1、Page0,Revision Record,Dont Print This Page,EVPN Over VxLAN概述,目標(biāo),學(xué)習(xí)路標(biāo): 理解EVPN概念,原理與配置 理解EVPN Over VxLAN的工作原理與配置,Page2,Contents,Page3,EVPN原理與應(yīng)用 EVPN Over VxLAN原理與應(yīng)用,Contents,EVPN原理與應(yīng)用 2.1 EVPN基本概念 2.2 EVPN基本原理,Page4,Page 5,EVPN定義,EVPN （Ethernet Virtual Private Network） : 是一種用于二層網(wǎng)絡(luò)互聯(lián)的VPN技術(shù)。EVPN技術(shù)采用類似于B

2、GP/MPLS IP VPN的機(jī)制，通過擴(kuò)展BGP協(xié)議，使用擴(kuò)展后的可達(dá)性信息，使不同站點(diǎn)的二層網(wǎng)絡(luò)間的MAC地址學(xué)習(xí)和發(fā)布過程從數(shù)據(jù)平面轉(zhuǎn)移到控制平面。,Page 6,術(shù)語表,CE（Customer Edge device）：用戶邊界設(shè)備 EVI（ EVPN instance）：EVPN實例 ESI（ Ethernet Segment Identifier）：如果CE多歸到兩個或更多PE，這組CE接入PE的以太鏈路就是一個ES，ES必須有一個獨(dú)立的非零的ID，就是ESI。 Single-Active Mode：當(dāng)一個設(shè)備或網(wǎng)絡(luò)是多歸到兩個或更多PE，且當(dāng)只有一個PE可以轉(zhuǎn)發(fā)某個VLAN流量時

3、，就是單活模式。 All-Active Mode：當(dāng)一個設(shè)備或網(wǎng)絡(luò)是多歸到兩個或更多PE，且所有PE都可以轉(zhuǎn)發(fā)某個VLAN流量時，就是多活模式。,Page 7,EVPN產(chǎn)生的原因,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，用戶間經(jīng)常采用VPLS技術(shù)連接骨干網(wǎng)，從而實現(xiàn)業(yè)務(wù)互通，但是使用VPLS技術(shù)存在如下問題：,1、無法實現(xiàn)負(fù)載分擔(dān)：VPLS不支持在多歸網(wǎng)絡(luò)中流量傳輸?shù)呢?fù)載分擔(dān) 2、網(wǎng)絡(luò)資源的消耗較高： 當(dāng)需要實現(xiàn)大量的站點(diǎn)互聯(lián)時，所有PE（Provider Edge）設(shè)備配置成全連接狀態(tài)。當(dāng)PE設(shè)備很多時，網(wǎng)絡(luò)資源的消耗都會很大；,Page 8,EVPN概述,CE接入PE的EVPN實例，一個CE可能是一個主機(jī)、路

4、由器或交換機(jī)，EVPN為CE提供虛擬二層連接。 PE之間可以通過MPLS LSP架構(gòu)進(jìn)行互通，也可以通過IP進(jìn)行互通，例如IP/GRE隧道或其它IP隧道。 在一個EVPN中，PE之間的MAC學(xué)習(xí)是通過控制平面。PE和CE之間最好還是通過數(shù)據(jù)層面學(xué)習(xí)。 EVPN的策略屬性非常類似于IP-VPN，一個EVPN實例需要一個PE唯一的RD，和一個或多個全局唯一的RT。,Contents,EVPN原理與應(yīng)用 2.1 EVPN基本概念 2.2 EVPN基本原理,Page9,Page 10,Ethernet Segment Identifier,如果CE多歸到兩個或更多PE，這組CE接入PE的以太鏈路就是一

