Vxlanの理解

Vxlanの利点

VXLANテクノロジーを使用すると、ネットワークをVLANsdoとしてセグメント化できますが、Vlanではできない利点が提供されます。 VXLANsを使用することの最も重要な利点は次のとおりです:

• 理論的には、管理ドメイン内に1,600万個のVxlanを作成できます（JuniperNetworksデバイス上の4094個のVlanではなく）。

  • MXシリーズルーターとEX9200スイッチは、32,000Vxlan、32,000マルチキャストグループ、および8000仮想tunnelendpoints(VTEPs)をサポートします。 これは、MXシリーズルータに基づくVxlanがcloud builderstoが必要とする規模でネットワークセグメンテーションを提供することを意味し、非常に多くのテナントをサポー

  • QFX10000シリーズスイッチは4000Vxlanおよび2000remote VTEPsをサポートします。

  • QFX5100、QFX5110、QFX5200、QFX5210、およびEX4600スイッチは、4000Vxlan、4000マルチキャストグループ、および2000リモートVTEPsをサポートします。

  • EX4300-48mpswitchesは4000Vxlanをサポートします。

• トラフィックoverLayer3ネットワークをトンネリングすることにより、別々のレイヤ2ドメインに存在するサーバ間で仮想マシンの移行を有効に この機能を使用すると、レイヤ2境界によって制約されたり、大きなレイヤ2ドメインまたは地理的に拡張されたレイヤ2ドメインを強制的に作

Vxlanを使用して、レイヤ3ネットワークに接続されるより小さなレイヤ2ドメインを作成すると、トポロジを収束するためにSpanningTreeプロトコル(STP)を使用する必 これは、購入したすべてのポートからfullvalueを取得できることを意味します。 ルーティングプロトコルを使用してレイヤ2ドメインを接続すると、利用可能な帯域幅を最大限に活用するために、トラフィックを負荷分散することもできます。データセンター内またはセンター間を頻繁に流れる東西トラフィックの量を考えると、そのトラフィックのネットワークパフォーマンスを最大化するこ

ビデオなぜデータセンターでオーバーレイネットワークを使用するのですか？ Vxlanを使用する利点の簡単な概要を示します。

VXLANはどのように機能しますか？

VXLANは、IPアドレスを含むVxlanpacket内のイーサネットフレームをカプセル化(トンネリング)することにより、介在するLayer3ネットワーク上でレイヤ2接続を引き伸ばすことができるため、多くの場合、オーバーレイ技術として記述されています。 Vxlanをサポートするデバイスは、virtual tunnel endpoints(VTEPs)と呼ばれ、エンドホスト、ネットワークスイッチ、またはルータにすることができます。 VTEPsはvxlantunnelを離れるときにそのトラフィックをカプセル化し、そのトラフィックをカプセル化解除します。 イーサネットフレームをカプセル化するために、VTEPsは次のフィールドを含む多数のフィールドを追加します:

• 外部メディアアクセス制御（MAC）宛先アドレス（トンネルエンドポイントVTEPのMacアドレス）)

• 外部MAC送信元アドレス（トンネルsourceVTEPのMACアドレス）)

• 外部IP宛先アドレス(tunnelendpoint VTEPのIPアドレス)

• 外部IP送信元アドレス(トンネルsourceVTEPのIPアドレス)

• UDPヘッダーの外側

• vxlanを一意に識別するために使用されるVXLANネットワーク識別子（VNI）と呼ばれる24ビットフィールドを含むVXLANヘッダー。 VNIはVLANIDに似ていますが、24ビットを使用すると、VLANよりも多くのVxlanを作成できます。

注

VXLANは、元のイーサネットフレームに50 54バイトの追加ヘッド情報を追加するため、基になるネットワークのMTUを増やすことができます。 この場合、無視される論理VTEPソースインターフェイスのMTUではなく、VXLANネットワークに参加する物理インターフェイスのMtuを設定します。

