思科ACI以应用为中心的SDN解决方案

   ACI由应用策略基础设施控制器(APIC)、Nexus 9000产品搭建的NG  Fabric和NX-OS操作系统的增强版组成。ACI以应用为中心，将物理机和虚拟机按照IP地址、端口号、VLAN、VMware port group、DNS、VXLAN segment ID等信息编入终端端口组（EPG），应用之间的访问抽象为EPG互访，由Contract来定义网络转发策略、安全隔离策略、QoS服务质量策略、负载均衡等高可用策略等。因此说，ACI天生就支持在一个Fabric上实现多个逻辑网络。

    传统数据中心想要实现云计算所需的多租户，只能通过VRF或者VLAN进行隔离，管理复杂并且难以实现资源共享。新一代数据中心ACI的多租户隔离是基于APIC控制器的策略，是白名单式的隔离，因此安全性更高，并且非常灵活。与纯软件的SDN方案相比，ACI工作效率高，可实现硬件和软件并存环境下的高度扩展，单个ACI的Fabric可以支持6万4千以上个租户、1百万个终端、20万个万兆物理端口。  

       ACI将软硬件系统和专用集成电路芯片(ASIC)中的创新与基于开放式API的动态应用感知网络策略模型完美结合在一起，APIC控制器的南向接口驱动交换机硬件，北向接口连接各类管理工具。对比在传统网络上进行逻辑叠加（Overlay）的SDN纯软件解决方案，例如VMWare NSX则忽略了应用对底层硬件网络的要求，代价就是：

1. 每台服务器和虚拟机的开销增加。
2. 管理节点繁多。
3. 扩展性差，如NSX目前只支持5000台主机和5个控制器。
4. 无法感知应用，而虚拟机上应用的信息被NSX增加的包头所掩盖，物理网络的QoS无法生效。
5. 数据中心非虚拟化的服务器与其交互复杂。
6. 无法实现应用可视，不利于故障的检测、隔离和排除。
7. 安全性差，缺乏防火墙、IPS、SSL等，也无法使用外部的硬件安全服务组件，而自身的OVS软件交换机的每个接口仅支持30个访问控制表项。

       因此，纯软件SDN下的应用性能却依然得不到保证。这也是思科ACI理念得到业界热烈反响的重要原因之一。

此外还可利用思科特有的OTV技术实现双活数据中心设计，设计方案如下：