このドキュメントでは、Cisco アグリゲーション サービス ルータ(ASR)1000 プラットフォームで Overlay Transport Virtualization(OTV)のユニキャスト隣接サーバを設定する方法について説明します。 従来の OTV では、インターネット サービス プロバイダー(ISP)クラウド全体でマルチキャストが必要であるため、マルチキャスト サポートおよび設定の要件なしでユニキャスト隣接サーバを使用して OTV 機能を活用することができます。
OTV は、物理的に異なるサイト間でレイヤ 2(L2)のトポロジを拡張します。これにより、デバイスはレイヤ 3(L3)のプロバイダーを介して L2 で通信することができます。 サイト 1 のデバイスは、サイト 2 のデバイスと同じブロードキャスト ドメイン内にあるものと認識します。
次の項目に関する知識が推奨されます。
このドキュメントの情報は、Cisco IOS® Version asr1000rp1-adventerprise.03.09.00.S.153-2.S.bin を搭載する ASR 1002 に基づいています。
システムは、ASR 1000 および Cisco Cloud Services Router(CSR)1000V プラットフォームに OTV 機能を実装するには、次の要件が必要です。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
基本的な設定から始めます。 ASR の内部インターフェイスは、dot1q トラフィックのサービス インスタンスに設定されます。 OTV Join インターフェイスは、外部 WAN のレイヤ 3 インターフェイスです。
ASR-1
interface GigabitEthernet0/0/0
description OTV-WAN-Connection
mtu 9216
ip address 172.17.100.134 255.255.255.0
negotiation auto
cdp enable
ASR-2
interface GigabitEthernet0/0/0
description OTV-WAN-Connection
mtu 9216
ip address 172.16.64.84 255.255.255.0
negotiation auto
cdp enable
OTV が 42 バイトのヘッダーを追加するため、ISP がサイト間で最小 MTU サイズを渡していることを確認します。 この確認を行うには、DF ビットを設定した状態で 1514 のパケット サイズを送信します。 これにより、OTV パケットをシミュレートするために、パケット上の do not fragment タグに加え、必要な ISP ペイロードが提供されます。 DF ビットなしで ping を実行できない場合は、ルーティングの問題があります。 DF ビットなしで ping を実行できても、DF ビットを設定した状態で ping を実行できない場合は、MTU の問題があります。 成功すると、サイト ASR に、OTV のユニキャスト モードをサイトの ASR に追加できます。
ASR-1#ping 172.17.100.134 size 1514 df-bit
Type escape sequence to abort.
Sending 5, 1514-byte ICMP Echos to 172.17.100.134, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
内部インターフェイスは、L2 dot1q のタグ付きパケットのサービス インスタンスで設定した L2 ポートです。 これにより、内部サイトのブリッジ ドメインが構築されます。 この例では、これはタグなしの VLAN1 です。 内部サイトのブリッジ ドメインは、同じサイトにある複数の OTV デバイスの通信に使用されます。 これにより、OTV デバイスは通信してどのデバイスがどのブリッジ ドメインの Authoritative Edge Device(AED)であるかを判断することができます。
サービス インスタンスは、オーバーレイを使用するブリッジ ドメインに設定する必要があります。
ASR-1
interface GigabitEthernet0/0/1
no ip address
negotiation auto
cdp enable
service instance 1 ethernet
encapsulation untagged
bridge-domain 1
!
service instance 50 ethernet
encapsulation dot1q 100
bridge-domain 200
!
service instance 51 ethernet
encapsulation dot1q 101
bridge-domain 201
ASR-2
interface GigabitEthernet0/0/2
no ip address
negotiation auto
cdp enable
service instance 1 ethernet
encapsulation untagged
bridge-domain 1
!
service instance 50 ethernet
encapsulation dot1q 100
bridge-domain 200
!
