エンドポイント セキュリティ グループ（ESG）は、 [Cisco アプリケーション セントリック インフラストラクチャ（Cisco Application Centric Infrastructure）] （[ACI]）のネットワーク セキュリティ コンポーネントです。エンドポイント グループ（EPG）は、 [Cisco ACI]のネットワーク セキュリティを提供してきたものですが、単一のブリッジ ドメインに関連付ける必要があり、ブリッジドメイン内のセキュリティ ゾーンを定義するために使用されます。これは、EPG が転送とセキュリティ セグメンテーションの両方を同時に定義するためです。ブリッジドメインと EPG の間の直接的な関係により、EPG が複数のブリッジドメインにまたがる可能性は制限されています。EPG のこの制限は、新しい ESG 構造を使用することで解決できます。

EPG を表すアプリケーション エンドポイントグループ（fvAEPg）オブジェクトは、レイヤ 2 ブロードキャストドメインを表すブリッジドメイン オブジェクト (fvBD) と直接関係があります。これは、上の図の最初の 3 列に示されています。

ESG は、物理または仮想ネットワークエンドポイントの収集を含む論理エンティティです。さらに、ESG はブリッジ ドメインではなく単一の VRF（仮想ルーティングおよび転送）インスタンスに関連付けられます。これにより、ブリッジドメインから独立したセキュリティ ゾーンの定義が可能になります（ 図 1の 4 番目の列は、この点を示しています）。EPG がブリッジドメインをセキュリティ ゾーンに分割するのと同様に、ESG は VRF インスタンスをセキュリティ ゾーンに分割します。

EPG ポリシーには、転送ロジックとセキュリティロジックの両方が組み込まれています。たとえば、EPG は、VLAN に基づくセキュリティゾーンだけでなく、リーフノードインターフェイスでの VLAN バインドも提供します。また EPG のコントラクトは、セキュリティを強化し、ブリッジドメイン サブネットを展開する必要があるリーフ ノードと、VRF ルート リーク（共有サービス）の場合にどのサブネットをどの VRF インスタンスにリークするかを決定するために使用されます。対照的に、ESG はコントラクトによってセキュリティを強化するためにのみ使用され、転送ロジックは他のコンポーネントによって処理されます。ESG では、ブリッジドメイン サブネットの展開や VRF ルート リークなどのルーティング ロジックが VRF レベルに移動します。リーフノード インターフェイスの VLAN バインドは、引き続き EPG レベルで処理されます。

ESG はどのエンドポイントが ESG に属するかを定義する特定の一致基準を持つセキュリティ コンストラクトであり、コントラクトまたはポリシーを使用してセキュリティスタンスを定義します。一致基準は、関連付けられた VRF インスタンスのブリッジドメインにまたがる IPv4 または IPv6 アドレス、またはエンドポイント MAC アドレスに関連付けられたタグなどの属性に基づく ESG セレクタと呼ばれます。これらのセレクタおよびその他のサポートされているセレクタタイプの詳細については、 セレクタについてを参照してください。

ESG でのコントラクトの使用は、EPG と同じです。同じ ESG に属するエンドポイントは、コントラクトを必要とせずに通信できます。異なる ESG に属するエンドポイント間の通信を有効にするには、ESG 間のコントラクトを構成する必要があります。  [Cisco ACI] ファブリック外部のデバイスとの通信のため、 L3Out 外部 EPGl3extInstP）と ESG の間にコントラクトを設定する必要があります。6.1(4) 以降、外部デバイスに L3Out 外部 EPG を使用し、内部デバイスに ESG を使用するのではなく、L3Outs の背後（つまり ACI の外部）にあるデバイスも ESG に分類して、ファブリック全体のすべての通信に ESG 間のコントラクトを使用することができます。ESG 間のコントラクトと組み合わせて、レイヤ 4 ～ レイヤ 7 サービスグラフを使用することもできます。ただし、EPG と ESG 間のコントラクトはサポートされていません。

セレクタは、エンドポイントを ESG に分類するためのさまざまなマッチング基準を使用し、各 ESG の下に構成されます。VLAN を使用してエンドポイントを分類する EPG とは異なり、ESG はより柔軟な基準を使用してエンドポイントを分類できます。この概念は、マイクロセグメンテーション EPG（または useg EPG）に似ています。ただし、useg EPG は 1 つのブリッジドメインに関連付けられたままですが、ESG にはブリッジドメイン全体のエンドポイントを含めることができます。

