外部ネットワークへのルーテッド接続

この章は、次の内容で構成されています。

外部ネットワークへルートされた接続について

ネットワーク構成 (L3Out) 外部レイヤ 3 では、ファブリック以外のトラフィックを転送する方法を定義します。レイヤ 3 はし、他のノードのアドレスを見つける、ルートを選択して、サービスの品質を選択して、入力して、終了、およびファブリックを移動する際は、トラフィックを転送に使用されます。


(注)  

ガイドラインとの設定と接続の外部レイヤ 3 を維持するための注意事項は、次を参照してください。 レイヤ 3 ネットワーキングの注意事項

L3Outs の種類についての詳細は、外部レイヤ 3 Outside 接続タイプ を参照してください。

MP-BGP ルート リフレクタ

GUI を使用した MP-BGP ルート リフレクタの設定

手順

ステップ 1

メニュー バーで、[System] > [System Settings] の順に選択します。

ステップ 2

[ナビゲーション(Navigation)] ペインで、[BGP ルート リフレクタ(BGP Route Reflector)] を右クリックして、[ルート リフレクタ ノードの作成(Create Route Reflector Node)] をクリックします。

ステップ 3

[ルート リフレクタ ノードの作成(Create Route Reflector Node)] ダイアログ ボックスで、[スパイン ノード(Spine Node)] ドロップダウン リストから、適切なスパイン ノードを選択します。Submit をクリックします。

(注)  

 

必要に応じてスパイン ノードを追加するには、上記の手順を繰り返してください。

スパイン スイッチがルート リフレクタ ノードとしてマークされます。

ステップ 4

BGP Route Reflector プロパティ エリアの Autonomous System Number フィールドで、適切な番号を選択します。Submit をクリックします。

(注)  

 

自律システム番号は、Border Gateway Protocol(BGP)がルータに設定されている場合は、リーフが接続されたルータ設定に一致する必要があります。スタティックまたは Open Shortest Path First(OSPF)を使用して学習されたルートを使用している場合は、自律システム番号値を任意の有効な値にできます。

ステップ 5

メニュー バーで、[ファブリック(Fabric)] > [ファブリック ポリシー(Fabric Policies)] > [ポッド(Pods)] > [ポリシー グループ(Policy Groups)] をクリックします。

ステップ 6

[ナビゲーション(Navigation)] ペインで、[ポリシー グループ(Policy Groups)] を展開して右クリックし、[POD ポリシー グループの作成(Create POD Policy Group)] をクリックします。

ステップ 7

[ポッド ポリシー グループの作成(Create Pod Policy Group)] ダイアログ ボックスで、[名前(Name)] フィールドに、ポッド ポリシー グループの名前を入力します。

ステップ 8

[BGP Route Reflector Policy] ドロップダウン リストで、適切なポリシー(デフォルト)を選択します。[Submit] をクリックします。`

BGP ルート リフレクタのポリシーは、ルート リフレクタのポッド ポリシー グループに関連付けられ、BGP プロセスはリーフ スイッチでイネーブルになります。

ステップ 9

メニュー バーで、[ファブリック(Fabric)] > [ファブリック ポリシー(Fabric Policies)] > [プロファイル(Profiles)] > [ポッド プロファイル デフォルト(Pod Profile default)] > [デフォルト(default)]を選択します。

ステップ 10

[Work] ペインで、[Fabric Policy Group] ドロップダウン リストから、前に作成されたポッド ポリシーを選択します。[Submit] をクリックします。`

ポッド ポリシー グループが、ファブリック ポリシー グループに適用されました。

MP-BGP ルート リフレクタ設定の確認

手順

ステップ 1

次の操作を実行して、設定を確認します。

  1. セキュア シェル(SSH)を使用して、必要に応じて各リーフ スイッチへの管理者としてログインします。

  2. show processes | grep bgp コマンドを入力して、状態が S であることを確認します。

    状態が NR(実行していない)である場合は、設定が正常に行われませんでした。

ステップ 2

次の操作を実行して、自律システム番号がスパイン スイッチで設定されていることを確認します。

  1. SSH を使用して、必要に応じて各スパイン スイッチへの管理者としてログインします。

  2. シェル ウィンドウから次のコマンドを実行します。

    例:

    cd /mit/sys/bgp/inst

    例:

    grep asn summary
設定した自律システム番号が表示される必要があります。自律システム番号の値が 0 と表示される場合は、設定が正常に行われませんでした。

ループ防止のための BGP ドメインパス機能について

BGP ルーティング ループは、次のようなさまざまな条件が原因で発生することがあります。

  • AS パス チェックなどの既存の BGP ループ防止メカニズムの意図的な無効化

  • 異なる VRF または VPN 間のルート リーク

次に、BGP ルーティング ループが発生するシナリオの例を示します。

  1. BGP IP L3Out ピアから受信したプレフィックス P1 は、Multiprotocol Border Gateway Protocol(MP-BGP)を使用して ACI ファブリックでアドバタイズされます。

  2. 中継のケースとして、このプレフィックスは SR-MPLS インフラ L3Out を介して外部にアドバタイズできます。

  3. このプレフィックスは、同じ VRF または異なる VRF のいずれかで、コアから ACI ファブリックにインポートできます。

  4. BGP ルーティング ループは、同じ VRF から、または別の VRF からのリークによって、このインポートされたプレフィックスが発信元スイッチにアドバタイズされるときに発生します。

リリース 5.1(3) 以降では、新しい BGP ドメイン パス機能を使用できます。これは、次の方法で BGP ルーティング ループを支援します。

  • 同じ VPN または拡張 VRF 内、および異なる VPN または VRF 内のルートが通過する個別のルーティング ドメインを追跡します。

  • ルートがすでに通過したドメイン内の VRF にループバックするタイミングを検出します(通常、ドメイン間のスティッチング ポイントである境界リーフ スイッチだけでなく、場合によっては内部スイッチでも)。

