VMware VDS または Microsoft Hyper-V 仮想スイッチの EPG 分離
EPG 内分離は、同じベース EPG または uSeg EPG 内の物理エンドポイント デバイスまたは仮想エンドポイント デバイスが相互に通信しないようにするオプションです。デフォルトでは、同じ EPG に含まれるエンドポイント デバイスは互いに通信することができます。しかし、EPG内のエンドポイント デバイスの別のエンドポイント デバイスからの完全な分離が望ましい状況が存在します。たとえば、同じ EPG 内のエンドポイント VM が複数のテナントに属している場合、またはウイルスが広がるのを防ぐために、EPG 内の分離を実行することができます。
Cisco ACI 仮想マシンマネージャ (MM) ドメインは、EPG 内のアイソレーションが有効になっている EPG ごとに、VMware VDS または Microsoft Hyper-V 仮想スイッチに独立した PVLAN ポート グループを作成します。ファブリック管理者がプライマリ カプセル化を指定するか、または EPG と VMM ドメインの関連付け時にファブリックが動的にプライマリ カプセル化を指定します。ファブリック管理者が VLAN pri 値とVLAN-sec 値を静的に選択すると、VMM ドメインによって VLAN-pri と VLAN-sec がドメイン プール内のスタティック ブロックの一部であることが検証されます。
![]() (注) |
イントラ EPG 隔離が強制されない場合、設定で指定されていても VLAN-pri 値は無視されます。 |
VMware VDS または Microsoft Hyper-V 仮想スイッチの VLAN-pri/VLAN-sec ペアは、EPG とドメインの関連付け中に VMM ドメインごとに選択されます。EPG 内隔離 EPG に作成されたポート グループは
PVLAN
に設定されたタイプでタグ付けされた VLAN-sec を使用します。VMware VDS または Microsoft Hyper-V 仮想スイッチおよびファブリックは、VLAN-pri/VLAN-sec カプセル化をスワップします。
-
Cisco ACI ファブリックから VMware VDS または Microsoft Hyper-V 仮想スイッチへの通信は、VLAN-pri を使用します。
-
VMware VDS または Microsoft Hyper-V 仮想スイッチから Cisco ACI ファブリックへの通信は、VLAN-sec を使用します。

この図に関する次の詳細に注意してください。
-
EPG-DB は VLAN トラフィックを Cisco ACI リーフ スイッチに送信します。Cisco ACI の出力リーフ スイッチは、プライマリ VLAN (PVLAN) タグでトラフィックをカプセル化し、それを Web-EPG のエンドポイントに転送します。
-
VMware VDS or Microsoft Hyper-V 仮想スイッチは VLAN-sec を使用して ACI リーフ スイッチにトラフィックを送信します。Cisco ACI リーフ スイッチは、Web-EPG 内のすべての VLAN-sec 内トラフィックに分離が適用されているため、すべての EPG 内トラフィックをドロップします。
-
VMware VDS または Microsoft Hyper-V 仮想スイッチ Cisco ACI リーフ へのアップリンク VLAN は、独立型トランク モードです。Cisco ACI リーフスイッチは、VMware VDS または Microsoft Hyper-V 仮想スイッチへのダウンリンク トラフィックに VLAN-pri を使用します。
-
PVLAN マップは、VMware VDS または Microsoft Hyper-V 仮想スイッチおよび Cisco ACI リーフ スイッチで設定されます。WEB-EPG からのVMトラフィックは VLAN-sec 内でカプセル化されます。VMware VDS または Microsoft Hyper-V 仮想スイッチは PVLAN タグに従ってローカルの WEB 内 EPG VM トラフィックを拒否します。ESXi 内ホストまたは Microsoft Hyper-V ホストのすべての VM トラフィックは、VLAN-Sec を使用して Cisco ACI リーフに送信されます。
関連項目
Cisco AVS 環境での EPG 内分離の設定については、Cisco AVS の EPG 内分離の適用を参照してください。
GUI を使用した VMware VDS または Microsoft Hyper-V の EPG 内分離の設定
手順
ステップ 1 |
Cisco APIC にログインします。 |
ステップ 2 |
Tenants > tenant を選択します。 |
ステップ 3 |
左側のナビゲーション ウィンドウで、[アプリケーション プロファイル] フォルダと適切なアプリケーション プロファイルを展開します。 |
ステップ 4 |
Application EPGs フォルダを右クリックし、Create Application EPG を選択します。 |
ステップ 5 |
[Create Application EPG] ダイアログ ボックスで、次の手順を実行します: |
ステップ 6 |
[Update] をクリックし、[Finish] をクリックします。 |
NX-OS スタイル CLI を使用した VMware VDS または Microsoft Hyper-V の EPG 内分離の設定
手順
ステップ 1 |
CLI で、EPG 内分離 EPG を作成します。 例:
例:
|
ステップ 2 |
設定を確認します。 例:
|
REST API を使用した VMware VDS または Microsoft Hyper-V バーチャル スイッチの EPG 内の分離の設定
手順
ステップ 1 |
XML API を使用してアプリケーションを展開するには、次の HTTP POST メッセージを送信します。 例:
|
ステップ 2 |
VMware VDS または Microsoft Hyper-V 仮想スイッチデプロイメントの場合は、POST メッセージの本文に次の XML 構造のいずれかを含めます。 例:
例:
|