項目一覧

IPファブリックアンダーレイネットワーク
IPv4 および IPv6 ワークロードのサポート
ネットワーク仮想化オーバーレイ
イーサネット接続されたエンドシステムのマルチホーミングサポート
IP接続エンドシステムのマルチホーミングサポート
境界デバイス
データセンターの相互接続(DCI)
サービスチェイニング
マルチキャストの最適化
EVPN向けのイングレス仮想マシントラフィックの最適化
DHCP リレー
ARP の同期および抑制(プロキシ ARP)による ARP トラフィックの削減
イーサネット接続されたエンドシステム上のレイヤー2ポートセキュリティ機能

データセンターファブリックの設計図アーキテクチャのコンポーネント

このセクションでは、この設計図アーキテクチャで使用される構成要素の概要を説明します。各構成要素テクノロジの実装については、後のセクションで詳しく説明します。

ビルディングブロックの基盤として機能するハードウェアとソフトウェアの詳細については、データセンターEVPN-VXLANファブリックリファレンスデザイン—サポートされているハードウェアの概要を参照してください。

構成要素には以下が含まれます。

IPファブリックアンダーレイネットワーク

最新のIPファブリックアンダーレイネットワークビルディングブロックが、Closベースのトポロジー全体にIP接続を提供します。ジュニパーネットワークスは、以下のIPファブリックアンダーレイモデルをサポートしています。

スパインデバイスの層とリーフデバイスの層で構成される3ステージのIPファブリック。図 1 を参照してください。
5 ステージの IP ファブリック。通常は 1 つの 3 ステージ IP ファブリックとして開始し、2 つの 3 ステージ IP ファブリックに成長します。これらのファブリックは、データセンター内で個別のPOD(出荷時点)に分割されます。このユースケースでは、2つのPOD内のスパインとリーフデバイス間の通信を可能にするスーパースパインデバイスの階層の追加をサポートしています。図 2 を参照してください。
集約されたスパインIPファブリックモデルでは、リーフレイヤー機能がスパインデバイスに集約されています。このタイプのファブリックは、リーフデバイスの個別の階層を除き、3ステージまたは5ステージのIPファブリックと同様に設定および動作できます。EVPNスパイン&リーフモデルに段階的に移行する場合、またはEVPN-VXLANをサポートしていないためにリーフレイヤーで使用できないアクセスデバイスまたはトップオブラック(TOR)デバイスがある場合は、集約されたスパインファブリックを使用できます。

図 1:3 段階の IP ファブリックアンダーレイ Three-Stage IP Fabric Underlay

図 2:5 段階の IP ファブリックアンダーレイ Five-Stage IP Fabric Underlay

これらの図では、デバイスはシングルリンクまたは集合型イーサネットインターフェイスである高速インターフェイスを使用して相互接続されています。集合型イーサネットインターフェイスはオプションであり、通常はデバイス間の単一リンクが使用されますが、帯域幅を拡大し、リンクレベルの冗長性を提供するために展開できます。両方のオプションをカバーしています。

アンダーレイネットワークのルーティングプロトコルとして EBGP を選択したのは、その信頼性と拡張性に優れているためです。各デバイスには、EBGP をサポートするための固有の自律システム番号を持つ独自の自律システムが割り当てられます。アンダーレイネットワークでは、他のルーティングプロトコルを使用できます。これらのプロトコルの使用法は、このドキュメントの範囲外です。

このガイドで説明するリファレンスアーキテクチャの設計は、アンダーレイ接続にEBGP、オーバーレイピアリングにIBGPを使用するIPファブリックに基づいています( オーバーレイ用のIBGPを参照)。または、EBGPを使用してオーバーレイピアリングを設定することもできます。

Junos OSのリリース21.2R2および21.4R1以降では、 IPv6ファブリックの設定もサポートされています。このガイドの IPv6 ファブリック設計では、アンダーレイ接続とオーバーレイピアリングの両方に EBGP を使用します( IPv6 アンダーレイを使用したオーバーレイの EBGP を参照)。

手記：

IPファブリックは、次のようにIPv4またはIPv6を使用できます。

IPv4ファブリックは、エンドツーエンドのワークロード通信にIPv4インターフェイスアドレッシングとIPv4アンダーレイおよびオーバーレイBGPセッションを使用します。
IPv6ファブリックは、IPv6インターフェイスアドレッシング、およびIPv6アンダーレイBGPセッションとオーバーレイBGPセッションを使用して、エンドツーエンドのワークロード通信を行います。
IPv4とIPv6が混在するIPファブリックはサポートしていません。

ただし、IPv4ファブリックとIPv6ファブリックはどちらもデュアルスタックワークロードをサポートしており、ワークロードはIPv4またはIPv6、あるいはIPv4とIPv6の両方になります。

また、このビルディングブロックでは、集約型イーサネットインターフェイス内の個々のリンクに対してBFDを実行する機能であるMicro Bidirectional Forwarding Detection(BFD)を有効にすることで、デバイスを接続する集約型イーサネットバンドル内の任意のメンバーリンクのリンク障害を迅速に検出することができます。

詳細については、このガイドの他のセクションを参照してください。

3ステージおよび5ステージIPファブリックアンダーレイでのスパイン&リーフデバイスの設定:IPファブリックアンダーレイネットワークの設計と実装
5ステージIPファブリックアンダーレイにスーパースパインデバイスの追加層を実装する: 5ステージIPファブリックの設計と実装。
IPv6 アンダーレイの設定と EBGP IPv6 オーバーレイのサポート: IPv6 ファブリックアンダーレイと EBGP によるオーバーレイネットワークの設計と実装。
集約されたスパインファブリックモデルでのアンダーレイの設定: 集約されたスパインファブリックの設計と実装。

IPv4 および IPv6 ワークロードのサポート

多くのネットワークでは、IPv4 プロトコルと IPv6 プロトコルを含むワークロード用のデュアルスタック環境が実装されているため、このブループリントでは両方のプロトコルをサポートしています。IPv4 および IPv6 のワークロードをサポートするようにファブリックを構成する手順は、これらのプロトコルの 1 つまたは両方を選択できるように、このガイド全体に織り込まれています。

手記：

ワークロードトラフィックに使用するIPプロトコルは、IP ファブリックアンダーレイおよびオーバーレイに設定する IPプロトコルバージョン(IPv4 または IPv6)に依存しません。( 「IP ファブリックアンダーレイネットワーク」を参照してください)。IPv4ファブリックまたはIPv6ファブリックインフラストラクチャは、IPv4とIPv6の両方のワークロードをサポートできます。

ネットワーク仮想化オーバーレイ

ネットワーク仮想化オーバーレイは、IP アンダーレイネットワークを介して転送される仮想ネットワークです。このビルディングブロックにより、ネットワーク内のマルチテナント機能が可能になり、各テナントのネットワークトラフィックを他のテナントから分離したまま、単一の物理ネットワークを複数のテナントで共有できます。

テナントは、エンドポイントのグループを含むユーザーコミュニティ (部署、部門、ワークグループ、アプリケーションなど) です。グループは同じテナンシ内の他のグループと通信でき、ネットワーク・ポリシーで許可されている場合、テナントは他のテナントと通信できます。グループは通常、同じサブネット内の他のデバイスと通信できるサブネット(VLAN)として表され、仮想ルーティングおよび転送(VRF)インスタンスを介して外部のグループやエンドポイントに到達できます。

