ブリッジング

この章の内容は、次のとおりです。

外部ルータへのブリッジド インターフェイス

次の図に示すように、リーフ スイッチのインターフェイスがブリッジド インターフェイスとして設定されている場合、テナント VNID のデフォルト ゲートウェイが外部ルータとなります。
図 1. ブリッジド外部ルータ


ACI ファブリックは、外部ルータの存在を認識せず、APIC はリーフ スイッチのインターフェイスを EPG に静的に割り当てます。

ブリッジ ドメインとサブネット

ブリッジ ドメイン(fvBD)は、ファブリック内のレイヤ 2 フォワーディングの構造を表します。次の図は、管理情報ツリー(MIT)内のブリッジ ドメイン (BD) の場所とテナントの他のオブジェクトとの関係を示します。

図 2. ブリッジ ドメイン


BD は、VRF (コンテキストまたはプライベート ネットワークとも呼ばれる) にリンクする必要があります。少なくとも 1 つのサブネット ( fvSubnet ) が関連付けられている必要があります。BDは、このようなフラッディングが有効の場合に、一意のレイヤ 2 MAC アドレス空間およびレイヤ 2 フラッド ドメインを定義します。VRF が一意の IP アドレス空間を定義する一方で、そのアドレス空間は複数のサブネットで構成できます。これらのサブネットは、対応する VRF を参照する 1 つ以上のブリッジ ドメインで定義されます。

BD下または EPG 下のサブネットのオプションは次のとおりです:

  • Public:サブネットをルーテッド接続にエクスポートできます。

  • Private:サブネットはテナント内にのみ適用されます。

  • Shared:共有サービスの一部として、同じテナントまたは他のテナントにわたる複数の VRF に対してサブネットの共有やエクスポートを行うことができます。共有サービスの例としては、異なるテナントの別の VRF に存在する EPG へのルーテッド接続などがあります。これにより、トラフィックが VRF 間で双方向に移動することが可能になります。共有サービスを提供する EPG のサブネットは (BD 下ではなく) その EPG 下で設定する必要があり、そのスコープは外部的にアドバタイズされ、VRF 間共有されるのように設定する必要があります。


    (注)  

    共有サブネットは、通信に含まれる VRF 全体で一意でなければなりません。EPG 下のサブネットがレイヤ 3 外部ネットワーク共有サービスを提供する場合、このようなサブネットは、ACI ファブリック内全体でグローバルに一意である必要があります。

BD パケットの動作は次の方法で制御できます:

パケット タイプ

モード

ARP

ARP フラッディング は有効または無効にできます。フラッディングを行わない場合、ARP パケットはユニキャストで送信されます。

(注)   

limitIpLearnToSubnetsfvBD で設定すると、BD の設定済みサブネット内または共有サービス プロバイダーである EPG サブネット内に IP アドレスが存在する場合のみ、エンドポイントの学習が BD に限定されます。

未知のユニキャスト

L2 Unknown Unicast は、Flood または Hardware Proxy になり得ます。

(注)   

BD が L2 Unknown Unicast を持っており、それが Flood に設定されている場合、エンドポイントが削除されると、システムはそれを両方のローカル リーフ スイッチから削除します。そして、Clear Remote MAC Entries を選択すると、BD が展開されているリモートのリーフ スイッチからも削除されます。この機能を使用しない場合、リモート リーフは、タイマーが時間切れになるまで、学習したこのエンドポイントの情報を保持します。

L2 Unknown Unicast の設定を変更すると、このブリッジ ドメインに関連付けられた EPG にアタッチされているデバイスのインターフェイス上で、トラフィックがバウンスします (アップ ダウンします)。

未知の IP マルチキャスト

L3 の不明なマルチキャスト フラッディング

Flood — パケットは入力および境界リーフ スイッチ ノードでのみフラッディングされます。N9K-93180YC-EX では、パケットは、ブリッジ ドメインが導入されているすべてのノードでフラッディングされます。

