VXLAN インターフェイス

この章では、仮想拡張 LAN(VXLAN)インターフェイスを設定する方法について説明します。VXLAN は、レイヤ 2 ネットワークを拡張するためにレイヤ 3 物理ネットワーク上のレイヤ 2 仮想ネットワークとして機能します。

VXLAN インターフェイスの概要

VXLAN は、VLAN の場合と同じイーサネットレイヤ 2 ネットワークサービスを提供しますが、より優れた拡張性と柔軟性を備えています。VLAN と比較して、VXLAN には次の利点があります。

  • データセンター全体でのマルチテナントセグメントの柔軟な配置。

  • より多くのレイヤ 2 セグメント(最大 1600 万の VXLAN セグメント)に対応するための高度なスケーラビリティ。

ここでは、VXLAN の動作について説明します。VXLAN の詳細については、RFC 7348 を参照してください。

VXLAN カプセル化

VXLAN は、レイヤ 3 ネットワーク上のレイヤ 2 オーバーレイ方式です。VXLAN は、MAC Address-in-User Datagram Protocol(MAC-in-UDP)のカプセル化を使用します。元のレイヤ 2 フレームに VXLAN ヘッダーが追加され、UDP-IP パケットに置かれます。

VXLAN トンネル エンドポイント

VXLAN トンネル エンドポイント(VTEP)デバイスは、VXLAN のカプセル化およびカプセル化解除を実行します。各 VTEP には 2 つのインターフェイス タイプ(セキュリティ ポリシーを適用する VXLAN Network Identifier(VNI)インターフェイスと呼ばれる 1 つ以上の仮想インターフェイスと、 VTEP 間に VNI をトンネリングする VTEP 送信元インターフェイスと呼ばれる通常のインターフェイス)があります。VTEP 送信元インターフェイスは、VTEP 間通信のトランスポート IP ネットワークに接続されます。

次の図に、レイヤ 3 ネットワークで VTEP として機能し、サイト間の VNI 1、2、3 を拡張する 2 つの ASA と仮想サーバ 2 を示します。ASA は、VXLAN と VXLAN 以外のネットワークの間のブリッジまたはゲートウェイとして機能します。

VTEP 間の基盤となる IP ネットワークは、VXLAN オーバーレイに依存しません。カプセル化されたパケットは、発信元 IP アドレスとして開始 VTEP を持ち、宛先 IP アドレスとして終端 VTEP を持っており、外部 IP アドレス ヘッダーに基づいてルーティングされます。宛先 IP アドレスは、リモート VTEP が不明な場合、マルチキャストグループにすることができます。デフォルトでは、 宛先ポートは UDP ポート 4789 です(ユーザ設定可能)。

VTEP 送信元インターフェイス

VTEP 送信元インターフェイスは、すべての VNI インターフェイスに関連付けられる予定の標準の ASA インターフェイス(物理、冗長、EtherChannel、または VLAN)です。ASA/セキュリティ コンテキストごとに 1 つの VTEP 送信元インターフェイスを設定できます。

VTEP 送信元インターフェイスは、VXLAN トラフィック専用にすることができますが、その使用に制限されません。必要に応じて、インターフェイスを通常のトラフィックに使用し、そのトラフィックのインターフェイスにセキュリティ ポリシーを適用できます。ただし、VXLAN トラフィックの場合は、すべてのセキュリティ ポリシーを VNI インターフェイスに適用する必要があります。VTEP インターフェイスは、物理ポートとしてのみ機能します。

トランスペアレント ファイアウォール モードでは、VTEP 送信元インターフェイスは、BVI の一部ではないため、その IP アドレスを設定しません。このインターフェイスは、管理インターフェイスが処理される方法に似ています。

VNI インターフェイス

VNI インターフェイスは VLAN インターフェイスに似ています。VNI インターフェイスは、タギングを使用して特定の物理インターフェイスでのネットワーク トラフィックの分割を維持する仮想インターフェイスです。各VNI インターフェイスにセキュリティ ポリシーを直接適用します。

