プロキシMACアドレスを使用したARPおよびNDP要求
Junos OS リリース 19.1R1 以降、PE デバイスは、ARP または NDP 応答で送信元 MAC アドレスをプロキシ MAC アドレスに置き換えることをサポートしています。PE デバイスが ARP または NDP 要求を受信すると、PE デバイスは MAC-IP アドレス バインディング データベースを検索し、エントリがある場合は、ARP 応答の送信元 MAC アドレスをプロキシ MAC アドレスに置き換えます。
エッジルーテッドブリッジングオーバーレイを備えたEVPNネットワークでは、 irb オプションを使用してプロキシMACアドレスを有効にすることができます。Junos OSは、仮想ゲートウェイのMACアドレスを各リーフデバイスのプロキシMACアドレスとして使用します。仮想ゲートウェイが設定されていない場合、Junos はリーフデバイスのプロキシ MAC アドレスとして IRB MAC アドレスを使用します。
エントリーがエッジルーテッドブリッジングEVPNネットワークのMAC-IPアドレスバインディングデータベースに見つからない場合、ARPリクエストの送信元MACとIPアドレスがIRBインターフェイスのプロキシMACとIPアドレスに置き換えられ、ARPリクエストがフラッディングされます。
エッジルーテッドブリッジングでは、Junosは次の優先順位を使用してプロキシMACアドレスを指定します。
構成された仮想ゲートウェイの MAC アドレス。
自動的に派生した仮想ゲートウェイの MAC アドレス。
設定された IRB MAC アドレス。
仮想ゲートウェイの MAC アドレスも IRB の MAC アドレスも設定されていない場合、物理インターフェイスに基づいて自動的に割り当てられた MAC アドレス。
図 1 は、プロキシー MAC アドレスがエッジルーテッドブリッジングEVPNネットワークにどのように適用されるかを示しています。ARP 要求のイベントのシーケンスは次のとおりです。
ホスト 1 は、ホスト 2 を見つけるために最初の ARP 要求メッセージを送信します。ARP 要求メッセージには、送信元 MAC および IP アドレスとしてホスト 1 の MAC および IP アドレスが含まれます。
デバイス PE1 は、ARP 要求メッセージを受信します。MAC-IP アドレス バインディング データベースに一致するエントリがないため、PE1 は ARP 要求メッセージを流用し、ホスト 1 の MAC アドレスと IP アドレスを IRB インターフェイスの MAC アドレスと IP アドレスに置き換えます。
デバイス PE2 は、ARP 要求メッセージを転送します。
ホスト 2 は、MAC および IP アドレスを含む ARP 応答を送信します。
デバイス PE2 は、ホスト 2 のエントリを MAC-IP アドレス バインディング データベースに追加し、ホスト 2 に EVPN タイプ 2 アドバタイズメント メッセージを送信します。PE1 が EVPN タイプ 2 メッセージを受信すると、ホスト 2 のエントリを MAC-IP アドレス バインディング データベースに追加します。
ARP 要求 1 がタイムアウトし、ホスト 1 が別の ARP 要求メッセージを送信します。
デバイス PE1 は、2 番目の ARP 要求メッセージを受信します。MAC-IPアドレスバインディングデータベースにエントリがあるため、プロキシMACアドレスを持つARPプロキシとして応答します。
一元的にルーティングされたブリッジングオーバーレイを持つEVPNネットワークの場合は、プロキシMACアドレスとして設定されたMACアドレスを割り当てます。リーフに設定されたプロキシMACアドレスは、スパインデバイスまたはゲートウェイ上のIRBの仮想ゲートウェイMACアドレスである必要があります。仮想ゲートウェイの MAC アドレスが設定されていない場合は、集中型ゲートウェイの IRB MAC アドレスを使用するようにプロキシ MAC アドレスを設定します。
