Q-in-VNI over VXLAN の構成

VXLAN 経由の Q-in-VNI

従来のネットワーク セグメンテーションでは、作成できるセグメントの数は 4096 の VLAN に制限されています。これは、複数のテナントまたは顧客が独自のリモート対応ネットワークを必要とするクラウド コンピューティング環境などの状況では、不十分である可能性があります。VxLAN は、従来の VLAN ベースのネットワークにおける限定的なネットワークのセグメンテーションと分離の問題を解決します。

VxLAN を介した Q-in- VNI は、複数の VLAN を相互にスタックすることで、制限されたネットワークのセグメンテーションと分離の要件に対応し、さらに多くのリモート対応ネットワークのセグメンテーションと分離を可能にします。これにより、多数のリモート対応ネットワークを作成でき、クラウド コンピューティング環境や、多数のリモート対応ネットワークが必要なその他の状況に必要な柔軟性と拡張性を提供します。

つまり、VxLAN EVPN をトランスポート ネットワークとして使用する Q-in- VNI 展開は、レイヤ 2 VPN サービスを提供するための非常に効率的でスケーラブルなソリューションを提供します。これにより、ユーザーは既存のVLAN構造を維持しながらサービス プロバイダのネットワークに接続でき、VxLAN EVPN の堅牢なコントロール プレーンで高可用性と冗長性を提供できます。

VXLANファブリックでの Q-in- VNI の展開の詳細については、 『Q-in- VNI over VxLAN ファブリック展開ガイド』を参照してください。

Q-in-VNI の注意事項と制約事項

Q-in-VNI には、次の注意事項と制約事項があります。

構成の注意事項および制約事項

  • vPC VTEP でこの機能を実行する場合は、system dot1q-tunnel transit [vlan vlan-range] コマンドが必要です。

  • ポート VLAN マッピングと Q-in-VNI は同じポートに共存できません。

  • system dot1q-tunnel transit コマンドが有効になっている場合、ポート VLAN マッピングと Q-in-VNI はスイッチ上で共存できません。Cisco NX-OSリリース9.3(5) 以降では、ポートVLANマッピングとQ-in-VNIは、同じスイッチ上で、system dot1q-tunnel transit vlan vlan-range コマンドを使用して設定された異なるポートおよび異なるプロバイダーVLAN上で共存できます。

  • vPC VTEPでのL3アップリンク障害時の適切な動作のために、バックアップSVIを設定し、 system nve infra-vlans backup-svi-vlan コマンドを入力します。

  • リーフ スパイン エンジン(LSE)を使用して Cisco Nexus 9000 シリーズ スイッチのアクセス ポートとトランク ポートを構成する場合、同じスイッチ上の異なるインターフェイスにアクセス ポート、トランク ポート、および dot1q ポートを構成できます。

  • 同じ VLAN に dot1q とトランク ポート/アクセス ポートの両方を設定することはできません。

  • プロバイダー VNI で、カスタマー VLAN から発信された ARP トラフィックの ARP 抑制を無効にします。 

    switch(config)# interface nve 1
switch(config-if-nve)# member VNI 10000011
switch(config-if-nve-vni)# no suppress-arp

  • Q-in-VNI は、レイヤ 3 サブインターフェイスが設定されている VTEP と共存できません。Cisco NX-OSリリース9.3(5) 以降、この制限は Cisco Nexus、9300-FX/FX2、および 9300-GX プラットフォーム スイッチには適用されません。

  • VLAN1 が複数のプロバイダー タグを使用して選択的 Q-in-VNI を使用してネイティブ VLAN として設定されている場合、ネイティブ VLAN 上のトラフィックはドロップされます。ポートが選択的 Q-in-VNI で設定されている場合は、VLAN1 をネイティブ VLAN として設定しないでください。VLAN1 がカスタマー VLAN として設定されている場合、VLAN1 のトラフィックはドロップされます。

  • 基本ポート モードでは、dot1q トンネル ポートにアクセス VLAN が設定されている必要があります。

  • ポートのアクセス VLAN には VNI マッピングが必要です。

サポートされるプラットフォームと機能

  • Cisco Nexus 9300 プラットフォーム スイッチは単一タグをサポートします。これを有効にするには、NVEインターフェイスに対して no overlay-encapsulation vxlan-with-tag コマンドを入力します。 

    switch(config)# interface nve 1
switch(config-if-nve)# no overlay-encapsulation vxlan-with-tag
switch# show run int nve 1
 		
!Command: show running-config interface nve1
!Time: Wed Jul 20 23:26:25 2016
 
version 7.0(3u)I4(2u)
 
interface nve1
  no shutdown
  source-interface loopback0
  host-reachability protocol bgp
  member vni 900001 associate-vrf
  member vni 2000980
    mcast-group 225.4.0.1

  • Cisco NX-OS リリース 10.1(1) 以降、同じポートでの選択的 Q-in-VNI および VXLAN VLAN 機能は、Cisco Nexus 9300-FX3 プラットフォーム スイッチでサポートされます。

  • Q-in-VNI は VXLAN でのブリッジングをサポートします。VXLAN ルーティングはサポートされません。

  • Q-in-VNI および選択的 Q-in-VNI は、VXLAN フラッドアンドラーニング(入力複製あり)および VXLAN EVPN(入力複製あり)でサポートされます。

  • Cisco NX-OS リリース 10.2(3)F 以降、Cisco Nexus 9300-FX3/GX2 プラットフォーム スイッチは、レイヤ 3 サブインターフェイスが構成されている VTEP と共存する Q-in-VNI をサポートします。

  • Cisco NX-OS リリース 10.4(1)F 以降、Cisco Nexus 9332D-H2R スイッチは、レイヤ 3 サブインターフェイスが構成されている VTEP と共存する Q-in-VNI をサポートします。

