この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章で説明する内容は、次のとおりです。
この章では、VXLAN ファブリックへのレイヤ 4〜レイヤ 7 サービス(ファイアウォール、ロード バランサなど)の挿入について説明します。
L4-L7 サービスがデフォルト ゲートウェイ(集約/配信)をホストするスイッチに接続されている従来の 3 層ネットワーク トポロジとは異なり、VXLAN ファブリック内の L4-L7 サービスは通常、しばしばサービス リーフと呼ばれる、リーフ スイッチまたは境界スイッチに接続されます。
L4-L7 サービス デバイスは、さまざまな方法で VXLAN ファブリックに接続できます。この章では、L4-L7 サービス デバイスの接続方法、およびデバイスとネットワークの要件に応じて考慮すべき事項について説明します。
ここでは、VXLAN EVPN ファブリック内にファイアウォールを統合する方法について詳しく説明します。レイヤ 3 ファイアウォールでは、異なるセキュリティ ゾーンを分離する必要があります。
VXLAN EVPN ファブリックにレイヤ 3 ファイアウォールを分散型エニーキャスト ゲートウェイと統合する場合、これらの各ゾーンはファブリック上の VRF/テナントに対応する必要があります。テナント内のトラフィックは、ファブリックによってルーティングされます。テナント間のトラフィックは、ファイアウォールによってルーティングされます。このシナリオは、多くの場合、テナント間またはテナント エッジ ファイアウォールに関連しています。
内部ゾーンと外部ゾーンの 2 つのゾーンを検討します。このシナリオでは、ファブリック上の VRF 定義が必要です。VRF を内部 VRF および外部 VRF と呼ぶことができます。同じ VRF 内のサブネット間のトラフィックは、分散ゲートウェイを使用して VXLAN ファブリックでルーティングされます。VRF 間のトラフィックは、ルールが適用されるファイアウォールによってルーティングされます。
ファイアウォールがルーティング プロトコルの実行をサポートしていない場合は、各 VTEP にネクスト ホップとしてファイアウォールを指す静的ルートが必要です。ファイアウォールには、ネクスト ホップとしてエニーキャスト ゲートウェイ IP を指す静的ルートもあります。静的ルートの課題は、アクティブ ファイアウォールを備えた VTEP が、ファブリックへのルートをアドバタイズする必要があることです。これを実現する1つの方法は、HMM を介してアクティブなファイアウォールの到達可能性を追跡し、この追跡を使用してルートをファブリックにアドバタイズすることです。アクティブなファイアウォールが VTEP A に接続されている場合、VTEP A には、ファイアウォール IP が HMM ルートとして学習された場合にルートがアドバタイズされる場所を追跡する静的ルートがあります。ファイアウォールに障害が発生し、スタンバイ ファイアウォールが引き継ぐと、VTEP A は BGP を使用してファイアウォール IP を学習し、VTEP B は HMM を使用してファイアウォール IP を学習します。VTEP A はルートを取り消し、VTEP B はファブリックにルートをアドバタイズします。次の例を参照してください。
VTEP A および VTEP B:
Vlan 10
Name inside
Vn-segment 10010
Vlan 20
Name outside
Vn-segment 10020
Interface VLAN 10
Description inside_vlan
VRF member INSIDE
IP address 10.1.1.254/24
fabric forwarding mode anycast-gateway
Interface VLAN 20
Description outside_vlan
VRF member OUTSIDE
IP address 20.1.1.254/24
fabric forwarding mode anycast-gateway
interface nve1
no shutdown
host-reachability protocol bgp
source-interface loopback1
member vni 10010
mcastgroup 239.1.1.1
member vni 10020
mcastgroup 239.1.1.1
member vni 1001000 associate-vrf
member vni 1002000 associate-vrf
track 10 ip route 10.1.1.1/32 reachability hmm
vrf member INSIDE
!
VRF context INSIDE
Vni 1001000
IP route 20.1.1.0/24 10.1.1.1 track 10
track 20 ip route 20.1.1.1/32 reachability hmm
vrf member OUTSIDE
!
VRF context OUTSIDE
Vni 1001000
IP route 10.1.1.0/24 20.1.1.1 track 20
VTEPA# show track 10 Track 10
IP Route 20.1.1.1/32 Reachability Reachability is UP
VTEPA# show ip route 20.1.1.0/24 vrf INSIDE
IP Route Table for VRF "INSIDE"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
20.1.1.0/24, ubest/mbest: 1/0
*via 10.1.1.1 [1/0], 00:00:08, static
Firewall Failure on VTEP A caused the track to go down causing VTEP A to withdraw the static route.
