付録
付録 A:ルーティングセキュリティー (MANRS) に関する相互に合意した基本
ここまでは、Junos OS ベースのルートサーバーを導入する方法をご紹介します。それとも、既に構築したことがあるでしょうか。
もしそうであれば、MANRS を考慮しましたか? MANRS は、インターネット協会によってサポートされているグローバルなイニシアチブであり、最も一般的なルーティングの脅威を軽減するために欠かせない修正を提供します。Web’サイトに ixps 用の特別なセクションがあります。https://www.manrs.org/ixps/#actions.
たとえば、MANRS は、不適切なルーティング情報が伝達されないように要求するか、IXP メンバーにサポートを提供して、該当するリポジトリ (IRR または RPKI) で正確性の高いルーティング情報を維持します。
MANRS に参加し、ガイドラインを積極的に実装することで、インターネットの安定性とセキュリティに注目していることがわかります。
付録 B: 関連標準化文書
このガイドで説明’した内容のほとんどは、「コメントのリクエスト (rfc)」に記載されています。’参考資料と参考資料のいくつかをここにリンクしています。
RFC7947: インターネットの Exchange BGP ルートサーバー https://tools.ietf.org/html/rfc7947
RFC7948: インターネットの Exchange BGP ルートサーバーの運用https://tools.ietf.org/html/rfc7948
RFC1997: BGP コミュニティー属性https://tools.ietf.org/html/rfc1997
RFC4360: BGP 拡張コミュニティー属性https://tools.ietf.org/html/rfc4360
RFC3682: 汎用 TTL セキュリティーメカニズムhttps://tools.ietf.org/html/rfc3682
RFC8212: ポリシーなしのデフォルト eBGP ルートの伝播動作https://tools.ietf.org/html/rfc8212
BGP 最大プレフィックス制約 Sdraft https://tools.ietf.org/html/draft-sa-grow-maxprefix-02
付録 C: 最新技術
イーサネット Vpn
イーサネット VPN (EVPN) は、レイヤー2仮想ブリッジを使用して、分散した顧客サイトを接続することを可能にします。EVPN は、コアで制御プレーンベースの MAC 学習を有効にすることで、既存の仮想プライベート LAN サービス (VPLS) とは対照的です。EVPN では、EVPN インスタンスに参加する PEs は、MP BGP プロトコルを使用して、制御プレーンでのカスタマー MAC ルートを学習します。
制御プレーン MAC ラーニングは、フローごとの負荷分散によるマルチホーミングのサポートなど、VPLS の欠点を解決する数々のメリットを提供します。
EVPN には、以下のメリットがあります。
統合型サービス: 統合型レベル2およびレベル 3 VPN サービス、拡張性と制御機能を実現する L3VPN の原則と運用上の優れた機能、ECMP を使用したフルアクティブマルチホーミング、および、複数の PEs からマルチホームルーター (CEs) へのトラフィックのロードバランシングを行います。
ネットワークの効率性: デュアルホームサーバーへのリンクの障害、最適化されたブロードキャスト、不明なユニキャスト、およびマルチキャスト (BUM) トラフィック配信によって、フラッドと学習メカニズム、高速再ルーティング、弾力性を排除し、再コンバージェンスを高速化します。
サービスの柔軟性: データプレーンのカプセル化、既存および新しいサービスタイプ (E-LAN、E シリーズ)、ピア PE 自動検出、冗長グループ自動検知をサポートします。 MPLS
以下の EVPN モードがサポートされています。
シングルホーミング: これにより、CE デバイスを1つの PE デバイスに接続できます。
マルチホーミング: これにより、CE デバイスを複数の PE デバイスに接続できます。マルチホーミングにより、接続の冗長化が可能になります。冗長 PE デバイスによって、ネットワーク障害が発生した場合でもトラフィックが中断されないことを保証します。マルチホーミングのタイプは次のとおりです。
オール-アクティブ: すべてのアクティブモードでは、特定のイーサネットセグメントに接続されているすべての Pe は、そのイーサネットセグメントとの間でトラフィックを転送できます。
詳細については、以下を参照してください。https://www.juniper.net/uk/en/training/jnbooks/day-one/proof-concept-labs/using-ethernet-vpns/ Juniper’s の概念実証ラボ (POC ラボ) から、概念実証として https://www.juniper.net/uk/en/training/jnbooks/day-one/proof-concept-labs/using-ethernet-vpns/しています。このガイドでは、サンプルトポロジ、すべての構成、検証テスト、およびいくつかの高可用性 (HA) テストを提供しています。
Fat ツリーでのルーティング (RIFT)
IXPs は着実に成長し、単一の L2 ネットワーク内でより多くのネットワークに接続されています。トポロジー (従来のトポロジ) のため、IXP ネットワークは、迅速な復元と人的介入の削減が求められるトラフィックパターンに対して、独自の要件を満たしています。
