ACIでのインバンド管理の設定

はじめに

このドキュメントでは、アプリケーションセントリックインフラストラクチャ(ACI)でのインバンド(INB)管理の設定について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

* ACIアクセスポリシーの理解
* ACI契約について
* L3out外部ネットワークインスタンスプロファイル（外部EPG）設定の理解

ACIでINBを設定する前に、ファブリック検出を完了する必要があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Application Policy Infrastructure Controller（APIC）
• ブラウザ
• 5.2(8e)を実行するACI

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

設定

設定は、次の3つの主要なステップに分けられます。
1. リーフとAPICを接続するポートでINBのVLANを設定します
2. 管理テナントでINB EPGを関連付け、すべてのデバイスにINBアドレスを割り当てます。
3. L3outまたはテナントVRFを介したINBアドレスのリーク。

ネットワーク図

1. リーフインターフェイスでのINBのVLANの設定

1.1. VLANプールの作成

APIC Web GUIのパスFabric > Access Policies > Pools > VLANに移動します。

Name:VLANプールの名前。この名前には、1 ～ 64 文字の英数字を使用できます。

Description:VLANプールの説明。説明には、0 ～ 128文字の英数字を使用できます。

Allocation Mode：このVLANプールの割り当て方式は、INBではstaticにする必要があります。

Encap Blocks：割り当てられたVLANプールの範囲。

Range:VLANプールの開始VLAN IDと終了VLAN ID。開始IDは終了ID以下でなければなりません。

1.2.物理ドメインの作成

APIC Web GUIのパスFabric > Access Policies > Physical and External Domains > Physical Domainsに移動します。

Name：物理ドメインの名前。この名前には、1 ～ 64 文字の英数字を使用できます。

VLAN Pool：ステップ1.1で作成したVLANプールを選択します。

1.3.アタッチ可能なアクセスエンティティプロファイルの作成

APIC Web GUIのパスFabric > Access Policies > Policies > Global > Attachable Access Entity Profileに移動します。

Name：アタッチ可能なアクセス権限プロファイルの名前。この名前には、1 ～ 64 文字の英数字を使用できます。

インターフェイスへの関連付け：チェックを外します。最後の手順では、手順1.6でリーフのインターフェイスに手動で割り当てます。

インターフェイスに関連付けるドメイン（VMM、物理または外部）：ステップ1.2で作成した物理ドメインを選択します。

1.4.リーフアクセスポートポリシーグループの作成

APIC Web GUIのパスFabric > Access Policies > Interfaces > Leaf Interfaces > Policy Groups > Leaf Access Port Policy Groupに移動します。

Name：リーフアクセスポートポリシーグループの名前。この名前には、1 ～ 64 文字の英数字を使用できます。

アタッチされた図形の縦断 – 手順1.3で作成したアタッチされた図形の縦断を選択します。

Link Layer Discovery Protocol(LLDP)Policy:Enable Policyを選択する必要があります。

1.5.リーフアクセスポートポリシーグループの作成

APIC Web GUIのパスFabric > Access Policies > Interfaces > Leaf Interfaces > Profilesに移動します。

Name：リーフインターフェイスプロファイルの名前。この名前には、1 ～ 64 文字の英数字を使用できます。

インターフェイスセレクタ：インターフェイスとインターフェイスポリシーの間に対応する関係を作成します。

Name：アクセスポートセレクタの名前。この名前には、1 ～ 64 文字の英数字を使用できます。

インターフェイスID：インターフェイスIDはAPICと相互接続されます。ドキュメントのトポロジでは、このインターフェイスIDは1/47または1/48です。

Interface Policy Group：ステップ1.4で作成したアタッチされたエンティティプロファイルを選択します。

1.6.リーフへのインターフェイスプロファイルの適用

APIC Web GUIのパスFabric > Access Policies > Switches > Leaf Switches > Profilesに移動します。

名前：リーフプロファイルの名前。この名前には、1 ～ 64 文字の英数字を使用できます。

リーフセレクタ：インターフェイスコンフィギュレーションのプッシュ先となるリーフIDを選択します。

Name：リーフグループの名前。

Blocks：スイッチノードIDを選択します。

Interface Selector Profiles – 手順1.5で作成したアタッチされたエンティティプロファイルを選択します。

アクセスポリシーのトラブルシューティングの詳細については、「ACIアクセスポリシーのトラブルシューティング」を参照してください。

2. 管理テナントでのINBアドレスの割り当て

2.1.ブリッジドメイン(BD)INBサブネットの作成

APIC Web GUIのパスTenants > mgmt > Networking > Bridge Domains > inbに移動します。

Gateway IP - The INB subnet gateway.

