テナント と テナントポリシー

テナントの概要

テナントは、アプリケーションポリシーの論理コンテナで、管理者はドメインベースのアクセスコントロールを実行できます。テナントはポリシーの観点から分離の単位を表しますが、プライベート ネットワークは表しません。テナントは、サービス プロバイダーの環境ではお客様を、企業の環境では組織またはドメインを、または単にポリシーの便利なグループ化を表すことができます。

3 つのデフォルト テナントが事前に設定されています。

  • common:ACI ファブリックの他のテナントに「共通」のサービスを提供するための特別なテナント。共通テナントの基本原則はグローバルな再利用です。一般的なサービスには、共有 L3Out、DNS、DHCP、Active Directory、共有プライベート ネットワークまたはブリッジドメインなどがあります。

  • dcnm-default-tn:Cisco NDFC ファブリックの設定を提供する特別なテナント。

  • infra:トンネルやポリシー展開など、ファブリック内部の通信に使用されるインフラストラクチャ テナント。これには、スイッチ間の切り替えと APIC 通信への切り替えが含まれます。infra テナントは、ユーザー空間(テナント)には公開されず、独自のプライベート ネットワーク空間とブリッジ ドメインを備えています。ファブリックの検出、イメージ管理、ファブリック機能用の DHCP は、すべてこのテナント内で処理されます。

    Nexus Dashboard Orchestrator を使用して Cisco NDFC ファブリックを管理する場合は、常にデフォルトの dcnm-default-tn テナントを使用します。


(注)  

Nexus Dashboard Orchestrator は APIC の管理テナントをテナントしたり、 NDO で mgmt 呼ばれる新しいテナントを作成したりすることはできません。

テナントを管理するには、パワー ユーザまたはサイトとテナント マネージャの読み取り/書き込みロールのいずれかが必要です。

テナント ポリシー テンプレート

リリース 4.0(1)では、テナント ポリシー テンプレートが追加されています。これにより、次のテナント全体のポリシーを構成できます。

  • マルチキャストのルート ポリシー

  • ルート制御のルート マップ ポリシー

  • カスタム QoS ポリシー

  • DHCP リレー ポリシー

  • DHCP オプション ポリシー

  • IGMP インターフェイス ポリシー

  • IGMP スヌーピング ポリシー

  • MLD スヌーピング ポリシー

詳細については、テナント ポリシー テンプレートを作成 を参照してください。

新しいテナントの作成

このセクションでは、Nexus ダッシュボード オーケストレータ GUI を使用して新しいテナントを追加する方法について説明します。ファブリックから既存のテナントを一つ以上インポートしたい場合、既存テナントのインポート に記されているステップに従います。

始める前に

テナントの作成および管理には、パワー ユーザまたはサイト マネージャの読み取り/書き込みロールを持つユーザが必要です。

手順

ステップ 1

Nexus Dashboard にログインし、Nexus Dashboard Orchestrator サービスを開きます。

ステップ 2

新しいテナントを作成。

  1. 左側のナビゲーション メニューで、[アプリケーション管理(Application Management)] > [テナント(Tenants)] を選択します。

  2. メイン ペインの右上にある [テナントの追加 (Add Tenant)] をクリックします。

    [テナントの追加 (Add Tenant)] 画面が開きます。

ステップ 3

テナントの詳細を入力します。

  1. [表示名 (Display Name)] とオプションの [説明 (Description)] を入力します。

    Orchestrator の GUI 全体で、テナントが表示されるたびに、テナントの表示名が使用されます。ただし、APIC でのオブジェクトの命名要件により、無効な文字は削除され、その結果として得られた内部名が、サイトにテナントをプッシュするときに使用されます。テナントの作成時に使用される内部名は、[表示名 (Display Name)] テキストボックスの下に表示されます。

    (注)  

     

    テナントの表示名はいつでも変更できますが、テナントの作成後に内部名を変更することはできません。

  2. [関連付けられたサイト (Associated Sites)] セクションで、このテナントに関連付けるすべてのサイトをオンにします。

    選択したサイトのみが、このテナントを使用している任意のテンプレートで使用可能になります。

  3. (オプション)選択したサイトごとに、その名前の横にある [編集(Edit)] ボタンをクリックし、1 つ以上のセキュリティ ドメインを選択します。

    制限付きセキュリティ ドメインを使用すると、テナント A などのファブリック管理者は、両方のグループのユーザーに同じ権限が割り当てられている場合、あるユーザー グループがテナント B などの別のセキュリティ ドメインのユーザー グループによって作成されたオブジェクトを表示または変更できないようにすることができます。たとえば、テナント A の制限付きセキュリティ ドメインのテナント管理者は、テナント B のセキュリティ ドメインで構成されたポリシー、プロファイル、またはユーザーを表示できません。テナント B のセキュリティ ドメインも制限されていない限り、テナント B は、テナント A で設定されたポリシー、プロファイル、またはユーザーを表示できます。 ユーザーが適切な権限を持つシステム作成の設定に対して、ユーザーは常に読み取り専用で閲覧可能であることに注意してください。制限付きセキュリティドメインのユーザーには、そのドメイン内で幅広いレベルの特権を与えることができます。ユーザーが別のテナントの物理環境に不注意で影響を与える心配はありません。

