外部ネットワークへのルーテッド接続

この章で説明する内容は、次のとおりです:

外部ネットワークへルートされた接続について

ネットワーク構成 (L3Out) 外部レイヤ 3 では、ファブリック以外のトラフィックを転送する方法を定義します。レイヤ 3 はし、他のノードのアドレスを見つける、ルートを選択して、サービスの品質を選択して、入力して、終了、およびファブリックを移動する際は、トラフィックを転送に使用されます。


(注)  

ガイドラインとの構成と接続の外部レイヤ 3 を維持するための注意事項は、 レイヤ 3 ネットワーキングの注意事項を参照してください。

L3Outs の種類についての詳細は、 外部レイヤ 3 Outside 接続タイプを参照してください。

MP-BGP ルート リフレクタ

GUI を使用した MP-BGP ルート リフレクタの構成

手順

ステップ 1

メニューバーで、 [システム(System)] > [システム設定(System Settings)]を選択します。

ステップ 2

  [ナビゲーション(Navigation)] ペインで、 [BGP ルート リフレクタ(BGP Route Reflector)]を右クリックし、 [ルート リフレクタ ノードの作成(Create Route Reflector Node)]をクリックします。

ステップ 3

  [ルート リフレクタ ノードの作成(Create Route Reflector Node)] ダイアログボックスの [スパイン ノード(Spine Node)] ドロップダウン リストから、適切なスパインノードを選択します。  [送信(Submit)]をクリックします。

(注)  

 

必要に応じてスパイン ノードを追加するには、上記の手順を繰り返してください。

スパイン スイッチがルート リフレクタ ノードとしてマークされます。

ステップ 4

  [BGP ルート リフレクタ(BGP Route Reflector)] プロパティ エリアの [自律システム番号(Autonomous System Number)] フィールドで、適切な番号を選択します。  [送信(Submit)]をクリックします

(注)  

 

自律システム番号は、Border Gateway Protocol(BGP)がルータに設定されている場合は、リーフが接続されたルータ設定に一致する必要があります。スタティックまたは Open Shortest Path First(OSPF)を使用して学習されたルートを使用している場合は、自律システム番号値を任意の有効な値にできます。

ステップ 5

メニューバーで、 [ファブリック(Fabric)] > [ファブリック ポリシー(Fabric Policies)] > [ポッド(Pods)] > [ポリシー グループ(Policy Groups)]を選択します。

ステップ 6

  [ナビゲーション(Navigation)] ペインで、 [ポリシー グループ(Policy Groups)]拡張して右クリックし、 [ポッド ポリシー グループの作成(Create Pod Policy Group)]を選択します。

ステップ 7

  [ポッド ポリシー グループの作成(Create Pod Policy Group)] ダイアログ ボックスで [名前(Name)] フィールドに、ポッド ポリシー グループの名前を入力します。

ステップ 8

  [BGP ルート リフレクタ ポリシー(BGP Route Reflector Policy)] ドロップダウン リストで、適切なポリシー(デフォルト)を選択します。  [送信(Submit)]をクリックします。

BGP ルート リフレクタのポリシーは、ルート リフレクタのポッド ポリシー グループに関連付けられ、BGP プロセスはリーフ スイッチでイネーブルになります。

ステップ 9

メニューバーで、 [ファブリック(Fabric)] > [ファブリックポリシー(Fabric Policies)] > [プロファイル(Profiles)] > [ポッド プロファイルのデフォルト(Pod Profile default)] > [デフォルト(default)] を選択します。

ステップ 10

  [作業(Work)] ペイン、 [ファブリック ポリシー グループ(Fabric Policy Group)] ドロップダウン リストから、前に作成したポリシーを選択します。  [送信(Submit)]をクリックします。

ポッド ポリシー グループが、ファブリック ポリシー グループに適用されました。

MP-BGP ルート リフレクタ設定の確認

手順

ステップ 1

次の操作を実行して、設定を確認します。

  1. セキュア シェル(SSH)を使用して、必要に応じて各リーフ スイッチへの管理者としてログインします。

  2. 次の情報を入力します。 show processes | grep bgp コマンドを入力して S が状態であることを確認します。

    状態が NR(実行していない)である場合は、設定が正常に行われませんでした。

ステップ 2

次の操作を実行して、自律システム番号がスパイン スイッチで設定されていることを確認します。

  1. SSH を使用して、必要に応じて各スパイン スイッチへの管理者としてログインします。

  2. シェル ウィンドウから次のコマンドを実行します。

    例:

    cd /mit/sys/bgp/inst

    例:

    grep asn summary
設定した自律システム番号が表示される必要があります。自律システム番号の値が 0 と表示される場合は、設定が正常に行われませんでした。

ループ防止のための BGP ドメインパス機能について

BGP ルーティング ループは、次のようなさまざまな条件が原因で発生することがあります。

  • AS パス チェックなどの既存の BGP ループ防止メカニズムの意図的な無効化

  • 異なる VRF または VPN 間のルート リーク

次に、BGP ルーティング ループが発生するシナリオの例を示します。

  1. BGP IP L3Out ピアから受信したプレフィックス P1 は、Multiprotocol Border Gateway Protocol(MP-BGP)を使用して ACI ファブリックでアドバタイズされます。

  2. 中継のケースとして、このプレフィックスは SR-MPLS インフラ L3Out を介して外部にアドバタイズできます。

  3. このプレフィックスは、同じ VRF または異なる VRF のいずれかで、コアから ACI ファブリックにインポートできます。

  4. BGP ルーティング ループは、同じ VRF から、または別の VRF からのリークによって、このインポートされたプレフィックスが発信元スイッチにアドバタイズされるときに発生します。

リリース 5.1(3) 以降では、新しい BGP ドメイン パス機能を使用できます。これは、次の方法で BGP ルーティング ループを支援します。

  • 同じ VPN または拡張 VRF 内、および異なる VPN または VRF 内のルートが通過する個別のルーティング ドメインを追跡します。

  • ルートがすでに通過したドメイン内の VRF にループバックするタイミングを検出します(通常、ドメイン間のスティッチング ポイントである境界リーフ スイッチだけでなく、場合によっては内部スイッチでも)。

