EVPN mit IRB – Lösungsübersicht
Ein Data Center Service Provider (DCSP) hostet das Datencenter für seine verschiedenen Kunden in einem gemeinsamen physischen Netzwerk. Für jeden Kunden (auch Mandant genannt) sieht der Service wie ein vollwertiges Datencenter aus, das sich auf 4094 VLANs und alle privaten Subnetze erweitern lässt. Für Notfallwiederherstellung, Hochverfügbarkeit und die Optimierung der Ressourcenauslastung ist es üblich, dass sich das DCSP über das gesamte Datencenter auf mehr als einen Standort erstreckt. Bei der Bereitstellung der Datencenter-Services steht ein DCSP vor den folgenden großen Herausforderungen:
Ausweitung von Layer 2-Domänen auf mehr als einen Datencenter-Standort. Dies erfordert eine optimale Weiterleitung des Datenverkehrs innerhalb des Subnetzes.
Unterstützung einer optimalen Weiterleitung des Datenverkehrs zwischen Subnetzen und eines optimalen Routings im Falle einer virtuellen Maschine (VM).
Unterstützung mehrerer Mandanten mit unabhängigem VLAN und Subnetzspeicher.
Ethernet VPN (EVPN) zielt darauf ab, alle oben genannten Herausforderungen zu bewältigen, wobei:
Die EVPN-Basisfunktionalität ermöglicht eine optimale Weiterleitung des Datenverkehrs innerhalb des Subnetzes
Die Implementierung der IRB-Lösung (Integrated Routing and Bridging) in einer EVPN-Bereitstellung ermöglicht eine optimale Weiterleitung des Datenverkehrs zwischen Subnetzen
Die Konfiguration von EVPN mit Unterstützung für virtuelle Switches ermöglicht mehrere Mandanten mit unabhängigem VLAN und Subnetzspeicher
In den folgenden Abschnitten wird die IRB-Lösung für EVPNs beschrieben:
Bedarf an einer EVPN-IRB-Lösung
EVPN ist eine Technologie, die zur Bereitstellung von Layer-2-Erweiterung und Verbindung über ein IP/MPLS-Core-Netzwerk zu verschiedenen physischen Standorten, die zu einer einzigen Layer-2-Domäne gehören, verwendet wird. In einer Datencenter-Umgebung mit EVPN ist sowohl eine Layer-2- (Datenverkehr innerhalb des Subnetzes) als auch eine Layer-3-Weiterleitung (Datenverkehr zwischen Subnetzen) und möglicherweise eine Interoperabilität mit Mandanten-Layer-3-VPNs erforderlich.
Mit nur einer Layer-2-Lösung gibt es keine optimale Weiterleitung des Datenverkehrs zwischen den Subnetzen, selbst wenn der Datenverkehr lokal ist, z. B. wenn sich beide Subnetze auf demselben Server befinden.
Mit nur einer Layer-3-Lösung können die folgenden Probleme für den Datenverkehr innerhalb des Subnetzes auftreten:
Aliasing-Problem von MAC-Adressen, bei dem doppelte MAC-Adressen nicht erkannt werden.
TTL-Problem für Anwendungen, die TTL 1 verwenden, um den Datenverkehr in einem Subnetz einzuschränken.
IPv6-Link-Local-Adressierung und Erkennung doppelter Adressen, die auf Layer-2-Konnektivität beruht.
Die Layer-3-Weiterleitung unterstützt die Weiterleitungssemantik eines Subnetz-Broadcasts nicht.
Unterstützung von Nicht-IP-Anwendungen, die eine Layer-2-Weiterleitung erfordern.
Aufgrund der oben genannten Unzulänglichkeiten einer reinen Layer-2- und Layer-3-Lösung besteht ein Bedarf an einer Lösung, die eine optimale Weiterleitung sowohl des Layer-2- als auch des Layer-3-Datenverkehrs in der Datencenter-Umgebung umfasst, wenn betriebliche Überlegungen wie Layer-3-VPN-Interoperabilität und Mobilität virtueller Maschinen (VM) angestellt sind.
Eine EVPN-basierte integrierte Routing- und Bridging-Lösung (IRB) bietet eine optimale Unicast- und Multicast-Weiterleitung sowohl für Intra-Subnetze als auch für Inter-Subnetze innerhalb von Datencentern und über Datencenter hinweg.
