Viptela Controller Groupについて

今回、vSmartのController Groupについて説明したいと思います。

 

概要

vSmartのController Group

一般的には、vSmartはSaaSとして用意されている物を使用する場合が多いと思います。

しかし、vSmartをオンプレとして、自分たちで用意することも可能です。
この際、冗長化を考慮して、地理的に離れたデータセンターにvSmartを配置する場合があります。

デフォルトですと、vEdgeはvSmartの負荷状況を考慮して、ランダムに2台のvSmartとコントロールコネクションを確立します。(vBondが負荷状況を考慮してvSmartを割り当てます。)

そのため、タイミングによっては、vEdgeは同じデータセンターに配置されている2台のvSmartとコントロールコネクションを確立してしまう場合もあります。

 

冗長性を高めるためには、以下のように、全vEdgeが異なるデータセンターに配置されたvSmartとコントロールコネクションを確立することが理想です。

 

これを実現するのが、Controller Groupです。
Controller GroupはvSmartの集合で、Controller Groupを使用することで、vEdgeがコントロールコネクションを確立するvSmartを制御可能です。
vEdgeはアクセスが許可されているController Groupに属するvSmartとのみコントロールコネクションを確立できます。

 

検証環境、内容

検証内容

vEdge1とvEdge2がコントロールコネクション確立可能なvSmart数を1台に変更する。

Controller Groupを使用して、vEdge1はvSmart1、vEdge2はvSmart2とコントロールコネクションを確立させる。

 

物理/論理構成

 

オーバレイネットワーク構成

 

初期設定


system
 system-ip             10.1.10.11
 site-id               10
 organization-name     "Criterio1 - 19101"
 vbond 172.16.10.21
!
vpn 0
 interface eth0
  ip address 172.16.10.11/24
  tunnel-interface
  no shutdown
 !
 ip route 0.0.0.0/0 172.16.10.254
            


system
 host-name               vBond
 system-ip               10.1.10.21
 site-id                 10
 organization-name       "Criterio1 - 19101"
 vbond 172.16.10.21 local vbond-only
!
vpn 0
 interface ge0/0
  ip address 172.16.10.21/24
  tunnel-interface
   encapsulation ipsec
  !
  no shutdown
 !
 ip route 0.0.0.0/0 172.16.10.254
            


system
 host-name             vSmart1
 system-ip             10.1.10.31
 site-id               10
 organization-name     "Criterio1 - 19101"
 vbond 172.16.10.21
!
vpn 0
 interface eth0
  ip address 172.16.10.31/24
  tunnel-interface
  no shutdown
 !
 ip route 0.0.0.0/0 172.16.10.254
            


system
 host-name             vSmart2
 system-ip             10.1.10.32
 site-id               10
 organization-name     "Criterio1 - 19101"
 vbond 172.16.10.21
!
vpn 0
 interface eth0
  ip address 172.16.10.32/24
  tunnel-interface
  no shutdown
 !
 ip route 0.0.0.0/0 172.16.10.254
            


system
 host-name               vEdge1
 system-ip               1.1.1.1
 site-id                 1
 organization-name       "Criterio1 - 19101"
 vbond 172.16.10.21
!
vpn 0
 interface ge0/0
  ip address 172.16.1.1/24
  tunnel-interface
   encapsulation ipsec
   color biz-internet restrict
   max-control-connections 1
  !
  no shutdown
 !
 ip route 0.0.0.0/0 172.16.1.254
!
vpn 10
 interface ge0/1
  ip address 10.1.1.1/24
  no shutdown
            


system
 host-name               vEdge2
 system-ip               2.2.2.2
 site-id                 2
 organization-name       "Criterio1 - 19101"
 vbond 172.16.10.21
!
vpn 0
 interface ge0/0
  ip address 172.16.2.2/24
  tunnel-interface
   encapsulation ipsec
   color biz-internet restrict
   max-control-connections 1
  !
  no shutdown
 !
 ip route 0.0.0.0/0 172.16.2.254
!
vpn 10
 interface ge0/1
  ip address 20.1.1.2/24
  no shutdown
            


interface GigabitEthernet2
 ip address 10.1.1.11 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.1.1.1
            


interface GigabitEthernet2
 ip address 20.1.1.12 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 20.1.1.2
            


interface GigabitEthernet2
 ip address 172.16.1.254 255.255.255.0
!
interface GigabitEthernet3
 ip address 172.16.2.254 255.255.255.0
!
interface GigabitEthernet4
 ip address 172.16.10.254 255.255.255.0
            

 

設定、状態確認

Controller Group設定前のコントロールコネクションの確認

vEdge1とvEdge2でshow control connectionsコマンドを実行します。

vEdge1

vEdge1# show control connections | tab

                                             LOCAL                                                                                                                             CFG     V
          PEER     SITE  DOMAIN  LOCAL       PRIVATE                PUBLIC                                      REMOTE                 PRIVATE                     CONTROLLER  SYSTEM  ORG   BEHIND
INSTANCE  TYPE     ID    ID      PRIVATE IP  PORT     PUBLIC IP     PORT    SYSTEM IP   PROTOCOL  LOCAL COLOR   COLOR    PRIVATE IP    PORT     STATE  UPTIME      GROUP ID    IP      NAME  PROXY
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0         vsmart   10    1       172.16.1.1  12346    172.16.10.31  12346   10.1.10.31  dtls      biz-internet  default  172.16.10.31  12346    up     0:11:14:50  0           -       -     No
0         vmanage  10    0       172.16.1.1  12346    172.16.10.11  12346   10.1.10.11  dtls      biz-internet  default  172.16.10.11  12346    up     0:11:14:50  0           -       -     No
            
vEdge2

vEdge2# show control connections | tab

                                             LOCAL                                                                                                                             CFG     V
          PEER     SITE  DOMAIN  LOCAL       PRIVATE                PUBLIC                                      REMOTE                 PRIVATE                     CONTROLLER  SYSTEM  ORG   BEHIND
INSTANCE  TYPE     ID    ID      PRIVATE IP  PORT     PUBLIC IP     PORT    SYSTEM IP   PROTOCOL  LOCAL COLOR   COLOR    PRIVATE IP    PORT     STATE  UPTIME      GROUP ID    IP      NAME  PROXY
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0         vsmart   10    1       172.16.2.2  12346    172.16.10.31  12446   10.1.10.31  dtls      biz-internet  default  172.16.10.31  12446    up     0:10:22:12  0           -       -     No
0         vmanage  10    0       172.16.2.2  12346    172.16.10.11  12446   10.1.10.11  dtls      biz-internet  default  172.16.10.11  12446    up     0:10:22:41  0           -       -     No
            

 

vEdeg1とvEdge2は両方とも、vSmart1とコントロールコネクションを確立していることが確認できます。(検証では、vSmart1に偏るように、調整しました)
また、デフォルトでvSmartのController Group IDが0であることが確認できます。

 

vSmartの設定の確認

controller-group-id <id>コマンドを使用することで、vSmartが所属するController Groupが変更可能です。
今回は、vSmart1にController Group IDとして11、vSmart2にController Group IDとして22を割り当てます。

vSmart1

system
 controller-group-id 11
            
vSmart2

system
 controller-group-id 22
            

 

vEdgeの設定の確認

controller-group-list <id>コマンドを使用することで、vEdgeがアクセス可能なController Group IDを指定できます。
今回は、vEdge1はController Group IDが11のvSmart、vEdge2はController Group IDが22のvSmartへのアクセスを許可します。

vEdge1

system
 controller-group-list 11
            
vEdge2

system
 controller-group-list 22
            

 

Controller Group設定後のコントロールコネクションの状態確認

vEdge1とvEdge2でshow control connectionsコマンドを実行します。

vEdge1

vEdge1# show control connections | tab

                                             LOCAL                                                                                                                             CFG     V
          PEER     SITE  DOMAIN  LOCAL       PRIVATE                PUBLIC                                      REMOTE                 PRIVATE                     CONTROLLER  SYSTEM  ORG   BEHIND
INSTANCE  TYPE     ID    ID      PRIVATE IP  PORT     PUBLIC IP     PORT    SYSTEM IP   PROTOCOL  LOCAL COLOR   COLOR    PRIVATE IP    PORT     STATE  UPTIME      GROUP ID    IP      NAME  PROXY
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0         vsmart   10    1       172.16.1.1  12346    172.16.10.31  12346   10.1.10.31  dtls      biz-internet  default  172.16.10.31  12346    up     0:11:27:18  11          -       -     No
0         vmanage  10    0       172.16.1.1  12346    172.16.10.11  12346   10.1.10.11  dtls      biz-internet  default  172.16.10.11  12346    up     0:11:27:18  0           -       -     No
            
vEdge2

vEdge2# show control connections | tab

                                             LOCAL                                                                                                                             CFG     V
          PEER     SITE  DOMAIN  LOCAL       PRIVATE                PUBLIC                                      REMOTE                 PRIVATE                     CONTROLLER  SYSTEM  ORG   BEHIND
INSTANCE  TYPE     ID    ID      PRIVATE IP  PORT     PUBLIC IP     PORT    SYSTEM IP   PROTOCOL  LOCAL COLOR   COLOR    PRIVATE IP    PORT     STATE  UPTIME      GROUP ID    IP      NAME  PROXY
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0         vsmart   10    1       172.16.2.2  12346    172.16.10.32  12446   10.1.10.32  dtls      biz-internet  default  172.16.10.32  12446    up     0:00:04:28  22          -       -     No
0         vmanage  10    0       172.16.2.2  12346    172.16.10.11  12446   10.1.10.11  dtls      biz-internet  default  172.16.10.11  12446    up     0:10:35:16  0           -       -     No
            

