Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

データセンターファブリック設計図アーキテクチャコンポーネント

このセクションでは、この設計図アーキテクチャで使用される構成要素の概要を説明します。各ビルディングブロックテクノロジーの実装については、後のセクションで詳しく説明します。

ビルディングブロックの基盤として機能するハードウェアとソフトウェアの詳細については、 データセンターEVPN-VXLANファブリックリファレンスデザイン - サポートされているハードウェアの概要を参照してください。

構成要素には次のものが含まれます。

IPファブリックアンダーレイネットワーク

最新のIPファブリックアンダーレイネットワークの構成要素は、Closベースのトポロジー全体でIP接続を提供します。ジュニパーネットワークスは、以下のIPファブリックアンダーレイモデルをサポートしています。

  • 3ステージIPファブリックは、スパインデバイス層とリーフデバイス層で構成されています。 図1をご覧ください。

  • 5ステージIPファブリックは、通常、単一の3ステージIPファブリックから始まり、2つの3ステージIPファブリックに成長します。これらのファブリックは、データセンター内で個別のPOD(Point of Delivery)に分割されます。このユースケースでは、2つのPOD内のスパインデバイスとリーフデバイス間の通信を可能にするスーパースパインデバイスの階層の追加をサポートしています。 図2をご覧ください。

  • 集約されたスパインIPファブリックモデルでは、リーフ層の機能がスパインデバイスに集約されています。このタイプのファブリックは、リーフデバイスの個別層がないことを除き、3段または5段のIPファブリックと同様に設定および動作できます。EVPNスパイン&リーフモデルに段階的に移行する場合や、アクセスデバイスやTOR(トップオブラック)デバイスがEVPN-VXLANをサポートしていないためにリーフ層で使用できない場合は、折りたたみ式スパインファブリックを使用することができます。

図1:3段階のIPファブリックアンダーレイ Three-Stage IP Fabric Underlay
図2:5段階のIPファブリックアンダーレイ Five-Stage IP Fabric Underlay

これらの図では、デバイスは、シングルリンクまたは集合型イーサネットインターフェイスである高速インターフェイスを使用して相互接続されています。集合型イーサネットインターフェイスはオプションで、通常はデバイス間のリンクが1つしか使用されますが、帯域幅を拡大し、リンクレベルの冗長性を確保するために導入することもできます。両方のオプションをカバーします。

信頼性と拡張性に優れた EBGP をアンダーレイ ネットワークのルーティング プロトコルとして選択しました。各デバイスには、EBGPをサポートするために、固有の自律システム番号を持つ独自の自律システムが割り当てられます。アンダーレイネットワークでは、他のルーティングプロトコルを使用することもできます。これらのプロトコルの使用は、このドキュメントの範囲外です。

このガイドで説明するリファレンスアーキテクチャ設計は、アンダーレイ接続にEBGPを使用し、オーバーレイピアリングにIBGPを使用するIPファブリックに基づいています( オーバーレイ用IBGPを参照)。または、EBGPを使用してオーバーレイピアリングを設定することもできます。

Junos OSリリース21.2R2および21.4R1以降では、 IPv6ファブリックの設定もサポートされています。このガイドのIPv6ファブリック設計では、アンダーレイ接続とオーバーレイピアリングの両方にEBGPを使用します( IPv6アンダーレイを使用したオーバーレイについてはEBGPを参照してください)。

注:

IPファブリックは、次のようにIPv4またはIPv6を使用できます。

  • IPv4ファブリックは、IPv4インターフェイスアドレッシング、およびIPv4アンダーレイおよびオーバーレイBGPセッションを使用して、エンドツーエンドのワークロード通信を行います。

  • IPv6ファブリックは、IPv6インターフェイスアドレッシング、およびIPv6アンダーレイおよびオーバーレイBGPセッションを使用して、エンドツーエンドのワークロード通信を行います。

  • IPv4とIPv6が混在するIPファブリックはサポートしていません。

    ただし、IPv4ファブリックとIPv6ファブリックはどちらもデュアルスタックワークロードをサポートしており、ワークロードはIPv4またはIPv6のいずれか、またはIPv4とIPv6の両方にすることができます。

また、このビルディングブロックでは、集合型イーサネットインターフェイス内の個々のリンクでBFDを実行する機能であるマイクロ双方向フォワーディング検出(BFD)を有効にして、デバイスを接続する集約型イーサネットバンドル内の任意のメンバーリンクのリンク障害を迅速に検出することもできます。

詳細については、このガイドの他のセクションを参照してください。

IPv4およびIPv6ワークロードのサポート

多くのネットワークは、IPv4 プロトコルと IPv6 プロトコルを含むワークロードに対してデュアルスタック環境を実装しているため、この設計図では両方のプロトコルをサポートしています。このガイドでは、IPv4 および IPv6 のワークロードをサポートするようにファブリックを構成する手順が織り交ぜられており、これらのプロトコルのどちらか一方または両方を選択できます。

注:

ワークロードトラフィックに使用するIPプロトコルは、IPファブリックアンダーレイとオーバーレイに設定するIPプロトコルバージョン(IPv4またはIPv6)とは独立していません。( IPファブリックアンダーレイネットワークを参照してください)。IPv4 ファブリックまたは IPv6 ファブリックインフラストラクチャは、IPv4 と IPv6 の両方のワークロードをサポートできます。

ネットワーク仮想化オーバーレイ

ネットワーク仮想化オーバーレイは、IP アンダーレイ ネットワークを介して転送される仮想ネットワークです。このビルディングブロックにより、ネットワーク内のマルチテナント機能が可能になり、単一の物理ネットワークを複数のテナント間で共有しながら、各テナントのネットワークトラフィックを他のテナントから分離した状態に保つことができます。

テナントとは、エンドポイントのグループを含むユーザーコミュニティ(ビジネスユニット、部門、ワークグループ、アプリケーションなど)のことです。グループは同じテナンシ内の他のグループと通信でき、テナントはネットワーク ポリシーで許可されている場合に他のテナントと通信できます。グループは通常、同じサブネット内の他のデバイスと通信し、仮想ルーティングおよび転送(VRF)インスタンスを介して外部グループやエンドポイントに到達できるサブネット(VLAN)として表されます。

図3に示すオーバーレイの例に見られるように、イーサネットブリッジングテーブル(三角形で表す)はテナントブリッジングフレームを処理し、IPルーティングテーブル(四角形で表す)はルーテッドパケットを処理します。VLAN 間ルーティングは、IRB(統合型ルーティングおよびブリッジング)インターフェイス(円で表されます)で行われます。イーサネットテーブルとIPテーブルは、仮想ネットワーク(色付きの線で表されます)に送信されます。他のVXLANトンネルエンドポイント(VTEP)デバイスに接続されたエンドシステムに到達するために、テナントパケットはカプセル化され、EVPN信号のVXLANトンネル(緑色のトンネルアイコンで表されます)を介して、関連するリモートVTEPデバイスに送信されます。トンネル化されたパケットは、リモート VTEP デバイスでカプセル化解除され、エグレス VTEP デバイスのそれぞれのブリッジングまたはルーティング テーブルを介してリモート エンド システムに転送されます。