Die EVPN-IRB-Funktion ist nützlich für Service Provider, die in einem IP/MPLS-Netzwerk arbeiten, das sowohl Layer-2-VPN- oder VPLS-Services als auch Layer-3-VPN-Services bereitstellt, und die ihren Service erweitern möchten, um ihren bestehenden Kunden Cloud-Berechnungs- und Speicherservices bereitzustellen.
Implementierung der EVPN-IRB-Lösung
Eine EVPN-IRB-Lösung bietet Folgendes:
Optimale Weiterleitung für Datenverkehr innerhalb des Subnetzes (Layer 2).
Optimale Weiterleitung für den Datenverkehr zwischen Subnetzen (Layer 3).
Unterstützung für eingehende Replikation für Multicast-Datenverkehr.
Unterstützung sowohl für netzwerkbasierte als auch für hostbasierte Overlay-Modelle.
Unterstützung für konsistente richtlinienbasierte Weiterleitung für Layer-2- und Layer-3-Datenverkehr.
Unterstützung für die folgenden Routing-Protokolle auf der IRB-Schnittstelle:
BFD
BGP
IS-IS
OSPF und OSPF Version 3
Unterstützung für Single-Active- und All-Active-Multihoming
Junos OS unterstützt mehrere Modelle der EVPN-Konfiguration, um die individuellen Anforderungen von EVPN- und Cloud-Services-Kunden für Datencenter zu erfüllen. Um Flexibilität und Skalierbarkeit zu gewährleisten, können mehrere Bridge-Domänen innerhalb einer bestimmten EVPN-Instanz definiert werden. Ebenso können eine oder mehrere EVPN-Instanzen mit einem einzelnen virtuellen Layer-3-VPN-Routing und -Weiterleitung (VRF) verknüpft werden. Im Allgemeinen wird jedem Datencenter-Mandanten ein eindeutiges Layer-3-VPN-VRF zugewiesen, während ein Mandant eine oder mehrere EVPN-Instanzen und eine oder mehrere Bridge-Domänen pro EVPN-Instanz umfassen kann. Zur Unterstützung dieses Modells benötigt jede konfigurierte Bridge-Domäne (einschließlich der Standard-Bridge-Domäne für eine EVPN-Instanz) eine IRB-Schnittstelle, um die Layer-2- und Layer-3-Funktionen auszuführen. Jede Bridge-Domäne oder IRB-Schnittstelle wird einem eindeutigen IP-Subnetz im VRF zugeordnet.
Sie können eine IRB-Schnittstelle der Tabelle "inet.0" der primären Instanz anstelle eines VRF in einer EVPN-IRB-Lösung zuordnen.
Es gibt zwei Hauptfunktionen, die für IRB in EVPN unterstützt werden.
MAC-IP-Synchronisierung des Hosts
Dazu gehören:
Ankündigung der IP-Adresse zusammen mit der MAC-Ankündigungsroute im EVPN. Dies geschieht mithilfe des IP-Felds in der EVPN-MAC-Ankündigungsroute.
Der empfangende PE-Router installiert MAC in der EVPN-Instanztabelle (EVI) und installiert IP in der zugehörigen VRF.
Gateway MAC-IP-Synchronisierung
Dazu gehören:
Ankündigung aller lokalen IRB-, MAC- und IP-Adressen in einem EVPN. Dies wird erreicht, indem die erweiterte Community des Standard-Gateways in die EVPN-MAC-Ankündigungsroute einbezogen wird.
Die empfangende PE erstellt einen Weiterleitungsstatus, um Pakete weiterzuleiten, die für die MAC-Adresse des Gateways bestimmt sind, und für die IP-Adresse des Gateways wird ein Proxy-ARP mit der in der Route angekündigten MAC-Adresse erstellt.
Abbildung 1 veranschaulicht die Weiterleitung des Datenverkehrs zwischen zwei Provider-Edge-Geräten (PE1 und PE2) zwischen Subnetzen. Die IRB1- und IRB2-Schnittstellen der einzelnen PE-Geräte gehören zu einem anderen Subnetz, haben aber ein gemeinsames VRF.
Die Weiterleitung des Datenverkehrs zwischen den Subnetzen wird wie folgt durchgeführt:
PE2 wirbt mit der Bindung von H3-M3 und H4-M4 an PE1. In ähnlicher Weise wirbt PE1 mit der Bindung von H1-M1 und H2-M2 an PE2.
PE1 und PE2 installieren die MAC-Adresse in der entsprechenden EVI-MAC-Tabelle, während die IP-Routen im gemeinsam genutzten VRF installiert werden.
