NOTE
- ContractはACIのセキュリティポリシーを実現する機能
- 従来のアクセスリストに相当
– 許可、拒否、ログ、マーク、リダイレクト、コピー - EPG間の通信を制御
– EPG内の通信にも適用できる
– Contractを使わないで通信する設定もある
– IPアドレスではなく、L4以上の情報で制御する - Contractは階層構造になっている
– Contract(Subjectのグループ)
– Subject(Filterのグループ)
– Filter(Entryのグループ) - Provider (Provided)とConsumer (Consumed)という考え方がある
– 発通信のあるほうがConsumer - Provider側から発通信がある場合はConsumerとして別途Contractを設定する
(Provider兼Consumer) - APICやACIドキュメントでは矢印はProviderからConsumerに向かっているがContractの提供方向であって、通信の向きではない
- 例外として、ICMP許可フィルタが適用されるEPG間ではプロバイダ通信も許可される(icmpというよりポート番号を持たない通信)
- ACIをL2ネットワークとして使用する場合でも、EPG間の通信にはContractが必要
REFERENCE
- [NOTE] Contract between VRFs
コメント