Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Gateway-Funktionalität und Datenverkehr im virtuellen Netzwerk – Technischer Überblick

Die Funktionalität von Layer 3-Gateways hat sich im Laufe der Zeit weiterentwickelt und weist einige Unterschiede bei den unterstützten Funktionen und Betriebsabläufen auf. Es gibt zwei Methoden zur Konfiguration der Layer-3-Gateway-Funktionalität auf einem Junos OS-Gerät:

  • Konfigurieren Sie IRB-Schnittstellen (Integrated Routing and Bridging) direkt und kündigen Sie diese als Gateway-Adressen an.

  • Konfigurieren Sie eine IRB-Schnittstelle und eine virtuelle Gateway-Adresse (die als Standard-IPv4- oder IPv6-Adresse für das Gateway verwendet wird), um die redundante Gatewayfunktion der IRB-Schnittstelle zu unterstützen.

Die folgenden Funktionen werden für den Datenverkehr zwischen virtuellen Netzwerken unterstützt:

Layer 3-Standard-Gateway-Funktionalität

Es gibt zwei Konfigurationsmethoden, denn zu Beginn der Konzeption von Ethernet VPN (EVPN) und Layer 3-Gateway-Funktionalität mussten die Anforderungen an Ethernet-VPN (EVPN) gemäß RFC 7209 eingehalten werden. Für alle Provider-Edge-Geräte (PE) für eine EVPN-Instanz muss ein IRB konfiguriert sein.

EVPN-Virtual Extensible LAN Protocol (VXLAN) optimiert Weiterleitungsentscheidungen innerhalb des Netzwerks basierend auf der Layer-2-MAC-Adresse sowie den Layer-3-IP-Adressinformationen. Die Entscheidung über die Weiterleitung (durch Routing oder Switching) sollte auf der Leaf-Ebene des Top-of-Rack (ToR)-Switches getroffen werden. QFX5100-Switches (die derzeit übliche Wahl für den Leaf-Layer) bieten jedoch nur Intra-Subnet-Funktionen (Layer 2). Sie können kein Intersubnetz-Routing (Layer 3) bereitstellen. Daher müssen Sie die Redundanz des Endgeräte-Gateways (oder Endhosts) auf der Spine-Ebene implementieren.

Router der MX-Serie bieten über ihre IRB-Schnittstelle Layer-3-Standard-Gateway-Funktionalität für Endgeräte und ermöglichen so die Weiterleitung zwischen virtuellen Maschinen (VMs) oder Bare-Metal-Servern (BMS). Abbildung 1 zeigt ein Beispiel für einen Router der MX-Serie, der Layer-3-Gateway-Funktionalität auf der Spine-Ebene des Netzwerks bereitstellt.

Abbildung 1: Beispiel für die Funktionalität Example of Layer 3 Gateway Functionality eines Layer-3-Gateways

Um die Standard-Gateway-Funktion bereitzustellen, werden jeder IRB-Schnittstelle zwei Adresssätze zugewiesen: ein IP/MAC-Adressenpaar, das für das Gerät eindeutig ist, und ein gemeinsames virtuelles Gateway-IP-Adressen- und virtuelles MAC-Adresse-Paar, das auf allen Gateway-Geräten verwendet werden soll.

Stellen Sie sich beim Konfigurieren der IRB-Schnittstelle die IP-Adresse als zwei separate Teile vor:

  • Ein eindeutiges Bauteil (IRB-Schnittstelle, IP-Adresse)

  • Ein Anycast-Teil (IP-Adresse des virtuellen IRB-Gateways)

    Anmerkung:

    Sie können sich die IP-Adresse des virtuellen Gateways im Wesentlichen als die Anycast-IP-Adresse vorstellen, die von einer Gruppe redundanter Router der MX-Serie verwendet wird. Die maximale Anzahl von PE-Geräten (Provider Edge), die dieselbe IP-Adresse des virtuellen Gateways haben können, beträgt 64.

Die Konfiguration von Endhosts in Ihrem Netzwerk mit statischen Standardrouten minimiert den Konfigurationsaufwand und die Komplexität und reduziert den Verarbeitungsaufwand auf den Endhosts. Wenn Sie jedoch Endhosts mit statischen Routen konfigurieren, führt der Ausfall des Standard-Gateways normalerweise zu einem katastrophalen Ereignis, bei dem alle Hosts isoliert werden, die keine verfügbaren alternativen Pfade zu ihrem Gateway erkennen können. Durch die Verwendung der Anycast-IP- und MAC-Adressen aktivieren Sie die standardmäßige Gateway-Redundanzfunktion und stellen sicher, dass Endhosts über eine kontinuierliche intersubnetübergreifende Erreichbarkeit verfügen.

Die IP-Adresse des virtuellen Gateways wird entweder vom Endhost oder vom virtuellen Computer, der an die Bridge-Domäne angefügt ist, als Standard-Gateway-IP-Adresse verwendet. Sie konfigurieren jeden Endhost oder jede VM so, dass die Anycast-IP-Adresse des Routers der MX-Serie als Standard-Gateway verwendet wird. Durch die Verwendung der Anycast-IP-Adresse als Standard-Gatewayadresse kann eine VM, wenn sie von einem Ort im Netzwerk zu einem anderen verschoben wird, dasselbe Standardgateway verwenden und muss ihre Standard-Gateway-IP-Adresse nicht für die MAC-Bindung aktualisieren.

Anmerkung:

Für ARP-Anforderungen und -Pings, die vom Router-Gateway der MX-Serie initiiert werden, wird die eindeutige Schnittstellen-IP-Adresse des IRB als Quell-IP-Adresse verwendet.

