EVPN
-
IPv6アンダーレイを備えたEVPN-VXLANファブリック(EX4400-24MP、EX4400-24P、EX4400-24T、EX4400-24X、EX4400-48F、EX4400-48MP、EX4400-48P、EX4400-48T)—Junos OSリリース23.4R1以降、IPv6アンダーレイを使用してイーサネットVPN–仮想拡張LAN(EVPN-VXLAN)ファブリックを設定できます。この機能は、MAC-VRF ルーティング インスタンス(すべてのサービス タイプ)でのみ使用できます。ファブリック内のEVPNインスタンスにまたがるIPv4またはIPv6アンダーレイを設定する必要があります。同じファブリック内で IPv4 と IPv6 のアンダーレイを混在させることはできません。
この機能を有効にするには、EVPN アンダーレイの設定時に次の手順を含めます。
-
アンダーレイ VXLAN トンネル エンドポイント(VTEP)ソース インターフェイスを IPv6 アドレスとして設定します。
set routing-instances mac-vrf-instance-name vtep-source-interface lo0.0 inet6
-
ルーティングインスタンスのルーターIDを、ドット付きクワッド10進法の32ビット符号なし整数値として設定します。アンダーレイが IPv6 アドレスファミリーを使用している場合でも、BGP ハンドシェイクをアンダーレイで機能させるには、これを設定する必要があります。
set routing-instances mac-vrf-instance-name routing-options router-id router-ID
-
Junos OSリリース21.2R2で必要なBroadcom VXLANフレキシブルフロー機能を有効にします。この機能はデフォルトで有効になっていません。
set forwarding-options vxlan-flexflow
IPv6 アンダーレイでは、以下の EVPN-VXLAN 機能がサポートされています。
-
EVPNタイプ1、タイプ2、タイプ3、タイプ4、タイプ5のルート[ EVPN-VXLAN向けVXLANカプセル化を使用したEVPNタイプ5ルートを参照してください。]
-
共有 VTEP トンネル(MAC-VRF インスタンスで必要)。
-
全アクティブのマルチホーミング。[ EVPN マルチホーミングの概要を参照してください。]
-
EVPNコア・アイソレーション[ EVPN-VXLANコア分離を無効にするタイミングについてを参照してください。]
-
ブリッジオーバーレイ。[ ブリッジオーバーレイの設計と実装を参照してください。
-
レイヤー3ゲートウェイは、IPv4またはIPv6トラフィックとのエッジルーティングブリッジング(ERB)および中央ルーティングブリッジング(CRB)オーバーレイで機能します。
-
アンダーレイとオーバーレイのロードバランシング。
IRB インターフェイスを介したレイヤー 3 プロトコル—BFD、BGP、OSPF。[ EVPN-VXLAN の IRB インターフェイスでサポートされているプロトコルを参照してください。]
-
DCI(データセンターの相互接続)- OTT(オーバーザトップ)フルメッシュのみ[ EVPNネットワークにおけるオーバーザトップデータセンターの相互接続を参照してください。]
-
EVPN プロキシ ARP および ARP 抑制、プロキシ NDP および NDP 抑制。[ EVPN プロキシ ARP および ARP 抑制、およびプロキシ NDP および NDP 抑制を参照してください。]
[ IPv6アンダーレイを使用したEVPN-VXLANを参照してください。]
-
-
EVPNデュアルホームピア(EX4100-48MP、EX4100-H-12P-DC、EX4100-H-24P、EX4100-H-24F-DC、EX4100-24MP、EX4100-48P、EX4100-48T、EX4100-24P、EX4100-F-48P、EX4100-F-24P、 EX4100-F-48T、EX4100-F-24T、EX4100-F-12P、EX4100-F-12T、EX4400-24MP、EX4400-24P、EX4400-24T、EX4400-24X、EX4400-48F、EX4400-48MP、EX4400-48P、EX4400-48T、EX4650)—Junos OSリリース23.4R1より、EVPNピアのバックアップ活性検出のサポートが追加されました。この機能は、2台のスパインデバイスを持つデータセンター間のBGPセッションがダウンした場合に、それらのデバイス間のトラフィックを停止するコア分離機能のギャップに対処します。コアの分離と連動して隣接するピアの状態を追跡するバックアップ活性検出を設定し、BGP セッションの障害発生時でもスパインデバイスの 1 つへのリンクをアップ状態に維持することができます。この構成により、データセンター内のトラフィックを継続できます。
[ EVPNデュアルホームピアでのバックアップ活性検出を参照]
-
EVPN-VXLANファブリック(EX4100-24MP、EX4100-48MP、EX4100-24P、EX4100-48P、EX4100-48P、EX4100-24T、EX4100-48T、EX4400-24MP、EX4400-24P、EX4400-24T、EX4400-48F、EX4400-48MP、EX4400-48P、EX4400-48T、EX4650)のIPv4マルチキャストトラフィックに対するIGMPv2、IGMPv3、IGMPスヌーピングによる拡張OISM—Junos OSリリース23以降。 4R1では、EVPN-VXLANエッジルーテッドブリッジング(ERB)のIPv4マルチキャストトラフィックに対して、IGMPv2、IGMPv3、IGMPスヌーピングを使用した、拡張最適化されたインターサブネットマルチキャスト(OISM)モデルをサポートしています オーバーレイファブリック。拡張OISMでは、各デバイスで、デバイスがホストする収益VLANのみを設定するオプションがあります。通常のOIST対称ブリッジドメインモデルのように、すべてのOISTリーフデバイスのファブリックですべての収益VLANを設定する必要はありません。この非対称ブリッジドメインモデルにより、ネットワークに多数の異なるVLANをホストするリーフデバイスがある場合に、OISMを適切に拡張することができます。
拡張型OISMは、OIST対称ブリッジドメインモデルと同様に動作しますが、非対称ブリッジドメインモデルでは以下のような違いがあります。
- 送信元デバイスは、East-West マルチキャスト トラフィックを転送します。
- マルチホーミングピアリーフデバイスへのソースVLAN上。
- 他のすべての宛先のOISM補足ブリッジドメイン(SBD)上(送信元VLANをホストするかどうかは関係ありません)。
- 外部ソースから外部受信者への南北マルチキャスト トラフィックの場合:
-
ボーダーリーフのPIM EVPNゲートウェイ(PEG)デバイスは、EVPNタイプ10の選択的Pマルチキャストサービスインターフェイス(S-PMSI)自動検出(A-D)ルートを交換します。
-
S-PMSI A-D ルートを使用すると、PEG デバイスは、ファブリック内の送信元に対してのみ、マルチキャスト(S,G)PIM 登録を外部マルチキャスト ランデブー ポイント(RP)に確実にシグナリングできます。
-
- 以下を設定する必要があります。
oism
オプションの代わりにenhanced-oism
オプション (どちらのオプションも[edit forwarding-options multicast-replication evpn irb]
階層レベルにあります)。- マルチホーミングピアデバイスであるOISMリーフデバイス上の収益VLANを照合する。
[ EVPNネットワークにおける最適化されたインターサブネットマルチキャストを参照してください。]
- 送信元デバイスは、East-West マルチキャスト トラフィックを転送します。
-
EVPN-VXLANファブリック(EX4100-24T、EX4300-MP、EX4400-24MP、EX4400-24P、EX4400-48F、EX4400-48MP、EX4650)のIPv6マルチキャストトラフィックに対するMLDv1、MLDv2、MLDスヌーピングによる拡張OISM:Junos OSリリース23.4R1以降、EVPN-VXLANエッジルーテッドブリッジング(ERB)オーバーレイファブリックのIPv6マルチキャストトラフィックに対して、MLDv1、MLDv2、MLDスヌーピングを使用した拡張最適化されたインターサブネットマルチキャスト(OISM)モデルがサポートされています。拡張型OISMは、非対称ブリッジドメインモデルを採用しているため、多数の異なるVLANをホストするリーフデバイスがある場合でも、OISMを適切に拡張することができます。
[ EVPNネットワークにおける最適化されたインターサブネットマルチキャストを参照してください。]
-
サービス プロバイダ インターフェイス設定(EX4650)を使用した MC-LAG による静的 VXLAN のサポート:Junos OS リリース 23.4R1 以降、リーフ デバイスが MC-LAG および Q-in-Q VLAN トンネル(VLAN 変換)をサポートするスパイン/リーフ型ネットワークで、サービス プロバイダ スタイルのインターフェイスを使用してスタティック VXLAN を設定できるようになりました。Junos OS で Q-in-Q VLAN トンネルをサポートするのは、サービス プロバイダのインターフェイス設定を使用している場合のみです。
[ スタティック VXLAN トンネルを使用したリーフスパインネットワークの Q-in-Q トンネリングを参照してください。]
-
RADIUSサーバー(EX4100、EX4400、EX4650)を使用したGBPタグの802.1X割り当てのサポート:Junos OSリリース23.4R1以降、グループベースポリシー(GBP)マイクロセグメンテーション機能に次の拡張機能が追加されました。
-
RADIUS からGBP タグを動的に割り当てる新しい VSA「Juniper-Group-Based-Policy-Id」のサポート。
-
次の新しい CLI ステートメントのサポート:
-
set protocols dot1x authenticator interface [interface-name] server-fail gbp-tag gbp-tag
サーバーがアクセスできない場合にインターフェイスに適用するGBPタグを指定します。
-
set protocols dot1x authenticator interface [interface-name] server-reject-vlan gbp-tag gbp-tag
RADIUS がクライアント認証を拒否した場合に適用する GBP タグを指定します。
-
set protocols dot1x authenticator interface [interface-name] guest-gbp-tag gbp-tag
インターフェイスに 802.1X サプリカントが接続されていない状態で、インターフェイスがゲスト VLAN に移動された場合に適用する GBP タグを指定します。
-
-
-
VLAN、ポート、ポート+VLAN GBPフィルター一致(EX4100、EX4400、EX4650)の範囲とリストのサポート—Junos OSリリース23.4R1以降、EX4400、EX4100、EX4650スイッチは、条件内の同じタイプのVLAN、ポート、およびポート+VLANタイプのGBPフィルターに複数のエントリーをサポートします。EX4100スイッチは、VLANおよびポート+VLAN GBPフィルター一致オプションをサポートしていません。
-
EVPN-VXLANピュアT5ホストルート自動生成コミュニティ(EX4100-24T、EX4300-MP、EX4400-24MP、EX4400-24P、EX4400-48F、EX4400-48MP、EX4650、MX960)—Junos OSリリース23.4R1より、EVPN-VXLANピュアT5ホストルート自動生成コミュニティのサポートを追加しました。この機能は、MAC-IP ARP/NDP ベースの純粋なタイプ 5 ホスト ルートにコミュニティを追加します。データセンター内の他のリーフデバイスへのタイプ5接続と外部ネットワークへのタイプ5接続を備えたERBトポロジーの境界リーフデバイスは、個々のタイプ5ルートではなく、外部ネットワークに集約ルートをアドバタイズする必要があります。境界リーフデバイスは、このコミュニティを使用してこれらのルートを識別し、外部EVPNネットワークにアドバタイズするための集約ルートを作成できます。
-
EVPN-VXLAN(EX4100-24MP、EX4300-MP、EX4400-48MP、EX4650、MX204、MX240、MX480、MX960、MX10004、MX10008、MX2010、QFX10002-60C)によるMAC-IPバインディングの静的設定—Junos OSリリース23.4R1以降、インターフェイス上で静的MACを設定するのと同様に、インターフェイス上でMAC-IPバインディングを静的に設定できる機能が追加されました。この機能により、管理ホストとインフラストラクチャホストが提供する重要なサービスのIPおよびMACエントリの静的設定が可能になります。特に有利となるのは、参加者のカスタマーエッジルーター(CE)が既知の静的なままで、異なるPE(プロバイダエッジ)デバイスに移行しないインターネットエクスチェンジポイント(IXP)ネットワークです。
ブリッジドメインまたはVLAN内の論理インターフェイス用にIPアドレスとMACの間にスタティックリンクを確立する新機能を利用できるようになりました。PEで静的なMAC-IPエントリをプロビジョニングすると、PEは指数関数的なバックオフパターンに従ってプローブを開始します。プローブは、関連付けられたインターフェイスですべてゼロの送信者 IP アドレスを使用します。IP to MAC エントリを所有するエンティティがプローブに応答すると、システムは IP から MAC へのバインディングを静的なものとして学習します。その後、BGP/EVPNタイプ2 MACアドバタイズルートを介してリモートPEに伝播されます。対応するMACはダイナミックエントリーとして認識されます。IPからMACへのバインディングを学習するためのプローブメカニズムを無効にするには、新しい設定オプション[arp-nd-probe-disable]を設定します。プローブを使用しない場合、MAC および IP から MAC へのバインディングの両方がネットワーク トラフィックから取得され、EVPN を使用して通信されます。
以下のコマンドと設定ステートメントを紹介しました。
-
静的IPからMACへのバインディングの設定
手記:静的 IP アドレスごとに最大 8 つの MAC を設定できます。
-
QFX:
set vlans vlan-name switch-options interface interface-name static-mac-ip ip-address [MAC1 MAC2 … MACn]
-
MX インスタンスタイプ仮想スイッチ:
set routing-instances routing-instance-name bridge-domains bridge-domain-name bridge-options interface interface-name static-mac-ip ip-address [MAC1 MAC2 … MACn]
-
MX インスタンスタイプ EVPN:
set routing-instances routing-instance-name protocols evpn interface interface-name static-mac-ip ip-address [MAC1 MAC2 … MACn]
前述のコマンドは、IPV6エントリに
router
ビットとoverride
ビットを設定するオプションを提供します。例えば:QFX:
set vlans vlan-name switch-options interface interface-name static-mac-ip ip-address [MAC1 MAC2 … MACn] <router | override>
-
-
静的IPからMACへのエントリーの設定でプローブを無効にします。
スタティックIPからMACへのエントリーの設定でデフォルトプローブをオフにするには、グローバル設定ステートメント
arp-nd-probe-disable
を使用できます。set protocols l2-learning arp-nd-probe-disable
-
静的 IP から MAC エントリへのプローブに失敗した場合のロギングを有効にします。
ロギングを有効にするには、グローバル設定ステートメント
arp-nd-probe-failed-log
を設定します。set protocols l2-learning arp-nd-probe-failed-log
-
ローカルおよびリモートのスタティック エントリーに対して GARP/unsolicited-NA を有効にします。
この機能が必要な場合は、グローバル設定ステートメント
garp-na-enable
を設定する必要があります。set protocols l2-learning garp-na-enable
-
動的学習を無効にする [すべての静的プロビジョニング]
MAC-IPエントリの動的学習が必要ない場合は、BD/VLANの下にステートメント
drop-unknown-macip
を設定します。-
QFX:
set vlans vlan-name switch-options drop-unknown-macip
-
MX インスタンスタイプ仮想スイッチ:
set routing-instances routing-instance-name bridge-domains bridge-domain-name bridge-options drop-unknown-macip
-
MX インスタンスタイプ EVPN:
set routing-instances routing-instance-name protocols evpn drop-unknown-macip
-
-
ユニキャスト ARP 要求のドロップ
ユニキャストアドレス解決要求(NUD NS メッセージなど)をドロップするには、ステートメント
block-unicast-arp
を QFX のグローバル レベルと MX の BD レベルごとに設定できます。-
QFX:
set protocols l2-learning block-unicast-arp
-
MX インスタンスタイプ仮想スイッチ:
set routing-instances routing-instance-name bridge-domains bridge-domain-name bridge-options block-unicast-arp
-
MX インスタンスタイプ EVPN:
set routing-instances routing-instance-name protocols evpn block-unicast-arp
-
[ EVPN Proxy ARP および ARP 抑制、およびプロキシ NDP および NDP 抑制 と interface-mac-ip-limitを参照してください。]
-
-
EVPN-VXLANオーバーレイネットワーク(EX4400-48T、およびEX4650)のアクセスセキュリティサポート:Junos OSリリース23.4R1以降、EVPN-VXLANの中央ルーティングオーバーレイネットワーク(2層IPファブリック)でレイヤー2 VXLANゲートウェイとして機能するスイッチのアクセスセキュリティ機能がサポートされています。VXLAN にマッピングされた VLAN に関連付けられたレイヤー 2 サーバーに面したインターフェイスでは、以下の機能がサポートされています。
-
DHCPv4およびDHCPv6スヌーピング。[ DHCP スヌーピングを参照してください。
-
Dynamic ARP Inspection(DAI)。[ ダイナミック ARP インスペクション(DAI)の理解と使用を参照してください。]
-
近隣探索インスペクション(NDI)。[ IPv6 ネイバー探索インスペクションを参照。]
-
IPv4 および IPv6 ソース ガード[ スイッチのポート セキュリティのための IP ソース ガードについてを参照してください。]
-
ルーター アドバタイズメント(RA)ガード。[ IPv6ルーターアドバタイズガードについてを参照してください。
アクセス セキュリティ機能は EVPN-VXLAN 環境と同じように機能し、非 EVPN-VXLAN 環境でも同じように設定します。ただし、次の違いに注意してください。
-
マルチホーム サーバーでは、これらの機能はサポートされていません。
これらの機能は、VXLAN のトンネリングおよびカプセル化プロセスには影響しません。
-
-
EVPN-VXLANファブリック(EX4100-48MP、EX4100-H-12P、EX4100-H-12P-DC、EX4100-H-24P、EX4100-H-24P-DC、EX4100-H-24F-DC、EX4100-24MP、EX4100-48P、EX4100-48T、EX4100-24P、EX4100-F-48P、EX4100-F-24P、EX4100-F-48T、EX4100-F-24T、EX4100-F-24T、EX4100-F-12P、EX4100-F-12T)のループ検出。Junos OSリリース23以降。 4R1では、EVPN-VXLANファブリックのリーフデバイスのサーバー向けのレイヤー2インターフェイスでループ検出を設定できます。この機能は、以下のタイプのイーサネットループを検出できます。
-
イーサネットセグメント識別子(ESI)が異なる2つのインターフェイス間のループで、通常、ファブリックコンポーネントの配線ミスが原因で発生します。
-
同じESIを持つ2つのインターフェイス間のループ。通常、ファブリックへのサードパーティ製スイッチの配線ミスが原因で発生します。
ループ検出を有効にすると、インターフェイスは定期的にマルチキャスト ループ検出プロトコル データ ユニット(PDU)を送信します。ループ検出が有効なインターフェイスがPDUを受信すると、デバイスはループを検出し、設定されたアクションをトリガーしてループを遮断します。たとえば、
interface-down
アクションを設定すると、デバイスはインターフェイスをダウンさせます。revert-interval
タイマーが切れると、デバイスはアクションを元に戻し、インターフェイスを再び立ち上げます。[ ループ検出(EVPN)を参照してください。]
-