スキーマ

シャドウ オブジェクト

プロバイダとコンシューマーが異なる VRF にあり、テナント コントラクトを介して通信する拡張 VRF または共有サービスの使用例で、サイト ローカル EPG 間にコントラクトが存在する場合、EPG とブリッジ ドメイン (BD) はリモート サイトにミラーリングされます。ミラーされたオブジェクトは、これらのサイトのそれぞれのコントローラで展開されているかのように表示される一方で、実際にはサイトの 1つでだけ展開されています。これらのミラーされたオブジェクトは、「シャドウ」オブジェクトと呼ばれます。


(注)  

シャドウ オブジェクトは、APIC GUI を使用して削除する必要があります。

たとえば、テナントと VRF が Site1 と Site2 の間でストレッチされ、プロバイダ EPG とそのブリッジ ドメインが Site2 のみに展開され、コンシューマ EPG とそのドメインが Site1 のみに展開される場合、対応するシャドウ ブリッジ ドメインと EPG は次の図のように展開されます。これらは、直接展開されている各サイトでの名前と同じ名前で表示されます。

図 1. 基本的なシャドウ EPG

次のオブジェクトはシャドウ オブジェクトになる場合があります。

  • VRF

  • ブリッジ ドメイン (BD)

  • L3Out

  • 外部 EPG

  • アプリケーション プロファイル

  • アプリケーション EPG

  • コントラクト(ハイブリッド クラウド展開)

ファブリックが APIC リリース 5.0(2) 以降で実行されている場合、APIC GUI でシャドウ オブジェクトを選択すると、 が表示されます。これはサイト間ポリシーをサポートするために、MSC からプッシュされたシャドウ オブジェクトです。このオブジェクトを変更または削除しないでください。 メイン GUI ペイン上部の警告。さらに、VMM ドメインの一部ではないシャドウ EPG にはスタティック ポートがないいぽプで、シャドウ BD は、APIC GUI で [デフォルト SVI ゲートウェイなし (No Default SVI Gateway)]のオプションがあります。

シャドウ オブジェクトのその他の使用例

シャドウ オブジェクトは、次の図に示すように、[優先グループ(Preferred Group)]、[vzAny]、[レイヤ3マルチキャスト(Layer 3 Multicast)]、およびハイブリッド クラウドなど、さまざまな使用例でも作成されます。

図 2. 優先グループ

マルチキャストの場合、シャドウ オブジェクトは、マルチキャスト ソースが接続され、オプションが EPG レベルで明示的に設定されている EPG/BDに対してのみ作成されます。

図 3. L3 マルチキャスト

ハイブリッド クラウド展開の場合、ストレッチされたオブジェクトであっても、暗黙のコントラクトが存在するシャドウ オブジェクトを作成します。たとえば、EPG がオンプレミス サイトとクラウド サイトの間でストレッチされた場合、シャドウ外部 EPG は各サイトで作成され、ストレッチされた EPG とシャドウ外部 EPG の間に暗黙的なシャドウ コントラクトが作成されます。

図 4. ハイブリッドクラウド

Cisco APIC リリース 5.2(3) 以降、シャドウ オブジェクトは Cisco APIC GUI で一意のアイコンで示されます。通常の Orchestrator で作成されたオブジェクトは緑のクラウドの記号で表示されますが、シャドウ オブジェクトはグレーのクラウドのアイコンで表示されます。

APIC GUI でシャドウ オブジェクトを非表示にする

APIC リリース 5.0(2) 以降では、オンプレミス サイトの APIC GUI で Nexus Dashboard Orchestrator によって作成されたシャドウ オブジェクトを表示するか非表示にするかを選択できます。Cloud ネットワーク コントローラ のシャドウ オブジェクトは常に非表示です。

GUI からシャドウ オブジェクトを非表示にするには、次の点に注意してください。

  • このオプションは、Orchestrator からグローバルに設定することはできません。また、このセクションで説明するように、各サイトの APIC で直接設定する必要があります。

  • シャドウ オブジェクトを表示するオプションはすべての新しい APIC リリース 5.0(2) のインストールとアップグレードのデフォルトでオフに設定されているため、以前に表示されていたオブジェクトが非表示になる可能性があります。

  • シャドウ オブジェクトの非表示は、Orchestrator リリース 3.0 (2) 以降で使用可能な、Nexus Dashboard Orchestrator によって設定されるフラグに依存しています。

    • シャドウ オブジェクトが以前の Orchestrator バージョンによって展開されている場合は、必要なタグがなく、APIC GUI に常に表示されます。

    • Shadow オブジェクトが Orchestrator バージョン 3.0(2) 以降で導入されている場合は、タグが付けられ、APIC GUI 設定を使用して非表示または表示にできます。

    • Nexus Dashboard Orchestrator をアップグレードする前に、各ファブリックを APIC リリース 5.0(2) にアップグレードすることをお勧めします。

      Nexus Dashboard Orchestrator をリリース 3.0(2) にアップグレードすると、APIC リリース 5.0(2) 以降を実行しているサイトに展開されたオブジェクトは、適切なタグでタグ付けされ、再展開しなくても、APIC GUI を使用して表示または非表示にできます。

      ファブリックの APIC の前に Orchestrator をアップグレードする場合、サイトのオブジェクトはタグ付けされず、フラグを設定するためにファブリックをアップグレードした後に設定を手動で再展開する必要があります。

  • リリース 5.0(2) よりも前のリリースにファブリックをダウングレードした場合、シャドウ オブジェクトは非表示にならず、APIC GUI に異なるアイコンが表示されることがあります。

手順

ステップ 1

サイトの APIC にログインします。

ステップ 2

右上隅にある [マイ プロファイルの管理 (Manage my profile)] アイコンをクリックし、[設定 (Settings)] を選択します。

ステップ 3

[アプリケーション設定 (Application Settings)] ウィンドウで、[非表示のポリシーを表示 (Show Hidden Policies)] チェックボックスをオンまたはオフにします。

この設定はユーザ プロファイルに保存され、ユーザごとに個別に有効または無効になります。

ステップ 4

その他の APIC サイトについては、このプロセスを繰り返します。

スキーマとテンプレートの作成

始める前に

手順

ステップ 1

Nexus Dashboard にログインし、Nexus Dashboard Orchestrator サービスを開きます。

ステップ 2

スキーマを新規作成します。

  1. 左側のナビゲーション メニューで、[アプリケーション管理 (Application Management) ] > [スキーマ (Schemas)] を選択します。

  2. [スキーマ (Schema)] ページで、[スキーマの追加 (Add Schema)] をクリックします。

  3. スキーマ作成ダイアログで、スキーマの [名前 (Name)] と説明(オプション)を入力し、[追加(Add)] をクリックします。

    デフォルトでは、新しいスキーマは空であるため、1 つ以上のテンプレートを追加する必要があります。

ステップ 3

テンプレートを作成します。

  1. スキーマのページで、[新しいテンプレートの追加(Add New Template)] をクリックします。

  2. [テンプレート タイプの選択(Select a Template type)] ウィンドウで、ACI Multi-Cloud を選択し、[追加(Add)] をクリックします。

    • [ACI マルチクラウド(ACI Multi-Cloud)] :Cisco ACI オンプレミスおよびクラウド サイトに使用されるテンプレート。これにより、複数のサイト間でテンプレートとオブジェクトを拡張できます。このテンプレートは、次の 2 つの展開タイプをサポートしています。

