トランジット ルーティング

この章は、次の内容で構成されています。

中継 ACI ファブリックのルーティング

Cisco APIC ソフトウェアは、OSPF(NSSA)および iBGP を使用した外部レイヤ 3 接続をサポートします。ファブリックは、外部レイヤ 3 アウトサイド(l3out)接続の外部ルータにテナント ブリッジ ドメインのサブネットをアドバタイズします。外部ルータから学習されたルートは、他の外部ルータにアドバタイズされません。ファブリックはスタブ ネットワークと同じように動作し、外部レイヤ 3 ドメイン間のトラフィックの伝送に使用できます。

図 1. ファブリックでルーティング中継


中継のルーティングで 1 つのテナントと VRF 内の複数の L3Out 接続がサポートされているし、APIC は別の L3Out 接続を 1 つの L3Out 接続から学習したルートをアドバタイズします。外部レイヤ 3 ドメインは、境界リーフ スイッチの ファブリックとピアリングします。ファブリックはピア間の Multiprotocol-Border Gateway Protocol(MP-BGP)中継ドメインです。

外部 L3Out 接続の設定は、テナントと VRF レベルで実行されます。外部ピアから学習したルートは、VRF ごとに入力リーフの MP-BGP にインポートされます。L3Out 接続から学習したプレフィックスは、テナント VRF が存在するリーフ スイッチにのみエクスポートされます。


(注)  

注意事項と中継ルーティングの設定のガイドラインは、次を参照してください。 中継ルーティングのガイドライン

トランジット ルーティングの使用例

レイヤ 3 ドメイン間のトランジット ルーティング

外部ポッド、メインフレーム、サービス ノード、WAN ルータなどの複数のレイヤ 3 ドメインが ACI ファブリックとピアリングして、それらの間のトランジット機能を提供することができます。

図 2. レイヤ 3 ドメイン間のトランジット ルーティング

ACI ファブリックで中継されるメインフレーム トラフィック

メインフレームは、論理パーティション(LPAR)および仮想 IP アドレッシング(VIPA)の要件に対応する標準 IP ルーティング プロトコルを実行する IP サーバとして機能します。

図 3. メインフレームのトランジット接続

このトポロジにおいて、メインフレームは、ACI ファブリックが WAN ルータを経由して外部と接続するため、およびファブリック内の East-West トラフィックのための中継ドメインとなることを必要とします。これらは、ホスト ルートをファブリックにプッシュして、ファブリック内、および外部インターフェイスに再配布されるようにします。

サービス ノードのトランジット接続

サービス ノードは ACI ファブリックとピアリングし、外部 WAN インターフェイスに再配布される仮想 IP (VIP) ルートをアドバタイズすることができます。
図 4. サービス ノードのトランジット接続

VIP は、特定のサイトやサービスの外部向けの IP アドレスです。VIP は、サービス ノードの背後にある 1 つ以上のサーバまたはノードに関連付けられています。

中継ルーティング設定でのマルチポッド

マルチポッド トポロジでは、ファブリックは、外部接続と複数のポッド間の相互接続の中継として機能します。クラウド プロバイダは、顧客データセンター内に管理対象のリソース ポッドを展開できます。責任分界点は、ファブリックとのピアリングを行っている OSPF または BGP を伴う L3Out にすることができます。

図 5. 中継ルーティング設定における L3Out を伴う複数のポッド

このようなシナリオでは、ポリシーは責任分界点で管理され、ACI ポリシーを設定する必要はありません。

レイヤ4 ~ レイヤ 7 ルート ピアリングはファブリックを中継として使用する特殊な使用例であり、 ファブリックは複数ポッドに対する中継 OSPF または BGP ドメインの役目を果たします。ルート ピアリングは、接続されているリーフ ノードとルートを交換できるようにするため、レイヤ4 ~ レイヤ 7 サービス デバイス上で OSPF または BGP ピアリングを有効にするように設定します。ルート ピアリングの一般的な使用例として、SLB VIP が OSPF および iBGP を介して ファブリック外のクライアントにアドバタイズされる、ルート ヘルス インジェクションがあります。このシナリオの詳細については、『L4-L7 Route Peering with Transit Fabric - Configuration Walkthrough』を参照してください。

中継ルーティング設定での GOLF

APIC、リリース 2.0 以降では、Cisco ACI は、GOLF L3Out での中継ルーティング (BGP と OSPF) をサポートしています。 たとえば、次の図は、GOLF L3Out と境界リーフ L3Out を伴うファブリックで中継されるトラフィックを示しています。

図 6. 中継ルーティング設定での GOLF L3Out と境界リーフ L3Out

サポートされるトランジットの組み合わせのマトリックス

レイヤ 3 Outside 接続タイプ

OSPF

iBGP eBGP

EIGRP v4

EIGRP v6

スタティック ルート

OSPF 上の iBGP

スタティック ルート上の iBGP

直接接続上の iBGP

OSPF 上の eBGP

スタティック ルート上の eBGP

直接接続上の eBGP

OSPF

はい

はい*

はい

○* (APIC リリース 1.3 c でテスト)

はい

はい

はい

はい

○* (APIC リリース 1.2 g でテスト)

はい

iBGP

OSPF 上の iBGP

○*

X

X

X

○* (APIC リリース 1.3 c でテスト)

非対応

はい

はい

非対応

スタティック ルート上の iBGP

はい

X

X

X

○* (APIC リリース 1.2 g でテスト)

X

○* (APIC リリース 1.2 g でテスト)

はい

非対応

直接接続上の iBGP

はい

X

X

X

-

 X

○* (APIC リリース 1.2 g でテスト)

はい

非対応

eBGP

OSPF 上の eBGP

はい

○* (APIC リリース 1.3 c でテスト)

