VRF ルート共有の設定

次の章では、Cisco Catalyst 8000V インスタンスで VRF ルート共有を設定する方法について説明します。VRF ルート共有は、オンプレミスサイトとパブリッククラウドサイト間でトラフィックを転送する必要がある場合に必要です。クラウド全体に共有サービスを展開するには、VxLAN ピア間で VRF ルート共有を設定します。

VRF ルート共有に関する情報

APIC レイヤ(オンプレミス)とパブリッククラウドサイトがあるハイブリッド クラウド ソリューションでは、Cisco Catalyst 8000V インスタンスはレイヤ 3 境界を介してデータセンターを接続します。Cisco Catalyst 8000V インスタンスには、2 セットのインポートおよびエクスポート ルート ターゲットで設定された VRF インスタンスがあります。インポート/エクスポート ルート ターゲットの 1 つのセットは、オンプレミス ルータの VXLAN カプセル化および L3 ルーティング情報を使用して BGP EVPN セッションに関連付けられます。インポート/エクスポート ルート ターゲットの他のセットは、サービス プロバイダー ネットワークの L3VPN BGP ネイバーに関連付けられます。Cisco Catalyst 8000V インスタンスは、オンプレミスサイトとサービス プロバイダー ネットワーク間のルートをステッチすることで、EVPN 全体で L3 トラフィックの移動を可能にします。

Cisco Catalyst 8000V インスタンスは、VRF に同じ VTEP IP(VxLAN トンネルエンドポイント)と RMAC(ルータ MAC アドレス)がある場合でも、EVPN を介してトラフィックを転送します。この機能により、Cisco Catalyst 8000V インスタンスはバインディングラベルを使用してルーティングと転送チェーンを設定します。

VRF ルート共有機能を使用すると、ハイブリッドクラウド全体に共有サービスを展開できます。パブリッククラウドで実行される共有サービスは、オンプレミスサイトのエンドポイントで使用できます。Cisco Catalyst 8000V インスタンスは、オンプレミスサイト上の複数の VRF と L3 プレフィックスを共有し、その逆も同様です。APIC レイヤはアドレスをインポートし、サービスは APIC 側で使用されます。

VRF ルート共有の前提条件

VRF ルート共有機能を設定して ACI とパブリッククラウド間のトラフィックを有効にする前に、次のことを確認します。

  • ACI の vPC ペアで VRF1 と VRF2 を設定します。

  • VRF3 は、VGW とピアリングする Cisco Catalyst 8000V インスタンス上の VRF4 であり、VRF ごとに 2 つの RT があります。

  • Cisco Catalyst 8000V インスタンスは、VRF1&2 の EVPN ルートを ACI から VRF3&4 にインポートします。

  • Cisco Catalyst 8000V 側の IP BGP は、パブリッククラウドのゲートウェイにルートを再配布します。

  • ACI からのルートのネクストホップは、ACI の境界リーフのスパインです。

  • ルート共有 VRF 全体でプレフィックスの重複はありません。

  • L3 VPN ルーティングをアドバタイズし、VRF プレフィックスを EVPN ネイバーに転送します。advertise l2vpn evpn コマンドを実行し、スティッチング RT をエクスポートして、ネイティブルートを EVPN にプッシュします。

VRF ルート共有に関する制約事項

  • VRF 共有機能は、最大 32 の共通 VRF と 1000 のカスタマー VRF の組み合わせをサポートします。

  • この機能は RT フィルタをサポートしていません。

  • VRF ルート共有は、IPv4 アドレスでのみサポートされ、IPv6 アドレスではサポートされません。

VRF ルート共有の設定方法

サンプルトポロジと使用例

ハイブリッドクラウドでの VRF ルート共有を説明するために、サンプルトポロジについて考えてみましょう。サンプルトポロジでは、Cisco Catalyst 8000V インスタンスがパブリッククラウドの VM に展開されていると見なします。サイト A は ACI 展開サイトで、サイト B はパブリッククラウドです。リーフ 1 とリーフ 2 は、ACI の仮想ポートチャネル(vPC)ペアです。これらの 2 つの vPC は、異なるルート識別子(RD)で設定されます。ここでは、VRF 1 と VRF 2 が ACI の vPC ペアで設定されています。次の例を参考にしてください。

