Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

데이터센터 패브릭 블루프린트 아키텍처 구성 요소

이 섹션에서는 이 블루프린트 아키텍처에 사용되는 빌딩 블록에 대한 개요를 제공합니다. 각 빌딩 블록 기술의 구현은 이후 섹션에서 자세히 살펴봅니다.

빌딩 블록의 토대가 되는 하드웨어 및 소프트웨어에 대한 정보는 데이터센터 EVPN-VXLAN 패브릭 참조 설계 - 지원되는 하드웨어 요약을 참조하십시오.

빌딩 블록은 다음과 같습니다.

IP 패브릭 언더레이 네트워크

최신 IP 패브릭 언더레이 네트워크 빌딩 블록은 Clos 기반 토폴로지에서 IP 연결을 제공합니다. 주니퍼 네트웍스는 다음과 같은 IP 패브릭 언더레이 모델을 지원합니다.

  • 스파인 디바이스 티어와 리프 디바이스 티어로 구성된 3단계 IP 패브릭. 그림 1을 참조하십시오.

  • 5단계 IP 패브릭은 일반적으로 단일 3단계 IP 패브릭으로 시작하여 두 개의 3단계 IP 패브릭으로 성장합니다. 이러한 패브릭은 데이터센터 내에서 별도의 POD(Points of Delivery)로 분할됩니다. 이 사용 사례에서는 두 POD의 스파인과 리프 디바이스 간의 통신을 가능하게 하는 슈퍼 스파인 디바이스 계층의 추가를 지원합니다. 그림 2를 참조하십시오.

  • 리프 레이어 기능이 스파인 디바이스로 축소되는 축소된 스파인 IP 패브릭 모델. 이러한 유형의 패브릭은 별도의 리프 디바이스 계층이 없다는 점을 제외하고 3단계 또는 5단계 IP 패브릭과 유사하게 설정 및 작동할 수 있습니다. EVPN 스파인 및 리프 모델로 점진적으로 이동하거나 EVPN-VXLAN을 지원하지 않아 리프 레이어에서 사용할 수 없는 액세스 디바이스 또는 TOR(Top-of-Rack) 디바이스가 있는 경우 축소된 스파인 패브릭을 사용할 수 있습니다.

그림 1: 3단계 IP 패브릭 언더레이 Three-Stage IP Fabric Underlay
그림 2: 5단계 IP 패브릭 언더레이 Five-Stage IP Fabric Underlay

이 그림에서 디바이스는 단일 링크 또는 통합 이더넷 인터페이스인 고속 인터페이스를 사용하여 상호 연결됩니다. 어그리게이션 이더넷 인터페이스는 선택 사항(일반적으로 디바이스 간 단일 링크가 사용됨)이지만 대역폭을 늘리고 링크 수준 중복을 제공하기 위해 구축할 수 있습니다. 우리는 두 가지 옵션을 모두 다룹니다.

당사는 EBGP의 신뢰성과 확장성을 고려하여 언더레이 네트워크의 라우팅 프로토콜로 EBGP를 선택했습니다. 각 디바이스에는 EBGP를 지원하기 위해 고유한 자율 시스템 번호와 함께 자체 자율 시스템이 할당됩니다. 언더레이 네트워크에서 다른 라우팅 프로토콜을 사용할 수 있습니다. 이러한 프로토콜의 사용은 이 문서의 범위를 벗어납니다.

이 가이드에서 설명하는 참조 아키텍처 설계는 언더레이 연결에 EBGP를 사용하고 오버레이 피어링에 IBGP를 사용하는 IP 패브릭을 기반으로 합니다(오버레이용 IBGP 참조). 또는 EBGP를 사용하여 오버레이 피어링을 구성할 수 있습니다.

Junos OS 릴리스 21.2R2 및 21.4R1부터는 IPv6 패브릭 구성도 지원합니다. 이 가이드의 IPv6 패브릭 설계는 언더레이 연결 및 오버레이 피어링 모두에 EBGP를 사용합니다(IPv6 언더레이가 있는 오버레이에 대한 EBGP 참조).

메모:

IP 패브릭은 다음과 같이 IPv4 또는 IPv6을 사용할 수 있습니다.

  • IPv4 패브릭은 IPv4 인터페이스 주소 지정과 IPv4 언더레이 및 오버레이 BGP 세션을 엔드 투 엔드 워크로드 통신을 사용합니다.

  • IPv6 패브릭은 엔드 투 엔드 워크로드 통신을 위해 IPv6 인터페이스 주소 지정과 IPv6 언더레이 및 오버레이 BGP 세션을 사용합니다.

  • IPv4와 IPv6을 혼합하는 IP 패브릭은 지원하지 않습니다.

    그러나 IPv4 패브릭과 IPv6 패브릭 모두 듀얼 스택 워크로드를 지원하므로 워크로드는 IPv4 또는 IPv6 또는 IPv4와 IPv6 둘 다일 수 있습니다.

통합 이더넷 인터페이스의 개별 링크에서 BFD를 실행하는 기능인 BFD(Micro Bidirectional Forwarding Detection)를 이 빌딩 블록에서 활성화하여 디바이스를 연결하는 통합 이더넷 번들의 모든 멤버 링크에서 링크 장애를 신속하게 감지할 수도 있습니다.

자세한 내용은 이 가이드의 다른 섹션을 참조하세요.

IPv4 및 IPv6 워크로드 지원

많은 네트워크가 IPv4 및 IPv6 프로토콜을 포함하는 워크로드에 대해 이중 스택 환경을 구현하기 때문에 이 청사진은 두 프로토콜을 모두 지원합니다. IPv4 및 IPv6 워크로드를 지원하도록 패브릭을 구성하는 단계는 이러한 프로토콜 중 하나 또는 둘 다를 선택할 수 있도록 이 가이드 전체에 걸쳐 짜여져 있습니다.

메모:

워크로드 트래픽에 사용하는 IP 프로토콜은 IP 패브릭 언더레이 및 오버레이에 대해 구성하는 IP 프로토콜 버전(IPv4 또는 IPv6)과 독립적입니다. ( IP 패브릭 언더레이 네트워크를 참조하십시오.) IPv4 패브릭 또는 IPv6 패브릭 인프라는 IPv4 및 IPv6 워크로드를 모두 지원할 수 있습니다.

네트워크 가상화 오버레이

네트워크 가상화 오버레이는 IP 언더레이 네트워크를 통해 전송되는 가상 네트워크입니다. 이 빌딩 블록은 네트워크에서 다중 테넌트를 사용하도록 설정하여 각 테넌트의 네트워크 트래픽을 다른 테넌트와 격리된 유지하면서 여러 테넌트 간에 단일 물리적 네트워크를 공유할 수 있도록 합니다.

테넌트는 끝점 그룹을 포함하는 사용자 커뮤니티(예: 사업부, 부서, 작업 그룹 또는 응용 프로그램)입니다. 그룹은 동일한 테넌시의 다른 그룹과 통신할 수 있으며, 테넌트는 네트워크 정책에서 허용하는 경우 다른 테넌트와 통신할 수 있습니다. 그룹은 일반적으로 동일한 서브넷의 다른 디바이스와 통신할 수 있고 가상 라우팅 및 포워딩(VRF) 인스턴스를 통해 외부 그룹 및 엔드포인트에 도달할 수 있는 서브넷(VLAN)으로 표현됩니다.

그림 3의 오버레이 예에서 볼 수 있듯이 이더넷 브리징 테이블(삼각형으로 표시)은 테넌트 브리지 프레임을 처리하고 IP 라우팅 테이블(사각형으로 표시)은 라우팅된 패킷을 처리합니다. VLAN 간 라우팅은 통합 라우팅 및 브리징(IRB) 인터페이스(원으로 표시)에서 발생합니다. 이더넷 및 IP 테이블은 가상 네트워크(컬러 선으로 표시)로 전달됩니다. 다른 VXLAN 터널 엔드포인트(VTEP) 디바이스에 연결된 최종 시스템에 도달하기 위해 테넌트 패킷은 캡슐화되어 EVPN 신호 VXLAN 터널(녹색 터널 아이콘으로 표시됨)을 통해 연결된 원격 VTEP 디바이스로 전송됩니다. 터널링된 패킷은 원격 VTEP 디바이스에서 캡슐화 해제되고 송신 VTEP 디바이스의 각 브리징 또는 라우팅 테이블을 통해 원격 엔드 시스템으로 전달됩니다.

