Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

DCI(データ センター相互接続)/リモート EVPN ゲートウェイ(仮想)

DCI/EVPNゲートウェイオーバーベクトル

これまで、企業はデータ センター相互接続(DCI)テクノロジをビジネス継続性、災害復旧(DR)、または運用継続性(COOP)の構成要素として活用してきました。このようなサービス可用性のユースケースでは、主に、アプリケーションの可用性とパフォーマンスのために、地理的に分離されたデータセンターとレイヤー2接続を接続する必要性に依存していました。

高度に仮想化されたSDDC(Software-Defined Data Centers)、クラウドコンピューティング、そして最近ではエッジコンピューティングの登場により、次の新たなユースケースが生まれています。

  • コロケーションの拡張:コロケーションデータセンター施設にコンピューティングリソースとストレージリソースを共有します。
  • リソースプーリング:データセンター間でアプリケーションを共有およびシフトして、効率を向上させ、エンドユーザーエクスペリエンスを向上させます。
  • 迅速な拡張性:リソースが限られた場所から別の施設やデータセンターに容量を拡張します。
  • レガシーな移行:アプリケーションとデータを、より古い非効率な機器やアーキテクチャから、より効率的で高性能で費用対効果の高いアーキテクチャに移行します。

Apstraソフトウェアを使用すると、シンプルで柔軟性が高く、インテントベースのDCIソリューションを含むベンダーを導入および管理できます。Apstraは、スタンダードベースのMP-BGP EVPNとVXLANを使用しており、ネットワーク業界で幅広いソフトウェアとハードウェアの採用を達成しています。従来のベンダーからホワイトボックスのODM、および従来のベンダー統合ネットワークオペレーティングシステム(NOS)から分離されたオープンソースオプションまで、費用対効果に優れたコモディティハードウェアの幅広い選択肢から選択できます。

EVPN VXLANは、最新のデータセンターを構築するためのスタンダードベース(RFC-7432)アプローチです。データプレーンカプセル化(VXLAN)とルーティングコントロールプレーン(MP-BGP EVPNアドレスファミリー)の両方が組み込まれており、ホスト間のレイヤー2ブロードキャストドメインとスパインリーフネットワークのレイヤー3ルーティングドメインを拡張します。VXLANトンネルエンドポイント(VTEP)間でVXLANトンネリングトラフィックをルーティングする純粋なレイヤー3アンダーレイに依存するEVPNは、MP-BGPプロトコルファミリーに新しいアドレスファミリーを導入し、VTEP間のMAC/IPアドレスの交換をサポートします。エンドポイントMACとIPのアドバタイズと「ARP/ND-抑制」は、BUM(ブロードキャスト/未知/マルチキャスト)トラフィックの大部分を排除し、ソースVTEPから宛先VTEPへのVXLANのECMPユニキャストルーティングに依存します。これにより、最適なルート選択と、オーバーレイ ネットワーク トラフィックの転送パスの効率的な負荷分散が保証されます。

EVPN VXLANが単一サイト内で動作し、ホスト間でレイヤー2を拡張するのと同様に、DCI機能によりサイト間のレイヤー2接続が可能になります。Apstra DCI機能により、データセンター間でのレイヤー2またはレイヤー3サービスの拡張が可能になり、障害回復、アクティブ/アクティブサイトのロードバランシング、さらにはあるデータセンターから別のデータセンターへのサービス移行を容易にします。

制限事項:

  • 異なるベンダーのEVPNファブリック間のEVPN-GW(DCI)はサポートされていません。

  • IPv6 はリモート EVPN ゲートウェイではサポートされていません。(実際のEVPNルートには、IPv6タイプ2とタイプ5を含めることができます。

DCI 導入オプション

データ センター相互接続は、次の方法で実装できます。

  • 度を超えた
  • ゲートウェイ(GW)
  • 自律システム境界ルーター(ASBR)

お客様の組織に最適なオプションを選択するサポートについては、Apstraソリューションアーキテクト(SA)またはシステムエンジニア(SE)にお問い合わせください。

以下の特性は、すべての導入オプションに適用されます。

  • Apstra DCIを他のApstra管理データセンター、非Apstra管理データセンター、さらには従来の非スパインリーフデバイスに拡張できます。
  • Apstraの実装と動作は、3つのケースすべてで同じです。
  • リモートエンドが別のDCI GWでもASBRでも、Apstraには透過的です。
  • Apstraは、GWもASBRも管理しません。