サポートされている ESG セレクタは次のとおりです。

• タグ セレクタタグ セレクタは [Cisco Application Policy Infrastructure Controller] （[APIC]）リリース 5.2(1) で導入されました。

  このセレクタは、MAC および IP アドレス、仮想マシン（VM）タグ、仮想マシン名 [vm 名]、サブネット タグ、静的エンドポイント タグなどのさまざまな属性に割り当てられたポリシー タグに基づいてエンドポイントをマッチングします。ESG タグセレクタは、ESG と同じテナントのポリシー タグのみとマッチングできます。

  Cisco APIC 6.1(4) 以降、外部サブネットにタグを付けることができます。

• EPG/外部 EPG セレクタEPG セレクタは、 [Cisco APIC] リリース 5.2(1) で導入されました。

  このセレクタは、特定の EPG 内のすべてのエンドポイントにマッチします。Cisco APIC 6.1(4) 以降、このセレクタは、特定の L3Out 外部 EPG の「外部 EPG の外部サブネット」スコープ（別名インポート セキュリティ）と外部サブネットをマッチさせることもできます。ESG は、ESG と同じテナントで同じ VRF の EPG/外部 EPG に対してのみ、EPG/外部 EPG セレクタを使用できます。

  EPG/外部 EPG セレクタを持つ ESG は、マッチした EPG と外部 EPG で構成されているすべてのコントラクトを継承します。これを使用すると、ユーザーはセキュリティ構成を EPG/外部 EPG から ESG にシームレスに移行できます。

• IP サブネット セレクタIP サブネットセレクタは、 [Cisco APIC] リリース 5.0(1) で導入されました。

  このセレクタは、ホストの IP アドレスまたは IP サブネットに基づいてエンドポイントをマッチングします。タグ セレクタは、ポリシー タグを介して同じ機能を提供します。

• 外部サブネット セレクタ：外部サブネット セレクタは、 ACI VXLAN ボーダー ゲートウェイ（BGW）の VXLAN 外部サブネット セレクタとして Cisco APIC リリース 6.1(2) で導入されました。Cisco APIC リリース 6.1(4) 以降、これは汎用外部サブネット セレクタとして拡張されています。

  このセレクタは、別のファブリックから ACI ボーダー ゲートウェイ ノードで受信される EVPN タイプ 5 ルートとマッチします。6.1(4) 以降、このセレクタは L3Out を介して学習した外部プレフィックスともマッチします。

• VXLAN BD セレクタ：VXLAN BD セレクタは、Cisco APIC リリース 6.1(2) で導入されました。

  このセレクタは、指定された拡張ブリッジドメイン内の ACI ボーダー ゲートウェイ ノードで学習されたすべての EVPN タイプ 2 MAC アドレスとマッチします。

• サービス EPG セレクタサービス EPG セレクタは [Cisco APIC] リリース 5.2(4) で導入されました。

  サービス EPG は、デバイス選択ポリシーのコネクタに基づいて [Cisco アプリケーション セントリック インフラストラクチャ（Cisco Application Centric Infrastructure）] （[ACI]）が自動的に作成する EPG です。サービス グラフ リダイレクトに基づくほとんどの展開では、 [Cisco ACI] がトラフィックをレイヤ 4 からレイヤ 7 デバイスにリダイレクトするため、何か特別なことを行ってレイヤ 4 からレイヤ 7 デバイスに直接送信されるトラフィックを許可または拒否する必要はありません。レイヤ 4 からレイヤ 7 のデバイス IP アドレスにトラフィックを直接送信する必要がある場合は、サービス EPG へのトラフィックを許可または拒否することが必要な場合があります。サービス EPG セレクタを使用すると、サービス EPG をサービス ESG にマッピングできるため、管理者は、どの ESG がサービス グラフを介して展開されたレイヤ 4 からレイヤ 7 デバイスにトラフィックを送信できるかを、より細かく制御できます。

エンドポイントセキュリティグループ（ESG）にはさまざまな分類方法があるため、IP アドレスによる分類と MAC アドレスによる分類の相違点を理解することが重要です。この相違点は、基本的にマイクロセグメント（uSeg）の EPG 基準と同じです。

