VXLAN の注意事項と制約事項
VXLAN には、次の注意事項と制限事項があります。
ACL の方向 |
ACL タイプ |
VTEP タイプ |
ポート タイプ |
フローの方向 |
トラフィック タイプ |
サポート対象 |
---|---|---|---|---|---|---|
入力 |
PACL |
入力 VTEP |
L2 ポート |
ネットワークにアクセス [GROUP:encap direction] |
ネイティブ L2 トラフィック [GROUP:inner] |
YES |
VACL |
入力 VTEP |
VLAN |
ネットワークにアクセス [GROUP:encap direction] |
ネイティブ L2 トラフィック [GROUP:inner] |
YES |
|
入力 |
RACL |
入力 VTEP |
テナント L3 SVI |
ネットワークにアクセス [GROUP:encap direction] |
ネイティブ L3 トラフィック [GROUP:inner] |
YES |
出力 |
RACL |
入力 VTEP |
アップリンク L3/L3-PO/SVI |
ネットワークにアクセス [GROUP:encap direction] |
VXLAN encap [GROUP:outer] |
NO |
入力 |
RACL |
出力 VTEP |
アップリンク L3/L3-PO/SVI |
ネットワークにアクセス [GROUP:decap direction] |
VXLAN encap [GROUP:outer] |
NO |
出力 |
PACL |
出力 VTEP |
L2 ポート |
ネットワークにアクセス [GROUP:decap direction] |
ネイティブ L2 トラフィック [GROUP:inner] |
NO |
VACL |
出力 VTEP |
VLAN |
ネットワークにアクセス [GROUP:decap direction] |
ネイティブ L2 トラフィック [GROUP:inner] |
NO |
|
出力 |
RACL |
出力 VTEP |
テナント L3 SVI |
ネットワークにアクセス [GROUP:decap direction] |
Post-decap L3 トラフィック [GROUP:inner] |
YES |
-
Cisco NX-OS リリース 10.3(1)F 以降、ノンブロッキング マルチキャスト(NBM)機能と VXLAN は、同じボックスで 2 つの異なる VRF で共存できます。
(注)
アンダーレイが実行されるデフォルトの VRF で NBM が有効になっていないことを確認してください。
-
スケール環境では、VRF およびレイヤ 3 VNI(L3VNI)に関連する VLAN ID を system vlan nve-overlay id コマンドで予約する必要があります。
-
ユニキャスト、マルチキャスト、および IGMP マルチキャスト モードの NLB は、Cisco Nexus 9000 スイッチ VXLAN VTEP ではサポートされていません。回避策は、(それぞれのモードで NLB をサポートする)中間デバイスの背後に NLB クラスタを移動し、VXLAN ファブリックに外部プレフィックスとしてクラスタ IP アドレスを挿入することです。
-
MultiAuth 認可変更(CoA)のサポートが追加されました。詳細については、『Cisco Nexus 9000 Series NX-OS Security Configuration Guide、Release 9.3(x)』を参照してください)。
-
lacp vpc-convergence コマンドは、LACP をサポートするホストへの vPC ポート チャネルがある VXLAN および非 VXLAN 環境で設定できます。
-
vPC あり/なしの VXLAN アンダーレイの PIM BiDir がサポートされます。
VXLAN アンダーレイの PIM BiDir が設定されている場合、次の機能はサポートされません。
-
VXLAN のフラッディング アンド ラーニング
-
テナント ルーテッド マルチキャスト(TRM)
-
VXLAN EVPN マルチサイト
-
VXLAN EVPN マルチホーミング
-
vPC 接続 VTEP
冗長 RP の場合は、Phantom RP を使用します。
PIM ASM から PIM BiDir に、または PIM BiDir から PIM ASM アンダーレイに移行する場合は、次の手順例を使用することをお勧めします。
no ip pim rp-address 192.0.2.100 group-list 230.1.1.0/8 clear ip mroute * clear ip mroute date-created * clear ip pim route * clear ip igmp groups * clear ip igmp snooping groups * vlan all
