スイッチ : Cisco Nexus 7000 シリーズ スイッチ

Nexus 7000 シリーズのレイヤ2 vPC データセンター相互接続を切り替えます設定して下さい

2016 年 6 月 18 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2016 年 4 月 21 日) | フィードバック

概要

この資料に仮想 な Port-Channel (vPC)の使用でレイヤ2 (L2)データセンター相互接続(DCI)を設定する方法を記述されています。

、Cisco TAC エンジニア リチャード Rutkowski および Yogesh Ramdoss によって貢献されるおよびクラーク ダイソン、Cisco 高度 な サービス。

前提条件

vPC および Hot Standby Routing Protocol (HSRP)がこの資料で提供される例で使用するデバイスで既に設定されていることが仮定されます。

: Link Aggregation Control Protocol (LACP)は vPC リンクで使用する必要があります DCI として機能する。

ヒント: MACSec 暗号化はバージョン 6.1(1)前にバージョンの LAN 高度 な サービス ライセンスを必要とし、ラインカード仕様制限があります。 Cisco Nexus 7000 シリーズ NX-OS セキュリティ構成ガイドCisco TrustSec セクションのためのガイドラインおよび制限をその他の情報に関してはリリース 6.x 参照して下さい。

要件

次の項目に関する知識があることが推奨されます。

  • vPC
  • HSRP
  • Spanning-Tree Protocol(STP; スパニング ツリー プロトコル)
  • MACSec 暗号化(オプションの)

使用するコンポーネント

ソフトウェア バージョン 6.2(8b) を実行するこの文書に記載されている情報は Cisco Nexus 7000 シリーズ スイッチに基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

DCI の目的は大きい距離で分かれる Network attached storage (NAS) デバイスおよびサーバのための L2 隣接関係を提供する異なるデータ データ センタ間の仕様 VLAN を拡張することです。

vPC は 2 つのサイト(DCI vPC を渡るブリッジ プロトコル データ ユニット (BPDU)無し)間の STP 分離の利点を示します、従って冗長リンクがまだデータセンタの間で提供されるのでデータセンタのどの停止でも間接資料データ センタに伝搬しません。

: vPC は最大 2 データセンタを相互接続するために使用することができます。 以上 2 データセンタが相互接続する必要がある場合 Cisco は転送する 仮想化(OTV)の上にあるのに使用することを推奨します。

DCI vPC EtherChannel はこの情報を念頭において一般的に設定されます:

  • 最初ホップ 冗長性 プロトコル(FHRP)分離: 各データセンタのための専用ゲートウェイの使用で準最適ルーティングを防いで下さい。 コンフィギュレーションは FHRP ゲートウェイの位置に依存を変えます。

  • STP 分離: 以前に述べられるように、これは 1 データセンタから別のものに停止の伝搬を防ぎます。

  • ブロードキャスト ストーム制御: これはデータセンタ間のブロードキャストトラフィックの量を最小に するために使用されます。

  • MACSec 暗号化(オプションの): これは 2 つのファシリティ間の不正侵入を防ぐためにトラフィックを暗号化します。

設定

情報を使用して下さい vPC の使用で L2 DCI を設定するためにこのセクションに説明がある。

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

FHRP 分離

このセクションは FHRP 分離が設定されるである 2 つのシナリオを解説しています。

二重 L2/L3 ポッド相互接続

これはこのシナリオで使用するトポロジーです:

このシナリオでは、レイヤ3 (L3)ゲートウェイは同じ vPC ペアで設定され、DCI として機能します。 HSRP を隔離するために、DCI port-channel のポート アクセス制御リスト(PACL)を設定し、DCI を渡って移動する VLAN のための交換仮想インターフェイス(SVIs)の HSRP 無償アドレス解決プロトコル(ARP) (GARP)をディセーブルにして下さい。

次に設定例を示します。

ip access-list DENY_HSRP_IP
  10 deny udp any 224.0.0.2/32 eq 1985
  20 deny udp any 224.0.0.102/32 eq 1985
  30 permit ip any any

interface <DCI-Port-Channel>
  ip port access-group DENY_HSRP_IP in
 
interface Vlan <x>
  no ip arp gratuitous hsrp duplicate

集約および DCI のためのマルチレイヤ vPC

これはこのシナリオで使用するトポロジーです:

このシナリオでは、DCI は隔離された単独で L2 仮想デバイス コンテキスト(VDC)であり、L3 ゲートウェイは集約 層 デバイスにあります。 HSRP を隔離するために、L2 DCI VDC の HSRP GARP をブロックする ARP インスペクション フィルタおよび HSRP コントロール トラフィックをブロックする VLAN Access Control List (VACL)を設定して下さい。

次に設定例を示します。

ip access-list ALL_IPs
  10 permit ip any any
mac access-list ALL_MACs
  10 permit any any
ip access-list HSRP_IP
  10 permit udp any 224.0.0.2/32 eq 1985
  20 permit udp any 224.0.0.102/32 eq 1985
mac access-list HSRP_VMAC
  10 permit 0000.0c07.ac00 0000.0000.00ff any
  20 permit 0000.0c9f.f000 0000.0000.0fff any
vlan access-map HSRP_Localization 10
        match ip address HSRP_IP
        match mac address HSRP_VMAC
        action drop
        statistics per-entry
vlan access-map HSRP_Localization 20
        match ip address ALL_IPs
        match mac address ALL_MACs
        action forward
        statistics per-entry
vlan filter HSRP_Localization vlan-list <DCI_Extended_VLANs>

feature dhcp

arp access-list HSRP_VMAC_ARP
  10 deny ip any mac 0000.0c07.ac00 ffff.ffff.ff00
  20 deny ip any mac 0000.0c9f.f000 ffff.ffff.f000
  30 permit ip any mac any
 
ip arp inspection filter HSRP_VMAC_ARP vlan <DCI_Extended_VLANs>

追加分離設定

このセクションは設定例をそれ提供します:

  • 割り当て伸びるべき間接資料データ センタで必要である VLAN だけ。

  • 各データセンタで STP を隔離します。

  • 全リンク速度の 1% を超過するブロードキャストトラフィックを廃棄します。

設定例はここにあります:

 interface <DCI-Port-Channel>
  switchport trunk allowed vlan <DCI_Extended_VLANs>
  spanning-tree port type edge trunk
  spanning-tree bpdufilter enable
storm-control broadcast level 1.0

: マルチキャストトラフィックのためのストーム コントロールはまた設定することができますブロードキャストトラフィックと同じパーセントを持たなければなりません。

MACSec 暗号化

: 設定はこのセクションに説明があるオプションです。

MACSec 暗号化を設定するためにこの情報を使用して下さい:

feature dot1x
feature cts

! MACSec requires 24 additional bytes for encapsulation.
interface <DCI-Port-Channel>
  mtu 1524

interface <DCI-Physical-Port>
  cts manual
    no propagate-sgt
    sap pmk <Preshared-Key>

: インターフェイスは発生する MACSec 許可のためにフラップする必要があります。

確認

情報を使用して下さい設定はきちんと機能することを確認するためにこのセクションに説明がある。

FHRP 分離

HSRP ゲートウェイが両方のデータセンタでアクティブであることを確認するために CLI に提示 hsrp Br コマンドを入力して下さい:

!DC-1
N7K-A# show hsrp br
*:IPv6 group   #:group belongs to a bundle
                     P indicates configured to preempt.
                     |
 Interface   Grp  Prio P State    Active addr      Standby addr     Group addr
  Vlan10      10   120    Active   local            10.1.1.3         10.1.1.5   
     (conf)

!DC-2
N7K-C# show hsrp br
*:IPv6 group   #:group belongs to a bundle
                     P indicates configured to preempt.
                     |
 Interface   Grp  Prio P State    Active addr      Standby addr     Group addr
  Vlan10      10   120    Active   local            10.1.1.3         10.1.1.5   
     (conf)

ARP フィルタを確認するために CLI にこのコマンドを入力して下さい:

N7K-D# show log log | i DUP_VADDR
2015 Apr 10 21:16:45 N7K-A %ARP-3-DUP_VADDR_SRC_IP:  arp [7915]  Source address of
packet received from 0000.0c9f.f00a on Vlan10(port-channel102) is duplicate of local
virtual ip, 10.1.1.5

これと同じような出力が現われる場合、2 つのアクティブなゲートウェイ間の GARP にきちんと接続されていなくないです。

追加分離

STP ルートが DCI port-channel の方に指さないことを確認するために CLI に show spanning-tree ルート コマンドを入力して下さい:

N7K-A# show spanning-tree root

                                        Root  Hello Max Fwd
Vlan                   Root ID          Cost  Time  Age Dly  Root Port
---------------- -------------------- ------- ----- --- ---  ----------------
VLAN0010          4106 0023.04ee.be01       0    2   20  15  This bridge is root

ストーム コントロールが正しく設定されることを確認するために CLI にこのコマンドを入力して下さい:

N7K-A# show interface <DCI-Port-Channel> counters storm-control 

--------------------------------------------------------------------------------
Port        UcastSupp %     McastSupp %     BcastSupp %     TotalSuppDiscards
--------------------------------------------------------------------------------
Po103            100.00          100.00            1.00                     0

MACSec 暗号化

MACSec 暗号化が正しく設定されることを確認するために CLI にこのコマンドを入力して下さい:

N7K-A# show cts interface <DCI-Physical-Port>
CTS Information for Interface Ethernet3/41:
...
    SAP Status:             CTS_SAP_SUCCESS
      Version: 1
      Configured pairwise ciphers: GCM_ENCRYPT
      Replay protection: Enabled
      Replay protection mode: Strict
      Selected cipher: GCM_ENCRYPT
      Current receive SPI: sci:e4c7220b98dc0000 an:0
      Current transmit SPI: sci:e4c7220b98d80000 an:0
...

トラブルシューティング

現在 FHRP か追加分離コンフィギュレーションのために利用可能 な特定のトラブルシューティング情報がありません。

MACSec 設定に関しては、事前共有キーがリンクの両端で合意されなければ、CLI に show interface <DCI-Physical-Port> コマンドを入力するときこれと同じような出力を見ます:

N7K-A# show interface <DCI-Physical-Port>
Ethernet3/41 is down (Authorization pending)
admin state is up, Dedicated Interface

: キーは接続の両側に同じである必要があります。

警告

: 関連 製品のための警告は含まれていません。

これらの警告は Cisco Nexus 7000 シリーズの DCI の使用と切り替えます関連しています:

  • Cisco バグ ID CSCur69114 -壊れる HSRP PACL フィルタ-パケットは layer2 ドメインにあふれます。 この不具合はソフトウェア バージョン 6.2(10) にだけあります。

  • Cisco バグ ID CSCut75457 -壊れる HSRP VACL フィルタ。 この不具合はソフトウェア バージョンにだけ 6.2(10) および 6.2(12) あります。

  • Cisco バグ ID CSCut43413 - DCi: FHRP 分離 PACL を通ってフラップする HSRP バーチャル MAC。 この不具合はハードウェアの制約が原因です。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118934