EVPN-MPLS WANを介したEVPN-VXLANデータセンター相互接続の概要
MPLSベースのEVPNを実行するWANを介して、イーサネットVPN(EVPN)を実行するさまざまなデータセンターネットワークを仮想拡張LAN(VXLAN)カプセル化と相互接続することができます。
以下のセクションでは、データセンター相互接続(DCI)ソリューションとして使用するために、EVPN-VXLANを実行するデータセンターネットワークを、EVPN-MPLSを実行するWANを介して相互接続する技術と実装の概要について説明します。
WANを通したデータセンターネットワークの相互接続の概要
次に、論理トンネル(lt-)インターフェイスを使用して、MPLSベースのEVPNを実行するWANを介して、イーサネットVPN(EVPN)を実行するさまざまなデータセンターネットワークを仮想拡張LAN(VXLAN)カプセル化で相互接続する概念的な概要を示します。できます:
MPLSベースのEVPNを実行するWANネットワーク上でデータセンターエッジルーターを接続し、データセンターの相互接続を実現します。
データセンターエッジルーターに設定された論理トンネル(lt-)インターフェイスを使用して、EVPN-VXLANとEVPN-MPLSを相互接続します。
図 1 の図は、MPLS ベースの EVPN を実行する WAN を介して、EVPN-VXLAN カプセル化を実行する 2 つのデータ センター ネットワーク(DC1 と DC2)の相互接続を示しています。
この図では、
以下のデバイスは、データセンターEVPN-VXLANオーバーレイネットワーク1(DC1)の一部です。
データセンターネットワークに接続されたカスタマーエッジデバイス(CE1、CE2、CE3)。
各 CE デバイスに接続された VLAN ホスト。
トップオブラック(ToR11およびToR12)ルーターの役割を果たすMXルーター。
EVPN-VXLANネットワーク内のデータセンターゲートウェイルーター、およびMPLSベースのEVPN(MX11およびMX12)を実行するWANエッジルーターの役割を果たすMXルーター。
以下のデバイスは、データセンターEVPN-VXLANオーバーレイネットワーク2(DC2)の一部です。
データセンターネットワークに接続されたカスタマーエッジデバイス(CE4、CE5、CE6)。
各 CE デバイスに接続された VLAN ホスト。
トップオブラック(ToR21およびToR22)ルーターの役割を果たすMXルーター。
EVPN-VXLANネットワーク内のデータセンターゲートウェイルーターの役割を果たし、またMPLSベースのEVPN(MX21およびMX22)を実行するWANエッジルーターの役割を果たすMXルーター。
データセンターネットワークの相互接続は、データセンターゲートウェイルーター上で、一対の論理トンネル(lt-)インターフェイスを介して実現されます。
データセンターゲートウェイルーターでは、図2に示すように、データセンターのEVPN-VXLANインスタンスとWAN MPLSベースのEVPNインスタンスを相互接続するために、一対の論理トンネル(lt-)インターフェイスを設定する必要があります。図 2に示すように、1つの論理トンネル(lt-)インターフェイスはEVPN-VXLANネットワークのアクセスインターフェイスとして設定され、もう1つの論理トンネル(lt-)インターフェイスはMPLSベースのEVPNネットワークのアクセスインターフェイスとして設定されます。
アクティブ-アクティブ型マルチホーミングのサポートは、データセンターゲートウェイルーターで相互接続用に提供されます。
データセンターゲートウェイルーターの論理トンネル(lt-)インターフェイスでEVPN-VXLANおよびMPLSベースの EVPNインスタンスを設定するには、 例:EVPNベースのMPLSを実行するWANを介してEVPN-VXLANデータセンターネットワークを相互接続するを参照してください。
データセンターゲートウェイでのマルチホーミング
MPLSベースのEVPNを実行するWANに対して、冗長データセンターゲートウェイとEVPN-VXLANネットワークのアクティブ-アクティブ型マルチホーミング、およびMPLSベースのEVPNネットワークからEVPN-VXLANへのアクティブ-アクティブ型マルチホーミングを設定できます。これにより、EVPN-VXLANネットワークとMPLSベースのEVPN WANネットワークの相互接続間の冗長性が可能になります。これにより、冗長データセンターゲートウェイ間でのユニキャストトラフィックの両方向(EVPN-VXLANからEVPN-MPLSへ、およびEVPN-MPLSからEVPN-VXLANへ)の負荷分散も可能になります。ブロードキャスト、不明なユニキャスト、マルチキャスト(BUM)トラフィックは、データセンターゲートウェイの1つによってデータセンターから転送されます。