図 3 のオーバーレイの例に見られるように、イーサネットブリッジングテーブル(三角形で表示)はテナントブリッジングフレームを処理し、IP ルーティングテーブル(正方形で表示)はルーティングされたパケットを処理します。VLAN 間ルーティングは、IRB(統合型ルーティングおよびブリッジング)インターフェイス(円で表)で行われます。イーサネットとIPのテーブルは、仮想ネットワーク(色付きの線で表されます)に送られます。他のVXLANトンネルエンドポイント(VTEP)デバイスに接続されたエンドシステムに到達するために、テナントパケットはカプセル化され、EVPNシグナル化されたVXLANトンネル(緑色のトンネルアイコンで表されます)を介して、関連するリモートVTEPデバイスに送信されます。トンネリングされたパケットは、リモート VTEP デバイスでカプセル化解除され、エグレス VTEP デバイスのそれぞれのブリッジングテーブルまたはルーティングテーブルを介してリモートエンドシステムに転送されます。

図 3:VXLAN トンネル:イーサネットブリッジング、IP ルーティング、IRB VXLAN Tunnels—Ethernet Bridging, IP Routing, and IRB

次のセクションでは、オーバーレイネットワークについて詳しく説明します。

オーバーレイ用 IBGP
IPv6 アンダーレイを使用したオーバーレイの EBGP
ブリッジオーバーレイ
Centrally Routed Bridging Overlay
エッジルーテッドブリッジングオーバーレイ
折りたたまれたスパインオーバーレイ
ブリッジド、CRB、ERB オーバーレイの比較
ブリッジングオーバーレイでの IRB アドレッシングモデル
EVPNタイプ5ルートを使用したルーテッドオーバーレイ
ネットワーク仮想化オーバーレイのマルチテナント機能のためのMAC-VRFインスタンス

オーバーレイ用 IBGP

内部BGP(IBGP)は、IPネットワーク上で到達可能性情報を交換するルーティングプロトコルです。IBGP をマルチプロトコル BGP(MP-IBGP)と組み合わせることで、EVPN が VTEP デバイス間で到達可能性情報を交換する基盤を提供します。この機能は、VTEP 間 VXLAN トンネルを確立し、オーバーレイ接続サービスに使用するために必要です。

図4 は、スパインおよびリーフデバイスが、単一の自律システムにおけるピアリングにループバックアドレスを使用していることを示しています。この設計では、スパインデバイスはルートリフレクタクラスタとして機能し、リーフデバイスはルートリフレクタクライアントです。ルートリフレクタは、すべてのVTEPデバイスを相互に直接ピアリングすることなく、フルメッシュのIBGP要件を満たします。その結果、リーフデバイスはスパインデバイスとのみピアリングし、スパインデバイスはスパインデバイスとリーフデバイスの両方とピアリングします。スパインデバイスはすべてのリーフデバイスに接続されているため、スパインデバイスは間接的にピアリングされたリーフデバイスのネイバー間でIBGP情報を中継できます。

図 4: オーバーレイ IBGP for Overlays

の IBGP

ルートリフレクタは、ネットワーク内のほぼどこにでも配置できます。ただし、次の点を考慮する必要があります。

選択したデバイスには、ルートリフレクタが必要とする追加のワークロードを処理するのに十分なメモリと処理能力がありますか?
選択したデバイスは、すべてのEVPNスピーカーから等距離にあり、到達可能ですか?
選択したデバイスに適切なソフトウェア機能が搭載されていますか?

この設計では、ルートリフレクタクラスタはスパイン層に配置されます。このリファレンスデザインでスパインとして使用できる QFX スイッチは、ネットワーク仮想化オーバーレイでルートリフレクタクライアントトラフィックを処理するのに十分な処理速度を備えています。

オーバーレイでの IBGP の実装の詳細については、「オーバーレイに IBGP を設定する」を参照してください。

IPv6 アンダーレイを使用したオーバーレイの EBGP

このガイドの元のリファレンスアーキテクチャのユースケースは、IPv4 IBGP オーバーレイデバイス接続を使用した IPv4 EBGP アンダーレイ設計を示しています。オーバーレイについては、 IPファブリックアンダーレイネットワークと IBGPを参照してください。しかし、IPv6 の拡張されたアドレス指定範囲と機能を活用するために NVE(ネットワーク仮想化エッジ)デバイスが IPv6 VTEP を採用し始めたため、IPv6 を含むように IP ファブリックのサポートを拡張しました。

Junos OS リリース 21.2R2-S1 以降、サポートするプラットフォームでは、リファレンスアーキテクチャのオーバーレイ設計で IPv6 ファブリックインフラストラクチャを使用することもできます。IPv6ファブリックの設計は、IPv6インターフェイスアドレッシング、IPv6 EBGPアンダーレイ、ワークロード接続用のIPv6 EBGP オーバーレイで構成されています。IPv6ファブリックでは、NVEデバイスはVXLANヘッダーをIPv6外部ヘッダーでカプセル化し、IPv6ネクストホップを使用してファブリック全体のパケットをエンドツーエンドでトンネリングします。ワークロードは IPv4 または IPv6 です。

サポートされているリファレンスアーキテクチャのオーバーレイ設計で設定する要素のほとんどは、アンダーレイおよびオーバーレイインフラストラクチャがIPv4とIPv6のどちらを使用しているかとは無関係です。アンダーレイとオーバーレイが IPv6 ファブリック設計を使用する場合、サポートされている各オーバーレイ設計に対応する設定手順で、設定の違いが指摘されます。

詳細については、このガイドおよびその他のリソースの次の参照を参照してください。

アンダーレイ接続とオーバーレイピアリングに EBGP を使用する IPv6 ファブリックの設定: IPv6 ファブリックアンダーレイとオーバーレイネットワークの設計と EBGP による実装。
ファブリックで特定の役割を担う場合、さまざまなプラットフォームがIPv6ファブリック設計をサポートするリリースの開始: データセンターEVPN-VXLANファブリックリファレンスデザイン—サポートされているハードウェアの概要。
デバイスのEVPN-VXLANファブリックにおけるIPv6アンダーレイおよびオーバーレイピアリングサポートの概要:IPv6アンダーレイを備えたEVPN-VXLAN

ブリッジオーバーレイ

このガイドで説明する最初のオーバーレイサービスの種類は、図 5 に示すように、ブリッジオーバーレイです。

図 5:ブリッジオーバーレイ Bridged Overlay

このオーバーレイモデルでは、イーサネットVLANはVXLANトンネルを介してリーフデバイス間で拡張されます。これらのリーフツーリーフ VXLAN トンネルは、リーフデバイス間のイーサネット接続は必要だが、VLAN 間のルーティングは不要なデータセンターネットワークをサポートします。その結果、スパインデバイスは、リーフデバイスに基本的なアンダーレイ接続とオーバーレイ接続のみを提供し、他のオーバーレイ方式で見られるルーティングやゲートウェイサービスは実行しません。

リーフデバイスは、他のリーフデバイスに接続するためにVTEPを発信します。トンネルにより、リーフデバイスは、データセンター内の他のリーフデバイスやイーサネット接続されたエンドシステムにVLANトラフィックを送信できます。このオーバーレイサービスはシンプルなため、既存のイーサネットベースのデータセンターにEVPN/VXLANを簡単に導入する方法を必要とする事業者にとって魅力的です。