    セキュリティ ドメインは APIC GUI を使用して作成し、アクセスをコントロールするために、さまざまな APIC ポリシーに割り当てることができます。詳細については、Cisco APIC 基本設定ガイドを参照してください。

  4. [関連付けられたユーザー (Associated Users)] セクションで、テナントへのアクセスが許可されている Nexus Dashboard Orchestratorユーザーを選択します。

    テンプレートを作成するときに選択したユーザのみが、このテナントを使用できます。

ステップ 4

[保存 (Save)] をクリックして、テナントの追加を終了します。

既存テナントのインポート

このセクションでは、1 つ以上の既存のテナントをインポートする方法について説明します。Nexus Dashboard Orchestrator を使用して新しいテナントを作成する場合は、代わりに 新しいテナントの作成 で説明されている手順に従ってください。

始める前に

テナントの作成および管理には、パワー ユーザまたはサイト マネージャの読み取り/書き込みロールを持つユーザが必要です。

手順

ステップ 1

Nexus Dashboard にログインし、Nexus Dashboard Orchestrator サービスを開きます。

ステップ 2

左側のナビゲーションメニューで、[サイト(Sites)] をクリックします。

ステップ 3

テナントのインポート元のサイトを見つけ、その [アクション(Actions)]...)メニューをクリックして、[テナントのインポート(Import Tenants)] を選択します。

一度に 1 つのサイトからテナントをインポートできます。

ステップ 4

[インポート テナント(Import Tenants)] ダイアログ内で、インポートする一つ以上のテナントを選択してOkをクリックします。

選択したテナントが Nexus ダッシュボード オーケストレータにインポートされ、[アプリケーション管理(Application Management)] > [テナント(Tenants)]ページに表示されます。

ステップ 5

これらの手順を繰り返して、他のサイトからテナントをインポートします。

テナント ポリシー テンプレートを作成

このセクションでは、1 つ以上のテナント ポリシー テンプレートを作成する方法について説明します。テナント ポリシー テンプレートを使用すると、次のポリシーを作成および構成できます。

  • マルチキャストのルート マップ ポリシー

  • ルート制御のルート マップ ポリシー

  • カスタム QoS ポリシー

  • DHCP リレー ポリシー

  • DHCP オプション ポリシー

  • IGMP インターフェイス ポリシー

  • MLD スヌーピング ポリシー

  • L3Out ノード ルーティング ポリシー

  • L3Out インターフェイス ルーティング ポリシー

  • BGP ピア プレフィックス ポリシー

  • IPSLA モニタリング ポリシー

  • IPSLA トラック リスト

手順

ステップ 1

Nexus Dashboard にログインし、Nexus Dashboard Orchestrator サービスを開きます。

ステップ 2

新しいテナント ポリシー テンプレートを作成します。

  1. 左側のナビゲーション メニューで、[アプリケーション管理(Application Management)] > [テナント ポリシー(Tenant Policies)] を選択します。

  2. [テナント ポリシー テンプレート(Tenant Policy Template)]ページ内で[テナント ポリシー テンプレートを追加(Add Tenant Policy Template)]をクリックします。

  3. [テナント ポリシー(Tenant Policies)] ページの右のプロパティ サイトバーにテンプレートの [名前(Name)] を入力します。

  4. [テナントの選択(Select a Tenant)]ドロップダウンから、このテンプレートに関連付けるテナントを選択します。

    次の手順で説明するように、このテンプレートで作成するすべてのポリシーは、選択したテナントに関連付けられ、テンプレートを特定のサイトにプッシュすると、テナントに展開されます。

デフォルトでは、新しいテンプレートは空であるため、次のステップに従って 1 つ以上のテナント ポリシーを追加する必要があります。テンプレートで使用可能なすべてのポリシーを作成する必要はありません。このテンプレートとともに展開する各タイプのポリシーを 1 つ以上定義できます。特定のポリシーを作成したくない場合は、説明されている手順をスキップしてください。

ステップ 3

テンプレートを 1 つ以上のサイトに割り当てます。

サイトにテナント ポリシー テンプレートを割り当てるプロセスは、サイトにアプリケーション テンプレートを割り当てる方法と同じです。

  1. [テンプレート プロパティ(Template Properties)] 表示内で [アクション(Actions)] をクリックして [サイトの関連付け(Sites Association)] を選択します。

    [ <template-name> にサイトの関連付け(Associate Sites to <template-name>)] ウィンドウが開きます。

  2. [サイトの関連付け(Associate Sites)] ウィンドウで、テンプレートを展開するサイトの横のチェックボックスをオンにします。

    テナント ポリシー テンプレートは、オンプレミス ACI サイトにのみサポートされることにご注意ください。そして、割り当て可能です。

  3. Ok をクリックして保存します。

ステップ 4

マルチキャストのルート マップ ポリシーを作成します。

このポリシーは、包括的なレイヤ 3 マルチキャスト ユース ケースの一部です。このセクションにある情報を参照資料として使用することができます。しかし資料のレイヤ 3 マルチキャスト章の 機能とユース ケース セクションの全てのステップのセットに従うことをおすすめします。

  1. [+オブジェクトの作成(+Create Object)] ドロップダウンから、[マルチキャストのルート マップ ポリシー(Route Map Policy for Multicast)] を選択します。

