コピー サービスの設定

コピー サービスについて

すべてのトラフィックを複製する SPAN とは異なり、 Cisco Application Centric Infrastructure (ACI) のコピー サービス機能は、契約での仕様に従って、エンドポイント グループ間のトラフィックのうちコピーの部分だけを選択的に有効にします。ブロードキャスト、不明なユニキャストとマルチキャスト (BUM)、および契約の対象外であるコントロール プレーン トラフィックは、コピーされません。対照的に、SPAN は、エンドポイント グループ、アクセス ポートまたはアップリンク ポートから発するすべてのトラフィックをコピーします。SPAN とは異なり、コピー サービスは、コピーされたトラフィックにヘッダーを追加しません。コピー サービスのトラフィックは、通常のトラフィックの転送への影響を最小限に抑えるため、スイッチ内で内部的に管理されます。

コピー サービスは、コピーされるトラフィックの宛先としてコピー クラスタを指定する、レイヤ 4 ~ レイヤ 7 サービス グラフ テンプレートの一部として構成されます。コピー サービスはサービス グラフ内の異なるホップにタップすることができます。たとえば、コピー サービスは、コンシューマ エンドポイント グループとファイアウォール プロバイダ エンドポイントの間のトラフィック、またはサーバのロード バランサとファイアウォールの間のトラフィックを選択することができます。コピー クラスタは、テナント間で共有することができます。

コピー サービスを使用するには、以下のタスクを実施する必要があります:

  • 送信元と宛先エンドポイント グループを特定します。

  • 情報カテゴリ、および契約フィルタで許可されている内容に従って、コピー対象を指定する契約を構成します。

  • ターゲット デバイスを特定するレイヤ 4 ~ レイヤ 7 のコピー デバイスを構成し、それらが接続するポートを指定します。

  • コピー サービスをレイヤ 4 ~ レイヤ 7 サービス グラフ テンプレートの一部として使用します。

  • どのデバイスがサービス グラフからのトラフィックを受信するかを指定する、デバイス選択ポリシーを構成します。デバイス選択ポリシーを構成する際には、契約、サービス グラフ、コピー クラスタ、およびコピー デバイス内のクラスタ論理インターフェイスを指定します。

コピー サービスの制限

コピー サービス機能を使用する場合、次の制限が適用されます:

  • コピー サービスは、N9K-9300-EX と -FX リーフ スイッチでのみサポートされます。

  • ローカルおよびリモートのアナライザ ポートにコピーされるデータ パス トラフィックについては、コピーされたトラフィックではサービス クラス (CoS) および差別化サービス コード ポイント (DSCP) の値が保持されません。これは、コピー アクションの契約が、実際の COS または DSCP 値の変更の前後に、入力または出力 TOR のいずれかで問題となる可能性があるからです。

    特定のエンドポイント入力方向での、データ パスのトラフィックにポリシーを適用する際、トラフィックは、実際の着信トラフィックにポリシーが適用される前にコピーされます。これは、N9K-93108TC-EX および N9K-93180YC-EX スイッチでの ASIC の制限のためです。

  • コピー サービスは、コピー クラスタごとに 1 つのデバイスだけをサポートします。

  • コピー クラスタは、1 つの論理インターフェイスだけをサポートします。

  • コンシューマ エンドポイントまたはプロバイダー エンドポイントでのコピー アナライザは、N9K-93108TC-EX および N9K-93180YC-EX スイッチでのみ設定できます。N9K-93128TX、N9K-9396PX、または N9K-9396TX スイッチでコピー アナライザを設定すると、エラーが発生します。

  • tn-common/ctx-copy VRF インスタンスは、コピー VRF インスタンスとも呼ばれ、コピー サービスのためのシステム予約コンテキストです。コピー VRF インスタンスは、ブートアップ シーケンス中に、システムにより自動設定されます。コピー VRF インスタンスをユーザが設定または削除することはできません。

  • vzAny 契約でのコピー サービスはサポートされていません。

  • フローの各方向に別々のコピーデバイスを使用する場合は、2 つの異なる単方向フィルタが必要です。

GUI を使用したコピー サービスの設定

この手順では、GUI を使用して、コピー サービスを設定します。


(注)  

コピー デバイスを設定すると、context aware パラメータは使用されません。context aware パラメータには single context というデフォルト値がありますが、これは無視されます。

手順

ステップ 1

1 つ以上の コピー デバイスを作成します。

コピー デバイスの作成についての詳細は、GUI を使用したコピーデバイスの作成を参照してください。

ステップ 2

コピー サービスで使用するサービス グラフ テンプレートを作成します。

サービス グラフ テンプレートの作成についての詳細は、GUI でサービスグラフテンプレートを構成するを参照してください。

  1. 1 つ以上のサービス ノードを作成する場合は、Device Clusters セクションから、レイヤ 4 ~ レイヤ 7 サービス デバイスを、コンシューマ エンドポイント グループとプロバイダー エンドポイント グループの間にドラッグします。

