Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

GBPの代表的なユースケース

GBPは、異なるネットワークトポロジーでサポートされています。

IPv4およびIPv6オーバーレイネットワーク、およびIPv4(およびJunos OSリリース25.4R1以降のIPv6)アンダーレイネットワーク上の異なるトポロジーでGBPをサポートしています。大規模なキャンパスネットワークを導入する場合でも、ブランチまたは小規模なキャンパスネットワークを導入する場合でも、GBPを使用して共通のマイクロセグメンテーションソリューションを提供できます。

大規模キャンパスネットワークにおけるGBP

大規模なキャンパスネットワークは、通常、アクセスレイヤー、ディストリビューションレイヤー、そして大規模な導入環境では個別のコアレイヤーで構成されるIP Closファブリックとして構築されます。この配置により、エンドユーザーデバイス間の大規模でノンブロッキングな接続が可能になります。EVPN-VXLANなどのオーバーレイテクノロジーと組み合わせることで、レイヤー2接続を物理的な場所に制約されることなくキャンパス全体に拡張でき、過度なブロードキャストやフラッディングを制限できます。

EVPN-VXLANは、仮想(オーバーレイ)トポロジーを物理(アンダーレイ)トポロジーから切り離すことで、ネットワークに拡張性と柔軟性を提供します。これにより、運用オーバーヘッドと導入までの時間が削減され、移植性が向上します。IP Closファブリックは物理的なany-to-any接続を提供し、EVPN-VXLANネットワークはエンドユーザー機器間の仮想接続を制御します。マイクロセグメンテーションのコンテキストでは、EVPN-VXLANを使用すると、グループベースポリシー(GBP)を拡張して、キャンパスネットワーク全体にマイクロセグメンテーションを提供できます。

アクセス スイッチは、VXLAN トンネル エンドポイント(VTEP)として機能します。イングレス時に、アクセス リンクからのパケットは VXLAN にカプセル化され、適切なトンネルを介して転送されます。エグレスでは、VTEPから出るパケットのカプセル化が解除され、アクセスリンクから送信されます。

VTEPの本拠地として、アクセススイッチはGBPを使用したマイクロセグメンテーションをサポートするのに最適な位置にあります。アクセス スイッチは、受信パケットを分類して GBP タグを取得し、このタグを VXLAN ヘッダーに挿入してから、適切なトンネルを介して VXLAN カプセル化フレームを転送します。トンネルのリモートエンドのアクセススイッチが、VXLANカプセル化フレームのカプセル化を解除し、タグを抽出します。これにより、リモート アクセス スイッチはローカル タグとリモート タグを使用してポリシーを適用できます。

これを 図1に示します。

図1:大規模キャンパスIP Closネットワーク Large Campus IP Clos Network

このタイプのアーキテクチャは、大規模なキャンパスサイトに最適です。すべてのポリシー適用をアクセススイッチに委任することで、レイヤー2/レイヤー3のセグメンテーションを大規模にサポートできます。拡張性の高いEVPN-VXLANインフラストラクチャで、フル機能のGBPマイクロセグメンテーションソリューションのメリットを享受できます。

CLI または RADIUS 認証のいずれかを使用してタグ割り当てを設定できますが、大規模なネットワークでは RADIUS 認証を使用することをお勧めします。RADIUSでは、CLIのようにクライアントネットワーク設定に関する事前の知識は必要ありません。各クライアントに目的のGBPタグを提供するようにRADIUSサーバーを設定するだけです。タグは、認証の一部として特別なベンダー固有属性(VSA)で伝達され、VSAをサポートするすべてのRADIUSサーバーと互換性があります。GBP設定に使用されるVSAの詳細については、 RADIUSを使用したGBPタグの割り当て を参照してください。

RADIUSを使用してタグを割り当てる場合、考慮すべき状況は2つあります。

  • クライアントデバイスは、アクセススイッチに直接接続されます。この状況では、アクセススイッチが認証装置として機能し、認証サーバーとの間で送受信されるRADIUSメッセージを処理します。したがって、アクセススイッチは、認証サーバーの応答から割り当てられたGBPタグを抽出し、スイッチ上でローカルに自動的に設定できます。

  • クライアントデバイスは、無線アクセスポイント(AP)に接続します。次に、無線APがアクセススイッチに接続します。この状況では、アクセススイッチに直接接続されたクライアントデバイスであるかのように、APを認証できます。ただし、これはAPレベルでの認証(およびGBPタグ割り当て)のみを提供するため、APのすべての無線クライアントが認証され、グループ化されます。

    クライアントレベルまで細かく理解するためには、クライアントレベルで認証とGBPタグの割り当てを行う必要があります。そのためには、アクセススイッチではなく、無線APが認証として機能する必要があります。認証者として、無線APは各クライアントに割り当てられたGBPタグを認識していますが、このタグをアップストリームのアクセススイッチに伝える方法が必要です。

    Junos OSリリース25.4R1以降、無線アクセスポイントがMist APの場合、Mist APは独自のメッセージングを使用して、割り当てられたGBPタグをアップストリームアクセススイッチに伝達できます。この通知を受信すると、アクセススイッチは、割り当てられたタグをローカルで設定または学習したかのように設定します。このシナリオの詳細については、 統合アクセスポリシー を参照してください。

支社/拠点および小規模キャンパスネットワークにおけるGBP

支社/拠点や小規模なキャンパス環境には、EVPN-VXLANを完全に実装するためのインフラストラクチャがない場合があります。ネットワークは、レイヤー 2 スイッチの集合体で実行されている VLAN だけで構成できます。幸いですが、だからといって、ジュニパーのGBPソリューションを使用してネットワークをセグメント化することを妨げるものではありません。Junos OSリリース25.4R1以降、ジュニパーのGBPソリューションは、このタイプの純粋なレイヤー2環境で(いくつかの制限を伴います)動作します。

図2 は、WANルーターを介して外部ネットワークに接続されたレイヤー2アクセススイッチを示しています。レイヤー2フィールドに基づいてGBPタグを割り当てるようにアクセススイッチを設定します。VXLANカプセル化やEVPNシグナリングがないため、割り当てられたGBPタグはネットワークを介して伝播されません。したがって、ポリシーの適用は、ingressでローカルで利用可能なレイヤー2およびレイヤー3の情報のみを使用して行われます。

このような制約があっても、このように小規模ネットワークでGBPを使用してトラフィックをセグメント化できると、運用の簡素化、一貫したポリシー適用、高い拡張性など、GBPフルソリューションと同じメリットが多く得られます。

図2:レイヤー2支社/拠点ネットワークGBP in Layer 2 Branch NetworkにおけるGBP

大規模キャンパスネットワークにおけるGBPと同様に、CLIまたはRADIUS認証を使用してタグ割り当てを設定します。

注:

このユースケースでCLIを使用して設定できるGBPマイクロセグメンテーションフィルターには制限があります。詳細については、「 GBPピュアL2プロファイルの使用 」を参照してください。

RADIUS 認証を使用する場合の動作は、大規模なキャンパス ネットワークの場合と同じです。

  • アクセススイッチは、有線ユーザーの認証として機能し、有線ユーザーが認証されると自動的にタグの割り当てを設定します。

  • Mist APは、無線ユーザーの認証として機能し、独自のメッセージングを使用してタグ割り当てをアクセススイッチに通知します。この通知を受信すると、アクセス スイッチは MACアドレス テーブルと内部データ構造にタグ割り当てを設定します。

支社/拠点および小規模キャンパス ネットワークへの GBP の導入の詳細については、 統合アクセス ポリシーを参照してください。