Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

数据中心互连 (DCI) / 远程 EVPN 网关(虚拟)

DCI/ EVPN 网关过宽

过去,企业一直将数据中心互连 (DCI) 技术用作业务连续性、灾难恢复 (DR) 或运营连续性 (COOP) 的构建块。这些服务可用性用例主要依靠将地理位置分离的数据中心与第 2 层连接连接连接以实现应用程序可用性和性能。

随着高度虚拟化软件定义数据中心 (SDDC)、云计算以及最近边缘计算的兴起,出现了其他用例:

  • 主机代管扩展:共享计算和存储资源以托管数据中心设施。
  • 资源池:在数据中心之间共享和转移应用程序,以提高效率或改善最终用户体验。
  • 快速可扩展性:将容量从资源有限的位置扩展到其他设施或数据中心。
  • 传统迁移:将应用程序和数据从较旧、效率低下的设备和架构平稳地移至更高效、性能更高且经济高效的架构。

借助 Apstra 软件,您可以部署和管理简单、灵活且基于意图的供应商包容性 DCI 解决方案。Apstra 利用 VXLAN 基于标准的 MP-BGP EVPN,在网络行业中广泛采用了软件和硬件。从传统供应商到白盒 ODM 和软件选项(从传统供应商集成的网络操作系统 (NOS) 到分解的开源选项,您可以从大量经济高效的商品硬件中进行选择。

EVPN VXLAN 是一种基于标准 (RFC-7432) 的方法,用于构建现代数据中心。它融合了数据平面封装 (VXLAN) 和路由控制平面(MP-BGP EVPN 地址族),用于扩展主机与脊叶网络中第 3 层路由域之间的第 2 层广播域。EVPN 依靠纯第 3 层底层路由 VXLAN 隧道流量在 VXLAN 隧道端点 (VTEP) 之间路由,为 MP-BGP 协议系列引入了一个新地址族,并支持在 VTEP 之间交换 MAC/IP 地址。端点 MAC 和 IP 的播发以及“ARP/ND-抑制”消除了对大部分广播/未知/组播 (BUM) 流量的需求,并依赖于从源 VTEP 到目标 VTEP 的 VXLAN 的 ECMP 单播路由。这可确保为叠加网络流量选择最优路由和高效负载分担转发路径。

就像 EVPN VXLAN 在单个站点内工作,以便在主机之间扩展第 2 层一样,DCI 功能支持站点之间的第 2 层连接。Apstra DCI 功能支持在数据中心之间扩展第 2 层或第 3 层服务,以进行灾难恢复、主动活动站点的负载平衡,甚至用于促进服务从一个数据中心迁移到另一个数据中心。

限制:不支持不同供应商的 EVPN 交换矩阵之间的 EVPN-GW (DCI)。

DCI 部署选项

您可以使用以下方法实施数据中心互连:

  • 过火的
  • 网关 (GW)
  • 自治系统边界路由器 (ASBR)

如需协助您为组织选择最佳选项,请咨询您的 Apstra 解决方案架构师 (SA) 或系统工程师 (SE)。

以下特征适用于所有部署选项:

  • 您可以将 Apstra DCI 扩展到其他 Apstra 托管的数据中心、非 Apstra 托管的数据中心,甚至是传统的非主干-枝叶设备。
  • 在所有三种情况下,Apstra 的实施和行为都是相同的。
  • 无论远程端是另一个 DCI GW 还是 ASBR,都对 Apstra 是透明的。
  • Apstra 既不管理 GW,也不管理 ASBR。

过火的

DCI“Over the Top”是一种透明的解决方案,这意味着 EVPN 路由封装在标准 IP 中,并隐藏在底层传输中。这使得服务扩展变得简单而灵活,而且经常被选择,因为可以由数据中心团队实施,几乎不能与 WAN 或服务提供商组进行协调。这减少了实施时间和公司内部摩擦。但是,权衡是可扩展性和弹性。

网关 (GW)