パケットがスイッチによりルーティングされる場合の転送ルックアップは、IP アドレスに基づいて行われます。パケットがスイッチによりスイッチングされる場合、パケットに IP ヘッダーがある場合でも、転送ルックアップは MAC アドレスに基づいて行われます。同様に、パケットがスイッチによってルーティングされる場合のコントラクト ルックアップも、IP アドレスに基づいて行われます。そして、パケットがスイッチによりスイッチングされる場合、パケットに IP ヘッダーがある場合でも、コントラクト ルックアップは MAC アドレスに基づいて行われます。この動作は、ESG に基づくコントラクト アプリケーションに影響します。

IP ベースのセレクタ（IP サブネット セレクタ、ブリッジ ドメイン サブネットのポリシータグのマッチングを行うタグ セレクタ、または IP エンドポイント タグ オブジェクト）は、IP アドレスのみで分類を行います。このような分類は、スイッチング トラフィックには適用されません。一方、他のセレクタは MAC アドレスを分類し、そのような分類はスイッチング トラフィックとルーティング トラフィックの両方に有効です。これは、別の IP ベースのセレクタによってオーバーライドされない限り、MAC ベースのセレクタが MAC アドレスに関連付けられた IP アドレスにも適用されることを意味します。次の 3 つのシナリオは、この動作を実証しています。

Scenario 1:
    MAC_A is matched by a selector of ESG_1
    IP_A is _not_ matched by any ESG
  Result:
    Both MAC_A and IP_A are classified to ESG_1

Scenario 2:
    MAC_A is matched by a selector of ESG_1
    IP_A is matched by a selector of ESG_2
  Result:
    MAC_A is classified to ESG_1
    IP_A is classified to ESG_2

Scenario 3:
    MAC_A is _not_ matched by any ESG
    IP_A is matched by a selector of ESG_2
  Result:
    MAC_A is _not_ classified to any ESG, and still belongs to EPG_A.
    IP_A is classified to ESG_2

これらのシナリオでは、エンドポイント EP_A は EPG_A のメンバーであり、最初はどの ESG にも属していません。EP_A の MAC アドレスは MAC_A で、その IP アドレスは IP_A です。

この動作により、IP ベースのセレクタを使用する場合、トラフィックの送信元と宛先の IP アドレスが異なる ESG に属していても、スイッチング トラフィック（レイヤ 2 トラフィック）が ESG コントラクトをバイパスする可能性があります。IP ベースのセレクタでこの問題を回避するには、ACI のプロキシ ARP 機能を使用して、送信元と接続先の IP アドレスが同じサブネットにある場合でも、すべてのトラフィックが ACI スイッチでルーティングされたトラフィックとして処理されるようにします。この目的でプロキシ ARP を使用するには、次の 3 つのオプションがあります。

• ESG エンドポイントに VLAN からインターフェイスへのバインドを提供するすべての EPG で、プロキシ ARP とともに EPG 内分離を有効にします。

• ESG エンドポイントに VLAN からインターフェイスへのバインドを提供するすべての EPG で、共通のデフォルト コントラクトなどのすべて許可（permit-all）フィルタを使用して、EPG 内コントラクトを有効にします。EPG 内コントラクトにより、プロキシ ARP が自動的に有効になります。すべて許可する（permit-all） フィルタである理由は、どの ESG にも分類されていないエンドポイントが、同じ EPG 内で相互に通信できるようにするためです。ESG にまだ分類されていないエンドポイントのデフォルトの動作として、任意のフィルタを使用できます。

•   [マイクロ セグメンテーションの許可（Allow Micro-Segmentation）] オプションは、VMM 統合が使用されている場合、ESG エンドポイントに VLAN からインターフェイスへのバインドを提供する EPG に VMM ドメインを関連付ける際に有効にします。このオプションは、プロキシ ARP を自動的に有効にします。

同じサブネット（または VLAN）内のエンドポイントが異なる ESG に分類されるレイヤ 2 トラフィックの場合、IP ベースのセレクタによるレイヤ 2 トラフィックの制限に関係なく、プライベート VLAN 構成が必要になる場合があります。エンドポイントと ACI スイッチの間に非 ACI スイッチがある場合は、プライベート VLAN 構成が必要になる場合があります。これは、ACI スイッチが ESG に基づいてコントラクトを実施できるようになる前に、非 ACI スイッチがトラフィックをスイッチングする可能性があるためです。