図1は、VXLANパケット形式を示しています。

図1: VXLANパケット形式

Vxlanの実装方法

Junos OSは、以下の環境でVxlanの実装をサポートしています。:

• 手動VXLAN—この環境では、ジュニパー Networksdeviceはvtepsとして機能するダウンストリームデバイスのトランジットデバイス、またはレイヤ3を介して通信する仮想マシン(Vm)network.In この環境では、software-defined networking(SDN)controllersareは展開されていません。

  注

  QFX10000スイッチは手動Vxlanをサポートしていません。

• OVSDB-VXLAN-この環境では、SDNコントローラはOpen vSwitchデータベース(OVSDB)管理プロトコルを使用して、ovsdbをサポートするコントローラ(VMware NSXやJuniperNetworks Contrailコントローラなど)とジュニパーネットワー

• EVPN-VXLAN-この環境では、Ethernet VPN(EVPN)は、ホスト(物理サーバーとVm)をネットワーク内の任意の場所に配置し、同じ論理レイヤ2オーバーレイネットワークに接続したままにすることを可能にする制御プレイン技術であり、VXLANはレイヤ2オーバーレイネットワーク用のデータプレーンを作成します。

Qfx5100、QFX5110、QFX5200、QFX5210、EX4300-48MP、andex4600スイッチをVxlan

で使用すると、次のすべてのロールを実行するようにスイッチを構成できます:

• (EX4300-48MPを除くすべてのスイッチ)SDNコントローラを持たない環境では、vtepsとして機能するダウンストリームホストのトランジットレイヤー3スイッチとして機能します。 この設定では、スイッチ上の任意のVXLAN機能を設定する必要はありません。 スイッチがVXLANmulticastグループのマルチキャストツリーを形成できるように、IgmpとPIMを設定する必要があります。 (詳細については、”手動Vxlan Require PIM”を参照してください。)

• (EX4300-48MPを除くすべてのスイッチ）SDNコントローラのない環境では、同じデータセンター内の仮想化ネットワークと非仮想化ネットワーク間、またはデータセンター間のレイヤ2ゲートウェイとして機能します。 たとえば、スイッチを使用して、Vxlanを使用するネットワークをVlanを使用するネットワークに接続できます。

• (EX4300-48MPスイッチ)は、キャンパスネットワーク内の仮想化ネットワークと非仮想化ネットワークの間のレイヤ2ゲートウェイとして機能します。 たとえば、スイッチを使用して、Vlanを使用する1つのネットワークにVxlanを使用するネットワークを接続できます。

• (EX4300-48MPを除くすべてのスイッチ）は、同じまたは異なるデータセンター内の仮想化ネットワーク間のレイヤ2ゲートウェイとして機能し、仮想マシンがそれら たとえば、2つの異なるネットワークのデバイス間でVMotionを許可する場合は、両方のネットワークで同じVLANを作成し、両方のデバイスをそのVLANに配置でき これらのデバイスに接続されたスイッチは、Vtepとして機能し、そのVLANを同じVXLANにマッピングでき、VXLANトラフィックを2つのネットワーク間でルーティングで

• (EVPN-VXLANを搭載したQFX5110スイッチは、同じデータセンター内の異なるVxlan間のトラフィックをルーティングするためのレイヤ3ゲートウェイとして機能します。

• (EVPN-VXLANを搭載したQFX5110スイッチは、標準ルーティングプロトコルまたはvirtualprivate LAN service（VPLS）トンネルを使用して、異なるデータセンター内の異なるVxlan間のレイヤ3ゲートウェートルートトラフィックをWANまたはインターネット経由でルーティングします。注EVPN-VXLAN環境でQfx5110スイッチをレイヤ3VXLANゲートウェイにする場合は、Vlan間でトラフィックをルーティングする場合と同様に、vxlanを接続するための統合routing AND BRIDGING（IRB）インターフェイスを設定する必要があります。

