Webcast_DC-NexusDashboardO-mar27-2025.pdf

Instalación de NDO,
Beneficios y Navegación en
Interfaz Gráfica
Comunidad de Cisco
Enrique Gómez – High Touch Technical Support Engineer ACI TAC
Wilfrido Santoyo – High Touch Technical Support Engineer ACI TAC
Jueves 27 de Marzo de 2025

© 2025 Cisco and/or its affiliates. All rights reserved.
Conecte, Interactúe,
¡Colabore! Premios Spotlight Awards
¡Destaca por tu esfuerzo y compromiso para mejorar
la comunidad y ayudar a otros miembros!
Los premios Spotlight Awards se otorgan trimestralmente para
reconocer a los miembros más destacados.
Conoce a los ganadores de Noviembre-Enero 2025
¡Ahora también puedes nominar a un candidato! Haga clic aquí
Soluciones
Ayuda a otros usuarios a encontrar las respuestas correctas
en el motor de búsqueda de la comunidad indicando que la
duda fue resuelta al activar la opción “Aceptar como solución”
u otórgales un voto de utilidad.
Votos de utilidad
¡Resalta el esfuerzo de otros miembros!
Los votos útiles motivan a otros miembros que colaboran en
la comunidad, a seguir ayudándonos a contestar las
preguntas abiertas, y ofreciéndoles la oportunidad de ganar
premios. ¡Reconoce su esfuerzo!
2

© 2024 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Technical Consulting Engineer
Es Ingeniero Consultor Técnico del equipo de ACI Data
Center para Cisco México.
Él se incorporó a Cisco en 2021, pero ya cuenta con
varios años de experiencia como ingeniero de redes, para
la gestión y operación de redes LAN-WAN en oficinas y
centros de datos con varias empresas.
Además, Enrique cuenta con las certificaciones de CCNP
Enterprise, Data Center Core, y actualmente se está
preparando para tomar su examen ACI Specialist
Advanced.
Nuestros
expertos
Enrique Gómez
3

© 2024 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Technical Consulting Engineer
Se unió a Cisco en 2020 y actualmente es Ingeniero
Consultor Técnico de Cisco TAC en el equipo de ACI Data
Center. Wilfrido comenzó su carrera dentro de Cisco en el
equipo de Routing and Switching Enterprise que brinda
soporte a los equipos de la serie Catalyst 9000.
Anteriormente trabajó como ingeniero de operaciones TI
en la Ciudad de México adquiriendo conocimientos en
seguridad con equipos firewall así como la gestión y
mantenimiento de redes WAN.
Wilfrido está certificado como CCNA, DevNet Associate,
VMWare VCP-DCV, DC ACI y actualmente se está
preparando para presentar la certificación CCNP / DC
Core.
Nuestros
expertos
Wilfrido Santoyo
4

Alcance
6
• Se abordará la instalación de NDO.
• Se explicarán las consideraciones para la red ISN en Multi-Site.
• Se explorará la interfaz gráfica de NDO y sus principales
componentes.
• Herramientas y consejos útiles que el equipo del TAC recomienda.

ACI > Application Centric Infrastructure
AWS > Amazon Web Services
APIC > Application Policy Infrastructure Controller
API > Application Programming Interface
ASN > Autonomous System Number
BD > Bridge Domain
ESXi > Elastic Sky X Integrated: Servidor físico que permite
ejecutar múltiples máquinas virtuales
DNS > Domain Name Resolution
GUI > Graphical User Interface
NDO > Nexus Dashboard Orchestrator
ISN > Inter-Site Network (Red Intersitios)
ND > Nexus Dashboard
NDI > Nexus Dashboard Insights
BGP > Border Gateway Protocol
EVPN > Ethernet VPN
MSO > Multi-Site Orchestrator
MP-BGP > Multi-Protocol Border Gateway Protocol
MTU > Maximum Transmission Unit
NDFC > Nexus Dashboard Fabric Controller
NTP > Network Time Protocol
OVA > Open Virtual Appliance File
OSPF > Open Shortest Path First
TAC > Technical Assistance Center
VXLAN > Virtual eXtensible Local Area Network
VRF > Virtual Routing and Forwarding
Tabla de los acrónimos utilizados en esta presentación
7

Expectativas
¿Necesita más información?
Tenemos presentaciones disponibles para la comunidad
https://bit.ly/ArchivosCommunityLive
• Se asume que los asistentes tienen experiencia con configuraciones en ACI.
• Manejo de conceptos como Access Policies, Tenant Policies, EPG, L3Out, Bridge Domain.
• Conocimiento teórico en solución Multi-Site.
• Experiencia con protocolos de ruteo y estructura VXLAN.
Inmersión profunda al Enrutamiento Basado en Políticas (PBR)
Configuración de vPC en ACI y herramientas de troubleshooting
¿Cómo abordar problemas de superposición de VLAN en ACI?
Virtualización en ACI
8

Agenda 1. ¿Qué es NDO?
2. Comparación MSO & NDO.
3. Requerimientos para red ISN e Instalación de NDO.
4. Navegación por GUI de NDO, Conceptos clave.
5. ¿Cómo agregar y gestionar sitios (Solución Multi Site)?
6. Validación de servicios, PODs y Contenedores.
9

¿Qué es NDO?
¿Qué es NDO?
Comparación MSO &
NDO
10
Requerimientos para red
ISN e Instalación de
NDO
Navegación por GUI de
NDO, Conceptos clave
¿Cómo agregar y
gestionar sitios
(Solución Multi Site)?
Validación de servicios,
PODs y contenedores

Definición de NDO
11
✓ Es una aplicación o servicio que se instala
directamente en Cisco ND
✓ Permite coordinar, manejar políticas y redes de
diferentes data centers haciendo uso único de
una interfaz gráfica.
✓ NDO permite interconectar sitios (diferentes data
centers) usando una gran variedad de
tecnologías de Cisco como ACI, Cloud ACI, y
NDFC.

Definición de NDO (cont.)
12
✓ Puede ser extendido en diferentes nubes públicas
facilitando implementaciones híbridas,
minimizando instalación de hardware en sitio.
✓ Contar con NDO asegura tener alta disponibilidad
y escalabilidad, pensando en implementaciones
futuras.

Permite monitorear
la salud de las
fábricas
interconectadas.
Es el punto central
de configuración de
políticas y tenants.
Ofrece escalabilidad
de sitios completos
en función al
crecimiento de la
red.
Facilita donde aplicar
configuración, a un
solo sitio, múltiples
sitios o
implementaciones en
la nube.
13
NDO para ACI

Nota: Esta pregunta admite hasta 3 respuestas

Comparación MSO & NDO
¿Qué es NDO?
Comparación MSO &
NDO
15
NDO
¿Cómo agregar y
gestionar sitios
PODs y contenedores

o Multi-Site Orchestrator (MSO) fue la primer
opción para la solución Multi-Site en ACI.
MSO
MSO vs NDO
NDO
❑ Nexus Dashboard Orchestrator es una nueva
plataforma o evolución de MSO utilizada hoy en
día.
16
o En MSO, cada nodo era configurado sobre una
instancia virtual de VMware vSphere conocida
como OVA.
o Para obtener alta disponibilidad, cada nodo tiene
que tener un host ESXi independiente.
❑ NDO es una aplicación o servicio que es
instalado directamente en Nexus Dashboard.
❑ Clúster de ND por medio de ESXi hosts,
hipervisores, AWS, Azure brindado alta
disponibilidad.
❑ Ofrece una interfaz más avanzada al usuario y
mayor funcionalidad para el manejo de sitios.

TAC Tip
▪ Todas las instancias de MSO están oficialmente fuera de soporte (EoS / EoL).
▪ MSO 3.1(1) fue la última versión con soporte, la recomendación es tener NDO para
continuar con actualizaciones y soporte.
▪ https://www.cisco.com/c/en/us/products/collateral/cloud-systems-management/multi-
site-orchestrator/mso-eol-bulletin.html
17
Les compartimos un TAC Tip

Cisco Multi-Site
Orchestrator (MSO)
Cisco Nexus Dashboard
Orchestrator (NDO)
18
Previo a versión 3.1(1) Posterior a versión 3.2(1)

Requerimientos para red ISN
e Instalación de NDO
¿Qué es NDO?
Comparación MSO &
NDO
19
NDO
¿Cómo agregar y
gestionar sitios
PODs y contenedores

Requisitos previos a instalar NDO
20

Antes de comenzar la instalación de NDO, se debe
tener funcionando el clúster de ND y la conectividad
hacia la fábrica de ACI (APICs)
21

Cisco ND es una consola de administración central para múltiples data centers y es la plataforma común para alojar
los servicios que operan los data centers con tecnología de Cisco tales como ND Insights y NDO
22
ND Cluster
NDO
ND Insights
Data Centers

23
ND Cluster
Cada clúster de ND suele estar compuesto por uno o tres nodos maestros. Además de nodos en standby para facilitar
la recuperación del clúster en caso de fallo de algún nodo maestro.
Esta presentación no incluye la instalación de ND ni los requerimientos para hardware para ND, sin embargo pueden
consultar las guías de instalación y los requerimientos de hardware aquí:
https://www.cisco.com/c/en/us/td/docs/dcn/nd/3x/deployment/cisco-nexus-dashboard-deployment-guide-301/nd-
deploy-overview-30x.html
ND Cluster
ND Cluster
Standby Node

Para la planeación de la capacidad de ND, se puede consultar este documento:
https://www.cisco.com/c/dam/en/us/td/docs/dcn/tools/nd-sizing/index.html
Requisitos previos a instalar NDO (cont.)
24
Como regla general, la primera vez que se configura ND, se
proporcionan dos direcciones IP:
• Una IP es para la interfaz de la red de datos que es utilizada para
la comunicación entre los nodos del clúster y la fábrica ACI.
• La otra IP es utilizada por la interfaz de administración para poder
conectarse al ND por medio de la interfaz gráfica, línea de
comando o configuración por APIs.
ND Cluster

