基于SDN的網(wǎng)絡(luò)隨選系統(tǒng) 基于以太網(wǎng)VPN方式的技術(shù)要求

3基于SDN的網(wǎng)絡(luò)隨選系統(tǒng)基于以太網(wǎng)VPN方式的技術(shù)要求本文件規(guī)范以太網(wǎng)VPN(EVPN)在SDN隨選網(wǎng)絡(luò)中的應(yīng)用場景和封裝方式。本文件適用于SDN數(shù)據(jù)通信網(wǎng)絡(luò)系統(tǒng)。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。YD/TxXXX-xXXX基于邊界網(wǎng)關(guān)協(xié)議/多協(xié)議標(biāo)記交換的以太網(wǎng)虛擬專用網(wǎng)(BGP/MPLSEVPN)技術(shù)要求IETFRFC7432基于BGPMPLS的以太網(wǎng)VPN(BGPMPLS-BasedEthernetIETFRFC8365一種使用以太網(wǎng)VPN(EVPN)的網(wǎng)絡(luò)虛擬化0verlay解決方案(ANetworkIETFRFC9136以太網(wǎng)MPN(EVPN)中的IP前級通告(IPPrefix3術(shù)語和定義本文件沒有雷要界定的術(shù)語和定義下列縮略語適用于本文件：廣播域BGPBordarGateway邊界網(wǎng)關(guān)協(xié)議寬帶接入服務(wù)器核心路由器數(shù)據(jù)報擁塞控制協(xié)議ESEthernetS以太網(wǎng)段EVIEthernetVPNInstGREGenericRoutin通用路由封裝IGPInteriorGatewayProtocol內(nèi)部網(wǎng)關(guān)協(xié)議IMETInclusiveMultica包容多播以太網(wǎng)標(biāo)簽IPv4InternetProtocolversion互聯(lián)網(wǎng)協(xié)議第四版IPv6InternetProt互聯(lián)網(wǎng)協(xié)議第六版ISISIntermediatesystentointermedi中間系統(tǒng)到中間系統(tǒng)ISPInternetService互聯(lián)網(wǎng)服務(wù)提供商LDPLabelDistribu標(biāo)簽分發(fā)協(xié)議LSPLayeredServ分層服務(wù)提供程序MPISMulti-ProtocolLab多協(xié)議標(biāo)簽交換4MWENetworkVirtualizationEntity網(wǎng)絡(luò)虛擬化實體Encapsulation由封裝NVONetworkVirtualizationOverlay網(wǎng)絡(luò)虛擬化覆蓋0SPF0penShortestPathFirst開放式最短路徑優(yōu)先PEProviderEdge運營商邊緣設(shè)備PMSIP-MulticastServiceInterface運營商多播服務(wù)接口Qo5QualityofService服務(wù)質(zhì)量RDRouteDistinguisher路由標(biāo)識RIBRoutingInformationBase路由信息數(shù)據(jù)庫路由目標(biāo)StreamControlTransnission流控制傳輸協(xié)議Software-DefinedNetwork軟件定義網(wǎng)絡(luò)軟件定義廣域網(wǎng)傳輸控制協(xié)議TNITenantNetworkID租戶網(wǎng)絡(luò)標(biāo)識符TORTopofRack架頂交換機UDPUserDatagramProtocol用戶數(shù)據(jù)報協(xié)議MVirtualMachine虛擬機VXLANNetworkIdentifVXLAN網(wǎng)絡(luò)標(biāo)識符虛擬私有云VPNVirtualPrivateNetwork虛擬專用網(wǎng)絡(luò)VXLANVirtualExtensibleLAN擴展虛擬局域網(wǎng)5SDN隨選系統(tǒng)下的EVPN技術(shù)要求5.1SDN隨選系統(tǒng)下的典型SD-AN應(yīng)用場景主要應(yīng)用于軟件定義廣域網(wǎng)的場景，實現(xiàn)用戶站點到云端網(wǎng)絡(luò)(用戶的公有云VPC)以及其他用戶站點的VPN組網(wǎng)。