Cisco ACI において、EPGへのDomainマッピング時のパラメータについて で言及されているように EPG へ Domain を設定する際、Deployment や Resolution といった設定があります。 ACI 5.x 系時点で VMM Domain には以下の設定があります。
今回は VMM Domain おける Deployment 設定ごとに「Zoning-rule が Deploy されるタイミングがどう変化するのか?」を観察してみます。
Cisco ACI では GUI / CLI など設定方法を問わず、__ui で始まる設定名を利用すると、GUI 上で該当の設定が表示されないようです??
Cisco ACI では通信させたい EPG 同士を Contract で接続するのが基本です。 しかし、Contract へ接続していても、例外設定をすることで指定した EPG を「Contract 制御の対象外」にすることが出来ます。 今回は 5.0(2h) で検証を実施しました。
尚、今回は Contract に例外設定をしていますが、Subject に例外設定を行うことも可能です。 また、今回の検証では EPG 名で例外設定を行っていますが、Tag を活用して例外設定を行った方がメリットがあるケースもあろうかと思われます (Contract 例外設定に限らず、Tag の設定は「Tag を理解し、活用出来る設計になっている」必要があります)。
また、後述しますが vzAny と Contract 例外設定を組み合わせることは出来ないようです。 これが可能であれば、より有益な機能だと思われるのですが…
Cisco ACI で通信の許可 / 拒否を制御するには Contract を利用しますが、特に「拒否」を制御するには Taboo Contract を利用する方法があります。 しかし、Taboo Contract は「必ず Provider 側にしか設定出来ない」や「特定の EPG との間にだけ、設定することは出来ない」などの制約があります。 ケース・バイ・ケースではありますが、場合によっては Deny Filter を利用する方が柔軟に通信制御を行うことが可能です。
Cisco ACI で通常、AppEpg より「先に」ルーティングさせることは出来ません。 ですが、AppEpg Subnet に Behind Subnet を作成することで「AppEpg より先にあるネットワーク」へ通信させることが出来ます。
従来のスイッチデバイスであれば、一時的に通信を行えないようにしたい場合は「SVI を Shutdown する」という手法が取れました。 Cisco ACI の場合、近い手法として以下が考えられます。
No Default SVI Gateway を設定する但し、このふたつの設定は若干動作が異なります。 今回はこれらの動作の違いについてメモします。 尚、動作確認は 5.0(2h) 環境で実施しました。
Cisco ACI は GUI や REST API など、様々な方法で設定することが出来ます。 今回は CLI で設定する方法をメモしておきます。 尚、実際の検証は 5.0(2h) で行いました。
Cisco ACI において、異なる VRF 間で Route Leak する設定方法をメモしておきます。
Cisco ACI でコントローラ (APIC) やスイッチ (Leaf/Spine) のバージョンを確認する方法は幾つかあります。 今回は幾つかのバージョン確認方法をメモしておきます。
CML 上の IOSv で BSR 構成でマルチキャストを設定したサンプルコンフィグをメモしておきます。 尚、CML へインポート可能な構成ファイルは GitHub にアップロードしてあります。