1. Pourquoi VXLAN?
IEEE 802.1Q Les VLANs sont plafonnés à 4 094 IDs par domaine de diffusion — une contrainte difficile dans les centres de données multi-tenus où des milliers de segments de clients doivent coexister sur une infrastructure partagée. VXLAN (LAN virtuel, ) résout cela en encapsulant les cadres Ethernet dans UDP/IP, en utilisant un VNI 24 bits (identificateur réseau VXLAN) pour supporter jusqu'à 16,7 millions de segments logiques.
VXLAN découple la topologie virtuelle de Layer 2 de la sous-couche physique de Layer 3, permettant un routage IP standard (ECMP, OSPF, BGP) entre les points d'extrémité du tunnel VXLAN (VTEPs) sans étirer les VLAN. L'en-tête externe UDP utilise le port de destination (Assigné par l'IANA; déploiements précoces utilisés 8472). Le total des frais généraux d'encapsulation est de ~50 octets sur IPv4, ~70 octets sur IPv6.
2. Méthodes de découverte du VTEP
Les VTEP doivent découvrir des VTEP pairs pour installer des tunnels et distribuer le trafic BUM (Broadcast, Uninconnu unicast, Multicast). Trois mécanismes sont déployés dans la pratique :
| Méthode | Comment ça marche | Pour | Points négatifs |
|---|---|---|---|
| Multicast | Chaque carte VNI d'un groupe multicast PIM dans la sous-couche; BUM trafic est inondé à ce groupe | Simple; découverte automatique par les pairs | Nécessite PIM multicast en sous-position; de nombreux opérateurs désactivent multicast |
| Réplication en cours | Chaque VTEP tient une liste unicast explicite de VTEP à distance par VNI; le trafic BUM est reproduit à chaque pair | Pas de multidiffusion requise | La réplication de l'O(N) par paquet BUM se fait par tête; les listes statiques de pairs nécessitent une maintenance manuelle |
| BGP EVPN | RT-3 Les routes IMET annoncent l'adhésion au VTEP; RT-2 les routes distribuent les liaisons MAC+IP; pas d'inondation et d'apprentissage | Apprentissage de la MAC du plan de commande; suppression de la PTA; échelle à des milliers de PTEV; norme | Pile BGP requise pour tous les VTEP ou réflecteurs de route |
Les centres de données modernes utilisent exclusivement BGP EVPN. La multiplication et l'ingress-replication sont des approches héritées que l'on retrouve encore dans les friches industrielles.
3. Types de routes EVPN BGP
BGP EVPN () utilise AFI 25 (L2VPN) / SAFI 70 (EVPN) pour distribuer cinq types de route. RT 5 a été défini séparément dans (octobre 2021).
| NT1 | Nom | Objet | Principaux champs NLRI |
|---|---|---|---|
| 1 | Découverte automatique Ethernet | Retirage par ES et par EVI de la masse sur la rupture de la liaison; alias pour l'équilibrage de la charge multi-homage toutes actives | ID d'étiquette Ethernet, étiquette MPLS |
| 2 | Publicité MAC/IP | Distribuer les adresses MAC (et en option l'IP lié) pour permettre la suppression ARP et éliminer les inondations et l'apprentissage | RD, ESI, balise VLAN, adresse MAC, adresse IP (facultative), étiquettes L2VNI + L3VNI |
| 3 | Étiquette Ethernet multicast inclusive (IMET) | Annoncer l'accessibilité VTEP par VNI; utilisé pour construire des listes d'entrées-réplications et déclencher l'acheminement BUM | RD, Ethernet Tag ID, IP du routeur d'origine (adresse VTEP); PMSI Tunnel attribut porte VNI et type de tunnel |
| 4 | Route du segment Ethernet | Choix du transitaire désigné (DF) parmi les PE partageant un segment Ethernet; assure qu'un seul PE transfère BUM dans le segment CE | RD, ESI, IP du routeur d'origine |
| 5 | Voie de préfixe IP | Annoncer les préfixes IP dans la superposition EVPN pour le routage inter-subnet; nécessite un L3VNI dédié (transit VNI) | RD, ID d'étiquette Ethernet, longueur du préfixe IP, préfixe IP, adresse IP GW, étiquette L3VNI |
4. RIR symétrique ou asymétrique
L'acheminement et le raccordement intégrés (IRB) décrit comment les VTEP relient le trafic entre les sous-réseaux superposés. Deux modèles sont définis dans :
NI asymétrique:destination
RIR symétrique:L3VNI
| NI asymétrique | NI symétrique | |
|---|---|---|
| L2VNI nécessaires par VTEP | Tous les VNI dans le tissu | Seulement des sous-réseaux locaux |
| L3VNI (transit VNI) | Non requis | Requis — un par VRF |
| Houblon | Entrée VTEP seulement | Entrée et sortie VTEP |
| Échelle | Pauvres (tous les VNI partout) | Bon (sous-réseaux locaux seulement) |
| NT2 NT1 NT1 NT1 NT1 NT1 NT1 NT1 NT1 NT1 NT1 NT1 NT1 NT1 NT1 NT1 NT1 NT1 NT1 | Non pris en charge | Appui (utilisations L3VNI) |
5. Suppression de l ' ARP
Sans EVPN, une demande ARP d'un hôte est diffusée dans son VNI et inondée à chaque VTEP dans le tissu. Avec BGP EVPN, les routes RT-2 distribuent des liaisons MAC+IP à tous les VTEP dès que les hôtes sont informés. Lorsqu'un hôte ARPs pour une IP distante, le VTEP local répond directement à partir de sa table populée BGP — aucun paquet ARP ne traverse le tissu VXLAN. Ceci élimine l'inondation de BUM pour les hôtes connus et est particulièrement impacté dans les tissus avec des milliers de VM par VTEP.
La suppression ND (Neighbor Discovery) fonctionne de manière identique pour les routes IPv6 — RT-2 transportent des adresses IPv6 dans le champ IP de la NLRI, et le VTEP répond localement aux messages NS.
6. Multi-hommage et ESI
Un identifiant de segment Ethernet (ESI) est un identifiant de 10 octets attribué au faisceau logique reliant un périphérique CE à plusieurs VTEP PE. Deux modes de transmission existent:
- Une seule activité
- Toutes les activités
7. Référence rapide du fournisseur CLI
| Tâche | Cisco NX- OS | Arista EOS | Juniper Junos |
|---|---|---|---|
| Afficher les routes EVPN | show bgp l2vpn evpn | show bgp evpn | show route table bgp.evpn.0 |
| Afficher les pairs du VTEP | show nve peers | show vxlan vtep | show evpn instance |
| Afficher les MAC de superposition | show mac address-table | show vxlan address-table | show evpn mac-ip-table |
| Afficher le cache de suppression ARP | show ip arp suppression-cache detail | show vxlan address-table detail | show evpn mac-ip-table extensive |
| Afficher la cartographie VNI-à-VRF | show nve vni | show vxlan vni | show evpn instance extensive |
| Afficher ESI multi-homing | show nve ethernet-segment | show bgp evpn instance | show evpn instance extensive |