TAC Tip
• Las dos direcciones IPs antes mencionadas deben estar en diferentes subnets.
• ND requiere servidores de NTP y DNS funcionando.
25

Requisitos de los switches Spine
Multi-Site requiere spine switches de
segunda generación (Cloud Scale)
para la conectividad entre sitios.
Requisitos de los Leaf switches
Multi-Site no tiene una dependencia
los leaf switches, por lo tanto, se
pueden utilizar los mismos modelos
de leaf switches que en cualquier
fábrica de ACI.
26
ISN
2nd Gen
Spines
1st Gen
Spines
Leaf switches sin dependencia para Multi-Site
NDO

27
APIC
Server
Spine
Leaf
¿Más detalles a cerca de compatibilidad de hardware?
La lista completa de hardware compatible está disponible en la
Matriz de compatibilidad de hardware de los switches ACI:
https://www.cisco.com/c/dam/en/us/td/docs/Website/datacenter/
acihwsupport/index.html

Requerimientos para red ISN
Provisionamiento de la red Intersitios
(ISN – Inter-Site Network)
• La red ISN, permite conectar
diferentes instancias de ACI
denominados como sitios, así
mismo soporta tráfico encapsulado
en VXLAN, permitiendo conectividad
de capa 2 y capa 3 entre sitios.
• Es importante destacar que la red
ISN NO es administrada por el APIC
o NDO, ésta debe ser previamente
provisionada de forma
independiente antes de cualquier
configuración en ACI.
28
ISN
Sitio 1 Sitio 2

Requerimientos para red ISN (cont.)
Latencia:
No existe un límite de latencia entre
diferentes fábricas de ACI dentro del
mismo dominio Multi-Site.
29
ISN
Sitio 1 Sitio 2
NDO
RTT =500ms entre NDO y ACI
RTT =150ms entre nodos ND
NOTA: Para verificar versiones
compatibles entre ND, NDO y ACI
consulte la matriz de compatibilidad:
Cisco Nexus Dashboard and Services
Compatibility Matrix

• Subinterfaces en Vlan 4
• Sesión de OSPF o BGP
30
ISN
Sitio 1 Sitio 2
NDO
• MTU adicional de 50B para
soportar VXLAN (9150)
• Configuración de DHCP

NOTA:
• No es mandatorio una MTU de 9150 en los enrutadores ISN para la comunicación entre sitios, el valor
mínimo requerido depende principalmente de la MTU del tráfico generado por los End Points conectados
a ACI.
• Para obtener más información al respecto, consulte la sección "Consideraciones sobre la implementación
de la red entre sitios (ISN)" del documento ACI Multi-Site:
https://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application-centric-
infrastructure/white-paper-c11-739609.html#IntersiteNetworkISNdeploymentconsiderations
31

32
ISN
Sitio 1 Sitio 2
NDO
!
interface Ethernet1/49.4
description L3 Link to Pod1-Spine1
mtu 9150
encapsulation dot1q 4
vrf member ISN
ip address 192.168.1.1/31
ip ospf network point-to-point
ip router ospf ISN area 0.0.0.0
no shutdown
!
!
interface Ethernet1/49.4
description L3 Link to Pod2-Spine1
mtu 9150
encapsulation dot1q 4
vrf member ISN
ip address 192.168.2.1/31
ip ospf network point-to-point
ip router ospf ISN area 0.0.0.0
no shutdown
!

Provisionamiento de la red Intersitios (ISN)
• Las interfaces de los routes ISN pueden formar parte de una VRF dedicada o en la tabla global. El uso de una
VRF dedicada, siempre que sea posible, es una buena práctica recomendada, para evitar el envío a los nodos de
la red principal de más prefijos de los estrictamente necesarios para el control del multisitio.
• A partir de la versión 5.2(3) de ACI y la versión 3.5(1) de NDO, también es posible implementar BGP para
sessions entre los Spines y los dispositivos ISN. Sin embargo el prefijo sumarizado debe configurarse en el APIC
como parte de la política “Fabric External Routing Profile” definida en el tenant “infra” > Policies > Protocol >
Fabric External Routing Profiles
33

34
ISN
Sitio 1 Sitio 2
NDO
Los prefijos requeridos para establecer
el control entre sitios y la conectividad
de datos que deben ser “anunciados” en
la ISN son >
Es una buena práctica y es recomendado asignar estas direcciones IP de un rango dedicado y permitir la
publicación de todos esos prefijos /32 específicos en todos los sitios
• Router ID > MP-BGP EVPN
• O-UTEP
• O-MTEP

Si se desea, aunque no es una buena práctica, también es posible sumarizar todos los prefijos /32 utilizados en un
sitio y enviar solo la ruta sumarizada de uno hacia otros sitios. Para ello, se requiere un paso de configuración
adicional en todos los APICs para garantizar que las rutas sumarizadas se puedan redistribuir dentro de la fábrica.
1. Como en el caso de BGP entre Spines e ISN, el prefijo sumarizado debe configurarse en el APIC como parte de la política
“Fabric External Routing Profile” definida en el tenant “infra” > Policies > Protocol > Fabric External Routing Profiles
35
1

Preparando APIC para la Instalación de NDO
36

Información de equipos utilizados y versiones
correspondientes.
Se utilizaron las siguientes versiones para la información presentada en posteriores
diapositivas.
Nexus Dashboard: 3.0(1i)
Nexus Dashboard Orchestrator: 4.2.3k
ACI Sitio 1: 6.0(8f)
ACI Sitio 2: 6.0(3d)
37

o Antes de iniciar con la configuración de las Access Policies.
Preparando APIC para la Instalación de NDO
38
o Cada sitio debe tener configurado un Pod profile y un Pod Policy Group asociado.
o Típicamente estos dos parámetros son configurados en los APICs cuando se crea por primera vez la fábrica de ACI, pero si por
alguna razón no están, hay que crearlos.

✓ VLAN Pool
Preparando APIC para la Instalación de NDO (cont.)
39
✓ L3 Domain
✓ AAEP
✓ Interface Policy Group
✓ Interface Profile
Vlan Pool
Domain
AAEP
Policy
Group
Interface
Profile
List of
Policies

Instalación de NDO desde ND
40

TAC Tip
❖ No dejar cambios de configuración pendientes para algún template.
41
❖ Realizar respaldo de configuración después de completar todos los cambios pendientes.
❖ Verificar espacio en los nodos de ND (df –h), antes de comenzar la actualización, connectarse con ssh y usuario
rescue-user.
❖ Nunca desahabilitar versiones previas y habiltar nuevas versiones, esto puede corromper la base de datos y en
caso de recuperación usando un respaldo los servicios fallarán.
Consideraciones al actualizar NDO

Navegación por GUI de NDO,
Conceptos clave
¿Qué es NDO?
Comparación MSO &
NDO
43
NDO
¿Cómo agregar y
gestionar sitios
PODs y contenedores

Para abrir la aplicación de NDO en ND, existen
dos métodos:
Explorando la interfaz gráfica de NDO
44
1
2
3
1. Navegar a
Operate -> Services
Se desplegará el submenú con todas
aplicaciones instaladas, seleccionar Open
Nexus Dashboard Orchestrator

2. En el menú principal, después de
Nexus Dashboard, expandir menú
desplegable Admin Console
Explorando la interfaz gráfica de NDO (cont.)
45
1
Seleccionar Orchestrator
2

Creación de Tenant desde NDO.
Explorando la interfaz gráfica de NDO
46
Navegar
Operate -> Tenants -> Create Tenant
1
2
3
❑ Es importante definir primero los Tenants en esta sección ya que después se usarán para definir los templates
y schemas a utilizar
❑ También se asocian los sitios donde se aplicará el tenant creado

• La configuración a nivel de Tenant desde NDO es obligatoria cuando se usa la solución Multi-Site.
• Configuración de políticas a nivel de fábrica es opcional.
Definición de Templates
47
Configuración a nivel de tenant
Application policies, Tenant
policies, L3Outs, etc.
Configuración manejo fábrica
Define fabric access policies,
políticas de monitoreo e interfaz

Schema
Sitio 1
Políticas aplicadas
Sitio 2
Tenant 1
Template Sitio Local
Definición
de políticas
EPG1
EPG2
c
Template Stretched
Definición
de políticas
EPG3
EPG4
c
Definición de Schemas y Templates
48
Templates Multi-Site
Un template representa una unidad
de cambio de configuración de
políticas
Un schema es simplemente un
contenedor de templates de uso
común.

Schema
Sitio 1
Sitio 2
Tenant 1
Template Sitio Local
Definición
de políticas
EPG1
EPG2
c
Template Stretched
Definición
de políticas
EPG3
EPG4
c
49
Templates Multi-Site
✓ Un Template Multi-Site que es
asociado a un único sitio
únicamente desplegará políticas
a él.
✓ Un Template Multi-Site asociado
a múltiples sitios (Stretched)
despliega políticas a todos los
sitios asociados.

TAC Tip
Como mejor práctica se recomienda tener, 1 Template para cada sitio y 2 Templates Stretched
50
Sitio 1
Sitio 2
Schema
Tenant 1
EPG1 EPG2
AP 1
BD1 BD2
Template Sitio 1
EPG3 EPG4
AP 1
BD3 BD4
Template Sitio 2
EPG5 EPG6
AP 1
BD5 BD6
Template Stretched 1
C1
Template Stretched 1
VRF PBR
NDO

51
Templates Autónomos
✓ Un Template autónomo puede
ser asociado a uno o más sitios
que operan de manera
independiente.
✓ La diferencia con los templates
Multi-Site es que no se generan
objetos stretched (comunes a
ambos sitios).
Schema
Sitio 1
Sitio 2
Tenant 1
Template autónomo
Definición
de políticas
EPG1
EPG2
c

La creación de objetos sigue la misma secuencia que la configuración clásica en ACI.
Definición de Schemas y Templates (cont.)
52
VRF -> Application Profile -> EPG -> BD

