ファブリックの初期化とスイッチの検出

この章で説明する内容は、次のとおりです。

ファブリックの初期化

ファブリックの初期化について

ファブリックを構築するには、 APIC で管理されるスイッチを追加し、GUI、 CLI、またはAPI を使用してステップを検証します。


(注)  

ファブリックを構築するには、アウトオブバンド ネットワーク経由で APIC クラスタを事前に作成する必要があります。

ファブリック トポロジ (例)

ファブリック トポロジの例は次のとおりです。

  • 2 つのスパイン スイッチ(spine1、spine2)

  • 2 つのリーフ スイッチ(leaf1、leaf2)

  • 3 つのインスタンス: APICAPIC1, APIC2、 APIC3)

次の図は、ファブリック トポロジの例を示します。

図 1. ファブリック トポロジ例


接続:ファブリック トポロジ

ファブリック トポロジの接続の詳細例は次のとおりです。

名前 Connection Details

leaf1

eth1/1 = apic1(eth2/1)

eth1/2 = apic2(eth2/1)

eth1/3 = apic3(eth2/1)

eth1/49 = spine1(eth5/1)

eth1/50 = spine2(eth5/2)

leaf2

eth1/1 = apic1(eth 2/2)

eth1/2 = apic2(eth 2/2)

eth1/3 = apic3(eth 2/2)

eth1/49 = spine2(eth5/1)

eth1/50 = spine1(eth5/2)

spine1

eth5/1 = leaf1(eth1/49)

eth5/2 = leaf2(eth1/50)

spine2

eth5/1 = leaf2(eth1/49)

eth5/2 = leaf1(eth1/50)

マルチ階層ファブリック トポロジ(例)

3 階層コア集約アクセス アーキテクチャは、データ センター ネットワーク トポロジで共通です。  Cisco APIC リリース 4.1(1) 時点で、コア集約アクセス アーキテクチャに対応するマルチ階層 ACI ファブリック トポロジを作成することにより、ラックスペースや配線などコストが高いコンポーネントのアップグレードの必要性を軽減できます。階層 2 リーフ レイヤーを追加することで、このトポロジが可能になります。階層 2 リーフ レイヤーは、ダウンリンク ポート上のホストまたはサーバへの接続、およびアップリンク ポート上のリーフ レイヤー(集約)への接続をサポートします。

マルチ階層トポロジでは、リーフ スイッチには最初にスパイン スイッチへのアップリンク接続と、階層 2 リーフ スイッチへのダウンリンク接続があります。トポロジ全体を ACI ファブリックにするには、階層 2 リーフ ファブリック ポートに接続されているリーフ スイッチ上のすべてのポートが、ファブリック ポートとして設定されている必要があります(まだデフォルトのファブリック ポートを使用していない場合)。APIC が階層 2 リーフ スイッチを検出した後、階層 2 リーフ上のダウンリンク ポートをファブリック ポートに変更し、中間レイヤ リーフ上のアップリンク ポートに接続できます。


(注)  

デフォルトのファブリック ポートを使用してリーフ スイッチを階層 2 リーフに接続していない場合、リーフ ポートをダウンリンクからアップリンクに変換する必要があります (リーフ スイッチのリロードが必要です)。ポート接続の変更についての詳細は、 Cisco APIC レイヤ 2 ネットワーク設定ガイドの「アクセス インターフェイス」の章を参照してください。

次の図は、マルチ階層ファブリック トポロジの例を示します。

図 2. マルチ階層ファブリック トポロジ例

上の図のトポロジは、 Cisco APIC および L3Out/EPG を示しており、階層 2 リーフ アクセス レイヤは APIC および L3Out/EPG への接続もサポートしています。


(注)  

EX で終わるモデル番号の Cisco Nexus 9000 シリーズ スイッチは、階層 2 リーフ スイッチが接続されている場合、階層 2 リーフ スイッチおよびリーフ スイッチとしてサポートされます。次の表を参照してください。

リモート リーフ スイッチに接続されている階層 2 リーフ スイッチはサポートされていません。
表 1. マルチ階層アーキテクチャでサポートされているスイッチおよびポート速度

スイッチ

サポートされている最大ダウンリンク ポート* (階層 2 リーフ)* (階層 2 リーフ)

サポートされている最大ファブリック ポート (階層 2 リーフ)

サポートされている最大ファブリック ポート (階層 1 リーフ)

Nexus 93180YC-EX

48x1/10/25 Gbps

4x40/100 Gbps

48 x 10/25-Gbps

6 x 40/100-Gbps

48 x 10/25-Gbps

6 x 40/100-Gbps

Nexus 93108TC-EX

48x100M/1/10G BASE-T

4x40/100-Gpbs

6 x 40/100-Gbps

6 x 40/100-Gbps

N9K-9348GC-FXP**

48 x 100M/1G BASE-T

4 x 10/25-Gbps

2 x 40/100-Gbps

4 x 10/25-Gbps

2 x 40/100-Gbps

N9K-93180YC-FX

48 x 1/10/25-Gbps

4x40/100 Gbps

48 x 10/25-Gbps

6 x 40/100-Gbps

48 x 10/25-Gbps

6 x 40/100-Gbps

N9K-93108TC-FX

48 x 100M/1/10G BASE-T

4x40/100 Gbps

6 x 40/100-Gbps

6 x 40/100-Gbps

N9K-93240YC-FX2

48x1/10/25 Gbps

10x40/100 Gbps

48x1/10/25 Gbps

12x40/100 Gbps

48x10/25-Gbps ファイバ ポート

12x40/100 Gbps

N9K-C9336C-FX2

34 x 40/100-Gbps

36 x 40/100-Gbps

36 x 40/100-Gbps

N9K-C93216TC-FX2***

96 x 10G BASE-T

10 x 40/100-Gbps

12 x 40/100-Gbps

12 x 40/100-Gbps

N9K-C93360YC-FX2***

96 x 10/25 Gbps

10 x 40/100-Gbps

52 x 10/25Gbps

12 x 40/100Gbps

52 x 10/25Gbps

12 x 40/100Gbps

N9K-C9364C-GX

62 x 40/100-Gbps

62 x 40/100-Gbps

62 x 40/100-Gbps

* 最後の 2 個のオリジナル ファブリック ポートは、ダウンリンク ポートとして使用できません。

** 階層 2 リーフに多くの帯域幅が必要ない場合、階層 1 として使用できます。ファイバ ポートは少なくなります。銅ポートはファブリック ポートとして使用できません。

*** Cisco APIC リリース 4.1(2) 以降でサポートされます。

外部ルーティング可能サブネットの変更

次の手順では、これらの設定を行った後、サブネットまたは TEP テーブルの情報を変更する必要がある場合に、外部ルーティング可能サブネットを変更する方法について説明します。


(注)  

複数のサブネットを使用した外部ルーティング可能サブネット設定の変更はサポートされていません。

手順

ステップ 1

外部ルーティング可能サブネットを最初に設定したエリアに移動します。

  1. メニュー バーで、 [ファブリック(Fabric)] > [インベントリ(Inventory)]をクリックします。

  2. [ナビゲーション(Navigation)] ペインで、 [ポッド ファブリック設定ポリシー(Pod Fabric Setup Policy)]をクリックします。

  3.   [ファブリック設定ポリシー(Fabric Setup Policy)] パネルで、外部ルーティング可能サブネットを最初に設定したポッドをダブルクリックします。

    このポッドの [POD 向けファブリック セットアップ ポリシー(Fabric Setup Policy for a POD)] ページが表示されます。

  4. APIC ソフトウェアのリリースに応じて、サブネットまたは TEP テーブルの情報を確認します。

    • 4.2(3) よりも前のリリースでは、 [ルーティング可能サブネット(Routable Subnets)] テーブルを確認します。

    • 4.2(3) の場合のみ、 [外部サブネット(External Subnets)] テーブルを確認します。

    • 4.2(4) 以降では、 [外部 TEP(External TEP)] テーブルを確認します。

ステップ 2

テーブルで削除する外部ルーティング可能サブネットを確認し、そのサブネットの状態が [アクティブ(active)] または [非アクティブ(inactive)]に設定されているかどうかを確認します。

