キャンパス ファブリック
キャンパス ファブリックでは、ポリシーベースのセグメンテーションの構成に基づいて仮想ネットワークを構築する基本的なインフラストラクチャが提供されます。このモジュールでは、デバイス上でキャンパス ファブリックを設定する方法について説明します。
キャンパス ファブリックの概要
キャンパス ファブリック オーバーレイ プロビジョニングは、3 つの主要コンポーネントで構成されます。
-
コントロール プレーン
-
データ プレーン
-
ポリシー プレーン
ファブリック ドメイン要素について
次の図は、ファブリック ドメインを構成する要素を示しています。
-
ファブリック エッジ デバイス:ファブリック ドメインに接続するユーザとデバイスに接続性を提供します。ファブリック エッジ デバイスは、エンドポイントを識別して認証し、エンドポイント ID 情報をファブリック ホスト追跡データベースに登録します。また、入力時にカプセル化を、出力時にカプセル化解除を行い、ファブリック ドメインに接続されたエンドポイント間でトラフィックの転送を行います。
-
ファブリック コントロール プレーン デバイス:ホスト追跡データベースに、オーバーレイ到達可能性情報および endpoints-to-routing-locator マッピングを提供します。コントロール プレーン デバイスは、ローカル エンドポイントを持つファブリック エッジ デバイスから登録を受信し、エッジ デバイスからのリモート エンドポイントを検索する要求を解決します。ネットワークに冗長性をもたせるために、内部(ファブリック境界デバイス)および外部(Cisco CSR1000v などの指定されたコントロール プレーン デバイス)に最大 3 台のコントロール プレーン デバイスを設定できます。
-
ファブリック境界デバイス:従来のレイヤ 3 ネットワークまたは異なるファブリック ドメインをローカル ドメインに接続し、VRF および SGT 情報などの到達可能性情報とポリシー情報を 1 つのドメインから別のドメインに変換します。
-
仮想コンテキスト:レイヤ 3 ルーティング テーブルの複数のインスタンスを作成するために、Virtual Routing and Forwarding(VRF)を使用して、デバイス レベルで仮想化を提供します。コンテキストまたは VRF は、IP アドレス全体のセグメンテーションを行い、オーバーラップしたアドレス空間とトラフィックの分離を可能にします。ファブリック ドメインに最大 32 のコンテキストを設定できます。
- ホスト プール:ファブリック ドメイン内のエンドポイントを IP プールにグループ化し、VLAN ID および IP サブネットで識別します。
キャンパス ファブリック設定時の注意事項
キャンパス ファブリック要素を設定する場合は、次の注意事項および制約事項を考慮してください。
-
各ファブリック ドメインに設定するコントロール プレーン デバイスは 3 台までです。
-
各ファブリック エッジ デバイスは、最大 2000 のホストをサポートします。
-
各コントロール プレーン デバイスは、最大 5000 のファブリック エッジ デバイス登録をサポートします。
-
各ファブリック ドメインに設定する仮想コンテキストは 32 個までです。
ファブリック オーバーレイの設定方法
ファブリック エッジ デバイスの設定
ファブリック エッジ デバイスを設定するには、次の手順を実行します。
始める前に
デバイスが確実に到達できるように、各エッジ デバイスに loopback0 IP アドレスを設定します。 ip lisp source-locator loopback0 コマンドをアップリンク インターフェイスで実行していることを確認します。
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
fabric auto 例:
|
自動ファブリック プロビジョニングを有効にして、自動ファブリック コンフィギュレーション モードを開始します。 |
ステップ 4 |
domain {default | name fabric domain name} 例:
|
デフォルトのファブリック ドメインを設定し、ドメイン コンフィギュレーション モードを開始します。name キーワードを使用して、新しいファブリック ドメインを追加することができます。このコマンドの no バージョンを使用すると、ファブリック ドメインが削除されます。デフォルト ドメインを設定するか、または新しいファブリック ドメインを作成できますが、両方はできません。 |
ステップ 5 |
control-plane ipv4 address auth_key key 例:
|
|
ステップ 6 |
border ipv4 address 例:
|
ファブリック境界デバイスの IP アドレスを設定し、ファブリック エッジ デバイスがファブリック境界デバイスと通信できるようにします。エッジ デバイスには、最大 2 つの境界 IP アドレスを指定できます。 |
ステップ 7 |
context name name id ID 例:
|
新しいコンテキストをファブリック ドメインで作成し、それに ID を割り当てます。コンテキストまたは VRF は、IP アドレス全体のセグメンテーションを行い、オーバーラップしたアドレス空間とトラフィックの分離を可能にします。ファブリック ドメインに最大 32 のコンテキストを設定できます。この手順は、ホスト プールにコンテキストを関連付ける場合に必須となります。 |
ステップ 8 |
host-pool name name 例:
|
ファブリック ドメインのエンドポイントをグループ化するための IP プールを作成し、ホスト プール コンフィギュレーション モードを開始します。 |
ステップ 9 |
host-vlan ID 例:
|
ホスト プールに関連付ける VLAN ID を設定します。 |
ステップ 10 |
context name name 例:
|
(任意)コンテキストまたは VRF をホスト プールに関連付けます。ファブリック ドメインに最大 32 のコンテキストを設定できます。 |
ステップ 11 |
gateway IP address/ mask 例:
|
ホスト プールのルーティング ゲートウェイ IP アドレスとサブネット マスクを設定します。このアドレスおよびサブネット マスクは、アンダーレイに接続しているアップリンク インターフェイスにエンドポイントをマッピングするために使用されます。 |
ステップ 12 |
use-dhcp IP address 例:
|
ホスト プールの DHCP サーバ アドレスを設定します。ホスト プールに複数の DHCP アドレスを設定できます。DHCP サーバ アドレスを削除するには、no use-dhcp IP address コマンドを使用します。 |
ステップ 13 |
exit 例:
|
|
ステップ 14 |
show fabric domain 例:
|
ファブリック ドメインの設定を表示します。この設定の一部として、追加の CLI コマンドが自動的に生成されます。詳細については、「ファブリック エッジ デバイスの自動設定されたコマンド」を参照してください。ファブリック エッジ デバイスの自動設定されたコマンド |
ファブリック エッジ デバイスの自動設定されたコマンド
ファブリック オーバーレイ プロビジョニングの一部として、一部の LISP ベースの設定、SGT(セキュリティ グループ タグ)設定および EID から RLOC へのマッピング設定が自動生成され、実行コンフィギュレーションで表示されます。
たとえば、エッジ デバイス(ループバック アドレス 2.1.1.1/32)に対する次の設定シナリオを考えてみます。
device(config)#fabric auto
device(config-fabric-auto)#domain default
device(config-fabric-auto-domain)#control-plane 192.168.1.4 auth-key example-key1
device(config-fabric-auto-domain)#control-plane 192.168.1.5 auth-key example-key2
device(config-fabric-auto-domain)#border 192.168.1.6
device(config-fabric-auto-domain)#context name example-context ID 10
device(config-fabric-auto-domain)#host-pool name VOICE_DOMAIN
device(config-fabric-auto-domain-host-pool)#vlan 10
device(config-fabric-auto-domain-host-pool)#context example-context
device(config-fabric-auto-domain-host-pool)#gateway 192.168.1.254/24
device(config-fabric-auto-domain-host-pool)#use-dhcp 209.165.201.6
以下は、ファブリック エッジ設定の出力例です。
device#show running-config
router lisp
encapsulation vxlan
locator-set default.RLOC
IPv4-interface Loopback0 priority 10 weight 10
exit
!
eid-table default instance-id 0
exit
!
eid-table vrf example-context instance-id 10
dynamic-eid example-context.EID.VOICE_DOMAIN
database-mapping 192.168.1.0/24 locator-set default.RLOC
exit
!
exit
!
loc-reach-algorithm lsb-reports ignore
disable-ttl-propagate
ipv4 sgt
ipv4 use-petr 192.168.1.6 priority 10 weight 10
ipv4 itr map-resolver 192.168.1.4
ipv4 itr map-resolver 192.168.1.5
ipv4 itr
ipv4 etr map-server 192.168.1.4 key example-key1
ipv4 etr map-server 192.168.1.5 key example-key2
ipv4 etr
exit
!
