INEのワークブックに従って構成を作って「MPLS L2 VPN – Port Based Point-to-Point Service」をやってみたがどうしても疎通できず悩んでいたが、何のことはないESXiのポートグループ設定だった。
何に困ってたの?
ESXi上でのCSR1000v同士はインターフェースを直結できないので、vSwitchを経由して接続する必要がある。しかしINEの構成どおりに単純にvSwitch(とポートグループ)でCSR1000v同士をつないでもL2VPN経由のトラフィックが通らない。
確認したこと
- 上記の構成でいうと、R4のGig2に10.0.0.4/24、R7のGig2に10.0.0.7/24を設定してping疎通確認→OK
- R4のL2VPN対向となるルータとの間でのL2VPN接続確認→
show xconnect all detail
などで確認してもすべてUP
となっている - ESXiでの異常ログなど→特になし
ということで、物理環境なら接続にも問題ないからL2VPN経由のトラフィックもちゃんと渡されるはずなのにうまくいっていないということまで確認できた。となると、CSR1000vの設定や接続の問題ではなくESXiのvSwitch経由の問題だと絞り込んでvSwitchとポートグループ周りの設定を調べることにした。
解決方法
使用するポートグループのセキュリティ設定で
- 無差別モード
- 偽装転送
を「承諾」にすると通るようになった。確かにL2VPN越しだと応答するMACアドレスとか変わるもんな、そりゃそうだ。気づいたときには「あー!」って思わず声が出てしまった。
コメント