Nexus 7000のLISP IGPアシスト拡張サブネットモードの設定と検証
内容
概要
このドキュメントでは、Nexus 7000を使用してLISP IGP Assist拡張サブネットモード(ESM)を導入する方法について説明します
トポロジ
トポロジの詳細
- DC1とDC2は、OTVによって拡張される2つの場所です
- Vlan 144、145、および244は、すべてのアグリゲーションスイッチ、アクセスレイヤおよびOTVスイッチで設定されます
- これらのVlanのSVIは、集約スイッチで設定されます。SVI 144および244はVRFテナント1にあります。SVI 145はVRFテナント2にあります。
- LISP IGP Assistの導入時には、SVIがVRFに存在する必要はありません。この例では、必要な設定変更を示すために複数のVRFを使用しています(関連する各VRFコンテキストで)。すべてのSVIは同じVRF内に存在し、LISP IGPアシストを使用できます
- HSRPはVlan144、145、および244で設定されます。このトポロジではFHRP分離が設定されています。これは、合計4台のスイッチでHSRPが実行され、両側にアクティブ/スタンバイペアがあることを意味します。FHRP分離は、HSRP Helloメッセージをフィルタリングすることによって実現されます。
- DC1-agg1とDC2-Agg2はvPCペアです。DC2-Agg1とDC2-Agg2も同様です。
- LISP設定は、SVI 144、145、および244で適用されます
- EIGRPネイバーシップは、集約からVRFごとにコアスイッチに確立されます。各VRFの集約スイッチからコアスイッチまでサブインターフェイスが実行され、これらのサブインターフェイス上でEIGRPネイバーシップが形成されます。
- リモートルータ(ブランチ)も同じIGPドメインに属しています。
- LISP IGP Assistを使用すると、LISP Encap/Decapがないため、LISPルートをIGP(ここではEIGRP)に再配布する必要があります。 このドキュメントで説明する導入モデルでは、ブランチルータにはLISP設定はありません。
使用するコンポーネント
- 集約、コアスイッチは、8.2(4) NXOSバージョンを実行するSUP2E、F3/M3を搭載したNexus 7000です
- ブランチルータはASR1ks
- これらのNexus 7000スイッチの別のVDCでOTVが設定されている。OTVとLISPは異なるVDC上にある必要があります。VDCの共有はオプションではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
AGGスイッチでの必要な設定
DC1-Agg1およびDC1-Agg2でのLISP固有の設定
Common Configuration on both DC1-Agg1 and DC1-Agg2
feature lisp
vrf context tenant-1 # This example is based on SVI 144 in VRF- tenant-1 and SVI 145 in VRF- tenant-2
ip lisp etr # This is needed to initialize LISP and only etr is needed on a IGP assist mode Environment
lisp instance-id 2 # Instance-ID should be unique per VRF
ip lisp locator-vrf default # Locator Is specified in Default VRF
lisp dynamic-eid VLAN144 # Dynamic EID definition for Vlan 144
database-mapping 172.16.144.0/24 10.10.10.1 priority 50 weight 50 # Database-mapping for 172.16.144.0/24 which is the Vlan 144; IP-> 10.10.10.1 is the Loopback100 IP address(which is the unique IP on DC1-AGG1)
database-mapping 172.16.144.0/24 10.10.10.2 priority 50 weight 50 # Database-mapping for 172.16.144.0/24 which is the Vlan 144; IP-> 10.10.10.2 is the Loopback100 IP address(which is the unique IP on DC1-AGG2)
map-notify-group 239.254.254.254 # Multicast group that will be used by LISP enabled switches to communicate about new EID learns or periodic EID notification messages
no route-export away-dyn-eid # This is a hidden command required to stop advertising any null0 /32 route for a remote host to the IGP
lisp dynamic-eid VLAN244 # Dynamic EID definition for Vlan 244
database-mapping 172.16.244.0/24 10.10.10.1 priority 50 weight 50
database-mapping 172.16.244.0/24 10.10.10.2 priority 50 weight 50
map-notify-group 239.254.254.254
no route-export away-dyn-eid
vrf context tenant-2
ip lisp etr
lisp instance-id 3
ip lisp locator-vrf default
lisp dynamic-eid VLAN145
database-mapping 172.16.145.0/24 10.10.10.1 priority 50 weight 50
database-mapping 172.16.145.0/24 10.10.10.2 priority 50 weight 50
map-notify-group 239.254.254.254
no route-export away-dyn-eid
Configuration on DC1-Agg1
interface Vlan144
no shutdown
vrf member tenant-1
lisp mobility VLAN144
lisp extended-subnet-mode # SVI needs to be in ESM Mode-Extended subnet mode
ip address 172.16.144.250/24
ip pim sparse-mode
hsrp 144
preempt
priority 254
ip 172.16.144.254
interface Vlan145
no shutdown
vrf member tenant-2
lisp mobility VLAN145
lisp extended-subnet-mode
ip address 172.16.145.250/24
ip pim sparse-mode
hsrp 145
preempt
priority 254
ip 172.16.145.254
interface Vlan244
no shutdown