Optimized — 1 リーフあたり 50 のブリッジ ドメインのみサポートされます。この制限は N9K-93180YC-EX には該当しません。

L2 マルチキャスト、ブロードキャスト、ユニキャスト

マルチ宛先フラッディング、次のいずれかになり得ます。

  • Flood in BD — ブリッジ ドメインにフラッドします。

  • Flood in Encapsulation — カプセル化でフラッドします。

  • Drop — パケットをドロップします。


(注)  
Cisco APIC リリース 3.1(1) 以降では、Cisco Nexus 9000 シリーズ スイッチで (EX と FX で終わる名前を持つものとそれ以降)、次のプロトコルのカプセル化のフラッディングまたはブリッジ ドメインにフラッディングが可能です。OSPF/OSPFv3、BGP、EIGRP、CDP、LACP、LLDP、ISIS、IGMP、PIM、ST-BPDU、ARP/GARP、RARP、ND。

ブリッジ ドメインは複数のスイッチにまたがることができます。ブリッジ ドメインには複数のサブネットを含めることができますが、サブネットは単一のブリッジ ドメイン内に含まれます。ブリッジ ドメイン(fvBD)の limitIPLearnToSubnets プロパティが yes に設定されていると、ブリッジ ドメインの設定済みサブネットのいずれかの中に IP アドレスがあるとき、または EPG が共有サービス プロバイダーである場合には EPG サブネット内に IP アドレスがあるときのみ、ブリッジ ドメイン内でエンドポイントの学習が行われます。サブネットは複数の EPG にまたがることができ、1 つ以上の EPG を 1 つのブリッジ ドメインまたはサブネットに関連付けることができます。ハードウェアのプロキシ モードでは、異なるブリッジ ドメインのエンドポイントがレイヤ 3 のルックアップ動作の一部として学習されると、そのエンドポイントに ARP トラフィックが転送されます。


(注)  
ブリッジ ドメイン レガシー モードでは、ブリッジ ドメインごとに 1 つの VLAN のみ許可されます。ブリッジ ドメイン レガシー モードを指定すると、ブリッジ ドメインを参照するすべての EPG にブリッジ ドメインのカプセル化が使用されます。EPG のカプセル化が定義されていても、それは無視されます。ユニキャスト ルーティングはブリッジ ドメイン レガシー モードには適用されません。レガシーまたは通常モードを組み合わせて操作する複数のブリッジ ドメインをリーフ スイッチに設定することができます。ただし、一度ブリッジ ドメインを設定すると、そのモードを切り替えることはできません。

ブリッジ ドメイン オプション

ブリッジ ドメインは、不明なユニキャスト フレームのフラッド モードで、またはこれらのフレームのフラッディングを排除する最適化されたモードで動作するように設定できます。フラッディング モードで使用する場合、レイヤ 2 の不明なユニキャスト トラフィックはブリッジ ドメイン(GIP)のマルチキャスト ツリーでフラッディングされます。最適化されたモードでブリッジ ドメインを動作するようにするには、ハードウェア プロキシに設定する必要があります。この状況では、レイヤ 2 の不明なユニキャスト フレームはスパイン プロキシ エニー キャスト VTEP アドレスに送信されます。


注意    

不明なユニキャスト フラッディング モードから hw プロキシ モードに変更すると、ブリッジ ドメイン内のトラフィックが停止します。

ブリッジ ドメインで IP ルーティングが有効になっている場合、マッピング データベースは、MAC アドレスだけでなく、エンドポイントの IP アドレスを学習します。

