ソリューションアーキテクチャ

Juniper Mist Wired Assuranceの概要

Juniper Mist Wired Assuranceは、スイッチ、IoTデバイス、AP、サーバー、プリンターなどのキャンパスファブリックに、自動化された運用とサービスレベルをもたらすクラウドサービスです。Day 0のシームレスなオンボーディングと自動プロビジョニングから、Day 2以降の運用と管理まで、すべてのステップを簡素化することです。ジュニパーネットワーク®スのEXシリーズスイッチは、スイッチのヘルス指標や異常検知、Mist AI™機能に関するインサイトを可能にする、豊富なJunos OSストリーミングテレメトリを提供します。

MistのAIエンジンと仮想ネットワークアシスタント「Marvis®」により、トラブルシューティングがさらに簡素化され、イベントを監視してアクションを推奨することで、ヘルプデスクの運用が効率化されます。MarvisはSelf-Driving Network™に向けた一歩であり、インサイトをアクションに変え、情報技術(IT)の運用を事後対応型のトラブルシューティングから事前対応型の修復へと根本的に変革します。

™ Juniper Mistクラウドサービスは、オープンなアプリケーションプログラミングインターフェース(API)を使用して100%プログラム可能で、完全自動化、運用サポートシステムとの統合、またはその両方を実現します。運用サポートシステムには、ITアプリケーション、チケット発行システム、IP管理システムが含まれます。

™ Juniper Mistは、WAN、LAN、無線ネットワーク向けに、次のような独自の機能を提供します。

• 大規模なユーザーインターフェイス(UI)またはAPIドリブンの構成。
• スループット、容量、ローミング、稼働時間などの主要なパフォーマンス指標のサービスレベル期待値(SLE)。
• 仮想ネットワークアシスタント「Marvis®」:フルスタックネットワークの問題の迅速なトラブルシューティング、トレンド分析、異常検知、事前対応型問題修正を提供する統合AIエンジン。
• 単一の管理システム。
• ライセンス管理。
• 長期的なトレンド分析とデータ保存のためのPremium Analytics。

Juniper Mist Wired Assuranceの詳細については、次のデータシートを参照してください。 https://www.juniper.net/content/dam/www/assets/datasheets/us/en/cloud-services/juniper-mist wired-assurance-datasheet.pdf

キャンパスファブリックのコアディストリビューションの高レベルのアーキテクチャ

EVPN-VXLANアーキテクチャを採用したEVPNマルチホーミングは、オーバーレイネットワークをアンダーレイネットワークから切り離します。このアプローチは、ネットワーク管理者が1つ以上のレイヤー3ネットワークに論理レイヤー2ネットワークを作成できるようにすることで、最新のエンタープライズネットワークのニーズに対応します。EVPNマルチホーミング展開では、EVPN VXLANを使用することで、ルーティングインスタンスを使用したネイティブトラフィックの分離がサポートされます。一般に、マクロセグメンテーションの目的でVRF(仮想ルーティングおよび転送)と呼ばれます。

Juniper Mist™ポータルワークフローにより、キャンパスファブリックを簡単に作成できます。

図1:概要レベルのキャンパスファブリック作成

アンダーレイ ネットワーク

EVPN-VXLANファブリックアーキテクチャにより、キャンパスおよびデータセンター全体でネットワークインフラストラクチャの一貫性と一貫性がシンプルになります。すべてのコラプストコアデバイスは、レイヤー3インフラストラクチャを使用して相互に接続する必要があります。

任意のレイヤー 3 ルーティング プロトコルを使用して、コア デバイスとディストリビューション デバイス間でループバック アドレスを交換できます。BGPには、より優れたプレフィックスフィルタリング、トラフィック制御、ルートタギングなどの利点があります。Mist は、この例では、eBGP をアンダーレイ ルーティング プロトコルとして設定しています。Juniper Mistは、キャンパスファブリックのみのアンダーレイとオーバーレイに、プライベート自律システム番号とすべてのBGP設定を自動的にプロビジョニングします。外部のBGPピアとのピアリングを可能にするために、追加のBGPスピーカーを提供するオプションがあります。

