Interconexão de data center EVPN-VXLAN por meio da visão geral da WAN EVPN-MPLS
Você pode interconectar diferentes redes de data center executando VPN Ethernet (EVPN) com encapsulamento de LAN extensível virtual (VXLAN) por meio de uma WAN que executa eVPN baseada em MPLS.
As seções a seguir descrevem a visão geral de tecnologia e implementação da interconexão de redes de data center executando eVPN-VXLAN por meio de uma WAN que executa EVPN-MPLS para ser usada como uma solução de interconexão de data center (DCI).
Interconexão de redes de data center através da visão geral da WAN
O seguinte fornece uma visão geral conceitual da interconexão de diferentes redes de data center que executam VPN Ethernet (EVPN) com encapsulamento de LAN extensível virtual (VXLAN) por meio de uma WAN que executa eVPN baseada em MPLS usando a interface de túnel lógico (lt-). É possível:
Conecte roteadores de borda de data center em uma rede WAN que executa a EVPN baseada em MPLS para alcançar a interconexão de data center.
Interconecte eVPN-VXLAN e EVPN-MPLS usando a interface de túnel lógico (lt-) configurada nos roteadores de borda de data center.
A ilustração da Figura 1 mostra a interconexão de duas redes de data center (DC1 e DC2) que executam o encapsulamento EVPN-VXLAN por meio de uma WAN com EVPN baseada em MPLS:
Nesta ilustração,
Os dispositivos a seguir fazem parte da rede overlay EVPN-VXLAN de data center 1 (DC1):
Dispositivos de borda do cliente (CE1, CE2 e CE3) conectados à rede de data center.
Hosts VLAN conectados a cada dispositivo CE.
Roteadores MX que desempenham o papel dos roteadores top-of-rack (ToR11 e ToR12).
Roteadores MX desempenhando o papel do roteador de gateway de data center na rede EVPN-VXLAN e como um roteador de borda WAN executando EVPN baseada em MPLS (MX11 e MX12).
Os dispositivos a seguir fazem parte da rede overlay EVPN-VXLAN de data center 2 (DC2):
Dispositivos de borda do cliente (CE4, CE5 e CE6) conectados à rede de data center.
Hosts VLAN conectados a cada dispositivo CE.
Roteadores MX que desempenham o papel dos roteadores top-of-rack (ToR21 e ToR22).
Roteadores MX desempenhando o papel do roteador de gateway de data center na rede EVPN-VXLAN e como um roteador de borda WAN que executa EVPN baseada em MPLS (MX21 e MX22).
A interconexão da rede de data center é realizada no roteador de gateway de data center por meio de um par de interface de túnel lógico (lt-).
No roteador de gateway de data center, você precisa configurar um par de interface de túnel lógico (lt-) para interconectar a instância EVPN-VXLAN de data center e a instância EVPN baseada em MPLS de WAN: uma interface de túnel lógico (lt-) é configurada como a interface de acesso para rede EVPN-VXLAN e a outra interface de túnel lógico (lt-) como a interface de acesso para rede EVPN baseada em MPLS, conforme mostrado na Figura 2.
O suporte para multi-homing ativo é fornecido nos roteadores de gateway de data center para interconexão.
Para configurar instâncias EVPN-VXLAN e EVPN baseadas em MPLS na interface de túnel lógico (lt-) do roteador de gateway de data center, veja Exemplo: interconexão de redes de data center EVPN-VXLAN através de um MPLS baseado em EVPN em execução da WAN.
Multi-homing em gateways de data center
Você pode configurar gateways redundantes de data center e multi-homing ativo da rede EVPN-VXLAN para uma WAN que executa eVPN baseada em MPLS e multi-homing ativo da rede EVPN baseada em MPLS para EVPN-VXLAN. Isso permite a redundância entre a interconexão da rede EVPN-VXLAN e a rede EVPN WAN baseada em MPLS. Isso também permite o balanceamento de carga do tráfego unicast entre os gateways redundantes de data center em ambas as direções (da EVPN-VXLAN à EVPN-MPLS, bem como da EVPN-MPLS à EVPN-VXLAN). O tráfego de broadcast, unicast desconhecido e multicast (BUM) é encaminhado para fora do data center por um dos gateways de data center.
Eleição para encaminhamento designado (DF) da EVPN
Para conseguir eVPN-VXLAN ativo para a instância de interconexão EVPN-MPLS e EVPN-MPLS ativo para instância EVPN-VXLAN, a interface de túnel lógico (lt-) no roteador de gateway de data center é configurada com um Identificador de segmentos de Ethernet (ESI) não zero. A ESI, um valor de 10 octets que deve ser único em toda a rede, é configurado em uma base por porta para a interface lógica do túnel (lt-). De acordo com o procedimento multi-homing EVPN definido na RFC7432, as seguintes rotas são anunciadas para uma instância EVPN (EVI):
Anuncie uma rota de segmento de Ethernet
Anuncie uma rota de autodescoberta de ESI com um rótulo e modo de horizonte dividido válidos definidos para multi-homing
O procedimento padrão de eleição do EVPN DF descrito em RFC7432 é considerado. A eleição do DF é baseada em segmentos de Ethernet para cada EVI. A EVPN-VXLAN e a EVPN-MPLS executam seu processo de eleição do DF de forma independente.
