- play_arrow 데이터센터 패브릭 레퍼런스 디자인 - 테스트를 거친 구현
- 데이터센터 패브릭 참조 설계 개요 및 검증 토폴로지
- IP 패브릭 언더레이 네트워크 설계 및 구현
- 오버레이를 위한 IBGP 구성
- EBGP를 사용한 IPv6 패브릭 언더레이 및 오버레이 네트워크 설계 및 구현
- EVPN-VXLAN 데이터센터의 BGP 번호가 지정되지 않은 IPv6 언더레이
- 브리지 오버레이 설계 및 구현
- 중앙 라우팅 브리징 오버레이 설계 및 구현
- 이더넷 연결 엔드 시스템 멀티호밍 설계 및 구현
- 에지 라우팅 브리징 오버레이 설계 및 구현
- 라우팅된 오버레이 설계 및 구현
- IP 연결 엔드 시스템 멀티호밍 설계 및 구현
- 5단계 IP 패브릭 설계 및 구현
- 컬랩스드 스파인 패브릭 설계 및 구현
- EVPN Type 2 및 Type 5 경로 공존 구현
- Type 5 경로를 사용한 Data Center Interconnect 설계 및 구현
- IPVPN을 사용한 Data Center Interconnect 설계 및 구현
- 레이어 2 Data Center Interconnect를 위한 VXLAN 연결 구성
- DCI 연계를 통한 EVPN Type 2 대칭 라우팅
- 상호 연결된 EVPN-MPLS WAN 게이트웨이를 통한 EVPN-VXLAN 데이터센터 연결 구성
- Q-in-Q를 사용하는 정적 VXLAN 터널
- VXLAN 터널을 통한 L2PT 구성
- 서비스 체이닝 설계 및 구현
- 멀티캐스트 IGMP 스누핑 및 PIM 설계 및 구현
- 멀티캐스트 최적화 설계 및 구현
- 에지 라우팅 브리징 오버레이를 위한 AR(Assisted Replication)을 사용하는 최적화된 OISM(Intersubnet Multicast)
- 향상된 최적화된 인터서브넷 멀티캐스트(OISM) 구현
- VMTO 구성
- DHCP 릴레이 설계 및 구현
- Edge-Routed 브리징 오버레이에 대한 프록시 ARP 및 ARP 억제 확인
- 이더넷 연결 엔드 시스템에서 레이어 2 포트 보안 기능 구성
데이터센터 패브릭 블루프린트 아키텍처 구성 요소
이 섹션에서는 이 블루프린트 아키텍처에 사용되는 빌딩 블록을 개괄적으로 설명합니다. 각 빌딩 블록 기술의 구현에 대해서는 이후 섹션에서 자세히 설명합니다.
빌딩 블록의 기반이 되는 하드웨어 및 소프트웨어에 대한 자세한 내용은 데이터센터 EVPN-VXLAN 패브릭 참조 설계—지원되는 하드웨어 요약을 참조하십시오.
구성 요소에는 다음이 포함됩니다.
IP 패브릭 언더레이 네트워크
최신 IP 패브릭 언더레이 네트워크 빌딩 블록은 Clos 기반 토폴로지에서 IP 연결을 제공합니다. 주니퍼 네트웍스는 다음과 같은 IP 패브릭 언더레이 모델을 지원합니다.
스파인 디바이스 계층과 리프 디바이스 계층으로 구성된 3단계 IP 패브릭. 그림 1을 참조하십시오.
5단계 IP 패브릭은 일반적으로 단일 3단계 IP 패브릭으로 시작하여 두 개의 3단계 IP 패브릭으로 증가합니다. 이러한 패브릭은 데이터센터 내에서 별도의 POD(Points of Delivery)로 분할됩니다. 이 사용 사례에서는 두 POD에서 스파인과 리프 디바이스 간의 통신을 지원하는 슈퍼 스파인 디바이스 계층을 추가할 수 있습니다. 그림 2를 참조하십시오.
리프 레이어 기능이 스파인 디바이스로 축소되는 축소된 스파인 IP 패브릭 모델. 이 유형의 패브릭은 별도의 리프 디바이스 계층이 없다는 점을 제외하고 3단계 또는 5단계 IP 패브릭과 유사하게 설정 및 운영할 수 있습니다. EVPN 스파인-리프 모델로 점진적으로 이동하거나 EVPN-VXLAN을 지원하지 않아 리프 레이어에서 사용할 수 없는 액세스 디바이스 또는 TOR(Top-of-Rack) 디바이스가 있는 경우 축소된 스파인 패브릭을 사용할 수 있습니다.
이 그림에서 디바이스는 단일 링크 또는 어그리게이션 이더넷 인터페이스인 고속 인터페이스를 사용하여 상호 연결되어 있습니다. 어그리게이션 이더넷 인터페이스는 선택 사항(일반적으로 디바이스 간 단일 링크가 사용됨)이지만, 대역폭을 늘리고 링크 레벨 이중화를 제공하기 위해 구축할 수 있습니다. 우리는 두 가지 옵션을 모두 다룹니다.
우리는 신뢰성과 확장성을 위해 언더레이 네트워크의 라우팅 프로토콜로 EBGP를 선택했습니다. 각 디바이스에는 EBGP를 지원하기 위해 고유한 AS(Autonomous System) 번호가 있는 자체 AS(Autonomous System)가 할당됩니다. 언더레이 네트워크에서 다른 라우팅 프로토콜을 사용할 수 있습니다. 이러한 프로토콜의 사용법은 이 문서의 범위를 벗어납니다.
이 가이드에 설명된 레퍼런스 아키텍처 설계는 언더레이 연결에 EBGP를 사용하고 오버레이 피어링에 IBGP를 사용하는 IP 패브릭을 기반으로 합니다(오버레이용 IBGP 참조). 또는 EBGP를 사용하여 오버레이 피어링을 구성할 수 있습니다.
Junos OS 릴리스 21.2R2 및 21.4R1부터는 IPv6 패브릭 구성도 지원합니다. 이 가이드의 IPv6 패브릭 설계는 언더레이 연결과 오버레이 피어링 모두에 EBGP를 사용합니다( IPv6 언더레이를 사용하는 오버레이는 EBGP 참조).
IP 패브릭은 다음과 같이 IPv4 또는 IPv6을 사용할 수 있습니다.
IPv4 패브릭은 엔드 투 엔드 워크로드 통신을 위해 IPv4 인터페이스 주소 지정, IPv4 언더레이 및 오버레이 BGP 세션을 사용합니다.
IPv6 패브릭은 엔드 투 엔드 워크로드 통신을 위해 IPv6 인터페이스 주소 지정, IPv6 언더레이 및 오버레이 BGP 세션을 사용합니다.
IPv4와 IPv6를 혼합하는 IP 패브릭은 지원하지 않습니다.
그러나 IPv4 패브릭과 IPv6 패브릭 모두 듀얼 스택 워크로드를 지원하며, 워크로드는 IPv4 또는 IPv6 중 하나이거나 IPv4와 IPv6 둘 다일 수 있습니다.
통합 이더넷 인터페이스의 개별 링크에서 BFD를 실행하는 기능인 BFD(Micro Bidirectional Forwarding Detection)도 이 빌딩 블록에서 활성화하여 디바이스를 연결하는 통합 이더넷 번들의 모든 멤버 링크에서 링크 장애를 신속하게 감지할 수 있습니다.
자세한 내용은 이 가이드의 다른 섹션을 참조하세요.
3단계 및 5단계 IP 패브릭 언더레이로 스파인 및 리프 디바이스 구성: IP 패브릭 언더레이 네트워크 설계 및 구현.
5단계 IP 패브릭 언더레이에서 슈퍼 스파인 디바이스의 추가 계층 구현: 5단계 IP 패브릭 설계 및 구현.
IPv6 언더레이 구성 및 EBGP 지원 IPv6 오버레이: EBGP를 사용한 IPv6 패브릭 언더레이 및 오버레이 네트워크 설계 및 구현.
축소된 스파인 패브릭 모델에서 언더레이 설정: 축소된 스파인 패브릭 설계 및 구현.
IPv4 및 IPv6 워크로드 지원
많은 네트워크가 IPv4 및 IPv6 프로토콜을 포함하는 워크로드에 대해 이중 스택 환경을 구현하기 때문에 이 청사진은 두 프로토콜을 모두 지원합니다. IPv4 및 IPv6 워크로드를 지원하도록 패브릭을 구성하는 단계는 이 가이드 전체에 걸쳐 짜여져 있어 이러한 프로토콜 중 하나 또는 둘 다를 선택할 수 있습니다.
