【ネットワークスペシャリスト試験 令和6年度 春期 午後2 問1 設問4】VXLAN-EVPN
ネットワークスペシャリスト試験 令和6年度 春期 午後2 問1
【出典:ネットワークスペシャリスト試験 令和6年度 春期 午後2 問1(一部、加工あり)】
[EVPNの概要]
K社の情報システム部では、S課長から指示を受けたQ主任が、EVPNを用いたVXLANの技術検証を検討することになった。Q主任が調査したEVPNの概要を示す。
RFC 7432及びRFC 8365で規定されたEVPNは、RFC 4760で規定されたMP-BGP(Multiprotocol Extensions for BGP-4)を用いて、オーバーレイネットワークを制御するための情報を交換する。VXLANのネットワークにEVPNを適用した場合、コントロールプレーンにEVPNを用いてオーバーレイネットワークを制御して、データプレーンにVXLANを用いてイーサネットフレームを転送する。
図1の構成例に対してEVPNを適用した場合のEVPNの主な機能について、Q社がK社の現行のネットワークと比較して確認した内容を次に示す。
- 機能1:リモートVTEPに関する情報の学習について
現行のネットワークでは、VTEPは受信したVXLANパケットからリモートVTEPの情報を学習する。EVPNを適用した場合、VTEPはMP-BGPを用いて、リモートVTEPのIPアドレス及びVNIなどの情報をあらかじめ学習する。 - リモートVTEPに接続されたサーバに関する情報の学習について
現行のネットワークでは、VTEPは受信したVXLANパケットから、リモートVTEPに接続されたサーバのMACアドレス、VNI及びリモートVTEPのIPアドレスの情報を学習する。EVPNを適用した場合、VTEPはMP-BGPを用いて、リモートVTEPに接続されたサーバのMACアドレス、VNI及びリモートVTEPのIPアドレスなどの情報をあらかじめ学習する。 - サーバとの接続について
現行のネットワークでは、複数のVTEPとサーバの接続にリンクアグリゲーションを利用できない。EVPNを適用した場合、VTEPはMP-BGPを用いて、自身に接続されたサーバを識別するESI(Ethernet Segment Identifier)という識別子を交換できるようになる。同じESIを設定した論理インタフェースをもつ複数のVTEPは、サーバとの接続にリンクアグリゲーションを利用できる。
[新検証NWの設計]
Q主任は、現行の検証NWを基に、EVPNを用いたVXLANを検証するためのネットワーク(以下、新検証NWという)を設計することにした。新検証NWを図5に示す。
現行の検証NWから新検証NWに流用される設計を次に示す。
- 新検証NWのL3SW及びVMには、図3及び図4中のIPアドレス及びVLAN IDと同じ値を割り当てる。
- 物理サーバに接続するL3SWのポートには、タグVLANを設定する。
- L3SWの経路制御にOSPFを用いて、現行の検証NWと同じ設定にする。
- 新検証NWのVLAN、VXLAN及びVTEPを図4と同じ論理構成にする。
- L3SW11、L3SW12、L3SW21、L3SW22、L3SW31及びL3SW32にVTEPを設定する。
- VTEPには、それぞれのL3SWのループバックインタフェースに割り当てるIPアドレスを使用する。
新検証NWに追加されるEVPNについての設計を次に示す。
- L3SWのEVPNを有効にする。
- L3SWにMP-BGPを設定して、ASを65001にする。
- ⑩L3SW01及びL3SW02をMP-BGPのルートリフレクタにして、L3SW01とL3SW02との間でiBGPピアリングを行う。
- L3SW11、L3SW12、L3SW21、L3SW22、L3SW31及びL3SW32をルートリフレクタのクライアントにして、L3SW01及びL3SW02とiBGPピアリングを行う。