基于 Apstra 远程 EVPN 网关 功能,您可以选择性地将 远程 EVPN 网关 指定为同一站点中的外部通用系统(标记为外部路由器),从而将 EVPN 属性扩展到上述网关。此解决方案可为每个站点创建一个故障域,从而防止故障影响远程站点的融合并创建多个故障域。远程站点的 IP/MAC 端点表在通用系统(标记为外部路由器)网关上以状态处理和保存。您还可以实施 WAN QoS 和安全性,以及传输技术提供的优化(例如 MPLS TE)。但是,此解决方案在运维上更为复杂,需要额外的硬件和成本。

自治系统边界路由器 (ASBR)

使用 Apstra 远程 EVPN 网关 功能,您可以选择将 远程 EVPN 网关 指定为 ASBR WAN 边缘设备。此端到端 EVPN 支持统一封装并消除专用 GW 要求。它在运维上很复杂,但与“使用网关的 DCI”和“在顶部”相比具有更大的可扩展性。

实现

您可以将路由区域和虚拟网络 (VN) 扩展到跨 Apstra 管理的蓝图(跨 pod)或不受 Apstra 管理的远程网络(跨数据中心)。此功能引入了 EVPN 网关 (GW) 角色,该角色可能是参与连接到交换矩阵的通用系统(标记为服务器)上的结构或 RouteServer(标记为服务器)的交换机。

EVPN 网关用例

  • 跨越第 3 层隔离域(VRF/路由区域)到多个 Apstra 托管的 Pod(蓝图),或扩展到远程 EVPN 域。
  • 为 L2VNI/虚拟网络提供第 2 层域扩展。
  • 帮助将 EVPN 域从 Apstra 扩展到 Apstra 托管的和 Apstra 扩展到非托管 POD。
  • 主干上无 VXLAN 流量终止。您可以通过在主干上连接外部通用系统(标记为外部路由器)来实现这一目标。这是为了支持 IPv4(底层)外部连接。在这里,主干不需要终止 VXLAN 流量,这与边界叶不同,当连接到外部通用系统(标记为外部路由器)时。简而言之,使用该路由可以将 IPv4 路由交换到远程 VTEP(默认路由区/VRF 中),并且仅需要第 3 层连接:

过火的

当 BGP EVPN 对等互联在“顶部”完成时,数据中心网关 (DC-GW) 是一种纯 IP 传输功能,在不同数据中心的网关之间建立 BGP EVPN 对等互联。

下一节介绍通过 IP 网络以可扩展方式互连两个或更多基于 BGP 的以太网 VPN (EVPN) 站点的过程。其动机是支持 EVPN 站点的扩展,而无需依赖 MPLS/VPLS 等典型数据中心互连 (DCI) 技术,这些技术通常难以配置,有时是专有技术,而且可能是传统技术。

“Over the Top”是一种简单的解决方案,只需在数据中心与调整后的 MTU 之间进行 IP 路由,即可支持网关端点之间的 VXLAN 封装。在此类实施中,EVPN 路由通过站点之间的 MP-BGP 端到端扩展。基于 WAN 的站点之间会有多个第 3 层跳跃,从而启用了多跳 BGP。否则,默认 TTL 递减为 0,数据包将被丢弃,并且不会发送到远程路由器。Apstra 会自动呈现应对这些限制所需的配置。

此设计合并了站点之间的单独 EVPN-VXLAN 域和 VXLAN 隧道。在不同站点中合并先前独立的 EVPN 域可以实现在站点之间扩展第 2 层和第 3 层 (VRF) 服务的优势,同时还能将站点呈现为单个故障域。因此,一个站点的失败必然会传播开来。此外,当您在站点之间跨 WAN 扩展第 2 层时,您还会扩展泛洪域,并随之扩展成本高昂的 WAN 链路上的所有广播流量。目前,此解决方案不提供任何过滤或 QoS。

注意:

当单个站点通过单独的 Apstra 蓝图进行管理,或者每个站点中必须独立创建和管理一个站点,即 Apstra 管理的扩展路由区域 (VRF) 和虚拟网络(第 2 层和/或第 3 层定义的 VLAN/子网)。这就造成了管理开销,需要在站点之间手动映射 VRF 和 VN。

注意:

如果您在同一个 Apstra 控制器内的两个数据中心(蓝图)之间设置 P2P 连接,则每个蓝图都必须从不同的 IP 池中提取资源,以避免发生构建错误。为此,请使用相同的 IP 子网创建两个 IP 池,但名称不同。

这种“Over the Top”解决方案是最容易部署的,无需额外硬件,除了增加 MTU 之外,无需额外部署 WAN。它是最灵活的,进入门槛最低。但是,缺点是单个 EVPN 控制平面,一个站点中的路由异常会影响另一站点的融合和可达性。第 2 层泛洪域的扩展还意味着一个站点中的广播风暴会延伸到另一个站点。

在实施任何 DCI 时,都需要仔细的资源规划和协调。添加更多站点需要将此类规划和协调呈指数级增长。底层中的 VTEP 回传需要泄露。VNID 必须在站点之间匹配,在某些情况下,必须导入其他路由目标 (RT)。本文档稍后详细介绍了这一点。

数据平面扩展:第 3 层

VXLAN 网络 ID (VNID) 是 VXLAN 标头的一部分,用于识别唯一 VXLAN 隧道,每个隧道都与 IP 网络中的其他 VXLAN 隧道隔离。第 3 层数据包可封装到 VXLAN 数据包中,或者第 2 层 MAC 帧可直接封装到 VXLAN 数据包中。在这两种情况下,唯一的 VNID 都与第 3 层子网或第 2 层域相关联。在站点之间扩展第 3 层或第 2 层服务时,基本上是在在站点之间拼接 VXLAN 隧道。因此,VNID 需要在站点之间匹配。

务必了解特定 VNID 仅与一个 VRF(或 Apstra 术语中的路由区域)相关联。VNID 存在于 VRF 中。它们与 VRF 绑起。对于第 3 层服务,在路由区域 (VRF) 内的 RT 导入和导入时,可以拼接或扩展每个 VNID。第 3 层子网(路由)通过 RT 进行识别。所有 VNID 都会在 EVPN 网关(边缘)自动导出至 WAN。相反,相同值的 RT 会在进入交换矩阵的 EVPN 网关(边缘)自动导入。因此,如果您在一个站点协调第 3 层 VNID 以使其匹配,则无需额外配置。

在上述图像中,无需额外导出或导入。一切都自动导出(全部导出),而且由于 RT 匹配,它们将自动导入。

但是,如果 DC1 中的 VNID 与 DC2 中的 VNID 不同,则必须分别导入 RT。每个相应的网关仍然自动导入相同值的 RT。在下面的示例中,需要从其他站点手动添加 RT 的额外步骤。

数据平面扩展:第 2 层

在 Apstra 中创建虚拟网络时,您可以将其创建为纯第 2 层服务,这意味着不会实例化第 3 层任播网关。这是针对机架本地第 2 层(面向机架内所含端口的服务器上的 VLAN),或者通过选择 VXLAN 然后选择希望将第 2 层域扩展到的机架来扩展机架之间的第 2 层泛洪和广播域。此第 2 层域具有自己的 VNID,并且 MAC 帧(相对于 IP 数据包)通过第 2 层域的 VNID 封装到 VXLAN 标头中。

同样的原则也适用于在 EVPN 网关中导出所有 VNID(在此情况下为 2 类路由/MAC 地址),并自动导入匹配的 RT。但是,导入和导出 RT 的位置不在路由区域级别,而在于虚拟网络本身。

Apstra 工作流程

控制平面扩展:EVPN 网关

Apstra 使用“EVPN 网关”的概念。理论上,此设备可以是叶式、主干或超垃圾邮件结构节点以及 DCI 设备。EVPN 网关将交换矩阵侧与互连站点并掩蔽站点内部 VTEP 的网络分离。

在 Apstra 中,EVPN 网关是属于并驻留在 EVPN 交换矩阵边缘(也连接到外部 IP 网络)的设备。在 Apstra EVPN 蓝图中,这始终是边界叶设备。一个数据中心的 EVPN 网关在另一个数据中心内与对等 EVPN 网关或网关建立 BGP EVPN 对等互联。“另一个”EVPN 网关是 Apstra 术语中的“远程 EVPN 网关”。本地 EVPN 网关被视为蓝图中 Apstra 托管的设备之一,并在创建“远程 EVPN 网关”期间进行选择。本地 EVPN 网关将是边界叶交换机,具有一个或多个外部路由连接,用于进出 EVPN Clos 交换矩阵的流量。

