らくがきちょう

なんとなく ~所属組織/団体とは無関係であり、個人の見解です~

SDN

Cisco ACI でよく設定する Interface Policies (2020/11/25 版)

以前に下記のメモを書きました。 Cisco ACI でよく設定する Interface Policies Cisco ACI でよく設定する Interface Policies (2019/10/06 版) 大して代わり映えしませんが、メモ時点で最新の ACI 5.1(1h) 用の「良く使う Interface Policies」を定義した X…

ACI 5.x で CoPP Interface を設定してコントロールプレーンを保護する

Cisco ACI では DoS 攻撃などのトラフィックからコントロールプレーンを保護する為に以下の選択肢があります。 CoPP Prefilter CoPP Interface (PPPi-CoPP = Per Protocol Per Interface Control Plane Policing) 今回は CoPP Interface の設定方法について…

Cisco ACI (v5) でローカル SPAN を設定し、パケットをキャプチャする

Cisco ACI でも SPAN 設定を行うことが出来ます。 設定箇所は Access / Fabric / Tenant があり、以下のような違いがあります。 設定箇所 種別 送信元 宛先 フィルタ Access ローカル SPAN Direct Port, PortChannel 送信元と同じリーフのポート EPG Access …

Cisco ACI で Web UI 以外の手段でファームウェアを APIC へコピーする

Cisco ACI でバージョンアップを行う際、ファームウェアは一般的に Web UI 上から転送設定を行うケースが多いのではないかと思います。 ですが、CLI で「ファイルコピー」や「バージョンアップそのもの」を実行することも可能です。 今回はファームウェアの…

ACI で Cisco 社から指定があった場合に root ユーザへ昇格する手順

通常、Cisco ACI へ root 権限でログインすることは出来ませんし、その必要もありません。 ですが、Cisco 社から「トラブルシューティング上、root 権限へ昇格して所定のコマンドを実行して欲しい」といった依頼があった場合は root 権限へ昇格する必要があ…

ACI 5.1.1h で追加された Forwarding Scale Profile

以前に ACI 4.2(2e) をベースに Cisco ACI で Forwarding Scale Profile Policy を設定してリソース最大値を調整する というメモを書きました。 ACI 5.1(1h) では新たにふたつの Forwarding Scale Profile が追加された為、改めて Forwarding Scale Profile …

Cisco ACI 5.1(1h) で変更されたファームウェア管理画面

Cisco ACI 5.1(1h) からはファームウェア管理画面の Web UI が大幅に変更されました。 リリースノート には以下のように記載されています。 Enhancements to the upgrade process through the GUI when upgrading the APIC or switch software. The upgrade …

Cisco ACI 5.x 系で RADIUS 認証の設定をする

Cisco ACI で外部認証を利用する方法、及び関連サーバの構築方法に関して以下のエントリーを記載しました。 CentOS7 に FreeRadius をインストールする Cisco ACI へのログイン時に RADIUS 認証出来るようにする Cisco ACI へのログイン時に Active Director…

Cisco ACI で EndPoint を確認 / 削除する

2017 年に Cisco ACI の EndPoint の確認 / 削除の方法について以下のメモを書きました。 Cisco ACI で EndPoint を手動でクリアする Cisco ACI で EndPoint の学習状況をリアルタイムで監視する 現時点では ACI もバージョン 5.1(1h) までリリースされてい…

ACI で Preferred Group を設定した際の通信許可 / 拒否パターン

以前に ACI で Preferred Group 設定時の Zoning-Rule というメモを書きました。 自分の理解を整理する為に Application EPG と External EPG を組み合わせ、Preferred Group での通信テストを実施したので結果をメモしておきます。 検証は 5.0(2h) で実施し…

ACI で Intra EPG Isolation を設定し、同一 EPG 内の通信を拒否する

Cisco ACI では通常、同一 EPG に所属している EndPoint 同士は通信出来てしまいます。 従来のネットワークで言うところの「Private VLAN」と近い感覚で「同一 EPG に所属する EndPoint 同士の通信を 拒否する」には Intra EPG Isolation の設定を行います。…

Cisco ACI で同一 BD 内の Flood 範囲を制限する

Cisco ACI で BD を作成した場合、デフォルトでは Multi Destination Flooding という設定が Flood in BD という設定になっています。 今回は 5.0(2h) で検証しました。

Cisco ACI では Primary Subnet しか DHCP Relay 出来ない

以前に ACI で DHCP Relay を設定する というメモを書きました。 Bridge Domain にひとつしか Subnet を設定していない場合は問題が無いのですが、複数の Subnet を設定する場合は様々な注意が必要です。 そのひとつに「BD に複数 Subnet が設定されていても…

Cisco ACI で TEP アドレスと Node Management Address は重複出来ない

以前に Cisco ACI で TEP アドレス範囲を決める際の注意点 というメモを書きました。 実は (?) TEP アドレスは Node Management Address と重複することが出来ません。 これは In-Band / Out-of-Band 関係無く、APIC / Switch 関係無く、一律に「重複不可」…

Cisco ACI で InB 側からアクセス出来るように設定する

Cisco ACI 環境では APIC や Switch を OoB (Out-of-Band ) から管理しているケースが多いかもしれませんが、設定すれば InB (In Band) 側から管理することも可能です。 今回は 5.0(2h) での設定手順をメモしておきます。

Cisco ACI 初期状態でのリソース使用状況

Cisco ACI 初期状態でのリソース使用状況は以下の通りです。 今回は 5.0(2h) 環境で確認しました。

Cisco ACI で Domains 設定は必須なのか?