（注）	レイヤ 2 マルチキャストなど、ARP 要求ではないフラッディング トラフィックは、プロキシ ARP を有効にするオプションを使用して VLAN から送信された場合、ドロップされます。

セレクタ タイプを選択するときは、トラフィックを切り替えるかルーティングするかを考慮してください。以下の表は、トラフィック タイプごとのセレクタの優先順位を示しています。

オブジェクトが同じまたは異なるポリシー タグを介して複数のタグ セレクタで一致した場合、そのオブジェクトは最初に一致したタグ セレクタに関連付けられます。後続のタグ セレクタは無視されます。タグ セレクタが以前にオブジェクトに一致していないときに、オブジェクトが複数のタグ セレクタによって一致した場合、競合の一致が解決されるまでタグ セレクタは有効になりません。障害は、複数のタグ セレクタによって一致する ESG およびオブジェクトの下で発生します。

動的 L3Out EPG/ESG 分類（DEC）の構成方法の詳細については、 GUI を使用したダイナミック ESG/L3Out EPG 分類の設定を参照してください。

コントラクトは、アクセスコントロールリスト（ACL）に相当する Cisco ACI です。ESG は、コントラクト規則に従う場合に限り、他の ESG と通信できます。管理者は契約を使用して、許可されているプロトコルとポートを含む ESG 間をパス可能なトラフィックの種類を選択します。ESG は、コントラクトのプロバイダー、コンシューマー、またはプロバイダーとコンシューマーの両方になることができ、複数のコントラクトを同時に使用できます。複数の ESG が優先グループに属する他の ESG と自由に通話できるように、ESG は優先グループに属することもできます。

サポートされているコントラクト関係：

1. ESG ⇔ ESG

2. ESG ⇔ L3Out EPG

3. ESG ⇔ インバンド EPG

4. ESG ⇔ vzAny

ESG と EPG（または uSeg EPG）の間のコントラクトはサポートされていません。ESG のエンドポイントが EPG の他のエンドポイントと通信する必要がある場合、他のエンドポイントを最初に ESG に移行する必要があります。 vzAny または優先グループは、移行中に代替として使用できます。コントラクト継承、ESG 内コントラクト、ESG 内分離など、uSeg EPG でサポートされるその他のコントラクト関連機能も ESG でサポートされます。例外は、ESG でサポートされていない禁止コントラクトです。

エンドポイントが別の VRF によって共有されるサービスを必要とする場合、通信を行うために必要なことが 2 つあります。まず、ルーティングの到達可能性です。2 つ目はセキュリティ許可です。EPG では、これら 2 つは EPG サブネットや契約などの 1 セットの設定で密接に結合されています。ESG では、これら 2 つは 2 つの異なる設定で分離されています。

1. ESG 契約の設定とは独立した、VRF レベルでのルート リークの設定。

2. ESG 間の契約の設定。

これら 2 つの設定が完全に分離されているため、EPG で行う必要があるように、ESG の下にサブネットまたはサブネットのサブセットを設定する必要はありません。

次のセクションでは、ブリッジ ドメイン サブネットおよび外部ルーターから学習した外部プレフィックスのルート リークを設定する方法について説明します。ルート リークの設定が完了したら、2 つの ESG 間、または ESG と L3Out EPG 間の契約を設定して、通信を許可できます。グローバルなど、VRFより大きい範囲の契約を使用する必要があります。

（注）	VRF レベルでのルート リーク設定は、ESG でのみサポートされます。

EPG で使用できるすべてのレイヤ 4 ～ レイヤ 7 サービス グラフ機能は、ESG でサポートされます。

（注）

この注記は、高度なユーザー情報の実装の詳細です。サービス グラフが ESG 間のコントラクトに添付されている場合、 [Cisco Application Policy Infrastructure Controller] （[APIC]）は、 [Cisco APIC] は EPG 間のサービス グラフを対象にして行っているように、レイヤ 4 ～ レイヤ 7 サービスデバイスが接続される隠しサービス EPG を自動的に作成します。EPG 間のサービス グラフとは異なり、ESG の場合、隠しサービス EPG はグローバル pcTag を取得します。   [Cisco APIC] リリース 5.0(1) 以降のリリースでは、vzAny-to-vzAny コントラクトでレイヤ 4 ～ レイヤ 7 サービス展開用に作成されるすべての新しいサービス EPG は、グローバル pcTag を取得します。