워크로드 트래픽에 사용하는 IP 프로토콜은 IP 패브릭 언더레이 및 오버레이에 대해 구성하는 IP 프로토콜 버전(IPv4 또는 IPv6)과는 독립적입니다. ( IP 패브릭 언더레이 네트워크를 참조하십시오.) IPv4 패브릭 또는 IPv6 패브릭 인프라는 IPv4 및 IPv6 워크로드를 모두 지원할 수 있습니다.
네트워크 가상화 오버레이
네트워크 가상화 오버레이는 IP 언더레이 네트워크를 통해 전송되는 가상 네트워크입니다. 이 빌딩 블록은 네트워크에서 멀티테넌시를 활성화하므로 여러 테넌트 간에 단일 물리적 네트워크를 공유하면서 각 테넌트의 네트워크 트래픽을 다른 테넌트와 격리된 상태로 유지할 수 있습니다.
테넌트는 끝점 그룹을 포함하는 사용자 커뮤니티(예: 사업부, 부서, 작업 그룹 또는 응용 프로그램)입니다. 그룹은 동일한 테넌시의 다른 그룹과 통신할 수 있으며, 테넌트는 네트워크 정책에서 허용하는 경우 다른 테넌트와 통신할 수 있습니다. 그룹은 일반적으로 동일한 서브넷의 다른 디바이스와 통신하고 가상 라우팅 및 포워딩(VRF) 인스턴스를 통해 외부 그룹 및 엔드포인트에 도달할 수 있는 서브넷(VLAN)으로 표현됩니다.
그림 3의 오버레이 예에서 볼 수 있듯이 이더넷 브리징 테이블(삼각형으로 표시)은 테넌트 브리징 프레임을 처리하고 IP 라우팅 테이블(사각형으로 표시)은 라우팅 패킷을 처리합니다. VLAN 간 라우팅은 통합 라우팅 및 브리징(IRB) 인터페이스(원으로 표시)에서 발생합니다. 이더넷 및 IP 테이블은 가상 네트워크(컬러 선으로 표시)로 전달됩니다. 다른 VXLAN 터널 엔드포인트(VTEP) 디바이스에 연결된 최종 시스템에 도달하기 위해 테넌트 패킷이 캡슐화되어 EVPN 신호 VXLAN 터널(녹색 터널 아이콘으로 표시)을 통해 연결된 원격 VTEP 디바이스로 전송됩니다. 터널링된 패킷은 원격 VTEP 디바이스에서 캡슐화 해제되고 송신 VTEP 디바이스의 각 브리징 또는 라우팅 테이블을 통해 원격 엔드 시스템으로 전달됩니다.
다음 섹션에서는 오버레이 네트워크에 대한 자세한 내용을 제공합니다.
- 오버레이용 IBGP
- IPv6 언더레이를 사용하는 오버레이를 위한 EBGP
- 브리지 오버레이
- 중앙 라우팅 브리징 오버레이
- Edge-Routed 브리징 오버레이
- 컬랩스드 스파인 오버레이(Collapsed Spine Overlay)
- 브리지, CRB 및 ERB 오버레이 비교
- 브리징 오버레이의 IRB 주소 지정 모델
- EVPN 유형 5 경로를 사용한 라우팅 오버레이
- 네트워크 가상화 오버레이의 멀티테넌시를 위한 MAC-VRF 인스턴스
오버레이용 IBGP
내부 BGP(IBGP)는 IP 네트워크에서 연결성 정보를 교환하는 라우팅 프로토콜입니다. IBGP가 멀티프로토콜 BGP(MP-IBGP)와 결합되면 EVPN이 VTEP 디바이스 간 연결성 정보를 교환할 수 있는 기반이 됩니다. 이 기능은 VTEP 간 VXLAN 터널을 설정하고 오버레이 연결 서비스에 사용하는 데 필요합니다.
그림 4 는 스파인 및 리프 디바이스가 단일 AS(Autonomous System)의 피어링에 루프백 주소를 사용하는 것을 보여줍니다. 이 설계에서 스파인 디바이스는 경로 리플렉터 클러스터 역할을 하고 리프 디바이스는 경로 리플렉터 클라이언트입니다. 경로 리플렉터는 모든 VTEP 디바이스를 서로 직접 피어링할 필요 없이 풀 메시에 대한 IBGP 요건을 충족합니다. 그 결과 리프 디바이스는 스파인 디바이스와만 피어링되고 스파인 디바이스는 스파인 디바이스 및 리프 디바이스 모두와 피어링됩니다. 스파인 디바이스가 모든 리프 디바이스에 연결되어 있기 때문에 스파인 디바이스는 간접적으로 피어링된 리프 디바이스 이웃 간에 IBGP 정보를 릴레이할 수 있습니다.
를 위한 IBGP
네트워크의 거의 모든 곳에 경로 리플렉터를 배치할 수 있습니다. 그러나 다음 사항을 고려해야 합니다.
선택한 디바이스에 경로 리플렉터에 필요한 추가 워크로드를 처리할 수 있는 충분한 메모리와 처리 능력이 있습니까?
선택한 디바이스가 모든 EVPN 스피커에서 동일한 거리에 있고 연결할 수 있습니까?
선택한 장치에 적절한 소프트웨어 기능이 있습니까?
이 설계에서 경로 리플렉터 클러스터는 스파인 레이어에 배치됩니다. 이 레퍼런스 설계에서 스파인으로 사용할 수 있는 QFX 스위치는 네트워크 가상화 오버레이에서 경로 리플렉터 클라이언트 트래픽을 처리하기에 충분한 처리 속도를 제공합니다.
오버레이에서 IBGP를 구현하는 방법에 대한 자세한 내용은 오버레이용 IBGP 구성을 참조하십시오.
IPv6 언더레이를 사용하는 오버레이를 위한 EBGP
이 가이드의 원래 참조 아키텍처 사용 사례는 IPv4 IBGP 오버레이 디바이스 연결을 사용하는 IPv4 EBGP 언더레이 설계를 보여줍니다. 오버레이는 IP 패브릭 언더레이 네트워크 및 IBGP를 참조하십시오. 그러나 NVE(네트워크 가상화 에지) 디바이스가 IPv6의 확장된 주소 지정 범위와 기능을 활용하기 위해 IPv6 VTEP를 채택하기 시작함에 따라 IPv6까지 IP 패브릭 지원을 확장했습니다.
Junos OS 릴리스 21.2R2-S1부터는 지원 플랫폼에서 일부 참조 아키텍처 오버레이 설계와 함께 IPv6 패브릭 인프라를 사용할 수 있습니다. IPv6 패브릭 설계는 IPv6 인터페이스 주소 지정, IPv6 EBGP 언더레이 및 워크로드 연결을 위한 IPv6 EBGP 오버레이로 구성됩니다. IPv6 패브릭을 통해 NVE 디바이스는 VXLAN 헤더를 IPv6 외부 헤더로 캡슐화하고 IPv6 다음 홉을 사용하여 패브릭 전반에서 엔드 투 엔드로 패킷을 터널링합니다. 워크로드는 IPv4 또는 IPv6일 수 있습니다.
지원되는 레퍼런스 아키텍처 오버레이 설계에서 구성하는 대부분의 요소는 언더레이 및 오버레이 인프라가 IPv4를 사용하는지 또는 IPv6를 사용하는지와 무관합니다. 언더레이와 오버레이가 IPv6 패브릭 설계를 사용하는 경우 지원되는 각 오버레이 설계에 대한 해당 구성 절차에서 모든 구성 차이를 설명합니다.
자세한 내용은 이 가이드와 다른 리소스에서 다음 참조를 참조하세요.
언더레이 연결 및 오버레이 피어링을 위해 EBGP를 사용하여 IPv6 패브릭 구성: EBGP를 사용한 IPv6 패브릭 언더레이 및 오버레이 네트워크 설계 및 구현.
패브릭에서 특정 역할을 수행할 때 서로 다른 플랫폼이 IPv6 패브릭 설계를 지원하는 릴리스를 시작합니다. 데이터센터 EVPN-VXLAN 패브릭 참조 설계—지원되는 하드웨어 요약.
주니퍼 네트웍스 디바이스의 EVPN-VXLAN 패브릭에서 IPv6 언더레이 및 오버레이 피어링 지원 개요: IPv6 언더레이를 갖춘 EVPN-VXLAN.
