LISP レイヤ 2 拡張の設定

Cisco Catalyst 8000V インスタンスは、パブリッククラウド、プライベートクラウド、およびハイブリッドクラウドに展開できます。企業がハイブリッドクラウドに移行する場合、サーバーに対して一切変更を加えずに、サーバーをクラウドに移行する必要があります。企業はクラウド内で同じサーバー IP アドレス、サブネットマスク、デフォルトゲートウェイ設定、独自の IP アドレス方式を使用し、クラウドプロバイダーのインフラストラクチャのアドレス方式によって制限されないことを望む可能性があります。

この要件を満たすために LISP を使用できます。LISP は、場所(エンタープライズ データセンターまたはパブリッククラウド)と ID(サーバー IP アドレス)を分離できるアーキテクチャであり、同じ IP アドレスでクラウド上に新しいサーバーを作成できます。LISP アーキテクチャでは、サーバーのエンドポイント ID からルータロケータ(EID-to-RLOC)マッピングが更新され、クラウドに移動される新しい場所が反映されます。さらに、LISP が ID と場所の間のマッピングを処理するため、エンドシステム、ユーザー、またはサーバーに変更を加える必要はありません。

LISP はオーバーレイとして動作し、サーバーからの元のパケットを、追加の外部 IPv4 または IPv6 ヘッダーと共にユーザー データグラム プロトコル(UDP)パケットにカプセル化します。このカプセル化により、送信元と宛先のルータロケータが保持され、サーバー管理者は、クラウドプロバイダーのアドレッシング構造に関係なく、独自の IP アドレス方式に従ってクラウド内のサーバーにアドレスを指定できます。

Microsoft Azure で実行されている Cisco Catalyst 8000V インスタンスでレイヤ 2 拡張を設定できます。インスタンスは、エンタープライズ データセンターとパブリッククラウドの間のブリッジとして機能します。レイヤ 2 拡張を設定すると、プライベートデータセンター内のレイヤ 2 ネットワークをパブリッククラウドに拡張して、サイトとパブリッククラウド間でのホストの到達可能性を実現できるようになります。また、データセンターとパブリッククラウド間のアプリケーションワークロードの移行を有効にすることもできます。

利点

  • パブリック IP アドレスを地理的に異なる場所間で移動するか、異なるパブリッククラウド間で分割します。いずれの場合も、LISP IP モビリティソリューションは、場所に関係なく、インターネット上のクライアントと移動したパブリック IP アドレス間の最適なルーティングを提供します。Azure クラウドの IP モビリティの実現について詳しくは、「Achieving IP Mobility」をご覧ください。

  • データ移行が容易になり、ネットワークのワークロード IP アドレスが最適化されます。通常、IP アドレスの変更により、ソリューションが複雑になり、さらに遅延が発生します。クラウド用の L2 拡張機能を使用することで、ネットワークの制約を受けることなく、元の IP アドレスを保持しながらワークロードを移行できます。このユースケースの詳細については、「Data Migration Use Case」を参照してください。

  • プロバイダーサイトで VM を仮想的に追加し、VM がプロバイダーサイトで実行されている間に、クラウドバーストを活用して、仮想的に VM をエンタープライズサーバーに挿入できるようにします。

  • 部分的な障害回復と障害回避のためのバックアップサービスを提供します。

LISP レイヤ 2 拡張の設定の前提条件

  • L2 拡張を設定する前に、ソリューションのアンダーレイの準備ができていることを確認してください。

  • クラウドは Address Resolution Protocol(ARP)をサポートしておらず、クラウド インフラストラクチャはリモートサイトのホストを認識していないため、仮想 IP を追加して、クラウドがパケットをエッジルータに適切にルーティングできるようにする必要があります。仮想 IP またはエイリアス IP を追加するには、「Add an IP address for an Azure interface」を参照してください。

