「数据中心」脊叶网络架构:Cisco VXLAN MP-BGP EVPN脊叶网络

简介: 「数据中心」脊叶网络架构:Cisco VXLAN MP-BGP EVPN脊叶网络

在RFC 7348定义的VXLAN泛洪学习模式下,终端主机信息学习和VTEP发现都是基于数据平面的,没有控制协议在VTEP之间分配终端主机可达性信息。为了克服flood的局限性并学习VXLAN,Cisco VXLAN MP-BGP EVPN spine and leaf架构使用多协议边界网关协议以太网虚拟专用网(MP-BGP EVPN)作为VXLAN的控制平面。该技术为VXLAN覆盖网络中的第2层和第3层转发提供了控制平面和数据平面分离以及统一的控制平面。本节介绍Cisco Nexus硬件交换机(如Cisco Nexus 5600平台交换机和Cisco Nexus 7000和9000系列交换机)上的VXLAN MP-BGP EVPN。

封装格式和标准符合性

VXLAN MP-BGP EVPN spine and leaf架构使用VXLAN封装。原始的第2层帧被封装在一个VXLAN报头中,然后放置在UDP-IP包中,并通过IP网络传输。该设计符合IETF RFC 7348和IETF bess evpn覆盖标准草案。

底层网络

VXLAN MP-BGP EVPN spine and leaf架构使用第3层IP作为底层网络。

覆盖网络

VXLAN MP-BGP EVPN spine and leaf架构使用MP-BGP EVPN作为VXLAN覆盖网络的控制平面。

广播和未知单播流量

底层IP PIM或入口复制功能用于发送广播和未知单播通信量。

在底层网络中启用IP多播时,每个VXLAN段或VNID都映射到传输IP网络中的IP多播组。每个VTEP设备都与这个多播组独立配置,并参与PIM路由。该组的多播分发树是根据参与vtep的位置通过传输网络构建的。

使用入口复制功能,底层网络是无多播的。VXLAN VTEP使用网络中其他VTEP的IP地址列表来发送广播和未知的单播通信量。这些IP地址通过BGP EVPN控制平面或静态配置在VTEPs之间交换。请注意,入口复制功能仅在Cisco Nexus 9000系列交换机上受支持。

主机检测和可达性

MP-BGP EVPN控制平面通过为驻留在VXLAN覆盖网络中的终端主机分发第2层和第3层可达性信息,提供集成路由和桥接。每个VTEP执行本地学习以从其本地连接的主机获取MAC地址(尽管是传统的MAC地址学习)和IP地址信息(基于地址解析协议[ARP]snooping)。然后,VTEP通过MP-BGP EVPN控制平面分发该信息。通过MP-BGP控制平面远程学习连接到远程VTEP的主机。该方法减少了网络洪泛现象对终端主机学习的影响,更好地控制了终端主机可达性信息的分布。

多播通信量

VXLAN MP-BGP EVPN支持使用底层IP多播或入口复制功能的覆盖租户第2层多播通信。注意,入口复制仅在Cisco Nexus 9000系列交换机上受支持。

覆盖租户第3层多播通信有两种支持方式:(1)在Cisco Nexus 7000系列交换机(包括Cisco Nexus 7700平台交换机和Cisco Nexus 9000系列交换机)的外部路由器上基于第3层PIM的多播路由。(2) Cisco Nexus 9000云级系列交换机的租户路由多播(TRM)。TRM基于IETF RFC 6513和6514中描述的基于标准的下一代控制平面(ngMVPN)。它以一种高效且有弹性的方式提供租户第3层多播流量。请注意,TRM仅在新一代Nexus9000交换机上受支持,如基于云级ASIC的交换机。有关TRM的功能支持和更多信息,请参阅本文档末尾列出的配置指南、发行说明和参考文档。

您需要仔细设计多播组缩放,如前面讨论Cisco VXLAN flood和学习多播流量的部分所述。

第三层路由功能

VXLAN MP-BGP EVPN spine and leaf网络需要提供第3层内部VXLAN路由,并保持与VXLAN结构外部网络(包括校园网、广域网和因特网)的连接。VXLAN MP-BGP EVPN使用分布式选播网关进行内部路由通信。外部路由功能集中在特定交换机上。

用于内部路由的分布式选播网关

在MP-BGP EVPN中,通过支持相同的虚拟网关IP地址和虚拟网关MAC地址,VNI中的任何VTEP都可以是其IP子网中终端主机的分布式选播网关(如图16所示)。通过EVPN中的anycast网关功能,VNI中的终端主机始终可以使用其本地vtep作为其默认网关,将流量发送到其IP子网之外。此功能使VXLAN覆盖网络中的终端主机能够为北行通信量提供最佳转发。分布式选播网关还提供了在VXLAN覆盖网络中透明主机移动性的好处。由于网关IP地址和虚拟MAC地址在VNI中的所有VTEP上都是相同的,因此当终端主机从一个VTEP移动到另一个VTEP时,它不需要发送另一个ARP请求来重新学习网关MAC地址。


图16. 用于内部路由的分布式选播网关

边界叶的外部路由

图17显示了一个典型的设计,使用一对边界叶交换机连接到外部路由设备。border leaf交换机在内部运行MP-BGP EVPN,与VXLAN结构中的其他vtep交换EVPN路由。同时,它在租户VRF实例中运行正常的IPv4或IPv6单播路由,外部路由设备在外部。路由协议可以是常规的eBGP或任意选择的内部网关协议(IGP)。border leaf交换机学习外部路由,并将它们作为EVPN路由播发到EVPN域,以便其他VTEP leaf节点也可以学习用于发送出站流量的外部路由。

border leaf交换机还可以配置为将在第2层VPN EVPN地址系列中学习到的EVPN路由发送到IPv4或IPv6单播地址系列,并将它们播发到外部路由设备。在这种设计中,租户流量需要通过两个底层跳(VTEP到spine到border leaf)才能到达外部网络。但是,spine交换机只需要运行BGP-EVPN控制平面和IP路由,不需要支持VXLAN VTEP功能。