状態が [アクティブ(active)]に設定されている場合、状態を [非アクティブ(inactive)]に設定します:

  1. 削除する既存の外部ルーティング可能サブネットのサブネットまたは TEP テーブルのエントリをダブルクリックします。

  2. サブネットの状態を [非アクティブ(inactive)]に変更し、 [更新(Update)]をクリックします。

ステップ 3

既存の外部ルーティング可能サブネットを削除します。

  1. 削除する既存の外部ルーティング可能サブネットのサブネットまたは TE Pテーブルのエントリをクリックします。

  2. テーブルの上部にあるゴミ箱アイコンをクリックし、ポップアップする確認ウィンドウで [はい(Yes)] をクリックして、外部ルーティング可能サブネットを削除します。

ステップ 4

30 秒以上待ってから、新しい外部ルーティング可能サブネットを設定します。

  1. サブネットまたは TEP テーブルで [+] [+] をクリックして、新しい外部ルーティング可能サブネットを設定します。

  2. 必要に応じて IP アドレスと予約アドレスを入力し、状態を [アクティブ(active)] または [非アクティブ(inactive)]に設定します。

    • IP アドレスは、ルーティング可能 IP スペースとして設定するサブネット プレフィックスです。

    • 予約アドレスは、スパイン スイッチおよびリモート リーフ スイッチに動的に割り当ててはいけないサブネット内のアドレスの数です。カウントは常にサブネットの最初の IP から始まり、順番に増加します。このプールからユニキャスト TEP を割り当てる場合は、予約する必要があります。

  3.   [更新(Update)] をクリックして、新しい外部ルーティング可能サブネットをサブネットまたは TEP テーブルに追加します。

  4.   [ファブリック設定ポリシー(Fabric Setup Policy)] パネルで、 [送信(Submit)]をクリックします。

ステップ 5

新しいルーティング可能 IP アドレスが正常に設定されていることを確認します。

CLI を使用して APIC コントローラにログインし、次のコマンドを入力します。

apic1# avread | grep routableAddress

以下のような出力が表示されます。

routableAddress   14.3.0.228              14.3.0.229              14.3.1.228

ステップ 6

スパイン スイッチで作成された NAT エントリを確認します。

CLI を使用してスパイン スイッチにログインし、次のコマンドを入力します。

spine1# show nattable

以下のような出力が表示されます。


-----NAT TABLE---------
Private Ip  Routable Ip
----------  -----------
10.0.0.2    14.3.0.229 

10.0.0.1    14.3.0.228 

10.0.0.3    14.3.1.228

スイッチの検出

スイッチの検出について: APIC

  APIC は、ACI ファブリックの一部であるすべてのスイッチに対する自動プロビジョニングおよび管理の中心となるポイントです。単一のデータセンターには、複数のACIファブリックを含めることができます。各データセンターは独自の APIC クラスターと Cisco Nexus 9000 シリーズ スイッチが存在する可能性があります。これらのスイッチは、ファブリックの一部になります。スイッチが単一の APIC クラスターにより管理されている場合、各スイッチはその特定の APIC ファブリックを管理するクラスターに登録する必要があります。。

  APIC は、現在管理している任意のスイッチに直接接続されている新規スイッチを検出します。クラスター内の各 APIC インスタンスはます、直接接続されているリーフ スイッチのみを検出します。リーフスイッチが APICに登録された後、 APIC はリーフ スイッチに直接接続されているすべてのスパイン スイッチを検出します。各スパイン スイッチが登録されると、 APIC はそのスパイン スイッチに接続されているすべてのリーフ スイッチを検出します。このカスケード式の検出により、 APIC はシンプルな数ステップで、ファブリック トポロジ全体を検出することができます。

  APIC クラスターによるスイッチ登録

スイッチを Cisco Application Policy Infrastructure ControllerAPIC) に登録した後、そのスイッチは Cisco APIC- 管理によるファブリック インベントリの一部になります。  Cisco Application Centric InfrastructureACI)ファブリックを使用すると、 Cisco APIC はインフラストラクチャ内のスイッチのプロビジョニング、管理、およびモニタリングのシングル ポイントとなります。

次のガイドラインおよび制約事項が適用されます。

  • スイッチを登録する前に、ファブリック内のすべてのスイッチが物理的に接続され、適切な設定で起動されていることを確認します。シャーシの設置については、 https://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/tsd-products-support-series-home.htmlを参照してください。

    スイッチが APIC クラスタとは異なるバージョンを実行している場合は、スイッチ検出時の自動ファームウェア更新を使用して、検出フェーズ中にスイッチを自動的にアップグレードします。詳細については、 検出の自動ファームウェア更新 を参照してください。これは、 Cisco APIC インストールおよび ACI アップグレード、ダウングレード ガイド に掲載されています。

  • インフラストラクチャの IP アドレス範囲は、インバンドおよびアウトオブバンドのネットワーク用の ACI ファブリックで使用する他の IP アドレスと重複してはなりません。

  • スイッチの電源の再投入またはアップグレードを行うと、外部デバイスがまだ準備ができていないスイッチにトラフィックを送信するのを防ぐために、スイッチが Cisco APICから構成を再度ダウンロードできるまで、ダウンリンク インターフェイスは管理ダウン状態になります。  Cisco APIC 接続のファブリック リンクとダウン リンクは、admin-down 状態への変更の例外になっています。この免除を実現するために、リーフ スイッチは、電源の再投入またはアップグレードの前に Cisco APICに接続されていたダウンリンク インターフェイスを記憶します。このため、 Cisco APIC 電源の再投入またはアップグレード後にスイッチが再度完全に動作するまで、 接続を変更しないでください。

スイッチ ロールの考慮事項

  • デフォルトのファブリック リンクは、別のスイッチからの最初のスイッチ検出に使用する必要があります。

  • デフォルトのスパイン スイッチが Cisco Application Policy Infrastructure ControllerAPIC)に直接接続されている場合、スイッチは自動的にリーフ スイッチに変換されます。変換期間中は、 Cisco APICに障害が発生しますが、これは正常な動作です。スイッチの変換が完了すると、障害は解消されます。

  • リーフ スイッチの場合、ポートが Cisco APICに登録された後、ポートをダウンリンクまたはファブリック リンクに変換するようにポート プロファイルを設定できます。詳細については、次の資料を参照してください。 Cisco APIC レイヤ 2 ネットワーク設定ガイド 次のサイトにあります:

    https://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/tsd-products-support-series-home.html#Configuration_Guides

この表に、ロールを変更できるスイッチのデフォルト ロールを示します。

表 2. デフォルトのスイッチ ロール

スイッチ製品 ID

デフォルトのロール

ロール変更をサポートする最初のリリース 1

N9K-C93600CD-GX

リーフ

5.2(1)

N9K-C9316D-GX

スパイン

5.1(4)

N9K-C9364C-GX

リーフ

5.1(3)

N9K-C9332D-GX2B

リーフ

5.2(3)

N9K-C9364D-GX2A

スパイン

5.2(3)

N9K-C9348D-GX2A

スパイン

5.2(3)

N9K-C9408

スパイン

6.0(2)

