EVPN/VXLAN Architecture Deep Dive
EVPN/VXLAN Arkitektura Deep Dive
BGP EVPN bide motak, VTEPren aurkikuntza, simetriko vs asimetriko IRB, ARP kentzea eta multihoming - Cisco NX-OS, Arista EOS eta Junos CLI adibideekin.
Zergatik VXLAN?
IEEE 802.1Q VLANak 4.094 ID ditu emisio-domeinuko, murriztapen gogorra intentsibo anitzeko datu-zentroetan, non milaka bezero-segmentuk elkarrekin bizi behar duten azpiegitura partekatuan. VXLAN (Virtual eXtensible LAN, ) Ethernet markoak UDP/IP barruan kapsulatuz ebazten du, 24 biteko VNI (VXLAN sareko identifikatzailea) erabiliz 16,7 milioi segmentu logiko onartzeko.
VXLANek 2. geruza birtualaren topologia deskodetzen du 3 geruza fisikotik, VXLANeko tunelaren amaierako puntuen artean IP bideraketa estandarra (ECMP, OSPF, BGP) baimenduz. Kanpoko UDP goiburuak helburuko ataka erabiltzen du (IANAk sinatua; inplementazio goiztiarrek 8472) erabili zuten. ~50 byte IPv4n, ~70 byte IPv6an.
2. VTEP Discovery Methods
VTEPek VTEP parekoak aurkitu behar ditu tunelak konfiguratzeko eta BUM (Broadcast, Unknown unicast, Multicast) trafikoa banatzeko. Hiru mekanismo daude praktikan:
| Metodoa | Nola funtzionatzen duen | Prostituzioa | Cons |
|---|---|---|---|
| Multidifusioa | VNI bakoitzak PIM multicast talde batera mapatzen du, beheko lerroan; BUMen trafikoa talde horretara doa. | Parekoen aurkikuntza automatikoa | PIM multicast-a behar du azpilanetan; operadore askok multicast-a desgaitzen dute |
| Ingress erreplikazioa | VTEP bakoitzak VNIko urruneko VTEPen zerrenda esplizitua mantentzen du; BUM trafikoa pareko bakoitzari erreplikatzen zaio. | Ez da multidifusiorik behar | Headend-ek BUM paketeko O(N) erreplikazioa egiten du; aldizkako zerrendak eskuzko mantentze-lanak behar ditu |
| BGP EVPN | RT-3 IMET bideek VTEPko kide izatea iragartzen dute; RT-2 bideek MAC+IP loturak banatzen dituzte; ez dago uholderik eta ez da ikasketarik | Kontrol-planetako MAC ikaskuntza; ARP kentzea; eskalak milaka VTEPtara; estandarra | BGP pila behar da VTEP edo ibilbide-erreflektore guztietan |
Eremu berde modernoko datu-zentroek BGP EVPN erabiltzen dute soilik. Multicast-a eta ingress-erreplikazioa paisaia marroietan oraindik aurkitzen diren ikuspegi heredatuak dira.
BGP EVPN bide motak
BGP EVPN () AFI 25 (L2VPN) / SAFI 70 (EVPN) erabiltzen du bost ibilbide mota banatzeko. RT-5 bereizita definitu zen (2021eko urria).
