エンドポイント セキュリティ グループ（ESG）は、Cisco Application Centric Infrastructure（ACI）のネットワーク セキュリティ コンポーネントです。エンドポイントグループ（EPG）では Cisco ACI のネットワーク セキュリティを提供してきましたが、EPG は単一のブリッジドメインに関連付けられ、ブリッジドメイン内のセキュリティ ゾーンを定義するために使用する必要があります。これは、EPG が転送とセキュリティ セグメンテーションの両方を同時に定義するためです。ブリッジドメインと EPG の間の直接的な関係により、EPG が複数のブリッジドメインにまたがる可能性は制限されています。EPG のこの制限は、新しい ESG 構造を使用することで解決できます。

EPG を表すアプリケーション エンドポイントグループ（fvAEPg）オブジェクトは、レイヤ 2 ブロードキャストドメインを表すブリッジドメイン オブジェクト (fvBD) と直接関係があります。これは、上の図の最初の 3 列に示されています。

ESG は、物理または仮想ネットワークエンドポイントの収集を含む論理エンティティです。さらに、ESG はブリッジドメインではなく単一の VRF（仮想ルーティングおよび転送）インスタンスに関連付けられます。これにより、ブリッジドメインから独立したセキュリティ ゾーンの定義が可能になります（図 1 の 4 番目の列は、この点を示しています）。EPG がブリッジドメインをセキュリティ ゾーンに分割するのと同様に、ESG は VRF インスタンスをセキュリティ ゾーンに分割します。

EPG ポリシーには、転送ロジックとセキュリティロジックの両方が組み込まれています。たとえば、EPG は、VLAN に基づくセキュリティゾーンだけでなく、リーフノードインターフェイスでの VLAN バインドも提供します。また EPG のコントラクトによってセキュリティを強化し、ブリッジドメイン サブネットを展開する必要があるリーフ ノードと、VRF ルート リーク（共有サービス）の場合にどのサブネットをどの VRF インスタンスにリークするかを決定するために使用されます。逆に、ESG はコントラクトによってセキュリティを強化するためにのみ使用され、転送ロジックは他のコンポーネントによって処理されます。ESG では、ブリッジドメイン サブネットの展開や VRF ルート リークなどのルーティング ロジックが VRF レベルに移動します。リーフノード インターフェイスの VLAN バインドは、引き続き EPG レベルで処理されます。

ESG はどのエンドポイントが ESG に属するかを定義する特定の一致基準を持つセキュリティコンストラクトであり、コントラクトまたはポリシーを使用してセキュリティスタンスを定義します。一致基準は、関連付けられた VRF インスタンスのブリッジドメインにまたがる IPv4 または IPv6 アドレス、またはエンドポイント MAC アドレスに関連付けられたタグなどの属性に基づく ESG セレクタと呼ばれます。これらのセレクタおよびその他のサポートされているセレクタタイプの詳細については、「セレクターについて」 を参照してください。

ESG でのコントラクトの使用は、EPG と同じです。同じ ESG に属するエンドポイントは、コントラクトを必要とせずに通信できます。異なる ESG に属するエンドポイント間の通信を有効にするには、ESG 間のコントラクトを構成する必要があります。Cisco ACI ファブリックの外部にあるデバイスと通信するには、L3Out 外部 EPG（l3extInstP）と ESG の間のコントラクトを構成する必要があります。ESG 間のコントラクトと組み合わせて、レイヤ 4 ～ レイヤ 7 サービスグラフを使用することもできます。ただし、EPG と ESG 間のコントラクトはサポートされていません。

セレクタは、エンドポイントを ESG に分類するためのさまざまなマッチング基準を使用し、各 ESG の下に構成されます。VLAN を使用してエンドポイントを分類する EPG とは異なり、ESG はより柔軟な基準を使用してエンドポイントを分類できます。この概念は、マイクロセグメンテーション EPG（または useg EPG）に似ています。ただし、useg EPG は 1 つのブリッジドメインに関連付けられたままですが、ESG にはブリッジドメイン全体のエンドポイントを含めることができます。

サポートされている ESG セレクタは次のとおりです。

• タグセレクタ：MAC および IP アドレス、仮想マシン（VM）タグ、仮想マシン名（vm 名）、サブネットタグ、静的エンドポイントタグなどのさまざまな属性に割り当てられたポリシータグに基づいてエンドポイントをマッチングします。ESG タグセレクタは、ESG と同じテナントのポリシータグのみとマッチングできます。タグセレクタは、Cisco Application Policy Infrastructure Controller（APIC）リリース 5.2(1) で導入されました。

• EPG セレクタ：特定の EPG 内のすべてのエンドポイントとマッチングし、ESG は EPG の下で構成されたすべてのコントラクトを継承します。このセレクタを使用すると、ユーザーはセキュリティ構成を EPG から ESG にシームレスに移行できます。ESG は、ESG と同じテナントで同じ VRF インスタンスの EPG に対してのみ、EPG セレクタを使用できます。EPG セレクタは、Cisco APIC リリース 5.2(1) で導入されました。

• IP サブネットセレクタ：ホストの IP アドレスまたは IP サブネットに基づいてエンドポイントをマッチングします。タグセレクタは、ポリシータグを介して同じ機能を提供します。IP サブネットセレクタは、Cisco APIC リリース 5.0(1) で導入されました。

• サービス EPG セレクタ：サービス EPG セレクタは、Cisco APIC リリース 5.2(4) で導入されました。

  サービス EPG は、デバイス選択ポリシーのコネクタに基づいて Cisco Application Centric Infrastructure（ACI） が自動的に作成する EPG です。サービスグラフリダイレクトに基づくほとんどの展開では、Cisco ACI がトラフィックをレイヤ 4 からレイヤ 7 デバイスにリダイレクトするため、何か特別なことを行ってレイヤ 4 からレイヤ 7 デバイスに直接送信されるトラフィックを許可または拒否する必要はありません。レイヤ 4 からレイヤ 7 のデバイス IP アドレスにトラフィックを直接送信する必要がある場合は、サービス EPG へのトラフィックを許可または拒否する必要がある場合があります。サービス EPG セレクタを使用すると、サービス EPG をサービス ESG にマッピングできるため、管理者は、どの ESG がサービスグラフを介して展開されたレイヤ 4 からレイヤ 7 デバイスにトラフィックを送信できるかを、より細かく制御できます。

エンドポイントセキュリティグループ（ESG）にはさまざまな分類方法があるため、IP アドレスによる分類と MAC アドレスによる分類の相違点を理解することが重要です。この相違点は、基本的にマイクロセグメント（uSeg）の EPG 基準と同じです。

パケットがスイッチによりルーティングされる場合の転送ルックアップは、IP アドレスに基づいて行われます。パケットがスイッチによりスイッチングされる場合、パケットに IP ヘッダーがある場合でも、転送ルックアップは MAC アドレスに基づいて行われます。同様に、パケットがスイッチによってルーティングされる場合のコントラクトルックアップも、IP アドレスに基づいて行われます。そして、パケットがスイッチによりスイッチングされる場合、パケットに IP ヘッダーがある場合でも、コントラクトルックアップは MAC アドレスに基づいて行われます。この動作は、ESG に基づくコントラクトアプリケーションに影響します。

IP ベースのセレクタ（IP サブネットセレクタ、ブリッジドメインサブネットのポリシータグのマッチングを行うタグセレクタ、または IP エンドポイント タグオブジェクト）は、IP アドレスのみで分類を行います。このような分類は、スイッチングトラフィックには適用されません。一方、他のセレクタは MAC アドレスを分類し、そのような分類はスイッチングトラフィックとルーティングトラフィックの両方に有効です。これは、別の IP ベースのセレクタによってオーバーライドされない限り、MAC ベースのセレクタが MAC アドレスに関連付けられた IP アドレスにも適用されることを意味します。次の 3 つのシナリオは、この動作を実証しています。

Scenario 1:
    MAC_A is matched by a selector of ESG_1
    IP_A is _not_ matched by any ESG
  Result:
    Both MAC_A and IP_A are classified to ESG_1

Scenario 2:
    MAC_A is matched by a selector of ESG_1
    IP_A is matched by a selector of ESG_2
  Result:
    MAC_A is classified to ESG_1
    IP_A is classified to ESG_2

Scenario 3:
    MAC_A is _not_ matched by any ESG
    IP_A is matched by a selector of ESG_2
  Result:
    MAC_A is _not_ classified to any ESG, and still belongs to EPG_A.
    IP_A is classified to ESG_2

これらのシナリオでは、エンドポイント EP_A は EPG_A のメンバーであり、最初はどの ESG にも属していません。EP_A の MAC アドレスは MAC_A で、その IP アドレスは IP_A です。

この動作により、IP ベースのセレクタを使用する場合、トラフィックの送信元と宛先の IP アドレスが異なる ESG に属していても、スイッチングトラフィック（レイヤ 2 トラフィック）が ESG コントラクトをバイパスする可能性があります。IP ベースのセレクタでこの問題を回避するには、ACI のプロキシ ARP 機能を使用して、送信元と接続先の IP アドレスが同じサブネットにある場合でも、すべてのトラフィックが ACI スイッチでルーティングされたトラフィックとして処理されるようにします。この目的でプロキシ ARP を使用するには、次の 3 つのオプションがあります。

• ESG エンドポイントに VLAN からインターフェイスへのバインドを提供するすべての EPG で、プロキシ ARP とともに EPG 内分離を有効にします。

• ESG エンドポイントに VLAN からインターフェイスへのバインドを提供するすべての EPG で、共通のデフォルトコントラクトなどのすべて許可（permit-all）フィルタを使用して、EPG 内コントラクトを有効にします。EPG 内コントラクトにより、プロキシ ARP が自動的に有効になります。すべて許可する（permit-all） フィルタである理由は、どの ESG にも分類されていないエンドポイントが、同じ EPG 内で相互に通信できるようにするためです。ESG にまだ分類されていないエンドポイントのデフォルトの動作として、任意のフィルタを使用できます。

• VMM 統合が使用されている場合に、ESG エンドポイントに VLAN からインターフェイスへのバインドを提供する EPG に VMM ドメインを関連付ける際に、[マイクロセグメンテーションを許可（Allow Micro-Segmentation）] オプションを有効にします。このオプションは、プロキシ ARP を自動的に有効にします。

同じサブネット（または VLAN）内のエンドポイントが異なる ESG に分類されるレイヤ 2 トラフィックの場合、IP ベースのセレクタによるレイヤ 2 トラフィックの制限に関係なく、プライベート VLAN 構成が必要になる場合があります。エンドポイントと ACI スイッチの間に非 ACI スイッチがある場合は、プライベート VLAN 構成が必要になる場合があります。これは、ACI スイッチが ESG に基づいてコントラクトを実施できるようになる前に、非 ACI スイッチがトラフィックをスイッチングする可能性があるためです。

（注）	レイヤ 2 マルチキャストなど、ARP 要求ではないフラッディングトラフィックは、プロキシ ARP を有効にするオプションを使用して VLAN から送信された場合、ドロップされます。

セレクター タイプを選択するときは、トラフィックを切り替えるかルーティングするかを考慮してください。以下の表は、トラフィック タイプごとのセレクターの優先順位を示しています。

オブジェクトが同じまたは異なるポリシー タグを介して複数のタグ セレクターで一致した場合、そのオブジェクトは最初に一致したタグ セレクターに関連付けられます。後続のタグ セレクターは無視されます。タグ セレクターが以前にオブジェクトに一致していないときに、オブジェクトが複数のタグ セレクターによって一致した場合、競合の一致が解決されるまでタグ セレクターは有効になりません。障害は、複数のタグ セレクターによって一致する ESG およびオブジェクトの下で発生します。

コントラクトは、アクセスコントロールリスト（ACL）に相当する Cisco ACI です。ESG は、コントラクト規則に従う場合に限り、他の ESG と通信できます。管理者は契約を使用して、許可されているプロトコルとポートを含む ESG 間をパス可能なトラフィックの種類を選択します。ESG は、コントラクトのプロバイダー、コンシューマー、またはプロバイダーとコンシューマーの両方になることができ、複数のコントラクトを同時に使用できます。複数の ESG が優先グループに属する他の ESG と自由に通話できるように、ESG は優先グループに属することもできます。