5、個ES，ES必須有一個獨(dú)立的非零的ID，就是ESI ESI為10字節(jié)生成方式有多種，我們目前主要使用2種方式： Type0：手工配置 Type1：運(yùn)行LACP，自動生成。 ESI兩個保留值： 0：表示單歸CE，無需配置； 全F：保留，暫不使用。,Single-homed CE ESI取值為零,Multi-homed CE ESI取值為10字節(jié)的非零值 ESI值要保證全網(wǎng)唯一,Page 11,EVPN NLRI,EVPN NLRI是通過MP-BGP傳播的： AFI：25（L2VPN），SAFI：70（EVPN） EVPN NLRI格式： RFC7432中定義了4種路由類型： 1 - Ethern

6、et Auto-Discovery (A-D) route 2 - MAC/IP advertisement route 3 - Inclusive Multicast Ethernet Tag Route 4 - Ethernet Segment Route,Page 12,Type1：Ethernet Auto-Discovery Route,AD路由EVPN NLRI格式：,作用：主要用于水平分割、快速收斂和別名。 前綴索引： Ethernet Segment Identifier Ethernet Tag ID ESI Label擴(kuò)展團(tuán)體屬性：是可傳遞擴(kuò)展團(tuán)體屬性，類型是06，子類型是

7、01，在AD路由中攜帶；Flags：最低位，0表示All-Active（多活模式），1表示Single-Active（單活模式）；標(biāo)簽值：3個字節(jié)的ESI標(biāo)簽，用作水平分割，對于Single-Active，標(biāo)簽值為0,ESI標(biāo)簽擴(kuò)展團(tuán)體屬性格式：,Page 13,冗余模式,單活模式（ Single-Active Redundancy Mode ） 1個PE如果它收到的1組per ES AD路由中有1個通告的是單活模式，則對于該ES，按照單活模式處理；這時流量只能走主PE； 如果主PE發(fā)生故障，它可以先撤銷per ES AD路由；遠(yuǎn)端PE設(shè)備再切換到該組PE中的其他PE。 多活模式（ All-A

8、ctive Redundancy Mode ） 1個PE如果它收到的1組per ES AD路由中全部通告的是多活模式，則對于該ES，按照多活模式處理；這時流量可以通過每個PE轉(zhuǎn)發(fā)；,Page 14,水平分割,如圖， CE2雙歸到PE1和PE2，PE1收到來自CE2的BUM流量會復(fù)制轉(zhuǎn)發(fā)給PE2，PE2收到報文后不應(yīng)該將報文再發(fā)給CE2，避免在CE側(cè)形成環(huán)路；同樣，PE2從PE1收到的多播流量不會向PE側(cè)轉(zhuǎn)發(fā)，避免在公網(wǎng)側(cè)形成環(huán)路。 水平分割是通過per ES AD路由中攜帶的ESI標(biāo)簽實現(xiàn)的；例如下圖中，PE2會分配1個ESI標(biāo)簽，來標(biāo)識ES2，并通過AD路由發(fā)布給PE1，PE1向PE2發(fā)BU

9、M流量時需要打上這個標(biāo)簽，PE2收到后識別標(biāo)簽，即不會向ES2轉(zhuǎn)發(fā)。,Page 15,快速收斂,快速收斂：是指通過per ES AD路由，快速撤銷MAC路由，達(dá)到快速收斂的目的。 如圖， CE1雙歸到PE1和PE2，PE1和PE2學(xué)習(xí)到CE1的MAC，向PE3發(fā)布MAC路由；當(dāng)CE1與PE1之間的鏈路故障時，PE1向PE3發(fā)送per ES A-D 路由撤銷，可使PE3快速更新ES1的MAC路由，講流量切換到PE2上。,Page 16,別名,CE多歸多活場景時，可能存在多歸的PE中有PE沒有學(xué)習(xí)到CE的MAC地址的情況，導(dǎo)致遠(yuǎn)端PE不能形成負(fù)載分擔(dān)或備份；別名就是為了解決這個問題，別名通過per