  2. Device Clusters セクションから、コピー デバイスを、任意の 2 つのオブジェクトの間にドラッグして 1 つ以上のコピー ノードを作成します。

    コピー デバイスをドロップした場所が、コピー デバイスがトラフィックをコピーする、データ フロー内のポイントとなります。

ステップ 3

レイヤ 4 ~ レイヤ 7 サービス グラフ テンプレートを適用します。

サービス グラフ テンプレートを適用する方法の詳細については、GUI を使用したエンドポイント グループへのサービス グラフ テンプレートの適用を参照してください。

GUI を使用したコピーデバイスの作成

コピー デバイスは、copy ノードを作成するコピー サービス機能の一部として使用されます。コピーのノードは、トラフィックをコピーするエンドポイント グループ間のデータ フローのどの時点を指定します。

この手順では、コピー デバイスの作成のみを行います。コピー サービス機能を使用するために必要なその他の設定は行いません。コピー サービスの設定の詳細については、GUI を使用したコピー サービスの設定を参照してください。

始める前に

テナントを作成しておく必要があります。

手順

ステップ 1

メニュー バーで、[Tenants] > [All Tenants] の順に選択します。

ステップ 2

作業ウィンドウで、テナントの名前をダブルクリックします。

ステップ 3

[Navigation] ウィンドウで、Tenant tenant_name > Services > L4-L7 > Devices を選択します。

ステップ 4

[Work] ウィンドウで、Actions > Create Copy Devices を選択します。

ステップ 5

Create Copy Devices ダイアログボックスの General セクションで、次のフィールドを設定します:

名前

説明

[名前(Name)] フィールド

コピーデバイスの名前を入力します。

Device Type ボタン

デバイス タイプです。コピー デバイスは、物理デバイスに限られます。

Physical Domain ドロップダウンリスト

デバイスの物理ドメインを選択します。

ステップ 6

Device 1 セクションで、+ をクリックしてデバイス インターフェイスを追加し、以下のフィールドを設定して、 Update をクリックします:

名前

説明

[名前(Name)] フィールド

デバイス インターフェイスの名前を入力します。

Path ドロップダウン リスト

使用するデバイス インターフェイスのポート、ポート チャネル、または仮想ポート チャネルを選択します。コピー デバイスは、そのポート、ポート チャネルまたは仮想ポート チャネルに接続し、そこからトラフィックをコピーします。

ステップ 7

Cluster セクションで、+ をクリックしてクラスタ インターフェイスを追加し、以下のフィールドを設定して、Update をクリックします:

名前

説明

[名前(Name)] フィールド

クラスタ インターフェイスの名前を入力します。

Concrete Interfaces ドロップダウンリスト

使用するクラスタ インターフェイスの、1 つ以上の具体的なインターフェイスを選択します。

Encap フィールド

カプセル化で使用する VLAN を入力します。VLAN 名の書式は次のとおりです:

vlan-#

# は VLAN の ID です。次に例を示します: 

vlan-12

ステップ 8

[送信(Submit)] をクリックします。

NX-OS スタイルの CLI を使用したコピー サービスの設定

この手順では、CLI を使用してコピー サービスを設定する例を提供します。


(注)  

コピー デバイスを設定すると、context aware パラメータは使用されません。context aware パラメータには single context というデフォルト値がありますが、これは無視されます。

手順

ステップ 1

コピー クラスタを作成します。

例:

    l4l7 cluster name Copy_1 type physical vlan-domain phys_scale_copy service COPY function none
      cluster-device Copy_1_Device_1
      cluster-interface Tap_copy vlan 3644
        member device Copy_1_Device_1 device-interface int1
          interface ethernet 1/15 leaf 104
          exit
        member device Copy_1_Device_1 device-interface int2
          interface ethernet 1/15 leaf 105
          exit
        member device Copy_1_Device_1 device-interface int3
          interface ethernet 1/20 leaf 105
          exit
        exit
      exit

ステップ 2

抽象グラフとデバイスのコンテキストを作成し、グラフを適用します。

例:

    l4l7 graph g5 contract c5
      service CP1 device-cluster-tenant t1 device-cluster Copy_1 mode OTHER service COPY
        connector copy cluster-interface Tap_copy
          exit
        exit
      connection C1 terminal consumer terminal provider copyservice CP1 connector copy
      Exit

ステップ 3

グラフを契約を接続します。

例:

    contract c5
      scope tenant
      subject Subject
        access-group default both
        l4l7 graph g5
        exit
      Exit

