EVPN in The Data Center-1

||||||||||||||||||||
Machine Translated by Google

khen
của
Lời
EVPN trong
Trung tâm dữ liệu
Dinesh G. Dutt
||||||||||||||||||||
||||||||||||||||||||
EVPN trong Trung tâm dữ liệu
Dinesh G. Dutt
Bắc Kinh Boston Farnham Sebastopol Tokyo

||||||||||||||||||||
EVPN trong Trung tâm dữ
liệu của Dinesh G. Dutt
Bản quyền © 2018 O'Reilly Media, Inc. Mọi quyền được bảo lưu.
In tại Hoa Kỳ.
Được xuất bản bởi O'Reilly Media, Inc., 1005 Gravenstein Highway North, Sebastopol, CA 95472.
Sách O'Reilly có thể được mua để sử dụng cho mục đích giáo dục, kinh doanh hoặc khuyến mại.
Các phiên bản trực tuyến cũng có sẵn cho hầu hết các đầu sách (http://oreilly.com/safari). Để biết
thêm thông tin, hãy liên hệ với bộ phận bán hàng của công ty/tổ chức của chúng tôi: 800-998-9938
hoặc công ty@oreilly.com.
Biên tập viên mua lại: Courtney Allen Người soát lỗi: Andrew Clark
Biên tập viên phát triển: Andy Oram Dwight Ramsey
Biên tập viên sản xuất: Justin Billing Nhà thiết kế nội thất: David Futato
Copyeditor: Octal Publishing, Inc. Nhà thiết kế bìa: Karen Montgomery

Người vẽ minh họa: Rebecca Demorite
Tháng 6 năm 2018: Ấn bản đầu tiên
Lịch sử sửa đổi cho lần xuất bản đầu tiên
2018-06-04: Bản phát hành đầu tiên
13-07-2018: Bản phát hành thứ hai
Logo O'Reilly là thương hiệu đã đăng ký của O'Reilly Media, Inc. EVPN trong Trung tâm dữ liệu, hình
ảnh bìa và trang phục thương mại liên quan là thương hiệu của O'Reilly Media, Inc.
Quan điểm thể hiện trong tác phẩm này là quan điểm của các tác giả, và không đại diện cho quan điểm
của nhà xuất bản. Mặc dù nhà xuất bản và các tác giả đã nỗ lực trung thực để đảm bảo rằng thông tin
và hướng dẫn trong tác phẩm này là chính xác, nhà xuất bản và các tác giả từ chối mọi trách nhiệm
đối với các lỗi hoặc thiếu sót, bao gồm nhưng không giới hạn trách nhiệm đối với các thiệt hại do
việc sử dụng hoặc dựa vào công việc này. Việc sử dụng thông tin và hướng dẫn có trong công việc này
là rủi ro của riêng bạn. Nếu bất kỳ mẫu mã hoặc công nghệ nào khác mà tác phẩm này chứa hoặc mô tả
phải tuân theo giấy phép nguồn mở hoặc quyền sở hữu trí tuệ của người khác, bạn có trách nhiệm đảm
bảo rằng việc sử dụng chúng tuân thủ các giấy phép và / hoặc quyền đó.
Công việc này là một phần của sự hợp tác giữa O'Reilly và Cumulus Networks. Xem tuyên bố độc lập
biên tập của chúng tôi.
978-1-492-02903-8
[LSI]
||||||||||||||||||||
Mục lục
v
Sự nhìn nhận. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1. Giới thiệu về EVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Phần mềm được sử dụng trong sách này 4
2. Ảo hóa mạng. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Ảo hóa mạng là gì? 5

Đường hầm mạng 9
Các giao thức 13
VXLAN để triển khai mặt phẳng điều 15
khiển Hỗ trợ cho các công nghệ ảo hóa mạng 16
Tóm tắt 18
3. Các Khối Xây dựng của Ethernet VPN. . . . . . . . . . . . . . . . . . . . . . . . . . 19
Lược sử tóm tắt về 20

Kiến trúc và Giao thức EVPN cho EVPN truyền thống
Triển khai 21
EVPN trong Trung tâm 22
dữ liệu BGP Xây dựng cho mạng ảo 24
Sửa đổi để hỗ trợ EVPN qua eBGP FRR Hỗ 30
trợ cho EVPN Tóm tắt 31
32
4. Kết nối với Ethernet VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Tổng quan về Cầu nối truyền thống 33

Tổng quan về Cầu nối với EVPN 35
Hỗ trợ cho các máy chủ được đính kèm kép 47
iii
||||||||||||||||||||
ARP / ND triệt tiêu 53
Bản tóm tắt 54
5. Định tuyến bằng Ethernet VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Trường hợp định tuyến trong các 55
mô hình định tuyến EVPN Định tuyến 56
được thực hiện ở đâu? 58
Cách thức hoạt động của định tuyến 61
trong EVPN Hỗ trợ nhà cung cấp cho định 72
tuyến EVPN Tóm tắt 72
6. Cấu hình và Quản trị Ethernet VPN. . . . . . . . . . . . . . . . . . . 73
Cấu trúc liên kết mẫu 74
Trường hợp cấu hình 76
Kết thúc đầu tiên: Hoàn thành cấu hình FRR 78
Khám phá cấu hình 85
Kiểm tra mạng EVPN 92
So sánh cấu hình FRR và Cisco EVPN 94
Cân nhắc khi triển khai EVPN trong các mạng lớn 95
Bản tóm tắt 97
iv | Mục lục
||||||||||||||||||||
Sự nhìn nhận
Tôi muốn tri ân những người đã giúp tôi tạo ra tác phẩm này.
Đầu tiên trong danh sách này là các biên tập viên của tôi tại O'Reilly. Courtney
Allen đã hỗ trợ và nuôi dưỡng mong muốn viết lách của tôi. Nếu không có sự ủng hộ
kiên định của cô ấy, tôi nghi ngờ rằng cuốn sách này sẽ không được xuất bản. Andy
Oram, người đã thực hiện hầu hết công việc chỉnh sửa, đã làm việc không mệt mỏi và
nhanh chóng trong các bài đánh giá của anh ấy, khuyến khích và kỹ lưỡng trong quá
trình chỉnh sửa của anh ấy, đồng thời luôn thúc giục tôi làm rõ những lời giải thích
của mình. Courtney và Andy, cảm ơn vì hiệp hai.
Tiếp theo là các kỹ sư tại Cumulus Networks, những người đã từng là một
trong những kỹ sư giỏi và hỗ trợ nhất mà tôi đã làm việc cùng.
Cụ thể, Vivek Venkataraman và Roopa Prabhu đã thực hiện các cuộc gọi của
tôi mọi giờ và không bao giờ phàn nàn — ít nhất là với tôi :). Vivek và
nhóm FRR của anh ấy đã làm việc với tôi để tạo ra mô hình FRR cho EVPN đa
dạng và trực quan.
Pete Lumbis, cũng tại Cumulus, đã xem xét cuốn sách trong một thông báo
ngắn, đảm nhận công việc này cùng với hàng triệu việc khác mà anh ấy làm.
Neela Jacques, một người bạn thân, đã đọc bản thảo đầu tiên của các
chương đầu tiên và giúp tôi giải thích rõ ràng để những người không phải
là kỹ sư cũng có thể hiểu được. Cảm ơn cả hai bạn đã giúp tôi làm cho
cuốn sách này tốt hơn.
Con gái và vợ tôi, Maya và Shanthala, đã đảo mắt nhìn những tác dụng phụ
của việc viết lách của tôi lần thứ hai. Và tôi sợ rằng bố mẹ tôi, những
người đã động viên tôi trong suốt cuộc đời, sẽ vỡ òa trong niềm tự hào và
vui sướng. Cảm ơn tất cả các bạn đã nuôi dưỡng và gắn bó với tôi trong
suốt cuộc đời.
v
||||||||||||||||||||
Và bạn, độc giả của tôi, người đã làm cho tất cả công việc khó nhọc này đơm hoa kết
trái, cảm ơn bạn đã khuyến khích và ủng hộ cuốn sách đầu tiên của tôi. Tôi hy vọng bạn
cũng thấy cuốn sách này hữu ích.
vi
| Sự nhìn nhận
||||||||||||||||||||
CHƯƠNG 1
Giới thiệu về EVPN
Một mùa đông và mùa xuân ẩm ướt ở California đã bắt đầu nhường chỗ
cho bầu trời mùa hè đầy nắng khi tôi được mời đến gặp một công ty
tài chính lớn. Tổ chức muốn tôi phê bình thiết kế mạng trung tâm dữ
liệu của họ. Trường hợp sử dụng của nó xoay quanh mạng Lớp 3 (L3).
Cấu trúc liên kết dựa trên cơ sở là kiến trúc mạng cơ bản mà nó đã
chọn. Mọi thứ đã được thực hiện độc đáo như tôi có thể đề xuất. Tôi
không còn phải giải thích lý do tại sao công ty phải rời bỏ bắc cầu
như là trung tâm của trung tâm dữ liệu hoặc tại sao mạng Clos lại
phù hợp hơn. Đã hoàn thành thêm một lần chuyển đổi. Tôi di chuyển trên.
Khi mùa hè chuyển sang mùa thu, công ty lại tiếp cận tôi để thảo
luận về một hạn chế mới mà họ phải giải quyết. Doanh nghiệp sẽ triển
khai một giải pháp cụm lưu trữ mới trong mạng. Giải pháp này mong
muốn kết nối Lớp 2 (L2) hoạt động. Không cần phải nói, kết nối L2
phải trải qua nhiều giá đỡ. “Dinesh, làm cách nào để tôi phù hợp với
giải pháp mong đợi kết nối L2 trong mạng có L3 làm nền tảng?” kỹ sư
tại công ty hỏi.
Càng về mùa thu năm đó, tôi càng nghe đi nghe lại điệp khúc đó.
“Làm cách nào để triển khai một ứng dụng yêu cầu L2 trong mạng L3?”
Một nhóm công ty khác mà tôi nói chuyện đang xây dựng các trung tâm
dữ liệu mới và muốn nắm lấy thế giới mới của hộp trắng và mạng Clos.
Họ có các ứng dụng mới hơn như Hadoop hoặc dựa trên các cấu trúc như
vùng chứa, vì vậy thế giới mới rất phù hợp.
Tuy nhiên, một nhóm công ty khác muốn nâng cấp từ các mạng L2 nặng
nề, khó bảo trì và kém tin cậy hơn với thế giới cấu trúc liên kết
Clos hiện đại, linh hoạt và mạnh mẽ. Nhưng tất cả họ đã có
1
||||||||||||||||||||
để sớm hay muộn giải quyết các ứng dụng cũ của họ. Một số quyết định
xây dựng một mạng hoàng hôn khác, nhỏ hơn, cho các ứng dụng này.
Những người khác muốn tìm ra cách làm cho mạng mới hỗ trợ các ứng
dụng cũ này. “Xét cho cùng, chẳng phải bạn đã nói rằng mạng Clos là
một khối xây dựng Lego có thể hỗ trợ vô số trường hợp sử dụng sao?”
họ hỏi.
Một số ứng dụng mới hơn này tiếp tục dựa vào phát đa hướng và phát
sóng L2 để khám phá thành viên cụm và nhịp tim. Sự phụ thuộc phổ biến
khác vào bắc cầu xuất phát từ giả định rằng địa chỉ IP của một điểm
cuối vẫn giữ nguyên, ngay cả khi điểm cuối bị phá hủy và được tạo
lại ở nơi khác. Có các giải pháp để vượt qua / 32 tuyến đường bằng
cách sử dụng định tuyến từ máy chủ hoặc các ý tưởng như phân phối
lại Giao thức phân giải địa chỉ (ARP). Tuy nhiên, ít hơn, các mối
quan tâm hỗ trợ và thói quen lâu đời đã hạn chế khả năng di chuyển
của máy ảo hoặc vùng chứa đối với L2. Và tất nhiên, các ứng dụng cũ
được xây dựng cho thế giới cũ không thể được viết lại hoặc ngừng hoạt động.
Nói một cách đơn giản nhất, Ethernet VPN (EVPN) là công nghệ kết nối
các phân đoạn mạng L2 được phân tách bằng mạng L3. EVPN hoàn thành
điều này bằng cách xây dựng mạng L2 như một mạng lớp 2 ảo phủ lên
mạng Lớp 3. Nó sử dụng Border Gateway Protocol (BGP) làm giao thức
điều khiển.
EVPN là một công nghệ trưởng thành đã có sẵn trong các mạng Chuyển
mạch nhãn đa giao thức (MPLS) được một thời gian. Tiêu chuẩn dự thảo
áp dụng điều này cho Mạng LAN mở rộng ảo (VXLAN) đã có sẵn và tương
đối ổn định với nhiều triển khai của nhiều nhà cung cấp. Đã có rất
nhiều công việc bổ sung đang được tiến hành tại IETF (Lực lượng đặc
nhiệm kỹ thuật Internet), cơ quan tiêu chuẩn quản lý các công nghệ
dựa trên IP. Nói tóm lại, EVPN đang dần tập hợp lực lượng để thay
thế cho các giải pháp VXLAN dựa trên bộ điều khiển. Và vào mùa hè
năm 2017, thời khắc của nó trong trung tâm dữ liệu đã đến.
Các công ty đã sử dụng VXLAN và thế giới ảo hóa mạng nhưng muốn định
tuyến VXLAN gốc (hoặc RIOT, như nó thường được gọi, cho Định tuyến
vào và ra khỏi đường hầm). Các nhà khai thác mạng đã cố gắng yêu
người mà họ đang ở cùng và không thành công. Người bán chuyển đổi
silicon với sự hỗ trợ của RIOT bắt đầu xuất hiện với số lượng lớn để
hỗ trợ triển khai thực tế. Phần còn thiếu là một công nghệ kích hoạt
chức năng mới này mà không cần sử dụng bộ điều khiển. EVPN là mảnh
ghép còn thiếu đó.
2 | Chương 1: Giới thiệu về EVPN

