Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:IRB ソリューションによる EVPN の設定

IRB 付き EVPN ソリューションの概要

DCSP(データセンターサービスプロバイダ)は、共通の物理ネットワーク上で複数の顧客用のデータセンターをホストします。各顧客(テナントとも呼ばれる)にとって、このサービスは、4094のVLANとすべてのプライベートサブネットに拡張できる本格的なデータセンターのように見えます。災害復旧、高可用性、リソース使用率の最適化のために、DCSPはデータ センター全体の複数のサイトに及ぶのが一般的です。データセンターサービスを導入する際、DCSPは次のような主な課題に直面します。

  • レイヤー2ドメインを複数のデータセンターサイトに拡張する。そのためには、最適なサブネット内トラフィック転送が必要です。

  • 最適なサブネット間トラフィック転送と、仮想マシン(VM)発生時の最適なルーティングをサポートします。

  • 独立した VLAN とサブネット空間を持つ複数のテナントをサポートする。

EVPN(イーサネットVPN)は、前述したすべての課題に対応することを目標としています。

  • EVPNの基本的な機能により、サブネット内のトラフィック転送を最適化できます

  • EVPNの導入にIRB(統合型ルーティングおよびブリッジング)ソリューションを実装することで、最適なサブネット間トラフィック転送が可能になります

  • 仮想スイッチをサポートするEVPNを設定することで、独立したVLANとサブネット空間を持つ複数のテナントが可能になります

以下のセクションでは、EVPN向けIRBソリューションについて説明します。

EVPN IRBソリューションの必要性

EVPN は、IP/MPLS コア ネットワークを介して、単一のレイヤー 2 ドメインに属するさまざまな物理サイトにレイヤー 2 の拡張と相互接続を提供するために使用されるテクノロジです。EVPNを使用するデータセンター環境では、レイヤー2(サブネット内トラフィック)とレイヤー3(サブネット間トラフィック)の両方の転送、および場合によってはテナントのレイヤー3 VPNとの相互運用が必要です。

レイヤー2ソリューションのみでは、トラフィックがローカルの場合でも、サブネット間のトラフィックの最適な転送は行われません。たとえば、両方のサブネットが同じサーバー上にある場合などです。

レイヤー 3 ソリューションのみでは、サブネット内トラフィックに関する次の問題が発生する可能性があります。

  • 重複するMACアドレスが検出されないMACアドレスエイリアシングの問題。

  • TTL 1 を使用してサブネット内のトラフィックを制限するアプリケーションの TTL の問題。

  • レイヤー 2 接続に依存する IPv6 リンクローカル アドレッシングと重複アドレス検出。

  • レイヤー 3 転送は、サブネット ブロードキャストの転送セマンティクスをサポートしていません。

  • レイヤー 2 転送を必要とする非 IP アプリケーションのサポート。

純粋なレイヤー 2 およびレイヤー 3 ソリューションには上記のような欠点があるため、レイヤー 3 VPN の相互運用性や仮想マシン(VM)のモビリティなどの運用上の考慮事項に直面した場合、データ センター環境でレイヤー 2 とレイヤー 3 の両方のトラフィックの最適な転送を組み込んだソリューションが必要とされています。

EVPNベースのIRB(Integrated Routing and Bridging)ソリューションは、データセンター内およびデータセンター間のサブネット内およびサブネット間の両方で、最適なユニキャストおよびマルチキャスト転送を提供します。

EVPN IRB 機能は、レイヤー 2 VPN または VPLS サービスとレイヤー 3 VPN サービスの両方を提供する IP/MPLS ネットワークで運用しているサービス プロバイダが、サービスを拡張してクラウド コンピューティングおよびストレージ サービスを既存の顧客に提供したい場合に役立ちます。

EVPN IRB ソリューションの実装

EVPN IRBソリューションは、以下を提供します。

  • サブネット内(レイヤー 2)トラフィックの最適な転送。

  • サブネット間(レイヤー 3)トラフィックの最適な転送。

  • マルチキャストトラフィックのイングレスレプリケーションのサポート。

  • ネットワークベースおよびホストベースのオーバーレイモデルに対応します。

  • レイヤー 2 とレイヤー 3 の両方のトラフィックで一貫したポリシーベースの転送をサポートします。

  • IRB インターフェイスでの以下のルーティング プロトコルのサポート:

    • BFDの

    • BGP

    • IS-IS

    • OSPF および OSPF バージョン 3

  • シングルアクティブおよびオールアクティブのマルチホーミングをサポート

Junos OSは、EVPNおよびデータセンタークラウドサービスのお客様の個々のニーズを満たすために、EVPN設定の複数のモデルをサポートしています。柔軟性と拡張性を提供するために、特定のEVPNインスタンス内で複数のブリッジ ドメインを定義できます。同様に、1 つ以上の EVPN インスタンスを単一のレイヤー 3 VPN VRF(仮想ルーティングおよび転送)に関連付けることができます。一般に、各データ センター テナントには一意のレイヤー 3 VPN VRF が割り当てられますが、テナントは EVPN インスタンスごとに 1 つ以上の EVPN インスタンスと 1 つ以上のブリッジ ドメインで構成されます。このモデルをサポートするには、設定された各ブリッジ ドメイン(EVPN インスタンスのデフォルト ブリッジ ドメインを含む)に、レイヤー 2 およびレイヤー 3 機能を実行するための IRB インターフェイスが必要です。各ブリッジ ドメインまたは IRB インターフェイスは、VRF 内の一意の IP サブネットにマッピングされます。

手記:

EVPN IRB ソリューションでは、VRF ではなく、IRB インターフェイスをプライマリ インスタンスの inet.0 テーブルに関連付けることができます。

EVPN の IRB でサポートされている主な機能は 2 つあります。

  • ホストMAC-IP同期

    これには以下が含まれます。

    • EVPNでMACアドバタイズルートとともにIPアドレスをアドバタイズします。これは、EVPN MACアドバタイズメントルートのIPフィールドを使用して行われます。

    • 受信側の PE ルーターは、MAC を EVI(EVPN インスタンス)テーブルにインストールし、IP を関連する VRF にインストールします。

  • ゲートウェイMAC-IP同期

    これには以下が含まれます。

    • EVPN 内のすべてのローカル IRB MAC アドレスと IP アドレスをアドバタイズします。これは、EVPN MACアドバタイズルートにデフォルトゲートウェイ拡張コミュニティを含めることで実現されます。

    • 受信側のPEは、ゲートウェイMAC宛のパケットをルーティングするための転送状態を作成し、MACがルートでアドバタイズされたゲートウェイIPに対してプロキシ ARPが実行されます。

図 1 は、2 つのプロバイダー エッジ(PE)デバイス(PE1 と PE2)間のサブネット間トラフィック転送を示しています。各 PE デバイスの IRB1 および IRB2 インターフェイスは異なるサブネットに属していますが、共通の VRF を共有しています。

図 1: サブネット間トラフィック転送 Inter-Subnet Traffic Forwarding

サブネット間のトラフィック転送は、以下のように実行されます。

  1. PE2は、H3-M3とH4-M4をPE1にアドバタイズします。同様に、PE1はPE2にH1-M1とH2-M2の結合をアドバタイズします。

  2. PE1 と PE2 は対応する EVI MAC テーブルに MAC アドレスをインストールしますが、IP ルートは共有 VRF にインストールされます。

  3. アドバタイズするPEデバイスは、IPルートのネクストホップとして設定されます。

  4. H1 が H4 にパケットを送信すると、パケットは PE1 の IRB1 に送信されます。

  5. H4 の IP ルックアップは、PE1 の共有 VRF で行われます。H4 IPのネクストホップはPE2(アドバタイズPE)であるため、IPユニキャストパケットはPE2に送信されます。

  6. PE1はVRFルートの情報に基づいてMACヘッダーを書き換え、PE2はMACルックアップを実行してパケットをH4に転送します。

EVPN IRB ソリューションを実装するメリット

EVPN IRB ソリューションの主な目的は、最適なレイヤー 2 およびレイヤー 3 転送を提供することです。このソリューションは、サブネット間の転送と仮想マシン(VM)のモビリティを効率的に処理するために必要です。VMモビリティとは、VMが既存のMACおよびIPアドレスを維持したまま、同一または異なるデータセンター内にあるサーバーから別のサーバーに移行する機能を指します。サブネット間のトラフィックに最適な転送と効果的な VM モビリティを提供するには、デフォルト ゲートウェイの問題と三角ルーティングの問題という 2 つの問題を解決する必要があります。

Junos OS リリース 17.1R1 以降では、IPv6 アドレスは、近隣検索プロトコル(NDP)を使用して、EVPN との IRB インターフェイスでサポートされています。EVPN での IPv6 サポートに、以下の機能が導入されました。