vrf member tenant-1
lisp mobility VLAN244
lisp extended-subnet-mode
ip address 172.16.244.250/24
hsrp 244
preempt
priority 254
ip 172.16.244.254
interface loopback100
ip address 10.10.10.1/32
ip router eigrp 100
ip pim sparse-mode
Configuration on DC1-Agg2
interface Vlan144
no shutdown
vrf member tenant-1
lisp mobility VLAN144
lisp extended-subnet-mode
ip address 172.16.144.251/24
ip pim sparse-mode
hsrp 144
ip 172.16.144.254
interface Vlan145
no shutdown
vrf member tenant-2
lisp mobility VLAN145
lisp extended-subnet-mode
ip address 172.16.145.251/24
ip pim sparse-mode
hsrp 145
ip 172.16.145.254
interface Vlan244
no shutdown
vrf member tenant-1
lisp mobility VLAN244
lisp extended-subnet-mode
no ip redirects
ip address 172.16.244.251/24
hsrp 244
ip 172.16.244.254
interface loopback100
ip address 10.10.10.2/32
ip router eigrp 100
ip pim sparse-mode
#データベースマッピングは、一方の側でDC1-Agg1とDC1-Agg2の両方のループバックIPアドレスを指定する必要があるように提供する必要があります。DC2-Agg1およびDC2-Agg2内では、一意のループバックを作成し、データベースマッピング内に同じループバックを配置する必要があります。
# IGPアシストモードでは、configuration-> "ip lisp itr-etr"を使用すると、非LISP対応Vlanには/32 null0ホストルートを挿入します。したがって、IGPアシストモードの正しい設定は「ip lisp etr」です。
DC2-Agg1およびDC2-Agg2でのLISP固有の設定
Common Configuration on both DC2-Agg1 and DC2-Agg2
feature lisp
vrf context tenant-1
ip lisp etr
lisp instance-id 2
ip lisp locator-vrf default
lisp dynamic-eid VLAN144
database-mapping 172.16.144.0/24 10.10.20.1 priority 50 weight 50 # Note that the IP addresses used in DC2 Agg switches are 10.10.20.1 and 10.10.20.2(Which are Loopbacks Configured on DC2-Agg switches)
database-mapping 172.16.144.0/24 10.10.20.2 priority 50 weight 50
map-notify-group 239.254.254.254
no route-export away-dyn-eid
lisp dynamic-eid VLAN244
database-mapping 172.16.244.0/24 10.10.20.1 priority 50 weight 50
database-mapping 172.16.244.0/24 10.10.20.2 priority 50 weight 50
map-notify-group 239.254.254.254
no route-export away-dyn-eid
vrf context tenant-2
ip lisp etr
lisp instance-id 3
ip lisp locator-vrf default
lisp dynamic-eid VLAN145
database-mapping 172.16.145.0/24 10.10.20.1 priority 50 weight 50
database-mapping 172.16.145.0/24 10.10.20.2 priority 50 weight 50
map-notify-group 239.254.254.254
no route-export away-dyn-eid
Configuration on DC2-Agg1
interface Vlan144
no shutdown
vrf member tenant-1
lisp mobility VLAN144
lisp extended-subnet-mode
ip address 172.16.144.252/24
ip pim sparse-mode
hsrp 144
preempt
priority 254
ip 172.16.144.254
interface Vlan145
no shutdown
vrf member tenant-2
lisp mobility VLAN145
lisp extended-subnet-mode
ip address 172.16.145.252/24
ip pim sparse-mode
hsrp 145
preempt
priority 254
ip 172.16.145.254
interface Vlan244
no shutdown
vrf member tenant-1
lisp mobility VLAN244
lisp extended-subnet-mode
ip redirects
ip address 172.16.244.252/24
hsrp 244
preempt
priority 254
ip 172.16.244.254
interface loopback100
ip address 10.10.20.1/32
ip router eigrp 100
ip pim sparse-mode
Configuration on DC2-Agg2
interface Vlan144
no shutdown
vrf member tenant-1
lisp mobility VLAN144
lisp extended-subnet-mode
ip address 172.16.144.253/24
ip pim sparse-mode
hsrp 144
ip 172.16.144.254
interface Vlan145
no shutdown
vrf member tenant-2
lisp mobility VLAN145
lisp extended-subnet-mode
ip address 172.16.145.253/24
ip pim sparse-mode
hsrp 145
ip 172.16.145.254
interface Vlan244
no shutdown
vrf member tenant-1
lisp mobility VLAN244
lisp extended-subnet-mode
no ip redirects
ip address 172.16.244.253/24
hsrp 244
preempt
ip 172.16.244.254
interface loopback100
ip address 10.10.20.2/32
