トランジット ルーティング

この章で説明する内容は、次のとおりです:

中継 ACI ファブリックのルーティング

Cisco APIC ソフトウェアは、OSPF(NSSA)および iBGP を使用した外部レイヤ 3 接続をサポートします。ファブリックは、外部レイヤ 3 アウトサイド(l3out)接続の外部ルータにテナント ブリッジ ドメインのサブネットをアドバタイズします。外部ルータから学習されたルートは、他の外部ルータにアドバタイズされません。ファブリックはスタブ ネットワークと同じように動作し、外部レイヤ 3 ドメイン間のトラフィックの伝送に使用できます。

図 1. ファブリックでルーティング中継


中継のルーティングで 1 つのテナントと VRF 内の複数の L3Out 接続がサポートされているし、APIC は別の L3Out 接続を 1 つの L3Out 接続から学習したルートをアドバタイズします。外部レイヤ 3 ドメインは、境界リーフ スイッチの ファブリックとピアリングします。ファブリックはピア間の Multiprotocol-Border Gateway Protocol(MP-BGP)中継ドメインです。

外部 L3Out 接続の構成は、テナントと VRF レベルで実行されます。外部ピアから学習したルートは、VRF ごとに入力リーフの MP-BGP にインポートされます。L3Out 接続から学習したプレフィックスは、テナント VRF が存在するリーフ スイッチにのみエクスポートされます。


(注)  

注意事項と中継ルーティングの構成のガイドラインは、次を参照してください。 中継ルーティングのガイドライン

トランジット ルーティングの使用例

レイヤ 3 ドメイン間のトランジット ルーティング

外部ポッド、メインフレーム、サービス ノード、WAN ルータなどの複数のレイヤ 3 ドメインが ACI ファブリックとピアリングして、それらの間のトランジット機能を提供することができます。

図 2. レイヤ 3 ドメイン間のトランジット ルーティング

ACI ファブリックで中継されるメインフレーム トラフィック

メインフレームは、論理パーティション(LPAR)および仮想 IP アドレッシング(VIPA)の要件に対応する標準 IP ルーティング プロトコルを実行する IP サーバとして機能します。

図 3. メインフレームのトランジット接続

このトポロジにおいて、メインフレームは、ACI ファブリックが WAN ルータを経由して外部と接続するため、およびファブリック内の East-West トラフィックのための中継ドメインとなることを必要とします。これらは、ホスト ルートをファブリックにプッシュして、ファブリック内、および外部インターフェイスに再配布されるようにします。

サービス ノードのトランジット接続

サービス ノードは ACI ファブリックとピアリングし、外部 WAN インターフェイスに再配布される仮想 IP (VIP) ルートをアドバタイズすることができます。
図 4. サービス ノードのトランジット接続

VIP は、特定のサイトやサービスの外部向けの IP アドレスです。VIP は、サービス ノードの背後にある 1 つ以上のサーバまたはノードに関連付けられています。

中継ルーティング設定でのマルチポッド

マルチポッド トポロジでは、ファブリックは、外部接続と複数のポッド間の相互接続の中継として機能します。クラウド プロバイダは、顧客データセンター内に管理対象のリソース ポッドを展開できます。責任分界点は、ファブリックとのピアリングを行っている OSPF または BGP を伴う L3Out にすることができます。

図 5. 中継ルーティング設定における L3Out を伴う複数のポッド

このようなシナリオでは、ポリシーは責任分界点で管理され、ACI ポリシーを設定する必要はありません。

レイヤ4 ~ レイヤ 7 ルート ピアリングはファブリックを中継として使用する特殊な使用例であり、 ファブリックは複数ポッドに対する中継 OSPF または BGP ドメインの役目を果たします。ルート ピアリングは、接続されているリーフ ノードとルートを交換できるようにするため、レイヤ4 ~ レイヤ 7 サービス デバイス上で OSPF または BGP ピアリングを有効にするように設定します。ルート ピアリングの一般的な使用例として、SLB VIP が OSPF および iBGP を介して ファブリック外のクライアントにアドバタイズされる、ルート ヘルス インジェクションがあります。ビジネスインサイトの トランジット ファブリックと L4-L7 ルート ピアリング - 構成ウォークスルー を参照してください。

中継ルーティング構成での GOLF

  [APIC]内でリリース 2.0 以降、 [Cisco ACI] は、GOLF L3Out での中継ルーティング(BGP と OSPF)をサポートしています。 たとえば、次の図は、GOLF L3Out と境界リーフ L3Out を伴うファブリックで中継されるトラフィックを示しています。

図 6. 中継ルーティング構成での GOLF L3Out と境界リーフ L3Out

サポートされるトランジットの組み合わせのマトリックス

レイヤ 3 Outside 接続タイプ

OSPF

iBGP eBGP

EIGRP v4

EIGRP v6

スタティック ルート

OSPF 上の iBGP

スタティック ルート上の iBGP

直接接続上の iBGP

OSPF 上の eBGP

スタティック ルート上の eBGP

直接接続上の eBGP

OSPF

はい

対応*

○* (APIC リリース 1.3 c でテスト)

○* (APIC リリース 1.2 g でテスト)

はい

iBGP

OSPF 上の iBGP

○*

X

X

X

○* (APIC リリース 1.3 c でテスト)

非対応

非対応

スタティック ルート上の iBGP

X

X

X

○* (APIC リリース 1.2 g でテスト)

X

○* (APIC リリース 1.2 g でテスト)

非対応

直接接続上の iBGP

X

X

X

-

 X

○* (APIC リリース 1.2 g でテスト)

非対応

eBGP

OSPF 上の eBGP

○* (APIC リリース 1.3 c でテスト)

○* (APIC リリース 1.3 c でテスト)

○* (APIC リリース 1.3 c でテスト)

○* (APIC リリース 1.3 c でテスト)

○* (APIC リリース 1.3 c でテスト)

非対応

○* (APIC リリース 1.3 c でテスト)

スタティック ルート上の eBGP

X

X

X

○* (APIC リリース 1.2 g でテスト)

