EPG

この章で説明する内容は、次のとおりです。

エンドポイント グループについて

エンドポイント グループ

エンドポイント グループ(EPG)は、ポリシー モデルの最も重要なオブジェクトです。次の図は、管理情報ツリー(MIT)内のアプリケーション EPG の場所とテナント内の他のオブジェクトとの関係を示します。
図 1. エンドポイント グループ


EPG は、エンドポイントの集合を含む名前付き論理エンティティである管理対象オブジェクトです。エンドポイントは、ネットワークに直接的または間接的に接続されるデバイスです。エンドポイントには、アドレス(ID)、ロケーション、属性(バージョンやパッチ レベルなど)があり、物理または仮想にできます。エンドポイントのアドレスを知ることで、他のすべての ID の詳細にアクセスすることもできます。EPG は、物理および論理トポロジから完全に分離されます。エンドポイントの例には、インターネット上のサーバ、仮想マシン、ネットワーク接続ストレージ、またはクライアントが含まれます。EPG 内のエンドポイント メンバシップは、ダイナミックまたはスタティックにできます。

ACI ファブリックには、次のタイプの EPG を含めることができます。

  • アプリケーション エンドポイント グループ(fvAEPg

  • レイヤ 2 外部外側ネットワーク インスタンスのエンドポイント グループ(l2extInstP

  • レイヤ 3 外部外側ネットワーク インスタンスのエンドポイント グループ(</l3extInstP>を参照)

  • アウトオブバンド(mgmtOoB)またはインバンド アクセス(mgmtInB)用の管理エンドポイント グループ

EPG には、セキュリティ、仮想マシンのモビリティ(VMM)、QoS、レイヤ 4 ~レイヤ 7 サービスなどの共通のポリシー要件を持つエンドポイントが含まれます。エンドポイントは個別に設定および管理されるのではなく、EPG 内に配置され、グループとして管理されます。

ポリシーは EPG に適用されます。個々のエンドポイントに適用されることは絶対にありません。EPG は、APIC において管理者により静的に設定されるか、vCenter または OpenStack などの自動システムによって動的に設定されます。


(注)  
EPG がスタティック バインディング パスを使用する場合、この EPG に関連付けられるカプセル化 VLAN はスタティック VLAN プールの一部である必要があります。IPv4/IPv6 デュアルスタック構成の場合、IP アドレスのプロパティは、 fvStIp 子プロパティにあります。これは、 fvStCEp MO の子プロパティです。IPv4 および IPv6 アドレスをサポートする複数の fvStIp を 1 つの fvStCEp オブジェクト下に追加できます。ACI を、IPv4 のみのファームウェアから、IPv6 をサポートするバージョンのファームウェアにアップグレードすると、既存の IP プロパティが fvStIp MO の子プロパティです。

EPG の構成内容にかかわらず、含まれるエンドポイントに EPG ポリシーが適用されます。

ファブリックへの WAN ルータ接続は、静的 EPG を使用する構成の 1 つの例です。ファブリックへの WAN ルータ接続を構成するには、関連付けられている WAN サブネット内のエンドポイントを含む管理者が l3extInstP EPG を構成します。ファブリックは、エンドポイントの接続ライフサイクルが経過する間に、検出プロセスを通して EPG のエンドポイントについて学習します。エンドポイントを学習すると、ファブリックは、それに基づいて </l3extInstP> EPG ポリシーを適用します。たとえば、 WAN接続されたクライアントがアプリケーション(fvAEPg) EPG内のサーバとの TCP セッションを開始する場合、 </l3extInstP> EPG は、 fvAEPg EPG Web サーバとの通信が開始しする前に、そのクライアント エンドポイントにポリシーを適用します。クライアント サーバ TCP セッションが終わり、クライアントとサーバの間の通信が終了すると、そのエンドポイントはもうファブリック内に存在しません。


(注)  

EPG の下で [静的バインディング(リーフ スイッチ)(static binding (leaf switches))] のためにリーフ スイッチが構成されている場合、次の制約事項が適用されます:

  • 静的バインディングを静的経路で上書きすることはできません。

  • そのスイッチのインターフェイスをルーテッド外部ネットワーク(L3out)設定に使用することはできません。

  • そのスイッチのインターフェイスに IP アドレスを割り当てることはできません。

VMware vCenter への仮想マシン管理接続は、ダイナミック EPG を使用する設定の 1 つの例です。ファブリックで仮想マシン管理ドメインが設定されると、vCenter は、必要に応じて仮想マシン エンドポイントを開始、移動、シャットダウンさせることのできる EPG の動的設定をトリガーします。

EPG シャットダウンでの ACI ポリシー設定

EPG がシャットダウン モードの場合、EPG に関連する ACI ポリシー設定はすべてのスイッチから削除されます。EPG はすべてのスイッチから削除されます。EPG が ACI データ ストアに存在している間は、非アクティブ モードになります。APIC GUI で、EPG をサービスから削除するチェックボックスをオンにすることができます。


(注)  

シャットダウン モードの EPG に接続されているホストは、EPG との間で送受信できません。

アクセス ポリシーによる VLAN から EPG への自動割り当て

テナント ネットワーク ポリシーがファブリックのアクセス ポリシーと別に構成される一方で、テナント ポリシーの基盤となるアクセス ポリシーが整わないとテナント ポリシーはアクティブ化されません。ファブリック アクセス外向きインターフェイスは、仮想マシン コントローラなどの外部デバイス、ハイパーバイザ、ホスト、ルータ、またはファブリック エクステンダ (FEX) と接続します。アクセス ポリシーにより、管理者はポート チャネルおよび仮想ポート チャネル、LLDP、CDP、LACP などのプロトコル、モニタリングや診断などの機能を構成することができます。

図 2. アクセス ポリシーとエンドポイント グループの関連付け

ポリシー モデルでは、vlan の Epg 緊密に結合されています。トラフィックが流れるようにするには、物理、VMM、L2out、L3out、またはファイバ チャネル ドメイン内に VLAN を持つリーフ ポートに EPG を展開する必要があります。詳細については、次を参照してください。 ネットワーク ドメインを参照してください。

ポリシー モデルでは、EPG に関連付けられているドメイン プロファイルには、VLAN インスタンス プロファイルが含まれています。ドメイン プロファイルには、両方の VLAN インスタンス プロファイル (VLAN プール) および attacheable アクセス エンティティ プロファイル (AEP) アプリケーション Epg に直接と関連付けられているが含まれています。AEP は、すべてのポートの [接続されている、および Vlan の割り当てのタスクを自動化するに関連付けられているアプリケーション Epg を展開します。大規模なデータセンター数千の Vlan の数百のプロビジョニング仮想マシンのアクティブなは簡単に、中に ACI ファブリックは VLAN プールから、VLAN Id を自動的に割り当てることができます。これは、膨大な従来データセンターで Vlan をトランキングと比較して、時間を節約できます。

VLAN の注意事項

EPG トラフィックがフローは、Vlan の設定には次のガイドラインを使用します。

  • 複数のドメインは、VLAN プールを共有できますが、1 つのドメインは、1 つの VLAN プールにのみ使用できます。

  • 1 つのリーフ スイッチで同じ VLAN のカプセル化を複数の Epg を展開するには、 ポート単位の VLANを参照してください。

ポート単位の VLAN

次の図と同様、ポート単位の VLAN 構成で、特定のリーフ スイッチ(または FEX)上に複数の EPG を同じ VLAN カプセル化で展開することができます:

ポート単位の VLAN 構成の注意事項

単一のリーフ スイッチ上で、同じカプセル化番号を使用する複数の EPG の展開を有効にするには、これらの注意事項が適用されます:

  • EPG は、さまざまなブリッジ ドメインに関連付けられている必要があります。

  • EPG は、さまざまなポートに展開する必要があります。

  • ポートと EPG の両方が、VLAN 番号が含まれている VLAN プールに関連付けられている同じドメインに関連付けられている必要があります。

  • ポートを portLocal VLAN スコープと構成する必要があります。

  • EPG に複数の物理ドメインがあり、VLAN プールが重複している場合は、EPG をポートに展開するために使用される AEP に複数のドメインを追加しないでください。これにより、トラフィック転送の問題が回避されます。

  • EPG に重複する VLAN プールを持つ物理ドメインが 1 つしかない場合、複数のドメインを単一の AEP に関連付けることができます。

たとえば、上の図の ポート 3 と 9 上に展開されている EPG のポート単位の VLAN で、両方が VLAN-5 を使用していれば、ポート 3 と EPG1 は Dom1 (プール 1) に、ポート 9 と EPG2 は Dom2 (プール 2) に関連付けられます。

ポート 3 からのトラフィックは EPG1 に関連付けられ、ポート 9 からのトラフィックは EPG2 に関連付けられます。

これは、外部レイヤ 3 外部接続用に設定されたポートには適用されません。

ポート単位の VLAN 構成の制限事項

単一のリーフ スイッチ上で、同じカプセル化番号を使用する複数の EPG の展開を有効にするには、これらの制限事項が適用されます:

  •   vlanScopeportlocal に設定されているポートのみが入力方向と出力方向の両方で個別の(ポート、VLAN)変換エントリを割り当てることができます。特定のポートで vlanScope に設定 portGlobal (デフォルト)に設定されている場合には、EPG で使用される各 VLAN は、特定のリーフ スイッチ上で一意のものである必要があります。

  • マルチ スパニング ツリー(MST)で構成されているインターフェイス上では、ポート単位の VLAN はサポートされていません。このツリーでは、VLAN ID が 1 つのリーフ スイッチ上で一意であること、そして VLAN の範囲がグローバルであることを必要とするからです。

  • 2 つのインターフェイスがポート単位の VLAN 構成で有効になっている場合、同じ VLAN プールを構成することはできません。

  • 同じ VLAN プールで複数のインターフェイスを構成することはできません。

  •   APICに最大 2^24 の VLAN を持つことができます。したがって、 VLAN プール サイズを単一のリーフスイッチに EPG を展開するために必要な VLAN の数に制限することをお勧めします。

同じリーフ スイッチで EPG に使用されていた VLAN 番号の再利用

以前に、リーフ スイッチのポートに展開されている EPG 用に VLAN を構成していて、同じ VLAN 番号を同じリーフ スイッチの異なるポートの異なる EPG で再利用する場合には、中断なしでセットアップできるようにするため、次の例に示すようなプロセスに従ってください。

この例では、EPG は以前、9 ~ 100 の範囲の VLAN プールを含むドメインに関連付けられていたポートに展開されていました。ここで、9 ~ 20 からの VLAN カプセル化を使用する EPG を構成したいとします。