1 指定されたスイッチのロール変更をサポートする最初のリリースを示します。そのスイッチのロール変更は、以降のすべてのリリースでサポートされます。

ハイブリッド スイッチはロールを変更できます。ハイブリッド スイッチのデフォルトのロールは、モデルごとに異なります。リリース 6.1(2) では、スイッチが検出される前に CLI コマンドを使用してスイッチのロールを変更できます。これらのスイッチのデフォルト ロールによって、検出フェーズでのインターフェイスのロールが決まります。これにより、スイッチがデフォルト以外のロールで使用されている場合に問題が発生する可能性があります。たとえば、デフォルトのロールがリーフであるスイッチは、スパイン スイッチとしてケーブル接続されたとします。スイッチが検出されると、そのロールは自動的にスパインに変換されます。ただし、デフォルトでは、リーフ スイッチとして起動し、そのインターフェイスのほとんどは、スパイン検出に使用できるファブリック リンクとして設定されません。その結果、スイッチを確実に検出するためのケーブル接続オプションが制限される場合があります。

別の例:デフォルトのロールがスパインであるスイッチがリーフ スイッチとしてケーブル接続され、APIC に直接接続されることになっている場合。ただし、スパイン スイッチのすべてのインターフェイスは、APIC への接続に使用できないファブリック リンクです。その結果、スイッチは、APIC に接続できるリーフ スイッチに変換できるように、別の APIC に接続されている別のスイッチを介して検出される必要があります。

これらの問題に対処するには、新しい [未検出(Undiscovered)]の スイッチで、次のCLIコマンドを使用します。これは、検出される 前に 行います。 

(none)# acidiag setrole <leaf/spine>
This command will reboot the switch, Proceed? [y/N]

(注)  

  acidiag setrole <leaf/spine> コマンドは、スイッチが検出済みの場合には機能しません。その場合はエラー メッセージが表示されます。

GUI を使用した未登録スイッチの登録


(注)  

インフラストラクチャの IP アドレス範囲は、インバンドおよびアウトオブバンドのネットワーク用の ACI ファブリックで使用する他の IP アドレスと重複してはなりません。

始める前に

ファブリック内のすべてのスイッチが物理的に接続され、起動されていることを確認します。

手順

ステップ 1

メニュー バーで、 [ファブリック(Fabric)] > [インベントリ(Inventory)]を選択します。

ステップ 2

[ナビゲーション(Navigation)] ペインで [ファブリック メンバーシップ(Fabric Membership)]を選択します。

ステップ 3

[作業(Work)]ペインで、 [登録保留中のノード(Nodes Pending Registration)] タブをクリックします。

  [登録保留中のノード(Nodes Pending Registration)] タブ テーブルのスイッチには、次の条件があり得ます。

  • 新しく検出された未登録のノードで、ノード ID は 0、IP アドレスはありません。

  • 手動で入力されたもの( Cisco Application Policy Infrastructure ControllerAPIC))。ただし、未登録のスイッチの元々のステータスは [未検出(Undiscovered)] です。ネットワークに物理的に接続されるまで、これは変わりません。接続されると、ステータスが [検出済み(Discovered)]に変わります。

ステップ 4

  [登録保留中のノード(Nodes Pending Registration)] テーブルで、ID が 0、または登録するシリアル番号を持つ、新しく接続されたスイッチを検索します。

ステップ 5

(任意) ノードに関する詳細情報を表示するには、そのノードの行をダブルクリックします。

次のような、さまざまなノードプロパティを示すダイアログが表示されます: ACI-mode スイッチのリリースと LLDP ネイバーに関する情報。

ステップ 6

そのスイッチの行を右クリックし、 [登録(Register)]を選択し、次のアクションを実行します:

  1. 表示されているシリアル番号を確認し、どのスイッチを追加するか決定します。

  2. 次の設定を実行または編集します。

    フィールド

    設定

    [ポッド ID(Pod ID)]

    ノードが存在するポッドの識別子。

    ノード ID(Node ID)

    100 より大きな数値。100 までの ID は、 Cisco APIC アプライアンス ノードのために予約されています。

    (注)  

     

    リーフ ノードとスパイン ノードには異なる数字を付けることをお勧めします。たとえば、100 番台の番号(101、102 など)はスパインに、200 番台の番号(201、202 など)はリーフに付けることができます。

    ノード ID が割り当てられた後は、更新できません。ノードを [登録済みノード(Registered Nodes)] タブのテーブルに追加したら、テーブルのノード行を右クリックし、 [Edit Node and Rack Name(ノードとラック名の編集)]を選択して、ノード名を更新できます。

    [RL TEP プール(RL TEP Pool)]

    ノードのトンネル エンドポイント (TEP) プールの識別子。

    ノード名

    leaf1 または spine3 などのノード名。

    ロール(Role)

    割り当てられたノードの役割。次のオプションがあります。

    • [スパイン(spine)]

    • [リーフ(leaf)]

    • [仮想リーフ(virtualleaf)]

    • [仮想スパイン(virtualspine)]

    • [リモート リーフ(remote leaf)]

    • [ティア 2 リーフ(tier-2-leaf)]

    ノードにデフォルト ロール以外のロールを選択する場合、ロール変更のための登録中にノードは自動的に再起動します。

    [ラック名(Rack Name)]

    ノードが取り付けられているラックの名前。  [デフォルト(Default)]を選択するか、または [ラックの作成(Create Rack)] を選択して、名前と説明を追加します。

  3.   [登録(Register)]をクリックします。

Cisco APIC は IP アドレスをノードに割り当て、ノードは [登録済みノード(Registered Nodes)] タブのテーブルに追加されます。次に。該当すれば、ノードに接続されている他のノードが検出され、 [登録保留中のノード(Nodes Pending Registration)] タブのテーブルに追加されます。

ステップ 7

引き続き、 [登録保留中のノード(Nodes Pending Registration)] タブのテーブルに注目していてください。ノードが表示されたら、これらの手順を繰り返して、インストールされているノードがすべて登録されるまで、それぞれの新しいノードを登録します。

GUI を使用したディスカバリ前のスイッチの追加

これらの手順に従えば、スイッチがネットワークに物理的に接続される前に、スイッチの説明を追加できます。

始める前に

スイッチのシリアル番号を確認しておいてください。

手順

ステップ 1

メニューバーで、 [ファブリック(Fabric)] > [インベントリ(Inventory)]を選択します。

ステップ 2

[ナビゲーション(Navigation)] ペインで [ファブリック メンバーシップ(Fabric Membership)]を選択します。

ステップ 3

  [登録済みノード(Registered Nodes)] または [登録保留中のノード(Nodes Pending Registration)] 作業ペインで、[アクション(Actions)] アイコンをクリックし、 [ファブリック ノード メンバーの作成(Create Fabric Node Member)]をクリックします。

  [ファブリック ノード メンバーの作成(Create Fabric Node Member)] ダイアログが表示されます。

ステップ 4

次の設定を構成します:

フィールド

設定

[ポッド ID(Pod ID)]

ノードが存在するポッドを特定します。

[シリアル番号(Serial Number)]

必須:新しいスイッチのシリアル番号を入力します。

[ノード ID(Node ID)]

必須:100 以上の数字を入力します。100 までの ID は、 Cisco Application Policy Infrastructure ControllerAPIC)アプライアンス ノードのために予約されています。

(注)  

 

リーフ ノードとスパイン ノードには、異なる方法で番号を付けることをお勧めします。たとえば、リーフ ノードには 100 番台の番号(101、102 など)、スパイン ノードには 200 番台の番号(201、202 など)を付けることができます。

ノード ID が割り当てられた後は、更新できません。ノードを [登録済みノード(Registered Nodes)] タブのテーブルに追加したら、テーブルのノード行を右クリックし、 [Edit Node and Rack Name(ノードとラック名の編集)]を選択して、ノード名を更新できます。

[スイッチ名(Switch Name)]

leaf1 または spine3 などのノード名。

ノード タイプ(Node Type)

ノードのタイプ(ロール)を選択します。次のオプションがあります:

  • [リーフ(leaf)]