○* (APIC リリース 1.3 c でテスト)

○* (APIC リリース 1.3 c でテスト)

はい

○* (APIC リリース 1.3 c でテスト)

○* (APIC リリース 1.3 c でテスト)

はい

非対応

○* (APIC リリース 1.3 c でテスト)

スタティック ルート上の eBGP

はい

X

X

X

○* (APIC リリース 1.2 g でテスト)

○ (APIC リリース 3.0 でテスト)

○* (APIC リリース 1.2 g でテスト)

はい

非対応

直接接続上の eBGP

はい

はい

はい

○* (APIC リリース 1.3 c でテスト)

○* (APIC リリース 1.3 c でテスト)

○* (APIC リリース 1.3 c でテスト)

はい

はい

非対応

EIGRPv4

はい

はい

はい

はい

はい

はい

はい

○ (APIC リリース 1.3 c でテスト)

非対応

EIGRPv6

○ (APIC リリース 1.2 g でテスト)

X

X

X

X

X

X

X

○ (APIC リリース 1.3 c でテスト)

○ (APIC リリース 1.2 g でテスト)

スタティック ルート

はい

はい

はい

はい

○ (APIC リリース 1.3 c でテスト)

はい

はい

はい

○ (APIC リリース 1.2 g でテスト)

  • 接続= 接続

  • * = 同じリーフ スイッチではサポートされません

  • × = サポートされていないかテストされていない組み合わせ

トランジット ルーティングの注意事項

中継ルーティングのガイドライン

作成し、中継ルーティング接続を維持する場合は、次のガイドラインを使用します。

トピック

注意またはガイドライン

複数の VRF 間のトランジット ルーティング時の ACI ファブリック iBGP への OSPF/EIGRP 再配布:ルート タグ

外部ルータを使用して複数の VRF 間のルーティングを行う中継ルーティング シナリオでは、デフォルト ルート タグ(4294967295)以外のエントリを使用して異なる VRF のポリシーを識別する場合に、1 つまたは複数の OSPF または EIGRP のテナント L3Out から取り消されたルートが存在する時にルーティングがループするリスクがあります。

これは想定されている動作です。EIGRP/OSPF が ACI ファブリックにルートを再配布すると、境界リーフ スイッチのデフォルトの iBGP アンチルーティング ループ メカニズムは、特定のデフォルト ルート タグ 4294967295 を使用するか、または [VRF/ポリシー(VRF/Policy)] ページの [トランジット ルート タグ ポリシー(Transit Route Tag Policy)] フィールドで割り当てられたものと同じタグを使用します。

VRF ごとに異なる固有の中継ルート タグを設定すると、デフォルトのアンチルーティング ループ メカニズムは機能しません。この状況を回避するには、すべての VRF で [トランジット ルート タグ ポリシー(Transit Route Tag Policy)] フィールドに同じ値を使用します。ルートマップとタグの使用に関する詳細については、「OSPF または EIGRP のバックツーバック設定」の行と、この表のルート制御プロファイル ポリシーに関するその他の情報を参照してください。

(注)  

 

ルート タグ ポリシーは、[ルート タグ ポリシーの作成(Create Route Tag Policy)] ページで設定します。このページには、[VRF /ポリシー(VRF / Policy)] ページの [トランジット ルート タグ ポリシー(Transit Route Tag Policy)] フィールドからアクセスします。

[テナント(Tenants)] > [tenant_name] > [ネットワーキング(Networking)] > [VRFs] > [VRF_name] の順にクリックします。

中継が 1 つの L3Out プロファイルを使用してルーティング

Cisco APIC リリース 2.3(1f) より前では、単一の L3Out プロファイル内での中継ルーティングはサポートされていませんでした。Cisco APIC リリース 2.3(1f) 以降では、単一の L3Out プロファイル内での中継ルーティングを構成できます。ただし次の制限があります。

  • VRF インスタンスが強制されない場合、外部のサブネット 0.0.0.0/0(l3extSubnet)を使用して、同じレイヤ3 EPG を共有するルータ間でのトラフィックを許可できます。

  • VRF インスタンスが強制される場合、外部のデフォルト サブネット(0.0.0.0/0)を使用して、同じレイヤ 3 EPG 内のトラフィックで、送信元と接続先のプレフィックスの両方をマッチさせることはできません。同じレイヤ 3 EPG 内のすべてのトラフィックをマッチさせることを目的として、Cisco APIC は次のプレフィックスをサポートしています。

    • IPv4

      • 0.0.0.0/1:外部 EPG 用の外部サブネット

      • 128.0.0.0/1:外部 EPG 用の外部サブネット

      • 0.0.0.0/0:インポート ルート制御サブネット、集約インポート

    • IPv6

      • 0::0/1:外部 EPG 用の外部サブネット

      • 8000::0/1:外部 EPG 用の外部サブネット

      • 0:0/0:インポート ルート制御サブネット、集約インポート

    レイヤ 3 内 EPG 転送のコントラクトは必要ありません。

  • または、少なくとも 1 つの他の EPG(アプリケーションまたは外部)を持つコントラクトと組み合わせて、単一のデフォルトサブネット(0.0.0.0/0)を使用することもできます。この EPG の代わりに vzAny を使用することはできません。ただし、他の EPG を展開する必要はありません。

    たとえば、アプリケーション EPG の提供コントラクトと、レイヤ 3 EPG の消費コントラクトを使用する場合(0.0.0.0/0 でマッチング)や、アプリケーション EPG の消費コントラクトと、レイヤ 3 EPG の提供コントラクトを使用する場合(0.0.0.0/0 でマッチング)です。

ハードウェア サポートの違いを共有ルート:

第 2 世代のスイッチの VRF 機能間で正常にルートが共有されます(N9K-93108TC-EX など、スイッチ モデル名の最後やその後に「EX」や「FX」がつく Cisco Nexus N9K)。第 1 世代のスイッチですが、ルートを保存する物理的な 3 進コンテンツ対応メモリ(TCAM)にルートの解析を完全にサポートするだけの容量がないため、この設定のパケットは失敗する可能性があります。

背面に戻る設定で EIGRP や OSPF

Cisco APIC では、中継が、L3Out に設定されているエクスポート ルート制御ポリシーのルーティングをサポートします。ルート (プレフィックス) を通過するこれらのポリシー制御は、L3Out でルーティング プロトコルに再配送されます。これらの中継ルートは、EIGRP や OSPF に再配布されたが、これらはルーティング ループを防ぐためにタグ付けされた 4294967295 です。Cisco ACI ファブリックは、OSPF または EIGRP L3Out で学習すると、このタグに一致するルートを受け入れません。ただし、次の場合、この動作をオーバーライドする必要があります。

  • EIGRP や OSPF を使用して、2 つの Cisco ACI ファブリックを接続します。

  • EIGRP や OSPF を使用して、同じ Cisco ACI ファブリックで 2 つの異なる Vrf を接続します。

オーバーライドする必要がある場合には、APIC GUI の次の場所にある別のタグ ポリシーを使用して VRF を構成する必要があります: [テナント(Tenant)] > [Tenant_name] > [ネットワーキング(Networking)] > [プロトコル ポリシー(Protocol Policies)] > [ルート タグ(Route Tag)]。異なるタグを適用します。

新しいルートタグ ポリシーを作成するだけでなく、APIC GUI の次の場所でこのポリシーを使用する VRF を更新します。[テナント(Tenant)] > [Tenant_name] > [ネットワーキング(Networking)] > [VRFs] > [Tenant_VRF] VRF を作成したルート タグ ポリシーを適用します。

(注)  

 

複数 L3Outs または同じ L3Out で複数のインターフェイスは同じリーフ スイッチに導入し、中継ルーティングに使用、(、IGP に再配布されません) IGP 内で、ルートをアドバタイズします。この状況では、ルート タグ ポリシーは適用されません。

BD サブネットをファブリック外にアドバタイズする

インポートおよびエクスポートのルート制御ポリシーは、中継ルート(他の外部ピアから学習したルート)およびスタティック ルートのみに適用されます。テナント BD サブネット上に設定されているファブリック内部のサブネットは、エクスポート ポリシー サブネットを使用して外部にアドバタイズされません。IP プレフィックス リストおよびルート マップを使用すると IP テナント サブネットは許可されますが、これらは別の設定手順を使用して実装されます。テナント サブネットをファブリックの外部にアドバタイズする場合は、次の設定手順を参照してください。

  1. [subnet properties] ウィンドウで、テナント サブネットのスコープを [Public Subnet] として設定します。

  2. オプション。[subnet properties] ウィンドウで、[Subnet Control] を [ND RA Prefix] として設定します。

  3. テナント ブリッジ ドメイン(BD)を外部レイヤ 3 Outside に関連付けます (L3Out)。

  4. テナント EPG と外部 EPG 間にコントラクト(プロバイダ/コンシューマ)の関連付けを作成します。

    BD サブネットを Public 範囲に設定し、BD をレイヤ 3 Out に関連付けると、BD サブネット プレフィックスの境界リーフに IP プレフィックスおよびルート マップの連続エントリが作成されます。

デフォルト ルートのアドバタイズ

デフォルト ルートのみを必要とするファブリックへの外部接続の場合、OSPF、EIGRP、および BGP の L3Out 接続をデフォルト ルートの起点とすることがサポートされます。外部ピアからデフォルト ルートが受信されると、この文書で説明されている中継エクスポート ルート制御に従って、このルートを別のピアに再配布できます。

デフォルト ルートは、デフォルト ルート リーク ポリシーを使用してアドバタイズすることもできます。このポリシーは、デフォルト ルートがルーティング テーブル内にあるか、または常にデフォルト ルートをアドバタイズすることがサポートされている場合、デフォルト ルートのアドバタイズをサポートします。デフォルト ルート リーク ポリシーは、L3Out 接続で設定されます。

デフォルト ルート リーク ポリシーを作成するときは、以下のガイドラインに従ってください:

  • BGP の場合、Always プロパティは適用されません。

  • BGP の場合、Scope プロパティを設定するときには、Outside を選択します。

  • OSPF の場合、範囲の値が Context だとタイプ 5 LSA が作成されるのに対し、Outside だとタイプ 7 LSA が作成されます。選択したは、L3Out で設定されたエリアのタイプによって異なります。エリア タイプが場合 定期的な 、範囲を設定します コンテキスト 。エリア タイプが場合 NSSA 、範囲を設定します 外部

  • EIGRP で、Scope プロパティを選択する場合には、Context を選択する必要があります。

MTU

Cisco ACI は、IP フラグメンテーションをサポートしていません。したがって、外部ルータへのレイヤ 3 Outside(L3Out)接続、または Inter-Pod Network(IPN)を介した multipod 接続を設定する場合は、MTU が両側で適切に設定されていることが重要です。ACICisco NX-OS、Cisco IOS などの一部のプラットフォームでは、設定された MTU 値は IP ヘッダーを考慮に入れています(結果として、最大パケット サイズは、ACI で 9216 バイト、NX-OS および IOS で 9000 バイトに設定されます)。ただし、IOS XR などの他のプラットフォームは、パケット ヘッダーのを除く MTU 値を設定します(結果として最大パケット サイズは 8986 バイトになります)。