  • ループにつながる場合に、ルートがインポートまたは受け入れられないようにします。

ACI ファブリック内では、VRF スコープはグローバルであり、設定されているすべてのスイッチに拡張されます。したがって、VRF のドメインからエクスポートされたルートは、他のスイッチの VRF に受信されないようにします。

次のコンポーネントは、ループ防止のためにBGPドメインパス機能で使用されます。

  • ルーティング ドメイン ID:ACI サイトのすべてのテナント VRF は、1 つの内部ファブリック ドメイン、各 SR-MPLS インフラ L3Out の各 VRF に 1 つのドメイン、および各 IP L3Out に 1 つのドメインに関連付けられます。BGP ドメイン パス機能が有効になっている場合、これらの各ドメインには、 [ベース(Base)]:<variable>の形式で一意のルーティング ドメイン ID が割り当てられます。ここで:

    • [ベース(Base)] は、 [ドメイン ID ベース(Domain ID Base)] フィールドに入力されたゼロ以外の値です。このフィールドは、 [BGP ルート リフレクタ ポリシー(BGP Route Reflector Policy)] ページにあります。

    • <variable> は、そのドメイン

  • [ドメイン パス(Domain path)]専用にランダムに生成された値です:ルートが通過するドメイン セグメントは、BGP ドメイン パス属性を使用して追跡されます。

    • ルートを受信する送信元ドメインの VRF のドメイン ID がドメイン パスの先頭に追加されます。

    • 送信元ドメイン ID はドメイン パスの先頭に追加され、境界リーフ スイッチのドメイン間でルートが再生成されます。

    • VRF のローカル ドメイン ID のいずれかがドメイン パスにある場合、外部ルートは受け入れられません。

    • ドメイン パスは、<Domain-ID:SAFI>のように表される各ドメイン セグメントとともに、オプションの遷移 BGP パス属性として伝送されます。

    • ACI 境界リーフ スイッチは、ドメイン内のリークを追跡するために、ローカルに発信されたルートと外部ルートの両方に VRF 内部ドメイン ID を付加します。

    • 内部ドメインからのルートをインポートし、競合する外部ドメイン ID を持つノードの VRF にインストールして、内部バックアップまたは中継パスを提供できます。

    • インフラ L3Out ピアの場合、ピア ドメインのドメイン ID がルートのドメイン パスに存在する場合、ピアへのルートのアドバタイズメントはスキップされます(アウトバウンド チェックは IP L3Out ピアには適用されません)

    • 境界リーフ スイッチと非境界リーフ スイッチはどちらもドメイン パス属性を処理します。


(注)  

ループ防止のために BGP ドメイン パス機能を設定するか、GUI またはREST API を使用して、受信したドメイン パスを送信するように設定をイネーブルにすることができます。ループ防止のために BGP ドメイン パス機能を設定したり、NX-OS スタイルの CLI を介して受信ドメイン パスを送信するように設定したりすることはできません。


(注)  

以前のリリースからリリース 5.1(3)にアップグレードするときに、VRF 間共有サービス用に設定されたコントラクトがある場合、BGP ドメインID にリリース 5.1(3)にアップグレードする前に設定された契約で設定されています。このような状況では、契約を削除してから、契約を追加し直すと、BGP ドメインの更新が可能になります。これは、リリース 5.1(3)へのアップグレード前に設定された契約がある場合にのみ問題になります。これは、リリース 5.1(3)へのアップグレードの完了後に新しい契約を作成する場合は問題になりません。

GUI を使用したループ防止のための BGP ドメイン パス機能の設定

始める前に

  ループ防止のための BGP ドメインパス機能についてに記載されている情報を使用して、BGP ドメイン パス機能に精通します。

手順

ステップ 1

ループ防止に BGP ドメイン パス機能を使用する場合は、BGP ルート リフレクタに BGP ドメイン パス属性を設定します。

(注)  

 

ループ防止に BGP ドメイン パス機能を使用しないが、受信したドメイン パスを送信する場合は、この手順で BGP ドメイン リフレクタの BGP ドメイン パス機能を有効にしないでください。代わりに、 ステップ 2 へ直接移動し、適切な BGP 接続ウィンドウで [ドメイン パスの送信(Send Domain Path)] フィールドのみを有効にします。

  1.   [システム(System)] > [システム設定(System Settings)] > [BGPルートリフレクタ(BGP Route Reflector)]へ移動します。

    この [BGP ルート リフレクタ(BGP Route Reflector)] ウィンドウが表示されます。このウィンドウで [ポリシー(Policy)] ページ タブが選択されていることを確認します。

  2.   [ドメイン ID ベース(Domain ID Base)]

  3.   [ドメイン ID ベース(Domain ID Base)]

    • BGPドメインパス機能を有効にするには、1 〜 4294967295 の値を入力します。ACI ファブリックがマルチサイト環境の一部である場合は、この [ドメイン ID ベース(Domain ID Base)] フィールドでこの ACI ファブリックに固有の一意の値を使用してください。

    • BGP ドメインパス機能を無効にするには、この [ドメイン ID ベース(ID Base)] フィールドに 0 を入力します。

    ループ防止の BGP ドメインパス機能が有効になっている場合は、 Base:<variable> 形式の暗黙のルーティング ドメイン ID が割り当てられます:

    • [ベース(Base)] は、このドメイン ID ベース フィールドに入力したゼロ以外の値です。

    • <[変数(variable)]は、VRF または L3Out 用にランダムに生成された値で、ループ防止の BGP ドメインパス機能に使用されます。

    このルーティング ドメイン ID は、次のドメインを識別するために BGP に渡されます。

    • [VRF][ルーティング ドメイン ID(Routing Domain ID)] フィールドに示されているように、各 VRF にランダムに生成された値を使用して内部ドメイン ID によって識別されます。このフィールドは、そのテナントの VRF ウィンドウの [ポリシー(Policy)] タブにあります。