手記：

EVPN/VXLANファブリックの外部にMXシリーズルーターまたはSRXシリーズセキュリティデバイスを実装することで、ブリッジオーバーレイにルーティングを追加できます。それ以外の場合は、ルーティングを組み込んだ他のオーバーレイタイプ( エッジルーテッドブリッジングオーバーレイ、セントラルルーテッドブリッジングオーバーレイ、ルーテッドオーバーレイなど)のいずれかを選択できます。

ブリッジオーバーレイの実装については、「ブリッジオーバーレイの設計と実装」を参照してください。

Centrally Routed Bridging Overlay

2つ目のオーバーレイサービスタイプは、 CRB(Centrally Routed Bridging)オーバーレイです( 図6参照)。

図 6:Centrally Routed Bridging Overlay

CRB オーバーレイでは、ルーティングは、エンドシステムが接続されている VTEP デバイス(この例ではリーフ層)ではなく、データセンターネットワークの中央ゲートウェイ(この例ではスパイン層)で発生します。

このオーバーレイモデルは、ルーティングされたトラフィックが中央ゲートウェイを経由する必要がある場合や、エッジVTEPデバイスに必要なルーティング機能がない場合に使用できます。

上記のように、イーサネット接続されたエンドシステムから発信されたトラフィックは、トランク(複数の VLAN)またはアクセスポート(単一の VLAN)を介してリーフ VTEP デバイスに転送されます。VTEP デバイスは、ローカルエンドシステムまたはリモート VTEP デバイスのエンドシステムにトラフィックを転送します。各スパインデバイスにあるIRB(統合型ルーティングおよびブリッジング)インターフェイスは、イーサネット仮想ネットワーク間のトラフィックのルーティングに役立ちます。

VLAN 対応ブリッジングオーバーレイサービスモデルを使用すると、VLAN のコレクションを同じオーバーレイ仮想ネットワークに簡単に集約できます。ジュニパーネットワークスのEVPN設計では、データセンターにおいて以下の3つのVLAN対応イーサネットサービスモデル構成がサポートされています。

Default instance VLAN-aware—このオプションでは、合計 4,094 の VLAN をサポートする単一のデフォルトスイッチングインスタンスを実装します。この設計に含まれるすべてのリーフプラットフォーム(データセンターEVPN-VXLANファブリックリファレンスデザイン—サポートされているハードウェアの概要)は、VLAN対応オーバーレイのデフォルトインスタンススタイルをサポートしています。

このサービスモデルを設定するには、「デフォルトインスタンスでの VLAN 対応中央ルーティングされたブリッジングオーバーレイの設定」を参照してください。
Virtual switch VLAN-aware—このオプションでは、複数の仮想スイッチインスタンスがインスタンスあたり最大 4,094 の VLAN をサポートします。このイーサネットサービスモデルは、単一のデフォルトインスタンス以上の拡張性を必要とするオーバーレイネットワークに最適です。このオプションは現在、QFX10000シリーズのスイッチでサポートされています。

このスケーラブルなサービスモデルを実装するには、仮想スイッチまたは MAC-VRF インスタンスを使用した VLAN 対応 CRB オーバーレイの設定を参照してください。
MAC-VRF instance VLAN-aware—このオプションでは、複数の MAC-VRF インスタンスがインスタンスあたり最大 4094 の VLAN をサポートします。このイーサネットサービスモデルは、単一のデフォルトインスタンスを超える拡張性を必要とするオーバーレイネットワークや、同じファブリック内の異なるテナント間で VLAN の分離や相互接続を確保するためのオプションを増やしたい場合に最適です。このオプションのサポートは、MAC-VRF インスタンスをサポートするプラットフォームで利用できます(「機能エクスプローラー: EVPN-VXLAN を使用した MAC VRF」を参照)。

このスケーラブルなサービスモデルを実装するには、仮想スイッチまたは MAC-VRF インスタンスを使用した VLAN 対応 CRB オーバーレイの設定を参照してください。

エッジルーテッドブリッジングオーバーレイ

3つ目のオーバーレイサービスオプションは、エッジ ルーテッドブリッジング(ERB)オーバーレイです( 図7参照)。

図 7:エッジルーテッドブリッジングオーバーレイ Edge-Routed Bridging Overlay

このイーサネットサービスモデルでは、IRB インターフェイスはオーバーレイネットワークのエッジにあるリーフデバイス VTEP に移動され、IP ルーティングをエンドシステムに近づけます。1つのデバイスでブリッジング、ルーティング、EVPN/VXLANをサポートするには特別なASIC機能が必要なため、ERBオーバーレイは特定のスイッチでのみ可能です。ERBオーバーレイのリーフデバイスとしてサポートされているスイッチのリストについては、データセンターEVPN-VXLANファブリックリファレンスデザイン—サポートされているハードウェアの概要を参照してください。

このモデルでは、ネットワーク全体を簡素化できます。スパインデバイスはIPトラフィックのみを処理するように設定されているため、ブリッジングオーバーレイをスパインデバイスに拡張する必要がありません。

このオプションにより、エンドシステムが同じリーフデバイス VTEP に接続されている場合、サーバー間、データセンター内のトラフィック(東西トラフィックとも呼ばれる)も高速化されます。その結果、ルーティングはCRBオーバーレイよりもエンドシステムの近くで発生します。

手記：

リーフデバイスとして機能する QFX5110 または QFX5120 スイッチ上の EVPN タイプ 5 ルーティングインスタンスに含まれる IRB インターフェイスを設定すると、デバイスは EVPN タイプ 5 ルートの対称型インター IRB ユニキャストルーティングを自動的に有効にします。

ERB オーバーレイの実装については、エッジルーテッドブリッジングオーバーレイの設計と実装を参照してください。

折りたたまれたスパインオーバーレイ

コラプストスパインアーキテクチャのオーバーレイネットワークは、ERB オーバーレイと似ています。集約型スパインアーキテクチャでは、リーフデバイスの機能はスパインデバイス上に集約されます。リーフレイヤーがないため、VTEPS と IRB のインターフェイスは、ERB モデルのリーフデバイスと同様に、オーバーレイネットワークのエッジにあるスパインデバイス上で設定します。スパインデバイスは、境界ゲートウェイ機能を実行して、North-Southトラフィックをルーティングしたり、データセンター拠点間でレイヤー2トラフィックを拡張したりすることもできます。

コラプススパインアーキテクチャでサポートされているスイッチのリストについては、データセンターEVPN-VXLANファブリックリファレンスデザイン—サポートされているハードウェアの概要を参照してください。

ブリッジド、CRB、ERB オーバーレイの比較

EVPN 環境に最適なオーバーレイタイプを判断するには、表 1 を参照してください。

手記：

ブリッジドオーバーレイ、CRB オーバーレイ、ERB オーバーレイの設定を、これらのオーバーレイタイプをサポートするデバイスでは、同じデバイス上で同時に混在させることができます。デバイスが異なるタイプのオーバーレイで並行して動作するために、個別の論理システムでデバイスを設定する必要はありません。

表 1:ブリッジド、CRB、および ERB オーバーレイの比較
比較ポイント	ERB オーバーレイ	CRBオーバーレイ	ブリッジオーバーレイ
完全に分散されたテナントのサブネット間ルーティング	✓
IPゲートウェイ障害の影響を最小限に抑制	✓
リーフレベルでのサードパーティノードへの動的ルーティング	✓
大量の東西トラフィックに最適化	✓
未加工のIPファブリックとの統合を強化	✓
サーバーに近いIP VRF仮想化	✓
Contrail vRouter マルチホーミングが必要	✓
さまざまなベンダーとのEVPNの相互運用性が容易	✓
対称的なサブネット間ルーティング	✓	✓
ラックごとに重複するVLAN ID	✓	✓	✓
手動の設定とトラブルシューティングの簡素化		✓	✓
サービスプロバイダ型およびエンタープライズスタイルのインターフェイス		✓	✓
レガシーリーフスイッチサポート(QFX5100)		✓	✓
仮想マシントラフィックの一元的な最適化(VMTO)制御		✓
ファイアウォールクラスター上の IP テナントサブネットゲートウェイ			✓

ブリッジングオーバーレイでの IRB アドレッシングモデル

CRB および ERB オーバーレイの IRB インターフェイスを設定するには、IRB インターフェイスのデフォルトゲートウェイ IP および MAC アドレス設定のモデルを次のように理解する必要があります。

Unique IRB IP Address—このモデルでは、オーバーレイサブネットの各 IRB インターフェイスに一意の IP アドレスが設定されます。

各 IRB インターフェイスに一意の IP アドレスと MAC アドレスを持つことの利点は、一意の IP アドレスを使用して、オーバーレイ内から各 IRB インターフェイスを監視および到達できることです。このモデルでは、IRB インターフェイスでルーティングプロトコルを設定することもできます。

このモデルの欠点は、各 IRB インターフェイスに一意の IP アドレスを割り当てると、サブネットの多くの IP アドレスが消費される可能性があることです。
Unique IRB IP Address with Virtual Gateway IP Address—このモデルでは、以前のモデルに仮想ゲートウェイの IP アドレスが追加されるため、一元的にルーティングされたブリッジドオーバーレイに推奨されます。これは VRRP と似ていますが、ゲートウェイ IRB インターフェイス間のインバンドデータプレーンシグナリングはありません。仮想ゲートウェイは、オーバーレイサブネット内のすべてのデフォルトゲートウェイ IRB インターフェイスで同じである必要があり、仮想ゲートウェイが設定されているすべてのゲートウェイ IRB インターフェイスでアクティブです。また、IRB インターフェイス経由で転送されるデータパケットの送信元 MAC アドレスとなる、仮想ゲートウェイに共通の IPv4 MAC アドレスを設定する必要があります。

以前のモデルの利点に加えて、仮想ゲートウェイはエンドシステムのデフォルトゲートウェイ構成を簡素化します。このモデルの欠点は、前のモデルと同じです。
IRB with Anycast IP Address and MAC Address—このモデルでは、オーバーレイサブネット内のすべてのデフォルトゲートウェイ IRB インターフェイスが同じ IP アドレスと MAC アドレスで設定されます。ERB オーバーレイにはこのモデルをお勧めします。

このモデルの利点は、デフォルトゲートウェイの IRB インターフェイスアドレス指定に必要なサブネットごとに 1 つの IP アドレスのみで、エンドシステムのデフォルトゲートウェイの設定が簡素化されることです。

EVPNタイプ5ルートを使用したルーテッドオーバーレイ

最後のオーバーレイオプションは、図8に示すようなルーテッドオーバーレイです。

図 8:ルーテッドオーバーレイ Routed Overlay

このオプションは、IP ルーティング仮想ネットワークサービスです。MPLS ベースの IP VPN とは異なり、このモデルの仮想ネットワークは EVPN/VXLAN をベースにしています。

クラウドプロバイダがこの仮想ネットワークオプションを好むのは、最新のアプリケーションの大半がIP向けに最適化されているためです。デバイス間のすべての通信は IP レイヤーで行われるため、このルーテッドオーバーレイモデルでは、VLAN や ESI などのイーサネットブリッジングコンポーネントを使用する必要はありません。

ルーテッドオーバーレイの実装については、ルーテッドオーバーレイの設計と実装を参照してください。

ネットワーク仮想化オーバーレイのマルチテナント機能のためのMAC-VRFインスタンス

MAC-VRF ルーティングインスタンスを使用すると、EVPN-VXLAN ファブリックで VTEP として機能するデバイス上で、異なるイーサネットサービスタイプを持つ複数の EVPN インスタンスを設定できます。MAC-VRF インスタンスを使用すると、顧客固有の VRF テーブルを使用してデータセンター内の複数のテナントを管理し、テナントのワークロードを分離またはグループ化できます。

MAC-VRF インスタンスでは、これまでの VLAN 対応サービスタイプのサポートに加えて、VLAN ベースのサービスタイプのサポートも導入されています。図 9 を参照してください。

図 9:MAC-VRF サービスタイプ MAC-VRF Service Types

VLAN ベースのサービス:MAC-VRF インスタンスで 1 つの VLAN と対応する VNI(VXLAN ネットワーク識別子)を設定できます。新しい VLAN と VNI をプロビジョニングするには、新しい VLAN と VNI で新しい MAC VRF インスタンスを設定する必要があります。
VLAN 対応サービス:1 つ以上の VLAN および対応する VNI を同じ MAC-VRF インスタンス内で設定できます。新しいVLANとVNIをプロビジョニングするには、新しいVLANとVNIの設定を既存のMAC-VRFインスタンスに追加します。これにより、VLANベースのサービスを使用するよりも、いくつかの設定手順を省略できます。

MAC-VRF インスタンスにより、レイヤー 2 とレイヤー 3 の両方でより柔軟な構成オプションが可能になります。例えば：

図 10:レイヤー 2 とレイヤー 3 の両方での柔軟な構成オプションと MAC-VRF インスタンスの Flexible Configuration Options at both Layer 2 and Layer 3 with MAC-VRF Instances

図10 は、MAC-VRFインスタンスの場合を示しています。

同じデバイス上の異なるMAC-VRFインスタンスに、異なるサービスタイプを設定できます。
レイヤー 2(MAC-VRF インスタンス)とレイヤー 3(VRF インスタンス)には柔軟なテナント分離オプションがあります。1 つの MAC-VRF インスタンス内の VLAN に対応する VRF インスタンスを設定できます。または、複数の MAC-VRF インスタンスで VLAN にまたがる VRF インスタンスを設定できます。

図 11 は、テナント分離用の MAC-VRF 設定例を使用した ERB オーバーレイファブリックを示しています。

図 11:テナント分離 ERB Overlay Fabric with MAC-VRF Instances for Tenant Separation

用の MAC-VRF インスタンスを使用した ERB オーバーレイファブリック

図 11 では、リーフデバイスが、MAC-VRF インスタンス MAC-VRF 12 と MAC-VRF 3 を使用して、テナント 12(VLAN 1 と VLAN 2)とテナント 3(VLAN 3)間のレイヤー 2 での分離を維持する VXLAN トンネルを確立しています。また、リーフデバイスは、VRF インスタンス VRF 12 および VRF 3 を使用して、レイヤー 3 でテナントを分離します。

MAC-VRF および VRF 設定によってレイヤー 2 およびレイヤー 3 で隔離されたテナント間で VLAN トラフィックを共有するために、以下の他のオプションを使用できます。

ファイアウォールを介して、テナント VRF 間でセキュアな外部相互接続を確立します。
レイヤー 3 VRF 間のローカルルートリークを設定します。

MAC-VRF インスタンスの詳細と、お客様のユースケース例での使用については、「 EVPN-VXLAN DC IP ファブリック MAC-VRF L2 サービス」を参照してください。

