らくがきちょう

なんとなく ~所属組織/団体とは無関係であり、個人の見解です~

ACI で BD Subnet 宛通信を「同一ネットワーク」のみに制限する BD Enforcement Status 設定

Cisco ACI 環境において、Contract が設定されていれば、などが設定あれ、Filter 上も許可されていれば Ping による疎通が確認出来るはずです。 これを図解すると以下のようになります。

Cisco ACI での「Enforce EPG VLAN Validation」設定

Cisco ACI では VLAN ID の重複する Domain を同一に Epg に設定するとトラフィック処理上、問題が発生しますが、設定自体は出来てしまいます。 Enforce EPG VLAN Validation という設定を有効化することで、そもそもこういった「問題のある構成」を設定出来…

Cisco IOS でコンフィグを世代管理する

従来からある Cisco IOS でもコンフィグを世代管理することは可能です。 コンフィグの世代管理を行う場合、コンフィグ保存専用のディレクトリを作成した方が管理が簡単なので、予めディレクトリを作成しておきます。

Cisco ACI で多数の EPG を設定すると、どうなるか?

Cisco ACI のドキュメント のうち、Verified Scalability Guide は一般的なスケーラビリティの検証値・上限値などについて言及されたドキュメントです。 このドキュメントの General Scalability Limits で EPG 数 (Number of endpoint groups (EPGs)) は L3…

Cisco ACI に ELAM Assistant をインストールする

ELAM Assistant は Cisco ACI に無償で追加インストール出来、ACI で「どのようにパケット転送が行われているか?」を確認する上で非常に有益なツールです。 今回は ACI のバージョン 5.x 系へ ELAM Assistant をインストールし、利用開始するまでの手順をメ…

Cisco ACI で acitoolkit を使って物理インターフェイスをシャットダウンする

acitoolkit を使って物理インターフェイスをシャットダウンする手順をメモしておきます。

Cisco ACI 5.x 系で DOM を有効化し、トランシーバの光レベルを計測する

Catalyst や Nexus の場合、デフォルトで DOM (Digital Optical Monitoring Statistics) が有効になっており、トランシーバの光レベルをコマンドから確認することが出来ます。 しかし、Cisco ACI の場合はデフォルトで DOM は無効になっている為、明示的に有…

Cisco ACI における VLAN 重複の考え方整理

Cisco ACI では VLAN ID も「EndPoint をどの EPG へ関連付けるか?」という識別子に利用されます。 ACI では条件さえ満たせば「同じ VLAN ID を別 EPG で再利用可能」なのですが、「条件を満たしていないと同じ VLAN ID を再利用出来ない」とも言えます。 …

Cisco ACI で Route Leak した際の Zoning-Rule

以前に下記のメモを書きました。 Cisco ACI における基本的な Route Leak 設定パターン Cisco ACI で EPG を内部的に識別する pcTag の種類と範囲 今回は Route Leak の有る構成 / 無い構成で Resource IDs や Zoning-Rule がどのように表示されるか、確認し…

Cisco ACI で BD Subnet と異なるアドレスを学習させる設定

Cisco ACI では EPG が EndPoint を学習します。 デフォルトの状態では対象の EndPoint が「BD Subnet と同じネットワークに所属しているか? 異なるネットワークに所属しているか?」に応じて「IP アドレスを学習するか? 否か?」の挙動が異なります。 項…

lego を使い Route53 認証でサーバ証明書を取得する (2020/09/27 版)

以前に以下のメモを書きました。 lego で Let's Encrypt の証明書を Route53 DNS 認証で取得する AmazonLinux2 で lego を使い Route53 認証でサーバ証明書を取得する lego を使えば certbot をインストールすること無く、Let's Encrypt の証明書を取得出来…

Cisco ACI における ESG 設定の基本

Cisco ACI 5.0 から ESG (EndpOint Security Groups) 機能がサポートされました。 従来の EPG では「異なる BD を跨った EPG」を設定することは出来ませんでした。 しかし、ESG を利用すると BD は無関係に、EPG を自由にグルーピングすることが出来るように…

Cisco ACI で EPG を内部的に識別する pcTag の種類と範囲

Cisco ACI において、CLI から EPG や VRF を特定する場合、各々以下の識別子を用います。 EPG … pcTag (または Class ID) VRF … VNID (または scope)

ACI ベストプラクティスに従った設定

Unofficial ACI Guide は参考になる情報がたくさん掲載されています。 こちらに ACI Best Practice Configurations という記事がありますが、著者ご本人に翻訳の許可を頂いたので日本語に意訳してみました (Thank you, Jody!)。

Cisco ACI のイベントをリアルタイムで検知する Python サンプルスクリプト

以前に Cisco ACI のイベントをリアルタイムで検知する Node.js サンプルスクリプト というメモを書きました。 このメモの Python バージョンを作ったので、改めてメモしておきます。