- iBGPのピアリングに使用するIPアドレスには、それぞれのL3SWのループバックインタフェースに割り当てるIPアドレスを使用する。
新検証NWにおける、現行の検証NWから変更される設計を次に示す。
- 現行の検証NWで用いていたIPマルチキャストルーティングについては、利用しない。
- VTEPのBUMフレームの転送には、IPユニキャストを用いる設定にする。
- 物理サーバの二つのNICをアクティブ/アクティブ構成にして、リンクアグリゲーションを用いてL3SWに接続する。
Q主任は、EVPNの機能1〜3、図3〜5を参照して、新検証NWの設計及びEVPNの機能を、上司のS課長に説明した。2人の会話を次に示す。
Q主任:EVPNの技術検証を行うための新検証NWを設計しました。図5のとおり、L3SWにMP-BGPを設定して、EVPNを用いたVXLANを構成するための物理ネットワークを構築します。VLAN、VXLAN及びVTEPについては、図4と同じ論理構成を組みます。
S課長:新検証NWでEVPNをどのように利用するのか教えてください。
Q主任:EVPNの”機能1”では、L3SWのVTEPはMP-BGPを利用して、リモートVTEPの情報をあらかじめ学習します。BUMフレームを受信したVTEPは、学習したリモートVTEPの情報を参照して、VLAN IDに対応するVNIをもつ各リモートVTEPを宛先に転送できるようになります。VTEPのBUMフレームの転送には、IPユニキャストを用いる設定にします。
S課長:IPマルチキャストルーティングを利用できないネットワークであっても拡張できるようになるのですね。ほかの機能についても説明してください。
Q主任:EVPNの”機能2”では、VTEPはMP-BGPを利用して、リモートVTEPに接続されたVMのMACアドレス、VNI及びリモートVTEPのIPアドレスをあらかじめ学習します。VTEPは、リモートVTEPに接続されたVM宛てのイーサネットフレームを、学習した情報を参照して転送します。”機能2”によって、BUMフレームのうちの(f)によるフラッディングの発生を低減できます。
S課長:ネットワーク負荷の軽減を期待できそうですね。ところで、図5中の物理サーバとL3SWの接続方法は、図3中の接続方法を異なるのですか。
Q主任:物理サーバとL3SWとの間は、⑪EVPNの”機能3”によって、リンクアグリゲーションを用いて接続します。同一の物理サーバに接続する2台のL3SWに作成するリンクアグリゲーションの論理インタフェースには、同一の物理サーバに接続されていることを識別させるために、同じ(g)を設定します。
S課長:新検証NWを使ってどのようなテストを実施するのか教えてください。
Q主任:VM同士の通信可否を確認します。
S課長:現行の検証NWから設定を変更するBUMフレームの転送についても、動作を確認してください。
Q主任:分かりました。⑫ARP要求フレームをカプセル化した全てのVXLANパケットをキャプチャして、宛先IPアドレスを確認します。
Q主任が検討した新検証NWの設計及びテストの内容は、情報システム部で承認された。Q主任はEVPNの技術検証のため、新検証NWの構築に着手した。
長かった令和6年度ネットワークスペシャリスト試験 午後2 問1の解説も、いよいよ今回で最終回です。
これまでの回で、K社の「現行ネットワーク」で使われているVXLANの仕組みを徹底的に見てきました。最終回となる今回は、【設問4】を通じて、このネットワークにEVPNを導入した「新検証NW」が、どのように進化するのかを解き明かしていきます。
【出題趣旨】 にもあるように、VXLANとEVPNは、拡張性が求められる現代のデータセンターネットワークにおける中核技術です。なぜEVPNが導入されるのか、そのメリットと仕組みを理解することは、スペシャリストへの道を歩む上で不可欠です。それでは、最後の設問に挑みましょう!