  • プライマリ ルーティング インスタンスの IRB インターフェイス上の IPv6 アドレス

  • 送信請求 NA メッセージから IPv6 近傍を学習する

  • IRB インターフェイス上の NS および NA パケットは、ネットワーク コアから無効化されます

  • 仮想ゲートウェイ アドレスはレイヤー 3 アドレスとして使用されます

  • IPv6のホストMAC-IP同期

IRB インターフェイスの IPv6 アドレスは、 [edit interfaces irb] 階層レベルで設定できます。

ゲートウェイMACおよびIP同期

EVPN IRB 展開では、VM の IP デフォルト ゲートウェイは、VM がメンバーであるブリッジ ドメインまたは VLAN に対応するプロバイダ エッジ(PE)ルーターの IRB インターフェイスで設定された IP アドレスです。デフォルトゲートウェイの問題は、あるサーバから別のサーバに移動するときにVMがARPテーブルをフラッシュせず、宛先MACアドレスが元のゲートウェイのアドレスに設定されたパケットを送信し続けるために発生します。古いサーバーと新しいサーバーが同じレイヤー 2 ドメインに属していない場合(新しいレイヤー 2 ドメインは現在のデータ センター内または新しいデータ センター内にある可能性があります)、以前に識別されたゲートウェイは最適なゲートウェイでもローカル ゲートウェイでもなくなります。新しいゲートウェイは、リモート PE ルーター上の他のゲートウェイの MAC アドレスを含むパケットを識別し、パケットがローカル ゲートウェイ自体宛てであるかのようにトラフィックを転送する必要があります。少なくとも、この機能では、各 PE ルーターがそのゲートウェイまたは IRB MAC および IP アドレスをネットワーク内の他のすべての PE ルーターにアドバタイズする必要があります。ゲートウェイアドレス交換は、標準のMACルートアドバタイズメッセージ(IPアドレスパラメータを含む)を使用し、そのルートをデフォルトゲートウェイ拡張コミュニティでタグ付けすることで実現でき、リモートPEルーターはゲートウェイMACアドバタイズルートを通常のMACアドバタイズルートと区別できます。

レイヤー3VPNインターワーキング

EVPN IRB ソリューションのデータセンター間の側面には、異なるデータ センターに存在する VM 間のルーティングや、データ センター環境から完全に外部にあるホスト サイトとデータセンター内の VM 間のルーティングが含まれます。このソリューションは、EVPN MACルートアドバタイズメントの機能を利用して、MACアドレスとIPアドレス情報の両方を伝送します。PE ルーターのローカル MAC 学習機能が拡張され、ローカルで学習した MAC アドレスに関連する IP アドレス情報もキャプチャできるようになりました。その IP-MAC アドレス マッピング情報は、通常の EVPN 手順を通じて各 PE ルーターに配布されます。PE ルーターは、このような MAC および IP 情報を受信すると、EVPN インスタンスに MAC ルートをインストールし、その EVPN インスタンスに対応するレイヤー 3 VPN VRF に、関連する IP アドレスのホスト ルートをインストールします。VM が 1 つのデータ センターから別のデータ センターに移動すると、通常の EVPN 手順により、VM が背後に存在する新しい PE ルーターから MAC アドレスと IP アドレスがアドバタイズされます。EVPN に関連付けられた VRF にインストールされたホスト ルートは、その VM 宛てのレイヤー 3 トラフィックを新しい PE ルーターに要請し、送信元、VM が背後にあった以前の PE ルーター、および新しい PE ルーター間の三角ルーティングを回避します。

BGPのスケーラビリティは、多くのホストルートがレイヤー3 VPNに挿入される可能性があるため、データセンター間の三角ルーティング回避ソリューションの潜在的な懸念事項です。前述の方法では、最悪の場合、ローカルのEVPN MAC学習手順またはリモートPEルーターから受信したMACアドバタイズメッセージを通じて学習した各MACアドレスのIPホストルートが存在します。BGPルートターゲットフィルタリングを使用して、そのようなルートの配信を制限できます。

レイヤー3のサブネット間転送手順を使用して、データセンター間の三角ルーティング回避を実装するには、以下の機能要素が必要です。

  1. 送信元ホストは、ローカル PE ルーターの IRB インターフェイスの宛先 MAC と宛先ホストの IP アドレスを持つ独自の送信元 MAC と IP アドレスを使用して IP パケットを送信します。

  2. IRB インターフェイスは、MAC を宛先とするフレームを受信すると、EVPN インスタンスに関連付けられた VRF でレイヤー 3 ルックアップを実行して、パケットのルーティング先を決定します。

  3. VRF では、PE ルーターは、MAC から派生したレイヤー 3 ルートと、以前にリモート PE ルーターから受信した IP EVPN ルートを検出します。そして、宛先MACアドレスは、宛先IPに対応する宛先MACアドレスに変更されます。

