Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:IRB ソリューションを使用した EVPN の設定

IRB ソリューションを使用した EVPN の概要

データ センター サービス プロバイダ(DCSP)は、共通の物理ネットワーク上で複数の顧客のデータ センターをホストしています。各顧客(テナントとも呼ばれる)にとって、サービスは4094のVLANとすべてのプライベートサブネットに拡張できる本格的なデータセンターのように見えます。災害復旧、高可用性、リソース利用の最適化では、DCSP がデータ センター全体から複数のサイトに広がることは一般的です。データセンターサービスを展開するために、DCSPは以下の主な課題に直面しています。

  • 複数のデータ センター サイトにレイヤー 2 ドメインを拡張します。そのためには、サブネット内トラフィックの転送を最適化する必要があります。

  • 仮想マシン(VM)が発生した場合に、サブネット間の最適なトラフィック転送と最適なルーティングをサポートします。

  • 独立した VLAN およびサブネット スペースを持つ複数のテナントをサポートします。

イーサネットVPN(EVPN)は、上記のすべての課題を処理することを目的としています。

  • 基本的なEVPN機能により、サブネット内トラフィックの転送を最適化できます。

  • 統合型ルーティングおよびブリッジング(IRB)ソリューションを EVPN 導入に実装することで、サブネット間トラフィック転送を最適化

  • 仮想スイッチをサポートするEVPNを設定することで、VLANとサブネットの独立したスペースを持つ複数のテナントが可能

以下のセクションでは、EVPN 向け IRB ソリューションについて説明します。

EVPN IRB ソリューションの必要性

EVPN は、単一のレイヤー 2 ドメインに属する異なる物理サイトに IP/MPLS コア ネットワーク全体でレイヤー 2 の拡張と相互接続を提供するために使用される技術です。EVPN を使用するデータ センター環境では、レイヤー 2(サブネット内トラフィック)とレイヤー 3(サブネット間トラフィック)の両方の転送が必要になり、テナント レイヤー 3 VPN と相互運用される可能性があります。

レイヤー 2 ソリューションのみで、サブネット間トラフィックの最適な転送は行われません。たとえば、トラフィックがローカルの場合(両方のサブネットが同じサーバー上にある場合など)です。

レイヤー 3 ソリューションのみの場合、サブネット内トラフィックに関する以下の問題が発生する可能性があります。

  • 重複する MAC アドレスが検出されない MAC アドレスエイリアシングの問題。

  • TTL 1を使用してサブネット内でトラフィックを閉じ込めるアプリケーションのTTL問題。

  • レイヤー 2 接続に依存する IPv6 リンクローカル アドレッシングと重複アドレス検出。

  • レイヤー 3 転送は、サブネット ブロードキャストの転送セマンティクスをサポートしていません。

  • レイヤー 2 転送を必要とする非 IP アプリケーションのサポート。

前述した純粋なレイヤー 2 およびレイヤー 3 ソリューションの欠点があるため、レイヤー 3 VPN の相互運用性や VM(仮想マシン)のモビリティなどの運用上の考慮事項に直面した場合、データ センター環境にレイヤー 2 およびレイヤー 3 トラフィックの最適な転送を組み込むソリューションが必要です。

EVPNベースのIRB(統合型ルーティングおよびブリッジング)ソリューションは、データセンター内およびデータセンター間のサブネット内およびサブネット間の両方に、最適なユニキャストおよびマルチキャスト転送を提供します。

EVPN IRB 機能は、レイヤー 2 VPN または VPLS サービスと、既存の顧客にクラウド計算とストレージ サービスを提供するためにサービスを拡張したいレイヤー 3 VPN サービスの両方を提供する IP/MPLS ネットワークで動作するサービス プロバイダに役立ちます。

