例: EVPN VXLAN-QFX5110一VXLANブリッジング オーバーレイで、レイヤー 3 VXLAN スイッチを設定する
EVPN(イーサネット VPN)は、ホスト(物理 [ベアメタル] サーバーと仮想マシン(VM)をネットワーク内の任意の場所に配置し、同じ論理レイヤー 2 オーバーレイ ネットワーク への接続を維持できる コントロール プレーン 技術です。仮想拡張 LAN(VXLAN)は、レイヤー 2 プロトコルのデータ プレーンを作成するトンネリング プロトコルオーバーレイ ネットワーク。
EVPN-VXLAN が一般的に導入されている物理アンダーレイ ネットワークは 、2レイヤーの IP ファブリックで、図 1 に示すスパイン/リーフ デバイスが含まれます。アンダーレイ ネットワークでは、スパイン デバイスがリーフ デバイス間で接続を提供し、リーフ デバイスは仮想サーバー上の接続された物理サーバーおよび VM との接続を提供します。
EVPN-VXLAN一次ルードブリッジオーバーレイ(2層IPファブリックを使用したEVPN-VXLANトポロジー)では、リーフデバイスはVLAN内のトラフィックを処理するレイヤー2 VXLANゲートウェイとして機能し、スパインデバイスは、IRB(統合型ルーティングおよびブリッジング)インターフェイスを使用してVLAN間のトラフィックを処理するレイヤー3 VXLANゲートウェイとして機能します。
Junos OS リリース 17.3R1 以前は、QFX5110 スイッチは一カ所のルート ブリッジング オーバーレイでレイヤー 2 VXLAN ゲートウェイとしてのみ機能し、そのすべてがデータ センター内に導入されます。Junos OS リリース 17.3R1から、QFX5110 スイッチは、一カ国間をルーティングしたブリッジ オーバーレイでレイヤー 3 VXLAN ゲートウェイとして機能することができます。
このトピックでは、一カ部ルーティング ブリッジング オーバーレイQFX5110スパイン デバイスまたはレイヤー 3 VXLAN ゲートウェイとして機能する、スイッチの設定例を示します。この例では、レイヤー 3 ゲートウェイを IRB インターフェイスVXLANデフォルト ゲートウェイを設定する方法を示しています。
要件
この例では、次のハードウェアとソフトウェアのコンポーネントを使用しています。
2 QFX5110 スイッチは、スパイン デバイス(スパイン 1 およびスパイン 2)として機能します。これらのデバイスは、レイヤー 3 ゲートウェイVXLAN提供します。
メモ:この例では、スパイン 1 として機能するQFX5110スイッチの設定に焦点を当てしています。スパイン1では、IP/BGPアンダーレイネットワーク、EVPN-VXLAN オーバーレイ ネットワーク、顧客固有のプロファイル、ルート漏洩に関する基本設定が提供されます。この例では、EVPNベースのネットワークで使用できる機能VXLANではありません。スパイン 1 の設定は、基本的にスパイン 2 の設定のテンプレートとして機能します。スパイン2の設定については、必要に応じて、スパイン1固有の情報をスパイン2固有の情報に置き換え、コマンドを追加できます。
リーフQFX5200機能する 2 つのスイッチ(リーフ 1 およびリーフ 2)。これらのデバイスは、レイヤー 2 ゲートウェイVXLAN提供します。
Junos OS スイッチ17.3R1実行されているソフトウェアのQFX5110以降のソフトウェアのQFX5200リリース。
VLAN v100 の物理サーバーと、VLAN v200 に VM がインストールされている物理サーバーと仮想化サーバー。
概要とトポロジー
この例では、サービス プロバイダが、複数のサイトを持つ ABC Corporation をサポートしています。サイト 100 の物理サーバーは、サイト 200 の物理サーバーおよび VM と通信する必要があります。図 2に示す一方でルーティングされたブリッジオーバーレイでのこの通信を可能にするには、レイヤー 3 VXLAN ゲートウェイまたはスパイン デバイスとして機能する QFX5110 スイッチで、表 1に示す主要なソフトウェア エンティティを設定します。
エンティティ |
スパイン 1 およびスパイン 2 の設定 |
|---|---|
Vlan |
v100 v200 |
VRF インスタンス |
vrf_vlan100 vrf_vlan200 |
IRB インターフェイス |
irb.100 10.3.3.2/24(IRB IP アドレス) 10.3.3.254(仮想ゲートウェイ アドレス) |
irb.200 10.4.4.4/24(IRB IP アドレス) 10.4.4.254(仮想ゲートウェイ アドレス) |
表 1に示す通り、両方のスパイン デバイスで、サイト 100 用 VLAN v100 とサイト 200 用 VLAN v200 を設定します。VLAN v100 と v200 に関連付けられたレイヤー 3 ルートを分離するには、両方のスパイン デバイスで VRF(ルーティングおよび転送)インスタンスvrf_vlan100 および vrf_vlan200 を作成します。VLAN 間でトラフィックをルーティングするには、スパイン デバイス両方で IRB インターフェイス irb.100 と irb.200 を設定し、VRF ルーティング インスタンス vrf_vlan100 を IRB インターフェイス irb.100 と、VRF ルーティング インスタンス vrf_vlan200 を IRB インターフェイス irb.200 に関連付ける必要があります。
QFX5110 スイッチは、一意のインターフェイスを持つ IRB インターフェイスの設定をMAC アドレス。
VLAN v100 および v200 の物理サーバーは仮想化されません。その結果、物理サーバーの VLAN 間トラフィックを処理するデフォルトのレイヤー 3 ゲートウェイとして機能する IRB インターフェイス irb.100 および irb.200 を設定することを強く推奨します。そのため、各 IRB インターフェイスの設定には、各 IRB インターフェイスをデフォルト ゲートウェイとして設定する仮想ゲートウェイ アドレス(VGA)も含まれています。さらに、この例では、各物理サーバーが特定のデフォルト ゲートウェイを使用するように設定されていることを前提にしています。デフォルト ゲートウェイと、中央ルート ブリッジング オーバーレイ内の異なる VLAN で物理サーバー間または別の物理サーバーまたは VM 間の VLAN 間トラフィック フローの一般的な情報については、「 デフォルト レイヤー 3 ゲートウェイを使用した EVPN-VXLAN オーバーレイネットワークでのトラフィックのルーティング 」を参照してください。