ip router eigrp 100
ip pim sparse-mode
# DC1とDC2集約LISPの設定の違いは、「データベースマッピング」で定義されたループバックです。 DC1の設定では、これはDC1-Agg1とDC1-Agg2のループバックで定義され、DC2の場合、データベースマッピングはDC2-Agg1とDC2-Agg2にあるループバックで定義されます
#次に示す残りのIGP/ルートマップ/プレフィックスリストの設定は類似しています(インターフェイスに割り当てられたIPアドレスは実際には異なります)
IGP固有
router eigrp 100
address-family ipv4 unicast
vrf tenant-1
distance 90 245 # External EIGRP Routes have to have an AD which is higher than the default LISP AD(which is 240); Reason being, if the redistributed route from dc1-agg1 comes back to dc1-agg2 via eigrp, default EIGRP External is 170 which will override LISP route causing problems
redistribute lisp route-map lisp-to-eigrp # This command is to redistribute LISP /32 routes only to the IGP(EIGRP In this example)
redistribute direct route-map direct # This is needed so that the direct routes(/24 SVI routes in LISP) are redistributed to the IGP; This will be needed if there is some device that is trying to communicate to a silent host in the LISP enabled Vlan
vrf tenant-2
distance 90 245
redistribute lisp route-map lisp-to-eigrp
redistribute direct route-map direct
# LISP対応AGG VDCもコア側へのIGPネイバーシップを形成
#この例では、次に示すように、各テナントVRFの一部であるサブインターフェイスを使用して、コアへのネイバーシップを形成しました。
interface Ethernet3/6.111 encapsulation dot1q 111 vrf member tenant-1 ip address 192.168.98.1/30 ip router eigrp 100 no shutdown interface Ethernet3/6.212 encapsulation dot1q 212 vrf member tenant-2 ip address 192.168.198.1/30 ip router eigrp 100 no shutdown
ルートマップ/プレフィックスリスト
ip prefix-list lisp-to-eigrp seq 5 permit 0.0.0.0/0 ge 32 # This is the prefix list that is matching any /32 routes which are to be redistributed from LISP To IGP route-map direct permit 10 # This is for the Direct routes route-map lisp-to-eigrp deny 10 # This is to prevent any null0 routes from being redistributed to IGP from LISP match interface Null0 route-map lisp-to-eigrp permit 20 # This is to allow redistribution of /32 host routes match ip address prefix-list lisp-to-eigrp
#上記のすべての構成は、すべてのアグリゲーションスイッチ(DC1およびDC2)で必要です。 SVI、ループバック、HSRP VIPは、すべてのSVIで同じIPアドレスを提供することに注意してください
OTV VDCの設定
HSRPフィルタリング
# IGPアシスト導入の場合、OTVまたはその他のメカニズムによって拡張された場合は、FHRP分離を実施する必要があります。
#これは、OTV VDC内でFHRP Helloメッセージをフィルタリングすることによって行われます
#この例では、N7k OTVが使用されているため、OTV VDCのFHRPパケットをフィルタリングするために次の設定が適用されています。
ip access-list ALL_IPs
10 permit ip any any
mac access-list ALL_MACs
10 permit any any
ip access-list HSRP_IP
10 permit udp any 224.0.0.2/32 eq 1985
20 permit udp any 224.0.0.102/32 eq 1985
mac access-list HSRP_VMAC
10 permit 0000.0c07.ac00 0000.0000.00ff any
20 permit 0000.0c9f.f000 0000.0000.0fff any
arp access-list HSRP_VMAC_ARP
10 deny ip any mac 0000.0c07.ac00 ffff.ffff.ff00
20 deny ip any mac 0000.0c9f.f000 ffff.ffff.f000
30 permit ip any mac any
vlan access-map HSRP_Localization 10
match mac address HSRP_VMAC
match ip address HSRP_IP
action drop
vlan access-map HSRP_Localization 20
match mac address ALL_MACs
match ip address ALL_IPs
action forward
vlan filter HSRP_Localization vlan-list 144-145
ip arp inspection filter HSRP_VMAC_ARP vlan 144-145
mac-list OTV_HSRP_VMAC_deny seq 10 deny 0000.0c07.ac00 ffff.ffff.ff00
mac-list OTV_HSRP_VMAC_deny seq 11 deny 0000.0c9f.f000 ffff.ffff.f000
mac-list OTV_HSRP_VMAC_deny seq 20 permit 0000.0000.0000 0000.0000.0000
route-map OTV_HSRP_filter permit 10
match mac-list OTV_HSRP_VMAC_deny
otv-isis default
vpn Overlay0
redistribute filter route-map OTV_HSRP_filter
# FHRPフィルタリング設定はOTV VDCでのみ必要です。ASR OTVの導入を使用する場合は、フィルタリングメカニズムを関連として使用し、ASRコンフィギュレーションガイドに従って文書化する必要があります。
OTV Suppress ARP
