ACIでのインバンド管理の設定
内容
はじめに
このドキュメントでは、アプリケーションセントリックインフラストラクチャ(ACI)でのインバンド(INB)管理の設定について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
* ACIアクセスポリシーの理解
* ACI契約の理解
* L3out外部ネットワークインスタンスプロファイル(外部EPG)設定の理解
ACIでINBを設定する前に、ファブリック検出を完了する必要があります。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Application Policy Infrastructure Controller(APIC)
- ブラウザ
- 5.2(8e)を実行するACI
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
設定は、次の3つの主要なステップに分けられます。
1. リーフとAPICを接続するポートでINBのVLANを設定します。
2. 管理テナントでINB EPGを関連付け、すべてのデバイスにINBアドレスを割り当てます。
3. L3outまたはテナントVRFを介したINBアドレスのリーク。
ネットワーク図
1. リーフインターフェイスでのINBのVLANの設定
1.1. VLANプールの作成
APIC Web GUIのパス(Fabric > Access Policies > Pools > VLAN)に移動します。
Name:VLANプールの名前。この名前には、1 ~ 64 文字の英数字を使用できます。
Description:VLANプールの説明。説明には、0 ~ 128文字の英数字を使用できます。
割り当てモード:このVLANプールの割り当て方式は、INBに対してスタティックである必要があります。
Encap Blocks:割り当てられているVLANプールの範囲。
Range:VLANプールの開始VLAN IDと終了VLAN ID。開始IDは終了ID以下でなければなりません。
1.2.物理ドメインの作成
APIC Web GUIのパス(Fabric > Access Policies > Physical and External Domains > Physical Domains)に移動します。
Name:物理ドメインの名前。この名前には、1 ~ 64 文字の英数字を使用できます。
VLAN Pool:ステップ1.1で作成したVLAN Poolを選択します。
1.3.アタッチ可能なアクセスエンティティプロファイルの作成
APIC Web GUIのパス(Fabric > Access Policies > Policies > Global > Attachable Access Entity Profile)に移動します。
Name:アタッチ可能なアクセスエンティティのプロファイル名。この名前には、1 ~ 64 文字の英数字を使用できます。
インターフェイスへの関連付け:チェックを外します。最後の手順では、手順1.6でリーフのインターフェイスに手動で割り当てます。
インターフェイスに関連付けるドメイン(VMM、物理または外部):ステップ1.2で作成した物理ドメインを選択します。
1.4.リーフアクセスポートポリシーグループの作成
APIC Web GUIのパス(Fabric > Access Policies > Interfaces > Leaf Interfaces > Policy Groups > Leaf Access Port Policy Group)に移動します。
Name:リーフアクセスポートポリシーグループの名前。この名前には、1 ~ 64 文字の英数字を使用できます。
Attached Entity Profile:ステップ1.3で作成したAttached Entity Profileを選択します。
Link Layer Discovery Protocol(LLDP)Policy:Enable Policyを選択する必要があります。
1.5.リーフアクセスポートポリシーグループの作成
APIC Web GUIのパス(Fabric > Access Policies > Interfaces > Leaf Interfaces > Profiles)に移動します。
Name:リーフインターフェイスプロファイルの名前。この名前には、1 ~ 64 文字の英数字を使用できます。
インターフェイスセレクタ:インターフェイスとインターフェイスポリシーの間に対応する関係を作成します。
Name:アクセスポートセレクタの名前。この名前には、1 ~ 64 文字の英数字を使用できます。
インターフェイスID:インターフェイスIDはAPICと相互接続されます。ドキュメントのトポロジでは、このインターフェイスIDは1/47または1/48です。
Interface Policy Group:ステップ1.4で作成したAttached Entity Profileを選択します。
注:このドキュメントのトポロジでは、3つのAPICをリーフに接続するインターフェイスは同じではありません。
APIC 3はEth1/47インターフェイスに接続されていないため、1/47 ~ 1/48のインターフェイスIDは作成できません。
Eth1/47とEth1/48に対して個別のインターフェイスプロファイルを作成する必要があります。
1.6.リーフへのインターフェイスプロファイルの適用
APIC Web GUIのパス(Fabric > Access Policies > Switches > Leaf Switches > Profiles)に移動します。
Name:リーフプロファイルの名前。この名前には、1 ~ 64 文字の英数字を使用できます。
リーフセレクタ:インターフェイス設定のプッシュ先のリーフIDを選択します。
Name:リーフグループの名前。
Blocks:スイッチのノードIDを選択します。
Interface Selector Profiles:ステップ1.5で作成したAttached Entity Profileを選択します。
注:このドキュメントの例では、2つのスイッチプロファイルを設定する必要があります。
最初の方法は、リーフ101-102とリーフ111-112を選択し、インターフェイスプロファイルをEth1/48に割り当てることです。