||||||||||||||||||||
Điều gì đã xảy ra với thế giới hứa hẹn của Mạng do Phần mềm Xác định (SDN), nơi
các điểm cuối sẽ thiết lập và kiểm soát danh sách thành viên của riêng chúng và
mạng có một công việc duy nhất là trình kết nối tuyệt vời? Vì lý do này hay lý do
khác, một số kỹ thuật và một số không, vở kịch đó đã không thể trở thành bom tấn
như đã được hứa hẹn.
Vì vậy, tại sao bạn nên chọn cuốn sách này? Nếu bạn thực hiện tìm kiếm trên web
cho EVPN, tôi mạo hiểm rằng những gì bạn sẽ tìm thấy đồng nhất là một thứ gì đó
rất phức tạp để hiểu. Do nguồn gốc của EVPN trong thế giới nhà cung cấp dịch vụ
(SP), tài liệu tiêu chuẩn có nhiều thuật ngữ không có ý nghĩa trong thế giới trung
tâm dữ liệu.
Hơn nữa, các giải thích về ngay cả những khái niệm cơ bản nhất cũng được trải
rộng trên một số tài liệu, khiến bạn phải giao nhiệm vụ ghép nối tất cả lại với
nhau.
Mục đích của tôi là giải thích EVPN bằng những thuật ngữ đơn giản nhất có thể — để
làm cho công nghệ có thể truy cập được để các nhà khai thác mạng và kiến trúc sư
có thể hiểu được cách sử dụng của nó đối với các trường hợp được trích dẫn ở đầu
cuốn sách này. Và hy vọng, cuốn sách còn làm được nhiều hơn thế, giải thích các
khái niệm và thực tế theo cách giúp bạn sử dụng nó trong các trường hợp mới lạ.
Đây là một cuốn sách khám phá lý do tại sao, không chỉ là làm thế nào. Tôi vẫn là
nhà cung cấp bất khả tri đối với tất cả những điều này trong phạm vi có thể.
Và tôi mong bạn, độc giả của tôi, là một kiến trúc sư mạng hoặc nhà điều hành mạng.
Tôi cho rằng bạn đã phần nào quen thuộc với những điều cơ bản về mạng BGP và Clos.
Nếu không, tôi khuyên bạn nên, nếu hơi thất vọng, phần tiền truyện của cuốn sách
này, BGP trong Trung tâm dữ liệu (O'Reilly, 2017), để có những giải thích chi tiết
hơn về những khái niệm này.
Câu chuyện bắt đầu với việc nghiên cứu hai nền tảng cơ bản của EVPN: ảo hóa mạng
và sự thích ứng của BGP với nhu cầu của ảo hóa mạng. Sau đó, chúng tôi khám phá
cách hoạt động của cầu nối và định tuyến trong thế giới EVPN. Sau đó, chúng tôi
chuyển sang khẩu phần cấu hình và quản lý mạng EVPN. Chúng tôi kết thúc với một số
suy nghĩ về những cân nhắc khi triển khai EVPN trong các đợt triển khai lớn hơn.
Tôi không thảo luận về L3 multicast và liên kết trung tâm dữ liệu‐
các trường hợp sử dụng nect trong cuốn sách này. Chúng đang phát triển nhanh chóng,
từ cả tiêu chuẩn và quan điểm triển khai. Mặc dù đã có sẵn một số triển khai ban
đầu, nhưng tôi muốn xem thêm một chút kinh nghiệm trước khi nói về chúng hơn là
các thuật ngữ chung chung.
Những con chó săn của sự phức tạp sẽ mãi mãi ở trước cổng. EVPN là một công nghệ
tổng hợp, nhưng là một công nghệ mà bạn có thể chế ngự, nếu bạn kiềm chế
Giới thiệu về EVPN | 3

||||||||||||||||||||
từ việc theo đuổi từng nút bấm và tối ưu hóa được soạn thảo, thiết kế và bán. Nếu
bạn chọn sự hoàn hảo làm đích đến, bạn sẽ tận hưởng nó nhưng chỉ trong chốc lát, khi
thế giới luôn thay đổi ập đến. Nếu bạn chọn sự hoàn hảo làm hành trình, bạn có thể
tận hưởng nó lâu hơn nữa.
Một trong những thành phần quan trọng của thành công là nguyên tắc KISS—Giữ cho nó
đơn giản, ngu ngốc—đã tạo ra các mạng, đặc biệt là trong trung tâm dữ liệu, trở nên
thú vị, có thể mở rộng và đáng tin cậy. Giữ ý định của bạn đơn giản và bạn không cần
phải trả tiền cho người khác để giải mã ý định của mình, thường là vì lợi ích của họ
chứ không phải của bạn.
Nếu có một việc cần làm và một việc duy nhất, thì EVPN trong trung tâm dữ liệu có
thể đơn giản hơn nhiều và, tôi dám nói, con thú hấp dẫn hơn so với người anh em SP
của nó.
Và, vâng, công ty tài chính lớn mà tôi đã đề cập trước đó đã triển khai EVPN.
Phần mềm được sử dụng trong cuốn sách này
Tôi đã sử dụng bộ định tuyến mã nguồn mở FRR là cơ sở của cấu hình và ví dụ, phần
lớn vì nó là mã nguồn mở và cho thấy cấu hình EVPN có thể đơn giản như thế nào. Có
một trang web Git‐ Hub đồng hành cuốn sách này cho phép bạn sử dụng Vagrant để xây
dựng và chơi với cấu trúc liên kết và cấu hình được mô tả trong Chương 6.
4 | Chương 1: Giới thiệu về EVPN

