『Cisco Nexus Dashboard Orchestrator Configuration Guide for ACI Fabrics、Release 4.2(x)』

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索

検索結果

Updated:
2023年9月9日土曜日

章のタイトル: PBR を使用したサイト間中継ルーティング

PBR を使用したサイト間中継ルーティング

PBR を使用したサイト間中継ルーティング

次のセクションでは、Multi-Site ドメインでのポリシーベース リダイレクト(PBR)を使用したサイト間トランジット ルーティングの使用例のガイドライン、制限事項、および構成手順について説明します。


(注)  

次のセクションは、PBR を使用したサイト間中継ルーティング(L3Out-to-L3Out)にのみ適用されます。PBR を使用した L3Out から EPG へのサイト間通信については、 PBR を使用したサイト間 L3Out の章を参照してください。 PBR を使用しない単純なサイト間 L3Out の使用例については、「サイト間 L3Out」を参照してください。

次のセクションで説明する PBR を使用したサイト間トランジット ルーティングは、VRF 間シナリオと VRF 内シナリオの両方でサポートされます。

構成ワークフロー

次のセクションで説明する使用例は、基本的なサイト間 L3Out PBR の使用例の拡張であり、基本的なサイト間 L3Out(PBR なし)構成の拡張です。この機能を構成するには、次の手順を実行します。

  1. 各サイトの基本外部接続(L3Out)を構成します。

    以下のセクションで説明される PBR 構成を持つサイト間 L3Out は、各サイトの既存の外部接続(L3Out)の上部で構築されます。L3Out を構成していない場合、次のセクションに進む前に、外部接続(L3Out) で説明されるように 1 つ作成し展開します。

  2. PBR を使用しないユースケースの場合と同様に、2 つの L3Out 外部 EPG 間にコントラクトを作成します。

  3. 以下のセクションに説明されるように、L3Out コントラクトにサービス チェーンを追加します。これには、以下が含まれます。

    • サイト間 L3Out が展開されている各サイトの各ポッドに外部 TEP プールを追加します。

    • サービス デバイス テンプレートを作成し、サイトに割り当てます。

      サービス デバイス テンプレートは、PBR を使用したサイト間トランジット ルーティングを有効にするサイトに割り当てる必要があります。

    • サービス デバイス テンプレートにサイトレベル構成を提供します。

      各サイトは、異なる高可用性モデル(active/active、active/standby、独立サービス ノードなど)を含む独自のサービス デバイス構成を持つことができます。

    • 定義したサービス デバイスを、前の手順で展開した基本的なサイト間 L3Out の使用例に使用するコントラクトに関連付けます。

トラフィック フロー

このセクションでは、異なるサイトの 2 つの外部 EPG 間のトラフィック フローを要約します。


(注)  

この場合、2 つのサイトに展開された独立した FW サービスによる非対称トラフィック フローを回避するために、両方向のトラフィック フローは両方のファイアウォールを介してリダイレクトされます。

コンシューマからプロバイダへのトラフィック フロー

分類のために宛先外部 EPG に関連付けられている IP プレフィックスは、コンシューマ リーフ スイッチで(そのクラス ID を使用して)自動的にプログラムされるため、リーフ スイッチは常に宛先外部 EPG のクラス ID を解決でき、PBR ポリシーのローカル FW へのトラフィックのリダイレクトを適用します。

プロバイダからコンシューマへのトラフィック フロー

コンシューマからプロバイダへのスイッチと同様に、プロバイダ リーフ スイッチは常に宛先外部 EPG のクラス ID を解決でき、他の方向のローカル FW にトラフィックをリダイレクトする PBR ポリシーを適用します。

PBR を使用したサイト間転送ルーティングに関する注意事項と制約事項

マルチサイトで PBR を使用してサイト間トランジット ルーティングを展開する場合は、次の注意事項と制限事項が適用されます。

  • これらのユース ケースのアプリケーション テンプレートで定義されている既存のサービス グラフ オブジェクトを使用するとき、リリース 4.2(1) で導入された新しいサービス チェーン ワークフローを使用し、サービス デバイス テンプレートでポリシーを定義してコントラクトに関連付けることで、新しいサービス グラフを暗黙的に作成することを推奨します。