Scope - Choose according to the route leakage method you use. Here choose to use L3out, and then click Advertised Externally.

2.2. INB EPGの作成

APIC Web GUIのパスTenants > mgmt > Node Management EPGsに移動します。

Name:INB EPGの名前。

Encap：ステップ1.1で作成したVLANプール内のVLANを選択します。

ブリッジドメイン：ステップ2.1で作成したBDを選択します。

2.3.デバイスへの静的INB IPアドレスの割り当て

APIC Web GUIのパスTenants > mgmt > Node Management Addresses > Static Node Management Addressesに移動します。

Node Range:INBアドレスに割り当てるノードID。 割り当てられたINBアドレスは、ノードIDとともに順次増加します。

設定：インバンドアドレスを選択します。

インバンド管理EPG：手順2.2で作成したEPGを選択します。

インバンドIPV4アドレス：最初に割り当てられたINBアドレス。

インバンドIPV4ゲートウェイ：手順2.1で追加したサブネットのアドレスとして設定します。

3. INBアドレスのリーク

INBサブネットは、任意のルート漏えい方式で他のネットワークと共有できます。INB EPGは特別なEPGと見なすことができます。ルート漏出を設定する場合、通常のEPGとの違いはありません。

このドキュメントでは、例としてL3outのみを設定しています。

3.1.管理テナントでのL3outの作成

この例では、物理インターフェイスは、シンプルなOpen Shortest Path First(OSPF)プロトコルを実行しているルータで使用されます。

Name:INB L3outの名前。

VRF:L3outルートがあるVRFを選択します。このドキュメントでは、最も単純な設定を使用し、管理テナントのVRF INBを選択します。

L3ドメイン：実際の状況に応じて作成および選択します。L3ドメインの詳細については、L3outホワイトペーパーを参照してください。

OSPF：この例では、L3outはOSPFプロトコルを実行します。実際の状況に応じて、ダイナミックルーティングプロトコルを選択するか、スタティックルーティングを使用します。

ネットワーク計画に従ってインターフェイスを設定します。

OSPFでは、デフォルトのネットワークタイプはブロードキャストです。この例では、ネットワークタイプをポイントツーポイントに変更しています。

この例では、L3outとEPGが1つだけあり、デフォルトのすべての外部ネットワーク用のデフォルトEPGオプションが使用できます。

ルータの設定後、OSPFネイバーのステータスがFULLに変わる場合があります。

admin-Infra# show lldp neighbors Capability codes: (R) Router, (B) Bridge, (T) Telephone, (C) DOCSIS Cable Device (W) WLAN Access Point, (P) Repeater, (S) Station, (O) Other Device ID Local Intf Hold-time Capability Port ID f6leaf102.aci.pub Eth4/37 120 BR Eth1/40 admin-Infra# show run version 8.2(6) feature ospf interface loopback66 vrf member aci-inb ip address 192.168.1.7/32 ip router ospf aci-inb area 0.0.0.0 interface Ethernet4/37 vrf member aci-inb ip address 192.168.2.2/24 ip ospf network point-to-point ip router ospf aci-inb area 0.0.0.0 no shutdown vrf context aci-inb address-family ipv4 unicast router ospf aci-inb vrf aci-inb router-id 192.168.1.7 admin-Infra# show ip ospf neighbors vrf aci-inb OSPF Process ID aci-inb VRF aci-inb Total number of neighbors: 1 Neighbor ID Pri State Up Time Address Interface 192.168.1.6 1 FULL/ - 00:04:01 192.168.2.1 Eth4/37 admin-Infra# f6leaf102# show ip int bri vrf mgmt:inb IP Interface Status for VRF "mgmt:inb"(27) Interface Address Interface Status eth1/40 192.168.2.1/24 protocol-up/link-up/admin-up vlan7 192.168.6.254/24 protocol-up/link-up/admin-up lo37 192.168.1.6/32 protocol-up/link-up/admin-up f6leaf102# show ip ospf neighbors vrf mgmt:inb OSPF Process ID default VRF mgmt:inb Total number of neighbors: 1 Neighbor ID Pri State Up Time Address Interface 192.168.1.7 1 FULL/ - 00:05:08 192.168.2.2 Eth1/40 f6leaf102# 