  1. 異なるポート (たとえば、9 ~ 20 の範囲) で新しい VLAN プールを設定します。

  2. ファイアウォールに接続されているリーフ ポートを含む新しい物理的なドメインを設定します。

  3. ステップ 1 で設定した VLAN プールに物理的なドメインを関連付けます。

  4. VLAN スコープをリーフ ポート用の portLocal として構成します。

  5. 新しい EPG(この例ではファイアウォールが使用するもの)を、ステップ 2 で作成した物理ドメインに関連付けます。

  6. リーフ ポートで EPG を展開します。

vPC に展開された EPG の VLAN ガイドライン

図 3. vPC の 2 つのレッグの VLAN

EPG を vPC に展開する場合は、vPC の 2 つのレッグのリーフ スイッチ ポートに割り当てられた同じドメイン(同じ VLAN プール)に関連付ける必要があります。

この図では、EPG A は、リーフ スイッチ 1 およびリーフ スイッチ 2 のポートに展開されている vPC に展開されています。2 本のリーフ スイッチ ポートおよび EPG は、すべて同じ VLAN プールが含まれている同じドメインに関連付けられています。

特定のポートに EPG を導入する

GUI を使用して特定のノードまたはポートへ EPG を展開する

始める前に

EPG を導入するテナントがすでに作成されていること。

特定のノードまたはノードの特定のポートで、EPG を作成することができます。

手順

ステップ 1

Cisco APIC にログインします。

ステップ 2

移行方法 [テナント(Tenants)] > [テナント(tenant)]を選択します。

ステップ 3

左側のナビゲーション ウィンドウで、 [テナント(tenant)][アプリケーション プロファイル(Application Profiles)]、および [アプリケーション プロファイル(application profile)]を展開します。

ステップ 4

  [アプリケーション EPG(Application EPGs)] を右クリックし、 [アプリケーション EPG の作成(Create Application EPG)]を表示します。

ステップ 5

次に [アプリケーション EPG の作成ステップ 1(IDCreate Application EPG STEP 1)] > [アイデンティティ(Identity)] ダイアログ ボックスで、次の手順を実行します:

  1. リスト [名前(Name)] フィールドに、EPG の名前を入力します。

  2.   [ブリッジ ドメイン(Bridge Domain)] ドロップダウン リストで、ドメインを選択します。

  3.   [リーフ/パスとの静的リンク(Statically Link with Leaves/Paths)] チェックボックスをオンにします。

    このチェック ボックスを使用して、どのポートに EPG を導入するかを指定できます。

  4. [削除(Delete)] を [Next] をクリックします。をクリックします。

  5.   [パス(Path)] ドロップダウンリストから、宛先 EPG への静的パスを選択します。

ステップ 6

  [アプリケーション EPG の作成ステップ 2(Create Application EPG STEP 2)] > [リーフ/パス(Leaves/Paths)] ダイアログ ボックスで、 [物理ドメイン(Physical Domain)] ドロップダウン リストで、物理ドメインを選択します。

ステップ 7

次のいずれかの手順を実行します:

オプション 説明
次のものに EPG を展開する場合、 次を実行します。
ノード

  1. 次の展開 脱退 できます。

  2.   [ノード(Node)] ドロップダウン リストから、ノードを選択します。

  3.   [カプセル化(Encap)] フィールドで、適切な VLAN を入力します。

  4. (オプション) [展開の緊急性(Deployment Immediacy)] ドロップダウン リストから、デフォルトの [オンデマンド(On Demand)] の受け入れまたは、 [即時(Immediate)]の選択をします。

  5. (オプション)[モード(Mode)] ドロップダウン リストで、デフォルトの [トランク(Trunk)] を受け入れるか、または別のモードを選択します。

ノード上のポート

  1.   [パス(Paths)] エリアを展開します。

  2.   [パス(Path)] ドロップダウン リストから、適切なノードおよびポートを選択します。

  3. (オプション) [展開の緊急性(Deployment Immediacy)] フィールドのドロップダウン リストから、デフォルトの [オンデマンド(On Demand)] の受け入れまたは、 [即時(Immediate)]の選択をします。

  4. (オプション)[モード(Mode)] ドロップダウン リストで、デフォルトの [トランク(Trunk)] を受け入れるか、または別のモードを選択します。

  5.   [ポート カプセル化(Port Encap)] フィールドに、展開するセカンダリ VLAN を入力します。

  6. (オプション) [プライマリ カプセル化(Primary Encap)] フィールドで、展開するプライマリ VLAN を入力します。

ステップ 8

  [更新(Update)] をクリックし、 [終了(Finish)]をクリックします。

ステップ 9

左側のナビゲーション ペインで、作成した EPG を展開します。

ステップ 10

次のいずれかの操作を実行します:

  • ノードで EPG を作成した場合は、 [静的リーフ(Static Leafs)]をクリックし、作業ペインで、静的バインド パスの詳細を表示します。
  • ノードのポートで EPG を作成した場合は、 [静的ポート(Static Ports)]をクリックし、作業ペインで、静的バインド パスの詳細を表示します。

NX-OS スタイルの CLI を使用した APIC の特定のポートへの EPG の導入

この手順では、NX-OS スタイルの CLI を使用し、 Cisco Application Policy Infrastructure ControllerAPIC)の特定のポートに EPG を展開します。


(注)  

  Cisco APICでインターフェイスごとの設定を行う際に、GUI と CLI を混在させないでください。GUI で実行した構成が、NX-OS スタイルの CLI では部分的にしか扱えない場合があります。

手順

ステップ 1

VLAN ドメインを構成します。

例:


apic1(config)# vlan-domain dom1
apic1(config-vlan)# vlan 10-100

ステップ 2

テナントを作成します。

例:


apic1# configure
apic1(config)# tenant t1

ステップ 3

プライベート ネットワーク/VRF を作成します。

例:


apic1(config-tenant)# vrf context ctx1
apic1(config-tenant-vrf)# exit

ステップ 4

ブリッジ ドメインを作成します。

例:


apic1(config-tenant)# bridge-domain bd1
apic1(config-tenant-bd)# vrf member ctx1
apic1(config-tenant-bd)# exit

ステップ 5

アプリケーション プロファイルおよびアプリケーション EPG を作成します。

例:


apic1(config-tenant)# application AP1
apic1(config-tenant-app)# epg EPG1
apic1(config-tenant-app-epg)# bridge-domain member bd1 
apic1(config-tenant-app-epg)# exit
apic1(config-tenant-app)# exit
apic1(config-tenant)# exit

ステップ 6

EPG を特定のポートに関連付けます。

例:


apic1(config)# leaf 1017
apic1(config-leaf)# interface ethernet 1/13
apic1(config-leaf-if)# vlan-domain member dom1
apic1(config-leaf-if)# switchport trunk allowed vlan 20 tenant t1 application AP1 epg EPG1

(注)  

 

例に示した vlan-domain コマンドと vlan-domain member コマンドは、ポートに EPG を導入するための前提条件です。

特定のポートに EPG を導入するためのドメイン、接続可能アクセス エンティティ プロファイル、および VLAN の作成

特定のポートに EPG を導入するためのドメイン、接続可能アクセス エンティティ プロファイル、および VLAN の作成

このトピックでは、特定のポートに EPG を導入する場合に必須である物理ドメイン、接続可能アクセス エンティティ プロファイル(AEP)、および VLAN を作成する方法の典型的な例を示します。

すべてのエンドポイント グループ(EPG)にドメインが必要です。また、インターフェイス ポリシー グループを接続可能アクセス エンティティ プロファイル(AEP)に関連付ける必要があり、AEP と EPG が同じドメインに存在する必要がある場合は、AEP をドメインに関連付ける必要があります。EPG とドメイン、およびインターフェイス ポリシー グループとドメインの関連付けに基づいて、EPG が使用するポートと VLAN が検証されます。以下のドメイン タイプが EPG に関連付けられます。

  • アプリケーション EPG

  • レイヤ 3 Outside 外部ネットワーク インスタンス EPG

  • レイヤ 2 Outside 外部ネットワーク インスタンス EPG

  • アウトオブバンドおよびインバンド アクセスの管理 EPG

APIC は、これらのドメイン タイプのうち 1 つまたは複数に EPG が関連付けられているかどうかを確認します。EPG が関連付けられていない場合、システムは設定を受け入れますが、エラーが発生します。ドメインの関連付けが有効でない場合、導入された設定が正しく機能しない可能性があります。たとえば、VLAN のカプセル化を EPG で使用することが有効でない場合、導入された設定が正しく機能しない可能性があります。


(注)  

静的バインドのない AEP との EPG アソシエーションは、EPG を AEP の下の [トランク(Trunk)] として構成し、一方のエンド ポイントを同じ EPG でタギングをサポートし、他方のエンド ポイントを同じ EPG でタギングをサポートしないものにしたシナリオでは、機能しません。EPG で AEPを関連付ける際には、トランク、アクセス(タグ付き)、またはアクセス(タグなし)として設定できます。

GUI を使用して特定のポートに EPG を展開するためのドメインおよび VLAN の作成

始める前に

  • EPG を導入するテナントがすでに作成されていること。

  • EPG は特定のポートに静的に導入されます。

手順

ステップ 1

メニュー バーで、 [ファブリック(Fabric)] > [アクセス ポリシー(Access Policies)]を選択します。

ステップ 2

次に [ナビゲーション(Navigation)] ペインで、 [クイック スタート(Quick Start)]を選択します。

ステップ 3

  [作業(Work)] ペインで、 [インターフェイスの構成(Configure Interfaces)]を選択します。

ステップ 4

  [インターフェイスの構成(Configure Interfaces)] ダイアログで、次の操作を実行します:

  1.   [ノード タイプ(Node Type)]については、 [リーフ(Leaf)]をクリックします。

  2.   [ポート タイプ(Port Type)]の場合、 [アクセス(Access)]をクリックします。

  3.   [インターフェイス タイプ(Interface Type)]では、目的のタイプを選択します。

  4.   [インターフェイス集約タイプ(Interface Aggregation Type)]で、 [個別(Individual)]をクリックします。

  5.   [ノード(Node)]の場合、 [ノードの選択(Select Node)]をクリックし、目的のノードのボックスにチェックを入れて、 [OK] をクリックします。複数のノードを選択できます。

  6. APIC と CSSM 間の後続の通信では、 [すべてのスイッチのインターフェイス(Interfaces For All Switches)]目的のインターフェイスの範囲を入力します。

  7. APIC と CSSM 間の後続の通信では、 [リーフ アクセス ポート ポリシー グループ(Leaf Access Port Policy Group)]の場合、 [リーフ アクセス ポート ポリシー グループの選択(Select Leaf Access Port Policy Group)]をクリックします。

  8.   [リーフ アクセス ポート ポリシー グループの選択(Select Leaf Access Port Policy Group)] ダイアログでは、 [リーフ アクセス ポート ポリシー グループの作成(Create Leaf Access Port Policy Group)]

  9. 次に リーフ アクセス ポート ポリシー グループの作成 ダイアログで、 [リンク レベル ポリシー(Link Level Policy)]については、 [リンク レベル ポリシーの選択(Select Link Level Policy)]をクリックします。

  10. リンク レベル ポリシーを選択し、 [選択(Select)]をクリックするか、または [リンク レベル ポリシーの作成(Create Link Level Policy)]をクリックし、必要に応じてフィールドに入力し [保存(Save)]をクリックします。