  • Cisco NX-OS リリース 10.4(2)F 以降、Cisco Nexus 93400LD-H1 スイッチは、レイヤ 3 サブインターフェイスが構成されている VTEP と共存する Q-in-VNI をサポートします。

  • Cisco NX-OS リリース 10.4(3)F 以降、Cisco Nexus 9364C-H1 スイッチは、レイヤ 3 サブインターフェイスが構成されている VTEP と共存する Q-in-VNI をサポートします。

  • Cisco NX-OSリリース 9.3(5) 以降、Q-in-VNI は Cisco Nexus 9300-GX プラットフォーム スイッチでサポートされます。

  • Cisco NX-OS リリース 10.2(3)F 以降、Q-in-VNI は Cisco Nexus 9300-GX2 プラットフォーム スイッチでサポートされます。

  • Cisco NX-OS リリース 10.4(1)F 以降、Q-in-VNI は Cisco Nexus 9332D-H2R スイッチでサポートされています。

  • Cisco NX-OS リリース 10.4(2)F 以降、Q-in-VNI は Cisco Nexus 93400LD-H1 スイッチでサポートされています。

  • Cisco NX-OS リリース 10.4(3)F 以降、Q-in-VNI は Cisco Nexus 9364C-H1 スイッチでサポートされています。

  • Cisco NX-OS リリース 9.3(5) 以降、Q-in-VNI は vPC ファブリック ピアリングをサポートします。

  • Cisco NX-OS リリース 10.3(3)F 以降、IPv6アンダーレイは、Cisco Nexus 9300-FX/FX2/FX3/GX/GX2 スイッチの VXLAN EVPN のQ-in-VNI、選択的 Q-in-VNI、Q-in-Q-in-VNI でサポートされています。

  • Cisco NX-OS リリース 10.4(1)F 以降、IPv6 アンダーレイは、Cisco Nexus 9332D-H2R スイッチの VXLAN EVPN のQ-in-VNI、選択的 Q-in-VNI、Q-in-Q-in-VNI でサポートされています。

  • Cisco NX-OS リリース 10.4(2)F 以降、IPv6 アンダーレイは、Cisco Nexus 93400LD-H1 スイッチの VXLAN EVPN のQ-in-VNI、選択的 Q-in-VNI、Q-in-Q-in-VNI でサポートされています。

  • Cisco NX-OS リリース 10.4(3)F 以降、IPv6 アンダーレイは、Cisco Nexus 9364C-H1 スイッチの VXLAN EVPN のQ-in-VNI、選択的 Q-in-VNI、Q-in-Q-in-VNI でサポートされています。

サポートされないプラットフォームと機能

  • dot1q トンネル モードは Cisco Nexus 9300 シリーズおよび Cisco Nexus 9500 プラットフォーム スイッチの ALE ポートでサポートしません。

  • Q-in-VNI は FEX をサポートしません。

  • Q-in-VNI は、マルチサイト ソリューションの一部としてサポートされていません。

  • Q-in- VNIおよび選択的 Q-in- VNIは 、X97160YC- EXおよび 9700-FX/FX3/GX ライン カードを搭載したCisco Nexus 9500 シリーズ スイッチではサポートされません。

Q-in-VNI の設定

Q-in-VNI を使用することで、マッピングによる特定ポートへのトラフィックの分離が行えます。マルチテナント環境では、テナントにポートを指定でき、VXLAN オーバーレイでのパケットの送受信ができます。

手順の概要

  1. configure terminal
  2. interface type port
  3. switchport mode dot1q-tunnel
  4. switchport access vlan vlan-id
  5. spanning-tree bpdufilter enable

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface type port

インターフェイス設定モードを開始します。

ステップ 3

switchport mode dot1q-tunnel

ポートに 802.1Q トンネルを作成します。

ステップ 4

switchport access vlan vlan-id

VLAN に割り当てられたポートを指定します。

ステップ 5

spanning-tree bpdufilter enable

指定したスパニングツリー エッジ インターフェイスの BPDU フィルタリングをイネーブルにします。デフォルトでは、BPDU フィルタリングはディセーブルです。

次に示すのは、Q-in-VNI の設定例です。 


switch# config terminal
switch(config)# interface ethernet 1/4
switch(config-if)# switchport mode dot1q-tunnel
switch(config-if)# switchport access vlan 10
switch(config-if)# spanning-tree bpdufilter enable
switch(config-if)#

選択的 Q-in-VNI の設定

選択的 Q-in-VNI は、ポート上のユーザ固有の範囲のカスタマー VLAN を 1 つの特定のプロバイダー VLAN に関連付けることができる VXLAN トンネリング機能です。ポートに設定されたカスタマー VLAN のいずれかに一致する VLAN タグが付いたパケットは、サービス プロバイダー VNI のプロパティを使用して VXLAN ファブリック全体でトンネリングされます。VXLAN カプセル化パケットは、内部パケットの L2 ヘッダーの一部としてカスタマー VLAN タグを伝送します。

選択的 Q-in-VNI 設定ポートの設定済みカスタマー VLAN の範囲内に存在しない VLAN タグが付いたパケットはドロップされます。これには、ポート上のネイティブ VLAN に一致する VLAN タグが付いたパケットが含まれます。タグなしまたはネイティブ VLAN タグ付きのパケットは、選択的 Q-in-VNI ポート(VXLAN なし)で設定されたネイティブ VLAN の SVI を使用して L3 ルーティングされます。

選択的 Q-in-VNI については、次のガイドラインを参照してください。

  • 選択的 Q-in-VNI は、Cisco Nexus 9300-FX/FXP/FX2/FX3 および 9300-GX プラットフォーム スイッチの vPC ポートと非 vPC ポートの両方でサポートされます。

  • Cisco NX-OS リリース 9.3(5) 以降、選択的 Q-in-VNI は vPC ファブリック ピアリングをサポートします。

  • 1 つの VTEP での選択的 Q-in-VNI の設定と、VXLAN ピアでのプレーン Q-in-VNI の設定がサポートされています。同じスイッチ上で、1 つのポートを選択的 Q-in-VNI で、もう 1 つのポートをプレーン Q-in-VNI で設定できます。