図3:VXLANトンネル—イーサネットブリッジング、IPルーティング、IRB VXLAN Tunnels—Ethernet Bridging, IP Routing, and IRB

次のセクションでは、オーバーレイネットワークについて詳しく説明します。

オーバーレイ用IBGP

内部BGP(IBGP)は、IPネットワーク上で到達可能性情報を交換するルーティングプロトコルです。IBGPをマルチプロトコルBGP(MP-IBGP)と組み合わせることで、EVPNがVTEPデバイス間で到達可能性情報を交換するための基盤を提供します。この機能は、VTEP 間の VXLAN トンネルを確立し、オーバーレイ接続サービスに使用するために必要です。

図4 は、スパインデバイスとリーフデバイスが、単一の自律システム内のピアリングにループバックアドレスを使用していることを示しています。この設計では、スパインデバイスはルートリフレクタクラスターとして機能し、リーフデバイスはルートリフレクタクライアントです。ルートリフレクタは、すべてのVTEPデバイスを相互に直接ピアリングすることなく、フルメッシュのIBGP要件を満たします。その結果、リーフデバイスはスパインデバイスとのみピアし、スパインデバイスはスパインデバイスとリーフデバイスの両方とピアリングすることになります。スパインデバイスはすべてのリーフデバイスに接続されているため、スパインデバイスは間接的にピアリングされたリーフデバイスネイバー間でIBGP情報を中継できます。

図4:オーバーレイ用IBGP IBGP for Overlays

ルートリフレクタは、ネットワークのほぼすべての場所に配置できます。ただし、以下の点を考慮する必要があります。

  • 選択したデバイスには、ルートリフレクタが必要とする追加ワークロードを処理するのに十分なメモリと処理能力がありますか?

  • 選択したデバイスは等距離にあり、すべてのEVPNスピーカーから到達可能ですか?

  • 選択したデバイスには適切なソフトウェア機能が搭載されていますか?

この設計では、ルートリフレクタクラスターがスパイン層に配置されています。このリファレンスデザインでスパインとして使用できるQFXスイッチは、ネットワーク仮想化オーバーレイのルートリフレクタクライアントトラフィックを処理するのに十分な処理速度を備えています。

オーバーレイでの IBGP の実装の詳細については、「 オーバーレイへの IBGP の設定」を参照してください。

IPv6 アンダーレイを使用したオーバーレイ用 EBGP

このガイドに記載されている元のリファレンスアーキテクチャの使用例では、IPv4 IBGPオーバーレイデバイス接続を使用したIPv4 EBGPアンダーレイ設計を説明しています。オーバーレイについては、 IPファブリックアンダーレイネットワークIBGPを参照してください。しかし、ネットワーク仮想化エッジ(NVE)デバイスがIPv6の拡張アドレス範囲と機能を活用するためにIPv6 VTEPを採用し始めたため、IPファブリックのサポートをIPv6に拡張しました。

Junos OSリリース21.2R2-S1以降、サポート対象のプラットフォームでは、IPv6ファブリックインフラストラクチャと一部のリファレンスアーキテクチャのオーバーレイ設計を使用することもできます。IPv6ファブリックの設計は、IPv6インターフェイスアドレッシング、IPv6 EBGPアンダーレイ、ワークロード接続用のIPv6 EBGP オーバーレイで構成されています。IPv6 ファブリックでは、NVE デバイスが VXLAN ヘッダーを IPv6 外部ヘッダーでカプセル化し、IPv6 ネクストホップを使用してファブリック全体でパケットをエンドツーエンドでトンネル化します。ワークロードは、IPv4またはIPv6にすることができます。

サポートされているリファレンスアーキテクチャのオーバーレイ設計で設定する要素のほとんどは、アンダーレイとオーバーレイインフラストラクチャがIPv4またはIPv6のどちらを使用するかに依存しません。アンダーレイとオーバーレイがIPv6ファブリック設計を使用している場合、サポートされている各オーバーレイ設計に対応する設定手順で、設定の違いを示します。

詳細については、このガイドの以下のリファレンスやその他のリソースを参照してください。

ブリッジオーバーレイ

このガイドで説明する最初のオーバーレイサービスタイプは、図5に示すようにブリッジオーバーレイです。

図5:ブリッジされたオーバーレイ Bridged Overlay

このオーバーレイ モデルでは、イーサネット VLAN が VXLAN トンネル全体のリーフ デバイス間で拡張されます。これらのリーフツーリーフ VXLAN トンネルは、リーフ デバイス間のイーサネット接続を必要とするが、VLAN 間のルーティングを必要としないデータ センター ネットワークをサポートします。その結果、スパインデバイスは、リーフデバイスに基本的なアンダーレイおよびオーバーレイ接続のみを提供し、他のオーバーレイ方式で見られるルーティングやゲートウェイサービスは実行しません。

リーフデバイスは、他のリーフデバイスに接続するためにVTEPを発信します。トンネルにより、リーフデバイスはデータセンター内の他のリーフデバイスやイーサネットに接続されたエンドシステムにVLANトラフィックを送信できます。このオーバーレイサービスのシンプルさは、既存のイーサネットベースのデータセンターにEVPN/VXLANを簡単に導入する方法を必要とする事業者にとって魅力的です。

注:

EVPN/VXLANファブリックの外部にMXシリーズルーターまたはSRXシリーズセキュリティデバイスを実装することで、ブリッジオーバーレイにルーティングを追加できます。それ以外の場合は、ルーティングを組み込んだ他のオーバーレイタイプ( エッジルーティングされたブリッジングオーバーレイ中央ルーティングされたブリッジングオーバーレイルーテッドオーバーレイなど)のいずれかを選択できます。

ブリッジオーバーレイの実装については、「 ブリッジドオーバーレイの設計と実装」を参照してください。

集中型ルーテッドブリッジングオーバーレイ

2つ目のオーバーレイサービスタイプは、図6に示すように、CRB(Centrally Routed Bridging)オーバーレイです。

図6:Centrally Routed Bridging Overlay Centrally Routed Bridging Overlay

CRBオーバーレイでは、ルーティングは、エンドシステムが接続されているVTEPデバイス(この例ではリーフ層)ではなく、データセンターネットワークの中央ゲートウェイ(この例ではスパイン層)で行われます。

このオーバーレイモデルは、ルーテッドトラフィックが集中型ゲートウェイを通過する必要がある場合や、エッジVTEPデバイスに必要なルーティング機能がない場合に使用できます。

