L3Out テンプレート概要
リリース 4.1(1)以降、Nexus ダッシュボード オーケストレータ(NDO)は、Cisco ACI ファブリックの L3Out を作成および構成するための多数の新しいポリシーと、L3Out および SR-MPLS L3Out 構成専用の新しいテンプレート タイプを導入しました。
すでにご存知かもしれませんが、NDO の以前のリリースでは、アプリケーション テンプレートに L3Out コンテナを作成する機能があり、L3Out を作成してサイトに展開できました。ただし、実際の L3Out 構成は、サイトのコントローラ(Cisco APIC)にログインし、各 L3Out の詳細を個別に提供することにより、手動で行う必要がありました。
リリース 4.1(1)では、L3Out および SR-MPLS L3Out の構成全体(ノード、インターフェイス、およびその他の設定を含む)を NDO で直接実行し、マルチサイト ドメイン内のすべてのファブリックに展開できます。これを実現するために、新しい L3Out 固有のテンプレート タイプが追加され、L3Out および SR-MPLS L3Out 構成が含まれています。アプリケーション テンプレートと同様に、L3Out テンプレートにはテナントとの 1 対 1 の関連付けがありますが、アプリケーション テンプレートとは異なり、L3Out テンプレートは単一のサイトにのみ関連付ける必要があります。
(注) |
アプリケーション テンプレートの従来の L3Out コンテナ オブジェクトは、下位互換性のために引き続き機能します。ただし、特定の L3Out および SR-MPLS L3Out 構成を定義する場合は、新しいテンプレート タイプを使用することをお勧めします。 従来の SR-MPLS L3Out オブジェクトはアプリケーション テンプレートから削除され、すべての SR-MPLS L3Out 構成は、L3Out 固有のテンプレートを使用して行う必要があります。 |
テンプレートとポリシー オブジェクトの依存関係
次の図は、完全な L3Out 構成を定義するために必要な、複数のテンプレートにわたるテンプレートとポリシーの階層を示しています。-
L3Out によって使用される VRF と、L3Out との間でトラフィックを送受信する外部 EPG は、引き続きアプリケーション テンプレートで定義されます。
-
ノードまたはインターフェイスのルーティング ポリシー、BGP ピア プレフィックス、および IP SLA ポリシーが、テナント ポリシー テンプレートで定義されるようになりました。
これらのポリシーは、次の箇条書きで説明されているように、L3Out 固有のテンプレートとそのテンプレートで定義されたポリシーによって使用されます。
-
L3Outs の場合、テンプレートには次のものが含まれます。
-
ルート制御のためのルーティング プロトコル(BGP/OSPF)、VRF、L3Domain、およびルート マップ。
-
L3Out ルーティング プロトコルとノード レベルのプロトコル構成を展開する境界リーフ スイッチ(ノード)。
-
L3Out ルーティング プロトコルとインターフェイス レベルのプロトコル構成を展開する境界リーフ スイッチ インターフェイス。
-
ノード/インターフェース グループ ポリシーを使用したノード レベルおよびインターフェース レベルの共通構成。
ノード グループの構成には、ループバック インターフェイスの BGP ピア、BFD マルチホップ設定、および以下で説明するノード ルーティング グループ ポリシーとの関連付けが含まれます。
インターフェイス グループの構成には、OSPF および BFD プロトコル設定、および以下で説明するインターフェイス ルーティング グループ ポリシーとの関連付けが含まれます。
これらのポリシーは、前の箇条書きで説明したテナント ポリシー テンプレートで定義されたポリシーを使用します。たとえば、ノードおよびインターフェース グループ ポリシーには、テナント ポリシー テンプレートで定義されたノードおよびインターフェース ルーティング ポリシーが必要です。
-
-
SR-MPLS L3Out の場合、テンプレートを使用すると、ラベルを定義し、ルート制御のためにルート マップをインポート/エクスポートできます。
テナント ポリシー テンプレート:ノード ルーティング グループ ポリシー
テナント ポリシー テンプレートのノード ルーティング ポリシーは、ノードまたは境界リーフ レベルで適用でき、L3Out テンプレートのノード グループ ポリシーで使用できるプロトコル ポリシーのセットです。次の 3 つの設定が含まれます。
-
BFD マルチホップ設定 – 1 つ以上のホップのある接続先の転送の失敗の検出を提供します。
この場合、単一ホップで作られるインターフェイスの代わりにマルチホップ セッションが送信元と接続先の間に作られます。
-
BGP ノード設定 – BGP ピアの間のトラフィックに BGP プロトコル タイマーとセッション設定を構成することができます。
-
BGP ベストパス コントロール – 様々な BGP ASN から受けとった複数のパスの間の load-balancing の有効化である
as-path multipath-relax
を有効にできます。
このポリシーは、テナント ポリシー テンプレートを使用して構成および展開され、L3Out テンプレートで構成された L3Out によって使用されます。
テナント ポリシー テンプレート: インターフェイス ルーティング グループ ポリシー
テナント ポリシー テンプレートのインターフェイス ルーティング ポリシーは、L3Out テンプレートのインターフェイス グループ ポリシーで使用されるように、インターフェイス レベルで適用できる一連のポリシーです。次の 3 つの設定が含まれます。