VRF1 - RT:RT-EVPN-1、プレフィックス:192.168.1.1

VRF2 - RT:RT-EVPN-2、プレフィックス:192.168.2.2

Cisco Catalyst 8000V インスタンスで VRF3 と VRF4 が設定されています。これら 2 つの VRF は音声ゲートウェイ(VGW)とペアになっており、これら 2 つの VRF には 2 つの異なるルートターゲット(RT)があります。次の例を参考にしてください。

VRF3 – EVPN 用 RT:RT-EVPN-3、IP BGP 用 RT:RT-3、プレフィックス:192.168.3.3

VRF4 – EVPN 用 RT:RT-EVPN-4、IP BGP 用 RT:RT-4、プレフィックス:192.168.4.4

このトポロジでは、BGP-EVPN ファブリックが ACI とパブリッククラウドの Cisco Catalyst 8000V インスタンスの間に存在し、Cisco Catalyst 8000V インスタンスと Azure などのクラウド サービス プロバイダーの間で IP BGP プロトコルが使用されます。BGP-EVPN ファブリックは、EVPN と IP BGP 間のスティッチングルートを再配布します。

ACI サイトとパブリッククラウド間のトラフィックフローを有効にするには、ACI と Cisco Catalyst 8000V インスタンスの両方が VRF ルート共有をサポートする必要があります。

Cisco Catalyst 8000V インスタンスは、VRF1 および VRF2 の EVPN ルートを ACI から VRF3 および VRF4 にインポートできる必要があります。Cisco Catalyst 8000V 側の IP BGP は、パブリッククラウド内の VGW へのルートを再配布します。


(注)  

VTEP(VxLAN トンネルエンドポイント)IP と RMAC(ルート MAC アドレス)が 2 つのリーフで同じで、VNIC だけが異なる場合、Cisco Catalyst 8000V インスタンスはトンネルを介してトラフィックを転送できます。

ユースケース

同じトポロジ例を使用して、Cisco Catalyst 8000V インスタンスで VRF ルート共有を設定する使用例を次に示します。

  • VRF1 と VRF2 は VRF3 と通信できるが、VRF3 と VRF4 は相互に通信できない場合は、次の設定を実行します。

    vrf definition VRF3
rd 300:1
address-family ipv4
route-target export RT-EVPN-3 stitching
route-target import RT-EVPN-1 stitching
route-target import RT-EVPN-2 stitching
vrf definition VRF4
rd 400:1
address-family ipv4

  • VRF1 と VRF2 が VRF3 および 4 と通信できるが、VRF3 と VRF4 が相互に通信できない場合は、次の設定を実行します。

    vrf definition VRF3
rd 300:1
address-family ipv4
route-target export RT-EVPN-3 stitching
route-target import RT-EVPN-1 stitching
route-target import RT-EVPN-2 stitching
vrf definition VRF4
rd 400:1
address-family ipv4
route-target export RT-EVPN-4 stitching
route-target import RT-EVPN-1 stitching
route-target import RT-EVPN-2 stitching

  • VRF1 と VRF2 は VRF3 と通信できるが、VRF3 と VRF4 は相互に通信できる場合は、次の設定を実行します。

    vrf definition VRF3
rd 300:1
address-family ipv4
route-target export RT-EVPN-3 stitching
route-target import RT-EVPN-1 stitching
route-target import RT-EVPN-2 stitching
route-target export RT-3
route-target import RT-4
vrf definition VRF4
rd 400:1
address-family ipv4
route-target import RT-3
route-target export RT-4

  • VRF1 と VRF2 は VRF3 および 4 と通信できるが、VRF3 と VRF4 は相互に通信できる場合は、次の設定を実行します。

    vrf definition VRF3
rd 300:1
address-family ipv4
route-target export RT-EVPN-3 stitching
route-target import RT-EVPN-1 stitching
route-target import RT-EVPN-2 stitching
route-target export RT-3
route-target import RT-4
vrf definition VRF4
rd 400:1
address-family ipv4
route-target export RT-EVPN-4 stitching
route-target import RT-EVPN-1 stitching
route-target import RT-EVPN-2 stitching
route-target import RT-3
route-target export RT-4

