ゲートウェイ機能と仮想ネットワークトラフィックの技術概要
レイヤー3ゲートウェイの機能は時間とともに進化し、サポートされる機能と操作にいくつかの違いがありました。Junos OS デバイスでレイヤー 3 ゲートウェイ機能を設定するには、2 つの方法があります。
IRB(統合型ルーティングおよびブリッジング)インターフェイスを直接設定し、ゲートウェイアドレスとしてアドバタイズします。
IRB インターフェイスと仮想ゲートウェイ アドレス(ゲートウェイのデフォルト IPv4 または IPv6 アドレスとして使用)を設定して、IRB インターフェイス冗長ゲートウェイ機能をサポートします。
仮想ネットワーク間のトラフィックでは、次の機能がサポートされています。
レイヤー 3 デフォルト ゲートウェイ機能
イーサネットVPN(EVPN)とレイヤー3ゲートウェイ機能を最初に考案した当初、 RFC 7209「イーサネットVPN(EVPN)の要件」 を遵守する必要があったため、2つの設定方法があります。EVPN インスタンスのすべての PE(プロバイダ エッジ)デバイスには、IRB が設定されている必要があります。
EVPN-Virtual Extensible LAN protocol(VXLAN)は、レイヤー2 MACアドレスとレイヤー3 IPアドレス情報に基づいて、ネットワーク内の転送決定を最適化します。転送(ルーティングまたはスイッチング)の決定は、ToR(トップオブラック)スイッチのリーフレイヤーで行う必要があります。ただし、QFX5100スイッチ(リーフレイヤーの現在の一般的な選択肢)は、サブネット内(レイヤー2)機能のみを提供します。サブネット間 (レイヤー 3) ルーティングは提供できません。そのため、スパインレイヤーでエンドポイント(またはエンドホスト)ゲートウェイの冗長性を実装する必要があります。
MX シリーズ ルーターは、IRB インターフェイスを介してエンドポイントにレイヤー 3 デフォルト ゲートウェイ機能を提供し、仮想マシン(VM)またはベアメタル サーバー(BMS)間のサブネット間転送を可能にします。 図1 は、ネットワークのスパインレイヤーでレイヤー3ゲートウェイ機能を提供するMXシリーズルーターの例を示しています。
デフォルト ゲートウェイ機能を提供するために、各 IRB インターフェイスには、デバイスに固有の IP/MAC アドレス ペアと、すべてのゲートウェイ デバイスで使用する共通の仮想ゲートウェイ IP アドレスと仮想 MAC アドレス ペアの 2 組のアドレスが割り当てられています。
IRB インターフェイスを設定するときは、IP アドレスが 2 つの独立した部分を持つと考えてください。
一意のパーツ(IRB インターフェイスの IP アドレス)
エニーキャスト パーツ(IRB 仮想ゲートウェイの IP アドレス)
メモ:仮想ゲートウェイのIPアドレスは、基本的には、冗長MXシリーズルーターのグループで使用されるエニーキャストIPアドレスと考えることができます。同じ仮想ゲートウェイ IP アドレスを持つことができるプロバイダエッジ(PE)デバイスの最大数は 64 です。
静的なデフォルトルートを使用してネットワーク上のエンドホストを設定することで、設定の労力と複雑さを最小限に抑え、エンドホストの処理オーバーヘッドを軽減します。ただし、エンド ホストにスタティック ルートを設定すると、通常、デフォルト ゲートウェイの障害によって壊滅的なイベントが発生し、ゲートウェイへの利用可能な代替パスを検出できないすべてのホストが分離されます。エニーキャストの IP アドレスと MAC アドレスを使用することで、デフォルト ゲートウェイの冗長性機能を有効にし、エンド ホストがサブネット間の継続的な到達可能性を確保できます。
仮想ゲートウェイの IP アドレスは、ブリッジ ドメインに接続されたエンド ホストまたは VM によってデフォルト ゲートウェイの IP アドレスとして使用されます。各エンド ホストまたは VM は、MX シリーズ ルーターのエニーキャスト IP アドレスをデフォルト ゲートウェイとして使用するように設定します。エニーキャスト IP アドレスをデフォルト ゲートウェイ アドレスとして使用すると、VM がネットワーク内のある場所から別の場所に移動するときに、移動された VM は同じデフォルト ゲートウェイを使用でき、MAC バインドのためにデフォルト ゲートウェイの IP アドレスを更新する必要がなくなります。
MX シリーズ ルーター ゲートウェイによって開始される ARP 要求と ping では、IRB の一意のインターフェイス IP アドレスが送信元 IP アドレスとして使用されます。
- 仮想ネットワーク間の既知のサブネット間トラフィックのデフォルト ゲートウェイとしての MX シリーズ ルーター
- 仮想ネットワーク間の不明なサブネット間トラフィックのデフォルト ゲートウェイとしての MX シリーズ ルーター
