EVPN/VXLAN Architecture Deep Dive
EVPN/VXLAN Architecture Deep Dive
BGP EVPN-rutttyper, VTEP-upptäckt, symmetrisk vs asymmetrisk IRB, ARP-undertryckning och multihoming - med Cisco NX-OS, Arista EOS och Junos CLI-exempel.
Varför VXLAN?
IEEE 802.1Q VLANs är begränsade till 4 094 ID per sändningsdomän - en hård begränsning i multi-tenant datacenter där tusentals kundsegment måste samexistera på delad infrastruktur. VXLAN (Virtual eXtensible LAN, ) löser detta genom att aktivera Ethernet-ramar inuti UDP/IP, med hjälp av en 24-bitars VNI (VXLAN Network Identifier) för att stödja upp till 16,7 miljoner logiska segment.
VXLAN frikopplar den virtuella Layer 2 topologin från den fysiska Layer 3 underlag, vilket möjliggör standard IP routing (ECMP, OSPF, BGP) mellan VXLAN Tunnel Endpoints (VTEPs) utan att sträcka VLANs. Den yttre UDP-rubriken använder destinationsport (IANA-tilldelade; tidiga utplaceringar användes 8472). Total inkapsling över huvudet är ~ 50 byte över IPv4, ~ 70 byte över IPv6.
VTEP Discovery Methods
VTEPs måste upptäcka peer VTEPs för att ställa in tunnlar och distribuera BUM (Broadcast, Unknown unicast, Multicast) trafik. Tre mekanismer används i praktiken:
| Metod | Hur det fungerar | Fördelar | Cons |
|---|---|---|---|
| Multicast | Varje VNI-kartor till en PIM-multicastgrupp i underlaget; BUM-trafiken översvämmas till den gruppen | Enkel; automatisk peer upptäckt | Kräver PIM multicast i underlag; många operatörer inaktiverar multicast |
| Ingress Replikation | Varje VTEP upprätthåller en explicit unicast lista över fjärr VTEP per VNI; BUM-trafik replikeras till varje peer | Ingen multicast krävs | Head-end gör O(N) replikering per BUM-paket; statiska peer listor kräver manuellt underhåll |
| BGP EVPN | RT-3 IMET-rutter annonserar VTEP-medlemskap; RT-2-rutter distribuerar MAC+IP-bindningar; inga översvämningar och läror | Kontrollplan MAC lärande; ARP förtryck; skalor till tusentals VTEPs; standard | BGP stack krävs på alla VTEPs eller ruttreflektorer |
Moderna greenfield datacenter använder BGP EVPN uteslutande. Multicast och ingressreplikation är äldre metoder som fortfarande finns i brunfältmiljöer.
BGP EVPN Route Typer
BGP EVPN (BGP EVPN)) använder AFI 25 (L2VPN) / SAFI 70 (EVPN) för att distribuera fem rutttyper. RT-5 definierades separat i (Oktober 2021).
| RT | Namnnamn | Syfte | Nyckel NLRI-fält |
|---|---|---|---|
| 1 1 | Ethernet Auto-Discovery | Per-ES och per-EVI mass-utdrag på länkfel; aliasing för all-aktiv multi-homing lastbalansering | RD, ESI, Ethernet Tag ID, MPLS-märkning |
| 2 2 2 | MAC/IP-reklam | Distribuera MAC-adresser (och valfritt den bundna IP) för att möjliggöra ARP-undertryckning och eliminera översvämningar och lära | RD, ESI, VLAN tag, MAC-adress, IP-adress (valfritt), L2VNI + L3VNI-etiketter |
| 3 3 3 3 3 | Inclusive Multicast Ethernet Tag (IMET) | Annonsera VTEP nåbarhet per VNI; används för att bygga ingress-replikationslistor och utlösa BUM vidarebefordran | RD, Ethernet Tag ID, Originating Routers IP (VTEP-adress); PMSI Tunnel attribut bär VNI och tunneltyp |
| 4.4 4. | Ethernet Segment Route | Utsedd Forwarder (DF) val bland PE: er som delar ett Ethernet Segment, garanterar endast en PE framåt BUM i CE segmentet | RD, ESI, Originating Router IP |
| 5.5 5.5 5.5 | IP Prefix Route | Annonsera IP-prefix i EVPN-överlägget för inter-subnet-routing; kräver en dedikerad L3VNI (transit VNI) | RD, Ethernet Tag ID, IP prefixlängd, IP prefix, GW IP-adress, L3VNI-märkning |
Symmetrisk vs asymmetrisk IRB
Integrerad Routing och Bridging (IRB) beskriver hur VTEPs trafikerar mellan överliggande subnetter. Två modeller definieras i Från:
Asymmetrisk IRB:destination destination
Symmetrisk IRB:L3VNI
| Asymmetrisk IRB | Symmetrisk IRB | |
|---|---|---|
| L2VNI behövs per VTEP | Alla VNI i tyget | Endast lokalt fästa subnät |
| L3VNI (transit VNI) | Inte nödvändigt | Krävs – en per VRF |
| Routing hops | Ingress VTEP endast | Ingress och egress VTEPs |
| Skala | Dåliga (alla VNI överallt) | Bra (endast lokala undernät) |
| RT-5 prefix | Inte stödd | Stöd (använder L3VNI) |
ARP Suppression
Utan EVPN sänds en ARP-begäran från en värd till sin VNI och översvämmas till varje VTEP i tyget. Med BGP EVPN distribuerar RT-2-rutter MAC+IP-bindningar till alla VTEPs så snart som värdar lärs. När en värd ARP för en fjärr IP svarar den lokala VTEP direkt från sitt BGP-befolkade bord - inget ARP-paket korsar VXLAN-tyget. Detta eliminerar BUM översvämningar för kända värdar och är särskilt effektiva i tyger med tusentals VM per VTEP.
ND (Neighbor Discovery) förtryck fungerar identiskt för IPv6 - RT-2-rutter bär IPv6-adresser i NLRI:s IP-fält och VTEP svarar lokalt på NS-meddelanden.
Multi-Homing och ESI
En Ethernet Segment Identifier (ESI) är en 10-byte identifierare tilldelad den logiska bunt som ansluter en CE-enhet till flera PE VTEPs. Två framåtgående lägen finns:
- Single-Active
- All-Active
7. Leverantör CLI Snabb Referens
| Uppgift | Cisco NX- OS | Arista EOS | Juniper Junos |
|---|---|---|---|
| Visa EVPN-rutter | show bgp l2vpn evpn |
show bgp evpn |
show route table bgp.evpn.0 |
| Visa VTEP peers | show nve peers |
show vxlan vtep |
show evpn instance |
| Show overlay MACs | show mac address-table |
show vxlan address-table |
show evpn mac-ip-table |
| Visa ARP suppression cache | show ip arp suppression-cache detail |
show vxlan address-table detail |
show evpn mac-ip-table extensive |
| Visa VNI-to-VRF kartläggning | show nve vni |
show vxlan vni |
show evpn instance extensive |
| Visa ESI multihoming | show nve ethernet-segment |
show bgp evpn instance |
show evpn instance extensive |