レイヤ 3 の設定 ブリッジ ドメイン ()] パネルのタブには次のパラメータを設定するには、管理者が使用できます。

  • ユニキャスト ルーティング : この設定が有効になっているサブネット アドレスが設定されている場合は、ファブリックはデフォルト ゲートウェイの機能を提供して、トラフィックをルーティングします。ユニキャスト ルーティングもの有効化するように指示マッピング データベースをこのブリッジ ドメインのエンドポイントの IP-VTEP にマッピングを参照してください。IP ラーニングはブリッジ ドメインで設定されているサブネットを含むに依存ではありません。

  • サブネット アドレス : このオプションは、ブリッジ ドメインの SVI IP アドレス (デフォルト ゲートウェイ) を設定します。

  • 制限のサブネット IP ラーニング : このオプションは、ユニキャスト リバース転送パス チェックに似ています。このオプションを選択すると、ファブリックはブリッジ ドメインに設定されている 1 以外のサブネットから IP アドレスを学習されません。


注意    

有効化 サブネットに制限 IP ラーニング がブリッジ ドメイン内のトラフィックを停止します。

ブリッジ ドメインごとの IP 学習の無効化

2 つのホストが Cisco ACI スイッチにアクティブおよびスタンバイのホストとして接続されている場合、ブリッジ ドメインごとの IP 学習は無効になります。MAC 学習は引き続きハードウェアで発生しますが、IP 学習は ARP/GARP/ND プロセスからのみ発生します。この機能は、ファイアウォールまたはローカル ゲートウェイのような、柔軟な導入を可能にします。

ブリッジ ドメインごとに IP 学習を無効化するには、次の注意事項と制限事項を参照してください。

  • remote top-of-rack(ToR)スイッチで送信元 IP アドレスが S,G 情報を入力するように学習していないため、レイヤ 3 マルチキャストはサポートされていません。

  • DL ビットが iVXLAN ヘッダーで設定されているため、MAC アドレスはリモート TOR のデータ パスから学習されません。BD が展開されているファブリックで、リモート TOR からすべての TOR に不明なユニキャスト トラフィックをフラッディングします。エンドポイント データプレーン ラーニングが無効になっている場合は、この状況を克服するようにプロキシ モードで BD を設定することをお勧めします。

  • ARP がフラッド モードであり、GARP ベースの検出を有効にする必要があります。

  • IP ラーニングを無効にすると、対応する VRF でレイヤ 3 エンドポイントがフラッシュされません。同じ TOR を永遠に指すエンドポイントになる可能性があります。この問題を解決するには、すべての TOR のこの VRF 内ですべてのリモート IP エンドポイントをフラッシュします。

  • Application Leaf Engine(ALE)を持つ Cisco ACI スイッチでは、内部 MAC アドレスは VXLAN パケットから学習されません。

  • BD でデータプレーン ラーニングを無効にすると、BD がフラッシュされていないデータプレーンを経由して、既存のローカル エンドポイントが学習されます。データ トラフィックがフローしている場合は、既存のローカル エンドポイントはエージ アウトしません。

IP ラーニングが無効な場合、オンライン ヘルプの [System] > [System Settings] > [Fabric Wide Setting] > [Enforce Subnet Check] の [Global Subnet Prefix] チェック オプションを有効にする必要があります。

GUI を使用したテナント、VRF およびブリッジ ドメインの作成

外部ルーテッドを設定するときにパブリック サブネットがある場合は、ブリッジ ドメインを外部設定と関連付ける必要があります。

手順

ステップ 1

メニュー バーで [Tenants] > [Add Tenant] の順に選択します。

ステップ 2

[Create Tenant] ダイアログボックスで、次のタスクを実行します。

  1. [Name] フィールドに、名前を入力します。

  2. [Security Domains +] アイコンをクリックして [Create Security Domain] ダイアログボックスを開きます。

  3. [Name] フィールドに、セキュリティ ドメインの名前を入力します。Submit をクリックします。

  4. [Create Tenant] ダイアログボックスで、作成したセキュリティ ドメインのチェックボックスをオンにし、[Submit] をクリックします。

ステップ 3

[Navigation] ペインで、[Tenant-name] > [Networking] の順に展開し、[Work] ペインで、[VRF] アイコンをキャンバスにドラッグして [Create VRF] ダイアログボックスを開き、次のタスクを実行します。