VTEPA# show track 20 Track 20
IP Route 20.1.1.1/32 Reachability Reachability is DOWN
VTEPA# show ip route 20.1.1.0/24 vrf INSIDE
IP Route Table for VRF "RED"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
Route not found
このアプローチでは、内部または外部 VRF が存在する場所に静的ルートが設定されます。ネクスト ホップはホストルート(EVPN Route-Type2)を介して到達可能であるため、アクティブ ファイアウォールのスタンバイへの変更、およびその逆の変更はローカルでのみ行われ、他の VXLAN ファブリックにチャーンは発生しません。このアプローチは、拡張性の向上とコンバージェンスの向上に役立ちます。
任意の VTEP:
VRF context OUTSIDE
Vni 1002000
IP route 10.1.1.0/24 20.1.1.1
! static route on VTEP pointing to Firewall next hop
! firewall VIP 20.1.1.1
VRF context INSIDE
Vni 1001000
IP route 20.1.1.0/24 10.1.1.1
! static route on VTEP pointing to Firewall next hop
! firewall VIP 10.1.1.1
再配布によって、示されているアクティブなファイアウォールへのルートを、それが存在する VTEP に作成します。ルートはプレフィックスルート(EVPN Route-Type5)と見なされ、アクティブなファイアウォールがある VTEP へのルートのみが表示されます。ファイアウォールのアクティブ/スタンバイ変更の場合、トラッキングは変更を検出し、この変更をすべてのリモート VTEP に通知する必要があります。この動作は、ルートが「削除」され、その後に「追加」されることに相当します。このアプローチでは、VRF を使用してすべての VTEP に通知する必要があるため、より大きなチャーンが見られます。
VTEP A および VTEP B:
router bgp 65000
vrf OUTSIDE
address-family ipv4 unicast
redistribute static route-map Static-to-BGP
VTEP A および VTEP B:
Vlan 10
Name inside
Vn-segment 10010
Vlan 20
Name outside
Vn-segment 10020
interface nve1
no shutdown
host-reachability protocol bgp
source-interface loopback1
member vni 10010
mcastgroup 239.1.1.1
member vni 10020
mcastgroup 239.1.1.1
member vni 1001000 associate-vrf
member vni 1002000 associate-vrf
Interface VLAN 10
Description inside_vlan
VRF member INSIDE
IP address 10.1.1.254/24
fabric forwarding mode anycast-gateway
Interface VLAN 20
Description outside_vlan
VRF member OUTSIDE
IP address 20.1.1.254/24
fabric forwarding mode anycast-gateway
VRF context INSIDE
Vni 1001000
IP route 20.1.1.0/24 10.1.1.1
! static route on VTEP pointing to Firewall next hop
! firewall VIP 10.1.1.1
VRF context OUTSIDE
Vni 1002000
IP route 10.1.1.0/24 20.1.1.1
! static route on VTEP pointing to Firewall next hop
! firewall VIP 20.1.1.1
router bgp 65000
vrf INSIDE
address-family ipv4 unicast
redistribute static route-map INSIDE-to-BGP
vrf OUTSIDE
address-family ipv4 unicast
redistribute static route-map OUTSIDE-to-BGP
ファイアウォールが BGP をサポートしている場合、1 つのオプションは、ファイアウォールとサービス VTEP 間のプロトコルとして BGP を使用することです。エニーキャスト IP を使用したピアリングはサポートされていません。推奨される設計は、ループ バックを使用して各 VTEP およびピアで専用ループバック IP を使用することです。ループバック インターフェイスが EVPN を介してアドバタイズされない限り、同じ IP アドレスをすべての属する VTEP で使用できます。VTEP 単位で個々の IP アドレスを使用することを推奨します。
ファイアウォールからループバックへの到達可能性は、VTEP 上のエニーキャスト ゲートウェイ IP を指すファイアウォール上のスタティック ルートを使用して設定できます。
次の例では、AS 65000 にある VTEP と AS 65002 にあるファイアウォールから eBGP ピアリングが確立されます。iBGP との BGP ピアリングはサポートされていません。
 (注) |
異なる VTEP に接続されたアクティブ/スタンバイファイアウォールへの export-gateway-ip を有効にする必要があります。 BGP ピアリングにエニーキャスト ゲートウェイを使用しないでください。 |
VTEP A:
Vlan 10
Name inside
Vn-segment 10010
Vlan 20
Name outside
Vn-segment 10020
Interface VLAN 10
Description inside_vlan
VRF member INSIDE
IP address 10.1.1.254/24
fabric forwarding mode anycast-gateway
Interface loopback100
Vrf member INSIDE
Ip address 172.16.1.253/32
Interface VLAN 20
Description outside_vlan
VRF member OUTSIDE
IP address 20.1.1.254/24
fabric forwarding mode anycast-gateway
Interface loopback101
Vrf member OUTSIDE
Ip address 172.18.1.253/32
router bgp 65000
vrf INSIDE
! peer with Firewall Inside
neighbor 10.1.1.0/24 remote-as 65123
update-source loopback100
ebgp-multihop 5
address-family ipv4 unicast
local-as 65051 no-prepend replace-as
vrf OUTSIDE
! peer with Firewall Outside
neighbor 20.1.1.0/24 remote-as 65123
update-source loopback101
ebgp-multihop 5
address-family ipv4 unicast
local-as 65052 no-prepend replace-as
VTEP B:
Vlan 10
Name inside
Vn-segment 10010
Vlan 20
Name outside
Vn-segment 10020
Interface VLAN 10
Description inside_vlan
VRF member INSIDE
IP address 10.1.1.254/24
fabric forwarding mode anycast-gateway
