EVPN
-
VXLANグループベースのポリシー(EX9200-15Cラインカードを搭載したEX9204、EX9208、EX9214スイッチ)。 —Junos OSリリース23.2R1以降、マイクロセグメンテーションによってデータとアセットを保護することができます。既存のレイヤー3(L3)VXLANネットワーク識別子(VNI)とファイアウォールフィルターポリシーを使用して、基盤となるネットワークトポロジーに依存せずに、デバイスレベルまたはタグレベルでマイクロセグメンテーションを提供します。たとえば、VXLANグループベースポリシー(VXLAN-GBP)を使用して、IoTで生成されたネットワークトラフィックを保護できます。IoTデバイスは通常、ネットワーク上の特定のアプリケーションにのみアクセスします。GBPは、レイヤー2(L2)やL3ルックアップ、またはアクセスコントロールリスト(ACL)を必要とせずに、セキュリティポリシーを自動的に適用することで、このIoTドリブントラフィックを分離した状態に保ちます。
[ 例:VXLANでのグループベースポリシーを使用したミクロおよびマクロのセグメンテーションを参照してください。]
-
新しいVXLAN-GBPプロファイルとGBPポリシーフィルター(EX4100、EX4400、およびEX4650スイッチ)の追加のL4一致—Junos OSリリース23.2R1以降、グループベースポリシー(GBP)マイクロセグメンテーション機能に次の拡張機能が追加されました。
-
EX4400 および EX4650 スイッチは、新しい VXLAN-GBP プロファイルをサポートしています。
-
vxlan-gbp-l2-profile
このプロファイルにより、MACアドレスの容量が増加します。
-
vxlan-gbp-l3-profile
このプロファイルは、IP アドレスの容量を増やします。
-
-
EX4400、EX4100、EX4650 スイッチは、IPv4 または IPv6 の GBP ポリシー フィルターで追加のレイヤー 4 一致をサポートしています。MAC および IP ベースの GBP タグ付きパケットには、プロトコル、送信元ポート、宛先ポート、TCP フラグ、その他の一致を使用できます。
-
set forwarding-options evpn-vxlan gbp tag-only-policy
コマンドを使用して、EX4650シリーズのGBPポリシーでGBP送信元タグと宛先タグのみを一致させることができます。
[ 例:VXLANでのグループベースポリシーを使用したミクロおよびマクロのセグメンテーションを参照してください。]
-
-
EVPNファブリック(EX4400)のローカルおよびグローバルループ検出のサポート—Junos OSリリース23.2R1以降、重複MACアドレスの検出機能が強化され、重複MACアドレスが検出された場合に設定されたアクションを実行できるようになりました。ループは、プロバイダーエッジ(PE)デバイスが、同じブロードキャストドメイン内でフレームを相互に連続的に転送している場合に発生する可能性があります。
これらのループを検出して解決するには、ピアデバイスの 階層レベルで以下のステートメント
[edit routing-instances name protocols evpn duplicate-mac-detection]
を使用します。-
action <block | shutdown>
このオプションは
block
、重複する MAC アドレスの送信元 MAC アドレスまたは宛先 MAC アドレスを持つパケットをブロックします。オプションはshutdown
、重複するMACアドレスのローカルインターフェイスをシャットダウンします。 -
include-local-moves
.このステートメントは、ローカルインターフェイスで発生する重複したMACアドレスの移動を追跡します。
重複するMACアドレスを手動でクリアするには、 コマンドを発行します
clear evpn duplicate-mac-suppression <instance name | l2-domain-id | mac-address>
。シャットダウンされたインターフェイスを手動で回復するには、 コマンドを発行します
clear ethernet-switching recovery-timeout
。[ 重複MACアドレスのループ検知の設定を参照してください。]
-
-
対称型2EVPN-VXLANからEVPN-VXLAN DCIスティッチング(EX4650およびQFX10002)—Junos OSリリース23.2R1以降、データセンター相互接続(DCI)を使用したデータセンターネットワーク間で、イーサネットVPN-仮想拡張LAN(EVPN-VXLAN)からEVPN-VXLAN対称型2ルートスティッチングがサポートされています。お客様のネットワークは、対称タイプ2ルートスティッチングをサポートする他のベンダーのデバイスが含まれるデータセンターネットワークと、より効率的に相互運用できます。対称型 2 ルート スティッチングとは、VTEP(VXLAN トンネル エンドポイント)インターフェイスが、VXLAN トンネルのイングレス側とエグレス側の両方でルーティングとブリッジングを実行することを意味します。
[ EVPN-VXLANファブリックにおけるEVPNタイプ2ルートによる対称統合型ルーティングおよびブリッジングを参照してください。]
-
EVPN-VXLANからEVPN-VXLANスティッチング(EX4650およびQFX10002)へのGBPタグ伝搬—Junos OSリリース23.2R1以降、ステッチされたEVPN-VXLANデータセンター環境におけるEVPNタイプ2およびタイプ5ルートのグループベースポリシー(GBP)タグ伝搬がサポートされています。GBPは、既存のレイヤー3 VXLANネットワーク識別子(VNI)をファイアウォールフィルターポリシーと組み合わせて使用し、基盤となるネットワークトポロジーに関係なく、デバイスレベルまたはタグレベルでマイクロセグメンテーションを提供します。
[ 例:VXLANでのグループベースポリシーを使用したミクロおよびマクロのセグメンテーションを参照してください。]
-
デバイスがEVPNコア分離条件(EX4100-24MP、EX4400-24MP、MX304、MX10003)を検出した場合のハードインターフェイスのシャットダウン—Junos OSリリース23.2R1以降、デバイスがEVPNコア分離イベントを検出した場合、関連するインターフェイスをダウン(ハードシャットダウン)するようにデバイスを設定できます。CLI で、次の操作を行います。
-
コア分離状態を検出するためのサービス追跡プロファイルを定義します。
-
link-down
プロファイルでサービス追跡アクションを設定します。 -
デバイスがコア分離状態を検出した後に停止させるインターフェイスにプロファイルを割り当てます。
以下に対するコア分離サービスの追跡がサポートされています。
-
シングルホームCE(カスタマーエッジ)デバイスへのリンク。
-
マルチホーム CE デバイスへの ESI(イーサネット セグメント識別子)LAG メンバー インターフェイス。
[EVPNコア分離条件、ネットワーク分離、ネットワーク分離プロファイルについては、レイヤー2インターフェイスステータスの追跡とシャットダウンアクションを参照してください。]
-
-
EVPNデュアルホーミング(EX4100-48MP、EX4100-24MP、EX4100-48P、EX4100-48T、EX4100-24P、EX4100-24T、EX4100-F-48P、EX4100-F-24P、EX4100-F-48T、EX4100-F-24T、EX4100-F-12P、EX4100-F-24T、EX4100-F-12P、EX4100-)を備えたESI LAGの構成を簡略化 F-12T、EX4300-MP、EX4400-24MP、EX4400-24P、EX4400-24T、EX4400-24X、EX4400-48F、EX4400-48MP、EX4400-48P、EX4400-48T、EX4650、QFX5120-32C、QFX5120-48T、QFX5120-48Y、およびQFX5120-48YM)—Junos OSリリース23以降。 2R1では、新しいCLIステートメント階層レベル
[edit services evpn]
をサポートしています。.この階層レベルのステートメントを使用して、デバイス属性やその他のパラメーターを指定し、EVPNファブリックでイーサネットセグメントを設定できます。EZ-LAGと呼ばれるこの新しい構成機能は、デュアルホーミングのピアPE(プロバイダエッジ)デバイスに対して、イーサネットセグメント識別子(ESI)リンクアグリゲーショングループ(LAG)を使用してEVPNファブリックを設定することを簡素化します。この階層レベルで設定をコミットすると、デバイスは自動的にコミットスクリプトを呼び出し、対応する設定をデバイス上に作成します。いくつかの必須要素を指定する必要があります。オプションの要素を含めることもできます。指定しない省略可能な要素の場合、構成スクリプトは省略可能な要素を派生させます (またはスクリプトは既定のパラメーターを使用します)。
結果として得られる設定には、階層レベルで指定する
[edit services evpn]
さまざまな要素に対応する適用可能な設定スタンザが含まれます。新しい階層には、一部のデフォルトパラメータを上書きするオプションが含まれており、関連するステートメントを手動で設定することでコミットスクリプトの設定を上書きできます。
[ Easy EVPN LAG(EZ-LAG)設定 と
evpn
[サービスを編集]階層レベルのステートメントとオプションを参照してください。]