サイト間 L3Out

サイト間 L3Out の概要

リリース 2.2(1) 以前、Nexus Dashboard Orchestrator により管理される各サイトでは、トラフィックをファブリックの外にルートするために設定された固有のローカル L3Out が必要で、それによりしばしば 1 つのサイトのエンドポイントと別のサイトの L3Out に接続されたサービス (ファイアウォール、サーバ ロード バランサー、またはメインフレーム) の間のコミュニケーションの欠如を導くことがありました。

リリース 2.2(1) は、1 つのサイトにあるエンドポイントが、外部ネットワーク、メインフレーム、またはサービス ノードなどのリモート L3Out を通じて到達可能なエンティティとの接続を確立する多くのシナリオを有効にする機能を追加します。

このような要素として、次のものが挙げられます。

  • サイト間の L3Out:別のサイトの L3Out を使用した 1 つのサイトのアプリケーション EPG のエンドポイント。

  • サイト間中継ルーティング:異なるサイトに展開された L3Out(同じ VRF の両方の L3Out)の背後に接続されたエンティティ(エンドポイント、ネットワークデバイス、サービスノードなど)間の通信を確立します。

  • サイト間 L3Out の共有サービス:リモート E3Out へのアプリケーション EPG またはサイト間中継ルーティング。

次のセクションは、サイト間 L3Out の使用例の実装に必要なオブジェクトを作成するために実行できる一般的な GUI 手順に分かれています。その後、サポートされる各使用例のシナリオに固有の概要とワークフローを示します。


(注)  

「サイト間 L3Out」という用語は、リモート サイトの L3Out 接続を介して到達可能な外部リソースへの通信を可能にする機能を指します。ただし、このドキュメントでは、この用語は特定のリモート L3Out オブジェクトを示すためにも使用されることがあります。

サイト内 L3Out のガイドラインと制約事項

サイト間 L3Out を構成するときは、次のことを考慮する必要があります。

  • サイト間 L3Out は IPv4 と IPv6 に対してサポートされています。

  • サイト間 L3Out では、Multi-Site トポロジ内のサイト間で常に確立される BGP eVPN セッションに加えて、サイト間 L3Out 機能をサポートするために MP BGP VPNv4(または VPNv6)セッションが作成されます。

  • リリース 2.2(1) 以前のリリースからアップグレードしている場合、サイト ローカル レベルの既存の外部 EPG から L3Out への関連付けは保持されます。さらに、Nexus Dashboard Orchestrator は L3Out の作成とテンプレート レベルでの外部 EPG との関連付けをサポートするようになりました。

    スキーマ テンプレートで新しい L3Out を作成し、既存の外部 EPG に関連付ける場合:

    • L3Out が APIC ですでに定義されている L3Out と同じ名前の場合、Orchestrator その L3Out の所有権を取得しますが、L3Out ノード プロファイル、インターフェース プロファイル、プロトコル設定、またはルート制御設定の構成を管理しません。


      (注)  

      L3Out が APIC にすでに存在する場合は、NDO から同じ名前の新しい L3Out を作成するのではなく、関連付けられた外部 EPG とともに Nexus Dashboard Orchestrator にインポートすることをお勧めします。

      次に、Orchestrator からこの L3Out を削除することにすると、それは Orchestrator により管理されなくなりますが、以前から存在する L3Out の構成は APIC に保存されます。

    • L3Out が L3Out で定義された APIC とは 異なる名前 がある場合、外部 EPG は、APIC で定義された L3Out から削除され、Orchestrator で定義された L3Out に追加されます。これが APIC で定義された L3Out での唯一の外部 EPG である場合、これにより設定が境界リーフから削除され、トラフィックに影響を与える可能性があります。

  • リリース 2.2(1) より前のリリースにダウングレードすることを選択した場合、Orchestrator NDO で作成された L3Out はテンプレートに存在しなくなるため、外部 EPG と L3Out 間のテンプレート レベルの関連付けは削除されます。この場合、サイト ローカル レベルで、外部 EPG と L3Out の関連付けを手動で再構成する必要があります。ダウングレード中、サイトローカルの関連付けは保持されます。

  • これで、1 つのサイトのブリッジ ドメインを別のサイトの L3Out に関連付けることができますが、両方が同じ VRF にある必要があります。

    この関連付けはサイトローカル レベルで実行され、リモート L3Out から BD サブネットをアドバタイズし、ローカル L3Out に障害が発生した場合でも BD へのインバウンド トラフィックを維持できるようにするために必要です。