# OTV VDCのARP NDキャッシュ機能を無効にする
interface Overlay0 no otv suppress-arp-nd >>>>>
LISP設定によるルートの作成
DC1-AGG1# show ip route lisp vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.0/25, ubest/mbest: 1/0
*via Null0, [240/1], 07:22:30, lisp, dyn-eid
172.16.144.128/25, ubest/mbest: 1/0
*via Null0, [240/1], 07:22:30, lisp, dyn-eid
# SVI 144でLISPが有効になっていると、2つのNull0ルートが自動的に作成されます。SVI 144は/24サブネットであるため、1番目のnull0ルートは172.16.144.0/25から、2番目のルートは172.16.144.128/25になります(上記を参照)。
#これは予期された設計です。これは、未検出のホストから送信されたパケットがRPF例外をトリガーし、その結果パケットがCPUにパントされ、最終的にホスト検出(EID)で役立つことを確認するために実行されます
LISP対応SVI内でホストがオンラインになった場合のイベントのシーケンス
# LISP対応インターフェイスでのホスト検出は、データベースマッピング設定で指定された範囲内のIPアドレスからのL3トラフィックの受信に基づいています。
ホストの検出を容易にするため、インターフェイスでLISPが有効になっている場合は、次の点に注意してください。
# RPF例外がインターフェイスで有効になっているため、不明な送信元によって生成されたパケットによって例外がトリガーされます
# LISPソースNull0ルートがインストールされ、不明なソースがRPF例外をトリガーすることを確認します
このソリューションは、2つのデータセンター間のL2拡張にOTVを使用するため、ARPシグナリングを直接使用してIPホストを検出することはできません。これは、多くの場合、すべてのスイッチにブロードキャストされるためです。
ただし、ARP信号は、検出されていないホストが存在する可能性があることをLISPに示すために使用されます。ホストはOTVブリッジの任意の側に配置できるため、LISPは新しいIP-MACバインディングを学習した後でローカリゼーションメカニズムを開始します。
ローカライズメカニズムは次のように動作します。
#スイッチは新しいIP-MACバインディングを学習します(GARP、RARP、またはARP要求を使用)。
#アクティブHSRPとして動作するスイッチは、ホストにエコー要求を送信しますが、HSRP VIPアドレスが送信元です
#ホストはエコー要求に応答しますが、OTVでFHRPを分離した後、エコー応答はホストが存在するDCサイトでのみ受信されます
#エコー応答はL3パケットであるため、ホストはLISPによって検出されます。
# LISP対応のSVIでIPパケットが受信されると、エンドポイントがローカルであることを通知するLISPプロセスがIPパケット自体によってフィードされます。ホストがローカルであるかどうかを確認するために送信されるICMP ECHO要求はありません。したがって、DC2ホストからDC1-AGG SVI IPアドレスへのpingは、エンドポイントの識別が破損し、DC2ではなくDC1のローカルEIDとしてホストが識別されるため、pingはLISPのSVI IPアドレスから発信されませんこのような環境では、ルーティングテーブルが破損し、トラフィックがブラックホール化する可能性があります。LISP対応Vlan内のホストがSVI IPアドレスにpingを試みても、同じ問題が発生します。VIPにpingを実行しても問題はありません。これは、同じことが存在し、サイドとサイトのローカルの両方でアクティブであるためです。
ホストがDC1でオンラインになっている場合のルーティングテーブルエントリの例を次に示します。
DC1-AGG1# show ip route 172.16.144.1 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.1/32, ubest/mbest: 1/0, attached
*via 172.16.144.1, Vlan144, [240/1], 3d05h, lisp, dyn-eid
via 172.16.144.1, Vlan144, [250/0], 3d05h, am
DC1-AGG2# sh ip route 172.16.144.1 vr tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.1/32, ubest/mbest: 1/0, attached
*via 172.16.144.1, Vlan144, [240/1], 3d05h, lisp, dyn-eid
via 172.16.144.1, Vlan144, [250/0], 3d05h, am
#上記のように、2つのルートがあります。アドミニストレーティブディスタンスが240のLISPプロセスと、ADが250のAM->隣接関係マネージャ(ARPプロセスによって入力)によるLISPプロセスの1つ。
# DC1の両方の集約スイッチに同じエントリがあります。
#また、LISPはダイナミックEIDテーブル内のホストに対する同じエントリを次のようにリストします。
DC1-AGG1# show lisp dynamic-eid detail vrf tenant-1 | in 144.1, nex 1
172.16.144.1, Vlan144, uptime: 3d05h, last activity: 00:14:38
Discovered by: packet reception
DC1-AGG2# show lisp dynamic-eid detail vrf tenant-1 | in 144.1, nex 1
172.16.144.1, Vlan144, uptime: 3d05h, last activity: 00:00:37
Discovered by: site-based Map-Notify
#ディスカバリは両方のケースで異なります。HSRPアクティブであるDC1-AGG1は、「パケット受信」を使用してエントリを記録しています。これは、基本的にパケットが着信し、その結果、EIDとして追加されたことを意味します
# Agg1がEIDを認識すると、送信元IP-> Loopback100 IPアドレス(データベースマッピングで定義)からグループ – > 239.254.254.254(上記で設定)にマルチキャストメッセージを送信し、vPCピアスイッチもエントリを受信してローカルEIDとみなしますdc1-agg1およびdc1-agg2。この同じマルチキャストパケットがOTVを通過してリモートサイトに到達します。ただし、リモートサイトはデータベースマッピングを確認し、このパケットの送信元が「データベースマッピング」とは異なるIPアドレスであるため、DC2 AGgスイッチによってローカルEIDとは見なされません。
通知メッセージのマップ
#ホストがLISP対応SVIで検出されると、トリガーされた「map-notify」メッセージが、対応するダイナミックEID設定で定義されているマルチキャストグループに送信されます
#トリガーされたmap-notifyメッセージ以外にも、そのvlan内のHSRPアクティブ(またはFHRPアクティブ)スイッチによって送信される定期的なmap-notifyメッセージがあります。
# map notifyメッセージのPCAPは次のとおりです。
LISP /32ルートのIGPへの再配布