그림 3: VXLAN 터널 - 이더넷 브리징, IP 라우팅 및 IRB VXLAN Tunnels—Ethernet Bridging, IP Routing, and IRB

다음 섹션에서는 오버레이 네트워크에 대해 자세히 설명합니다.

오버레이용 IBGP

내부 BGP(IBGP)는 IP 네트워크를 통해 연결성 정보를 교환하는 라우팅 프로토콜입니다. IBGP가 멀티프로토콜 BGP(MP-IBGP)와 결합되면 EVPN이 VTEP 디바이스 간에 도달 가능성 정보를 교환할 수 있는 기반을 제공합니다. 이 기능은 VTEP 간 VXLAN 터널을 설정하고 오버레이 연결 서비스에 사용하는 데 필요합니다.

그림 4 는 스파인 및 리프 디바이스가 단일 자치 시스템에서 피어링에 루프백 주소를 사용한다는 것을 보여줍니다. 이 설계에서 스파인 디바이스는 경로 리플렉터 클러스터 역할을 하고 리프 디바이스는 경로 리플렉터 클라이언트입니다. 경로 리플렉터는 모든 VTEP 디바이스를 서로 직접 피어링할 필요 없이 풀 메시에 대한 IBGP 요구 사항을 충족합니다. 그 결과, 리프 디바이스는 스파인 디바이스와만 피어링되고 스파인 디바이스는 스파인 디바이스 및 리프 디바이스 모두와 피어링됩니다. 스파인 디바이스가 모든 리프 디바이스에 연결되기 때문에 스파인 디바이스는 간접적으로 피어링된 리프 디바이스 이웃 간에 IBGP 정보를 전달할 수 있습니다.

그림 4: 오버레이 IBGP for Overlays 용 IBGP

네트워크의 거의 모든 곳에 경로 리플렉터를 배치할 수 있습니다. 그러나 다음 사항을 고려해야 합니다.

  • 선택한 디바이스에 경로 리플렉터에 필요한 추가 워크로드를 처리하기에 충분한 메모리와 처리 능력이 있습니까?

  • 선택한 디바이스가 모든 EVPN 스피커에서 등거리에 있고 연결할 수 있나요?

  • 선택한 장치에 적절한 소프트웨어 기능이 있습니까?

이 설계에서 경로 리플렉터 클러스터는 스파인 레이어에 배치됩니다. 이 레퍼런스 설계에서 스파인으로 사용할 수 있는 QFX 스위치는 네트워크 가상화 오버레이에서 경로 리플렉터 클라이언트 트래픽을 처리하기에 충분한 처리 속도를 제공합니다.

오버레이에서 IBGP를 구현하는 방법에 대한 자세한 내용은 오버레이에 대한 IBGP 구성을 참조하십시오.

IPv6 언더레이가 있는 오버레이에 대한 EBGP

이 가이드의 원래 참조 아키텍처 사용 사례는 IPv4 IBGP 오버레이 디바이스 연결을 사용하는 IPv4 EBGP 언더레이 설계를 보여줍니다. 오버레이에 대한 IP 패브릭 언더레이 네트워크IBGP를 참조하십시오. 그러나 NVE(Network Virtualization Edge) 디바이스가 IPv6의 확장된 주소 지정 범위와 기능을 활용하기 위해 IPv6 VTEP를 채택하기 시작함에 따라 주니퍼는 IPv6를 포함하도록 IP 패브릭 지원을 확장했습니다.

Junos OS 릴리스 21.2R2-S1부터 지원 플랫폼에서 일부 참조 아키텍처 오버레이 설계와 함께 IPv6 패브릭 인프라를 사용할 수도 있습니다. IPv6 패브릭 설계는 워크로드 연결을 위한 IPv6 인터페이스 주소 지정, IPv6 EBGP 언더레이 및 IPv6 EBGP 오버레이로 구성됩니다. IPv6 패브릭에서 NVE 디바이스는 VXLAN 헤더를 IPv6 외부 헤더로 캡슐화하고 IPv6 다음 홉을 사용하여 패브릭 전체에서 패킷을 엔드 투 엔드로 터널링합니다. 워크로드는 IPv4 또는 IPv6일 수 있습니다.

지원되는 참조 아키텍처 오버레이 설계에서 구성하는 대부분의 요소는 언더레이 및 오버레이 인프라가 IPv4 또는 IPv6을 사용하는지 여부와 무관합니다. 지원되는 각 오버레이 설계에 대한 해당 구성 절차는 언더레이 및 오버레이가 IPv6 패브릭 설계를 사용하는 경우 구성 차이를 나타냅니다.

자세한 내용은 이 가이드 및 기타 리소스에서 다음 참조를 참조하세요.

브리지 오버레이

이 가이드에서 설명하는 첫 번째 오버레이 서비스 유형은 그림 5와 같이 브리지된 오버레이입니다.

그림 5: 브리지 오버레이 Bridged Overlay

이 오버레이 모델에서 이더넷 VLAN은 VXLAN 터널을 통해 리프 디바이스 간에 확장됩니다. 이러한 리프 투 리프 VXLAN 터널은 리프 디바이스 간 이더넷 연결이 필요하지만 VLAN 간 라우팅은 필요하지 않은 데이터센터 네트워크를 지원합니다. 그 결과, 스파인 디바이스는 리프 디바이스에 기본 언더레이 및 오버레이 연결만 제공하며, 다른 오버레이 방법에서 볼 수 있는 라우팅 또는 게이트웨이 서비스는 수행하지 않습니다.

리프 디바이스는 VTEP를 생성하여 다른 리프 디바이스에 연결합니다. 터널을 통해 리프 디바이스는 VLAN 트래픽을 데이터센터의 다른 리프 디바이스 및 이더넷으로 연결된 엔드 시스템으로 보낼 수 있습니다. 이 오버레이 서비스의 단순성은 기존 이더넷 기반 데이터센터에 EVPN/VXLAN을 쉽게 도입할 수 있는 방법을 필요로 하는 운영자에게 매력적입니다.

메모:

EVPN/VXLAN 패브릭 외부에 MX 시리즈 라우터 또는 SRX 시리즈 보안 디바이스를 구현하여 브리지 오버레이에 라우팅을 추가할 수 있습니다. 그렇지 않으면 라우팅을 통합하는 다른 오버레이 유형(예: 에지 라우팅 브리징 오버레이, 중앙 라우팅 브리징 오버레이 또는 라우팅된 오버레이) 중 하나를 선택할 수 있습니다.

브리지된 오버레이 구현에 대한 자세한 내용은 브리지된 오버레이 디자인 및 구현을 참조하십시오.

중앙에서 라우팅되는 브리징 오버레이

두 번째 오버레이 서비스 유형은 그림 6과 같이 CRB(Centrally Routed Bridging) 오버레이입니다.

그림 6: 중앙 라우팅 브리징 오버레이 Centrally Routed Bridging Overlay

CRB 오버레이에서 라우팅은 최종 시스템이 연결된 VTEP 디바이스(이 예에서는 리프 레이어)가 아닌 데이터센터 네트워크의 중앙 게이트웨이(이 예에서는 스파인 레이어)에서 발생합니다.

중앙 게이트웨이를 통과하기 위해 라우팅된 트래픽이 필요하거나 에지 VTEP 디바이스에 필요한 라우팅 기능이 부족한 경우 이 오버레이 모델을 사용할 수 있습니다.