ファブリック コントロール プレーン デバイスの設定
コントロール プレーン デバイスを設定するには、次の手順を実行します。
始める前に
デバイスが確実に到達できるように、各エッジ デバイスに loopback0 IP アドレスを設定します。 ip lisp source-locator loopback0 コマンドをアップリンク インターフェイスで実行していることを確認します。
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
fabric auto 例:
|
自動ファブリック プロビジョニングを有効にして、自動ファブリック コンフィギュレーション モードを開始します。 |
ステップ 4 |
domain { default | name fabric domain name} 例:
|
デフォルトのファブリック ドメインを設定し、ドメイン コンフィギュレーション モードを開始します。name キーワードを使用して、新しいファブリック ドメインを追加することができます。 |
ステップ 5 |
control-plane self auth_key キー 例:
|
設定したホスト プレフィックスに対し、認証キーでコントロール プレーン サービスを有効にします。 |
ステップ 6 |
host-prefix prefix context name name id ID 例:
|
新しいコンテキストまたは VRF を作成し、それに ID を割り当てます。コンテキストを指定しない場合、デフォルトのコンテキストが使用されます。 |
ステップ 7 |
exit 例:
|
|
ステップ 8 |
show fabric domain 例:
|
コントロール プレーン デバイス設定を表示します。この設定の一部として、追加の CLI コマンドが自動生成されます。 |
ファブリック境界デバイスの設定
デバイスをファブリック境界デバイスとして設定するには、次の手順を実行します。
始める前に
デバイスが確実に到達できるように、各エッジ デバイスに loopback0 IP アドレスを設定します。 ip lisp source-locator loopback0 コマンドをアップリンク インターフェイスで実行していることを確認します。
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
fabric auto 例:
|
自動ファブリック プロビジョニングを有効にして、自動ファブリック コンフィギュレーション モードを開始します。 |
ステップ 4 |
domain { default | name fabric domain name} 例:
|
デフォルトのファブリック ドメインを設定し、ドメイン コンフィギュレーション モードを開始します。name キーワードを使用して、新しいファブリック ドメインを追加することができます。 |
ステップ 5 |
control-plane ipv4 address auth_key key 例:
|
コントロール プレーン デバイスの IP アドレスおよび認証キーを設定して、ファブリック境界デバイスがコントロール プレーン デバイスと通信できるようにします。 |
ステップ 6 |
border self 例:
|
ファブリック境界デバイスとしてデバイスを有効にします。 |
ステップ 7 |
context name name id ID 例:
|
新しいコンテキストまたは VRF を作成し、それに新しい ID を割り当てます。コンテキストを設定しない場合、デフォルトのコンテキストが使用されます。 |
ステップ 8 |
host-prefix prefix context name name 例:
|
コンテキストを使用してホスト プレフィックスまたはサブネット マスクを作成します。 |
ステップ 9 |
exit 例:
|
|
ステップ 10 |
show fabric domain 例:
|
ファブリック境界デバイス設定を表示します。 |
キャンパス ファブリックでのセキュリティ グループ タグとポリシーの適用
キャンパス ファブリック オーバーレイは、ファブリック ドメイン内のデバイス間で送信元グループ タグ(SGT)を伝達します。パケットは、仮想拡張 LAN(VXLAN)を使用してカプセル化され、ヘッダーに SGT 情報を伝えます。エッジ デバイスを設定すると、ipv4 sgt コマンドが自動生成されます。エッジ デバイスの IP アドレスにマッピングされた SGT は、カプセル化されたパケット内に運ばれ、宛先デバイスに伝達されます。このデバイスでは、パケットがカプセル化解除され、送信元グループ アクセス コントロール リスト(SGACL)のポリシーが適用されます。
Cisco TrustSec と送信元グループ タグの詳細については、『Cisco TrustSec Switch Configuration Guide』を参照してください。
キャンパス ファブリック オーバーレイを使用したマルチキャスト
(注) |
キャンパス ファブリックでサポートされるのは、Protocol Independent Multicast(PIM)スパース モードおよび PIM Source Specific Multicast(SSM; 送信元特定マルチキャスト)のみです。デンス モードはキャンパス ファブリックでサポートされていません。 |
キャンパス ファブリックのマルチキャスト PIM スパース モードの設定
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
ip multicast-routing 例:
|
IP マルチキャスト ルーティングをイネーブルにします。 |
ステップ 4 |
ip pim rp-address rp address 例:
|
マルチキャスト グループの Protocol Independent Multicast(PIM)ランデブー ポイント(RP)のアドレスをスタティックに設定します。 |
ステップ 5 |
interface LISP interface number 例:
|
Protocol Independent Multicast(PIM)スパース モードを有効にする LISP インターフェイスおよびサブインターフェイスを指定します。 |
ステップ 6 |
ip pim sparse-mode 例:
|
スパース モードの動作用インターフェイスで Protocol Independent Multicast(PIM)を有効にします。 |
ステップ 7 |
exit 例:
|
インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。 |
ステップ 8 |
interface interface typeinterface number 例:
|
エンドポイント側のインターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 9 |
ip pim sparse-mode 例:
|
スパース モード動作用のファブリック ドメイン側のインターフェイスで Protocol Independent Multicast(PIM)を有効にします。 |
