VXLAN BGP EVPN ファブリックでの VRF Lite

データセンターからの外部接続は、主要な要件です。Virtual Extensible Local Area Network(VXLAN)ボーダーゲートウェイ プロトコル(BGP)イーサネット VPN(EVPN)ベースのデータセンター ファブリックは、ファブリック内のさまざまなデバイス間で IP-MAC 到達可能性の情報を配布することにより、East-West 接続を提供します。EVPN マルチサイト機能はサイト間接続を提供しますが、VRF Lite 機能はファブリックを外部レイヤ 3 ドメインに接続するために使用されます。通常、仮想ルーティングおよび転送インスタンス(VRF)によって表されるテナントは、ボーダーと呼ばれる特別なノードを介して外部接続を調達できます。このようにして、1 つのデータセンター ファブリック内のテナント ワークロードは、他のファブリック内の同じ VRF 内のホストへのレイヤ 3 接続を持つことができます。この章では、VRF Lite の使用例での Cisco® Data Center Network Manager(DCNM)による Nexus 9000 ベースのボーダー デバイスの LAN ファブリック プロビジョニングについて説明します。この使用例は、VRF を外部ファブリックに拡張する方法を示しています。DCNM では、構成パラメータが次のように拡張されています。

構成メソッド:自動構成および DCNM GUI を使用して VRF Lite を構成できます。

サポートされている接続先デバイス:VRF を VXLAN ファブリックから Cisco Nexus および Nexus 以外のデバイスに拡張できます。接続されたシスコ以外のデバイスもトポロジで表すことができます。

前提条件とガイドライン

前提条件

  • VRF Lite 機能は、Cisco Nexus 9000 シリーズ NX-OS リリース 7.0(3)I6(2) 以降が必要です。

  • VXLAN BGP EVPN データセンター ファブリック アーキテクチャおよび DCNM を介したトップダウン ベースの LAN ファブリック プロビジョニングに精通していること。

  • さまざまなリーフおよびスパイン デバイスのアンダーレイおよびオーバーレイ構成、DCNM を介した外部ファブリック構成、および関連する外部ファブリック デバイス構成(エッジ ルータなど)を含む、完全に構成された VXLAN BGP EVPN ファブリック。

    • VXLAN BGP EVPN ファブリック(および North-South トラフィック フローの外部レイヤ 3 ドメインへの接続)は、手動または DCNM を使用して構成できます。このドキュメントでは、DCNM を介してファブリックをエッジ ルータ(ファブリックの外部、外部ファブリックに向かって)に接続するプロセスについて説明します。したがって、DCNM を介して VXLAN BGP EVPN および外部ファブリックを構成および展開する方法を知っている必要があります。詳細については、『Cisco DCNM LAN ファブリックの構成ガイド、リリース 11.2(1)』の「制御」の章を参照してください。

  • 指定されたボーダー デバイスのロールが、ボーダー、ボーダー スパイン、ボーダー ゲートウェイ、またはボーダーゲートウェイ スパイン(マルチサイト機能と VRF Lite 機能が共存するスイッチ)であることを確認します。確認するには、スイッチを右クリックし、[ロールの設定(Set role)] をクリックします。スイッチの現在のロールに(current)が追加されていることがわかります。ロールがボーダー デバイスに不適切な場合は、適切なロールを設定します。

  • 外部ファブリックの作成外部接続のために VLXAN ファブリック ボーダー デバイスを Nexus 7000 シリーズ スイッチ(または他の Nexus デバイス)に接続する場合、Nexus 7000 シリーズ スイッチを外部ファブリックに追加し、そのロールを エッジ ルータ に設定します。DCNM では、スイッチを外部ファブリックにインポートし、選択した構成を更新できます。詳細については、「制御」の章の「外部ファブリックの作成」セクションを参照してください。

  • 異なる VXLAN ファブリック内(両方のファブリックにサブネットが存在する)のエンド ホスト間のサブネット間通信を許可するには、関連付けられている VRF の デフォルト ルートのアドバタイズ 機能を無効にする必要があります。これにより、両方のファブリックでホストの /32 ルートが表示されます。たとえば、ファブリック 1 のホスト 1(VNI 30000、VRF 50001)は、ホスト ルートが両方のファブリックに存在する場合にのみ、ファブリック 2 のホスト 2(VNI 30001、VRF 50001)にトラフィックを送信できます。サブネットが 1 つのファブリックにのみ存在する場合は、サブネット間通信にはデフォルトルートだけで十分です。Steps:

    1. ファブリックの VRF 画面に移動し、[VRF] を選択します。

    2. 画面の左上にある [編集(Edit)] オプションをクリックします。

    3. VRF の編集 画面で、[VRF プロファイル(VRF Profile)] セクションの [詳細(Advanced)] をクリックします。

    4. [デフォルトルートのアドバタイズ(Advertise Default Route)] チェックボックスをオフにして、[保存(Save)] をクリックします。

      次のオプションは、ボーダー デバイスで VRF Lite 接続が有効になっている場合にのみ適用されます。デフォルトでは、シスコのベスト プラクティスに従って、DCNM は VRF Lite、オプション A ピアリングのサブインターフェイス上で eBGP を使用します。つまり、VRF Lite ファブリック間接続(IFC)ごとに、ボーダー デバイスから edge/WAN ルータまで、IPv4/IPv6 を介してそれぞれ確立された、VRF ごと、ピアごとの eBGP ピアリング セッションがあります。この VRF Lite ピアリングに該当するように、3 つのフィールドがあります。

      • [ホスト ルートのアドバタイズ(Advertise Host Routes)]:デフォルトでは、VRF Lite ピアリング セッションの場合、非ホスト(/32 または /128)プレフィックスのみがアドバタイズされます。ただし、ホスト ルート(/32 または /128)を有効にして、ボーダー デバイスから edge/WAN ルータにアドバタイズする必要がある場合は、[ホスト ルートのアドバタイズ(Advertise Host Routes)] チェック ボックスをオンにできます。ルート マップはアウトバウンド フィルタリングを行います。デフォルトでは、このチェックボックスは無効になっています。