service instance 51 ethernet
encapsulation dot1q 101
bridge-domain 201
これは、隣接サーバと Join/内部インターフェイスをセットアップするために少数のコマンドしか必要としない基本的な設定です。
ローカル サイトのブリッジ ドメインを設定します。この例では、これは LAN の VLAN1 です。 サイト ID は各物理的ロケーションに固有です。この例では、互いに物理的に独立している 2 つのリモート ロケーションがあります。 それに応じてサイト 1 とサイト 2 を設定します。
ASR-1
Config t
otv site bridge-domain 1
otv site-identifier 0000.0000.0001
ASR-2
Config t
otv site bridge-domain 1
otv site-identifier 0000.0000.0002
それぞれの側にオーバーレイを作成します。 オーバーレイを設定して Join インターフェイスを適用し、それぞれの側に隣接サーバ設定を追加します。 この例では、ASR-1 が隣接サーバで、ASR-2 がクライアントです。
拡張する 2 つのブリッジ ドメインを追加します。 サイトのブリッジ ドメインを拡張しないことに注意してください(必要な VLAN は 2 つだけ)。 ブリッジ ドメイン 200 および 201 を呼び出すためにオーバーレイ インターフェイスに個別のサービス インスタンスを作成します。 それぞれ dot1q タグ 100 と 101 を適用します。
ASR-1
Config t
interface Overlay1
no ip address
otv join-interface GigabitEthernet0/0/0
otv use-adjacency-server 172.17.100.134 unicast-only
otv adjacency-server unicast-only
service instance 10 ethernet
encapsulation dot1q 100
bridge-domain 200
service instance 11 ethernet
encapsulation dot1q 101
bridge-domain 201
ASR-2
Config t
interface Overlay1
no ip address
otv join-interface GigabitEthernet0/0/0
otv use-adjacency-server 172.17.100.134 unicast-only
service instance 10 ethernet
encapsulation dot1q 100
bridge-domain 200
service instance 11 ethernet
encapsulation dot1q 101
bridge-domain 201
この段階で、ASR 間の OTV ユニキャスト専用隣接が完了し、アップします。 ネイバーが検出され、ASR は拡張する必要がある VLAN に対して AED 対応となります。
ASR-1#show otv
Overlay Interface Overlay1
VPN name : None
VPN ID : 1
State : UP
AED Capable : Yes
Join interface(s) : GigabitEthernet0/0/0
Join IPv4 address : 172.17.100.134
Tunnel interface(s) : Tunnel0
Encapsulation format : GRE/IPv4
Site Bridge-Domain : 1
Capability : Unicast-only
Is Adjacency Server : Yes
Adj Server Configured : Yes
Prim/Sec Adj Svr(s) :172.17.100.134
ASR-1#show otv isis neigh
Tag Overlay1:
System Id Type Interface IP Address State Holdtime Circuit Id
ASR-2 L1 Ov1 172.16.64.84 UP 25 ASR-1.01
ASR-2#show otv
Overlay Interface Overlay1
VPN name : None
VPN ID : 1
State : UP
AED Capable : Yes
Join interface(s) : GigabitEthernet0/0/0
Join IPv4 address : 172.16.64.84
Tunnel interface(s) : Tunnel0
Encapsulation format : GRE/IPv4
Site Bridge-Domain : 1
Capability : Unicast-only
Is Adjacency Server : No
Adj Server Configured : Yes
Prim/Sec Adj Svr(s) : 172.17.100.134
ASR-2#show otv isis neigh
Tag Overlay1:
System Id Type Interface IP Address State Holdtime Circuit Id
ASR-1 L1 Ov1 172.17.100.134 UP 8 ASR-1.01
このセクションでは、設定が正常に機能していることを確認します。
この出力は、VLAN 100 および 101 が拡張されることを示しています。 ASR は AED であり、VLAN をマッピングする内部インターフェイスとサービス インスタンスが出力に表示されます。
ASR-1#show otv vlan
Key: SI - Service Instance
Overlay 1 VLAN Configuration Information
Inst VLAN Bridge-Domain Auth Site Interface(s)
0 100 200 yes Gi0/0/1:SI50
0 101 201 yes Gi0/0/1:SI51
Total VLAN(s): 2
Total Authoritative VLAN(s): 2
ASR-2#show otv vlan
Key: SI - Service Instance
Overlay 1 VLAN Configuration Information
Inst VLAN Bridge-Domain Auth Site Interface(s)
0 100 200 yes Gi0/0/2:SI50
0 101 201 yes Gi0/0/2:SI51
Total VLAN(s): 2
Total Authoritative VLAN(s): 2
VLAN が拡張されていることを確認するには、サイト間で ping を実行します。 ホスト 192.168.100.2 はサイト 1 に、ホスト 192.168.100.3 は、サイト 2 にあります。 ARP をローカルに、および OTV を経由してもう一方の側に構築すると、最初のいくつかの ping は失敗することが想定されます。
LAN-SW1#ping 192.168.100.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.3, timeout is 2 seconds:
...!!