IRB インターフェイス用に VGA を設定する場合、IRB の IP アドレスと VGA は異なる必要があります。
eVPN-VXLAN トポロジーで Junos OS リリース 17.3R1 以降のソフトウェアを実行している QFX5110 スイッチがレイヤー 3 VXLAN ゲートウェイおよび DHCP(動的ホスト構成プロトコル)リレーとして機能する場合、IP アドレスの DHCP サーバーの応答時間は最大数分かかる場合があります。DHCP クライアントが受信した後、QFX5110 スイッチに設定された EVPN-VXLAN IRB インターフェイス上で IP アドレスをリリースした後で、DHCP クライアントと IP アドレス間のバインディングが削除されていない場合、応答時間が長く発生することがあります。
表 1 に説明 するように、VLANごとに個別の VRF ルーティング インスタンスが設定されています。この例では、VLAN v100 と v200 のホスト間の通信を有効にし、ルーティング インスタンス vrf_vlan100 用に ルーティング テーブル からユニキャスト ルートをエクスポートし、vrf_vlan200 用にルートを ルーティング テーブル にインポートする方法を示しています。この機能は、ルート漏洩とも呼ばれる機能です。
アンダーレイ ネットワークの基本構成
CLI迅速な設定
基本的なアンダーレイ ネットワークを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンドを階層レベルで CLI にコピー アンド ペースト [edit] します。
set interfaces et-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces et-0/0/1 unit 0 family inet address 10.2.2.1/24 set routing-options router-id 10.2.3.11 set routing-options autonomous-system 64500 set protocols bgp group pe neighbor 10.2.3.12 set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface et-0/0/0.0 set protocols ospf area 0.0.0.0 interface et-0/0/1.0
基本的なアンダーレイ ネットワークの設定
手順
スパイン 1 で基本的なアンダーレイ ネットワークを設定するには、以下の手順に示します。
リーフ デバイスに接続するインターフェイスを設定します。
[edit interfaces] user@switch# set et-0/0/0 unit 0 family inet address 10.1.1.1/24 user@switch# set et-0/0/1 unit 0 family inet address 10.2.2.1/24
スパイン1のルーターIDと自律システム番号を設定します。
[edit routing-options] user@switch# set router-id 10.2.3.11 user@switch# set autonomous-system 64500
スパイン 2 BGPアンダーレイ機能も処理するピアとして構成する必要があります。
[edit protocols] user@switch# set bgp group pe neighbor 10.2.3.12
アンダー OSPFネットワークのルーティング プロトコルとして設定します。
[edit protocols] user@switch# set ospf area 0.0.0.0 interface lo0.0 passive user@switch# set ospf area 0.0.0.0 interface et-0/0/0.0 user@switch# set ospf area 0.0.0.0 interface et-0/0/1.0
基本的な EVPN-VXLAN オーバーレイ ネットワーク構成
CLI迅速な設定
基本 オーバーレイ ネットワーク を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンドを階層レベルで CLI にコピー アンド ペースト [edit] します。
set forwarding-options vxlan-routing interface-num 8192 set forwarding-options vxlan-routing next-hop 16384 set protocols bgp group pe type internal set protocols bgp group pe local-address 10.2.3.11 set protocols bgp group pe family evpn signaling set protocols evpn encapsulation vxlan set protocols evpn extended-vni-list all set protocols evpn default-gateway no-gateway-community set switch-options route-distinguisher 10.2.3.11:1 set switch-options vrf-target target:1111:11 set switch-options vtep-source-interface lo0.0
基本的な EVPN-VXLAN オーバーレイ ネットワークの構成
手順
スパイン 1 で基本的な EVPN-VXLAN オーバーレイ ネットワークを設定するには、次の手順に示します。
