【ネットワークスペシャリスト試験 令和6年度 春期 午後2 問1 設問4】VXLAN-EVPN

ネットワークスペシャリスト試験 令和6年度 春期 午後2 問1

【出典：ネットワークスペシャリスト試験 令和6年度 春期 午後2 問1（一部、加工あり）】

[EVPNの概要]
 K社の情報システム部では、S課長から指示を受けたQ主任が、EVPNを用いたVXLANの技術検証を検討することになった。Q主任が調査したEVPNの概要を示す。
 RFC 7432及びRFC 8365で規定されたEVPNは、RFC 4760で規定されたMP-BGP（Multiprotocol Extensions for BGP-4）を用いて、オーバーレイネットワークを制御するための情報を交換する。VXLANのネットワークにEVPNを適用した場合、コントロールプレーンにEVPNを用いてオーバーレイネットワークを制御して、データプレーンにVXLANを用いてイーサネットフレームを転送する。
 図1の構成例に対してEVPNを適用した場合のEVPNの主な機能について、Q社がK社の現行のネットワークと比較して確認した内容を次に示す。

• 機能1：リモートVTEPに関する情報の学習について
  現行のネットワークでは、VTEPは受信したVXLANパケットからリモートVTEPの情報を学習する。EVPNを適用した場合、VTEPはMP-BGPを用いて、リモートVTEPのIPアドレス及びVNIなどの情報をあらかじめ学習する。
• リモートVTEPに接続されたサーバに関する情報の学習について
  現行のネットワークでは、VTEPは受信したVXLANパケットから、リモートVTEPに接続されたサーバのMACアドレス、VNI及びリモートVTEPのIPアドレスの情報を学習する。EVPNを適用した場合、VTEPはMP-BGPを用いて、リモートVTEPに接続されたサーバのMACアドレス、VNI及びリモートVTEPのIPアドレスなどの情報をあらかじめ学習する。
• サーバとの接続について
  現行のネットワークでは、複数のVTEPとサーバの接続にリンクアグリゲーションを利用できない。EVPNを適用した場合、VTEPはMP-BGPを用いて、自身に接続されたサーバを識別するESI（Ethernet Segment Identifier）という識別子を交換できるようになる。同じESIを設定した論理インタフェースをもつ複数のVTEPは、サーバとの接続にリンクアグリゲーションを利用できる。

[新検証NWの設計]
 Q主任は、現行の検証NWを基に、EVPNを用いたVXLANを検証するためのネットワーク（以下、新検証NWという）を設計することにした。新検証NWを図5に示す。

 現行の検証NWから新検証NWに流用される設計を次に示す。

• 新検証NWのL3SW及びVMには、図3及び図4中のIPアドレス及びVLAN IDと同じ値を割り当てる。
• 物理サーバに接続するL3SWのポートには、タグVLANを設定する。
• L3SWの経路制御にOSPFを用いて、現行の検証NWと同じ設定にする。
• 新検証NWのVLAN、VXLAN及びVTEPを図4と同じ論理構成にする。
• L3SW11、L3SW12、L3SW21、L3SW22、L3SW31及びL3SW32にVTEPを設定する。
• VTEPには、それぞれのL3SWのループバックインタフェースに割り当てるIPアドレスを使用する。

 新検証NWに追加されるEVPNについての設計を次に示す。

• L3SWのEVPNを有効にする。
• L3SWにMP-BGPを設定して、ASを65001にする。
• ⑩L3SW01及びL3SW02をMP-BGPのルートリフレクタにして、L3SW01とL3SW02との間でiBGPピアリングを行う。
• L3SW11、L3SW12、L3SW21、L3SW22、L3SW31及びL3SW32をルートリフレクタのクライアントにして、L3SW01及びL3SW02とiBGPピアリングを行う。
• iBGPのピアリングに使用するIPアドレスには、それぞれのL3SWのループバックインタフェースに割り当てるIPアドレスを使用する。