MAC-VRF インスタンスは、以下の転送インスタンスに対応します。

QFX5000 シリーズのスイッチ(Junos OS または Junos OS Evolved を実行するスイッチを含む)上の MAC-VRF インスタンスは、すべてデフォルトの転送インスタンスの一部です。これらのデバイスでは、1 つの MAC-VRF インスタンスまたは複数の MAC-VRF インスタンス間で重複する VLAN を設定することはできません。
QFX10000シリーズスイッチでは、複数の転送インスタンスを設定し、MAC-VRFインスタンスを特定の転送インスタンスにマッピングできます。また、複数の MAC-VRF インスタンスを同じ転送インスタンスにマッピングすることもできます。異なる転送インスタンスを使用するように各MAC-VRFインスタンスを設定すると、複数のMAC-VRFインスタンス間で重複するVLANを設定できます。重複する VLAN を 1 つの MAC-VRF インスタンス内、または同じ転送インスタンスにマッピングされた MAC-VRF インスタンス間で設定することはできません。
デフォルトの構成では、スイッチには、デフォルトの転送インスタンスに関連付けられた VLAN ID=1 のデフォルト VLAN が含まれています。VLAN ID は転送インスタンスで一意でなければならないため、デフォルトの転送インスタンスを使用する MAC-VRF インスタンスで VLAN ID=1 の VLAN を設定する場合は、デフォルト VLAN の VLAN ID を 1 以外の値に再割り当てする必要があります。例えば：

このガイドのリファレンスネットワーク仮想化オーバーレイの設定例には、MAC-VRF インスタンスを使用してオーバーレイを設定する手順が含まれています。タイプ mac-vrfのEVPNルーティングインスタンスを設定し、インスタンスにルートの識別とルートターゲットを設定します。また、インスタンスに目的のインターフェイス(VTEP送信元インターフェイスを含む)、VLAN、およびVLAN-to-VNIマッピングを含めます。次のトピックのリファレンス構成を参照してください。

ブリッジオーバーレイの設計と実装:リーフデバイスでMAC-VRFインスタンスを設定します。
Centrally-Routed Bridging オーバーレイの設計と実装:スパインデバイスにMAC-VRFインスタンスを設定します。リーフデバイスでは、MAC-VRF 設定は、ブリッジドオーバーレイ設計の MAC-VRF リーフ設定と似ています。
エッジルーテッドブリッジングオーバーレイの設計と実装:リーフデバイスでMAC-VRFインスタンスを設定します。

手記：

設定で複数のMAC-VRFインスタンスを使用している場合、デバイスでVTEPスケーリングの問題が発生することがあります。したがって、この問題を回避するには、MAC-VRF インスタンス設定で Junos OS を実行しているスイッチの QFX5000 ラインで共有トンネル機能を有効にする必要があります。共有トンネルを設定すると、デバイスはリモート VTEP に到達するネクストホップエントリーの数を最小限に抑えます。[edit forwarding-options evpn-vxlan] 階層レベルで shared-tunnels ステートメントを使用して、デバイス上の共有 VXLAN トンネルをグローバルに有効にします。この設定では、デバイスを再起動する必要があります。

このステートメントは、QFX5000スイッチよりも高いVTEPスケーリングを処理できるJunos OSを実行しているスイッチのQFX10000シリーズではオプションです。

EVPN-VXLANファブリックでJunos OS Evolvedを実行するデバイスでは、共有トンネルがデフォルトで有効になっています。Junos OS Evolvedは、MAC-VRF設定でのみEVPN-VXLANをサポートします。

イーサネット接続されたエンドシステムのマルチホーミングサポート

図12:イーサネット接続されたエンドシステムのマルチホーミング Ethernet-Connected End System Multihoming

イーサネット接続マルチホーミング により、イーサネットに接続されたエンドシステムが、1 つの VTEP デバイスへのシングルホームリンク、または異なる VTEP デバイスにマルチホームされた複数のリンクを介して、イーサネットオーバーレイネットワークに接続できます。イーサネットトラフィックは、同じエンドシステムに接続するリーフデバイス上のVTEP間で、ファブリック全体でロードバランシングされます。

イーサネット接続されたエンドシステムが単一のリーフデバイスに接続された設定、または2つまたは3つのリーフデバイスにマルチホーム接続された設定をテストして、2つ以上のリーフVTEPデバイスを備えたマルチホーム設定でトラフィックが適切に処理されることを証明しました。実際には、イーサネット接続されたエンドシステムを多数のリーフ VTEP デバイスにマルチホームできます。すべてのリンクがアクティブであり、ネットワークトラフィックをすべてのマルチホームリンクで負荷分散できます。

このアーキテクチャでは、EVPNをイーサネット接続のマルチホーミングに使用します。EVPNマルチホームLAGは、EVPNブリッジングオーバーレイのESI(イーサネットセグメント識別子)によって識別されますが、LACPはLAGの可用性を向上させるために使用されます。

VLANトランキングでは、1つのインターフェイスで複数のVLANをサポートできます。VLAN トランキングにより、非オーバーレイハイパーバイザー上の仮想マシン (VM) が、任意のオーバーレイネットワークコンテキストで動作できるようになります。

イーサネット接続のマルチホーミングサポートの詳細については、イーサネットに接続されたエンドシステムの設計と実装におけるマルチホーミングを参照してください。

IP接続エンドシステムのマルチホーミングサポート

図13:IP接続エンドシステムマルチホーミング IP-Connected End System Multihoming

異なるリーフデバイス上の複数のIPベースのアクセスインターフェイスを介してIPネットワークに接続するための、IP接続されたマルチホーミングエンドポイントシステム。

IP接続のエンドシステムを1つのリーフに接続するか、2つまたは3つのリーフデバイスにマルチホームするセットアップをテストしました。このセットアップでは、複数のリーフデバイスにマルチホームされたときにトラフィックが適切に処理されることが検証されました。実際には、IP接続エンドシステムは、多数のリーフデバイスにマルチホームできます。

マルチホーム設定では、すべてのリンクがアクティブで、ネットワークトラフィックはすべてのマルチホームリンクで転送および受信されます。IPトラフィックは、単純なハッシュアルゴリズムを使用して、マルチホームリンク間でロードバランシングされます。

EBGPは、IP接続されたエンドポイントシステムと接続されたリーフデバイス間でルーティング情報を交換し、エンドポイントシステムへのルートがすべてのスパインおよびリーフデバイスと共有されるようにするために使用されます。

IP 接続マルチホーミングビルディングブロックの詳細については、マルチホーミング、IP 接続エンドシステムの設計と実装を参照してください。

境界デバイス

ジュニパーのリファレンスデザインの一部には、ローカルIPファブリックの外部にある以下のデバイスへの接続を提供するボーダーデバイスが含まれています。

マルチキャストゲートウェイ。
データセンターの相互接続(DCI)用のデータセンターゲートウェイです。
ファイアウォール、ネットワークアドレス変換(NAT)、侵入検出および防止(IDP)、マルチキャストなどの複数のサービスが統合されたSRXルーターなどのデバイス。複数のサービスを1つの物理デバイスに統合することを、サービスチェイニングと呼びます。
ファイアウォール、DHCP サーバー、sFlow コレクターなどとして機能するアプライアンスまたはサーバー。

手記：
境界デバイスへの 1 Gbps イーサネット接続を必要とするレガシーアプライアンスまたはサーバーがネットワークに含まれている場合は、QFX10008 または QFX5120 スイッチを境界デバイスとして使用することをお勧めします。

