vPCを使用した高度なVXLAN:L2VNIおよびL3VNIの設定と検証
はじめに
このドキュメントでは、Virtual Port-Channel(vPC)でAdvanced Virtual eXtensible Local Area Network(VXLAN)を使用して、Nexus 9Kvスイッチを使用するラボをセットアップする方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- ルーティングとスイッチング、およびマルチプロトコルラベルスイッチング(MPLS)テクノロジーの理解
- ランデブーポイント(RP)やPlatform Independent Multicast(PIM)などのマルチキャストルーティングの原則に関する経験
- Border Gateway Protocol(BGP)アドレスファミリインジケータ(AFI)/後続のアドレスファミリインジケータ(SAFI)の理解
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
また、ラボの導入に関するガイダンス、および設定と動作の検証についても説明します。
このラボでは、リーフとスパインの両方にNexus 9000Vスイッチを使用したEveNgを使用します。
|
仮想トンネルエンドポイント(VTEP) |
リーフ1、リーフ2、リーフ3、リーフ4 |
|
vPC |
LEAF1およびLEAF2 |
|
LEAF1プライマリおよびセカンダリループバックIP |
ループバック0 - 1.1.1.51、ループバック1 - 10.1.1.100 |
|
LEAF2プライマリおよびセカンダリループバックIP |
ループバック0 - 1.1.1.52、ループバック1 - 10.1.1.100 |
|
リーフ3ループバックIP |
1.1.1.53 |
|
リーフ4ループバックIP |
1.1.1.54 |
|
SPINE1ループバックおよびエニーキャストRP |
Loopback0 - 1.1.1.71、Loopback1 - 10.1.2.10(エニーキャストRP) |
|
SPINE2ループバックおよびエニーキャストRP |
Loopback0 - 1.1.1.72、Loopback1 - 10.1.2.10(エニーキャストRP) |
|
ホスト1 |
192.168.10.10(0000.0000.aaaa)(VLAN 10) |
|
ホスト2 |
192.168.20.10(0000.0000.bbbb)(VLAN 20) |
|
ホスト3 |
192.168.10.20(0000.0000.cccc)(VLAN 10) |
|
ホスト4 |
192.168.20.20(0000.0000.dddd)(VLAN 20) |
|
VLAN 10 |
L2VNI 100010 |
|
VLAN 20 |
L2VNI 100020 |
|
VLAN 500 |
L3VNI 50000 |
設定
ネットワーク図
コンフィギュレーション
- アンダーレイとPIMネイバーシップは既に確立されています。
リーフスイッチ:
リーフスイッチでのOpen Shortest Path First(OSPF)の有効化
リーフスイッチでのPIMの有効化
OSPFネイバー
スパインスイッチ:
スパインスイッチでのPIMの有効化
- アンダーレイとPIMネイバーシップは既に確立されています。
- 両方のスパインスイッチは、マルチキャストグループ224.0.0.0/4全体で同一のエニーキャストRPになります。
- リーフ/スパイン型スイッチ間のインターフェイスでは、最大伝送ユニット(MTU)が9000/9216に設定されています。
まず、Leaf1とLeaf2の間にvPCを設定します。
ステップ1:vPC機能とドメインの有効化。
- vPCおよびLink Aggregation Control Protocol(LACP)機能を有効にします。
- vPCドメインを設定します。
- mgmt 0インターフェイスはピアキープアライブリンクとして使用され、Eth1/3およびEth1/4はvPCピアリンク(ポートチャネル1)の一部になります。
- peer-switchコマンドが、降順スイッチと共通のMACアドレスを共有するように設定されていることを確認します。
リーフスイッチの機能の有効化
リーフスイッチ1のvPCの有効化
リーフスイッチ2のvPCの有効化
ステップ 2: ポートメンバーの割り当て。
- ポートメンバーをチャネルグループに割り当て、vPCに含めます。この例では、2台のvPC(vPC 20とvPC 10)が使用されています。
リーフスイッチ1のポートチャネルの割り当て
リーフスイッチ2でのポートチャネルの割り当て
- ここでvPCが作成され、ピアは可用性を確認するためにキープアライブメッセージの交換を開始します。
リーフスイッチ1のvPCステータス
リーフスイッチ2のvPCステータス
- VLAN 10、20、500はすでに設定されており、vPCメンバーポートおよびvPCピアリンク経由で渡されています。
ステップ 3:セカンダリIPアドレスを設定します。
- vPCがVXLANファブリックに含まれている場合、両方のvPC VTEPピアは、物理IPアドレス(PIP)ではなく、送信元アドレスとして仮想IP(VIP)アドレスの使用を開始します。 また、BGPイーサネットVPN(EVPN)がルートタイプ2(MAC/IPアドバタイズメント)と5(IPプレフィックスルート)をデフォルトでアドバタイズする際に、VIPがネクストホップとして使用されることも意味します。この例のLoopback 0インターフェイスは、セカンダリIPとして10.1.1.100/32(VIP)とプライマリIPとして1.1.1.51/32(PIP)の2つのIPアドレスで設定されています。
