Cisco IOS でコンフィグを世代管理する
従来からある Cisco IOS でもコンフィグを世代管理することは可能です。 コンフィグの世代管理を行う場合、コンフィグ保存専用のディレクトリを作成した方が管理が簡単なので、予めディレクトリを作成しておきます。
従来からある Cisco IOS でもコンフィグを世代管理することは可能です。 コンフィグの世代管理を行う場合、コンフィグ保存専用のディレクトリを作成した方が管理が簡単なので、予めディレクトリを作成しておきます。
Cisco ACI のドキュメント のうち、Verified Scalability Guide は一般的なスケーラビリティの検証値・上限値などについて言及されたドキュメントです。 このドキュメントの General Scalability Limits
で EPG 数 (Number of endpoint groups (EPGs)
) は L3 Fabric と Large L3 Fabric の両方で以下と記載されています。
For a fabric with a single Tenant: 4,000
For a fabric with multiple Tenants: 500 per Tenant, up to 15,000 total across all Tenants
今回は ACI バージョン 5.0(2h) 環境で EPG を多数設定して、「設定出来るか?」「Fault は表示されるか?」と言った点をウォッチしてみました。
ELAM Assistant は Cisco ACI に無償で追加インストール出来、ACI で「どのようにパケット転送が行われているか?」を確認する上で非常に有益なツールです。 今回は ACI のバージョン 5.x 系へ ELAM Assistant をインストールし、利用開始するまでの手順をメモしておきます。
acitoolkit を使って物理インターフェイスをシャットダウンする手順をメモしておきます。
Catalyst や Nexus の場合、デフォルトで DOM (Digital Optical Monitoring Statistics) が有効になっており、トランシーバの光レベルをコマンドから確認することが出来ます。 しかし、Cisco ACI の場合はデフォルトで DOM は無効になっている為、明示的に有効化する必要があります。 DOM を有効化するデメリットは無く、運用上は有効にしておいた方が良いと思われます。 但し、そもそもトランシーバが DOM 対応のものでなければ光レベルは取得出来ませんので、「あらゆるトランシーバで光レベルを計測出来るわけでは無い」という点には注意する必要があります。
今回は ACI バージョン 5.x 系で DOM を有効化する手順をメモしておきます。
Cisco ACI では VLAN ID も「EndPoint をどの EPG へ関連付けるか?」という識別子に利用されます。 ACI では条件さえ満たせば「同じ VLAN ID を別 EPG で再利用可能」なのですが、「条件を満たしていないと同じ VLAN ID を再利用出来ない」とも言えます。 これを一覧にすると以下のようになります。
ケース 1 | ケース 2 | ケース 3 | ケース 4 | |
---|---|---|---|---|
L2 Interface Policy | Global Scope | Port Local Scope | Global Scope | Port Local Scope |
EPG が同一スイッチ収容か? | 異なるスイッチ | 異なるスイッチ | 同じスイッチ | 同じスイッチ |
設定上、問題が無いか? | 問題無し | 問題無し | 問題有り (Fault) | 問題無し |
図で表現すると以下のようになります。
以前に下記のメモを書きました。
今回は Route Leak の有る構成 / 無い構成で Resource IDs や Zoning-Rule がどのように表示されるか、確認してみます。 検証は 5.0(2h) で実施しました。
Cisco ACI では EPG が EndPoint を学習します。 デフォルトの状態では対象の EndPoint が「BD Subnet と同じネットワークに所属しているか? 異なるネットワークに所属しているか?」に応じて「IP アドレスを学習するか? 否か?」の挙動が異なります。
項目 | IP アドレスを学習するか? |
---|---|
BD Subnet と同じネットワークに所属する EndPoint | 学習する |
BD Subnet と異なるネットワークに所属する EndPoint | 学習しない |
稀に何かの理由で「BD Subnet と異なるネットワークに所属する EndPoint の IP アドレスも学習させたい」ケースがあるかも知れません。 「BD Subnet と異なる IP アドレスを学習させるか? 学習させないか?」は以下、2 つの設定によって制御されます。
System
→ System Settings
→ Fabric-Wide Settings
→ Enforce Subnet Check
Tenant
→ Networking
→ Bridge Domains
→ Limit Local IP Learning To BD/EPG Subnet(s)
これらを適切に設定することにより、「BD Subnet と異なるネットワークの EndPoint に関しても IP アドレスを学習させる」ことが出来ます。
以前に以下のメモを書きました。
lego を使えば certbot をインストールすること無く、Let's Encrypt の証明書を取得出来ますので非常に手軽です。 lego のバージョンは前回のメモ時点で 2.6.0 だったのですが、現時点の最新は 4.0.1 の為、改めてメモを書き直しておきます。 但し、バージョンによる差異が全く無い為、手順は全く同じです。 また、メモの最後にワイルドカード証明書を発行 / 更新する場合のメモを追加しておきました。
Cisco ACI 5.0 から ESG (EndPoint Security Groups) 機能がサポートされました。 従来の EPG では「異なる BD を跨った EPG」を設定することは出来ませんでした。 しかし、ESG を利用すると BD は無関係に、EPG を自由にグルーピングすることが出来るようになりました。