  11.   [保存(Save)]をクリックします。

ステップ 5

以下のアクションを実行して、ドメインと VLAN プールを作成します。

  1.   [ナビゲーション(Navigation)] ペインで [物理ドメインと外部ドメイン(Physical and External Domains)]を展開します。

  2.   [物理ドメイン(Physical Domains)] を右クリックし、適切な [物理ドメインの作成(Create Physical Domain)]を選択します。

  3.   [名前(Name)]では、ブリッジ ドメインの名前を入力します。

  4.   [VLAN プール(VLAN Pool)]については、 [VLAN プールの作成(Create VLAN Pool)]を選択し、必要に応じてフィールドに入力し、 [送信(Submit)]をクリックします。

  5. 目的に応じて、残りのフィールドに入力します。

  6.   [送信(Submit)]をクリックします。

ステップ 6

メニュー バーで、 [テナント(Tenants)] > [すべてのテナント(All Tenants)]

ステップ 7

次に 作業 ペインで、目的のテナントをダブルクリックします。

ステップ 8

  [ナビゲーション(Navigation)] ペインで Tenant_name > [アプリケーション プロファイル(Application Profiles)] > profile_name > [アプリケーション EPG(Application EPGs)] > EPG_name を展開して、次のアクションを実行します:

  1.   [ドメイン(VM とベアメタル)(Domains(VMs and Bare-Metals))] を右クリックし、 [EPG と物理ドメインの関連付けの追加(Add Physical Domain Association)]を選択します。

  2. 次に [EPG と物理ドメインの関連付けの追加(Add Physical Domain Association)] ダイアログで、 [物理ドメイン プロファイル(Physical Domain Profile)] ドロップダウン リストから、作成したドメインを選択します。

  3.   [送信(Submit)]をクリックします。

    AEP は、ノード上の特定のポート、およびドメインに関連付けられます。物理ドメインは VLAN プールに関連付けられ、テナントはこの物理ドメインに関連付けられます。

スイッチ プロファイルとインターフェイス プロファイルが作成されます。インターフェイス プロファイルのポート ブロックにポリシー グループが作成されます。AEP が自動的に作成され、ポート ブロックおよびドメインに関連付けられます。ドメインは VLAN プールに関連付けられ、テナントはドメインに関連付けられます。

NX-OS スタイルの CLI を使用した、EPG を特定のポートに導入するための AEP、ドメイン、および VLAN の作成

始める前に

  • EPG を導入するテナントがすでに作成されていること。

  • EPG は特定のポートに静的に導入されます。

手順

ステップ 1

VLAN ドメインを作成し、VLAN 範囲を割り当てます。

例:


apic1(config)# vlan-domain domP
apic1(config-vlan)# vlan 10
apic1(config-vlan)# vlan 25
apic1(config-vlan)# vlan 50-60
apic1(config-vlan)# exit

ステップ 2

インターフェイス ポリシー グループを作成し、そのポリシー グループに VLAN ドメインを割り当てます。

例:


apic1(config)# template policy-group PortGroup
apic1(config-pol-grp-if)# vlan-domain member domP

ステップ 3

リーフ インターフェイス プロファイルを作成し、そのプロファイルにインターフェイス ポリシー グループを割り当てて、そのプロファイルを適用するインターフェイス ID を割り当てます。

例:


apic1(config)# leaf-interface-profile InterfaceProfile1
apic1(config-leaf-if-profile)# leaf-interface-group range
apic1(config-leaf-if-group)# policy-group PortGroup    
apic1(config-leaf-if-group)# interface ethernet 1/11-13
apic1(config-leaf-if-profile)# exit

ステップ 4

リーフ プロファイルを作成し、そのリーフ プロファイルにリーフ インターフェイス プロファイルを割り当てて、そのプロファイルを適用するリーフ ID を割り当てます。

例:


apic1(config)# leaf-profile SwitchProfile-1019          
apic1(config-leaf-profile)# leaf-interface-profile InterfaceProfile1 
apic1(config-leaf-profile)# leaf-group range                         
apic1(config-leaf-group)# leaf 1019                                
apic1(config-leaf-group)# 

重複する VLAN の検証

このグローバル機能は、単一の EPG での重複する VLAN プールの関連付けを防止します。APIC のいずれかの EPG で重複するプールが割り当てられている場合、この機能は有効にできません(有効にしようとするとエラーが表示されます)。既存の重複プールが存在しない場合は、この機能を有効にできます。有効にすると、EPG にドメインを割り当てることを試行し、そのドメインに、EPG にすでに関連付けられている別のドメインと重複する VLAN プールが含まれていた場合、設定はブロックされます。

重複する VLAN プールが EPG の下に存在する場合、各スイッチによって EPG に割り当てられる FD VNID は非確定的になり、異なるスイッチが異なる VNID を割り当てる場合があります。これにより、vPC ドメイン内のリーフ間で EPM 同期が失敗する可能性が生じます(EPG 内のすべてのエンドポイントの接続が断続的になります)。また、ユーザーが EPG 間で STP を拡張している場合、FDVNID の不一致によりスイッチ間で BPDU がドロップされるため、ブリッジング ループが発生する可能性もあります。

GUI を使用した重複 VLAN の検証

この手順では、APIC GUI を使用して VLAN のオーバーラップの検証を設定する例を示します。

手順

ステップ 1

メニュー バーで、 [システム(System)] > [システム設定(System Settings)]を選択します。

ステップ 2

[ナビゲーション(Navigation)] ペインで [ファブリック全体の設定(Fabric Wide Setting)]を選択します。

ステップ 3

作業ペインで、 [EPG VLAN 検証の実施(Enforce EPG VLAN Validation)]を見つけてチェックします。

(注)  

 

重複する VLAN プールがすでに存在し、このパラメータがオンになっている場合、システムはエラーを返します。この機能を選択する前に、EPG に重複しない VLAN プールを割り当てる必要があります。

このパラメータをオンにして、重複する VLAN プールを EPG に追加しようとすると、エラーが返されます。

ステップ 4

[削除(Delete)] を 送信

添付されているエンティティ プロファイルで複数のインターフェイスに EPG を導入する

AEP を使用してアプリケーション EPG を複数のポートに展開する

APIC GUI と REST API を使用して、接続可能エンティティ プロファイルをアプリケーション EPG に直接関連付けることができます。これにより、単一の構成の接続可能エンティティ プロファイルに関連付けられたすべてのポートに、関連付けられたアプリケーション EPG を導入します。

APIC GUI を使用した AEP による複数のインターフェイスへの EPG の導入

アプリケーション EPG を接続可能アクセス エンティティ プロファイルに関連付けて、その接続可能アクセス エンティティ プロファイルに関連付けられたすべてのポートに EPG を導入することができます。

始める前に

  • ターゲット アプリケーション EPG が作成されている。

  • AEP での EPG 導入に使用する VLAN の範囲が含まれている VLAN プールが作成されている。

  • 物理ドメインが作成され、VLAN プールと AEP にリンクされている。

  • ターゲットの接続可能アクセス エンティティ プロファイルが作成され、アプリケーション EPG を導入するポートに関連付けられている。

  • Cisco APIC 6.1(3) よりも前は、アクセス ポリシー階層を介してのみ、アプリケーションを接続可能アクセス エンティティ プロファイルに関連付けることができました。Cisco APIC 6.1(3) 以降は、テナント階層またはアクセス ポリシー階層を介して、アプリケーションを接続可能アクセス エンティティ プロファイルに関連付けることができるようになりました。


    (注)  

    これらの特定の階層のいずれかを使用して AEP アタッチメントを作成する場合は、後続の変更操作も、作成された階層でのみ実行する必要があります。操作に重複がある場合、Cisco APIC はこの設定を拒否します。

手順

ステップ 1

次のいずれかの方法を使用して、アプリケーション EPG を接続可能アクセス エンティティ プロファイルに関連付けることができます。

  1. 使用するアプリケーション EPG のページを開きます。GUIで、 [テナント(Tenant)]> tenant-name> [アプリケーション プロファイル(Application Profiles)]> <epgName> > [静的 AAEP(Static AAEP)]の順にクリックします。

  2. 次に [静的 AAEP(Static AAEP)] ウィンドウで、ターゲット接続可能なアクセス エンティティ プロファイルをアプリケーション EPG に関連付けます。

フィールド アクション(Action)
名前

AEP の名前を選択します。

Encap

ターゲット アプリケーション EPG の通信に使用される VLAN の ID を入力します。

Primary Encap

(オプション)アプリケーション EPG にプライマリ VLAN が必要な場合は、プライマリ VLAN の ID を入力します。

展開の緊急性

  [展開の緊急性(Deployment Immediacy)] フィールドで、デフォルトの [オンデマンド(On Demand)] を選択するか、 [即時(Immediate)]を選択します。

モード(Mode)

データを送信するモードを指定します:

  • [トランク(Trunk)] :ホストからのトラフィックに VLAN ID がタグ付けされている場合に選択します。

  • [トランク(ネイティブ)(Trunk(Native))] :ホストからのトラフィックに 802.1p タグがタグ付けされている場合に選択します。

  • [アクセス(タグなし)(Access(Untagged))] :ホストからのトラフィックがタグ付けされていない場合に選択します。

ステップ 2

または、この方法を使用して、アプリケーション EPG を接続エンティティ プロファイルに関連付けます。

  1. 使用する接続可能アクセス エンティティ プロファイルのページを開きます。GUI で、 [ファブリック(Fabric)] > [アクセス ポリシー(Access Policies)] > [ポリシー(Policies)] > [グローバル(Global)] > [接続可能アクセス エンティティ プロファイル(Attachable Access Entity Profiles)] をクリックします。

  2. ターゲットの接続エンティティ プロファイルをクリックして、[接続可能アクセス エンティティ プロファイル(Attachable Access Entity Profiles)] ウィンドウを開きます。

  3. [削除 使用状況の表示 ボタンをクリックして、この接続可能アクセス エンティティ プロファイルに関連付けられたリーフ スイッチとインターフェイスを表示します。

    この接続エンティティ プロファイルに関連付けられたアプリケーション EPG が、この接続エンティティ プロファイルに関連付けられたすべてのスイッチ上のすべてのポートに展開されます。

  4.   アプリケーション EPG テーブルに基づき、この接続可能アクセス エンティティ プロファイルにターゲット アプリケーション EPG を関連付けます。  [+] をクリックして、アプリケーション EPG エントリを追加します。各エントリに次のフィールドがあります。

