仮想ポートチャネル(vPC)の拡張機能の理解

ダウンロード オプション

  • PDF     (1.4 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (950.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.0 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 12 月 5 日
Document ID:217274

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

内容

はじめに
前提条件
要件
使用するコンポーネント
背景説明
該当ハードウェア
vPC ピア スイッチ
概要
冗長接続の非 vPC ブリッジ
vPC 接続ブリッジ
警告
vPC ピア間でのスパニングツリー優先順位値の一致が必要
非 vPC VLAN への vPC ピアスイッチの影響
コンフィギュレーション
影響
冗長接続の非 vPC ブリッジ
vPC 接続ブリッジ
障害シナリオの例
有限ステートマシンを再起動させる冗長接続の非 vPC ブリッジ
動的に学習された MAC アドレスをフラッシュする vPC 接続ブリッジ
vPC ピアゲートウェイ
概要
警告
vPC または vPC VLAN を介したユニキャスト ルーティング プロトコル隣接関係のフラッピング
ICMP および ICMPv6 リダイレクトの自動無効化
コンフィギュレーション
影響
vPC または vPC VLAN を介したユニキャスト ルーティング プロトコル隣接関係のフラッピング
ICMP および ICMPv6 リダイレクトの自動無効化
障害シナリオの例
非標準転送動作を持つ vPC 接続ホスト
ルーティング/レイヤ3 over vPC(レイヤ3ピアルータ)
概要
警告
時折発生する VPC-2-L3_VPC_UNEQUAL_WEIGHT Syslog
Cisco Bug ID CSCvs82183およびCisco Bug ID CSCvw16965が原因で、TTLが1のソフトウェア転送によるデータプレーントラフィック
コンフィギュレーション
影響
障害シナリオの例
vPC ピアゲートウェイのない、vPC を介したユニキャストルーティングプロトコル隣接関係
vPC ピアゲートウェイのある、vPC を介したユニキャスト ルーティング プロトコル隣接関係
vPC ピアゲートウェイのない、vPC VLAN を介したユニキャスト ルーティングプロトコル隣接関係
vPC ピアゲートウェイのある、vPC VLAN を介したユニキャスト ルーティングプロトコル隣接関係
vPC ピアゲートウェイのある、バックツーバック vPC を介したユニキャスト ルーティング プロトコル隣接関係
プレフィックスが OSPF LSDB に存在するがルーティングテーブルには存在しない、vPC ピアゲートウェイのある vPC を介した OSPF 隣接関係
関連情報

    はじめに

    このドキュメントでは、vPCドメイン内のCisco Nexusスイッチで設定される一般的な仮想ポートチャネル(vPC)拡張機能について説明します。

    前提条件

    要件

    仮想ポートチャネル(vPC)の使用例、設定、および実装に関する基本情報を理解しておくことをお勧めします。 この機能の詳細については、次の該当するドキュメントのいずれかを参照してください。

    使用するコンポーネント

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    Cisco Nexus データセンター用スイッチでの Cisco NX-OS の登場以来、仮想ポートチャネル(vPC)機能は何度も拡張されています。それにより、障害シナリオでの vPC 接続デバイスの信頼性が向上し、両方の vPC ピアスイッチの転送動作も最適化されています。各機能拡張の目的、機能拡張によって発生する動作の変更、および機能拡張によって解決される障害シナリオを理解すると、ビジネスニーズと要件を満たすためにvPCドメイン内で機能拡張を構成できる理由とタイミングを理解するのに役立ちます。

    該当ハードウェア

    このドキュメントで説明する手順は、vPC 対応のすべての Cisco Nexus データセンター用スイッチに適用できます。

    vPC ピア スイッチ

    ここでは、vPC ドメイン設定コマンドの peer-switch で有効にする vPC ピアスイッチの機能拡張について説明します。

    概要

    多くの環境では、vPC ドメイン内の Nexus スイッチのペアは、レイヤ 2 スイッチド イーサネット ドメインとレイヤ 3 ルーテッドドメインの間の境界として機能するアグリゲーションスイッチまたはコアスイッチです。両方のスイッチは、複数の VLAN によって設定されており、VLAN 間の East-West トラフィックと North-South トラフィックのルーティングを担当します。これらの環境では、Nexus スイッチは、通常、スパニングツリープロトコルの観点からルートブリッジとしても機能します。

    通常、1つのvPCピアは、スパニングツリーのプライオリティを0などの低い値に設定することによって、スパニングツリーのルートブリッジとして設定されます。もう1つのvPCピアは、4096などのやや高いスパニングツリープライオリティを使用して設定されており、ルートブリッジとして動作するvPCピアに障害が発生した場合に、スパニングツリー内でルートブリッジの役割を引き継ぐことができます。この構成では、ルートブリッジとして機能する vPC ピアは、システム MAC アドレスを含むブリッジ ID を持つスパニング ツリー ブリッジ プロトコル データ ユニット(BPDU)を発信します。

    ただし、ルートブリッジとして機能するvPCピアに障害が発生し、他のvPCピアがスパニングツリールートブリッジとして引き継ぐ場合、他のvPCピアは、元のルートブリッジシステムMACアドレスとは異なるシステムMACアドレスを含むブリッジIDでスパニングツリーBPDUを発信します。この変更による影響は、ダウンストリームブリッジの接続方法によって異なります。詳細は、次のサブセクションで説明します。

    冗長接続の非 vPC ブリッジ

    BPDUの変更(つまりルートブリッジの変更)を検出する冗長リンク(スパニングツリープロトコルの観点から見ると、1つのリンクがブロッキング状態にあるような)を持つ両方のvPCピアに接続された非vPC接続ブリッジでは、ルートポートの変更が観察されます。他の指定フォワーディングインターフェイスはただちにブロッキングステートに移行し、スパニングツリープロトコルの有限状態マシン(ブロッキング、ラーニング、およびフォワーディング)を通過します。その間は、設定されたスパニングツリープロトコル転送遅延タイマー(デフォルトでは15秒)と同等です。

    ルートポートの変更とそれに続くスパニングツリープロトコル有限ステートマシンの遷移は、ネットワーク内で大きな中断を引き起こす可能性があります。vPC ピアスイッチの機能拡張は、主に、vPC ピアの一方がオフラインになったときにこの問題によって引き起こされるネットワークの中断を防ぐために導入されました。vPCピアスイッチ拡張機能を使用すると、vPCに接続されていないブリッジは、引き続き単一の冗長リンクを備えた状態でブロッキングステートになりますが、リンク障害が原因で既存のルートポートがダウンした場合、インターフェイスは即座にフォワーディングステートに移行します。オフラインのvPCピアがオンラインに戻ったときも同じプロセスが発生します。ルートブリッジへのコストが最も低いインターフェイスがルートポートのロールを取得し、冗長リンクが即座にブロッキングステートに移行します。データプレーンで確認される唯一の影響は、オフラインになったvPCピアを通過するパケットが、移動中に避けられないまま失われることです。

    vPC 接続ブリッジ

    スパニングツリードメイン内のvPC接続ブリッジは、BPDUの変更(したがって、ルートブリッジの変更)を検出し、動的に学習されたMACアドレスをローカルMACアドレステーブルからフラッシュします。この動作は、ループのないトポロジではスパニングツリープロトコルに依存しないvPC接続デバイスを使用するトポロジでは非効率的で不要です。vPCは通常のポートチャネルと同様に、スパニングツリープロトコルの観点から単一の論理インターフェイスと見なされるため、vPCピアの損失はポートチャネルメンバー内の単一リンクの損失と似ています。いずれのシナリオでもスパニングツリーは変更されないため、スパニングツリードメイン内のブリッジから動的に学習されたMACアドレスをフラッシュする必要はありません(この目的は、イーサネットフラッディングおよび学習動作によって、スパニングツリーの新しく転送されるインターフェイスのMACアドレスを再学習できるようにすることです)。

    さらに、動的に学習されたMACアドレスのフラッシュによって、中断が発生する可能性があります。2 つのホストがほぼ一方向の UDP ベースのフローを持っているシナリオ(TFTP サーバーにデータを送信する TFTP クライアントなど)について考えてみます。 このフローでは、大半のデータが、TFTP クライアントから TFTP サーバーに送信されます。TFTP サーバーが TFTP クライアントにパケットを送り返すことはほとんどありません。その結果、スパニングツリードメインで動的に学習されたMACアドレスがフラッシュされた後、TFTPサーバのMACがしばらくの間学習されません。つまり、TFTPサーバに向けて送信されたTFTPクライアントデータは、不明なユニキャストトラフィックであるため、VLAN全体にフラッディングされます。これにより、大量のデータフローがネットワーク内の意図しない場所に移動し、ネットワークのオーバーサブスクライブセクションを通過する場合にパフォーマンスの問題が発生する可能性があります。

    vPC ピアスイッチの機能拡張は、1 つ以上の VLAN のスパニングツリールートブリッジとして機能する vPC ピアがリロードされたり、その電源がオフになった場合に、この非効率的で不要な動作が発生することを防ぐために導入されました。

    vPCピアスイッチ機能拡張を有効にするには、両方のvPCピアで同一のスパニングツリープロトコル設定(すべてのvPC VLANのスパニングツリープライオリティ値を含む)を使用し、すべてのvPC VLANのルートブリッジにする必要があります。これらの前提条件が満たされた後に、vPC ドメイン設定コマンドの peer-switch を設定して、vPC ピアスイッチの機能拡張を有効にする必要があります。

    :vPCピアスイッチ拡張機能は、すべてのVLANのルートを含むvPCドメインでのみサポートされます。

    vPCピアスイッチ機能拡張を有効にすると、両方のvPCピアが、両方のvPCピアで共有されるvPCシステムのMACアドレスを含むブリッジIDを使用して、同一のスパニングツリーBPDUの生成を開始します。vPCピアがリロードされても、残りのvPCピアによって生成されたスパニングツリーBPDUは変更されないため、スパニングツリードメイン内の他のブリッジはルートブリッジの変更を認識せず、ネットワークの変更に対して最適でない反応を示しません。

    警告

    vPCピアスイッチ拡張機能には、実稼働環境で設定する前に注意する必要のある注意点がいくつかあります。

    vPC ピア間でのスパニングツリー優先順位値の一致が必要

    vPC ピアスイッチの機能拡張を有効にする前に、すべての vPC VLAN のスパニングツリー優先順位設定を変更して、両方の vPC ピア間で同一になるようにする必要があります。

    ここで、N9K-1がプライオリティ0のVLAN 1、10、および20のスパニングツリールートブリッジとして設定されている設定について考えます。N9K-2は、プライオリティが4096のVLAN 1、10、および20のセカンダリスパニングツリールートブリッジです。

    N9K-1# show running-config spanning-tree
spanning-tree vlan 1,10,20 priority 0
interface port-channel1
  spanning-tree port type network