  • ループにつながる場合に、ルートがインポートまたは受け入れられないようにします。

ACI ファブリック内では、VRF スコープはグローバルであり、設定されているすべてのスイッチに拡張されます。したがって、VRF のドメインからエクスポートされたルートは、他のスイッチの VRF に受信されないようにします。

次のコンポーネントは、ループ防止のためにBGPドメインパス機能で使用されます。

  • Routing domain ID:ACI サイトのすべてのテナント VRF は、1 つの内部ファブリック ドメイン、各 SR-MPLS インフラ L3Out の各 VRF に 1 つのドメイン、および各 IP L3Out に 1 つのドメインに関連付けられます。BGP ドメイン パス機能が有効になっている場合、これらの各ドメインには、次の形式で一意のルーティング ドメイン ID が割り当てられます。Base:<variable>

    • Base は、[BGP ルート リフレクタ ポリシー(BGP Route Reflector Policy)] ページの [ドメイン ID ベース(Domain ID Base)] フィールドに入力されたゼロ以外の値です。

    • <variable> は、そのドメイン専用にランダムに生成された値です。

  • ドメイン パス(Domain path):ルートが通過するドメイン セグメントは、BGP ドメイン パス属性を使用して追跡されます。

    • ルートを受信する送信元ドメインの VRF のドメイン ID がドメイン パスの先頭に追加されます。

    • 送信元ドメイン ID はドメイン パスの先頭に追加され、境界リーフ スイッチのドメイン間でルートが再生成されます。

    • VRF のローカル ドメイン ID のいずれかがドメイン パスにある場合、外部ルートは受け入れられません。

    • ドメイン パスは、次のように表される各ドメイン セグメントとともに、オプションの遷移 BGP パス属性として伝送されます。<Domain-ID:SAFI>

    • ACI 境界リーフ スイッチは、ドメイン内のリークを追跡するために、ローカルに発信されたルートと外部ルートの両方に VRF 内部ドメイン ID を付加します。

    • 内部ドメインからのルートをインポートし、競合する外部ドメイン ID を持つノードの VRF にインストールして、内部バックアップまたは中継パスを提供できます。

    • インフラ L3Out ピアの場合、ピア ドメインのドメイン ID がルートのドメイン パスに存在する場合、ピアへのルートのアドバタイズメントはスキップされます(アウトバウンド チェックは IP L3Out ピアには適用されません)

    • 境界リーフ スイッチと非境界リーフ スイッチはどちらもドメイン パス属性を処理します。


(注)  

ループ防止のために BGP ドメイン パス機能を設定するか、GUI またはREST API を使用して、受信したドメイン パスを送信するように設定をイネーブルにすることができます。ループ防止のために BGP ドメイン パス機能を設定したり、NX-OS スタイルの CLI を介して受信ドメイン パスを送信するように設定したりすることはできません。


(注)  

以前のリリースからリリース 5.1(3) にアップグレードするときに、VRF 間共有サービス用に設定されたコントラクトがある場合、BGP ドメインID にリリース 5.1(3) にアップグレードする前に設定された契約で設定されています。このような状況では、契約を削除してから、契約を追加し直すと、BGP ドメインの更新が可能になります。これは、リリース 5.1(3) へのアップグレード前に設定された契約がある場合にのみ問題になります。これは、リリース 5.1(3) へのアップグレードの完了後に新しい契約を作成する場合は問題になりません。

GUI を使用したループ防止のための BGP ドメイン パス機能の設定

始める前に

ループ防止のための BGP ドメインパス機能についてに記載されている情報を使用して、BGP ドメイン パス機能に精通します。

手順

ステップ 1

ループ防止に BGP ドメイン パス機能を使用する場合は、BGP ルート リフレクタに BGP ドメイン パス属性を設定します。

(注)  

 

ループ防止に BGP ドメイン パス機能を使用しないが、受信したドメイン パスを送信する場合は、この手順で BGP ドメイン リフレクタの BGP ドメイン パス機能を有効にしないでください。代わりに、に直接移動して、適切な BGP 接続ウィンドウの [ドメイン パスの送信(Send Domain Path)] フィールドのみを有効にします。ステップ 2

  1. [システム(System)] > [システム設定(System Settings)] > [BGP ルート リフレクター(BGP Route Reflector)] の順に移動します。

    [BGP ルート リフレクター(BGP Route Reflector)] ウィンドウが表示されます。このウィンドウで [ポリシー(Policy)] ページ タブが選択されていることを確認します。

  2. [ドメイン ID ベース(Domain ID Base)] フィールドを見つけます。

  3. [ドメイン ID ベース(Domain ID Base)] フィールドに数値を入力します。

    • BGPドメインパス機能を有効にするには、1 〜 4294967295 の値を入力します。ACI ファブリックがマルチサイト環境の一部である場合は、この [ドメイン ID ベース(Domain ID Base)] フィールドでこの ACI ファブリックに固有の一意の値を使用してください。

    • BGP ドメインパス機能を無効にするには、この [ドメイン ID ベース(ID Base)] フィールドに 0 を入力します。

    ループ防止の BGP ドメインパス機能が有効になっている場合は、Base:<variable> 形式の暗黙のルーティング ドメイン ID が割り当てられます。

    • [ベース(Base)] は、この [ドメイン ID ベース(Domain ID Base)] フィールドに入力したゼロ以外の値です。

    • <変数(variable)> は、VRF または L3Out 用にランダムに生成された値で、ループ防止の BGP ドメインパス機能に使用されます。

    このルーティング ドメイン ID は、次のドメインを識別するために BGP に渡されます。

    • VRF:そのテナントの VRF ウィンドウの [ポリシー(Policy)] タブにある [ルーティング ドメイン ID(Routing Domain ID)] フィールドに示されているように、各 VRF にランダムに生成された値を使用して内部ドメイン ID によって識別されます。

