Entender a EVPN com encapsulamento de plano de dados VXLAN

Entender a EVPN

A VPN Ethernet (EVPN) é uma tecnologia baseada em padrões que fornece conectividade virtual multiponto em ponte entre diferentes domínios de Camada 2 em uma rede de backbone IP ou IP/MPLS. Como outras tecnologias de VPN, como a VPN IP e o serviço de LAN privada virtual (VPLS), as instâncias de EVPN são configuradas em roteadores de borda de provedor (PE) para manter a separação lógica de serviços entre os clientes. Os roteadores PE se conectam a dispositivos de borda do cliente (CE), que podem ser roteadores, switches ou hosts. Os roteadores PE então trocam informações de alcance usando o Multiprotocol BGP (MP-BGP) e o tráfego encapsulado é encaminhado entre os roteadores PE. Como os elementos da arquitetura são comuns a outras tecnologias de VPN, você pode introduzir e integrar perfeitamente a EVPN em ambientes de serviço existentes, conforme mostrado na Figura 1.

Figura 1: Visão geral da EVPN

A EVPN é usada como uma solução de sobreposição de Camada 2 para fornecer conexão de Camada 2 sobre uma subcamada de IP para os endpoints dentro de uma rede virtual sempre que a conectividade de Camada 2 é exigida por uma estação final, como um servidor bare-metal (BMS). Caso contrário, o roteamento da Camada 3 é usado por meio de tabelas VRF entre os roteadores Contrail vRouters e da Série MX. A tecnologia EVPN oferece serviços flexíveis e de multitenancy que podem ser estendidos sob demanda, usando frequentemente recursos de computação de diferentes data centers físicos para um único serviço (extensão de Camada 2).

O plano de controle MP-BGP da EVPN permite mover dinamicamente máquinas virtuais ativas de um data center para outro, também conhecido como movimento de máquina virtual (VM). Depois de mover uma VM para um servidor ou hypervisor de destino, ela transmite um ARP gratuito, que atualiza a tabela de encaminhamento de Camada 2 do dispositivo PE no data center de destino. O dispositivo PE então transmite uma atualização de rota MAC para todos os dispositivos PE remotos que, por sua vez, atualizam suas tabelas de encaminhamento. Uma EVPN rastreia o movimento da VM, que também é conhecido como mobilidade MAC.

A EVPN também tem mecanismos que detectam e interrompem o flapping MAC e evitam o looping de tráfego de broadcast, unicast desconhecido e multicast (BUM) em uma topologia multi-homed totalmente ativa.

A tecnologia EVPN, semelhante à VPN MPLS de Camada 3, inclui o conceito de roteamento de endereços MAC usando núcleo IP/MPLS. A EVPN oferece os seguintes benefícios:

• Capacidade de ter um dispositivo de borda multihomed ativo

• Aliasing

• Convergência rápida

• Balanceamento de carga em links dual-ativos

• mobilidade de endereço MAC

• Multilocação

Além disso, a EVPN usa estas técnicas:

• O multihoming oferece redundância no caso de falha de um link de acesso ou um dos dispositivos de roteamento PE. Em ambos os casos, o tráfego flui do dispositivo CE em direção ao roteador PE, usando os links ativos restantes. Para o tráfego na outra direção, o roteador PE remoto atualiza sua tabela de encaminhamento para enviar tráfego para os roteadores PE ativos restantes conectados ao segmento Ethernet multihomed. A EVPN fornece um mecanismo de convergência rápida, que reduz o tempo de restauração do tráfego para que o tempo necessário para fazer esse ajuste seja independente do número de endereços de controle de acesso à mídia (MAC) aprendidos pelo roteador PE. O multihoming totalmente ativo permite que um dispositivo CE se conecte a dois ou mais roteadores PE de modo que o tráfego seja encaminhado usando todos os links entre os dispositivos. Esse multihoming permite que o dispositivo CE balanceie a carga do tráfego para vários roteadores PE. Mais importante, o multihoming permite que um roteador PE remoto balanceie a carga do tráfego para os roteadores PE multihomed em toda a rede principal. Esse balanceamento de carga dos fluxos de tráfego entre data centers é conhecido como aliasing, que faz com que sinais diferentes se tornem indistinguíveis — eles se tornam aliases uns dos outros. O aliasing é usado com áudio digital e imagens digitais.

