はじめに

本ドキュメントでは、ACI Fabric 設定のベストプラクティスをご紹介します。

ベストプラクティスの設定は、ACI 製品の設計原則に準拠しており、優れる運用実績が確認されております。

ベストプラクティスの設定を利用することによって ACI の様々な機能を利活用し、運用を簡単にすることだけでなく、動作の最適化が可能になり、セキュリティや障害のリスクを減らし、ハイパフォーマンスでのシステム安定稼働が実現されます。

注：
1. ベストプラクティスの設定は多くのシチュエーションにおいて推奨される設定となっておりますが、必須ではありません。必ず実際の環境や要件に応じて柔軟に適切な設定をご検討ください。
2. 各項目の設定箇所は参考資料をご覧ください。

グローバル設定のベストプラクティス

1. MCP を VLAN ごとに有効にしてください (Enable MCP PDU per VLAN)。
2. Border Leaf スイッチでのリモート IP 学習を無効にしてください (Disable Remote EP Learning)。
3. IP 学習にサブネットチェックを適用してください (Enforce Subnet Check)。
4. EP ループ検出 (EP Loop Protection) を設定し、アクションとして BD 学習の無効化 (BD Learn Disable) とポートの無効化 (Port Disable) がオフになっていることを確認してください。
5. IP エージング (IP Aging) が有効になっていることをしてください。
6. 不正エンドポイント検出 (Rogue EP Control) が有効になっていることを確認してください。
7. 厳密な (Strict Type) COOP グループポリシーを有効にしてください。
8. ファブリックに接続しているインターフェースの BFD を有効にしてください。
9. ACI ファブリックを通過する CoS を保持する (Preserve COS) ようにしてください。

まとめると、2-6 の項目はエンドポイント学習の動作を改善します。
そのうち 2,3,5 はエンドポイントの誤学習を防止します。一方 4,6 は ACI のアクセスポートに接続している外部機器の動作によって期待されない振る舞いをするエンドポイントを検知し、排除します。

その他 1,7-9 はそれぞれ物理接続、セキュリティ、ルーティング、QoS の動作を最適化します。

BD (Bridge Domain) 設定のベストプラクティス

1. ACI Leaf スイッチがサブネットの L3 デフォルトゲートウェイでない場合は、ユニキャストルーティング (Unicast Routing) を有効にしないでください
2. BD ごとに単一のサブネットを設定してください。
3. ACI のアクセスポートに (STP や HSRP などが動作している) ネットワーク機器が接続している場合、BD に複数の EPG を設定しないでください。
4. 「IP 学習をサブネットに限定」 (Limit IP Learning to Subnet) を有効にしてください。
5. エンドポイントの IP/MAC バインディングの変更が頻繁に行われる環境の場合、ARP フラッディング (ARP Flooding) および GARP ベースの検出 (GARP based detection) の有効化を検討してください。

初期セットアップのベストプラクティス

1. TEP アドレス範囲 (TEP address range) はネットワーク内の既存のサブネットと重複しないように、一意のアドレスプールを提供する必要があるため、デフォルト値の [10.0.0.0/16] から変更することがおすすめです。
   • 予備のプライベートアドレスがない場合は、[100.64/10] (RFC6598 範囲) の使用を検討してください。
   • APIC 2.2 リリース以降は、3 APIC ノードのクラスタでサポートされる最小サブネットは [/23] です。
2. インフラストラクチャ VLAN ID を 3967 に設定してください (3967 はどのシスコデバイスからも予約されていない VLAN 番号となっているため) 。
3. ノード ID は Spine には 101 - 199 の番号を割り当て、Leaf には 200 以上の番号を割り当ててください。

参考情報

ACI Best Practice Configurations

ACI の設定のベストプラクティス 日本語版

ACI の命名規則のベストプラクティス