    必要に応じて、次のボックスのいずれかをオンにします。

    • [リモート(Is Remote)]:ノードがリモート リーフ スイッチであることを指定します。

    • [仮想(Is Virtual)]:ノードが仮想であることを指定します。

    • [階層 2 リーフ(Is Tier-2 Leaf)]:作成されるファブリック ノード メンバー(リーフ スイッチ)は、多層アーキテクチャの Tier-2 リーフ スイッチの特性を引き継ぎます。

  • [スパイン(spine)]

    必要に応じて、次のボックスのいずれかをオンにします。

    • [仮想(Is Virtual)]:ノードが仮想であることを指定します。

  • [unknown(不明)]

ノードにデフォルト ロール以外のロールを選択した場合、ロール変更のための登録中にノードは自動的に再起動します。

[VPC ペア(VPC Pair)]

これはオプションです。ノードが vPC ペアの一部である場合は、このノードとペアリングするノードの ID を選択します。

[vPC ドメイン ID(VPC Domain ID)]

vPC ペアの vPC ドメイン ID を入力します。範囲は 1 ~ 1000 です。このフィールドは、 [VPC ペア(VPC Pair)]の値を入力した場合にのみ表示され、必須となります。

  Cisco APIC は、新しいノードを [登録保留中のノード(Nodes Pending Registration)] タブのテーブルに追加します。

次のタスク

物理スイッチをネットワークに接続します。接続されると、 Cisco APIC は物理スイッチのシリアル番号を新しいエントリにマッチングします。  [登録保留中のノード(Nodes Pending Registration)] タブ テーブルを観察し、新しいスイッチの [ステータス(Status)][未検出(Undiscovered)] から [検出済み(Discovered)]に変わるのを確認します。  GUI を使用した未登録スイッチの登録 セクションの手順に従い、ファブリックの初期化と新しいスイッチの検出プロセスを完了します。

スイッチ検出の検証とスイッチ管理: APIC

スイッチが APICに登録された後、 APIC はファブリック トポロジ ディスカバリを自動的に実行し、ネットワーク全体のビューを取得し、ファブリック トポロジ内のすべてのスイッチを管理します。

各スイッチは、 APIC から構成、監視、およびアップグレードできます。個々のスイッチにアクセスする必要はありません。

GUI を使用した登録スイッチの検証

手順

ステップ 1

メニュー バーで、 [ファブリック(Fabric)] > [インベントリ(Inventory)] > [ファブリック メンバーシップ(Fabric Membership)]に移動します。

ステップ 2

  [Fabric Membership(ファブリック メンバーシップ)] 作業ペインで、 [登録済みノード(Registered Nodes)] タブをクリックします。

ファブリック内のスイッチが [登録済みノード(Registered Nodes)] タブのテーブルに、ノードID とともに表示されます。テーブルには、登録されているすべてのスイッチが割り当てられた IP アドレスとともに表示されます。

ファブリック トポロジの検証

すべてのスイッチが APIC クラスターに登録された後、 APIC はファブリック内のすべてのリンクおよび接続を自動的に検出し、結果としてトポロジ全体を検出します。

GUI を使用したファブリック トポロジの検証

手順

ステップ 1

メニュー バーで、 [Fabric(ファブリック)] > [Inventory(インベントリ)] > [Pod(ポッド)] numberに移動します。

ステップ 2

  [作業(Work)] ペインで、 [トポロジ(Topology)] タブをクリックします。

表示された図は、すべての接続されたスイッチ、APIC インスタンスおよびリンクを示します。

ステップ 3

(任意) ヘルス、ステータス、インベントリ情報を表示するには、コンポーネント上にカーソルを移動します。

ステップ 4

(任意) リーフ スイッチまたはスパイン スイッチのポートレベルの接続を表示するには、トポロジ図のアイコンをダブルクリックします。

ステップ 5

(任意) トポロジ図を更新するには、 [+] アイコンをクリックします。 [作業(Work)] ペインにの右上にあります。

VM 管理でのアンマネージド スイッチの接続

VM コントローラ(vCenter など)で管理されているホストはレイヤ 2 スイッチを介してリーフ ポートに接続できます。必要な唯一の前提条件は、レイヤ 2 スイッチを管理アドレスで設定することです。この管理アドレスは、スイッチに接続されているポート上で Link Layer Discovery Protocol(LLDP) によってアドバタイズされる必要があります。レイヤ 2 スイッチは、APIC によって自動的に検出され、管理アドレスで識別されます。APICでアンマネージド スイッチを表示するには、 [ファブリック(Fabric)] > [インベントリ(Inventory)] > [ファブリック メンバーシップ(Fabric Membership)] に移動し、 [管理対象外のファブリック ノード(Unmanaged Fabric Nodes)] タブをクリックします。

スイッチ検出の問題のトラブルシューティング

ACI モード スイッチ ソフトウェアには、包括的なリーフおよびスパイン スイッチの検出検証プログラムが含まれています。スイッチが検出モードでスタックした場合には、検証プログラムをスイッチの CLI コマンドで起動してください。

検証プログラムは、次のテストを実行します。

  1. システム状態: topSystem の管理対象オブジェクト(MO)の状態をチェックします。

    1. 状態が「サービス停止中(out-of-service)」の場合、スケジュールされたアップグレードがないかどうかを確認します。

    2. 状態が「ブートスクリプトのダウンロード中(downloading bootscript)」の場合、ブートスクリプトのダウンロードに失敗しています。失敗が報告されます。スイッチが L3out スパインの場合、プログラムはさらにブートストラップ ダウンロードの状態をチェックし、障害があれば報告します。

  2. DHCP ステータス:TEP IP、ノード ID、 dhcpResp MO から割り当てられた名前などの DHCP ステータスと情報を確認します。

  3. AV の詳細:APIC が登録されているかどうか、および APIC に有効な IP アドレスがあるかどうかを確認します。

  4. IP 到達可能性: iping コマンドを使用して、アドレス割り当て元 APIC への IP 到達可能性を確認します。この状態を再テストするには、 show discoveryissues apic ipaddress コマンドを使用します。

  5. インフラ VLAN の受信: lldpInst MO にインフラ VLAN の詳細が存在するかどうかを確認します。このスイッチが APIC のないポッドに属している場合、インフラ VLAN の詳細は存在しないため、テスト結果のこのセクションは無視できます。

  6. LLDP 隣接関係:LLDP 隣接関係の存在と、ワイヤリングの不一致の問題をチェックします。LLDP の問題により、インフラ VLAN の不一致、シャーシ ID の不一致、フロント エンド ポートへの接続がないなどの障害レポートが生成される可能性があります。

  7. スイッチ バージョン:スイッチの実行中のファームウェア バージョンを報告します。APIC のバージョンも報告します(利用可能な場合)。

  8. FPGA/BIOS:スイッチの FPGA/BIOS バージョンの不一致をチェックします。

  9. SSL 検証: acidiag verifyssl -s SerialNumber コマンドを使用して、SSL 証明書の詳細の有効性を確認します。

  10. ポリシーのダウンロード: pconsBootStrap MO をチェックして、APIC(PM シャード)への登録が完了しているかどうか、およびすべてのポリシーが正常にダウンロードされたかどうかを確認します。

  11. 時間:スイッチの現在の時刻を報告します。

  12. ハードウェア ステータス: eqptCh、eqptFan、eqptPsu、eqptFt および eqptLC MO からモジュール、電源、およびファンのステータスを確認します。

テストの手動実行

スイッチ検出検証プログラムを実行するには、スパインまたはリーフ スイッチの CLI コンソールにログインし、次のコマンドを実行します。

show discoveryissues [apic ipaddress]