EVPN指定フォワーダー(DF)選出
アクティブ-アクティブ EVPN-VXLAN から EVPN-MPLS への相互接続インスタンスとアクティブ-アクティブ EVPN-MPLS から EVPN-VXLAN インスタンスを実現するには、データセンターゲートウェイルーターの論理トンネル(lt-)インターフェイスにゼロ以外の ESI(イーサネットセグメント識別子)を設定します。ESIは、ネットワーク全体で一意でなければならない10オクテット値で、論理トンネル(lt-)インターフェイスに対してポートごとに設定されます。RFC7432で定義されているEVPNマルチホーミング手順に従って、EVPNインスタンス(EVI)に対して以下のルートがアドバタイズされます。
イーサネットセグメントルートのアドバタイズメント
有効なスプリットホライズンラベルとモードがマルチホーミングに設定されたESI自動検出ルートをアドバタイズします
RFC7432に記載されている標準的なEVPN DF選挙手順が考慮されます。DF の選択は、各 EVI のイーサネット セグメントごとに基づいて行われます。EVPN-VXLANとEVPN-MPLSは、DF選出プロセスを独立して実行します。
スプリット ホライズン
スプリット ホライズンにより、ネットワーク内の BUM トラフィックのループが防止されます(RFC7432 を参照してください)。コアからデータセンターゲートウェイ(EVPN PE)方向へのBUMトラフィックの場合、DFはBUMトラフィックをアクセス(ltインターフェイス)ルーターにフラッディングし、非DFはBUMトラフィックをブロックします。DF または非 DF がアクセス(lt インターフェイス)ルーターから受信した BUM トラフィックを受信すると、コアにフラッディングされますが、DF はスプリット ホライズン ルールに基づいて、非 DF から受信した BUM トラフィックをアクセス ルーターにフラッディングしません。EVPN は別の EVPN ネットワークとマルチホームしているため、特定の BUM パケットに対して、アクセス ルーター(lt インターフェイス)にフラッディングされ、次にデータ センター ゲートウェイ ルーターの 1 つを介して EVPN コアにフラッディングされます。最初のEVPNインスタンスのDFフィルタールールは、2番目のEVPNインスタンスに再び入る前に、DFからltインターフェイスにBUMトラフィックのコピーが1つだけ転送されることを保証します。
エイリアシング
データセンターゲートウェイで冗長性が構成されている場合、トラフィックはフローごとに冗長化されたデータセンターゲートウェイルーター間でロードバランシングされます。MACアドレスは、データセンター相互接続用のEVPN-VXLANインスタンスとEVPN-MPLSインスタンス用に設定された論理トンネル(lt-)インターフェイスのペアを使用して、データプレーンを介して学習されます。ただし、EVPN-VXLANネットワークとEVPN-MPLSを実行するWANの両方で、アクティブ-アクティブマルチホーミングとEVPN PEのフルメッシュという性質上、ホストが所有するMACには、すべての冗長データセンターゲートウェイから常にアクセスできます。データセンターゲートウェイルーター上の各EVPNインスタンスは、EVI自動検出ルートごとにアドバタイズすることで、論理トンネル(lt-)インターフェイスに設定されたESIのエイリアシング機能のサポートを宣言します。エイリアシング機能のサポートは、RFC7432で定義されています。
図 3 は、CE1 と NVE1 の間のリンク障害を示していますが、データ センター ネットワーク(DC1)内の両方のデータ センター ゲートウェイ ルーターから CE1 に到達できます。
データセンターネットワーク自体がEVPN-MPLSを実行しているWANに対してアクティブ/アクティブであるため、ホストとそのTOR(トップオブラック)デバイス間のリンク障害がデータセンターゲートウェイルーターが宣言するエイリアシング機能には影響しません。ホストがデータセンターネットワーク内の別のToRデバイスに接続されている限り、他のすべての冗長データセンターゲートウェイルーターからホストにアクセスできるため、エイリアシング機能が適用されます。
VLAN 対応バンドル サービス