Una vez finaliza la configuración en NDO, se ve reflejado automáticamente en los APICs (dependiendo a qué sitio fue
aplicada la configuración) con una pequeña leyenda NDO.
Definición de Schemas y Templates (cont.)
53

Nota: Esta pregunta admite hasta 2 respuestas

¿Cómo agregar y gestionar sitios
¿Qué es NDO?
Comparación MSO &
NDO
55
NDO
¿Cómo agregar y
gestionar sitios
PODs y contenedores

Hasta la versión 3.1(1) de MSO, el proceso de incorporación del sitio debía realizarse directamente en MSO. A
partir de la versión 3.2(1), NDO solo es compatible como servicio ejecutándose en un clúster de ND; en ese caso,
el proceso de incorporación del sitio debe realizarse directamente en ND (Admin Console).
Agregar y gestionar sitios de ACI en NDO
56

• Después de seleccionar
“Add Site”, la siguiente
pantalla se muestra y nos
permite introducir la
información específica del
APIC para el sitio de ACI
que queremos agregar en
NDO
Agregar y gestionar sitios de ACI en NDO (cont.)
57

• Cuando un sitio es puesto como “Managed”, en NDO, el usuario debe introducir un número de identificación para
este sitio, el cual tiene que ser único
• Una vez que la fábrica se ha convertido a “Managed”, será desplegada en el panel de control del NDO
Agregar y gestionar sitios de ACI en NDO (cont.)
58

Una vez que los sitios se hayan incorporado en el Panel de Control de ND y se hayan configurado como "Managed" en
NDO, es necesario realizar la configuración de infraestructura específica que permita conectar cada sitio al ISN. Esto
es necesario para que los Spines en cada fábrica puedan establecer las sesiones OSPF o BGP con los routers de la
red ISN conectados directamente.
Configuración de infra entre sitios
59
ISN
Sitio 1 Sitio 2
NDO
OSPF o BGP OSPF o BGP

Se recomienda antes de iniciar la configuración, tener identificadas las interfaces de conexión entre los Spines y
la ISN, además del esquema de direccionamiento con las direcciones IP para estas conexiones, los routers ID,
O-UTEP y O-MTEP como se muestra en la siguiente tabla:
Configuración de infra entre sitios (cont.)
60

• La configuración comienza seleccionando “Configure” > “Site to Site connectivity” > Configure, en NDO
61

Después de seleccionar “Configure Infra”, la
página “Fabric Connectivity Infra” es desplegada.
Tipo de paridad BGP
• full-mesh: Todos los Spine switches en cada sitio
establecen conectividad con los Spine switches en los
sitios remotos.
• route-reflector: La opción route-reflector
permite especificar uno o más nodos en cada sitio para
establecer las sesiones de MP-BGP EVPN. El uso
de route-reflector evita crear sesiones full mesh de
MP-BGP EVPN entre todos los sitios administrados
por NDO.
NOTA: Para fábricas ACI, la opción route-reflector es
efectiva para fábricas que son parte del mismo BGP ASN.
62

• La página siguiente es desplegada al selecionar “Configure”> "Site to Site Connectivity" > "Configure" > "Sites"
63

Configuración a nivel de Sitio
1. Checkbox Multi-Site: Active esta opción para habilitar Multisitio en la fabrica ACI
2. Overlay TEP Multicast: La dirección O-MTEP utilizada para recibir tráfico BUM (o L3 multicast) originado
desde un sitio remoto. Una sola dirección O-MTEP se asocia a una fábrica ACI
1
2

Configuración a nivel de Sitio
1. Número de sistema autónomo
BGP: El valor de ASN local que
se obtiene del APIC.
2. Configuración OSPF (ID de
área, tipo de área, políticas):
Estos son los parámetros OSPF
necesarios para establecer las
paridad OSPF entre los Spines
y dispositivos capa 3 de la ISN
3. External Routed Domain: Este
es el L3 Domain definido en
APIC como parte de las
políticas de acceso para
conectar los Spines al ISN.
1
2
3
Nexus Dashboard Orchestrator Sites Infra Configuration

Configuración a nivel POD
“Configure”> "Site to Site Connectivity" >
"Configure" > "Sites" > Nuestro Site >
Click en POD la siguiente página es
desplegada
1. Overlay Unicast TEP: La dirección TEP
anycast implementada en todos los
Spines locales del pod.
2. Prefijo IP para TEP externos: Se
requieren estos prefijos para habilitar
la funcionalidad L3Out entre sitios.
66
1
2

67
Configuración a nivel Spine
“Configure”> "Site to Site Connectivity" >
"Configure" > "Sites" > Nuestro Site >
Spine, la siguiente página es desplegada:
1. Ports - Específica las interfaces de los
Spine locales utilizadas para
conectarse a la infraestructura ISN.
1

68
Configuración a nivel Spine (Cont)
Para cada interfaz, se deben especificar los
siguientes parámetros:
1. Ethernet Port ID
2. IP address
3. Description
4. MTU
Nota:
Se debe asegurar que el valor MTU utilizado en
esta configuración coincida con el valor configurado
en la interfaz del router ISN, no es recomendable
configurar un valor de "MTU ignore"
1
2
3
4

