ソフトウェア定義アクセスでのIPv6の実装
内容
概要
このドキュメントでは、Cisco® Software-Defined Access(SD-Access)でIPv6を実装する方法について説明します。
背景説明
IPv4は1983年にリリースされ、現在でもインターネットトラフィックの大部分に使用されています。32ビットのIPv4アドレッシングにより、40億を超える一意の組み合わせが可能になりました。ただし、インターネットに接続するクライアントの数が増加したため、一意のIPv4アドレスが不足しています。1990年代には、IPv4アドレッシングの枯渇は避けられませんでした。
これを予測して、Internet Engineering Taskforce(IETF)はIPv6標準を導入しました。IPv6は128ビットを使用し、340澗の一意のIPアドレスを提供します。これは、増加する接続デバイスのニーズに対応するのに十分な量です。デュアルスタックや単一のIPv6スタックをサポートするエンドポイントデバイスが増え続けているため、IPv6の導入に備えた組織を構築することが非常に重要です。つまり、インフラストラクチャ全体がIPv6に対応できる必要があります。Cisco SD-Accessは、従来のキャンパス設計から、組織の意図を直接実装するネットワークへと進化したものです。Cisco Software Defined Networks(SDN)は、デュアルスタック(IPv6デバイス)をオンボードする準備が整いました。
IPV6の導入に関する組織の主な課題は、レガシーIPv4システムのIPv6への移行に伴う変更管理と複雑さです。このホワイトペーパーでは、シスコのSDN、戦略、および重要なポイントでのIPv6機能のサポートに関するすべての詳細について説明します。これらのポイントは、シスコのSoftware Defined NetworksでIPv6を導入する際に考慮する必要があります。
2019年8月、Cisco DNA Centerバージョン1.3がIPv6のサポートとともに初めて導入されました。このリリースでは、Cisco SD-Accessキャンパスネットワークは、オーバーレイファブリックネットワークからのIPv4、IPv6、またはIPv4v6デュアルスタックの有線およびワイヤレスクライアントでホストIPアドレスをサポートしました。このソリューションは、あらゆる企業のIPv6を簡単にオンボーディングできる新しい機能を提供するために継続的に進化するものです。
Cisco SD-Access with IPv6アーキテクチャ
SDアクセスに不可欠なファブリックテクノロジーは、プログラム可能なオーバーレイと導入が容易なネットワーク仮想化を有線および無線のキャンパスネットワークに提供し、物理ネットワークで1つ以上の論理ネットワークをホストして設計目的を満たすことができます。キャンパスネットワークのファブリックテクノロジーは、ネットワークの仮想化に加えて、コミュニケーションの制御を強化します。これにより、ユーザIDとグループメンバーシップに基づいて、ソフトウェア定義のセグメンテーションとポリシーの適用が可能になります。Cisco SDNソリューション全体は、ファブリックのDNA上で動作します。したがって、IPv6のサポートに関して、ソリューションの各柱を理解することが重要です。
・アンダーレイ:IPv6オーバーレイはIPv4アンダーレイIPアドレッシングを使用してLISPコントロールプレーンとVxLANデータプレーントンネルを作成するため、オーバーレイのIPv6機能はアンダーレイに依存しています。アンダーレイルーティングプロトコルのデュアルスタックをいつでも有効にできます。SD-AccessオーバーレイLISPだけがIPv4ルーティングに依存します。(この要件は現在のバージョンのDNA-C(2.3.x)用であり、アンダーレイがデュアルスタックまたは単一のIPv6スタックのみである最近のリリースでは削除されています)。
・オーバーレイ:SD-Accessは、IPv6のみの有線およびワイヤレスの両方のエンドポイントをサポートします。IPv6トラフィックは、ファブリックボーダーノードに到達するまで、SDアクセスファブリック内のIPv4およびVxLANヘッダーにカプセル化されます。ファブリックボーダーノードはIPv4およびVxLANヘッダーをカプセル化解除し、そこから通常のIPv6ユニキャストルーティングプロセスを実行します。
・コントロールプレーンノード:コントロールプレーンノードは、サブネット範囲内のすべてのIPv6ホストサブネットと/128ホストルートをマッピングデータベースに登録できるように設定されています。
・ボーダーノード:ボーダーノードでは、FusionデバイスとのIPv6 BGPピアリングが有効になっています。ボーダーノードはファブリック出力トラフィックからIPv4ヘッダーをカプセル化解除し、入力IPv6トラフィックもボーダーノードによってIPv4ヘッダーでカプセル化されます。
・ファブリックエッジ:ファブリックエッジで設定されるすべてのSVIはIPv6である必要があります。この設定は、DNA Center Controllerによってプッシュされます。
