Verwenden eines Standard-Layer-3-Gateways zum Weiterleiten des Datenverkehrs in einem EVPN-VXLAN-Overlay-Netzwerk
Physische Server (Bare-Metal) in einer Ethernet VPN-Virtual Extensible LAN (EVPN-VXLAN)-Umgebung verwenden ein standardmäßiges Layer-3-Gateway, um ihren Datenverkehr von einem virtuellen Netzwerk (VN) zu einem anderen physischen Server oder einer virtuellen Maschine (VM) in einem anderen VN zu routen. Sie können die Standard-Gateway-Funktionalität auf einem Gerät von Juniper Networks aktivieren, das als Layer 3 VXLAN-Gateway fungiert. Auf einem Layer 3 VXLAN Gateway können Sie eine integrierte Routing- und Bridging-Schnittstelle (IRB) mit einer virtuellen Gateway-Adresse (VGA) konfigurieren, die wiederum die IRB-Schnittstelle als Standard-Layer-3-Gateway konfiguriert. Sie können eine IRB-Schnittstelle mit VGA konfigurieren, wenn Sie EVPN-VXLAN in einem Datencenter und über die DCI-Lösung (Data Center Interconnect) hinweg verwenden.
Grundlegendes zum Standard-Gateway
Um die Standard-Gateway-Funktion zu aktivieren, konfigurieren Sie eine IRB-Schnittstelle mit einer eindeutigen IP-Adresse und einer MAC-Adresse (Media Access Control). Zusätzlich konfigurieren Sie die IRB-Schnittstelle mit einem VGA, bei dem es sich um eine Anycast-IP-Adresse handeln muss, und das Layer 3-VXLAN-Gateway generiert automatisch eine MAC-Adresse.
Wenn Sie eine IPv4-Adresse für VGA angeben, generiert das Layer 3-VXLAN-Gateway automatisch 00:00:5e:00:01:01 als MAC-Adresse. Wenn Sie eine IPv6-Adresse angeben, generiert das Layer 3-VXLAN-Gateway automatisch 00:00:5e:00:02:01 als MAC-Adresse.
Auf Geräten von Juniper Networks, die als Layer 3-VXLAN-Gateways fungieren, können Sie explizit eine IPv4- oder IPv6-MAC-Adresse für ein Standard-Gateway konfigurieren, indem Sie die virtual-gateway-v4-mac Konfigurationsanweisung or virtual-gateway-v6-mac auf der [edit interfaces irb unit logical-unit-number] Hierarchieebene verwenden. Bei dieser Konfiguration überschreibt das Gerät die automatisch generierte MAC-Adresse mit der konfigurierten MAC-Adresse.
Ein VGA und die zugehörige MAC-Adresse stellen die Standard-Gateway-Funktion in einem bestimmten VN bereit. Sie konfigurieren jeden Host (physischer Server oder VM) im VN für die Verwendung von VGA.
Wenn eine VM von einem EVPN Provider Edge (PE)-Gerät auf ein anderes im selben VN verschoben wird, kann durch die Verwendung einer Anycast-IP-Adresse als VGA dasselbe Standardgateway verwendet werden. Mit anderen Worten, Sie müssen die VM nicht mit einer neuen Standard-Gateway-IP-Adresse für die MAC-Bindung aktualisieren.
Layer-3-VXLAN-Gateways in einer EVPN-VXLAN-Topologie antworten auf ARP-Anfragen (Address Resolution Protocol) für den VGA und leiten Pakete weiter, die für die Standard-Gateway-MAC-Adresse bestimmt sind.
Wenn Sie Ihren IRB-Schnittstellen einen VGA zuweisen, empfehlen wir als Best Practice, auch eine virtuelle Gateway-MAC-Adresse (VMAC) zu konfigurieren. Sie sollten allen IRB-Schnittstellen, die Sie mit demselben VGA konfigurieren, denselben VMAC zuweisen. Das heißt, die VGA-Adresse, die als Standardgateway in einem bestimmten VN verwendet wird, hat auch auf allen IRB-Schnittstellen dieselbe VMAC-Adresse. Die VGA- und VMAC-Kombination muss in jedem VN eindeutig sein. Anders ausgedrückt weisen Sie in einem VLAN dieselben VGA- und VMAC-Konfigurationen zu, während Sie zwischen VNs eindeutige VGA/VMAC-Kombinationen konfigurieren müssen.
| Virtuelles Netzwerk: | IRB, VGA, | IRB, VMAC | ,Hinweis |
|---|---|---|---|
| VN 1 | 10.0.1.254/24 | 00:05:85:00:01:01 | Weisen Sie allen IRBs, die VN 1 bedienen, dieselben VGAs und VMAC zu. Diese Werte unterscheiden sich von denen, die dem IRB für VN 2 zugewiesen sind. |
| VN 2 | 10.0.2.254/24 | 00:05:85:00:02:02 | Weisen Sie allen IRBs, die VN 2 bedienen, dieselben VGAs und VMACs zu. Diese Werte unterscheiden sich von denen, die dem IRB für VN 1 zugeordnet sind |
Wenn Sie diese Empfehlung befolgen, werden asymmetrische Datenpfade für ARP-Anforderungen und -Antworten vermieden, wenn die IRB-Schnittstelle ARP-Nachrichten sendet, die für die MAC-Adresse eines Endziels bestimmt sind.