브리지 오버레이
이 가이드에서 설명하는 첫 번째 오버레이 서비스 유형은 그림 5와 같이 브리지 오버레이입니다.
이 오버레이 모델에서 이더넷 VLAN은 VXLAN 터널을 통해 리프 디바이스 간에 확장됩니다. 이러한 리프-투-리프 VXLAN 터널은 리프 디바이스 간 이더넷 연결은 필요하지만 VLAN 간 라우팅은 필요 없는 데이터센터 네트워크를 지원합니다. 그 결과, 스파인 디바이스는 리프 디바이스에 대한 기본 언더레이 및 오버레이 연결만 제공하고 다른 오버레이 방법에서 볼 수 있는 라우팅 또는 게이트웨이 서비스는 수행하지 않습니다.
리프 디바이스는 VTEP를 생성하여 다른 리프 디바이스에 연결합니다. 터널을 통해 리프 디바이스는 데이터센터의 다른 리프 디바이스 및 이더넷 연결 엔드 시스템으로 VLAN 트래픽을 전송할 수 있습니다. 이 오버레이 서비스는 간단하기 때문에 기존 이더넷 기반 데이터센터에 EVPN/VXLAN을 쉽게 도입해야 하는 운영자에게 매력적입니다.
EVPN/VXLAN 패브릭 외부에 MX 시리즈 라우터 또는 SRX 시리즈 보안 디바이스를 구현하여 브리지 오버레이에 라우팅을 추가할 수 있습니다. 그렇지 않으면 라우팅을 통합하는 다른 오버레이 유형(예: Edge-Routed 브리징 오버레이, 중앙 라우팅된 브리징 오버레이 또는 라우팅된 오버레이) 중 하나를 선택할 수 있습니다.
브리지된 오버레이 구현에 대한 자세한 내용은 브리지 오버레이 설계 및 구현을 참조하십시오.
중앙 라우팅 브리징 오버레이
두 번째 오버레이 서비스 유형은 그림 6과 같이 CRB(Centrally Routed Bridging) 오버레이입니다.
CRB 오버레이에서 라우팅은 엔드 시스템(이 예의 리프 레이어)이 연결된 VTEP 디바이스가 아닌 데이터센터 네트워크의 중앙 게이트웨이(이 예의 스파인 레이어)에서 발생합니다.
라우팅된 트래픽이 중앙 집중식 게이트웨이를 통과해야 하거나 에지 VTEP 디바이스에 필요한 라우팅 기능이 부족한 경우 이 오버레이 모델을 사용할 수 있습니다.
위에서 나타난 바와 같이, 이더넷 연결 엔드 시스템에서 발생하는 트래픽은 트렁크(여러 VLAN) 또는 액세스 포트(단일 VLAN)를 통해 리프 VTEP 디바이스로 전달됩니다. VTEP 디바이스는 로컬 엔드 시스템 또는 원격 VTEP 디바이스의 엔드 시스템으로 트래픽을 전달합니다. 각 스파인 디바이스의 통합 라우팅 및 브리징(IRB) 인터페이스는 이더넷 가상 네트워크 간의 트래픽 라우팅을 지원합니다.
VLAN 인식 브리징 오버레이 서비스 모델을 사용하면 VLAN 모음을 동일한 오버레이 가상 네트워크로 쉽게 어그리게이션할 수 있습니다. 주니퍼 네트웍스 EVPN 설계는 다음과 같이 데이터센터의 세 가지 VLAN 인식 이더넷 서비스 모델 구성을 지원합니다.
Default instance VLAN-aware—이 옵션을 사용하면 총 4094개의 VLAN을 지원하는 단일 기본 스위칭 인스턴스를 구현합니다. 이 설계에 포함된 모든 리프 플랫폼(데이터센터 EVPN-VXLAN 패브릭 참조 설계 - 지원되는 하드웨어 요약)은 VLAN 인식 오버레이의 기본 인스턴스 스타일을 지원합니다.
이 서비스 모델을 구성하려면 기본 인스턴스에서 VLAN 인식 중앙 라우팅 브리징 오버레이 구성을 참조하십시오.
Virtual switch VLAN-aware—이 옵션을 사용하면 여러 가상 스위치 인스턴스가 인스턴스당 최대 4094개의 VLAN을 지원합니다. 이 이더넷 서비스 모델은 단일 기본 인스턴스 이상의 확장성이 필요한 오버레이 네트워크에 이상적입니다. 이 옵션은 현재 QFX10000 라인 스위치에서 지원됩니다.
이 확장 가능한 서비스 모델을 구현하려면 가상 스위치 또는 MAC-VRF 인스턴스로 VLAN 인식 CRB 오버레이 구성을 참조하십시오.
MAC-VRF instance VLAN-aware—이 옵션을 사용하면 여러 MAC-VRF 인스턴스가 인스턴스당 최대 4094개의 VLAN을 지원합니다. 이 이더넷 서비스 모델은 단일 기본 인스턴스 이상의 확장성이 필요하고 동일한 패브릭의 여러 테넌트 간 VLAN 격리 또는 상호 연결을 보장하기 위해 더 많은 옵션을 원하는 오버레이 네트워크에 이상적입니다. 이 옵션은 MAC-VRF 인스턴스를 지원하는 플랫폼에서 지원됩니다(기능 탐색기: EVPN-VXLAN을 사용하는 MAC VRF 참조).
이 확장 가능한 서비스 모델을 구현하려면 가상 스위치 또는 MAC-VRF 인스턴스로 VLAN 인식 CRB 오버레이 구성을 참조하십시오.
Edge-Routed 브리징 오버레이
세 번째 오버레이 서비스 옵션은 그림 7과 같이 ERB(Edge-Routed Bridging) 오버레이입니다.
이 이더넷 서비스 모델에서는 IRB 인터페이스가 오버레이 네트워크 에지의 리프 디바이스 VTEP로 이동되어 IP 라우팅을 최종 시스템에 더 가깝게 제공합니다. 하나의 디바이스에서 브리징, 라우팅, EVPN/VXLAN을 지원하는 데 필요한 특별한 ASIC 기능 덕분에 ERB 오버레이는 특정 스위치에서만 가능합니다. ERB 오버레이에서 리프 디바이스로 지원하는 스위치 목록은 데이터센터 EVPN-VXLAN 패브릭 참조 설계 - 지원되는 하드웨어 요약을 참조하십시오.
이 모델을 사용하면 전체 네트워크를 더 단순하게 만들 수 있습니다. 스파인 디바이스는 IP 트래픽만 처리하도록 구성되므로 브리징 오버레이를 스파인 디바이스로 확장할 필요가 없습니다.
이 옵션은 또한 엔드 시스템이 동일한 리프 디바이스 VTEP에 연결된 더 빠른 서버 간 데이터센터 내부 트래픽(East-West 트래픽이라고도 함)을 활성화합니다. 그 결과, CRB 오버레이보다 최종 시스템에 훨씬 더 가까운 곳에서 라우팅이 이루어집니다.
리프 디바이스로 작동하는 QFX5110 또는 QFX5120 스위치에서 EVPN Type-5 라우팅 인스턴스에 포함된 IRB 인터페이스를 구성하면 디바이스가 자동으로 EVPN Type 5 경로에 대한 대칭 IRB 간 유니캐스트 라우팅을 활성화합니다.
ERB 오버레이 구현에 대한 자세한 내용은 Edge-Routed 브리징 오버레이 설계 및 구현을 참조하십시오.
컬랩스드 스파인 오버레이(Collapsed Spine Overlay)
축소된 스파인 아키텍처의 오버레이 네트워크는 ERB 오버레이와 유사합니다. 컬랩스드 스파인 아키텍처에서는 리프 디바이스 기능이 스파인 디바이스로 축소됩니다. 리프 레이어가 없기 때문에 ERB 모델의 리프 디바이스와 같은 오버레이 네트워크의 에지에 있는 스파인 디바이스에서 VTEPS 및 IRB 인터페이스를 구성합니다. 또한 스파인 디바이스는 경계 게이트웨이 기능을 수행하여 북-남 트래픽을 라우팅하거나 데이터센터 위치 전반으로 레이어 2 트래픽을 확장할 수 있습니다.
축소 스파인 아키텍처를 지원하는 스위치 목록은 데이터센터 EVPN-VXLAN 패브릭 참조 설계—지원되는 하드웨어 요약을 참조하십시오.
브리지, CRB 및 ERB 오버레이 비교
EVPN 환경에 가장 적합한 오버레이 유형을 결정하는 데 도움이 되도록 표 1을 참조하십시오.