Interface loopback100
Vrf member INSIDE
Ip address 172.16.1.254/32
Interface VLAN 20
Description outside_vlan
VRF member OUTSIDE
IP address 20.1.1.254/24
fabric forwarding mode anycast-gateway
Interface loopback101
Vrf member OUTSIDE
Ip address 172.18.1.254/32
router bgp 65000
vrf INSIDE
! peer with Firewall Inside
neighbor 10.1.1.0/24 remote-as 65123
update-source loopback100
ebgp-multihop 5
address-family ipv4 unicast
local-as 65051 no-prepend replace-as
vrf OUTSIDE
! peer with Firewall Outside
neighbor 20.1.1.0/24 remote-as 65123
update-source loopback101
ebgp-multihop 5
address-family ipv4 unicast
local-as 65052 no-prepend replace-as
通常、VXLAN ファブリックは単一の BGP 自律システム(AS)内にあるため、内部 VRF と外部 VRF の AS は同じです。BGP は、自身の AS から受信したルートをインストールしません。したがって、このルールをオーバーライドするには、AS パスを調整する必要があります。BGP が自身の AS からルートをドロップするというルールを無効にするなど、さまざまなアプローチが存在します。これは、ネットワークにさらに影響を与えます。すべての BGP 保護メカニズムを維持するために、「local-as」アプローチでは、異なる AS から発信されたルートを模倣できます。VRF ごとに異なる「local-as」を持つ各ファイアウォール ピアリングに「local-as#ASN#no-prepend replace-as」を挿入することを推奨します。
ファイアウォールが BGP をサポートしている場合、1 つのオプションは、ファイアウォールとサービス VTEP 間のプロトコルとして BGP を使用することです。エニーキャスト IP を使用したピアリングはサポートされていません。推奨される設計は、ループ バックを使用して各 VTEP およびピアで専用ループバック IP を使用することです。ループバック インターフェイスが EVPN を介してアドバタイズされない限り、同じ IP アドレスをすべての属する VTEP で使用できます。VTEP 単位で個々の IP アドレスを使用することを推奨します。vPC 環境の場合は必須です。
ファイアウォールからループバックへの到達可能性は、VTEP 上のエニーキャスト ゲートウェイ IP を指すファイアウォール上のスタティック ルートを使用して設定できます。
vPC 導入では、vPC ピアリンクを介した VRF ごとのピアリングが必要です。VRF 単位のピアリングに加えて、advertise-pip コマンドを使用してプレフィックス ルートのアドバタイズメント(EVPN ルート タイプ 5)を有効にできます。ファブリック ピアリングを使用する vPC の場合、VRF ごとのピアリングは必要なく、プレフィックス ルートのアドバタイズメント(EVPN Route-Type5)が必要です。
次の例では、AS 65000 にある VTEP と AS 65002 にあるファイアウォールから eBGP ピアリングが確立されます。iBGP との BGP ピアリングはサポートされていません。
(注) |
異なる VTEP に接続されたアクティブ/スタンバイファイアウォールへの export-gateway-ip を有効にする必要があります。 BGP ピアリングにエニーキャスト ゲートウェイを使用しないでください。 |
VTEP A:
Vlan 10
Name inside
Vn-segment 10010
Vlan 20
Name outside
Vn-segment 10020
Interface VLAN 10
Description inside_vlan
VRF member INSIDE
IP address 10.1.1.254/24
fabric forwarding mode anycast-gateway
Interface loopback100
Vrf member INSIDE
Ip address 172.16.1.253/32
Interface VLAN 20
Description outside_vlan
VRF member OUTSIDE
IP address 20.1.1.254/24
fabric forwarding mode anycast-gateway
Interface loopback101
Vrf member OUTSIDE
Ip address 172.18.1.253/32
router bgp 65000
vrf INSIDE
! peer with Firewall Inside
neighbor 10.1.1.0/24 remote-as 65123
update-source loopback100
ebgp-multihop 5
address-family ipv4 unicast
local-as 65051 no-prepend replace-as
vrf OUTSIDE
! peer with Firewall Outside
neighbor 20.1.1.0/24 remote-as 65123
update-source loopback101
ebgp-multihop 5
address-family ipv4 unicast
local-as 65052 no-prepend replace-as
VTEP B:
Vlan 10
Name inside
Vn-segment 10010
Vlan 20
Name outside
Vn-segment 10020
Interface VLAN 10
Description inside_vlan
VRF member INSIDE
IP address 10.1.1.254/24
fabric forwarding mode anycast-gateway
Interface loopback100
Vrf member INSIDE
Ip address 172.16.1.254/32
Interface VLAN 20
Description outside_vlan
VRF member OUTSIDE
IP address 20.1.1.254/24
fabric forwarding mode anycast-gateway
Interface loopback101
Vrf member OUTSIDE
Ip address 172.18.1.254/32
router bgp 65000
vrf INSIDE
! peer with Firewall Inside
neighbor 10.1.1.0/24 remote-as 65123
update-source loopback100
ebgp-multihop 5
address-family ipv4 unicast
local-as 65051 no-prepend replace-as
vrf OUTSIDE
! peer with Firewall Outside
neighbor 20.1.1.0/24 remote-as 65123
update-source loopback101
ebgp-multihop 5
address-family ipv4 unicast
local-as 65052 no-prepend replace-as
VTEP A および VTEP B:
vlan 3966
! vlan use for peering between the vPC VTEPS
vlan 3967
! vlan use for peering between the vPC VTEPS
system nve infra-vlans 3966,3967
interface vlan 3966
vrf memner INSIDE
ip address 100.1.1.1/31
interface vlan 3967
vrf memner OUTSIDE