レイヤ 4 ～ レイヤ 7 サービス展開の詳細は、 Cisco APIC レイヤ 4 ～ レイヤ 7 サービス導入ガイドを参照してください。

  [キャパシティ ダッシュボード（Capacity Dashboard）] タブを使用して、重要なファブリック リソースのしきい値の概要を把握できます。これにより、承認されるスケーラビリティ制限にどの程度まで近づいているかを即座に確認できます。リーフ ノードごとの使用量も表示されるため、どのリーフ ノードがリソース制約に達しているかをすぐに確認できます。

1. メニュー バーで、 操作（Operations） > [キャパシティ ダッシュボード（Capacity Dashboard）] を選択して、キャパシティ ダッシュボードのトラブルシューティング ツールを起動します。

2.   [キャパシティ ダッシュボード（Capacity Dashboard）] ページで、ファブリック リソースの [ファブリック キャパシティ（Fabric Capacity）] を選択します。下にスクロールして [エンドポイント セキュリティ グループ（Endpoint Security Groups）] タイルと [グローバル pcTag（Global pcTag）] タイルに移動して、使用可能なリソースを決定します。

3.   [キャパシティ ダッシュボード（Capacity Dashboard）] ページで、 [リーフ キャパシティ（Leaf Capacity）] を選択して、リーフの使用状況を確認します。エンドポイント セキュリティ グループのリソース使用量の詳細については、 [ESG] タブを確認してください。

  [エンドポイント トラッカー（Endpoint Tracker）] タブで、ファブリックに適用されたエンドポイントの IP アドレスまたは MAC アドレスを入力すると、このエンドポイントのロケーション、エンドポイントが属するエンドポイントグループ、使用されている VLAN カプセル化、このエンドポイントで移行（フラップ）が発生しているかどうかをすばやく確認できます。

1. メニュー バーで、 操作（Operations） > [EP トラッカー（EP Tracker）] をクリックして、エンドポイント トラッカー トラブルシューティング ツールを起動します。

2.   [エンド ポイント検索（End Point Search）] フィールドに、エンドポイントの IP アドレスまたは MAC アドレスを入力し、 [検索（Search）]をクリックします。

3. 表示された後にエンドポイントをクリックします。

エンドポイント トラッカー ツールでは、イベント中の IP アドレス、MAC アドレス、所有するエンドポイント グループ、アクション（適用または解除）、物理ノード、インターフェイス、および VLAN カプセル化とともに、各状態遷移の日時が表示されます。

エンドポイント トラッカー ツールは、fvCEp と呼ばれるオブジェクトを使用して、ESG および EPG について、ファブリックで学習されたエンドポイントを見つけます。ESG に属するエンドポイントは 2 つの fvCEp オブジェクトで表されます。1 つは VLAN バインドを提供する EPG 用で、もう 1 つはセキュリティを提供する ESG 用です。したがって、エンドポイント トラッカー ツールを ESG エンドポイントに使用すると、2 つのエントリが表示されます（EPG 用と ESG 用）。

エンドポイント セキュリティ グループ（EPG）を使用するときには、次のガイドラインと制限に従ってください：

• ESG と EPG 間のコントラクトはサポートされていません。

• マルチティア、リモート リーフおよびマルチポッドなどトポロジがサポートされています。Cisco APIC 6.1(4) および Nexus ダッシュボード（ND）4.1(1) 以降、ESG は ND を介し、 [Cisco ACI マルチサイト（Cisco ACI Multi-Site）] ユースケース用に設定できます。

• ESG コントラクトは、セレクタとして IP を使用するルーティング トラフィックにのみ適用できます。詳細については、 IP ベース セレクタによるレイヤー 2 トラフィック制限を参照してください。

• ESG 内コントラクトが構成されている場合、拒否ルールと許可ルールが自動的に作成されます。拒否ルールは、ポリシーで明示的に有効になっていませんが、ESG 内分離を適用します。