10、 EVI AD路由實現(xiàn)； 如圖，CE1雙歸到PE1和PE2，假設(shè)PE1學(xué)習(xí)到MAC A，向PE3發(fā)布MAC路由，PE2沒有學(xué)習(xí)到MAC A，但是PE2可以向PE3發(fā)布per EVI AD路由，PE3就可以知道MAC A通過PE1和PE2均可達(dá)。,Page 17,Type2：MAC/IP Advertisement Route,MAC路由EVPN NLRI格式：,作用： 主要用于指導(dǎo)單播流量轉(zhuǎn)發(fā)； 前綴索引： Ethernet Tag ID、MAC Address、IP Address作為前綴索引，ESI和MPLS Label作為路由屬性； MAC遷移擴(kuò)展團(tuán)體屬性： 是可傳遞擴(kuò)展團(tuán)體屬性，類型是

11、06，子類型是00，在MAC路由中攜帶，用于MAC遷移； Flag：最低位，1表示是靜態(tài)MAC不能遷移。 MAC遷移擴(kuò)展團(tuán)體屬性格式：,Page 18,MAC遷移,CE側(cè)的主機(jī)或終端站（MAC地址）從從一個es遷移到另一個es下,在這個過程中會產(chǎn)生兩條 MAC/IP advertisement路由,為了讓所有的PE正確的定位到這個mac地址的位置, 使用MAC遷移屬性，并在MAC遷移屬性中引入sequence number機(jī)制. PE首次發(fā)布mac路由不包含MAC遷移屬性 PE2學(xué)習(xí)到本地站點(diǎn)的MAC PE2向遠(yuǎn)端發(fā)布的MAC路由 PE3從本地學(xué)習(xí)到MAC，該接口與PE2發(fā)布MAC的ES不同，

12、PE3產(chǎn)生MAC遷移 PE3向遠(yuǎn)端發(fā)布MAC路由，攜帶遷移屬性 PE2收到PE3發(fā)布的攜帶遷移屬性的MAC，撤銷本地發(fā)布的MAC路由,ES1,ES2,ES3,PE1,PE2,PE3,CE1,CE2,CE3,Host1,Site1,Site2,Site3,Host2,Host2,Page 19,Type3：Inclusive Multicast Ethernet Tag Route,Inclusive路由EVPN NLRI格式：,作用： 主要用于指導(dǎo)BUM流量轉(zhuǎn)發(fā)； 前綴索引： Ethernet Tag ID、Originating Routers IP Address作為前綴索引；,Page

13、20,Type4：Ethernet Segment Route,ES路由EVPN NLRI格式：,作用： 主要用于DF選舉； 前綴索引： Ethernet Segment ID、Originating Routers IP 作為前綴索引；,Page 21,DF選舉,DF選舉：當(dāng)CE多歸到多個PE時，只需要有1個PE向CE轉(zhuǎn)發(fā)BUM流量，選出這個PE的過程就是DF選舉； 如圖，CE2雙歸到PE2和PE3，由CE1發(fā)出的多播報文會發(fā)送到PE2和PE3，在PE2和PE3之間進(jìn)行DF選舉，如果PE3為主，PE2為備，則PE2不會向CE2轉(zhuǎn)發(fā)多播流量了。 DF選舉通過ES路由實現(xiàn)，當(dāng)DF選舉定時器（默認(rèn)

14、3s）超時后，各PE根據(jù)EVI的ES路由進(jìn)行選舉，選舉算法如下：把相同ES按照Originator IP地址按升序排序，生成PE List，然后按照VLAN對PE數(shù)量進(jìn)行取模，模值等于該P(yáng)E在PE List中的位置，則選舉為主，其他與選舉為備。,Page 22,單播可達(dá)性（控制流）,本地MAC學(xué)習(xí) PE通過數(shù)據(jù)平面學(xué)習(xí)本地CE和CE背后的MAC地址可達(dá)信息，可通過DHCP或ARP報文；PE也可以通過控制平面或管理平面學(xué)習(xí)本地MAC地址信息，支持?jǐn)?shù)據(jù)平面學(xué)習(xí)是必須的； 遠(yuǎn)端MAC學(xué)習(xí) PE通過控制平面學(xué)習(xí)遠(yuǎn)端PE的CE和CE背后的MAC地址可達(dá)信息，這個是遠(yuǎn)端MAC學(xué)習(xí)；PE通過MP-BGP的M

