Descripción de EVPN con encapsulación del plano de datos VXLAN

Descripción de EVPN

Ethernet VPN (EVPN) es una tecnología basada en estándares que proporciona conectividad virtual multipunto en puente entre diferentes dominios de capa 2 a través de una red troncal IP o IP/MPLS. Al igual que otras tecnologías VPN, como IP VPN y el servicio de LAN privada virtual (VPLS), las instancias de EVPN se configuran en enrutadores perimetrales de proveedor (PE) para mantener la separación lógica de servicios entre los clientes. Los enrutadores PE se conectan a dispositivos perimetrales del cliente (CE), que pueden ser enrutadores, conmutadores o hosts. Luego, los enrutadores PE intercambian información de accesibilidad mediante GPB multiprotocolo (MP-BGP) y el tráfico encapsulado se reenvía entre enrutadores PE. Dado que los elementos de la arquitectura son comunes a otras tecnologías VPN, puede introducir e integrar EVPN sin problemas en entornos de servicio existentes, como se muestra en la figura 1.

Figura 1: Descripción general de EVPN

El EVPN se utiliza como una solución de superposición de capa 2 para proporcionar una conexión de capa 2 a través de una base IP para los puntos de conexión dentro de una red virtual siempre que una estación final, como un servidor sin sistema operativo (BMS) requiera conectividad de capa 2. De lo contrario, se utiliza el enrutamiento de capa 3 a través de tablas VRF entre enrutadores Contrail vRouters y serie MX. La tecnología EVPN ofrece servicios multitenencia flexibles que se pueden ampliar a pedido, utilizando con frecuencia recursos informáticos de diferentes centros de datos físicos para un solo servicio (extensión de capa 2).

El plano de control MP-BGP de EVPN le permite mover dinámicamente máquinas virtuales en vivo de un centro de datos a otro, también conocido como movimiento de máquina virtual (VM). Después de mover una máquina virtual a un servidor o hipervisor de destino, transmite un ARP gratuito que actualiza la tabla de reenvío de capa 2 del dispositivo PE en el centro de datos de destino. A continuación, el dispositivo PE transmite una actualización de ruta MAC a todos los dispositivos PE remotos que, a su vez, actualizan sus tablas de reenvío. Una EVPN rastrea el movimiento de la VM, lo que también se conoce como movilidad MAC.

EVPN también tiene mecanismos que detectan y detienen la aleteo de MAC, e impiden el bucle de tráfico de difusión, unidifusión desconocida y multidifusión (BUM) en una topología multihost totalmente activa.

La tecnología EVPN, similar a VPN MPLS de capa 3, incluye el concepto de enrutar direcciones MAC mediante núcleo IP/MPLS. EVPN ofrece las siguientes ventajas:

• Capacidad de tener un dispositivo perimetral multiconexión activo

• Aliasing

• Convergencia rápida

• Equilibrio de carga entre vínculos duales activos

• Movilidad de direcciones MAC

• Multitenencia

Además, EVPN utiliza estas técnicas:

• La multiconexión proporciona redundancia en caso de que falle un enlace de acceso o uno de los dispositivos de enrutamiento PE. En cualquier caso, el tráfico fluye desde el dispositivo CE hacia el enrutador PE, utilizando los vínculos activos restantes. Para el tráfico en la otra dirección, el enrutador de PE remoto actualiza su tabla de reenvío para enviar tráfico al resto de los enrutadores PE activos conectados al segmento Ethernet de multiconexión. EVPN proporciona un mecanismo de convergencia rápida, lo que reduce el tiempo de restauración del tráfico, de modo que el tiempo que se tarda en realizar este ajuste es independiente del número de direcciones MAC aprendidas por el enrutador PE. La multiconexión totalmente activa permite que un dispositivo CE se conecte a dos o más enrutadores PE, de modo que el tráfico se reenvíe utilizando todos los vínculos entre los dispositivos. Esta multiconexión permite al dispositivo CE equilibrar la carga del tráfico a varios enrutadores PE. Más importante aún, la multiconexión permite que un enrutador de PE remoto equilibre la carga del tráfico a los enrutadores de PE de multihost en toda la red principal. Este equilibrio de carga de los flujos de tráfico entre centros de datos se conoce como aliasing, lo que hace que diferentes señales se vuelvan indistinguibles: se convierten en alias entre sí. El aliasing se utiliza con audio digital e imágenes digitales.