      • [デフォルトルートのアドバタイズ(Advertise Default Route)]:このフィールドは、VRF でネットワーク ステートメント 0/0 を有効にするかどうかを制御します。これにより、BGP で 0/0 ルートがアドバタイズされます。このフィールドは、デフォルトで有効になっています。このチェック ボックスを有効にすると、0/0 ルートがファブリック内で EVPN ルート タイプ 5 を介してリーフにアドバタイズされ、そこでリーフからボーダー デバイスに向かうデフォルトルートが提供されます。

      • [静的 0/0 ルートの構成(Config Static 0/0 Route)]:このフィールドは、edge/WAN ルータへの静的 0/0 ルートをボーダー デバイスの VRF で構成する必要があるかどうかを制御します。このフィールドは、デフォルトで有効になっています。WAN/edge ルータが、VRF Lite ピアリングを介してファブリック内のボーダー デバイスへのデフォルトルートをアドバタイズしている場合、このフィールドを無効にする必要があります。さらに、[デフォルトルートのアドバタイズ(Advertise Default Route)] フィールドも無効にする必要があります。これは、eBGP を介してアドバタイズされた 0/0 ルートが、追加の構成を必要とせずに EVPN を介してリーフに送信されるためです。この動作を行うためには、外部のファブリック外ピアリング提供のための eBGP を使用した、ファブリック内のクリーンな iBGP EVPN 分離が必要です。

      リストされているオプションはすべてファブリック フィールドごとであることに注意してください。したがって、MSD を使用したマルチサイト展開では、これらのフィールドをメンバーごとのファブリック レベルで制御できます。

    5. VRF Lite を介して接続された VXLAN ファブリックのボーダー デバイスに展開されたすべての VRF について、この手順に従います。


      Note

      新しい VRF を作成する場合は、[デフォルトルートのアドバタイズ(Advertise Default Route)] チェックボックスをオフにしてください。


Note

VRF Lite 機能の説明については、『Cisco Programmable Fabric with VXLAN BGP EVPN Configuration Guide』を参照してください。

ガイドライン

VRF-Lite IFC が作成される DCNM リリース 10.4(2) 設定では、必要なデフォルトのプレフィックス リストまたはルート マップ構成がスイッチに追加されます。この DCNM リリース 10.4(2) セットアップがいずれかの DCNM 11.x リリースにアップグレードされると、VRF-Lite 関連の RPM 構成が switch_freeform ポリシーの一部として保存される場合があります。

次のルート マップ構成は、この switch_freeform の一部です。

route-map EXTCON-RMAP-FILTER-V6 deny 20
match ip address prefix-list host-route-v6

このセットアップが DCNM リリース 11.x から 11.3(1) にアップグレードされると、ルート マップ構成は次の構成で修正されます。

route-map EXTCON-RMAP-FILTER-V6 deny 20
match ipv6 address prefix-list host-route-v6

RPM 構成は DCNM 11.x に switch_freeform として保存されるため、switch_freeformpolicy の ip prefix-list match config を手動で削除して、スイッチで ipv6 match config が成功するようにする必要があります。

サンプル シナリオ

このドキュメントで説明されているシナリオ:

  • DCNM GUI を介した VRF Lite – BGW デバイスから Nexus 7000 シリーズ エッジ ルータへ。

  • DCNM GUI を介した VRF Lite – BGW デバイスから非 Nexus デバイスへ。

  • 自動 VRF Lite(IFC)構成


Note

  • サンプル シナリオは、ボーダーゲートウェイ ロールを使用して示されていますが、ボーダーノードにも同様に適用できます。

  • ボーダーまたはボーダーゲートウェイのロールに適用されるものはすべて、ボーダー スパインおよびボーダーゲートウェイ スパインのロールにも適用されます。

DCNM GUI を介した VRF Lite – BGW デバイスから Nexus 7000 シリーズ エッジ ルータへ

  • トポロジには、外部ファブリック External65000(クラウド アイコン)に接続された VXLAN BGP EVPN ファブリック Easy7200 が表示されます。VXLAN ファブリックの BGW は、外部ファブリックのエッジ ルータ n7k1-Edge1(画像には表示されていません)に接続されています。

  • BGW は、ファブリック ドメインから外部レイヤ 3 ドメインへの明確な制御およびデータプレーンの分離を可能にするとともに、ファブリック間トラフィックのポリシー適用ポイントを可能にする特別なデバイスです。VXLAN ファブリックのネットワーク構成は、DCNM を介してプロビジョニングされます。ファブリック内のリーフスイッチに接続されたホストからの外部レイヤ 3 到達可能性については、ボーダー デバイスを適切な VRF 構成でプロビジョニングする必要があります。ファブリック内の複数のボーダー デバイスにより、障害が発生した場合の冗長性と効果的な負荷分散が保証されます。このドキュメントでは、VXLAN ファブリックと外部ファブリックの間でレイヤ 3 North-South トラフィックを有効にする方法を示します。

  • VRF Lite 構成の前に、特定の VRF に関連付けられたエンド ホストは、ファブリック内でのみトラフィックを相互に送信できます。VRF Lite 構成後、エンド ホストは VXLAN ファブリックの外部にトラフィックを送信し、他の(VXLAN またはクラシック LAN)ファブリックに向けて送信できます。

VRF Lite 機能の有効化

この例では、Easy7200 と External65000 間の接続を有効にします。ステップ:

ステップ 1N9K-3-BGW および N9K-4-BGW の物理インターフェイスに IFC プロトタイプを展開します。

ステップ 2:BGW N9K-3-BGW および N9K-4-BGW で個々の VRF 拡張を展開します。

ステップ 3:エッジ ルータ n7k1-Edge1 に VRF 拡張を展開します。

3 番目のステップは、Easy7200External65000 間の構成を完了します。

ステップ 1:N9K-3-BGW および N9K-4-BGW の物理インターフェイスに IFC プロトタイプを展開する

VRF Lite 構成では、ポイントツーポイント接続を介して、ファブリックの BGW インターフェイスとエッジ ルータのインターフェイスの間で eBGP ピアリングを有効にする必要があります。BGW の物理インターフェイスは次のとおりです。

