ACI トランジット ルーティング、ルート ピアリング、および EIGRP サポート

この章は、次の内容で構成されています。

ACI 中継ルーティング

ACI ファブリックは、中継ルーティングをサポートしています。これにより、境界ルータが他のルーティングドメインとの双方向再配布を実行できます。トランジット再配布をブロックする以前の ACI リリースのスタブ ルーティング ドメインとは異なり、双方向再配布では、あるルーティング ドメインから別のルーティング ドメインにルーティング情報が渡されます。このような再配布により、ACI ファブリックは異なるルーティング ドメイン間で完全な IP 接続を提供できます。これにより、ルーティング ドメイン間のバックアップ パスを有効にして、冗長接続を提供することもできます。

最適でないルーティングや、ルーティング ループのより深刻な問題を回避する中継再配布ポリシーを設計します。通常、トランジット再配布は元のトポロジとリンクステート情報を保持せず、距離ベクトル形式で外部ルートを再配布します(ルートは、リンクステート プロトコルを使用する場合でも、ベクトル プレフィックスおよび関連付けられた距離としてアドバタイズされます)。このような状況では、ルータが意図せずにルーティング ループを形成し、パケットを接続先に配信できないことがあります。

トランジット ルーティングの使用例

レイヤ 3 ドメイン間のトランジット ルーティング

外部ポッド、メインフレーム、サービス ノード、WAN ルータなどの複数のレイヤ 3 ドメインが ACI ファブリックとピアリングして、それらの間のトランジット機能を提供することができます。

図 1. レイヤ 3 ドメイン間のトランジット ルーティング

ACI ファブリックで中継されるメインフレーム トラフィック

メインフレームは、論理パーティション(LPAR)および仮想 IP アドレッシング(VIPA)の要件に対応する標準 IP ルーティング プロトコルを実行する IP サーバとして機能します。

図 2. メインフレームのトランジット接続

このトポロジにおいて、メインフレームは、ACI ファブリックが WAN ルータを経由して外部と接続するため、およびファブリック内の East-West トラフィックのための中継ドメインとなることを必要とします。これらは、ホスト ルートをファブリックにプッシュして、ファブリック内、および外部インターフェイスに再配布されるようにします。

サービス ノードのトランジット接続

サービス ノードは ACI ファブリックとピアリングし、外部 WAN インターフェイスに再配布される仮想 IP (VIP) ルートをアドバタイズすることができます。
図 3. サービス ノードのトランジット接続

VIP は、特定のサイトやサービスの外部向けの IP アドレスです。VIP は、サービス ノードの背後にある 1 つ以上のサーバまたはノードに関連付けられています。

中継ルーティング設定でのマルチポッド

マルチポッド トポロジでは、ファブリックは、外部接続と複数のポッド間の相互接続の中継として機能します。クラウド プロバイダは、顧客データセンター内に管理対象のリソース ポッドを展開できます。責任分界点は、ファブリックとのピアリングを行っている OSPF または BGP を伴う L3Out にすることができます。

図 4. 中継ルーティング設定における L3Out を伴う複数のポッド

このようなシナリオでは、ポリシーは責任分界点で管理され、ACI ポリシーを設定する必要はありません。

レイヤ4 ~ レイヤ 7 ルート ピアリングはファブリックを中継として使用する特殊な使用例であり、 ファブリックは複数ポッドに対する中継 OSPF または BGP ドメインの役目を果たします。ルート ピアリングは、接続されているリーフ ノードとルートを交換できるようにするため、レイヤ4 ~ レイヤ 7 サービス デバイス上で OSPF または BGP ピアリングを有効にするように設定します。ルート ピアリングの一般的な使用例として、SLB VIP が OSPF および iBGP を介して ファブリック外のクライアントにアドバタイズされる、ルート ヘルス インジェクションがあります。このシナリオの詳細については、『L4-L7 Route Peering with Transit Fabric - Configuration Walkthrough』を参照してください。

中継ルーティング設定での GOLF

APIC、リリース 2.0 以降では、Cisco ACI は、GOLF L3Out での中継ルーティング (BGP と OSPF) をサポートしています。 たとえば、次の図は、GOLF L3Out と境界リーフ L3Out を伴うファブリックで中継されるトラフィックを示しています。