 新検証NWにおける、現行の検証NWから変更される設計を次に示す。

• 現行の検証NWで用いていたIPマルチキャストルーティングについては、利用しない。
• VTEPのBUMフレームの転送には、IPユニキャストを用いる設定にする。
• 物理サーバの二つのNICをアクティブ/アクティブ構成にして、リンクアグリゲーションを用いてL3SWに接続する。

 Q主任は、EVPNの機能1〜3、図3〜5を参照して、新検証NWの設計及びEVPNの機能を、上司のS課長に説明した。2人の会話を次に示す。
Q主任：EVPNの技術検証を行うための新検証NWを設計しました。図5のとおり、L3SWにMP-BGPを設定して、EVPNを用いたVXLANを構成するための物理ネットワークを構築します。VLAN、VXLAN及びVTEPについては、図4と同じ論理構成を組みます。
S課長：新検証NWでEVPNをどのように利用するのか教えてください。
Q主任：EVPNの”機能1”では、L3SWのVTEPはMP-BGPを利用して、リモートVTEPの情報をあらかじめ学習します。BUMフレームを受信したVTEPは、学習したリモートVTEPの情報を参照して、VLAN IDに対応するVNIをもつ各リモートVTEPを宛先に転送できるようになります。VTEPのBUMフレームの転送には、IPユニキャストを用いる設定にします。
S課長：IPマルチキャストルーティングを利用できないネットワークであっても拡張できるようになるのですね。ほかの機能についても説明してください。
Q主任：EVPNの”機能2”では、VTEPはMP-BGPを利用して、リモートVTEPに接続されたVMのMACアドレス、VNI及びリモートVTEPのIPアドレスをあらかじめ学習します。VTEPは、リモートVTEPに接続されたVM宛てのイーサネットフレームを、学習した情報を参照して転送します。”機能2”によって、BUMフレームのうちの（f）によるフラッディングの発生を低減できます。
S課長：ネットワーク負荷の軽減を期待できそうですね。ところで、図5中の物理サーバとL3SWの接続方法は、図3中の接続方法を異なるのですか。
Q主任：物理サーバとL3SWとの間は、⑪EVPNの”機能3”によって、リンクアグリゲーションを用いて接続します。同一の物理サーバに接続する2台のL3SWに作成するリンクアグリゲーションの論理インタフェースには、同一の物理サーバに接続されていることを識別させるために、同じ（g）を設定します。
S課長：新検証NWを使ってどのようなテストを実施するのか教えてください。
Q主任：VM同士の通信可否を確認します。
S課長：現行の検証NWから設定を変更するBUMフレームの転送についても、動作を確認してください。

Q主任：分かりました。⑫ARP要求フレームをカプセル化した全てのVXLANパケットをキャプチャして、宛先IPアドレスを確認します。

 Q主任が検討した新検証NWの設計及びテストの内容は、情報システム部で承認された。Q主任はEVPNの技術検証のため、新検証NWの構築に着手した。

長かった令和6年度ネットワークスペシャリスト試験 午後2 問1の解説も、いよいよ今回で最終回です。

これまでの回で、K社の「現行ネットワーク」で使われているVXLANの仕組みを徹底的に見てきました。最終回となる今回は、【設問4】を通じて、このネットワークにEVPNを導入した「新検証NW」が、どのように進化するのかを解き明かしていきます。

【出題趣旨】 にもあるように、VXLANとEVPNは、拡張性が求められる現代のデータセンターネットワークにおける中核技術です。なぜEVPNが導入されるのか、そのメリットと仕組みを理解することは、スペシャリストへの道を歩む上で不可欠です。それでは、最後の設問に挑みましょう！