    • [IP L3Out][ルーティング ドメイン ID(Routing Domain ID)] フィールドに示されているように、各 VRF にランダムに生成された値を使用して外部ドメイン ID によって識別されます。このフィールドは、その IP L3Out の [BGP ピア接続プロファイル(BGP Peer Connectivity Profilem)] ウィンドウにあります。

    • [SR-MPLS インフラ L3Out(SR-MPLS Infra L3Out)][ルーティング ドメイン ID(Routing Domain ID)] 列で示されているように、各 SR-MPLS インフラ L3Out 内の各 VRF ごとにランダムに生成された値を使用して外部ドメインID によって識別されます。この列は、各 SR-MPLS VRFL3Out のウィンドウの [SR-MPLS インフラ L3Out(SR-MPLS Infra L3Outs)] テーブルにあります。

    Domain-Path 属性は、パス内のルーティングドメイン ID に基づいてループをチェックするために着信方向で処理されます。Domain-Path 属性はピアに送信されます。ピアは、次のステップで説明するように、IP L3Out または SR-MPLS infraL3Out の BGP ピアレベルの [ドメイン パスの送信(Send Domain Path)] フィールドを通じて個別に制御されます。

ステップ 2

ピアに BGPドメインパス属性を送信するには、適切な BGP 接続ウィンドウで [ドメイン パスの送信(Send Domain Path)] フィールドを有効にします。

ループ防止に BGP ドメイン パス機能を使用する場合は、最初に [ドメイン ベース ID(Domain Base ID)] を設定します。これは、 ステップ 1にあります。そして、ここの [ドメイン パスの送信(Send Domain Path)] フィールドを有効にします。ループ防止のために BGP ドメインパス機能を使用しない場合でも、受信したドメインパスを送信する場合は、ここで [ドメイン パスの送信(Send Domain Path)] フィールドのみを有効にします(その場合は [ドメイン ベース ID(Domain Base ID)]ステップ 1 で設定しないでください)。

  • IP L3Out ピアのために [ドメイン パスの送信(Send Domain Path)] フィールドを有効にするには、

    1. IP L3Out ピア用の [BGP ピア接続プロファイル(BGP Peer Connectivity Profilem)] に移動します:

      [テナント(Tenants)] > [tenant_name] > [ネットワーキング(Networking)] > [L3Out(L3Outs)] > [L3Out_name] > [論理ノード プロファイル(Logical Node Profile)] > [log_node_prof_name] > [論理インターフェイス プロファイル(Logical Interface Profile)] > [log_int_prof_name] > [BGP ピア(BGP Peer)]<address>[-Node-]<node_ID>

      この構成された L3Out 用の [BGP ピア接続プロファイル(BGP Peer Connectivity Profilem)] のウィンドウが表示されます。

    2.   [BGP 制御(BGP Controls)] エリアを見つけます。このエリアは、 [BGP ピア接続プロファイル(BGP Peer Connectivity Profilem)] ウィンドウにあります。

    3.   [BGP 制御(BGP Controls)] エリアで、 [ドメイン パスの送信(Send Domain Path)] フィールドの横にあるチェックボックスをオンにします。

    4.   [送信(Submit)]をクリックします。

      このアクションは、BGP ドメイン パス属性をピアに送信します。

  • SR-MPLS インフラ L3Out ピアの [ドメイン パスの送信(Send Domain Path)] フィールドを有効にするには:

    1.   [テナント(Tenant)] > [インフラ(infra)] > [ネットワーキング(Networking)] > [SR-MPLS Infra L3Out(SR-MPLS Infra L3Outs)] > [SR-MPLS-infra-L3Out_name] > [論理ノード プロファイル(Logical Node Profiles)] > [log_node_prof_name]へ移動します。

      この構成済み SR-MPLS インフラ L3Out の [論理ノード プロファイル(Logical Node Profile)] ウィンドウが表示されます。

    2.   [BGP-EVPN 接続プロファイル(BGP-EVPN Connectivity Profile)] エリアを見つけ、新しい BGP-EVPN 接続ポリシーを作成、または、既存の BGP-EVPN 接続ポリシーの [ドメイン パスの送信(Send Domain Path)] フィールドを有効化するかを決定します。

      • 新しい BGP-EVPN 接続ポリシーを作成する場合は、 [+] をクリックします。これは、 [BGP-EVPN 接続プロファイル(BGP-EVPN Connectivity Profile)] エリアのテーブルの上にあります。  [BGP-EVPN 接続ポリシーの作成(Create BGP-EVPN Connectivity Policy)] ウィンドウが表示されます。

      • 既存の BGP-EVPN 接続ポリシー内の [ドメイン パスの送信(Send Domain Path)] フィールドを有効にしたい場合、 [BGP-EVPN 接続プロファイル(BGP-EVPN Connectivity Profile)] エリア内のテーブルの中にあるポリシーをダブルクリックします。  [BGP-EVPN 接続ポリシー(BGP-EVPN Connectivity Policy)] ウィンドウが表示されます。

    3.   [BGP 制御(BGP Controls)] エリアを見つけます。

    4.   [BGP 制御(BGP Controls)] エリアで、 [ドメイン パスの送信(Send Domain Path)] フィールドの横にあるチェックボックスをオンにします。

    5.   [送信(Submit)]をクリックします。

      このアクションは、BGP ドメイン パス属性をピアに送信します。

ステップ 3

適切なエリアに移動して、さまざまなドメインに割り当てられたルーティング ID を確認します。

  • VRF ドメインに割り当てられたルーティング ID を確認するには、次へ移動します:

    [テナント(Tenants)] > [tenant_name] > [ネットワーキング(Networking)] > VRFs > [VRF_name]、その後、そのVRF の [ポリシー(Policy)] タブをクリックし、 [ルーティング ドメイン ID(Routing Domain ID)] フィールド( [VRF] ウィンドウ内)でエントリを見つけます。