EVPN IRB ソリューションの実装

EVPN IRB ソリューションは、以下を提供します。

  • サブネット内(レイヤー 2)トラフィックの最適な転送。

  • サブネット間(レイヤー 3)トラフィックの最適な転送。

  • マルチキャスト トラフィックのイングレス レプリケーションのサポート。

  • ネットワークベースおよびホストベースのオーバーレイ モデルをサポートします。

  • レイヤー 2 およびレイヤー 3 トラフィックの両方に対して一貫したポリシーベースの転送をサポートします。

  • IRB インターフェイスで次のルーティング プロトコルをサポートします。

    • Bfd

    • Bgp

    • IS-IS

    • OSPF および OSPF バージョン 3

  • 単一アクティブおよび全アクティブマルチホーミングのサポート

Junos OSは、EVPNやデータセンタークラウドサービスのお客様の個々のニーズを満たすために、いくつかのEVPN設定モデルをサポートしています。柔軟性と拡張性を提供するために、特定のEVPNインスタンス内で複数のブリッジドメインを定義できます。同様に、1 つ以上の EVPN インスタンスを単一のレイヤー 3 VPN 仮想ルーティングおよび転送(VRF)に関連付けることができます。一般に、各データセンターのテナントには固有のレイヤー3 VPN VRFが割り当てられますが、テナントはEVPNインスタンスごとに1つ以上のEVPNインスタンスと1つ以上のブリッジドメインで構成できます。このモデルをサポートするために、設定された各ブリッジ ドメイン(EVPN インスタンスのデフォルト ブリッジ ドメインを含む)では、レイヤー 2 およびレイヤー 3 機能を実行するための IRB インターフェイスが必要です。各ブリッジ ドメインまたは IRB インターフェイスは、VRF 内の固有の IP サブネットにマッピングされます。

メモ:

IRB インターフェイスは、EVPN IRB ソリューションの VRF ではなく、プライマリ インスタンス inet.0 テーブルに関連付けることができます。

EVPN では、IRB でサポートされている 2 つの主要な機能があります。

  • ホスト MAC-IP 同期

    これには以下が含まれます。

    • EVPN の MAC アドバタイズルートと共に IP アドレスを広告します。これは、EVPN MACアドバタイズルートでIPフィールドを使用して行われます。

    • 受信 PE ルーターは、EVPN インスタンス(EVI)テーブルに MAC をインストールし、関連する VRF に IP をインストールします。

  • ゲートウェイ MAC-IP 同期

    これには以下が含まれます。

    • EVPN 内のすべてのローカル IRB MAC および IP アドレスをアドバタイズします。これは、EVPN MACアドバタイズルートにデフォルトゲートウェイ拡張コミュニティを含めることで実現されます。

    • 受信 PE は、ゲートウェイ MAC 宛てのパケットをルーティングするための転送状態を作成し、ルートでアドバタイズされた MAC を使用してゲートウェイ IP に対してプロキシ ARP が行われます。

図 1 は、PE1 と PE2 の 2 つのプロバイダ エッジ(PE)デバイス間のサブネット間トラフィック転送を示しています。各 PE デバイス上の IRB1 および IRB2 インターフェイスは異なるサブネットに属しますが、共通の VRF を共有します。

図 1:サブネット間トラフィック転送 Inter-Subnet Traffic Forwarding

サブネット間のトラフィック転送は、以下のように実行されます。

  1. PE2 は、PE1 への H3-M3 および H4-M4 バインディングをアドバタイズします。同様に、PE1 は PE2 に H1-M1 および H2-M2 バインディングをアドバタイズします。

  2. PE1とPE2は、対応するEVI MACテーブルにMACアドレスをインストールしますが、IPルートは共有VRFにインストールされています。

  3. アドバタイズ PE デバイスは、IP ルートのネクスト ホップとして設定されます。

  4. H1 が H4 にパケットを送信すると、パケットは PE1 上の IRB1 に送信されます。

  5. H4 の IP ルックアップは、PE1 上の共有 VRF で行われます。H4 IP のネクスト ホップは PE2(アドバタイズ PE)であるため、IP ユニキャスト パケットが PE2 に送信されます。

  6. PE1 は VRF ルートの情報に基づいて MAC ヘッダーを書き換え、PE2 は MAC ルックアップを実行してパケットを H4 に転送します。

EVPN IRB ソリューションを実装するメリット

EVPN IRB ソリューションの主な目標は、最適なレイヤー 2 およびレイヤー 3 転送を提供することです。このソリューションは、サブネット間の転送や仮想マシン(VM)のモビリティを効率的に処理する必要があります。VMモビリティとは、既存のMACとIPアドレスを保持しながら、同じまたは異なるデータセンター内でVMがサーバー間を移行する機能を指します。サブネット間トラフィックと効果的な VM モビリティに最適な転送を提供するには、デフォルトのゲートウェイの問題と三角ルーティングの問題という 2 つの問題を解決する必要があります。

Junos OS リリース 17.1R1 以降、IPv6 アドレスは、NDP(ネイバー検出プロトコル)を使用して EVPN を使用する IRB インターフェイスでサポートされています。EVPN による IPv6 サポートには、以下の機能が導入されています。

