Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Descripción de EVPN con encapsulación del plano de datos VXLAN

 

Las VPN Ethernet (EVPN) permiten conectar grupos de sitios de clientes dispersos mediante puentes virtuales de capa 2, mientras que las LAN extensibles (VXLAN) permiten expandir la conectividad de capa 2 a través de una red de capa 3 intermedia, a la vez que proporciona segmentación de red como una VLAN, pero sin la limitación de escalabilidad de las redes VLAN tradicionales. EVPN con encapsulación VXLAN controla la conectividad de la capa 2 en la escala que requieren los proveedores de servidores en la nube y sustituye los protocolos de limitación como Protocolo de árbol de expansión (STP), lo cual libera la red de capa 3 para usar protocolos de enrutamiento más sólidos. EVPN con encapsulación de plano de datos VXLAN se puede utilizar con y sin el software de virtualización Juniper Networks Contrail—utilice Contrail con encapsulación EVPN de plano de datos VXLAN cuando tenga un entorno que incluya dispositivos tanto virtuales como sin sistema operativo.

Descripción de EVPN

Ethernet VPN (EVPN) es una tecnología basada en estándares que proporciona conectividad multipunto con puente virtual entre distintos dominios de capa 2 a través de una red troncal IP o IP/MPLS. Al igual que otras tecnologías VPN, como IP VPN y el servicio de LAN privada virtual (VPLS), las instancias de EVPN se configuran en enrutadores perimetrales de proveedor (PE) para mantener la separación de los servicios lógicos entre los clientes. Los enrutadores de PE se conectan a los dispositivos de borde de la red del cliente (CE), los cuales pueden ser enrutadores, conmutadores o hosts. Luego, los enrutadores PE intercambian información de accesibilidad mediante multiprotocolo BGP (MP-BGP) y el tráfico encapsulado se reenvia entre enrutadores de PE. Dado que los elementos de la arquitectura son comunes a otras tecnologías VPN, puede introducir e integrar EVPN sin problemas en entornos de servicio existentes, tal y como se muestra en Figure 1.

Figure 1: Descripción general de EVPN
Descripción general de EVPN

El EVPN se utiliza como una solución de superposición de capa 2 para proporcionar una conexión de capa 2 a través de una base IP para los puntos de conexión dentro de una red virtual, siempre que la conectividad de capa 2 sea necesaria para una estación terminal, como un servidor sin sistema operativo (BMS). De lo contrario, se utiliza el enrutamiento de capa 3 a través de las tablas VRF entre enrutadores Contrail vRouters y serie MX. La tecnología EVPN ofrece servicios multitenencia flexibles que se pueden ampliar a pedido, utilizando con frecuencia recursos de computación de diferentes centros de datos físicos para un solo servicio (extensión de capa 2).

El plano de control MP-BGP de ’EVPN le permite mover máquinas virtuales en vivo de manera dinámica desde un centro de datos a otro, lo que también se conoce como movimiento de máquina virtual (VM). Después de mover una máquina virtual a un servidor o hipervisor de destino, transmite un ARP gratuito que actualiza la tabla de reenvío de capa 2 del dispositivo PE en el centro de datos de destino. Entonces, el dispositivo PE transmite una actualización de ruta de MAC a todos los dispositivos de PE remotos, los cuales, a su vez, actualizan sus tablas de reenvío. 1896Un EVPN realiza un seguimiento del movimiento de la VM, lo cual también se conoce como movilidad de MAC.

EVPN también tiene mecanismos que detectan y detienen la oscilación de MAC, e impiden el bucle de tráfico de difusión, unidifusión desconocida y multidifusión (BUM) en una topología multiconexión totalmente activa.

La tecnología EVPN, similar a VPN MPLS de capa 3, incluye el concepto de enrutar direcciones MAC mediante núcleo IP/MPLS. EVPN ofrece las siguientes ventajas:

  • Capacidad de disponer de un dispositivo perimetral multiconexión activo

  • Uso de alias

  • Convergencia rápida

  • Equilibrio de carga entre vínculos duales activos

  • Movilidad de dirección MAC

  • Multitenencia

Además, EVPN utiliza las siguientes técnicas:

  • La multiconexión proporciona redundancia en caso de que falle un enlace de acceso o uno de los dispositivos de enrutamiento de PE. En cualquier caso, el tráfico fluye desde el dispositivo CE hacia el enrutador de PE utilizando los vínculos activos restantes. Para el tráfico en la otra dirección, el enrutador de PE remoto actualiza su tabla de reenvío para enviar tráfico al resto de los enrutadores PE activos conectados al segmento de Ethernet multiconexión. EVPN proporciona un mecanismo de convergencia rápida, lo cual reduce el tiempo de restauración de tráfico, de forma tal que el tiempo que se tarda en realizar este ajuste es independiente de la cantidad de direcciones MAC aprendidas por el enrutador de PE. La multiconexión completamente activa permite que un dispositivo CE se conecte a dos o más enrutadores PE, de modo que el tráfico se reenvíe a través de todos los vínculos entre los dispositivos. Esta multiconexión permite al dispositivo CE equilibrar la carga de tráfico de varios enrutadores PE. Lo que es más importante, permite a un enrutador de PE remoto equilibrar la carga del tráfico a los enrutadores de PE de multiconexión en toda la red principal. Este equilibrio de carga de los flujos de tráfico entre centros de datos se conoce como uso de alias, lo cual permite que distintas señales se vuelvan indistinguibles—se convierten en alias entre sí. Los alias se utilizan con audio digital e imágenes digitales.

  • El horizonte dividido evita el bucle de tráfico de difusión, monodifusión desconocida y multidifusión (BUM) en una red. El principio básico del horizonte dividido es sencillo: La información acerca de la ruta de un paquete determinado nunca se devuelve en la dirección desde la que se recibió.

  • La diferencia de vínculo local conserva el ancho de banda mediante vínculos locales para reenviar tráfico de unidifusión que sale de un Virtual Chassis o Virtual Chassis-Fabric (VCF) que tiene un conjunto de grupo de agregación de vínculos (LAG) compuesto por vínculos de miembro de distintos conmutadores miembro en el mismo Virtual Chassis o VCF. Un vínculo local es un vínculo de miembro en el grupo de LAG que se encuentra en el conmutador miembro que recibió el tráfico.

  • EVPN con encapsulación VXLAN se utiliza para la conectividad de capa 2 entre máquinas virtuales y un conmutador en la parte superior del rack (TOR); por ejemplo, un conmutador QFX5100, dentro de un dominio de capa 2.

Puede usar Contrail para aprovisionar un enrutador serie MX como puerta de enlace VXLAN de capa 2 o capa 3 . Los enrutadores de la serie MX implementan el protocolo de administración XML NETCONF, el cual es un protocolo basado en XML que utilizan las aplicaciones cliente para solicitar y cambiar la información de configuración en el enrutamiento, la conmutación y los dispositivos de seguridad. El protocolo de administración XML NETCONF utiliza una codificación de datos basada en XML para los datos de configuración y las llamadas remotas de procedimiento. El protocolo NETCONF define operaciones básicas que son equivalentes a los comandos de modo de configuración de la interfaz de línea de comandos (CLI). Las aplicaciones utilizan las operaciones del protocolo para mostrar, editar y confirmar las instrucciones de configuración de manera similar a cómo los administradores utilizan los comandos del modo de configuración de CLI para llevar a cabo esas mismas operaciones.

Descripción de VXLAN

Las LAN virtuales extensibles (VXLANs) presentaron un esquema superpuesto que expande el espacio de direcciones de red de capa 2 de 4000 a 16 millones, resolviendo en gran medida los problemas de escalamiento observados en entornos basados en VLAN.

Las superposiciones de red se crean mediante la encapsulación del tráfico y el tunelización del tráfico a través de una red física. Puede utilizar varios protocolos de túnel en el centro de datos para crear superposiciones de red—el protocolo más común es VXLAN. El protocolo de túnel VXLAN encapsula las tramas Ethernet de capa 2 en paquetes UDP de capa 3. Esta encapsulación le permite crear subredes o segmentos virtuales de capa 2 que pueden abarcar redes físicas de capa 3.

En una red superpuesta VXLAN, el identificador de red VXLAN (VNI) identifica de forma exclusiva cada subred o segmento de capa 2. Un VNI segmenta el tráfico de la misma manera que un ID de VLAN IEEE 802.1Q segmenta el tráfico. Como en el caso de VLAN, las máquinas virtuales en el mismo VNI se pueden comunicar directamente entre si, mientras que las máquinas virtuales en VNI diferentes necesitan un enrutador para comunicarse entre sí.

La entidad que realiza la encapsulación y la desencapsulación se denomina terminal de túnel VXLAN (VTEP). En la red física, un dispositivo Juniper Networks que funcione como puerta de enlace VXLAN de capa 2 o capa 3 puede enacapsulate y desencapsular paquetes de datos. Este tipo de VTEP se conoce como VTEP de hardware. En la red virtual, los VTEP pueden residir en hosts de hipervisor, como hosts de máquinas virtuales basadas en kernel (KVM). Este tipo de VTEP se conoce como VTEP de software.

Cada VTEP tiene dos interfaces.

  • Una de ellas es una interfaz de conmutación que aborda a las máquinas virtuales en el host y que proporciona comunicación entre las VM en el segmento LAN local.

  • La otra es una interfaz IP que aborda la red de capa 3.

Cada VTEP tiene una dirección IP exclusiva que se utiliza para enrutar los paquetes UDP entre VTEP. Por ejemplo, cuando VTEP1 recibe una trama Ethernet desde VM1 dirigida a VM3, utiliza el VNI y la MAC de destino para buscar en su tabla de reenvío a qué VTEP enviar el paquete. Luego, agrega un encabezado VXLAN que contiene el VNI al marco Ethernet, encapsula la trama en un paquete UDP de capa 3 y lo enruta a VTEP2 a través de la red de capa 3. VTEP2 desencapsula la trama Ethernet original y la reenvía a VM3. VM1 y VM3 no pueden detectar el túnel de VXLAN y la red de capa 3 entre ellos.

Descripción general de la integración de EVPN-VXLAN

VXLAN define un esquema de túnel para superponer redes de capa 2 sobre las redes de capa 3. Este esquema de túnel permite un reenvío óptimo de tramas Ethernet compatibles con múltiples rutas de tráfico de unidifusión y multidifusión con el uso de encapsulación UDP/IP para túneles, y se utiliza principalmente para la conectividad de sitios dentro del centro de datos.

Una característica exclusiva de EVPN es que el aprendizaje de dirección MAC entre enrutadores de PE se produce en el plano de control. El enrutador de PE local detecta una nueva dirección MAC en un dispositivo CE y, luego, utiliza MP-BGP para anunciar la dirección a todos los enrutadores de PE remotos. Este método difiere de las soluciones VPN de capa 2 existentes como VPLS, las cuales aprenden al inundar unidifusión desconocida en el plano de datos. Este método de aprendizaje de MAC del plano de control es el componente clave de las numerosas funciones útiles que ofrece EVPN.

Dado que el aprendizaje de MAC se maneja en el plano de control, EVPN cuenta con la flexibilidad necesaria para admitir diferentes tecnologías de encapsulación de plano de datos entre enrutadores PE. Esta flexibilidad es importante, ya que no todas las redes troncales pueden estar ejecutando MPLS, especialmente en las redes empresariales.

EVPN aborda muchos de los desafíos que enfrentan los operadores de redes que compilan centros de datos para ofrecer servicios de nube y virtualización. La principal aplicación de EVPN es la interconexión de centro de datos (DCI), lo cual se refiere a la capacidad de extender la conectividad de capa 2 entre diferentes centros de datos implementados para mejorar el rendimiento de entrega del tráfico de aplicaciones a los usuarios finales y para fines de recuperación ante desastres.

Aunque hay varias tecnologías DCI disponibles, EVPN tiene una ventaja sobre las otras tecnologías MPLS debido a sus características exclusivas, como la redundancia activa/activa, la creación de alias y la retirada masiva de MAC. Como resultado, para ofrecer una solución a la DCI, VXLAN se integra en EVPN.

Como se muestra en Figure 2, cada VXLAN coenctada al núcleo MPLS o IP, ejecuta una instancia independiente del plano de control del Protocolo de puerta de enlace interior (IGP). Cada enrutador PE participa en la instancia de plano de control de IGP de su VXLAN. Cada cliente es un centro de datos, por lo que cada uno tiene su propio enrutador virtual para una base VXLAN.

Cada nodo PE puede terminar la encapsulación del plano de datos de VXLAN, en el cual el identificador de red VXLAN (VNI) está asignado a un dominio o VLAN de puente. El enrutador de PE realiza el aprendizaje del plano de datos en el tráfico recibido desde la VXLAN.

Cada nodo de PE implementa EVPN para distribuir las direcciones MAC del cliente aprendidas a través del túnel VXLAN en BGP. Cada nodo de PE encapsula las tramas de VXLAN o Ethernet con MPLS cuando se envían los paquetes a través del núcleo MPLS y con el encabezado de túnel VXLAN cuando se envían paquetes a través de la red VXLAN.

Figure 2: Descripción general de la integración de EVPN-VXLAN
Descripción general de la integración de EVPN-VXLAN

Filtrado de firewall y compatibilidad de políticas para EVPN-VXLAN

(QFX5100, Virtual Chassis QFX5100, conmutadores QFX5110) A partir de Junos OS versión 18.2R1, puede configurar los filtros y las políticas del firewall en el tráfico de VXLAN en una topología EVPN. Para cada filtro de firewall que aplique a una VXLAN, puede especificar family ethernet-switching que se filtren los paquetes de capa 2 (Ethernet) family inet o que se filtren en interfaces de IRB. La interfaz IRB actúa como una interfaz de enrutamiento de capa 3 para conectar las VXLAN en las topologías de estructura IP de una o dos capas. Para obtener más información, consulte Configuring Firewall Filters.