  • N9K-3-BGWeth 1/48n7k1-Edge1eth 7/1/4 に向けられたもの。

  • N9K-4-BGWeth 1/47n7k1-Edge1eth 7/4/1 に向けられたもの。


Note

また、ボーダー/ボーダーゲートウェイが相互に直接接続されているバックツーバック トポロジで VRF Lite を有効にすることもできます。 VRF Lite は、物理イーサネット インターフェイスまたはレイヤ 3 ポートチャネルで有効にできます。物理インターフェイスまたはレイヤ 3 ポートチャネル インターフェイス上のサブインターフェイスは、VRF が拡張される各 VRF Lite リンクの VRF 拡張時に DCNM によって作成されます。

  1. [制御(Control)] > [Fabric Builder]の順にクリックします。[Fabric Builder] 画面が表示されます。

  2. Easy7200 ボックスをクリックします。ファブリック トポロジが起動します。

  3. [表形式ビュー(Tabular view)] をクリックします。スイッチ | リンク 画面が表示されます。

    [リンク(Links)] タブには、ファブリック リンクが一覧表示されます。各行は、Easy7200 内の 2 つのデバイス間のリンク、または Easy7200 内のデバイスから外部ファブリックへのリンクを表します。


    Note

    ファブリック間リンクは、2 つのイーサネット インターフェイス間の物理接続または仮想接続(2 つのループバック インターフェイス間のファブリック オーバーレイなど)です。デバイス間に物理接続を追加すると、デフォルトで新しいリンクが [リンク(Links)] タブに表示されます。

  4. [リンク(link)] チェックボックス(N9K-3-BGWeth 1/48 間の接続、n7k1-Edge1eth 7/1/4 への接続を表します)を選択し、画面の左上部分にある [編集(Edit)] アイコンをクリックします。

    該当するフィールドは次のとおりです。

    [範囲(Scope)]:送信元と接続先のファブリックが表示されます。ファブリック内リンクの場合、送信元インターフェイスと接続先インターフェイスが同じファブリックの一部であるため、1 つのファブリック名 ( Easy7200 ) のみが表示されます。ファブリック間のリンクは、Easy7200 <->External65000 として表示されます。

    [名前(Name)]:名前は次の構文で形成されます。

    [送信元デバイス ~ 送信元インターフェイス --- 接続先デバイス ~ 接続先インターフェイス

    したがって、エントリは N9K-4-BGW ~ Ethernet1/47 --- n7k1-Edge1 ~ Ethernet7/4/1 です。

    [ポリシー(Policy)]:VRF Lite の作成に使用されるポリシー、ext_fabric_setup_11_1 が表示されます。

    [情報(Info)]:リンクのステータスを表示します(リンクあり、ネイバーあり、ネイバーが欠落、など)。

    [管理ステート(Admin State)]:リンクの管理状態を表示します(アップ、ダウン、など)。

    [運用ステート(Oper State)]:リンクの運用状態を表示します(アップ、ダウン、など)。

    [リンク管理:リンクの編集(Link Management – Edit Link)] が表示されます。

    いくつかのフィールドについて説明します。

    [リンク サブタイプ(Link Sub-Type)]:デフォルトでは、VRF_LITE オプションが表示されます。

    [リンク テンプレート(Link Template)]:VRF Lite IFC のデフォルト テンプレートである ext_fabric_setup_11_1 が表示されます。このテンプレートは、送信元インターフェイスと宛先インターフェイスをレイヤ 3 インターフェイスとして有効にし、no shutdown コマンドを設定して、それらの MTU を 9216 に設定します。

    ext_fabric_setup_11_1 テンプレートを編集するか、カスタム構成で新しいテンプレートを作成できます。

    [全般(General)] タブには、Easy7200External65000 の BGP AS 番号が表示されます。説明のように他のフィールドに入力します。

    IP アドレス/マスク:IP アドレスプレフィックスを入力して、IFC の送信元インターフェイスであるイーサネット 1/48 サブ インターフェイスに IP アドレスを割り当てます。この IFC を介して拡張される各 VRF に対してサブインターフェイスが作成され、一意の 802.1Q ID が割り当てられます。ここで入力された IP アドレス/マスクは、BGP ネイバー IP フィールド (以下で説明)とともに、VRF 拡張で作成され、上書きできるサブインターフェイスのデフォルト値として使用されます。

    たとえば、802.1Q ID 2 は VRF 50000 トラフィックのサブインターフェイス Eth 1/48.2 に関連付けられ、802.1Q ID 3 は Eth 1/48.3 および VRF 50001に関連付けられます。以下も同様です。

    (VRF 拡張の展開については、後続のセクションで説明します)。

    IP プレフィックスは、DCNM リソース マネージャで予約されます。トポロジで作成する IFC ごとに一意の IP アドレス プレフィックスを使用するようにしてください。

    BGP ネイバー IPN9K-3_BGW 側で、この IFC に展開された各 VRF 拡張の eBGP ネイバーの IP アドレスを入力します。

    IFC の VRF からのファブリック間トラフィックは、同じ送信元 IP アドレス(2.2.2.2/24)と宛先 IP アドレス(2.2.2.1)を持ちます。

    [詳細(Advanced)] タブが [リンク プロファイル(Link Profile)] セクションに追加されます。

    このタブには、次のフィールドがあります。

    • [送信元インターフェイスの説明(Source Interface Description)]

    • [接続先インターフェイスの説明(Destination Interface Description)]

    • [送信元インターフェイスのフリーフォーム構成(Source Interface Freeform Config)]

    • [宛先インターフェイスのフリーフォーム構成(Destination Interface Freeform Config)]

  5. 画面の下部にある [保存(Save)] をクリックします。

    スイッチ | リンク 画面が再び表示されます。IFC エントリが、IFC の作成に使用された VRF Lite ポリシー テンプレート ext_fabric_setup_11_1 で更新されていることがわかります。トポロジの表現を以下に示します。

  6. 同様に、N9K-4-BGWeth 1/47 から n7k1-Edge1eth 7/4/1 に向かう IFC を作成します。[リンク(Links)] 画面にエントリが表示されます。トポロジの表現を以下に示します。

  7. 画面の右上にある [保存して展開(Save and Deploy)] をクリックします。

    [保存して展開(Save and Deploy)] を実行した後の [リンク(Links)] タブは次のようになります。IFC が展開されるリンクには、[ポリシー(Policy)] 列で構成済みの関連するポリシーがあります。