• VMware vCenter からのタグなど、VMM 統合を通じて派生したポリシー タグを使用する場合は、完全な VMM 統合が必要です。読み取り専用の VMM 統合では不十分です。

• 禁止コントラクトは ESG ではサポートされていません。

• ESG は、SPAN の送信元または接続先として指定できません。

• ESG 展開では、EX 以降の世代のリーフ ノードのみがサポートされます。

• 同じ VLAN のエンドポイントを異なる ESG に分類する場合、分離ポートを備えたプライベート VLAN を中間の非[Cisco ACI] スイッチ（存在する場合）で構成して、トラフィックが [Cisco ACI]に到達する前にこれらのスイッチがトラフィックを切り替えないようにする必要があります。。EPG が VMM VMware DVS 統合に使用される場合は、VMware ポート グループでのプライベート VLAN が自動的に有効にする、 [マイクロ セグメンテーションの許可（Allow Micro-Segmentation）] オプションを有効にしてください。

  （注）

  このメモでは、すべてを許可するルールを使用した EPG 内コントラクトと、プロキシ ARP を使用した EPG 内分離の違いについて説明します。両方の機能の主な目的は同じで、プロキシ ARP を使用して、ACI リーフ スイッチ上ですべてのトラフィックをルートするようにすることです。EPG 間コントラクトを使用する場合、プロキシ ARP は EPG に対して暗黙的に有効になることに注意してください。違いは、ESG に属していないが、EPG で学習されたエンドポイントが 2 つ以上ある場合です。すべてを許可するルールを使用した EPG 内コントラクトでは、このようなエンドポイントは、すべてを許可するルールにより同じ EPG 内で引き続き自由に通信できます。ただし、プロキシ ARP を使用した EPG 内分離では、そのようなエンドポイントは同じ EPG にある場合でも通信できなくなります。   [マイクロセグメンテーションの許可（Allow Micro-Segmentation）] が有効になっている場合、VMMドメインの EPG への関連付けの [解決の緊急性（Resolution Immediacy）] は無視され、 [オンデマンド（On Demand）] と [即時（Immediate）] の混合のように動作します。ここで、EPG のVLANは、VMM 統合仮想スイッチを備えたハイパーバイザ ホストに接続されているすべての ACI スイッチ インターフェイスに展開されます（仮想スイッチの少なくとも 1 つで、EPG VLANに 1 つの VM が接続されている場合）。

• コントラクトを ESG に追加する場合、ラベル設定はサポートされていません。

5.2(3) リリース以降、次の機能または構成がサポートされています。

• ESG 間の VRF 間サービス グラフ

• ESG のシャットダウン

• ホストベースのルーティング/ホスト ルート アドバタイズメント

• ESG は、次の機能のソースまたは宛先として指定できます：

  • オンデマンド アトミック カウンタ

  • オンデマンド遅延測定

• ブリッジ ドメインまたは EPG レベルで設定された次の機能は、ブリッジ ドメインまたは EPG 内のエンドポイントが ESG に分類される場合、指定された制限付きでサポートされます。

  • エンドポイント到達可能性（ブリッジ ドメイン/EPG 上の静的ルート）

    • この機能によって指定された MAC または IP アドレスは、EPG セレクタを使用してのみ ESG に分類できます。

    • 静的 IP アドレス（静的ルート）とそのネクストホップ IP アドレスは、同じ ESG に属している必要があります。

  • エニーキャスト サービス

    • この機能によって指定された MAC または IP アドレスは、EPG セレクタを使用してのみ ESG に分類できます。

  • Microsoft NLB

    • この機能によって指定された MAC または IP アドレスは、EPG セレクタを使用してのみ ESG に分類できます。

    • この機能で指定された IP アドレスを VRF レベルのルート リークを使用して別の VRF インスタンスにリークする場合、内部ブリッジ ドメイン サブネットのルート リークを使用して、IP アドレスの /32 または /128 ルートを明示的にリークする必要があります。詳細については、 GUI を使用した内部ブリッジ ドメイン サブネットのルート リークの設定を参照してください。

  • ファースト ホップ セキュリティ（FHS）

    • FHS は、EPG セレクタを使用した場合に ESG とマッチする uSeg EPG では、サポートされません。uSeg EPG から ESG に移動する必要があるエンドポイントに FHS が必要な場合は、IP サブネットやタグセレクタなどの他のセレクタを使用してそれらのエンドポイントを ESG に分類し、uSeg EPG からはマッチング基準を削除してください。それから、ベース EPG で FHS を構成します。

