VXLAN データ プレーン カプセル化が可能な EVPN について

EVPNを理解する

EVPN(イーサネット VPN)は、IP または IP/MPLS バックボーン ネットワークを介して、異なるレイヤー 2 ドメイン間の仮想マルチポイント ブリッジ接続を提供するスタンダードベースの技術です。EVPN インスタンスは、IP VPN や VPLS(仮想プライベート LAN サービス)など他の VPN 技術と同様に、顧客間の論理的なサービスの分離を管理する目的で、PE(プロバイダ エッジ ルーター上で設定します。PE ルーターは、ルーター、スイッチ、ホストなどの CE(カスタマー エッジ)デバイスに接続します。その後、PE ルーターはマルチプロトコル BGP(MP-BGP)を使用して到達可能な情報を交換し、カプセル化されたトラフィックが PE ルーター間を転送されます。このアーキテクチャの要素は他の VPN 技術と共通のため、 図 1 に示すように、EVPN を既存のサービス環境にシームレスに導入して統合することができます。

図 1: EVPN の概要

EVPN はレイヤー 2 オーバーレイ ソリューションとして使用され、BMS(ベアメタル サーバー)などのエンド ステーションがレイヤー 2 接続を必要とするたびに、仮想ネットワーク内のエンドポイントに IP アンダーレイを介したレイヤー 2 接続を提供します。それ以外の場合、レイヤー 3 ルーティングは Contrail vRouter と MX シリーズ ルーター間の VRF テーブルを介して使用されます。EVPN テクノロジは、オン デマンドで拡張できる柔軟なサービス、マルチテナント機能を提供し、1 つのサービス(レイヤー 2 拡張)に対して異なる物理データ センターのコンピューティング リソースを頻繁に使用します。

EVPN の MP-BGP コントロール プレーンを使用すると、ライブ仮想マシンを 1 つのデータ センターから別のデータ センターに動的に移動できます(これは VM(仮想マシン)モーションとも呼ばれます)。VM を移動先のサーバーやハイパーバイザーに移動すると、gratuitous ARP が送信され、移動先のデータ センターにある PE デバイスのレイヤー 2 転送テーブルが更新されます。その後、PE デバイスは MAC ルートの更新情報をすべてのリモート PE デバイスに送信し、それにより転送テーブルが更新されます。EVPN は、VM の動きを追跡します。これは、MAC モビリティとも呼ばれます。

EVPNには、MACフラッピングを検出および停止し、全アクティブのマルチホームトポロジーでブロードキャスト、不明なユニキャスト、マルチキャスト(BUM)トラフィックのループを防止するメカニズムもあります。

この EVPN テクノロジには、レイヤー 3 MPLS VPN と同様に、IP/MPLS コアを使用したルーティング MAC アドレスの概念も含まれています。EVPN には、以下のメリットがあります。

• アクティブなマルチホーム エッジ デバイスに対応

• エイリアシング

• 迅速なコンバージェンス

• デュアルアクティブ リンク間のロード バランシング

• MAC アドレスのモビリティ

• マルチテナント機能

また、EVPN では以下の技術を使用しています。

• マルチホーミング は、アクセス リンクまたは PE ルーティング デバイスのいずれかに障害が発生した場合に冗長性を提供します。いずれの場合も、残りのアクティブ リンクを使用して、CE デバイスから PE ルーターに向かってトラフィックがフローされます。逆方向のトラフィックの場合、リモート PE ルーターは、マルチホーム イーサネット セグメントに接続された、残っているアクティブ PE ルーターにトラフィックを送信するよう、転送テーブルを更新します。EVPN は、トラフィックの復元までの時間を短縮できる、迅速なコンバージェンス メカニズムを提供します。そのため、この調整にかかる時間は、PE ルーターが学習する MAC(メディア アクセス制御)アドレスの数に依存しません。すべてアクティブなマルチホーミングにより、CE デバイスは 2 台以上の PE ルーターに接続でき、デバイス間のすべてのリンクを使用してトラフィックが転送されます。このマルチホーミングにより、CE デバイスで複数の PE ルーターへのトラフィックのロードバランシングが可能になります。さらに重要なのは、マルチホーミングにより、リモート PE ルーターからコア ネットワーク全体のマルチホーム PE ルーターへのトラフィックのロードバランシングが可能になることです。データ センター間のトラフィック フローのこのロード バランシングを エイ リアシングと呼びます。これにより、異なる信号が区別できなくなり、互いのエイリアスとなります。エイリアシングは、デジタル オーディオとデジタル画像で使用されます。