69
1. OSPF Policy: Hace referencia a la política
específica creada o seleccionada durante la
configuración a nivel de sitio. Generalmente, es
necesario especificar que se trata de interfaces
punto a punto OSPF.
2. OSPF Authentication: Permite habilitar la
autenticación (deshabilitada por defecto).
Nota: Los parámetros OSPF desaparecerán si OSPF
está deshabilitado y se mostrarán diferentes
parámetros BGP al habilitar el uso de BGP para el
intercambio de tráfico entre los Spines y los
dispositivos ISN.
1
2

70
1. BGP Peering: Esta perilla debe estar
habilitada para garantizar que los Spines
establezcan interconexiones EVPN MP-BGP
con los Spines en fábricas remotas.
• Al menos dos Spines por fábrica (para mayor
redundancia) deben estar configurados con
esta perilla habilitada.
• Los demás Spines No configurados para
multi-sitio asumen la función de
"reenviadores", lo que significa que
establecen sesiones EVPN MP-BGP solo con
los Spines de otros PODs en la misma
fábrica ACI y no con los Spines en sitios
remotos. Estos Spines aprenderán la
información de los EPs remotos de los
Spines locales configurados para multi-sitio
a través de COOP.
1

71
1. BGP-EVPN ROUTER-ID: Interfaz
loopback en cada Spine, utilizada para
establecer sesiones EVPN MP-BGP
con los reenviadores locales y con los
Spines habilitados para BGP en los
sitios remotos. Esta IP debe ser
enrutable en la infraestructura ISN.
1

TAC Tip
72
Nota Importante acerca de la configuración para el Router-ID, cambio disruptivo:
El Router-ID especificado en la configuración anterior para a nivel Spine reemplazará el
actual Router-ID original asignado del TEP interno durante la activación de la fábrica.
Esto provoca el restablecimiento/desconexión de las sesiones VPNv4 MP-BGP
establecidas entre los Spines como RR y los leaf switches con la consiguiente
interrupción temporal de los flujos de tráfico.
Por lo tanto, se recomienda realizar la configuración un Spine a la vez y,
preferiblemente, durante una ventana de mantenimiento.
Las mismas consideraciones se aplican a la eliminación de un sitio cuando una
estructura debe desasociarse de NDO. La simple eliminación de un sitio en NDO no
remueve la configuración del Router-ID asignado previamente por NDO y seguirá
utilizándose. Sin embargo, si se elimina el L3Out infra directamente en el APIC, el
Router-ID del Spine cambiará al TEP asignado originalmente y eso también provocaría
una interrupción temporal del tráfico debido al reinicio/desconexión de las sesiones
BGP.

73
1. Spine is route reflector: La última
perilla solo es necesario habilitarla si
las fábricas del multisitio forman
parte del mismo ASN BGP y se
desea configurar los Spines como
Route-Reflector. La mejor práctica
es mantener el comportamiento
predeterminado de crear peerings
de malla completa (full mesh).
1

Validación de servicios, PODs
y contenedores
¿Qué es NDO?
Comparación MSO &
NDO
74
NDO
PODs y contenedores
¿Cómo agregar y
gestionar sitios

Validación de servicios, PODs y contenedores
Validación de servicios e información general en la interfaz gráfica de ND.
75
Operate > Services > Installed Services > Click en aplicación Nexus Dashboard Orchestrator
1
2
3

PODs y containers pueden ser verificados desde la interfaz gráfica de ND.
Validación de servicios, PODs y contenedores (cont.)
76
System Resources -> Pods / Containers.

El uso de memoria de Pods en ND puede ser validado en la interfaz gráfica
Validación de servicios, PODs y contenedores (cont.)
77
Analyze > Resource Utilization

Validación de servicios, PODs y contenedores
CLI
78

79

Cierre
80
• Se abordó la instalación de NDO.
• Se explicaron las consideraciones para la red ISN en Multi-Site.
• Se exploró la interfaz gráfica de NDO y sus principales
componentes.
• Repasamos herramientas y consejos últiles que el equipo del TAC
recomienda.

Q&A
81

Responda a nuestra encuesta para…
• Sugerir nuevos temas
• Calificar a nuestros expertos y el contenido
• Enviar sus comentarios o sugerencias
¡Ayúdenos respondiendo a 5 preguntas de opción
múltiple!
Al término de esta sesión, se abrirá una encuesta en
su navegador.
Si hizo una pregunta en el panel de preguntas y
respuestas o regresa a la comunidad en los días
posteriores a nuestro webinar
¡Nuestros expertos aún pueden ayudarlo!
Participe en el foro Ask Me Anything (AMA) y ¡mande
sus dudas antes del viernes de la próxima semana!
¿Aún tiene dudas? Haga valer su opinión
82

Nuestras
Redes Sociales
LinkedIn
Cisco Community
Twitter
@CiscoCommunity
YouTube
CiscoCommunity
Facebook
CiscoCommunity
83

