Manualsbrain.com
  1. Инструкции и руководства
  2. Бренды
  3. Cisco
  4. Cisco Nexus 5010 Switch
  5. Руководство По Проектированию

Руководство По Проектированию для Cisco Cisco Nexus 5010 Switch

Скачать
Страница из 32
 
 
© 2012 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 
Page 5 of 32 
Figure 2.    Assigning 10 Gigabit Ethernet Ports to VDC in Groups of Four 
 
VDC Best Practices 
The following list summarizes some best practices for using VDCs: 
● 
For high-security, sensitive environments, it is recommended that the default VDC be reserved as a master 
VDC and strictly used for the administration of the other VDCs. You should not run data path traffic through 
the master VDC unless absolutely necessary. 
● 
In all VDC environments, it is recommended that access to the default VDC be restricted; assign to each 
user the fewest privileges necessary to accomplish operational tasks required by the job. For example, 
unless a particular user must configure global VDC parameters or provision other VDCs, that user should 
be assigned the vdc-admin role and not the network-admin role.  
● 
If the master VDC must be used for traffic, allocate the VDCs such that the domain with the highest 
availability requirements, or highest priority, is carried in the master VDC. This minimizes the likelihood that 
operations on a lower priority or less critical VDC (for example, resource reallocation and system reload) will 
impact the highest-priority or more critical domain. 
● 
If VDCs have separate administrative domains (different vdc-admin roles defined), you should be very 
careful when using AAA for authentication and authorization. Authenticating to the same authentication, 
authorization, and accounting (AAA) server across VDCs will implicitly apply authentication as if all VDCs 
are managed by a single administrative domain. 
● 
To correctly segregate administrative domains between VDCs, and prevent an admin account from one 
VDC accessing another VDC, you should either use a different access control server (ACS) server per 
VDC, or create different admin user groups on the AAA server and limit the access of those user groups. 
To accomplish this, use a feature such as Network Access Restrictions (on Cisco Secure ACS), to specify 
AAA client IP addresses or groups. This works because each VDC sources its AAA traffic from its local 
management interface IP address, distinguishing VDCs from each other. 
● 
Explicitly configure the high-availability policy of newly created VDCs to restart or bring down the system 
in a dual-supervisor configuration to minimize the impact of the failure within a single VDC. The default 
high-availability policy for VDCs in a dual-supervisor system is switchover. This will initiate a supervisor 
switchover of all VDCs if there is a failure in a single VDC. 
● 
Review the control plane policing (CoPP) policy and rate limits to ensure that they are appropriate for the 
deployment environment. The system will apply CoPP collectively for all VDCs since there is only one 
logical, in-band control plane interface. Ensure that the configured limits will satisfy the requirements of all 
necessary control plane traffic for all active VDCs.