N9K-2# show running-config spanning-tree
spanning-tree vlan 1,10,20 priority 4096
interface port-channel1
  spanning-tree port type network

    vPCピアスイッチ機能拡張を有効にする前に、N9K-2上のVLAN 1、10、および20のスパニングツリープライオリティ設定を、N9K-1上の同じVLANのスパニングツリープライオリティ設定と一致するように変更する必要があります。この変更の例を次に示します。

    N9K-2# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
N9K-2(config)# spanning-tree vlan 1,10,20 priority 0
N9K-2(config)# end
N9K-2# show running-config spanning-tree
spanning-tree vlan 1,10,20 priority 0
interface port-channel1
  spanning-tree port type network

N9K-1# show running-config spanning-tree
spanning-tree vlan 1,10,20 priority 0
interface port-channel1
  spanning-tree port type network

    非 vPC VLAN への vPC ピアスイッチの影響

    次のトポロジについて考えてみます。

    vPC Peer Switch - vPC Peer Switch Affect On Non-vPC VLANs Topology

    このトポロジでは、2つのvPCピア(N9K-1とN9K-2)の間に2つのレイヤ2トランク(Po1とPo2)があります。Po1はvPC VLANを伝送するvPCピアリンクで、Po2はすべての非vPC VLANを伝送するレイヤ2トランクです。Po2で伝送される非vPC VLANのスパニングツリーのプライオリティ値がN9K-1とN9K-2で同じ場合、各vPCピアが、vPCシステムのMACアドレスから送信されるスパニングツリーBPDUフレームを生成します。このソースは両方のスイッチで同じです。その結果、N9K-2がスパニングツリーBPDUを発信したスイッチであるにもかかわらず、N9K-1は非vPC VLANごとにPo2で独自のスパニングツリーBPDUを受信しているように見えます。スパニングツリーの観点からは、N9K-1はすべての非vPC VLANに対してPo2をブロッキングステートにします。

    これは正常な動作です。この動作の発生を防ぐ、またはこの問題を回避するには、すべての非 vPC VLAN で、両方の vPC ピアを異なるスパニングツリー優先順位値で設定する必要があります。これにより、1つのvPCピアが非vPC VLANのルートブリッジになり、vPCピア間のレイヤ2トランクをDesignated Forwarding状態に移行できます。同様に、リモートvPCピアは、vPCピア間のレイヤ2トランクを指定ルート状態に移行します。これにより、非vPC VLANのトラフィックは、レイヤ2トランクを介して両方のvPCピアに流れます。

    コンフィギュレーション

    ここでは、vPC ピアスイッチ機能を設定する方法の例を示します。

    この例では、N9K-1が、プライオリティ0でVLAN 1、10、および20のスパニングツリールートブリッジになるように設定されています。N9K-2は、プライオリティが4096のVLAN 1、10、および20のセカンダリスパニングツリールートブリッジです。

    N9K-1# show running-config vpc
<snip>
vpc domain 1
  role priority 150
  peer-keepalive destination 10.122.190.196

interface port-channel1
  vpc peer-link

N9K-2# show running-config vpc
<snip>
vpc domain 1
  peer-keepalive destination 10.122.190.195

interface port-channel1
  vpc peer-link

N9K-1# show running-config spanning-tree
spanning-tree vlan 1,10,20 priority 0
interface port-channel1
  spanning-tree port type network

N9K-2# show running-config spanning-tree
spanning-tree vlan 1,10,20 priority 4096
interface port-channel1
  spanning-tree port type network

    まず、N9K-2 のスパニングツリーの優先順位設定を、N9K-1 の設定と同じになるように変更する必要があります。これは、vPC ピアスイッチ機能が予期どおりに機能するための要件です。N9K-2のシステムMACアドレスがN9K-1のシステムMACアドレスよりも低い場合、N9K-2はスパニングツリードメインのルートブリッジの役割を奪います。これにより、スパニングツリードメイン内の他のブリッジは、該当するすべてのVLANのローカルMACアドレステーブルをフラッシュします。この現象の例を、次に示します。

    N9K-1# show spanning-tree vlan 1

VLAN0001
  Spanning tree enabled protocol rstp
  Root ID    Priority    1
             Address     689e.0baa.dea7
             This bridge is the root
             Hello Time  2  sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    1      (priority 0 sys-id-ext 1)
             Address     689e.0baa.dea7
             Hello Time  2  sec  Max Age 20 sec  Forward Delay 15 sec

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Po1              Desg FWD 1         128.4096 (vPC peer-link) Network P2p 
Po10             Desg FWD 1         128.4105 (vPC) P2p 
Po20             Desg FWD 1         128.4115 (vPC) P2p 

N9K-2# show spanning-tree vlan 1

VLAN0001
  Spanning tree enabled protocol rstp
  Root ID    Priority    1
             Address     689e.0baa.dea7
             Cost        1
             Port        4096 (port-channel1)
             Hello Time  2  sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    4097   (priority 4096 sys-id-ext 1)
             Address     689e.0baa.de07
             Hello Time  2  sec  Max Age 20 sec  Forward Delay 15 sec

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Po1              Root FWD 1         128.4096 (vPC peer-link) Network P2p 
Po10             Desg FWD 1         128.4105 (vPC) P2p 
Po20             Desg FWD 1         128.4115 (vPC) P2p 

N9K-2# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
N9K-2(config)# spanning-tree vlan 1,10,20 priority 0
N9K-2(config)# end
N9K-2# show spanning-tree vlan 1

VLAN0001
  Spanning tree enabled protocol rstp
  Root ID    Priority    1
             Address     689e.0baa.de07
             This bridge is the root
             Hello Time  2  sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    1      (priority 0 sys-id-ext 1)
             Address     689e.0baa.de07
             Hello Time  2  sec  Max Age 20 sec  Forward Delay 15 sec

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Po1              Desg FWD 1         128.4096 (vPC peer-link) Network P2p 
Po10             Desg FWD 1         128.4105 (vPC) P2p 
Po20             Desg FWD 1         128.4115 (vPC) P2p

    次に、vPC ドメイン設定コマンドの peer-switch を使用して vPC ピアスイッチ機能を有効にすることができます。これにより、両方のvPCピアから発信されたスパニングツリーBPDU内のブリッジIDが変更され、スパニングツリードメイン内の他のブリッジでは、該当するすべてのVLANのローカルMACアドレステーブルがフラッシュされます。

    N9K-1# configure terminal
N9K-1(config)# vpc domain 1
N9K-1(config-vpc-domain)# peer-switch
N9K-1(config-vpc-domain)# end
N9K-1# 

N9K-2# configure terminal
N9K-2(config)# vpc domain 1
N9K-2(config-vpc-domain)# peer-switch
N9K-2(config-vpc-domain)# end
N9K-2#

    show spanning-tree summary コマンドを使用して、両方の vPC ピアが vPC VLAN のルートブリッジであると主張していることを検証することにより、vPC ピアスイッチ機能が予期どおりに動作していることを確認できます。この出力には、vPCピアスイッチ機能が有効で動作可能であることも示されている必要があります。

    N9K-1# show spanning-tree summary
Switch is in rapid-pvst mode 
Root bridge for: VLAN0001, VLAN0010, VLAN0020
L2 Gateway STP                           is disabled
Port Type Default                        is disable
Edge Port [PortFast] BPDU Guard Default  is disabled
Edge Port [PortFast] BPDU Filter Default is disabled
Bridge Assurance                         is enabled
Loopguard Default                        is disabled
Pathcost method used                     is short
vPC peer-switch                          is enabled (operational)
STP-Lite                                 is disabled

Name                   Blocking Listening Learning Forwarding STP Active
---------------------- -------- --------- -------- ---------- ----------
VLAN0001                     0         0        0          3          3
VLAN0010                     0         0        0          3          3
VLAN0020                     0         0        0          3          3
---------------------- -------- --------- -------- ---------- ----------
3 vlans                      0         0        0          9          9

N9K-2# show spanning-tree summary
Switch is in rapid-pvst mode 
Root bridge for: VLAN0001, VLAN0010, VLAN0020
L2 Gateway STP                           is disabled
Port Type Default                        is disable
Edge Port [PortFast] BPDU Guard Default  is disabled
Edge Port [PortFast] BPDU Filter Default is disabled
Bridge Assurance                         is enabled
Loopguard Default                        is disabled
Pathcost method used                     is short
vPC peer-switch                          is enabled (operational)
STP-Lite                                 is disabled

Name                   Blocking Listening Learning Forwarding STP Active
---------------------- -------- --------- -------- ---------- ----------
VLAN0001                     0         0        0          3          3
VLAN0010                     0         0        0          3          3
VLAN0020                     0         0        0          3          3
---------------------- -------- --------- -------- ---------- ----------
3 vlans                      0         0        0          9          9

    特定の VLAN に関する詳細情報を確認するには、show spanning-tree vlan{x} コマンドを使用します。プライマリvPCロールまたは動作可能プライマリvPCロールを持つスイッチは、そのすべてのインターフェイスがDesignated Forwarding状態になります。セカンダリvPCロールまたは動作可能なセカンダリvPCロールを持つスイッチは、vPCピアリンクを除くすべてのインターフェイスを指定フォワーディングステートにします。ただし、vPCピアリンクはルートフォワーディングステートです。show vpc role の出力に示される vPC システム MAC アドレスが、各 vPC ピアのルートブリッジ ID およびブリッジ ID と同じであることに注意してください。

    N9K-1# show vpc role

vPC Role status
----------------------------------------------------
vPC role                        : primary                       
Dual Active Detection Status    : 0
vPC system-mac                  : 00:23:04:ee:be:01             
vPC system-priority             : 32667
vPC local system-mac            : 68:9e:0b:aa:de:a7             
vPC local role-priority         : 150 
vPC local config role-priority  : 150 
vPC peer system-mac             : 68:9e:0b:aa:de:07             
vPC peer role-priority          : 32667
vPC peer config role-priority   : 32667

N9K-1# show spanning-tree vlan 1

VLAN0001
  Spanning tree enabled protocol rstp
  Root ID    Priority    1
             Address     0023.04ee.be01
             This bridge is the root
             Hello Time  2  sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    1      (priority 0 sys-id-ext 1)
             Address     0023.04ee.be01
             Hello Time  2  sec  Max Age 20 sec  Forward Delay 15 sec

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Po1              Desg FWD 1         128.4096 (vPC peer-link) Network P2p 
Po10             Desg FWD 1         128.4105 (vPC) P2p 
Po20             Desg FWD 1         128.4115 (vPC) P2p 

N9K-2# show vpc role

vPC Role status
----------------------------------------------------
vPC role                        : secondary                     
Dual Active Detection Status    : 0
vPC system-mac                  : 00:23:04:ee:be:01             
vPC system-priority             : 32667
vPC local system-mac            : 68:9e:0b:aa:de:07             
vPC local role-priority         : 32667
vPC local config role-priority  : 32667
vPC peer system-mac             : 68:9e:0b:aa:de:a7             
vPC peer role-priority          : 150 
vPC peer config role-priority   : 150 