    • IP L3Out:IP L3Out の [BGP ピア接続プロファイル(BGP Peer Connectivity Profile)] ウィンドウの [ルーティング ドメイン ID(Routing Domain ID)] フィールドに示されているように、各 IP L3Out に対してランダムに生成された値を使用して、外部ドメイン ID によって識別されます。

    • SR-MPLS infra L3Out:各 SR-MPLS VRFL3Out のウィンドウの [SR-MPLS Infra L3Outs] テーブルの [ルーティング ドメイン ID(Routing Domain ID)] 列に示されているように、各 SR-MPLS infra L3Out の各 VRF にランダムに生成された値を使用して、外部ドメイン ID によって識別されます。

    Domain-Path 属性は、パス内のルーティングドメイン ID に基づいてループをチェックするために着信方向で処理されます。Domain-Path 属性はピアに送信されます。これは、次の手順で説明するように、IP L3Out または SR-MPLS infraL3OutのBGP ピアレベルの [ドメイン パスの送信(Send Domain Path)] フィールドを使用して個別に制御されます。

ステップ 2

BGP ドメイン パス属性をピアに送信するには、適切な BGP 接続ウィンドウで [ドメイン パスの送信(Send Domain Path)] フィールドを有効にします。

ループ防止のために BGP ドメインパス機能を使用する場合は、最初に [ドメイン ベース ID(Domain Base ID)] を設定してから、ここで [ドメイン パスの送信(Send Domain Path)] フィールドを有効にします。ステップ 1ループ防止のために BGP ドメインパス機能を使用しない場合でも、受信したドメインパスを送信する場合は、ここで [ドメイン パスの送信(Send Domain Path)] フィールドのみを有効にします(その場合は [ドメイン ベース ID(Domain Base ID)] を設定しないでください)。ステップ 1

  • IP L3Out ピアの [ドメイン パスの送信(Send Domain Path)] フィールドを有効にするには、次の手順を実行します。

    1. IP L3Out ピアの [BGP ピア接続プロファイル(BGP Peer Connectivity Profile)] ウィンドウに移動します。

      [テナント(Tenant)] > [tenant_name] > [ネットワーキング(Networking)] > [L3Outs] > [L3Out_name] > [論理ノード プロファイル(Logical Node Profile)] > [log_node_prof_name] > [論理インターフェイス プロファイル(Logical Interface Profile)] > [log_int_prof_name] > [BGP ピア(BGP Peer) ]<address>-ノード(Node)-[<node_ID>]

      この設定された L3Out の [BGP ピア接続プロファイル(BGP Peer Connectivity Profile)] ウィンドウが表示されます。

    2. [BGP ピア接続プロファイル(BGP Peer Connectivity Profile)] ウィンドウで [BGP 制御(BGP Controls)] 領域を見つけます。

    3. [BGP 制御(BGP Controls)] 領域で、[ドメイン パスの送信(Send Domain Path)] フィールドの横にあるボックスをクリックします。

    4. [送信(Submit)] をクリックします。`

      このアクションは、BGP ドメイン パス属性をピアに送信します。

  • SR-MPLS インフラ L3Out ピアの [ドメイン パスの送信(Send Domain Path)] フィールドを有効にするには、次の手順を実行します。

    1. [テナント(Tenant)] > [infra] > [ネットワーキング(Networking)] > [SR-MPLS Infra L3Outs] > [SR-MPLS-infra-L3Out_name] > [論理ノード プロファイル(Logical Node Profiles)] > [log_node_prof_name]の順に移動します。

      この設定済み SR-MPLS インフラ L3Out の [論理ノードプロファイル(Logical Node Profile)] ウィンドウが表示されます。

    2. [BGP-EVPN 接続プロファイル(BGP-EVPN Connectivity Profile)] 領域を見つけ、新しい BGP-EVPN 接続ポリシーを作成するか、または既存の BGP-EVPN 接続ポリシーの [ドメイン パスの送信(Send Domain Path)] フィールドを有効にするかを決定します。

      • 新しい BGP-EVPN 接続ポリシーを作成する場合は、[BGP-EVPN 接続プロファイル(BGP-EVPN Connectivity Profile)] 領域のテーブルの上にある [+] をクリックします。[BGP-EVPN 接続ポリシーの作成(Create BGP-EVPN Connectivity Policy)] ウィンドウが表示されます。

      • 既存の BGP-EVPN 接続ポリシーの [ドメイン パスの送信(Send Domain Path)] フィールドを有効にする場合は、[BGP-EVPN 接続プロファイル(BGP-EVPN Connectivity Profile)] 領域のテーブルでそのポリシーをダブルクリックします。[BGP-EVPN 接続ポリシー(BGP-EVPN Connectivity Policy)] ウィンドウが表示されます。

    3. ウィンドウで [BGP 制御(BGP Controls)] 領域を見つけます。

    4. [BGP 制御(BGP Controls)] 領域で、[ドメイン パスの送信(Send Domain Path)] フィールドの横にあるボックスをクリックします。

    5. [送信(Submit)] をクリックします。`

      このアクションは、BGP ドメイン パス属性をピアに送信します。

ステップ 3

適切なエリアに移動して、さまざまなドメインに割り当てられたルーティング ID を確認します。

  • VRF ドメインに割り当てられたルーティング ID を確認するには、次の手順を実行します。

    Tenant tenant_name Networking VRFs VRF_name をクリックし、その VRF の [ポリシー(Policy)] タブをクリックして、[VRF] ウィンドウの[ルーティング ドメイン ID(Routing Domain ID)] フィールドのエントリを見つけます。 > > > >

