Utilisation d’une passerelle de couche 3 par défaut pour acheminer le trafic dans un réseau de superposition EVPN-VXLAN
Les serveurs physiques (bare metal) dans un environnement Ethernet VPN-VXLAN (EVPN-VXLAN) s’appuient sur une passerelle de couche 3 par défaut pour acheminer leur trafic d’un réseau virtuel vers un autre serveur physique ou une machine virtuelle (VM) dans un autre réseau virtuel. Vous pouvez activer la fonctionnalité de passerelle par défaut sur un équipement Juniper Networks qui agit comme une passerelle VXLAN de couche 3. Sur une passerelle VXLAN de couche 3, vous pouvez configurer une interface IRB (Integrated Routing and Bridging) avec une adresse de passerelle virtuelle (VGA), qui à son tour configure l’interface IRB en tant que passerelle de couche 3 par défaut. Vous pouvez configurer une interface IRB avec VGA lorsque vous utilisez EVPN-VXLAN dans un datacenter et sur l’ensemble de la solution d’interconnexion du datacenter (DCI).
Comprendre la passerelle par défaut
Pour activer la fonction de passerelle par défaut, vous configurez une interface IRB avec une adresse IP unique et une adresse MAC. En outre, vous configurez l’interface IRB avec un VGA, qui doit être une adresse IP anycast, et la passerelle VXLAN de couche 3 génère automatiquement une adresse MAC.
Lorsque vous spécifiez une adresse IPv4 pour le VGA, la passerelle VXLAN de couche 3 génère automatiquement 00:00:5e :00:01:01 comme adresse MAC. Lorsque vous spécifiez une adresse IPv6, la passerelle VXLAN de couche 3 génère automatiquement 00:00:5e :00:02:01 comme adresse MAC.
Sur les équipements Juniper Networks qui fonctionnent comme des passerelles VXLAN de couche 3, vous pouvez configurer explicitement une adresse MAC IPv4 ou IPv6 pour une passerelle par défaut à l’aide de l’instruction virtual-gateway-v4-mac de configuration ou virtual-gateway-v6-mac au niveau de la [edit interfaces irb unit logical-unit-number] hiérarchie. Avec cette configuration, l’appareil remplace l’adresse MAC générée automatiquement par l’adresse MAC configurée.
Un VGA et l’adresse MAC associée fournissent la fonction de passerelle par défaut dans un réseau virtuel particulier. Vous configurez chaque hôte (serveur physique ou VM) du réseau virtuel pour qu’il utilise le VGA.
En utilisant une adresse IP anycast comme VGA, lorsqu’une VM est déplacée d’un périphérique EVPN Provider Edge (PE) à un autre dans le même VN, la VM peut utiliser la même passerelle par défaut. En d’autres termes, vous n’avez pas besoin de mettre à jour la machine virtuelle avec une nouvelle adresse IP de passerelle par défaut pour la liaison MAC.
Les passerelles VXLAN de couche 3 dans une topologie EVPN-VXLAN répondent aux demandes ARP (Address Resolution Protocol) pour le VGA et transfèrent les paquets destinés à l’adresse MAC de la passerelle par défaut.
Si vous attribuez un VGA à vos interfaces IRB, nous vous recommandons de configurer également une adresse MAC de passerelle virtuelle (VMAC). Vous devez affecter le même VMAC à toutes les interfaces IRB que vous configurez avec le même VGA. En d’autres termes, l’adresse VGA utilisée comme passerelle par défaut dans un réseau virtuel donné partage également la même adresse VMAC sur toutes les interfaces IRB. La combinaison VGA et VMAC doit être unique dans chaque VN. En d’autres termes, dans un VLAN, vous affectez les mêmes VGA et VMAC, tandis qu’entre les VN, vous devez configurer des combinaisons VGA/VMAC uniques.