  2. 右のプロパティのサイドバーでは、ポリシーの [名前(Name)] を指定します。

  3. (オプション) [説明を追加(Add Description)] をクリックして、このポリシーの説明を入力します。

  4. [+ マルチキャスト エントリのルート マップを追加(+Add Route Map for Multicast Entries)] をクリックし、ルート マップ情報を指定します。

    ルート マップごとに、1 つ以上のルート マップ エントリを作成する必要があります。次の情報によると各コンテキストは、1 つ以上の一致基準に基づいてアクションを定義するルールです:

    • 順序 – 順序は、ルールを評価する順序を決定するために用いられます。

    • グループ IPSrc IPRP IP – 同じマルチキャスト ルート マップのポリシー UI は 2 つの方法で使用できます。マルチキャスト トラフィックのフィルタのセットを設定すること、またはランデブー ポイントの構成をマルチキャスト グループの特定のセットに制限することです。設定する使用例によっては、この画面のフィールドの一部だけを指定すればよい場合もあります。

      • マルチキャスト フィルタリングの場合には、フィルタを定義するために、[ソース IP (Source IP)][グループ (Group IP)] フィールドを使用します。これらのフィールドの少なくとも 1 つを提供できますが、両方を含むことを選択できます。フィールドの 1 つが空白のままの場合は、すべての値と一致します。

        グループ IP の範囲は 224.0.0.0239.255.255.255 で、ネットマスクは /4/32 である必要があります。サブネット マスクを指定する必要があります。

        RP IP (ランデブー ポイントの IP) は、マルチキャスト フィルタリング ルート マップでは使用しないので、このフィールドはブランクのままにします。

      • ランデブー ポイントの設定では、[グループ IP (Group IP)] フィールドを使用して RP のマルチキャスト グループを定義できます。

        グループ IP の範囲は 224.0.0.0239.255.255.255 で、ネットマスクは /4/32 である必要があります。サブネット マスクを指定する必要があります。

        ランデブー ポイント設定の場合、RP IP は RP 設定の一部として設定されます。ルート マップをグループ フィルタリングに使用する場合は、ルート マップに RP IP アドレスを設定する必要はありません。この場合には、[RP IP][ソース IP (Source IP)] フィールドを空白のままにします。

    • アクション – アクションは、一致が検出された場合に実行するアクションの許可または拒否を定義します。

  5. チェックマーク アイコンをクリックして、エントリを保存します。

  6. 前のサブステップを繰り返して、同じポリシーの追加のルート マップ エントリを作成します。

  7. [保存(Save)] をクリックしてポリシーを保存し、テンプレート ページに戻ります。

  8. この手順を繰り返して、マルチキャスト ポリシーの追加のルート マップを作成します。

ステップ 5

ルート制御のルート マップ ポリシーを作成。

このポリシーは、包括的な L3Out および SR-MPLS L3Out の使用例の一部です。このセクションにある情報を参照資料として使用することができます。しかし資料の外部接続(L3Out)の構成マルチサイト と SR-MPLS L3Out ハンドオフ章の 機能とユース ケース セクションの全てのステップのセットに従うことをおすすめします。

  1. [+オブジェクトの作成(+Create Object)] ドロップダウンから、[ルート コントロールのルート マップ ポリシー(Route Control Policy for Multicast)] を選択します。

  2. 右のプロパティのサイドバーでは、ポリシーの [名前(Name)] を指定します。

  3. (オプション) [説明を追加(Add Description)] をクリックして、このポリシーの説明を入力します。

  4. [+エントリを追加(+Add Entry)] をクリックして、ルート マップ情報を入力します。

    ルート マップごとに、1 つ以上のコンテキスト エントリを作成する必要があります。次の情報によると各コンテキストは、1 つ以上の一致基準に基づいてアクションを定義するルールです:

    • コンテキストの順序 – コンテキストの順序は、コンテキストが評価される順序を決定するために使用されます。値は 0 ~ 9 の範囲内である必要があります。

    • コンテキスト アクション – コンテキスト アクションは、一致が検出された場合に実行するアクションの 許可 または 拒否 を定義します。複数のコンテキストに同じ値が使用されている場合、それらは定義された順序で 1 つ評価されます。

    コンテキストの順序とアクションを定義したら、コンテキストを一致させる方法を選択します。

    • [+ 属性の追加 (+Add Attibute)] をクリックして、コンテキストが一致する必要があるアクションを指定します。

      次のアクションのうちの 1 つを選択できます。

      • コミュニティの設定

      • ルート タグの設定

      • ダンプニングを設定します

      • ウェイトの設定

      • ネクスト ホップの設定

      • プリファレンスの設定

      • メトリックの設定

      • メトリック タイプの設定

      • AS パス の設定

      • 追加のコミュニティを設定

      属性を構成したら、[保存(Save)]をクリックします。

    • 定義したアクションを IP アドレスまたはプレフィックスに関連付ける場合は、[IP アドレスの追加(Add IP Address)] をクリックします。

      [プレフィックス (prefix)] フィールドに、IP アドレス プレフィックスを入力します。IPv4 と IPv6 の両方のプレフィックスがサポートされています (例:2003:1:1a5:1a5::/64または205.205.0.0/16)。