  • それぞれの Cisco Catalyst 8000V インスタンスは、1 つの外部 IP アドレスで設定されている必要があります。この場合、2 つの Cisco Catalyst 8000V インスタンスの IP アドレス間、または Cisco Catalyst 8000V インスタンスと ASR1000 デバイス間に IPsec トンネルが構築されます。IPsec トンネルにプライベートアドレスがあることを確認します。

  • 2 つの Cisco Catalyst 8000V インスタンスの IP アドレス間、または Cisco Catalyst 8000V インスタンスと ASR1000 デバイス間で IPsec トンネルが機能していることを確認します。

  • ソリューションに応じて、2 つの Cisco Catalyst 8000V インスタンス間、Cisco Catalyst 8000V と ASR1000 デバイス間、および VM とホスト間で ping が成功することを確認します。

LISP レイヤ 2 拡張の設定の制約事項

  • ホストをデータセンターからクラウドに、またはその逆に移動する場合は、最初にクラウドの仮想 IP テーブルにセカンダリアドレスを追加または削除する必要があります。

  • VM をクラウドに移動する場合は、VM がデータセンターからクラウドに追加されたことを Cisco Catalyst 8000V デバイスが認識できるように、Cisco Catalyst 8000V インスタンスへのパケットを開始する必要があります。

  • 高可用性は、L2 拡張機能では機能しません。

  • Azure は、最大 256 個の IP をサポートします。したがって、リモートサイトまたはデータセンターのホストの最大数は 256 です。

LISP レイヤ 2 拡張の設定方法

L2 拡張機能を設定するには、まず Microsoft Azure で Cisco Catalyst 8000V インスタンスを展開し、インスタンスを xTR として設定する必要があります。その後、展開を完了するためにマッピングシステムを設定する必要があります。

LISP サイトは、アップストリーム プロバイダーへの 2 系統の接続を持つ、ITR と ETR の両方として設定された(xTR とも呼ばれる)Cisco Catalyst 8000V インスタンスを使用します。次に LISP サイトは、ネットワークコアのマップリゾルバ/マップサーバー(MR/MS)として設定されたスタンドアロンデバイスに登録されます。マッピングシステムは、Azure 内で移行済みのパブリック IP に送信されるパケットの LISP カプセル化およびカプセル化解除を実行します。Azure からのトラフィックについては、必要に応じて(接続先へのルートが C8000V のルーティングテーブルで見つからない場合は常に)、Cisco Catalyst 8000V インスタンスがエンタープライズ データセンターの PxTR を介してルーティングします。

LISP マップサーバーおよびマップリゾルバをマッピングサービスに使用する際、LISP xETR 機能を設定して有効化するには、次の手順を実行します。

複数のインターフェイスを持つ Cisco Catalyst 8000V を展開する

複数のインターフェイスを持つ Cisco Catalyst 8000V を展開するには、次の手順を実行します。

手順


ステップ 1

左側のパネルで [Virtual machines] を選択します。

ステップ 2

[Add]をクリックします。

ステップ 3

「C8000V」と入力します。

Azure Marketplace で Cisco Catalyst 8000V VM の展開を検索します。

ステップ 4

2、4、または 8 つの NIC を持つ展開を選択します。

ステップ 5

[Create] をクリックします。

ステップ 6

[Virtual Machine Name] で [Basics] サブメニューを選択し、仮想マシン名を入力します。

プライベートネットワークを表すために Microsoft Azure が使用するクラウドベースのネットワークの名前です。

ステップ 7

[Username] でユーザー名を選択します。

Cisco Catalyst 8000V インスタンスへのログインに使用できる Cisco Catalyst 8000V 仮想マシンのユーザー名です。

ステップ 8

[Authentication type] でパスワード(デフォルト)または SSH 公開キーを入力します。

ステップ 9

[Cisco IOS XE Image Version] で Cisco IOS XE バージョンを選択します。

ステップ 10

[Subscription] でサブスクリプション名を変更(任意)します。

仮想マシンの名前に基づいて、デフォルトのサブスクリプション名が提供されます。このデフォルトのサブスクリプション名は変更できます。

ステップ 11

[Resource Group] で [Create new] または [Use existing] を選択します。

Cisco Catalyst 8000V は、新しいリソースグループ(または完全に空の既存のリソースグループ)にのみ作成できます。リソースグループを削除するには、Cisco Catalyst 8000V VM を削除してから、リソースグループを削除します。