15、AC路由向遠(yuǎn)端PE發(fā)布本地學(xué)習(xí)到的MAC地址可達(dá)信息；,數(shù)據(jù)平面 學(xué)習(xí)MAC,控制平面 學(xué)習(xí)MAC,PE1： 通過MAC路由向遠(yuǎn)端PE發(fā)布MAC信息，攜帶MAC、IP和標(biāo)簽信息等,Page 23,單播流量轉(zhuǎn)發(fā)（轉(zhuǎn)發(fā)流）,已知單播流量,PE3： 查找源MAC：用于MAC學(xué)習(xí)、識別報文來源等； 查找目的MAC：如果有，即為已知單播，壓上學(xué)習(xí)到的EVPN標(biāo)簽進(jìn)行轉(zhuǎn)發(fā)；如果查找不到，則為未知單播，按照BUM流程進(jìn)行轉(zhuǎn)發(fā)。這里的EVPN標(biāo)簽指的是下游PE通過MAC路由攜帶的MPLS標(biāo)簽（MAC路由的Label1，如果是別名方式，則是Per EVI AD路由的標(biāo)簽）。,PE1： 根據(jù)EVPN標(biāo)簽查找MAC

16、信息進(jìn)行轉(zhuǎn)發(fā)，去掉標(biāo)簽后，將二層報文轉(zhuǎn)給CE。,P： P不感知內(nèi)層標(biāo)簽，公網(wǎng)隧道標(biāo)簽是否彈出，取決于是否配置了MPLS倒數(shù)第二跳彈出。,Page 24,BUM流量轉(zhuǎn)發(fā),BUM流量,PE3： 收到來自CE4的BUM流，需要向所有BUM成員復(fù)制。 發(fā)流量給PE2：先壓上PE2通過Per ES AD路由攜帶的ESI標(biāo)簽，再壓上PE2通過inclusive路由攜帶的MPLS標(biāo)簽，最后壓上公網(wǎng)隧道標(biāo)簽； 發(fā)流量給PE1：先壓上PE1通過inclusive路由攜帶的MPLS標(biāo)簽，再壓上公網(wǎng)隧道標(biāo)簽；,PE1： 根據(jù)BUM標(biāo)簽找到對應(yīng)的EVI實例，然后向該EVI的AC口CE1、CE2復(fù)制,PE2： 根據(jù)BU

17、M標(biāo)簽找到對應(yīng)的EVI實例，然后向該EVI的AC口復(fù)制 復(fù)制給CE3：直接復(fù)制將二層報文轉(zhuǎn)發(fā)給CE3 復(fù)制給CE4：檢查ESI標(biāo)簽與該接口分配的ESI標(biāo)簽一致，丟棄該報文。,Contents,EVPN原理與應(yīng)用 2.1 EVPN基本概念 2.2 EVPN基本原理 2.3 EVPN 基本配置,Page25,EVPN基本配置,Page26,L0:3.3.3.3,L0:4.4.4.4,L0:1.1.1.1,L0:2.2.2.2,Page 27,EVPN基本配置(1/2),source-address配置： PE1evpn source-address 3.3.3.3 冗余模式配置： PE1evpn

18、redundancy-mode single-active （默認(rèn)為多活模式，不需要配置） 創(chuàng)建EVPN實例配置： evpn vpn-instance vpn1 route-distinguisher 1:1 vpn-target 1:1 export-extcommunity vpn-target 1:1 import-extcommunity mac limit 100000 接口接入EVPN實例配置： interface Eth-Trunk1 mode lacp-static (使能后可自動生成ESI) evpn binding vpn-instance vpn1 esi 0000.01

19、00.0100.0100.0100 (可選，Trunk接入可自動生成ESI),Page 28,EVPN 基本配置(2/2),BGP配置： bgp 100 router-id 3.3.3.3 peer 4.4.4.4 as-number 100 peer 4.4.4.4 connect-interface LoopBack0 l2vpn-family evpn policy vpn-target peer 4.4.4.4 enable,Contents,Page29,3. EVPN Over VxLAN原理與應(yīng)用 3.1 EVPN Over VxLAN基本原理 3.2 EVPN Over VxL