主要在SD-WAN的業(yè)務(wù)網(wǎng)關(guān)之間部署。6圖1SD-AN應(yīng)用場景示意圖如圖1所示，我們可以在局端機房部署業(yè)務(wù)的網(wǎng)關(guān)設(shè)備(可以根據(jù)具體應(yīng)用場景選擇傳統(tǒng)硬件設(shè)備或者虛擬化設(shè)備),作為業(yè)務(wù)的錨點，承擔(dān)諸如終結(jié)接入電路、業(yè)務(wù)路由選擇以及NAT等業(yè)務(wù)功能。在業(yè)務(wù)網(wǎng)關(guān)之間部署EVPN,自動化的建立VXLAN隧道并通告客戶私網(wǎng)網(wǎng)段路由或者云內(nèi)VPC路由，保證連通性。業(yè)務(wù)網(wǎng)關(guān)之間的網(wǎng)絡(luò)連通性由底層網(wǎng)絡(luò)保證，通常需要跨域單個或多個網(wǎng)絡(luò)服務(wù)提供商ISP的城域網(wǎng)骨干網(wǎng)接下來本文會結(jié)合上述典型的SDN隨選系統(tǒng)應(yīng)用場景，列出的對EVPN的技術(shù)要求要5.2技術(shù)要求5.2.1對數(shù)據(jù)面鏈路封裝的要求由于通常的業(yè)務(wù)路徑需要穿越ISP網(wǎng)絡(luò)，包括城域網(wǎng)、骨干網(wǎng)甚至多家ISP管理的網(wǎng)絡(luò)，因此需要一種隧道封裝方式來承載數(shù)據(jù)報文，這種封裝方式需要盡可能的簡化對底層網(wǎng)絡(luò)的影響，不需要底層網(wǎng)絡(luò)設(shè)備(如ISP在城域網(wǎng)或者核心網(wǎng)的BRAS、CR等路由器設(shè)備)在傳輸路徑中對業(yè)務(wù)數(shù)據(jù)報文做過多的處理(如MPLS便不符合此要求)。同時考慮到多設(shè)備多廠商的兼容問題，標(biāo)準(zhǔn)不能僅支持單一的封裝方式，需要支持多種根據(jù)現(xiàn)在業(yè)內(nèi)技術(shù)發(fā)展的主流技術(shù)，建議使用VXLAN或者NVGRE等封裝方式。5.2.2對三層路由的要求傳統(tǒng)的以太網(wǎng)VPN僅支持32位主機地址的路由方式，但是在SDN隨選系統(tǒng)下的應(yīng)用場景中，用戶業(yè)務(wù)路由的主要形式為IP前級路由，因此EVPN需要增加對IP前級路由的支持以滿足業(yè)務(wù)要求5.2.3對業(yè)務(wù)保護的要求在服務(wù)提供中，在滿足用戶業(yè)務(wù)建立這一基礎(chǔ)要求之上，最核心的需求就是保證業(yè)務(wù)的可靠性。而拋開底層網(wǎng)絡(luò)的穩(wěn)定性，聚焦在EVPN技術(shù)本身，可以發(fā)現(xiàn)在SDN隨選系統(tǒng)應(yīng)用場景中，作為業(yè)務(wù)錨點的業(yè)務(wù)網(wǎng)關(guān)是業(yè)務(wù)系統(tǒng)的核心，也是業(yè)務(wù)能否穩(wěn)定運行的關(guān)鍵，因此系統(tǒng)需要能夠提供對核心業(yè)務(wù)網(wǎng)關(guān)的三層保護機制，保證業(yè)務(wù)的健壯性。VXLAN和NVGRE封裝都是用于在公用IP數(shù)據(jù)網(wǎng)絡(luò)的虛擬邊緣之間傳輸數(shù)據(jù)包的轉(zhuǎn)發(fā)面封裝技術(shù)。這些封裝技術(shù)中，每一個數(shù)據(jù)包都包含+個標(biāo)識特定所屬NVO的標(biāo)識號 VXLAN封裝技術(shù)是基于UDP的一種封裝技術(shù)，它包含一個跟隨在UDP報頭之后的一個8字節(jié)的VXLAN報頭。VXLAN提供24位的VNI,因此他可以將VNI與租戶網(wǎng)絡(luò)標(biāo)識符(TenantNVGRE是一種基于通用路由封裝協(xié)議(GRE)的封裝技術(shù)，NVGRE沒有采用標(biāo)準(zhǔn)傳輸協(xié)議(TCP/UDP),而是借用GRE.NVGRE使用GRE頭部的低24位作為VSID.