Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EVPN-VXLAN環境におけるMACフィルタリング、ストーム制御、ポートミラーリングのサポート

ジュニパーは、イーサネットVPN-仮想拡張LAN(EVPN-VXLAN)オーバーレイネットワークでMACフィルタリング、ストーム制御、ポートミラーリングと分析をサポートしています。

エンタープライズスタイルの設定を使用して、これらの各機能の設定をサポートします。

これらの機能は、EVPN-VXLANエッジルーティングされたブリッジングオーバーレイ(集約型IPファブリックを使用したEVPN-VXLANトポロジー)でのみサポートされます。このオーバーレイ ネットワークには、以下のコンポーネントが含まれています。

  • ジュニパーネットワークススイッチの単一レイヤー(QFX10002やQFX5110スイッチなど)は、それぞれレイヤー3スパインデバイスとレイヤー2リーフデバイスの両方として機能します。

  • シングルホームまたはマルチホームのカスタマーエッジ(CE)デバイスは、スパイン/リーフデバイスにアクティブ/アクティブモードで接続されます。

このトピックには、以下の情報が含まれています。

EVPN-VXLAN環境におけるMACフィルタリング、ストーム制御、ポートミラーリングサポートのメリット

  • MACフィルタリングにより、イングレスCEに面したインターフェイスからパケットをフィルタリングして受信できるため、VXLANのイーサネットスイッチングテーブルとトラフィックに関連するMACアドレスの量を削減できます。

  • ストーム制御により、EVPN-VXLAN インターフェイス上のトラフィック レベルを監視できます。また、指定されたトラフィック レベルを超えた場合は、ブロードキャスト、不明なユニキャスト、マルチキャスト(BUM)パケットを破棄し、一部のジュニパーネットワークス スイッチでは、指定した時間インターフェイスを無効にします。この機能は、過度のトラフィックがネットワークを劣化させるのを防ぐことができます。

  • ポートミラーリングとアナライザを使用すると、EVPN-VXLAN環境のパケットレベルまでトラフィックを分析できます。この機能を使用して、ネットワーク使用とファイル共有に関連するポリシーを適用し、特定のステーションやアプリケーションによる異常または重い帯域幅の使用状況を特定することで、問題の原因を特定できます。

MAC フィルタリング

MAC フィルタリングにより、MAC アドレスをフィルタリングし、トラフィックを受け入れます。この機能は、VXLANカプセル化が通常有効になっていないインターフェイスであるイングレスCEに面したインターフェイスでのみサポートしています。この機能を使用するには、次のことを行う必要があります。

  • 表 1 および表 2 でサポートされている一致条件の 1 つ以上を指定するファイアウォール フィルターを作成します。

  • 階層で設定されたレイヤー2インターフェイスにファイアウォールフィルターを [edit interfaces interface-name unit logical-unit-number family ethernet-switching filter] 適用します。

表 1:QFX5100 および QFX5110 スイッチでサポートされる一致条件

一致条件

インターフェイス入力フィルターのサポート

インターフェイス出力フィルターのサポート

送信元 MAC アドレス

X

X

宛先 MAC アドレス

X

X

ユーザー VLAN ID

X

X

送信元ポート

X

宛先ポート

X

イーサタイプ

X

IP プロトコル

X

IP の優先度

X

ICMP コード

X

TCP フラグ

X

IP アドレス

X

メモ:

Junos OSリリース18.4R1では、QFX5100およびQFX5110スイッチは、インターフェイス上でのみMACフィルタリングをサポートしています。さらに、Junos OS リリース 18.4R2 以降およびそれ以降のリリースでは、QFX5100、QFX5110、QFX5120-48Y、EX4650-48Y スイッチは、VXLAN にマッピングされた VLAN での MAC フィルタリングもサポートしています。Junos OS リリース 22.2 では、QFX10002、QFX10008、QFX10016 デバイスで IPv6 アンダーレイの純粋な IPv6 アンダーレイの Mac フィルタリングとトランジット VNI マッチングをサポートしています。

