EVPN(イーサネット VPN)は標準ベースの BGP 制御プレーンで、異なるデータセンター間でレイヤー 2 とレイヤー 3 の接続を拡張する機能を提供します。

EVPN 機能には次の機能と制限があります。
  • インラインとルート サーバの 2 つのモードがサポートされます。インライン モードの場合、Edge ノードは制御プレーンとデータ プレーンの両方のトラフィックを処理します。ルート サーバ モードの場合、Edge ノードは制御プレーンのトラフィックのみを処理します。これは、ESXi ホストで実行されている vRouter と物理ゲートウェイの間でデータが送信されることを意味します。
  • NSX Edge と物理ルーター間のマルチプロトコル BGP (MP-BGP) EVPN。
  • NSX オーバーレイ。 MP-BGP EVPN のオーバーレイとして使用されます。
  • VRF インスタンスを使用した MP-BGP EVPN のマルチテナント。
  • EVPN タイプ-5 ルートのサポート。
  • NSX-T は、EVPN ドメイン内の NSX Edge VTEP ごとに一意のルーター MAC を生成します。ただし、ネットワーク内に NSX-T で管理されていないノード(物理ルーターなど)が存在する場合があります。EVPN ドメイン内のすべての VTEP でルーターの MAC アドレスが一意であることを確認する必要があります。
  • EVPN 機能は、EVPN 仮想トンネル エンドポイントの入力方向または出力方向のいずれかで NSX Edge をサポートします。NSX Edge ノードが、別の eBGP ピアに再配分する必要がある eBGP ピアから EVPN タイプ 5 プリフィックスを受け取ると、ネクスト ホップに変更を加えずにルートが再アドバタイズされます。
  • マルチパス ネットワーク トポロジーでは、BGP EVPN の制御プレーンで ECMP を有効にして、可能なすべてのパスをアドバタイズすることを推奨します。これにより、非対称データパスの転送が原因で発生するトラフィックのブラックホールが回避されます。
  • ルート サーバ モードでは、タイプ 1 のルート識別子のみがサポートされます。
  • ルート サーバ モードでは、Tier-0 ゲートウェイの HA (高可用性) モードをアクティブ/アクティブにする必要があります。
  • ルートサーバ モードでは、手動ルート識別子と手動ルート ターゲットのみがサポートされます。
  • デフォルトのスタティック ルート経由でのゲートウェイ IP の再帰ルートの解決はサポートされていません。
  • インライン モードでは、ヘルパー モードの BGP グレースフル リスタートがサポートされますが、再起動モードの BGP グレースフル リスタートはサポートされません。
  • ルート サーバ モードの場合、ヘルパー モードでも再起動モードでも、BGP グレースフル リスタートはサポートされません。
  • EVPN アドレス ファミリのルート マップはサポートされません。

設定の前提条件

  • VMware ESXi ハイパーバイザーに展開された仮想ルーター (vRouter)。
  • インライン モードでは、ピア物理ルーターが EVPN タイプ 5 ルート(インターフェイスレス モデル)をサポートする必要があります。https://tools.ietf.org/html/draft-ietf-bess-evpn-prefix-advertisement-11で説明しているように、ルート サーバ モードの場合、ピア物理ルーターは、SBD IRB インターフェイスを使用し、インターフェイスフル モデルの EVPN タイプ 5 ルートをサポートする必要があります。

