Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: configuração da EVPN com a solução IRB

Visão geral da solução EVPN com IRB

Um provedor de serviços de data center (DCSP) hospeda o data center para seus vários clientes em uma rede física comum. Para cada cliente (também chamado de locatário), o serviço parece um data center completo que pode se expandir para 4094 VLANs e todas as sub-redes privadas. Para recuperação de desastres, alta disponibilidade e otimização da utilização de recursos, é comum o DCSP abranger todo o data center até mais de um site. Para implantar os serviços de data center, um DCSP enfrenta os seguintes desafios principais:

  • Estendendo domínios de Camada 2 em mais de um site de data center. Isso requer um encaminhamento ideal de tráfego intra-sub-rede.

  • Suporte ao encaminhamento ideal de tráfego entre sub-redes e roteamento ideal em caso de máquina virtual (VM).

  • Suporte a vários locatários com VLAN independente e espaço de sub-rede.

A VPN Ethernet (EVPN) é destinada a lidar com todos os desafios mencionados acima, em que:

  • A funcionalidade básica de EVPN permite o encaminhamento ideal de tráfego intra-sub-rede

  • A implementação da solução integrada de roteamento e ponte (IRB) em uma implantação de EVPN permite o encaminhamento ideal de tráfego entre sub-redes

  • A configuração da EVPN com suporte a switches virtuais permite a vários locatários com espaço independente de VLAN e sub-rede

As seções a seguir descrevem a solução IRB para EVPNs:

Necessidade de uma solução EVPN IRB

EVPN é uma tecnologia usada para fornecer extensão e interconexão de Camada 2 em uma rede núcleo IP/MPLS para diferentes locais físicos pertencentes a um único domínio de Camada 2. Em um ambiente de data center com EVPN, há a necessidade de encaminhamento de Camada 2 (tráfego intra-sub-rede) e Camada 3 (tráfego entre sub-rede) e potencialmente interoperação com VPNs de Camada 3 de locatário.

Com apenas uma solução de Camada 2, não há encaminhamento ideal do tráfego entre sub-redes, mesmo quando o tráfego é local, por exemplo, quando ambas as sub-redes estão no mesmo servidor.

Com apenas uma solução de Camada 3, podem surgir os seguintes problemas para o tráfego intra-sub-rede:

  • Problema de aliasing de endereço MAC em que endereços MAC duplicados não são detectados.

  • Problema de TTL para aplicativos que usam TTL 1 para limitar o tráfego em uma sub-rede.

  • Endereçamento local de enlace IPv6 e detecção de endereço duplicado que depende da conectividade de Camada 2.

  • O encaminhamento da camada 3 não suporta a semântica de encaminhamento de uma transmissão de sub-rede.

  • Suporte a aplicativos não IP que exigem encaminhamento de Camada 2.

Devido às deficiências mencionadas acima de uma solução de Camada 2 e Camada 3 pura, há a necessidade de uma solução que incorpore o encaminhamento ideal do tráfego de Camada 2 e Camada 3 no ambiente do data center quando confrontado com considerações operacionais, como a interoperabilidade de VPN de Camada 3 e a mobilidade de máquinas virtuais (VM).

Uma solução de roteamento integrado e ponte (IRB) baseada em EVPN oferece o melhor encaminhamento unicast e multicast para intra-sub-subnets e inter-sub-subnets dentro e entre data centers.

O recurso EVPN IRB é útil para provedores de serviços que operam em uma rede IP/MPLS que fornece serviços vpn de Camada 2 ou VPLS e serviços VPN de Camada 3 que desejam estender seus serviços para fornecer serviços de computação e armazenamento em nuvem aos seus clientes existentes.

Implementação da solução EVPN IRB

Uma solução EVPN IRB fornece o seguinte:

  • Encaminhamento ideal para tráfego de intra-sub-rede (Camada 2).

  • Encaminhamento ideal para tráfego entre sub-rede (Camada 3).

  • Suporte para replicação de entrada para tráfego multicast.

  • Suporte a modelos de overlay baseados em rede e baseados em host.

  • Suporte para encaminhamento consistente baseado em políticas para tráfego de Camada 2 e Camada 3.