      特定の範囲の IP を集約する場合は、[集約 (aggregate)] チェックボックスをオンにして、範囲を指定します。たとえば、0.0.0.0/0 プレフィックスを指定して任意の IP に一致させるか、10.0.0.0/8 プレフィックスを指定して任意の 10.xxx アドレスに一致させることができます。

    • 定義したアクションをコミュニティ リストに関連付ける場合は、[コミュニティの追加] をクリックします。

      [コミュニティ (Community)] フィールドに、コミュニティ文字列を入力します。たとえば、 regular:as2-as2-nn2:200:300 などです。

      次に、[範囲(Scope)]を選択します:推移性は、コミュニティが eBGP ピアリング全体 (自律システム(AS)全体) に伝播することを意味し、非推移性は、コミュニティが伝播しないことを意味します。

  5. 前のサブステップを繰り返して、同じポリシーの追加のルート マップ エントリを作成します。

  6. [保存(Save)] をクリックしてポリシーを保存し、テンプレート ページに戻ります。

  7. この手順を繰り返して、ルート コントロール ポリシーの追加のルート マップを作成します。

ステップ 6

カスタム QoS ポリシーを作成。

Cisco APIC でカスタム QoS ポリシーを作成して、DSCP または CoS 値に基づいて入力トラフィックを分類し、それを QoS 優先度レベル (QoS ユーザー クラス) に関連付けて、ACI ファブリック内で適切に処理することができます。DSCP の値が IP ヘッダーにある場合および/または CoS の値が入力トラフィックのイーサネット ヘッダーにあるのみ、分類はサポートされます。さらに、カスタム QoS ポリシーを使用して、入力トラフィックのヘッダー内の DSCP および/または CoS 値を変更できます。

たとえば、カスタム QoS ポリシーを使用すると、IP ヘッダーのないレイヤ 2 パケットなど、CoS 値のみに基づいてトラフィックをマークするデバイスから ACI ファブリック トラフィックに着信するトラフィックを分類できます。

ACI ファブリック内の QoS 機能の詳細についてはCisco APIC と QoSを参照します。

  1. [+オブジェクトの作成(+Create Object)] ドロップダウンから、[カスタム QoS ポリシー(Custom QoS Policy)] を選択します。

  2. 右のプロパティのサイドバーでは、ポリシーの [名前(Name)] を指定します。

  3. (オプション) [説明を追加(Add Description)] をクリックして、このポリシーの説明を入力します。

  4. [+ DSCP マッピングを追加(+Add DSCP Mappings)] をクリックして、必要な情報を入力します。

    DSCP マッピング構成を使用すると、マッピングで指定された範囲内に DSCP 値がある入力トラフィックを指定された QoS 優先度レベル(クラス)に関連付けることができます。また、入力トラフィックの DSCP および/または CoS 値を設定して、トラフィックがファブリックを出るときにそれらの値を保持できるようにすることもできます。

    (注)  

     

    出力トラフィックのターゲット CoS 値を保持するには、NDO ファブリック ポリシーの一部である「CoS を保持する」ポリシーを構成する必要があります。

    「DSCP ターゲット」および/または「ターゲット CoS」の値が DSCP マッピングと CoS マッピングの両方の一部として設定されている場合、DSCP マッピングで指定された値が優先されます。

    マッピングごとに、次のフィールドを指定できます:

    • DSCP から – DSCP 範囲の開始。

    • DSCP へ – DSCP 範囲の終わり。

    • DSCP ターゲット – 出力トラフィックのために保持される入力トラフィックに設定する DSCP 値。

    • ターゲット CoS – 「CoS を保持」が有効になっている場合に、出力トラフィックのために保持される入力トラフィックに設定する CoS 値。

    • 優先度 – トラフィックが割り当てられる QoS 優先度クラス。

    マッピングを指定したら、チェックマーク アイコンをクリックして保存します。次に、[+DSCP マッピングの追加(+Add DSCP Mappings)] をクリックして、同じポリシー内に追加のマッピングを提供できます。

  5. [追加(Add)] をクリックしてポリシーを保存し、テンプレート ページに戻ります。

  6. [+ CoS マッピングを追加(+Add CoS Mappings)] をクリックして、必要な情報を入力します。

    DSCP マッピング構成を使用すると、マッピングで指定された範囲内に DSCP 値がある入力トラフィックを指定された QoS 優先度レベル(クラス)に関連付けることができます。また、入力トラフィックの DSCP および/または CoS 値を設定して、トラフィックがファブリックを出るときにそれらの値を保持できるようにすることもできます。

    (注)  

     

    出力トラフィックのターゲット CoS 値を保持するには、NDO ファブリック ポリシーの「CoS を保持する」ポリシーを構成する必要があります。

    また、「DSCP ターゲット」および/または「ターゲット CoS」の値が DSCP マッピングと CoS マッピングの両方の一部として設定されている場合、DSCP マッピングで指定された値が優先されます。

    マッピングごとに、次のフィールドを指定できます:

    • Dot1P から – CoS 範囲の開始。

    • Dot1P へ – CoS 範囲の終わり。

    • DSCP ターゲット – 出力トラフィックのために保持される入力トラフィックに設定する DSCP 値。

    • ターゲット CoS – 「CoS を保持」が有効になっている場合に、出力トラフィックのために保持される入力トラフィックに設定する CoS 値。

    • 優先度 – トラフィックが割り当てられる QoS 優先度クラス。

    マッピングを指定したら、チェックマーク アイコンをクリックして保存します。次に、[+Cos マッピングの追加(+Add Cos Mappings)] をクリックして、同じポリシー内に追加のマッピングを提供できます。