新検証NWの設計:EVPNがもたらす変化
まず、EVPNを導入した「新検証NW」が、現行NWからどう変わるのか、ポイントを整理します。
- コントロールプレーンの導入:
- 新たにMP-BGP (Multiprotocol BGP) を設定し、EVPNを有効にします。 これが情報のやり取りを司る司令塔(コントロールプレーン)となります。
- SpineスイッチであるL3SW01とL3SW02は、ルートリフレクタ(RR) として動作します。
- BUMフレーム転送方式の変更:
- これまで使っていたIPマルチキャストルーティングは利用しなくなります。
- 代わりに、BUMフレームの転送にはIPユニキャストを用いる設定(イングレスレプリケーション)に変更されます。
- サーバー接続の冗長化強化:
- 物理サーバのNICを、これまでのアクティブ/スタンバイ構成からアクティブ/アクティブ構成に変更し、リンクアグリゲーションでL3SWに接続します。
この「コントロールプレーンによる事前学習」と「アクティブ/アクティブ接続」が、EVPNがもたらす2大イノベーションです。
【設問4】EVPNの実力を問う!
それでは、新検証NWの設計に関する設問を解いていきましょう。
(1) BGPルートリフレクタ:なぜ使う?ループはどう防ぐ?
本文中の下線⑩について、ルートリフレクタを用いる利点を”iBGP”という字句を用いて25字以内で答えよ。また、図5中のL3SW01及びL3SW02をルートリフレクタとして冗長化するときに、ループを防止するために設定するIDの名称を答えよ。
【解答】 利点: iBGP ピアの数を減らすことができる。、名称: クラスターID
利点: iBGPのルールでは、あるピアから学習した経路を、別のiBGPピアに転送することができません(スプリットホライズン)。これを回避するため、通常は全てのiBGPルータ間で網の目状にピアを張る「フルメッシュ」構成が必要です。ルータがN台あると、N×(N-1)÷2 ものピアリングが必要になり、設定が非常に煩雑になります。
ルートリフレクタ(RR)は、この問題を解決する救世主です。各ルータ(クライアント)はRRとのみピアを張ればよく、RRがクライアント間で経路を中継してくれます。これにより、iBGPピアの数を劇的に減らすことができ、設定と管理が非常に楽になります。
ループ防止ID: 【採点講評】 で正答率が低いと指摘されたのが、このループ防止の仕組みです。 L3SW01とL3SW02の2台でRRを冗長化する場合、お互いが中継した経路情報を交換し合うと、経路がループしてしまう危険性があります。これを防ぐために、冗長構成のRRグループに共通のIDを設定します。これが「クラスターID」です。
RRは、自身が広告する経路にこのクラスターIDを付与します。別のRRがこの経路情報を受け取ったとき、もし経路に付与されているクラスターIDが自分自身のIDと同じであれば、「これは同じグループの仲間から来た情報だな」と判断し、その情報を他のピアに再広告するのをやめます。これにより、RR間での経路ループを防ぐのです。
(2) EVPNの重要キーワードを埋めよう (f), (g)
本文中の(f)、(g)に入れる適切な字句を答えよ。
【解答】 f: Unknown Unicast、g: ESI
空欄 (f): Q主任の説明に「”機能2”によって、BUMフレームのうちの (f) によるフラッディングの発生を低減できます。」 とあります。
EVPNの「機能2」とは、MP-BGPを使ってサーバのMACアドレスを事前に学習しておく機能です。 従来のVXLAN(データプレーン学習)では、宛先MACアドレスが不明なフレーム(Unknown Unicast)が来ると、とりあえず同じL2セグメント全体にフラッディング(洪水のようにばらまくこと)していました。 EVPNでは、MACアドレスをコントロールプレーンで事前に知っているため、このUnknown Unicastフレームのフラッディングが劇的に減少します。これがネットワーク負荷の軽減に繋がる大きなメリットです。
空欄 (g): 次に、「同一の物理サーバに接続する2台のL3SWに…同じ(g)を設定します。」 とあります。これはEVPNの「機能3」 、アクティブ/アクティブ接続(マルチホーミング)に関する話です。