      • [マルチサイト(Multi-Site)]:テンプレートは、単一のサイト(サイトローカル ポリシー)または複数のサイト(拡張ポリシー)に関連付けることができます。マルチサイト ネットワーク(ISN)または複数のサイトの間にテンプレートとオブジェクト ストレッチングを許可するために VXLAN サイト間通信用にオプションを選択する必要があります。

      • [自律(Autonomous)]:テンプレートは、独立して運用され、サイト間ネットワークを介して接続されていない(サイト間 VXLAN 通信なしの)1 つ以上のサイトに関連付けることができます。

        自律 サイトは、孤立されていると定義されていてサイト間接続が一切ないので、サイトに渡ってシャドウ オブジェクト 構成はありません。そしてpctag のクロスプログラムまたは、サイト間トラフィック フローのスパイン スイッチ内に VNID はありません。

        自律 テンプレートは、かなり高い展開拡張を許可します。

      次のセクションでは、主にこのタイプのテンプレートに焦点を当てます。

    • [NDFC]:Cisco Nexus Dashboard ファブリック コントローラ(以前のデータセンター ネットワーク マネージャ)サイト用に設計されたテンプレート。

      このガイドでは、オンプレミスの Cisco ACI ファブリック向けの Nexus Dashboard Orchestrator 構成について説明しています。Cisco NDFC サイトの操作については、代わりに『Cisco Nexus Dashboard Orchestrator Configuration Guide for NDFC Fabrics』を参照してください。

    • [クラウド ローカル(Cloud Local)]:Google Cloud サイト接続など、特定のクラウド ネットワーク コントローラのユース ケース向けに設計されたテンプレートであり、複数のサイト間で拡張することはできません。

      このガイドでは、オンプレミスの Cisco ACI ファブリック向けの Nexus Dashboard Orchestrator 構成について説明しています。クラウド ネットワーク コントローラ ファブリックの操作については、代わりに Nexus Dashboard Orchestrator のユース ケース ライブラリを参照してください。

  3. 右側のサイドバーで、テンプレートの [表示名( Display Name)] を入力します。

  4. (任意)[説明 (Description)] を入力します。

  5. [テナントの選択 (Select a Tenant)]ドロップダウンから、このテンプレートのテナントを選択します。

    新しいスキーマを作成するために使用しているユーザ アカウントは、そのスキーマに追加しようとしているテナントに関連付けられている必要があることに注意してください。そうしないと、テナントはドロップダウン メニューで使用できなくなります。ユーザ アカウントとテナントの関連付けについては、テナント と テナントポリシー を参照してください。

  6. テンプレート ビュー ページで、[保存(Save)] をクリックします。

    追加のオプション(サイトの関連付けなど)を使用できるようにするには、この初期構成の後にテンプレートを保存する必要があります。

  7. この手順を繰り返して、追加のテンプレートを作成します。

    スキーマとテンプレートの設計の詳細については、スキーマとテンプレート設計上の考慮事項 を参照してください。

ステップ 4

テンプレートをサイトに割り当てます。

ファブリック構成を展開するには、一度に 1 つのテンプレートを 1 つ以上のサイトに展開します。それで、設定を展開する少なくとも 1 つのサイトにテンプレートを関連付ける必要があります。

  1. テンプレート ビュー ページで、[アクション(Actions)] をクリックし、[サイトの関連付け(Site Association)] を選択します。

  2. [サイトを <テンプレート> に追加(Add Sites to <template>)] ダイアログで、テンプレートを展開する 1 つ以上のサイトを選択し、[OK] をクリックします。

次のタスク

スキーマと 1 つ以上のテンプレートを作成したら、特定のユース ケースに基づいて、このドキュメントの次のセクションで説明するように、テンプレートの編集に進むことができます。構成の定義が完了したら、テンプレートの展開で説明されているようにテンプレートを展開できます。

APIC サイトからのスキーマ要素のインポート

新しいオブジェクトを作成し、1 つまたは複数のサイトに公開できます。または、サイトローカルの既存のオブジェクトをインポートし、マルチサイト Orchestrator を使用して管理できます。ここでは、1 つ以上の既存のオブジェクトをインポートする方法について説明します。このドキュメントでは、新しいオブジェクトを作成する方法について説明します。

APIC から NDO にポリシーをインポートする際の一般的な方法は、VRF やコントラクトなどの一部のオブジェクトをストレッチ テンプレートにインポートし、その他のオブジェクト(非ストレッチ EPG や BD など)をサイトローカル テンプレートにインポートすることです。

リリース 3.1(1) より前は、ストレッチ テンプレートの一部である別のオブジェクトを参照するサイトローカル テンプレートにオブジェクトをインポートすると、次のような特定の問題がありました。

  • 参照オブジェクトがすでに NDO に存在し、[関係を含める (Include Relationships)] オプションを有効にして新しいオブジェクトをインポートすると、参照オブジェクトがすでに存在するため、オブジェクトの重複が原因で NDO がエラーをスローします。

  • ただし、参照オブジェクトをインポートしない場合 ([関係を含める (Include Relationships)] オプションが無効になっている場合)、管理者はインポート後に参照オブジェクトとの手動マッピングを実行する必要があります。

(同じまたは異なるスキーマ内の)異なるテンプレートの一部である別のオブジェクトとの参照を持つサイトローカル テンプレートにオブジェクトをインポートすると、参照は NDO によって自動的に解決されます。このような場合、インポートされているオブジェクトのUIで [関係をインポート (Import Relationships)] オプションがグレー表示され、[参照されたオブジェクト (Referenced Object)][テンプレート (Template)] にすでに存在するなどの追加情報が提供されます。既存の関係はデフォルトでインポートされます。このようなオブジェクトはデフォルトで関係とともにインポートされますが、インポート操作が完了したら、BD を別の VRF に再マッピングするなどして、参照を変更できます。新しい動作は、インポート可能なすべての設定オブジェクトに適用されます。

サイトから 1 つ以上のオブジェクトをインポートするには、次の手順を実行します。

手順

ステップ 1

[スキーマ (Schema)] ページで、オブジェクトをインポートするスキーマを選択します。

ステップ 2

左側のサイドバーで、オブジェクトをインポートするテンプレートを選択します。

ステップ 3

メインペインで [インポート (Import)] ボタンをクリックし、インポート元の [サイト (Site)] を選択します。

ステップ 4

[インポート元 (Import from)] <site-name> ウィンドウが開いたら、インポートするオブジェクトを 1 つまたは複数選択します。

(注)  

 

NDO にインポートするオブジェクトの名前は、すべてのサイトにわたって一意にする必要があります。重複する名前を持つ別のオブジェクトをインポートすると、スキーマ検証エラーとなり、インポートに失敗します。同じ名前のオブジェクトをインポートする必要がある場合は、先に名前を変更してください。

ステップ 5

(オプション)[関係のインポート (Import relations)] ノブを有効にして、すべての関連オブジェクトをインポートします。

たとえば、BD をインポートする場合、[関係のインポート (Import Relationships)] ノブを有効にすると、関連する VRF もインポートされます。

(注)  

 

前述したように、関連オブジェクトがすでにNDOに存在するオブジェクトに対しては、[関係のインポート (Import Relationships)]ノブはデフォルトで有効になり、無効にできません。