N9K-2# show spanning-tree vlan 1

VLAN0001
  Spanning tree enabled protocol rstp
  Root ID    Priority    1
             Address     0023.04ee.be01
             This bridge is the root
             Hello Time  2  sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    1      (priority 0 sys-id-ext 1)
             Address     0023.04ee.be01
             Hello Time  2  sec  Max Age 20 sec  Forward Delay 15 sec

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Po1              Root FWD 1         128.4096 (vPC peer-link) Network P2p 
Po10             Desg FWD 1         128.4105 (vPC) P2p 
Po20             Desg FWD 1         128.4115 (vPC) P2p

    最後に、いずれかの vPC ピアで Ethanalyzer コントロール プレーン パケット キャプチャ ユーティリティを使用すると、両方の vPC ピアが両方の vPC ピア間で共有される vPC システム MAC アドレスを含むブリッジ ID およびルートブリッジ ID を持つスパニングツリー BPDU を発信していることを確認できます。

    N9K-1# ethanalyzer local interface inband display-filter stp limit-captured-frames 0
<snip>
Capturing on inband
2021-05-13 01:59:51.664206 68:9e:0b:aa:de:d4 -> 01:80:c2:00:00:00 STP RST. Root = 0/1/00:23:04:ee:be:01  Cost = 0  Port = 0x9000

N9K-2# ethanalyzer local interface inband display-filter stp limit-captured-frames 0
<snip>
Capturing on inband
2021-05-13 01:59:51.777034 68:9e:0b:aa:de:34 -> 01:80:c2:00:00:00 STP RST. Root = 0/1/00:23:04:ee:be:01  Cost = 0  Port = 0x9000

    影響

    vPCピアスイッチ拡張機能を有効にした場合の影響は、スパニングツリードメイン内の他のブリッジがvPCを介して両方のvPCピアに接続されているか、vPCを使用せずに両方のvPCピアに冗長接続されているかによって異なります。

    冗長接続の非 vPC ブリッジ

    両方のvPCピアへの冗長リンクを持つ非vPC接続ブリッジ(たとえば、1つのリンクがスパニングツリープロトコルの観点からブロッキング状態)が、スパニングツリーBPDUでアドバタイズされるスパニングツリールートブリッジの変更を検出した場合、ブリッジのルートポートは2つの冗長インターフェイスの間で変更できます。次に、これにより、その他の指定転送インターフェイスが、すぐに Blocking 状態に移行し、設定されたスパニングツリープロトコル転送遅延タイマー(デフォルトでは 15 秒)に相当する間隔でスパニングツリープロトコル有限ステートマシン(ブロッキング、ラーニング、および転送)を遷移します。 ルートポートの変更とそれに続くスパニングツリープロトコル有限ステートマシンの遷移は、ネットワーク内で大きな中断を引き起こす可能性があります。

    この影響は、停電時、ハードウェア障害時、リロード時など、現在スパニングツリードメインのルートブリッジになっているvPCピアがオフラインになるたびに発生することに注意してください。 この動作は、vPC ピアスイッチの機能拡張に固有のものではありません。vPC ピアスイッチの機能拡張を有効にすると、スパニングツリーの観点から vPC ピアがオフラインになるのと同様の動作が発生します。

    vPC 接続ブリッジ

    vPC接続ブリッジは、スパニングツリーBPDUでアドバタイズされるスパニングツリールートブリッジの変更を検出すると、動的に学習したMACアドレスをMACアドレステーブルからフラッシュします。vPCピアスイッチ機能を設定する際に、次の2つのシナリオでこの動作を確認できます。

    1. スパニングツリーのプライオリティ値が両方のvPCピア間で一致するように設定されている場合、以前はルートブリッジではなかったvPCピアのシステムMACアドレスが、以前はルートブリッジだったvPCピアよりも小さいと、スパニングツリールートブリッジは一方のvPCピアから別のピアに変更される可能性があります。このシナリオの例は、このドキュメントの「vPC ピアスイッチ」にある「設定」セクションに示されています。
    2. peer-switch vPCドメイン設定コマンドでvPCピアスイッチ機能を有効にすると、両方のvPCピアがスパニングツリードメインのルートブリッジとして動作を開始します。両方のvPCピアが、スパニングツリードメインのルートブリッジとして自身をアサートする、同一のスパニングツリーBPDUを発信し始めます。 

    ほとんどのシナリオとトポロジでは、これら2つのシナリオのどちらの結果でも、データプレーンへの影響は見られません。ただし、短期間の間は、未知のユニキャストフラッディングが原因でデータプレーントラフィックがVLAN内でフラッディングされます。これは、動的に学習されたMACアドレスのフラッシュの直接的な結果として、フレームの宛先MACアドレスがいずれのスイッチポートでも学習されないためです。これにより、一部のトポロジでは、VLAN 内のオーバーサブスクライブされたネットワークデバイスへのデータプレーントラフィックのフラッディングが発生する場合に、短期間のパフォーマンスの問題またはパケット損失が発生する可能性があります。また、帯域幅を大量に消費する単方向トラフィックフローやサイレントホスト(主にパケットを受信し、ほとんどパケットを送信しないホスト)で問題が発生する可能性もあります。これは、このトラフィックが、通常のように宛先ホストに直接スイッチングされずに、長時間VLAN内でフラッディングされるためです。

    この影響は、該当するVLAN内のブリッジのMACアドレステーブルから動的に学習されたMACアドレスのフラッシュに関連していることに注意する必要があります。この動作は、vPC ピアスイッチの機能拡張やルートブリッジの変更に固有のものではなく、VLAN 内で非エッジポートが起動することで生成されるトポロジ変更通知が原因である場合もあります。

    障害シナリオの例

    有限ステートマシンを再起動させる冗長接続の非 vPC ブリッジ

    次のトポロジについて考えてみます。

    vPC Peer Switch - Redundantly-Connected Non-vPC Bridges Restarting Finite State Machine Example Failure Scenario

    このトポロジでは、N9K-1 と N9K-2 が vPC ドメイン内 vPC ピアです。N9K-1 は、すべての VLAN のスパニングツリー優先順位値が 0 に設定されているため、すべての VLAN のルートブリッジになります。N9K-2 は、すべての VLAN のスパニングツリー優先順位値が 4096 に設定されているため、すべての VLAN のセカンダリルートブリッジになります。Access-1 は、レイヤ 2 スイッチポートを介して N9K-1 と N9K-2 の両方に冗長接続されているスイッチです。これらのスイッチポートはポートチャネルにバンドルされていないため、スパニングツリープロトコルにより、N9K-1 に接続されているリンクは Designated Root 状態になり、N9K-2 に接続されているリンクは Alternate Blocking 状態にします。

    ハードウェア障害、電源障害、またはスイッチのリロードが原因で N9K-1 がオフラインになる障害シナリオについて考えてみます。N9K-2は、自身のシステムMACアドレスをブリッジIDとして使用してスパニングツリーBPDUをアドバタイズすることにより、自身がすべてのVLANのルートブリッジであることを示します。Access-1はルートブリッジIDの変更を認識します。さらに、指定ルートポートはダウン/ダウン状態に移行します。つまり、新しい指定ルートポートは、N9K-2に面した代替ブロッキング状態にあったリンクです。

    指定ルートポートでこのような変更が行われると、すべての非エッジスパニングツリーポートがスパニングツリープロトコルの有限状態マシン(ブロッキング、ラーニング、およびフォワーディング)を通過するようになり、設定されたスパニングツリープロトコルの転送遅延タイマー(デフォルトでは15秒)と同等の間で一時停止します。 このプロセスは、ネットワークに大きな中断を引き起こす可能性があります。

    vPCピアスイッチ機能拡張を有効にした同じ障害シナリオでは、N9K-1とN9K-2の両方が、共有vPCシステムのMACアドレスをブリッジIDとして使用して、同一のスパニングツリーBPDUを送信します。N9k-1に障害が発生すると、N9K-2はこの同じスパニングツリーBPDUの送信を続行します。その結果、Access-1は即座にN9K-2への代替ブロッキングリンクを指定ルート状態に遷移させ、リンクでのトラフィックの転送を開始します。さらに、スパニング ツリー ルート ブリッジ ID が変更されないという事実により、非エッジポートのスパニングツリープロトコル有限ステートマシンの遷移が防止され、ネットワークで観測される中断が減少します。

    動的に学習された MAC アドレスをフラッシュする vPC 接続ブリッジ

    次のトポロジについて考えてみます。

    vPC Peer Switch - vPC-Connected Bridges Flushing Dynamically-Learned MAC Addresses Example Failure Scenarios

    このトポロジでは、N9K-1とN9K-2は、vPCドメイン内のvPCピアであり、VLAN 10とVLAN 20の間でVLAN間ルーティングを実行します。N9K-1は、VLAN 10とVLAN 20のスパニングツリープライオリティ値を0に設定して、N9K-1を両方のVLANのルートブリッジにします。N9K-2 は、VLAN 10 と VLAN 20 のスパニングツリー優先順位値が 4096 に設定されているため、両方の VLAN のセカンダリルートブリッジになります。Host-1、Host-2、Host-3、および Host-4 はすべて、相互に継続的に通信しています。

    ハードウェア障害、電源障害、またはスイッチのリロードが原因で N9K-1 がオフラインになる障害シナリオについて考えてみます。N9K-2は、自身のシステムMACアドレスをブリッジIDとして使用してスパニングツリーBPDUをアドバタイズすることにより、自身をVLAN 10およびVLAN 20のルートブリッジとして主張します。Access-1とAccess-2はルートブリッジIDの変更を認識し、スパニングツリーは同じままですが(つまり、N9K-1とN9K-2に面するvPCは指定ルートポートのままになります)、Access-1とAccess-2は、VLAN 10とVLAN 20で動的に学習されたすべてのMACアドレスのMACアドレスをフラッシュします。

    ほとんどの環境では、動的に学習された MAC アドレスのフラッシュは、最小限の影響しか引き起こしません。パケットの損失はありません(障害発生時に N9K-1 に送信されたパケットの損失を除く)が、ブロードキャストドメイン内のすべてのスイッチが動的 MAC アドレスを再学習している間、不明なユニキャストトラフィックとして各ブロードキャストドメイン内でトラフィックの一時的なフラッディングが発生します。