上記のように、イーサネットに接続されたエンドシステムから発信されたトラフィックは、トランク(複数の VLAN)またはアクセス ポート(単一の VLAN)を介してリーフ VTEP デバイスに転送されます。VTEPデバイスは、ローカルエンドシステムまたはリモートVTEPデバイスのエンドシステムにトラフィックを転送します。各スパインデバイスにあるIRB(統合型ルーティングおよびブリッジング)インターフェイスは、イーサネット仮想ネットワーク間のトラフィックのルーティングに役立ちます。

VLAN対応ブリッジングオーバーレイサービスモデルにより、VLANの集合を同じオーバーレイ仮想ネットワークに簡単に集約できます。ジュニパーネットワークスのEVPN設計では、データセンターで次のように3つのVLAN対応イーサネットサービスモデル構成がサポートされます。

エッジルーティングされたブリッジングオーバーレイ

3番目のオーバーレイサービスオプションは、図7に示すように、エッジルーティングブリッジング(ERB)オーバーレイです。

図7:エッジルーティングされたブリッジングオーバーレイ Edge-Routed Bridging Overlay

このイーサネット サービス モデルでは、IRB インターフェイスはオーバーレイネットワークのエッジにあるリーフ デバイス VTEP に移動され、IP ルーティングをエンド システムに近づけます。1台のデバイスでブリッジング、ルーティング、EVPN/VXLANをサポートするには特別なASIC機能が必要なため、ERBオーバーレイは特定のスイッチでのみ可能です。ERBオーバーレイのリーフデバイスとしてサポートするスイッチの一覧については、 データセンターEVPN-VXLANファブリックリファレンスデザイン—サポートされているハードウェアの概要を参照してください。

このモデルにより、ネットワーク全体がよりシンプルになります。スパインデバイスはIPトラフィックのみを処理するように設定されているため、ブリッジングオーバーレイをスパインデバイスまで拡張する必要がありません。

このオプションにより、エンド システムが同じリーフ デバイス VTEP に接続されている場合、サーバー間、データセンター内のトラフィック(東西トラフィックとも呼ばれます)の高速化も可能になります。その結果、ルーティングはCRBオーバーレイの場合よりもエンドシステムの近くで行われます。

注:

リーフデバイスとして機能するQFX5110またはQFX5120スイッチ上のEVPNタイプ5ルーティングインスタンスに含まれるQFX5120インターフェイスを設定すると、デバイスはEVPNタイプ5ルートの対称型IRB間ユニキャストルーティングを自動的に有効にします。

ERBオーバーレイの実装については、「 Edge-Routed Bridging Overlay Design and Implementation」を参照してください。

折り畳み式スパインオーバーレイ

コラプススパインアーキテクチャのオーバーレイネットワークは、ERBオーバーレイに似ています。集約型スパインアーキテクチャでは、リーフデバイス機能がスパインデバイス上に集約されます。リーフ層がないため、ERBモデルのリーフデバイスと同様に、オーバーレイネットワークのエッジにあるスパインデバイスでVTEPSおよびIRBインターフェイスを設定します。また、スパインデバイスは境界ゲートウェイ機能を実行して、north-southトラフィックをルーティングしたり、レイヤー2トラフィックをデータセンター間で拡張したりすることもできます。

コラプススパインアーキテクチャでサポートするスイッチのリストについては、 データセンターEVPN-VXLANファブリックリファレンスデザイン—サポートされているハードウェアの概要を参照してください。

ブリッジオーバーレイ、CRBオーバーレイ、ERBオーバーレイの比較

EVPN環境に最適なオーバーレイタイプを決定するには、 表1を参照してください。

注:

ブリッジオーバーレイ、CRBオーバーレイ、ERBオーバーレイの設定を、これらのオーバーレイタイプをサポートするデバイス上で同時に同じデバイスで混在することをサポートしています。デバイスが異なるタイプのオーバーレイで並行して動作するために、デバイスを個別の論理システムで設定する必要はありません。

表1:ブリッジオーバーレイ、CRBオーバーレイ、ERBオーバーレイの比較

比較ポイント

ERBオーバーレイ

CRBオーバーレイ

ブリッジオーバーレイ

完全分散型テナントのサブネット間ルーティング

IPゲートウェイの障害による影響を最小限に抑える

リーフレベルでサードパーティーノードに動的にルーティング

大量のEast-Westトラフィックに最適化

未加工のIPファブリックとの統合の向上

サーバーにより近い場所での IP VRF 仮想化

Contrail vRouter マルチホーミングが必要

さまざまなベンダーとのEVPN相互運用の容易化

対称的なサブネット間ルーティング

ラックごとに重複するVLAN ID

手動による設定とトラブルシューティングの簡素化

サービスプロバイダおよびエンタープライズスタイルのインターフェイス

従来のリーフスイッチサポート(QFX5100)

仮想マシントラフィックの一元的な最適化(VMTO)制御

ファイアウォールクラスター上のIPテナントサブネットゲートウェイ

ブリッジングオーバーレイのIRBアドレッシングモデル

CRB および ERB オーバーレイでの IRB インターフェイスの設定には、IRB インターフェイスのデフォルト ゲートウェイ IP および MACアドレス設定のモデルを次のように理解する必要があります。

  • Unique IRB IP Address—このモデルでは、オーバーレイサブネット内の各IRBインターフェイスに一意のIPアドレスが設定されます。

    各 IRB インターフェイスに一意の IP アドレスと MACアドレスを持つメリットは、その IP アドレスを使用してオーバーレイ内から各 IRB インターフェイスを監視し、到達できることです。このモデルでは、IRB インターフェイスでルーティング プロトコルを設定することもできます。

    このモデルの欠点は、各 IRB インターフェイスに固有の IP アドレスを割り当てると、サブネットの多くの IP アドレスを消費する可能性があることです。

  • Unique IRB IP Address with Virtual Gateway IP Address—このモデルは、以前のモデルに仮想ゲートウェイのIPアドレスを追加します。中央ルーティングされたブリッジオーバーレイにお勧めします。これはVRRPに似ていますが、ゲートウェイIRBインターフェイス間のインバンドデータプレーンシグナリングはありません。仮想ゲートウェイは、オーバーレイ サブネット内のすべてのデフォルト ゲートウェイ IRB インターフェイスで同一であり、設定されているすべてのゲートウェイ IRB インターフェイスでアクティブである必要があります。また、仮想ゲートウェイに共通の IPv4 MACアドレスを設定する必要があります。このアドレスは、IRB インターフェイス上で転送されるデータ パケットの送信元 MACアドレスになります。