・ Cisco DNA Center:このドキュメントの公開時点では、Cisco DNA Centerの物理インターフェイスはデュアルスタックをサポートしていません。DNA Centerの管理インターフェイスやエンタープライズインターフェイスでのみ、IPv4またはIPv6を使用して1つのスタックに導入できます。
・クライアント:Cisco® Software-Defined Access(SD-Access)は、デュアルスタック(IPv4&IPv6)またはシングルスタック(IPv4またはIPv6)をサポートします。ただし、IPv6シングルスタックが導入されている場合でも、DNA CenterはIPv6のみのクライアントをサポートするためにデュアルスタックプールを作成する必要があります。デュアルスタックプール内のIPv4は、クライアントがIPv4アドレスを無効にするIPv6が予想されるため、ダミーのアドレスだけです。
シスコのソフトウェア定義型アクセスにおけるIPv6オーバーレイアーキテクチャ
IPv6オーバーレイアーキテクチャ
Cisco DNA-CenterによるIPv6の有効化
Cisco DNA CenterでIPv6プールを有効にするには、次の2つの方法があります。
1.新しいデュアルスタックIPv4/v6プールを作成する:グリーンフィールド
2.既存のIPv4プールのIPv6を編集する:既存環境への移行
DNA Centerの現在のリリース(最大2.3.x)では、ユーザが単一/ネイティブIPv6アドレスのみのクライアントをサポートすることを計画している場合、IPv6のみのプールはサポートされません。ダミーのIPv4アドレスをIPv6プールに関連付ける必要があります。すでにサイトが関連付けられている展開済みのIPv4プールから、プールをIPv6アドレスで編集すると、DNA CenterはSDアクセスファブリックの移行オプションを提供します。このオプションでは、ユーザーがそのサイトのファブリックを再プロビジョニングする必要があります。サイトが属するファブリックに警告インジケータが表示され、ファブリックで「ファブリックの再構成」が必要であることを示します。サンプルについては、これらの画像をご覧ください。
IPv4プールオプションの編集によるデュアルスタックプールへの単一IPv4プールアップグレード
ファブリックには、「ファブリックの再構成」が必要な警告インジケータがあります。
ユーザは「ファブリックの再構成」をクリックして、ファブリックノードを自動的に再プロビジョニングし、デュアルスタック構成を移行プロセスの一部として有効にする必要がある
Cisco SD-AccessにおけるIPv6の設計上の考慮事項
Cisco SD-Accessクライアントは、デュアルスタックまたはIPv6のみのネットワーク設定で実行できます。DNA Center SWバージョン2.3.x.xまでの現在のSD-Accessファブリック実装では、IPv6の導入に関していくつかの考慮事項があります。
・ Cisco SD-Accessは、IPv4アンダーレイルーティングプロトコルをサポートします。したがって、IPv6クライアントトラフィックは、IPv4ヘッダー内にカプセル化されるときに転送されます。これは、現在のLISPソフトウェアの導入に必要です。しかし、アンダーレイがIPv6ルーティングプロトコルを有効にできないという意味ではありません。SD-AccessオーバーレイLISPだけが依存して実行されません。
・ファブリックアンダーレイは現在IPv4のみであるため、IPv6ネイティブマルチキャストはサポートされていません。
・ゲストワイヤレスはデュアルスタックでのみ実行できます。現在のISEリリース(たとえば、3.2まで)では、IPv6ゲストポータルはサポートされていないため、IPv6専用ゲストクライアントは認証を受けることができません。
・ IPv6アプリケーションQoSポリシーの自動化は、現在のDNA Centerリリースではサポートされていません。このドキュメントでは、大規模なユーザの1つに導入されたCisco SD-Accessの有線およびワイヤレスデュアルスタッククライアントにIPv6 QoSを実装するために必要な手順について説明します。
・ポリシーに基づくダウンストリームトラフィックとアップストリームトラフィックのワイヤレスクライアントレート制限機能は、SSID単位またはクライアント単位でIPv4(TCP/UDP)とIPv6(TCPのみ)に対応しています。IPv6 UDPレート制限はまだサポートされていません。
・ IPv4プールはデュアルスタックプールにアップグレードできます。ただし、デュアルスタックプールをIPv4プールにダウングレードすることはできません。デュアルスタックプールをIPv4シングルスタックプールに戻す場合は、デュアルスタックプール全体を解放する必要があります。
・現在のDNA CenterではIPv4またはデュアルスタックプールしか作成できませんが、シングルIPv6はまだサポートされていません。
・ Cisco IOS®-XEのプラットフォームは、16.9.2以降の最小ソフトウェアバージョン要件です。
・ IPv6ゲストワイヤレスはCisco IOS-XEプラットフォームではまだサポートされていませんが、AireOS(8.10.105.0以降)では回避策がサポートされています。