MXシリーズ向けJunos OSでは、EVPN-VXLANとEVPN-MPLSの両方のインスタンスが、1つ以上のブリッジドメインとのVLAN対応バンドルサービスをサポートします。論理トンネル(lt-)インターフェイスのペアを介してVLAN対応バンドルサービスで2つのEVIを接続するには、論理トンネル(lt-)インターフェイスでのトランクインターフェイスのサポートと、EVPN-VXLANとEVPN-MPLSの両方のインスタンスでのトランクインターフェイスのサポートが必要です。Junos OS MXシリーズのトランクインターフェイスでは、論理インターフェイスは、VLAN IDリストで指定された任意のVLAN IDでタグ付けされたパケットを受け入れることができます。
トランク モードが論理トンネル(lt-)インターフェイスに使用される場合、最初の EVPN 仮想スイッチから論理トンネル(lt-)インターフェイス トランク ポートから出るフレームには適切な VLAN タグが付けられます。ピア論理トンネル(lt-)インターフェイスを通過すると、2番目の仮想スイッチへの着信フレームが検査され、フレーム内で見つかったVLANタグに基づいて転送されます。
以下は、MPLSベースのEVPNを実行するWANとEVPN-VXLANを相互接続するためのVLAN対応バンドルサービスをサポートするために、論理トンネル(lt-)インターフェイスでトランクモードを使用する設定例です。
interfaces lt-1/0/10 {
esi {
36:36:36:36:36:36:36:36:36:36;
all-active;
}
unit 3 {
encapsulation ethernet-bridge;
peer-unit 4;
family bridge {
interface-mode trunk;
vlan-id-list [ 51 52 ];
}
}
unit 4 {
encapsulation ethernet-bridge;
peer-unit 3;
family bridge {
interface-mode trunk;
vlan-id-list [ 51 52 ];
}
}
}
次に、EVPN-VXLAN および EVPN-MPLS のトランク ポート サポートの設定例を示します。
routing-instances evpn-mpls {
vtep-source-interface lo0.0;
instance-type virtual-switch;
interface lt-1/0/10.4;
route-distinguisher 101:2;
vrf-target target:2:2;
protocols {
evpn {
extended-vlan-list 51-52;
}
}
bridge-domains {
bd1 {
domain-type bridge;
vlan-id 51;
}
bd2 {
domain-type bridge;
vlan-id 52;
}
}
}
routing-instances red {
vtep-source-interface lo0.0;
instance-type virtual-switch;
interface lt-1/0/10.4
route-distinguisher 101:1;
vrf-target target:1:1;
protocols {
evpn {
encapsulation vxlan;
extended-vni-list all;
}
}
bridge-domains {
bd1 {
domain-type bridge;
vlan-id 51;
routing-interface irb.0;
vxlan {
vni 51;
encapsulate-inner-vlan;
decapsulate-accept-inner-vlan;
}
}
bd2 {
domain-type bridge;
vlan-id 52;
routing-interface irb.1;
vxlan {
vni 52;
encapsulate-inner-vlan;
decapsulate-accept-inner-vlan;
}
}
}
}
データセンターネットワークの設計と考慮事項
データセンターネットワークを設計する前に、IPアンダーレイにデータセンターネットワークでIGP、iBGP、またはeBGPプロトコルを使用するかどうかを決定する必要があります。考慮すべきもう1つの重要な要素は、ASの割り当てです。データセンターネットワーク内のToRデバイスには、WANエッジルーターで使用されているAS番号とは異なるAS番号が必要です。
オーバーレイネットワークでは、iBGP、eBGP、またはiBGPとeBGPの両方の組み合わせのいずれを使用するかを決定する必要があります。
