Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

具有代理 MAC 地址的 ARP 和 NDP 请求

从 Junos OS 19.1R1 版开始,PE 设备支持在 ARP 或 NDP 回复中将源 MAC 地址替换为代理 MAC 地址。当 PE 设备收到 ARP 或 NDP 请求时,PE 设备将搜索 MAC-IP 地址绑定数据库,如果有条目,它将在 ARP 回复中将源 MAC 地址替换为代理 MAC 地址。

对于具有边缘路由桥接叠加网络的 EVPN 网络,您可以使用该 irb 选项启用代理 MAC 地址。Junos OS 使用虚拟网关 MAC 地址作为每个叶设备上的代理 MAC 地址。如果未配置虚拟网关,Junos 将使用 IRB MAC 地址作为叶设备上的代理 MAC 地址。

如果在边缘路由桥接 EVPN 网络的 MAC-IP 地址绑定数据库中找不到该条目,则 ARP 请求中的源 MAC 和 IP 地址将替换为 IRB 接口的代理 MAC 和 IP 地址,并且 ARP 请求将被泛洪。

在边缘路由桥接中,Junos 使用以下优先顺序指定代理 MAC 地址:

  1. 配置的虚拟网关 MAC 地址。

  2. 自动派生的虚拟网关 MAC 地址。

  3. 已配置的 IRB MAC 地址。

  4. 当既未配置虚拟网关 MAC 地址,也未配置 IRB MAC 地址时,根据物理接口自动分配 MAC 地址。

图 1 说明了如何在边缘路由桥接 EVPN 网络中应用代理 MAC 地址。ARP 请求的事件顺序如下:

  1. 主机 1 发送第一条 ARP 请求消息以查找主机 2。ARP 请求消息将主机 1 的 MAC 和 IP 地址作为源 MAC 和 IP 地址。

  2. 设备 PE1 接收 ARP 请求消息。由于 MAC-IP 地址绑定数据库中没有匹配的条目,PE1 会占用 ARP 请求消息,并将主机 1 的 MAC 和 IP 地址替换为 IRB 接口的 MAC 和 IP 地址。

  3. 设备 PE2 转发 ARP 请求消息。

  4. 主机 2 使用其 MAC 和 IP 地址发送 ARP 响应。

  5. 设备 PE2 将主机 2 的条目添加到其 MAC-IP 地址绑定数据库中,并为主机 2 发送 EVPN 类型 2 通告消息。当 PE1 收到 EVPN 类型 2 消息时,它会将主机 2 的条目添加到其 MAC-IP 地址绑定数据库中。

  6. ARP 请求超时 1,主机 1 发送另一条 ARP 请求消息。

  7. 设备 PE1 接收第二条 ARP 请求消息。由于 MAC-IP 地址绑定数据库中有一个条目,因此它将作为具有代理 MAC 地址的 ARP 代理进行响应。

图 1:边缘路由桥接 EVPN 网络中 Proxy MAC ARP Request in an Edge-Routed Bridging EVPN Network的代理 MAC ARP 请求

对于具有集中路由桥接叠加网络的 EVPN 网络,您可以将配置的 MAC 地址分配为代理 MAC 地址。叶上配置的代理 MAC 地址应为主干设备或网关上 IRB 的虚拟网关 MAC 地址。如果未配置虚拟网关 MAC 地址,请将代理 MAC 地址配置为使用集中式网关上的 IRB MAC 地址。

如果在集中路由桥接 EVPN 网络的 MAC-IP 地址绑定数据库中找不到该条目,则源 MAC 将替换为配置的代理 MAC,并将源 IP 地址设置为 0.0.0.0。在 ARP 请求中。 图 2 说明了如何在集中路由的桥接 EVPN 网络中应用代理 MAC 地址,其中主机 1 和主机 2 分别连接到叶设备 PE1 和 PE2。ARP 请求的事件顺序如下:

图 2:集中路由桥接 EVPN 网络中 Proxy MAC ARP Request in a Centrally-routed Bridging EVPN Network的代理 MAC ARP 请求
  1. 主机 1 发送第一条 ARP 请求消息以查找主机 2。ARP 请求消息将主机 1 的 MAC 和 IP 地址作为源 MAC 和 IP 地址。

  2. 叶设备 PE1 接收 ARP 请求消息。由于 MAC-IP 地址绑定数据库中没有匹配的条目,PE1 会泛洪 ARP 请求消息,并将主机 1 的源 MAC 地址替换为配置的代理 MAC 地址和源 IP 地址 0.0.0.0。

  3. 叶设备 PE2 接收并转发 ARP 请求消息。

  4. 主机 2 使用其 MAC 和 IP 地址发送 ARP 响应。

  5. 设备 PE2 将主机 2 的条目添加到其 MAC-IP 地址绑定数据库中,并为主机 2 发送 EVPN 类型 2 通告消息。当 PE1 收到 EVPN 类型 2 消息时,它会将主机 2 的条目添加到其 MAC-IP 地址绑定数据库中。

  6. ARP 请求超时 1,主机 1 发送另一条 ARP 请求消息。

  7. 设备 PE1 接收第二条 ARP 请求消息。由于 MAC-IP 地址绑定数据库中有一个条目,因此它将作为具有代理 MAC 地址的 ARP 代理进行响应。

此功能可确保所有 VLAN 间和 VLAN 内流量作为第 3 层流量转发到配置的网关,并且流量可以路由。

要启用此功能,请将语句[edit routing-instances routing-instance-name protocols evpn] 包含在proxy-mac (irb | proxy-mac-address)实例类型的层次结构evpn或实例类型的层次结构virtual-switch[edit routing-instances routing-instance-name bridge-domains domain_name]

在具有边缘路由桥接叠加网络的 EVPN 网络中,客户边缘设备直接连接到 L3 网关设备,请使用选项irb在网关设备上进行配置proxy-mac

在具有集中路由桥接叠加网络的 EVPN 网络中,客户边缘设备通过仅第 2 层叶设备连接到 L3 网关设备,请在叶设备上proxy-mac-address配置proxy-mac使用集中式 L3 网关 IRB 接口上的虚拟或物理网关 MAC 地址作为 MAC 地址的选项。

以下是桥接域的示例配置,支持边缘路由桥接 EVPN 网络的代理 MAC。

在 ARP 请求中使用虚拟网关或 IRB MAC 地址的好处

借助此功能,所有已配置路由实例的所有 VLAN 间和 VLAN 内流量都将路由到 IRB 接口。这允许执行以下操作:

  • 专用 VLAN 之间的通信。

  • 网关上的第 3 层安全过滤,用于 VLAN 内和 VLAN 间流量。

  • MAC 地址隐私。主机不学习其他主机的 MAC 地址。