VXLAN EVPN特性介紹及維護(hù)指導(dǎo)PPT

1、VXLAN EVPN特性介紹及維護(hù)指導(dǎo),1,2,目錄,VXLAN基本原理介紹 DC內(nèi)VXLAN based EVPN部署 配置部署優(yōu)化 EVPN故障定位指導(dǎo),2,2020/10/23,VXLAN概述數(shù)據(jù)中心發(fā)展趨勢,傳統(tǒng)數(shù)據(jù)中心組網(wǎng)方式，一般二層只到接入或匯聚交換機(jī)，虛擬機(jī)的遷移只能局限一個二層區(qū)域內(nèi)。如果需要跨二層區(qū)域遷移，需要更改VM的IP地址，應(yīng)用會中斷。,傳統(tǒng)數(shù)據(jù)中心架構(gòu),在云計算時代，IDC運(yùn)營商為了更充分的利用數(shù)據(jù)中心資源，VM需要更大的遷移范圍； 由于服務(wù)器之間存在大量的橫向流量，要求數(shù)據(jù)報文支持無阻塞轉(zhuǎn)發(fā)，網(wǎng)絡(luò)鏈路資源得到充分的利用。,新一代數(shù)據(jù)中心架構(gòu),POD,POD,3,2

2、020/10/23,VXLAN概述數(shù)據(jù)中心發(fā)展趨勢,4,VXLAN概述VXLAN報文格式,VXLAN報文格式,DA：外層目的MAC，單播為下一跳路由器MAC，組播復(fù)制為組播MAC。 SA：外層源MAC，為每一跳路由設(shè)備自身MAC。 DIP: 目的NVE的IP地址。 SIP：源NVE的IP地址。 UDP Dest Port：VXLAN保留UDP目的端口號，默認(rèn)為4789。 UDP Source Port：根據(jù)數(shù)據(jù)流HASH動態(tài)生成。 VXLAN I flag：必須置為1，標(biāo)識VNI字段有效。 VXLAN VNI：24比特，用于標(biāo)識虛擬網(wǎng)絡(luò)，最大支持16M。 Original Ethernet F

3、rame：按照標(biāo)準(zhǔn)建議，報文進(jìn)行VXLAN封裝后，需要剝掉原始報文的VLAN TAG，即使不剝掉，在egress NVE也僅僅基于VNI轉(zhuǎn)發(fā)（忽略原始報文的VLAN）。,5,2020/10/23,VXLAN概述VXLAN概念,Layer 2 or Layer 3,NVE Core,NVE Core,NVE Edge,NVE Edge,NVE Edge,NVO3概念,NVO3(Network Virtualization Over Layer 3)，基于三層IP overlay網(wǎng)絡(luò)構(gòu)建虛擬網(wǎng)絡(luò)技術(shù)統(tǒng)稱為NVO3，目前比較有代表性的有：VXLAN、NVGRE、STT。 運(yùn)行NVO3的設(shè)備叫做NVE

4、（Network Virtualization Edge），它位于overlay網(wǎng)絡(luò)的邊界，實現(xiàn)二、三層的虛擬化功能；,VXLAN概念,VXLAN(Virtual Extensible LAN，虛擬可擴(kuò)展局域網(wǎng))是目前NVO3中影響力最為廣泛的一種。它通過L2 over L4（MAC in UDP）的報文封裝方式，實現(xiàn)基于IP overlay的虛擬局域網(wǎng)。,6,2020/10/23,VXLAN概述 VXLAN轉(zhuǎn)發(fā)數(shù)據(jù)封裝,A,B,逐跳改變 外層Mac,端到端不變VTEP IP,源終端的二層報文能夠穿越IP網(wǎng)絡(luò)到達(dá)目的終端，VXLAN網(wǎng)絡(luò)對于主機(jī)來說相當(dāng)于是Bridge Fabric！,內(nèi)層MA

5、C,VTEP IP,外層MAC,Ingress NVE,Transit,Egress NVE,VNI,7,VXLAN概述VTEP概念,VTEP概念,VTEP（VXLAN Tunnel EndPoint，VXLAN隧道端點） ,VXLAN網(wǎng)絡(luò)中的NVE以VTEP進(jìn)行標(biāo)識； 每一個NVE至少有一個VTEP，VTEP使用NVE的IP地址表示； 兩個VTEP可以確定一條VXLAN隧道，VTEP間的這條VXLAN隧道將被兩個NVE間的所有VNI所公用；,NVE1,NVE2,VXLAN Tunnel,NVE3,VTEP1:1.1.1.3,VTEP1:1.1.1.1,VTEP2:1.1.1.2,VNI Gr

6、een,VNI Red,VXLAN Tunnel,VXLAN Tunnel,VNI,VNI,VNI,VNI,8,2020/10/23,VXLAN概述VXLAN優(yōu)點,網(wǎng)絡(luò) 依賴小,隧道間水平分割、IP overlay TTL避免環(huán)路。,數(shù)據(jù)流量基于IP路由 SPF及ECMP快速轉(zhuǎn)發(fā)。,網(wǎng)絡(luò)變化實時偵聽全網(wǎng)拓?fù)浜撩胧諗俊?基于IP的overlay，僅需要邊界設(shè)備間IP可達(dá)。,環(huán)路 避免,高效 轉(zhuǎn)發(fā),快速 收斂,虛擬化,Overlay+VNI構(gòu)建虛擬網(wǎng)絡(luò)，支持多達(dá)的虛擬網(wǎng)絡(luò),部署 靈活,物理設(shè)備、vSwitch均能夠部署,9,2020/10/23,Diff-Serv信息傳遞,NVE1,NVE2,Ro

7、uter,VXLAN封裝時默認(rèn)剝掉原始報文的VLAN TAG（包括8021P） 在ingress NVE，將原始報文的8021P映射到overlay封裝IP頭中的DSCP； 在overlay網(wǎng)絡(luò)中根據(jù)外層IP頭的DSCP進(jìn)行PHB； 通過overlay網(wǎng)絡(luò)中根據(jù)外層IP頭將原始報文的Diff-Serv信息帶到egress NVE； 在egress NVE，再根據(jù)overlay封裝IP頭中的DSCP映射到原始報文的8021P,還原用戶報文的Diff-Serv信息；,10,BD1,BD2,BD1,BD2,BD1,BD2,VLAN 100,VLAN 100,VLAN 200,VLAN 200,VXL

8、AN Tunnel,NVE interface，在此接口下制定設(shè)備的loopback地址為VTEP地址，用于與其他設(shè)備建立VXLAN隧道 通過為VNI指定對端VTEP列表的方式，創(chuàng)建VXLAN同時將隧道與VNI關(guān)聯(lián) interface Nve1 source 2.2.2.2 vni 10000 head-end 1.1.1.1 3.3.3.3 vni 20000 head-end 1.1.1.1 3.3.3.3,interface LoopBack0 ip address 2.2.2.2 255.255.255.255,interface LoopBack0 ip address 1.1.1.

9、1 255.255.255.255,Bridge domain，抽象的廣播域，將VLAN與VNI關(guān)聯(lián)到一起 bridge-domain 1 vxlan vni 10000 vlan 100,VNI 10000,VNI 20000,VNI 10000,VNI 20000,interface LoopBack0 ip address 3.3.3.3 255.255.255.255,VNI 10000,VNI 20000,網(wǎng)關(guān)上的Bridge domain不需要關(guān)聯(lián)VLAN 基于Bridge domain創(chuàng)建網(wǎng)關(guān)接口，并配置網(wǎng)關(guān)IP、MAC bridge-domain 1 vxlan vni 100

10、00 vlan 100 interface Vbdif1 ip address 10.0.0.1 255.255.0.0 mac-address 0000-5e00-0101,Vbdif1,Vbdif2,VM1 IP：10.0.0.3,VM2 IP：10.2.0.3,CE VXLAN實現(xiàn)概況,11,2020/10/23,VXLAN數(shù)據(jù)轉(zhuǎn)發(fā)總體流程（同子網(wǎng)）,NVE1,NVE5,三層網(wǎng)絡(luò),網(wǎng)關(guān),NVE2,NVE3,NVE4,二層接入,VXLAN,VTEP1,VTEP2,VTEP3,VTEP4,VTEP5,12,ARP Request轉(zhuǎn)發(fā)流程,NVE1 mac轉(zhuǎn)發(fā)表,NVE 5單播路由,NVE1的

11、BUM復(fù)制表,A,B,NVE1,NVE5,NVE2,1,RB2 mac轉(zhuǎn)發(fā)表,學(xué)習(xí)遠(yuǎn)端表項,學(xué)習(xí)本地表項,NVE5,NVE1,NVE2,NVE3,NVE4,A,B,C,D,3,2,NVE2組播分發(fā)樹表,VTEP1,VTEP2,VTEP3,VTEP4,VTEP5,隧道水平分割,13,2020/10/23,ARP Reply轉(zhuǎn)發(fā)流程,RB2mac轉(zhuǎn)發(fā)表,NVE5單播轉(zhuǎn)發(fā)表,B,A,NVE2,NVE5,NVE1,2,3,RB1mac轉(zhuǎn)發(fā)表,學(xué)習(xí)遠(yuǎn)端表項,學(xué)習(xí)本地表項,1,Ingress NVE查找mac轉(zhuǎn)發(fā)表，根據(jù)目的VTEP 選擇一條負(fù)載分擔(dān)鏈路，封裝轉(zhuǎn)發(fā)ARP報文,2,3,中間節(jié)點，IP透傳ov

12、erlay報文,Egress NVE接收報文并解封裝，在本地轉(zhuǎn)發(fā),A,B,C,D,ARP Reply單播轉(zhuǎn)發(fā)流程,1,VTEP1,VTEP2,VTEP3,VTEP4,NVE1,NVE2,NVE3,NVE4,NVE5,VTEP5,14,2020/10/23,A到B單播轉(zhuǎn)發(fā)流程,A,B,NVE1,NVE5,NVE2,2,NVE2 mac轉(zhuǎn)發(fā)表,A到B的單播轉(zhuǎn)發(fā)流程,1,Ingress NVE查找mac轉(zhuǎn)發(fā)表，根據(jù)目的VTEP 選擇一條負(fù)載分擔(dān)鏈路，封裝轉(zhuǎn)發(fā)單播報文,2,3,中間節(jié)點，IP透傳overlay報文,Egress NVE接收報文并解封裝，在本地轉(zhuǎn)發(fā),3,1,A,B,C,D,VTEP1,V

13、TEP2,VTEP3,VTEP4,NVE1,NVE2,NVE3,NVE4,NVE5,VTEP5,NVE2mac轉(zhuǎn)發(fā)表,NVE5單播轉(zhuǎn)發(fā)表,15,2020/10/23,VXLAN數(shù)據(jù)轉(zhuǎn)發(fā)總體流程（跨子網(wǎng)）,NVE1,NVE5,三層網(wǎng)絡(luò),網(wǎng)關(guān),NVE2,NVE3,NVE6,二層接入,VXLAN,VTEP1,VTEP2,VTEP3,VTEP6,VTEP5,16,A到E單播轉(zhuǎn)發(fā)流程,A,E,NVE1,NVE5,NVE6,2,NVE6mac轉(zhuǎn)發(fā)表,A到E跨子網(wǎng)單播轉(zhuǎn)發(fā)流程,1,Ingress NVE查找mac轉(zhuǎn)發(fā)表，根據(jù)目的VTEP 選擇一條負(fù)載分擔(dān)鏈路，封裝轉(zhuǎn)發(fā)單播報文發(fā)給網(wǎng)關(guān)NVE5,2,3,網(wǎng)關(guān)解

14、封裝報文，根據(jù)內(nèi)層IP頭查路由、ARP，替換內(nèi)層以太頭，封裝VXLAN；,Egress NVE接收報文并解封裝，在本地轉(zhuǎn)發(fā),3,1,A,B,C,E,VTEP1,VTEP2,VTEP3,VTEP6,NVE1,NVE2,NVE3,NVE6,NVE5,VTEP5,NVE1mac轉(zhuǎn)發(fā)表,NVE5 ARP轉(zhuǎn)發(fā)表,17,2020/10/23,目錄,VXLAN基本原理介紹 DC內(nèi)VXLAN based EVPN部署 網(wǎng)關(guān)集中部署 分布式Anycast網(wǎng)關(guān)部署 設(shè)備&鏈路可靠性 廣播泛洪優(yōu)化 大二層防環(huán) DC間VXLAN based EVPN部署 配置部署優(yōu)化 EVPN故障定位指導(dǎo),18,2020/10/23

15、,L2接入,GW匯聚,L3核心,網(wǎng)關(guān)集中部署,Leaf1,Leaf2,Leaf3,vSwitch,VM VNI 10,vSwitch,VM VNI 20,Server VNI 20,Router,Router,WAN,FW/LB,FW/LB,Leaf節(jié)點作為VTEP，僅實現(xiàn)VLAN接入,Spine同時做VTEP及網(wǎng)關(guān)，實現(xiàn)隧道及二層終結(jié),1、所有Leaf與Spine全連接，Spine至少兩臺（以實現(xiàn)備份和負(fù)載分擔(dān)），通過路由打通Leaf間的轉(zhuǎn)發(fā)路徑，正常情況下Leaf間都有ECMP路徑； 2、Spine、Leaf節(jié)點都作為VXLAN的VTEP； 3、每個Leaf節(jié)點僅僅完成流量的二層接入，將用

16、戶報文封裝映射VNI，二層轉(zhuǎn)發(fā)將報文封裝在VXLAN發(fā)往本廣播域內(nèi)的目的節(jié)點； 4、Spine承擔(dān)集中三層網(wǎng)關(guān)的功能，將報文解封裝后路由轉(zhuǎn)發(fā)，實現(xiàn)不同廣播域的互通以及與外部網(wǎng)絡(luò)的互通； BGP EVPN作為VXLAN控制面： 觸發(fā)VTEP間自動建立VXLAN隧道，避免full-mesh的隧道配置； 控制面擴(kuò)散MAC表進(jìn)行MAC學(xué)習(xí)，可優(yōu)化未知流泛洪；,VXLAN BGP EVPN,Gateway,VTEP,Spine1,Spine2,Gateway,VTEP,VTEP,VTEP,VTEP,19,2020/10/23,網(wǎng)關(guān)集中式VXLAN業(yè)務(wù)模型,VLAN,VLAN,VLAN,VLAN,VTEP

17、1,VTEP2,VTEP3,VTEP4,L2 VNI,L2 VNI,L2 VNI,L2 VNI,同子網(wǎng) RAW 以太,同子網(wǎng) RAW 以太,跨子網(wǎng),跨子網(wǎng),VLAN映射VNI,網(wǎng)關(guān)綁定VRF,VNI還原VLAN,VXLAN大二層，VNI標(biāo)記二層域，VXLAN隧道實現(xiàn)域內(nèi)連通； 跨子網(wǎng)流量通過MAC轉(zhuǎn)發(fā)集中到網(wǎng)關(guān)，通過網(wǎng)關(guān)直接映射VRF；,VTEP,報文封裝 L2 VNI,報文封裝 L2 VNI,跨子網(wǎng),跨子網(wǎng),VNI Gateway IP MAC VRF,VNI Gateway IP MAC VRF,20,2020/10/23,網(wǎng)關(guān)集中式BGP EVPN協(xié)議交互,VLAN,VLAN,VLAN,

18、VLAN,VTEP1,VTEP2,VTEP3,VTEP4,L2 VNI,L2 VNI,L2 VNI,L2 VNI,VNI還原VLAN,VTEP,VNI Gateway IP MAC VRF,VNI Gateway IP MAC VRF,BGP EVPN,BGP EVPN發(fā)布 L2 VNI VTEP IP,BGP EVPN接收 L2 VNI VTEP IP 自動建立VXLAN Peer to Peer 隧道，隧道關(guān)聯(lián)VNI，簡化隧道full-mesh配置,BGP EVPN發(fā)布 VNI Host MAC address,HOST,BGP EVPN接收 VNI Host MAC address 學(xué)習(xí)

19、MAC地址表，指導(dǎo)同子網(wǎng)單播轉(zhuǎn)發(fā),HOST,HOST,HOST,21,2020/10/23,目錄,VXLAN基本原理介紹 DC內(nèi)VXLAN based EVPN部署 網(wǎng)關(guān)集中部署 分布式Anycast網(wǎng)關(guān)部署 設(shè)備&鏈路可靠性 廣播泛洪優(yōu)化 大二層防環(huán) DC間VXLAN based EVPN部署 配置部署優(yōu)化 EVPN故障定位指導(dǎo),22,2020/10/23,Border Leaf,Service Leaf,Server Leaf,Spine1,Spine2,Leaf1,Leaf2,Leaf3,vSwitch,VM VNI 10,vSwitch,VM VNI 20,Server VNI 20,

20、Leaf4,Leaf5,WAN,FW/LB,分布式Anycast 網(wǎng)關(guān),1、所有Leaf與Spine全連接，Spine至少兩臺（以實現(xiàn)備份和負(fù)載分擔(dān)），通過IGP路由打通Leaf間的轉(zhuǎn)發(fā)路徑，正常情況下Leaf間都有ECMP路徑； 2、Leaf節(jié)點作為VXLAN的VTEP，Spine不必須為VTEP； 3、每個Leaf節(jié)點都是三層網(wǎng)關(guān)，用戶的三層流量在本地Leaf節(jié)點終結(jié)； 4、需要給不同的Leaf劃分不同的功能，以實現(xiàn)與外部互通、防火墻過濾等功能； BGP EVPN作為VXLAN控制面： 觸發(fā)VTEP間自動建立VXLAN隧道，避免full-mesh的隧道配置； 控制面擴(kuò)散主機(jī)路由、MAC，指

21、導(dǎo)流量轉(zhuǎn)發(fā)；,Leaf節(jié)點作為VTEP，同時作為網(wǎng)關(guān),Spine不作VTEP，不感知VXLAN,VXLAN BGP EVPN,Gateway,VTEP,Gateway,VTEP,Gateway,VTEP,Gateway,VTEP,Gateway,VTEP,23,2020/10/23,分布式VXLAN業(yè)務(wù)模型,VLAN,VLAN,VLAN,VLAN,Router MAC1,Router MAC2,Router MAC3,Router MAC4,VTEP1,VTEP2,VTEP3,VTEP4,L2 VNI,VRF VNI,同子網(wǎng) RAW 以太,同子網(wǎng) RAW 以太,報文封裝 L2 VNI,跨子網(wǎng),

22、跨子網(wǎng),VLAN映射VNI,網(wǎng)關(guān)綁定VRF,VRF映射VNI,VNI還原VLAN,VNI還原VRF,VXLAN大二層，VNI標(biāo)記二層域，VXLAN隧道實現(xiàn)域內(nèi)連通； 分布式VXLAN網(wǎng)關(guān)，VNI標(biāo)記三層VRF域，VXLAN隧道實現(xiàn)VRF連通；,Gateway IP MAC VRF,L2 VNI,VRF VNI,VRF VNI,VRF VNI,L2 VNI,報文封裝 VRF VNI,報文封裝 L2 VNI,Gateway IP MAC VRF,Gateway IP MAC VRF,Gateway IP MAC VRF,L2 VNI,目的MAC區(qū)分流量同子網(wǎng)或跨子網(wǎng),24,2020/10/23,分

23、布式Anycast網(wǎng)關(guān)BGP EVPN協(xié)議交互,VLAN,VLAN,VLAN,VLAN,Router MAC1,Router MAC2,Router MAC3,Router MAC4,VTEP1,VTEP2,VTEP3,VTEP4,L2 VNI,VRF VNI,Gateway IP MAC VRF,L2 VNI,VRF VNI,VRF VNI,VRF VNI,L2 VNI,Gateway IP MAC VRF,Gateway IP MAC VRF,Gateway IP MAC VRF,L2 VNI,HOST,HOST,HOST,HOST,BGP EVPN發(fā)布 L2 VNI VRF VNI VT

24、EP IP,BGP EVPN接收 L2 VNI VRF VNI VTEP IP 自動建立VXLAN Peer to Peer 隧道，隧道關(guān)聯(lián)VNI，簡化隧道full-mesh配置,BGP EVPN發(fā)布 L2 VNI VRF VNI Router MAC Host MAC address HOST IP,BGP EVPN接收 L2 VNI VRF VNI Router MAC Host MAC address HOST IP MAC 下發(fā)MAC表，IP下發(fā)主機(jī)路由表,Border Leaf,VTEP5,BGP EVPN發(fā)布 VRF VNI Router MAC IP Prefix Mask Le

25、ngth,BGP EVPN接收 VRF VNI Router MAC IP Prefix Mask Length IP Prefix 下發(fā)網(wǎng)絡(luò)路由表,VRF A,VRF ,VRF ,25,2020/10/23,網(wǎng)關(guān)部署對比,Internet /Access VRF,Internet /Access VRF,Tenant VRF,Tenant VRF,Gateway,Spine,Internet /Access VRF,Border leaf,Internet /Access VRF,Gateway,Server leaf,Server leaf,Tenant VRF,Service leaf,

26、VXLAN,Internet/ Access VRF,vFW,vFW,Web Subnet A,App Subnet B,Gateway,Web Subnet A,App Subnet B,靜態(tài)網(wǎng)關(guān) gateway,Dynamic gateway/routing,集中網(wǎng)關(guān),分布式網(wǎng)關(guān),26,2020/10/23,集中網(wǎng)關(guān),分布式網(wǎng)關(guān),PE,Spine,Server Leaf,不同接入東西向（L2&L3）,南北向,同一設(shè)備L2,同一接入設(shè)備L3,Spine,Server Leaf,Border Leaf,PE,Service Leaf,南北向,不同接入東西向（L2&L3）,同一接入設(shè)備L3,同一

27、設(shè)備L2,轉(zhuǎn)發(fā)路徑優(yōu)化對比,27,2020/10/23,Internet /Access VRF,Internet /Access VRF,Tenant VRF,Tenant VRF,Tenant VRF,Centralized VXLAN,Distributed VXLAN,Tenant VRF,Spine,Internet /Access VRF,Border leaf,Internet /Access VRF,Tenant VRF,Server leaf,Server leaf,Tenant VRF,Service leaf,VXLAN,Internet/ Access VRF,vFW,

28、vFW,防火墻流量過濾對比,28,2020/10/23,目錄,VXLAN基本原理介紹 DC內(nèi)VXLAN based EVPN部署 網(wǎng)關(guān)集中部署 分布式Anycast網(wǎng)關(guān)部署 設(shè)備&鏈路可靠性 廣播泛洪優(yōu)化 大二層防環(huán) DC間VXLAN based EVPN部署 配置部署優(yōu)化 EVPN故障定位指導(dǎo),29,2020/10/23,Leaf,Leaf,VTEP,VTEP,BGP EVPN,MAC,MAC,Spine,VTEP,GW,VXLAN tunnel,server,ARP,Leaf,Leaf,BGP EVPN,Spine,VTEP,GW,VXLAN tunnel,server,iStack,Le

29、af,VTEP,MAC,ARP,VTEP,Leaf,Leaf,BGP EVPN,Spine,VTEP,GW,VXLAN tunnel,server,Leaf,VTEP,MAC,ARP,vVTEP,M-LAG,LAG,LAG,主備,LAG,接入高可靠,服務(wù)器主備網(wǎng)卡連接到交換機(jī) 傳統(tǒng)高可靠方式，1:1的保護(hù)，可保證網(wǎng)卡故障，仍有足夠的帶寬承載業(yè)務(wù)； 鏈路利用率低；,交換機(jī)二虛一，組建堆疊與服務(wù)器網(wǎng)卡bonding對接 1+1保護(hù)，鏈路故障帶寬可能不足； 鏈路利用率高； 邏輯網(wǎng)元少，可以減少配置工作；,交換機(jī)獨立，組建跨設(shè)備的LAG與服務(wù)器網(wǎng)卡bonding對接； 1+1保護(hù)，鏈路故障帶寬可能不足

30、； 鏈路利用率高； 設(shè)備獨立，升級簡單、可靠性高；,30,2020/10/23,多個網(wǎng)關(guān)設(shè)備上： 配置相同的loopback地址作為VTEP； 配置相同的網(wǎng)關(guān)接口，網(wǎng)關(guān)接口的IP、MAC等配置都相同；,接入設(shè)備上MAC和IP路由轉(zhuǎn)發(fā)表,1、網(wǎng)關(guān)故障，在恢復(fù)時，讓恢復(fù)設(shè)備發(fā)布低優(yōu)先的路由（通過控制器調(diào)整），保證上下行流量發(fā)給其他網(wǎng)關(guān)，待網(wǎng)關(guān)ARP恢復(fù)后，再恢復(fù)路由優(yōu)先級，讓此網(wǎng)關(guān)參與負(fù)載分擔(dān)； 2、網(wǎng)關(guān)下行口故障，underlay路由收斂； 3、網(wǎng)關(guān)上行口全故障，依靠OPS聯(lián)動將VTEP地址發(fā)布的優(yōu)先級降低，保證上行流不發(fā)到故障網(wǎng)關(guān)。,與傳統(tǒng)的堆疊、VRRP網(wǎng)關(guān)比，有如下一些優(yōu)勢： 網(wǎng)關(guān)之間不需

31、要運(yùn)行類似VRRP、GLBP的基于子網(wǎng)粒度的心跳協(xié)議，網(wǎng)關(guān)信令處理壓力小。 相比VRRP三層網(wǎng)關(guān)，物理網(wǎng)關(guān)之間流量能夠?qū)崿F(xiàn)Flow-based Loadbalancing，網(wǎng)關(guān)能夠擴(kuò)展到多臺。 可以通過路由協(xié)議控制器vVTEP的路由發(fā)布，實現(xiàn)流量無損網(wǎng)關(guān)擴(kuò)容或升級,集中網(wǎng)關(guān)高可靠,31,2020/10/23,目錄,VXLAN基本原理介紹 DC內(nèi)VXLAN based EVPN部署 網(wǎng)關(guān)集中部署 分布式Anycast網(wǎng)關(guān)部署 設(shè)備&鏈路可靠性 廣播泛洪優(yōu)化 大二層防環(huán) DC間VXLAN based EVPN部署 配置部署優(yōu)化 EVPN故障定位指導(dǎo),32,2020/10/23,風(fēng)暴抑制、未知單播禁

32、止,Leaf,VTEP,BGP EVPN,Leaf,VTEP,VLAN,VLAN,VXLAN tunnel,風(fēng)暴抑制，限制泛洪的速率，超出速率后報文丟棄,VM-1,VM-2,風(fēng)暴抑制 網(wǎng)絡(luò)正常運(yùn)行時，需要泛洪的BUM流量實際較少（主要是廣播ARP） 可在交換機(jī)設(shè)備的接入端口部署風(fēng)暴抑制，減少異常下VXLAN域內(nèi)大量泛洪，對網(wǎng)絡(luò)內(nèi)主機(jī)性能的影響；,未知單播禁止 傳統(tǒng)網(wǎng)絡(luò)依賴流量泛洪進(jìn)行MAC學(xué)習(xí)，引入EVPN協(xié)議發(fā)布MAC后，本地學(xué)習(xí)后，流量無需廣播到其他家換機(jī)，依靠EVPN即可將MAC推送到其他交換機(jī)； 可關(guān)閉未知單播的泛洪，進(jìn)一步減少泛洪；,33,2020/10/23,ARP廣播優(yōu)化 Bro