新検証NWの設計：EVPNがもたらす変化

まず、EVPNを導入した「新検証NW」が、現行NWからどう変わるのか、ポイントを整理します。

• コントロールプレーンの導入:
  • 新たにMP-BGP (Multiprotocol BGP) を設定し、EVPNを有効にします。 これが情報のやり取りを司る司令塔（コントロールプレーン）となります。
  • SpineスイッチであるL3SW01とL3SW02は、ルートリフレクタ(RR) として動作します。
• BUMフレーム転送方式の変更:
  • これまで使っていたIPマルチキャストルーティングは利用しなくなります。
  • 代わりに、BUMフレームの転送にはIPユニキャストを用いる設定（イングレスレプリケーション）に変更されます。
• サーバー接続の冗長化強化:
  • 物理サーバのNICを、これまでのアクティブ/スタンバイ構成からアクティブ/アクティブ構成に変更し、リンクアグリゲーションでL3SWに接続します。

この「コントロールプレーンによる事前学習」と「アクティブ/アクティブ接続」が、EVPNがもたらす2大イノベーションです。

【設問4】EVPNの実力を問う！

それでは、新検証NWの設計に関する設問を解いていきましょう。

(1) BGPルートリフレクタ：なぜ使う？ループはどう防ぐ？

本文中の下線⑩について、ルートリフレクタを用いる利点を”iBGP”という字句を用いて25字以内で答えよ。また、図5中のL3SW01及びL3SW02をルートリフレクタとして冗長化するときに、ループを防止するために設定するIDの名称を答えよ。

【解答】 利点: iBGP ピアの数を減らすことができる。、名称: クラスターID

利点： iBGPのルールでは、あるピアから学習した経路を、別のiBGPピアに転送することができません（スプリットホライズン）。これを回避するため、通常は全てのiBGPルータ間で網の目状にピアを張る「フルメッシュ」構成が必要です。ルータがN台あると、N×(N-1)÷2 ものピアリングが必要になり、設定が非常に煩雑になります。

ルートリフレクタ(RR)は、この問題を解決する救世主です。各ルータ（クライアント）はRRとのみピアを張ればよく、RRがクライアント間で経路を中継してくれます。これにより、iBGPピアの数を劇的に減らすことができ、設定と管理が非常に楽になります。

ループ防止ID： 【採点講評】 で正答率が低いと指摘されたのが、このループ防止の仕組みです。 L3SW01とL3SW02の2台でRRを冗長化する場合、お互いが中継した経路情報を交換し合うと、経路がループしてしまう危険性があります。これを防ぐために、冗長構成のRRグループに共通のIDを設定します。これが「クラスターID」です。

RRは、自身が広告する経路にこのクラスターIDを付与します。別のRRがこの経路情報を受け取ったとき、もし経路に付与されているクラスターIDが自分自身のIDと同じであれば、「これは同じグループの仲間から来た情報だな」と判断し、その情報を他のピアに再広告するのをやめます。これにより、RR間での経路ループを防ぐのです。

(2) EVPNの重要キーワードを埋めよう (f), (g)

本文中の(f)、(g)に入れる適切な字句を答えよ。

【解答】 f: Unknown Unicast、g: ESI

空欄 (f): Q主任の説明に「”機能2”によって、BUMフレームのうちの (f) によるフラッディングの発生を低減できます。」 とあります。

EVPNの「機能2」とは、MP-BGPを使ってサーバのMACアドレスを事前に学習しておく機能です。 従来のVXLAN（データプレーン学習）では、宛先MACアドレスが不明なフレーム（Unknown Unicast）が来ると、とりあえず同じL2セグメント全体にフラッディング（洪水のようにばらまくこと）していました。 EVPNでは、MACアドレスをコントロールプレーンで事前に知っているため、このUnknown Unicastフレームのフラッディングが劇的に減少します。これがネットワーク負荷の軽減に繋がる大きなメリットです。

空欄 (g): 次に、「同一の物理サーバに接続する2台のL3SWに…同じ(g)を設定します。」 とあります。これはEVPNの「機能3」 、アクティブ/アクティブ接続（マルチホーミング）に関する話です。