(Conmutadores QFX10000) A partir de Junos OS versión 18.3R1, puede configurar un filtro de firewall en una interfaz IRB en una topología EVPN-VXLAN. Los filtros de firewall solo se pueden configurar en la interfaz IRB después de que el encabezado VXLAN elimina el terminal de túnel VXLAN (VTEP). Para obtener una lista de condiciones de coincidencia compatibles, consulte Firewall Filter Match Conditions and Actions (QFX10000 Switches).

Descripción del uso de las redes virtuales Contrail con EVPN-VXLAN

El software de virtualización Juniper Networks Contrail es una solución de redes definidas por software (SDN) que automatiza y organiza la creación de redes virtuales altamente escalables. Estas redes virtuales le permiten aprovechar la potencia de la nube— en servicios nuevos, aumentar la agilidad comercial y aumentar las ganancias. Los enrutadores de la serie MX pueden usar EVPN-VXLAN para proporcionar conectividad de capa 2 y capa 3 para estaciones terminales dentro de una red virtual (VN) Contrail.

El software Contrail para redes virtuales ofrece conectividad de capa 2 y de capa 3. Con Contrail, se prefiere el enrutamiento de capa 3 por sobre el uso de puentes de capa 2 siempre que sea posible. Se utiliza el enrutamiento de capa 3 a través de las tablas de enrutamiento y reenvío virtual (VRF) entre enrutadores Contrail vRouters y enrutadores físicos serie MX. Los enrutadores de la serie MX proporcionan funcionalidad de puerta de enlace de capa 3 entre redes virtuales.

Contrail le permite utilizar EVPN-VXLAN cuando su red incluye dispositivos virtuales y sin sistema operativo.

En las redes virtuales se utilizan dos tipos de métodos de encapsulación.

  • MPLS-over-GRE (encapsulación de enrutamiento genérico) se utiliza para el enrutamiento de capa 3 entre enrutadores Contrail y serie MX.

  • EVPN-VXLAN se utiliza para la conectividad de capa 2 entre máquinas virtuales y conmutadores en la parte superior del rack (TOR); por ejemplo, conmutadores QFX5100 dentro de un dominio de capa 2. Para la conectividad de capa 2, el equilibrio de carga del tráfico en el núcleo se consigue mediante el uso de la función multiconexión completamente activa proporcionada por EVPN. A partir de Junos OS versión 17.3R1, los conmutadores EX9200 también admiten EVPN-VXLAN con Contrail.

Note

MPLS Core no es compatible con conmutadores—solo los enrutadores de la serie MX admiten esta característica.

No puede mezclar simultáneamente EVPN-VXLAN con Open vSwitch Database (OVSDB)-VXLAN en conmutadores serie QFX. Después de establecer un conmutador como administrado por OVSDB, el controlador trata todos los puertos como administrados por OVSDB.

Soporte EVPN-VXLAN para base VXLAN

A partir de Junos OS versión 14,1, los enrutadores serie MX admiten puertas de enlace de Virtual Extensible LAN (VXLAN). Cada puerta de enlace de VXLAN admite las siguientes funcionalidades:

  • Funcionalidad de conmutación con las redes tradicionales de capa 2 y las redes VPLS

  • Enrutamiento entre VXLAN y dominio de puente solo VXLAN con IRB

  • Conmutadores virtuales

  • VXLAN con funcionalidad VRF

  • Equilibrio de carga configurable

  • Estadísticas para VTEP remoto

A partir de Junos OS versión 17.3, la compatibilidad se extiende a la implementación de puerta de enlace VXLAN mediante el uso de una base IPv6.

Note

Solo los enrutadores de la serie MX admiten EVPN-VXLAN con una base IPv6.

La compatibilidad con base IPv6 admite los siguientes tipos de servicio:

  • Servicio basado en VLAN

  • Servicio de agrupación de VLAN

  • Servicio basado en puertos

  • Servicio con respuesta a VLAN

Las bases EVPN-VXLAN IPv4 y IPv6 admiten la dirección MAC tipo 2 con anuncio de dirección IP y la dirección MAC de proxy con anuncio de dirección IP.

Formato de paquete EVPN-VXLAN

El formato de paquete EVPN-VXLAN se muestra en Figure 3.

Figure 3: Formato de paquete EVPN-VXLAN
Formato de paquete EVPN-VXLAN

Release History Table
Release
Description
(Conmutadores QFX10000) A partir de Junos OS versión 18.3R1, puede configurar un filtro de firewall en una interfaz IRB en una topología EVPN-VXLAN. Los filtros de firewall solo se pueden configurar en la interfaz IRB después de que el encabezado VXLAN elimina el terminal de túnel VXLAN (VTEP).
(QFX5100, Virtual Chassis QFX5100, conmutadores QFX5110) A partir de Junos OS versión 18.2R1, puede configurar los filtros y las políticas del firewall en el tráfico de VXLAN en una topología EVPN.
A partir de Junos OS versión 17.3R1, los conmutadores EX9200 también admiten EVPN-VXLAN con Contrail.