NESTA PÁGINA
Suporte de filtragem e policiamento de firewall para EVPN-VXLAN
Entender o uso das redes virtuais do Contrail com a EVPN-VXLAN
Suporte EVPN-VXLAN para underlays VXLAN em roteadores da Série MX e na linha EX9200 de switches
Suporte para EVPN-VXLAN para underlays VXLAN em switches da Série QFX
Suporte para EVPN-VXLAN para underlays VXLAN em dispositivos da Série ACX
Entendendo a EVPN com o encapsulamento do plano de dados VXLAN
As VPNs de ethernet (EVPNs) permitem que você conecte grupos de sites de clientes dispersos usando pontes virtuais de Camada 2 e LANs virtuais extensíveis (VXLANs) permitem que você estique a conectividade de Camada 2 em uma rede de Camada 3 intervindo, ao mesmo tempo em que fornece segmentação de rede como uma VLAN, mas sem a limitação de escala das VLANs tradicionais. A EVPN com encapsulamento VXLAN lida com a conectividade de Camada 2 na escala exigida pelos provedores de servidores de nuvem e substitui protocolos de limitação como o Spanning Tree Protocol (STP), liberando sua rede de Camada 3 para usar protocolos de roteamento mais robustos. A EVPN com encapsulamento de plano de dados VXLAN pode ser usada com e sem o software Contrail Virtualization da Juniper Networks — use o Contrail com encapsulamento de plano de dados EVPN VXLAN quando você tem um ambiente que inclui dispositivos virtuais e bare-metal.
Entendendo a EVPN
A VPN Ethernet (EVPN) é uma tecnologia baseada em padrões que fornece conectividade multiponto virtual entre diferentes domínios de Camada 2 em uma rede de backbone IP ou IP/MPLS. Como outras tecnologias VPN, como VPN IP e serviço de LAN privada virtual (VPLS), as instâncias EVPN são configuradas em roteadores de borda de provedor (PE) para manter a separação lógica de serviços entre os clientes. Os roteadores PE se conectam a dispositivos de borda do cliente (CE), que podem ser roteadores, switches ou hosts. Os roteadores PE então trocam informações de alcance usando o Multiprotocol BGP (MP-BGP) e o tráfego encapsulado é encaminhado entre roteadores PE. Como os elementos da arquitetura são comuns com outras tecnologias VPN, você pode introduzir e integrar a EVPN perfeitamente em ambientes de serviço existentes, como mostrado na Figura 1.
A EVPN é usada como uma solução de sobreposição de Camada 2 para fornecer conexão de Camada 2 em um underlay IP para endpoints dentro de uma rede virtual sempre que a conectividade de Camada 2 for exigida por uma estação final, como o servidor bare-metal (BMS). Caso contrário, o roteamento de Camada 3 é usado por tabelas VRF entre os roteadores Contrail vRouters e MX Series. A tecnologia EVPN oferece serviços flexíveis e multilocatários que podem ser estendidos sob demanda, usando frequentemente recursos de computação de diferentes data centers físicos para um único serviço (extensão de Camada 2).
O plano de controle MP-BGP da EVPN permite mover dinamicamente máquinas virtuais ao vivo de um data center para outro, também conhecido como movimento de máquina virtual (VM). Depois de mover um VM para um servidor ou hipervisor de destino, ele transmite um ARP gratuito, que atualiza a tabela de encaminhamento de Camada 2 do dispositivo PE no data center de destino. Em seguida, o dispositivo PE transmite uma atualização de rota MAC para todos os dispositivos PE remotos que, por sua vez, atualizam suas tabelas de encaminhamento. Uma EVPN rastreia o movimento da VM, que também é conhecida como mobilidade MAC.
A EVPN também possui mecanismos que detectam e interrompem o flapping mac, e evitam o looping de tráfego de broadcast, unicast desconhecido e multicast (BUM) em uma topologia multi-homed totalmente ativa.