  1. [Name] フィールドに、名前を入力します。

  2. [Submit] をクリックして VRF の設定を完了します。

ステップ 4

[Networking] ペインで、[BD] アイコンを [VRF] アイコンにつなげながらキャンバスにドラッグします。[Create Bridge Domain] ダイアログボックスが表示されたら、次のタスクを実行します。

  1. [Name] フィールドに、名前を入力します。

  2. [L3 Configurations] タブをクリックします。

  3. [Subnets] を展開して [Create Subnet] ダイアログボックスを開き、[Gateway IP] フィールドにサブネット マスクを入力し、[OK] をクリックします。

  4. [Submit] をクリックしてブリッジ ドメインの設定を完了します。

ステップ 5

[Networks] ペインで、[L3] アイコンを [VRF] アイコンにつなげながらキャンバスにドラッグします。[Create Routed Outside] ダイアログボックスが表示されたら、次のタスクを実行します。

  1. [Name] フィールドに、名前を入力します。

  2. [Nodes And Interfaces Protocol Profiles] を展開して [Create Node Profile] ダイアログボックスを開きます。

  3. [Name] フィールドに、名前を入力します。

  4. [Nodes] を展開して [Select Node] ダイアログボックスを開きます。

  5. [Node ID] フィールドで、ドロップダウン リストからノードを選択します。

  6. [Router ID] フィールドに、ルータ ID を入力します。

  7. [Static Routes] を展開して [Create Static Route] ダイアログボックスを開きます。

  8. [Prefix] フィールドに、IPv4 アドレスまたは IPv6 アドレスを入力します。

  9. [Next Hop Addresses] を展開し、[Next Hop IP] フィールドに IPv4 アドレスまたは IPv6 アドレスを入力します。

  10. [Preference] フィールドに数値を入力し、[UPDATE] をクリックしてから [OK] をクリックします。

  11. [Select Node] ダイアログボックスで、[OK] をクリックします。

  12. [Create Node Profile] ダイアログボックスで、[OK] をクリックします。

  13. 必要に応じてチェックボックス [BGP]、[OSPF]、または [EIGRP] をオンにし、[NEXT] をクリックします。[OK]をクリックしてレイヤ 3 の設定を完了します。

L3 設定を確認するには、[Navigation] ペインで、[Networking] > [VRFs] の順に展開します。

NX-OS CLI を使用した、テナント、VRF およびブリッジ ドメインの作成

ここでは、テナント、VRF およびブリッジ ドメインを作成する方法を説明します。

(注)  
テナントの設定を作成する前に、vlan-domain コマンドを使用して VLAN ドメインを作成し、ポートを割り当てる必要があります。

手順

ステップ 1

次のように、VLAN ドメイン(一連のポートで許可される一連の VLAN を含む)を作成し、VLAN の入力を割り当てます。

例:

次の例(exampleCorp)では、VLAN 50 ~ 500 が割り当てられることに注意してください。 

apic1# configure
apic1(config)# vlan-domain dom_exampleCorp
apic1(config-vlan)# vlan 50-500
apic1(config-vlan)# exit
ステップ 2

VLAN が割り当てられたら、これらの VLAN を使用できるリーフ(スイッチ)およびインターフェイスを指定します。次に、「vlan-domain member」と入力し、その後に作成したドメインの名前を入力します。

例:

次の例では、これらの VLAN(50 ~ 500)は、インターフェイス イーサネット 1/2 ~ 4(1/2、1/3、1/4 を含む 3 つのポート)上の leaf 101 で有効になっています。これは、このインターフェイスを使用すると、VLAN を使用できるあらゆるアプリケーションにこのポートの VLAN 50 ~ 500 を使用できることを意味します。 

apic1(config-vlan)# leaf 101
apic1(config-vlan)# interface ethernet 1/2-4
apic1(config-leaf-if)# vlan-domain member dom_exampleCorp
apic1(config-leaf-if)# exit
apic1(config-leaf)# exit
ステップ 3