このようなデータセンターネットワークでは、今日の Clos Fat ツリートポロジーにより、計算およびストレージサービスを提供する可能性のある集中型データセンターネットワークアーキテクチャに対する傾向があるため、このようなメリットを得ることができました。そのようなトポロジが IXP 環境にも適しているかどうかを調査する価値があるかもしれません。
Fat ツリー (RIFT) プロトコルのルーティングでは、colloquially のリンクステートと距離ベクトル技術の両方を組み合わせて、スパインと距離ベクトルの両方を混合してルーティングの要求に対処します (リンクの状態)。RIFT は、このハイブリッドアプローチを使用して、高い接続性、定義された方向性、大規模な、標準のトポロジーを備えたネットワークに焦点を当てています。
RIFT プロトコル:
リンクの検知に基づいて、fat ツリートポロジーの自動構築を提供します。
各トポロジレベルで保持されるルーティング状態の量を最小限に抑えます。
トポロジー配布の交換を自動的にリンクの適切なサブセットに排除
Holing およびサブ最適なルーティングを回避するための、リンクおよびノードの障害に関するプリフィックスの自動アグリゲーションをサポートします。
トラフィックのステアリングと再ルーティング・ポリシーを可能にし、
プロトコルのコンバージェンスの後に使用できる限定されたキー値データストアを同期するメカニズムを提供します。
プロトコルに関連するノードは、非常に軽い構成で、デフォルトの構成を使用してネットワークに接続するだけで、ネットワークにリーフノードとして参加できるようにする必要があります。
RIFT の詳細については、 https://datatracker.ietf.org/doc/draft-ietf-rift-rift/を参照してください。
VXLAN
VXLAN は、VXLAN ID 形式で24ビットセグメント識別子を使用した IP/UDP (MAC イン UDP) カプセル化技術の MAC です。VXLAN ID を大きくすると、LAN セグメントをクラウドネットワークで1600万に拡張できます。さらに、IP/UDP カプセル化では、レイヤー 3 ECMP を使用する既存のレイヤー3ネットワーク全体で、各 LAN セグメントを拡張できます。
VXLAN は、MAC による UDP カプセル化とトンネリングを使用してレイヤー3インフラストラクチャ全体のレイヤー2ネットワークを拡張する方法を提供します。VXLAN により、レイヤー2拡張機能を使用して柔軟なワークロードを配置できます。また、テナントレイヤー2セグメントを共有トランスポートネットワークから分離して、マルチテナントデータセンターを構築することもできます。
VXLAN には、以下のメリットがあります。
データセンター全体にわたるマルチテナントセグメントの柔軟な配置
基礎となる共有ネットワークインフラストラクチャ上でレイヤー2セグメントを拡張して、データセンターの物理ポッドにテナントのワークロードを配置できるようにする方法を提供します。
より高度な拡張性により、より多くのレイヤー2セグメントに対応できるようになります。
VXLAN は、24ビットセグメント ID、VXLAN ネットワーク識別子 (VNID) を使用します。これにより、1つの管理ドメイン内で最大 1600万 VXLAN セグメントを共存させることができます。(従来の Vlan では、最大 4096 Vlan をサポートできる12ビットセグメント ID を使用しています)。
基盤となるインフラストラクチャにおける利用可能なネットワークパスの活用
VXLAN パケットは、そのレイヤー3ヘッダーに基づいて、基盤となるネットワークを介して転送されます。ECMP ルーティングとリンクアグリゲーションプロトコルを使用して、利用可能なすべてのパスを使用します。
VXLAN は、IP アドレスを含む VXLAN パケットにイーサネットフレームをカプセル化 (トンネリング) することによって、レイヤー2接続をレイヤー3ネットワーク間で拡張できるため、多くの場合、オーバーレイテクノロジとして説明されます。VXLANs をサポートするデバイスは、仮想トンネルエンドポイント (Vxlans)—と呼ばれます。エンドホストまたはネットワークスイッチやルーターを使用できます。VTEPs は、VXLAN トラフィックをカプセル化し、VXLAN トンネルを離れたときにトラフィックをデカプセル化します。イーサネットフレームをカプセル化するには、VTEPs には以下のフィールドを含むいくつかのフィールドが追加されます。
外部メディアアクセス制御 (MAC) 宛先アドレス (トンネルエンドポイントの MAC アドレス VTEP)
外部 MAC 送信元アドレス (トンネルソース VTEP の MAC アドレス)
外部 IP 宛先アドレス (トンネルエンドポイントの IP アドレス VTEP)
外部 IP 発信元アドレス (トンネルソース VTEP の IP アドレス)
外部 UDP ヘッダー
VXLAN を一意に識別するために使用さ–れる、VXLAN ネットワーク識別子 (vni) –と呼ばれる24ビットフィールドを含む VXLAN ヘッダー。VNI は VLAN ID と似ていますが、24ビットを使用することで、Vlan よりも多くの Vxlを作成できます。
詳細については、 VXLAN データプレーンカプセル化による EVPN の理解: https://www.juniper.net/documentation/en_US/junos/topics/concept/evpn-vxlan-data-plane-encapsulation.html」を参照してください。