Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IRB ソリューションを使用した EVPN の概要

データ センター センター ネットワークサービス プロバイダ一般的な物理ネットワーク上で複数の顧客のデータ センターをホストします。各顧客(テナントとも呼ばれる)では、サービスは、4,094 の VLAN とすべてのプライベート サブネットに拡張できる本格的なデータ センターのように見えます。DCSP は、災害復旧、高可用性、リソース利用の最適化を実現するために、データ センターをまたがって複数のサイトに広がるのが一般的です。DCSP は、データ センター サービスを導入するために、以下の主な課題に直面しています。

  • レイヤー 2 ドメインを複数のデータ センター サイトに拡張する。これには最適なサブネット内トラフィック転送が必要です。

  • 仮想マシン(VM)が発生した場合の、最適なサブネット間トラフィック転送と最適なルーティングをサポートします。

  • 独立したVLANおよびサブネットスペースを持つ複数のテナントをサポートします。

EVPN(イーサネットVPN)は、前述の課題のすべて(以下を含む)の処理を対象とします。

  • 基本的な EVPN 機能により、最適なサブネット内トラフィック転送が可能

  • EVPN の導入に IRB(統合型ルーティングおよびブリッジング)ソリューションを実装することで、最適なサブネット間トラフィック転送を実現

  • マルチテナントサポートによるEVPN仮想スイッチ、独立したVLANとサブネットスペースを持つ複数のテナントが可能

以下のセクションでは、EVPNs 向け IRB ソリューションについて説明します。

EVPN IRB ソリューションの必要性

EVPN は、単一のレイヤー 2 ドメインに属する異なる物理サイトに IP/MPLS コア ネットワーク上のレイヤー 2 の拡張と相互接続を提供するために使用される技術です。EVPN を使用するデータ センター環境では、レイヤー 2(サブネット内トラフィック)とレイヤー 3(サブネット間トラフィック)の両方の転送と、テナントレイヤー 3 VPN との相互運用が必要になります。

レイヤー 2 ソリューションのみでは、たとえば両方のサブネットが同じサーバー上にある場合など、トラフィックがローカルの場合でも、サブネット間トラフィックの転送を最適に行う必要はありません。

レイヤー 3 ソリューションだけで、サブネット内トラフィックに対して以下の問題が発生する可能性があります。

  • MAC アドレスMACアドレスが検出されないエイリアシングの問題を解決します。

  • TTL 1 を使用してサブネット内のトラフィックを制限するアプリケーションの TTL に関する問題。

  • レイヤー2接続に依存するIPv6リンクローカルアアドレス指定と重複アドレス検出。

  • レイヤー 3 転送は、サブネット ブロードキャストの転送セマンティックをサポートしていない。

  • レイヤー 2 転送が必要な非 IP アプリケーションのサポート

上記の純粋なレイヤー 2 およびレイヤー 3 ソリューションの欠点のために、レイヤー 3 VPN の相互運用性や VM(仮想マシン)のモビリティなどの運用上の考慮事項に直面した場合、データ センター環境でレイヤー 2 とレイヤー 3 の両方のトラフィックの最適な転送を組み込むソリューションが必要です。

EVPN ベースの IRB(統合型ルーティングおよびブリッジング)ソリューションは、データ センター内およびデータ センター間のサブネット内およびサブネット間の両方に、ユニキャストとマルチキャストの転送を最適に提供します。

EVPN IRB 機能は、レイヤー 2 VPN または VPLS サービスを提供する IP/MPLS ネットワークで運用しているサービス プロバイダや、既存の顧客に クラウド 計算サービスとストレージ サービスを提供するためにサービスを拡張したいと考えるレイヤー 3 VPN サービスに役立ちます。

EVPN IRB ソリューションの実装

EVPN IRB ソリューションには、以下の機能があります。

  • サブネット内(レイヤー 2)トラフィックに最適なフォワーディング。

  • サブネット間(レイヤー 3)トラフィックの最適なフォワーディング。

  • マルチキャスト トラフィック用のイングレス 複製をサポート。

  • ネットワークベースおよびホストベースのオーバーレイ モデルをサポートします。

  • レイヤー 2 とレイヤー 3 の両方のトラフィックに対して一貫したポリシーベースのフォワーディングをサポートします。

  • IRB インターフェイスでの以下のルーティング プロトコルのサポート:

    • BFD

    • BGP

    • IS-IS

    • OSPFバージョン3 OSPFバージョン3

  • シングルアクティブ、全アクティブのマルチホーミングをサポート

Junos OSは複数の EVPN 設定モデルをサポートし、EVPN やデータ センター、サービスのお客様の個々のクラウドを満たします。柔軟性と拡張性を実現するために、特定の EVPN インスタンス内に複数のブリッジ ドメインを定義できます。同様に、1 つ以上の EVPN インスタンスを単一のレイヤー 3 VPN 仮想ルーティングおよび転送(VRF)に関連付けできます。一般的に、各データセンターテナントには固有のレイヤー3 VPN VRFが割り当てられますが、テナントはEVPNインスタンスごとに1つ以上のEVPNインスタンスと1つ以上のブリッジドメインを構成できます。このモデルをサポートするために、設定された各ブリッジ ドメイン(EVPN インスタンスのデフォルト ブリッジ ドメインを含む)では、レイヤー 2 およびレイヤー 3 の機能を実行するために IRB インターフェイスが必要です。各ブリッジ ドメインまたは IRB インターフェイスは、VRF 内の固有の IP サブネットにマッピングされます。

メモ:

EVPN IRB ソリューションの VRF ではなく、プライマリ インスタンス inet.0 テーブルに IRB インターフェイスを関連付けできます。

EVPN の IRB でサポートされる主要な機能は 2 つがあります。

  • ホスト MAC-IP 同期

    内容は以下のとおりです。

    • EVPN の MAC アドバタイズメント ルートと共に IP アドレスをアドバタイズします。これは、EVPN MAC アドバタイズメント ルート内の IP フィールドを使用して行われます。

    • 受信側 PE ルーターが MAC を EVI(EVPN インスタンス)テーブルにインストールし、IP を関連付けられた VRF にインストールします。

  • ゲートウェイ MAC-IP 同期

    内容は以下のとおりです。

    • EVPN 内のすべてのローカル IRB MAC および IP アドレスの広告これは、EVPN MACアドバタイズメントルートにデフォルトのゲートウェイ拡張コミュニティを含めて行います。

    • 受信 PE は、ゲートウェイ MAC 宛てのパケットをルーティングする転送状態を作成し、ルートでアドバタイズされた MAC を持つゲートウェイ IP に対してプロキシ ARP が実行されます。

図 1 は 、2 つの PE(プロバイダ エッジ)デバイス(PE1 と PE2)間のサブネット間トラフィック転送を示しています。各 PE デバイス上の IRB1 および IRB2 インターフェイスは異なるサブネットに属しますが、共通の VRF を共有します。

図 1:サブネット間のトラフィック転送 Inter-Subnet Traffic Forwarding

サブネット間トラフィック転送は次のように実行されます。

  1. PE2 は、PE1 に対して H3-M3 および H4-M4 バインディングをアドバタイズします。同様に PE1 は、PE2 に対して H1-M1 および H2-M2 バインディングをアドバタイズします。

  2. PE1 および PE2 はMAC アドレス EVI MAC テーブルに IP ルートがインストールされます。一方、IP ルートは共有 VRF にインストールされます。

  3. 広告 PE デバイスは、IP ルートのネクスト ホップとして設定されます。

  4. H1 が H4 にパケットを送信すると、パケットは PE1 上の IRB1 に送信されます。

  5. H4 の IP ルックアップは PE1 上の共有 VRF で発生します。H4 IP のネクスト ホップは PE2(宣伝 PE)なので、IP ユニキャスト パケットが PE2 に送信されます。

  6. PE1 は VRF ルート内の情報に基づいて MAC ヘッダーを書き換え、PE2 は MAC ルックアップを実行してパケットを H4 に転送します。

EVPN IRB ソリューションを実装するメリット

EVPN IRB ソリューションの主な目標は、最適なレイヤー 2 およびレイヤー 3 転送を提供します。このソリューションは、サブネット間の転送と仮想マシン(VM)のモビリティを効率的に処理するために必要です。VM モビリティとは、VM が既存の MAC アドレスと IP アドレスを保持しながら、同一または別のデータ センター内で 1 つのサーバーから別のサーバーに移行できる機能を指します。サブネット間トラフィックに最適なフォワーディングを提供し、効果的な VM モビリティを実現するには、デフォルト ゲートウェイの問題と三角形のルーティングの問題という 2 つの問題を解決する必要があります。

Junos OS リリース 17.1R1、IPv6 アドレスは、NDP(ネイバー検出プロトコル)を使用した EVPN を備えた IRB インターフェイスでサポートされています。EVPN をサポートする IPv6 では、以下の機能が導入されています。