  7. [追加(Add)] をクリックしてポリシーを保存し、テンプレート ページに戻ります。

  8. この手順を繰り返して、ルート コントロール ポリシーの追加のルート マップを作成します。

ステップ 7

DHCP リレー ポリシーの作成。

このポリシーは、包括的な DHCP リレー ユース ケースの一部です。このセクションにある情報を参照資料として使用することができます。しかし資料のDHCPリレー章の 機能とユース ケース セクションの全てのステップのセットに従うことをおすすめします。

  1. [+オブジェクトの作成(+Create Object)] ドロップダウンから、[ DHCP リレー ポリシー( DHCP Relay Policy)] を選択します。

  2. 右のプロパティのサイドバーでは、ポリシーの [名前(Name)] を指定します。

  3. (オプション) [説明を追加(Add Description)] をクリックして、このポリシーの説明を入力します。

  4. [プロバイダーの追加(Add Provider)] をクリックして、エンドポイントによって発信された DHCP 要求をリレーする DHCP サーバーを構成します。

  5. プロバイダ タイプを選択します。

    リレー ポリシーを追加するときには、次の 2 つのタイプのうちの 1 つを選択できます。

    • アプリケーション EPG :DHCP 要求をリレーする DHCP サーバーを含むアプリケーション EPG を指定します。

    • L3 外部ネットワーク — ファブリックの外部のネットワークの場所 でもあるDHCP サーバーが接続されている場所へのアクセスに使用される L3Out に関連付けられた外部 EPG を指定します。

    (注)  

     

    Orchestrator をサイトにまだ展開していない場合でも、Orchestratorで作成され、指定したテナントに割り当てられている EPG または外部 EPG を選択できます。展開されていない EPG を選択した場合でも、DHCP リレー構成を完了することができますが、リレーが使用可能になる前に EPG を展開する必要があります。

  6. [アプリケーション EPG を選択(Select an Application EPG)] または [外部 EPG を選択(Select an External EPG)](選択したプロバイダー タイプに基づく)をクリックし、プロバイダー EPG を選択します。

  7. [DHCP サーバ アドレス] フィールドに、DHCP サーバの IP アドレスを入力します。

  8. 必要に応じて、DHCP サーバー VRF プリファレンス オプションを有効にします。

    この機能は、Cisco APIC リリース 5.2(4)に紹介されています。必要な使用例の詳細については、Cisco APIC 基本構成ガイドを参照してください。

  9. [OK] をクリックして、プロバイダー情報を保存します。

  10. 同じ DHCP リレー ポリシー内の追加のプロバイダーについて、前のサブステップを繰り返します。

  11. このステップを繰り返して、追加の DHCP リレー ポリシーを作成します。

ステップ 8

DHCP オプション ポリシーの作成。

このポリシーは、包括的な DHCP リレーの使用例の一部です。このセクションにある情報を参照資料として使用することができます。しかし資料のDHCPリレー章の 機能とユース ケース セクションの全てのステップのセットに従うことをおすすめします。

  1. [+オブジェクトの作成] ドロップダウンから、[DHCP オプション ポリシー] を選択します。

  2. 右のプロパティのサイドバーでは、ポリシーの [名前(Name)] を指定します。

  3. (オプション) [説明を追加(Add Description)] をクリックして、このポリシーの説明を入力します。

  4. [Add Option] をクリックします。

  5. オプションの詳細を入力します。

    DHCP オプションごとに、以下を指定します:

    • Name – 技術的には要求されていませんが、RFC 2132 にリストされたオプションに同じ名前を使用することをお勧めします。

      たとえば、ネーム サーバ が挙げられます。

    • ID – オプションが値を要求した場合はそれを指定します。

      たとえば、[ネーム サーバ] オプションのクライアントに使用可能なネーム サーバのリスト。

    • Data – オプションが値を要求した場合はそれを指定します。

      たとえば、[ネーム サーバ] オプションのクライアントに使用可能なネーム サーバのリスト。

  6. [OK] をクリックして保存します。

  7. 同じ DHCP オプション ポリシー内の追加オプションについて、前のサブステップを繰り返します。

  8. このステップを繰り返して、追加の DHCP オプション ポリシーを作成します。

ステップ 9

IGMP インターフェイス ポリシーを作成します。

IGMP スヌーピングは、ブリッジ ドメイン内の IP マルチキャスト トラフィックを調べて、該当する受信側が常駐するポートを検出します。IGMP スヌーピングではポート情報を利用することにより、マルチアクセスブリッジ ドメイン環境における帯域幅消費量を削減し、ブリッジ ドメイン全体へのフラッディングを回避します。

ACI ファブリックでの IGMP スヌーピングの詳細については、使用しているリリースの Cisco APIC Layer 3 Networking Configuration Guide の「IGMP Snooping」の章を参照してください。

