この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
キャンパス ファブリックはソフトウェア定義型アクセスとも呼ばれ、ポリシーベースのセグメンテーション構造上に仮想ネットワークを構築するための基本インフラストラクチャを提供します。任意のアンダーレイ ネットワークの上に構築された Locator ID Separator Protocol(LISP)オーバーレイ ネットワークに基づいています。
オーバーレイ ネットワークはすべてのアンダーレイ ネットワーク デバイスまたはそれらのデバイス サブネットにわたって実行できます。複数のオーバーレイ ネットワークがマルチテナント機能をサポートするように、同じアンダーレイ ネットワーク全体に拡散させることができます。
Cisco IOS XE Everest 16.6.1 は、レイヤ 2 およびレイヤ 3 のオーバーレイ ネットワークをサポートしています。
キャンパス ファブリック オーバーレイのプロビジョニングでは次の 3 つのコンポーネントを使用し、ユーザやデバイスのフレキシブルな接続や、ユーザベースおよびデバイスグループ ベースのポリシーを通じたセキュリティの強化を可能にします。
キャンパス ファブリック機能は、エンタープライズ サービスと IP ベース ソフトウェア イメージでサポートされています。
ハイブリッド レイヤ 2 とレイヤ 3 オーバーレイは、それらの両方のサービスの長所を提供します。
LISP 仮想化テクノロジーを使用したエンドツーエンドのセグメンテーションを提供します。この場合、ファブリック エッジ ノードとボーダー ノードのみが LISP 認識型になっている必要があります。残りのコンポーネントは IP フォワーダにすぎません。
スパニング ツリー プロトコル(STP)を排除し、リンク使用率を向上させ、高速コンバージェンスと等コスト マルチパス(ECMP)のロード バランシングをもたらします。
ファブリック ヘッダーはセキュリティ グループ タグ(SGT)の伝達をサポートして、ネットワーク全体で統一されたポリシー モデルが確立されるようにします。SGT ベースのポリシー構造はサブネットに依存しません。
有線とワイヤレスの両方のクライアントにホスト モビリティを提供します。
LISP を使用すると、ホスト アドレスとその場所を分離し、ルーティング操作を簡略化して、スケーラビリティとサポートを向上させるのに役立ちます。
図 に、ファブリック ドメインを構成する要素を示します。
次に、図に示したファブリック ドメインの要素について説明します。
ファブリック エッジ デバイス:ファブリック ドメインに接続するユーザとデバイスに接続を提供します。ファブリック エッジ デバイスは、エンドポイントを識別して認証し、エンドポイント ID 情報をファブリック ホストトラッキング データベースに登録します。また、これらのデバイスは入力時にカプセル化を、出力時にはカプセル化解除を実行し、ファブリック ドメインに接続されたエンドポイント間でトラフィックを転送します。
ファブリック コントロール プレーンのデバイス:オーバーレイ到達可能性情報とエンドポイントからルーティング ロケータへのマッピングをホストトラッキング データベースで提供します。コントロール プレーンのデバイスは、ローカル エンドポイントを持つファブリック エッジ デバイスから登録を受信し、エッジ デバイスからのリモート エンドポイントを検索する要求を解決します。ネットワークに冗長性をもたせるために、内部(ファブリック ボーダー デバイス)および外部(Cisco CSR1000v などの指定されたコントロール プレーン デバイス)に最大 3 台のコントロール プレーン デバイスを設定できます。
ファブリック ボーダー デバイス:従来のレイヤ 3 ネットワークまたは異なるファブリック ドメインをローカル ドメインに接続し、Virtual Routing and Forwarding(VRF)や SGT の情報などの到達可能性情報とポリシー情報を 1 つのドメインから別のドメインに変換します。
仮想コンテキスト:レイヤ 3 ルーティング テーブルの複数のインスタンスを作成するために、デバイス レベルで仮想化を提供します。コンテキストまたは VRF は、IP アドレス全体のセグメンテーションを行い、オーバーラップしたアドレス空間とトラフィックの分離を可能にします。ファブリック ドメインに最大 32 のコンテキストを設定できます。
各ファブリック ドメインに設定するコントロール プレーン デバイスは 3 台までです。
各ファブリック ドメインに設定するボーダー デバイスは 2 台までです。
各ファブリック エッジ デバイスは、最大 2000 のホストをサポートします。
各コントロール プレーン デバイスは、最大 5000 のファブリック エッジ デバイス登録をサポートします。
各ファブリック ドメインに設定する仮想コンテキストは 64 個までです。
レイヤ 2(IPv4 ホスト)とレイヤ 3(IPv6 ホスト)の LISP オーバーレイ機能は、Cisco IOS XE Everest 16.6.1 以降のリリースでサポートされています。
エッジ デバイス上で、Cisco TrustSec のリンクは、アンダーレイに接続されたアップリンク インターフェイスではサポートされません。
レイヤ 3 送信元グループのタグは、アンダーレイに接続されたアップリンク インターフェイスには適用できません。
Cisco IOS XE 16.6.1 はデンス モードまたは Bidirectional Protocol Independent Multicast(PIM)をサポートしていません。PIM スパース モード(SM)および PIM Source Specific Multicast(SSM)モードのみをサポートしています。
マルチキャストは Group-to-Rendezvous Point(RP)マッピングの分散機能、オート RP、ブートストラップ ルータ(BSR)はサポートしていません。スタティック RP 設定のみをサポートしています。
マルチキャスト RP の冗長性は、ファブリック ドメインではサポートされていません。