  • Suporte para os seguintes protocolos de roteamento na interface IRB:

    • BFD

    • BGP

    • IS-IS

    • OSPF e OSPF versão 3

  • Suporte para multihoming único ativo e totalmente ativo

O Junos OS oferece suporte a vários modelos de configuração de EVPN para satisfazer as necessidades individuais dos clientes de serviços de nuvem EVPN e data center. Para oferecer flexibilidade e escalabilidade, vários domínios de ponte podem ser definidos em uma instância EVPN específica. Da mesma forma, uma ou mais instâncias EVPN podem ser associadas a um único roteamento e encaminhamento virtual VPN de Camada 3 (VRF). Em geral, cada locatário de data center recebe um VRF VPN de Camada 3 exclusivo, enquanto um locatário pode incluir uma ou mais instâncias EVPN e um ou mais domínios de ponte por instância EVPN. Para dar suporte a esse modelo, cada domínio de ponte configurado (incluindo o domínio de ponte padrão para uma instância EVPN) requer uma interface IRB para executar as funções de Camada 2 e Camada 3. Cada domínio de ponte ou interface IRB mapeia uma sub-rede IP única no VRF.

Nota:

Você pode associar uma interface IRB à tabela inet.0 de instância primária em vez de uma VRF em uma solução EVPN IRB.

Existem duas funções importantes que são suportadas para IRB na EVPN.

  • Sincronização MAC-IP do host

    Isso inclui:

    • Publicidade do endereço IP junto com a rota de anúncio MAC na EVPN. Isso é feito usando o campo IP na rota de anúncio EVPN MAC.

    • O roteador PE receptor instala MAC na tabela de instânciaS EVPN (EVI) e instala IP no VRF associado.

  • Sincronização MAC-IP do gateway

    Isso inclui:

    • Publicidade de todos os endereços IRB MAC e IP locais em uma EVPN. Isso é conseguido incluindo a comunidade estendida de gateway padrão na rota de anúncioS EVPN MAC.

    • O PE receptor cria um estado de encaminhamento para rotear pacotes destinados ao MAC de gateway, e um ARP proxy é feito para o IP de gateway com o MAC anunciado na rota.

A Figura 1 ilustra o encaminhamento de tráfego entre sub-rede entre dois dispositivos de borda de provedor (PE) — PE1 e PE2. As interfaces IRB1 e IRB2 em cada dispositivo PE pertencem a uma sub-rede diferente, mas compartilham um VRF comum.

Figura 1: Encaminhamento Inter-Subnet Traffic Forwarding de tráfego entre sub-redes

O encaminhamento de tráfego entre sub-redes é executado da seguinte forma:

  1. O PE2 anuncia a vinculação H3-M3 e H4-M4 ao PE1. Da mesma forma, o PE1 anuncia a vinculação de H1-M1 e H2-M2 ao PE2.

  2. PE1 e PE2 instalam o endereço MAC na tabela MAC EVI correspondente, enquanto as rotas de IP estão instaladas no VRF compartilhado.

  3. O dispositivo PE de publicidade é definido como o próximo salto para as rotas de IP.

  4. Se o H1 enviar pacotes para o H4, os pacotes serão enviados ao IRB1 no PE1.

  5. A busca por IP para H4 acontece no VRF compartilhado no PE1. Como o próximo salto para o IP H4 é PE2 (o PE publicitário), um pacote ip unicast é enviado para PE2.

  6. O PE1 reescreve o cabeçalho MAC com base nas informações na rota VRF, e o PE2 realiza uma busca MAC para encaminhar o pacote para H4.

Benefícios da implementação da solução EVPN IRB

O principal objetivo da solução EVPN IRB é fornecer um encaminhamento ideal de Camada 2 e Camada 3. A solução é necessária para lidar com o encaminhamento entre sub-redes de maneira eficiente, bem como a mobilidade de máquinas virtuais (VM). A mobilidade de VM refere-se à capacidade de um VM de migrar de um servidor para outro dentro do mesmo ou de um data center diferente, mantendo seu endereço MAC e IP existentes. Fornecer o encaminhamento ideal para tráfego entre sub-redes e mobilidade VM eficaz envolve a resolução de dois problemas : o problema padrão do gateway e o problema de roteamento triangular.

A partir do Junos OS Release 17.1R1, os endereços IPv6 são suportados em interfaces IRB com EVPN usando o Neighbor Discovery Protocol (NDP). Os recursos a seguir são introduzidos para suporte ao IPv6 com EVPN:

  • Endereços IPv6 em interfaces IRB em instâncias primárias de roteamento

  • Aprendendo o bairro IPv6 com uma mensagem de NA solicitada

  • Os pacotes NS e NA nas interfaces IRB são desativados do núcleo da rede

  • Endereços de gateway virtuais são usados como endereços de Camada 3

  • Sincronização MAC-IP do host para IPv6

Você pode configurar os endereços IPv6 na interface IRB no nível de [edit interfaces irb] hierarquia.

Sincronização de GATEWAY MAC e IP

Em uma implantação de IRB EVPN, o gateway padrão de IP para um VM é o endereço IP configurado na interface IRB do roteador de borda de provedor (PE) correspondente ao domínio da ponte ou VLAN do qual o VM é um membro. O problema de gateway padrão surge porque uma VM não lava sua tabela ARP ao realocar de um servidor para outro e continua enviando pacotes com o endereço MAC de destino definido para o do gateway original. Se os servidores antigos e novos não fizerem parte do mesmo domínio de Camada 2 (o novo domínio de Camada 2 pode estar dentro do data center atual ou de um novo data center), o gateway identificado anteriormente não é mais o gateway ideal ou local. O novo gateway precisa identificar pacotes que contenham os endereços MAC de outros gateways em roteadores PE remotos e encaminhar o tráfego como se os pacotes fossem destinados ao próprio gateway local. No mínimo, essa funcionalidade requer que cada roteador PE anuncie seu gateway ou endereços MAC e IP IRB a todos os outros roteadores PE da rede. A troca de endereços de gateway pode ser realizada usando a mensagem de anúncio de rota MAC padrão (incluindo o parâmetro de endereço IP) e a marcação dessa rota com a comunidade estendida de gateway padrão para que os roteadores PE remotos possam distinguir as rotas de anúncio MAC de gateway das rotas de anúncio MAC normais.

Intertrabalho de VPN de Camada 3

O aspecto entre data centers da solução EVPN IRB envolve o roteamento entre VMs que estão presentes em diferentes data centers ou roteamento entre um site de host completamente fora do ambiente do data center e uma VM dentro de um data center. Essa solução depende da capacidade dos anúncios de rota EVPN MAC de transportar informações de endereço MAC e endereço IP. A funcionalidade de aprendizado MAC local do roteador PE é estendida para também capturar informações de endereço IP associadas a endereços MAC aprendidos localmente. Essas informações de mapeamento de endereço IP-MAC são então distribuídas a cada roteador PE por meio de procedimentos normais de EVPN. Quando um roteador PE recebe essas informações de MAC e IP, ele instala a rota MAC na instância EVPN, bem como uma rota de host para o endereço IP associado na VPN VRF de Camada 3 correspondente à instância EVPN. Quando uma VM se move de um data center para outro, procedimentos normais de EVPN resultam na divulgação do endereço MAC e IP do novo roteador PE que o VM reside atrás. A rota de host instalada no VRF associada a uma EVPN solicita tráfego de Camada 3 destinado a essa VM para o novo roteador PE e evita o roteamento triangular entre a fonte, o antigo roteador PE que a VM residia atrás e o novo roteador PE.

A escalabilidade do BGP é uma preocupação potencial com a solução de prevenção de roteamento triangular entre data centers devido ao potencial de injeção de muitas rotas de host na VPN de Camada 3. Com o método descrito anteriormente, na pior das hipóteses, há uma rota de host IP para cada endereço MAC aprendido através dos procedimentos locais de aprendizado EVPN MAC ou através de uma mensagem de anúncio MAC recebida de um roteador PE remoto. A filtragem de alvo de rota BGP pode ser usada para limitar a distribuição dessas rotas.

Os seguintes elementos funcionais são necessários para implementar a prevenção do roteamento triangular entre data centers usando procedimentos de encaminhamento entre sub-rede de Camada 3:

  1. O host de origem envia um pacote IP usando seu próprio endereço MAC e IP de origem com o MAC de destino da interface IRB do roteador PE local e o endereço IP do host de destino.

  2. Quando a interface IRB recebe o quadro com seu MAC como destino, ele realiza uma busca de Camada 3 no VRF associado à instância EVPN para determinar onde rotear o pacote.