同VXLAN中的VNI相同，VSID同樣可以和租戶網(wǎng)絡(luò)標(biāo)識符(TND進行一比一映射。7通過后面的章節(jié)可以看到，無論是使用VXLAN封裝還是NVGRE封裝，除了BGP中用于表示封裝方式的字段(擴展團體屬性)不同之外，以太網(wǎng)VPN的路由編碼方式都是相同的。但是，NVE部署位置的不同(TOR或者虛擬化層)以及是否支持多歸(Multi-homing)會對以太網(wǎng)VPN產(chǎn)生潛在的影響。6.2廣措域(BD)與以太網(wǎng)VP在這種模式下，每一個有VNI(或者VSID)標(biāo)識的以太網(wǎng)廣播域都會被映射到一個獨立的EVI。這種模式被稱為基于VLAN(VLAN-Based)的服務(wù)模式，即每一個面向租戶的邏輯子接口或者物理接口(使用VNI或VSID標(biāo)識)都會和一個EVI一一映射。如果使用此種模式，每一個NVE對應(yīng)的VNI都需要一個RD和RT。這種模式的優(yōu)點是可以利用BGP的RT約束機制將注入路由的傳播范國限制在指定的EVI中。這種模式的缺點是如果RD和RT不能自動根據(jù)VNI生成，則會產(chǎn)生額外的開銷在這種模式下，由特定VNI所標(biāo)識的多個子網(wǎng)被映射到同一個EVI中。比如，如果一個租戶擁有多個由VNI標(biāo)識的子網(wǎng)，那么該租戶下所有的VNI都會被映射到同一個EVI中，在這種情況下，一個EVI所表示的不再是一個子網(wǎng)而是一個租戶。這種模式被稱為VLAN捆綁服務(wù)(VLAN-awarebundl這種模式的優(yōu)點是不需要每一個VNI都要對應(yīng)一個RDIRT.但是如果系統(tǒng)具備根據(jù)VNI自動生成RDIRT的能力，則該優(yōu)點并無意義，這種模式的缺點是EVI中會存在特定VNI所不需要的路由。在這種模式下，MAC-VRF表在控制面用RT來標(biāo)識，每一個MAC-VRF所對應(yīng)的橋接表(Bridgetable)在控制面使用一個<RT,以太網(wǎng)標(biāo)簽ID>兩元組來標(biāo)識：與此同時，VNI在數(shù)據(jù)面用來標(biāo)識一個特定的橋接表。在基于MPIS的EVPN中，一個標(biāo)記轉(zhuǎn)發(fā)表的MPLS標(biāo)簽是由出口PE設(shè)備通過EVPN控制面分配的，并且此標(biāo)簽在由入口PE裝載到MPLS報頭中，此標(biāo)簽在出口PE收到數(shù)據(jù)包之后的處理過程中會被使用到，這個處理過程同出口NVE處理VNI的過程非常相似，唯一不同的是MPLS標(biāo)簽是本地有效而VNI是全局有效。因此，為了明確的支持本地分配的VNI,MACIP通告路由中的MPLS標(biāo)簽字段、以太網(wǎng)自動發(fā)現(xiàn)路由中的MPLS標(biāo)簽字段以及IMLT路由中的PMSI隧道字段都被用來承載VNI信息，以上MPLS標(biāo)簽字段會被關(guān)聯(lián)為VNI字段。該字段同時適用于本地VNI和全局VNI,同時全部24位都會被用來作為VNI的編碼對于基于VLAN的服務(wù)模式，MAC/IP通告路由、以太網(wǎng)自動發(fā)現(xiàn)路由以及IMET路由中的以太網(wǎng)標(biāo)簽ID字段必須被置零。對于VLAN捆綁服務(wù)模式，MAC/IP通告路由、以太網(wǎng)自動發(fā)現(xiàn)路由以及IMET路由中的以太網(wǎng)標(biāo)簽ID字段被用于標(biāo)識MAC-VRF表中的一個特定的橋接表，所有的以太網(wǎng)標(biāo)簽必須被配置到所有包含該EVI的PE上。為了標(biāo)明所使用的數(shù)據(jù)面封裝形式，所有類型的路由條目都必須包含BGP協(xié)議中的擴展團體屬性為了區(qū)別一個通告節(jié)點是否只支持MPLS封裝方式，MPLS隧道封裝類型(encapsulation8tunneltype)字段依然需要被保留，如果一個通告節(jié)點只支持MPLS封裝方式，那么它無需通告封裝類型這一擴展團體屬性，如果該屬性不存在，則系統(tǒng)會默認為MPLS或者其他預(yù)先設(shè)定好的封裝方式。