- ここでは、共通のIPアドレスが、ループバック0インターフェイスの下のセカンダリIPアドレスとして設定されています。
リーフスイッチ1のセカンダリIP
リーフスイッチ2のセカンダリIP
ステップ 4: VXLANおよび関連機能を有効にします。
- ネットワーク仮想化(nV)オーバーレイ:VXLANを有効にします。
- 機能nVオーバーレイEVPN:EVPNコントロールプレーンを有効化
- ファブリックフォワーディング機能:Host Mobility Managerを有効にします。
- 仮想ネットワーク(VN)セグメントVLANベースの機能 – VLANベースのVXLANを実現
リーフスイッチの機能
スパインスイッチの機能
- スパインはクライアントのVLAN情報を必要としないため、VNセグメントおよびファブリック機能を有効にする必要はありません。
ステップ 5: BGPネイバーシップを確立します。
- リーフスイッチとスパインスイッチ間のBGPを有効にする必要があります。スパインは、ラボ内でルートリフレクタとして機能します。
- ルートリフレクタ(RR)の設定はオプションですが、スケーラビリティの観点から、RRを使用することをお勧めします。
リーフスイッチでのBGPの有効化
スパインスイッチでのBGPの有効化
リーフスイッチのBGPステータス
スパインスイッチのBGPステータス
手順 6: リーフスイッチでVRFコンテキストを有効にします。VRFは顧客トラフィックを分離し、L3VNIを介した2つの異なるL2VNI間の通信を促進します。
- VRF TENANT1の下にL3VNI 50000を割り当てます。
L3VNI割り当て
手順 7:ネットワーク仮想インターフェイス(NVE)、VXLAN識別子(VNI)、およびVLAN設定。
- Loopback 0を送信元として使用して、NVEインターフェイスを設定します。レイヤ2ブロードキャスト、不明なユニキャスト、およびマルチキャスト(BUM)トラフィックが配信される各VNIのマルチキャストグループを定義してから、VNI 100010と100020 IDをNVEインターフェイスに接続します。VXLANヘッダーには、VNIが属するVXLANセグメントを識別するために使用する情報が含まれています。
- L3VNI 50000はVRFインスタンスにリンクされています(スパインスイッチに送信する際に、VNI 50000がVRFテーブルにアタッチされています)。
- host-reachability protocol BGPコマンドは、VXLANトンネルのEVPNアドレスファミリをアクティブにします。これは、MACアドレスとIPアドレスがデータプレーンではなく、コントロールプレーンのBGPプロトコルによって学習されることを意味します。
- NVEインターフェイスでsuppress-arpを設定します。
- 関連するVNIにレイヤ2およびレイヤ3 VLANを接続します。
アドレス解決プロトコル(ARP)の抑制:
マルチプロトコル(MP)-BGP EVPNコントロールプレーンでは、ARP要求からのブロードキャストトラフィックによって引き起こされるネットワークフラッディングを軽減するために、ARP抑制と呼ばれる改良が行われています。各VNI VTEPは、既知のIPホストに関するARP抑制キャッシュテーブルと、そのVNIでARP抑制が有効になっている場合にVNIセグメントでそれらに対応するMACアドレスを保持します。そのローカルVTEPは、ARP要求を代行受信し、VNIのエンドホストが別のエンドホストIPアドレスのARP要求を送信するたびに、ARP抑制キャッシュテーブルでARPによって解決されたIPアドレスを探します。リモートエンドホストの代わりに、ローカルVTEPは、一致を検出した場合にARP応答を送信します。ARP応答は、ローカルホストにリモートホストのMACアドレスを提供します。ローカルVTEPのARP抑制テーブルにARP解決IPアドレスがない場合、ARP要求はVNI内の他のVTEPにフラッディングされます。サイレントネットワークホストへの最初のARP要求では、このARPフラッディングが発生する可能性があります。
NVEインターフェイス
VLANからVNセグメントへのマッピング
- スパインにPIM joinメッセージを送信することで、NVEインターフェイスはブートアップするとすぐに、マルチキャストグループ239.0.0.10と239.0.0.20にそれぞれ参加します。
- イメージ内に他の(S, G)テーブル(1.1.1.54,239.0.0.20)と(10.1.1.100, 239.0.0.10/239.0.0.20)も表示され、これらのテーブルは別のリーフスイッチのスパインにすでに登録されています。
Mrouteテーブル
ステップ 8:EVPNインスタンスを有効にします。
- BGPでEVPNおよびVRFのアドレスファミリとともにEVPNインスタンスを有効にします。
EVPNインスタンス
- ルートマップREDISTの唯一の目的は、すべてを許可することです。
- redistribute directコマンドを使用すると、接続されたVRF対応ルートがMP-BGP(タイプ5ルート)にプロモートされます。
- 上記で表示されたEVPN設定は、BGPがMACルート(タイプ2ルート)をアドバタイズするために使用するnetwork文と同じです。