次の例に示すように、グローバル コンフィギュレーション モードでテナントを作成します。

例:


apic1(config)# tenant exampleCorp
ステップ 4

次の例に示すように、テナント コンフィギュレーション モードでプライベート ネットワーク(VRF とも呼ばれます)を作成します。

例:


apic1(config)# tenant exampleCorp
apic1(config-tenant)# vrf context exampleCorp_v1
apic1(config-tenant-vrf)# exit
ステップ 5

次の例に示すように、テナントの下にブリッジ ドメイン(BD)を作成します。

例:


apic1(config-tenant)# bridge-domain exampleCorp_b1
apic1(config-tenant-bd)# vrf member exampleCorp_v1
apic1(config-tenant-bd)# exit
(注)   

この場合、VRF は「exampleCorp_v1」です。

ステップ 6

次の例に示すように、BD の IP アドレス(IP および ipv6)を割り当てます。

例:

apic1(config-tenant)# interface bridge-domain exampleCorp_b1
apic1(config-tenant-interface)# ip address 172.1.1.1/24
apic1(config-tenant-interface)# ipv6 address 2001:1:1::1/64
apic1(config-tenant-interface)# exit

次のタスク

次の項では、アプリケーション プロファイルを追加し、アプリケーション エンドポイント グループ(EPG)を作成し、EPG をブリッジ ドメインに関連付ける方法について説明します。

REST API を使用したテナント、VRF、およびブリッジ ドメインの作成

手順

ステップ 1

テナントを作成します。

例:

 POST https://apic-ip-address/api/mo/uni.xml
<fvTenant name="ExampleCorp"/>
POST が成功すると、作成したオブジェクトが出力に表示されます。
ステップ 2

VRF およびブリッジ ドメインを作成します。

(注)   

ゲートウェイ アドレスは、IPv4 または IPv6 アドレスにすることができます。IPv6 ゲートウェイ アドレスの詳細については、関連する KB 記事、「KB: Creating a Tenant, VRF, and Bridge Domain with IPv6 Neighbor Discovery」を参照してください。

例:

 URL for POST: https://apic-ip-address/api/mo/uni/tn-ExampleCorp.xml

<fvTenant name="ExampleCorp">
   <fvCtx name="pvn1"/>
   <fvBD name="bd1">
      <fvRsCtx tnFvCtxName="pvn1"/>
      <fvSubnet ip="10.10.100.1/24"/>
   </fvBD>      
</fvTenant>
(注)   

外部ルーテッドを設定するときにパブリック サブネットがある場合は、ブリッジ ドメインを外部設定と関連付ける必要があります。

適用されるブリッジ ドメインの設定

適用されるブリッジ ドメイン(BD)設定では、関連付けられているブリッジ ドメイン内のサブネット ゲートウェイを ping できるサブジェクト エンドポイント グループ(EPG)で、エンドポイントを作成する必要があります。

この設定では、任意のサブネット ゲートウェイに ping を送信できる IP アドレスのグローバル例外リストを作成できます。

図 3. 適用されるブリッジ ドメイン

(注)  

  • 例外の IP アドレスは、すべての VRF 上ですべての BD ゲートウェイの ping を実行できます。

  • L3 アウトに設定されているループバック インターフェイスは、対象とするループバック インターフェイスに設定されている IP アドレスへの到達可能性を強制しません。

  • eBGP ピア IP アドレスが、L3out インターフェイスのサブネットとは異なるサブネットに存在している場合、許容される例外サブネットにピア サブネットを追加する必要があります。

