らくがきちょう

なんとなく ~所属組織/団体とは無関係であり、個人の見解です~

ACI で BD Subnet 宛通信を「同一ネットワーク」のみに制限する BD Enforcement Status 設定

Cisco ACI 環境において、Contract が設定されていれば、などが設定あれ、Filter 上も許可されていれば Ping による疎通が確認出来るはずです。 これを図解すると以下のようになります。

f:id:sig9:20201014221906p:plain

BD Enforcement Status 有効時の動作

TenantNetworkingVRFsVRFBD Enforcement Status にチェックを入れると L3Out (Logical Interface) や BD (BD Subnet) が「同一のネットワーク内からしか、通信に応答しなくなる」という振る舞いをします。 設定箇所は以下です。

f:id:sig9:20201014221909p:plain

動作イメージは以下の通りです。

f:id:sig9:20201014222917p:plain

例外アドレスを登録する

BD Enforcement Status によって「BD Subnet」「Logical Interface」に所属しないネットワークからの通信が制限されますが、例外アドレスを設定するには SystemSystem SettingsBD Enforced Exception List から登録することが出来ます。

f:id:sig9:20201015231040p:plain

ただし、この「例外アドレス」設定は Tenant や VRF を見分けることが出来ません。