この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
アプリケーション セントリック インフラストラクチャ(ACI)のファブリックでは、テナントのデフォルト ゲートウェイ機能が提供され、ファブリックの Virtual Extensible Local Area(VXLAN)ネットワーク間のルーティングが行えます。 各テナントでは、ファブリックにより仮想デフォルト ゲートウェイが提供され、エンドポイントに接続された最初のリーフ スイッチの入力インターフェイスでテナントが接続するすべてのリーフ スイッチを拡張できます。 各入力インターフェイスはデフォルトのゲートウェイ インターフェイスをサポートし、ファブリック全体のすべての入力インターフェイスは任意のテナント サブネットに対する同一のルータの IP アドレスと MAC アドレスを共有します。
レイヤ 3 VNID は、APIC によって割り当てられます。 ファブリックを経由するトラフィックは、レイヤ 3 セグメントの VNID を使用して転送されます。 出力リーフ スイッチでは、パケットはレイヤ 3 セグメントの VNID から出力サブネットの VNID にルーティングされます。
ACI モデルでは、テナント内でルーティングされるトラフィックのファブリックでより効率的な転送が提供されます。 このモデルでは、2 台の仮想マシン(VM)間のトラフィックは同じ物理ホスト上の同じテナントに属しますが、異なるサブネット上にあります。 トラフィックは、(最小パス コストを使用して)正しい宛先にルーティングされる前に、入力スイッチのみに伝送されます。 現在の VM 環境では、トラフィックは正しい宛先にルーティングされる前に、(異なる物理サーバ上にあると思われる)エッジ VM に伝送されます。
ACI ファブリックのルート リフレクタは、マルチプロトコル BGP(MP-BGP)を使用してファブリック内に外部ルートを配布します。 ACI ファブリックでルート リフレクタをイネーブルにするには、ファブリックの管理者がルート リフレクタになるスパイン スイッチを選択して、自律システム(AS)番号を提供する必要があります。 ルート リフレクタが ACI ファブリックでイネーブルになると、管理者は次の項で説明するように、外部ネットワークへの接続を設定できます。
ACI ファブリックに外部ルータを接続するには、ファブリック インフラストラクチャの管理者がボーダー ゲートウェイ プロトコル(BGP)のルート リフレクタとしてスパイン ノードを設定します。 冗長性のために、複数のスパインがルータ リフレクタ ノードとして設定されます(1 台のプライマリ リフレクタと 1 台のセカンダリ リフレクタ)。
テナントが ACI ファブリックに WAN ルータを接続する必要がある場合は、インフラストラクチャの管理者が WAN ルータが WAN のトップ オブ ラック(ToR)として接続されるリーフ ノードを(以下の通りに)設定し、この WAN ToR を BGP ピアとしてルート リフレクタ ノードの 1 つと組み合わせます。 ルート リフレクタが WAN ToR に設定されていると、ファブリックにテナント ルートをアドバタイズできます。
各リーフ ノードには最大 4000 のルートを保存できます。 WAN ルータが 4000 を超えるルートをアドバタイズしなければならない場合、複数のリーフ ノードとピアリングする必要があります。 インフラストラクチャの管理者は、ペアになったリーフ ノードそれぞれをアドバタイズできるルート(またはルート プレフィクス)で設定します。
インフラストラクチャの管理者は、次のようにファブリックに接続されている外部 WAN ルータを設定する必要があります。
WAN およびエンタープライズ コアに接続する外部ルータは、リーフ スイッチの前面パネルのインターフェイスに接続します。 外部ルータに接続するリーフ スイッチ インターフェイスは、ブリッジ インターフェイスまたはルーティング ピアとして設定できます。
ACI ファブリックは、外部ルータの存在を認識せず、APIC はリーフ スイッチのインターフェイスを EPG に静的に割り当てます。