エントリーが中央ルーティングされたブリッジングEVPNネットワークのMAC-IPアドレスバインディングデータベースに見つからない場合、送信元MACは設定されたプロキシMACに置き換えられ、送信元IPアドレスは0.0.0.0に設定されます。ARP要求で。 図2 は、ホスト1とホスト2がそれぞれリーフデバイスPE1とPE2に接続されている中央ルーティングブリッジングEVPNネットワークでプロキシMACアドレスがどのように適用されるかを示しています。ARP 要求のイベントのシーケンスは次のとおりです。
ホスト 1 は、ホスト 2 を見つけるために最初の ARP 要求メッセージを送信します。ARP 要求メッセージには、送信元 MAC および IP アドレスとして、ホスト 1 の MAC および IP アドレスが含まれています。
リーフデバイスPE1は、ARP要求メッセージを受信します。MAC-IPアドレスバインディングデータベースに一致するエントリがないため、PE1はARP要求メッセージをフラッディングし、ホスト1の送信元MACアドレスを設定されたプロキシMACアドレスと送信元IPアドレスを0.0.0.0に置き換えます。
リーフデバイスPE2は、ARP要求メッセージを受信して転送します。
ホスト 2 は、MAC および IP アドレスを含む ARP 応答を送信します。
デバイス PE2 は、ホスト 2 のエントリを MAC-IP アドレス バインディング データベースに追加し、ホスト 2 に EVPN タイプ 2 アドバタイズメント メッセージを送信します。PE1 が EVPN タイプ 2 メッセージを受信すると、ホスト 2 のエントリを MAC-IP アドレス バインディング データベースに追加します。
ARP 要求 1 がタイムアウトし、ホスト 1 が別の ARP 要求メッセージを送信します。
デバイス PE1 は、2 番目の ARP 要求メッセージを受信します。MAC-IPアドレスバインディングデータベースにエントリがあるため、プロキシMACアドレスを持つARPプロキシとして応答します。
この機能により、すべての VLAN 間および VLAN 内トラフィックがレイヤー 3 トラフィックとして設定されたゲートウェイに転送され、トラフィックをルーティングできるようになります。
この機能を有効にするには、evpnインスタンスタイプの[edit routing-instances routing-instance-name protocols evpn] 階層に、またはvirtual-switchインスタンスタイプの[edit routing-instances routing-instance-name bridge-domains domain_name] 階層に proxy-mac (irb | proxy-mac-address) ステートメントを含めます。
CE機器がL3ゲートウェイ機器に直接接続されている、エッジルーテッドブリッジングオーバーレイ付きのEVPNネットワークでは、irbオプションを使用してゲートウェイ機器にproxy-macを設定します。
CEデバイスがレイヤー2のみのリーフデバイスを介してL3ゲートウェイデバイスに接続されている、中央ルーティングブリッジングオーバーレイを備えたEVPNネットワークでは、集中型L3ゲートウェイIRBインターフェイスの仮想または物理ゲートウェイMACアドレスをMACアドレスとして使用して、proxy-mac-addressオプションでリーフデバイス上でproxy-macを設定します。
次に、エッジルーテッドブリッジングEVPNネットワークのプロキシMACをサポートするブリッジドメインの設定例を示します。
routing-instances {
VS-1 {
instance-type virtual-switch;
bridge-domains {
bd-110 {
interface ae0.0;
vlan-id 110;
routing-interface irb.5;
proxy-mac {
irb;
}
}
}
}
}
ARP 要求で仮想ゲートウェイまたは IRB MAC アドレスを使用するメリット
この機能を使用すると、設定されたすべてのルーティング インスタンスのすべての VLAN 間および VLAN 内トラフィックが IRB インターフェイスにルーティングされます。これにより、次のことが可能になります。
プライベートVLAN間の通信。
VLAN内およびVLAN間トラフィックの両方に対するゲートウェイでのレイヤー3セキュリティフィルタリング。
MACアドレスのプライバシー。ホストは他のホストのMACアドレスを学習しません。