Cisco ACI に ELAM Assistant をインストールする
ELAM Assistant は Cisco ACI に無償で追加インストール出来、ACI で「どのようにパケット転送が行われているか?」を確認する上で非常に有益なツールです。 今回は ACI のバージョン 5.x 系へ ELAM Assistant をインストールし、利用開始するまでの手順をメモしておきます。
Cisco¶
Cisco ACI で acitoolkit を使って物理インターフェイスをシャットダウンする
acitoolkit を使って物理インターフェイスをシャットダウンする手順をメモしておきます。
Cisco ACI 5.x 系で DOM を有効化し、トランシーバの光レベルを計測する
Catalyst や Nexus の場合、デフォルトで DOM (Digital Optical Monitoring Statistics) が有効になっており、トランシーバの光レベルをコマンドから確認することが出来ます。 しかし、Cisco ACI の場合はデフォルトで DOM は無効になっている為、明示的に有効化する必要があります。 DOM を有効化するデメリットは無く、運用上は有効にしておいた方が良いと思われます。 但し、そもそもトランシーバが DOM 対応のものでなければ光レベルは取得出来ませんので、「あらゆるトランシーバで光レベルを計測出来るわけでは無い」という点には注意する必要があります。
今回は ACI バージョン 5.x 系で DOM を有効化する手順をメモしておきます。
Cisco ACI における VLAN 重複の考え方整理
Cisco ACI では VLAN ID も「EndPoint をどの EPG へ関連付けるか?」という識別子に利用されます。 ACI では条件さえ満たせば「同じ VLAN ID を別 EPG で再利用可能」なのですが、「条件を満たしていないと同じ VLAN ID を再利用出来ない」とも言えます。 これを一覧にすると以下のようになります。
| ケース 1 | ケース 2 | ケース 3 | ケース 4 | |
|---|---|---|---|---|
| L2 Interface Policy | Global Scope | Port Local Scope | Global Scope | Port Local Scope |
| EPG が同一スイッチ収容か? | 異なるスイッチ | 異なるスイッチ | 同じスイッチ | 同じスイッチ |
| 設定上、問題が無いか? | 問題無し | 問題無し | 問題有り (Fault) | 問題無し |
図で表現すると以下のようになります。
Cisco ACI で Route Leak した際の Zoning-Rule
以前に下記のメモを書きました。
今回は Route Leak の有る構成 / 無い構成で Resource IDs や Zoning-Rule がどのように表示されるか、確認してみます。 検証は 5.0(2h) で実施しました。
Cisco ACI で BD Subnet と異なるネットワークのアドレスを学習させる設定
Cisco ACI では EPG が EndPoint を学習します。 デフォルトの状態では対象の EndPoint が「BD Subnet と同じネットワークに所属しているか? 異なるネットワークに所属しているか?」に応じて「IP アドレスを学習するか? 否か?」の挙動が異なります。
| 項目 | IP アドレスを学習するか? |
|---|---|
| BD Subnet と同じネットワークに所属する EndPoint | 学習する |
| BD Subnet と異なるネットワークに所属する EndPoint | 学習しない |
稀に何かの理由で「BD Subnet と異なるネットワークに所属する EndPoint の IP アドレスも学習させたい」ケースがあるかも知れません。 「BD Subnet と異なる IP アドレスを学習させるか? 学習させないか?」は以下、2 つの設定によって制御されます。
System→System Settings→Fabric-Wide Settings→Enforce Subnet CheckTenant→Networking→Bridge Domains→Limit Local IP Learning To BD/EPG Subnet(s)
これらを適切に設定することにより、「BD Subnet と異なるネットワークの EndPoint に関しても IP アドレスを学習させる」ことが出来ます。
Cisco ACI における ESG 設定の基本
Cisco ACI 5.0 から ESG (EndPoint Security Groups) 機能がサポートされました。 従来の EPG では「異なる BD を跨った EPG」を設定することは出来ませんでした。 しかし、ESG を利用すると BD は無関係に、EPG を自由にグルーピングすることが出来るようになりました。
Cisco ACI で EPG を内部的に識別する pcTag の種類と範囲
Cisco ACI において、CLI から EPG や VRF を特定する場合、各々以下の識別子を用います。
- EPG … pcTag (または Class ID)
- VRF … VNID (または scope)
GUI で確認する方法
ACI の GUI 上であれば Tenant → Operational → Resource IDs → EPGs などから確認することが出来ます。
ACI ベストプラクティスに従った設定
Unofficial ACI Guide は参考になる情報がたくさん掲載されています。 こちらに ACI Best Practice Configurations という記事がありますが、著者ご本人に翻訳の許可を頂いたので日本語に意訳してみました (Thank you, Jody!)。
Cisco ACI のイベントをリアルタイムで検知する Python サンプルスクリプト
以前に Cisco ACI のイベントをリアルタイムで検知する Node.js サンプルスクリプト というメモを書きました。 このメモの Python バージョンを作ったので、改めてメモしておきます。