サポートされているコントラクト関係：

1. ESG ⇔ ESG

2. ESG ⇔ L3Out EPG

3. ESG ⇔ インバンド EPG

4. ESG ⇔ vzAny

ESG と EPG（または uSeg EPG）の間のコントラクトはサポートされていません。ESG のエンドポイントが EPG の他のエンドポイントと通信する必要がある場合、他のエンドポイントを最初に ESG に移行する必要があります。 vzAny または優先グループは、移行中に代替として使用できます。コントラクト継承、ESG 内コントラクト、ESG 内分離など、uSeg EPG でサポートされるその他のコントラクト関連機能も ESG でサポートされます。例外は、ESG でサポートされていない禁止コントラクトです。

エンドポイントが別の VRF によって共有されるサービスを必要とする場合、通信を行うために必要なことが 2 つあります。まず、ルーティングの到達可能性です。2 つ目はセキュリティ許可です。EPG では、これら 2 つは EPG サブネットや契約などの 1 セットの設定で密接に結合されています。ESG では、これら 2 つは 2 つの異なる設定で分離されています。

1. ESG 契約の設定とは独立した、VRF レベルでのルート リークの設定。

2. ESG 間の契約の設定。

これら 2 つの設定が完全に分離されているため、EPG で行う必要があるように、ESG の下にサブネットまたはサブネットのサブセットを設定する必要はありません。

次のセクションでは、ブリッジ ドメイン サブネットおよび外部ルーターから学習した外部プレフィックスのルート リークを設定する方法について説明します。ルート リークの設定が完了したら、2 つの ESG 間、または ESG と L3Out EPG 間の契約を設定して、通信を許可できます。グローバルなど、VRFより大きい範囲の契約を使用する必要があります。

（注）	VRF レベルでのルート リーク設定は、ESG でのみサポートされます。

EPG で使用できるすべてのレイヤ 4 ～ レイヤ 7 サービス グラフ機能は、ESG でサポートされます。

（注）

このメモは、高度なユーザー情報の実装の詳細です。ESG 間のコントラクトにサービスグラフが適用されている場合、Cisco Application Policy Infrastructure Controller (APIC) では、レイヤ 4 ～ レイヤ 7 サービスデバイスが適用される非表示サービス EPG を、 Cisco APIC が EPG 間のサービスグラフに行うのと同じように自動的に作成します。EPG 間のサービス グラフとは異なり、ESG の場合、隠しサービス EPG はグローバル pcTag を取得します。 Cisco APIC リリース 5.0(1) 以降のリリースでは、vzAny-to-vzAny コントラクトでレイヤ 4 ～ レイヤ 7 サービス展開用に作成されるすべての新しいサービス EPG は、グローバル pcTag を取得します。

レイヤ 4 ～ レイヤ 7 サービス展開の詳細については、『Cisco APIC レイヤ 4 ～ レイヤ 7 サービス導入ガイド』を参照してください。

[Capacity Dashboard] タブを使用して、重要なファブリック リソースのしきい値の概要を把握できます。これにより、承認されるスケーラビリティ制限にどの程度まで近づいているかを即座に確認できます。リーフ ノードごとの使用量も表示されるため、どのリーフ ノードがリソース制約に達しているかをすぐに確認できます。

1. [容量ダッシュボード（Capacity Dashboard）] トラブルシューティング ツールを起動するには、メニュー バーで、[操作（Operations）][容量ダッシュボード（Capacity Dashboard）] の順に選択します。

2. [容量ダッシュボード（Capacity Dashboard）] ページで、ファブリック リソースの [ファブリック容量（Fabric Capacity）] を選択します。[エンドポイント セキュリティ グループ（Endpoint Security Groups）] タイルと[グローバル pcTag（Global pcTag）] タイルまでスクロール ダウンして、使用可能なリソースを確認します。

3. [容量ダッシュボード（Capacity Dashboard）] ページで、リーフの使用状況として [リーフ容量（Leaf Capacity）] を選択します。エンドポイント セキュリティ グループのリソース使用量の詳細については、[ESG] タブを確認してください。

[エンドポイントトラッカー（Endpoint Tracker）] タブを使用して、ファブリックに適用されたエンドポイントの IP アドレスまたは MAC アドレスを入力すると、このエンドポイントのロケーション、エンドポイントが属するエンドポイントグループ、使用されている VLAN カプセル化、このエンドポイントで移行（フラップ）が発生しているかどうかをすばやく確認できます。

1. メニュー バーで、[操作（Operations）] > [EP トラッカー（EP Tracker）] の順にクリックして、エンドポイント トラッカーのトラブルシューティング ツールを起動します。

2. [End Point Search] フィールドに、エンドポイントの IP アドレスまたは MAC アドレスを入力し、[Search] をクリックします。

3. 表示された後にエンドポイントをクリックします。

エンドポイントトラッカー ツールでは、イベント中の IP アドレス、MAC アドレス、所有するエンドポイントグループ、アクション（適用または解除）、物理ノード、インターフェイス、および VLAN カプセル化とともに、各状態遷移の日時が表示されます。

エンドポイント トラッカー ツールは、fvCEp と呼ばれるオブジェクトを使用して、ESG および EPG について、ファブリックで学習されたエンドポイントを見つけます。ESG に属するエンドポイントは 2 つの fvCEp オブジェクトで表されます。1 つは VLAN バインドを提供する EPG 用で、もう 1 つはセキュリティを提供する ESG 用です。したがって、エンドポイントトラッカーツールは、ESG エンドポイントに使用すると、2 つのエントリが表示されます（EPG 用と ESG 用）。

Cisco APIC リリース 5.0(1) の時点で、次の制限が適用されます。

• ESG と EPG 間の契約はサポートされていません。

• ESG 機能は Cisco ACI マルチサイトと統合されていません。マルチポッド、マルチティア、リモート リーフなどの他のトポロジがサポートされています。

• サポートされている ESG セレクターは IP アドレスです。MAC アドレス、VM タグ、またはその他の基準はまだサポートされていません。

• ESG 契約は、セレクターとして IP を使用するルーティング トラフィックにのみ適用できます。

• タブー契約は ESG ではサポートされていません。

• ESG 間の VRF 間サービス グラフはサポートされていません。

• ESG は、次の機能のソースまたは宛先としてサポートされていません。

  • オンデマンド原子カウンター

  • オンデマンド遅延測定

  • SPAN

• BD/EPG のエンドポイントが ESG に分類されている場合、BD または EPG レベルで設定された次の機能はサポートされません。

  • エンドポイント到達可能性（BD/EPG 上の静的ルート）

  • エニーキャスト サービス

  • Microsoft NLB

  • First Hop Security (FHS)

  • ホスト ベース ルーティング/ホスト ルート アドバタイズメント

• ESG 展開では、EX 以降の世代のリーフ ノードのみがサポートされます。

• IP がセレクターとして使用されている場合に、レイヤ 2 トラフィック（つまり、ルーティングされていないトラフィック）が ESG セキュリティをバイパスしないようにするには、 ESG エンドポイントに VLAN からインターフェイスへのバインディングを提供するすべての EPG で、共通のデフォルト契約などすべてを許可するルールを使用して EPG 契約を有効にします。EPG 内のすべてのエンドポイントが ESG に分類されている場合は、代わりに、EPG 内の契約ではなく、EPG でプロキシ ARP を使用して EPG 内の分離を有効にすることができます。EPG が VMM DVS 統合にのみ使用される場合は、上記の他の 2 つのオプションの代わりに、[マイクロセグメンテーションを許可する（Allow Micro-Segmentation）] オプションを有効にすることもできます。いずれの機能も、ESG エンドポイント間のすべての通信がレイヤ 3 ルーティングを通過するようにします。