| RT | Izena | Xedea | Key NLRI eremuak |
|---|---|---|---|
| 1 | Ethernet Auto-diskoa | Per-ES eta per-EVI, lotura-hutsegitean; karga-balancing multihoming aktiborako aliasa | RD, ESI, Ethernet Etiketa ID, MPLS etiketa |
| 2 | MAC/IP iragarkiak | Banatu MAC helbideak (eta, aukeran, IP lotuak) ARPa kentzeko eta uholdeak ezabatzeko | RD, ESI, VLAN etiketa, MAC helbidea, IP helbidea (aukerakoa), L2VNI + L3VNI etiketak |
| 3 | Multicast Ethernet etiketa inklusiboa (IMET) | Iragar ezazu VTEPen irisgarritasuna VNIko; ingres-erreplikazio zerrendak egiten eta BUM birbidaltzen | RD, Ethernet etiketa IDa, bideratzailearen IPa (VTEP helbidea); PMSI tunnel atributuak VNI eta tunel mota ditu. |
| 4 | Ethernet segmentuaren bidea | Ethernet-eko segmentu bat partekatzen duten PEen artean Forwarder (DF) hauteskunde izendatuak, PE bakarra ziurtatzen du BUM CE segmentuan | RD, ESI, bideratzailearen IPa |
| 5 | IP aurrizkiaren bidea | Iragar ezazu IP aurrizkiak EVPN gainjarriz azpisareen arteko bideraketarako; L3VNI dedikatua behar du (VNI transitatua) | RD, Ethernet Etiketa IDa, IP aurrizkiaren luzera, IP aurrizkia, GW IP helbidea, L3VNI etiketa |
4. Symmetric vs Asymmetric IRB
Bideratze eta Bridging Integratuak (IRB) deskribatzen du nola VTEPek gainjarritako azpisareen arteko trafikoa. Bi modelo definitzen dira: :
IRB asimetrikoa:helburua
IRB simetrikoa:L3VNI
| IRB asimimetrikoa | IRB simetrikoa | |
|---|---|---|
| L2VNIs behar da VTEP bakoitzeko | VNIs guztiak oihalean | Lokalki erantsitako azpisareak bakarrik |
| L3VNI (transit VNI) | Ez da beharrezkoa | Beharrezkoa - bat VRF bakoitzeko |
| Ibilbideko lupak | Ingress VTEP bakarrik | Ingress eta egress VTEP |
| Eskala | Behartsua (VNIs guztiak alde guztietan) | Ona (azpisare lokalak bakarrik) |
| RT-5 aurrizkiak | Ez dago onartuta | Onartua (L3VNI erabiltzen du) |
5.
EVPN gabe, ostalari baten ARP eskaera bere VNIra igortzen da eta oihaleko VTEP guztietara isurtzen da. BGP EVPNrekin, RT-2 bideek MAC+IP loturak banatzen dizkiete VTEP guztiei ostalariak ikasi bezain laster. ARP ostalariak urruneko IP bat eskatzen duenean, VTEP lokalak zuzenean erantzuten du BGPk duen taulatik; ARP paketeak ez du VXLAN ehuna zeharkatzen. Horrek BUMeko uholdeak ezabatzen ditu ostalari ezagunentzat, eta eragin berezia du VTEPko milaka VMko ehunetan.
ND (Neighbor Discovery) ezabatzeko lanak IPv6rako berdinak dira; RT-2 bideek IPv6 helbideak dituzte NLRIren IP eremuan, eta VTEPk NS mezuak erantzuten ditu lokalki.
6. Homing eta ESI
Ethernet Segmentu identifikatzailea (ESI) 10 byteko identifikatzaile bat da, CE gailu bat PE VTEP anitzekin konektatzen duen pakete logikoari esleituta. Bi bide daude:
- Inaktiboa
- Aktiboa
7. Hornitzailea CLI Erreferentzia azkarra
| Zeregina | Cisco NX- OS | Arista EOS | Juniper Junos |
|---|---|---|---|
| Erakutsi EVPN bideak | show bgp l2vpn evpn |
show bgp evpn |
show route table bgp.evpn.0 |
| Erakutsi VTEP parekoak | show nve peers |
show vxlan vtep |
show evpn instance |
| Erakutsi gainjarriak | show mac address-table |
show vxlan address-table |
show evpn mac-ip-table |
| Erakutsi ARP-a kentzeko cachea | show ip arp suppression-cache detail |
show vxlan address-table detail |
show evpn mac-ip-table extensive |
| Erakutsi VNI-tik-VRF mapatzea | show nve vni |
show vxlan vni |
show evpn instance extensive |
| Erakutsi ESI multihoming | show nve ethernet-segment |
show bgp evpn instance |
show evpn instance extensive |