  • 選択的 Q-in-VNI は、入力 VLAN タグ ポリシング機能です。選択的 Q-in-VNI 設定範囲に関しては、入力 VLAN タグ ポリシングのみが実行されます。

    たとえば、選択的 Q-in-VNI カスタマー VLAN 範囲 100〜200 は VTEP 1 で設定され、カスタマー VLAN 範囲 200〜300 は VTEP 2 で設定されます。VLAN タグが 175 のトラフィックが VTEP 1 から VTEP 2 に送信されると、VLAN は設定された範囲内にあり、VTEP2 に転送されるため、トラフィックは VTEP1 で受け入れられます。VTEP2 では、VLAN タグ 175 が設定された範囲に含まれていなくても、パケットは選択的 Q-in-VNI ポートから出力されます。パケットが VTEP1 から VLAN タグ 300 で送信される場合、300 は VTEP1 の選択的 Q-in-VNI 設定範囲にないため、パケットはドロップされます。

  • Cisco NX-OS リリース 10.1(1) 以降、VTEP での選択的 Q-in-VNI およびアドバタイズ PIP 機能は、Cisco Nexus 9300-FX3 プラットフォーム スイッチでサポートされます。

  • Cisco NX-OS リリース 9.3(5) 以降では、VTEP の選択的 Q-in-VNI で advertise-pip コマンドがサポートされています。

  • ポート VLAN マッピングと選択的 Q-in-VNI を同じポートに共存させることはできません。

  • system dot1q-tunnel transit コマンドが有効になっている場合、ポート VLAN マッピングと選択的 Q-in-VNI はスイッチ上で共存できません。Cisco NX-OSリリース9.3(5)以降では、ポートVLANマッピングとQ-in-VNIは、同じスイッチ上で、vlan-rangeコマンドを使用して設定された異なるポートおよび異なるプロバイダーVLAN上で共存できます。 system dot1q-tunnel transit vlan

  • 選択的なQ-in-VNI設定でvPCスイッチにsystem dot1q-tunnel transit [vlan vlan-id] コマンドを設定します。このコマンドは、vPC ピアの 1 つに孤立ポートがある場合に、パケットが vPC ピア リンクを通過するときに内部 Q タグを保持するために必要です。この CLI 設定では、vlan dot1Q tag native 機能は動作しません。Cisco NX-OS リリース 9.3(5) 以前では、スイッチで作成されたすべての VLAN はプロバイダー VLAN であり、他の目的には使用できません。

    Cisco NX-OS リリース9.3(5) 以降では、選択的 Q-in-VNI および VXLAN VLAN を同じポートでサポートできます。[vlan vlan-range] オプションを使用すると、プロバイダー VLAN を指定し、他の VLAN を通常の VXLAN トラフィックに使用できます。次の例では、VXLAN VLAN は 50、プロバイダー VLAN は 501、カスタマー VLAN は 31〜40、ネイティブ VLAN は 2400 です。 

    system dot1q-tunnel transit vlan 501
interface Ethernet1/1/2
  switchport
  switchport mode trunk
  switchport trunk native vlan 2400
  switchport vlan mapping 31-40 dot1q-tunnel 501 
  switchport trunk allowed vlan 50,501,2400
  spanning-tree port type edge trunk
  mtu 9216
  no shutdown

  • 選択的 Q-in-VNI ポートに設定されたネイティブ VLAN は、カスタマー VLAN 範囲の一部にはできません。ネイティブ VLAN がカスタマー VLAN 範囲の一部である場合、設定は拒否されます。

    プロバイダー VLAN は、カスタマー VLAN 範囲とオーバーラップできます。たとえば、switchport vlan mapping 100-1000 dot1q-tunnel 200 のようになります。

  • デフォルトでは、ネイティブ VLAN は VLAN 1 です。VLAN 1 が switchport vlan mapping <range>dot1q-tunnel <sp-vlan> CLI を使用してカスタマーVLAN範囲の一部として設定されている場合、VLAN 1 がポートのネイティブ VLAN であるときに、カスタマー VLAN 1 のトラフィックが伝送されません。顧客が VLAN 1 トラフィックを VXLAN クラウド上で伝送する場合は、顧客の VLAN 範囲外の値を持つポートにダミーのネイティブVLANを設定する必要があります。

  • 選択的Q-in-VNIポートで設定されたスイッチポートVLANマッピング範囲から一部のVLANまたはVLANの範囲を削除するには、no 形式 switchport vlan mapping <range>dot1q-tunnel <sp-vlan> のコマンド範囲を指定します。

    たとえば、VLAN 100~1000 がポートに設定されているとします。設定された範囲からVLAN 200〜300を削除するには、no switchport vlan mapping <200-300> dot1q-tunnel <sp-vlan> コマンドを使用します。 

    interface Ethernet1/32
  switchport
  switchport mode trunk
  switchport trunk native vlan 4049
  switchport vlan mapping 100-1000 dot1q-tunnel 21 
  switchport trunk allowed vlan 21,4049
  spanning-tree bpdufilter enable
  no shutdown

switch(config-if)# no sw vlan mapp 200-300 dot1q-tunnel 21
switch(config-if)# sh run int e 1/32

version 7.0(3)I5(2)

interface Ethernet1/32
  switchport
  switchport mode trunk
  switchport trunk native vlan 4049
  switchport vlan mapping 100-199,301-1000 dot1q-tunnel 21 
  switchport trunk allowed vlan 21,4049
  spanning-tree bpdufilter enable
  no shutdown

