[要約] RFC 7365は、データセンターネットワーク仮想化のためのフレームワークであり、データセンターネットワークの仮想化に関するガイドラインを提供します。目的は、データセンターネットワークの柔軟性と効率性を向上させるための標準化とベストプラクティスの確立です。

Internet Engineering Task Force (IETF)                       M. Lasserre
Request for Comments: 7365                                      F. Balus
Category: Informational                                   Alcatel-Lucent
ISSN: 2070-1721                                                 T. Morin
                                                                  Orange
                                                                N. Bitar
                                                                 Verizon
                                                              Y. Rekhter
                                                                 Juniper
                                                            October 2014
        

Framework for Data Center (DC) Network Virtualization

データセンター(DC)ネットワーク仮想化のフレームワーク

Abstract

概要

This document provides a framework for Data Center (DC) Network Virtualization over Layer 3 (NVO3) and defines a reference model along with logical components required to design a solution.

このドキュメントは、データセンター(DC)ネットワーク仮想化オーバーレイヤー3(NVO3)のフレームワークを提供し、ソリューションの設計に必要な論理コンポーネントと共に参照モデルを定義します。

Status of This Memo

本文書の状態

This document is not an Internet Standards Track specification; it is published for informational purposes.

このドキュメントはInternet Standards Trackの仕様ではありません。情報提供を目的として公開されています。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.

このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。 IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補になるわけではありません。 RFC 5741のセクション2をご覧ください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7365.

このドキュメントの現在のステータス、正誤表、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7365で入手できます。

Copyright Notice

著作権表示

Copyright (c) 2014 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2014 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。

Table of Contents

目次

   1. Introduction ....................................................4
      1.1. General Terminology ........................................4
      1.2. DC Network Architecture ....................................7
   2. Reference Models ................................................8
      2.1. Generic Reference Model ....................................8
      2.2. NVE Reference Model .......................................10
      2.3. NVE Service Types .........................................11
           2.3.1. L2 NVE Providing Ethernet LAN-Like Service .........11
           2.3.2. L3 NVE Providing IP/VRF-Like Service ...............11
      2.4. Operational Management Considerations .....................12
   3. Functional Components ..........................................12
      3.1. Service Virtualization Components .........................12
           3.1.1. Virtual Access Points (VAPs) .......................12
           3.1.2. Virtual Network Instance (VNI) .....................12
           3.1.3. Overlay Modules and VN Context .....................14
           3.1.4. Tunnel Overlays and Encapsulation Options ..........14
           3.1.5. Control-Plane Components ...........................14
                  3.1.5.1. Distributed vs. Centralized
                           Control Plane .............................14
                  3.1.5.2. Auto-provisioning and Service Discovery ...15
                  3.1.5.3. Address Advertisement and Tunnel Mapping ..15
                  3.1.5.4. Overlay Tunneling .........................16
      3.2. Multihoming ...............................................16
      3.3. VM Mobility ...............................................17
   4. Key Aspects of Overlay Networks ................................17
      4.1. Pros and Cons .............................................18
      4.2. Overlay Issues to Consider ................................19
           4.2.1. Data Plane vs. Control Plane Driven ................19
           4.2.2. Coordination between Data Plane and Control Plane ..19
           4.2.3. Handling Broadcast, Unknown Unicast, and
                  Multicast (BUM) Traffic ............................20
           4.2.4. Path MTU ...........................................20
           4.2.5. NVE Location Trade-Offs ............................21
           4.2.6. Interaction between Network Overlays and
                  Underlays ..........................................22
   5. Security Considerations ........................................22
   6. Informative References .........................................24
   Acknowledgments ...................................................26
   Authors' Addresses ................................................26
        
1. Introduction
1. はじめに

This document provides a framework for Data Center (DC) Network Virtualization over Layer 3 (NVO3) tunnels. This framework is intended to aid in standardizing protocols and mechanisms to support large-scale network virtualization for data centers.

このドキュメントは、レイヤー3(NVO3)トンネルを介したデータセンター(DC)ネットワーク仮想化のフレームワークを提供します。このフレームワークは、データセンターの大規模ネットワーク仮想化をサポートするためのプロトコルとメカニズムの標準化を支援することを目的としています。

[RFC7364] defines the rationale for using overlay networks in order to build large multi-tenant data center networks. Compute, storage and network virtualization are often used in these large data centers to support a large number of communication domains and end systems.

[RFC7364]は、大規模なマルチテナントデータセンターネットワークを構築するためにオーバーレイネットワークを使用する根拠を定義しています。これらの大規模なデータセンターでは、コンピューティング、ストレージ、ネットワークの仮想化がよく使用され、多数の通信ドメインとエンドシステムをサポートしています。

This document provides reference models and functional components of data center overlay networks as well as a discussion of technical issues that have to be addressed.

このドキュメントでは、データセンターオーバーレイネットワークの参照モデルと機能コンポーネント、および対処する必要がある技術的な問題について説明します。

1.1. General Terminology
1.1. 一般的な用語

This document uses the following terminology:

このドキュメントでは、次の用語を使用しています。

NVO3 Network: An overlay network that provides a Layer 2 (L2) or Layer 3 (L3) service to Tenant Systems over an L3 underlay network using the architecture and protocols as defined by the NVO3 Working Group.

NVO3ネットワーク:NVO3ワーキンググループで定義されているアーキテクチャとプロトコルを使用して、L3アンダーレイネットワーク経由でテナントシステムにレイヤー2(L2)またはレイヤー3(L3)サービスを提供するオーバーレイネットワーク。

Network Virtualization Edge (NVE): An NVE is the network entity that sits at the edge of an underlay network and implements L2 and/or L3 network virtualization functions. The network-facing side of the NVE uses the underlying L3 network to tunnel tenant frames to and from other NVEs. The tenant-facing side of the NVE sends and receives Ethernet frames to and from individual Tenant Systems. An NVE could be implemented as part of a virtual switch within a hypervisor, a physical switch or router, or a Network Service Appliance, or it could be split across multiple devices.

ネットワーク仮想化エッジ(NVE):NVEは、アンダーレイネットワークのエッジに位置し、L2またはL3ネットワーク仮想化機能、あるいはその両方を実装するネットワークエンティティです。 NVEのネットワーク側は、基盤となるL3ネットワークを使用して、他のNVEとの間でテナントフレームをトンネリングします。 NVEのテナント側は、個々のテナントシステムとの間でイーサネットフレームを送受信します。 NVEは、ハイパーバイザー内の仮想スイッチ、物理スイッチまたはルーター、あるいはネットワークサービスアプライアンスの一部として実装することも、複数のデバイスに分割することもできます。

Virtual Network (VN): A VN is a logical abstraction of a physical network that provides L2 or L3 network services to a set of Tenant Systems. A VN is also known as a Closed User Group (CUG).

仮想ネットワーク(VN):VNは、L2またはL3ネットワークサービスを一連のテナントシステムに提供する物理ネットワークの論理的な抽象概念です。 VNは、Closed User Group(CUG)とも呼ばれます。

Virtual Network Instance (VNI): A specific instance of a VN from the perspective of an NVE.

仮想ネットワークインスタンス(VNI):NVEの観点から見たVNの特定のインスタンス。

Virtual Network Context (VN Context) Identifier: Field in an overlay encapsulation header that identifies the specific VN the packet belongs to. The egress NVE uses the VN Context identifier to deliver the packet to the correct Tenant System. The VN Context identifier can be a locally significant identifier or a globally unique identifier.

仮想ネットワークコンテキスト(VNコンテキスト)識別子:パケットが属する特定のVNを識別するオーバーレイカプセル化ヘッダーのフィールド。出力NVEは、VNコンテキスト識別子を使用して、パケットを正しいテナントシステムに配信します。 VNコンテキスト識別子は、ローカルで重要な識別子またはグローバルに一意の識別子にすることができます。

Underlay or Underlying Network: The network that provides the connectivity among NVEs and that NVO3 packets are tunneled over, where an NVO3 packet carries an NVO3 overlay header followed by a tenant packet. The underlay network does not need to be aware that it is carrying NVO3 packets. Addresses on the underlay network appear as "outer addresses" in encapsulated NVO3 packets. In general, the underlay network can use a completely different protocol (and address family) from that of the overlay. In the case of NVO3, the underlay network is IP.

アンダーレイまたはアンダーレイネットワーク:NVE間の接続を提供し、NVO3パケットがトンネリングされるネットワーク。NVO3パケットは、NVO3オーバーレイヘッダーの後にテナントパケットが続きます。アンダーレイネットワークは、NVO3パケットを伝送していることを認識する必要はありません。アンダーレイネットワーク上のアドレスは、カプセル化されたNVO3パケットで「外部アドレス」として表示されます。一般に、アンダーレイネットワークは、オーバーレイのプロトコルとは完全に異なるプロトコル(およびアドレスファミリ)を使用できます。 NVO3の場合、アンダーレイネットワークはIPです。

Data Center (DC): A physical complex housing physical servers, network switches and routers, network service appliances, and networked storage. The purpose of a data center is to provide application, compute, and/or storage services. One such service is virtualized infrastructure data center services, also known as "Infrastructure as a Service".

データセンター(DC):物理サーバー、ネットワークスイッチおよびルーター、ネットワークサービスアプライアンス、ネットワークストレージを収容する物理複合施設。データセンターの目的は、アプリケーション、コンピューティング、ストレージサービスを提供することです。そのようなサービスの1つは、「サービスとしてのインフラストラクチャ」としても知られる仮想化インフラストラクチャデータセンターサービスです。

Virtual Data Center (Virtual DC): A container for virtualized compute, storage, and network services. A virtual DC is associated with a single tenant and can contain multiple VNs and Tenant Systems connected to one or more of these VNs.

仮想データセンター(仮想DC):仮想化されたコンピューティング、ストレージ、およびネットワークサービスのコンテナー。仮想DCは単一のテナントに関連付けられ、これらのVNの1つ以上に接続された複数のVNおよびテナントシステムを含むことができます。

Virtual Machine (VM): A software implementation of a physical machine that runs programs as if they were executing on a physical, non-virtualized machine. Applications (generally) do not know they are running on a VM as opposed to running on a "bare metal" host or server, though some systems provide a para-virtualization environment that allows an operating system or application to be aware of the presence of virtualization for optimization purposes.

仮想マシン(VM):物理的な非仮想化マシンでプログラムを実行しているかのようにプログラムを実行する物理マシンのソフトウェア実装。アプリケーションは、「ベアメタル」ホストまたはサーバーで実行するのではなく、VMで実行していることを(通常)認識しませんが、一部のシステムは、オペレーティングシステムまたはアプリケーションがその存在を認識できるようにする準仮想化環境を提供します最適化のための仮想化。

Hypervisor: Software running on a server that allows multiple VMs to run on the same physical server. The hypervisor manages and provides shared computation, memory, and storage services and network connectivity to the VMs that it hosts. Hypervisors often embed a virtual switch (see below).