    仮想ゲートウェイにより、以前のモデルのメリットに加えて、エンド システムのデフォルト ゲートウェイ設定が簡素化されます。このモデルの欠点は前モデルと同じです。

  • IRB with Anycast IP Address and MAC Address—このモデルでは、オーバーレイサブネット内のすべてのデフォルトゲートウェイIRBインターフェイスが同じIPアドレスとMACアドレスで設定されます。ERB オーバーレイにはこのモデルをお勧めします。

    このモデルの利点は、デフォルトゲートウェイのIRBインターフェイスアドレッシングでサブネットごとに1つのIPアドレスのみを必要とすることで、エンドシステムのデフォルトゲートウェイ設定を簡素化できることです。

EVPNタイプ5ルートを使用したルーテッドオーバーレイ

最後のオーバーレイオプションは、図8に示すようにルーティングオーバーレイです。

図8:ルーティングされたオーバーレイ Routed Overlay

このオプションは、IP ルーティング仮想ネットワーク サービスです。MPLSベースのIP VPNとは異なり、このモデルの仮想ネットワークはEVPN/VXLANに基づいています。

クラウドプロバイダはこの仮想ネットワークオプションを好んでいます。最新のアプリケーションのほとんどはIP向けに最適化されているからです。デバイス間のすべての通信はIPレイヤーで行われるため、このルーテッドオーバーレイモデルでは、VLANやESIなどのイーサネットブリッジングコンポーネントを使用する必要はありません。

ルーテッドオーバーレイの実装については、「 ルーテッドオーバーレイの設計と実装」を参照してください。

ネットワーク仮想化オーバーレイにおけるマルチテナント機能用のMAC-VRFインスタンス

MAC-VRFルーティングインスタンスを使用すると、EVPN-VXLANファブリックでVTEPとして機能するデバイス上で、異なるイーサネットサービスタイプを持つ複数のEVPNインスタンスを設定できます。MAC-VRFインスタンスを使用すると、顧客固有のVRFテーブルでデータセンター内の複数のテナントを管理し、テナントワークロードを分離またはグループ化できます。

MAC-VRFインスタンスでは、VLAN対応サービスタイプの以前のサポートに加えて、VLANベースのサービスタイプのサポートも導入されています。 図9をご覧ください。

図9:MAC-VRFサービスタイプ MAC-VRF Service Types

  • VLAN ベースのサービス—MAC-VRF インスタンスで 1 つの VLAN と対応する VXLAN ネットワーク識別子(VNI)を設定できます。新しいVLANとVNIをプロビジョニングするには、新しいVLANとVNIで新しいMAC VRFインスタンスを設定する必要があります。

  • VLAN 対応サービス—同じ MAC-VRF インスタンス内で 1 つ以上の VLAN と対応する VNI を設定できます。新しいVLANとVNIをプロビジョニングするには、新しいVLANとVNIの設定を既存のMAC-VRFインスタンスに追加できます。これにより、VLANベースのサービスを使用する場合よりも設定手順を少し省くことができます。

MAC-VRFインスタンスは、レイヤー2とレイヤー3の両方で、より柔軟な設定オプションを可能にします。次に例を示します。

図10:MAC-VRFインスタンスを使用したレイヤー2とレイヤー3の両方での柔軟な構成オプション Flexible Configuration Options at both Layer 2 and Layer 3 with MAC-VRF Instances

図10 は、MAC-VRFインスタンスの場合:

  • 同じデバイス上の異なるMAC-VRFインスタンスで、異なるサービスタイプを設定できます。

  • レイヤー2(MAC-VRFインスタンス)とレイヤー3(VRFインスタンス)で柔軟なテナント分離オプションが用意されています。1つのMAC-VRFインスタンスでVLANまたはVLANに対応するVRFインスタンスを設定できます。または、複数のMAC-VRFインスタンスでVLANにまたがるVRFインスタンスを設定することもできます。

図11 は、ERBオーバーレイファブリックと、テナント分離のためのMAC-VRF設定のサンプルを示しています。

図11:ERBオーバーレイファブリックとMAC-VRFインスタンスによるテナント分離 ERB Overlay Fabric with MAC-VRF Instances for Tenant Separation

図11では、リーフデバイスがVXLANトンネルを確立し、MAC-VRFインスタンスMAC-VRF 12とMAC-VRF 3を使用して、テナント12(VLAN 1およびVLAN 2)とテナント3(VLAN 3)の間のレイヤー2での分離を維持しています。また、リーフデバイスは、VRFインスタンスVRF 12とVRF 3を使用してレイヤー3のテナントを分離します。

MAC-VRFおよびVRF設定によりレイヤー2とレイヤー3で分離されたテナント間でVLANトラフィックを共有するには、次のような他のオプションを使用できます。

  • ファイアウォールを介してテナントVRF間のセキュアな外部相互接続を確立します。

  • レイヤー 3 VRF 間のローカル ルート リークを設定します。

MAC-VRFインスタンスの詳細と、お客様のユースケースの例での使用については、 EVPN-VXLAN DC IPファブリックMAC-VRF L2サービスを参照してください。

MAC-VRFインスタンスは、以下のようにフォワーディングインスタンスに対応します。

  • QFX5000シリーズのスイッチ(Junos OSまたはJunos OS Evolvedを実行するスイッチを含む)上のMAC-VRFインスタンスはすべて、デフォルトの転送インスタンスの一部です。これらのデバイスでは、MAC-VRFインスタンス内または複数のMAC-VRFインスタンス間で重複するVLANを設定することはできません。

  • QFX10000シリーズのスイッチでは、複数の転送インスタンスを設定し、MAC-VRFインスタンスを特定の転送インスタンスにマッピングできます。複数のMAC-VRFインスタンスを同じ転送インスタンスにマッピングすることもできます。異なる転送インスタンスを使用するように各MAC-VRFインスタンスを設定した場合、複数のMAC-VRFインスタンス間で重複するVLANを設定できます。単一のMAC-VRFインスタンス内、または同じ転送インスタンスにマッピングされるMAC-VRFインスタンス間で重複するVLANを設定することはできません。

  • デフォルト設定では、スイッチは、デフォルトの転送インスタンスに関連付けられたVLAN ID = 1のデフォルトVLANを含めます。VLAN IDは転送インスタンスで一意である必要があるため、デフォルトの転送インスタンスを使用するMAC-VRFインスタンスでVLAN ID = 1のVLANを設定する場合は、デフォルトVLANのVLAN IDを1以外の値に再割り当てする必要があります。次に例を示します。

このガイドのリファレンスネットワーク仮想化オーバーレイ設定例には、MAC-VRFインスタンスを使用してオーバーレイを設定する手順が含まれています。タイプ mac-vrfのEVPNルーティングインスタンスを設定し、インスタンスにルート識別子とルートターゲットを設定します。また、目的のインターフェイス(VTEP送信元インターフェイスを含む)、VLAN、およびVLAN-VNIマッピングもインスタンスに含めます。以下のトピックのリファレンス設定を参照してください。