Das werbende PE-Gerät wird als nächster Hop für die IP-Routen festgelegt.
Wenn H1 Pakete an H4 sendet, werden die Pakete an IRB1 auf PE1 gesendet.
Die IP-Suche für H4 erfolgt im freigegebenen VRF auf PE1. Da der nächste Hop für die H4-IP PE2 (die Werbe-PE) ist, wird ein IP-Unicastpaket an PE2 gesendet.
PE1 schreibt den MAC-Header basierend auf den Informationen in der VRF-Route um, und PE2 führt eine MAC-Suche durch, um das Paket an H4 weiterzuleiten.
Vorteile der Implementierung der EVPN-IRB-Lösung
Das Hauptziel der EVPN-IRB-Lösung ist es, eine optimale Layer-2- und Layer-3-Weiterleitung bereitzustellen. Die Lösung ist erforderlich, um die Weiterleitung zwischen Subnetzen und die Mobilität virtueller Maschinen (VMs) effizient zu handhaben. VM-Mobilität bezieht sich auf die Fähigkeit einer VM, von einem Server auf einen anderen innerhalb desselben oder eines anderen Datencenters zu migrieren, wobei ihre vorhandene MAC- und IP-Adresse erhalten bleibt. Für die Bereitstellung einer optimalen Weiterleitung des Datenverkehrs zwischen Subnetzen und einer effektiven VM-Mobilität müssen zwei Probleme gelöst werden: das Standard-Gateway-Problem und das Problem des Dreiecks-Routing.
Ab Junos OS Version 17.1R1 werden IPv6-Adressen auf IRB-Schnittstellen mit EVPN unter Verwendung des Neighbor Discovery Protocol (NDP) unterstützt. Die folgenden Funktionen werden für die IPv6-Unterstützung mit EVPN eingeführt:
IPv6-Adressen auf IRB-Schnittstellen in primären Routing-Instanzen
IPv6-Nachbarschaft aus angeforderter NA-Nachricht lernen
NS- und NA-Pakete auf den IRB-Schnittstellen werden im Netzwerk-Core deaktiviert
Virtuelle Gateway-Adressen werden als Layer-3-Adressen verwendet
Host-MAC-IP-Synchronisierung für IPv6
Sie können die IPv6-Adressen in der IRB-Schnittstelle auf Hierarchieebene [edit interfaces irb] konfigurieren.
Gateway-MAC- und IP-Synchronisierung
In einer EVPN-IRB-Bereitstellung ist das IP-Standardgateway für eine VM die IP-Adresse, die auf der IRB-Schnittstelle des PE-Routers (Provider Edge) konfiguriert ist, die der Bridge-Domäne oder dem VLAN entspricht, in der bzw. dem die VM Mitglied ist. Das Standard-Gateway-Problem tritt auf, weil eine VM ihre ARP-Tabelle beim Verschieben von einem Server auf einen anderen nicht leert und weiterhin Pakete sendet, wobei die Ziel-MAC-Adresse auf die des ursprünglichen Gateways festgelegt ist. Wenn der alte und der neue Server nicht Teil derselben Layer 2-Domäne sind (die neue Layer 2-Domäne kann sich innerhalb des aktuellen Datencenters oder eines neuen Datencenters befinden), ist das zuvor identifizierte Gateway nicht mehr das optimale oder lokale Gateway. Das neue Gateway muss Pakete mit den MAC-Adressen anderer Gateways auf Remote-PE-Routern identifizieren und den Datenverkehr so weiterleiten, als wären die Pakete für das lokale Gateway selbst bestimmt. Diese Funktionalität erfordert zumindest, dass jeder PE-Router sein Gateway oder seine IRB-MAC- und IP-Adressen allen anderen PE-Routern im Netzwerk ankündigt. Der Adressaustausch des Gateways kann mithilfe der standardmäßigen MAC-Routenankündigungsnachricht (einschließlich des IP-Adressparameters) und dem Markieren dieser Route mit der erweiterten Community des Standardgateways erfolgen, sodass die Remote-PE-Router die MAC-Ankündigungsrouten des Gateways von normalen MAC-Ankündigungsrouten unterscheiden können.
Es ist erforderlich, dass Sie die no-gateway-community Option auf Hierarchieebene [edit routing-instances EVPN-instance-name protocols evpn default-gateway] in jeder EVPN-Routinginstanz konfigurieren, in der Sie eine IRB-Schnittstelle mit einer virtuellen Gateway-Adresse konfigurieren.