○ (APIC リリース 3.0 でテスト)

○* (APIC リリース 1.2 g でテスト)

非対応

直接接続上の eBGP

○* (APIC リリース 1.3 c でテスト)

○* (APIC リリース 1.3 c でテスト)

○* (APIC リリース 1.3 c でテスト)

非対応

EIGRPv4

○ (APIC リリース 1.3 c でテスト)

非対応

EIGRPv6

○ (APIC リリース 1.2 g でテスト)

X

X

X

X

X

X

X

○ (APIC リリース 1.3 c でテスト)

○ (APIC リリース 1.2 g でテスト)

スタティック ルート

○ (APIC リリース 1.3 c でテスト)

○ (APIC リリース 1.2 g でテスト)

  • 接続= 接続

  • * = 同じリーフ スイッチではサポートされません

  • × = サポートされていないかテストされていない組み合わせ

トランジット ルーティングの注意事項

中継ルーティングのガイドライン

作成し、中継ルーティング接続を維持する場合は、次のガイドラインを使用します。

トピック

注意またはガイドライン

複数の VRF 間のトランジット ルーティング時の ACI ファブリック iBGP への OSPF/EIGRP 再配布:ルート タグ

外部ルータを使用して複数の VRF 間のルーティングを行う中継ルーティング シナリオでは、デフォルト ルート タグ(4294967295)以外のエントリを使用して異なる VRF のポリシーを識別する場合に、1 つまたは複数の OSPF または EIGRP のテナント L3Out から取り消されたルートが存在する時にルーティングがループするリスクがあります。

これは想定されている動作です。EIGRP/OSPF が ACI ファブリックにルートを再配布すると、境界リーフ スイッチのデフォルトの iBGP アンチルーティング ループ メカニズムは、特定のデフォルト ルート タグ 4294967295 を使用するか、または [トランジット ルート タグ ポリシー(Transit Route Tag Policy)] フィールドで割り当てられたものと同じタグを使用します。このフィールドは、 [VRF/ポリシー(VRF/Policy)] ページにあります。

VRF ごとに異なる固有の中継ルート タグを設定すると、デフォルトのアンチルーティング ループ メカニズムは機能しません。この状況を回避するには、同じ値を全ての VRF の [トランジット ルート タグ ポリシー(Transit Route Tag Policy)] フィールドに渡って使用します。ルートマップとタグの使用に関する詳細については、「OSPF または EIGRP のバックツーバック設定」の行と、この表のルート制御プロファイル ポリシーに関するその他の情報を参照してください。

(注)  

 

ルート タグ ポリシーは、 [ルート タグ ポリシーの作成(Create Route Tag Policy)] ページで構成されます。これは、 [トランジット ルート タグ ポリシー(Transit Route Tag Policy)] フィールドからアクセスされます。このフィールドは、 [VRF/ポリシー(VRF/Policy)] ページにあります:

[テナント(Tenants)] > [tenant_name] > [ネットワーキング(Networking)] > VRFs > [VRF_name]

L3Out で EIGRP を有効にする場合に VRF トランジット タグ値を設定する

L3Out で EIGRP を有効にする場合は、 VRF トランジット タグの値を 1 〜 255 の範囲内のデフォルト以外の値に変更。中継 VRF タグに大きな値が必要な場合は、 EIGRP ファミリ コンテキストからワイド メトリック スタイルに切り替えることができます。デフォルトのナロー メトリック スタイルの EIGRP は、1 ~ 255 の範囲内の内部タグ値のみをサポートします。

中継が 1 つの L3Out プロファイルを使用してルーティング

  [Cisco APIC] リリース 2.3(1f)より前では、単一の L3Out プロファイル内での中継ルーティングはサポートされていませんでした。  [Cisco APIC] リリース 2.3(1f)以降では、単一の L3Out プロファイル内での中継ルーティングを構成できます。ただし次の制限があります。

  • VRF インスタンスが強制されない場合、外部のサブネット 0.0.0.0/0(l3extSubnet)を使用して、同じレイヤ3 EPG を共有するルータ間でのトラフィックを許可できます。

  • VRF インスタンスが強制される場合、外部のデフォルト サブネット(0.0.0.0/0)を使用して、同じレイヤ 3 EPG 内のトラフィックで、送信元と接続先のプレフィックスの両方をマッチさせることはできません。同じレイヤ 3 EPG 内のすべてのトラフィックをマッチさせることを目的として、 [Cisco APIC] は次のプレフィックスをサポートしています。

    • IPv4

      • 0.0.0.0/1:外部 EPG 用の外部サブネット

      • 128.0.0.0/1:外部 EPG 用の外部サブネット

      • 0.0.0.0/0:インポート ルート制御サブネット、集約インポート

    • IPv6

      • 0::0/1:外部 EPG 用の外部サブネット

      • 8000::0/1:外部 EPG 用の外部サブネット

      • 0:0/0:インポート ルート制御サブネット、集約インポート

    レイヤ 3 内 EPG 転送のコントラクトは必要ありません。

  • または、少なくとも 1 つの他の EPG(アプリケーションまたは外部)を持つコントラクトと組み合わせて、単一のデフォルトサブネット(0.0.0.0/0)を使用することもできます。この EPG の代わりに vzAny を使用することはできません。ただし、他の EPG を展開する必要はありません。

    たとえば、アプリケーション EPG の提供コントラクトと、レイヤ 3 EPG の消費コントラクトを使用する場合(0.0.0.0/0 でマッチング)や、アプリケーション EPG の消費コントラクトと、レイヤ 3 EPG の提供コントラクトを使用する場合(0.0.0.0/0 でマッチング)です。

ハードウェア サポートの違いを共有ルート:

第 2 世代のスイッチの VRF 機能間で正常にルートが共有されます(N9K-93108TC-EX など、スイッチ モデル名の最後やその後に「EX」や「FX」がつく Cisco Nexus N9K)。第 1 世代のスイッチですが、ルートを保存する物理的な三値連想メモリ(TCAM)にルートの解析を完全にサポートするだけの容量がないため、この設定のパケットは失敗する可能性があります。