위에서 살펴본 것처럼 이더넷 연결 엔드 시스템에서 시작되는 트래픽은 트렁크(여러 VLAN) 또는 액세스 포트(단일 VLAN)를 통해 리프 VTEP 디바이스로 전달됩니다. VTEP 디바이스는 트래픽을 로컬 엔드 시스템 또는 원격 VTEP 디바이스의 엔드 시스템으로 전달합니다. 각 스파인 디바이스의 통합 라우팅 및 브리징(IRB) 인터페이스는 이더넷 가상 네트워크 간의 트래픽을 라우팅하는 데 도움이 됩니다.

VLAN 인식 브리징 오버레이 서비스 모델을 사용하면 VLAN 컬렉션을 동일한 오버레이 가상 네트워크로 쉽게 집계할 수 있습니다. 주니퍼 네트웍스 EVPN 설계는 다음과 같이 데이터센터에서 세 가지 VLAN 인식 이더넷 서비스 모델 구성을 지원합니다.

에지 라우팅 브리징 오버레이

세 번째 오버레이 서비스 옵션은 그림 7과 같이 ERB(에지 라우팅 브리징) 오버레이입니다.

그림 7: 에지 라우팅 브리징 오버레이 Edge-Routed Bridging Overlay

이 이더넷 서비스 모델에서 IRB 인터페이스는 오버레이 네트워크 에지에 있는 리프 디바이스 VTEP로 이동되어 IP 라우팅을 최종 시스템에 더 가깝게 만듭니다. 하나의 디바이스에서 브리징, 라우팅 및 EVPN/VXLAN을 지원하는 데 필요한 특수 ASIC 기능으로 인해 ERB 오버레이는 특정 스위치에서만 가능합니다. ERB 오버레이에서 리프 디바이스로 지원하는 스위치 목록은 데이터센터 EVPN-VXLAN 패브릭 참조 설계 - 지원되는 하드웨어 요약을 참조하십시오.

이 모델을 사용하면 전체 네트워크를 단순화할 수 있습니다. 스파인 디바이스는 IP 트래픽만 처리하도록 구성되므로 브리징 오버레이를 스파인 디바이스로 확장할 필요가 없습니다.

또한 이 옵션은 종단 시스템이 동일한 리프 디바이스 VTEP에 연결되는 더 빠른 서버 간 데이터센터 내 트래픽(동서 트래픽이라고도 함)을 가능하게 합니다. 결과적으로 라우팅은 CRB 오버레이보다 최종 시스템에 훨씬 더 가깝게 발생합니다.

메모:

리프 디바이스 역할을 하는 QFX5110 스위치나 QFX5120 스위치의 EVPN Type-5 라우팅 인스턴스에 포함된 IRB 인터페이스를 구성하면 디바이스는 EVPN Type 5 경로에 대해 대칭적인 IRB 간 유니캐스트 라우팅을 자동으로 활성화합니다.

ERB 오버레이 구현에 대한 자세한 내용은 에지 라우팅 브리징 오버레이 설계 및 구현을 참조하십시오.

축소된 스파인 오버레이

축소된 스파인 아키텍처의 오버레이 네트워크는 ERB 오버레이와 유사합니다. 축소된 스파인 아키텍처에서는 리프 디바이스 기능이 스파인 디바이스로 축소됩니다. 리프 레이어가 없기 때문에 ERB 모델의 리프 디바이스와 같은 오버레이 네트워크의 에지에 있는 스파인 디바이스에서 VTEPS 및 IRB 인터페이스를 구성합니다. 스파인 디바이스는 또한 경계 게이트웨이 기능을 수행하여 남북 트래픽을 라우팅하거나 데이터센터 위치 전반에 걸쳐 레이어 2 트래픽을 확장할 수 있습니다.

축소된 스파인 아키텍처에서 지원하는 스위치 목록은 데이터센터 EVPN-VXLAN 패브릭 참조 설계 - 지원되는 하드웨어 요약을 참조하십시오.

브리지, CRB 및 ERB 오버레이 비교

EVPN 환경에 가장 적합한 오버레이 유형을 결정하는 데 도움이 되도록 표 1을 참조하세요.

메모:

이러한 오버레이 유형을 지원하는 디바이스에서 동일한 디바이스에서 브리지 오버레이, CRB 오버레이 및 ERB 오버레이 구성을 동시에 혼합할 수 있습니다. 디바이스가 서로 다른 유형의 오버레이에서 병렬로 작동하기 위해 별도의 논리적 시스템으로 디바이스를 구성할 필요가 없습니다.

표 1: 브리지, CRB 및 ERB 오버레이 비교

비교 포인트

ERB 오버레이

CRB 오버레이

브리지 오버레이

완전히 분산된 테넌트 서브넷 간 라우팅

IP 게이트웨이 장애의 영향 최소화

리프 수준에서 타사 노드에 대한 동적 라우팅

대량의 East-West 트래픽에 최적화

원시 IP 패브릭과의 더 나은 통합

서버에 더 가까운 IP VRF 가상화

Contrail vRouter 멀티호밍 필요

다양한 공급업체와의 손쉬운 EVPN 상호 운용성

대칭 서브넷 간 라우팅

랙당 VLAN ID 오버래핑

보다 간단한 수동 구성 및 문제 해결

서비스 프로바이더 및 엔터프라이즈 스타일 인터페이스

레거시 리프 스위치 지원(QFX5100)

중앙 집중식 가상 머신 트래픽 최적화(VMTO) 제어

방화벽 클러스터의 IP 테넌트 서브넷 게이트웨이IP tenant subnet gateway on the firewall cluster

브리징 오버레이의 IRB 주소 지정 모델

CRB 및 ERB 오버레이에서 IRB 인터페이스를 구성하려면 다음과 같이 IRB 인터페이스의 기본 게이트웨이 IP 및 MAC 주소 구성 모델을 이해해야 합니다.

  • Unique IRB IP Address- 이 모델에서는 오버레이 서브넷의 각 IRB 인터페이스에 고유한 IP 주소가 구성됩니다.

    각 IRB 인터페이스에 고유한 IP 주소 및 MAC 주소를 갖는 이점은 고유한 IP 주소를 사용하여 오버레이 내에서 각 IRB 인터페이스를 모니터링하고 연결할 수 있다는 것입니다. 또한 이 모델을 사용하면 IRB 인터페이스에서 라우팅 프로토콜을 구성할 수 있습니다.

    이 모델의 단점은 각 IRB 인터페이스에 고유한 IP 주소를 할당하면 서브넷의 많은 IP 주소를 사용할 수 있다는 것입니다.

  • Unique IRB IP Address with Virtual Gateway IP Address- 이 모델은 이전 모델에 가상 게이트웨이 IP 주소를 추가하며, 중앙에서 라우팅되는 브리지 오버레이에 권장합니다. VRRP와 유사하지만 게이트웨이 IRB 인터페이스 간에 대역 내 데이터 플레인 시그널링이 없습니다. 가상 게이트웨이는 오버레이 서브넷의 모든 기본 게이트웨이 IRB 인터페이스에 대해 동일해야 하며 가상 게이트웨이가 구성된 모든 게이트웨이 IRB 인터페이스에서 활성화됩니다. 또한 IRB 인터페이스를 통해 전달되는 데이터 패킷의 소스 MAC 주소가 되는 가상 게이트웨이에 대한 공통 IPv4 MAC 주소를 구성해야 합니다.

    이전 모델의 이점 외에도, 가상 게이트웨이는 최종 시스템의 기본 게이트웨이 구성을 단순화합니다. 이 모델의 단점은 이전 모델과 동일합니다.

  • IRB with Anycast IP Address and MAC Address- 이 모델에서는 오버레이 서브넷의 모든 기본 게이트웨이 IRB 인터페이스가 동일한 IP 및 MAC 주소로 구성됩니다. ERB 오버레이에 이 모델을 사용하는 것이 좋습니다.

    이 모델의 장점은 기본 게이트웨이 IRB 인터페이스 주소 지정을 위해 서브넷당 단일 IP 주소만 필요하므로 최종 시스템의 기본 게이트웨이 구성이 간단하다는 것입니다.