ip address 100.1.2.1/31
router bgp 65000
vrf INSIDE
neighbor 100.1.1.0 remote-as 65000
update-source vlan 3966
next-hop self
address-family ipv4 unicast
vrf OUTSIDE
neighbor 100.1.2.0 remote-as 65000
update-source vlan 3967
next-hop self
address-family ipv4 unicast
各 VRF で学習されたルートは、BGP EVPN 更新を介してファブリックの残りの部分にアドバタイズされます。
Cisco NX-OS は、レイヤ 3 を使用した vPC 経由のダイナミック OSPF ピアリングをサポートします。これにより、vPC を使用したファイアウォール接続が可能になり、このリンク上で OSPF ピアリングが確立されます。Cisco Nexus 9000 スイッチとファイアウォール間のピアリングを確立するために使用される VLAN は、非 VXLAN 対応 VLAN である必要があります。
(注) |
OSPF 隣接にはエニーキャスト ゲートウェイを使用しないでください。 |
VTEP A:
Vlan 10
Name inside
Vlan 20
Name outside
Interface VLAN 10
Description inside_vlan
VRF member INSIDE
IP address 10.1.1.253/24
Ip router ospf 1 area 0
Interface VLAN 20
Description outside_vlan
VRF member OUTSIDE
IP address 20.1.1.253/24
Ip router ospf 1 area 0
vpc domain 100
layer3 peer-router
peer-gateway
peer-switch
peer-keepalive destination x.x.x.x source x.x.x.x peer-gateway
ipv6 nd synchronize
ip arp synchronize
router ospf 1
router-id 192.168.1.1
vrf INSIDE
VRF OUTSIDE
VTEP B:
Vlan 10
Name inside
Vlan 20
Name outside
Interface VLAN 10
Description inside_vlan
VRF member INSIDE
IP address 10.1.1.254/24
Ip router ospf 1 area 0
Interface VLAN 20
Description outside_vlan
VRF member OUTSIDE
IP address 20.1.1.254/24
Ip router ospf 1 area 0
vpc domain 100
layer3 peer-router
peer-gateway
peer-switch
peer-keepalive destination x.x.x.x source x.x.x.x peer-gateway
ipv6 nd synchronize
ip arp synchronize
router ospf 1
router-id 192.168.2.1
vrf INSIDE
VRF OUTSIDE
VTEPA# show ip route ospf-1 vrf OUTSIDE
IP Route Table for VRF "OUTSIDE"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
10.1.1.0/24, ubest/mbest: 1/0
*via 20.1.1.1 Vlan20, [110/41], 1w5d, ospf-1, intra
VTEPA# show ip route ospf-1 vrf INSIDE
IP Route Table for VRF "INSIDE"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
20.1.1.0/24, ubest/mbest: 1/0
*via 10.1.1.1 Vlan10, [110/41], 1w5d, ospf-1, intra
VTEP A および VTEP B:
router bgp 65000
vrf OUTSIDE
address-family ipv4 unicast
redistribute ospf 1 route-map OUTSIDEOSPF-to-BGP
vrf INSIDE
address-family ipv4 unicast
redistribute ospf 1 route-map INSIDEOSPF-to-BGP
この導入モデルでは、VXLAN ファブリックはレイヤ 2 ファブリックであり、デフォルト ゲートウェイはファイアウォール上にあります。
次に例を示します。
vlan 10
name WEB
vn-segment 10010
vlan 20
name APPLICATION
vn-segment 10020
vlan 30
name DATABASE
vn-segment 10030
interface nve1
no shutdown
host-reachability protocol bgp
source-interface loopback1
member vni 10010
mcastgroup 239.1.1.1
member vni 10020
mcastgroup 239.1.1.1
member vni 10030
mcastgroup 239.1.1.1
ファイアウォールは、各 VNI に論理インターフェイスを持ち、すべてのエンドポイントのデフォルト ゲートウェイです。すべての VNI 間通信はファイアウォールを通過します。ファイアウォールがボトルネックにならないように、ファイアウォールのサイジングには特に注意してください。したがって、この設計は、低帯域幅要件の環境で使用してください。
トランスペアレント ファイアウォールまたはレイヤ 2 ファイアウォール(IPS/IDS を含む)は、通常、内部 VLAN と外部 VLAN をブリッジし、トラフィックが通過するときに検査します。VLAN スティッチングは、サービスのデフォルト ゲートウェイを内部 VLAN に配置することによって行われます。このゲートウェイへのレイヤ 2 の到達可能性は、外部 VLAN で行われます。
トポロジには、次のタイプの VLAN が含まれます。
内部 VLAN(通常の VXLAN を ToR リーフにエニーキャスト ゲートウェイ付きで配置)
ファイアウォール非信頼 VLAN X
ファイアウォール信頼 VLAN Y
このトポロジにおいて、VLAN X から他の VLAN へのトラフィックは、サービス リーフに接続されているトランスペアレント レイヤ 2 ファイアウォールを経由する必要があります。このトポロジは、信頼できない VLAN X と信頼できる VLAN Y のアプローチを使用します。すべての ToR リーフにはレイヤ 2 VNI VLAN X があります。VLANX の SVI はありません。ファイアウォールに接続されているサービス リーフにはレイヤ 2 VNI VLAN X 、非 VXLAN VLAN Y、および HSRP ゲートウェイを使用する SVIY があります。
(注) |
VXLAN EVPN の場合、トランスペアレント ファイアウォールを挿入した分散型エニーキャスト ゲートウェイを使用することを推奨します。これにより、すべての VLAN を VXLAN 対応にできます。HSRP/VRRP ベースのファーストホップ ゲートウェイを使用する場合、SVI の VLAN は VXLAN 対応にできず、冗長性のために vPC ペア上に存在する必要があります。 |
VLAN X のホスト: 10.1.94.101
ToR リーフ: N9372-1
vPC 中のサービス リーフ: N9332-1 および N9332-2
ボーダー リーフ:N9332-5
ToR リーフ設定
vlan 94
vn-segment 100094
interface nve1
member vni 100094
mcastgroup 239.1.1.1
router bgp 64500
routerid 1.1.2.1
neighbor 1.1.1.1 remote-as 64500