ハイパーバイザー:複数のVMを同じ物理サーバー上で実行できるようにするサーバー上で実行されるソフトウェア。ハイパーバイザーは、共有する計算、メモリ、ストレージサービス、およびホストするVMへのネットワーク接続を管理および提供します。ハイパーバイザーは多くの場合、仮想スイッチを組み込みます(以下を参照)。

Server: A physical end-host machine that runs user applications. A standalone (or "bare metal") server runs a conventional operating system hosting a single-tenant application. A virtualized server runs a hypervisor supporting one or more VMs.

サーバー:ユーザーアプリケーションを実行する物理的なエンドホストマシン。スタンドアロン(または「ベアメタル」)サーバーは、シングルテナントアプリケーションをホストする従来のオペレーティングシステムを実行します。仮想サーバーは、1つ以上のVMをサポートするハイパーバイザーを実行します。

Virtual Switch (vSwitch): A function within a hypervisor (typically implemented in software) that provides similar forwarding services to a physical Ethernet switch. A vSwitch forwards Ethernet frames between VMs running on the same server or between a VM and a physical Network Interface Card (NIC) connecting the server to a physical Ethernet switch or router. A vSwitch also enforces network isolation between VMs that by policy are not permitted to communicate with each other (e.g., by honoring VLANs). A vSwitch may be bypassed when an NVE is enabled on the host server.

仮想スイッチ(vSwitch):物理イーサネットスイッチに同様の転送サービスを提供するハイパーバイザー(通常はソフトウェアで実装)内の機能。 vSwitchは、同じサーバーで実行されているVM間、またはVMとサーバーを物理イーサネットスイッチまたはルーターに接続している物理ネットワークインターフェイスカード(NIC)の間でイーサネットフレームを転送します。また、vSwitchは、ポリシーによって(VLANを尊重するなどして)相互に通信することが許可されていないVM間のネットワーク分離を実施します。ホストサーバーでNVEが有効になっている場合、vSwitchがバイパスされる可能性があります。

Tenant: The customer using a virtual network and any associated resources (e.g., compute, storage, and network). A tenant could be an enterprise or a department/organization within an enterprise.

テナント:仮想ネットワークと関連リソース(コンピューティング、ストレージ、ネットワークなど)を使用しているお客様。テナントは、企業または企業内の部門/組織です。

Tenant System: A physical or virtual system that can play the role of a host or a forwarding element such as a router, switch, firewall, etc. It belongs to a single tenant and connects to one or more VNs of that tenant.

テナントシステム:ホストまたはルーター、スイッチ、ファイアウォールなどの転送要素の役割を果たすことができる物理または仮想システム。単一のテナントに属し、そのテナントの1つ以上のVNに接続します。

Tenant Separation: Refers to isolating traffic of different tenants such that traffic from one tenant is not visible to or delivered to another tenant, except when allowed by policy. Tenant separation also refers to address space separation, whereby different tenants can use the same address space without conflict.

テナントの分離:ポリシーで許可されている場合を除いて、あるテナントからのトラフィックが別のテナントに表示または配信されないように、異なるテナントのトラフィックを分離することを指します。テナントの分離は、アドレススペースの分離も指します。これにより、異なるテナントが競合することなく同じアドレススペースを使用できます。

Virtual Access Points (VAPs): A logical connection point on the NVE for connecting a Tenant System to a virtual network. Tenant Systems connect to VNIs at an NVE through VAPs. VAPs can be physical ports or virtual ports identified through logical interface identifiers (e.g., VLAN ID or internal vSwitch Interface ID connected to a VM).

仮想アクセスポイント(VAP):テナントシステムを仮想ネットワークに接続するためのNVE上の論理接続ポイント。テナントシステムは、VAPを介してNVEでVNIに接続します。 VAPは、論理インターフェース識別子(例:VLAN IDまたはVMに接続された内部vSwitchインターフェースID)で識別される物理ポートまたは仮想ポートです。

End Device: A physical device that connects directly to the DC underlay network. This is in contrast to a Tenant System, which connects to a corresponding tenant VN. An End Device is administered by the DC operator rather than a tenant and is part of the DC infrastructure. An End Device may implement NVO3 technology in support of NVO3 functions. Examples of an End Device include hosts (e.g., server or server blade), storage systems (e.g., file servers and iSCSI storage systems), and network devices (e.g., firewall, load-balancer, and IPsec gateway).

エンドデバイス:DCアンダーレイネットワークに直接接続する物理デバイス。これは、対応するテナントVNに接続するテナントシステムとは対照的です。エンドデバイスは、テナントではなくDCオペレーターによって管理され、DCインフラストラクチャの一部です。エンドデバイスは、NVO3機能をサポートするNVO3テクノロジーを実装できます。エンドデバイスの例には、ホスト(サーバーまたはサーバーブレードなど)、ストレージシステム(ファイルサーバーやiSCSIストレージシステムなど)、ネットワークデバイス(ファイアウォール、ロードバランサー、IPsecゲートウェイなど)が含まれます。

Network Virtualization Authority (NVA): Entity that provides reachability and forwarding information to NVEs.

Network Virtualization Authority(NVA):到達可能性とNVEへの転送情報を提供するエンティティ。

1.2. DC Network Architecture
1.2. DCネットワークアーキテクチャ

A generic architecture for data centers is depicted in Figure 1:

データセンターの一般的なアーキテクチャを図1に示します。

                                ,---------.
                              ,'           `.
                             (  IP/MPLS WAN )
                              `.           ,'
                                `-+------+'
                                 \      /
                          +--------+   +--------+
                          |   DC   |+-+|   DC   |
                          |gateway |+-+|gateway |
                          +--------+   +--------+
                                |       /
                                .--. .--.
                              (    '    '.--.
                            .-.' Intra-DC     '
                           (     network      )
                            (             .'-'
                             '--'._.'.    )\ \
                             / /     '--'  \ \
                            / /      | |    \ \
                   +--------+   +--------+   +--------+
                   | access |   | access |   | access |
                   | switch |   | switch |   | switch |
                   +--------+   +--------+   +--------+
                      /     \    /    \     /      \
                   __/_      \  /      \   /_      _\__
             '--------'   '--------'   '--------'   '--------'
             :  End   :   :  End   :   :  End   :   :  End   :
             : Device :   : Device :   : Device :   : Device :
             '--------'   '--------'   '--------'   '--------'
        

Figure 1: A Generic Architecture for Data Centers

図1:データセンターの一般的なアーキテクチャ

An example of multi-tier DC network architecture is presented in Figure 1. It provides a view of the physical components inside a DC.

多層DCネットワークアーキテクチャの例を図1に示します。これは、DC内の物理コンポーネントのビューを提供します。

A DC network is usually composed of intra-DC networks and network services, and inter-DC network and network connectivity services.

DCネットワークは通常、DC内ネットワークとネットワークサービス、およびDC間ネットワークとネットワーク接続サービスで構成されます。

DC networking elements can act as strict L2 switches and/or provide IP routing capabilities, including network service virtualization.

DCネットワーク要素は、厳密なL2スイッチとして機能したり、ネットワークサービス仮想化を含むIPルーティング機能を提供したりできます。

In some DC architectures, some tier layers could provide L2 and/or L3 services. In addition, some tier layers may be collapsed, and Internet connectivity, inter-DC connectivity, and VPN support may be handled by a smaller number of nodes. Nevertheless, one can assume that the network functional blocks in a DC fit in the architecture depicted in Figure 1.

一部のDCアーキテクチャでは、一部の層のレイヤーがL2またはL3、あるいはその両方のサービスを提供できます。さらに、一部の層のレイヤーが縮小され、インターネット接続、DC間接続、およびVPNサポートが少数のノードで処理される場合があります。それにもかかわらず、DC内のネットワーク機能ブロックは、図1に示したアーキテクチャに適合すると想定できます。

The following components can be present in a DC:

次のコンポーネントはDCに存在できます。

- Access switch: Hardware-based Ethernet switch aggregating all Ethernet links from the End Devices in a rack representing the entry point in the physical DC network for the hosts. It may also provide routing functionality, virtual IP network connectivity, or Layer 2 tunneling over IP, for instance. Access switches are usually multihomed to aggregation switches in the Intra-DC network. A typical example of an access switch is a Top-of-Rack (ToR) switch. Other deployment scenarios may use an intermediate Blade Switch before the ToR, or an End-of-Row (EoR) switch, to provide similar functions to a ToR.

- アクセススイッチ:ホストの物理DCネットワークのエントリポイントを表すラック内のエンドデバイスからのすべてのイーサネットリンクを集約するハードウェアベースのイーサネットスイッチ。たとえば、ルーティング機能、仮想IPネットワーク接続、またはIPを介したレイヤ2トンネリングも提供します。通常、アクセススイッチは、DC内ネットワークの集約スイッチにマルチホーム化されています。アクセススイッチの典型的な例は、トップオブラック(ToR)スイッチです。他の導入シナリオでは、ToRの前に中間ブレードスイッチまたはEnd-of-Row(EoR)スイッチを使用して、ToRと同様の機能を提供する場合があります。

- Intra-DC Network: Network composed of high-capacity core nodes (Ethernet switches/routers). Core nodes may provide virtual Ethernet bridging and/or IP routing services.

- DC内ネットワーク:大容量コアノード(イーサネットスイッチ/ルーター)で構成されるネットワーク。コアノードは、仮想イーサネットブリッジングやIPルーティングサービスを提供します。

- DC Gateway (DC GW): Gateway to the outside world providing DC interconnect and connectivity to Internet and VPN customers. In the current DC network model, this may be simply a router connected to the Internet and/or an IP VPN/L2VPN PE. Some network implementations may dedicate DC GWs for different connectivity types (e.g., a DC GW for Internet and another for VPN).

- DCゲートウェイ(DC GW):インターネットとVPNの顧客にDC相互接続と接続を提供する外界へのゲートウェイ。現在のDCネットワークモデルでは、これは単にインターネットに接続されたルーターやIP VPN / L2VPN PEである可能性があります。一部のネットワーク実装では、DC GWをさまざまな接続タイプ専用に使用する場合があります(インターネット用のDC GWとVPN用のDC GWなど)。

Note that End Devices may be single-homed or multihomed to access switches.

エンドデバイスは、スイッチにアクセスするためにシングルホームまたはマルチホームにすることができます。

2. Reference Models
2. 参照モデル
2.1. Generic Reference Model
2.1. 一般的な参照モデル

Figure 2 depicts a DC reference model for network virtualization overlays where NVEs provide a logical interconnect between Tenant Systems that belong to a specific VN.