仮想拡張 LAN(VXLAN)と LISP はキャンパス ファブリック ネットワークの一部として設定する必要があります。スタンドアロン機能としてはサポートされていません。
Cisco IOS XE Everest 16.6.1 以降、L2 LISP 設定の CLI モデルは、設定フローをより的確に反映させ、また、EID プレフィックスなどのレイヤ 2 MAC アドレスのサポートなど、さまざまな機能に固有の LISP 動作を設定するように再設計されています。
次に、CLI の変更点のリストを示します。
新しい CLI では、2 つのパスにおける 2 レベルの継承を行えます。
router lisp > service:グローバル サービス モードまたは上位サービス モードといいます。
router lisp > instance-id > service:インスタンスサービス モードといいます。
エンドポイント識別子テーブル(eid-table)は instance-id から分離されています。このため、instance-id を指定せずに eid-table を設定できるようになりました。階層は router lisp > instance-id > service > eid-table になります。
グローバル サービス モードでは共通設定、インスタンスサービス モードではインスタンス ID 固有の設定を行うことができます。
階層のグローバル レベルに設定した CLI は、明示的に上書きしない限り、下位レベルのすべてのインスタンス サービスの動作状態に影響します。
すべての { ipv4 | ipv6} ipv4 [proxy] {itr | etr} コマンドが、それらのアドレス ファミリ プレフィックスなしに、それぞれのサービス モードの下に表示されます。
すべての LISP が show lisp プレフィックスでコマンドの開始を示します。
グローバル レベルで設定された新しいコマンドの locator default-set はデフォルトとして設定したロケータ セットの 1 つをマークします。
service-ethernet は、レイヤ 2 MAC ID を EID スペースとしてイネーブルにする新しいサブモードです。
(注) | 変更後の設定形式でコマンドを入力すると、以前の CLI はサポートされません。以前の CLI に切り替えるには、システムをリロードします。 |
キャンパス ファブリックの設定には次の段階があります。
ファブリック エッジ デバイスを設定するには、次の手順を実行します。
デバイスが確実に到達できるように、各エッジ デバイスに loopback0 IP アドレスを設定します。 ip lisp source-locator loopback0 コマンドをアップリンク インターフェイスで実行したことを確認します。
アンダーレイ設定が設定されていることを確認します。
ファブリック ドメイン内でコントロール プレーン デバイスとボーダー デバイスを設定します。
エニーキャスト SVI としてファブリック エッジ ノードを設定するには、次の手順に従います。
show lisp [router-lisp-id] {instance_id id | eid-table table} {ipv4 | ipv6 | ethernet} {database | map-cache | server [address-resolution]}
show lisp instance-id id ipv4 database
show lisp instance-id id ipv4 map-cache
show lisp service ipv4 summary
show lisp instance-id id { ipv4 | ipv6 | ethernet}
show lisp instance-id id dynamic-eid
次に、のファブリック エッジ ノードでの show running-configuration コマンドの出力を示します。 図 1
interface Loopback0 ip address 2.1.1.1 255.255.255.255 ! interface Vlan10 mac-address ba25.cdf4.ad38 ip address 10.1.1.1 255.255.255.0 lisp mobility DEFAULT.EID.eng end ! interface Vlan11 mac-address ba25.cdf4.bd38 ip address 192.168.101.1 255.255.255.0 end ! router lisp locator-table default locator-set set1 IPv4-interface Loopback0 priority 1 weight 1 exit-locator-set ! locator default-set set1 service ipv4 proxy-itr 2.1.1.6 map-cache 0.0.0.0/0 map-request itr map-resolver 2.1.1.6 etr map-server 2.1.1.6 key foo etr map-server 2.1.1.6 proxy-reply etr use-petr 14.1.1.1 exit-service-ipv4 ! service ethernet proxy-itr 2.1.1.6 map-cache 0.0.0.0/0 map-request itr map-resolver 2.1.1.6 etr map-server 2.1.1.6 key foo etr map-server 2.1.1.6 proxy-reply etr exit-service-ethernet ! instance-id 30 dynamic-eid DEFAULT.EID.eng database-mapping 10.1.1.0/24 locator-set set1 exit-dynamic-eid ! service ipv4 eid-table default exit-service-ipv4 ! exit-instance-id ! instance-id 101 service ethernet eid-table vlan 10 database-mapping mac locator-set set1 map-cache-limit 1000 database-mapping limit dynamic 2000 proxy-itr 2.1.1.6 map-cache 0.0.0.0/0 map-request itr map-resolver 2.1.1.6 etr map-server 2.1.1.6 key foo etr map-cache-ttl 10000 etr exit-service-ethernet ! exit-instance-id ! instance-id 102 service ethernet eid-table vlan 11 database-mapping mac locator-set set1 map-cache-limit 1000 database-mapping limit dynamic 2000 proxy-itr 2.1.1.6 map-cache 0.0.0.0/0 map-request itr map-resolver 2.1.1.6 etr map-server 2.1.1.6 key foo etr map-cache-ttl 10000 etr exit-service-ethernet ! exit-instance-id exit-router-lisp !
次に、図 1のコントロール プレーンでの show running-configuration コマンドの出力を示します。
interface Loopback0 ip address 2.1.1.6 255.255.255.255 ! router lisp locator-set WLC // enables wireless and access points to be registered. 3.3.3.20 exit-locator-set ! service ipv4 map-server map-resolver exit-service-ipv4 ! service Ethernet // enables service ethernet on the map-server map-server map-resolver exit-service-ethernet ! map-server session passive-open WLC site Shire authentication-key cisco123 eid-record 10.1.1.0/24 accept-more-specifics eid-record 20.1.1.0/24 accept-more-specifics eid-record instance-id 1 any-mac exit ! exit-router-lisp
次に、のファブリック ボーダー ノードでの show running-configuration コマンドの出力を示します。 図 1
router lisp locator-set default.RLOC IPv4-Interface Loopback0 priority 10 weight 10 exit ! service ipv4 sgt itr map-resolver 2.1.1.6 proxy-etr proxy-itr 2.1.1.4 exit-service-ipv4 ! instance-id 0 service ipv4 eid-table default map-cache 10.1.1.0/24 map-request map-cache 20.1.1.0/24 map-request exit-service-ipv4 ! exit-instance-id ! instance-id 100 service ipv4 eid-table vrf guest map-cache 192.168.100.0/24 map-request exit-service-ipv4 ! exit-instance-id exit-router-lisp
キャンパス ファブリック データ プレーン セキュリティにより、ファブリック ドメイン内からのトラフィックのみを宛先のエッジ デバイスによってカプセル化解除できます。ファブリック ドメイン内のエッジ デバイスと境界デバイスは、データ パケットによって伝送される送信元のルーティング ロケータ(RLOC)、すなわちアップリンク インターフェイス アドレスが、ファブリック ドメインのメンバーであることを確認します。
データ プレーン セキュリティにより、カプセル化されたデータ パケット内のエッジ デバイスの送信元アドレスがスプーフィングされることはありません。ファブリック ドメイン以外からのパケットは送信元 RLOC が無効であり、エッジ デバイスと境界デバイスによるカプセル化解除時にブロックされます。
キャンパス ファブリック オーバーレイは、ファブリック ドメイン内のデバイス間で送信元グループ タグ(SGT)を伝達します。パケットは、仮想拡張 LAN(VXLAN)を使用してカプセル化され、ヘッダーに SGT 情報を伝えます。エッジ デバイスの IP アドレスにマッピングされた SGT は、カプセル化されたパケット内に運ばれ、宛先デバイスに伝達されます。このデバイスでは、パケットがカプセル化解除され、送信元グループ アクセス コントロール リスト(SGACL)のポリシーが適用されます。
Cisco TrustSec と送信元グループ タグの詳細については、『Cisco TrustSec Switch Configuration Guide』を参照してください。
(注) | キャンパス ファブリックでサポートされるのは、Protocol Independent Multicast(PIM)スパース モードおよび PIM Source Specific Multicast(SSM)のみです。デンス モードはサポートされません。 |
LISPL マルチキャストには、次の機能があります。
LISP EID としてのマルチキャスト送信元アドレスのマッピング(宛先グループ アドレスはトポロジに依存しないため)。