  • サイト間 L3Out に関連付けられた VRF のポリシー制御施行方向は、デフォルトの入力モードで構成されたままにする必要があります。

  • 次のシナリオは、サイト間 L3Out およびリモートリーフ (RL) ではサポートされていません。

    • 別々のサイトに関連付けられた RL ペアにデプロイされた L3Out 間のトランジット ルーティング

    • リモート サイトに関連付けられた RL ペアに展開された L3Out と通信するサイトに関連付けられた RL ペアに接続されたエンドポイント

    • リモート サイトに関連付けられた RL ペアに展開された L3Out と通信するローカル サイトに接続されたエンドポイント

    • リモート サイトに展開された L3Out と通信するサイトに関連付けられた RL ペアに接続されたエンドポイント

  • 次の他の機能は、ACI Multi-Site のサイト間 L3Out ではサポートされていません。

    • 別のサイト L3Out を介して外部ソースからマルチキャストを受信するサイト内のマルチキャスト レシーバー。サイトで外部ソースから受信したマルチキャストが他のサイトに送信されることはありません。サイトのレシーバーが外部ソースからマルチキャストを受信する場合、ローカルの L3Out で受信する必要があります。

    • PIM-SM Any Source Multicast (ASM) を使用して外部レシーバーにマルチキャストを送信する内部マルチキャスト ソース。内部マルチキャスト ソースは、ローカル L3Out から外部ランデブー ポイント (RP) に到達できる必要があります

    • GOLF

    • 外部 EPG の優先グループ

外部 TEP プールの設定

サイト間 L3Out には、各ポッドの境界リーフ スイッチに外部 TEP アドレスが必要です。外部 TEP プールがすでに設定されている場合 (たとえば、リモート リーフなどの別の機能のために) は、同じプールを使用できます。既存の TEP プールは Nexus Dashboard Orchestrator に継承され、インフラストラクチャ設定の一部として GUI に表示されます。それ以外の場合は、この項で説明されているように、GUI で TEP プールを追加できます。


(注)  

すべてのポッドに一意の TEP プールを割り当てる必要があり、ファブリック内の他の TEP プールと重複しないようにする必要があります。

手順

ステップ 1

Cisco Nexus Dashboard Orchestrator の GUI にログインします。

ステップ 2

左のナビゲーションメニューから 、[インフラストラクチャ(Infrastructure)] > [サイト接続(Site Connectivity)]を選択します。

ステップ 3

メイン ペインの右上にある [構成(Configure)] をクリックします。

ステップ 4

左側のサイドバーで、設定するサイトを選択します。

ステップ 5

メイン ウィンドウで、サイト内のポッドをクリックします。

ステップ 6

右側のサイドバーで、[+ TEP プールを追加 (+Add TEP Pool)] をクリックします。

ステップ 7

[TEP プールの追加 (Add TEP pool)] ウィンドウで、そのサイトに対して設定する外部 TEP プールを指定します。

(注)  

 

追加しようとしている TEP プールが他の TEP プールまたはファブリックアドレスと重複していないことを確認する必要があります。

ステップ 8

このプロセスを、サイト間の L3Outs を使用する予定のサイトおよびポッドごとに繰り返します。

サイト間 L3Out および VRF の作成またはインポート

ここでは、L3Out を作成し、それを Orchestrator GUI で VRF に関連付ける方法について説明します。これは APIC サイトにプッシュされるか、または APIC サイトの 1 つから既存の L3Out をインポートします。次に、この L3Out を外部 EPG に関連付け、その外部 EPG を使用して特定のサイト間 L3Out の使用例を設定します。


(注)  

L3Out に割り当てる VRF は、任意のテンプレートまたはスキーマにすることができますが、L3Out と同じテナントに存在する必要があります。

手順

ステップ 1

Cisco Nexus Dashboard Orchestrator の GUI にログインします。

ステップ 2

左型のナビゲーション メニューで、[アプリケーション管理 (Application Management) ] > [スキーマ (Schemas)] を選択します。

ステップ 3

[スキーマ (schema)] を選択し、VRF と L3Out を作成またはインポートするテンプレートを選択します。

1 つのサイトに関連付けられているテンプレートで L3Out を作成することを推奨します。この場合、そのサイトでのみ L3Out が作成されます。

または、複数のサイトに関連付けられているテンプレートで L3Out を作成することもできます。この場合、すべてのサイトで同じ名前で L3Out が作成されます。これにより、この章で後述するように、いくつかの機能制限が生じる可能性があります。

ステップ 4

新しい VRF と L3Out を作成します。

既存の L3Out をインポートする場合は、この手順をスキップします。

(注)  

 

Orchestrator で L3Out オブジェクトを作成し、それを APIC にプッシュすることはできますが、L3Out の物理設定は APIC で実行する必要があります。

  1. [VRF] エリアまで下にスクロールし、+ アイコンをクリックして新しい VRF を追加します。

    L3Out に使用する予定の VRF がすでにある場合は、このサブステップをスキップします。

    右側のサイドバーで、VRF の名前を入力します (例: vrf-l3out )。

  2. [L3Out] 領域まで下にスクロールし、+ アイコンをクリックして新しい L3Out を追加します。

    右側のスライダで、必要な情報を入力します。

  3. L3Out の名前を指定します (例: l3out-intersite

  4. [仮想ルーティングと転送 (Virtual Routing & Forwarding)] ドロップダウンから、VRF を選択します。

    最初のサブステップで作成した VRF を選択するか、既存の VRF を選択します。

ステップ 5

既存の VRF および L3Out をインポートします。

前の手順で新しい L3Out を作成した場合は、この手順をスキップします。

メイン ウィンドウ ペインの [インポート (Import)] をクリックして、

  1. メイン テンプレート ビューの上部で、[インポート (Import)] をクリックします。

  2. L3Out をインポートするサイトを選択します。

  3. [インポート (Import)] ウィンドウの [ポリシー タイプ(Policy Type)] メニューで、[L3Out] を選択します。

  4. インポートする L3Out をチェックします。

    デフォルトでは、L3Outをインポートすると、対応するVRFもインポートされます。これは、サイト固有のテンプレートでL3Outをインポートする場合、通常は複数のサイトに関連付けられた拡張テンプレートでVRFを定義するため、望ましくない場合があります。この場合、L3Outをインポートする前に[Include Relationships]オプションを無効にします。この場合、インポート後にL3Outを正しいVRFに再マッピングする必要もあります。

  5. [インポート(Import)] をクリックします。

  6. L3Outのみをインポートした場合は、テンプレートビューでそれを選択し、適切なVRFに関連付けます。

サイト間 L3Out を使用するための外部 EPG の設定

このセクションでは、サイト間 L3Out と関連付ける外部 EPG の作成方法について説明します。その後、この外部 EPG とコントラクトを使用すれば、あるサイトのエンドポイント用の特定のユース ケースを設定し、別のサイトの L3Out を使用することができます。

始める前に

L3Out を作成し、サイト間 L3Out および VRF の作成またはインポートに説明されている方法で VRF と関連付けます。

手順

ステップ 1

外部 EPG を作成するテンプレートを選択します。

複数のサイトと関連付けられているテンプレート内で外部 EPG を作成した場合、その外部 EPG は、それらすべてのサイト上で作成されます。これは、外部 EPG の L3Out が WAN などの一連の共通外部リソースへのアクセスを提供する場合に推奨されます。

単一のサイトと関連付けられているテンプレート内で外部 EPG を作成した場合、その外部 EPG は、そのサイト内でのみ作成されます。これは、外部 EPG の L3Out がそのサイトからのみアクセス可能な外部リソースへのアクセスを提供する場合に推奨されます。

ステップ 2

[外部 EPG (External EPG)] エリアまで下方にスクロールして、+ アイコンをクリックして外部 EPG を追加します。

右側のスライダで、必要な情報を入力します。

  1. 外部 EPG の名前を入力します。たとえば [eepg-intersite-l3out] のようにします。

  2. [仮想ルーティングと転送 (Virtual Routing & Forwarding)] ドロップダウンから、先ほど作成した、L3Out 用の VRF を選択します。

ステップ 3

外部 EPG を L3Out にマッピングします。

サイトレベルまたはテンプレートレベルで、外部 EPG を L3Out にマッピングできます。通常、各サイトはローカル L3Out を一意の名前で定義するため、外部 EPG 自体が拡張されているかどうかに関係なく、外部 EPG を各サイト固有の L3Out に選択的にマッピングできます。それで、サイトレベルでマッピングを作成することをお勧めします。

L3Out をサイトローカル レベルで外部 EPG に関連付けるには、次の手順に従います。

  1. スキーマ ビューの左サイドバーで、外部 EPG が配置されているテンプレートを選択します。

  2. [外部 EPG (External EPG)] エリアまで下方にスクロールして、外部 EPG を選択します。

  3. 右サイドバーで、[L3Out] ドロップダウンまで下方にスクロールして、作成したサイト間 L3Out を選択します。

    この場合、APIC で管理されている L3Out と、オーケストレーションで管理されている L3Out の両方が選択できます。前のセクションでこの目的のため特に作成した L3Out、またはサイトの APIC 内にすでにある L3Out のいずれかを選択します。

サイト レベルまたはテンプレート レベルで、外部 EPG を L3Out にマッピングできます。これにより、複数のサイトで同じ L3Out 名が定義されている展開での設定が容易になりますが、マルチ サイト ドメインやおよび外部ルーテッド ネットワークの一部であるファブリック間で確立できる接続タイプの柔軟性が低下するため、このアプローチは推奨されません。たとえば、特定の BD のサブネットがアドバタイズされる場所を制御することはできません。これは、L3Out に BD をマッピングすると、すべての L3Out が同じ名前を持つため、すべてのサイトのすべての L3Out から BD サブネットがアドバタイズされるためです。

テンプレート レベルで L3Out を外部 EPG に関連付けるには、次の手順を実行します。

  1. スキーマ ビューの左サイドバーで、外部 EPG が置かれているテンプレートを選択します。

  2. [外部 EPG (External EPG)] エリアまで下方にスクロールして、外部 EPG を選択します。

  3. 右サイドバーで、[L3Out] ドロップダウンまで下方にスクロールして、作成したサイト間 L3Out を選択します。

また、テンプレート レベルで L3Out に最初に関連付けられた外部 EPG の設定を、サイトレベルのマッピングに移行することもできます。これを行うには、外部 EPG の VRF 関連付けを削除し、外部 EPG を同じ VRF に再び関連付け、それからサイトレベルで L3Outs をマッピングします。このプロセスがテンプレートを展開する前に一度に完了しておけば、APIC 側で実際に変更が適用されないため、新しい設定をプッシュする際にトラフィックに影響はありません。

ステップ 4

外部 EPG に 1 つ以上のサブネットを設定します。

  1. 外部 EPG を選択します。

  2. 右側のサイドバーで、[+ サブネットを追加 (+Add Subnet)] をクリックします。

  3. [サブネットを追加 (Add Subnet)]ウィンドウで、分類サブネットと必要なオプションを入力します。

    設定するプレフィックスとオプションは、使用例によって異なります。

    • 着信トラフィックを外部 EPG に属するものとして分類するには、指定したプレフィックスの [外部 EPG の外部サブネット (External Subnets for External EPG)] フラグを選択します。使用例に応じて、内部 EPG またはリモート L3Out 経由で到達可能な外部ネットワーク ドメインとの契約を適用できます。

    • この L3Out から(同じサイトまたはリモート サイト内の)別の L3Out から学習した外部プレフィックスをアドバタイズするには、指定したプレフィックスの [エクスポート ルート制御 (Export Route Control)] フラグを選択します。0.0.0.0/0プレフィックスを指定する場合は、L3Outからのすべてのプレフィックスをアドバタイズするために [集約エクスポート (Aggregate Export)] フラグを選択できます。 [集約エクスポート (Aggregate Export)] フラグが有効になっていない場合、デフォルト ルートの 0.0.0.0/0 だけがアドバタイズされます(ボーダー リーフ ノードのルーティング テーブルに存在する場合)。

    • 外部ネットワークから受信した特定のルートを除外するには、指定したプレフィックスの [ルート制御のインポート (Import Route Control)] フラグを選択します。0.0.0.0/0 を指定する場合は、[集約インポート (Aggregate Import)] オプションを選択することもできます。

      これは、BGP を外部ルータとピアリングする場合にのみ可能であることに注意してください。

    • 異なるVRFにルートをリークするには、[共有ルート制御 (Shared Route Control)] と関連する [集約共有ルート(Aggregate Shared Routes)] フラグ、および [共有セキュリティ インポート (Shared Security Import)] フラグを選択します。これらのオプションは、VRF 間共有 L3Out および VRF 間サイト間中継ルーティングの特定の使用例に必要です。

サイト間 L3Out のコントラクトの作成

ここでは、サイトに展開されたアプリケーション EPG と、別のサイトの L3Out に関連付けられた外部 EPG(サイト間 L3Out 機能)との間の通信を可能にするために使用するフィルタとコントラクトを作成する方法について説明します。

手順

ステップ 1

コントラクトとフィルタを作成するためのテンプレートを選択します。

L3Out、VRF、および外部 EPG を作成したのと同じスキーマとテンプレートを使用できます。または、別のスキーマとテンプレートを選択することもできます。

コントラクトは異なるサイトに展開されたオブジェクト(EPG および外部 EPG)に適用されるため、複数のサイトに関連付けられたテンプレートで定義することを推奨します。ただし、これは必須ではありません。コントラクトとフィルタが Site1 のローカル オブジェクトとしてのみ定義されている場合でも、 Site2 のローカル EPG または外部 EPG がそのコントラクトを消費または提供する必要がある場合、NDO はリモート Site2 に対応するシャドウ オブジェクトを作成します。 。

ステップ 2

フィルタを作成します。

  1. [Filter (フィルタ)] エリアまでスクロールし、[+] をクリックしてフィルタを作成します。

  2. 右側のペインで、フィルタの [表示名 (Display Name)] を入力します。

  3. 右側のペインで、[+ エントリ (+ Entry)] をクリックします。

ステップ 3

フィルタの詳細を入力します。

  1. フィルタの [名前 (Name)] を指定します。

  2. [イーサー タイプ (Ether Type)] を選択します。

    たとえば [ip] です。

  3. [IP プロトコル (IP Protocol)] を選択します。

    たとえば [icmp] です。

  4. 他のプロパティは未指定のままにします。

  5. [保存 (Save)] をクリックしてフィルタを保存します。

ステップ 4

コントラクトの作成

  1. 中央ペインで、[コントラクト (Contracts)] エリアまで下方にスクロールし、[+] をクリックして、コントラクトを作成します。

  2. 右側のペインで、コントラクトの [表示名 (Display Name)] を入力します。

  3. コントラクトの適切な [範囲 (Scope)] を選択します。

    サイト間 L3Out の別の VRF にある共有サービス エンドポイントを設定する場合にはは、その範囲の テナント を選択する必要があります。それ以外の場合、両方が同じ VRF 内にある場合は、範囲を vrf に設定できます。

  4. コンシューマからプロバイダーへの方向とプロバイダーからコンシューマへの方向の両方に同じフィルタを適用する場合は、[両方向に適用 (Apply both directions)] ノブを切り替えます。

    このオプションを有効にした場合は、フィルタを 1 回だけ指定することが必要となり、両方向のトラフィックに適用されます。このオプションを無効のままにした場合は、各方向に 1 つずつ、2 セットのフィルタ チェーンを指定する必要があります。

ステップ 5

コントラクトにフィルタを割り当てる

  1. 右側のペインで、[フィルタ チェーン (Filter Chain)] 領域までスクロールし、[+ フィルタ (+ Filter)] をクリックしてフィルタをコントラクトに追加します。

    コントラクトで [両方向に適用 (Apply both directions)] オプションを無効にした場合は、他のフィルタ チェーンに対してこの手順を繰り返します。

  2. 開いた [フィルタ チェーンの追加] ウィンドウで、[名前 (Name)]ドロップダウン メニューから前の手順で追加したフィルタを選択します。

  3. [保存 (Save)] をクリックして、フィルタをコントラクトに追加します。

使用例

アプリケーション EPG のサイト間 L3Out(VRF内)

ここでは、アプリケーション EPG の一部であるエンドポイントが、同じ VRF(intra-VRF)内にある別のサイトに展開された L3Out を介して到達可能な外部ネットワークドメインと通信できるようにするために必要な設定について説明します。

最初の図は、拡大された外部 EPG と、両方のサイトで作成される関連づけられた L3Out を示しています。アプリケーション EPG (EPG1) はサイト 1 で作成され、外部 EPG とのコントラクトがあります。この使用例は、別のサイトの L3Out が外部リソースの共通セットへのアクセスを提供する場合に推奨されます。ポリシー定義と外部トラフィック分類が簡素化され、独立した APIC ドメインの各 L3Out に個別にルートマップポリシーを適用できます。

図 1. 拡張された外部 EPG

次の 2 番目の図は、同様の使用例を示していますが、外部 EPG は物理 L3Out が配置されているサイトだけに導入されています。アプリケーション EPG とコントラクトは、1 つのサイトの EPG と他方の物理 L3Out 間のトラフィックフローを可能にするのと全く同じ方法で設定します。

図 2. 拡張されていない (サイトローカルの) 外部 EPG

次の手順では、最も一般的なシナリオである図 1 に示す使用例を実装するために必要な設定について説明します。図 2 に示すユースケースを導入する場合は、若干の変更を加えて手順を調整できます。

始める前に

次のものがすでに設定されている必要があります。

  • 3 つのテンプレートを持つスキーマ。

    アプリケーションEPGやL3Outsなど、そのサイトに固有のオブジェクトを設定する各サイトのテンプレート(template-site1template-site2 など)を作成します。さらに、ストレッチされたオブジェクト(この場合は外部 EPG)に使用する別のテンプレート(template-stretched など)を作成します。

  • サイト間 L3Out および VRF の作成またはインポートセクションで説明されている各サイトのL3Outs。

    この使用例では、各サイト固有のテンプレートに個別の L3Out がインポートまたは作成されます。

  • サイト間 L3Out を使用するための外部 EPG の設定 で説明されているように、サイト間 L3Out の外部 EPG。

    この使用例では、外部EPGは、ストレッチされたテンプレート(template-stretched)で定義されたストレッチされたオブジェクトとして設定されます。外部EPGが外部アドレス空間全体へのアクセスを提供すると仮定すると、より具体的なプレフィックスの長いリストを指定しないように、0.0.0.0/0 プレフィックスを分類用に設定することを推奨します。

  • サイト間 L3Out のコントラクトの作成 で説明されているように、アプリケーション EPG と L3Out 外部 EPG の間で使用するコントラクト。

    ストレッチ テンプレート(template-stretched)でコントラクトとフィルタを作成することをお勧めします。

手順

ステップ 1

Cisco Nexus Dashboard Orchestrator の GUI にログインします。

ステップ 2

左型のナビゲーション メニューで、[アプリケーション管理 (Application Management) ] > [スキーマ (Schemas)] を選択します。

ステップ 3

アプリケーション EPG とブリッジ ドメインのスキーマとテンプレートを選択します。

この使用例では、テンプレートを Site1 に関連付けます。

ステップ 4

L3Out とは別の VRF に属するアプリケーション EPG とそのブリッジ ドメインを設定します。

サイト間 L3Out を使用する EPG がすでにある場合は、この手順をスキップできます。

通常のように、EPG およびブリッジ ドメインを新規に作成するか、既存のものをインポートします。

ステップ 5

アプリケーション EPG にコントラクトを割り当てます。

  1. EPG を選択します。

  2. 右側のサイドバーで、[+コントラクト (+Contract)] をクリックします。

  3. 前のセクションで作成したコントラクトとそのタイプを選択します。

    アプリケーション EPGがコンシューマプロバイダかを選択できます。

ステップ 6

コントラクトを、リモート L3Out にマップされた外部 EPG に割り当てます。

  1. 外部 EPG が配置されている template-stretched を選択します。

  2. 外部 EPG を選択します。

  3. 右側のサイドバーで、[+コントラクト (+Contract)] をクリックします。

  4. 前のセクションで作成したコントラクトとそのタイプを選択します。

    アプリケーション EPG をコンシューマとして選択した場合は、外部 EPG のプロバイダを選択します。それ以外の場合は、外部 EPGのコンシューマを選択します。

ステップ 7

アプリケーション EPG のブリッジ ドメインを L3Out に関連付けます。

これにより、BD サブネットを L3Out から外部ネットワーク ドメインにアドバタイズできます。BD に関連付けられたサブネットは、L3Out からアドバタイズされるように [外部アドバタイズ (Advertised Externally)] オプションを使用して設定する必要があります。

  1. 左側のサイドバーの [サイト (Sites)] の下で、アプリケーション EPG のテンプレートを選択します。

  2. アプリケーション EPG に関連付けられたブリッジ ドメインを選択します。

  3. 右側のサイドバーで、[+ L3Out] をクリックします。

  4. 作成したサイト間 L3Out を選択します。

    図1に示す使用例では、BD を Site1 と Site2 で定義された両方の L3Out に関連付けて、外部ネットワークが両方のパスから EPG にアクセスできるようにします。特定のポリシーを L3Out または外部ルータに関連付けて、特定の L3Out パスが着信トラフィックに通常優先されるようにすることができます。リモート サイトの L3Out を介した最適ではないインバウンド トラフィック パスを回避するために、EPG と BD が(特定の例のように)サイトに対してローカルである場合、これを推奨します。

ステップ 8

スキーマを展開します。

アプリケーション EPG のサイト間 L3Out との共有サービス(Inter-VRF)

ここでは、1 つの VRF のアプリケーション EPG の一部であるエンドポイントが、別のサイトに展開された L3Out を介して到達可能な外部ネットワーク ドメインと通信できるようにするために必要な設定について説明します。これは「共有サービス」とも呼ばれます。

このシナリオは、別のサイトの L3Out が外部リソースの共通セットへのアクセスを提供する場合に推奨されます。ポリシー定義と外部トラフィック分類が簡素化され、独立した APIC ドメインの各 L3Out に個別にルートマップポリシーを適用できます。

図 3. ストレッチ外部EPG、サイト ローカル L3Out、およびアプリケーション EPG のいずれかになります。

次の手順では、図 3 に示す使用例を実装するために必要な設定について説明します。

始める前に

次のものがすでに設定されている必要があります。

  • 3 つのテンプレートを持つスキーマ。

    アプリケーション EPG や L3Outs など、そのサイトに固有のオブジェクトを設定するサイトごとのテンプレート(template-site1template-site2 など)を作成します。さらに、ストレッチされたオブジェクト(この場合は外部 EPG)に使用する別のテンプレート(template-stretched など)を作成します。

  • サイト間 L3Out および VRF の作成またはインポートセクションで説明されている各サイトのL3Outs。

    この使用例では、各サイト固有のテンプレートに個別の L3Out がインポートまたは作成されます。

  • サイト間 L3Out を使用するための外部 EPG の設定 で説明されているように、サイト間 L3Out の外部 EPG。

    この使用例では、外部EPGは、ストレッチされたテンプレート(template-stretched)で定義されたストレッチされたオブジェクトとして設定されます。外部EPGが外部アドレス空間全体へのアクセスを提供すると仮定すると、より具体的なプレフィックスの長いリストを指定しないように、0.0.0.0/0 プレフィックスを分類用に設定することを推奨します。

    この特定の共有サービスの使用例では、リモート L3Out の外部 EPG に関連付けられたサブネットの共有ルート制御フラグと共有セキュリティインポートフラグを有効にする必要があります。外部EPGの分類に 0.0.0.0/0 プレフィックスを使用している場合は、共有ルート制御フラグに加えて、集約共有ルートフラグも有効にします。

  • サイト間 L3Out のコントラクトの作成 で説明されているように、アプリケーション EPG と L3Out 外部 EPG の間で使用するコントラクト。

    ストレッチ テンプレート(template-stretched)でコントラクトとフィルタを作成することをお勧めします。

手順

ステップ 1

Cisco Nexus Dashboard Orchestrator の GUI にログインします。

ステップ 2

左型のナビゲーション メニューで、[アプリケーション管理 (Application Management) ] > [スキーマ (Schemas)] を選択します。

ステップ 3

アプリケーション EPG とブリッジ ドメインのスキーマとテンプレートを選択します。

この使用例では、テンプレートを Site1 に関連付けます。

ステップ 4

L3Out とは別の VRF に属するアプリケーション EPG とそのブリッジドメインを設定します。

サイト間 L3Out を使用する EPG がすでにある場合は、この手順をスキップできます。

通常のように、EPG およびブリッジ ドメインを新規に作成するか、既存のものをインポートします。

ステップ 5

アプリケーション EPG にコントラクトを割り当てます。

  1. EPG を選択します。

  2. 右側のサイドバーで、[+コントラクト (+Contract)] をクリックします。

  3. 前のセクションで作成したコントラクトとそのタイプを選択します。

    アプリケーション EPGがコンシューマプロバイダかを選択できます。

    (注)  

     

    アプリケーション EPG をプロバイダとして設定する場合は、そのルートを L3Out VRF にリークするために、EPG の下でも BD ですでに定義されているサブネットを設定する必要があります。サブネットの BD で使用されるのと同じフラグも EPG で設定する必要があります。さらに、EPG の下のサブネットでは、デフォルト ゲートウェイ機能が BD レベルで有効になっているため、[デフォルト SVI ゲートウェイなし (No default SVI Gateway)] フラグも有効にする必要があります。

ステップ 6

コントラクトを、L3Out にマップされた外部 EPG に割り当てます。

  1. 外部 EPG が配置されている template-stretched を選択します。

  2. 外部 EPG を選択します。

  3. 右側のサイドバーで、[+コントラクト (+Contract)] をクリックします。

  4. 前のセクションで作成したコントラクトとそのタイプを選択します。

    アプリケーション EPG をコンシューマとして選択した場合は、外部 EPG のプロバイダを選択します。それ以外の場合は、外部 EPGのコンシューマを選択します。

ステップ 7

アプリケーション EPG のブリッジ ドメインを L3Out に関連付けます。

これにより、BD サブネットを L3Out から外部ネットワーク ドメインにアドバタイズできます。BD に関連付けられたサブネットは、L3Out からアドバタイズされるように [外部アドバタイズ (Advertised Externally)] オプションを使用して設定する必要があります。

  1. 左側のサイドバーの [サイト (Sites)] の下で、アプリケーション EPG のテンプレートを選択します。

  2. アプリケーション EPG に関連付けられたブリッジ ドメインを選択します。

  3. 右側のサイドバーで、[+ L3Out] をクリックします。

  4. 作成したサイト間 L3Out を選択します。

    図1に示す使用例では、BD を Site1 と Site2 で定義された両方の L3Out に関連付けて、外部ネットワークが両方のパスから EPG にアクセスできるようにします。特定のポリシーを L3Out または外部ルータに関連付けて、特定の L3Out パスが着信トラフィックに通常優先されるようにすることができます。リモート サイトの L3Out を介した最適ではないインバウンド トラフィック パスを回避するために、EPG と BD が(特定の例のように)サイトに対してローカルである場合、これを推奨します。

ステップ 8

スキーマを展開します。

サイト間中継ルーティング

このセクションでは、マルチサイト ドメインが分散ルータとして機能し、異なるサイトに展開された L3Out の背後に接続されているエンティティ(エンドポイント、ネットワーク デバイス、サービス ノードなど)間の通信を可能にする使用例について説明します。この機能は通常、サイト間中継ルーティングと呼ばれます。 。サイト間中継ルーティングは、VRF 内および VRF 間のユースケースでサポートされます。

次の図は、異なるサイトに設定されている2つの L3Outs (l3out1l3out2) を示しています。各 L3Out はそれぞれの外部 EPG (ExtEPG1 および ExtEPG2) に関連付けられています。2 つの外部 EPG 間のコントラクトにより、2 つの異なるサイトの 2 つの異なる L3Outs の背後にあるエンドポイント間の通信が可能になります。

図 4. VRF サイト内中継ルーティング

各サイトの L3Out が異なる VRF にある場合も、同様の設定を使用できます。

図 5. VRF サイト間中継ルーティング

図では、外部 EPG と、関連付けられた L3Out がサイトローカルのオブジェクトとして展開される、2 つのシナリオを示しています。サイト間中継ルーティングは、サイト間で EPG がストレッチされていない場合、一方がストレッチされている場合、両方がストレッチされている場合という、すべての組み合わせをサポートしています。

サイト間中継ルーティングを導入する場合、サイト間で定義された異なる外部 EPG が異なる外部アドレス空間へのアクセスを提供する(明らかに重複しない)ことが前提となります。したがって、分類に使用されるプレフィックスの設定には、いくつかのオプションがあります。

  • 両方の外部 EPG で同じ 0.0.0.0/0 プレフィックスを定義して、L3Out1 の境界リーフ ノードで受信した着信トラフィックが Ext-EPG1 にマッピングされ、L3Out2 で受信した着信トラフィックが Ext-EPG2 にマッピングされるようにします。L3Out は別のファブリックで定義されているため、この設定で競合の問題は発生しません。

    L3Out1で受信した外部プレフィックスは、L3Out2 からアドバタイズする必要があります。その逆も同様です。両方の外部 EPG で 0.0.0.0/0 を分類サブネットとして使用している場合は、[エクスポート ルート制御 (Export Route Control)] および [集約エクスポート (Aggregate Export)] フラグを有効にするだけで十分です。

  • 外部 EPG ごとに特定のプレフィックスを定義します。この場合、ローカル外部 EPG とリモート外部 EPG 間のコントラクトのためにシャドウ外部 EPG がそのサイトで作成されるときに、サイトの APIC によって障害が発生するのを回避するために、プレフィックスが重複していないことを確認する必要があります。

    特定のプレフィックスを使用する場合は、外部 EPG1 で分類用に設定したの同じプレフィックスを、[エクスポートルート制御 (Export Route Control)] フラグを立てて、外部 EPG2 で設定する必要があります。逆の場合も同じです。


(注)  

2 つの分類アプローチのどちらを導入する場合でも、VRF 間シナリオでは、[共有ルート制御 (Shared Route Control)](加えて [集約共有ルート (Aggregate Shared Routes)]0.0.0.0/0 を使用する場合には必要)および [共有セキュリティ インポート (Shared Security Import)] の各フラグを設定する必要があります。

始める前に

次のものがすでに設定されている必要があります。

  • 3 つのテンプレートを持つスキーマ。

    アプリケーション EPG や L3Outs など、そのサイトに固有のオブジェクトを設定するサイトごとのテンプレート(template-site1template-site2 など)を作成します。さらに、ストレッチされたオブジェクト(この場合は外部 EPG)に使用する別のテンプレート(template-stretched など)を作成します。

  • サイト間 L3Out および VRF の作成またはインポートセクションで説明されている各サイトのL3Outs。

    この使用例では、各サイト固有のテンプレートに個別の L3Out がインポートまたは作成されます。

  • 異なるサイトにある2つの異なる L3Outs 用の 2 つの異なる外部 EPG。サイト間 L3Out を使用するための外部 EPG の設定 の説明に従って、同じ手順を使用して両方の外部 EPG を作成できます。

  • サイト間 L3Out のコントラクトの作成 で説明されているように、サイトごとに定義された L3Out 外部 EPG の間でコントラクトを使用します。

    ストレッチ テンプレート(template-stretched)でコントラクトとフィルタを作成することをお勧めします。

手順

ステップ 1

Cisco Nexus Dashboard Orchestrator の GUI にログインします。

ステップ 2

左型のナビゲーション メニューで、[アプリケーション管理 (Application Management) ] > [スキーマ (Schemas)] を選択します。

ステップ 3

いずれかの外部 EPG にコントラクトを割り当てます。

  1. 外部 EPG が配置されているスキーマとテンプレートを選択します。

  2. 外部 EPG を選択します。

  3. 右側のサイドバーで、[+コントラクト (+Contract)] をクリックします。

  4. 前のセクションで作成したコントラクトとそのタイプを選択します。

    コンシューマまたはプロバイダを選択します。

ステップ 4

他の外部 EPG にコントラクトを割り当てます。

  1. 外部 EPG が配置されているスキーマとテンプレートを選択します。

  2. 外部 EPG が配置されているテンプレートを参照します。

  3. 外部 EPG を選択します。

  4. 右側のサイドバーで、[+コントラクト (+Contract)] をクリックします。

  5. 前のセクションで作成したコントラクトとそのタイプを選択します。

    プロバイダまたはコンシューマを選択します。

ステップ 5

適切なサイトにテンプレートを展開します。