  8. 画面の右上にある [範囲(Scope)] ドロップダウンリストへ移動し、External65000 を選択します。外部ファブリック [リンク(Links)] 画面が表示されます。ここでは、Easy7200 から External65000 へ作成された 2 つの IFC が表示されていることが確認できます。


    Note

    VXLAN ファブリックで IFC を作成するか、その設定を編集すると、接続された外部ファブリックに対応するエントリが自動的に作成されます。

  9. [保存して展開(Save and Deploy)] をクリックして、IFC の作成を External65000 に保存します。

    基本設定:VRF Lite が機能するには、VRF に適用される適切なルート マップとポリシーをボーダー デバイス N9K-3-BGW および N9K-4-BGW に展開する必要があります。基本構成を手動で有効にする必要はありません。これらは、デフォルトのテンプレート ext_base_border_vrflite_11_1 を介して自動的に展開されます。

    ボーダー リーフまたはボーダー スパイン ロールを持つデバイスの場合、基本構成は、[保存および展開(Save and Deploy)]操作](ファブリック トポロジ画面で [ファブリック ビルダ(Fabric Builder)] 画面 > [ファブリック ボックス(Fabric Box)] で利用可能)をファブリックで初めて実行したときに展開されます。

    ボーダー ゲートウェイまたはボーダーゲートウェイ スパイン ロールの場合、基本構成は、デバイスに最初の VRF Lite IFC を展開するときに展開されます。

    展開する前に、特定のニーズに合わせて ext_base_border_vrflite_11_1 テンプレートを変更する必要があります。または、そのポリシーを削除し、テンプレートを変更してから、テンプレートを再度展開する必要があります。構成は、[付録(Appendix)] セクションに記載されています。

VRF Lite 構成シナリオの最初の手順である、ボーダー デバイスとエッジ ルータでの IFC の作成は完了です。次に、VRF 拡張がスイッチに展開されます。

ステップ 1N9K-3-BGW および N9K-4-BGW の物理インターフェイスに IFC プロトタイプを展開します。

ステップ 2:BGW N9K-3-BGW および N9K-4-BGW で個々の VRF 拡張を展開します。

ステップ 3:エッジ ルータ n7k1-Edge1 に VRF 拡張を展開します。

3 番目のステップは、Easy7200External65000 間の構成を完了します。

ステップ 2:BGW N9K-3-BGW および N9K-4-BGW で個々の VRF 拡張を展開します。

IFC 作成プロセス中に、基本構成が作成され、N9K-3-BGW および N9K-4-BGW でファブリック間トラフィックを転送するインターフェイス用に IP アドレスが予約されます。この手順では、VRF および VRF 拡張構成がインターフェイスに展開されます。

ファブリックを超えて VRF を拡張するには、VRF が作成され、ボーダー デバイスを除く関連するファブリック デバイスに展開されている必要があります。

この手順は次のとおりです。

  1. [制御(Control)] > [ネットワークと VRF(Networks and VRFs)] をクリックします。[ネットワークと VRF(Networks & VRFs)] 画面が表示されます。

  2. [続行(Continue)]をクリックします。[ファブリックの選択(Select a Fabric)] 画面が表示されます。

  3. Easy7200 を選択し、画面右上の [続行(Continue)] をクリックします。

    [ネットワーク(Networks)] 画面が表示されます。

  4. 画面右上の [VRF] をクリックします。[VRF] 画面が表示されます。

  5. 展開する VRF(この場合は MyVRF_5000)を選択し、画面の右上にある [続行(Continue)] をクリックします。

    Easy7200 ファブリック トポロジが起動します。

  6. 画面の右上にある [複数選択(Multi-Select)] チェックボックスを選択し、VRF および VRF 拡張構成を展開する BGW 全体にカーソルをドラッグします。

    [VRF 拡張アタッチメント(VRF Extension Attachment)] 画面が表示されます。各行はスイッチを表し、各タブは VRF を表します。説明に従って各タブの設定を更新します。

    [拡張(Extend)] 列で、[なし(NONE)] をクリックし、ドロップダウンボックスから [VRF_LITE] オプションを選択します。これを 2 列目も行います。

    両方の行のチェックボックスをオンにします。

    画面の下部に [拡張機能の詳細(Extension Details)] セクションが表示されます。選択したスイッチで作成された IFC が表示されます。各行は IFC を表します。

    両方の行の IFC チェックボックスをオンにします。

    IFC を選択すると、画面は次のようになります。

    DCNM は、DOT1Q_IP、IP_MASK、および NEIGHBOR_IP フィールドの値を使用して、上記の VRF-LITE リンクごとに 1 つのサブインターフェイスを作成します。各 VRF LITE 拡張の IP_MASK および NEIGHBOR_IP フィールドには、VRF LITE リンク作成で入力された IP アドレス/マスク および BGP ネイバー IP 値が入力されます。IP_MASK および NEIGHBOR_IP フィールドは、DOT1Q_ID フィールドとともに上書きできます。サブインターフェイスを介した IPv6 eBGP セッションが必要な場合は、オプションで IPV6_MASK および NEIGHBOR_IPV6 フィールドを入力できます。

    画面の下部にある [保存(Save)] をクリックします。

    [ファブリック トポロジ (fabric topology)] 画面が表示されます。

  7. 画面の右上にある [プレビュー(Preview)] オプションをクリックして、VRF および VRF 拡張構成をプレビューします。

  8. 画面の右上にある [展開(Deploy)] をクリックします。

    画面の右下に、展開のさまざまな段階を表すカラー コードが表示されます。それに応じて、スイッチ アイコンの色が変わります(保留中の状態は青色、プロビジョニングが進行中の場合は黄色、失敗状態の場合は赤色、正常に展開された場合は緑色です)。

    スイッチ アイコンが緑色に変わったら、VRF が正常に展開されたことを意味します。

VRF Lite 構成シナリオの 2 番目のステップである、ボーダー デバイスへの VRF 拡張の展開は完了です。次に、VRF 拡張がエッジ ルータ n7k1-Edge1 に展開されます。

ステップ 1N9K-3-BGW および N9K-4-BGW の物理インターフェイスに IFC プロトタイプを展開します。

ステップ 2:BGW N9K-3-BGW および N9K-4-BGW で個々の VRF 拡張を展開します。

ステップ 3:エッジ ルータ n7k1-Edge1 に VRF 拡張を展開します。

3 番目のステップは、Easy7200External65000 間の構成を完了します。

ステップ 3:エッジ ルータ n7k1-Edge1 に VRF 拡張を展開します。

エッジ ルータで VRF を拡張するには、次のフィールドに注意してください。ボーダー デバイスの VRF 拡張は、インターフェイスごとに行われます。

  • [IP_MASK]:これはエッジ ルータ エンドのネイバー アドレスになり、マスクはエッジ ルータのローカル マスクになります。これは、前の手順で作成した IFC プロトタイプから派生したものです。

  • [Easy Fabric ASN]:これは、エッジ ルータ側からのネイバー ASN になります。これは、前の手順で作成した IFC プロトタイプから派生したものです。

  • [Dot1Q タグ(Dot1Q tag)]:これはエッジ ルータでも同じです。これは、VRF 拡張テーブルから取得されます。

  • [ネイバー ASN(Neighbor ASN)]:これはエッジ ルータのローカル ASN になります。IFC プロトタイプ

  • [ネイバー IP(Neighbor IP)]:これはエッジ ルータのサブインターフェイスのローカル IP になります。IFC プロトタイプ

  • [宛て先ポート(Destination port)]:拡張機能が展開されるエッジ ルーターのローカル ポートになります。

BGW N9K-3-BGW および N9K-4-BGW から MyVRF_50000 の VRF 拡張を展開しました。ここで、n7k1-Edge1 のリンクのもう一方の端に VRF 拡張を展開する必要があります。DCNM では、これに使用される CLI テンプレートは External_VRF_Lite_eBGP です。

エッジ ルータでの eBGP 構成

  1. [External65000] ファブリック トポロジ画面で、[表形式ビュー(Tabular view)] をクリックします。

    Switches | Links 画面が表示されます。

  2. スイッチのチェックボックスを選択し、[ポリシーの表示/編集(View/Edit Policies)] ボタンをクリックします。

    [ポリシーの表示/編集(View/edit policies)] 画面が表示されます。

  3. 画面の左上部分にある [+] をクリックしてポリシーを追加し、イメージに示すように [ポリシーの追加(Add Policy)] 画面に入力します。

    [ポリシー(Policy)] フィールドでは、ユーザー定義のテンプレートも使用できます。


    Note

    この VRF 拡張のポリシー ID に注意してください。ポリシーを削除して拡張機能を削除する場合に便利です(該当する場合)。

    これにより、エッジ ルータから N9K-3-BGW へのポリシーが定義されます。

  4. 前の手順に従って、N9K-4-BGW に対する VRF 拡張のポリシーを作成します。2 番目の拡張機能の ネイバー IPv4 アドレス フィールドは、3.3.3.3 で更新されます。

エッジ ルータのサブ インターフェイス ポリシー

  1. [External65000] ファブリック トポロジ画面で、[表形式ビュー(Tabular view)] をクリックします。

    スイッチ | リンク 画面が表示されます。

  2. スイッチのチェックボックスを選択し、[インターフェイスの管理(Manage Interfaces)] ボタンをクリックします。

    [インターフェイスの管理(Manage Interfaces)] 画面が表示されます。

  3. 画像に示すように、ボーダー デバイス(この場合は Eth7/1/4)に接続されているインターフェイスを選択し、画面の左上部分にある [+] をクリックします。次に、ボーダー デバイスの対応する IFC および VRF 拡張機能から [インターフェイスの追加(Add Interface)] 画面に入力します。

    この例は、Cisco Nexus 7000 シリーズ スイッチのブレークアウト ポートを示しています。このブレークアウトは、DCNM ブレークアウト ポリシーを使用して実行する必要があります(テンプレート名は breakout_interface です)。これを行わないと、サブインターフェイスの削除は DCNM によってブロックされます。

  4. [保存(Save)] をクリックして設定を保存し、[展開(Deploy)] をクリックして設定をスイッチに展開します。

  5. 前の手順の説明に従って、N9K-4-BGW への VRF 拡張用に別のサブインターフェイス ポリシーを作成します。2 番目の拡張の [サブインターフェイス IP(Subinterface IP)] フィールドは、3.3.3.1 で更新されます。

VRF Lite 構成シナリオの 3 番目のステップである、エッジ ルータ N7k1-Edge1 での VRF 拡張の展開は完了です。このステップで、Easy7200External65000 間の構成が完了します。

DCNM GUI を介した VRF Lite:BGW デバイスから非 Nexus デバイス

この場合、非 Nexus デバイスは、Easy7200 ファブリックの BGW N9K-3-BGW に接続された ASR 9000 シリーズ ルータ、ASR9K-1-Edge です。ルータは DCNM 経由でインポートされず、CDP または LLDP 経由で検出されません。非 Nexus デバイスを表すには、外部ファブリックを作成する必要があります。外部ファブリックの作成方法については、外部ファブリックの作成のトピックを参照してください。この例では、外部ファブリック External65000 が作成されます。

デバイスと接続は、ASR9K-1-EdgeN9K-3-BGW 間の IFC 作成後に DCNM トポロジに表示されます。


Note

接続されたシスコ以外のデバイスもトポロジで表すことができます。

トポロジ:

この手順は次のとおりです。

手順 1ASR9K-1-Edge に接続する N9K-3-BGW 物理インターフェイスに IFC プロトタイプを展開します。

手順 2N9K-3-BGW で個々の VRF 拡張を展開します。

この手順で、Easy7200 と非 Nexus デバイス間の構成が完了します。

手順 1ASR9K-1-Edge に接続する N9K-3-BGW 物理インターフェイスに IFC プロトタイプを展開します。

VRF Lite 構成では、ポイントツーポイント リンクを介して、ファブリックの BGW インターフェイスと ASR9K-1-Edge インターフェイス間の eBGP ピアリングを有効にする必要があります。

  1. [制御(Control)] > [Fabric Builder]の順にクリックします。ファブリック ビルダ 画面が表示されます。

  2. Easy7200 ファブリックを表す長方形のボックスをクリックします。[ファブリック トポロジ (fabric topology)] 画面が表示されます。

  3. [表形式ビュー(Tabular view)] をクリックします。スイッチ | リンク 画面が表示されます。

    [リンク(Links)] タブには、ファブリック リンクが一覧表示されます。各行は、Easy7200 内の 2 つのデバイス間のリンク、または Easy7200 内のデバイスから外部ファブリックへのリンクを表します。

  4. [+] をクリックして新しいリンクを追加します。リンク管理:リンクを追加 画面が表示されます。

    記載されているようにフィールドを入力または選択します。

    リンク タイプ[ファブリック間(Inter-Fabric)] を選択します。

    リンク サブタイプ:デフォルトでは、VRF_Lite オプションが表示されます。

    リンク テンプレート:デフォルトでは、ext_fabric_setup_11_1 テンプレートが設定されています。


    Note

    ユーザ定義テンプレートを追加、編集、削除できます。詳細については、「制御」の章の「テンプレート ライブラリ」のセクションを参照してください。

    送信元ファブリックEasy7200 がデフォルトで選択されています。

    接続先ファブリック[External65000] を選択します。

    送信元デバイス送信元インターフェイス:ASR デバイスに接続する BGW とインターフェイスを選択します。

    接続先デバイス接続先インターフェイス:接続先デバイスと接続先インターフェイスはドロップダウンボックスに表示されません。デバイスの識別に役立つ文字列をここに入力します。この名前は、ファブリック ビルダ画面の外部ファブリック トポロジ画面に表示されます。

    [リンク プロファイル] セクションの [全般] タブ。

    BGP ローカル ASN:このフィールドには、送信元ファブリック Easy7200 の AS 番号が自動入力されます。

    IP アドレス/マスク:VRF 拡張サブインターフェイスで使用される IP アドレスとマスクを入力します。

    BGP ネイバー IP:VRF 拡張のローカル インターフェイス アドレスとして [外部(External)] ボックスで使用される IP アドレスを入力します。

    BGP ネイバー ASN:このフィールドでは、外部ファブリックとして選択したため、外部ファブリック External65000 の AS 番号が自動入力されます。

    [リンクの追加(Add Link)] 画面に入力すると、次のようになります。

  5. 画面の下部にある [保存(Save)] をクリックします。

    スイッチ | リンク 画面が再び表示されます。IFC エントリがアップデートされることを確認できます。

  6. 画面の右上にある [保存して展開(Save and Deploy)] をクリックします。

    IFC が展開されるリンクには、ポリシー 列で構成済みの関連するポリシー(ext_fabric_setup_11_1)があります。

  7. 画面の右上にある [範囲(Scope)] ドロップダウンリストへ移動し、External65000 を選択します。外部ファブリック [リンク(Links)] 画面が表示されます。ここでは、IFC が Easy7200 から ASR デバイスへ作成されたことを確認できます。

  8. [保存して展開(Save and Deploy)] をクリックします。

BGW から非 Nexus デバイスへの VRF Lite 構成シナリオの最初の手順は完了です。次に、VRF 拡張が ASR デバイスに向けて BGW に展開されます。

手順 2N9K-3-BGW で個々の VRF 拡張を展開します。

ファブリックを超えて VRF を拡張するには、VRF が作成され、ボーダー デバイスを除く関連するファブリック デバイスに展開されている必要があります。

  1. [制御(Control)] > [ネットワークと VRF(Networks and VRFs)] をクリックします。[ネットワークと VRF(Networks & VRFs)] 画面が表示されます。

  2. [続行(Continue)]をクリックします。[ファブリックの選択(Select a Fabric)] 画面が表示されます。

  3. Easy7200 を選択し、画面右上の [続行(Continue)] をクリックします。

    [ネットワーク(Networks)] 画面が表示されます。

  4. 画面右上の [VRFs] をクリックします。[VRF] 画面が表示されます。

  5. 展開する VRF(この場合は MyVRF_5000)を選択し、画面の右上にある [続行(Continue)] をクリックします。

    Easy7200 ファブリック トポロジが起動します。

  6. VRF および VRF 拡張構成を展開する N9K-3-BGW アイコンをダブルクリックします。

    [VRF 拡張アタッチメント(VRF Extension Attachment)] 画面が表示されます。各行はスイッチを表し、各タブは VRF を表します。この例では、1 つの VRF だけが拡張されています。

    [拡張(Extend)] 列で、[NONE] をクリックします。ドロップダウンボックスが表示されます。VRF_LITE オプションを選択し、行の外側をクリックします。

    スイッチの横にあるチェックボックスを選択します。

    画面の下部に [拡張機能の詳細(Extension Details)] セクションが表示されます。選択したスイッチで作成された IFC が表示されます。各行は IFC を表します。

    [IFC] チェックボックスをオンにします。IFC を選択すると、画面は次のようになります。

    画面の下部にある [保存(Save)] をクリックします。

    [ファブリック トポロジ (fabric topology)] 画面が表示されます。

  7. 画面の右上にある [プレビュー(Preview)] オプションをクリックして、VRF および VRF 拡張構成をプレビューします。

  8. 画面の右上にある [展開(Deploy)] をクリックします。

    画面の右下に、展開のさまざまな段階を表すカラー コードが表示されます。それに応じて、スイッチ アイコンの色が変わります(保留中の状態は青色、プロビジョニングが進行中の場合は黄色、失敗状態の場合は赤色、正常に展開された場合は緑色、など)。

    スイッチ アイコンが緑色に変わったら、VRF が正常に展開されたことを意味します。

VRF Lite 構成シナリオの 2 番目のステップである、非 Nexus ASR デバイスに向けたボーダー デバイスでの VRF 拡張の展開は完了です。

デバイスと接続は、Easy7200 および External65000 ファブリックに表示されます。

自動 VRF Lite(IFC)設定

[リソース(Resources)] タブの [VRF Lite 展開(VRF Lite Deployment)] フィールドのファブリック設定を [手動(Manual)] から任意の自動構成の設定に変更することにより、VRF Lite 自動構成を有効にすることができます。


Note

[ファブリック ビルダ(Fabric Builder)] 内のファブリック トポロジ画面では、個々のファブリックと接続されている外部ファブリックのみを表示できます。

  • トポロジには、VXLAN BGP EVPN ファブリック Easy60000(左側)と Easy7200(右側)、および外部ファブリック External65000(上部)が表示されます。1 つの VXLAN ファブリックのボーダー リーフは、外部ファブリックのエッジ ルータ n7k1-Edge1 を介して他のボーダー リーフに接続されます。

  • ボーダー リーフは、ファブリックから外部レイヤ 3 ドメインへの明確な制御およびデータプレーンの分離を可能にするとともに、ファブリック間トラフィックのポリシー適用ポイントを可能にする特別なデバイスです。ファブリック内の複数のボーダー デバイスにより、障害が発生した場合の冗長性と効果的な負荷分散が保証されます。このドキュメントでは、VXLAN ファブリックと外部ファブリックの間でレイヤ 3 North-South トラフィックを有効にする方法を示します。

  • VRF Lite 構成の前に、特定の VRF に関連付けられたエンド ホストは、ファブリック内でのみトラフィックを相互に送信できます。VRF Lite 構成後、エンド ホストはファブリック間でトラフィックを送信できます。

  • VXLAN ファブリックのネットワーク構成は、DCNM を介してプロビジョニングされます。

    VRF Lite IFC 自動設定に使用されるテンプレートは ext_fabric_setup_11_1 です。ext_fabric_setup_11_1 テンプレートを編集するか、カスタム構成で新しいテンプレートを作成できます。

自動 VRF Lite 作成ルール

  • 自動 IFC は、Cisco Nexus デバイス向けにのみサポートされています。

  • Cisco DCNM リリース 11.4(1) 以降、Cisco ASR 1000 シリーズ ルータおよび Cisco Catalyst 9000 シリーズ スイッチをエッジ ルータとして構成し、VRF-lite IFC を設定し、簡単なファブリックを使用してボーダー デバイスとして接続できます。

  • 外部ファブリックのデバイスが Nexus 以外の場合は、IFC は手動で作成される必要があります。

  • エッジ ルータに接続するインターフェイスでユーザー ポリシーが有効になっていないことを確認します。ポリシーが存在する場合、インターフェイスは構成されません。

  • 自動設定は、次の場合に提供されます。

    • VXLAN ファブリックのボーダー ロールと、接続された外部ファブリック デバイスのエッジ ルータ ロール

    • VXLAN ファブリックのボーダー ゲートウェイ ロールと、接続された外部ファブリック デバイスのエッジ ルータ ロール

    • ボーダー ロールから直接別のボーダー ロールへ

    自動設定は 2 つの BGW 間では提供されないことに注意してください。

    他のロール間で VRF Lite が必要な場合は、DCNM GUI を使用して手動で導入する必要があります。

  • 外部ファブリックに構成を展開するには、External65000 ファブリックの外部ファブリック設定にある [ファブリック モニタ モード(Fabric Monitor Mode)] チェックボックスがオフになっていることを確認してください。外部ファブリックが [ファブリック モニタ モードのみ(Fabric Monitor Mode Only)] に設定されている場合は、そのスイッチに設定を展開できません。

VRF Lite IFC の作成には 4 つのモードがあります。

  1. [手動(Manual)]: 前のセクションで示したように、GUI を使用して VRF Lite IFC を展開します。

  2. [外部のみ(To External Only)]:外部ファブリックの エッジ ルータ ロールを持つデバイスに接続されている VXLAN ファブリックのボーダー リーフ(スパイン)デバイスの各物理インターフェイスで、VRF Lite IFC を構成します。

  3. [バック間のみ(Back to Back Only)]:異なる VXLAN ファブリックの直接接続されたボーダー リーフ(スパイン)デバイス インターフェイス間に、VRF Lite IFC を構成します。

  4. [Back2Back&ToExternal]:このオプションを使用して、[外部のみ(To External Only)] および [バック間のみ(Back to Back Only)] モードの IFC を構成します。


Note

VRF Lite モードが [手動(Manual)] の場合でも、DCI サブネットが必要です。これは、DCNM リソースの処理に役立ちます。

ファブリック設定のデフォルト モードは、[手動(Manual)] モードです。モードを他のモードに変更するには、ファブリック設定を編集します。[リソース(Resource)] タブで、VRF Lite 展開フィールドを上記の自動設定のいずれかのモードに変更します。この例では、ToExternalOnly オプションが選択されています。

[両方を自動展開(Auto Deploy Both)]:このチェックボックスは、対称 VRF Lite 展開に適用されます。このチェックボックスをオンにすると、自動作成された IFC の [自動展開フラグ(Auto Deploy Flag)] が true に設定され、対称 VRF Lite 構成がオンになります。このチェックボックスは、[VRF Lite 展開(VRF Lite Deployment)] フィールドが [手動(Manual)] に設定されていない場合に選択または選択解除できます。選択した値が優先されます。このフラグは、新しい自動作成 IFC にのみ影響し、既存の IFC には影響しません。

[VRF Lite サブネット IP 範囲(VRF Lite Subnet IP Range)]: VRF Lite IFC 展開の IP アドレスは、この範囲から選択されます。デフォルト値は 10.33.0.0/16 です。ベストプラクティスは、重複の可能性を避けるために、各ファブリックに独自の一意の範囲があり、アンダーレイ範囲とは区別されていることを確認することです。これらのアドレスは、リソース マネージャで予約されています。

[VRF Lite サブネット マスク(VRF Lite Subnet Mask)] : デフォルトでは、/30 に設定されています。これは、P2P リンクの場合のベスト プラクティスです。

同様に、Easy60000 ファブリックの設定も更新します。

  • [リンク管理(Link Management)] ダイアログボックスの [自動展開フラグ(Auto Deploy Flag)] チェックボックスをオンにします。このチェックボックスをオンにすると、管理対象デバイスのリンクの両端で、VRF Lite サブインターフェイスおよび BGP ピアリング構成を含む VRF lite 展開が有効になります。

  • 連続シナリオで VRF Lite を拡張する場合、VRF はピア ファブリック内にあり、VRF 名は同じである必要があります。VRF がピア ファブリック内にない場合に、VRF Lite を拡張しようとすると、エラー メッセージが表示されます。

  • Easy ファブリックと外部ファブリックの間で VRF Lite を拡張する場合、VRF 名は、送信元ファブリック、デフォルト、または別の VRF 名と同じにすることができます。PEER_VRF_NAME フィールドに、外部ファブリックで使用される VRF 名を入力します。サブインターフェイスの子 PTI、外部ファブリックの VRF 作成、および BGP ピアリングには、空でない送信元があります。したがって、[ポリシーの表示/編集(View/Edit policies)]ウィンドウからポリシーを編集または削除することはできません。

  • 両方のファブリックに構成を展開します。外部ファブリックで [保存と展開(Save & Deploy)] を実行して、構成を展開します。簡単なファブリック構成は、トップダウン VRF ページまたは ファブリック ビルダ(Fabric Builder)] ウィンドウから展開できます。

VRF Lite IFC の削除

IFC を削除する前に、IFC で有効になっているすべての VRF 拡張を削除します。それ以外の場合は、エラー メッセージが報告されます。

  1. ファブリックの [リンク(Links)] タブに移動します。

  2. VRF Lite ポリシーが構成されているリンクを選択し、削除ボタンをクリックします。

  3. [OK] をクリックして、削除を確認します。

  4. ファブリックで [保存して展開(Save and Deploy)] オプションを実行して、VRF Lite ポリシーをリセットします。

外部ファブリックに展開された VRF 拡張の削除

これは 2 つの部分からなるプロセスです。

  1. インターフェース TAB を使用して作成されたサブインターフェースを削除します。


    Note

    VRF 拡張が Nexus 以外のデバイスに対するものである場合は、この手順をスキップしてください。

  2. eBGP 外部接続用に作成されたポリシーを削除します。

サブインターフェイスを削除しています

以下に示すように、[制御(Control)] > [インターフェース(Interfaces)] ページに移動し、削除するサブインターフェースを選択して、[削除(Delete)] ボタンをクリックします。

eBGP ポリシーの削除

ファブリック ビルダ ページに移動し、関連する外部ファブリック(この例では External65000)を選択します。デバイスを選択し、2 番目のマウス ボタンを使用して [ポリシーの表示/編集(view edit policy)] を選択します。

eBGP ポリシー作成で使用されるポリシー ID の行を選択します。以下に示すように [X] をクリックしてポリシーを削除します。

保存して外部ファブリックに展開して、ポリシーの変更を展開します。

自動 VRF Lite 作成によって作成された IFC の削除

IFC の編集と削除は、VXLAN ファブリックの [リンク(Link)] タブから行います。自動構成 IFC に関する追加の考慮事項は、次回の保存および展開時に IFC が再生成されないようにするために、モードを手動モードに戻すか、関連するデバイスでのみ構成を保存することです。

  • 連続したシナリオでは、ファブリックの 1 つで VRF lite IFC を削除すると、VRF lite はピア ファブリックからも削除されます。

  • Easy ファブリックと外部ファブリックの間の VRF ライトを削除する場合は、トップダウン方式を使用して Easy ファブリック内の拡張を削除します。拡張は外部ファブリックから自動的に削除されます。

  • 両方のファブリックに構成を展開します。

付録

N9K-3-BGW の構成

テンプレート ext_base_border_vrflite_11_1 によって生成された N9K-3-BGW(ベース ボーダー構成)


Note
switch(config)# は、グローバル構成モードを示します。このモードにアクセスするには、スイッチで次のように入力します。switch# configure terminal 

(config) # 
ip prefix-list default-route seq 5 permit 0.0.0.0/0 le 1
ip prefix-list host-route seq 5 permit 0.0.0.0/0 eq 32
route-map extcon-rmap-filter deny 10
    match ip address prefix-list default-route
route-map extcon-rmap-filter deny 20
    match ip address prefix-list host-route
route-map extcon-rmap-filter permit 1000
route-map extcon-rmap-filter-allow-host deny 10
    match ip address prefix-list default-route
route-map extcon-rmap-filter-allow-host permit 1000
ipv6 prefix-list default-route-v6 seq 5 permit 0::/0
ipv6 prefix-list host-route-v6 seq 5 permit 0::/0 eq 128
route-map extcon-rmap-filter-v6 deny 10
    match ipv6 address prefix-list default-route-v6
route-map extcon-rmap-filter-v6 deny 20
    match ip address prefix-list host-route-v6
route-map extcon-rmap-filter-v6 permit 1000
route-map extcon-rmap-filter-v6-allow-host deny 10
    match ipv6 address prefix-list default-route-v6
route-map extcon-rmap-filter-v6-allow-host permit 1000

N9K-3-BGW VRF 拡張構成 


(config) # 
configure profile MyVRF_50000
    vlan 2000
        vn-segment 50000
    interface vlan2000
        vrf member myvrf_50000
           ip forward
           ipv6 forward
           no ip redirects
           no ipv6 redirects
           mtu 9216
           no shutdown

(config) # 

vrf context myvrf_50000
    vni 50000
    rd auto
    address-family ipv4 unicast
        route-target both auto
        route-target both auto evpn

   ip route 0.0.0.0/0 2.2.2.1
   address-family ipv6 unicast
         route-target both auto
         route-target both auto evpn

router bgp 7200
    vrf myvrf_50000
        address-family ipv4 unicast
            advertise l2vpn evpn
            redistribute direct route-map fabric-rmap-redist-subnet
            maximum-paths ibgp 2
            network 0.0.0.0/0
        address-family ipv6 unicast
            advertise l2vpn evpn
            redistribute direct route-map fabric-rmap-redist-subnet
            maximum-paths ibgp 2
        neighbor 2.2.2.1 remote-as 65000
            address-family ipv4 unicast
                send-community both
                route-map extcon-rmap-filter out

(config) # 

interface ethernet1/48.2
    encapsulation dot1q 2
    vrf member myvrf_50000
    ip address 2.2.2.2/24
    no shutdown
interface nve1
    member vni 50000 associate-vrf
configure terminal
    apply profile MyVRF_50000