Auf Geräten von Juniper Networks, die als Layer-3-VXLAN-VXLAN-Gateways in einem zentral gerouteten EVPN-VXLAN-Bridging-Overlay (EVPN-VXLAN-Topologie mit einer zweischichtigen IP-Fabric) fungieren, empfehlen wir, dass die IP-Adresse der IRB-Schnittstelle für die verschiedenen Layer-3-VXLAN-Gateways für ein bestimmtes virtuelles Netzwerk eindeutig ist und Sie eine virtuelle Gateway-MAC-Adresse für den IRB konfigurieren. Wenn Sie diese Empfehlung befolgen, wird ein asymmetrischer Datenpfad für die ARP-Anforderung und -Antwort vermieden, wenn die IRB-Schnittstelle ARP-Nachrichten sendet, die für die MAC-Adresse eines Endziels bestimmt sind. Wenn Sie eine virtuelle Gateway-MAC-Adresse für die IRB-Schnittstelle konfigurieren, empfehlen wir, eine eindeutige MAC-Adresse für die verschiedenen Layer 3-VXLAN-Gateways und in einem bestimmten Layer 3-VXLAN-Gateway dieselbe MAC-Adresse für verschiedene IRB-Einheiten zu verwenden.
Für IRB-Schnittstellen, die auf QFX10000-Switches in einem EVPN-VXLAN-Edge-Routing-Bridging-Overlay (EVPN-VXLAN-Topologie mit einer zweischichtigen IP-Fabric) konfiguriert sind, können Sie alternativ jede IRB-Schnittstelle auf jedem Layer-3-VXLAN-Gateway in einem VN mit demselben MAC-Adresse konfigurieren. Weitere Informationen finden Sie unter Beispiel: Konfigurieren einer EVPN-VXLAN-Edge-Routing-Bridging-Fabric mit einem Anycast-Gateway.
Die automatische ESI-Generierung ist auf Geräten in EVPN-VXLAN-Netzwerken mit EVPN-Multihoming für virtuelle Gateway-Redundanz standardmäßig aktiviert (siehe Grundlegendes zum redundanten Standard-Gateway). Es wird empfohlen, die automatische ESI-Generierung für EVPN-Netzwerke mit Edge-Routing-Bridging-Overlays zu deaktivieren. Um die automatische ESI-Generierung zu deaktivieren, fügen Sie die no-auto-virtual-gateway-esi Anweisung auf der [edit interfaces irb unit logical-unit-number] Hierarchieebene ein.
Ab Junos OS Version 22.1R1 aktivieren MX960-, MX2020- und MX10008-Router standardmäßig auch die automatische ESI-Generierung für EVPN-Layer-3-Gateway-IRB-Schnittstellen-ESIs. Die no-auto-virtual-gateway-esi Anweisung wird jedoch nicht in EVPN-MPLS-Netzwerken unterstützt. Daher werden in diesem Fall immer automatisch generierte ESIs für IRB-Schnittstellen angezeigt.
Um Fehler bei einer IRB-Schnittstelle zu beheben, können Sie die IP-Adresse der Schnittstelle pingen.
Zur Fehlerbehebung bei einem Standard-Gateway an einem Router der MX-Serie können Sie den VGA des Standard-Gateways von einem CE-Gerät aus anpingen. Um das Pingen des VGA zu unterstützen, fügen Sie die virtual-gateway-accept-data Anweisung in der [edit interfaces irb unit] Hierarchie des bevorzugten virtuellen Gateways ein.
Zusätzlich können Sie die IP-Adresse des CE-Geräts vom PE-Gerät (Router der MX-Serie) aus per Ping abrufen. Um das Pingen der IP-Adresse des CE-Geräts zu unterstützen, fügen Sie die bevorzugte Anweisung in [edit interfaces irb unit logical-unit-number family (inet |inet6} address ip-address] der Hierarchie unter Verwendung der eindeutigen IRB-IP-Adresse ein. Andernfalls müssen Sie die eindeutige IRB-IP-Adresse manuell als Quell-IP-Adresse angeben, wenn Sie das CE-Gerät pingen.