追加できる VTEP インターフェイスは 1 つだけで、すべての VNI インターフェイスは、同じ VTEP インターフェイスに関連付けられます。

VXLAN パケット処理

VTEP 送信元インターフェイスを出入りするトラフィックは、VXLAN 処理、特にカプセル化または非カプセル化の対象となります。

カプセル化処理には、次のタスクが含まれます。

  • VTEP 送信元インターフェイスにより、VXLAN ヘッダーが含まれている内部 MAC フレームがカプセル化されます。

  • UDP チェックサム フィールドがゼロに設定されます。

  • 外部フレームの送信元 IP がVTEP インターフェイスの IP に設定されます。

  • 外部フレームの宛先 IP がリモート VTEP IP ルックアップによって決定されます。

カプセル化解除については、次の場合に ASA によって VXLAN パケットのみがカプセル化解除されます。

  • これが、宛先ポートが 4789 に設定された UDP パケットである場合(この値はユーザー設定可能です)。

  • 入力インターフェイスが VTEP 送信元インターフェイスである場合。

  • 入力インターフェイスの IP アドレスが宛先 IP アドレスと同じになります。

  • VXLAN パケット形式が標準に準拠します。

ピア VTEP

ASA がピア VTEP の背後にあるデバイスにパケットを送信する場合、ASA には次の 2 つの重要な情報が必要です。

  • リモート デバイスの宛先 MAC アドレス

  • ピア VTEP の宛先 IP アドレス

ASA は VNI インターフェイスのリモート VTEP IP アドレスに対する宛先 MAC アドレスのマッピングを維持します。

ASA がこの情報を検出するには 2 つの方法あります。

  • 単一のピア VTEP IP アドレスを ASA に静的に設定できます。

    手動で複数のピアを定義することはできません。

    ASA が VXLAN カプセル化 ARP ブロードキャストを VTEP に送信し、エンド ノードの MAC アドレスを取得します。

  • マルチキャスト グループは、VNI インターフェイスごとに(または VTEP 全体に)設定できます。

    ASA は、IP マルチキャスト パケット内の VXLAN カプセル化 ARP ブロードキャスト パケットを VTEP 送信元インターフェイスを経由して送信します。この ARP 要求への応答により、ASA はリモート VTEP の IP アドレスと、リモート エンド ノードの宛先 MAC アドレスの両方を取得することができます。

VXLAN 使用例

ここでは、ASA 上への VXLAN の実装事例について説明します。

VXLAN ブリッジまたはゲートウェイの概要

各 ASA の VTEP は、VM、サーバ、PC、VXLAN のオーバーレイ ネットワークなどのエンドノードの間のブリッジまたはゲートウェイとして機能します。VTEP 送信元インターフェイス経由の VXLAN カプセル化を使用して受信された着信フレームの場合は、ASA が VXLAN ヘッダーを抽出して、内部イーサネット フレームの宛先 MAC アドレスに基づいて非 VXLAN ネットワークに接続された物理インターフェイスにその着信フレームを転送します。

ASA は、常に VXLAN パケットを処理します。未処理の VXLAN パケットを他の 2 つの VTEP 間でそのまま転送しません。

VXLAN ブリッジ

ブリッジグループを使用する場合(トランスペアレント ファイアウォール モードまたは任意ルーテッド モード)、ASA は、同じネットワークに存在する VXLAN セグメント(リモート)とローカル セグメント間の VXLAN ブリッジとして機能できます。この場合、ブリッジグループのメンバーは通常インターフェイス 1 つのメンバーが通常のインターフェイスで、もう 1 つのメンバーが VNI インターフェイスです。

VXLAN ゲートウェイ(ルーテッド モード)

ASA は、VXLAN ドメインと VXLAN 以外のドメインの間のルータとして機能し、異なるネットワーク上のデバイスを接続できます。

VXLAN ドメイン間のルータ

VXLAN 拡張レイヤ 2 ドメインを使用すると、VM は、ASA が同じラックにないとき、あるいは ASA がレイヤ 3 ネットワーク上の離れた場所にあるときに、ゲートウェイとして ASA を指し示すことができます。