EVPN スイッチで使用するために割り当QFX5110する物理インターフェイスとネクスト ホップの数をVXLAN オーバーレイ ネットワーク。
[edit forwarding-options] set vxlan-routing interface-num 8192 set vxlan-routing next-hop 16384
スパイン1と接続されたリーフデバイスの間にIBGPオーバーレイを設定し、スパイン1のローカルIPアドレスを指定し、EVPNシグナリングネットワーク層到達可能性情報(NLRI)をpe BGPグループに含める。
[edit protocols] user@switch# set bgp group pe type internal user@switch# set bgp group pe local-address 10.2.3.11 user@switch# set bgp group pe family evpn signaling
EVPNネイバー間で交換されたデータパケットに対してVXLANカプセル化を設定し、すべてのVXLANネットワーク識別子(VN)が仮想ルーティングおよび転送(VRF)インスタンスの一部として指定します。また、デフォルト ゲートウェイの拡張コミュニティ オプションを使用せずに、IRB インターフェイスの MAC アドレス および対応するデフォルト ゲートウェイの MAC アドレス がレイヤー 2 VXLAN ゲートウェイにアドバタイズされる必要があります。
[edit protocols] user@switch# set evpn encapsulation vxlan user@switch# set evpn extended-vni-list all user@switch# set evpn default-gateway no-gateway-community
VRF ルーティング インスタンスにルートの識別と VRF ターゲットを設定し、インターフェイス lo0 を仮想トンネル エンドポイント(仮想トンネル エンドポイント)に関連付けるスイッチ オプションをVTEP。
[edit switch-options] user@switch# set route-distinguisher 10.2.3.11:1 user@switch# set vrf-target target:1111:11 user@switch# set vtep-source-interface lo0.0
基本的な顧客プロファイルの構成
CLI迅速な設定
ABC Corporation サイト 100 および 200 の基本的な顧客プロファイルを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンドを階層レベルで CLI にコピー アンド ペーストします。 [edit]
set interfaces xe-0/0/32:1 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/32:1 unit 0 family ethernet-switching vlan members v100 set interfaces xe-0/0/32:1 unit 0 family ethernet-switching vlan members v200 set interfaces irb unit 100 family inet address 10.3.3.2/24 virtual-gateway-address 10.3.3.254 set interfaces irb unit 100 proxy-macip-advertisement set interfaces irb unit 200 family inet address 10.4.4.4/24 virtual-gateway-address 10.4.4.254 set interfaces irb unit 200 proxy-macip-advertisement set interfaces lo0 unit 0 family inet address 10.2.3.11/32 primary set interfaces lo0 unit 1 family inet address 10.2.3.24/32 primary set interfaces lo0 unit 2 family inet address 10.2.3.25/32 primary set routing-instances vrf_vlan100 instance-type vrf set routing-instances vrf_vlan100 interface irb.100 set routing-instances vrf_vlan100 interface lo0.1 set routing-instances vrf_vlan100 route-distinguisher 10.2.3.11:2 set routing-instances vrf_vlan100 vrf-import import-inet set routing-instances vrf_vlan100 vrf-export export-inet1 set routing-instances vrf_vlan200 instance-type vrf set routing-instances vrf_vlan200 interface irb.200 set routing-instances vrf_vlan200 interface lo0.2 set routing-instances vrf_vlan200 route-distinguisher 10.2.3.11:3 set routing-instances vrf_vlan200 vrf-import import-inet set routing-instances vrf_vlan200 vrf-export export-inet2 set vlans v100 vlan-id 100 set vlans v100 l3-interface irb.100 set vlans v100 vxlan vni 100 set vlans v200 vlan-id 200 set vlans v200 l3-interface irb.200 set vlans v200 vxlan vni 200
