-
Cisco NX-OS リリース以降
-
Cisco NX-OS リリース 9.3(3) 以降:
-
合計 16 個の GRE/IPIP トンネルが、Cisco Nexus 9200、9300-EX/FX/FX2 スイッチ、および 9700-EX/FX ライン カードを搭載した 9500 スイッチでサポートされます。
-
複数の、最大で 16 の IPIP Decap-any トンネルがサポートされています。VRF ごとに 1 つの decap-any トンネルです。これは、Cisco Nexus 9200 および 9300-EX/FX/FX2 プラットフォームでサポートされています。
-
IPIP/GRE カプセル化パケットが終端ノードで入力されるインターフェイスの VRF メンバーシップは、トンネルのパケットを正しく終端するために、トンネル転送 VRF と一致している必要があります。
-
パケットの外部ヘッダーがトンネルの送信元およびトンネルの宛先と一致する場合、デフォルト以外の VRF に着信する IPIP/GRE パケットは、デフォルトの VRF トンネルによって終端されることがあります。
-
Cisco NX-OS リリース9.3(5) 以降では、次の機能が N9K-C9316D-GX、N9K-C93600CD-GX、および N9K-C9364C-GX スイッチでサポートされています。
-
Cloudscale プラットフォームでは、トンネルごとに、一意のトンネル宛先 IP を使用して同じ外部トランスポート VRF(tunnel use-vrf )を使用する複数の GRE トンネルまたは IP-in-IP トンネルを設定する必要があります。
-
Nexus プラットフォームでは、トンネルごとに、一意のトンネル送信元 IP およびトンネル宛先 IP を使用して同じ外部トランスポート VRF(tunnel use-vrf )を使用する複数の GRE トンネルまたは IP-in-IP トンネルを構成する必要があります。
-
GRE ストリッピングは、N9K-C9364C および N9K-C9332C ファミリ スイッチ、および N9K-C9508-FM-E2、N9K-C9516-FM-E2 モジュールではサポートされていません。
-
トンネルの source-direct および ipv6ipv6-decapsulate-any オプションについてのガイドラインは、以下のとおりです:
-
IP トンネルは、インターフェイス、IPv4 アドレス、IPv6 アドレス、または IPv4 プレフィックスを使用した tunnel source CLI コマンドをサポートします。新しい tunnel source direct CLI コマンドを使用すれば、直接接続された IP アドレス(物理インターフェイス、ポートチャネル、ループバック、SVIなど)で IP-in-IP トンネルのカプセル化解除を設定できます。2 つのスイッチ間に複数の IP リンクがある場合は、IP
ECMP リンクを選択できます。単一のトンネルインターフェイスは、外部宛先 IP がローカルで設定された IPv4 または IPv6 アドレスのいずれかであり、スイッチで動作的にアップ状態になっているようなトンネル パケットを、カプセル化解除できます。
-
現在、 tunnel mode ipip decapsulate-any は、IPv4 トランスポート(IPv4inIPv4 パケット)を介して IPv4 ペイロードをカプセル化解除するためにサポートされています。 tunnel mode ipv6ipv6 decapsulate-any コマンドは、IPv6 トランスポートを介した IPv6 ペイロード(IPv6inIPv6 パケット)をサポートするために導入されました。
-
ネットワーク形成エンジン(NFE)を搭載した Cisco Nexus 9500 プラットフォーム スイッチでは、 tunnel source direct および tunnel mode ipv6ipv6 decapsulate-any CLI コマンドはサポートされていません。
-
tunnel source direct CLI コマンドがサポートされるのは、管理者が IP-in-IP カプセル化解除を使用して、パケットをネットワーク経由でソース ルーティングする場合だけです。source-direct トンネルは、管理上シャットダウンされない限り、常に動作的にアップ状態です。直接接続されたインターフェイスは、 show ip route direct CLI コマンドを使用して識別されます。
-
CLIコマンドは、カプセル化解除トンネルモード(andなど)でのみサポートされます。 tunnel source direct tunnel mode ipip decapsulate-any tunnel mode ipv6ipv6 decapsulate-any
-
source-direct の自動回復はサポートされていません。
-
ipv6ipv6 decapsulate-any の場合、inter-VRF はサポートされません。トンネル インターフェイス VRF(iVRF)と、トンネル トランスポートまたはフォワーディング VRF(fVRF)は、同じである必要があります。Cisco
Nexus 9200、9300-EX、および 9300-FX プラットフォーム スイッチと、EX および FX ラインカードを備えた Cisco Nexus 9500プラットフォーム モジュラ スイッチには、VRF に関係なくカプセル化解除トンネルが
1 つだけ存在します。
-
ipv6ipv6 decap-any トンネル インターフェイスで IPv6 を有効にするには、有効な IPv6 アドレスを設定するか、トンネル インターフェイスで ipv6 address use-link-local-only を設定します。
-
Cisco NX-OS リリース 10.4(1)F 以降では、ループバック インターフェイスで tunnel source CLI コマンドを使用して、ループバック IP アドレスをトンネル送信元 IP アドレスとして構成できます。
-
送信元ダイレクト トンネルで対応可能な送信元の最大数と関連動作については、次のハードウェア制限を参照してください。
-
送信元直接トンネルは、ネットワーク転送エンジン(NFE)、アプリケーション スパイン エンジン(ASE)、およびリーフ スパイン エンジン(LSE)を搭載した Cisco Nexus 9000 シリーズ スイッチでサポートされるようになりましたほとんどの制限は、スケーリングされた
SIP の場合に限り、インターフェイス上の IP/IPv6 アドレスの合計数にのみ適用されます。この場合のインターフェイスとは、L3、サブインターフェイス、PC、PC-サブ インターフェイス、ループバック、SVI、および任意のセカンダリ IP/IPv6
アドレスを指します。
次の使用例を参照してください。
-
使用例 1:IP / IPv6インターフェイス スケールの数がより多い場合に SIP がインストールされたときの非決定的動作への対応。
両方のスイッチにトンネル SIP が 512 エントリがあります。トンネル送信元を使用する場合は、任意の IP または IPv6 アドレスを、 ipip or ipv6ipv6 decap any により、上記のテーブルにインストールされたトンネル送信元にダイレクトします。
これらのエントリの挿入は、どのインターフェイス IP アドレスをインストールするかを制御する CLI コマンドを使用せずに、先着順に行われますシステムにインストールする IP/IPv6 インターフェイスの数が多い場合、動作は非決定的です(動作はインターフェイス
フラップを使用して変更できます)。
-
使用例 2:両方のスイッチでスケール数が異なる場合。それぞれに長所と短所があります。
NFE を備えたスイッチの場合、IPv4 の個別のスケールはより大きくすることができますが(最大512)、IPv6と共有されます。ASE および LSE を備えたするスイッチでは、IPv4 の個別のスケールは 256 までですが、IPv6 とは共有されません。
トンネル decap テーブルがいっぱいになると、TABLE_FULL エラーが表示されます。テーブルがいっぱいになった後でも、一部のエントリが削除されると、テーブルフル エラーはクリアされます。
表 1. スケール番号
|
コマンド
|
NFE を使用したスイッチ:テーブルサイズ 512、v4 は 1 エントリ、v6 は 4 エントリ
|
ASE および LSE を使用したスイッチ:テーブルサイズ 512、v4 は 1エントリ、v6 は 2 エントリ(ペアインデックス)
|
|
トンネル ソース ダイレクトによる IPIP カプセル化解除
|
v4 と v6 の間で共有、v6 は 4 エントリを取得
v4 + 4 * v6 = 512
最大エントリ数は 512 で、v6 エントリなし
|
専用で 256
|
|
トンネル ソース ダイレクトによる IPv6IPv6 カプセル化解除
|
v4 と v6 の間で共有、v6 は 4 エントリを取得
v4 + 4 * v6 = 512
最大エントリ数は 128 で、v4 エントリなし
|
専用で 128
|
-
使用例 3:自動リカバリはサポートされていません。
上記のテーブルが使い果たされたためにハードウェアにエントリがインストールされない場合、すでにインストールされている IP/IPv6 をインターフェイスから削除すると、テーブルにスペースが生じますが、前に失敗した SIP がテーブルに自動的に追加されることはありません。トンネル
インターフェイスまたは IP インターフェイスをフラップしてインストールする必要があります。
ただし、エントリが重複しているためにエントリがハードウェアにインストールされない場合(すでに 1 つのソースで decap-any が存在していて、 source direct tunnel CLI コマンドを設定した場合、以前に設定されたソースのエントリは重複します)両方のトンネルが削除された場合にのみエントリを削除するように注意してください。
-
Network Forwarding Engine(NFE)とApplication Spine Engine(ASE)を備えた Cisco Nexus 9000 シリーズスイッチでは、専用の IPv4 および IPv6 のカプセル化解除がsyslog
に記録されるため、syslog は異なります。tunnel-decap-table がいっぱいの場合、ユーザは次のように syslog を取得します。
2017 Apr 6 12:18:04 switch %$ VDC-1 %$ %IPFIB-2-FIB_HW_IPV4_TUNNEL_DECAP_TABLE_FULL: IPv4 tunnel decap hardware table full.
IP tunnel decapsulation may not work for some GRE/IPinIP traffic
2017 Apr 6 12:18:11 switch %$ VDC-1 %$ %IPFIB-2-FIB_HW_IPV6_TUNNEL_DECAP_TABLE_FULL: IPv6 tunnel decap hardware table full.
IP tunnel decapsulation may not work for some GRE/IPinIP traffic
テーブルがいっぱいで、一部のエントリがテーブルから削除されるようになった場合(インターフェイスが動作上ダウンしているか、IP アドレスが削除されているため)、テーブルがクリアされたとの syslog が表示されます。トンネルを削除すると、そのトンネルの一部として追加されたすべてのエントリが削除されることに注意してください。
2017 Apr 5 13:29:25 switch %$ VDC-1 %$ %IPFIB-2-FIB_HW_IPV4_TUNNEL_DECAP_TABLE_FULL_CLRD: IPv4 tunnel decap hardware table full exception cleared
2017 Apr 4 19:41:22 switch %$ VDC-1 %$ %IPFIB-2-FIB_HW_IPV6_TUNNEL_DECAP_TABLE_FULL_CLRD: IPv6 tunnel decap hardware table full exception cleared
-
IP-in-IP トンネルのカプセル化解除は、IPv6 対応ネットワークでサポートされます。
!
interface tunnel 1
ipv6 address use-link-local-only <<< enable IPv6
tunnel mode ipv6ipv6 decapsulate-any
tunnel source direct
description IPinIP Decapsulation Interface
mtu 1476
no shutdown
-
internal キーワードが付いているコ show マンドはサポートされていません。
-
Cisco NX-OS は、次のプロトコルだけをサポートします。
-
IPv4 パッセンジャー プロトコル
-
GRE キャリア プロトコル
-
Cisco NX-OS は、Cisco NX-OS リリース 9.3(3) よりも前のトンネルについては、次の最大数をサポートします。
-
Cisco NX-OS リリース9.3(3) 以降、サポートされる GRE および IP-in-IP の通常トンネルの最大数は 16 です。
-
アクセス コントロール リスト(ACL)または QoS ポリシーは IP トンネルでサポートされません。
-
Cisco NX-OS は、IETF RFC 2784 に定義されている GRE ヘッダーをサポートします。Cisco NX-OS は、トンネル キーと IETF RFC 1701 のその他のオプションをサポートしません。
-
Cisco NX-OS は、GRE トンネル キープアライブをサポートしません。
-
すべてのユニキャスト ルーティング プロトコルが IP トンネルでサポートされます。
-
IP トンネル インターフェイスは、SPAN 送信元または宛先には設定できません。
-
IP トンネルは、PIM またはその他のマルチキャスト機能およびプロトコルをサポートしません
-
Cisco NX-OS リリース 10.3(3)F 以降、PBR ポリシーに基づいて GRE または IP-in-IP トンネル宛先の選択がサポートされます。
-
IP トンネルは、デフォルトの system routing モードでのみサポートされ、その他のモードではサポートされません
-
トンネルインターフェイスを ipip mode に構成する場合、最大の mtu 値は 9196 です。
NX-OS 9.2(1) 以降のリリースから以前のリリースにダウングレードする場合、MTU 値が 9196 の ipip mode のトンネル インターフェイスを使用していると、ダウングレード操作の結果として MTU 構成が失われます。ベスト プラクティスとしては、MTU 設定が失われることを回避するために、ダウングレードを開始する前に MTU 値を 9192 に調整します。
-
トンネル インターフェイスを ipip mode に構成する場合、デフォルトの mtu 値は 1480 です。
NX-OS 9.2(1) 以降のリリース から以前のリリースにダウングレードする場合、明示的な MTU 構成のない ipip mode のトンネル インターフェイスを使用していると、ダウングレード操作の結果として MTU 値が 1480 から 1476 に変更されます。ベスト プラクティスとしては、MTU 値が変更されることを回避するために、ダウングレードを開始する前に MTU
値を 1476 に調整します。
から NX-OS 9.2(1) 以降のリリースにアップグレードする場合、 で、明示的な mtu 構成のない ipip mode のトンネル インターフェイスがあると、アップグレード操作の結果として MTU 値が 1476 から 1480 に変更されます。ベスト プラクティスとしては、MTU 値が変更されることを回避するために、アップグレードを開始する前に MTU 値を
1480 に調整します。
-
Cisco Nexus 9200 シリーズ スイッチでは、IP-in-IP トンネルで受信される GRE パケットが予想通りにドロップされず、パケット宛先に転送されます。
-
スイッチから送信される Tx パケット(制御パケットなど)は、Tx 統計には含まれません。
-
別のトンネル経由で到達可能なトンネル宛先は、サポートされません。
-
トンネル経由のルートについては整合性チェッカがサポートされません。
-
非 IP ルーティング プロトコル(isis など)は、IP-in-IP トンネル経由ではサポートされません。
-
RFC5549 は、トンネル経由ではサポートされません。
-
トンネル経由の BGP 隣接関係は、トンネル インターフェイスとトンネル入口が同じ VRF にあり(例:VRF-A)、トンネル出口が反対側からのルートリーク(例:VRF-B経由)で到達可能なシナリオでは、サポートされません。
-
デバイスごとに設定できる GRE トンネルは 8 つだけです。
-
GRE トンネルは RACL をサポートしません。
-
GREv6 トンネルまたは IP-in-IP トンネルを設定する場合、トンネル インターフェイスとトンネルの宛先に異なる VRF を使用することはできません。トンネルが正しく機能するには、両方が同じVRFを使用する必要があります。トンネル インターフェイスとトンネルの宛先に同じVRFを使用する必要があります。
GREv4 では、tunnel use-vrf とは異なるトンネル インターフェイス VRF の構成がサポートされています。
switch# interface tunnel X
vrf member INNER-VRF
tunnel use-vrf TRANSPORT-VRF
-
GRE トンネルは、限定されたトラフィック(入力または出力)カウンタのみをサポートします。
-
レイヤ 3 FEX インターフェイスは、トンネルの入口または出口として許可されません。
-
GRE トンネルでは二重カプセル化は許可されません。
-
BFD は GRE トンネルではサポートされていません。
-
Cisco Nexus N9K-C9300-GX プラットフォームでは、GRE/IPinIPトンネル インターフェイスは、Dot1Q タグ付き L2 bcast または 1Q タグ付き L2/L3 mcast 中継トラフィックと共存できません。Cisco
Nexus N9300-GX プラットフォームでfeature tunnel を設定すると、次の警告が表示され、syslog メッセージにも警告が記録されます。デバイスに Dot1Q タグ付き L2 bcast または 1Q タグ付き L2/L3 mcast 中継トラフィックがある場合は、feature tunnel を設定しないでください。
N9300-GX(config)# feature tunnel
WARN:GRE/IPinIP cannot coexist with 1Q tagged L2 bcast or 1Q tagged L2/L3 mcast transit packets on this
platform
N9300-GX(config)#
N9300-GX(config)# show logging logfile
2019 Dec 12 00:41:08 N9300-GX %TUNNEL-2-TRAFFIC_WARNING: GRE/IPinIP cannot coexist with 1Q
tagged L2 bcast or 1Q tagged L2/L3 mcast transit packets on this platform
N9300-GX(config)#
-
Cisco Nexus 9000 スイッチの機能トンネル機能は、VXLAN 機能である機能 nv オーバーレイと共存できません。
-
Cisco Nexus 9200、9300-EX、9300-FX、9300-FX2 シリーズ スイッチ、および 9700-EX/FX ライン カードを搭載した Cisco Nexus 9500 プラットフォーム スイッチでは、複数のトンネル インターフェイスを、同じ
IP アドレスを送信元または宛先とする単一の VRFに含めることはできません。たとえば、デバイスは、トンネル 0 およびトンネル 1 のインターフェイスを、同じ IP アドレスまたはインターフェイスを送信元とするデフォルト VRF に含めることはできません。
-
vPC の Cisco Nexus 9300-EX、9300-FX、9300-GX、および Nexus 9500 プラットフォーム スイッチは、それぞれのトンネルの GRE トンネル エンドポイントとして機能できます。ただし、トンネルの宛先を
vPC 経由にすることはできません。
-
Cisco NX-OS リリース 10.3(3)F 以降、トンネル インターフェイスの PBR ポリシーは、Cisco Nexus 9300-FX2/FX3/GX/GX2 プラットフォーム スイッチの gre ip、ipip ip、および ipip decapsulate-any ip モードでのみサポートされます。
-
Cisco NX-OS リリース 10.4(1)F 以降、GRE トンネル は Cisco Nexus 9332D-H2R スイッチでサポートされています。
-
Cisco NX-OS リリース 10.4(2)F 以降、GRE トンネル は Cisco Nexus 93400LD-H1 スイッチでサポートされます。
フィードバック