Webcast_DC-NexusDashboardO-mar27-2025.pdf

Apéndice
85

Verificación del estado de los componentes en CLI, rescue-user:
rescue-user@Node-1:~$ acs health
All components are healthy
Servicios de NDO:
rescue-user@Node-1:~$ kubectl get deployment -n cisco-mso
NAME READY UP-TO-DATE AVAILABLE AGE
auditservice 1/1 1 1 67d
backupservice 1/1 1 1 67d
cloudsecservice 1/1 1 1 67d
dcnmworker 1/1 1 1 67d
endpointservice 1/1 1 1 67d
executionservice 1/1 1 1 67d
fluentbit 1/1 1 1 67d
grok 1/1 1 1 67d
importservice 1/1 1 1 67d
jobschedulerservice 1/1 1 1 67d
notificationhub 1/1 1 1 67d
notifyservice 1/1 1 1 67d
pctagvnidservice 1/1 1 1 67d
platformservice 1/1 1 1 67d
platformservice2 1/1 1 1 67d
policyservice 1/1 1 1 67d
schemaservice 1/1 1 1 67d
sdaservice 1/1 1 1 67d
sdwanservice 1/1 1 1 67d
siteservice 1/1 1 1 67d
siteupgrade 1/1 1 1 67d
syncengine 1/1 1 1 67d
templateengine 1/1 1 1 67d
ui 1/1 1 1 67d
userservice 1/1 1 1 67d
waldo 1/1 1 1 67d
Validación de servicios, PODs y contenedores CLI
86

PODs
rescue-user@Node-1:~$ kubectl get pod --namespace cisco-mso
NAME READY STATUS RESTARTS AGE
auditservice-67694499c4-hv4rf 2/2 Running 4 28d
backupservice-6849c48478-vmxsk 2/2 Running 4 28d
cloudsecservice-79f8df6954-fwzw2 2/2 Running 6 28d
dcnmworker-897cff5c4-bmsq5 2/2 Running 4 28d
endpointservice-569b46cf66-hpfsl 2/2 Running 4 28d
executionservice-57c598f864-g8bfn 2/2 Running 4 28d
fluentbit-56975955b8-vmbjk 1/1 Running 2 28d
grok-5c7f8f9f89-82jxj 2/2 Running 10 28d
importservice-7547d7cf8b-99jwq 2/2 Running 4 28d
jobschedulerservice-b5f7cb6cf-whvjg 2/2 Running 5 28d
mongodb-0 2/2 Running 4 28d
notificationhub-5f78477b9b-62slk 2/2 Running 4 28d
notifyservice-74485b76b-smn9h 2/2 Running 4 28d
pctagvnidservice-64dfd4597f-pgxhd 2/2 Running 4 28d
platformservice-85c9976d94-ln74l 2/2 Running 4 28d
platformservice2-7445449b88-47knb 4/4 Running 8 28d
policyservice-f969d45dd-h8f66 2/2 Running 5 28d
schemaservice-54f5d5f666-2m9x4 2/2 Running 4 28d
sdaservice-6dd6d8c778-bvsz9 2/2 Running 4 28d
sdwanservice-698c6956b7-w5n52 2/2 Running 4 28d
siteservice-b5d4d95ff-fcwnm 2/2 Running 4 28d
siteupgrade-5c5dc456b4-22xlk 2/2 Running 4 28d
syncengine-7f8d8968f5-rj4m4 2/2 Running 4 28d
templateengine-5f6444758c-wz24g 2/2 Running 4 28d
ui-55c89bbb46-qjpf7 1/1 Running 2 28d
userservice-55d4cc8779-68xfs 2/2 Running 4 28d
waldo-57cc5484f9-bcxqd 2/2 Running 4 28d
Validación de servicios, PODs y contenedores CLI (cont.)
87