各プラットフォームの適切な MTU 値については、それぞれの設定ガイドを参照してください。

CLI ベースのコマンドを使用して MTU をテストすることを強く推奨します。たとえば、Cisco NX-OS CLI で ping 1.1.1.1 df-bit packet-size 9000 source-interface ethernet 1/1 などのコマンドを使用します。

トランジット ルート制御

ルート トランジットは、インポートされるレイヤ 3 アウトサイド ネットワーク L3extOut プロファイル(l3extInstP)を通してトラフィックをインポートするために定義されます。異なるルート トランジットは、エクスポートされる別の l3extInstP を通してトラフィックをエクスポートするために定義されます。

ファブリック内の 1 つまたは複数のノードに複数の l3extOut ポリシーを配置できるので、プロトコルのさまざまな組み合わせがサポートされます。プロトコルの組み合わせはすべて、複数の l3extOut ポリシーを使用して 1 つのノードに配置することも、または複数の l3extOut ポリシーを使用して複数のノードに配置することも可能です。同じファブリック内の異なる l3extOut ポリシーに 3 つ以上のプロトコルを配置することもできます。

エクスポート ルート マップは、プレフィックス リストの一致から構成されます。各 プレフィックス リストは、VRF 内のブリッジ ドメイン(BD)パブリック サブネット プレフィクスと、外部にアドバタイズする必要のあるエクスポート プレフィクストから構成されます。

ルート制御ポリシーは、l3extOut ポリシーで定義され、l3extOut に関連付けられたプロパティおよび関係によって制御されます。APIC は l3extOutenforceRtctrl プロパティを使用して、ルート制御方向を適用します。デフォルトでは、エクスポートの制御を適用し、インポートのすべてを許可します。インポートおよびエクスポートされたルート(l3extSubnets)は、l3extInstP で定義されます。すべてのルートのデフォルト スコープはインポートです。これらは、プレフィックス ベースの EPG を形成するルートおよびプレフィックスです。

インポート ルート マップからのすべてのインポート ルートは、BGP および OSPF によってインポートを制御するために使用されます。エクスポート ルート マップからのすべてのエクスポート ルートは OSPF および BGP によってエクスポートを制御するために使用されます。

インポートとエクスポートのルート制御ポリシーは、異なるレベルで定義されます。IPv6 ではすべての IPv4 ポリシー レベルがサポートされます。l3extInstP および l3extSubnet MO で定義されている追加の関係でインポートを制御します。

デフォルト ルート リークは、l3extOut の下の l3extDefaultRouteLeakP MO の定義によって有効になります。

OSPF のエリアごと、BGP のピアごとに l3extDefaultRouteLeakP は Virtual Routing and Forwarding(VRF)範囲または L3extOut 範囲を有することができます。

次の設定ルールは、ルート制御を提供します。

  • rtctrlSetPref

  • rtctrlSetRtMetric

  • rtctrlSetRtMetricType

rtctrlSetComm MO の追加構文には以下が含まれています。

  • no-advertise

  • no-export

  • no-peer

BGP

ACI ファブリックは、外部ルータとの BGP ピアリングをサポートします。BGP ピアは l3extOut ポリシーに関連付けられており、l3extOut ごとに複数の BGP ピアを設定することができます。BGP は、l3extOut の下で bgpExtP MO を定義することにより l3extOut レベルで有効化できます。


(注)  
l3extOut ポリシーにルーティング プロトコル(たとえば、関連する VRF を含む BGP)が含まれる一方で、L3Out インターフェイスのプロファイルには必要な BGP インターフェイス設定の詳細が含まれます。いずれも BGP の有効化に必要です。

BGP ピアには、OSPF、EIGRP、接続されたインターフェイス、スタティック ルート、またはループバック経由で到達できます。外部ルータとのピアリングには iBGP または eBGP を使用できます。ファブリック内への外部ルートの配付には MP-BGP が使用されるため、外部ルータからの BGP ルート属性は保持されます。BGP は l3extOut に関連付けられた VRF に Ipv4 や IPv6 アドレス ファミリを有効にすることができます。スイッチ上で有効になるアドレス ファミリは、bgpPeerP ポリシーで l3extOut のために定義した IP アドレス タイプによって決まります。ポリシーは省略可能です。定義しない場合はデフォルトが使用されます。ポリシーはテナントに対して定義され、名前で参照される VRF によって使用できます。

ピア ポリシーを少なくとも 1 つのピアを定義して、境界リーフ(BL)の各スイッチでプロトコルを有効にする必要があります。ピア ポリシーは 2 つの場所で定義できます。

  • l3extRsPathL3OutAtt の下:送信元インターフェイスとして物理インターフェイスが使用されます。

  • l3extLNodeP の下:送信元インターフェイスとしてループバック インターフェイスが使用されます。

OSPF

接続を有効にして冗長性を提供するために、さまざまなホスト タイプが OSPF を必要とします。これらには、たとえばファブリック内および WAN へのレイヤ 3 中継として ACI ファブリックを使用するサービス ノード、外部ポッド、メインフレーム デバイスなどがあります。このような外部デバイスは、OSPF を実行している非境界リーフ スイッチを介してファブリックとピアリングします。デフォルト ルートは受信し、全域ルーティングには参加しないよう、OSPF エリアを NSSA(スタブ)エリアとして設定します。通常は、既存のルーティングの導入によって設定の変更が回避されるため、スタブ エリアの設定は必須ではありません。

l3extOutospfExtP 管理対象オブジェクトを設定して、OSPF を有効にします。BL スイッチ上で設定されている OSPF IP アドレス ファミリ バージョンは、OSPF インターフェイス IP アドレスに設定されているアドレス ファミリによって決まります。