    次のセクションで説明する手順では、新しいサービス デバイス テンプレートを使用して、サポートされているユース ケースを有効にしますが、該当する場合は特定の違いについて説明します。


    (注)  

    アプリケーション テンプレートのサービス グラフ オブジェクトの構成は、今後のリリースで廃止されます。

  • L3Out VRF は、ストレッチ(VRF 内のユース ケースの場合)またはサイトローカル(VRF 間のユース ケースの場合)にすることができます。

    次のセクションでは、各サイトに VRF と L3Out がすでに構成されていることを前提としています。

    VRF と L3Out がまだない場合は、「外部接続(L3Out)」で説明されているように、アプリケーション テンプレートと L3Out テンプレートを使用して定義できます。

  • サービス デバイス インターフェイスにアタッチするサービス BD を拡張する必要があります。

    次のセクションでは、これらのユース ケースに使用するサービス デバイスのブリッジ ドメイン(BD)がすでにあることを前提としています。

    サービス BD がまだない場合は、通常どおりにアプリケーション テンプレートで作成できます。BD 構成の詳細については、「ブリッジ ドメインの設定」を参照してください。

  • このユース ケースでは、次はサポートされていません。

    • 新しいサービス デバイス テンプレートへの既存の構成のインポート。

      このリリースでは、新しいサービス デバイス テンプレート ワークフローを使用する場合、グリーンフィールド展開のみがサポートされます。以前にサポートされていたサービス グラフ オブジェクト構成を使用して、既存のサービス グラフ構成を APIC からアプリケーション テンプレートにインポートし、新しい vzAny PBR ユース ケースを展開できます。ただし、アプリケーション テンプレートのサービス グラフ オブジェクトは、今後のリリースで廃止される予定です。

    • L3Out の PBR 宛先。

    • [サービス グラフのコピー(Copy Service Graph)] 機能を使用したサービス グラフ デバイスのコピー。

    • 管理対象モード サービス グラフ。

      この機能は、APIC リリース 5.2(1) で廃止されました。

    • 特定のリモート リーフ構成。

      PBR を使用したサイト間トランジット ルーティングは、異なるサイトに属するリモート リーフ スイッチに展開された L3Outs(コンシューマまたはプロバイダ)間ではサポートされません。

    • ハイブリッド クラウド展開。

      次のセクションで説明するユース ケースは、オンプレミスのマルチサイト展開にのみ適用され、オンプレミスのファブリックとクラウド リソースを相互接続するハイブリッド クラウド ソリューションには適用されません。

サービス デバイス テンプレートの作成

次の手順では、サイト間トランジット ルーティングの使用例に使用するサービス ノードとその設定を使用してサービス デバイス テンプレートを作成する方法について説明します。

始める前に

手順

ステップ 1

Nexus Dashboard Orchestrator の GUI にログインします。

ステップ 2

左のナビゲーション ペインから、[構成(Configure)] > [テナント テンプレート(Tenant Template)]を選択します。

ステップ 3

(オプション)テナント ポリシー テンプレートと IP-SLA モニタリング ポリシーを作成します。

トラフィック リダイレクションの IP-SLA ポリシーを構成することを推奨します。これにより、以下の手順 7 で説明する PBR ポリシーの構成が簡素化されます。IP-SLA ポリシーがすでに定義されている場合は、この手順をスキップできます。それ以外の場合は、次の手順を実行します。

  1. [テナント ポリシー(Tenant Policies)] タブを選択します。

  2. [テナント ポリシー(Tenant Policy)]ページ内で[テナント ポリシー テンプレートの作成(Create Tenant Policy Template)]をクリックします。

  3. [テナント ポリシー(Tenant Policies)] ページの右のプロパティ サイトバーに、テンプレートのの [名前(Name)] を入力し、[テナントの選択(Select a Tenant)] を選択します。

  4. [テンプレート プロパティ(Template Properties)] ページで、[アクション(Actions)] > [サイトの追加/削除(Add/Remove Sites)] を選択し、それらのサイトにテンプレートを関連付けます。