  • IP L3Out ドメインに割り当てられたルーティング ID を確認するには、次へ移動します:

    [テナント(Tenants)] > [tenant_name] > Networking > [L3Out(L3Outs)] > [L3Out_name] > [論理ノード プロファイル(Logical Node Profiles)] > [log_node_prof_name] > [BGP ピア(BGP Peer)] 次に、 [ルーティング ドメイン ID(Routing Domain ID)] フィールド( [BGP ピア接続プロファイル(BGP Peer Connectivity Profilem)] ウィンドウ内)でエントリを見つけます。

  • SR-MPLS インフラ L3Out ドメインに割り当てられたルーティング ID を確認するには、次へ移動します:

    [テナント(Tenants)] > [tenant_name] > [ネットワーキング(Networking)] > [(SR-MPLS VRF L3Out)SR-MPLS VRF L3Outs] > [SR-MPLS_VRF_L3Out_name]次に、 [ルーティング ドメイン ID(Routing Domain ID)] 列(その SR-MPLS VRFL3Out のウィンドウの [SR-MPLS インフラ L3Out(SR-MPLS Infra L3Outs)] テーブル内)のエントリを見つけます。

外部ネットワークへのルーテッド接続のためのレイヤ 3 Out

ルーテッド接続への外部ネットワークは、ファブリック アクセス(infraInfra外部ルーテッド ドメイン(l3extDomP)をテナント レイヤ 3 外部インスタンス プロファイル(l3extInstP または、外部 EPG)への関連で有効にされます。これは、レイヤ 3 外部ネットワーク(l3extOut)に所属し、次の図の階層で行われます。

図 1. レイヤ 3 外部接続のポリシー モデル

レイヤ 3 外部アウトサイドネットワークl3extOut オブジェクト)には、ルーティング プロトコルのオプション(BGP、OSPF、または EIGRP またはサポートされている組み合わせ)およびスイッチとインターフェイス固有の構成が含まれています。  l3extOut にルーティング プロトコル(たとえば、関連する仮想ルーティングおよび転送(VRF)およびエリア ID を含む OSPF)が含まれる一方で、レイヤ 3 外部インターフェイスのプロファイルには必要な OSPF インターフェイスの詳細が含まれます。いずれも OSPF のイネーブル化に必要です。

  l3extInstP EPG は、コントラクトを通してテナント EPG に外部ネットワークを公開します。たとえば、Web サーバのグループを含むテナント EPG は、 l3extInstP EPG と通信できます。このテナント EPG は、 l3extOutに含まれるネットワーク構成に応じてコントラクトを介します。外部ネットワーク構成は、ノードを L3 外部ノード プロファイルに関連付けることで複数のノードに容易に再利用できます。同じプロファイルを使用する複数のノードをフェールオーバーやロード バランシングのために構成できます。ノードを複数の l3extOuts に追加することで、l3extOuts に関連付けられている VRF がノードでも展開されます。 拡張性情報は、現在の 『Verified Scalability Guide for Cisco APIC』を参照してください。

レイヤ 3 ネットワーキングの注意事項

レイヤ 3 外部接続を作成し、維持する際には、次のガイドラインを使用してください。

トピック

注意またはガイドライン
IPv6 エンドポイントがあり、対応するブリッジ ドメインがボーダー リーフ スイッチに展開されている場合、トラフィックがドロップされる ボーダー リーフ スイッチのレイヤ 3 ネクスト ホップの使用率が高く、同じボーダー リーフ スイッチに多数の IPv6 エンドポイントが展開されているブリッジ ドメインがある場合、ボーダー リーフ スイッチがトラフィックをドロップする可能性があります。

すべてのリーフ スイッチには、一意の IP アドレスを構成する必要があります。

同じ SVI IPv4 または IPv6 プライマリ アドレスまたは優先アドレスを、管理テナント内の同じ L3Out 内の複数のリーフ スイッチに構成することはできます。しかしこれにより、ネットワークが中断する可能性があります。これを回避するには、各リーフ スイッチが一意の SVI プライマリまたは優先 IP アドレスで構成されていることを確認してください。

vPC ペアの境界リーフ スイッチが、誤った VNID を持つ BGP パケットをピア上で学習したエンドポイントに転送する問題

構成に次の条件が存在する場合:

  • 2 つのリーフ スイッチが vPC ペアの一部である

  • L3Out の背後に接続されている 2 つのリーフ スイッチの場合、宛先エンドポイントは 2 番目(ピア)の境界リーフ スイッチに接続され、エンドポイントはそのリーフ スイッチで学習されたピアです。

ピアが学習したエンドポイント宛ての BGP パケットを受信する入力リーフ スイッチでエンドポイントが学習した場合、L3Out の背後にある最初のレイヤ 3 スイッチ間で中継 BGP 接続が確立できないという問題が発生する可能性があります。および vPC ペアの 2 番目のリーフ スイッチ上のピア上で学習されたエンドポイント。これは、ポート 179 を持つ中継 BGP パケットが VRF VNID ではなくブリッジ ドメイン VNID を使用して誤って転送されるために発生します。

この問題を解決するには、エンドポイントをファブリック内の他の非ピア リーフ スイッチに移動して、リーフ スイッチで学習されないようにします。

境界リーフ スイッチおよび GIR(メンテナンス)モード

境界リーフ スイッチに静的ルートがあり、GIR(Graceful Insertion and Removal)モード、またはメンテナンス モードがある場合、境界リーフ スイッチからのルートは ACI ファブリックにあるルーティング テーブルから削除されない可能性があり、ルーティングの問題が発生します。

この問題を回避するには、次のいずれかを実行します:

  • その他の境界リーフ スイッチで同じ管理ディスタンスを持つ同じ静的ルートを構成するか、

  • 静的ルートの次のホップへの到達性を追跡するため IP SLA または BFD を使用します

L3Out 集約統計情報は出力ドロップ カウンタをサポートしません

  [統計の選択(Select Stats)] ウィンドウに [テナント(Tenants)] > [tenant_name] > [ネットワーキング(Networking)] > [L3Out(L3Outs)] > [L3Out_name] > [統計(Stats)]を介してアクセスする場合、L3Out 集約統計情報は出力ドロップ カウンタをサポートしないことが表示されます。これは、EPG VLAN からの出力ドロップを記録する ASIC に現在ハードウェア テーブルがないため、これらのカウンタに統計情報が入力されないためです。EPG VLAN の入力ドロップだけがあります。

CLI による更新

API または GUI で作成され CLI を通して更新されたレイヤ 3 外部ネットワークについては、プロトコルは API または GUI を通して外部ネットワークでグローバルに有効にする必要があり、CLI を介してさらに更新を行う前に、すべての参加ノードのノード プロファイルは API または GUI を通して追加される必要があります。

同じノード上のレイヤ 3 ネットワークのループバック

同じノードで 2 つのレイヤ 3 の外部ネットワークを構成するときに、ループバックはレイヤ 3 ネットワークに別々に構成されます。

入力べース ポリシーの適用

Cisco APIC リリース 1.2(1)以降、入力ベース ポリシーの適用により、出入力両方向でレイヤ 3 アウトサイド(L3Out)トラフィックにポリシー適用を定義できます。デフォルトでは入力になっています。リリース 1.2(1)以降にアップグレード中、既存の L3Out 構成が出力に設定され、動作が既存の構成と一致します。特別なアップグレードのシーケンスは必要ありません。アップグレード後、グローバル プロパティ値を入力に変更します。変更されると、システムがルールとプレフィックス エントリを再プログラミングします。規則は出力リーフから削除され、入力リーフ上に既存の規則がない場合は、入力リーフ上にインストールされます。まだ構成されていない場合は、 Actrl プレフィックス エントリは入力リーフにインストールされます。ダイレクト サーバ リターン(DSR)および属性 EPG には入力ベースのポリシー適用が必要です。vzAny と禁止コントラクトは、入力ベースのポリシー適用を契約無視します。入力には中継規則が適用されます。

L3Outs によるブリッジ ドメイン

テナントのブリッジ ドメインには、共通テナントでプロビジョニングされている l3extOut によってアドバタイズされたパブリック サブネットを含めることができます。

OSPF と EIGRP のブリッジ ドメイン ルート アドバタイズメント

OSPF と EIGRP の両方があるノード上の同じ VRF で有効であり、ブリッジ ドメインのサブネットがいずれか 1 つの L3Out からアドバタイズされる場合、他の L3Out で有効になっているプロトコルからも同様にアドバタイズされます。

OSPF と EIGRP では、ブリッジ ドメイン ルート アドバタイズメントは VRF ごとに行われ、L3Out ごとには行われません。同じ VRF とノードで(複数エリアの)複数の OSPF L3Out が有効になっている場合、これと同じ動作が想定されます。この場合、ブリッジ ドメインのルートがいずれかのエリアで有効になっていれば、すべてのエリアからアドバタイズされます。

BGP 最大プレフィックス制限

Cisco APICリリース 1.2(1x)以降、BGP のテナント ポリシー BGPl3extOut 接続のテナント ネットワーキング プロトコル ポリシーは、最大プレフィックス制限を使用して構成できます。これにより、ピアから受信するルート プレフィックスの数をモニタし、制限することができます。最大プレフィックス制限を超えると、ログ エントリが記録され、さらにプレフィックスが拒否されます。カウントが一定の間隔でしきい値を下回る場合、接続を再起動することができますが、そうしない場合接続がシャット ダウンします。一度に 1 つのオプションだけを使用できます。デフォルト設定では 20,000 プレフィックスに制限され、その後は新しいプレフィックスは拒否されます。拒否オプションが導入されると、APIC でエラーが発生する前に BGP は構成されている制限よりも 1 つ多くプレフィックスを受け入れます。

MTU

  • [Cisco ACI] は IP フラグメンテーションをサポートしていません。したがって、外部ルータへのレイヤ 3 外部(L3Out)接続を構成する場合、または Inter-Pod Network(IPN)を介した [マルチポッド(Multi-Pod)] 接続を設定する場合は、インターフェイス MTU がリンクの両端で適切に構成することを推奨します。  [Cisco ACI][Cisco NX-OS]、Cisco IOS などの一部のプラットフォームでは、構成可能な MTU 値はイーサネット ヘッダー (一致する IP MTU、14-18 イーサネット ヘッダー サイズを除く) を考慮していません。また、IOS XR などの他のプラットフォームには、構成された MTU 値にイーサネット ヘッダーが含まれています。構成された値が 9000 の場合、 [Cisco ACI][Cisco NX-OS]Cisco IOS の最大 IP パケット サイズは 9000 バイトになりますが、IOS-XR のタグなしインターフェイスの最大 IP パケットサイズは 8986 バイトになります。

  •   [Cisco ACI] 物理インターフェイスの MTU 設定:

    • サブインターフェイスの場合、物理インターフェイスの MTU は固定され、リーフ スイッチの前面パネルポートでは 9216 に設定されます。

    • SVI の場合、物理インターフェイス MTU はファブリック MTU ポリシーに基づいて設定されます。たとえば、ファブリック MTU ポリシーが 9000 に設定されている場合、SVI の物理インターフェイスは 9000 に設定されます。

L3Outs の QoS

L3Out 用の QoS ポリシーを構成し、L3Out が存在する BL スイッチで適用されるポリシーを有効にするには、次の注意事項に従ってください。

  • VRF ポリシー制御の適用方向を出力に設定する必要があります。

  • VRF ポリシー制御適用の優先度設定を [有効(Enabled)]に設定する必要があります。

  • L3Out を使用して EPG 間の通信を制御するコントラクトを構成する際に、コントラクトまたはコントラクトの件名に QoS クラスまたはターゲット DSCP を含めます。