20、AN配置,EVPN VXLAN概述,當(dāng)前的DC網(wǎng)絡(luò)，目前VXLAN技術(shù)已經(jīng)大規(guī)模應(yīng)用，但當(dāng)前的VXLAN技術(shù)是基于手工配置的，部署起來很繁瑣。 EVPN技術(shù)可以自動發(fā)現(xiàn)站點(diǎn)信息，可以用來驅(qū)動VXLAN隧道的動態(tài)建立。 同時EVPN技術(shù)可以用來動態(tài)傳遞MAC信息、支持MAC遷移、進(jìn)行ARP抑制，可以有效的減少網(wǎng)絡(luò)中的MAC震蕩、泛洪。 EVPN運(yùn)用到VXLAN網(wǎng)絡(luò)中還需要對EVPN進(jìn)行一定的適配。,Page 30,Host1,Host2,Host3,Host4,EVPN VXLAN變化,EVPN over VXLAN與基本EVPN定義基本相同，變更的地方： Ethernet A-D路由：目前對于

21、DC網(wǎng)絡(luò)中的多活主要使用PeerLink方案，暫不使用EVPN的AD路由來實現(xiàn) 單播MAC路由：與基本EVPN大致相同，不同處在于標(biāo)簽字段填充的是VNI，跨子網(wǎng)互訪場景還會在Label2字段填充三層VRF的VNI Inclusive組播路由：與基本EVPN相同，Ethernet Tag Id值為0，用來發(fā)現(xiàn)EVPN廣播域，并動態(tài)驅(qū)動建立VXLAN隧道 ES路由：目前對于DC網(wǎng)絡(luò)中的多活主要使用PeerLink方案，暫不使用ES路由來實現(xiàn) Prefix路由：跨子網(wǎng)互訪場景使用，Label字段填充的是三層VRF的VNI,Page 31,EVPN VXLAN變化,Encapsulation Exte

22、nded Community：用來標(biāo)識所用隧道類型 Tunnel Type為8表示VXLAN Encapsulation,Page 32,Router MAC Extended Community：三層業(yè)務(wù)通過VXLAN隧道轉(zhuǎn)發(fā)時填充MAC Routers MAC填充發(fā)送方NVE的MAC,通過EVPN中的inclusive路由來傳遞L2 VNI和VTEP地址信息，動態(tài)創(chuàng)建L2 VXLAN隧道： 當(dāng)本端VTEP使能BD、L2 VNI、VTEP后，生成EVPN的inclusvie路由，發(fā)送給VTEP鄰居； 遠(yuǎn)端VTEP鄰居收到路由后，發(fā)現(xiàn)與本地有相同的BD、L2 VNI，就建立一條到遠(yuǎn)端的VXLA

23、N隧道；同時創(chuàng)建VXLAN隧道頭端復(fù)制列表,VNI 100,HOST4,HOST1,VTEP,VTEP,VTEP,RR,IBGP,VTEP,VTEP,1.1.1.9,2.2.2.9,1.1.2.1,VNI 100,本端產(chǎn)生Inclusive路由,收到遠(yuǎn)端VTEP的Inclusive路由，建立VXLAN Tunnel,Inclusive路由,隧道表,VXLAN隧道頭端復(fù)制列表,EVPN VXLAN 隧道建立,通過EVPN中的MAC/IP路由，傳遞主機(jī)MAC，減少了VXLAN網(wǎng)絡(luò)的流量泛洪： 本端VTEP收集到本地主機(jī)MAC信息，轉(zhuǎn)成EVPN的MAC/IP路由，通過EVPN控制平面?zhèn)鬟f給遠(yuǎn)端VTE

24、P； 遠(yuǎn)端VTEP學(xué)習(xí)到MAC路由后，下發(fā)到對應(yīng)的EVPN實例，根據(jù)下一跳查找對應(yīng)的VXLAN隧道，隧道可達(dá)，下發(fā)MAC轉(zhuǎn)發(fā)表；,VNI 100,HOST4,HOST1,VTEP,VTEP,VTEP,RR,IBGP,VTEP,1.1.1.9,2.2.2.9,VNI 100,本端主機(jī)H1上線，學(xué)習(xí)到MAC,學(xué)習(xí)到MAC路由，迭代VXLAN隧道，下發(fā)MAC表,主機(jī)MAC通告,MAC表,隧道表,EVPN VXLAN MAC路由發(fā)布,通過EVPN中的Type2路由，即MAC/IP路由，來傳遞主機(jī)MAC和IP： 本端VTEP收集到本地主機(jī)MAC信息和ARP，生成EVPN的Type2路由，通過EVPN控制

25、平面?zhèn)鬟f給遠(yuǎn)端VTEP； 遠(yuǎn)端VTEP學(xué)習(xí)到MAC/IP路由后，下發(fā)到對應(yīng)的EVPN實例和VRF實例，根據(jù)下一跳去迭代對應(yīng)的VXLAN隧道，隧道可達(dá)，則下發(fā)MAC轉(zhuǎn)發(fā)表和IP路由表；,VNI 100,HOST4,HOST1,VTEP,VTEP,RR,IBGP,1.1.1.9,2.2.2.9,VNI 100,本端主機(jī)H1上線，學(xué)習(xí)到MAC和ARP,學(xué)習(xí)到MAC/IP路由，迭代VXLAN隧道，下發(fā)MAC表和IP路由表,主機(jī)IRB通告,MAC表,隧道表,10.1.1.2,VRF1 RD : 1:1 L3 VNI: 1000 ERT: 1:1 IRT: 1:1 BDif1: 10.1.1.1,10.1

26、.2.2,IP路由轉(zhuǎn)發(fā)表,EVPN VXLAN 主機(jī)路由學(xué)習(xí),可以通過EVPN中的Type5路由來傳遞L3 VNI和網(wǎng)段IP路由： 本端VTEP收集到本地IP網(wǎng)段路由，把該網(wǎng)段路由通過EVPN發(fā)送給其他鄰居，需要攜帶對應(yīng)VRF的L3 VNI，下一跳為本地VTEP地址，同時需要攜帶本地NVE的Router MAC 遠(yuǎn)端VTEP學(xué)習(xí)到網(wǎng)段路由后，添加到對應(yīng)的VPN實例，根據(jù)下一跳驅(qū)動創(chuàng)建動態(tài)的L3 VXLAN隧道，VPN路由關(guān)聯(lián)該隧道，下發(fā)路由轉(zhuǎn)發(fā)表。,L2 VNI 100,HOST4,PE1,VTEP,VTEP,RR,IBGP,VTEP1 IP ：1.1.1.9,VTEP2 IP ： 2.2.2

27、.9,L2 VNI 100,配置或?qū)氡径司W(wǎng)段路由,根據(jù)下一跳先創(chuàng)建L3 VXLAN隧道，然后路由關(guān)聯(lián)該隧道，下發(fā)網(wǎng)段路由轉(zhuǎn)發(fā)表,網(wǎng)段IP Prefix通告,IP路由表,IP-Prefix：10.20.20.1/24,VRF1 RD : 1:1 L3 VNI: 1000 ERT: 1:1 IRT: 1:1 BDif1: 10.1.1.1,VRF1 RD : 1:1 L3 VNI: 1000 ERT: 1:1 IRT: 1:1 BDif1: 10.1.2.1,10.1.2.2,EVPN VXLAN 網(wǎng)段路由學(xué)習(xí),隧道表,ARP Request,HostA請求HostB的IP_B的MAC地址 VT

28、EP1泛洪HostA的ARP Request Host B發(fā)送ARP Response應(yīng)答HostA的ARP請求 VTEP4將ARP Response通過單播轉(zhuǎn)發(fā)到VTEP1 VTEP4 學(xué)習(xí)到HostB的ARP，EVPN同步到其他VTEP（VTEP1、VTEP2、VTEP3）,VXLAN,VTEP2,VTEP3,AS 65000,RR,IBGP,ARP Response from IP_B SrcMAC: MAC_B DstMAC: MAC_A,Host A MAC_A / IP_A:10.1.1.11,VTEP1,VTEP4,Host B MAC_B / IP_B:10.1.1.14,1.