  5. メインペインで、 [オブジェクトの作成(Create Object)] > [IPSLA モニタリング ポリシー(IPSLA Monitoring Policy)] を選択します。

  6. ポリシーの名前を指定し、その設定を定義します。

  7. [保存(Save)] をクリックして、テンプレートを保存します。

  8. [テンプレートの展開(Deploy)] をクリックして、展開します。

ステップ 4

サービス デバイス テンプレートを作成し、テナントおよびサイトに関連付けます。

  1. [テナント テンプレートの構成(Configure Tenant Templates)][テナント テンプレート > の構成(Configure Tenant Templates)] から、[サービス デバイス(Service Device)] タブを選択します。

  2. [サービス デバイス テンプレートの作成(Create Service Device Template)] をクリックします。

  3. 開くテンプレート プロパティ サイドバーで、テンプレートの [名前(Name)] を入力し、[テナントの選択(Select a Tenant)] を選択します。

  4. [テンプレート プロパティ(Template Properties)] ページで、[アクション(Actions)] > [サイトの追加/削除(Add/Remove Sites)] を選択し、それらのサイトにテンプレートを関連付けます。

  5. [保存(Save)] をクリックして、テンプレートを保存します。

ステップ 5

デバイス クラスタを作成して構成します。

  1. [テンプレート プロパティ(Template Properties)] ページ(テンプレートレベルの設定)で、[オブジェクトの作成(Create Object)] > [サービス デバイス クラスタ(Service Device Cluster)] を選択します。

    デバイス クラスタは、トラフィックをリダイレクトするサービスを定義します。このリリースでは、active/standby、active/active、または複数の独立したノードのクラスタの 3 つの異なる冗長モデルで展開できるファイアウォール サービス ノードへのリダイレクションがサポートされています。これらのさまざまなオプションのプロビジョニングについては、以下の手順 7 で説明します。サイトレベルでファイアウォール展開モデルを選択でき、同じ Multi-Site ドメインの一部であるさまざまなファブリックにさまざまなオプションを展開できることに注意してください。

  2. [<cluster-name>] サイドバーで、クラスタの [名前(Name)]を入力します。

    [デバイスの場所(Device Location)][デバイスモード(Device Mode)] は、現在サポートされているユースケースに基づいて事前に入力されています。

  3. [デバイス タイプ(Device Type)] を選択します。

  4. [デバイス モード(Device Mode)] で、[L3] を選択します。

  5. [接続モード(Connectivity Mode)] の場合、[ワン アーム(One Arm)] を選択します。

    このリリースでは、シングルノード デバイスのみがサポートされます。

  6. [インターフェイス名(Interface Name)] を入力します。

  7. [インターフェイス タイプ(Interface Type)] で、[BD]を選択します。

  8. [BD の選択(Select BD)] をクリックして、このデバイスを接続するサービス ブリッジ ドメインを選択します。

    これは、PBR を使用したサイト間転送ルーティングに関する注意事項と制約事項 の一部として作成した拡張サービス BD です(例:FW-external)。

  9. [リダイレクト(Redirect)] オプションで、[はい(Yes)] を選択します。

    PBR のユース ケースでは、リダイレクトの有効化を選択する必要があります。[はい(Yes)] を選択すると、[IP SLA モニタリング ポリシー(IP SLA Monitoring Policy)] オプションが使用可能になります。

  10. (オプション)[IP SLA モニタリング ポリシーの選択(Select IP SLA Monitoring Policy)] をクリックし、前の手順で作成した IP SLA ポリシーを選択します。

  11. (オプション)サービス クラスタの追加設定を指定する場合は、[詳細設定(Advanced Settings)] 領域で [有効(Enable)] を選択します。

    次の詳細設定を構成できます。

    • QoS ポリシー:リダイレクトされたトラフィックに ACI ファブリック内で特定の QoS レベルを割り当てることができます。

    • 優先グループ:このサービス クラスタが優先グループの一部であるかどうかを指定します。

    • ロード バランシング ハッシュ:PBR ロード バランシングのハッシュ アルゴリズムを指定できます。

      (注)  

