Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

数据中心互连 (DCI) / 远程 EVPN 网关(虚拟)

DCI/EVPN 网关监控

过去,企业一直利用数据中心互连 (DCI) 技术作为业务连续性、灾难恢复 (DR) 或运营连续性 (COOP) 的构建块。这些服务可用性用例主要依赖于使用第 2 层连接连接地理位置分散的数据中心的需求,以实现应用程序可用性和性能。

随着高度虚拟化的软件定义数据中心 (SDDC)、云计算以及最近的边缘计算的兴起,出现了更多用例:

  • 主机代管扩展:将计算和存储资源共享到主机代管数据中心设施。
  • 资源池:在数据中心之间共享和转移应用程序,以提高效率或改善最终用户体验。
  • 快速可扩展性:将容量从资源有限的位置扩展到其他设施或数据中心。
  • 传统迁移:将应用程序和数据从陈旧、低效的设备和架构转移到更高效、性能更高、更具成本效益的架构中。

借助 Apstra 软件,您可以部署和管理简单、灵活且基于意图的包含供应商的 DCI 解决方案。Apstra 利用基于标准的 MP-BGP EVPN 和 VXLAN,在网络行业中实现了广泛的软件和硬件采用。您可以从从传统供应商到白盒 ODM 的大量经济高效的商用硬件中进行选择,以及从传统供应商集成网络操作系统 (NOS) 到分解式开源选项的软件选项。

EVPN VXLAN 是一种基于标准的 (RFC-7432) 方法,用于构建现代数据中心。它结合了数据平面封装 (VXLAN) 和路由控制平面(MP-BGP EVPN 地址族),用于扩展主机之间的第 2 层广播域以及脊叶网络中的第 3 层路由域。EVPN 依靠纯第 3 层底层在 VXLAN 隧道端点 (VTEP) 之间路由 VXLAN 隧道流量,为 MP-BGP 协议家族引入了新的地址族,并支持在 VTEP 之间交换 MAC/IP 地址。端点 MAC 和 IP 的通告以及“ARP/ND 抑制”消除了对绝大多数广播/未知/组播 (BUM) 流量的需求,并依赖于 VXLAN 的 ECMP 单播路由(从源 VTEP 到目标 VTEP)。这可确保最佳的路由选择和叠加网络流量转发路径的高效负载共享。

正如 EVPN VXLAN 在单个站点内工作以在主机之间扩展第 2 层一样,DCI 功能可实现站点之间的第 2 层连接。Apstra DCI 功能支持在数据中心之间扩展第 2 层或第 3 层服务,以实现灾难恢复、双活站点的负载平衡,甚至促进服务从一个数据中心迁移到另一个数据中心。

限制

  • 不支持不同供应商的 EVPN 交换矩阵之间的 EVPN-GW (DCI)。

  • 远程 EVPN 网关不支持 IPv6。(实际 EVPN 路由可以包含 IPv6 类型 2 和类型 5。

DCI 部署选项

您可以使用以下方法实现数据中心互连:

  • 过火的
  • 网关 (GW)
  • 自治系统边界路由器 (ASBR)

如需帮助为您的组织选择最佳选项,请咨询您的 Apstra 解决方案架构师 (SA) 或系统工程师 (SE)。

以下特征适用于所有部署选项:

  • 您可以将 Apstra DCI 扩展到其他 Apstra 管理的数据中心、非 Apstra 托管的数据中心,甚至传统的非脊叶设备。
  • 在所有三种情况下,Apstra 的实施和行为都是相同的。
  • 无论远程端是另一个 DCI GW 还是 ASBR,它对 Apstra 都是透明的。
  • Apstra 既不管理 GW,也不管理 ASBR。

过火的

DCI“Over the Top”是一个透明的解决方案,这意味着 EVPN 路由被封装到标准 IP 中,对底层传输隐藏。这使得服务扩展变得简单而灵活,之所以经常被选中,是因为数据中心团队可以在与 WAN 或服务提供商组几乎没有协调的情况下实施它。这减少了实施时间和公司内部摩擦。但是,权衡是可扩展性和弹性。

网关 (GW)

