Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de la solución EVPN con IRB

Un proveedor de servicios de centro de datos (DCSP) aloja el centro de datos para sus múltiples clientes en una red física común. Para cada cliente (también llamado inquilino), el servicio parece un centro de datos completo que puede expandirse a 4094 VLAN y todas las subredes privadas. Para la recuperación ante desastres, la alta disponibilidad y la optimización de la utilización de recursos, es común que el DCSP se extienda por todo el centro de datos a más de un sitio. Para implementar los servicios del centro de datos, un DCSP enfrenta los siguientes desafíos principales:

  • Extensión de dominios de capa 2 en más de un sitio de centro de datos. Esto requiere un reenvío óptimo del tráfico dentro de la subred.

  • Admite un reenvío de tráfico óptimo entre subredes y un enrutamiento óptimo en caso de máquina virtual (VM).

  • Admite múltiples inquilinos con VLAN independiente y espacio de subred.

Ethernet VPN (EVPN) está diseñado para manejar todos los desafíos mencionados anteriormente, en los que:

  • La funcionalidad básica de EVPN permite un reenvío óptimo del tráfico dentro de la subred

  • La implementación de la solución de enrutamiento y puente integrados (IRB) en una implementación de EVPN permite un reenvío óptimo del tráfico entre subredes

  • La configuración de EVPN con compatibilidad con conmutadores virtuales permite múltiples inquilinos con VLAN independiente y espacio de subred

En las secciones siguientes se describe la solución IRB para EVPN:

Necesidad de una solución IRB EVPN

EVPN es una tecnología utilizada para proporcionar extensión e interconexión de capa 2 a través de una red central IP/MPLS a diferentes sitios físicos que pertenecen a un único dominio de capa 2. En un entorno de centro de datos con EVPN, es necesario reenviar tanto la capa 2 (tráfico dentro de la subred) como la capa 3 (tráfico entre subred) y, potencialmente, la interoperabilidad con VPN de capa 3 del inquilino.

Con solo una solución de capa 2, no hay un reenvío óptimo del tráfico entre subredes, incluso cuando el tráfico es local, por ejemplo, cuando ambas subredes están en el mismo servidor.

Con solo una solución de capa 3, pueden surgir los siguientes problemas para el tráfico dentro de la subred:

  • Problema de alias de dirección MAC en el que no se detectan direcciones MAC duplicadas.

  • Problema de TTL para aplicaciones que usan TTL 1 para limitar el tráfico dentro de una subred.

  • Direccionamiento local de vínculo IPv6 y detección de direcciones duplicadas que se basa en la conectividad de capa 2.

  • El reenvío de capa 3 no admite la semántica de reenvío de una difusión de subred.

  • Soporte de aplicaciones no IP que requieren reenvío de capa 2.

Debido a las deficiencias mencionadas anteriormente de una solución pura de capa 2 y capa 3, existe la necesidad de una solución que incorpore un reenvío óptimo del tráfico de capa 2 y capa 3 en el entorno del centro de datos cuando se enfrenta a consideraciones operativas como la interoperabilidad de VPN de capa 3 y la movilidad de máquinas virtuales (VM).

Una solución integrada de enrutamiento y puente (IRB) basada en EVPN proporciona un reenvío óptimo de unidifusión y multidifusión tanto para intrasubredes como para intersubredes dentro y entre centros de datos.

La función IRB de EVPN es útil para los proveedores de servicios que operan en una red IP/MPLS que proporciona servicios VPN o VPLS de capa 2 y servicios VPN de capa 3 que desean ampliar su servicio para proporcionar servicios de computación y almacenamiento en la nube a sus clientes existentes.

Implementación de la solución IRB de EVPN

Una solución IRB de EVPN proporciona lo siguiente:

  • Reenvío óptimo para el tráfico dentro de la subred (capa 2).

  • Reenvío óptimo para el tráfico entre subredes (capa 3).

  • Compatibilidad con la replicación de entrada para tráfico de multidifusión.

  • Compatibilidad con modelos de superposición basados en red y en host.

  • Soporte para un reenvío consistente basado en políticas para el tráfico de capa 2 y capa 3.

  • Compatibilidad con los siguientes protocolos de enrutamiento en la interfaz IRB:

    • BFD

    • BGP

    • IS-IS

    • OSPF y OSPF versión 3

  • Compatibilidad con multiconexión activa única y totalmente activa

Junos OS admite varios modelos de configuración de EVPN para satisfacer las necesidades individuales de los clientes de EVPN y de servicios en la nube de centros de datos. Para proporcionar flexibilidad y escalabilidad, se pueden definir varios dominios de puente dentro de una instancia de EVPN determinada. Del mismo modo, una o más instancias de EVPN se pueden asociar a un único enrutamiento y reenvío virtual (VRF) VPN de capa 3. En general, a cada inquilino del centro de datos se le asigna un VRF VPN de capa 3 único, mientras que un inquilino podría comprender una o más instancias de EVPN y uno o más dominios de puente por instancia de EVPN. Para admitir este modelo, cada dominio de puente configurado (incluido el dominio de puente predeterminado para una instancia de EVPN) requiere una interfaz IRB para realizar las funciones de capa 2 y capa 3. Cada dominio de puente o interfaz IRB se asigna a una subred IP única en el VRF.

