今回、vSmartのController Groupについて説明したいと思います。
この記事の目次
概要
vSmartのController Group
一般的には、vSmartはSaaSとして用意されている物を使用する場合が多いと思います。
しかし、vSmartをオンプレとして、自分たちで用意することも可能です。
この際、冗長化を考慮して、地理的に離れたデータセンターにvSmartを配置する場合があります。
デフォルトですと、vEdgeはvSmartの負荷状況を考慮して、ランダムに2台のvSmartとコントロールコネクションを確立します。(vBondが負荷状況を考慮してvSmartを割り当てます。)
そのため、タイミングによっては、vEdgeは同じデータセンターに配置されている2台のvSmartとコントロールコネクションを確立してしまう場合もあります。
冗長性を高めるためには、以下のように、全vEdgeが異なるデータセンターに配置されたvSmartとコントロールコネクションを確立することが理想です。
これを実現するのが、Controller Groupです。
Controller GroupはvSmartの集合で、Controller Groupを使用することで、vEdgeがコントロールコネクションを確立するvSmartを制御可能です。
vEdgeはアクセスが許可されているController Groupに属するvSmartとのみコントロールコネクションを確立できます。
検証環境、内容
検証内容
vEdge1とvEdge2がコントロールコネクション確立可能なvSmart数を1台に変更する。
Controller Groupを使用して、vEdge1はvSmart1、vEdge2はvSmart2とコントロールコネクションを確立させる。
物理/論理構成
オーバレイネットワーク構成
初期設定
system
system-ip 10.1.10.11
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.11/24
tunnel-interface
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vBond
system-ip 10.1.10.21
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21 local vbond-only
!
vpn 0
interface ge0/0
ip address 172.16.10.21/24
tunnel-interface
encapsulation ipsec
!
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vSmart1
system-ip 10.1.10.31
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.31/24
tunnel-interface
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vSmart2
system-ip 10.1.10.32
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.32/24
tunnel-interface
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vEdge1
system-ip 1.1.1.1
site-id 1
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 172.16.1.1/24
tunnel-interface
encapsulation ipsec
color biz-internet restrict
max-control-connections 1
!
no shutdown
!
ip route 0.0.0.0/0 172.16.1.254
!
vpn 10
interface ge0/1
ip address 10.1.1.1/24
no shutdown
system
host-name vEdge2
system-ip 2.2.2.2
site-id 2
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 172.16.2.2/24
tunnel-interface
encapsulation ipsec
color biz-internet restrict
max-control-connections 1
!
no shutdown
!
ip route 0.0.0.0/0 172.16.2.254
!
vpn 10
interface ge0/1
ip address 20.1.1.2/24
no shutdown
interface GigabitEthernet2
ip address 10.1.1.11 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.1.1.1
interface GigabitEthernet2
ip address 20.1.1.12 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 20.1.1.2
interface GigabitEthernet2
ip address 172.16.1.254 255.255.255.0
!
interface GigabitEthernet3
ip address 172.16.2.254 255.255.255.0
!
interface GigabitEthernet4
ip address 172.16.10.254 255.255.255.0
設定、状態確認
Controller Group設定前のコントロールコネクションの確認
vEdge1とvEdge2でshow control connectionsコマンドを実行します。
vEdge1
vEdge1# show control connections | tab
LOCAL CFG V
PEER SITE DOMAIN LOCAL PRIVATE PUBLIC REMOTE PRIVATE CONTROLLER SYSTEM ORG BEHIND
INSTANCE TYPE ID ID PRIVATE IP PORT PUBLIC IP PORT SYSTEM IP PROTOCOL LOCAL COLOR COLOR PRIVATE IP PORT STATE UPTIME GROUP ID IP NAME PROXY
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vsmart 10 1 172.16.1.1 12346 172.16.10.31 12346 10.1.10.31 dtls biz-internet default 172.16.10.31 12346 up 0:11:14:50 0 - - No
0 vmanage 10 0 172.16.1.1 12346 172.16.10.11 12346 10.1.10.11 dtls biz-internet default 172.16.10.11 12346 up 0:11:14:50 0 - - No
vEdge2
vEdge2# show control connections | tab
LOCAL CFG V
PEER SITE DOMAIN LOCAL PRIVATE PUBLIC REMOTE PRIVATE CONTROLLER SYSTEM ORG BEHIND
INSTANCE TYPE ID ID PRIVATE IP PORT PUBLIC IP PORT SYSTEM IP PROTOCOL LOCAL COLOR COLOR PRIVATE IP PORT STATE UPTIME GROUP ID IP NAME PROXY
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vsmart 10 1 172.16.2.2 12346 172.16.10.31 12446 10.1.10.31 dtls biz-internet default 172.16.10.31 12446 up 0:10:22:12 0 - - No
0 vmanage 10 0 172.16.2.2 12346 172.16.10.11 12446 10.1.10.11 dtls biz-internet default 172.16.10.11 12446 up 0:10:22:41 0 - - No
vEdeg1とvEdge2は両方とも、vSmart1とコントロールコネクションを確立していることが確認できます。(検証では、vSmart1に偏るように、調整しました)