(注)  
l3extOut ポリシーにルーティング プロトコル(たとえば、関連する VRF とエリア ID を含む OSPF)が含まれる一方で、レイヤ 3 外部インターフェイスのプロファイルには必要な OSPF インターフェイスの詳細が含まれます。いずれも OSPF のイネーブル化に必要です。

アドレス ファミリごとに設定可能な fvRsCtxToOspfCtxPol 関係を使用して、VRF レベルで OSPF ポリシーを設定します。設定していない場合、デフォルト パラメータが使用されます。

要求されるエリア プロパティ Ipv6 を公開する ospfExtP 管理対象オブジェクトで OSPF を設定します。

サブネットの範囲と集約コントロール

次のセクションでは、サブネットを作成するときに利用できるいくつかの範囲と集約に関するオプションについて説明します:

Export Route Control Subnet: コントロールは、ファブリック外の特定の中継ルートをアドバタイズします。これは中継ルートにのみ影響するもので、内部ルートやブリッジ ドメインで設定されるデフォルトのゲートウェイには影響しません。

インポート ルート コントロール サブネット:このコントロールは、インポート ルート制御の強制が設定されている場合、ルートを Border Gateway Protocol(BGP)と Open Shortest Path First(OSPF) でファブリックにアドバタイズすることを可能にします。

External Subnets for the External EPG (セキュリティ インポート サブネットとも呼ばれる): このオプションは、ルーティング情報のファブリックへの出入りはコントロールしません。トラフィックがある外部 EPG から別の外部 EPG に、または内部 EPG に流れるようにするには、サブネットにはこのコントロールでマークを付ける必要があります。このコントロールを使用してサブネットにマークしなかった場合には、ある EPG から学習したルートが他の外部 EPG にもアドバタイズされますが、パケットはファブリックでドロップされます。パケットがドロップされるのは、APIC が許可済みリスト モデルで動作するからです。そのデフォルトの動作は、契約で明示的に許可されていない限り、EPG 間の全データ プレーン トラフィックをドロップするというものです。この許可済みリスト モデルは外部 EPG とアプリケーション EPG に適用されます。このオプションが設定されているセキュリティ ポリシーを使用する場合には、契約とセキュリティ プレフィックスを設定する必要があります。

Shared Route Control Subnet: VRF 間のリーキングの共有 L3Outs から学習されたサブネットは、他の VRF にアドバタイズされる前に、このコントロールでマークされる必要があります。APIC リリース 2.2(2e) 以降では、異なる VRF の共有 L3Outs は契約を使用して相互に通信できます。異なる VRF の共有 L3Outs 間の通信の詳細については、『Cisco APIC レイヤ 3 ネットワー キング構成定ガイド』を参照してください。

Shared Security Import Subnet: このコントロールは、共有 L3Out 学習ルートについては、[External Subnets for the External EPG] と同じです。トラフィックがある外部 EPG から別の外部 EPG に、または別の内部 EPG に流れるようにするには、サブネットにはこのコントロールでマークを付ける必要があります。このコントロールを使用してサブネットにマークしなかった場合には、ある EPG から学習したルートが他の外部 EPG にもアドバタイズされますが、パケットはファブリックでドロップされます。このオプションが設定されているセキュリティ ポリシーを使用する場合には、契約とセキュリティ プレフィックスを設定する必要があります。

Aggregate Export, Aggregate Import, and Aggregate Shared Routes: このオプションは、0.0.0.0/0 プレフィックスの前に 32 を追加します。現在、インポート/エクスポート ルート制御サブネットに集約できるのは、0.0.0.0/0 プレフィクスのみです。0.0.0.0/0 プレフィックスを集約すると、制御プロファイルを 0.0.0.0/0 ネットワークに適用することはできなくなります。

Aggregate Shared Route: このオプションは、共有ルート制御サブネットとしてマークされている任意のプレフィックスに使用できます。

Route Control Profile: ACI ファブリックは、ファブリックの内部と外部にアドバタイズされるルート用に、ルート マップの set 句もサポートします。ルート マップの set ルールは、ルート制御プロファイル ポリシーとアクション ルール プロファイルで設定されます。

トランジット ルーティングの設定

トランジット ルーティングの概要

このトピックでは、CiscoAPIC を使用する際のトランジット ルーティングを設定する方法の一般的な例を説明します。

この章にある例では、次のトポロジを使用します。

図 7.

この章の例では、Cisco ACI ファブリックには APIC クラスタによって制御される 2 個のリーフ スイッチと 2 個のスパイン スイッチがあります。境界リーフ スイッチ 101 と 102 には L3Out があり、2 tのルータに接続することでインターネットにも接続しています。この例の目標は、2 つの L3Out を通して、インターネット上の EP 1 から EP2 へ、ファブリック内外をトラフィックが行き来できるようにすることです。

この例では、両方の L3Out に関連付けられているテナントは、t1 と、VRF がつく v1 です。

L3Out を設定する前に、ノード、ポート、機能プロファイル、AEP、レイヤ 3 ドメインを設定します。BGP ルート リフレクタとして 104 と 105 スパイン スイッチを設定する必要があります。

トランジット ルーティングの設定には、次のコンポーネントの定義が含まれます。

  1. テナントおよび VRF

  2. リーフ 101 と 102 上のノードおよびインターフェイス

  3. 各 L3Out のプライマリ ルーティング プロトコル(境界リーフ スイッチと外部ルータ間のルートの交換に使用。この例では BGP)

  4. 各 L3Out のルーティング プロトコルの接続性(プライマリ プロトコルへの到達可能性情報の提供。この例では、OSPF)

  5. 2 個の外部 EPG

  6. 1 個のルート マップ

  7. 少なくとも 1 つのフィルタと 1 つのコントラクト

  8. 外部 EPG とコントラクトを関連付ける


(注)  