・ APまたは拡張ノードプールのみを割り当てることができるINFRA_VNでは、デュアルスタックプールを割り当てることはできません。
・ LANの自動化は、まだIPv6をサポートしていません。
前述の制限に加えて、SD-Accessファブリックを設計する際にIPv6を有効にする場合は、常に
各ファブリックコンポーネントの拡張性を考慮します。 エンドポイントに複数のIPv4またはIPv6アドレスがある場合、各アドレスは個別のエントリとしてカウントされます。
ファブリックホストのエントリには、アクセスポイント、クラシックノード、およびポリシー拡張ノードが含まれます。
境界ノードの尺度に関するその他の考慮事項:
ボーダーノードがファブリックの外部からファブリックのホストにトラフィックを転送する場合、/32(IPv4)または/128(IPv6)エントリが使用されます。
Cisco Catalyst 9500シリーズハイパフォーマンススイッチおよびCisco Catalyst 9600シリーズスイッチを除くすべてのスイッチ:
IPv4●IPv4 IPアドレスごとに1つのTCAMエントリ(ファブリックホストエントリ)を使用します。
● IPv6は、各IPv6 IPアドレスに対して2つのTCAMエントリ(ファブリックホストエントリ)を使用します。
Cisco Catalyst 9500シリーズハイパフォーマンススイッチおよびCisco Catalyst 9600シリーズスイッチの場合:
IPv4●IPv4 IPアドレスごとに1つのTCAMエントリ(ファブリックホストエントリ)を使用します。
● IPv6は、各IPv6 IPアドレスに対して1つのTCAMエントリ(ファブリックホストエントリ)を使用します。
また、IPv6アドレスの取得にSLAACに依存するAndroid OSベースのスマートフォンなど、一部のエンドポイントはDHCPv6をサポートしていません。1つのエンドポイントが3つ以上のIPv6アドレスを持つことがあります。この動作により、各ファブリックノード(特にファブリックボーダーノードとコントロールノード)で消費されるハードウェアリソースが増加します。たとえば、境界ノードが任意のエンドポイントのエッジノードにトラフィックを送信するたびに、ホストルートがTCAMエントリにインストールされ、HW TCAMにVXLAN隣接関係エントリが書き込まれます。
有線およびワイヤレスクライアントの接続とコールフロー
クライアントがファブリックエッジに接続されると、さまざまな方法でIPv6アドレスを取得します。このセクションでは、クライアントのIPv6アドレッシングの最も一般的な方法、つまりSLAACおよびDHCPv6について説明します。
IPv6アドレスの割り当て – SLAAC
SDAのSLAACは、標準のSLAACプロセスフローと異なりません。SLAACが適切に機能するためには、IPv6クライアントはインターフェイスにリンクローカルアドレスを設定する必要があります。クライアントがリンクローカルアドレスを使用して自動的に自身を設定する方法は、このドキュメントの範囲外です。
IPv6アドレスの割り当て – SLAAC
コールフローの説明:
ステップ 1:IPv6クライアントがIPv6リンクローカルアドレスで自身を設定した後、クライアントはICMPv6ルータ要求(RS)メッセージをファブリックエッジに送信します。このメッセージの目的は、接続セグメントのグローバルユニキャストプレフィックスを取得することです。
ステップ 2:ファブリックエッジはRSメッセージを受信すると、グローバルIPv6ユニキャストプレフィックスとその長さを内部に含むICMPv6ルータアドバタイズメント(RA)メッセージで応答します。
ステップ 3:クライアントはRAメッセージを受け取ると、IPv6グローバルユニキャストプレフィックスとEUI-64インターフェイス識別子を組み合わせて一意のIPv6グローバルユニキャストアドレスを生成し、ゲートウェイをクライアントセグメントに関連するファブリックエッジのSVIのリンクローカルアドレスに設定します。次に、クライアントはICMPv6ネイバー送信要求メッセージを送信し、重複アドレス検出(DAD)を実行して、取得するIPv6アドレスが一意であることを確認します。
注:SLAAC関連のすべてのメッセージは、クライアントのSVI IPv6リンクローカルアドレスとファブリックノードのSVIでカプセル化されます。
IPv6アドレスの割り当て:DHCPv6
IPv6アドレスの割り当て:DHCPv6
コールフローの説明:
ステップ 1:クライアントはDHCPv6要求をファブリックエッジに送信します。
ステップ 2:ファブリックエッジがDHCPv6要求を受信すると、DHCPv6リレー転送メッセージを使用して、DHCPv6オプション18でファブリックボーダーに要求をユニキャストします。DHCPv6オプション18は、DHCPオプション82と比較して、「回線ID」と「リモートID」の両方を同時に符号化します。LISPインスタンスID/VNI、IPv4 RLOC、およびエンドポイントVLANはエンコードされています
内部.