  • IP L3Out ドメインに割り当てられたルーティング ID を確認するには、次の手順を実行します。

    [テナント(Tenants)] > [tenant_name] > [ネットワーキング(Networking)] > [L3Outs] > [L3Out_name] > [論理ノード プロファイル(Logical Node Profiles)] > [log_node_prof_name] > [BGP ピア(BGP Peer)]の順に移動し、その後 [BGP ピア接続プロファイル(BGP Peer Connectivity Profile)] ウィンドウの [ルーティング ドメイン ID(Routing Domain ID)] フィールドでエントリを見つけます。

  • SR-MPLS インフラ L3Out ドメインに割り当てられたルーティング ID を確認するには、次の場所に移動します。

    [テナント(Tenants)] [tenant_name] [ネットワーキング(Networking)] [SR-MPLS VRF L3Outs] [SR-MPLS_VRF_L3Out_name] をクリックし、[SR-MPLS VRFL3Out] のウィンドウで [SR-MPLS Infra L3Outs] テーブルの [ルーティング ドメイン ID(Routing Domain ID)] カラムのエントリを見つけます。 > > > >

外部ネットワークへのルーテッド接続のためのレイヤ 3 Out

外部ネットワークへのルーテッド接続は、次の図の階層で示すようにファブリック アクセス(infraInfra)外部ルーテッド ドメイン(l3extDomP)をレイヤ 3 外部外側ネットワーク(l3extOut)のテナント レイヤ 3 外部インスタンス プロファイル(l3extInstP または外部 EPG)に関連付けることによって有効になります。

図 1. レイヤ 3 外部接続のポリシー モデル

レイヤ 3 外部アウトサイドネットワーク(l3extOut オブジェクト)には、ルーティング プロトコルのオプション(BGP、OSPF、または EIGRP またはサポートされている組み合わせ)およびスイッチとインターフェイス固有の設定が含まれています。l3extOut にルーティング プロトコル(たとえば、関連する仮想ルーティングおよび転送(VRF)およびエリア ID を含む OSPF)が含まれる一方で、レイヤ 3 外部インターフェイスのプロファイルには必要な OSPF インターフェイスの詳細が含まれます。いずれも OSPF のイネーブル化に必要です。

l3extInstP EPG は、コントラクトを通してテナント EPG に外部ネットワークを公開します。たとえば、Web サーバのグループを含むテナント EPG は、l3extOut に含まれるネットワーク設定に応じてコントラクトを介して l3extInstP EPG と通信できます。外部ネットワーク設定は、ノードを L3 外部ノード プロファイルに関連付けることで複数のノードに容易に再利用できます。同じプロファイルを使用する複数のノードをフェールオーバーやロード バランシングのために設定できます。ノードを複数の l3extOuts に追加することで、l3extOuts に関連付けられている VRF がノードでも展開されます。拡張性に関する情報については、現行の「Verified Scalability Guide for Cisco ACI」を参照してください。

レイヤ 3 ネットワーキングの注意事項

レイヤ 3 外部接続を作成し、維持する際には、次のガイドラインを使用してください。

トピック

注意またはガイドライン

vPC ペアの境界リーフ スイッチが、誤った VNID を持つ BGP パケットをピア上で学習したエンドポイントに転送する問題

設定に次の条件が存在する場合:

  • 2 つのリーフ スイッチが vPC ペアの一部である

  • L3Out の背後に接続されている 2 つのリーフ スイッチの場合、宛先エンドポイントは 2 番目(ピア)の境界リーフ スイッチに接続され、エンドポイントはそのリーフ スイッチで学習されたピアです。

ピアが学習したエンドポイント宛ての BGP パケットを受信する入力リーフ スイッチでエンドポイントが学習した場合、L3Out の背後にある最初のレイヤ 3 スイッチ間で中継 BGP 接続が確立できないという問題が発生する可能性があります。および vPC ペアの 2 番目のリーフ スイッチ上のピア上で学習されたエンドポイント。これは、ポート 179 を持つ中継 BGP パケットが VRF VNID ではなくブリッジ ドメイン VNID を使用して誤って転送されるために発生します。

この問題を解決するには、エンドポイントをファブリック内の他の非ピア リーフ スイッチに移動して、リーフ スイッチで学習されないようにします。

境界リーフ スイッチおよび GIR(メンテナンス)モード

境界リーフ スイッチに静的ルートがあり、GIR(Graceful Insertion and Removal)モード、またはメンテナンス モードがある場合、境界リーフ スイッチからのルートは ACI ファブリックにあるルーティング テーブルから削除されない可能性があり、ルーティングの問題が発生します。

この問題を回避するには、次のいずれかを実行します。

  • その他の境界リーフ スイッチで同じ管理ディスタンスを持つ同じ静的ルートを設定するか、

  • 静的ルートの次のホップへの到達性を追跡するため IP SLA または BFD を使用します

L3Out 集約統計情報は出力ドロップ カウンタをサポートしません

[テナント(Tenants)] [tenant_name] [ネットワーキング(Networking)] [L3Out] [L3Out_name] [統計情報(Stats)] を介して、[統計情報の選択(Select Stats)] ウィンドウにアクセスすると、L3Out 集約統計情報が出力ドロップ カウンタをサポートしていないことがわかります。 > > > > > これは、EPG VLAN からの出力ドロップを記録する ASIC に現在ハードウェア テーブルがないため、これらのカウンタに統計情報が入力されないためです。EPG VLAN の入力ドロップだけがあります。

