Uso de una puerta de enlace predeterminada de capa 3 para enrutar el tráfico en una red superpuesta EVPN-VXLAN
Los servidores físicos (sin sistema operativo) en un entorno Ethernet VPN-Virtual Extensible LAN (EVPN-VXLAN) dependen de una puerta de enlace predeterminada de capa 3 para enrutar su tráfico de una red virtual (VN) a otro servidor físico o a una máquina virtual (VM) en otra VN. Puede habilitar la funcionalidad de puerta de enlace predeterminada en un dispositivo de Juniper Networks que actúe como puerta de enlace VXLAN de capa 3. En una puerta de enlace VXLAN de capa 3, puede configurar una interfaz de enrutamiento y puente integrados (IRB) con una dirección de puerta de enlace virtual (VGA), que a su vez configura la interfaz IRB como puerta de enlace de capa 3 predeterminada. Puede configurar una interfaz IRB con una VGA cuando utilice EVPN-VXLAN dentro de un centro de datos y a través de la solución de interconexión del centro de datos (DCI).
Descripción de la puerta de enlace predeterminada
Para habilitar la función de puerta de enlace predeterminada, configure una interfaz IRB con una dirección IP única y una dirección de control de acceso a medios (MAC). Además, configure la interfaz IRB con un VGA, que debe ser una dirección IP anycast, y la puerta de enlace VXLAN de capa 3 generará automáticamente una dirección MAC.
Cuando se especifica una dirección IPv4 para VGA, la puerta de enlace VXLAN de capa 3 genera automáticamente 00:00:5e:00:01:01 como dirección MAC. Cuando se especifica una dirección IPv6, la puerta de enlace VXLAN de capa 3 genera automáticamente 00:00:5e:00:02:01 como dirección MAC.
En los dispositivos de Juniper Networks que funcionan como puertas de enlace VXLAN de capa 3, puede configurar explícitamente una dirección MAC IPv4 o IPv6 para una puerta de enlace predeterminada mediante la virtual-gateway-v4-mac instrucción de configuración or virtual-gateway-v6-mac en el nivel de [edit interfaces irb unit logical-unit-number] jerarquía. Con esta configuración, el dispositivo anula la dirección MAC generada automáticamente con la dirección MAC configurada.
Una VGA y una dirección MAC asociada proporcionan la función de puerta de enlace predeterminada en un VN determinado. Configure cada host (servidor físico o VM) en la VN para usar VGA.
Mediante el uso de una dirección IP anycast como VGA, cuando una máquina virtual se mueve de un dispositivo perimetral de proveedor (PE) EVPN a otro en el mismo VN, la máquina virtual puede usar la misma puerta de enlace predeterminada. En otras palabras, no es necesario actualizar la máquina virtual con una nueva dirección IP de puerta de enlace predeterminada para el enlace MAC.
Las puertas de enlace VXLAN de capa 3 en una topología EVPN-VXLAN responden a solicitudes de Protocolo de resolución de direcciones (ARP) para la VGA y paquetes de reenvío destinados a la dirección MAC predeterminada de la puerta de enlace.
Si asigna un VGA a sus interfaces IRB, se recomienda configurar también una dirección MAC de puerta de enlace virtual (VMAC). Debe asignar el mismo VMAC a todas las interfaces IRB que configure con el mismo VGA. Es decir, la dirección VGA utilizada como puerta de enlace predeterminada dentro de un VN determinado también comparte la misma dirección VMAC en todas las interfaces IRB. La combinación de VGA y VMAC debe ser única dentro de cada VN. Dicho de otra manera, dentro de una VLAN se asignan los mismos VGA y VMAC, mientras que entre VN se deben configurar combinaciones únicas de VGA/VMAC.
| Red virtual | IRB VGA | IRB VMAC | Nota |
|---|---|---|---|
| VN 1 | 10.0.1.254/24 | 00:05:85:00:01:01 | Asigne el mismo VGA y VMAC a todos los IRB que den servicio a VN 1. Estos valores difieren de los asignados al IRB para VN 2. |
| VN 2 | 10.0.2.254/24 | 00:05:85:00:02:02 | Asigne el mismo VGA y VMAC a todos los IRB que den servicio a VN 2. Estos valores difieren de los asignados al IRB para VN 1 |
Siguiendo esta recomendación se evitan rutas de datos asimétricas para las solicitudes y respuestas ARP cuando la interfaz IRB envía mensajes ARP destinados a la dirección MAC de un destino final.