基本的な顧客プロファイルの設定
手順
ABC Corporation サイト 100 および 200 の基本的な顧客プロファイルをスパイン 1 で設定するには、次の手順に示します。
レイヤー 2 インターフェイスを設定し、インターフェイスを VLAN v100 および v200 のメンバーとして指定します。
[edit interfaces] user@switch# set xe-0/0/32:1 unit 0 family ethernet-switching interface-mode trunk user@switch# set xe-0/0/32:1 unit 0 family ethernet-switching vlan members v100 user@switch# set xe-0/0/32:1 unit 0 family ethernet-switching vlan members v200
IRB インターフェイスを作成し、デフォルトのレイヤー 3 仮想ゲートウェイとして機能するインターフェイスを設定します。このインターフェイスは、VLAN v100 の物理サーバーから VLAN v200 内の物理サーバーおよび VM にトラフィックをルーティングし、その逆も同様です。また、IRB インターフェイスでは、レイヤー 2 ゲートウェイに代わって、レイヤー 3 VXLAN ゲートウェイが MAC+IP タイプ 2 ルートをアドバタイズVXLANします。
[edit interfaces] user@switch# set irb unit 100 family inet address 10.3.3.2/24 virtual-gateway-address 10.3.3.254 user@switch# set irb unit 100 proxy-macip-advertisement user@switch# set irb unit 200 family inet address 10.4.4.4/24 virtual-gateway-address 10.4.4.254 user@switch# set irb unit 200 proxy-macip-advertisement
メモ:QFX5110 スイッチは、一意のインターフェイスを持つ IRB インターフェイスの設定をMAC アドレス。
メモ:IRB インターフェイス用に VGA を設定する場合、VGA と IRB の IP アドレスは異なる必要があります。
各 VRF ルーティング インスタンスについて、スパイン 1 のループバック インターフェイス(lo0)と論理ループバック アドレス(lo0. ) x を設定します。
[edit interfaces] user@switch# set lo0 unit 0 family inet address 10.2.3.11/32 primary user@switch# set lo0 unit 1 family inet address 10.2.3.24/32 primary user@switch# set lo0 unit 2 family inet address 10.2.3.25/32 primary
VLAN v100 および v200 の VRF ルーティング インスタンスを設定します。各ルーティング インスタンスでは、IRB インターフェイス、ループバック インターフェイス、およびルートにアタッチされた識別子を関連付します。また、各ルーティング インスタンスが、オーバーレイ ルートを他のルーティング インスタンスの VRF テーブルにエクスポートし、他のルーティング インスタンスの VRF テーブルからオーバーレイ ルートを VRF テーブルにインポートすると指定します。
[edit routing-instances] user@switch# set vrf_vlan100 instance-type vrf user@switch# set vrf_vlan100 interface irb.100 user@switch# set vrf_vlan100 interface lo0.1 user@switch# set vrf_vlan100 route-distinguisher 10.2.3.11:2 user@switch# set vrf_vlan100 vrf-import import-inet user@switch# set vrf_vlan100 vrf-export export-inet1 user@switch# set vrf_vlan200 instance-type vrf user@switch# set vrf_vlan200 interface irb.200 user@switch# set vrf_vlan200 interface lo0.2 user@switch# set vrf_vlan200 route-distinguisher 10.2.3.11:3 user@switch# set vrf_vlan200 vrf-import import-inet user@switch# set vrf_vlan200 vrf-export export-inet2
VLAN v100 と v200 を設定し、IRB インターフェイスと VNI を各 VLAN に関連付ける。
[edit vlans] user@switch# set v100 vlan-id 100 user@switch# set v100 l3-interface irb.100 user@switch# set v100 vxlan vni 100 user@switch# set v200 vlan-id 200 user@switch# set v200 l3-interface irb.200 user@switch# set v200 vxlan vni 200
ルート漏洩設定
手順
CLI迅速な設定
ルート漏洩を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンドを階層レベルで CLI にコピー アンド ペースト [edit] します。