29、1.1.9,1.4.4.9,Host C MAC_C / IP_C:10.1.1.12,1.2.2.9,ARP Response from IP_B SrcMAC: MAC_B DstMAC: MAC_A,ARP單播發(fā)送,EVPN同步,EVPN VXLAN ARP學(xué)習(xí),1.3.3.9,ARP Request,Host A（IP_A）向Host B （IP_B）發(fā)包 Host A發(fā)送ARP Request請求IP_B的MAC VTEP1 已經(jīng)通過BGP-EVPN或控制器學(xué)習(xí)到HostB的ARP VTEP1直接代答ARP，不需要將ARP Request轉(zhuǎn)發(fā)出去,VXLAN,VTEP2,VTEP3,

30、AS 65000,RR,IBGP,ARP Request for IP_B SrcMAC: MAC_A DstMAC: FF:FF:FF:FF:FF:FF,ARP Response for IP_B SrcMAC: MAC_B DstMAC: MAC_A,Host A MAC_A / IP_A:10.1.1.11,VTEP1,VTEP4,Host B MAC_B / IP_B:10.1.1.14,1.1.1.9,1.4.4.9,EVPN VXLAN ARP代答,EVPN VXLAN - 主機(jī)遷移,Page 39,遷移后主機(jī)發(fā)送免費(fèi)ARP，網(wǎng)關(guān)收到免費(fèi)ARP后刷新主機(jī)路由，并向原leaf發(fā)送AR

31、P信息。原leaf ARP出接口變化，老化原ARP表項。,EVPN VXLAN集中式網(wǎng)關(guān),對于Vxlan網(wǎng)絡(luò)中，不同子網(wǎng)，因為互相學(xué)習(xí)不到MAC，所以只能走三層轉(zhuǎn)發(fā)。 三層轉(zhuǎn)發(fā)查路由處理是在集中式網(wǎng)關(guān)節(jié)點(diǎn)上做的即為集中式網(wǎng)關(guān)，這種情況不需要協(xié)議控制面去傳遞三層路由。 控制流程： 主機(jī)上線后，L3GW學(xué)習(xí)到主機(jī)ARP，從而產(chǎn)生主機(jī)IP路由。 L3GW上通過收到主機(jī)上線的ARP，能學(xué)習(xí)到主機(jī)H1和H2的主機(jī)IP路由 轉(zhuǎn)發(fā)流程如下： L3GW收到vxlan報文后解封裝，獲取內(nèi)層二層報文，判斷二層報文目的mac為本機(jī)mac，入三層轉(zhuǎn)發(fā)流程。根據(jù)內(nèi)層報文的目的IP地址查路由表，進(jìn)行三層轉(zhuǎn)發(fā)。 根據(jù)路由表

32、獲取下一跳IP地址，根據(jù)IP地址查ARP表，如果ARP表出接口為VXLAN隧道，則按照ARP表中的VXLAN隧道封裝信息進(jìn)行vxlan封裝，然后將報文發(fā)送出去。,Page 40,EVPN VXLAN分布式網(wǎng)關(guān),三層轉(zhuǎn)發(fā)查路由分布在不同的接入交換機(jī)上即為分布式網(wǎng)關(guān) 因為每一臺接入交換機(jī)并不直接接入所有子網(wǎng)，對于未接入的子網(wǎng)要能夠跨子網(wǎng)訪問，就需要先互相學(xué)習(xí)主機(jī)路由信息此時使用EVPN作為控制面來傳遞主機(jī)路由信息。 控制流程： 主機(jī)上線后，Leaf學(xué)習(xí)到主機(jī)IP路由，把該主機(jī)IP路由通過EVPN發(fā)送給其他鄰居，需要攜帶對應(yīng)租戶的L3 VNI，下一跳填充本地VTEP地址； 遠(yuǎn)端Leaf學(xué)習(xí)到主機(jī)IP