    そうしないと、送信元 IP アドレスが L3out インターフェイスのサブネットとは異なるサブネットに存在するため、eBGP トラフィックがブロックされます。

NX-OS スタイル CLI を使用した適用されるブリッジ ドメインの設定

このセクションでは、NX-OS スタイル コマンドライン インターフェイス (CLI) を使用して、適用されるブリッジ ドメインを設定する方法について説明します。

手順

ステップ 1

テナントを作成し有効にします。

例:

次の例 (「cokeVrf」) が作成され有効になっています。 

apic1(config-tenant)# vrf context cokeVrf

apic1(config-tenant-vrf)# bd-enforce enable

apic1(config-tenant-vrf)# exit
apic1(config-tenant)#exit
ステップ 2

例外リストに、サブネットを追加します。

例:

apic1(config)#bd-enf-exp-ip add1.2.3.4/24

apic1(config)#exit
適用されるブリッジ ドメインは次のようなコマンドを使用して動作可能かどうかを確認できます。
apic1# show running-config all | grep bd-enf
bd-enforce enable
bd-enf-exp-ip add 1.2.3.4/24

次のコマンドでは、除外リストからサブネットを削除します。
apic1(config)# no bd-enf-exp-ip 1.2.3.4/24
apic1(config)#tenant coke
apic1(config-tenant)#vrf context cokeVrf

次のタスク

適用されるブリッジ ドメインを無効にするには、次のコマンドを実行します。
apic1(config-tenant-vrf)# no bd-enforce enable

REST API を使用した、適用されるブリッジ ドメインの設定

手順

  コマンドまたはアクション 目的
ステップ 1

テナントを作成します。

例:

 POST https://apic-ip-address/api/mo/uni.xml
<fvTenant name="ExampleCorp"/>
POST が成功すると、作成したオブジェクトが出力に表示されます。
ステップ 2

VRF およびブリッジ ドメインを作成します。

例:

 URL for POST: https://apic-ip-address/api/mo/uni/tn-ExampleCorp.xml

<fvTenant name="ExampleCorp">
   <fvCtx name="pvn1"/>
   <fvBD name="bd1">
      <fvRsCtx tnFvCtxName="pvn1" bdEnforceEnable="yes"/>
      <fvSubnet ip="10.10.100.1/24"/>
   </fvBD>      
</fvTenant>

例外 IP を追加するには、次の POST 送信を使用します:

https://apic-ip-address/api/node/mo/uni/infra.xml

<bdEnforceExceptionCont>
<bdEnforceExceptIp ip="11.0.1.0/24"/> 
</bdEnforceExceptionCont>
(注)   
外部ルーテッドを設定するときにパブリック サブネットがある場合は、ブリッジ ドメインを外部設定と関連付ける必要があります。
(注)   
ゲートウェイ アドレスは、IPv4 または IPv6 アドレスにすることができます。IPv6 ゲートウェイ アドレスの詳細については、関連する KB 記事、「KB: Creating a Tenant, VRF, and Bridge Domain with IPv6 Neighbor Discovery」を参照してください。

カプセル化によるすべてのプロトコルおよびプロキシ ARP のカプセル化のフラッディングを設定する

ACI ではレイヤ 2 ブロードキャストの境界としてブリッジ ドメイン (BD) を使用して、各 BD で複数のエンドポイント グループ (EPG) を含めることができます。希望の EPG に VLAN のカプセル化をバインドし、ユーザ トラフィックを伝送できます。一部の設計のシナリオで、EPG が同じ BD にある場合、別のユーザ VLAN (EPG) でフラッディングをクロスできます。

トンネル モードで複数の VLAN を使用すると、いくつかの課題を導入できます。次の図に示すように、1 つのトンネル ACI を使用した一般的な導入では、1 つの BD に複数の EPG があります。場合により特定のトラフィックは、BD 内 (そのためすべての EPG で) フラッディングされ、転送エラーを引き起こす可能性のある MAC 学習があいまいになるリスクがあります。

