Arista vEOSのVXLAN over IPSecVPNでドはまりした
2023年04月01日(土) - 17:39 | カテゴリ: Network
最初に結論を書いてしまうが、
vEOSではVXLANインターフェースでPath MTU Discoveryが出来ないのが原因だった。
………
今までもVXLANは試用していたが、MTU1500の同一LAN内でしか使っていなかった。
今回は広域LANでどう動くのか見る為、
インターネット経由のIPSecVPNをアンダーレイネットワークとして構築した上に、
VXLANを構築しようとしたのだが、通信を流しても断続的に止まってしまった。
通常はMTU1500でLAN内の通信をする事が多い。
しかし、IPSecVPNをするとVPNパケット分のオーバーヘッドが増えてしまう。
昨今のインターネット回線でMTU1500の通信が出来るのはビジネス用途とNURO位で、
他の回線は軒並みMTUを減らす必要がある。
vEOSでPath MTU Discoveryが出来ないので、
アンダーレイのMTUを1550以上まで増やす必要があるのだが、
インターネット上のIPSecVPNが問題になりMTUの変更が出来なかった。
少し調べてみた所、
ネットワーク層(L3)ならPath MTU Discoveryでパケットの分割と再構築が出来るが、
データリンク層(L2)でMTU分割をすると、
パケットを上手く繋ぎなおすのが難しいらしく搭載されないケースが多い模様。
ALAXALAの高いL3スイッチではVXLAN PMTUが搭載されているが、
他ベンダーのネットワーク装置では搭載している物が見つからなかった。
今回は検証環境なので別の手段に置き換えて構築する方針に変更する事に。
今後やろうと思っているKubernetesでも使う内容なので、
この機会に細かい部分まで弄ってみようと思う。