度を超えた

DCI「Over the Top」は透過的なソリューションであり、EVPN ルートは標準 IP にカプセル化され、基盤となるトランスポートから非表示になります。これにより、サービスの拡張がシンプルで柔軟性に優れ、多くの場合、データ センター チームが WAN やサービス プロバイダ グループとの連携をほとんど、あるいはまったく行うことなく導入できるためです。これにより、実装時間と社内摩擦が減少します。しかし、トレードオフは拡張性と耐障害性です。

ゲートウェイ(GW)

Apstra リモートEVPNゲートウェイ 機能を基盤として、 リモートEVPNゲートウェイ が同じサイトの外部汎用システム(外部ルーターとしてタグ付け)であることをオプションで指定し、EVPN属性を当該ゲートウェイに拡張することができます。このソリューションは、サイトごとに障害ドメインを作成し、障害がリモート サイトのコンバージェンスに影響を与え、複数の障害ドメインを作成することを防ぎます。リモート サイトの IP/MAC エンドポイント テーブルは処理され、汎用システム(外部ルーターとしてタグ付け)ゲートウェイの状態で保持されます。また、WAN QoS とセキュリティを実装し、トランスポート技術による最適化(MPLS TE など)も実装できます。ただし、このソリューションは運用が複雑で、追加のハードウェアとコストが必要です。

自律システム境界ルーター(ASBR)

Apstra リモートEVPNゲートウェイ 機能を使用して、 リモートEVPNゲートウェイ がASBR WANエッジデバイスであることをオプションで指定できます。このエンドツーエンドEVPNにより、一様なカプセル化が可能になり、専用のGW要件が排除されます。運用は複雑ですが、「ゲートウェイを使用する DCI」と「オーバーザトップ」の両方に比べて拡張性は高くなります。

実装

ルーティングゾーンとVN(仮想ネットワーク)を、Apstraが管理するブループリント(ポッド間)またはApstraが管理しないリモートネットワーク(データセンター全体)に拡張できます。この機能は、EVPN ゲートウェイ(GW)の役割を導入します。これは、ファブリックに接続された汎用システム(サーバーとしてタグ付け)上のファブリックまたは RouteServer に参加するスイッチである可能性があります。

EVPNゲートウェイの使用事例

  • レイヤー3分離ドメイン(VRF/ルーティングゾーン)を複数のApstra管理ポッド(ブループリント)に拡張するか、リモートEVPNドメインに拡張します。
  • L2VNI/仮想ネットワーク向けのレイヤー 2 ドメイン拡張を提供します。
  • EVPNドメインをApstraからApstraマネージド、Apstraを管理対象外ポッドに拡張するのに役立ちます。
  • スパインデバイス上にVXLANトラフィック終端なし - スパインデバイス上の外部汎用システム(外部ルーターとしてタグ付け)を接続します。これは、IPv4(アンダーレイ)外部接続をサポートするためです。ここでは、外部汎用システム(外部ルーターとしてタグ付け)に接続する場合、境界リーフデバイスとは異なり、スパインデバイスはVXLANトラフィックを終端する必要はありません。簡単に説明すると、これを使用して IPv4 ルートをリモート VTEP(デフォルトのルーティング ゾーン/VRF)に交換でき、レイヤー 3 接続のみが必要です。

度を超えた

BGP EVPNピアリングが「オーバーザトップ」で行われる場合、データセンターゲートウェイ(DC-GW)は純粋なIPトランスポート機能であり、異なるデータセンター内のゲートウェイ間でBGP EVPNピアリングが確立されます。

次のセクションでは、2 つ以上の BGP ベースのイーサネット VPN(EVPN)サイトを IP ネットワーク上で拡張可能な方法で相互接続する手順について説明します。その動機は、MPLS/VPLSなどの典型的なデータセンターインターコネクト(DCI)技術に頼らずに、EVPNサイトの拡張をサポートすることです。MPLS/VPLSは設定が難しいことが多く、場合によっては独自技術があり、おそらく従来の技術です。