ステップ 4

契約をエンドポイント グループを接続します。

例:

      epg epg2210
        bridge-domain member bd5
        contract consumer c5
        exit
      epg epg2211
        bridge-domain member bd5
        contract provider c5
        Exit

次の例では、両側でコピー デバイスとファイアウォール サービス グラフを作成します。

  tenant tenant_cmd_line
    l4l7 graph graph_fire contract fire
      service Fire device-cluster-tenant tenant_cmd_line device-cluster Fire mode FW_ROUTED
        connector consumer cluster-interface Outside_cmdline
          bridge-domain tenant tenant_cmd_line name Consumer_BD_1
          exit
        connector provider cluster-interface Inside_cmdline
          bridge-domain tenant tenant_cmd_line name Provider_BD1
          exit
        exit
      service CP2 device-cluster-tenant tenant_cmd_line device-cluster copy1 mode OTHER
       service COPY
        connector copy cluster-interface int1
          exit
        exit
      service CP3 device-cluster-tenant tenant_cmd_line device-cluster copy1 mode OTHER
       service COPY
        connector copy cluster-interface int1
          exit
        exit
      connection C1 terminal consumer service Fire connector consumer copyservice CP2
       connector copy
      connection C2 terminal provider service Fire connector provider copyservice CP3
       connector copy
      exit
    Exit

次の例では、すべてのリンクで接続されているコピー デバイスでワンアーム モードでファイアウォールとロード バランスを作成します。

    l4l7 graph Graph_LB_Firewall contract c1_firewall
      service Fire device-cluster-tenant Tenant_Firewall_LB device-cluster Firewall_1 mode
       FW_ROUTED
        connector consumer cluster-interface Outside_Firewall
          bridge-domain tenant Tenant_Firewall_LB name BD1_Consumer
          exit
        connector provider cluster-interface Inside_Firewall
          bridge-domain tenant Tenant_Firewall_LB name BD2_Provider
          exit
        exit
      service LB device-cluster-tenant Tenant_Firewall_LB device-cluster LB_1 mode ADC_ONE_ARM
        connector consumer cluster-interface LB_Inside
          bridge-domain tenant Tenant_Firewall_LB name BD2_Provider
          exit
        connector provider cluster-interface LB_Inside
          bridge-domain tenant Tenant_Firewall_LB name BD2_Provider
          exit
        Exit
      service CP6 device-cluster-tenant Tenant_Pass2 device-cluster Copy_pass2 mode OTHER
       service-type COPY
        connector copy cluster-interface tap_copy
          exit
        Exit
      service CP7 device-cluster-tenant Tenant_Pass2 device-cluster Copy_pass2 mode OTHER
       service-type COPY
        connector copy cluster-interface tap_copy
          exit
        Exit
      service CP8 device-cluster-tenant Tenant_Pass2 device-cluster Copy_pass2 mode OTHER
       service-type COPY
        connector copy cluster-interface tap_copy
          exit
        exit
      connection C1 terminal consumer service Fire connector consumer copyservice CP6
       connector copy
      connection C2 intra-service service1 Fire connector1 provider service2 LB connector2
       consumer copyservice CP7 connector copy
      connection C3 terminal provider service LB connector provider copyservice CP8
       connector copy
      exit
    exit

REST API を使用してコピー サービスの設定

コピー デバイスは、copy ノードを作成するコピー サービス機能の一部として使用されます。コピーのノードは、トラフィックをコピーするエンドポイント グループ間のデータ フローのどの時点を指定します。

この手順では、REST API を使用してコピー サービスを設定する例を提供します。


(注)  

コピー デバイスを設定すると、context aware パラメータは使用されません。context aware パラメータには single context というデフォルト値がありますが、これは無視されます。

始める前に

テナントを作成しておく必要があります。

手順

ステップ 1

コピー デバイスを作成します。

例:

<vnsLDevVip contextAware="single-Context" devtype="PHYSICAL" funcType="None" isCopy="yes"
  managed="no" mode="legacy-Mode" name="copy0" svcType="COPY" trunking="no">
    <vnsRsALDevToPhysDomP tDn="uni/phys-phys_scale_copy"/>
    <vnsCDev devCtxLbl="" name="copy_Dyn_Device_0" vcenterName="" vmName="">
        <vnsCIf name="int1" vnicName="">
            <vnsRsCIfPathAtt tDn="topology/pod-1/paths-104/pathep-[eth1/15]"/>
        </vnsCIf>
        <vnsCIf name="int2" vnicName="">
            <vnsRsCIfPathAtt tDn="topology/pod-1/paths-105/pathep-[eth1/15]"/>
        </vnsCIf>
    </vnsCDev>
    <vnsLIf encap="vlan-3540" name="TAP">
        <vnsRsCIfAttN tDn="uni/tn-t22/lDevVip-copy0/cDev-copy_Dyn_Device_0/cIf-[int2]"/>
        <vnsRsCIfAttN tDn="uni/tn-t22/lDevVip-copy0/cDev-copy_Dyn_Device_0/cIf-[int1]"/>
    </vnsLIf>
</vnsLDevVip>