LISP オーバーレイでマルチキャスト配信ツリーを生成。
ルートの入力トンネル ルータ サイト内の送信元から受信者の出力トンネル ルートへのマルチキャスト データ パケットのユニキャスト ヘッドエンド レプリケーション。
ユニキャスト レプリケーションでは Any Source Multicast(ASM)と Source Specific Multicast(SSM)のサービス モデルをサポート。マルチキャスト レプリケーションではコア ツリーでの SSM のみをサポート。
LISP および非 LISP 対応の送信元と受信者サイトのさまざまな組み合わせをサポート。
ヘッドエンド レプリケーション マルチキャスト モードで IPv6 EID をサポート。
IPv6 マルチキャスト ルーティングは、デフォルトの VRF でのみサポート。
デフォルトでは、IPv6 マルチキャストは IPv6 インターフェイスでイネーブルになっています。したがって、EID 側インターフェイスには明示的な IPv6 マルチキャスト設定は必要ありません。
(注) | LISP xTR が、PIM ファースト ホップ ルータ(FH)またはランデブー ポイント(RP)であり、そのデバイスがトラフィックを受信のみしている場合、デバイスの少なくとも 1 つのインターフェイスがローカルの LISP データベース マッピングによりカバーされていることを確認します。正しいアドレスが選択されていることを確認するための追加設定は必要ありません。 |
show ip pim vrf vrf_name rp mapping
show ip pim vrf vrf_name neighbor
show ip pim vrf vrf_name tunnel
show ip mroute vrf vrf_name
show ip mfib vrf vrf_name
show ip mfib vrf vrf_name count
show ip multicast interface
次に、図のファブリック エッジ ノード FE1 での LISP マルチキャストの設定例を示します。 図 1
ip multicast-routing ip pim ssm default ! interface Loopback0 ip address 11.1.1.1 255.0.0.0 ! interface Loopback100 ip address 66.66.66.66 255.255.255.255 ip pim sparse-mode ! interface GigabitEthernet0/1 ip address 90.0.0.1 255.255.255.0 ip pim sparse-mode ! Interface Vlan100 ip address 100.0.0.1 255.255.0.0 no ip redirects ip local-proxy-arp ip pim sparse-mode ip route-cache same-interface no lisp mobility liveness test lisp mobility vl_100 ip pim sparse-mode ! interface GigabitEthernet1/0/1 switchport access vlan 100 switchport mode access ! ! interface LISP0 ip pim sparse-mode ip pim lisp transport multicast ! router lisp locator-table default locator-set rloc_1 IPv4-interface Loopback0 priority 1 weight 1 exit-locator-set ! instance-id 0 dynamic-eid vl_100 database-mapping 100.0.0.0/16 locator-set rloc_1 exit-dynamic-eid ! service ipv4 eid-table default database-mapping 66.66.66.66/32 locator-set rloc_1 itr map-resolver 30.3.1.1 itr etr map-server 30.3.1.1 key lisp etr use-petr 14.1.1.1 exit-service-ipv4 ! exit-instance-id ! encapsulation vxlan exit-router-lisp ! ip pim rp-address 66.66.66.66
次に、のコントロール プレーン(MS/MR)の設定例を示します。 図 1
interface Loopback0 ip address 30.3.1.1 255.255.255.255 ! interface GigabitEthernet0/1 ip address 90.0.0.2 255.255.255.0 Ip pim sparse-mode ! interface GigabitEthernet0/2 ip address 90.1.0.2 255.255.255.0 Ip pim sparse-mode ! router lisp site Fabric authentication-key lisp eid-record 100.0.0.0/16 accept-more-specifics eid-record 66.66.66.66/32 accept-more-specifics eid-record 77.77.77.77/32 accept-more-specifics eid-record 88.88.88.88/32 accept-more-specifics exit ! ipv4 map-server ipv4 map-resolver exit
リリース |
変更箇所 |
---|---|
Cisco IOS XE Everest 16.6.1 |
auto コマンドのサポートを削除しました。新しいモードの CLI が導入されました。 |