ACI でオブジェクト数の上限を設定する
Cisco ACI では Quota 設定を行うことにより、「特定のオブジェクトの作成上限数を制限する」ことが可能です。
例えば、Tenant1 の VRF 数の上限を「3」に設定するには下記のように設定します。
この状態で VRF を 3 以上、設定しようとするとエラーになり、設定することが出来ません。
Cisco¶
ACI でログインバナーをカスタマイズする
Cisco ACI ではログインバナーをカスタマイズすることが可能です。 設定は System → System Settings → System Alias and Banners から実施することが可能です。 今回はバージョン 5.0(2h) 環境で「何を設定すると → どこに反映されるか?」を確認してみました。
ACI の Filter Entry で Port を Range 設定した場合の Zoning-Rule
Cisco ACI では Policy CAM の消費量は「SrcEPG 数 x DstEPG 数 x Filter Entry 数 x 1 (both direction なら 2)」で算出出来る、とされています。 ですが、Filter Entry は TCP/UDP のポートを Range (範囲) 設定することが可能です。 幾つかのパターンで Range 設定を実施し、各々の状態における Policy Count 数や Zoning-Rule、Zoning-Filter の状態を見ていきます。
ACI で Apply Both Directions / Reverse Filter Ports ごとの Zoning-Rule
Cisco ACI で EPG 間の通信許可/拒否ルールを定義するには Contract 設定が必要になります。 Contract は「Contract → Subject → Filter」という三階層構造を取ります。
Contract の配下に作成する Subject には以下、ふたつの設定が存在します。
Apply Both DirectionsReverse Filter Ports
「Apply Both Directions を無効にすると Reverse Filter Ports も無効になる」特性上、取りうる組み合わせは以下の 3 パターンのみです (Apply Both Directions が無効なのに Reverse Filter Ports が有効、という設定は出来ません。 CLI から無理やり設定することは出来ますが、Apply Both Directions がアンチェックだと Reverse Filter Ports の設定有無による動作の差はありません)。
| No. | Apply Both Directions | Reverse Filter Ports |
|---|---|---|
| 1 | ○ | ○ |
| 2 | ○ | X |
| 3 | X | X |
今回は各々のパターンで Zoning-Rule がどのように表示されるか、確認していきます。 検証は 5.0(2h) 環境で実施しました。
ACI で EPG Contract Inheritance 設定した際の Zoning-Rule
Cisco ACI では Contract に同じ接続をする EPG が複数存在する場合、Master と呼ばれる「親 EPG」を作成し、「子 EPG」からは Master を参照させる、という機能があります。 この機能は EPG Contract Inheritance と呼ばれています。 EPG Contract Inheritance (コントラクトの継承) にも記載がありますが、EPG Contract Inheritance は Policy CAM のリソース消費量削減にはなりません。 今回は実際に EPG Contract Inheritance 設定を行い、Zoning-Rule がどのように展開されているか、確認しようと思います。 検証は ACI 5.0(2h) 環境で実施しました。
Cisco ACI で Policy Control Enforcement Preference 設定時の Policy CAM を確認する
Cisco ACI では同一 VRF 内での通信時に「Contract 設定が必要か?」「不必要か?」を定義する Policy Control Enforcement Preference という設定があります。 この設定はプライベート ネットワークの設定パラメータ に下記と記載されています。
Policy Control Enforcement Preference:優先ポリシー制御。値は [enforced] または [unenforced] です。[enforced] を選択した場合は、トラフィックを許可するエンドポイント グループ間のコントラクトが必要です。[unenforced] を選択した場合は、プライベート ネットワーク内のすべてのトラフィックが許可されます。デフォルトは [enforced] です。
Policy Control Enforcement Preference は Enforced または Unenforced を設定出来ます。 今回は各々の値を設定した際に Policy CAM がどのように変化するのか、比較してみます。 テストは 5.0(2h) で実施しました。
Cisco ACI では Contract が無くても ARP は許可される
Cisco ACI に関する情報を読んでいると「EPG 同士は Contract されていない限り、通信出来ない」という記載を目にすることがあります。 VRF の Policy Control Enforcement Preference 設定が Unenforced で無い限り、この記載は概ね正しいのですが、厳密には「暗黙的に ARP は許可される」という振る舞いをします。
Cisco ACI で TCAM (Policy CAM) の使用状況を確認する
Cisco ACI で TCAM (Policy CAM) の使用状況を確認するには GUI の Capacity Dashboard から確認するのが簡単ですが CLI から確認することも出来ます。 今回は 5.0(2h) 環境で確認してみます。 おそらく ACI 4.0 以前や第一世代 Leaf では見え方・確認コマンドが異なるのでは無いかと思われますが、今回は対象外とします。
Cisco ACI で vzAny 設定時の Policy CAM 利用状況を確認する
以前に Cisco ACI で Policy CAM の利用状況を確認する というメモを書きました。 ACI では (個々の EPG に対してでは無く) VRF 全体に対して Contract を設定する、いわゆる「vzAny」と呼ばれている設定方法があります。 今回は vzAny を利用した場合の Policy CAM の消費量を確認してみます。 尚、今回は 5.0(2h) で検証を実施しました。
Cisco ACI で Policy CAM の利用状況を確認する
従来の機器でも「ACL を設定すると TCAM 領域を消費」すると思います。 Cisco ACI でも ACI に相当する「Contract」を設定すると TCAM (Policy CAM) を消費していきます。 スイッチごとの最大 Policy CAM 数は概ね、以下の要素で決定されます。
- スイッチの型番
Forwarding Scale Profile設定
今回は実際に Contract を設定し、どのように Policy CAM が消費されるのか?を確認してみます。 尚、今回は 5.0(2h) 環境でテストしました。 且つ、Enable Policy Compression は 設定されていないもの としてテストしています。