ステップ 3:ファブリックボーダーはVxLANヘッダーをカプセル化解除し、DHCPv6パケットをDHCPv6サーバにユニキャストします。
ステップ 4:DHCPv6サーバはリレー転送メッセージを受信し、メッセージの送信元リンクアドレス(DHCPv6リレーエージェント/クライアントのゲートウェイ)を使用して、IPv6アドレスを割り当てるIPv6 IPプールを選択します。次に、DHCPv6リレー応答メッセージをクライアントのゲートウェイアドレスに送信します。オプション18は変更されません。
ステップ 5:ファブリックボーダーがリレー応答メッセージを受信すると、オプション18からRLOCとLISPインスタンス/VNIを抽出します。ファブリックボーダーは、オプション18から抽出した宛先を使用して、VxLANのリレー応答メッセージをカプセル化します。
手順 6:ファブリックボーダーは、クライアントが接続するファブリックエッジにDHCPv6リレー応答メッセージを送信します。
手順 7:ファブリックエッジは、DHCPv6リレー応答メッセージを受信すると、メッセージのVxLANヘッダーのカプセル化を解除して、メッセージをクライアントに転送します。その後、クライアントは割り当てられたIPv6アドレスを認識します。
Cisco SD-AccessでのIPv6通信
IPv6通信では、標準のLISPベースのコントロールプレーンとVXLANベースのデータプレーン通信方式が使用されます。Cisco SD-Access LISPおよびVXLANの現在の実装では、外部IPv4ヘッダーを使用して内部にIPv6パケットを伝送します。次の図に、このプロセスを示します。
内部にIPv6パケットを伝送する外部IPv4ヘッダー
これは、すべてのLISPクエリがIPv4ネイティブパケットを使用し、コントロールプレーンノードテーブルはエンドポイントのIPv6とIPv4の両方のIPアドレスでRLOCの詳細を保持することを意味します。このプロセスについては、次のセクションでワイヤレスエンドポイントの観点から詳しく説明します。
Cisco SD-AccessのワイヤレスIPv6通信
ワイヤレス通信は、一般的なCisco SDアクセスファブリックコンポーネントとは別に、アクセスポイントとワイヤレスLANコントローラという2つの特定のコンポーネントに依存します。ワイヤレスアクセスポイントは、ワイヤレスLANコントローラ(WLC)とのCAPWAP(Control and Provisioning of Wireless Access Points)トンネルを作成します。クライアントトラフィックがファブリックエッジに存在する間、無線統計情報を含むその他のコントロールプレーン通信はWLCによって管理されます。IPv6の観点からは、WLCとAPの両方にIPv4アドレスが必要で、すべてのCAPWAP通信はこれらのIPv4アドレスを使用します。非ファブリックWLCとAPはIPv6通信をサポートしますが、Cisco SD-Accessは、IPv4パケット内でクライアントIPv6トラフィックを伝送するすべての通信にIPv4を使用します。つまり、Infra VNの下で割り当てられたAPプールは、デュアルスタックのIPプールとマッピングできず、このマッピングを試みるとエラーがスローされます。Cisco SDA内の無線通信は、次の主要なタスクに分けることができます。
・アクセスポイントオンボーディング
・クライアントオンボーディング
これらのイベントをIPv6の観点から見てみましょう。
アクセスポイントオンボーディング
WLCとAPの両方にIPv4アドレスと手順が含まれているため、このプロセスはIPv6でもIPv4でも同じです。
1. FEポートがオンボードAPに設定されている。
2. APはFEポートに接続し、CDP APを介してFEにその存在を通知します(これにより、FEは適切なVLANを割り当てることができます)。
3. APはDHCPサーバからIPv4アドレスを取得し、FEはAPを登録し、コントロールプレーン(CPノード)をAPの詳細で更新します。
4. APは従来の方法(DHCPオプション43など)でWLCに参加します。
5. WLCはAPがファブリック対応かどうかを確認し、コントロールプレーンにAP RLOC情報(RLOC Requested/Response Receivedなど)を照会します。
6. CPがAPのRLOC IPを使用してWLCに応答します。
7. WLCがAP MACをCPに登録します。
8. CPは、APに関するWLCからの詳細情報でFEを更新します(これにより、APとのVXLANトンネルを開始するようにFEに指示します)。
FEは情報を処理し、APとのVXLANトンネルを作成します。この時点で、APはファブリック対応SSIDをアドバタイズします。
注:APが非ファブリックSSIDをブロードキャストし、ファブリックSSIDをブロードキャストしない場合は、アクセスポイントとファブリックエッジノード間のVXLANトンネルを確認してください。
また、APからWLCへの通信は常にアンダーレイCAPWAPを介して行われ、すべてのWLCからAPへの通信はオーバーレイを介してVXLAN CAPWAPを使用することに注意してください。つまり、APからWLCに向かうパケットをキャプチャする場合、リバーストラフィックにVXLANトンネルがある間だけCAPWAPが表示されます。APとWLC間の通信については、次の例を参照してください。
APからWLCへのパケットキャプチャ(CAPWAPトンネル)とWLCからAPへのパケットキャプチャ(ファブリック内のVxLANトンネル)
クライアントオンボーディング
デュアルスタック/IPv6クライアントのオンボーディングプロセスは同じですが、クライアントはSLAAC/DHCPv6などのIPv6アドレス割り当て方法を使用してIPv6アドレスを取得します。