Auf Plattformen, die die Konfiguration der no-gateway-community Option auf globaler Ebene unterstützen, können Sie alternativ auf Hierarchieebene [edit protocols evpn default-gateway] konfigurierenno-gateway-community.
Weitere Informationen zur Verwendung der no-gateway-community Option finden Sie unter default-gateway.
Layer 3-VPN-Interworking
Der datencenterübergreifende Aspekt der EVPN-IRB-Lösung umfasst das Routing zwischen VMs, die in verschiedenen Datencentern vorhanden sind, oder das Routing zwischen einem Host-Standort völlig außerhalb der Datencenter-Umgebung und einer VM innerhalb eines Datencenters. Diese Lösung basiert auf der Fähigkeit von EVPN-MAC-Routenankündigungen, sowohl MAC-Adressen- als auch IP-Adressinformationen zu übertragen. Die lokale MAC-Lernfunktion des PE-Routers wurde erweitert, um auch IP-Adressinformationen zu erfassen, die mit lokal gelernten MAC-Adressen verknüpft sind. Diese IP-MAC-Adressen-Zuordnungsinformationen werden dann über normale EVPN-Verfahren an jeden PE-Router verteilt. Wenn ein PE-Router solche MAC- und IP-Informationen empfängt, installiert er die MAC-Route in der EVPN-Instanz sowie eine Hostroute für die zugehörige IP-Adresse in der Layer-3-VPN-VRF, die dieser EVPN-Instanz entspricht. Wenn eine VM von einem Datencenter in ein anderes verschoben wird, führen normale EVPN-Verfahren dazu, dass die MAC- und IP-Adresse von dem neuen PE-Router angekündigt werden, hinter dem sich die VM befindet. Die Hostroute, die im VRF installiert ist, das einem EVPN zugeordnet ist, fordert Layer-3-Datenverkehr, der für diese VM bestimmt ist, zum neuen PE-Router an und vermeidet Dreiecks-Routing zwischen der Quelle, dem ehemaligen PE-Router, hinter dem sich die VM befand, und dem neuen PE-Router.
Die BGP-Skalierbarkeit ist ein potenzielles Problem bei der Lösung zur Vermeidung von Dreiecks-Routing zwischen Datencentern, da viele Host-Routen in Layer-3-VPN eingeschleust werden können. Bei dem zuvor beschriebenen Verfahren gibt es im schlimmsten Fall eine IP-Hostroute für jede MAC-Adresse, die durch die lokalen EVPN-MAC-Lernverfahren oder durch eine MAC-Advertisement-Nachricht, die von einem entfernten PE-Router empfangen wird, erlernt wird. BGP-Routenzielfilterung kann verwendet werden, um die Verteilung solcher Routen einzuschränken.
Die folgenden Funktionselemente sind erforderlich, um die Vermeidung von Dreiecks-Routings zwischen Datencentern mithilfe von Layer-3-Internetz-Weiterleitungsverfahren zu implementieren:
Der Quellhost sendet ein IP-Paket unter Verwendung seiner eigenen Quell-MAC und IP-Adresse mit der Ziel-MAC der IRB-Schnittstelle des lokalen PE-Routers und der IP-Adresse des Zielhosts.
Wenn die IRB-Schnittstelle den Frame mit ihrer MAC als Ziel empfängt, führt sie eine Layer-3-Suche in der VRF durch, die der EVPN-Instanz zugeordnet ist, um zu bestimmen, wohin das Paket weitergeleitet werden soll.
Im VRF findet der PE-Router die Layer-3-Route, die von einer MAC-Adresse abgeleitet ist, sowie eine IP-EVPN-Route, die er zuvor vom Remote-PE-Router empfangen hat. Die Ziel-MAC-Adresse wird dann in die Ziel-MAC-Adresse geändert, die der Ziel-IP entspricht.
Das Paket wird dann an den Remote-PE-Router weitergeleitet, der den Zielhost über MPLS bedient, wobei die Bezeichnung verwendet wird, die der EVPN-Instanz entspricht, der der Zielhost angehört.
Der PE-Ausgangsrouter, der das Paket empfängt, führt eine Layer-2-Suche nach der MAC-Adresse des Zielhosts durch und sendet das Paket über die IRB-Schnittstelle des PE-Ausgangsrouters an den Zielhost im angeschlossenen Subnetz.
Da der PE-Eingangsrouter Layer-3-Routing ausführt, wird die IP-TTL dekrementiert.