フィールド アクション(Action)
Application EPG

ドロップダウンを使用して、関連付けられたテナント、アプリケーション プロファイル、およびターゲット アプリケーション EPG を選択します。

Encap

ターゲット アプリケーション EPG の通信に使用される VLAN ID の名前を入力します。

Primary Encap

(オプション)アプリケーション EPG にプライマリ VLAN が必要な場合は、プライマリ VLAN ID の名前を入力します。

モード

ドロップダウンを使用して、データを送信するモードを指定します。

  • [トランク(Trunk)] :ホストからのトラフィックに VLAN ID がタグ付けされている場合に選択します。

  • トランク(ネイティブ)(Trunk(Native)) ホストからのトラフィックに 802.1p タグがタグ付けされている場合に選択します。

  • アクセス(タグなし)(Access(Untagged)) :ホストからのトラフィックがタグ付けされていない場合に選択します。

ステップ 3

  [送信(Submit)]をクリックします。

この接続可能アクセス エンティティ プロファイルに関連付けられたアプリケーション EPG が、この接続可能アクセス エンティティ プロファイルに関連付けられたすべてのスイッチ上のすべてのポートに展開されます。

EPG 内の分離

EPG 内エンドポイント分離

EPG 内エンドポイント分離ポリシーにより、仮想エンドポイントまたは物理エンドポイントが完全に分離されます。分離を適用した状態で稼働している EPG 内のエンドポイント間の通信は許可されません。分離を適用した EGP では、多くのクライアントが共通サービスにアクセスするときに必要な EPG カプセル化の数は低減しますが、相互間の通信は許可されません。

EPG の分離は、すべての Cisco Application Centric InfrastructureACI)ネットワーク ドメインに適用されるか、どれにも適用されないかの、どちらかになります。  Cisco ACI ファブリックは接続エンドポイントに直接分離を実装しますが、ファブリックに接続されているスイッチはプライマリ VLAN(PVLAN)タグに従って分離規則を認識します。


(注)  
EPG 内エンドポイント分離を適用して EPG を設定した場合は、次の制限が適用されます。

  • 分離を適用した EPG 全体のすべてのレイヤ 2 エンドポイント通信がブリッジ ドメイン内にドロップされます。

  • 分離を適用した EPG 全体のすべてのレイヤ 3 エンドポイント通信が同じサブネット内にドロップされます。

  • トラフィックが、分離が適用されている EPG から分離が適用されていない EPG に流れている場合、QoS CoS の優先順位設定の保持はサポートされません。

BPDU は、EPG 内分離が有効になっている EPG を介して転送されません。したがって、 Cisco ACI上の独立した EPG にマッピングされている VLAN でスパニング ツリーを実行する外部レイヤ 2 ネットワークを接続すると、 は外部ネットワークのスパニング ツリーがレイヤ 2 ループを検出できなくなる可能性があります。 Cisco ACI は外部ネットワークのスパニング ツリーがレイヤ 2 ループを検出できなくなる可能性があります。この問題を回避するには、これらの VLAN 内の Cisco ACI と外部ネットワーク間に単一の論理リンクのみを設定します。

ベア メタル サーバの EPG 内分離

ベア メタル サーバの EPG 内分離

EPG 内エンドポイント分離のポリシーは、ベア メタル サーバなどの直接接続されているエンドポイントに適用できます。

次のような使用例があります。

  • バックアップ クライアントは、バックアップ サービスにアクセスするための通信要件は同じですが、相互に通信する必要はありません。

  • ロード バランサの背後にあるサーバの通信要件は同じですが、それらのサーバを相互に分離すると、不正アクセスや感染のあるサーバに対して保護されます。

図 4. ベア メタル サーバの EPG 内分離


ベア メタル の EPG 分離はリーフ スイッチで適用されます。ベア メタル サーバは VLAN カプセル化を使用します。ユニキャスト、マルチキャスト、およびブロードキャストのすべてのトラフィックが、分離が適用された EPG 内でドロップ(拒否)されます。ACI ブリッジ ドメインには、分離された EPG と通常の EPG を混在させることができます。分離された EPG それぞれには、VLAN 間トラフィックを拒否する複数の VLAN を指定できます。

GUI を使用したベア メタル サーバ の EPG 内分離の構成

EPG が使用するポートは、リーフ スイッチにベア メタル サーバを直接接続するために使用する物理ドメイン内のベア メタル サーバと関連付ける必要があります。

手順の概要

  1. テナントで、 [アプリケーション プロファイル(Application Profile)]を右クリックし、 [アプリケーション EPG の作成(Create Application EPG)] ダイアログ ボックスを開き、次の操作を実行します:
  2. 次に [リーフ/パス(Leaves/Paths)] ダイアログ ボックスで、次の操作を実行します:

手順の詳細

ステップ 1

テナントで、 [アプリケーション プロファイル(Application Profile)]を右クリックし、 [アプリケーション EPG の作成(Create Application EPG)] ダイアログ ボックスを開き、次の操作を実行します:

  1.   [名前(Name)] フィールドに、EPG の名前(intra_EPG-deny)を追加します。

  2.   [イントラ EPG 分離(Intra EPG Isolation)]の場合、 [適用(Enforced)]をクリックします。

  3. 次に [ブリッジ ドメイン(Bridge Domain)] フィールドで、ドロップダウン リストからブリッジ ドメイン(bd1)を選択します。

  4.   [リーフ/パスとの静的リンク(Statically Link with Leaves/Paths)] チェックボックスをオンにします。

  5.   [次へ(Next)]をクリックします。

ステップ 2

次に [リーフ/パス(Leaves/Paths)] ダイアログ ボックスで、次の操作を実行します:

  1.   [パス(Path)] セクションで、ドロップダウン リストからトランク モードでのパス(Node-107/eth1/16)を選択します。

    セカンダリ VLAN の [ポート カプセル化(Port Encap)] (vlan-102)を指定します。

    (注)  

     

    ベア メタル サーバがリーフ スイッチに直接接続されている場合、Port Encap のセカンダリ VLAN のみが指定されます。

    プライマリ VLAN の [プライマリ カプセル化(Primary Encap)] (vlan-103)を指定します。

  2.   [更新(Update)]をクリックします。

  3. 登録手続きを開始するには、 終了(Finish)

NX-OS スタイルの CLI を使用したベア メタル サーバ の EPG 内分離の設定

手順の概要

  1. CLI で、EPG 内分離 EPG を作成します。
  2. 設定を確認します。

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

CLI で、EPG 内分離 EPG を作成します。

例:

以下に、VMM ケースを示します。 
ifav19-ifc1(config)# tenant Test_Isolation  
ifav19-ifc1(config-tenant)# application PVLAN 
ifav19-ifc1(config-tenant-app)# epg EPG1 
ifav19-ifc1(config-tenant-app-epg)# show running-config  
# Command: show running-config 
tenant Test_Isolation
 application PVLAN epg EPG1   
  tenant Test_Isolation
     application PVLAN 
      epg EPG1 
        bridge-domain member BD1
        contract consumer bare-metal
        contract consumer default
        contract provider Isolate_EPG 
        isolation enforce   <---- This enables EPG isolation mode.
        exit
    exit
ifav19-ifc1(config)# leaf ifav19-leaf3
ifav19-ifc1(config-leaf)# interface ethernet 1/16
ifav19-ifc1(config-leaf-if)# show running-config 
ifav19-ifc1(config-leaf-if)# switchport trunk native vlan 101 tenant Test_Isolation application PVLAN epg StaticEPG primary-vlan 100
exit

ステップ 2

設定を確認します。

例:

 show epg StaticEPG detail
Application EPg Data: 
Tenant              : Test_Isolation 
Application         : PVLAN 
AEPg                : StaticEPG 
BD                  : BD1 
uSeg EPG            : no 
Intra EPG Isolation : enforced 
Vlan Domains        : phys 
Consumed Contracts  : bare-metal 
Provided Contracts  : default,Isolate_EPG 
Denied Contracts    :  
Qos Class           : unspecified 
Tag List            :   
VMM Domains: 
Domain                Type       Deployment Immediacy  Resolution Immediacy  State           Encap       Primary 
Encap  
 --------------------  ---------  --------------------  --------------------  --------------  ----------  ----------     
 DVS1                  VMware     On Demand             immediate             formed          auto        auto           
 
Static Leaves: 
 Node        Encap             Deployment Immediacy  Mode                Modification Time                
----------  ----------------  --------------------  ------------------  ------------------------------  
 
Static Paths: 
 Node        Interface                       Encap             Modification Time               
 ----------  ------------------------------  ----------------  ------------------------------  
 1018        eth101/1/1                      vlan-100          2016-02-11T18:39:02.337-08:00    
 1019        eth1/16                         vlan-101          2016-02-11T18:39:02.337-08:00   
 
Static Endpoints: 
 Node        Interface          Encap             End Point MAC      End Point IP Address          Modification Time               
 ----------  ------------------------------  ----------------  -----------------  ------------------------------  ------------------------------

VMware vDS の EPG 内分離

VMware VDS または Microsoft Hyper-V 仮想スイッチの EPG 分離

EPG 内分離は、同じベース EPG またはマイクロセグメント(uSeg)EPG にある物理または仮想エンドポイント デバイスが相互に通信しないようにするオプションです。デフォルトでは、同じ EPG に含まれるエンドポイント デバイスは互いに通信することができます。しかし、EPG内のエンドポイント デバイスの別のエンドポイント デバイスからの完全な分離が望ましい状況が存在します。たとえば、同じ EPG 内のエンドポイント VM が複数のテナントに属している場合、またはウイルスが広がるのを防ぐために、EPG 内の分離を実行することができます。

A Cisco Application Centric InfrastructureACI)仮想マシン マネージャ(VMM)ドメインは、EPG 内分離が有効になっている EPG ごとに、VMware VDS または Microsoft Hyper-V 仮想スイッチで分離 PVLAN ポート グループを作成します。ファブリック管理者がプライマリ カプセル化を指定するか、または EPG と VMM ドメインの関連付け時にファブリックが動的にプライマリ カプセル化を指定します。ファブリック管理者が VLAN pri 値とVLAN-sec 値を静的に選択すると、VMM ドメインによって VLAN-pri と VLAN-sec がドメイン プール内のスタティック ブロックの一部であることが検証されます。

プライマリ カプセル化は、EPG VLAN ごとに定義されます。EPG 内分離にプライマリ カプセル化を使用するには、次のいずれかの方法で展開する必要があります。

  • プライマリ VLAN とセカンダリ VLAN で定義されたポートを異なるスイッチに分離します。EPG VLAN はスイッチごとに作成されます。ポート カプセル化があり、EPG のスイッチ上のスタティック ポートのみの場合、プライマリ カプセル化は関連付けられません。

  • ポート カプセル化のみを使用するスタティック ポートには別のカプセル化を使用します。これにより、プライマリカプセル化が関連付けられていない2番目のEPG VLANが作成されます。

    次の例では、プライマリ VLAN-1103 を持つ 2 つのインターフェイス(Eth1/1、Eth1/3)の出力トラフィックを考慮します。Eth1/1ポート カプセル化が VLAN-1132 に(VLAN-1130 から)変更されたため、Eth1/3とセカンダリ VLAN を共有しません。 

    Port encap with VLAN-1130 on Eth1/1
Eth1/1: Port Encap only VLAN-1130
Eth1/6: Primary VLAN-1103 and Secondary VLAN-1130


fab2-leaf3# show vlan id 53 ext

VLAN Name                             Encap            Ports
---- -------------------------------- ---------------- ------------------------
53   JT:jt-ap:EPG1-1                  vlan-1130        Eth1/1, Eth1/3

module-1# show sys int eltmc info vlan access_encap_vlan 1130
             vlan_id:             53   :::           isEpg:              1
          bd_vlan_id:             52   :::         hwEpgId:          11278
      srcpolicyincom:              0   :::       data_mode:              0
        accencaptype:              0   :::    fabencaptype:              2
       accencapval:           1130   :::     fabencapval:          12192
              sclass:          49154   :::         sglabel:             12
          sclassprio:              1   :::     floodmetptr:             13
          maclearnen:              1   :::       iplearnen:              1
         sclasslrnen:              1   :::   bypselffwdchk:              0
            qosusetc:              0   :::       qosuseexp:              0
            isolated:              1   :::   primary_encap:           1103
           proxy_arp:              0   :::       qinq core:              0
           ivxlan_dl:              0   :::       dtag_mode:              0
      is_service_epg:              0


    Port encap changed to VLAN-1132 on Eth1/1
fab2-leaf3# show vlan id 62 ext

VLAN Name                             Encap            Ports
---- -------------------------------- ---------------- ------------------------
62   JT:jt-ap:EPG1-1                  vlan-1132        Eth1/1

module-1# show sys int eltmc info vlan access_encap_vlan 1132
          [SDK Info]:
             vlan_id:             62   :::           isEpg:              1
          bd_vlan_id:             52   :::         hwEpgId:          11289
      srcpolicyincom:              0   :::       data_mode:              0
        accencaptype:              0   :::    fabencaptype:              2
        accencapval:           1132   :::     fabencapval:          11224
              sclass:          49154   :::         sglabel:             12
          sclassprio:              1   :::     floodmetptr:             13
          maclearnen:              1   :::       iplearnen:              1
         sclasslrnen:              1   :::   bypselffwdchk:              0
            qosusetc:              0   :::       qosuseexp:              0
            isolated:              1   :::   primary_encap:              0
           proxy_arp:              0   :::       qinq core:              0
           ivxlan_dl:              0   :::       dtag_mode:              0
      is_service_epg:              0

fab2-leaf3# show vlan id 53 ext

VLAN Name                             Encap            Ports
---- -------------------------------- ---------------- ------------------------
53   JT:jt-ap:EPG1-1                  vlan-1130        Eth1/3

module-1# show sys int eltmc info vlan access_encap_vlan 1130
          [SDK Info]:
             vlan_id:             53   :::           isEpg:              1
          bd_vlan_id:             52   :::         hwEpgId:          11278
      srcpolicyincom:              0   :::       data_mode:              0
        accencaptype:              0   :::    fabencaptype:              2
        accencapval:           1130   :::     fabencapval:          12192
              sclass:          49154   :::         sglabel:             12
          sclassprio:              1   :::     floodmetptr:             13
          maclearnen:              1   :::       iplearnen:              1
         sclasslrnen:              1   :::   bypselffwdchk:              0
            qosusetc:              0   :::       qosuseexp:              0
            isolated:              1   :::   primary_encap:           1103
           proxy_arp:              0   :::       qinq core:              0
           ivxlan_dl:              0   :::       dtag_mode:              0

(注)  

  • イントラ EPG 隔離が強制されない場合、設定で指定されていても VLAN-pri 値は無視されます。

  • EDM UCSM 統合を使用した VMware 分散仮想スイッチ(DVS)ドメインが失敗することがあります。ドメインに接続されているエンドポイント グループ(EPG)で EPG 内分離を設定し、プライベート VLAN をサポートしない UCSM Mini 6324 を使用すると、ドメインに障害が発生します。

BPDU は、EPG 内分離が有効になっている EPG を介して転送されません。したがって、 Cisco ACI 上の独立した EPG にマッピングされている VLAN でスパニング ツリーを実行する外部レイヤ 2 ネットワークを接続すると、 Cisco ACI は外部ネットワークのスパニング ツリーがレイヤ 2 ループを検出できなくなる可能性があります。この問題を回避するには、これらの VLAN 内の Cisco ACI と外部ネットワーク間に単一の論理リンクのみを設定します。

VMware VDS または Microsoft Hyper-V 仮想スイッチの VLAN-pri/VLAN-sec ペアは、EPG とドメインの関連付け中に VMM ドメインごとに選択されます。EPG 内隔離 EPG に作成されたポート グループは PVLANに設定されたタイプでタグ付けされた VLAN-sec を使用します。VMware VDS または Microsoft Hyper-V 仮想スイッチおよびファブリックは、VLAN-pri/VLAN-sec カプセル化をスワップします:

  •   Cisco ACI ファブリックから VMware VDS または Microsoft Hyper-V 仮想スイッチへの通信は VLAN-pri を使用します。

  • VMware VDS または Microsoft Hyper-V 仮想スイッチからCisco ACI ファブリックへの通信は VLAN-sec を使用します。

図 5. VMware VDS または Microsoft Hyper-V 仮想スイッチの EPG 分離


この図に関する次の詳細に注意してください:

  1. EPG-DB は、 Cisco ACI リーフ スイッチにパケットを転送します。  Cisco ACI 出力リーフ スイッチは、プライマリ VLAN(PVLAN)タグを使用してトラフィックをカプセル化し、Web-EPG エンドポイントに転送します。

  2. VMware VDS または、Microsoft Hyper-V 仮想スイッチは、トラフィックをVLAN -sec を使用して Cisco ACI リーフスイッチへ送信します。 Cisco ACI Web-EPG 内のすべての VLAN 内トラフィックに分離が適用されるため、リーフスイッチはすべての EPG 内トラフィックをドロップします。

  3. リーフ スイッチへの Cisco ACI VMware VDS または Microsoft Hyper-V 仮想スイッチ VLAN-sec アップリンクが分離トランク モードです。  Cisco ACI リーフ スイッチは、VMware VDS または Microsoft Hyper-V 仮想スイッチへのダウンリンク トラフィックに VLAN-pri を使用します。

  4. PVLAN マップは、VMware VDS または Microsoft Hyper-V 仮想スイッチおよび Cisco ACI リーフ スイッチで構成されます。WEB-EPG からのVMトラフィックは VLAN-sec 内でカプセル化されます。VMware VDS または Microsoft Hyper-V 仮想スイッチは PVLAN タグに従ってローカルの WEB 内 EPG VM トラフィックを拒否します。すべての内部 ESXi ホストまたは Microsoft Hyper-V ホスト VM トラフィックは、VLAN-Sec を使用して Cisco ACI リーフ スイッチに送信されます。

GUI を使用した VMware VDS または Microsoft Hyper-V の EPG 内分離の設定

手順の概要

  1. Cisco APIC にログインします。
  2. 移行方法 テナント > tenant
  3. 左側のナビゲーション ウィンドウで、 [アプリケーション プロファイル(Application Profiles)] フォルダと適切なアプリケーション プロファイルを展開します。
  4.   [アプリケーション EPG(Application EPGs)] フォルダを右クリックし、 [アプリケーション EPG の作成(Create Application EPG)]を選択します。
  5. 次に [アプリケーション EPG の作成(Create Application EPG)] ダイアログ ボックスで、次の手順を実行します:
  6. 次の [更新(Update)] をクリックし、 [終了(Finish)]を参照してください。

手順の詳細

ステップ 1

Cisco APIC にログインします。

ステップ 2

移行方法 テナント > tenant

ステップ 3

左側のナビゲーション ウィンドウで、 [アプリケーション プロファイル(Application Profiles)] フォルダと適切なアプリケーション プロファイルを展開します。

ステップ 4

  [アプリケーション EPG(Application EPGs)] フォルダを右クリックし、 [アプリケーション EPG の作成(Create Application EPG)]を選択します。

ステップ 5

次に [アプリケーション EPG の作成(Create Application EPG)] ダイアログ ボックスで、次の手順を実行します:

  1.   [名前(Name)] フィールドに EPG 名を追加します。

  2.   [イントラ EPG 分離(Intra EPG Isolation)] エリアで [適用(Enforced)]をクリックします。

  3.   [ブリッジ ドメイン(Bridge Domain)] フィールドで、ドロップダウン リストからブリッジ ドメインを選択します。

  4. EPG をベア メタル / 物理ドメイン インターフェイスまたは VM ドメインに関連付けます。

    • VM ドメインの場合は、 [VM ドメインプロファイルへの関連付け(Associate to VM Domain Profiles)] チェックボックスをオンにします。

    • ベア メタル ケースについては、 [リーフ/パスとの静的リンク(Statically Link with Leaves/Paths)] チェック ボックスをオンにします。

  5.   [次へ(Next)]をクリックします。

  6.   [関連付けられた VM ドメインプロファイル(Associated VM Domain Profiles)] エリアで、 [+] アイコン をクリックします。

  7. 次の [ドメイン プロファイル(Domain Profile)] のドロップダウン リストから、適切な VMM ドメインを選択します。

    静的なケースの場合、 [ポート Encap (または Micro-Seg のセカンダリ VLAN)(Port Encap (or Secondary VLAN for Micro-Seg))] フィールドで、セカンダリVLANを指定し、 [Micro-Segのプライマリ VLAN(Primary VLAN for Micro-Seg)] フィールドで、プライマリVLANを指定します。Encap フィールドを空白のままにすると、値がダイナミックに割り当てられます。

    (注)  

     
    vの場合、静的 VLAN を VLAN プールで使用できる必要があります。

ステップ 6

次の [更新(Update)] をクリックし、 [終了(Finish)]を参照してください。

NX-OS スタイル CLI を使用した VMware VDS または Microsoft Hyper-V の EPG 内分離の設定

手順の概要

  1. CLI で、EPG 内分離 EPG を作成します。
  2. 設定を確認します。

手順の詳細

ステップ 1

CLI で、EPG 内分離 EPG を作成します。

例:

次の例は、VMware VDS の場合です。 
apic1(config)# tenant Test_Isolation  
apic1(config-tenant)# application PVLAN 
apic1(config-tenant-app)# epg EPG1 
apic1(config-tenant-app-epg)# show running-config  
# Command: show running-config tenant Tenant_VMM application Web epg intraEPGDeny
  tenant Tenant_VMM
    application Web
      epg intraEPGDeny
        bridge-domain member VMM_BD
        vmware-domain member PVLAN encap vlan-2001 primary-encap vlan-2002 push on-demand
        vmware-domain member mininet
          exit
        isolation enforce
        exit
      exit
    exit
apic1(config-tenant-app-epg)#

例:

次の例は、Microsoft Hyper-V 仮想スイッチを示します。
apic1(config)# tenant Test_Isolation  
apic1(config-tenant)# application PVLAN 
apic1(config-tenant-app)# epg EPG1 
apic1(config-tenant-app-epg)# show running-config 
# Command: show running-config tenant Tenant_VMM application Web epg intraEPGDeny
  tenant Tenant_VMM
    application Web
      epg intraEPGDeny
        bridge-domain member VMM_BD
        microsoft-domain member domain1 encap vlan-2003 primary-encap vlan-2004
        microsoft-domain member domain2 
          exit
        isolation enforce
        exit
      exit
    exit
apic1(config-tenant-app-epg)#

