第 2 层协议 EVPN-VXLAN 桥接叠加网络中的 VXLAN 隧道隧道
为 EVPN-VXLAN 桥接叠加 (BO) 网络中从接入接口到 VXLAN 隧道目标的协议控制帧启用第 2 层 (L2) 协议隧道 (L2PT)。
通过 VXLAN 隧道实现 L2PT
L2PT 通过设备之间的桥接网络透明地传输桥接协议数据单元 (BPDU),就好像这些设备直接连接到这些协议控制帧一样。传输路径中的节点不会捕获和处理隧道协议的控制帧。
EVPN-VXLAN 桥接叠加 (BO) 网络中的 VXLAN 隧道有助于将一个客户的流量与网络中其他客户的流量隔离开来。
通过 VXLAN 隧道的 L2PT 使 EVPN-VXLAN 桥接叠加网络中的设备能够跨网络中的 VXLAN 隧道端点 (VTEP) 将已标记或未标记的协议控制帧透明地传输至目标。VXLAN 隧道将每个客户的流量分开,而 L2PT 则阻止网络中沿传输路径的设备处理协议帧。请参阅 图 1:
的 L2PT
您可以在接入接口上为要通过 EVPN-VXLAN 网络隧道传输的协议启用 L2PT。当控制帧进入该接入接口上的设备时,设备不会将这些帧捕获到控制平面进行协议处理。相反,设备使用 VXLAN 媒体访问控制 (MAC)、UDP 标头和 VXLAN 网络标识符 (VNI) 封装帧,并通过关联的 VXLAN 隧道透明地将帧泛洪到目标主机。换言之,EVPN-VXLAN 网络中的设备通过网络发送这些帧的方式与它们发送数据包的方式相同。
协议控制数据包可以是 VLAN 标记的,也可以是不标记的。设备使用以下 VNI 值进行 VXLAN 封装:
-
VLAN 标记 — 设备使用与控制数据包的 VLAN 对应的 VNI。
-
无标记 — 设备使用与本机 VLAN 对应的 VNI。
位于目标 VTEP 的设备终止 VXLAN 隧道,解封装帧,然后将帧向目标接入接口泛洪。
例如,当您的网络通过 EVPN-VXLAN 网络中的远程连接将主机连接到叶设备,并且设备使用 LLDP 来发现 EVPN-VXLAN 邻接方关系时,可以通过 VXLAN 使用 L2PT。
要为传入指定接入接口名称的 L2 协议控制帧配置此功能,必须在层次结构级别配置以下两个语句 [edit protocols layer2-control l2pt interface interface-name] :
-
destination vxlan-tunnel—通常对网络中 VXLAN 隧道中的网络目标启用 L2PT。 -
protocol (all | protocol-name)- 指定要建立隧道的 L2 协议。all使用选项可通过隧道传输所有受支持的协议,或为要建立隧道的每个协议添加单独的protocol语句。
有关如何配置此功能的更多信息,请参阅 配置和验证 L2PT over VXLAN 。
L2PT 优于 VXLAN 隧道的优势
-
为网络管理员提供安全选项,以跨 EVPN-VXLAN BO 交换矩阵扩展已标记或未标记的 L2 BPDU。
基于 VXLAN 的 L2PT 支持详细信息
使用 功能浏览器 确认平台和版本对此功能的支持。
请参阅 特定于平台的 L2PT over VXLAN 行为 ,了解特定于平台的支持差异摘要。本部分介绍所有平台上使用此功能的常见支持行为。
我们支持 EVPN-VXLAN BO 网络中的 L2PT over VXLAN 隧道,如下所示:
-
支持的隧道协议 列出了可以将设备配置为通过 VXLAN 隧道透明转发的 L2 协议。
-
如果在接口上为 L2PT over VXLAN 启用 L2 协议,则无法为设备上的数据流量配置相同的协议。在这种情况下,设备会引发提交错误。
-
当您为支持的协议启用 L2PT over VXLAN 时,设备会透明地转发包含该协议目标 MAC 地址的协议控制帧。如果为目标MAC 地址与一个或多个其他受支持协议具有相同目的的协议启用 L2PT,则设备将透明地转发所有这些协议的控制帧。
例如,LACP 和 802.3AH 协议使用相同的目标 MAC 地址 01:80:C2:00:00:02。如果为 LACP 配置 L2PT over VXLAN,设备将通过隧道传输 802.3ah 协议帧和 LACP 帧。(请参阅 支持的隧道协议 ,了解每个受支持协议的标准目标 MAC 地址。)
-
设备可以通过隧道传输带有 VLAN 标记或未标记的 L2 协议帧。我们根据 示例:在 EVPN-VXLAN 叠加网络中通过隧道传输 Q-in-Q 流量中所述的用例,支持对隧道流量使用 Q-in-Q。
要通过 VXLAN 隧道发送标记控制 BPDU,设备应使用标记帧中与 VLAN 对应的 VNI。要通过 VXLAN 隧道发送未标记的控制 BPDU,设备将使用本征 VLAN 及其对应的 VNI。