  3. No VRF, o roteador PE encontra a rota de Camada 3 derivada de um MAC mais uma rota IP EVPN recebida do roteador PE remoto mais cedo. O endereço MAC de destino é então alterado para o endereço MAC de destino correspondente ao IP de destino.

  4. O pacote é então encaminhado para o roteador PE remoto que atende ao host de destino usando MPLS, usando o rótulo correspondente à instância EVPN da qual o host de destino é um membro.

  5. O roteador PE de saída que recebe o pacote realiza uma busca de Camada 2 para o MAC do host de destino e envia o pacote para o host de destino na sub-rede anexada pela interface IRB do roteador de saída PE.

  6. Como o roteador PE de entrada está realizando o roteamento de Camada 3, o IP TTL está decremente.

Exemplo: configuração de EVPN-MPLS com solução IRB

Este exemplo mostra como configurar uma solução integrada de roteamento e ponte (IRB) em uma implantação de VPN Ethernet (EVPN).

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Duas plataformas de roteamento da Série MX como roteadores PE.

  • Dois roteadores de borda do cliente (CE), cada um conectado aos roteadores PE.

  • Junos OS Release 14.1 ou posterior em todos os roteadores PE.

    • Atualizado e validado novamente usando o Junos OS Release 22.1R1.

Antes de começar:

  1. Configure as interfaces do roteador.

  2. Configure o OSPF ou qualquer outro protocolo IGP.

  3. Configure BGP.

  4. Configure RSVP ou LDP.

  5. Configure MPLS.

Visão geral

Em uma solução EVPN, vários domínios de ponte podem ser definidos em uma instância EVPN específica, e uma ou mais instâncias EVPN podem ser associadas a uma única VPN VRF de Camada 3. Em geral, cada locatário de data center recebe um encaminhamento exclusivo de rota virtual VPN de Camada 3 (VRF), embora o locatário possa ser composto por uma ou mais instâncias EVPN ou domínios de ponte por instância EVPN.

Para oferecer suporte a esse fator de flexibilidade e escalabilidade, a solução EVPN oferece suporte para as interfaces IRB em roteadores da Série MX que contêm FPCs MPC para facilitar o encaminhamento ideal de Camada 2 e Camada 3, juntamente com a mobilidade de máquina virtual. As interfaces IRB estão configuradas em cada domínio de ponte configurado, incluindo o domínio de ponte padrão para uma instância EVPN.

A IRB é a capacidade de fazer comutação de Camada 2 e roteamento de Camada 3 em um único nó, evitando assim saltos extras para tráfego entre sub-redes. A solução EVPN IRB elimina o problema padrão do gateway usando o GATEWAY MAC e a sincronização IP, e evita o problema de roteamento triangular com o intertrabalho de Camada 3, criando rotas de host IP para máquinas virtuais (VMs) nos VRFs de locatário.

Topologia

A Figura 2 ilustra uma topologia EVPN simples com solução IRB. Os roteadores PE1 e PE2 são os roteadores de borda de provedores que se conectam a dois roteadores de borda do cliente (CE) cada — CE1 e CE2.

Figura 2: EVPN com solução EVPN with IRB Solution IRB

Configuração

Procedimento

Configuração rápida da CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.

CE1

PE1

PE2

CE2

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Use o Editor de CLI no modo de configuração.

Para configurar o PE1:

Nota:

Repita este procedimento para PE2, após modificar os nomes, endereços e outros parâmetros de interface apropriados.

  1. Configure as interfaces no PE1.

  2. Definir a ID do roteador e o número do sistema autônomo para PE1.

  3. Configure o próximo salto composto encadeado para EVPN.

  4. Habilite o RSVP em todas as interfaces do PE1, excluindo a interface de gerenciamento.

  5. Habilite o MPLS em todas as interfaces do PE1, excluindo a interface de gerenciamento. Crie um caminho comutada por rótulos de PE1 para PE2.

  6. Configure o grupo BGP para o IBGP on PE1. Atribua endereços locais e vizinhos para PE1 para peer com PE2 usando o endereço loopback. Inclua a família inet-vpn unicast e evpn signaling as informações de alcance da camada de rede (NLRI).