ステップ 2

設定を確認します。

例:

 show epg StaticEPG detail
Application EPg Data: 
Tenant              : Test_Isolation 
Application         : PVLAN 
AEPg                : StaticEPG 
BD                  : VMM_BD 
uSeg EPG            : no 
Intra EPG Isolation : enforced 
Vlan Domains        : VMM 
Consumed Contracts  : VMware_vDS-Ext 
Provided Contracts  : default,Isolate_EPG 
Denied Contracts    :  
Qos Class           : unspecified 
Tag List            :   
VMM Domains: 
Domain                Type       Deployment Immediacy  Resolution Immediacy  State           Encap       Primary 
Encap  
 --------------------  ---------  --------------------  --------------------  --------------  ----------  ----------     
 DVS1                  VMware     On Demand             immediate             formed          auto        auto           
 
Static Leaves: 
 Node        Encap             Deployment Immediacy  Mode                Modification Time                
----------  ----------------  --------------------  ------------------  ------------------------------  
 
Static Paths: 
 Node        Interface                       Encap             Modification Time               
 ----------  ------------------------------  ----------------  ------------------------------  
 1018        eth101/1/1                      vlan-100          2016-02-11T18:39:02.337-08:00    
 1019        eth1/16                         vlan-101          2016-02-11T18:39:02.337-08:00   
 
Static Endpoints: 
 Node        Interface          Encap             End Point MAC      End Point IP Address          Modification Time               
 ----------  ------------------------------  ----------------  -----------------  ------------------------------  ------------------------------  
 
Dynamic Endpoints: 
Encap: (P):Primary VLAN, (S):Secondary VLAN 
 Node        Interface            Encap             End Point MAC      End Point IP Address         Modification Time               
 ----------  ------------------------------  ----------------  -----------------  ------------------------------  ------------------------------   
1017        eth1/3              vlan-943(P)       00:50:56:B3:64:C4  ---                        2016-02-17T18:35:32.224-08:00                    
                                vlan-944(S)

Cisco ACI 仮想エッジの EPG 内分離の設定

EPG 内分離の適用: Cisco ACI Virtual Edge

デフォルトでは、EPG に属するエンドポイントは契約が設定されていなくても相互に通信できます。ただし、相互に、EPG 内のエンドポイントを特定できます。たとえば、EPG 内でウイルスや他の問題を持つ VM が EPG の他の VM に影響を及ぼすことがないように、エンドポイント分離を適用するのが望ましい場合があります。

アプリケーション内のすべてのエンドポイントに分離を設定することも、いずれにも設定しないこともできます。一部のエンドポイントに分離を設定し、他のエンドポイントに設定しない方法は使用できません。

EPG 内のエンドポイントを分離しても、エンドポイントが別の EPG 内のエンドポイントと通信できるようにするコントラクトには影響しません。


(注)  
VLAN モードで Cisco ACI Virtual Edge ドメインと関連付けられている EPG での EPG内分離の適用はサポートされていません。このような EPG で EPG 内の分離を適用しようとすると、エラーがトリガーされます。

(注)  
  Cisco ACI Virtual Edge マイクロセグメント (uSeg) EPG で EPG 内分離を使用することは現在のところサポートされていません。

(注)  
VXLAN カプセル化を使用し、EPG 内分離が適用されている Cisco ACI Virtual Edge EPG では、プロキシ ARP はサポートされていません従って、 Cisco ACI Virtual Edge EPG 間で契約が設定されていても、EPG 内分離された EPG 間でサブネット間通信を行うことはできません。(VXLAN)。

EPG 内分離の構成 Cisco ACI Virtual Edge GUIの使用

この手順に従って、EPG のエンドポイントが相互に分離されている EPG を作成します。

EPG が使用するポートは VM マネージャ(VMM)のいずれかに属している必要があります。


(注)  
この手順は、EPG の作成時に EPG 内のエンドポイントを分離することを前提としています。既存の EPG 内のエンドポイントを分離する場合は、Cisco APIC で EPG を選択し、 [プロパティ(Properties)] ペインの [イントラ EPG 分離(Intra EPG Isolation)] エリアで、 [強制(Enforced)]を選択し、 [送信(SUBMIT)]をクリックします。

始める前に

VXLAN 関連の構成が特にファブリック全体の Cisco ACI Virtual Edge マルチキャスト アドレスおよびマルチ アドレスのプール(EPG につき一つ) Cisco ACI Virtual Edge などに VMM ドメインに存在することを確認します。

手順

ステップ 1

Cisco APIC にログインします。

ステップ 2

  [テナント(Tenants)]を選択し、テナントのフォルダを展開し、そして [アプリケーション プロファイル(Application Profiles)] フォルダを展開します。

ステップ 3

アプリケーション プロファイルを右クリックし、 [アプリケーション EPG の作成(Create Application EPG)]を選択します。

ステップ 4

  [アプリケーション EPG の作成(Create Application EPG)] ダイアログ ボックスで、次の手順を実行します:

  1.   [名前(Name)] フィールドに EPG 名を入力します。

  2.   [イントラ EPG 分離(Intra EPG Isolation)] エリアで [適用(Enforced)]をクリックします。

  3.   [ブリッジ ドメイン(Bridge Domain)] ドロップダウン リストで、ドメインを選択します。

  4.   [VM ドメインプロファイルへの関連付け(Associate to VM Domain Profiles)] チェックボックスをオンにします。

  5.   [次へ(Next)]を選択します。

  6.   [VM ドメインプロファイルへの関連付け(Associate to VM Domain Profiles)] エリアで、次のいずれかの手順を実行します:

    •   [+] (プラス)アイコンをクリックし、 [ドメイン プロファイル(Domain Profile)] ドロップダウンリストから、目的の Cisco ACI Virtual Edge VMM ドメインを選択します。

    • [バーチャルアカウント(Virtual Account)] ドロップダウン リストから、 スイッチング モード ドロップダウンリストから、 AVEをクリックします。

    • From the エンキャップモード ドロップダウンリストから、 VXLAN または Auto

        [自動(Auto)]を選択した場合、VMM ドメインのカプセル化モードが Cisco ACI Virtual Edge VXLAN であることを確認してください。

    • (オプション)セットアップに適した他の構成オプションを選択します。

  7.   [更新(Update)] をクリックし、 [終了(Finish)]をクリックします。

次のタスク

統計情報を選択して表示すると、エンドポイントが関与する問題の診断に役立ちます。本ガイドの [テナント(Tenants)] タブの下で分離されたエンドポイントの Cisco ACI Virtual Edge 統計情報を選択する および 仮想ネットワークタブの下で分離されたエンドポイント Cisco ACI Virtual Edge [テナント(Tenants)] タブの下 の項を参照してください。

[テナント(Tenants)] タブの下で分離されたエンドポイントの Cisco ACI Virtual Edge 統計情報を選択する

で EPG 内分離を構成した場合、 Cisco ACI Virtual Edge拒否された接続数、受信パケット数、送信済みマルチキャスト パケット数などのエンドポイントの統計情報を表示する前に、それらを選択する必要があります。その後、統計情報を表示できます。

手順

ステップ 1

Cisco APIC にログインします。

ステップ 2

移行方法 [テナント(Tenants)] > [テナント(tenant)]

ステップ 3

テナント ナビゲーション ウィンドウで、 [アプリケーション プロファイル(Application Profiles)][プロファイル(profile)]、および [アプリケーション EPG(Application EPGs)] フォルダを展開し、表示するエンドポイント統計情報を含む EPG を選択します。

ステップ 4

EPG [プロパティ(Properties)] 作業ペインで、 [操作(Operational)] タブをクリックして EPG のエンドポイントを表示します。

ステップ 5

エンドポイントをダブルクリックします。

ステップ 6

エンドポイントの [プロパティ(Properties)] ダイアログボックスで、 [統計情報(Statistics)] タブをクリックし、チェックアイコンをクリックします。

ステップ 7

  [統計の選択(Select Stats)] ダイアログ ボックスの [応答可能(Available)] ペインで、エンドポイントについて表示する統計情報を選択し、右向き矢印を使用してそれらの情報を [選択済み(Selected)] ペインに移動させます。

ステップ 8

  [送信(Submit)]をクリックします。

仮想ネットワークタブの下で分離されたエンドポイント Cisco ACI Virtual Edge [テナント(Tenants)] タブの下

EPG 内分離を Cisco ACI Virtual Edge構成した場合には、エンドポイントの統計情報を選択すると、確認することができるようになります。

始める前に

分離エンドポイントについて表示する統計情報を選択しておく必要があります。手順については、このガイドの [テナント(Tenants)] タブの下で分離されたエンドポイントの Cisco ACI Virtual Edge 統計情報を選択する を参照してください。

手順

ステップ 1

Cisco APIC にログインします。

ステップ 2

移行方法 [テナント(Tenants)] > [テナント(tenant)]

ステップ 3

テナント ナビゲーション ウィンドウで、 [アプリケーション プロファイル(Application Profiles)][プロファイル(profile)]、および [アプリケーション EPG(Application EPGs)] フォルダかを展開し、表示する統計情報を含むエンドポイントを含む EPG を選択します。

ステップ 4

EPG [プロパティ(Properties)] 作業ペインで、 [操作(Operational)] タブをクリックして EPG のエンドポイントを表示します。

ステップ 5

統計情報を表示するエンドポイントをダブルクリックします。

ステップ 6

エンドポイントの [プロパティ(Properties)] 作業ペインで、 [統計(Stats)] タブをクリックします。

作業ウィンドウに、先ほど選択した統計情報が表示されます。作業ウィンドウの左上で、テーブル ビュー アイコンやチャート ビュー アイコンをクリックして、ビューを変更できます。

の下で分離されたエンドポイントの統計情報を選択する Cisco ACI Virtual Edge [仮想ネットワーキング(Virtual Networking)] タブ

で EPG 内分離を構成した場合、 Cisco ACI Virtual Edge拒否された接続数、受信パケット数、送信済みマルチキャスト パケット数などのエンドポイントの統計情報を表示する前に、それらを選択する必要があります。その後、統計情報を表示できます。

手順

ステップ 1

Cisco APIC にログインします。

ステップ 2

移行方法 [仮想ネットワーキング(Virtual Networking)] > [インベントリ(Inventory)] > [VMM ドメイン(VMM Domains)] > [VMware] > [VMM ドメイン(VMM domain)] > [コントローラ(Controllers)] > [コントローラ インスタンス名(controller instance name)] > [DVS-VMM 名(DVS-VMM name)] > [ポートグループ(Portgroups)] > [EPG 名(EPG name)] > [学習済みポイント MAC アドレス(ノード)(Learned Point MAC address (node))] > .

