Cisco ACI では VLAN ID も「EndPoint をどの EPG へ関連付けるか?」という識別子に利用されます。 ACI では条件さえ満たせば「同じ VLAN ID を別 EPG で再利用可能」なのですが、「条件を満たしていないと同じ VLAN ID を再利用出来ない」とも言えます。 これを一覧にすると以下のようになります。
| ケース 1 | ケース 2 | ケース 3 | ケース 4 | |
|---|---|---|---|---|
| L2 Interface Policy | Global Scope | Port Local Scope | Global Scope | Port Local Scope |
| EPG が同一スイッチ収容か? | 異なるスイッチ | 異なるスイッチ | 同じスイッチ | 同じスイッチ |
| 設定上、問題が無いか? | 問題無し | 問題無し | 問題有り (Fault) | 問題無し |
図で表現すると以下のようになります。
以前に下記のメモを書きました。
今回は Route Leak の有る構成 / 無い構成で Resource IDs や Zoning-Rule がどのように表示されるか、確認してみます。 検証は 5.0(2h) で実施しました。
Cisco ACI では EPG が EndPoint を学習します。 デフォルトの状態では対象の EndPoint が「BD Subnet と同じネットワークに所属しているか? 異なるネットワークに所属しているか?」に応じて「IP アドレスを学習するか? 否か?」の挙動が異なります。
| 項目 | IP アドレスを学習するか? |
|---|---|
| BD Subnet と同じネットワークに所属する EndPoint | 学習する |
| BD Subnet と異なるネットワークに所属する EndPoint | 学習しない |
稀に何かの理由で「BD Subnet と異なるネットワークに所属する EndPoint の IP アドレスも学習させたい」ケースがあるかも知れません。 「BD Subnet と異なる IP アドレスを学習させるか? 学習させないか?」は以下、2 つの設定によって制御されます。
System → System Settings → Fabric-Wide Settings → Enforce Subnet CheckTenant → Networking → Bridge Domains → Limit Local IP Learning To BD/EPG Subnet(s)これらを適切に設定することにより、「BD Subnet と異なるネットワークの EndPoint に関しても IP アドレスを学習させる」ことが出来ます。
以前に以下のメモを書きました。
lego を使えば certbot をインストールすること無く、Let's Encrypt の証明書を取得出来ますので非常に手軽です。 lego のバージョンは前回のメモ時点で 2.6.0 だったのですが、現時点の最新は 4.0.1 の為、改めてメモを書き直しておきます。 但し、バージョンによる差異が全く無い為、手順は全く同じです。 また、メモの最後にワイルドカード証明書を発行 / 更新する場合のメモを追加しておきました。
Cisco ACI 5.0 から ESG (EndPoint Security Groups) 機能がサポートされました。 従来の EPG では「異なる BD を跨った EPG」を設定することは出来ませんでした。 しかし、ESG を利用すると BD は無関係に、EPG を自由にグルーピングすることが出来るようになりました。
Cisco ACI において、CLI から EPG や VRF を特定する場合、各々以下の識別子を用います。
ACI の GUI 上であれば Tenant → Operational → Resource IDs → EPGs などから確認することが出来ます。
Unofficial ACI Guide は参考になる情報がたくさん掲載されています。 こちらに ACI Best Practice Configurations という記事がありますが、著者ご本人に翻訳の許可を頂いたので日本語に意訳してみました (Thank you, Jody!)。
以前に Cisco ACI のイベントをリアルタイムで検知する Node.js サンプルスクリプト というメモを書きました。 このメモの Python バージョンを作ったので、改めてメモしておきます。
Cisco ACI で Contract Preferred Groups を使うと EPG を優先グループ / 非優先グループに分けることが出来ます。 Preferred Group 設定には「include」と「exclude」があり、各々以下のように「通信する際に Contract を必要とするか? 否か?」という違いがあります。
| 設定 | 意味 | 説明 |
|---|---|---|
| include | 優先グループ | 優先グループ同士は Contract が無くても通信可能 |
| exclude | 非優先グループ | 通信するには Contract が必要 |
今回は Preferred Group を設定した場合 / していない場合で「実際に Zoning-Rule がどう見えるか?」を確認してみました。 検証は 5.0(2h) 環境で実施しています。
Cisco ACI で ExtEpg (External EPG) と AppEpg (Application EPG) を Contract した場合に作成される Zoning-Rule は AppEpg 同士を Contract した場合と、特に変わりありません。 今回は実際に ExtEpg と AppEpg を Contract し、作成される Zoning-Rule を確認してみます。 検証は 5.0(2h) 環境で実施しました。