ステップ 12

[OK] をクリックします。

ステップ 13

[Cisco C8000V Settings] サブメニューを選択してから、[Number of Network Interfaces in C8000V] を選択します。

ステップ 14

インターフェイスの数を 2、4、または 8 から選択します。

ステップ 15

[License Type] でライセンスタイプとして [BYOL] または [PAYG] を選択します。

(注)  

 

PAYG ライセンスタイプは、SD ルーティングデバイスではサポートされていません。

ステップ 16

[Managed Disk] で [Enabled] を選択します。

ステップ 17

[Storage Account] でストレージアカウントの名前を入力します。

ストレージアカウントの詳細については、このガイドの「Microsoft Azure Resources」セクションを参照してください。Microsoft Azure のリソース

ステップ 18

[Virtual machine size] で適切な仮想マシンのサイズを選択します。

使用しているインターフェイスの数に基づいて、適切な仮想マシンのサイズを選択します。Microsoft Azure は、期待されるパフォーマンスが異なるさまざまなイメージタイプをサポートしています。サポートされているインスタンスタイプと仮想マシンサイズを表示するには、次のリンクを参照してください。

ステップ 19

[Custom Data] で、ブートストラップ設定ファイルを提供する場合は、[Yes] を選択します。

Cisco Catalyst 8000V インスタンスにブートストラップ設定ファイルを提供する方法の詳細については、「Deploying a Cisco Catalyst 8000V VM Using a Day 0 Bootstrap File」セクションおよび「Customdata-examples」セクションを参照してください。

ステップ 20

[Availability Set] で [Yes] を選択します。

ステップ 21

[Availability Set name] で可用性セットの名前を入力します。

ステップ 22

[Availability Set fault domain count] で可用性セットの障害ドメイン数を入力します。

障害ドメインは、共通の電源とネットワークスイッチを共有する VM のグループを定義します。可用性セットは、障害ドメイン全体に仮想マシンを配置します。

ステップ 23

[Availability Set update domain count] で可用性セットの更新ドメイン数を入力します。

更新ドメインは、同時に再起動できる VM と基礎となる物理ハードウェアのグループです。

ステップ 24

[Boot diagnostics] で起動診断を入力します。

起動診断の詳細については、「Information About Deploying Cisco Catalyst 8000V in Microsoft Azure」セクションを参照してください。

ステップ 25

[Diagnostics Storage account] でストレージアカウント名を入力します。

ステップ 26

[Public IP Address] でパブリック IP アドレス名を入力します。

パブリック IP アドレスの詳細については、「Microsoft Azure Resources」セクションを参照してください。

ステップ 27

[DNS label] で DNS ラベルの名前を変更(任意)します。

DNS ラベルは、Cisco Catalyst 8000Vに割り当てられるパブリック IP アドレスの名前です。DNS ラベルのデフォルト値がテキストボックスに表示されます。これは、VM 名の後に「-dns」が続きます。