トランジット ルーティングの注意事項については、中継ルーティングのガイドライン を参照してください。

次の表では、この章で使用される名前を一覧にしています。

プロパティ

ノード 101 の L3Out1 の名前

ノード 102 の L3Out2 の名前

テナント

t1

t1

VRF

v1

v1

ノード

ルータ ID 11.11.11.103 を持つ nodep1

ルータ ID 22.22.22.203 を持つ nodep2

OSPF インターフェイス

Eth/1/3ifp1

Eth/1/3ifp2

BPG ピア アドレス

15.15.15.2/24

25.25.25.2/24

外部 EPG

192.168.1.0/24extnw1

192.168.2.0/24extnw2

ルート マップ

Ctx1 を持つ rp1 とルートの宛先 192.168.1.0/24

ctx2 を持つ rp2 とルートの宛先 192.168.2.0/24

フィルタ

http-filter

http-filter

コントラクト

extnw1 によって提供される httpCtrct

extnw2 によって消費される httpCtrct

GUI を使用した中継ルーティングの設定

これらの手順は、テナントの中継ルーティングを設定する方法を示しています。この例では、2 つの L3Outs を、1 つの VRF 内、2 つの境界リーフ スイッチ上に展開します。スイッチは別々のルータに接続されています。

テナントと VRF を作成する手順を除き、これらの手順を 2 回繰り返して、同じテナントと VRF の下に 2 つの L3Out を作成します。

サンプルの名前については、中継 ACI ファブリックのルーティングを参照してください。。

始める前に

  • L3Out で使用されるインターフェイス(AAEP、VLAN プール、インターフェイス セレクタ)の L3 ドメインおよびファブリック アクセス ポリシーを設定します。

  • ファブリック インフラ MPBGP の BGP ルート リフレクタ ポリシーを設定します。

手順

ステップ 1

テナントと VRF を作成するには、メニュー バーで、Tenants > Add Tenant を選択し、Create Tenant ダイアログボックスで、次のタスクを実行します:

  1. Name フィールドに、テナント名を入力します。

  2. In the VRF Name フィールドに、VRF 名を入力します。

  3. Submit をクリックします。

    (注)  

     

    この手順の後の手順は 2 回実行して、中継ルーティングのための同じテナントと VRF に 2 つの L3Out を作成します。

ステップ 2

L3Out の作成を開始するには、[ナビゲーション(Navigation)] ペインで [テナント(Tenant)] [ネットワーキング(Networking)] を展開し、[L3Outs] を右クリックして [L3Out の作成(Create L3Out)] を選択します。

[L3Out の作成(Create L3Out)] ウィザードが表示されます。次の手順では、[L3Out の作成(Create L3Out)] ウィザードを使用した L3Out 設定例の手順を示します。

ステップ 3

[L3Out の作成(Create L3Out)] ウィザードの [識別(Identity)] ウィンドウに必要な情報を入力します。

  1. Name フィールドに L3Out の名前を入力します。

  2. VRF ドロップダウンリストから VRF を選択します。

  3. [L3 ドメイン(L3 Domain)] ドロップダウン リストで、先ほど作成した、外部ルーテッド ドメインを選択します。

  4. ルーテッド プロトコルのチェックボックスがある領域で、目的のプロトコル (BGP、OSPF、または EIGRP) をオンにします。

    この章の例では、BGP および OSPF を選択します。

    選択するプロトコルに応じて、設定する必要のあるプロパティに入力します。

  5. OSPF を有効にした場合は、OSPF の詳細を入力します。

    この章の例では、OSPF エリア 0 を使用し、Regular area に入力します。

  6. [次(Next)] をクリックして [ノードとインターフェイス(Nodes and Interfaces)] ウィンドウに移動します。

ステップ 4

[L3Out の作成(Create L3Out)] ウィザードの [ノードとインターフェイス(Nodes and Interfaces)] ウィンドウに必要な情報を入力します。

  1. デフォルトの命名規則を使用するかどうかを決定します。

    [デフォルトの使用(Use Defaults)] フィールドで、デフォルトのノード プロファイル名およびインターフェイス プロファイル名を使用する場合は、チェックをオンにします。

    • デフォルトのノード プロファイル名は L3Out-name _nodeProfile です。ここで、L3Out-name は [識別(Identity)] ページの [名前(Name)] フィールドに入力した名前です。

    • デフォルトのインターフェイス プロファイル名は L3Out-name _interfaceProfile です。ここで、L3Out-name は、[識別(Identity)] ページの [名前(Name)] フィールドに入力した名前です。

  2. [インターフェイス タイプ(Interface Types)] 領域で、[レイヤ 3(Layer 3)] および [レイヤ 2(Layer 2)] フィールドで必要な選択を行います。

    次のオプションがあります。

    • レイヤ 3:

      • ルーテッド:ポート チャネルへのレイヤ 3 ルートを設定するには、このオプションを選択します。

        このオプションを選択すると、レイヤ 3 ルートは、このページの [レイヤ 2(Layer 2)] フィールドで選択された物理ポートまたはダイレクト ポート チャネルのいずれかになります。

      • ルーテッド サブ:ポート チャネルへのレイヤ 3 サブインターフェイス ルートを設定するには、このオプションを選択します。

        このオプションを選択すると、レイヤ 3 サブインターフェイスのルートは、このページの [レイヤ 2(Layer 2)] フィールドで選択された物理ポートまたはダイレクト ポート チャネルのいずれかになります。

      • SVI:ACI リーフ スイッチとルータ間に接続性を提供する Switch Virtual Interface(SVI)を設定するにはこのオプションを選択します。

        SVI は、物理ポート、直接ポート チャネル、仮想ポート チャネルのメンバーを持つことができ、このページの [レイヤ 2(Layer 2)] フィールドで選択します。