上記の追加機能を提供するために、ジュニパーネットワークスは、以下の方法で境界デバイスの展開をサポートしています。

境界デバイスとしてのみ機能するデバイスとして。この専用ロールでは、上記の 1 つ以上のタスクを処理するようにデバイスを設定できます。この状況では、デバイスは通常、スパインデバイスに接続されたボーダーリーフとして展開されます。

例えば、図 14 に示す ERB オーバーレイでは、ボーダーリーフ L5 と L6 が、DCI、sFlow コレクター、および DHCP サーバーのデータセンターゲートウェイへの接続を提供しています。
2 つの役割 (ネットワークアンダーレイデバイスと、上記の 1 つ以上のタスクを処理できる境界デバイス) を持つデバイスとして。この状況では、通常、スパインデバイスが2つの役割を処理します。そのため、境界デバイスの機能は、境界スパインと呼ばれます。

例えば、図 15 に示す ERB オーバーレイでは、境界スパイン S1 と S2 がリーンスパインデバイスとして機能しています。また、DCI、sFlowコレクター、DHCPサーバー用のデータセンターゲートウェイへの接続も提供します。

図 14: ボーダーリーフ Sample ERB Topology with Border Leafs

を使用した ERB トポロジーの例

図 15: 境界スパインを使用した ERB トポロジーの例 Sample ERB Topology with Border Spines

データセンターの相互接続(DCI)

データセンターの相互接続(DCI)ビルディングブロックは、データセンター間でトラフィックを送信するために必要な技術を提供します。検証済み設計では、EVPNタイプ5ルートを使用したDCI、IPVPNルート、およびVXLANスティッチを使用したレイヤー2 DCIをサポートしています。

EVPNタイプ5またはIPVPNルートをDCIコンテキストで使用し、異なるIPアドレスサブネット化スキームを使用するデータセンター間のデータセンター間トラフィックを交換できるようにします。ルートは、データセンター間のトラフィックの受け渡しを可能にするために、異なるデータセンターのスパインデバイス間で交換されます。

図 16:EVPN タイプ 5 ルートを使用した DCI トポロジーの概要 DCI Using EVPN Type 5 Routes Topology Overview

DCIを設定する前に、データセンター間の物理的な接続が必要です。物理的な接続は、WANクラウド内のバックボーンデバイスによって提供されます。バックボーンデバイスは、単一のデータセンター(POD)内のすべてのスパインデバイスだけでなく、他のデータセンターにも接続されている他のバックボーンデバイスに接続されています。

DCI の設定については、以下を参照してください。

サービスチェイニング

多くのネットワークでは、ファイアウォール、NAT、IDP、マルチキャストなどのサービスを提供する個別のハードウェアデバイスを介してトラフィックが流れるのが一般的です。デバイスごとに個別の操作と管理が必要です。複数のネットワーク機能をリンクさせるこの方法は、物理的なサービスチェイニングと考えることができます。

サービスチェイニングのより効率的なモデルは、ネットワーク機能を仮想化して単一のデバイスに統合することです。当社のブループリントアーキテクチャでは、ネットワーク機能を統合し、サービスを処理して適用するデバイスとして、SRXシリーズルーターを使用しています。このデバイスを物理ネットワーク機能(PNF)と呼びます。

このソリューションでは、CRB オーバーレイと ERB オーバーレイの両方でサービスチェイニングがサポートされています。これは、テナント間トラフィックに対してのみ機能します。

サービスチェイニングの論理ビュー

図 17 は、サービスチェイニングの論理ビューを示しています。右側の構成と左側の構成を持つ 1 つのスパインを示しています。両側には、VRF ルーティングインスタンスと IRB インターフェイスがあります。中央のSRXシリーズルーターはPNFで、サービスチェイニングを実行します。

図 17: サービスチェイニングの論理ビュー Service Chaining Logical View

この論理ビューのトラフィックの流れは次のとおりです。

スパインは、左側の VRF にある VTEP でパケットを受信します。
パケットがカプセル化解除され、左側の IRB インターフェイスに送信されます。
IRBインターフェイスは、PNFとして動作しているSRXシリーズルーターにパケットをルーティングします。
SRXシリーズルーターは、パケットに対してサービスチェイニングを実行し、パケットをスパインに返送します。スパイン右側に示すIRBインターフェイスで受信されます。
IRB インターフェイスは、パケットを右側 VRF の VTEP にルーティングします。

サービスチェイニングの設定については、「サービスチェイニングの設計と実装」を参照してください。

マルチキャストの最適化

マルチキャストの最適化は、EVPN VXLAN 環境のマルチキャストシナリオで帯域幅を保持し、トラフィックをより効率的にルーティングするのに役立ちます。マルチキャスト最適化を設定しない場合、図 18 に示すように、すべてのマルチキャストレプリケーションはマルチキャストソースに接続されたリーフのイングレスで行われます。マルチキャストトラフィックは、スパインに接続されているすべてのリーフデバイスに送信されます。各リーフデバイスは、接続されたホストにトラフィックを送信します。

図 18: 最適化なしのマルチキャスト Multicast without Optimizations

EVPN VXLAN 環境でサポートされるマルチキャスト最適化には、連携できるタイプがいくつかあります。

マルチキャスト機能の設定については、以下を参照してください。

IGMP スヌーピング
選択的マルチキャスト転送
マルチキャストトラフィックのレプリケーション支援
ERB オーバーレイネットワーク向けに最適化されたインターサブネットマルチキャスト

IGMP スヌーピング

EVPN-VXLANファブリックのIGMPスヌーピングは、マルチキャストトラフィックの分散を最適化するのに役立ちます。マルチキャストトラフィックはIGMPリスナーが存在するインターフェイスでのみ転送されるため、IGMPスヌーピングでは帯域幅が保持されます。リーフデバイス上のすべてのインターフェイスがマルチキャストトラフィックを受信する必要はありません。

IGMPスヌーピングがないと、エンドシステムは関心のないIPマルチキャストトラフィックを受信し、不要なトラフィックでリンクを不必要に溢れさせます。IPマルチキャストフローが大きい場合、不要なトラフィックをフラッディングさせることで、サービス拒否の問題が発生する可能性があります。

図19 は、EVPN-VXLANファブリックでのIGMPスヌーピングの仕組みを示しています。このサンプルEVPN-VXLANファブリックでは、IGMPスヌーピングがすべてのリーフデバイスで設定されており、マルチキャスト受信者2は以前にIGMPv2参加要求を送信しています。

マルチキャストレシーバー 2 が IGMPv2 脱退要求を送信します。
マルチキャストレシーバー 3 と 4 が IGMPv2 加入要求を送信します。
リーフ1は、イングレスマルチキャストトラフィックを受信すると、すべてのリーフデバイスに対してそれを複製し、スパインに転送します。
スパインによって、すべてのリーフデバイスにトラフィックが転送されます。
リーフ2はマルチキャストトラフィックを受信しますが、受信者がIGMP脱退メッセージを送信したため、受信者に転送しません。

図 19: IGMP スヌーピング Multicast with IGMP Snooping

によるマルチキャスト

EVPN-VXLANネットワークでは、IGMPバージョン2のみがサポートされています。

IGMP スヌーピングの詳細については、 EVPN-VXLAN 環境での IGMP スヌーピングまたは MLD スヌーピングによるマルチキャスト転送の概要を参照してください。