すべてのテーブルがクリーンアップされるまで待ちます。
ip pim rp-address 192.0.2.100 group-list 230.1.1.0/8 bidir
-
-
no feature pim コマンドを入力しても、ルートの NVE 所有権は削除されないため、ルートは維持され、トラフィックは流れ続けます。エージングは PIM によって実行されます。PIM は VXLAN encap フラグを持つエントリをエージング アウトしません。
-
Fibre Channel over Ethernet(FCoE)N ポート仮想化(NPV)は、異なるファブリック アップリンクで VXLAN と共存できますが、Cisco Nexus 93180YC-EX および 93180YC-FX スイッチの同じまたは異なる前面パネル ポートにあります。
ファイバ チャネル N ポート仮想化(NPV)は、異なるファブリック アップリンク上の VXLAN と共存できますが、Cisco Nexus 93180YC-FX スイッチの同じまたは異なる前面パネル ポート上にあります。VXLAN は、イーサネット前面パネルポートにのみ存在し、FC 前面パネルポートには存在しません。
-
VXLAN は Cisco Nexus 9348GC-FXP スイッチではサポートされています。
-
VXLAN は Cisco Nexus 92348GC スイッチではサポートされません。
-
SVI が VTEP(フラッドアンドラーニング、または EVPN)で有効になっている場合は、hardware access-list tcam region arp-ether 256 コマンドを使用して ARP-ETHER TCAM が切り分けられていることを確認します。この要件は、Cisco Nexus 9200、9300-EX、9300-FX/FX2/FX3、および 9300-GX プラットフォーム スイッチ、および 9700-EX ライン カードを搭載した Cisco 9500 シリーズ スイッチには適用されません。
-
VXLAN での PBR の load-share キーワードの使用方法については、 『Cisco Nexus 9000 Series NX-OS Unicast Routing Configuration Guide、Release 9.3(x)』の「Guidelines and Limitations for Policy-Based Routing」セクションを参照してください。
-
Cisco NX-OS リリース 9.3(3) 以降、ARP 抑制は Cisco Nexus 9300-GX プラットフォーム スイッチでサポートされます。
-
Cisco NX-OS リリース 9.3(5) 以降、ARP 抑制は Cisco Nexus 9364C、9300-EX、9300-FX/FX2/FXP、および 9300-GX プラットフォーム スイッチのリフレクション リレーでサポートされます。リフレクティブ リレーについては、『Cisco Nexus 9000 Series NX-OS Layer 2 Switching Configuration Guide』を参照してください。
-
Cisco NX-OS リリース 9.3(5) 以降、Cisco Nexus 9332C、9364C、9300-EX、9300-FX/FX2/FXP、および 9300-GX プラットフォーム スイッチと -EX/FX ライン カードを備えた Cisco Nexus 9500 プラットフォーム スイッチの非 VXLAN L3 IP トラフィックを伝送する VXLAN アップリンクのサブインターフェイスの機能があります。この機能は、VXLAN フラッド アンド ラーニング、VXLAN EVPN、VXLAN EVPN マルチサイト、および DCI でサポートされます。
-
Cisco NX-OS リリース 9.3(6) 以降では、VXLAN フラッド アンド ラーニング モードが Cisco Nexus 9300-GX プラットフォーム スイッチでサポートされます。
-
Cisco NX-OS リリース 10.1(1) 以降、VXLAN フラッド アンド ラーニング モードは N9K-C9316D-GX、N9K-C93600CD-GX、および N9K-C9364C-GX TOR スイッチでサポートされます。
-
-R ライン カードを備えた Cisco Nexus 9504 および 9508 スイッチの場合、VXLAN レイヤ 2 ゲートウェイは 9636C-RX ライン カードでサポートされます。Cisco Nexus 9508 スイッチで VXLAN と MPLS を同時に有効にすることはできません。
-
-R ライン カードを備えた Cisco Nexus 9504 および 9508 スイッチでは、9636C-RX 以外のライン カードがある場合、レイヤ 2 ゲートウェイは有効にできません。