アンダーレイ BGP は、ピアからループバック アドレスを学習し、オーバーレイ BGP がループバック アドレスを使用してネイバーを確立できるようにするために使用されます。その後、オーバーレイはEVPNルートの交換に使用されます。

図2:折り畳み式コアスイッチ間で/31アドレッシングを使用したPt-Ptリンク

ネットワークオーバーレイは、物理ネットワークに依存しない接続性とアドレス指定を可能にします。イーサネット フレームは、IP UDP データグラムにラップされ、アンダーレイを介したトランスポートのために IP にカプセル化されます。VXLANにより、仮想レイヤー2サブネットまたはVLANは、基盤となる物理レイヤー3ネットワーク全体に広がることができます。

VXLAN オーバーレイネットワークでは、各レイヤー 2 サブネットまたはセグメントは、VNI(仮想ネットワーク識別子)によって一意に識別されます。VNI は、VLAN ID と同じ方法でトラフィックをセグメント化します。このマッピングは、コア、ディストリビューション、およびボーダーゲートウェイで発生し、コアまたはサービスブロックに配置できます。VLAN と同様に、同じ仮想ネットワーク内のエンドポイントが相互に直接通信できます。

異なる仮想ネットワーク内のエンドポイントには、VXLAN 間ルーティングをサポートするデバイス(通常はルーター、またはレイヤー 3 ゲートウェイと呼ばれるハイエンド スイッチ)が必要です。VXLANのカプセル化とカプセル化解除を実行するエンティティは、VTEPと呼ばれます。各 VTEP はレイヤー 2 ゲートウェイと呼ばれ、通常、デバイスのループバック アドレスが割り当てられます。ここには、VXLAN(一般に VNI として知られている)から VLAN へのマッピングも存在します。

図 3:VXLAN VTEP トンネル

VXLANは、コントロールプレーンプロトコルを使用せずに、レイヤー3 IPキャンパスファブリック全体にトンネリングプロトコルとして導入できます。ただし、VXLANトンネルのみを使用する場合では、イーサネットプロトコルのフラッドと学習動作は変わりません。

コントロール プレーン プロトコルを使用せずに VXLAN を使用する主な方法は、スタティック ユニキャスト VXLAN トンネルと VXLAN トンネルの 2 つです。これらの方法ではマルチキャスト アンダーレイでシグナリングされ、固有のフラッド アンド ラーニングの問題を解決できず、大規模なマルチテナント環境での拡張が困難です。これらのメソッドは、このドキュメントの範囲外です。

EVPNを理解する

イーサネットVPNは、MACアドレスやIPアドレスなどのエンドポイント到達性情報を他のBGPピアに配信するためのBGP拡張機能です。このコントロール プレーン テクノロジは、MAC アドレスと IP アドレスのエンドポイント配信にマルチプロトコル BGP(MP-BGP)を使用します。MAC アドレスはタイプ 2 の EVPN ルートとして扱われます。EVPNにより、VTEPとして動作するデバイスは、エンドポイントについての到達可能性に関する情報をお互いに交換できます。

ジュニパーがサポートするEVPN標準: https://www.juniper.net/documentation/us/en/software/junos/evpn-vxlan/topics/concept/evpn.html

EVPN-VXLANとは: https://www.juniper.net/us/en/research-topics/what-is-evpn-vxlan.html

EVPNを使用するメリットには、次のようなものがあります。

• MAC アドレスのモビリティ
• マルチテナント
• 複数リンク間の負荷分散
• 迅速なコンバージェンス
• 高可用性
• 規模
• スタンダードベースの相互運用性

EVPNは、オールアクティブモデルを通じて、マルチパス転送と冗長性を提供します。コラプストコア層は、リングトポロジーまたはメッシュトポロジーで最大4つのデバイスを持つことができます。1 つのコア デバイスに障害が発生した場合、トラフィック フローは残りのアクティブなリンクを使用します。

EVPNの技術機能には以下が含まれます。

• 最小フラッディング - EVPN は、VTEP 間でエンド ホストの MAC アドレスを共有するコントロール プレーンを作成します。
• マルチホーミング—EVPNは、クライアントデバイスのマルチホーミングをサポートします。マルチホーミングをサポートするには、分散型スイッチ間でエンドポイント アドレスの同期を可能にするEVPNなどの制御プロトコルが必要です。これは、トポロジー上を移動するトラフィックを複数のパス間でインテリジェントに移動する必要があるためです。
• エイリアシング - EVPNは、デバイスをキャンパスファブリックのディストリビューションレイヤーに接続する際に、すべてアクティブなマルチホーミングを活用します。マルチホーム分散レイヤースイッチからの接続はESI-LAGと呼ばれ、アクセスレイヤーデバイスは標準LACPを使用して各分散スイッチに接続します。
• スプリット ホライズン:スプリット ホライズンにより、ネットワーク内のブロードキャスト、不明なユニキャスト、マルチキャスト(BUM)トラフィックのループが回避されます。スプリット ホライズンを使用すると、パケットが受信したのと同じインターフェイスを介して送り返されることはなく、ループが防止されます。

オーバーレイネットワーク(データプレーン)

VXLANは、アンダーレイネットワークを介してネットワークエンドポイント間のイーサネットフレームをトンネリングするオーバーレイデータプレーンカプセル化プロトコルです。ネットワークに対して VXLAN のカプセル化およびカプセル化解除を実行するデバイスを VTEP と呼びます。VTEP は、フレームを VXLAN トンネルに送信する前に、VNI を含む VXLAN ヘッダーに元のフレームをラップします。VNI は、パケットをイングレス スイッチの元の VLAN にマッピングします。VXLAN ヘッダーを適用した後、フレームは UDP/IP パケットにカプセル化され、IP ファブリックを介してリモート VTEP に送信されます。そこで VXLAN ヘッダーが削除され、VNI から VLAN への変換がエグレス スイッチで行われます。

図4:VXLANヘッダー

VTEPは、VXLANトンネルの送信元と終端を行うデバイスのループバックアドレスに関連付けられたソフトウェアエンティティです。EVPNマルチホーミングファブリック内のVXLANトンネルは、コラプストコアスイッチでのみプロビジョニングされます。

オーバーレイネットワーク(コントロールプレーン)

EVPNシグナリングを備えたMP-BGPは、オーバーレイコントロールプレーンプロトコルとして機能します。隣接するスイッチは、アンダーレイ BGP セッションによって通知されたネクスト ホップを使用して、ループバック アドレスを使用してピアリングします。コラプストコアデバイスは、互いにeBGPセッションを確立します。キャンパスファブリックに参加しているスイッチ上でレイヤー2転送テーブルの更新があると、新しいMACルートを含むBGP更新メッセージをファブリック内の他のデバイスに送信します。その後、これらのデバイスはローカルEVPNデータベースとルーティングテーブルを更新します。EVPNマルチホーミングファブリックでは、コントロールプレーンの交換は内部BGPを介して行われ、各コラプストコアスイッチはルートリフレクタとして機能します。

図 5:EVPN オーバーレイ ネットワーク iBGP 同期

耐障害性とロードバランシング

BGPプロトコル実装の一環として、Bidirectional Forwarding Detection(BFD)をサポートしています。これにより、デバイスやリンクに障害が発生した場合でも、ルーティング プロトコルのタイマーに依存することなく、迅速なコンバージェンスを実現します。BFDの最小間隔Mist、アンダーレイとオーバーレイでそれぞれ1000msと3000msに設定されています。デフォルトでは、パケットあたりのロードバランシングは、転送プレーンでECMPを有効にすることで、キャンパスファブリック内のすべてのコアディストリビューションリンクでサポートされます。