また、デフォルトでvSmartのController Group IDが0であることが確認できます。
vSmartの設定の確認
controller-group-id <id>コマンドを使用することで、vSmartが所属するController Groupが変更可能です。
今回は、vSmart1にController Group IDとして11、vSmart2にController Group IDとして22を割り当てます。
vSmart1
system
controller-group-id 11
vSmart2
system
controller-group-id 22
vEdgeの設定の確認
controller-group-list <id>コマンドを使用することで、vEdgeがアクセス可能なController Group IDを指定できます。
今回は、vEdge1はController Group IDが11のvSmart、vEdge2はController Group IDが22のvSmartへのアクセスを許可します。
vEdge1
system
controller-group-list 11
vEdge2
system
controller-group-list 22
Controller Group設定後のコントロールコネクションの状態確認
vEdge1とvEdge2でshow control connectionsコマンドを実行します。
vEdge1
vEdge1# show control connections | tab
LOCAL CFG V
PEER SITE DOMAIN LOCAL PRIVATE PUBLIC REMOTE PRIVATE CONTROLLER SYSTEM ORG BEHIND
INSTANCE TYPE ID ID PRIVATE IP PORT PUBLIC IP PORT SYSTEM IP PROTOCOL LOCAL COLOR COLOR PRIVATE IP PORT STATE UPTIME GROUP ID IP NAME PROXY
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vsmart 10 1 172.16.1.1 12346 172.16.10.31 12346 10.1.10.31 dtls biz-internet default 172.16.10.31 12346 up 0:11:27:18 11 - - No
0 vmanage 10 0 172.16.1.1 12346 172.16.10.11 12346 10.1.10.11 dtls biz-internet default 172.16.10.11 12346 up 0:11:27:18 0 - - No
vEdge2
vEdge2# show control connections | tab
LOCAL CFG V
PEER SITE DOMAIN LOCAL PRIVATE PUBLIC REMOTE PRIVATE CONTROLLER SYSTEM ORG BEHIND
INSTANCE TYPE ID ID PRIVATE IP PORT PUBLIC IP PORT SYSTEM IP PROTOCOL LOCAL COLOR COLOR PRIVATE IP PORT STATE UPTIME GROUP ID IP NAME PROXY
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vsmart 10 1 172.16.2.2 12346 172.16.10.32 12446 10.1.10.32 dtls biz-internet default 172.16.10.32 12446 up 0:00:04:28 22 - - No
0 vmanage 10 0 172.16.2.2 12346 172.16.10.11 12446 10.1.10.11 dtls biz-internet default 172.16.10.11 12446 up 0:10:35:16 0 - - No
vEdeg1はvSmart1、vEdge2はvSmart2とコントロールコネクションを確立していることが確認できます。
また、vSmart1のController Group IDが11、vSmart2のController Group IDが22であることが確認できます。
Controller Group設定後のルート情報の確認
vSmart1とvSmart2でshow omp routesコマンドを実行します。
vSmart1
vSmart1# show omp routes
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
------------------------------------------------------------------------------------------------------
10 10.1.1.0/24 1.1.1.1 68 1003 C,R installed 1.1.1.1 biz-internet ipsec -
10 20.1.1.0/24 10.1.10.32 6 1003 C,R installed 2.2.2.2 biz-internet ipsec -
vSmart2
vSmart2# show omp routes
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
------------------------------------------------------------------------------------------------------
10 10.1.1.0/24 10.1.10.31 2 1003 C,R installed 1.1.1.1 biz-internet ipsec -
10 20.1.1.0/24 2.2.2.2 68 1003 C,R installed 2.2.2.2 biz-internet ipsec -
vSmart間でOMP経由でルート情報が交換されていることが確認できます。
vEdge1とvEdge2でshow omp routesコマンドを実行すると、vEdge1はSite 2のルート情報、vEdge2はSite 1のルート情報を学習していることが確認できます。
これより、vEdgeは自身とは異なるvSmartとコントロールコネクションを確立している他のvEdgeのルート情報もOMP経由で学習できることが分かります。
vEdge1
vEdge1# show omp routes
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
-------------------------------------------------------------------------------------------------------
10 10.1.1.0/24 0.0.0.0 68 1003 C,Red,R installed 1.1.1.1 biz-internet ipsec -
10 20.1.1.0/24 10.1.10.31 1 1003 C,I,R installed 2.2.2.2 biz-internet ipsec -
vEdge2
vEdge2# show omp routes
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
-------------------------------------------------------------------------------------------------------
10 10.1.1.0/24 10.1.10.32 2 1003 C,I,R installed 1.1.1.1 biz-internet ipsec -
10 20.1.1.0/24 0.0.0.0 68 1003 C,Red,R installed 2.2.2.2 biz-internet ipsec -
Controller Group設定後の疎通確認
R2からR1に対して、Pingを実施します。
R2
R2#ping 10.1.1.11 source 20.1.1.12
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.11, timeout is 2 seconds:
Packet sent with a source address of 20.1.1.12
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 69/70/71 ms
異なるvSmartとコントロールコネクションを確立しているvEdgeの拠点間で疎通可能なことが確認できます。
コメント