エッジ仮想ブリッジング
EXシリーズスイッチでVEPAテクノロジーを使用するためのエッジ仮想ブリッジングについて
VEPA(仮想イーサネットポートアグリゲーター)を使用するサーバーは、ある仮想マシン(VM)から別の仮想マシン(VM)にパケットを直接送信しません。代わりに、パケットは処理のために隣接するスイッチ上の仮想ブリッジに送信されます。EXシリーズスイッチは、エッジ仮想ブリッジング(EVB)を仮想ブリッジとして使用し、パケットを配信したのと同じインターフェイスにパケットを返します。
EVBとは?
EVBは、Junos OSを実行するスイッチのソフトウェア機能であり、複数の仮想マシンが相互に通信したり、イーサネットネットワーク環境内の外部ホストと通信できるようになります。
VEPAとは?
VEPAは、隣接する外部スイッチと連携して、複数の仮想マシンと外部ネットワーク間のブリッジングサポートを提供するサーバーのソフトウェア機能です。VEPAは隣接するスイッチと連携し、VM発信のすべてのフレームを隣接スイッチに転送してフレーム処理とフレームリレー(ヘアピン転送を含む)を行い、VEPAアップリンクから受信したフレームを適切な宛先に誘導および複製します。
VEBの代わりにVEPAを使用する理由
仮想マシンは仮想イーサネットブリッジング(VEB)と呼ばれる技術を使用してパケットを相互に直接送信できますが、VEBでは高価なサーバーハードウェアを使用するため、スイッチングには物理スイッチを使用することをお勧めします。VEBを使用する代わりに、VEPAをサーバーにインストールすることで、隣接するより安価な物理スイッチにスイッチング機能をオフロードできます。VEPAを使用するその他のメリットは次のとおりです。
VEPAは複雑さを軽減し、サーバーでのパフォーマンスを向上させることができます。
VEPAは、物理スイッチのセキュリティ機能とトラッキング機能を活用します。
VEPAは、隣接するブリッジ用に設計されたネットワーク管理ツールに対して、仮想マシン間のトラフィックを可視化します。
VEPAは、サーバー管理者が必要とするネットワーク設定の量を削減し、その結果、ネットワーク管理者の作業を削減します。
EVBの仕組み
EVBは、仮想ステーションインターフェイス(VSI)ディスカバリーおよび構成プロトコル(VDP)とエッジ制御プロトコル(ECP)の2つのプロトコルを使用して、個々の仮想スイッチインスタンスのポリシーをプログラムします。具体的には、EVBは各VSIインスタンスについて以下の情報を保持します。
VLAN ID
VSIタイプ
VSIタイプのバージョン
サーバーのMACアドレス
VDPは、VEPAサーバーがVSI情報をスイッチに伝送するために使用されます。これにより、スイッチは個々のVSIでポリシーをプログラムすることができ、VSIを特定のインターフェイスに事前に関連付けるロジックを実装することで仮想マシンの移行をサポートします。
ECPは、LLDP(Link Layer Discovery Protocol)に似たトランスポート層であり、複数の上位層プロトコルがPDU(プロトコルデータユニット)を送受信できるようにします。ECPは、シーケンシング、再送信、およびackメカニズムを実装することでLLDPを改善しながら、同時にシングルホップネットワークに実装できるほどの軽量性を維持しています。EVB用に設定したインターフェイスでLLDPを設定すると、ECPがEVB設定に実装されます。つまり、ECPではなくLLDPを設定します。
EVBを実装するにはどうすればいいですか?
