VXLAN データ プレーン カプセル化が可能な EVPN について

EVPNを理解する

EVPN(イーサネット VPN)は、IP または IP/MPLS バックボーンネットワークを介して、異なるレイヤー 2 ドメイン間の仮想マルチポイント ブリッジ接続を提供するスタンダードベースの技術です。EVPN インスタンスは、IP VPN や VPLS(仮想プライベート LAN サービス)など他の VPN 技術と同様に、顧客間の論理的なサービスの分離を管理する目的で、PE(プロバイダ エッジ ルーター上で設定します。PE ルーターは、ルーター、スイッチ、ホストなどの CE(カスタマー エッジ)デバイスに接続します。その後、PE ルーターは、MP-BGP(マルチプロトコル BGP)を使用して到達可能な情報を交換し、カプセル化されたトラフィックが PE ルーター間を転送されます。このアーキテクチャの要素は他の VPN 技術と共通のため、 図 1 に示すように、EVPN を既存のサービス環境にシームレスに導入して統合することができます。

EVPN はレイヤー 2 オーバーレイ ソリューションとして使用され、BMS(ベアメタル サーバー)などのエンド ステーションがレイヤー 2 接続を必要とするたびに、仮想ネットワーク内のエンドポイントに IP アンダーレイを介したレイヤー 2 接続を提供します。それ以外の場合、レイヤー 3 ルーティングは Contrail vRouter と MXシリーズ ルーター間の VRF テーブルを介して使用されます。EVPN テクノロジは、オン デマンドで拡張できる柔軟なサービス、マルチテナント機能を提供し、1 つのサービス(レイヤー 2 拡張)に対して異なる物理データ センターのコンピューティング リソースを頻繁に使用します。

EVPN の MP-BGP コントロール プレーンを使用すると、ライブ仮想マシンを 1 つのデータ センターから他のデータ センターに動的に移動できます(これは VM(仮想マシン)モーションとも呼ばれます)。VM を移動先のサーバーやハイパーバイザーに移動すると、gratuitous ARP が送信され、移動先のデータ センターにある PE デバイスのレイヤー 2 転送テーブルが更新されます。その後、PE デバイスは MAC ルートの更新情報をすべてのリモート PE デバイスに送信し、それにより転送テーブルが更新されます。EVPN は、VM の動きを追跡します。これは、MAC モビリティとも呼ばれます。

また、EVPN は、MAC フラッピングを検知して停止するメカニズムも備えており、すべてのアクティブなマルチホーム トポロジーにおいてブロードキャスト、未知のユニキャスト、マルチキャスト(BUM)トラフィックがループするのを防ぎます。

この EVPN テクノロジには、レイヤー 3 MPLS VPN と同様に、IP/MPLS コアを使用したルーティング MAC アドレスの概念も含まれています。EVPN には、以下のメリットがあります。

• アクティブなマルチホーム エッジ デバイスに対応

• エイリアシング

• 迅速なコンバージェンス

• デュアルアクティブ リンク間のロード バランシング

• MAC アドレスのモビリティ

• マルチテナント

また、EVPN では以下の技術を使用しています。

• マルチホーミング は、アクセス リンクまたは PE ルーティング デバイスのいずれかに障害が発生した場合に冗長性を提供します。いずれの場合も、残っているアクティブ リンクを介して、CE デバイスから PE ルーターに向かってトラフィックがフローされます。逆方向のトラフィックの場合、リモート PE ルーターは転送テーブルを更新して、マルチホーム イーサネット セグメントに接続された、残っているアクティブ PE ルーターにトラフィックを送信します。EVPN は、トラフィックの復元までの時間を短縮できる、迅速なコンバージェンス メカニズムを提供します。そのため、この調整にかかる時間は、PE ルーターが学習する MAC(メディア アクセス制御)アドレスの数に依存しません。すべてアクティブなマルチホーミングにより、CE デバイスは 2 台以上の PE ルーターに接続でき、デバイス間のすべてのリンクを使用してトラフィックが転送されます。このマルチホーミングにより、CE デバイスで複数の PE ルーターへのトラフィックのロードバランシングが可能になります。さらに重要なのは、マルチホーミングにより、リモート PE ルーターからコア ネットワーク全体のマルチホーム PE ルーターへのトラフィックのロードバランシングが可能になることです。データ センター間のトラフィック フローのこのロードバランシングを エイリアシングと呼びます。これにより、異なる信号が区別できなくなり、互いのエイリアスとなります。エイリアシングは、デジタル オーディオとデジタル画像で使用されます。

• スプリット ホライズン により、ネットワーク内のブロードキャスト、不明なユニキャスト、マルチキャスト(BUM)トラフィックのループが回避されます。スプリット ホライズンの基本原則はシンプルで、特定のパケットのルーティングに関する情報が、受信した方向に送り返されることはありません。

• ローカル リンク バイアス は、ローカル リンクを使用して、同じバーチャルシャーシまたは VCF 内のさまざまなメンバー スイッチ上のメンバー リンクで構成された LAG(リンク アグリゲーション グループ)バンドルを持つ、バーチャルシャーシまたは VCF(バーチャルシャーシファブリック)から送信されるユニキャスト トラフィックを転送することで、帯域幅を節約します。ローカル リンクは、トラフィックを受信したメンバー スイッチ上にある LAG バンドル内のメンバー リンクです。

• VXLAN カプセル化が可能な EVPN は、レイヤー 2 ドメイン内で、仮想マシンと TOR(トップオブラック)のスイッチ(QFX5100 スイッチなど)間のレイヤー 2 接続に使用されます。

Contrail を使用して、MXシリーズルーターをレイヤー2またはレイヤー3 VXLANゲートウェイとしてプロビジョニングできます。MXシリーズルーターは、ルーティング、スイッチング、セキュリティデバイスの設定情報を要求して変更するためにクライアントアプリケーションが使用するXMLベースのプロトコルであるNETCONF XML管理プロトコルを実装します。NETCONF XML 管理プロトコルは、設定データとリモート プロシージャ コールに XML ベースのデータ エンコーディングを使用します。NETCONF プロトコルは、CLI(コマンドライン インターフェイス)の設定モード コマンドに相当する基本操作を定義します。設定ステートメントの表示、編集、コミットを行うのに、管理者が CLI 設定モード コマンドを使用して操作するのと同様に、アプリケーションはこれらの操作にプロトコル オペレーションを使用します。

VXLANを理解する

VXLAN(仮想拡張 LAN)は、レイヤー 2 のネットワーク アドレス スペースを 4,000 から 1,600 万に拡張するオーバーレイ スキームを導入し、主に VLAN ベースの環境で見られる拡張性の問題を解決します。

ネットワーク オーバーレイは、物理ネットワーク上でトラフィックをカプセル化し、トラフィックをトンネリングすることによって作成されます。データ センターでは、数多くのトンネリング プロトコルを使用してネットワーク オーバーレイを作成できます。最も一般的なプロトコルは VXLAN です。VXLAN トンネリング プロトコルは、レイヤー 3 UDP パケットのレイヤー 2 イーサネット フレームをカプセル化します。このカプセル化により、物理レイヤー 3 ネットワークに広がる仮想レイヤー 2 サブネットまたはセグメントを作成することができます。

VXLAN オーバーレイネットワークでは、VNI(VXLAN のネットワーク識別子)により、各レイヤー 2 サブネットまたはセグメントを一意に識別できます。VNI セグメントは、IEEE 802.1Q VLAN ID セグメントのトラフィックと同じ方法でトラフィックを送信します。VLAN と同様に、同じ VNI 上の仮想マシンは相互に直接通信できますが、異なる VNI 上の仮想マシンは相互に通信するためにルーターを必要とします。

カプセル化とカプセル化解除を実行するエンティティは、VXLANトンネルエンドポイント(VTEP)と呼ばれます。物理ネットワークでは、レイヤー 2 またはレイヤー 3 VXLAN ゲートウェイとして機能するジュニパーネットワークスのデバイスを使用して、データパケットをカプセル化、カプセル化解除できます。このタイプのVTEPは、ハードウェアVTEPとして知られています。仮想ネットワークでは、VTEP は、KVM(カーネルベースの仮想マシン)ホストなどのハイパーバイザー ホストに配置できます。このタイプのVTEPは、ソフトウェアVTEPとして知られています。

各 VTEP には 2 つのインターフェイスがあります。

• 1 つ目のインターフェイスは、ホスト内の仮想マシンと接続し、ローカル LAN セグメント上の VM 間の通信を提供するスイッチング インターフェイスです。

• もう 1 つは、レイヤー 3 ネットワークに接続する IP インターフェイスです。

各 VTEP は、VTEP 間の UDP パケットをルーティングするために使用する固有の IP アドレスを持っています。たとえば、VTEP1 が VM1 から VM3 へのイーサネット フレームを受信した場合、VTEP のパケット送信先について、VNI と宛先 MAC を使って転送テーブルを検索します。その後、VNI が含まれる VXLAN ヘッダーをイーサネット フレームに追加し、そのフレームをレイヤー 3 UDP パケットにカプセル化し、そのパケットをレイヤー 3 ネットワーク上で VTEP2 にルーティングします。VTEP2 が元のイーサネット フレームをカプセル化解除し、それを VM3 に転送します。VM1 と VM3 は、VXLAN トンネルおよび VXLAN 間のレイヤー 3 ネットワークを検知できません。

EVPN-VXLAN の統合の概要

VXLAN では、レイヤー 2 ネットワークをレイヤー 3 ネットワーク上にオーバーレイするためのトンネリング スキームを定めています。このトンネリング スキームでは、トンネリングに UDP/IP カプセル化を使用し、ユニキャストおよびマルチキャスト トラフィックのマルチパス機能をサポートすることで、イーサネット フレームを最適に転送できます。また、主にデータ センター内のサイト接続に使用されます。

EVPN の固有の特性は、PE ルーター間の MAC アドレス学習がコントロール プレーンで行われるということです。ローカル PE ルーターは CE デバイスから新しい MAC アドレスを検出し、その後 MP-BGP を使用して、そのアドレスをすべてのリモート PE ルーターにアドバタイズします。この方法は、データ プレーンに集まる不明なユニキャストによって学習する、VPLS などの既存のレイヤー 2 VPN ソリューションとは異なります。このコントロール プレーン MAC 学習方法は、EVPN が提供する数多くの便利な機能を実現する鍵となるものです。

MAC 学習はコントロール プレーンで処理されるため、EVPN は PE ルーター間のさまざまなデータ プレーン カプセル化技術に柔軟に対応できます。すべてのバックボーンネットワーク(特にエンタープライズネットワーク)でMPLSが稼働しているとは限らないため、この柔軟性は重要です。

EVPN は、クラウドと仮想化サービスを提供する目的でデータ センターを構築しているネットワーク事業者が直面する多くの課題に対応できます。EVPN の主な用途は、DCI(データセンターの相互接続)です。これは、アプリケーション トラフィックをエンド ユーザーに配信するパフォーマンスの向上や災害復旧のために、複数のデータ センター間のレイヤー 2 接続を拡張することを指します。

さまざまな DCI 技術が利用できますが、EVPN は、アクティブ/アクティブ冗長化、エイリアシング、mass MAC withdrawal などの独自の機能を備えている点で、他の MPLS 技術よりも優れています。結果として、DCI 向けのソリューションを提供するため、VXLAN は EVPN と統合されています。

図 2 に示すように、各 VXLAN は MPLS または IP コアに接続されており、IGP(内部ゲートウェイ プロトコル)コントロール プレーンの独立したインスタンスを実行します。各 PE ルーターは、VXLAN の IGP コントロール プレーン インスタンスに参加しています。各顧客はデータ センターであるため、VXLAN アンダーレイ用に固有の仮想ルーターを備えています。

各 PE ノードは、VNI(VXLAN ネットワーク識別子)がブリッジ ドメインまたは VLAN にマッピングされている VXLAN データ プレーン カプセル化を終了できます。PE ルーターは、VXLAN から受信したトラフィックについて、データ プレーンの学習を実行します。

各 PE ノードは EVPN を実装して、VXLAN トンネルを介して学習したクライアント MAC アドレスを BGP に分散させます。各 PE ノードは、MPLS コアを介してパケットを送信する際には MPLS を使用して、また VXLAN ネットワークを介してパケットを送信する際には VXLAN トンネル ヘッダーを使用して、VXLAN またはイーサネット フレームをカプセル化します。

EVPN-VXLAN のファイアウォール フィルタリングとポリシングのサポート

VXLAN に適用する各ファイアウォール フィルターについて、レイヤー 2(イーサネット)パケットをフィルタリングする family ethernet-switching を指定するか、IRB インターフェイスでフィルタリングする family inet を指定します。IRB インターフェイスは、1 レイヤーまたは 2 レイヤーの IP ファブリック トポロジーの VXLAN を接続するためのレイヤー 3 ルーティング インターフェイスとして機能します。次の制限が適用されます。

• フィルタリングとポリシングは、VXLAN トランジット トラフィックではサポートされていません。

• エグレス VTEP デバイスでの VNI でのファイアウォール フィルタリングはサポートされていません。

• エグレス VTEP デバイスでの VNI でのポリシングはサポートされていません。

• VXLAN ヘッダー フィールドに対する一致条件はサポートされていません。

手記：

EVPN-VXLANファイアウォールフィルターは、VTEP(VXLANトンネルエンドポイント)によってVXLANヘッダーが削除された後、インターフェイス上で設定されます。

ファイアウォールフィルター、一致条件、およびアクションの設定の詳細については、以下を参照してください。

• ファイアウォールフィルターの設定

• ファイアウォールフィルターの一致条件とアクション(QFXおよびEXシリーズスイッチ)

• ファイアウォールフィルターの一致条件とアクション(QFX10000スイッチ)

• EXシリーズスイッチ用ファイアウォールフィルターの概要

EVPN VXLAN での Contrail 仮想ネットワークの使用について

ジュニパーネットワークス Contrail 仮想化ソフトウェアは、拡張性に優れた仮想ネットワークの作成を自動化およびオーケストレーションする、SDN(Software Defined ネットワーク)ソリューションです。こうした仮想ネットワークでは、クラウドの力を活用して、新しいサービス、ビジネスの俊敏性の向上、収益の増加に対応できます。MXシリーズルーターは、EVPN-VXLANを使用して、Contrail仮想ネットワーク(VN)内のエンドステーションにレイヤー2とレイヤー3の両方の接続を提供できます。

仮想ネットワーク用の Contrail ソフトウェアは、レイヤー 2 とレイヤー 3 の両方の接続を提供します。Contrail を使用すると、可能な場合はレイヤー 2 ブリッジングよりもレイヤー 3 ルーティングが優先されます。レイヤー 3 ルーティングは、Contrail vRouter と物理的な MXシリーズ ルーター間の VRF(仮想ルーティングと転送)テーブルを介して使用されます。MXシリーズ ルーターは、仮想ネットワーク間のレイヤー 3 ゲートウェイ機能を提供します。

Contrail を使用すると、ネットワークに仮想デバイスとベアメタル デバイスの両方が含まれている場合、EVPN-VXLAN を使用できます。

仮想ネットワークでは、2 種類のカプセル化の方法が使用されます。

• MPLS-over-GRE(汎用ルーティング カプセル化)は、Contrail と MXシリーズ ルーター間のレイヤー 3 ルーティングに使用されます。

• EVPN-VXLAN は、レイヤー 2 ドメイン内で、仮想マシンと TOR(トップオブラック)のスイッチ(QFX5100 スイッチなど)間のレイヤー 2 接続に使用されます。レイヤー 2 接続では、EVPN によって提供されるマルチホーミング オールアクティブ機能を使用して、コアのトラフィックのロードバランシングを実現します。Junos OS リリース 17.3R1 以降、EX9200 スイッチは Contrail で EVPN VXLAN もサポートしています。

手記：

MPLSコアはスイッチではサポートされていません。MXシリーズルーターのみがこの機能をサポートしています。

QFXシリーズ スイッチ上で、EVPN-VXLANとOVSDB(Open vSwitch Database)-VXLANを同時に混在させることはできません。スイッチが「OVSDB-managed」に設定された後、コントローラはすべてのポートが OVSDB により管理されるものとして扱います。

MXシリーズルーターとEX9200シリーズスイッチでのVXLANアンダーレイをサポートするEVPN-VXLAN

MXシリーズルーターとEX92xxシリーズのスイッチは、VXLAN(仮想拡張LAN)ゲートウェイをサポートしています。各 VXLAN ゲートウェイは、次の機能をサポートしています。

• 従来のレイヤー 2 ネットワークと VPLS ネットワークのスイッチング機能

• IRB によるインター VXLAN ルーティングと VXLAN 専用ブリッジング ドメイン

• 仮想スイッチ

• VRF 機能を備えた VXLAN

• 設定可能なロードバランシング

• リモート VTEP の統計

Junos OS リリース 17.3R1 以降、MXシリーズ ルーターでの EVPN-VXLAN サポートは、IPv6 アンダーレイを使用した VXLAN ゲートウェイ実装に拡張されています。MXシリーズルーターでは、IPv6アンダーレイを備えたEVPNタイプ1、タイプ2、タイプ3、タイプ4のルートをサポートしています。

IPv6 アンダーレイ サポートでは、以下のサービス タイプをサポートしています。

• VLAN ベースのサービス

• VLAN バンドル サービス

• ポートベースのサービス

• VLAN 対応サービス

IPv4 と IPv6 の EVPN-VXLAN アンダーレイはどちらも、IP アドレス アドバタイズメントを使用した EVPN タイプ 2 MAC アドレスと、IP アドレス アドバタイズメントを使用したプロキシ MAC アドレスをサポートしています。

QFXシリーズスイッチでのVXLANアンダーレイに対するEVPN-VXLANサポート

QFXシリーズスイッチは、EVPN-VXLANネットワークでVXLANゲートウェイをサポートします。EVPN-VXLAN をサポートするすべてのデバイスは、VXLAN オーバーレイに IPv4 アンダーレイを使用できます。

また、QFXシリーズスイッチ上のEVPN-VXLANネットワークにおけるVXLANオーバーレイ用のIPv6アンダーレイの設定もサポートしています。IPv6 アンダーレイは、MAC-VRF EVPN インスタンスを使用してのみ設定できます。IPv6 アンダーレイでは、VXLAN パケットの外側の IP ヘッダーが IPv6 ヘッダーであり、VTEP 送信元アドレスを IPv6 アドレスとして設定します。IPv6 アンダーレイのサポートと、IPv6 アンダーレイを使用するように VXLAN ゲートウェイ デバイスを設定する方法については、 IPv6 アンダーレイを使用した EVPN-VXLAN を参照してください。

ACXシリーズデバイスでのVXLANアンダーレイに対するEVPN-VXLANサポート

ACX7100-32C、ACX7100-48L、および ACX7024 デバイスは、VXLAN オーバーレイに IPv4 または IPv6 アンダーレイを使用できます。IPv6 アンダーレイは、MAC-VRF ルーティング インスタンス(すべてのサービス タイプ)でのみ作成できます。ファブリック内のEVPNインスタンス間で、IPv4またはIPv6アンダーレイを設定する必要があります。同じファブリックに IPv4 と IPv6 アンダーレイを混在させることはできません。

IPv6 アンダーレイを作成するには、[edit system packet-forwarding-options system-profile]階層で vxlan-extended ステートメントを有効にする必要があります。

IPv6 アンダーレイでは、VXLAN パケットの外側の IP ヘッダーが IPv6 ヘッダーであり、VTEP 送信元アドレスを IPv6 アドレスとして設定します。IPv6 アンダーレイのサポートと、IPv6 アンダーレイを使用するように VXLAN ゲートウェイ デバイスを設定する方法については、 IPv6 アンダーレイを使用した EVPN-VXLAN を参照してください。

このプロファイルを有効にすると、パケット転送エンジンが再起動します。トラフィックが実行されている場合、トラフィックがドロップする可能性があります。

デフォルトのシステムプロファイルの使用に戻るには、 delete system packet-forwarding-options system-profile vxlan-extended コマンドを発行します。デフォルトのシステム プロファイルに戻すと、PFE が再起動します。このプロセス中に、実行中のトラフィックがすべてドロップされる可能性があります。

EVPN-VXLAN のパケット形式

EVPN-VXLAN のパケット形式を 図 3 に示します。