EVPN/VXLAN Architecture Deep Dive
EVPN/VXLAN architectuur diepe duik
BGP EVPN route types, VTEP ontdekking, symmetrisch vs asymmetrisch IRB, ARP onderdrukking, en multi-homing met Cisco NX-OS, Arista EOS, en Junos CLI voorbeelden.
1. Waarom VXLAN?
IEEE 802.1Q VLAN's worden afgetopt op 4.094 ID's per omroepdomein.Een harde beperking in multi-tenant datacenters waar duizenden klantsegmenten naast elkaar moeten bestaan op gedeelde infrastructuur. VXLAN (Virtueel eXtensible LAN, ) lost dit op door Ethernet frames binnen UDP/IP te inkapselen, met behulp van een 24-bit VNI (VXLAN Network Identifier) om tot 16,7 miljoen logische segmenten te ondersteunen.
VXLAN koppelt de virtuele Laag 2 topologie van de fysieke Laag 3 onderlaag, waardoor standaard IP-routing (ECMP, OSPF, BGP) tussen VXLAN Tunnel Endpoints (VTEPs) mogelijk is zonder VLAN's te rekken. De buitenste UDP-header gebruikt bestemmingspoort (IANA toegewezen; vroegtijdige inzet gebruikt 8472). Totale inkapseling overhead is ~50 bytes boven IPv4, ~70 bytes boven IPv6.
2. VTEP-ontdekkingsmethoden
VTEPs moeten peer VTEPs ontdekken om tunnels op te zetten en BUM (Broadcast, Onbekend unicast, Multicast) verkeer te verspreiden. In de praktijk worden drie mechanismen toegepast:
| Methode | Hoe het werkt | Voordelen | Cons |
|---|---|---|---|
| Multicast | Elke VNI kaarten aan een PIM multicast groep in de onderlaag; BUM verkeer wordt overstroomd naar die groep | Eenvoudige; automatische peer discovery | Vereist PIM multicast in underlay; veel operators uitschakelen multicast |
| Ingangsreplicatie | Elke VTEP heeft een expliciete unicast lijst van VTEP's op afstand per VNI; BUM-verkeer wordt naar elke peer gerepliceerd | Geen multicast vereist | Head-end doet O(N) replicatie per BUM pakket; statische peer lists vereisen handmatig onderhoud |
| BGP EVPN | RT-3 IMET-routes adverteren VTEP-lidmaatschap; RT-2 routes verspreiden MAC+IP-bindingen; geen overstroming en leren | MAC-leren van het controlevlak; ARP-onderdrukking; schalen tot duizenden VTEP's; standaard | BGP-stapel vereist op alle VTEP's of routereflectoren |
Moderne greenfield datacenters gebruiken BGP EVPN uitsluitend. Multicast en ingress-toepassing zijn legacy benaderingen nog steeds gevonden in brownfield omgevingen.
3. BGP EVPN-routetypes
BGP EVPN () gebruikt AFI 25 (L2VPN) / SAFI 70 (EVPN) om vijf routetypen te verdelen. RT-5 werd afzonderlijk gedefinieerd in (Oktober 2021).
| RT | Naam | Doel | Belangrijke NLRI-velden |
|---|---|---|---|
| 1 | Ethernet Auto-Discovery | Per-ES en per-EVI massa-intrekking bij koppelingsstoring; alias voor all-active multi-homing belastingsbalancering | RD, ESI, Ethernet Tag ID, MPLS label |
| 2 | MAC/IP-reclame | Distributeer MAC-adressen (en eventueel het gekoppelde IP) om ARP-onderdrukking in te schakelen en overstromings-en-leer te elimineren | RD, ESI, VLAN-tag, MAC-adres, IP-adres (facultatief), L2VNI + L3VNI-labels |
| 3 | Inclusive Multicast Ethernet Tag (IMET) | Adverteren VTEP bereikbaarheid per VNI; gebruikt voor het bouwen van ingress-replicatie lijsten en trigger BUM forwarding | RD, Ethernet Tag ID, Origining Router's IP (VTEP-adres); PMSI Tunnel attribuut draagt VNI en tunnel type |
| 4 | Ethernet Segment Route | Aangewezen verkiezing van Forwarder (DF) onder PE's die een ethernetsegment delen; zorgt voor slechts één PE forwards BUM in het CE-segment | RD, ESI, Oude router IP |
| 5 | IP-voorvoegselroute | Adverteer IP-prefixes in de EVPN-overlay voor inter-subnet routing; vereist een speciale L3VNI (transit VNI) | RD, Ethernet Tag ID, IP prefix lengte, IP prefix, GW IP adres, L3VNI label |
4. Symmetrische vs asymmetrische IRB
Geïntegreerde Routing en Bridging (IRB) beschrijft hoe VTEPs het verkeer tussen overlay subnetten routeert. Twee modellen zijn gedefinieerd in :
Asymmetrische IRB:bestemming
Symmetrische IRB:L3VNI
| Asymmetrische IRB | Symmetrische IRB | |
|---|---|---|
| L2VNI's nodig per VTEP | Alle VNI's in de stof | Alleen lokaal aangesloten subnetten |
| L3VNI (transit VNI) | Niet vereist | Vereiste één per VRF |
| Routing hop | Uitsluitend VTEP invoeren | VTEP's in- en uitstappen |
| Schaal | Slecht (alle VNI's overal) | Goed (alleen lokale subnetten) |
| RT-5 voorvoegsels | Niet ondersteund | Ondersteund (gebruik L3VNI) |
5. ARP-onderdrukking
Zonder EVPN wordt een ARP verzoek van een host uitgezonden naar zijn VNI en overspoeld naar elke VTEP in de stof. Met BGP EVPN, RT-2 routes verdelen MAC+IP bindingen aan alle VTEP's zodra hosts worden geleerd. Wanneer een host ARP's voor een extern IP-adres, de lokale VTEP antwoordt direct uit zijn BGP-bezette tabel Dit elimineert BUM overstromingen voor bekende gastheren en is vooral impactvol in stoffen met duizenden VM's per VTEP.
ND (Buur Discovery) onderdrukking werkt identiek voor IPv6
6. Multi-Homing en ESI
Een Ethernet Segment Identifier (ESI) is een 10-byte identifier toegewezen aan de logische bundel die een CE-apparaat verbindt met meerdere PE VTEP's. Er bestaan twee doorschakelmodi:
- Eén actief
- Alles actief
7. Leverancier CLI Snelle Referentie
| Taak | Cisco NX- OS | Arista EOS | Juniper Junos |
|---|---|---|---|
| EVPN-routes tonen | show bgp l2vpn evpn |
show bgp evpn |
show route table bgp.evpn.0 |
| VTEP-genoten tonen | show nve peers |
show vxlan vtep |
show evpn instance |
| Overlay MAC's tonen | show mac address-table |
show vxlan address-table |
show evpn mac-ip-table |
| ARP-onderdrukkingscache tonen | show ip arp suppression-cache detail |
show vxlan address-table detail |
show evpn mac-ip-table extensive |
| VNI-naar-VRF-mapping tonen | show nve vni |
show vxlan vni |
show evpn instance extensive |
| ESI multi-homing tonen | show nve ethernet-segment |
show bgp evpn instance |
show evpn instance extensive |