物理サーバがL3SW11とL3SW12の両方にリンクアグリゲーションで接続されるとき、ネットワーク側から見て「この2つの接続は、実は同じ一つのサーバ（イーサネットセグメント）に繋がっている」と認識するための識別子が必要です。この共通の識別子が「ESI (Ethernet Segment Identifier)」です。これにより、片方のリンクがダウンしてもシームレスな切り替えが可能になったり、負荷分散を行ったりできます。

(3) サーバー接続のメリットは？ (下線⑪)

本文中の下線⑪について、現行の検証NWと比較したときの利点を25字以内で答えよ。

【解答】 二つの回線の帯域を有効に利用できる。

これは、EVPNの機能3とESIによって実現されるアクティブ/アクティブ接続の直接的なメリットを問う問題です。

• 現行のNW: NICはアクティブ/スタンバイ構成でした。 これは、通常時は片方の回線しか使われず、もう片方は障害発生時まで待機している状態です。つまり、帯域の半分が無駄になっていました。
• 新検証NW: NICはアクティブ/アクティブ構成になり、リンクアグリゲーションで接続します。 これにより、平常時から二つの回線を同時に利用して通信できます。

結果として、サーバとスイッチ間の帯域が2倍になり、スループットが向上します。これが「二つの回線の帯域を有効に利用できる」という利点です。

(4) & (5) EVPN流！BUMフレームの転送方法

(4) 本文中の下線⑫について、VTEPは宛先IPアドレスにセットするリモート VTEPのIPアドレスをどのように学習するか。20字以内で答えよ。

【解答】 MP-BGPを用いて学習する。

(5) 本文中の下線⑫について、あるVLAN IDをセットされたARP要求フレームを、VTEPによってどのようなリモート VTEPに転送されるか。”VNI”という字句を用いて40字以内で答えよ。

【解答】 VLAN IDに対応するVNIをもつ全てのリモートVTEP

この2つの設問は、EVPNにおけるBUMフレーム転送の核心を突いています。

(4) リモートVTEPの学習方法
現行NWでは、VTEPは受信したデータパケットからMACアドレスやリモートVTEPの情報を学習していました（データプレーン学習）。 一方、新NWでは、EVPNの「機能1」 にある通り、VTEPはMP-BGPを用いて、どのVNIにどのVTEPが参加しているか、といった情報をあらかじめ交換し、学習しておきます（コントロールプレーン学習）。

(5) BUMフレームの転送先
この事前学習の結果、BUMフレーム（ここではARP要求）の転送方法が大きく変わります。

1. VTEPは、VLAN IDがセットされたARP要求フレームを受信します。
2. VTEPは、そのVLAN IDに対応するVNIを自身の構成から特定します。
3. VTEPは、(4)で学習した情報（BGPで交換した情報）を参照し、「そのVNIに参加しているすべてのリモートVTEPのリスト」を取り出します。
4. VTEPは、リストにあるすべてのリモートVTEPに対して、VXLANパケットをユニキャストで複製・転送します（イングレスレプリケーション）。

つまり、転送先は「VLAN IDに対応するVNIをもつ全てのリモートVTEP」となるのです。IPマルチキャストに頼らずとも、BGPで管理されたリストに基づいて、必要な範囲にだけ効率的にBUMフレームを届けられるのがEVPNの強みです。

まとめと最後に

お疲れ様でした！全4回にわたる解説はこれで終了です。 今回の【設問4】を通じて、EVPN-VXLANが従来のフラッディング＆ラーン方式に比べていかに優れているか、ご理解いただけたかと思います。

• コントロールプレーン(MP-BGP)による事前学習で、不要なトラフィック（Unknown Unicastフラッディング）を抑制。
• ルートリフレクタでiBGPピアの設定を簡素化し、スケーラビリティを確保。
• ESIを活用したアクティブ/アクティブ接続で、帯域と可用性を向上。
• イングレスレプリケーションで、IPマルチキャストが使えない環境でもBUMフレーム転送を実現。

これらの技術は、まさに現代の大規模データセンターを支える根幹です。試験合格はもちろん、その先のキャリアにおいても必ず役立つ知識ですので、ぜひこの機会にしっかりとマスターしてください。