set policy-options policy-statement export-inet1 term 1 from interface irb.100 set policy-options policy-statement export-inet1 term 1 then community add com200 set policy-options policy-statement export-inet1 term 1 then accept set policy-options policy-statement export-inet2 term 1 from interface irb.200 set policy-options policy-statement export-inet2 term 1 then community add com100 set policy-options policy-statement export-inet2 term 1 then accept set policy-options policy-statement import-inet term 1 from community com100 set policy-options policy-statement import-inet term 1 from community com200 set policy-options policy-statement import-inet term 1 then accept set policy-options community com100 members target:1:100 set policy-options community com200 members target:1:200 set routing-instances vrf_vlan100 vrf-import import-inet set routing-instances vrf_vlan100 vrf-export export-inet1 set routing-instances vrf_vlan100 routing-options auto-export family inet unicast set routing-instances vrf_vlan200 vrf-import import-inet set routing-instances vrf_vlan200 vrf-export export-inet2 set routing-instances vrf_vlan200 routing-options auto-export family inet unicast
手順
スパイン 1 でルート 漏洩を設定するには、次の手順に示します。
IRB インターフェイス ルーティング ポリシー irb.100 を介して学習したルートをエクスポートし、このインターフェイス用の ルーティング テーブル にインポートvrf_vlan200。IRB ルーティング ポリシー インターフェイス irb.200 を介して学習したルートがエクスポートされ、このインターフェイス用のインターフェイスにルーティング テーブルインポートvrf_vlan100。
[edit policy-options] user@switch# set policy-statement export-inet1 term 1 from interface irb.100 user@switch# set policy-statement export-inet1 term 1 then community add com200 user@switch# set policy-statement export-inet1 term 1 then accept user@switch# set policy-statement export-inet2 term 1 from interface irb.200 user@switch# set policy-statement export-inet2 term 1 then community add com100 user@switch# set policy-statement export-inet2 term 1 then accept user@switch# set policy-statement import-inet term 1 from community com100 user@switch# set policy-statement import-inet term 1 from community com200 user@switch# set policy-statement import-inet term 1 then accept user@switch# set community com100 members target:1:100 user@switch# set community com200 members target:1:200
VLAN v100 および v200 の VRF ルーティング インスタンスは、ステップ 1 で設定したルーティング ポリシーを適用します。
[edit routing-instances] user@switch# set vrf_vlan100 vrf-import import-inet user@switch# set vrf_vlan100 vrf-export export-inet1 user@switch# set vrf_vlan200 vrf-import import-inet user@switch# set vrf_vlan200 vrf-export export-inet2
ユニキャスト ルートをパスからパスにエクスポートvrf_vlan100 ルーティング テーブル指定vrf_vlan200 ルーティング テーブル、その逆も同様です。
[edit routing-instances] user@switch# set vrf_vlan100 routing-options auto-export family inet unicast user@switch# set vrf_vlan200 routing-options auto-export family inet unicast