1.クライアントがファブリックに参加し、APでSSIDを有効にします。
2. WLCはAP RLOCを認識します。
3.クライアントが認証し、WLCがクライアントL2の詳細をCPに登録し、APを更新します。
4.クライアントが、設定された方式(SLAAC/DHCPv6)からIPv6アドレスを開始します。
5. FEがCP HTDBへのIPv6クライアント登録をトリガーします。
APから。FEおよびFEから他の宛先は、VXLANおよびLISPのIPv6カプセル化をIPv4フレーム内で使用します。
IPv6を使用したクライアント間通信
次の図は、別のIPv6有線クライアントとのIPv6ワイヤレスクライアント通信プロセスをまとめたものです。(これは、クライアントが認証され、設定された方式でIPv6アドレスを取得することを前提としています)。
1.クライアントはIPv6ペイロードで802.11フレームをAPに送信します。
2. APは802.11ヘッダーを削除し、IPv4 VXANトンネル内の元のIPv6ペイロードをファブリックエッジに送信します。
3.ファブリックエッジはMAP要求を使用して宛先を識別し、IPv4 VXLANを使用してフレームを宛先RLOCに送信します。
4.宛先スイッチで、IPv4 VXLANヘッダーが削除され、IPv6パケットがクライアントに送信されます。
デュアルスタック無線クライアントからデュアルスタック有線クライアントへのパケットフロー
パケットキャプチャを使用してこのプロセスを詳しく調べ、IPアドレスとMACアドレスの詳細については図を参照してください。このセットアップでは、同じアクセスポイントに接続されたデュアルスタッククライアントの両方を使用しますが、異なるIPv6サブネット(SSID)でマッピングされます。
サンプルSDアクセスファブリックネットワークのIPアドレスとMACアドレスの詳細
注:DHCP/DNSなど、ファブリック外のIPv6通信では、境界インフラストラクチャと非ファブリックインフラストラクチャの間でIPv6ルーティングを有効にする必要があります。
ステップ 0:クライアントは認証を行い、設定された方式からIPv6アドレスを取得します。
DHCPv6サーバからファブリックエッジノードへのパケットキャプチャ
ステップ 1:ワイヤレスクライアントは、IPv6ペイロードを含む802.11フレームをアクセスポイントに送信します。
ステップ 2:アクセスポイントはワイヤレスヘッダーを削除し、パケットをファブリックエッジに送信します。これは、アクセスポイントにIPv4アドレスがあるため、IPv4ベースのVXLANトンネルヘッダーを使用します。
FEとAP間のVxLANトンネルのパケットキャプチャ
ステップ3(a):ファブリックエッジは、IPv6クライアントをコントロールプレーンに登録します。これは、内部のIPv6クライアントの詳細を含むIPv4登録方式を使用します。
IPv6クライアント用のコントロールプレーンに登録されたFEのパケットキャプチャ
ステップ3(b):FEは、宛先RLOCを識別するためにMAP要求をコントロールプレーンに送信します。
MAP登録メッセージを使用したFEからCPへのパケットキャプチャ
ファブリックエッジは、次の図に示すように、既知のIPv6クライアントのMAPキャッシュも維持します。
IPv6オーバーレイマップキャッシュ情報のファブリックエッジ画面出力
ステップ 4:パケットは、元のIPv6ペイロードを内部に伝送するIPv4 VXLANを使用して宛先RLOCに転送されます。両方のクライアントが同じAPに接続されているため、IPv6 pingはこのパスを通ります。
同じAPに登録されている2つのワイヤレスクライアント間のIPv6 pingのパケットキャプチャ
この図は、ワイヤレスクライアントの観点からIPv6通信をまとめたものです。
図は、ワイヤレスクライアントの観点からIPv6通信を要約しています
注:ISEの制限により、Cisco Identity ServicesによるIPv6ゲストアクセス(Webポータル)はサポートされません。
依存関係マトリクス
Cisco SD-Accessの一部であるさまざまなワイヤレスコンポーネントからのIPv6の依存関係とサポートに注意することが重要です。次の図の表は、この機能マトリクスをまとめたものです。
リリース別のCat9800 WLC IPv6機能
IPv6のコントロールプレーンの監視
IPv6を有効にすると、MS/MRサーバにホストIPv6に関する追加エントリが表示されます。ホストは複数のIPv6 IPアドレスを持つことができるため、MS/MRルックアップテーブルにすべてのIPアドレスのエントリがあります。これは、すでに存在するIPv4テーブルと組み合わされます。
すべてのエントリを確認するには、デバイスのCLIにログインし、次のコマンドを発行する必要があります。
アシュアランスを介してホストIPv6の詳細を確認することもできます。
Cisco SD-AccessでのIPv6 QoSの実装
現在のCisco DNA Centerリリース(最大2.3.x)では、IPv6 QoSアプリケーションポリシーの自動化はサポートされていません。ただし、ユーザは手動でIPv6有線およびワイヤレステンプレートを作成し、QoSテンプレートをファブリックエッジノードにプッシュできます。DNA Centerは、一度適用されたすべての物理インターフェイスでIPv4 QoSポリシーを自動化します。テンプレートを使用して、「class-default」の前にクラスマップ(IPv6 ACLと一致)を手動で挿入できます。
DNA Centerが生成したポリシー設定と統合された有線IPv6 QoS対応テンプレートの例を次に示します。
!
