Cisco ACI Layer2 Migration Best Practices

Customer Experience, Cisco Systems G.K.

2021/9/16
 • Layer2接続の概要
• Access Policy 設定
Agenda • Demo1
• Tenant 設定
• Demo2

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
 Spine201

Leaf201 Leaf202

E1/33

E1/11 E1/11
VLAN200
200.200.200.254/24

200.200.200.200/24

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
 Spine201

Leaf201 Leaf202

E1/33

E1/11 E1/11
VLAN200
200.200.200.254/24

200.200.200.200/24

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
 Step1

Step2

Demo2

Step5

Step3

Step6 Step4
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
Step 1: Leaf Profileの作成
Fabricタブ -> Access Policies

[Navigation]ペイン
Switches -> Leaf Switches -> Profilesを右クリック -> Create Leaf Profile
Name: Leaf202_SwProf
Leaf Selectors: 「＋」押下
Name: Leaf202_SwSel
Blocks: Leaf202
Update
Next -> Finish

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
Step2: Interface Profileの作成
・Interface Profileの作成
Fabricタブ -> Access Policies
[Navigation]ペイン
Interfaces -> Leaf Interfaces -> Profilesを右クリック -> Create Leaf Interface Profile
Name: Leaf202_IfProf
Interface Selectors: 「＋」押下
Name: 1_33_IfSel
Interface IDs: 1/33
OK -> Submit

・Leaf ProfileとInterface Profileの紐付け

[Navigation]ペイン
Switches -> Leaf Switches -> Profiles -> Leaf202_SwProf
[Work]ペイン
Associated Interface Selector Profiles: 「＋」押下
Interface Select Profile: 「Leaf202_IfProfile」を選択
Submit

※紐付け作業はLeafを追加した時に1度行う必要があるが、Portの追加・変更などの設定では行う必要はない

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
 Step3: Interface Policy Groupの作成
・Interface Policy Groupの作成
Fabricタブ -> Access Policies
[Navigation]ペイン
Interfaces -> Leaf Interfaces -> Policy Groups -> Leaf Access Port を右クリック -> Create Leaf Access Port Policy Group
Name: SVS_N9K_Ipg
Submit

・Interface Policy Group設定値のPolicy作成

defaultのpolicyが用意されているが、設定時に分かりにくので、名前をつけたPolicyを作成することを推奨
例: CDP Interface

[Navigation]ペイン
Policies -> Interface -> CDP Interfaceを右クリック -> Create CDP Interface Policy
CDP Enableの作成
Name: CDP_Enable
Admin State: Enabled
Submit
CDP Disableの作成
Name: CDP_Disable
Admin State: Disabled
Submit
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
 Step3: Interface Policy Groupの作成 – Cont.
Fabricタブ -> Access Policies

・作成したInterface PolicyをInterface Policy Groupに適用する

[Navigation]ペイン
Interfaces -> Leaf Interfaces -> Policy Groups -> Leaf Access Port -> SVS_N9K-Ipg
[Work]ペイン
CDP: 「CDP_Enable」を選択
Submit -> Submit Changes

・Interface Policy GroupをInterface Selectorに紐付ける

[Navigation]ペイン
Interfaces -> Leaf Interfaces -> Profiles -> Leaf202_IfProf -> 1_33_IfSel
[Work]ペイン
Interface Policy Group: 「SVS_N9K_Ipg」を選択
Submit -> Submit changes

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
Step4: Attachable Access Entity Profile(AAEP)の作成
Fabricタブ -> Access Policies

[Navigation]ペイン
Policies -> Global -> Attachable Access Entity Profilesを右クリック -> Create Attachable Access Entity Profile
Name: SVS_Aaep
Next -> Finish

AAEPのInterface Policy Groupへの適用

Interfaces -> Leaf Interfaces -> Policy Groups -> Leaf Access Port -> ATX_N9K_Ipg
Attachable Entity Profile: 「SVS_Aaep」を選択
Submit -> Submit Changes

※Submit Changesは影響を表示するWarningメッセージなので注意が必要

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
Step5: Physical Domainの作成
Fabricタブ -> Access Policies

[Navigation]ペイン
Physical and External Domains -> Physical Domainsを右クリック -> Create Physical Domain
Name: SVS_PhyDom
Submit

Physical DomainとAAEPの紐付け
Policies -> Global -> Attachable Access Entity Profiles -> SVS_Aaep
[Work]ペイン
Domains (VMM, Physical or External) Associated to. Interfaces: 「＋」押下
Continue
name: 「SVS_PhyDom」を選択
Update
Submit

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
Step6: VLAN Poolの作成
Fabricタブ -> Access Policies

[Navigation]ペイン
Pools -> VLANを右クリック -> Create VLAN Pool
Name: SVS_Vlanpool
Allocation Mode: Static Allocation
（VMM連携などの場合を除き接続先に合わせる必要があるため、Static Allocationを選択する）
Encap Blocks: 「＋」押下
Range: VLAN 100 – VLAN 299
OK -> Submit
※VLAN Poolの作成の注意事項
あるVLANを複数のVLAN Poolに含めないことが推奨

Physical DomainとVLAN Poolの紐付け

Physical and External Domains -> Physical Domains -> SVS_PhyDom
[Work]ペイン
VLAN Pools: 「SVS_Vlanpool」を選択
Submit -> Submit changes

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
 アクセスポリシーを関連したオブジェクトを同時
に作成しながら設定する
・Leaf Profile、Interface Profile、Interface Policy Groupの作成と紐付け（Step1-3、Step7のInterface ProfileとIPGとの紐付け）
※AAEP、Physical Domain、VLAN PoolはLeaf202で作成したものを使用する

Fabricタブ -> Access Policies

[Navigation]ペイン
Switches -> Leaf Switches -> Profilesを右クリック -> Create Leaf Profile
Name: Leaf201_SwProf
Leaf Selectors: 「＋」押下
Name: Leaf201_SwSel
Blocks: 「Leaf201」を選択
Update
Next

Interface Selectors Profiles: 「＋」押下

Name: Leaf201_IfProf
Interface Selector: 「＋」押下
Name: 1_33_IfSel
Interface IDs: 1/33
Interface Policy Group: 「SVS_N9K_Ipg」を選択
OK -> Submit
Interface Selector
© 2021 Cisco Profiles:
and/or its affiliates. 「Leaf201_IfProf」を選択
All rights reserved. Cisco Confidential 20

Finish
 vPCポート用アクセスポリシーの設定
Fabricタブ -> Access Policies

・vPC用Leaf Profileの作成（vPCペアで一つの設定する）
[Navigation]ペイン
Switches -> Leaf Switches -> Profilesを右クリック -> Create Leaf Profile
Name: 201_202_SwProf
Leaf Selectors: 「＋」押下
Name: 201_202_SwSel （201,202共有のSelectorを作成する）
Blocks: 「Leaf201」「Leaf202」の両方を選択
Update
Next -> Finish
・vPC用Interface Profileの作成
[Navigation]ペイン
Interfaces -> Leaf Interfaces -> Profilesを右クリック -> Create Leaf Interface Profile
Name: 201_202_IfProf （Interface Profileも同様に201,202共有のProfileを作成する）
Interface Selectors: 「＋」押下
Name: 1_11_IfSel
Interface IDs: 1/11
OK -> Submit

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
 vPCポート用のアクセスポリシー設定 – Cont.
・Leaf ProfileとInterface Profileの紐付け
[Navigation]ペイン
Switches -> Leaf Switches -> Profiles -> 201_202_SwProf
[Work]ペイン
Associated Interface Selector Profiles: 「＋」押下
Interface Select Profile: 「201_202_IfProf」を選択
Submit

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
 vPCポート用のアクセスポリシー設定 – Cont.
Fabricタブ -> Access Policies

・vPC用Interface Policy Groupの作成

※vPCの場合はLeaf Interfaceではなく、VPC Interfaceで作成する

[Navigation]ペイン
Interfaces -> Leaf Interfaces -> Policy Groups -> VPC Interfaceを右クリック -> Create VPC Interface Policy Group
Name: Vpc201_202_11_Ipg
※vPCのペアごとにVPC interface policy groupを作成する必要があるので、Port番号を名前に含むようにする

Port Channel: 「Create Port Channel Policy」

※vPCの設定なのでPort ChannelのPolicyが必須になる、現在はdefaultしかないので、新たにPolicyを作成する
Name: LACP_Active（今回はLACP Activeで設定する）
Mode: 「LACP Active」を選択
Submit
Attached Entity Profile: 「SVS_Aaep」を選択
Submit -> Submit Changes
・Interface Policy GroupをInterface Selectorに紐付ける
[Navigation]ペイン
Interfaces -> Leaf Interfaces -> Profiles -> 201_202_IfProf -> 1_11_IfSel
[Work]ペイン
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
Interface Policy Group: 「Vpc201_202_11_Ipg」を選択
Submit -> Submit Changes
 vPCポート用のアクセスポリシー設定 – Cont.
・Virtual Port Channel defaultの設定（vPCペアの場合にはもう一つ追加で設定が必要になるので注意）
[Navigation]ペイン
Policies -> Switches -> Virtual Port Channel default
[Work]ペイン
Explicit VPC Protection Groups: 「＋」押下
Name: 201_202_Vpc
ID: 201
Switch 1: 「201」を選択
Switch 2: 「202」を選択

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
 vPCポート用のアクセスポリシー設定 – Cont.
Fabricタブ -> Access Policies

・Interface Descriptionの設定（Option）
[Navigation]ペイン
Interfaces -> Leaf Interfaces -> Profiles -> 201_202_IfProf -> 1_11_IfSel
[Work]ペイン
Port Blocks: 「1/11」をダブルクリック
Description: to ESXi vmnic0 vmnic1（接続先の情報などを入力）
Submit -> Submit Changes

・Interface Descriptionの確認
[Navigation]ペイン
Interfaces -> Leaf Interfaces -> Profiles
[Work]ペイン
Interface Selectorsに（）内に表示される

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
Step 1: Tenant / VRFの作成
Tenantタブ -> Add Tenant