このシナリオに関する次の注意事項を参照してください。

  1. VM3 から VM1 へのパケットでは、ASA がデフォルト ゲートウェイであるため、宛先 MAC アドレスは ASA の MAC アドレスです。

  2. 仮想サーバー 2 の VTEP 送信元インターフェイスは、VM3 からパケットを受信してから、VNI 3 の VXLAN タグでパケットをカプセル化して ASA に送信します。

  3. ASA は、パケットを受信すると、パケットをカプセル化解除して内部フレームを取得します。

  4. ASA は、ルート ルックアップに内部フレームを使用して、宛先が VNI 2 上であることを認識します。VM1 のマッピングがまだない場合、ASA は VNI 2 カプセル化された ARP ブロードキャストを VNI 2 のマルチキャスト グループ IP で送信します。


    (注)  

    このシナリオでは複数の VTEP ピアがあるため、ASA は複数のダイナミック VTEP ピア ディスカバリを使用する必要があります。

  5. ASA は VNI 2 の VXLAN タグでパケットを再度カプセル化し、仮想サーバー 1 に送信します。カプセル化の前に、ASA は内部フレームの宛先 MAC アドレスを変更して VM1 の MAC にします(ASA で VM1 の MAC アドレスを取得するためにマルチキャスト カプセル化 ARP が必要な場合があります)。

  6. 仮想サーバー 1 は、VXLAN パケットを受信すると、パケットをカプセル化解除して内部フレームを VM1 に配信します。

VXLAN インターフェイスのガイドライン

IPv6

  • VNI インターフェイスでは、IPv6 トラフィックをサポートしますが、VTEP 送信元インターフェイス IP アドレスでは、IPv4 のみをサポートします。

  • IPv6 OSPF インターフェイス設定はサポートされていません。

クラスタリング

  • ASA クラスタリングでは、個別インターフェイス モードの VXLAN をサポートしません。Spanned EtherChannel モードでのみ VXLAN をサポートします。

Routing

  • VNI インターフェイスでは、スタティック ルーティングまたはポリシー ベース ルーティングのみをサポートします。ダイナミック ルーティング プロトコルはサポートされません。

MTU

  • 送信元インターフェイスの MTU が 1554 バイト未満の場合、ASA は自動的に MTU を 1554 バイトに増やします。この場合、イーサネット データグラム全体がカプセル化されるため、新しいパケットのサイズが大きくなるため、より大きな MTU が必要になります。他のデバイスが使用する MTU の方が大きい場合、送信元インターフェイス MTU を、ネットワーク MTU + 54 バイトに設定する必要があります。この MTU は、ジャンボ フレーム予約を有効にする必要があります。ジャンボフレームサポートの有効化(ASA モデル) を参照してください。

モデルのガイドライン

  • Firepower 1010 スイッチポートおよび VLAN インターフェイスは、VTEP インターフェイスとしてサポートされていません。

VXLAN インターフェイスのデフォルト設定

デフォルトでは、VNI インターフェイスはイネーブルになっています。

VXLAN インターフェイスの設定

VXLAN を設定するには、次の手順を実行します。

手順

ステップ 1

VTEP 送信元インターフェイスの設定
ステップ 2

VNI インターフェイスの設定

VTEP 送信元インターフェイスの設定

ASA ごと、またはセキュリティ コンテキストごとに 1 つの VTEP 送信元インターフェイスを設定できます。VTEP は、ネットワーク仮想化エンドポイント(NVE)として定義されます。VXLAN VTEP が現時点でサポートされている NVE です。

始める前に

マルチ コンテキスト モードでは、この項のタスクをコンテキスト実行スペースで実行してください。[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

手順

ステップ 1

[構成(Configuration)] > [デバイスの設定(Device Setup)] > [インターフェイス設定(Interface Settings)] > [インターフェイス(Interfaces)] の順に選択し、VTEP 送信元インターフェイスに使用するインターフェイスを編集します。