表 2:QFX10000 スイッチでサポートされる一致条件

一致条件

インターフェイス入力フィルターのサポート

インターフェイス出力フィルターのサポート

送信元 MAC アドレス

X

宛先 MAC アドレス

X

ユーザー VLAN ID

送信元ポート

X

X

宛先ポート

X

X

イーサタイプ

X

X

IP プロトコル

X

IP の優先度

X

X

ICMP コード

X

X

TCP フラグ

X

X

IP アドレス

X

X

メモ:

QFX10000 スイッチで MAC フィルターを設定する場合は、次の事項に留意してください。

  • インターフェイスにのみフィルターを適用できます。VXLAN にマッピングされた VLAN にフィルターを適用することはできません。

  • 同じファイアウォールフィルターで、レイヤー2の一致条件とレイヤー3/レイヤー4の一致条件の混在はサポートしていません。例えば、QFX10002 スイッチ上の同じファイアウォール フィルターに送信元 MAC アドレスと送信元ポート一致条件を含める場合、ファイアウォール フィルターは機能しません。

  • ユーザーVLAN ID一致条件はサポートしていません。したがって、論理インターフェイスをフィルタリングする必要があり、それぞれの論理インターフェイスが特定のVLANにマッピングされている場合、物理インターフェイスと関連する論理インターフェイスを設定する際に、設定のサービスプロバイダースタイルを使用する必要があります。ファイアウォールフィルターを作成した後、各論理インターフェイスにフィルターを適用して、ユーザーVLAN ID一致条件の効果を達成する必要があります。

  • Junos OS リリース 22.2 では、QFX10002、QFX10008、QFX10016 デバイスのレイヤー 3 インターフェイス上のトランジット トラフィックの送信元/宛先 IP 外部ヘッダーに対する VxLAN ネットワーク ID(VNI)マッチングのサポートも実装されています。VNIの一致は、外部ヘッダーのみ、およびイングレストラフィックでのみ行われます。トンネルパケットをルーティングするトランジットデバイスでは、MACフィルタリングは、外部ヘッダーの送信元と宛先IPv6アドレスと共に、外部ヘッダーのVNIの照合を一致条件としてサポートする必要があります。コマンドからの条件に対して、vxlan一致CLIオプション set firewall family inet6 filter の下でVNI一致フィルターを <vxlan [vni <vni-id>]> 使用します。統計情報を表示するには、 show firewall filter コマンドを使用します。

ファイアウォールフィルターを通じて、特定のインターフェイスで許可されるVXLANに関連付けられたMACアドレスを指定します。

メモ:

ファイアウォールフィルターをレイヤー2インターフェイスに適用すると、インターフェイスはデフォルトスイッチインスタンスの下に存在します。

QFX5110スイッチの以下の設定例は、DHCP-Discover-Inという名前のファイアウォールフィルターを作成し、レイヤー2論理インターフェイスxe-0/0/6.0で複数の一致条件(送信元MACアドレス、宛先MACアドレス、宛先ポート、VLAN ID)を満たす受信トラフィックを受け入れてカウントします。

ストーム制御

デフォルトでは、VXLAN に関連付けられているレイヤー 2 インターフェイスでストーム制御が有効になっています。ストーム制御レベルは、BUM トラフィックストリームを組み合わせた 80% に設定されています。

EVPN-VXLAN環境では、以下の違いを除き、VXLANに関連付けられたレイヤー2インターフェイスに、非EVPN-VXLAN環境と同じストーム制御が実装および設定されます。

  • EVPN-VXLAN環境では、ストーム制御モニターするトラフィックタイプは次のとおりです。

    • VXLAN から発信され、同じ VXLAN 内のインターフェイスに転送されるレイヤー 2 BUM トラフィック。

    • VXLAN の IRB(統合型ルーティングおよびブリッジング)インターフェイスによって受信され、別の VXLAN のインターフェイスに転送されるレイヤー 3 マルチキャスト トラフィック。

  • ストーム制御プロファイルを作成した後、 階層にあるイングレスレイヤー2インターフェイスにバインドする [edit interfaces interface-name unit logical-unit-number family ethernet-switching] 必要があります。

