
|
|
Virtual Private Network(VPN;仮想私設網)は、共有インフラストラクチャ(イーサネットベースであることが多い)上で、私設網と同じセキュリティ、プライオリティ、信頼性、および管理性で企業規模の接続を行います。トンネリングは、ネットワークで複数のカスタマーのトラフィックを伝送するサービス プロバイダーを対象に設計された機能です。このようなサービス プロバイダーは、各カスタマーのVLAN(仮想LAN)およびレイヤ2プロトコル設定を他のカスタマーのトラフィックに影響を与えずに維持する必要があります。Catalyst 3550スイッチは、802.1Qトンネリングおよびレイヤ2プロトコル トンネリングをサポートします。
サービス プロバイダーの企業カスタマーは、多くの場合、VLAN IDとサポートするVLAN数について一定の要求を持っています。同じサービスプロバイダー ネットワークのさまざまなカスタマーが必要とするVLANの範囲は重複する場合があり、インフラストラクチャを介したカスタマーのトラフィックが混合する場合もあります。各カスタマーに固有の範囲のVLAN IDを割り当てると、カスタマーの設定を制限し、802.1Q仕様である4096というVLANの制限を容易に超えてしまいます。
サービス プロバイダーは、802.1Qトンネリングを使用することにより、複数のVLANを設定しているカスタマーを1つのVLANでサポートできます。同じVLAN上にあるように見える場合でも、カスタマーのVLAN IDは保持され、さまざまなカスタマーからのトラフィックは、サービスプロバイダーのインフラストラクチャ内で分離されます。802.1Qトンネリングは、VLAN内VLAN階層構造を使用し、タグ付きパケットをタギングしてVLANスペースを拡張します。802.1Qトンネリングをサポートするように設定されたポートをトンネル ポートと呼びます。トンネリングを設定するとき、トンネリング用のVLANにトンネル ポートを割り当てます。各カスタマーは個別のVLANを必要としますが、そのVLANはすべてのカスタマーのVLANをサポートします。
適切なVLAN IDを通常の方法でタグ付けされたカスタマー トラフィックは、カスタマー デバイスの802.1Qトランク ポートから送信され、サービスプロバイダー エッジ スイッチのトンネル ポートがこれを受信します。カスタマー デバイスとエッジ スイッチ間のリンクは、非対称リンクです。これは、一方の側が802.1Qトランク ポートとして設定されているのに対し、もう一方がトンネル ポートとして設定されているためです。トンネル ポート インターフェイスに、各カスタマーの一意のアクセスVLAN IDを割り当てます( サービスプロバイダー ネットワークの802.1Qトンネル ポート. を参照)。
カスタマー トランク ポートから送信され、サービスプロバイダー エッジ スイッチ上のトンネル ポートが受信するパケットには、通常、適切なVLAN IDを含む802.1Qがタグ付けされています。スイッチのトンネル ポートは、802.1Qタグ付きパケットからタグを取り除くことはしません。これらのタグ付きパケットはさらに、トランク ポートを出てサービスプロバイダー ネットワークへ入るとき、カスタマーごとに割り当てられた一意のVLAN IDを含む、別のレイヤの802.1Qタグ( メトロ タグ )でカプセル化されます。カスタマーからの元の802.1Qタグはカプセル化されたパケット内に保存されています。したがって、サービスプロバイダー インフラストラクチャに入るパケットは二重のタグ付きで、外側のタグにはカスタマーのアクセスVLAN IDを、内側のタグには着信トラフィックのVLANであるVLAN IDを格納しています。
二重タグ付きパケットがサービス プロバイダー コア スイッチの別のトランク ポートに着信した場合は、パケットがスイッチ内部で処理されるときに、外側のタグが除去されます。同じコア スイッチ上の別のトランク ポートからパケットが送出された場合は、パケットに同じメトロ タグが再び追加されます。 通常、802.1Q、および二重タグ付きイーサネット パケット形式. に二重タグ付きパケットの構造を示します。
サービスプロバイダー出力スイッチのトランク ポートにパケットが入った場合は、スイッチ内部で処理されるときに、外側のタグが再度除去されます。ただし、パケットが、エッジ スイッチのトンネル ポートから送信され、カスタマー ネットワークへ入った場合、およびカスタマー ネットワークで元のVLAN番号を保持するために通常の802.1Qタグ付きフレームとして送信された場合には、メトロ タグは追加されません。
サービスプロバイダー ネットワークの802.1Qトンネル ポート. では、カスタマーAにはVLAN 30が、カスタマーBにはVLAN 40が割り当てられています。802.1Qタグ付きでエッジ スイッチのトンネル ポートに入るパケットは、二重タグ付きになります。この場合、外側のタグにはVLAN 30または40を格納し、内側のタグには元のVLAN番号(たとえば、VLAN 100)を格納してサービスプロバイダー ネットワークに入ります。カスタマーAとカスタマーBの両方がネットワークにVLAN 100を持っている場合でも、外側のタグが異なるため、トラフィックはサービスプロバイダー ネットワーク内で分離されたままです。802.1Qトンネリングにより、各カスタマーは独自のVLAN番号スペースを運用管理します。これは、他のカスタマーが使用するVLAN番号スペースや、サービスプロバイダー ネットワークが使用するVLAN番号スペースとは無関係の独自のものです。
発信トンネル ポートでは、カスタマーのネットワーク上の元のVLAN番号が回復されます。複数のレベルのトンネリングとタギングが設定できますが、このリリースでは、スイッチがサポートするのは1つのレベルだけです。
カスタマー ネットワークから送信されたトラフィックがタグ付きではない(ネイティブVLANフレーム)場合は、このようなパケットは通常のパケットとしてブリッジングまたはルーティングされます。エッジ スイッチのトンネル ポート経由でサービスプロバイダー ネットワークに入るパケットは、タグなしの場合も、802.1Qヘッダー付きのタグ付きの場合も、すべてタグなしパケットとして取り扱われます。これらのパケットは、802.1Qトランク ポートのサービスプロバイダー ネットワーク経由で送信されるとき、メトロ タグVLAN ID(トンネル ポートのアクセスVLANに設定)でカプセル化されます。メトロ タグのプライオリティ フィールドの値は、トンネル ポートのインターフェイスClass of Service(CoS;サービス クラス)プライオリティの値に設定されています(未設定の場合デフォルトは0)。
デフォルトでは、802.1Qトンネリングはディセーブルに設定されています。デフォルトのスイッチポート モードがdynamic desirableであるためです。802.1QネイティブVLANパケットのタギングも、すべての802.1Qトランク ポートでディセーブルに設定されています。
802.1Qトンネリングを設定する場合、トンネルを発着するトラフィックに対して常に非対称リンクを使用し、トンネルごとに1つのVLANを専用にする必要があります。また、ネイティブVLANの設定要件とMaximum Transmission Unit(MTU; 最大伝送ユニット)にも注意する必要があります。
エッジ スイッチ上に802.1Qトンネリングを設定する場合は、サービスプロバイダー ネットワークへのパケットの送信に802.1Qトランク ポートを使用する必要があります。ただし、サービスプロバイダー ネットワークの中心を通過するパケットは、802.1Qトランク、ISLトランク、または非トランク リンクを介して搬送されることがあります。802.1Qトランクをこれらのコア スイッチで使用する場合には、802.1QトランクのネイティブVLANを、同じスイッチ上の非トランク(トンネリング)ポートのどのネイティブVLANにも一致させないでください。ネイティブVLAN上のトラフィックが802.1Q送信トランク ポートでタグ付けされないことがあるためです。
802.1QトンネリングとネイティブVLANで予想される問題. を参照してください。VLAN 40は、サービスプロバイダー ネットワーク(スイッチ2)の入力エッジ スイッチで、カスタマーAから802.1Qトランク ポートのネイティブVLANとして設定されています。カスタマーAのスイッチ1は、タグ付きパケットをVLAN 30上で、アクセスVLAN 40に属するサービスプロバイダー ネットワークにあるスイッチ2の入力トンネル ポートに送信しています。トンネル ポートのアクセスVLAN(VLAN 40)は、エッジ スイッチ トランク ポート(VLAN 40)のネイティブVLANと同じなので、メトロ タグはトンネル ポートから受信したタグ付きパケットに追加されません。パケットは、サービスプロバイダー ネットワークを通じてVLAN 30タグだけを出力エッジ スイッチ(スイッチ3)のトランク ポートに搬送し、出力スイッチ トンネル ポートを通じてカスタマーBに誤って転送します。
Catalyst 3550スイッチ上のトラフィックに対するデフォルトのシステムMTUは、1500バイトです。 system mtu グローバル コンフィギュレーション コマンドを使用すると、1500バイトを超えるフレームをサポートするようにスイッチを設定できます。メトロ タグが追加されたときに、802.1Qトンネリング機能によってフレーム サイズが4バイト増えるので、スイッチのシステムMTUサイズを1504バイト以上に設定して、サービスプロバイダー ネットワーク内のすべてのスイッチが最大サイズのフレームを処理できるようにする必要があります。Catalyst 3550ギガビット イーサネット スイッチの最大許容システムMTUは、2000バイトです。ファスト イーサネット スイッチの最大システムMTUは、1546バイトです。
802.1Qトンネリングは、レイヤ2パケット スイッチングに対しては適切に機能しますが、レイヤ2機能とレイヤ3スイッチングとは一部互換性がありません。
ポートを802.1Qトランク ポートとして設定するには、イネーブルEXECモードで次の手順を実行します。
ポートをdynamic desirableのデフォルト ステートに戻すには、 no switchport mode dot1q-tunnel インターフェイス コンフィギュレーション コマンドを使用します。ネイティブVLANパケットのタギングをディセーブルにする場合は、 no vlan dot1q tag native グローバル コンフィギュレーション コマンドを使用します。
次の例は、インターフェイスをトンネル ポートとして設定し、ネイティブVLANパケットのタギングをイネーブルにして、設定を確認する方法を示しています。この設定では、インターフェイスGigabit Ethernet 0/7に接続しているカスタマーのVLAN IDはVLAN 22です。
Switch(config)# interface gigabitethernet0/7
Switch(config-if)# switchport access vlan 22
% Access VLAN does not exist. Creating vlan 22
Switch(config-if)# switchport mode dot1q-tunnel
Switch(config)# vlan dot1q tag native
Switch# show dot1q-tunnel interface gigabitethernet0/7
サービスプロバイダー ネットワークで接続されたさまざまなサイトのカスタマーは、各種のレイヤ2プロトコルを実行してトポロジーをスケールし、ローカル サイトだけでなくすべてのリモート サイトも組み込む必要があります。STPは正常に実行し、すべてのVLANは、サービスプロバイダー インフラストラクチャ全体でローカル サイトおよびすべてのリモート サイトを組み込んだ適切なスパニング ツリーを構築する必要があります。CDPは、ローカルおよびリモート サイトから近接するシスコ デバイスを検出する必要があります。VLAN Trunk Protocol(VTP; VLANトランク プロトコル)は、カスタマー ネットワークのすべてのサイトでVLAN設定が一貫するようにする必要があります。
プロトコル トンネリングがイネーブルになると、サービスプロバイダー インフラストラクチャの着信側のエッジ スイッチは、特殊MACアドレスでレイヤ2プロトコル パケットをカプセル化し、サービスプロバイダー ネットワークに送信します。ネットワークのコア スイッチはこのようなパケットを処理せずに、通常パケットとして転送します。CDP、STP、またはVTP用のレイヤ2 Protocol Data Unit(PDU;プロトコル データ ユニット)は、サービスプロバイダー インフラストラクチャを横断し、サービスプロバイダー ネットワークの発信側にあるカスタマー スイッチに受信されます。同じVLAN上のすべてのカスタマー ポートで同じパケットが受信され、次のような結果となります。
レイヤ2プロトコル トンネリングは単独で使用することも、802.1Qトンネリングを拡張することもできます。プロトコル トンネリングが802.1Qトンネリング ポートでイネーブルになっていない場合は、サービスプロバイダー ネットワークの受信側にあるリモート スイッチは、PDUを受信せず、STP、CDP、およびVTPを正常に実行できません。プロトコル トンネリングがイネーブルに なっている 場合は、各カスタマー ネットワークのレイヤ2プロトコルは、サービスプロバイダー ネットワーク内で実行するプロトコルとは全面的に切り離されます。802.1Qトンネリングを装備したサービスプロバイダー ネットワークを介してトラフィックを送信するさまざまなサイト上のカスタマー スイッチは、カスタマーVLANのすべてを理解するようになります。802.1Qトンネリングが使用されていない場合は、アクセス ポートを通じてカスタマー スイッチに接続し、サービスプロバイダーのアクセス ポートでトンネリングをイネーブルにすることで、レイヤ2プロトコル トンネリングをイネーブルにできます。
たとえば、 レイヤ2プロトコル トンネリング. では、カスタマーAは、サービスプロバイダー ネットワークを介して接続された、同じVLANに4つのスイッチを持っています。ネットワークがPDUをトンネリングしない場合は、ネットワークの遠端のスイッチはSTP、CDP、およびVTPプロトコルを正常に実行できません。たとえば、カスタマーA、サイト1のあるスイッチ上のVLANに対するSTPは、サイト2にあるカスタマーAのスイッチに基づくコンバージェンス パラメータを考慮しないで、そのサイトのスイッチ上にスパニングツリーを構築します。この結果、トポロジーは BPDUトンネリングのない仮想ネットワーク トポロジー. のようになります。
サービスプロバイダー ネットワークのエッジ スイッチのカスタマーに接続したアクセス ポートまたはトンネル ポートで、レイヤ2プロトコル トンネリング(プロトコル別)をイネーブルにします。エッジ スイッチ トンネル ポートは、カスタマーの802.1Qトランク ポートに接続しています。エッジ スイッチ アクセス ポートは、カスタマーのアクセス ポートに接続しています。Catalyst 3550スイッチは、CDP、STP、およびVTPのレイヤ2プロトコル トンネリングをサポートします。カスタマー スイッチに接続したエッジ スイッチは、トンネリング プロセスを実行します。
トンネル ポートまたはアクセス ポートを介して着信エッジ スイッチに入ったレイヤ2 PDUが、トランク ポートを介してスイッチを出てサービスプロバイダー ネットワークに入ると、スイッチは、カスタマーPDU宛先MACアドレスを既知のシスコ独自のマルチキャスト アドレス(01-00-0c-cd-cd-d0)で上書きします。ここで、802.1Qトンネリングがイネーブルになっている場合は、パケットは二重タグ付きです。外側のタグはカスタマーのメトロ タグで、内側のタグはカスタマーVLANタグです。コア スイッチは、内側のタグを無視して同じメトロVLANのすべてのトランク ポートにパケットを転送します。発信側のエッジ スイッチは、正しいレイヤ2プロトコルとMACアドレス情報を復元して、同じメトロVLANのすべてのトンネル ポートまたはアクセス ポートにパケットを転送します。したがって、レイヤ2 PDUは完全な状態のままで保持され、サービスプロバイダー インフラストラクチャを介してカスタマー ネットワークのもう一方の側に配信されます。
レイヤ2プロトコル トンネリング. を参照してください。カスタマーAとカスタマーBは、それぞれアクセスVLAN 30と40に属しています。非対称リンクは、サイト1のカスタマーをサービスプロバイダー ネットワークのエッジ スイッチに接続します。サイト1のカスタマーBからスイッチ2に着信するレイヤ2PDU(たとえば、BPDU)は、宛先MACアドレスとして既知のMACアドレスを持つ二重タグ付きパケットとしてインフラストラクチャに転送されます。この二重タグ付きパケットは、内側のVLANタグ(たとえばVLAN 100)だけでなく外側に40のVLANタグを備えています。二重タグ付きパケットがスイッチ4に到着すると、外側のVLANタグ40は削除され、既知のMACアドレスが各レイヤ2プロトコルMACアドレスに置き換わり、パケットはサイト2のカスタマーBにVLAN 100の一重タグ付きフレームとして送信されます。
カスタマー スイッチのアクセス ポートに接続したエッジ スイッチのアクセス ポートでのレイヤ2プロトコル トンネリングもイネーブルにできます。この場合、カプセル化とカプセル化解除の動作は、前に説明したものと同じです。ただし、パケットはサービスプロバイダー ネットワークで二重タグ付きではありません。一重タグは、カスタマー固有のアクセスVLANタグです。
ここでは、レイヤ2プロトコル トンネリングの設定について説明します。
レイヤ2イーサネット インターフェイスVLANのデフォルト設定. に、レイヤ2プロトコル トンネリングのデフォルト設定を示します。
ここでは、レイヤ2プロトコル トンネリングの設定時の注意事項と動作特性について説明します。
レイヤ2プロトコル トンネリングのためにポートを設定するには、イネーブルEXECモードで次の手順を実行します。
次の例は、STPとCDPに対してレイヤ2プロトコル トンネリングを設定し、その設定を確認する方法を示しています。
Switch(config)# interface gigabitethernet0/7
Switch(config-if)# l2protocol-tunnel stp
Switch(config-if)# l2protocol-tunnel cdp
Switch(config-if)# l2protocol-tunnel shutdown-threshold 400
Switch(config)# l2protocol-tunnel cos 6
COS for Encapsulated Packets:6
Port Protocol Threshold Counters Encap Decap
(cdp/stp/vtp) (cdp/stp/vtp cdp/stp/vtp)
---------------------------------------------------------------------------
トンネリングのモニタおよびメンテナンスのためのコマンド. に、802.1Qおよびレイヤ2プロトコル トンネリングのモニタおよびメンテナンス用のイネーブルEXECコマンドを示します。
All contents copyright (C) 1992--2003 Cisco Systems K.K.