-
ルート制御のルート マップ ポリシー – ACI ファブリックと外部ネットワーク間のトラフィックをルーティングするためのルーティング ルールとアクションを含むルート マップを定義できます。
-
BFD 設定 – ピアリング ルータ 接続のサポートのために構成されている ACI ファブリック境界線リーフ スイッチの転送の失敗の検出を提供します。
複数のプロトコルがルータ間ので有効にされている場合、各プロトコルにリンク失敗の検出機能が備わっています。それぞれ、違うタイムアウトがある可能性があります。BFD は、一貫性のある予測できる統合時間を出すために全てのプロトコルに対して均一なタイムアウトを出します。
-
BFD マルチホップ設定 – 1 つ以上のホップのある接続先の転送の失敗の検出を提供します。
上記の「テナント ポリシー テンプレート:ノード ルーティング グループ ポリシー」セクションで説明したように、これらの設定をノード レベルで構成できます。インターフェイスがその設定を継承した場合、インターフェイス ルーティング グループ ポリシーの単独インターフェイスの node-level 設定を上書きできます。
(注)
BFD マルチホップ設定には、Cisco APIC リリース 5.0(1) 以降が必要です。
-
OSPF インターフェイス設定 – OSPF ネットワーク タイプ、優先度、コスト、間隔、制御などのインターフェイス レベルの設定を構成できます。
(注)
このポリシーは、OSPF を使用して L3Out を展開するときに作成する必要があります。
このポリシーは、テナント ポリシー テンプレートを使用して構成および展開され、L3Out テンプレートで構成された L3Out によって使用されます。
テナント ポリシー テンプレート: 個別のポリシー
上記のグループ ポリシーに加えて、テナント ポリシー テンプレートには、L3Out 構成に関連する次の個別のポリシーも含まれています。
-
BGP ピア プレフィックス ポリシー –ネイバーから受信できるプレフィックスの数と、許可されるプレフィックスの数を超えた場合に実行するどのアクションかを定義します。
このポリシーは、テナント ポリシー テンプレートを使用して構成および展開され、L3Out テンプレートで構成された L3Out によって使用されます。
-
IP SLA モニタリング ポリシー – プローブのタイプ(ICMP/TCP/HTTP)と、エンドポイントのモニタリングに使用するそれぞれの設定を定義します。このポリシーは、モニタリングするネットワーク セグメントである「トラック メンバー」と呼ばれるモニタリング プローブ プロファイルに関連付けられます。IP SLA モニタリング ポリシーを追跡リスト(複数の追跡メンバーを含む)に関連付け、この追跡リストを静的 ルートに関連付けて、ルート上の追跡リスト メンバーの可用性をモニタリングすることができます。さらに、IP SLA モニタリング ポリシーを静的 ルートのネクストホップ アドレスに直接関連付けて、ルート上の可用性をモニタリングすることができます。
(注)
HTTP タイプの IP SLA モニタリング ポリシーには、Cisco APIC リリース 5.1(3)以降が必要です。
-
IP SLA 追跡リスト - 追跡する IP アドレス、IP SLA モニタリング ポリシー(プローブの頻度とタイプ)、および範囲(ブリッジ ドメインまたは L3Out)を定義します。IP SLA トラック リストは一つ以上のトラック メンバーを集約し、ルートが使用可能か使用不可能か認識させるトラック メンバーの重さの
上
/下
の割合を定義します。追跡リストに基づいて、利用可能なルートはルーティング テーブルに残り、利用できないルートは追跡リストが回復するまで削除されます。このポリシーは、テナント ポリシー テンプレートを使用して構成および展開され、L3Out テンプレートで構成された L3Out によって使用されます。さらに、IPSLA 追跡リストは、モニタリング ポリシーと同じテナント ポリシー テンプレートで構成して、それによって使用することができます。
L3Out テンプレート
L3Out テンプレートで定義された L3Out を使用すると、ルーティング プロトコルまたは静的 ルートを介して、ACI ファブリック内のエンドポイントから外部ネットワーク ドメインへの接続を有効にするために必要なすべての構成を定義できます。NDO の L3Out オブジェクトには、以下に必要な設定が含まれています。
-
ルーティング プロトコルまたは静的ルートを介した外部ルートの学習。
-
学習した外部ルートを他のリーフ スイッチに配布します。
-
外部ネットワークへの ACI 内部ルート(BD サブネット)のアドバタイズ。
-
学習した外部ルートを他の L3Out にアドバタイズします(トランジット ルーティング)。
L3Out テンプレートを作成で後述するように、L3Out テンプレートを作成し、L3Out 固有のオブジェクトとプロパティを構成すると、次のことが行われます。
-
L3Out に対して、VRF、L3 ドメイン、ルーティング プロトコル(BGP および/または OSPF)などの多くの共通プロパティを定義します。
-
1 つ以上の境界リーフ スイッチ(ノード)を指定し、オプションで各ノードをノード グループ ポリシーに関連付けます。
-
これらの境界リーフ スイッチに 1 つ以上のインターフェイスを指定し、オプションで各インターフェイスを上記のインターフェイス グループ ポリシーに関連付けます。
-
L3Out テンプレートを作成し、1 つ以上の L3Out を展開したら、通常どおり、アプリケーション テンプレートのコントラクトを使用して、ACI EPG と外部ネットワーク間のトラフィックを制御できます。