      • フローティング SVI:フローティング L3Out を設定するにはこのオプションを選択します。

        フローティング L3Out を使用すると、仮想ルータが 1 つのリーフ スイッチの下から別のリーフ スイッチに移動できるようにする L3Out を設定できます。この機能により、VM がホスト間を移動する際に、ルーティングを維持するために複数の L3Out インターフェイスを設定する必要がなくなります。

    • レイヤ 2 :(レイヤ 3 エリアで仮想 SVI を選択した場合は使用できません)

      • ポート

      • 仮想ポート チャネル(レイヤ 3 領域で [SVI] を選択した場合に使用可能)

      • ダイレクトポートチャネル(Direct Port Channel)

  3. [ノード ID(Node ID)] フィールドのドロップダウン メニューで、L3Out のノードを選択します。

    これらの例のトポロジでは、ノード 103 を使用します。

  4. Router ID フィールドで、ルータ ID (L3Out に接続されているルータの IPv4 または IPv6 アドレス) を入力します。

  5. (任意) 必要に応じて、ループバック アドレスに別の IP アドレスを設定できます。

    [ルータ ID(Router ID)] フィールドに入力したエントリと同じ内容が [ループバック アドレス(Loopback Address)] フィールドに自動で入力されます。これは以前のビルドでの [ループバック アドレスのルータ ID の使用(Use Router ID for Loopback Address)] と同等です。ループバック アドレスにルータ ID を使用しない場合は、ループバック アドレスに別の IP アドレスを入力します。または、ループバック アドレスにルータ ID を使用しない場合は、このフィールドを空のままにします。

  6. [ノードとインターフェイス(Nodes and Interfaces)] ウィンドウに追加の必要な情報を入力します。

    このウィンドウに表示されるフィールドは、[レイヤ 3(Layer 3)] および [レイヤ 2(Layer 2)] 領域で選択したオプションによって異なります。

  7. [ノードとインターフェイス(Nodes and Interfaces)] ウィンドウで残りの追加の情報を入力したら、[次(Next)] をクリックします。

    [プロトコル(Protocols)] ウィンドウが表示されます。

ステップ 5

[L3Out の作成(Create L3Out)] ウィザードの [プロトコル(Protocols)] ウィンドウに必要な情報を入力します。

この例ではプロトコルとしてBGPとOSPFを使用しているため、次の手順でこれらのフィールドに情報を提供します。

  1. [BGP ループバック ポリシー(BGP Loopback Policies)] および [BGP インターフェイス ポリシー(BGP Interface Policies)] 領域で、次の情報を入力します。

    • ピア アドレス(Peer Address):ピア IP アドレスを入力します

    • EBGP Multihop TTL(EBGP マルチホップ TTL):接続の存続可能時間(TTL)を入力します。範囲は 1 〜 255 ホップです。ゼロの場合、TTL は指定されません。デフォルトは 0 です。

    • リモート ASN(Remote ASN):ネイバー自律システムを固有に識別する番号を入力します。自律システム番号は、1 〜 4294967295 のプレーン形式で 4 バイトにすることができます。

      (注)  

       

      ACI は asdot または asdot + 形式の AS 番号をサポートしていません。

  2. [OSPF] 領域で、デフォルト OSPF ポリシー、以前に作成した OSPF ポリシー、または [OSPF インターフェイス ポリシーの作成(Create OSPF Interface Policy)] を選択します。

  3. [次へ(Next)] をクリックします。

    [外部 EPG(External EPG)] ウィンドウが表示されます。

ステップ 6

[L3Out の作成(Create L3Out)] ウィザードで [外部 EPG(External EPG)] ウィンドウに必要な情報を入力します。

  1. Name フィールドに、外部ネットワークの名前を入力します。

  2. [提供済みコントラクト(Provided Contract)] フィールドで、提供済みコントラクトの名前を入力します。

  3. [消費済みコントラクト(Consumed Contract)] フィールドで、消費済みコントラクトの名前を入力します。

  4. [すべての外部ネットワークのデフォルト EPG(Default EPG for all external network)] フィールドで、この L3Out 接続からのすべての中継ルートをアドバタイズしない場合はオフにします。

    このボックスをオフにすると、[Subnets] 領域が表示されます。次の手順に従って、必要なサブネットとコントロールを指定します。

  5. [+] アイコンをクリックして [サブネット(Subnet)] を展開し、[サブネットの作成(Create Subnet)] ダイアログ ボックスで次の操作を実行します。

  6. IP address フィールドに、外部ネットワークの IP アドレスとサブネット マスクを入力します。

  7. [名前(Name)] フィールドに、サブネットの名前を入力します。

  8. Scope フィールドで、L3Out のプレフィックスのインポートとエクスポートを制御するための適切なチェック ボックスをオンにします。

    (注)  

     

    範囲のオプションの詳細については、この Create Subnet パネルのオンライン ヘルプを参照してください。

  9. (任意) [ルート制御サブネットのエクスポート(Export Route Control Subnet)] のチェック ボックスをオンにします。

    [BGP ルート集約ポリシー(BGP Route Summarization Policy)] フィールドが使用可能になります。

  10. [BGP ルート集約ポリシー(BGP Route Summarization Policy)] フィールドでは、ドロップダウン リストから既存のルート集約ポリシーを選択するか、必要に応じて新しいユーザーを作成します。

    ルート集約ポリシーのタイプは、L3Out に対して有効になっているルーティング プロトコルに依存します。

  11. [サブネットの作成(Create Subnet)] ウィンドウで必要な設定が完了したら、[OK] をクリックします。

  12. (任意) より多くのサブネットを追加するにはこれを繰り返します。

  13. [完了(Finish)] をクリックして、[L3Out の作成(Create L3Out)] ウィザードに必要な設定の入力を完了させます。

ステップ 7

作成した L3Out に移動し、[L3Out] を右クリックして、[ルート制御のインポートおよびエクスポートのルート マップの作成(Create Route map for import and export route control)] を選択します。