注意:要使 L2PT over VXLAN 正常工作,您必须将 VLAN 配置为本机 VLAN,并将 VNI 映射配置为接口上的本机 VLAN。
-
指定的接入接口可以是符合以下条件的接口:
-
物理接口或聚合以太网 (AE) 接口。
-
以企业风格或服务提供商风格进行配置。(请参阅 灵活以太网服务封装 和 了解 EVPN-VXLAN 对灵活以太网服务的支持。)
-
单宿主或多宿主连接。
-
-
您无法在同一接口上配置 L2PT over VXLAN 和标准 L2PT(对于相同或不同的协议)。有关标准 L2PT 功能(不通过 VXLAN 封装隧道)的详细信息,请参阅 第 2 层协议隧道 ,该功能使用 MAC 重写作来执行 L2 隧道。此处描述的 MAC 重写语句和命令仅适用于标准 L2PT 功能,不适用于通过 VXLAN 的 L2PT。
但是,您可以在一个接口上配置 L2PT over VXLAN,而在其他接口上配置标准 L2PT(对于相同或不同的协议)。您还可以使用 show l2pt interface 命令查看接口是否启用了 L2PT over VXLAN 或标准 L2PT。在目标输出字段中,命令会为通过 VXLAN 使用 L2PT 启用的接口显示 VXLAN-TUNNEL,或者为使用标准 L2PT 启用的接口显示 MAC 重写地址。
支持的隧道协议
有关支持的协议选项,请参阅 特定于平台的 L2PT over VXLAN 行为 ,了解特定于平台的差异。
您可以将设备配置为为 表 1 中列出的协议以透明方式通过隧道传输 BPDU。下表列出了您在 [edit protocols layer2-control l2pt interface interface-name protocol] 层级配置的为每个协议启用 L2PT 的选项,以及该协议的标准目标 MAC 地址。
设备根据目标 MAC 地址对协议控制帧进行隧道传输。因此,如果您为具有该目标 MAC 地址的任一协议启用 L2PT,设备将通过隧道传输共享同一目标 MAC 地址的所有协议。
| 协议 |
协议名称配置选项 |
协议 MAC 地址 |
|---|---|---|
| 802.1X—IEEE 802.1X 身份验证 |
IEEE8021X |
01:80:C2:00:00:03 |
| 802.3ah—IEEE 802.3ah作、管理和维护 (OAM) 链路故障管理 (LFM) |
IEEE8023AH |
01:80:C2:00:00:02 |
| 思科发现协议 (CDP) |
CDP |
01:00:0C:CC:CC:CC |
| 以太网本地管理接口 (E-LMI) |
埃尔米 |
01:80:C2:00:00:07 |
| 通用属性注册协议 (GARP)、VLAN 注册协议 (GVRP) |
GVRP |
01:80:C2:00:00:21 |
| 链路聚合控制协议 (LACP) |
LACP |
01:80:C2:00:00:02 |
| 链路层发现协议 (LLDP) |
LLDP |
01:80:C2:00:00:0E |
| 多 MAC 注册协议 (MMRP) |
MMRP的 |
01:80:C2:00:00:20 |
| MVRP VLAN 注册协议 (MVRP) |
MVRP |
01:80:C2:00:00:21 |
| 每 VLAN 生成树 (PVST) 协议和 PVST Plus (PVST+) 协议 |
PVSTP |
01:00:0C:CC:CC:CD |
| STP、快速 STP (RSTP) 和多 STP (MSTP) |
STP |
01:80:C2:00:00:00 |
| 单向链路检测 (UDLD) |
ULD |
01:00:0C:CC:CC:CC |
| VLAN 生成树协议 (VSTP) |
VSTP |
01:00:0C:CC:CC:CD |
| VLAN 中继协议 (VTP) |
VTP |
01:00:0C:CC:CC:CC |
特定于平台的 L2PT over VXLAN 行为
使用 功能浏览器 确认平台和版本对此功能的支持。
使用下表查看支持此功能的平台的特定于平台的行为。
| 平台 |
差异 |
|---|---|
| ACX 系列(Junos OS 演化版) |
|
| EX 系列和 QFX 系列 (Junos OS) |
|
| QFX 系列(Junos OS 演化版) |
|
配置和验证 L2PT over VXLAN
要启用此功能,请在[edit protocols layer2-control]层次结构级别的 l2pt 节中配置语句。
在设备上配置和验证 L2PT over VXLAN,如下所示: