初回セットアップ ウィザードについて
お使いの Cisco APIC の初回セットアップでは、初回セットアップ ウィザードを使用します。
-
GUI を使用して Cisco APIC に初めてログインすると、初回セットアップ ウィザードが自動的に表示されるので、アクセスできます。
-
Cisco APIC リリース 4.2(3) 以降では、GUI ウィンドウの右上にあるシステム ツールアイコン(
)をクリックし、 Cisco APIC [新機能(What's New in APIC_release_number)]を選択して、初回セットアップ ウィザードにアクセスすることもできます。
[APIC へようこそ(Welcome to APIC)] ウィンドウが表示され、この特定のリリースに含まれる新機能に関する情報が示されます。
初回セットアップウィザードにアクセスするには、ウィンドウの右下にある [初回セットアップの開始(Begin First Time Setup)] または [初回セットアップの確認(Review First Time Setup)] をクリックします。 [基本設定を行います(Let's Configure the Basics)] ウィンドウが表示され、 Cisco APICのセットアップに使用できる個々のページへのリンクが示されます。
少なくとも 1 つの BGP ルート リフレクタを含む初期セットアップが完了すると、 [サマリーに進む(Proceed to Summary)] ボタンが有効になります。設定のサマリー タイルを表示するには、このボタンをクリックします。追加のタイルが [以下をお望みですか(You Might want to ...)]の見出しの下に表示されます。これらの追加トピックはオプションですが、推奨されます。
次の項では、このウィンドウから使用できる各初期セットアップ ページの詳細について説明します。
ファブリック メンバーシップ
[Fabric Membership(ファブリック メンバーシップ)] ウィンドウを使用して、ACI ファブリックによって検出されたリーフおよびスパイン スイッチを登録します。ボックスに記載されているシリアル番号を使用して、リーフ スイッチとスパイン スイッチをファブリックに手動で追加することもできます。
 (注) |
少なくとも 2 つのリーフ スイッチと 2 つのスパイン スイッチを登録することを推奨します。初回セットアップ ウィザードを進めるには、少なくとも 1 つのリーフ スイッチと 1 つのスパイン スイッチを登録する必要があります。 |
[Fabric Membership(ファブリック メンバーシップ)] ウィンドウには、次の 2 つのセクションが含まれています。
-
[検出済み(Discovered)]:このセクションでは、新しく検出されたが未登録のスイッチについての情報を提供します。これらのノードのノード ID は 0 で、IP アドレスはありません。
-
登録済み(Registered):このセクションでは、ACI ファブリックに登録されているすべてのスイッチに関する情報を提供します。
次のいずれかの方法でスイッチを登録できます:
-
スイッチが [検出済み(Discovered)] セクションに表示されている場合は、スイッチの隣の [登録(Register)] ボタンをクリックして、 [ファブリック ノード メンバーの作成(Create Fabric Node Member)] ウィンドウを開きます。この場合、 [ポッド ID(Pod ID)] と [シリアル番号(Serial Number)] フィールドの値は、 [ファブリック ノード メンバーの作成(Create Fabric Node Member)] ウィンドウに自動的に設定されます。
-
スイッチが [検出済み(Discovered)] セクションに表示されていない場合は、[アクション(Action)] アイコン(
)をクリックし、ドロップダウン リストから [ファブリック ノード メンバーの作成(Create Fabric Node Member)] を選択します。
[ファブリック ノード メンバーの作成(Create Fabric Node Member)] ウィンドウで、次の情報を入力します。
|
フィールド |
設定 |
||||
|---|---|---|---|---|---|
|
[ポッド ID(Pod ID)] |
ノードが存在するポッドを特定します。 |
||||
|
[シリアル番号(Serial Number)] |
必須:新しいスイッチのシリアル番号を入力します。 |
||||
|
[ノード ID(Node ID)] |
必須:100 より大きい数値を入力します。最初の 100 までの ID は、APIC アプライアンス ノードのために予約されています。
|
||||
|
[スイッチ名(Switch Name)] |
leaf1 または spine3 などのノード名。 |
||||
|
[ノード タイプ(Node Type)] |
割り当てられたノードのロールを選択します。次のオプションがあります。
|
情報を入力したら、 [送信(Submit)] ( [ファブリック ノード メンバーの作成(Create Fabric Node Member)] ウィンドウ)をクリックし、 続行(Continue) ( [Fabric Membership(ファブリック メンバーシップ)] )をクリックして、初期セットアップ ウィザードの次のウィンドウに進みます。
管理
アウトオブバンド管理 ウィンドウを使用して、アウトオブバンド(OOB)ネットワークに接続するリーフ スイッチ、スパイン スイッチ、および APIC ノードの管理インターフェイス IP アドレスを設定します。複数のノードを選択して、IP アドレスの割り当てを開始します。
(注) |
初回セットアップ ウィザードは、アウトオブバンド管理用にまだ設定されていないノードの設定に役立ちます。 |
次のフィールドにゲートウェイのアドレスを入力すると、検出されたノードごとに IP アドレスが自動的に提案されます。
-
[IPv4 ゲートウェイ(IPv4 Gateway)]:アウトオブバンド管理を使用した外部ネットワークへの通信用の IPv4 デフォルト ゲートウェイ アドレス。
-
IPv6 ゲートウェイ(IPv6 Gateway):アウトオブバンド管理を使用した外部ネットワークへの通信用の IPv6 デフォルト ゲートウェイ アドレス。
[属性によるフィルタ(Filter by attributes)] エリアでは、検出されたノードを属性でフィルタ処理できます。アウトオブバンド管理用に設定するために選択したノードを変更する場合には、 [編集(Edit)] をクリックします。
[保存(Save)] をクリックし、初期セットアップ ウィザードの次のウィンドウに進みます。
vPC ペア
[セットアップ:vPC ペア(Setup - vPC Pairs)] ウィンドウは、ファブリック ポリシー ノード エンドポイントを使用してグループのメンバー ノードを明示的に構成するために使用します。
[属性によるフィルタ(Filter by attributes)] 領域で、属性によって vPC ペアをフィルタリングできます。vPC ペアを設定するために選択した vPC ペアを変更する場合には、 [編集(Edit)] をクリックします。
[vPC ペア(vPC Pairs)] 中央ペインで、 アクション(Actions) ドロップダウンリストを展開し、 [vPC リーフ スイッチ ペアの作成(Create vPC Leaf Switch Pair)]、 [vPC リーフ スイッチ ペアの削除(Delete vPC Leaf Switch Pair)]、 [すべてダウンロードする(Download All)]、または [オブジェクト ストア ブラウザを開く(Open in Object Store Browser)]を選択します。
[保存(Save)] )をクリックして、初期セットアップ ウィザードの次のウィンドウに進みます。
BGP
ACI ファブリックのルート リフレクタを設定し、マルチプロトコル BGP(MP-BGP)を使用してファブリック内に外部ルートを配布するには、 [BGP] ウィンドウを使用します。ACI ファブリックのルート リフレクタを有効にすると、外部ネットワークへの接続を設定できます。
(注) |
ルート リフレクタとして設定するスパイン スイッチを選択します。初回セットアップ ウィザードを進めるには、少なくとも 1 つのルート リフレクタを設定する必要があります。このウィンドウのテーブルにスパイン スイッチが表示されない場合は、スイッチが正しいタイプで登録されているか、APIC によって検出されていることを確認します。 |
この [BGP] ウィンドウで、ルート リフレクタとして使用するスパイン スイッチの横にあるボックスをオンにし、 [自律システム番号(Autonomous System Number)] フィールドにこのスパイン スイッチの ASN を入力します。それから、 [保存して続行(Save and Continue)] をクリックし、初期セットアップ ウィザードの次のウィンドウに進みます。
DNS
[DNS] ウィンドウを使用して、リーフ スイッチ、スパイン スイッチ、および APIC ノードが DNS 名を照会できるように DNS サーバと検索ドメインを設定します。OOB 接続は DNS 通信に使用されます。
(注) |
初回セットアップ ウィザードは、 [デフォルト(default)] DNS ポリシーの下で DNS サーバーと DNS ドメインを設定します。 |
DNS サーバーを設定するには、[ヘッダー(Headers)] エリアで [+] をクリックし、次の情報を入力します:
-
[アドレス(Address)]:プロバイダ アドレスを入力します。
-
優先(Preferred):このアドレスを優先するプロバイダにする必要がある場合は、チェックボックスをオンにします。
-
[ステータス(Status)]:設定要求のステータスを提供します。
[更新(Update)]をクリックし、必要に応じてこのプロセスを繰り返して追加の DNS サーバーを設定します。
検索ドメインを設定するには、[ドメインの検索(Search Domains)] 領域で [+] をクリックし、次の情報を入力します:
-
[名前(Name)]:ドメイン名(cisco.com)を入力します。
-
[デフォルト(Default)]:チェックボックスをオンにすると、このドメインをデフォルト ドメインなります。デフォルトとして指定できるドメイン名は 1 つだけです。
-
[ステータス(Status)]:設定要求のステータスを提供します。
[更新(Update)]をクリックし、必要に応じてこのプロセスを繰り返して追加の検索ドメインを設定します。
[DNS サーバ(DNS Servers)] テーブルまたは [ドメインの検索(Search Domains)] テーブルからエントリを削除するには、削除するエントリを選択し、そのテーブルのゴミ箱アイコンをクリックします。
[保存して続行(Save and Continue)] をクリックし、初期セットアップ ウィザードの次のウィンドウに進みます。
NTP
NTP ウィンドウは、使用してタイムゾーンを設定し、リーフ スイッチ、スパイン スイッチ、および APIC ノードを有効な時刻源に同期するように NTP サーバーを割り当てるために使用します。NTP 通信では OOB 接続が使用されます。
(注) |
初期セットアップ ウィザードは、 [デフォルト(default)] の NTP ポリシーでサーバーを設定します。 |
[表示形式(Display Format)] エリアで、 [ローカル(local)] をクリックして、日付と時間をローカル タイム ゾーン形式で表示するか、または [UTC] をクリックして、日付と時間を UTC タイム ゾーン形式で表示します。デフォルトは次のとおりです。 [ローカル(local)]です。
上記の [ローカル(local)] を選択した場合は、[タイムゾーン(Time Zone)] 領域で、ドロップダウン矢印をクリックしてドメインのタイムゾーンを選択します。ドロップダウン メニュー領域に入力して、ドロップダウン オプションをフィルタリングすることもできます。デフォルトは [協定世界時(Coordinated Universal Time)]です。
NTP サーバーを設定するには、[NTP サーバー(NTP servers)] エリアで [+] をクリックし、次の情報を入力します:
-
[ホスト名/IPアドレス(Host Name/IPAddress)]:NTP サーバーのホスト名と IP アドレスを入力します。
-
優先(Preferred):複数のプロバイダーを作成する場合は、最も信頼性の高い NTP ソースの 優先(Preferred) チェックボックスをオンにします。
-
[ステータス(Status)]:設定要求のステータスを提供します。
[更新(Update)]をクリックし、必要に応じてこのプロセスを繰り返して追加の NTP サーバーを設定します。
NTP サーバー テーブルからエントリを削除するには、削除するエントリを選択し、そのテーブルのゴミ箱アイコンをクリックします。
[保存して続行(Save and Continue)] )をクリックして、初期セットアップ ウィザードの次のウィンドウに進みます。
プロキシ