Name: SVSProd
VRF Name: SVSProd_VRF
Submit

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
Step 2: Bridge Domainの作成
Tenant/VRFの作成後、[Navigation]ペインに作成したTenantのツリーが展開される

シナリオ
BD（VLAN200）を1つ、これに紐づくEPGを１つ作成し、このEPGの中にDGWが接続されたポートとエンドポイント
が接続されているポートを追加する

Tenantタブ -> SVSProd

[Navigation]ペイン
Networking -> Bridge Domainを右クリック -> Create Bridge Domain
Name: VLAN200_BD
VRF: 「SVSProd_VRF」を選択
Forwarding: 「Custom」を選択（Customを選択すると以下の項目について選択することができる）
L2 Unknown Unicast: 「Flood」を選択（L2 ACIではFloodが推奨、詳細は別資料で紹介）
Multi Destination Flooding: 「Flood in BD」（デフォルト: Floodingの範囲はBD内）
Next
Unicast Routing: Enableのチェックを外す
（EnableだとACIはIPアドレスを学習する、今回はL2のACIなのでMacアドレスのみの学習となる）
Subnets: L2 ACIなので登録は行わない
Next -> Finish
© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
Step 3: Application Profile / Endpoint Groupの作成
Tenantタブ -> SVSProd

・Application Profileの作成
[Navigation]ペイン
Application Profileを右クリック -> Create Application Profile
Name: SVS_AP
Submit

・EPGの作成
[Navigation]ペイン
Application Profile -> Application EPGs -> 右クリック -> Create Application EPGs
Name: VLAN200_EPG
Bridge Domain: VLAN200_BD
Finish

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
Step 4: EPGとDomainの紐付け
Tenantタブ -> SVSProd

[Navigation]ペイン
Application Profiles -> SVS_AP -> Application EPGs -> VLAN200_EPG ->
Domains(VMs and Bare-Metals) を右クリック -> Add Physical Domain Association
Physical Domain Profile: 「SVS_PhyDom」を選択（アクセスポリシー作成で作成したもの）
Submit

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
 Step 5: Static Binding (Static Port)の設定
・シナリオ
DGWを持つ外部ネットワークが接続されているポート（Leaf202の1/33）とサーバ（Leaf201とLeaf202の1/11のvPCペア）を
同じEPGに追加して疎通できるように設定する

Tenantタブ -> SVSProd

・DGWを持つ外部ネットワークが接続されいてるポートの追加
[Navigation]ペイン
Application Profiles -> SVS_AP -> Application EPGs -> VLAN200_EPG -> Static Portを右クリック ->
Deploy Static EPG on PC, VPC, or Interface
Port Type: Port
Node: 「leaf202 (Node-202)」を選択（DGWが接続されている外部ネットワークが接続されているLeafスイッチ）
Path: 「eth1/33」を選択
（DGWを持つ外部ネットワークが接続されているポート、「eth1/11」で設定したDescriptionが確認できる）
Port Encap (or Secondary VLAN for Micro-Seg): VLAN: 200

Deployment Immediacy: 「On Demand」を選択 （スイッチにポリシーをコンフィグするタイミング）

- Immediate: Submitした瞬間にポリシーをスイッチにコンフィグ
- On Demand（デフォルト）: データプレーンで最初のパケットを確認したタイミングでポリシーをスイッチにコンフィグ

Mode: 「Trunk」を選択
- Trunk(デフォルト): 従来のTrunk Portと同様
- Access (802.1P): Access portとTrunk portを共存させることができないので、tagの付けられないデバイスなどを
エンドポイントとして収容する場合に選択（従来のNative VLANのような場合）
- Access
© 2021 Cisco(Untagged): 従来のAccess
and/or its affiliates. All rights Portと同様
reserved. Cisco Confidential 34

Next -> Finish

Step 5: Static Binding (Static Port)の設定 – Cont.
・サーバを収容しているvPCポートの追加
[Navigation]ペイン
Application Profiles -> SVS_AP -> Application EPGs -> VLAN200_EPG -> Static Portを右クリック ->
Deploy Static EPG on PC, VPC, or Interface
Port Type: Virtual Port Channel
Path: 「Vpc201_202_11_Ipg」を選択（vPCペアで作成したInterface Policy Groupを選択）
Port Encap (or Secondary VLAN for Micro-Seg): VLAN: 200
Deployment Immediacy: 「On Demand」を選択
Mode: 「Trunk」を選択
Next -> Finish
・エンドポイントの確認
[Navigation]ペイン
Application Profiles -> SVS_AP -> Application EPGs -> VLAN200_EPG
[Work]ペイン
Operationalタブ
※本来であればACI L2接続なので「IP」欄は「---」となっているが
シミュレータでは「IP」欄に自動で割り振られたアドレスが表示される

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
デモ完了後の通信

Spine201

Leaf201 Leaf202
※本日のデモを完了するとサーバと
E1/33 外部ネットワークの通信が可能となる

E1/11 E1/11
VLAN200
200.200.200.254/24

200.200.200.200/24

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36
デモ完了後の通信

© 2021 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37