2019/2/21更新 L3out と BD の紐付けの構成や Subnet での Advertise Externally を構成する手順の記載がありましたが、Static Route を利用した外部とのL3接続構成ではこれらの構成は不要ですので記載を削除しました。

■はじめに

本ページでは、Static L3out を構成する際に特別に考慮が必要な範囲にしぼってご説明をしています。Static Route での L3out の構成については、こちらのページや構成ガイドなども合わせて参照してください。

ACI で L3out を構成する場合には、こちらに記載がある通り以下の3通りのインターフェイス構成が可能です。

• Routed Interface
• Routed Sub-interface
• SVI

Dynamic Routing を用いる場合には、等コストでのロードバランシングを可能とするようにするなどにより L3レベルで経路冗長を構成すれば良いのですが、Static Route を用いる場合には L3レベルでの経路冗長の構成が難しいため、L2レベルでの冗長化が一般的に用いられます。ただし、インターフェイスを Port Channel もしくは vPC を利用して L2レベルで冗長化したい場合には、ACI ではインターフェイスとして SVI を用いる必要があります。Static Route を用いるが L3レベルでの冗長化が必要となる場合には、HSRP を構成することも可能です。

本ページでは、インターフェイスとして vPC を構成し SVI を利用する場合に Static Route での冗長構成を構成する方法について解説します。ただし、ACI 側の L3out として SVI を用いる構成においてはインターフェイスとして Port Channel や Port での構成も可能です。

■Shared Secondary IP とは

Static Route で L3out を構成する場合に、1.0(2m)以降の ACI リリースでは "Shared Secondary IP" という機能を利用することが可能です。これは2つの Border Leaf にまたがって L3out を構成する場合に、対向の L3デバイスからみた Static Route の宛先もしくは Gateway として利用できる IP アドレスとなります。この機能を利用する上で、対向の L3デバイス側に要件はありません。Active / Active 構成、Active / Standby 構成いずれの構成でも利用することが可能です。また、対向側がHSRP であっても問題ありません(ただしその場合、対向側の HSRP のためのノード間接続用 L2ネットワークが必要となります)。

※ACI 側を HSRP で構成する場合、インターフェイスの種別としては Routed Interface もしくは Routed Sub-interface のみがサポートされます。また、各 Leaf スイッチに構成した外部接続ポート間を L2接続するネットワークが必要となります。Shared Secondary IP を利用する場合にはこれらの要件はないため、Static Route 利用時の経路冗長化に対しては一般的には  Shared Secondary IP の利用を推奨します。

■ACI 内部向けの冗長と外部向けの冗長の違い

ACI Fabric 配下に接続されている Endpoint に対しては、ACI の Leaf スイッチは Anycast Gateway として当該 BD が構成されている全ての Leaf スイッチで同一 IP/MAC アドレスでゲートウェイ動作するため標準で冗長が構成されていますが、この機能は ACI 内部向けに利用できる機能であり L3out では利用することができません。そのため、L3out + Static Route で構成する場合に冗長化を実現するためには、Shared Secondary IP を用いる構成か、HSRP を用いる必要があります。Shared Secondary IP を用いる場合には、各 SVI に割り当てた IP アドレスに加えて、共有で構成される Gateway として用いられる IP アドレス(= Shared Secondary IP)が必要となります。

■Static L3out の構成パターン

Static Route を利用する L3out を構成する方法としては、以下の3通りのパターンが考えられます。基本的にはパターン3の構成を利用します。

1. Logical Node Profile を2つ構成し、各 Logical Node に1つずつ Logical Interface を構成、各 Logical Interface に1つずつ SVI を割り当てる
2. Logical Node Profile を1つ構成し、Logical Interface を2つ構成、各 Logical Interface に1つずつ SVI を割り当てる
3. Logical Node Profile を1つ構成し、Logical Interface も1つ構成、その中に2つの SVI を構成する

1つ目のパターンを用いるケースとしては、各 SVI が構成される vPC ペアとなっている Leaf スイッチが異なる場合などがあります。たとえば、Leaf1-2で構成した vPC インターフェイスと Leaf3-4で構成した vPC インターフェイスの2つを使って1つの L3out を構成する場合などです。

※別の Node Profile 配下の Node の構成に不整合があった場合に想定されない動作となる可能性があるため、同じ Node を複数の Node Profile の配下に構成することはサポートされません。

2つ目のパターンを用いるケースとしては、Policy をそれぞれに適用したい場合などがあります。Logical Interface は各種Policy や BFD、HSRP、DHCP relay などの構成単位となるため、これらを区分する必要がある場合には、Logical Interface を分ける必要があります。

3つ目のパターンを用いるケースとしては、パターン1および2のケースには該当しない場合全般となります。基本的にはこの構成の利用が一般的です。

パターン1は物理的な構成がどのような場合であっても対応できるため構成を1つだけに標準化したいという場合には選択肢となりますが、構成項目を最小化するという意味ではパターン3が最も構成項目を少なくすることが可能です。

■Shared Secondary IP の構成

L3out を SVI で構成し、インターフェイスとして vPC を選択した場合、下記のように Site A / B の Preferred Address をそれぞれ構成することが必須項目として求められるとともに、Secondary IP の構成が可能となっています。Static Route で L3out を使用する場合には、各 Site の Secondary IP として同一の IP アドレスを指定します。また、必要に応じて MAC アドレスと MTU サイズの指定も行ってください。

※ACI では IP パケットのフラグメント処理を行うことはできません。

■Logical Node の Static Route と Network の Subnet

Logical Node のパラメータの1つとして構成する Static Route は、ネットワークとしての接続性を構成します。Next Hop IP アドレスと紐付けることで、その先にあるネットワークの範囲を定義します。

Network のパラメータの1つとして構成する Subnet は、External EPG として扱う範囲を構成します。この範囲外は External EPG としては扱われないため、ACI 内部の EPG との間で Contract を結んだ場合などに、Subnet が未定義もしくは範囲外だと通信することはできません。

よって、Logical Node の Static Route では0.0.0.0/0として外部ネットワークを定義していたとしても、Network の Subnet  を絞って指定することによって、Contract によって疎通を可能とするネットワークの範囲を制御することが可能となります。

■Contractの構成

VRF が Enforce Mode、つまりは Contract が有効として構成されている場合、External EPG との間においても Contract が必要となります。EPG 側で Consume もしくは Provide した Contract を、External EPG 側でも Consume もしくは Provide することによって、EPG と External EPG との間で Contract に基づく疎通が可能となります。