この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ここでは、Cisco Nexus 7000 シリーズ デバイスでの IEEE 802.1Q-in-Q(Q-in-Q)VLAN トンネルおよびレイヤ 2 プロトコル トンネリングの設定方法について説明します。
• 「Q-in-Q トンネルおよびレイヤ 2 プロトコル トンネリングの設定」
• 「設定の確認」
• 「設定例」
Q-in-Q VLAN トンネルにより、サービス プロバイダーは、既存のタグ付きフレームに第 2 の 802.1Q タグを付加することで、自社のインフラストラクチャ内の異なるカスタマーのトラフィックを分離したまま、カスタマーには内部利用のために VLAN を完全に利用させることができます。
サービス プロバイダーのビジネス カスタマーには、しばしば、サポートされる VLAN ID と VLAN の数に固有の要件があります。同一のサービス プロバイダー ネットワークを使用する異なるカスタマーが要求する VLAN 範囲が重なり、インフラストラクチャを通過するカスタマーのトラフィックが混在することもありえます。各カスタマーに一意の VLAN ID 範囲を割り当てることは、カスタマーのコンフィギュレーションを制限することになり、また、802.1Q 仕様の VLAN 制限である 4096 を容易に超えてしまいます。
(注) Q-in-Q は、ポート チャネルおよび Virtual Port Channel(vPC; 仮想ポート チャネル)でサポートされます。ポート チャネルを非対称リンクとして設定するには、ポート チャネルのすべてのポートが同一のトンネリング設定であることが必要です。
802.1Q トンネリング機能により、サービス プロバイダーは 1 つの VLAN を使用して、複数の VLAN を所有するカスタマーをサポートできます。同一の VLAN 上にあるように見えるときでも、サービス プロバイダー インフラストラクチャ内のカスタマーの VLAN ID を保護したり、異なるカスタマーの VLAN トラフィックを分離しておくことができます。802.1Q トンネリングは、VLAN 内 VLAN 階層構造を使用しタグ付きパケットをタグ付けして VLAN スペースを拡張します。802.1Q トンネリングをサポートとするように設定されたポートを トンネル ポート といいます。トンネリングを設定する場合は、トンネル ポートをトンネリング専用の VLAN に割り当てます。各カスタマーには個別の VLAN が 1 つ必要ですが、この VLAN はカスタマーの VLAN をすべてサポートします。
適切な VLAN ID を使用して通常の方法でタグ付けされたカスタマー トラフィックは、カスタマー デバイス上の 802.1Q トランク ポートから発信し、トンネル ポートを経由して、サービス プロバイダーのエッジ スイッチに着信します。カスタマー デバイスとエッジ スイッチの間のリンクは、一端が 802.1Q トランク ポートとして設定され、もう一端がトンネルポートとして設定されていることから、 非対象リンク と呼ばれます。カスタマーごとに一意であるアクセス VLAN ID に、トンネル ポート インターフェイスを割り当てます。図 9-1を参照してください。
(注) 選択的 Q-in-Q トンネリングはサポートされません。トンネル ポートに入るフレームはすべて、Q-in-Q タギングされます。
サービス プロバイダー エッジ スイッチのトンネル ポートに入るパケットは適切な VLAN ID を使用して 802.1Q タグ付けされており、カスタマーに一意の VLAN ID を含む 802.1Q タグの別のレイヤでカプセル化されます。元々のカスタマーの 802.1Q タグは、カプセル化されたパケットの中に維持されます。したがって、サービス プロバイダーのインフラストラクチャに入るパケットは、二重にタグ付けされています。外部タグには、カスタマーの(サービス プロバイダーによって割り当てられた)アクセス VLAN ID が含まれます。(カスタマーによって割り当てられた)内部タグの VLAN ID は、受信トラフィックの VLAN です。この二重タギングは、タグ スタック、二重 Q、または、Q-in-Q と呼ばれ、図 9-2 に示すとおりです。
図 9-2 タグなし、802.1Q タグ付き、および、二重タグ付きイーサネット フレーム
この方法を使用することで、外部タグの VLAN ID スペースが、内部タグの VLAN ID スペースと無関係になります。1 つの外部 VLAN ID で、個別のカスタマーの VLAN ID スペース全体を表すことができます。この技術によって、カスタマーのレイヤ 2 ネットワークはサービス プロバイダー ネットワーク全体に広がり、複数のサイトにわたる仮想 LAN インフラストラクチャの構築が可能になります。
(注) 階層的タギング、つまり、マルチレベル dot1q タギング Q-in-Q はサポートされません。