    同じ障害シナリオで、vPC ピアスイッチの機能拡張が有効になっている場合は、N9K-1 と N9K-2 の両方が共有 vPC システム MAC アドレスをブリッジ ID として使用して、同一のスパニングツリー BPDU を送信します。N9k-1に障害が発生すると、N9K-2はこの同じスパニングツリーBPDUの送信を続行します。その結果、Access-1とAccess-2は、スパニングツリートポロジの変更が発生したことを認識しません。それぞれの観点から見ると、ルートブリッジのスパニングツリーBPDUは同一であるため、関連するVLANから動的に学習したMACアドレスをフラッシュする必要はありません。これにより、この障害シナリオで、各ブロードキャストドメインにおける不明なユニキャストトラフィックのフラッディングが防止されます。

    vPC ピアゲートウェイ

    ここでは、vPC ドメイン設定コマンドの peer-gateway で有効にする vPC ピアゲートウェイの機能拡張について説明します。

    概要

    vPC ドメインで設定された Nexus スイッチは、デフォルトでデュアルアクティブ First Hop Redundancy Protocol(FHRP)転送を実行します。つまり、vPCピアが、スイッチ上で設定されているHot Standby Router Protocol(HSRP)またはVirtual Router Redundancy Protocol(VRRP)グループに属する宛先MACアドレスを持つパケットを受信した場合、スイッチは、HSRPまたはVRRPコントロールプレーンの状態に関係なく、ローカルルーティングテーブルに従ってパケットをルーティングします。言い換えると、HSRP Standby または VRRP Backup 状態の vPC ピアの期待される動作は、HSRP または VRRP 仮想 MAC アドレス宛てのパケットのルーティングです。

    vPCピアがFHRP仮想MACアドレス宛てのパケットをルーティングする際に、パケットを新しい送信元および宛先MACアドレスで書き換えます。送信元MACアドレスは、パケットがルーティングされるVLAN内のvPCピアスイッチ仮想インターフェイス(SVI)のMACアドレスです。宛先MACアドレスは、vPCピアローカルルーティングテーブルに従って、パケットの宛先IPアドレスのネクストホップIPアドレスに関連付けられたMACアドレスです。VLAN間ルーティングのシナリオでは、パケットが書き換えられた後のパケットの宛先MACアドレスは、パケットの最終的な宛先となるホストのMACアドレスになります。

    一部のホストは、最適化機能のために標準の転送動作に従いません。このように動作するホストは、着信パケットに応答するときに、ルーティングテーブルや ARP キャッシュのルックアップを実行しません。代わりに、ホストは、応答パケット用に着信パケットの送信元 MAC アドレスと宛先 MAC アドレスを反転させます。つまり、着信パケットの送信元 MAC アドレスが応答パケットの宛先 MAC アドレスになり、着信パケットの宛先 MAC アドレスが応答パケットの送信元 MAC アドレスになります。この動作は、ローカルルーティングテーブルや ARP キャッシュのルックアップを実行し、応答パケットの宛先 MAC アドレスを FHRP 仮想 MAC アドレスに設定する標準の転送動作に従うホストとは異なります。

    この非標準のホスト動作では、ホストによって生成された応答パケットが、一方の vPC ピア宛てであるものの、その vPC を出て、もう一方の vPC ピアに向かう場合、vPC ループ回避ルールに違反する可能性があります。他方のvPCピアは、自身のvPCピアが所有するMACアドレス宛てのパケットを受信し、パケットの宛先MACアドレスフィールドに存在するMACアドレスを所有するvPCピアに向けて、vPCピアリンクからパケットを転送します。MACアドレスを所有するvPCピアが、パケットをローカルにルーティングしようとします。パケットがvPCから出力される必要がある場合、vPCピアはvPCループ回避ルールに違反してこのパケットをドロップします。その結果、この標準外の動作を使用するホストを送信元または宛先とする一部のフローで、接続の問題やパケット損失が発生することがあります。

    この非標準の動作を利用するホストによって発生するパケット損失を排除するために、vPC ピアゲートウェイの機能拡張が導入されました。これは、一方の vPC ピアがもう一方の vPC ピアの MAC アドレス宛てのパケットをローカルにルーティングできるようにすることで実現されます。これにより、リモート vPC ピア宛てのパケットは、ルーティングされるために vPC ピアリンクから出る必要がなくなります。言い換えると、この vPC ピアゲートウェイの機能拡張により、一方の vPC ピアがリモート vPC ピアの「代わり」にパケットをルーティングできるようになります。この vPC ピアゲートウェイの機能拡張は、vPC ドメイン設定コマンドの peer-gateway で有効にすることができます。

    警告

    vPC または vPC VLAN を介したユニキャスト ルーティング プロトコル隣接関係のフラッピング

    2つのvPCピアと、vPCに接続されたルータまたはvPC孤立ポートを介して接続されたルータの間でダイナミックユニキャストルーティングプロトコルの隣接関係が形成されている場合、その直後にRouting/Layer 3 over vPC機能拡張が設定されていないと、vPCピアゲートウェイ機能拡張を有効にした後、ルーティングプロトコルの隣接関係がフラッピングし続ける可能性があります。これらの障害シナリオについては、このドキュメントの「vPC ピアゲートウェイのある、vPC を介したユニキャスト ルーティング プロトコル隣接関係」セクションにある障害シナリオの例「vPC ピアゲートウェイのある、vPC VLAN を介したユニキャスト ルーティング プロトコル隣接関係」セクションで詳しく説明しています。

    この問題を解決するには、vPC ドメイン設定コマンドの peer-gateway で vPC ピアゲートウェイの機能拡張を有効にした直後に、vPC ドメイン設定コマンドの layer3 peer-router で vPC を介したルーティング/レイヤ 3 の機能拡張を有効にてください。

    ICMP および ICMPv6 リダイレクトの自動無効化

    vPCピアゲートウェイ機能拡張を有効にすると、すべてのvPC VLAN SVIでICMPおよびICMPv6リダイレクトパケットの生成が自動的に無効になります(つまり、vPCピアリンク経由でトランクされるVLANに関連付けられたすべてのSVI)。 スイッチは、すべての vPC VLAN SVI で no ip redirects および no ipv6 redirects を設定することにより、これを実行します。これにより、スイッチに入ってくるパケットに対して、スイッチがICMPリダイレクトパケットを生成しないようにできますが、このパケットにはスイッチのvPCピアの宛先MACアドレスとIPアドレスが含まれています。

    特定のVLAN内の環境でICMPまたはICMPv6リダイレクトパケットが必要な場合は、peer-gateway exclude-vlan <vlan-id> vPC domain設定コマンドを使用して、このVLANをvPCピアゲートウェイ拡張機能の利用から除外する必要があります。

    :peer-gateway exclude-vlan <vlan-id> vPC domainコンフィギュレーションコマンドは、Nexus 9000シリーズスイッチではサポートされていません。

    コンフィギュレーション

    ここでは、vPC ピアゲートウェイ機能を設定する方法の例を示します。

    この例では、N9K-1 と N9K-2 が vPC ドメイン内 vPC ピアです。両方のvPCピアに、VLAN 10用に設定されたHSRPグループがあります。N9K-1はプライオリティ150のHSRPアクティブルータで、N9K-2はデフォルトのプライオリティ100のHSRPスタンバイルータです。

    N9K-1# show running-config vpc
<snip>
vpc domain 1
  role priority 150
  peer-keepalive destination 10.82.140.43

interface port-channel1
  vpc peer-link

N9K-2# show running-config vpc
<snip>
vpc domain 1
  peer-keepalive destination 10.82.140.42

interface port-channel1
  vpc peer-link

N9K-1# show running-config interface vlan 10
<snip>
interface Vlan10
  no shutdown
  ip address 192.168.10.2/24
  hsrp 10 
    preempt 
    priority 150
    ip 192.168.10.1

N9K-2# show running-config interface vlan 10
<snip>
interface Vlan10
  no shutdown
  ip address 192.168.10.3/24
  hsrp 10 
    ip 192.168.10.1

N9K-1# show hsrp interface vlan 10 brief
*:IPv6 group   #:group belongs to a bundle
                     P indicates configured to preempt.
                     |
 Interface   Grp  Prio P State    Active addr      Standby addr     Group addr
  Vlan10      10   150  P Active   local            192.168.10.3     192.168.10.1    (conf)

N9K-2# show hsrp interface vlan 10 brief
*:IPv6 group   #:group belongs to a bundle
                     P indicates configured to preempt.
                     |
 Interface   Grp  Prio P State    Active addr      Standby addr     Group addr
  Vlan10      10   100    Standby  192.168.10.2     local            192.168.10.1    (conf)

    N9K-1 の VLAN 10 SVI の MAC アドレスは 00ee.ab67.db47 であり、N9K-2 の VLAN 10 SVI の MAC アドレスは 00ee.abd8.747f です。VLAN 10 の HSRP 仮想 MAC アドレスは 0000.0c07.ac0a です。この状態では、各スイッチのVLAN 10 SVI MACアドレスとHSRP仮想MACアドレスが各スイッチのMACアドレステーブルに存在します。各スイッチのVLAN 10 SVI MACアドレスおよびHSRP仮想MACアドレスには、ゲートウェイ(G)フラグが存在します。これは、スイッチがこのMACアドレス宛てのパケットをローカルにルーティングすることを示します。

    N9K-1 の MAC アドレステーブルには、N9K-2 の VLAN 10 SVI の MAC アドレスに存在するゲートウェイフラグがないことに注意してください。同様に、N9K-2 の MAC アドレステーブルには、N9K-1 の VLAN 10 SVI の MAC アドレスに存在するゲートウェイフラグがありません。

    N9K-1# show mac address-table vlan 10
Legend: 
        * - primary entry, G - Gateway MAC, (R) - Routed MAC, O - Overlay MAC
        age - seconds since last seen,+ - primary entry using vPC Peer-Link,
        (T) - True, (F) - False, C - ControlPlane MAC, ~ - vsan
   VLAN     MAC Address      Type      age     Secure NTFY Ports
---------+-----------------+--------+---------+------+----+------------------
G   10     0000.0c07.ac0a   static   -         F      F    sup-eth1(R)
G   10     00ee.ab67.db47   static   -         F      F    sup-eth1(R)
*   10     00ee.abd8.747f   static   -         F      F    vPC Peer-Link(R)

N9K-2# show mac address-table vlan 10
Legend: 
        * - primary entry, G - Gateway MAC, (R) - Routed MAC, O - Overlay MAC
        age - seconds since last seen,+ - primary entry using vPC Peer-Link,
        (T) - True, (F) - False, C - ControlPlane MAC, ~ - vsan
   VLAN     MAC Address      Type      age     Secure NTFY Ports
---------+-----------------+--------+---------+------+----+------------------
G   10     0000.0c07.ac0a   static   -         F      F    vPC Peer-Link(R)
*   10     00ee.ab67.db47   static   -         F      F    vPC Peer-Link(R)
G   10     00ee.abd8.747f   static   -         F      F    sup-eth1(R)

    vPC ピアゲートウェイの機能拡張は、vPC ドメイン設定コマンドの peer-gateway を使用して有効にすることができます。これにより、vPCピアリンクで学習されたvPCピアのMACアドレスに属する宛先MACアドレスを持つ受信パケットを、スイッチでローカルにルーティングできるようになります。これは、スイッチのMACアドレステーブル内のvPCピアのMACアドレスにゲートウェイフラグを設定することで実行されます。

    N9K-1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
N9K-1(config)# vpc domain 1
N9K-1(config-vpc-domain)# peer-gateway
N9K-1(config-vpc-domain)# end
N9K-1# 

N9K-2# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
N9K-2(config)# vpc domain 1
N9K-2(config-vpc-domain)# peer-gateway
N9K-2(config-vpc-domain)# end
N9K-2#

    vPC ピアの MAC に関して MAC アドレステーブルにゲートウェイフラグが存在することを検証することにより、vPC ピアゲートウェイの機能拡張が予期どおりに動作していることを確認できます。