次の設定例を参照してください。

  • プロバイダー VLAN の設定については、次の例を参照してください。

    
vlan 50  
	vn-segment 10050

  • VXLAN フラッドと学習と入力レプリケーションの設定については、次の例を参照してください。

    
member vni 10050
    ingress-replication protocol static
      peer-ip 100.1.1.3
      peer-ip 100.1.1.5
      peer-ip 100.1.1.10

  • インターフェイス nve の設定については、次の例を参照してください。

    
interface nve1  
	no shutdown  
	source-interface loopback0  member vni 10050 
mcast-group 230.1.1.1

  • ネイティブ VLAN で SVI をルーティング トラフィックに設定するには、次の例を参照してください。 

    
vlan 150
interface vlan150  
	no shutdown  
	ip address 150.1.150.6/24 
	ip pim sparse-mode

  • ポートでの選択的 Q-in-VNI の設定については、次の例を参照してください。この例では、ネイティブ VLAN 150 がタグなしパケットのルーティングに使用されます。カスタマーVLAN 200〜700 は dot1q トンネルを介して伝送されます。ネイティブ VLAN 150 とプロバイダー VLAN 50 のみが許可されます。 

    
switch# config terminal
switch(config)#interface Ethernet 1/31  
switch(config-if)#switchport
switch(config-if)#switchport mode trunk  
switch(config-if)#switchport trunk native vlan 150                         
switch(config-if)#switchport vlan mapping 200-700 dot1q-tunnel 50     
switch(config-if)#switchport trunk allowed vlan 50,150    
switch(config-if)#no shutdown

  • プロバイダー VNI で、カスタマー VLAN から発信された ARP トラフィックの ARP 抑制を無効にします。 

    switch(config)# interface nve 1
switch(config-if-nve)# member VNI 10000011
 switch(config-if-nve-vni)# no suppress-arp

レイヤ 2 プロトコル トンネリングを使用した Q-in-VNI 構成

L2PT を使用した Q-in-VNI の概要

レイヤ 2 プロトコル トンネリング(L2PT)を使用した Q-in-VNI は、マルチタグ トラフィックの VXLAN EVPN ファブリック全体で制御パケットとデータ パケットを転送するために使用されます。

VLAN レベルで L2PT を使用した Q-in-VNI を有効にするには、L2 プロトコル パケットを含むすべてのパケットをトンネリングするために VLAN をマークする l2protocol tunnel vxlan vlan <vlan-range> コマンドを使用します。この switchport trunk allow-multi-tag コマンドは、VXLAN ファブリックが複数のタグを持つパケットをトンネリングするためにも必要です。

L2PT を使用した Q-in-VNI 構成の詳細については、L2PT を使用した Q-in-VNI の構成 を参照してください。

L2PT を搭載した Q-in-VNI の注意事項と制約事項

L2PT を搭載した Q-in-VNI には、次の注意事項と制約事項があります。

  • Cisco NX-OS リリース 10.3(2)F 以降で、L2PT を搭載した Q-in-VNI は Cisco Nexus 9300-FX/FX2/FX3/GX/GX2 ToR スイッチでサポートされています。

  • Cisco NX-OS リリース 10.4(1)F 以降、L2PT を持つ Q-in-VNI は Cisco Nexus 9332D-H2R ToR スイッチでサポートされています。

  • Cisco NX-OS リリース 10.4(2)F 以降、L2PT を持つ Q-in-VNI は Cisco Nexus 93400LD-H1 スイッチでサポートされています。c

  • Cisco NX-OS リリース 10.4(3)F 以降、L2PT を持つ Q-in-VNI は Cisco Nexus 9364C-H1 スイッチでサポートされています。c

  • コマンドがインターフェイスで実行されると、コマンド内のすべての VLAN がトンネリング VLAN になり、他のポートで他の目的に使用することはできません。l2protocol tunnel vxlan

  • トンネル VLAN のメンバーになれるのは、ネットワーク内の 2 つのインターフェイスだけです。vPC の場合、vPC スイッチと MCT の両方の vPC ポートもトンネル VLAN の一部になります。

  • 同じ VLAN を複数のインターフェースでトンネリングしてはなりません。

  • l2protocol tunnel vxlan コマンドは、トランク ポートでのみ許可されます。また、vxlan ファブリック全体で複数のタグを保持するには、「マルチタグ」構成も必要です。

  • クロス コネクト機能と l2protocol tunnel vxlan コマンドは、スイッチ上で同時に使用できません。

  • 「STP」などの既存の L2PT コマンド オプションは、l2protocol tunnel vxlan コマンドと一緒に 使用できません。

  • Cisco NX-OS リリース 10.3(3)F 以降では、L2PT を搭載した Q-in-VNI の Ethertype サポートは、Cisco Nexus 9300-FX2/FX3/GX/GX2 ToR スイッチで提供されます。

  • Cisco NX-OS リリース 10.4(1)F 以降、L2PT を持つ Q-in-VNI の Ethertype サポートは Cisco Nexus 9332D-H2R ToR スイッチでサポートされています。

  • Cisco NX-OS リリース 10.4(2)F 以降、L2PT を持つ Q-in-VNI の Ethertype サポートは Cisco Nexus 93400LD-H1 スイッチでサポートされています。

  • Cisco NX-OS リリース 10.4(3)F 以降、L2PT を持つ Q-in-VNI の Ethertype サポートは Cisco Nexus 9364C-H1 スイッチでサポートされています。

L2PT を使用した Q-in-VNI の構成

次の手順に従って、VXLAN VLAN で L2PT を使用した Q-in-VNI 構成します。

手順の概要

  1. configure terminal
  2. interface ethernet slot/port
  3. switchport
  4. switchport mode trunk
  5. switchport dot1q ethertype ethertype-value
  6. switchport trunk allow-multi-tag
  7. switchport trunk allowed vlan vlan-list
  8. l2protocol tunnel vxlan vlan <vlan-range>