  • プライマリ ルーティング インスタンスの IRB インターフェイス上の IPv6 アドレス

  • 勧誘されたNAメッセージからIPv6の近所を学ぶ

  • IRB インターフェイス上の NS および NA パケットがネットワーク コアから無効になっている

  • 仮想ゲートウェイ アドレスは、レイヤー 3 アドレスとして使用されます。

  • IPv6 のホスト MAC-IP 同期

IRB インターフェイスの IPv6 アドレスは、 [edit interfaces irb] 階層レベルで設定できます。

ゲートウェイ MAC と IP 同期

EVPN IRB 導入環境では、VM の IP デフォルト ゲートウェイは、VM がメンバーであるブリッジ ドメインまたは VLAN に対応する PE(プロバイダ エッジ)ルーターの IRB インターフェイスで設定された IP アドレスです。デフォルト ゲートウェイの問題は、あるサーバーから別のサーバーに移動するときに VM が ARP テーブルをフラッシュせず、宛先 MAC アドレスが元のゲートウェイに設定されたパケットの送信を継続するため発生します。古いサーバーと新しいサーバーが同じレイヤー 2 ドメインに含まれていない場合(新しいレイヤー 2 ドメインが現在のデータ センターまたは新しいデータ センター内にある可能性があります)、以前に特定されたゲートウェイは、最適なゲートウェイやローカル ゲートウェイではなくなります。新しいゲートウェイは、リモート PE ルーター上の他のゲートウェイの MAC アドレスを含むパケットを識別し、パケットがローカル ゲートウェイ自体宛てであるかのようにトラフィックを転送する必要があります。少なくとも、この機能では、各 PE ルーターが、ネットワーク内の他のすべての PE ルーターにゲートウェイまたは IRB MAC および IP アドレスをアドバタイズする必要があります。ゲートウェイアドレス交換は、標準的なMACルートアドバタイズメッセージ(IPアドレスパラメーターを含む)を使用して行い、そのルートをデフォルトゲートウェイ拡張コミュニティでタグ付けすることで、リモートPEルーターがゲートウェイMACアドバタイズルートと通常のMACアドバタイズルートを区別することができます。

レイヤー 3 VPN インターワーキング

EVPN IRB ソリューションのデータ センター間の側面では、異なるデータ センターに存在する VM 間のルーティングや、データ センター環境の完全な外部にあるホスト サイトとデータ センター内の VM 間のルーティングが含まれます。このソリューションは、EVPN MACルートアドバタイズメントの機能に依存して、MACアドレスとIPアドレス情報の両方を伝送します。PE ルーターのローカル MAC 学習機能が拡張され、ローカルで学習された MAC アドレスに関連する IP アドレス情報もキャプチャされます。その IP-MAC アドレス マッピング情報は、通常の EVPN 手順を通じて各 PE ルーターに配布されます。PE ルーターは、このような MAC および IP 情報を受信すると、EVPN インスタンス内の MAC ルートと、その EVPN インスタンスに対応するレイヤー 3 VPN VRF 内の関連 IP アドレスのホスト ルートをインストールします。VM がデータ センター間を移動すると、通常の EVPN 手順により、VM が存在する新しい PE ルーターから MAC アドレスと IP アドレスがアドバタイズされます。EVPN に関連付けられた VRF にインストールされたホスト ルートは、その VM 宛のレイヤー 3 トラフィックを新しい PE ルーターに要求し、ソース、VM が格納されている以前の PE ルーター、および新しい PE ルーター間の三角ルーティングを回避します。

BGPの拡張性は、多くのホストルートをレイヤー3 VPNに挿入する可能性があるため、データセンター間の三角ルーティング回避ソリューションの潜在的な懸念事項です。前述の方法では、最悪の場合、ローカルEVPN MAC学習手順またはリモートPEルーターから受信したMACアドバタイズメッセージを介して学習した各MACアドレスのIPホストルートがあります。BGPルート・ターゲット・フィルタリングを使用して、そのようなルートの配信を制限することができます。

レイヤー3のサブネット間転送手順を使用して、データセンター間の三角ルーティング回避を実装するには、以下の機能要素が必要です。

  1. ソース ホストは、ローカル PE ルーターの IRB インターフェイスの宛先 MAC と宛先ホストの IP アドレスを使用して、独自のソース MAC と IP アドレスを使用して IP パケットを送信します。

  2. IRB インターフェイスは、MAC を宛先とするフレームを受信すると、EVPN インスタンスに関連付けられた VRF でレイヤー 3 ルックアップを実行して、パケットのルーティング場所を決定します。

  3. VRF では、PE ルーターは、MAC から派生したレイヤー 3 ルートと、リモート PE ルーターから受信した IP EVPN ルートを以前に見つけます。宛先 MAC アドレスは、宛先 IP に対応する宛先 MAC アドレスに変更されます。