• O horizonte dividido evita o loop de tráfego de broadcast, unicast desconhecido e multicast (BUM) em uma rede. O princípio básico do split horizon é simples: as informações sobre o roteamento de um pacote específico nunca são enviadas de volta na direção de onde foram recebidas.

• O viés de enlace local conserva largura de banda usando enlaces locais para encaminhar o tráfego unicast que sai de um Virtual Chassis ou Virtual Chassis Fabric (VCF) que tem um pacote de grupo de agregação de enlaces (LAG) composto por enlaces em diferentes switches de membros no mesmo Virtual Chassis ou VCF. Um link local é um link de membro no pacote LAG que está no switch de membro que recebeu o tráfego.

• A EVPN com encapsulamento VXLAN é usada para conectividade de Camada 2 entre máquinas virtuais e um switch top-of-rack (TOR), por exemplo, um switch QFX5100, dentro de um domínio de Camada 2.

Você pode usar o Contrail para provisionar um roteador da Série MX como um gateway VXLAN de Camada 2 ou Camada 3. Os roteadores da Série MX implementam o protocolo de gerenciamento NETCONF XML, que é um protocolo baseado em XML que os aplicativos clientes usam para solicitar e alterar informações de configuração em dispositivos de roteamento, comutação e segurança. O protocolo de gerenciamento NETCONF XML usa uma codificação de dados baseada em XML para os dados de configuração e chamadas de procedimento remoto. O protocolo NETCONF define operações básicas que são equivalentes aos comandos do modo de configuração na interface de linha de comando (CLI). Os aplicativos usam as operações de protocolo para exibir, editar e confirmar instruções de configuração da mesma forma que os administradores usam os comandos do modo de configuração da CLI para executar essas mesmas operações.

Entendendo o VXLAN

As LANs virtuais extensíveis (VXLANs) introduziram um esquema de sobreposição que expande o espaço de endereço de rede de Camada 2 de 4K para 16 milhões, resolvendo amplamente os problemas de escalabilidade observados em ambientes baseados em VLAN.

Os overlays de rede são criados encapsulando o tráfego e tunelando o tráfego em uma rede física. Você pode usar vários protocolos de tunelamento no data center para criar overlays de rede — o protocolo mais comum é o VXLAN. O protocolo de tunelamento VXLAN encapsula os quadros Ethernet de Camada 2 em pacotes UDP de Camada 3. Esse encapsulamento permite que você crie sub-redes ou segmentos virtuais de Camada 2 que podem abranger redes físicas de Camada 3.

Em uma rede overlay VXLAN, um identificador de rede VXLAN (VNI) identifica exclusivamente cada sub-rede ou segmento de Camada 2. Um VNI segmenta o tráfego da mesma maneira que um ID de VLAN IEEE 802.1Q segmenta o tráfego. Como é o caso da VLAN, as máquinas virtuais no mesmo VNI podem se comunicar diretamente entre si, enquanto as máquinas virtuais em diferentes VNIs precisam de um roteador para se comunicarem entre si.

A entidade que executa o encapsulamento e o desencapsulamento é chamada de endpoint de túnel VXLAN (VTEP). Na rede física, um dispositivo da Juniper Networks que funciona como um gateway VXLAN de Camada 2 ou Camada 3 pode enacapsular e desencapsular pacotes de dados. Esse tipo de VTEP é conhecido como um VTEP de hardware. Na rede virtual, os VTEPs podem residir em hosts de hypervisor, como hosts de máquina virtual baseada em kernel (KVM). Esse tipo de VTEP é conhecido como um VTEP de software.