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

switch# configure terminal

グローバル設定モードを開始します。

ステップ 2

interface ethernet slot/port

例:

switch(config)# interface ethernet1/1

設定するインターフェイスを指定します。

ステップ 3

switchport

例:

switch(config-inf)# switchport

ポートをレイヤ 2 ポートとして設定します。

ステップ 4

switchport mode trunk

例:

switch(config-inf)# switchport mode trunk

インターフェイスをレイヤ 2 トランク ポートとして設定します。

ステップ 5

switchport dot1q ethertype ethertype-value

例:

switch(config-inf)# switchport dot1q ethertype 0x88a8

ポートの Ethertype を設定します。

ステップ 6

switchport trunk allow-multi-tag

例:

switch(config-inf)# switchport trunk allow-multi-tag

許可された VLAN をネイティブ VLAN を除くプロバイダー VLAN として設定します。次に挙げる構成例では、VLAN 1201 と 1202 はプロバイダー VLAN であり、複数の内部 Q タグを伝送できます。

ステップ 7

switchport trunk allowed vlan vlan-list

例:

switch(config-inf)# switchport trunk allowed vlan 1201-1202

トランク インターフェイスの許可 VLAN を設定します。

ステップ 8

l2protocol tunnel vxlan vlan <vlan-range>

例:

switch(config-inf)# l2protocol tunnel vxlan vlan 1201-1202

コマンドのすべての VLAN をトンネリング VLAN として設定します。これらの VLAN は、他のポートで他の目的に使用することはできません。

L2PT を使用した Q-in-VNI の構成の確認

L2PT を使用した Q-in-VNI 構成のステータスを表示するには、次のコマンドを入力します。

コマンド

目的

show run interface ethernet slot/port

L2PT VXLAN VLAN インターフェイス情報を表示します。

show run l2pt

L2PT VXLAN VLAN 構成情報を表示します。

show l2protocol tunnel interface ethernet slot/port

L2PT インターフェイス情報を表示します。

show vpc consistency-parameters interface slot/port

L2PT VXLAN VLAN を含むすべての vPC インターフェイス全体で一貫している必要があるパラメータのステータスを表示します。
次の例は、show run interface ethernet slot/port コマンドのサンプル出力を示しています。
switch(config-if)# sh run int e1/1
 interface Ethernet1/1
  switchport
  switchport mode trunk
  switchport trunk allow-multi-tag
  switchport trunk allowed vlan 1201-1202
  l2protocol tunnel vxlan vlan 1201-1202
  no shutdown
次の例は、show run l2pt コマンドのサンプル出力を示しています。
switch# sh run l2pt
interface Ethernet1/1
  switchport mode trunk
  l2protocol tunnel vxlan vlan 1201-1202
  no shutdown
次の例は、show l2protocol tunnel interface ethernet slot/port コマンドのサンプル出力を示しています。
switch# show l2protocol tunnel interface e1/1
COS for Encapsulated Packets: 5
Interface: Eth1/1 Vxlan Vlan 1201-1202
次の例は、show vpc consistency-parameters interface slot/port コマンドのサンプル出力を示しています。
switch# sh run int po101
 
interface port-channel101
  switchport
  switchport mode trunk
  switchport trunk native vlan 80
  switchport trunk allow-multi-tag
  switchport trunk allowed vlan 80,1201-1203,1301
  spanning-tree port type edge trunk
  vpc 101
  l2protocol tunnel vxlan vlan 1201-1203,1301
 
switch# sh vpc consistency-parameters interface po101
 
    Legend:
        Type 1 : vPC will be suspended in case of mismatch
 
Name                        Type  Local Value            Peer Value             
-------------               ----  ---------------------- -----------------------
delayed-lacp                1     disabled               disabled              
lacp suspend disable        1     enabled                enabled               
mode                        1     active                 active                
Switchport Isolated         1     0                      0                     
Interface type              1     port-channel           port-channel          
LACP Mode                   1     on                     on                    
Virtual-ethernet-bridge     1     Disabled               Disabled              
Speed                       1     25 Gb/s                25 Gb/s               
Duplex                      1     full                   full                  
MTU                         1     1500                   1500                  
Port Mode                   1     trunk                  trunk                 
Native Vlan                 1     80                     80                    
Admin port mode             1     trunk                  trunk                 
Port-type External          1     Disabled               Disabled              
STP Port Guard              1     Default                Default               
STP Port Type               1     Edge Trunk Port        Edge Trunk Port       
STP MST Simulate PVST       1     Default                Default               
lag-id                      1     [(7f9b,                [(7f9b,               
                                  0-23-4-ee-be-4, 8065,  0-23-4-ee-be-4, 8065, 
                                  0, 0), (8000,          0, 0), (8000,         
                                  a8-9d-21-f8-4b-31, 64, a8-9d-21-f8-4b-31, 64,
                                   0, 0)]                 0, 0)]               
Allow-Multi-Tag             1     Enabled                Enabled               
Vlan xlt mapping            1     Disabled               Disabled              
L2PT Vxlan Vlans            2     1201-1203,1301         1201-1203,1301        
vPC card type               1     N9K TOR                N9K TOR               
Allowed VLANs               -     80,1201-1203,1301      80,1201-1203,1301     
Local suspended VLANs       -     -                      -

Q-in-VNI での LACP トンネリングの設定

Q-in-VNI は、LACP パケットのトンネルを設定できます。

手順の概要

  1. configure terminal
  2. interface type port
  3. switchport mode dot1q-tunnel
  4. switchport access vlan vlan-id
  5. interface nve x
  6. overlay-encapsulation vxlan-with-tag tunnel-control-frames lacp

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface type port

インターフェイス設定モードを開始します。

ステップ 3

switchport mode dot1q-tunnel

dot1q-tunnel モードをイネーブルにします。

ステップ 4

switchport access vlan vlan-id

VLAN に割り当てられたポートを指定します。

ステップ 5

interface nve x

VXLAN トンネルの終端となる VXLAN オーバーレイ インターフェイスを作成します。

ステップ 6

overlay-encapsulation vxlan-with-tag tunnel-control-frames lacp

Q-in-VNI を LACP トンネリング用にイネーブルにします。

(注)  

