Comprendre l’EVPN avec l’encapsulation de plan de données VXLAN

Comprendre l’EVPN

Ethernet VPN (EVPN) est une technologie basée sur des normes qui fournit une connectivité pontée multipoint virtuelle entre différents domaines de couche 2 sur un réseau dorsale IP ou IP/MPLS. À l’instar d’autres technologies VPN, telles que le VPN IP et le service de réseau local privé virtuel (VPLS), les instances EVPN sont configurées sur les routeurs Provider Edge (PE) afin de maintenir une séparation logique des services entre les clients. Les routeurs PE se connectent aux périphériques de périphérie client (CE), qui peuvent être des routeurs, des commutateurs ou des hôtes. Les routeurs PE échangent ensuite des informations d’accessibilité à l’aide du BGP multiprotocole (MP-BGP) et le trafic encapsulé est transféré entre les routeurs PE. Étant donné que certains éléments de l’architecture sont communs avec d’autres technologies VPN, vous pouvez introduire et intégrer facilement EVPN dans les environnements de services existants, comme illustré sur la Figure 1.

Figure 1 : présentation d’EVPN

L’EVPN est utilisé comme solution de superposition de couche 2 pour fournir une connexion de couche 2 via une sous-couche IP aux points de terminaison d’un réseau virtuel chaque fois qu’une station de terminaison telle qu’un serveur bare metal (BMS) a besoin d’une connectivité de couche 2. Sinon, le routage de couche 3 est utilisé via des tables VRF entre les routeurs Contrail vRouters et les routeurs MX Series. La technologie EVPN offre des services flexibles et mutualisés qui peuvent être étendus à la demande, en utilisant fréquemment les ressources de calcul de différents centres de données physiques pour un seul service (extension de couche 2).

Le plan de contrôle MP-BGP d’EVPN vous permet de déplacer dynamiquement des machines virtuelles actives d’un datacenter à un autre, ce que l’on appelle également le mouvement des machines virtuelles (VM). Une fois que vous avez déplacé une machine virtuelle vers un serveur de destination ou un hyperviseur, elle transmet un ARP gratuit, qui met à jour la table de transfert de couche 2 de l’équipement PE dans le centre de données de destination. Le périphérique PE transmet ensuite une mise à jour de la route MAC à tous les périphériques PE distants, qui à leur tour mettent à jour leurs tables de transfert. Un EVPN suit le mouvement de la machine virtuelle, également appelé mobilité MAC.

EVPN dispose également de mécanismes qui détectent et arrêtent les battements MAC et empêchent le bouclage du trafic de diffusion, unicast inconnu et multicast (BUM) dans une topologie multi-hébergement entièrement active.

La technologie EVPN, similaire au VPN MPLS de couche 3, comprend le concept de routage des adresses MAC à l’aide d’un cœur IP/MPLS. L’EVPN offre les avantages suivants :

• Possibilité d’avoir un appareil de périphérie multihoming actif

• Crénelage

• Convergence rapide

• Équilibrage de charge sur les liaisons dual-active

• Mobilité de l’adresse MAC

• Multi-utilisateur

De plus, EVPN utilise les techniques suivantes :

• Le multihébergement assure la redondance en cas de défaillance d’une liaison d’accès ou de l’un des équipements de routage PE. Dans les deux cas, le trafic est acheminé de l’équipement CE vers le routeur PE, en utilisant les liaisons actives restantes. Pour le trafic dans l’autre sens, le routeur PE distant met à jour sa table de transfert pour envoyer le trafic vers les routeurs PE actifs restants connectés au segment Ethernet multirésident. L’EVPN fournit un mécanisme de convergence rapide, qui réduit le temps de restauration du trafic, de sorte que le temps nécessaire pour effectuer cet ajustement est indépendant du nombre d’adresses MAC apprises par le routeur PE. Le multihébergement tout-actif permet à un équipement CE de se connecter à deux routeurs PE ou plus, de sorte que le trafic est transféré en utilisant toutes les liaisons entre les périphériques. Ce multihébergement permet à l’équipement CE d’équilibrer la charge du trafic vers plusieurs routeurs PE. Plus important encore, le multihébergement permet à un routeur PE distant d’équilibrer la charge du trafic vers les routeurs PE multirésidents sur le réseau central. Cet équilibrage de charge des flux de trafic entre les centres de données est connu sous le nom de crénelage, ce qui rend les signaux différents impossibles à distinguer : ils deviennent des alias les uns des autres. Le crénelage est utilisé avec l’audio numérique et les images numériques.

