1. No category

�f�U�C���m�[�g

Cisco Data Center Assurance Program(DCAP)
6.0 第 1 巻
コンフィギュレーション ノート
Cisco Data Center Assurance Program (DCAP) 6.0 Volume 1
Config Notes
【注意】シスコ製品をご使用になる前に、安全上の注意
(www.cisco.com/jp/go/safety_warning/)をご確認ください。
本書は、米国シスコシステムズ発行ドキュメントの参考和訳です。
米国サイト掲載ドキュメントとの差異が生じる場合があるため、
正式な内容については米国サイトのドキュメントを参照ください。
また、契約等の記述については、弊社販売パートナー、または、
弊社担当者にご確認ください。
このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および推奨事項
は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製品の使用は、すべ
てユーザ側の責任になります。
対象製品のソフトウェア ライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡ください。
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public
domain version of the UNIX operating system.All rights reserved.Copyright © 1981, Regents of the University of California.
ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコシステ
ムズおよびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保
証をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。
いかなる場合においても、シスコシステムズおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめと
する、間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコシステムズまたはその供給者に知らされていても、それらに対する責任を一切負
わないものとします。
Cisco Data Center Assurance Program(DCAP)6.0 第 1 巻 コンフィギュレーション ノート
© 2009 Cisco Systems, Inc.
All rights reserved.
Copyright © 2009–2010, シスコシステムズ合同会社 .
All rights reserved.
CONTENTS
概要
v
スコープ
vi
高レベルのトポロジ表示
viii
テスト トラフィック プロファイル
DCAP 6.0 スイート
CHAPTER
1
ix
x
DCAP レイヤ 2 コンフィギュレーション ノート
ポートチャネリング
1-3
バンドル プロトコル
1-4
プロトコル モード
1-4
ロード バランシング
1-5
レイヤ 2 トランク ポート
1-5
トランクのカプセル化
1-6
ネイティブ VLAN タギング
1-7
VLAN トランキング プロトコル(VTP)
レイヤ 2 アクセス ポート
1-8
ポート セキュリティ
1-10
スパニング ツリー PortFast
1-10
スパニング ツリー プロトコル
基本の STP 設定
1-7
1-7
アクセス モード設定
1-11
1-12
STP Pathcost 方式
1-13
PortFast BPDU ガード
BPDU フィルタ
1-1
1-13
1-14
ループ ガード
1-14
ルート ガード
1-15
ジャンボ フレーム
1-15
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
iii
Contents
その他のレイヤ 2 設計上の注意
1-16
スパニング ツリーのポート パス コスト計算の違い
1-16
1-17
show interface トランク出力の違い
1-19
Nexus 5000 の show interface 出力での不正確な MTU 値の表示
802.1q ネイティブ VLAN タギングが未サポートの Nexus 5000 1-20
CHAPTER
2
DCAP レイヤ 3 コンフィギュレーション ノート
IP マルチキャスト
PIM sparse モード
エニーキャスト RP
MSDP
IGMP
2-1
2-3
2-4
2-6
2-7
2-8
IGMP スヌーピング
2-9
マルチキャスト整合性チェッカー
FIB TCAM
2-9
2-10
CoPP および PIM Register パケット
Open Shortest Path First(OSPF)
2-11
DCAP 6.0 の OSPF 配置
設定の違いの要約
2-10
2-11
2-12
コア レイヤの OSPF 設定の比較
2-12
アグリゲーション レイヤの OSPF 設定の比較
Hot Standby Routing Protocol(HSRP)
設定上の違い
最適化
2-13
2-14
2-15
2-16
Cisco Data Center Assurance Program(DCAP)6.0
iv
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
概要
データセンター スイッチ Nexus ファミリを導入すると、データセンター環境を準備して、データセン
ター コンピューティングの次の進化段階に備えることができます。
さまざまな Nexus ファミリ製品をデータセンター トポロジに追加していく場合、現行の Catalyst 6500
ベースの環境から新しいプラットフォームに円滑に移行できることが重要です。たとえば、お客様は次
のような問題に直面したり、次のような情報が必要となる場合があります。
• Catalyst ファミリと Nexus ファミリの機能にはどのような類似性があるのか。
• 2 つのプラットフォーム間で機能が同等である場合、設定時と実装時にどのような違いがあるか。
• Native IOS と NX-OS のプロトコル実装にはどのような違いがあるか。
• Catalyst プラットフォームと Nexus プラットフォームの相互運用性に関して、どのような問題が発
生するか。
• スケーラビリティおよびパフォーマンスの点で、2 つのプラットフォーム間にどのような性能の違
いがあるか。
• ネガティブなシステム イベントに対応するシステム / ネットワークの復旧に関して、動作およびパ
フォーマンスにどのような違いがあるか。
このマニュアルでは、これらの問題に対処する方法について説明します。Catalyst 6500 ベースと
Nexus 7000 ベースのデータセンター テスト トポロジを並べて構築および設定することによって、テス
ト チームは設定を比較し、プロトコルや復旧動作の違いについて知ることができます。
このマニュアルは、3 巻セットで配布されます。第 1 巻では、テスト中に気付く設定ガイドラインの要
約と、テスト トポロジおよび方法論の詳細について説明します。
続いて第 2 巻ではテスト計画のコピーを提供し、第 3 巻ではテスト中に使用したシステム構成のコピー
を提供します。このマニュアルは、独自の Nexus ベースのデータセンターを設定する際の参考資料と
して利用できます。テスト結果はここには提供されていませんが、担当者を通じて入手可能です。
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
v
概要
スコープ
このテストでは、次のハードウェア プラットフォームとそれぞれのソフトウェア バージョンを使用し
ました。
• NX-OS 4.0(4) を実行している Nexus 7000
• Native IOS 12.2(33)SXH3a を実行している Catalyst 6500
• NX-OS 4.0(1a)N1(1) を実行している Nexus 5000
• Native IOS 12.2(46)SG を実行している Catalyst 4948-10G
テストで使用したハードウェアの詳細なリストについては、このマニュアルの第 3 巻『Cisco Data
Center Assurance Program(DCAP)6.0 第 3 巻』、または上記のインタラクティブ ツールで参照できま
す。
実行されたテストの大部分は、ネガティブ イベントに使用されたシステムの応答特性を明らかにする
ことに重点を置いています。ネガティブ テストはすべてのプラットフォームで実施されましたが、こ
の特性解析の中心となったシステムは Catalyst 6500 と Nexus 7000 です。ネガティブ テストは、ス
イッチ間リンクの破損、ラインカードまたはスーパーバイザの障害、プロセスのリセットなどの有害な
イベントで構成されています。ネガティブ イベントに対するシステムからの応答は、観測されたトラ
フィック損失の量で測定されます。
テストの大部分はこのネガティブ イベントの処理に費やされていますが、テスト トポロジ内で有効に
なっているさまざまな機能の基本機能検証テストも実施されています。この機能テストは主に Nexus
7000 プラットフォームで実施されています。Catalyst 6500 の拡張機能テストおよびプラットフォーム
検証は、すでに Safe Harbor Native IOS テストのスコープに含まれています。このテストの Catalyst
6500 で使用された Native IOS リリース 12.2(33)SXH3a では、Data Center Assurance Program
(DCAP)6.0 のテストが開始されたときには、すでに Safe Harbor のテストが完了していました。
Catalyst 6500 の機能テストについて詳しい情報が必要な場合は、お客様向けの Safe Harbor ページ
(http://www.cisco.com/go/safeharbor)を参照してください。
正式にはスケーラビリティとパフォーマンスはこのテストのスコープに含まれていませんが、VLAN
または VLAN Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)の数、Hot Standby
Router Protocol(HSRP; ホットスタンバイ ルータ プロトコル)グループの数、マルチキャスト グルー
プの数など、特定の領域の特定のスケーラビリティを調べる機会がありました。このようなスケーリン
グの詳細については、次のセクションで説明します。
次の表は、テストに使用したプラットフォームで有効化または設定されている機能の要約を示していま
す。上記のとおり、これらの機能のすべてが、このテストの一部としてすべてのプラットフォームで慎
重にテストされたわけではありません。1 つ以上のネガティブ テスト ケースの一部として監視された
機能もあれば、Safe Harbor リリース テストに含まれていた機能もあります。
表 1
DCAP 6.0 で有効になった機能
Catalyst
6500
Nexus
5000
Catalyst
4948-10G
セキュア シェル(SSH) x
x
x
x
Telnet
x
x
x
x
簡易ネットワーク管理プ x
ロトコル(SNMP)
x
x
x
x
x
x
x
機能
rPVST+ スパニング ツ
Nexus
7000
リー
Cisco Data Center Assurance Program(DCAP)6.0
vi
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
概要
表 1
DCAP 6.0 で有効になった機能 (続き)
x
x
x
x
x
x
x
x
BPDU ガード
x
x
x
x
ループ ガード
x
x
x
x
x
x
x
x
IGMP スヌーピング
x
x
x
x
ポート セキュリティ
x
x
Open Shortest Path First x
x
スパニング ツリー プロ
トコル(STP)Portfast
ブリッジ プロトコル
データ ユニット
(BPDU)フィルタ
インターネット グルー
プ管理プロトコル
(IGMP )
x
(OSPF)
Link Aggregation
Control Protocol
(LACP)
x
x
x
ネットワーク タイム プ
ロトコル(NTP)
x
x
x
x
Protocol Independent
Multicast-Sparse Mode
(PIM-SM)
Multicast Source
Discovery Protocol
(MSDP)
x
x
x
x
自動ランデブー ポイン
ト(RP)
x
x
スタティック RP
x
x
エニーキャスト RP
x
x
HSRP
x
x
802.1q Trunking
x
x
x
x
プロセス再起動性
x
ジャンボ フレーム
x
x
x
x
ハードウェア レート リ
ミット
x
Unicast Reverse Path
Forwarding(uRPF)
x
x
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
vii
概要
高レベルのトポロジ表示
このテストでは、図 1 に示すように 2 つのデータセンターを使用しています。いずれも標準のコア / ア
グリゲーション / アクセス レイヤ モデルを使用して構成されています。一方のデータセンターでは、
コア レイヤおよびアグリゲーション レイヤで Catalyst 6500 を使用しています。もう一方のデータセン
ターでは、これらのレイヤを Nexus 7000 スイッチで構成しています。各データセンターのアクセス レ
イヤには、Catalyst 6500、Catalyst 4948-10G、および Nexus 5000 スイッチが含まれています。Nexus
7000 ベースのデータ センターでは、Nexus 7000 もアクセス レイヤに含まれています。
図 1
高レベルのテスト トポロジ
ࠦࠕ
㓸⚂
269434
ࠕࠢ࠮ࠬ
(注)
2 つのデータセンター トポロジは、論理的にはいかなる形でも接続されていません。
(注)
2 つのデータセンター トポロジのアクセス レイヤは、同じ物理スイッチを使用することによって、物
理的に接続されています。ただし、論理的には、各データセンターに異なる VLAN ドメインを使用す
ることによって 2 つが分離されています。
Cisco Data Center Assurance Program(DCAP)6.0
viii
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
概要
各データセンターのアクセス レイヤはレイヤ 2 です。図 1 では、レイヤ 2 とレイヤ 3 の区分が点線で
示されています。
Catalyst 6500 ベースのトポロジでは、すべてのスイッチ間リンクが 10 ギガビット イーサネットです。
ただし、2 つのアグリゲーション レイヤ スイッチ間のリンク、および 2 つのアグリゲーション レイヤ
スイッチと Nexus 5000 アクセス レイヤ スイッチの間のリンクは例外です。これらのリンクは 2x10 ギ
ガビット イーサネット LACP チャネルです。
Nexus 7000 ベースのトポロジでは、一部の例外を除き、スイッチ間リンクの大部分が 2x10 ギガビッ
ト イーサネット LACP チャネルです。Catalyst 4948-10G アクセス レイヤ スイッチからのアップリン
クは、単一の 10 ギガビット イーサネット リンク(このプラットフォームのキャパシティ)です。
Nexus 5000 アクセス レイヤ スイッチからのアップリンクは、4x10 ギガビット イーサネット LACP
チャネルです。
2 つのトポロジのそれぞれで、ループフリーのレイヤ 2 ドメインをイネーブルにするために、Rapid
Per-VLAN Spanning-Tree plus(PVST+)スパニング ツリーが使用されています。BPDU フィルタ、
BPDU ガード、ループ ガードなど、個々のドメインを強固にするためにさまざまなスパニング ツリー
拡張が使用されています。サーバのエンドポイント(IXIA テスト ツールでエミュレート)に接続して
いるアクセス レイヤ スイッチの各ポートは、スパニング ツリー Portfast およびポート セキュリティで
構成されています。
HSRP はゲートウェイ冗長機能を提供するために使用され、アグリゲーション レイヤで実装されてい
ます。OSPF は Interior Gateway Protocol(IGP)として使用されています。マルチキャストは
Protocol Independent Multicast(PIM)sparse モード プロトコルを使用することで容易に実現できま
す。各トポロジの 2 つのコア レイヤ デバイスは、自動 RP を使用するように設定され、さらにデバイ
ス間では MSDP が実行されます。2 つの RP は、冗長性を高めるためにエニーキャスト アドレスを共
有します。
テスト トラフィック プロファイル
2 つのトポロジのそれぞれで、トラフィック生成に 2 つの IXIA 10 ギガビット イーサネット テスト
ポートを使用します。1 つはトポロジの北側に、もう 1 つは南側にトラフィックを送信します。また、
各トポロジでは、個々の接続ホストをエミュレートするために、別々の Catalyst 6500 を使用して、ア
クセス レイヤに入ってくるトラフィックを個々のアクセス ポートに展開します。このファンアウト ス
イッチを使用すると、単一の IXIA テスト ツール ポートで、それぞれのアクセス レイヤ スイッチに接
続された 10 個の固有のサーバをエミュレートできます。
テスト トラフィック プロファイルは、ユニキャストとマルチキャストの両方のトラフィックで構成さ
