エッジ仮想ブリッジング
EX シリーズ スイッチで VEPA 技術で使用するエッジ 仮想ブリッジングについて
仮想イーサネット ポート アグリゲータ(VEPA)を使用するサーバーは、1 つの仮想マシン(VM)から別の仮想マシンに直接パケットを送信しません。代わりに、パケットは処理のために隣接するスイッチ上の仮想ブリッジに送信されます。EX シリーズ スイッチは、エッジ仮想ブリッジング(EVB)を仮想ブリッジとして使用し、パケットを配信したのと同じインターフェイス上のパケットを返します。
EVBとは
EVB は、Junos OS を実行するスイッチ上のソフトウェア機能で、複数の仮想マシンが相互に、またイーサネット ネットワーク環境の外部ホストと通信できるようにします。
VEPAとは
VEPA は、隣接する外部スイッチと連携し、複数の仮想マシンと外部ネットワーク間のブリッジング サポートを提供するサーバー上のソフトウェア機能です。VEPA は、VM 由来のすべてのフレームをフレーム処理とフレーム リレー(ヘアピン転送を含む)のために隣接するスイッチに転送し、VEPA アップリンクから受信したフレームを適切な宛先にステアリングおよび複製することで、隣接するスイッチと連携します。
VEB の代わりに VEPA を使用する理由
仮想マシンは仮想イーサネット ブリッジング(VEB)と呼ばれる技術を使用してパケットを相互に直接送信することができますが、通常は、VEB が高価なサーバー ハードウェアを使用してタスクを完了するため、スイッチングに物理スイッチを使用する必要があります。VEBを使用する代わりに、サーバーにVEPAをインストールして、スイッチング機能を隣接するより安価な物理スイッチにオフロードすることができます。VEPA を使用するメリットには、次のようなものがあります。
VEPA は複雑さを軽減し、サーバーのパフォーマンスを向上させます。
VEPAは、物理スイッチのセキュリティ機能とトラッキング機能を活用しています。
VEPAは、隣接するブリッジ用に設計されたネットワーク管理ツールに、仮想マシン間のトラフィックを可視化します。
VEPA は、サーバー管理者が必要とするネットワーク構成の量を削減し、その結果、ネットワーク管理者の作業を削減します。
EVB の仕組み
EVB は、VDP(Virtual Station Interface)Discovery and Configuration Protocol(VDP)と Edge Control Protocol(ECP)の 2 つのプロトコルを使用して、各仮想スイッチ インスタンスのポリシーをプログラムします。具体的には、EVB は各 VSI インスタンスについて以下の情報を維持します。
VLAN ID
VSI タイプ
VSI タイプ バージョン
サーバーの MAC アドレス
VDP は、VEPA サーバーによって VSI 情報をスイッチに伝送するために使用されます。これにより、スイッチは個々のVSI上でポリシーをプログラムすることができ、特定のインターフェイスにVSIを事前関連付けるロジックを実装することで、仮想マシンの移行をサポートします。
ECP は、複数の上位レイヤー プロトコルが PDU(プロトコル データ ユニット)を送受信できるようにする LLDP(Link Layer Discovery Protocol)のようなトランスポート レイヤーです。ECPは、シーケンス、再送信、ackメカニズムを実装することでLLDPを改善すると同時に、シングルホップネットワークに実装できるほど軽量です。ECP は、EVB に設定したインターフェイスで LLDP を設定すると、EVB 設定に実装されます。つまり、ECP ではなく LLDP を設定します。
EVB の実装方法
スイッチが VEPA テクノロジを含むサーバーに隣接している場合、スイッチ上で EVB を設定できます。一般的に、これはEVBを実装するために行うことです。
ネットワーク マネージャーは、一連の VSI タイプを作成します。各 VSI タイプは VSI タイプ ID で表され、VSI バージョンはネットワーク マネージャーがいつでも 1 つ以上の VSI バージョンを導入できます。
VMマネージャーは、VSI(MACアドレスとVLAN IDペアで表されるVMの仮想ステーションインターフェイス)を設定します。これを実現するために、VM マネージャーは使用可能な VSI タイプ ID(VTID)をクエリーし、VSI インスタンス ID と選択した VTID で構成される VSI インスタンスを作成します。このインスタンスは VTDB と呼ばれ、VSI マネージャー ID、VSI タイプ ID、VSI バージョン、VSI インスタンス ID を含みます。
関連項目
EXシリーズスイッチ上のエッジ仮想ブリッジングの設定
スイッチが仮想イーサネットポートアグリゲータ(VEPA)技術を使用して仮想マシン(VM)サーバーに接続されている場合、エッジ仮想ブリッジング(EVB)を設定します。EVBはパケットを変換しません。その代わり、同じ VM サーバー上の別の VM 宛ての 1 つの VM からのパケットが確実に切り替えられます。つまり、パケットの送信元と宛先が同じポートである場合、EVB はパケットを適切に配信します。そうでなければ発生しません。
EVBを設定することで、仮想ステーションインターフェイス(VSI)ディスカバリーおよび設定プロトコル(VDP)も有効になります。
EVBの設定を始める前に、以下を確認してください。
EVB 用のスイッチで使用するポートに接続されたサーバー上で構成されたパケット アグリゲーション。サーバーのドキュメントを参照してください。
仮想マシン上のすべての VLAN に対して EVB インターフェイスを構成します。EX シリーズ スイッチの VLAN の設定を参照してください。
注:ポートセキュリティ機能MAC移動制限とMAC制限は、EVBに設定されたインターフェイスでサポートされています。ただし、ポート セキュリティは、IP ソース ガード、DAI(Dynamic ARP Inspection)、DHCP スヌーピングを備えていますが、EVB ではサポートされていません。これらの機能の詳細については、 ポートセキュリティ機能を参照してください。
スイッチで EVB を設定するには:
関連項目
例:EXシリーズスイッチ上でVEPAテクノロジーで使用するエッジ仮想ブリッジングの設定
仮想マシン(VM)は、VMのサーバーに隣接する物理スイッチを使用して、2つの条件を満たしたときに他のVMとネットワークの残りの部分の両方にパケットを送信できます。
仮想イーサネット パケット アグリゲータ(VEPA)は、VM サーバー上で構成されます。
エッジ仮想ブリッジング(EVB)は、スイッチ上で設定されています。
この例では、仮想マシンとの間でパケットが流れるようにスイッチ上でEVBを設定する方法を示しています。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
EX4500 または EX8200 スイッチ 1 台
EX シリーズ スイッチの Junos OS リリース 12.1 以降
スイッチに EVB を設定する前に、仮想マシン、VLAN、VEPA でサーバーを構成していることを確認してください。
以下に、この例で使用するコンポーネントの数を示しますが、この機能の設定に使用できるコンポーネント数は以下のとおりです。
サーバー上で、 に示すように、6 台の仮想マシン(VM 1~VM 6)を 図 1構成します。サーバーのドキュメントを参照してください。
サーバー上で、VLAN_Purple、VLAN_Orange、VLAN_Blueという名前の 3 つの VLAN を構成し、各 VLAN に 2 台の仮想マシンを追加します。サーバーのドキュメントを参照してください。
サーバー上で、仮想マシン・パケットを集約するように VEPA をインストールおよび構成します。
スイッチ上で、サーバー(VLAN_Purple、VLAN_Orange、VLAN_Blue)と同じ3つのVLANを持つ1つのインターフェイスを設定します。EX シリーズ スイッチの VLAN の設定を参照してください。
概要とトポロジー
EVBは、イーサネットネットワーク環境の外部スイッチと相互に通信する複数の仮想エンドステーションを提供するソフトウェア機能です。
この例では、スイッチが VEPA が設定されたサーバーに接続されている場合に、スイッチ上で行われる設定を示します。この例では、スイッチは既に 6 台の仮想マシン(VM)をホストするサーバーに接続され、パケットを集約するために VEPA で構成されています。サーバーの 6 台の仮想マシンは VM 1~VM 6 であり、各仮想マシンは 3 つのサーバー VLAN(VLAN_Purple、VLAN_Orange、またはVLAN_Blue)のいずれかに属します。サーバー上で VEPA が設定されているため、2 つの VM が直接通信することはできません。VM 間のすべての通信は、隣接するスイッチを介して行う必要があります。 図 1 は、この例のトポロジーを示しています。
エッジ仮想ブリッジングのトポロジー例
サーバーの VEPA コンポーネントは、パケットが同じサーバー上の他の VM、外部ホスト、隣接するスイッチに送信されるかどうかに関係なく、すべてのパケットを任意の VM からプッシュします。隣接するスイッチは、インターフェイス設定に基づいて受信パケットにポリシーを適用し、MAC ラーニング テーブルに基づいてパケットを適切なインターフェイスに転送します。スイッチがまだ宛先 MAC を学習していない場合、パケットが到着した送信元ポートを含むすべてのインターフェイスにパケットをフラッディングします。
表 1 は、この例で使用するコンポーネントを示しています。
| コンポーネント | 説明 |
|---|---|
EXシリーズスイッチ |
この機能をサポートするスイッチの一覧については、 EXシリーズスイッチソフトウェア機能の概要 または EXシリーズバーチャルシャーシソフトウェア機能の概要を参照してください。 |
ge-0/0/20 |
サーバーへのインターフェイスを切り替えます。 |
サーバー |
仮想マシンと VEPA 技術を搭載したサーバー。 |
仮想マシン |
サーバー上の 6 台の仮想マシン(VM 1、VM 2、VM 3、VM 4、VM 5、VM 6 という名前)。 |
VLAN |
VLAN_Purple、VLAN_Orange、VLAN_Blueという名前の 3 つの VLAN。各 VLAN には、2 つの仮想マシン メンバーがあります。 |
VEPA |
仮想イーサネット ポート アグリゲータ(VEPA)は、隣接する外部スイッチと連携して複数の仮想マシンと外部ネットワーク間のブリッジング サポートを提供するサーバー上のソフトウェア機能です。VEPA は、VM 由来のすべてのフレームをフレーム処理とフレーム リレー(ヘアピン転送を含む)のために隣接するブリッジに転送し、VEPA アップリンクから受信したフレームを適切な宛先にステアリングおよび複製することで、スイッチと連携します。 |
EVBを設定することで、仮想ステーションインターフェイス(VSI)ディスカバリーおよび設定プロトコル(VDP)も有効になります。
設定
手順
CLI クイックコンフィギュレーション
EVBを迅速に設定するには、以下のコマンドをコピーして、 階層レベルのスイッチのCLIに [edit] 貼り付けます。
set interfaces ge-0/0/20 unit 0 family ethernet-switching port-mode tagged-access set protocols lldp interface ge-0/0/20.0 set vlans vlan_purple interface ge-0/0/20.0 set vlans vlan_orange interface ge-0/0/20.0 set vlans vlan_blue interface ge-0/0/20.0 set protocols edge-virtual-bridging vsi-discovery interface ge-0/0/20.0 set policy-options vsi-policy P1 from vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb998 set policy-options vsi-policy P1 then filter f2 set policy-options vsi-policy P3 from vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997 set policy-options vsi-policy P3 then filter f3 set firewall family ethernet-switching filter f2 term t1 then accept set firewall family ethernet-switching filter f2 term t1 then count f2_accept set firewall family ethernet-switching filter f3 term t1 then accept set firewall family ethernet-switching filter f3 term t1 then count f3_accept set protocols edge-virtual-bridging vsi-discovery vsi-policy P1 set protocols edge-virtual-bridging vsi-discovery vsi-policy P3
手順
スイッチで EVB を設定するには:
EVB を有効にするインターフェイスにタグ付きアクセス モードを設定します。
[edit interfaces ge-0/0/20] user@switch# set unit 0 family ethernet-switching port-mode tagged-access
EVB を有効にするポート インターフェイスで LLDP(Link Layer Discovery Protocol)を有効にします。
[edit protocols] user@switch# set lldp interface ge-0/0/20.0
仮想マシン上のすべての VLAN のメンバーとしてインターフェイスを構成します。
[edit] user@switch# set vlans vlan_purple interface ge-0/0/20.0 user@switch# set vlans vlan_orange interface ge-0/0/20.0 user@switch# set vlans vlan_blue interface ge-0/0/20.0
インターフェイスでVDP(VSI検出および制御プロトコル)を有効にします。
[edit protocols] user@switch# set edge-virtual-bridging vsi-discovery interface ge-0/0/20.0
VSI情報のポリシーを定義します。VSI情報は、VSIマネージャーID、VSIタイプ、VSIバージョン、VSIインスタンスIDに基づいています。
[edit policy-options] user@switch# set vsi-policy P1 from vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb998 user@switch# set vsi-policy P1 then filter f2 user@switch# set vsi-policy P3 from vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997 user@switch# set vsi-policy P3 then filter f3
前のステップで 2 つの VSI ポリシーが定義され、それぞれが異なるファイアウォール フィルターにマッピングされました。ファイアウォールフィルターを定義します。
[edit firewall family ethernet-switching] user@switch# set filter f2 term t1 then accept user@switch# set filter f2 term t1 then count f2_accept user@switch# set filter f3 term t1 then accept user@switch# set filter f3 term t1 then count f3_accept
VSI ポリシーと VSI 検出プロトコルの関連付け
[edit] user@switch# set protocols edge-virtual-bridging vsi-discovery vsi-policy P1 user@switch# set protocols edge-virtual-bridging vsi-discovery vsi-policy P3
結果
user@switch# show protocols
edge-virtual-bridging {
vsi-discovery {
interface {
ge-0/0/20.0;
}
vsi-policy {
P1;
P3;
}
}
}
lldp {
interface ge-0/0/20.0;
user@switch# show policy-options
vsi-policy P1 {
from {
vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4ee
b-8f00-c84ebb0bb998;
}
then {
filter f2;
}
}
vsi-policy P3 {
from {
vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4ee
b-8f00-c84ebb0bb997;
}
then {
filter f3;
}
}user@switch# show vlans
vlan_blue {
interface {
ge-0/0/20.0;
}
}
vlan_orange {
interface {
ge-0/0/20.0;
}
}
vlan_purple {
interface {
ge-0/0/20.0;
interface;
}
}user@switch# show firewall
family ethernet-switching {
filter f2 {
term t1 {
then {
accept;
count f2_accept;
}
}
}
filter f3 {
term t1 {
then {
accept;
count f3_accept;
}
}
}
}
検証
EVB が有効で正常に動作していることを確認するには、次のタスクを実行します。
EVB が正しく設定されていることを確認する
目的
EVB が正しく設定されていることを確認します。
対処
user@switch# show edge-virtual-bridging Interface Forwarding Mode RTE Number of VSIs Protocols ge-0/0/20.0 Reflective-relay 25 400 ECP, VDP, RTE
意味
LLDPが最初に有効になると、LLDPを使用してスイッチとサーバー間でEVB LLDP交換が行われます。この交換の一環として、以下のパラメーターがネゴシエートされます。サポートされているVSIの数、転送モード、ECPサポート、VDPサポート、RTE(再送信タイマー指数)の数。ネゴシエートされたパラメーターの値が出力に含まれている場合、EVB は正しく設定されています。
仮想マシンがスイッチに正常に関連付けられていることを確認します。
目的
仮想マシンがスイッチに正常に関連付けられていることを確認します。VSIプロファイルとスイッチインターフェイスの関連付けに成功した後、MACテーブルまたは転送データベーステーブルでVMのMACアドレスの学習を確認します。VMのMACアドレスの学習タイプはVDPになり、VMのシャットダウンに成功すると、対応するMAC-VLANエントリーがFDBテーブルからフラッシュされ、そうでなければシャットダウンすることはありません。
対処
user@switch# run show ethernet-switching table Ethernet-switching table: 10 entries, 4 learned VLAN MAC address Type Age Interfaces v3 * Flood - All-members v3 00:02:a6:11:bb:1a VDP - ge-1/0/10.0 v3 00:02:a6:11:cc:1a VDP - ge-1/0/10.0 v3 00:23:9c:4f:70:01 Static - Router v4 * Flood - All-members v4 00:02:a6:11:bb:bb VDP - ge-1/0/10.0 v4 00:23:9c:4f:70:01 Static - Router v5 * Flood - All-members v5 00:23:9c:4f:70:01 Static - Router v5 52:54:00:d5:49:11 VDP - ge-1/0/20.0
スイッチで VSI プロファイルが学習されていることを確認する
目的
スイッチで VSI プロファイルが学習されていることを確認します。
対処
user@switch# show edge-virtual-bridging vsi-profiles
Interface: ge-0/0/20.0
Manager: 97, Type: 997, Version: 3, VSI State: Associate
Instance: 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997
MAC VLAN
00:10:94:00:00:04 3意味
VEPA用に設定されたVMがサーバーで起動されるたびに、VMはVDPメッセージの送信を開始します。このプロトコルの VSI プロファイルの一部として、スイッチで学習されます。
出力にマネージャー、タイプ、バージョン、VSI 状態、およびインスタンスの値がある場合、VSI プロファイルはスイッチで学習されています。