図 5. 中継ルーティング設定での GOLF L3Out と境界リーフ L3Out

ACI ファブリック ルート ピアリング

ファブリックとのレイヤ 3 接続およびピアリングは、レイヤ 3 外部外側ネットワーク(l3extOut)インターフェイスを使用して構成されます。ピアリング プロトコルの構成は、ルートの再配布およびインバウンド/アウトバウンドのフィルタリング ルールとともに、l3extOut に関連付けられます。ACI ファブリックは、外部ピアには巨大なルータとしてではなく、別々のレイヤ 3 ドメイン間のトランジットとして表示されます。1 つの l3extOut のピアリングの考慮事項は、他の l3extOut ポリシーのピアリングの考慮事項に影響を与える必要はありません。ACI ファブリックは、MP-BGP を使用してファブリック内に外部ルートを配布します。

ルートの再配布

外部ピアからのインバウンド ルートは、インバウンド フィルタリング ルールに従って、MP-BGP を使用して ACI ファブリックに再配布されます。これらは、トランジット ルートまたは WAN 接続の場合の外部ルートである可能性があります。MP-BGP は、テナントが展開されているすべてのリーフ(他の境界リーフを含む)にルートを配布します。
図 6. ルートの再配布


インバウンド ルート フィルタリング ルールは、l3extOut インターフェイス上のファブリックに外部ピアによってアドバタイズされたルートのサブセットを選択します。インポート フィルタ ルートマップは、プレフィックス ベースの EPG のプレフィックスを使用して生成されます。インポート フィルタ リストは、ファブリックに配布されるプレフィックスを制限するために MP-BGP にのみ関連付けられます。セット アクションは、ルートマップのインポートに関連付けることもできます。

アウトバウンド方向では、管理者はデフォルトルートまたはトランジット ルートとブリッジドメイン パブリック サブネットをアドバタイズするオプションがあります。デフォルトルート アドバタイズメントが有効になっていない場合、アウトバウンド ルート フィルタリングは、管理者によって構成されたルートを選択的にアドバタイズします。

現在、ルートマップは、テナントごとにプレフィックス リストを使用して作成され、外部ルータにアドバタイズされるブリッジドメイン パブリック サブネットを示します。さらに、すべてのトランジット ルートを外部ルータにアドバタイズできるように、プレフィックスリストを作成する必要があります。トランジット ルートのプレフィックスリストは、管理者によって構成されます。デフォルトの動作では、外部ルータへのすべてのトランジット ルート アドバタイズを拒否します。

トランジット ルートに関連付けられたルートマップには、次のオプションを使用できます。

  • Permit-all:すべてのトランジット ルートの再配布と外部へのアドバタイズを許可します。

  • Match prefix-list:トランジット ルートのサブセットのみが再配布され、外部にアドバタイズされます。

  • Match prefix-list および set action:set アクションを通過ルートのサブセットに関連付けて、特定の属性でルートにタグを付けることができます。

ブリッジドメインのパブリック サブネットとトランジット ルート プレフィックスは、異なるプレフィックスリストにすることができますが、異なるシーケンス番号を持つ単一のルートマップに結合されます。トランジット ルートとブリッジドメインのパブリック サブネットは同じプレフィックスを持つことが想定されていないため、プレフィックス リストの一致は相互に排他的です。

プロトコルによるルート ピアリング

BGP と OSPF を静的ルートと組み合わせる場合、ルート ピアリングをプロトコルごとに構成できます。

OSPF

BGP

接続を有効にして冗長性を提供するために、さまざまなホスト タイプが OSPF を必要とします。これらには、ファブリック内および WAN へのレイヤ 3 中継として ACI を使用するメインフレーム、外部ポッド、およびサービス ノードがあります。このような外部デバイスは、OSPF を実行している非ボーダー リーフを介してファブリックとピアリングします。理想的には、OSPF エリアは、Not-So-Stubby Area(NSSA)または完全スタブエリアとして構成され、デフォルトルートを受信できるようにして、フル エリア ルーティングに参加しないようにします。管理者がルーティング構成を変更したくない既存の展開では、スタブエリア構成は必須ではありません。

2 つのファブリック リーフスイッチは、同じ外部 SVI インターフェイスを共有しない限り、互いに OSPF 隣接関係を確立しません。

外部ポッドとサービス ノードは、ファブリックで BGP ピアリングを使用できます。BGP ピアは l3extOut に関連付けられており、l3extOut ごとに複数の BGP ピアを構成することができます。BGP ピアには、OSPF、EIGRP、接続されたインターフェイス、静的ルート、またはループバック経由で到達できます。外部ルータとのピアリングには iBGP または eBGP を使用できます。ファブリック内への外部ルートの配付には MP-BGP が使用されるため、外部ルータからの BGP ルート属性は保持されます。