図2は、ネットワーク仮想化オーバーレイのDCリファレンスモデルを示しています。NVEは、特定のVNに属するテナントシステム間の論理的な相互接続を提供します。

         +--------+                                    +--------+
         | Tenant +--+                            +----| Tenant |
         | System |  |                           (')   | System |
         +--------+  |    .................     (   )  +--------+
                     |  +---+           +---+    (_)
                     +--|NVE|---+   +---|NVE|-----+
                        +---+   |   |   +---+
                        / .    +-----+      .
                       /  . +--| NVA |--+   .
                      /   . |  +-----+   \  .
                     |    . |             \ .
                     |    . |   Overlay   +--+--++--------+
         +--------+  |    . |   Network   | NVE || Tenant |
         | Tenant +--+    . |             |     || System |
         | System |       .  \ +---+      +--+--++--------+
         +--------+       .....|NVE|.........
                               +---+
                                 |
                                 |
                       =====================
                         |               |
                     +--------+      +--------+
                     | Tenant |      | Tenant |
                     | System |      | System |
                     +--------+      +--------+
        

Figure 2: Generic Reference Model for DC Network Virtualization Overlays

図2:DCネットワーク仮想化オーバーレイの一般的な参照モデル

In order to obtain reachability information, NVEs may exchange information directly between themselves via a control-plane protocol. In this case, a control-plane module resides in every NVE.

到達可能性情報を取得するために、NVEはコントロールプレーンプロトコルを介して相互に直接情報を交換する場合があります。この場合、コントロールプレーンモジュールはすべてのNVEに常駐します。

It is also possible for NVEs to communicate with an external Network Virtualization Authority (NVA) to obtain reachability and forwarding information. In this case, a protocol is used between NVEs and NVA(s) to exchange information.

NVEが外部のNetwork Virtualization Authority(NVA)と通信して、到達可能性と転送情報を取得することもできます。この場合、NVEとNVAの間でプロトコルを使用して情報を交換します。

It should be noted that NVAs may be organized in clusters for redundancy and scalability and can appear as one logically centralized controller. In this case, inter-NVA communication is necessary to synchronize state among nodes within a cluster or share information across clusters. The information exchanged between NVAs of the same cluster could be different from the information exchanged across clusters.

NVAは冗長性とスケーラビリティーのためにクラスターに編成される場合があり、1つの論理的に集中化されたコントローラーとして表示される場合があることに注意してください。この場合、クラスター内のノード間で状態を同期したり、クラスター間で情報を共有したりするには、NVA間通信が必要です。同じクラスターのNVA間で交換される情報は、クラスター間で交換される情報と異なる場合があります。

A Tenant System can be attached to an NVE in several ways:

テナントシステムは、いくつかの方法でNVEに接続できます。

- locally, by being co-located in the same End Device

- ローカルで、同じエンドデバイスに共存

- remotely, via a point-to-point connection or a switched network

- ポイントツーポイント接続またはスイッチドネットワークを介してリモートで

When an NVE is co-located with a Tenant System, the state of the Tenant System can be determined without protocol assistance. For instance, the operational status of a VM can be communicated via a local API. When an NVE is remotely connected to a Tenant System, the state of the Tenant System or NVE needs to be exchanged directly or via a management entity, using a control-plane protocol or API, or directly via a data-plane protocol.

NVEがテナントシステムと同じ場所にある場合、プロトコルの支援なしでテナントシステムの状態を判別できます。たとえば、VMの動作ス​​テータスは、ローカルAPIを介して通信できます。 NVEがリモートでテナントシステムに接続されている場合、テナントシステムまたはNVEの状態は、直接または管理エンティティを介して、コントロールプレーンプロトコルまたはAPIを使用して、またはデータプレーンプロトコルを介して直接交換する必要があります。

The functional components in Figure 2 do not necessarily map directly to the physical components described in Figure 1. For example, an End Device can be a server blade with VMs and a virtual switch. A VM can be a Tenant System, and the NVE functions may be performed by the host server. In this case, the Tenant System and NVE function are co-located. Another example is the case where the End Device is the Tenant System and the NVE function can be implemented by the connected ToR. In this case, the Tenant System and NVE function are not co-located.

図2の機能コンポーネントは、必ずしも図1で説明した物理コンポーネントに直接マッピングする必要はありません。たとえば、エンドデバイスは、VMと仮想スイッチを備えたサーバーブレードにすることができます。 VMはテナントシステムにすることができ、NVE機能はホストサーバーで実行できます。この場合、テナントシステムとNVE機能は同じ場所に配置されます。別の例は、エンドデバイスがテナントシステムであり、NVE機能が接続されたToRによって実装できる場合です。この場合、テナントシステムとNVE機能は同じ場所に配置されません。

Underlay nodes utilize L3 technologies to interconnect NVE nodes. These nodes perform forwarding based on outer L3 header information, and generally do not maintain state for each tenant service, albeit some applications (e.g., multicast) may require control-plane or forwarding-plane information that pertains to a tenant, group of tenants, tenant service, or a set of services that belong to one or more tenants. Mechanisms to control the amount of state maintained in the underlay may be needed.

アンダーレイノードはL3テクノロジーを利用してNVEノードを相互接続します。これらのノードは、外部L3ヘッダー情報に基づいて転送を実行し、一部のアプリケーション(たとえば、マルチキャスト)は、テナント、テナントのグループに関連するコントロールプレーンまたは転送プレーン情報を必要とする場合がありますが、通常、各テナントサービスの状態を維持しません。テナントサービス、または1つ以上のテナントに属する一連のサービス。アンダーレイで維持される状態の量を制御するメカニズムが必要になる場合があります。

2.2. NVE Reference Model
2.2. NVE参照モデル

Figure 3 depicts the NVE reference model. One or more VNIs can be instantiated on an NVE. A Tenant System interfaces with a corresponding VNI via a VAP. An overlay module provides tunneling overlay functions (e.g., encapsulation and decapsulation of tenant traffic, tenant identification, and mapping, etc.).

図3は、NVE参照モデルを示しています。 1つ以上のVNIをNVEでインスタンス化できます。テナントシステムは、VAPを介して対応するVNIとインターフェイスします。オーバーレイモジュールは、トンネリングオーバーレイ機能(たとえば、テナントトラフィックのカプセル化とカプセル化解除、テナントの識別、マッピングなど)を提供します。

                     +-------- L3 Network -------+
                     |                           |
                     |        Tunnel Overlay     |
         +------------+---------+       +---------+------------+
         | +----------+-------+ |       | +---------+--------+ |
         | |  Overlay Module  | |       | |  Overlay Module  | |
         | +---------+--------+ |       | +---------+--------+ |
         |           |VN Context|       | VN Context|          |
         |           |          |       |           |          |
         |  +--------+-------+  |       |  +--------+-------+  |
         |  | |VNI|   .  |VNI|  |       |  | |VNI|   .  |VNI|  |
    NVE1 |  +-+------------+-+  |       |  +-+-----------+--+  | NVE2
         |    |   VAPs     |    |       |    |    VAPs   |     |
         +----+------------+----+       +----+-----------+-----+
              |            |                 |           |
              |            |                 |           |
             Tenant Systems                 Tenant Systems
        

Figure 3: Generic NVE Reference Model

図3:一般的なNVE参照モデル

Note that some NVE functions (e.g., data-plane and control-plane functions) may reside in one device or may be implemented separately in different devices.

一部のNVE機能(データプレーン機能やコントロールプレーン機能など)は1つのデバイスに常駐することも、別々のデバイスに個別に実装することもできます。

2.3. NVE Service Types
2.3. NVEサービスタイプ

An NVE provides different types of virtualized network services to multiple tenants, i.e., an L2 service or an L3 service. Note that an NVE may be capable of providing both L2 and L3 services for a tenant. This section defines the service types and associated attributes.

NVEは、L2サービスまたはL3サービスなど、さまざまなタイプの仮想化ネットワークサービスを複数のテナントに提供します。 NVEは、テナントにL2とL3の両方のサービスを提供できる場合があることに注意してください。このセクションでは、サービスタイプと関連する属性を定義します。

2.3.1. L2 NVE Providing Ethernet LAN-Like Service
2.3.1. イーサネットLANのようなサービスを提供するL2 NVE

An L2 NVE implements Ethernet LAN emulation, an Ethernet-based multipoint service similar to an IETF Virtual Private LAN Service (VPLS) [RFC4761][RFC4762] or Ethernet VPN [EVPN] service, where the Tenant Systems appear to be interconnected by a LAN environment over an L3 overlay. As such, an L2 NVE provides per-tenant virtual switching instance (L2 VNI) and L3 (IP/MPLS) tunneling encapsulation of tenant Media Access Control (MAC) frames across the underlay. Note that the control plane for an L2 NVE could be implemented locally on the NVE or in a separate control entity.

L2 NVEはイーサネットLANエミュレーションを実装しています。これは、IETF仮想プライベートLANサービス(VPLS)[RFC4761] [RFC4762]またはイーサネットVPN [EVPN]サービスに類似したイーサネットベースのマルチポイントサービスであり、テナントシステムはLANによって相互接続されているように見えますL3オーバーレイ上の環境。そのため、L2 NVEは、アンダーレイ全体のテナントメディアアクセス制御(MAC)フレームのテナントごとの仮想スイッチングインスタンス(L2 VNI)およびL3(IP / MPLS)トンネリングカプセル化を提供します。 L2 NVEのコントロールプレーンは、NVEにローカルに実装することも、別のコントロールエンティティに実装することもできます。

2.3.2. L3 NVE Providing IP/VRF-Like Service
2.3.2. IP / VRFのようなサービスを提供するL3 NVE

An L3 NVE provides virtualized IP forwarding service, similar to IETF IP VPN (e.g., BGP/MPLS IP VPN [RFC4364]) from a service definition perspective. That is, an L3 NVE provides per-tenant forwarding and routing instance (L3 VNI) and L3 (IP/MPLS) tunneling encapsulation of tenant IP packets across the underlay. Note that routing could be performed locally on the NVE or in a separate control entity.

L3 NVEは、サービス定義の観点から見ると、IETF IP VPN(BGP / MPLS IP VPN [RFC4364]など)と同様の仮想化IP転送サービスを提供します。つまり、L3 NVEは、アンダーレイ全体のテナントIPパケットのカプセル化をテナントごとの転送およびルーティングインスタンス(L3 VNI)およびL3(IP / MPLS)に提供します。ルーティングは、NVEでローカルに実行することも、別の制御エンティティで実行することもできます。

2.4. Operational Management Considerations
2.4. 運用管理に関する考慮事項

NVO3 services are overlay services over an IP underlay.

NVO3サービスは、IPアンダーレイ上のオーバーレイサービスです。

As far as the IP underlay is concerned, existing IP Operations, Administration, and Maintenance (OAM) facilities are used.

IPアンダーレイに関する限り、既存のIP運用、管理、および保守(OAM)機能が使用されます。

With regard to the NVO3 overlay, both L2 and L3 services can be offered. It is expected that existing fault and performance OAM facilities will be used. Sections 4.1 and 4.2.6 provide further discussion of additional fault and performance management issues to consider.

