OCXのAzure シングルタグ機 能解説とデモ 2023/02/16 事業本部 サービスデリバリーG 丸野 達矢

自己紹介 名前：丸野 達矢 (MARUNO Tatsuya / tmaruno) 趣味：バイク、キャンプ、スキー、写真 普段の業務： - OCX-CloudConnectionの全般 - 各クラウドとの直接接続における - 仕様確認 - 物理回線調達 - 設計 - 開発 - 運用 - 営業活動技術支援 - BBIXの業務と兼務 出身/住まい：熊本、今は栃木県の北部に在住

Azure「シングルタグ機能」追加、をリリース ● https://www.bbix.net/information/news/2023-01-12/ ● https://www.bbsakura.net/news/ocx-2023-01-12-01/

お客様ラック イメージ 4 4 NNI-Pri NNI-Sec MSEE MSEE VC VC CPE CPE 拠点A-02 拠点A-01 PP PP VCI VCI Cloud Connection Cloud Connection ■OCX作成リスト ・CloudConnection x2 ・VC x2 ・PP(PhysicalPort) x2 ・VCI x2 ※CPE = Customer Premises Equipment ■ CPEに転送される内容 転送方式 ・ダブルタグ（QinQ） ■ CPEに転送される内容 転送方式 ・シングルタグ（dot1q） 【いままで】 【実装後】

そもそもダブルタグとは https://en.wikipedia.org/wiki/IEEE_802.1Q 雑な説明をすると、タグを2重にして拡張した機能（外側のタグをS-tag、内側のタグをC-tagと呼ぶ） 主にプロバイダがNWリソースをテナント展開するときに用いられるVLAN技術 ・シングル）VID：2^12 bit = 約4,000VLAN ・ダブル　）VID：2^24 bit = たくさん（4000ユーザーそれぞれに約4000VLAN展開とか） 通称QinQと言われる。（シングルタグはそのままdot1qと呼ぶことが多い） ※厳密にはTPIDが0x88a8のものがQinQ、ただ0x8100のダブルタグでも区別しやすいようにQinQと呼ぶ ※気になること：QinQ or Q-in-Qどっちが正しいとかあるのかな、、、

Azureシングルタグ対応のメリット ● CPEの機器採用時に、ダブルタグを考える必要がない ○ ダブルタグそのものがあまり馴染みのない仕組み、ユーザーへの学習コストや設計コストがかかる ● クラウドとの直接接続において、Azureだけがダブルタグで他クラウドはシングルタ グ、違いはなるだけ減らしたい ○ サービスリリースの段階から統一化できればよかったが、そんなにうまくはいかず、、、

裏で何やってるか

お客様ラック AS65000 シングルタグ対応実装 ”前” 8 8 NNI-Pri NNI-Sec MSEE MSEE VC VC Vlan: 904 CPE CPE 拠点A-02 拠点A-01 PP PP VCI Vlan: 300 VCI Vlan: 300 Cloud Connection Cloud Connection ■OCX作成リスト ・CloudConnection x2 ・VC x2 ・PP(PhysicalPort) x2 ・VCI x2 ethernet01.300 encapsulation dot1q 300 second-dot1q 904 ip address 172.16.20.1 255.255.255.252 ethernet01.300 encapsulation dot1q 300 second-dot1q 904 ip address 172.16.10.1 255.255.255.252 ■ CPEに転送される内容 転送方式 ・ダブルタグ（QinQ） VLAN情報 ・S-tag: 300 　→VCIで付けたVLAN ・C-tag: 904 　→Azure&CloudConnectionで 　　付けたVLAN ※CPE = Customer Premises Equipment 65000

Ctag CPE SW SW MSEE MAC VLAN 300 VLAN 904 IP Data FCS VCI VLAN_ID: 300 Azure InternalVLAN VLAN_ID: 5 InternalVLAN VLAN_ID: 200 CloudConnection VLAN_ID: 904 S-tag: 40 (サービスキー自動生成) C-tag: 904 (Azureポータル設定) MAC VLAN 5 VLAN 904 IP Data FCS MAC VLAN 200 VLAN 904 IP Data FCS MAC VLAN 40 VLAN 904 IP Data FCS Stag 9 NNI PP NNIでVLAN変換 PPでVLAN変換 VC C-tagはそのまま透過 ダブルタグ方式のパケット整理 プロバイダにて S-tagだけVLAN変換し、 ダブルタグのまま転送

CPE SW SW MSEE MAC VLAN 300 IP Data FCS VCI VLAN_ID: 300 Azure InternalVLAN VLAN_ID: 5 InternalVLAN VLAN_ID: 200 CloudConnection VLAN_ID: 904 MAC VLAN 5 IP Data FCS MAC VLAN 200 IP Data FCS MAC VLAN 40 VLAN 904 IP Data FCS NNIでVLAN変換 Ctag PPでVLAN変換 NNI PP dot1q vlan-tag 10 Stag VC シングルタグ方式になるとどうなるか プロバイダにて、 S-tag/C-tag両方をNNI部分で解決しVLAN変換、 dot1qシングルタグ化して転送 S-tag: 40 (サービスキー自動生成) C-tag: 904 (Azureポータル設定)