ピアリングによって学習されるルートは、スパイン スイッチに送信されます。 スパイン スイッチはルート リフレクタとして動作し、外部ルートを同じテナントに属するインターフェイスを持つすべてのリーフ スイッチに配布します。 これらのルートは、最長プレフィクス照合(LPM)により集約されたアドレスで、外部ルータが接続されているリモートのリーフ スイッチの VTEP IP アドレスが含まれるリーフ スイッチの転送テーブルに配置されます。 WAN ルートには転送プロキシはありません。 WAN ルートがリーフ スイッチの転送テーブルに適合しない場合、トラフィックはドロップされます。 外部ルータがデフォルト ゲートウェイではないため、テナントのエンドポイント(EP)からのパケットは ACI ファブリックのデフォルト ゲートウェイに送信されます。
接続可能エンティティ プロファイル(AEP)は、同様のインフラストラクチャ ポリシー要件を持つ外部エンティティのグループを表します。 インフラストラクチャ ポリシーは、物理インターフェイス ポリシーで構成され、たとえば Cisco Discovery Protocol(CDP)、Link Layer Discovery Protocol(LLDP)、最大伝送単位(MTU)、Link Aggregation Control Protocol(LACP)などがあります。
AEP は、リーフ スイッチで VLAN プールを展開するのに必要です。 カプセル化プール(および関連 VLAN)は、リーフ スイッチで再利用可能です。 AEP は、VLAN プールの範囲を物理インフラストラクチャに暗黙的に提供します。
外部ネットワークの管理対象オブジェクトにより、外部ネットワークへのレイヤ 2 およびレイヤ 3 のテナント接続が可能になります。 GUI、CLI、または REST API は、外部ネットワークへのテナント接続を設定するために使用できます。 付録 D「テナントのレイヤ 3 外部ネットワーク ポリシーの例」には、サンプルの XML ポリシーが含まれます。 ファブリック内のそのような外部ネットワーク アクセス ポイントすべてを簡単に検索するために、レイヤ 2 およびレイヤ 3 の外部リーフ ノードを「ボーダー リーフ ノード」としてタグ付けできます。
l3extOut には、ルーティング プロトコル オプション(BGP、OSPF または両方)とスイッチ固有の設定およびインターフェイス固有の設定が含まれます。
(注) |
レイヤ 3 外部外側ネットワークにルーティング プロトコル(たとえば、関連するコンテキストとエリア ID を含む OSPF)が含まれる一方で、レイヤ 3 外部インターフェイスのプロファイルには必要な OSPF インターフェイス設定の詳細が含まれます。 いずれも OSPF のイネーブル化に必要です。 |
l3extInstP EPG は、コントラクトを通してテナント EPG に外部ネットワークを公開します。 たとえば、Web サーバのグループを含むテナント EPG はレイヤ 3 外部外側ネットワークに含まれるネットワーク構成に応じてコントラクトを介して l3extInstP EPG と通信できます。 リーフ スイッチ(ノード)1 個につき設定できる外部ネットワークは 1 つのみです。 ただし、外部ネットワーク設定は、複数のノードを L3 外部ノード プロファイルに関連付けることで複数のノードに容易に再利用できます。 同じプロファイルを使用する複数のノードをフェールオーバーやロード バランシングのために設定できます。
DHCP リレー プロファイルには、1 つ以上のプロバイダーが含まれます。 EPG には 1 つ以上の DHCP サーバが含まれ、EPG と DHCP リレーの関係は DHCP サーバの IP アドレスを指定します。 コンシューマ ブリッジ ドメインには、プロバイダーの DHCP サーバをブリッジ ドメインと関連付ける DHCP ラベルが含まれます。 ラベルの一致により、ブリッジ ドメインは DHCP リレーを消費できます。
(注) |
ブリッジ ドメインの DHCP ラベルは、DHCP リレーの名前と一致する必要があります。 |
DHCP ラベル オブジェクトは、所有者も指定します。 所有者には、テナントまたはアクセス インフラストラクチャを指定できます。 所有者がテナントの場合、ACI ファブリックは最初にテナント内で一致する DHCP リレーを検索します。 ユーザ テナント内で一致するものが見つからなかった場合、ACI ファブリックは次に共通テナント内を検索します。
DHCP リレーは、次の 2 つのモードのいずれかで動作します。