    メモ:

    プロファイルをレイヤー2インターフェイスにバインドした後、インターフェイスはデフォルトスイッチインスタンス内に存在します。

  • インターフェイス上のトラフィックストリームが指定されたストーム制御レベルを超えた場合、ジュニパーネットワークススイッチは、レート制限と呼ばれる余分なパケットをドロップします。さらに、EVPN-VXLAN環境のQFX10000スイッチは、 階層レベルの設定ステートメントと 階層レベルの設定ステートメント[edit forwarding-options storm-control-profiles]を使用してaction-shutdown、指定された時間のインターフェイスのrecovery-timeout無効化を[edit interfaces interface-name unit logical-unit-number family ethernet-switching]サポートしています。

    メモ:

    EVPN-VXLAN環境のQFX5100およびQFX5110スイッチは、指定された時間におけるインターフェイスの無効化をサポートしていません。

    メモ:

    QFX5110スイッチでは、インターフェイスに拡張ストーム制御とネイティブアナライザを設定し、ネイティブアナライザに入力としてVxLAN VLANがある場合、そのインターフェイス上のVLANではシャットダウンアクションは機能しません。レート制限は予想通りに機能します。

以下の設定は scp という名前のプロファイルを作成します。このプロファイルは、組み合わせた BUM トラフィック ストリームで使用される帯域幅がレイヤー 2 論理インターフェイス et-0/0/23.0 で 5% を超えた場合、インターフェイスが過剰な BUM トラフィックをドロップすることを指定します。

以下の設定は、 scp という名前のプロファイルを作成します。これは、マルチキャスト トラフィック ストリームで使用される帯域幅(ブロードキャストおよび不明なユニキャスト トラフィック ストリームを除外)がレイヤー 2 論理インターフェイス et-0/0/23.0 で 5% を超えた場合、インターフェイスが過剰なマルチキャスト トラフィックをドロップすることを指定します。

QFX10000スイッチの以下の設定は、以前の設定と同じプロファイルを作成します。ただし、トラフィック ストリームが 5% を超える場合は、マルチキャスト トラフィックを暗示的にドロップするのではなく、以下の設定でインターフェイスを 120 秒間明示的に無効にし、インターフェイスを元に戻します。

ポート ミラーリングとアナライザ

EVPN-VXLAN環境でトラフィックを分析するために、以下のポートミラーリングとアナライザ機能をサポートしています。

  • ローカル ミラーリング

    • インターフェイス上

    • VXLAN 上

  • リモート ミラーリング

    • インターフェイス上

    • VXLAN 上

次のセクションでは、サポートされている機能の詳細について説明し、構成の例を示します。

ローカル ミラーリング

メモ:

ローカルミラーリングは、SPAN(スイッチポートアナライザ)と比較できます。

表 3:ローカル ミラーリングのサポート

ローカル ミラーリングが適用されるエンティティ

トラフィック方向

フィルターベースのサポート

アナライザベースのサポート

CE に面したインターフェイス

イングレス

サポート。

ユース ケース 1: サンプル構成を参照してください。

サポート。

ユース ケース 2: サンプル構成を参照してください。

CE に面したインターフェイス

出口

サポートされていません。

対応。ただし、エグレスミラーリングされたトラフィックは、元のトラフィックのタグとは異なる不正なVLANタグを伝送することがあります。

ユース ケース 3: サンプル構成を参照してください。

IP ファブリックに面したインターフェイス

イングレス

サポート。

サポート。

ユース ケース 4: サンプル構成を参照してください。

IP ファブリックに面したインターフェイス

出口

サポートされていません。

サポート。ただし、ミラーリングの決定はイングレスで行われるので、レイヤー 2 ヘッダーは交換パケットまたはルーテッド パケットと同じにはなりません。ミラーリングされた VXLAN カプセル化パケットには、VXLAN ヘッダーは含まれません。