ステップ 10 |
end |
現在のコンフィギュレーション セッションを終了して、特権 EXEC モードに戻ります。 |
ステップ 11 |
show ip mroute multicast ip-address |
デバイスのマルチキャスト ルートを確認します。 |
ステップ 12 |
ping multicast ip-address |
マルチキャスト アドレスに ping を実行することによって、基本的なマルチキャスト接続を確認します。 |
ステップ 13 |
show ip mfib |
IPv4 マルチキャスト転送情報ベース(MFIB)の転送エントリとインターフェイスが表示されます。 |
キャンパス ファブリックのマルチキャスト PIM SSM の設定
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
ip multicast-routing 例:
|
IP マルチキャスト ルーティングをイネーブルにします。 |
ステップ 4 |
ip pim ssm {default | range { access-list-number | access-list-name 例:
|
IP マルチキャスト アドレスの Source Specific Multicast(SSM)範囲を定義します。 |
ステップ 5 |
interface LISP interface number 例:
|
Protocol Independent Multicast(PIM)スパース モードを有効にする LISP インターフェイスおよびサブインターフェイスを指定します。 |
ステップ 6 |
ip pim sparse-mode 例:
|
スパース モード動作用の指定したインターフェイスで Protocol Independent Multicast(PIM)を有効にします。 |
ステップ 7 |
exit 例:
|
インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。 |
ステップ 8 |
interface interface typeinterface number 例:
|
|
ステップ 9 |
ip pim sparse-mode 例:
|
スパース モード動作用のファブリック ドメイン側のインターフェイスで Protocol Independent Multicast(PIM)を有効にします。 |
ステップ 10 |
ip igmp version 3 例:
|
インターフェイス上で IGMP バージョン 3 を設定します。 |
ステップ 11 |
end |
現在のコンフィギュレーション セッションを終了して、特権 EXEC モードに戻ります。 |
ステップ 12 |
show ip mroute multicast ip-address |
デバイスのマルチキャスト ルートを確認します。 |
ステップ 13 |
ping multicast ip-address |
マルチキャスト アドレスに ping を実行することによって、基本的なマルチキャスト接続を確認します。 |
ステップ 14 |
show ip mfib |
IPv4 マルチキャスト転送情報ベース(MFIB)の転送エントリとインターフェイスが表示されます。 |
キャンパス ファブリックのデータ プレーン セキュリティ
キャンパス ファブリック データ プレーン セキュリティにより、ファブリック ドメイン内からのトラフィックのみを宛先のエッジ デバイスによってカプセル化解除できます。ファブリック ドメイン内のエッジ デバイスと境界デバイスは、データ パケットによって伝送される送信元のルーティング ロケータ(RLOC)、すなわちアップリンク インターフェイス アドレスが、ファブリック ドメインのメンバーであることを確認します。
データ プレーン セキュリティにより、カプセル化されたデータ パケット内のエッジ デバイスの送信元アドレスがスプーフィングされることはありません。ファブリック ドメイン以外からのパケットは送信元 RLOC が無効であり、エッジ デバイスと境界デバイスによるカプセル化解除時にブロックされます。
エッジ デバイスのデータ プレーン セキュリティの設定
始める前に
-
デバイスが確実に到達できるように、各エッジ デバイスに loopback0 IP アドレスを設定します。Ensure
ip lisp source-locator loopback0 コマンドをアップリンク インターフェイスに適用していることを確認します。
-
アンダーレイ設定が設定されていることを確認します。
-
エッジ デバイス、コントロール プレーン デバイス、および境界デバイスを設定済みであることを確認します。
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
router lisp 例:
|
LISP コンフィギュレーション モードを開始します。 |
ステップ 4 |
decapsulation filter rloc source member 例:
|
ファブリック ドメイン内のカプセル化されたパケットの送信元 RLOC(アップリンク インターフェイス)アドレスの検証を有効にします。 |
ステップ 5 |
exit 例:
|
LISP コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
ステップ 6 |
show lisp [session [ established ] | vrf [ vrf-name [session [peer-address]]]] 例:
|
|
ステップ 7 |
show lisp decapsulation filter [ IPv4-rloc-address | IPv6-rloc-address] [ eid-table eid-table-vrf | instance-id iid] 例:
|
|
コントロール プレーン デバイスのデータ プレーン セキュリティの設定
始める前に
-
デバイスが確実に到達できるように、各コントロール プレーン デバイスに loopback0 IP アドレスを設定します。Ensure
ip lisp source-locator loopback0 コマンドをアップリンク インターフェイスに適用していることを確認します。
-
アンダーレイ設定が設定されていることを確認します。
-
エッジ デバイス、コントロール プレーン デバイス、および境界デバイスを設定済みであることを確認します。
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
router lisp 例:
|
LISP コンフィギュレーション モードを開始します。 |
ステップ 4 |
map-server rloc members distribute 例:
|
ファブリック ドメイン内のエッジ デバイスへの、EID プレフィックスのリストの配布を有効にします。 |
ステップ 5 |
exit 例:
|
LISP コンフィギュレーション モードを終了します。 |