CLI による更新

API または GUI で作成され CLI を通して更新されたレイヤ 3 外部ネットワークについては、プロトコルは API または GUI を通して外部ネットワークでグローバルに有効にする必要があり、CLI を介してさらに更新を行う前に、すべての参加ノードのノード プロファイルは API または GUI を通して追加される必要があります。

同じノード上のレイヤ 3 ネットワークのループバック

同じノードで 2 つのレイヤ 3 の外部ネットワークを設定するときに、ループバックはレイヤ 3 ネットワークに別々に設定されます。

入力べース ポリシーの適用

Cisco APIC リリース 1.2(1) 以降、入力ベース ポリシーの適用により、出入力両方向でレイヤ 3 アウトサイド(L3Out)トラフィックにポリシー適用を定義できます。デフォルトでは入力になっています。リリース 1.2(1) 以降にアップグレード中、既存の L3Out 設定が出力に設定され、動作が既存の設定と一致します。特別なアップグレードのシーケンスは必要ありません。アップグレード後、グローバル プロパティ値を入力に変更します。変更されると、システムがルールとプレフィックス エントリを再プログラミングします。規則は出力リーフから削除され、入力リーフ上に既存の規則がない場合は、入力リーフ上にインストールされます。既存の設定がない場合、Actrl プレフィックス エントリが入力リーフ上にインストールされます。ダイレクト サーバ リターン(DSR)および属性 EPG には入力ベースのポリシー適用が必要です。vzAny と禁止コントラクトは、入力ベースのポリシー適用を契約無視します。入力には中継規則が適用されます。

L3Outs によるブリッジ ドメイン

テナントのブリッジ ドメインには、共通テナントでプロビジョニングされている l3extOut によってアドバタイズされたパブリック サブネットを含めることができます。

OSPF と EIGRP のブリッジ ドメイン ルート アドバタイズメント

OSPF と EIGRP の両方があるノード上の同じ VRF で有効であり、ブリッジ ドメインのサブネットがいずれか 1 つの L3Out からアドバタイズされる場合、他の L3Out で有効になっているプロトコルからも同様にアドバタイズされます。

OSPF と EIGRP では、ブリッジ ドメイン ルート アドバタイズメントは VRF ごとに行われ、L3Out ごとには行われません。同じ VRF とノードで(複数エリアの)複数の OSPF L3Out が有効になっている場合、これと同じ動作が想定されます。この場合、ブリッジ ドメインのルートがいずれかの領域で有効になっていれば、すべての領域からアドバタイズされます。

BGP 最大プレフィックス制限

Cisco APICリリース 1.2(1x)以降、BGP l3extOut 接続のテナント ポリシーは、最大プレフィックス制限を使用して設定できます。これにより、ピアから受信されるルート プレフィックスの数をモニタし、制限することができます。最大プレフィックス制限を超えると、ログ エントリが記録され、さらにプレフィックスが拒否されます。カウントが一定の間隔でしきい値を下回る場合、接続を再起動することができますが、そうしない場合接続がシャット ダウンします。一度に 1 つのオプションだけを使用できます。デフォルト設定では 20,000 プレフィックスに制限され、その後は新しいプレフィックスは拒否されます。拒否オプションが導入されると、APIC でエラーが発生する前に BGP は設定されている制限よりも 1 つ多くプレフィックスを受け入れます。

MTU

  • Cisco ACI は IP フラグメンテーションをサポートしていません。したがって、外部ルータへのレイヤ 3 Outside(L3Out)接続、または Inter-Pod Network(IPN)を介した マルチポッド 接続を設定する場合は、インターフェイス MTU がリンクの両端で適切に設定されていることが推奨されます。Cisco ACICisco NX-OS、Cisco IOS などの一部のプラットフォームでは、設定可能な MTU 値はイーサネット ヘッダー (一致する IP MTU、14-18 イーサネット ヘッダー サイズを除く) を考慮していません。また、IOS XR などの他のプラットフォームには、設定された MTU 値にイーサネット ヘッダーが含まれています。設定された値が 9000 の場合、Cisco ACICisco NX-OS Cisco IOS の最大 IP パケット サイズは 9000 バイトになりますが、IOS-XR のタグなしインターフェイスの最大 IP パケットサイズは 8986 バイトになります。

  • 物理インターフェイスの MTU 設定は次のように異なります。Cisco ACI

    • サブインターフェイスの場合、物理インターフェイスの MTU は固定され、リーフ スイッチの前面パネルポートでは 9216 に設定されます。

    • SVI の場合、物理インターフェイス MTU はファブリック MTU ポリシーに基づいて設定されます。たとえば、ファブリック MTU ポリシーが 9000 に設定されている場合、SVI の物理インターフェイスは 9000 に設定されます。

L3Outs の QoS

L3Out 用の QoS ポリシーを設定し、L3Out が存在する BL スイッチで適用されるポリシーを有効にするには、次の注意事項に従ってください。

  • VRF ポリシー制御の適用方向を 出力 に設定する必要があります。

  • VRF ポリシー制御適用の優先度設定を 有効 に設定する必要があります。

  • L3Out を使用して EPG 間の通信を制御するコントラクトを設定する際に、コントラクトまたはコントラクトの件名に QoS クラスまたはターゲット DSCP を含めます。

ICMP 設定

ICMP リダイレクトおよび ICMP 到達不能は、スイッチ CPU がこれらのパケットを生成しないように、デフォルトで無効になっています。Cisco ACI

L3Out の設定例

[L3Outの作成(Create L3Out)] ウィザードを使用して L3Out を設定する場合は、さまざまなオプションを使用できます。次に、2 つの外部ルータで OSPF L3Out を設定する L3Out 設定の例を示します。これは、一般的な設定プロセスを理解するのに役立ちます。


