具有代理 MAC 地址的 ARP 和 NDP 请求
从 Junos OS 19.1R1 版开始,PE 设备支持在 ARP 或 NDP 回复中将源 MAC 地址替换为代理 MAC 地址。当 PE 设备收到 ARP 或 NDP 请求时,PE 设备将搜索 MAC-IP 地址绑定数据库,如果有条目,它将在 ARP 回复中将源 MAC 地址替换为代理 MAC 地址。
对于具有边缘路由桥接叠加网络的 EVPN 网络,您可以使用该 irb
选项启用代理 MAC 地址。Junos OS 使用虚拟网关 MAC 地址作为每个叶设备上的代理 MAC 地址。如果未配置虚拟网关,Junos 将使用 IRB MAC 地址作为叶设备上的代理 MAC 地址。
如果在边缘路由桥接 EVPN 网络的 MAC-IP 地址绑定数据库中找不到该条目,则 ARP 请求中的源 MAC 和 IP 地址将替换为 IRB 接口的代理 MAC 和 IP 地址,并且 ARP 请求将被泛洪。
在边缘路由桥接中,Junos 使用以下优先顺序指定代理 MAC 地址:
配置的虚拟网关 MAC 地址。
自动派生的虚拟网关 MAC 地址。
已配置的 IRB MAC 地址。
当既未配置虚拟网关 MAC 地址,也未配置 IRB MAC 地址时,根据物理接口自动分配 MAC 地址。
图 1 说明了如何在边缘路由桥接 EVPN 网络中应用代理 MAC 地址。ARP 请求的事件顺序如下:
主机 1 发送第一条 ARP 请求消息以查找主机 2。ARP 请求消息将主机 1 的 MAC 和 IP 地址作为源 MAC 和 IP 地址。
设备 PE1 接收 ARP 请求消息。由于 MAC-IP 地址绑定数据库中没有匹配的条目,PE1 会占用 ARP 请求消息,并将主机 1 的 MAC 和 IP 地址替换为 IRB 接口的 MAC 和 IP 地址。
设备 PE2 转发 ARP 请求消息。
主机 2 使用其 MAC 和 IP 地址发送 ARP 响应。
设备 PE2 将主机 2 的条目添加到其 MAC-IP 地址绑定数据库中,并为主机 2 发送 EVPN 类型 2 通告消息。当 PE1 收到 EVPN 类型 2 消息时,它会将主机 2 的条目添加到其 MAC-IP 地址绑定数据库中。
ARP 请求超时 1,主机 1 发送另一条 ARP 请求消息。
设备 PE1 接收第二条 ARP 请求消息。由于 MAC-IP 地址绑定数据库中有一个条目,因此它将作为具有代理 MAC 地址的 ARP 代理进行响应。
对于具有集中路由桥接叠加网络的 EVPN 网络,您可以将配置的 MAC 地址分配为代理 MAC 地址。叶上配置的代理 MAC 地址应为主干设备或网关上 IRB 的虚拟网关 MAC 地址。如果未配置虚拟网关 MAC 地址,请将代理 MAC 地址配置为使用集中式网关上的 IRB MAC 地址。
如果在集中路由桥接 EVPN 网络的 MAC-IP 地址绑定数据库中找不到该条目,则源 MAC 将替换为配置的代理 MAC,并将源 IP 地址设置为 0.0.0.0。在 ARP 请求中。 图 2 说明了如何在集中路由的桥接 EVPN 网络中应用代理 MAC 地址,其中主机 1 和主机 2 分别连接到叶设备 PE1 和 PE2。ARP 请求的事件顺序如下:
主机 1 发送第一条 ARP 请求消息以查找主机 2。ARP 请求消息将主机 1 的 MAC 和 IP 地址作为源 MAC 和 IP 地址。
叶设备 PE1 接收 ARP 请求消息。由于 MAC-IP 地址绑定数据库中没有匹配的条目,PE1 会泛洪 ARP 请求消息,并将主机 1 的源 MAC 地址替换为配置的代理 MAC 地址和源 IP 地址 0.0.0.0。
叶设备 PE2 接收并转发 ARP 请求消息。
主机 2 使用其 MAC 和 IP 地址发送 ARP 响应。
设备 PE2 将主机 2 的条目添加到其 MAC-IP 地址绑定数据库中,并为主机 2 发送 EVPN 类型 2 通告消息。当 PE1 收到 EVPN 类型 2 消息时,它会将主机 2 的条目添加到其 MAC-IP 地址绑定数据库中。
ARP 请求超时 1,主机 1 发送另一条 ARP 请求消息。
设备 PE1 接收第二条 ARP 请求消息。由于 MAC-IP 地址绑定数据库中有一个条目,因此它将作为具有代理 MAC 地址的 ARP 代理进行响应。
此功能可确保所有 VLAN 间和 VLAN 内流量作为第 3 层流量转发到配置的网关,并且流量可以路由。
要启用此功能,请将语句[edit routing-instances routing-instance-name protocols evpn]
包含在proxy-mac (irb | proxy-mac-address)
实例类型的层次结构evpn
或实例类型的层次结构virtual-switch
中[edit routing-instances routing-instance-name bridge-domains domain_name]
。
在具有边缘路由桥接叠加网络的 EVPN 网络中,客户边缘设备直接连接到 L3 网关设备,请使用选项irb
在网关设备上进行配置proxy-mac
。
在具有集中路由桥接叠加网络的 EVPN 网络中,客户边缘设备通过仅第 2 层叶设备连接到 L3 网关设备,请在叶设备上proxy-mac-address
配置proxy-mac
使用集中式 L3 网关 IRB 接口上的虚拟或物理网关 MAC 地址作为 MAC 地址的选项。
以下是桥接域的示例配置,支持边缘路由桥接 EVPN 网络的代理 MAC。
routing-instances { VS-1 { instance-type virtual-switch; bridge-domains { bd-110 { interface ae0.0; vlan-id 110; routing-interface irb.5; proxy-mac { irb; } } } } }
在 ARP 请求中使用虚拟网关或 IRB MAC 地址的好处
借助此功能,所有已配置路由实例的所有 VLAN 间和 VLAN 内流量都将路由到 IRB 接口。这允许执行以下操作:
专用 VLAN 之间的通信。
网关上的第 3 层安全过滤,用于 VLAN 内和 VLAN 间流量。
MAC 地址隐私。主机不学习其他主机的 MAC 地址。