주니퍼는 이러한 오버레이 유형을 지원하는 디바이스에서 동시에 동일한 디바이스에 브리지 오버레이, CRB 오버레이 및 ERB 오버레이 구성을 혼합하는 것을 지원합니다. 디바이스가 서로 다른 유형의 오버레이에서 병렬로 작동하기 위해 별도의 논리 시스템을 사용하여 디바이스를 구성할 필요가 없습니다.
비교 포인트 | ERB 오버레이 | CRB 오버레이 | 브리지 오버레이 |
|---|---|---|---|
완전 분산 테넌트 서브넷 간 라우팅 | ✓ | ||
IP 게이트웨이 장애의 영향 최소화 | ✓ | ||
리프 수준에서 타사 노드로의 동적 라우팅 | ✓ | ||
대량의 East-West 트래픽에 최적화 | ✓ | ||
원시 IP 패브릭과의 더 나은 통합 | ✓ | ||
서버에 더 가까운 IP VRF 가상화 | ✓ | ||
Contrail vRouter 멀티호밍 필요 | ✓ | ||
다른 벤더와의 더 쉬운 EVPN 상호 운용성 | ✓ | ||
대칭 서브넷 간 라우팅 | ✓ | ✓ | |
랙당 VLAN ID 중첩 | ✓ | ✓ | ✓ |
더 간단한 수동 구성 및 문제 해결 | ✓ | ✓ | |
서비스 프로바이더 및 엔터프라이즈급 인터페이스 | ✓ | ✓ | |
레거시 리프 스위치 지원(QFX5100) | ✓ | ✓ | |
중앙 집중식 VMTO(Virtual Machine Traffic Optimization) 제어 | ✓ | ||
방화벽 클러스터의 IP 테넌트 서브넷 게이트웨이IP tenant subnet gateway on the firewall cluster | ✓ |
브리징 오버레이의 IRB 주소 지정 모델
CRB 및 ERB 오버레이에서 IRB 인터페이스를 구성하려면 IRB 인터페이스의 기본 게이트웨이 IP 및 MAC 주소 구성 모델을 다음과 같이 이해해야 합니다.
Unique IRB IP Address- 이 모델에서는 오버레이 서브넷의 각 IRB 인터페이스에 고유한 IP 주소가 구성됩니다.
각 IRB 인터페이스에 고유한 IP 주소 및 MAC 주소가 있으면 고유한 IP 주소를 사용하여 오버레이 내에서 각 IRB 인터페이스를 모니터링하고 연결할 수 있다는 이점이 있습니다. 또한 이 모델을 통해 IRB 인터페이스에서 라우팅 프로토콜을 구성할 수 있습니다.
이 모델의 단점은 각 IRB 인터페이스에 고유한 IP 주소를 할당하면 서브넷의 많은 IP 주소를 사용할 수 있다는 것입니다.
Unique IRB IP Address with Virtual Gateway IP Address- 이 모델은 이전 모델에 가상 게이트웨이 IP 주소를 추가하며, 중앙에서 라우팅되는 브리지 오버레이에 이 주소를 권장합니다. VRRP와 유사하지만 게이트웨이 IRB 인터페이스 간 대역 내 데이터 플레인 시그널링이 없습니다. 가상 게이트웨이는 오버레이 서브넷의 모든 기본 게이트웨이 IRB 인터페이스에 대해 동일해야 하며 구성된 모든 게이트웨이 IRB 인터페이스에서 활성화되어야 합니다. 또한 가상 게이트웨이에 대한 공통 IPv4 MAC 주소도 구성해야 하며, 이 주소는 IRB 인터페이스를 통해 전달되는 데이터 패킷의 소스 MAC 주소가 됩니다.
이전 모델의 이점 외에도 가상 게이트웨이는 최종 시스템에서 기본 게이트웨이 구성을 단순화합니다. 이 모델의 단점은 이전 모델과 동일합니다.
IRB with Anycast IP Address and MAC Address- 이 모델에서는 오버레이 서브넷의 모든 기본 게이트웨이 IRB 인터페이스가 동일한 IP 및 MAC 주소로 구성됩니다. ERB 오버레이에 이 모델을 권장합니다.
이 모델의 장점은 기본 게이트웨이 IRB 인터페이스 주소 지정에 서브넷당 단일 IP 주소만 필요하며, 이를 통해 최종 시스템에서 기본 게이트웨이 구성을 단순화한다는 것입니다.
EVPN 유형 5 경로를 사용한 라우팅 오버레이
마지막 오버레이 옵션은 그림 8과 같이 라우팅된 오버레이입니다.
이 옵션은 IP로 라우팅된 가상 네트워크 서비스입니다. MPLS 기반 IP VPN과 달리 이 모델의 가상 네트워크는 EVPN/VXLAN을 기반으로 합니다.
클라우드 프로바이더가 이 가상 네트워크 옵션을 선호하는 이유는 대부분의 최신 애플리케이션이 IP에 최적화되어 있기 때문입니다. 디바이스 간의 모든 통신이 IP 레이어에서 이루어지기 때문에 이 라우팅된 오버레이 모델에서는 VLAN 및 ESI와 같은 이더넷 브리징 구성 요소를 사용할 필요가 없습니다.
라우팅된 오버레이 구현에 대한 자세한 내용은 라우팅된 오버레이 디자인 및 구현을 참조하십시오.
네트워크 가상화 오버레이의 멀티테넌시를 위한 MAC-VRF 인스턴스
MAC-VRF 라우팅 인스턴스를 사용하면 EVPN-VXLAN 패브릭에서 VTEP 역할을 하는 디바이스에서 다양한 이더넷 서비스 유형을 가진 여러 EVPN 인스턴스를 구성할 수 있습니다. MAC-VRF 인스턴스를 사용하면 고객별 VRF 테이블로 데이터센터의 여러 테넌트를 관리하여 테넌트 워크로드를 격리하거나 그룹화할 수 있습니다.
또한 MAC-VRF 인스턴스는 VLAN 인식 서비스 유형에 대한 이전 지원 외에도 VLAN 기반 서비스 유형에 대한 지원을 도입합니다. 그림 9를 참조하십시오.
VLAN 기반 서비스 - MAC-VRF 인스턴스에서 하나의 VLAN과 해당 VNI(VXLAN 네트워크 식별자)를 구성할 수 있습니다. 새로운 VLAN 및 VNI를 프로비저닝하려면 새로운 VLAN 및 VNI를 사용하여 새로운 MAC VRF 인스턴스를 구성해야 합니다.
VLAN 인식 서비스 - 동일한 MAC-VRF 인스턴스에서 하나 이상의 VLAN과 해당 VNI를 구성할 수 있습니다. 새로운 VLAN 및 VNI를 프로비저닝하기 위해 기존 MAC-VRF 인스턴스에 새로운 VLAN 및 VNI 구성을 추가할 수 있습니다. 이렇게 하면 VLAN 기반 서비스를 사용하는 것에 비해 일부 구성 단계를 줄일 수 있습니다.
MAC-VRF 인스턴스는 레이어 2와 레이어 3 모두에서 보다 유연한 구성 옵션을 지원합니다. 예를 들어:
그림 10 은 MAC-VRF 인스턴스를 보여줍니다.
동일한 디바이스의 다른 MAC-VRF 인스턴스에서 다른 서비스 유형을 구성할 수 있습니다.
레이어 2(MAC-VRF 인스턴스)와 레이어 3(VRF 인스턴스)에서 유연한 테넌트 격리 옵션을 사용할 수 있습니다. 단일 MAC-VRF 인스턴스에서 VLAN 또는 VLAN에 해당하는 VRF 인스턴스를 구성할 수 있습니다. 또는 여러 MAC-VRF 인스턴스에서 VLAN에 걸쳐 있는 VRF 인스턴스를 구성할 수 있습니다.
그림 11 은 테넌트 분리를 위한 샘플 MAC-VRF 구성이 포함된 ERB 오버레이 패브릭을 보여줍니다.
그림 11에서 리프 디바이스는 MAC-VRF 인스턴스 MAC-VRF 12 및 MAC-VRF 3을 사용하여 테넌트 12(VLAN 1 및 VLAN 2)와 테넌트 3(VLAN 3) 사이의 레이어 2에서 격리를 유지하는 VXLAN 터널을 구축합니다. 또한 리프 디바이스는 VRF 인스턴스 VRF 12 및 VRF 3을 사용하여 레이어 3에서 테넌트를 격리합니다.