En los dispositivos Juniper Networks que funcionan como puertas de enlace VXLAN de capa 3 en una superposición de puente de enrutamiento centralizado EVPN-VXLAN (topología EVPN-VXLAN con una estructura IP de dos capas), se recomienda que la dirección IP de la interfaz IRB sea única en las distintas puertas de enlace VXLAN de capa 3 para una red virtual determinada y que configure una dirección MAC de puerta de enlace virtual para el IRB. Seguir esta recomendación evita una ruta de datos asimétricos para la solicitud y respuesta ARP cuando la interfaz IRB envía mensajes ARP destinados a la dirección MAC de un destino final. Si configura una dirección MAC de puerta de enlace virtual para la interfaz IRB, le recomendamos que utilice una dirección MAC única en las distintas puertas de enlace VXLAN de capa 3 y, en una puerta de enlace VXLAN de capa 3 determinada, utilice la misma dirección MAC en diferentes unidades IRB.
Para las interfaces IRB configuradas en conmutadores QFX10000 en una superposición de puente enrutado en el borde EVPN-VXLAN (topología EVPN-VXLAN con una estructura IP de dos capas), también puede configurar cada interfaz IRB en cada puerta de enlace VXLAN de capa 3 en un VN con la misma dirección MAC. Para obtener más información, consulte Ejemplo: Configuración de una estructura de puente enrutado en el borde EVPN-VXLAN con una puerta de enlace Anycast.
La generación automática de ESI está habilitada de forma predeterminada en dispositivos de redes EVPN-VXLAN con multiconexión EVPN para redundancia de puerta de enlace virtual (consulte Descripción de la puerta de enlace predeterminada redundante). Le recomendamos que deshabilite la generación automática de ESI para redes EVPN con superposiciones de puente enrutado de borde. Para deshabilitar la generación automática de ESI, incluya la no-auto-virtual-gateway-esi instrucción en el nivel de [edit interfaces irb unit logical-unit-number] jerarquía.
A partir de Junos OS versión 22.1R1, los enrutadores MX960, MX2020 y MX10008 también habilitan la generación automática de ESI de forma predeterminada para las ESI de interfaz IRB de puerta de enlace EVPN de capa 3. Sin embargo, la no-auto-virtual-gateway-esi instrucción no se admite con redes EVPN-MPLS. Como resultado, siempre verá ESI generados automáticamente para interfaces IRB en ese caso.
Para solucionar problemas de una interfaz IRB, puede hacer ping a la dirección IP de la interfaz.
Para solucionar problemas de una puerta de enlace predeterminada en un enrutador de la serie MX, puede hacer ping a la VGA de la puerta de enlace predeterminada desde un dispositivo CE. Para admitir el ping de VGA, incluya la virtual-gateway-accept-data instrucción en la [edit interfaces irb unit] jerarquía de la puerta de enlace virtual preferida.
Además, puede hacer ping a la dirección IP del dispositivo CE desde el dispositivo PE (enrutador de la serie MX). Para admitir el ping de la dirección IP del dispositivo CE, incluya la instrucción preferida en [edit interfaces irb unit logical-unit-number family (inet |inet6} address ip-address] la jerarquía utilizando la dirección IP IRB única. De lo contrario, debe especificar manualmente la dirección IP IRB única como dirección IP de origen cuando haga ping al dispositivo CE.
Para cada interfaz IRB con un VGA configurado, hay dos conjuntos de direcciones IP y MAC: uno establecido para la propia interfaz IRB y otro establecido para la puerta de enlace predeterminada. Como resultado, el dispositivo anuncia rutas MAC tanto para la interfaz IRB como para la puerta de enlace predeterminada. Sin embargo, ningún atributo de comunidad extendida de puerta de enlace predeterminado está asociado con el anuncio de ruta MAC para la puerta de enlace predeterminada porque todas las puertas de enlace VXLAN de capa 3 tienen la misma dirección IP de difusión y enlace MAC.
- Descripción de cómo una puerta de enlace predeterminada maneja el tráfico de unidifusión conocido entre redes virtuales
- Descripción de cómo una puerta de enlace predeterminada maneja el tráfico de unidifusión desconocido entre redes virtuales
Descripción de cómo una puerta de enlace predeterminada maneja el tráfico de unidifusión conocido entre redes virtuales
En la superposición de puente de enrutamiento centralizado que se muestra en la Figura 1, los enrutadores serie MX funcionan como puertas de enlace VXLAN de capa 3 y los conmutadores QFX5200 funcionan como puertas de enlace VXLAN de capa 2. Los hosts finales del 1 al 4 son servidores físicos que deben comunicarse entre sí.
virtuales
En esta topología, el host final 1 en VN1 (10.10.0.0/24) y el host final 3 en VN 2 (10.20.0.0/24) intercambian paquetes de unidifusión conocidos. Antes del intercambio de paquetes entre los dos hosts finales, suponga que los hosts enviaron solicitudes ARP a MX1, que es una puerta de enlace VXLAN de capa 3, y que MX1 respondió con la dirección MAC de una puerta de enlace predeterminada en VN1.
Por ejemplo, el host final 1 origina un paquete y lo envía a QFX1, que es una puerta de enlace VXLAN de capa 2. QFX1 encapsula el paquete con un encabezado VXLAN y lo envía a MX1. Para la MAC de destino interna, el paquete incluye la dirección MAC de una puerta de enlace predeterminada en VN1. Para la IP de destino interna, el paquete incluye la dirección IP del host final 3. Al recibir el paquete, MX1 lo desencapsula y, después de detectar la dirección MAC de la puerta de enlace predeterminada en el campo MAC de destino interno, realiza una búsqueda de ruta para la dirección IP del host final 3 en la tabla de enrutamiento L3-VRF para VN1. Después de encontrar una ruta, el paquete se enruta a VN2 y, según la entrada de ruta ARP, el paquete se encapsula con un encabezado VXLAN y se envía a QFX3. QFX3 desencapsula el paquete y lo envía al host final 3.
El flujo de tráfico y el manejo del tráfico de unidifusión conocido en una superposición de puente de enrutamiento de borde son esencialmente los mismos que se describen en esta sección. La única diferencia es que en la superposición de puente enrutado en el borde, un conmutador de la serie QFX que admite la funcionalidad de puerta de enlace VXLAN de capa 3 actúa como puertas de enlace VXLAN de capa 2 y capa 3.
Descripción de cómo una puerta de enlace predeterminada maneja el tráfico de unidifusión desconocido entre redes virtuales
La información de esta sección se aplica al flujo de tráfico y al manejo de paquetes de unidifusión desconocidos en superposiciones de puente enrutadas centralmente y enrutadas de borde.
Para el tráfico de unidifusión desconocido entre VN iniciado por un servidor físico, se requiere un proceso de solicitud y respuesta ARP adicional en cada etapa. Una vez resueltas las direcciones MAC de destino tanto para la puerta de enlace como para el host predeterminados, el tráfico fluye de la misma manera que se describe en Descripción de cómo una puerta de enlace predeterminada maneja el tráfico de unidifusión conocido entre redes virtuales.
Descripción de la puerta de enlace predeterminada redundante
Los dispositivos de Juniper Networks que funcionan como puertas de enlace VXLAN de capa 3 también pueden proporcionar funcionalidad de puerta de enlace predeterminada redundante. Una puerta de enlace predeterminada redundante evita la pérdida de comunicación entre los servidores físicos de una VN y los servidores físicos o las máquinas virtuales de otra VN.