背面に戻る設定で EIGRP や OSPF

Cisco APIC では、中継が、L3Out に設定されているエクスポート ルート制御ポリシーのルーティングをサポートします。ルート (プレフィックス) を通過するこれらのポリシー制御は、L3Out でルーティング プロトコルに再配送されます。これらの中継ルートは、EIGRP や OSPF に再配布されたが、これらはルーティング ループを防ぐためにタグ付けされた 4294967295 です。Cisco ACI ファブリックは、OSPF または EIGRP L3Out で学習すると、このタグに一致するルートを受け入れません。ただし、次の場合、この動作をオーバーライドする必要があります。

  • EIGRP や OSPF を使用して、2 つの Cisco ACI ファブリックを接続します。

  • EIGRP や OSPF を使用して、同じ Cisco ACI ファブリックで 2 つの異なる Vrf を接続します。

オーバーライドが必要な場合、APIC GUI の次の場所に別のタグ ポリシーを使用して VRF を構成する必要があります: [テナント(Tenans)] > [Tenant_name] > [ポリシー(Policies)] > [プロトコル(Protocol)] > [ルート タグ(Route Tag)]。異なるタグを適用します。

新しいルート タグ ポリシーを作成するには、だけでなく、APIC GUI の次の場所でこのポリシーを使用する VRF を更新: [テナント(Tenant)] > [Tenant_name] > [ネットワーキング(Networking)] > [VRF(VRFs)] > [Tenant_VRF]。VRF を作成したルート タグ ポリシーを適用します。

(注)  

 

複数 L3Outs または同じ L3Out で複数のインターフェイスは同じリーフ スイッチに導入し、中継ルーティングに使用、(、IGP に再配布されません) IGP 内で、ルートをアドバタイズします。この状況では、ルート タグ ポリシーは適用されません。

BD サブネットをファブリック外にアドバタイズする

インポートおよびエクスポートのルート制御ポリシーは、中継ルート(他の外部ピアから学習したルート)およびスタティック ルートのみに適用されます。テナント BD サブネット上に設定されているファブリック内部のサブネットは、エクスポート ポリシー サブネットを使用して外部にアドバタイズされません。IP プレフィックス リストおよびルート マップを使用すると IP テナント サブネットは許可されますが、これらは別の設定手順を使用して実装されます。テナント サブネットをファブリックの外部にアドバタイズする場合は、次の設定手順を参照してください。

  1. サブネット プロパティ ウィンドウでテナント サブネットの範囲を [パブリック サブネット(Public Subnet)] として構成します。

  2. オプションです。サブネット プロパティ ウィンドウで [サブネット コントロール(Subnet Control)] [ND RAプレフィックス(ND RA Prefix)] として設定します。

  3. テナント ブリッジ ドメイン(BD)を外部レイヤ 3 Outside に関連付けます (L3Out)。

  4. テナント EPG と外部 EPG 間にコントラクト(プロバイダ/コンシューマ)の関連付けを作成します。

    BD サブネットを [パブリック(Public)] 範囲に設定し、BD をレイヤ 3 Out に関連付けると、BD サブネット プレフィックスの境界リーフに IP プレフィックスおよびルート マップの連続エントリが作成されます。

デフォルト ルートのアドバタイズ

デフォルト ルートのみを必要とするファブリックへの外部接続の場合、OSPF、EIGRP、および BGP の L3Out 接続をデフォルト ルートの起点とすることがサポートされます。外部ピアからデフォルト ルートが受信されると、この文書で説明されている中継エクスポート ルート制御に従って、このルートを別のピアに再配布できます。

デフォルト ルートは、デフォルト ルート リーク ポリシーを使用してアドバタイズすることもできます。このポリシーは、デフォルト ルートがルーティング テーブル内にあるか、または常にデフォルト ルートをアドバタイズすることがサポートされている場合、デフォルト ルートのアドバタイズをサポートします。デフォルト ルート リーク ポリシーは、L3Out 接続で設定されます。

デフォルト ルート リーク ポリシーを作成するときは、以下のガイドラインに従ってください:

  • BGP の場合、 [常に(Always)] プロパティは適用されません。

  • BGP の場合、 [範囲(Scope)] プロパティを構成する場合、 [外部(Outside)]を選択します。

  • OSPF の場合、範囲の値 [コンテキスト(Context)] は、type-5 LSA を作成し、範囲の値 [外部(Outside)] は type-7 LSA を作成します。選択したは、L3Out で構成されたエリアのタイプによって異なります。エリア タイプが [通常(Regular)]の場合、範囲を [コンテキスト(Context)]に設定します。エリア タイプが [NSSA]の場合、範囲を [外部(Outside)]に設定します。

  • EIGRPの場合、 [範囲(Scope)] プロパティを選択するとき、 [コンテキスト(Context)]を選択する必要があります。

MTU

Cisco ACI は、IP フラグメンテーションをサポートしていません。したがって、外部ルータへのレイヤ 3 Outside(L3Out)接続、または Inter-Pod Network(IPN)を介した multipod 接続を設定する場合は、MTU が両側で適切に設定されていることが重要です。  [ACI][Cisco NX-OS]、Cisco IOS などの一部のプラットフォームでは、構成できる MTU 値は IP ヘッダーを考慮に入れています(結果として、最大パケット サイズは、ACI で 9216 バイト、NX-OS および IOS で 9000 バイトに設定されます)。ただし、IOS XR などの他のプラットフォームは、パケット ヘッダーのを除く MTU 値を設定します(結果として最大パケット サイズは 8986 バイトになります)。

各プラットフォームの適切な MTU 値については、それぞれの設定ガイドを参照してください。

CLI ベースのコマンドを使用して MTU をテストすることを強く推奨します。たとえば、 [Cisco NX-OS] CLI で ping 1.1.1.1 df-bit packet-size 9000 source-interface ethernet 1/1などのコマンドを使用します。