다음과 같이 MAC-VRF 및 VRF 구성에 의해 레이어 2와 레이어 3에서 격리된 테넌트 간에 VLAN 트래픽을 공유하기 위해 다른 옵션을 사용할 수 있습니다.
방화벽을 통해 테넌트 VRF 간에 안전한 외부 상호 연결을 구축합니다.
레이어 3 VRF 간의 로컬 경로 유출을 구성합니다.
MAC-VRF 인스턴스 및 고객 사용 사례에서의 사용에 대한 자세한 내용은 EVPN-VXLAN DC IP 패브릭 MAC-VRF L2 서비스를 참조하십시오.
MAC-VRF 인스턴스는 다음과 같이 포워딩 인스턴스에 해당합니다.
QFX5000 라인 스위치의 MAC-VRF 인스턴스(Junos OS 또는 Junos OS Evolved를 실행하는 인스턴스 포함)는 모두 기본 포워딩 인스턴스의 일부입니다. 이러한 디바이스에서는 MAC-VRF 인스턴스 또는 여러 MAC-VRF 인스턴스에 걸쳐 중첩 VLAN을 구성할 수 없습니다.
QFX10000 라인 스위치에서 여러 포워딩 인스턴스를 구성하고 MAC-VRF 인스턴스를 특정 포워딩 인스턴스에 매핑할 수 있습니다. 또한 여러 MAC-VRF 인스턴스를 동일한 포워딩 인스턴스로 매핑할 수 있습니다. 각 MAC-VRF 인스턴스를 구성하여 다른 포워딩 인스턴스를 사용하는 경우, 여러 MAC-VRF 인스턴스에 걸쳐 중복 VLAN을 구성할 수 있습니다. 단일 MAC-VRF 인스턴스 또는 동일한 포워딩 인스턴스에 매핑되는 MAC-VRF 인스턴스 간에 오버래핑 VLAN을 구성할 수 없습니다.
기본 구성에서 스위치에는 기본 포워딩 인스턴스와 연관된 VLAN ID=1인 기본 VLAN이 포함됩니다. VLAN ID는 포워딩 인스턴스에서 고유해야 하므로, 기본 포워딩 인스턴스를 사용하는 MAC-VRF 인스턴스에서 VLAN ID=1로 VLAN을 구성하려면 기본 VLAN의 VLAN ID를 1이 아닌 값으로 재할당해야 합니다. 예를 들어:
content_copy zoom_out_mapset vlans default vlan-id 4094 set routing-instances mac-vrf-instance-name vlans vlan-name vlan-id 1
이 가이드의 참조 네트워크 가상화 오버레이 구성 예에는 MAC-VRF 인스턴스를 사용하여 오버레이를 구성하는 단계가 포함되어 있습니다. 유형 mac-vrf의 EVPN 라우팅 인스턴스를 구성하고 인스턴스에서 경로 식별자 및 경로 대상을 설정합니다. 또한 원하는 인터페이스(VTEP 소스 인터페이스 포함), VLAN 및 VLAN-VNI 매핑을 인스턴스에 포함합니다. 다음 주제의 참조 구성을 참조하십시오.
브리지 오버레이 설계 및 구현 - 리프 디바이스에서 MAC-VRF 인스턴스를 구성합니다.
중앙 라우팅 브리징 오버레이 설계 및 구현 - 스파인 디바이스에서 MAC-VRF 인스턴스를 구성합니다. 리프 디바이스에서 MAC-VRF 구성은 브리지 오버레이 디자인의 MAC-VRF 리프 구성과 유사합니다.
Edge-Routed 브리징 오버레이 설계 및 구현 - 리프 디바이스에서 MAC-VRF 인스턴스를 구성합니다.
구성이 여러 MAC-VRF 인스턴스를 사용하는 경우 디바이스가 VTEP 확장에 문제를 일으킬 수 있습니다. 따라서 이 문제를 방지하려면 MAC-VRF 인스턴스 구성으로 Junos OS 실행하는 스위치의 QFX5000 라인에서 공유 터널 기능을 활성화해야 합니다. 공유 터널을 구성할 때 디바이스는 원격 VTEP에 도달하기 위한 다음 홉 항목의 수를 최소화합니다. 계층 수준에서 문을 사용하여 shared-tunnels 디바이스에서 공유 VXLAN 터널을 전역적으로 활성화합니다 [edit forwarding-options evpn-vxlan] . 이 설정을 사용하려면 디바이스를 다시 부팅해야 합니다.
이 명령문은 QFX5000 스위치보다 더 높은 VTEP 확장을 처리할 수 있는 Junos OS 실행되는 스위치 QFX10000 라인에서 선택 사항입니다.
EVPN-VXLAN 패브릭에서 진화한 Junos OS를 실행하는 디바이스에서는 공유 터널이 기본적으로 활성화됩니다. Junos OS Evolved는 MAC-VRF 구성에서만 EVPN-VXLAN을 지원합니다.
이더넷 연결 엔드 시스템을 위한 멀티호밍 지원
이더넷 연결 멀티호밍 을 사용하면 이더넷 연결 엔드 시스템이 하나의 VTEP 디바이스에 대한 단일 홈 링크 또는 다른 VTEP 디바이스에 대한 멀티호밍된 여러 링크를 통해 이더넷 오버레이 네트워크에 연결할 수 있습니다. 이더넷 트래픽은 동일한 엔드 시스템에 연결된 리프 디바이스의 VTEP 간 패브릭 전반에 걸쳐 로드 밸런싱됩니다.
이더넷 연결 엔드 시스템이 단일 리프 디바이스에 연결되거나 2개 또는 3개의 리프 디바이스에 멀티호밍된 설정을 테스트하여 2개 이상의 리프 VTEP 디바이스가 있는 멀티호밍 설정에서 트래픽이 제대로 처리됨을 입증했습니다. 실제로, 이더넷 연결 엔드 시스템은 다수의 리프 VTEP 디바이스에 멀티호밍될 수 있습니다. 모든 링크가 활성 상태이며 모든 멀티홈 링크에서 네트워크 트래픽 로드 밸런싱이 가능합니다.
이 아키텍처에서 EVPN은 이더넷 연결 멀티호밍에 사용됩니다. EVPN 멀티호밍 LAG는 EVPN 브리징 오버레이에서 ESI(Ethernet Segment Identifier)로 식별되는 반면, LACP는 LAG 가용성을 개선하는 데 사용됩니다.
VLAN 트렁킹을 사용하면 하나의 인터페이스가 여러 VLAN을 지원할 수 있습니다. VLAN 트렁킹은 비오버레이 하이퍼바이저의 VM(가상 머신)이 모든 오버레이 네트워킹 컨텍스트에서 작동할 수 있도록 합니다.
이더넷 연결 멀티호밍 지원에 대한 자세한 내용은 이더넷 연결 엔드 시스템 멀티호밍 설계 및 구현을 참조하십시오.
IP 연결 엔드 시스템을 위한 멀티호밍(Multihoming) 지원
서로 다른 리프 디바이스에서 여러 IP 기반 액세스 인터페이스를 통해 IP 네트워크에 연결하는 IP 연결 멀티호밍 엔드포인트 시스템.
IP 연결 엔드 시스템이 단일 리프에 연결되거나 2개 또는 3개의 리프 디바이스에 멀티호밍되는 설정을 테스트했습니다. 이 설정은 여러 리프 디바이스에 멀티호밍될 때 트래픽이 적절하게 처리되는지 검증했습니다. 실제로, IP 연결 엔드 시스템은 다수의 리프 디바이스에 멀티호밍될 수 있습니다.
멀티호밍 설정에서 모든 링크가 활성 상태이고 네트워크 트래픽이 모든 멀티호밍 링크를 통해 전달 및 수신됩니다. IP 트래픽은 간단한 해싱 알고리즘을 사용하여 멀티홈 링크에서 로드 밸런싱됩니다.
EBGP는 IP 연결 엔드포인트 시스템과 연결된 리프 디바이스 간에 라우팅 정보를 교환하여 엔드포인트 시스템에 대한 경로가 모든 스파인 및 리프 디바이스와 공유되도록 하는 데 사용됩니다.
IP 연결 멀티호밍 빌딩 블록에 대한 자세한 내용은 IP 연결 엔드 시스템 멀티호밍 설계 및 구현을 참조하십시오.
경계 장치
일부 주니퍼의 레퍼런스 설계에는 로컬 IP 패브릭 외부에 있는 다음 디바이스에 대한 연결을 제공하는 경계 디바이스가 포함되어 있습니다.