NVO3オーバーレイに関しては、L2とL3の両方のサービスを提供できます。既存の障害およびパフォーマンスOAM機能が使用されることが予想されます。セクション4.1と4.2.6では、考慮すべき追加の障害とパフォーマンス管理の問題について詳しく説明します。

As far as configuration is concerned, the DC environment is driven by the need to bring new services up rapidly and is typically very dynamic, specifically in the context of virtualized services. It is therefore critical to automate the configuration of NVO3 services.

構成に関する限り、DC環境は、新しいサービスを迅速に立ち上げる必要性によって推進され、特に仮想化されたサービスのコンテキストでは、通常、非常に動的です。したがって、NVO3サービスの構成を自動化することが重要です。

3. Functional Components
3. 機能部品

This section decomposes the network virtualization architecture into the functional components described in Figure 3 to make it easier to discuss solution options for these components.

このセクションでは、ネットワーク仮想化アーキテクチャを図3に示す機能コンポーネントに分解して、これらのコンポーネントのソリューションオプションについて簡単に説明します。

3.1. Service Virtualization Components
3.1. サービス仮想化コンポーネント
3.1.1. Virtual Access Points (VAPs)
3.1.1. 仮想アクセスポイント(VAP)

Tenant Systems are connected to VNIs through Virtual Access Points (VAPs).

テナントシステムは、仮想アクセスポイント(VAP)を介してVNIに接続されます。

VAPs can be physical ports or virtual ports identified through logical interface identifiers (e.g., VLAN ID and internal vSwitch Interface ID connected to a VM).

VAPは、論理インターフェイス識別子(例:VLAN IDとVMに接続された内部vSwitchインターフェイスID)で識別される物理ポートまたは仮想ポートです。

3.1.2. Virtual Network Instance (VNI)
3.1.2. 仮想ネットワークインスタンス(VNI)

A VNI is a specific VN instance on an NVE. Each VNI defines a forwarding context that contains reachability information and policies.

VNIは、NVE上の特定のVNインスタンスです。各VNIは、到達可能性の情報とポリシーを含む転送コンテキストを定義します。

3.1.3. Overlay Modules and VN Context
3.1.3. オーバーレイモジュールとVNコンテキスト

Mechanisms for identifying each tenant service are required to allow the simultaneous overlay of multiple tenant services over the same underlay L3 network topology. In the data plane, each NVE, upon sending a tenant packet, must be able to encode the VN Context for the destination NVE in addition to the L3 tunneling information (e.g., source IP address identifying the source NVE and the destination IP address identifying the destination NVE, or MPLS label). This allows the destination NVE to identify the tenant service instance and therefore appropriately process and forward the tenant packet.

同じアンダーレイL3ネットワークトポロジで複数のテナントサービスを同時にオーバーレイできるようにするには、各テナントサービスを識別するメカニズムが必要です。データプレーンでは、各NVEは、テナントパケットを送信するときに、L3トンネリング情報に加えて、宛先NVEのVNコンテキストをエンコードできる必要があります(たとえば、ソースNVEを識別するソースIPアドレスと、宛先NVE、またはMPLSラベル)。これにより、宛先NVEはテナントサービスインスタンスを識別できるため、テナントパケットを適切に処理して転送できます。

The overlay module provides tunneling overlay functions: tunnel initiation/termination as in the case of stateful tunnels (see Section 3.1.4) and/or encapsulation/decapsulation of frames from the VAPs/L3 underlay.

オーバーレイモジュールは、トンネリングオーバーレイ機能を提供します。ステートフルトンネルの場合のトンネルの開始/終了(セクション3.1.4を参照)および/またはVAP / L3アンダーレイからのフレームのカプセル化/カプセル化解除。

In a multi-tenant context, tunneling aggregates frames from/to different VNIs. Tenant identification and traffic demultiplexing are based on the VN Context identifier.

マルチテナントのコンテキストでは、トンネリングにより、異なるVNIとの間でフレームが集約されます。テナントの識別とトラフィックの逆多重化は、VNコンテキスト識別子に基づいています。

The following approaches can be considered:

次のアプローチを検討できます。

- VN Context identifier per Tenant: This is a globally unique (on a per-DC administrative domain) VN identifier used to identify the corresponding VNI. Examples of such identifiers in existing technologies are IEEE VLAN IDs and Service Instance IDs (I-SIDs) that identify virtual L2 domains when using IEEE 802.1Q and IEEE 802.1ah, respectively. Note that multiple VN identifiers can belong to a tenant.

- テナントごとのVNコンテキスト識別子:これは、対応するVNIを識別するために使用される(DCごとの管理ドメイン上で)グローバルに一意のVN識別子です。既存のテクノロジーにおけるそのような識別子の例は、IEEE 802.1QおよびIEEE 802.1ahをそれぞれ使用するときに仮想L2ドメインを識別するIEEE VLAN IDおよびサービスインスタンスID(I-SID)です。複数のVN IDが1つのテナントに属することができることに注意してください。

- One VN Context identifier per VNI: Each VNI value is automatically generated by the egress NVE, or a control plane associated with that NVE, and usually distributed by a control-plane protocol to all the related NVEs. An example of this approach is the use of per-VRF MPLS labels in IP VPN [RFC4364]. The VNI value is therefore locally significant to the egress NVE.

- VNIごとに1つのVNコンテキスト識別子:各VNI値は、出力NVEまたはそのNVEに関連付けられたコントロールプレーンによって自動的に生成され、通常、コントロールプレーンプロトコルによってすべての関連するNVEに配布されます。このアプローチの例は、IP VPN [RFC4364]でのVRFごとのMPLSラベルの使用です。したがって、VNI値は、出力NVEにとってローカルで重要です。

- One VN Context identifier per VAP: A value locally significant to an NVE is assigned and usually distributed by a control-plane protocol to identify a VAP. An example of this approach is the use of per-CE MPLS labels in IP VPN [RFC4364].

- VAPごとに1つのVNコンテキスト識別子:NVEに対してローカルで重要な値が割り当てられ、通常はコントロールプレーンプロトコルによって分散されて、VAPを識別します。このアプローチの例は、IP VPN [RFC4364]でのCE単位のMPLSラベルの使用です。

Note that when using one VN Context per VNI or per VAP, an additional global identifier (e.g., a VN identifier or name) may be used by the control plane to identify the tenant context.

VNIまたはVAPごとに1つのVNコンテキストを使用する場合、追加のグローバル識別子(たとえば、VN識別子または名前)がテナントコンテキストを識別するためにコントロールプレーンによって使用される場合があることに注意してください。

3.1.4. Tunnel Overlays and Encapsulation Options
3.1.4. トンネルオーバーレイとカプセル化オプション

Once the VN Context identifier is added to the frame, an L3 tunnel encapsulation is used to transport the frame to the destination NVE.

VNコンテキスト識別子がフレームに追加されると、L3トンネルカプセル化を使用して、フレームが宛先NVEに転送されます。

Different IP tunneling options (e.g., Generic Routing Encapsulation (GRE), the Layer 2 Tunneling Protocol (L2TP), and IPsec) and MPLS tunneling can be used. Tunneling could be stateless or stateful. Stateless tunneling simply entails the encapsulation of a tenant packet with another header necessary for forwarding the packet across the underlay (e.g., IP tunneling over an IP underlay). Stateful tunneling, on the other hand, entails maintaining tunneling state at the tunnel endpoints (i.e., NVEs). Tenant packets on an ingress NVE can then be transmitted over such tunnels to a destination (egress) NVE by encapsulating the packets with a corresponding tunneling header. The tunneling state at the endpoints may be configured or dynamically established. Solutions should specify the tunneling technology used and whether it is stateful or stateless. In this document, however, tunneling and tunneling encapsulation are used interchangeably to simply mean the encapsulation of a tenant packet with a tunneling header necessary to carry the packet between an ingress NVE and an egress NVE across the underlay. It should be noted that stateful tunneling, especially when configuration is involved, does impose management overhead and scale constraints. When confidentiality is required, the use of opportunistic security [OPPSEC] can be used as a stateless tunneling solution.

さまざまなIPトンネリングオプション(Generic Routing Encapsulation(GRE)、レイヤー2トンネリングプロトコル(L2TP)、IPsecなど)やMPLSトンネリングを使用できます。トンネリングは、ステートレスまたはステートフルです。ステートレストンネリングでは、アンダーレイを介してパケットを転送するために必要な別のヘッダーを含むテナントパケットのカプセル化が必要です(たとえば、IPアンダーレイを介したIPトンネリング)。一方、ステートフルトンネリングでは、トンネルエンドポイント(つまり、NVE)でトンネリング状態を維持する必要があります。入力NVE上のテナントパケットは、対応するトンネリングヘッダーでパケットをカプセル化することにより、そのようなトンネルを介して宛先(出力)NVEに送信できます。エンドポイントのトンネリング状態は、構成することも、動的に確立することもできます。ソリューションでは、使用するトンネリングテクノロジーと、それがステートフルかステートレスかを指定する必要があります。ただし、このドキュメントでは、トンネリングとトンネリングカプセル化は同じ意味で使用されており、アンダーレイを介して入力NVEと出力NVEの間でパケットを伝送するために必要なトンネリングヘッダーを持つテナントパケットのカプセル化を意味します。ステートフルトンネリングは、特に構成が関係する場合、管理オーバーヘッドとスケール制約を課すことに注意してください。機密性が必要な場合は、日和見セキュリティ[OPPSEC]をステートレストンネリングソリューションとして使用できます。

3.1.5. Control-Plane Components
3.1.5. コントロールプレーンコンポーネント
3.1.5.1. Distributed vs. Centralized Control Plane
3.1.5.1. 分散型と集中型のコントロールプレーン

Control- and management-plane entities can be centralized or distributed. Both approaches have been used extensively in the past. The routing model of the Internet is a good example of a distributed approach. Transport networks have usually used a centralized approach to manage transport paths.

コントロールプレーンおよびマネージメントプレーンのエンティティは、集中化または分散できます。どちらのアプローチも過去に広く使用されてきました。インターネットのルーティングモデルは、分散型アプローチの良い例です。トランスポートネットワークは通常、トランスポートパスを管理するために集中型のアプローチを使用しています。

It is also possible to combine the two approaches, i.e., using a hybrid model. A global view of network state can have many benefits, but it does not preclude the use of distributed protocols within the network. Centralized models provide a facility to maintain global state and distribute that state to the network. When used in combination with distributed protocols, greater network efficiencies, improved reliability, and robustness can be achieved. Domain- and/or deployment-specific constraints define the balance between centralized and distributed approaches.

