在RFC 7348定义的VXLAN泛洪学习模式下,终端主机信息学习和VTEP发现都是基于数据平面的,没有控制协议在VTEP之间分配终端主机可达性信息。为了克服flood的局限性并学习VXLAN,Cisco VXLAN MP-BGP EVPN spine and leaf架构使用多协议边界网关协议以太网虚拟专用网(MP-BGP EVPN)作为VXLAN的控制平面。该技术为VXLAN覆盖网络中的第2层和第3层转发提供了控制平面和数据平面分离以及统一的控制平面。本节介绍Cisco Nexus硬件交换机(如Cisco Nexus 5600平台交换机和Cisco Nexus 7000和9000系列交换机)上的VXLAN MP-BGP EVPN。
封装格式和标准符合性
VXLAN MP-BGP EVPN spine and leaf架构使用VXLAN封装。原始的第2层帧被封装在一个VXLAN报头中,然后放置在UDP-IP包中,并通过IP网络传输。该设计符合IETF RFC 7348和IETF bess evpn覆盖标准草案。
底层网络
VXLAN MP-BGP EVPN spine and leaf架构使用第3层IP作为底层网络。
覆盖网络
VXLAN MP-BGP EVPN spine and leaf架构使用MP-BGP EVPN作为VXLAN覆盖网络的控制平面。
广播和未知单播流量
底层IP PIM或入口复制功能用于发送广播和未知单播通信量。
在底层网络中启用IP多播时,每个VXLAN段或VNID都映射到传输IP网络中的IP多播组。每个VTEP设备都与这个多播组独立配置,并参与PIM路由。该组的多播分发树是根据参与vtep的位置通过传输网络构建的。
使用入口复制功能,底层网络是无多播的。VXLAN VTEP使用网络中其他VTEP的IP地址列表来发送广播和未知的单播通信量。这些IP地址通过BGP EVPN控制平面或静态配置在VTEPs之间交换。请注意,入口复制功能仅在Cisco Nexus 9000系列交换机上受支持。
主机检测和可达性
MP-BGP EVPN控制平面通过为驻留在VXLAN覆盖网络中的终端主机分发第2层和第3层可达性信息,提供集成路由和桥接。每个VTEP执行本地学习以从其本地连接的主机获取MAC地址(尽管是传统的MAC地址学习)和IP地址信息(基于地址解析协议[ARP]snooping)。然后,VTEP通过MP-BGP EVPN控制平面分发该信息。通过MP-BGP控制平面远程学习连接到远程VTEP的主机。该方法减少了网络洪泛现象对终端主机学习的影响,更好地控制了终端主机可达性信息的分布。
多播通信量
VXLAN MP-BGP EVPN支持使用底层IP多播或入口复制功能的覆盖租户第2层多播通信。注意,入口复制仅在Cisco Nexus 9000系列交换机上受支持。
覆盖租户第3层多播通信有两种支持方式:(1)在Cisco Nexus 7000系列交换机(包括Cisco Nexus 7700平台交换机和Cisco Nexus 9000系列交换机)的外部路由器上基于第3层PIM的多播路由。(2) Cisco Nexus 9000云级系列交换机的租户路由多播(TRM)。TRM基于IETF RFC 6513和6514中描述的基于标准的下一代控制平面(ngMVPN)。它以一种高效且有弹性的方式提供租户第3层多播流量。请注意,TRM仅在新一代Nexus9000交换机上受支持,如基于云级ASIC的交换机。有关TRM的功能支持和更多信息,请参阅本文档末尾列出的配置指南、发行说明和参考文档。
您需要仔细设计多播组缩放,如前面讨论Cisco VXLAN flood和学习多播流量的部分所述。
第三层路由功能
VXLAN MP-BGP EVPN spine and leaf网络需要提供第3层内部VXLAN路由,并保持与VXLAN结构外部网络(包括校园网、广域网和因特网)的连接。VXLAN MP-BGP EVPN使用分布式选播网关进行内部路由通信。外部路由功能集中在特定交换机上。
用于内部路由的分布式选播网关