トランジット ルート制御

ルート トランジットは、インポートされるレイヤ 3 アウトサイド ネットワーク L3extOut プロファイル(l3extInstP)を通してトラフィックをインポートするために定義されます。異なるルート トランジットは、エクスポートされる別の l3extInstP を通してトラフィックをエクスポートするために定義されます。

ファブリック内の 1 つまたは複数のノードに複数の l3extOut ポリシーを配置できるので、プロトコルのさまざまな組み合わせがサポートされます。プロトコルの組み合わせはすべて、複数の l3extOut ポリシーを使用する単一ノードまたは複数の l3extOut ポリシーを使用する複数のノードに展開できます。ファブリック内で異なる l3extOut ポリシーでの 2 つ以上のプロトコルの展開は、サポートされます。

エクスポート ルート マップは、プレフィックス リストの一致から構成されます。各 プレフィックス リストは、VRF 内のブリッジ ドメイン(BD)パブリック サブネット プレフィクスと、外部にアドバタイズする必要のあるエクスポート プレフィクストから構成されます。

ルート制御ポリシーは、 l3extOut ポリシーで定義されていて、 l3extOutと関連付けられたプロパティと関係にコントロールされています。APIC は、ルート制御方向を適用するために enforceRtctrl プロパティを使用します。これは、 l3extOut のプロパティです。デフォルトでは、エクスポートの制御を適用し、インポートのすべてを許可します。インポートおよびエクスポートされたルート(l3extSubnets)、 l3extInstPで定義されています。すべてのルートのデフォルト スコープはインポートです。これらは、プレフィックス ベースの EPG を形成するルートおよびプレフィックスです。

インポート ルート マップからのすべてのインポート ルートは、BGP および OSPF によってインポートを制御するために使用されます。エクスポート ルート マップからのすべてのエクスポート ルートは OSPF および BGP によってエクスポートを制御するために使用されます。

インポートとエクスポートのルート制御ポリシーは、異なるレベルで定義されます。IPv6 ではすべての IPv4 ポリシー レベルがサポートされます。  l3extInstP および l3extSubnet MO で定義されている追加の関係はインポートを制御します。

デフォルト ルート リークは、 l3extDefaultRouteLeakP MO を定義することで有効になります。これは、 l3extOutにあります。

l3extDefaultRouteLeakP は、Virtual Routing and Forwarding(VRF)範囲または、OSPF 用のエリアごとに、BGP 用の場合は、ピアごとに L3extOut 範囲を持つことができます。

次の設定ルールは、ルート制御を提供します:

  • rtctrlSetPref

  • rtctrlSetRtMetric

  • rtctrlSetRtMetricType

  rtctrlSetComm MO の追加シンタックスには次のものが含まれます:

  • no-advertise

  • no-export

  • no-peer

BGP

ACI ファブリックは、外部ルータとの BGP ピアリングをサポートします。BGP ピアは l3extOut ポリシーと関連付けられています。そして l3extOutごとに複数の BGP ピアを構成できます。BGP は l3extOut レベルで有効にできます。これは、 bgpExtP MO( l3extOut の下にあります)を定義することによりできます。


(注)  
  l3extOut ポリシーにルーティング プロトコル(たとえば、関連する VRF を含む BGP)が含まれる一方で、L3Out インターフェイスのプロファイルには必要な BGP インターフェイス設定の詳細が含まれます。いずれも BGP の有効化に必要です。

BGP ピアには、OSPF、EIGRP、接続されたインターフェイス、スタティック ルート、またはループバック経由で到達できます。外部ルータとのピアリングには iBGP または eBGP を使用できます。ファブリック内への外部ルートの配付には MP-BGP が使用されるため、外部ルータからの BGP ルート属性は保持されます。BGP は l3extOutに関連付けられた VRF に Ipv4 や IPv6 アドレス ファミリを有効にすることができます。スイッチ上で有効になるアドレス ファミリは、 bgpPeerP ポリシーで l3extOutのために定義した IP アドレス タイプによって決まります。ポリシーは省略可能です。定義しない場合はデフォルトが使用されます。ポリシーはテナントに対して定義され、名前で参照される VRF によって使用できます。

ピア ポリシーを少なくとも 1 つのピアを定義して、境界リーフ(BL)の各スイッチでプロトコルを有効にする必要があります。ピア ポリシーは 2 つの場所で定義できます。

  •   l3extRsPathL3OutAtt:送信元インターフェイスとして物理インターフェイスが使用されます。

  •   l3extLNodeP:送信元インターフェイスとしてのループバック インターフェイスが使用されます。

OSPF

接続を有効にして冗長性を提供するために、さまざまなホスト タイプが OSPF を必要とします。これらには、たとえばファブリック内および WAN へのレイヤ 3 中継として ACI ファブリックを使用するサービス ノード、外部ポッド、メインフレーム デバイスなどがあります。このような外部デバイスは、OSPF を実行している非境界リーフ スイッチを介してファブリックとピアリングします。デフォルト ルートは受信し、全域ルーティングには参加しないよう、OSPF エリアを NSSA(スタブ)エリアとして設定します。通常は、既存のルーティングの導入によって設定の変更が回避されるため、スタブ エリアの設定は必須ではありません。

  ospfExtP 管理対象オプジェクトを構成して OSPF を有効にします。このオブジェクトは、 l3extOutにあります。BL スイッチ上で構成されている OSPF IP アドレス ファミリ バージョンは、OSPF インターフェイス IP アドレスに構成されているアドレス ファミリによって決まります。


(注)  
  l3extOut ポリシーにルーティング プロトコル(たとえば、関連する VRF とエリア ID を含む OSPF)が含まれる一方で、レイヤ 3 外部インターフェイスのプロファイルには必要な OSPF インターフェイスの詳細が含まれます。いずれも OSPF のイネーブル化に必要です。

  fvRsCtxToOspfCtxPol 関係を使用して、 VRFレベルでOSPFポリシーを構成します。これは、アドレス ファミリごとに構成できます。設定していない場合、デフォルト パラメータが使用されます。