同じ値を持つ推移的および非推移的 BGP 拡張コミュニティの両方に一致する構成はサポートされていません。 APIC はこの構成を拒否します。

OSPF ルート再配布

OSPF 内の default-information originate ポリシーは外部ルータへのデフォルトルートを生成します。メインフレーム、外部ポッド、およびサービス ノードとピアリングする場合は、ポリシーを有効にすることが推奨されています。

default-information originate ポリシーが有効になっていない場合は、OSPF ドメインで redistribute-static および redistribute-BGP を構成して、静的ブリッジドメイン(BD)パブリック サブネットとトランジット ルートをそれぞれアドバタイズします。ルートマップをアウトバウンド フィルタリングの再配布ポリシーに関連付けます。外部 WAN ルータとピアリングする場合は、default-information originate オプションを有効にしないことが推奨されています。インバウンド方向では、OSPF ルートは MP-BGP を使用して ACI ファブリックに再配布されます。

BGP ルートの再配布

アウトバウンド方向では、デフォルトルートは、default-originate ポリシーによってピアごとに BGP によって生成されます。ローカル ルーティング テーブルにデフォルトルートがない場合でも、デフォルトルートは BGP によってピアに挿入されます。default-originate ポリシーが構成されていない場合、ブリッジドメインのパブリック サブネットに対して静的再配布が有効になります。MP-BGP からの通過ルートは、アドバタイズのために BGP に使用できます。これらのルートは、アウトバウンド フィルタリング ポリシーに従って、条件付きで外部にアドバタイズされます。

インバウンド方向では、アドバタイズされたルートを MP-BGP で使用して、インバウンド フィルタリング ルールに従ってファブリック内で再配布できます。BGP が外部ピアリングに使用されている場合、ルートのすべての BGP 属性はファブリック全体で保持されます。

OSPF ルート フィルタリング

外部ピアから受け入れられるリンクステート アドバタイズメント(LSA)の数を制限するように OSPF を構成して、不正な外部ルータが原因でルート テーブルが過剰に消費されないようにすることができます。

着信ルート フィルタリングは、OSPF を使用したレイヤ 3 外部の外部テナント ネットワークでサポートされています。これは、ファブリックで許可される通過ルートをフィルタリングするために、ルートマップを間接的に使用して適用されます。

アウトバウンド方向では、OSPF ドメイン レベルで redistribute-static および redistribute-BGP を構成します。ブリッジドメインのパブリック サブネットとトランジット ルートをフィルタリングするルートマップを構成します。オプションで、ルートマップの一部のプレフィックスは、ルート タグを追加する set アクションで構成することもできます。エリア間プレフィックスも、アウトバウンド フィルタ リストを使用してフィルタリングされ、OSPF エリアに関連付けられます。

BGP ルート フィルタリング

BGP のインバウンド ルート フィルタリングは、ピアごとにルートマップを使用して適用されます。ルートマップは、間接的な peer-af レベルで構成され、ファブリックで許可される通過ルートをフィルタリングします。

アウトバウンド方向では、静的ルートは dom-af レベルで BGP に再配布されます。MP-BGP からのトランジット ルートは、外部 BGP ピアリング セッションで使用できます。ルート マップは、パブリック サブネットと外部の選択されたトランジット ルートのみを許可するように、アウト方向の peer-af レベルで構成されます。必要に応じて、選択したプレフィックスのコミュニティ値をアドバタイズする set アクションをルートマップに構成します。

ブリッジドメインのパブリック サブネットとトランジット ルート プレフィックスは、異なるプレフィックス リストにすることができますが、peer-af レベルで異なるシーケンス番号を持つ単一のルートマップに結合されます。

OSPF 名ルックアップ、プレフィックス抑制、およびタイプ 7 変換

OSPF は、ルータ ID の名前ルックアップを有効にし、プレフィックスを抑制するように構成できます。

APIC システムは、変換されたタイプ 5 LSA 機能で OSPF 転送アドレス抑制を実行します。これにより、NSSA ABR はタイプ 7 LSA をタイプ 5 LSA に変換します。これを回避するには、Type-7 LSA で指定されているものではなく、0.0.0.0 サブネットを転送アドレスとして使用します。この機能を使用すると、フォワーディング アドレスをバックボーンにアドバタイズしないよう設定されているルータが、転送されたトラフィックを、変換を行う NSSA ASBR に渡すようになります。