「Over the Top」は、データセンター間のIPルーティングと、ゲートウェイエンドポイント間のVXLANカプセル化をサポートするために調整されたMTUのみを必要とするシンプルなソリューションです。このような実装では、EVPN ルートは、サイト間で MP-BGP を介してエンドツーエンドで拡張されます。マルチホップBGPは、WAN上のサイト間に複数のレイヤー3ホップが存在することを前提にして有効になっています。それ以外の場合、デフォルトのTTLデクリメントは0に設定され、パケットは破棄され、リモートルーターには送信されません。Apstraは、これらの制限に対処するために必要な設定を自動的にレンダリングします。

この設計により、サイト間の個別の EVPN-VXLAN ドメインと VXLAN トンネルがマージされます。異なるサイトで以前に分離された EVPN ドメインをマージすると、サイト間でレイヤー 2 およびレイヤー 3(VRF)サービスを拡張するメリットを実現しますが、サイトは単一の障害ドメインとしてレンダリングされます。そのため、1 つのサイトの障害は必ずしも伝播されます。また、サイト間で WAN 全体にレイヤー 2 を拡張する場合は、フラッド ドメインとそれに加えて、コストのかかる WAN リンク上のすべてのブロードキャスト トラフィックも拡張します。現時点では、このソリューションはフィルタリングやQoSを提供しません。

メモ:

個別のApstraブループリントが個々のサイトを管理する場合(または1つのサイトのみがApstraで管理されている場合)、各サイトで個別に拡張ルーティングゾーン(VRF)と仮想ネットワーク(レイヤー2またはレイヤー3定義のVLAN/サブネット)を作成および管理する必要があります。VRF と VN をサイト間で手動でマッピングする必要があります(管理オーバーヘッドが生じます)。
メモ:

同じApstraコントローラ内の2つのデータセンター(ブループリント)間でP2P接続を設定する場合、ビルドエラーを回避するために、各ブループリントは異なるIPプールからリソースを引き出す必要があります。これを行うには、同じIPサブネットを持ち、名前は異なる2つのIPプールを作成します。

この「オーバーザトップ」ソリューションは、導入が最も簡単で、追加のハードウェアを必要とせず、MTUを増やす以外に追加のWAN構成を導入しません。最も柔軟性が高く、参入障壁は最も低いです。ただし、欠点は、1つのEVPNコントロールプレーンがあり、1つのサイトにルーティングの異常が発生すると、もう一方のサイトのコンバージェンスと到達可能性に影響を与えるということです。レイヤー 2 フラッド ドメインの拡張は、1 つのサイトのブロードキャスト ストームがもう一方のサイトに拡張することも意味します。

DCI を実装する場合は、リソースを慎重に計画し、調整する必要があります。サイトを増やすには、そのような計画と調整が急激に増加する必要があります。アンダーレイの VTEP ループバックをリークする必要があります。VNID はサイト間で一致する必要があります。場合によっては、追加のルート ターゲット(RR)をインポートする必要があります。これについては、このドキュメントの後半で詳しく説明します。

データ プレーン拡張:レイヤー 3

VXLANネットワーク ID(VNID)は、固有のVXLANトンネルを識別するVXLANヘッダーの一部であり、それぞれがIPネットワーク内の他のVXLANトンネルから分離されています。レイヤー 3 パケットを VXLAN パケットにカプセル化することも、レイヤー 2 MAC フレームを VXLAN パケットに直接カプセル化することもできます。どちらの場合も、一意の VNID は、レイヤー 3 サブネットまたはレイヤー 2 ドメインのいずれかに関連付けられています。レイヤー3またはレイヤー2サービスのいずれかをサイト間に拡張する場合、基本的にサイト間でVXLANトンネルをステッチングします。そのため、VNID はサイト間で一致させる必要があります。

特定のVNIDが1つのVRF(またはApstra用語のルーティングゾーン)にのみ関連付けられることを理解することが重要です。VNIDはVRF内に存在します。VRF に関連付けられています。レイヤー 3 サービスの場合、各 VNID のステッチングまたは拡張は、VRF(ルーティング ゾーン)内の RR のエクスポートとインポートで行われます。レイヤー 3 サブネット(ルート)は、RR を介して識別されます。すべてのVNIDは、EVPNゲートウェイ(エッジ)で自動的にWANにエクスポートされます。反対に、同じ値の RR は、ファブリックに入ってくる EVPN ゲートウェイ(エッジ)で自動的にインポートされます。そのため、あるサイトでレイヤー 3 VNID を調整してもう一方のサイトと一致させる場合、追加の構成は必要ありません。