ステップ 9:VRFの下で、エンドホストの各VLANにスイッチ仮想インターフェイス(SVI)を設定します。
- 対称ルーティング情報ベース(RIB)を実現するために、各リーフスイッチで、ローカルに設定されたVLANに対してSVIが、L3VNI VLANに対して1つのSVIが設定されています。
対称リブ:
- エンドホストが別のネットワークにデータパケットを送信し、リーフスイッチに受信すると、最初にL2VNIに処理されてから、VRFを使用してL3VNIに配置され、リモートリーフに送信されます。
- リモートリーフは、まずルーティングを使用してVRFテーブル内のパケットを受信し、次にL2VNIへのブリッジングを行い、それをエンドホストに送信します。
- これにより、対称ルーティング(B-R-R-B)が実現されます。
VLAN インターフェイス
- VLAN 500でIP forwardコマンドを使用すると、すべてのVXLANに対してレイヤ3転送が有効になります。L2VNIテーブルからL3VNIテーブルへのパケットを処理するだけなので、IPアドレスを設定する必要はありません。
VRF TENANT1のBGP VPNv4ルートの学習
- 各VLANのIPアドレスは、すべてのリーフスイッチのすべてのSVIに共通です。これはエニーキャストIPと呼ばれ、エンドが中断なく別のホストとシームレスに通信できるモビリティ管理で使用されます。
ステップ 10:エンドホストのファブリックフォワーディングエニーキャストゲートウェイMACを有効にします。
- これにより、シームレスなレイヤ3ゲートウェイの冗長性が確保され、ファブリックに接続されたデバイスの転送が最適化されます。
- エニーキャストゲートウェイMACアドレスは、ファブリック内のすべてのレイヤ3ゲートウェイに使用される、グローバルに一貫性のあるMACアドレスです。
- この概念は、First Hop Redundancy Protocol(FHRP)で採用されている概念と同じです。FHRPでは、各グループに仮想MACが発行されます。
ファブリック転送の有効化
ステップ 11メンバーポートへのアクセス/トランクVLANを有効にします。
vPCスイッチ:
vPCメンバーインターフェイスへのトランクポートの有効化
非vPCスイッチ:
非vPCメンバーインターフェイスへのトランクポートの有効化
検証
- ARPおよびMACアドレステーブルをチェックします。
リーフスイッチ1のARPおよびMACテーブル
リーフスイッチ2のARPおよびMACテーブル
- 両方のピアがARPエントリを維持します。
- ネットワーク仮想インターフェイス(NVI)のステータスを確認します。
vPCスイッチ:
vPCスイッチ上のNVEピア
非vPCスイッチ:
非vPCスイッチ上のNVEピア
- ここでは、ピアIPがプライマリループバックIPアドレスではなく10.1.1.100であることに気付きます。そのため、戻りのパケットはこのIP用にvPCスイッチのいずれかにルーティングされます。
- BGP EVPNルートをチェックします。
BGP l2route EVPN MAC-IP
BGP l2route EVPN MAC
BGP EVPNの概要
BGP EVPNルート
-
リーフスイッチがリモートホストのMACエントリを取得する方法を疑問に思われがちです。このプロセスは、Gratuitous ARPによって促進されます。ネットワークポートがアクティブになると、IPアドレスが一意であることを確認するために、ただちにARP要求が送信されます。各リーフスイッチはMACアドレスを記録し、BGPアップデートパケットに含めます。これにより、他のリーフスイッチはそれぞれのMACアドレステーブルを適宜更新できます。ただし、エンドホストがGratuitous ARP(サイレントホスト)を生成しない場合があります。その場合、ARP要求はリーフにブロードキャストされ、これがブロードキャスト要求であるため、リーフスイッチは特定のVNIの各グループにマルチキャスト要求を生成します。この例では、239.0.0.10と239.0.0.20です。
- 同じVNI内でHost-1からHost-3にpingを実行し、キャプチャを確認します。
ホスト1からホスト3へのping
VXLAN上のインターネット制御メッセージプロトコル(ICMP)パケット:
L2VNI 10010を通過するICMP要求パケットを示すWiresharkキャプチャ
- 送信元IPは10.1.1.100で、UDPの宛先はポート4789であることがわかります。
- VNI内通信であるため、VLAN 10はVNI 100010を使用し、VLAN 20はVNI 1000を使用します。
- 異なるVNIを使用してHost-1からHost-4にpingを実行し、キャプチャを確認します。
ホスト1からホスト4へのping
VXLAN上のICMPパケット:
L3VNI 50000を通過するICMP要求パケットを示すWiresharkキャプチャ
- これはVNI間通信であるため、L3VNI 50000が使用されます。
- エンドホストのARPテーブルをチェックします。
ホスト1 ARPエントリ
ホスト2 ARPエントリ
ホスト3 ARPエントリ
HOST-4 ARPエントリ
HOST-4から他のすべてのエンドホストへのping
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
25-Apr-2025 |
初版 |
フィードバック