EVPN 유형 5 경로를 사용하는 라우팅된 오버레이

마지막 오버레이 옵션은 그림 8과 같이 라우팅된 오버레이입니다.

그림 8: 라우팅된 오버레이 Routed Overlay

이 옵션은 IP 라우팅 가상 네트워크 서비스입니다. MPLS 기반 IP VPN과 달리 이 모델의 가상 네트워크는 EVPN/VXLAN을 기반으로 합니다.

클라우드 제공업체는 대부분의 최신 애플리케이션이 IP에 최적화되어 있기 때문에 이 가상 네트워크 옵션을 선호합니다. 디바이스 간의 모든 통신이 IP 레이어에서 이루어지기 때문에 이 라우팅된 오버레이 모델에서는 VLAN 및 ESI와 같은 이더넷 브리징 구성 요소를 사용할 필요가 없습니다.

라우팅된 오버레이 구현에 대한 자세한 내용은 라우팅된 오버레이 설계 및 구현을 참조하십시오.

네트워크 가상화 오버레이의 멀티테넌시를 위한 MAC-VRF 인스턴스

MAC-VRF 라우팅 인스턴스를 사용하면 EVPN-VXLAN 패브릭에서 VTEP 역할을 하는 디바이스에서 서로 다른 이더넷 서비스 유형을 가진 여러 EVPN 인스턴스를 구성할 수 있습니다. MAC-VRF 인스턴스를 사용하면 고객별 VRF 테이블로 데이터센터의 여러 테넌트를 관리하여 테넌트 워크로드를 격리하거나 그룹화할 수 있습니다.

MAC-VRF 인스턴스는 VLAN 인식 서비스 유형에 대한 이전 지원 외에도 VLAN 기반 서비스 유형에 대한 지원도 도입합니다. 그림 9를 참조하십시오.

그림 9: MAC-VRF 서비스 유형 MAC-VRF Service Types

  • VLAN 기반 서비스—MAC-VRF 인스턴스에서 하나의 VLAN과 해당 VXLAN 네트워크 식별자(VNI)를 구성할 수 있습니다. 새 VLAN 및 VNI를 프로비저닝하려면 새 VLAN 및 VNI를 사용하여 새 MAC VRF 인스턴스를 구성해야 합니다.

  • VLAN 인식 서비스 - 동일한 MAC-VRF 인스턴스에서 하나 이상의 VLAN과 해당 VNI를 구성할 수 있습니다. 새 VLAN 및 VNI를 프로비저닝하기 위해 기존 MAC-VRF 인스턴스에 새 VLAN 및 VNI 구성을 추가하여 VLAN 기반 서비스를 사용하는 것에 비해 일부 구성 단계를 절약할 수 있습니다.

MAC-VRF 인스턴스는 레이어 2와 레이어 3 모두에서 보다 유연한 구성 옵션을 지원합니다. 예를 들어:

그림 10: MAC-VRF 인스턴스를 사용하는 레이어 2 및 레이어 3의 유연한 구성 옵션 Flexible Configuration Options at both Layer 2 and Layer 3 with MAC-VRF Instances

그림 10 은 MAC-VRF 인스턴스를 통해 다음을 보여줍니다.

  • 동일한 디바이스의 서로 다른 MAC-VRF 인스턴스에서 서로 다른 서비스 유형을 구성할 수 있습니다.

  • 레이어 2(MAC-VRF 인스턴스)와 레이어 3(VRF 인스턴스)에서 유연한 테넌트 격리 옵션을 사용할 수 있습니다. 단일 MAC-VRF 인스턴스에서 VLAN에 해당하는 VRF 인스턴스를 구성할 수 있습니다. 또는 여러 MAC-VRF 인스턴스의 VLAN에 걸쳐 있는 VRF 인스턴스를 구성할 수 있습니다.

그림 11 은 테넌트 분리를 위한 샘플 MAC-VRF 구성이 있는 ERB 오버레이 패브릭을 보여줍니다.

그림 11: 테넌트 분리를 위한 MAC-VRF 인스턴스가 있는 ERB 오버레이 패브릭 ERB Overlay Fabric with MAC-VRF Instances for Tenant Separation

그림 11에서 리프 디바이스는 MAC-VRF 인스턴스 MAC-VRF 12 및 MAC-VRF 3을 사용하여 테넌트 12(VLAN 1 및 VLAN 2)와 테넌트 3(VLAN 3) 사이의 레이어 2에서 격리를 유지하는 VXLAN 터널을 설정합니다. 또한 리프 디바이스는 VRF 인스턴스, VRF 12 및 VRF 3을 사용하여 레이어 3에서 테넌트를 격리합니다.

MAC-VRF 및 VRF 구성에 의해 레이어 2와 레이어 3에서 격리된 테넌트 간에 VLAN 트래픽을 공유하기 위해 다음과 같은 다른 옵션을 사용할 수 있습니다.

  • 방화벽을 통해 테넌트 VRF 간에 안전한 외부 상호 연결을 설정합니다.

  • 레이어 3 VRF 간에 로컬 경로 누출을 구성합니다.

MAC-VRF 인스턴스 및 고객 사용 사례에서의 사용에 대한 자세한 내용은 EVPN-VXLAN DC IP 패브릭 MAC-VRF L2 서비스를 참조하십시오.

MAC-VRF 인스턴스는 다음과 같이 포워딩 인스턴스에 해당합니다.

  • QFX5000 라인의 스위치에 있는 MAC-VRF 인스턴스(Junos OS 또는 Junos OS Evolved를 실행하는 인스턴스 포함)는 모두 기본 포워딩 인스턴스의 일부입니다. 이러한 디바이스에서는 MAC-VRF 인스턴스 또는 여러 MAC-VRF 인스턴스에서 중복 VLAN을 구성할 수 없습니다.

  • QFX10000 스위치 라인에서 여러 포워딩 인스턴스를 구성하고 MAC-VRF 인스턴스를 특정 포워딩 인스턴스에 매핑할 수 있습니다. 또한 여러 MAC-VRF 인스턴스를 동일한 포워딩 인스턴스에 매핑할 수도 있습니다. 각 MAC-VRF 인스턴스를 구성하여 서로 다른 포워딩 인스턴스를 사용하는 경우 여러 MAC-VRF 인스턴스에 걸쳐 중복 VLAN을 구성할 수 있습니다. 단일 MAC-VRF 인스턴스 또는 동일한 포워딩 인스턴스에 매핑되는 MAC-VRF 인스턴스 간에는 중복 VLAN을 구성할 수 없습니다.

  • 기본 구성에서 스위치에는 기본 포워딩 인스턴스와 연결된 VLAN ID=1의 기본 VLAN이 포함됩니다. VLAN ID는 포워딩 인스턴스에서 고유해야 하므로 기본 포워딩 인스턴스를 사용하는 MAC-VRF 인스턴스에서 VLAN ID=1로 VLAN을 구성하려면 기본 VLAN의 VLAN ID를 1 이외의 값으로 재할당해야 합니다. 예를 들어:

이 가이드의 참조 네트워크 가상화 오버레이 구성 예에는 MAC-VRF 인스턴스를 사용하여 오버레이를 구성하는 단계가 포함되어 있습니다. 유형의 mac-vrfEVPN 라우팅 인스턴스를 구성하고, 인스턴스에서 경로 구분자 및 경로 대상을 설정합니다. 또한 원하는 인터페이스(VTEP 소스 인터페이스 포함), VLAN 및 VLAN-VNI 매핑을 인스턴스에 포함합니다. 다음 주제에서 참조 구성을 참조하십시오.

메모:

구성에서 여러 MAC-VRF 인스턴스를 사용하는 경우 디바이스에서 VTEP 확장에 문제가 발생할 수 있습니다. 따라서 이 문제를 방지하려면 MAC-VRF 인스턴스 구성으로 Junos OS를 실행하는 QFX5000 스위치 라인에서 공유 터널 기능을 활성화해야 합니다. 공유 터널을 구성할 때 디바이스는 원격 VTEP에 도달하기 위한 다음 홉 항목의 수를 최소화합니다. 계층 수준에서 문을 사용하여 shared-tunnels 디바이스에서 공유 VXLAN 터널을 전역적으로 활성화할 수 [edit forwarding-options evpn-vxlan] 있습니다. 이 설정을 사용하려면 디바이스를 다시 부팅해야 합니다.

이 명령문은 Junos OS를 실행하는 QFX10000 스위치 라인에서 선택 사항으로, QFX5000 스위치보다 더 높은 VTEP 확장을 처리할 수 있습니다.

EVPN-VXLAN 패브릭에서 진화한 Junos OS를 실행하는 디바이스에서는 공유 터널이 기본적으로 활성화됩니다. Junos OS Evolved는 MAC-VRF 구성으로만 EVPN-VXLAN을 지원합니다.

이더넷 연결 최종 시스템을 위한 멀티호밍 지원

그림 12: 이더넷 연결 엔드 시스템 멀티호밍 Ethernet-Connected End System Multihoming

이더넷 연결 멀티호밍 을 사용하면 이더넷 연결 엔드 시스템이 하나의 VTEP 디바이스에 대한 단일 홈 링크 또는 다른 VTEP 디바이스에 대한 멀티호밍된 다중 링크를 통해 이더넷 오버레이 네트워크에 연결할 수 있습니다. 이더넷 트래픽은 동일한 종단 시스템에 연결되는 리프 디바이스의 VTEP 간에 패브릭 전반에서 로드 밸런싱됩니다.

주니퍼는 이더넷 연결 엔드 시스템이 단일 리프 디바이스에 연결되거나 2개 또는 3개의 리프 디바이스에 멀티호밍된 설정을 테스트하여 두 개 이상의 리프 VTEP 디바이스가 있는 멀티호밍 설정에서 트래픽이 적절하게 처리된다는 것을 증명했습니다. 실제로 이더넷 연결 엔드 시스템은 다수의 리프 VTEP 디바이스에 멀티호밍될 수 있습니다. 모든 링크가 활성 상태이며 모든 멀티홈 링크에서 네트워크 트래픽의 부하를 분산할 수 있습니다.

이 아키텍처에서 EVPN은 이더넷 연결 멀티호밍에 사용됩니다. EVPN 멀티홈 LAG는 EVPN 브리징 오버레이에서 ESI(Ethernet Segment Identifier)로 식별되며, LACP는 LAG 가용성을 개선하는 데 사용됩니다.

VLAN 트렁킹을 사용하면 하나의 인터페이스로 여러 VLAN을 지원할 수 있습니다. VLAN 트렁킹은 오버레이가 아닌 하이퍼바이저의 가상 머신(VM)이 모든 오버레이 네트워킹 컨텍스트에서 작동할 수 있도록 합니다.

이더넷 연결 멀티호밍 지원에 대한 자세한 내용은 이더넷 연결 엔드 시스템 설계 및 구현에 대한 멀티호밍을 참조하십시오.

IP 연결 최종 시스템을 위한 멀티호밍 지원

그림 13: IP 연결 엔드 시스템 멀티호밍 IP-Connected End System Multihoming

서로 다른 리프 디바이스의 여러 IP 기반 액세스 인터페이스를 통해 IP 네트워크에 연결하기 위한 IP 연결 멀티호밍 엔드포인트 시스템.

IP 연결 엔드 시스템이 단일 리프에 연결되거나 2개 또는 3개의 리프 디바이스에 멀티호밍된 설정을 테스트했습니다. 이 설정은 여러 리프 디바이스로 멀티호밍될 때 트래픽이 제대로 처리되는지 검증했습니다. 실제로 IP 연결 엔드 시스템은 많은 수의 리프 디바이스에 멀티호밍될 수 있습니다.

멀티홈 설정에서는 모든 링크가 활성화되고 네트워크 트래픽이 모든 멀티홈 링크를 통해 전달 및 수신됩니다. IP 트래픽은 간단한 해싱 알고리즘을 사용하여 멀티홈 링크에서 로드 밸런싱됩니다.

EBGP는 IP 연결 엔드포인트 시스템과 연결된 리프 디바이스 간에 라우팅 정보를 교환하여 엔드포인트 시스템에 대한 경로가 모든 스파인 및 리프 디바이스와 공유되도록 하는 데 사용됩니다.

IP 연결 멀티호밍 빌딩 블록에 대한 자세한 내용은 IP 연결 엔드 시스템 설계 및 구현 멀티호밍을 참조하세요.

경계 장치

레퍼런스 설계 중 일부에는 로컬 IP 패브릭 외부에 있는 다음 디바이스에 대한 연결을 제공하는 경계 디바이스가 포함되어 있습니다.

  • 멀티캐스트 게이트웨이입니다.

  • DCI(Data Center Interconnect)를 위한 데이터센터 게이트웨이입니다.

  • 방화벽, NAT(Network Address Translation), 침입 탐지 및 방지(IDP), 멀티캐스트 등과 같은 여러 서비스가 통합된 SRX 라우터와 같은 디바이스입니다. 여러 서비스를 하나의 물리적 디바이스로 통합하는 것을 서비스 체이닝이라고 합니다.

  • 방화벽, DHCP 서버, sFlow 수집기 등의 역할을 하는 어플라이언스 또는 서버.

    메모:

    네트워크에 경계 장치에 대한 1Gbps 이더넷 연결이 필요한 레거시 어플라이언스 또는 서버가 포함된 경우 QFX10008 또는 QFX5120 스위치를 경계 장치로 사용하는 것이 좋습니다.

위에서 설명한 추가 기능을 제공하기 위해 주니퍼 네트웍스는 다음과 같은 방법으로 경계 디바이스 구축을 지원합니다.

  • 경계 장치 역할만 하는 장치입니다. 이 전용 역할에서는 위에서 설명한 하나 이상의 작업을 처리하도록 디바이스를 구성할 수 있습니다. 이 경우 디바이스는 일반적으로 스파인 디바이스에 연결된 경계 리프로 배포됩니다.

    예를 들어, 그림 14에 표시된 ERB 오버레이에서 보더 리프 L5 및 L6은 DCI, sFlow 컬렉터 및 DHCP 서버용 데이터센터 게이트웨이에 대한 연결을 제공합니다.

  • 네트워크 언더레이 장치와 위에서 설명한 작업 중 하나 이상을 처리할 수 있는 경계 장치의 두 가지 역할이 있는 장치입니다. 이 경우 스파인 디바이스는 일반적으로 두 가지 역할을 처리합니다. 따라서 경계 장치 기능을 경계 스파인이라고 합니다.

    예를 들어, 그림 15에 표시된 ERB 오버레이에서 보더 스파인 S1 및 S2는 린 스파인 디바이스로 작동합니다. 또한 DCI, sFlow 컬렉터 및 DHCP 서버용 데이터센터 게이트웨이에 대한 연결도 제공합니다.

그림 14: 경계 리프 Sample ERB Topology with Border Leafs 가 있는 ERB 토폴로지 샘플
그림 15: 경계 스파인이 Sample ERB Topology with Border Spines 있는 ERB 토폴로지 샘플

DCI(Data Center Interconnect)

DCI(Data Center Interconnect) 빌딩 블록은 데이터센터 간에 트래픽을 전송하는 데 필요한 기술을 제공합니다. 검증된 설계는 EVPN 유형 5 경로, IPVPN 경로 및 VXLAN 스티칭이 있는 레이어 2 DCI를 사용하는 DCI를 지원합니다.

EVPN 유형 5 또는 IPVPN 경로는 서로 다른 IP 주소 서브넷 체계를 사용하는 데이터센터 간의 데이터센터 간 트래픽을 교환할 수 있도록 DCI 컨텍스트에서 사용됩니다. 데이터센터 간에 트래픽을 전달할 수 있도록 서로 다른 데이터센터의 스파인 디바이스 간에 경로가 교환됩니다.