ステップ 6

[インポート(Import)] をクリックします。

VRF の設定

このセクションでは、VRF の設定方法を説明します。

始める前に

スキーマとテンプレートの作成の説明に従って、スキーマとテンプレートを作成し、テンプレートにテナントを割り当てる必要があります。

手順

ステップ 1

VRF を作成するためのスキーマとコントラクトを選択します。

  1. メインペインで、[+ オブジェクトの作成 (+Create Object)] > [VRF]を選択します。

    または、[VRF] エリアまでスクロール ダウンし、タイルの上にマウスを移動して、[VRF の追加 (Add VRF)] をクリックします。

  2. 右側のペインで、VRF の [表示名 (Display Name)] を入力します。

  3. (任意)[説明 (Description)] を入力します。

ステップ 2

VRF の [オンプレミス プロパティ(On-Premises Properties)] を設定します。

  1. [ポリシー制御適用の選択 (Policy Control Enforcement Preference)] を指定します。

    新しく作成された VRF のポリシー制御の適用は変更できず、設定は適用モードにロックされます。

    ただし、これを使用して、インポート後、非適用として設定されている APIC サイトからインポートした VRF を適用モードに移行することができます。一般的な使用例は、既存の VRF を強制モードに変換してサイト間での拡張をサポートする必要がある、ブラウンフィールド展開です。インポートした VRF を NDO で非適用から適用に移行すると、このフィールドをさらに変更することはできなくなります。

    • [適用 (Enforced)]:セキュリティ ルール(コントラクト)が適用されます。

    • [非適用 (Unenforced)]:セキュリティ ルール(コントラクト)は適用されません。

  2. (任意)[IPデータプレーン学習 (IP Data-Plane Learning)] を有効にします。

    IP アドレスが VRF のデータプレーン パケットを通じて学習されるかどうかを定義します。

    無効の場合、IP アドレスはデータプレーン パケットから学習されません。ローカルおよびリモート MAC アドレスは学習されますが、ローカル IP アドレスはデータ パケットから学習されません。

    このパラメータが有効か無効かに関係なく、ローカル IP アドレスはARP、GARP、および ND から学習できます。

  3. (オプション) VRF の [レイヤ 3 マルチキャスト (L3 Multicast)]を有効にします。

    詳細については、レイヤ 3 マルチキャスト を参照してください。

  4. (オプション)VRF の [vzAny] を有効にします。

    詳細については、vzAny コントラクト を参照してください。

  5. (オプション)VRF の [優先するグループ(Preferred Group)] を有効化します。

    詳細は、EPG 優先のグループ概要と制限を参照してください。

ブリッジ ドメインの設定

このセクションでは、ブリッジ ドメイン (BD) を設定する方法について説明します。

始める前に

手順

ステップ 1

ブリッジ ドメインを作成するためのスキーマとコントラクトを選択します。

ステップ 2

ブリッジ ドメインを作成します。

  1. メインペインで、[+ オブジェクトの作成 (+Create Object)] > [ブリッジ ドメイン (Bridge Domains)]を選択します。

    または、[ブリッジ ドメイン (Bridge Domains)] エリアまでスクロール ダウンし、タイルの上にマウスを移動して、[ブリッジ ドメインの追加 (Add Bridge Domains)] をクリックします。

  2. 右側のペインで、ブリッジ ドメインの [表示名 (Display Name)] を入力します。

  3. (任意)[説明 (Description)] を入力します。

ステップ 3

[オンプレミス プロパティ(On-Premises Properties)] を設定します。

  1. [仮想ルーティングと転送 (Virtual Routing & Forwarding)] ドロップダウンから、ブリッジ ドメインを選択します。

  2. (オプション)[L2 ストレッチ(L2 Stretch)] を有効にします。

  3. (オプション)[サイト間 BUM トラフィック許可 (Intersite BUM Traffic Allow)] を有効にします。

    このオプションは、L2 ストレッチを有効にした場合に使用可能になります。

  4. (オプション)[最適化された WAN 帯域幅 (Optimized WAN Bandwidth)] を有効にします。

    このオプションは、L2 ストレッチを有効にした場合に使用可能になります。

  5. (オプション)[ユニキャスト ルーティング (Unicast Routing)] を有効にします。

    この設定が有効で、サブネットアドレスが構成されている場合、ファブリックがデフォルト ゲートウェイ機能を提供し、トラフィックをルーティングします。ユニキャストルーティングを有効にすると、マッピングデータベースがこのブリッジドメインのエンドポイントに付与された IP アドレスと VTEP の対応関係を学習します。IP 学習は、ブリッジドメイン内にサブネットが構成されているかどうかに左右されません。

  6. (オプション)BD の [L3 マルチキャスト (L3 Multicast)] を有効にします。

    Layer 3 マルチキャストの詳細については、レイヤ 3 マルチキャストを参照してください。

  7. (オプション)[L2 不明なユニキャスト (L2 Unknown Unicast)] モードを選択します。

    デフォルトでは、ユニキャストのトラフィックは、レイヤ 2 ポートに対してフラッディングされます。該当する場合、特定のポートでユニキャスト トラフィック フラッディングがブロックされ、ポート上に存在する既知の MAC アドレスを持つ出力トラフィックのみが許可されます。可能な方式は [フラッディング (Flood)] または [ハードウェア プロキシ (Hardware Proxy)] です。

    BD が L2 Unknown Unicast を持っており、それが Flood に設定されている場合、エンドポイントが削除されると、システムはそれを両方のローカル リーフ スイッチから削除します。そして、Clear Remote MAC Entries を選択すると、BD が展開されているリモートのリーフ スイッチからも削除されます。この機能を使用しない場合、リモート リーフは、タイマーが時間切れになるまで、学習したこのエンドポイントの情報を保持します。

    (注)  

     

    L2 Unknown Unicast の設定を変更すると、このブリッジ ドメインに関連付けられた EPG にアタッチされているデバイスのインターフェイス上で、トラフィックがバウンスします (アップ ダウンします)。

  8. (オプション)[不明なマルチキャスト フラッディング (Unknown Multicast Flooding)] モードを選択します。

    これは、IPv4 の不明マルチキャスト トラフィックに適用される、レイヤ 3 不明マルチキャスト宛先のノード転送パラメータです。

    • [フラッド (Flood)](デフォルト):不明な IPv4 マルチキャスト トラフィックは、このブリッジ ドメインに関連付けられた EPG に接続されたすべての前面パネル ポートでフラッディングされます。フラッディングは、ブリッジ ドメインの M ルータポートだけに制限されません。

    • [最適化されたフラッド(Optimized Flood)] — ブリッジドメイン内のMルータポートにのみデータを送信します。

  9. (オプション)[IPv6 不明マルチキャスト フラッディング (IPv6 Unknown Multicast Flooding)] モードを選択します。

    これは、IPv6不明マルチキャストトラフィックに適用され、レイヤ3不明マルチキャスト宛先のノード転送パラメータです。

    • [フラッド (Flood)](デフォルト):不明な IPv6 マルチキャストトラフィックは、このブリッジドメインに関連付けられたすべての前面パネルポートでフラッディングされます。フラッディングは、ブリッジ ドメインの M ルータポートだけに制限されません。

    • [最適化されたフラッド(Optimized Flood)] — ブリッジドメイン内のMルータポートにのみデータを送信します。

  10. (オプション)[複数宛先フラッディング (Multi-Destination Flooding)] モードを選択します。

    レイヤ 2 マルチキャストおよびブロードキャストトラフィックの複数宛先転送方式です。

    • [BD のフラッド (Flood in BD)]:同じブリッジ ドメイン上のすべてのポートにデータを送信します。

    • [ドロップ (drop)]:パケットをドロップします。他のポートにデータを送信しません。

    • [カプセル化のフラッド (Flood in Encapsulation)]:ブリッジ ドメイン全体にフラッディングされるプロトコル パケットを除き、ブリッジ ドメイン内の同じ VLAN を持つすべての EPG ポートにデータを送信します。

      (注)  

       