  追加のヘッダーは50 54バイトを追加するため、より大きなパケットに対応するためにVTEPのMTUを増やす必要がある可能性があります。たとえば、スイッチがデフォルトのMTU値1514bytesを使用していて、1500バイトのパケットをVXLAN経由で転送する場合は、追加のヘッダーによって発生するパケットサイズの増加を可能にするためにMTUを増加させる必要があります。

  QFX5100、QFX5110、QFX5200、QFX5210、EX4600スイッチのUDPポートの変更

  Qfx5100スイッチのJunosOSリリース14.1X53-D25、Qfx5100スイッチのJunos OSリリース15.1X53-D210、QFX5110およびQFX5200スイッチ、QFX5210SWITCHES上のjunos osリリース18.1r1、およびJUNOS OSリリース18。2R1EX4600スイッチでは、VXLANトラフィックの宛先ポートとして使用されるUDPポートを構成できます。 VXLAN宛先ポートをデフォルトのUDPポート4789以外に設定するには、次の文を入力します:

  set protocols l2-learning destination-udp-port port-number

  設定したポートは、スイッチのすべてのVxlan設定に使用されます。注Vxlan内の1つのスイッチでこの変更を行う場合は、スイッチ上のVXLANsconfiguredを終了するすべてのデバイスで同じ変更を行う必要があります。 これを行わないと、スイッチに設定されているすべてのVxlanのトラフィックが中断されます。 Udpポートを変更すると、以前に学習されたリモートVtepとリモートMacが失われ、スイッチがvtepとリモートMacを再学習するまでVXLANトラフィックが中断されます。

  QFX5100、QFX5110、QFX5200、QFX5210、およびEX4600スイッチのトランジットマルチキャストトラフィックの制御

  VTEPとして機能するスイッチがブロードキャスト、unknownunicast、またはマルチキャストパ:

  1. パケットをカプセル化解除し、ローカル接続されたホストに配信します。次に、VXLANカプセル化を再度追加し、vxlan内の他のVtepにパケットを送信します。

  これらのアクションは、VXLANトンネルアドレスとして使用されるループバックインターフェイスによって実行されるため、VTEPで使用可能な帯域幅に負の影響を与える可能性があります。 Qfx5100スイッチ用のJunos OSリリース14.1X53-D30、QFX5110およびQfx5200スイッチ用のJunos OSリリース15.1X53-D210、QFX5210スイッチ用のJunos OSリリース18.1R1、およびJunosOSリ2R1EX4600スイッチの場合、VXLAN内の他のVtepに接続されているマルチキャストレシーバがないことがわかっている場合は、特定のマルチキャストグループに対:

  set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group multicast-group

  この場合、指定されたグループのトラフィックは転送されませんが、他のすべてのマルチキャストトラフィックは転送されます。 Vxlan内の他のVTEPsにマルチキャストトラフィックを転送しない場合は、次の文を入力します:

  set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group all

  MXシリーズルータ、EX9200スイッチ、またはQFX10000スイッチをVTEPとして使用して、MXシリーズルータ、EX9200スイッチ、またはQfx10000スイッチをVTEPとして動作させ、次のすべての:

  • 同じデータセンター内の仮想化されたネットワークと非仮想化されたネットワークの間、またはデータセンター間のレイヤ2ゲートウェイとして機能します。 たとえば、MXシリーズルータを使用して、Vxlanstoを使用するネットワークにVlanを使用するネットワークに接続できます。

  • 仮想化されたネットワーク間のレイヤ2ゲートウェイとして機能同じまたは異なるデータセンターで、それらのネットワークとデータセンター間の仮想マシンのトモーブ(VMotion)を可能にします。