-
-R ライン カードを搭載した Cisco Nexus 9504 および 9508 スイッチの場合、PIM/ASM はアンダーレイ ポートでサポートされます。PIM/Bidir はサポートされていません。詳細については、『Cisco Nexus 9000 Series NX-OS Multicast Routing Configuration Guide、Release 9.3(x)』を参照してください。
-
-R ライン カードを使用する Cisco Nexus 9504 および 9508 スイッチでは、オーバーレイでの IPv6 ホスト ルーティングがサポートされます。
-
-R ライン カードを搭載した Cisco Nexus 9504 および 9508 スイッチでは、ARP 抑制がサポートされています。
-
Cisco NX-OS リリース 10.1(1) 以降では、ITX および ePBR over VXLAN 機能が N9K-X9716D-GX TOR および N9K-C93180YC-FX3S プラットフォーム スイッチでサポートされています。
-
Cisco NX-OS リリース 10.1(1) 以降、PBR over VXLAN 機能は N9K-C9316D-GX、N9K-C93600CD-GX、および N9K-C9364C-GX TOR スイッチでサポートされます。
-
PBR over VXLAN 機能のルート ポリシーの設定手順に load-share キーワードが追加されました。
詳細については、『Cisco Nexus 9000 Series NX_OS Unicast Routing Configuration Guide、Release 9.x』を参照してください。
-
レイヤ 2 EVPN VXLAN のコンバージェンスを向上させるために、 lacp vpc-convergence コマンドが追加されました。
interface port-channel10 switchport switchport mode trunk switchport trunk allowed vlan 1001-1200 spanning-tree port type edge trunk spanning-tree bpdufilter enable lacp vpc-convergence vpc 10 interface Ethernet1/34 <- The port-channel member-port is configured with LACP-active mode (for example, no changes are done at the member-port level.) switchport switchport mode trunk switchport trunk allowed vlan 1001-1200 channel-group 10 mode active no shutdown
-
VXLAN を使用したポート VLAN は、次の例外を除き、Cisco Nexus 9300-EX および 9500-EX ライン カードを搭載した 9500 シリーズ スイッチでサポートされます。
-
これらのスイッチでは、VXLAN を使用するポート VLAN でレイヤ 2(ルーティングなし)のみがサポートされます。
-
内部 VLAN マッピングがサポートされていません。
-
-
system nve ipmc CLI コマンドは、9700-EX ライン カードを搭載した Cisco 9200 および 9300-EX プラットフォーム スイッチには適用されません。
-
NVE を、レイヤ 3 プロトコルで必要な他のループバック アドレスとは別のループバック アドレスにバインドします。VXLAN に対して専用のループバック アドレスを使用することがベスト プラクティスです。このベスト プラクティスは、vPC VXLAN 展開だけでなく、すべての VXLAN 展開にも適用できます。
-
NVE インターフェイスから設定を削除するには、default interface nve コマンドを使用するのではなく、各設定を手動で削除することを推奨します。
-
show コマンドは internal キーワード付きでサポートされていません。
-
FEX ポートは、VXLAN VLAN で IGMP スヌーピングをサポートしません。
-
VXLAN がサポートされるのは、Cisco Nexus 93108TC-EX と 93180YC-EX スイッチおよび Cisco Nexus 9500 シリーズ スイッチで X9732C-EX ライン カードを装備したものです。
-
DHCP スヌーピング(Dynamic Host Configuration Protocol スヌーピング)は VXLAN VLAN ではサポートされません。
-
RACL は VXLAN トラフィックのレイヤ 3 のアップリンクでサポートされません。出力 VACL のサポートは、ネットワークのカプセル化解除されたパケットが内部ペイロードでディレクションにアクセスするためには使用できません。
ベスト プラクティスとして、ネットワーク ディレクションへのアクセスに対して、PACL/VACL を使用します。
-
QoS バッファ ブースト機能は、VXLAN トラフィックには適用できません。
-
Cisco NX-OS リリース 9.3(5) よりも前のリリースには、次の制限事項が適用されます。
-
VTEP は、VRF 参加または IEEE 802.1Q カプセル化に関係なく、サブインターフェイスを介した VXLAN カプセル化トラフィックをサポートしません。
-
VRF の参加に関係なく、サブインターフェイスが設定されている場合、VTEP は親インターフェイス上の VXLAN カプセル化トラフィックをサポートしません。
-
VXLAN VLAN と非 VXLAN VLAN のサブインターフェイスの混在はサポートされていません。
-
-
Cisco NX-OS リリース 10.1(1) 以降、サブインターフェイスを伝送する親インターフェイスを介した VXLAN カプセル化トラフィックは、Cisco Nexus 9300-FX3 プラットフォーム スイッチでサポートされます。
-
Cisco NX-OS Release 9.3(5) 以降では、サブインターフェイスが設定されている場合、VTEP は親インターフェイス上で VXLAN カプセル化トラフィックをサポートします。この機能は、VXLAN フラッドアンドラーニング、VXLAN EVPN、VXLAN EVPN マルチサイト、および DCI でサポートされます。次の設定例に示すように、VXLAN トラフィックはデフォルト VRF の親インターフェイス(eth1/1)で転送され、L3 IP(非 VXLAN)トラフィックはテナント VRF のサブインターフェイス(eth1/1.10)で転送されます。
interface ethernet 1/1 description VXLAN carrying interface no switchport ip address 10.1.1.1/30 interface ethernet 1/1.10 description NO VXLAN no switchport vrf member Tenant10 encapsulation dot1q 10 ip address 10.10.1.1/30
-
テナント VRF(VNI を含む VRF)は、VNI がバインドされていない SVI(アンダーレイ VRF)では使用できません。
-
ポイントツーマルチポイントのレイヤ 3 および SVI のアップリンクは、サポートされません。
-
アップリンクとしての SVI およびサブインターフェイスはサポートされていません。
-
FEX HIF(FEX ホスト インターフェイス ポート)は、VXLAN で拡張された VLAN ではサポートされています。
-
入力複製 VPC セットアップでは、vPC ピア デバイス間でレイヤ 3 接続が必要です。
-
ポート VLAN マッピング機能が設定された VXLAN VLAN で、ロールバックはサポートされません。
-
VXLAN UDP ポート番号は VXLAN カプセル化に使用されます。Cisco Nexus NX-OS では、UDP ポート番号は 4789 です。これは IETF 標準に準拠しており、変更できません。
-
VXLAN は Cisco Nexus 9500 プラットフォーム スイッチで次のライン カードを使用してサポートされています。
-
9500-R
-
9564PX
-
9564TX
-
9536PQ
-
9700-EX
-
9700-FX
-
-
Cisco Nexus 9300 シリーズ スイッチで 100G アップリンクを備えたものは、VXLAN スイッチング/ブリッジングのみをサポートします
Cisco Nexus 9200、Cisco Nexus 9300-EX、および Cisco Nexus 9300-FX、および Cisco Nexus 9300-FX2 プラットフォーム スイッチには、この制限はありません。
(注)
VXLAN ルーティングのサポートについては、40G アップリンク モジュールが必要です。
-
MDP は VXLAN 設定ではサポートされません。
-
整合性チェッカは、VXLAN テーブルではサポートされません。
-
ARP 抑制は、VTEP がこの VNI のファーストホップゲートウェイ(Distributed Anycast Gateway)をホストしている場合にのみ、VNI でサポートされます。この VLAN の VTEP および SVI は、分散型エニーキャスト ゲートウェイ動作用に適切に設定する必要があります(たとえば、グローバル エニーキャスト ゲートウェイ MAC アドレスと、SVI の仮想 IP アドレスを持つエニーキャスト ゲートウェイ)。