インライン モードの構成手順

  • VNI プールを作成します。EVPN/VXLAN VNI プールの追加 を参照してください。
  • VLAN セグメントを構成します。セグメントの追加 を参照してください。
  • オーバーレイ セグメントを設定し、1 つ以上の VLAN 範囲を指定します。セグメントの追加 を参照してください。
  • EVPN をサポートするように Tier-0 ゲートウェイを構成します。Tier-0 ゲートウェイの追加 を参照してください。
  • [EVPN の設定] で、VNI プールを選択し、EVPN トンネル エンドポイントを作成します。
  • [VRF ゲートウェイのルート識別子] で、自動ルート識別子のユースケースに RD 管理アドレスを構成します。
  • Tier-0 ゲートウェイで 1 つ以上の外部インターフェイスを設定し、VLAN セグメントに接続します。
  • ピア物理ルーターを使用して、BGP ネイバーを構成します。IPv4 と L2VPN EVPN アドレス ファミリを含むルート フィルタを追加します。
  • ルート再配分を構成します。[Tier-0 サブネット] で、他のソースと一緒に EVPN TEP IP を選択します。
  • EVPN をサポートするように VRF を構成します。VRF ゲートウェイの追加 を参照してください。
  • [VRF 設定] で、EVPN 中継 VNI を指定します。
  • 手動ルート識別子のルート識別子を指定します。
  • 手動ルートの宛先にインポート/エクスポート ルートの宛先を指定します。
  • 各 Edge ノードに VRF にサービス インターフェイスを追加し、オーバーレイ セグメントに接続します。各サービス インターフェイスにアクセス VLAN ID を指定します。
  • ピア vRouter で VRF BGP ネイバーを構成します。VRF BGP セッションで学習したルートは、NSX Edge によって MP BGP EVPN セッション経由でピア物理ルーターに再配分されます。

ルート サーバ モードの構成手順

インフラストラクチャ関連の構成:

  • VNI プールを作成します。EVPN/VXLAN VNI プールの追加 を参照してください。
  • EVPN テナントを構成します。EVPN テナントの構成 を参照してください。EVPN テナントで指定されている VLAN-VNI マッピングごとに、VNI の VRF セグメントが自動的に作成されます。
  • VLAN セグメントを構成します。セグメントの追加 を参照してください。このセグメントに割り当てられた IP 検出プロファイルの ARP ND Binding Limit Timeout 値は、vRouter の ARP タイムアウト値よりも大きい値にする必要があります。

NSX Edge 関連の構成:

  • EVPN をサポートするように Tier-0 ゲートウェイを構成します。EVPN の設定で、EVPN モードをルート サーバに設定し、EVPN テナントを選択します。Tier-0 ゲートウェイの追加 を参照してください。
  • Tier-0 ゲートウェイで 1 つ以上の外部インターフェイスを設定し、VLAN セグメントに接続します。
  • Tier-0 ゲートウェイの EVPN 設定で EVPN トンネル エンドポイントを作成します。
  • ピア物理ルーターを使用して、BGP ネイバーを構成します。IPv4 と L2VPN EVPN アドレス ファミリを含むルート フィルタを追加します。
  • ルート再配分を構成します。[Tier-0 サブネット] で、他のソースと一緒に EVPN TEP IP を選択します。
  • EVPN をサポートするように VRF を構成します。VRF ゲートウェイの追加 を参照してください。
  • VRF 設定/L3 VNI 設定で、ルート識別子とルート ターゲットを指定します。
  • VRF 設定/L2 VNI 設定で、[設定] をクリックして L2 VNI を追加します。ドロップダウン リストから L2 VNI を選択します。ルート識別子とルート ターゲットを指定します。
  • 各 Edge ノードの VRF にサービス インターフェイスを追加し、VRF と同じ L2 VNI の VRF セグメントに接続します。
  • VRF ごとに、ピア vRouter で VRF BGP ネイバーを構成します。VRF BGP セッションで学習したルートは、NSX Edge によって MP BGP EVPN セッション経由でピア物理ルーターに再配分されます。

vRouter 関連の構成:

  • vSphere に vRouter 仮想マシンを展開します。
  • vRouter オーバーレイ セグメント(VR セグメント)を作成します。vRouter を VR セグメントに接続します。
  • VR セグメントを構成します。[詳細設定] で、EVPN テナントを選択します。VR セグメントと EVPN テナントは、同じオーバーレイ トランスポート ゾーンに属している必要があります。
  • vRouter に接続している VR セグメントで、自動検出されたセグメント ポートを編集します。EVPN VLAN フィールドに VLAN のリストを入力し、[保存] をクリックします。対応する VRF セグメントで指定されたすべての VLAN に、セグメント ポートが自動生成されます。VLAN は、指定された EVPN テナントの VLAN-VNI マッピングにある VLAN のリストまたは範囲に属している必要があります。