Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

IRB 付き EVPN ソリューションの概要

DCSP(データセンターサービスプロバイダ)は、共通の物理ネットワーク上で複数の顧客用のデータセンターをホストします。各顧客(テナントとも呼ばれる)にとって、このサービスは、4094のVLANとすべてのプライベートサブネットに拡張できる本格的なデータセンターのように見えます。災害復旧、高可用性、リソース使用率の最適化のために、DCSPはデータ センター全体の複数のサイトに及ぶのが一般的です。データセンターサービスを導入する際、DCSPは次のような主な課題に直面します。

  • レイヤー2ドメインを複数のデータセンターサイトに拡張する。そのためには、最適なサブネット内トラフィック転送が必要です。

  • 最適なサブネット間トラフィック転送と、仮想マシン(VM)発生時の最適なルーティングをサポートします。

  • 独立した VLAN とサブネット空間を持つ複数のテナントをサポートする。

EVPN(イーサネットVPN)は、前述したすべての課題に対応することを目標としています。

  • EVPNの基本的な機能により、サブネット内のトラフィック転送を最適化できます

  • EVPNの導入にIRB(統合型ルーティングおよびブリッジング)ソリューションを実装することで、最適なサブネット間トラフィック転送が可能になります

  • 仮想スイッチをサポートするEVPNを設定することで、独立したVLANとサブネット空間を持つ複数のテナントが可能になります

以下のセクションでは、EVPN向けIRBソリューションについて説明します。

EVPN IRBソリューションの必要性

EVPN は、IP/MPLS コア ネットワークを介して、単一のレイヤー 2 ドメインに属するさまざまな物理サイトにレイヤー 2 の拡張と相互接続を提供するために使用されるテクノロジです。EVPNを使用するデータセンター環境では、レイヤー2(サブネット内トラフィック)とレイヤー3(サブネット間トラフィック)の両方の転送、および場合によってはテナントのレイヤー3 VPNとの相互運用が必要です。

レイヤー2ソリューションのみでは、トラフィックがローカルの場合でも、サブネット間のトラフィックの最適な転送は行われません。たとえば、両方のサブネットが同じサーバー上にある場合などです。

レイヤー 3 ソリューションのみでは、サブネット内トラフィックに関する次の問題が発生する可能性があります。

  • 重複するMACアドレスが検出されないMACアドレスエイリアシングの問題。

  • TTL 1 を使用してサブネット内のトラフィックを制限するアプリケーションの TTL の問題。

  • レイヤー 2 接続に依存する IPv6 リンクローカル アドレッシングと重複アドレス検出。

  • レイヤー 3 転送は、サブネット ブロードキャストの転送セマンティクスをサポートしていません。

  • レイヤー 2 転送を必要とする非 IP アプリケーションのサポート。

純粋なレイヤー 2 およびレイヤー 3 ソリューションには上記のような欠点があるため、レイヤー 3 VPN の相互運用性や仮想マシン(VM)のモビリティなどの運用上の考慮事項に直面した場合、データ センター環境でレイヤー 2 とレイヤー 3 の両方のトラフィックの最適な転送を組み込んだソリューションが必要とされています。

EVPNベースのIRB(Integrated Routing and Bridging)ソリューションは、データセンター内およびデータセンター間のサブネット内およびサブネット間の両方で、最適なユニキャストおよびマルチキャスト転送を提供します。

EVPN IRB 機能は、レイヤー 2 VPN または VPLS サービスとレイヤー 3 VPN サービスの両方を提供する IP/MPLS ネットワークで運用しているサービス プロバイダが、サービスを拡張してクラウド コンピューティングおよびストレージ サービスを既存の顧客に提供したい場合に役立ちます。

EVPN IRB ソリューションの実装

EVPN IRBソリューションは、以下を提供します。

  • サブネット内(レイヤー 2)トラフィックの最適な転送。

  • サブネット間(レイヤー 3)トラフィックの最適な転送。

  • マルチキャストトラフィックのイングレスレプリケーションのサポート。

  • ネットワークベースおよびホストベースのオーバーレイモデルに対応します。

  • レイヤー 2 とレイヤー 3 の両方のトラフィックで一貫したポリシーベースの転送をサポートします。

  • IRB インターフェイスでの以下のルーティング プロトコルのサポート:

    • BFDの

    • BGP

    • IS-IS

    • OSPF および OSPF バージョン 3

  • シングルアクティブおよびオールアクティブのマルチホーミングをサポート

Junos OSは、EVPNおよびデータセンタークラウドサービスのお客様の個々のニーズを満たすために、EVPN設定の複数のモデルをサポートしています。柔軟性と拡張性を提供するために、特定のEVPNインスタンス内で複数のブリッジ ドメインを定義できます。同様に、1 つ以上の EVPN インスタンスを単一のレイヤー 3 VPN VRF(仮想ルーティングおよび転送)に関連付けることができます。一般に、各データ センター テナントには一意のレイヤー 3 VPN VRF が割り当てられますが、テナントは EVPN インスタンスごとに 1 つ以上の EVPN インスタンスと 1 つ以上のブリッジ ドメインで構成されます。このモデルをサポートするには、設定された各ブリッジ ドメイン(EVPN インスタンスのデフォルト ブリッジ ドメインを含む)に、レイヤー 2 およびレイヤー 3 機能を実行するための IRB インターフェイスが必要です。各ブリッジ ドメインまたは IRB インターフェイスは、VRF 内の一意の IP サブネットにマッピングされます。

手記:

EVPN IRB ソリューションでは、VRF ではなく、IRB インターフェイスをプライマリ インスタンスの inet.0 テーブルに関連付けることができます。

EVPN の IRB でサポートされている主な機能は 2 つあります。

  • ホストMAC-IP同期

    これには以下が含まれます。

    • EVPNでMACアドバタイズルートとともにIPアドレスをアドバタイズします。これは、EVPN MACアドバタイズメントルートのIPフィールドを使用して行われます。

    • 受信側の PE ルーターは、MAC を EVI(EVPN インスタンス)テーブルにインストールし、IP を関連する VRF にインストールします。

  • ゲートウェイMAC-IP同期

    これには以下が含まれます。

    • EVPN 内のすべてのローカル IRB MAC アドレスと IP アドレスをアドバタイズします。これは、EVPN MACアドバタイズルートにデフォルトゲートウェイ拡張コミュニティを含めることで実現されます。

    • 受信側のPEは、ゲートウェイMAC宛のパケットをルーティングするための転送状態を作成し、MACがルートでアドバタイズされたゲートウェイIPに対してプロキシ ARPが実行されます。

図 1 は、2 つのプロバイダー エッジ(PE)デバイス(PE1 と PE2)間のサブネット間トラフィック転送を示しています。各 PE デバイスの IRB1 および IRB2 インターフェイスは異なるサブネットに属していますが、共通の VRF を共有しています。

図 1: サブネット間トラフィック転送 Inter-Subnet Traffic Forwarding

サブネット間のトラフィック転送は、以下のように実行されます。

  1. PE2は、H3-M3とH4-M4をPE1にアドバタイズします。同様に、PE1はPE2にH1-M1とH2-M2の結合をアドバタイズします。

  2. PE1 と PE2 は対応する EVI MAC テーブルに MAC アドレスをインストールしますが、IP ルートは共有 VRF にインストールされます。

  3. アドバタイズするPEデバイスは、IPルートのネクストホップとして設定されます。

  4. H1 が H4 にパケットを送信すると、パケットは PE1 の IRB1 に送信されます。

  5. H4 の IP ルックアップは、PE1 の共有 VRF で行われます。H4 IPのネクストホップはPE2(アドバタイズPE)であるため、IPユニキャストパケットはPE2に送信されます。

  6. PE1はVRFルートの情報に基づいてMACヘッダーを書き換え、PE2はMACルックアップを実行してパケットをH4に転送します。

EVPN IRB ソリューションを実装するメリット

EVPN IRB ソリューションの主な目的は、最適なレイヤー 2 およびレイヤー 3 転送を提供することです。このソリューションは、サブネット間の転送と仮想マシン(VM)のモビリティを効率的に処理するために必要です。VMモビリティとは、VMが既存のMACおよびIPアドレスを維持したまま、同一または異なるデータセンター内にあるサーバーから別のサーバーに移行する機能を指します。サブネット間のトラフィックに最適な転送と効果的な VM モビリティを提供するには、デフォルト ゲートウェイの問題と三角ルーティングの問題という 2 つの問題を解決する必要があります。

Junos OS リリース 17.1R1 以降では、IPv6 アドレスは、近隣検索プロトコル(NDP)を使用して、EVPN との IRB インターフェイスでサポートされています。EVPN での IPv6 サポートに、以下の機能が導入されました。

  • プライマリ ルーティング インスタンスの IRB インターフェイス上の IPv6 アドレス

  • 送信請求 NA メッセージから IPv6 近傍を学習する

  • IRB インターフェイス上の NS および NA パケットは、ネットワーク コアから無効化されます

  • 仮想ゲートウェイ アドレスはレイヤー 3 アドレスとして使用されます

  • IPv6のホストMAC-IP同期

IRB インターフェイスの IPv6 アドレスは、 [edit interfaces irb] 階層レベルで設定できます。

ゲートウェイMACおよびIP同期

EVPN IRB 展開では、VM の IP デフォルト ゲートウェイは、VM がメンバーであるブリッジ ドメインまたは VLAN に対応するプロバイダ エッジ(PE)ルーターの IRB インターフェイスで設定された IP アドレスです。デフォルトゲートウェイの問題は、あるサーバから別のサーバに移動するときにVMがARPテーブルをフラッシュせず、宛先MACアドレスが元のゲートウェイのアドレスに設定されたパケットを送信し続けるために発生します。古いサーバーと新しいサーバーが同じレイヤー 2 ドメインに属していない場合(新しいレイヤー 2 ドメインは現在のデータ センター内または新しいデータ センター内にある可能性があります)、以前に識別されたゲートウェイは最適なゲートウェイでもローカル ゲートウェイでもなくなります。新しいゲートウェイは、リモート PE ルーター上の他のゲートウェイの MAC アドレスを含むパケットを識別し、パケットがローカル ゲートウェイ自体宛てであるかのようにトラフィックを転送する必要があります。少なくとも、この機能では、各 PE ルーターがそのゲートウェイまたは IRB MAC および IP アドレスをネットワーク内の他のすべての PE ルーターにアドバタイズする必要があります。ゲートウェイアドレス交換は、標準のMACルートアドバタイズメッセージ(IPアドレスパラメータを含む)を使用し、そのルートをデフォルトゲートウェイ拡張コミュニティでタグ付けすることで実現でき、リモートPEルーターはゲートウェイMACアドバタイズルートを通常のMACアドバタイズルートと区別できます。

レイヤー3VPNインターワーキング

EVPN IRB ソリューションのデータセンター間の側面には、異なるデータ センターに存在する VM 間のルーティングや、データ センター環境から完全に外部にあるホスト サイトとデータセンター内の VM 間のルーティングが含まれます。このソリューションは、EVPN MACルートアドバタイズメントの機能を利用して、MACアドレスとIPアドレス情報の両方を伝送します。PE ルーターのローカル MAC 学習機能が拡張され、ローカルで学習した MAC アドレスに関連する IP アドレス情報もキャプチャできるようになりました。その IP-MAC アドレス マッピング情報は、通常の EVPN 手順を通じて各 PE ルーターに配布されます。PE ルーターは、このような MAC および IP 情報を受信すると、EVPN インスタンスに MAC ルートをインストールし、その EVPN インスタンスに対応するレイヤー 3 VPN VRF に、関連する IP アドレスのホスト ルートをインストールします。VM が 1 つのデータ センターから別のデータ センターに移動すると、通常の EVPN 手順により、VM が背後に存在する新しい PE ルーターから MAC アドレスと IP アドレスがアドバタイズされます。EVPN に関連付けられた VRF にインストールされたホスト ルートは、その VM 宛てのレイヤー 3 トラフィックを新しい PE ルーターに要請し、送信元、VM が背後にあった以前の PE ルーター、および新しい PE ルーター間の三角ルーティングを回避します。

BGPのスケーラビリティは、多くのホストルートがレイヤー3 VPNに挿入される可能性があるため、データセンター間の三角ルーティング回避ソリューションの潜在的な懸念事項です。前述の方法では、最悪の場合、ローカルのEVPN MAC学習手順またはリモートPEルーターから受信したMACアドバタイズメッセージを通じて学習した各MACアドレスのIPホストルートが存在します。BGPルートターゲットフィルタリングを使用して、そのようなルートの配信を制限できます。

レイヤー3のサブネット間転送手順を使用して、データセンター間の三角ルーティング回避を実装するには、以下の機能要素が必要です。

  1. 送信元ホストは、ローカル PE ルーターの IRB インターフェイスの宛先 MAC と宛先ホストの IP アドレスを持つ独自の送信元 MAC と IP アドレスを使用して IP パケットを送信します。

  2. IRB インターフェイスは、MAC を宛先とするフレームを受信すると、EVPN インスタンスに関連付けられた VRF でレイヤー 3 ルックアップを実行して、パケットのルーティング先を決定します。

  3. VRF では、PE ルーターは、MAC から派生したレイヤー 3 ルートと、以前にリモート PE ルーターから受信した IP EVPN ルートを検出します。そして、宛先MACアドレスは、宛先IPに対応する宛先MACアドレスに変更されます。

  4. その後、パケットは、宛先ホストがメンバーである EVPN インスタンスに対応するラベルを使用して、MPLS を使用して宛先ホストにサービスを提供するリモート PE ルーターに転送されます。

  5. パケットを受信するエグレス PE ルーターは、宛先ホストの MAC のレイヤー 2 ルックアップを実行し、エグレス PE ルーターの IRB インターフェイスを介して、接続されたサブネット上の宛先ホストにパケットを送信します。

  6. イングレス PE ルーターはレイヤー 3 ルーティングを実行しているため、IP TTL はデクリメントされます。

関連資料