||||||||||||||||||||
CHƯƠNG 2
Ảo hóa mạng
Ethernet VPN (EVPN) là công nghệ kết nối các phân đoạn mạng Lớp
2 (L2) được phân tách bằng mạng Lớp 3 (L3). Nó giải quyết vấn đề
này bằng cách xây dựng một mạng L2 ảo trên mạng L3 bên dưới.
Thiết lập lớp phủ mạng ảo này là một loại ảo hóa mạng cụ thể.
Vì vậy, chúng tôi bắt đầu hành trình đến với thế giới EVPN bằng
cách nghiên cứu ảo hóa mạng. Chương này đề cập đến các loại ảo
hóa mạng, bao gồm chi tiết hơn về loại ảo hóa cụ thể được gọi là
Lớp phủ ảo hóa mạng (NVO). Tuân thủ sổ tay của người hành nghề,
chương này chủ yếu tập trung vào việc tìm hiểu sự phân nhánh của
NVO đối với quản trị viên mạng. Chúng tôi nghiên cứu các đường
hầm mạng và ảnh hưởng của chúng đối với việc quản trị mạng. Một
chút lịch sử cung cấp bối cảnh cho công nghệ rộng hơn được gọi
là ảo hóa mạng và thêm màu sắc cho các chi tiết cụ thể của Mạng
LAN mở rộng ảo (VXLAN), giao thức NVO chính được sử dụng với EVPN
trong trung tâm dữ liệu. Chúng tôi kết thúc bằng một cuộc khảo
sát ngắn về các lựa chọn mặt phẳng điều khiển thay thế và tính
khả dụng của các giải pháp ảo hóa mạng. Đến cuối chương này, bạn
sẽ có thể tách biệt ý nghĩa của cụm từ “lớp phủ mạng L2 ảo”.
Ảo hóa mạng là gì?
Phần này bắt đầu bằng việc xem xét lý do tồn tại của các mạng
ảo. Sau đó, chúng tôi kiểm tra các loại mạng ảo khác nhau, trước
khi kết luận về lợi ích và thách thức của mạng ảo lớp phủ.
5
||||||||||||||||||||
Ảo hóa mạng là việc chia nhỏ một mạng vật lý thành nhiều mạng ảo. Ảo hóa
một tài nguyên cho phép nó được chia sẻ bởi nhiều người dùng. Chia sẻ cho
phép sử dụng hiệu quả tài nguyên khi không người dùng nào có thể sử dụng
toàn bộ tài nguyên. Ảo hóa tạo cho mỗi người dùng ảo tưởng rằng họ sở hữu
tài nguyên. Trong trường hợp mạng ảo, mỗi người dùng đều có ảo tưởng rằng
không có người dùng nào khác trong mạng. Để duy trì ảo ảnh, các mạng ảo
được cách ly với nhau. Các gói không thể truy cập
rò rỉ giả từ mạng ảo này sang mạng ảo khác.
Các loại mạng ảo Nhiều loại mạng
ảo khác nhau đã mọc lên trong nhiều thập kỷ để đáp ứng các nhu cầu khác
nhau. Điểm khác biệt chính giữa các loại khác nhau này là mô hình của chúng
để cung cấp kết nối mạng. Mạng có thể cung cấp kết nối thông qua cầu nối
(L2) hoặc định tuyến (L3). Do đó, các mạng ảo có thể là mạng L2 ảo hoặc
mạng L3 hoàn toàn.
Ông ngoại của tất cả các mạng ảo là Mạng cục bộ ảo (VLAN). VLAN được phát
minh để giảm lượng chat quá mức trong mạng L2 bằng cách cô lập các ứng dụng
khỏi những người hàng xóm ồn ào của chúng. Định tuyến và chuyển tiếp ảo
(VRF), mạng L3 nguyên gốc, được phát minh cùng với công việc Mạng riêng ảo
L3 (L3VPN) để giải quyết vấn đề kết nối các mạng khác nhau về mặt địa lý
của một doanh nghiệp qua mạng công cộng. Khi kết nối nhiều doanh nghiệp với
nhau, mạng công cộng phải giữ cho mỗi mạng doanh nghiệp cách ly với mạng
khác.
Sự cách ly này cũng giúp các doanh nghiệp sử dụng lại cùng một địa chỉ IP
trong doanh nghiệp của mình. Vì vậy, làm thế nào để mạng ảo trợ giúp với
các không gian địa chỉ chồng chéo?
Địa chỉ mạng phải là duy nhất chỉ trong một mạng được kết nối liền kề. Xem
xét địa chỉ bưu điện kiểu cũ. Một mô hình phổ biến cho địa chỉ bưu chính
là sử dụng địa chỉ đường được đánh số, thành phố, tiểu bang và có thể cả
quốc gia. Trong một thành phố, chỉ có thể có một địa điểm duy nhất được ghi
địa chỉ là 463 Đại lộ Đại học.
Tương tự, trong một tiểu bang, bạn không thể có nhiều hơn một thành phố tên
là Columbus và trong một quốc gia, bạn không thể có nhiều tiểu bang tên là
California. Tính duy nhất của một địa chỉ là dành riêng cho vùng chứa nó.
6 | Chương 2: Ảo hóa mạng

||||||||||||||||||||
Tương tự, địa chỉ MAC, là địa chỉ L2, chỉ cần là duy nhất trong
mạng L2 được kết nối liền kề.1 Địa chỉ IP chỉ cần là duy nhất
trong mạng L3 liền kề. Bởi vì các mạng ảo cung cấp ảo giác về một
mạng liền kề duy nhất, một địa chỉ cần phải là duy nhất chỉ trong
một mạng ảo. Nói cách khác, cùng một địa chỉ có thể xuất hiện
trong nhiều mạng ảo. Địa chỉ MAC là duy nhất trong mạng L2 ảo.
Tương tự, một địa chỉ IP là duy nhất trong mạng L3 ảo. Chuyển
tiếp gói sử dụng bảng chuyển tiếp lưu trữ khả năng tiếp cận tới
các địa chỉ đích đã biết. Bởi vì một mạng ảo được tạo ra từ một
tài nguyên vật lý duy nhất, để cho phép sử dụng lại địa chỉ, mọi
mạng ảo đều có bản sao logic riêng của bảng chuyển tiếp.
Các mạng L2 và L3 ảo hoạt động giống như các mạng không phải là
mạng chung của chúng. Tính duy nhất của địa chỉ MAC hoặc IP trong
một mạng chung là một ví dụ. Một ví dụ khác là một thiết bị trong
một mạng L2 ảo có thể giao tiếp với một thiết bị trong một mạng
ảo khác thông qua định tuyến.
VLAN, VRF và L3VPN nêu bật hai đặc điểm khác giúp phân biệt các
loại mạng ảo khác nhau. Đầu tiên là cách mà một nút chuyển mạch
gói quyết định liên kết một gói với một mạng ảo. Thứ hai là liệu
các nút chuyển tuyến trong một đường dẫn mạng có nhận biết được
mạng ảo hay không.
Cách phổ biến nhất để liên kết một gói với mạng ảo của nó là mang
Mã định danh mạng ảo (VNI) trong tiêu đề gói.
VLAN, L3VPN và VXLAN là những ví dụ về các giải pháp mang VNI
trong gói.2 Một cách ít phổ biến hơn là lấy công việc của mạng ảo
tại mỗi bước nhảy dựa trên giao diện đến và tiêu đề gói. Chỉ mô
hình VRF đơn giản (không có L3VPN) sử dụng phương pháp sau này.
Trong VLAN và VRF, mọi nút chuyển tuyến cần phải biết và xử lý
mạng ảo mà gói thuộc về. Tuy nhiên, trong L3VPN, mạng công cộng
mà mạng riêng của mỗi doanh nghiệp được vận chuyển qua đó không
biết rằng nó đang vận chuyển nhiều đặc quyền.
1 Địa chỉ Anycast, có thể được sử dụng để đại diện cho một thực thể logic, có thể được chia sẻ bởi
nhiều thực thể vật lý. Điều này giống với cách giải quyết thư hàng loạt với "Cư dân Sunnyvale."
2 Trong VLAN, VNI được gọi là VLAN ID và trong VPN, nó được gọi là VPN ID. Trong VXLAN, nó là
được gọi là VNI.
Ảo hóa mạng là gì? | 7

||||||||||||||||||||
mạng vate. Một mạng ảo được triển khai với các giao thức khiến các nút
chuyển tiếp không biết về nó được gọi là mạng ảo quá mức. Điều này là
do mạng ảo trông giống như nó được phủ lên trên mạng vật lý. Bản thân
mạng vật lý được gọi là mạng lớp dưới. VLAN và VRF được gọi là mạng ảo
nội tuyến, hoặc mạng ảo không lớp phủ. Trong các mô hình của mạng ảo,
mạng ảo lớp phủ được coi là có khả năng mở rộng và quản trị dễ dàng hơn.
Trong phần còn lại của cuốn sách, chúng tôi tập trung vào kiến trúc này.
Lợi ích của mạng ảo lớp phủ Lợi
ích chính của lớp phủ mạng ảo đối với lớp không phải lớp phủ là chúng
mở rộng quy mô tốt hơn nhiều. Bởi vì lõi mạng không phải lưu trữ trạng
thái bảng chuyển tiếp cho các mạng ảo, nó hoạt động với trạng thái ít
hơn nhiều. Trong bất kỳ mạng nào, lõi sẽ thấy tổng hợp của tất cả lưu
lượng truy cập từ các cạnh. Vì vậy, khả năng mở rộng này là rất quan
trọng. Như một chuỗi liên kết, một mạng vật lý duy nhất có thể hỗ trợ
một số lượng lớn hơn các mạng ảo.
Lợi ích thứ hai của các mạng lớp phủ là chúng cho phép cung cấp nhanh
chóng các mạng ảo. Có thể cung cấp nhanh chóng vì bạn chỉ định cấu hình
các cạnh bị ảnh hưởng chứ không phải toàn bộ mạng. Để hiểu rõ hơn về
điều này, hãy so sánh trường hợp của VLAN với trường hợp của L3VPN.
Trong trường hợp của Vlan, mọi bước nhảy mạng dọc theo đường dẫn từ
nguồn đến đích phải biết về Vlan. Nói cách khác, việc cấu hình một VLAN
liên quan đến việc cấu hình nó trên mỗi bước nhảy dọc theo đường dẫn.
Trong trường hợp của L3VPN, chỉ cần cấu hình các cạnh kết nối với mạng
ảo với thông tin về mạng ảo đó. Lõi của mạng L3VPN không biết về các
mạng ảo này và do đó không cần phải cấu hình.
Lợi ích chính cuối cùng của mạng lớp phủ là chúng cho phép tái sử dụng
các thiết bị hiện có. Chỉ các cạnh tham gia vào mạng ảo mới cần hỗ trợ
ngữ nghĩa của mạng ảo.
Điều này cũng làm cho các lớp phủ cực kỳ hiệu quả về mặt chi phí. Nếu
bạn muốn thử bản cập nhật cho phần mềm mạng ảo, chỉ cần chạm vào các
cạnh, trong khi phần còn lại của mạng có thể chạy tốt. Trên thực tế, lợi
ích cuối cùng này là thuộc tính của giải pháp được chọn cho lớp phủ, như
chúng ta sẽ thấy trong “Hậu quả của việc đào hầm” trên trang 11.

||||||||||||||||||||
đường hầm mạng

Cách phổ biến nhất để xác định mạng ảo của một gói là mang một VNI
trong gói. VNI được mang đi đâu? Đó là những gì được gọi là? Nó lớn
như thế nào? Những câu hỏi này đã được trả lời nhiều lần, than ôi,
mỗi lần lại có những câu trả lời khác nhau. Nhưng khái niệm về một
đường hầm mạng là chung cho tất cả họ.
Trong cuộc sống thực, một đường hầm kết nối hai điểm cuối được ngăn
cách bởi thứ gì đó ngăn cản kết nối như vậy (chẳng hạn như một ngọn
núi). Đối với các đường hầm mạng cũng vậy. Một đường hầm mạng cho
phép giao tiếp giữa hai điểm cuối thông qua một mạng không cho phép
liên lạc.
Hãy sử dụng Hình 2-1 để hiểu hoạt động của các đường hầm mạng.
R1, R2 và R3 là các bộ định tuyến và trạng thái bảng chuyển tiếp
của chúng được hiển thị trong hộp phía trên chúng. Mũi tên minh
họa cổng mà bộ định tuyến cần gửi gói đi để đến đích được liên kết
với mục nhập đó. Ở phần trên của bức tranh, R2 chỉ biết cách chuyển
tiếp các gói tin đến R1 hoặc R3. Vì vậy, khi một gói từ A đến B đến
từ R1, R2 sẽ loại bỏ gói. Ở phần dưới của bức tranh, R1 thêm một
tiêu đề mới vào gói, với đích là R3 và nguồn là R1. R2 biết cách
chuyển tiếp gói tin này. Khi đến R3, R3 loại bỏ tiêu đề bên ngoài
và gửi gói đến B vì nó biết cách đến B. Giữa R1 và R3, gói được coi
là trong một đường hầm mạng. Một ví dụ phổ biến về đường hầm mạng
hoạt động theo cách này là VPN từ máy tính xách tay của nhân viên
ở nhà đến máy thí nghiệm trong phòng thí nghiệm văn phòng.
Hành vi của R1, R2 và R3 giống với hành vi của lớp phủ mạng ảo. A
và B nằm trong một mạng riêng mà lõi R2 không biết. Đây là lý do
tại sao các lớp phủ mạng ảo được triển khai bằng cách sử dụng các
đường hầm mạng.
Đường hầm mạng | 9

||||||||||||||||||||
Hình 2-1. Minh họa các đường hầm mạng, khi A gửi một gói đến B
Trong mạng ảo lớp phủ, điểm cuối đường hầm (R1 và R3 trong Hình 2-1)
được gọi là cạnh ảo hóa mạng (NVE). NVE xâm nhập, đánh dấu sự bắt đầu
của lớp phủ mạng ảo (R1 trong ví dụ của chúng tôi), thêm tiêu đề đường
hầm. NVE đi ra, đánh dấu sự kết thúc của lớp phủ mạng ảo (R3 trong ví
dụ của chúng tôi), loại bỏ tiêu đề đường hầm.
Các đường hầm mạng có nhiều hình dạng và hình thức khác nhau. Tiêu đề
đường hầm có thể được xây dựng bằng tiêu đề L2 hoặc tiêu đề L3.
Ví dụ về đường hầm L2 bao gồm thẻ VLAN kép (Q-in-Q hoặc double-Q),
TRILL và Mac-in-Mac (IEEE 802.1ah). Các tiêu đề đường hầm L3 phổ biến
bao gồm VXLAN, Đóng gói định tuyến chung IP (GRE) và Chuyển mạch nhãn
đa giao thức (MPLS). Các đầu đường hầm L2 tất nhiên bị hạn chế do
không thể vượt qua giới hạn L3‐
ary.
Các đường hầm mạng cũng chỉ định liệu tải trọng của chúng là gói L2
hay gói L3. Đường hầm dựa trên tiêu đề L2 luôn mang L2

||||||||||||||||||||
tải trọng, trong khi các đường hầm L3 có thể mang tải trọng L2 hoặc
tải trọng L3. Định nghĩa và thiết lập đường hầm xác định loại trọng
tải mà đường hầm sẽ mang.
Một sự khác biệt khác trong các đường hầm mạng là chúng chỉ kết nối
hai điểm cuối cụ thể (được gọi là điểm-điểm) hoặc một điểm cuối với
nhiều điểm cuối khác (được gọi là điểm-đa điểm). L3VPN với MPLS là một
ví dụ của cái trước và Virtual Private LAN Switch‐ ing (VPLS) là một
ví dụ cho cái sau.
Quy mô của VNI trong mỗi đường hầm này là khác nhau. MPLS định nghĩa
VNI 20-bit (được gọi là ID VPN), trong khi các tổng hợp khác sử dụng
VNI 24-bit. Điều này có nghĩa là MPLS có thể mang 1 triệu (220) mạng
ảo duy nhất, trong khi các đường hầm khác có thể mang 16 triệu (224)
mạng ảo duy nhất.
Hậu quả của đường hầm Lợi ích chính của
các giao thức đường hầm này được cho là giữ cho lớp nền cốt lõi không
phải biết bất cứ điều gì về các mạng ảo này. Tuy nhiên, không có bữa
ăn trưa miễn phí. Các phần phụ sau đây thảo luận về các khía cạnh
truyền thống của mạng nơi ảo hóa có những hậu quả không lường trước
được. Một số trong số này chúng tôi có thể giải quyết, trong khi một
số khác chúng tôi không thể.
Cân bằng tải gói Các gói
được tạo đường hầm (hoặc được đóng gói) đặt ra một vấn đề nghiêm trọng
khi được sử dụng với thiết bị mạng hiện có. Vấn đề đó nằm ở cách
chuyển tiếp gói hoạt động khi có nhiều đường dẫn. Khi có nhiều đường
dẫn đến một đích, một nút có thể lựa chọn hoặc chọn ngẫu nhiên một
nút để chuyển tiếp gói hoặc đảm bảo rằng tất cả các gói thuộc một
luồng đều đi theo cùng một đường. Một luồng được định nghĩa đại khái
là một nhóm các gói thuộc về nhau. Thông thường nhất, luồng Giao thức
điều khiển truyền dẫn (TCP) hoặc Giao thức gam dữ liệu người dùng
(UDP) được định nghĩa là 5 bộ địa chỉ IP nguồn, địa chỉ IP đích, giao
thức Lớp 4 (L4) (TCP/UDP), cổng nguồn L4 và cổng đích L4. Các gói của
các giao thức khác có các định nghĩa khác về luồng. Lý do chính để
xác định một luồng là để đảm bảo hoạt động đúng của giao thức được
liên kết với luồng đó. Nếu một nút chuyển tiếp các gói của cùng một
luồng dọc theo các đường dẫn khác nhau, các gói này có thể đến đích
theo thứ tự khác với thứ tự mà chúng được truyền đi
Đường hầm mạng | 11

||||||||||||||||||||
theo nguồn. Việc phân phối không theo đơn đặt hàng này có thể ảnh
hưởng nghiêm trọng đến hiệu suất của giao thức. Tuy nhiên, điều quan
trọng là phải đảm bảo sử dụng tối đa tất cả băng thông mạng có sẵn;
nghĩa là, sử dụng tất cả các đường dẫn mạng đến một điểm đến. Mọi nút
mạng đều đưa ra quyết định tối ưu hóa cả hai ràng buộc.
Khi một gói tin được tạo đường hầm, các nút chuyển tiếp hoặc lớp dưới
chỉ nhìn thấy tiêu đề đường hầm. Họ sử dụng tiêu đề đường hầm này để
xác định gói nào thuộc về một luồng. Tiêu đề đường hầm L3 thường sử
dụng loại giao thức L4 khác nhau để xác định loại đường hầm (IP GRE
thực hiện điều này, làm ví dụ). Đối với lưu lượng giữa cùng một NVE
đi vào và đi ra, địa chỉ nguồn và địa chỉ đích luôn giống nhau. Tuy
nhiên, một đường hầm thường mang các gói thuộc nhiều luồng. Thông tin
luồng này nằm sau tiêu đề đường hầm. Bởi vì thiết bị làm việc mạng
hiện tại không thể nhìn qua tiêu đề đường hầm, tất cả các gói giữa
điểm cuối đi vào và đi ra của cùng một đường dẫn có cùng một đường dẫn.
Do đó, các gói được tạo đường hầm không thể tận dụng tối đa khả năng
đa đường giữa các điểm cuối. Điều này dẫn đến việc giảm đáng kể băng
thông mạng được sử dụng. Các mạng ban đầu có ít đa đường nên giới hạn
này không có tác động thực tế. Nhưng đa đường là khá phổ biến trong
các mạng hiện đại, đặc biệt là mạng trung tâm dữ liệu, do đó vấn đề
này cần một giải pháp.
Một cách khắc phục thông minh cho vấn đề này là sử dụng UDP làm đường
hầm. Các nút mạng có các gói UDP cân bằng tải trong một thời gian dài.
Giống như TCP, chúng gửi tất cả các gói được liên kết với luồng UDP
dọc theo cùng một đường dẫn. Khi được sử dụng làm tiêu đề đường hầm,
chỉ có cổng UDP đích xác định kiểu đường hầm. Cổng nguồn không được
sử dụng. Vì vậy, khi sử dụng UDP để xây dựng đường hầm, việc xâm nhập
đường hầm sẽ đặt cổng nguồn là mã băm của 5-tuple của tiêu đề trọng
tải bên dưới. Đảm bảo rằng cổng nguồn cho tất cả các gói thuộc luồng
TCP hoặc UDP được đặt thành cùng một giá trị cho phép thiết bị mạng
cũ hơn sử dụng tối đa băng thông có sẵn cho các gói đường hầm mà
không cần sắp xếp lại các gói có tải trọng bên dưới. Giao thức phân
tách danh tính Loca‐ tor (LISP) là giao thức đầu tiên áp dụng thủ
thuật này. VXLAN đã sao chép ý tưởng này.
Hành vi của thẻ giao diện mạng
Trên các nút điện toán, thẻ giao diện mạng (NIC) cung cấp một số chức
năng nâng cao hiệu suất quan trọng. Những cái chính bao gồm giảm tải
phân đoạn TCP và tính toán tổng kiểm tra cho các gói IP, TCP và UDP.
Thực hiện các chức năng này trong