ステップ 2

(トランスペアレント モード)[VTEP Source Interface] チェック ボックスをオンにします。

この設定により、インターフェイスの IP アドレスを設定することができます。このコマンドは、この設定によってトラフィックがこのインターフェイスの VXLAN のみに制限されるルーテッド モードではオプションです。

ステップ 3

送信元インターフェイス名と IPv4 アドレスを設定し、[OK] をクリックします。

ステップ 4

[構成(Configuration)] > [デバイスの設定(Device Setup)] > [インターフェイス設定(Interface Settings)] > [VXLAN] の順に選択します。

ステップ 5

(オプション)デフォルト 4789 から変更する場合は、[VXLAN Destination Port] の値を入力します。

マルチ コンテキスト モードでは、システム実行スペースでこの設定を行います。

ステップ 6

[VXLANを使用してネットワーク仮想化エンドポイントのカプセル化を有効にする(Enable Network Virtualization Endpoint encapsulation using VXLAN)] チェックボックスをオンにします。

ステップ 7

ドロップダウン リストから [VTEP Tunnel Interface] を選択します。

(注)   

VTEP インターフェイスの MTU が 1554 バイト未満の場合、ASA は自動的に MTU を 1554 バイトに増やします。

ステップ 8

(オプション)[Configure Packet Recipient] チェック ボックスをオンにします。

  • (マルチ コンテキスト モード(シングル モードではオプション)[Specify Peer VTEP IP Address] を入力して、手動でピア VTEP の IP アドレスを指定します。

    ピア IP アドレスを指定した場合、マルチキャスト グループ ディスカバリは使用できません。マルチキャストは、マルチ コンテキスト モードではサポートされていないため、手動設定が唯一のオプションです。VTEP には 1 つのピアのみを指定できます。

  • (シングル モードのみ)[Multicast traffic to default multicast address] を入力して、関連付けられたすべての VNI インターフェイスにデフォルトのマルチキャスト グループを指定します。

    VNI インターフェイスごとにマルチキャスト グループを設定していない場合は、このグループが使用されます。その VNI インターフェイス レベルでグループを設定している場合は、そのグループがこの設定よりも優先されます。

ステップ 9

[Apply] をクリックします。

VNI インターフェイスの設定

VNI インターフェイスを追加してそれを VTEP 送信元インターフェイスに関連付けて、基本インターフェイス パラメータを設定します。

手順

ステップ 1

[構成(Configuration)] > [デバイス設定(Device Setup)] > [インターフェイス設定(Interface Settings)] > [インターフェイス(Interfaces)]の順に選択し、[追加(Add)] > [VNIインターフェイス(VNI Interface)]をクリックします。

ステップ 2

[VNI ID] は 1 ~ 10000 の間で入力します。

この ID は内部インターフェイス識別子です。

ステップ 3

[VNI Segment ID] は 1 ~ 16777215 の間で入力します。

セグメント ID は VXLAN タギングに使用されます。

ステップ 4

(トランスペアレント モード)このインターフェイスを割り当てる [Bridge Group] を指定します。

BVI インターフェイスを設定して通常のインターフェイスをこのブリッジ グループに関連付けるには、のブリッジグループ インターフェイスの設定を参照してください。

ステップ 5

[Interface Name] を入力します。

name は最大 48 文字のテキスト文字列です。大文字と小文字は区別されません。名前を変更するには、このコマンドで新しい値を再入力します。

ステップ 6

[Security Level] に 0(最低)~100(最高)を入力します。セキュリティ レベルを参照してください。

ステップ 7

(シングル モード)[Multicast Group IP Address] を入力します。

VNI インターフェイスに対してマルチキャスト グループを設定しない場合は、VTEP 送信元インターフェイス設定のデフォルト グループが使用されます(使用可能な場合)。VTEP 送信元インターフェイスに対して手動でVTEP ピア IP を設定した場合、VNI インターフェイスに対してマルチキャスト グループを指定することはできません。マルチキャストは、マルチ コンテキスト モードではサポートされていません。