    • EPG セレクタを使用して EPG が ESG とマッチすると、FHS バインド テーブルと、対応するエンドポイントはフラッシュされます。トラフィックは、ARP、 DHCPなどを使用してバインドテーブルが更新されるまでは、機能しません。

  [Cisco Application Policy Infrastructure Controller] （[APIC]）リリース 5.2(1) 以降のリリースでは、EPG セレクタにより、エンドポイントセキュリティ グループ (ESG) が EPG からコントラクトを継承できるようになり、EPG から ESG への移行が簡素化されます。EPG セレクタによるコントラクトの継承により、エンドポイントは他のエンドポイントがまだ ESG に移行されていない場合でも、継承されたコントラクトを使用して他のエンドポイントとの通信を継続できるため、シームレスでフレキシブルな移行が可能になります。

以下の例では、次の図の EPG A1 の EPG から ESG への移行に焦点を当てます。EPG A1 からの現在の通信は、EPG B1、B2、および B3 とのコントラクト C1 を介して行われます。

最初の手順は、ESG（次の図の ESG A1）を作成し、EPG セレクタを使用して EPG A1 をそれに一致させることです。

EPG A1 が ESG A1 にマッチされた後、EPG A1 に属していたエンドポイントは ESG A1 に属するようになり、EPG A1 によって提供されるコントラクト C1 は ESG A1 に継承されます。移行されたすべてのエンドポイントは、EPG がまだ ESG に移行されていなくても、EPG B1、B2、および B3 と引き続き通信できます。EPG セレクタによるコントラクトの継承がないと、 [Cisco アプリケーション セントリック インフラストラクチャ（Cisco Application Centric Infrastructure）] （[ACI]）は ESG と EPG 間のコントラクトが許可しないことに注意してください。ESG が EPG セレクタを介してコントラクトを継承する場合、EPG の元の pcTag は ESG の pcTag に置き換えられることに注意してください。この操作により、EPG のエンドポイントのトラフィックに一時的な小規模の中断が発生する場合があります。

この時点で、プロジェクトスケジュールに応じて、EPG A1 の移行を完了する代わりに、ESG A1 と他の ESG または L3Out 外部 EPG との間で新しいコントラクトを構成できます。ただし、すべてのセキュリティ構成は ESG によって管理される必要があるため、EPG A1 にこれ以上新しいコントラクトを追加することはできません。構成をシンプルで維持しやすいものとするために、できるだけ早く EPG から ESG への移行を完了することをお勧めします。EPG A1 がコントラクトの提供（または消費）を停止するまで、不完全な移行を通知する警告として障害 F3602 が発生します。

移行を続行するには、コントラクト C1 の反対側で EPG の ESG を作成します。この例では、EPG A1 がコントラクト C1 を提供しているため、それらの EPG（EPG B1、B2、および B3）がコントラクト C1 を消費しています。EPG セレクタを使用して、これらの EPG を新しい ESG（ESG B1、B2、および B3）に移行します。次の図の例では、各 EPG が ESG にマッピングされています。

または、複数の EPG を 1 つの ESG に結合できます。たとえば、1 つの ESG を作成してから、同じ ESG 上の EPG B1 と B2 の両方に EPG セレクタを構成できます。

次に、コントラクト C1 と同じフィルタを使用して新しいコントラクト（次の図の C1'）を作成します。新しい ESG をプロバイダーおよびコンシューマとして構成します。これは、EPG A1 からのコントラクト C1 の提供の停止を準備するため、EPG A1 の EPG から ESG への移行の最後の手順です。

同じフィルタを持つコントラクト C1 は、4 つすべての ESG（A1、B1、B2、および B3）によってすでに継承されているため、新しいコントラクト設定はハードウェアに新しいルールを展開せず、新しいコントラクトを作成することによって追加のポリシー TCAM が消費されることはありません。

ESG A1 には、ESG B1、B2、および B3 との C1 と同じ通信を許可するコントラクト C1’ があります。この時点で、EPG A1 でのコントラクト C1 の提供を停止でき、次の図に示すように ESG A1 がすべてのセキュリティを処理できるようになります。

