Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

IRB 対応 EVPN ソリューションの概要

データセンターサービスプロバイダー(DCSP)は、共通の物理ネットワーク上で複数の顧客のためにデータセンターをホストしています。各お客様(テナントとも呼ばれます)にとって、このサービスは、4094のVLANとすべてのプライベートサブネットに拡張できる本格的なデータセンターのように見えます。災害復旧、高可用性、リソース利用の最適化のために、DCSPはデータ・センター全体にまたがり、複数のサイトにまたがるのが一般的です。データセンターサービスを展開するにあたり、DCSPは次の主な課題に直面します。

  • レイヤー2ドメインを複数のデータセンターサイトに拡張する。これには、最適なサブネット内トラフィック転送が必要です。

  • 最適なサブネット間トラフィック転送と仮想マシン(VM)イベント時の最適なルーティングをサポートします。

  • 独立したVLANとサブネット空間で複数のテナントをサポートします。

イーサネットVPN(EVPN)は、上記のすべての課題に対処することを目的としています。

  • 基本的なEVPN機能により、サブネット内トラフィック転送を最適化できます

  • EVPN導入環境にIRB(統合型ルーティングおよびブリッジング)ソリューションを実装することで、最適なサブネット間トラフィック転送が可能になります

  • 仮想スイッチをサポートしてEVPNを設定すると、独立したVLANとサブネットスペースを持つ複数のテナントが可能になります

以下のセクションでは、EVPN 向けの IRB ソリューションについて説明します。

EVPN IRBソリューションの必要性

EVPNは、IP/MPLSコアネットワークを介して、単一のレイヤー2ドメインに属するさまざまな物理サイトにレイヤー2の拡張と相互接続を提供するために使用される技術です。EVPNを使用するデータセンター環境では、レイヤー2(サブネット内トラフィック)とレイヤー3(サブネット間トラフィック)の両方の転送と、テナントレイヤー3 VPNとの相互運用性が必要です。

レイヤー2ソリューションのみでは、トラフィックがローカルであっても(両方のサブネットが同じサーバー上にある場合など)、サブネット間トラフィックを最適に転送することはできません。

レイヤー 3 ソリューションのみでは、サブネット内のトラフィックに関して次のような問題が発生する可能性があります。

  • 重複する MAC アドレスが検出されない MAC アドレス エイリアシングの問題。

  • TTL 1 を使用してサブネット内のトラフィックを閉じ込めるアプリケーションの TTL の問題。

  • レイヤー2接続に依存するIPv6リンクローカルアドレッシングと重複アドレス検出。

  • レイヤー 3 転送は、サブネット ブロードキャストの転送セマンティクスをサポートしていません。

  • レイヤー 2 転送を必要とする非 IP アプリケーションのサポート。

純粋なレイヤー2およびレイヤー3ソリューションには前述の欠点があるため、レイヤー3 VPNの相互運用性や仮想マシン(VM)モビリティなどの運用上の考慮事項に直面した場合、データセンター環境におけるレイヤー2とレイヤー3の両方のトラフィックの最適な転送を組み込んだソリューションが必要です。

EVPNベースのIRB(統合型ルーティングおよびブリッジング)ソリューションは、データセンター内およびデータセンター間で、サブネット内およびサブネット間の両方に最適なユニキャストおよびマルチキャスト転送を提供します。

EVPN IRB機能は、レイヤー2 VPNまたはVPLSサービスと、レイヤー3 VPNサービスの両方を提供するIP/MPLSネットワークで運用されているサービスプロバイダーが、既存の顧客にクラウドコンピューティングおよびストレージサービスを提供するためにサービスを拡張したい場合に便利です。

EVPN IRBソリューションの実装

EVPN IRBソリューションは、以下を提供します。

  • サブネット内(レイヤー2)トラフィックの最適な転送。

  • サブネット間(レイヤー3)トラフィックの最適な転送。

  • マルチキャストトラフィックのイングレスレプリケーションのサポート。

  • ネットワークベースおよびホストベースのオーバーレイモデルをサポートします。

  • レイヤー 2 とレイヤー 3 の両方のトラフィックに対して一貫したポリシーベースの転送をサポートします。

  • IRB インターフェイスでの次のルーティング プロトコルのサポート:

    • Bfd

    • Bgp

    • IS-IS

    • OSPF および OSPF バージョン 3

  • シングルアクティブおよびオールアクティブのマルチホーミングをサポート

Junos OSは、EVPNおよびデータセンタークラウドサービスのお客様の個々のニーズを満たすために、EVPN構成のいくつかのモデルをサポートしています。柔軟性とスケーラビリティを提供するために、特定の EVPN インスタンス内に複数のブリッジ ドメインを定義できます。同様に、1 つ以上の EVPN インスタンスを単一のレイヤー 3 VPN 仮想ルーティングおよび転送(VRF)に関連付けることができます。一般に、各データセンターテナントには一意のレイヤー3 VPN VRFが割り当てられますが、テナントはEVPNインスタンスごとに1つ以上のEVPNインスタンスと1つ以上のブリッジドメインで構成できます。このモデルをサポートするには、設定された各ブリッジ ドメイン(EVPN インスタンスのデフォルト ブリッジ ドメインを含む)に、レイヤー 2 およびレイヤー 3 の機能を実行する IRB インターフェイスが必要です。各ブリッジ ドメインまたは IRB インターフェイスは、VRF 内の一意の IP サブネットにマッピングされます。

メモ:

EVPN IRB ソリューションでは、VRF の代わりに、IRB インターフェイスをプライマリ インスタンス inet.0 テーブルに関連付けることができます。

EVPN の IRB でサポートされている主要な機能は 2 つあります。

  • ホストMAC-IP同期

    以下はその例です。

    • EVPNでMACアドバタイズルートとともにIPアドレスをアドバタイズします。これは、EVPN MAC アドバタイズルートの IP フィールドを使用して行われます。

    • 受信側の PE ルーターは、MAC を EVI(EVI)テーブルにインストールし、関連付けられた VRF に IP をインストールします。

  • ゲートウェイのMAC-IP同期

    以下はその例です。

    • EVPN 内のすべてのローカル IRB MAC および IP アドレスをアドバタイズする。これは、EVPN MACアドバタイズルートにデフォルトゲートウェイ拡張コミュニティを含めることで実現されます。

    • 受信側 PE は、ゲートウェイ MAC 宛てのパケットをルーティングするための転送状態を作成し、ルートでアドバタイズされた MAC を使用してゲートウェイ IP に対してプロキシ ARP を実行します。

図 1 は、2 つのプロバイダー エッジ(PE)デバイス(PE1 と PE2)間のサブネット間トラフィック転送を示しています。各 PE デバイスの IRB1 および IRB2 インターフェイスは異なるサブネットに属していますが、共通の VRF を共有しています。

図1:サブネット間のトラフィック転送 Inter-Subnet Traffic Forwarding

サブネット間のトラフィック転送は、次のように実行されます。

  1. PE2は、PE1に結合するH3-M3およびH4-M4をアドバタイズする。同様に、PE1は、PE2に結合するH1-M1およびH2-M2をアドバタイズする。

  2. PE1 と PE2 は対応する EVI MAC テーブルに MAC アドレスをインストールし、IP ルートは共有 VRF にインストールします。

  3. アドバタイズ PE デバイスは、IP ルートのネクスト ホップとして設定されます。

  4. H1 が H4 にパケットを送信すると、パケットは PE1 の IRB1 に送信されます。

  5. H4 の IP ルックアップは、PE1 の共有 VRF で行われます。H4 IPのネクストホップはPE2(アドバタイズPE)であるため、IPユニキャストパケットがPE2に送信されます。

  6. PE1 は VRF ルートの情報に基づいて MAC ヘッダーを書き換え、PE2 は MAC ルックアップを実行してパケットを H4 に転送します。

EVPN IRBソリューションを実装するメリット

EVPN IRBソリューションの主な目的は、最適なレイヤー2およびレイヤー3転送を提供することです。このソリューションは、サブネット間の転送と仮想マシン(VM)モビリティを効率的に処理するために必要です。VMモビリティとは、既存のMACアドレスとIPアドレスを維持したまま、同じデータセンター内または異なるデータセンター内のあるサーバーから別のサーバーに移行するVMの機能を指します。サブネット間トラフィックの最適な転送と効果的な VM モビリティを実現するには、デフォルト ゲートウェイの問題と三角形のルーティングの問題という 2 つの問題を解決する必要があります。

Junos OS リリース 17.1R1 以降、IPv6 アドレスは、NDP(ネイバー検出プロトコル)を使用して、EVPN との IRB インターフェイスでサポートされます。EVPN の IPv6 サポートには、次の機能が導入されています。