(注)  

この例では、Cisco APIC リリース 4.2(x) および関連する GUI 画面を使用します。

トポロジの例

図 2. 2 つの外部ルータがある OSPF L3Out のトポロジ例

この基本的な L3Out の例は、次の方法を示しています。

  • 次の仕様で L3Out を設定します。

    • エリア 0 の OSPF

    • 2 台の外部ルータを使用

    • ルーテッド インターフェイス

    • 2 つの境界リーフ スイッチ

  • デフォルト ルートマップ(default-export)を使用して BD サブネットをアドバタイズします。

  • EPG1 と外部ルート(10.0.0.0/8)間のコントラクトとの通信を許可する

図 3. OSPF 構成図

上記の図は、のトポロジ例の設定を示しています。2 つの外部ルータがある OSPF L3Out のトポロジ例この例の設定フローは次のとおりです。

  1. L3Out:これにより、

    • L3Out 自体(OSPF パラメータ)

    • ノード、インターフェイス、OSPF I/ F プロファイル

    • 外部 EPG の範囲の外部サブネットを持つ L3Out EPG

  2. BD サブネットのアドバタイズ:

    • default-export route-map

    • Advertise Externallyスコープを持つ BD サブネット

  3. EPG - L3Out コミュニケーションを許可(Allow EPG-L3Out communication):これは、EPG1 と L3Out EPG1 間のコントラクトを使用します。

前提条件

図 4. 前提条件として作成されたオブジェクトの画面例

  • この設定例では、L3Out 設定部分のみに焦点を当てています。VRF、BD、EPG、アプリケーション プロファイル、アクセス ポリシー(レイヤ 3 ドメインなど)などの他の設定は対象外です。上記のスクリーン ショットは、次のような前提条件のテナント設定を示しています。

    • VRF1

    • サブネット192.168.1.254/24 の BD1

    • エンドポイントへのスタティック ポートを持つ EPG1

Create L3Out Wizard を使用した L3Out の作成例

このタスクでは、「トポロジの例」で説明する OSPF L3Out を作成します。このタスクに続いて、に示すように、2 つの境界リーフ スイッチと 2 つの外部ルータとの OSPF ネイバーシップを設定します。Cisco ACI2 つの外部ルータがある OSPF L3Out のトポロジ例

手順

ステップ 1

GUI の [ナビゲーション(Navigation)] ペインの、[テナント例(Tenant Example)] で [ネットワーキング(Networking)] [L3Out] の順に移動します。 >

ステップ 2

[L3Out の作成(Create L3Out)] を右クリックして選択します。

ステップ 3

[L3Out の作成(Create L3Out)] スクリーンで、[識別(Identity)] タブを選択して次のアクションを実行します。

  1. [名前(Name)] フィールドで、L3Out の名前を入力します。(EXAMPLE_L3Out1)

  2. [VRF] フィールドおよび [L3 ドメイン(L3 Domain)] フィールドで、適切な値を選択します。(VRF1, EXAMPLE_L3DOM)

  3. [OSPF] フィールドで、チェック ボックスをオンにします。

  4. [OSPF 領域 ID(OSPF Area ID)] フィールドで、値 0 またはテキスト [バックボーン(backbone)] を選択します。

  5. [OSPF 領域タイプ(OSPF Area Type)] フィールドで、[レギュラー領域(Regular area)] を選択します。

  6. 残りのフィールドはデフォルト値のままにします。

ステップ 4

[次へ(Next)] をクリックして [ノードとインターフェイス(Nodes and Interfaces)] 画面を表示し、次の操作を実行します。

  1. [インターフェイス タイプ(Interface Types)] 領域の [レイヤ 3(Layer 3)] フィールドと [レイヤ 2(Layer 2)] フィールドで、選択内容が上記のスクリーンショットの選択内容と一致することを確認します。

  2. [ノード(Nodes)] 領域で、[ノード ID(Node ID)] フィールドのドロップダウン リストからノード ID を選択します。(leaf2 (Node 102))

  3. [ルータ ID(Router ID)] フィールドに、適切なルータ ID を入力します。(2.2.2.2)

    [ループバック アドレス(Loopback Address)] フィールドは、入力したルータ ID 値に基づいて自動的に入力されます。ループバック アドレスは必要ないため、値を削除し、フィールドを空白のままにします。

  4. [インターフェイス(Interface)] フィールドで、インターフェイス ID を選択します。(eth1/11)

  5. [IP アドレス(IP Address)] フィールドに、関連付けされた IP アドレスを入力します。(172.16.1.1/30)

  6. [MTU] フィールドはデフォルト値のままにします。(inherit)

  7. [MTU] フィールドの横にある [+] アイコンをクリックして、ノード leaf2 のインターフェイスを追加します。(Node-102)

  8. [インターフェイス(Interface)] フィールドで、インターフェイス ID を選択します。(eth1/12)

  9. [IP アドレス(IP Address)] フィールドに、関連付けされた IP アドレスを入力します。(172.16.2.1/30)

  10. [MTU] フィールドはデフォルト値のままにします。(inherit)

ステップ 5

別のノードを追加するには、[ループバック アドレス(Loopback Address)] フィールドの横にある [+] アイコンをクリックし、次の操作を実行します。

(注)  

 

[+] アイコンをクリックすると、以前に入力した領域の下に新しい [ノード(Nodes)] 領域が表示されます。

  1. [ノード(Nodes)] 領域で、[ノード ID(Node ID)] フィールドのドロップダウン リストからノード ID を選択します。(leaf3 (Node-103))

  2. [Router ID] フィールドに、ルータ ID を入力します。(3.3.3.3)