テストの成功例

次の例は、テストが成功した場合のスイッチ検出検証プログラムの出力を示しています。 


spine1# show discoveryissues

Checking the platform type................SPINE!
Check01 - System state - in-service                [ok]
Check02 - DHCP status                [ok]
    TEP IP: 10.0.40.65 Node Id: 106 Name: spine1
Check03 - AV details check                [ok]
Check04 - IP rechability to apic                [ok]
    Ping from switch to 10.0.0.1 passed
Check05 - infra VLAN received                [ok]
    infra vLAN:1093
Check06 - LLDP Adjacency                [ok]
    Found adjacency with LEAF
Check07 - Switch version                [ok]
    version: n9000-14.2(0.167)  and apic version: 5.0(0.25)
Check08 - FPGA/BIOS out of sync test                [ok]
Check09 - SSL check                [check]
    SSL certificate details are valid
Check10 - Downloading policies                [ok]
Check11 - Checking time                [ok]
    2019-08-21 17:15:45
Check12 - Checking modules, power and fans                [ok]

テストの失敗例

次の例は、検出機能に問題があるスイッチのスイッチ検出検証プログラムの出力を示しています。 


spine1# show discoveryissues

Checking the platform type................SPINE!
Check01 - System state - out-of-service                [FAIL]
    Upgrade status is notscheduled
    Node upgrade is notscheduled state
Check02 - DHCP status                [FAIL]
    ERROR: discover not being sent by switch
    Ignore this, if the IP is already known by switch
    ERROR: node Id not configured
    ERROR: Ip not assigned by dhcp server
    ERROR: Address assigner's IP not populated
    TEP IP: unknown Node Id: unknown Name: unknown
Check03 - AV details check                [ok]
Check04 - IP reachability to apic                [FAIL]
    please rerun the CLI with argument apic Ip
    (show discoveryissues apic <ip>) to check its reachability from switch
Check05 - infra VLAN received                [FAIL]
    Please ignore if this switch is part of a pod with no apic
Check06 - LLDP Adjacency                [FAIL]
    Error: spine not connected to any leaf
Check07 - Switch version                [ok]
    version: n9000-14.2(0.146)  and apic version: unknown
Check08 - FPGA/BIOS out of sync test                [ok]
Check09 - SSL check                [ok]
    SSL certificate details are valid
Check10 - Downloading policies                [FAIL]
    Registration to all PM shards is not complete
    Policy download is not complete
    Pcons booststrap is in triggered state
Check11 - Checking time                [ok]
    2019-07-17 19:26:29
Check12 - Checking modules, power and fans                [FAIL]
    Line card state is testing

GUI を使用してスイッチ インベントリを検索する

このセクションでは、Cisco APIC GUI を使用してスイッチのモデルとシリアル番号を検索する方法について説明します。

始める前に

Cisco APIC GUI にアクセスできる必要があります。

手順

ステップ 1

メニュー バーで、 [ファブリック(Fabric)] > [インベントリ(Inventory)]を選択します。

ステップ 2

[ナビゲーション(navigation)] ペインで、 [ポッド(Pod)] アイコンをクリックします。

ナビゲーション ペインにスイッチ アイコンが表示されます。

ステップ 3

ナビゲーション ペインでスイッチ アイコンをクリックします。

作業ペインの上部にタブのリストが表示されます。

ステップ 4

  [全般(General)] タブをクリックします。

作業ペインにスイッチ情報が表示されます。

スイッチ検出の問題のトラブルシューティング

ACI モード スイッチ ソフトウェアには、包括的なリーフおよびスパイン スイッチの検出検証プログラムが含まれています。スイッチが検出モードでスタックした場合には、検証プログラムをスイッチの CLI コマンドで起動してください。

検証プログラムは、次のテストを実行します。

  1. システム状態: topSystem の管理対象オブジェクト(MO)の状態をチェックします。

    1. 状態が「サービス停止中(out-of-service)」の場合、スケジュールされたアップグレードがないかどうかを確認します。

    2. 状態が「ブートスクリプトのダウンロード中(downloading bootscript)」の場合、ブートスクリプトのダウンロードに失敗しています。失敗が報告されます。スイッチが L3out スパインの場合、プログラムはさらにブートストラップ ダウンロードの状態をチェックし、障害があれば報告します。

  2. DHCP ステータス:TEP IP、ノード ID、 dhcpResp MO から割り当てられた名前などの DHCP ステータスと情報を確認します。

  3. AV の詳細:APIC が登録されているかどうか、および APIC に有効な IP アドレスがあるかどうかを確認します。

  4. IP 到達可能性: iping コマンドを使用して、アドレス割り当て元 APIC への IP 到達可能性を確認します。この状態を再テストするには、 show discoveryissues apic ipaddress コマンドを使用します。

  5. インフラ VLAN の受信: lldpInst MO にインフラ VLAN の詳細が存在するかどうかを確認します。このスイッチが APIC のないポッドに属している場合、インフラ VLAN の詳細は存在しないため、テスト結果のこのセクションは無視できます。

  6. LLDP 隣接関係:LLDP 隣接関係の存在と、ワイヤリングの不一致の問題をチェックします。LLDP の問題により、インフラ VLAN の不一致、シャーシ ID の不一致、フロント エンド ポートへの接続がないなどの障害レポートが生成される可能性があります。

  7. スイッチ バージョン:スイッチの実行中のファームウェア バージョンを報告します。APIC のバージョンも報告します(利用可能な場合)。

  8. FPGA/BIOS:スイッチの FPGA/BIOS バージョンの不一致をチェックします。

  9. SSL 検証: acidiag verifyssl -s SerialNumber コマンドを使用して、SSL 証明書の詳細の有効性を確認します。

  10. ポリシーのダウンロード: pconsBootStrap MO をチェックして、APIC(PM シャード)への登録が完了しているかどうか、およびすべてのポリシーが正常にダウンロードされたかどうかを確認します。

  11. 時間:スイッチの現在の時刻を報告します。

  12. ハードウェア ステータス: eqptCh、eqptFan、eqptPsu、eqptFt および eqptLC MO からモジュール、電源、およびファンのステータスを確認します。

テストの手動実行

スイッチ検出検証プログラムを実行するには、スパインまたはリーフ スイッチの CLI コンソールにログインし、次のコマンドを実行します。

show discoveryissues [apic ipaddress]

テストの成功例

次の例は、テストが成功した場合のスイッチ検出検証プログラムの出力を示しています。 


spine1# show discoveryissues

Checking the platform type................SPINE!
Check01 - System state - in-service                [ok]
Check02 - DHCP status                [ok]
    TEP IP: 10.0.40.65 Node Id: 106 Name: spine1
Check03 - AV details check                [ok]
Check04 - IP rechability to apic                [ok]
    Ping from switch to 10.0.0.1 passed
Check05 - infra VLAN received                [ok]
    infra vLAN:1093
Check06 - LLDP Adjacency                [ok]
    Found adjacency with LEAF
Check07 - Switch version                [ok]
    version: n9000-14.2(0.167)  and apic version: 5.0(0.25)
Check08 - FPGA/BIOS out of sync test                [ok]
Check09 - SSL check                [check]
    SSL certificate details are valid
Check10 - Downloading policies                [ok]
Check11 - Checking time                [ok]
    2019-08-21 17:15:45
Check12 - Checking modules, power and fans                [ok]

テストの失敗例

次の例は、検出機能に問題があるスイッチのスイッチ検出検証プログラムの出力を示しています。 


spine1# show discoveryissues

Checking the platform type................SPINE!
Check01 - System state - out-of-service                [FAIL]
    Upgrade status is notscheduled
    Node upgrade is notscheduled state
Check02 - DHCP status                [FAIL]
    ERROR: discover not being sent by switch
    Ignore this, if the IP is already known by switch
    ERROR: node Id not configured
    ERROR: Ip not assigned by dhcp server
    ERROR: Address assigner's IP not populated
    TEP IP: unknown Node Id: unknown Name: unknown
Check03 - AV details check                [ok]
Check04 - IP reachability to apic                [FAIL]
    please rerun the CLI with argument apic Ip
    (show discoveryissues apic <ip>) to check its reachability from switch
Check05 - infra VLAN received                [FAIL]
    Please ignore if this switch is part of a pod with no apic
Check06 - LLDP Adjacency                [FAIL]
    Error: spine not connected to any leaf
Check07 - Switch version                [ok]
    version: n9000-14.2(0.146)  and apic version: unknown
Check08 - FPGA/BIOS out of sync test                [ok]
Check09 - SSL check                [ok]
    SSL certificate details are valid
Check10 - Downloading policies                [FAIL]
    Registration to all PM shards is not complete
    Policy download is not complete
    Pcons booststrap is in triggered state
Check11 - Checking time                [ok]
    2019-07-17 19:26:29
Check12 - Checking modules, power and fans                [FAIL]
    Line card state is testing