• スプリット ホライズン により、ネットワーク内のブロードキャスト、不明なユニキャスト、マルチキャスト(BUM)トラフィックのループが回避されます。スプリット ホライズンの基本原則はシンプルで、特定のパケットのルーティングに関する情報が、受信した方向に送り返されることはありません。

• ローカル リンク バイアス は、ローカル リンクを使用して、同じバーチャル シャーシまたは VCF 内のさまざまなメンバー スイッチ上のメンバー リンクで構成された LAG(リンク アグリゲーション グループ)バンドルを持つ、バーチャル シャーシまたは VCF(バーチャル シャーシ ファブリック)から送信されるユニキャスト トラフィックを転送することで、帯域幅を節約します。ローカル リンクは、トラフィックを受信したメンバー スイッチ上にある LAG バンドル内のメンバー リンクです。

• VXLAN カプセル化が可能な EVPN は、レイヤー 2 ドメイン内で、仮想マシンと TOR(トップオブラック)スイッチ(QFX5100 スイッチなど)間のレイヤー 2 接続に使用されます。

Contrail を使用して、MX シリーズ ルーターをレイヤー 2 またはレイヤー 3 VXLAN ゲートウェイとしてプロビジョニングできます。MX シリーズ ルーターは、ルーティング、スイッチング、セキュリティ デバイスの設定情報を要求して変更するためにクライアント アプリケーションが使用する XML ベースのプロトコルである NETCONF XML 管理プロトコルを実装します。NETCONF XML 管理プロトコルは、設定データとリモート プロシージャ コールに XML ベースのデータ エンコーディングを使用します。NETCONF プロトコルは、CLI(コマンドライン インターフェイス)の設定モード コマンドに相当する基本操作を定義します。設定ステートメントの表示、編集、コミットを行うのに、管理者が CLI 設定モード コマンドを使用して操作するのと同様に、アプリケーションはプロトコル操作を使用します。

VXLANを理解する

VXLAN(仮想拡張 LAN)は、レイヤー 2 のネットワーク アドレス スペースを 4,000 から 1,600 万に拡張するオーバーレイ スキームを導入し、主に VLAN ベースの環境で見られる拡張性の問題を解決します。

ネットワークオーバーレイは、物理ネットワーク上でトラフィックをカプセル化し、トラフィックをトンネリングすることで作成されます。データ センターでは、数多くのトンネリング プロトコルを使用してネットワーク オーバーレイを作成できます。最も一般的なプロトコルは VXLAN です。VXLAN トンネリング プロトコルは、レイヤー 3 UDP パケットのレイヤー 2 イーサネット フレームをカプセル化します。このカプセル化により、物理レイヤー 3 ネットワークに広がる仮想レイヤー 2 サブネットまたはセグメントを作成することができます。

VXLAN オーバーレイ ネットワークでは、VNI(VXLAN のネットワーク識別子)により、各レイヤー 2 サブネットまたはセグメントを一意に識別できます。VNI セグメントは、IEEE 802.1 Q VLAN ID セグメントのトラフィックと同じ方法でトラフィックを送信します。VLAN と同様に、同じ VNI 上の仮想マシンは相互に直接通信できますが、異なる VNI 上の仮想マシンは相互に通信するためにルーターを必要とします。

カプセル化とカプセル化解除を実行するエンティティは VXLAN トンネル エンドポイント(VTEP)と呼ばれます。物理ネットワークでは、レイヤー 2 またはレイヤー 3 VXLAN ゲートウェイとして機能するジュニパーネットワークスのデバイスを使用して、データ パケットをカプセル化、カプセル化解除できます。このタイプのVTEPは、ハードウェアVTEPとして知られています。仮想ネットワークでは、VTEP は、KVM(カーネルベースの仮想マシン)ホストなどのハイパーバイザー ホストに配置できます。このタイプのVTEPは、ソフトウェアVTEPとして知られています。