  4. その後、宛先ホストがメンバーであるEVPNインスタンスに対応するラベルを使用して、MPLSを使用して宛先ホストにサービスを提供するリモートPEルーターにパケットが転送されます。

  5. パケットを受信するエグレス PE ルーターは、宛先ホストの MAC のレイヤー 2 ルックアップを実行し、エグレス PE ルーターの IRB インターフェイスを介して、アタッチされたサブネット上の宛先ホストにパケットを送信します。

  6. イングレスPEルーターはレイヤー3ルーティングを実行しているため、IP TTLはデクリメントされます。

例:IRB ソリューションを使用した EVPN-MPLS の設定

この例では、イーサネットVPN(EVPN)導入でIRB(統合型ルーティングおよびブリッジング)ソリューションを設定する方法を示しています。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • PE ルーターとしての 2 つの MX シリーズ ルーティング プラットフォーム。

  • 2つのカスタマーエッジ(CE)ルーター、それぞれがPEルーターに接続されています。

  • すべての PE ルーターで実行されている Junos OS リリース 14.1 以降。

    • Junos OS リリース 22.1R1 を使用して更新および再検証。

開始する前に、以下を行います。

  1. ルーターインターフェイスを設定します。

  2. OSPFまたはその他のIGPプロトコルを設定します。

  3. BGPを設定します。

  4. RSVP または LDP を設定します。

  5. MPLS を設定します。

概要

EVPN ソリューションでは、特定の EVPN インスタンス内で複数のブリッジ ドメインを定義でき、1 つ以上の EVPN インスタンスを単一のレイヤー 3 VPN VRF に関連付けることができます。一般に、各データセンターのテナントには固有のレイヤー3 VPN仮想ルート転送(VRF)が割り当てられますが、テナントはEVPNインスタンスごとに1つ以上のEVPNインスタンスまたはブリッジドメインで構成できます。

この柔軟性と拡張性の要因をサポートするために、EVPN ソリューションは、MPC FPC を搭載した MX シリーズ ルーター上の IRB インターフェイスをサポートし、最適なレイヤー 2/レイヤー 3 転送と仮想マシン モビリティを促進します。IRB インターフェイスは、EVPN インスタンスのデフォルト ブリッジ ドメインを含め、設定された各ブリッジ ドメインで設定されます。

IRB は、単一ノード内でレイヤー 2 スイッチングとレイヤー 3 ルーティングを実行する機能であり、サブネット間トラフィックに対する余分なホップを回避します。EVPN IRB ソリューションは、ゲートウェイ MAC と IP 同期を使用したデフォルト ゲートウェイの問題をなくし、テナント VRF で仮想マシン(VM)用の IP ホスト ルートを作成することで、レイヤー 3 の連携に関する三角ルーティングの問題を回避します。

トポロジ

図 2 は、IRB ソリューションを使用したシンプルな EVPN トポロジーを示しています。ルーターPE1およびPE2は、各CE1とCE2の2つのカスタマーエッジ(CE)ルーターに接続するプロバイダーエッジルーターです。

図 2:IRB ソリューション EVPN with IRB Solutionを使用した EVPN

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの CLI [edit] にコピー アンド ペーストします。

CE1

PE1

PE2

CE2

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、「 設定モードでの CLI エディターの使用」を参照してください。

PE1を設定するには:

メモ:

適切なインターフェイス名、アドレス、およびその他のパラメーターを変更した後、PE2 に対してこの手順を繰り返します。

  1. PE1 のインターフェイスを設定します。

  2. PE1 のルーター ID と自律システム番号を設定します。

  3. EVPNの連鎖された合成ネクストホップを設定します。

  4. 管理インターフェイスを除く PE1 のすべてのインターフェイスで RSVP を有効にします。

  5. 管理インターフェイスを除く PE1 のすべてのインターフェイスで MPLS を有効にします。PE1 から PE2 へのラベルスイッチ パスを作成します。

  6. PE1 で IBGP の BGP グループを設定します。ループバックアドレスを使用してPE2とピアリングするために、PE1のローカルアドレスとネイバーアドレスを割り当てます。ファミリー inet-vpn unicastevpn signaling ネットワーク層到達可能性情報(NLRI)を含めます。