BGP ダイナミック ネイバー サポートとプライベート AS コントロール

特定のネイバー アドレスを提供する代わりに、アドレスのダイナミック ネイバー範囲を提供できます。

プライベート自律システム(AS)番号の範囲は、64512 ~ 65535 です。それらは、グローバル BGP テーブルにアドバタイズできません。プライベート AS 番号は、ピアごとに AS パスから削除でき、次のオプションに従って eBGP ピアにのみ使用できます。

  • Remove Private AS:AS パスにプライベート AS 番号のみが含まれる場合は削除します。

  • Remove All:AS パスにプライベート AS 番号とパブリック AS 番号の両方がある場合は削除します。

  • Replace AS:プライベート AS をローカル AS 番号に置き換えます。

    (注)  

     

    remove private AS が設定されている場合、Remove allreplace AS のみ設定できます。

BGP ダンプニングは、ボーダー リーフスイッチ(BL)に接続されている外部ルータから受信したフラッピング e-BGP ルートのファブリックへの伝達を最小限に抑えます。外部ルータからの頻繁なフラッピング ルートは、構成した基準に基づいて BL で抑制されます。その後、iBGP ピア(ACI スパイン スイッチ)への再配布が禁止されます。抑制されたルートは、構成された時間が経過すると再利用されます。各フラップは、1000 のペナルティで e-BGP ルートにペナルティを課します。フラップ ペナルティが定義済みの抑制制限しきい値(デフォルトは 2000)に達すると、e-BGP ルートは抑制済みとしてマークされます。抑制したルートは、他の BGP ピアにアドバタイズされません。ペナルティは、半減期の間隔(デフォルトは 15 分)ごとに半分に減分されます。ペナルティが指定された再利用制限(デフォルトは 750)を下回ると、抑制されたルートが再利用されます。抑制されたルートは、指定された最大抑制時間(最大 45 分)だけ抑制されます。

BGP 重み属性を使用してベストパスを選択します。重み (0 ~ 65,535) は、特定のルーターにローカルに割り当てられます。値が伝達されたり、ルート アップデートで伝送されたりすることはありません。デフォルトでは、ルータが送信元となるパスには 32,768 の重みが割り当てられ、他のパスには 0 の重みが割り当てられます。同じ接続先へのルートが複数存在する場合は、重み値の高いルートが優先されます。BGP ネイバーまたはルートマップの下に重みを設定します。

BGP ピアリングは、通常、ネイバーのループバック アドレスに構成されます。このような場合、ループバックの到達可能性は静的に構成されるか、OSPF を介して(より一般的には)アドバタイズされます。ループバック インターフェイスはパッシブインターフェイスとして構成され、OSPF エリアに追加されます。OSPF に付加される再配布ポリシーはありません。ルート再配布の導入は、BGP を介して行われます。ルート フィルタリングは、BGP または OSPF のいずれかを使用するテナント ネットワークの L3Outs で構成できます。

外部ルートは、それぞれのテナントのボーダー リーフで静的ルートとしてプログラムすることもできます。外部ルートがボーダー リーフで静的ルートとしてプログラムされている場合、ピアリング プロトコルは必要ありません。外部静的ルートは、インポート フィルタリングに従って、MP-BGP を介してファブリック内の他のリーフスイッチに再配布されます。リリース 1.2(1x) 以降、ACI ファブリック内で着信する静的ルート プリファレンスは、コスト拡張コミュニティを使用して MP-BGP で伝送されます。L3Out 接続では、レイヤ 4 からの MP-BGP ルートがローカル静的ルートよりも優先されます。ルートは、管理者によって指定された優先順位でユニキャスト ルーティング情報ベース(URIB)にインストールされます。ACI 非ボーダー リーフスイッチでは、ネクストホップとしてレイヤ 4 を使用してルートがインストールされます。レイヤ 4 のネクストホップが使用できない場合、レイヤ 3 の静的ルートがファブリック内の最適なルートになります。
図 7. トランジットの静的ルート ポリシー モデル


l3extOut 接続の場合、IP プレフィックスを基に外部エンドポイントを外部 EPG にマッピングできます。l3extOut 接続ごとに、エンドポイントごとに異なるポリシーが必要かどうかに基づいて、1 つ以上の外部 EPG を作成できます。