  1. [+オブジェクトの作成] ドロップダウンから、[IGMP インターフェイス ポリシー] を選択します。

  2. 右のプロパティのサイドバーでは、ポリシーの [名前(Name)] を指定します。

  3. (オプション) [説明を追加(Add Description)] をクリックして、このポリシーの説明を入力します。

  4. ポリシーの詳細を入力します。

    • バージョン 3 ASM を許可 – SSM 範囲外のマルチキャスト グループの IGMP バージョン 3 送信元固有レポートの受け入れを許可します。この機能がイネーブルの場合、グループが設定された SSM 範囲外であっても、グループと送信元の両方を含む IGMP バージョン 3 レポートを受信すると、スイッチは(S, G)mroute エントリを作成します。ホストが SSM 範囲外の(*, G)レポートを送信する場合、または SSM 範囲の(S、G)レポートを送信する場合、この機能は不要です。

    • 高速脱退 – デバイスからグループ固有のクエリーが送信されないため、所定の IGMP インターフェイスで IGMPv2 グループ メンバーシップの脱退のための待ち時間を最小限にできるオプション。高速脱退を有効にすると、デバイスではグループに関する脱退メッセージの受信後、ただちにマルチキャスト ルーティング テーブルからグループ エントリが削除されます。デフォルトではディセーブルになっています。

      これは、所定のグループに対するBD/インターフェイスの背後にただ 1 つの受信者しか存在しない場合に使用します。

    • レポート リンクローカル グループ – 224.0.0.0/24 に含まれるグループに対して、レポート送信を有効にします。非リンク ローカル グループには、常にレポートが送信されます。デフォルトでは、リンク ローカル グループにレポートは送信されません。

    • IGMP バージョン –ブリッジ ドメインまたはインターフェイスでイネーブルにする IGMP のバージョン。有効な IGMP バージョンは 2 または 3 です。デフォルトは 2 です。

    • 高度な設定 – このセクションの隣の→をクリックして、展開してください。

      • グループ タイムアウト – ルータによって、ネットワーク上にグループのメンバーまたは送信元が存在しないと見なされるまでのグループ メンバーシップ インターバル。有効範囲は 3 ~ 65,535 秒です。デフォルト値は 260 秒です。

      • クエリ インターバル – IGMP ホスト クエリ メッセージの送信頻度を設定します。有効範囲は 1 ~ 18,000 秒です。デフォルト値は 125 秒です。

      • クエリ応答インターバル – IGMP クエリでアドバタイズされる応答時間を設定します。有効範囲は 1 ~ 25 秒です。デフォルトは 10 秒です。

      • 最終メンバー カウント – ホストの Leave メッセージを受信してから、IGMP クエリーが送信される回数を設定します。有効範囲は 1 ~ 5 です。デフォルトは 2 です。

      • 最終メンバー応答時間 – メンバーシップ レポートを送信してから、ソフトウェアがグループ ステートを解除するまでのクエリー インターバルを設定します。有効範囲は 1 ~ 25 秒です。デフォルト値は 1 秒です。

      • スタートアップ メンバー カウント – マルチキャスト トラフィックをルーティングする必要がないため、PIM をイネーブルにしていない場合に、起動時に送信されるクエリー数に対してスヌーピングを設定します。有効範囲は 1 ~ 10 です。デフォルト値は 2 メッセージです。

      • スタートアップ クエリ インターバル – 起動時の IGMP スヌーピング クエリ間隔を設定します。指定できる範囲は 1 ~ 18000 秒です。デフォルト値は 125 秒です。

      • クエリア タイムアウト – クエリアとして処理を引き継ぐかどうかをソフトウェアが判断するための、クエリア タイムアウト値を設定します。有効範囲は 1 ~ 65,535 秒です。デフォルト値は 255 秒です。

      • ロバストネス変数 – ロバストネス変数を設定します。ネットワークのパケット損失が多い場合は、この値を大きくします。有効値の範囲は、1 ~ 7 です。デフォルトは 2 です。

      • ステート リミットルート マップ – 予約済みマルチキャスト エントリ機能で使用

        ルート マップ ポリシーは、ステップ 2 の説明に従ってすでに作成されている必要があります。

      • レポート ポリシー ルート マップ – ルート マップ ポリシーに基づく IGMP レポートのポリシーにアクセスします。IGMP グループ レポートは、ルートマップで許可されたグループに対してのみ選択されます

        ルート マップ ポリシーは、ステップ 2 の説明に従ってすでに作成されている必要があります。

      • スタティック レポート ルート マップ – マルチキャスト グループを発信インターフェイスに静的にバインドし、スイッチ ハードウェアで処理されます。グループ アドレスのみを指定した場合は、(*, G)ステートが作成されます。送信元アドレスを指定した場合は、(S, G)ステートが作成されます。グループ プレフィックス、グループ範囲、および送信元プレフィックスを示すルートマップ ポリシー名を指定できます。IGMPv3 をイネーブルにした場合にのみ、(S, G)ステートに対して送信元ツリーが作成されます。

        ルート マップ ポリシーは、ステップ 2 の説明に従ってすでに作成されている必要があります。

      • 最大マルチキャスト エントリ – IGMP レポートによって作成される BD またはインターフェイスの mroute 状態を制限します。デフォルトは無効にされ、制限は設定されません。有効な範囲は 1 ~ 4294967295 です。