また、ハイブリッドモデルを使用して、2つのアプローチを組み合わせることが可能です。ネットワーク状態のグローバルビューには多くの利点がありますが、ネットワーク内での分散プロトコルの使用を排除するものではありません。集中型モデルは、グローバルな状態を維持し、その状態をネットワークに配信する機能を提供します。分散プロトコルと組み合わせて使用​​すると、ネットワーク効率の向上、信頼性の向上、および堅牢性を実現できます。ドメイン固有および/またはデプロイメント固有の制約は、集中型アプローチと分散型アプローチのバランスを定義します。

3.1.5.2. Auto-provisioning and Service Discovery
3.1.5.2. 自動プロビジョニングとサービス検出

NVEs must be able to identify the appropriate VNI for each Tenant System. This is based on state information that is often provided by external entities. For example, in an environment where a VM is a Tenant System, this information is provided by VM orchestration systems, since these are the only entities that have visibility of which VM belongs to which tenant.

NVEは、各テナントシステムに適切なVNIを識別できる必要があります。これは、外部エンティティによって提供されることが多い状態情報に基づいています。たとえば、VMがテナントシステムである環境では、これらの情報はVMオーケストレーションシステムによって提供されます。これは、これらのシステムが、どのVMがどのテナントに属しているかを確認できる唯一のエンティティだからです。

A mechanism for communicating this information to the NVE is required. VAPs have to be created and mapped to the appropriate VNI. Depending upon the implementation, this control interface can be implemented using an auto-discovery protocol between Tenant Systems and their local NVE or through management entities. In either case, appropriate security and authentication mechanisms to verify that Tenant System information is not spoofed or altered are required. This is one critical aspect for providing integrity and tenant isolation in the system.

この情報をNVEに伝達するためのメカニズムが必要です。 VAPを作成し、適切なVNIにマッピングする必要があります。実装によっては、この制御インターフェースは、テナントシステムとそのローカルNVEの間の自動検出プロトコルを使用して、または管理エンティティを介して実装できます。どちらの場合も、テナントシステムの情報が偽装または変更されていないことを確認するための適切なセキュリティおよび認証メカニズムが必要です。これは、システムに整合性とテナントの分離を提供するための重要な側面の1つです。

NVEs may learn reachability information for VNIs on other NVEs via a control protocol that exchanges such information among NVEs or via a management-control entity.

NVEは、NVE間でこのような情報を交換する制御プロトコルを介して、または管理制御エンティティを介して、他のNVE上のVNIの到達可能性情報を学習できます。

3.1.5.3. Address Advertisement and Tunnel Mapping
3.1.5.3. アドレスアドバタイズメントとトンネルマッピング

As traffic reaches an ingress NVE on a VAP, a lookup is performed to determine which NVE or local VAP the packet needs to be sent to. If the packet is to be sent to another NVE, the packet is encapsulated with a tunnel header containing the destination information (destination IP address or MPLS label) of the egress NVE. Intermediate nodes (between the ingress and egress NVEs) switch or route traffic based upon the tunnel destination information.

トラフィックがVAPの入力NVEに到達すると、ルックアップが実行され、パケットの送信先となるNVEまたはローカルVAPが決定されます。パケットが別のNVEに送信される場合、パケットは、出力NVEの宛先情報(宛先IPアドレスまたはMPLSラベル)を含むトンネルヘッダーでカプセル化されます。中間ノード(入力NVEと出力NVEの間)は、トンネルの宛先情報に基づいてトラフィックを切り替えまたはルーティングします。

A key step in the above process consists of identifying the destination NVE the packet is to be tunneled to. NVEs are responsible for maintaining a set of forwarding or mapping tables that hold the bindings between destination VM and egress NVE addresses. Several ways of populating these tables are possible: control plane driven, management plane driven, or data plane driven.

上記のプロセスの重要なステップは、パケットがトンネルされる宛先NVEを識別することです。 NVEは、宛先VMと出力NVEアドレス間のバインディングを保持する一連の転送テーブルまたはマッピングテーブルの維持を担当します。これらのテーブルに入力する方法はいくつかあります。コントロールプレーン駆動、管理プレーン駆動、またはデータプレーン駆動です。

When a control-plane protocol is used to distribute address reachability and tunneling information, the auto-provisioning and service discovery could be accomplished by the same protocol. In this scenario, the auto-provisioning and service discovery could be combined with (be inferred from) the address advertisement and associated tunnel mapping. Furthermore, a control-plane protocol that carries both MAC and IP addresses eliminates the need for the Address Resolution Protocol (ARP) and hence addresses one of the issues with explosive ARP handling as discussed in [RFC6820].

コントロールプレーンプロトコルを使用してアドレスの到達可能性とトンネリング情報を配信する場合、自動プロビジョニングとサービスディスカバリは同じプロトコルで実行できます。このシナリオでは、自動プロビジョニングとサービスディスカバリを、アドレスアドバタイズメントと関連するトンネルマッピングと組み合わせる(推測する)ことができます。さらに、MACアドレスとIPアドレスの両方を伝送するコントロールプレーンプロトコルは、アドレス解決プロトコル(ARP)の必要性を排除し、[RFC6820]で説明されている爆発的なARP処理の問題の1つに対処します。

3.1.5.4. Overlay Tunneling
3.1.5.4. オーバーレイトンネリング

For overlay tunneling, and dependent upon the tunneling technology used for encapsulating the Tenant System packets, it may be sufficient to have one or more local NVE addresses assigned and used in the source and destination fields of a tunneling encapsulation header. Other information that is part of the tunneling encapsulation header may also need to be configured. In certain cases, local NVE configuration may be sufficient while in other cases, some tunneling-related information may need to be shared among NVEs. The information that needs to be shared will be technology dependent. For instance, potential information could include tunnel identity, encapsulation type, and/or tunnel resources. In certain cases, such as when using IP multicast in the underlay, tunnels that interconnect NVEs may need to be established. When tunneling information needs to be exchanged or shared among NVEs, a control-plane protocol may be required. For instance, it may be necessary to provide active/standby status information between NVEs, up/down status information, pruning/grafting information for multicast tunnels, etc.

オーバーレイトンネリングの場合、テナントシステムパケットのカプセル化に使用されるトンネリングテクノロジーによっては、1つ以上のローカルNVEアドレスを割り当て、トンネリングカプセル化ヘッダーの送信元フィールドと宛先フィールドで使用するだけで十分な場合があります。トンネリングカプセル化ヘッダーの一部である他の情報も構成する必要がある場合があります。場合によっては、ローカルのNVE構成で十分なこともありますが、他の場合では、一部のトンネリング関連情報をNVE間で共有する必要があります。共有する必要のある情報はテクノロジーに依存します。たとえば、潜在的な情報には、トンネルID、カプセル化タイプ、トンネルリソースなどが含まれます。アンダーレイでIPマルチキャストを使用する場合など、特定のケースでは、NVEを相互接続するトンネルを確立する必要がある場合があります。トンネリング情報をNVE間で交換または共有する必要がある場合、コントロールプレーンプロトコルが必要になることがあります。たとえば、NVE間のアクティブ/スタンバイステータス情報、アップ/ダウンステータス情報、マルチキャストトンネルのプルーニング/グラフティング情報などを提供する必要がある場合があります。

In addition, a control plane may be required to set up the tunnel path for some tunneling technologies. This applies to both unicast and multicast tunneling.

さらに、一部のトンネリング技術では、トンネルパスをセットアップするためにコントロールプレーンが必要になる場合があります。これは、ユニキャストトンネリングとマルチキャストトンネリングの両方に適用されます。

3.2. Multihoming
3.2. マルチホーミング

Multihoming techniques can be used to increase the reliability of an NVO3 network. It is also important to ensure that the physical diversity in an NVO3 network is taken into account to avoid single points of failure.

マルチホーミング技術を使用して、NVO3ネットワークの信頼性を高めることができます。また、単一障害点を回避するために、NVO3ネットワークの物理的な多様性を考慮に入れることも重要です。

Multihoming can be enabled in various nodes, from Tenant Systems into ToRs, ToRs into core switches/routers, and core nodes into DC GWs.

マルチホーミングは、テナントシステムからToRへ、ToRからコアスイッチ/ルーターへ、コアノードからDC GWへ、さまざまなノードで有効にできます。

The NVO3 underlay nodes (i.e., from NVEs to DC GWs) rely on IP routing techniques or MPLS re-rerouting capabilities as the means to re-route traffic upon failures.

NVO3アンダーレイノード(つまり、NVEからDC GWへ)は、障害時にトラフィックを再ルーティングする手段として、IPルーティング技術またはMPLS再ルーティング機能に依存しています。

When a Tenant System is co-located with the NVE, the Tenant System is effectively single-homed to the NVE via a virtual port. When the Tenant System and the NVE are separated, the Tenant System is connected to the NVE via a logical L2 construct such as a VLAN, and it can be multihomed to various NVEs. An NVE may provide an L2 service to the end system or an l3 service. An NVE may be multihomed to a next layer in the DC at L2 or L3. When an NVE provides an L2 service and is not co-located with the end system, loop-avoidance techniques must be used. Similarly, when the NVE provides L3 service, similar dual-homing techniques can be used. When the NVE provides an L3 service to the end system, it is possible that no dynamic routing protocol is enabled between the end system and the NVE. The end system can be multihomed to multiple physically separated L3 NVEs over multiple interfaces. When one of the links connected to an NVE fails, the other interfaces can be used to reach the end system.

テナントシステムがNVEと同じ場所にある場合、テナントシステムは事実上、仮想ポートを介してNVEにシングルホームされます。テナントシステムとNVEが分離されている場合、テナントシステムはVLANなどの論理L2構成を介してNVEに接続され、さまざまなNVEにマルチホーム化できます。 NVEは、L2サービスをエンドシステムまたはl3サービスに提供できます。 NVEは、L2またはL3のDC内の次のレイヤーにマルチホームされる場合があります。 NVEがL2サービスを提供し、エンドシステムと同じ場所に配置されていない場合は、ループ回避技術を使用する必要があります。同様に、NVEがL3サービスを提供する場合、同様のデュアルホーミング技術を使用できます。 NVEがL3サービスをエンドシステムに提供する場合、エンドシステムとNVEの間で動的ルーティングプロトコルが有効にならない可能性があります。エンドシステムは、複数のインターフェイスを介して、物理的に分離された複数のL3 NVEにマルチホーム化できます。 NVEに接続されているリンクの1つに障害が発生した場合、他のインターフェイスを使用してエンドシステムに到達できます。

External connectivity from a DC can be handled by two or more DC gateways. Each gateway provides access to external networks such as VPNs or the Internet. A gateway may be connected to two or more edge nodes in the external network for redundancy. When a connection to an upstream node is lost, the alternative connection is used, and the failed route withdrawn.