図 4. VLAN トンネル モードの ACI の課題

このトポロジで、ファブリックには、1 つのアップリンクを使用して ACI リーフ ノードに接続すると定義される、単一のトンネル ネットワークがあります。このリンクでは、2 人のユーザの VLAN、VLAN 10 と VLAN 11 が行われます。BD ドメインは、サーバのゲートウェイが ACI クラウドの外にあるためフラッディング モードで設定されます。次のプロセスで ARP 交渉が発生します。

  • サーバは、VLAN 10 ネットワーク経由で 1 つの ARP ブロードキャスト要求を送信します。

  • ARP パケットは、外部のサーバに向かってトンネル ネットワークを通過し、そのダウンリンクから学習した送信元 MAC アドレスを記録します。

  • サーバはそのアップリンク ACI リーフ スイッチにパケットを転送します。

  • ACI ファブリックにより ARP ブロードキャスト パケットが VLAN 10 にアクセスし、EPG1 にマッピングすることを確認します。

  • BD が ARP パケットをフラッディングするよう設定されているため、パケットは BD 内でフラッディングします、同じ BD にあるため両方の EPG にあるポートにもフラッディングします。

  • 同じ ARP ブロードキャスト パケットは、同じアップリンクで復帰します。

  • 外部サーバは、このアップリンクから元の送信元 MAC アドレスを確認できます。

結果:外部デバイスは、単一 MAC 転送表内のダウンリンク ポートおよびアップリンク ポートの両方から同じ MAC デバイスを入手し、トラフィックの中断の原因となります。

推奨される解決策

[Flood in Encapsulation] オプションは 1 つのカプセル化内部で、トラフィックのフラッディングを制限するために使用されます。2 つの EPG が同じ BD を共有し、[Flood in Encapsulation] が有効になっている時、EPG フラッディング トラフィックは他の EPG に到達しません。

Cisco APIC リリース 3.1 (1) より、Cisco Nexus 9000 シリーズ スイッチ(EX および FX、それ以降で終わる名前を持つ)では、すべてのプロトコルがカプセル化フラッディングされます。VLAN 内部トラフィックに [Flood in Encapsulation] を有効にすると、プロキシ ARP で MAC フラップの問題が発生しておらず、カプセル化に対してすべてのフラッディング (ARP、GARP、BUNM) を制限します。これが有効になっていると、ブリッジ ドメインの下のすべての EPG に適用されます。


(注)  

Cisco APIC リリース 3.1 (1) より前のリリースでは、これらの機能はサポートされていません(カプセル内でフラッディングするとき、含まれるプロキシ ARP およびすべてのプロトコル)。以前の Cisco APIC リリースまたは以前の世代のスイッチ (名前に EX または FX が付いていない) で、[Flood in Encapsulation] を有効にしても機能せず、情報障害は生成されませんが、 APIC で 1 ずつ健全性スコアが減少します。

推奨される解決策は、外部スイッチを追加して 1 つの BD 下で複数の EPG をサポートすることです。外部のスイッチがある 1 つのブリッジ ドメイン下で複数の EPG を持つこの設計は、次の図に示されています。

図 5. 外部のスイッチがある 1 つのブリッジ ドメイン下で複数の EPG を持つ設計

同じ BD 内では、一部の EPG はサービス ノードとなり、他の EPG では設定されているカプセル化でフラッディングすることができます。ロード バランサは、別の EPG 上にあります。ロード バランサは EPG からパケットを受信し、その他の EPG に送信します(プロキシ ARP はなく、カプセル内のフラッディングは発生しません)。

NX-OS スタイル CLI を使用して選択した EPG のみに対してカプセル化でフラッディングを追加する場合は、EPG 下で flood-on-encapsulation enable コマンドを入力します。

すべての EPG に対してカプセル化でフラッディングを追加する場合、ブリッジ ドメイン下で multi-destination encap-flood CLI コマンドを使用できます。