图17. 边界叶外部路由的设计

边界脊椎处的外部布线

图18显示了一个典型的设计,其中一对脊椎交换机连接到外部路由设备。在这种设计中,spine交换机需要支持VXLAN路由。spine交换机在内部运行MP-BGP EVPN,与VXLAN结构中的其他vtep交换EVPN路由。同时,它在租户VRF实例中运行正常的IPv4或IPv6单播路由,外部路由设备在外部。路由协议可以是常规的eBGP或任意选择的IGP。spine交换机学习外部路由,并将它们作为EVPN路由播发到EVPN域,以便其他VTEP叶节点也可以学习用于发送出站流量的外部路由。

spine交换机还可以配置为将在第2层VPN EVPN地址系列中学习到的EVPN路由发送到IPv4或IPv6单播地址系列,并将它们播发到外部路由设备。在这种设计中,租户流量只需要一个底层跃点(VTEP到spine)就可以到达外部网络。但是,spine交换机需要运行BGP-EVPN控制平面和IP路由以及VXLAN VTEP功能。


图18. 带边框脊椎设计的外部布线

多租户技术

VXLAN MP-BGP EVPN spine and leaf架构使用MP-BGP EVPN作为控制平面。作为MP-BGP的扩展,MP-BGP EVPN使用VRF构造继承了VPN对多租户的支持。在MP-BGP EVPN中,多个租户可以共存并共享一个公共IP传输网络,同时在VXLAN覆盖网络中拥有自己的独立VPN(图19)。

在VXLAN MP-BGP EVPN spine and leaf网络中,VNIs通过不允许第2层通信量穿越VNI边界来定义第2层域并实施第2层分割。类似地,VXLAN租户之间的第3层分割通过应用第3层VRF技术和通过使用映射到每个VRF实例的单独第3层VNI来强制租户之间的路由隔离来实现。每个租户都有自己的VRF路由实例。给定租户的VNI的IP子网位于将第3层路由域与其他租户分离的同一个第3层VRF实例中。


图19.Cisco VXLAN MP-BGP EVPN脊椎和叶网络多租户

Cisco VXLAN MP BGP-EVPN脊椎和叶网络摘要

VXLAN MP-BGP EVPN spine and leaf架构使用MP-BGP EVPN作为VXLAN的控制平面。该设计符合IETF VXLAN标准RFC 7348和IETF-bess-evpn覆盖图草案。它为VXLAN覆盖网络中的第2层和第3层转发提供控制平面和数据平面分离以及统一的控制平面。控制平面学习终端主机第2层和第3层的可达性信息(MAC和IP地址),并通过EVPN地址族分发该信息,从而在VXLAN覆盖网络中提供集成的桥接和路由。它通过基于控制平面的主机MAC和IP地址路由分布以及对本地vtep的ARP抑制来减少网络洪泛。第3层内部路由通信量通过每个ToR交换机上的分布式选播网关以横向扩展的方式直接路由。

相关文章
|
18天前
|
运维 定位技术 网络虚拟化
|
23天前
|
负载均衡 监控 网络虚拟化
|
16天前
|
网络协议 安全 网络安全
Cisco-网络端口地址转换NAPT配置
Cisco-网络端口地址转换NAPT配置
|
16天前
|
安全 网络安全 数据安全/隐私保护
Cisco-网络地址转换动态NAT
Cisco-网络地址转换动态NAT
|
16天前
|
安全 网络安全 数据安全/隐私保护
Cisco-网络地址转换静态NAT
Cisco-网络地址转换静态NAT
|
16天前
Cisco-认识网络
Cisco-认识网络
|
13天前
|
安全 网络协议 网络安全
Cisco-综合网络实验一
Cisco-综合网络实验一
|
20天前
|
移动开发 网络协议 测试技术
Mininet多数据中心网络拓扑流量带宽实验
Mininet多数据中心网络拓扑流量带宽实验
39 0
|
3月前
|
安全 网络安全 数据安全/隐私保护
云原生技术探索:容器化与微服务架构的实践之路网络安全与信息安全:保护数据的关键策略
【8月更文挑战第28天】本文将深入探讨云原生技术的核心概念,包括容器化和微服务架构。我们将通过实际案例和代码示例,展示如何在云平台上实现高效的应用部署和管理。文章不仅提供理论知识,还包含实操指南,帮助开发者理解并应用这些前沿技术。 【8月更文挑战第28天】在数字化时代,网络安全和信息安全是保护个人和企业数据的前线防御。本文将探讨网络安全漏洞的成因、加密技术的应用以及提升安全意识的重要性。文章旨在通过分析网络安全的薄弱环节,介绍如何利用加密技术和提高用户警觉性来构建更为坚固的数据保护屏障。
|
3月前
|
安全 网络虚拟化 虚拟化
揭秘网络虚拟化新纪元:从VLAN到VXLAN,跨越物理界限,解锁云时代网络无限可能!
【8月更文挑战第23天】在网络虚拟化领域,VLAN与VXLAN是两种关键技术。VLAN通过标签划分物理局域网为多个独立的逻辑网络,适用于局域网内部虚拟化;而VXLAN作为一种扩展技术,利用VNI极大提升了网络的可扩展性,支持更大规模的虚拟网络,并能跨数据中心和云服务提供商网络实现虚拟机的无缝迁移。两者分别在第二层和第三层实现流量隔离,共同支撑起现代网络架构的灵活性与安全性。
54 2