Cada VTEP tem duas interfaces.

• Uma interface é uma interface de comutação que enfrenta as máquinas virtuais no host e fornece comunicação entre VMs no segmento de LAN local.

• A outra é uma interface IP voltada para a rede de Camada 3.

Cada VTEP tem um endereço IP exclusivo que é usado para rotear os pacotes UDP entre VTEPs. Por exemplo, quando o VTEP1 recebe um quadro Ethernet do VM1 endereçado ao VM3, ele usa o VNI e o MAC de destino para procurar em sua tabela de encaminhamento para o qual o VTEP envia o pacote. Em seguida, ele adiciona um cabeçalho VXLAN que contém o VNI para o quadro Ethernet e encapsula o quadro em um pacote UDP de Camada 3 e roteia o pacote para o VTEP2 através da rede de Camada 3. O VTEP2 desencapsula o quadro Ethernet original e o encaminha para o VM3. O VM1 e o VM3 não podem detectar o túnel VXLAN e a rede de Camada 3 entre eles.

Visão geral da integração EVPN-VXLAN

O VXLAN define um esquema de tunelamento para sobrepor redes de Camada 2 sobre redes de Camada 3. Esse esquema de tunelamento permite o encaminhamento ideal de quadros Ethernet com suporte para multipathing de tráfego unicast e multicast com o uso de encapsulamento UDP/IP para tunelamento, e é usado principalmente para a conectividade do local intra-data center.

Uma característica única da EVPN é que o aprendizado de endereço MAC entre roteadores PE ocorre no plano de controle. O roteador PE local detecta um novo endereço MAC de um dispositivo CE e, em seguida, usando o MP-BGP, anuncia o endereço para todos os roteadores PE remotos. Esse método difere das soluções VPN de Camada 2 existentes, como VPLS, que aprendem inundando unicast desconhecidos no plano de dados. Esse método de aprendizado MAC de plano de controle é o principal facilitador dos muitos recursos úteis que a EVPN oferece.

Como o aprendizado MAC é tratado no plano de controle, a EVPN tem a flexibilidade de oferecer suporte a diferentes tecnologias de encapsulamento de plano de dados entre roteadores PE. Essa flexibilidade é importante porque nem toda rede de backbone pode estar executando MPLS, especialmente em redes corporativas.

A EVPN aborda muitos dos desafios enfrentados pelas operadoras de rede que constroem data centers para oferecer serviços de nuvem e virtualização. A principal aplicação da EVPN é a Interconexão de data center (DCI), que se refere à capacidade de estender a conectividade de Camada 2 entre diferentes data centers implantados para melhorar o desempenho da entrega de tráfego de aplicativos aos usuários finais e para recuperação de desastres.

Embora várias tecnologias DCI estejam disponíveis, a EVPN tem uma vantagem sobre as outras tecnologias MPLS por causa de seus recursos exclusivos, como redundância ativa/ativa, aliasing e retirada MAC em massa. Como resultado, para fornecer uma solução para DCI, o VXLAN é integrado à EVPN.

Como mostrado na Figura 2, cada VXLAN, que está conectado ao núcleo MPLS ou IP, executa uma instância independente do plano de controle do protocolo de gateway interior (IGP). Cada roteador PE participa da instância do plano de controle IGP de seu VXLAN. Cada cliente é um data center, portanto, cada um tem seu próprio roteador virtual para underlay de VXLAN.

Cada nó PE pode encerrar o encapsulamento do plano de dados VXLAN, onde o identificador de rede VXLAN (VNI) é mapeado para um domínio de ponte ou VLAN. O roteador PE executa o aprendizado de plano de dados no tráfego recebido do VXLAN.