멀티캐스트 게이트웨이.
Data Center Interconnect(DCI)를 위한 데이터센터 게이트웨이입니다.
방화벽, 네트워크 주소 변환(NAT), 침입 탐지 및 방지(IDP), 멀티캐스트 등과 같은 여러 서비스가 통합된 SRX 라우터와 같은 디바이스입니다. 여러 서비스를 하나의 물리적 디바이스로 통합하는 것을 서비스 체이닝이라고 합니다.
방화벽, DHCP 서버, sFlow 수집기 등의 역할을 하는 어플라이언스 또는 서버.
메모:네트워크에 경계 디바이스에 1Gbps 이더넷 연결이 필요한 레거시 어플라이언스 또는 서버가 포함된 경우 QFX10008 또는 QFX5120 스위치를 경계 디바이스로 사용하는 것이 좋습니다.
위에서 설명한 추가 기능을 제공하기 위해 주니퍼 네트웍스는 다음과 같은 방법으로 경계 디바이스 구축을 지원합니다.
경계 디바이스 역할만 하는 디바이스입니다. 이 전용 역할에서는 위에서 설명한 하나 이상의 작업을 처리하도록 디바이스를 구성할 수 있습니다. 이 경우 디바이스는 일반적으로 스파인 디바이스에 연결된 경계 리프로 배포됩니다.
예를 들어, 그림 14에 표시된 ERB 오버레이에서 경계 리프 L5 및 L6은 DCI, sFlow 컬렉터 및 DHCP 서버용 데이터센터 게이트웨이에 대한 연결을 제공합니다.
위에서 설명한 하나 이상의 작업을 처리할 수 있는 네트워크 언더레이 디바이스와 경계 디바이스의 두 가지 역할이 있는 디바이스입니다. 이 경우 스파인 디바이스가 일반적으로 두 가지 역할을 처리합니다. 따라서 경계 장치 기능을 경계 스파인이라고 합니다.
예를 들어, 그림 15에 표시된 ERB 오버레이에서 경계 스파인 S1과 S2는 린 스파인 장치로 작동합니다. 또한 DCI, sFlow 수집기 및 DHCP 서버용 데이터센터 게이트웨이에 대한 연결성을 제공합니다.
를 사용한 샘플 ERB 토폴로지
있는 샘플 ERB 토폴로지
Data Center Interconnect(DCI)
DCI(Data Center Interconnect) 빌딩 블록은 데이터센터 간에 트래픽을 전송하는 데 필요한 기술을 제공합니다. 검증된 설계는 EVPN 유형 5 경로, IPVPN 경로, VXLAN 연계된 레이어 2 DCI를 사용하여 DCI를 지원합니다.
EVPN Type 5 또는 IPVPN 경로는 서로 다른 IP 주소 서브넷 체계를 사용하는 데이터센터 간 데이터센터 간 트래픽이 교환될 수 있도록 DCI 컨텍스트에서 사용됩니다. 여러 데이터센터에 있는 스파인 디바이스 간에 경로가 교환되어 데이터센터 간에 트래픽 전달이 허용됩니다.
DCI를 구성하기 전에 데이터센터 간의 물리적 연결이 필요합니다. 물리적 연결은 WAN 클라우드의 백본 디바이스에서 제공됩니다. 백본 디바이스는 단일 데이터센터(POD)의 모든 스파인 디바이스와 다른 데이터센터에 연결된 다른 백본 디바이스에도 연결됩니다.
DCI 구성에 대한 자세한 내용은 다음을 참조하십시오.
서비스 체이닝
많은 네트워크에서 트래픽은 방화벽, NAT, IDP, 멀티캐스트 등과 같이 각각 서비스를 제공하는 별도의 하드웨어 디바이스를 통해 흐르는 것이 일반적입니다. 각 장치는 별도의 운영 및 관리가 필요합니다. 여러 네트워크 기능을 연결하는 이 방법은 물리적 서비스 체이닝으로 생각할 수 있습니다.
보다 효율적인 서비스 체이닝 모델은 네트워크 기능을 가상화하고 단일 디바이스에 통합하는 것입니다. 주니퍼의 청사진 아키텍처에서는 네트워크 기능과 프로세스를 통합하고 서비스를 적용하는 디바이스로 SRX 시리즈 라우터를 사용하고 있습니다. 이 디바이스를 PNF(Physical Network Function)라고 합니다.
이 솔루션에서 서비스 체이닝은 CRB 오버레이 및 ERB 오버레이 모두에서 지원됩니다. 테넌트 간 트래픽에 대해서만 작동합니다.
서비스 체이닝의 논리적 보기
그림 17 은 서비스 체인의 논리적 보기를 보여 줍니다. 오른쪽 구성과 왼쪽 구성의 스파인 하나를 보여줍니다. 양쪽에는 VRF 라우팅 인스턴스와 IRB 인터페이스가 있습니다. 중앙에 있는 SRX 시리즈 라우터는 PNF이며 서비스 체이닝을 수행합니다.
이 논리적 보기의 트래픽 흐름은 다음과 같습니다.
스파인은 왼쪽 VRF에 있는 VTEP에서 패킷을 수신합니다.
패킷은 캡슐화 해제되어 왼쪽 IRB 인터페이스로 전송됩니다.
IRB 인터페이스는 패킷을 PNF 역할을 하는 SRX 시리즈 라우터로 라우팅합니다.
SRX 시리즈 라우터는 패킷에서 서비스 체이닝을 수행하고 패킷을 스파인으로 다시 전달하여 스파인의 오른쪽에 표시된 IRB 인터페이스에서 수신합니다.
IRB 인터페이스는 패킷을 오른쪽 VRF의 VTEP로 라우팅합니다.
서비스 체이닝 구성에 대한 자세한 내용은 서비스 체이닝 설계 및 구현을 참조하십시오.
멀티캐스트 최적화
멀티캐스트 최적화는 EVPN VXLAN 환경의 멀티캐스트 시나리오에서 대역폭을 보존하고 트래픽을 보다 효율적으로 라우팅하는 데 도움이 됩니다. 멀티캐스트 최적화를 구성하지 않으면 그림 18과 같이 멀티캐스트 소스에 연결된 리프의 수신에서 모든 멀티캐스트 복제가 수행됩니다. 멀티캐스트 트래픽은 스파인에 연결된 모든 리프 디바이스로 전송됩니다. 각 리프 디바이스는 연결된 호스트로 트래픽을 전송합니다.
없이 멀티캐스트
함께 작동할 수 있는 EVPN VXLAN 환경에서 지원되는 몇 가지 유형의 멀티캐스트 최적화가 있습니다.
멀티캐스트 기능 구성에 대한 자세한 내용은 다음을 참조하십시오.
IGMP 스누핑
EVPN-VXLAN 패브릭의 IGMP 스누핑은 멀티캐스트 트래픽 배포를 최적화하는 데 유용합니다. IGMP 스누핑은 멀티캐스트 트래픽이 IGMP 리스너가 있는 인터페이스에서만 전달되기 때문에 대역폭을 보존합니다. 리프 디바이스의 모든 인터페이스가 멀티캐스트 트래픽을 수신해야 하는 것은 아닙니다.
IGMP 스누핑이 없으면 최종 시스템은 관심이 없는 IP 멀티캐스트 트래픽을 수신하여 원치 않는 트래픽으로 링크를 불필요하게 플러딩합니다. IP 멀티캐스트 플로우가 클 때 원치 않는 트래픽을 플러딩하면 서비스 거부 문제가 발생하는 경우가 있습니다.
그림 19 는 IGMP 스누핑이 EVPN-VXLAN 패브릭에서 작동하는 방식을 보여줍니다. 이 샘플 EVPN-VXLAN 패브릭에서 IGMP 스누핑은 모든 리프 디바이스에서 구성되며 멀티캐스트 수신기 2는 이전에 IGMPv2 가입 요청을 보냈습니다.
멀티캐스트 수신기 2가 IGMPv2 탈퇴 요청을 보냅니다.
멀티캐스트 수신기 3과 4는 IGMPv2 가입 요청을 보냅니다.
리프 1은 수신 멀티캐스트 트래픽을 수신하면 모든 리프 디바이스에 이를 복제하고 스파인으로 전달합니다.
스파인은 트래픽을 모든 리프 디바이스로 전달합니다.
리프 2는 멀티캐스트 트래픽을 수신하지만 수신자가 IGMP leave 메시지를 보냈기 때문에 수신자에게 전달하지 않습니다.