• El horizonte dividido evita el bucle de tráfico de difusión, unidifusión desconocida y multidifusión (BUM) en una red. El principio básico del horizonte dividido es simple: la información sobre el enrutamiento de un paquete en particular nunca se devuelve en la dirección desde la que se recibió.

• La polarización de vínculo local conserva el ancho de banda mediante vínculos locales para reenviar tráfico de unidifusión que sale de un Virtual Chassis o Virtual Chassis Fabric (VCF) que tiene un paquete de grupo de agregación de vínculos (LAG) compuesto por vínculos de miembro en diferentes conmutadores miembro en el mismo Virtual Chassis o VCF. Un vínculo local es un vínculo de miembro en el grupo LAG que se encuentra en el conmutador miembro que recibió el tráfico.

• EVPN con encapsulación VXLAN se usa para la conectividad de capa 2 entre máquinas virtuales y un conmutador de la parte superior del rack (TOR), por ejemplo, un conmutador QFX5100, dentro de un dominio de capa 2.

Puede usar Contrail para aprovisionar un enrutador serie MX como puerta de enlace VXLAN de capa 2 o capa 3. Los enrutadores de la serie MX implementan el protocolo de administración XML NETCONF, que es un protocolo basado en XML que las aplicaciones cliente utilizan para solicitar y cambiar la información de configuración en dispositivos de enrutamiento, conmutación y seguridad. El protocolo de administración XML NETCONF utiliza una codificación de datos basada en XML para los datos de configuración y las llamadas a procedimientos remotos. El protocolo NETCONF define operaciones básicas que son equivalentes a los comandos de modo de configuración de la interfaz de línea de comandos (CLI). Las aplicaciones utilizan las operaciones de protocolo para mostrar, editar y confirmar instrucciones de configuración de manera similar a cómo los administradores utilizan los comandos del modo de configuración de CLI para realizar esas mismas operaciones.

Descripción de VXLAN

Las LAN virtuales extensibles (VXLAN) introdujeron un esquema de superposición que expande el espacio de direcciones de red de capa 2 de 4K a 16 millones, resolviendo en gran medida los problemas de escalamiento observados en entornos basados en VLAN.

Las superposiciones de red se crean encapsulando el tráfico y tunelizándolo a través de una red física. Puede usar varios protocolos de tunelización en el centro de datos para crear superposiciones de red; el protocolo más común es VXLAN. El protocolo de túnel VXLAN encapsula tramas Ethernet de capa 2 en paquetes UDP de capa 3. Esta encapsulación le permite crear subredes o segmentos virtuales de capa 2 que pueden abarcar redes físicas de capa 3.

En una red superpuesta VXLAN, un identificador de red VXLAN (VNI) identifica de forma exclusiva cada subred o segmento de capa 2. Un VNI segmenta el tráfico de la misma manera que un ID de VLAN IEEE 802.1Q segmenta el tráfico. Como en el caso de VLAN, las máquinas virtuales en el mismo VNI pueden comunicarse directamente entre sí, mientras que las máquinas virtuales en VNI diferentes necesitan un enrutador para comunicarse entre sí.

La entidad que realiza la encapsulación y la desencapsulación se denomina extremo de túnel VXLAN (VTEP). En la red física, un dispositivo de Juniper Networks que funcione como puerta de enlace VXLAN de capa 2 o capa 3 puede enacapsulate y desencapsular paquetes de datos. Este tipo de VTEP se conoce como VTEP de hardware. En la red virtual, los VTEP pueden residir en hosts de hipervisor, como hosts de máquinas virtuales basadas en kernel (KVM). Este tipo de VTEP se conoce como VTEP de software.

