プロキシMACアドレスを使用したARPおよびNDPリクエスト
Junos OS リリース 19.1R1 以降、PE デバイスは、ARP または NDP 応答で送信元 MAC アドレスをプロキシ MAC アドレスに置き換えることをサポートしています。PE デバイスが ARP または NDP 要求を受信すると、PE デバイスは MAC-IP アドレス バインディング データベースを検索し、エントリーがある場合は、ARP 応答の送信元 MAC アドレスをプロキシ MAC アドレスに置き換えます。
エッジルーテッド ブリッジング オーバーレイを備えた EVPN ネットワークでは、 irb オプションを使用してプロキシ MAC アドレスを有効にできます。Junos OSは、各リーフデバイスのプロキシMACアドレスとして仮想ゲートウェイMACアドレスを使用します。仮想ゲートウェイが設定されていない場合、Junos はリーフ デバイスのプロキシ MAC アドレスとして IRB の MAC アドレスを使用します。
エッジルーテッド ブリッジング EVPN ネットワークの MAC-IP アドレス バインディング データベースにエントリーが見つからない場合、ARP リクエストの送信元 MAC アドレスと IP アドレスが IRB インターフェイスのプロキシ MAC アドレスと IP アドレスに置き換えられ、ARP リクエストがあふれます。
エッジルーテッドブリッジングでは、Junosは以下の優先順位を使用してプロキシMACアドレスを指定します。
構成済みの仮想ゲートウェイの MAC アドレス。
自動的に派生した仮想ゲートウェイの MAC アドレス。
設定済みの IRB MAC アドレス。
仮想ゲートウェイのMACアドレスもIRB MACアドレスも設定されていない場合、物理インターフェイスに基づいて自動的に割り当てられるMACアドレス。
図 1 は、プロキシ MAC アドレスがエッジルーテッド ブリッジング EVPN ネットワークにどのように適用されるかを示しています。ARP 要求のイベントの順序は次のとおりです。
ホスト 1 は、最初の ARP 要求メッセージを送信してホスト 2 を見つけます。ARP 要求メッセージには、送信元 MAC および IP アドレスとしてホスト 1 の MAC アドレスと IP アドレスが含まれています。
デバイス PE1 が ARP 要求メッセージを受信します。MAC-IP アドレス バインディング データベースに一致するエントリがないため、PE1 は ARP 要求メッセージを割り当て、ホスト 1 の MAC アドレスと IP アドレスを IRB インターフェイスの MAC アドレスと IP アドレスに置き換えます。
デバイス PE2 は、ARP 要求メッセージを転送します。
ホスト 2 は、MAC アドレスと IP アドレスを含む ARP 応答を送信します。
デバイス PE2 は、ホスト 2 のエントリーを MAC-IP アドレス バインディング データベースに追加し、ホスト 2 の EVPN タイプ 2 アドバタイズ メッセージを送信します。PE1がEVPNタイプ2メッセージを受信すると、ホスト2のエントリをMAC-IPアドレスバインディングデータベースに追加します。
ARP 要求 1 がタイムアウトし、ホスト 1 が別の ARP 要求メッセージを送信します。
デバイス PE1 は、2 番目の ARP 要求メッセージを受信します。MAC-IP アドレス バインディング データベースにエントリがあるため、ARP プロキシとしてプロキシ MAC アドレスで応答します。
でのプロキシ MAC ARP 要求
Centrally-Routed Bridging オーバーレイを備えたEVPNネットワークでは、設定済みのMACアドレスをプロキシMACアドレスとして割り当てます。リーフで設定するプロキシ MAC アドレスは、スパインデバイスまたはゲートウェイ上の IRB の仮想ゲートウェイ MAC アドレスである必要があります。仮想ゲートウェイの MAC アドレスが設定されていない場合は、集中型ゲートウェイの IRB MAC アドレスを使用するようにプロキシ MAC アドレスを設定します。
中央ルーティングされたブリッジングEVPNネットワークのMAC-IPアドレスバインディングデータベースにエントリーが見つからない場合、送信元MACは設定されたプロキシMACに置き換えられ、送信元IPアドレスは0.0.0.0に設定されます。ARP要求に含めます。 図 2 は、ホスト 1 とホスト 2 がそれぞれリーフ デバイス PE1 と PE2 に接続されている中央ルーティングされたブリッジング EVPN ネットワークでプロキシ MAC アドレスがどのように適用されるかを示しています。ARP 要求のイベントの順序は次のとおりです。