      このモードは、[L2 ストレッチ (L2 Stretch)] オプションが無効になっている場合にのみサポートされ、サイト間でストレッチされる BD ではサポートされません。

  11. (オプション)[ARP フラッディング (ARP Flooding)] を有効にします。

    これによって ARP フラッディングが有効になり、レイヤ 2 ブロードキャスト ドメインが IP アドレスを MAC アドレスにマッピングします。フラッディングがディセーブルである場合、ユニキャスト ルーティングはターゲット IP アドレスで実行されます。

    ARP要求がレイヤ2ブロードキャストドメイン内でフラッディングされるように、ARPフラッディングを有効にします。BD がサイト間で拡張されている場合、ARP フラッディングを有効にできるのは、[サイト間 BUM トラフィック許可 (Intersite BUM Traffic Allow)]を有効にした場合のみです。ARP フラッディングが無効な場合、ローカルに接続されたエンドポイントから ARP 要求を受信するリーフは、ARP 要求のターゲット エンドポイントが接続されているリモート リーフに直接転送するか(リモート エンドポイントの IP がエンドポイント テーブルで既知の場合)、またはスパインへ転送します(リモートエンドポイントのIPがエンドポイントテーブルで不明な場合)。

    [L2 不明なユニキャスト (L2 Unknown Unicast)] モードを [フラッド (Flood)] に設定した場合、[ARP フラッディング (ARP Flooding)] は無効にできません。[L2 不明なユニキャスト (L2 Unknown Unicast)] モードを [ハードウェア プロキシ (Hardware Proxy)] に設定した場合、ARP フラッディングは有効または無効にできます。

  12. (オプション)[仮想 MAC アドレス (Virtual MAC Address)] を入力します。

    BD の仮想 MAC アドレスとサブネットの仮想 IP アドレスは、ブリッジ ドメインのすべての ACI ファブリックで同じにする必要があります。複数のブリッジ ドメインを、接続されている ACI ファブリック間で通信するように設定できます。仮想 MAC アドレスと仮想 IP アドレスは、ブリッジ ドメイン間で共有できます。

    (注)  

     

    仮想 MAC と仮想 IP サブネットは、個々のサイトを NDO 編成のマルチサイト ファブリックに移行する場合にのみ使用してください。移行が完了したら、これらのフラグを無効にできます。

ステップ 4

BD の 1 つ以上の [サブネット (Subnets)] を追加します。

  1. [+ サブネットの追加 (+ Add Subnet)] をクリックします。

    [サブネットの新規追加 (Add New Subnet)] ウィンドウが開きます。

  2. サブネットの [ゲートウェイ IP (Gateway IP)] アドレスと追加するサブネットの [説明 (Description)] を入力します。

  3. 必要に応じて、[仮想 IP アドレスとして扱う (Treat as virtual IP address)] オプションを有効にします。

    このオプションは、BD の[仮想 MAC アドレス(Virtual MAC Address)] とともに、個々の共通パーベイシブ ゲートウェイ構成から NDOに管理された Multi-Site 展開への移行シナリオに使用できます。

  4. サブネットの [範囲 (Scope)] を選択します。

    これはサブネットのネットワーク可視性です。

    • [VRF に対してプライベート (Private to VRF)]:サブネットが L3Out を介して外部ネットワーク ドメインにアナウンスされないようにします。

    • 外部にアドバタイズ (Advertised Externally):サブネットは L3Out を介して外部ネットワークドメインに向けてアナウンスできます。

  5. (任意)[VRF 間で共有 (Shared Between VRFs)] をオンにします。

    [VRF 間で共有 (Shared Between VRF)]:サブネットは、同じテナント内で、または共有サービスの一部としてテナントを越えて、複数のコンテキスト(VRF)で共有し、それらにエクスポートすることができます。共有サービスの例は、別のテナントの別のコンテキスト(VRF)に存在するEPGへのルーテッド接続です。これにより、トラフィックはコンテキスト(VRF)間で双方向に通過できます。共有サービスを提供する EPG は、その EPG の下で(ブリッジ ドメインの下ではなく)サブネットを設定する必要があり、そのスコープは外部にアドバタイズするように設定し、VRF 間で共有する必要があります。

    共有サブネットは、通信に含まれるコンテキスト(VRF)全体で一意でなければなりません。EPG 下のサブネットがレイヤ 3 外部ネットワーク共有サービスを提供する場合、このようなサブネットは、ACI ファブリック内全体でグローバルに一意である必要があります。

  6. [デフォルト SVI ゲートウェイなし (No Default SVI Gateway)] オプションはオフのままにします。

    このオプションを有効にすると、リーフ ルートにプロキシ ルート(スパイン プロキシへのサブネット ルート)だけがプログラムされ、SVI は作成されません。つまり、SVI はゲートウェイとして使用できません。

    EPG サブネットはルート リークにのみ使用されるため、ゲートウェイとして BD サブネットによって SVI を作成し、EPG で [デフォルト SVI ゲートウェイなし (No Default SVI Gateway)]オプションを有効にすることをお勧めします。

  7. (オプション)[クエリア (Querier) オプションを有効にします。

    サブネットでの [IGMP スヌーピング (IGMP Snooping)] を有効にします。

  8. (オプション)[プライマリ (Primary)] オプションを有効にして、サブネットをプライマリとして指定します。

    1 つのプライマリ IPv4 サブネットと 1 つのプライマリ IPv6 サブネットが可能です。

  9. [保存(Save)] をクリックします。

ステップ 5

(オプション)[IGMP インターフェイス ポリシー(IGMP Interface Policy)]を追加します。

リリース 4.0(1)以降、多数のテナント ポリシー テンプレートを構成し、それらをポリシー オブジェクトに関連付けることができます。詳細については、テナント ポリシー テンプレートを作成を参照してください。

ステップ 6

(オプション)[IGMP スヌープ ポリシー(IGMP Snoop Policy)]を追加します。

リリース 4.0(1)以降、多数のテナント ポリシー テンプレートを構成し、それらをポリシー オブジェクトに関連付けることができます。詳細については、テナント ポリシー テンプレートを作成を参照してください。

ステップ 7

(オプション)[MLD スヌープ ポリシー(MLD Snoop Policy)]を追加します。

リリース 4.0(1)以降、多数のテナント ポリシー テンプレートを構成し、それらをポリシー オブジェクトに関連付けることができます。詳細については、テナント ポリシー テンプレートを作成を参照してください。

ステップ 8

(オプション)[DHCP ポリシー (DHCP Policy)] を追加します。

詳細については、DHCPリレー を参照してください。

ステップ 9

必要に応じて、ブリッジ ドメインのサイトローカル プロパティを設定します。

ブリッジドメインのサイトローカル プロパティの設定で説明されているように、テンプレート レベルの設定に加えて、ブリッジ ドメインの 1 つ以上のサイトローカル プロパティを定義することもできます。

ブリッジドメインのサイトローカル プロパティの設定

テンプレートでオブジェクトを作成するときにオブジェクトに対して通常設定するテンプレート レベルのプロパティに加えて、テンプレートを割り当てる各サイトに固有の 1 つ以上のプロパティを定義することもできます。