||||||||||||||||||||
Phần cứng NIC giải phóng CPU khỏi việc phải thực hiện các tác vụ máy tính
chuyên sâu này. Do đó, các trạm cuối có thể truyền và nhận ở tốc độ mạng
cao hơn đáng kể mà không cần đốt các chu kỳ CPU hữu ích và tốn kém.
Việc bổ sung các gói đóng gói hoặc đường hầm sẽ ngăn chặn điều này. Vì NIC
không biết cách phân tích cú pháp qua các tiêu đề gói mới này để định vị
tải trọng TCP/UDP/IP cơ bản hoặc để cung cấp các phần giảm tải bổ sung cho
tiêu đề UDP/IP của đường hầm, nên hiệu suất mạng bị ảnh hưởng đáng kể khi
các tiêu đề này bị ảnh hưởng đáng kể. các công nghệ được sử dụng tại chính
điểm cuối. Mặc dù một số NIC mới hơn hiểu tiêu đề VXLAN, vấn đề này là lý
do chính khiến VXLAN từ máy chủ không hoạt động. Vì vậy, mọi người đã
chuyển sang mạng để thực hiện đóng gói và giải mã VXLAN.
Điều này đã góp phần vào sự gia tăng của EVPN.
Đơn vị truyền tối đa
Trong mạng L3, mọi liên kết được liên kết với kích thước gói tối đa được
gọi là Đơn vị truyền tối đa (MTU). Mỗi khi một tiêu đề gói được thêm vào,
trọng tải tối đa cho phép trong một gói được giảm đi bởi kích thước của
tiêu đề bổ sung này. Lý do chính của điều này là quan trọng là các mạng
hiện đại thường không phân mảnh các gói IP và nếu các trạm cuối không được
định cấu hình với MTU giảm thích hợp, việc đưa các mạng ảo vào một đường
dẫn mạng có thể dẫn đến các vấn đề kết nối khó chẩn đoán.
Các đường hầm của
Mạng lưới thiếu khả năng hiển thị che khuất hệ sinh thái mà chúng trải
qua. Các công cụ gỡ lỗi cổ điển như traceroute sẽ không tiết lộ đường dẫn
thực sự qua mạng, thay vào đó, toàn bộ đường dẫn mạng được đại diện bởi
đường hầm dưới dạng một bước nhảy duy nhất. Điều này có nghĩa là việc khắc
phục sự cố mạng sử dụng đường hầm là rất khó khăn.
VXLAN
VXLAN là một công nghệ đường hầm tương đối mới (chỉ mới 8 năm tuổi) được thiết kế để
chạy trên mạng IP đồng thời cung cấp kết nối L2 cho các điểm cuối. Nó sử dụng UDP/IP làm
công nghệ đóng gói chính để cho phép thiết bị mạng hiện có tải các gói cân bằng qua
nhiều đường dẫn, một điều kiện phổ biến trong mạng trung tâm dữ liệu
VXLAN | 13
||||||||||||||||||||
làm. VXLAN chủ yếu được triển khai trong các trung tâm dữ liệu. Trong VXLAN, các
cạnh đường hầm được gọi là điểm cuối đường hầm VXLAN (VTEP).
Hình 2-2 cho thấy định dạng gói của VXLAN.
Hình 2-2. Tiêu đề VXLAN
Như đã đề cập trong “Cân bằng tải gói” trên trang 11, cổng nguồn UDP được tính
toán tại VTEP đầu vào bằng cách sử dụng tiêu đề gói của tải trọng bên trong. Điều
này cho phép gói VXLAN được cân bằng tải chính xác bởi tất cả các nút chuyển
tiếp. Phần còn lại của mạng chuyển tiếp các gói dựa trên tiêu đề IP bên ngoài.
VXLAN là một đường hầm điểm-đa điểm. Các gói dữ liệu đa hướng hoặc quảng bá có
thể được gửi từ một VTEP đến nhiều VTEP trong mạng.
Bạn có thể nhận thấy một số điểm kỳ lạ trong tiêu đề. Tại sao chúng ta lại cần
một giao thức đào đường hầm khác? Tại sao chỉ số VNI là 24 bit? Tại sao có rất
nhiều bit dự trữ? Toàn bộ tiêu đề VXLAN có thể chỉ là 4 byte, vậy tại sao nó lại
là 8? Tại sao có một chút mà luôn luôn là 1?
Lý do chính cho tất cả những điều này là do lịch sử, và tôi chịu trách nhiệm
chính về việc này.
Lịch sử Đằng sau VXLAN Header Circa
2010, AWS của Amazon đã thành công rực rỡ, đặc biệt là dịch vụ
máy tính co giãn (ECS). VMWare, vị vua trị vì của máy tính
chỉnh sửa thành thạo, đã tiếp cận với Cisco, vị vua trị vì của
mạng, để được trợ giúp về ảo hóa mạng. VMWare muốn cho phép
khách hàng doanh nghiệp của mình xây dựng AWS nội bộ của riêng
họ như cơ sở hạ tầng (được gọi là đám mây riêng). VMWare muốn
có một mạng ảo L2, giống như các VLAN, nhưng dựa trên mô hình lớp phủ với

||||||||||||||||||||
khả năng hỗ trợ hàng triệu mạng ảo. Nó cũng muốn mạng dựa trên IP do
tính phổ biến của IP và khả năng mở rộng tốt hơn so với các công nghệ dựa
trên L2. Việc sử dụng MPLS không thông minh hơn vì MPLS được coi là quá
phức tạp và không được hỗ trợ trong một doanh nghiệp.
Là một trong những kiến trúc sư chủ chốt của đơn vị kinh doanh trung tâm
dữ liệu tại Cisco, tôi được giao nhiệm vụ nghĩ ra một đường hầm mạng như
vậy. Lần đầu tiên tôi xem xét IP-GRE, nhưng sau đó nhanh chóng từ chối nó
vì chúng tôi muốn có một giao thức mà tường lửa dễ dàng vượt qua. Việc
định cấu hình cổng UDP để đi qua tường lửa rất dễ dàng, nhưng giao thức
L4 như GRE thì không. Hơn nữa, GRE là một dạng đóng gói chung chung,
không có cách cụ thể nào để xác định việc sử dụng GRE cho các mục đích
khác ngoài ảo hóa mạng. Điều này có nghĩa là các trường tiêu đề có thể
được sử dụng theo cách khác trong các trường hợp sử dụng khác, ngăn không
cho phần cứng bên dưới thực hiện điều gì đó cụ thể cho ảo hóa mạng. Tôi
cảm thấy mệt mỏi với việc hỗ trợ ngày càng nhiều giao thức đường hầm
trong silicon chuyển mạch, mỗi giao thức chỉ khác nhau một chút.
Tôi đã có ảo hóa hàng đầu (OTV — một con trỏ trước độc quyền của EVPN)
và các giao thức LISP để hỗ trợ. Tôi muốn VXLAN trông giống OTV và cả hai
đều giống LISP, vì LISP đã được thảo luận trong các cơ quan tiêu chuẩn.
Nhưng đã có triển khai OTV và LISP, vì vậy bất kỳ tiêu đề nào tôi đã xây
dựng đều phải tương thích ngược. Vì vậy, tôi tạo VNI 24 bit vì nhiều mạng
ảo L2 đã hỗ trợ VNI 24 bit và tôi không muốn xây dựng các cổng trạng thái
chỉ để giữ ánh xạ VNI giữa các giao thức đường hầm khác nhau. Các bit
dành riêng và bit 1 luôn ở đó vì những bit đó có nghĩa khác trong trường
hợp của LISP và OTV. Nói cách khác, phần còn lại của định dạng tiêu đề là
kết quả của việc cố gắng duy trì khả năng tương thích ngược. Kết quả là
tiêu đề VXLAN mà bạn nhìn thấy.
Các giao thức để triển khai mặt phẳng điều khiển
Mặt phẳng điều khiển trong giải pháp lớp phủ mạng phải cung cấp
những điều sau:
• Cơ chế ánh xạ địa chỉ đích của tải trọng bên trong tới
địa chỉ đầu ra thích hợp của NVE.
Các giao thức để thực hiện mặt phẳng điều khiển | 15

||||||||||||||||||||
• Cơ chế cho phép mỗi NVE liệt kê các mạng ảo mà nó quan tâm, để cho
phép giao tiếp điểm-đa điểm như quảng bá.
Vì VXLAN là một ví dụ về mạng L2 ảo, nên việc ánh xạ địa chỉ MAC bên
trong tới địa chỉ IP đầu ra của đường hầm bên ngoài là ánh xạ của một bộ
{VNI, MAC} tới địa chỉ IP của NVE. Do đó, bảng chuyển tiếp thường liên
quan đến việc cung cấp ánh xạ này là bảng chuyển tiếp MAC. Chúng ta sẽ
thấy tại sao điều này lại quan trọng trong Chương 5.
VXLAN được thiết kế để cho phép các nút tính toán là NVE.
Bởi vì việc quay lên và quay xuống của các máy ảo (VM) hoặc vùng chứa
chỉ được biết bởi các nút tính toán, nên có vẻ hợp lý khi cho phép chúng
trở thành NVE. Hơn nữa, biến các nút tính toán thành NVE có nghĩa là bản
thân mạng vật lý có thể khá đơn giản.
Nhiều nhà cung cấp phần mềm đã đăng ký để cung cấp một giải pháp như vậy.
Ví dụ về các giải pháp như vậy bao gồm VMWare's NSX, Nuage Net‐ works và
Midokura. Các mạng chạy VXLAN là Mạng do Phần mềm Xác định (SDN) ban
đầu, trong đó phần mềm (phần mềm điều phối tạo ra các máy ảo mới và các
mạng ảo liên quan của chúng) kiểm soát việc cung cấp mạng ảo qua một lớp
nền cố định. Nhưng vì nhiều lý do, giải pháp này đã không thành công như
mong đợi.
Một cách tiếp cận thay thế cho giải pháp SDN này là dựa vào các giao
thức mạng truyền thống như Border Gateway Protocol (BGP) để cung cấp
thông tin lập bản đồ này. EVPN thuộc loại giải pháp này, được gọi là
VXLAN không có bộ điều khiển.
Hỗ trợ ảo hóa mạng