  7. 管理インターフェイスを除く PE1 のすべてのインターフェイスで OSPF を設定します。OSPFのトラフィック制御を有効にします。OSPF を IGP として使用する RSVP シグナル化 LSP の場合、LSP が立ち上がるためにトラフィック制御を有効にする必要があります。

  8. EVPNルーティングインスタンスを設定します。VLAN識別子、CE1に接続されたインターフェイス、ルーティングインターフェイスとしてのIRBインターフェイス、ルート識別子、evpnaルーティングインスタンスのVRFターゲットを設定します。

  9. VRFルーティングインスタンスを設定します。IRB インターフェイス、ルート識別、VRF ターゲット、vrf ルーティング インスタンスの VRF テーブル ラベルを設定します。

結果

設定モードから、 、show protocolsshow routing-optionsおよび のコマンドをshow interfaces入力して設定をshow routing-instances確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

設定が正しく機能していることを確認します。

ローカル IRB MAC の検証

目的

ローカル IRB MAC が L2ALD から学習されていることを確認します。

アクション

PE1 で、ローカル IRB インターフェイスの MAC アドレスを決定します。

運用モードから、 コマンドを show interfaces irb extensive | match "Current address" 実行します。

運用モードから、 コマンドを show route table evpna.evpn.0 extensive | find 2c:6b:f5:1b:46:f0 実行します。

意味

ローカル IRB インターフェイスのルートは、PE1 の EVPN インスタンス ルート テーブルに表示され、EVPN から学習され、デフォルト ゲートウェイ拡張コミュニティでタグ付けされます。

リモート IRB MAC の検証

目的

リモート IRB MAC が BGP から学習されていることを確認します。

アクション

PE2 で、PE1 からのリモート IRB MAC が学習されていることを確認します。

運用モードから、PE1 で実行されたのと同じ show route table evpna.evpn.0 extensive | find 2c:6b:f5:1b:46:f0 コマンドを実行します。

意味

リモート IRB インターフェイスのルートは、PE2 の EVPN インスタンス ルート テーブルに表示されます。ルートはBGPから学習され、デフォルトゲートウェイ拡張コミュニティでタグ付けされます。

ローカル IRB IP の検証

目的

ローカルIRB IPがRPDによってローカルで学習されていることを確認します。

アクション

PE1 で、ローカル IRB インターフェイスの MAC アドレスと IP アドレスを決定します。

運用モードから、 コマンドを show interfaces irb extensive | match "Current address" 実行します。

運用モードから、 コマンドを show interfaces irb.0 terse | match inet 実行します。

運用モードから、 コマンドを show route table evpna.evpn.0 extensive | find "a8:d0:e5:54:0d:10::10.0.0.251" 実行します。

意味

ローカル IRB インターフェイスの MAC プラス IP ルートは、PE1 の EVPN インスタンス ルート テーブルに表示され、EVPN から学習され、デフォルト ゲートウェイ拡張コミュニティでタグ付けされます。

リモート IRB IP の検証

目的

リモート IRB IP が BGP から学習されていることを確認します。

アクション

ルーターPE2で、PE1からのリモートIRB MACが学習されていることを確認します。

運用モードから、PE1 で実行されたのと同じ show route table evpna.evpn.0 extensive | find 2c:6b:f5:1b:46:f0::172.16.11.254 コマンドを実行します。

意味

リモート IRB インターフェイスの MAC プラス IP ルートは、PE2 の EVPN インスタンス ルート テーブルに表示され、デフォルト ゲートウェイ拡張コミュニティでタグ付けされています。

CE-CE到達可能性の検証

目的

CE1 が CE2 に ping できることを確認します。

アクション

動作モードから、CE1 の コマンドを show route 172.16.22.1 ping CE2 に実行します。

動作モードから、CE1 の コマンドを ping ping CE2 に実行します。

意味

CE1からCE2へのPingに成功しました。

CE-PE到達可能性の検証

目的

CE1 が PE2 に ping できることを確認します。

アクション

運用モードから、PE2 で コマンドを show route table vrf.inet.0 実行します。

運用モードから、CE1 で コマンドを ping 実行し、PE2 の IRB インターフェイスに ping を実行します。

意味

CE1からPE2へのPingは成功しました。

PE-PE の到達可能性の検証

目的

PE1 が PE2 に ping できることを確認します。

アクション

運用モードから、PE1 で コマンドを show route table vrf.inet.0 実行します。

運用モードから、PE1 から コマンドを ping 実行し、PE2 の IRB インターフェイスに ping を実行します。

意味

PE1 から PE2 への Ping は正常です。