プロキシ(Proxy) ウィンドウを使用して、HTTP または HTTPS プロキシ ポリシーを構成します。設定すると、一部の Cisco Cloud Application Policy Infrastructure Controller (APIC)機能、主に Cisco Intersight 接続などのインターネット アクセスを必要とする機能が、HTTP または HTTPS プロキシを介してトラフィックを送信するようになります。詳細については、 Cisco Fabric Manager システム管理設定ガイドを参照してください。
グローバル設定
特定のエリアについては、 [グローバル設定(Global Configurations)] ウィンドウを使用して設定します。これは、 Cisco Application Centric Infrastructure (ACI)ファブリックの初回セットアップ中のベスト プラクティスとして推奨されます。次のエリアを設定する準備ができたら、 [わかりました(Okay, Got it!)] をクリックします。
(注) |
このウィンドウの一部の設定は、初回セットアップ後に設定できます。[サブネット チェック(Subnet Check)] および [ドメイン検証(Domain Validation)] の設定などで、 [ファブリック全体の設定(Fabric Wide Setting)] ページ()で設定できます。ただし、初回セットアップ後にこれらの設定を行うと、他の既存の設定で問題が発生する可能性があります。たとえば、 [サブネットチェックの適用(Enforce Subnet Check)] および [ドメインの検証の強制(Enforce Domain Validation)] の設定を [ファブリック全体の設定(Fabric Wide Setting)] ページで行うと、インターフェイスまたは EPG に静的に割り当てられたポートに適切なポリシー チェーンが配置されていない状態で、設定された L3Out 接続が切断される可能性があります。 |
サブネット チェック
この機能は、ある VRF で設定されたサブネットの外、つまり他のすべての VRF での IP アドレス学習を無効にします。
この機能は、 Cisco ACI が IP アドレスをデータ プレーンからエンドポイントとして学習した場合、VRF インスタンス レベルでサブネットのチェックを適用します。このオプションをオンにすると、ファブリックは、ブリッジ ドメインで構成されたもの以外のサブネットからの IP アドレスを学習しなくなります。この機能は、このようなシナリオで、ファブリックがエンドポイント情報を学習しないようにします。
サブネット チェック機能を有効にするには、 [適用(Enforce)] の隣にあるボックスをオンにします。強く推奨します。
ドメイン検証
この機能は、スタティック パスが追加されているが、ドメインが EPG に関連付けられていない場合に検証チェックを実行します。
有効な場合、スタティック パスが EPG に追加されているときに検証チェックが実行され、パスが EPG に関連付けられているドメインの一部であるか判断します。このポリシーの適用範囲は、ファブリック全体です。設定した後、ポリシーは起動に各リーフ スイッチにプッシュされます。
ドメイン検証機能を有効にするには、 [適用(Enforce)] の隣にあるボックスをオンにします。強く推奨します。
再配布されたルートの中間システムから中間システムへ
これは、IS-IS にすべてインポートされたルートに使用される IS-IS メトリックです。このオプションで 64(最大)未満のメトリック(63 など)を設定すると、 Cisco ACI スイッチは、新しいスパインでルーティング コンバージェンスが達成されるまで、スイッチは安定したスパインからのルートを優先します。
[IS-IS メトリック(IS-IS metric)] フィールドに適切な値を入力します。
IP エージングの管理状態
このポリシーを有効化すると、 Cisco ACI では各 IP アドレスを個別に追跡し、未使用のアドレスを効率的にエージング アウトします。それ以外の場合、未使用の IP アドレスは、ベース MAC アドレスが期限切れになるまで学習されたままになります。これはリモート エンドポイントには影響しません。
有効な場合、IP エージング ポリシーは、エンドポイント上の未使用の IP アドレスをエージングします。この状況では、IP エージング ポリシーは、エンドポイントの IP アドレスを追跡する ARP 要求(IPv4)とネイバー要請(IPv6)を送信します。応答が指定されていない場合、ポリシーは未使用の IP アドレスをエージングします。