Công nghệ
Chúng tôi kết thúc hành trình ảo hóa mạng bằng một cuộc khảo sát về những
gì được hỗ trợ, cả trong hệ sinh thái mạng mở cũng như với các mạng
truyền thống. Chúng tôi cũng kiểm tra ngắn gọn công việc trong các cơ
quan tiêu chuẩn khác nhau liên quan đến các công nghệ này.

||||||||||||||||||||
thương nhân silicon
Kỷ nguyên của các công ty mạng xây dựng các Mạch tích hợp dành riêng cho ứng
dụng (ASIC) chuyển mạch tùy chỉnh của riêng họ dường như đã gần kết thúc.
Mọi người đang ngày càng tin tưởng vào các nhà cung cấp biểu tượng sil‐
thương gia cho các chip chuyển đổi của họ. Như thể để làm nổi bật chính công
tắc này (dự định chơi chữ), hầu như mọi địa điểm kết nối mạng truyền thống
lần đầu tiên hỗ trợ VXLAN trên silicon chuyển mạch thương gia. Broad‐ com
đã giới thiệu hỗ trợ cho nó với nền tảng Trident2, bổ sung hỗ trợ định tuyến
VXLAN trong chipset Trident2 + và Trident3.
Mellanox lần đầu tiên bổ sung hỗ trợ cho cầu nối và định tuyến VXLAN trong
chipset Spectrum của mình. Các nhà cung cấp silicon thương mại khác như
Cavium thông qua chipset Xpliant và Barefoot Networks cũng hỗ trợ VXLAN,
bao gồm cả bắc cầu và định tuyến. Tất cả các chip này cũng hỗ trợ VRF.
Hầu hết silicon chuyển mạch tại thời điểm viết bài này không hỗ trợ sử dụng
IPv6 làm tiêu đề đường hầm VXLAN. Tất nhiên, VXLAN đóng gói và truyền các
tải trọng IPv6 bên trong một cách vui vẻ.
Phần mềm
Bản thân nhân Linux đã hỗ trợ VXLAN từ lâu. Hỗ trợ VRF trong nhân Linux đã
được Cumulus Networks thêm vào năm 2015. Tính năng này hiện có sẵn rộng rãi
trên nhiều bản phân phối Linux của máy chủ hiện đại (ví dụ: ngay từ phiên
bản 16.04 của Ubuntu đã có hỗ trợ IPv4 VRF cơ bản). Phiên bản kernel sớm
nhất có hỗ trợ tốt, ổn định cho VRF là 4.14.
Cumulus Linux trong thế giới mạng mở cũng như tất cả các nhà cung cấp mạng
truyền thống đã hỗ trợ VXLAN trong vài năm. Định tuyến trên các mạng VXLAN
mới hơn. Mặc dù nhân Linux đã hỗ trợ định tuyến qua các mạng VXLAN ngay từ
đầu, một số hỗ trợ bổ sung cần thiết cho EVPN đã được thêm vào. Chúng ta sẽ
xem xét những bổ sung này trong chương tiếp theo.
ters.
Tiêu chuẩn
Internet Engineering Task Force (IETF) là cơ quan chính liên quan đến các
công nghệ ảo hóa mạng, đặc biệt là các công nghệ dựa trên IP và MPLS. VXLAN
là một RFC thông tin, RFC 7348. Hầu hết công việc ảo hóa mạng diễn ra dưới
sự bảo trợ của nhóm làm việc NVO3 (Network Virtualization Over L3) tại IETF.
Tiến độ là chậm, tuy nhiên. Ngoại trừ một số
Hỗ trợ Công nghệ Ảo hóa Mạng | 17

||||||||||||||||||||
thỏa thuận về thuật ngữ cơ bản, tôi không biết rằng bất kỳ công việc nào
từ nhóm làm việc NVO3 đều được hỗ trợ bởi bất kỳ nhà cung cấp mạng lớn
nào hoặc bởi Linux. Tuy nhiên, công việc liên quan đến EVPN đang diễn ra
trong nhóm làm việc L2VPN. Các khía cạnh của EVPN kết hợp với VXLAN vẫn
đang trong giai đoạn dự thảo của quy trình làm việc tiêu chuẩn. Nhưng bản
thân thông số kỹ thuật đã ổn định trong một thời gian khá dài và thông
số kỹ thuật cơ sở đã được tạo thành tài liệu tiêu chuẩn vào đầu năm 2018.
Nhiều nhà cung cấp, cùng với FRR (Định tuyến phạm vi miễn phí, bộ định
tuyến mã nguồn mở), hỗ trợ EVPN với hầu hết các tính năng chính của nó .
Bản tóm tắt
Trong chương này, chúng ta đã nghiên cứu công nghệ cơ bản và ý tưởng đằng
sau ảo hóa mạng. Trong Chương 3, chúng ta chuyển sang xem xét các nguyên
tắc cơ bản của hỗ trợ EVPN. Chương này cũng giới thiệu cách cấu hình
EVPN trong trung tâm dữ liệu khác với đối tác của nó trong thế giới nhà
cung cấp dịch vụ.

||||||||||||||||||||
CHƯƠNG 3
Các khối xây dựng của Ethernet

VPN
Border Gateway Protocol (BGP) là bộ não điều khiển Ethernet VPN (EVPN).
Trong chương này, chúng ta nghiên cứu các khối xây dựng của BGP chịu
trách nhiệm xây dựng các lớp phủ mạng ảo.
Có hai khía cạnh đối với các khối xây dựng này: mô hình ngang hàng BGP
và mô hình trao đổi thông tin định tuyến.
Lý do để nghiên cứu các mô hình này là để giúp quản trị viên mạng hiểu
cách triển khai EVPN trong trung tâm dữ liệu. Kết quả chính của chương
này là việc triển khai EVPN trong trung tâm dữ liệu có thể đơn giản hơn
so với đối tác nhà cung cấp dịch vụ (SP) của nó.
Hãy bắt đầu chương này với một lịch sử ngắn gọn về EVPN. Điều này giúp
người đọc hiểu động lực đằng sau EVPN. Tiếp theo, chúng ta xem cách BGP
peering cho EVPN được thiết kế cho mạng SP.

Điều này dẫn chúng ta đến cách thức hoạt động của tính năng ngang hàng
BGP trong trung tâm dữ liệu khi không có EVPN và điều này ảnh hưởng như
thế nào đến cách triển khai EVPN trong trung tâm dữ liệu. Phần tiếp theo
đề cập đến các cấu trúc BGP cơ bản mà EVPN sử dụng. Hai phần cuối cùng
đề cập đến các cấu trúc bổ sung cần thiết để cho phép EVPN hoạt động với
Giao thức cổng biên (eBGP) bên ngoài trong Định tuyến phạm vi tự do
(FRR) và bộ định tuyến không phải FRR. Ở cuối chương này, bạn sẽ có thể
hiểu các lựa chọn trong việc triển khai EVPN trong trung tâm dữ liệu
thời hạn.
19
||||||||||||||||||||
Lược sử tóm tắt về EVPN

Mạng riêng ảo (VPN) kết nối nhiều mạng riêng‐ hoạt động trên một mạng công
cộng. Như đã thảo luận trong Chương 2, kết nối giữa có thể xảy ra ở Lớp 2
(L2) hoặc ở Lớp 3 (L3). L2 VPN ban đầu bắt chước mô hình của L2: lụt1 một
gói khi quốc gia đích là không xác định và sử dụng giao thức cây bao trùm
làm mặt phẳng điều khiển để cắt bỏ các đường dẫn dư thừa. Dịch vụ mạng
LAN riêng ảo (VPLS) là một ví dụ của L2VPN. Nhưng sự kém hiệu quả của việc
học và học thì ai cũng biết. EVPN ra đời như một câu trả lời cho vấn đề
này.
Tiền thân của EVPN là Over-the-Top Virtualization (OTV), một công nghệ độc
quyền được phát minh bởi Dino Farinacci tại Cisco. Nó sử dụng Hệ thống
trung gian – đến – Hệ thống trung gian (IS-IS) làm mặt phẳng điều khiển
và chạy trên mạng IP. IS-IS có thể xây dựng các đường dẫn cho cả các đường
truyền đơn và đa hướng. Juniper Networks lần đầu tiên giới thiệu EVPN như
một câu trả lời cho OTV. Công ty đã thực hiện một số thay đổi cơ bản đối
với OTV trong đề xuất của mình cho EVPN. Đầu tiên, nó sử dụng Multiproto‐
col Label Switching (MPLS) thay vì mạng IP. Tiếp theo, công ty đề xuất sử
dụng BGP làm giao thức mặt phẳng điều khiển. Cuối cùng, Cisco đã cung cấp
nó như một tiêu chuẩn cho IETF (Lực lượng Đặc nhiệm Kỹ thuật Internet),
cơ quan tiêu chuẩn cho các Giao thức Internet. MPLS được chọn vì nó rất
linh hoạt và phổ biến hơn với các SP. Nhờ việc sử dụng MPLS và là một tiêu
chuẩn trung lập với nhà cung cấp, các quản trị viên đã bắt đầu áp dụng
EVPN. EVPN hiện là một tiêu chuẩn được triển khai rộng rãi.
Tài liệu xác định tiêu chuẩn EVPN là RFC 7432. 2 Với
sự ra đời của mạng LAN mở rộng ảo (VXLAN) trong trung tâm dữ liệu, EVPN
đã được chấp nhận như một giải pháp cho ảo hóa mạng trong trung tâm dữ
liệu. Một tiêu chuẩn mới trong IETF, RFC 8365, giải thích một số thay đổi
được đề xuất để sử dụng trong trung tâm dữ liệu. Đó là tiêu chuẩn chính
mà tất cả các bộ định tuyến, FRR hoặc nhà cung cấp cụ thể, hỗ trợ để sử
dụng trong hỗ trợ trung tâm dữ liệu ngày nay.
1 Flooding được định nghĩa là gửi một gói tin đến tất cả các cổng mang mạng ảo của gói tin
ngoại trừ cổng mà nó đến. Chúng ta sẽ thảo luận chi tiết hơn về vấn đề này trong Chương‐
kỳ 4.
2 RFC là viết tắt của “Yêu cầu nhận xét”.
20 | Chương 3: Các khối xây dựng của Ethernet VPN