注:

設定で複数のMAC-VRFインスタンスを使用している場合、デバイスのVTEPスケーリングで問題が発生する可能性があります。そのため、この問題を回避するには、MAC-VRFインスタンス設定でJunos OSを実行しているスイッチのQFX5000ラインで共有トンネル機能を有効にする必要があります。共有トンネルを設定すると、デバイスはリモート VTEP に到達するためのネクストホップ エントリの数を最小限に抑えます。[edit forwarding-options evpn-vxlan]階層レベルでshared-tunnelsステートメントを使用して、デバイス上の共有VXLANトンネルをグローバルに有効にします。この設定を行うには、デバイスを再起動する必要があります。

このステートメントは、QFX5000スイッチよりも高いVTEPスケーリングを処理できるJunos OSを実行しているスイッチQFX10000シリーズではオプションです。

EVPN-VXLANファブリックでJunos OS Evolvedを実行しているデバイスでは、共有トンネルがデフォルトで有効になっています。Junos OS Evolvedは、MAC-VRF構成でのみEVPN-VXLANをサポートします。

イーサネット接続されたエンドシステムにおけるマルチホーミングサポート

図12:イーサネット接続されたエンドシステムのマルチホーミング Ethernet-Connected End System Multihoming

イーサネット接続されたマルチホーミング により、イーサネットに接続されたエンドシステムは、シングルホームリンクを介して1つのVTEPデバイスに接続するか、または異なるVTEPデバイスにマルチホームされた複数のリンクを介してイーサネットオーバーレイネットワークに接続できます。イーサネットトラフィックは、同じエンドシステムに接続するリーフデバイス上のVTEP間のファブリック全体でロードバランシングされます。

イーサネットに接続されたエンドシステムが単一のリーフデバイスに接続されているか、2台または3台のリーフデバイスにマルチホームされているセットアップをテストし、2台以上のリーフVTEPデバイスを使用したマルチホームセットアップでトラフィックが適切に処理されることを証明しました。実際には、イーサネットに接続されたエンドシステムは、多数のリーフ VTEP デバイスにマルチホームできます。すべてのリンクがアクティブであり、すべてのマルチホームリンクでネットワークトラフィックをロードバランシングできます。

このアーキテクチャでは、イーサネット接続されたマルチホーミングにEVPNが使用されています。EVPNマルチホームLAGは、EVPNブリッジングオーバーレイのイーサネットセグメント識別子(ESI)によって識別され、LACPはLAGの可用性を向上させるために使用されます。

VLANトランキングにより、1つのインターフェイスで複数のVLANをサポートできます。VLANトランキングにより、非オーバーレイハイパーバイザー上の仮想マシン(VM)が、あらゆるオーバーレイネットワークコンテキストで動作できるようになります。

イーサネット接続マルチホーミングのサポートの詳細については、 イーサネット接続エンドシステムのマルチホーミング設計と実装を参照してください。

IP 接続されたエンド システムのマルチホーミング サポート

図13:IP接続されたエンドシステムのマルチホーミング IP-Connected End System Multihoming

異なるリーフデバイス上の複数のIPベースのアクセスインターフェイスを介してIPネットワークに接続するためのIP接続マルチホーミングエンドポイントシステム。

IP接続されたエンドシステムが単一のリーフに接続されるか、2つまたは3つのリーフデバイスにマルチホームされるセットアップをテストしました。この設定では、複数のリーフデバイスにマルチホームされた場合にトラフィックが適切に処理されることが検証されました。実際には、IP接続されたエンドシステムは、多数のリーフデバイスにマルチホームできます。

マルチホーム設定では、すべてのリンクがアクティブであり、ネットワークトラフィックはすべてのマルチホームリンク上で送受信されます。IPトラフィックは、単純なハッシュアルゴリズムを使用して、マルチホームリンク間でロードバランシングされます。

EBGPは、IP接続されたエンドポイントシステムと接続されたリーフデバイス間でルーティング情報を交換し、エンドポイントシステムへのルートがすべてのスパインおよびリーフデバイスで共有されるようにするために使用されます。

IP 接続マルチホーミングの構成要素の詳細については、「 IP 接続エンド システムのマルチホーミングの設計と実装」を参照してください。

境界デバイス

ジュニパーのリファレンスデザインには、ローカルIPファブリックの外部にある以下のデバイスへの接続を提供する境界デバイスが含まれています。

  • マルチキャストゲートウェイ。

  • DCI(データセンターの相互接続)用のデータセンターゲートウェイです。

  • ファイアウォール、ネットワークアドレス変換(NAT)、侵入検出および防止(IDP)、マルチキャストなどの複数のサービスが統合されているSRXルーターなどのデバイス。複数のサービスを1つの物理デバイスに統合することは、サービスチェイニングと呼ばれます。

  • ファイアウォール、DHCPサーバー、sFlowコレクターなどとして機能するアプライアンスまたはサーバー。

    注:

    ネットワークに、境界デバイスへの1Gbpsイーサネット接続を必要とするレガシーアプライアンスまたはサーバーが含まれている場合、境界デバイスとしてQFX10008またはQFX5120スイッチを使用することをお勧めします。

上記の追加機能を提供するために、ジュニパーネットワークスは以下の方法で境界デバイスの導入をサポートしています。

  • 境界デバイスとしてのみ機能するデバイスとして。この専用ロールでは、上記のタスクのうち1つ以上を処理するようにデバイスを設定できます。このような状況では、デバイスは通常、スパインデバイスに接続されたボーダーリーフとして導入されます。

    例えば、 図14に示すERBオーバーレイでは、ボーダーリーフL5とL6が、DCI用のデータセンターゲートウェイ、sFlowコレクター、およびDHCPサーバーへの接続を提供します。

  • ネットワークアンダーレイデバイスと、上記のタスクの1つ以上を処理できるボーダーデバイスの2つの役割を持つデバイスとして。このような状況では、通常、スパインデバイスが 2 つのロールを処理します。そのため、ボーダーデバイス機能はボーダースパインと呼ばれます。

    例えば、 図15に示すERBオーバーレイでは、ボーダースパインS1とS2がリーンスパインデバイスとして機能しています。また、DCI用のデータセンターゲートウェイ、sFlowコレクター、DHCPサーバーへの接続も提供します。

図14:ボーダーリーフSample ERB Topology with Border Leafsを使用したERBトポロジーの例
図15:ボーダースパインSample ERB Topology with Border Spinesを使用したERBトポロジーのサンプル

データセンターの相互接続(DCI)

データセンターの相互接続(DCI)ビルディングブロックは、データセンター間でのトラフィック送信に必要な技術を提供します。検証済みの設計は、EVPNタイプ5ルート、IPVPNルート、レイヤー2 DCIとVXLANスティッチを使用したDCIをサポートしています。