ステップ 3

[削除 統計 タブに表示されるフィールドとアイコンについて説明します。

ステップ 4

チェック マークが付いたタブをクリックします。

ステップ 5

  [統計の選択(Select Stats)] ダイアログ ボックスで、 [応答可能(Available)] ペインで表示する統計をクリックし、 [選択済み(Selected)] ペインで右向きの矢印をクリックします。

ステップ 6

(オプション)サンプリング間隔を選択します。

ステップ 7

[削除(Delete)] を 送信

Cisco AVS での分離エンドポイントについて統計情報の表示 Cisco ACI Virtual Edge [仮想ネットワーク(Virtual Networking)] タブ

  Cisco ACI Virtual Edgeで EPG 内分離を構成していた場合には、エンドポイントの統計情報を選択すると、確認することができるようになります。

始める前に

分離エンドポイントについて表示する統計情報を選択しておく必要があります。手順については、 [テナント(Tenants)] タブの下で分離されたエンドポイントの Cisco ACI Virtual Edge 統計情報を選択する このガイドを参照してください。

手順

ステップ 1

Cisco APIC にログインします。

ステップ 2

移行方法 [仮想ネットワーキング(Virtual Networking)] > [インベントリ(Inventory)] > [VMM ドメイン(VMM Domains)] > [VMware] > [VMM 名(VMM name)] > [コントローラ(Controllers)] > [コントローラ インスタンス名(controller instance name)] > [DVS-VMM 名(DVS-VMM name)] > [ポートグループ(Portgroups)] > EPG name > [学習したポイント MAC アドレス(ノード)(Learned Point MAC address (node))]

ステップ 3

[削除 統計 タブに表示されるフィールドとアイコンについて説明します。

中央のウィンドウに、先ほど選択した統計情報を表示します。作業ウィンドウの左上で、テーブル ビュー アイコンやチャート ビュー アイコンをクリックして、ビューを変更できます。

EPG 内分離の構成 Cisco ACI Virtual Edge NX-OS スタイル CLI の使用

始める前に

VXLAN 関連の構成が特にファブリック全体の Cisco ACI Virtual Edge マルチキャスト アドレスおよびマルチ アドレスのプール(EPG につき一つ) Cisco ACI Virtual Edge などに VMM ドメインに存在することを確認します。

手順

CLI で、EPG 内分離 EPG を作成します。

例:

# Command: show running-config tenant Tenant2 application AP-1 epg EPG-61
  tenant Tenant2
    application AP-1
      epg EPG-61
        bridge-domain member BD-61
        vmware-domain member D-AVE-SITE-2-3
          switching-mode AVE
          encap-mode vxlan
          exit
        isolation enforce            # This enables EPG into isolation mode.
        exit
      exit
    exit

次のタスク

統計情報を選択して表示すると、エンドポイントが関与する問題の診断に役立ちます。本ガイドの [テナント(Tenants)] タブの下で分離されたエンドポイントの Cisco ACI Virtual Edge 統計情報を選択する および 仮想ネットワークタブの下で分離されたエンドポイント Cisco ACI Virtual Edge [テナント(Tenants)] タブの下 の項を参照してください。

トラブルシューティング

エンドポイント接続のトラブルシューティング

手順

ステップ 1

各エンドポイントの動作ステータスを調べます。

動作ステータスにはエンドポイントのエラーや設定ミスが示されます。詳細は、

エンドポイント ステータスの検査

ステップ 2

トンネル インターフェイスのステータスを調べます。

動作ステータスにはトンネルのエラーや設定ミスが示されます。詳細は、 トンネル インターフェイス ステータスの検査

ステップ 3

エンドポイント グループ(EPG)間で traceroute を実行します。

トレースルートでは、スパイン ノードなどの中間ノード、およびエンドポイント間の問題が明らかになります。詳細は、 エンドポイント 間での traceroute の実行

ステップ 4

エンドポイントのアトミック カウンタを構成します。

アトミック カウンタは、発信元エンドポイントがパケットを送信しているか、また送信先エンドポイントがパケットを受信しているか、そして受信されたパケット数が送信されたパケット数に等しいかどうかを確認します。詳細は、 アトミック カウンタの構成

ステップ 5

各 EPG でコントラクトを調べます。

各 EPG でのコントラクトを調べ、EPG 間でのトラフィックの流れが許可されているかを確認します。テストとして一時的にコントラクトを開き、無制限のトラフィックを許可することができます。

ステップ 6

発信元パケットをモニタリング ノードに転送するようにスパン ポリシーを構成します。

モニタリング ノードのパケット アナライザが誤ったアドレスやプロトコルなどのパケットの問題を示します。詳細は、 Cisco APIC GUI を使用したテナント SPAN セッションの設定

エンドポイント ステータスの検査

手順

ステップ 1

メニュー バーで、 [テナント(Tenants)]をクリックします。

ステップ 2

サブメニュー バーで、送信元エンドポイントを含むテナントをクリックします。

ステップ 3

リスト [ナビゲーション(Navigation)] ペインで、テナントを展開し、 [アプリケーション プロファイル(Application Profiles)]を展開、そしてエンドポイントを含むアプリケーション プロファイルを展開します。

ステップ 4

  [アプリケーション EPG(Application EPGs)] を展開し、確認する EPG をクリックします。

ステップ 5

  [作業(Work)] ペインで [エンドポイント(Endpoint)] テーブルのエンドポイントのリストから、送信元エンドポイントをダブルクリックして、 [クライアント エンド ポイント(Client End Point)] ダイアログ ボックスに戻ります。

ステップ 6

  [クライアント エンド ポイント(Client End Point)] ダイアログ ボックスで、エンドポイントのプロパティを確認して、 [操作(Operational)] タブの下にあります。

ステップ 7

  [操作(Operational)] タブで、健全性、ステータスおよび障害情報を表示します。

  [ステータス(Status)] テーブルで、変更、イベント、またはエラーなどのエントリがある項目をクリックします。

ステップ 8

  [クライアント エンド ポイント(Client End Point)] ダイアログ ボックスに戻ります。

ステップ 9

  [エンドポイント(Endpoint)] テーブル ビューでエンドポイントの [インターフェイス(Interface)] エントリを表示し、ノードとトンネル ID をメモします。

ステップ 10

送信先エンドポイントでこの手順を繰り返します。

(注)  

 

ファブリック内の 2 つのリーフ スイッチの背後に展開された 2 つのマイクロセグメント EPG の IP アドレス間で、双方向のトラフィックが中断されることがあります。これは、マイクロセグメント EPG からベース EPG への構成変更により、IP アドレスが移行しているときに発生する可能性があります。または逆に、双方向トラフィックの実行中に 2 つの異なるリーフ スイッチで同時に発生する可能性があります。この場合、各リモート エンドポイントのポリシー タグは引き続き以前の EPG を指します。

回避策:スイッチのリモート エンドポイントを手動でクリアするか、リモート エンドポイントが期限切れになるのを待ちます。エンドポイントをクリアするには、各スイッチのCLIにログオンし、適切なオプションを指定して clear system internal epm endpoint コマンドを入力します。たとえば、エンドポイントが IP アドレスに基づいている場合は、 clear system internal epm endpoint key vrf vrf_name{ip | ipv6} ip-address。その後、エンドポイントは正しいポリシー タグで再学習されます。

トンネル インターフェイス ステータスの検査

この手順では、トンネル インターフェイスの動作ステータスを調べる方法を示します。

手順

ステップ 1

メニュー バーで、 [ファブリック(Fabric)]をクリックします。

ステップ 2

サブメニュー バーで、 [インベントリ(Inventory)]をクリックします。

ステップ 3

  [ナビゲーション(Navigation)] ペインでポッドを拡張し、発信元エンドポイント インターフェイスのノード ID を拡張します。

ステップ 4

ノードの下で、 [インターフェイス(Interfaces)]を展開し、 [トンネル インターフェイス(Tunnel Interfaces)]を展開します。そして送信元エンドポイント インターフェイスのトンネルID をクリックします。

ステップ 5

  [作業(Work)] ペインで、トンネル インターフェイスのプロパティを確認し、 [操作(Operational)] タブの下にあります。

ステップ 6

次に [操作(Operational)] タブで、健全性、ステータスおよび障害情報を表示します。

  [ステータス(Status)] テーブルで、変更、イベント、またはエラーなどのエントリがある項目をクリックします。

ステップ 7

送信先エンドポイント インターフェイスでこの手順を繰り返します。

エンドポイント 間での traceroute の実行

手順

ステップ 1

メニュー バーで、 [テナント(Tenants)]をクリックします。

ステップ 2

サブメニュー バーで、送信元エンドポイントを含むテナントをクリックします。

ステップ 3

リスト ナビゲーション ペインで、テナントを展開し、 [ポリシー(Policies)] > [トラブルシュート(Troubleshoot)]展開します。

ステップ 4

  [トラブルシュート(Troubleshoot)]で次のトレースルート ポリシーのいずれかを右クリックします:

  • [エンドポイント間トレースルート ポリシー(Endpoint-to-Endpoint Traceroute Policies)] をクリックし、 [エンドポイント間トレースルート ポリシーを作成(Create Endpoint-to-Endpoint Traceroute Policies)]

  • [エンドポイントから外部への IP トレースルート ポリシー(Endpoint-to-External-IP Traceroute Policies)] を選択し、そして [エンドポイントから外部への IP トレースルート ポリシーの作成(Create Endpoint-to-External-IP Traceroute Policy)]

  • [外部 IP からエンドポイント トレースルート ポリシー(External-IP-to-Endpoint Traceroute Policies)]および[外部 IP からエンドポイント トレースルート ポリシーを作成(Create External-IP-to-Endpoint Traceroute Policy)]を選択します

  • [外部 IP から外部 IP トレースルート ポリシー(External-IP-to-External-IP Traceroute Policies)]および[外部 IP から外部 IP トレースルート ポリシーを作成(Create External-IP-to-External-IP Traceroute Policies)]を選択します

ステップ 5

ダイアログ ボックスのフィールドに適切な値を入力し、 [送信(Submit)]をクリックします。

(注)  

 

フィールドの説明については、ダイアログ ボックスの右上隅のヘルプ アイコン([?])をクリックしてください。

ステップ 6

  [ナビゲーション(Navigation)] ペインまたは [トレースルート ポリシー(Traceroute Policies)] テーブルで、トレースルート ポリシーをクリックします。

トレースルート ポリシーが [作業(Work)] ペインに表示されます。

ステップ 7

  [作業(Work)] ペインで、 [操作(Operational)] タブで [送信元エンドポイント(Source Endpoints)] タブをクリックし、 [結果(Results)] タブを選択します。

ステップ 8

次に [トレースルートの結果(Traceroute Results)] テーブルで、追跡に使用された単数または複数のパスを確認します。

(注)  

 