エッジ スイッチに 802.1Q トンネリングを設定する場合、パケットをサービス プロバイダー ネットワークに送出するために 802.1Q トランク ポートを使用する必要があります。しかし、サービス プロバイダー ネットワークのコアを通過するパケットは、802.1Q トランクや、ISL トランク、非トランキング リンクによって伝送されることがあります。これらのコア スイッチで 802.1Q トランクが使用されている場合、ネイティブ VLAN のトラフィックは 802.1Q 送信トランク ポートでタグ付けされていないため、802.1Q トランクのネイティブ VLAN は、同一のスイッチ上の dot1q トンネル ポートのネイティブ VLAN と一致してはなりません。
図 9-3 では、VLAN 40 は、サービス プロバイダー ネットワークの入力エッジ スイッチ(スイッチ B)で接続している、カスタマー X からの 802.1Q トランク ポートのネイティブ VLAN として設定されています。カスタマー X のスイッチ A は、VLAN 30 のタグ付けされたパケットを、サービス プロバイダー ネットワーク内のアクセス VLAN 40 に属するスイッチ B の入力トンネル ポートに送信します。トンネル ポートのアクセス VLAN(VLAN 40)は、エッジ スイッチ トランク ポートのネイティブ VLAN(VLAN 40)と同じであるため、トンネル ポートから受信したタグ付けされたパケットに 802.1Q タグは付加されません。パケットは VLAN 30 タグだけを伝送したままサービス プロバイダー ネットワークを経由して出力エッジ スイッチ(スイッチ C)のトランク ポートに到達するため、出力スイッチ トンネル ポートを通じて誤ってカスタマー Y へ送出されます。
ネイティブ VLAN 問題を解決する方法は次の 2 つです。
• ネイティブ VLAN を含め、802.1Q トランクへ送出されるすべてのパケットがタグ付けされるように、 vlan dot1q tag native コマンドを使用してエッジ スイッチを設定します。すべての 802.1Q トランクのネイティブ VLAN パケットにタグ付けするようにスイッチが設定されている場合、スイッチはタグなしパケットを受信しますが、タグ付きパケットだけを送信します。
(注) vlan dot1q tag native コマンドは、すべてのトランク ポート上のタギング動作に影響を与えるグローバル コマンドです。
• エッジ スイッチ トランク ポートのネイティブ VLAN ID が、カスタマー VLAN 範囲内でないことを確認します。たとえば、トランク ポートが VLAN 100 ~ 200 のトラフィックを伝送するとき、ネイティブ VLAN にその範囲外の番号を割り当てます。
サービス プロバイダー ネットワークで接続された異なるサイトを持つカスタマーは、トポロジを拡大してすべてのリモート サイトおよびローカル サイトを含めるために、さまざまなレイヤ 2 プロトコルを実行する必要があります。Spanning Tree Protocol(STP; スパニング ツリー プロトコル)を適切に実行し、すべての VLAN が、ローカルサイトおよびサービス プロバイダー インフラストラクチャに広がるすべてのリモートサイトを含む、適切なスパニング ツリーを構築する必要があります。Cisco Discovery Protocol(CDP)は、ローカルおよびリモート サイトからネイバー シスコ デバイスを検出できる必要があります。また、VLAN Trunking Protocol(VTP)は、カスタマー ネットワークのすべてのサイト全体にわたって一貫した VLAN コンフィギュレーションを提供する必要があります。
プロトコル トンネリングがイネーブルになると、サービス プロバイダー インフラストラクチャの受信側にあるエッジ スイッチが、レイヤ 2 プロトコルを特別の Media Access Control(MAC; メディア アクセス制御)アドレスでカプセル化し、サービス プロバイダー ネットワークの端まで送信します。ネットワークのコア スイッチはこれらのパケットを処理せず、通常のパケットと同様に転送します。CDP、STP、または、VTP 用の Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)は、サービス プロバイダー インフラストラクチャを経由して、サービス プロバイダー ネットワークの送信側にあるカスタマー スイッチへ配信されます。同一の VLAN にすべてのカスタマー ポートが、同一のパケットを受信します。
802.1Q トンネリング ポートでプロトコル トンネリングがイネーブルでない場合、サービス プロバイダー ネットワークの受信側の端にあるリモート スイッチは、BPDU を受信せず、STP、CDP、802.1X、および VTP を適切に実行できません。プロトコル トンネリングがイネーブルである場合、各カスタマー ネットワークのレイヤ 2 プロトコルは、サービス プロバイダー ネットワーク内で実行されているプロトコルから完全に分離されます。802.1Q トンネリングを使用してサービス プロバイダー ネットワークを経由してトラフィックを送信する異なるサイトのカスタマー スイッチは、カスタマー VLAN の情報を完全に取得します。
(注) Layer 2 プロトコル トンネリングは、ソフトウェアのトンネリング BPDU によって機能します。SUP に到着する大量の BPDU は、CPU 負荷の増大の原因となります。SUP CPU の負荷を削減するために、ハードウェア レート リミッタを使用する必要がある可能性があります。「レイヤ 2 プロトコル トンネル ポートのレート リミットの設定」を参照してください。
たとえば、図 9-4 では、カスタマー X には、同一の VLAN にサービス プロバイダー ネットワークを経由して接続された 4 個のスイッチがあります。ネットワークが BPDU をトンネリングしない場合、ネットワークの遠端にあるスイッチは、STP、CDP、802.1X、および VTP プロトコルを正しく実行できません。
前述の例では、カスタマー X のサイト 1 にあるスイッチ上の VLAN の STP は、そのサイトのスイッチ上に、カスタマー X のサイト 2 のスイッチに基づくコンバージェンス パラメータを考慮することなくスパニング ツリーを構築します。
図 9-5 に、BPDU トンネリングがイネーブルでない場合に、結果として得られるカスタマー ネットワークのトポロジを示します。
図 9-5 BPDU トンネリングがない場合の仮想ネットワーク トポロジ
Q-in-Q トンネリングおよびレイヤ 2 トンネリングには、次の注意事項と制約事項があります。
• サービス プロバイダー ネットワークのスイッチは、Q-in-Q タギングによって生じる Maximum Transmission Unit(MTU; 最大伝送ユニット)サイズの増加に対処するように設定される必要があります。
• Q-in-Q タグ付きパケットの MAC アドレス学習は、外部 VLAN(サービス プロバイダー VLAN)タグに基づきます。パケット転送問題は、1 つの MAC アドレスが複数の内部(カスタマー)VLAN にわたって使用される配置で発生します。
• レイヤ 3 以上のパラメータは、トンネル トラフィック内では識別できません(たとえば、レイヤ 3 宛先および送信元アドレス)。トンネル化されたトラフィックはルーティングできません。
• Cisco Nexus 7000 シリーズ デバイスは、トンネル トラフィックの MAC レイヤ ACL/QoS(VLAN ID および送信元/宛先 MAC アドレス)しか実現できません。
• MAC アドレス ベースのフレーム配信を使用しなければなりません。
• 非対称リンクでは、リンク上の 1 つのポートだけがトランクになるため、Dynamic Trunking Protocol(DTP)をサポートしません。無条件にトランクになるように、非対称リンクの 802.1Q トランク ポートを設定する必要があります。
• プライベート VLAN をサポートするように設定されたポート上で、802.1Q トンネリング機能を設定できません。プライベート VLAN はこれらの配置には必要ありません。
• トンネル VLAN 上の Internet Group Management Protocol(IGMP)スヌーピングをディセーブルにする必要があります。
• Control Plane Policing(CoPP; コントロール プレーン ポリシング)はサポートされません。
• vlan dot1Q tag native コマンドを実行して、ネイティブ VLAN でのタギングを維持し、タグなしトラフィックをドロップする必要があります。これによって、ネイティブ VLAN の誤設定を防止できます。
• 手動で、802.1Q インターフェイスをエッジ ポートになるよう設定する必要があります。
• リリース 5.0(2) の場合、Dot1x トンネリングはサポートされません。
• 一部の Cisco Nexus デバイスに対して EtherType コンフィギュレーションを有効にするために、EPLD アップグレードを実行して、新しいバージョンにアップグレードする必要があります。
ここでは、Cisco Nexus 7000 シリーズ デバイスでの Q-in-Q トンネルおよびレイヤ 2 プロトコル トンネリングの設定方法について説明します。
• 「L2 プロトコル トンネル ポートのグローバル サービス クラス(CoS)の設定」
• 「レイヤ 2 プロトコル トンネル ポートのレート リミットの設定」
• 「レイヤ 2 プロトコル トンネル ポートのしきい値の設定」
(注) Cisco IOS CLI を熟知している場合は、この機能の Cisco NX-OS コマンドと使用する Cisco IOS コマンドが異なる場合もある点に注意してください。
switchport mode コマンドを使用して、dot1q トンネル ポートを作成します。
(注) リリース 5.0(2) の場合、spanning-tree port type edge コマンドを使用して、802.1Q トンネル ポートをエッジ ポートに設定する必要があります。ポートの VLAN メンバシップは、switchport access vlan vlan-id コマンドを使用して変更されます。
dot1q トンネル ポートに割り当てられたアクセス VLAN の IGMP スヌーピングをディセーブルにして、マルチキャスト パケットの Q-in-Q トンネルの通過を許可する必要があります。
2. interface ethernet slot / port
4. switchport mode dot1q-tunnel
5. no switchport mode dot1q-tunnel
次に、802.1Q トンネル ポートを作成する例を示します。
Q-in-Q カプセル化に使用する 802.1Q EtherType 値を変更できます。
(注) 二重タグ付きフレームを伝送する出力トランク インターフェイス(サービス プロバイダーに接続するトランク インターフェイス)にだけ、EtherType を設定する必要があります。トランクの一方の EtherType を変更する場合、トランクのもう一方の端でも同じ値を設定する必要があります(対称型コンフィギュレーション)。
2. interface ethernet slot / port
4. switchport dot1q ethertype value
|
|
|
---|---|---|
次に、802.1Q トンネル ポートを作成する例を示します。
switch(config)# interface ethernet 7/1
2. interface ethernet slot / port
4. switchport mode dot1q-tunnel
5. l2protocol tunnel [cdp | stp | vtp]
|
|
|
---|---|---|
レイヤ 2 プロトコル トンネリングをイネーブルにします。オプションで、CDP、STP、または VTP トンネリングをイネーブルにできます。 |
||
次に、802.1Q トンネル ポートでプロトコル トンネリングをイネーブルにする方法を示します。
switch(config)# interface ethernet 7/1
トンネル ポートの入力 BPDU を指定されたクラスでカプセル化するために、Class of Service(CoS; サービス クラス)値をグローバルに指定できます。
|
|
|
---|---|---|
レイヤ 2 プロトコル トンネリング ポートのグローバル CoS 値を指定します。デフォルトの CoS 値は 5 です。 |
||
次に、レイヤ 2 プロトコル トンネリングのためにグローバル CoS 値を指定する例を示します。
レイヤ 2 プロトコル トンネリングのハードウェア レート リミッタ コンフィギュレーションを指定できます。デフォルトは、毎秒 500 パケットです。負荷、またはカスタマー用にトンネリングされる VLAN の数に応じて、この値を調整して、カスタマーのネットワークでの STP エラーを防止する必要があります。
|
|
|
---|---|---|
それを上回る dot1q トンネル ポートからの受信プロトコルはハードウェアでドロップされるように、1 秒あたりのパケット数のしきい値を設定します。指定できる範囲は 0 ~ 30000 です。 |
||
2. interface ethernet slot / port
4. switchport mode dot1q-tunnel
5. l2protocol tunnel drop-threshold [cdp | stp | vtp] packets-per-sec
6. no l2protocol tunnel drop-threshold [cdp | stp | vtp]
7. l2protocol tunnel shutdown-threshold [cdp | stp | vtp] packets-per-sec
8. no l2protocol tunnel shutdown-threshold [cdp | stp | vtp]
Q-in-Q トンネルおよびレイヤ 2 プロトコル トンネリングの設定情報を表示するには、次のコマンドを使用します。
次に、Ethernet 7/1 の受信トラフィックの Q-in-Q を処理するように設定されたサービス プロバイダー スイッチの例を示します。レイヤ 2 プロトコル トンネルが STP BPDU に対してイネーブルにされます。カスタマーは、VLAN 10(外部 VLAN タグ)に割り当てられます。
表 9-1 は、この機能のリリースの履歴です。
|
|
|
---|---|---|