       

      vzAny-to-EPG ユースケースのロードバランシング ハッシュは変更できますが、vzAny-to-vzAny、vzAny-to-ExtEPG、および ExtEPG-to-ExtEPG ユース ケースはデフォルト構成のみをサポートしているため、デフォルト値のままにする必要があります。

      詳細については、「ACI ポリシーベースのリダイレクト サービス グラフの設計」を参照してください。

    • ポッド対応リダイレクション:優先 PBR ノードを指定する場合は、マルチポッド構成で構成できます。ポッド対応リダイレクションを有効にすると、ポッド ID を指定でき、リダイレクトは指定されたポッドにあるリーフ スイッチでのみプログラムされます。

    • 送信元 MACの書き換え:PBR ノードが IP ベースの転送ではなく「送信元 MAC ベースの転送」を使用している場合に、送信元 MAC アドレスを更新します。

      詳細については、「ACI ポリシーベースのリダイレクト サービス グラフの設計」を参照してください。

    • 高度なトラッキング オプション:サービス ノード トラッキングのさまざまな詳細設定を設定できます。詳細については、「サービスノードをトラッキングするためのポリシーベースリダイレクトとしきい値の設定」を参照してください。

  12. Ok をクリックして保存します。

    サービス デバイス クラスタを作成すると、[テンプレート プロパティ(Template Properties)](テンプレート レベルの構成)ページで赤色で強調表示されることに注意してください。現在ファイアウォール サービスへのリダイレクトを定義しましたが、ファイアウォール情報とサイトローカル レベルで使用するリダイレクト ポリシーを指定する必要があります。

ステップ 6

前の手順で作成したサービス デバイス クラスタのサイトローカル構成を指定します。

  1. [サービスデバイステンプレート(Service Device Template)] 画面で、<site-name> タブをクリックします。

  2. サイト レベルで、作成したサービス デバイス クラスタを選択します。

  3. プロパティのサイドバーで、[ドメイン タイプ(Domain Type)] を選択します。

    このサイトのファイアウォールデバイスが物理または VMM(仮想であり、VMM ドメインの一部であるハイパーバイザによってホストされる)のいずれであるかを選択できます。

  4. [ドメインの選択(Select Domain)] をクリックして、このファイアウォール デバイスが属するドメインを選択します。

    物理ドメインまたは仮想ドメインのいずれかを選択できます。

    • 物理ドメインを選択した場合は、次の情報を入力します。

      • VLAN:ファブリックとファイアウォール デバイス間のトラフィックに使用される VLAN ID を指定する必要があります。

      • ファブリックからデバイスへの接続:ファイアウォール デバイスへのファブリックの接続に関するスイッチ ノードとインターフェイス情報を提供します。

    • VMM ドメインを選択した場合は、追加のオプションを指定します。

      • トランキング ポート:L4-L7 VM のタグ付きトラフィックを有効にするために使用されます。

        デフォルトで、ACI サービス グラフ構成では、アクセスモード ポート グループが作成され、L4-L7 VM の vNIC に自動的に接続されます。

      • 無差別モード:L4-L7 仮想アプライアンスが、VM が所有する vNIC MAC 以外の MAC アドレス宛のトラフィックを受信する必要がある場合に必要です。

      • VLAN:VMM ドメインのオプション構成であり、指定されていない場合は、ドメインに関連付けられたダイナミック VLAN プールから割り当てられます。

      • 拡張 LAG オプション:ハイパーバイザとファブリック間のポートチャネルに拡張 LACP を使用している場合。

      • VM 名:この VMM ドメインで使用可能なすべての VM のリストからファイアウォールの VM を選択し、ファイアウォール トラフィックに使用されるインターフェイス(VNIC)を選択します。