DCからの外部接続は、2つ以上のDCゲートウェイで処理できます。各ゲートウェイは、VPNやインターネットなどの外部ネットワークへのアクセスを提供します。ゲートウェイは、冗長性のために外部ネットワークの2つ以上のエッジノードに接続できます。上流ノードへの接続が失われると、代替接続が使用され、失敗したルートが撤回されます。

3.3. VM Mobility
3.3. VMモビリティ

In DC environments utilizing VM technologies, an important feature is that VMs can move from one server to another server in the same or different L2 physical domains (within or across DCs) in a seamless manner.

VMテクノロジーを利用するDC環境では、重要な機能は、VMが同じまたは異なるL2物理ドメイン(DC内またはDC全体)のあるサーバーから別のサーバーにシームレスに移動できることです。

A VM can be moved from one server to another in stopped or suspended state ("cold" VM mobility) or in running/active state ("hot" VM mobility). With "hot" mobility, VM L2 and L3 addresses need to be preserved. With "cold" mobility, it may be desired to preserve at least VM L3 addresses.

VMは、停止または一時停止状態(「コールド」VMモビリティ)または実行/アクティブ状態(「ホット」VMモビリティ)で、あるサーバーから別のサーバーに移動できます。 「ホット」モビリティでは、VM L2およびL3アドレスを保持する必要があります。 「コールド」モビリティでは、少なくともVM L3アドレスを保持することが望ましい場合があります。

Solutions to maintain connectivity while a VM is moved are necessary in the case of "hot" mobility. This implies that connectivity among VMs is preserved. For instance, for L2 VNs, ARP caches are updated accordingly.

「ホット」モビリティの場合、VMの移動中に接続を維持するためのソリューションが必要です。これは、VM間の接続が維持されることを意味します。たとえば、L2 VNの場合、ARPキャッシュはそれに応じて更新されます。

Upon VM mobility, NVE policies that define connectivity among VMs must be maintained.

VMモビリティでは、VM間の接続を定義するNVEポリシーを維持する必要があります。

During VM mobility, it is expected that the path to the VM's default gateway assures adequate QoS to VM applications, i.e., QoS that matches the expected service-level agreement for these applications.

VMの移動中は、VMのデフォルトゲートウェイへのパスにより、VMアプリケーションに対する適切なQoS、つまり、これらのアプリケーションに期待されるサービスレベル契約と一致するQoSが保証されます。

4. Key Aspects of Overlay Networks
4. オーバーレイネットワークの主要な側面

The intent of this section is to highlight specific issues that proposed overlay solutions need to address.

このセクションの目的は、提案されたオーバーレイソリューションが対処する必要がある特定の問題を強調することです。

4.1. Pros and Cons
4.1. 長所と短所

An overlay network is a layer of virtual network topology on top of the physical network.

オーバーレイネットワークは、物理ネットワークの上にある仮想ネットワークトポロジのレイヤーです。

Overlay networks offer the following key advantages:

オーバーレイネットワークには、次の主要な利点があります。

- Unicast tunneling state management and association of Tenant Systems reachability are handled at the edge of the network (at the NVE). Intermediate transport nodes are unaware of such state. Note that when multicast is enabled in the underlay network to build multicast trees for tenant VNs, there would be more state related to tenants in the underlay core network.

- ユニキャストトンネリングの状態管理とテナントシステムの到達可能性の関連付けは、ネットワークのエッジ(NVE)で処理されます。中間トランスポートノードはそのような状態を認識しません。アンダーレイネットワークでマルチキャストを有効にしてテナントVNのマルチキャストツリーを構築すると、アンダーレイコアネットワークのテナントに関連する状態が増えることに注意してください。

- Tunneling is used to aggregate traffic and hide tenant addresses from the underlay network and hence offers the advantage of minimizing the amount of forwarding state required within the underlay network.

- トンネリングは、トラフィックを集約し、テナントアドレスをアンダーレイネットワークから隠すために使用されるため、アンダーレイネットワーク内で必要な転送状態の量を最小限に抑えるという利点があります。

- Decoupling of the overlay addresses (MAC and IP) used by VMs from the underlay network provides tenant separation and separation of the tenant address spaces from the underlay address space.

- VMが使用するオーバーレイアドレス(MACおよびIP)をアンダーレイネットワークから分離することで、テナントの分離と、アンダーレイアドレススペースからのテナントアドレススペースの分離が実現します。

- Overlay networks support of a large number of virtual network identifiers.

- オーバーレイネットワークは、多数の仮想ネットワーク識別子をサポートしています。

Overlay networks also create several challenges:

オーバーレイネットワークには、いくつかの課題もあります。

- Overlay networks typically have no control of underlay networks and lack underlay network information (e.g., underlay utilization):

- オーバーレイネットワークは通常、アンダーレイネットワークを制御できず、アンダーレイネットワーク情報(たとえば、アンダーレイの使用率)がありません。

o Overlay networks and/or their associated management entities typically probe the network to measure link or path properties, such as available bandwidth or packet loss rate. It is difficult to accurately evaluate network properties. It might be preferable for the underlay network to expose usage and performance information.

o オーバーレイネットワークおよび関連する管理エンティティは、通常、ネットワークを調査して、使用可能な帯域幅やパケット損失率などのリンクまたはパスのプロパティを測定します。ネットワークプロパティを正確に評価することは困難です。アンダーレイネットワークが使用状況とパフォーマンス情報を公開することが望ましい場合があります。

o Miscommunication or lack of coordination between overlay and underlay networks can lead to an inefficient usage of network resources.

o オーバーレイネットワークとアンダーレイネットワーク間の通信の誤りまたは調整の欠如は、ネットワークリソースの非効率的な使用につながる可能性があります。

o When multiple overlays co-exist on top of a common underlay network, the lack of coordination between overlays can lead to performance issues and/or resource usage inefficiencies.

o 複数のオーバーレイが共通のアンダーレイネットワーク上に共存する場合、オーバーレイ間の調整の欠如は、パフォーマンスの問題やリソースの非効率性、あるいはその両方につながる可能性があります。

- Traffic carried over an overlay might fail to traverse firewalls and NAT devices.

- オーバーレイを介して伝送されるトラフィックは、ファイアウォールおよびNATデバイスを通過できない場合があります。

- Multicast service scalability: Multicast support may be required in the underlay network to address tenant flood containment or efficient multicast handling. The underlay may also be required to maintain multicast state on a per-tenant basis or even on a per-individual multicast flow of a given tenant. Ingress replication at the NVE eliminates that additional multicast state in the underlay core, but depending on the multicast traffic volume, it may cause inefficient use of bandwidth.

- マルチキャストサービスのスケーラビリティ:テナントフラッド抑制や効率的なマルチキャスト処理に対処するために、アンダーレイネットワークでマルチキャストサポートが必要になる場合があります。アンダーレイは、テナントごとに、または特定のテナントの個々のマルチキャストフローごとにマルチキャスト状態を維持するためにも必要になる場合があります。 NVEでの入力レプリケーションは、アンダーレイコアの追加のマルチキャストステートを排除しますが、マルチキャストトラフィックの量によっては、帯域幅の非効率的な使用を引き起こす可能性があります。

4.2. Overlay Issues to Consider
4.2. 検討するオーバーレイの問題
4.2.1. Data Plane vs. Control Plane Driven
4.2.1. データプレーン駆動とコントロールプレーン駆動

In the case of an L2 NVE, it is possible to dynamically learn MAC addresses against VAPs. It is also possible that such addresses be known and controlled via management or a control protocol for both L2 NVEs and L3 NVEs. Dynamic data-plane learning implies that flooding of unknown destinations be supported and hence implies that broadcast and/or multicast be supported or that ingress replication be used as described in Section 4.2.3. Multicasting in the underlay network for dynamic learning may lead to significant scalability limitations. Specific forwarding rules must be enforced to prevent loops from happening. This can be achieved using a spanning tree, a shortest path tree, or a split-horizon mesh.

L2 NVEの場合、VAPに対してMACアドレスを動的に学習することが可能です。そのようなアドレスが既知であり、L2 NVEとL3 NVEの両方の管理または制御プロトコルを介して制御されることも可能です。動的データプレーン学習は、不明な宛先のフラッディングがサポートされることを意味し、したがって、セクション4.2.3で説明されているように、ブロードキャストまたはマルチキャスト、あるいはその両方がサポートされること、または入力レプリケーションが使用されることを意味します。動的学習のためのアンダーレイネットワークでのマルチキャストは、大幅なスケーラビリティの制限につながる可能性があります。ループが発生しないようにするには、特定の転送ルールを適用する必要があります。これは、スパニングツリー、最短パスツリー、またはスプリットホライズンメッシュを使用して実現できます。

It should be noted that the amount of state to be distributed is dependent upon network topology and the number of virtual machines. Different forms of caching can also be utilized to minimize state distribution between the various elements. The control plane should not require an NVE to maintain the locations of all the Tenant Systems whose VNs are not present on the NVE. The use of a control plane does not imply that the data plane on NVEs has to maintain all the forwarding state in the control plane.

配布される状態の量は、ネットワークトポロジと仮想マシンの数に依存することに注意してください。さまざまな要素間の状態分布を最小限に抑えるために、さまざまな形式のキャッシングを利用することもできます。コントロールプレーンは、VNがNVEに存在しないすべてのテナントシステムの場所を維持するためにNVEを必要としません。コントロールプレーンの使用は、NVE上のデータプレーンがコントロールプレーンのすべての転送状態を維持する必要があることを意味しません。

4.2.2. Coordination between Data Plane and Control Plane
4.2.2. データプレーンとコントロールプレーン間の調整

For an L2 NVE, the NVE needs to be able to determine MAC addresses of the Tenant Systems connected via a VAP. This can be achieved via data-plane learning or a control plane. For an L3 NVE, the NVE needs to be able to determine the IP addresses of the Tenant Systems connected via a VAP.

L2 NVEの場合、NVEはVAP経由で接続されたテナントシステムのMACアドレスを判別できる必要があります。これは、データプレーン学習またはコントロールプレーンを介して実現できます。 L3 NVEの場合、NVEはVAP経由で接続されたテナントシステムのIPアドレスを判別できる必要があります。

In both cases, coordination with the NVE control protocol is needed such that when the NVE determines that the set of addresses behind a VAP has changed, it triggers the NVE control plane to distribute this information to its peers.

どちらの場合も、NVEがVAPの背後にあるアドレスのセットが変更されたと判断すると、NVEコントロールプレーンをトリガーしてこの情報をピアに配信するように、NVE制御プロトコルとの調整が必要です。

4.2.3. Handling Broadcast, Unknown Unicast, and Multicast (BUM) Traffic
4.2.3. ブロードキャスト、不明なユニキャスト、およびマルチキャスト(BUM)トラフィックの処理

There are several options to support packet replication needed for broadcast, unknown unicast, and multicast. Typical methods include:

ブロードキャスト、不明なユニキャスト、およびマルチキャストに必要なパケット複製をサポートするいくつかのオプションがあります。一般的な方法は次のとおりです。

- Ingress replication

- 入力レプリケーション

- Use of underlay multicast trees

- アンダーレイマルチキャストツリーの使用

There is a bandwidth vs. state trade-off between the two approaches. Depending upon the degree of replication required (i.e., the number of hosts per group) and the amount of multicast state to maintain, trading bandwidth for state should be considered.