由于此功能,本地 EVPN 网关(始终为 Apstra 托管的交换机)可配置为与其他 DC 中非 Apstra 托管的设备,甚至是非主干叶设备对等。EVPN 网关 BGP 对等互联用于将所有 EVPN 属性从 Pod 内部传输到 Pod 外部。在 Apstra 中,每个数据中心都由自主蓝图表示,如果 Apstra 管理着两个或更多站点,则您仍必须将每个站点配置为指向其他站点中的“远程 EVPN 网关”。Apstra 建议为每个数据中心创建多个冗余 EVPN 网关。EVPN 网关之间目前还有一个全网状要求,不过在将来版本中,此要求将被删除。

底层 VTEP 路由通告

必须建立对应的 VTEP IP 地址或等效汇总路由的底层可访问性。每个站点都必须将这些 VTEP 回传从默认路由区域通告到导出的 BGP (IPv4) 底层广告中。默认情况下,路由策略中的环路启用。

创建远程 EVPN 网关

远程 EVPN 网关是一种逻辑功能,可以在任何位置和任何设备上实例化,并且需要对一般 BGP 的支持,特别是 L2VPN/EVPN AFI/SAFI。要与 EVPN 网关建立 BGP 会话,应提供 IP 连接以及与 TCP 端口 179(由 IANA 分配的 BGP TCP 端口)的连接。

注意:

为了实现弹性,我们建议为同一远程 EVPN 域至少拥有两个远程网关。

  1. 从蓝图导航到 阶段>虚拟>远程 EVPN 网关 ,然后单击 创建远程 EVPN 网关
  2. 在打开的对话中,请填写以下远程 EVPN 网关信息。
  3. 选择 本地网关节点。这些是蓝图中将配置本地 EVPN 网关的设备。您可以选择一个或多个设备来与配置的远程 EVPN 网关对等。您可以使用查询功能来帮助您找到合适的节点。我们建议使用多个与外部通用系统有直接连接(标记为外部路由器)的边界叶。
  4. 单击 Create 将网关登台并返回到列表视图。
  5. 准备好在蓝图中部署设备时, 提交 更改。

我们建议使用多个远程 EVPN 网关。要配置其他远程 EVPN 网关,请重复上述步骤。

如果要将远程 EVPN 网关配置到另一个 Apstra 蓝图,则必须在该蓝图中单独配置和部署远程 EVPN 网关。

部署更改后,Apstra 将监控远程 EVPN 网关的 BGP 会话。要查看蓝图中的任何异常,请导航到 主动>异常

增强型路由区段

EVPN 路由的安装主要受扩展服务设备上的 RT(路由目标)导入/导出策略支配。您可以通过指定路由目标策略来添加 Apstra 用于路由区域/VRF 的导入和导出路由目标。创建路由区域时,您会执行此操作。导航到 分阶段>虚拟>路由区域 ,然后单击 创建路由区。中所示,如下所示的 “创建路由区域 ”对话中所示。有关详细信息,请参阅 路由区域

注意:

Apstra 为路由区域生成的默认路由目标 为 <L3 VNI>:1。这不能改变。

要确认 VTEP 接收到正确的路由,请确保蓝图与远程 EVPN 域之间的 L3VN 和路由目标相同。

增强型虚拟网络

您可以添加 Apstra 用于虚拟网络的附加导入和导出路由目标。

注意:

Apstra 为虚拟网络生成的默认路由目标 <L2 VNI>:1。您无法改变这一点。

对于 VNI 内部通信,使用 L2VNI 特定的 RT。导入 RT 用于确定接收到的路由适用于特定 VNI。要建立连接,蓝图和远程域之间的第 2 层 VNIS 必须相同。跨域的 SVI 子网必须相同。

远程网关拓扑表示

远程 EVPN 网关在拓扑视图上表示为与蓝图元素有虚线连接的云元素,其中 BGP 会话与这些元素建立,如下图所示。(下图与最新版本略有不同。)