EX シリーズ、QFX シリーズ、PTX シリーズのデバイスでの VXLAN 制約

バーチャル シャーシまたはバーチャル シャーシ ファブリック(VCF)での VXLAN サポートには、以下の制約と推奨事項があります。

• キャンパスネットワークでのみ、EX4300-48MPバーチャルシャーシでのEVPN-VXLANをサポートします。

• スタンドアロンEX4400スイッチとEX4400バーチャルシャーシはEVPN-VXLANをサポートしています。マルチホーミングのユースケースでは、ホストをスタンドアロンEX4400スイッチにマルチホームすることはできますが、EX4400バーチャルシャーシへのESI-LAGインターフェイスを持つホストのマルチホーミングはサポートされていません。

• スタンドアロンEX4100(EX4100およびEX4100-F)スイッチおよびEX4100バーチャルシャーシ(EX4100およびEX4100-F)は、EVPN-VXLANをサポートしています。マルチホーミングのユースケースでは、ホストをスタンドアロンEX4100スイッチにマルチホームすることはできますが、EX4100バーチャルシャーシへのESI-LAGインターフェイスを持つホストのマルチホーミングはサポートされていません。

• データセンターネットワークでは、EVPN-VXLANは、すべてのQFX5100スイッチで構成されるバーチャルシャーシまたはVCFでのみサポートされ、他の混合または非混合バーチャルシャーシまたはVCFではサポートされません。ジュニパーは、14.1X53-D40 から 17.1R1 以前の Junos OS リリースを実行している EVPN-VXLAN データ センター環境で VCF をサポートしています。ただし、機能サポートは、Junos OSリリース14.1X53-D40を実行するスタンドアロンQFX5100スイッチでのみサポートされるため、QFX5100バーチャルシャーシまたはVCFでEVPN-VXLANを使用することはお勧めしません。

  Junos OSリリース21.4R1以降、VCFサポート全般は非推奨になりました。

• QFX5100バーチャル シャーシがVXLANインターフェイス上のMACアドレスを学習する際、MACテーブルのエントリーがエージングアウトするまでに最大10分から15分かかることがあります(デフォルトのエージング間隔5分の2から3倍)。これは、バーチャル シャーシがあるバーチャル シャーシ メンバー スイッチ上の着信パケットから MAC アドレスを学習し、そのパケットをVCP(バーチャル シャーシ ポート)リンク経由で、宛先に向かうバーチャル シャーシ内の別のメンバー スイッチに転送しなければならない場合に発生します。バーチャル シャーシは、2 番目のメンバー スイッチで再び見られるように MAC アドレスをマークするため、最初のエージング間隔を超えて 1 つまたは 2 つの追加のエージング間隔の間、MAC アドレスがエージング アウトしない可能性があります。MAC 学習は、2 番目のバーチャル シャーシ メンバー スイッチでのみ VXLAN インターフェイス上でオフにすることはできないため、このケースでは余分な遅延を回避できません。

(QFX5120スイッチのみ)コアに接続するレイヤー 3 タグ付きインターフェイスまたは IRB インターフェイスを介してトンネリングされたトラフィックはドロップされます。この制限を回避するために、柔軟なVLANタギングを設定できます。詳細については、「 VXLAN について」を参照してください。

(QFX5110およびQFX5120)柔軟なイーサネットサービスカプセル化を使用してエンタープライズスタイルのインターフェイスを設定すると、デバイスはそのインターフェイス上のトランジットレイヤー2 VXLANカプセル化パケットをドロップします。この問題を回避するには、エンタープライズ スタイルではなく、サービス プロバイダ スタイルでインターフェイスを設定します。エンタープライズスタイルとサービスプロバイダスタイルの設定の詳細については、 フレキシブルイーサネットサービスカプセル化を参照してください。EVPN-VXLANファブリックでのフレキシブルイーサネットサービスの設定の概要については、 EVPN-VXLANを使用したフレキシブルイーサネットサービスサポートについてを参照してください。