address-family l2vpn evpn
send-community extended
neighbor 1.1.1.2 remote-as 64500
address-family l2vpn evpn
send-community extended
vrf Ten1
address-family ipv4 unicast
advertise l2vpn evpn
evpn
vni 100094 l2
rd auto
route-target import auto
route-target export auto
HSRP を使用したサービス リーフ 1 設定
vlan 94
description untrusted_vlan
vn-segment 100094
vlan 95
description trusted_vlan
vpc domain 10
peer-switch
peer-keepalive destination 10.1.59.160
peer-gateway
auto-recovery
ip arp synchronize
interface Vlan2
description vpc_backup_svi_for_overlay
no shutdown
no ip redirects
ip address 10.10.60.17/30
no ipv6 redirects
ip router ospf 100 area 0.0.0.0
ip ospf bfd
ip pim sparsemode
interface Vlan95
description SVI_for_trusted_vlan
no shutdown
mtu 9216
vrf member Ten-1
no ip redirects
ip address 10.0.94.2/24
hsrp 0
preempt priority 255
ip 10.0.94.1
interface nve1
member vni 100094
mcast-group 239.1.1.1
router bgp 64500
routerid 1.1.2.1
neighbor 1.1.1.1 remote-as 64500
address-family l2vpn evpn
send-community extended
neighbor 1.1.1.2 remote-as 64500
address-family l2vpn evpn
send-community extended
vrf Ten-1
address-family ipv4 unicast
network 10.0.94.0/24 /*advertise /24 for SVI 95 subnet; it is not VXLAN anymore*/
advertise l2vpn evpn
evpn
vni 100094 l2
rd auto
route-target import auto
route-target export auto
HSRP を使用したサービス リーフ 2 設定
vlan 94
description untrusted_vlan
vnsegment 100094
vlan 95
description trusted_vlan
vpc domain 10
peer-switch
peer-keepalive destination 10.1.59.159
peer-gateway
auto-recovery
ip arp synchronize
interface Vlan2
description vpc_backup_svi_for_overlay
no shutdown
no ip redirects
ip address 10.10.60.18/30
no ipv6 redirects
ip router ospf 100 area 0.0.0.0
ip pim sparsemode
interface Vlan95
description SVI_for_trusted_vlan
no shutdown
mtu 9216
vrf member Ten-1
no ip redirects
ip address 10.0.94.3/24
hsrp 0
preempt priority 255
ip 10.0.94.1
interface nve1
member vni 100094
mcastgroup 239.1.1.1
router bgp 64500
router-id 1.1.2.1
neighbor 1.1.1.1 remote-as 64500
address-family l2vpn evpn
send-community extended
neighbor 1.1.1.2 remote-as 64500
address-family l2vpn evpn
send-community extended
vrf Ten-1
address-family ipv4 unicast
network 10.0.94.0/24 /*advertise /24 for SVI 95 subnet; it is not VXLAN anymore*/
advertise l2vpn evpn
evpn
vni 100094 l2
rd auto
route-target import auto
route-target export auto
入力リーフが学習したホストからのローカル MAC の情報を表示します。
switch# sh mac add vl 94 | i 5b|MAC
* primary entry, G - Gateway MAC, (R) Routed - MAC, O - Overlay MAC
VLAN MAC Address Type age Secure NTFY Ports
* 94 d8b1.9071.5beb dynamic 0 F F Eth1/1
サービス リーフが検出したホストの MAC の情報を表示します。
(注) |
VLAN 94 において、サービス リーフが学習するホスト MAC は、BGP によってリモート ピアから得られます。 |
switch# sh mac add vl 94 | i VLAN|eb
VLAN MAC Address Type age Secure NTFY Ports
* 94 d8b1.9071.5beb dynamic 0 F F nve1(1.1.2.1)
switch# sh mac add vl 94 | i VLAN|eb
VLAN MAC Address Type age Secure NTFY Ports
* 94 d8b1.9071.5beb dynamic 0 F F nve1(1.1.2.1)
switch# sh mac add vl 95 | i VLAN|eb
VLAN MAC Address Type age Secure NTFY Ports
+ 95 d8b1.9071.5beb dynamic 0 F F Po300
switch# sh mac add vl 95 | i VLAN|eb
VLAN MAC Address Type age Secure NTFY Ports
+ 95 d8b1.9071.5beb dynamic 0 F F Po300
サービス リーフが学習した VLAN 95 にあるホストの ARP の情報を表示します。
switch# sh ip arp vrf ten-1
Address Age MAC Address Interface
10.0.94.101 00:00:26 d8b1.9071.5beb Vlan95
サービス リーフは EVPN から 9.9.9.9 を学習します。
switch# sh ip route vrf ten-1 9.9.9.9
IP Route Table for VRF "Ten-1"
'*' denotes best ucast nexthop
'**' denotes best mcast nexthop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
9.9.9.9/32, ubest/mbest: 1/0
*via 1.1.2.7%default, [200/0], 02:57:27, bgp64500,internal, tag 65000 (evpn) segid: 10011
tunnelid: 0x1
010207 encap: VXLAN
ボーダー リーフが学習した BGP によるホスト ルートの情報を表示します。
switch# sh ip route 10.0.94.101
IP Route Table for VRF "default"