在MP-BGP EVPN中,通过支持相同的虚拟网关IP地址和虚拟网关MAC地址,VNI中的任何VTEP都可以是其IP子网中终端主机的分布式选播网关(如图16所示)。通过EVPN中的anycast网关功能,VNI中的终端主机始终可以使用其本地vtep作为其默认网关,将流量发送到其IP子网之外。此功能使VXLAN覆盖网络中的终端主机能够为北行通信量提供最佳转发。分布式选播网关还提供了在VXLAN覆盖网络中透明主机移动性的好处。由于网关IP地址和虚拟MAC地址在VNI中的所有VTEP上都是相同的,因此当终端主机从一个VTEP移动到另一个VTEP时,它不需要发送另一个ARP请求来重新学习网关MAC地址。
图16. 用于内部路由的分布式选播网关
边界叶的外部路由
图17显示了一个典型的设计,使用一对边界叶交换机连接到外部路由设备。border leaf交换机在内部运行MP-BGP EVPN,与VXLAN结构中的其他vtep交换EVPN路由。同时,它在租户VRF实例中运行正常的IPv4或IPv6单播路由,外部路由设备在外部。路由协议可以是常规的eBGP或任意选择的内部网关协议(IGP)。border leaf交换机学习外部路由,并将它们作为EVPN路由播发到EVPN域,以便其他VTEP leaf节点也可以学习用于发送出站流量的外部路由。
border leaf交换机还可以配置为将在第2层VPN EVPN地址系列中学习到的EVPN路由发送到IPv4或IPv6单播地址系列,并将它们播发到外部路由设备。在这种设计中,租户流量需要通过两个底层跳(VTEP到spine到border leaf)才能到达外部网络。但是,spine交换机只需要运行BGP-EVPN控制平面和IP路由,不需要支持VXLAN VTEP功能。
图17. 边界叶外部路由的设计
边界脊椎处的外部布线
图18显示了一个典型的设计,其中一对脊椎交换机连接到外部路由设备。在这种设计中,spine交换机需要支持VXLAN路由。spine交换机在内部运行MP-BGP EVPN,与VXLAN结构中的其他vtep交换EVPN路由。同时,它在租户VRF实例中运行正常的IPv4或IPv6单播路由,外部路由设备在外部。路由协议可以是常规的eBGP或任意选择的IGP。spine交换机学习外部路由,并将它们作为EVPN路由播发到EVPN域,以便其他VTEP叶节点也可以学习用于发送出站流量的外部路由。
spine交换机还可以配置为将在第2层VPN EVPN地址系列中学习到的EVPN路由发送到IPv4或IPv6单播地址系列,并将它们播发到外部路由设备。在这种设计中,租户流量只需要一个底层跃点(VTEP到spine)就可以到达外部网络。但是,spine交换机需要运行BGP-EVPN控制平面和IP路由以及VXLAN VTEP功能。
图18. 带边框脊椎设计的外部布线
多租户技术
VXLAN MP-BGP EVPN spine and leaf架构使用MP-BGP EVPN作为控制平面。作为MP-BGP的扩展,MP-BGP EVPN使用VRF构造继承了VPN对多租户的支持。在MP-BGP EVPN中,多个租户可以共存并共享一个公共IP传输网络,同时在VXLAN覆盖网络中拥有自己的独立VPN(图19)。
在VXLAN MP-BGP EVPN spine and leaf网络中,VNIs通过不允许第2层通信量穿越VNI边界来定义第2层域并实施第2层分割。类似地,VXLAN租户之间的第3层分割通过应用第3层VRF技术和通过使用映射到每个VRF实例的单独第3层VNI来强制租户之间的路由隔离来实现。每个租户都有自己的VRF路由实例。给定租户的VNI的IP子网位于将第3层路由域与其他租户分离的同一个第3层VRF实例中。
图19.Cisco VXLAN MP-BGP EVPN脊椎和叶网络多租户
Cisco VXLAN MP BGP-EVPN脊椎和叶网络摘要
VXLAN MP-BGP EVPN spine and leaf架构使用MP-BGP EVPN作为VXLAN的控制平面。该设计符合IETF VXLAN标准RFC 7348和IETF-bess-evpn覆盖图草案。它为VXLAN覆盖网络中的第2层和第3层转发提供控制平面和数据平面分离以及统一的控制平面。控制平面学习终端主机第2层和第3层的可达性信息(MAC和IP地址),并通过EVPN地址族分发该信息,从而在VXLAN覆盖网络中提供集成的桥接和路由。它通过基于控制平面的主机MAC和IP地址路由分布以及对本地vtep的ARP抑制来减少网络洪泛。第3层内部路由通信量通过每个ToR交换机上的分布式选播网关以横向扩展的方式直接路由。