でのプロキシ MAC ARP 要求
ホスト 1 は、最初の ARP 要求メッセージを送信してホスト 2 を見つけます。ARP 要求メッセージには、送信元 MAC および IP アドレスとしてホスト 1 の MAC および IP アドレスが含まれています。
リーフデバイスPE1がARPリクエストメッセージを受信します。MAC-IPアドレスバインディングデータベースに一致するエントリがないため、PE1はARPリクエストメッセージをフラッディングし、ホスト1の送信元MACアドレスを設定されたプロキシMACアドレスと0.0.0.0への送信元IPアドレスに置き換えます。
リーフデバイスPE2は、ARPリクエストメッセージを受信して転送します。
ホスト 2 は、MAC アドレスと IP アドレスを含む ARP 応答を送信します。
デバイス PE2 は、ホスト 2 のエントリーを MAC-IP アドレス バインディング データベースに追加し、ホスト 2 の EVPN タイプ 2 アドバタイズ メッセージを送信します。PE1がEVPNタイプ2メッセージを受信すると、ホスト2のエントリをMAC-IPアドレスバインディングデータベースに追加します。
ARP 要求 1 がタイムアウトし、ホスト 1 が別の ARP 要求メッセージを送信します。
デバイス PE1 は、2 番目の ARP 要求メッセージを受信します。MAC-IP アドレス バインディング データベースにエントリがあるため、ARP プロキシとしてプロキシ MAC アドレスで応答します。
この機能により、VLAN 間および VLAN 内のすべてのトラフィックがレイヤー 3 トラフィックとして設定されたゲートウェイに転送され、トラフィックをルーティングできるようになります。
この機能を有効にするには、evpnインスタンスタイプの[edit routing-instances routing-instance-name protocols evpn] 階層またはvirtual-switchインスタンスタイプの[edit routing-instances routing-instance-name bridge-domains domain_name] 階層に、proxy-mac (irb | proxy-mac-address)ステートメントを含めます。
CE デバイスが L3 ゲートウェイ デバイスに直接接続されているエッジルーテッド ブリッジング オーバーレイを使用した EVPN ネットワークでは、irb オプションを使用してゲートウェイ デバイスに proxy-mac を設定します。
CE デバイスがレイヤー 2 のみのリーフ デバイスを介して L3 ゲートウェイ デバイスに接続される、集中型ルーテッド ブリッジング オーバーレイを備えた EVPN ネットワークでは、集中型 L3 ゲートウェイ IRB インターフェイス上の仮想または物理ゲートウェイの MAC アドレスを MAC アドレスとして使用して、proxy-mac-address オプションを使用してリーフ デバイス上で proxy-mac を設定します。
次に、エッジルーテッドブリッジングEVPNネットワークのプロキシMACをサポートするブリッジドメインの設定例を示します。
routing-instances {
VS-1 {
instance-type virtual-switch;
bridge-domains {
bd-110 {
interface ae0.0;
vlan-id 110;
routing-interface irb.5;
proxy-mac {
irb;
}
}
}
}
}
ARP 要求で仮想ゲートウェイまたは IRB MAC アドレスを使用する利点
この機能により、設定されたすべてのルーティング インスタンスのすべての VLAN 間および VLAN 内のトラフィックが IRB インターフェイスにルーティングされます。これにより、次のことが可能になります。
プライベート VLAN 間の通信。
VLAN 内と VLAN 間の両方のトラフィックに対するゲートウェイでのレイヤー 3 セキュリティ フィルタリング。
MACアドレスのプライバシー。ホストは他のホストのMACアドレスを学習しません。