オブジェクトを複数のサイトに展開すると、同じテンプレート レベルの設定がすべてのサイトに展開され、サイトローカルの設定はそれらの特定のサイトにのみ展開されます。

始める前に

次のものが必要です。

  • ブリッジ ドメインの設定の説明に従って、ブリッジ ドメインを作成し、そのテンプレート レベルのプロパティを設定していること。

  • ブリッジ ドメインを含むテンプレートを 1 つ以上のサイトに割り当てていること。

手順

ステップ 1

ブリッジ ドメインを含むテンプレートを含むスキーマを開きます。

ステップ 2

左側のサイドバーで、設定する特定のサイトの下のブリッジ ドメインを含むテンプレートを選択します。

ステップ 3

メイン ペインで、ブリッジ ドメインを選択します。

ほとんどのフィールドでは、テンプレート レベルで設定した値が表示されますが、ここでは編集できません。

ステップ 4

[+ L3Out] をクリックして L3Out を追加します。

これは、リモート L3Out から BD サブネットをアドバタイズし、ローカル L3Out に障害が発生した場合でも BD へのインバウンド トラフィックを維持できるようにするために必要です。この場合、サブネットに [外部にアドバタイズ (Advertised Externally)] フラグを設定する必要もあります。詳細に関しては、サイト間 L3Outユース ケースの例を参照してください。

ステップ 5

[ホストルート (Host Route)] を有効にします。

これにより、ブリッジ ドメインでホスト ベース ルーティングが有効になります。このノブを有効にすると、ボーダー リーフ スイッチは、サブネットとともに個々のエンドポイント(EP)ホストルート(/32 または /128 プレフィックス)もアドバタイズします。ルート情報は、ホストがローカル POD に接続されている場合にのみアドバタイズされます。EP がローカル Pod から離れた、または EP が EP データベースから削除された場合、ルート アドバタイズメントはその時に撤回されます。

ステップ 6

必要に応じて、[SVI MACアドレス (SVI MAC Address)] を変更します。

仮想 MAC および仮想 IP が Common Pervasive Gateway(CPG)シナリオで有効になっている場合、SVI MAC アドレスはサイトごとに一意である必要があります。このフィールドは、BD のデフォルト ルータ MAC を変更する CPG が有効になっていない場合にも使用できます。

ステップ 7

BD の 1 つ以上の [サブネット (Subnets)] を追加します。

この概念は、サブネットがこの特定のサイトのブリッジドメインにのみ設定されることを除き、テンプレート レベルで BD にサブネットを追加することと同じです。

  1. [+ サブネットの追加 (+ Add Subnet)] をクリックします。

    [サブネットの新規追加 (Add New Subnet)] ウィンドウが開きます。

  2. サブネットの [ゲートウェイ IP (Gateway IP)] アドレスと追加するサブネットの [説明 (Description)] を入力します。

  3. サブネットの [範囲 (Scope)] を選択します。

    これはサブネットのネットワーク可視性です。

    • [VRF に対してプライベート (Private to VRF)]:サブネットはテナント内でのみ適用されます。

    • [外部にアドバタイズ (Advertised Externally)]:サブネットをルーテッド接続にエクスポートできます。

  4. (任意)[VRF 間で共有 (Shared Between VRFs)] をオンにします。

    [VRF 間で共有 (Shared Between VRF)]:サブネットは、同じテナント内で、または共有サービスの一部としてテナントを越えて、複数のコンテキスト(VRF)で共有し、それらにエクスポートすることができます。共有サービスの例は、別のテナントの別のコンテキスト(VRF)に存在するEPGへのルーテッド接続です。これにより、トラフィックはコンテキスト(VRF)間で双方向に通過できます。共有サービスを提供する EPG は、その EPG の下で(ブリッジ ドメインの下ではなく)サブネットを設定する必要があり、そのスコープは外部にアドバタイズするように設定し、VRF 間で共有する必要があります。

    共有サブネットは、通信に含まれるコンテキスト(VRF)全体で一意でなければなりません。EPG 下のサブネットがレイヤ 3 外部ネットワーク共有サービスを提供する場合、このようなサブネットは、ACI ファブリック内全体でグローバルに一意である必要があります。

  5. (オプション)[デフォルトの SVI ゲートウェイなし (No Default SVI Gateway)] を有効にします。

    このオプションを有効にすると、リーフ ルートにプロキシ ルート(スパイン プロキシへのサブネット ルート)だけがプログラムされ、SVI は作成されません。つまり、SVI はゲートウェイとして使用できません。

    EPG サブネットはルート リークにのみ使用されるため、ゲートウェイとして BD サブネットによって SVI を作成し、EPG で [デフォルト SVI ゲートウェイなし (No Default SVI Gateway)]オプションを有効にすることをお勧めします。

  6. (オプション)[クエリア (Querier)] を有効にします。

    サブネットでの [IGMP スヌーピング (IGMP Snooping)] を有効にします。

  7. (オプション)[プライマリ (Primary)] オプションを有効にして、サブネットをプライマリとして指定します。

    1 つのプライマリ IPv4 サブネットと 1 つのプライマリ IPv6 サブネットが可能です。

  8. [保存(Save)] をクリックします。

アプリケーション プロファイルと EPG の設定

このセクションでは、アプリケーション プロファイルと EPG を設定する方法について説明します。

始める前に

スキーマとテンプレートの作成の説明に従って、スキーマとテンプレートを作成し、テンプレートにテナントを割り当てる必要があります。

このセクションでは、契約とブリッジドメインが作成されていることも前提としています。

手順

ステップ 1

スキーマを選択し、アプリケーション プロファイルを作成するテンプレートを選択します。

ステップ 2

アプリケーション プロファイルを作成します。

  1. メインペインで、[+ オブジェクトの作成 (+Create Object)] > [アプリケーション プロファイル (Application Profile)]を選択します。

    または、[アプリケーション プロファイル (Application Profile)] エリアまでスクロール ダウンし、タイルの上にマウスを移動して、[アプリケーション プロファイルの追加 (Add Application Profile)] をクリックします。

  2. 右側のペインで、アプリケーション プロファイルの [表示名 (Display Name)] を入力します。

    競合することなく、異なるテンプレートに同じ名前のアプリケーションプロファイルを作成できます。ただし、同じサイトおよびテナントに展開する場合は、異なるテンプレートで同じ名前を持つ他のオブジェクト(VRF、BD、EPGなど)を作成することはできません。

  3. (任意)[説明 (Description)] を入力します。

ステップ 3

EPG を作成します。

  1. メインペインで [+オブジェクトの作成(Create Object)] > [EPG]を選択し、EPGを作成するアプリケーションプロファイルを選択します。

    または、特定の [アプリケーション プロファイル (Application Profile)] エリアまでスクロール ダウンし、[EPGs] タイルの上にマウスを移動して、[EPG の追加 (Add EPG)] をクリックします。

  2. 右側のペインで、EPG の [表示名 (Display Name)] を入力します。

  3. (任意)[説明 (Description)] を入力します。

ステップ 4

EPG のコントラクトを追加します。

コントラクトとフィルタの作成については、コントラクトとフィルタの設定で詳しく説明しています。コントラクトを作成済みの場合:

  1. [+ コントラクト (+ Contract)] をクリックします。

  2. [コントラクトの追加 (Add Contract)] ダイアログで、コントラクトの名前とタイプを入力します。

  3. [保存 (SAVE)] をクリックします。

ステップ 5

[ブリッジ ドメイン (Bridge Domain)] ドロップダウンで、この EPG のブリッジ ドメインを選択します。

オンプレミスの EPG を設定する場合は、ブリッジ ドメインに関連付ける必要があります。

ステップ 6

(オプション) [+ サブネット (+ Subnet)] をクリックして、EPG にサブネットを追加します。

たとえば、VRF ルートリークのユースケースとして、ブリッジ ドメイン レベルではなく EPG レベルでサブネットを設定することもできます。

  1. [サブネットの追加 (Add Subnet)] ダイアログで、[ゲートウェイ IP (Gateway IP)] アドレスと追加予定のサブネットの説明を入力します。