interface GigabitEthernetx/y/z
service-policy input DNA-APIC_QOS_IN
class-map match-any DNA-APIC_QOS_IN#SCAVENGER <<< Provisioned by DNAC
match access-group name DNA-APIC_QOS_IN#SCAVENGER__acl
match access-group name IPV6_QOS_IN#SCAVENGER__acl <<< Manually add
!
ipv6 access-list IPV6_QOS_IN#SCAVENGER__acl <<< Manually add
sequence 10 permit icmp any any
!
Policy-map DNA-APIC_QOS_IN
class IPV6_QOS_IN#SCAVENGER__acl <<< manually add
set dscp cs1
For wireless QoS policy, Cisco DNA Center with current release (up to 2.3.x) will provision IPv4 QoS only
and apply IPv4 QoS into the WLC (Wireless LAN Controller). It doesn’t automate IPv6 QoS.
© 2021 Cisco and/or its affiliates. All rights reserved. Page 20 of 24
Below is the sample wireless IPv6 QoS template. Please make sure to apply the QoS policy into the wireless SVI
interface from the wireless VLAN:
ipv6 access-list extended IPV6_QOS_IN#TRANS_DATA__acl
remark ### a placeholder ###
!
ipv6 access-list extended IPV6_QOS_IN#REALTIME
remark ### a placeholder ###
!
ipv6 access-list extended IPV6-QOS_IN#TUNNELED__acl
remark ### a placeholder ###
!
ipv6 access-list extended IPV6_QOS_IN#VOICE
remark ### a placeholder ###
!
ipv6 access-list extended IPV6_QOS_IN#SCAVENGER__acl
permit icmp any any
!
ipv6 access-list extended IPV6_QOS_IN#SIGNALING__acl
remark ### a placeholder ###
!
ipv6 access-list extended IPV6_QOS_IN#BROADCAST__acl
remark ### a placeholder ###
!
ipv6 access-list extended IPV6_QOS_IN#BULK_DATA__acl
permit tcp any any eq ftp
permit tcp any any eq ftp-data
permit tcp any any eq 21000
permit udp any any eq 20
!
ipv6 access-list extended IPV6_QOS_IN#MM_CONF__acl
remark ms-lync
permit tcp any any eq 3478
permit udp any any eq 3478
permit tcp range 5350 5509
permit udp range 5350 5509
!
ipv6 access-list extended IPV6_QOS_IN#MM_STREAM__acl
remark ### a placeholder ###
!
ipv6 access-list extended IPV6_QOS_IN#OAM__acl
remark ### a placeholder ###
!
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
!
class-map match-any IPV6_QOS_IN#TRANS_DATA
match access-group name IPV6_QOS_IN#TRANS_DATA__acl
!
class-map match-any IPV6_QOS_IN#REALTIME
match access-group name IPV6_QOS_IN#TUNNELED__acl
!
class-map match-any IPV6_QOS_IN#TUNNELED
match access-group name IPV6_QOS_IN#TUNNELED__acl
!
class-map match-any IPV6_QOS_IN#VOICE
match access-group name IPV6_QOS_IN#VOICE
!
class-map match-any IPV6_QOS_IN#SCAVENGER
match access-group name IPV6_QOS_IN#SCAVENGER__acl
!
class-map match-any IPV6_QOS_IN#SIGNALING
match access-group name IPV6_QOS_IN#SIGNALING__acl
class-map match-any IPV6_QOS_IN#BROADCAST
match access-group name IPV6_QOS_IN#BROADCAST__acl
!
class-map match-any IPV6_QOS_IN#BULK_DATA
match access-group name IPV6_QOS_IN#BULK_DATA__acl
!
class-map match-any IPV6_QOS_IN#MM_CONF
© 2021 Cisco and/or its affiliates. All rights reserved. Page 21 of 24
match access-group name IPV6_QOS_IN#MM_CONF__acl
!
class-map match-any IPV6_QOS_IN#MM_STREAM
match access-group name IPV6_QOS_IN#MM_STREAM__acl
!
class-map match-any IPV6_QOS_IN#OAM
match access-group name IPV6_QOS_IN#OAM__acl
!