各外部 EPG は、クラス ID に関連付けられています。外部 EPG の各プレフィックスは、対応するクラス ID を取得するようにハードウェアでプログラムされます。プレフィックスは修飾された VRF インスタンスのみであり、プレフィックスが展開されている l3extOut インターフェイスによるものではありません。

同じ VRF 内のすべての l3extOut ポリシーからのプレフィックスの結合は、l3extOut ポリシーが展開されているすべてのリーフスイッチでプログラムされます。パケットの送信元および宛先 IP アドレスに対応する送信元および宛先のクラス ID は入力リーフで取得され、ポリシーは構成されたコントラクトに基づいて入力リーフ自体に適用されます。コントラクトで 2 つの L3Out インターフェイス上の 2 つのプレフィックス間のトラフィックが許可されている場合、送信元と宛先 IP アドレス(構成されたプレフィックスに属する)の任意の組み合わせを持つパケットは、L3Out インターフェイス間で許可されます。EPG 間にコントラクトがない場合、トラフィックは入力リーフでドロップされます。

プレフィックスは l3extOut ポリシーが展開されているすべてのリーフスイッチでプログラムされるため、APIC がプレフィックス ベースの EPG に対してサポートするプレフィックスの総数は、ファブリックに対して 1000 に制限されます。

重複するサブネットまたは等しいサブネットは、同じ VRF 内の異なる l3extOut インターフェイスに構成できません。サブネットが重複または等しい必要がある場合は、適切なエクスポート プレフィックスを使用して単一の l3extOut がトランジットに使用されます。

トランジット ルート制御

ルート トランジットは、インポートされるレイヤ 3 アウトサイド ネットワーク L3extOut プロファイル(l3extInstP)を通してトラフィックをインポートするために定義されます。異なるルート トランジットは、エクスポートされる別の l3extInstP を通してトラフィックをエクスポートするために定義されます。

ファブリック内の 1 つまたは複数のノードに複数の l3extOut ポリシーを配置できるので、プロトコルのさまざまな組み合わせがサポートされます。プロトコルの組み合わせはすべて、複数の l3extOut ポリシーを使用して 1 つのノードに配置することも、または複数の l3extOut ポリシーを使用して複数のノードに配置することも可能です。同じファブリック内の異なる l3extOut ポリシーに 3 つ以上のプロトコルを配置することもできます。

エクスポート ルート マップは、プレフィックス リストの一致から構成されます。各 プレフィックス リストは、VRF 内のブリッジ ドメイン(BD)パブリック サブネット プレフィクスと、外部にアドバタイズする必要のあるエクスポート プレフィクストから構成されます。

ルート制御ポリシーは、l3extOut ポリシーで定義され、l3extOut に関連付けられたプロパティおよび関係によって制御されます。APIC は l3extOutenforceRtctrl プロパティを使用して、ルート制御方向を適用します。デフォルトでは、エクスポートの制御を適用し、インポートのすべてを許可します。インポートおよびエクスポートされたルート(l3extSubnets)は、l3extInstP で定義されます。すべてのルートのデフォルト スコープはインポートです。これらは、プレフィックス ベースの EPG を形成するルートおよびプレフィックスです。

インポート ルート マップからのすべてのインポート ルートは、BGP および OSPF によってインポートを制御するために使用されます。エクスポート ルート マップからのすべてのエクスポート ルートは OSPF および BGP によってエクスポートを制御するために使用されます。

インポートとエクスポートのルート制御ポリシーは、異なるレベルで定義されます。IPv6 ではすべての IPv4 ポリシー レベルがサポートされます。l3extInstP および l3extSubnet MO で定義されている追加の関係でインポートを制御します。

デフォルト ルート リークは、l3extOut の下の l3extDefaultRouteLeakP MO の定義によって有効になります。

OSPF のエリアごと、BGP のピアごとに l3extDefaultRouteLeakP は Virtual Routing and Forwarding(VRF)範囲または L3extOut 範囲を有することができます。