可視:プロバイダーの IP およびサブネットは、コンシューマのコンテキストにリークされます。 DHCP リレーが表示されているときは、コンシューマのコンテキストに限定されます。
非可視:プロバイダーの IP およびサブネットは、コンシューマのコンテキストにリークされません。
(注) |
DHCP リレーが非可視モードで動作している場合、プロバイダーのブリッジ ドメインはコンシューマと同じリーフ スイッチ上にある必要があります。 |
テナントおよびアクセスの DHCP リレーが同じ方法で設定されている一方で、以下の使用例はそれに応じて異なります。
コンテキストには、グローバル デフォルト DNS サービスを使用するために dnsLBL オブジェクトを含める必要があります。 ラベルの一致により、テナント コンテキストはグローバル DNS プロバイダーを消費することができます。 グローバル DNS プロファイルの名前が「default」なので、コンテキスト ラベル名は「default」になります(dnsLBL name = default)。
管理テナントでは、ファブリック管理機能へのアクセスを設定するための便利な方法が提供されます。 APIC を介してファブリック管理機能にアクセスできると同時に、インバンドおよびアウトオブバンドのネットワーク ポリシー経由で直接アクセスすることもできます。
管理プロファイルには、アウトオブバンド コントラクト(vzOOBBrCp)を介した管理機能へのアクセスを提供するアウトオブバンド EPG MO が含まれます。 vzOOBBrCp により、外部管理インスタンス プロファイル(mgmtExtInstP)EPG はアウトオブバンド EPG を消費できます。 これにより、サービス プロバイダーのプリファレンスに応じて、ローカルまたはリモートで接続されたデバイスにファブリック ノードのスーパーバイザ ポートが公開されます。 スーパーバイザ ポートの帯域幅がインバンド ポート未満である間は、インバンド ポートを介したアクセスが利用できない場合、スーパーバイザ ポートがダイレクト アクセスを提供できます。 認証、アクセス、および監査のロギングはこれらの接続に適用され、アウトオブバンド EPG を通して管理機能にアクセスしようとするユーザには適切なアクセス権が必要です。
(注) |
サービス プロバイダーによってはローカル接続へのアウトオブバンド接続を制限するように選択します。また、外部ネットワークからルーテッドまたはブリッジド接続を有効にすることを選択するサービス プロバイダーも存在します。 また、サービス プロバイダーはローカル デバイスのみ、またはローカルおよびリモート デバイス両方に対するインバンドおよびアウトオブバンド管理アクセスの両方を含む一連のポリシーを設定することを選択することもできます。 |
共有サービス コントラクトの設定時は、次のガイドラインに従ってください。
インバンドとアウトオブバンドのエンドポイント グループ(EPG)間のコントラクト:コントラクトがインバンドとアウトオブバンドの EPG 間に設定されている場合、次の制限が適用されます。
プライベート ネットワークを適用しない場合、コントラクトがブリッジ間ドメインのトラフィックに必要です。
プレフィクスベースの EPG はサポートされません。
共有サービスはレイヤ 3 外部外側ネットワークではサポートされません。 外部のレイヤ 3 外部外側ネットワークによって提供または消費されるコントラクトは、同じレイヤ 3 コンテキストを共有する EPG により消費または提供される必要があります。
共有サービスは、重複しないサブネットのみでサポートされます。 次の注意事項に従ってください。
共有サービス プロバイダーのサブネットは、ブリッジ ドメイン下ではなく EPG 下で設定します。
同じコンテキストを共有する EPG で設定されたサブネットは、統合および重複してはなりません。
あるコンテキストから他のコンテキストへ漏れたサブネットは統合および重複してはなりません。
複数のコンシューマ ネットワークからあるコンテキストへ漏れたサブネットまたはその逆で漏れたサブネットは統合および重複してはなりません。
2 人のコンシューマが誤って同じサブネットに設定されている場合は、両方のサブネットの設定を削除してこの状態からリカバリし、その後サブネットを正しく再設定します。
プロバイダー コンテキストで共有サービスを AnyToProv で設定しないでください。 APIC は内部的に拒否し障害を発生させます。