    [ループバック アドレス(Loopback Address)] フィールドは、入力したルータ ID 値に基づいて自動的に入力されます。ループバック アドレスは必要ないため、値を削除し、フィールドを空白のままにします。

  3. [インターフェイス(Interface)] フィールドで、インターフェイス ID を選択します。(eth1/11)

  4. [IP Address] フィールドに、IP アドレスを入力します。(172.16.3.1/30)

  5. [MTU] フィールドはデフォルト値のままにします。(inherit)

  6. [MTU] フィールドの横にある [+] アイコンをクリックして、ノード leaf3 のインターフェイスを追加します。(Node-103)

  7. [インターフェイス(Interface)] フィールドで、インターフェイス ID を選択します。(eth1/12)

  8. [IP アドレス(IP Address)] フィールドに、関連付けされた IP アドレスを入力します。(172.16.4.1/30)

  9. [MTU] フィールドはデフォルト値のままにします。(inherit)、[次へ(Next)] をクリックします。

    各インターフェイスのノード、インターフェイス、および IP アドレスを指定しました。

ステップ 6

[次へ(Next)] をクリックして、[プロトコル(Protocols)] 画面を表示します。

この画面では、hello-interval、network-type などを設定するための OSPF インターフェイス レベル ポリシーを指定できます。

この例では、何も選択されていません。したがって、デフォルト ポリシーが使用されます。デフォルトの OSPF インターフェイス プロファイルは、ネットワーク タイプとして Unspecified を使用します。デフォルトはブロードキャスト ネットワーク タイプです。サブインターフェイスのポイントツーポイント ネットワーク タイプでこれを最適化するには、「OSPF インターフェイスレベルパラメータの変更(任意)」を参照してください。

ステップ 7

[次へ(Next)] をクリックします。

[外部 EPG(External EPG)] 画面に L3Out EPG の詳細が表示されます。この設定では、コントラクトに適用する EPG にトラフィックを分類します。

ステップ 8

[外部 EPG(External EPG)] スクリーンで次のアクションを実行します。

  1. [外部 EPG(External EPG)] 領域で、[名前(Name)] フィールドに、外部 EPG の名前を入力します。(L3Out_EPG1)

  2. [提供されたコントラクト(Provided Contract)] フィールドでは、値を選択しないでください。

    この例では、通常の EPG(EPG1)がプロバイダーであるため、L3Out_EPG1 に提供されるコントラクトはありません。

  3. [消費されたコントラクト(Consumed Contract)] フィールドで、ドロップダウン リストから、[デフォルト(default)] を選択します。

ステップ 9

[すべての外部ネットワークのデフォルト EPG(Default EPG for all external networks)] フィールドで、チェックボックスをオフにし、次の操作を実行します。

  1. [サブネット(Subnets)] 領域の [+] アイコンをクリックして、[サブネットの作成(Create Subnet)] ダイアログボックスを表示します。

  2. [IP アドレス(IP Address)] フィールドに、サブネットを入力します。(10.0.0.0/8)

  3. [外部 EPG 分類(External EPG Classification)] フィールドで、[外部 EPG の外部サブネット(External Subnets for the External EPG)] のチェックボックスをオンにします。[OK] をクリックします。

ステップ 10

[サブネット(Subnets)] 領域の [+] アイコンをもう一度クリックして [サブネットの作成(Create Subnet)] ダイアログボックスを表示し、次の操作を実行します。

(注)  

 

これはオプションの設定ですが、エンドポイントがこれらの IP と通信する必要がある場合に備えて、L3Out インターフェイス サブネットを指定することをお勧めします。

  1. [IP アドレス(IP Address)] フィールドに、サブネットを入力します。(172.16.0.0/21)

    このサブネットは、L3Out 内のすべてのインターフェイスをカバーします。代わりに、各ルーテッド インターフェイスの個々のサブネットを使用できます。

  2. [外部 EPG 分類(External EPG Classification)] フィールドで、[外部 EPG の外部サブネット(External Subnets for the External EPG)] のチェックボックスをオンにします。[OK] をクリックします。

  3. [終了] をクリックします。

L3Out OSPF が展開されました。

確認:Create L3Out Wizard を使用した L3Out の作成例

ウィザードを使用した設定が GUI にどのように表示されるかを確認し、設定が正確であることを確認します。Cisco APIC

手順

ステップ 1

[作業(Work)] ペインで、[Tenant_name] > [ネットワーキング(Networking)] > [L3Outs] > [EXAMPLE_L3Out1]の順に移動し、次のようにスクロールして詳細を表示します。

GUI のこの場所で、[L3Out の作成(Create L3Out)] ウィザードの [識別(Identity)] 画面で設定されている VRF、ドメイン、OSPF パラメータなどの主要な L3Out パラメータを確認します。

ステップ 2

OSPF がエリア ID やエリア タイプなどの指定されたパラメータで有効になっていることを確認します。

ステップ 3

[論理ノード プロファイル(Logical Node Profiles)] の下に、EXAMPLE_L3Out1_nodeProfile が作成され、ルータ ID で境界リーフ スイッチが指定されます。

ステップ 4

[論理インターフェイス プロファイル(Logical Interface Profile)] の下に、EXAMPLE_L3Out1_interfaceProfile が作成されます。

この例では、インターフェイス ID、IP アドレスなどのインターフェイス パラメータをルーテッド インターフェイスとして確認します。デフォルトの MAC アドレスが自動的に入力されます。OSPF インターフェイス プロファイルは、OSPF インターフェイス レベルのパラメータに対しても作成されます。

レビューが完了しました。

ルート マップによる BD サブネットのアドバタイズの設定

この例では、ルート マップ default-export を IP プレフィックス リストとともに使用して、BD サブネットをアドバタイズします。


(注)  

