Blog¶

September 28, 2020
in Cisco
2 min read

Cisco ACI で BD Subnet と異なるネットワークのアドレスを学習させる設定

Cisco ACI では EPG が EndPoint を学習します。デフォルトの状態では対象の EndPoint が「BD Subnet と同じネットワークに所属しているか？異なるネットワークに所属しているか？」に応じて「IP アドレスを学習するか？否か？」の挙動が異なります。

項目	IP アドレスを学習するか？
BD Subnet と同じネットワークに所属する EndPoint	学習する
BD Subnet と異なるネットワークに所属する EndPoint	学習しない

稀に何かの理由で「BD Subnet と異なるネットワークに所属する EndPoint の IP アドレスも学習させたい」ケースがあるかも知れません。「BD Subnet と異なる IP アドレスを学習させるか？学習させないか？」は以下、2 つの設定によって制御されます。

System → System Settings → Fabric-Wide Settings → Enforce Subnet Check
Tenant → Networking → Bridge Domains → Limit Local IP Learning To BD/EPG Subnet(s)

これらを適切に設定することにより、「BD Subnet と異なるネットワークの EndPoint に関しても IP アドレスを学習させる」ことが出来ます。

September 27, 2020
in AWS, Linux
2 min read

lego を使い Route53 認証でサーバ証明書を取得する (2020/09/27 版)

以前に以下のメモを書きました。

lego を使えば certbot をインストールすること無く、Let's Encrypt の証明書を取得出来ますので非常に手軽です。 lego のバージョンは前回のメモ時点で 2.6.0 だったのですが、現時点の最新は 4.0.1 の為、改めてメモを書き直しておきます。但し、バージョンによる差異が全く無い為、手順は全く同じです。また、メモの最後にワイルドカード証明書を発行 / 更新する場合のメモを追加しておきました。

September 26, 2020
in Cisco
2 min read

Cisco ACI における ESG 設定の基本

Cisco ACI 5.0 から ESG (EndPoint Security Groups) 機能がサポートされました。従来の EPG では「異なる BD を跨った EPG」を設定することは出来ませんでした。しかし、ESG を利用すると BD は無関係に、EPG を自由にグルーピングすることが出来るようになりました。

file

September 25, 2020
in Cisco
2 min read

Cisco ACI で EPG を内部的に識別する pcTag の種類と範囲

Cisco ACI において、CLI から EPG や VRF を特定する場合、各々以下の識別子を用います。

EPG … pcTag (または Class ID)
VRF … VNID (または scope)

GUI で確認する方法

ACI の GUI 上であれば Tenant → Operational → Resource IDs → EPGs などから確認することが出来ます。

file

September 21, 2020
in Cisco
4 min read

ACI ベストプラクティスに従った設定

Unofficial ACI Guide は参考になる情報がたくさん掲載されています。こちらに ACI Best Practice Configurations という記事がありますが、著者ご本人に翻訳の許可を頂いたので日本語に意訳してみました (Thank you, Jody!)。

September 20, 2020
in Cisco
1 min read

Cisco ACI のイベントをリアルタイムで検知する Python サンプルスクリプト

以前に Cisco ACI のイベントをリアルタイムで検知する Node.js サンプルスクリプトというメモを書きました。このメモの Python バージョンを作ったので、改めてメモしておきます。

September 18, 2020
in Cisco
9 min read

ACI で Preferred Group 設定時の Zoning-Rule

Cisco ACI で Contract Preferred Groups を使うと EPG を優先グループ / 非優先グループに分けることが出来ます。 Preferred Group 設定には「include」と「exclude」があり、各々以下のように「通信する際に Contract を必要とするか？否か？」という違いがあります。

設定	意味	説明
include	優先グループ	優先グループ同士は Contract が無くても通信可能
exclude	非優先グループ	通信するには Contract が必要

今回は Preferred Group を設定した場合 / していない場合で「実際に Zoning-Rule がどう見えるか？」を確認してみました。検証は 5.0(2h) 環境で実施しています。

September 17, 2020
in Cisco
6 min read

ACI で ExtEpg ～ AppEpg 接続時の Zoning-Rule

Cisco ACI で ExtEpg (External EPG) と AppEpg (Application EPG) を Contract した場合に作成される Zoning-Rule は AppEpg 同士を Contract した場合と、特に変わりありません。今回は実際に ExtEpg と AppEpg を Contract し、作成される Zoning-Rule を確認してみます。検証は 5.0(2h) 環境で実施しました。

September 16, 2020
in Cisco
1 min read

ACI でオブジェクト数の上限を設定する

Cisco ACI では Quota 設定を行うことにより、「特定のオブジェクトの作成上限数を制限する」ことが可能です。

例えば、Tenant1 の VRF 数の上限を「3」に設定するには下記のように設定します。

file

この状態で VRF を 3 以上、設定しようとするとエラーになり、設定することが出来ません。

September 15, 2020
in Cisco
3 min read

ACI でログインバナーをカスタマイズする

Cisco ACI ではログインバナーをカスタマイズすることが可能です。設定は System → System Settings → System Alias and Banners から実施することが可能です。今回はバージョン 5.0(2h) 環境で「何を設定すると → どこに反映されるか？」を確認してみました。