ステップ 28

[Virtual network] で [Create New] または [Use existing] のいずれかを選択します。

新しい仮想ネットワークの場合、名前と IP アドレスを入力します。

ステップ 29

[Subnets] をクリックし、サブネット名と IP アドレスを入力します。

ステップ 30

すべての Cisco Catalyst 8000V 設定が許容範囲であることを確認し、[OK] をクリックします。

[3 Summary] サブメニューが強調表示されます。

ステップ 31

[OK] をクリックします。

[4 Buy] サブメニューが強調表示されます。

ステップ 32

[Create] をクリックします。

VM が作成され、購入が確定されます。

ステップ 33

左側のパネルで [Virtual machines] をクリックします。

数分後、最近作成された VM のステータスが [Creating] から [Running] に変わります。パブリック IP アドレス名をメモします。


Azure の Cisco Catalyst 8000V とエンタープライズシステムの Cisco Catalyst 8000V 間のトンネルの設定

エンタープライズ データセンター内に展開された Cisco Catalyst 8000V インスタンスとパブリッククラウド内に展開された Cisco Catalyst 8000V インスタンス間の通信は、両者の間に確立された IP セキュリティ(IPsec)トンネルによって保護されます。LISP カプセル化トラフィックは、パブリッククラウドと企業間のデータ発信元認証、完全性保護、アンチリプライ保護、および機密性を実現する IPsec トンネルで保護されます。

手順


ステップ 1

Microsoft Azure で Cisco Catalyst 8000V インスタンスを設定します。

interface loopback コマンドを実行します。ループバックは、移行された顧客の IP スペースがどこにあるかを識別する LISP RLOC として使用されます。

interface Tunnel コマンドを実行して、クラウド上の Cisco Catalyst 8000V インスタンスに接続します。

interface Loopback1
 ip address 33.33.33.33 255.255.255.255
!
interface Tunnel2
 ip address 30.0.0.2 255.255.255.0
 tunnel source GigabitEthernet1
 tunnel mode ipsec ipv4
 tunnel destination 173.39.145.79
 tunnel protection ipsec profile p2p_pf1
!
interface GigabitEthernet2
 ip address 10.10.10.140 255.255.255.0
 negotiation auto
 lisp mobility subnet1 nbr-proxy-reply requests 3
 no mop enabled
 no mop sysid
!

ステップ 2

企業サイトで 2 番目の Cisco Catalyst 8000V インスタンスを設定します。

interface Loopback1
 ip address 11.11.11.11 255.255.255.255

interface Tunnel2
 ip address 30.0.0.1 255.255.255.0
 tunnel source GigabitEthernet2
 tunnel mode ipsec ipv4
 tunnel destination 52.14.116.161
 tunnel protection ipsec profile p2p_pf1
!
!
interface GigabitEthernet3
 ip address 10.10.10.2 255.255.255.0
 negotiation auto
 lisp mobility subnet1 nbr-proxy-reply requests 3
 no mop enabled
 no mop sysid
!

Azure で実行されている Cisco Catalyst 8000V インスタンスでの LISP xTR の設定

手順


サービスプロバイダーで実行されている Cisco Catalyst 8000V インスタンスで LISP xTR を設定するには、「Configuring LISP (Location ID Separation Protocol)」のセクションの設定手順に従います。

Azure の Cisco Catalyst 8000V インスタンスは、エンタープライズ LISP ルータをプロキシ ETR として使用します。ルーティングテーブルがデフォルトルートを指す場合は常に、トラフィックを PETR に送信します。

router lisp コマンドを実行して、LISP を有効にします。itr map resolver および itr map server コマンドを実行して、エンタープライズの Cisco Catalyst 8000V インスタンスを LISP マップサーバーやマップリゾルバとして設定します。

例:

router lisp
 locator-set azure
  33.33.33.33 priority 1 weight 100
  exit-locator-set
 !
 service ipv4
  itr map-resolver 11.11.11.11
  itr
  etr map-server 11.11.11.11 key cisco
  etr
  use-petr 11.11.11.11
  exit-service-ipv4
 !
 instance-id 0
  dynamic-eid subnet1
   database-mapping 10.10.10.0/24 locator-set azure
   map-notify-group 239.0.0.1
   exit-dynamic-eid
  !
  service ipv4
   eid-table default
   exit-service-ipv4
  !
  exit-instance-id
 !
 exit-router-lisp
!
router ospf 11
 network 30.0.0.2 0.0.0.0 area 11
 network 33.33.33.33 0.0.0.0 area 11
!
router lisp
 locator-set dmz
  11.11.11.11 priority 1 weight 100
  exit-locator-set
 !
 service ipv4
  itr map-resolver 11.11.11.11
  etr map-server 11.11.11.11 key cisco
  etr
  proxy-etr
  proxy-itr 11.11.11.11
  map-server
  map-resolver
  exit-service-ipv4
 !
 instance-id 0
  dynamic-eid subnet1
   database-mapping 10.10.10.0/24 locator-set dmz
   map-notify-group 239.0.0.1
   exit-dynamic-eid
  !
  service ipv4
   eid-table default
   exit-service-ipv4
  !
  exit-instance-id
 !
 site DATA_CENTER
  authentication-key cisco
  eid-record 10.10.10.0/24 accept-more-specifics
  exit-site
 !
 exit-router-lisp
!
router ospf 11
 network 11.11.11.11 0.0.0.0 area 11
 network 30.0.0.1 0.0.0.0 area 11
!

!
! 

Azure での Cisco Catalyst 8000V とエンタープライズシステムでの Cisco Catalyst 8000V 間における LISP レイヤ 2 トラフィックの確認

手順


LISP レイヤ 2 トラフィックを確認するには、次の show lisp コマンドを実行します。

例:

Router#show ip lisp database 
LISP ETR IPv4 Mapping Database for EID-table default (IID 0), LSBs: 0x1
Entries total 2, no-route 0, inactive 0

10.0.1.1/32, dynamic-eid subnet1, inherited from default locator-set dc
  Locator  Pri/Wgt  Source     State
33.33.33.33    1/100  cfg-addr   site-self, reachable
10.0.1.20/32, dynamic-eid subnet1, inherited from default locator-set dc
  Locator  Pri/Wgt  Source     State
33.33.33.33    1/100  cfg-addr   site-self, reachable
Router-azure#show ip lisp map-cache
LISP IPv4 Mapping Cache for EID-table default (IID 0), 4 entries

0.0.0.0/0, uptime: 00:09:49, expires: never, via static-send-map-request
  Negative cache entry, action: send-map-request
10.0.1.0/24, uptime: 00:09:49, expires: never, via dynamic-EID, send-map-request
  Negative cache entry, action: send-map-request
10.0.1.4/30, uptime: 00:00:55, expires: 00:00:57, via map-reply, forward-native
  Encapsulating to proxy ETR 
10.0.1.100/32, uptime: 00:01:34, expires: 23:58:26, via map-reply, complete
  Locator  Uptime    State      Pri/Wgt     Encap-IID
11.11.11.11  00:01:34  up           1/100       -
Router-azure#show lisp dynamic-eid detail
% Command accepted but obsolete, unreleased or unsupported; see documentation.

LISP Dynamic EID Information for VRF "default"

Dynamic-EID name: subnet1
  Database-mapping EID-prefix: 10.0.1.0/24, locator-set dc
  Registering more-specific dynamic-EIDs
  Map-Server(s): none configured, use global Map-Server
  Site-based multicast Map-Notify group: 239.0.0.1
  Number of roaming dynamic-EIDs discovered: 2
  Last dynamic-EID discovered: 10.0.1.20, 00:01:37 ago
    10.0.1.1, GigabitEthernet2, uptime: 00:09:23
      last activity: 00:00:42, discovered by: Packet Reception
    10.0.1.20, GigabitEthernet2, uptime: 00:01:37
      last activity: 00:00:40, discovered by: Packet Reception
Router-DC#show ip lisp
Router-DC#show ip lisp data
Router-DC#show ip lisp database 
LISP ETR IPv4 Mapping Database for EID-table default (IID 0), LSBs: 0x1
Entries total 1, no-route 0, inactive 0

10.0.1.100/32, dynamic-eid subnet1, inherited from default locator-set dc
  Locator  Pri/Wgt  Source     State
11.11.11.11    1/100  cfg-addr   site-self, reachable
Router-DC#show ip lisp
Router-DC#show ip lisp map
Router-DC#show ip lisp map-cache 
LISP IPv4 Mapping Cache for EID-table default (IID 0), 2 entries