多協(xié)議網(wǎng)絡(luò)可達性信息(MP_REACH_NLRI)中的NHP(NextHop)字段可以被設(shè)置7EVPN對多種數(shù)據(jù)面封裝的支持BGP中的擴展團體屬性表達了數(shù)據(jù)面封裝類型，每一個EVI中的NVE都能夠知道該EVI中其他所有NVE所能夠使用的封裝類型。對于一個給定的EVI,每一個NVE都可以支持多種數(shù)據(jù)面封裝類型。如果入口NVE和出口NVE所支持的封裝類型有交集，則入口NVE可發(fā)送一個幀到出口NVE。當(dāng)一個PE通告它支持多種封裝模式，他通告的所有封裝模式必須采用同樣的EVPN處理流程。比如，VXLAN和NVGRE兩種封裝方式的EVPN處理流程相同，因此PE可以通告它同時支持這兩種封裝方式。但是PE一定不能通告它同時支持VXLAN和MPLS兩種數(shù)據(jù)面封裝方式，這兩種封裝方式采用了不同的EVPN處理流程，比如在同一條路由中，MPLS標(biāo)簽字段只能在MPLS標(biāo)簽和VNI兩種信息中任選其一，不能共存，同時對于水平分割的處理機制，兩種封裝方式也不盡相同。一個使用了組播樹來發(fā)送組播或者廣播幀的入口節(jié)點會為每一種不同的封裝維護獨立的組措樹。系統(tǒng)的管理員有責(zé)任確保某一EVI中的所有NVE都支持至少一種相同的封裝方式，如果這一條件沒能成立，會導(dǎo)致業(yè)務(wù)的不完整或者失敗。使用BGP擴展團體屬性來標(biāo)識封裝模式也為這一條件的成立與否提供了一種檢測機制。BEVPN對路由前綴的支持原始的EVPN定義了對MACIP的路由通告，即MAC/IP通告路由。在這類路由中，MAC地址會和IP地址一同被通告。為了增加對IP前綴的支持，引入了IP前級路由(IPPrefixRoute),它用于通告引入的外部路由，也可以通告主機路由信息。9EVPN中的NVE保護模式-單歸保護9.1單歸場景介紹本章描述單歸模式下的EVPN處理流程，此模式多出現(xiàn)在NVE與下掛設(shè)備同時部署在相同的虛擬化層(Hypervisor)中的應(yīng)用場景。當(dāng)一個NVE和它下掛的虛擬機或者主機部署在同一個物理設(shè)備上，他們之間的鏈路為虛擬的并且分擔(dān)相同的風(fēng)險。即主機/虛擬機通常不是多歸的，即使它們是多歸的，這種多歸也只是一種宿主機所提供的自有機制，這種機制對于其他的NVE或者主機是透明的；因此，它不需要任何一種特定的協(xié)議來支持。下面的章節(jié)描述當(dāng)NVE部署在虛擬化層上，并且使用VXLAN或者NVGRE作為數(shù)據(jù)面封裝方式時，對EVPN處理流程的影響。9.2對BGP路由類型和屬性的影響在不同的數(shù)據(jù)中心分屬不同的管理域的場景中，這些數(shù)據(jù)中心通過一個或多個骨干網(wǎng)連接，RD屬性必須是每個EVI或者每個NVE唯一的。換句話說，即使全局VNI是由超過一個管理域分別管理的，RD值也必須是唯一的；或者一個VNI具有本地含義的時候，唯一的RD也是必須的。因此，唯一的RD值應(yīng)用于所有場景。當(dāng)NVE部署在虛擬化層上時，EVPNBGP路由中關(guān)于多歸的相關(guān)屬性便不再需要了。這將會減少所需要的路由類型和屬性，僅保留以下內(nèi)容——MAC/IP通告路由(MAC/IPAdver——IMET路由(InclusiveMulticastEthernetTag-—MAC遷移擴展團體屬性0MACMobilityExtendedComunity):——默認網(wǎng)關(guān)擴展團體屬性(DefaultGatewayExtendedCommunity).為了能夠使單歸入口NVE保留在快速收斂、別名以及備用路徑方面的優(yōu)勢，入口NVE需要能夠接受并處理以太網(wǎng)自動發(fā)現(xiàn)路由。