| Réseau virtuel | IRB VGA | IRB VMAC | Remarque |
|---|---|---|---|
| VN 1 | 10.0.1.254/24 | 00:05:85:00:01:01 | Attribuez les mêmes VGA et VMAC à tous les IRB qui desservent la VN 1. Ces valeurs diffèrent de celles attribuées à l’IRB pour VN 2. |
| VN 2 | 10.0.2.254/24 | 00:05:85:00:02:02 | Attribuez les mêmes VGA et VMAC à tous les IRB qui desservent la VN 2. Ces valeurs diffèrent de celles attribuées à l’IRB pour VN 1 |
Le respect de cette recommandation évite les chemins de données asymétriques pour les requêtes et les réponses ARP lorsque l’interface IRB envoie des messages ARP destinés à l’adresse MAC d’une destination finale.
Sur les équipements Juniper Networks qui fonctionnent comme des passerelles VXLAN de couche 3 dans une superposition de pontage à routage central EVPN-VXLAN (topologie EVPN-VXLAN avec une fabric IP à deux couches), nous vous recommandons que l’adresse IP de l’interface IRB soit unique sur les différentes passerelles VXLAN de couche 3 d’un réseau virtuel donné, et que vous configuriez une adresse MAC de passerelle virtuelle pour l’IRB. Le respect de cette recommandation évite un chemin de données asymétrique pour la demande et la réponse ARP lorsque l’interface IRB envoie des messages ARP destinés à l’adresse MAC d’une destination finale. Si vous configurez une adresse MAC de passerelle virtuelle pour l’interface IRB, nous vous recommandons d’utiliser une adresse MAC unique sur les différentes passerelles VXLAN de couche 3 et, dans une passerelle VXLAN de couche 3 donnée, d’utiliser la même adresse MAC dans différentes unités IRB.
Pour les interfaces IRB configurées sur des commutateurs QFX10000 dans une superposition de pontage à routage périphérique EVPN-VXLAN (topologie EVPN-VXLAN avec une fabric IP à deux couches), vous pouvez également configurer chaque interface IRB sur chaque passerelle VXLAN de couche 3 d’un réseau virtuel avec la même adresse MAC. Pour plus d’informations, consultez Exemple : Configuration d’une fabric de pontage à routage périphérique EVPN-VXLAN avec une passerelle Anycast.
La génération automatique d’ESI est activée par défaut sur les appareils des réseaux EVPN-VXLAN avec multihébergement EVPN pour la redondance de la passerelle virtuelle (voir Présentation de la passerelle redondante par défaut). Nous vous recommandons de désactiver la génération automatique d’ESI pour les réseaux EVPN avec des superpositions de pontage à routage périphérique. Pour désactiver la génération automatique d’ESI, incluez l’instruction no-auto-virtual-gateway-esi au niveau de la [edit interfaces irb unit logical-unit-number] hiérarchie.
Pour dépanner une interface IRB, vous pouvez envoyer un ping à l’adresse IP de l’interface.
Pour dépanner une passerelle par défaut sur un routeur MX Series, vous pouvez envoyer une requête ping au VGA de la passerelle par défaut à partir d’un périphérique CE. Pour prendre en charge l’envoi de ping du VGA, incluez l’instruction virtual-gateway-accept-data dans la [edit interfaces irb unit] hiérarchie de la passerelle virtuelle préférée.
Vous pouvez également envoyer un ping à l’adresse IP du périphérique CE à partir du périphérique PE (routeur MX Series). Pour prendre en charge l’envoi d’un ping à l’adresse IP du périphérique CE, incluez l’instruction préférée dans [edit interfaces irb unit logical-unit-number family (inet |inet6} address ip-address] la hiérarchie à l’aide de l’adresse IP IRB unique. Sinon, vous devez spécifier manuellement l’adresse IP IRB unique comme adresse IP source lorsque vous envoyez un ping au périphérique CE.