10.0.1.0/24, uptime: 1d08h, expires: never, via dynamic-EID, send-map-request
  Negative cache entry, action: send-map-request
10.0.1.20/32, uptime: 00:00:35, expires: 23:59:24, via map-reply, complete
  Locator  Uptime    State      Pri/Wgt     Encap-IID
33.33.33.33  00:00:35  up           1/100

Router-DC#show lisp dynamic-eid detail
% Command accepted but obsolete, unreleased or unsupported; see documentation.

LISP Dynamic EID Information for VRF "default"

Dynamic-EID name: subnet1
  Database-mapping EID-prefix: 10.0.1.0/24, locator-set dc
  Registering more-specific dynamic-EIDs
  Map-Server(s): none configured, use global Map-Server
  Site-based multicast Map-Notify group: 239.0.0.1
  Number of roaming dynamic-EIDs discovered: 1
  Last dynamic-EID discovered: 10.0.1.100, 1d08h ago
    10.0.1.100, GigabitEthernet2, uptime: 1d08h
      last activity: 00:00:47, discovered by: Packet Reception

Router-DC#show lisp site
LISP Site Registration Information
* = Some locators are down or unreachable
# = Some registrations are sourced by reliable transport

Site Name      Last      Up     Who Last             Inst     EID Prefix
               Register         Registered           ID       
dc             never     no     --                            10.0.1.0/24
               00:08:41  yes#   33.33.33.33                   10.0.1.1/32
               00:01:00  yes#   33.33.33.33                   10.0.1.20/32
               1d08h     yes#   11.11.11.11                   10.0.1.100/32
Router-DC#show ip cef 10.0.1.20
10.0.1.20/32
  nexthop 33.33.33.33 LISP0
Router-DC#
Router#show lisp instance-id 0 ipv4 database 
LISP ETR IPv4 Mapping Database for EID-table default (IID 0), LSBs: 0x1
Entries total 7, no-route 0, inactive 4

10.20.20.1/32, locator-set dc
Locator Pri/Wgt Source State
3.3.3.3 1/100 cfg-addr site-self, reachable
10.230.1.5/32, dynamic-eid subnet1, inherited from default locator-set dc
Locator Pri/Wgt Source State
3.3.3.3 1/100 cfg-addr site-self, reachable
10.230.1.6/32, Inactive, expires: 01:20:16
10.230.1.7/32, Inactive, expires: 01:20:16
10.230.1.8/32, dynamic-eid subnet1, inherited from default locator-set dc
Locator Pri/Wgt Source State
3.3.3.3 1/100 cfg-addr site-self, reachable
10.230.1.31/32, Inactive, expires: 01:21:52
10.230.1.32/32, Inactive, expires: 01:20:16
Router-OnPrem#show lisp instance-id 0 ipv4 map 
Router#show lisp instance-id 0 ipv4 map-cache 
LISP IPv4 Mapping Cache for EID-table default (IID 0), 6 entries

10.20.0.0/16, uptime: 22:39:53, expires: never, via static-send-map-request
Negative cache entry, action: send-map-request
10.230.1.0/24, uptime: 22:39:53, expires: never, via dynamic-EID, send-map-request
Negative cache entry, action: send-map-request
10.230.1.6/32, uptime: 22:37:05, expires: never, via away, send-map-request
Negative cache entry, action: send-map-request
10.230.1.7/32, uptime: 22:37:05, expires: never, via away, send-map-request
Negative cache entry, action: send-map-request
10.230.1.31/32, uptime: 22:38:14, expires: 01:21:45, via map-reply, complete
Locator Uptime State Pri/Wgt Encap-IID
11.11.11.11 22:38:14 up 1/100 -
10.230.1.32/32, uptime: 22:37:05, expires: never, via away, send-map-request
Negative cache entry, action: send-map-request