9.3對EVPN處理流程的影響當(dāng)NVE部署在虛擬化層上時，EVPN中與多歸相關(guān)的處理程序便不再需要，EVPN僅需支持如下功能：-—學(xué)習(xí)本地下掛主機/虛擬機的MAC地址； 使用WC/IP通告路由通告本地學(xué)習(xí)到的MAC地址 處理通過BCP協(xié)議學(xué)習(xí)到的對端地址：-—處理MAC地址遷移的能力。為了能夠使單歸入口NVE保留在快速收斂、別名以及備用路徑方面的優(yōu)勢，單歸入口NVE需要能夠保留對以太網(wǎng)自動發(fā)現(xiàn)路由的處理能力。10EVPN中的NVE保護模式-多歸保護10.1多歸場景介紹本章描述多歸模式下NVE的處理流程，此模式多出現(xiàn)在NVE下掛的主機/虛擬機多歸于不同的NVE的應(yīng)用場景。多歸NVE可以運行在“多活(All-Active)“或者“單活(Single-Active)“兩種冗余模式下。當(dāng)用戶的主機單歸于一臺NVE時，則該場景會變得同NVE部署在虛擬化層上的場景非常相似，對EVPN在功能上的需求也相同10.2EVPN多歸特性10.2.1多歸中的ES自動發(fā)現(xiàn)EVPN中使用同一以太網(wǎng)段(EthemetSegment,同一主機虛擬機通過一個LAG連接到一組NVE,這組連接便稱為ES)的NVE能夠通過BGP路由交換的方式自動發(fā)現(xiàn)同一ES連接的其他NVE。10.2.2快速收斂和批量撇回EVPN定義了一種快速且高效的向?qū)Χ税l(fā)送信令的機制，該機制可在鏈接發(fā)生故障的時候快速更新設(shè)備的轉(zhuǎn)發(fā)表。這是通過NVE為每一個的ES發(fā)送以太網(wǎng)自動發(fā)現(xiàn)路由來實現(xiàn)的。一旦一個ES的鏈接出現(xiàn)故障，NVE會立刻撒銷該ES相關(guān)的以太網(wǎng)自動發(fā)現(xiàn)路由，這會導(dǎo)致所有相關(guān)的NVE都會收到這條撒銷路由并且更新自己轉(zhuǎn)發(fā)表中的相關(guān)表項，如果一臺NVE沒有收到其他NVE通告的有關(guān)于相同ES的以太網(wǎng)自動發(fā)現(xiàn)路由，那么該NVE便會簡單地認為該ES的相關(guān)轉(zhuǎn)發(fā)條目己經(jīng)失效并據(jù)此更新轉(zhuǎn)發(fā)表。如果一臺主機多歸于兩臺或者更多的NVE,并運行在“多活”的冗余模式下，那么當(dāng)他在發(fā)送一個BUM(廣播，多播以及未知單播)報文到這些NVE時，需要確保不會發(fā)生環(huán)路(即數(shù)據(jù)包通過另一臺NVE轉(zhuǎn)回原主機)。防止出現(xiàn)這種環(huán)路的過濾機制被稱之為水平分割。10.2.4別名和備用路徑當(dāng)一個站點多歸于多臺NVE時，可能只有一臺NVE學(xué)習(xí)到了所有的相關(guān)地址，即使一個站點多歸于不同的NVE時，遠端NVE仍然只能從一臺NVE學(xué)習(xí)到所有的地址，導(dǎo)致遠端NVE不能實現(xiàn)負載分擔(dān)。為解決負載分擔(dān)，EVPN引入了“別名(Aliasing)”。即使一臺NVE沒有學(xué)習(xí)到與ES連接的站點地址，也能通告對端自己可以通到該ES下的站點。以太網(wǎng)自動發(fā)現(xiàn)路由被用來進行這種通告。對端收到以太網(wǎng)自動發(fā)現(xiàn)路由后，會將之前收到的地址通告路由中的ESI編號和以太網(wǎng)自動發(fā)現(xiàn)路由中的ESI編號作對比，如果相同，便將更新轉(zhuǎn)發(fā)表。備用路線與此類似，只是用于“單活”冗余模式。該模式下，遠端NVE收到以太網(wǎng)自動發(fā)現(xiàn)路由后，會將之前收到的地址通告路由中的ESI編號和以太網(wǎng)自動發(fā)現(xiàn)路由中的ESI編號作對比，如果相同，便裝載備用線路。10.2.5指定轉(zhuǎn)發(fā)器(DF)選舉在“多活”冗余模式下的多歸場景中，為了防止出現(xiàn)報文大量復(fù)制的情況，EVPN允許指定一臺NVE作為指定轉(zhuǎn)發(fā)器(DesignedForwarder)來負責(zé)BUM報文的轉(zhuǎn)發(fā)。連接到同一ES的多臺NVE通過發(fā)送ES路由，以獲得其他NVE的信息(如VID等配置好