  • プライマリ ルーティング インスタンスの IRB インターフェイス上の IPv6 アドレス

  • 勧誘されたNAメッセージからIPv6近隣を学ぶ

  • IRB インターフェイス上の NS および NA パケットはネットワーク コアから無効化される

  • 仮想ゲートウェイ アドレスはレイヤー 3 アドレスとして使用される

  • IPv6用ホストMAC-IP同期

階層レベルで、IRB インターフェイスで IPv6 アドレスを [edit interfaces irb] 設定できます。

ゲートウェイ MAC と IP 同期

EVPN IRB の導入では、VM の IP デフォルト ゲートウェイは、VM がメンバーであるブリッジ ドメインまたは VLAN に対応する PE(プロバイダ エッジ)ルーターの IRB インターフェイス上に設定された IP アドレスです。デフォルトのゲートウェイの問題は、VM が 1 台のサーバーから別のサーバーに移動しても ARP テーブルをフラッシュしません。また、宛先 MAC アドレス が元のゲートウェイのパケットに設定されたパケットを送信し続けるためです。古いサーバーと新しいサーバーが同じレイヤー 2 ドメインの一部ではない場合(新しいレイヤー 2 ドメインが現在のデータ センター内または新しいデータ センター内にある可能性があります)、以前に特定されたゲートウェイは最適なゲートウェイでもローカル ゲートウェイでもなくなりました。新しいゲートウェイは、リモート PE ルーター上の他のゲートウェイの MAC アドレスを含むパケットを識別し、パケットがローカル ゲートウェイ自体宛てであるとしてトラフィックを転送する必要があります。少なくとも、この機能では各 PE ルーターが、ネットワーク内の他のすべての PE ルーターにゲートウェイまたは IRB MAC および IP アドレスをアドバタイズする必要があります。ゲートウェイ アドレス交換は、標準の MAC ルート アドバタイズメント メッセージ(IP アドレス パラメーターを含む)と、デフォルト ゲートウェイ拡張コミュニティを使用してそのルートをタグ付けして、リモート PE ルーターがゲートウェイ MAC アドバタイズメント ルートと通常の MAC アドバタイズメント ルートを区別できるようして実行できます。

レイヤー 3 VPN インターワーキング

EVPN IRB ソリューションのデータ センター間の側面には、異なるデータ センターに存在する VM 間のルーティングや、データ センター環境外のホスト サイトとデータ センター内の VM 間のルーティングが含されます。このソリューションは、EVPN MAC ルート アドバタイズメントが提供する機能に依存して、MAC アドレスと IP アドレス情報の両方を配信します。PE ルーターのローカル MAC 学習機能が拡張され、ローカルで学習した MAC アドレスに関連付けられた IP アドレス情報も取得できます。この IP アドレス マッピングMAC アドレスは、通常の EVPN 手順を通じて各 PE ルーターに配信されます。PE ルーターがこのような MAC および IP 情報を受信すると、EVPN インスタンスに対応するレイヤー 3 VPN VRF 内の関連 IP アドレスのホスト ルートと、EVPN インスタンス内に MAC ルートがインストールされます。VM がデータ センター間を移動すると、通常の EVPN 手順では、VM が背後に存在する新しい PE ルーターから MAC と IP アドレスがアドバタイズされます。EVPN に関連付けられた VRF にインストールされたホスト ルートは、その VM を宛先とするレイヤー 3 トラフィックを新しい PE ルーターに送信し、ソース、後ろにある前の PE ルーター VM、新しい PE ルーターの間の三角形のルーティングを回避します。

BGPは、多くのホスト ルートをレイヤー 3 VPN にインジェクションする可能性があるという点で、データ センター間の三角形のルーティング回避ソリューションが懸念する可能性があります。前に説明した方法で、最悪の場合は、ローカルEVPN MAC学習手順またはリモートPEルーターから受信したMACアドバタイズメントメッセージを介して学習した各MAC アドレスにIPホストルートがあります。BGP ターゲット フィルタリングを使用して、このようなルートの配信を制限できます。

レイヤー 3 のサブネット間転送手順を使用して、データ センター間の三角形のルーティング回避を実装するには、以下の機能要素が必要です。

  1. 送信元ホストは、ローカル PE ルーターの IRB インターフェイスの宛先 MAC と宛先ホストの IP アドレスを使用して、独自の送信元 MAC および IP アドレスを使用して IP パケットを送信します。

  2. IRB インターフェイスは、MAC を宛先としてフレームを受信すると、EVPN インスタンスに関連付けられた VRF でレイヤー 3 ルックアップを実行して、パケットのルーティング先を決定します。

  3. VRF では、PE ルーターは、MAC から派生したレイヤー 3 ルートと、以前にリモート PE ルーターから受信した IP EVPN ルートを検索します。次にMAC アドレス IP に対応する宛先MAC アドレス宛先に変更されます。

  4. その後、宛先ホストがメンバーであるEVPNインスタンスに対応するラベルを使用して、MPLSを使用して、宛先ホストにサービスを提供するリモートPEルーターにパケットが転送されます。

  5. パケットを受信するエグレス PE ルーターは、宛先ホストの MAC についてレイヤー 2 ルックアップを実行し、エグレス PE ルーターの IRB インターフェイスを介して、接続されたサブネット上の宛先ホストにパケットを送信します。

  6. イングレス PE ルーターがレイヤー 3 ルーティングを実行のため、IP TTL はデクリメントされます。