을 사용한 멀티캐스트
EVPN-VXLAN 네트워크에서는 IGMP 버전 2만 지원됩니다.
IGMP 스누핑에 대한 자세한 내용은 EVPN-VXLAN 환경에서 IGMP 스누핑 또는 MLD 스누핑을 사용한 멀티캐스트 포워딩 개요를 참조하십시오.
선택적 멀티캐스트 전달
SMET(Selective Multicast Ethernet) 포워딩은 엔드투엔드 네트워크 효율성을 높이고 EVPN 네트워크의 트래픽을 줄입니다. 패브릭 코어에서 대역폭 사용을 보존하고 리스너가 없는 송신 디바이스의 부하를 줄입니다.
IGMP 스누핑이 활성화된 디바이스는 선택적 멀티캐스트 포워딩을 사용하여 멀티캐스트 트래픽을 효율적인 방식으로 포워딩합니다. IGMP 스누핑이 활성화되어 있으면 리프 디바이스는 멀티캐스트 트래픽을 관심 있는 수신기가 있는 액세스 인터페이스로만 전송합니다. SMET가 추가되면 리프 디바이스는 해당 멀티캐스트 그룹에 관심을 표명한 코어의 리프 디바이스에만 멀티캐스트 트래픽을 선택적으로 전송합니다.
그림 20 은 IGMP 스누핑과 함께 SMET 트래픽 흐름을 보여줍니다.
멀티캐스트 수신기 2가 IGMPv2 탈퇴 요청을 보냅니다.
멀티캐스트 수신기 3과 4는 IGMPv2 가입 요청을 보냅니다.
리프 1은 수신 멀티캐스트 트래픽을 수신하면 관심 있는 수신기(리프 디바이스 3 및 4)가 있는 리프 디바이스에만 트래픽을 복제하여 스파인으로 전달합니다.
스파인은 트래픽을 리프 디바이스 3과 4로 전달합니다.
SMET를 사용하도록 설정할 필요는 없습니다. 디바이스에서 IGMP 스누핑을 구성할 때 기본적으로 활성화됩니다.
SMET에 대한 자세한 내용은 선택적 멀티캐스트 전달 개요를 참조하십시오.
멀티캐스트 트래픽의 복제 지원
보조 복제(AR) 기능은 수신 복제 작업에서 EVPN-VXLAN 패브릭 리프 디바이스를 오프로드합니다. 수신 리프는 멀티캐스트 트래픽을 복제하지 않습니다. 멀티캐스트 트래픽의 복사본 한 개를 AR 복제기 디바이스로 구성된 스파인으로 보냅니다. AR Replicator 장치는 멀티캐스트 트래픽을 배포하고 제어합니다. 이 방법은 수신 리프 디바이스의 복제 부하를 줄이는 것 외에도 리프와 스파인 사이의 패브릭에서 대역폭을 절약합니다.
그림 21 은 AR이 IGMP 스누핑 및 SMET와 함께 작동하는 방식을 보여줍니다.
AR 리프 디바이스로 설정된 리프 1은 멀티캐스트 트래픽을 수신하고 AR 복제기 디바이스로 설정된 스파인으로 사본 하나를 전송합니다.
스파인은 멀티캐스트 트래픽을 복제합니다. 멀티캐스트 트래픽이 리프 1에서 시작된 VLAN VNI로 프로비저닝된 리프 디바이스에 대한 트래픽을 복제합니다.
네트워크에 IGMP 스누핑 및 SMET가 구성되어 있기 때문에 스파인은 멀티캐스트 트래픽을 관심 있는 수신기가 있는 리프 디바이스로만 보냅니다.
를 사용한 멀티캐스트
이 문서에서는 작은 규모의 멀티캐스트 최적화를 보여 줍니다. 많은 스파인과 리프가 있는 본격적인 네트워크에서는 최적화의 이점이 훨씬 더 분명하게 나타납니다.
ERB 오버레이 네트워크에 최적화된 인터서브넷 멀티캐스트
ERB 오버레이 패브릭 내부 및 외부에 멀티캐스트 소스 및 수신기가 있는 경우, 최적화된 인터서브넷 멀티캐스트(OISM)를 구성하여 규모에 맞게 효율적인 멀티캐스트 트래픽 플로우를 활성화할 수 있습니다.
OISM은 멀티캐스트 트래픽에 로컬 라우팅 모델을 사용하므로 트래픽 헤어핀을 방지하고 EVPN 코어 내의 트래픽 부하를 최소화할 수 있습니다. OISM은 멀티캐스트 소스 VLAN에서만 멀티캐스트 트래픽을 전달합니다. 인터서브넷 수신기의 경우, 리프 디바이스는 IRB 인터페이스를 사용하여 소스 VLAN에서 수신된 트래픽을 동일한 디바이스의 다른 수신기 VLAN으로 로컬로 라우팅합니다. OISM은 EVPN-VXLAN 패브릭의 멀티캐스트 트래픽 플로우를 더욱 최적화하기 위해 IGMP 스누핑 및 SMET를 사용하여 패브릭의 트래픽을 관심 있는 수신기가 있는 리프 디바이스로만 전달합니다.
또한 OISM을 사용하면 패브릭이 외부 멀티캐스트 소스에서 내부 수신기로, 내부 멀티캐스트 소스에서 외부 수신기로 트래픽을 효과적으로 라우팅할 수 있습니다. OISM은 패브릭 내의 SBD(Supplemental Bridge Domain)를 사용하여 외부 소스의 경계 리프 디바이스에서 수신된 멀티캐스트 트래픽을 포워딩합니다. SBD 설계는 외부 소스 트래픽에 대한 로컬 라우팅 모델을 유지합니다.
OISM을 AR과 함께 사용하여 저용량 OISM 리프 디바이스의 복제 부하를 줄일 수 있습니다. ( 멀티캐스트 트래픽의 복제 지원을 참조하십시오.)
OISM 및 AR을 사용하는 간단한 패브릭은 그림 22 를 참조하십시오.
을 사용한 OISM
그림 22 는 OISM 서버 리프 및 경계 리프 디바이스, AR replicator 역할의 Spine 1 및 AR 리프 역할의 멀티캐스트 소스인 Server Leaf 1을 보여줍니다. 외부 소스 및 수신기도 외부 PIM 도메인에 존재할 수 있습니다. 이 시나리오에서 OISM과 AR은 다음과 같이 함께 작동합니다.
VLAN 1의 서버 리프 3 뒤에 있고 VLAN 2의 서버 리프 4 뒤에 있는 멀티캐스트 수신기는 멀티캐스트 그룹에 관심을 보이는 IGMP Join을 전송합니다. 외부 수신자도 멀티캐스트 그룹에 합류할 수 있습니다.
서버 리프 1 뒤에 있는 멀티캐스트 소스는 그룹에 대한 멀티캐스트 트래픽을 VLAN 1의 패브릭으로 보냅니다. 서버 리프 1은 트래픽의 복사본 하나를 스파인 1의 AR 복제기로 전송합니다.
또한 멀티캐스트 그룹에 대한 외부 소스 트래픽은 경계 리프 1에 도착합니다. 경계 리프 1은 SBD의 트래픽을 AR 리플리케이터인 스파인 1로 전달합니다.
AR replicator는 소스 VLAN의 내부 소스와 SBD의 외부 소스에서 관심 있는 수신기가 있는 OISM 리프 디바이스로 사본을 보냅니다.
서버 리프 디바이스는 트래픽을 소스 VLAN의 수신기로 전달하고 트래픽을 다른 VLAN의 수신기로 로컬로 라우팅합니다.
EVPN을 위한 수신 가상 머신 트래픽 최적화
가상 머신과 호스트가 데이터 센터 내에서 또는 한 데이터 센터에서 다른 데이터 센터로 이동될 때 트래픽이 최적의 게이트웨이로 라우팅되지 않으면 네트워크 트래픽이 비효율적이 될 수 있습니다. 이 문제는 호스트가 재배치될 때 발생할 수 있습니다. ARP 테이블이 항상 플러시되는 것은 아니며 더 최적의 게이트웨이가 있는 경우에도 호스트로의 데이터 플로우가 구성된 게이트웨이로 전송됩니다. 트래픽이 "트롬본(tromboned)"되고 구성된 게이트웨이로 불필요하게 라우팅됩니다.
수신 VMTO(Virtual Machine Traffic Optimization)는 네트워크 효율성을 높이고 수신 트래픽을 최적화하며 VLAN 간 트롬본 효과를 제거할 수 있습니다. 수신 VMTO를 사용하도록 설정하면 경로는 계층 3 VRF(가상 라우팅 및 전달) 테이블에 저장되고 디바이스는 인바운드 트래픽을 재배치된 호스트로 직접 다시 라우팅합니다.