  • 複数のパスが、送信元ノードから宛先ノードへの移動に使用されている場合があります。

  •   [名前(Name)] 列など、1 つまたは複数の列の幅を広げると確認しやすくなります。

アトミック カウンタの構成

手順

ステップ 1

メニュー バーで、 [テナント(Tenants)]をクリックします。

ステップ 2

サブメニュー バーで、必要なテナントをクリックします。

ステップ 3

  [ナビゲーション(Navigation)] ペインで、テナントを展開し、 [ポリシー(Policies)] を展開し、 [トラブルシュート(Troubleshoot)]を展開します。

ステップ 4

  [トラブルシュート(Troubleshoot)]で、 [アトミック カウンタ ポリシー(Atomic Counter Policy)] を展開し、トラフィック トポロジを選択します。

エンドポイントの組み合わせ、エンドポイント グループ、外部インターフェイスおよび IP アドレス間のトラフィックを測定できます。

ステップ 5

目的のトポロジを右クリックして [追加(Add)] [トポロジ(topology)] [ポリシー(Policy)] を選択し、 [Add Policy(ポリシーの追加)] ダイアログ ボックスに戻ります。

ステップ 6

  [Add Policy(ポリシーの追加)] ダイアログボックスで、次の操作を実行します:

  1.   [名前(Name)] フィールドにポリシーの名前を入力します。

  2. トラフィックの送信元の識別情報を選択するか、入力します。

    必要な識別情報のソース(エンドポイント、エンドポイントのグループ、外部インターフェイス、または IP アドレス)によって異なります。

  3. トラフィックの宛先の識別情報を選択するか、入力します。

  4. (任意) (任意) [フィルタ(Filters)] テーブルで、 [+] アイコンをクリックして、カウントするトラフィックのフィルタリングを指定します。

    表示される [アトミック カウンタ フィルタの作成(Create Atomic Counter Filter)] ダイアログ ボックスで、IP プロトコル番号(たとえば TCP=6)によるフィルタリング、および送信元と宛先の IP ポート番号によるフィルタリングを指定できます。

  5.   [送信(Submit)] をクリックし、アトミック カウンタ ポリシーを保存します。

ステップ 7

  [ナビゲーション(Navigation)] ペインで、選択したトポロジの下の新しいアトミック カウンタ ポリシーを選択します。

ポリシー構成は、 [作業(Work)] ペインに表示されます。

ステップ 8

リスト [作業(Work)] ペインで、 [操作(Operational)] タブをクリックし、 [トラフィック(Traffic)] サブタブをクリックして、アトミック カウンタ統計情報を表示します。

Cisco APIC GUI を使用したテナント SPAN セッションの設定

SPAN は、スイッチまたはテナントで設定できます。このセクションでは、Cisco APIC GUI を使用して、複製された送信元パケットをリモート トラフィック アナライザに転送するようにテナントの SPAN ポリシーを設定する方法について説明します。設定手順では、1 つ以上の GUI ダイアログ ボックスのフィールドに値を入力する必要があります。フィールドを理解し、有効な値を決定するには、ダイアログ ボックスの右上隅にあるヘルプアイコン([?])をクリックしてヘルプ ファイルを表示します。

手順

ステップ 1

メニュー バーで、 [テナント(Tenants)]をクリックします。

ステップ 2

サブメニュー バーで、送信元エンドポイントを含むテナントをクリックします。

ステップ 3

  [ナビゲーション(Navigation)] ペインで、テナントを展開し、 [ポリシー(Policies)] > [トラブルシューティング(Troubleshooting)] > [SPAN]を展開します。

2 つのノードが [SPAN]下に表示されます [SPAN 宛先グループ(SPAN Destination Groups)] および [SPAN 送信元グループ(SPAN Source Groups)]

ステップ 4

  [ナビゲーション(Navigation)] ペインで、 [SPAN 送信元グループ(SPAN Source Groups)] を右クリックし、 [SPAN 送信元グループの作成(Create SPAN Source Group)]を選択します。

この [SPAN 送信元グループの作成(Create SPAN Source Group)] ダイアログが表示されます。

ステップ 5

  [SPAN 送信元グループの作成(Create SPAN Source Group)] ダイアログ ボックスの必要なフィールドに適切な値を入力します。

ステップ 6

  [作成された送信元(Create Sources)] テーブルを展開し、 [SPAN 送信元の作成(Create SPAN Source)] ダイアログ ボックスを開きます。

ステップ 7

  [SPAN 送信元の作成(Cretate SPAN Source)] ダイアログ ボックス フィールドに適切な値を入力します。

ステップ 8

SPAN送信元の作成が完了したら、 [OK]をクリックします。

  [SPAN 送信元グループの作成(Create SPAN Source Group)] ダイアログ ボックスに戻ります。

ステップ 9

  [SPAN 送信元グループの作成(Create SPAN Source Group)] ダイアログ ボックスのフィールドでの値の入力が完了した後に [送信(Submit)]をクリックします。

次のタスク

SPAN 送信先のトラフィック アナライザを使用して、SPAN 送信元 EPGからのデータ パケットを観察し、パケット形式、アドレス、プロトコルおよびその他の情報を確認できます。

IP bエース EPG 構成の確認

作成できるエンドポイント グループ(EPG)には、アプリケーション EPG と IP ベースの EPG の 2 種類があります。IP ベースの EPG は、マイクロセグメント EPG であるという点で通常のアプリケーション EPG とは異なります。この章では、GUI またはスイッチ コマンドを使用して、IP ベースの EPG 構成が IP ベースとして正しく分類されていることを確認する方法について説明します。

この章は、次の項で構成されています。

GUI を使用した IP ベースの EPG 構成の確認

この手順では、GUI および Visore ツールを使用して IP ベースの EPG が正しく構成されていることを確認する方法について説明します。

手順

ステップ 1

作成した IP ベースの EPG が GUI 内の uSeg EPG フォルダに表示されていることを確認します(次のスクリーン キャプチャに表示されています)。

REST API を使用して作成された「IP」という名前の uSeg EPG の下にリストされている 1 つの IP ベースの EPG があることに注意してください。

ステップ 2

各 EPG IP(IP ベースの EPG)の EPG - IP プロパティ画面(右側のウィンドウ ペイン)で情報が正しいことを確認します。

画面の下部に表示される IP ベースの EPG と IP アドレスのリストに注意してください。

ステップ 3

Web ブラウザから、APIC の IP アドレスに続けて「/visore.html」を入力します。Visore は、EPG など、システム内のすべてのオブジェクトを表示できるツールです。Visore を使用して、IP ベースの EPG が正しく構成されていることを確認できます。Visore の詳細については、 アプリケーション ポリシー インフラストラクチャ コントローラ Visore ツール紹介 を参照してください。

ステップ 4

ユーザー名とパスワードを入力し、 [ログイン(Login)] をクリックして Visore にログインします。

ステップ 5

  [クラスまたは DN(Class or DN)] の隣のフィールド(たとえば、「fvAEPg」)にクラスの名前を入力して、GUI で確認した IP ベースの EPG のクエリを実行します。

(注)  

 

これは、APIC の観点からのビューです。上記の「示されるオブジェクトの総数(Total objects shown)」が「3」であることがわかります。これは、スイッチにダウンロードされた 3 つの EPG があることを意味します。以前 GUI に「IP」としてリストされていた IP ベースの EPG が、「dn」の隣に表示されていることがわかります。また、「isAttrBasedEPg」の横に「yes」と表示されていることにも注意してください。これは、これが IP ベースの EPG として適切に構成されたことを意味します。アプリケーション EPG と IP ベースの EPG の両方を含む、すべてのオブジェクトが Visore を使用して正常に設定されていることを確認できます。

ステップ 6

スイッチ側から見た図です。スイッチで、fvEpP クラスのクエリを実行して EPG を表示し、「crtrnEnabled」属性を確認できます。IP ベースの EPG の場合は「yes」に設定されます。

この EPG の下で、EPG の子が IP アドレスとともに表示されていることを確認して、適切な構成を確保します。構成された IP アドレスごとに、スイッチがトラフィックの分類に使用する 1 つのオブジェクト(「l3IpCktEp」という名前)があります。構成が完了すると、パケットが到着すると、スイッチはこれらのオブジェクトを使用して分類します。

ステップ 7

構成したすべてのエンドポイントと IP アドレスの pcTag が一致することを確認します。すべての EPG には pcTag があります。構成した IP アドレスと一致するすべてのエンドポイントは、この pcTag に分類されます。すべてのエンドポイントには、クラス クエリを実行できる IP アドレスがあります。トラブルシューティングを行うときは、これらのエンドポイント(サーバー)がこの IP ベースの EPG に正しく分類されているかどうかを確認する必要があります。(pcTags は IP ベースの EPG に一致する必要があります。)

スイッチ コマンドを使用した IP-EPG 構成の確認

この手順では、スイッチ コマンドを使用して IP-EPG (「IpCkt」)構成定を確認する方法について説明します。

手順

ステップ 1

リーフにログインします。

ステップ 2

/mit/sys ディレクトリに移動します。

ステップ 3

/mit/sys ディレクトリで、ctx(vrf コンテキスト ディレクトリ)を見つけます。

ステップ 4

VRF cts ディレクトリで、IpCkt が構成されている特定の BD ディレクトリに移動します。

IpCkt が表示されます。

(注)  

 

「IpCkt」と「IP-EPG」は、このドキュメントでは同じ意味で使用されます。

ステップ 5

ディレクトリに移動すると、「猫の概要」に IpCkt に関する情報が表示されます。

ステップ 6

サマリーの「operSt」に「サポートされていない」と表示されていないことを確認してください。

ステップ 7

IpCkt が構成されている BD に対応する VLAN ID を見つけます。

(注)  

 

VLAN ID は、 show vlan internal bd-info コマンドまたは show system internal epm vlan all コマンドを使用します。

ステップ 8

BD のVLAN ID を見つけたら、 show system internal epm <vlan-id> detailを発行します。

ここで、特定の sclass で構成されたすべての IpCkts を表示できるはずです。(/mit/sys ディレクトリに表示されるものと一致する必要があります。)

ステップ 9

vsh で実行した手順を vsh_lc に対して繰り返します。

ステップ 10

BD の IpCtk に一致する IP を使用してトラフィックを送信し、 show system internal <a.b.c.d>、学習したIPに「sclass」のIPフラグと特定の sclass 値があることを確認できます。

ステップ 11

vsh で実行した手順を vsh_lc に対して繰り返します。

この手順で使用するスイッチ トラブルシューティング コマンドのリスト: 

Cd /mits/sys/ctx-vxlan…/bd-vxlan…
     - cat summary
Vsh -c “show system internal epm vlan all” or
Vsh -c “show vlan internal bd-info”
Vsh -c “show system internal epm vlan <vlan-id> detail”
Vsh -c “show system internal epm endp ip <a.b.c.d>"
Vsh_lc -c “show system internal epm vlan all” or
Vsh_lc -c “show vlan internal bd-info”
Vsh_lc -c “show system internal epm vlan <vlan-id> detail”
vsh_lc -c “show system internal epm endp ip <a.b.c.d>”
vsh_lc -c “show system internal epm epg”