La funcionalidad de puerta de enlace predeterminada redundante se logra normalmente en una topología EVPN-VXLAN en la que un dispositivo perimetral de proveedor (PE), como una puerta de enlace VXLAN de capa 2 o un enrutador Contrail vRouter, está multiconexión en modo activo-activo en varias puertas de enlace VXLAN de capa 3. En las puertas de enlace VXLAN de capa 3, las interfaces IRB se configuran como puertas de enlace predeterminadas. Tenga en cuenta que cada puerta de enlace predeterminada utiliza la misma dirección VGA y MAC. Además, las direcciones VGA y MAC están asociadas con el mismo ID de segmento Ethernet (ESI).
El ESI asociado con la dirección VGA y MAC de la puerta de enlace predeterminada se deriva automáticamente de un sistema autónomo (AS) y del identificador de red VXLAN (VNI) para el VN. Como resultado, las rutas MAC de puerta de enlace predeterminadas anunciadas por cada puerta de enlace VXLAN de capa 3 para una VN determinada tienen la misma ESI.
Desde la perspectiva de una puerta de enlace VXLAN de capa 2 o un enrutador virtual Contrail que sea multihost para las puertas de enlace VXLAN de capa 3, las direcciones de cada puerta de enlace predeterminada configurada en cada puerta de enlace VXLAN de capa 3 son las mismas. Como resultado, los dispositivos PE crean un próximo salto de ruta múltiple (ECMP) de igual costo para llegar a cada puerta de enlace predeterminada. El tráfico que se origina en un host y está destinado a la dirección MAC de una puerta de enlace predeterminada tiene equilibrio de carga.
Si falla una de las puertas de enlace VXLAN de capa 3, se notifica a los dispositivos PE remotos la retirada o purga del siguiente salto a la dirección MAC predeterminada de la puerta de enlace. La ruta a la puerta de enlace VXLAN de capa 3 con errores se elimina de la base de datos del salto siguiente. A pesar de la eliminación de la ruta, la puerta de enlace predeterminada que está configurada en la puerta de enlace VXLAN de capa 3 restante sigue siendo accesible y las entradas ARP para los hosts permanecen sin cambios.
Descripción del procesamiento de ARP dinámico
Cuando un servidor físico necesita determinar la dirección MAC de su puerta de enlace predeterminada, el servidor físico inicia una solicitud ARP que incluye el VGA de la puerta de enlace predeterminada. En una superposición de puente de enrutamiento centralizado, una puerta de enlace VXLAN de capa 2 normalmente recibe la solicitud ARP, encapsula la solicitud en un encabezado VXLAN y reenvía el paquete encapsulado a una puerta de enlace VXLAN de capa 3. En una superposición de puente enrutado en borde, una puerta de enlace VXLAN de capa 2 y 3 normalmente recibe la solicitud ARP del servidor físico conectado directamente.
Al recibir la solicitud ARP, la puerta de enlace VXLAN de capa 3 desencapsula el paquete si corresponde, aprende el enlace IP y MAC del servidor físico y crea una entrada ARP en su base de datos. A continuación, la puerta de enlace VXLAN de capa 3 responde con la dirección MAC de la puerta de enlace predeterminada.
En una superposición de puente de enrutamiento centralizado, la respuesta ARP se encapsula con un encabezado VXLAN y se devuelve la unidifusión a la puerta de enlace VXLAN de capa 2. La puerta de enlace VXLAN de capa 2 desencapsula la respuesta ARP y reenvía el paquete al servidor físico.
En una superposición de puente enrutado en el borde, la respuesta ARP se devuelve a la unidifusión al servidor físico conectado directamente.
En una situación en la que un servidor físico en VN1 origina un paquete destinado a un servidor físico en VN2, la puerta de enlace VXLAN de capa 3 busca en su base de datos una entrada ARP para el servidor físico de destino. Si no se encuentra una coincidencia, la puerta de enlace VXLAN de capa 3 inicia una solicitud ARP que incluye las direcciones IP y MAC de la interfaz IRB que está asignada a VN2 y envía la solicitud al servidor físico de destino. El servidor físico de destino aprende el enlace IP/MAC de la interfaz IRB y agrega o actualiza la entrada ARP en su base de datos en consecuencia. Luego, el servidor físico unitransmite una respuesta ARP, que incluye la dirección MAC de la interfaz IRB, a la puerta de enlace VXLAN de capa 3,