メンテナンス モード

メンテナンス モード

メンテナンス モードを使用する際に理解に役立つ用語を紹介します。

  • メンテナンス モード:デバッグ目的でユーザー トラフィックからスイッチを分離するために使用されます。スイッチを メンテナンス モード にするには [メンテナンス モード(GIR)(Maintenance(GIR))] を有効にします。これは APiC GUI の [Fabric Membership(ファブリック メンバーシップ)] ページにあります。 [ファブリック(Fabric)] > [インベントリ(Inventory)] > [ファブリック メンバーシップ(Fabric Membership)]でアクセスできます。 (スイッチを右クリックして [メンテナンス モード(GIR)(Maintenance(GIR))]を選択します)。

    スイッチを メンテナンス モードにすると、そのスイッチは動作可能な ACI ファブリック インフラストラクチャの一部とは見なされず、通常の APIC 通信を受け入れなくなります。

メンテナンス モード使用すれば、スイッチをグレースフルに取り出し、ネットワークから切り離し、デバッグ操作を実行することができます。スイッチは、最小限のトラフィックの中断だけで、通常の転送パスから取り外されます。

グレースフルな取り出しでは、ファブリック プロトコル(IS-IS)を除くすべての外部プロトコルがグレースフルにダウンされ、スイッチはネットワークから切り離されます。メンテナンス モード中、最大メトリックは Cisco Application Centric InfrastructureCisco ACI)ファブリック内の IS-IS 内でアドバタイズされるので、メンテナンス モードのリーフ スイッチは、スパイン スイッチからのトラフィックを引き寄せません。さらに、スイッチの前面パネルのすべてのインターフェイスは、スイッチのファブリック インターフェイスを除いて、シャットダウンされます。デバッグ操作後にスイッチを完全動作(通常)モードに戻すには、スイッチを再コミッションする必要があります。この操作により、スイッチのステートレス リロードがトリガーされます。

グレースフル挿入により、スイッチは自動的にデコミッション、再起動、および再コミッションされます。再コミッションが完了したら、外部のすべてのプロトコルは復元され、IS-IS の最大のメトリックは 10 分後にリセットされます。

次のプロトコルがサポートされています:

  • Border Gateway Protocol(BGP)

  • Enhanced Interior Gateway Routing Protocol(EIGRP)

  • Intermediate System-to-Intermediate System(IS-IS)

  • Open Shortest Path First(OSPF)

  • リンク集約制御プロトコル(LACP)

プロトコルに依存しないマルチキャスト (PIM) はサポートされていません。

特記事項

  • 境界リーフ スイッチに静的ルートがあり、それがメンテナンス モードにされた場合、境界リーフ スイッチからのルートが ACI ファブリックのスイッチのルーティング テーブルから削除されない可能性があり、ルーティングの問題が発生します。

    この問題を回避するには、次のいずれかを実行します。

    • その他の境界リーフ スイッチで同じ管理ディスタンスを持つ同じ静的ルートを設定するか、

    • 静的ルートのネクスト ホップへの到達可能性を追跡するため IP SLA または BFD を使用します

  • スイッチがメンテナンス モードになると、イーサネット ポート モジュールは、インターフェイス関連の通知の伝達を停止します。その結果、この時間中にリモート スイッチが再起動するか、ファブリック リンクがフラップすると、その後ファブリック リンクはアップ状態になりません。ただし、スイッチを手動で再起動し( acidiag touch clean コマンドを使用)、デコミッション、および再コミッションした場合はその限りではありません。

  • スイッチがメンテナンス モードの場合、スイッチの CLI「show」コマンドは、前面パネル ポートがアップ状態であり、BGP プロトコルがアップ状態かつ実行中であることを示します。インターフェイスは実際にはシャットダウンされており、BGP のその他すべての隣接関係はダウンしていますが、表示されているアクティブ状態によりデバッグは可能になります。

  • マルチポッド / マルチサイトの場合、 再配布されるルートの IS-IS メトリック を 63 未満に設定する必要があります。ノードをファブリックに戻すときのトラフィックの中断を最小限に抑えるためです。  再配布されるルートの IS-IS メトリックを設定するには、 [ファブリック(Fabric)] > [ファブリック ポリシー(Fabric Policies)] > [ポッド ポリシー(Pod Policies)] > [IS-IS ポリシー(IS-IS Policy)]を選択します。

  • スパインまたはリーフを再起動し、 IS-IS 隣接関係がアップになると、 再配布されるルートの IS-IS メトリック は高としてアドバタイズされ(34)ます。ECMP ネクストホップとしては使用できません。

  • 既存の GIR はすべてのレイヤ 3 トラフィックの迂回をサポートします。LACP では、レイヤ 2 のすべてのトラフィックも、冗長ノードを迂回します。いったんノードがメンテナンス モードに入ると、ノードで実行されている LACP はすぐに、もはやポートチャネルの一部として集約されることができないとネイバーに通知します。すべてのトラフィックは vPC ピア ノードを迂回します。 


  • メンテナンス モードでは、次の操作は許可されません。

    • アップグレード:ネットワークを新しいバージョンにアップグレードすること

    • ステートフル リロード:GIR ノードまたはその接続されたピアの再起動

    • ステートレス リロード:GIR ノードまたはその接続されたピアのクリーン設定または電源再投入による再起動

    • リンク操作:GIR ノードまたはそのピア ノードでのシャットダウン/非シャットダウンまたは光ファイバの OIR(オンラインでの挿入または取り外し)

    • 設定の変更:一切の設定変更(クリーン構成、インポート、スナップショット ロールバックなど)

    • ハードウェアの変更:ハードウェアの変更(FRU または RMA の追加、交換、取り外しなど)

GUI を使用してスイッチをメンテナンス モードに移行する

GUI を使用してスイッチをメンテナンス モードに移行するには、次の手順を使用します。スイッチがメンテナンス モードに移行していても、アウトオブバンド管理インターフェイスは依然動作しており、アクセスが可能です。

手順

ステップ 1

メニュー バーで、 [ファブリック(Fabric)] > [インベントリ(Inventory)]を選択します。

ステップ 2

[ナビゲーション(navigation)] ペインで、 [ファブリック メンバーシップ(Fabric Membership)]をクリックします。

ステップ 3

[作業(Work)] ペインで、 [アクション(Actions)] > [メンテナンス(GIR)(Maintenance(GIR))]をクリックします。

ステップ 4

  [OK]をクリックします。

グレースフルに削除されたスイッチは [デバッグ モード(Debug Mode)] と、 [ステータス(Status)] 列に表示されます。

GUI を使用してスイッチを挿入し、動作モードにする

GUI を使用してスイッチを挿入し、動作モードにするには、次の手順に従います。

手順

ステップ 1

メニュー バーで、 [ファブリック(Fabric)] > [インベントリ(Inventory)]を選択します。

ステップ 2

[ナビゲーション(navigation)] ペインで、 [ファブリック メンバーシップ(Fabric Membership)]をクリックします。

ステップ 3

  [登録済みノード(Registered Nodes)] テーブルで、操作モードに対して挿入するスイッチの行を右クリックして、 [コミッション(Commission)]を選択します。