共有サービスを提供している間は、プロバイダーのプライベート ネットワークは非強制モードにできません。
目次
この章の内容は、次のとおりです。
アプリケーション セントリック インフラストラクチャ(ACI)のファブリックでは、テナントのデフォルト ゲートウェイ機能が提供され、ファブリックの Virtual Extensible Local Area(VXLAN)ネットワーク間のルーティングが行えます。 各テナントでは、ファブリックにより仮想デフォルト ゲートウェイが提供され、エンドポイントに接続された最初のリーフ スイッチの入力インターフェイスでテナントが接続するすべてのリーフ スイッチを拡張できます。 各入力インターフェイスはデフォルトのゲートウェイ インターフェイスをサポートし、ファブリック全体のすべての入力インターフェイスは任意のテナント サブネットに対する同一のルータの IP アドレスと MAC アドレスを共有します。
レイヤ 3 VNID は、APIC によって割り当てられます。 ファブリックを経由するトラフィックは、レイヤ 3 セグメントの VNID を使用して転送されます。 出力リーフ スイッチでは、パケットはレイヤ 3 セグメントの VNID から出力サブネットの VNID にルーティングされます。
ACI モデルでは、テナント内でルーティングされるトラフィックのファブリックでより効率的な転送が提供されます。 このモデルでは、2 台の仮想マシン(VM)間のトラフィックは同じ物理ホスト上の同じテナントに属しますが、異なるサブネット上にあります。 トラフィックは、(最小パス コストを使用して)正しい宛先にルーティングされる前に、入力スイッチのみに伝送されます。 現在の VM 環境では、トラフィックは正しい宛先にルーティングされる前に、(異なる物理サーバ上にあると思われる)エッジ VM に伝送されます。
ACI ファブリックのルート リフレクタは、マルチプロトコル BGP(MP-BGP)を使用してファブリック内に外部ルートを配布します。 ACI ファブリックでルート リフレクタをイネーブルにするには、ファブリックの管理者がルート リフレクタになるスパイン スイッチを選択して、自律システム(AS)番号を提供する必要があります。 ルート リフレクタが ACI ファブリックでイネーブルになると、管理者は次の項で説明するように、外部ネットワークへの接続を設定できます。
ACI ファブリックに外部ルータを接続するには、ファブリック インフラストラクチャの管理者がボーダー ゲートウェイ プロトコル(BGP)のルート リフレクタとしてスパイン ノードを設定します。 冗長性のために、複数のスパインがルータ リフレクタ ノードとして設定されます(1 台のプライマリ リフレクタと 1 台のセカンダリ リフレクタ)。
テナントが ACI ファブリックに WAN ルータを接続する必要がある場合は、インフラストラクチャの管理者が WAN ルータが WAN のトップ オブ ラック(ToR)として接続されるリーフ ノードを(以下の通りに)設定し、この WAN ToR を BGP ピアとしてルート リフレクタ ノードの 1 つと組み合わせます。 ルート リフレクタが WAN ToR に設定されていると、ファブリックにテナント ルートをアドバタイズできます。
各リーフ ノードには最大 4000 のルートを保存できます。 WAN ルータが 4000 を超えるルートをアドバタイズしなければならない場合、複数のリーフ ノードとピアリングする必要があります。 インフラストラクチャの管理者は、ペアになったリーフ ノードそれぞれをアドバタイズできるルート(またはルート プレフィクス)で設定します。
インフラストラクチャの管理者は、次のようにファブリックに接続されている外部 WAN ルータを設定する必要があります。
WAN およびエンタープライズ コアに接続する外部ルータは、リーフ スイッチの前面パネルのインターフェイスに接続します。 外部ルータに接続するリーフ スイッチ インターフェイスは、ブリッジ インターフェイスまたはルーティング ピアとして設定できます。