        展開するデバイス クラスタの種類に応じて、[+ VM 情報の追加(+Add VM information)] をクリックして追加のクラスタ ノードを指定します。

ステップ 7

FW デバイス情報と PBR 宛先 IP アドレスを指定します。

前述のように、このリリースでは、高可用性 FW クラスタの 3 つの展開オプション(active/standby クラスタ、active/active クラスタ、独立アクティブ ノード)がサポートされています。3 つのすべての展開オプションで、IP-SLA ポリシー(手順 3 で説明)を使用すると、ファイアウォール ノードの IP アドレスのみを指定でき、対応する MAC アドレスが自動的に検出されます。

(注)  

 

異なるサイトに異なる設計を展開できます。

  • Active/standby クラスタは、単一の MAC/IP ペアによって識別されます。

    この場合、アクティブなファイアウォール ノードを識別する単一の PBR 宛先 IP アドレスを指定し、クラスタ内のすべてのノードに関する情報も含める必要があります。

    たとえば、2 ノードの active/standby クラスタの場合は、次のように指定します。

    • 仮想ファイアウォール クラスタの場合、アクティブ ファイアウォール ノードとスタンバイ ファイアウォール ノードを表す VM と、PBR の宛先としてのアクティブ ファイアウォールの IP アドレスを表します。

    • 物理ファイアウォール クラスタの場合、アクティブ ファイアウォール ノードおよびスタンバイ ファイアウォール ノードをファブリックのリーフ スイッチに接続するために使用されるインターフェイス(以下の具体例では vPC インターフェイス)と、PBR の宛先となるアクティブ ファイアウォールの IP アドレス。

  • Active/active クラスタは、単一の MAC/IP ペアによっても識別されます。

    Cisco ファイアウォール(ASA または FTD モデル)の場合、Active/Active クラスタは物理フォーム ファクタでのみサポートされ、すべてのクラスタ ノードは同じ MAC/IP アドレスを所有し、ACI リーフ スイッチのペアに展開された同じ vPC 論理接続に接続されている必要があります。その結果、次の図は、単一の vPC インターフェイスと単一の IP アドレスを NDO でプロビジョニングする方法を示しています。ここでは、前の使用例で説明した IPSLA ポリシーを使用すると、MAC アドレスが動的に検出されます。

  • 独立したアクティブ ノード構成の場合、各アクティブ ノードは一意の MAC/IP アドレス ペアによって識別されます。

    対称 PBR により、トラフィックは両方向で同じアクティブ ノードによって処理されることに注意してください。

    この場合、NDO 構成で各アクティブ ノードの個々の IP アドレスと各ノードの情報を指定する必要があります。

    たとえば、3 つの独立したファイアウォール ノードを展開する場合は、次のように指定します。

    • 仮想ファイアウォール フォーム ファクタの場合、3 つのファイアウォール ノードを表す VM と、PBR 宛先としての一意の IP アドレス。

    • 物理ファイアウォールのフォーム ファクタの場合、各ファイアウォール ノードをファブリックのリーフ スイッチに接続するために使用されるインターフェイス(以下の具体例では vPC インターフェイス)と、PBR の宛先となる各ファイアウォール ノードの固有 IP アドレス。

  1. [デバイス接続にファブリックを追加(Add Fabric To Device Connectivity)](物理ドメイン)または [VM 情報を追加(Add VM Information)](VMM ドメイン)をクリックします。

    前の手順で物理ドメインと VMM ドメインのどちらを選択したかに応じて、ファイアウォール VM またはファイアウォール デバイスへの物理ファブリック接続のいずれかの情報を指定します。

    物理ドメインの場合は、ポッド、スイッチノード、およびインターフェイス情報を指定します。

    VMM ドメインの場合は、VM 名と vNIC 情報を指定します。

  2. [PBR 宛先の追加(Add PBR Destination)] をクリックして、サービス ブリッジ ドメインに接続されているファイアウォール上のインターフェイスの IP アドレスを指定します。

    展開するデバイス クラスタの種類によっては、1 つ以上の PBR 宛先 IP アドレスを指定する必要があります。

    (注)  

     

    これにより、ファイアウォールのインターフェイスに IP アドレスがプロビジョニングされるのではなく、その IP アドレスへのトラフィックのリダイレクトが構成されるだけです。特定のファイアウォール構成は NDO から展開されないため、個別にプロビジョニングする必要があります。