Success rate is 40 percent (2/5), round-trip min/avg/max = 1/5/10 ms
LAN-SW1#ping 192.168.100.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
LAN-SW1#ping 192.168.100.3 size 1500 df-bit
Type escape sequence to abort.
Sending 5, 1500-byte ICMP Echos to 192.168.100.3, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
MAC テーブルと OTV ルーティング テーブルがローカル デバイスで正しく作成されていること、およびリモート デバイスの MAC アドレスを理解していることを確認するには、show otv route コマンドを使用します。
LAN-SW1#show int vlan 100
Vlan100 is up, line protocol is up
Hardware is Ethernet SVI, address is 0c27.24cf.abd1 (bia 0c27.24cf.abd1)
Internet address is 192.168.100.2/24
LAN-SW2#show int vlan 100
Vlan100 is up, line protocol is up
Hardware is Ethernet SVI, address is b4e9.b0d3.6a51 (bia b4e9.b0d3.6a51)
Internet address is 192.168.100.3/24
ASR-1#show otv route vlan 100
Codes: BD - Bridge-Domain, AD - Admin-Distance,
SI - Service Instance, * - Backup Route
OTV Unicast MAC Routing Table for Overlay1
Inst VLAN BD MAC Address AD Owner Next Hops(s)
----------------------------------------------------------
0 100 200 0c27.24cf.abaf 40 BD Eng Gi0/0/1:SI50
0 100 200 0c27.24cf.abd1 40 BD Eng Gi0/0/1:SI50 <--- Local mac is
pointing to the physical interface
0 100 200 b4e9.b0d3.6a04 50 ISIS ASR-2
0 100 200 b4e9.b0d3.6a51 50 ISIS ASR-2 <--- Remote
mac is pointing across OTV to ASR-2
4 unicast routes displayed in Overlay1
----------------------------------------------------------
4 Total Unicast Routes Displayed
ASR-2#show otv route vlan 100
Codes: BD - Bridge-Domain, AD - Admin-Distance,
SI - Service Instance, * - Backup Route
OTV Unicast MAC Routing Table for Overlay1
Inst VLAN BD MAC Address AD Owner Next Hops(s)
----------------------------------------------------------
0 100 200 0c27.24cf.abaf 50 ISIS ASR-1
0 100 200 0c27.24cf.abd1 50 ISIS ASR-1 <--- Remote
mac is pointing across OTV to ASR-1
0 100 200 b4e9.b0d3.6a04 40 BD Eng Gi0/0/2:SI50
0 100 200 b4e9.b0d3.6a51 40 BD Eng Gi0/0/2:SI50 <--- Local mac is
pointing to the physical interface
4 unicast routes displayed in Overlay1
----------------------------------------------------------
4 Total Unicast Routes Displayed
出力にある When OTV Does Not Form エラー メッセージは、ASR が AED 対応でないことを示します。 これは、ASR が OTV 経由で VLAN を転送しないことを意味します。 これには複数の原因が考えられますが、最も一般的な原因は ASR でサイト間の接続が確立されていないことです。 L3 接続と、ブロックされている可能性がある UDP ポート 8472 へのトラフィック(OTV 用に予約された)を確認します。 この状態について考えられるもう 1 つの原因としては、内部サイトのブリッジ ドメインが設定されていない場合です。 これにより、ASR がサイトで唯一の ASR であるかどうかが確実でないため、ASR が AED になれない状態が発生します。
ASR-1#show otv
Overlay Interface Overlay1
VPN name : None
VPN ID : 1
State : UP
AED Capable : No, overlay DIS not elected <--- Local OTV site cannot