Cada VTEP tiene dos interfaces.

• Una interfaz es una interfaz de conmutación que se enfrenta a las máquinas virtuales en el host y proporciona comunicación entre las máquinas virtuales en el segmento LAN local.

• La otra es una interfaz IP que se enfrenta a la red de capa 3.

Cada VTEP tiene una dirección IP única que se utiliza para enrutar los paquetes UDP entre VTEP. Por ejemplo, cuando VTEP1 recibe una trama Ethernet de VM1 dirigida a VM3, utiliza el VNI y la MAC de destino para buscar en su tabla de reenvío a qué VTEP envía el paquete. A continuación, agrega un encabezado VXLAN que contiene el VNI a la trama Ethernet y encapsula la trama en un paquete UDP de capa 3 y enruta el paquete a VTEP2 a través de la red de capa 3. VTEP2 desencapsula la trama Ethernet original y la reenvía a VM3. VM1 y VM3 no pueden detectar el túnel VXLAN y la red de capa 3 entre ellos.

Descripción general de la integración de EVPN-VXLAN

VXLAN define un esquema de túnel para superponer redes de capa 2 sobre redes de capa 3. Este esquema de túnel permite un reenvío óptimo de tramas Ethernet compatibles con múltiples rutas de tráfico de unidifusión y multidifusión con el uso de encapsulación UDP/IP para túneles, y se utiliza principalmente para la conectividad de sitios dentro del centro de datos.

Una característica exclusiva de EVPN es que el aprendizaje de direcciones MAC entre enrutadores PE se produce en el plano de control. El enrutador de PE local detecta una nueva dirección MAC de un dispositivo CE y, a continuación, utiliza MP-BGP, anuncia la dirección a todos los enrutadores de PE remotos. Este método difiere de las soluciones VPN de capa 2 existentes, como VPLS, que aprenden inundando unidifusión desconocida en el plano de datos. Este método de aprendizaje de MAC del plano de control es el habilitador clave de las muchas funciones útiles que proporciona EVPN.

Dado que el aprendizaje de MAC se maneja en el plano de control, EVPN tiene la flexibilidad necesaria para admitir diferentes tecnologías de encapsulación de plano de datos entre enrutadores PE. Esta flexibilidad es importante porque es posible que no todas las redes troncales ejecuten MPLS, especialmente en redes empresariales.

EVPN aborda muchos de los desafíos que enfrentan los operadores de red que construyen centros de datos para ofrecer servicios de nube y virtualización. La aplicación principal de EVPN es la interconexión del centro de datos (DCI), que se refiere a la capacidad de extender la conectividad de capa 2 entre diferentes centros de datos que se implementan para mejorar el rendimiento de entrega del tráfico de aplicaciones a los usuarios finales y para la recuperación ante desastres.

Aunque hay varias tecnologías DCI disponibles, EVPN tiene una ventaja sobre las otras tecnologías MPLS debido a sus características únicas, como la redundancia activa/activa, el aliasing y la retirada masiva de MAC. Como resultado, para proporcionar una solución para DCI, VXLAN se integra con EVPN.

Como se muestra en la figura 2, cada VXLAN, que está conectada al núcleo MPLS o IP, ejecuta una instancia independiente del plano de control del protocolo de puerta de enlace interior (IGP). Cada enrutador PE participa en la instancia del plano de control IGP de su VXLAN. Cada cliente es un centro de datos, por lo que cada uno tiene su propio enrutador virtual para la base VXLAN.

Cada nodo PE puede terminar la encapsulación del plano de datos de VXLAN, donde el identificador de red VXLAN (VNI) se asigna a un dominio de puente o VLAN. El enrutador PE realiza el aprendizaje del plano de datos en el tráfico recibido de la VXLAN.