ステップ 8

[VTEPトンネルインターフェイスへマッピング(Map to VTEP Tunnel Interface)] チェックボックスをオンにします。

この設定により、VNI インターフェイスが VTEP 送信元インターフェイスに関連付けられます。

ステップ 9

[Enable Interface] チェック ボックスをオンにします。この設定はデフォルトでイネーブルになっています。

ステップ 10

(ルーテッド モード)[IP Address] 領域で、IPv4 アドレスを設定します。IPv6 を設定するには、[IPv6] タブをクリックします。

ステップ 11

[OK]、続いて [Apply] をクリックします。

VXLAN インターフェイスの例

次の VXLAN の設定例を参照してください。

トランスペアレント VXLAN ゲートウェイの例

この例の次の説明を参照してください。

  • GigabitEthernet 0/0 の外部インターフェイスは、VTEP 送信元インターフェイスとして使用され、レイヤ 3 ネットワークに接続されます。

  • GigabitEthernet 0/1.100 の insidevm100 VLAN サブインターフェイスは、VM3 が存在する 10.10.10.0/24 ネットワークに接続されます。VM3 が VM1 と通信する場合(表示されません。両方とも、10.10.10.0/24 の IP アドレスを持つ)、ASA は VXLAN タグ 6000 を使用します。

  • GigabitEthernet 0/1.200 の insidevm200 VLAN サブインターフェイスは、VM2 が存在する 10.20.20.0/24 ネットワークに接続されます。VM2 が VM4 と通信する場合(表示されません。両方とも、10.20.20.0/24 の IP アドレスを持つ)、ASA は VXLAN タグ 8000 を使用します。

  • GigabitEthernet 0/2 の insidepc インターフェイスは、数台の PC が存在する 10.30.30.0/24 ネットワークに接続されます。それらの PC が、同じネットワーク(すべて 10.30.30.0/24 の IP アドレスを持つ)に属するリモート VTEP の裏の VMs/PCs(表示されません)と通信する場合、ASA は VXLAN タグ 10000 を使用します。

ASA の設定


firewall transparent
vxlan port 8427
!
interface gigabitethernet0/0
  nve-only
  nameif outside
  ip address 192.168.1.30 255.255.255.0
  no shutdown
!
nve 1
  encapsulation vxlan
  source-interface outside
!
interface vni1
  segment-id 6000
  nameif vxlan6000
  security-level 0
  bridge-group 1
  vtep-nve 1
  mcast-group 235.0.0.100
!
interface vni2
  segment-id 8000
  nameif vxlan8000
  security-level 0
  bridge-group 2
  vtep-nve 1
  mcast-group 236.0.0.100
!
interface vni3
  segment-id 10000
  nameif vxlan10000
  security-level 0
  bridge-group 3
  vtep-nve 1
  mcast-group 236.0.0.100
!
interface gigabitethernet0/1.100
  nameif insidevm100
  security-level 100
  bridge-group 1
!
interface gigabitethernet0/1.200
  nameif insidevm200
  security-level 100
  bridge-group 2
!
interface gigabitethernet0/2
  nameif insidepc
  security-level 100
  bridge-group 3
!
interface bvi 1
  ip address 10.10.10.1 255.255.255.0
!
interface bvi 2
  ip address 10.20.20.1 255.255.255.0
!
interface bvi 3
  ip address 10.30.30.1 255.255.255.0

注意

  • VNI インタフェース vni1 と vni2 の場合、カプセル化時に内部 VLAN タグが削除されます。

  • VNI インターフェイス vni2 と vni3 は、マルチキャストでカプセル化された ARP に対して同じマルチキャスト IP アドレスを共有します。この共有は許可されます。

  • ASA は、上記の BVI とブリッジ グループ設定に基づいて VXLAN トラフィックを非 VXLAN でサポートされているインターフェイスにブリッジします。拡張されたレイヤ 2 ネットワークの各セグメント(10.10.10.0/24、10.20.20.0/24、10.30.30.0/24)の場合、ASA はブリッジとして機能します。