see the remote neighbor
Join interface(s) : GigabitEthernet0/0/0
Join IPv4 address : 172.17.100.134
Tunnel interface(s) : Tunnel0
Encapsulation format : GRE/IPv4
Site Bridge-Domain : 1
Capability : Unicast-only
Is Adjacency Server : Yes
Adj Server Configured : Yes
Prim/Sec Adj Svr(s) : 172.17.100.134
ASR-2#show otv
Overlay Interface Overlay1
VPN name : None
VPN ID : 1
State : UP
AED Capable : No, overlay DIS not elected <--- Local OTV site cannot
see the remote neighbor
Join interface(s) : GigabitEthernet0/0/0
Join IPv4 address :172.16.64.84
Tunnel interface(s) : Tunnel0
Encapsulation format : GRE/IPv4
Site Bridge-Domain : 1
Capability : Unicast-only
Is Adjacency Server : No
Adj Server Configured : Yes
Prim/Sec Adj Svr(s) : 172.17.100.134
このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。
可能性のある問題のトラブルシューティングを実行するために、ASR でオンボードのパケット キャプチャ デバイスを使用できます。
アクセス コントロール リスト(ACL)を作成して影響とキャプチャの過飽和状態を最小限に抑えるには、次のように入力します。
ip access-list extended CAPTURE
permit udp host 172.17.100.134 host 172.16.64.84 eq 8472
permit udp host 172.16.64.84 host 172.17.100.134 eq 8472
両方の ASR で両方向の Join インターフェイスを探索するようにキャプチャをセットアップするには、次のように入力します。
monitor capture 1 buffer circular access-list CAPTURE interface g0/0/0 both
キャプチャを開始するには、次のように入力します。
monitor capture 1 start
*Nov 14 15:21:37.746: %BUFCAP-6-ENABLE: Capture Point 1 enabled.
<wait a few min>
monitor capture 1 stop
*Nov 14 15:22:03.213: %BUFCAP-6-DISABLE: Capture Point 1 disabled.
show mon cap 1 buffer brief
バッファ出力は、ネイバーから、およびローカルでのキャプチャの hello の出力および入力を示します。 両方の ASR でイネーブルにし、双方向でキャプチャされると、片側で同じパケットが出て行き、キャプチャのもう一方の側に入ることがわかります。
ASR-1 の最初の 2 つのパケットは ASR-2 でキャプチャされないため、時間と ASR-1 出力の先頭にある 2 つの余分なパケットを補正するためにキャプチャを 3 秒で相殺する必要があります。
ASR-1#show mon cap 1 buff bri
-------------------------------------------------------------
# size timestamp source destination protocol
-------------------------------------------------------------
0 1464 0.000000 172.17.100.134 -> 172.16.64.84 UDP * not in
ASR-2 cap
1 150 0.284034 172.17.100.134 -> 172.16.64.84 UDP * not in
ASR-2 cap
2 1464 3.123047 172.17.100.134 -> 172.16.64.84 UDP
3 1464 6.000992 172.17.100.134 -> 172.16.64.84 UDP
4 110 6.140044 172.17.100.134 -> 172.16.64.84 UDP
5 1464 6.507029 172.16.64.84 -> 172.17.100.134 UDP
6 1464 8.595022 172.17.100.134 -> 172.16.64.84 UDP
7 150 9.946994 172.17.100.134 -> 172.16.64.84 UDP
8 1464 11.472027 172.17.100.134 -> 172.16.64.84 UDP
9 110 14.600012 172.17.100.134 -> 172.16.64.84 UDP
10 1464 14.679018 172.17.100.134 -> 172.16.64.84 UDP
11 1464 15.696015 172.16.64.84 -> 172.17.100.134 UDP