    N9K-1# show mac address-table vlan 10
Legend: 
        * - primary entry, G - Gateway MAC, (R) - Routed MAC, O - Overlay MAC
        age - seconds since last seen,+ - primary entry using vPC Peer-Link,
        (T) - True, (F) - False, C - ControlPlane MAC, ~ - vsan
   VLAN     MAC Address      Type      age     Secure NTFY Ports
---------+-----------------+--------+---------+------+----+------------------
G   10     0000.0c07.ac0a   static   -         F      F    sup-eth1(R)
G   10     00ee.ab67.db47   static   -         F      F    sup-eth1(R)
G   10     00ee.abd8.747f   static   -         F      F    vPC Peer-Link(R)

N9K-2# show mac address-table vlan 10
Legend: 
        * - primary entry, G - Gateway MAC, (R) - Routed MAC, O - Overlay MAC
        age - seconds since last seen,+ - primary entry using vPC Peer-Link,
        (T) - True, (F) - False, C - ControlPlane MAC, ~ - vsan
   VLAN     MAC Address      Type      age     Secure NTFY Ports
---------+-----------------+--------+---------+------+----+------------------
G   10     0000.0c07.ac0a   static   -         F      F    vPC Peer-Link(R)
G   10     00ee.ab67.db47   static   -         F      F    vPC Peer-Link(R)
G   10     00ee.abd8.747f   static   -         F      F    sup-eth1(R)

    影響

    vPCピアゲートウェイ機能拡張を有効にした場合の影響は、周辺のトポロジおよび接続されたホストの動作によって異なります(次のサブセクションを参照)。これらのサブセクションのいずれも環境に適用されない場合、vPCピアゲートウェイ機能拡張を有効にしても中断は発生せず、環境に影響を与えることはありません。

    vPC または vPC VLAN を介したユニキャスト ルーティング プロトコル隣接関係のフラッピング

    2つのvPCピアと、vPCに接続されたルータまたはvPC孤立ポートを介して接続されたルータの間でダイナミックユニキャストルーティングプロトコルの隣接関係が形成されている場合、その直後にRouting/Layer 3 over vPC機能拡張が設定されていないと、vPCピアゲートウェイ機能拡張を有効にした後、ルーティングプロトコルの隣接関係がフラッピングし続ける可能性があります。これらの障害シナリオについては、このドキュメントの「vPC ピアゲートウェイのある、vPC を介したユニキャスト ルーティング プロトコル隣接関係」セクションにある障害シナリオの例「vPC ピアゲートウェイのある、vPC VLAN を介したユニキャスト ルーティング プロトコル隣接関係」セクションで詳しく説明しています。

    この問題を解決するには、vPC ドメイン設定コマンドの peer-gateway で vPC ピアゲートウェイの機能拡張を有効にした直後に、vPC ドメイン設定コマンドの layer3 peer-router で vPC を介したルーティング/レイヤ 3 の機能拡張を有効にてください。

    ICMP および ICMPv6 リダイレクトの自動無効化

    vPCピアゲートウェイ機能拡張を有効にすると、すべてのvPC VLAN SVIでICMPおよびICMPv6リダイレクトパケットの生成が自動的に無効になります(つまり、vPCピアリンク経由でトランクされるVLANに関連付けられたすべてのSVI)。 スイッチは、すべての vPC VLAN SVI で no ip redirects および no ipv6 redirects を設定することにより、これを実行します。これにより、スイッチに入ってくるパケットに対して、スイッチがICMPリダイレクトパケットを生成しないようにできますが、このパケットにはスイッチのvPCピアの宛先MACアドレスとIPアドレスが含まれています。

    特定のVLAN内の環境でICMPまたはICMPv6リダイレクトパケットが必要な場合は、peer-gateway exclude-vlan <vlan-id> vPC domain設定コマンドを使用して、このVLANをvPCピアゲートウェイ拡張機能の利用から除外する必要があります。

    :peer-gateway exclude-vlan <vlan-id> vPC domainコンフィギュレーションコマンドは、Nexus 9000シリーズスイッチではサポートされていません。

    障害シナリオの例

    非標準転送動作を持つ vPC 接続ホスト

    次のトポロジについて考えてみます。

    vPC Peer Gateway - vPC-Connected Hosts with Non-Standard Forwarding Behavior Example Failure Scenario Topology

    このトポロジでは、N9K-1とN9K-2は、vPCドメイン内のvPCピアであり、VLAN 10とVLAN 20の間でVLAN間ルーティングを実行します。Po1 インターフェイスは vPC ピアリンクです。Host-1という名前のホストは、vPC Po10を介してVLAN 10のN9K-1およびN9K-2に接続されています。Host-1は、IPアドレス192.168.10.10とMACアドレス0000.0000.0010を所有しています。Host-2という名前のホストが、vPC Po20を介してVLAN 20のN9K-1およびN9K-2に接続されています。Host-2は、IPアドレス192.168.20.10とMACアドレス0000.0000.0020を所有しています。

    N9K-1 と N9K-2 はどちらも、VLAN 10 と VLAN 20 に SVI があり、各 SVI で HSRP がアクティブになっています。N9K-1のVLAN 10インターフェイスのIPアドレスは192.168.10.2で、N9K-1のVLAN 20インターフェイスのIPアドレスは192.168.20.2です。N9K-1のSVIは両方とも、物理MACアドレスが00ee.ab67.db47です。N9K-2のVLAN 10インターフェイスのIPアドレスは1921.68.10.3で、N9K-2のVLAN 20インターフェイスのIPアドレスは192.168.20.3です。N9K-2のSVIにはどちらも物理MACアドレス00ee.abd8.747fがあります。VLAN 10 の HSRP 仮想 IP アドレスは 192.168.10.1、HSRP 仮想 MAC アドレスは 0000.0c07.ac0a です。VLAN 20 の HSRP 仮想 IP アドレスは 192.168.20.1、HSRP 仮想 MAC アドレスは 0000.0c07.ac14 です。

    Host-1がICMPエコー要求パケットをHost-2に送信するシナリオを考えてみます。Host-1がデフォルトゲートウェイ(HSRP仮想IPアドレス)のARPを解決すると、Host-1は標準の転送動作に従って、宛先IPアドレスの192.168.10.10を送信元IPアドレスとするICMPエコー要求パケットを生成します192.168.20.10、送信元MACアドレス0000.0000.0010、および宛先MACアドレス0000.0c07.ac0a。このパケットはN9K-1に向けて出力されます。これの視覚的な例を、次に示します。

    vPC Peer Gateway - vPC-Connected Hosts with Non-Standard Forwarding Behavior Example Failure Scenario Host-1-to-N9K-1

    N9K-1 は、このパケットを受信します。このパケットは HSRP 仮想 MAC アドレス宛てであるため、N9K-1 は、HSRP コントロールプレーンの状態に関係なくローカル ルーティング テーブルに従ってこのパケットをルーティングすることができます。このパケットはVLAN 10からVLAN 20にルーティングされます。パケットのルーティングの一部として、N9K-1は、パケットの送信元および宛先MACアドレスフィールドを再アドレッシングすることで、パケットの書き換えを実行します。パケットの新しい送信元MACアドレスは、N9K-1のVLAN 20 SVIに関連付けられた物理MACアドレス(00ee.ab67.db47)で、新しい宛先MACアドレスは、ホスト2(0000.0000.0020)に関連付けられたMACアドレスです。 これの視覚的な例を、次に示します。

    vPC Peer Gateway - vPC-Connected Hosts with Non-Standard Forwarding Behavior Example Failure Scenario N9K-1-to-Host-2

    Host-2 は、このパケットを受信し、Host-1 の ICMP エコー要求パケットに応答して ICMP エコー応答パケットを生成します。ただし、Host-2 が標準の転送動作に従わない場合があります。転送を最適化するために、Host-2 は、Host-1 の IP アドレス(192.168.10.10)のルーティングテーブルまたは ARP キャッシュのルックアップを実行しません。代わりに、Host-2 が最初に受信した ICMP エコー要求パケットの送信元 MAC アドレスと宛先 MAC アドレスのフィールドを反転させます。その結果、Host-2によって生成されるICMPエコー応答パケットの送信元IPアドレスは192.168.20.10、宛先IPアドレスは192.168.10.10、送信元MACアドレスは0000.0000.0020、宛先MACアドレスは00ee.ab67.db47になります。

    このICMPエコー応答パケットがN9K-1に向けて出力される場合、このパケットは問題なくHost-1に転送されます。ただし、次に示すように、この ICMP エコー応答パケットが N9K-2 に向かうシナリオについて考えてみます。

    vPC Peer Gateway - vPC-Connected Hosts with Non-Standard Forwarding Behavior Example Failure Scenario Host-2-to-N9K-1

    N9K-2 は、このパケットを受信します。このパケットはN9K-1のVLAN 20 SVIの物理MACアドレスを宛先としているため、N9K-2はこのパケットをvPCピアリンク経由でN9K-1に転送します。これは、N9K-2がこのパケットをN9K-1の代わりにルーティングできないためです。これの視覚的な例を、次に示します。

    vPC Peer Gateway - vPC-Connected Hosts with Non-Standard Forwarding Behavior Example Failure Scenario N9K-2-to-N9K-1

    N9K-1 は、このパケットを受信します。このパケットは N9K-1 の VLAN 20 SVI の物理 MAC アドレス宛てであるため、N9K-1 は、HSRP コントロールプレーンの状態に関係なくローカル ルーティング テーブルに従ってこのパケットをルーティングすることができます。このパケットはVLAN 20からVLAN 10にルーティングされます。ただし、このルートの出力インターフェイスはvPC Po10に解決され、vPCループ回避ルールに違反しています。N9K-1がvPCピアリンク経由でパケットを受信し、同じvPCインターフェイスがN9K-2でアップ状態の場合、N9K-1はそのパケットをvPCインターフェイスから転送できません。この違反の結果、N9K-1はこのパケットをドロップします。これの視覚的な例を、次に示します。

    vPC Peer Gateway - vPC-Connected Hosts with Non-Standard Forwarding Behavior Example Failure Scenario N9K-1 Dropped

    PC ドメイン設定コマンドの peer-gateway を使用して vPC ピアゲートウェイの機能拡張を有効にすることにより、この問題を解決することができます。これにより、パケットの宛先MACアドレスがN9K-2ではなくN9K-1によって所有されている場合でも、N9K-2はN9K-1に代わってICMPエコー応答パケット(および同様にアドレス指定されたその他のパケット)をルーティングできます。その結果、N9K-2は、vPCピアリンク経由でパケットを転送する代わりに、このパケットをvPC Po10インターフェイスから転送できます。

    ルーティング/レイヤ3 over vPC(レイヤ3ピアルータ)

    ここでは、vPC ドメイン設定コマンドの layer3 peer-router で有効にする vPC を介したルーティング/レイヤ 3 の機能拡張について説明します。