L3outのトラブルシューティングが必要な場合は、「ACI外部転送のトラブルシューティング」を参照してください。

3.2. L3outに関連付けられたBD

APIC Web GUIのパスTenants > mgmt > Networking > Bridge Domains > inbに移動します。

Associated L3outs：手順3.1で作成した管理L3outの名前を選択します。

3.3.コントラクトの作成

APIC Web GUIのパスTenants > mgmt > Contracts > Standardに移動します。

この例では、コントラクトはすべてのトラフィックを許可します。契約の詳細が必要な場合は、契約のホワイトペーパー『Cisco ACI契約ガイドホワイトペーパー』を参照してください。

3.4. INB EPGへの契約の適用

APIC Web GUIのパスTenants > mgmt > Node Management EPGs > In-Band EPG - defaultに移動します。

提供された契約：ステップ3.3で作成した契約を選択します。

使用されたコントラクト：ステップ3.3で作成したコントラクトを選択します。

3.5. L3out EPGへのコントラクトの適用

APIC Web GUIのパスTenants > mgmt > Networking > L3Outs > INB-L3out > External EPGs > all-subnet-epgに移動します。

提供された契約の追加 – 手順3.3で作成した契約。

使用されたコントラクトの追加：ステップ3.3で作成したコントラクトです。

適用後は、契約が「提供済み」と「消込済み」に表示されます。

確認

外部ルータでINBルートを確認できます。

admin-Infra# show ip route vrf aci-inb IP Route Table for VRF "aci-inb" '*' denotes best ucast next-hop '**' denotes best mcast next-hop '[x/y]' denotes [preference/metric] '%<string>' in via output denotes VRF <string> 192.168.1.6/32, ubest/mbest: 1/0 *via 192.168.2.1, Eth4/37, [110/5], 00:37:40, ospf-aci-inb, intra 192.168.1.7/32, ubest/mbest: 2/0, attached *via 192.168.1.7, Lo66, [0/0], 00:04:06, local *via 192.168.1.7, Lo66, [0/0], 00:04:06, direct 192.168.2.0/24, ubest/mbest: 1/0, attached *via 192.168.2.2, Eth4/37, [0/0], 00:37:51, direct 192.168.2.2/32, ubest/mbest: 1/0, attached *via 192.168.2.2, Eth4/37, [0/0], 00:37:51, local 192.168.6.0/24, ubest/mbest: 1/0 *via 192.168.2.1, Eth4/37, [110/20], 00:24:38, ospf-aci-inb, type-2 admin-Infra# admin-Infra# ping 192.168.6.1 vrf aci-inb PING 192.168.6.1 (192.168.6.1): 56 data bytes 64 bytes from 192.168.6.1: icmp_seq=0 ttl=62 time=0.608 ms 64 bytes from 192.168.6.1: icmp_seq=1 ttl=62 time=0.55 ms 64 bytes from 192.168.6.1: icmp_seq=2 ttl=62 time=0.452 ms 64 bytes from 192.168.6.1: icmp_seq=3 ttl=62 time=0.495 ms 64 bytes from 192.168.6.1: icmp_seq=4 ttl=62 time=0.468 ms --- 192.168.6.1 ping statistics --- 5 packets transmitted, 5 packets received, 0.00% packet loss round-trip min/avg/max = 0.452/0.514/0.608 ms admin-Infra# ping 192.168.6.3 vrf aci-inb PING 192.168.6.3 (192.168.6.3): 56 data bytes 64 bytes from 192.168.6.3: icmp_seq=0 ttl=61 time=0.731 ms 64 bytes from 192.168.6.3: icmp_seq=1 ttl=61 time=0.5 ms 64 bytes from 192.168.6.3: icmp_seq=2 ttl=61 time=0.489 ms 64 bytes from 192.168.6.3: icmp_seq=3 ttl=61 time=0.508 ms 64 bytes from 192.168.6.3: icmp_seq=4 ttl=61 time=0.485 ms --- 192.168.6.3 ping statistics --- 5 packets transmitted, 5 packets received, 0.00% packet loss round-trip