基于 Apstra 远程 EVPN 网关功能,您可以选择将远程 EVPN 网关指定为同一站点中的外部通用系统(标记为外部路由器),从而将 EVPN 属性扩展到所述 网关 。此解决方案为每个站点创建一个容错域,可防止故障影响远程站点的收敛并创建多个容错域。远程站点的 IP/MAC 端点表在通用系统(标记为外部路由器)网关上进行处理并保持状态。您还可以实施 WAN QoS 和安全性,以及传输技术提供的优化(例如 MPLS TE)。但是,此解决方案在操作上更加复杂,需要额外的硬件和成本。

自治系统边界路由器 (ASBR)

使用 Apstra 远程 EVPN 网关功能,您可以选择将远程 EVPN 网关指定为 ASBR WAN 边缘设备。这种端到端 EVPN 可实现统一封装,并消除了专用的 GW 要求。它在操作上很复杂,但与“使用网关的DCI”和“Overthe Top”相比具有更大的可扩展性。

实现

您可以将路由区域和虚拟网络 (VN) 扩展到跨 Apstra 管理的蓝图(跨 Pod)或 Apstra 无法管理的远程网络(跨数据中心)。此功能引入了 EVPN 网关 (GW) 角色,该角色可以是参与交换矩阵的交换机,也可以是连接到交换矩阵的通用系统(标记为服务器)上的 RouteServer。

EVPN 网关用例

  • 将第 3 层隔离域(VRF/路由区域)跨越到多个 Apstra 管理的 Pod(蓝图)或扩展到远程 EVPN 域。
  • 为 L2VNI/虚拟网络提供第 2 层域扩展。
  • 帮助将 EVPN 域从 Apstra 扩展到 Apstra 托管,再将 Apstra 扩展到非托管 Pod。
  • 主干设备上无 VXLAN 流量终止 - 连接主干设备上的外部通用系统(标记为外部路由器)。这是为了支持 IPv4(底层)外部连接。与边界叶设备不同,主干设备在连接到外部通用系统(标记为外部路由器)时无需终止 VXLAN 流量。简而言之,使用此功能可以将 IPv4 路由交换到远程 VTEP(在默认路由区域/VRF 中),并且只需要第 3 层连接:

过火的

当 BGP EVPN 对等互连“过顶”完成时,数据中心网关 (DC-GW) 是一种纯 IP 传输功能,并且 BGP EVPN 对等互连在不同数据中心的网关之间建立。

以下各节将介绍通过 IP 网络以可扩展方式互连两个或多个基于 BGP 的以太网 VPN (EVPN) 站点的过程。其动机是支持 EVPN 站点的扩展,而不必依赖典型的数据中心互连 (DCI) 技术,如 MPLS/VPLS,这些技术通常难以配置,有时是专有的,而且可能是遗留的。

“Over the Top”是一种简单的解决方案,只需要数据中心之间的 IP 路由和调整后的 MTU,即可支持网关端点之间的 VXLAN 封装。在此类实施中,EVPN 路由通过站点之间的 MP-BGP 进行端到端扩展。启用多跳 BGP 时,假设通过 WAN 的站点之间将有多个第 3 层跃点。否则,默认 TTL 将递减为 0,数据包将被丢弃,并且不会进入远程路由器。Apstra 会自动呈现所需的配置来解决这些限制。

此设计合并了站点之间单独的 EVPN-VXLAN 域和 VXLAN 隧道。合并不同站点中以前独立的 EVPN 域实现了在站点之间扩展第 2 层和第 3 层 (VRF) 服务的优势,同时也将这些站点呈现为单个故障域。因此,一个站点中的故障必然会传播。此外,只要您在站点之间跨 WAN 扩展第 2 层,您就会扩展泛洪域,随之而来的是通过成本高昂的 WAN 链路传输的所有广播流量。目前,此解决方案不提供任何筛选或 QoS。

注意:

当单独的 Apstra 蓝图管理单个站点时(或者只有一个站点由 Apstra 管理),您必须在每个站点中独立创建和管理扩展路由区域 (VRF) 和虚拟网络(第 2 层和/或第 3 层定义的 VLAN/子网)。您必须在站点之间手动映射 VRF 和 VN(产生管理开销)。

注意:

如果要在同一 Apstra 控制器中的两个数据中心(蓝图)之间设置 P2P 连接,则每个蓝图都必须从不同的 IP 池中提取资源以避免构建错误。为此,请创建两个具有相同 IP 子网但名称不同的 IP 池。