ICMP 設定

スイッチのCPU がこれらのパケットを生成しないように保護するために [Cisco ACI] では、 ICMPリダイレクトと ICMP 到達不能はデフォルトで無効になっています。

L3Out の構成例

  [L3Outの作成(Create L3Out)] ウィザードを使用して L3Out を構成する場合は、さまざまなオプションを使用できます。次に、2 つの外部ルータで OSPF L3Out を構成する L3Out 構成の例を示します。これは、一般的な構成プロセスを理解するのに役立ちます。


(注)  

この例では、Cisco APIC リリース 4.2(x)および関連する GUI 画面を使用します。

トポロジの例

図 2. 2 つの外部ルータがある OSPF L3Out のトポロジ例

この基本的な L3Out の例は、次の方法を示しています:

  • 次の仕様で L3Out を構成します:

    • エリア 0 の OSPF

    • 2 台の外部ルータを使用

    • ルーテッド インターフェイス

    • 2 つの境界リーフ スイッチ

  • デフォルト ルートマップ(default-export)を使用して BD サブネットをアドバタイズします。

  • EPG1 と外部ルート(10.0.0.0/8)間のコントラクトとの通信を許可する

図 3. OSPF 構成図

上記の図は、 2 つの外部ルータがある OSPF L3Out のトポロジ例のトポロジ例の構成を示しています。この例の設定フローは次のとおりです。

  1. L3Out:これにより、

    • L3Out 自体(OSPF パラメータ)

    • ノード、インターフェイス、OSPF I/ F プロファイル

    •   [外部 EPG の外部サブネット(External Subnets for the External EPG)] 範囲付きの L3Out EPG

  2. BD サブネットのアドバタイズ:

    • default-export route-map

    •   [外部にアドバタイズ(Advertise Externally)] 範囲付きの BD サブネット

  3. EPG - L3Out コミュニケーションを許可:これは、EPG1 と L3Out EPG1 間のコントラクトを使用します。

前提条件

図 4. 前提条件として作成されたオブジェクトの画面例

  • この構成例では、L3Out 構成部分のみに焦点を当てています。VRF、BD、EPG、アプリケーション プロファイル、アクセス ポリシー(レイヤ 3 ドメインなど)などの他の構成は対象外です。上記のスクリーン ショットは、次のような前提条件のテナント設定を示しています。

    • VRF1

    • サブネット192.168.1.254/24 の BD1

    • エンドポイントへの静的ポートを持つ EPG1

Create L3Out Wizard を使用した L3Out の作成例

このタスクでは、「トポロジの例」で説明する OSPF L3Out を作成します。このタスクに続いて、二つのボーダー リーフ スイッチおよび二つの外部ルータが OSPF ネイバーシップ付きで [Cisco ACI] が構成されます。これは、 2 つの外部ルータがある OSPF L3Out のトポロジ例で示されているように構成されます。

手順

ステップ 1

GUI [ナビゲーション(Navigation)] ペインで、テナント例のもとで [ネットワーキング(Networking)] > [L3Out(L3Outs)]に移動します。

ステップ 2

右クリックし、 [L3Outの作成(Create L3Out)]を選択します。

ステップ 3

  [L3Outの作成(Create L3Out)] 画面 [識別(Identity)] タブで、次の操作を実行します:

  1.   [名前(Name)] フィールドで、L3Out の名前を入力します。(EXAMPLE_L3Out1)

  2.   [VRF] フィールドと [L3ドメイン(L3 Domain)] フィールドで、適切な値を選択します。(VRF1, EXAMPLE_L3DOM)

  3.   [OSPF] フィールドでチェックボックスをオンにします。

  4.   [OSPF エリア ID(OSPF Area ID)] フィールドで、 [0] の値またはテキスト バックボーンを選択します。

  5.   [OSPF エリア タイプ(OSPF Area Type)] フィールドで、 [通常エリア(Regular area)]を選択します。

  6. 残りのフィールドはデフォルト値のままにします。

ステップ 4

  [次へ(Next)] をクリックして [ノードとインターフェイス(Nodes and Interfaces)] 画面を表示し、次の操作を実行します:

  1.   [インターフェイス タイプ(Interface Types)] エリアの [レイヤ 3(Layer 3)] フィールドと レイヤ 2 フィールドで、選択内容が上記のスクリーンショット(ルーテッドおよびポート)の選択内容と一致することを確認します。

  2.   [ノード(Nodes)] エリアで、 [ノード ID(Node ID)] フィールドのドロップダウン リストからノード ID を選択します。(leaf2(Node 102))

  3.   [ルータ ID(Router ID)] フィールドに、適切なルータ ID を入力します。(2.2.2.2)

      [ループバック アドレス(Loopback Address)] フィールドは、入力したルータ ID 値に基づいて自動的に入力されます。ループバック アドレスは必要ないため、値を削除し、フィールドを空白のままにします。

  4.   [インターフェイス(Interface)] フィールドで、インターフェイス ID を選択します。(eth1/11)

  5.   [IP アドレス(IP Address)] フィールドに、関連付けされた IP アドレスを入力します。(172.16.1.1/30)

  6.   [MTU] フィールドでデフォルト値のままにします。(継承)

  7. ノード leaf2 のインターフェイスを追加するために [+] アイコンをクリックします。これは、 [MTU] フィールドの隣にあります。(Node-102)

  8.   [インターフェイス(Interface)] フィールドで、インターフェイス ID を選択します。(eth1/12)

  9.   [IP アドレス(IP Address)] フィールドに、関連付けされた IP アドレスを入力します。(172.16.2.1/30)

  10.   [MTU] フィールドでは、デフォルト値のままにします。(継承)

ステップ 5

別のノードを追加するには、 [+] アイコンをクリックします。これは、 [ループバック アドレス(Loopback Address)] フィールドの横にあります。そして次の操作を行います:

(注)  

 