그림 23 은 ingress VMTO가 없는 트롬본 트래픽과 ingress VMTO가 활성화된 최적화된 트래픽을 보여줍니다.
수신 VMTO가 없으면 DC1 및 DC2의 스파인 1과 2는 모두 원본 경로가 DC2에서 올 때 원격 IP 호스트 경로 10.0.0.1을 보급합니다. 수신 트래픽은 DC1의 스파인 1과 2로 전달될 수 있습니다. 그런 다음 경로 10.0.0.1이 이동된 DC2의 스파인 1 및 2로 라우팅됩니다. 이로 인해 트롬보닝 효과가 발생합니다.
수신 VMTO를 사용하면 IP 호스트 경로(10.0.01)가 DC2로 이동할 때 DC1이 아닌 DC2의 스파인 1 및 2에서만 보급되도록 정책을 구성하여 최적의 전달 경로를 달성할 수 있습니다.
가 있는 트래픽과 없는 트래픽
VMTO 구성에 대한 자세한 내용은 VMTO 구성을 참조하십시오.
DHCP 릴레이
의 DHCP 릴레이
DHCP(Dynamic Host Configuration Protocol) 릴레이 빌딩 블록을 사용하면 네트워크에서 DHCP 클라이언트와 DHCP 서버 간에 DHCP 메시지를 전달할 수 있습니다. 이 빌딩 블록의 DHCP 릴레이 구현은 게이트웨이가 스파인 레이어에 위치하는 CRB 오버레이를 통해 DHCP 패킷을 이동합니다.
DHCP 서버 및 DHCP 클라이언트는 리프 디바이스의 액세스 인터페이스를 사용하여 네트워크에 연결합니다. DHCP 클라이언트와 서버가 동일한 VLAN에 있을 때 DHCP 서버와 클라이언트는 추가 구성 없이 기존 네트워크를 통해 서로 통신할 수 있습니다. DHCP 클라이언트와 서버가 서로 다른 VLAN에 있는 경우 클라이언트와 서버 간의 DHCP 트래픽은 스파인 디바이스의 IRB 인터페이스를 통해 VLAN 간에 전달됩니다. VLAN 간의 DHCP 릴레이를 지원하려면 스파인 디바이스에서 IRB 인터페이스를 구성해야 합니다.
DHCP 릴레이 구현에 대한 자세한 내용은 DHCP 릴레이 설계 및 구현을 참조하십시오.
ARP 동기화 및 억제(프록시 ARP)로 ARP 트래픽 감소
ARP 동기화의 목표는 오버레이 서브넷을 제공하는 모든 VRF에서 ARP 테이블을 동기화하여 트래픽 양을 줄이고 네트워크 디바이스와 엔드 시스템 모두에 대한 처리를 최적화하는 것입니다. 서브넷의 IP 게이트웨이는 ARP 바인딩에 대해 학습할 때 다른 게이트웨이와 이를 공유하므로 동일한 ARP 바인딩을 독립적으로 검색할 필요가 없습니다.
ARP 억제를 사용하면 리프 디바이스가 ARP 요청을 수신하면 다른 VTEP 디바이스와 동기화된 자체 ARP 테이블을 확인하고 ARP 요청을 플러딩하지 않고 로컬에서 요청에 응답합니다.
프록시 ARP 및 ARP 억제는 ERB 오버레이에서 리프 디바이스 역할을 할 수 있는 모든 QFX 시리즈 스위치에서 기본적으로 활성화됩니다. 이러한 스위치 목록은 데이터센터 EVPN-VXLAN 패브릭 참조 설계—지원되는 하드웨어 요약을 참조하십시오.
리프 디바이스의 IRB 인터페이스는 로컬 및 원격 리프 디바이스 모두에서 ARP 요청 및 NDP 요청을 전달합니다. 리프 디바이스가 다른 리프 디바이스로부터 ARP 요청 또는 NDP 요청을 수신하면 수신 디바이스는 요청된 IP 주소에 대한 MAC+IP 주소 바인딩 데이터베이스를 검색합니다.
디바이스가 데이터베이스에서 MAC+IP 주소 바인딩을 찾으면 요청에 응답합니다.
디바이스가 MAC+IP 주소 바인딩을 찾지 못하면 VLAN 및 관련 VTEP의 모든 이더넷 링크에 ARP 요청을 플러딩합니다.
참여하는 모든 리프 디바이스가 ARP 항목을 추가하고 라우팅 및 브리징 테이블을 동기화하기 때문에 로컬 리프 디바이스는 로컬로 연결된 호스트의 요청에 직접 응답하고 원격 디바이스가 이러한 ARP 요청에 응답할 필요가 없습니다.
ARP 동기화, 프록시 ARP 및 ARP 억제 구현에 대한 자세한 내용은 Edge 라우팅 브리징 오버레이에 대해 프록시 ARP 및 ARP 억제 사용을 참조하십시오.
이더넷 연결 엔드 시스템의 레이어 2 포트 보안 기능
CRB 및 ERB 오버레이는 다음 섹션에서 설명할 레이어 2 이더넷 연결 엔드 시스템의 보안 기능을 지원합니다.
이러한 기능에 대한 자세한 내용은 EVPN-VXLAN 환경에서 MAC 필터링, 스톰 제어 및 포트 미러링 지원을 참조하십시오.
이러한 기능 구성에 대한 정보는 이더넷 연결 엔드 시스템에서 레이어 2 포트 보안 기능 구성을 참조하십시오.
스톰 컨트롤로 BUM 트래픽 스톰 방지
스톰 컨트롤은 과도한 트래픽으로 인해 네트워크 성능이 저하되는 것을 방지할 수 있습니다. EVPN-VXLAN 인터페이스의 트래픽 레벨을 모니터링하고 지정된 트래픽 레벨이 초과되면 BUM 트래픽을 드롭함으로써 BUM 트래픽 스톰의 영향을 줄입니다.
EVPN-VXLAN 환경에서 스톰 컨트롤은 다음을 모니터링합니다.
VXLAN에서 시작되어 동일한 VXLAN 내 인터페이스로 전달되는 레이어 2 BUM 트래픽입니다.
VXLAN의 IRB 인터페이스에서 수신되고 다른 VXLAN의 인터페이스로 전달되는 레이어 3 멀티캐스트 트래픽입니다.
MAC 필터링을 사용한 포트 보안 강화
MAC 필터링은 VLAN 내에서 학습할 수 있는 MAC 주소의 수를 제한하여 포트 보안을 강화하므로 VXLAN의 트래픽을 제한할 수 있습니다. MAC 주소 수를 제한하면 스위치가 이더넷 스위칭 테이블을 초과하는 것을 방지할 수 있습니다. 이더넷 스위칭 테이블의 플러딩은 학습된 새로운 MAC 주소의 수로 인해 테이블이 오버플로되고 이전에 학습한 MAC 주소가 테이블에서 플러시될 때 발생합니다. 스위치는 MAC 주소를 다시 학습하므로 성능에 영향을 미치고 보안 취약성이 발생할 수 있습니다.
이 블루프린트에서 MAC 필터링은 MAC 주소를 기반으로 수신 액세스 인터페이스로 전송되는 허용 패킷 수를 제한합니다. MAC 필터링의 작동 방식에 대한 자세한 내용은 MAC 제한 및 MAC 이동 제한 이해의 MAC 제한 정보를 참조하십시오.
포트 미러링을 사용한 트래픽 분석
분석기 기반 포트 미러링을 사용하면 EVPN-VXLAN 환경에서 패킷 수준까지 트래픽을 분석할 수 있습니다. 이 기능을 사용하면 네트워크 사용 및 파일 공유와 관련된 정책을 시행하고 특정 스테이션 또는 애플리케이션의 비정상적이거나 과도한 대역폭 사용을 찾아 문제의 원인을 식별할 수 있습니다.
포트 미러링은 포트를 출입하거나 VLAN에 들어오는 패킷을 복사하여 로컬 모니터링을 위해 로컬 인터페이스로 보내거나 원격 모니터링을 위해 VLAN으로 보냅니다. 포트 미러링을 사용해 트래픽을 애플리케이션으로 전송해 규정 준수 모니터링, 정책 시행, 침입 탐지, 트래픽 패턴 탐지 및 예측, 관련 이벤트 등을 목적으로 분석합니다.