 

このコマンド形式は NX-OS 7.0(3)I3(1) 以降のリリースで使用します。

NX-OS 7.0(3)I2(2) 以前のリリースでは、overlay-encapsulation vxlan-with-tag tunnel-control-frames コマンドを使用します。

  • 次に示すのは、Q-in-VNI の LACP トンネリング用の設定例です(NX-OS 7.0(3)I2(2) 以前のリリース)。 

    
switch# config terminal
switch(config)# interface ethernet 1/4
switch(config-if)# switchport mode dot1q-tunnel
switch(config-if)# switchport access vlan 10
switch(config-if)# spanning-tree bpdufilter enable
switch(config-if)# interface nve1
switch(config-if)# overlay-encapsulation vxlan-with-tag tunnel-control-frames

    (注)  

    • STP は、VNI マッピングされた VLAN でディセーブルです。

    • VTEP でスパニングツリー VLAN <> はありません。

    • MAC 移動についての MAC アドレス テーブルの通知はありません。

    • ベスト プラクティスとして、LACP ポートが設定されているインターフェイスでは、高速 LACP レートを設定します。そうしない場合、コンバージェンス時間に 90 秒程度を要します。

  • 次に示すのは、Q-in-VNI の LACP トンネリング用の設定例です(NX-OS 7.0(3)I3(1) 以降のリリース)。 

    
switch# config terminal
switch(config)# interface ethernet 1/4
switch(config-if)# switchport mode dot1q-tunnel
switch(config-if)# switchport access vlan 10
switch(config-if)# spanning-tree bpdufilter enable
switch(config-if)# interface nve1
switch(config-if)# overlay-encapsulation vxlan-with-tag tunnel-control-frames lacp

    (注)  

    • STP は、VNI マッピングされた VLAN でディセーブルです。

    • VTEP でスパニングツリー VLAN <> はありません。

    • MAC 移動についての MAC アドレス テーブルの通知はありません。

    • ベスト プラクティスとして、LACP ポートが設定されているインターフェイスでは、高速 LACP レートを設定します。そうしない場合、コンバージェンス時間に 90 秒程度を要します。

  • 次に示すのは、ポート チャネル ペアの各ポートを一意の VM にピン止めするトポロジの例です。ポート チャネルが CE の視点から広げられています。VTEP にポート チャネルはありません。CE1 の P1 にあるトラフィックは Q-in-VNI を使用して CE2 の P1 に中継されます。

    図 1. VXLAN P2P トンネルを通じた LACP トンネリング



(注)  

  • Q-in-VNI は、LACP パケットのトンネルを設定できます(データセンターにまたがるポート チャネル接続を提供できます)。

    • データセンターにまたがる L1 接続とコロケーションの感覚を得られます。

    • 存在するのは 2 つのサイトです。CE1 の P1 からのトラフィックは、CE2 の P1 から送出されます。CE1 の P1 がダウンした場合は、LACP がこれをカバーして(経時的)、トラフィックを P2 にリダイレクトします。

  • フラッディングおよび学習を行う VXLAN による静的入力複製を使用します。ポート チャネル上の各ポートに Q VNI が設定されます。ポート チャネルの各メンバーには複数の VNI があり、各ポートが特定の VNI にピン止めされます。

    • MAC の飽和状態を回避するには、VLAN の学習をオフ/ディセーブルにしてください。

  • Q-in-VNI による LACP パケットのトンネル設定は、VXLAN EVPN ではサポートされません。

  • サポートされるポート チャネルのメンバー数は、VTEP でサポートされるポートの数です。

複数プロバイダー VLAN を使用した選択的 Q-in-VNI

複数プロバイダー VLAN を使用した選択的 Q-in-VNI について

複数のプロバイダー VLAN を持つ選択的 Q-in-VNI は、VXLAN トンネリング機能です。この機能により、ポート上のユーザ固有の範囲のカスタマー VLAN を 1 つの特定のプロバイダー VLAN に関連付けることができます。また、ポート上で複数のカスタマー VLAN からプロバイダー VLAN へのマッピングを行うことができます。ポートに設定されたカスタマー VLAN のいずれかと一致する VLAN タグが付いたパケットは、サービス プロバイダー VNI のプロパティを使用して VXLAN ファブリック上でトンネリングされます。VXLAN カプセル化パケットは、内部パケットのレイヤ 2 ヘッダーの一部としてカスタマー VLAN タグを伝送します。

複数プロバイダー VLAN を使用した選択的 Q-in-VNI の注意事項と制約事項

複数プロバイダー VLAN を使用した選択的 Q-in-VNI には、次の注意事項と制約事項があります。

  • 選択的 Q-in-VNI に関する既存の注意事項と制限事項がすべて適用されます。

  • この機能は、VXLAN BGP EVPN IR モードでのみサポートされます。

  • vPC ポート チャネルで複数のプロバイダー VLAN をイネーブルにする場合は、vPC ピア間で設定が一貫していることを確認してください。

  • ポート VLAN マッピングと選択的 Q-in-VNI を同じポートに共存させることはできません。

  • system dot1q-tunnel transit コマンドが有効になっている場合、ポート VLAN マッピングと選択的 Q-in-VNI はスイッチ上で共存できません。Cisco NX-OSリリース9.3(5) 以降、ポート VLAN マッピングと選択的 Q-in-VNI は、同じスイッチ上に存在しますが、異なるポートと異なるプロバイダー VLAN 上に存在し、system dot1q-tunnel transit vlan vlan-range コマンド を使用して設定できます。

  • system dot1q-tunnel transit [vlan vlan-range] コマンドは、vPC VTEP でこの機能を使用する場合に必要です。