12 1464 17.795009 172.17.100.134 -> 172.16.64.84 UDP
13 150 18.903997 172.17.100.134 -> 172.16.64.84 UDP
14 1464 21.017989 172.17.100.134 -> 172.16.64.84 UDP
15 110 23.151045 172.17.100.134 -> 172.16.64.84 UDP
16 1464 24.296026 172.17.100.134 -> 172.16.64.84 UDP
17 1464 25.355029 172.16.64.84 -> 172.17.100.134 UDP
18 1464 27.053998 172.17.100.134 -> 172.16.64.84 UDP
19 150 27.632023 172.17.100.134 -> 172.16.64.84 UDP
20 1464 30.064999 172.17.100.134 -> 172.16.64.84 UDP
21 110 32.358035 172.17.100.134 -> 172.16.64.84 UDP
22 1464 32.737013 172.17.100.134 -> 172.16.64.84 UDP
23 1464 32.866004 172.16.64.84 -> 172.17.100.134 UDP
24 1464 35.338032 172.17.100.134 -> 172.16.64.84 UDP
25 150 35.709015 172.17.100.134 -> 172.16.64.84 UDP
26 1464 38.054990 172.17.100.134 -> 172.16.64.84 UDP
27 110 40.121048 172.17.100.134 -> 172.16.64.84 UDP
28 1464 41.194042 172.17.100.134 -> 172.16.64.84 UDP
29 1464 42.196041 172.16.64.84 -> 172.17.100.134 UDP
ASR-2#show mon cap 1 buff bri
-------------------------------------------------------------
# size timestamp source destination protocol
-------------------------------------------------------------
0 1464 0.000000 172.17.100.134 -> 172.16.64.84 UDP
1 1464 2.878952 172.17.100.134 -> 172.16.64.84 UDP
2 110 3.018004 172.17.100.134 -> 172.16.64.84 UDP
3 1464 3.383982 172.16.64.84 -> 172.17.100.134 UDP
4 1464 5.471975 172.17.100.134 -> 172.16.64.84 UDP
5 150 6.824954 172.17.100.134 -> 172.16.64.84 UDP
6 1464 8.349988 172.17.100.134 -> 172.16.64.84 UDP
7 110 11.476980 172.17.100.134 -> 172.16.64.84 UDP
8 1464 11.555971 172.17.100.134 -> 172.16.64.84 UDP
9 1464 12.572968 172.16.64.84 -> 172.17.100.134 UDP
10 1464 14.672969 172.17.100.134 -> 172.16.64.84 UDP
11 150 15.780965 172.17.100.134 -> 172.16.64.84 UDP
12 1464 17.895965 172.17.100.134 -> 172.16.64.84 UDP
13 110 20.027998 172.17.100.134 -> 172.16.64.84 UDP
14 1464 21.174002 172.17.100.134 -> 172.16.64.84 UDP
15 1464 22.231998 172.16.64.84 -> 172.17.100.134 UDP
16 1464 23.930951 172.17.100.134 -> 172.16.64.84 UDP
17 150 24.508976 172.17.100.134 -> 172.16.64.84 UDP
18 1464 26.942959 172.17.100.134 -> 172.16.64.84 UDP
19 110 29.235995 172.17.100.134 -> 172.16.64.84 UDP
20 1464 29.614973 172.17.100.134 -> 172.16.64.84 UDP
21 1464 29.743964 172.16.64.84 -> 172.17.100.134 UDP
22 1464 32.215992 172.17.100.134 -> 172.16.64.84 UDP
23 150 32.585968 172.17.100.134 -> 172.16.64.84 UDP
24 1464 34.931958 172.17.100.134 -> 172.16.64.84 UDP
25 110 36.999008 172.17.100.134 -> 172.16.64.84 UDP
26 1464 38.072002 172.17.100.134 -> 172.16.64.84 UDP
27 1464 39.072994 172.16.64.84 -> 172.17.100.134 UDP