  2. [範囲 (Scope)] フィールドで [VRF にプライベート (Private to VRF)] または [外部にアドバタイズ (Advertised Externally)] のどちらかを選択します。

  3. 適切な場合、[VRF 間で共有 (Shared Between VRFs)] チェックボックスをチェックします。

  4. 必要に応じて、[デフォルトの SVI ゲートウェイなしデフォルト (No Default SVI Gateway)] をオンにします。

  5. [OK]をクリックします。

ステップ 7

(オプション) マイクロセグメンテーションを有効にします。

マイクロセグメンテーション EPG (uSeg) を設定する場合は、エンドポイントを EPG に一致させるために 1 つ以上の uSeg 属性を指定する必要があります。

  1. [uSeg EPG] チェックボックスをオンにします。

  2. [+uSeg EPG]] をクリックします。

  3. uSeg 属性の [名前 (Name)][タイプ (Type)] を入力します。

  4. 選択した属性タイプに基づいて、属性の詳細を指定します。

    たとえば、属性タイプとして 1[MAC] を選択した場合は、この EPG でエンドポイントを識別する MAC アドレスを指定します。

  5. [保存 (SAVE)] をクリックします。

ステップ 8

(オプション) EPG 内分離を有効にします。

デフォルトでは、EPG 内のエンドポイントが自由に相互に通信できます。エンドポイントを互いに分離するには、分離モードを [強制 (Enforced)] に設定します。

EPG 内エンドポイント分離ポリシーにより、仮想エンドポイントまたは物理エンドポイントが完全に分離されます。分離を適用した状態で稼働している EPG 内のエンドポイント間の通信は許可されません。分離を適用した EGP では、多くのクライアントが共通サービスにアクセスするときに必要な EPG カプセル化の数は低減しますが、相互間の通信は許可されません。

ステップ 9

(オプション) EPG のレイヤ 3 マルチキャストを有効にします。

Layer 3 マルチキャストの詳細については、次を参照してください: レイヤ 3 マルチキャスト

ステップ 10

(オプション) EPG の優先グループメンバシップを有効にします。

優先グループ機能を使用すると、単一の VRF 内に複数の EPG を含めて、コントラクトを作成しなくても、それらの間の完全な通信を可能にすることができます。EPG 優先グループの詳細については、次を参照してください: EPG 優先のグループ概要と制限

ステップ 11

必要に応じて、EPGのサイトローカル プロパティを設定します。

EPG のサイトローカル プロパティの設定で説明しているように、テンプレート レベルの設定に加えて、EPG の 1 つ以上のサイトローカル プロパティを定義することもできます。

EPG のサイトローカル プロパティの設定

テンプレートでオブジェクトを作成するときにオブジェクトに対して通常設定するテンプレート レベルのプロパティに加えて、テンプレートを割り当てる各サイトに固有の 1 つ以上のプロパティを定義することもできます。

オブジェクトを複数のサイトに展開すると、同じテンプレート レベルの設定がすべてのサイトに展開され、サイトローカルの設定はそれらの特定のサイトにのみ展開されます。

始める前に

次のものが必要です。

  • アプリケーション プロファイルと EPG の設定の説明に従って作成されたアプリケーション プロファイルとEPG。テンプレートレベルでプロパティが設定されていることも必要です。

  • ブリッジ ドメインを含むテンプレートを 1 つ以上のサイトに割り当てていること。

手順

ステップ 1

EPGでテンプレートを含むスキーマを開きます。

ステップ 2

左側のサイドバーで、設定する特定のサイトの下の EPG を含むテンプレートを選択します。

ステップ 3

メインペインで、EPG を選択します。

ほとんどのフィールドでは、テンプレート レベルで設定した値が表示されますが、ここでは編集できません。

ステップ 4

EPG に 1 つ以上のサブネットを追加します。

  1. [+ サブネットの追加 (+ Add Subnet)] をクリックします。

    [サブネットの新規追加 (Add New Subnet)] ウィンドウが開きます。

  2. サブネットの ゲートウェイ IP アドレスと追加するサブネットの説明を入力します。

  3. サブネットの [範囲 (Scope)] を選択します。

    これはサブネットのネットワーク可視性です。

    • [VRF に対してプライベート (Private to VRF)]:サブネットが L3Out を介して外部ネットワーク ドメインにアナウンスされないようにします。

    • 外部にアドバタイズ (Advertised Externally):サブネットは L3Out を介して外部ネットワークドメインに向けてアナウンスできます。

  4. (任意)[VRF 間で共有 (Shared Between VRFs)] をオンにします。

    [VRF 間で共有 (Shared Between VRF)]:サブネットは、同じテナント内で、または共有サービスの一部としてテナントを越えて、複数のコンテキスト(VRF)で共有し、それらにエクスポートすることができます。共有サービスの例は、別のテナントの別のコンテキスト(VRF)に存在するEPGへのルーテッド接続です。これにより、トラフィックはコンテキスト(VRF)間で双方向に通過できます。共有サービスを提供する EPG は(EPG ではなく)BD でサブネットを設定する必要があり、そのスコープは外部にアドバタイズされ、VRF 間で共有されるように設定する必要があります。

    共有サブネットは、通信に含まれるコンテキスト(VRF)全体で一意でなければなりません。EPG 下のサブネットがレイヤ 3 外部ネットワーク共有サービスを提供する場合、このようなサブネットは、ACI ファブリック内全体でグローバルに一意である必要があります。

  5. (オプション)[デフォルトの SVI ゲートウェイなし (No Default SVI Gateway)] を有効にします。

    このオプションを有効にすると、リーフ ルートにプロキシ ルート(スパイン プロキシへのサブネット ルート)だけがプログラムされ、SVI は作成されません。つまり、SVI はゲートウェイとして使用できません。

    EPG サブネットではこのオプションを有効にすることをお勧めします。このオプションは、ルート リークにのみ使用し、BD サブネットではこのオプションを無効のままにして、SVI をゲートウェイとして使用できるようにします。

  6. Ok をクリックして保存します。

ステップ 5

1 つ以上のスタティックポートを追加します。

  1. [+ スタティック ポートの追加 (+Static Port)] をクリックします。

  2. [パスタイプ (Path Type)] ドロップダウンから、ポートのタイプを選択します。

  3. 物理インターフェイスを構成する場合は、[ポッド(Pod)] を選択します。

  4. 単一のポートを構成するか、ポートの範囲を構成するかを選択します。

    インターフェイス設定については、単一のリーフとパスを入力するか、リーフの範囲(例:120 - 125 およびパス)を入力して(例:1/17 - 20)するオプションがあります。また、リーフの範囲を入力して 1 つの単一のパスに関連付けるか、1 つの単一のリーフのパスの範囲を入力するオプションもあります。

    ただし、構成後も UI には個別のポートとして表示され、今後の更新では個別の変更が必要になります。

  5. [ポート カプセル化 VLAN (Port Encap VLAN)] を選択します。

    EPG のドメインでポート カプセル化を手動で設定する場合、VLAN ID はダイナミック VLAN プール内のスタティック VLAN ブロックに属している必要があります。

    EPG でテンプレート レベルでのマイクロセグメンテーションが有効になっている場合、プライマリ MICRO-SEG VLAN が設定されると、ポート カプセル化 VLAN はプライマリ VLAN の独立したセカンダリ VLAN として設定されます。トラフィックはセカンダリ VLAN を使用してホストからリーフに送信され、リーフからホストへのリターン トラフィックはプライマリ VLAN を使用して送信されます。