  • vPC VTEP でのレイヤ 3 アップリンク障害シナリオ中の適切な動作のために、バックアップ SVI を設定し、system nve infra-vlans backup-svi-vlan コマンドを入力します。

  • ベストプラクティスとして、通常のトランクではプロバイダー VLAN を許可しないでください。

  • カスタマー VLAN からプロバイダー VLAN へのマッピングが設定されているスイッチでは、カスタマー VLAN を作成または許可しないことを推奨します。

  • switchport vlan mapping all dot1q-tunnel コマンド入力時の特定のネイティブ VLAN 設定はサポートされていません。

  • Cisco NX-OS リリース 9.3(5) 以降では、複数のプロバイダー タグを使用した選択的 Q-in-VNI は vPC ファブリック ピアリングをサポートします。

  • プロバイダー VNI で、カスタマー VLAN から発信された ARP トラフィックの ARP 抑制を無効にします。 

    switch(config)# interface nve 1
switch(config-if-nve)# member VNI 10000011
switch(config-if-nve-vni)# no suppress-arp

  • インターフェイスが switchport vlan mapping all dot1q-tunnel コマンドで設定されている場合、すべての着信トラフィックにタグを付ける必要があります。

複数のプロバイダー VLAN を使用した選択的 Q-in-VNI の設定

複数のプロバイダー VLAN で選択的 Q-in-VNI を設定できます。

始める前に

プロバイダー VLAN を設定し、VLAN を vn-segment に関連付ける必要があります。

手順の概要

  1. グローバル コンフィギュレーション モードを開始します。
  2. レイヤ 2 VLAN を設定し、それらを vn-segment に関連付けます。
  3. トラフィックが dot1Q VLAN タグ付きで着信するインターフェイス設定モードを開始します。

手順の詳細

ステップ 1

グローバル コンフィギュレーション モードを開始します。

switch# configure terminal

ステップ 2

レイヤ 2 VLAN を設定し、それらを vn-segment に関連付けます。 

switch(config)# vlan 10
vn-segment 10000010
switch(config)# vlan 20
 vn-segment 10000020

ステップ 3

トラフィックが dot1Q VLAN タグ付きで着信するインターフェイス設定モードを開始します。 

switch(config)# interf port-channel 10
switch(config-if)# switchport
switch(config-if)# switchport mode trunk
switch(config-if)# switchport trunk native vlan 3962
switch(config-if)# switchport vlan mapping 2-400 dot1q-tunnel 10 
switch(config-if)# switchport vlan mapping 401-800 dot1q-tunnel 20 
switch(config-if)# switchport vlan mapping 801-1200 dot1q-tunnel 30 
switch(config-if)# switchport vlan mapping 1201-1600 dot1q-tunnel 40 
switch(config-if)# switchport vlan mapping 1601-2000 dot1q-tunnel 50 
switch(config-if)# switchport vlan mapping 2001-2400 dot1q-tunnel 60 
switch(config-if)# switchport vlan mapping 2401-2800 dot1q-tunnel 70 
switch(config-if)# switchport vlan mapping 2801-3200 dot1q-tunnel 80 
switch(config-if)# switchport vlan mapping 3201-3600 dot1q-tunnel 90 
switch(config-if)# switchport vlan mapping 3601-3960 dot1q-tunnel 100 
switch(config-if)# switchport trunk allowed vlan 10,20,30,40,50,60,70,80,90,100,3961-3967

次に、複数のプロバイダー VLAN で選択的 Qinvni を設定する例を示します。 

switch# show run vlan 121
vlan 121
vlan 121
  vn-segment 10000021

switch# 
switch# sh run interf port-channel 5

interface port-channel5
  description VPC PO 
  switchport
  switchport mode trunk
  switchport trunk native vlan 504
  switchport vlan mapping 11 dot1q-tunnel 111 
  switchport vlan mapping 12 dot1q-tunnel 112 
  switchport vlan mapping 13 dot1q-tunnel 113 
  switchport vlan mapping 14 dot1q-tunnel 114 
  switchport vlan mapping 15 dot1q-tunnel 115 
  switchport vlan mapping 16 dot1q-tunnel 116 
  switchport vlan mapping 17 dot1q-tunnel 117 
  switchport vlan mapping 18 dot1q-tunnel 118 
  switchport vlan mapping 19 dot1q-tunnel 119 
  switchport vlan mapping 20 dot1q-tunnel 120 
  switchport trunk allowed vlan 111-120,500-505
  vpc 5

switch# 

switch# sh spanning-tree vlan 111

VLAN0111
  Spanning tree enabled protocol rstp
  Root ID    Priority    32879
             Address     7079.b3cf.956d
             This bridge is the root
             Hello Time  2  sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32879  (priority 32768 sys-id-ext 111)
             Address     7079.b3cf.956d
             Hello Time  2  sec  Max Age 20 sec  Forward Delay 15 sec

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Po1              Desg FWD 1         128.4096 (vPC peer-link) Network P2p 
Po5              Desg FWD 1         128.4100 (vPC) P2p 
Eth1/7/2         Desg FWD 10        128.26   P2p 

switch# 
 

switch# sh vlan internal info mapping | b Po5
  ifindex Po5(0x16000004)
  vlan mapping enabled: TRUE
  vlan translation mapping information (count=10):
    Original Vlan       Translated Vlan
    -------------       ---------------
    11                   111
    12                   112
    13                   113
    14                   114
    15                   115
    16                   116
    17                   117
    18                   118
    19                   119
    20                   120
switch#


switch# sh consistency-checker vxlan selective-qinvni interface port-channel 5
Performing port specific checks for intf port-channel5
Port specific selective QinVNI checks for interface port-channel5 : PASS
Performing port specific checks for intf port-channel5
Port specific selective QinVNI checks for interface port-channel5 : PASS

switch#

QinQ-QinVNI の設定

QinQ-QinVNI の概要

  • QinQ-QinVNI は VXLAN トンネリング機能で、トランク ポートをマルチタグ ポートとして設定して、ネットワーク上で伝送されるカスタマー VLAN を維持できます。