(QFX5110およびQFX5120スイッチ)EVPN-VXLANファブリックでは、ネイティブVLANがサービスプロバイダスタイル設定のVLANの1つと同じである場合、同じ物理インターフェイスでのエンタープライズスタイル、サービスプロバイダスタイル、ネイティブVLANの設定はサポートされません。ネイティブVLANは、エンタープライズスタイル設定のVLANの1つにすることができます。エンタープライズスタイルとサービスプロバイダスタイルの設定の詳細については、 フレキシブルイーサネットサービスカプセル化を参照してください。

(QFX5xxxスイッチ)EVPN-VXLANファブリックでは、vlan-rewriteステートメントでVLAN変換を有効にするのと同じインターフェイスでnative-vlan-idステートメントを設定することはできません。

(QFX5100、QFX5110、QFX5200、およびQFX5210スイッチ)VXLANの設定は、デフォルトスイッチのルーティングインスタンスとMAC VRFルーティングインスタンス(instance-type mac-vrf)でサポートされています。

(EX4300-48MPおよびEX4600スイッチ)VXLANの設定は、デフォルトのスイッチルーティングインスタンスでのみサポートされます。

(QFX5100、QFX5200、QFX5210、EX4300-48MP、EX4600スイッチ)異なる VXLAN 間のトラフィックのルーティングはサポートされていません。

(QFX5100、QFX5110、QFX5120、EX4600、EX4650スイッチ)これらのスイッチは、VXLAN アンダーレイ IRB インターフェイスで 1 つの VTEP ネクスト ホップのみをサポートします。複数のエグレスポートを使用しないが、複数のVTEPネクストホップが必要な場合、回避策として、次のいずれかを実行できます。

• スイッチとリモート VTEP の間にルーターを配置して、それらの間にネクスト ホップが 1 つだけ存在するようにします。

• リモート VTEP への到達可能性には、IRB インターフェイスではなく、物理レイヤー 3 インターフェイスを使用します。

(QFX5110スイッチ)デフォルトでは、VXLAN とレイヤー 3 論理インターフェイス(例えば、 set interfaces interface-name unit logical-unit-number family inet address ip-address/prefix-length コマンドで設定されたインターフェイス)間のトラフィックのルーティングは有効ではありません。EVPN-VXLANネットワークでこのルーティング機能が必要な場合は、追加の設定を実行して機能させることができます。詳細については、 VXLAN およびレイヤー 3 論理インターフェイスを相互運用するように設定する方法についてを参照してください。

EVPN-VXLANオーバーレイネットワークで使用されるIRB(統合型ルーティングおよびブリッジング)インターフェイスは、IS-ISルーティングプロトコルをサポートしていません。

(QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4300-48MP、EX4600スイッチ)物理インターフェイスを VLAN および VXLAN のメンバーにすることはできません。つまり、VXLANのカプセル化とカプセル化解除を実行するインターフェイスをVLANのメンバーにすることはできません。たとえば、VXLAN にマッピングされている VLAN がトランク ポート xe-0/0/0 のメンバーである場合、xe-0/0/0 のメンバーである他の VLAN も VXLAN に割り当てる必要があります。

(QFX5110、QFX5120、EX4100、EX4400スイッチ)エンタープライズ スタイルのインターフェイス設定を使用した同じ物理インターフェイス上の VXLAN 論理インターフェイスと非 VXLAN 論理インターフェイスはサポートされません。

(QFX5120、EX4100、EX4300-48MP、EX4400、EX4650スイッチ)アクセス ポートでの VXLAN トラフィックに対する 802.1X 認証では、認証時に、RADIUS サーバーがトラフィックを元の VLAN から VXLAN 対応 VLAN として設定した動的 VLAN に動的に切り替えます。VXLAN 対応 VLAN とは、[edit vlans vlan-name]階層で vxlan vni vni ステートメントを使用して VXLAN ネットワーク識別子(VNI)マッピングを設定する VLAN です。