仮想ネットワーク間の既知のサブネット間トラフィックのデフォルト ゲートウェイとしての MX シリーズ ルーター
図 2 は、仮想ネットワーク間の既知のサブネット間トラフィックを示しています。
仮想ネットワーク 1 のエンド ホスト 1 (10.10.0.0/24) から発信され、仮想ネットワーク 2 のエンド ホスト 3 (10.20.0.0/24) を宛先とする仮想ネットワーク間の既知のサブネット間トラフィックの場合、エンド ホスト 1 は最初にパケットを QFX1 に送信してデータをカプセル化します。次に、QFX1 は、VXLAN カプセル化パケットを、内部宛先 MAC アドレスを MX1 の IRB インターフェイスに設定し、内部宛先 IP アドレス(DIP)をエンド ホスト 3 に設定して、MX1 のテーブルに送信します。MX1 がパケットのカプセル化を解除すると、宛先 MAC アドレスが自身の IRB インターフェイスのアドレスであることが検出され、L3-VRF ルーティング テーブルでルーティングされるパケットを送信します。ルート検索の実行後、パケットは仮想ネットワーク 2 にルーティングされます。ARP ルート エントリーに基づいて、MX1 はパケットを VXLAN 情報で再カプセル化し、QFX3 に転送します。QFX3 はもう一度パケットのカプセル化を解除し、テーブル ルックアップを実行して、パケットを最終宛先であるエンド ホスト 3 に送信します。
この例では、 図 2 の QFX シリーズ スイッチがすべてQFX5100 デバイス、つまりレイヤー 3 ゲートウェイ機能を提供しないレイヤー 2 ゲートウェイ デバイスであると想定しています。
仮想ネットワーク間の不明なサブネット間トラフィックのデフォルト ゲートウェイとしての MX シリーズ ルーター
エンド ホストから開始される仮想ネットワーク間の未知のサブネット間トラフィックの場合、MX シリーズ ルーター ゲートウェイで追加の ARP 要求および応答プロセスが必要です。MX シリーズ ルーター ゲートウェイでパケットを受信すると、ゲートウェイは、宛先エンド ホスト 3 の IP アドレスと MAC アドレス バインディングの ARP 要求を送信します。エンド ステーションの宛先 MAC と IP バインディングが解決された後、トラフィック フローは既知のサブネット間転送プロセスで前述したのと同じ手順に従います。
仮想ゲートウェイのロードバランシングとフェイルオーバー
EVPN オールアクティブ マルチホーミングは、特定の仮想ネットワークにおける IRB インターフェイスの仮想ゲートウェイの MAC アドレスと IP アドレスをすべて同じイーサネット セグメント ID に関連付けることで、ゲートウェイの冗長性とロード バランシングを提供します。各MXシリーズゲートウェイルーターは、EVPNタイプ2ルートを通じて仮想ゲートウェイのMACアドレスとIPアドレスをアドバタイズします。さらに、各MXシリーズルーターは、イーサネットセグメントをアナウンスするために、EVPNタイプ1イーサネットセグメント自動検出(A-D)ルートもアドバタイズします。タイプ1およびタイプ2ルートの詳細については、 RFC 7432「BGP MPLSベースのイーサネットVPN」を参照してください。
その他のEVPN対応デバイスは、仮想MACアドレスをMXシリーズルーターのマルチホームと見なします。標準の EVPN オールアクティブ プロセスを使用して、リモート EVPN PE デバイスは、各 MX シリーズ ゲートウェイ ルーターがアドバタイズするルートに基づいて、IRB の仮想 MAC アドレスまたはエニーキャスト IP アドレスに到達するイコール コスト マルチパス(ECMP)ネクスト ホップを構築できるようになりました。IRB の仮想ゲートウェイ MAC 宛てのトラフィックは、すべての MX シリーズ ルーターでロード バランシングされます。
MX シリーズゲートウェイの 1 つにノード障害が発生した場合、すべてのリモートEVPN PEデバイスに、障害が発生した MX シリーズゲートウェイによってアドバタイズされた IRB の仮想ゲートウェイ MAC ルートの撤回またはパージが通知されます。その結果、すべてのリモート EVPN PE デバイスは、ネクストホップを更新して IRB の仮想ゲートウェイの MAC アドレスまたはエニーキャスト IP アドレスに到達し、障害が発生したゲートウェイへのパスを除外します。IRB の仮想 MAC アドレスとエニーキャスト IP アドレスは更新されたネクストホップを介して引き続き到達可能であり、仮想 MAC アドレスとエニーキャスト IP アドレスのバインディングは同じままであるため、リモート EVPN PE デバイスに接続されているエンドホストの ARP エントリは変更されません。