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
policy-map IPV6_QOS_IN
class IPV6_QOS_IN#VOICE
set dscp ef
class IPV6_QOS_IN#BROADCAST
set dscp cs5
class IPV6_QOS_IN#REALTIME
set dscp cs4
class IPV6_QOS_IN#MM_CONF
set dscp af41
class IPV6_QOS_IN#MM_STREAM
set dscp af31
class IPV6_QOS_IN#SIGNALING
set dscp cs3
class IPV6_QOS_IN#OAM
set dscp cs2
class IPV6_QOS_IN#TRANS_DATA
set dscp af21
class IPV6_QOS_IN#BULK_DATA
set dscp af11
class IPV6_QOS_IN#SCAVENGER
set dscp cs1
class IPV6_QOS_IN#TUNNELED
class class-default
set dscp default
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
interface Vlan1xxx < = = (wireless VLAN)
service-policy input IPV6_QOS_IN
end
Cisco SD-AccessでのIPv6のトラブルシューティング
SDアクセスのトラブルシューティングIPv6はIPv4と非常によく似ており、異なるキーワードオプションで同じコマンドを使用して同じ目標を達成できます。次に、SDアクセスのトラブルシューティングによく使用されるコマンドを示します。
Pod2-Edge-2#sh device-tracking database
Binding Table has 24 entries, 12 dynamic (limit 100000)
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other
Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match 0002:Orig trunk 0004:Orig access
0008:Orig trusted trunk 0010:Orig trusted access 0020:DHCP assigned
0040:Cga authenticated 0080:Cert authenticated 0100:Statically assigned
Network Layer Address Link Layer Address Interface vlan prlvl age state Time left
DH4 172.16.83.2 7069.5a76.5ef8 Gi1/0/1 2045 0025 5s REACHABLE 235 s(653998 s)
L 172.16.83.1 0000.0c9f.fef5 Vl2045 2045 0100 22564mn REACHABLE
ARP 172.16.79.10 74da.daf4.d625 Ac0 71 0005 49s REACHABLE 201 s try 0
L 172.16.79.1 0000.0c9f.f886 Vl79 79 0100 22562mn REACHABLE
L 172.16.78.1 0000.0c9f.fa09 Vl78 78 0100 9546mn REACHABLE
DH4 172.16.72.101 000c.29c3.16f0 Gi1/0/3 72 0025 9803mn STALE 101187 s
L 172.16.72.1 0000.0c9f.f1ae Vl72 72 0100 22562mn REACHABLE
L 172.16.71.1 0000.0c9f.fa85 Vl71 71 0100 22562mn REACHABLE
ND FE80::7269:5AFF:FE76:5EF8 7069.5a76.5ef8 Gi1/0/1 2045 0005 12s REACHABLE 230 s
ND FE80::705F:2381:9D03:B991 74da.daf4.d625 Ac0 71 0005 107s REACHABLE 145 s try 0
L FE80::200:CFF:FE9F:FA85 0000.0c9f.fa85 Vl71 71 0100 22562mn REACHABLE
L FE80::200:CFF:FE9F:FA09 0000.0c9f.fa09 Vl78 78 0100 9546mn REACHABLE
L FE80::200:CFF:FE9F:F886 0000.0c9f.f886 Vl79 79 0100 87217mn DOWN
L FE80::200:CFF:FE9F:F1AE 0000.0c9f.f1ae Vl72 72 0100 22562mn REACHABLE
ND 2003::B900:53C0:9656:4363 74da.daf4.d625 Ac0 71 0005 26mn STALE 451 s
ND 2003::705F:2381:9D03:B991 74da.daf4.d625 Ac0 71 0005 3mn REACHABLE 49 s try 0
ND 2003::5925:F521:C6A7:927B 74da.daf4.d625 Ac0 71 0005 3mn REACHABLE 47 s try 0
L 2001:F38:202B:6::1 0000.0c9f.fa09 Vl78 78 0100 9546mn REACHABLE
ND 2001:F38:202B:4:B8AE:8711:5852:BE6A 74da.daf4.d625 Ac0 71 0005 83s REACHABLE 164 s try 0
ND 2001:F38:202B:4:705F:2381:9D03:B991 74da.daf4.d625 Ac0 71 0005 112s REACHABLE 133 s try 0
DH6 2001:F38:202B:4:324B:130C:435C:FA41 74da.daf4.d625 Ac0 71 0024 107s REACHABLE 135 s try 0(985881 s)
L 2001:F38:202B:4::1 0000.0c9f.fa85 Vl71 71 0100 22562mn REACHABLE
DH6 2001:F38:202B:3:E6F4:68B3:D2A6:59E6 000c.29c3.16f0 Gi1/0/3 72 0024 9804mn STALE 367005 s
L 2001:F38:202B:3::1 0000.0c9f.f1ae Vl72 72 0100 22562mn REACHABLE
Pod2-Edge-2#sh lisp eid-table Campus_VN ipv6 database
LISP ETR IPv6 Mapping Database for EID-table vrf Campus_VN (IID 4100), LSBs: 0x1