802.1X ダイナミック VLAN とそれに対応する VNI マッピングを設定する場合、元の VLAN も VNI マッピングを持つ VXLAN 対応 VLAN として設定する必要があります。ポートを VLAN のメンバーとして明示的に構成しない場合、ポートは既定の VLAN を使用します。その場合、デフォルト VLAN を、VNI マッピング付きの VXLAN 対応 VLAN として設定する必要があります。

また、Junos OSリリース22.2R3-S3より前のリリースでは、ダイナミックVLANがポートに割り当てられた場合、そのVLANはデバイス上の別のポートですでに静的に設定されている必要があります。Junos OSリリース22.2R3-S3以降、この制約はなくなりました。

RADIUS サーバーでの動的 VLAN 割り当ての詳細については、『 802.1X 認証 』および「 認証のための RADIUS サーバー設定 」を参照してください。

RADIUS サーバーでの動的 VLAN 割り当ての詳細については、『 802.1X 認証 』および「 認証のための RADIUS サーバー設定 」を参照してください。

VXLAN では、マルチシャーシ リンク アグリゲーション グループ(MC-LAG)はサポートされていません。

IP のフラグメント化と最適化は、レイヤー 3 側ではサポートされていません。

以下の機能は、レイヤー 2 側ではサポートされていません。

• (QFX5100、QFX5200、QFX5210、EX4300-48MP、EX4600スイッチ)EVPN-VXLANによるIGMPスヌーピング

• 冗長トランク グループ(RTG)。

• ストーム制御レベルを超えた場合に、レイヤー2インターフェイスをシャットダウンしたり、インターフェイスを一時的にダウンしたりする機能はサポートされていません。

• VXLAN では、STP、MSTP、RSTP、VSTP(xSTP)の全機能はサポートされていません。ただし、BPDU ブロックオンエッジをサポートするために、エッジ(アクセス ポート)で xSTP を設定することができます。詳細については、 スパニングツリープロトコルのBPDU保護 を参照してください。

VXLAN では、次のようなアクセス ポート セキュリティ機能はサポートされていません。

• DHCP スヌーピング。

• ダイナミック ARP インスペクション

• MAC 制限と MAC 移動制限。

いくつかの例外は次のとおりです。

• MAC 制限は、Contrail コントローラを使用する OVSDB-VXLAN 環境の OVSDB が管理するインターフェイスでサポートされています。詳細については、「 OVSDB マネージド インターフェイスでサポートされる機能」を参照してください。

• EVPN-VXLANの中央ルーティングされたブリッジングオーバーレイネットワークでL2 VXLANゲートウェイとして機能するこれらのデバイスでは、次のようになります。

  • EX4300マルチギガビットスイッチ(Junos OSリリース19.4R1以降)

  • EX4400スイッチ(Junos OSリリース21.1R1以降)

  • EX4400マルチギガビットスイッチ(Junos OSリリース21.2R1以降)

  • EX4100およびEX4100-Fスイッチ(Junos OSリリース22.3R1以降)

  • EX4100マルチギガビットスイッチ(Junos OSリリース22.3R1以降)

  次のアクセス セキュリティ機能は、VXLAN にマッピングされた VLAN に関連付けられたレイヤー 2 アクセスサイド インターフェイスでサポートされています。

  • DHCPv4およびDHCPv6スヌーピング

  • Dynamic ARP Inspection(DAI)

  • 近隣探索インスペクション(NDI)

  • IPv4およびIPv6ソースガード

  • ルーター アドバタイズメント(RA)ガード

  これらの機能は、シングルホーム アクセス インターフェイス接続でのみサポートされます。

イングレスノードの複製は、以下の場合にはサポートされません。

• コントロール プレーンに PIM を使用する場合(手動 VXLAN)。

• コントロールプレーン(OVSDB-VXLAN)にSDNコントローラを使用する場合。

イングレスノードのレプリケーションは、EVPN-VXLANでサポートされています。

PIM-BIDIR および PIM-SSM は、VXLAN ではサポートされていません。

VXLANカプセル化を実行するインターフェイスから出るトラフィックをミラーリングするようにポートミラーリングインスタンスを設定した場合、ミラーリングされたパケットの送信元および宛先MACアドレスは無効になります。元の VXLAN トラフィックは影響を受けません。