'*' denotes best ucast nexthop
'**' denotes best mcast nexthop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
10.0.94.0/24, ubest/mbest: 1/0
*via 10.100.5.0, [20/0], 03:14:27, bgp65000,external, tag 6450
このセクションでは、BGP EVPN コントロール プレーンを使用して VXLAN ファブリックを実行している複数のサイトにまたがるファイアウォール クラスタを構成する方法について詳しく説明します。
次のトポロジは、VXLAN EVPN を使用したファイアウォール クラスタリングを示しています。
このトポロジは、次のものをカバーします。
ファイアウォール クラスタは、単一デバイスとして動作する複数のインスタンスで構成されています。
ファイアウォールへのルーテッド アクセスは、異なるサブネットまたは同じサブネットを介して行うことができます。
ファイアウォールは、すべてのインスタンスにまたがる L2 ポート チャネルを採用しています。
共通の ESI では、ファイアウォール クラスタに接続するすべての vPC ポートチャネルが示されます。
すべてのインスタンスに単一の VIP/VMAC が存在します。
サイトごとの BGP-EVPN VXLAN オーバーレイは、ボーダー ゲートウェイでステッチされます。
同じサイト内のアクティブからアクティブへのインスタンスのエニーキャスト転送と、トラフィック フローのためのサイト全体のファイアウォールへのアクティブからバックアップへのアクセスがサポートされています。
各サイトには、ポートチャネル インターフェイスが割り当てられたクラスタに接続された単一の vPC ペアがあります。
クラスタ VIP およびクラスタ VMAC は、BGP EVPN ルート ターゲット -2s として VXLAN EVPN ファブリックにアドバタイズされます(ESI は各 vPC のポート チャネル インターフェイスで構成された値に設定されます)。ルート ターゲット 2 のネクスト ホップは、vPC ペアの VTEP VIP アドレスです。
各サイトには複数のクラスターが含まれる場合があります。クラスタは、固有の ESI を持つ個々のポートチャネルを使用して vPC ペアに接続されます。
各クラスタには、BGP EVPN ルート ターゲット -2s として VXLAN EVPN ファブリックにアドバタイズされる独自の cVIP と cVMAC があります(ESI はその vPC のポートチャネル インターフェイスで構成された値に設定されています)。
クラスタには、vPC ペアに接続されたポート チャネル上に複数の VLAN がある場合があります。VLAN で学習された各 cVIP/cVMAC は、対応する L2VNI を使用してルート T-2 EVPN ルートとしてアドバタイズされます。
VIP および VMAC(ファイアウォール ホスト)は、単一の spanned Ether-channel に接続されます。
Spanned Ether-channel はサイト全体に拡張されます。
VIP へのエニーキャスト転送は、既存の BGP パス属性と最適パスの選択を利用して決定されます。
ファイアウォール クラスタに接続されている VTEP リーフでは、BGP はルート マップを使用してコミュニティをファイアウォール クラスタ関連の EVPN EAD/ES(タイプ 1)および MAC/IP(タイプ 2)ルートに接続します。
router bgp 12000
address-family l2vpn evpn
originate-map set_esi
template peer SITE-BGW
remote-as 12000
update-source loopback1
address-family l2vpn evpn
send-community
send-community extended
template peer VTEP-PEERS
remote-as 12000
update-source loopback1
address-family l2vpn evpn
send-community
send-community extendedボーダー ゲートウェイでは、BGP はルート マップを使用して、EVPN EAD/ES(タイプ 1)および MAC/IP(タイプ 2)ルートに接続されたファイアウォール クラスタリング コミュニティを照合します。
router bgp 11000
bestpath as-path multipath-relax
neighbor 111.111.10.1 remote-as 12000
peer-type fabric-external
address-family l2vpn evpn
send-community
send-community extended
route-map preserve_esi out
rewrite-evpn-rt-asnファイアウォール クラスタに接続されている VTEP リーフで、コミュニティをファイアウォール クラスタ関連の EVPN EAD/ES(タイプ 1)および MAC/IP(タイプ 2)ルートに接続するようにルート マップを構成する必要があります。
route-map set_esi permit 10
match tag 100000
match evpn route-type 1 2
set community 23456:12345
route-map set_esi permit 15 注意 |
ネイバー アドレス ファミリ モードの下の route-map <name> 外 BGP コマンドに関連付けられているルートマップの match tag コマンドは、 address-family l2vpn evpn の下で構成されている場合のみサポートされます。 |
ボーダー ゲートウェイでは、EVPN EAD/ES(タイプ 1)および MAC/IP(タイプ 2)ルートに接続されたファイアウォール クラスタリング コミュニティと一致するように、ファブリック内部ピアとファブリック外部ピアに個別のルート マップを構成する必要があります。
アウトバウンド L2VPN/EVPN ルート マップをファブリック内部ピアに一致させる:
route-map preserve_esi permit 10
match community preserve_esi
match evpn route-type 2
set esi unchanged
route-map preserve_esi permit 15
route-map preserve_esi permit 30アウトバウンド L2VPN/EVPN ルート マップをファブリック外部ピアに一致させる:
route-map preserve_esi_external permit 10
match community preserve_esi
match evpn route-type 2
set esi unchanged
route-map preserve_esi_external permit 15
match community preserve_esi
match evpn route-type 1
route-map preserve_esi_external permit 20
match evpn route-type 1
match route-type local
route-map preserve_esi_external deny 25
match evpn route-type 1
route-map preserve_esi_external permit 30イーサネット セグメントは、vPC ポート チャネルの下でのみ構成できます。
interface port-channel 100
ethernet-segment vpc
esi <esi> [ tag <uint >]
interface port-channel 200
ethernet-segment vpc
esi system-mac <system-mac> <local-identifier> [tag <uint>]共通の ESI では、ファイアウォール クラスタに接続するすべての vPC ポートチャネルが示されます。vPC ポート チャネルで ESI を構成できます。
evpn esi multihoming
port-channel 100
ethernet-segment 1