このフィールドのオプションは次のとおりです:
-
[無効(Disabled)]:これがデフォルトの設定です。 Cisco APIC は、 IPエージング ポリシーを無視します。
-
[有効(Enabled)]: Cisco APIC は IP エージング ポリシーを守ります。
この機能を有効にすることを強くお勧めします。
不正エンドポイントの制御
不正なエンドポイントは、リーフ スイッチを頻繁に攻撃し、異なるリーフ スイッチ ポートにパケットを繰り返し挿入し、802.1Q タグを変更し(エンドポイントの移動をエミュレート)、その結果、IP アドレスと MAC アドレスが異なる EPG とポートで迅速に学習されます。誤設定により頻繁に IP アドレスと MAC アドレスが変更される(移動する)ことになります。
不正エンドポイント制御機能は、この脆弱性に対処します。このポリシーの有効化により、 Cisco ACI で不正なエンドポイントを検出して削除できます。
このフィールドのオプションは次のとおりです。
-
[無効(Disabled)]:これがデフォルトの設定です。 Cisco APIC は、不正エンドポイント制御ポリシーを無視します。
-
[有効(Enabled)]: Cisco APIC は、不正エンドポイント制御ポリシーを守ります。
この機能を有効にすることを強くお勧めします。
不正エンドポイント制御の追加設定(例: [不正 EP 検出の間隔(Rogue EP Detection Interval)]、 [不正 EP 検出係数(Rogue EP Detection Multiplication Factor)]、および [保持間隔(Hold Interval)]は、 [エンドポイントの制御(Endpoint Controls)] パネルで設定できます。 [エンドポイントの制御(Endpoint Controls)] パネルにアクセスするには、 をクリックし、 [不正 EP 制御(Rogue EP Control)] タブをクリックします。
以下は、 [不正 EP 制御(Rogue EP Control)] タブ( [エンドポイントの制御(Endpoint Controls)] ウィンドウ)のフィールドの有効なデフォルト設定です:
-
[不正 EP 検出の間隔(Rogue EP Detection Interval)]:有効な値は 0 ~ 65535 秒です。デフォルト値は 60 です。
-
[不正 EP 検出係数(Rogue EP Detection Multiplication Factor)]:有効な値は 1 ~ 65535 です。デフォルト値は 4 です。
-
[保持間隔(Hold Interval)]:5.2(1) および 5.2(2) リリースでは、有効な値は 1800 〜 3600 秒です。5.2(3) リリース以降、有効な値は 300 〜 3600 秒です。デフォルト値は 1800 です。
COOP グループ ポリシー
Council of Oracles Protocol(COOP)は、マッピング情報(ロケーションおよび ID)をスパイン プロキシに伝達するために使用されます。リーフ スイッチは、Zero Message Queue(ZMQ)を使用して、エンドポイント アドレス情報をスパイン スイッチ「Oracle」に転送します。スパイン ノードで実行されている COOP によって、すべてのスパイン ノードがエンドポイントの一貫したコピーと、マッピング データベースの場所情報を保持していることを確認します。
COOP プロトコルは、次の 2 つの ZMQ 認証モードをサポートします。
-
[互換性タイプ(Compatible Type)]:これがデフォルトの設定です。COOP は、メッセージ転送のために MD5 認証および非認証 ZMQ 接続の両方を受け入れます。
(注)
Cisco APIC は、COOP の MD5 パスワードとして使用されるトークンを管理します。このトークンは、 Cisco APIC により 1 時間ごとに自動的にローテーションされます。このトークンは表示できません。
-
[厳格タイプ(Strict Type)]: COOP では、MD5 認証 ZMQ 接続のみ許可します。
COOP グループ ポリシーでは [厳格タイプ(Strict Type)] 設定を使用することを強く推奨します。
フィードバック