要求されるエリア プロパティ Ipv6 を公開する ospfExtP 管理対象オブジェクトで OSPF を構成します。

サブネットの範囲と集約コントロール

次のセクションでは、サブネットを作成するときに利用できるいくつかの範囲と集約に関するオプションについて説明します:

Export Route Control Subnet:コントロールは、ファブリック外の特定の中継ルートをアドバタイズします。これは中継ルートにのみ影響するもので、内部ルートやブリッジ ドメインで設定されるデフォルトのゲートウェイには影響しません。

インポート ルート コントロール サブネット:このコントロールは、インポート ルート制御の強制が構成されている場合、ルートを Border Gateway Protocol(BGP)と Open Shortest Path First(OSPF) でファブリックにアドバタイズすることを可能にします。

External Subnets for the External EPG (セキュリティ インポート サブネットとも呼ばれる): このオプションは、ルーティング情報のファブリックへの出入りはコントロールしません。トラフィックがある外部 EPG から別の外部 EPG に、または内部 EPG に流れるようにするには、サブネットにはこのコントロールでマークを付ける必要があります。このコントロールを使用してサブネットにマークしなかった場合には、ある EPG から学習したルートが他の外部 EPG にもアドバタイズされますが、パケットはファブリックでドロップされます。パケットがドロップされるのは、APIC が許可済みリスト モデルで動作するからです。そのデフォルトの動作は、契約で明示的に許可されていない限り、EPG 間の全データ プレーン トラフィックをドロップするというものです。この許可済みリスト モデルは外部 EPG とアプリケーション EPG に適用されます。このオプションが構成されているセキュリティ ポリシーを使用する場合には、契約とセキュリティ プレフィックスを構成する必要があります。

Shared Route Control Subnet: VRF 間のリーキングの共有 L3Outs から学習されたサブネットは、他の VRF にアドバタイズされる前に、このコントロールでマークされる必要があります。APIC リリース 2.2(2e)以降では、異なる VRF の共有 L3Outs は契約を使用して相互に通信できます。異なる VRF の共有 L3Outs 間の通信の詳細については、 「Cisco APIC Layer 3 ネットワーキング構成ガイド」を参照してください。

Shared Security Import Subnet: このコントロールは、共有 L3Out 学習ルートについては、[External Subnets for the External EPG] と同じです。トラフィックがある外部 EPG から別の外部 EPG に、または別の内部 EPG に流れるようにするには、サブネットにはこのコントロールでマークを付ける必要があります。このコントロールを使用してサブネットにマークしなかった場合には、ある EPG から学習したルートが他の外部 EPG にもアドバタイズされますが、パケットはファブリックでドロップされます。このオプションが構成されているセキュリティ ポリシーを使用する場合には、契約とセキュリティ プレフィックスを構成する必要があります。

Aggregate Export, Aggregate Import, and Aggregate Shared Routes: このオプションは、0.0.0.0/0 プレフィックスの前に 32 を追加します。現在、インポート/エクスポート ルート制御サブネットに集約できるのは、0.0.0.0/0 プレフィクスのみです。0.0.0.0/0 プレフィックスを集約すると、制御プロファイルを 0.0.0.0/0 ネットワークに適用することはできなくなります。

集約共有ルート:このオプションは、共有ルート制御サブネットとしてマークされている任意のプレフィックスに使用できます。

ルートコントロール プロファイル:ACI ファブリックは、ファブリックの内部と外部にアドバタイズされるルート用に、ルート マップの set 句もサポートします。ルート マップの set ルールは、ルート制御プロファイル ポリシーとアクション ルール プロファイルで構成されます。

トランジット ルーティングの設定

トランジット ルーティングの概要

このトピックでは、Cisco [APIC]を使用する際のトランジット ルーティングを構成する方法の一般的な例を説明します。

この章にある例では、次のトポロジを使用します。

図 7.

この章の例では、Cisco ACI ファブリックには APIC クラスタによって制御される 2 個のリーフ スイッチと 2 個のスパイン スイッチがあります。境界リーフ スイッチ 101 と 102 には L3Out があり、2 tのルータに接続することでインターネットにも接続しています。この例の目標は、2 つの L3Out を通して、インターネット上の EP 1 から EP2 へ、ファブリック内外をトラフィックが行き来できるようにすることです。

この例では、両方の L3Out に関連付けられているテナントは t1です。これは、VRF v1 付きです。

L3Out を構成する前に、ノード、ポート、機能プロファイル、AEP、レイヤ 3 ドメインを構成します。BGP ルート リフレクタとして 104 と 105 スパイン スイッチを構成する必要があります。

トランジット ルーティングの構成には、次のコンポーネントの定義が含まれます:

  1. テナントおよび VRF

  2. リーフ 101 と 102 上のノードおよびインターフェイス

  3. 各 L3Out のプライマリ ルーティング プロトコル(境界リーフ スイッチと外部ルータ間のルートの交換に使用。この例では BGP)

  4. 各 L3Out のルーティング プロトコルの接続性(プライマリ プロトコルへの到達可能性情報の提供。この例では、OSPF)

  5. 2 個の外部 EPG

  6. 1 個のルート マップ

  7. 少なくとも 1 つのフィルタと 1 つのコントラクト

  8. 外部 EPG とコントラクトを関連付ける


(注)  

トランジット ルーティングの注意事項については、 中継ルーティングのガイドラインを参照してください。

次の表では、この章で使用される名前を一覧にしています:

プロパティ

ノード 101 の L3Out1 の名前

ノード 102 の L3Out2 の名前

テナント

t1

t1

VRF

v1

v1

ノード

nodep1 は、ルータ ID 11.11.11.103 付きです。

nodep2 は、ルータ ID 22.22.22.203 付きです。

OSPF インターフェイス

ifp1 は、 Eth1/3にあります。

ifp2 は、 Eth1/3にあります。

BPG ピア アドレス

15.15.15.2/24

25.25.25.2/24

外部 EPG

extnw1 は、 192.168.1.0/24にあります。

extnw2 は、 192.168.2.0/24にあります。

ルート マップ

rp1 は、 ctx1 およびルートの接続先 192.168.1.0/24付きです。

RP2 は、 ctx2 およびルートの接続先 192.168.2.0/24付きです。

フィルタ

http-filter

http-filter

コントラクト

httpCtrct 提供元は、 extnw1

httpCtrct 消費者は、 extnw2

GUI を使用した中継ルーティングの設定

これらの手順は、テナントの中継ルーティングを設定する方法を示しています。この例では、2 つの L3Outs を、1 つの VRF 内、2 つの境界リーフ スイッチ上に展開します。スイッチは別々のルータに接続されています。