  5. このステップを繰り返して、追加の IGMP インターフェイス ポリシーを作成します。

ステップ 10

MLD スヌーピング ポリシーを作成します。

マルチキャスト リスナー検出(MLD)スヌーピングにより、ホストとルータ間で IPv6 マルチキャスト トラフィックを効率的に配信できます。これは、MLD クエリまたはレポートを送受信したポートのサブセットにブリッジ ドメイン内の IPv6 マルチキャスト トラフィックを制限する レイヤ 2 機能です。このように、MLD スヌーピングは、マルチキャスト トラフィックの受信に関心を示しているノードがないネットワークのセグメントでは帯域幅を節約できるという利点があります。これにより、ブリッジ ドメインでフラッディングが生じることがなく、帯域幅の使用量が削減され、ホストとルータで不要なパケット処理を節約できます。

ACI ファブリックでの MLD スヌーピングの詳細については、使用しているリリースの Cisco APIC Layer 3 Networking Configuration Guide の「MLD Snooping」の章を参照してください。

  1. [+オブジェクトの作成] ドロップダウンから、[MLD スヌーピング ポリシー] を選択します。

  2. 右のプロパティのサイドバーでは、ポリシーの [名前(Name)] を指定します。

  3. (オプション) [説明を追加(Add Description)] をクリックして、このポリシーの説明を入力します。

  4. ポリシーの詳細を入力します。

    • Admin State – MLD スヌーピング機能を有効または無効にします。

    • 高速脱退コントロール – ブリッジ ドメインごとに高速脱退機能をオンまたはオフにできます。これは MLDv2 ホストに適用され、1 つのホストだけがそのポートの背後で MLD を実行することがわかっているポートで使用されます。

      デフォルトは無効です。

    • クエリア コントロール – MLD スヌーピング クエリア処理を有効または無効にします。MLD スヌーピング クエリアは、マルチキャスト トラフィックをルーティングする必要がないため、PIM および MLD を設定していないブリッジ ドメイン内で MLD スヌーピングをサポートします。

      デフォルトは無効です。

    • クエリア バージョン – クエリア バージョンを選択できます。

      デフォルトは、Version2です。

    • 高度な設定 – このセクションの隣の→をクリックして、展開してください。

      • クエリ インターバル – MLD ホスト クエリ メッセージをソフトウェアが送信する頻度を設定します。有効範囲は 1 ~ 18,000 秒です。

        デフォルト値は 125 秒です。

      • クエリ応答インターバル – MLD クエリでアドバタイズされる応答時間を設定します。有効範囲は 1 ~ 25 秒です。

        デフォルトは 10 秒です。

      • 最終メンバー クエリ インターバル – メンバーシップ レポートを送信してから、ソフトウェアがグループ ステートを削除するまでのクエリー応答時間を設定します。有効範囲は 1 ~ 25 秒です。

        デフォルト値は 1 秒です。

      • スタート クエリ カウント – マルチキャスト トラフィックをルーティングする必要がないため、PIM を有効にしていない場合に、起動時に送信される多くのクエリに対してスヌーピングを構成します。有効範囲は 1 ~ 10 です。

        デフォルトは 2 です。

      • スタート クエリ インターバル ― マルチキャスト トラフィックをルーティングする必要がないため、PIM をイネーブルにしていない場合に、起動時のスヌーピング クエリー インターバルを構成します。有効範囲は 1 ~ 18,000 秒です。

        デフォルト値は 31 秒です。

  5. 追加のMLD スヌーピング ポリシーを作成するために、このステップを繰り返します。

ステップ 11

L3Out ノード ルーティング ポリシーを作成します。

このポリシーは、包括的な L3Out および SR-MPLS L3Out 構成の使用例の一部です。このセクションにある情報を参照資料として使用することができます。しかし資料の外部接続(L3Out)の構成章の 機能とユース ケース セクションの全てのステップのセットに従うことをおすすめします。

  1. メインペインで、 [オブジェクトの作成(Create Object)] > [L3Out ノード ルーティング ポリシー(L3Out Node Routing Policy)] を選択します。

  2. ポリシーの [名前(Name)] を入力し、[BFD マルチホップ設定(BFD Multi-Hop Settings)][BGP ノード設定(BGP Node Settings)]、または [BGP ベスト パス制御(BGP Best Path Control)] オプションの少なくとも 1 つを追加します。

    • BFD マルチホップ設定 – 1 つ以上のホップのある接続先の転送の失敗の検出を提供します。

      この場合、単一ホップで作られるインターフェイスの代わりにマルチホップ セッションが送信元と接続先の間に作られます。

      (注)  

       

      BFD マルチホップ設定には、Cisco APIC リリース 5.0(1) 以降が必要です。

    • BGP ノード設定 – BGP ピアの間のトラフィックに BGP プロトコル タイマーとセッション設定を構成することができます。

    • BGP ベストパス コントロール – 様々な BGP ASN から受けとった複数のパスの間の load-balancing の有効化であるas-path multipath-relaxを有効にできます。

ステップ 12

L3Out インターフェイス ルーティング ポリシーを作成します。

このポリシーは、包括的な L3Out および SR-MPLS L3Out 構成の使用例の一部です。このセクションにある情報を参照資料として使用することができます。しかし資料の外部接続(L3Out)の構成章の 機能とユース ケース セクションの全てのステップのセットに従うことをおすすめします。

