Cisco ACI で EndPoint を確認 / 削除する
2017 年に Cisco ACI の EndPoint の確認 / 削除の方法について以下のメモを書きました。
現時点では ACI もバージョン 5.1(1h) までリリースされている為、EndPoint の確認 / 削除方法について改めて最新の 5.1(1h) ベースでメモを書いておきます。
Cisco¶
ACI で Preferred Group を設定した際の通信許可 / 拒否パターン
以前に ACI で Preferred Group 設定時の Zoning-Rule というメモを書きました。 自分の理解を整理する為に Application EPG と External EPG を組み合わせ、Preferred Group での通信テストを実施したので結果をメモしておきます。 検証は 5.0(2h) で実施しました。
下記は「各々の設定時、Contract 未設定でも通信出来たか?否か?」をまとめたものです。 結論としては「AppEpg や ExtEpg 関係無く、お互いが Include の時は Contract 不要で通信可能」「どのパターンでも、いずれか一報が Exclude あれば Contract が必要」という結果でした。
| No. | Src | Preferred Group | Dst | Preferred Group | Result |
|---|---|---|---|---|---|
| 1 | AppEpg | exclude | AppEpg | exclude | X |
| 2 | AppEpg | exclude | AppEpg | include | X |
| 3 | AppEpg | include | AppEpg | exclude | X |
| 4 | AppEpg | include | AppEpg | include | ○ |
| 5 | ExtEpg | exclude | AppEpg | exclude | X |
| 6 | ExtEpg | exclude | AppEpg | include | X |
| 7 | ExtEpg | include | AppEpg | exclude | X |
| 8 | ExtEpg | include | AppEpg | include | ○ |
| 9 | AppEpg | exclude | ExtEpg | exclude | X |
| 10 | AppEpg | exclude | ExtEpg | include | X |
| 11 | AppEpg | include | ExtEpg | exclude | X |
| 12 | AppEpg | include | ExtEpg | include | ○ |
ACI で Intra EPG Isolation を設定し、同一 EPG 内の通信を拒否する
Cisco ACI では通常、同一 EPG に所属している EndPoint 同士は通信出来てしまいます。 従来のネットワークで言うところの「Private VLAN」と近い感覚で「同一 EPG に所属する EndPoint 同士の通信を 拒否する」には Intra EPG Isolation の設定を行います。 今回は 5.0(2h) 環境で Intra EPG Isolation 無効時 / 有効時を比較してみました。
Cisco ACI で同一 BD 内の Flood 範囲を制限する
Cisco ACI で BD を作成した場合、デフォルトでは Multi Destination Flooding という設定が Flood in BD という設定になっています。 今回は 5.0(2h) で検証しました。
Cisco ACI では Primary Subnet しか DHCP Relay 出来ない
以前に ACI で DHCP Relay を設定する というメモを書きました。 Bridge Domain にひとつしか Subnet を設定していない場合は問題が無いのですが、複数の Subnet を設定する場合は様々な注意が必要です。 そのひとつに「BD に複数 Subnet が設定されていても、DHCP Relay 可能なネットワークはひとつだけ」という点が挙げられます。 ACI では BD Subnet を作成した場合、デフォルトでは Make this IP address primary はチェックされていません。
Cisco ACI で TEP アドレスと Node Management Address は重複出来ない
以前に Cisco ACI で TEP アドレス範囲を決める際の注意点 というメモを書きました。 実は (?) TEP アドレスは Node Management Address と重複することが出来ません。 これは In-Band / Out-of-Band 関係無く、APIC / Switch 関係無く、一律に「重複不可」です。
Cisco ACI で InB 側からアクセス出来るように設定する
Cisco ACI 環境では APIC や Switch を OoB (Out-of-Band ) から管理しているケースが多いかもしれませんが、設定すれば InB (In Band) 側から管理することも可能です。 今回は 5.0(2h) での設定手順をメモしておきます。
Cisco ACI 初期状態でのリソース使用状況
Cisco ACI 初期状態でのリソース使用状況は以下の通りです。 今回は 5.0(2h) 環境で確認しました。
Cisco ACI で Domains 設定は必須なのか?
Cisco ACi でベアメタルサーバ (物理サーバ) を収容する場合、一般的には以下の設定が必要です。
- 「利用する VLAN 範囲」を
AEP→Domain→VLAN Poolで設定し、そのAEPが最終的にInterface ProfileやSwitch Profileから参照されるように関連付ける TenantのApplication EPG設定で、Domainsに 1. で定義したDomainを設定するTenantのStatic Ports設定で、ベアメタルサーバを収容する物理ポートを定義する
しかし、デフォルトの状態では上記の 2. (Application EPG の Domains 設定) を省略しても通信出来てしまいます。 但し、この場合は「Domain が未設定」という、下記の Fault が表示されます。
Cisco ACI でログイン中のユーザを確認する
Cisco ACI では Web UI 上であれば System → Active Sessions から現在、ログイン中のユーザを確認することが出来ます。
CLI であれば APIC 上から show aaa sessions を実行することで同じ情報を確認することが出来ます。