Cisco ACI の初期設定では HTTPS や SSH でのアクセスが許可されていますが、HTTP や TELNET は拒否(無効化)されています。 設定を変更することで「HTTP や TELNET を有効化」したり、「HTTPS や SSH を無効化」することが出来ます。 設定変更は Fabric → Fabric Policies → Policies → Pod → Management Access → default から実施します。 3.2 系における実際の設定画面は以下の通りです。
Cisco ACI ではコントローラやスイッチを内部的には「Node ID」という数値で識別します。 Node ID はコントローラやスイッチで重複することは許可されず、各々がユニークな値である必要があります。 また、Node ID は以下の範囲から採番する必要があります。
| 対象 | 設定可能な範囲 |
|---|---|
| コントローラ | 1 〜 100 |
| スイッチ | 101 〜 4000 |
「コントローラに 101 を割り当て」や「スイッチに 1 を割り当てたり、4001 を割り当て」しようとすると、入力時の値チェック(Validation)でエラーとなり、設定することが出来ません。 フォーラムの Supported ACI Node ID range でも言及されています。 従って Node ID の割当を考える場合は上記の範囲に収まるよう、設計する必要があります。
Cisco Identity Services Engine リリース 2.3 インストール ガイド に以下の記載があります。
ISE 2.3 OVA テンプレートは、vCenter 6.5 の VMware Web クライアントとの互換性がありません。回避策として、VMware OVF ツールを使用して、このテンプレートをインポートします。 Cisco ISE は、インストール後のハードディスクとファイル システムのサイズ変更をサポートしていないため、仮想ハードディスクのサイズを変更した場合は、ISO から Cisco ISE を再イメージ化する必要があります。
つまり、仮想版の Cisco ISE をデプロイするには(vSphere Web クライアントではなく)ovftool を使う必要があります。 今回は ovftool を使った Cisco ISE のデプロイ方法をメモしておきます。
以前にCisco ACI を CLI から curl を使って制御するやmacOS から httpie で APIC-EM へ POST してみるというメモを記載しました。 curl 同様、HTTPie から Cisco ACI へログインすることも、もちろん可能です。
Cisco ACI で GUI 上から Snapshot を取得した場合、履歴は show snapshot files で確認することが出来ます。
Zabbix 3.4 で動作する Cisco ASA 用のテンプレートを以下に保存しておきました。 今回は Zabbix で ASA を監視する手順をメモしておきます。
Cisco ASA 用のテンプレートは以下の mib に依存しています。
Ansible の ACI Moduleを使って EPG を作成する場合、Playbook のサンプルは以下の通りです。 このサンプルは GitHub でも公開しています。
Cisco ACI から Tenant/VRF を指定して Traceroute を実行するには itraceroute コマンドを利用します。 基本的には以下のような使い方をします。
Cisco ACI でデプロイされている VLAN の総数は vsh_lc から show system internal epmc vlan summary を実行すると確認出来るようです。
1 2 3 4 5 6 7 8 9 10 11 | |
Cisco ACI の Leaf で Endpoint の学習状況を確認する場合、WebUI であれば EPG の Operational を見ます。 しかし、この方法では該当の EndPoint しか確認することが出来ません。 CLI であれば /var/log/dme/log/epm-trace.txt から確認出来ます。 例えば 192.0.2.1 というアドレスの学習状況を監視するのであれば該当 Leaf に SSH アクセスし、以下のように実行します。
1 | |