Cada nó PE implementa a EVPN para distribuir os endereços MAC do cliente aprendidos pelo túnel VXLAN no BGP. Cada nó PE encapsula os quadros VXLAN ou Ethernet com MPLS ao enviar os pacotes pelo núcleo MPLS e com o cabeçalho do túnel VXLAN ao enviar os pacotes pela rede VXLAN.

Figura 2: Visão geral da integração EVPN-VXLAN

Filtragem e policiamento de firewall Suporte para EVPN-VXLAN

Para cada filtro de firewall que você aplicar a um VXLAN, especifique family ethernet-switching para filtrar pacotes de Camada 2 (Ethernet) ou family inet para filtrar em interfaces IRB. A interface IRB atua como uma interface de roteamento de Camada 3 para conectar os VXLANs em topologias de malha de IP de uma ou duas camadas. As seguintes limitações se aplicam:

• A filtragem e a vigilância não são suportadas para o tráfego de trânsito VXLAN.

• A filtragem de firewall no VNI no dispositivo VTEP de saída não é suportada.

• Não há suporte para a vigilância no VNI no dispositivo VTEP de saída.

• As condições de correspondência com os campos de cabeçalho VXLAN não são suportadas.

Para obter mais informações sobre como configurar filtros de firewall, condições de correspondência e ações, consulte:

• Configuração de filtros de firewall

• Condições e ações de correspondência de filtro de firewall (Switches da Série EX e QFX)

• Condições e ações de correspondência de filtro de firewall (Switches QFX10000)

• Filtros de firewall para switches da Série EX Visão geral

Entendendo o uso de redes virtuais Contrail com EVPN-VXLAN

O software de virtualização Juniper Networks Contrail é uma solução de rede definida por software (SDN) que automatiza e orquestra a criação de redes virtuais altamente escaláveis. Essas redes virtuais permitem que você aproveite o poder da nuvem para novos serviços, maior agilidade dos negócios e crescimento de receita. Os roteadores da Série MX podem usar a EVPN-VXLAN para fornecer conectividade de Camada 2 e Camada 3 para estações finais dentro de uma rede virtual (VN) Contrail.

O software Contrail para redes virtuais oferece conectividade de Camada 2 e Camada 3. Com o Contrail, o roteamento de Camada 3 é preferível à ponte de Camada 2 sempre que possível. O roteamento de Camada 3 é usado por meio de tabelas de roteamento e encaminhamento virtual (VRF) entre os vRouters da Contrail e os roteadores físicos da Série MX. Os roteadores da Série MX oferecem funcionalidade de gateway de Camada 3 entre redes virtuais.

O Contrail permite que você use o EVPN-VXLAN quando sua rede inclui dispositivos virtuais e bare-metal.

Dois tipos de métodos de encapsulamento são usados em redes virtuais.

• O MPLS-over-GRE (encapsulamento genérico de roteamento) é usado para o roteamento de Camada 3 entre os roteadores da Contrail e da Série MX.

• A EVPN-VXLAN é usada para conectividade de Camada 2 entre máquinas virtuais e switches top-of-rack (TOR), por exemplo, switches QFX5100, dentro de um domínio de Camada 2. Para conectividade de Camada 2, o balanceamento de carga de tráfego no núcleo é obtido usando o recurso multihoming totalmente ativo fornecido pela EVPN. A partir do Junos OS Release 17.3R1, os switches EX9200 também oferecem suporte a EVPN-VXLAN com o Contrail.

Você não pode misturar simultaneamente EVPN-VXLAN com Open vSwitch Database (OVSDB)-VXLAN em switches da Série QFX. Depois que um switch é definido como gerenciado por OVSDB, o controlador trata todas as portas como gerenciadas pelo OVSDB.

