Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

带有代理 MAC 地址的 ARP 和 NDP 请求

从 Junos OS 19.1R1 版开始,PE 设备支持在 ARP 或 NDP 回复中将源 MAC 地址替换为代理 MAC 地址。当 PE 设备收到 ARP 或 NDP 请求时,PE 设备会搜索 MAC-IP 地址绑定数据库,如果有条目,则在 ARP 回复中将源 MAC 地址替换为代理 MAC 地址。

对于具有边缘路由桥接叠加网络的 EVPN 网络,您可以使用选项 irb 启用代理 MAC 地址。Junos OS 使用虚拟网关 MAC 地址作为每个叶设备上的代理 MAC 地址。如果未配置虚拟网关,Junos 将使用 IRB MAC 地址作为叶设备上的代理 MAC 地址。

如果在边缘路由桥接 EVPN 网络的 MAC-IP 地址绑定数据库中找不到该条目,则 ARP 请求中的源 MAC 和 IP 地址将替换为 IRB 接口的代理 MAC 和 IP 地址,并且 ARP 请求将泛洪。

在边缘路由桥接中,Junos 使用以下优先顺序指定代理 MAC 地址:

  1. 配置的虚拟网关 MAC 地址。

  2. 自动派生的虚拟网关 MAC 地址。

  3. 配置的 IRB MAC 地址。

  4. 当虚拟网关 MAC 地址和 IRB MAC 地址均未配置时,根据物理接口自动分配 MAC 地址。

图 1 说明了如何在边缘路由桥接 EVPN 网络中应用代理 MAC 地址。ARP 请求的事件顺序如下:

  1. 主机 1 发送第一个 ARP 请求消息以定位主机 2。ARP 请求消息将主机 1 的 MAC 和 IP 地址作为源 MAC 和 IP 地址。

  2. 设备 PE1 接收 ARP 请求消息。由于其 MAC-IP 地址绑定数据库中没有匹配的条目,PE1 将占用 ARP 请求消息,并将主机 1 的 MAC 和 IP 地址替换为 IRB 接口的 MAC 和 IP 地址。

  3. 设备 PE2 转发 ARP 请求消息。

  4. 主机 2 使用其 MAC 和 IP 地址发送 ARP 响应。

  5. 设备 PE2 将主机 2 的条目添加到其 MAC-IP 地址绑定数据库,并为主机 2 发送 EVPN 2 类通告消息。当 PE1 收到 EVPN 2 类消息时,它会将主机 2 的条目添加到其 MAC-IP 地址绑定数据库中。

  6. ARP 请求 1 次,主机 1 再次发送 ARP 请求消息。

  7. 设备 PE1 接收第二条 ARP 请求消息。由于 MAC-IP 地址绑定数据库中有一个条目,因此它使用代理 MAC 地址作为 ARP 代理进行响应。

图 1:边缘路由桥接 EVPN 网络 Proxy MAC ARP Request in an Edge-Routed Bridging EVPN Network中的代理 MAC ARP 请求

对于具有集中路由桥接叠加网络的 EVPN 网络,您可将配置的 MAC 地址分配为代理 MAC 地址。叶上配置的代理 MAC 地址应为主干设备或网关上 IRB 的虚拟网关 MAC 地址。如果未配置虚拟网关 MAC 地址,请将代理 MAC 地址配置为使用集中式网关上的 IRB MAC 地址。

如果在集中路由的桥接 EVPN 网络的 MAC-IP 地址绑定数据库中找不到该条目,则源 MAC 将替换为配置的代理 MAC,并将源 IP 地址设置为 0.0.0.0。在 ARP 请求中。 图 2 说明了如何在主机 1 和主机 2 分别连接到叶设备 PE1 和 PE2 的中央路由桥接 EVPN 网络中应用代理 MAC 地址。ARP 请求的事件顺序如下:

图 2:集中路由桥接 EVPN 网络 Proxy MAC ARP Request in a Centrally-routed Bridging EVPN Network中的代理 MAC ARP 请求

  1. 主机 1 发送第一个 ARP 请求消息以定位主机 2。ARP 请求消息将主机 1 的 MAC 和 IP 地址作为源 MAC 和 IP 地址。

  2. 叶设备 PE1 接收 ARP 请求消息。由于其 MAC-IP 地址绑定数据库中没有匹配的条目,PE1 将泛洪 ARP 请求消息,并将主机 1 的源 MAC 地址替换为配置的代理 MAC 地址和源 IP 地址 0.0.0.0。

  3. 叶设备 PE2 接收并转发 ARP 请求消息。

  4. 主机 2 使用其 MAC 和 IP 地址发送 ARP 响应。

  5. 设备 PE2 将主机 2 的条目添加到其 MAC-IP 地址绑定数据库,并为主机 2 发送 EVPN 2 类通告消息。当 PE1 收到 EVPN 2 类消息时,它会将主机 2 的条目添加到其 MAC-IP 地址绑定数据库中。

  6. ARP 请求 1 次,主机 1 再次发送 ARP 请求消息。

  7. 设备 PE1 接收第二条 ARP 请求消息。由于 MAC-IP 地址绑定数据库中有一个条目,因此它使用代理 MAC 地址作为 ARP 代理进行响应。

此功能可确保所有 VLAN 间和 VLAN 内的流量作为第 3 层流量转发到配置的网关,并确保流量可以路由。

要启用此功能,请将[edit routing-instances routing-instance-name protocols evpn] 语句包含在实例类型的层次结构evpn中,或实例类型的层次结构virtual-switch[edit routing-instances routing-instance-name bridge-domains domain_name] proxy-mac (irb | proxy-mac-address)

在具有边缘路由桥接叠加网络的 EVPN 网络中,且 CE 设备直接连接到 L3 网关设备,请使用irb选项在网关设备上进行配置proxy-mac

在采用集中路由桥接叠加网络的 EVPN 网络中,CE 设备仅通过第 2 层叶设备连接到 L3 网关设备, proxy-mac 在叶设备上配置使用 proxy-mac-address 集中式 L3 网关 IRB 接口上的虚拟或物理网关 MAC 地址作为 MAC 地址的选项。

以下是支持边缘路由桥接 EVPN 网络的代理 MAC 的桥接域配置示例。

在 ARP 请求中使用虚拟网关或 IRB MAC 地址的好处

借助此功能,所有已配置路由实例的所有 VLAN 间和 VLAN 内流量都将路由到 IRB 接口。这允许以下作:

  • 专用 VLAN 之间的通信。

  • 在网关上对 VLAN 内和 VLAN 间流量进行第 3 层安全过滤。

  • MAC 地址隐私。主机不学习其他主机的 MAC 地址。

相关主题