れています。1000 パケット / 秒(pps)の平均レートでトポロジを通過するユニキャスト フローが 300
~ 400 個程度あります。フレーム サイズは 512 バイトに設定され、大部分のテストで、合計 8 Gbps の
ユニキャスト トラフィックがネットワーク上に送信されます。
マルチキャストは同じレートで送信され、同じく約 8 Gbps のトラフィックがネットワーク上に送信さ
れます。各アクセス レイヤ スイッチに接続されている 10 個のホストのそれぞれから、コア レイヤの
北側にある 50 個のマルチキャスト レシーバーのそれぞれにトラフィックを送信します。コア レイヤの
北側にある 10 個のホストのそれぞれから、各アクセス レイヤ スイッチで受信されている 50 グループ
にトラフィックを送信します(合計 150 ~ 200 個の固有の IGMP レポートがアクセス レイヤ ホストに
よって送信されます)。北側と南側の両方での送信側と受信側の組み合せによって、マルチキャスト グ
ループの RP として機能するコア レイヤ スイッチで最大 4000(S,G)エントリのスケーリングが提供
されます。
テスト トラフィック プロファイルの詳細については、このマニュアルの付録 B を参照してください。
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
ix
概要
DCAP 6.0 スイート
Cisco Data Center Assurance Program(DCAP)6.0 スイートは 3 巻で構成されています。
1. 第 1 巻
データセンター環境に配置された異なるプラットフォーム間における、レイヤ 2 およびレイヤ 3 の
設計と構成機能の違い、および警告について重点的に説明しています。
2. 第 2 巻
この DCAP リリースでテストされた、グローバル企業に重要な機能について説明しています。
3. 第 3 巻
この DCAP リリースで使用した Catalyst および Nexus のハードウェアとソフトウェアの設定ファ
イルについて説明しています。
Cisco Data Center Assurance Program(DCAP)6.0
x
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
C H A P T E R
1
DCAP レイヤ 2 コンフィギュレーション
ノート
この章では、データセンター環境に配置された場合のさまざまなプラットフォームでの設計と設定の違
い、および注意点を中心に説明します。総合的なリストは「概要」の章にまとめられたプラットフォー
ムと機能で重点的に説明されているため、この章では総合的な説明は省略し、まずレイヤ 2 の機能を説
明してから、次の章でレイヤ 3 の機能に進みます。
シスコのサポート マニュアルの URL が用意されている場合は、この URL が注とともにインラインで
表示されます。
次の図は、これ以降の説明全体のさまざまなポイントで参照します。図 1-1 に、Catalyst 6500 ベース
のトポロジでレイヤ 2 ドメインを構成するスイッチおよびリンクを示します。図 1-2 に、Nexus 7000
ベースのトポロジでレイヤ 2 ドメインを構成するスイッチおよびリンクを示します。
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
1-1
第1章
図 1-1
DCAP レイヤ 2 コンフィギュレーション ノート
Catalyst 6500 ベースのレイヤ 2 ドメイン
VLAN
2、300、1101 㨪 1300
VLAN
2、300、1101 㨪 1300
࡟ࠗࡗ 2
࠮ࠞࡦ࠳࡝
STP
࡞࡯࠻
STP
࡞࡯࠻
VLAN
2、300、1101 㨪 1300
VLAN
2、300、1101 㨪 1300
268429
VLAN
2、300、1101 㨪 1220
Cisco Data Center Assurance Program(DCAP)6.0
1-2
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
ポートチャネリング
図 1-2
Nexus 7000 ベースのレイヤ 2 ドメイン
VLAN
3、500、1301 㨪 1500
VLAN
3、500、1301 㨪 1500
࡟ࠗࡗ 2
࠮ࠞࡦ࠳࡝
STP
࡞࡯࠻
STP
࡞࡯࠻
VLAN
3、500、1301 㨪 1500
VLAN
3、500、1301 㨪 1500
268437
VLAN
3、500、1301 㨪 1500
VLAN
3、500、1301 㨪 1420
ポートチャネリング
ここで説明するポートチャネリングの主な考慮事項には、テスト中に使用するチャネリング プロトコ
ル、プロトコルを設定したモード、およびテストで使用するロード バランシング アルゴリズムがあり
ます。
さまざまなプラットフォームのポートチャネリングに関するコンフィギュレーション マニュアルにつ
いては、次の場所を参照してください。
Catalyst 6500
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/channel.h
tml
Nexus 7000
http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/interfaces/configuration/guide/if_
portchannel.html
Nexus 5000
http://www.cisco.com/en/US/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli_rel_4_0_
1a/EtherChannel.html
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
1-3
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
バンドル プロトコル
バンドル プロトコル
Catalyst 6500 プラットフォームでは、シスコ独自の Port Aggregation Protocol(PAgP; ポート集約プロ
トコル)および業界標準の Link Aggregation Control Protocol(LACP; IEEE 802.3ad)の両方を使用
できます。Nexus 5000 プラットフォームおよび Nexus 7000 プラットフォームでは、LACP だけを使
用できます。DCAP 6.0 のテストでは、すべてのポートチャネルの制御プログラムに LACP を使用して
います。
Catalyst 6500 では、オプションとして、ポートチャネルにバンドルするインターフェイスを選択する
ときに、channel-protocol コマンドを使用してインターフェイス レベルでプロトコルを設定できます。
ただし、DCAP 6.0 では、プロトコルはプロトコル モードの設定によって暗黙に決定されます。
Nexus 7000 および Nexus 5000 では、LACP 機能をイネーブルにしてから、この機能を設定する必要
があります。この機能をイネーブルにするときは、feature lacp グローバル コンフィギュレーション
コマンドを使用します。
プロトコル モード
LACP は、PAgP と同じ方法で、チャネリング ネゴシエーション プロセスに参加するか、または単純
にオンになるように設定できます。ネゴシエーション プロセスを使用する場合は、チャネル形成の適
格性を判定するために、リンクのローカル側とリモート側で LACP PDU が送信されます。インター
フェイスは、ネゴシエーションを開始するように設定したり(アクティブ)、PDU を受信したときにネ
ゴシエーションに参加するように設定したりできます(パッシブ)。インターフェイスが「オン」に設
定されているだけの場合は、ネゴシエーションを行わず、単純にバンドルに参加します。
DCAP 6.0 のテストでは、プラットフォームに関係なく、LACP モードは次に示すように active に設定
されています。
Catalyst 6500
interface TenGigabitEthernet2/2
description to dcap-acc-5k-1
switchport
switchport trunk native vlan 2
switchport trunk allowed vlan 300,1101-1220
switchport mode trunk
mtu 9216
channel-group 201 mode active
Nexus 7000
interface Ethernet2/2
rate-mode dedicated
mtu 9216
channel-group 3 mode active
no shutdown
Nexus 5000
interface Ethernet1/3
switchport mode trunk
description to dcap-6k-agg-2
switchport trunk native vlan 2
switchport trunk allowed vlan 2,300,1101-1220
channel-group 201 mode active
Cisco Data Center Assurance Program(DCAP)6.0
1-4
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
ロード バランシング
ロード バランシング
ポートチャネル バンドル全体の利用率は、用意されているいくつかのロード バランシング アルゴリズ
ムの中からいずれかを使用して最適化します。トラフィック プロファイルが異なるときは、リンクの
利用率を最適化するために、異なるアルゴリズムが必要となる場合があります。送信元 / 宛先 IP による
アルゴリズムは、Catalyst 6500 プラットフォームおよび両方の Nexus プラットフォームのデフォルト
です。テストで使用したアルゴリズムは、このアルゴリズムです。このアルゴリズムでは、レイヤ 3 の
IP トラフィックをロード バランスするときは送信元 IP アドレスと宛先 IP アドレス、レイヤ 2 の非 IP
トラフィックをロード バランスするときは送信元 MAC アドレスと宛先 MAC アドレスを使用します。
Catalyst 6500 では、デフォルト以外のロード バランシング プロトコルを指定するときは、
port-channel load-balance コマンドを使用します。Nexus プラットフォームでは、このコマンドが
port-channel load-balance ethernet となります。
(注)
NX-OS リリース 4.0 を実行中の Nexus 7000 では、デフォルトのロード バランシング アルゴリズムは
source-dest-ip です。NX-OS バージョン 4.1 のデフォルト アルゴリズムは source-dest-ip-vlan です。
マルチキャスト ロード バランシングは設定できません。次のように、静的にプログラミングされてい
ます。
• レイヤ 4 ヘッダーを使用する IP マルチキャスト:source-destination-port
• レイヤ 4 ヘッダーを使用しない IP マルチキャスト:source-destination-ip
• 非 IP マルチキャスト:source-destination-mac
レイヤ 2 トランク ポート
さまざまな VLAN トランキング オプションおよび設定手順の詳細について参照するには、次のリンク
を使用してください。このセクションのこれより後では、マルチプラットフォームのテスト環境で、
VLAN トランキングを実現する方法について説明します。
Catalyst 6500
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/layer2.ht
ml
Nexus 7000
http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/interfaces/configuration/guide/if_
access_trunk.html
Nexus 5000
http://www.cisco.com/en/US/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli_rel_4_0_
1a/AccessTrunk.html
Catalyst 4948-10G
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/46sg/configuration/guide/layer2.html
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
1-5
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
トランクのカプセル化
トランクのカプセル化
トランク リンクの VLAN にタグ付けするには、レイヤ 2 ヘッダー内で、シスコ独自の ISL カプセル化
方式または IEEE 標準の 802.1q タギングを使用します。Catalyst 6500 プラットフォームおよび
Catalyst 4948 プラットフォームでは、トランキング方式と、リンクでトランクを形成するかどうかを
設定できます。DCAP 6.0 のテスト トポロジでは、トランキング モードを「オン」に設定し、802.1q
カプセル化のみ使用しています。つまり、カプセル化のネゴシエーションは設定していません。
(注)
Nexus 7000 プラットフォームおよび Nexus 5000 プラットフォームでは、Cisco ISL はサポート外の機
能です。このプラットフォームでトランキングに使用できるのは、802.1q カプセル化だけです。
標準のベスト プラクティスに沿って、許可する VLAN の範囲をトランキングされたインターフェイス
ごとに積極的に設定すると、VLAN の有効範囲が決定されます。また、デフォルトの VLAN 1 を使用
してセキュリティに影響が出ることがないように、別の VLAN をレイヤ 2 ドメイン用のネイティブ
VLAN として選択して設定しています。Catalyst 6500 ベースのトポロジでは、ネイティブ VLAN とし
て VLAN 2 を選択しています。Nexus 7000 ベースのトポロジでは、VLAN 3 を選択しています。
次に、DCAP 6.0 で使用した 4 つのプラットフォームのトランキング設定の例を示します。
Catalyst 6500
interface Port-channel203
switchport
switchport trunk encapsulation dot1q
switchport trunk native vlan 2
switchport trunk allowed vlan 300,1101-1300
switchport mode trunk
mtu 9216
logging event link-status
logging event bundle-status
load-interval 30
no mls qos channel-consistency
Catalyst 4948
interface TenGigabitEthernet1/49
switchport trunk encapsulation dot1q
switchport trunk native vlan 3
switchport trunk allowed vlan 3,500,1301-1500
switchport mode trunk
mtu 9198
spanning-tree guard loop
Nexus 7000
interface port-channel4
switchport
switchport mode trunk
switchport trunk native vlan 3
switchport trunk allowed vlan 3,500,1301-1500
description to dcap-6k-acc-1
mtu 9216
Nexus 5000
interface port-channel202
switchport mode trunk
description to dcap-6k-agg-2
switchport trunk native vlan 2
switchport trunk allowed vlan 2,300,1101-1220
Cisco Data Center Assurance Program(DCAP)6.0
1-6
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
ネイティブ VLAN タギング
spanning-tree guard loop
ネイティブ VLAN タギング
デフォルトでは、イーサネット ネットワークの 802.1q ネイティブ VLAN にはタグがありません。つ
まり、制御トラフィックは、802.1q ヘッダーの VLAN 識別子でタグ付けされません。ネットワークに
タグのないパケットが存在すると、特定タイプの攻撃を受けやすくなります。このようなセキュリティ
ホールを塞ぐために、ネイティブ VLAN をタグ付けするというベスト プラクティスを推奨します。
セキュリティ対策としてネイティブ VLAN タギングを使用する場合は、レイヤ 2 ドメイン全体で一貫
性を確保する必要があります。一貫性がない場合は、制御トラフィックが削除されることがあります。
テストした複数のプラットフォームにはサポートするレベルに一貫性がないため(現在、Nexus 5000
ではネイティブ VLAN タギングをサポートしていません)、この機能はテストに使用していません。
(注)
現在、暦年 2009 年の第 3 四半期を目処に、Nexus 5000 で 802.1q のネイティブ VLAN タギングをサ
ポートする予定です。
Catalyst 6500 では、グローバル レベル(vlan dot1q tag native コマンドを使用)またはインターフェ