#これはIGPアシストモードの鍵です。/32 LISPルートはすべてIGPに再配布されます。これは、EIGRPで適用された「redistribute LISP」コマンドによって可能になります。
#すべての/32ホストルートは、再配布後にEIGRP外部ルートとして認識されます。EIGRPアドミニストレーティブディスタンスの調整は、より高くするために行われました。これは、着信EIGRP外部ルートではなく、LISPルートがURIBに留まることを確認するためです。例:DC1-Agg1とDC1-Agg2は、DC1コアを持つEIGRPネイバーです。再配布によって、DC1-AGG1によってDC1-Coreに/32ルートが注入されました。DC1-CoreがDC1-Agg2とのEIGRPネイバーになったので、同じルートがDC1-Agg2に戻り、EIGRP ADが170の場合にLISPルート(240のAD)を勝つ可能性があります。そのため、これを回避するために、EIGRP外部ルートADは245に変更されています。
# DC1-Aggスイッチによって学習された/32ルートはEIGRPに再配布され、DC1コアエントリは次のようになります。
DC1-CORE# sh ip route 172.16.144.1
IP Route Table for VRF "default"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.1/32, ubest/mbest: 2/0
*via 192.168.98.1, Eth3/20.111, [170/51456], 00:00:01, eigrp-100, external
*via 192.168.98.5, Eth3/22.112, [170/51456], 18:14:51, eigrp-100, external
#ルートはグローバルルーティングテーブルにあり、コア側にVRFが設定されていません。
#また、AGGスイッチで設定された「redistribute direct」により、コアには次に示すように親サブネットの/24 ECMPルートも存在します。これは、サイレントホストのトラフィックを引き付けるのに役立ちます(/32ルートはありません)。
DC1-CORE# sh ip route 172.16.144.10 # Checking for a non existent Host 172.16.144.10
IP Route Table for VRF "default"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.0/24, ubest/mbest: 2/0
*via 192.168.98.1, Eth3/20.111, [170/51456], 00:02:13, eigrp-100, external
*via 192.168.98.5, Eth3/22.112, [170/51456], 18:17:03, eigrp-100, external
#また、DC1コアとDC2コアの両方に/24 ECMPルートが表示されます
Branch1-Router# sh ip route 172.16.144.10
Routing entry for 172.16.144.0/24
Known via "eigrp 100", distance 170, metric 51712, type external
Redistributing via eigrp 100
Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:00:17 ago
Routing Descriptor Blocks:
192.168.99.2, from 192.168.99.2, 00:00:17 ago, via GigabitEthernet0/0/1 # 192.168.99.2 is DC2-Core
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
* 192.168.99.1, from 192.168.99.1, 00:00:17 ago, via GigabitEthernet0/0/1 # 192.168.99.1 is DC1-Core
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
#このルートは、ブランチホストがEitherの場所にあるサイレントホストに到達できることを確認します。
Intra-vlan inter-DCのパケットのパス
# DC1-Host1 -> 172.16.144.1がDC2-Host1-> 172.16.144.2に到達しようとすると、これはデータセンター間のVLAN内トラフィックです。DC1-Host 1はARP要求を送信し、OTVを通過してDC2-Host1に到達します
# DC2-Host1は、DC1-Host1に戻るARP応答で応答します
#後続のICMPパケットはOTV経由で送信されます
VLAN間DCのパケットのパス(VLAN 144からVLAN 244)
# DC1-Host1-> 172.16.144.1がDC2-Host2-> 172.16.244.2に到達しようとすると、パケットはDC1のVLAN 144から244にルーティングされません。むしろ、DC1-AggからDC1-Coreへのルーテッドパスに従ってDC2-Coreに到達し、最終的なルーティングはDC2-Aggスイッチによって宛先Vlan-244に行われます。
# DC1-Host1からDC2-Host2へのtracerouteは次のとおりです。
DC1-HOST# traceroute 172.16.244.2 vrf vlan144 traceroute to 172.16.244.2 (172.16.244.2), 30 hops max, 40 byte packets 1 172.16.144.250 (172.16.144.250) 1.149 ms 0.841 ms 0.866 ms # DC1-AGG1 2 192.168.98.2 (192.168.98.2) 1.004 ms 0.67 ms 0.669 ms # DC1-CORE 3 192.168.99.2 (192.168.99.2) 0.756 ms 0.727 ms 0.714 ms # DC2-CORE 4 192.168.94.5 (192.168.94.5) 1.041 ms 0.937 ms 192.168.94.1 (192.168.94.1) 1.144 ms # DC2-Agg1/DC2-Agg2 5 172.16.244.2 (172.16.244.2) 2.314 ms * 2.046 ms # DC2-Host2
VLAN間DCのパケットのパス(VRF-tenant-1からVRF tenant-2へ)
#これは、あるVLANから別のVLANへのVLAN間DC通信(前の例)と同じです
# DC1-host1-> 172.16.144.1がDC2-Host3-> 172.16.145.2に到達しようとすると、これはVlan 144(VRF tenant-1)で発信され、Vlan 145(VRF tenant-2)に宛てられたVLAN間トラフィックになります。 通常のN7k OTV導入とは異なり、このトラフィックは若干異なる処理されます。DC1側ではVLAN間ルーティングは行われません。このトラフィックはルーティングされ、DC1コアに送信され、コアはIGPを介してDC2コアにルーティングされます
#このドキュメントでは、VRF間のリークはコアスイッチによってサイトごとに行われます。任意のデバイス(ファイアウォールなど)を使用できます。LISP設定の観点からは、VRF間リークが存在するかどうかについては変更はありません。
