通过上一个实验,我们已经知道EVPN是一种二层VPN技术,控制平面采用MP-BGP通告EVPN路由信息,数据平面采用VXLAN封装方式转发报文。当租户的物理站点分散在不同位置时,EVPN可以基于已有的服务提供商或企业IP网络,为同一租户的相同子网提供二层互联;通过EVPN网关为同一租户的不同子网提供三层互联,并为其提供与外部网络的三层互联。
EVPN不仅继承了MP-BGP和VXLAN的优势,还提供了新的功能。EVPN具有如下特点:
简化配置:通过MP-BGP实现VTEP自动发现、VXLAN隧道自动建立、VXLAN隧道与VXLAN自动关联,无需用户手工配置,降低网络部署难度。
分离控制平面与数据平面:控制平面负责发布路由信息,数据平面负责转发报文,分工明确,易于管理。
支持对称IRB(Integrated Routing and Bridging,集成的路由和桥接):MP-BGP同时发布二层MAC地址和三层路由信息,VTEP既可以进行二层转发,也可以进行三层路由。这样,不仅可以保证流量采用最优路径转发,还可以减少广播流量。
在上个实验中,EVPN采用了Spine(核心)—Leaf(分支)的分层结构。Leaf层的设备作为VTEP对报文进行EVPN相关处理;Spine层为核心设备,根据报文的目的IP地址转发报文。EVPN网络中的设备属于同一个AS(Autonomous System,自治系统),为了避免在所有VTEP之间建立IBGP对等体,将核心设备配置为了RR(Route Reflector,路由反射器)。此时,RR通过发布、接收EVPN路由,实现了全网互通;同时不需要封装、解封装VXLAN报文,保证性能。
和VXLAN IP网关类似,EVPN网关也可以分为两种:
集中式EVPN网关:配置简单,但不同VXLAN之间的流量以及VXLAN访问外界网络的流量全部由集中式EVPN网关处理,网关压力较大。
分布式EVPN网关:配置比较复杂,但每台VTEP设备都可以作为EVPN网关,对本地站点的流量进行三层转发,缓解了网关的压力。
今天来看一下分布式EVPN网关配置实验。
组网需求
VSR1、VSR3为与服务器连接的VTEP设备,VSR2为与广域网连接的集中式EVPN网关设备,ISP-VFW为广域网内的三层设备,VSR-RR为RR,负责在路由器之间反射BGP路由。
虚拟机VM1和VM3同属于VXLAN10,VM2和VM4同属于VXLAN 20。相同VXLAN之间可以二层互通,确保虚拟机在站点之间进行迁移时用户的访问流量不会中断;不同VXLAN之间通过分布式EVPN网关实现三层互通;VXLAN与广域网之间通过边界网关实现三层互通。
实验环境
VMWare ESXi 6.7.0(ProLiant DL360 Gen9,48核心,128G内存)
H3C VSR1000(Version 7.1.064, Release 0621P18,4核心,8G内存)
H3C VFW1000(Version 7.1.064, ESS 1171P13,4核心,8G内存)
Windows 7旗舰版(测试用虚拟机,8核心,16G内存)
组网图
分布式EVPN网关配置组网图,和集中式EVPN网关组网图一样。
查看EVPN的ARP信息和MAC地址信息。
dis evpn route arpdis evpn route mac
查看EVPN路由表信息,因为绑定了VPN实例,所以记得带实例查看。
display evpn routing-table vpn-instance vpna
查看VSI虚接口信息,可以看到VSI虚接口处于UP状态。
display interface vsi-interface
查看VSI的MAC地址表项信息,可以看到已学习到的MAC地址信息。
查看BGP l2vpn对等体信息。
display bgp l2vpn evpn
查看FIB表项信息,可以看到已学习到了虚拟机的转发表项信息,都要加VPN实例了。
对比上个集中式EVPN网关实验,看一下tracert路径效果,是不是很神奇,10网段互访,中间出现了另一个网关的IP地址。
可以看到,四台虚拟机之间可以互访,并且都可以访问到网关;但是,网关之外的ISP-VFW设备访问异常。
debug测试,VFW-ISP收发报文正常。
1、为了避免广播发送的ARP请求报文过多占用核心网络带宽,VTEP从本地站点、VXLAN隧道接收到ARP请求和ARP应答报文后,根据该报文在本地建立ARP泛洪抑制表项。后续当VTEP收到本站点内虚拟机请求其它虚拟机MAC地址的ARP请求时,优先根据ARP泛洪抑制表项进行代答。如果没有对应的表项,则将ARP请求泛洪到核心网。ARP泛洪抑制功能可以大大减少ARP泛洪的次数。
2、同网段的两台主机进行tracert,路径中间出现了另一个网关的IP地址,不过应该不是问题,只是显示一个IP,设备确实是经过了。
3、RT是一种BGP扩展团体属性,用于控制EVPN路由的发布与接收。也就是说, RT决定了本端的EVPN路由可以被哪些对端所接收,以及本端是否接收对端发来的EVPN路由。RT分为ERT(Export RT,本端发送EVPN路由时,携带的RT属性设置为ERT)和IRT(Import RT,本端设置接收的对端的EVPN路由属性)。本端在收到对端的EVPN路由时,将路由中携带的ERT与本端的IRT进行比较,只有两者相等时才接收该路由,否则丢弃该路由。