EVPN Type 5 または IPVPN ルートは、DCI のコンテキストで使用され、異なる IP アドレスのサブネッティング方式を使用するデータセンター間のデータセンター間トラフィックを交換できるようにします。異なるデータセンターのスパインデバイス間でルートが交換され、データセンター間でのトラフィックの通過が可能になります。

図16:EVPNタイプ5ルートを使用したDCI トポロジーの概要 DCI Using EVPN Type 5 Routes Topology Overview

DCIを設定する前に、データセンター間の物理的な接続が必要です。物理的な接続は、WANクラウド内のバックボーンデバイスによって提供されます。バックボーンデバイスは、単一のデータセンター(POD)内のすべてのスパインデバイスと、他のデータセンターに接続されている他のバックボーンデバイスに接続されます。

DCIの設定については、次を参照してください。

サービスチェイニング

多くのネットワークでは、ファイアウォール、NAT、IDP、マルチキャストなど、それぞれがサービスを提供する別個のハードウェアデバイスを経由してトラフィックが流れることが一般的です。各デバイスには個別の運用と管理が必要です。複数のネットワーク機能をリンクするこの方法は、物理的なサービスチェイニングと考えることができます。

サービスチェイニングのより効率的なモデルは、ネットワーク機能を仮想化して1台のデバイスに統合することです。当社の設計図アーキテクチャでは、ネットワーク機能とプロセスを統合し、サービスを適用するデバイスとしてSRXシリーズルーターを使用しています。そのデバイスを物理ネットワーク機能(PNF)と呼びます。

このソリューションでは、CRBオーバーレイとERBオーバーレイの両方でサービスチェイニングがサポートされています。テナント間トラフィックに対してのみ機能します。

サービスチェイニングの論理ビュー

図17 は、サービスチェイニングの論理ビューを示しています。右側構成と左側構成の 1 つのスパインが表示されます。両側には、VRFルーティングインスタンスとIRBインターフェイスがあります。中央にあるSRXシリーズルーターはPNFで、サービスチェイニングを実行します。

図17:サービスチェイニング論理ビューService Chaining Logical View

この論理ビューでのトラフィックのフローは次のとおりです。

  1. スパインは、左側の VRF にある VTEP でパケットを受信します。

  2. パケットはカプセル化解除され、左側の IRB インターフェイスに送信されます。

  3. IRB インターフェイスは、PNF として動作する SRXシリーズ ルーターにパケットをルーティングします。

  4. SRXシリーズルーターは、パケットに対してサービスチェイニングを実行し、パケットをスパインに返送し、スパインの右側に示されたIRBインターフェイスで受信します。

  5. IRB インターフェイスは、右側の VRF の VTEP にパケットをルーティングします。

サービスチェイニングの設定については、 サービスチェイニングの設計と実装を参照してください。

マルチキャストの最適化

マルチキャストの最適化により、EVPN VXLAN環境のマルチキャストシナリオにおいて、帯域幅を節約し、トラフィックをより効率的にルーティングできます。マルチキャストの最適化を構成していない場合、 図18に示すように、すべてのマルチキャストレプリケーションはマルチキャストソースに接続されたリーフのingressで実行されます。マルチキャストトラフィックは、スパインに接続されているすべてのリーフデバイスに送信されます。各リーフデバイスは、接続されたホストにトラフィックを送信します。

図18:最適化なしのマルチキャスト Multicast without Optimizations

EVPN VXLAN環境でサポートされるマルチキャスト最適化には、連携可能ないくつかのタイプがあります。

マルチキャスト機能の設定については、次を参照してください。

IGMPスヌーピング

EVPN-VXLANファブリックにおけるIGMPスヌーピングは、マルチキャストトラフィックの配信を最適化するのに役立ちます。IGMPスヌーピングは、IGMPリスナーが存在するインターフェイスでのみマルチキャストトラフィックが転送されるため、帯域幅を保持します。リーフデバイス上のすべてのインターフェイスがマルチキャストトラフィックを受信する必要があるわけではありません。

IGMP スヌーピングを使用しないと、エンド システムは関心のない IPマルチキャスト トラフィックを受信し、リンクに不要なトラフィックが不必要に殺到することになります。IPマルチキャストフローが大きい場合、望ましくないトラフィックがフラッディングしてサービス拒否の問題が発生することがあります。

図19 は、EVPN-VXLANファブリックでIGMPスヌーピングがどのように機能するかを示しています。このサンプルEVPN-VXLANファブリックでは、すべてのリーフデバイスでIGMPスヌーピングが設定されており、マルチキャストレシーバー2は以前にIGMPv2の参加要求を送信しています。

  1. マルチキャスト受信者2は、IGMPv2の休暇要求を送信します。

  2. マルチキャスト受信機3および4は、IGMPv2参加リクエストを送信します。

  3. リーフ1がイングレスマルチキャストトラフィックを受信すると、すべてのリーフデバイスにそれを複製し、スパインに転送します。

  4. スパインは、すべてのリーフデバイスにトラフィックを転送します。

  5. リーフ2はマルチキャストトラフィックを受信しますが、受信者がIGMPリーブメッセージを送信したため、受信側には転送しません。

図19:IGMPスヌーピングMulticast with IGMP Snoopingを使用したマルチキャスト

EVPN-VXLANネットワークでは、IGMPバージョン2のみがサポートされます。

IGMPスヌーピングの詳細については、 EVPN-VXLAN環境でのIGMPスヌーピングまたはMLDスヌーピングによるマルチキャストフォワーディングの概要を参照してください。

選択的マルチキャストフォワーディング

選択的マルチキャストイーサネット(SMET)転送は、エンドツーエンドのネットワーク効率を向上させ、EVPNネットワークのトラフィックを削減します。ファブリックのコアの帯域幅使用量を節約し、リスナーを持たないエグレスデバイスの負荷を軽減します。

IGMPスヌーピングが有効になっているデバイスは、選択的なマルチキャスト転送を使用して、マルチキャストトラフィックを効率的に転送します。IGMP スヌーピングを有効にすると、リーフデバイスは、関心のある受信者を持つアクセスインターフェイスにのみマルチキャストトラフィックを送信します。SMETを追加すると、リーフデバイスは、そのマルチキャストグループに関心を示したコア内のリーフデバイスにのみ、マルチキャストトラフィックを選択的に送信します。

図20 は、IGMPスヌーピングとともにSMETトラフィックフローを示しています。

  1. マルチキャスト受信者2は、IGMPv2の休暇要求を送信します。

  2. マルチキャスト受信機3および4は、IGMPv2参加リクエストを送信します。

  3. リーフ1がイングレスマルチキャストトラフィックを受信すると、関心のある受信者を持つリーフデバイス(リーフデバイス3および4)にのみトラフィックを複製し、スパインに転送します。