このデフォルト エクスポート ルート マップは、特定のものに関連付けられることなく、L3Out(EXAMPLE_L3Out1)に適用されます。

手順

ステップ 1

アドバタイズされる BD サブネットを有効にするには、[テナント(Tenant)] [ネットワーク(Networks)] [ブリッジ ドメイン(Bridge Domains)] [BD1] [サブネット(Subnets)] [192.168.1.254/24] に移動し、[外部的にアドバタイズ(Advertised Externally)] の範囲を選択します。 > > > > >

ステップ 2

L3Out(EXAMPLE_L3Out1)の下にルート マップを作成するには、[ルート制御のインポートおよびエクスポート向けルート マップ(Route map for import and export route control)] に移動します。

ステップ 3

右クリックして [ルート制御のインポートおよびエクスポート向けルート マップの作成(Create Route map for import and export route control)] を選択します。

ステップ 4

[ルート制御のインポートおよびエクスポート向けルート マップの作成(Create Route map for import and export route control)] ダイアログ ボックスの [名前(Name)] フィールドで、[default-export] を選択します。

ステップ 5

[タイプ(Type)] フィールドで、[ルート ポリシーの一致のみ(Match Routing Policy Only)] を選択します。

(注)  

 

[ルーティング ポリシーのみ照合(Match Routing Policy Only)]:この [タイプ(Type)] を default-export ルート マップで選択すると、すべてのルート アドバタイズメント設定がこのルート マップによって実行されます。外部 EPG で設定された BD アソシエーションおよびエクスポート ルート制御サブネットは適用されません。この L3Out からアドバタイズされるすべてのルートに対して、このルート マップ内のすべての一致ルールを設定する必要があります。

[プレフィックスおよびルーティング ポシリーの照合(Match Prefix and Routing Policy)]:この [タイプ(Type)] を default-export ルート マップで選択すると、ルート アドバタイズメントは、外部 EPG で定義された BD から L3Out へのアソシエーションおよびエクスポート ルート制御サブネットに加えて、このルート マップで設定されたすべての一致ルールと照合されます。

ルート プロファイルを使用する場合は、メンテナンスが容易なシンプルな設定のために [ルーティング ポリシーのみ照合(Match Routing Policy Only)] を使用することを推奨します。

ステップ 6

[コンテキスト(Contexts)] 領域で [+] アイコンをクリックして、[ルート制御コンテキストの作成(Create Route Control Context)] ダイアログ ボックスを表示し、次のアクションを実行します。

  1. [順序(Order)]フィールドで、順序を設定します。(0)

    この例では、注文は 1 つだけです。

  2. [名前(Name)] フィールドに、コンテキスト ポリシーの名前を入力します。(BD_Subnets)

  3. [アクション(Action)] フィールドで [許可(Permit)] を選択します。

    これにより、設定するプレフィックスを許可するルート マップが有効になります。

この例では、IP プレフィックス リスト [BD1_prefix] を必要とする一致ルールが必要です。この IP プレフィックス リストは、アドバタイズされた BD サブネットを指します。

ステップ 7

[一致ルール(Match Rule)] フィールドで、次の操作を実行して IP プレフィックス リストを作成します。

  1. [ルートマップの一致ルールの作成(Create Match Rule for a Route-Map)] を選択します。

  2. [名前(Name)] フィールドに、名前 [BD1_prefix] を入力します。

  3. [プレフィクスの一致(Match Prefix)] 領域で、[+] アイコンをクリックし、BD サブネット(192.168.1.0/24)を入力します。

コントラクトの確認

このタスクでは、エンドポイント(192.168.1.1)と外部プレフィックス(10.0.0.0/8、およびオプションで 172.16.0.0/21)間の通信を有効にするためのコントラクトを確認します。この例では、エンドポイントの EPG は EPG1 で、外部プレフィックスの外部 EPG は L3Out_EPG1 です。

必要な設定は、[L3Out の作成(Create L3Out)] ウィザードにすでに表示されています。

手順

ステップ 1

L3Out で [外部 EPG(External EPGs)] > [L3Out_EPG1] に移動します。

ステップ 2

[作業(Work)] ペインの [外部 EPG インスタンス プロファイル(External EPG Instance Profile)] 領域の [ポリシー全般(Policy General)] サブタブで、[プロパティ(Properties)] を確認し、外部 EPG の [外部サブネット(External Subnets)] で 2 つのサブネットが表示されることを確認します。 >

ステップ 3

次に、[コントラクト(Contracts)] サブタブをクリックし、前に指定した契約が正しく使用されていることを確認します。さらにコントラクトを追加する場合は、GUI でこの場所からアクションを実行できます。

ステップ 4

[アプリケーション プロファイル(Application Profile)] [アプリケーション EPG(Application EPGs)] [EPG1] [コントラクト(Contracts)] に移動し、EPG1 が適切なコントラクトを提供していることを確認します。 > > >

OSPF インターフェイス レベル パラメータの変更(任意)

Hello Interval、OSPF ネットワーク タイプなどの OSPF インターフェイス レベルのパラメータを変更する場合は、OSPF インターフェイス プロファイルで設定できます。ノード レベルの OSPF パラメータはすでに設定されています。

手順

ステップ 1

L3Out で、[論理インターフェイス プロファイル(Logical Interface Profile)] の [EXAMPLE_L3Out1_interfaceProfile] に移動します。 > >

ステップ 2

[ワーク(Work)] ペインの [プロパティ(Properties)] 領域で、使用する OSPF インターフェイス ポリシーを選択します。
これにより、OSPF インターフェイス レベルのパラメータが変更されます。