Horizonte dividido
O horizonte dividido impede o looping do tráfego BUM em uma rede, veja RFC7432. Para tráfego BUM do núcleo até a direção do gateway de data center (EVPN PE), o DF inunda o tráfego BUM até o roteador de acesso (lt-interface) e não-DF bloqueia o tráfego BUM. Quando um DF ou não-DF recebe o tráfego BUM vindo do roteador de acesso (lt-interface), ele fica inundado até o núcleo, mas o DF não inunda o tráfego BUM recebido de seu não-DF para o roteador de acesso com base em regras de horizonte dividido. Para um determinado pacote BUM, apenas uma cópia é inundada para o roteador de acesso (lt-interface) e, em seguida, para o núcleo EVPN através de um dos roteadores de gateway de data center porque a EVPN é multi-homed para outra rede EVPN. A regra do filtro DF da primeira instância EVPN garante que apenas uma cópia do tráfego BUM seja encaminhada do DF para a lt-interface antes de re-entrar na segunda instância EVPN.
Aliasing
Quando a redundância é configurada em gateways de data center, o tráfego é equilibrado em carga entre roteadores redundantes de gateway de data center por fluxo. O endereço MAC é aprendido através do plano de dados usando um par de interfaces de túnel lógico (lt-) configuradas para instânciaS EVPN-VXLAN e EVPN-MPLS para interconexão de data center. No entanto, o MAC de propriedade de um host é sempre acessível por todos os gateways redundantes de data center devido à natureza do multi-homing ativo e da malha completa de PEs EVPN tanto na rede EVPN-VXLAN quanto na WAN executando EVPN-MPLS. Cada instância EVPN no roteador de gateway de data center declara o suporte da função de aliasing para a ESI configurada na interface do túnel lógico (lt-) anunciando por rota de autodescoberta EVI. O suporte de funcionalidade de aliasing é definido no RFC7432.
A Figura 3 ilustra uma falha de ligação entre CE1 e NVE1, mas o CE1 ainda é acessível por ambos os roteadores de gateway de data center dentro da rede de data center (DC1).
Uma falha de enlace entre um host e seus dispositivos top-of-rack (TOR) não afeta a funcionalidade de aliasing declarada pelo roteador de gateway de data center, uma vez que a própria rede de data center está ativa para a WAN em execução EVPN-MPLS. Enquanto o host estiver conectado a outro dispositivo ToR na rede de data center, o host ainda é acessível por todos os outros roteadores redundantes de gateway de data center, de modo que a funcionalidade de aliasing se aplica.
Serviço de pacotes com reconhecimento de VLAN
No Junos OS da Série MX, as instâncias EVPN-VXLAN e EVPN-MPLS oferecem suporte ao serviço de pacotes com reconhecimento de VLAN com um ou mais domínios de ponte. Para conectar duas EVIs com serviço de pacote com reconhecimento de VLAN por meio de uma interface de túnel lógico (lt-), ele precisa de suporte de interface de tronco na interface de túnel lógico (lt-), bem como suporte de interface de tronco para instâncias EVPN-VXLAN e EVPN-MPLS. Uma interface de tronco na Série Junos OS MX permite que uma interface lógica aceite pacotes marcados com qualquer ID VLAN especificado em uma lista de ID VLAN.
Quando o modo tronco é usado para a interface lógica de túnel (lt-), os quadros que saem da porta de tronco de interface de túnel lógico (lt-) do primeiro switch virtual EVPN são marcados com a tag VLAN apropriada; passando por sua interface de túnel lógico (lt-) peer, os quadros de entrada para o segundo switch virtual são inspecionados e encaminhados com base na tag VLAN encontrada dentro do quadro.
A seguir, uma configuração de amostra para usar o modo tronco na interface de túnel lógico (lt-) para oferecer suporte ao serviço de pacotes com reconhecimento de VLAN para interconexão de EVPN-VXLAN com uma WAN com EVPN baseada em MPLS:
interfaces lt-1/0/10 { esi { 36:36:36:36:36:36:36:36:36:36; all-active; } unit 3 { encapsulation ethernet-bridge; peer-unit 4; family bridge { interface-mode trunk; vlan-id-list [ 51 52 ]; } } unit 4 { encapsulation ethernet-bridge; peer-unit 3; family bridge { interface-mode trunk; vlan-id-list [ 51 52 ]; } } }
A seguir, uma configuração de amostra do suporte de porta-tronco para EVPN-VXLAN e EVPN-MPLS:
routing-instances evpn-mpls { vtep-source-interface lo0.0; instance-type virtual-switch; interface lt-1/0/10.4; route-distinguisher 101:2; vrf-target target:2:2; protocols { evpn { extended-vlan-list 51-52; } } bridge-domains { bd1 { domain-type bridge; vlan-id 51; } bd2 { domain-type bridge; vlan-id 52; } } } routing-instances red { vtep-source-interface lo0.0; instance-type virtual-switch; interface lt-1/0/10.4 route-distinguisher 101:1; vrf-target target:1:1; protocols { evpn { encapsulation vxlan; extended-vni-list all; } } bridge-domains { bd1 { domain-type bridge; vlan-id 51; routing-interface irb.0; vxlan { vni 51; encapsulate-inner-vlan; decapsulate-accept-inner-vlan; } } bd2 { domain-type bridge; vlan-id 52; routing-interface irb.1; vxlan { vni 52; encapsulate-inner-vlan; decapsulate-accept-inner-vlan; } } } }
Considerações e design de rede de data center
Antes de projetar uma rede de data center, você precisa decidir se deve usar protocolos IGP, iBGP ou eBGP na rede de data center para underlay ip. Outro fator importante a considerar é a atribuição de AS. O dispositivo ToR na rede de data center é necessário para ter um número DE que seja diferente do número de AS usado no roteador de borda WAN.