テナントと VRF を作成する手順を除き、これらの手順を 2 回繰り返して、同じテナントと VRF の下に 2 つの L3Out を作成します。

サンプルの名前については、 中継 ACI ファブリックのルーティングを参照してください。

始める前に

  • L3Out で使用されるインターフェイス(AAEP、VLAN プール、インターフェイス セレクタ)の L3 ドメインおよびファブリック アクセス ポリシーを設定します。

  • ファブリック インフラ MPBGP の BGP ルート リフレクタ ポリシーを設定します。

手順

ステップ 1

テナントと VRF を作成するには、メニューバーで [テナント(Tenants)] > [テナントの追加(Add Tenant)] を選択し、 [テナントの作成(Create Tenant)] ダイアログ ボックスで、次のタスクを実行します:

  1.   [名前(Name)] フィールドに、テナント名を入力します。

  2.   [VRF名(VRF Name)] フィールドに、VRF 名を入力します。

  3.   [送信(Submit)]をクリックします。

    (注)  

     

    この手順の後の手順は 2 回実行して、中継ルーティングのための同じテナントと VRF に 2 つの L3Out を作成します。

ステップ 2

L3Out の作成を開始するには、 [ナビゲーション(Navigation)] ペインで [テナント(Tenant)] および [ネットワーキング(Networking)]を展開し、 [L3Out(L3Outs)] を右クリックし、 [L3Outの作成(Create L3Out)]を選択します。

  [L3Outの作成(Create L3Out)] ウィザードが表示されます。次の手順では、 [L3Outの作成(Create L3Out)] ウィザードを使用した L3Out 設定例の手順を示します。

ステップ 3

  [識別(Identity)] ウィンドウで必要な情報を入力します。これは、 [L3Outの作成(Create L3Out)] ウィザードにあります。

  1.   [名前(Name)] フィールドに L3Out の名前を入力します。

  2.   [VRF] ドロップダウンリストから VRF を選択します。

  3.   [L3ドメイン(L3 Domain)] ドロップダウン リストで、先ほど作成した、外部ルーテッド ドメインを選択します。

  4. ルーテッド プロトコルのチェックボックスがあるエリアで、目的のプロトコル(BGP、OSPF、または EIGRP)をオンにします。

    この章の例では、 [BGP] および [OSPF]を選択します。

    選択するプロトコルに応じて、設定する必要のあるプロパティに入力します。

  5. OSPF を有効にした場合は、OSPF の詳細を入力します。

    この章の例では、OSPF エリア [0] を使用し、 [通常エリア(Regular area)]に入力します。

  6.   [次へ(Next)] をクリックし、 [ノードとインターフェイス(Nodes and Interfaces)] ウィンドウに移動します。

ステップ 4

  [ノードとインターフェイス(Nodes and Interfaces)] ウィンドウで必要な情報を入力します。これは、 [L3Outの作成(Create L3Out)] ウィザードにあります。

  1. デフォルトの命名規則を使用するかどうかを決定します。

      [デフォルトの使用(Use Defaults)] フィールドで、デフォルトのノード プロファイル名およびインターフェイス プロファイル名を使用する場合は、チェックをオンにします:

    • デフォルト ノード プロファイル名前は、 [L3Out-name][_nodeProfile]です。 [L3Out-name][名前(Name)] フィールドに入力した名前です。このフィールドは、 [識別(Identity)] ページにあります。

    • デフォルト ノード プロファイル名前は、 [L3Out-name][_interfaceProfile]です。これには、 [L3Out-name][名前(Name)] フィールドに入力した名前です。このフィールドは、 [識別(Identity)] ページにあります。

  2.   [インターフェイス タイプ(Interface Types)] エリアで、レイヤ 3 およびレイヤ 2 フィールドで必要な選択を行います。

    次のオプションがあります:

    • レイヤ 3:

      • [ルーテッド(Routed)]:ポート チャネルへのレイヤ 3 ルートを構成するには、このオプションを選択します。

        このオプションを選択すると、レイヤ 3 ルートは、このページの [レイヤ 2(Layer 2)] フィールドで選択された物理ポートまたはダイレクト ポート チャネルのいずれかになります。

      • [ルーテッド サブ(Routed Sub)]:ポート チャネルへのレイヤ 3 サブインターフェイス ルートを設定するには、このオプションを選択します。

        このオプションを選択すると、レイヤ 3 サブインターフェイスのルートは、このページの [レイヤ 2(Layer 2)] フィールドで選択された物理ポートまたはダイレクト ポート チャネルのいずれかになります。

      • [SVI]:ACI リーフ スイッチとルータ間に接続性を提供する Switch Virtual Interface(SVI)を設定するにはこのオプションを選択します。

        SVI は、物理ポート、直接ポート チャネル、仮想ポート チャネルのメンバーを持つことができ、このページの [レイヤ 2(Layer 2)] フィールドで選択します。

      • [フローティング SVI(Floating SVI)]:フローティング L3Out を構成するにはこのオプションを選択します。

        フローティング L3Out を使用すると、仮想ルータが 1 つのリーフ スイッチの下から別のリーフ スイッチに移動できるようにする L3Out を設定できます。この機能により、VM がホスト間を移動する際に、ルーティングを維持するために複数の L3Out インターフェイスを設定する必要がなくなります。

    • レイヤ 2 :(レイヤ 3 エリアで仮想 SVI を選択した場合は使用できません)

      • ポート

      • 仮想ポート チャネル(レイヤ 3 エリアで [SVI] を選択した場合に使用可能)