(QFX5110スイッチのみ)VLAN ファイアウォール フィルターは、EVPN-VXLAN が有効になっている IRB インターフェイスではサポートされていません。

(EX4650およびQFX5000シリーズスイッチ)ファイアウォールフィルターとポリサーのサポート:

• (QFX5100スイッチ)ファイアウォールフィルターとポリサーは、EVPN-VXLAN が有効になっているトランジットトラフィックではサポートされていません。これらは、CE向けインターフェイスのイングレス方向でのみサポートされます。

• (QFX5100スイッチ)EVPN-VXLAN の 1 層 IP ファブリックの IRB インターフェイスの場合、ファイアウォール フィルタリングとポリシングは、IRB インターフェイスを介してルーティングされるカプセル化されていないフレームのイングレス ポイントでのみサポートされます。

• (EX4650、QFX5110、およびQFX5120スイッチ)私たちは、イングレスルートアクセス制御リスト(IRACL)として、ルーティングされたVXLANインターフェイス(IRBインターフェイス)のイングレスフィルタリングとポリシングをサポートしています。

• (QFX5110、QFX5120、およびQFX5210スイッチ)ルーティングされていないVXLANインターフェイスでのイングレスフィルタリングとポリシングを、イングレスポートACL(IPACL)としてサポートしています。

• (QFX5110およびQFX5120スイッチ)ルーティングされていない VXLAN インターフェイスでのフィルタリングとポリシングのサポートは、エグレス ポート ACL([EPACL])としてエグレス方向に拡張されます。

(EX4300-48MPスイッチのみ)次のスタイルのインターフェイス設定はサポートされていません。

• 物理インターフェイスを複数の論理インターフェイスに分割し、各論理インターフェイスを特定の顧客VLAN専用にするサービスプロバイダスタイル。 extended-vlan-bridge カプセル化タイプは、物理インターフェイスで設定されます。

• フレキシブルイーサネットサービス:物理インターフェイスがサービスプロバイダとエンタープライズの両方のインターフェイス設定スタイルをサポートできるようにするカプセル化タイプです。

これらのスタイルのインターフェイス設定の詳細については、 フレキシブルイーサネットサービスカプセル化を参照してください。

(QFX5100スイッチのみ) no-arp-suppression 設定ステートメントを使用すると、1 つ以上の指定された VLAN での ARP 要求の抑制をオフにすることができます。ただし、Junos OS リリース 18.4R3 以降では、すべての VLAN でこの機能をオフにする必要があります。これを行うには、次のいずれかの構成オプションを使用できます。

• バッチ コマンドを使用して、すべての VLAN でこの機能をオフにします(set groups group-name vlans * no-arp-suppression)。このコマンドでは、すべてのVLANを指定するワイルドカードとしてアスタリスク(*)を使用します。

• コマンドを使用して、個々のVLANの機能をオフにします—set vlans vlan-name no-arp-suppression。

QFX5120-48Y、QFX5120-32C、および QFX5200 スイッチは、階層型等価コストマルチパス(ECMP)をサポートしているため、これらのスイッチは 2 レベルのルート解決を実行できます。しかしながら、他のすべての QFX5xxx スイッチは、階層型 ECMP をサポートしていません。その結果、EVPN タイプ 5 パケットが VXLAN ヘッダーでカプセル化された後、階層型 ECMP をサポートしない QFX5xxx スイッチによってカプセル化解除された場合、スイッチは内部パケットにあった 2 レベルのルートを解決できません。その後、スイッチはパケットをドロップします。