그림 16: EVPN 유형 5 경로를 사용하는 DCI 토폴로지 개요 DCI Using EVPN Type 5 Routes Topology Overview

DCI를 구성하기 전에 데이터센터 간의 물리적 연결이 필요합니다. 물리적 연결은 WAN 클라우드의 백본 디바이스에 의해 제공됩니다. 백본 디바이스는 단일 데이터센터(POD)의 모든 스파인 디바이스뿐만 아니라 다른 데이터센터에 연결된 다른 백본 디바이스에도 연결됩니다.

DCI 구성에 대한 자세한 내용은 다음을 참조하십시오.

서비스 체이닝

많은 네트워크에서 트래픽은 방화벽, 네트워크 주소 변환(NAT), 침입 탐지 및 방지(IDP), 멀티캐스트 등과 같이 각각 서비스를 제공하는 별도의 하드웨어 디바이스를 통해 흐르는 것이 일반적입니다. 각 장치에는 별도의 작동 및 관리가 필요합니다. 여러 네트워크 기능을 연결하는 이 방법은 물리적 서비스 체이닝으로 생각할 수 있습니다.

서비스 체이닝을 위한 보다 효율적인 모델은 네트워크 기능을 가상화하고 단일 디바이스로 통합하는 것입니다. 주니퍼의 청사진 아키텍처에서는 네트워크 기능을 통합하고 서비스를 처리하고 적용하는 디바이스로 SRX 시리즈 라우터를 사용합니다. 이 디바이스를 PNF(Physical Network Function)라고 합니다.

이 솔루션에서 서비스 체이닝은 CRB 오버레이와 ERB 오버레이 모두에서 지원됩니다. 테넌트 간 트래픽에 대해서만 작동합니다.

서비스 체이닝의 논리적 뷰

그림 17 은 서비스 체이닝의 논리적 보기를 보여줍니다. 오른쪽 구성과 왼쪽 구성의 스파인 하나가 표시됩니다. 각 측면에는 VRF 라우팅 인스턴스와 IRB 인터페이스가 있습니다. 중앙에 있는 SRX 시리즈 라우터는 PNF이며 서비스 체이닝을 수행합니다.

그림 17: 서비스 체이닝 논리 보기 Service Chaining Logical View

이 논리적 보기에서 트래픽 플로우는 다음과 같습니다.

  1. 스파인은 왼쪽 VRF에 있는 VTEP에서 패킷을 수신합니다.

  2. 패킷은 캡슐화 해제되어 왼쪽 IRB 인터페이스로 전송됩니다.

  3. IRB 인터페이스는 PNF 역할을 하는 SRX 시리즈 라우터로 패킷을 라우팅합니다.

  4. SRX 시리즈 라우터는 패킷에 대한 서비스 체이닝을 수행하고 패킷을 스파인으로 다시 전달하며, 스파인의 오른쪽에 표시된 IRB 인터페이스에서 수신됩니다.

  5. IRB 인터페이스는 패킷을 오른쪽 VRF의 VTEP로 라우팅합니다.

서비스 체이닝 구성에 대한 자세한 내용은 서비스 체이닝 디자인 및 구현을 참조하십시오.

멀티캐스트 최적화

멀티캐스트 최적화는 EVPN VXLAN 환경의 멀티캐스트 시나리오에서 대역폭을 보존하고 트래픽을 보다 효율적으로 라우팅하는 데 도움이 됩니다. 멀티캐스트 최적화를 구성하지 않으면 모든 멀티캐스트 복제는 그림 18과 같이 멀티캐스트 소스에 연결된 리프의 수신에서 수행됩니다. 멀티캐스트 트래픽은 스파인에 연결된 모든 리프 디바이스로 전송됩니다. 각 리프 디바이스는 연결된 호스트로 트래픽을 전송합니다.

그림 18: 최적화 Multicast without Optimizations 가 없는 멀티캐스트

함께 작동할 수 있는 EVPN VXLAN 환경에서 지원되는 멀티캐스트 최적화에는 몇 가지 유형이 있습니다.

멀티캐스트 기능 구성에 대한 자세한 내용은 다음을 참조하십시오.

IGMP 스누핑

EVPN-VXLAN 패브릭의 IGMP 스누핑은 멀티캐스트 트래픽 배포를 최적화하는 데 유용합니다. 멀티캐스트 트래픽은 IGMP 리스너가 있는 인터페이스에서만 전달되기 때문에 IGMP 스누핑은 대역폭을 보존합니다. 리프 디바이스의 모든 인터페이스가 멀티캐스트 트래픽을 수신할 필요는 없습니다.

IGMP 스누핑이 없으면 엔드 시스템은 관심 없는 IP 멀티캐스트 트래픽을 수신하며, 이로 인해 원치 않는 트래픽으로 링크가 불필요하게 플러딩됩니다. 경우에 따라 IP 멀티캐스트 플로우가 클 때 원치 않는 트래픽이 플러딩되면 서비스 거부 문제가 발생합니다.

그림 19 는 EVPN-VXLAN 패브릭에서 IGMP 스누핑이 어떻게 작동하는지 보여줍니다. 이 샘플 EVPN-VXLAN 패브릭에서는 IGMP 스누핑이 모든 리프 디바이스에 구성되며, 멀티캐스트 수신기 2는 이전에 IGMPv2 참가 요청을 전송한 적이 있습니다.

  1. 멀티캐스트 수신기 2가 IGMPv2 휴가 요청을 보냅니다.

  2. 멀티캐스트 수신기 3 및 4는 IGMPv2 참가 요청을 보냅니다.

  3. 리프 1이 수신 멀티캐스트 트래픽을 수신하면 모든 리프 디바이스에 대해 이를 복제하고 스파인으로 전달합니다.

  4. 스파인은 트래픽을 모든 리프 디바이스로 전달합니다.

  5. 리프 2는 멀티캐스트 트래픽을 수신하지만 수신자가 IGMP leave 메시지를 보냈기 때문에 수신자에게 전달하지 않습니다.

그림 19: IGMP 스누핑 Multicast with IGMP Snooping 을 사용하는 멀티캐스트

EVPN-VXLAN 네트워크에서는 IGMP 버전 2만 지원됩니다.

IGMP 스누핑에 대한 자세한 내용은 EVPN-VXLAN 환경에서 IGMP 스누핑 또는 MLD 스누핑을 사용한 멀티캐스트 포워딩 개요를 참조하십시오.

선택적 멀티캐스트 포워딩

선택적 멀티캐스트 이더넷(SMET) 포워딩은 더 큰 엔드투엔드 네트워크 효율성을 제공하고 EVPN 네트워크의 트래픽을 줄입니다. 패브릭 코어에서 대역폭 사용량을 절약하고 리스너가 없는 송신 디바이스의 부하를 줄입니다.

IGMP 스누핑이 활성화된 디바이스는 선택적 멀티캐스트 포워딩을 사용하여 멀티캐스트 트래픽을 효율적인 방식으로 전달합니다. IGMP 스누핑이 활성화되면 리프 디바이스는 관심 있는 수신자가 있는 액세스 인터페이스로만 멀티캐스트 트래픽을 전송합니다. SMET가 추가되면 리프 디바이스는 멀티캐스트 그룹에 관심을 표명한 코어의 리프 디바이스에만 멀티캐스트 트래픽을 선택적으로 전송합니다.

그림 20 은 IGMP 스누핑과 함께 SMET 트래픽 플로우를 보여줍니다.

  1. 멀티캐스트 수신기 2가 IGMPv2 휴가 요청을 보냅니다.

  2. 멀티캐스트 수신기 3 및 4는 IGMPv2 참가 요청을 보냅니다.

  3. 리프 1이 수신 멀티캐스트 트래픽을 수신하면 관심 있는 수신자가 있는 리프 디바이스(리프 디바이스 3 및 4)에만 트래픽을 복제하고 스파인으로 전달합니다.