33、路由后，根據(jù)ERT匹配，下發(fā)到對應(yīng)的VPN實例，接著根據(jù)下一跳去觸發(fā)創(chuàng)建動態(tài)的L3 Vxlan隧道，并把路由關(guān)聯(lián)上該隧道，下發(fā)IP路由轉(zhuǎn)發(fā)表。,Page 41,EVPN VXLAN分布式網(wǎng)關(guān),轉(zhuǎn)發(fā)流程： Leaf2收到H3發(fā)過來的報文，檢測報文的目的MAC是網(wǎng)關(guān)MAC，即是自己Leaf的MAC，需要走三層查路由轉(zhuǎn)發(fā)，通過報文入接口找到對應(yīng)的VRF實例。 Leaf2在VRF實例中，根據(jù)報文的目的IP查找路由表，封裝Vxlan信息：帶上L3 VNI、RouterMac等，送給Leaf1。 Leaf1上收到VXLAN報文后，根據(jù)VNI找到對應(yīng)廣播域，在該廣播域中判斷DMAC是自己的系統(tǒng)Mac，所以要

34、走三層轉(zhuǎn)發(fā)，通過VNI找到對應(yīng)的VRF實例，在該VRF實例中查找路由表，發(fā)現(xiàn)該路由下一跳是網(wǎng)關(guān)接口，則查ARP信息獲取H1的MAC信息，通過二層封裝向H1轉(zhuǎn)發(fā)。,Page 42,Contents,Page43,3. EVPN Over VxLAN原理與應(yīng)用 3.1 EVPN Over VxLAN基本原理 3.2 EVPN Over VxLAN配置,EVPN VxLAN基本配置,Page44,L0:3.3.3.3,L0:4.4.4.4,L0:1.1.1.1,L0:2.2.2.2,BGP 100,VM IP:100.1.1.2/24,VM IP:100.1.1.3/24,GW:100.1.1.1/

35、24,GW:100.1.1.1/24,OSPF,Area 0,EVPN VxLAN基本配置(1/3),VXLAN配置：Leaf 1 interface Nve1 source 3.3.3.3 vni 10 head-end peer-list protocol bgp EVPN overlay全局配置：(Leaf1) PE1 evpn-overlay enable BD接入EVPN配置：(Leaf1) bridge-domain 10 vxlan vni 10 evpn route-distinguisher 1:1 vpn-target 1:1 export-extcommunity vpn

36、-target 1:1 import-extcommunity # interface Eth-Trunk10.1 mode l2 encapsulation dot1q vid 10 bridge-domain 10,Page 45,VXLAN配置：Leaf 2 interface Nve1 source 4.4.4.4 vni 10 head-end peer-list protocol bgp EVPN overlay全局配置：(Leaf2) PE1 evpn-overlay enable BD接入EVPN配置：(Leaf2) bridge-domain 10 vxlan vni 10

37、evpn route-distinguisher 1:1 vpn-target 1:1 export-extcommunity vpn-target 1:1 import-extcommunity # interface Eth-Trunk10.1 mode l2 encapsulation dot1q vid 10 bridge-domain 10,EVPN VxLAN基本配置(2/3),VRF接入EVPN配置(Leaf1) ip vpn-instance vrf1 ipv4-family route-distinguisher 101:1 vpn-target 101:1 export-extcommunity vpn-target 102:1 export-extcommunity evpn vpn-target 101:1 import-extcommunity vpn-target 102:1 import-extcommunity evpn vxlan vni 100 BD接入三層配置：(Leaf1) interface Vbdif10 ip binding vpn-instance vrf1 ip address 100.1.1.1 255.255.255.0 arp distribute-gateway enable mac