• Split horizon empêche la boucle du trafic de diffusion, unicast inconnu et multicast (BUM) dans un réseau. Le principe de base de Split Horizon est simple : les informations sur le routage d’un paquet particulier ne sont jamais renvoyées dans la direction d’où il a été reçu.

• La polarisation des liens locaux préserve la bande passante en utilisant des liens locaux pour transférer le trafic unicast sortant d’un Virtual Chassis ou d’une Virtual Chassis Fabric (VCF) dont le bundle de groupes d’agrégation de liens (LAG) est composé de liens membres sur différents commutateurs membres du même Virtual Chassis ou VCF. Un lien local est un lien membre du bundle LAG qui se trouve sur le commutateur membre qui a reçu le trafic.

• L’EVPN avec encapsulation VXLAN est utilisé pour la connectivité de couche 2 entre les machines virtuelles et un commutateur top-of-rack (TOR), par exemple un commutateur QFX5100, dans un domaine de couche 2.

Vous pouvez utiliser Contrail pour provisionner un routeur MX Series en tant que passerelle VXLAN de couche 2 ou de couche 3. Les routeurs MX Series implémentent le protocole de gestion XML NETCONF, qui est un protocole XML que les applications clientes utilisent pour demander et modifier les informations de configuration des équipements de routage, de commutation et de sécurité. Le protocole de gestion XML NETCONF utilise un codage de données basé sur XML pour les données de configuration et les appels de procédure distante. Le protocole NETCONF définit des opérations de base qui sont équivalentes aux commandes du mode de configuration dans l’interface de ligne de commande (CLI). Les applications utilisent les opérations de protocole pour afficher, modifier et valider les instructions de configuration de la même manière que les administrateurs utilisent les commandes du mode de configuration CLI pour effectuer ces mêmes opérations.

Comprendre le VXLAN

Les VXLAN (Virtual Extensible LAN) ont introduit un schéma de superposition qui étend l’espace d’adressage du réseau de couche 2 de 4K à 16 millions, résolvant en grande partie les problèmes d’évolutivité observés dans les environnements VLAN.

Les superpositions de réseau sont créées en encapsulant le trafic et en le canalisant sur un réseau physique. Vous pouvez utiliser plusieurs protocoles de tunnelisation dans le datacenter pour créer des superpositions de réseau (le protocole le plus courant étant VXLAN). Le protocole de tunnelisation VXLAN encapsule les trames Ethernet de couche 2 dans des paquets UDP de couche 3. Cette encapsulation vous permet de créer des sous-réseaux ou des segments virtuels de couche 2 qui peuvent s’étendre sur des réseaux physiques de couche 3.

Dans un réseau de superposition VXLAN, un identifiant de réseau VXLAN (VNI) identifie de manière unique chaque sous-réseau ou segment de couche 2. Un VNI segmente le trafic de la même manière qu’un ID VLAN IEEE 802.1Q. Comme c’est le cas avec les VLAN, les machines virtuelles d’un même VNI peuvent communiquer directement entre elles, tandis que les machines virtuelles sur différents VNI ont besoin d’un routeur pour communiquer entre elles.

L’entité responsable de l’encapsulation et de la désencapsulation s’appelle un point de terminaison de tunnel VXLAN (VTEP). Sur le réseau physique, un équipement Juniper Networks qui fonctionne comme une passerelle VXLAN de couche 2 ou de couche 3 peut encapsuler et décapsuler des paquets de données. Ce type de VTEP est connu sous le nom de VTEP matériel. Dans le réseau virtuel, les VTEP peuvent résider sur des hôtes hyperviseurs, tels que des hôtes de machines virtuelles basées sur un noyau (KVM). Ce type de VTEP est connu sous le nom de VTEP logiciel.

Chaque VTEP dispose de deux interfaces.

• L’une d’entre elles est une interface de commutation qui fait face aux machines virtuelles de l’hôte et assure la communication entre les machines virtuelles sur le segment LAN local.

• L’autre est une interface IP qui fait face au réseau de couche 3.

Chaque VTEP possède une adresse IP unique qui est utilisée pour acheminer les paquets UDP entre les VTEP. Par exemple, lorsque VTEP1 reçoit une trame Ethernet de VM1 adressée à VM3, il utilise le VNI et l’adresse MAC de destination pour rechercher dans sa table de transfert à quelle VTEP envoie le paquet. Il ajoute ensuite un en-tête VXLAN qui contient le VNI de la trame Ethernet, encapsule cette trame dans un paquet UDP de couche 3 et achemine le paquet vers VTEP2 sur le réseau de couche 3. Le VTEP2 désencapsule la trame Ethernet d’origine et la transmet à VM3. Les machines VM1 et VM3 ne peuvent pas détecter le tunnel VXLAN ni le réseau de couche 3 qui les relie.

Présentation de l’intégration EVPN-VXLAN

VXLAN définit un schéma de tunnelisation pour superposer les réseaux de couche 2 aux réseaux de couche 3. Ce schéma de tunnelisation permet un transfert optimal des trames Ethernet avec la prise en charge du multipathing du trafic unicast et multicast avec l’utilisation de l’encapsulation UDP/IP pour le tunneling, et est principalement utilisé pour la connectivité intra-datacenter du site.

Une caractéristique unique d’EVPN est que l’apprentissage de l’adresse MAC entre les routeurs PE se produit dans le plan de contrôle. Le routeur PE local détecte une nouvelle adresse MAC à partir d’un périphérique CE, puis, à l’aide de MP-BGP, annonce l’adresse à tous les routeurs PE distants. Cette méthode diffère des solutions VPN de couche 2 existantes telles que VPLS, qui apprennent en noyant une unicast inconnue dans le plan de données. Cette méthode d’apprentissage MAC du plan de contrôle est le principal catalyseur des nombreuses fonctionnalités utiles fournies par EVPN.

Étant donné que l’apprentissage MAC est géré dans le plan de contrôle, EVPN a la flexibilité nécessaire pour prendre en charge différentes technologies d’encapsulation de plan de données entre les routeurs PE. Cette flexibilité est importante, car tous les réseaux dorsales n’exécutent pas nécessairement MPLS, en particulier dans les réseaux d’entreprise.

EVPN répond à de nombreux défis rencontrés par les opérateurs réseau qui construisent des datacenters pour offrir des services de cloud et de virtualisation. L’application principale de l’EVPN est l’interconnexion des datacenters (DCI), qui permet d’étendre la connectivité de couche 2 entre différents datacenters déployés pour améliorer les performances de transmission du trafic applicatif aux utilisateurs finaux et pour la reprise après sinistre.

Bien que différentes technologies DCI soient disponibles, EVPN présente un avantage sur les autres technologies MPLS en raison de ses fonctionnalités uniques, telles que la redondance active/active, le crénelage et le retrait MAC de masse. C’est pourquoi VXLAN est intégré à EVPN afin de fournir une solution aux DCI.

Comme illustré sur la Figure 2, chaque VXLAN, qui est connecté au cœur MPLS ou IP, exécute une instance indépendante du plan de contrôle IGP (Interior Gateway Protocol). Chaque routeur PE participe à l’instance du plan de contrôle IGP de son VXLAN. Chaque client étant un datacenter, chacun dispose de son propre routeur virtuel pour l’underlay VXLAN.

Chaque nœud PE peut mettre fin à l’encapsulation du plan de données VXLAN où l’identifiant de réseau VXLAN (VNI) est mappé à un domaine de pont ou VLAN. Le routeur PE effectue l’apprentissage du plan de données sur le trafic reçu du VXLAN.

Chaque nœud PE implémente EVPN pour distribuer les adresses MAC des clients apprises sur le tunnel VXLAN vers BGP. Chaque nœud PE encapsule les trames VXLAN ou Ethernet avec MPLS lors de l’envoi des paquets via le cœur MPLS et avec l’en-tête de tunnel VXLAN lors de l’envoi des paquets sur le réseau VXLAN.