2つのアプローチの間には、帯域幅と状態のトレードオフがあります。必要な複製の程度(つまり、グループごとのホストの数)と維持するマルチキャスト状態の量に応じて、状態の帯域幅のトレードを検討する必要があります。

When the number of hosts per group is large, the use of underlay multicast trees may be more appropriate. When the number of hosts is small (e.g., 2-3) and/or the amount of multicast traffic is small, ingress replication may not be an issue.

グループあたりのホスト数が多い場合は、アンダーレイマルチキャストツリーを使用する方が適切な場合があります。ホストの数が少ない(例:2-3)か、マルチキャストトラフィックの量が少ない場合、入力レプリケーションは問題にならない場合があります。

Depending upon the size of the data center network and hence the number of (S,G) entries, and also the duration of multicast flows, the use of underlay multicast trees can be a challenge.

データセンターネットワークのサイズ、したがって(S、G)エントリの数、およびマルチキャストフローの継続時間によっては、アンダーレイマルチキャストツリーの使用が困難な場合があります。

When flows are well known, it is possible to pre-provision such multicast trees. However, it is often difficult to predict application flows ahead of time; hence, programming of (S,G) entries for short-lived flows could be impractical.

フローがよく知られている場合、そのようなマルチキャストツリーを事前プロビジョニングすることが可能です。ただし、アプリケーションのフローを事前に予測することはしばしば困難です。したがって、存続期間の短いフローの(S、G)エントリのプログラミングは実用的ではありません。

A possible trade-off is to use in the underlay shared multicast trees as opposed to dedicated multicast trees.

可能なトレードオフは、専用マルチキャストツリーではなく、アンダーレイ共有マルチキャストツリーで使用することです。

4.2.4. Path MTU
4.2.4. パスMTU

When using overlay tunneling, an outer header is added to the original frame. This can cause the MTU of the path to the egress tunnel endpoint to be exceeded.

オーバーレイトンネリングを使用すると、外部ヘッダーが元のフレームに追加されます。これにより、出力トンネルエンドポイントへのパスのMTUを超える可能性があります。

It is usually not desirable to rely on IP fragmentation for performance reasons. Ideally, the interface MTU as seen by a Tenant System is adjusted such that no fragmentation is needed.

パフォーマンス上の理由から、通常はIPフラグメンテーションに依存することは望ましくありません。理想的には、テナントシステムから見たインターフェイスMTUは、断片化が不要になるように調整されます。

It is possible for the MTU to be configured manually or to be discovered dynamically. Various Path MTU discovery techniques exist in order to determine the proper MTU size to use:

MTUを手動で構成することも、動的に検出することもできます。使用する適切なMTUサイズを決定するために、さまざまなパスMTU検出手法が存在します。

- Classical ICMP-based Path MTU Discovery [RFC1191] [RFC1981]

- 従来のICMPベースのパスMTU発見[RFC1191] [RFC1981]

Tenant Systems rely on ICMP messages to discover the MTU of the end-to-end path to its destination. This method is not always possible, such as when traversing middleboxes (e.g., firewalls) that disable ICMP for security reasons.

テナントシステムは、宛先へのエンドツーエンドパスのMTUを検出するためにICMPメッセージに依存しています。セキュリティ上の理由でICMPを無効にするミドルボックス(ファイアウォールなど)を通過する場合など、この方法は常に可能とは限りません。

- Extended Path MTU Discovery techniques such as those defined in [RFC4821]

- [RFC4821]で定義されているような拡張パスMTU発見技術

Tenant Systems send probe packets of different sizes and rely on confirmation of receipt or lack thereof from receivers to allow a sender to discover the MTU of the end-to-end paths.

テナントシステムは、さまざまなサイズのプローブパケットを送信し、受信者からの受信または欠落の確認に依存して、送信者がエンドツーエンドパスのMTUを発見できるようにします。

While it could also be possible to rely on the NVE to perform segmentation and reassembly operations without relying on the Tenant Systems to know about the end-to-end MTU, this would lead to undesired performance and congestion issues as well as significantly increase the complexity of hardware NVEs required for buffering and reassembly logic.

エンドツーエンドのMTUを知るためにテナントシステムに依存せずに、NVEに依存してセグメンテーションおよび再アセンブリ操作を実行することもできますが、これにより、望ましくないパフォーマンスと輻輳の問題が発生するだけでなく、複雑さが大幅に増大します。バッファリングおよび再構成ロジックに必要なハードウェアNVEの数。

Preferably, the underlay network should be designed in such a way that the MTU can accommodate the extra tunneling and possibly additional NVO3 header encapsulation overhead.

好ましくは、アンダーレイネットワークは、MTUが追加のトンネリングと、場合によっては追加のNVO3ヘッダーカプセル化オーバーヘッドに対応できるように設計する必要があります。

4.2.5. NVE Location Trade-Offs
4.2.5. NVEロケーションのトレードオフ

In the case of DC traffic, traffic originated from a VM is native Ethernet traffic. This traffic can be switched by a local virtual switch or ToR switch and then by a DC gateway. The NVE function can be embedded within any of these elements.

DCトラフィックの場合、VMから発信されたトラフィックはネイティブイーサネットトラフィックです。このトラフィックは、ローカルの仮想スイッチまたはToRスイッチによって切り替えられ、次にDCゲートウェイによって切り替えられます。 NVE関数は、これらの要素のいずれかに埋め込むことができます。

There are several criteria to consider when deciding where the NVE function should happen:

NVE機能が発生する場所を決定する際に考慮すべきいくつかの基準があります。

- Processing and memory requirements

- 処理およびメモリ要件

o Datapath (e.g., lookups, filtering, and encapsulation/decapsulation)

o データパス(検索、フィルタリング、カプセル化/カプセル化解除など)

o Control-plane processing (e.g., routing, signaling, and OAM) and where specific control-plane functions should be enabled

o コントロールプレーン処理(ルーティング、シグナリング、OAMなど)および特定のコントロールプレーン機能を有効にする場所

- FIB/RIB size

- FIB / RIBサイズ

- Multicast support

- マルチキャストサポート

o Routing/signaling protocols

o ルーティング/シグナリングプロトコル

o Packet replication capability

o パケット複製機能

o Multicast FIB

o マルチキャストFIB

- Fragmentation support

- 断片化のサポート

- QoS support (e.g., marking, policing, and queuing)

- QoSサポート(マーキング、ポリシング、キューイングなど)

- Resiliency

- 弾力性

4.2.6. Interaction between Network Overlays and Underlays
4.2.6. ネットワークオーバーレイとアンダーレイの相互作用

When multiple overlays co-exist on top of a common underlay network, resources (e.g., bandwidth) should be provisioned to ensure that traffic from overlays can be accommodated and QoS objectives can be met. Overlays can have partially overlapping paths (nodes and links).

複数のオーバーレイが共通のアンダーレイネットワークの上に共存する場合、リソース(帯域幅など)をプロビジョニングして、オーバーレイからのトラフィックに対応し、QoSの目標を確実に満たす必要があります。オーバーレイは、部分的に重複するパス(ノードとリンク)を持つことができます。

Each overlay is selfish by nature. It sends traffic so as to optimize its own performance without considering the impact on other overlays, unless the underlay paths are traffic engineered on a per-overlay basis to avoid congestion of underlay resources.

それぞれのオーバーレイは本質的に利己的です。アンダーレイパスのトラフィックがオーバーレイごとにエンジニアリングされてアンダーレイリソースの輻輳が回避されない限り、他のオーバーレイへの影響を考慮せずに独自のパフォーマンスを最適化するようにトラフィックを送信します。

Better visibility between overlays and underlays, or general coordination in placing overlay demands on an underlay network, may be achieved by providing mechanisms to exchange performance and liveliness information between the underlay and overlay(s) or by the use of such information by a coordination system. Such information may include:

オーバーレイとアンダーレイの間のより良い可視性、またはアンダーレイネットワークにオーバーレイの要求を配置する際の一般的な調整は、アンダーレイとオーバーレイの間でパフォーマンスと活性の情報を交換するメカニズムを提供することによって、または調整システムによってそのような情報を使用することによって達成できます。 。そのような情報には以下が含まれます。

- Performance metrics (throughput, delay, loss, jitter) such as defined in [RFC3148], [RFC2679], [RFC2680], and [RFC3393].

- [RFC3148]、[RFC2679]、[RFC2680]、および[RFC3393]で定義されているようなパフォーマンスメトリック(スループット、遅延、損失、ジッター)。

- Cost metrics

- コスト指標

5. Security Considerations
5. セキュリティに関する考慮事項

There are three points of view when considering security for NVO3. First, the service offered by a service provider via NVO3 technology to a tenant must meet the mutually agreed security requirements. Second, a network implementing NVO3 must be able to trust the virtual network identity associated with packets received from a tenant. Third, an NVO3 network must consider the security associated with running as an overlay across the underlay network.

NVO3のセキュリティを検討する場合、3つの視点があります。まず、NVO3テクノロジーを介してサービスプロバイダーがテナントに提供するサービスは、相互に合意したセキュリティ要件を満たしている必要があります。次に、NVO3を実装するネットワークは、テナントから受信したパケットに関連付けられた仮想ネットワークIDを信頼できる必要があります。 3番目に、NVO3ネットワークは、アンダーレイネットワーク全体でオーバーレイとして実行することに関連するセキュリティを考慮する必要があります。

To meet a tenant's security requirements, the NVO3 service must deliver packets from the tenant to the indicated destination(s) in the overlay network and external networks. The NVO3 service provides data confidentiality through data separation. The use of both VNIs and tunneling of tenant traffic by NVEs ensures that NVO3 data is kept in a separate context and thus separated from other tenant traffic. The infrastructure supporting an NVO3 service (e.g., management systems, NVEs, NVAs, and intermediate underlay networks) should be limited to authorized access so that data integrity can be expected. If a tenant requires that its data be confidential, then the Tenant System may choose to encrypt its data before transmission into the NVO3 service.