イス レベル(switchport trunk native vlan tag コマンドを使用)でネイティブ VLAN タギングを設定
できます。Catalyst 4948 の場合も、同じコンフィギュレーション コマンドを使用して、同様に 2 つの
レベルで設定します。
現時点で、Nexus 7000 でネイティブ VLAN タギングに使用するコンフィギュレーション コマンドは、
グローバル レベルのコマンドだけです。このコマンドを使用すると、システム全体でネイティブ
VLAN タギングがイネーブルになります。Nexus 7000 でネイティブ VLAN タギングをイネーブルに
するコマンドは、vlan dot1q tag native です。
VLAN トランキング プロトコル(VTP)
通常、データセンターの標準的なベスト プラクティスでは、VTP をトランスペアレント モードに設定
しておき、レイヤ 2 ドメインおよびその中で許容される VLAN を、プロトコルと VTP サーバでは制御
しないようにします。
DCAP 6.0 のテストで使用したプラットフォームでは、テストされたリリースで VTP をサポートして
いるのは、Catalyst 6500 および Catalyst 4948 だけです。これらのデバイスでは、ベスト プラクティス
に従って、VTP をトランスペアレント モードに設定します。
Nexus 7000 の NX-OS は、リリース 4.1(2) で VTP トランスペアレント モードをサポートしています。
Nexus 5000 では VTP をサポートする予定はありません。
レイヤ 2 アクセス ポート
DCAP 6.0 のテスト トポロジには、アクセス レイヤのプラットフォームごとに、いくつかのホスト
ポートが含まれています。これらのアクセス ポートの設定は標準設定です。アクセスには switchport
(またはレイヤ 2)モードが設定されています。つまり、これらのポートは非トランキングとなり、単
一の VLAN だけを伝送します。基本のポート セキュリティ設定がサポートされている場合は、各アク
セス ポートでもこの設定を使用します。最後に、各ポートでスパニング ツリー PortFast 機能がイネー
ブルになっているため、ポートがオンラインになったときに、ただちに STP フォワーディング ステー
トに移行できます。
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
1-7
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
アクセス モード設定
(注)
ポート セキュリティ機能は、Nexus 5000 プラットフォームの現在のリリースではサポートされていま
せん。暦年 2010 年の第 1 四半期を目処にサポートする予定です。
上記のレイヤ 2 アクセス ポート機能の設定についての詳細を参照するには、次のリンクを使用してく
ださい。
Catalyst 6500
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/layer2.ht
ml
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/port_sec.
html
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/stp_enha.
html
Nexus 7000
http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/interfaces/configuration/guide/if_
access_trunk.html
http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/security/configuration/guide/sec_
portsec.html
http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/layer2/configuration/guide/l2_stp
enhconfig.html
Nexus 5000
http://www.cisco.com/en/US/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli_rel_4_0_
1a/AccessTrunk.html
http://www.cisco.com/en/US/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli_rel_4_0_
1a/SpanningEnhanced.html
Catalyst 4948-10G
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/46sg/configuration/guide/layer2.html
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/46sg/configuration/guide/stp_enha.ht
ml
アクセス モード設定
Catalyst 6500 および Catalyst 4948-10G のインターフェイスは、同じコマンド セットを使用してアク
セス モードに設定します。まず、switchport コマンドを発行して、インターフェイスがレイヤ 2 であ
ることを確実にします。次に、switchport access vlan <vlan> コマンドを使用して、指定したアクセス
ポートに VLAN を割り当てます。DCAP 6.0 のテストでは、switchport mode access コマンドを使用
して、ポート モードを強制的にアクセス モードとしています。つまり、リモート インターフェイスと
のネゴシエーションは発生しません。
Nexus 7000 プラットフォームおよび Nexus 5000 プラットフォームでも、同じコマンド セットを使用
します。
Cisco Data Center Assurance Program(DCAP)6.0
1-8
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
アクセス モード設定
Catalyst 6500
(注)
Catalyst 6500 プラットフォームでは、入力した 3 つのコマンドのすべてが、個々のインター
フェイスの実行コンフィギュレーションに表示されます。次に示すとおり、これは他のプラッ
トフォームの場合とは異なる動作です。
interface GigabitEthernet4/1
description to dcap-6k-fanout
switchport
switchport access vlan 1123
switchport mode access
switchport port-security
switchport port-security maximum 10
logging event link-status
spanning-tree portfast
Nexus 7000
(注)
Nexus 7000 プラットフォームでは、switchport コマンドおよび switchport mode access コマ
ンドを明示的に入力しても、インターフェイス コンフィギュレーションには表示されません。
interface Ethernet7/1
switchport port-security
switchport port-security maximum 10
switchport access vlan 1113
spanning-tree port type edge
description to dcap-6k-fanout
no shutdown
Nexus 5000
(注)
Nexus 5000 プラットフォームでは、switchport コマンドおよび switchport mode access コマ
ンドを明示的に入力しても、インターフェイス コンフィギュレーションには表示されません。
interface Ethernet1/24
description 7k topo access port
switchport access vlan 1304
spanning-tree port type edge
Catalyst 4948-10G
(注)
Catalyst 4948-10G プラットフォームでは、switchport コマンドを明示的に入力しても、インターフェ
イス コンフィギュレーションには表示されません。
interface GigabitEthernet1/10
description 7k topo access
switchport access vlan 1340
switchport mode access
switchport port-security maximum 10
switchport port-security
mtu 9198
logging event link-status
spanning-tree portfast
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
1-9
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
ポート セキュリティ
ポート セキュリティ
ポート セキュリティをサポートする Catalyst 6500、Nexus 7000、および Catalyst 4948 の 3 つの各プ
ラットフォームでは、同じ方法でポート セキュリティを設定します。最初に、switchport
port-security インターフェイス レベル コマンドを使用して、基本機能の設定を実行します。次に、イ
ンターフェイス上でポート セキュリティの特定のパラメータを設定します。DCAP 6.0 テストでアクセ
ス ポートに設定したパラメータは、受信 MAC アドレスを最大 10 個までにポートを制限するパラメー
タだけです。
Catalyst 6500
interface GigabitEthernet4/1
description to dcap-6k-fanout
switchport
switchport access vlan 1123
switchport mode access
switchport port-security
switchport port-security maximum 10
logging event link-status
spanning-tree portfast
Nexus 7000
(注)
NX-OS はモジュラ性があるため、Nexus 7000 では feature port-security コマンドを使用し
て、ポート セキュリティ機能をグローバル レベルでイネーブルにしてから、インターフェイス
レベルで設定する必要があります。この操作を先に行わなかった場合は、インターフェイス レ
ベルの CLI コマンドを実行できません。
interface Ethernet7/1
switchport port-security
switchport port-security maximum 10
switchport access vlan 1113
spanning-tree port type edge
description to dcap-6k-fanout
no shutdown
Catalyst 4948-10G
interface GigabitEthernet1/10
description 7k topo access
switchport access vlan 1340
switchport mode access
switchport port-security maximum 10
switchport port-security
mtu 9198
logging event link-status
spanning-tree portfast
スパニング ツリー PortFast
PortFast はスパニング ツリーの機能拡張であり、ホスト エンドポイントに接続するアクセス ポートを
設定するベスト プラクティスのガイドラインに含まれています。スパニング ツリーに参加しないホス
ト デバイス(サーバなど)にインターフェイスが接続されることをユーザが把握している場合は、そ
のインターフェイス上で PortFast を設定すると、インターフェイスがオンラインになったときに、た
だちに STP フォワーディング ステートに移行できます。
Cisco Data Center Assurance Program(DCAP)6.0
1-10
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
スパニング ツリー プロトコル
Catalyst プラットフォームと Nexus プラットフォームで PortFast 設定の処理は少し異なりますが、最
終的な結果に違いはありません。Catalyst 6500 プラットフォームおよび Catalyst 4948 プラットフォー
ムでは、PortFast は spanning-tree portfast インターフェイス コマンドを使用して設定します。Nexus
7000 プラットフォームおよび Nexus 5000 プラットフォームでは、spanning-tree port type edge コマ
ンドを使用して PortFast を設定します。基本的には、この新しいコマンドによって、このインター
フェイスがスパニング ツリーの観点から見たエッジ ポートとして定義されます。NX-OS および
Native IOS には、この PortFast 機能を特定のインターフェイスに設定する別の方法があります。これ
は、インターフェイス単位で switchport host を設定する方法です。この設定により、設定したイン
ターフェイスで PortFast が自動的にオンになります。
Catalyst 6500
interface GigabitEthernet4/1
description to dcap-6k-fanout
switchport
switchport access vlan 1123
switchport mode access
switchport port-security
switchport port-security maximum 10
logging event link-status
spanning-tree portfast
Nexus 7000
interface Ethernet7/1
switchport port-security
switchport port-security maximum 10
switchport access vlan 1113
spanning-tree port type edge
description to dcap-6k-fanout
no shutdown
Nexus 5000
interface Ethernet1/24
description 7k topo access port
switchport access vlan 1304
spanning-tree port type edge
Catalyst 4948-10G
interface GigabitEthernet1/10
description 7k topo access
switchport access vlan 1340
switchport mode access
switchport port-security maximum 10
switchport port-security
mtu 9198
logging event link-status
spanning-tree portfast
スパニング ツリー プロトコル
DCAP 6.0 のテスト トポロジに含まれるアクセス レイヤは、すべてのレイヤ 2 対応スイッチにまたが
るすべての VLAN が含まれる大規模なレイヤ 2 ドメインですが、必要条件はほとんどありません。リ
リース 4.0(1a)N1(1) の Nexus 5000 では、VLAN データベース内で最大 250 個の VLAN だけをサポー
トできます。このマニュアルの「概要」で説明したとおり、Catalyst 6500 ベースのトポロジと Nexus
7000 ベースのトポロジのアクセス レイヤ間では、同じ Nexus 5000 スイッチが共有されています。し
たがって、個々のプラットフォームの場合は VLAN を 200 個まで増やすことができますが、今回の各
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
1-11
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
基本の STP 設定
トポロジでは VLAN をここまで増やすことはできません。このため、各(論理)トポロジの Nexus
5000 アクセス レイヤ スイッチには、120 個の VLAN が設定されています。このことは、上記の図 1-1
および図 1-2 に示されています。
レイヤ 2 ドメインをループフリーにするには、Rapid PVST+ スパニング ツリー プロトコルを使用しま
す(または、802.1w 機能拡張と PVST+)。このセクションのこれより後では、各プラットフォームの
基本的なスパニング ツリー設定について詳しく説明してから、テストで使用したスパニング ツリーの
機能拡張について詳細に説明します。次のリンクをクリックすると、テストで使用したいくつかのプ
ラットフォームについて、上記の内容をすぐに参照できます。
Catalyst 6500
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/spantree.h
tml
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/stp_enha.
html
Nexus 7000
http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/layer2/configuration/guide/l2_pvr
stconfig.html
http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/layer2/configuration/guide/l2_stp
enhconfig.html
Nexus 5000
http://www.cisco.com/en/US/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli_rel_4_0_
1a/RPVSpanningTree.html
http://www.cisco.com/en/US/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli_rel_4_0_
1a/SpanningEnhanced.html
Catalyst 4948-10G
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/46sg/configuration/guide/spantree.ht
ml
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/46sg/configuration/guide/stp_enha.ht
ml
基本の STP 設定
Catalyst 6500 ベースと Nexus 7000 ベースの各テスト トポロジで、*-agg-1 スイッチはすべての VLAN
の STP プライマリ ルート、*-agg-2 スイッチはセカンダリ ルートです。テストで使用した VLAN は拡
張範囲(VLAN ID が 1005 より大きい VLAN)に分類されるため、一部のプラットフォームでは拡張
範囲を設定する必要があります。
Catalyst プラットフォームでは、spanning-tree extend system-id コマンドを使用してこれを設定しま
す。拡張システム ID をイネーブルにする前にユーザが VLAN を設定しようとしても、VLAN は追加
されません。
Nexus プラットフォームでは、拡張システム ID がデフォルトでイネーブルであるため、設定は解除で
きません。
スパニング ツリーのルート ブリッジおよびセカンダリ ルート ブリッジのブリッジ プライオリティは、
手動または自動で設定できます。拡張システム ID がイネーブルの場合、デフォルトのブリッジ プライ
オリティは 32768 に VLAN 番号を加えた値になります(たとえば、VLAN 1310 の場合は 34078)。す
Cisco Data Center Assurance Program(DCAP)6.0
1-12
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
STP Pathcost 方式
べてのスパニング ツリー プロトコルの共通点として、ブリッジ プライオリティが最も低いスイッチが
ルート ブリッジになります。セカンダリ ルート ブリッジは、対象とするバックアップ ルート スイッ
チに、2 番目に高いブリッジ プライオリティを付与すると設定できます。
Catalyst 6500 および Nexus 7000 では、ブリッジ プライオリティの手動設定は、spanning-tree vlan
vlan_id priority priority コマンドを使用して割り当てることができます。もう 1 つのオプションでは
(この方が簡単です)、spanning-tree vlan vlan priority root [primary|secondary] コマンドを使用し
て、ブリッジ プライオリティを自動的に割り当てます。
この自動設定方式を使用すると、指定したプライマリ ルート スイッチ上の VLAN には、24576 に
VLAN 番号を加えた値のブリッジ プライオリティが付与されます。指定したセカンダリ ルート スイッ
チ上の VLAN には、28672 に VLAN 番号を加えた値のブリッジ プライオリティが付与されます。
STP Pathcost 方式
リンク速度が高くなると、スパニング ツリーのパス コストを計算する方法が変更されます。現在、こ
れにはロング法とショート法があります。ショート法は、DCAP 6.0 のテストで使用したプラット
フォームのデフォルトで、STP パス コストの計算に 32 ビットベースの値を使用します。複数の 10 ギ
ガビット イーサネット リンクをバンドルする場合に、このショート法を使用すると、複数の高帯域幅
ポートが正しく区別されません。このため、DCAP 6.0 のすべてのプラットフォームでは、64 ビット
ベースの値を使用して STP パス コストを計算するロング法が使用されています。
STP パス コスト方式は、spanning-tree pathcost method [long|short] コマンドを使用すると、ロング
法かショート法のいずれかに設定できます。
PortFast
PortFast 機能を使用すると、レイヤ 2 ポートで STP プロトコルのリスニング ステートとラーニング ス
テートをバイパスし、代わりにただちにフォワーディング ステートに移行できます。この機能は、通
常、単一のホスト デバイスに接続するスイッチ アクセス ポートで使用します。
Catalyst スイッチで PortFast を設定する一般的な方法は、spanning-tree portfast インターフェイス コ
マンドを使用してローカルで設定する方法ですが、これは、12.2(33)SXH3a を実行する DCAP 6.0 のテ
スト トポロジに含まれる Catalyst 6500 および Catalyst 4948 の各スイッチにも当てはまります。
(注)
この動作は、Native IOS リリース 12.2(33)SXI を使用している Catalyst 6500 では異なっています。こ
の場合には、代わりに spanning-tree portfast edge コマンドを使用します。
Nexus 5000 プラットフォームおよび Nexus 7000 プラットフォームの場合は、ストレートからフォ
ワーディングに動作を変更するときに使用するコマンドに相当するのが、spanning-tree port type
edge コマンドです。
PortFast BPDU ガード
BPDU ガード機能は、論理的に、PortFast 機能の後に設定します。ポートをただちにフォワーディング
ステートに移行する PortFast 機能を使用しても、そのポートは引き続きスパニング ツリーに参加でき
ます。このため、ブリッジ プライオリティの低いデバイスが PortFast をイネーブルにしたポートに接
続されると、スパニング ツリー トポロジに問題が発生しやすくなります。BPDU ガードをイネーブル
にした場合は、ポートで BPDU を受信するとそのポートはただちにディセーブルになり、STP トポロ
ジが意図せずに変更されることがなくなります。
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
1-13
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
BPDU フィルタ
DCAP 6.0 のテストを行ったすべてのプラットフォームの NX-OS および Native IOS では、BPDU ガー
ド機能をシステム全体でグローバルにイネーブルとするか、または特定のインターフェイスでローカル
にイネーブルにできます。
DCAP 6.0 のテスト トポロジに含まれるすべてのデバイスでは、BPDU ガード機能がグローバルにイ
ネーブルになっています。この機能をグローバルにイネーブルにすると、すべての STP エッジ ポート
(Nexus プラットフォームの場合)または PortFast をイネーブルにしたすべてのポート(Catalyst プ
ラットフォームの場合)が BPDU ガードとともに自動的にイネーブルになります。
Nexus 5000 プラットフォームおよび Nexus 7000 プラットフォームで BPDU ガードをイネーブルにす
るグローバル コマンドは、spanning-tree port type edge bpduguard default です。Catalyst 6500 プ
ラットフォームおよび Catalyst 4948 プラットフォームでは、このコマンドは spanning-tree portfast
bpduguard default です。
BPDU フィルタ
BPDU フィルタ機能を使用すると、事実上、BPDU フィルタが設定されたポートでは BPDU の送受信
ができなくなります。通常は、STP トポロジを固定するために、ホストに接続するスパニング ツリー
のエッジ ポートに適用します。
DCAP 6.0 のアクセス レイヤでテストした 4 つのプラットフォームのすべてに対して、グローバルに
BPDU フィルタリングが設定されています。つまり、(プラットフォームに応じて)PortFast をイネー
ブルにしたすべてのポートまたは STP エッジ ポートで、このフィルタが自動的にイネーブルになりま
す。ただし、4 つのプラットフォームのすべてに対して、インターフェイス単位でも BPDU フィルタ
リング機能を設定できます。
NX-OS では、すべての STP エッジ ポートで BPDU フィルタリングをイネーブルにするときに使用す
るグローバル コンフィギュレーション コマンドは、spanning-tree port type edge bpduguard default
です。グローバルの設定が完了すると、spanning tree bpduguard [enable|disable] コマンドを使用し
て、ローカル インターフェイス プリファレンスを設定できます。このコマンドは、どのグローバル コ
ンフィギュレーションよりも優先されます。
Catalyst プラットフォームは、グローバル コンフィギュレーションとローカル コンフィギュレーショ
ンに関しては同じように動作します。Catalyst 6500(Native IOS 12.2(33)SXH3a を実行中)および
Catalyst 4948 では、BPDU フィルタリングをグローバルにイネーブルにするコマンドは、
spanning-tree portfast bpdufilter default です。Nexus デバイスと同様、この機能をグローバルにイ
ネーブルにすると、この機能に対応したすべての STP PortFast ポートに適用されます。いずれの
Catalyst プラットフォームの場合でも、spanning-tree bpdufilter enable コマンドを使用すると、
BPDU フィルタ機能をローカルにイネーブルにできます。
(注)
Native IOS バージョン 12.2(33)SXI を実行中の Catalyst 6500 では、BPDU フィルタリングをグローバ
ルにイネーブルにするコマンドは、spanning-tree portfast edge bpdufilter default です。
ループ ガード
ループ ガード機能は、想定したとおりに正しいポートで継続して BPDU を受信することを保証すると
きに使用します。ポートで BPDU の受信が途絶えると、リンクの中にエラーが発生したと見なされ、
そのポートは不整合ステートに移行します。ループ ガードはグローバルに設定できます。この場合、
システム内のすべてのポイントツーポイント インターフェイスに、ループ ガードが適用されます。
Cisco Data Center Assurance Program(DCAP)6.0
1-14
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
ルート ガード
ループ ガードではルート ポートおよびブロック ポートを検出し、そのセグメント上の指定ポートから
継続して BPDU を受信することを保証します。また、ループ ガードは、インターフェイス単位でロー
カルに設定することもできます。
Catalyst 6500 ベースの DCAP 6.0 トポロジでは、スパニング ツリーに参加しているすべてのレイヤ 2
トランクで、ループ ガードをイネーブルにしました。アグリゲーション レイヤのスイッチでは、
spanning-tree loopguard default コマンドを使用して、この機能がグローバルにイネーブルになって
います。アクセス レイヤのスイッチでは、spanning-tree guard loop コマンドを使用して、アップリ
ンクでこの機能がローカルにイネーブルになっています。
Catalyst 6500 ベースの DCAP 6.0 トポロジでは、レイヤ 2 スイッチのループ ガードはグローバルにイ
ネーブルになっていません (ただし、Nexus プラットフォームでループ ガードをグローバルにイネー
ブルにするには、Catalyst 6500 プラットフォームと同じコマンドを使用します)。代わりに、すべての
プラットフォームで同じ spanning-tree guard loop コマンドを使用して、選択したインターフェイス
でローカルにイネーブルになっています。
この機能を使用して設定するインターフェイスを決定するときは、次のテクニカル ノートを参照して
ください。
http://www.cisco.com/en/US/tech/tk389/tk621/technologies_tech_note09186a0080094640.shtml
このため、アクセス レイヤ スイッチのすべてのアップリンクと、ルート スイッチ dcap-7k-agg-1 に接
続する dcap-7k-agg-2 のポートチャネルでループ ガードがイネーブルになっています。
ルート ガード
ルート ガードは、指定ポートをスパニング ツリーに参加できますが、ポートに接続したデバイスが
ルート デバイスになろうとしている場合は、そのポートを errdisable ステートにして、レイヤ 2 ループ
ドメインを固定するときに役立ちます。通常、アクセス レイヤ スイッチのエッジ ポートではルート
ガードがイネーブルです。
ルート ガード スパニング ツリー機能拡張は、どのテスト トポロジでも設定されていません(ループ
ガードを使用したため)。
ジャンボ フレーム
Catalyst 4948 を除き、DCAP 6.0 をテストしたすべてのプラットフォームの最大 MTU は 9216 バイト
です。Catalyst 4948 の場合、最大 MTU は 9198 バイトです。
Catalyst 6500、Catalyst 4948、および Nexus 7000 の各プラットフォームでは、mtu <value> コマンド
を使用して、インターフェイス単位で MTU を設定します。この 3 つのプラットフォームのすべての設
定済みインターフェイスでは、上記の定義にあるプラットフォームの最大値に MTU が設定されていま
す。
Nexus 5000 プラットフォームの MTU 設定の詳細については、次を参照してください。
http://www.cisco.com/en/US/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli_rel_4_0_
1a/QoS.html
Nexus 5000 では、MTU はインターフェイス単位で定義できません。ただし、QoS を使用して、シス
テム クラス単位で指定します。system jumbomtu コマンドを使用して設定できるシステム MTU に
は、上限があります。デフォルトのシステム MTU は、9216 バイトです。ファイバ チャネルおよび
FCoE システム クラスのデフォルト MTU サイズは、2240 バイトです。DCAP 6.0 のテストでは、次の
設定を使用して、イーサネット フレームの MTU が 9216 バイトに設定されています。
policy-map jumbo
class class-default
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
1-15
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
その他のレイヤ 2 設計上の注意
mtu 9216
system qos
service-policy jumbo
その他のプラットフォームで MTU を設定する場合の注意点については、次の場所を参照してくださ
い。
Catalyst 6500
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/intrface.ht
ml
Nexus 7000
http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/interfaces/configuration/guide/if_
basic.html
Catalyst 4948
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/46sg/configuration/guide/sw_int.htm
l
その他のレイヤ 2 設計上の注意
ここまでは、DCAP 6.0 で使用したさまざまなプラットフォームの設定の比較を中心に説明してきまし
たが、ここから先は、テスト中に発生したその他の問題と注意点について説明します。この問題は、上
記で説明した機能とは関連がない場合もあります。
これ以降では、設計および動作に関連する問題と注意点についてだけ説明します。このセクションは、
テスト中に発生したソフトウェア障害について、包括的な説明を目的とするものではありません。付録
A「DCAP 6.0 のバグ」を参照してください。
スパニング ツリーのポート パス コスト計算の違い
ルート スイッチへのパス コストは、最終的なスパニング ツリー トポロジを決定するために使用されま
す。所定のポートに関連付けられるコストは、そのポートの帯域幅の関数となります。ポートチャネル
の場合は、バンドルされたすべてのインターフェイスの帯域幅の合計を使用して、ポート パス コスト
を決定します。
たとえば、ロング法(DCAP 6.0 トポロジに含まれるすべてのスパニング ツリー対応スイッチで使用さ
れる方法)を使用してポート パス コストを計算すると、10 ギガビット イーサネット インターフェイ
スのコストは 2000 になります。このインターフェイスの 2 つをポートチャネルにバンドルした場合、
コストは 1000 に低下します。この動作は、テストしたすべてのプラットフォームに共通します。
ポートチャネルで 1 つ以上のインターフェイスが故障するかシャットダウンしたときに、ポートチャネ
ルの一部分がまだ動作していると、状況が大きく変わってきます。
スパニング ツリーの動作に関する IEEE の仕様によれば、「デフォルトとして、データ レートが動的に
変更されても、ポート パス コストは自動的に変更されない」とあります。管理の観点からすると、リ
ンクのいずれかでデータ レートが変更されても、スパニング ツリーのトポロジに変化がない方が望ま
しい場合があります(バンドルされたいくつかのリンクのうち、1 つがダウンしたような場合)。
この仕様は、各プラットフォームでさまざまに解釈されています。Catalyst 4948、Nexus 5000、およ
び Nexus 7000 では、バンドルされたインターフェイスの 1 つ以上で障害が発生して、ポートチャネル
インターフェイスの帯域幅が変化しても、STP ポート パス コストは変更されません。
Cisco Data Center Assurance Program(DCAP)6.0
1-16
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
その他のレイヤ 2 設計上の注意
Catalyst 6500 では、同じようにポートチャネルの帯域幅が変化すると、STP ポート パス コストが変更
されるため、STP トポロジも変更される可能性があります。
次の例の Nexus 7000 デバイスには、2 つの 10 ギガビット イーサネット インターフェイスをバンドル
したポートチャネル 86 が設定されています。帯域幅合計に基づいて計算された STP ポート パス コス
トは 1000 です。
Nexus7000# sh port-channel summary
<snip>
86
Po86(SU)
Eth
LACP
Eth1/17(P)
Eth1/25(P)
Nexus7000# sh spanning-tree interface po86
Vlan
Role Sts Cost
Prio.Nbr Type
---------------- ---- --- --------- -------- -------------------------VLAN0300
Desg FWD 1000
128.4181 P2p
ポートチャネル インターフェイスのメンバのいずれかがシャットダウンされても、STP コストに変化
はありません。
Nexus7000# show port-channel summary
<snip>
86
Po86(SU)
Eth
LACP
Eth1/17(P)
Eth1/25(D)
Nexus7000# show spanning-tree interface po86
Vlan
Role Sts Cost
Prio.Nbr Type
---------------- ---- --- --------- -------- -------------------------VLAN0300
Desg FWD 1000
128.4181 P2p
この動作は、Nexus 5000 プラットフォームおよび Catalyst 4948 プラットフォームの場合も同様です。
同様に設定されている Catalyst 6500 では、帯域幅合計が変化すると STP ポート パス コストが変更さ
れます。
ポートチャネル バンドル内で 2 つのインターフェイスが動作している場合、STP コストは 1000 になり
ます。
Catalyst6500#show etherchannel summary
<snip>
86
Po86(SU)
Te1/4(P)
Te2/4(P)
Catalyst6500#show spanning-tree interface po86
Vlan
Role Sts Cost
Prio.Nbr Type
------------------- ---- --- --------- -------- ----------------------VLAN0100
Root FWD 1000
128.1665 P2p
With only one interface operational, though, the STP cost increases to 2000.
Catalyst6500#show spanning-tree interface po86
Vlan
Role Sts Cost
Prio.Nbr Type
------------------- ---- --- --------- -------- ----------------------VLAN0100
Root FWD 2000
128.1665 P2p
この動作の違いの回避策および意図した STP トポロジを保証する方法としては、spanning-tree cost
cost コマンドを使用して、Catalyst 6500 ポートチャネル インターフェイスの STP ポート パス コスト
をハードコードする方法があります。
show interface トランク出力の違い
予想されるように、同じコマンドでも NX-OS と Native IOS では出力が異なることがよくあります。
そのような違いの例を挙げると、show interface interface trunk コマンドの出力があります。Catalyst
6500 および Catalyst 4948(いずれも Native IOS デバイス)では、出力に表示される [Status] は、トラ
ンキング インターフェイスのステータスをリアルタイムに示しています。Nexus 5000 および Nexus
7000(NX-OS)では、出力に表示される [Status] は、設定済みのステータス、またはインターフェイ
スがトランクとして設定されているかどうかを示しています。
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
1-17
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
その他のレイヤ 2 設計上の注意
したがって、インターフェイスがダウンすると、NX-OS では [Status] が引き続き "Trunk" とレポート
されます。
12.2(33)SXH3a を実行中の Catalyst 6500 では、インターフェイスの動作中、[Status] には
trunk-inbndl と表示されます(この特定のトランク リンクは、期せずしてポートチャネルの一部とな
ります。したがって、"inbndl" 指定です)。
Catalyst6500#show interface TenGigabitEthernet2/2 trunk
Load for five secs: 5%/3%; one minute: 2%; five minutes: 5%
Time source is NTP, 17:11:12.381 EDT Mon Dec 8 2008
Port
Mode
Encapsulation Status
Native vlan
Te2/2
desirable
802.1q
trunk-inbndl 1
(Po20)
Port
Vlans allowed on trunk
Te2/2
1,10-20,190
Port
Vlans allowed and active in management domain
Te2/2
1,10-20,190
Port
Vlans in spanning tree forwarding state and not pruned
Te2/2
1,10-20,190
この同じインターフェイスがシャットダウンすると、[Status] には other と表示されます。
SH1-110#show interface TenGigabitEthernet1/2 trunk
Load for five secs: 3%/2%; one minute: 2%; five minutes: 4%
Time source is NTP, 17:13:00.222 EDT Mon Dec 8 2008
Port
Mode
Encapsulation Status
Native vlan
Te1/2
desirable
802.1q
other
1
Port
Vlans allowed on trunk
Te1/2
none
Port
Vlans allowed and active in management domain
Te1/2
none
Port
Vlans in spanning tree forwarding state and not pruned
Te1/2
none
Nexus 7000 では、インターフェイスの動作中、同じ trunk-inbndl ステータスが表示されます(このイ
ンターフェイスもポートチャネルの一部です)。
Nexus7000# show interface e1/1 trunk
-------------------------------------------------------------------------------Port
Native Status
Port
Vlan
Channel
-------------------------------------------------------------------------------Eth1/1
3
trnk-bndl
Po1
-------------------------------------------------------------------------------Port
Vlans Allowed on Trunk
-------------------------------------------------------------------------------Eth1/1
3,500,1301-1500
-------------------------------------------------------------------------------Port
STP Forwarding
-------------------------------------------------------------------------------Eth1/1
none
ただし、この同じインターフェイスがシャットダウンすると、[Status] には trunking と表示されます。
Nexus7000# show interface e3/2 trunk
-------------------------------------------------------------------------------Port
Native Status
Port
Vlan
Channel
-------------------------------------------------------------------------------Eth3/2
3
trunking
--------------------------------------------------------------------------------Port
Vlans Allowed on Trunk
-------------------------------------------------------------------------------Eth3/2
3,500,1301-1500
Cisco Data Center Assurance Program(DCAP)6.0
1-18
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
その他のレイヤ 2 設計上の注意
-------------------------------------------------------------------------------Port
STP Forwarding
-------------------------------------------------------------------------------Eth3/2
none
Nexus 5000 の show interface 出力での不正確な MTU 値の表示
適切な QoS を使用してシステム MTU がいくつに設定されているかに関係なく(すでに説明したとお
り)、インターフェイス MTU は 1500 バイトと表示されたままです(下記を参照)。現在利用可能な
NX-OS リリースでは、イーサネット トラフィックのシステム MTU 設定を確認する方法は、設定を表
示する以外にありません。
dcap-5k-acc-1# show running-config
<snip>
policy-map jumbo
class class-default
mtu 9216
system qos
service-policy jumbo
<snip>
dcap-5k-acc-1# show interface ethernet 1/5
Ethernet1/5 is up
Hardware is 1000/10000 Ethernet, address is 000d.eca2.fdcc (bia 000d.eca2.fdcc)
Description: to dcap-7k-agg-1
MTU 1500 bytes, BW 10000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA
Port mode is trunk
full-duplex, 10 Gb/s, media type is 1/10g
Input flow-control is off, output flow-control is off
Auto-mdix is turned on
Rate mode is dedicated
Switchport monitor is off
Last clearing of "show interface" counters never
5 minute input rate 6290 bytes/sec, 73 packets/sec
5 minute output rate 0 bytes/sec, 0 packets/sec
Rx
130823434 input packets 0 unicast packets 130823384 multicast packets
50 broadcast packets 0 jumbo packets 0 storm suppression packets
9419369224 bytes
0 No buffer 0 runt 0 Overrun
0 crc 0 Ignored 0 Bad etype drop
0 Bad proto drop
Tx
121974 output packets 121974 multicast packets
0 broadcast packets 0 jumbo packets
18651819 bytes
0 output CRC 0 ecc
0 underrun 0 if down drop
0 output error 0 collision 0 deferred
0 late collision 0 lost carrier 0 no carrier
0 babble
0 Rx pause 0 Tx pause 0 reset
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
1-19
第1章
DCAP レイヤ 2 コンフィギュレーション ノート
その他のレイヤ 2 設計上の注意
802.1q ネイティブ VLAN タギングが未サポートの Nexus 5000
すでに説明したとおり、Nexus 5000 の現在の NX-OS リリースでは、802.1q ネイティブ VLAN タギン
グはサポートされていません。ネイティブ VLAN ID およびタギング方式は、レイヤ 2 ドメイン全体で
一貫性を保つ必要があります。Nexus 5000 が含まれるレイヤ 2 ドメインは、ネイティブ VLAN タギン
グを使用しないで構築する必要があります。
Cisco Data Center Assurance Program(DCAP)6.0
1-20
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
C H A P T E R
2
DCAP レイヤ 3 コンフィギュレーション
ノート
この章では、データセンター環境に配置された場合のさまざまなプラットフォームでのレイヤ 3 機能の
設計と設定の違い、および注意点を中心に説明します。総合的なリストは「概要」の章にまとめられた
プラットフォームと機能で重点的に説明されているため、この章では総合的な説明は省略します。
シスコのサポート マニュアルの URL が用意されている場合は、URL が注とともにインラインで表示
されます。
シスコのサポート マニュアル以外に、データセンターに Nexus 7000 プラットフォームと機能を配置す
るための設計のベスト プラクティスがシスコの ESE チームによってまとめられており、DCAP 6.0 の
設計で多く活用されています。これらのベスト プラクティスは、次の URL で参照できます。
http://www.cisco.com/en/US/docs/solutions/Enterprise/Data_Center/DC_3_0/DC-3_0_IPInfra.html
(注)
レイヤ 3 のルーティング プロトコルを使用するには、NX-OS の
"LAN_ENTERPRISE_SERVICES_PKG" をインストールする必要があります。NX-OS のライセンス
モデルの詳細については、
http://cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/licensing/configuration/guide/nx-os_lic
ensing.html を参照してください。
次の図は、これ以降の説明全体のさまざまなポイントで参照します。図 2-1 に、Catalyst 6500 ベースの
トポロジでレイヤ 3 ドメインを構成するスイッチおよびリンクを示します。図 2-2 に、Nexus 7000
ベースのトポロジでレイヤ 3 ドメインを構成するスイッチおよびリンクを示します。
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
2-1
第2章
図 2-1
DCAP レイヤ 3 コンフィギュレーション ノート
Catalyst 6500 ベースのレイヤ 3 ドメイン
dcap-6k-core-1
ࠛ࠾࡯ࠠࡖࠬ࠻ RP
dcap-6k-core-2
OSPF ࠛ࡝ࠕ 0
ࠛ࠾࡯ࠠࡖࠬ࠻ RP
OSPF ࠛ࡝ࠕ 10
dcap-6k-agg-1d
dcap-6k-agg-2
HSRP ࠕࠢ࠹ࠖࡉ
PIM-DR
HSRP ࠬ࠲ࡦࡃࠗ
PIM-BDR
dcap-6k-acc-1
268435
dcap-4k-acc-1
dcap-acc-5k-1
Cisco Data Center Assurance Program(DCAP)6.0
2-2
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第2章
DCAP レイヤ 3 コンフィギュレーション ノート
IP マルチキャスト
図 2-2
Nexus 7000 ベースのレイヤ 3 ドメイン
dcap-7k-core-1
OSPF ࠛ࡝ࠕ 0
ࠛ࠾࡯ࠠࡖࠬ࠻ RP
dcap-7k-core-2
ࠛ࠾࡯ࠠࡖࠬ࠻ RP
OSPF ࠛ࡝ࠕ 10
dcap-7k-agg-1
dcap-7k-agg-2
HSRP ࠕࠢ࠹ࠖࡉ
PIM-DR
HSRP ࠬ࠲ࡦࡃࠗ
PIM-BDR
dcap-7k-acc-1
dcap-6k-acc-1
268336
dcap-4k-acc-2
dcap-5k-acc-1
IP マルチキャスト
利用できる IP マルチキャストにはいくつもの種類がありますが、今日、最も使用頻度の高いプロトコ
ルは PIM sparse モードです。以降のページでは、PIM sparse モード、MSDP、IGMP など、DCAP 6.0
に含まれる一般的な IP マルチキャストの配置について説明します。また、Catalyst 6500 プラット
フォームと Nexus 7000 プラットフォームの動作の違いについても説明します。
2 つのプラットフォームの IP マルチキャストに関するコンフィギュレーション マニュアルについては、
次の場所を参照してください。
Catalyst 6500
http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SX/configuration/guide/mcastv4.h
tml
Nexus 7000
http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/multicast/configuration/guide/mul
ticast_cli.html
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
2-3
第2章
DCAP レイヤ 3 コンフィギュレーション ノート
PIM sparse モード
PIM sparse モード
Native IOS を実行中の Catalyst 6500 で IP マルチキャストをイネーブルにするには、ip multicast
routing グローバル コンフィギュレーション コマンドを使用します。NX-OS では、PIM は条件付きの
サービスです。つまり、この機能は、コマンドライン インターフェイスにコンフィギュレーション コ
マンドが登場する前に、手動でイネーブルにする必要があります。PIM は、feature pim コマンドを使
用するとイネーブルにできます。
Native IOS および NX-OS では、いずれも PIM sparse モードのネットワークに所属するインターフェ
イスごとに、PIM sparse モードを設定する必要があります。interface configuration コマンドは、い
ずれのバージョンのソフトウェアに対しても共通です。コマンドは、ip pim sparse-mode を使用しま
す。
(注)
Nexus 7000 上の NX-OS は、PIM dense モードをサポートしていません。
Catalyst 6500 トポロジおよび Nexus 7000 トポロジでは、アグリゲーション レイヤ スイッチ上の
VLAN SVI を含む、すべてのレイヤ 3 インターフェイス上で PIM sparse モードが設定されています。
次に、この設定の例を示します。
Catalyst 6500
interface TenGigabitEthernet3/1
description to dcap-6k-core-1
mtu 9216
ip address 172.31.1.18 255.255.255.252
ip pim sparse-mode
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 cisco
ip ospf network point-to-point
Nexus 7000
interface port-channel3
description to dcap-7k-core-1
mtu 9216
ip address 172.30.1.10/30
no ip redirects
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 3 9125d59c18a9b015
ip ospf network point-to-point
ip router ospf 10 area 10
ip pim sparse-mode
PIM sparse モードが機能するには、Rendezvous Point(RP; ランデブー ポイント)が必要です。
Catalyst 6500 トポロジおよび Nexus 7000 トポロジの両方で、静的 RP 方式と自動 RP 方式を使用し、
コア レイヤ ルータが RP 役に設定されています。各トポロジで使用されるマルチキャスト グループに
は、アクセス リストを使用してスコープが指定されています。
次の例に、2 つのプラットフォーム間の対応する設定の比較を示します。両プラットフォームの主な違
いは、グループの範囲指定方法であることに注意してください。
Native IOS では、静的 RP または自動 RP を定義すると、アクセス リストが参照されます (静的 RP の
例に含まれる ACL を static-rp と呼びます。自動 RP の例では、これを auto-rp と呼びます)。RP が 1
つだけ必要な場合、必要な設定行は 1 行だけです。ACL を変更すると、対象とするスコープに含まれ
るグループを変更できます。
Cisco Data Center Assurance Program(DCAP)6.0
2-4
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第2章
DCAP レイヤ 3 コンフィギュレーション ノート
PIM sparse モード
NX-OS では、定義済みの静的 RP または自動 RP に含まれるグループは RP とともに設定し、その形式
を A.B.C.D/LEN とします。複数のグループ セットのスコープを指定する必要がある場合は、複数行で
RP 設定を入力する必要があります。
Catalyst 6500:静的 RP
interface Loopback10
ip address 172.31.10.10 255.255.255.255
ip pim sparse-mode
!
ip pim rp-address 172.31.10.10 static-rp override
!
ip access-list standard static-rp
permit 239.1.10.0 0.0.0.255
permit 239.1.20.0 0.0.0.255
permit 239.1.30.0 0.0.0.255
permit 239.1.40.0 0.0.0.255
permit 239.1.15.0 0.0.0.255
Nexus 7000:静的 RP
interface loopback10
ip address 172.30.10.10/32
no ip redirects
ip router ospf 10 area 0
ip pim sparse-mode
ip pim rp-address 172.31.10.10
ip pim rp-address 172.31.10.10
ip pim rp-address 172.31.10.10
ip pim rp-address 172.31.10.10
ip pim rp-address 172.31.10.10
group-list
group-list
group-list
group-list
group-list
239.1.10.0/24
239.1.20.0/24
239.1.30.0/24
239.1.40.0/24
239.1.50.0/24
Catalyst 6500:自動 RP
interface Loopback1
ip address 172.31.2.1 255.255.255.255
ip pim sparse-mode
!
ip pim send-rp-announce Loopback1 scope 64 group-list auto-rp
ip pim send-rp-discovery Loopback1 scope 64
!
ip access-list standard auto-rp
permit 239.2.20.0 0.0.0.255
permit 239.2.15.0 0.0.0.255
Nexus 7000:自動 RP
interface loopback0
ip address 172.30.0.1/32
no ip redirects
ip router ospf 10 area 0
ip pim sparse-mode
interface loopback1
ip address 172.30.2.1/32
no ip redirects
ip router ospf 10 area 0
ip pim sparse-mode
ip pim auto-rp rp-candidate loopback1 group-list 239.2.20.0/24
ip pim auto-rp rp-candidate loopback1 group-list 239.2.15.0/24
ip pim auto-rp mapping-agent loopback0
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
2-5
第2章
DCAP レイヤ 3 コンフィギュレーション ノート
エニーキャスト RP
エニーキャスト RP
Native IOS でエニーキャスト RP を構築するには、単に共有 IP アドレスを複数のマルチキャスト RP
に割り当ててから、ドメイン内のすべてのルータが認識している RP アドレスとして、この共有 IP ア
ドレスを割り当てます。次に、ユニキャスト ルーティング テーブルを使用して、ドメイン内のファー
ストホップ ルータとラストホップ ルータから RP への最適パスを決定します。Native IOS では、エ
ニーキャスト RP は相互に認識されません。
次の例では、ルータ A およびルータ B のインターフェイス Loopback 10 に同じ IP アドレスが設定さ
れます。次に、この IP アドレスを、ドメイン内のすべてのルータの RP アドレスとして設定します。
Catalyst 6500:ルータ A
interface Loopback10
ip address 172.31.10.10 255.255.255.255
ip pim sparse-mode
!
ip pim rp-address 172.31.10.10 static-rp override
Catalyst 6500:ルータ B
interface Loopback10
ip address 172.31.10.10 255.255.255.255
ip pim sparse-mode
!
ip pim rp-address 172.31.10.10 static-rp override
Nexus 7000 の NX-OS では、エニーキャスト RP のセットを設定し、このセットに含まれる他のエニー
キャスト RP のアドレス情報を使用して、各 RP をプログラミングできます。この設定を使用すると、
マルチキャスト アドレスの指定したスコープに対するエニーキャスト RP グループが互いを認識し、通
信できるようになります。
次に、エニーキャスト RP セットに含まれる RP として設定された 2 台の Nexus 7000 ルータの例を示
します。ルータ A およびルータ B には、ループバック 1 インターフェイスとして、いずれも
172.30.2.1 が設定されています。また、各システムには、ループバック 0 インターフェイスに一意の
IP アドレスが設定されています。ループバック 1 は、各ルータの RP アドレスとして使用します。エ
ニーキャスト RP セットには 2 つの RP があるため、ルータごとに 2 行の anycast-rp 設定が入力され
ています。それぞれの行を使用して、エニーキャスト セットに含まれる RP の 1 つを定義します。ルー
タ A では、ルータ A 自身とルータ B をセット メンバとして定義しています。ルータ B の定義も同様
です。エニーキャスト RP セット メンバをグローバルに定義するときに使用する構文は、ip pim
anycast-rp rp-address anycast-rp-peer-address です。
Nexus 7000:ルータ A
interface loopback0
ip address 172.30.0.1/32
no ip redirects
ip router ospf 10 area 0
ip pim sparse-mode
interface loopback1
ip address 172.30.2.1/32
no ip redirects
ip router ospf 10 area 0
ip pim sparse-mode
ip pim auto-rp rp-candidate loopback1 group-list 231.1.0.0/16
ip pim auto-rp mapping-agent loopback0
ip pim anycast-rp 172.30.2.1 172.30.0.1
ip pim anycast-rp 172.30.2.1 172.30.0.2
Cisco Data Center Assurance Program(DCAP)6.0
2-6
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第2章
DCAP レイヤ 3 コンフィギュレーション ノート
MSDP
Nexus 7000:ルータ B
interface loopback0
description router ip
ip address 172.30.0.2/32
no ip redirects
ip router ospf 10 area 0
ip pim sparse-mode
interface loopback1
description Anycast IP address
ip address 172.30.2.1/32
no ip redirects
ip router ospf 10 area 0
ip pim sparse-mode
ip pim auto-rp rp-candidate loopback1 group-list 231.1.0.0/16
ip pim auto-rp mapping-agent loopback0
ip pim anycast-rp 172.30.2.1 172.30.0.1
ip pim anycast-rp 172.30.2.1 172.30.0.2
MSDP
DCAP 6.0 では、各トポロジの両方のコア レイヤ ルータで Multicast Source Discovery Protocol
(MSDP)を設定し、マルチキャスト ステートを復元できます。2 台のコア レイヤ ルータでは、ループ
バック 0 インターフェイス経由でピアを形成し、このピアリングをパスワードで保護してスプーフィン
グを防止しています。
次の設定に、Catalyst 6500 ベースと Nexus 7000 ベースのトポロジに含まれる 2 台のコア レイヤ ルー
タの設定に相当する MSDP 設定を示します。
(注)
Nexus 7000 の設定に表示されるパスワードは暗号化されています。Nexus 7000 でピア パスワードを
設定する CLI コマンドは、ip msdp password peer-ip-address password です。
Catalyst 6500:dcap-6k-core-1
interface Loopback0
ip address 172.31.0.1 255.255.255.255
ip pim sparse-mode
!
ip msdp peer 172.31.0.2 connect-source Loopback0
ip msdp description 172.31.0.2 dcap-6k-core-1
ip msdp cache-sa-state
ip msdp password peer 172.31.0.2 cisco
Catalyst 6500:dcap-6k-core-2
interface Loopback0
ip address 172.31.0.2 255.255.255.255
ip pim sparse-mode
!
ip msdp peer 172.31.0.1 connect-source Loopback0
ip msdp description 172.31.0.1 dcap-6k-core-1
ip msdp cache-sa-state
ip msdp password peer 172.31.0.1 cisco
Nexus 7000:dcap-7k-core-1
interface loopback0
ip address 172.30.0.1/32
no ip redirects
ip router ospf 10 area 0
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
2-7
第2章
DCAP レイヤ 3 コンフィギュレーション ノート
IGMP
ip
ip
ip
ip
ip pim sparse-mode
msdp originator-id loopback0
msdp peer 172.30.0.2 connect-source loopback0 remote-as 1
msdp description 172.30.0.2 dcap-7k-core-2
msdp password 172.30.0.2 3 9125d59c18a9b015
Nexus 7000:dcap-7k-core-2
interface loopback0
ip address 172.30.0.2/32
no ip redirects
ip router ospf 10 area 0
ip pim sparse-mode
ip msdp originator-id loopback0
ip msdp peer 172.30.0.1 connect-source loopback0 remote-as 1
ip msdp description 172.30.0.1 dcap-7k-core-1
ip msdp password 172.30.0.1 3 9125d59c18a9b015
IGMP
Nexus 7000 プラットフォームの NX-OS では、レイヤ 3 インターフェイスで PIM 機能をイネーブルに
すると、IGMP が自動的にイネーブルになります。
Nexus 7000 の NX-OS と Catalyst 6500 の Native IOS には、デフォルトの IGMP タイマーに違いがあ
ります。Native IOS の場合、デフォルトの IGMP Query-Interval は 60 秒です。NX-OS の場合は 125
秒となります。この 2 つのプラットフォームには、他にも重要な動作の違いが存在します。
Native IOS 環境の場合、IGMP クエリア ルータがマルチキャストの受信者から IGMP Leave メッセー
ジを受信すると、クエリアは IGMP クエリーをただちにダウンストリームに送信し、まだグループを
待ち受けているホストが存在するかどうかを確認します。NX-OS 環境の場合、IGMP クエリアは、
IGMP Leave メッセージへの応答として、このクエリー メッセージをただちに送信しません。代わり
に、次の Query-Interval に達したときにクエリーを送信します。
コンバージェンスの高速化を支援するために、NX-OS ルータで IGMP query-timer および
max-response-timer を手動で設定し、その値をそれぞれ 10 秒および 8 秒とします。さらに、VLAN イ
ンターフェイスで PIM Hello タイマーを 1 秒に設定します。テストの中でこれらの設定を行った結果、
さまざまな障害の例において、好ましいコンバージェンス時間が得られます。
Nexus 7000
interface Vlan1301
no shutdown
mtu 9216
ip address 101.1.1.2/24
no ip redirects
ip ospf passive-interface
ip pim sparse-mode
ip pim dr-priority 2
ip pim hello-interval 1000
ip igmp query-max-response-time 8
ip igmp query-interval 10
hsrp 1
preempt delay minimum 60
priority 120
timers 1 3
ip 101.1.1.1
Cisco Data Center Assurance Program(DCAP)6.0
2-8
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第2章
DCAP レイヤ 3 コンフィギュレーション ノート
IGMP スヌーピング
NX-OS の設計により、IGMP キャッシュは PIM Designated Router(DR; 指定ルータ)にだけ読み込
まれます。このため、特定の障害が発生した場合に、マルチキャストのコンバージェンス時間が長くな
ることがあります。この問題の回避策は、上記のように query-timer および max-response-timer の値を
手動で小さくすることです。
(注)
NX-OS リリース 4.2 以降では、IGMP キャッシュは DR 以外のルータで読み込まれます。vPC 環境
(NX-OS 4.1(3) 以降を実行中)では、プライマリとセカンダリの vPC ピア間で IGMP キャッシュが同
期化されます。
NX-OS の他の数多くのプロトコルと同様に、IGMP でもステートフルな再起動をサポートしています。
デフォルトでは、IGMP が再起動されたときにルートは削除されません。ただし、プロトコルを再起動
するときにルートの削除が必要な場合は、ip igmp flush-routes コマンドでグローバルに設定できま
す。
IGMP スヌーピング
IGMP スヌーピングは、レイヤ 2 ネットワークでマルチキャスト トラフィックを抑制するためのメカ
ニズムです。デフォルトでは、Nexus スイッチの IGMP スヌーピングはイネーブルです。
Cisco NX-OS IGMP スヌーピング ソフトウェアには、次の独自機能があります。
• 送信元フィルタリングにより、宛先 IP アドレスおよび送信元 IP アドレスに基づいて、マルチキャ
スト パケットを転送できます。
• MAC アドレスではなく、IP アドレスに基づいてマルチキャスト転送を行います。
• Optimized Multicast Flooding(OMF)により、未知のトラフィックをルータだけに転送して、
データに基づくステート作成を行いません。
Native IOS とは異なり、NX-OS では Source-only の VLAN で定期的なフラッディングを行いません。
NX-OS は OMF を使用するため、Source-only のトラフィックは mrouter ポートだけに転送されます。
Native IOS の最新のソフトウェア バージョンでは、Source-only のフラッディングをディセーブルにで
きますが、デフォルトでは Source-only のトラフィックが定期的にフラッディングされます。
マルチキャスト転送は IP アドレスに基づいて実行されるため、Native IOS のように MAC エイリアシ
ングの問題は発生しません。
マルチキャスト整合性チェッカー
マルチキャスト整合性チェッカーは、分散型プラットフォームで使用するメカニズムで、ハードウェア
とソフトウェアのマルチキャスト ステートの不整合を検出し、その不整合を自動修正します。Catalyst
6500 に実装されているようなマルチキャスト整合性チェッカーは、現在は NX-OS で使用できません
が、将来のリリースには予定されています。
Catalyst 6500 では入力と出力のマルチキャスト複製がサポートされていますが、Nexus 7000 でサポー
トされているのは出力の複製だけです。このプラットフォームでは出力のマルチキャスト複製がデフォ
ルトでイネーブルにされており、ディセーブルにはできません。
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
2-9
第2章
DCAP レイヤ 3 コンフィギュレーション ノート
FIB TCAM
FIB TCAM
Catalyst 6500 では、適切な mls コマンドを使用すると、TCAM サイズを動的に変更できます。
NX-OS リリース 4.0 の Nexus 7000 では、FIB TCAM は静的に分割されます。このソフトウェアを使
用すると、TCAM で最大 32,000 までの mroute をプログラミングできます。FIB TCAM 例外が発生す
ると、Sev2 Syslog メッセージが生成されます。
CoPP および PIM Register パケット
Nexus 7000 でイネーブルなデフォルトの Control Plane Policing (CoPP; コントロール プレーン ポリ
シング)ポリシーを使用した場合は、DCAP 6.0 の Nexus 7000 トポロジで、マルチキャスト トラ
フィックを RP に登録し、ハードウェアで(S,G)ステートを構築するまでに数分間かかります。この
主な原因は、PIM Register パケットがポリシングされ、CoPP ポリシーのデフォルト クラス内で削除さ
れることです。
PIM Register パケットがデフォルト クラス内で削除されないように、カスタム CoPP ポリシーを設定
します。次に、CoPP システム ポリシーで使用したカスタム クラスマップの例を示します。
ip access-list copp-system-acl-pim-reg
permit pim any
class-map type control-plane match-any copp-system-class-important
match access-group name copp-system-acl-pim-reg
NX-OS リリース 4.1.3 では、このクラスマップがデフォルトの CoPP ポリシーに含まれています。
CSCsw48988:LHR の spt-infinity によって定期的に削除されるルートを MSDP が学習しました。
この障害は、DCAP 6.0 のテスト中に発生しました。Nexus 7000 の NX-OS リリース 4.1(3) および
4.2(1) では解決されています。この障害の回避策は、ラストホップ ルータから ip pim spt-threshold
infinity 設定を削除することです。
次のトポロジでは、R2 および R3 を Nexus 7000 にする必要があります。R1 と R4 は、Nexus 7000 ま
たは Catalyst 6500 のいずれかで構いません。
Source
|
R1 (first-hop-router)
/ \
/
\
/
\
R2--------R3 (RP, MSDP Peer)
\
/
\
/
\ /
R4 (LHR, spt-infinity)
|
Receiver
R1 は送信元に、R4 は受信者に接続しています。ルータ R2 および R3 は PIM sparse モードの RP であ
り、MSDP ピアを構成しています。R4 では ip pim spt-threshold infinity コマンドを設定したため、
RP には共有ツリーが作成されています。受信者は R3 に登録されますが、送信元は R2 に登録されま
す。R3 は、MSDP Source Active メッセージ経由で(S,G)情報を学習します。トラフィックのフロー
は R1、R3、R4 の順です。
PIM によって、210 秒ごとに R3 の mroute が削除されています。その結果、R3 はプルーニング メッ
セージを R1 に送信し、マルチキャスト グループの(S,G)から OIF が削除されます。R3 は MSDP
Source Active メッセージ経由で(S,G)を学習し、mroute を再作成します。トラフィックのフローは
R1、R3、R4 の順に流れます。
Cisco Data Center Assurance Program(DCAP)6.0
2-10
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第2章
DCAP レイヤ 3 コンフィギュレーション ノート
Open Shortest Path First(OSPF)
この不具合を修正する前に予期される動作は、次のとおりです。
• 送信元に直接接続している場合は、3 分間データ アクティビティがないと(S,G)エントリが期限
切れになります。
• 受信者に直接接続している場合は、3 分間データ アクティビティがあると(S,G)エントリが期限
切れになります。
上記以外の場合ではすべて、定期的な Join-Prune メッセージまたはその他の方法でリフレッシュされ
ない限り、(S,G)エントリは PIM によって期限切れになります。この場合、データ アクティビティは
関係しません。
テストでは、3 番目のケースが発生しました。ラストホップ ルータには ip pim spt-threshold infinity
が設定されているため、R4 からの Join-Prune メッセージには(S,G)情報が含まれていません。現在
の設計に従うと、MSDP で PIM データベース内のルートをリフレッシュする方法は存在しません。し
たがって、PIM でルートが強制的に削除されると、MRIB および MSDP でもルートが削除されます。
MSDP は、Source Active メッセージ経由でこのルートを学習し直し、MRIB に再インストールしま
す。この手順が無期限に繰り返されます。
この問題を修正すると、データ アクティビティが存在して OIF リストが空でない限り、すべての中継
ルータ上で(S,G)ステートがアクティブなままとなります。
Open Shortest Path First(OSPF)
OSPF は、DCAP 6.0 のテストに最適な IGP でした。プロトコルの実装は NX-OS と Native IOS でよ
く似ていますが、設定には違いがあります。ここでは、まず両方のデータセンターの OSPF 配置の概
要を示します。次に、設定例を比較して示した後、最後に NX-OS と Native IOS の基本的な設定の違
いについて概要を示します。
2 つのプラットフォームの IP マルチキャストに関するコンフィギュレーション マニュアルについては、
次の場所を参照してください。
Catalyst 6500
http://www.cisco.com/en/US/docs/ios/iproute/configuration/guide/irp_ospf_cfg_ps6017_TSD_Products
_Configuration_Guide_Chapter.html
Nexus 7000
http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/unicast/configuration/guide/l3_os
pf.html
DCAP 6.0 の OSPF 配置
DCAP 6.0 の各トポロジでは、上記の図 2-1 および図 2-2 に示すように、4 台のルータが OSPF に参加
しています。2 台のコア レイヤ ルータおよび 2 台のアグリゲーション レイヤ ルータが、Nexus 7000
トポロジおよび Catalyst 6500 トポロジのすべてのレイヤ 3 接続を処理します。
2 台のコア レイヤ ルータは、両方のルータに接続されているリンクにまたがるエリア 0 内で OSPF ピ
アとなります (また、OSPF エリア 0 は、テスト用のトポロジ デバイスではない 1 台の Catalyst 6500
ルータにも拡張されます。このデバイスの意図は、それぞれのトポロジに含まれる 2 台のコアルータに
トラフィックを注入することです)。
OSPF エリア 10 は、2 台のアグリゲーション レイヤ ルータのレイヤ 3 リンクと、コア レイヤ ルータ
からアグリゲーション レイヤへのリンクで構成されています。
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
2-11
第2章
DCAP レイヤ 3 コンフィギュレーション ノート
Open Shortest Path First(OSPF)
エリア 10 は Not-So-Stubby Area(NSSA)です。このため、サマライズされるとともに、ルーティン
グ テーブルのサイズが小さくなり、コンバージェンス時間が短縮されます。すべてのレイヤ 3 リンク
で、デフォルトの Hello タイマーおよびデッド タイマーが使用されています。トポロジのレイヤ 2 部
分をピアリングするリンクで、高速なタイマー(Hello で 1 秒、Dead で 3 秒)が使用されています。
すべての OSPF ピアに認証を設定して、スプーフィングおよびその他の攻撃を受ける可能性を低くし
ています。
設定の違いの要約
機能的には、OSPF は NX-OS と Native IOS で同じ動作をすることが前提になっています。ただし、設
定に違いがあるため、この点に注意する必要があります。
NX-OS では、OSPF は PIM と同様、条件付きのサービスであるため、何らかの設定を行う前にイネー
ブルにしておく必要があります。これは、feature ospf グローバル コンフィギュレーション コマンド
を使用して実行します。
Nexus 7000 は分散転送型アーキテクチャであるため、Catalyst 6500 のように Non-Stop Forwarding
(NSF)を設定する必要はなくなりました。
Native IOS では、router ospf 設定の一部として network 文を設定し、OSPF に参加するネットワーク
を指定します。これは、NX-OS では削除されています(次の #4 を参照)。
NX-OS では、Native IOS で実行した OSPF ルータ設定の network 文経由ではなく、ip router ospf コ
マンドを使用して、インターフェイス単位で network 文を設定します。
OSPF はインターフェイス レベルで設定されるため、NX-OS でパッシブ インターフェイスまたはそれ
以外のインターフェイスを指定する必要はありません。
デフォルトでは、NX-OS のすべての MD5 認証パスワードは、暗号化されて実行コンフィギュレー
ションに表示されます。
コア レイヤの OSPF 設定の比較
次に示す設定例は、Catalyst 6500 トポロジおよび Nexus 7000 トポロジで同等のルータ設定です。まず
ルータの OSPF 設定が表示され、次にインターフェイス設定の例が示されています。
Catalyst 6500:Native IOS
router ospf 10
log-adjacency-changes
auto-cost reference-bandwidth 1000000
nsf
area 10 authentication message-digest
area 10 nssa default-information-originate
area 10 range 172.31.1.0 255.255.255.0
area 10 range 201.1.0.0 255.255.0.0
timers throttle spf 10 100 5000
timers throttle lsa all 10 100 5000
passive-interface default
no passive-interface TenGigabitEthernet1/1
no passive-interface TenGigabitEthernet1/3
no passive-interface TenGigabitEthernet1/4
no passive-interface TenGigabitEthernet2/2
network 172.31.0.1 0.0.0.0 area 0
network 172.31.1.0 0.0.0.3 area 0
network 172.31.1.12 0.0.0.3 area 10
network 172.31.1.16 0.0.0.3 area 10
network 172.31.1.28 0.0.0.3 area 0
Cisco Data Center Assurance Program(DCAP)6.0
2-12
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第2章
DCAP レイヤ 3 コンフィギュレーション ノート
Open Shortest Path First(OSPF)
network 172.31.2.1 0.0.0.0 area 0
network 172.31.10.10 0.0.0.0 area 10
interface TenGigabitEthernet1/1
description to dcap-6k-agg-1
mtu 9216
ip address 172.31.1.13 255.255.255.252
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 cisco
ip ospf network point-to-point
logging event link-status
Nexus 7000:NX-OS
feature ospf
router ospf 10
router-id 172.30.0.1
area 10 nssa default-information-originate
area 10 range 101.1.0.0/16
area 10 range 172.30.1.0/24
area 10 authentication message-digest
log-adjacency-changes
timers throttle spf 10 100 5000
timers throttle lsa router 10
timers throttle lsa network 10
auto-cost reference-bandwidth 1000000
interface port-channel1
description to dcap-7k-core-2
mtu 9216
ip address 172.30.1.1/30
no ip redirects
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 3 9125d59c18a9b015
ip ospf network point-to-point
ip router ospf 10 area 0
ip pim sparse-mode
アグリゲーション レイヤの OSPF 設定の比較
次に示す設定例は、Catalyst 6500 トポロジおよび Nexus 7000 トポロジで同等のルータ設定です。まず
ルータの OSPF 設定が表示され、次にインターフェイス設定の例が示されています。
Catalyst 6500:Native IOS
router ospf 10
log-adjacency-changes
auto-cost reference-bandwidth 1000000
nsf
area 10 authentication message-digest
area 10 nssa
timers throttle spf 10 100 5000
timers throttle lsa all 10 100 5000
passive-interface default
no passive-interface TenGigabitEthernet3/1
no passive-interface TenGigabitEthernet6/2
no passive-interface Vlan300
network 172.31.0.3 0.0.0.0 area 10
network 172.31.1.4 0.0.0.3 area 10
network 172.31.1.12 0.0.0.3 area 10
network 172.31.1.20 0.0.0.3 area 10
network 201.1.0.0 0.0.255.255 area 10
interface TenGigabitEthernet3/1
description to dcap-6k-core-1
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
2-13
第2章
DCAP レイヤ 3 コンフィギュレーション ノート
Hot Standby Routing Protocol(HSRP)
mtu 9216
ip address 172.31.1.14 255.255.255.252
ip pim sparse-mode
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 cisco
ip ospf network point-to-point
interface Vlan300
description agg1 to agg2 L3
ip address 172.31.1.21 255.255.255.252
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 cisco
ip ospf network point-to-point
ip ospf hello-interval 1
ip ospf dead-interval 3
logging event link-status
Nexus 7000:NX-OS
feature ospf
router ospf 10
router-id 172.30.2.201
network 101.0.0.0/8 area 10
area 10 nssa
area 10 authentication message-digest
log-adjacency-changes
timers throttle spf 10 100 5000
timers throttle lsa router 10
timers throttle lsa network 10
auto-cost reference-bandwidth 1000000
interface port-channel3
description to dcap-7k-core-1
mtu 9216
ip address 172.30.1.14/30
no ip redirects
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 3 9125d59c18a9b015
ip ospf network point-to-point
ip router ospf 10 area 10
ip pim sparse-mode
interface Vlan500
description agg1 to agg2 L3
no shutdown
mtu 9216
ip address 172.30.1.21/30
no ip redirects
ip ospf authentication message-digest
ip ospf message-digest-key 1 md5 3 9125d59c18a9b015
ip ospf dead-interval 3
ip ospf hello-interval 1
ip router ospf 10 area 0.0.0.10
Hot Standby Routing Protocol(HSRP)
ここでは、テストで使用した Hot Standby Routing Protocol(HSRP; ホットスタンバイ ルーティング
プロトコル)の設定について説明します。設定の詳細には、アクティブ HSRP ルータの配置(VLAN
単位)、タイマーの設定、およびテスト全体で必要なその他の最適化が含まれています。
Catalyst 6500 プラットフォームおよび Nexus 7000 プラットフォームのファーストホップ冗長性に関す
るコンフィギュレーション マニュアルについては、次の場所を参照してください。
Cisco Data Center Assurance Program(DCAP)6.0
2-14
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
第2章
DCAP レイヤ 3 コンフィギュレーション ノート
Hot Standby Routing Protocol(HSRP)
Catalyst 6500
http://www.cisco.com/en/US/docs/ios/ipapp/configuration/guide/ipapp_hsrp_ps6017_TSD_Products_C
onfiguration_Guide_Chapter.html
Nexus 7000
http://www.cisco.com/en/US/docs/switches/datacenter/sw/4_0/nx-os/unicast/configuration/guide/l3_hsr
p.html
HSRP は First-Hop Redundancy Protocol(FHRP; ファーストホップ冗長プロトコル)であり、ファー
ストホップ IP ルータの透過的なフェールオーバーを可能にします。HSRP を使用すると、デフォルト
ルータの IP アドレスが設定されたイーサネット ネットワークの IP ホストで、ファーストホップ ルー
ティングの冗長性が得られます。HSRP は、ルータのグループで、アクティブ ルータおよびスタンバ
イ ルータを選択するために使用します。ルータのグループにおいて、アクティブ ルータはパケットを
ルーティングするルータ、スタンバイ ルータはアクティブ ルータに障害が発生したとき、またはプリ
セットされた条件に一致したときにアクティブ ルータを引き継ぐルータです。
HSRP は Catalyst 6500 プラットフォームと Nexus 7000 プラットフォームの両方で使用できます。い
ずれのプラットフォームでも、同じ方法で同じパラメータを設定しますが、コマンドライン インター
フェイスのコマンドが少し異なっています。これらの違いについては、次のセクションで説明します。
設定上の違い
Native IOS と NX-OS の HSRP 設定には、設定上の違いがあります。コマンドラインでのこれらの違
いを次に示します。いずれのプラットフォームでも、HSRP グループを指定する必要があります。
Catalyst 6500 プラットフォームでは、インターフェイス コンフィギュレーション モードで、standby
コマンド、グループ番号、および最後にそのグループの設定パラメータの順にコマンドを使用します。
たとえば、グループ 1 のスタンバイ IP アドレスを設定する場合、インターフェイス コマンドは
standby 1 ip ip_address です。Nexus 7000 プラットフォームの場合は、設定が異なっています。イン
ターフェイス コンフィギュレーション モードで、まず hsrp group-number コマンドを入力し、HSRP
コンフィギュレーション モードに入ります。このプロンプトから、さまざまなパラメータを入力でき
ます。このモードからスタンバイ アドレスを設定するには、コマンド ip ip_address を使用します。
HSRP の設定例
Catalyst 6500 – Router A
interface Vlan1101
ip address 201.1.1.2 255.255.255.0
no ip redirects
no ip proxy-arp
ip pim dr-priority 2
ip pim query-interval 2
ip pim sparse-mode
logging event link-status
ntp disable
standby 1 ip 201.1.1.1
standby 1 timers 2 6
standby 1 priority 120
standby 1 preempt delay minimum 60
Catalyst 6500:ルータ B
interface Vlan1101
mtu 9216
ip address 201.1.1.3 255.255.255.0
no ip redirects
no ip proxy-arp
ip pim query-interval 2
Cisco Data Center Assurance Program(DCAP)6.0
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート
2-15
第2章
DCAP レイヤ 3 コンフィギュレーション ノート
Hot Standby Routing Protocol(HSRP)
ip pim sparse-mode
logging event link-status
ntp disable
standby 1 ip 201.1.1.1
standby 1 timers 2 6
standby 1 priority 110
standby 1 preempt delay minimum 60
Nexus 7000:ルータ A
interface Vlan1301
no shutdown
mtu 9216
ip address 101.1.1.2/24
no ip redirects
ip ospf passive-interface
ip pim sparse-mode
ip pim dr-priority 2
ip pim hello-interval 1000
ip igmp query-max-response-time 8
ip igmp query-interval 10
hsrp 1
preempt delay minimum 60
priority 120
timers 1 3
ip 101.1.1.1
Nexus 7000:ルータ B
interface Vlan1301
no shutdown
mtu 9216
description server vlan
ip address 101.1.1.3/24
no ip redirects
ip ospf passive-interface
ip pim sparse-mode
ip pim hello-interval 1000
ip igmp query-max-response-time 8
ip igmp query-interval 10
hsrp 1
preempt delay minimum 60
priority 110
timers 1 3
ip 101.1.1.1
最適化
Catalyst 6500 ネットワークのトポロジの変更を伴う、一部のフェールオーバー テスト ケースでは、ア
グリゲーション ルータの VLAN インターフェイスがフラップする場合があります。これに関連して
Switched Virtual Interface(SVI; スイッチ仮想インターフェイス)の carrier-delay パラメータの設定
の修正を伴う、最適化が必要でした。デフォルトでは、Catalyst 6500 プラットフォームの SVI イン
ターフェイスの carrier-delay 値は、10 ミリ秒に設定されています。テスト用の 200 個の VLAN SVI イ
ンターフェイスでは、この設定が期待どおりに動作しないため、最適化する必要がありました。
carrier-delay 設定を 600 ミリ秒に設定すると、インターフェイス フラッピングを起こさず、期待どお
りに収束できました。Nexus 7000 プラットフォームの SVI インターフェイスのデフォルト
carrier-delay 値は、100 ミリ秒です。このプラットフォームを最適化する必要はなく、問題が発生した
のは Catalyst 6500 プラットフォームだけです。
Cisco Data Center Assurance Program(DCAP)6.0
2-16
第 1 巻 —Cisco DCAP 6.0 コンフィギュレーション ノート

 Download  Report

Paperzz.com

Your Paperzz

© Copyright 2026 Paperzz