Cisco ACI 環境において、Contract が設定されていれば、などが設定あれ、Filter 上も許可されていれば Ping による疎通が確認出来るはずです。 これを図解すると以下のようになります。
Cisco ACI では VLAN ID の重複する Domain を同一に Epg に設定するとトラフィック処理上、問題が発生しますが、設定自体は出来てしまいます。 Enforce EPG VLAN Validation という設定を有効化することで、そもそもこういった「問題のある構成」を設定出来…
従来からある Cisco IOS でもコンフィグを世代管理することは可能です。 コンフィグの世代管理を行う場合、コンフィグ保存専用のディレクトリを作成した方が管理が簡単なので、予めディレクトリを作成しておきます。
Cisco ACI のドキュメント のうち、Verified Scalability Guide は一般的なスケーラビリティの検証値・上限値などについて言及されたドキュメントです。 このドキュメントの General Scalability Limits で EPG 数 (Number of endpoint groups (EPGs)) は L3…
ELAM Assistant は Cisco ACI に無償で追加インストール出来、ACI で「どのようにパケット転送が行われているか?」を確認する上で非常に有益なツールです。 今回は ACI のバージョン 5.x 系へ ELAM Assistant をインストールし、利用開始するまでの手順をメ…
acitoolkit を使って物理インターフェイスをシャットダウンする手順をメモしておきます。
Catalyst や Nexus の場合、デフォルトで DOM (Digital Optical Monitoring Statistics) が有効になっており、トランシーバの光レベルをコマンドから確認することが出来ます。 しかし、Cisco ACI の場合はデフォルトで DOM は無効になっている為、明示的に有…
Cisco ACI では VLAN ID も「EndPoint をどの EPG へ関連付けるか?」という識別子に利用されます。 ACI では条件さえ満たせば「同じ VLAN ID を別 EPG で再利用可能」なのですが、「条件を満たしていないと同じ VLAN ID を再利用出来ない」とも言えます。 …
以前に下記のメモを書きました。 Cisco ACI における基本的な Route Leak 設定パターン Cisco ACI で EPG を内部的に識別する pcTag の種類と範囲 今回は Route Leak の有る構成 / 無い構成で Resource IDs や Zoning-Rule がどのように表示されるか、確認し…
Cisco ACI では EPG が EndPoint を学習します。 デフォルトの状態では対象の EndPoint が「BD Subnet と同じネットワークに所属しているか? 異なるネットワークに所属しているか?」に応じて「IP アドレスを学習するか? 否か?」の挙動が異なります。 項…
以前に以下のメモを書きました。 lego で Let's Encrypt の証明書を Route53 DNS 認証で取得する AmazonLinux2 で lego を使い Route53 認証でサーバ証明書を取得する lego を使えば certbot をインストールすること無く、Let's Encrypt の証明書を取得出来…
Cisco ACI 5.0 から ESG (EndpOint Security Groups) 機能がサポートされました。 従来の EPG では「異なる BD を跨った EPG」を設定することは出来ませんでした。 しかし、ESG を利用すると BD は無関係に、EPG を自由にグルーピングすることが出来るように…
Cisco ACI において、CLI から EPG や VRF を特定する場合、各々以下の識別子を用います。 EPG … pcTag (または Class ID) VRF … VNID (または scope)
Unofficial ACI Guide は参考になる情報がたくさん掲載されています。 こちらに ACI Best Practice Configurations という記事がありますが、著者ご本人に翻訳の許可を頂いたので日本語に意訳してみました (Thank you, Jody!)。
以前に Cisco ACI のイベントをリアルタイムで検知する Node.js サンプルスクリプト というメモを書きました。 このメモの Python バージョンを作ったので、改めてメモしておきます。
Cisco ACI で Contract Preferred Groups を使うと EPG を優先グループ / 非優先グループに分けることが出来ます。 Preferred Group 設定には「include」と「exclude」があり、各々以下のように「通信する際に Contract を必要とするか? 否か?」という違い…
Cisco ACI で ExtEpg (External EPG) と AppEpg (Application EPG) を Contract した場合に作成される Zoning-Rule は AppEpg 同士を Contract した場合と、特に変わりありません。 今回は実際に ExtEpg と AppEpg を Contract し、作成される Zoning-Rule …
Cisco ACI では Quota 設定を行うことにより、「特定のオブジェクトの作成上限数を制限する」ことが可能です。
Cisco ACI ではログインバナーをカスタマイズすることが可能です。 設定は System → System Settings → System Alias and Banners から実施することが可能です。 今回はバージョン 5.0(2h) 環境で「何を設定すると → どこに反映されるか?」を確認してみまし…
Cisco ACI では Policy CAM の消費量は「SrcEPG 数 x DstEPG 数 x Filter Entry 数 x 1 (both direction なら 2)」で算出出来る、とされています。 ですが、Filter Entry は TCP/UDP のポートを Range (範囲) 設定することが可能です。 幾つかのパターンで R…
Cisco ACI で EPG 間の通信許可/拒否ルールを定義するには Contract 設定が必要になります。 Contract は「Contract → Subject → Filter」という三階層構造を取ります。 Contract の配下に作成する Subject には以下、ふたつの設定が存在します。 Apply Both…
Cisco ACI では Contract に同じ接続をする EPG が複数存在する場合、Master と呼ばれる「親 EPG」を作成し、「子 EPG」からは Master を参照させる、という機能があります。 この機能は EPG Contract Inheritance と呼ばれています。 EPG Contract Inherita…
Cisco ACI では同一 VRF 内での通信時に「Contract 設定が必要か?」「不必要か?」を定義する Policy Control Enforcement Preference という設定があります。 この設定はプライベート ネットワークの設定パラメータ に下記と記載されています。 Policy Con…
Cisco ACI に関する情報を読んでいると「EPG 同士は Contract されていない限り、通信出来ない」という記載を目にすることがあります。 VRF の Policy Control Enforcement Preference 設定が Unenforced で無い限り、この記載は概ね正しいのですが、厳密に…
Cisco ACI で TCAM (Policy CAM) の使用状況を確認するには GUI の Capacity Dashboard から確認するのが簡単ですが CLI から確認することも出来ます。 今回は 5.0(2h) 環境で確認してみます。 おそらく ACI 4.0 以前や第一世代 Leaf では見え方・確認コマン…
ターミナルソフトと言えば macOS では iTerm2 を利用しているのですが、Windows のソフトウェアは一長一短に感じられ、場合によって TeraTerm や Poderosa、RLogin を使い分けています。 今回は私が RLogin を利用する際に行っている設定をメモしておきます。
以前に Cisco ACI で Policy CAM の利用状況を確認する というメモを書きました。 ACI では (個々の EPG に対してでは無く) VRF 全体に対して Contract を設定する、いわゆる「vzAny」と呼ばれている設定方法があります。 今回は vzAny を利用した場合の Pol…
従来の機器でも「ACL を設定すると TCAM 領域を消費」すると思います。 Cisco ACI でも ACI に相当する「Contract」を設定すると TCAM (Policy CAM) を消費していきます。 スイッチごとの最大 Policy CAM 数は概ね、以下の要素で決定されます。 スイッチの型…
Cisco ACI において、EPGへのDomainマッピング時のパラメータについて で言及されているように EPG へ Domain を設定する際、Deployment や Resolution といった設定があります。 ACI 5.x 系時点で VMM Domain には以下の設定があります。 今回は VMM Domain…
Cisco ACI では GUI / CLI など設定方法を問わず、__ui で始まる設定名を利用すると、GUI 上で該当の設定が表示されないようです??