  4. 스파인은 트래픽을 리프 디바이스 3과 4로 전달합니다.

그림 20: IGMP 스누핑을 통한 선택적 멀티캐스트 포워딩 Selective Multicast Forwarding with IGMP Snooping

SMET를 사용하도록 설정할 필요가 없습니다. 디바이스에서 IGMP 스누핑이 구성된 경우 기본적으로 활성화됩니다.

SMET에 대한 자세한 내용은 선택적 멀티캐스트 전달 개요를 참조하세요.

멀티캐스트 트래픽 복제 지원

AR(Assisted Replication) 기능은 수신 복제 작업에서 EVPN-VXLAN 패브릭 리프 디바이스를 오프로드합니다. 수신 리프는 멀티캐스트 트래픽을 복제하지 않습니다. 멀티캐스트 트래픽의 복사본 하나를 AR 복제 디바이스로 구성된 스파인으로 보냅니다. AR 복제기 디바이스는 멀티캐스트 트래픽을 분산하고 제어합니다. 이 방법은 수신 리프 디바이스의 복제 부하를 줄이는 것 외에도 리프와 스파인 사이의 패브릭에서 대역폭을 절약합니다.

그림 21 은 AR이 IGMP 스누핑 및 SMET와 함께 작동하는 방식을 보여줍니다.

  1. AR 리프 디바이스로 설정된 리프 1은 멀티캐스트 트래픽을 수신하고 AR 복제 디바이스로 설정된 스파인에 하나의 사본을 보냅니다.

  2. 스파인은 멀티캐스트 트래픽을 복제합니다. 멀티캐스트 트래픽이 리프 1에서 시작된 VLAN VNI로 프로비저닝된 리프 디바이스에 대한 트래픽을 복제합니다.

    네트워크에 IGMP 스누핑 및 SMET가 구성되어 있기 때문에 스파인은 관심 있는 수신자가 있는 리프 디바이스에만 멀티캐스트 트래픽을 보냅니다.

그림 21: AR, IGMP 스누핑 및 SMET Multicast with AR, IGMP Snooping, and SMET 를 사용한 멀티캐스트

이 문서에서는 작은 규모의 멀티캐스트 최적화를 보여줍니다. 스파인과 리프가 많은 풀 스케일 네트워크에서는 최적화의 이점이 훨씬 더 분명합니다.

ERB 오버레이 네트워크를 위한 최적화된 인터서브넷 멀티캐스트

ERB 오버레이 패브릭 내부와 외부에 멀티캐스트 소스와 수신기가 있는 경우 OISM(최적화된 인터서브넷 멀티캐스트)을 구성하여 효율적인 멀티캐스트 트래픽 플로우를 대규모로 지원할 수 있습니다.

OISM은 멀티캐스트 트래픽에 로컬 라우팅 모델을 사용하므로 트래픽 헤어핀을 방지하고 EVPN 코어 내의 트래픽 부하를 최소화할 수 있습니다. OISM은 멀티캐스트 소스 VLAN에서만 멀티캐스트 트래픽을 전달합니다. 인터서브넷 수신기의 경우, 리프 디바이스는 IRB 인터페이스를 사용하여 소스 VLAN에서 수신된 트래픽을 동일한 디바이스의 다른 수신기 VLAN으로 로컬로 라우팅합니다. OISM은 EVPN-VXLAN 패브릭에서 멀티캐스트 트래픽 플로우를 더욱 최적화하기 위해 IGMP 스누핑 및 SMET를 사용하여 패브릭의 트래픽을 관심 있는 수신자가 있는 리프 디바이스로만 전달합니다.

또한 OISM을 사용하면 패브릭이 외부 멀티캐스트 소스에서 내부 수신자로, 내부 멀티캐스트 소스에서 외부 수신기로 트래픽을 효과적으로 라우팅할 수 있습니다. OISM은 패브릭 내의 SBD(Supplemental Bridge Domain)를 사용하여 외부 소스의 경계 리프 디바이스에서 수신된 멀티캐스트 트래픽을 전달합니다. SBD 디자인은 외부 소스 트래픽에 대한 로컬 라우팅 모델을 유지합니다.

AR과 함께 OISM을 사용하여 저용량 OISM 리프 디바이스의 복제 부하를 줄일 수 있습니다. ( 멀티캐스트 트래픽 복제 지원을 참조하십시오.)

OISM 및 AR이 있는 간단한 패브릭은 그림 22 를 참조하십시오.

그림 22: AR OISM with AR 을 사용한 OISM

그림 22 는 OISM 서버 리프 및 보더 리프 디바이스, AR 복제자 역할의 스파인 1, AR 리프 역할의 멀티캐스트 소스인 서버 리프 1을 보여줍니다. 외부 소스 및 수신기는 외부 PIM 도메인에도 존재할 수 있습니다. OISM과 AR은 다음과 같이 이 시나리오에서 함께 작동합니다.

  1. VLAN 1의 서버 리프 3 뒤와 VLAN 2의 서버 리프 4 뒤에 있는 멀티캐스트 수신기는 멀티캐스트 그룹에 관심을 표시하는 IGMP 조인을 보냅니다. 외부 수신기도 멀티캐스트 그룹에 가입할 수 있습니다.

  2. 서버 리프 1 뒤에 있는 멀티캐스트 소스는 그룹에 대한 멀티캐스트 트래픽을 VLAN 1의 패브릭으로 보냅니다. 서버 리프 1은 트래픽 사본 하나만 스파인 1의 AR 복제기로 보냅니다.

  3. 또한 멀티캐스트 그룹에 대한 외부 소스 트래픽은 Border Leaf 1에 도착합니다. Border Leaf 1은 SBD의 트래픽을 AR 복제기인 Spine 1로 전달합니다.

  4. AR 복제기는 소스 VLAN의 내부 소스와 SBD의 외부 소스에서 관심 있는 수신기가 있는 OISM 리프 디바이스로 복사본을 보냅니다.

  5. 서버 리프 디바이스는 트래픽을 소스 VLAN의 수신자에게 전달하고, 트래픽을 다른 VLAN의 수신자에게 로컬로 라우팅합니다.

EVPN을 위한 수신 가상 머신 트래픽 최적화

가상 머신과 호스트가 데이터 센터 내에서 또는 한 데이터 센터에서 다른 데이터 센터로 이동할 때 트래픽이 최적의 게이트웨이로 라우팅되지 않으면 네트워크 트래픽이 비효율적이 될 수 있습니다. 이 문제는 호스트가 재배치될 때 발생할 수 있습니다. ARP 테이블이 항상 플러시되는 것은 아니며 최적의 게이트웨이가 있더라도 호스트로의 데이터 흐름이 구성된 게이트웨이로 전송됩니다. 트래픽이 "트롬본"되고 구성된 게이트웨이로 불필요하게 라우팅됩니다.

수신 가상 머신 트래픽 최적화(VMTO)는 네트워크 효율성을 높이고 수신 트래픽을 최적화하며 VLAN 간의 트롬본 효과를 제거할 수 있습니다. 수신 VMTO를 사용하도록 설정하면 경로가 계층 3 VRF(가상 라우팅 및 포워딩) 테이블에 저장되고 디바이스는 인바운드 트래픽을 재배치된 호스트로 직접 다시 라우팅합니다.

그림 23 은 수신 VMTO가 없는 트롬본 트래픽과 수신 VMTO가 사용하도록 설정된 최적화된 트래픽을 보여줍니다.

  • 수신 VMTO가 없으면 DC1 및 DC2의 스파인 1과 2는 원본 경로가 DC2에서 오는 경우 모두 원격 IP 호스트 경로 10.0.0.1을 보급합니다. 수신 트래픽은 DC1의 스파인 1과 2로 전달될 수 있습니다. 그런 다음 경로 10.0.0.1이 이동된 DC2의 스파인 1과 2로 라우팅됩니다. 이로 인해 트롬보닝 효과가 발생합니다.