ステップ 4

  [はい(Yes)]をクリックします。

Cisco NX-OS から Cisco ACI POAP への自動変換

Cisco NX-OSからCisco ACI への POAP 自動変換について

5.2(3) リリース以降、Cisco NX-OS から Cisco Application Centric InfrastructureACI)への Power On Auto Provisioning(POAP)自動変換によって、最初にネットワークに導入されたノードでソフトウェア イメージをアップグレードし、スイッチ上に構成ファイルをインストールするプロセスを自動化できます。POAP 自動変換機能を備えた Cisco NX-OSノードが起動し、スタートアップ構成が見つからない場合、ノードは POAP モードに入り、すべてのポートで DHCP ディスカバリを開始します。ノードは DHCP サーバーを見つけ、インターフェイス IP アドレス、ゲートウェイ、DNS サーバー IP アドレスを使用して自らをブートストラップします。また、TFTP サーバの IP アドレスを取得し、構成スクリプトをダウンロードします。このスクリプトはノード上で有効化され、適切なソフトウェアイメージと構成ファイルをダウンロードしてインストールします。このプロセスは、Cisco NX-OSノードをスタンドアロンモードから Cisco ACI-mode に変換します。

Cisco NX-OSノードを POAP を使用して Cisco ACI ノードに自動変換するには、 Cisco ACI 自動変換する必要があるCisco NX-OSノードに接続されているスイッチノードのインターフェイスを指定する必要があります  Cisco ACI スイッチで指定されたインターフェイスは、POAP 処理を有効にし、 Cisco NX-OSノードが Cisco Application Policy Infrastructure ControllerAPIC)を、自動変換用の DHCP サーバーとして使用できるようにします。  Cisco ACI スイッチノードはすでに Cisco ACI ファブリックに登録されていてアクティブである必要があります。つまりノードは Cisco APIC クラスタから到達可能であることを意味します。この自動変換は、ファブリックに新しいスイッチを追加するとき、または既存の Cisco ACI スイッチを置き換えるときに使用できます。

Cisco NX-OS から Cisco ACI への POAP 自動変換のガイドラインと制限事項

Cisco NX-OS から Cisco Application Centric InfrastructureACI)への power-on auto-provisioning(POAP)自動変換を使用するときには、次の制約事項および使用上のガイドラインが適用されます。

  • 変換中の Cisco NX-OS ノードは、管理を含むすべてのインターフェイスで検出パケットの送信を開始するため、すべての外部 DHCP サーバー( Cisco Application Policy Infrastructure ControllerAPIC)サーバーを除く)は取り外す必要があります。それらは POAP 検出パケットをインターセプトし、変換を中断する可能性があるからです。

  • Cisco NX-OS から Cisco ACI への POAP 自動変換は、変換対象の NX-OS デバイスが既存の Cisco ACI スイッチ ノードに接続されており、そのノードが Cisco APIC クラスタに到達可能である場合にサポートされます。このため、次のシナリオはサポートされていません。

    • APIC 1 からの最初の Cisco ACI スイッチを検出する場合。

    •   Cisco ACI リーフ ノードを交換する必要があり、 Cisco APIC が、そのリーフノードにシングルホーム接続されている場合。

    •   Cisco ACI スイッチを追加または交換する必要があり、そのスイッチが、IPN デバイスを通してのみ Cisco APIC クラスターに到達するものである場合。つまり、Cisco NX-OS ノードを新しいリモート リーフ ノードとして追加する場合、Cisco NX-OS ノードを新しいポッドの最初のスパイン ノードとして追加する場合、リモート リーフ ノードを置き換える場合、または Cisco ACI マルチポッド セットアップでスパイン ノードをポッド内の唯一のスパイン ノードで置き換える場合です。このシナリオは、IPN デバイスで必要な構成を備えた Cisco APIC 5.2(4) リリースからサポートされています。

  • モジュラー スパイン ノード スーパーバイザの交換はサポートされていません。

  • POAP は、製品 ID(PID)に -EX、-FX、-GX、またはそれ以降のサフィックスを持つスイッチ、および Cisco N9K-C9364C および N9K-C9332C スイッチをサポートします。

  • スパインまたはリーフノードを自動変換した後には、 show system reset-reason CLI コマンドでは、変換に関する情報は表示されません。出力には次の情報のみが表示されます: 

    reset-requested-by-cli-command-reload

  •   Cisco ACI スイッチおよび Cisco NX-OS スイッチの間では、光ケーブルを使用する必要があります。この場合、銅ケーブルは使用できません。

  • 自動変換に使用する必要がある Cisco ACI スイッチ イメージは、 Cisco APIC クラスタのファームウェア リポジトリに存在する必要があります。GUI を使用し、 [管理(Admin)] > [ファームウェア(Firmware)] > [イメージ(Images)]に移動して、イメージが存在することを確認できます。

  • POAP を使用した Cisco NX-OS から Cisco ACI への自動変換は、ターゲット スイッチのリリースが 16.0(3) 以降で、スイッチで実行されている現在のリリースが Cisco NX-OS 9.3(12) 以前の場合はサポートされません。この状態で POAP を使用して Cisco NX-OS を ACI 自動変換に使用しようとすると、スイッチが無期限にスタックする可能性があります。これらの条件で Cisco NX-OS を Cisco ACI に変換するには、アップグレードを手動で行う必要があります

GUI を使用した POAP 自動変換による Cisco NX-OS ノードから ACI への変換

このプロセスは、Cisco NX-OSノードをスタンドアロンモードから Cisco ACI モードに変換します。これは電源投入時自動プロビジョニング(POAP)自動変換を使用するモードです。このプロセスでは、ノードのデコミッションは行われません。

始める前に

  [スイッチ検出の自動ファームウェア更新(Auto Firmware Update on Switch Discovery)] を有効にする必要があります(ターゲットの Cisco ACI ファームウェア バージョンで)。詳細については、 『Cisco APIC Getting Started Guide』を参照してください。

手順

ステップ 1

メニュー バーで、 [ファブリック(Fabric)] > [インベントリ(Inventory)]を選択します。

ステップ 2

[ナビゲーション(Navigation)] ペインで [ファブリック メンバーシップ(Fabric Membership)]を選択します。

ステップ 3

[作業(Work)] ペインで、 [登録済みノード(Registered Nodes)] タブを選択します。

ステップ 4

(任意) 既存の Cisco ACI スイッチノードを NX- OSを実行している新しいスイッチと交換する場合には、交換するノードを右クリックして、 [コントローラから削除(Remove From Controller)] を選択します。通常の交換シナリオと同じです。

ステップ 5

テーブルの右上にあるアクションメニューで、 [NXOS からACI へ変換して追加(Add with NXOS to ACI Conversion)]を選択します。

交換シナリオでは、交換するスイッチノードが停止または非アクティブになっている場合は、ノードを右クリックして [NXOS からACI へ変換して交換(Replace with NXOS to ACI Conversion)]を選択することもできます。これにより、ステップ 4 で [コントローラから削除(Remove From Controller)] アクションが、ステップ 5 で [NXOS からACI へ変換して追加(Add with NXOS to ACI Conversion)] アクションが同時に実行されます。

ステップ 6

ダイアログで、次のようにフィールドに入力します:

  • [ノード ID(Node ID)]:変換するノードに接続されているノードのIDを選択します。ゴミ箱をクリックしてノードを削除するか、 [+] をクリックして別のノードを追加できます。少なくとも 1 つのノードを指定してください。追加のノードを設定するときにGUIでさらにスペースが必要な場合に、 [インターフェイスを非表示(Hide Interfaces)] をクリックすれば、インターフェイス情報を非表示にできます。