Für jede IRB-Schnittstelle, für die ein VGA konfiguriert ist, gibt es zwei Sätze von IP- und MAC-Adressen: einen Satz für die IRB-Schnittstelle selbst und einen Satz für das Standard-Gateway. Infolgedessen kündigt das Gerät MAC-Routen sowohl für die IRB-Schnittstelle als auch für das Standard-Gateway an. Der MAC-Routenankündigung für das Standard-Gateway ist jedoch kein erweitertes Standard-Gateway-Community-Attribut zugeordnet, da alle Layer 3-VXLAN-Gateways dieselbe Anycast-IP-Adresse und MAC-Bindung haben.
- Verstehen, wie ein Standardgateway bekannten Unicast-Datenverkehr zwischen virtuellen Netzwerken handhabt
- Verstehen, wie ein Standardgateway unbekannten Unicastdatenverkehr zwischen virtuellen Netzwerken handhabt
Verstehen, wie ein Standardgateway bekannten Unicast-Datenverkehr zwischen virtuellen Netzwerken handhabt
Im zentral gerouteten Bridging-Overlay in Abbildung 1 fungieren MX-Serie-Router als Layer-3-VXLAN-Gateways und QFX5200-Switches als Layer-2-VXLAN-Gateways. Die Endhosts 1 bis 4 sind physische Server, die miteinander kommunizieren müssen.
In dieser Topologie tauschen Endhost 1 in VN1 (10.10.0.0/24) und Endhost 3 in VN 2 (10.20.0.0/24) bekannte Unicastpakete aus. Vor dem Paketaustausch zwischen den beiden Endhosts wird davon ausgegangen, dass die Hosts ARP-Anforderungen an MX1 gesendet haben, bei dem es sich um ein Layer 3-VXLAN-Gateway handelt, und dass MX1 mit der MAC-Adresse eines Standard-Gateways in VN1 geantwortet hat.
Beispiel: Endhost 1 erstellt ein Paket und sendet es an QFX1, ein Layer-2-VXLAN-Gateway. QFX1 verkapselt das Paket mit einem VXLAN-Header und sendet es an MX1. Für die innere MAC-Adresse des Ziels enthält das Paket die MAC-Adresse eines Standardgateways in VN1. Für die innere Ziel-IP enthält das Paket die IP-Adresse von Endhost 3. Nach Erhalt des Pakets entkapselt MX1 es und führt nach Erkennung der MAC-Adresse des Standard-Gateways im inneren MAC-Feld des Ziels eine Routensuche nach der IP-Adresse von Endhost 3 in der L3-VRF-Routing-Tabelle für VN1 durch. Nachdem eine Route gefunden wurde, wird das Paket an VN2 weitergeleitet. Basierend auf dem ARP-Routeneintrag wird das Paket mit einem VXLAN-Header verkapselt und an QFX3 gesendet. QFX3 entkapselt das Paket und sendet es an Endhost 3.
Der Datenverkehrsfluss und die Verarbeitung von bekanntem Unicastdatenverkehr in einem Edge-Routing-Bridging-Overlay sind im Wesentlichen die gleichen wie in diesem Abschnitt beschrieben. Der einzige Unterschied besteht darin, dass im Edge-Routing-Bridging-Overlay ein Switch der QFX-Serie, der Layer-3-VXLAN-Gateway-Funktionalität unterstützt, sowohl als Layer-2- als auch als Layer-3-VXLAN-Gateways fungiert.
Verstehen, wie ein Standardgateway unbekannten Unicastdatenverkehr zwischen virtuellen Netzwerken handhabt
Die Informationen in diesem Abschnitt gelten für den Datenverkehrsfluss und die Verarbeitung unbekannter Unicastpakete sowohl in zentral gerouteten als auch in Edge-Routing-Bridging-Overlays.
Für unbekannten Unicastdatenverkehr zwischen VNs, der von einem physischen Server initiiert wird, ist in jeder Phase ein zusätzlicher ARP-Anforderungs- und Antwortprozess erforderlich. Nachdem die MAC-Adressen des Zielgateways und des Standardhosts aufgelöst wurden, fließt der Datenverkehr auf die gleiche Weise wie unter Grundlegendes zur Verarbeitung bekannter Unicastdatenverkehr zwischen virtuellen Netzwerken durch ein Standardgateway beschrieben.
Grundlegendes zum redundanten Standard-Gateway
Die Geräte von Juniper Networks, die als Layer 3-VXLAN-Gateways fungieren, können auch redundante Standard-Gateway-Funktionen bereitstellen. Ein redundantes Standardgateway verhindert den Verlust der Kommunikation zwischen physischen Servern in einem VN und physischen Servern oder VMs in einem anderen VN.