    :vPC上でのマルチキャストルーティングプロトコルの隣接関係(つまり、Protocol Independent Multicast [PIM]隣接関係)の形成は、Routing/Layer 3 over vPC拡張機能が有効になっている場合はサポートされません。

    概要

    一部の環境では、vPC を介してルータを Nexus スイッチのペアに接続し、両方の vPC ピアを使用して vPC を介したユニキャスト ルーティング プロトコル隣接関係を形成する必要があります。あるいは、一部のユーザはvPC VLAN経由で単一のvPCピアにルータを接続し、vPC VLAN経由で両方のvPCピアとユニキャストルーティングプロトコルの隣接関係を形成します。その結果、vPC に接続されたルータは、両方の Nexus スイッチによってアドバタイズされるプレフィックスに関して等コストマルチパス(ECMP)を持ちます。これは、vPC接続ルータと両方のvPCピア間で専用のルーティングリンクを使用して、IPアドレスの使用率を節約したり(4つのIPアドレスの代わりに3つのIPアドレスが必要)、設定の複雑さを軽減したり(特にサブインターフェイスを必要とするVRF-Lite環境で、SVIとともにルーテッドインターフェイスを使用)する場合に推奨されます。

    これまで、vPC を介したユニキャスト ルーティング プロトコル隣接関係の形成は、Cisco Nexus プラットフォームではサポートされていませんでした。ただし、一部のユーザは、サポートされていなくても、問題なくvPC上でユニキャストルーティングプロトコルの隣接関係が形成されるトポロジを実装できます。ネットワークに何らかの変更(vPC 接続ルータまたは vPC ピア自体のソフトウェアのアップグレード、ファイアウォールのフェールオーバーなど)が加えられると、vPC を介したユニキャスト ルーティング プロトコル隣接関係が機能しなくなり、データプレーントラフィックでパケット損失が発生するか、一方または両方の vPC ピアを使用してユニキャスト ルーティング プロトコル隣接関係を稼働させることができなくなります。これらのシナリオが失敗する理由およびサポートされない理由の背後にある技術的な詳細については、このドキュメントの「障害シナリオの例」セクションで説明します。

    vPC を介したルーティング/レイヤ 3 の機能拡張は、vPC を介したユニキャスト ルーティング プロトコル隣接関係の形成のサポートを追加するために導入されました。これは、TTL が 1 のユニキャスト ルーティング プロトコル パケットを、パケットの TTL を減らすことなく vPC ピアリンクを介して転送できるようにすることで実現されます。その結果、ユニキャスト ルーティング プロトコル隣接関係を、vPC または vPC VLAN を介して問題なく形成できます。vPC を介したルーティング/レイヤ 3 の機能拡張は、vPC ドメイン設定コマンドの peer-gateway で vPC ピアゲートウェイの機能拡張を有効にした後に、vPC ドメイン設定コマンドの layer3 peer-router で有効にすることができます。

    各 Cisco Nexus プラットフォーム向けに vPC を介したルーティング/レイヤ 3 の機能拡張のサポートが導入された NX-OS ソフトウェアリリースは、『Supported Topologies for Routing over Virtual Port Channel on Nexus Platforms』内の表 2(「Routing Protocols Adjacencies Support over vPC VLANs」)に示されています。

    警告

    時折発生する VPC-2-L3_VPC_UNEQUAL_WEIGHT Syslog

    Routing/Layer 3 over vPC機能拡張が有効になると、両方のvPCピアが1時間に1回、次のようなsyslogを生成し始めます。

    2021 May 26 19:13:47.079 switch %VPC-2-L3_VPC_UNEQUAL_WEIGHT: Layer3 peer-router is enabled. Please make sure both vPC peers have the same L3 routing configuration.
2021 May 26 19:13:47.351 switch %VPC-2-L3_VPC_UNEQUAL_WEIGHT: Unequal weight routing is not supported in L3 over vPC. Please make sure both vPC peers have equal link cost configuration

    これらの Syslog はどちらも、スイッチの問題を示すものではありません。これらのsyslogは、Routing/Layer 3 over vPC機能拡張が有効な場合、両方のvPCピアがトラフィックを同様にルーティングできるように、両方のvPCピアでルーティング設定、コスト、および重みを同じにする必要があることを管理者に警告するものです。これは、必ずしも、一致しないルーティングの設定、コスト、または重みがいずれかの vPC ピアに存在することを示しているわけではありません。

    これらの Syslog は、ここに示す設定によって無効にすることができます。

    switch# configure terminal
switch(config)# vpc domain 1
switch(config-vpc-domain)# no layer3 peer-router syslog
switch(config-vpc-domain)# end
switch# 

    この設定は、両方のvPCピアでsyslogを無効にするために、両方のvPCピアで実行する必要があります。

    Cisco Bug ID CSCvs82183が原因で、TTLが1のソフトウェア転送されたデータプレーントラフィック およびCisco Bug ID CSCvw16965

    NX-OSソフトウェアリリース9.3(6)より前のNX-OSソフトウェアリリースを実行するクラウドスケールASICを搭載したNexus 9000シリーズスイッチで、Routing/Layer 3 over vPC機能拡張を有効にすると、TTLが1のユニキャストルーティングプロトコルに関連付けられていないデータプレーントラフィックがスーパーバイザにパントされ、ハードウェアではなくソフトウェアで転送されます。Nexusスイッチが、現在のNX-OSソフトウェアリリースのスイッチだけでなく、固定シャーシ(「トップオブラック」とも呼ばれる)スイッチかモジュラシャーシ(「エンドオブロー」とも呼ばれる)スイッチかによって、この問題の根本的な原因はソフトウェア不具合Cisco Bug ID CSCvs82183 またはソフトウェア不具合Cisco Bug ID CSCvw16965 .どちらのソフトウェア不具合も、Cloud Scale ASICを搭載したNexus 9000シリーズスイッチにのみ影響を与えます。他のCisco Nexusハードウェアプラットフォームはいずれの問題の影響も受けません。詳細については、各ソフトウェア不具合の情報を参照してください。

    これらのソフトウェア不具合を回避するために、NX-OS ソフトウェアリリース 9.3(6) 以降にアップグレードすることをお勧めします。また、一般的な推奨事項として、『Recommended Cisco NX-OS Releases for Cisco Nexus 9000 Series Switches』で参照されている Nexus 9000 シリーズ スイッチの現在推奨されている NX-OS ソフトウェアリリースに定期的にアップグレードすることをお勧めします。

    コンフィギュレーション

    ここでは、vPC を介したルーティング/レイヤ 3 の機能拡張を設定する方法の例を示します。

    この例では、N9K-1 と N9K-2 が vPC ドメイン内 vPC ピアです。両方の vPC ピアで vPC ピアゲートウェイの機能拡張がすでに有効になっています。これは、vPC を介したルーティング/レイヤ 3 の機能拡張を有効にするために必要です。両方のvPCピアのVLAN 10にSVIがあり、OSPFプロセス1で有効になっています。N9K-1とN9K-3は、IPアドレスとネイバーIDが192.168.10.3のvPC接続OSPFルータとのOSPF EXSTART/EXCHANGE状態でスタックしています。

    N9K-1# show running-config vpc
<snip>
vpc domain 1
  role priority 150
  peer-keepalive destination 10.122.190.196
  peer-gateway

interface port-channel1
  vpc peer-link

N9K-2# show running-config vpc
<snip>
vpc domain 1
  peer-keepalive destination 10.122.190.195
  peer-gateway

interface port-channel1
  vpc peer-link

N9K-1# show running-config interface Vlan10

interface Vlan10
  no shutdown
  no ip redirects
  ip address 192.168.10.1/24
  no ipv6 redirects
  ip router ospf 1 area 0.0.0.0

N9K-2# show running-config interface Vlan10

interface Vlan10
  no shutdown
  no ip redirects
  ip address 192.168.10.2/24
  no ipv6 redirects
  ip router ospf 1 area 0.0.0.0

N9K-1# show running-config ospf 

feature ospf

router ospf 1

interface Vlan10
  ip router ospf 1 area 0.0.0.0

N9K-2# show running-config ospf 

feature ospf

router ospf 1

interface Vlan10
  ip router ospf 1 area 0.0.0.0

N9K-1# show ip ospf neighbors 
 OSPF Process ID 1 VRF default
 Total number of neighbors: 3
 Neighbor ID     Pri State            Up Time  Address         Interface
 192.168.10.2      1 TWOWAY/DROTHER   00:08:10 192.168.10.2    Vlan10 
 192.168.10.3      1 EXCHANGE/BDR     00:07:43 192.168.10.3    Vlan10 

N9K-2# show ip ospf neighbors 
 OSPF Process ID 1 VRF default
 Total number of neighbors: 3
 Neighbor ID     Pri State            Up Time  Address         Interface
 192.168.10.1      1 TWOWAY/DROTHER   00:08:21 192.168.10.1    Vlan10 
 192.168.10.3      1 EXSTART/BDR      00:07:48 192.168.10.3    Vlan10

    vPC ドメイン設定コマンドの layer3 peer-router を使用して、vPC を介したルーティング/レイヤ 3 の機能拡張を有効にすることができます。これにより、vPCピアゲートウェイ機能拡張が有効になった結果、vPCピアがルーティングされたユニキャストルーティングプロトコルパケットのTTLを減らすことがなくなります。

    N9K-1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
N9K-1(config)# vpc domain 1
N9K-1(config-vpc-domain)# layer3 peer-router
N9K-1(config-vpc-domain)# end
N9K-1# 

N9K-2# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
N9K-2(config)# vpc domain 1
N9K-2(config-vpc-domain)# layer3 peer-router
N9K-2(config-vpc-domain)# end
N9K-2#

    vPC を介したルーティング/レイヤ 3 の機能拡張を有効にした直後に、vPC 接続 OSPF ネイバーとの OSPF 隣接関係が FULL 状態に移行することを検証することにより、vPC を介したルーティング/レイヤ 3 の機能拡張が予期どおりに動作していることを確認できます。

    N9K-1# show ip ospf neighbors 
 OSPF Process ID 1 VRF default
 Total number of neighbors: 3
 Neighbor ID     Pri State            Up Time  Address         Interface
 192.168.10.2      1 TWOWAY/DROTHER   00:12:17 192.168.10.2    Vlan10 
 192.168.10.3      1 FULL/BDR         00:00:29 192.168.10.3    Vlan10

N9K-2# show ip ospf neighbors 
 OSPF Process ID 1 VRF default
 Total number of neighbors: 3
 Neighbor ID     Pri State            Up Time  Address         Interface
 192.168.10.1      1 TWOWAY/DROTHER   00:12:27 192.168.10.1    Vlan10 
 192.168.10.3      1 FULL/BDR         00:00:19 192.168.10.3    Vlan10

    影響

    vPC を介したルーティング/レイヤ 3 の機能拡張を有効にしても、本質的に、vPC ドメインが影響を受けることはありません。つまり、Routing/Layer 3 over vPC拡張機能を有効にしても、vPCピアはvPCを中断しません。また、この拡張機能を有効にしても、データプレーントラフィックは本質的に影響を受けません。

