VRF 間でルーティングするには 2 つの方法があります。
図 SD-Access エクストラネットを使用したマルチ VN 設計
SD-Access エクストラネットの重要なコンセプトは、プロバイダー VN とサブスクライバ
VN の分離です。プロバイダー VN の一般的な例は、共有サービスです(他の複数の VN で必要)。サブスクライバ VN は、(プロバイダー VN のサービスを必要とする)クライ アントが存在する VN です。
VN エクストラネットの例
SD-Access VN エクストラネットでプロバイダー VN とサブスクライバ VN がどのように利 用されるかを理解するために、以下のシナリオについて考えてみましょう。
VRF RED はプロバイダー VN で、VRF BLUE および GREEN はサブスクライバ VN です。
1 ホスト C1 は、VRF BLUE のエッジ 1 に接続します。
2 ホスト C2 は、VRF GREEN のエッジ 3 に接続します。
3 共有サービスは、VRF RED のエッジ 2 に接続するエンドポイントです。
4 コントロール プレーン ノードは、そのデータベースにエンドポイント エントリを 登録します。
5 VN 間ポリシーには、次のように規定されています。
- VRF BLUE および GREEN は VRF RED のリソースにアクセスできる。
- VRF BLUE および GREEN は互いのリソースにはアクセスできない。
図 SD-Access VN エクストラネットの動作
1 今、ホスト C1 が共有サービスにアクセスしようとしています。
2 エッジ 1 はパケットを受信し、クエリをコントロール プレーン ノードに送信します。
- コントロール プレーン ノードはデータベースをチェックし、VRF BLUE の共有サービス ホストを探します(ただし、エントリは見つかりません)。
- 次にコントロール プレーン ノードは、エクストラネット ポリシーを参照 して、VRF RED でエントリをチェックする必要があることを確認します。
3 コントロール プレーン ノードは、VRF RED で共有サービス ホストのエントリを 見つけます。
4 次にコントロール プレーン ノードは、エッジ 1 に対して、パケットを VRF RED でカプセル化してエッジ 2 に転送するように指示します。
- 結果は、今後の共有サービス ホスト宛てのトラフィックのためにエッジ 1 でキャッシュされます。
VRF GREEN のホスト C2 が VRF RED のリソースにアクセスする場合も、同様の処理が 行われます。
フュージョン ルータまたはファイアウォールによる VRF 間ルーティ ング
VRF 間ルーティングのもう 1 つのオプションは、フュージョン ルータを活用することです。
フュージョン ルータは、単なる外部ルータまたはファイアウォール(SD-Access ファブ リックの外部に存在)で、VRF を 1 つに「融合」するために基本的な VRF 間ルート リー ク(別の VRF テーブルのルートのインポート/エクスポート)を実行します。
図 共有サービスと外部フュージョン ルータ
共有サービスがグローバル ルーティング テーブル(GRT)内にあるか別の VRF 内にある かに応じて、フュージョン ルータの設計に関する考慮事項がいくつか適用されます。
GRT での共有サービス
• ファブリック ボーダー ノードは、グローバル ルーティング テーブルを使用して、
フュージョン ルータとの外部 BGP ルーティング アジャセンシー関係を形成します。
• ボーダー ノードで同じルーティング アジャセンシー関係が、各 VRF コンテキスト
(BGP アドレス ファミリ)に形成されます。
• フュージョン ルータで、SD-Access VN 間のルートが外部ネットワークの GRT と 融合(インポート)されます。
マルチプロトコル BGP は、(AS_PATH 属性を使用して)ルーティング ループ を防止する固有の方法を備えているため、このルート交換に最適なルーティング プロトコル です。他のルーティング プロトコルも使用できますが、ループを防止するために複雑な配布 リスト(distribute-list)およびプレフィックス リスト(prefix-list)が必要になります。
注
個別の VRF での共有サービス
• ボーダー ノードとフュージョン ルータ間に、各 BGP アドレス ファミリ用の個別の ルーティング アジャセンシー関係が形成されます。
フュージョン ルータ方式を使用して VN 間通信を実現する場合、主に次の 4 つの課題があ ります。
• 複数のタッチポイント:複数のポイント(ルート リークが実装されているすべての 場所)で、手動による設定を行う必要があります。
• ルートの重複:ある VRF から別の VRF にリークされたルートは、両方の VRF 用の ハードウェア テーブルにもプログラミングされます。これにより、TCAM の使用 率が高くなります。
• SGT コンテキストの喪失:SGT グループ タグが VRF 間で維持されないため、トラ
フィックが他の VRF 内に入った際に再分類が必要になります。
• トラフィックのヘアピニング:VN 間トラフィックをフュージョン ルータにルー ティングした後、ファブリック ボーダー ノードに戻す必要があります。
ファブリック パケット ウォーク
これまでさまざまな SD-Access ファブリック コンポーネントを確認し、その動作や相互作 用について検討してきました。次に、ファブリック パケット転送およびパケット フローに ついて検討していきましょう。
この章では、SD-Access コンテキストにおける次のパケット ウォークについて説明します。
• DHCP クライアントの動作
• ARP の動作
• 有線からワイヤレスへのユニキャスト
• ワイヤレス モビリティ
• 同じサブネット内のセンダーとレシーバを利用した、ファブリックから外部クライ アントへのユニキャスト(SD-Access と外部ネットワーク間)
• 異なるサブネット内のセンダーとレシーバを利用した、ファブリックから外部クラ イアントへのユニキャスト(SD-Access と外部ネットワーク間)
• オーバーレイでのファブリック マルチキャスト
• アンダーレイでのネイティブ マルチキャスト
• ブロードキャストのサポート
各パケット ウォークが SD-Access ファブリックにおいて関連している理由を確認し、ファ ブリックの動作や利用に影響する各パケット ウォークの主な側面について検討します。