  7. Configure o OSPF em todas as interfaces do PE1, excluindo a interface de gerenciamento. Habilite a engenharia de tráfego para OSPF. Para LSPs sinalizados por RSVP com OSPF como IGP, a engenharia de tráfego deve ser habilitada para que os LSPs adigram.

  8. Configure a instância de roteamento EVPN. Configure o identificador de VLAN, a interface conectada ao CE1, a interface IRB como uma interface de roteamento, o diferencial de rota e o alvo VRF para a instância de roteamento de evpna.

  9. Configure a instância de roteamento VRF. Configure a interface IRB, o diferencial de rota, o alvo VRF e o rótulo de tabela VRF para a instância de roteamento vrf.

Resultados

A partir do modo de configuração, confirme sua configuração entrando noshow interfaces, show routing-optionsshow protocolse show routing-instances comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificação de MACs locais de IRB

Propósito

Verifique se os MACs IRB locais são aprendidos com L2ALD.

Ação

No PE1, determine o endereço MAC da interface IRB local.

A partir do modo operacional, execute o show interfaces irb extensive | match "Current address" comando.

A partir do modo operacional, execute o show route table evpna.evpn.0 extensive | find 2c:6b:f5:1b:46:f0 comando.

Significado

A rota para a interface IRB local aparece na tabela de rotas de instâncias EVPN no PE1 e é aprendida com a EVPN e marcada com a comunidade estendida de gateway padrão.

Verificação de MACs IRB remotos

Propósito

Verifique se os MACs IRB remotos são aprendidos com BGP.

Ação

No PE2, verifique se o IRB MAC remoto do PE1 é aprendido.

A partir do modo operacional, execute o mesmo show route table evpna.evpn.0 extensive | find 2c:6b:f5:1b:46:f0 comando que foi executado no PE1.

Significado

A rota para a interface IRB remota aparece na tabela de rotas de instânciaSEVPN no PE2. A rota é aprendida com BGP e com a comunidade estendida do gateway padrão.

Verificação de IPs locais de IRB

Propósito

Verifique se os IPs IRB locais são aprendidos localmente pelo RPD.

Ação

No PE1, determine os endereços MAC e IP da interface IRB local.

A partir do modo operacional, execute o show interfaces irb extensive | match "Current address" comando.

A partir do modo operacional, execute o show interfaces irb.0 terse | match inet comando.

A partir do modo operacional, execute o show route table evpna.evpn.0 extensive | find "a8:d0:e5:54:0d:10::10.0.0.251" comando.

Significado

A rota MAC plus IP para a interface IRB local aparece na tabela de rotas de instânciaS EVPN no PE1 e é aprendida com a EVPN e marcada com a comunidade estendida de gateway padrão.

Verificação de IPs remotos de IRB

Propósito

Verifique se o IP IRB remoto é aprendido com o BGP.

Ação

No Roteador PE2, verifique se o IRB MAC remoto do PE1 é aprendido.

A partir do modo operacional, execute o mesmo show route table evpna.evpn.0 extensive | find 2c:6b:f5:1b:46:f0::172.16.11.254 comando que foi executado no PE1.

Significado

A rota MAC plus IP para a interface IRB remota aparece na tabela de rotas de instânciaS EVPN no PE2 e é marcada com a comunidade estendida de gateway padrão.

Verificando a acessibilidade do CE-CE

Propósito

Verifique se o CE1 pode ping CE2.

Ação

Desde o modo operacional, execute o show route 172.16.22.1 comando no CE1 até o ping CE2.

Desde o modo operacional, execute o ping comando no CE1 até o ping CE2.

Significado

O ping de CE1 para CE2 é bem sucedido.

Verificando a acessibilidade do CE-PE

Propósito

Verifique se o CE1 pode ping PE2.

Ação

A partir do modo operacional, execute o show route table vrf.inet.0 comando no PE2.

Desde o modo operacional, execute o ping comando no CE1 até ping da interface IRB no PE2.

Significado

O ping de CE1 para PE2 é bem sucedido.

Verificando a acessibilidade do PE-PE

Propósito

Verifique se o PE1 pode ping PE2.

Ação

A partir do modo operacional, execute o show route table vrf.inet.0 comando no PE1.

Desde o modo operacional, execute o ping comando do PE1 até a interface IRB no PE2.

Significado

O ping de PE1 para PE2 é bem sucedido.