  （注）

  このメモでは、すべてを許可するルールを使用した EPG 内契約と、プロキシ ARP を使用した EPG 内の分離の違いについて説明します。両方の機能の主な目的は同じで、プロキシ ARP を使用して、ACI リーフ スイッチ上ですべてのトラフィックをルートするようにすることです。EPG 間契約が使用される場合、プロキシ ARP は EPG に対して暗黙的に有効になることに注意してください。違いは、ESG に属していないが、EPG で学習されたエンドポイントが 2 つ以上ある場合です。すべてを許可するルールを使用した EPG 内契約では、このようなエンドポイントは、すべてを許可するルールにより同じ EPG 内で引き続き自由に通信できます。ただし、プロキシ ARP を使用した EPG 内分離では、そのようなエンドポイントは同じ EPG にある場合でも通信できなくなります。

• 契約を ESG に追加する場合、ラベル設定はサポートされていません。

Cisco Application Policy Infrastructure Controller（APIC）リリース 5.2(1) 以降のリリースでは、EPG セレクタにより、エンドポイントセキュリティ グループ (ESG) が EPG からコントラクトを継承できるようになり、EPG から ESG への移行が簡素化されます。EPG セレクタによるコントラクトの継承により、エンドポイントは他のエンドポイントがまだ ESG に移行されていない場合でも、継承されたコントラクトを使用して他のエンドポイントとの通信を継続できるため、シームレスでフレキシブルな移行が可能になります。

以下の例では、次の図の EPG A1 の EPG から ESG への移行に焦点を当てます。EPG A1 からの現在の通信は、EPG B1、B2、および B3 とのコントラクト C1 を介して行われます。

最初の手順は、ESG（次の図の ESG A1）を作成し、EPG セレクタを使用して EPG A1 をそれに一致させることです。

EPG A1 が ESG A1 に一致させた後、EPG A1 に属していたエンドポイントは ESG A1 に属し、EPG A1 によって提供されるコントラクト C1 は ESG A1 に継承されます。移行されたすべてのエンドポイントは、EPG がまだ ESG に移行されていなくても、EPG B1、B2、および B3 と引き続き通信できます。EPG セレクタによるコントラクトの継承がないと、Cisco Application Centric Infrastructure（ACI）は ESG と EPG 間のコントラクトが許可されないことに注意してください。ESG が EPG セレクタを介してコントラクトを継承する場合、EPG の元の pcTag は ESG の pcTag に置き換えられることに注意してください。この操作により、EPG のエンドポイントのトラフィックに一時的な小規模の中断が発生する場合があります。

この時点で、プロジェクトスケジュールに応じて、EPG A1 の移行を完了する代わりに、ESG A1 と他の ESG または L3Out 外部 EPG との間で新しいコントラクトを構成できます。ただし、すべてのセキュリティ構成は ESG によって管理される必要があるため、EPG A1 にこれ以上新しいコントラクトを追加することはできません。構成をシンプルに維持しやすくするために、できるだけ早く EPG から ESG への移行を完了することをお勧めします。EPG A1 がコントラクトの提供（または消費）を停止するまで、不完全な移行を通知する警告として障害 F3602 が発生します。

移行を続行するには、コントラクト C1 の反対側で EPG の ESG を作成します。この例では、EPG A1 がコントラクト C1 を提供しているため、それらの EPG（EPG B1、B2、および B3）がコントラクト C1 を消費しています。EPG セレクタを使用して、これらの EPG を新しい ESG（ESG B1、B2、および B3）に移行します。次の図の例では、各 EPG が ESG にマッピングされています。

または、複数の EPG を 1 つの ESG に結合できます。たとえば、1 つの ESG を作成してから、同じ ESG 上の EPG B1 と B2 の両方に EPG セレクタを構成できます。

次に、コントラクト C1 と同じフィルタを使用して新しいコントラクト（次の図の C1'）を作成します。新しい ESG をプロバイダーおよびコンシューマーとして構成します。これは、EPG A1 からのコントラクト C1 の提供の停止を準備するため、EPG A1 の EPG から ESG への移行の最後の手順です。

同じフィルタを持つコントラクト C1 は、4 つすべての ESG（A1、B1、B2、および B3）によってすでに継承されているため、新しいコントラクト設定はハードウェアに新しいルールを展開せず、新しいコントラクトを作成することによって追加のポリシー TCAM が消費されることはありません。