ACI で Preferred Group 設定時の Zoning-Rule

Cisco ACI で Contract Preferred Groups を使うと EPG を優先グループ / 非優先グループに分けることが出来ます。 Preferred Group 設定には「include」と「exclude」があり、各々以下のように「通信する際に Contract を必要とするか? 否か?」という違い…

ACI で ExtEpg ~ AppEpg 接続時の Zoning-Rule

Cisco ACI で ExtEpg (External EPG) と AppEpg (Application EPG) を Contract した場合に作成される Zoning-Rule は AppEpg 同士を Contract した場合と、特に変わりありません。 今回は実際に ExtEpg と AppEpg を Contract し、作成される Zoning-Rule …

ACI でオブジェクト数の上限を設定する

Cisco ACI では Quota 設定を行うことにより、「特定のオブジェクトの作成上限数を制限する」ことが可能です。

ACI でログインバナーをカスタマイズする

Cisco ACI ではログインバナーをカスタマイズすることが可能です。 設定は System → System Settings → System Alias and Banners から実施することが可能です。 今回はバージョン 5.0(2h) 環境で「何を設定すると → どこに反映されるか?」を確認してみまし…

ACI の Filter Entry で Port を Range 設定した場合の Zoning-Rule

Cisco ACI では Policy CAM の消費量は「SrcEPG 数 x DstEPG 数 x Filter Entry 数 x 1 (both direction なら 2)」で算出出来る、とされています。 ですが、Filter Entry は TCP/UDP のポートを Range (範囲) 設定することが可能です。 幾つかのパターンで R…

ACI で Apply Both Directions / Reverse Filter Ports ごとの Zoning-Rule

Cisco ACI で EPG 間の通信許可/拒否ルールを定義するには Contract 設定が必要になります。 Contract は「Contract → Subject → Filter」という三階層構造を取ります。 Contract の配下に作成する Subject には以下、ふたつの設定が存在します。 Apply Both…

ACI で EPG Contract Inheritance 設定した際の Zoning-Rule

Cisco ACI では Contract に同じ接続をする EPG が複数存在する場合、Master と呼ばれる「親 EPG」を作成し、「子 EPG」からは Master を参照させる、という機能があります。 この機能は EPG Contract Inheritance と呼ばれています。 EPG Contract Inherita…

Cisco ACI で Policy Control Enforcement Preference 設定時の Policy CAM を確認する

Cisco ACI では同一 VRF 内での通信時に「Contract 設定が必要か?」「不必要か?」を定義する Policy Control Enforcement Preference という設定があります。 この設定はプライベート ネットワークの設定パラメータ に下記と記載されています。 Policy Con…

Cisco ACI では Contract が無くても ARP は許可される

Cisco ACI に関する情報を読んでいると「EPG 同士は Contract されていない限り、通信出来ない」という記載を目にすることがあります。 VRF の Policy Control Enforcement Preference 設定が Unenforced で無い限り、この記載は概ね正しいのですが、厳密に…

Cisco ACI で TCAM (Policy CAM) の使用状況を確認する

Cisco ACI で TCAM (Policy CAM) の使用状況を確認するには GUI の Capacity Dashboard から確認するのが簡単ですが CLI から確認することも出来ます。 今回は 5.0(2h) 環境で確認してみます。 おそらく ACI 4.0 以前や第一世代 Leaf では見え方・確認コマン…

Windows のターミナルソフト「RLogin」の設定

ターミナルソフトと言えば macOS では iTerm2 を利用しているのですが、Windows のソフトウェアは一長一短に感じられ、場合によって TeraTerm や Poderosa、RLogin を使い分けています。 今回は私が RLogin を利用する際に行っている設定をメモしておきます。

Cisco ACI で vzAny 設定時の Policy CAM 利用状況を確認する

以前に Cisco ACI で Policy CAM の利用状況を確認する というメモを書きました。 ACI では (個々の EPG に対してでは無く) VRF 全体に対して Contract を設定する、いわゆる「vzAny」と呼ばれている設定方法があります。 今回は vzAny を利用した場合の Pol…

Cisco ACI で Policy CAM の利用状況を確認する

従来の機器でも「ACL を設定すると TCAM 領域を消費」すると思います。 Cisco ACI でも ACI に相当する「Contract」を設定すると TCAM (Policy CAM) を消費していきます。 スイッチごとの最大 Policy CAM 数は概ね、以下の要素で決定されます。 スイッチの型…

Cisco ACI で Deployment 設定によって Zoning-rule がDeploy されるタイミングの違い

Cisco ACI において、EPGへのDomainマッピング時のパラメータについて で言及されているように EPG へ Domain を設定する際、Deployment や Resolution といった設定があります。 ACI 5.x 系時点で VMM Domain には以下の設定があります。 今回は VMM Domain…

ACI で「__ui」という設定名だと GUI には表示されない??

Cisco ACI では GUI / CLI など設定方法を問わず、__ui で始まる設定名を利用すると、GUI 上で該当の設定が表示されないようです??