テナントのセキュリティ要件を満たすために、NVO3サービスは、テナントからオーバーレイネットワークおよび外部ネットワークの指定された宛先にパケットを配信する必要があります。 NVO3サービスは、データの分離を通じてデータの機密性を提供します。 NVEによるVNIとテナントトラフィックのトンネリングの両方を使用すると、NVO3データが別のコンテキストに保持され、他のテナントトラフィックから分離されます。 NVO3サービスをサポートするインフラストラクチャ(管理システム、NVE、NVA、中間アンダーレイネットワークなど)は、データの整合性を期待できるように、承認されたアクセスに限定する必要があります。テナントがデータの機密性を要求する場合、テナントシステムはNVO3サービスに送信する前にデータを暗号化することを選択できます。

An NVO3 service must be able to verify the VNI received on a packet from the tenant. To ensure this, not only tenant data but also NVO3 control data must be secured (e.g., control traffic between NVAs and NVEs, between NVAs, and between NVEs). Since NVEs and NVAs play a central role in NVO3, it is critical that secure access to NVEs and NVAs be ensured such that no unauthorized access is possible. As discussed in Section 3.1.5.2, identification of Tenant Systems is based upon state that is often provided by management systems (e.g., a VM orchestration system in a virtualized environment). Secure access to such management systems must also be ensured. When an NVE receives data from a Tenant System, the tenant identity needs to be verified in order to guarantee that it is authorized to access the corresponding VN. This can be achieved by identifying incoming packets against specific VAPs in some cases. In other circumstances, authentication may be necessary. Once this verification is done, the packet is allowed into the NVO3 overlay, and no integrity protection is provided on the overlay packet encapsulation (e.g., the VNI, destination NVE, etc.).

NVO3サービスは、テナントからパケットで受信したVNIを検証できる必要があります。これを確実にするには、テナントデータだけでなくNVO3制御データ(NVAとNVEの間、NVA間、NVE間の制御トラフィックなど)も保護する必要があります。 NVEとNVAはNVO3で中心的な役割を果たすため、NVEとNVAへの安全なアクセスを確保して、不正アクセスを防止することが重要です。セクション3.1.5.2で説明したように、テナントシステムの識別は、管理システム(仮想化環境のVMオーケストレーションシステムなど)によって提供されることが多い状態に基づいています。このような管理システムへの安全なアクセスも確保する必要があります。 NVEがテナントシステムからデータを受信するとき、対応するVNへのアクセスが許可されていることを保証するために、テナントIDを検証する必要があります。これは、場合によっては特定のVAPに対して着信パケットを識別することで実現できます。他の状況では、認証が必要になる場合があります。この検証が完了すると、パケットはNVO3オーバーレイに許可され、オーバーレイパケットのカプセル化(VNI、宛先NVEなど)で整合性保護は提供されません。

Since an NVO3 service can run across diverse underlay networks, when the underlay network is not trusted to provide at least data integrity, data encryption is needed to assure correct packet delivery.

NVO3サービスはさまざまなアンダーレイネットワークで実行できるため、アンダーレイネットワークが少なくともデータの整合性を提供することが信頼されていない場合、正しいパケット配信を保証するにはデータ暗号化が必要です。

It is also desirable to restrict the types of information (e.g., topology information as discussed in Section 4.2.6) that can be exchanged between an NVO3 service and underlay networks based upon their agreed security requirements.

また、合意されたセキュリティ要件に基づいて、NVO3サービスとアンダーレイネットワークの間で交換できる情報の種類(セクション4.2.6で説明されているトポロジ情報など)を制限することも望ましいです。

6. Informative References
6. 参考引用

[EVPN] Sajassi, A., Aggarwal, R., Bitar, N., Isaac, A., and J. Uttaro, "BGP MPLS Based Ethernet VPN", Work in Progress, draft-ietf-l2vpn-evpn-10, October 2014.

[EVPN] Sajassi、A.、Aggarwal、R.、Bitar、N.、Isaac、A.、J。Uttaro、「BGP MPLSベースのイーサネットVPN」、作業中、draft-ietf-l2vpn-evpn-10、 2014年10月。

[OPPSEC] Dukhovni, V. "Opportunistic Security: Some Protection Most of the Time", Work in Progress, draft-dukhovni-opportunistic-security-04, August 2014.

[OPPSEC] Dukhovni、V。「日和見セキュリティ:ほとんどの場合はある程度の保護」、進行中の作業、draft-dukhovni-opportunistic-security-04、2014年8月。

[RFC1191] Mogul, J. and S. Deering, "Path MTU discovery", RFC 1191, November 1990, <http://www.rfc-editor.org/info/rfc1191>.

[RFC1191] Mogul、J。およびS. Deering、「Path MTU discovery」、RFC 1191、1990年11月、<http://www.rfc-editor.org/info/rfc1191>。

[RFC1981] McCann, J., Deering, S., and J. Mogul, "Path MTU Discovery for IP version 6", RFC 1981, August 1996, <http://www.rfc-editor.org/info/rfc1981>.

[RFC1981] McCann、J.、Deering、S。、およびJ. Mogul、「Path MTU Discovery for IP version 6」、RFC 1981、1996年8月、<http://www.rfc-editor.org/info/rfc1981 >。

[RFC2679] Almes, G., Kalidindi, S., and M. Zekauskas, "A One-way Delay Metric for IPPM", RFC 2679, September 1999, <http://www.rfc-editor.org/info/rfc2679>.

[RFC2679] Almes、G.、Kalidindi、S。、およびM. Zekauskas、「A IP-way Delay Metric for IPPM」、RFC 2679、1999年9月、<http://www.rfc-editor.org/info/ rfc2679>。

[RFC2680] Almes, G., Kalidindi, S., and M. Zekauskas, "A One-way Packet Loss Metric for IPPM", RFC 2680, September 1999, <http://www.rfc-editor.org/info/rfc2680>.

[RFC2680] Almes、G.、Kalidindi、S。、およびM. Zekauskas、「IPPMの片方向パケット損失メトリック」、RFC 2680、1999年9月、<http://www.rfc-editor.org/info / rfc2680>。

[RFC3148] Mathis, M. and M. Allman, "A Framework for Defining Empirical Bulk Transfer Capacity Metrics", RFC 3148, July 2001, <http://www.rfc-editor.org/info/rfc3148>.

[RFC3148] Mathis、M。、およびM. Allman、「経験的バルク転送容量メトリックを定義するためのフレームワーク」、RFC 3148、2001年7月、<http://www.rfc-editor.org/info/rfc3148>。

[RFC3393] Demichelis, C. and P. Chimento, "IP Packet Delay Variation Metric for IP Performance Metrics (IPPM)", RFC 3393, November 2002, <http://www.rfc-editor.org/info/rfc3393>.

[RFC3393]デミケリス、C。およびP.キメント、「IPパフォーマンスメトリックのIPパケット遅延変動メトリック(IPPM)」、RFC 3393、2002年11月、<http://www.rfc-editor.org/info/rfc3393> 。

[RFC4364] Rosen, E. and Y. Rekhter, "BGP/MPLS IP Virtual Private Networks (VPNs)", RFC 4364, February 2006, <http://www.rfc-editor.org/info/rfc4364>.

[RFC4364] Rosen、E.およびY. Rekhter、「BGP / MPLS IP Virtual Private Networks(VPNs)」、RFC 4364、2006年2月、<http://www.rfc-editor.org/info/rfc4364>。

[RFC4761] Kompella, K., Ed., and Y. Rekhter, Ed., "Virtual Private LAN Service (VPLS) Using BGP for Auto-Discovery and Signaling", RFC 4761, January 2007, <http://www.rfc-editor.org/info/rfc4761>.

[RFC4761] Kompella、K.、Ed。、and Y. Rekhter、Ed。、 "Virtual Private LAN Service(VPLS)Using BGP for Auto-Discovery and Signaling"、RFC 4761、April 2007、<http:// www。 rfc-editor.org/info/rfc4761>。

[RFC4762] Lasserre, M., Ed., and V. Kompella, Ed., "Virtual Private LAN Service (VPLS) Using Label Distribution Protocol (LDP) Signaling", RFC 4762, January 2007, <http://www.rfc-editor.org/info/rfc4762>.

[RFC4762] Lasserre、M。、編、およびV. Kompella、編、「Label Distribution Protocol(LDP)シグナリングを使用した仮想プライベートLANサービス(VPLS)」、RFC 4762、2007年1月、<http:// www。 rfc-editor.org/info/rfc4762>。

[RFC4821] Mathis, M. and J. Heffner, "Packetization Layer Path MTU Discovery", RFC 4821, March 2007, <http://www.rfc-editor.org/info/rfc4821>.

[RFC4821] Mathis、M。およびJ. Heffner、「Packetization Layer Path MTU Discovery」、RFC 4821、2007年3月、<http://www.rfc-editor.org/info/rfc4821>。

[RFC6820] Narten, T., Karir, M., and I. Foo, "Address Resolution Problems in Large Data Center Networks", RFC 6820, January 2013, <http://www.rfc-editor.org/info/rfc6820>.

[RFC6820] Narten、T.、Kairr、M。、およびI. Foo、「大規模データセンターネットワークにおけるアドレス解決の問題」、RFC 6820、2013年1月、<http://www.rfc-editor.org/info/ rfc6820>。

[RFC7364] Narten, T., Ed., Gray, E., Ed., Black, D., Fang, L., Kreeger, L., and M. Napierala, "Problem Statement: Overlays for Network Virtualization", RFC 7364, October 2014, <http://www.rfc-editor.org/info/rfc7364>.

[RFC7364] Narten、T.、Ed。、Gray、E.、Ed。、Black、D.、Fang、L.、Kreeger、L。、およびM. Napierala、「Problem Statement:Overlays for Network Virtualization」、RFC 7364、2014年10月、<http://www.rfc-editor.org/info/rfc7364>。

Acknowledgments

謝辞

In addition to the authors, the following people contributed to this document: Dimitrios Stiliadis, Rotem Salomonovitch, Lucy Yong, Thomas Narten, Larry Kreeger, and David Black.

著者に加えて、次の人々がこのドキュメントに貢献しました:Dimitrios Stiliadis、Rotem Salomonovitch、Lucy Yong、Thomas Narten、Larry Kreeger、およびDavid Black。

Authors' Addresses

著者のアドレス

Marc Lasserre Alcatel-Lucent EMail: marc.lasserre@alcatel-lucent.com

Marc Lasserre Alcatel-Lucentメール:marc.lasserre@alcatel-lucent.com

Florin Balus Alcatel-Lucent 777 E. Middlefield Road Mountain View, CA 94043 United States EMail: florin.balus@alcatel-lucent.com

Florin Balus Alcatel-Lucent 777 E. Middlefield Road Mountain View、CA 94043 United Statesメール:florin.balus@alcatel-lucent.com

Thomas Morin Orange EMail: thomas.morin@orange.com

Thomas Morin Orangeメール:thomas.morin@orange.com

Nabil Bitar Verizon 50 Sylvan Road Waltham, MA 02145 United States EMail: nabil.n.bitar@verizon.com

Nabil Bitar Verizon 50 Sylvan Road Waltham、MA 02145 United Statesメール:nabil.n.bitar@verizon.com

Yakov Rekhter Juniper EMail: yakov@juniper.net

Yakov Rekhter Juniper EMail:yakov@juniper.net