  • [インターフェイス ID(Interface ID)]:変換するノードに接続されているノードのインターフェイスのIDを選択します。ゴミ箱をクリックしてインターフェイスを削除すること [+] をクリックして別のインターフェイスを追加することができますPOAP自動変換のPOAPを処理するように、各ノードで 1 つのインターフェイスのみを設定します。

ステップ 7

  [送信(Submit)]をクリックします。

ステップ 8

  [登録保留中のノード(Nodes Pending Registration)] タブを選択します。

ノードがこのタブに表示された後のノード登録手順は、通常の Cisco ACI スイッチの場合と同じです。

ステップ 9

(任意) スイッチが登録され、ファブリックに参加した後、 [アクティブ(Active)] ステータスでファブリックに参加した後、ステップ 6 で設定したインターフェイスの POAP 自動変換設定は削除できます。変換が完了したら、接続されているノードから POAP 設定を削除してください。

  1.   [登録済みノード(Registered Nodes)] タブを選択します。

  2. POAP 設定を削除するノードの行をダブルクリックします。

  3. ダイアログで、 [NXOS 変換ポリシー(NXOS Conversion Policy)] タブを選択します。

  4. 削除したいパス名を選択し、削除アイコン(ゴミ箱)をクリックします。

Cisco Nexus 9000 スイッチの安全な消去

Cisco Nexus 9000 スイッチの安全な消去について

Cisco Nexus 9000 スイッチは、永続的なストレージを利用して、システム ソフトウェア イメージ、スイッチ構成、ソフトウェア ログ、および動作履歴を維持します。これらの各エリアには、ネットワーク アーキテクチャや設計の詳細など、ユーザ固有の情報と、潜在的な攻撃者からの目標ベクトルが含まれている可能性があります。安全な消去機能を使用すると、この情報を包括的に消去できます。これは、返品許可(RMA)を使用してスイッチを返品するとき、スイッチをアップグレードまたは交換するとき、または寿命に達したシステムを廃止するときに実行できます。

セキュア消去は、Cisco APIC リリース 6.0(x) からサポートされています。ファブリック内のすべてのリーフおよびスパイン スイッチは、APIC リリース 6.0(x) 以降である必要があります。

この機能は、次のストレージ デバイスのユーザ データを消去します。

  • SSD

  • EMMC

  • MTD


  • CMOS

  • NVRAM


(注)  

すべてのスイッチ モデルにこれらすべてのストレージ デバイスがあるわけではありません。

GUI を使用した Cisco Nexus 9000 スイッチのユーザー データの安全な消去

GUI を使用して Cisco Nexus 9000 スイッチのユーザー データを安全に消去するには、次の手順に従います。

手順

ステップ 1

メニュー バーで、 [ファブリック(Fabric)] > [インベントリ(Inventory)]を選択します。

ステップ 2

[ナビゲーション(Navigation)] ペインで [Fabric Membership(ファブリック メンバーシップ)]を選択します。

ステップ 3

[作業(Work)] ペインで、安全に消去するスイッチ(ノード)を右クリックし、 [デコミッション(Decommission)]を選択します。

ステップ 4

  [デコミッション(Decommission)] ダイアログボックスで、 [デコミッションと安全な削除(Decommission & Secure Remove)]を選択します。

ステップ 5

  [OK]をクリックします。

デコミッション プロセスには、スイッチと SSD のタイプに応じて 2 ~ 8 時間かかります。このプロセスにより、スイッチが安全に消去され、スイッチ設定が Cisco Application Policy Infrastructure ControllerAPIC)から削除されます。安全な消去プロセスでは、ブートフラッシュの NX-OS イメージは削除されません。スイッチを手動で再登録するまで、スイッチはファブリックに参加できません。

安全な消去操作が完了すると、スイッチが再起動します。IP アドレスに到達できないため、スイッチに接続するには、端末コンソールを使用する必要があります。

GUI を使用して Cisco Nexus 9000 モジュラ スイッチ ラインカードのモジュールからユーザー データを安全に消去する

GUI を使用して Cisco Nexus 9000 モジュラ スイッチ ラインカードのモジュールからユーザー データを安全に消去するには、次の手順に従います。

手順

ステップ 1

メニュー バーで、 [ファブリック(Fabric)] > [インベントリ(Inventory)]を選択します。

ステップ 2

[ナビゲーション(Navigation)] ペインで pod_id > node_id > [シャーシ(Chassis)] > [ライン モジュール(Line Modules)] > slot_idを選択します。

ステップ 3

スロット ID を右クリックし、 [無効化(Disable)]を選択します。

ステップ 4

  [無効化(Disable)] ダイアログで、 [安全消去(Secure Erase)]をクリックします。

デコミッション プロセスには、スイッチと SSD のタイプに応じて 30 分 ~ 2 時間かかります。このプロセスにより、スイッチのモジュールからデータが安全に消去され、モジュールの設定が Cisco Application Policy Infrastructure ControllerAPIC)から削除されます。このプロセスでは、ブートフラッシュから NX-OS イメージは削除されません。

安全な消去操作が完了すると、モジュールはパワーダウン状態になります。IP アドレスに到達できないため、スイッチに接続するには、端末コンソールを使用する必要があります。

スイッチの CLI を使用して Cisco Nexus 9000 スイッチからユーザー データを安全に消去する

スイッチの CLI を使用して Cisco Nexus 9000 スイッチからユーザー データを安全に消去するには、次の手順を使用します。この手順を Cisco Application Policy Infrastructure ControllerAPIC)のCLI を使用して実行することはできません。

始める前に

CLI を使用して安全な消去操作を実行する前に、スイッチをデコミッションするか、スイッチをファブリックから物理的に切断します。スイッチをデコミッションしないか、スイッチをファブリックから物理的に切断しないと、安全な消去プロセスが完了した後に、 Cisco APIC から構成がスイッチに再度プッシュされます。

手順

ステップ 1

スイッチの CLI にログインします。

ステップ 2

仮想シェルに入ります。

leaf1# vsh

ステップ 3

ターミナルのセッション タイムアウトを無効化します。

leaf1# terminal session-timeout 0

タイムアウトを無効にしないと、安全な消去が完了してステータスを提示できるようになる前に、VSH セッションがタイムアウトして終了する可能性があります。

ステップ 4

スイッチを工場出荷時の設定にリセットします。これにより、スイッチからデータが安全に消去されます。

leaf1# factory-reset [preserve-image] [module module_number]

  • preserve-image: スイッチのブートフラッシュに NX-OS イメージを保持するには、このフラグを指定します。このフラグを指定しなかった場合、NX-OS イメージも消去され、スイッチはローダー プロンプトで起動します。

  • module module_number: :モジュラ スイッチ ラインカードおよびファブリック モジュールの場合、安全な消去を実行するモジュールの番号を指定する必要があります。

非モジュラ スイッチの場合、スイッチと SSD のタイプに応じて、デコミッション プロセスには 2 ~ 8 時間かかります。このプロセスにより、スイッチが安全に消去され、スイッチ設定が Cisco Application Policy Infrastructure ControllerAPIC)から削除されます。安全な消去プロセスでは、ブートフラッシュから NX-OS イメージは削除されません。スイッチを手動で再登録するまで、スイッチはファブリックに参加できません。

安全な消去操作が完了すると、スイッチが再起動します。IP アドレスに到達できないため、スイッチに接続するには、端末コンソールを使用する必要があります。

モジュラ スイッチ ラインカードまたはファブリック モジュールの場合、デコミッション プロセスには、スイッチと SSD のタイプに応じて 30 分から 2 時間かかります。このプロセスにより、スイッチのモジュールからデータが安全に消去され、モジュールの設定が Cisco APICから削除されます。このプロセスでは、ブートフラッシュから NX-OS イメージは削除されません。

安全な消去操作が完了すると、モジュールはパワーダウン状態になります。IP アドレスに到達できないため、スイッチに接続するには、端末コンソールを使用する必要があります。