ESG A1 には、ESG B1、B2、および B3 との C1 と同じ通信を許可するコントラクト C1’ があります。この時点で、EPG A1 でのコントラクト C1 の提供を停止でき、次の図に示すように ESG A1 がすべてのセキュリティを処理できるようになります。

B1、B2、および B3 は、コントラクト C1 はまだ ESG に移行されていない EPG A2 および A3 によっても提供されるため、コントラクト C1 の消費をまだ停止できないことに注意してください。EPG A2 および A3 が ESG に移行され、コントラクト C1' を提供した後、すべての EPG（A2、A3、B1、B2、および B3）は、トラフィックを中断することなくコントラクト C1 の使用を停止できます。

EPG から ESG への移行を完了するには、EPG レベルのコントラクト C2 およびその他のコントラクトについても同じ手順に従います。

手順：

<polUni> 
  <fvTenant name="t0"> 
    <fvAp name="ap0"> 
      <!-- ESG with the name ESG1 and Preferred Group as Exclude --> 
      <fvESg name="ESG1" prefGrMemb="exclude"> 
          <!-- The ESG is associated to VRFA --> 
          <fvRsScope tnFvCtxName="VRFA" /> 

          <!-- provided and consumed contracts --> 
          <fvRsProv tnVzBrCPName="provided_contract1" /> 
          <fvRsCons tnVzBrCPName="consumed_contract2" /> 

          <!-- Tag Selectors for the ESG -->
          <fvTagSelector matchKey="stage" valueOperator="equals" matchValue="production"/>
          <fvTagSelector matchKey="owner" valueOperator="contains" matchValue="teamA"/>
          <fvTagSelector matchKey=“__vmm::vmname" valueOperator="regex" matchValue="web_[0-9]+"/>

          <!-- EPG Selectors for the ESG -->
          <fvEPgSelector matchEpgDn="uni/tn-TK/ap-AP1/epg-EPG1-1"/>
          <fvEPgSelector matchEpgDn="uni/tn-TK/ap-AP1/epg-EPG1-2"/>

          <!-- IP Subnet Selectors for the ESG -->
          <fvEPSelector matchExpression="ip=='192.168.0.1/32'" />
          <fvEPSelector matchExpression="ip=='192.168.1.0/28'" />
          <fvEPSelector matchExpression="ip=='2001:23:45::0:0/64'" />
      </fvESg> 
    </fvAp> 
  </fvTenant> 
</polUni>

 

はじめる前に

漏洩する BD サブネット、または漏洩したサブネットを含む BD サブネットを設定しておく必要があります。

手順：

<polUni>
  <fvTenant name="t0">
    <fvCtx name="VRFA">
      <leakRoutes>
        <!--
            leak the BD subnet 192.168.1.0/24 with the Allow L3Out Advertisement
            False (i.e. scope private)
        -->
        <leakInternalSubnet ip="192.168.1.0/24" scope="private">
          <!--
              leak the BD subnet to Tenant t1 VRF VRFB with the
              Allow L3Out Advertisement configured in the parent
              scope (i.e. scope inherit)
          -->
          <leakTo ctxName="VRFB" tenantName="t1" scope="inherit" />
        </leakInternalSubnet>
      </leakRoutes>
    </fvCtx>
  </fvTenant>
</polUni>

 

はじめる前に

ソース VRF「VRFA」で L3Out を設定しておく必要があり、外部プレフィックスが学習されます。

手順：

<polUni>
  <fvTenant name="t0">
    <fvCtx name="VRFA">
      <leakRoutes>
        <!--
            leak the external prefixes in the range of
            10.20.0.0/17 and 10.20.0.0/30
        -->
        <leakExternalPrefix ip="10.20.0.0/16" ge="17" le="30">
          <!-- leak the external prefixes to Tenant t1 VRF VRFB -->
          <leakTo ctxName="VRFB" tenantName="t1" />
        </leakExternalPrefix>
      </leakRoutes>
    </fvCtx>
  </fvTenant>
</polUni>