EVPN/VXLAN Architecture Deep Dive
EVPN/VXLAN Architettura Deep Dive
Tipi di percorsi BGP EVPN, scoperta VTEP, IRB simmetrico vs asimmetrico, soppressione ARP e multi-homing — con esempi Cisco NX-OS, Arista EOS e Junos CLI.
1. Perché VXLAN?
I VLAN IEEE 802.1Q sono bloccati a 4.094 ID per dominio broadcast — un vincolo duro nei data center multi-tenant in cui migliaia di segmenti dei clienti devono coesistere su infrastrutture condivise. VXLAN (Virtual eXtensible LAN, ) risolve questo problema incapsulando i frame Ethernet all'interno di UDP/IP, utilizzando un VNI a 24 bit (VXLAN Network Identifier) per supportare fino a 16,7 milioni di segmenti logici.
VXLAN decouples the virtual Layer 2 topology from the fisici Layer 3 underlay, consentendo il routing IP standard (ECMP, OSPF, BGP) tra VXLAN Tunnel Endpoints (VTEPs) senza allungare VLAN. L'intestazione esterna UDP utilizza la porta di destinazione (IANA-assegnata; le prime distribuzioni utilizzate 8472). L'incapsulamento totale è ~50 byte su IPv4, ~70 byte su IPv6.
2. VTEP Discovery Methods
I VTEP devono scoprire i VTEP peer per impostare i tunnel e distribuire il traffico BUM (Broadcast, Unknown unicast, Multicast). Tre meccanismi sono dispiegati in pratica:
| Metodo | Come funziona | Punti positivi | Punti negativi |
|---|---|---|---|
| Multicast | Ogni VNI mappa a un gruppo multicast PIM nel sottotetto; il traffico BUM è inondato a quel gruppo | Semplice; scoperta automatica del peer | Richiede PIM multicast in sottosella; molti operatori disabilitano multicast |
| Replica d'ingresso | Ogni VTEP mantiene una lista unicast esplicita di VTEP remoti per VNI; il traffico BUM viene replicato a ogni peer | Nessun multicast richiesto | Head-end fa la replica O(N) per il pacchetto BUM; le liste peer statiche richiedono la manutenzione manuale |
| BGP EVPN | RT-3 Le rotte IMET pubblicizzano l'appartenenza a VTEP; RT-2 le rotte distribuiscono gli attacchi MAC+IP; nessuna alluvione e piombo | Apprendimento MAC a piano di controllo; soppressione ARP; scale a migliaia di VTEP; standard | BGP stack richiesto su tutti i VTEP o route-reflectors |
I moderni centri di dati greenfield utilizzano esclusivamente BGP EVPN. Multicast e ingress-replicazione sono approcci legacy ancora presenti in ambienti brownfield.
3. BGP EVPN Tipi di percorso
BGP EVPN) utilizza AFI 25 (L2VPN) / SAFI 70 (EVPN) per distribuire cinque tipi di percorso. RT-5 è stato definito separatamente (ottobre 2021).
| RT RT RT RT RT RT RT RT RT RT RT RT | Nome | Oggetto | Campi chiave NLRI |
|---|---|---|---|
| 1 | Ethernet Auto-Discovery | Per-ES e per-EVI prelievo di massa sul guasto del collegamento; alias per l'equilibrio multi-homing | RD, ESI, Ethernet Tag ID, etichetta MPLS |
| 2 | MAC/IP Pubblicità | Distribuire indirizzi MAC (e facoltativamente l'IP rilegato) per consentire la soppressione ARP ed eliminare l'alluvione-e-learn | RD, ESI, tag VLAN, indirizzo MAC, indirizzo IP (opzionale), etichette L2VNI + L3VNI |
| 3 | Etichetta Multicast (IMET) | Pubblicizzare la raggiungibilità VTEP per VNI; usato per costruire liste di ingresso-replica e attivare l'inoltro BUM | RD, Ethernet Tag ID, IP di Originating Router (indirizzo VTEP); PMSI Tunnel attributo porta VNI e tipo tunnel |
| 4 | Route del segmento Ethernet | Elezioni Designate Forwarder (DF) tra i PE che condividono un Segmento Ethernet; assicura solo un PE in avanti BUM nel segmento CE | RD, ESI, Router di origine IP |
| 5 | Percorso prefisso IP | Pubblicizzare i prefissi IP nella sovrapposizione EVPN per il routing inter-subnet; richiede un L3VNI dedicato (transit VNI) | RD, Ethernet Tag ID, lunghezza prefisso IP, prefisso IP, indirizzo IP GW, etichetta L3VNI |
4. IRB simmetrico vs asimmetrico
Routing integrato e Bridging (IRB) descrive come il traffico di rotta VTEPs tra subnet overlay. Due modelli sono definiti in :
IRB asimmetrico:destinazione
IRB simmetrico:L3V
| IRB asimmetrica | IRB simmetrica | |
|---|---|---|
| L2VNIs necessario per VTEP | Tutti i VNI nel tessuto | Solo subnet collegati localmente |
| L3VNI (transito VNI) | Non richiesto | Richiesto — uno per VRF |
| Tubo di routine | Ingresso VTEP solo | VTEP in entrata e in uscita |
| Scala | Povero (tutti i VNI ovunque) | Buono (solo subnet locali) |
| RT RT RT RT RT RT RT RT RT RT RT RT RT RT | Non supportato | Supportato (utilizza L3VNI) |
5. Soppressione ARP
Senza EVPN, una richiesta ARP da un host viene trasmessa nel suo VNI e inondata a ogni VTEP nel tessuto. Con BGP EVPN, le rotte RT-2 distribuiscono i binding MAC+IP a tutti i VTEP non appena vengono imparati gli host. Quando un ARP host per un IP remoto, il VTEP locale risponde direttamente dalla sua tabella BGP - nessun pacchetto ARP attraversa il tessuto VXLAN. Questo elimina l'alluvione BUM per host noti ed è particolarmente efficace nei tessuti con migliaia di VM per VTEP.
La soppressione ND (Neighbor Discovery) funziona in modo identico per le rotte IPv6 — RT-2 trasportano indirizzi IPv6 nel campo IP del NLRI, e il VTEP risponde ai messaggi NS localmente.
6. Multi-Homing ed ESI
Un Identifier Segment Ethernet (ESI) è un identificatore da 10 byte assegnato al bundle logico che collega un dispositivo CE a più VTEP PE. Esistono due modalità di inoltro:
- Azione unica
- All-Active
7. Vendor CLI Quick Reference
| Attività | Cisco NX- OS | Arista EOS | Juniper Junos |
|---|---|---|---|
| Mostra le rotte di EVPN | show bgp l2vpn evpn |
show bgp evpn |
show route table bgp.evpn.0 |
| Mostra peers VTEP | show nve peers |
show vxlan vtep |
show evpn instance |
| Mostra MAC sovrapposizione | show mac address-table |
show vxlan address-table |
show evpn mac-ip-table |
| Mostra cache di soppressione ARP | show ip arp suppression-cache detail |
show vxlan address-table detail |
show evpn mac-ip-table extensive |
| Mostra mappatura VNI-to-VRF | show nve vni |
show vxlan vni |
show evpn instance extensive |
| Mostra ESI multi-homing | show nve ethernet-segment |
show bgp evpn instance |
show evpn instance extensive |