選択的マルチキャスト転送

選択的マルチキャストイーサネット(SMET)転送は、エンドツーエンドのネットワーク効率を向上させ、EVPN ネットワークのトラフィックを削減します。ファブリックのコアにおける帯域幅使用量を節約し、リスナーを持たないエグレスデバイスの負荷を軽減します。

IGMP スヌーピングが有効になっているデバイスは、選択的マルチキャスト転送を使用して、マルチキャストトラフィックを効率的に転送します。IGMP スヌーピングを有効にすると、リーフデバイスは、対象の受信者とのアクセスインターフェイスにのみマルチキャストトラフィックを送信します。SMET を追加すると、リーフデバイスは、そのマルチキャストグループに関心を示したコア内のリーフデバイスのみにマルチキャストトラフィックを選択的に送信します。

図 20 は、IGMP スヌーピングとともに SMET トラフィックフローを示しています。

マルチキャストレシーバー 2 が IGMPv2 脱退要求を送信します。
マルチキャストレシーバー 3 と 4 が IGMPv2 加入要求を送信します。
リーフ1がイングレスマルチキャストトラフィックを受信すると、関係する受信者がいるリーフデバイス(リーフデバイス3および4)にのみトラフィックを複製し、スパインに転送します。
スパインがトラフィックをリーフデバイス3および4に転送します。

図 20: IGMP スヌーピング Selective Multicast Forwarding with IGMP Snooping

による選択的マルチキャスト転送

SMET を有効にする必要はありません。これは、IGMPスヌーピングがデバイスで設定されている場合、デフォルトで有効になります。

SMET の詳細については、「選択的マルチキャスト転送の概要」を参照してください。

マルチキャストトラフィックのレプリケーション支援

レプリケーション支援(AR)機能は、EVPN-VXLANファブリックリーフデバイスをイングレスレプリケーションタスクからオフロードします。イングレスリーフは、マルチキャストトラフィックを複製しません。マルチキャストトラフィックの1つのコピーを、ARレプリケーターデバイスとして設定されたスパインに送信します。AR レプリケーターデバイスは、マルチキャストトラフィックを分散および制御します。この方法により、イングレスリーフデバイスのレプリケーションの負荷が軽減されるだけでなく、リーフとスパイン間のファブリックの帯域幅も節約できます。

図 21 は、AR が IGMP スヌーピングおよび SMET とともにどのように機能するかを示しています。

AR リーフデバイスとして設定されたリーフ 1 は、マルチキャストトラフィックを受信し、AR レプリケーターデバイスとして設定されたスパインに 1 つのコピーを送信します。
スパインがマルチキャストトラフィックを複製します。マルチキャストトラフィックがリーフ 1 から発信された VLAN VNI でプロビジョニングされたリーフデバイスのトラフィックを複製します。

ネットワークにはIGMPスヌーピングとSMETが設定されているため、スパインはマルチキャストトラフィックを、関心のある受信者を持つリーフデバイスにのみ送信します。

図 21: AR、IGMP スヌーピング、SMET Multicast with AR, IGMP Snooping, and SMET

によるマルチキャスト

このドキュメントでは、小規模でのマルチキャスト最適化を示します。多くのスパインとリーフを使用する本格的なネットワークでは、最適化のメリットがはるかに明白になります。

ERB オーバーレイネットワーク向けに最適化されたインターサブネットマルチキャスト

ERB オーバーレイファブリックの内外にマルチキャストの送信元と受信機がある場合、最適化されたインターサブネットマルチキャスト (OISM) を構成して、効率的なマルチキャストトラフィックフローを大規模に実現できます。

OISM は、マルチキャストトラフィックにローカルルーティングモデルを使用します。これにより、トラフィックのヘアピンを回避し、EVPN コア内のトラフィック負荷を最小限に抑えます。OISM は、マルチキャスト送信元 VLAN 上でのみマルチキャストトラフィックを転送します。サブネット間の受信者の場合、リーフデバイスは IRB インターフェイスを使用して、送信元 VLAN で受信したトラフィックを同じデバイス上の他の受信者 VLAN にローカルにルーティングします。EVPN-VXLANファブリックのマルチキャストトラフィックフローをさらに最適化するために、OISMはIGMPスヌーピングとSMETを使用して、ファブリック内のトラフィックを、関係する受信者を持つリーフデバイスにのみ転送します。

OISMはまた、ファブリックが外部マルチキャストソースから内部受信者へ、および内部マルチキャストソースから外部受信者へトラフィックを効果的にルーティングすることを可能にします。OISMは、ファブリック内のSBD(Supplemental Bridge Domain)を使用して、境界リーフデバイスで受信したマルチキャストトラフィックを外部ソースから転送します。SBDの設計では、外部から送信されたトラフィックのローカルルーティングモデルが維持されます。

OISM と AR を併用すると、低容量の OISM リーフデバイスのレプリケーションの負荷を軽減できます。( 「マルチキャストトラフィックのレプリケーション支援」を参照してください)。

図22は、OISMとARを使用したシンプルなファブリックです。

図22:OISMとAR OISM with AR

図22 は、OISMサーバーリーフおよびボーダーリーフデバイス、ARレプリケーターロールのスパイン1、ARリーフロールのマルチキャストソースとしてのサーバーリーフ1を示しています。外部送信元と外部受信者は、外部 PIM ドメインにも存在する可能性があります。このシナリオでは、OISMとARが次のように連携します。

VLAN 1 のサーバリーフ 3 の後ろと VLAN 2 のサーバリーフ 4 の背後にあるマルチキャスト受信者は、マルチキャストグループに関心を示す IGMP Join を送信します。外部受信者もマルチキャストグループに参加する場合があります。
サーバリーフ 1 の背後にあるマルチキャストソースは、グループのマルチキャストトラフィックを VLAN 1 のファブリックに送信します。サーバーリーフ1は、スパイン1のARレプリケーターにトラフィックのコピーを1つだけ送信します。
また、マルチキャストグループの外部ソーストラフィックは、ボーダーリーフ 1 に到達します。ボーダーリーフ1は、SBDのトラフィックをARレプリケータであるスパイン1に転送します。
ARレプリケーターは、ソースVLAN上の内部ソースとSBD上の外部ソースから、関心のある受信者とともにOISMリーフデバイスにコピーを送信します。
サーバーリーフデバイスは、送信元VLAN上の受信者にトラフィックを転送し、他のVLAN上の受信者にトラフィックをローカルにルーティングします。

EVPN向けのイングレス仮想マシントラフィックの最適化

データセンター内またはデータセンター間で仮想マシンやホストを移動する場合、トラフィックが最適なゲートウェイにルーティングされないと、ネットワークトラフィックが非効率になる可能性があります。これは、ホストが移動されたときに発生する可能性があります。ARP テーブルは常にフラッシュされるとは限らず、より最適なゲートウェイが存在する場合でも、ホストへのデータフローは設定されたゲートウェイに送信されます。トラフィックは「行き来」され、設定されたゲートウェイに不必要にルーティングされます。

Ingress仮想マシントラフィック最適化(VMTO)により、ネットワーク効率が向上し、Ingressトラフィックが最適化され、VLAN間のトロンボーン効果を排除できます。イングレス VMTO を有効にすると、ルートはレイヤー 3 の仮想ルーティングおよび転送(VRF)テーブルに保存され、デバイスはインバウンドトラフィックを、再配置されたホストに直接ルーティングします。