33、adcast to Unicast,VTEP1,VTEP2,BGP EVPN,Spine,VTEP3,GW,VLAN,VLAN,VM-1,VM-2,ARP廣播請求,查cache，替換為單播MAC,單播ARP請求,ARP單播應(yīng)答,相比傳統(tǒng)的代答由如下優(yōu)勢： 網(wǎng)絡(luò)不會吃掉ARP報文；安全風(fēng)險?。?當(dāng)前ARP的應(yīng)用已經(jīng)超出地址解析的范疇，如集群心跳檢測，如果網(wǎng)絡(luò)吃掉ARP可能引發(fā)問題； 目的端能感知到ARP請求， ARP交互過程完整，協(xié)議兼容好；,34,2020/10/23,ARP廣播優(yōu)化 ARP Proxy,VTEP1,VTEP2,BGP EVPN,Spine,GW,VLAN,VLAN,VM-1,

34、VM-2,ARP廣播請求,查cache，直接以Anycast 網(wǎng)關(guān)MAC應(yīng)答,在接入Anycast網(wǎng)關(guān)上以Gateway MAC做欺騙應(yīng)答； 所有同子網(wǎng)的IP報文的轉(zhuǎn)發(fā)可轉(zhuǎn)化為VTEP間的三層路由轉(zhuǎn)發(fā)，可將二層轉(zhuǎn)發(fā)的流量降低到最少，減少泛洪的風(fēng)險。,GW,35,2020/10/23,目錄,VXLAN基本原理介紹 DC內(nèi)VXLAN based EVPN部署 網(wǎng)關(guān)集中部署 分布式Anycast網(wǎng)關(guān)部署 設(shè)備&鏈路可靠性 廣播泛洪優(yōu)化 大二層防環(huán) DC間VXLAN based EVPN部署 配置部署優(yōu)化 EVPN故障定位指導(dǎo),36,2020/10/23,通過BPDU Guard防止交換機(jī)端口誤接,A

35、ccess Switc收到BPDU，關(guān)閉端口，破除環(huán)路,Access Switch,BPDU,Access Switc收到BPDU，關(guān)閉端口，破除環(huán)路,VXLAN本身是一個無環(huán)網(wǎng)絡(luò)，因為其隧道間的水平分割杜絕了VXLAN域內(nèi)成環(huán)的可能； 接入設(shè)備如果連接錯誤可能導(dǎo)致環(huán)路，影響VXLAN域內(nèi)所有交換機(jī)； 交換機(jī)端口一般都默認(rèn)開啟STP，會周期發(fā)送BPDU，而服務(wù)器不會發(fā)送BPDU，接入交換機(jī)如果收到BPDU，則可判斷為錯誤連線，連到交換機(jī)，部署B(yǎng)PDU Guard可在接入交換機(jī)端口收到BDPU時關(guān)閉端口，一防止出現(xiàn)環(huán)路；,37,2020/10/23,通過MAC Flapping檢測防止Linux

36、 Bridge誤接,Access Switch,Access Switch,Access Switch,Access Switch,VXLAN Tunnel,VXLAN Tunnel,VXLAN Tunnel,VXLAN Tunnel,交換機(jī)下行接口部署MAC Flapping檢測，可檢測出多種環(huán)路，并將下行端口關(guān)閉，避免出現(xiàn)環(huán)路； VXLAN Tunnel不會關(guān)閉，不影響其他端口流量轉(zhuǎn)發(fā)； 此外可配合控制器，控制器接收設(shè)備的MAC Flapping告警，精確控制接口的關(guān)閉；,38,2020/10/23,目錄,數(shù)據(jù)中心SDN Glance VXLAN基本原理介紹 DC內(nèi)VXLAN based

37、EVPN部署 DC間VXLAN based EVPN部署 DCI二層互通 DCI三層互通 配置部署優(yōu)化 EVPN故障定位指導(dǎo),39,2020/10/23,Underlay IP,Underlay IP,使用VXLAN進(jìn)行DCI二層互聯(lián)的方式,VLAN,VLAN,DC A,DCI,VXLAN based EVPN,border,DCI VTEP,DCI VTEP,DC B,border,DC A,border,DC B,border,VTEP,VTEP,DCI IP Network,VXLAN based EVPN,方式一 分段：DC與DCI VTEP間采用VLAN、DCI為VXLAN 優(yōu)點：