      • ダイレクトポートチャネル

  3.   [ノード ID(Node ID)] フィールドのドロップダウン メニューで、L3Out のノードを選択します。

    これらの例のトポロジでは、ノード 103を使用します。

  4.   [ルータ ID(Router ID)] フィールドで、ルータ ID (L3Out に接続されているルータの IPv4 または IPv6 アドレス) を入力します。

  5. (任意) 必要に応じて、ループバック アドレスに別の IP アドレスを設定できます。

      [ループバック アドレス(Loopback Address)] フィールドは、 [ルータ ID(Router ID)] フィールドで提供した同じエントリによって自動で入力されます。これは、以前に構築した [ループバック アドレスとしてのユーザー ルータ ID(Use Router ID for Loopback Address)] オプションと同等です。ループバック アドレスにルータ ID を使用しない場合は、ループバック アドレスに別の IP アドレスを入力します。または、ループバック アドレスにルータ ID を使用しない場合は、このフィールドを空のままにします。

  6.   [ノードとインターフェイス(Nodes and Interfaces)] ウィンドウに追加の必要な情報を入力します。

    このウィンドウに表示されるフィールドは、 [レイヤ 3(Layer 3)] および [レイヤ 2(Layer 2)] エリアで選択したオプションによって異なります。

  7.   [ノードとインターフェイス(Nodes and Interfaces)] ウィンドウで残りの追加の情報を入力したら、 [次へ(Next)]をクリックします。

      [プロトコル(Protocols)] ウィンドウが表示されます。

ステップ 5

  [プロトコル(Protocols)] ウィンドウで必要な情報を入力します。これは、 [L3Outの作成(Create L3Out)] ウィザード内にあります。

この例ではプロトコルとしてBGPとOSPFを使用しているため、次の手順でこれらのフィールドに情報を提供します。

  1.   [BGP ループバック ポリシー(BGP Loopback Policies)] および [BGP インターフェイス ポリシー(BGP Interface Policies)] エリアで、次の情報を入力します:

    • [ピア アドレス(Peer Address)]:ピア IP アドレスを入力します。

    • [EBGP マルチホップ TTL(EBGP Multihop TTL)]:接続の存続可能時間(TTL)を入力します。範囲は 1 〜 255 ホップです。ゼロの場合、TTL は指定されません。デフォルトは 0 です。

    • [リモート ASN(Remote ASN)]:ネイバー自律システムを固有に識別する番号を入力します。自律システム番号は、1 〜 4294967295 のプレーン形式で 4 バイトにすることができます。

      (注)  

       

      ACI は asdot または asdot + 形式の AS 番号をサポートしていません。

  2.   [OSPF] エリアで、デフォルト OSPF ポリシー、以前に作成した OSPF ポリシー、または [OSPF インターフェイス ポリシーの作成(Create OSPF Interface Policy)]を選択します。

  3.   [次へ(Next)]をクリックします。

      [外部 EPG(External EPG)] ウィンドウが表示されます。

ステップ 6

  [外部 EPG(External EPG)] ウィンドウで必要な情報を入力します。これは、 [L3Outの作成(Create L3Out)] ウィザード内にあります。

  1.   [名前(Name)] フィールドに、外部ネットワークの名前を入力します。

  2.   [提供されたコントラクト(Provided Contract)] フィールドで、提供済みコントラクトの名前を入力します。

  3.   [消費済みコントラクト(Consumed Contract)] フィールドで、消費済みコントラクトの名前を入力します。

  4.   [すべての外部ネットワークのデフォルト EPG(Default EPG for all external network)] フィールドで、この L3Out 接続からのすべての中継ルートをアドバタイズしない場合はオフにします。

    このボックスをオフにすると、サブネット エリアが表示されます。次の手順に従って、必要なサブネットとコントロールを指定します。

  5.   [+] アイコンをクリックして [サブネット(Subnet)]を展開し、 [サブネットの作成(Create Subnet)] ダイアログ ボックスで次の手順を実行します。

  6.   [IP アドレス(IP Address)] フィールドに、外部ネットワークの IP アドレスとサブネット マスクを入力します。

  7.   [名前(Name)] フィールドに、サブネットの名前を入力します。

  8.   [範囲(Scope)] フィールドで、L3Out のプレフィックスのインポートとエクスポートを制御するための適切なチェック ボックスをオンにします。

    (注)  

     

    範囲のオプションの詳細については、この [サブネットの作成(Create Subnet)] パネルのオンライン ヘルプを参照してください。

  9. (任意)   [エクスポート ルート コントロール サブネット(Export Route Control Subnet)]のチェックボックスをオンにします。

      [BGP とルーティング集約ポリシー(BGP Route Summarization Policy)] フィールドが使用可能になります。

  10.   [BGP とルーティング集約ポリシー(BGP Route Summarization Policy)] フィールドでは、ドロップダウンリストから既存のルート集約ポリシーを選択するか、必要に応じて新しいユーザーを作成します。

    ルート集約ポリシーのタイプは、L3Out に対して有効になっているルーティング プロトコルに依存します。

  11.   [OK][サブネットの作成(Create Subnet)] ウィンドウで必要な構成を完了した後にクリックします。

  12. (任意) より多くのサブネットを追加するにはこれを繰り返します。

  13.   [終了(Finish)] をクリックして [L3Outの作成(Create L3Out)] ウィザード内で必要な構成を完了します。

ステップ 7

作成した L3Out に移動し、L3Out を右クリックして、 [ルート制御のインポートおよびエクスポート向けルート マップの作成(Create Route map for import and export route control)]を選択します。

ステップ 8

  [ルート制御のインポートおよびエクスポート向けルート マップの作成(Create Route map for import and export route control)] ウィンドウで次のアクションを実行します:

  1.   [名前(Name)] フィールドに、ルート マップ名を入力します。

  2.   [タイプ(Type)]を選択します。

    この例では、デフォルトの [プレフィックスおよびルーティングポリシーの照合(Match Prefix AND Routing Policy)]のままにします。

  3.   + アイコンをクリックして [コンテキスト(Contexts)] を展開し、ルートマップのルートコンテキストを作成します。

  4. プロファイル コンテキストの順序と名前を入力します。

  5. このコンテキストで実行するアクションとして [拒否(Deny)] または [許可(Permit)] を選択します。

  6. (任意)   [ルールの設定(Set Rules)] フィールドで、 [ルート マップのセット ルールを作成(Create Set Rules for a Route Map)]を選択します。