Nota:

Puede asociar una interfaz IRB con la tabla inet.0 de la instancia principal en lugar de un VRF en una solución IRB de EVPN.

Hay dos funciones principales que se admiten para IRB en EVPN.

  • Sincronización MAC-IP del host

    Esto incluye:

    • Anunciar la dirección IP junto con la ruta de anuncio MAC en EVPN. Esto se hace utilizando el campo IP en la ruta de anuncio MAC de EVPN.

    • El enrutador de PE receptor instala MAC en la tabla de instancias de EVPN (EVI) e instala IP en el VRF asociado.

  • Sincronización MAC-IP de puerta de enlace

    Esto incluye:

    • Anunciar todas las direcciones MAC e IP del IRB local en una EVPN. Esto se consigue incluyendo la comunidad extendida de puerta de enlace predeterminada en la ruta de anuncio MAC de EVPN.

    • El PE receptor crea un estado de reenvío para enrutar los paquetes destinados al MAC de puerta de enlace, y se realiza un ARP de proxy para la IP de puerta de enlace con el MAC anunciado en la ruta.

La figura 1 ilustra el reenvío de tráfico entre subredes entre dos dispositivos perimetrales de proveedor (PE): PE1 y PE2. Las interfaces IRB1 e IRB2 de cada dispositivo PE pertenecen a una subred diferente, pero comparten un VRF común.

Figura 1: Reenvío Inter-Subnet Traffic Forwarding de tráfico entre subredes

El reenvío de tráfico entre subredes se realiza de la siguiente manera:

  1. PE2 anuncia la unión H3-M3 y H4-M4 a PE1. Del mismo modo, PE1 anuncia la unión H1-M1 y H2-M2 a PE2.

  2. PE1 y PE2 instalan la dirección MAC en la tabla MAC EVI correspondiente, mientras que las rutas IP se instalan en el VRF compartido.

  3. El dispositivo de PE publicitario se establece como el siguiente salto para las rutas IP.

  4. Si H1 envía paquetes a H4, los paquetes se envían a IRB1 en PE1.

  5. La búsqueda IP para H4 ocurre en el VRF compartido en PE1. Dado que el siguiente salto para la IP H4 es PE2 (el PE publicitario), se envía un paquete de unidifusión IP a PE2.

  6. PE1 reescribe el encabezado MAC basándose en la información de la ruta VRF y PE2 realiza una búsqueda MAC para reenviar el paquete a H4.

Beneficios de implementar la solución IRB de EVPN

El objetivo principal de la solución IRB de EVPN es proporcionar un reenvío óptimo de capas 2 y 3. La solución es necesaria para manejar de manera eficiente el reenvío entre subredes, así como la movilidad de máquinas virtuales (VM). La movilidad de VM se refiere a la capacidad de una VM para migrar de un servidor a otro dentro del mismo centro de datos o en uno diferente, conservando su dirección MAC e IP existentes. Proporcionar un reenvío óptimo para el tráfico entre subredes y una movilidad eficaz de las máquinas virtuales implica resolver dos problemas: el problema de la puerta de enlace predeterminada y el problema del enrutamiento triangular.

A partir de Junos OS versión 17.1R1, las direcciones IPv6 se admiten en interfaces IRB con EVPN mediante el protocolo de detección de vecinos (NDP). Se introducen las siguientes capacidades para la compatibilidad con IPv6 con EVPN:

  • Direcciones IPv6 en interfaces IRB en instancias de enrutamiento primarias

  • Aprendizaje del vecindario IPv6 a partir del mensaje de NA solicitado

  • Los paquetes NS y NA en las interfaces IRB están deshabilitados desde el núcleo de la red

  • Las direcciones de puerta de enlace virtual se utilizan como direcciones de capa 3

  • Sincronización MAC-IP de host para IPv6

Puede configurar las direcciones IPv6 en la interfaz IRB en el nivel jerárquico [edit interfaces irb] .

Puerta de enlace MAC y sincronización IP

En una implementación IRB de EVPN, la puerta de enlace IP predeterminada para una máquina virtual es la dirección IP configurada en la interfaz IRB del enrutador perimetral del proveedor (PE) correspondiente al dominio de puente o VLAN del que pertenece la máquina virtual. El problema de la puerta de enlace predeterminada surge porque una máquina virtual no vacía su tabla ARP cuando se reubica de un servidor a otro y continúa enviando paquetes con la dirección MAC de destino establecida en la de la puerta de enlace original. Si los servidores antiguos y nuevos no forman parte del mismo dominio de capa 2 (el nuevo dominio de capa 2 podría estar dentro del centro de datos actual o en un nuevo centro de datos), la puerta de enlace identificada previamente ya no es la puerta de enlace óptima o local. La nueva puerta de enlace necesita identificar los paquetes que contienen las direcciones MAC de otras puertas de enlace en enrutadores de PE remotos y reenviar el tráfico como si los paquetes estuvieran destinados a la propia puerta de enlace local. Como mínimo, esta funcionalidad requiere que cada enrutador de PE anuncie su puerta de enlace o direcciones MAC e IP de IRB a todos los demás enrutadores de PE de la red. El intercambio de direcciones de puerta de enlace se puede realizar utilizando el mensaje de anuncio de ruta MAC estándar (incluido el parámetro de dirección IP) y etiquetando esa ruta con la comunidad extendida de puerta de enlace predeterminada para que los enrutadores de PE remotos puedan distinguir las rutas publicitarias MAC de puerta de enlace de las rutas publicitarias MAC normales.

Interfuncionamiento VPN de capa 3

El aspecto entre centros de datos de la solución IRB de EVPN implica el enrutamiento entre máquinas virtuales que están presentes en diferentes centros de datos o el enrutamiento entre un sitio host completamente fuera del entorno del centro de datos y una máquina virtual dentro de un centro de datos. Esta solución se basa en la capacidad de los anuncios de enrutamiento MAC de EVPN para transportar información de dirección MAC y dirección IP. La funcionalidad de aprendizaje MAC local del enrutador PE se extiende para capturar también la información de la dirección IP asociada con las direcciones MAC aprendidas localmente. Esa información de mapeo de dirección IP-MAC se distribuye a cada enrutador PE a través de los procedimientos normales de EVPN. Cuando un enrutador PE recibe dicha información MAC e IP, instala la ruta MAC en la instancia de EVPN, así como una ruta de host para la dirección IP asociada en el VRF de VPN de capa 3 correspondiente a esa instancia de EVPN. Cuando una máquina virtual se mueve de un centro de datos a otro, los procedimientos normales de EVPN dan como resultado que la dirección MAC e IP se anuncien desde el nuevo enrutador PE detrás del cual reside la máquina virtual. La ruta de host instalada en el VRF asociado a una EVPN solicita el tráfico de capa 3 destinado a esa máquina virtual al nuevo enrutador de PE y evita el enrutamiento triangular entre el origen, el antiguo enrutador de PE detrás del cual residía la máquina virtual y el nuevo enrutador de PE.

La escalabilidad de BGP es una preocupación potencial con la solución de evitación de enrutamiento triangular entre centros de datos debido al potencial de inyección de muchas rutas de host en VPN de capa 3. Con el método descrito anteriormente, en el peor de los casos hay una ruta de host IP para cada dirección MAC aprendida a través de los procedimientos locales de aprendizaje de MAC EVPN o a través de un mensaje de anuncio MAC recibido de un enrutador PE remoto. El filtrado de destino de ruta BGP se puede usar para limitar la distribución de dichas rutas.

Se requieren los siguientes elementos funcionales para implementar la evitación del enrutamiento triangular entre centros de datos mediante procedimientos de reenvío entre subredes de capa 3:

  1. El host de origen envía un paquete IP utilizando su propia dirección MAC e IP de origen con la MAC de destino de la interfaz IRB del enrutador PE local y la dirección IP del host de destino.

  2. Cuando la interfaz IRB recibe la trama con su MAC como destino, realiza una búsqueda de capa 3 en el VRF asociado con la instancia de EVPN para determinar dónde enrutar el paquete.

  3. En el VRF, el enrutador PE encuentra la ruta de capa 3 derivada de una ruta MAC más una ruta IP EVPN recibida del enrutador de PE remoto anteriormente. A continuación, la dirección MAC de destino se cambia a la dirección MAC de destino correspondiente a la IP de destino.

  4. A continuación, el paquete se reenvía al enrutador de PE remoto que sirve al host de destino mediante MPLS, utilizando la etiqueta correspondiente a la instancia de EVPN a la que pertenece el host de destino.

  5. El enrutador PE de salida que recibe el paquete realiza una búsqueda de capa 2 para el MAC del host de destino y envía el paquete al host de destino en la subred conectada a través de la interfaz IRB del enrutador de PE de salida.

  6. Dado que el enrutador de PE de entrada realiza el enrutamiento de capa 3, el TTL IP disminuye.

Documentación relacionada