这种“过顶”解决方案最容易部署,不需要额外的硬件,除了增加 MTU 之外,不会引入额外的 WAN 配置。它是最灵活的,进入门槛最低。但是,缺点是只有一个 EVPN 控制平面,一个站点中的路由异常会影响其他站点的收敛和可访问性。第 2 层泛洪域的扩展还意味着一个站点中的广播风暴扩展到其他站点。

对于任何DCI实施,都需要仔细的资源规划和协调。增加更多站点需要这种规划和协调成倍增加。底层的 VTEP 环路需要泄漏。站点之间的 VNID 必须匹配,在某些情况下,必须导入其他路由目标 (RT)。本文档稍后将详细介绍这一点。

数据平面扩展:第 3 层

VXLAN 网络 ID (VNID) 是 VXLAN 报头的一部分,用于标识唯一的 VXLAN 隧道,每个隧道都与 IP 网络中的其他 VXLAN 隧道隔离。可以将第 3 层数据包封装到 VXLAN 数据包中,也可以将第 2 层 MAC 帧直接封装到 VXLAN 数据包中。在这两种情况下,唯一的 VNID 都与第 3 层子网或第 2 层域相关联。在站点之间扩展第 3 层或第 2 层服务时,实质上是在站点之间拼接 VXLAN 隧道。因此,VNID 需要在站点之间进行匹配。

请务必了解,一个特定的 VNID 将仅与一个 VRF(或 Apstra 术语中的路由区域)相关联。VNID 存在于 VRF 中。它们与 VRF 相关联。对于第 3 层服务,每个 VNID 的拼接或扩展是通过导出和导入路由区域 (VRF) 内的 RT 来完成的。第 3 层子网(路由)通过 RT 进行标识。所有 VNID 都会在 EVPN 网关(边缘)上自动导出到 WAN 方向。相反,相同值的 RT 会自动导入到进入交换矩阵的 EVPN 网关(边缘)。因此,如果在一个站点协调第 3 层 VNID 以匹配另一个站点,则无需进行其他配置。

在上图中,不需要其他导出或导入。所有内容都会自动导出(全部导出),并且由于 RT 匹配,因此会自动导入它们。

但是,如果 DC1 中的 VNID 与 DC2 中的 VNID 不同,则必须分别导入 RT。每个相应的网关仍然会自动导入相同值的 RT。在下面的示例中,需要从其他站点手动添加 RT 的额外步骤。

数据平面扩展:第 2 层

虚拟网络可以是纯第 2 层服务(第 3 层任播网关未实例化)。它可以是机架本地(机架内包含的面向服务器的端口上的 VLAN)或 VXLAN(选择机架以在机架之间扩展第 2 层泛洪和广播域)。此第 2 层域具有自己的 VNID,MAC 帧(与 IP 数据包相对)使用第 2 层域的 VNID 封装到 VXLAN 报头中。

同样的原则是,所有 VNID 都会在 EVPN 网关上导出(在本例中为 2 类路由/MAC 地址),并自动导入匹配的 RT。但是,导入和导出 RT 的位置不在路由区域级别,而是在虚拟网络本身。

Apstra 工作流程

控制平面扩展:EVPN 网关

Apstra 使用“EVPN 网关”的概念。理论上,此设备可以是叶式、主干或超级主干交换矩阵节点,也可以是 DCI 设备。EVPN 网关将交换矩阵端与互连站点的网络分开,并屏蔽站点内部 VTEP。

在 Apstra 中,EVPN 网关是属于同样连接到外部 IP 网络的 EVPN 交换矩阵边缘并驻留在其边缘的设备。在 Apstra EVPN 蓝图中,这始终是一个边界叶设备。一个数据中心的 EVPN 网关与另一个数据中心中的一个或多个互惠 EVPN 网关建立 BGP EVPN 对等互连。“其他”EVPN 网关是 Apstra 术语中的“远程 EVPN 网关”。本地 EVPN 网关被视为蓝图中 Apstra 托管的设备之一,并在创建“远程 EVPN 网关”时被选中。本地 EVPN 网关将是具有一个或多个外部路由连接的边界叶交换机,用于进出 EVPN Clos 交换矩阵的流量。