min/avg/max = 0.485/0.542/0.731 ms admin-Infra# ping 192.168.6.201 vrf aci-inb PING 192.168.6.201 (192.168.6.201): 56 data bytes 64 bytes from 192.168.6.201: icmp_seq=0 ttl=63 time=0.765 ms 64 bytes from 192.168.6.201: icmp_seq=1 ttl=63 time=0.507 ms 64 bytes from 192.168.6.201: icmp_seq=2 ttl=63 time=0.458 ms 64 bytes from 192.168.6.201: icmp_seq=3 ttl=63 time=0.457 ms 64 bytes from 192.168.6.201: icmp_seq=4 ttl=63 time=0.469 ms --- 192.168.6.201 ping statistics --- 5 packets transmitted, 5 packets received, 0.00% packet loss round-trip min/avg/max = 0.457/0.531/0.765 ms admin-Infra# ping 192.168.6.211 vrf aci-inb PING 192.168.6.211 (192.168.6.211): 56 data bytes 64 bytes from 192.168.6.211: icmp_seq=0 ttl=63 time=0.814 ms 64 bytes from 192.168.6.211: icmp_seq=1 ttl=63 time=0.525 ms 64 bytes from 192.168.6.211: icmp_seq=2 ttl=63 time=0.533 ms 64 bytes from 192.168.6.211: icmp_seq=3 ttl=63 time=0.502 ms 64 bytes from 192.168.6.211: icmp_seq=4 ttl=63 time=0.492 ms --- 192.168.6.211 ping statistics --- 5 packets transmitted, 5 packets received, 0.00% packet loss round-trip min/avg/max = 0.492/0.573/0.814 ms admin-Infra# 

トラブルシュート

まず、INBに障害があるかどうかを確認する必要があります。

スイッチ：

f6leaf102# show vrf mgmt:inb VRF-Name VRF-ID State Reason mgmt:inb 27 Up -- f6leaf102# f6leaf102# show ip int bri vrf mgmt:inb IP Interface Status for VRF "mgmt:inb"(27) Interface Address Interface Status eth1/40 192.168.2.1/24 protocol-up/link-up/admin-up vlan7 192.168.6.254/24 protocol-up/link-up/admin-up lo37 192.168.1.6/32 protocol-up/link-up/admin-up f6leaf102# f6leaf102# show ip route vrf mgmt:inb IP Route Table for VRF "mgmt:inb" '*' denotes best ucast next-hop '**' denotes best mcast next-hop '[x/y]' denotes [preference/metric] '%<string>' in via output denotes VRF <string> 192.168.1.6/32, ubest/mbest: 2/0, attached, direct *via 192.168.1.6, lo37, [0/0], 02:12:38, local, local *via 192.168.1.6, lo37, [0/0], 02:12:38, direct 192.168.1.7/32, ubest/mbest: 1/0 *via 192.168.2.2, eth1/40, [110/5], 00:03:09, ospf-default, intra 192.168.2.0/24, ubest/mbest: 1/0, attached, direct *via 192.168.2.1, eth1/40, [0/0], 00:37:13, direct 192.168.2.1/32, ubest/mbest: 1/0, attached *via 192.168.2.1, eth1/40, [0/0], 00:37:13, local, local 192.168.6.0/24, ubest/mbest: 1/0, attached, direct, pervasive *via 192.168.224.64%overlay-1, [1/0], 00:24:06, static 192.168.6.102/32, ubest/mbest: 1/0, attached *via 192.168.6.102, vlan7, [0/0], 00:21:38, local, local 192.168.6.254/32, ubest/mbest: 1/0, attached, pervasive *via 192.168.6.254, vlan7, [0/0], 00:21:38, local, local f6leaf102# 