ステップ 2

論理デバイス コンテキスト (デバイス選択ポリシーとも呼ばれる) を作成します。

例:

<vnsLDevCtx ctrctNameOrLbl="c0" descr="" graphNameOrLbl="g0" name="" nodeNameOrLbl="CP1">
    <vnsRsLDevCtxToLDev tDn="uni/tn-t22/lDevVip-copy0"/>
    <vnsLIfCtx connNameOrLbl="copy" descr="" name="">
        <vnsRsLIfCtxToLIf tDn="uni/tn-t22/lDevVip-copy0/lIf-TAP"/>
    </vnsLIfCtx>
</vnsLDevCtx>

ステップ 3

作成し、コピーするグラフ テンプレートを適用します。

例:

<vnsAbsGraph descr="" name="g0" ownerKey="" ownerTag="" uiTemplateType="UNSPECIFIED">
    <vnsAbsTermNodeCon descr="" name="T1" ownerKey="" ownerTag="">
        <vnsAbsTermConn attNotify="no" descr="" name="1" ownerKey="" ownerTag=""/>
        <vnsInTerm descr="" name=""/>
        <vnsOutTerm descr="" name=""/>
    </vnsAbsTermNodeCon>
    <vnsAbsTermNodeProv descr="" name="T2" ownerKey="" ownerTag="">
        <vnsAbsTermConn attNotify="no" descr="" name="1" ownerKey="" ownerTag=""/>
        <vnsInTerm descr="" name=""/>
        <vnsOutTerm descr="" name=""/>
    </vnsAbsTermNodeProv>
    <vnsAbsConnection adjType="L2" connDir="provider" connType="external" descr="" name="C1"
      ownerKey="" ownerTag="" unicastRoute="yes">
        <vnsRsAbsConnectionConns tDn="uni/tn-t22/AbsGraph-g0/AbsTermNodeCon-T1/AbsTConn"/>
        <vnsRsAbsConnectionConns tDn="uni/tn-t22/AbsGraph-g0/AbsTermNodeProv-T2/AbsTConn"/>
        <vnsRsAbsCopyConnection tDn="uni/tn-t22/AbsGraph-g0/AbsNode-CP1/AbsFConn-copy"/>
    </vnsAbsConnection>
    <vnsAbsNode descr="" funcTemplateType="OTHER" funcType="None" isCopy="yes" managed="no"
      name="CP1" ownerKey="" ownerTag="" routingMode="unspecified" sequenceNumber="0"
      shareEncap="no">
        <vnsAbsFuncConn attNotify="no" descr="" name="copy" ownerKey="" ownerTag=""/>
        <vnsRsNodeToLDev tDn="uni/tn-t22/lDevVip-copy0"/>
    </vnsAbsNode>
</vnsAbsGraph>

ステップ 4

エンドポイントのグループに関連付けられている契約でコピー グラフに関係を定義します。

例:

<vzBrCP descr="" name="c0" ownerKey="" ownerTag="" prio="unspecified" scope="tenant"
  targetDscp="unspecified">
    <vzSubj consMatchT="AtleastOne" descr="" name="Subject" prio="unspecified"
      provMatchT="AtleastOne" revFltPorts="yes" targetDscp="unspecified">
        <vzRsSubjFiltAtt directives="" tnVzFilterName="default"/>
        <vzRsSubjGraphAtt directives="" tnVnsAbsGraphName="g0"/>
    </vzSubj>
</vzBrCP>

ステップ 5

エンドポイント グループを契約を接続します。

例:

<fvAEPg name="epg2860">
    <fvRsCons tnVzBrCPName="c0"/>
    <fvRsBd tnFvBDName="bd0"/>
    <fvRsDomAtt tDn="uni/phys-phys_scale_SB"/>
    <fvRsPathAtt tDn="topology/pod-1/paths-104/pathep-[PC_int2_g1]" encap="vlan-2860"
      instrImedcy="immediate"/>
</fvAEPg>
<fvAEPg name="epg2861">
    <fvRsProv tnVzBrCPName="c0"/>
    <fvRsBd tnFvBDName="bd0"/>
    <fvRsDomAtt tDn="uni/phys-phys_scale_SB"/>
    <fvRsPathAtt tDn="topology/pod-1/paths-105/pathep-[PC_policy]" encap="vlan-2861"
      instrImedcy="immediate"/>
</fvAEPg>