ND, verificando containers dentro de un Pod:
rescue-user@Node-1:~$ kubectl get pod --namespace cisco-mso
NAME READY STATUS RESTARTS AGE
auditservice-67694499c4-hv4rf 2/2 Running 4 28d
backupservice-6849c48478-vmxsk 2/2 Running 4 28d
cloudsecservice-79f8df6954-fwzw2 2/2 Running 6 28d
dcnmworker-897cff5c4-bmsq5 2/2 Running 4 28d
endpointservice-569b46cf66-hpfsl 2/2 Running 4 28d
executionservice-57c598f864-g8bfn 2/2 Running 4 28d
fluentbit-56975955b8-vmbjk 1/1 Running 2 28d
grok-5c7f8f9f89-82jxj 2/2 Running 10 28d
importservice-7547d7cf8b-99jwq 2/2 Running 4 28d
jobschedulerservice-b5f7cb6cf-whvjg 2/2 Running 5 28d
mongodb-0 2/2 Running 4 28d
notificationhub-5f78477b9b-62slk 2/2 Running 4 28d
notifyservice-74485b76b-smn9h 2/2 Running 4 28d
pctagvnidservice-64dfd4597f-pgxhd 2/2 Running 4 28d
platformservice-85c9976d94-ln74l 2/2 Running 4 28d
platformservice2-7445449b88-47knb 4/4 Running 8 28d
policyservice-f969d45dd-h8f66 2/2 Running 5 28d
schemaservice-54f5d5f666-2m9x4 2/2 Running 4 28d
sdaservice-6dd6d8c778-bvsz9 2/2 Running 4 28d
sdwanservice-698c6956b7-w5n52 2/2 Running 4 28d
siteservice-b5d4d95ff-fcwnm 2/2 Running 4 28d
siteupgrade-5c5dc456b4-22xlk 2/2 Running 4 28d
syncengine-7f8d8968f5-rj4m4 2/2 Running 4 28d
templateengine-5f6444758c-wz24g 2/2 Running 4 28d
ui-55c89bbb46-qjpf7 1/1 Running 2 28d
userservice-55d4cc8779-68xfs 2/2 Running 4 28d
waldo-57cc5484f9-bcxqd 2/2 Running 4 28d
rescue-user@Node-1:~$ kubectl get pods -n cisco-mso cloudsecservice-79f8df6954-fwzw2 -
o=jsonpath='{.spec.containers[*].resources.requests}{"n"}'
{"cpu":"100m","memory":"100Mi"}
rescue-user@Node-1:~$ kubectl describe nodes | egrep -A 6 "Allocat"
Allocatable:
cpu: 13
ephemeral-storage: 4030496Ki
hugepages-1Gi: 0
hugepages-2Mi: 0
memory: 57294868Ki
pods: 110
--
Allocated resources:
(Total limits may be over 100 percent, i.e., overcommitted.)
Resource Requests Limits
-------- -------- ------
cpu 9100m (70%) 169250m (1301%)
memory 25758Mi (46%) 336004Mi (600%)
ephemeral-storage 0 (0%) 0 (0%)
88

La utilidad nsenter (solo para usuarios root) permite ejecutar comandos de red desde el nodo ND, como si se
estuviera dentro del contenedor. Para ello, se busca el ID de proceso (PID) del contenedor que se desea investigar.
Esto se logra comparando el ID del Pod K8 con la información local del entorno de ejecución del contenedor, como
Docker para versiones anteriores y cri-o para versiones más recientes, como opción por defecto.
rescue-user@Node-1:~$ acs debug-token
0AMWS93GH6KS
rescue-user@Node-1:~$ ssh root@0
root@0.0.0.0's password:
Nexus Dashboard 3.0.1i
Atomix 9.36
root@Node-1:~#
root@Node-1:~# who
rescue-user pts/2 2025-03-17 19:29 (10.24.210.139)
root pts/4 2025-03-17 20:03 (127.0.0.1)
root@Node-1:~# crictl ps | grep cloudsecservice
3456dce7e6734 38a5e65e3afd4a4dad938d6ffb6eba8583ade84cd4ba4aab02d19cd92b073dac 6 days ago Running msc-cloudsecservice-ssl 2 65e8946082da5
d2ac2aff72e59 Node-1:30012/cisco-mso/cloudsecservice@sha256:15a2539d47eb4724b58346ecec4d654b47c7b6c3894325846fef77c17d550b97 6 days ago Running cloudsecservice 4 65e8946082da5
root@Node-1:~# crictl inspect d2ac2aff72e59 | grep -i pid
"pid": 73770,
"pids": {
"type": "pid"
89

root@Node-1:~# nsenter --target 73770 --net ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1450
inet 172.17.220.43 netmask 255.255.0.0 broadcast 172.17.255.255
inet6 fe80::e0e4:37ff:feac:b087 prefixlen 64 scopeid 0x20<link>
ether e2:e4:37:ac:b0:87 txqueuelen 0 (Ethernet)
RX packets 2718441 bytes 791375202 (791.3 MB)
RX errors 0 dropped 19105 overruns 0 frame 0
TX packets 2542703 bytes 416927459 (416.9 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1000 (Local Loopback)
RX packets 191160 bytes 20404687 (20.4 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 191160 bytes 20404687 (20.4 MB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
root@Node-1:~# nsenter --target 73770 --net wget --no-check-certificate https://10.31.125.151
--2025-03-17 20:10:43-- https://10.31.125.151/
Connecting to 10.31.125.151:443... connected.
WARNING: cannot verify 10.31.125.151's certificate, issued by ‘CN=ciscolabm-WIN-HCCBVNKVKCS-CA,DC=ciscolabm,DC=com’:
Self-signed certificate encountered.
WARNING: certificate common name ‘aci.ciscolabm.com’ doesn't match requested host name ‘10.31.125.151’.
HTTP request sent, awaiting response... 200 OK
Length: 3251 (3.2K) [text/html]
Saving to: ‘index.html’
index.html 100%[===============================================================>] 3.17K --.-KB/s in 0s
2025-03-17 20:10:43 (482 MB/s) - ‘index.html’ saved [3251/3251]
90

Webcast_DC-NexusDashboardO-mar27-2025.pdf

Más contenido relacionado

Similar a Webcast_DC-NexusDashboardO-mar27-2025.pdf (20)

Último (20)

Webcast_DC-NexusDashboardO-mar27-2025.pdf