-
ARP 抑制は、VXLAN ファブリックでの L2VNI ごとのファブリック全体の設定です。ファブリック内のすべての VTEP で一貫してこの機能を有効または無効にします。VTEP 間での一貫性のない ARP 抑制設定はサポートされていません。
-
VXLAN ネットワーク ID(VNID)16777215 が予約済みであり、明示的に設定しないでください。
-
VXLAN はインサービス ソフトウェア アップグレード(ISSU)をサポートします。ただし、VXLAN ISSU は Cisco Nexus 9300-GX プラットフォーム スイッチではサポートされません。
-
VXLAN は、GRE トンネル機能または MPLS(静的またはセグメント ルーティング)機能との共存を、サポートしません。
-
FEX ホスト インターフェイス ポートに接続されている VTEP はサポートされていません。
-
複数の VTEP がアンダーレイ マルチキャストに同じマルチキャスト グループ アドレスを使用しているが、VNI が異なる場合は、VTEP に少なくとも 1 つの共通の VNI が必要です。これにより、NVE ピアの検出が行われ、アンダーレイ マルチキャスト トラフィックが正しく転送されます。たとえば、リーフ L1 と L4 は VNI 10 を持ち、リーフ L2 と L3 は VNI 20 を持つことができ、両方の VNI が同じグループ アドレスを共有できます。リーフ L1 がリーフ L4 にトラフィックを送信すると、トラフィックはリーフ L2 または L3 を通過できます。NVE ピア L1 はリーフ L2 または L3 で学習されないため、トラフィックはドロップされます。したがって、グループ アドレスを共有する VTEP には、ピア ラーニングが発生し、トラフィックがドロップされないように、少なくとも 1 つの共通の VNI が必要です。この要件は、VXLAN バッドノード トポロジに適用されます。
-
VXLAN は、-R ライン カードを使用した Cisco Nexus 9504 および 9508 の MVR および MPLS との共存をサポートしません。
-
復元力のあるハッシュ(ポート チャネル ロードバランシング復元力)および VXLAN 設定は、ALE アップリンク ポートを使用した VTEP と互換性がありません。
(注)
復元力のあるハッシュはデフォルトではディセーブルになっています。
-
-R ライン カードを使用する Cisco Nexus 9504 および 9508 スイッチの場合、L3VNI の VLAN を vPC ピアリンク トランクの許可 VLAN リストに追加する必要があります。
-
VXLAN のネイティブ VLAN はサポートされません。VXLAN のレイヤ 2 トランク上のすべてのトラフィックには、タグが設定される必要があります。この制限は、95xx ライン カードを搭載した Cisco Nexus 9300 および 9500 スイッチに適用されます。この制限は、-EX または -FX ライン カードを備えた Cisco Nexus 9200、9300-EX、9300-FX、および 9500 プラットフォーム スイッチには適用されません。
-
ファブリック転送中に凍結された複製ホストを更新するには、「fabric forwarding dup-host-recovery-timer 」コマンドのみを使用し、「fabric forwarding dup-host-unfreeze-timer 」コマンドは非推奨であるため使用しないでください。
-
L3VNI を使用する場合の VXLAN ファブリックを介した traceroute の場合、次のシナリオが想定される動作です。
L3VNI が VRF および SVI に関連付けられている場合、関連付けられた SVI には構成されている L3 アドレスがありませんが、代わりに「ip forward」構成コマンドがあります。このインターフェイスのセットアップにより、独自の SVI アドレスで traceroute に応答することはできません。代わりに、L3VNI を含む traceroute がファブリックを介して実行されると、報告される IP アドレスは、対応するテナント VRF に属する SVI の最小の IP アドレスになります。
-
エニーキャスト ゲートウェイ SVI を使用したルーティング プロトコル隣接関係はサポートされません。
-
Cisco NX-OS リリース 10.3(3)F 以降、新しい L3VNI モードの MHBFD は VXLAN ではサポートされません。
-
Cisco NX-OS リリース 10.4(1)F 以降、VXLAN は Cisco Nexus 9332D-H2R プラットフォーム スイッチでサポートされます。