  6. (任意)プライマリ MICRO-SEG VLAN (Primary MICRO-SEG VLAN) を選択します。

    マイクロセグメンテーションの VLAN 識別子。

  7. (オプション)[展開の即時性 (Deployment Immediacy)] を選択します。

    ポリシーがリーフ ノードにダウンロードされたときに、ポリシーがハードウェア ポリシー CAM にプッシュされるタイミングは、展開の即時性によって指定できます。

    • [即時(Immediate)]:リーフ ソフトウェアにダウンロードされたポリシーがハードウェアのポリシー CAM ですぐにプログラミングされるように指定します。

    • [オン デマンド(On Demand)]:最初のパケットがデータ パス経由で受信された場合にのみポリシーがハードウェアのポリシー CAM でプログラミングされるように指定します。このプロセスは、ハードウェアの領域を最適化するのに役立ちます。

  8. (オプション)[モード (Mode)] を選択します。

    パスのスタティック アソシエーションのモードを選択します。EPG のタグ付けとは、EPG で次のようにスタティック パスを設定することです。

    • [トランク (Trunk)]:これはデフォルトの展開モードです。ホストからのトラフィックに VLAN ID がタグ付けされている場合、このモードを選択します。

    • [アクセス (802.1P) (Access (802.1P)):ホストからのトラフィックが 802.1P タグでタグ付けされている場合、このモードを選択します。アクセス ポートにネイティブ 802.1p モードの EPG を 1 つ設定すると、そのパケットはタグなしの状態でポートを退出します。ネイティブ 802.1p モードの EPG を 1 つと、VLAN タグが付いた複数の EPG をアクセス ポートに設定すると、ネイティブ 802.1p モードで設定された EPG については、そのアクセス ポートを退出するすべてのパケットに VLAN 0 がタグ付けされ、退出する他のすべての EPG パケットにはそれぞれの VLAN タグが付けられます。1 つのアクセス ポートにつき、ネイティブ 802.1p EPG は 1 つだけ許可されることに注意してください。

    • [アクセス (タグなし) (Access (Untagged))]:ホストからのトラフィックがタグ付けされていない場合(VLAN ID なし)、このモードを選択します。ある EPG が使用するすべてのポートについて、この EPG にタグ付けしないようリーフ スイッチを設定すると、パケットはタグなしの状態でスイッチから送出されます。EPG をタグなしとして展開する際は、その EPG を同じスイッチの他のポート上にタグ付きとして展開することは避ける必要があることに注意してください。

ステップ 6

1 つ以上のスタティック リーフノードを追加します。

  1. [+ スタティック リーフの追加 (+Static Leaf)] をクリックします。

  2. [リーフ (Leaf)] ドロップダウンから、追加するリーフ ノードを選択します。

  3. (任意)[VLAN] フィールドに、タグ付きトラフィックの VLAN ID を入力します。

ステップ 7

1 つ以上のドメイン ノードを追加します。

  1. [+ ドメイン (+Domain)] をクリックします。

  2. [ドメイン関連付けタイプ (Domain Association Type)] を選択します。

    これは、追加するドメインのタイプです。

    • VMM

    • Fibre Channel

    • L2 外部

    • L3 外部

    • 物理

  3. [ドメイン プロファイル (Domain Profile)] の名前を選択します。

  4. [展開の即時性 (Deployment Immediacy)] を選択します。

    導入の即時性で、ポリシーがプッシュされるタイミングを指定できます。

    • [即時(Immediate)]:リーフ ソフトウェアにダウンロードされたポリシーがハードウェアのポリシー CAM ですぐにプログラミングされるように指定します。

    • [オン デマンド(On Demand)]:最初のパケットがデータ パス経由で受信された場合にのみポリシーがハードウェアのポリシー CAM でプログラミングされるように指定します。このプロセスは、ハードウェアの領域を最適化するのに役立ちます。

  5. [解決の即時性 (Resolution Immediacy)] を選択します。

    ポリシーをすぐに解決するか、必要に応じて解決するかを指定します。次のオプションがあります。

    • [即時 (Immediate)]:ハイパーバイザが VMware vSphere Distributed Switch(VDS)に接続されると、EPG ポリシーがリーフ スイッチ ノードにプッシュされるように指定します。LLDP または OpFlex 権限は、ハイパーバイザ/リーフ ノード接続を解決するために使用されます。

    • [オン デマンド (On Demand)]:ハイパーバイザが VDS に接続され、VM がポート グループ(EPG)に配置されている場合にのみ、EPG ポリシーがリーフ スイッチノードにプッシュされるように指定します。

    • [事前プロビジョニング (Pre-provision)]:ハイパーバイザが VDS に接続される前でも、EPG ポリシーがリーフ スイッチ ノードにプッシュされるように指定します。スイッチ上の設定がダウンロードにより事前プロビジョニングされます。

コントラクトとフィルタの設定

ここでは、コントラクトとフィルタを設定し、フィルタをコントラクトに割り当てる方法について説明します。フィルタはアクセス コントロール リスト (ACL) に似ています。これは EPG に関連付けられた契約を通して、トラフィックをフィルタします。

手順

ステップ 1

スキーマを選択し、コントラクトとフィルタを作成するテンプレートを選択します。

コントラクトは、適用するオブジェクト(EPG および外部 EPG)と同じテンプレートでも異なるテンプレートでも作成できます。コントラクトを使用するオブジェクトが異なるサイトに展開されている場合は、複数のサイトに関連付けられたテンプレートでコントラクトを定義することをお勧めします。ただし、これは必須ではありません。コントラクトとフィルタが Site1 のローカル オブジェクトとしてのみ定義されている場合でも、Site2 のローカル EPG または外部 EPG がそのコントラクトを使用または提供する必要がある場合、NDOはそれらのオブジェクトをリモートSite2に作成します。

ステップ 2

フィルタを作成します。

  1. メインペインで、[+ オブジェクトの作成 (+Create Object)] > [フィルタ (Filter)]を選択します。

    または、[フィルタ (Filters)] エリアまでスクロール ダウンし、タイルの上にマウスを移動して、[フィルタの追加 (Add Filter)] をクリックします。

  2. 右側のペインで、フィルタの [表示名 (Display Name)] を入力します。

  3. (任意)[説明 (Description)] を入力します。

ステップ 3

フィルタ エントリを作成します。

  1. 右側のペインで、[+ エントリを追加(+ Add Entry)] をクリックします。

    フィルタ エントリは、ネットワーク トラフィックの分類プロパティの組み合わせです。次の手順の説明に従って、1 つ以上のオプションを指定できます。

  2. フィルタの [名前 (Name)] を指定します。

  3. [イーサー タイプ (Ether Type)] を選択します。

    たとえば [ip] です。

  4. [IP プロトコル (IP Protocol)] を選択します。

    たとえば [icmp] です。

  5. [宛先ポート範囲の開始 (Destination Port Range From)][宛先ポート範囲の終了 (Destination Port Range To)] を選択します。

    宛先ポート範囲の開始と終了です。開始フィールドと終了フィールドに同じ値を指定すれば、単一のポートの指定になります。または、0 から 65535 の範囲内で、ポートの範囲を定義することもできます。また、特定のポート番号(http など)の代わりに、いずれかのサーバ タイプを指定することもできます。

  6. [フラグメントのみの一致 (Match only fragment)] オプションを有効にします。

    有効の場合、オフセットが 0 より大きいすべての IP フラグメント(最初のフラグメントを除くすべての IP フラグメント)にこのルールが適用されます。無効の場合、TCP/UDP ポート情報は最初のフラグメントでしかチェックできないため、オフセットが 0 より大きい IP フラグメントにルールは適用されません。