各 VTEP には 2 つのインターフェイスがあります。

• 1 つ目のインターフェイスは、ホスト内の仮想マシンと接続し、ローカル LAN セグメント上の VM 間の通信を提供するスイッチング インターフェイスです。

• もう 1 つは、レイヤー 3 ネットワークに接続する IP インターフェイスです。

各 VTEP は、VTEP 間の UDP パケットをルーティングするために使用する固有の IP アドレスを持っています。たとえば、VTEP1 が VM1 から VM3 へのイーサネット フレームを受信した場合、VTEP のパケット送信先について、VNI と宛先 MAC を使って転送テーブルを検索します。その後、VTEP1 は、VNI が含まれる VXLAN ヘッダーをイーサネット フレームに追加し、そのフレームをレイヤー 3 UDP パケットにカプセル化し、そのパケットを VTEP2 までレイヤー 3 ネットワーク上でルーティングします。VTEP2 が元のイーサネット フレームをカプセル化解除し、それを VM3 に転送します。VM1 と VM3 は、VXLAN トンネルおよび VXLAN 間のレイヤー 3 ネットワークを検知できません。

EVPN-VXLAN の統合の概要

VXLAN では、レイヤー 2 ネットワークをレイヤー 3 ネットワーク上にオーバーレイするためのトンネリング スキームが定義されています。このトンネリング スキームでは、トンネリングに UDP/IP カプセル化を使用し、ユニキャストおよびマルチキャスト トラフィックのマルチパス機能をサポートすることで、イーサネット フレームを最適に転送できます。また、主にデータ センター内のサイト接続に使用されます。

EVPN の固有の特性は、PE ルーター間の MAC アドレス学習がコントロール プレーンで行われることです。ローカル PE ルーターは CE デバイスから新しい MAC アドレスを検出し、その後 MP-BGP を使用して、そのアドレスをすべてのリモート PE ルーターにアドバタイズします。この方法は、データ プレーンに集まる不明なユニキャストによって学習する、VPLS などの既存のレイヤー 2 VPN ソリューションとは異なります。このコントロール プレーン MAC 学習方法は、EVPN が提供する数多くの便利な機能を実現する鍵となるものです。

MAC 学習はコントロール プレーンで処理されるため、EVPN は PE ルーター間のさまざまなデータ プレーン カプセル化技術に柔軟に対応できます。すべてのバックボーン ネットワーク(特にエンタープライズ ネットワーク)で MPLS が稼働しているとは限らないため、この柔軟性は重要です。

EVPN は、クラウドと仮想化サービスを提供する目的でデータ センターを構築しているネットワーク事業者が直面する多くの課題に対応します。EVPNの主なアプリケーションはデータセンター相互接続(DCI)で、これは、エンドユーザーへのアプリケーショントラフィック配信のパフォーマンスを向上させ、災害復旧のために展開される異なるデータセンター間のレイヤー2接続を拡張する機能を指します。

さまざまな DCI 技術が利用できますが、EVPN は、アクティブ/アクティブ冗長化、エイリアシング、mass MAC withdrawal などの独自の機能を備えている点で、他の MPLS 技術よりも優れています。結果として、DCI 向けのソリューションを提供するため、VXLAN は EVPN と統合されています。

図 2 に示すように、MPLS または IP コアに接続された各 VXLAN は、IGP(内部ゲートウェイ プロトコル)コントロール プレーンの独立したインスタンスを実行します。各 PE ルーターは、VXLAN の IGP コントロール プレーン インスタンスに参加しています。各顧客はデータ センターであるため、VXLAN アンダーレイ用に固有の仮想ルーターを備えています。

各 PE ノードは、VNI(VXLAN ネットワーク識別子)がブリッジ ドメインまたは VLAN にマッピングされている VXLAN データ プレーン カプセル化を終了できます。PE ルーターは、VXLAN から受信したトラフィックについて、データ プレーンの学習を実行します。

各 PE ノードは EVPN を実装して、VXLAN トンネルを介して学習したクライアント MAC アドレスを BGP に分散させることができます。各 PE ノードは、MPLS コアを介してパケットを送信する際には MPLS を使用して、また VXLAN ネットワークを介してパケットを送信する際には VXLAN トンネル ヘッダーを使用して、VXLAN またはイーサネット フレームをカプセル化します。