  • レイヤ3ゲートウェイとして機能し、同じデータセンター内の異なるvxlan間でトラフィックをルーティングします。

  • 標準ルーティングプロトコルまたは仮想プライベートLANサービス(VPLS)トンネルを使用して、WANまたはインターネット経由で異なるデータセンター内の異なるvxlan間注この項で説明するデバイスの1つをVXLANレイヤ3ゲートウェイにしたい場合は、Vlan間でトラフィックをルーティングする場合と同様に、vxlanを接続する

    Manual Vxlan Require PIM

    コントローラがある環境(VMware NSX orJuniper Networks Contrailコントローラなど)では、Juniper NetworksデバイスでVxlanをプロビジョニングできます。 コントローラはまた、VTEPsが到達可能性を宣伝し、他のVTEPsの到達可能性について学ぶために使用する制御planethatを提供します。 コントローラを使用する代わりに、手動でVxlanをjuniper Networksデバイス上に作成することもできます。 この方法を使用する場合は、Vtep上にProtocol Independent Multicast（PIM）を設定して、vxlanトンネルを作成できるようにする必要もあります。また、特定のVXLAN内の各VTEPを同じマルチキャストグループのmemberofに設定する必要もあります。 （可能であれば、各VXLANに異なるマルチキャストグループアドレスを割り当てる必要がありますが、これは必須ではありません。複数のVxlanが同じマルチキャストグループを共有できます。)VTEPsは、接続されたホストから受信したARP要求をマルチキャストグループに転送することができます。 グループ内の他のVtepは、VXLAN情報をカプセル化解除し、（それらが同じVXLANのメンバーであると仮定して）ARP要求を接続されたホストに転送します。 ターゲットホストはARP要求を受信すると、MACaddressで応答し、VTEPはこのARP応答をソースVTEPに転送します。このプロセスによって、VtepはVXLANのotherVTEPのIPアドレスおよび他のVtepに接続されるホストのMACアドレスを学びます。

    マルチキャストグループとツリーは、vteps間でブロードキャスト、unknown unicast、およびmulticast(BUM)トラフィックを転送するためにも使用されます。 これはVXLANの外で不必要にあふれていることからのpreventsBUMの交通を防ぐ。注VXLANトンネルを介して転送されるマルチキャストトラフィックは、vxlan内のリモートVtepにのみ送信されます。 つまり、encapsulatingVTEPは、マルチキャストツリーに従ってパケットのコピーをコピーして送信するのではなく、受信したマルチキャストパケットをリモートVtepに転送するだけです。 リモートVtepは、encapsulatedmulticastパケットをde-encapsulateし、適切なレイヤ2インターフェイスに転送します。JunosOSリリース18.1R1QFX5210スイッチ

    ロードバランシングVXLANトラフィック

    QFX5100、QFX5110、QFX5200、QFX5210、およびEX4600スイッチでは、VXLANトンネルを形成するレイヤ3ルートは、デフォルトでパケットごとのロードバランシングを使用するため、リモートVTEPへのECMPパスがある場合にロードバランシングが実装されることを意味します。 これは、パケットごとの負荷分散がデフォルトで使用されない通常のroutingbehaviorとは異なります。(通常のルーティングでは、既定でプレフィックスごとの負荷分散が使用されます。 UDPヘッダーのsource portフィールドは、レイヤ3ネットワーク内のVXLANトラフィックのECMPloadバランシングを有効にするために使用されます。 このフィールドは、内部パケットフィールドのハッシュに設定され、ECMPがトンネル(フロー)を区別するために使用できる変数になります。 (Flow-based ECMPが通常使用する他のフィールドは、Vxlanでの使用に適していません。 同じ2つのVtep間のすべてのトンネルには、同じ送信元IPアドレスと宛先IPアドレスがあり、UDP destinationportは定義によりポート4789に設定されます。 したがって、これらのフィールドのどれもECMPがフローを区別するのに十分な方法を提供しません。QFX10000スイッチを除くVxlanをサポートするジュニパー NetworksdeviceでVXLANのVLAN IDを設定する場合は、3以上のVLAN IDを使用することを強くお勧めします。 VLAN IDが1または2の場合、これらのVxlanのための複製されたブロードキャスト、マルチキャスト、およびunknown unicast（BUM）パケットがタグなしである可能性があります。