次の設定ルールは、ルート制御を提供します。

  • rtctrlSetPref

  • rtctrlSetRtMetric

  • rtctrlSetRtMetricType

rtctrlSetComm MO の追加構文には以下が含まれています。

  • no-advertise

  • no-export

  • no-peer

BGP

ACI ファブリックは、外部ルータとの BGP ピアリングをサポートします。BGP ピアは l3extOut ポリシーに関連付けられており、l3extOut ごとに複数の BGP ピアを設定することができます。BGP は、l3extOut の下で bgpExtP MO を定義することにより l3extOut レベルで有効化できます。


(注)  
l3extOut ポリシーにルーティング プロトコル(たとえば、関連する VRF を含む BGP)が含まれる一方で、L3Out インターフェイスのプロファイルには必要な BGP インターフェイス設定の詳細が含まれます。いずれも BGP の有効化に必要です。

BGP ピアには、OSPF、EIGRP、接続されたインターフェイス、スタティック ルート、またはループバック経由で到達できます。外部ルータとのピアリングには iBGP または eBGP を使用できます。ファブリック内への外部ルートの配付には MP-BGP が使用されるため、外部ルータからの BGP ルート属性は保持されます。BGP は l3extOut に関連付けられた VRF に Ipv4 や IPv6 アドレス ファミリを有効にすることができます。スイッチ上で有効になるアドレス ファミリは、bgpPeerP ポリシーで l3extOut のために定義した IP アドレス タイプによって決まります。ポリシーは省略可能です。定義しない場合はデフォルトが使用されます。ポリシーはテナントに対して定義され、名前で参照される VRF によって使用できます。

ピア ポリシーを少なくとも 1 つのピアを定義して、境界リーフ(BL)の各スイッチでプロトコルを有効にする必要があります。ピア ポリシーは 2 つの場所で定義できます。

  • l3extRsPathL3OutAtt の下:送信元インターフェイスとして物理インターフェイスが使用されます。

  • l3extLNodeP の下:送信元インターフェイスとしてループバック インターフェイスが使用されます。

OSPF

接続を有効にして冗長性を提供するために、さまざまなホスト タイプが OSPF を必要とします。これらには、たとえばファブリック内および WAN へのレイヤ 3 中継として ACI ファブリックを使用するサービス ノード、外部ポッド、メインフレーム デバイスなどがあります。このような外部デバイスは、OSPF を実行している非境界リーフ スイッチを介してファブリックとピアリングします。デフォルト ルートは受信し、全域ルーティングには参加しないよう、OSPF エリアを NSSA(スタブ)エリアとして設定します。通常は、既存のルーティングの導入によって設定の変更が回避されるため、スタブ エリアの設定は必須ではありません。

l3extOutospfExtP 管理対象オブジェクトを設定して、OSPF を有効にします。BL スイッチ上で設定されている OSPF IP アドレス ファミリ バージョンは、OSPF インターフェイス IP アドレスに設定されているアドレス ファミリによって決まります。


(注)  
l3extOut ポリシーにルーティング プロトコル(たとえば、関連する VRF とエリア ID を含む OSPF)が含まれる一方で、レイヤ 3 外部インターフェイスのプロファイルには必要な OSPF インターフェイスの詳細が含まれます。いずれも OSPF のイネーブル化に必要です。

アドレス ファミリごとに設定可能な fvRsCtxToOspfCtxPol 関係を使用して、VRF レベルで OSPF ポリシーを設定します。設定していない場合、デフォルト パラメータが使用されます。

要求されるエリア プロパティ Ipv6 を公開する ospfExtP 管理対象オブジェクトで OSPF を設定します。

デフォルト ポリシー動作

2 つのプレフィックス ベースの EPG 間にコントラクトがない場合、不明な送信元プレフィックスと不明な接続先プレフィックス間のトラフィックはドロップされます。これらのドロップは、未知の送信元プレフィックスと接続先プレフィックスに対して異なるクラス ID を暗黙的にプログラミングすることによって実現されます。クラス ID が異なるため、クラスが等しくないルールの影響を受け、パケットが拒否されます。また、クラス不等ドロップ ルールにより、パケットは既知の送信元および宛先 IP アドレスから不明な送信元および宛先 IP アドレスにドロップされ、その逆も同様です。

このデフォルトの動作の変更により、キャッチオール(0/0)エントリのクラス ID プログラミングが次の例に示すように変更されました。

  • 不明な送信元 IP アドレスは EPG1 です。

  • 不明な宛先 IP アドレスは EPG2 です。

  • 不明なソース IP <—> 不明な接続先 IP => クラス不等ルール => DROP。

  • ユーザ構成のデフォルト プレフィックス(0/0)= EPG3 および(10/8)= EPG4。EPG3 と EPG4 間のコントラクトは ALLOW に設定されています。

  • プログラム規定:

    • EPG1 <—> EPG4 => class-unequal ルール => DROP

    • EPG4 <—> EPG2 => class-unequal ルール => DROP

EIGRP プロトコルのサポート

EIGRP プロトコルは、Cisco Application Centric InfrastructureACI)ファブリック内の他のルーティング プロトコルと同様にモデル化されています。

サポートされる機能

サポートされる機能は次のとおりです。

  • IPv4 および IPv6 ルーティング

  • 各アドレス ファミリの仮想ルーティングおよび転送(VRF)とインターフェイスの制御

  • ノード間の OSPF による再配布

  • VRF ごとのデフォルト ルート リーク ポリシー

  • パッシブ インターフェイスおよびスプリット ホライズンのサポート

  • エクスポートされたルートにタグを設定するためのルート マップ制御

  • EIGRP インターフェイス ポリシーの帯域幅および遅延設定オプション

  • 認証サポート

サポートされない機能

次の機能はサポートされていません。

  • スタブ ルーティング

  • BGP 接続に使用される EIGRP

  • 同じノード上の複数の EIGRP L3extOut

  • インターフェイスごとの集約(EIGRP サマリー ポリシーは、L3Out で設定されたすべてのインターフェイスに適用されます)

  • インターフェイスごとのインポートおよびエクスポート用配布リスト

EIGRP 機能のカテゴリ

EIGRP の機能は、次のように大きく分類できます。

  • プロトコル ポリシー

  • L3extOut の設定

  • インターフェイス設定

  • ルート マップ サポート

  • デフォルト ルート サポート

  • 中継サポート

EIGRP をサポートしているプライマリ管理対象オブジェクト

次のプライマリ管理対象オブジェクトは、EIGRP サポートを提供します。

  • .EIGRP アドレス ファミリ コンテキスト ポリシー eigrpCtxAfPolfvTenant(テナント/プロトコル)で設定されているアドレス ファミリ コンテキスト ポリシー

  • fvRsCtxToEigrpCtxAfPol:所定のアドレス ファミリ(IPv4 または Ipv6)についての VRFから eigrpCtxAfPol への関係。関係は、アドレス ファミリごとに 1 つのみ存在できます。

  • eigrpIfPolfvTenant で設定される EIGRP インターフェイス ポリシー。

  • eigrpExtPL3extOut 上で EIGRP のフラグを有効にします。

  • eigrpIfPl3extLIfP に接続された EIGRP インターフェイス プロファイル。

  • eigrpRsIfPol:EIGRP インターフェイス プロファイルから eigrpIfPol への関係。

  • Defrtleakl3extOut 下のデフォルト ルート リーク ポリシー。

テナントでサポートされる EIGRP プロトコル ポリシー

テナント下では次の EIGRP プロトコル ポリシーがサポートされます。

  • EIGRP インターフェイス ポリシー(eigrpIfPol:インターフェイス上の所定のアドレス ファミリに適用される設定が含まれます。インターフェイス ポリシーでは次の設定が可能です。

    • 秒単位の hello 間隔

    • 分単位の hold 間隔

    • 次のインターフェイス制御フラグのうち 1 つ以上。

      • スプリット ホライズン

      • パッシブ

      • ネクスト ホップ セルフ

  • EIGRP アドレス ファミリ コンテキスト ポリシーeigrpCtxAfPol:所定の VRF 内の所定のアドレス ファミリの設定が含まれます。eigrpCtxAfPol は、テナント プロトコル ポリシー下で設定され、テナント下の 1 つ以上の VRF に適用できます。eigrpCtxAfPol は、VRF-per-address ファミリの関係を通して VRF で有効にできます。所定のアドレス ファミリに関係がない場合、あるいは関係に記述されている eigrpCtxAfPol が存在しない場合は、[共通] テナント下に作成されたデフォルトの VRF ポリシーがそのアドレス ファミリに使用されます。

    次の設定では、eigrpCtxAfPol で許可されます。

    • 内部ルートのアドミニストレーティブ ディスタンス

    • 外部ルートのアドミニストレーティブ ディスタンス

    • 最大許容 ECMP パス数

    • アクティブ タイマー間隔

    • メトリック バージョン(32 ビット/64 ビット メトリック)