  • マルチタグとして設定されているポートでは、パケットは複数のタグまたは少なくとも 1 つのタグが含まれていると想定されます。マルチタグ パケットがこのポートに入力されると、最も外側のタグまたは最初のタグが provider-tag または provider-vlan として扱われます。残りのタグは、customer-tag またはcustomer-vlan として扱われます。

  • この機能は、vPC ポートと非 vPC ポートの両方でサポートされます。

  • switchport trunk allow-multi-tag コマンドが両方の vPC ピアで設定されていることを確認します。これはタイプ 1 の整合性チェックです。

  • この機能は、VXLAN Flood と Learn および VXLAN EVPN でサポートされます。

QinQ-QinVNI の注意事項と制約事項

QinQ-QinVNI には、次の注意事項と制約事項があります。

  • この機能は、Cisco Nexus 9300-FX/FX2/FX3 および 9300-GX プラットフォーム スイッチでサポートされます。

  • Cisco NX-OS リリース 10.2(3)F 以降、QinQ-QinVNI は Cisco Nexus 9300-GX2 プラットフォーム スイッチでサポートされます。

  • Cisco NX-OS リリース 10.4(1)F 以降、QinQ-QinVNI は Cisco Nexus 9332D-H2R スイッチでサポートされています。

  • Cisco NX-OS リリース 10.4(2)F 以降、QinQ-QinVNI は Cisco Nexus 93400LD-H1 スイッチでサポートされています。

  • Cisco NX-OS リリース 10.4(3)F 以降、QinQ-QinVNI は Cisco Nexus 9364C-H1 スイッチでサポートされています。

  • この機能は、vPC ファブリック ピアリングをサポートします。

  • マルチタグポートでは、プロバイダー VLAN はポートの一部である必要があります。これらは、そのパケットの VNI を取得するために使用されます。

  • タグなしパケットは、ネイティブ VLAN に関連付けられます。ネイティブ VLAN が設定されていない場合、パケットはデフォルト VLAN(VLAN 1)に関連付けられます。

  • マルチタグ ポートで許可された VLAN の範囲内に存在しない、最も外側の VLAN タグ(provider-vlan)を持つパケットはドロップされます。

  • ネイティブ VLAN に一致する最も外側のVLANタグ(provider-vlan)タグが付いたパケットは、ネイティブ VLAN のドメインでルーティングまたはブリッジングされます。

  • この機能は VXLAN ブリッジングをサポートしますが、VXLAN ルーティングはサポートしません。

  • VXLAN VLAN でスヌーピングが有効になっている場合、3 つ以上の Q タグを持つマルチキャスト データ トラフィックはサポートされません。

  • 両方の vPC ピアでプロバイダー VLAN をアップ状態にするために、少なくとも 1 つのマルチタグ トランク ポートが必要です。そうしないと、これらのプロバイダー VLAN のピアリンクを経由するトラフィックは、すべての内部 C タグを伝送しません。

  • vPC VTEPでこの機能を実行する場合は、system dot1q-tunnel transit vlan vlan-range コマンドが必要です。

QinQ-QinVNI の設定


(注)  

同じマルチタグ トランクポートでネイティブ VLAN(タグなしトラフィック)を伝送することもできます。

マルチタグ ポート上のネイティブ VLAN は、別のマルチタグ ポート上のプロバイダー VLAN または同じスイッチ上の dot1q 対応ポートとして設定できません。

allow-multi-tag コマンドは、トランク ポートでのみ使用できます。アクセス ポートまたは dot1q ポートでは使用できません。

allow-multi-tag コマンドは、ピア リンク ポートでは使用できません。マルチタグが有効になっているポート チャネルは、vPC ピアリンクとして設定しないでください。

手順の概要

  1. configure terminal
  2. interface ethernet slot/port
  3. switchport
  4. switchport mode trunk
  5. switchport trunk native vlan vlan-id
  6. switchport trunk allowed vlan vlan-list
  7. switchport trunk allow-multi-tag

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

switch# configure terminal

グローバル設定モードを開始します。

ステップ 2

interface ethernet slot/port

例:

switch(config)# interface ethernet1/7

設定するインターフェイスを指定します。

ステップ 3

switchport

例:

switch(config-inf)# switchport

ポートをレイヤ 2 ポートとして設定します。

ステップ 4

switchport mode trunk

例:

switch(config-inf)# switchport mode trunk

インターフェイスをレイヤ 2 トランク ポートとして設定します。

ステップ 5

switchport trunk native vlan vlan-id

例:

switch(config-inf)# switchport trunk native vlan 30

802.1Q トランクのネイティブ VLAN を設定します。有効な値は 1 ~ 4094 です。デフォルト値は VLAN 1 です。

ステップ 6

switchport trunk allowed vlan vlan-list

例:

switch(config-inf)# switchport trunk allowed vlan 10,20,30

トランク インターフェイスの許可 VLAN を設定します。デフォルトでは、トランク インターフェイス上のすべての VLAN(1 ~ 3967 および 4048 ~ 4094)が許可されます。VLAN 3968 ~ 4047 は、内部で使用するデフォルトで予約されている VLAN です。

ステップ 7

switchport trunk allow-multi-tag

例:

switch(config-inf)# switchport trunk allow-multi-tag

許可された VLAN をネイティブ VLAN を除くプロバイダー VLAN として設定します。次の例では、VLAN 10 および 20 はプロバイダー VLAN であり、複数の内部 Q タグを伝送できます。ネイティブ VLAN 30 は内部 Q タグを伝送しません。 

interface Ethernet1/7
switchport
switchport mode trunk
switchport trunk native vlan 30
switchport trunk allow-multi-tag
switchport trunk allowed vlan 10,20,30
no shutdown