    ただし、vPC上のルーティング/レイヤ3の機能拡張を有効にしていないために以前はダウンしていたダイナミックルーティングプロトコルの隣接関係が、この機能拡張を有効にした結果、突然発生した場合、影響を受けるルーティングプロトコルの隣接関係の役割、これらの隣接関係を通じてアドバタイズされる特定のプレフィックス、およびユニキャストルーティングテーブルの現在の状態によっては、vPC上のルーティング/レイヤ3の機能拡張を有効にしたときに中断がすることがあります。

    このため、シスコでは、影響を受けるルーティングプロトコルの隣接関係がネットワークの動作に大きな影響を与えないことが確実にわかっている場合を除き、コントロールプレーンとデータプレーンの中断が発生する可能性があることを想定して、メンテナンスの時間帯にこの拡張機能を有効にすることを推奨しています。

    また、TTLが1の自然なデータプレーントラフィックをハードウェアではなくソフトウェアで処理する原因となる、NX-OSソフトウェアリリースに影響を与えるソフトウェアの不具合については、このドキュメントの「注意」のセクションを詳しく参照することをお勧めします。

    障害シナリオの例

    vPC ピアゲートウェイのない、vPC を介したユニキャストルーティングプロトコル隣接関係

    次に示すトポロジについて考えてみます。

    Routing over vPC - Unicast Routing Protocol Adjacencies over a vPC without vPC Peer Gateway Topology

    このトポロジでは、Nexus スイッチの N9K-1 と N9K-2 が、vPC ピアゲートウェイの機能拡張が有効になっていない vPC ドメイン内の vPC ピアです。Po1 インターフェイスは vPC ピアリンクです。ルータのホスト名を持つルータが、vPC Po10を介してN9K-1およびN9K-2に接続されています。ホストは、vPC Po20を介してN9K-1およびN9K-2に接続されています。ルータのPo10インターフェイスは、ユニキャストルーティングプロトコルに基づいてアクティブ化される、ルーテッドポートチャネルです。N9K-1 と N9K-2 はどちらも、同じユニキャスト ルーティング プロトコルでアクティブ化される SVI インターフェイスを備えており、Router と同じブロードキャストドメイン内にあります。

    vPCピアゲートウェイ機能拡張を有効にしていないvPCでのユニキャストルーティングプロトコルの隣接関係は、vPC接続ルータのECMPハッシュの決定とレイヤ2ポートチャネルハッシュの決定が異なる場合があるため、サポートされません。このトポロジでは、ルータ、N9K-1、およびN9K-2の間でルーティングプロトコルの隣接関係が正常に形成されます。ルータとホストの間のトラフィックフローを考慮します。ホストを宛先としてルータを通過するデータプレーントラフィックは、N9K-1のSVI MACアドレスに属する宛先MACアドレス(ルータによるECMPハッシングの決定による)で書き換えられますが、インターフェイスEthernet1/2からは出力されます(ルータによるレイヤ2ポートチャネルハッシングの決定による)。

    宛先MACアドレスがN9K-1に属し、vPCピアゲートウェイ機能拡張(N9K-1に代わってN9K-2がパケットをルーティングできるようにする)が有効になっていないため、N9K-2はこのパケットを受信し、vPCピアリンク経由で転送します。N9K-1はこのパケットをvPCピアリンクで受信し、vPC Po20のEthernet1/2からパケットを転送する必要があることを認識します。これはvPCループ回避ルールに違反するため、N9K-1はハードウェアでパケットをドロップします。その結果、このトポロジのvPCドメインを通過する一部のフローで接続の問題やパケット損失が発生する可能性があります。

    vPC ドメイン設定コマンドの peer-gateway を使用して vPC ピアゲートウェイの機能拡張を有効にしてから、vPC ドメイン設定コマンドの layer3 peer-router を使用して vPC を介したルーティング/レイヤ 3 の機能拡張を有効にすることにより、この問題を解決することができます。中断を最小限に抑えるには、「vPCピアゲートウェイが設定されたvPCでのユニキャストルーティングプロトコルの隣接関係」で説明されている障害シナリオが発生する時間がないように、両方のvPC拡張機能を迅速に連続して有効にする必要があります。

    vPC ピアゲートウェイのある、vPC を介したユニキャスト ルーティング プロトコル隣接関係

    次に示すトポロジについて考えてみます。

    Routing over vPC - Unicast Routing Protocol Adjacencies over a vPC with vPC Peer Gateway Topology

    このトポロジでは、Nexus スイッチの N9K-1 と N9K-2 が、vPC ピアゲートウェイの機能拡張が有効になっている vPC ドメイン内の vPC ピアです。Po1 インターフェイスは vPC ピアリンクです。ルータのホスト名を持つルータが、vPC Po10を介してN9K-1およびN9K-2に接続されています。ルータのPo10インターフェイスは、ユニキャストルーティングプロトコルに基づいてアクティブ化される、ルーテッドポートチャネルです。N9K-1 と N9K-2 はどちらも、同じユニキャスト ルーティング プロトコルでアクティブ化される SVI インターフェイスを備えており、Router と同じブロードキャストドメイン内にあります。

    vPCピアゲートウェイ機能拡張が有効になっているvPC上のユニキャストルーティングプロトコルの隣接関係はサポートされません。これは、vPCピアゲートウェイ機能拡張により、vPC接続ルータと両方のvPCピアの間でユニキャストルーティングプロトコルの隣接関係が形成できなくなるためです。このトポロジでは、ルータによってvPC Po10を介してN9K-1またはN9K-2ハッシュのいずれかに発信されるユニキャストルーティングプロトコルパケットによっては、ルータとN9K-1またはN9K-2の間のルーティングプロトコル隣接関係が正常に確立されない場合があります。

    リンクローカル マルチキャスト ルーティング プロトコル パケット(一般に「Hello」パケットと呼ばれます)は vPC VLAN に正常にフラッディングされるため、すべてのルータが、これらのパケットを問題なく送受信できます。ただし、送信元がルータで宛先がN9K-1のユニキャストルーティングプロトコルパケットが、ルータのレイヤ2ポートチャネルハッシュ決定によりEthernet1/2からN9K-2に向けて出力されるシナリオを考えてみます。このパケットはN9K-1のSVI MACアドレス宛てですが、N9K-2のEthernet1/1インターフェイスに入ります。N9K-2は、パケットがN9K-1のSVI MACアドレス宛てであることを確認します。これは、vPCピアゲートウェイ機能拡張が有効になっているため、N9K-2のMACアドレステーブルに「G」フラグ(つまり「ゲートウェイ」)でインストールされています。その結果、N9K-2はN9K-1の代わりにユニキャストルーティングプロトコルパケットをローカルでルーティングしようとします。

    ただし、パケットをルーティングすると、パケットの存続可能時間(TTL)が減少し、ほとんどのユニキャストルーティングプロトコルパケットのTTLは1になります。その結果、パケットのTTLは0まで減少し、N9K-2によって廃棄されます。N9K-1の観点からは、N9K-1はルータからリンクローカルマルチキャストルーティングプロトコルパケットを受信しており、ルータにユニキャストルーティングプロトコルパケットを送信できますが、ルータからユニキャストルーティングプロトコルパケットを受信していません。その結果、N9K-1はルータとのルーティングプロトコルの隣接関係を切断し、ルーティングプロトコル用のローカル有限状態マシン(FSM)を再起動します。同様に、ルータはルーティングプロトコルに対してローカル有限状態マシンを再起動します。

    PC ドメイン設定コマンドの layer 3 peer-router を使用して vPC を介したルーティング/レイヤ 3 の機能拡張を有効にすることにより、この問題を解決することができます。これにより、TTL が 1 のユニキャスト ルーティング プロトコル パケットを、パケットの TTL を減らすことなく vPC ピアリンクを介して転送できるようになります。その結果、ユニキャスト ルーティング プロトコル隣接関係を、vPC または vPC VLAN を介して問題なく形成できます。

    vPC ピアゲートウェイのない、vPC VLAN を介したユニキャスト ルーティングプロトコル隣接関係

    次に示すトポロジについて考えてみます。

    Routing over vPC - Unicast Routing Protocol Adjacencies over a vPC VLAN without vPC Peer Gateway Topology

    このトポロジでは、Nexus スイッチの N9K-1 と N9K-2 が、vPC ピアゲートウェイの機能拡張が有効になっていない vPC ドメイン内の vPC ピアです。Po1 インターフェイスは vPC ピアリンクです。ルータのホスト名がRouterであるルータが、Ethernet1/1を介してN9K-1のEthernet1/1に接続されています。ルータのEthernet1/1インターフェイスは、ユニキャストルーティングプロトコルの下でアクティブになるルーテッドインターフェイスです。N9K-1 と N9K-2 はどちらも、同じユニキャスト ルーティング プロトコルでアクティブ化される SVI インターフェイスを備えており、Router と同じブロードキャストドメイン内にあります。

    vPC VLAN接続ルータのECMPハッシュ決定によって、N9K-2はvPCループ回避ルールに違反するデータプレーントラフィックをドロップする可能性があるため、vPCピアゲートウェイ機能拡張を有効にしていないvPC VLAN上のユニキャストルーティングプロトコル隣接関係はサポートされません。このトポロジでは、ルータ、N9K-1、およびN9K-2の間でルーティングプロトコルの隣接関係が正常に形成されます。ルータとホストの間のトラフィックフローを考慮します。ホストを宛先としてルータを通過するデータプレーントラフィックは、N9K-2のSVI MACアドレスに属する宛先MACアドレス(ルータによってECMPハッシュが決定されるため)と、インターフェイスEthernet1/1からN9K-1への出力で書き換えられる可能性があります。

    宛先MACアドレスがN9K-2に属し、vPCピアゲートウェイ機能拡張(N9K-2に代わってN9K-1がパケットをルーティングできるようにする)が有効になっていないため、N9K-1はこのパケットを受信し、vPCピアリンク経由で転送します。N9K-2はこのパケットをvPCピアリンクで受信し、vPC Po20のEthernet1/2からパケットを転送する必要があることを認識します。これはvPCループ回避ルールに違反するため、N9K-2はハードウェアでパケットをドロップします。その結果、このトポロジのvPCドメインを通過する一部のフローで接続の問題やパケット損失が発生する可能性があります。

    vPC ドメイン設定コマンドの peer-gateway を使用して vPC ピアゲートウェイの機能拡張を有効にしてから、vPC ドメイン設定コマンドの layer3 peer-router を使用して vPC を介したルーティング/レイヤ 3 の機能拡張を有効にすることにより、この問題を解決することができます。中断を最小限に抑えるには、「vPCピアゲートウェイが設定されたvPCでのユニキャストルーティングプロトコルの隣接関係」で説明されている障害シナリオが発生する時間がないように、両方のvPC拡張機能を迅速に連続して有効にする必要があります。

    vPC ピアゲートウェイのある、vPC VLAN を介したユニキャスト ルーティングプロトコル隣接関係

    次に示すトポロジについて考えてみます。

    Routing over vPC - Unicast Routing Protocol Adjacencies over a vPC VLAN with vPC Peer Gateway Topology