Figure 2 : présentation de l’intégration EVPN-VXLAN

Prise en charge du filtrage et du contrôle du pare-feu pour EVPN-VXLAN

Pour chaque filtre de pare-feu que vous appliquez à un VXLAN, spécifiez de filtrer family ethernet-switching les paquets de couche 2 (Ethernet) ou family inet de filtrer sur les interfaces IRB. L’interface IRB joue le rôle d’interface de routage de couche 3 pour connecter les VXLAN dans des topologies de fabric IP à une ou deux couches. Les restrictions suivantes s’appliquent :

• Le filtrage et le contrôle ne sont pas pris en charge pour le trafic de transit VXLAN.

• Le filtrage du pare-feu sur VNI au niveau de l’équipement VTEP sortant n’est pas pris en charge.

• Le contrôle sur VNI au niveau de l’équipement VTEP sortant n’est pas pris en charge.

• Les conditions de correspondance avec les champs d’en-tête VXLAN ne sont pas prises en charge.

Pour plus d’informations sur la configuration des filtres de pare-feu, des conditions de correspondance et des actions, consultez :

• Configuration des filtres de pare-feu

• Conditions et actions de correspondance des filtres de pare-feu (commutateurs QFX et EX Series)

• Conditions de correspondance des filtres de pare-feu et actions (commutateurs QFX10000)

• Présentation des filtres de pare-feu pour commutateurs EX Series

Comprendre l’utilisation des réseaux virtuels Contrail avec EVPN-VXLAN

Le logiciel de virtualisation Contrail de Juniper Networks est une solution de SDN (Software-Defined Networking) qui automatise et orchestre la création de réseaux virtuels hautement évolutifs. Ces réseaux virtuels vous permettent d’exploiter la puissance du cloud pour offrir de nouveaux services, accroître l’agilité de votre entreprise et accroître votre chiffre d’affaires. Les routeurs MX Series peuvent utiliser EVPN-VXLAN pour fournir une connectivité de couche 2 et de couche 3 aux stations d’extrémité au sein d’un réseau virtuel (VN) Contrail.

Le logiciel Contrail pour réseaux virtuels fournit une connectivité de couche 2 et de couche 3. Avec Contrail, le routage de couche 3 est préféré au pontage de couche 2 dans la mesure du possible. Le routage de couche 3 est utilisé par le biais de tables de routage et de transfert virtuelles (VRF) entre les routeurs virtuels Contrail vRouters et les routeurs physiques MX Series. Les routeurs MX Series fournissent une fonctionnalité de passerelle de couche 3 entre les réseaux virtuels.

Contrail vous permet d’utiliser EVPN-VXLAN lorsque votre réseau comprend à la fois des équipements virtuels et bare metal.

Deux types de méthodes d’encapsulation sont utilisés dans les réseaux virtuels.

• MPLS-over-GRE (encapsulation de routage générique) est utilisé pour le routage de couche 3 entre les routeurs Contrail et MX Series.

• EVPN-VXLAN est utilisé pour la connectivité de couche 2 entre les machines virtuelles et les commutateurs top-of-rack (TOR), par exemple les commutateurs QFX5100, au sein d’un domaine de couche 2. Pour la connectivité de couche 2, l’équilibrage de charge du trafic dans le cœur est réalisé à l’aide de la fonctionnalité de multihébergement tout-actif fournie par EVPN. À partir de la version 17.3R1 de Junos OS, les commutateurs EX9200 prennent également en charge EVPN-VXLAN avec Contrail.

Il n’est pas possible de combiner simultanément EVPN-VXLAN avec Open vSwitch Database (OVSDB)-VXLAN sur les commutateurs QFX Series. Une fois qu’un commutateur est défini sur géré par OVSDB, le contrôleur traite tous les ports comme gérés par OVSDB.