(QFX5100、QFX5110、QFX5120、QFX5200、およびQFX5210スイッチ)中央ルーティングされたブリッジング オーバーレイとエッジルーティングされたブリッジング オーバーレイの両方で設定された VLAN を同時にサポートするデバイス上で IRB インターフェイスを設定する場合、中央ルーティングされたブリッジング オーバーレイの IRB インターフェイス上の IRB MAC アドレスと仮想ゲートウェイ MAC アドレスは、エッジルーティングされたブリッジング オーバーレイ用の IRB インターフェイス上の IRB MAC アドレスおよび仮想ゲートウェイ MAC アドレスとは異なる必要があります。

(QFX5110およびQFX5120スイッチのみ)EVPN-VXLAN オーバーレイでは、デフォルト ルーティング インスタンス(default.inet.0)にある IRB インターフェイスでのルーティング プロトコルの実行はサポートされていません。代わりに、IRB インターフェイスをタイプ vrf のルーティング インスタンスに含めることをお勧めします。

VXLAN と VLAN の両方に、次の制約が適用されます。

• (QFX5xxx スイッチのみ)仮想ルーティングおよび転送(VRF)インスタンス間でルートリークを設定する場合、IPv4 プレフィックスの場合は /16 以上、IPv6 プレフィックスの場合は /64 以上のサブネット マスクを各プレフィックスで指定する必要があります。指定したサブネット マスクがこれらのパラメーターを満たさない場合、指定したルートはリークされません。

• (QFX5120スイッチのみ)デフォルトでは、QFX5120スイッチがマルチキャストトラフィックのバーストを吸収するために5MBの共有バッファを割り当てます。マルチキャスト トラフィックのバーストが 5 MB を超えた場合、スイッチはバッファ領域を超えた後、スイッチが受信するパケットをドロップします。この状況が発生したときにスイッチがマルチキャスト パケットをドロップしないようにするには、次のいずれかを実行します。

  • [edit class-of-service]階層レベルで shared-buffer 設定ステートメントを使用して、マルチキャストトラフィックに共有バッファの高い割合を再割り当てします。共有バッファの微調整の詳細については、「CoS バッファの設定について」を参照してください。

  • マルチキャストトラフィックのバーストが送信されるジュニパーネットワークスのスイッチで、エグレスリンクにシェーパーを適用します。

• (QFX5xxx スイッチのみ)インターフェイスでストーム制御を有効にしている場合、インターフェイスに設定されたトラフィックレートと実際のトラフィックレートが大きく異なることがあります。この差は、インターフェイスの実際のトラフィック レートを 64 kbps 単位で定量化する内部ストーム制御メーターの結果です。たとえば、64 kbps、128 kbps、192 kbps などです。

(QFX5xxx および EX46xx スイッチ)BFD パケットの VXLAN カプセル化で、ハードウェア支援インライン双方向フォワーディング検出(BFD)を使用することはできません。また、EVPNオーバーレイBGPピアリングを設定する場合は、ハードウェアアシストインラインBFDではなく分散型BFDを使用します。設定可能なさまざまなタイプの BFD セッションの詳細については、 BFD がネットワーク障害を検出する方法について を参照してください。

(QFX5xxx および EX46xx スイッチ)同じデバイス上でのMPLSとEVPN-VXLANの同時設定と使用はサポートされていません。この制約があるのは、Broadcom ベースのプラットフォームが同じハードウェア テーブルを使用して、MPLS と VXLAN の両方の機能セットで使用されるトンネルと仮想ポートの情報を格納するためです。

また、MPLS アンダーレイを EVPN および VXLAN オーバーレイで使用することはできません。これはBroadcomハードウェアの制限です。

(QFX5xxx および EX46xx スイッチ)タグ付き L3 インターフェイスと L2 ブリッジ ドメインは、サービス プロバイダ スタイルの設定では、IRB と同じインターフェイスのサブユニットとしてサポートされていません。