ステップ 8

[ルート制御のインポートおよびエクスポートのルート マップの作成(Create Route map for import and export route control)] ウィンドウで、次の操作を実行します。

  1. Name フィールドに、ルート マップ名を入力します。

  2. Type を選択します。

    この例では、デフォルトの Match Prefix AND Routing Policy のままにします。

  3. + アイコンをクリックして Contexts を展開し、ルート マップのルート コンテキストを作成します。

  4. プロファイル コンテキストの順序と名前を入力します。

  5. このコンテキストで実行するアクションとして Deny または Permit を選択します。

  6. (任意) Set Rule フィールドで、Create Set Rules for a Route Map を選択します。

    セット ルールのための名前を入力し、ルールで使用するオブジェクトをクリックし、Finish をクリックします。

  7. [一致ルール(Match Rule)] フィールドで、[ルート マップの一致ルールの作成(Create Match Rules for a Route Map)] を選択します。

  8. 一致ルールの名前を入力し、ルールで一致させる対象として 正規表現コミュニティ用語の一致(Match Regex Community Terms)コミュニティ用語の一致(Match Community Terms)、または 一致プレフィックス(Match Prefix) を入力します。

  9. [一致ルールの作成(Create Match Rule)] ウィンドウのフィールドへの入力が完了したら、[送信(Submit)] をクリックします。

  10. Create Route Control Context ダイアログボックスで、OK をクリックします。

  11. [インポートおよびエクスポート ルート制御向けのルート マップの作成(Create Route map for import and export route control)] ダイアログ ボックスで、[送信(Submit)] をクリックします。

ステップ 9

[ナビゲーション(Navigation)] ペインで [L3Outs] > [L3Out_name] > [外部 EPG(External EPGs)] > [externalEPG_name] の順に展開して、次のアクションを実行します。

  1. + アイコンをクリックして Route Control Profile を展開します。

  2. Name フィールドのドロップダウン リストから、前に作成したルート制御プロファイルを選択します。

  3. Direction フィールドで、Route Export Policy を選択します。

  4. Update をクリックします。

ステップ 10

作成した L3Out に移動し、[L3Out] を右クリックして、[ルート制御のインポートおよびエクスポートのルート マップの作成(Create Route map for import and export route control)] を選択します。

ステップ 11

[ルート制御のインポートおよびエクスポートのルート マップの作成(Create Route map for import and export route control)] ウィンドウで、次の操作を実行します。

(注)  

 

受信ルートについて BGP、OSPF、または EIGRP の属性を設定するには、default-import ルート制御プロファイルを作成し、適切な set アクションと、 no match のアクションを作成します。

  1. [名前(Name)] フィールドから、[default-import] を選択します。

  2. [タイプ(Type)] フィールドでは、[ルーティング ポリシーのみ一致(Match Routing Policy Only)] をクリックする必要があります。

  3. [インポートおよびエクスポート ルート制御向けのルート マップの作成(Create Route map for import and export route control)] ダイアログ ボックスで、[送信(Submit)] をクリックします。

ステップ 12

L3Out を使用していた EPG 間の通信を有効にするには、次の手順を使用して、少なくとも 1 つのフィルタと契約を作成します:

  1. ナビゲーション ウィンドウの L3Out を使用するテナントの下で、Contracts を展開します。

  2. Filters を右クリックして Create Filter を選択します。

  3. Name フィールドに、フィルタのの名前を入力します。

    フィルタは基本的にはアクセス コントロール リスト (ACL) です。

  4. + アイコンをクリックして Entries を展開し、フィルタ エントリを追加します。

  5. エントリ の詳細を追加します。。

    たとえば、単純な Web フィルタの場合には、次のような条件を設定します:

    • EtherTypeIP

    • IP Protocoltcp

    • Destination Port Range FromUnspecified

    • Destination Port Range To to https

  6. Update をクリックします。

  7. Create Filter ダイアログボックスで、Submit をクリックします。

ステップ 13

契約を追加するには、次の手順を実行します:

  1. Contracts の下で、Standard を右クリックして、Create Contract を選択します。

  2. 契約の名前を入力します。

  3. + アイコンをクリックして Subjects を展開し、情報カテゴリを契約に追加します。

  4. 情報カテゴリの名前を入力します。

  5. [+] アイコンをクリックして [フィルタ(Filters)] を展開し、ドロップダウン リストから、前に作成したフィルタを選択します。

  6. Update をクリックします。

  7. Create Contract Subject ダイアログボックスで、OK をクリックします。

  8. Create Contract ダイアログボックスで、Submitをクリックします。

ステップ 14

次の手順で、L3Out の EPGを契約に関連付けます:

最初の L3 外部 EPG(extnw1 が契約のプロバイダとなり、2 番目の外部 EPG、extnw2)がコンシューマとなります。

  1. 契約をプロバイダとしての L3 外部 EPG に関連付けるには、テナントの下で [ネットワーキング(Networking)] をクリックし、[L3Outs] をクリックし、L3Out を展開します。

  2. [外部 EPG(External EPGs)] を展開し、L3 外部 EPG をクリックし、[コントラクト(Contracts)] タブをクリックします。

  3. + アイコンをクリックして Provided Contracts を展開します。

    2 番目の L3 外部 EPG で、+ アイコンをクリックして Consumed Contracts を展開します。

  4. Name フィールドで、前に作成した契約をリストから選択します。

  5. Update をクリックします。

  6. [Submit] をクリックします。