  • プライマリ ルーティング インスタンスの IRB インターフェイス上の IPv6 アドレス

  • 要請されたNAメッセージからのIPv6近隣の学習

  • IRB インターフェイス上の NS および NA パケットは、ネットワーク コアから無効になります。

  • 仮想ゲートウェイ アドレスは、レイヤー 3 アドレスとして使用されます

  • IPv6 のホスト MAC-IP 同期

階層レベルで IRB インターフェイス [edit interfaces irb] で IPv6 アドレスを設定できます。

ゲートウェイMACおよびIP同期

EVPN IRB導入では、VMのIPデフォルトゲートウェイは、VMがメンバーであるブリッジドメインまたはVLANに対応するPE(プロバイダエッジ)ルーターのIRBインターフェイスで設定されたIPアドレスです。デフォルト ゲートウェイの問題は、VM があるサーバから別のサーバに再配置するときに ARP テーブルをフラッシュせず、宛先 MAC アドレスを元のゲートウェイのアドレスに設定した状態でパケットを送信し続けるために発生します。古いサーバーと新しいサーバーが同じレイヤー2ドメインの一部ではない場合(新しいレイヤー2ドメインは現在のデータセンターまたは新しいデータセンター内にある可能性があります)、以前に特定されたゲートウェイは最適なゲートウェイでもローカルゲートウェイでもなくなります。新しいゲートウェイは、リモート PE ルーター上の他のゲートウェイの MAC アドレスを含むパケットを識別し、パケットがローカル ゲートウェイ自体に宛てられているかのようにトラフィックを転送する必要があります。この機能では、少なくとも、各 PE ルーターが、そのゲートウェイまたは IRB MAC および IP アドレスをネットワーク内の他のすべての PE ルーターにアドバタイズする必要があります。ゲートウェイ アドレス交換は、標準の MAC ルート アドバタイズメント メッセージ(IP アドレス パラメータを含む)を使用し、そのルートにデフォルト ゲートウェイ拡張コミュニティをタグ付けして、リモート PE ルーターがゲートウェイの MAC アドバタイズメント ルートを通常の MAC アドバタイズメント ルートと区別できるようにすることで実現できます。

レイヤー3VPNインターワーキング

EVPN IRB ソリューションのデータセンター間の側面には、異なるデータ センターに存在する VM 間のルーティング、またはデータ センター環境の完全に外側にあるホスト サイトとデータ センター内の VM 間のルーティングが含まれます。このソリューションは、EVPN MACルートアドバタイズがMACアドレスとIPアドレス情報の両方を伝送する機能に依存しています。PE ルーターのローカル MAC 学習機能が拡張され、ローカルで学習した MAC アドレスに関連付けられた IP アドレス情報もキャプチャできます。その IP-MAC アドレス マッピング情報は、通常の EVPN 手順によって各 PE ルーターに配信されます。PE ルーターがこのような MAC および IP 情報を受信すると、EVPN インスタンスに MAC ルートを、その EVPN インスタンスに対応するレイヤー 3 VPN VRF に、関連する IP アドレスのホスト ルートをインストールします。VM があるデータ センターから別のデータ センターに移動する場合、通常の EVPN 手順では、VM の背後にある新しい PE ルーターから MAC と IP アドレスがアドバタイズされます。EVPN に関連付けられた VRF にインストールされたホスト ルートは、その VM 宛てのレイヤー 3 トラフィックを新しい PE ルーターに要請し、送信元、VM の背後に存在していた以前の PE ルーター、および新しい PE ルーターの間の三角形のルーティングを回避します。

BGPの拡張性は、レイヤー3 VPNに多くのホストルートが注入される可能性があるため、データセンター間の三角ルーティング回避ソリューションの潜在的な懸念事項となります。前述の方法では、最悪の場合、ローカル EVPN MAC 学習手順またはリモート PE ルーターから受信した MAC アドバタイズ メッセージを通じて学習した各 MAC アドレスに IP ホスト ルートがあります。BGPルートターゲットフィルタリングを使用して、このようなルートの配信を制限することができます。

レイヤー 3 サブネット間転送手順を使用してデータセンター間三角ルーティング回避を実装するには、以下の機能要素が必要です。

  1. 送信元ホストは、ローカル PE ルーターの IRB インターフェイスの宛先 MAC と宛先ホストの IP アドレスとともに、独自の送信元 MAC と IP アドレスを使用して IP パケットを送信します。

  2. IRB インターフェイスは、MAC を宛先とするフレームを受信すると、EVPN インスタンスに関連付けられた VRF でレイヤー 3 ルックアップを実行し、パケットのルーティング先を決定します。

  3. VRF では、PE ルーターは、MAC から派生したレイヤー 3 ルートと、以前にリモート PE ルーターから受信した IP EVPN ルートを見つけます。その後、宛先 MAC アドレスは、宛先 IP に対応する宛先 MAC アドレスに変更されます。

  4. 次に、パケットは、宛先ホストがメンバーであるEVPNインスタンスに対応するラベルを使用して、MPLSを使用して宛先ホストにサービスを提供するリモートPEルーターに転送されます。

  5. パケットを受信するエグレス PE ルーターは、宛先ホストの MAC のレイヤー 2 ルックアップを実行し、エグレス PE ルーターの IRB インターフェイスを介して、接続されたサブネット上の宛先ホストにパケットを送信します。

  6. イングレス PE ルーターはレイヤー 3 ルーティングを実行しているため、IP TTL は減少します。

関連ドキュメント