    (注)  

    上記の使用例では、Cisco Catalyst 8000V インスタンスは VRF3 と VRF4 の両方で EVPN を設定する必要があります。

    IP BGP はすでに VRF3 と VRF4 からすべてのルートをインポートしていますが、BGP はインポートされた VRF のルートを EVPN ピアにアドバタイズしません。

EVPN 全体で共有が行われる場合にのみ、設定で Stitching キーワードを使用する必要があります。

VRF ルート共有の設定

手順

VRF 1 および VRF 2(オンプレミス)が VRF 3 および VRF 4(パブリッククラウド内)と通信できるハイブリッドクラウドで VRF ルート共有を設定するには、次の設定を実行します。このソリューション例では、VRF3 と VRF4 は相互に通信できません。

例:

vrf definition vrf3
rd 3:3
address-family ipv4
Route-target export 100:3
Route-target import 100:4
route-target export 3:3 stitching
route-target import 1:1 stitching
route-target import 2:2 stitching
exit-address-family
!
!
vrf definition vrf4
rd 4:4
address-family ipv4
Route-target import 100:3
Route-target export 100:4
route-target export 4:4 stitching
route-target import 1:1 stitching
route-target import 2:2 stitching
exit-address-family
!
!
interface BDI100
no shutdown
vrf forwarding vrf3
ip address 10.1.1.1 255.255.255.224
!
interface GigabitEthernet4.2
encapsulation dot1Q 2
vrf forwarding vrf3
ip address 10.4.4.1 255.255.255.224
bridge-domain 100
member vni 10100
!
interface nve1
source-interface loopback0
host-reachability protocol bgp
member vni 10100 vrf vrf3
!
router bgp 100
bgp router-id 10.11.11.11
no bgp default ipv4-unicast
neighbor 192.168.22.22 remote-as 200
neighbor 198.162.22.22 update-source loopback0
neighbor 198.162.22.22 ebgp-multihop 255
address-family ipv4 vrf vrf3
redistribute connected
neighbor 10.0.0.2 remote-as 300
neighbor 10.0.0.2 activate
neighbor 10.0.0.2 send-community both
advertise l2vpn evpn
exit-address-family
!
address-family l2vpn evpn
neighbor 198.162.22.22 activate
neighbor 198.162.22.22 send-community both
exit-address-family
end

VRF ルート共有の確認

手順

ステップ 1

show ip bgp l2vpn evpn summary.

VRF デフォルトアドレスファミリ(L2VPN EVPN)の BGP サマリー情報を指定します。

例:

show ip bgp l2vpn evpn summary
BGP router identifier 10.11.11.11, local AS number 100
BGP table version is 8, main routing table version 8
7 network entries using 2408 bytes of memory
......
BGP activity 14/0 prefixes, 16/0 paths, scan interval 60 secs
7 networks peaked at 17:34:38 Aug 14 2019 CST (00:00:26.895 ago)
Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
198.162.22.22     4          200       6       5        4    0    0 00:01:23        4
Device#

ステップ 2

show ip route vrf vrf3 bgp | in binding.

VRF に関連付けられた IP ルーティングテーブル情報を表示します。出力にバインディングラベルが付いている場合は、設定が成功し、BGP がバインディングラベルをネクストホップとして使用していることを示しています。

例:

+++ 17:35:05 Minuet(default) exec +++
show ip route vrf vrf3 bgp | in binding
B        10.2.1.0/24 [20/0] via binding label: 0x3000001, 00:00:26
B        10.2.2.0/24 [20/0] via binding label: 0x3000002, 00:00:26
B     192.168.1.0/24 [20/0] via binding label: 0x3000001, 00:00:26
B     192.168.2.0/24 [20/0] via binding label: 0x3000002, 00:00:26
Device#