  3. [OK] をクリックして、構成を保存します。

  4. テンプレートを関連付けた他のサイトに対してこの手順を繰り返します。

ステップ 8

テンプレートを保存して展開します。

  1. [サービス デバイス テンプレート(Service Device Template)] レベルで、[保存(Save)] をクリックしてテンプレート構成を保存します。

  2. [テンプレート プロパティ(Template Properties)] タブを選択し、[テンプレートの展開(Deploy Template)] をクリックして構成をサイトにプッシュします。

  3. (オプション)構成がサイトレベルで作成されたことを確認します。

    L4-L7 デバイスが APIC で設定されていることを確認するには、APIC GUI で <tenant-name> > Services > L4-L7 > Devices > <cluster-name> に移動します。これにより、デバイスクラスタが、前の手順で指定したすべての構成とともに表示されます。

    PBR ポリシーが APIC で構成されたことを確認するには、 <tenant-name> > Policies > Protocol > L4-L7 Policy-Based Redirectに移動し、手順 8i で選択した IP SLA モニタリング ポリシーと手順 7d で提供した IP アドレスで定義された <cluster-name>-one-arm リダイレクトが表示されるはずです。

次のタスク

サービス デバイス構成を展開したら、コントラクトの作成とサービスチェーンの追加 の説明に従って、アプリケーション テンプレート、外部 EPG、およびサービス チェーンを関連付けるコントラクトを作成します。

コントラクトの作成とサービスチェーンの追加

サービス デバイス テンプレートを作成して展開し、各サイトの L3Outs の外部 EPG を使用してアプリケーション テンプレートを作成した後、外部 EPG 間のコントラクトを作成し、前のセクションで作成したサービス デバイスとコントラクトを関連付けて、ポリシーベース リダイレクトを使用したサイト間のトランジットを可能にします。

始める前に

手順

ステップ 1

L3Outs の外部 EPG と外部 EPG 間のコントラクトを作成するアプリケーション テンプレートに移動します。

ステップ 2

2 つの外部 EPG を作成し、各サイトの L3Out をサイトレベルで外部 EPG に関連付けます。

これは、ファブリックの外部接続を作成するときに通常使用するプロセスと同じです。L3Out テンプレートと外部 EPG の詳細については、外部接続(L3Out) を参照してください。

ステップ 3

通常どおりにコントラクトを作成し、コンタクトを両方の外部 EPG に関連付けます。

この場合、外部 EPG の 1 つはコンシューマになり、もう 1 つはプロバイダになります。

ステップ 4

作成したコントラクトを選択します。

ステップ 5

[サービス チェーン(Service Chaining)] 領域で、[+ サービス チェーン(+Service Chaining)] をクリックします。

(注)  

 

これらの手順は、サービス デバイス テンプレートの作成 で説明されているように、リリース 4.2(1) で導入された新しいサービス デバイス テンプレート ワークフローを使用して、この使用例の新しいサービス デバイスを構成していることを前提としています。アプリケーション テンプレートでサービス グラフがすでに定義されている場合は、代わりに [サービス グラフ(Service Graph)] を選択し、既存のサービス グラフを選択します。ただし、[サービス グラフ(Service Graph)] オプションは将来のリリースで廃止されることに注意してください。

ステップ 6

[デバイスタイプ(Device Type)] で、[ファイアウォール(Firewall)] を選択します。

このリリースでは、ワンアーム ファイアウォール サービス グラフのみがサポートされます。

ステップ 7

[デバイス(Device)] ドロップダウンから、前の手順で作成した FW デバイス クラスタを選択します。

ステップ 8

[コンシューマ コネクタ タイプのリダイレクト(Consumer Connector Type Redirect)] が有効になっていることを確認します。

ステップ 9

[プロバイダー コネクタ タイプのリダイレクト(Provider Connector Type Redirect)] が有効になっていることを確認します。

ステップ 10

[追加(Add)] をクリックして続行します。

ステップ 11

[保存(Save)] をクリックして、テンプレートを保存します。

ステップ 12

[テンプレートの展開(Deploy)] をクリックして、展開します。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