  [+] アイコンをクリックすると、以前に入力したエリアの下に新しい [ノード(Nodes)] エリアが表示されます。

  1.   [ノード(Nodes)] エリアの [ノード ID(Node ID)] フィールドのドロップダウン リストからノード ID を選択します。(leaf3(Node-103))

  2.   [ルータ ID(Router ID)] フィールドでルータ ID を入力します。(3.3.3.3)

      [ループバック アドレス(Loopback Address)] フィールドは、入力したルータ ID 値に基づいて自動的に入力されます。ループバック アドレスは必要ないため、値を削除し、フィールドを空白のままにします。

  3.   [インターフェイス(Interface)] フィールドで、インターフェイス ID を選択します。(eth1/11)

  4.   [IP アドレス(IP Address)] フィールドに、IP アドレスを入力します。(172.16.3.1/30)

  5.   [MTU] フィールドでは、デフォルト値のままにします。(継承)

  6. ノード leaf3 の追加のインターフェイスを追加するには、 [+] アイコンをクリックします。これは、 [MTU] フィールドの隣にあります。(Node-103)

  7.   [インターフェイス(Interface)] フィールドで、インターフェイス ID を選択します。(eth1/12)

  8.   [IP アドレス(IP Address)] フィールドに、関連付けされた IP アドレスを入力します。(172.16.4.1/30)

  9.   [MTU] フィールドでは、デフォルト値のままにします。(継承)、および [次へ(Next)]の「Configuring RAID Levels」の章を参照してください。

    各インターフェイスのノード、インターフェイス、および IP アドレスを指定しました。

ステップ 6

  [次へ(Next)] をクリックして [プロトコル(Protocols)] 画面を表示します。

この画面では、hello-interval、network-type などを設定するための OSPF インターフェイス レベル ポリシーを指定できます。

この例では、何も選択されていません。したがって、デフォルト ポリシーが使用されます。デフォルトの OSPF インターフェイス プロファイルは、 [未指定(Unspecified)] は、ブロードキャスト ネットワーク タイプ へデフォルトするネットワーク タイプとして使用します。サブインターフェイスのポイントツーポイント ネットワーク タイプでこれを最適にするには、 [OSPF インターフェイス レベル パラメータの変更(オプション)(Change the OSPF Interface Level Parameters (Optional))]を参照してください。

ステップ 7

  [次へ(Next)]をクリックします。

  [外部 EPG(External EPG)] 画面に L3Out EPG の詳細が表示されます。この構成では、コントラクトに適用する EPG にトラフィックを分類します。

ステップ 8

  [外部 EPG(External EPG)] 画面で、次の操作を実行します:

  1.   [外部 EPG(External EPG)] エリアで [名前(Name)] フィールドに、外部 EPG の名前を入力します。(L3Out_EPG1)

  2.   [提供されたコントラクト(Provided Contract)] フィールドで、値を選択します。

    この例では、通常の EPG(EPG1)がプロバイダーであるため、L3Out_EPG1 に提供されるコントラクトはありません。

  3.   [消費済みコントラクト(Consumed Contract)] フィールドで、ドロップダウン リストから [デフォルト(default)] を選択します。

ステップ 9

  [すべての外部ネットワークのデフォルト EPG(Default EPG for all external network)] フィールドで、チェックボックスをオフにし、次の操作を実行します:

  1.   [+] アイコン( [サブネット(Subnets)] エリア内)をクリックして [サブネットの作成(Create Subnet)] ダイアログ ボックスを表示します。

  2.   [IP アドレス(IP Address)] フィールドに、サブネット アドレスを入力します。(10.0.0.0/8)

  3.   [外部 EPG 分類(External EPG Classification)] フィールドで、 [外部 EPG の外部サブネット(External Subnets for the External EPG)]のチェックチェックボックスをオンにします。  [OK]をクリックします。

ステップ 10

  [+] アイコン( [サブネット(Subnets)] エリア内)をクリックして [サブネットの作成(Create Subnet)] ダイアログボックスを開いて、次の操作を実行します:

(注)  

 

これはオプションの構成ですが、エンドポイントがこれらの IP と通信する必要がある場合に備えて、L3Out インターフェイス サブネットを指定することをお勧めします。

  1.   [IP アドレス(IP Address)] フィールドでサブネットを入力します。(172.16.0.0/21)

    このサブネットは、L3Out 内のすべてのインターフェイスをカバーします。代わりに、各ルーテッド インターフェイスの個々のサブネットを使用できます。

  2.   [外部 EPG 分類(External EPG Classification)] フィールドで [外部 EPG の外部サブネット(External Subnets for the External EPG)]のチェックボックスをオンにします。  [OK]をクリックします。

  3.   [終了(Finish)]をクリックします。

L3Out OSPF が展開されました。

確認:Create L3Out Wizard を使用した L3Out の作成例

ウィザードを使用した構成が [Cisco APIC] GUI で提供されているかを確認し、構成が正しいことを確認します。

手順

ステップ 1

  [Tenant_name] > [ネットワーキング(Networking)] > [EXAMPLE_L3Out1] に移動して、 [作業(Work)] ペインで、次のようにスクロールして詳細を表示します:

GUI のこの場所で、 [識別(Identity)] 画面で構成されている VRF、ドメイン、OSPF パラメータなどの主要な L3Out パラメータを確認します。識別画面は、 [L3Outの作成(Create L3Out)] ウィザードにあります。

ステップ 2

OSPF がエリア ID やエリア タイプなどの指定されたパラメータで有効になっていることを確認します。

ステップ 3

  [論理ノードプロファイル(Logical Node Profiles)]の下、 [EXAMPLE_L3Out1_nodeProfile] が作成され、ルータID でボーダー リーフ スイッチが指定されます。

ステップ 4

  [論理インターフェイス プロファイル(Logical Interface Profile)]の下、 [EXAMPLE_L3Out1_interfaceProfile] が作成されます。

この例では、インターフェイス ID、IP アドレスなどのインターフェイス パラメータをルーテッド インターフェイスとして確認します。デフォルトの MAC アドレスが自動的に入力されます。OSPF インターフェイス プロファイルは、OSPF インターフェイス レベルのパラメータに対しても作成されます。