L3extOut の構成

EIGRP は、リーフスイッチで構成されたファブリック パブリック サブネット、接続ルート、静的ルート、およびトランジット ルートをアドバタイズするために使用される主要なプロトコルです。

特定のレイヤ 3 外部外側ネットワーク(l3extOut)ルーテッド ドメインには、EIGRP の有効化/無効化フラグがあります。


(注)  
EIGRP に使用されるタグであり、BGP で使用されるファブリック ASN とは異なる自律システム番号。

EIGRP は、同じ L3extOut で BGP と OSPF を使用して有効にすることはできません。

以下のEIGRP トランジットのシナリオがサポートされています。

  • あるノードの L3extOut で実行されている EIGRP と、別のノードの別の L3extOut で実行されている OSPF。


    (注)  

    複数の EIGRP L3extOut は、同じ Virtual Routing and Forwarding(VRF)の同じノードではサポートされていません。

  • EIGRP から静的ルートへのトランジット。

EIGRP インターフェイス プロファイル

インターフェイスで EIGRP を有効にするには、L3extOut -> [ノード(Node)] -> [インターフェイス階層(Interface hierarchy)] のインターフェイス プロファイルの下に EIGRP プロファイルを構成する必要があります。EIGRP プロファイルには、テナントで有効になっている EIGRP インターフェイス ポリシーとの関係があります。テナントに関係またはインターフェイス ポリシーがない場合、common テナントのデフォルトの EIGRP インターフェイス ポリシーが使用されます。EIGRP は、インターフェイス プロファイルに含まれるすべてのインターフェイスで有効になっています。これには、L3 ポート、サブインターフェイス、ポート上の外部 SVI、ポート チャネル、およびインターフェイス プロファイルに含まれる VPC が含まれます。

ポリシー モデルのルート マップ インフラストラクチャと設定は、すべてのプロトコルで共通です。ルート マップ セット アクションは、BGP、OSPF、および EIGRP をカバーするアクションのスーパーセットです。EIGRP プロトコルは、インターリーク/再配布に使用されるルートマップで set tag オプションをサポートします。これらのルートマップは、VRF ごとに構成されます。L3extOut に IPv4 と IPv6 の両方のインターフェイスがある場合、インターリーク ポリシーは、その VRF の IPv4 と IPv6 の両方のアドレス ファミリに適用されます。


(注)  

現時点では、VRF レベルのルートマップはサポートされていますが、インターフェイス ルートマップはサポートされていません。

L3extOut のデフォルトのルート リーク ポリシーは、構成に関してプロトコルに依存しません。デフォルトのルート リーク ポリシーで有効になっているプロパティは、個々のプロトコルのスーパーセットです。デフォルト ルート リークでサポートされる構成は次のとおりです。

  • Scope:VRF は、EIGRP でサポートされる唯一の範囲です。

  • Always:スイッチは、ルーティング テーブルに存在する場合にのみデフォルトルートをアドバタイズするか、関係なくアドバタイズします。

  • Criteria:唯一または追加。唯一のオプションを使用すると、デフォルトルートだけが EIGRP によってアドバタイズされます。さらに、パブリック サブネットとトランジット ルートがデフォルトルートとともにアドバタイズされます。

デフォルトルート リーク ポリシーは、アドレス ファミリごとの VRF ごとにドメインで有効になっています。

デフォルトでは、適切なルートマップを使用したプロトコル再配布インターリーク ポリシーが、すべての有効な構成に設定されています。管理者は、同じ VRF 内の 2 つの L3extOut 間で特定のルートを送信できるようにするために、scope=export-route control を使用して l3extInstP サブネットを作成することによって、トランジット ルーティングのみを有効にします。l3extInstP サブネットの範囲とは別に、トランジット ケースをカバーするための特別なプロトコル固有の構成はありません。プロトコル固有の範囲とは別に、デフォルトルート リーク ポリシーの他のパラメータは、すべてのプロトコルで共通です。

異なるノード通過シナリオの別の L3extOut での OSPF は、EIGRP でサポートされます。

次に示す EIGRP のガイドラインおよび制限事項に従ってください。

  • 現時点では、同じリーフスイッチで複数の EIGRP L3Out はサポートされていません。

  • すべてのルートは、EIGRP を使用する L3extOut にインポートされます。EIGRP が L3extOut のプロトコルである場合、インポート サブネット スコープは GUI で無効になっています。