Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

网关功能和虚拟网络流量技术概述

第 3 层网关功能随着时间的推移而不断发展,并且在其支持的功能和操作方面存在一些差异。有两种方法可以在 Junos OS 设备上配置第 3 层网关功能:

  • 直接配置集成路由和桥接 (IRB) 接口,并将其播发为网关地址。

  • 配置 IRB 接口和虚拟网关地址(用作网关的默认 IPv4 或 IPv6 地址)以支持 IRB 接口冗余网关功能。

虚拟网络之间的流量支持以下功能:

第 3 层默认网关功能

有两种配置方法,因为最初在首次构思以太网 VPN (EVPN) 和第 3 层网关功能时,必须遵守 RFC 7209 以太网 VPN (EVPN) 要求 。EVPN 实例的所有提供商边缘 (PE) 设备都必须配置 IRB。

EVPN-虚拟可扩展 LAN 协议 (VXLAN) 根据第 2 层 MAC 地址和第 3 层 IP 地址信息优化网络内的转发决策。转发(通过路由或交换)的决定应在架顶式 (ToR) 交换机的叶层做出。但是,QFX5100交换机(当前叶层的典型选择)仅提供子网内(第 2 层)功能;它们无法提供子网间(第 3 层)路由。因此,您必须在主干层实施端点(或终端主机)网关冗余。

MX 系列路由器通过其 IRB 接口为端点提供第 3 层默认网关功能,从而在虚拟机 (VM) 或裸机服务器 (BMS) 之间实现子网间转发。 图 1 显示了在网络主干层提供第 3 层网关功能的 MX 系列路由器示例。

图 1:第 3 层网关功能 Example of Layer 3 Gateway Functionality示例

为了提供默认网关功能,为每个 IRB 接口分配了两组地址:设备唯一的 IP/MAC 地址对,以及要在所有网关设备中使用的通用虚拟网关 IP 地址和虚拟 MAC 地址对。

配置 IRB 接口时,请将 IP 地址视为包含两个独立的部分:

  • 唯一部分(IRB 接口 IP 地址)

  • 任播部分(IRB 虚拟网关 IP 地址)

    注意:

    您可以将虚拟网关 IP 地址实质上视为一组冗余 MX 系列路由器使用的任播 IP 地址。可以具有相同虚拟网关 IP 地址的提供商边缘 (PE) 设备的最大数量为 64。

使用静态默认路由配置网络上的终端主机可最大程度地减少配置工作量和复杂性,并减少终端主机上的处理开销。但是,使用静态路由配置终端主机时,默认网关的故障通常会导致灾难性事件,从而隔离无法检测到到其网关的可用备用路径的所有主机。通过使用任播 IP 和 MAC 地址,您可以启用默认网关冗余功能,并确保终端主机具有持续的子网间可访问性。

虚拟网关 IP 地址由连接到桥接域的最终主机或虚拟机用作默认网关 IP 地址。您可以将每个终端主机或虚拟机配置为使用 MX 系列路由器的任播 IP 地址作为其默认网关。通过使用任播 IP 地址作为默认网关地址,当 VM 从网络中的一个位置移动到另一个位置时,移动的 VM 可以使用相同的默认网关,并且不必更新其默认网关 IP 地址进行 MAC 绑定。

注意:

对于由 MX 系列路由器网关发起的 ARP 请求和 ping,IRB 的唯一接口 IP 地址用作源 IP 地址。

MX 系列路由器作为虚拟网络之间已知子网间流量的默认网关

图 2 显示了虚拟网络之间的已知子网间流量。

图 2:虚拟网络 Known Intersubnet Traffic Between Virtual Networks之间的已知子网间流量

对于虚拟网络 1 中的终端主机 1 (10.10.0.0/24) 发往虚拟网络 2 (10.20.0.0/24) 中的最终主机 3 的虚拟网络之间的已知子网间流量,终端主机 1 首先将数据包发送到 QFX1 以封装数据。然后,QFX1 将 VXLAN 封装的数据包发送到 MX1 的表,其内部目标 MAC 地址设置为 MX1 的 IRB 接口,其内部目标 IP 地址 (DIP) 设置为终端主机 3。MX1 对数据包进行解封装时,会发现目标 MAC 地址是其自己的 IRB 接口的地址,并将要路由的数据包发送到 L3-VRF 路由表中。执行路由查找后,数据包将路由到虚拟网络 2,然后根据 ARP 路由条目,MX1 使用 VXLAN 信息重新封装数据包,并将其转发至 QFX3。QFX3 再次对数据包进行解封,并执行表查找,将数据包发送到终端主机 3 作为其最终目的地。

注意:

对于此示例,假设 图 2 中的 QFX 系列交换机都是QFX5100设备,即不提供第 3 层网关功能的第 2 层网关设备。

MX 系列路由器作为虚拟网络之间未知子网间流量的默认网关

对于从最终主机启动的虚拟网络之间的未知子网间流量,需要在 MX 系列路由器网关上执行额外的 ARP 请求和响应过程。当 MX 系列路由器网关收到数据包时,网关会发送针对目标终端主机 3 的 IP 地址和 MAC 地址绑定的 ARP 请求。解析终端站的目标 MAC 和 IP 绑定后,流量将遵循与前面已知的子网间转发过程相同的过程。

虚拟网关负载平衡和故障转移

EVPN 全主动多宿主通过将给定虚拟网络的所有 IRB 接口虚拟网关 MAC 和 IP 地址与相同的以太网分段 ID 相关联,提供网关冗余和负载平衡。每个 MX 系列网关路由器都通过 EVPN 类型 2 路由通告虚拟网关 MAC 和 IP 地址。此外,每个 MX 系列路由器还会播发 EVPN 类型 1 以太网分段自动发现 (A-D) 路由以通告以太网分段。有关类型 1 和类型 2 路由的详细信息,请参阅 RFC 7432,基于 BGP MPLS 的以太网 VPN

其他支持 EVPN 的设备将虚拟 MAC 地址视为 MX 系列路由器的多宿主地址。使用标准 EVPN 全活动进程,远程 EVPN PE 设备现在可以构建等价多路径 (ECMP) 下一跃点,以根据每个 MX 系列网关路由器通告的路由到达 IRB 的虚拟 MAC 地址或任播 IP 地址。发往 IRB 虚拟网关 MAC 的流量在所有 MX 系列路由器之间实现负载平衡。

如果其中一个 MX 系列网关出现节点故障,则通过撤出或清除故障 MX 系列网关通告的 IRB 虚拟网关 MAC 路由,通知所有远程 EVPN PE 设备。因此,所有远程 EVPN PE 设备都会更新其下一跃点以到达 IRB 的虚拟网关 MAC 地址或任播 IP 地址,以排除故障网关的路径。由于 IRB 的虚拟 MAC 和任播 IP 地址仍可通过更新的下一跃点访问,并且虚拟 MAC 地址与任播 IP 地址的绑定保持不变,因此不会对连接到远程 EVPN PE 设备的终端主机上的 ARP 条目进行任何更改。

相关文档