system-mac aa.bb.cc <anycast-host>同じファイアウォール クラスタをホストするすべての vPC ポート チャネルに対して、同じシステム MAC を維持します。
ファイアウォールの詳細については、「VXLAN ファブリックでのレイヤ 3 ファイアウォールの統合」を参照してください。
今日では、データセンター内のアプリケーションを保護および最適化するために、ファイアウォール、ロードバランサなどのサービス アプライアンス(サービス ノードまたはサービス エンドポイントとも呼ばれる)の挿入が必要です。このセクションでは、VXLAN EVPN ファブリックで提供されるレイヤ 4 ~ レイヤ 7 サービスの挿入およびリダイレクト機能について説明します。これらのサービスにトラフィックをオンボードして選択的にリダイレクトする高度なメカニズムを提供します。
ポリシーベースのリダイレクト(PBR)は、ルーティング テーブル ルックアップをバイパスし、VXLAN 経由で到達可能なネクスト ホップ IP にトラフィックをリダイレクトするメカニズムを提供します。この機能により、ファイアウォールやロード バランサなどのレイヤ 4-レイヤ 7 デバイスへのサービス リダイレクションが可能になります。
PBRでは、トラフィックの転送先を指定するルールを使用してルート マップを設定します。ルート マップは、テナント側の SVI に適用され、ホスト側のインターフェイスからファブリック経由で到達可能なネクスト ホップへのトラフィックに影響を与えます。
トラフィックがオーバーレイから VTEP に着信し、別のネクスト ホップにリダイレクトする必要があるシナリオでは、レイヤ 3 VNI インターフェイスに面するファブリックに PBR ポリシーを適用する必要があります。
前の図では、アプリケーション グループ 1 とアプリケーション グループ 2 間の通信は、デフォルトでテナント VRF のVLAN 間/VNI ルーティングを介して行われます。アプリケーション グループ 1 からアプリケーション グループ 2 へのトラフィックがファイアウォールを通過する必要があるという要件がある場合、PBR ポリシーを使用してトラフィックをリダイレクトできます。「ポリシーベース リダイレクトの構成例」のセクションの例では、トラフィック フローをリダイレクトするために必要な構成が示されています。
この VXLAN PBR 機能は非常に基本的なものであり、VXLAN ファブリックにサービスを適切に挿入するために必要な機能の多くが不足しています。したがって、「Enhanced-Policy Based Redirect(ePBR)」セクションで説明されているすべての理由から、代わりに ePBR を確認することをお勧めします。
PBR over VXLAN には、次の注意事項と制限事項が適用されます。
次のプラットフォームは、PBR over VXLAN をサポートしています。
Cisco Nexus 9332C および 9364C スイッチ
Cisco Nexus 9300-EX スイッチ
Cisco Nexus 9300-FX/FX2/FX3 スイッチ
Cisco Nexus 9300-GX スイッチ
Cisco Nexus 9300-GX2 スイッチ
Cisco Nexus 9332D-H2R スイッチ
Cisco Nexus 93400LD-H1 スイッチ
Cisco Nexus 9364C-H1 スイッチ
-EX/FX/FX3 ライン カードを搭載した Cisco Nexus 9504 および 9508 スイッチ
Cisco NX-OS リリース 10.2(3)F 以降、VXLAN PBR 機能は、すべての TOR スイッチの VXLANv6 でサポートされます。
PBR over VXLAN は、set {ip | ipv6} next-hopip-address コマンドの VTEP ECMP、およびload-share キーワードをサポートしていません。
bestpath as-path multipath-relax を構成すると、BGP は IPv4 のすべてのマルチパスをパスの中で最小の使用可能メトリック の URIB をベストパスとしてインストールします。
bestpath as-path multipath-relax を構成する時、BGP は、U6RIB 内で IPv6 を全てのマルチパスをベストパスとしてインストールしません。これらのパスで使用可能な個々のメトリックは引き続き使用できます。
高度な(および推奨される)ePBR 機能が展開されていない場合に基本的な PBR を構成するには、次のセクションを参照してください。
ルート ポリシーを設定するには、あらかじめポリシーベース リダイレクト機能をイネーブル化しておく必要があります。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 2 |
[no] feature pbr 例: |
ポリシーベース ルーティング機能をイネーブルにします。 |
|
ステップ 3 |
(任意) show feature 例: |
(任意)
有効および無効にされた機能を表示します。 |
|
ステップ 4 |
(任意) copy running-config startup-config 例: |
(任意)
この設定変更を保存します。 |
ポリシーベース ルーティングでルート マップを使用すると、着信インターフェイスにルーティング ポリシーを割り当てることができます。Cisco NX-OS はネクスト ホップおよびインターフェイスを検出するときに、パケットをルーティングします。
(注) |
スイッチには、IPv4 トラフィック用の RACL TCAM リージョンがデフォルトで用意されています。 |
ポリシーベース ルーティング ポリシーを適用するには、あらかじめ RACL TCAM リージョンを(TCAM カービングを使用して)設定する必要があります。詳細については『Cisco Nexus 9000 Series NX-OS Security Configuration Guide, Release 9.2(x)』の「Configuring ACL TCAM Region Sizes」の項を参照してください。
| コマンドまたはアクション | 目的 | |
|---|---|---|
|
ステップ 1 |
configure terminal 例: |
グローバル コンフィギュレーション モードを開始します。 |
|
ステップ 2 |
interface type slot/port 例: |
インターフェイス設定モードを開始します。 |
|
ステップ 3 |
{ip | ipv6} policy route-map map-name 例: |
IPv4 または IPv6 ポリシーベース ルーティング用のルート マップをインターフェイスに割り当てます。 |
|
ステップ 4 |
route-map map-name [permit | deny] [seq] 例: |
ルート マップを作成するか、または既存のルート マップに対応するルート マップ設定モードを開始します。ルート マップのエントリを順序付けるには、seq を使用します。 |
|
ステップ 5 |
match {ip | ipv6} address access-list-name name [name...] 例: |
1 つまたは複数の IPv4 または IPv6 アクセス コントロール リスト(ACL)に対して IPv4 または IPv6 アドレスを照合します。このコマンドはポリシーベース ルーティング用であり、ルート フィルタリングまたは再配布では無視されます。 |
|
ステップ 6 |
set ip next-hop address1 例: |
ポリシーベース ルーティング用の IPv4 ネクストホップ アドレスを設定します。 |
|
ステップ 7 |
set ipv6 next-hop address1 例: |
ポリシーベース ルーティング用の IPv6 ネクストホップ アドレスを設定します。 |
|
ステップ 8 |
(任意) set interface null0 例: |
(任意)
ルーティングに使用するインターフェイスを設定します。パケットをドロップするには null0 インターフェイスを使用します。 |
|
ステップ 9 |
(任意) copy running-config startup-config 例: |
(任意)
この設定変更を保存します。 |
ポリシーベース リダイレクト設定情報を表示するには、次の作業のいずれかを行います。
|
コマンド |
目的 |
|---|---|