A tecnologia EVPN, semelhante à VPN MPLS de Camada 3, inclui o conceito de roteamento de endereços MAC usando núcleo IP/MPLS. A EVPN oferece os seguintes benefícios:
-
Capacidade de ter um dispositivo de borda multihomed ativo
-
Aliasing
-
Convergência rápida
-
Balanceamento de carga em links duplos ativos
-
Mobilidade de endereço MAC
-
Multitenancy
Além disso, a EVPN usa essas técnicas:
-
A multihoming oferece redundância caso um link de acesso ou um dos dispositivos de roteamento de PE falhe. Em ambos os casos, o tráfego flui do dispositivo CE em direção ao roteador PE, usando os links ativos restantes. Para tráfego em outra direção, o roteador PE remoto atualiza sua tabela de encaminhamento para enviar tráfego aos roteadores PE ativos restantes conectados ao segmento Ethernet multihomed. A EVPN fornece um mecanismo de convergência rápida, que reduz o tempo de restauração de tráfego para que o tempo necessário para fazer esse ajuste seja independente do número de endereços de controle de acesso de mídia (MAC) aprendidos pelo roteador PE. O multihoming totalmente ativo permite que um dispositivo CE se conecte a dois ou mais roteadores PE, de modo que o tráfego seja encaminhado usando todos os links entre os dispositivos. Essa multihoming permite que o dispositivo CE balancee o tráfego com vários roteadores PE. Mais importante ainda, o multihoming permite que um roteador PE remoto balancee o tráfego para os roteadores de PE multihomed em toda a rede principal. Esse balanceamento de carga dos fluxos de tráfego entre data centers é conhecido como aliasing, o que faz com que diferentes sinais se tornem indistinguíveis — eles se tornam pseudônimos uns dos outros. O aliasing é usado com áudio digital e imagens digitais.
-
O horizonte dividido impede o looping do tráfego de broadcast, unicast desconhecido e multicast (BUM) em uma rede. O princípio básico do horizonte dividido é simples: as informações sobre o roteamento para um determinado pacote nunca são enviadas de volta na direção da qual foi recebido.
-
O viés de enlace local conserva a largura de banda usando links locais para encaminhar tráfego unicast saindo de um Virtual Chassis ou Virtual Chassis Fabric (VCF) que tem um pacote de grupo de agregação de links (LAG) composto por links de membros em diferentes switches de membros no mesmo Virtual Chassis ou VCF. Um link local é um link de membro no pacote LAG que está no switch de membro que recebeu o tráfego.
-
O encapsulamento de EVPN com VXLAN é usado para conectividade de Camada 2 entre máquinas virtuais e um switch top-of-rack (TOR), por exemplo, um switch QFX5100, dentro de um domínio de Camada 2.
Você pode usar o Contrail para provisionar um roteador da Série MX como um gateway VXLAN de Camada 2 ou Camada 3. Os roteadores da Série MX implementam o protocolo de gerenciamento NETCONF XML, que é um protocolo baseado em XML que os aplicativos dos clientes usam para solicitar e alterar informações de configuração em dispositivos de roteamento, comutação e segurança. O protocolo de gerenciamento NETCONF XML usa uma codificação de dados baseada em XML para as chamadas de dados de configuração e procedimentos remotos. O protocolo NETCONF define operações básicas equivalentes aos comandos de modo de configuração na interface de linha de comando (CLI). Os aplicativos usam as operações de protocolo para exibir, editar e confirmar declarações de configuração de maneira semelhante à forma como os administradores usam comandos de modo de configuração CLI para realizar essas mesmas operações.
Entendendo o VXLAN
As LANs extensíveis virtuais (VXLANs) introduziram um esquema de overlay que expande o espaço de endereço de rede de Camada 2 de 4K para 16 milhões, resolvendo em grande parte os problemas de escala vistos em ambientes baseados em VLAN.
Os overlays de rede são criados encapsulando o tráfego e tunelando o tráfego em uma rede física. Você pode usar vários protocolos de tunelamento no data center para criar sobreposições de rede — o protocolo mais comum é o VXLAN. O protocolo de tunelamento VXLAN encapsula quadros Ethernet de Camada 2 em pacotes UDP de Camada 3. Esse encapsulamento permite criar sub-redes ou segmentos virtuais de Camada 2 que podem abranger redes físicas de Camada 3.
Em uma rede overlay VXLAN, um identificador de rede VXLAN (VNI) identifica de forma exclusiva cada sub-rede ou segmento de Camada 2. Um VNI segmenta o tráfego da mesma forma que um IEEE 802.1Q VLAN ID segmenta o tráfego. Como acontece com a VLAN, as máquinas virtuais na mesma VNI podem se comunicar diretamente entre si, enquanto as máquinas virtuais em diferentes VNIs precisam de um roteador para se comunicarem entre si.
A entidade que realiza o encapsulamento e o des encapsulamento é chamada de endpoint de túnel VXLAN (VTEP). Na rede física, um dispositivo da Juniper Networks que funciona como um gateway VXLAN de Camada 2 ou Camada 3 pode enacapsular e des encapsular pacotes de dados. Esse tipo de VTEP é conhecido como um VTEP de hardware. Na rede virtual, os VTEPs podem residir em hosts de hipervisor, como hosts de máquina virtual baseada em kernel (KVM). Esse tipo de VTEP é conhecido como VTEP de software.
Cada VTEP tem duas interfaces.
-
Uma interface é uma interface de comutação que enfrenta as máquinas virtuais no host e fornece comunicação entre VMs no segmento de LAN local.
-
A outra é uma interface de IP que enfrenta a rede de Camada 3.
Cada VTEP tem um endereço IP exclusivo que é usado para roteamento dos pacotes UDP entre VTEPs. Por exemplo, quando o VTEP1 recebe um quadro Ethernet do VM1 endereçado ao VM3, ele usa o VNI e o MAC de destino para procurar em sua tabela de encaminhamento para a qual o VTEP envia o pacote. Em seguida, ele adiciona um cabeçalho VXLAN que contém o VNI ao quadro Ethernet e encapsula o quadro em um pacote UDP de Camada 3 e roteia o pacote para VTEP2 pela rede de Camada 3. O VTEP2 des encapsula o quadro Ethernet original e o encaminha para o VM3. O VM1 e o VM3 não conseguem detectar o túnel VXLAN e a rede de Camada 3 entre eles.
Visão geral da integração EVPN-VXLAN
O VXLAN define um esquema de tunelamento para sobrepor redes de Camada 2 em cima de redes de Camada 3. Esse esquema de tunelamento permite o encaminhamento ideal de quadros Ethernet com suporte para o multicaminho de tráfego unicast e multicast com o uso de encapsulamento UDP/IP para tunelamento, e é usado principalmente para a conectividade do local do intra data center.
Uma característica única da EVPN é que o aprendizado de endereço MAC entre roteadores PE ocorre no plano de controle. O roteador PE local detecta um novo endereço MAC a partir de um dispositivo CE e, em seguida, usando MP-BGP, anuncia o endereço para todos os roteadores PE remotos. Esse método difere das soluções VPN de Camada 2 existentes, como a VPLS, que aprende inundando a unicast desconhecida no plano de dados. Este método de aprendizado MAC de plano de controle é o facilitador chave dos muitos recursos úteis que a EVPN fornece.
Como o aprendizado MAC é tratado no plano de controle, a EVPN tem a flexibilidade de oferecer suporte a diferentes tecnologias de encapsulamento de plano de dados entre roteadores PE. Essa flexibilidade é importante porque nem toda rede de backbone pode estar executando MPLS, especialmente em redes empresariais.
A EVPN enfrenta muitos dos desafios enfrentados pelas operadoras de rede que criam data centers para oferecer serviços de nuvem e virtualização. A principal aplicação da EVPN é a Interconexão de Data Center (DCI), que se refere à capacidade de estender a conectividade de Camada 2 entre diferentes data centers que são implantados para melhorar o desempenho da entrega de tráfego de aplicativos aos usuários finais e para a recuperação de desastres.
Embora várias tecnologias de DCI estejam disponíveis, a EVPN tem uma vantagem sobre as outras tecnologias MPLS devido a seus recursos exclusivos, como redundância ativa/ativa, aliasing e retirada MAC em massa. Como resultado, para fornecer uma solução para DCI, a VXLAN é integrada à EVPN.
Como mostrado na Figura 2, cada VXLAN, que está conectado ao MPLS ou núcleo IP, executa uma instância independente do plano de controle de protocolo de gateway interior (IGP). Cada roteador PE participa da instância de plano de controle IGP de seu VXLAN. Cada cliente é um data center, então cada um tem seu próprio roteador virtual para underlay VXLAN.
Cada nó PE pode encerrar o encapsulamento do plano de dados VXLAN onde o identificador de rede VXLAN (VNI) é mapeado em um domínio de ponte ou VLAN. O roteador PE realiza o aprendizado do plano de dados no tráfego recebido da VXLAN.
Cada nó PE implementa a EVPN para distribuir os endereços MAC do cliente aprendidos no túnel VXLAN em BGP. Cada nó PE encapsula os quadros VXLAN ou Ethernet com MPLS ao enviar os pacotes pelo núcleo MPLS e com o cabeçalho do túnel VXLAN ao enviar os pacotes pela rede VXLAN.
Suporte de filtragem e policiamento de firewall para EVPN-VXLAN
Para cada filtro de firewall que você aplica a um VXLAN, especifique para filtrar family ethernet-switching
pacotes de Camada 2 (Ethernet) ou family inet
filtrar em interfaces IRB. A interface IRB atua como uma interface de roteamento de Camada 3 para conectar as VXLANs em topologias de malha IP de uma ou duas camadas. As seguintes limitações se aplicam:
-
A filtragem e o policiamento não são suportados para o tráfego de trânsito VXLAN.
-
A filtragem de firewall em VNI no dispositivo VTEP de saída não é suportada.
-
O policiamento de VNI no dispositivo VTEP de saída não é suportado.
-
As condições de jogo contra campos de cabeçalho VXLAN não são suportadas.
Os filtros de firewall EVPN-VXLAN são configurados na interface após o cabeçalho VXLAN ser retirado pelo endpoint de túnel VXLAN (VTEP).
Para obter mais informações sobre a configuração de filtros de firewall, condições de correspondência e ações, veja:
Entender o uso das redes virtuais do Contrail com a EVPN-VXLAN
O software contrail virtualização da Juniper Networks é uma solução de redes definidas por software (SDN) que automatiza e orquestra a criação de redes virtuais altamente escaláveis. Essas redes virtuais permitem que você aproveite o poder da nuvem — para novos serviços, maior agilidade de negócios e crescimento de receita. Os roteadores da Série MX podem usar a EVPN-VXLAN para fornecer conectividade de Camada 2 e Camada 3 para estações finais dentro de uma rede virtual (VN) Contrail.
O software Contrail para redes virtuais oferece conectividade de Camada 2 e Camada 3. Com o Contrail, o roteamento de Camada 3 é preferido em relação à ponte de Camada 2 sempre que possível. O roteamento de camada 3 é usado por meio de tabelas de roteamento e encaminhamento virtual (VRF) entre o Contrail vRouters e os roteadores físicos da Série MX. Os roteadores da Série MX oferecem funcionalidade de gateway de Camada 3 entre redes virtuais.
O Contrail permite que você use a EVPN-VXLAN quando sua rede inclui dispositivos virtuais e bare-metal.
Dois tipos de métodos de encapsulamento são usados em redes virtuais.
-
MPLS-over-GRE (encapsulamento de roteamento genérico) é usado para roteamento de Camada 3 entre roteadores Contrail e Série MX.
-
A EVPN-VXLAN é usada para conectividade de Camada 2 entre máquinas virtuais e switches top-of-rack (TOR), por exemplo, QFX5100 switches, dentro de um domínio de Camada 2. Para conectividade de Camada 2, o balanceamento de carga de tráfego no núcleo é conseguido usando o recurso totalmente ativo multihoming fornecido pela EVPN. Começando pelo Junos OS Release 17.3R1, os switches EX9200 também oferecem suporte a EVPN-VXLAN com o Contrail.
O núcleo MPLS não é suportado em switches — apenas os roteadores da Série MX oferecem suporte a esse recurso.
Você não pode misturar simultaneamente EVPN-VXLAN com Open vSwitch Database (OVSDB)-VXLAN em switches da Série QFX. Depois que um switch é definido para gerenciado por OVSDB, o controlador trata todas as portas como gerenciadas pela OVSDB.