Cada nodo de PE implementa EVPN para distribuir las direcciones MAC del cliente aprendidas a través del túnel VXLAN en BGP. Cada nodo PE encapsula las tramas VXLAN o Ethernet con MPLS cuando envía los paquetes a través del núcleo MPLS y con el encabezado de túnel VXLAN cuando envía los paquetes a través de la red VXLAN.

Figura 2: Descripción general de la integración de EVPN-VXLAN

Filtrado de firewall y compatibilidad de políticas para EVPN-VXLAN

Para cada filtro de firewall que aplique a una VXLAN, especifique family ethernet-switching si desea filtrar los paquetes de capa 2 (Ethernet) o family inet filtrar en interfaces IRB. La interfaz IRB actúa como una interfaz de enrutamiento de capa 3 para conectar las VXLAN en topologías de estructura IP de una o dos capas. Se aplican las siguientes limitaciones:

• El filtrado y la vigilancia no son compatibles con el tráfico de tránsito de VXLAN.

• No se admite el filtrado de firewall en VNI en el dispositivo VTEP de salida.

• No se admite la vigilancia de VNI en el dispositivo VTEP de salida.

• No se admiten condiciones de coincidencia con campos de encabezado VXLAN.

Para obtener más información sobre cómo configurar filtros de firewall, condiciones de coincidencia y acciones, consulte:

• Configuración de filtros de firewall

• Condiciones y acciones de coincidencia del filtro de firewall (conmutadores de las series QFX y EX)

• Condiciones y acciones de coincidencia del filtro de firewall (conmutadores QFX10000)

• Descripción general de los filtros de firewall para conmutadores de la serie EX

Descripción del uso de las redes virtuales Contrail con EVPN-VXLAN

El software de virtualización Contrail de Juniper Networks es una solución de redes definidas por software (SDN) que automatiza y organiza la creación de redes virtuales altamente escalables. Estas redes virtuales le permiten aprovechar el poder de la nube para nuevos servicios, mayor agilidad empresarial y crecimiento de los ingresos. Los enrutadores de la serie MX pueden usar EVPN-VXLAN para proporcionar conectividad de capa 2 y capa 3 para estaciones terminales dentro de una red virtual (VN) de Contrail.

El software Contrail para redes virtuales proporciona conectividad de capa 2 y capa 3. Con Contrail, siempre que sea posible, se prefiere el enrutamiento de capa 3 al puente de capa 2. El enrutamiento de capa 3 se utiliza a través de tablas de enrutamiento y reenvío virtual (VRF) entre enrutadores Contrail vRouters y enrutadores físicos de la serie MX. Los enrutadores de la serie MX proporcionan funcionalidad de puerta de enlace de capa 3 entre redes virtuales.

Contrail le permite utilizar EVPN-VXLAN cuando su red incluye dispositivos virtuales y sin sistema operativo.

En las redes virtuales se utilizan dos tipos de métodos de encapsulación.

• MPLS-over-GRE (encapsulación de enrutamiento genérico) se utiliza para el enrutamiento de capa 3 entre enrutadores Contrail y serie MX.

• EVPN-VXLAN se utiliza para la conectividad de capa 2 entre máquinas virtuales y conmutadores de la parte superior del rack (TOR), por ejemplo, conmutadores QFX5100, dentro de un dominio de capa 2. Para la conectividad de capa 2, el equilibrio de carga de tráfico en el núcleo se logra mediante el uso de la función multiconexión totalmente activa proporcionada por EVPN. A partir de Junos OS versión 17.3R1, los conmutadores EX9200 también admiten EVPN-VXLAN con Contrail.

No puede mezclar simultáneamente EVPN-VXLAN con Open vSwitch Database (OVSDB)-VXLAN en conmutadores serie QFX. Después de establecer un conmutador como administrado por OVSDB, el controlador trata todos los puertos como administrados por OVSDB.