|
show [ip | ipv6] policy [name] |
IPv4 または IPv6 ポリシーに関する情報を表示します。 |
|
show route-map [name] pbr-statistics |
ポリシー統計情報を表示します。 |
route-map map-name pbr-statistics コマンドを使用してポリシーを有効にします。clear route-map map-name pbr-statistics コマンドを使用してこれらのポリシーをクリアします。
サービス VTEP を除くすべてのテナント VTEP で次の設定を実行します。
feature pbr
ipv6 access-list IPV6_App_group_1
10 permit ipv6 any 2001:10:1:1::0/64
ip access-list IPV4_App_group_1
10 permit ip any 10.1.1.0/24
ipv6 access-list IPV6_App_group_2
10 permit ipv6 any 2001:20:1:1::0/64
ip access-list IPV4_App_group_2
10 permit ip any 20.1.1.0/24
route-map IPV6_PBR_Appgroup1 permit 10
match ipv6 address IPV6_App_group_2
set ipv6 next-hop 2001:100:1:1::20 (next hop is that of the firewall)
route-map IPV4_ PBR_Appgroup1 permit 10
match ip address IPV4_App_group_2
set ip next-hop 10.100.1.20 (next hop is that of the firewall)
route-map IPV6_PBR_Appgroup2 permit 10
match ipv6 address IPV6_App_group1
set ipv6 next-hop 2001:100:1:1::20 (next hop is that of the firewall)
route-map IPV4_ PBR_Appgroup2 permit 10
match ip address IPV4_App_group_1
set ip next-hop 10.100.1.20 (next hop is that of the firewall)
interface Vlan10
! tenant SVI appgroup 1
vrf member appgroup
ip address 10.1.1.1/24
no ip redirect
ipv6 address 2001:10:1:1::1/64
no ipv6 redirects
fabric forwarding mode anycast-gateway
ip policy route-map IPV4_ PBR_Appgroup1
ipv6 policy route-map IPV6_PBR_Appgroup1
interface Vlan20
! tenant SVI appgroup 2
vrf member appgroup
ip address 20.1.1.1/24
no ip redirect
ipv6 address 2001:20:1:1::1/64
no ipv6 redirects
fabric forwarding mode anycast-gateway
ip policy route-map IPV4_ PBR_Appgroup2
ipv6 policy route-map IPV6_PBR_Appgroup2
On the service VTEP, the PBR policy is applied on the tenant VRF SVI. This ensures the traffic post decapsulation will be redirected to firewall.
feature pbr
ipv6 access-list IPV6_App_group_1
10 permit ipv6 any 2001:10:1:1::0/64
ip access-list IPV4_App_group_1
10 permit ip any 10.1.1.0/24
ipv6 access-list IPV6_App_group_2
10 permit ipv6 any 2001:20:1:1::0/64
ip access-list IPV4_App_group_2
10 permit ip any 20.1.1.0/24
route-map IPV6_PBR_Appgroup1 permit 10
match ipv6 address IPV6_App_group_2
set ipv6 next-hop 2001:100:1:1::20 (next hop is that of the firewall)
route-map IPV6_PBR_Appgroup permit 20
match ipv6 address IPV6_App_group1
set ipv6 next-hop 2001:100:1:1::20 (next hop is that of the firewall)
route-map IPV4_ PBR_Appgroup permit 10
match ip address IPV4_App_group_2
set ip next-hop 10.100.1.20 (next hop is that of the firewall)
route-map IPV4_ PBR_Appgroup permit 20
match ip address IPV4_App_group_1
set ip next-hop 10.100.1.20 (next hop is that of the firewall)
interface vlan1000
!L3VNI SVI for Tenant VRF
vrf member appgroup
ip forward
ipv6 forward
ipv6 ipv6 address use-link-local-only
ip policy route-map IPV4_ PBR_Appgroup
ipv6 policy route-map IPV6_PBR_Appgroup
トラフィックを選択的にリダイレクトするソリューションとしての VXLAN PBR は、単純なトラフィックのリダイレクト要件にのみ対応できます。サービス チェーン、対称ロード バランシング、サービス アプライアンスの正常性の追跡など、より複雑なユースケースでは、PBR の使用が困難になります。PBR を使用したサービス チェーンの課題は、ユーザーがノードごとに一意のポリシーを作成し、チェーン内のすべてのノードでリダイレクション ルールを手動で管理する必要があることです。また、サービス ノードのステートフルな性質を考えると、PBR ルールはリバース トラフィックの対称性を保証する必要があり、これにより PBR ポリシーの構成と管理がさらに複雑になります。
Enhanced Policy-Based Redirect(ePBR)は、サービス ノードを挿入し、トラフィックを選択的にリダイレクトしてロードバランシングするための包括的なソリューションを提供します。 ePBR は、トラフィック チェーンとロードバランシング ルールを作成するための簡素化されたワークフローを提供するとともに、サービス アプライアンスの正常性を探査/モニタリングし、障害が発生した場合に修正措置を講じるためのオプションを提供します。 ePBR は、単一サイトとマルチサイトの両方の VXLAN EVPN 展開でサポートされます。
この図では、WAN から発信される選択的なトラフィックがファイアウォールにチェーンされ、宛先ホストに転送される前に、トラフィックはプロキシのクラスタ全体で負荷分散されます。 ePBR は、順方向と逆方向の両方のトラフィックが TCP プロキシのクラスタ内の同じサービス エンドポイントにリダイレクトされるようにすることで、特定のフローの対称性を維持します。
ePBR の詳細、注意事項、および構成例については、『Cisco Nexus 9000 Series NX-OS ePBR 構成ガイド』、『』、『』、『』および『拡張ポリシーベース リダイレクトを行うレイヤ 4 からレイヤ Layer 7 サービス リダイレクト ホワイト ペーパー』を参照してください。
フィードバック