  7. [ステートフル (Stateful)] オプションを有効にします。

    このオプションを有効にする場合には、プロバイダーからコンシューマに戻るすべてのトラフィックは、常にパケットに ACK ビットが設定されている必要があります。そうでないと、パケットはドロップされます。

  8. [ARP フラグ (ARP flag)]:(Address Resolution Protocol)を指定します。

    ARPフラグは、ARP の特定のフィルタを作成するときに使用され、ARP 要求または ARP 応答を指定できます。

  9. [送信元ポート範囲の開始 (Source Port Range From)][送信元ポート範囲の終了 (Source Port Range To)] を指定します。

    送信元ポート範囲の開始と終了です。開始フィールドと終了フィールドに同じ値を指定すれば、単一のポートの指定になります。または、0 から 65535 の範囲内で、ポートの範囲を定義することもできます。また、特定のポート番号(http など)の代わりに、いずれかのサーバ タイプを指定することもできます。

  10. [TCP セッション ルール (TCP session rules)] を指定します。

    TCPセッションルール は、TCPトラフィックのフィルタを作成するときに使用され、ステートフル ACL の動作を設定できます。

  11. Ok をクリックして、フィルタを保存します。

  12. このフィルタの追加のフィルタ エントリを作成するには、この手順を繰り返します。

    フィルタごとに複数のフィルタ エントリを作成して割り当てることができます。

ステップ 4

コントラクトの作成

  1. メインペインで、[+ オブジェクトの作成 (+Create Object)] > [コントラクト (Contract)]を選択します。

    または、[コントラクト (Contract)] エリアまでスクロール ダウンし、タイルの上にマウスを移動して、[コントラクトの追加 (Add Contract)] をクリックします。

  2. 右側のペインで、コントラクトの表示名を指定します。

  3. (任意)[説明 (Description)] を入力します。

  4. コントラクトの適切な [範囲 (Scope)] を選択します。

    コントラクトの範囲によって、コントラクトのアクセシビリティが制限されます。契約は、プロバイダ EPG の範囲外のコンシューマ EPG には適用されません。

    • アプリケーション プロファイル

    • VRF

    • テナント

    • グローバル

  5. コンシューマからプロバイダーへの方向とプロバイダーからコンシューマへの方向の両方に同じフィルタを適用する場合は、[両方向に適用 (Apply both directions)] ノブを切り替えます。

    このオプションを有効にした場合は、フィルタを 1 回だけ指定することが必要となり、両方向のトラフィックに適用されます。このオプションを無効のままにした場合は、各方向に 1 つずつ、2 セットのフィルタ チェーンを指定する必要があります。

    (注)  

     

    [両方向に適用 (Apply both directions)] を有効にしてコントラクトを作成および展開する場合は、単にオプションを無効にしたり、変更を適用して再展開したりすることはできません。すでに展開されているコントラクトでこのオプションを無効にするには、コントラクトを削除し、テンプレートを展開してから、オプションを無効にしてコントラクトを再作成し、ファブリックの設定を正しく変更する必要があります。

  6. (オプション)[サービス グラフ (Service Graph)] ドロップダウンから、このコントラクトのサービスグラフを選択します。

  7. (オプション)[QoS レベル (QoS Level)] ドロップダウンから、このコントラクトの値を選択します。

    この値には、このコントラクトを使用してトラフィックに割り当てられる ACI QoS レベル を指定します。詳細については、IPN 全体での QoS の保持を参照してください。

    これを [未指定 (Unspecified)] のままにすると、デフォルトの QoS レベル 3 がトラフィックに適用されます。

ステップ 5

コントラクトにフィルタを割り当てる

  1. テンプレートのメイン ペインで、コントラクトを選択します。右側のペインで、[フィルタ チェーン(Filter Chain)] エリアまでスクロールし、[+ フィルタを追加(+ Add Filter)] をクリックしてフィルタをコントラクトに追加します。

  2. 開いた [フィルタ チェーンの追加] ウィンドウで、[名前 (Name)]ドロップダウン メニューから前の手順で追加したフィルタを選択します。

  3. フィルタの [アクション (Action)] を選択します。

    フィルタを追加するときに、フィルタ条件に一致するトラフィックを許可するか拒否するかを選択できます。[拒否 (deny)] フィルタの場合、[デフォルト (default)][低 (low)][中 (medium)]、または [高 (high)] の 4 段階のレベルのいずれかにフィルタの優先順位を設定できます。[許可 (permit)] フィルタは常にデフォルトの優先順位を持ちます。ACIコントラクトとフィルタの詳細については、『Cisco ACI Contract Guide』を参照してください。

  4. Ok をクリックして、フィルタをコントラクトに追加します。

  5. コントラクトで [両方向に適用 (Apply both directions)] オプションを無効にした場合は、他のフィルタ チェーンに対してこの手順を繰り返します。

  6. (オプション)複数のフィルタを作成して各コントラクトに割り当てることができます。

    同じコントラクトに追加のフィルタを作成する場合:

    • ステップ 2 とステップ 3 を繰り返して、フィルタ エントリとともに別のフィルタを作成します。

    • この手順を繰り返して、このコントラクトに新しいフィルタを割り当てます。

スキーマの表示

1 つまたは複数のスキーマを作成すると、[ダッシュボード (Dashboard)] および [スキーマ (Schemas)] ページの両方に表示されます。

これら 2 つのページで使用可能な機能を使用して、展開時の使用率とスキーマの状態をモニタできます。Nexus Dashboard Orchestrator GUI を使用して、実装されたスキーマ ポリシーの特定の領域にアクセスして編集することもできます。

スキーマの複製

このセクションでは、[スキーマ (Schemas)] 画面の [スキーマの複製 (Clone Schema)] 機能を使用して、既存のスキーマとそのすべてのテンプレートのコピーを作成する方法について説明します。


(注)  

テンプレートを複製し、異なる設定で同じサイトに展開しようとすると、名前の重複エラーが原因で展開が失敗する可能性があります。複製されたテンプレートのオブジェクト名を変更すると、表示名のみが更新されます。データベース レコードは変更されないため、このシナリオでは展開が失敗します。

手順

ステップ 1

Cisco Nexus Dashboard Orchestrator の GUI にログインします。

ステップ 2

複製するスキーマを選択します。

  1. 左型のナビゲーション メニューで、[アプリケーション管理 (Application Management) ] > [スキーマ (Schemas)] を選択します。

  2. 複製するスキーマ名の横にある [アクション(Actions)] メニューから、[複製(Clone)] を選択します。

ステップ 3

新しいスキーマの名前を入力し、[複製 (Clone)] をクリックします。

[複製(Clone)] をクリックすると、UI に [<スキーマ名> の複製に成功しました(Cloning of <schema-name> was successful)] というメッセージが表示され、新しいスキーマが [スキーマ(Schemas)] 画面に表示されます。

新しいスキーマは、元のスキーマとまったく同じテンプレート(およびそのテナントの関連付け)、オブジェクト、およびポリシー設定で作成されます。

テンプレート、オブジェクト、および設定はコピーされますが、サイトの関連付けは保持されないため、それらを展開するサイトに複製されたスキーマのテンプレートを再度関連付ける必要があります。同様に、テンプレート オブジェクトをサイトに関連付けた後に、テンプレート オブジェクトのサイト固有の設定を指定する必要があります。

ステップ 4

(オプション)スキーマとそのすべてのテンプレートがコピーされたことを確認します。

2 つのスキーマを比較することで、操作が正常に完了したことを確認できます。