図23 は、入力VMTOを使用しないトロンボーントラフィックと、入力VMTOを有効にした最適化されたトラフィックを示しています。

イングレスVMTOを使用しない場合、DC1およびDC2からのスパイン1および2はすべて、起点ルートがDC2からのものである場合、リモートIPホストルート10.0.0.1をアドバタイズします。イングレストラフィックは、DC1のスパイン1および2のいずれかに送信できます。その後、DC2のスパイン1および2にルーティングされ、そこでルート10.0.0.1が移動されます。これにより、トロンボーン効果が発生します。
ingress VMTOでは、IPホストルート(10.0.01)がDC2からスパイン1および2によってのみアドバタイズされ、IPホストがDC2に移動したときにDC1からはアドバタイズされないようにすることで、最適な転送パスを実現できます。

図23:Ingress VMTO Traffic with and without Ingress VMTO

がある場合とない場合のトラフィック

VMTO の設定については、 VMTO の設定を参照してください。

DHCP リレー

図 24: CRB オーバーレイ DHCP Relay in a CRB Overlay

の DHCP リレー

動的ホスト構成プロトコル(DHCP)リレービルディングブロックを使用すると、ネットワークはDHCPクライアントとDHCPサーバー間でDHCPメッセージを渡すことができます。このビルディングブロックにDHCPリレーを実装すると、ゲートウェイがスパインレイヤーに配置されているCRBオーバーレイを介してDHCPパケットが移動します。

DHCPサーバーとDHCPクライアントは、リーフデバイス上のアクセスインターフェイスを使用してネットワークに接続します。DHCP サーバーとクライアントは、DHCP クライアントとサーバーが同じ VLAN 内にある場合、追加の設定をしなくても、既存のネットワークを介して相互に通信できます。DHCP クライアントとサーバーが異なる VLAN にある場合、クライアントとサーバー間の DHCP トラフィックは、スパインデバイスの IRB インターフェイスを介して VLAN 間で転送されます。VLAN 間の DHCP リレーをサポートするには、スパインデバイス上の IRB インターフェイスを設定する必要があります。

DHCPリレーの実装については、「 DHCPリレーの設計と実装」を参照してください。

ARP の同期および抑制(プロキシ ARP)による ARP トラフィックの削減

ARP 同期の目的は、オーバーレイサブネットにサービスを提供するすべての VRF 間で ARP テーブルを同期して、トラフィック量を削減し、ネットワークデバイスとエンドシステムの両方の処理を最適化することです。サブネットの IPゲートウェイは、ARP バインディングについて学習すると、それを他のゲートウェイと共有するため、同じ ARP バインディングを個別に検出する必要はありません。

ARP 抑制では、リーフデバイスが ARP 要求を受信すると、他の VTEP デバイスと同期されている自身の ARP テーブルをチェックし、ARP 要求をフラッディングするのではなく、ローカルで要求に応答します。

プロキシARPおよびARP抑制は、ERBオーバーレイでリーフデバイスとして機能できるすべてのQFXシリーズスイッチでデフォルトで有効になっています。これらのスイッチのリストについては、データセンターEVPN-VXLANファブリックリファレンスデザイン—サポートされているハードウェアの概要を参照してください。

リーフデバイス上の IRB インターフェイスは、ローカルとリモートの両方のリーフデバイスから ARP 要求と NDP 要求を配信します。リーフデバイスが別のリーフデバイスから ARP 要求または NDP 要求を受信すると、受信側デバイスはその MAC+IP アドレスバインディングデータベースで要求された IP アドレスを検索します。

デバイスがデータベースでMAC+IPアドレスバインディングを見つけると、要求に応答します。
デバイスが MAC+IP アドレスバインディングを見つけられない場合、VLAN 内のすべてのイーサネットリンクおよび関連する VTEP に ARP 要求をフラッディングします。

参加しているすべてのリーフデバイスが ARP エントリーを追加し、ルーティングテーブルとブリッジングテーブルを同期するため、ローカルリーフデバイスはローカルに接続されたホストからの要求に直接応答し、リモートデバイスがこれらの ARP 要求に応答する必要がなくなります。

ARP 同期、プロキシ ARP、および ARP 抑制の実装については、エッジルーテッドブリッジングオーバーレイでのプロキシ ARP および ARP 抑制の有効化を参照してください。

イーサネット接続されたエンドシステム上のレイヤー2ポートセキュリティ機能

CRBおよびERBオーバーレイは、次のセクションで説明するレイヤー2イーサネット接続されたエンドシステムのセキュリティ機能をサポートします。

これらの機能の詳細については、EVPN-VXLAN 環境での MAC フィルタリング、ストーム制御、およびポートミラーリングのサポートを参照してください。

これらの機能の設定については、イーサネット接続されたエンドシステムでのレイヤ 2 ポートセキュリティ機能の設定を参照してください。

ストーム制御によるBUMトラフィックストームの防止
MAC フィルタリングを使用してポートセキュリティを強化
ポートミラーリングを使用したトラフィックの分析

ストーム制御によるBUMトラフィックストームの防止

ストーム制御は、過剰なトラフィックによるネットワークの劣化を防ぐことができます。EVPN-VXLANインターフェイス上のトラフィックレベルを監視し、指定されたトラフィックレベルを超えた場合にBUMトラフィックをドロップすることで、BUMトラフィックストームの影響を軽減します。

EVPN-VXLAN環境では、ストーム制御は以下を監視します。

VXLAN で発信され、同じ VXLAN 内のインターフェイスに転送されるレイヤー 2 BUM トラフィック。
VXLAN 内の IRB インターフェイスによって受信され、別の VXLAN 内のインターフェイスに転送されるレイヤー 3 マルチキャストトラフィック。

MAC フィルタリングを使用してポートセキュリティを強化

MAC フィルタリングは、VLAN 内で学習できる MAC アドレスの数を制限することでポートセキュリティを強化し、したがって VXLAN 内のトラフィックを制限します。MACアドレスの数を制限することで、スイッチがイーサネットスイッチングテーブルをフラッディングするのを防ぎます。イーサネットスイッチングテーブルのフラッディングは、学習された新しいMACアドレスの数によってテーブルがオーバーフローし、以前に学習したMACアドレスがテーブルからフラッシュされた場合に発生します。スイッチはMACアドレスを再度学習するため、パフォーマンスに影響を与え、セキュリティ上の脆弱性が生じる可能性があります。

このブループリントでは、MACフィルタリングが、MACアドレスに基づいて、イングレスに面したアクセスインターフェイスに送信される受け入れパケットの数を制限します。MAC フィルタリングの仕組みの詳細については、 MAC 制限と MAC 移動制限についてを参照してください。

ポートミラーリングを使用したトラフィックの分析

アナライザベースのポートミラーリングにより、EVPN-VXLAN環境でパケットレベルまでトラフィックを分析できます。この機能を使用して、ネットワーク使用とファイル共有に関連するポリシーを適用し、特定のステーションまたはアプリケーションによる異常なまたは重い帯域幅使用を特定して、問題の原因を特定できます。

ポートミラーリングは、ポートに出入りするパケットやVLANに入るパケットをコピーし、ローカル監視のためにローカルインターフェイスに、またはリモート監視のためにVLANにコピーを送信します。ポートミラーリングを使用して、コンプライアンスの監視、ポリシーの適用、侵入の検出、トラフィックパターンの監視と予測、イベントの関連付けなどの目的でトラフィックを分析するアプリケーションにトラフィックを送信します。