APIC上：

f6apic1# ifconfig bond0.10: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1496 inet 192.168.6.1 netmask 255.255.255.0 broadcast 192.168.6.255 inet6 fe80::2ef8:9bff:fee8:8a10 prefixlen 64 scopeid 0x20<link> ether 2c:f8:9b:e8:8a:10 txqueuelen 1000 (Ethernet) RX packets 37 bytes 1892 (1.8 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 889 bytes 57990 (56.6 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 f6apic1# show inband-mgmt Table1 : INB-Mgmt Node Details Type Node ID IP Address Gateway Inband EPG Oper State ------------ ---------- -------------------- -------------------- -------------------- -------------------- f6apic1 1 192.168.6.1/24 192.168.6.254 default up f6apic2 2 192.168.6.2/24 192.168.6.254 default up f6apic3 3 192.168.6.3/24 192.168.6.254 default up f6leaf101 101 192.168.6.101/24 192.168.6.254 default up f6leaf102 102 192.168.6.102/24 192.168.6.254 default up f6leaf111 111 192.168.6.111/24 192.168.6.254 default up f6leaf112 112 192.168.6.112/24 192.168.6.254 default up f6spine201 201 192.168.6.201/24 192.168.6.254 default up f6spine202 202 192.168.6.202/24 192.168.6.254 default up f6spine211 211 192.168.6.211/24 192.168.6.254 default up f6spine212 212 192.168.6.212/24 192.168.6.254 default up Table2 : InB-Mgmt EPG Details Name Qos Tag Nodes Vlan Oper State --------------- --------------- --------------- ---------- ---------- ---------- default unspecified 32778 1 vlan-10 up default unspecified 32778 2 vlan-10 up default unspecified 32778 3 vlan-10 up default unspecified 32778 101 vlan-10 up default unspecified 32778 102 vlan-10 up default unspecified 32778 111 vlan-10 up default unspecified 32778 112 vlan-10 up default unspecified 32778 201 vlan-10 up default unspecified 32778 202 vlan-10 up default unspecified 32778 211 vlan-10 up default unspecified 32778 212 vlan-10 up Table3 : INB-Mgmt EPG Contract Details INBAND-MGMT-EPG Contracts App Epg L3 External Epg Oper State --------------- --------------- ------------------------- ------------------------- ---------- default(P) ALL default all-subnet-epg up default(C) ALL default all-subnet-epg up f6apic1# f6apic1# bash admin@f6apic1:~> ip route show default via 192.168.6.254 dev bond0.10 metric 32 192.168.6.0/24 dev bond0.10 proto kernel scope link src 192.168.6.1 192.168.6.254 dev bond0.10 scope link src 192.168.6.1 admin@f6apic1:~> route -n Kernel IP routing table 0.0.0.0 192.168.6.254 0.0.0.0 UG 32 0 0 bond0.10 192.168.6.0 0.0.0.0 255.255.255.0 U 0 0 0 bond0.10 192.168.6.254 0.0.0.0 255.255.255.255 UH 0 0 0 bond0.10 admin@f6apic1:~> 

関連情報

• ハードウェアフローテレメトリエクスポート用のCisco ACIインバンド管理設定
• ACI外部転送のトラブルシューティング
• ACI L3Out - Subnet 0.0.0.0/0およびシステムPcTag 15のトラブルシューティング
• ACIにおける予期しないルートリークのトラブルシューティング
• ACIアクセスポリシーのトラブルシューティング
• ACIファブリックL3Outホワイトペーパー
• Cisco ACI契約ガイドのホワイトペーパー
• シスコのテクニカルサポートとダウンロード

更新履歴

改定	発行日	コメント
1.0	08-May-2024	初版