Pour chaque interface IRB avec un VGA configuré, il existe deux ensembles d’adresses IP et MAC : un ensemble pour l’interface IRB elle-même et un ensemble pour la passerelle par défaut. Par conséquent, l’appareil annonce des routes MAC pour l’interface IRB et la passerelle par défaut. Toutefois, aucun attribut de communauté étendue de passerelle par défaut n’est associé à l’annonce de route MAC pour la passerelle par défaut, car toutes les passerelles VXLAN de couche 3 ont la même adresse IP anycast et la même liaison MAC.
- Comprendre comment une passerelle par défaut gère le trafic unicast connu entre les réseaux virtuels
- Comprendre comment une passerelle par défaut gère le trafic unicast inconnu entre réseaux virtuels
Comprendre comment une passerelle par défaut gère le trafic unicast connu entre les réseaux virtuels
Dans la superposition de pontage à routage central illustrée à la Figure 1, les routeurs MX Series fonctionnent comme des passerelles VXLAN de couche 3 et les commutateurs QFX5200 fonctionnent comme des passerelles VXLAN de couche 2. Les hôtes finaux 1 à 4 sont des serveurs physiques qui doivent communiquer entre eux.
virtuels
Dans cette topologie, l’hôte final 1 dans VN1 (10.10.0.0/24) et l’hôte final 3 dans VN 2 (10.20.0.0/24) échangent des paquets unicast connus. Avant l’échange de paquets entre les deux hôtes finaux, supposons que les hôtes ont envoyé des requêtes ARP à MX1, qui est une passerelle VXLAN de couche 3, et que MX1 a répondu avec l’adresse MAC d’une passerelle par défaut dans VN1.
Par exemple, l’hôte final 1 crée un paquet et l’envoie à QFX1, qui est une passerelle VXLAN de couche 2. QFX1 encapsule le paquet avec un en-tête VXLAN et l’envoie à MX1. Pour l’adresse MAC de destination interne, le paquet inclut l’adresse MAC d’une passerelle par défaut dans VN1. Pour l’adresse IP de destination interne, le paquet inclut l’adresse IP de l’hôte final 3. À la réception du paquet, MX1 le désencapsule et, après avoir détecté l’adresse MAC de la passerelle par défaut dans le champ MAC de destination interne, effectue une recherche de route pour l’adresse IP de l’hôte final 3 dans la table de routage L3-VRF pour VN1. Une fois qu’une route est trouvée, le paquet est acheminé vers VN2 et, en fonction de l’entrée de route ARP, le paquet est encapsulé avec un en-tête VXLAN et envoyé à QFX3. QFX3 déencapsule le paquet et l’envoie à l’hôte final 3.
Le flux de trafic et la gestion du trafic unicast connu dans une superposition de pontage à routage périphérique sont essentiellement les mêmes que ceux décrits dans cette section. La seule différence est que dans la superposition de pontage à routage périphérique, un commutateur QFX Series qui prend en charge la fonctionnalité de passerelle VXLAN de couche 3 agit à la fois comme des passerelles VXLAN de couche 2 et de couche 3.
Comprendre comment une passerelle par défaut gère le trafic unicast inconnu entre réseaux virtuels
Les informations contenues dans cette section s’appliquent au flux de trafic et à la gestion des paquets unicast inconnus dans les superpositions de pontage à routage central et à routage périphérique.
Pour le trafic unicast inconnu entre réseaux virtuels initié par un serveur physique, un processus supplémentaire de requête et de réponse ARP est requis à chaque étape. Une fois les adresses MAC de destination de la passerelle et de l’hôte par défaut résolues, le trafic circule de la même manière que celle décrite dans la section Présentation du traitement d’une passerelle par défaut le trafic unicast connu entre les réseaux virtuels.
Comprendre la passerelle redondante par défaut
Les équipements Juniper Networks qui fonctionnent comme des passerelles VXLAN de couche 3 peuvent également fournir une fonctionnalité de passerelle redondante par défaut. Une passerelle redondante par défaut empêche la perte de communication entre les serveurs physiques d’un réseau virtuel et les serveurs physiques ou les machines virtuelles d’un autre réseau virtuel.