ステップ 6 |
show lisp [session [ established ] | vrf [ vrf-name [session [peer-address]]]] 例:
|
|
ステップ 7 |
show lisp decapsulation filter [ IPv4-rloc-address | IPv6-rloc-address] [ eid-table eid-table-vrf | instance-id iid] 例:
|
|
境界デバイスのデータ プレーン セキュリティの設定
始める前に
-
デバイスが確実に到達できるように、各境界デバイスに loopback0 IP アドレスを設定します。Ensure
ip lisp source-locator loopback0 コマンドをアップリンク インターフェイスに適用していることを確認します。
-
アンダーレイ設定が設定されていることを確認します。
-
エッジ デバイス、コントロール プレーン デバイス、および境界デバイスを設定済みであることを確認します。
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
router lisp 例:
|
LISP コンフィギュレーション モードを開始します。 |
ステップ 4 |
decapsulation filter rloc source member 例:
|
ファブリック ドメイン内のカプセル化されたパケットの送信元 RLOC(アップリンク インターフェイス)アドレスの検証を有効にします。 |
ステップ 5 |
exit 例:
|
LISP コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
ステップ 6 |
show lisp [session [ established ] | vrf [ vrf-name [session [peer-address]]]] 例:
|
|
ステップ 7 |
show lisp decapsulation filter [ IPv4-rloc-address | IPv6-rloc-address] [ eid-table eid-table-vrf | instance-id iid] 例:
|
|
キャンパス ファブリック設定の例
次に、エッジ設定に対する show running-configuration コマンドの出力例を示します。
device#show running-config
fabric auto
!
domain default
control-plane 198.51.100.2 auth-key example-key1
border 192.168.1.6
context name eg-context id 10
!
host-pool name VOICE_VLAN
context eg-context
vlan 10
gateway 192.168.1.254/24
use-dhcp 172.10.1.1
exit
exit
router lisp
locator-set default.RLOC
IPv4-interface Loopback0 priority 10 weight 10
exit
!
encapsulation vxlan
eid-table default instance-id 0
exit
!
eid-table vrf eg-context instance-id 10
dynamic-eid eg-context.EID.VOICE_VLAN
database-mapping 192.168.1.0/24 locator-set default.RLOC
exit
!
exit
!
loc-reach-algorithm lsb-reports ignore
disable-ttl-propagate
ipv4 sgt
ipv4 use-petr 192.168.1.6 priority 10 weight 10
ipv4 itr map-resolver 192.168.1.4
ipv4 itr map-resolver 192.168.1.5
ipv4 itr
ipv4 etr map-server 192.168.1.4 key example-key1
ipv4 etr map-server 192.168.1.5 key example-key2
ipv4 etr
exit
次に、コントロール プレーン設定に対する show running-configuration コマンドの出力例を示します。
!
fabric auto
domain default
control-plane auth-key example-key1
exit
!
ip vrf eg-context
!
vlan name VOICE_VLAN id 10
interface Vlan 10
ip address 192.168.1.254 255.255.255.0
ip helper–address global 172.10.1.1
no ip redirects
ip local-proxy-arp
ip route-cache same-interface
no lisp mobility liveness test
lisp mobility default.EID.VOICE_VLAN
router lisp
eid-table default
dynamic-default.EID.VOICE_VLAN
database-mapping 192.168.1.0/24 locator-set FD_DEFAULT.RLOC
router lisp
site FD_Default
authentication-key example-key1
exit
ipv4 map-server
ipv4 map-resolver
exit
次に、境界デバイス設定に対する show running-configuration コマンドの出力例を示します。
!fabric auto
!
domain default
control-plane 198.51.100.2 auth-key example-key1
border self
context name eg-context id 10
!
host-prefix 192.168.1.0/24 context name eg-context
!
host-pool name Voice
context eg-context
use-dhcp 172.10.1.1
exit
!
host-pool name doc
exit
exit
exit
router lisp
encapsulation vxlan
loc-reach-algorithm lsb-reports ignore
disable-ttl-propagate
ipv4 sgt
ipv4 proxy-etr
ipv4 proxy-itr 1.1.1.1
ipv4 itr map-resolver 198.51.100.2
ipv4 etr map-server 198.51.100.2 key example-key1
exit