Prise en charge EVPN-VXLAN des sous-couches VXLAN sur les routeurs MX Series et la gamme de commutateurs EX9200

Les routeurs MX Series et la gamme de commutateurs EX92xx prennent en charge les passerelles VXLAN (Virtual Extensible LAN). Chaque passerelle VXLAN prend en charge les fonctionnalités suivantes :

• Fonctionnalité de commutation avec les réseaux traditionnels de couche 2 et les réseaux VPLS

• Routage inter-VXLAN et domaine de pontage VXLAN uniquement avec IRB

• Commutateurs virtuels

• VXLAN avec fonctionnalité VRF

• équilibrage de charge configurable

• Statistiques pour VTEP à distance

À partir de la version 17.3R1 de Junos OS, la prise en charge d’EVPN-VXLAN sur les routeurs MX Series est étendue à l’implémentation de passerelle VXLAN à l’aide d’un underlay IPv6. Nous prenons en charge les routes EVPN de type 1, de type 2, de type 3 et de type 4 avec une sous-couche IPv6 sur les routeurs MX Series.

Nous prenons en charge les types de services suivants avec la prise en charge de l’underlay IPv6 :

• Service basé sur VLAN

• Service d’offre groupée VLAN

• Service basé sur les ports

• Service compatible VLAN

Les sous-couches EVPN-VXLAN IPv4 et IPv6 prennent en charge les adresses MAC EVPN de type 2 avec annonce d’adresse IP et les adresses MAC proxy avec annonce d’adresse IP.

Prise en charge EVPN-VXLAN des sous-couches VXLAN sur les commutateurs QFX Series

Les commutateurs QFX Series prennent en charge les passerelles VXLAN dans un réseau EVPN-VXLAN. Tous les appareils qui prennent en charge EVPN-VXLAN peuvent utiliser une sous-couche IPv4 pour la superposition VXLAN.

Nous prenons également en charge la configuration d’une sous-couche IPv6 pour la superposition VXLAN dans les réseaux EVPN-VXLAN sur les commutateurs QFX Series. Vous ne pouvez configurer un underlay IPv6 qu’à l’aide d’instances EVPN MAC-VRF. Avec un underlay IPv6, l’en-tête IP externe du paquet VXLAN est un en-tête IPv6, et vous configurez l’adresse source VTEP en tant qu’adresse IPv6. Pour plus d’informations sur la prise en charge de l’underlay IPv6 et sur la configuration d’un périphérique de passerelle VXLAN pour utiliser un underlay IPv6, consultez EVPN-VXLAN avec un underlay IPv6.

Prise en charge EVPN-VXLAN des sous-couches VXLAN sur les équipements ACX Series

Les appareils ACX7100-32C, ACX7100-48L et ACX7024 peuvent utiliser un underlay IPv4 ou IPv6 pour la superposition VXLAN. Vous ne pouvez créer un underlay IPv6 qu’avec des instances de routage MAC-VRF (tous types de services). Vous devez configurer un underlay IPv4 ou IPv6 sur les instances EVPN de la structure. vous ne pouvez pas mélanger les sous-couches IPv4 et IPv6 dans la même structure.

Pour créer un underlay IPv6, vous devez activer l’instruction vxlan-extended au niveau de la [edit system packet-forwarding-options system-profile] hiérarchie.

Avec un underlay IPv6, l’en-tête IP externe du paquet VXLAN est un en-tête IPv6, et vous configurez l’adresse source VTEP en tant qu’adresse IPv6. Pour plus d’informations sur la prise en charge de l’underlay IPv6 et sur la configuration d’un périphérique de passerelle VXLAN pour utiliser un underlay IPv6, consultez EVPN-VXLAN avec un underlay IPv6.

Une fois que vous avez activé ce profil, le moteur de transfert de paquets redémarre. Le trafic peut chuter si du trafic est en cours d’exécution.

Pour revenir à l’utilisation du profil système par défaut, exécutez la delete system packet-forwarding-options system-profile vxlan-extended commande. Le PFE redémarre une fois que vous êtes revenu au profil système par défaut. Au cours de ce processus, tout trafic en cours d'exécution peut être interrompu.

Format de paquet EVPN-VXLAN

Le format de paquet EVPN-VXLAN est illustré à la Figure 3.

Figure 3 : format de paquet EVPN-VXLAN