  4. スパインは、トラフィックをリーフデバイス3および4に転送します。

図20:IGMPスヌーピングSelective Multicast Forwarding with IGMP Snoopingを使用した選択的マルチキャストフォワーディング

SMETを有効にする必要はありません。デバイス上でIGMPスヌーピングが設定されている場合、デフォルトで有効になります。

SMETの詳細については、 選択的マルチキャストフォワーディングの概要を参照してください。

マルチキャストトラフィックのレプリケーション支援

アシストレプリケーション(AR)機能は、EVPN-VXLANファブリックリーフデバイスをingressレプリケーションタスクからオフロードします。イングレスリーフは、マルチキャストトラフィックを複製しません。ARレプリケータデバイスとして設定されたスパインに、マルチキャストトラフィックのコピー1つを送信します。ARレプリケータデバイスは、マルチキャストトラフィックを分散および制御します。この方法により、ingressリーフデバイスのレプリケーション負荷が軽減されるだけでなく、リーフとスパイン間のファブリックの帯域幅を節約できます。

図21 は、ARがIGMPスヌーピングおよびSMETとともにどのように機能するかを示しています。

  1. ARリーフデバイスとして設定されたリーフ1は、マルチキャストトラフィックを受信し、ARレプリケータデバイスとして設定されたスパインに1つのコピーを送信します。

  2. スパインは、マルチキャストトラフィックを複製します。VLAN VNIでプロビジョニングされたリーフデバイスのトラフィックを複製し、その中でマルチキャストトラフィックはリーフ1から発信されます。

    IGMP スヌーピングと SMET がネットワークに設定されているため、スパインは関心のある受信者を持つリーフ デバイスにのみマルチキャスト トラフィックを送信します。

図21:AR、IGMPスヌーピング、SMET Multicast with AR, IGMP Snooping, and SMETによるマルチキャスト

このドキュメントでは、マルチキャストの最適化を小規模に紹介します。多くのスパインとリーフがあるフルスケールネットワークでは、最適化のメリットがはるかに明白になります。

ERBオーバーレイネットワーク向けに最適化されたインターサブネットマルチキャスト

ERBオーバーレイファブリックの内部と外部の両方にマルチキャストソースとレシーバーがある場合、最適化されたサブネット間マルチキャスト(OISM)を設定して、大規模に効率的なマルチキャストトラフィックフローを実現できます。

OISMは、マルチキャストトラフィックにローカルルーティングモデルを使用することで、トラフィックのヘアピンニングを回避し、EVPNコア内のトラフィック負荷を最小限に抑えます。OISMは、マルチキャストソースVLAN上でのみマルチキャストトラフィックを転送します。サブネット間レシーバーの場合、リーフデバイスはIRBインターフェイスを使用して、送信元VLANで受信したトラフィックを同じデバイス上の他のレシーバーVLANにローカルにルーティングします。EVPN-VXLANファブリックのマルチキャストトラフィックフローをさらに最適化するために、OISMはIGMPスヌーピングとSMETを使用して、ファブリック内のトラフィックを、関心のある受信者を持つリーフデバイスにのみ転送します。

また、OISMにより、ファブリックは、外部のマルチキャストソースから内部の受信者へ、および内部のマルチキャストソースから外部の受信者へトラフィックを効果的にルーティングできます。OISMは、ファブリック内で補足ブリッジドメイン(SBD)を使用して、外部ソースから境界リーフデバイスで受信したマルチキャストトラフィックを転送します。SBDの設計では、外部からソースされたトラフィックのローカルルーティングモデルが維持されます。

ARとOISMを併用することで、低容量のOISMリーフデバイスでのレプリケーション負荷を軽減できます。( マルチキャストトラフィックのアシストレプリケーションを参照してください)。

OISMとARを使用したシンプルなファブリックについては 、図22 を参照してください。

図22:AROISM with ARを使用したOISM

図22 は、OISMサーバーのリーフおよびボーダーリーフデバイス、ARレプリケータの役割におけるスパイン1、およびARリーフの役割におけるマルチキャストソースとしてのサーバーリーフ1を示しています。外部の送信元と受信側も、外部PIMドメインに存在している場合があります。このシナリオでは、OISMとARは次のように連携します。

  1. VLAN 1のサーバーリーフ3の背後、およびVLAN 2のサーバーリーフ4の背後にあるマルチキャスト受信機は、マルチキャストグループに関心を示すIGMPジョインを送信します。外部受信機もマルチキャスト グループに参加する場合があります。

  2. サーバーリーフ1の背後にあるマルチキャストソースは、グループのマルチキャストトラフィックをVLAN 1のファブリックに送信します。サーバーリーフ1は、スパイン1のARレプリケータにトラフィックのコピーを1つだけ送信します。

  3. また、マルチキャストグループの外部ソーストラフィックはボーダーリーフ1に到着します。ボーダーリーフ1は、SBD上のトラフィックをARレプリケータであるスパイン1に転送します。

  4. ARレプリケータは、ソースVLANの内部ソースとSBDの外部ソースから、関心のある受信者がいるOISMリーフデバイスにコピーを送信します。

  5. サーバーリーフデバイスは、送信元VLAN上の受信側にトラフィックを転送し、他のVLAN上の受信側にローカルにトラフィックをルーティングします。

EVPN向けのingress仮想マシントラフィックの最適化

仮想マシンやホストをデータセンター内またはデータセンター間で移動する際、トラフィックが最適なゲートウェイにルーティングされなければ、ネットワークトラフィックが非効率になる可能性があります。これは、ホストが再配置されたときに発生する可能性があります。ARP テーブルが常にフラッシュされるとは限らず、ホストへのデータ フローは、より最適なゲートウェイがある場合でも設定されたゲートウェイに送信されます。トラフィックが「トロンボーン化」され、設定されたゲートウェイに不必要にルーティングされます。

Ingress Virtual Machine Traffic Optimization(VMTO)は、ネットワーク効率を向上させ、Ingress トラフィックを最適化し、VLAN 間のトロンボーン効果を排除できます。イングレスVMTOを有効にすると、ルートはレイヤー3の仮想ルーティングおよび転送(VRF)テーブルに保存され、デバイスはインバウンドトラフィックを直接再配置されたホストにルーティングします。

図23 は、ingress VMTOを使用しないトロンボーントラフィックと、ingress VMTOを有効にした状態で最適化されたトラフィックを示しています。

  • ingress VMTO を使用しない場合、DC1 と DC2 のスパイン 1 と 2 はすべて、送信元ルートが DC2 からの場合、リモート IP ホスト ルート 10.0.0.1 をアドバタイズします。イングレストラフィックは、DC1のスパイン1および2のいずれかに送信できます。次に、ルート10.0.0.1が移動されたDC2のスパイン1と2にルーティングされます。これにより、トロンボーン効果が生じます。