2つ目は、リーフ111-112を選択し、インターフェイスプロファイルをEth1/47に割り当てることです。
アクセスポリシーのトラブルシューティングの詳細については、「ACIアクセスポリシーのトラブルシューティング」を参照してください。
2. 管理テナントでのINBアドレスの割り当て
2.1.ブリッジドメイン(BD)INBサブネットの作成
APIC Web GUIのパス(Tenants > mgmt > Networking > Bridge Domains > inb)に移動します。
注:このドキュメントでは、デフォルトのBDとVRFを使用します。
同様の設定を実行するために、新しいVRFとBDを作成することもできます。
ゲートウェイIP:INBサブネットゲートウェイ。
範囲:使用したルート漏出方法に従って選択します。ここで、L3outの使用を選択し、Advertised Externallyをクリックします。
2.2. INB EPGの作成
APIC Web GUIのパス(Tenants > mgmt > Node Management EPGs)に移動します。
Name:INB EPGの名前。
Encap:ステップ1.1で作成したVLANプールでVLANを選択します。
ブリッジドメイン:ステップ2.1で作成したBDを選択します。
2.3.デバイスへの静的INB IPアドレスの割り当て
APIC Web GUIのパス(Tenants > mgmt > Node Management Addresses > Static Node Management Addresses)に移動します。
Node Range:INBアドレスに割り当てるノードID。 割り当てられたINBアドレスは、ノードIDとともに順番に増加します。
設定:In-Band Addressesを選択します。
In-Band Management EPG:ステップ2.2で作成したEPGを選択します。
インバンドIPV4アドレス:最初に割り当てられたINBアドレス。
インバンドIPV4ゲートウェイ:手順2.1で追加したサブネットのアドレスとして設定します。
注:ステップ2.3.の設定が完了すると、すべてのリーフ/APICがINBを介して通信できるようになります。
3. リークINBアドレス
INBサブネットは、任意のルート漏洩方式を通じて他のネットワークと共有できます。INB EPGは特別なEPGと見なすことができます。ルート漏出を設定する場合、通常のEPGとの違いはありません。
このドキュメントでは、例としてL3outのみを設定しています。
3.1.管理テナントでのL3outの作成
この例では、物理インターフェイスは、シンプルなOpen Shortest Path First(OSPF)プロトコルを実行しているルータで使用されます。
注:L3outの詳細については、『L3out white paper; ACI Fabric L3Out White Paper』を参照してください。
Name:INB L3outの名前。
VRF:L3outルートがあるVRFを選択します。このドキュメントでは、最も単純な設定を使用し、管理テナントのVRF INBを選択します。
L3ドメイン:実際の状況に応じて作成および選択します。L3ドメインの詳細については、L3out white paperを参照してください。
OSPF:この例では、L3outはOSPFプロトコルを実行します。実際の状況に応じて、ダイナミックルーティングプロトコルを選択するか、スタティックルーティングを使用します。
ネットワーク計画に従ってインターフェイスを設定します。
OSPFの場合、デフォルトのネットワークタイプはブロードキャストです。この例では、ネットワークタイプをポイントツーポイントに変更しています。
この例では、L3outとEPGが1つだけあり、すべての外部ネットワークのデフォルトEPGオプションを使用できます。
注:同じVRFに複数のL3out EPGがある場合は、このオプションを慎重に設定してください。詳細については、L3outホワイトペーパーを参照してください。
ルータを設定した後、OSPFネイバーステータスをFULLに変更できます。
admin-Infra# show lldp neighbors
Capability codes:
(R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device
(W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other
Device ID Local Intf Hold-time Capability Port ID
f6leaf102.aci.pub Eth4/37 120 BR Eth1/40
admin-Infra# show run
version 8.2(6)
feature ospf
interface loopback66
vrf member aci-inb
ip address 192.168.1.7/32
ip router ospf aci-inb area 0.0.0.0
interface Ethernet4/37
vrf member aci-inb
ip address 192.168.2.2/24
ip ospf network point-to-point
ip router ospf aci-inb area 0.0.0.0
no shutdown
vrf context aci-inb
address-family ipv4 unicast
router ospf aci-inb
vrf aci-inb
router-id 192.168.1.7
admin-Infra# show ip ospf neighbors vrf aci-inb
OSPF Process ID aci-inb VRF aci-inb
Total number of neighbors: 1
Neighbor ID Pri State Up Time Address Interface
192.168.1.6 1 FULL/ - 00:04:01 192.168.2.1 Eth4/37
admin-Infra#
f6leaf102# show ip int bri vrf mgmt:inb