CLI を使用して、EPG に設定されるカプセルのフラッドが、ブリッジ ドメインに設定されているカプセルのフラッディングより優先されるようにします。

BD と EPG の両方を設定すると、動作は次に説明したようになります。

表 1. BD と EPG の両方が設定されているときの動作

設定

動作

EPG でのカプセルのフラッディングとブリッジ ドメインでのカプセルのフラッディング

カプセルのフラッディングは、ブリッジ ドメイン内のすべての VLAN のトラフィックに行われます。

EPG でのカプセルのフラッディングが発生せずブリッジ ドメインでのカプセルのフラッディングが発生する

カプセルのフラッディングは、ブリッジ ドメイン内のすべての VLAN のトラフィックに行われます。

EPG でのカプセルのフラッディングが発生しブリッジ ドメインでのカプセルのフラッディングが発生しない

カプセルのフラッディングは、ブリッジ ドメインの EPG 内のすべての VLAN のトラフィックに行われます。

EPG でのカプセルのフラッディングが発生せずブリッジ ドメインでのカプセルのフラッディングも発生しない

ブリッジ ドメイン全体でフラッディングします。

マルチ宛先プロトコル トラフィック

EPG/BD レベルのブロードキャスト セグメンテーションは、次のネットワーク制御プロトコルにサポートされています。

  • OSPF

  • EIGRP

  • CDP

  • LACP

  • LLDP

  • IS-IS

  • BGP

  • IGMP

  • PIM

  • STP BPDU(EPG 内フラッディング)

  • ARP/GARP(ARP プロキシによって制御)

  • ND

制限事項

すべてのプロトコルのカプセル化でフラッディングを使用するために制限があります。

  • カプセルのフラッディングは、ARP ユニキャスト モードでは機能しません。

  • ネイバー要請(NS/ND)は、このリリースではサポートされていません。

  • カプセルのフラッディングでポートごとに CoPP を有効にする必要があります。

  • カプセルのフラッディングは、フラッディング モードの BD およびフラッディング モードの ARP でのみサポートされます。BD スパイン プロキシ モードはサポートされていません。

  • Ipv4 L3 マルチキャストはサポートされていません。

  • IPv6 はサポートされていません。

  • 別の VLAN への VM の移行は、時間的な問題(60 秒)があります。

  • ゲートウェイとして動作するロード バランサはサポートされており、たとえば、非プロキシ モードの VM とロード バランサ間の 1 対 1 の通信などです。レイヤ 3 通信はサポートされません。VM とロード バランサ間のトラフィックは、レイヤ 2 です。ただし、内部 EPG 通信がロード バランサを通過する場合、ロード バランサが SIP および SMPC を変更します。さもなければ、 MAC フラップが発生する可能性があります。したがって、ダイナミック ソース ルーティング(DSR)モードは、ロード バランサでサポートされていません。

  • ゲートウェイしてファイアウォールを経由した VM 間の通信のセットアップは、VM IP アドレスがファイアウォール IP アドレスではなくゲートウェイ IP アドレスを変更する場合、ファイアウォールがバイパスされる可能性があるため推奨されません。

  • 以前のリリースではサポートされていません(以前と現在のリリース間の相互運用もサポートされていません)。

  • VXLAN カプセル化では、プロキシ ARP および機能のカプセルのフラッディングはサポートされていません。

  • アプリケーション リーフ エンジン(ALE)とアプリケーション スパイン エンジン(ASE)で混合モードのトポロジは推奨されておらず、カプセル化でフラッディングではサポートされていません。同時に有効にすると、QoS の優先順位が適用されるのを防ぐことができます。

  • カプセルのフラッディングはリモート リーフ スイッチと Cisco ACI マルチサイトではサポートされていません。

  • カプセルのフラッディングは、一般的な拡散型ゲートウェイ(CPGW) ではサポートされていません。