上記の画像では、追加のエクスポートやインポートは必要ありません。すべてが自動的にエクスポート(すべてエクスポート)され、RR が一致するため、自動的にインポートされます。

ただし、DC1のVNIDがDC2のVNIDと異なる場合は、それぞれRDをインポートする必要があります。各ゲートウェイは、同じ値の RR を自動的にインポートします。以下の例では、他のサイトから RR を手動で追加する追加ステップが必要です。

データ プレーン拡張:レイヤー 2

仮想ネットワークは純粋なレイヤー 2 サービスにできます(レイヤー 3 エニーキャスト ゲートウェイはインスタンス化されません)。ラックローカル(ラック内に含まれるサーバー側ポートのVLAN)またはVXLAN(ラックを選択して、ラック間でレイヤー2フラッドとブロードキャストドメインを拡張)を選択できます。このレイヤー2ドメインには独自のVNIDがあり、MACフレーム(IPパケットとは異なり)は、レイヤー2ドメインのVNIDを使用してVXLANヘッダーにカプセル化されます。

すべてのVNIDがEVPNゲートウェイ(この場合はType-2ルート/MACアドレス)でエクスポートされ、一致するRDが自動的にインポートされるという点でも、同じ原則が適用されます。ただし、RR のインポートとエクスポートの場所はルーティング ゾーン レベルではなく、仮想ネットワーク自体にあります。

Apstraワークフロー

コントロールプレーン拡張:EVPNゲートウェイ

Apstraは「EVPNゲートウェイ」の概念を使用します。このデバイスは理論的には、DCIデバイスと同様に、リーフ、スパイン、またはスーパースパインファブリックノードになります。EVPN ゲートウェイは、サイトを相互接続し、サイト内部 VTEP をマスクするネットワークからファブリック側を分離します。

Apstraでは、EVPNゲートウェイは、外部IPネットワークにも接続されているEVPNファブリックのエッジに属し、存在するデバイスです。Apstra EVPNのブループリントでは、これは常にボーダーリーフデバイスです。1つのデータセンターのEVPNゲートウェイは、別のデータセンターで相互EVPNゲートウェイ(ゲートウェイ)とのBGP EVPNピアリングを確立します。「もう1つの」EVPNゲートウェイは、Apstra用語における「リモートEVPNゲートウェイ」です。ローカルEVPNゲートウェイは、ブループリントでApstraが管理するデバイスの1つであると見なされ、「リモートEVPNゲートウェイ」を作成するときに選択されます。ローカルEVPNゲートウェイは、EVPN Closファブリック内外のトラフィックに対して1つ以上の外部ルーティング接続を備えたボーダーリーフスイッチとなります。

この機能により、ローカルEVPNゲートウェイ(常にApstraが管理するスイッチ)を設定して、別のDCで、Apstraが管理しないデバイス、あるいはスパインリーフ以外のデバイスとピアリングすることができます。EVPNゲートウェイBGPピアリングは、ポッド内からポッド外まで、すべてのEVPN属性を伝送するために使用されます。Apstra環境では、各ブループリントはデータセンターを表しています。2つ以上のサイトがApstra管理下にある場合は、他のサイトの「リモートEVPNゲートウェイ」を指すように各サイトを設定する必要があります。データ センターごとに複数の冗長 EVPN ゲートウェイを作成することをお勧めします。また、現在 EVPN ゲートウェイ間にはフルメッシュ要件がありますが、今後のリリースではこの要件は削除される予定です。

アンダーレイ VTEP ルート アドバタイズメント

VTEP IP アドレス(または同等の概要ルート)へのアンダーレイ到達可能性を、再確立する必要があります。各サイトは、これらの VTEP ループバックをデフォルト ルーティング ゾーン内からエクスポートされた BGP(IPv4)アンダーレイ アドバタイズにアドバタイズする必要があります。ルーティング ポリシーのループバックは、デフォルトで有効になっています。

リモート EVPN ゲートウェイの作成

注意:

デフォルトでは、すべてのブループリントで ESI MAC msb(最上位バイト)が 2 に設定されています。接続されたすべてのApstraブループリントには、サービスに影響を与える問題を防ぐために固有のmsbが必要です。ゲートウェイを作成する前に、それに応じて ESI MAC msb を変更 します。(そのうちの1つをデフォルト値のままにしておくことができます。

