界总会吹毛求疵一些。李少杰指出了几点，“其一，APIC部署在UCS服务器上，能够给APIC更好的安全健壮性;其二，思科有UCS服务器产品，如果其他网络供应商有自己的服务器产品，相信也会是这种解决方案;其三，APIC从诞生之初就没有考虑过APIC单独提供;其四，将APIC单独以软件形式提供给用户，完全没有技术上的问题。如果用户接受ACI概念，还会在乎一台UCS服务器吗?”

在与思科两位专家的interview之后，思科又对“将APIC放在UCS中，以硬件形式提供”做了进一步的邮件说明，回复如下：“在软件领域的任何实现成果都极易受到安全威胁的影响。思科也确实考虑在软件或者虚拟机环境中率先引入APIC控制器。然而，参与过alpha/beta测试的客户们给出结论称，思科需要提供更进一步的保护手段、而非单纯对底层操作系统及应用程序进行强化。APIC设备当中通过TPM建立起基于硬件的安全密钥机制，旨在进一步巩固这套控制器平台。借助这种方式，利用代码插入方式攻击该控制器的行为将在很大程度上得到避免。”

不过，APIC或其他厂商的控制器是通过软件提供给用户，还是落到标准化的服务器上，最终还是由市场和客户决定吧，思科做出了硬件方式的选择而已。

木秀于林，风必摧之;行高于人，众必非之。当IT168提到业界的一些质疑声时，二位专家是这样解答的。

IT168：思科ACI晚了吗?

马元骐：思科在前期一直在观察SDN的发展，SDN最初的发展虽然很热闹，但缺少明确的方向性，思科不会为了抢市场的话语权而轻易说，网络必须要向SDN转变，而是要从思科所拥有的庞大客户群的角度出发了解SDN的需求，呈现到底如何。现在我们后发先至了。

IT168：ACI封闭吗?

李少杰：首先要看ACI是否解决了客户的问题，其次思科ACI的接口都是开放的，如果客户有能力的话，完全可以做一个控制器来管理APIC都行。将GBP、Opflex推送给开源社区和标准组织就是最好的证明。

IT168：怎么看待白牌交换机的发展?

马元骐：白牌交换机如果没有自研芯片和软件就没有未来，而这两个方面是需要积累的。同时，小型机转向x86就是过往最好佐证。

李少杰补充：白牌交换机在初期也许可能没有问题，但后续软件版本的升级、维护和技术支持谁来保证?

IT168：Opflex是私有协议吗?

马元骐：任何技术在它的成长和完善阶段都可以认为是私有协议，但随着不断成熟并商用，它的私有性会越来越弱化。

IT168：中国用户对ACI买账吗?

李少杰：目前在中国市场，在半生产网、实验局的用户总计大概有20几家。

结语：不管是SDN，NFV仍然还处于不断完善和变化中，标准组织、厂商和用户的磨合都让这次深层次的架构性变革走的踏实。我们观察到，思科凭借ACI在SDN市场的影响力正在加大，客户的选择就是见证。采访中思科还透露了ACI未来的发展方向，如更多的弹性，与Docker的结合，支持Openstack的后续发展，以及定义4-7层服务Service Chaining等等。