Router der MX-Serie als Standard-Gateway für bekannten Datenverkehr zwischen virtuellen Netzwerken

Abbildung 2 zeigt den bekannten Datenverkehr zwischen virtuellen Netzwerken zwischen Subnetzen.

Abbildung 2: Bekannter Datenverkehr zwischen Subnetzen zwischen virtuellen Netzwerken Known Intersubnet Traffic Between Virtual Networks

Für bekannten Subnetz-Datenverkehr zwischen virtuellen Netzwerken, der von Endhost 1 im virtuellen Netzwerk 1 (10.10.0.0/24) stammt und für Endhost 3 im virtuellen Netzwerk 2 (10.20.0.0/24) bestimmt ist, sendet Endhost 1 zunächst das Paket an QFX1, um die Daten einzukapseln. QFX1 sendet dann das VXLAN-gekapselte Paket an die Tabelle von MX1, wobei die innere Ziel-MAC-Adresse auf die IRB-Schnittstelle der MX1 und die innere Ziel-IP-Adresse (DIP) auf Endhost 3 eingestellt ist. Wenn MX1 das Paket entkapselt, erkennt es, dass die MAC-Adresse des Ziels die seiner eigenen IRB-Schnittstelle ist, und sendet das Paket, das in der Routing-Tabelle L3-VRF geroutet werden soll. Nach der Routensuche wird das Paket an das virtuelle Netzwerk 2 weitergeleitet. Basierend auf dem ARP-Routeneintrag kapselt MX1 das Paket erneut in VXLAN-Informationen ein und leitet es an QFX3 weiter. QFX3 entkapselt das Paket erneut und führt eine Tabellensuche durch, um das Paket an Endhost 3 als endgültiges Ziel zu senden.

Anmerkung:

Für dieses Beispiel wird davon ausgegangen, dass es sich bei den QFX-Serie-Switches in Abbildung 2 um QFX5100-Geräte handelt, d. h. um Layer-2-Gateway-Geräte, die keine Layer-3-Gateway-Funktionalität bereitstellen.

Router der MX-Serie als Standard-Gateway für unbekannten Datenverkehr zwischen virtuellen Netzwerken

Für unbekannten Datenverkehr zwischen virtuellen Netzwerken, der vom Endhost initiiert wird, ist ein zusätzlicher ARP-Anforderungs- und Antwortprozess am Router-Gateway der MX-Serie erforderlich. Wenn das Paket am Router-Gateway der MX-Serie empfangen wird, sendet das Gateway eine ARP-Anforderung für die IP-Adresse des Ziel-Endhosts 3 und die MAC-Adresse-Bindung. Nachdem die MAC- und IP-Bindung des Ziels für die Endstation aufgelöst wurde, folgen die Datenverkehrsflüsse dem gleichen Verfahren, das zuvor für den bekannten Weiterleitungsprozess zwischen Subnetzen beschrieben wurde.

Load Balancing und Failover des virtuellen Gateways

EVPN All-Active Multihoming bietet Gateway-Redundanz und Load Balancing, indem alle MAC- und IP-Adressen des virtuellen Gateways der IRB-Schnittstelle für ein bestimmtes virtuelles Netzwerk derselben Ethernet-Segment-ID zugeordnet werden. Jeder Gateway-Router der MX-Serie kündigt die MAC- und IP-Adressen des virtuellen Gateways über die EVPN-Route Typ 2 an. Darüber hinaus kündigt jeder Router der MX-Serie auch eine EVPN-Typ-1-Ethernet-Segment-Auto-Discovery-Route (A-D) an, um das Ethernet-Segment anzukündigen. Weitere Hinweise zu Routen der Typen 1 und 2 finden Sie unter RFC 7432, BGP MPLS-basiertes Ethernet-VPN.

Andere EVPN-fähige Geräte betrachten die virtuelle MAC-Adresse als multinetworked für die Router der MX-Serie. Mithilfe des standardmäßigen EVPN-All-Active-Prozesses kann ein Remote-EVPN PE-Gerät jetzt einen ECMP-Next-Hop (Equal-Cost Multipath) erstellen, um die virtuelle MAC-Adresse des IRB oder die Anycast-IP-Adresse basierend auf der von jedem Gateway-Router der MX-Serie angekündigten Route zu erreichen. Für den Datenverkehr, der für die MAC-Adresse des virtuellen IRB-Gateways bestimmt ist, wird ein Lastenausgleich über alle Router der MX-Serie hinweg durchgeführt.

Wenn eines der Gateways der MX-Serie einen Knotenausfall aufweist, werden alle Remote-EVPN PE-Geräte durch das Zurückziehen oder Löschen der MAC-Route des virtuellen Gateways des IRB benachrichtigt, die vom ausgefallenen Gateway der MX-Serie angekündigt wurde. Infolgedessen aktualisieren alle Remote-EVPN PE-Geräte ihre nächsten Hops, um die MAC-Adresse des virtuellen Gateways des IRB oder die Anycast-IP-Adresse zu erreichen und den Pfad zum ausgefallenen Gateway auszuschließen. Da die virtuelle MAC- und Anycast-IP-Adresse des IRB weiterhin über den aktualisierten nächsten Hop erreichbar ist und die Bindung der virtuellen MAC-Adresse an die Anycast-IP-Adresse gleich bleibt, werden keine Änderungen an den ARP-Einträgen auf den Endhosts vorgenommen, die mit den Remote-EVPN PE-Geräten verbunden sind.

Zugehörige Dokumentation