DC1-AGG1# sh ip route 172.16.145.2 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.145.2/32, ubest/mbest: 1/0
*via 192.168.98.2, Eth3/6.111, [245/51968], 00:00:46, eigrp-100, external
# DC1-Host1からDC2-Host3へのTracerouteでは、コアを通じてレイヤ3でルーティングされるのではなく、VLAN間でルーティングされるのと同じことが判明します。つまり、VLAN間トラフィックはOTVを使用しません。
DC1-HOST# traceroute 172.16.145.2 vrf vlan144 traceroute to 172.16.145.2 (172.16.145.2), 30 hops max, 40 byte packets 1 172.16.144.250 (172.16.144.250) 1.049 ms 0.811 ms 0.81 ms # DC1-AGG1 2 192.168.98.2 (192.168.98.2) 0.844 ms 0.692 ms 0.686 ms # DC1-CORE 3 192.168.99.2 (192.168.99.2) 0.814 ms 0.712 ms 0.735 ms # DC2-CORE 4 192.168.194.1 (192.168.194.1) 0.893 ms 0.759 ms 192.168.194.5 (192.168.194.5) 0.89 ms # DC2-Agg1/DC2-Agg2 5 172.16.145.2 (172.16.145.2) 1.288 ms * 1.98 ms # DC2-Host3 DC1-HOST#
Branch-1ホストがDC2に存在するサイレントホストに到達しようとしたときのパケットのパス
# Branch-1-172.17.200.1のホストがDC2-Silent Host- 172.16.144.119に到達しようとします。ホストがサイレントであるため、DC2には/32ルートはありません。
DC2-AGG1# show ip route 172.16.144.119 vr tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.0/25, ubest/mbest: 1/0
*via Null0, [240/1], 20:48:29, lisp, dyn-eid
DC2-AGG2# show ip route 172.16.144.119 vr tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.0/25, ubest/mbest: 1/0
*via Null0, [240/1], 20:48:13, lisp, dyn-eid
# LISP設計に従って、ルート172.16.144.119は172.16.144.0/25 null0ルートと一致します。
#ブランチルータが宛先IP = 172.16.144.119のパケットを受信すると、URIBにはDC1コアとDC2コアの両方へのECMP /24ルートがあります。つまり、パケットはコアスイッチの1つに送信されます。
Branch1-Router# sh ip route 172.16.144.119
Routing entry for 172.16.144.0/24
Known via "eigrp 100", distance 170, metric 51712, type external
Redistributing via eigrp 100
Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:08:54 ago
Routing Descriptor Blocks:
192.168.99.2, from 192.168.99.2, 00:08:54 ago, via GigabitEthernet0/0/1
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
* 192.168.99.1, from 192.168.99.1, 00:08:54 ago, via GigabitEthernet0/0/1
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
Branch1-Router#sh ip cef exact-route 172.17.200.1 172.16.144.119 dest-port 1
172.17.200.1 -> 172.16.144.119 =>IP adj out of GigabitEthernet0/0/1, addr 192.168.99.1
# CEFに基づくパケットは192.168.99.1(DC1-Core)にハッシュされます。
# DC1-Coreには2つのECMPパスがあります。1つはDC1-Agg1(HSRPアクティブ)に向かい、もう1つはDC1-Agg2(HSRPスタンバイ)に向かいます。 ルーティングハッシュから、選択されたパスはDC1-Agg2になります。
DC1-CORE# sh routing hash 172.17.200.1 172.16.144.119 1 1
Load-share parameters used for software forwarding:
load-share mode: address source-destination port source-destination
Universal-id seed: 0xfdba3ebe
Hash for VRF "default"
Hash Type is 1
Hashing to path *192.168.98.5 Eth3/22.112
For route:
172.16.144.0/24, ubest/mbest: 2/0
*via 192.168.98.1, Eth3/20.111, [170/51456], 00:19:57, eigrp-100, external
*via 192.168.98.5, Eth3/22.112, [170/51456], 18:34:47, eigrp-100, external
DC1-CORE# sh cdp nei int e3/22
Capability Codes: R - Router, T - Trans-Bridge, B - Source-Route-Bridge
S - Switch, H - Host, I - IGMP, r - Repeater,
V - VoIP-Phone, D - Remotely-Managed-Device,
s - Supports-STP-Dispute
Device-ID Local Intrfce Hldtme Capability Platform Port ID
DC1-AGG2(JAF1534CHCJ)
Eth3/22 172 R S s N7K-C7009 Eth3/7
# DC1-Agg2はURIBにエントリを持たないため、パケットは収集されてCPUに送信されます。これにより、DC1-Agg2は次に示すようにSVI IPアドレスからARP要求を生成します。
2020-02-18 15:09:05.673165 172.17.200.1 -> 172.16.144.119 ICMP 114 Echo (ping) request id=0x0022, seq=0/0, ttl=254
2020-02-18 15:09:05.675041 de:ad:20:19:22:22 -> Broadcast ARP 60 Who has 172.16.144.119? Tell 172.16.144.251
#このARP要求はブロードキャストであり、OTV拡張を介してDC2も含むレイヤ2ドメイン全体に伝搬します。
# DC2-Silent Host now respond to ARP request from DC1-Agg2
# DC1-Agg2は、サイレントホストからこのARP応答を受信します
2020-02-18 15:09:05.675797 64:12:25:97:46:41 -> de:ad:20:19:22:22 ARP 60 172.16.144.119 is at 64:12:25:97:46:41
#受信したパケットがARP(LISPのヒントとして機能する)であったため、ICMP ECHO RequestはHSRP VIP-> 172.16.144.254を送信元とし、silent host-> 172.16.144.119を宛先として生成されます。HSRP VIPからパケットを送信元とする意図は、ローカルかリモートか。ホストがリモートの場合、FHRP Activeはリモートのデータセンターにも存在し、ホストからのICMP ECHO応答パケットを捕捉するため、DC2-Agg2(HSRPアクティブ)でこのエントリについて学習し、LISPプロセスはこのIPパケットに基づいてEID学習をします。HSRP VIPから元々ICMP ECHO Requestを送信したDC1-Agg2は応答を受信しないため、エンドポイント学習はDC1側では発生しません。DC2側になります。
DC2-AGG2# show lisp dynamic-eid detail vrf tenant-1
LISP Dynamic EID Information for VRF "tenant-1"
Dynamic-EID name: VLAN144
Database-mapping [2] EID-prefix: 172.16.144.0/24, LSBs: 0x00000003
Locator: 10.10.20.1, priority: 50, weight: 50
Uptime: 21:50:32, state: up
Locator: 10.10.20.2, priority: 50, weight: 50
Uptime: 21:50:13, state: up, local
Registering more-specific dynamic-EIDs
Registering routes: disabled
Allowed-list filter: none applied
Map-Server(s): none configured, use global Map-Server
Site-based multicast Map-Notify group: 239.254.254.254
Extended Subnet Mode configured on 1 interfaces
Number of roaming dynamic-EIDs discovered: 3
Last dynamic-EID discovered: 172.16.144.254, 00:01:10 ago
Roaming dynamic-EIDs:
172.16.144.2, Vlan144, uptime: 19:09:07, last activity: 00:05:21
Discovered by: packet reception
172.16.144.119, Vlan144, uptime: 00:05:55, last activity: 00:05:55 Discovered by: packet reception
172.16.144.252, Vlan144, uptime: 3d21h, last activity: 00:01:10
Discovered by: packet reception
Secure-handoff pending for sources: none
# LISPプロセスがDC2-Agg2(HSRP Active)上のEIDを認識すると、
a) /32をローカルにインストールします
b)DC2-Coreへのルートを再配布します
c) Vlan内でサイトベースの通知をマルチキャストメッセージとして送信する(この例では、メッセージの宛先はグループ – > 239.254.254.254)
DC2-AGG1# show lisp dynamic-eid detail vrf tenant-1
LISP Dynamic EID Information for VRF "tenant-1"
Dynamic-EID name: VLAN144
Database-mapping [2] EID-prefix: 172.16.144.0/24, LSBs: 0x00000003
Locator: 10.10.20.1, priority: 50, weight: 50
Uptime: 21:52:39, state: up, local
Locator: 10.10.20.2, priority: 50, weight: 50
Uptime: 21:52:08, state: up
Registering more-specific dynamic-EIDs
Registering routes: disabled
Allowed-list filter: none applied
Map-Server(s): none configured, use global Map-Server
Site-based multicast Map-Notify group: 239.254.254.254
Extended Subnet Mode configured on 1 interfaces
Number of roaming dynamic-EIDs discovered: 4
Last dynamic-EID discovered: 172.16.144.254, 00:03:07 ago
Roaming dynamic-EIDs:
172.16.144.2, Vlan144, uptime: 19:11:04, last activity: 00:00:21
Discovered by: site-based Map-Notify
172.16.144.110, Vlan144, uptime: 20:04:09, last activity: 20:04:09
Discovered by: site-based Map-Notify
172.16.144.119, Vlan144, uptime: 00:07:52, last activity: 00:00:21 Discovered by: site-based Map-Notify
172.16.144.252, Vlan144, uptime: 21:50:51, last activity: 00:00:21
Discovered by: site-based Map-Notify
Secure-handoff pending for sources: none
#最後に、Branch-router1はこの/32ルートを受信します。これにより、Branchルータはトラフィックを正しいDC2コアスイッチに送信します。
Branch1-Router# sh ip route 172.16.144.119
Routing entry for 172.16.144.119/32
Known via "eigrp 100", distance 170, metric 51712, type external
Redistributing via eigrp 100
Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:06:25 ago
Routing Descriptor Blocks:
* 192.168.99.2, from 192.168.99.2, 00:06:25 ago, via GigabitEthernet0/0/1