IP Interface Status for VRF "mgmt:inb"(27)
Interface Address Interface Status
eth1/40 192.168.2.1/24 protocol-up/link-up/admin-up
vlan7 192.168.6.254/24 protocol-up/link-up/admin-up
lo37 192.168.1.6/32 protocol-up/link-up/admin-up
f6leaf102# show ip ospf neighbors vrf mgmt:inb
OSPF Process ID default VRF mgmt:inb
Total number of neighbors: 1
Neighbor ID Pri State Up Time Address Interface
192.168.1.7 1 FULL/ - 00:05:08 192.168.2.2 Eth1/40
f6leaf102# L3outでのトラブルシューティングが必要な場合は、『ACI外部転送のトラブルシューティング』を参照してください。
3.2. L3outに関連付けられたBD
APIC Web GUIのパス(Tenants > mgmt > Networking > Bridge Domains > inb)に移動します。
Associated L3outs:ステップ3.1で作成したmgmt L3outの名前を選択します。
3.3.コントラクトの作成
APIC Web GUIのパス(Tenants > mgmt > Contracts > Standard)に移動します。
この例では、コントラクトはすべてのトラフィックを許可します。契約の詳細については、契約のホワイトペーパー『Cisco ACI Contract Guide White Paper』を参照してください。
3.4. INB EPGへの契約の適用
APIC Web GUIのパス(Tenants > mgmt > Node Management EPGs > In-Band EPG - default)に移動します。
提供された契約:ステップ3.3で作成した契約を選択します。
使用された契約:ステップ3.3で作成した契約を選択します。
3.5. L3out EPGへの契約の適用
APIC Web GUIのパス(Tenants > mgmt > Networking > L3Outs > INB-L3out > External EPGs > all-subnet-epg)に移動します。
提供された契約の追加:ステップ3.3で作成した契約。
使用済み契約の追加:ステップ3.3で作成した契約。
適用すると、契約がProvidedとConsumedに表示されます。
確認
外部ルータでINBルートを確認できます。
admin-Infra# show ip route vrf aci-inb
IP Route Table for VRF "aci-inb"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%' in via output denotes VRF
192.168.1.6/32, ubest/mbest: 1/0
*via 192.168.2.1, Eth4/37, [110/5], 00:37:40, ospf-aci-inb, intra
192.168.1.7/32, ubest/mbest: 2/0, attached
*via 192.168.1.7, Lo66, [0/0], 00:04:06, local
*via 192.168.1.7, Lo66, [0/0], 00:04:06, direct
192.168.2.0/24, ubest/mbest: 1/0, attached
*via 192.168.2.2, Eth4/37, [0/0], 00:37:51, direct
192.168.2.2/32, ubest/mbest: 1/0, attached
*via 192.168.2.2, Eth4/37, [0/0], 00:37:51, local
192.168.6.0/24, ubest/mbest: 1/0
*via 192.168.2.1, Eth4/37, [110/20], 00:24:38, ospf-aci-inb, type-2
admin-Infra#
admin-Infra# ping 192.168.6.1 vrf aci-inb
PING 192.168.6.1 (192.168.6.1): 56 data bytes
64 bytes from 192.168.6.1: icmp_seq=0 ttl=62 time=0.608 ms
64 bytes from 192.168.6.1: icmp_seq=1 ttl=62 time=0.55 ms
64 bytes from 192.168.6.1: icmp_seq=2 ttl=62 time=0.452 ms
64 bytes from 192.168.6.1: icmp_seq=3 ttl=62 time=0.495 ms
64 bytes from 192.168.6.1: icmp_seq=4 ttl=62 time=0.468 ms
--- 192.168.6.1 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.452/0.514/0.608 ms
admin-Infra# ping 192.168.6.3 vrf aci-inb
PING 192.168.6.3 (192.168.6.3): 56 data bytes
64 bytes from 192.168.6.3: icmp_seq=0 ttl=61 time=0.731 ms
64 bytes from 192.168.6.3: icmp_seq=1 ttl=61 time=0.5 ms
64 bytes from 192.168.6.3: icmp_seq=2 ttl=61 time=0.489 ms
64 bytes from 192.168.6.3: icmp_seq=3 ttl=61 time=0.508 ms
64 bytes from 192.168.6.3: icmp_seq=4 ttl=61 time=0.485 ms
--- 192.168.6.3 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.485/0.542/0.731 ms
admin-Infra# ping 192.168.6.201 vrf aci-inb
PING 192.168.6.201 (192.168.6.201): 56 data bytes
64 bytes from 192.168.6.201: icmp_seq=0 ttl=63 time=0.765 ms
64 bytes from 192.168.6.201: icmp_seq=1 ttl=63 time=0.507 ms
64 bytes from 192.168.6.201: icmp_seq=2 ttl=63 time=0.458 ms
64 bytes from 192.168.6.201: icmp_seq=3 ttl=63 time=0.457 ms
64 bytes from 192.168.6.201: icmp_seq=4 ttl=63 time=0.469 ms
--- 192.168.6.201 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.457/0.531/0.765 ms
admin-Infra# ping 192.168.6.211 vrf aci-inb
PING 192.168.6.211 (192.168.6.211): 56 data bytes
64 bytes from 192.168.6.211: icmp_seq=0 ttl=63 time=0.814 ms
64 bytes from 192.168.6.211: icmp_seq=1 ttl=63 time=0.525 ms
64 bytes from 192.168.6.211: icmp_seq=2 ttl=63 time=0.533 ms
64 bytes from 192.168.6.211: icmp_seq=3 ttl=63 time=0.502 ms
64 bytes from 192.168.6.211: icmp_seq=4 ttl=63 time=0.492 ms
--- 192.168.6.211 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.492/0.573/0.814 ms
admin-Infra# 注:ACIバージョンが古い場合、スパインノードはAddress Resolution Protocol(ARP;アドレス解決プロトコル)に応答しない接続にループバックインターフェイスを使用するため、インバンドでpingに応答しません。
インバンド管理を設定すると、Cisco APICは(TACACSのように)Cisco APICから送信されるすべてのトラフィックに対して常にインバンドを優先します。
特にOOBアドレスに要求を送信しているホストに対しては、引き続きOOBにアクセスできます。
トラブルシュート
まず、INBに障害があるかどうかを確認する必要があります。
スイッチ上:
f6leaf102# show vrf mgmt:inb
VRF-Name VRF-ID State Reason
mgmt:inb 27 Up --
f6leaf102#
f6leaf102# show ip int bri vrf mgmt:inb
IP Interface Status for VRF "mgmt:inb"(27)
Interface Address Interface Status
eth1/40 192.168.2.1/24 protocol-up/link-up/admin-up
vlan7 192.168.6.254/24 protocol-up/link-up/admin-up
lo37 192.168.1.6/32 protocol-up/link-up/admin-up
f6leaf102#
f6leaf102# show ip route vrf mgmt:inb
IP Route Table for VRF "mgmt:inb"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%' in via output denotes VRF
192.168.1.6/32, ubest/mbest: 2/0, attached, direct
*via 192.168.1.6, lo37, [0/0], 02:12:38, local, local
*via 192.168.1.6, lo37, [0/0], 02:12:38, direct
192.168.1.7/32, ubest/mbest: 1/0
*via 192.168.2.2, eth1/40, [110/5], 00:03:09, ospf-default, intra
192.168.2.0/24, ubest/mbest: 1/0, attached, direct
*via 192.168.2.1, eth1/40, [0/0], 00:37:13, direct
192.168.2.1/32, ubest/mbest: 1/0, attached
*via 192.168.2.1, eth1/40, [0/0], 00:37:13, local, local
192.168.6.0/24, ubest/mbest: 1/0, attached, direct, pervasive
*via 192.168.224.64%overlay-1, [1/0], 00:24:06, static
192.168.6.102/32, ubest/mbest: 1/0, attached
*via 192.168.6.102, vlan7, [0/0], 00:21:38, local, local
192.168.6.254/32, ubest/mbest: 1/0, attached, pervasive
*via 192.168.6.254, vlan7, [0/0], 00:21:38, local, local
f6leaf102# APIC上:
f6apic1# ifconfig
bond0.10: flags=4163 mtu 1496
inet 192.168.6.1 netmask 255.255.255.0 broadcast 192.168.6.255
inet6 fe80::2ef8:9bff:fee8:8a10 prefixlen 64 scopeid 0x20
ether 2c:f8:9b:e8:8a:10 txqueuelen 1000 (Ethernet)
RX packets 37 bytes 1892 (1.8 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 889 bytes 57990 (56.6 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
f6apic1# show inband-mgmt
Table1 : INB-Mgmt Node Details
Type Node ID IP Address Gateway Inband EPG Oper State
------------ ---------- -------------------- -------------------- -------------------- --------------------
f6apic1 1 192.168.6.1/24 192.168.6.254 default up
f6apic2 2 192.168.6.2/24 192.168.6.254 default up
f6apic3 3 192.168.6.3/24 192.168.6.254 default up
f6leaf101 101 192.168.6.101/24 192.168.6.254 default up
f6leaf102 102 192.168.6.102/24 192.168.6.254 default up
f6leaf111 111 192.168.6.111/24 192.168.6.254 default up
f6leaf112 112 192.168.6.112/24 192.168.6.254 default up
f6spine201 201 192.168.6.201/24 192.168.6.254 default up
f6spine202 202 192.168.6.202/24 192.168.6.254 default up
f6spine211 211 192.168.6.211/24 192.168.6.254 default up
f6spine212 212 192.168.6.212/24 192.168.6.254 default up
Table2 : InB-Mgmt EPG Details
Name Qos Tag Nodes Vlan Oper State
--------------- --------------- --------------- ---------- ---------- ----------
default unspecified 32778 1 vlan-10 up
default unspecified 32778 2 vlan-10 up
default unspecified 32778 3 vlan-10 up
default unspecified 32778 101 vlan-10 up
default unspecified 32778 102 vlan-10 up
default unspecified 32778 111 vlan-10 up
default unspecified 32778 112 vlan-10 up
default unspecified 32778 201 vlan-10 up
default unspecified 32778 202 vlan-10 up
default unspecified 32778 211 vlan-10 up
default unspecified 32778 212 vlan-10 up
Table3 : INB-Mgmt EPG Contract Details
INBAND-MGMT-EPG Contracts App Epg L3 External Epg Oper State
--------------- --------------- ------------------------- ------------------------- ----------
default(P) ALL default all-subnet-epg up
default(C) ALL default all-subnet-epg up
f6apic1#
f6apic1# bash
admin@f6apic1:~> ip route show
default via 192.168.6.254 dev bond0.10 metric 32
192.168.6.0/24 dev bond0.10 proto kernel scope link src 192.168.6.1
192.168.6.254 dev bond0.10 scope link src 192.168.6.1
admin@f6apic1:~> route -n
Kernel IP routing table
0.0.0.0 192.168.6.254 0.0.0.0 UG 32 0 0 bond0.10
192.168.6.0 0.0.0.0 255.255.255.0 U 0 0 0 bond0.10
192.168.6.254 0.0.0.0 255.255.255.255 UH 0 0 0 bond0.10
admin@f6apic1:~> 注:このEnforce Domain Validation機能は、EPGで使用されるVLAN/ドメインとインターフェイスの設定をチェックします。有効になっていない場合、リーフは設定をプッシュするときにドメインチェックを無視します。 この機能を一度有効にすると、無効にすることはできません。不完全な設定を避けるために、このオプションをオンにすることをお勧めします。
トラブルシューティングの詳細については、Cisco TACまでお問い合わせください。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
14-May-2025
|
文法と書式を更新。 |
1.0 |
08-May-2024
|
初版 |
フィードバック