  4. その後、パケットは、宛先ホストがメンバーである EVPN インスタンスに対応するラベルを使用して、MPLS を使用して宛先ホストにサービスを提供するリモート PE ルーターに転送されます。

  5. パケットを受信するエグレス PE ルーターは、宛先ホストの MAC のレイヤー 2 ルックアップを実行し、エグレス PE ルーターの IRB インターフェイスを介して、接続されたサブネット上の宛先ホストにパケットを送信します。

  6. イングレス PE ルーターはレイヤー 3 ルーティングを実行しているため、IP TTL はデクリメントされます。

例:IRB ソリューションによる EVPN-MPLS の設定

この例では、EVPN(イーサネットVPN)導入でIRB(統合型ルーティングおよびブリッジング)ソリューションを設定する方法を示します。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • PE ルーターとしての 2 つの MXシリーズ ルーティング プラットフォーム。

  • それぞれがPEルーターに接続された2台のカスタマーエッジ(CE)ルーター。

  • すべての PE ルーターで実行されている Junos OS リリース 14.1 以降。

    • Junos OS リリース 22.1R1 を使用して更新および再検証しました。

開始する前に、以下を実行します。

  1. ルーター インターフェイスを設定します。

  2. OSPF またはその他の IGP プロトコルを設定します。

  3. BGP を設定します。

  4. RSVP または LDP を設定します。

  5. MPLS を設定します。

概要

EVPN ソリューションでは、特定の EVPN インスタンス内で複数のブリッジ ドメインを定義し、1 つ以上の EVPN インスタンスを単一のレイヤー 3 VPN VRF に関連付けることができます。一般的に、各データ センター テナントには固有のレイヤー 3 VPN VRF(仮想ルート フォワーディング)が割り当てられますが、テナントは EVPN インスタンスごとに 1 つ以上の EVPN インスタンスまたはブリッジ ドメインで構成できます。

この柔軟性と拡張性をサポートするために、EVPN ソリューションは MPC FPC を搭載した MXシリーズ ルーター上の IRB インターフェイスをサポートし、仮想マシンのモビリティとともに最適なレイヤー 2 およびレイヤー 3 転送を促進します。IRB インターフェイスは、EVPN インスタンスのデフォルト ブリッジ ドメインを含む、設定された各ブリッジ ドメインで設定されます。

IRB は、単一ノード内でレイヤー2スイッチングおよびレイヤー 3 ルーティングを実行する機能であり、これによりサブネット間トラフィックの余分なホップを回避します。EVPN IRB ソリューションは、ゲートウェイの MAC および IP 同期を使用してデフォルト ゲートウェイの問題を解消し、テナント VRF 内に仮想マシン(VM)の IP ホスト ルートを作成することで、レイヤー 3 相互作用による三角ルーティングの問題を回避します。

位相幾何学

図 2 は、IRB ソリューションを使用したシンプルな EVPN トポロジーを示しています。ルーターPE1とPE2は、それぞれ2つのカスタマーエッジ(CE)ルーター(CE1とCE2)に接続するプロバイダーエッジルーターです。

図 2:IRB ソリューション EVPN with IRB Solution を使用した EVPN

構成

プロシージャ

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 [edit] 階層レベルのCLIにコマンドをコピー&ペーストしてください。

CE1の

PE1

PE2の

CE2の

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、「 1 コンフィグレーション・モードでのCLIエディタの使用」を参照してください。

PE1を設定するには:

手記:

適切なインターフェイス名、アドレス、およびその他のパラメーターを変更した後、PE2 に対してこの手順を繰り返します。

  1. PE1のインターフェイスを設定します。

  2. PE1のルーターIDと自律システム番号を設定します。

  3. EVPNの連鎖された複合ネクストホップを設定します。

  4. 管理インターフェイスを除くPE1のすべてのインターフェイスでRSVPを有効にします。

  5. 管理インターフェイスを除くPE1のすべてのインターフェイスでMPLSを有効にします。PE1からPE2へのラベルスイッチパスを作成します。

  6. PE1でIBGPのBGPグループを設定します。ループバックアドレスを使用して、PE2とピアリングするPE1のローカルアドレスとネイバーアドレスを割り当てます。ネットワーク層到達可能性情報(NLRI)にファミリー inet-vpn unicastevpn signaling を含めます。

  7. 管理インターフェイスを除くPE1のすべてのインターフェイスでOSPFを設定します。OSPF のトラフィック制御を有効にします。OSPFをIGPとするRSVPシグナリングLSPでは、LSPを立ち上げるためにトラフィック制御を有効にする必要があります。

  8. EVPNルーティング ルーティング インスタンスを設定します。VLAN識別子、CE1に接続されたインターフェイス、ルーティングインターフェイスとしてのIRBインターフェイス、ルート識別子、evpnaルーティング インスタンスのVRFターゲットを設定します。

  9. VRFルーティング インスタンスを設定します。VRF ルーティング インスタンスの IRB インターフェイス、ルート識別子、VRF ターゲット、および VRF テーブル ラベルを設定します。

業績

設定モードから、 show interfacesshow routing-optionsshow protocolsshow routing-instances コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

設定が正常に機能していることを確認します。

ローカル IRB MAC の確認

目的

ローカル IRB MAC が L2ALD から学習されていることを確認します。

アクション

PE1 で、ローカル IRB インターフェイスの MAC アドレスを決定します。

運用モードから、 show interfaces irb extensive | match "Current address" コマンドを実行します。

動作モードから、 show route table evpna.evpn.0 extensive | find 2c:6b:f5:1b:46:f0 コマンドを実行します。

意味

ローカル IRB インターフェイスのルートは、PE1 の EVPN インスタンス ルート テーブルに表示され、EVPN から学習され、デフォルト ゲートウェイ拡張コミュニティでタグ付けされます。

リモート IRB MAC の確認

目的

リモート IRB MAC が BGP から学習されていることを確認します。

アクション

PE2 で、PE1 からのリモート IRB MAC が学習されていることを確認します。

運用モードから、PE1で実行したのと同じ show route table evpna.evpn.0 extensive | find 2c:6b:f5:1b:46:f0 コマンドを実行します。

意味

リモート IRB インターフェイスのルートは、PE2 の EVPN インスタンス ルート テーブルに表示されます。ルートはBGPから学習され、デフォルトゲートウェイ拡張コミュニティでタグ付けされます。

ローカル IRB IP の検証

目的

ローカル IRB IP が RPD によってローカルで学習されていることを確認します。

アクション

PE1で、ローカルIRBインターフェイスのMACアドレスとIPアドレスを決定します。

運用モードから、 show interfaces irb extensive | match "Current address" コマンドを実行します。

動作モードから、 show interfaces irb.0 terse | match inet コマンドを実行します。

運用モードから、 show route table evpna.evpn.0 extensive | find "a8:d0:e5:54:0d:10::10.0.0.251" コマンドを実行します。

意味

ローカルIRBインターフェイスのMACプラスIPルートは、PE1のEVPNインスタンスルートテーブルに表示され、EVPNから学習され、デフォルトゲートウェイ拡張コミュニティでタグ付けされます。

リモート IRB IP の検証

目的

リモート IRB IP が BGP から学習されたことを確認します。

アクション

ルーターPE2で、PE1からのリモートIRB MACが学習されていることを確認します。

運用モードから、PE1で実行したのと同じ show route table evpna.evpn.0 extensive | find 2c:6b:f5:1b:46:f0::172.16.11.254 コマンドを実行します。

意味

リモート IRB インターフェイスの MAC と IP ルートは、PE2 の EVPN インスタンス ルート テーブルに表示され、デフォルト ゲートウェイ拡張コミュニティでタグ付けされます。

CE-CEの到達可能性の確認

目的

CE1がCE2にpingを実行できることを確認します。

アクション

動作モードから、CE1で show route 172.16.22.1 コマンドを実行し、CE2にpingを実行します。

動作モードから、CE1で ping コマンドを実行し、CE2にpingを実行します。

意味

CE1からCE2へのpingが成功しました。

CE-PE の到達可能性の確認

目的

CE1がPE2にpingを実行できることを確認します。

アクション

動作モードから、PE2で show route table vrf.inet.0 コマンドを実行します。

動作モードから、CE1で ping コマンドを実行し、PE2でIRBインターフェイスにpingを実行します。

意味

CE1からPE2へのpingが成功しました。

PE-PE の到達可能性の検証

目的

PE1がPE2にpingできることを確認します。

アクション

運用モードから、PE1で show route table vrf.inet.0 コマンドを実行します。

動作モードから、PE1 から ping コマンドを実行し、PE2 の IRB インターフェイスに ping を実行します。

意味

PE1からPE2へのpingは成功しました。