らくがきちょう

なんとなく ~所属組織/団体とは無関係であり、個人の見解です~

Cisco ACI で Domains 設定は必須なのか?

Cisco ACi でベアメタルサーバ (物理サーバ) を収容する場合、一般的には以下の設定が必要です。

  1. 「利用する VLAN 範囲」を AEPDomainVLAN Pool で設定し、その AEP が最終的に Interface ProfileSwitch Profile から参照されるように関連付ける
  2. TenantApplication EPG 設定で、Domains に 1. で定義した Domain を設定する
  3. TenantStatic Ports 設定で、ベアメタルサーバを収容する物理ポートを定義する

しかし、デフォルトの状態では上記の 2. (Application EPGDomains 設定) を省略しても通信出来てしまいます。 但し、この場合は「Domain が未設定」という、下記の Fault が表示されます。

f:id:sig9:20201016224812p:plain

Domain が未設定の場合でも通信を許可するか? 否か?」というのは SystemSystem SettingsFabric-Wide SettingsEnforce Domain Validation で制御することが可能です。

f:id:sig9:20201016231054p:plain

各々の設定毎に「通信出来るか?」を一覧にすると以下の通りです。

No. Enforce Domain Validation ConsumerDomain ProviderDomain 通信出来るか?
1-1
1-2
1-3
1-4
1-5
1-6
1-7
1-8
2-1
2-2
2-3
2-4
2-5
2-6
2-7
2-8

要点は以下です。

  • Enforce Domain Validation が無効 (デフォルト) だと、AppEpg で Domains 設定が無くても通信出来てしまう
  • Enforce Domain Validation が有効だと、AppEpg で Domain 設定が無いと通信出来ない