NOTE
ESG はEPG 同様にセキュリティポリシーを適用するオブジェクトなので、ESG に指定したEP はEPG に所属はしてもセキュリティポリシーには関係ないと思っていた。
また、CCO にはルーテッドトラフィックでContractが適用されると記載がある。
An ESG contract can be applied only for routed traffic with IP as the selector.
下のような構成でそれぞれが別のESG に指定されている場合、EP-10 <-> EP-11 やEP-20 <-> EP-21 は
(同一セグメントでルーティング不要だから)Contract が適用されず、
セキュリティポリシーは(EPG ではなく) ESG で、さらに異なるESG同士だから
相互に通信はできないだろうと思っていた。
が、どうも違っていた。同じEPG に所属しているのでEP-10 <-> EP-11 と、EP-20 <-> EP-21 は相互に通信ができるようである。理屈は同一EPG 内であればContract 無しで相互通信が可能と言うのと同じだろう。
下のEP-10 <-> EP-11のようにルーティングが必要な通信であればESG にContract が適用される。但し、以下の例ではESG-10 <-> ESG-11 にContract が無いので通信は不可。
EP-20 <-> EP-21 は同一セグメントだがEPG が異なるので通信不可。
コメント