物理サーバがL3SW11とL3SW12の両方にリンクアグリゲーションで接続されるとき、ネットワーク側から見て「この2つの接続は、実は同じ一つのサーバ(イーサネットセグメント)に繋がっている」と認識するための識別子が必要です。この共通の識別子が「ESI (Ethernet Segment Identifier)」です。これにより、片方のリンクがダウンしてもシームレスな切り替えが可能になったり、負荷分散を行ったりできます。
(3) サーバー接続のメリットは? (下線⑪)
本文中の下線⑪について、現行の検証NWと比較したときの利点を25字以内で答えよ。
【解答】 二つの回線の帯域を有効に利用できる。
これは、EVPNの機能3とESIによって実現されるアクティブ/アクティブ接続の直接的なメリットを問う問題です。
- 現行のNW: NICはアクティブ/スタンバイ構成でした。 これは、通常時は片方の回線しか使われず、もう片方は障害発生時まで待機している状態です。つまり、帯域の半分が無駄になっていました。
- 新検証NW: NICはアクティブ/アクティブ構成になり、リンクアグリゲーションで接続します。 これにより、平常時から二つの回線を同時に利用して通信できます。
結果として、サーバとスイッチ間の帯域が2倍になり、スループットが向上します。これが「二つの回線の帯域を有効に利用できる」という利点です。
(4) & (5) EVPN流!BUMフレームの転送方法
(4) 本文中の下線⑫について、VTEPは宛先IPアドレスにセットするリモート VTEPのIPアドレスをどのように学習するか。20字以内で答えよ。
【解答】 MP-BGPを用いて学習する。
(5) 本文中の下線⑫について、あるVLAN IDをセットされたARP要求フレームを、VTEPによってどのようなリモート VTEPに転送されるか。”VNI”という字句を用いて40字以内で答えよ。
【解答】 VLAN IDに対応するVNIをもつ全てのリモートVTEP
この2つの設問は、EVPNにおけるBUMフレーム転送の核心を突いています。
(4) リモートVTEPの学習方法
現行NWでは、VTEPは受信したデータパケットからMACアドレスやリモートVTEPの情報を学習していました(データプレーン学習)。 一方、新NWでは、EVPNの「機能1」 にある通り、VTEPはMP-BGPを用いて、どのVNIにどのVTEPが参加しているか、といった情報をあらかじめ交換し、学習しておきます(コントロールプレーン学習)。
(5) BUMフレームの転送先
この事前学習の結果、BUMフレーム(ここではARP要求)の転送方法が大きく変わります。
- VTEPは、VLAN IDがセットされたARP要求フレームを受信します。
- VTEPは、そのVLAN IDに対応するVNIを自身の構成から特定します。
- VTEPは、(4)で学習した情報(BGPで交換した情報)を参照し、「そのVNIに参加しているすべてのリモートVTEPのリスト」を取り出します。
- VTEPは、リストにあるすべてのリモートVTEPに対して、VXLANパケットをユニキャストで複製・転送します(イングレスレプリケーション)。
つまり、転送先は「VLAN IDに対応するVNIをもつ全てのリモートVTEP」となるのです。IPマルチキャストに頼らずとも、BGPで管理されたリストに基づいて、必要な範囲にだけ効率的にBUMフレームを届けられるのがEVPNの強みです。
まとめと最後に
お疲れ様でした!全4回にわたる解説はこれで終了です。 今回の【設問4】を通じて、EVPN-VXLANが従来のフラッディング&ラーン方式に比べていかに優れているか、ご理解いただけたかと思います。
- コントロールプレーン(MP-BGP)による事前学習で、不要なトラフィック(Unknown Unicastフラッディング)を抑制。
- ルートリフレクタでiBGPピアの設定を簡素化し、スケーラビリティを確保。
- ESIを活用したアクティブ/アクティブ接続で、帯域と可用性を向上。
- イングレスレプリケーションで、IPマルチキャストが使えない環境でもBUMフレーム転送を実現。
これらの技術は、まさに現代の大規模データセンターを支える根幹です。試験合格はもちろん、その先のキャリアにおいても必ず役立つ知識ですので、ぜひこの機会にしっかりとマスターしてください。