    Core-facingLayer3タグ付きインターフェイスおよびIRBインターフェイス上のトラフィックをトンネルするQFX5120スイッチの有効化

    注

    QFX5120スイッチがcore-facingLayer3タグ付きインターフェイスまたはIRBインターフェイス上のトラフィックをトンネルしようとすると、スイッチはパケットをドロップします。 この問題を回避するには、レイヤ3タグ付きインターフェイスまたはIRBインターフェイスに単純な二termfilterベースのファイアウォールを構成します。

    注

    QFX5120スイッチは、最大256個の二項フィルタベースのファイアウォールをサポートします。例えば

    :

    インターフェイスet-0/0/3ユニット0ファミリinetfilter入力vxlan100

    ファイアウォールファミリinetフィルタvxlan100term1を宛先アドレス192.168.0.1/24から設定し、

    ファイアウォールファミリinetフィルタvxlan100term2を設定し、ルーティングインスタンスroute1

    term1は、スイッチのループバックインターフェイスに割り当てられた送信元vtep ipアドレス(192.168.0.1/24)によって識別されるqfx5210スイッチ宛てのトラフィッ 1の場合、アクションを指定するときは、それを受け入れる代わりにトラフィックをカウントすることができます。

    Term2は、他のすべてのデータトラフィックを一致させ、インターフェイスet-0/0/3に設定されたroutinginstance(route1)に転送します。

    この例では、インターフェイスet-0/0/3がルーティングインスタンスroute1によって参照されていることに注意してください。 そのため、set firewall family inet filter vxlan100term2then routing-instanceroute1コマンドを含める必要があります。 このコマンドがないと、ファイアウォールフィルタは正常に動作しません。 QFX5100およびQFX5110スイッチでVXLAN

  とともにpingおよびtracerouteを使用すると、overlay parameterandさまざまなオプションを含めることにより、pingおよびtracerouteコマンドを使用してVXLANト これらのオプションを使用して、pingパケットまたはtracerouteパケットがVXLANトンネルを経由してdatapacketsと同じパスをたどるように強制します。 つまり、underlaypackets(pingおよびtraceroute)にオーバーレイパケット(データトラフィック)と同じルートを取らせることになります。 詳細については、”pingオーバーレイ”と”tracerouteオーバーレイ”を参照してください。

  サポートされているVXLAN標準

  Vxlanの標準を定義するRfcおよびインターネットドラフト:

  • RFC7348,Virtual eXtensible Local Area Network(VXLAN):仮想化されたレイヤ2ネットワークをオーバーレイするためのフレームワークoverLayer3ネットワーク

  • インターネットドラフトドラフト-ietf-nvo3-vxlan-gpe、Vxlan用GenericProtocol拡張

  リリース履歴表

  リリース

  説明

  Junos OSリリース14.1X53-D30forqfx5100スイッチ以降、Junos OSリリース15。QFX5110およびQfx5200スイッチの場合は1X53-D210、Qfx5210スイッチの場合はJunos OSリリース18.1R1、Ex4600スイッチの場合はJunosOSリリース18.2R1で、VXLAN内の他のVTEPsに接続されているマルチキャストレシーバが特定のマルチキャストグループに接続されていないことがわかっている場合は、ループバックインターフェイス上のprocessingloadを減らすことができます。

  QFX5100スイッチ上のJunosOSリリース14.1X53-D25、QFX5110およびQFX5200スイッチ上のJunos OSリリース15.1X53-D210、Qfx5210スイッチ上のJunos OSリリース18.1R1、およびJunos OSリリース182R1EX4600スイッチでは、VXLANトラフィックの宛先ポートとして使用されるUDPポートを構成できます。