  • 수신 VMTO를 사용하면 IP 호스트 경로(10.0.01)에 대한 정책을 DC2의 스파인 1과 2에서만 보급하고 IP 호스트가 DC2로 이동할 때 DC1에서 보급되지 않도록 구성하여 최적의 전달 경로를 달성할 수 있습니다.

그림 23: 수신 VMTO Traffic with and without Ingress VMTO 가 있거나 없는 트래픽

VMTO 구성에 대한 자세한 내용은 VMTO 구성을 참조하십시오.

DHCP 릴레이

그림 24: CRB 오버레이의 DHCP 릴레이 DHCP Relay in a CRB Overlay

DHCP(Dynamic Host Configuration Protocol) 릴레이 빌딩 블록을 사용하면 네트워크에서 DHCP 클라이언트와 DHCP 서버 간에 DHCP 메시지를 전달할 수 있습니다. 이 빌딩 블록의 DHCP 릴레이 구현은 게이트웨이가 스파인 레이어에 위치한 CRB 오버레이를 통해 DHCP 패킷을 이동합니다.

DHCP 서버 및 DHCP 클라이언트는 리프 디바이스의 액세스 인터페이스를 사용하여 네트워크에 연결됩니다. DHCP 클라이언트와 클라이언트가 동일한 VLAN에 있는 경우 DHCP 서버와 클라이언트는 추가 구성 없이 기존 네트워크를 통해 서로 통신할 수 있습니다. DHCP 클라이언트와 서버가 서로 다른 VLAN에 있는 경우, 클라이언트와 서버 간의 DHCP 트래픽은 스파인 디바이스의 IRB 인터페이스를 통해 VLAN 간에 전달됩니다. VLAN 간 DHCP 릴레이를 지원하려면 스파인 디바이스에서 IRB 인터페이스를 구성해야 합니다.

DHCP 릴레이 구현에 대한 자세한 내용은 DHCP 릴레이 설계 및 구현을 참조하십시오.

ARP 동기화 및 억제를 통한 ARP 트래픽 감소(프록시 ARP)

ARP 동기화의 목표는 오버레이 서브넷을 제공하는 모든 VRF에서 ARP 테이블을 동기화하여 트래픽 양을 줄이고 네트워크 디바이스와 최종 시스템 모두에 대한 처리를 최적화하는 것입니다. 서브넷의 IP 게이트웨이가 ARP 바인딩에 대해 학습하면 다른 게이트웨이와 공유하므로 동일한 ARP 바인딩을 독립적으로 검색할 필요가 없습니다.

ARP 억제 기능을 사용하면 리프 디바이스가 ARP 요청을 수신하면 다른 VTEP 디바이스와 동기화된 자체 ARP 테이블을 확인하고 ARP 요청을 플러딩하지 않고 로컬에서 요청에 응답합니다.

프록시 ARP 및 ARP 억제는 ERB 오버레이에서 리프 디바이스 역할을 할 수 있는 모든 QFX 시리즈 스위치에서 기본적으로 활성화됩니다. 이러한 스위치 목록은 데이터센터 EVPN-VXLAN 패브릭 참조 설계 - 지원되는 하드웨어 요약을 참조하십시오.

리프 디바이스의 IRB 인터페이스는 로컬 및 원격 리프 디바이스 모두에서 ARP 요청과 NDP 요청을 전달합니다. 리프 디바이스가 다른 리프 디바이스로부터 ARP 요청 또는 NDP 요청을 수신하면 수신 디바이스는 MAC+IP 주소 바인딩 데이터베이스에서 요청된 IP 주소를 검색합니다.

  • 디바이스가 데이터베이스에서 MAC+IP 주소 바인딩을 찾으면 요청에 응답합니다.

  • 디바이스가 MAC+IP 주소 바인딩을 찾지 못하면 ARP 요청을 VLAN 및 관련 VTEP의 모든 이더넷 링크로 플러딩합니다.

참여하는 모든 리프 디바이스가 ARP 항목을 추가하고 라우팅 및 브리징 테이블을 동기화하기 때문에 로컬 리프 디바이스는 로컬로 연결된 호스트의 요청에 직접 응답하고 원격 디바이스가 이러한 ARP 요청에 응답할 필요가 없습니다.

ARP 동기화, 프록시 ARP 및 ARP 억제 구현에 대한 자세한 내용은 에지 라우팅 브리징 오버레이에 대해 프록시 ARP 및 ARP 억제 사용을 참조하십시오.

이더넷 연결 엔드 시스템의 레이어 2 포트 보안 기능

CRB 및 ERB 오버레이는 다음 섹션에서 설명하는 레이어 2 이더넷 연결 엔드 시스템의 보안 기능을 지원합니다.

이러한 기능에 대한 자세한 내용은 EVPN-VXLAN 환경에서 MAC 필터링, 스톰 제어 및 포트 미러링 지원을 참조하십시오.

이러한 기능 구성에 대한 정보는 이더넷 연결 엔드 시스템에서 레이어 2 포트 보안 기능 구성을 참조하십시오.

스톰 컨트롤을 통한 BUM 트래픽 스톰 방지

스톰 컨트롤은 과도한 트래픽으로 인한 네트워크 성능 저하를 방지할 수 있습니다. EVPN-VXLAN 인터페이스에서 트래픽 레벨을 모니터링하고 지정된 트래픽 레벨을 초과할 때 BUM 트래픽을 삭제하여 BUM 트래픽 스톰의 영향을 줄입니다.

EVPN-VXLAN 환경에서 스톰 컨트롤은 다음을 모니터링합니다.

  • VXLAN에서 시작되어 동일한 VXLAN 내의 인터페이스로 전달되는 레이어 2 BUM 트래픽.

  • VXLAN의 IRB 인터페이스에 의해 수신되고 다른 VXLAN의 인터페이스로 전달되는 레이어 3 멀티캐스트 트래픽.

MAC 필터링을 사용하여 포트 보안 강화

MAC 필터링은 VLAN 내에서 학습할 수 있는 MAC 주소의 수를 제한하여 포트 보안을 강화하므로 VXLAN의 트래픽이 제한됩니다. MAC 주소 수를 제한하면 스위치가 이더넷 스위칭 테이블을 플러딩하지 않도록 보호할 수 있습니다. 이더넷 스위칭 테이블의 플러딩은 학습된 새 MAC 주소의 수로 인해 테이블이 오버플로우되고 이전에 학습한 MAC 주소가 테이블에서 플러시될 때 발생합니다. 스위치는 MAC 주소를 다시 학습하므로 성능에 영향을 미치고 보안 취약성이 발생할 수 있습니다.

이 청사진에서 MAC 필터링은 MAC 주소를 기반으로 수신 대면 액세스 인터페이스로 전송되는 허용 패킷 수를 제한합니다. MAC 필터링 작동 방식에 대한 자세한 내용은 MAC 제한 및 MAC 이동 제한 이해의 MAC 제한 정보를 참조하십시오.

포트 미러링을 이용한 트래픽 분석

분석기 기반 포트 미러링을 통해 EVPN-VXLAN 환경에서 트래픽을 패킷 수준까지 분석할 수 있습니다. 이 기능을 사용하여 네트워크 사용 및 파일 공유와 관련된 정책을 시행하고 특정 스테이션 또는 애플리케이션의 비정상적이거나 과도한 대역폭 사용을 찾아 문제 소스를 식별할 수 있습니다.

포트 미러링은 포트를 출입하거나 VLAN에 들어오는 패킷을 복사하여 로컬 모니터링을 위해 로컬 인터페이스로, 원격 모니터링을 위해 VLAN으로 사본을 보냅니다. 포트 미러링을 사용하여 규정 준수 모니터링, 정책 시행, 침입 탐지, 트래픽 패턴 모니터링 및 예측, 이벤트 상관관계 분석 등의 목적으로 트래픽을 분석하는 애플리케이션으로 트래픽을 전송합니다.

관련 문서