イーサネットセグメント識別子(ESI)

アクセスレイヤーがキャンパスファブリック内のディストリビューションレイヤーデバイスにマルチホームされると、ディストリビューションレイヤーデバイス上でESI-LAGが形成されます。この ESI は 10 オクテット整数で、ESI に参加しているディストリビューション レイヤー スイッチ間のイーサネット セグメントを識別します。MP-BGPは、この情報を調整するために使用されるコントロールプレーンプロトコルです。ESI-LAGは、不良リンクが発生した場合のリンクフェイルオーバーを可能にし、アクティブ-アクティブロードバランシングをサポートし、Juniper Mistによって自動的に割り当てられます。

図 6: 耐障害性とロード バランシングの

アクセス層

アクセスレイヤーは、パーソナルコンピューター、VoIP電話、プリンター、IoTデバイスなどのエンドユーザーデバイスへのネットワーク接続だけでなく、無線APへの接続も提供します。この例では、アクセスポイントデバイスとしてジュニパーAPを使用しています。進化を続けるIT部門は、有線/無線ネットワークを管理するための一貫したアプローチを求めています。ジュニパーネットワークスは、運用とエンドツーエンドのトラブルシューティングを簡素化および自動化できるソリューションを提供し、最終的にはSelf-Driving Network™へと進化させます。

アクセス スイッチ自体は、EVPN マルチホーミング ファブリックのコラプストコア スイッチへの 2 つのアップリンクで IEEE 802.3ad リンク アグリゲーションとアクティブ LACP をサポートすることのみが要求されます。有線クライアントとAPが接続されているポートで構成されたVLANは、アップリンク上で多重化され、タグ付けされます。

シングルまたはマルチPoD設計

Juniper Mistキャンパスファブリックは、1つのPoD(旧名称はSite-Design)または複数のPoDによる導入をサポートします。以下に示す組織展開は、マルチPOD構造に合わせる必要がある企業を対象としています。

図7: 複数PoD設計例

ジュニパーアクセスポイント

私たちのネットワークでは、優先アクセスポイントデバイスとしてジュニパーのAPを選択しています。これらは、現代のクラウドおよびスマートデバイス時代の厳しいネットワーキングニーズを満たすためにゼロから設計されています。Juniper Mistは、有線と無線LANの両方に独自の機能を提供します。

• Wired AssuranceとWireless Assurance:Wired AssuranceとWireless Assurance Juniper Mist有効になります。設定が完了すると、スループット、容量、ローミング、稼働時間などの主要な有線および無線パフォーマンス指標に対するサービスレベル期待値(SLE)がJuniper Mistプラットフォームで対処されます。このJVDは、Juniper Mist Wired Assuranceサービスを使用しています。
• Marvis—有線および無線の迅速なトラブルシューティング、トレンド分析、異常検知、事前対応型問題修正を提供する統合AIエンジン。

VRF セグメンテーション

VRFセグメンテーションは、異なるグループを分離して分離しながら、共有ネットワーク上のグループにユーザーとデバイスを整理するために使用されます。ネットワーク上のルーティング デバイスは、グループごとに個別の VRF(仮想ルーティングおよび転送)テーブルを作成および維持します。グループ内のユーザーとデバイスは 1 つの VRF セグメントに配置され、相互に通信できますが、別の VRF セグメント内のユーザーと通信することはできません。ある VRF セグメントから別の VRF セグメントにトラフィックを送受信する場合は、ステートフル ファイアウォールも実装できるファブリックの WAN ルーターにルーティング パスを設定する必要があります。

キャンパスファブリックEVPNマルチホーミングでサポートされているプラットフォーム

このJVDがジュニパーネットワークスによって検証されたソフトウェアバージョンとプラットフォームを確認するには、本書の「検証済みプラットフォームとソフトウェア」セクションを参照してください。