Skip to content

Cisco

  • in Cisco
  • 4 min read

Cisco ACI で Policy Control Enforcement Preference 設定時の Policy CAM を確認する

Cisco ACI では同一 VRF 内での通信時に「Contract 設定が必要か?」「不必要か?」を定義する Policy Control Enforcement Preference という設定があります。 この設定はプライベート ネットワークの設定パラメータ に下記と記載されています。

Policy Control Enforcement Preference:優先ポリシー制御。値は [enforced] または [unenforced] です。[enforced] を選択した場合は、トラフィックを許可するエンドポイント グループ間のコントラクトが必要です。[unenforced] を選択した場合は、プライベート ネットワーク内のすべてのトラフィックが許可されます。デフォルトは [enforced] です。

Policy Control Enforcement PreferenceEnforced または Unenforced を設定出来ます。 今回は各々の値を設定した際に Policy CAM がどのように変化するのか、比較してみます。 テストは 5.0(2h) で実施しました。

  • in Cisco
  • 2 min read

Cisco ACI では Contract が無くても ARP は許可される

Cisco ACI に関する情報を読んでいると「EPG 同士は Contract されていない限り、通信出来ない」という記載を目にすることがあります。 VRF の Policy Control Enforcement Preference 設定が Unenforced で無い限り、この記載は概ね正しいのですが、厳密には「暗黙的に ARP は許可される」という振る舞いをします。

  • in Cisco
  • 1 min read

Cisco ACI で TCAM (Policy CAM) の使用状況を確認する

Cisco ACI で TCAM (Policy CAM) の使用状況を確認するには GUI の Capacity Dashboard から確認するのが簡単ですが CLI から確認することも出来ます。 今回は 5.0(2h) 環境で確認してみます。 おそらく ACI 4.0 以前や第一世代 Leaf では見え方・確認コマンドが異なるのでは無いかと思われますが、今回は対象外とします。

  • in Cisco
  • 4 min read

Cisco ACI で vzAny 設定時の Policy CAM 利用状況を確認する

以前に Cisco ACI で Policy CAM の利用状況を確認する というメモを書きました。 ACI では (個々の EPG に対してでは無く) VRF 全体に対して Contract を設定する、いわゆる「vzAny」と呼ばれている設定方法があります。 今回は vzAny を利用した場合の Policy CAM の消費量を確認してみます。 尚、今回は 5.0(2h) で検証を実施しました。

  • in Cisco
  • 3 min read

Cisco ACI で Policy CAM の利用状況を確認する

従来の機器でも「ACL を設定すると TCAM 領域を消費」すると思います。 Cisco ACI でも ACI に相当する「Contract」を設定すると TCAM (Policy CAM) を消費していきます。 スイッチごとの最大 Policy CAM 数は概ね、以下の要素で決定されます。

  1. スイッチの型番
  2. Forwarding Scale Profile 設定

今回は実際に Contract を設定し、どのように Policy CAM が消費されるのか?を確認してみます。 尚、今回は 5.0(2h) 環境でテストしました。 且つ、Enable Policy Compression設定されていないもの としてテストしています。

  • in Cisco
  • 3 min read

Cisco ACI で Deployment 設定によって Zoning-rule がDeploy されるタイミングの違い

Cisco ACI において、EPGへのDomainマッピング時のパラメータについて で言及されているように EPG へ Domain を設定する際、DeploymentResolution といった設定があります。 ACI 5.x 系時点で VMM Domain には以下の設定があります。

file

今回は VMM Domain おける Deployment 設定ごとに「Zoning-rule が Deploy されるタイミングがどう変化するのか?」を観察してみます。

  • in Cisco
  • 4 min read

Cisco ACI で Contract に例外を設定する

Cisco ACI では通信させたい EPG 同士を Contract で接続するのが基本です。 しかし、Contract へ接続していても、例外設定をすることで指定した EPG を「Contract 制御の対象外」にすることが出来ます。 今回は 5.0(2h) で検証を実施しました。

尚、今回は Contract に例外設定をしていますが、Subject に例外設定を行うことも可能です。 また、今回の検証では EPG 名で例外設定を行っていますが、Tag を活用して例外設定を行った方がメリットがあるケースもあろうかと思われます (Contract 例外設定に限らず、Tag の設定は「Tag を理解し、活用出来る設計になっている」必要があります)。

また、後述しますが vzAny と Contract 例外設定を組み合わせることは出来ないようです。 これが可能であれば、より有益な機能だと思われるのですが…

  • in Cisco
  • 1 min read

Cisco ACI で Deny Filter を利用する

Cisco ACI で通信の許可 / 拒否を制御するには Contract を利用しますが、特に「拒否」を制御するには Taboo Contract を利用する方法があります。 しかし、Taboo Contract は「必ず Provider 側にしか設定出来ない」や「特定の EPG との間にだけ、設定することは出来ない」などの制約があります。 ケース・バイ・ケースではありますが、場合によっては Deny Filter を利用する方が柔軟に通信制御を行うことが可能です。