Suporte EVPN-VXLAN para underlays VXLAN em roteadores da Série MX e na linha EX9200 de switches
Os roteadores da Série MX e a linha EX92xx de switches oferecem suporte a gateways de LAN virtual extensível (VXLAN). Cada gateway VXLAN oferece suporte às seguintes funcionalidades:
-
Funcionalidade de comutação com redes de Camada 2 tradicionais e redes VPLS
-
Roteamento entre VXLAN e domínio de ponte somente para VXLAN com IRB
-
Switches virtuais
-
Funcionalidade VXLAN com VRF
-
Balanceamento de carga configurável
-
Estatísticas para VTEP remoto
A partir do Junos OS Release 17.3R1, o suporte de EVPN-VXLAN em roteadores da Série MX é estendido à implementação do gateway VXLAN usando um underlay IPv6. Oferecemos suporte a rotas EVPN Tipo 1, Type 2, Type 3 e Type 4 com uma underlay IPv6 em roteadores da Série MX.
Oferecemos suporte aos seguintes tipos de serviços com o suporte para underlay IPv6:
-
Serviço baseado em VLAN
-
Serviço de pacote VLAN
-
Serviço baseado em porta
-
Serviço com reconhecimento de VLAN
Ambos os underlays IPv4 e IPv6 EVPN-VXLAN oferecem suporte a endereços MAC EVPN Tipo 2 com anúncio de endereço IP e endereços MAC proxy com anúncio de endereço IP.
Suporte para EVPN-VXLAN para underlays VXLAN em switches da Série QFX
Os switches da Série QFX oferecem suporte a gateways VXLAN em uma rede EVPN-VXLAN. Todos os dispositivos que oferecem suporte à EVPN-VXLAN podem usar uma underlay IPv4 para a overlay VXLAN.
Oferecemos suporte à configuração de uma underlay IPv6 para a sobreposição VXLAN em redes EVPN-VXLAN em switches da Série QFX da seguinte forma:
-
Na linha QFX10000 de switches e switches QFX5120: a partir dos versões Junos OS 21.2R2 e 21.4R1
-
Em switches QFX5130-32CD e QFX5700: A partir do Junos OS Evolved Releases 22.3R1
Você só pode configurar uma underlay IPv6 usando instâncias EVPN MAC-VRF. Com um underlay IPv6, o cabeçalho IP externo no pacote VXLAN é um cabeçalho IPv6, e você configura o endereço fonte VTEP como um endereço IPv6. Consulte a EVPN-VXLAN com um Underlay IPv6 para saber mais sobre o suporte a underlay IPv6 e como configurar um dispositivo de gateway VXLAN para usar um underlay IPv6.
Suporte para EVPN-VXLAN para underlays VXLAN em dispositivos da Série ACX
ACX7100-32C, ACX7100-48L e dispositivos de ACX7024 podem usar um underlay IPv4 ou IPv6 para o overlay VXLAN. Você pode criar uma underlay IPv6 apenas com instâncias de roteamento MAC-VRF (todos os tipos de serviço). Você deve configurar um IPv4 ou um underlay IPv6 nas instâncias EVPN na malha; você não pode misturar underlays IPv4 e IPv6 na mesma malha.
Para criar um underlay IPv6, você precisa habilitar a vxlan-extended
declaração na [edit system packet-forwarding-options system-profile]
hierarquia.
Com um underlay IPv6, o cabeçalho IP externo no pacote VXLAN é um cabeçalho IPv6, e você configura o endereço fonte VTEP como um endereço IPv6. Consulte a EVPN-VXLAN com um Underlay IPv6 para saber mais sobre o suporte a underlay IPv6 e como configurar um dispositivo de gateway VXLAN para usar um underlay IPv6.
Depois de habilitar este perfil, o Mecanismo de encaminhamento de pacotes é reiniciado. O tráfego pode cair se algum tráfego estiver sendo executado.
Para voltar a usar o perfil padrão do sistema, emita o delete system packet-forwarding-options system-profile vxlan-extended
comando. O PFE é reiniciado após você reverter para o perfil padrão do sistema. Durante esse processo, qualquer tráfego que esteja sendo executado pode cair.
Formato de pacote EVPN-VXLAN
O formato de pacote EVPN-VXLAN é mostrado na Figura 3.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.