レビューが完了しました。

ルート マップによる BD サブネットのアドバタイズの構成

この例では、ルート マップ、 default-exportを IP プレフィックス リストとともに使用して、BD サブネットをアドバタイズします。


(注)  

この default-export ルート マップは、特定のものに関連付けられることなく、L3Out(EXAMPLE_L3Out1)に適用されます。

手順

ステップ 1

BD サブネットをアドバタイズできるようにするには、 [テナント(Tenant)] > [ネットワーク(Networks)] > [ブリッジ ドメイン(Bridge Domains)] > BD1 > [サブネット(Subnets)] > [192.168.1.254/24]に移動して、そして [外部にアドバタイズ(Advertised Externally)] 範囲を選択します。

ステップ 2

L3Out(EXAMPLE_L3Out1)の下にルート マップを作成するには、 [ルート制御のインポートおよびエクスポート向けルート マップ(Route map for import and export route control)] に移動します。

ステップ 3

右クリックし、 [ルート制御のインポートおよびエクスポート向けルート マップの作成(Create Route map for import and export route control)] を選択します。

ステップ 4

  [ルート制御のインポートおよびエクスポート向けルート マップの作成(Create Route map for import and export route control)] ダイアログ ボックスの [名前(Name)] フィールドで、 default-exportを選択します。

ステップ 5

  [タイプ(Type)] フィールドで、 [ルーティングポリシーのみの一致(Matching Route Policy Only)]を選択します。

(注)  

 

[ルーティングポリシーのみの一致(Match Routing Policy Only)]:default-export ルート マップと共に [タイプ(Type)] を選択することによって 、すべてのルート アドバタイズメント構成がこのルート マップによって実行されます。外部 EPG で設定された BD アソシエーションおよびエクスポート ルート制御サブネットは適用されません。この L3Out からアドバタイズされるすべてのルートに対して、このルート マップ内のすべての一致ルールを設定する必要があります。

[一致プレフィックスおよびルート ポリシー(Match Prefix and Routing Policy)]:default-export ルート マップ付きでこの [タイプ(Type)] を選択することによって、 外部 EPG で定義された BD と L3Out の関連付けおよびエクスポート ルート制御サブネット に加えて、 ルート アドバタイズメントは、このルート マップで設定された一致ルールによって照合されます。

ルート プロファイルを使用する場合は、維持が容易なより簡単な構成を行うために [ルーティングポリシーのみの一致(Match Routing Policy Only)] を使用することが推奨されています。

ステップ 6

  コンテキスト エリアで + アイコンをクリックして、 [ルート制御コンテキスト(Create Route Control Context)] ダイアログボックスを表示して、次の操作を実行します。

  1.   [順序(Order)] フィールドで、順序を構成します。(0)

    この例では、注文は 1 つだけです。

  2.   [名前(Name)] フィールドに、コンテキスト ポリシーの名前を入力します。(BD_Subnets)

  3.   [アクション(Action)] フィールドで、 [許可(Permit)]を選択します。

    これにより、構成するプレフィックスを許可するルート マップが有効になります。

この例では、IP プレフィックス リストの BD1_prefixを必要とする一致ルールが必要です。この IP プレフィックス リストは、アドバタイズされた BD サブネットを指します。

ステップ 7

  [一致ルール(Match Rule)] フィールドで、次の操作を実行して IP プレフィックス リストを作成します。

  1. 次を選択します。 [ルートマップの一致ルールの作成(Create Match Rule for a Route-Map)]

  2.   [名前(Name)] フィールドで 名前BD1_prefixを入力します。

  3.   [一致プレフィックス(Match Prefix)] エリアで + アイコンをクリックし、BDサブネット(192.168.1.0/24)を入力します。

コントラクトの確認

このタスクでは、エンドポイント(192.168.1.1)と外部プレフィックス(10.0.0.0/8、およびオプションで 172.16.0.0/21)間の通信を有効にするためのコントラクトを確認します。この例では、エンドポイントの EPG は EPG1 で、外部プレフィックスの外部 EPG は L3Out_EPG1 です。

必要な構成は、 [L3Outの作成(Create L3Out)] ウィザードにすでに表示されています。

手順

ステップ 1

L3Out で、次に移動します。 [外部 EPG(External EPGs)] > [L3Out_EPG1]

ステップ 2

  [作業(Work)] ペインの [外部 EPG インスタンス プロファイル(External EPG Instance Profile)] エリアの [ポリシー(Policy)] > [全般(General)] サブタブの下で、プロパティを確認し、2 つのサブネットが [外部 EPG の外部サブネット(External Subnets for the External EPG)]で表示されていることを確認します。

ステップ 3

次に、 [コントラクト(Contracts)] サブタブをクリックし、前に指定した契約が正しく使用されていることを確認します。さらにコントラクトを追加する場合は、GUI でこの場所からアクションを実行できます。

ステップ 4

次の場所に移動します。 [アプリケーション プロファイル(Application Profile)] > [アプリケーション EPG(Application EPGs)] > [EPG1] > [コントラクトm(Contracts)]そして、EPG1 が適切なコントラクトを提供していることを確認します。

OSPF インターフェイス レベル パラメータの変更(オプション)

  [Hello 間隔、 OSPF ネットワーク タイプ(Hello Interval, OSPF network type)]などの OSPF インターフェイスレベル パラメータを変更したい場合、 OSPF インターフェイス プロファイルで構成できます。ノード レベルの OSPF パラメータはすでに構成されています。

手順

ステップ 1

L3Out で、 [論理インターフェイス プロファイル(Logical Interface Profile)] > > [EXAMPLE_L3Out1_interfaceProfile] に移動します。に移動します。

ステップ 2

次に [作業(Work)] ペインの [プロパティ(Properties)] エリアで、使用する OSPF インターフェイス ポリシーを選択します。

これにより、OSPF インターフェイス レベルのパラメータが変更されます。