VXLAN では MC-LAG はサポートされていません。

レイヤー 3 側では、IP フラグメント化はサポートされていません。

以下の機能は、レイヤー 2 側ではサポートされていません。

• Junos OSリリース17.2R1以前のJunos OSリリースにおけるEVPN-VXLANによるIGMPスヌーピング

• STP(任意のバリアント)。

アクセス ポートのセキュリティ機能は、VXLAN ではサポートされていません。たとえば、次の機能はサポートされていません。

• DHCP スヌーピング。

• ダイナミック ARP インスペクション

• MAC 制限と MAC 移動制限。

コントロールプレーン(OVSDB-VXLAN)にSDNコントローラが使用されている場合、イングレスノードのレプリケーションはサポートされていません。EVPN-VXLANでは、イングレスノードのレプリケーションがサポートされています。

EVPN-VXLAN環境に導入されたQFX10000スイッチは、IPv6物理アンダーレイネットワークをサポートしていません。

QFX10000スイッチのネクストホップデータベースに、アンダーレイネットワークとEVPN-VXLANオーバーレイネットワークの両方のネクストホップが含まれている場合、VXLANピアへのネクストホップをイーサネットセグメント識別子(ESI)または仮想トンネルエンドポイント(VTEP)インターフェイスにすることはできません。

EVPN-VXLANオーバーレイネットワークで使用されるIRBインターフェイスは、IS-ISルーティングプロトコルをサポートしていません。

EVPN-VXLAN が有効になっている IRB インターフェイスに適用される VLAN ファイアウォール フィルター。

フィルターベースフォワーディング(FBF)は、EVPN-VXLAN 環境で使用される IRB インターフェイスではサポートされていません。

EVPN-VXLANも設定されている場合、QFX10002、QFX10008、およびQFX10016スイッチは、ポートミラーリングと分析をサポートしません。

中央ルーティングされたブリッジング オーバーレイとエッジルーティングされたブリッジング オーバーレイの両方で設定された VLAN を同時にサポートするデバイス上で IRB インターフェイスを設定する場合、中央ルーティングされたブリッジング オーバーレイの IRB インターフェイス上の IRB MAC アドレスと仮想ゲートウェイ MAC アドレスは、エッジルーティングされたブリッジング オーバーレイ用の IRB インターフェイス上の IRB MAC アドレスおよび仮想ゲートウェイ MAC アドレスとは異なる必要があります。

EVPN-VXLAN オーバーレイでは、デフォルト ルーティング インスタンス(default.inet.0)にある IRB インターフェイスでのルーティング プロトコルの実行はサポートされていません。代わりに、タイプ vrf のルーティング インスタンスに IRB インターフェイスを含めることを推奨します。

EVPN-VXLAN 環境では、同じイーサネット セグメント(ES)に参加しているリンク上で、 default-gateway ステートメントと advertise ステートメントを使用したエニーキャスト ゲートウェイの設定はサポートされていません。

サービス クラス(CoS)書き換えルールを設定して、差別化されたサービス コード ポイント(DSCP)ビットが内側の VXLAN ヘッダーから外側の VXLAN ヘッダーにコピーされるようにする必要があります。

EVPN-VXLAN導入のPTX10Kシリーズデバイスでは、次のようにトンネルの終端をグローバルに有効にする必要があります。

set forwarding-options tunnel-termination

これらのデバイスでファイアウォール フィルターを使用して特定のポートでの VXLAN トンネルの終端をブロックすることはできませんが、次のコマンドを使用してポートの VXLAN トンネルの終端をブロックすることはできます。

set interfaces logical-interface-name unit n family inet/inet6 no-tunnel-termination

DC 内のマルチホーム ピアにも同様の機能が必要です。ジュニパーでは、マルチホームピアにはACX7100またはACX7024デバイスを推奨しています。マルチホーム ピアとして異なる ACX シリーズを混在させることは推奨しません。

ESIを持つポートに複数のサブユニットを設定した場合、それらの論理インターフェイスでの無効化操作(set interfaces logical-interface-name unit n disable)はサポートされません。