    セット ルールのための名前を入力し、ルールで使用するオブジェクトをクリックし、 [終了(Finish)]をクリックします。

  7.   [一致ルール(Match Rule)] フィールドで、 [ルートマップの一致ルールの作成(Create Match Rule for a Route Map)]を選択します。

  8. 一致ルールの名前を入力し、ルールに一致するために [正規表現コミュニティ用語の照合(Match Regex Community Term)][一致コミュニティ条件(Match Community Terms)]、または [一致プレフィックス(Match Prefix)] を入力します。

  9. GUI のフィールドへの入力が完了したら、 [一致ルールの作成(Create Match Rule)] ウィンドウで、 [送信(Submit)]をクリックします。

  10.   [ルート制御コンテキスト(Create Route Control Context)] ダイアログボックスで、 [OK]をクリックします。

  11.   [ルート制御のインポートおよびエクスポート向けルート マップの作成(Create Route map for import and export route control)] ダイアログボックスで、 [送信(Submit)]をクリックします。

ステップ 9

ナビゲーション ペインで、 [L3Out(L3Outs)] > [L3Out_name] > [外部 EPG(External EPGs)] > [externalEPG_name] を展開し、次のアクションを実行します。

  1.   [+] アイコンをクリックして [ルート制御プロファイル(Route Control Profile)]を展開します。

  2.   [名前(Name)] フィールドのドロップダウン リストから、前に作成したルート制御プロファイルを選択します。

  3.   [方向(Direction)] フィールドで、 [ルート エクスポート ポリシー(Route Export Policy)]を選択します。

  4.   [更新(Update)]をクリックします。

ステップ 10

作成した L3Out に移動し、L3Out を右クリックして、 [ルート制御のインポートおよびエクスポート向けルート マップの作成(Create Route map for import and export route control)]を選択します。

ステップ 11

  [ルート制御のインポートおよびエクスポート向けルート マップの作成(Create Route map for import and export route control)] ウィンドウで次のアクションを実行します:

(注)  

 

受信ルートについて BGP、OSPF、または EIGRP の属性を設定するには、default-import ルート制御プロファイルを作成し、適切な set アクションと、 no match のアクションを作成します。

  1.   [名前(Name)] フィールドで、 [default-import]を選択します。

  2.   [タイプ(Type)] フィールドで [ルーティングポリシーのみの一致(Match Routing Policy Only)]を選択する必要があります。

  3.   [ルート制御のインポートおよびエクスポート向けルート マップの作成(Create Route map for import and export route control)] ダイアログボックスで、 [送信(Submit)]をクリックします。

ステップ 12

L3Out を使用していた EPG 間の通信を有効にするには、次の手順を使用して、少なくとも 1 つのフィルタと契約を作成します:

  1. ナビゲーション ウィンドウの L3Out を使用するテナントの下で、 [コントラクト(Contracts)] を展開します。

  2.   [フィルタ(Filters)] を右クリックし、 [フィルタの作成(Create Filter)]を選択します。

  3.   [名前(Name)] フィールドに、ファイルの名前を入力します。

    フィルタは基本的にはアクセス コントロール リスト (ACL) です。

  4.   [+] アイコンをクリックして [エントリ(Entries)]を展開し、フィルタ エントリを追加します。

  5. エントリの詳細を追加します。

    たとえば、単純な Web フィルタの場合には、次のような条件を設定します:

    • [EtherType][IP]

    • [IP プロトコル(IP Protocol)][tcp]

    • [宛て先ポートの範囲(開始)(Destination Port Range From)] [未指定(Unspecified)]

    • [宛て先ポートの範囲(終了)(Destination Port Range To)][https]

  6.   [更新(Update)]をクリックします。

  7.   [フィルタの作成(Create Filter)] ダイアログボックスで、 [送信(Submit)]をクリックします。

ステップ 13

契約を追加するには、次の手順を実行します:

  1.   [コントラクト(Contracts)] の下、 [標準(Standard)] を右クリックし、 [コントラクトの作成(Create Contract)]を選択します。

  2. 契約の名前を入力します。

  3.   [+] アイコンをクリックして [サブジェクト(Subjects)] を展開し、情報カテゴリを契約に追加します。

  4. 情報カテゴリの名前を入力します。

  5.   [+] アイコンをクリックして [フィルタ(Filters)] を展開し、ドロップダウン リストから、前に作成したフィルタを選択します。

  6.   [更新(Update)]をクリックします。

  7.   [コントラクト サブジェクトの作成(Create Contract Subject)] ダイアログ ボックスで、 [OK]をクリックします。

  8.   [コントラクトの作成(Create Contract)] ダイアログ ボックスで、 [送信(Submit)]をクリックします。

ステップ 14

次の手順で、L3Out のための EPG を契約に関連付けます:

最初の L3 外部 EPG(extnw1)は、コントラクトのプロバイダーであり、2 番目の L3 外部 EPG(extnw2)は、コンシューマです。

  1. 契約をプロバイダとしての L3 外部 EPG に関連付けるには、テナントの下で [ネットワーキング(Networking)]をクリックし、 [L3Out(L3Outs)]をクリックし、L3Out を展開します。

  2.   [外部 EPG(External EPGs)]をクリックし、L3 外部 EPG をクリックして、 [コントラクト(Contracts)] タブをクリックします。

  3.   [+] アイコンをクリックして [提供されるコントラクト(Provided Contracts)]を展開します。

    2 番目の L3 外部 EPG で、+ アイコンをクリックして Consumed Contracts を展開します。

  4.   [名前(Name)] フィールドで、前に作成した契約をリストから選択します。

  5.   [更新(Update)]をクリックします。

  6.   [送信(Submit)]をクリックします。