ユース ケース 5: サンプル構成を参照してください。

VXLAN にマッピングされた VLAN

イングレス

サポート。

CE に面したインターフェイスを介して入るトラフィックに対してのみサポートされます。

ユース ケース 6: サンプル構成を参照してください。

ローカル ミラーリングの設定

Use Case 1: Firewall filter-based

pm1という名前のポートミラーリングインスタンスとファイアウォールフィルターを使用することで、この設定では、論理インターフェイスxe-0/0/8.0を介してVXLAN100に入るレイヤー2トラフィックが、論理インターフェイスxe-0/0/6.0上のアナライザにミラーリングされ、ポートミラーリングインスタンスpm1にミラーリングすることを指定します。

Use Case 2: Analyzer-based

この設定は、 階層レベルで [set forwarding-options] 設定ステートメントをanalyzer使用して、論理インターフェイスxe-0/0/8.0に入るレイヤー2トラフィックが、論理インターフェイスxe-0/0/6.0上のアナライザにミラーリングされていることを指定します。

Use Case 3: Analyzer-based

この設定は、 階層レベルで [set forwarding-options] 設定ステートメントをanalyzer使用して、論理インターフェイスxe-0/0/8.0を出るレイヤー2トラフィックが、論理インターフェイスxe-0/0/6.0上のアナライザにミラーリングされていることを指定します。

Use Case 4: Analyzer-based

この設定は、 階層レベルで [set forwarding-options] 設定ステートメントを使用analyzerして、論理インターフェイスxe-0/0/29.0に入るレイヤー2トラフィックが、論理インターフェイスxe-0/0/6.0上のアナライザにミラーリングされていることを指定します。

Use Case 5: Analyzer-based

この設定は、 階層レベルで [set forwarding-options] 設定ステートメントを使用analyzerして、論理インターフェイスxe-0/0/29.0から出るレイヤー2トラフィックが、論理インターフェイスxe-0/0/6.0上のアナライザにミラーリングされていることを指定します。

Use Case 6: Analyzer-based

この設定は、 階層レベルで [set forwarding-options] 設定ステートメントをanalyzer使用して、VXLAN100という名前のVLANに入り、論理インターフェイスxe-0/0/6.0上のアナライザにミラーリングされるレイヤー2トラフィックを指定します。

リモート ミラーリング

リモート ポート ミラーリングは、出力先が送信元と同じスイッチ上にない場合に使用されます。リモート ミラーリングは、ミラーリングされたトラフィックを 1 つ以上のリモート宛先ホストに配信します。これは、トラブルシューティングや監視のために、データセンター環境でよく使用されます。

EVPN-VXLAN環境では、ソーススイッチのミラーリングされたトラフィックフローがカプセル化され、アンダーレイIPファブリックを介して宛先ホストIPアドレスにトンネリングされます。次のタイプのカプセル化をサポートしています。

  • GRE(一般ルーティングのカプセル化)は、リモート ミラーリングと共に使用され、ルーティング ドメインで分離されたスイッチ間のトラフィックをカプセル化します。EVPN-VXLANオーバーレイでは、GREカプセル化により、IPファブリックを介したリーフデバイス間のミラーリングが可能になります。ミラーリング宛先ホストが、送信元スイッチと同じファブリックの一部であるスイッチに接続されている場合、GRE を使用してリモート ミラーリングを使用します。GRE カプセル化によるリモート ミラーリングは、カプセル化されたリモート SPAN(ERSPAN)と比較できます。

    メモ:

    ACX7100-32CおよびACX7100-48Lプラットフォームでは、ERSPANの比較バージョンはERSPANバージョン2(ERSPAN v2)です。

  • VXLANカプセル化は、送信元と出力先が異なるVNIドメインにある場合、EVPN-VXLANのリモートミラーリングをサポートします。出力先インターフェイスのトラフィックをミラーリングし、VNIにマッピングするために、特定のVXLANを設定する必要があります。VXLANカプセル化によるリモートミラーリングは、リモートSPAN(RSPAN)に匹敵します。