 

vEdeg1はvSmart1、vEdge2はvSmart2とコントロールコネクションを確立していることが確認できます。
また、vSmart1のController Group IDが11、vSmart2のController Group IDが22であることが確認できます。

 

Controller Group設定後のルート情報の確認

vSmart1とvSmart2でshow omp routesコマンドを実行します。

vSmart1

vSmart1# show omp routes
Code:
C   -> chosen
I   -> installed
Red -> redistributed
Rej -> rejected
L   -> looped
R   -> resolved
S   -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U   -> TLOC unresolved

                              PATH                 ATTRIBUTE
VPN  PREFIX       FROM PEER   ID    LABEL  STATUS  TYPE       TLOC IP  COLOR         ENCAP  PREFERENCE
------------------------------------------------------------------------------------------------------
10   10.1.1.0/24  1.1.1.1     68    1003   C,R     installed  1.1.1.1  biz-internet  ipsec  -
10   20.1.1.0/24  10.1.10.32  6     1003   C,R     installed  2.2.2.2  biz-internet  ipsec  -
            
vSmart2

vSmart2# show omp routes
Code:
C   -> chosen
I   -> installed
Red -> redistributed
Rej -> rejected
L   -> looped
R   -> resolved
S   -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U   -> TLOC unresolved

                              PATH                 ATTRIBUTE
VPN  PREFIX       FROM PEER   ID    LABEL  STATUS  TYPE       TLOC IP  COLOR         ENCAP  PREFERENCE
------------------------------------------------------------------------------------------------------
10   10.1.1.0/24  10.1.10.31  2     1003   C,R     installed  1.1.1.1  biz-internet  ipsec  -
10   20.1.1.0/24  2.2.2.2     68    1003   C,R     installed  2.2.2.2  biz-internet  ipsec  -
            

 

vSmart間でOMP経由でルート情報が交換されていることが確認できます。

 

vEdge1とvEdge2でshow omp routesコマンドを実行すると、vEdge1はSite 2のルート情報、vEdge2はSite 1のルート情報を学習していることが確認できます。
これより、vEdgeは自身とは異なるvSmartとコントロールコネクションを確立している他のvEdgeのルート情報もOMP経由で学習できることが分かります。

vEdge1

vEdge1# show omp routes
Code:
C   -> chosen
I   -> installed
Red -> redistributed
Rej -> rejected
L   -> looped
R   -> resolved
S   -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U   -> TLOC unresolved

                              PATH                  ATTRIBUTE
VPN  PREFIX       FROM PEER   ID    LABEL  STATUS   TYPE       TLOC IP  COLOR         ENCAP  PREFERENCE
-------------------------------------------------------------------------------------------------------
10   10.1.1.0/24  0.0.0.0     68    1003   C,Red,R  installed  1.1.1.1  biz-internet  ipsec  -
10   20.1.1.0/24  10.1.10.31  1     1003   C,I,R    installed  2.2.2.2  biz-internet  ipsec  -
            
vEdge2

vEdge2# show omp routes
Code:
C   -> chosen
I   -> installed
Red -> redistributed
Rej -> rejected
L   -> looped
R   -> resolved
S   -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
U   -> TLOC unresolved

                              PATH                  ATTRIBUTE
VPN  PREFIX       FROM PEER   ID    LABEL  STATUS   TYPE       TLOC IP  COLOR         ENCAP  PREFERENCE
-------------------------------------------------------------------------------------------------------
10   10.1.1.0/24  10.1.10.32  2     1003   C,I,R    installed  1.1.1.1  biz-internet  ipsec  -
10   20.1.1.0/24  0.0.0.0     68    1003   C,Red,R  installed  2.2.2.2  biz-internet  ipsec  -
            

 

Controller Group設定後の疎通確認

R2からR1に対して、Pingを実施します。

R2

R2#ping 10.1.1.11 source 20.1.1.12
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.11, timeout is 2 seconds:
Packet sent with a source address of 20.1.1.12
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 69/70/71 ms
            

 

異なるvSmartとコントロールコネクションを確立しているvEdgeの拠点間で疎通可能なことが確認できます。

 

コメント

タイトルとURLをコピーしました