Cisco ACi でベアメタルサーバ (物理サーバ) を収容する場合、一般的には以下の設定が必要です。 「利用する VLAN 範囲」を AEP → Domain → VLAN Pool で設定し、その AEP が最終的に Interface Profile や Switch Profile から参照されるように関連付ける T…

Cisco ACI でログイン中のユーザを確認する

Cisco ACI では Web UI 上であれば System → Active Sessions から現在、ログイン中のユーザを確認することが出来ます。 CLI であれば APIC 上から show aaa sessions を実行することで同じ情報を確認することが出来ます。 apic# show aaa sessions Username…

ACI で BD Subnet 宛通信を「同一ネットワーク」のみに制限する BD Enforcement Status 設定

Cisco ACI 環境において、Contract が設定されていれば、などが設定あれ、Filter 上も許可されていれば Ping による疎通が確認出来るはずです。 これを図解すると以下のようになります。

Cisco ACI での「Enforce EPG VLAN Validation」設定

Cisco ACI では VLAN ID の重複する Domain を同一に Epg に設定するとトラフィック処理上、問題が発生しますが、設定自体は出来てしまいます。 Enforce EPG VLAN Validation という設定を有効化することで、そもそもこういった「問題のある構成」を設定出来…

Cisco ACI で多数の EPG を設定すると、どうなるか?

Cisco ACI のドキュメント のうち、Verified Scalability Guide は一般的なスケーラビリティの検証値・上限値などについて言及されたドキュメントです。 このドキュメントの General Scalability Limits で EPG 数 (Number of endpoint groups (EPGs)) は L3…

Cisco ACI に ELAM Assistant をインストールする

ELAM Assistant は Cisco ACI に無償で追加インストール出来、ACI で「どのようにパケット転送が行われているか?」を確認する上で非常に有益なツールです。 今回は ACI のバージョン 5.x 系へ ELAM Assistant をインストールし、利用開始するまでの手順をメ…

Cisco ACI で acitoolkit を使って物理インターフェイスをシャットダウンする

acitoolkit を使って物理インターフェイスをシャットダウンする手順をメモしておきます。

Cisco ACI 5.x 系で DOM を有効化し、トランシーバの光レベルを計測する

Catalyst や Nexus の場合、デフォルトで DOM (Digital Optical Monitoring Statistics) が有効になっており、トランシーバの光レベルをコマンドから確認することが出来ます。 しかし、Cisco ACI の場合はデフォルトで DOM は無効になっている為、明示的に有…

Cisco ACI における VLAN 重複の考え方整理

Cisco ACI では VLAN ID も「EndPoint をどの EPG へ関連付けるか?」という識別子に利用されます。 ACI では条件さえ満たせば「同じ VLAN ID を別 EPG で再利用可能」なのですが、「条件を満たしていないと同じ VLAN ID を再利用出来ない」とも言えます。 …

Cisco ACI で Route Leak した際の Zoning-Rule

以前に下記のメモを書きました。 Cisco ACI における基本的な Route Leak 設定パターン Cisco ACI で EPG を内部的に識別する pcTag の種類と範囲 今回は Route Leak の有る構成 / 無い構成で Resource IDs や Zoning-Rule がどのように表示されるか、確認し…

Cisco ACI で BD Subnet と異なるアドレスを学習させる設定

Cisco ACI では EPG が EndPoint を学習します。 デフォルトの状態では対象の EndPoint が「BD Subnet と同じネットワークに所属しているか? 異なるネットワークに所属しているか?」に応じて「IP アドレスを学習するか? 否か?」の挙動が異なります。 項…

Cisco ACI における ESG 設定の基本

Cisco ACI 5.0 から ESG (EndpOint Security Groups) 機能がサポートされました。 従来の EPG では「異なる BD を跨った EPG」を設定することは出来ませんでした。 しかし、ESG を利用すると BD は無関係に、EPG を自由にグルーピングすることが出来るように…

Cisco ACI で EPG を内部的に識別する pcTag の種類と範囲

Cisco ACI において、CLI から EPG や VRF を特定する場合、各々以下の識別子を用います。 EPG … pcTag (または Class ID) VRF … VNID (または scope)

ACI ベストプラクティスに従った設定

Unofficial ACI Guide は参考になる情報がたくさん掲載されています。 こちらに ACI Best Practice Configurations という記事がありますが、著者ご本人に翻訳の許可を頂いたので日本語に意訳してみました (Thank you, Jody!)。