借助此功能,您可以将本地 EVPN 网关(始终为 Apstra 管理的交换机)配置为与另一个数据中心中的非 Apstra 托管甚至非脊叶设备对等。EVPN 网关 BGP 对等互连用于将所有 EVPN 属性从容器内部传输到容器外部。在 Apstra 环境中,每个蓝图代表一个数据中心。如果两个或更多站点处于 Apstra 管理之下,您仍必须将每个站点配置为指向其他站点中的“远程 EVPN 网关”。我们建议您为每个数据中心创建多个冗余 EVPN 网关。目前,EVPN 网关之间也有全网状网络要求,但在将来的版本中将删除此要求。

底层 VTEP 路由通告

必须以对等方式建立到 VTEP IP 地址的底层可访问性或等效汇总路由。每个站点都必须将这些来自默认路由区域内的 VTEP 环路播发到导出的 BGP (IPv4) 底层网络通告中。默认情况下,路由策略中的环路处于启用状态。

创建远程 EVPN 网关

谨慎:

默认情况下,ESI MAC msb(最高有效字节)在所有蓝图上都设置为 2。每个连接的 Apstra 蓝图都必须具有唯一的 MSB,以防止影响服务的问题。在创建网关之前,请相应地 更改 ESI MAC MSB 。(您可以将其中一个保留为默认值。

远程 EVPN 网关是一项逻辑功能,您可以在任何位置和任何设备上实例化。它通常需要BGP支持,特别是L2VPN/EVPN AFI/SAFI。要与 EVPN 网关建立 BGP 会话,应提供 IP 连接以及与 TCP 端口 179(IANA 分配 BGP TCP 端口)的连接。

注意:

为了实现弹性,我们建议为同一远程 EVPN 域至少设置两个远程网关。

  1. 在蓝图中,导航到 分段>虚拟>远程 EVPN 网关 ,然后单击 创建远程 EVPN 网关
  2. 在打开的对话框中,填写远程 EVPN 网关的以下信息。

    在数据中心交换矩阵之间扩展 L2 网络时,您可以选择(从 Apstra 版本 4.1.0 开始)仅交换 EVPN 路由类型 RT-5 前缀(无接口型号)。当不需要在数据中心位置之间交换所有主机路由时,此功能非常有用。这导致对 DCI 设备上的路由信息库 (RIB)(也称为路由表)和转发信息库 (FIB)(也称为转发表)的要求较小。

  3. 选择 本地网关节点。这些是蓝图中将使用本地 EVPN 网关配置的设备。您可以选择一个或多个设备与配置的远程 EVPN 网关对等。您可以使用查询功能来帮助您找到相应的节点。我们建议使用多个边界叶设备,这些设备可直接连接到外部通用系统(标记为外部路由器)。
  4. 单击 “创建 ”以暂存网关并返回到表视图。
  5. 准备好在蓝图中部署设备时, 请提交 更改。

我们建议使用多个远程 EVPN 网关。要配置其他远程 EVPN 网关,请重复上述步骤。

如果要将远程 EVPN 网关配置为其他 Apstra 蓝图,则必须在该蓝图中单独配置和部署远程 EVPN 网关。

部署更改后,Apstra 会监控远程 EVPN 网关的 BGP 会话。要查看蓝图中的任何异常,请导航到 活动>异常

增强型路由区域

作为扩展服务一部分的设备上的 RT(路由目标)导入/导出策略管理 EVPN 路由安装。指定路由目标策略以添加 Apstra 用于路由区域/VRF 的导入和导出路由目标。在创建路由区域时执行此操作。导航到分段 >虚拟>路由区域 ,然后单击 创建路由区域。有关详细信息,请参阅 路由区域

注意:

为路由区域生成的默认路由目标是 <L3 VNI>:1。您无法更改此默认值。

要确认在 VTEP 上接收到正确的路由,请确保蓝图域和远程 EVPN 域之间的 L3VNI 和路由目标相同。

增强型虚拟网络

您可以添加 Apstra 用于虚拟网络的其他导入和导出路由目标。

注意:

Apstra 为虚拟网络生成的默认路由目标是 <L2 VNI>:1。您无法更改此设置。

对于 VNI 内通信,使用 L2VNI 特定 RT。导入 RT 用于确定哪些接收的路由适用于特定 VNI。要建立连接,蓝图和远程域之间的第 2 层 VNI 必须相同。SVI 子网在域之间必须相同。

远程网关拓扑表示形式

远程 EVPN 网关在拓扑视图中表示为云元素,虚线连接到与之建立 BGP 会话的蓝图元素,如下图所示。(下图与最新版本略有不同。