図 2: EVPN-VXLAN の統合の概要

EVPN-VXLANのファイアウォールフィルタリングとポリシングのサポート

VXLAN に適用する各ファイアウォール フィルターについて、 を指定してレイヤー 2(イーサネット)パケットをフィルタリングするか、 family inet を指定して family ethernet-switching IRB インターフェイスでフィルタリングします。IRB インターフェイスは、1 レイヤーまたは 2 レイヤーの IP ファブリック トポロジーの VXLAN を接続するためのレイヤー 3 ルーティング インターフェイスとして機能します。次の制限が適用されます。

• フィルタリングとポリシングは、VXLAN トランジット トラフィックではサポートされていません。

• エグレス VTEP デバイスでの VNI のファイアウォール フィルタリングはサポートされていません。

• エグレス VTEP デバイスでの VNI のポリシングはサポートされていません。

• VXLAN ヘッダー フィールドに対する照合条件はサポートされていません。

ファイアウォールフィルター、一致条件、およびアクションの設定の詳細については、以下を参照してください。

• ファイアウォールフィルターの設定

• ファイアウォールフィルターの一致条件およびアクション(QFXおよびEXシリーズスイッチ)

• ファイアウォールフィルターの一致条件およびアクション(QFX10000スイッチ)

• EXシリーズスイッチ用ファイアウォールフィルターの概要

EVPN VXLAN での Contrail 仮想ネットワークの使用について

ジュニパーネットワークス Contrail 仮想化ソフトウェアは、拡張性に優れた仮想ネットワークの作成を自動化およびオーケストレーションする、SDN(Software Defined Networking)ソリューションです。これらの仮想ネットワークを使用すると、クラウドの力を新しいサービス、ビジネスの俊敏性の向上、収益の増加に活用できます。MX シリーズ ルーターは、Contrail VN(仮想ネットワーク)内のエンド ステーション用にレイヤー 2 とレイヤー 3 の両方の接続を提供するために、EVPN VXLAN を使用できます。

仮想ネットワーク用の Contrail ソフトウェアは、レイヤー 2 とレイヤー 3 の両方の接続を提供します。Contrail を使用すると、可能な場合はレイヤー 2 ブリッジングよりもレイヤー 3 ルーティングが優先されます。レイヤー 3 ルーティングは、Contrail vRouter と物理的な MX シリーズ ルーター間の VRF(仮想ルーティングと転送)テーブルを介して使用されます。MX シリーズ ルーターは、仮想ネットワーク間のレイヤー 3 ゲートウェイ機能を提供します。

Contrail を使用すると、ネットワークに仮想デバイスとベアメタル デバイスの両方が含まれている場合、EVPN-VXLAN を使用できます。

仮想ネットワークでは、2 種類のカプセル化の方法が使用されます。

• MPLS-over-GRE(汎用ルーティング カプセル化)は、Contrail と MX シリーズ ルーター間のレイヤー 3 ルーティングに使用されます。

• EVPN-VXLAN は、レイヤー 2 ドメイン内で、仮想マシンと TOR(トップオブラック)スイッチ(QFX5100 スイッチなど)間のレイヤー 2 接続に使用されます。レイヤー 2 接続では、EVPN によって提供されるマルチホーミング オールアクティブ機能を使用して、コアのトラフィックのロード バランシングを実現します。Junos OS リリース 17.3R1 以降、EX9200 スイッチは、Contrail で EVPN VXLAN もサポートしています。

QFX シリーズのスイッチ上で、EVPN-VXLAN と OVSDB(Open vSwitch データベース)-VXLAN を同時に混在させることはできません。スイッチが「OVSDB-managed」に設定された後、コントローラはすべてのポートが OVSDB により管理されるものとして扱います。

MX シリーズ ルーターおよび EX9200 シリーズ スイッチでの VXLAN アンダーレイに対する EVPN-VXLAN サポート

MX シリーズ ルーターと EX92xx シリーズのスイッチは、VXLAN(仮想拡張 LAN)ゲートウェイをサポートしています。各 VXLAN ゲートウェイは、次の機能をサポートしています。