38、不同DC間不需要運(yùn)行相同的協(xié)議，協(xié)議獨立； 不需要相同的封裝，架構(gòu)獨立、異構(gòu)兼容； DC間邏輯上P2P連接，方便在入口進(jìn)行帶寬、策略控制、廣播風(fēng)暴控制； 缺點： DCI設(shè)備要求高 建議大規(guī)模、模塊化DC使用。,方式一 合一：不同DC的VTEP間直接VXLAN互通，DCI為underlay IP透傳，邏輯上是一個大VXLAN域 優(yōu)點： 邏輯上一個DC，簡單； 缺點： DC間協(xié)議、封裝全部要一致； 建議小規(guī)格DC使用；,40,2020/10/23,目錄,數(shù)據(jù)中心SDN Glance VXLAN基本原理介紹 DC內(nèi)VXLAN based EVPN部署 DC間VXLAN based EVPN部署 DC

39、I二層互通 DCI三層互通 配置部署優(yōu)化 EVPN故障定位指導(dǎo),41,2020/10/23,VXLAN實現(xiàn)三層互通（可部分替代L3VPN）,EVPN協(xié)議定義了可以將其他協(xié)議或本設(shè)備產(chǎn)生的子網(wǎng)路由通過BGP EVPN發(fā)布，結(jié)合VXLAN隧道，可實現(xiàn)不同DC通過VXLAN實現(xiàn)類似L3VPN的互聯(lián)互通，簡化不同DC間三層互通部署。,BGP EVPN發(fā)布網(wǎng)關(guān)IP Prefix路由,BGP EVPN,BGP EVPN接收IP Prefix路由，路徑指向VXLAN Tunnel,42,2020/10/23,目錄,VXLAN基本原理介紹 DC內(nèi)VXLAN based EVPN部署 DC間VXLAN base

40、d EVPN部署 配置部署優(yōu)化 EVPN故障定位指導(dǎo),43,2020/10/23,通過Controller簡化Overlay業(yè)務(wù)部署,VTEP1,VTEP2,VTEP3,Gateway 1,VNI 1,VTEP,VTEP,Gateway 1,VNI 1,VNI 1,VNI1,VNI1,按需創(chuàng)建VNI,自動創(chuàng)建網(wǎng)關(guān),BGP EVPN 建立隧道，擴(kuò)散轉(zhuǎn)發(fā)表,FW/LB,FW/LB,自動下發(fā)策略,通過SDN Controller簡化Overlay業(yè)務(wù)部署： 接入設(shè)備 按需給創(chuàng)建VNI，將VLAN映射VXLAN； 網(wǎng)關(guān)設(shè)備 自動創(chuàng)建VNI三層IP Gateway； 自動完成網(wǎng)關(guān)子網(wǎng)路由發(fā)布； 自動完成

41、網(wǎng)關(guān)到FW的引流； FW設(shè)備 自動進(jìn)行策略下發(fā)； BGP EVPN在控制器完成VNI創(chuàng)建后，協(xié)議觸發(fā)隧道建立，進(jìn)行轉(zhuǎn)發(fā)表擴(kuò)散。,44,2020/10/23,目錄,VXLAN基本原理介紹 DC內(nèi)VXLAN based EVPN部署 DC間VXLAN based EVPN部署 配置部署優(yōu)化 EVPN故障定位指導(dǎo),45,2020/10/23,EVPN故障定位整體思路,目前VXLAN網(wǎng)絡(luò)中提供網(wǎng)絡(luò)診斷工具如下： 1.基于設(shè)備的Ping、Trace，可以基于VRF進(jìn)行簡單的連通性判斷 2.路徑可視化 1.單路徑探測，用于對單條流量進(jìn)行轉(zhuǎn)發(fā)路徑探測，一般用于流量故障時，進(jìn)行故障診斷 2.多路徑探測，用于對兩個VTEP節(jié)點間所有轉(zhuǎn)發(fā)路徑進(jìn)行探測，一般用于定期對網(wǎng)絡(luò)時行診斷，提前發(fā)現(xiàn)問題 3.流量統(tǒng)計，基于多種維度對流量進(jìn)行統(tǒng)計，用來觀察進(jìn)出設(shè)備的流量情況是否正常 4.如果需要知道某一臺設(shè)備具體出了什么問題，可以使用設(shè)備的一些調(diào)試命令行，進(jìn)行進(jìn)一步的查看。 5.Syslog & 告警，設(shè)備處理異常的時候會記錄一些Syslog或告警，用于輔助診斷,46,EVPN故障定位整體思路,幾種典型的故障處理思路： 1.配置錯誤導(dǎo)致的設(shè)備狀態(tài)不正確，這種情況一般是配置錯誤導(dǎo)致，可以通過檢查相關(guān)配置及協(xié)議狀態(tài)進(jìn)行排查，一般包括： 1.BGP 鄰居配置及鄰居