Compatibilidad con EVPN-VXLAN para bases VXLAN en enrutadores de la serie MX y la línea de conmutadores EX9200

Los enrutadores de la serie MX y la línea de conmutadores EX92xx admiten puertas de enlace de Virtual Extensible LAN (VXLAN). Cada puerta de enlace VXLAN admite las siguientes funcionalidades:

• Funcionalidad de conmutación con redes tradicionales de capa 2 y redes VPLS

• Enrutamiento entre VXLAN y dominio de puente solo VXLAN con IRB

• Conmutadores virtuales

• VXLAN con funcionalidad VRF

• Equilibrio de carga configurable

• Estadísticas para VTEP remoto

A partir de Junos OS versión 17.3R1, la compatibilidad con EVPN-VXLAN en enrutadores de la serie MX se extiende a la implementación de puerta de enlace VXLAN mediante una base IPv6. Admitimos rutas EVPN tipo 1, tipo 2, tipo 3 y tipo 4 con una base IPv6 en los enrutadores de la serie MX.

Admitimos los siguientes tipos de servicio con la compatibilidad subyacente IPv6:

• Servicio basado en VLAN

• Servicio de paquete VLAN

• Servicio basado en puertos

• Servicio compatible con VLAN

Las bases EVPN-VXLAN IPv4 e IPv6 admiten direcciones MAC EVPN tipo 2 con anuncio de dirección IP y direcciones MAC proxy con anuncio de dirección IP.

Compatibilidad con EVPN-VXLAN para bases VXLAN en conmutadores de la serie QFX

Los conmutadores de la serie QFX admiten puertas de enlace VXLAN en una red EVPN-VXLAN. Todos los dispositivos compatibles con EVPN-VXLAN pueden usar una base IPv4 para la superposición VXLAN.

También se admite la configuración de una base IPv6 para la superposición VXLAN en redes EVPN-VXLAN en conmutadores de la serie QFX. Solo puede configurar una base IPv6 mediante instancias de EVPN MAC-VRF. Con una base IPv6, el encabezado IP externo del paquete VXLAN es un encabezado IPv6 y se configura la dirección de origen del VTEP como una dirección IPv6. Consulte EVPN-VXLAN con una base IPv6 para obtener más información sobre la compatibilidad con la base IPv6 y cómo configurar un dispositivo de puerta de enlace VXLAN para usar una base IPv6.

Compatibilidad con EVPN-VXLAN para bases VXLAN en dispositivos de la serie ACX

Los dispositivos ACX7100-32C, ACX7100-48L y ACX7024 pueden usar una base IPv4 o IPv6 para la superposición VXLAN. Solo puede crear una base IPv6 con instancias de enrutamiento MAC-VRF (todos los tipos de servicio). Debe configurar una base IPv4 o IPv6 en las instancias de EVPN de la estructura; no se pueden mezclar las capas subyacentes IPv4 e IPv6 en la misma estructura.

Para crear una base IPv6, debe habilitar la vxlan-extended instrucción en la [edit system packet-forwarding-options system-profile] jerarquía.

Con una base IPv6, el encabezado IP externo del paquete VXLAN es un encabezado IPv6 y se configura la dirección de origen del VTEP como una dirección IPv6. Consulte EVPN-VXLAN con una base IPv6 para obtener más información sobre la compatibilidad con la base IPv6 y cómo configurar un dispositivo de puerta de enlace VXLAN para usar una base IPv6.

Después de habilitar este perfil, se reinicia el motor de reenvío de paquetes. El tráfico puede disminuir si se está ejecutando algún tráfico.

Para volver a usar el perfil predeterminado del sistema, ejecute el delete system packet-forwarding-options system-profile vxlan-extended comando. El PFE se reinicia después de revertir al perfil predeterminado del sistema. Durante este proceso, cualquier tráfico que se esté ejecutando puede disminuir.

Formato de paquete EVPN-VXLAN

El formato de paquete EVPN-VXLAN se muestra en la figura 3.

Figura 3: Formato de paquete EVPN-VXLAN