従来のスイッチデバイスであれば、一時的に通信を行えないようにしたい場合は「SVI を Shutdown する」という手法が取れました。 Cisco ACI の場合、近い手法として以下が考えられます。
- AppEpg を Shutdown する
- BD Subnet で
No Default SVI Gatewayを設定する
但し、このふたつの設定は若干動作が異なります。 今回はこれらの動作の違いについてメモします。 尚、動作確認は 5.0(2h) 環境で実施しました。
検証構成図
正常状態
正常状態であれば外部 L3SW で ACI の BD Subnet の経路を受信しています。
L3SW# show ip route 10.0.1.0
Routing entry for 10.0.1.0/24
Known via "ospf 65000", distance 110, metric 20, type extern 2, forward metric 1
Last update from 172.21.11.254 on Vlan2111, 00:00:35 ago
Routing Descriptor Blocks:
* 172.21.11.254, from 10.0.99.201, 00:00:35 ago, via Vlan2111
Route metric is 20, traffic share count is 1AppEpg を Shutdown した場合
ACI 4.0(1) 以降であれば AppEpg を Shutdow することが出来ます。
AppEpg を Shutdown すると「AppEpg が設定されていない」状態と近くなり、外部 L3SW への経路広報も停止されます。
L3SW# show ip route 10.0.1.0
% Network not in tableAppEpg 内の Linux から BD Subnet への ARP も解決出来ず、当然ながら Ping による疎通性も無くなります。 但し、AppEpg 内での折返し通信は可能です。
BD Subnet で No Default SVI Gateway を設定した場合
BD Subnet で No Default SVI Gateway を設定してみます。
外部 L3SW では経路を学習しています。
L3SW# show ip route 10.0.1.0
Routing entry for 10.0.1.0/24
Known via "ospf 65000", distance 110, metric 20, type extern 2, forward metric 1
Last update from 172.21.11.254 on Vlan2111, 00:51:41 ago
Routing Descriptor Blocks:
* 172.21.11.254, from 10.0.99.201, 00:51:41 ago, via Vlan2111
Route metric is 20, traffic share count is 1AppEpg 内の Linux から BD Subnet への ARP も解決出来ず、当然ながら Ping による疎通性も無くなります。 但し、AppEpg 内での折返し通信は可能です。
まとめ
結果をまとめると以下の通りです。
| No. | 設定方針 | 外部 L3SW への経路広報 | AppEpg 内から BD Subnet への通信 | AppEpg 内部折り返し通信 |
|---|---|---|---|---|
| 1 | 正常状態 | ○ | ○ | ○ |
| 2 | AppEpg を Shutdown | X | X | X |
| 3 | BD Subnet を No Default SVI Gateway |
○ | X | X |
コメント