図4 は、データセンターゲートウェイとしてのMXルーター(MX11、MX12、MX21、MX22)と、EVPN-VXLANをEVPN-MPLSに相互接続するWANエッジルーターを示しています。スパインスイッチは、ToR間の東西トラフィックの接続を提供し、レイヤー3ルーティングする必要のないトラフィックがMXルーターを経由しないようにします。ネットワーク設計の観点から、エンドツーエンドのEVPNソリューションを提供するには、次の要件を満たす必要があります。
EVPN-VXLANセグメントとEVPN-MPLSセグメント間のIGPを分離する
データセンターネットワークでIGPを使用する場合、EVPN-VXLAN内のIPネットワークをWAN内のIPネットワークから分離する必要があります。データセンターでIGPを使用する場合、スパインスイッチとMXルーターを接続するインターフェイスでIGPプロトコルを実行しないという選択肢もあります。代わりに、アドレスファミリーinetユニキャストを使用したeBGPセッションがスパインスイッチとMXルーター間で使用され、IGP/eBGP/ポリシーを介してToRルーターとMXルーターのループバックアドレスを相互にリークしながら、データセンター内のIPネットワークのWANからの分離を維持できます。EVPN-VXLANセグメントでは、IGPはスパインスイッチとToR間のみです。EVPN-MPLSセグメントでは、IGPはすべてのMXルーター間にあります。
データセンターネットワークのIPアンダーレイでのiBGPの使用
データセンターのIPアンダーレイでIGPを使用しないことが要件である場合、アドレスファミリーinetユニキャストを備えたiBGPを使用して、スパインスイッチとToR間のOSPFを置き換えることができます。スパインスイッチとデータセンターゲートウェイ間では、ループバックIPのアドバタイズにeBGPを使用する必要があります。
データセンターネットワークのIPアンダーレイでのeBGPの使用
データ センターでのみ eBGP を使用することが要件である場合は、IP アンダーレイにアドレス ファミリーの inet ユニキャストで eBGP を使用する必要があります。この場合は、スパインアグリゲーション層のない典型的な2ステージCLOSネットワークです。各ToRとデータセンターゲートウェイには、一意のAS番号が割り当てられています。ToRは、データセンターゲートウェイルーターとのeBGPセッションを直接確立します。
EVPN-VXLANおよびEVPN-MPLSネットワークにおける異なる自律システム(AS)
以下は、iBGPを実行しているEVPN-VXLANおよびEVPN-MPLSネットワーク、またはIPオーバーレイ用のeBGPの異なるASのサポートです。
オーバーレイでの iBGP/eBGP の実行
ToRとスパインスイッチは同じAS100内にあり、すべてのMXシリーズルーターはAS8303内にあります。ToR のうち、EVPN ネットワーク層到達可能性情報(NLRI)は iBGP セッションを通じて交換されます。BGP ルート リフレクタ(RR)が使用され、各 ToR は RR との iBGP セッションを確立します。同じブリッジドメインに属するToR間のデータトラフィックは、スパインスイッチのみを経由し、常に2ホップ離れています。ToR とスパインスイッチは同じ AS にあり、MX エッジ ルーターは異なる AS にあるため、MX エッジ ルーターは RR または各 ToR への eBGP セッションを直接確立します。デフォルトでは、iBGPセッション(ToR)から学習したルートはeBGP(MXルーター)に再アドバタイズされ、その逆も同様に処理されます。BGPネクストホップは変更されず、BGPがiBGPとeBGPセッション間でEVPN NLRIを再アドバタイズすると適用されます。
オーバーレイに対してのみ eBGP を実行する
eBGPをデータセンターでのみ実行することが要件である場合、各ToRには一意のAS番号が割り当てられます。各データセンターゲートウェイルーターは、データセンター側の一意のAS番号を使用します。WANに面する側には同じAS番号が使用されますが、AS番号はデータセンターに面する側に使用されるAS番号とは異なります。AS番号は、各データセンターで再利用することもできます。
データセンター内のEVPNルートが、別のデータセンターにあるデータセンターゲートウェイルーターにアドバタイズされないようにするには、EVPN-MPLSネットワークでルート制約をオンにする必要があります。BGP ルートの制約を機能させるため、EVPN-VXLAN ネットワークと EVPN-MPLS ネットワークにそれぞれ異なるルートターゲットを使用します。