  1. メインペインで、 [オブジェクトの作成(Create Object)] > [L3Out インターフェイス ルーティング ポリシー(L3Out Interface Routing Policy)] を選択します。

  2. ポリシーの名前を指定し、BFD 設定BFD マルチホップ設定、および OSPF インターフェイス設定を定義します。

    • BFD 設定 – ピアリング ルータ 接続のサポートのために構成されている ACI ファブリック境界線リーフ スイッチの転送の失敗の検出を提供します。

      複数のプロトコルがルータ間ので有効にされている場合、各プロトコルにリンク失敗の検出機能が備わっています。それぞれ、違うタイムアウトがある可能性があります。BFD は、一貫性のある予測できる統合時間を出すために全てのプロトコルに対して均一なタイムアウトを出します。

    • BFD マルチホップ設定 – 1 つ以上のホップのある接続先の転送の失敗の検出を提供します。

      この場合、単一ホップで作られるインターフェイスの代わりにマルチホップ セッションが送信元と接続先の間に作られます。

      (注)  

       

      BFD マルチホップ設定には、Cisco APIC リリース 5.0(1) 以降が必要です。

    • OSPF インターフェイス設定 – 優先度、コスト、間隔、制御などのインターフェイス レベルの設定を構成できます。

ステップ 13

BGP ピア プレフィックス ポリシーを作成します。

このポリシーは、包括的な L3Out および SR-MPLS L3Out 構成の使用例の一部です。このセクションにある情報を参照資料として使用することができます。しかし資料の外部接続(L3Out)の構成章の 機能とユース ケース セクションの全てのステップのセットに従うことをおすすめします。

  1. メインペインで、 [オブジェクトの作成(Create Object)] > [BGP ピア プレフィックス ポリシー(BGP Peer Prefix Policy)] を選択します。

  2. ポリシーの名前を指定し、プレフィックスの最大数と、その数を超えた場合に実行するアクションを定義します。

    次の動作が設定可能です。

    • Log

    • 拒否

    • [Restart]

    • シャットダウン

ステップ 14

IPSLA モニタリング ポリシーを作成します。

このポリシーは、包括的な L3Out および SR-MPLS L3Out 構成の使用例の一部です。このセクションにある情報を参照資料として使用することができます。しかし資料の外部接続(L3Out)の構成章の 機能とユース ケース セクションの全てのステップのセットに従うことをおすすめします。

  1. メインペインで、 [オブジェクトの作成(Create Object)] > [IPSLA モニタリング ポリシー(IPSLA Monitoring Policy)] を選択します。

  2. ポリシーの名前を指定し、その設定を定義します。

    (注)  

     

    SLA タイプHTTP を選択した場合、ファブリックは Cisco APIC リリース 5.1(3) 以降を実行している必要があります。

ステップ 15

IPSLA トラック リストを作成します。

このポリシーは、包括的な L3Out および SR-MPLS L3Out 構成の使用例の一部です。このセクションにある情報を参照資料として使用することができます。しかし資料の外部接続(L3Out)の構成章の 機能とユース ケース セクションの全てのステップのセットに従うことをおすすめします。

  1. メインペインで、[オブジェクトを作成(Create Object)] > IPSLA トラック リスト を選択します。

  2. ポリシーの名前を入力します。

  3. Type を選択します。

    利用可能または利用不可能なルートの定義は、しきい値パーセンテージまたはしきい値重みに基づいて行うことができます。

  4. [+ トラック リストをトラック メンバー関係に追加] をクリックして、1 つ以上のトラック メンバーをこのトラック リストに追加します。

    (注)  

     

    トラック メンバーに関連付けるブリッジ ドメインまたは L3Out を選択する必要があります。ブリッジ ドメイン (BD) または L3Out をまだ作成していない場合は、トラック メンバーの追加をスキップし、1 つを割り当てずにポリシーを保存し、BD または L3Out を作成した後に戻ることができます。

  5. [トラック メンバー関係にトラック リストを追加(Add Track List to Track Member Relation)] ダイアログで、宛先 IP範囲タイプを指定し、IPSLA モニタリング ポリシーを選択します。

    追跡リストの範囲は、ブリッジ ドメインまたは L3Out のいずれかです。IPSLA モニタリング ポリシーは、前のステップで作成したものです。

ステップ 16

テンプレートの変更内容を保存するために[保存(Save)] をクリックします。

(注)  

 

テンプレートを 1 つ以上のサイトに保存(または展開)すると、オーケストレータ は、指定されたノードやインターフェースがサイトに対して有効であることを確認し、エラーを返します。

ステップ 17

関連サイトに新しいテンプレートを展開するために[展開(Deploy)] をクリックします。

テナント ポリシー テンプレートの展開方法とアプリケーション テンプレートの展開方法は同じです。

以前にこのテンプレートを展開したが、それ以降に変更を加えていない場合は、[展開] の概要に変更がないことが示され、テンプレート全体を再展開することを選択できます。この場合は、この手順をスキップできます。

或いは、[サイトに展開 (Deploy to Sites)] ウィンドウには、サイトに展開される構成の違いの概要が表示されます。この場合、構成の違いのみがサイトに展開されることにご注意ください。テンプレート全体を再展開したい場合、違いを同期するために1 回展開をする必要があります。そして、前のパラグラフに記されている通り、構成全体をプッシュするためにまた再展開する必要があります。