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
ホストがDC1からDC2に移動(ローミング)するときのイベントのシーケンス
#このトポロジでL2拡張が設定されていると、ホストはDC1からDC2に移動できます。
# Host-> 172.16.144.100は最初はVlan 144に、DC1にあります。
# DC1-Agg1およびDC1-Agg2スイッチ内のルートは、ホストがDC1でオンラインの場合は次のようになります
DC1-AGG1# sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.100/32, ubest/mbest: 1/0, attached
*via 172.16.144.100, Vlan144, [240/1], 00:05:03, lisp, dyn-eid
via 172.16.144.100, Vlan144, [250/0], 00:05:05, am
DC1-AGG2# sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.100/32, ubest/mbest: 1/0, attached
*via 172.16.144.100, Vlan144, [240/1], 00:08:05, lisp, dyn-eid
via 172.16.144.100, Vlan144, [250/0], 00:08:07, am
#ブランチルータには次のようにDC1-Coreを指すルートがあり、tracerouteはDC1にあるホストに到達するためにDC1 Core/aggスイッチを指します
Branch1-Router#sh ip route 172.16.144.100
Routing entry for 172.16.144.100/32
Known via "eigrp 100", distance 170, metric 51712, type external
Redistributing via eigrp 100
Last update from 192.168.99.1 on GigabitEthernet0/0/1, 00:00:06 ago
Routing Descriptor Blocks:
* 192.168.99.1, from 192.168.99.1, 00:00:06 ago, via GigabitEthernet0/0/1
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
Branch1-Router#traceroute 172.16.144.100 source 172.17.200.1
Type escape sequence to abort.
Tracing the route to 172.16.144.100
VRF info: (vrf in name/id, vrf out name/id)
1 192.168.99.1 1 msec 1 msec 0 msec # DC1-Core
2 192.168.98.5 1 msec 1 msec # DC1-Agg2
192.168.98.1 1 msec # DC1-Agg1
3 172.16.144.100 1 msec 0 msec 1 msec # DC1-Host
#ホストがDC2に移動すると、GARPがVlan 144に送信されます。これはDC2-Aggスイッチで確認できます
2020-02-24 22:23:05.024902 Cisco_5a:4a:e7 -> Broadcast ARP 60 Gratuitous ARP for 172.16.144.100 (Request)
# ARP/GARP/RARPでパケットが受信されると、ローカリゼーションメカニズムがトリガーされ、VIPから送信されたホストにICMPエコー要求が送信されます
2020-02-24 22:23:05.026781 172.16.144.254 -> 172.16.144.100 ICMP 60 Echo (ping) request id=0xac10, seq=0/0, ttl=128
# Host-172.16.144.100がHSRP VIPに応答します
2020-02-24 22:23:07.035292 172.16.144.100 -> 172.16.144.254 ICMP 60 Echo (ping) reply id=0xac10, seq=0/0, ttl=255
# DC2-Agg1でIPパケットが受信されると、LISPによってEIDが検出され、ホストのルーティングテーブルにエントリが作成され、EIGRPへの再配布プロセスが開始されます
DC2-AGG1# sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.100/32, ubest/mbest: 1/0, attached
*via 172.16.144.100, Vlan144, [240/1], 00:00:30, lisp, dyn-eid
via 172.16.144.100, Vlan144, [250/0], 00:00:32, am
#再配布が行われると、DC1-aggサイト(このホストの元の所有者)は、EIGRPを指すRIBの変更を確認します
DC1-AGG1# sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.100/32, ubest/mbest: 1/0
*via 192.168.98.2, Eth3/6.111, [245/51968], 00:03:47, eigrp-100, external
#リモートブランチルータはルートの変更を認識し、tracerouteは次に示すようにDC2コア/アグリゲーションスイッチへのパスの変更を反映します
Branch1-Router#sh ip route 172.16.144.100
Routing entry for 172.16.144.100/32
Known via "eigrp 100", distance 170, metric 51712, type external
Redistributing via eigrp 100
Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:00:00 ago
Routing Descriptor Blocks:
* 192.168.99.2, from 192.168.99.2, 00:00:00 ago, via GigabitEthernet0/0/1
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
Branch1-Router#traceroute 172.16.144.100 source 172.17.200.1
Type escape sequence to abort.
Tracing the route to 172.16.144.100
VRF info: (vrf in name/id, vrf out name/id)
1 192.168.99.2 1 msec 0 msec 1 msec # DC2-Core
2 192.168.94.1 1 msec 1 msec 1 msec # DC2-Agg1
3 172.16.144.100 0 msec 0 msec 1 msec # Host-after move to DC2
便利な確認コマンド
# show lisp dynamic-eid detail vrf <VRF Name>
# Show ip route lisp vrf <VRF Name>
# show lisp dynamic-eid summary vrf <VRF Name>
フィードバック