リモートEVPNゲートウェイは、場所やデバイスを問わずインスタンス化できる論理機能です。これには、特にL2VPN/EVPN AFI/SAFIの一般的なBGPサポートが必要です。EVPNゲートウェイとのBGPセッションを確立するには、IP接続とTCPポート179への接続(IANAはBGP TCPポートを割り当てます)が利用可能である必要があります。

メモ:

耐障害性を実現するために、同じリモートEVPNドメインに対して少なくとも2つのリモートゲートウェイを使用することをお勧めします。
  1. ブループリントから、「 ステージング>仮想>リモートEVPNゲートウェイ 」に移動し、「 リモートEVPNゲートウェイの作成」をクリックします。
  2. 表示されたダイアログで、リモートEVPNゲートウェイに関する以下の情報を入力します。

    データセンターファブリック間でL2ネットワークを拡張する場合、EVPNルートタイプRT-5プレフィックスのみを交換するオプション(Apstraバージョン4.1.0以降)があります(インターフェイスレスモデル)。これは、データ センター間ですべてのホスト ルートを交換する必要がない場合に便利です。これにより、ルーティングテーブルとも呼ばれるRIB(ルーティング情報ベース)と、転送テーブルとも呼ばれるFIB(転送情報ベース)の要件が、DCI機器上で小さくなります。

  3. ローカル ゲートウェイ ノードを選択します。これらは、ローカルEVPNゲートウェイで設定されるブループリント内のデバイスです。1 つ以上のデバイスを選択して、設定されたリモート EVPN ゲートウェイとピアリングできます。クエリ機能を使用して、適切なノードを探すことができます。外部汎用システム(外部ルーターとしてタグ付け)への直接接続を備えた複数のボーダーリーフデバイスを使用することをお勧めします。
  4. [ 作成 ] をクリックしてゲートウェイをステージングし、テーブル ビューに戻ります。
  5. ブループリントにデバイスを導入する準備ができたら、変更を コミット します。

複数のリモートEVPNゲートウェイを使用することをお勧めします。リモート EVPN ゲートウェイを追加で構成するには、上記の手順を繰り返します。

リモートEVPNゲートウェイを別のApstraブループリントに設定する場合、そのブループリントでリモートEVPNゲートウェイを個別に設定して展開する必要があります。

変更が導入されると、ApstraはリモートEVPNゲートウェイのBGPセッションを監視します。ブループリントから異常を確認するには、[ アクティブな>異常] に移動します。

拡張ルーティング ゾーン

拡張サービスの一部であるデバイス上のRT(ルートターゲット)インポート/エクスポートポリシーは、EVPNルートのインストールを制御します。ルートターゲットポリシーを指定して、Apstraがルーティングゾーン/VRFに使用するインポートとエクスポートルートターゲットを追加します。これは、ルーティング ゾーンを作成するときに行います。 [ステージング>仮想> ルーティング ゾーン に移動し、 [ ルーティング ゾーンの作成] をクリックします。詳細については、「 ルーティング ゾーン」を参照してください。

メモ:

ルーティング ゾーンのデフォルト ルート ターゲットは 、<L3 VNI>:1 です。このデフォルト値は変更できません。

VTEPで正しいルートを受信したことを確認するために、L3VNIとルートターゲットがブループリントとリモートEVPNドメイン間で同一であることを確認します。

拡張仮想ネットワーク

Apstraが仮想ネットワークに使用するインポートとエクスポートルートターゲットを追加できます。

メモ:

Apstraが仮想ネットワーク向けに生成するデフォルトルートターゲットは 、<L2 VNI>:1です。これを変更することはできません。

VNI内通信の場合は、L2VNI固有のRTが使用されます。インポートRTは、特定のVNIに適用できる受信ルートを決定するために使用されます。接続を確立するには、ブループリントとリモート ドメインの間でレイヤー 2 VNI が同じでなければなりません。SVI サブネットはドメイン間で同一である必要があります。

リモート ゲートウェイ トポロジー表現

リモートEVPNゲートウェイは、以下の画像に示すように、BGPセッションが確立されているブループリント要素への点線の接続を備えたクラウド要素としてトポロジービューで表されます。(下の画像は、より新しいバージョンとは若干異なります。