表 4:リモート ミラーリングのサポート

リモート ミラーリングが適用されるエンティティ

トラフィック方向

フィルターベースのサポート

アナライザベースのサポート

CE に面したインターフェイス

イングレス

サポート。

ACX7100ではサポートされていません。

サポート。ユース ケース 1: サンプル構成を参照してください。

ACX7100でサポートされています。ただし、ミラーリングされたパケットにはGREヘッダーが含まれます。

CE に面したインターフェイス

出口

サポートされていません。

サポート。ユース ケース 2: サンプル構成を参照してください。

ACX7100でサポートされています。ただし、ミラーリングされたパケットにはGREヘッダーが含まれます。

IP ファブリックに面したインターフェイス

イングレス

サポート。

ACX7100ではサポートされていません。

サポート。ユース ケース 3: サンプル構成を参照してください。

ACX7100でサポートされています。ただし、ミラーリングされた VXLAN‐カプセル化パケットには、VXLAN ヘッダーと GRE ヘッダーが含まれます。

IP ファブリックに面したインターフェイス

出口

サポートされていません。

サポート。ただし、ミラーリングの決定はイングレスで行われるので、レイヤー 2 ヘッダーは交換パケットまたはルーテッド パケットと同じにはなりません。ユース ケース 4: サンプル構成を参照してください。

メモ:

ミラーリングされたトラフィックには、ネイティブ MAC フレームに 4094 の偽の VLAN ID タグが含まれている場合があります。

ACX7100でサポートされています。ただし、ミラーリングされたパケットにはGREヘッダーが含まれますが、VXLANヘッダーは含まれていません。

VXLAN にマッピングされた VLAN

イングレス

サポート。

ACX7100ではサポートされていません。

CE に面したインターフェイスに入るトラフィックに対してのみサポートされます。ユース ケース 5: サンプル構成を参照してください。

ACX7100ではサポートされていません。

GREカプセル化によるリモートミラーリングの設定

次のサンプル設定は、GREカプセル化を使用したアナライザベースのリモートミラーリング用です。

メモ:

ACX7100でGREカプセル化を使用してリモートアナライザを設定する例については、 例:ESI-LAGインターフェイスでリモートアナライザインスタンスを有効にするを参照してください。

Use Case 1

この設定は、 階層レベルで [set forwarding-options] 設定ステートメントをanalyzer使用することで、論理インターフェイスxe-0/0/8.0に入るレイヤー2トラフィックが、10.9.9.2のIPアドレスを持つリモート論理インターフェイスにミラーリングされていることを指定します。

Use Case 2

この設定は、 階層レベルで [set forwarding-options] 設定ステートメントをanalyzer使用することで、論理インターフェイスxe-0/0/8.0から出るレイヤー2トラフィックが、10.9.9.2のIPアドレスを持つリモート論理インターフェイスにミラーリングされていることを指定します。

Use Case 3

この設定では、 階層レベルで [set forwarding-options] 設定ステートメントをanalyzer使用することで、論理インターフェイスxe-0/0/29.0に入るレイヤー2トラフィックが、10.9.9.2のIPアドレスを持つリモート論理インターフェイスにミラーリングすることを指定します。

Use Case 4

この設定では、 階層レベルで [set forwarding-options] 設定ステートメントをanalyzer使用することで、論理インターフェイスxe-0/0/29.0を出るレイヤー2トラフィックが、IPアドレス10.9.9.2のリモート論理インターフェイスにミラーリングすることを指定します。

Use Case 5

この設定は、 階層レベルで [set forwarding-options] 設定ステートメントをanalyzer使用することで、論理インターフェイスxe-0/0/8.0にマッピングされたVXLAN100に入るレイヤー2トラフィックが、10.9.9.2のIPアドレスを持つリモート論理インターフェイスにミラーリングすることを指定します。

VXLANカプセル化によるリモートミラーリングの設定

アナライザベースの設定

次の設定例は、VXLANカプセル化によるアナライザベースのリモートミラーリングを対象にしています。VLAN100に入るレイヤー2トラフィックは、VNI 1555にマッピングされたリモート出力先VLAN3555にミラーリングされます。