スイッチがVEPAテクノロジーを搭載したサーバーに隣接している場合、そのスイッチにEVBを設定できます。一般的に、EVBを実装するために行うのは次のことです。
ネットワークマネージャーは、一連のVSIタイプを作成します。各VSIタイプは、VSIタイプIDとVSIバージョンで表されます。ネットワーク管理者は、いつでも1つ以上のVSIバージョンを展開できます。
VM マネージャーは、VSI (MACアドレスと VLAN ID のペアで表される VM の仮想ステーション・インターフェース) を構成します。これを実現するために、VM マネージャーは使用可能な VSI タイプ ID (VTID) を照会し、VSI インスタンス ID と選択した VTID で構成される VSI インスタンスを作成します。このインスタンスは VTDB と呼ばれ、VSI マネージャー ID、VSI タイプ ID、VSI バージョン、および VSI インスタンス ID を含みます。
関連項目
EXシリーズスイッチでのエッジ仮想ブリッジングの設定
仮想イーサネットポートアグリゲーター(VEPA)テクノロジーを使用してスイッチが仮想マシン(VM)サーバーに接続されている場合、エッジ仮想ブリッジング(EVB)を設定します。EVB はパケットを変換しません。むしろ、あるVMから同じVMサーバー上の別のVMに宛てたパケットが確実にスイッチングされるようにします。つまり、パケットの送信元と宛先が同じポートの場合、EVBはパケットを適切に配信します。そうでなければ、このようなことは起こりません。
EVBを設定することで、仮想ステーションインターフェイス(VSI)のディスカバリーおよび設定プロトコル(VDP)も有効になります。
EVBの設定を開始する前に、以下を確認してください。
EVB用にスイッチで使用するポートに接続されたサーバーでパケットアグリゲーションを設定します。サーバーのドキュメントを参照してください。
仮想マシン上にあるすべての VLAN の EVB インターフェイスを構成しました。 EXシリーズスイッチのVLANの設定を参照してください。
注:ポートセキュリティ機能であるMAC移動制限とMAC制限は、EVB用に設定されたインターフェイスでサポートされています。ただし、ポートセキュリティ機能であるIPソースガード、DAI(Dynamic ARP Inspection)、およびDHCPスヌーピングはEVBではサポートされていません。これらの機能の詳細については、 ポートセキュリティ機能を参照してください。
スイッチでEVBを設定するには、次の手順に従います。
関連項目
例:EXシリーズスイッチでVEPAテクノロジーで使用するためのエッジ仮想ブリッジングの設定
仮想マシン(VM)は、次の2つの条件が満たされている場合、VMのサーバーに隣接する物理スイッチを使用して、他のVMとネットワークの残りの部分の両方にパケットを送信できます。
仮想イーサネットパケットアグリゲーター(VEPA)がVMサーバー上に設定されている。
エッジ仮想ブリッジング(EVB)がスイッチで設定されている。
この例では、仮想マシンとの間でパケットが流れるように、スイッチ上でEVBを設定する方法を示しています。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
EX4500 または EX8200 スイッチ 1 台
EXシリーズスイッチのJunos OSリリース12.1以降
スイッチでEVBを設定する前に、仮想マシン、VLAN、VEPAを使用してサーバーを設定していることを確認してください。
この例で使用するコンポーネントの数を以下に示しますが、この機能を設定する際に使用するコンポーネントの数は少なくても多くもかまいません。
サーバー上で、 図 1 に示すように、VM 1 から VM 6 までの 6 つの仮想マシンを構成します。サーバーのドキュメントを参照してください。
サーバー上で、VLAN_Purple、VLAN_Orange、VLAN_Blueという名前の3つのVLANを設定し、各VLANに2つの仮想マシンを追加します。サーバーのドキュメントを参照してください。
サーバー上に、仮想マシンのパケットを集約するようにVEPAをインストールして設定します。
スイッチ上で、サーバーと同じ 3 つの VLAN(VLAN_Purple、VLAN_Orange、VLAN_Blue)を持つ 1 つのインターフェイスを設定します。 EXシリーズスイッチのVLANの設定を参照してください。
概要とトポロジー
EVBは、イーサネットネットワーク環境内で相互および外部スイッチと通信する複数の仮想エンドステーションを提供するソフトウェア機能です。
この例は、スイッチが VEPA が設定されたサーバーに接続されたときにスイッチ上で実行される設定を示しています。この例では、スイッチはすでに 6 台の仮想マシン(VM)をホストするサーバーに接続されており、パケットを集約するために VEPA が設定されています。サーバーの 6 つの仮想マシンは VM 1 から VM 6 までであり、各仮想マシンは 3 つのサーバー VLAN(VLAN_Purple、VLAN_Orange、または VLAN_Blue)のいずれかに属しています。VEPAはサーバー上で設定されているため、2つのVMが直接通信することはなく、VM間のすべての通信は隣接するスイッチを介して行う必要があります。 図1 は、この例のトポロジーを示しています。
エッジ仮想ブリッジングのトポロジー例
サーバーの VEPA コンポーネントは、パケットが同じサーバー上の他の VM 宛であるか、外部ホスト宛であるかに関係なく、任意の VM から隣接するスイッチにすべてのパケットをプッシュします。隣接するスイッチは、インターフェイス設定に基づいて受信パケットにポリシーを適用し、MAC学習テーブルに基づいてパケットを適切なインターフェイスに転送します。スイッチが宛先MACをまだ学習していない場合は、パケットが到着した送信元ポートを含むすべてのインターフェイスにパケットをフラッディングします。
表1は 、この例で使用されているコンポーネントを示しています。
| コンポーネント | 説明 |
|---|---|
EXシリーズスイッチ |
この機能をサポートするスイッチのリストについては、 EXシリーズスイッチソフトウェア機能の概要 または EXシリーズバーチャルシャーシソフトウェア機能の概要を参照してください。 |
ge-0/0/20 |
サーバーへのインターフェイスを切り替えます。 |
サーバー |
仮想マシンとVEPAテクノロジーを搭載したサーバー。 |
仮想マシン |
サーバー上に配置された VM 1、VM 2、VM 3、VM 4、VM 5、VM 6 という名前の 6 台の仮想マシン。 |
VLAN |
VLAN_Purple、VLAN_Orange、VLAN_Blueという名前の3つのVLAN各VLANには2つの仮想マシンメンバーがあります。 |
VEPA |
仮想イーサネットポートアグリゲーター(VEPA)は、隣接する外部スイッチと連携して、複数の仮想マシン間および外部ネットワークとのブリッジングサポートを提供するサーバー上のソフトウェア機能です。VEPAは、スイッチと連携して、VMから発信されたすべてのフレームを隣接するブリッジに転送してフレーム処理とフレームリレー(ヘアピン転送を含む)を行い、VEPAアップリンクから受信したフレームを適切な宛先に誘導および複製します。 |
EVBを設定することで、仮想ステーションインターフェイス(VSI)のディスカバリーおよび設定プロトコル(VDP)も有効になります。
設定
手順
CLIクイックコンフィグレーション
EVBをすばやく設定するには、以下のコマンドをコピーして、 [edit] 階層レベルでスイッチのCLIに貼り付けます。
set interfaces ge-0/0/20 unit 0 family ethernet-switching port-mode tagged-access set protocols lldp interface ge-0/0/20.0 set vlans vlan_purple interface ge-0/0/20.0 set vlans vlan_orange interface ge-0/0/20.0 set vlans vlan_blue interface ge-0/0/20.0 set protocols edge-virtual-bridging vsi-discovery interface ge-0/0/20.0 set policy-options vsi-policy P1 from vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb998 set policy-options vsi-policy P1 then filter f2 set policy-options vsi-policy P3 from vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997 set policy-options vsi-policy P3 then filter f3 set firewall family ethernet-switching filter f2 term t1 then accept set firewall family ethernet-switching filter f2 term t1 then count f2_accept set firewall family ethernet-switching filter f3 term t1 then accept set firewall family ethernet-switching filter f3 term t1 then count f3_accept set protocols edge-virtual-bridging vsi-discovery vsi-policy P1 set protocols edge-virtual-bridging vsi-discovery vsi-policy P3
ステップバイステップの手順
スイッチでEVBを設定するには、次の手順に従います。
EVBを有効にするインターフェイスのタグ付きアクセスモードを設定します。
[edit interfaces ge-0/0/20] user@switch# set unit 0 family ethernet-switching port-mode tagged-access
EVBを有効にするポートインターフェイスでLLDP(Link Layer Discovery Protocol)を有効にします。
[edit protocols] user@switch# set lldp interface ge-0/0/20.0
仮想マシン上にあるすべてのVLANのメンバーとしてインターフェイスを設定します。
[edit] user@switch# set vlans vlan_purple interface ge-0/0/20.0 user@switch# set vlans vlan_orange interface ge-0/0/20.0 user@switch# set vlans vlan_blue interface ge-0/0/20.0
インターフェイスでVSI Discovery and Control Protocol(VDP)を有効にします。
[edit protocols] user@switch# set edge-virtual-bridging vsi-discovery interface ge-0/0/20.0
VSI情報のポリシーを定義します。VSI 情報は、VSI マネージャー ID、VSI タイプ、VSI バージョン、および VSI インスタンス ID に基づいています。
[edit policy-options] user@switch# set vsi-policy P1 from vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb998 user@switch# set vsi-policy P1 then filter f2 user@switch# set vsi-policy P3 from vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997 user@switch# set vsi-policy P3 then filter f3
前のステップでは 2 つの VSI ポリシーが定義され、それぞれが異なるファイアウォールフィルターにマッピングされます。ファイアウォールフィルターを定義します。
[edit firewall family ethernet-switching] user@switch# set filter f2 term t1 then accept user@switch# set filter f2 term t1 then count f2_accept user@switch# set filter f3 term t1 then accept user@switch# set filter f3 term t1 then count f3_accept
VSIポリシーとVSIディスカバリープロトコルを関連付ける
[edit] user@switch# set protocols edge-virtual-bridging vsi-discovery vsi-policy P1 user@switch# set protocols edge-virtual-bridging vsi-discovery vsi-policy P3
結果
user@switch# show protocols
edge-virtual-bridging {
vsi-discovery {
interface {
ge-0/0/20.0;
}
vsi-policy {
P1;
P3;
}
}
}
lldp {
interface ge-0/0/20.0;
user@switch# show policy-options
vsi-policy P1 {
from {
vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4ee
b-8f00-c84ebb0bb998;
}
then {
filter f2;
}
}
vsi-policy P3 {
from {
vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4ee
b-8f00-c84ebb0bb997;
}
then {
filter f3;
}
}
user@switch# show vlans
vlan_blue {
interface {
ge-0/0/20.0;
}
}
vlan_orange {
interface {
ge-0/0/20.0;
}
}
vlan_purple {
interface {
ge-0/0/20.0;
interface;
}
}
user@switch# show firewall
family ethernet-switching {
filter f2 {
term t1 {
then {
accept;
count f2_accept;
}
}
}
filter f3 {
term t1 {
then {
accept;
count f3_accept;
}
}
}
}
検証
EVBが有効で正常に動作していることを確認するには、以下のタスクを実行します。
EVBが正しく設定されていることの確認
目的
EVBが正しく設定されていることを確認する
アクション
user@switch# show edge-virtual-bridging Interface Forwarding Mode RTE Number of VSIs Protocols ge-0/0/20.0 Reflective-relay 25 400 ECP, VDP, RTE
意味
LLDPを最初に有効にすると、LLDPを使用してスイッチとサーバー間でEVB LLDP交換が行われます。この交換の一環として、次のパラメーターがネゴシエートされます。 サポートされているVSIの数、転送モード、ECPサポート、VDPサポート、および再送信タイマー指数(RTE)。出力にネゴシエートされたパラメーターの値がある場合、EVBは正しく設定されています。
仮想マシンがスイッチに正常に関連付けられたことを確認する
目的
仮想マシンがスイッチに正常に関連付けられていることを確認します。VSIプロファイルとスイッチインターフェイスの関連付けに成功したら、MACテーブルまたは転送データベーステーブルでVMのMACアドレスの学習を確認します。VM の MAC アドレスの学習タイプは VDP であり、VM のシャットダウンに成功すると、対応する MAC-VLAN エントリーが FDB テーブルからフラッシュされます。そうでない場合、シャットダウンされることはありません。
アクション
user@switch# run show ethernet-switching table Ethernet-switching table: 10 entries, 4 learned VLAN MAC address Type Age Interfaces v3 * Flood - All-members v3 00:02:a6:11:bb:1a VDP - ge-1/0/10.0 v3 00:02:a6:11:cc:1a VDP - ge-1/0/10.0 v3 00:23:9c:4f:70:01 Static - Router v4 * Flood - All-members v4 00:02:a6:11:bb:bb VDP - ge-1/0/10.0 v4 00:23:9c:4f:70:01 Static - Router v5 * Flood - All-members v5 00:23:9c:4f:70:01 Static - Router v5 52:54:00:d5:49:11 VDP - ge-1/0/20.0
スイッチでVSIプロファイルが学習されていることを検証する
目的
スイッチでVSIプロファイルが学習されていることを確認します。
アクション
user@switch# show edge-virtual-bridging vsi-profiles
Interface: ge-0/0/20.0
Manager: 97, Type: 997, Version: 3, VSI State: Associate
Instance: 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997
MAC VLAN
00:10:94:00:00:04 3
意味
VEPAに設定されたVMがサーバーで起動されるたびに、VMはVDPメッセージの送信を開始します。このプロトコルの一部として、スイッチでVSIプロファイルが学習されます。
出力にManager、Type、Version、VSI State、Instanceの値がある場合、スイッチでVSIプロファイルが学習されています。