    このトポロジでは、Nexus スイッチの N9K-1 と N9K-2 が、vPC ピアゲートウェイの機能拡張が有効になっている vPC ドメイン内の vPC ピアです。Po1 インターフェイスは vPC ピアリンクです。ルータのホスト名がRouterであるルータが、Ethernet1/1を介してN9K-1のEthernet1/1に接続されています。ルータのEthernet1/1インターフェイスは、ユニキャストルーティングプロトコルの下でアクティブになるルーテッドインターフェイスです。N9K-1 と N9K-2 はどちらも、同じユニキャスト ルーティング プロトコルでアクティブ化される SVI インターフェイスを備えており、Router と同じブロードキャストドメイン内にあります。

    vPCピアゲートウェイ機能拡張が有効なvPC VLAN上のユニキャストルーティングプロトコルの隣接関係は、vPC VLANに接続されたルータと、vPC VLANに接続されたルータが直接接続されていないvPCピアとの間でユニキャストルーティングプロトコルの隣接関係が形成されるのを防ぐため、サポートされません。このトポロジでは、vPCピアゲートウェイ機能拡張が有効になっているため、N9K-2のSVI MACアドレス宛てのN9K-1ルーティングユニキャストルーティングプロトコルパケットが原因で、ルータとN9K-2の間のルーティングプロトコル隣接関係が想定どおりに確立されません。パケットはルーティングされているため、存続可能時間(TTL)を減らす必要があります。ユニキャストルーティングプロトコルのパケットのTTLは通常1であり、パケットのTTLを0に減らすルータはそのパケットを廃棄する必要があります。

    リンクローカル マルチキャスト ルーティング プロトコル パケット(一般に「Hello」パケットと呼ばれます)は vPC VLAN に正常にフラッディングされるため、すべてのルータが、これらのパケットを問題なく送受信できます。ただし、送信元がルータで宛先がN9K-2のユニキャストルーティングプロトコルパケットがEthernet1/1からN9K-1に送信されるシナリオを考えてみます。このパケットはN9K-2のSVI MACアドレス宛てですが、N9K-1のEthernet1/1インターフェイスに入ります。N9K-1は、パケットがN9K-2のSVI MACアドレス宛てであることを認識します。これは、vPCピアゲートウェイ機能拡張が有効になっているため、N9K-1のMACアドレステーブルに「G」フラグまたは「ゲートウェイ」フラグとともにインストールされています。その結果、N9K-1はN9K-2の代わりにユニキャストルーティングプロトコルパケットをローカルでルーティングしようとします。

    ただし、パケットをルーティングすると、パケットのTTLが減分され、ほとんどのユニキャストルーティングプロトコルパケットのTTLは1になります。その結果、パケットのTTLは0に減少し、N9K-1によって廃棄されます。N9K-2の観点からは、N9K-2はルータからリンクローカルマルチキャストルーティングプロトコルパケットを受信しており、ルータにユニキャストルーティングプロトコルパケットを送信できますが、ルータからユニキャストルーティングプロトコルパケットを受信していません。その結果、N9K-2はルータとのルーティングプロトコルの隣接関係を切断し、ルーティングプロトコル用のローカル有限状態マシン(FSM)を再起動します。同様に、ルータはルーティングプロトコルに対してローカル有限状態マシンを再起動します。

    PC ドメイン設定コマンドの layer 3 peer-router を使用して vPC を介したルーティング/レイヤ 3 の機能拡張を有効にすることにより、この問題を解決することができます。これにより、TTL が 1 のユニキャスト ルーティング プロトコル パケットを、パケットの TTL を減らすことなく vPC ピアリンクを介して転送できるようになります。その結果、ユニキャスト ルーティング プロトコル隣接関係を、vPC または vPC VLAN を介して問題なく形成できます。

    vPC ピアゲートウェイのある、バックツーバック vPC を介したユニキャスト ルーティング プロトコル隣接関係

    次に示すトポロジについて考えてみます。

    Routing over vPC - Unicast Routing Protocol Adjacencies over Back-to-Back vPC with vPC Peer Gateway Topology

    このトポロジでは、Nexus スイッチの N9K-1 と N9K-2 が、vPC ピアゲートウェイの機能拡張が有効になっている vPC ドメイン内の vPC ピアです。Nexus スイッチの N9K-3 と N9K-4 が、vPC ピアゲートウェイの機能拡張が有効になっている vPC ドメイン内の vPC ピアです。両方のvPCドメインは、バックツーバックvPC Po10を介して相互に接続されます。4つのスイッチはすべて、ユニキャストルーティングプロトコルに基づいてアクティブ化されたSVIインターフェイスを持ち、同じブロードキャストドメイン内にあります。

    vPC ピアゲートウェイの機能拡張が有効になっている場合、バックツーバック vPC を介したユニキャスト ルーティング プロトコル隣接関係は、vPC ピアゲートウェイの機能拡張のために vPC ドメイン間でユニキャスト ルーティング プロトコル隣接関係が形成されない可能性があるため、サポートされません。このトポロジでは、N9K-1とN9K-3またはN9K-4(あるいはその両方)の間のルーティングプロトコルの隣接関係が、期待どおりに確立されない可能性があります。同様に、N9K-2 と N9K-3 または N9K-4 のいずれか(または両方)の間のルーティングプロトコル隣接関係が予期どおりに稼働しない場合があります。これは、ユニキャストルーティングプロトコルパケットは、発信元ルータのレイヤ2ポートチャネルハッシュ決定に基づいて、1つのルータ(N9K-3など)に宛てられても、別のルータ(N9K-4など)に転送される可能性があるためです。

    この問題の根本原因は、このドキュメントの「vPC ピアゲートウェイのある、vPC を介したユニキャスト ルーティング プロトコル隣接関係」で説明されている根本原因と同じです。PC ドメイン設定コマンドの layer 3 peer-router を使用して vPC を介したルーティング/レイヤ 3 の機能拡張を有効にすることにより、この問題を解決することができます。これにより、TTL が 1 のユニキャスト ルーティング プロトコル パケットを、パケットの TTL を減らすことなく vPC ピアリンクを介して転送できるようになります。その結果、ユニキャスト ルーティング プロトコル隣接関係は、バックツーバック vPC を介して問題なく形成できます。

    プレフィックスが OSPF LSDB に存在するがルーティングテーブルには存在しない、vPC ピアゲートウェイのある vPC を介した OSPF 隣接関係

    次に示すトポロジについて考えてみます。

    Routing over vPC - OSPF Adjacencies over vPC with vPC Peer Gateway LSDB Issue Topology

    このトポロジでは、Nexus スイッチの N9K-1 と N9K-2 が、vPC ピアゲートウェイの機能拡張が有効になっている vPC ドメイン内の vPC ピアです。Nexus スイッチの N9K-3 と N9K-4 が、vPC ピアゲートウェイの機能拡張が有効になっている vPC ドメイン内の vPC ピアです。両方のvPCドメインは、バックツーバックvPC Po10を介して相互に接続されます。4つのスイッチはすべて、ユニキャストルーティングプロトコルに基づいてアクティブ化されたSVIインターフェイスを持ち、同じブロードキャストドメイン内にあります。N9K-4 はブロードキャストドメインの OSPF 代表ルータ(DR)であり、N9K-3 はブロードキャストドメインの OSPF バックアップ代表ルータ(BDR)です。

    このシナリオでは、N9K-1 と N9K-3 の間の OSPF 隣接関係が、両方のスイッチの Ethernet1/1 から出るユニキャスト OSPF パケットのために FULL 状態に移行します。同様に、N9K-2 と N9K-3 の間の OSPF 隣接関係が、両方のスイッチの Ethernet1/2 から出るユニキャスト OSPF パケットのために FULL 状態に移行します。

    ただし、このドキュメントの「vPC ピアゲートウェイのある、バックツーバック vPC を介したユニキャスト ルーティング プロトコル隣接関係」で説明されているように、ユニキャスト OSPF パケットが両方のスイッチの Ethernet1/1 から出て、N9K-2 と N9K-4 によってドロップされるため、N9K-1 と N9K-4 の間の OSPF 隣接関係は EXSTART または EXCHANGE 状態でスタックします。同様に、このドキュメントの「vPC ピアゲートウェイのある、バックツーバック vPC を介したユニキャスト ルーティング プロトコル隣接関係」で説明されているように、ユニキャスト OSPF パケットが両方のスイッチの Ethernet1/2 から出て、N9K-1 と N9K-3 によってドロップされるため、N9K-2 と N9K-4 の間の OSPF 隣接関係は EXSTART または EXCHANGE 状態でスタックします。

    その結果、N9K-1 および N9K-2 は、ブロードキャストドメインの BDR との FULL 状態になりますが、ブロードキャストドメインの DR との EXSTART または EXCHANGE 状態になります。ブロードキャストドメインの DR と BDR はどちらも、OSPF リンクステートデータベース(LSDB)の完全なコピーを保持しますが、DR または BDR のいずれかから OSPF を介して学習したプレフィックスをインストールするには、OSPF DROTHER ルータがブロードキャストドメインの DR との FULL 状態である必要があります。その結果、N9K-1とN9K-2の両方とも、N9K-3とN9K-4から学習されたプレフィックスがOSPF LSDBに存在するようですが、これらのプレフィックスは、N9K-1とN9K-2がN9K-4(ブロードキャストドメインのDR)によってFULL状態に移行するまで、ユニキャストルーティングテーブルにインストールされません。

    PC ドメイン設定コマンドの layer 3 peer-router を使用して vPC を介したルーティング/レイヤ 3 の機能拡張を有効にすることにより、この問題を解決することができます。これにより、TTL が 1 のユニキャスト ルーティング プロトコル パケットを、パケットの TTL を減らすことなく vPC ピアリンクを介して転送できるようになります。その結果、ユニキャスト ルーティング プロトコル隣接関係は、バックツーバック vPC を介して問題なく形成できます。その結果、N9K-1とN9K-2はN9K-4(ブロードキャストドメインのDR)によってFULL状態に遷移し、OSPFを介してN9K-3とN9K-4から学習したプレフィックスをそれぞれのユニキャストルーティングテーブルに正常にインストールします。

    関連情報

    更新履歴

    改定 発行日 コメント
    5.0
    05-Dec-2024
    固定ヘッダーとリンク、機械翻訳とSEO最適化
    4.0
    12-Dec-2022
    再認定
    3.0
    29-Oct-2021
    vPCピアゲートウェイの障害シナリオにおける誤入力を修正。
    2.0
    15-Sep-2021
    「peer-gateway exclude-vlan」vPCドメイン設定コマンドがNexus 9000シリーズスイッチでサポートされないことに関する注意を追加してください。
    1.0
    30-Jul-2021
    初版
    TAC Authored

    シスコ エンジニア提供

    • メルラノス
      シスコのエンジニアリング
    • クリストファー・ハート
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています