EVPN

GBPフィルター(EX4100、EX4400、EX4650、QFX5120)のデフォルト破棄ポリシー—Junos OS リリース 24.2R1以降、パケットが一致条件のいずれかを満たさなかった場合に適用されるデフォルトの破棄ポリシーで、グループベースポリシー(GBP)ファイアウォールフィルターを設定できます。

[ 「例:VXLAN でグループベースのポリシーを使用したマイクロおよびマクロのセグメンテーション」を参照]

GBPフィルター(EX4100、EX4400、EX4650、QFX5120)のMAC/IPインタータギング—Junos OS リリース 24.2R1以降、メディアアクセス制御(MAC)ベースのGBPファイアウォールフィルターをルーティングされたトラフィックに、IPベースのGBPファイアウォールフィルターをスイッチされたトラフィックに適用できるようになりました。これはインタータギングと呼ばれます。以前は、スイッチドトラフィックに適用されるMACベースGBPフィルターと、ルーティングされたトラフィックに適用されるIPベースGBPフィルターでした。相互タギングを有効にすることで、MACベースとIPベースのGBPフィルターをスイッチドトラフィックとルーテッドトラフィックの両方に適用することができます。

[ 「例:VXLAN でグループベースのポリシーを使用したマイクロおよびマクロのセグメンテーション」を参照]

イングレスポリシーの適用とタグ伝播(EX9204、EX9208、EX9214)—Junos OS リリース24.2R1以降、EX9204、EX9208、EX9214スイッチは、グループベースポリシー(GBP)ファイアウォールフィルターのイングレスポリシー適用と/32 IPルートのGBPタグ伝播をサポートしています。Ingressポリシーの適用とGBPタグの伝播は、そうでなければEgressで破棄されるタグ付きパケットをIngressで破棄することで、ネットワーク帯域幅を節約します。

[ 「例:VXLAN でグループベースのポリシーを使用したマイクロおよびマクロのセグメンテーション」を参照]

EVPN タイプ 5 ルートアドバタイズメント(EX4400、EX4650、QFX5120)を使用した GBP タグ伝播—Junos OS リリース 24.2R1 以降、IP プレフィックスの EVPN タイプ 5 ルートアドバタイズメントを使用したグループベースポリシー(GBP)タグ伝播をサポートしています。スイッチとルーターは、通常、データ センター間でのルート交換に EVPN タイプ 5 アドバタイズメントを使用します。このリリース以前は、データセンター間でEVPNタイプ2からタイプ5へのルート変換をサポートしていたため、IPプレフィックスルートではなく/32IPルートが交換されていました。

[ 「例:VXLAN でグループベースのポリシーを使用したマイクロおよびマクロのセグメンテーション」を参照]

EVPN-VXLANオーバーレイネットワーク(EX4650、QFX5120-32C、QFX5120-48T、QFX5120-48T-VC、QFX5120-48Y、QFX5120-48Y-VC、QFX5120-48YM)でのアクセスセキュリティサポート—Junos OS リリース 24.2R1以降、EVPN-VXLAN(イーサネットVPN–仮想拡張LAN)一元的にルーティングされたオーバーレイネットワーク(2層IPファブリック)のレイヤー2 VXLANゲートウェイとして機能する特定のEXシリーズおよびQFXシリーズスイッチでアクセスセキュリティ機能がサポートされています。VXLAN にマッピングされた VLAN に関連付けられたレイヤー 2 サーバーに接続するインターフェイスでは、以下の機能をサポートしています。

• DHCPv4 および DHCPv6 スヌーピング[ DHCP スヌーピングを参照]

• Dynamic ARP Inspection(DAI)[ Dynamic ARP Inspection(DAI)の理解と使用』を参照してください。

• 近隣探索インスペクション(NDI)( IPv6 近隣探索インスペクションを参照)

• IPv4 および IPv6 ソース ガード [ スイッチのポート セキュリティのための IP ソース ガードについてを参照してください]

• ルーター アドバタイズメント(RA)ガード [ IPv6 ルーター アドバタイズメント ガードについてを参照してください。]

アクセスセキュリティ機能は、EVPN-VXLAN環境でも、EVPN-VXLAN以外の環境と同じように機能し、同じ方法で設定します。ただし、次の違いに注意してください。

• これらの機能は、マルチホーム サーバーではサポートされません。

• これらの機能は、VXLAN のトンネリングおよびカプセル化プロセスに影響しません。

EVPN-VXLAN を使用した MAC-VRF インスタンス(EX4100-48MP、EX4100-24MP、EX4100-48P、EX4100-48T、EX4100-24P、EX4100-24T、EX4100-F-48P、EX4100-F-24P、EX4100-F-48T、EX4100-F-24T、EX4100-F-12P、EX4100-F-12T、EX4300-MP)—mac-vrfインスタンスタイプのサポートには、EVPNユニキャストルートのみのvlan-based、vlan-aware、およびvlan-bundleサービスタイプが含まれます。

[ MAC-VRFルーティングインスタンスタイプの概要、 mac-vrf、 およびservice-typeを参照してください。

EVPN-VXLANを備えたMAC-VRF(EX9204およびEX9208スイッチ)—データセンターサービスプロバイダは、同じ物理ネットワーク内で独自のルーティングおよびブリッジングポリシーを使用して複数の顧客をサポートする必要があります。この要件に対応するために、タイプ mac-vrfの顧客固有の EVI(EVPN インスタンス)を複数設定し、それぞれが異なる EVPN サービス タイプをサポートできるようになりました。この設定により、EVPN-VXLAN(イーサネットVPN–仮想拡張LAN)ネットワークでVTEP(仮想トンネルエンドポイント)として機能するジュニパーネットワークスの各デバイスに、MACアドレスを持つ顧客固有のVRF(仮想ルーティングおよび転送)テーブルが作成されます。

この機能をサポートするために、RFC 7432、 BGP MPLS-Based Ethernet VPNに準拠した統一ルーティング インスタンス設定を導入しています。統一された設定により、EVI の数と、同時に存在できるそれぞれのポリシーを持つ EVI の組み合わせを制限するハードウェアの制限がなくなります。共通設定には、次の新しいCLI要素が含まれます:

• [edit routing-instances name instance-type] 階層レベルの mac-vrf キーワード。

• [edit routing-instances name] 階層レベルでのservice-type設定ステートメント。ジュニパーでは、VLAN ベース、VLAN 認識、VLAN バンドルの各サービス タイプをサポートしています。

• (QFX10000シリーズスイッチのみ)[edit routing-instances name]階層レベルでのforwarding-instance設定ステートメント。このオプションの構成ステートメントを使用すると、複数のルーティングインスタンスを単一の転送インスタンスにマッピングできます。この構成ステートメントを含めない場合は、既定の転送インスタンスが使用されます。

  既存のルーティング インスタンス構成の方法と、新しい統一ルーティング インスタンス構成を引き続きサポートします。

  [ EVPNユーザーガイドを参照]

EVPN-VxLANマルチキャスト(EX4100-48MP、EX4100-24MP、EX4100-48P、EX4100-48T、EX4100-24P、EX4100-24T、EX4100-F-12P、EX4400-24MP、EX4400-24P、EX4400-24T、EX4400-24X、EX4400-48F、EX4400-48MP、EX4400-48P、EX4400-48T)のsFlowサポート—Junos OS リリース24.2R1以降、sFlowテクノロジーを使用して、インターフェイスレベルで設定されたEVPN-VxLANマルチキャストトラフィックをサンプリングできます。

通常のレイヤー 3(L3)ゲートウェイ(アンダーレイ)、管理 IP(デフォルトまたはデフォルト以外のルーティング インスタンスを介して到達可能)、または VXLAN トンネル(オーバーレイ)を介して到達可能なコレクターを使用したサンプリングがサポートされています。

既知のマルチキャストサンプリングを有効にするには、CLIコマンド set forwarding-options sFlow egress-multicast enableを使用します。

[ sFlowテクノロジーの概要をご覧ください。

IPv6アンダーレイを備えたEVPN-VXLANファブリック(EX4100-48MP、EX4100-24MP、EX4100-48P、EX4100-24P、EX4100-24T)—Junos OS リリース24.2R1以降、IPv6アンダーレイを備えたイーサネットVPN–仮想拡張LAN(EVPN-VXLAN)ファブリックを設定できます。この機能は、MAC-VRF ルーティング インスタンス(すべてのサービス タイプ)でのみ使用できます。ファブリック内のEVPNインスタンス間で、IPv4またはIPv6アンダーレイを設定する必要があります。同じファブリックに IPv4 と IPv6 アンダーレイを混在させることはできません。

この機能を有効にするには、EVPN アンダーレイを設定する際に次の手順を実行します。

• アンダーレイ VXLANトンネルエンドポイント(VTEP)送信元インターフェイスを IPv6 アドレスとして設定します。

  set routing-instances mac-vrf-instance-name vtep-source-interface lo0.0 inet6

• アンダーレイは IPv6 アドレス ファミリーを使用しますが、BGP ハンドシェイクをアンダーレイで機能させるためには、ルーティング インスタンスのルーター ID を IPv4 アドレスで設定する必要があります。

  set routing-instances mac-vrf-instance-name routing-options router-id ipv4-address

IPv6 アンダーレイでは、以下の EVPN-VXLAN 機能をサポートしています。

• EVPNタイプ1、タイプ2、タイプ3、タイプ4、およびタイプ5ルート [ EVPN-VXLANのVXLANカプセル化を使用したEVPNタイプ5ルートを参照してください。]

• IPv6 アンダーレイの概要(「 IPv6 アンダーレイを使用した EVPN-VXLAN」を参照)。

• 共有 VTEP トンネル(MAC-VRF インスタンスで必要)

• 全アクティブ マルチホーミング[ EVPN マルチホーミングの概要を参照してください。

• EVPN コアの分離 [ EVPN-VXLAN コアの分離を無効にするタイミングについてを参照してください。

• ブリッジ オーバーレイ [ ブリッジ オーバーレイの設計と実装を参照してください。

• IPv4またはIPv6トラフィックを使用したエッジルーテッドブリッジング(ERB)および集中型ルーテッドブリッジング(CRB)オーバーレイにおけるレイヤー3ゲートウェイ機能

• アンダーレイおよびオーバーレイのロードバランシング

• IRB(統合型ルーティングおよびブリッジング)インターフェイス上のレイヤー 3 プロトコル - BFD、BGP、OSPF [ EVPN-VXLAN の IRB インターフェイスでサポートされているプロトコルを参照してください。]

• EVPN プロキシの ARP(Address Resolution Protocol)と ARP の抑制、およびプロキシの近隣探索プロトコル(NDP)と NDP の抑制( EVPN プロキシ ARP と ARP の抑制、プロキシ NDP と NDP の抑制を参照)。

[ 「VXLAN データ プレーン カプセル化を使用した EVPN について 」および 「EVPN ユーザー ガイド」を参照してください。

EVPN-VXLANブリッジオーバーレイネットワーク(EX4100-48P、EX4400-48F、QFX5120-32C、QFX5120-48T、QFX5120-48Y、QFX5120-48YM)のVXLANトンネルを介したQ-in-Qを使用したL2PT—Junos OS リリース 24.2R1以降、アクセスインターフェイスからブリッジオーバーレイ(BO)イーサネットVPN–仮想拡張LAN(EVPN-VXLAN)ネットワーク内のVXLANトンネル宛先へのトラフィックに対して、Q-in-Qによるレイヤー2プロトコルトンネリング(L2PT)がサポートされています。この機能は、サービスプロバイダ スタイルまたはエンタープライズ スタイルのアクセス インターフェイス設定で使用できます。

EVPN-VXLANネットワークでサポートされているすべてのQ-in-Qユースケースで、VXLANトンネル経由のL2PTを使用できます。Q-in-Q の場合、デバイスはフレーム内の VLAN の VNI を使用して VXLAN 上のタグ付きフレームをトンネリングし、ネイティブ VLAN の VNI を使用してタグなしフレームをトンネリングします。

この機能を有効にするには、アクセスインターフェイス名interface nameと以下の必須オプションを使用して、[edit protocols layer2-control]階層レベルでl2ptステートメントを設定します。

• destination vxlan-tunnel- VXLAN トンネル宛先へのトラフィックの L2PT を有効にします。

• protocol protocol-name—トンネリングするプロトコルを指定します。トンネリングする各プロトコルに追加の protocol ステートメントを含めます。

[ EVPN-VXLAN ブリッジドオーバーレイネットワークの VXLAN トンネルを介したレイヤー 2 プロトコルトンネリング、 例:EVPN-VXLAN オーバーレイネットワークでの Q-in-Q トラフィックのトンネリング、および l2pt(宛先トンネル)を参照してください。]

DCIからDC(EX4400-24MP、EX4400-48F、MX304、QFX5120-32C、QFX5120-48T、QFX5120-48T-VC、QFX5120-48Y、QFX5120-48Y-VC、QFX5120-48YM)へのEVPNタイプ5ホストルートを抑制—Junos OS リリース 24.2R1以降、データセンターの相互接続(DCI)からローカルDCに再発信されるEVPNタイプ5ホストルートアドバタイズメントを抑制できます。この機能を使用すると、リーフデバイスでのスケーリングとパフォーマンスを向上させることができます。

[ suppress-host-routes-from-dci-to-dcを参照してください。

IPv6アンダーレイを備えたEVPN-VXLAN ERBオーバーレイネットワークにおける拡張OISM(EX4100-48MP、EX4100-24MP、EX4100-48P、EX4100-48T、EX4100-24P、EX4100-24T、EX4100-F-48P、EX4100-F-24P、EX4100-F-48T、EX4100-F-24T、EX4100-F -12P、EX4100-F-12T、EX4400-24MP、EX4400-24P、EX4400-24T、EX4400-24X、EX4400-48F、EX4400-48MP、EX4400-48P、EX4400-48T、EX4650、QFX5120-32C、QFX5120-48T、QFX5120-48Y、QFX5120-48YM)—Junos OS リリース 24.2R1 以降では、IPv6 アンダーレイを備えたイーサネット VPN–仮想拡張LAN(EVPN-VXLAN)エッジルーテッド ブリッジング(ERB)オーバーレイネットワークを使用して、IPv4 および IPv6 マルチキャスト データ トラフィック用に拡張最適化インターサブネット マルチキャスト(OISM)を設定できます。この機能を設定するには:

• IPv6アンダーレイを使用してEVPN-VXLANファブリックを設定します。

  • IPv6 アンダーレイには、外部 BGP(EBGP)または OSPFv3 と IPv6 アドレス指定を使用できます。

  • VXLANトンネルエンドポイント(VTEP)ソース インターフェイスを EVPN インスタンス(EVI)内のデバイス ループバック インターフェイスに設定する場合は、 inet6 オプションを使用します。

• IPv4アンダーレイを使用してEVPN-VXLANネットワークでこれらの要素を設定するのと同じ方法で、マルチキャストEVPN-VXLAN環境の拡張OISM要素を設定します。

  サポートされているすべてのプラットフォームを拡張 OISM サーバー リーフ デバイスとして設定でき、EX4650 および QFX5120 スイッチのみを拡張 OISM 境界リーフ デバイスとして設定できます。

[ IPv6アンダーレイを使用したEVPN-VXLAN と EVPNネットワークでの最適化されたインターサブネットマルチキャストを参照してください。]

拡張 OISM(EX4100-24T、EX4300-MP、EX4400-24MP、EX4400-24P、EX4400-48F、EX4400-48MP、EX4650、QFX5120-32C、QFX5120-48T、QFX5120-48T-VC、QFX5120-48Y、QFX5120-48Y-VC、QFX5120-48YM)を実行する EVPN-VXLAN ネットワークでマルチホーミング ピア リーフ デバイスを静的に識別する Junos OS リリース 24.2R1 以降、拡張最適化が実行されているイーサネット VPN–仮想拡張LAN(EVPN-VXLAN)ネットワーク内でピアを識別するようにマルチホーミング ピア リーフ デバイスを静的に設定できますインターサブネットマルチキャスト(OISM)。EVPN-VXLAN PE(プロバイダエッジ)リーフデバイスは、マルチホームホストのイーサネットセグメント(ES)を共有する場合、マルチホーミングピアとなります。OISM の強化により、リーフ デバイスがマルチホーミング ピアに関する静的情報を持っている場合、ピア デバイスがダウンしたりアップしたりした場合のマルチキャスト トラフィックの損失を回避できます。

各マルチホーミング ピア リーフ デバイスで、デバイスのマルチホーミング ピアを識別するには、[edit protocols evpn] 階層レベルで multihoming-peer-gateways [peer-device-IPv4-address … ] ステートメントを設定します。ピア アドレスのリストを角括弧で囲んで指定するか、単一のピア アドレスを角括弧なしで指定します。

[ 「OISM を強化したマルチホーミング ピアを静的に識別してコンバージェンスを向上させる」を参照]

EVPN-MPLSネットワーク(EX4400-24P、MX960、vMX)での非リバーティブプリファレンスベースのDF選択—Junos OS リリース 24.2R1以降、イーサネットVPN-MPLS(EVPN-MPLS)ネットワークのESI(イーサネットセグメント識別子)に対して、非リバーティブプリファレンスベースの指定フォワーダー(DF)選択を設定できます。デフォルトでは、イーサネットセグメント識別子(ESI)に対するプリファレンスベースのDF選択はリバーティブです。つまり、

• 現在 DF ロールにある EVPN PE(プロバイダ エッジ)デバイスがダウンした場合、次に優先される PE デバイスが新しい DF になります。

• 古い DF が復旧すると、DF ロールは古い DF に戻ります。

ESI の現在の DF ロールを頻繁に変更すると、トラフィック フローに影響を与える可能性があります。DF ロールの変更が元に戻らないようにするために、[edit interfaces name esi df-election-type preference] 階層レベルで non-revertive オプションを設定できるようになりました。

また、次のように、設定された最低の優先値または最も高い設定優先値に基づいて、EVPNインスタンス(EVI)ごと、またはESIごとにDF選択をロードバランシングするように設定できる新しいオプションも提供されています。

• EVI レベル—[edit routing-instances evpn-instance-name protocols evpn]階層レベルで designated-forwarder-preference-least オプションまたは designated-forwarder-preference-highest オプションを使用します。

• ESI レベル - [edit interfaces interface-name esi df-election-type preference] または [edit protocols evpn interconnect esi df-election-type preference] 階層レベルで least オプションを使用します。

[ df-election-type と evpn を参照してください]。

拡張OISM(EX4400-24MP、EX4400-24P、EX4400-48F、EX4400-48MP、EX4650、QFX5120-32C、QFX5120-48T、QFX5120-48Y、QFX5120-48YM)によるEVPN-VXLAN DCIマルチキャストのサポート—Junos OS リリース 24.2R1以降、EVPN-VXLAN(イーサネットVPN–仮想拡張LAN)からEVPN-VXLANシームレスデータセンターの相互接続(DCI)と強化された最適化されたインターサブネットマルチキャスト(OISM)がサポートされています。この機能を使用しない場合、DCI ゲートウェイ デバイスは、相互接続された WAN を介してマルチキャスト トラフィックをフラッディングします。ネットワークに多くのマルチキャストフローがある場合、またはマルチキャストトラフィックレートが高い場合、フラッディングは大量のWAN帯域幅を消費します。この機能は、マルチキャスト フラッディング動作をシームレスに置き換えます。DCI全体のマルチキャスト転送を最適化するには、各ネットワーク内のOISMリーフデバイスを使用します。

• 受信側がマルチキャスト フローに加入する場合、選択的マルチキャスト イーサネット タグ(SMET)ルート(EVPN タイプ 6 ルート)をアドバタイズします。DCIゲートウェイは、OISM SBD上のDCIを介してSMETルートをシームレスに伝送します。

• 受信したSMETルートに基づくマルチキャストトラフィックを、そのマルチキャストフローに加入しているDCI全体のリモートレシーバーにのみ送信します。

この機能を設定するには:

• DCI ゲートウェイ デバイスは、マルチキャストをサポートしていない場合のデバイスと同じ方法で設定します。

• DCI の両側のネットワークで拡張 OISM を設定します。

  • 拡張 OISM を使用すると、各データ センター ネットワーク内のマルチホーミング ピア OISM デバイスとピア DCI ゲートウェイを除き、デバイスがホストする VLAN のみで各 OISM デバイスを設定できます。これらのピアデバイスでは、OISM revenue VLAN を対称的に設定する必要があります。

  • DCI の両側にある、対応するテナントの仮想ルーティングおよび転送(VRF)インスタンスに、同じ OISM 補足ブリッジ ドメイン(SBD)を設定します。

OISM デバイスとして、DCI ゲートウェイは拡張 OISM 運用モデルに従って、独自のネットワーク内または DCI 全体の他の OISM デバイスにトラフィックを転送します。これらは、マルチキャストトラフィックを送信します。

• OISM SBD上のみ、DCI経由で他のDCIゲートウェイに。

• ネットワーク内の他のマルチホーミング以外のピアプロバイダーエッジ(PE)デバイスに対してのみ、OISM SBD上でのみ。

• 送信元 VLAN 上のマルチホーミング ピア PE デバイスにのみ。

また、DCI ゲートウェイを OISM PIM EVPN ゲートウェイ(PEG)として設定することもできます。このデバイスは、DCIゲートウェイおよびOISM PEGボーダーリーフデバイスとして機能し、いずれかのネットワーク外のデバイスとマルチキャストトラフィックを交換します。

[ EVPN ネットワークの最適化されたインターサブネット マルチキャストを参照]

802.1X ダイナミックにマッピングされたインターフェイス(EX4100-24MP、EX4300-MP、EX4400-24P、QFX5120-32C、QFX5120-48T、QFX5120-48Y)での EVPN タイプ 3 ルートの生成—Junos OS リリース 24.2R1 以降、802.1X プロトコルによって VXLAN(仮想拡張LAN)拡張ブリッジ ドメイン(BD)に動的にマッピングされたインターフェイス間のイーサネット VPN(EVPN)タイプ 3 ルートの生成がサポートされています。

[ dot1xを参照してください。