B1、B2、および B3 は、コントラクト C1 はまだ ESG に移行されていない EPG A2 および A3 によっても提供されるため、コントラクト C1 の消費をまだ停止できないことに注意してください。EPG A2 および A3 が ESG に移行され、コントラクト C1' を提供した後、すべての EPG（A2、A3、B1、B2、および B3）は、トラフィックを中断することなくコントラクト C1 の使用を停止できます。

（注）	外部 EPG を使用して ESG に移行する場合は、移行する前に外部 EPG の下にある既存のコントラクトを削除する必要があります。

（注）	ブリッジ ドメイン プレフィックスの共有サービスは、ESG 移行後はアドバタイズされません。インター vrf からのブリッジ ドメイン サブネットは他の vrf にリークされ、サブネットはパブリックとしてマークされます。ただし、BGP ピア アウトバウンド ルート マップのルート マップ エントリは、外部プレフィックスの ESG への移行後に削除されます。

EPG から ESG への移行を完了するには、EPG レベルのコントラクト C2 およびその他のコントラクトについても同じ手順に従います。

手順:

<polUni> 
  <fvTenant name="t0"> 
    <fvAp name="ap0"> 
      <!-- ESG with the name ESG1 and Preferred Group as Exclude --> 
      <fvESg name="ESG1" prefGrMemb="exclude"> 
          <!-- The ESG is associated to VRFA --> 
          <fvRsScope tnFvCtxName="VRFA" /> 

          <!-- provided and consumed contracts --> 
          <fvRsProv tnVzBrCPName="provided_contract1" /> 
          <fvRsCons tnVzBrCPName="consumed_contract2" /> 

          <!-- Tag Selectors for the ESG -->
          <fvTagSelector matchKey="stage" valueOperator="equals" matchValue="production"/>
          <fvTagSelector matchKey="owner" valueOperator="contains" matchValue="teamA"/>
          <fvTagSelector matchKey=“__vmm::vmname" valueOperator="regex" matchValue="web_[0-9]+"/>

          <!-- EPG Selectors for the ESG -->
          <fvEPgSelector matchEpgDn="uni/tn-TK/ap-AP1/epg-EPG1-1"/>
          <fvEPgSelector matchEpgDn="uni/tn-TK/ap-AP1/epg-EPG1-2"/>

          <!-- IP Subnet Selectors for the ESG -->
          <fvEPSelector matchExpression="ip=='192.168.0.1/32'" />
          <fvEPSelector matchExpression="ip=='192.168.1.0/28'" />
          <fvEPSelector matchExpression="ip=='2001:23:45::0:0/64'" />
      </fvESg> 
    </fvAp> 
  </fvTenant> 
</polUni>

 

はじめる前に:

漏洩する BD サブネット、または漏洩したサブネットを含む BD サブネットを設定しておく必要があります。

手順:

<polUni>
  <fvTenant name="t0">
    <fvCtx name="VRFA">
      <leakRoutes>
        <!--
            leak the BD subnet 192.168.1.0/24 with the Allow L3Out Advertisement
            False (i.e. scope private)
        -->
        <leakInternalSubnet ip="192.168.1.0/24" scope="private">
          <!--
              leak the BD subnet to Tenant t1 VRF VRFB with the
              Allow L3Out Advertisement configured in the parent
              scope (i.e. scope inherit)
          -->
          <leakTo ctxName="VRFB" tenantName="t1" scope="inherit" />
        </leakInternalSubnet>
      </leakRoutes>
    </fvCtx>
  </fvTenant>
</polUni>

 

はじめる前に：

ソース VRF「VRFA」で L3Out またはボーダー ゲートウェイを設定しておく必要があり、これにより、外部プレフィックスが学習されます。

手順：

<polUni>
  <fvTenant name="t0">
    <fvCtx name="VRFA">
      <leakRoutes>
        <!--
            leak the external prefixes in the range of
            10.20.0.0/17 and 10.20.0.0/30
        -->
        <leakExternalPrefix ip="10.20.0.0/16" ge="17" le="30">
          <!-- leak the external prefixes to Tenant t1 VRF VRFB -->
          <leakTo ctxName="VRFB" tenantName="t1" />
        </leakExternalPrefix>
      </leakRoutes>
    </fvCtx>
  </fvTenant>
</polUni>