La fonctionnalité de passerelle redondante par défaut est généralement réalisée dans une topologie EVPN-VXLAN où un équipement PE (Provider Edge) tel qu’une passerelle VXLAN de couche 2 ou un vRouter Contrail est multihébergé en mode actif-actif sur plusieurs passerelles VXLAN de couche 3. Sur les passerelles VXLAN de couche 3, les interfaces IRB sont configurées comme passerelles par défaut. Notez que chaque passerelle par défaut utilise les mêmes VGA et adresse MAC. De plus, les adresses VGA et MAC sont associées au même ID de segment Ethernet (ESI).
L’ESI associé au VGA et au adresse MAC de la passerelle par défaut est automatiquement dérivé d’un système autonome (AS) et de l’identifiant réseau VXLAN (VNI) du réseau virtuel. Par conséquent, les routes MAC de passerelle par défaut annoncées par chaque passerelle VXLAN de couche 3 pour un VN donné ont le même ESI.
Dans le cas d’une passerelle VXLAN de couche 2 ou d’un vRouter Contrail multihébergé sur les passerelles VXLAN de couche 3, les adresses de chaque passerelle par défaut configurée sur chaque passerelle VXLAN de couche 3 sont les mêmes. Par conséquent, les équipements PE créent un saut suivant ECMP (Equal-Cost multichemin) pour atteindre chaque passerelle par défaut. Le trafic provenant d’un hôte et destiné à l’adresse MAC d’une passerelle par défaut est équilibré.
Si l’une des passerelles VXLAN de couche 3 tombe en panne, les équipements PE distants sont avertis du retrait ou de la purge du saut suivant vers l’adresse MAC de la passerelle par défaut. Le chemin d’accès à la passerelle VXLAN de couche 3 défaillante est supprimé de la base de données de saut suivant. Malgré la suppression du chemin, la passerelle par défaut configurée sur la passerelle VXLAN de couche 3 restante est toujours accessible et les entrées ARP des hôtes restent inchangées.
Comprendre le traitement ARP dynamique
Lorsqu’un serveur physique doit déterminer l’adresse MAC de sa passerelle par défaut, le serveur physique lance une requête ARP qui inclut le VGA de la passerelle par défaut. Dans une superposition de pontage à routage central, une passerelle VXLAN de couche 2 reçoit généralement la requête ARP, encapsule la requête dans un en-tête VXLAN et transmet le paquet encapsulé à une passerelle VXLAN de couche 3. Dans une superposition de pontage à routage en périphérie, une passerelle VXLAN de couches 2 et 3 reçoit généralement la requête ARP du serveur physique directement connecté.
À la réception de la requête ARP, la passerelle VXLAN de couche 3 déencapsule le paquet si nécessaire, apprend la liaison IP et MAC du serveur physique et crée une entrée ARP dans sa base de données. La passerelle VXLAN de couche 3 renvoie alors l’adresse MAC de la passerelle par défaut.
Dans une superposition de pontage à routage central, la réponse ARP est encapsulée avec un en-tête VXLAN et renvoyée en unicast à la passerelle VXLAN de couche 2. La passerelle VXLAN de couche 2 déencapsule la réponse ARP et transfère le paquet au serveur physique.
Dans une superposition de pontage à routage en périphérie, la réponse ARP est unicast vers le serveur physique directement connecté.
Dans une situation où un serveur physique dans VN1 provient d’un paquet destiné à un serveur physique dans VN2, la passerelle VXLAN de couche 3 recherche dans sa base de données une entrée ARP pour le serveur physique de destination. Si aucune correspondance n’est trouvée, la passerelle VXLAN de couche 3 lance une requête ARP qui inclut les adresses IP et MAC de l’interface IRB mappée à VN2, et envoie la requête au serveur physique de destination. Le serveur physique de destination apprend la liaison IP/MAC de l’interface IRB et ajoute ou actualise l’entrée ARP dans sa base de données en conséquence. Le serveur physique unicast ensuite une réponse ARP, qui inclut l’adresse MAC de l’interface IRB, vers la passerelle VXLAN de couche 3,