IEEE 802.1Q トンネリングについて
IEEE 802.1Q トンネリングは、サービスプロバイダーのネットワークを越えて複数のカスタマーのトラフィックを運び、その他のカスタマーのトラフィックに影響を与えずに、それぞれのカスタマーの VLAN およびレイヤ 2 プロトコルの設定を維持する必要があるサービスプロバイダー用に設計された機能です。
サービス プロバイダー ネットワークにおける IEEE 802.1Q トンネルポート
サービス プロバイダーのビジネス カスタマーには、多くの場合、サポートする VLAN ID および VLAN の数に固有の要件があります。同一サービスプロバイダー ネットワークのさまざまなカスタマーが必要とする VLAN 範囲は重複し、インフラストラクチャを通るカスタマーのトラフィックは混合してしまうことがあります。それぞれのカスタマーに VLAN ID の固有の範囲を割り当てると、カスタマーの設定が制限され、IEEE 802.1Q 仕様の VLAN 制限(4096)を簡単に超えてしまうことがあります。
サービス プロバイダーは、IEEE 802.1Q トンネリング機能を使用すると、単一の VLAN を使用して、複数の VLAN を含むカスタマーをサポートできます。カスタマーの VLAN ID は、同一 VLAN にあるように見えても保護され、さまざまなカスタマーのトラフィックは、サービスプロバイダー ネットワーク内で区別されます。IEEE 802.1Q トンネリングを使用する場合、VLAN-in-VLAN 階層構造およびタグ付きパケットへの再タグ付けによって、VLAN スペースを拡張できます。IEEE 802.1Q トンネリングをサポートするように設定したポートは、トンネル ポートと呼ばれます。トンネリングを設定する場合は、トンネリング専用の VLAN ID にトンネル ポートを割り当てます。それぞれのカスタマーには別個のサービスプロバイダー VLAN ID が必要ですが、その VLAN ID ではすべてのカスタマーの VLAN がサポートされます。
適切な VLAN ID で通常どおりにタグ付けされたカスタマーのトラフィックは、カスタマーデバイスの IEEE 802.1Q トランクポートからサービスプロバイダーのエッジデバイスのトンネルポートに発信されます。カスタマーデバイスとエッジデバイス間のリンクは、片方が IEEE 802.1Q トランクポートとして設定され、もう一方がトンネルポートとして設定されるため、非対称です。それぞれのカスタマーに固有のアクセス VLAN ID には、トンネル ポート インターフェイスを割り当てます。
カスタマーのトランクポートからサービスプロバイダーのエッジデバイスのトンネルポートに発信されるパケットには、通常、適切な VLAN ID とともに IEEE 802.1Q タグが付いています。これらのタグ付きパケットは、デバイス内部ではそのまま保持され、トランクポートを出てサービスプロバイダー ネットワークに入る時点で、カスタマーに固有の VLAN ID を含む、IEEE 802.1Q タグのもう 1 つのレイヤ(メトロタグと呼ばれる)でカプセル化されます。カスタマーの元の IEEE 802.1Q タグは、カプセル化されたパケット内で保護されます。このため、サービスプロバイダー ネットワークに入るパケットには、カスタマーのアクセス VLAN ID を含む外部(メトロ)タグ、および着信トラフィックのものである内部 VLAN ID という、二重のタグが付きます。
二重タグパケットがサービスプロバイダー コア デバイスの別のトランクポートに入ると、デバイスがパケットを処理するときに外部タグが外されます。パケットがその同じコアデバイスの別のトランクポートを出るとき、同じメトロタグがパケットに再び追加されます。
パケットがサービスプロバイダー出力デバイスのトランクポートに入ると、デバイスがパケットを内部処理する間に外部タグが再び外されます。ただし、パケットがエッジデバイスのトンネルポートからカスタマーネットワークに送信されるとき、メトロタグは追加されません。パケットは通常の IEEE 802.1Q タグ フレームとして送信され、カスタマー ネットワーク内で元の VLAN 番号は保護されます。
上記のネットワークの図では、カスタマー A に VLAN 30、カスタマー B に VLAN 40 が割り当てられています。エッジデバイスのトンネルポートに入る、IEEE 802.1Q タグが付いたパケットは、サービスプロバイダ ネットワークに入るとき、VLAN ID 30 または 40 を適切に含む外部タグ、および VLAN 100 などの元の VLAN 番号を含む内部タグが付いて二重タグになります。カスタマー A とカスタマー B の両方が、それぞれのネットワーク内で VLAN 100 を含んでいても、外部タグが異なるので、サービスプロバイダー ネットワーク内で区別されます。それぞれのカスタマーは、その他のカスタマーが使用する VLAN 番号スペース、およびサービスプロバイダー ネットワークが使用する VLAN 番号スペースから独立した、独自の VLAN 番号スペースを制御します。
アウトバウンド トンネル ポートでは、カスタマーのネットワーク上の元の VLAN 番号が回復されます。トンネリングとタグ付けを複数レベルにすることもできますが、このリリースのデバイスでは 1 レベルだけがサポートされます。
カスタマー ネットワークから発信されるトラフィックにタグ(ネイティブ VLAN フレーム)が付いていない場合、そのパケットのブリッジングまたはルーティングは通常パケットとして行われます。エッジデバイスのトンネルポートを通ってサービスプロバイダ ネットワークに入るすべてのパケットは、タグが付いていないか、IEEE 802.1Q ヘッダーですでにタグが付いているかに関係なく、タグなしパケットとして扱われます。パケットは、IEEE 802.1Q トランク ポートでサービスプロバイダー ネットワークを通じて送信される場合、メトロ タグ VLAN ID(トンネル ポートのアクセス VLAN に設定)でカプセル化されます。メトロ タグの優先度フィールドは、トンネル ポートで設定されているインターフェイス サービス クラス(CoS)優先度に設定されます(設定されていない場合、デフォルトはゼロです)。
スイッチでは、802.1Q トンネリングはポート単位で設定されるため、スイッチがスタンドアロンデバイスであるか、またはスタックメンバーであるかは関係ありません。すべての設定は、アクティブスイッチで行われます。
ネイティブ VLAN
エッジデバイスで IEEE 802.1Q トンネリングを設定する場合、サービスプロバイダー ネットワークにパケットを送信するために、IEEE 802.1Q トランクポートを使用する必要があります。ただし、サービスプロバイダー ネットワークのコアを通過するパケットは、IEEE 802.1Q トランク、ISL トランク、非トランキング リンクのいずれかで送信できます。コアデバイスで IEEE 802.1Q トランクを使用する場合、IEEE 802.1Q トランクのネイティブ VLAN は、同一デバイスの非トランキング(トンネリング)ポートのネイティブ VLAN と同じであってはなりません。これは、ネイティブ VLAN のトラフィックは、IEEE 802.1Q 送信トランクポートではタグ付けされないためです。
以下のネットワーク図では、VLAN 40 は、サービス プロバイダー ネットワークの入力エッジ スイッチ(スイッチ B)において、カスタマー X からの IEEE 802.1Q トランク ポートのネイティブ VLAN として設定されています。カスタマー X のスイッチ A は、VLAN 30 のタグ付きパケットを、アクセス VLAN 40 に属する、サービスプロバイダー ネットワークのスイッチ B の入力トンネル ポートに送信します。トンネル ポートのアクセス VLAN(VLAN 40)は、エッジ スイッチのトランク ポートのネイティブ VLAN(VLAN 40)と同じであるため、トンネル ポートから受信したタグ付きパケットには、メトロ タグが追加されません。パケットには VLAN 30 タグだけが付いて、サービスプロバイダー ネットワークで出力エッジ スイッチ(スイッチ C)のトランク ポートに送信され、出力スイッチ トンネルによってカスタマー Y に間違えて送信されます。
この問題の解決方法は次のとおりです。
-
vlan dot1q tag native グローバル コンフィギュレーション コマンドを使用することで、(ネイティブ VLAN を含む)IEEE 802.1Q トランクから発信されるすべてのパケットがタグ付けされるようにエッジスイッチを設定します。すべての IEEE 802.1Q トランクでネイティブ VLAN パケットにタグを付けるようにスイッチを設定した場合、スイッチはタグなしパケットをドロップし、タグ付きパケットだけを送受信します。
-
エッジスイッチのトランクポートのネイティブ VLAN ID が、カスタマー VLAN 範囲に含まれないようにしてください。たとえばトランク ポートが VLAN100 ~ 200 のトラフィックを運ぶ場合は、この範囲以外の番号をネイティブ VLAN に割り当てます。
システム MTU
デバイス上のトラフィックに関するデフォルトのシステム MTU は、1500 バイトです。
system mtu bytes グローバル コンフィギュレーション コマンドを使用すると、10 ギガビット イーサネット ポートおよびギガビット イーサネット ポートで 1500 バイトを超えるフレームをサポートするように設定できます。
システム MTU 値とシステム ジャンボ MTU 値には、IEEE 802.1Q ヘッダーは含まれていません。IEEE 802.1Q トンネリング機能では、メトロタグが追加されるとフレームサイズが 4 バイト増加するため、システム MTU サイズに最低 4 バイトを追加することによって、サービス プロバイダー ネットワークのすべてのデバイスが最大フレームを処理できるように設定する必要があります。
たとえば、デバイスはこの構成で最大 1496 バイトのフレームサイズをサポートしています。デバイスのシステム MTU 値が 1500 バイトで、 switchport mode dot1q tunnel インターフェイス コンフィギュレーション コマンドを使って 10 ギガビットイーサネットまたはギガビット イーサネット デバイス ポートが設定されています。
IEEE 802.1Q トンネリングおよびその他の機能
IEEE 802.1Q トンネリングはレイヤ 2 パケット スイッチングで適切に動作しますが、一部のレイヤ 2 機能およびレイヤ 3 スイッチングの間には非互換性があります。
-
トンネル ポートはルーテッド ポートにできません。
-
IEEE 802.1Q トンネル ポートを含む VLAN では IP ルーティングがサポートされません。トンネル ポートから受信したパケットは、レイヤ 2 情報だけに基づいて転送されます。トンネル ポートを含むスイッチ仮想インターフェイス(SVI)でルーティングがイネーブルである場合、トンネル ポートから受信したタグなし IP パケットは、スイッチに認識されてルーティングされます。カスタマーは、ネイティブ VLAN を介してインターネットにアクセスできます。このアクセスが必要ない場合は、トンネル ポートを含む VLAN で SVI を設定しないでください。
-
フォールバック ブリッジングは、トンネル ポートでサポートされません。トンネル ポートから受信したすべての IEEE 802.1Q タグ付きパケットは IP 以外のパケットとして扱われるので、トンネル ポートが設定されている VLAN でフォールバック ブリッジングが有効である場合、IP パケットは VLAN を越えて不適切にブリッジングされます。このため、トンネル ポートを含む VLAN ではフォールバック ブリッジングを有効にしないでください。
-
トンネル ポートでは IP アクセス コントロール リスト(ACL)がサポートされません。
-
レイヤ 3 の Quality of Service(QoS)ACL およびレイヤ 3 情報に関連する他の QoS 機能は、トンネル ポートではサポートされていません。MAC ベース QoS はトンネル ポートでサポートされます。
-
IEEE 802.1Q 設定が EtherChannel ポート グループ内で矛盾しない場合、EtherChannel ポート グループにはトンネル ポートとの互換性があります。
-
ポート集約プロトコル(PAgP)、Link Aggregation Control Protocol(LACP)、単一方向リンク検出(UDLD)は、IEEE 802.1Q トンネル ポートでサポートされます。
-
トンネル ポートとトランク ポートで非対称リンクを手動で設定する必要があるので、ダイナミック トランキング プロトコル(DTP)には IEEE 802.1Q トンネリングとの互換性がありません。
-
VLAN トランキング プロトコル(VTP)は、非対称リンクで接続されているデバイス間、またはトンネルを通して通信を行うデバイス間で動作しません。
-
IEEE 802.1Q トンネル ポートでは、ループバック検出がサポートされます。
-
IEEE 802.1Q トンネル ポートとしてポートを設定すると、スパニングツリー ブリッジ プロトコル データ ユニット(BPDU)フィルタリングがインターフェイスで自動的に有効になります。Cisco Discovery Protocol(CDP)は、インターフェイスで自動的にディセーブルに設定されます。
(注)
IEEE 802.1Q トンネリングを設定している場合、スパニングツリー BPDU フィルタが自動的に有効になるため、BPDU フィルタリング設定情報は表示されません。show spanning tree interface コマンドを使用して BPDU フィルタ情報を確認できます。
-
IEEE 802.1Q トンネルポートが SPAN 送信元として設定されている場合、パケット損失を回避するために、SVLAN に SPAN フィルタを適用する必要があります。
-
IGMP/MLD パケット転送は、IEEE 802.1Q トンネルで有効にできます。これは、サービス プロバイダー ネットワークで IGMP/MLD スヌーピングを無効にすることで実行できます。
IEEE 802.1Q トンネリングのデフォルト設定
デフォルトでは、デフォルト switchport モードが dynamic auto であるため、IEEE 802.1Q トンネルはディセーブルです。すべての IEEE 802.1Q トランク ポートにおける IEEE 802.1Q ネイティブ VLAN パケットのタグ付けもディセーブルです。