Suporte EVPN-VXLAN para underlays de VXLAN em roteadores da Série MX e na linha de switches EX9200

Os roteadores da Série MX e a linha de switches EX92xx oferecem suporte a gateways de LAN virtual extensível (VXLAN). Cada gateway VXLAN suporta as seguintes funcionalidades:

• Funcionalidade de comutação com redes tradicionais de Camada 2 e redes VPLS

• Roteamento inter-VXLAN e domínio de ponte somente VXLAN com IRB

• Switches virtuais

• VXLAN com funcionalidade VRF

• balanceamento de carga configurável

• Estatísticas para VTEP remoto

A partir do Junos OS Release 17.3R1, o suporte EVPN-VXLAN nos roteadores da Série MX é estendido à implementação do gateway VXLAN usando uma camada inferior IPv6. Oferecemos suporte a rotas EVPN Tipo 1, Tipo 2, Tipo 3 e Tipo 4 com uma underlay IPv6 em roteadores da Série MX.

Oferecemos suporte aos seguintes tipos de serviço com o suporte de underlay IPv6:

• Serviço baseado em VLAN

• Serviço VLAN-bundle

• Serviço baseado em porta

• Serviço com reconhecimento de VLAN

As underlays EVPN-VXLAN IPv4 e IPv6 oferecem suporte a endereços MAC EVPN Tipo 2 com anúncio de endereço IP e endereços MAC proxy com anúncio de endereço IP.

Suporte EVPN-VXLAN para underlays VXLAN em Switches da Série QFX

Os switches da Série QFX oferecem suporte a gateways VXLAN em uma rede EVPN-VXLAN. Todos os dispositivos que oferecem suporte a EVPN-VXLAN podem usar uma subcamada IPv4 para a sobreposição de VXLAN.

Também oferecemos suporte à configuração de uma camada inferior IPv6 para a sobreposição de VXLAN em redes EVPN-VXLAN em switches da Série QFX. Você só pode configurar uma underlay IPv6 usando instâncias EVPN MAC-VRF. Com uma underlay IPv6, o cabeçalho IP externo no pacote VXLAN é um cabeçalho IPv6 e você configura o endereço de origem VTEP como um endereço IPv6. Consulte EVPN-VXLAN com um IPv6 Underlay para saber mais sobre o suporte a underlay IPv6 e como configurar um dispositivo de gateway VXLAN para usar um underlay IPv6.

Suporte EVPN-VXLAN para underlays VXLAN em dispositivos da Série ACX

Os dispositivos ACX7100-32C, ACX7100-48L e ACX7024 podem usar uma camada inferior IPv4 ou IPv6 para a sobreposição VXLAN. Você pode criar uma subcamada IPv6 somente com instâncias de roteamento MAC-VRF (todos os tipos de serviço). Você deve configurar um IPv4 ou um IPv6 underlay nas instâncias EVPN na malha; não é possível misturar underlays IPv4 e IPv6 na mesma malha.

Para criar uma subjacência IPv6, você precisa habilitar a vxlan-extended [edit system packet-forwarding-options system-profile] instrução na hierarquia.

Com uma underlay IPv6, o cabeçalho IP externo no pacote VXLAN é um cabeçalho IPv6 e você configura o endereço de origem VTEP como um endereço IPv6. Consulte EVPN-VXLAN com um IPv6 Underlay para saber mais sobre o suporte a underlay IPv6 e como configurar um dispositivo de gateway VXLAN para usar um underlay IPv6.

Depois de habilitar esse perfil, o Mecanismo de Encaminhamento de Pacotes é reiniciado. O tráfego pode cair se algum tráfego estiver em execução.

Para voltar a usar o perfil de sistema padrão, emita o delete system packet-forwarding-options system-profile vxlan-extended comando. O PFE é reiniciado depois que você reverte para o perfil padrão do sistema. Durante esse processo, qualquer tráfego em execução pode cair.

Formato de pacote EVPN-VXLAN

O formato de pacote EVPN-VXLAN é mostrado na Figura 3.

Figura 3: Formato de pacote EVPN-VXLAN