  • ingress VMTOでは、IPホストがDC2に移動したときにDC1からはアドバタイズされず、DC2からのスパイン1および2によってのみアドバタイズされるようにIPホストルート(10.0.01)のポリシーを設定することで、最適な転送パスを実現できます。

図23:Ingress VMTOTraffic with and without Ingress VMTOあり/なしのトラフィック

VMTO の設定については、 VMTO の設定を参照してください。

DHCP リレー

図24:CRBオーバーレイDHCP Relay in a CRB Overlay内のDHCPリレー

ダイナミックホスト構成プロトコル(DHCP)リレービルディングブロックにより、ネットワークはDHCPクライアントとDHCPサーバーの間でDHCPメッセージを渡すことができます。このビルディングブロックにDHCPリレーを実装すると、ゲートウェイがスパイン層に配置されているCRBオーバーレイを介してDHCPパケットが移動します。

DHCP サーバーと DHCP クライアントは、リーフ デバイス上のアクセス インターフェイスを使用してネットワークに接続します。DHCP クライアントとサーバーが同じ VLAN 内にある場合、DHCP サーバーとクライアントは、追加の設定なしで既存のネットワークを介して相互に通信できます。DHCP クライアントとサーバーが異なる VLAN 内にある場合、クライアントとサーバー間の DHCP トラフィックは、スパイン デバイスの IRB インターフェイスを介して VLAN 間で転送されます。VLAN 間の DHCP リレーをサポートするには、スパインデバイス上の IRB インターフェイスを設定する必要があります。

DHCP リレーの実装については、「 DHCP リレーの設計と実装」を参照してください。

ARP同期と抑制によるARPトラフィックの削減(プロキシARP)

ARP同期の目的は、オーバーレイサブネットにサービスを提供するすべてのVRFでARPテーブルを同期させ、トラフィック量を削減し、ネットワークデバイスとエンドシステムの両方の処理を最適化することです。サブネットのIPゲートウェイがARPバインディングについて学習すると、それを他のゲートウェイと共有するため、同じARPバインディングを個別に検出する必要はありません。

ARP抑制では、リーフデバイスがARP要求を受信すると、ARP要求をフラッディングするのではなく、他のVTEPデバイスと同期している自身のARPテーブルをチェックし、ローカルで要求に応答します。

プロキシARPとARP抑制は、ERBオーバーレイでリーフデバイスとして機能できるすべてのQFXシリーズスイッチでデフォルトで有効になっています。これらのスイッチのリストについては、 データセンターEVPN-VXLANファブリックリファレンスデザイン—サポートされているハードウェアの概要を参照してください。

リーフ デバイス上の IRB インターフェイスは、ローカルとリモートの両方のリーフ デバイスから ARP 要求と NDP 要求を配信します。リーフデバイスが別のリーフデバイスからARP要求またはNDP要求を受信すると、受信側デバイスは、MAC+IPアドレスバインディングデータベースで要求されたIPアドレスを検索します。

  • デバイスがデータベースでMAC+IPアドレスバインディングを見つけると、リクエストに応答します。

  • デバイスがMAC+IPアドレスバインディングを見つけられない場合、VLAN内のすべてのイーサネットリンクと関連するVTEPにARPリクエストをフラッディングします。

参加するすべてのリーフデバイスがARPエントリを追加し、ルーティングテーブルとブリッジングテーブルを同期するため、ローカルリーフデバイスはローカルに接続されたホストからの要求に直接応答し、リモートデバイスがこれらのARP要求に応答する必要がなくなります。

ARP同期、プロキシARP、およびARP抑制の実装については、 エッジルーティングされたブリッジングオーバーレイのプロキシARPおよびARP抑制の有効化を参照してください。

イーサネット接続されたエンドシステムにおけるレイヤー 2 ポートのセキュリティ機能

CRBおよびERBオーバーレイは、次のセクションで説明するレイヤー2イーサネット接続エンドシステムのセキュリティ機能をサポートします。

これらの機能の詳細については、 EVPN-VXLAN環境でのMACフィルタリング、ストーム制御、ポートミラーリングサポートを参照してください。

これらの機能の設定については、 イーサネット接続されたエンドシステムでのレイヤー2ポートセキュリティ機能の設定を参照してください。

ストーム制御でBUMトラフィックストームを防止

ストーム制御により、過剰なトラフィックによるネットワークの劣化を防ぐことができます。EVPN-VXLANインターフェイスのトラフィックレベルを監視し、指定されたトラフィックレベルを超えた場合にBUMトラフィックをドロップすることで、BUMトラフィックストームの影響を軽減します。

EVPN-VXLAN環境では、ストーム制御は以下を監視します。

  • VXLANから発信され、同じVXLAN内のインターフェイスに転送されるレイヤー2 BUMトラフィック。

  • VXLAN 内の IRB インターフェイスによって受信され、別の VXLAN 内のインターフェイスに転送されるレイヤー 3 マルチキャスト トラフィック。

MACフィルタリングを使用したポートセキュリティの強化

MACフィルタリングは、VLAN内で学習できるMACアドレスの数を制限することでポートのセキュリティを強化し、VXLAN内のトラフィックを制限します。MACアドレスの数を制限することで、スイッチがイーサネットスイッチングテーブルにフラッディングするのを防ぎます。イーサネットスイッチングテーブルのフラッディングは、学習した新しいMACアドレスの数によってテーブルがオーバーフローし、以前に学習したMACアドレスがテーブルからフラッシュされたときに発生します。スイッチはMACアドレスを再学習します。これがパフォーマンスに影響を与え、セキュリティの脆弱性を導入する可能性があります。

この設計図では、MACフィルタリングが、MACアドレスに基づいてイングレス側アクセスインターフェイスに送信される受け入れパケットの数を制限します。MACフィルタリングのしくみについて詳しくは、 MAC制限についてとMAC移動制限のMAC制限情報を参照してください。

ポートミラーリングを使用したトラフィックの分析

アナライザベースのポートミラーリングにより、EVPN-VXLAN環境のパケットレベルまでトラフィックを分析できます。この機能を使用して、ネットワーク使用とファイル共有に関連するポリシーを適用し、特定のステーションまたはアプリケーションによる異常なまたは重い帯域幅使用を特定して、問題の原因を特定できます。

ポートミラーリングは、ポートに出入りするパケットやVLANに入るパケットをコピーし、そのコピーをローカル監視のためにローカルインターフェイスに、またはリモート監視のためにVLANに送信します。ポートミラーリングを使用して、コンプライアンスの監視、ポリシーの適用、侵入の検出、トラフィックパターンの監視と予測、イベントの関連付けなどの目的でトラフィックを分析するアプリケーションにトラフィックを送信します。

関連ドキュメント