Para a rede overlay, você precisa decidir se deve usar o iBGP, ou eBGP, ou uma combinação de iBGP e eBGP.
A Figura 4 ilustra os roteadores MX (MX11, MX12, MX21 e MX22) como o gateway de data center e roteadores de borda WAN que interconectam eVPN-VXLAN à EVPN-MPLS. Os switches Spine oferecem conexão para tráfego leste e oeste entre ToRs para que o tráfego que não precisa ser roteado de Camada 3 não passe pelos roteadores MX. Do ponto de vista do design da rede para fornecer uma solução EVPN de ponta a ponta, os seguintes requisitos devem ser atendidos:
Isole o IGP entre segmentos EVPN-VXLAN e EVPN-MPLS
Quando o IGP é usado na rede de data center, você precisa isolar a rede IP na EVPN-VXLAN da rede IP na WAN. Quando o IGP é usado no data center, uma opção é não executar o protocolo IGP nas interfaces que conecta switches spine e roteadores MX. Em vez disso, uma sessão de eBGP com a família de endereços inet unicast é usada entre switches spine e roteadores MX de forma que, por meio de IGP/eBGP/política, você pode vazar endereços de loopback de roteadores ToR e MX uns para os outros e ainda manter o isolamento da rede IP no data center da WAN. No segmento EVPN-VXLAN, o IGP está entre switches spine e ToRs apenas. No segmento EVPN-MPLS, o IGP está entre todos os roteadores MX.
Usando iBGP para IP Underlay na rede de data center
Se o requisito for não usar o IGP no underlay ip no data center, o iBGP com a família de endereços inet unicast pode ser usado para substituir o OSPF entre switches spine e ToRs. Entre switches spine e gateways de data center, você ainda precisa usar o eBGP para um IP de loopback publicitário.
Usando eBGP para o IP Underlay na rede de data center
Se o requisito for usar o eBGP apenas no data center, você precisa usar o eBGP com a família de endereços inet unicast para o ip underlay. Neste caso, é uma rede CLOS típica de 2 estágios sem camada de agregação spine. Cada gateway ToR e data center recebe um número AS exclusivo. O ToR estabelece a sessão eBGP com roteadores de gateway de data center diretamente.
Sistemas autônomos diferentes (AS) na rede EVPN-VXLAN e EVPN-MPLS
O suporte a seguir é o suporte a diferentes AS na rede EVPN-VXLAN e EVPN-MPLS em execução iBGP, ou eBGP para a sobreposição de IP.
Executando iBGP/eBGP para overlay
ToRs e switches spine estão no mesmo AS100 e todos os roteadores da Série MX estão em AS8303. Entre os ToRs, suas informações de alcance de camada de rede EVPN (NLRI) são trocadas por meio da sessão iBGP. Um refletor de rota BGP (RR) é usado e cada ToR estabelece a sessão iBGP com o RR. O tráfego de dados entre ToRs que pertence ao mesmo domínio de ponte passa apenas pelo switch spine e está sempre a 2 saltos de distância. Como os ToRs e os switches spine estão no mesmo AS e os roteadores de borda MX estão no AS diferente, o roteador de borda MX estabelece a sessão de eBGP para RR ou cada ToR diretamente. Por padrão, os roteadores aprendidos com a sessão iBGP (ToRs) são re-anunciados para os roteadores eBGP (MX) e vice-versa. O próximo salto BGP inalterado é aplicado quando o BGP anuncia novamente a EVPN NLRI entre a sessão iBGP e eBGP.
Executando o eBGP apenas para o Overlay
Se o requisito for executar o eBGP apenas no data center, cada ToR recebe um número DE único. Cada roteador de gateway de data center usa um número DE exclusivo no lado voltado para o data center. Para o lado voltado para a WAN, o mesmo número COMO é usado, mas o número DE seria diferente do número de AS usado para o lado voltado para o data center. O número DE também pode ser reutilizado em cada data center.
Para evitar que uma rota EVPN no data center seja anunciada para os roteadores de gateway de data center em outro data center, você deve ativar a restrição de rota na rede EVPN-MPLS. Para fazer a restrição de rota BGP funcionar, diferentes alvos de rota são usados para a rede EVPN-VXLAN e EVPN-MPLS, respectivamente.