EVPN/VXLAN Architecture Deep Dive
EVPN/VXLAN Architektur Deep Dive
BGP EVPN Routentypen, VTEP Entdeckung, symmetrische vs asymmetrische IRB, ARP Unterdrückung und Multi-Homing - mit Cisco NX-OS, Arista EOS und Junos CLI Beispielen.
1. Warum VXLAN?
IEEE 802.1Q VLANs sind auf 4,094 IDs pro Broadcast-Domain beschränkt – eine harte Beschränkung in Multi-Tenant-Datenzentren, in denen Tausende von Kundensegmenten auf gemeinsame Infrastruktur koexistieren müssen. VXLAN (Virtual eXtensible LAN, ) löst dies durch die Verkapselung von Ethernet-Rahmen innerhalb von UDP/IP mit einem 24-Bit-VNI (VXLAN Network Identifier) um bis zu 16,7 Millionen logische Segmente zu unterstützen.
VXLAN entkoppelt die virtuelle Layer 2 -Topologie aus der physischen Layer 3 -Unterlage und ermöglicht eine Standard-IP-Routing (ECMP, OSPF, BGP) zwischen VXLAN Tunnel Endpoints (VTEPs) ohne VLAN-Strecke. Der äußere UDP-Header nutzt den Zielhafen (IANA zugewiesen; Früheinsätze verwendet 8472). Gesamtverkapselung über Kopf ist ~50 Bytes über IPv4, ~70 Bytes über IPv6.
2. VTEP Entdeckungsmethoden
VTEPs muss Peer VTEPs entdecken, um Tunnel einzurichten und BUM (Broadcast, Unknown Unicast, Multicast) Verkehr zu verteilen. In der Praxis werden drei Mechanismen eingesetzt:
| Methode | Wie es funktioniert | Pros | Negativ |
|---|---|---|---|
| Multicast | Jede VNI-Karten zu einer PIM-Multicast-Gruppe in der Unterlage; BUM-Verkehr wird zu dieser Gruppe geflutet | Einfache, automatische Peer Entdeckung | Erfordert PIM Multicast in Underlay; viele Operatoren deaktivieren Multicast |
| Zurück zur Übersicht | Jeder VTEP hält eine explizite Unicast-Liste von entfernten VTEPs pro VNI; BUM-Verkehr wird zu jedem Peer repliziert | Keine Multicast erforderlich | Kopfende repliziert O(N) pro BUM-Paket; statische Peerlisten erfordern manuelle Wartung |
| BGP EVPN | RT-3 IMET-Strecken bewerben VTEP-Mitgliedschaft; RT-2-Strecken vertreiben MAC+IP-Bindungen; keine Flut-und-learn | Control-plane MAC-Learning; ARP-Unterdrückung; Skalen auf Tausende von VTEPs; Standard | BGP-Stack auf allen VTEPs oder Routenreflektoren erforderlich |
Moderne Greenfield Rechenzentren verwenden BGP EVPN ausschließlich. Multicast und Ingress-Replikation sind Vermächtnis-Ansätze, die noch in Brownfield-Umgebungen gefunden werden.
3. BGP EVPN Routentypen
BGP EVPN () verwendet AFI 25 (L2VPN) / SAFI 70 (EVPN), um fünf Routentypen zu verteilen. RT-5 getrennt definiert (Oktober 2021).
| RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT RT | Name | Zweck | Schlüsselfelder NLRI |
|---|---|---|---|
| 1 | Ethernet Auto-Entdeckung | Per-ES und per-EVI Massenentzug auf Link-Versagen; Aliasing für all-aktive Multi-homing-Lastausgleich | RD, ESI, Ethernet Tag ID, MPLS Label |
| 2. | MAC/IP Werbung | MAC-Adressen (und optional das gebundene IP) verteilen, um ARP-Unterdrückung zu ermöglichen und Überschwemmungen zu beseitigen | RD, ESI, VLAN-Tag, MAC-Adresse, IP-Adresse (optional), L2VNI + L3VNI-Labels |
| 3 | Inclusive Multicast Ethernet Tag (IMET) | Advertise VTEP Erreichbarkeit pro VNI; verwendet, um Ingress-Replikationslisten zu erstellen und BUM-Forwarding auszulösen | RD, Ethernet Tag ID, Originating Router IP (VTEP-Adresse); PMSI Tunnel Attribut trägt VNI und Tunneltyp |
| ANHANG | Ethernet Segment Route | Designated Forwarder (DF) Wahl zwischen PEs, die ein Ethernet-Segment teilen; stellt nur ein PE vor BUM in das CE-Segment | RD, ESI, Originator Router IP |
| 5. | IP Prefix Route | IP-Präfixe in die EVPN-Overlay für Inter-Subnet-Routing einbinden; erfordert ein dediziertes L3VNI (Transit VNI) | RD, Ethernet Tag ID, IP-Präfixlänge, IP-Präfix, GW IP-Adresse, L3VNI-Label |
4. Symmetric vs Asymmetric IRB
Integriertes Routing und Bridging (IRB) wird beschrieben, wie VTEP den Verkehr zwischen Overlay-Subnetzen durchlaufen. Zwei Modelle sind definiert in :
asymmetrische IRB:Bestimmung
Symmetrische IRB:L3VNI
| Asymmetrische IRB | Symmetrische IRB | |
|---|---|---|
| L2VNIs benötigt pro VTEP | Alle VNIs im Stoff | Nur lokal angebrachte Subnetze |
| L3VNI (Transit VNI) | Nicht erforderlich | Erforderlich — eine pro VRF |
| Routing Hopfen | Ingress VTEP nur | Ingress und egress VTEPs |
| Skala | Arme (alle VNIs überall) | Gut (nur lokale Subnetze) |
| RT-5 Präfixe | Nicht unterstützt | Unterstützt (Verwendungen L3VNI) |
5. ARP Unterdrückung
Ohne EVPN wird eine ARP-Anfrage von einem Host in seinen VNI übertragen und auf jeden VTEP im Stoff geflutet. Mit BGP EVPN verteilen RT-2 Routen MAC+IP Bindungen an alle VTEPs, sobald Hosts erlernt werden. Wenn ein Host ARPs für eine Remote-IP, der lokale VTEP antwortet direkt von seiner BGP-bevölkerten Tabelle - kein ARP-Paket überquert das VXLAN-Gewebe. Dies eliminiert die BUM-Überflutung für bekannte Gastgeber und ist besonders in Stoffen mit Tausenden von VMs pro VTEP schlagartig.
ND (Neighbor Discovery) Unterdrückung funktioniert identisch für IPv6 — RT-2 Routen tragen IPv6-Adressen im IP-Feld der NLRI, und die VTEP beantwortet NS-Nachrichten lokal.
6. Multi-Homing und ESI
Ein Ethernet-Segment-Identifier (ESI) ist ein 10-Byte-Identifier, der dem logischen Bündel zugeordnet ist, das ein CE-Gerät mit mehreren PE-VTEPs verbindet. Es gibt zwei Weiterleitungsmodi:
- Einzelaktiv
- All-Active
7. Vendor CLI Quick Reference
| Aufgaben | Cisco NX... Sicherheit | Arista EOS | Wir sind hier |
|---|---|---|---|
| EVPN Routen anzeigen | show bgp l2vpn evpn |
show bgp evpn |
show route table bgp.evpn.0 |
| VTEP-Peers anzeigen | show nve peers |
show vxlan vtep |
show evpn instance |
| Überlagerung MACs anzeigen | show mac address-table |
show vxlan address-table |
show evpn mac-ip-table |
| ARP Unterdrückung Cache anzeigen | show ip arp suppression-cache detail |
show vxlan address-table detail |
show evpn mac-ip-table extensive |
| VNI-to-VRF Mapping anzeigen | show nve vni |
show vxlan vni |
show evpn instance extensive |
| ESI Multi-Homing anzeigen | show nve ethernet-segment |
show bgp evpn instance |
show evpn instance extensive |