この設定では、宛先 VLAN 上のループバック インターフェイスを使用して、ミラーリングされたパケットをカプセル化します。

  • 宛先インターフェイス xe-0/0/2 は、ループバック インターフェイス xe-0/0/3 に外部で接続されています。

  • 論理インターフェイス xe-0/0/2.0 および xe-0/0/3.0 は、宛先 VLAN3555 のメンバーです。
  • インターフェイスxe-0/0/2.0は、VNIマッピングなしでエンタープライズスタイルで設定され、インターフェイスxe-0/0/3.0は、同じVLAN IDとVNIマッピングを使用してサービスプロバイダースタイルで設定されます。これは、これらのポート間のフラッディングやループを防ぐためです。
  • xe-0/0/2.0では、Mac学習を無効にする必要があります。
メモ:

カプセル化されたパケットがタグ付けされるように、イングレスインターフェイスはトランクモードで設定する必要があります。タグ付きパケットのカプセル化を解除するには、カプセル化解除ノードで コマンドを設定 set protocols l2-learning decapsulate-accept-inner-vlan します。

外部接続を使用する代わりに論理ループバックインターフェイスを設定するには、次のコマンドを使用します。

set interfaces interface-name ether-options loopback

以下の設定例では、インターフェイスxe-0/0/2で論理ループバックを使用しています。

ファイアウォール フィルターベースの構成

以下の設定は、 filter1インターフェイスxe-0/0/34のイングレストラフィックに、 、 のファイアウォールフィルターを適用します。このインターフェイス上のトラフィックイングレスは、宛先 VLAN3555にミラーリングされます。宛先VLANは、 という名前のポートミラーリングインスタンスを使用して定義されます pm1

VNI一致条件を使用したリモートポートミラーリング

QFX10002、QFX10008、QFX10016シリーズスイッチでは、リモートポートミラーリングのトラフィックをフィルタリングする際の一致条件として、VXLANネットワーク識別子(VNI)値を使用できます。この機能は、ネットワーク計画やディープ パケット インスペクション(DPI)などの分析によく使用されます。

リモートポートミラーリング機能は、外部IPv4 GREヘッダーにカプセル化されたターゲットイングレスパケットのコピーを作成し、指定されたリモート宛先に転送します。VNI一致条件のサポートは、VNIに基づいてミラーリングされるパケットを選択し、それらのフローのみがリモートミラーポートに送信されるようにすることを意味します。また、DSCP(差別化されたサービス コード ポイント)値を設定して、優先度の高い配信やベストエフォート型の配信などのフローを優先順位付けすることもできます。IRB(統合型ルーティングおよびブリッジング)インターフェイスは、宛先ミラー ポートとしてサポートされていません。

高レベルでは、VNIに基づくリモートポートミラーリングの手順は、リモートポートミラーリングインスタンスを作成し、ファイアウォールフィルターファミリー内のVNIを促進してVNIを処理し、必要なフィルタールールとアクションを作成し、ファイアウォールポリシーをイングレスインターフェイスに適用することです。また、ミラーリングされたパケットの送信に使用されるインターフェイスにも GRE トンネリングを配置する必要があります。

Remote Port Mirroring on the Basis of VNI Use Case: Sample Configuration

以下のコードサンプルは、VNIに従ってパケットをミラーリングする必要があるJunos CLIの主要な設定を示しています。

  1. リモートポートミラーリングを有効にし、ミラーリングされたパケットの送信先とトラフィックソースを設定します。
  2. ファイアウォールフィルター(ここでは bf_vni_stと呼ばれる)を作成し、このフィルターでVNIをパケット転送モジュールに昇格させます(言い換えれば、このコマンドは、VNI一致条件を最適化するためにフィルター全体を設定します)。
  3. VNI一致条件(このサンプルでは6030)、およびアクション(このサンプルではカウント)を指定するイングレスファイアウォールフィルター(bf_vni_st)を作成します。
  4. ミラーリングするインターフェイスでイングレストラフィックにフィルターを適用します。