お客様ラック AS65000 シングルタグ対応実装 ”前” 11 11 NNI-Pri NNI-Sec MSEE MSEE VC VC Vlan: 904 CPE CPE 拠点A-02 拠点A-01 PP PP VCI Vlan: 300 VCI Vlan: 300 Cloud Connection Cloud Connection ■OCX作成リスト ・CloudConnection x2 ・VC x2 ・PP(PhysicalPort) x2 ・VCI x2 ethernet01.300 encapsulation dot1q 300 second-dot1q 904 ip address 172.16.20.1 255.255.255.252 ethernet01.300 encapsulation dot1q 300 second-dot1q 904 ip address 172.16.10.1 255.255.255.252 ■ CPEに転送される内容 転送方式 ・ダブルタグ（QinQ） VLAN情報 ・S-tag: 300 　→VCIで付けたVLAN ・C-tag: 904 　→Azure&CloudConnectionで 　　付けたVLAN ※CPE = Customer Premises Equipment 65000

お客様ラック AS65000 シングルタグ対応実装 “後” 12 12 NNI-Pri NNI-Sec MSEE MSEE VC VC Vlan: 904 CPE CPE 拠点A-02 拠点A-01 PP PP VCI Vlan: 300 VCI Vlan: 300 Cloud Connection Cloud Connection ■OCX作成リスト ・CloudConnection x2 ・VC x2 ・PP(PhysicalPort) x2 ・VCI x2 ethernet01.300 encapsulation dot1q 300 ip address 172.16.20.1 255.255.255.252 ethernet01.300 encapsulation dot1q 300 ip address 172.16.10.1 255.255.255.252 ■ CPEに転送される内容 転送方式 ・シングルタグ（dot1q） VLAN情報 ・vlan-tag: 300 　→VCI付けたVLAN ※CPE = Customer Premises Equipment 65000

せっかくなのでデモ

お客様ラック AS65000 デモ構成 14 14 NNI-Pri NNI-Sec MSEE MSEE VC VC Vlan: 904 CPE CPE 拠点A-02 拠点A-01 PP PP VCI Vlan: 300 VCI Vlan: 300 Cloud Connection Cloud Connection ■OCX作成リスト ・CloudConnection x2 ・VC x2 ・PP(PhysicalPort) x2 ・VCI x2 ethernet01.300 encapsulation dot1q 300 ip address 192.168.114.1 255.255.255.252 ethernet01.300 encapsulation dot1q 300 ip address 192.168.104.1 255.255.255.252 ■ CPEに転送される内容 転送方式 ・シングルタグ（dot1q） VLAN情報 ・vlan-tag: 300 　→VCI付けたVLAN ※CPE = Customer Premises Equipment 192.168.104.0/30 192.168.114.0/30 65000

お客様ラック AS65000 デモ内容 15 15 NNI-Pri NNI-Sec MSEE MSEE VC VC Vlan: 904 CPE CPE 拠点A-02 拠点A-01 PP PP VCI Vlan: 300 VCI Vlan: 300 Cloud Connection Cloud Connection ■OCX作成リスト ・CloudConnection x2 ・VC x2 ・PP(PhysicalPort) x2 ・VCI x2 ※CPE = Customer Premises Equipment ②CloudConnectionの作成 ①AzureExpressRouteCir cuit作成(サービスキー発行) ③Azureプライベートピアリ ング設定 ④VCアタッチ ethernet01.300 encapsulation dot1q 300 ip address 192.168.104.1 255.255.255.252 ⑤BGPピアping確認 192.168.104.1 192.168.104.2 192.168.104.0/30 ※以下は事前に設定済み - PhysicalPort購入＆配線済み - VCI(VLAN300)作成 - VC作成 - CPE設置 - Interface設定 - BGPピア設定

①AzureExpressRouteCircuit作成(サービスキー発行)

No content

Tokyo1

①サービスキー発行完了！

②CloudConnectionの作成

No content

No content

※今回実装したとこ！！！

No content

②CloudConnection作成完了！

③Azureプライベートピアリング設定

No content

65000 192.168.104.0/30 192.168.114.0/30 904 testtest

③Azureプライベートピアリング設定完了！

④VCアタッチ

No content

VCI側アタッチ、CloudConnection側アタッチ ↓VCI側　　　　　　　　　　　　　　　　↓CloudConnection側

④VCアタッチ完了！

NNI-Pri MSEE VC CPE 拠点A-01 PP VCI Vlan:300 Cloud Connection VLAN:904 ethernet01.300 encapsulation dot1q 300 ip address 192.168.104.1 255.255.255.252 192.168.104.0/30 192.168.114.0/30 65000 CPE# ping 192.168.104.1 > ！！！！ CPE# ping 192.168.104.2 > ！！！！ →→→ OK！！！！！ テスト 192.168.104.1 192.168.104.2 192.168.104.0/30

まとめ ● Azureとの直接接続は、ちょっと複雑 ● OCXでは、なるだけ簡単にクラウド接続できるものを届けたい ○ Azure接続の今後としては、シングルタグを中心に考える方向に倒す予定 ○ よりシンプルな機能＆分かりやすい課金方式で、ユーザーを迷わせない

最近、クラウド接続＋クラウド NWについてアドカレ記事を書いたので、よかったら見てください。 https://qiita.com/tmaruno/items/d07baa3920ead21c28a8 ※おまけ