• 従来のレイヤー 2 ネットワークと VPLS ネットワークのスイッチング機能

• IRB によるインター VXLAN ルーティングと VXLAN 専用ブリッジング ドメイン

• 仮想スイッチ

• VRF 機能を備えた VXLAN

• 設定可能なロードバランシング

• リモート VTEP の統計情報

Junos OS リリース 17.3R1 以降、MX シリーズ ルーターでの EVPN-VXLAN サポートは、IPv6 アンダーレイを使用した VXLAN ゲートウェイ実装に拡張されます。MXシリーズルーターのIPv6アンダーレイを使用して、EVPNタイプ1、タイプ2、タイプ3、タイプ4のルートをサポートします。

IPv6アンダーレイサポートでは、以下のサービスタイプをサポートしています。

• VLAN ベースのサービス

• VLAN バンドル サービス

• ポートベースのサービス

• VLAN 対応サービス

IPv4 と IPv6 の EVPN-VXLAN アンダーレイはどちらも、IP アドレス アドバタイズメントを使用した EVPN タイプ 2 の MAC アドレスと、IP アドレス アドバタイズメントを使用したプロキシ MAC アドレスをサポートしています。

QFX シリーズ スイッチでの VXLAN アンダーレイに対する EVPN-VXLAN のサポート

QFX シリーズ スイッチは、EVPN-VXLAN ネットワークで VXLAN ゲートウェイをサポートします。EVPN-VXLAN をサポートするすべてのデバイスは、VXLAN オーバーレイに IPv4 アンダーレイを使用できます。

QFX シリーズ スイッチ上の EVPN-VXLAN ネットワークの VXLAN オーバーレイ用の IPv6 アンダーレイの設定は、以下のとおりサポートされています。

• スイッチとQFX5120スイッチのQFX10000ライン: Junos OS リリース 21.2R2 および 21.4R1 以降

• QFX5130-32CDおよびQFX5700スイッチの場合: Junos OS Evolvedリリース22.3R1以降

IPv6アンダーレイは、MAC-VRF EVPN インスタンスを使用してのみ設定できます。IPv6 アンダーレイでは、VXLAN パケットの外部 IP ヘッダーは IPv6 ヘッダーであり、VTEP 送信元アドレスを IPv6 アドレスとして設定します。IPv6 アンダーレイのサポートと、IPv6 アンダーレイを使用するように VXLAN ゲートウェイ デバイスを設定する方法については、 IPv6 アンダーレイを使用した EVPN-VXLAN を参照してください。

ACX シリーズ デバイスにおける VXLAN アンダーレイの EVPN-VXLAN サポート

ACX7100-32C、ACX7100-48L、および ACX7024 デバイスでは、VXLAN オーバーレイに IPv4 または IPv6 アンダーレイを使用できます。IPv6アンダーレイは、MAC-VRFルーティングインスタンス(すべてのサービスタイプ)でのみ作成できます。ファブリック内のEVPNインスタンスにまたがるIPv4またはIPv6アンダーレイを設定する必要があります。同じファブリック内で IPv4 と IPv6 のアンダーレイを混在させることはできません。

IPv6アンダーレイを作成するには、 階層で [edit system packet-forwarding-options system-profile] ステートメントを有効にするvxlan-extended必要があります。

IPv6 アンダーレイでは、VXLAN パケットの外部 IP ヘッダーは IPv6 ヘッダーであり、VTEP 送信元アドレスを IPv6 アドレスとして設定します。IPv6 アンダーレイのサポートと、IPv6 アンダーレイを使用するように VXLAN ゲートウェイ デバイスを設定する方法については、 IPv6 アンダーレイを使用した EVPN-VXLAN を参照してください。

このプロファイルを有効にすると、パケット転送エンジンが再起動します。トラフィックが実行されている場合、トラフィックがドロップする可能性があります。

デフォルトのシステム・プロファイルの使用に戻すには、 コマンドを発行します delete system packet-forwarding-options system-profile vxlan-extended 。PFE は、デフォルトのシステムプロファイルに戻すと再起動します。このプロセス中に、実行中のトラフィックがドロップされる可能性があります。

EVPN-VXLAN のパケット形式

EVPN-VXLAN パケットの形式を 図 3 に示します。

図 3: EVPN-VXLAN のパケット形式