ACI で BD Subnet 宛通信を「同一ネットワーク」のみに制限する BD Enforcement Status 設定
Cisco ACI 環境において、Contract が設定されていれば、などが設定あれ、Filter 上も許可されていれば Ping による疎通が確認出来るはずです。 これを図解すると以下のようになります。
BD Enforcement Status 有効時の動作¶
Tenant → Networking → VRFs → VRF の BD Enforcement Status にチェックを入れると L3Out (Logical Interface) や BD (BD Subnet) が「同一のネットワーク内からしか、通信に応答しなくなる」という振る舞いをします。 設定箇所は以下です。
動作イメージは以下の通りです。
例外アドレスを登録する¶
BD Enforcement Status によって「BD Subnet」「Logical Interface」に所属しないネットワークからの通信が制限されますが、例外アドレスを設定するには System → System Settings → BD Enforced Exception List から登録することが出来ます。
ただし、この「例外アドレス」設定は Tenant や VRF を見分けることが出来ません。