Entries total 5, no-route 0, inactive 1
© 2021 Cisco and/or its affiliates. All rights reserved. Page 23 of 24
2001:F38:202B:3:E6F4:68B3:D2A6:59E6/128, dynamic-eid InfraVLAN-IPV6, inherited from default locator-set rloc_3c523e2c-a2a8-430f-ae22-
0ed275d1fc01
Locator Pri/Wgt Source State
172.16.81.70 10/10 cfg-intf site-self, reachable
2001:F38:202B:4:324B:130C:435C:FA41/128, dynamic-eid ProdVLAN-IPV6, inherited from default locator-set rloc_3c523e2c-a2a8-430f-ae22-
0ed275d1fc01
Locator Pri/Wgt Source State
172.16.81.70 10/10 cfg-intf site-self, reachable
2001:F38:202B:4:705F:2381:9D03:B991/128, dynamic-eid ProdVLAN-IPV6, inherited from default locator-set rloc_3c523e2c-a2a8-430f-ae22-
0ed275d1fc01
Locator Pri/Wgt Source State
172.16.81.70 10/10 cfg-intf site-self, reachable
2001:F38:202B:4:ACAF:7DDD:7CC2:F1B6/128, Inactive, expires: 10:14:48
2001:F38:202B:4:B8AE:8711:5852:BE6A/128, dynamic-eid ProdVLAN-IPV6, inherited from default locator-set rloc_3c523e2c-a2a8-430f-ae22-
0ed275d1fc01
Locator Pri/Wgt Source State
172.16.81.70 10/10 cfg-intf site-self, reachable
Pod2-Edge-2#show lisp eid-table Campus_VN ipv6 map-cache
LISP IPv6 Mapping Cache for EID-table vrf Campus_VN (IID 4100), 6 entries
::/0, uptime: 1w3d, expires: never, via static-send-map-request
Encapsulating to proxy ETR
2001:F38:202B:3::/64, uptime: 5w1d, expires: never, via dynamic-EID, send-map-request
Encapsulating to proxy ETR
2001:F38:202B:3:E6F4:68B3:D2A6:59E6/128, uptime: 00:00:04, expires: 23:59:55, via map-reply, self, complete
Locator Uptime State Pri/Wgt Encap-IID
172.16.81.70 00:00:04 up, self 10/10 -
2001:F38:202B:4::/64, uptime: 5w1d, expires: never, via dynamic-EID, send-map-request
Encapsulating to proxy ETR
2001:F38:202B:6::/64, uptime: 6d15h, expires: never, via dynamic-EID, send-map-request
Encapsulating to proxy ETR
2002::/15, uptime: 00:05:04, expires: 00:09:56, via map-reply, forward-native
© 2021 Cisco and/or its affiliates. All rights reserved. Page 24 of 24
Encapsulating to proxy ETR
ボーダーノードからオーバーレイDHCPv6サーバpingを確認するには、次のコマンドを実行します。
Pod2-Border#ping vrf Campus_VN 2003::2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2003::2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Cisco SD-Accessを使用したIPv6設計に関するFAQ
Q. Cisco Software Defined Network(SDN)は、アンダーレイおよびオーバーレイネットワークのIPv6をサポートしていますか。
このドキュメントの執筆時点では、現在のリリース(2.3.x)でサポートされているのはオーバーレイのみです。
Q. Cisco SDNは、有線クライアントとワイヤレスクライアントの両方でネイティブIPv6をサポートしていますか。
A:はい。これには、クライアントがIPv4 DHCP要求を無効にし、IPv6 DHCPまたはSLAACアドレスだけが提供されるため、IPv4がダミープールである間にDNA Centerで作成されたデュアルスタックプールが必要です。
Q. Cisco SDアクセスファブリックで、ネイティブのIPv6専用キャンパスネットワークを使用できますか。
A:現在のリリース(2.3.xまで)ではサポートされていません。ロードマップに掲載されています。
Q. Cisco SD-AccessはL2 IPv6ハンドオフをサポートしていますか。
A:現在はサポートされていません。L2 IPv4ハンドオフまたはL3デュアルスタックハンドオフだけがサポートされています
Q. Cisco SD-AccessはIPv6のマルチキャストをサポートしていますか。
A:はい。ヘッドエンドレプリケーションマルチキャストを備えたオーバーレイIPv6だけがサポートされます。ネイティブIPv6マルチキャストはまだ提供されていない
サポート対象。
Q. Cisco SD-Access Fabric Enabled Wirelessはデュアルスタックのゲストをサポートしていますか。
A:Cisco IOS-XE(Cat9800)WLCではまだサポートされていません。AireOS WLCは回避策でサポートされています。回避策の実装の詳細については、シスコカスタマーエクスペリエンスチームにお問い合わせください。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
21-Mar-2023 |
初版 |
フィードバック