  • 複数の VNI または複数の通常のインターフェイス(VLAN または単に物理インターフェイス)をブリッジ グループに設定できます。VXLAN セグメント ID から VLAN ID(物理インターフェイス) の転送または関連付けは、宛先 MAC アドレスによって決定され、どちらかのインターフェイスが宛先に接続されます。

  • VTEP 送信元インターフェイスは、インターフェイス設定で nve-only によって示されるトランスペアレント ファイアウォール モードのレイヤ 3 インターフェイスです。VTEP 送信元インターフェイスは、BVI インターフェイスまたは管理インターフェイスではありませんが、IP アドレスがあり、ルーティング テーブルを使用します。

VXLAN ルーティングの例

この例の次の説明を参照してください。

  • VM1(10.10.10.10)は仮想サーバー 1 にホストされ、VM2(10.20.20.20)は仮想サーバー 2 にホストされます。

  • VM1 のデフォルト ゲートウェイは ASA であり、仮想サーバー 1 と同じのポッドにありませんが、VM1 はそれを認識しません。VM1 は、そのデフォルト ゲートウェイの IP アドレスが 10.10.10.1 であることだけを認識します。同様に、VM2 はデフォルト ゲートウェイの IP アドレスが10.20.20.1 であることだけを認識します。

  • 仮想サーバー 1 および 2 の VTEP サポート型ハイパーバイザは、同じサブネットまたはレイヤ 3 ネットワーク(表示なし。この場合、ASA と仮想サーバーのアップリンクに異なるネットワーク アドレスがある)経由で ASA と通信できます。

  • VM1 のパケットは、そのハイパーバイザの VTEP によってカプセル化され、VXLAN トンネリングを使用してそのデフォルト ゲートウェイに送信されます。

  • VM1 がパケットを VM2 に送信すると、パケットはその観点からデフォルト ゲートウェイ 10.10.10.1 を介して送信されます。仮想サーバー 1 は 10.10.10.1 がローカルにないことを認識しているので、VTEP は VXLAN 経由でパケットをカプセル化し、ASA の VTEP に送信します。

  • ASA で、パケットはカプセル化解除されます。VXLAN セグメント ID は、カプセル化解除時に取得されます。次に、ASA は、VXLAN セグメント ID に基づいて、VNI インターフェイス(vni1)に対応する内部フレームを再投入します。その後に、ASA はルート ルックアップを実行し、別の VNI インターフェイス(vni2)経由で内部パケットを送信します。vni2 を経由するすべての出力パケットは、VXLAN セグメント 8000 でカプセル化され、VTEP 経由で外部に送信されます。

  • 最後に、カプセル化されたパケットが仮想サーバー 2 の VTEP によって受信され、カプセル化解除され、VM2 に転送されます。

ASA の設定


interface gigabitethernet0/0
  nameif outside
  ip address 192.168.1.30 255.255.255.0
  no shutdown
!
nve 1
  encapsulation vxlan
  source-interface outside
  default-mcast-group 235.0.0.100
!
interface vni1
  segment-id 6000
  nameif vxlan6000
  security-level 0
  vtep-nve 1
  ip address 10.20.20.1 255.255.255.0
!
interface vni2
  segment-id 8000
  nameif vxlan8000
  security-level 0
  vtep-nve 1
  ip address 10.10.10.1 255.255.255.0
!

VXLAN インターフェイスの履歴

表 1. VXLAN インターフェイスの履歴

機能名

リリース

機能情報

VXLAN のサポート

9.4(1)

VXLAN のサポートが追加されました(VXLAN トンネル エンドポイント(VTEP)のサポートを含む)。ASA またはセキュリティ コンテキストごとに 1 つの VTEP 送信元インターフェイスを定義できます。

次の画面が導入されました。

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add] > [VNI Interface]

[Configuration] > [Device Setup] > [Interface Settings] > [VXLAN]