ピアリングによって学習されるルートは、スパイン スイッチに送信されます。 スパイン スイッチはルート リフレクタとして動作し、外部ルートを同じテナントに属するインターフェイスを持つすべてのリーフ スイッチに配布します。 これらのルートは、最長プレフィクス照合(LPM)により集約されたアドレスで、外部ルータが接続されているリモートのリーフ スイッチの VTEP IP アドレスが含まれるリーフ スイッチの転送テーブルに配置されます。 WAN ルートには転送プロキシはありません。 WAN ルートがリーフ スイッチの転送テーブルに適合しない場合、トラフィックはドロップされます。 外部ルータがデフォルト ゲートウェイではないため、テナントのエンドポイント(EP)からのパケットは ACI ファブリックのデフォルト ゲートウェイに送信されます。
接続可能エンティティ プロファイル(AEP)は、同様のインフラストラクチャ ポリシー要件を持つ外部エンティティのグループを表します。 インフラストラクチャ ポリシーは、物理インターフェイス ポリシーで構成され、たとえば Cisco Discovery Protocol(CDP)、Link Layer Discovery Protocol(LLDP)、最大伝送単位(MTU)、Link Aggregation Control Protocol(LACP)などがあります。
AEP は、リーフ スイッチで VLAN プールを展開するのに必要です。 カプセル化プール(および関連 VLAN)は、リーフ スイッチで再利用可能です。 AEP は、VLAN プールの範囲を物理インフラストラクチャに暗黙的に提供します。
外部ネットワークの管理対象オブジェクトにより、外部ネットワークへのレイヤ 2 およびレイヤ 3 のテナント接続が可能になります。 GUI、CLI、または REST API は、外部ネットワークへのテナント接続を設定するために使用できます。 付録 D「テナントのレイヤ 3 外部ネットワーク ポリシーの例」には、サンプルの XML ポリシーが含まれます。 ファブリック内のそのような外部ネットワーク アクセス ポイントすべてを簡単に検索するために、レイヤ 2 およびレイヤ 3 の外部リーフ ノードを「ボーダー リーフ ノード」としてタグ付けできます。
l3extOut には、ルーティング プロトコル オプション(BGP、OSPF または両方)とスイッチ固有の設定およびインターフェイス固有の設定が含まれます。
(注) |
レイヤ 3 外部外側ネットワークにルーティング プロトコル(たとえば、関連するコンテキストとエリア ID を含む OSPF)が含まれる一方で、レイヤ 3 外部インターフェイスのプロファイルには必要な OSPF インターフェイス設定の詳細が含まれます。 いずれも OSPF のイネーブル化に必要です。 |
l3extInstP EPG は、コントラクトを通してテナント EPG に外部ネットワークを公開します。 たとえば、Web サーバのグループを含むテナント EPG はレイヤ 3 外部外側ネットワークに含まれるネットワーク構成に応じてコントラクトを介して l3extInstP EPG と通信できます。 リーフ スイッチ(ノード)1 個につき設定できる外部ネットワークは 1 つのみです。 ただし、外部ネットワーク設定は、複数のノードを L3 外部ノード プロファイルに関連付けることで複数のノードに容易に再利用できます。 同じプロファイルを使用する複数のノードをフェールオーバーやロード バランシングのために設定できます。
DHCP リレー プロファイルには、1 つ以上のプロバイダーが含まれます。 EPG には 1 つ以上の DHCP サーバが含まれ、EPG と DHCP リレーの関係は DHCP サーバの IP アドレスを指定します。 コンシューマ ブリッジ ドメインには、プロバイダーの DHCP サーバをブリッジ ドメインと関連付ける DHCP ラベルが含まれます。 ラベルの一致により、ブリッジ ドメインは DHCP リレーを消費できます。
(注) |
ブリッジ ドメインの DHCP ラベルは、DHCP リレーの名前と一致する必要があります。 |
DHCP ラベル オブジェクトは、所有者も指定します。 所有者には、テナントまたはアクセス インフラストラクチャを指定できます。 所有者がテナントの場合、ACI ファブリックは最初にテナント内で一致する DHCP リレーを検索します。 ユーザ テナント内で一致するものが見つからなかった場合、ACI ファブリックは次に共通テナント内を検索します。
DHCP リレーは、次の 2 つのモードのいずれかで動作します。
可視:プロバイダーの IP およびサブネットは、コンシューマのコンテキストにリークされます。 DHCP リレーが表示されているときは、コンシューマのコンテキストに限定されます。
非可視:プロバイダーの IP およびサブネットは、コンシューマのコンテキストにリークされません。
(注) |
DHCP リレーが非可視モードで動作している場合、プロバイダーのブリッジ ドメインはコンシューマと同じリーフ スイッチ上にある必要があります。 |
テナントおよびアクセスの DHCP リレーが同じ方法で設定されている一方で、以下の使用例はそれに応じて異なります。
コンテキストには、グローバル デフォルト DNS サービスを使用するために dnsLBL オブジェクトを含める必要があります。 ラベルの一致により、テナント コンテキストはグローバル DNS プロバイダーを消費することができます。 グローバル DNS プロファイルの名前が「default」なので、コンテキスト ラベル名は「default」になります(dnsLBL name = default)。
管理テナントでは、ファブリック管理機能へのアクセスを設定するための便利な方法が提供されます。 APIC を介してファブリック管理機能にアクセスできると同時に、インバンドおよびアウトオブバンドのネットワーク ポリシー経由で直接アクセスすることもできます。
管理プロファイルには、アウトオブバンド コントラクト(vzOOBBrCp)を介した管理機能へのアクセスを提供するアウトオブバンド EPG MO が含まれます。 vzOOBBrCp により、外部管理インスタンス プロファイル(mgmtExtInstP)EPG はアウトオブバンド EPG を消費できます。 これにより、サービス プロバイダーのプリファレンスに応じて、ローカルまたはリモートで接続されたデバイスにファブリック ノードのスーパーバイザ ポートが公開されます。 スーパーバイザ ポートの帯域幅がインバンド ポート未満である間は、インバンド ポートを介したアクセスが利用できない場合、スーパーバイザ ポートがダイレクト アクセスを提供できます。 認証、アクセス、および監査のロギングはこれらの接続に適用され、アウトオブバンド EPG を通して管理機能にアクセスしようとするユーザには適切なアクセス権が必要です。
(注) |
サービス プロバイダーによってはローカル接続へのアウトオブバンド接続を制限するように選択します。また、外部ネットワークからルーテッドまたはブリッジド接続を有効にすることを選択するサービス プロバイダーも存在します。 また、サービス プロバイダーはローカル デバイスのみ、またはローカルおよびリモート デバイス両方に対するインバンドおよびアウトオブバンド管理アクセスの両方を含む一連のポリシーを設定することを選択することもできます。 |
共有サービス コントラクトの設定時は、次のガイドラインに従ってください。
インバンドとアウトオブバンドのエンドポイント グループ(EPG)間のコントラクト:コントラクトがインバンドとアウトオブバンドの EPG 間に設定されている場合、次の制限が適用されます。
プライベート ネットワークを適用しない場合、コントラクトがブリッジ間ドメインのトラフィックに必要です。
プレフィクスベースの EPG はサポートされません。
共有サービスはレイヤ 3 外部外側ネットワークではサポートされません。 外部のレイヤ 3 外部外側ネットワークによって提供または消費されるコントラクトは、同じレイヤ 3 コンテキストを共有する EPG により消費または提供される必要があります。
共有サービスは、重複しないサブネットのみでサポートされます。 次の注意事項に従ってください。
共有サービス プロバイダーのサブネットは、ブリッジ ドメイン下ではなく EPG 下で設定します。
同じコンテキストを共有する EPG で設定されたサブネットは、統合および重複してはなりません。
あるコンテキストから他のコンテキストへ漏れたサブネットは統合および重複してはなりません。
複数のコンシューマ ネットワークからあるコンテキストへ漏れたサブネットまたはその逆で漏れたサブネットは統合および重複してはなりません。
2 人のコンシューマが誤って同じサブネットに設定されている場合は、両方のサブネットの設定を削除してこの状態からリカバリし、その後サブネットを正しく再設定します。
プロバイダー コンテキストで共有サービスを AnyToProv で設定しないでください。 APIC は内部的に拒否し障害を発生させます。
共有サービスを提供している間は、プロバイダーのプライベート ネットワークは非強制モードにできません。