Die redundante Standard-Gateway-Funktionalität wird typischerweise in einer EVPN-VXLAN-Topologie erreicht, bei der ein Provider-Edge (PE)-Gerät wie ein Layer-2-VXLAN-Gateway oder ein Contrail vRouter im Aktiv-Aktiv-Modus mit mehreren Layer-3-VXLAN-Gateways multinetworked ist. Auf den Layer 3-VXLAN-Gateways sind IRB-Schnittstellen als Standard-Gateways konfiguriert. Beachten Sie, dass jedes Standard-Gateway dieselbe VGA- und MAC-Adresse verwendet. Darüber hinaus werden die VGAs und MAC-Adressen derselben Ethernet-Segment-ID (ESI) zugeordnet.
Die ESI, die dem VGA und der MAC-Adresse des Standard-Gateways zugeordnet ist, wird automatisch von einem autonomen System (AS) und dem VXLAN Network Identifier (VNI) für den VN abgeleitet. Infolgedessen haben die MAC-Routen des Standard-Gateways, die von jedem Layer 3-VXLAN-Gateway für einen bestimmten VN angekündigt werden, dieselbe ESI.
Aus der Perspektive eines Layer 2-VXLAN-Gateways oder eines Contrail vRouters, der mit den Layer 3-VXLAN-Gateways mehrfach vernetzt ist, sind die Adressen jedes Standard-Gateways, das auf jedem Layer 3-VXLAN-Gateway konfiguriert ist, identisch. Infolgedessen erstellen die PE-Geräte einen ECMP (Equal-Cost Multipath), um jedes Standardgateway zu erreichen. Datenverkehr, der von einem Host stammt und für die MAC-Adresse eines Standard-Gateways bestimmt ist, erhält einen Lastenausgleich.
Wenn eines der Layer-3-VXLAN-Gateways ausfällt, werden die Remote-PE-Geräte benachrichtigt, wenn der nächste Hop an die Standard-Gateway-MAC-Adresse zurückgezogen oder gelöscht wird. Der Pfad zum ausgefallenen Layer 3-VXLAN-Gateway wird aus der Next-Hop-Datenbank entfernt. Trotz der Entfernung des Pfads ist das Standard-Gateway, das auf dem verbleibenden Layer-3-VXLAN-Gateway konfiguriert ist, weiterhin erreichbar, und die ARP-Einträge für die Hosts bleiben unverändert.
Grundlegendes zur dynamischen ARP-Verarbeitung
Wenn ein physischer Server die MAC-Adresse seines Standard-Gateways ermitteln muss, initiiert der physische Server eine ARP-Anforderung, die den VGA des Standard-Gateways enthält. In einem zentral gerouteten Bridging-Overlay empfängt ein Layer-2-VXLAN-Gateway in der Regel die ARP-Anforderung, kapselt die Anfrage in einen VXLAN-Header und leitet das eingekapselte Paket an ein Layer-3-VXLAN-Gateway weiter. In einem Edge-Routing-Bridging-Overlay empfängt ein Layer 2- und 3-VXLAN-Gateway in der Regel die ARP-Anfrage vom direkt verbundenen physischen Server.
Nach Erhalt der ARP-Anforderung entkapselt das Layer 3-VXLAN-Gateway das Paket bei Bedarf, lernt die IP- und MAC-Bindung des physischen Servers und erstellt einen ARP-Eintrag in seiner Datenbank. Das Layer-3-VXLAN-Gateway antwortet dann mit der MAC-Adresse des Standard-Gateways.
In einem zentral gerouteten Bridging-Overlay wird die ARP-Antwort mit einem VXLAN-Header gekapselt und per Unicast zurück zum Layer-2-VXLAN-Gateway gesendet. Das Layer-2-VXLAN-Gateway entkapselt die ARP-Antwort und leitet das Paket an den physischen Server weiter.
Bei einem Edge-Routing-Bridging-Overlay wird die ARP-Antwort per Unicast zurück an den direkt verbundenen physischen Server gesendet.
In einer Situation, in der ein physischer Server in VN1 ein Paket erstellt, das für einen physischen Server in VN2 bestimmt ist, durchsucht das Layer 3-VXLAN-Gateway seine Datenbank nach einem ARP-Eintrag für den physischen Zielserver. Wenn keine Übereinstimmung gefunden wird, initiiert das Layer 3-VXLAN-Gateway eine ARP-Anforderung, die die IP- und MAC-Adressen der IRB-Schnittstelle enthält, die VN2 zugeordnet ist, und sendet die Anforderung an den physischen Zielserver. Der physische Zielserver lernt die IP/MAC-Bindung der IRB-Schnittstelle und fügt den ARP-Eintrag in seiner Datenbank hinzu oder aktualisiert ihn entsprechend. Der physische Server sendet dann eine ARP-Antwort, die die MAC-Adresse der IRB-Schnittstelle enthält, per Unicast zurück an das Layer-3-VXLAN-Gateway.