||||||||||||||||||||
Kiến trúc và giao thức cho truyền thống
Triển khai EVPN

Hầu hết các doanh nghiệp có quy mô từ trung bình đến lớn đều có nhiều bộ định tuyến biên giới.
Lý do chính cho điều này là độ tin cậy. Nhưng điều này cũng có thể vì những
lý do khác, chẳng hạn như mạng của họ được trải rộng trên nhiều vị trí địa
lý cách nhau.
Mỗi bộ định tuyến biên của doanh nghiệp ngang hàng với bộ định tuyến biên
của nhà cung cấp dịch vụ (PE). Họ ngang hàng qua eBGP với các PE để quảng
cáo các địa chỉ L2 được gắn cục bộ của họ. Các PE có liên quan (thuộc cùng
một SP) ngang hàng với nhau bằng cách sử dụng iBGP để phân phối các tuyến này.
Lưu lượng dữ liệu đi qua mạng công cộng lõi này được đóng gói, điển hình là
MPLS được đóng gói. Hình 3-1 cho thấy một mạng như vậy cùng với Giao thức
cổng biên (iBGP) nội bộ ngang hàng giữa các PE. CE là bộ định tuyến Edge của
khách hàng muốn sử dụng dịch vụ VPN. Các mạng cạnh được hiển thị dưới dạng
hai mạng ảo riêng biệt từ phối cảnh của PE, ngang hàng giữa các PE.
Hình 3-1. Thiết lập VPN trong thế giới SP
Các PE thường thuộc cùng một mạng SP và khả năng tiếp cận giữa các đồng
nghiệp được thiết lập thông qua giao thức định tuyến Giao thức cổng bên
trong (IGP), chẳng hạn như Mở đường dẫn ngắn nhất trước (OSPF) hoặc IS-IS.
iBGP ngang hàng là lưới đầy đủ; nghĩa là mọi bộ định tuyến iBGP được kết nối
với mọi bộ định tuyến iBGP khác trong cùng một miền quản trị. Điều này rõ
ràng là không mở rộng quy mô khi có nhiều bộ định tuyến. Vì vậy, giải pháp
thay thế phổ biến nhất là sử dụng một thứ gọi là Phản xạ định tuyến‐
Kiến trúc và giao thức để triển khai EVPN truyền thống | 21

||||||||||||||||||||
xoắn (RR). Với các RR, mọi diễn giả iBGP ngang hàng với một hoặc
nhiều RR. Hãy coi RR là trung tâm và các đồng nghiệp iBGP khác nhau
là nan hoa. Một RR chỉ phản ánh các thông báo BGP (sau khi tính toán
đường đi tốt nhất) cho các đồng nghiệp của nó. Nó hiếm khi tham gia
vào đường dẫn dữ liệu thực tế. Vì vậy, quản trị viên chọn các nút nằm
ở trung tâm mạng làm RR.
Tóm lại, việc triển khai EVPN trong thế giới nhà cung cấp dịch vụ sử
dụng iBGP, với một giao thức cơ bản khác cung cấp khả năng kết nối
giữa các đồng nghiệp iBGP. Nói cách khác, thường có hai giao thức
riêng biệt, một dành cho lớp lót và giao thức còn lại dành cho lớp
phủ.
EVPN trong Trung tâm dữ liệu
Trong trung tâm dữ liệu hiện đại, cấu trúc liên kết mạng cơ bản là
cấu trúc liên kết Clos hoặc mạng cột sống lá. Hình 3-2 cho thấy một
ví dụ về mạng Clos. Trong cấu trúc liên kết này, công tắc lá (còn
được gọi là Top of-Rack [ToR]) thường là Điểm cuối đường hầm VXLAN
(VTEP), cạnh của mạng ảo. Chúng tương ứng với các PE trong triển khai
EVPN truyền thống. Do đó, nếu bạn sử dụng mô hình truyền thống để
triển khai EVPN, thì sẽ có một IGP giữa các bộ định tuyến trong Clos
và iBGP giữa các VTEP cho EVPN.
Hình 3-2. Ví dụ về mạng Clos 2 tầng
Trong trung tâm dữ liệu, OSPF đôi khi được sử dụng làm giao thức định
tuyến giữa công tắc cột sống và công tắc lá. Trong một mô hình như
vậy, mô hình SP sử dụng iBGP trên OSPF có ý nghĩa. Nếu mạng của bạn
được xây dựng bằng OSPF và bạn cảm thấy thoải mái với nó, thì bạn có
thể gắn bó với mô hình triển khai EVPN truyền thống. Tuy nhiên, giao
thức phổ biến nhất mà tôi gặp trong trung tâm dữ liệu là eBGP. Nói
cách khác, eBGP là giao thức nền tảng trong trung tâm dữ liệu. một người mù
Technet24
||||||||||||||||||||
tuân thủ triển khai EVPN truyền thống dẫn đến việc sử dụng cả eBGP và iBGP:
eBGP cho mạng lớp dưới và iBGP cho mạng lớp phủ. Trong một mạng Clos điển
hình, do có rất nhiều lá nên việc sử dụng các RR là rất cần thiết. Trong một
mạng như vậy, các công tắc cột sống dường như là một sự thay thế tự nhiên cho
các RR. Do đó, việc triển khai EVPN truyền thống có nghĩa là hai đồng nghiệp
BGP liền kề về mặt vật lý có hai phiên ngang hàng: eBGP cho các địa chỉ không
phải EVPN và iBGP cho các địa chỉ EVPN. Hình 3-3 minh họa điều này.
Hình 3-3. Mô hình triển khai EVPN truyền thống trong trung tâm dữ liệu
Việc sử dụng giao thức kép này không cần thiết phải phức tạp. Một mô hình
khác mà tôi đã thấy là sử dụng các phiên eBGP riêng biệt, một phiên cho mỗi
họ địa chỉ. Trong mô hình này, có một phiên eBGP riêng cho các địa chỉ IPv4
chưa được xác định và một phiên eBGP thứ hai cho các địa chỉ EVPN lớp phủ.
Theo ý kiến cá nhân của tôi và sau khi trao đổi với nhiều chuyên gia BGP, tùy
chọn này cũng là thừa và không cần thiết đối với cấu trúc liên kết Clos.
Định tuyến phạm vi miễn phí (FRR), bộ định tuyến mã nguồn mở mà tôi sử dụng
xuyên suốt cuốn sách này, loại bỏ nhu cầu này đối với các phiên ngang hàng kép.
Một phiên eBGP duy nhất có thể mang cả thông tin ngang hàng lớp phủ và lớp
phủ (Hình 3-4). Về bản chất, điều này làm cho các thông báo về khả năng tiếp
cận L2 chỉ là một quảng cáo họ địa chỉ khác3 — không khác lắm so với quảng
cáo IPv6. Điều này kết hợp với một số mặc định lành mạnh khác (mà chúng tôi
thảo luận trong “Hỗ trợ FRR cho EVPN” trên trang 31) làm cho việc định cấu
hình EVPN với FRR trở nên đơn giản. Một số nhà cung cấp khác cũng hỗ trợ mô
hình ngang hàng đơn giản hóa này, mặc dù không phải tất cả họ đều làm như
vậy. FRR cũng hỗ trợ mô hình triển khai EVPN truyền thống.
3 Xem “Chỉ báo họ địa chỉ / Chỉ báo họ địa chỉ tiếp theo” ở trang 25 sau
trong chương này để biết thêm về các họ địa chỉ.
EVPN trong Trung tâm dữ liệu | 23

||||||||||||||||||||
Hình 3-4. Đơn giản hóa mô hình triển khai EVPN cho trung tâm dữ liệu
Hãy nhớ rằng cuốn sách này hướng đến dữ liệu cen‐
ters. Mô hình SP không có ý nghĩa gì trong dữ liệu
trung tâm thế giới, và ngược lại. Trong mô hình truyền
thống, các đồng nghiệp eBGP thuộc các tổ chức khác nhau.
Yêu cầu một đồng nghiệp eBGP của một tổ chức khác xử lý
thông tin VPN là một vi phạm nghiêm trọng về ranh giới.
Tóm lại, EVPN trong trung tâm dữ liệu sử dụng một phiên eBGP duy nhất
để quảng bá khả năng tiếp cận của cả L2 và VTEP. Như chúng ta sẽ thấy,
sự tin cậy của eBGP thay vì iBGP có hiệu ứng lan tỏa trên các tùy chọn
cấu hình mạng.
Cấu trúc BGP cho mạng ảo
Trong phần trước, chúng ta đã nghiên cứu cách thiết lập peering để trao
đổi thông tin định tuyến. Trong phần này, chúng ta xem xét các khái
niệm cơ bản cần thiết khi xây dựng thông tin cần trao đổi qua kênh này.
Sự kết hợp của hai phần này giúp hiểu được cách BGP hỗ trợ xây dựng
mạng ảo, EVPN hoặc cách khác. Tôi cũng giới thiệu các loại tuyến đường,
đối tượng cơ bản mà EVPN sử dụng để trao đổi thông tin.
Để một giao thức điều khiển trao đổi thông tin về hoạt động của mạng
ảo, nó cần hỗ trợ ba cấu trúc chính:
• Cách xác định địa chỉ mạng được trao đổi (vai trò của AFI/SAFI)
• Xác định địa chỉ thuộc về mạng ảo nào (vai trò của RD và RT) • Xác
định phương pháp đóng gói đường hầm nào được sử dụng để xây dựng
lớp phủ mạng ảo (được chỉ báo qua BGP Encapsula‐
Technet24
||||||||||||||||||||
Cộng đồng Mở rộng được sử dụng với tất cả các quảng cáo EVPN, xem RFC 8365)
Cuối cùng, công nghệ lớp phủ mạng ảo cụ thể phải xây dựng các loại thông
báo của nó để phù hợp với các tiêu chuẩn do BGP chỉ định để trao đổi thông
tin cụ thể của nó.
Chúng tôi nghiên cứu cách BGP giải quyết từng điểm này trong một vài phần
phụ tiếp theo.
Chỉ báo dòng địa chỉ/Dòng địa chỉ tiếp theo

Chỉ báo
BGP có thể quảng cáo cách tiếp cận không chỉ địa chỉ IP mà còn cả nhãn
MPLS và địa chỉ MAC. Tiêu chuẩn cơ bản xác định hỗ trợ cho nhiều loại địa
chỉ là RFC 4760. Mỗi giao thức mạng được BGP hỗ trợ có mã định danh riêng,
được gọi là Chỉ báo dòng địa chỉ (AFI). AFI xác định giao thức mạng chính.
Ví dụ: mỗi IPv4 và IPv6 đều có AFI riêng.
Tuy nhiên, ngay cả trong AFI, vẫn cần có những điểm khác biệt hơn nữa. Ví
dụ: thông tin về khả năng tiếp cận unicast và multicast khá khác nhau. BGP
phân biệt các trường hợp này bằng cách sử dụng các số Chỉ báo Họ Địa chỉ
Tuần tự (SAFI) riêng biệt cho các địa chỉ unicast và multicast. Tất cả cấu
hình BGP cụ thể cho một giao thức mạng được nhóm lại trong phần AFI /
SAFI.4
Danh sách AFI/SAFI mà người nói BGP quan tâm sẽ được quảng cáo bằng cách
sử dụng Khả năng BGP trong thông báo BGP OPEN. Hai BGP ngang hàng sẽ chỉ
trao đổi thông tin về một địa chỉ mạng nếu cả hai bên đều thông báo quan
tâm đến AFI/SAFI của nó. EVPN được thiết kế như một họ SAFI của L2VPN AFI.
Do đó, trong biệt ngữ BGP, AFI/SAFI của EVPN là l2vpn/evpn.
Bộ phân biệt tuyến Như đã
thảo luận trong Chương 2, mạng ảo cho phép sử dụng lại một địa chỉ. Nói
cách khác, một địa chỉ là duy nhất trong một mạng ảo. Một ví dụ phổ biến,
được hiểu rõ về điều này là việc sử dụng mạng con 10.xxx trong IPv4. Không
gian địa chỉ 10.x là vùng riêng tư
4 BGP có khoảng hai phần trong cấu hình của nó: phần chung và phần AFI/SAFI
phần cụ thể.
BGP xây dựng cho mạng ảo | 25

||||||||||||||||||||
không gian địa chỉ, vì vậy các tổ chức khác nhau có thể sử dụng lại địa chỉ mà không bị
trừng phạt. Tương tự, các mạng ảo khác nhau có thể sử dụng lại cùng một địa chỉ IPv4
10.x. Điều này cũng đúng với các địa chỉ L2. Vì vậy, chúng ta cần một cách trong BGP
để tách quảng cáo của một địa chỉ trong một mạng ảo khỏi cùng một địa chỉ trong một
mạng ảo khác.
Đó là công việc của Trình phân biệt tuyến đường (RD).
Khi trao đổi địa chỉ VPN, BGP thêm RD 8 byte cho mọi địa chỉ. Sự kết hợp giữa địa chỉ
RD + này làm cho địa chỉ duy nhất trên toàn cầu. Phần 4.2 của RFC 4364 xác định RD, các
định dạng của nó và việc sử dụng nó. Có ba định dạng RD khác nhau. Định dạng RD được sử
dụng trong EVPN được xác định bởi RFC 7432. Hình 3-5 minh họa định dạng.
Hình 3-5. Định dạng của RD được sử dụng trong EVPN
Bạn có thể đã phát hiện ra rằng hai byte không đủ để mã hóa ba byte xác định VNI trong
VXLAN. Đây không được coi là một vấn đề, vì người ta cho rằng không có VTEP nào, trên
thực tế, sẽ tổ chức hơn 64.000 VNIs. Hầu hết phần cứng chuyển mạch không hỗ trợ nhiều
VNI này trên một thiết bị hiện nay. Ngay cả khi họ có thể hoặc đã làm, việc hỗ trợ
nhiều VNI này trên một thiết bị không được coi là chấp nhận được vì số lượng khách hàng
sẽ bị ảnh hưởng bởi sự cố của thiết bị. Chính sự kết hợp của địa chỉ loopback IPv4 của
bộ định tuyến cộng với VNI đã làm cho RD trở thành duy nhất trên toàn mạng. Do đó, giá
trị của phần VNI cụ thể của RD là mã hóa cục bộ thiết bị của VNI, không nhất thiết phải
là giá trị tuyệt đối của VNI.
Vì địa chỉ IP loopback của bộ định tuyến là một phần của RD nên hai nút có cùng mạng
ảo sẽ có các RD khác nhau. Đây là hành vi mong đợi. Xem phần “Xử lý RD, RT và BGP” ở
trang 28 sau này trong chương để biết phần thảo luận về lý do tại sao đây là hành vi
mong muốn.
Technet24
||||||||||||||||||||
Quảng cáo BGP
Mục tiêu Tuyến đường mang các thuộc tính đường dẫn, mà bạn có thể coi
đó là các ghi chú Post-it tùy chọn bổ sung thêm thông tin về địa chỉ
mạng. Những Post-nó đủ điều kiện hơn nữa để xử lý một tin nhắn BGP
UPDATE. Các ghi chú Post-it không ở dạng văn bản và không nói những
điều như "dễ vỡ" hoặc "không uốn cong." Thay vào đó, chúng được mang
dưới dạng các bit được mã hóa. Chúng mang thông tin như địa chỉ IP
tiếp theo cho một tiền tố, có truyền bá quảng cáo hay không, v.v.
Thuộc tính đường dẫn có nhiều dạng, bao gồm các thuộc tính nổi tiếng,
cộng đồng và cộng đồng mở rộng. Đây không phải là địa điểm để mô tả
thêm các điều khoản này. Nếu bạn quan tâm, bạn có thể tìm thấy những
chi tiết này trong một số tài liệu tham khảo trực tuyến và ngoại
tuyến, bao gồm cả tài liệu tiêu chuẩn.
Trong phần này, chúng ta xem xét một thuộc tính đường dẫn cụ thể được
gọi là Mục tiêu tuyến đường (RT). RT mã hóa mạng ảo mà nó đại diện.
Một loa BGP quảng cáo các mạng ảo và địa chỉ của chúng sử dụng một
RT cụ thể được gọi là RT xuất. Một loa BGP nhận và sử dụng quảng cáo
sử dụng RT này để quyết định mạng ảo cục bộ nào để thêm các tuyến
vào. Đây được gọi là nhập RT. Trong cấu hình VPN điển hình, quản trị
viên mạng phải định cấu hình cả RTs nhập và xuất.
Định nghĩa và cách sử dụng RT nằm trong tiêu chuẩn RFC 4364, mục 4.3.1.
Để biết thêm chi tiết, hãy tham khảo tài liệu đó.
Mã hóa RT cho EVPN qua VXLAN được mô tả trong RFC 8365. Hình 3-6
trình bày cách mã hóa này.
Hình 3-6. Cấu trúc của RT cho EVPN với VXLAN
Các trường khác nhau như sau:
ASN
Số hệ thống tự trị hai byte (ASN) của diễn giả BGP quảng cáo địa
chỉ.
Cấu trúc BGP cho Mạng ảo | 27

||||||||||||||||||||
Một
Một bit cho biết RT được tạo tự động hay được cấu hình thủ công.
Loại
Một trường ba bit cho biết cách đóng gói được sử dụng trong EVPN. Đối với
VXLAN, nó là 1 và đối với VLAN, nó là 0.
ID tên miền (D-ID)
Bốn bit thường là số không. Trong một số trường hợp nhất định, nếu có sự
chồng chéo trong không gian đánh số VXLAN, trường này được sử dụng để xác
định miền quản trị mà VNI thuộc về.
ID dịch vụ
Ba byte chứa mã định danh mạng ảo. Đối với VXLAN, nó là VNI ba byte, đối
với VLAN là 12 bit (12 bit thấp hơn của trường 3 byte).
RD, RT và BGP Xử lý Cả RD và RT đều
xác định mạng ảo mà gói tin đến từ đó. Để hiểu tại sao bạn cần cả hai, hãy xem
xét các ràng buộc mà BGP phải giải quyết. Hãy xem nếu một sự tương tự giúp đỡ.
Hãy tưởng tượng Santa Claus giống như BGP. Giáng sinh đến, rất nhiều đứa trẻ sẽ
nhận được món quà giống hệt như vậy, món đồ chơi gây sốt cho năm đó. Tệ hơn nữa
đối với ông già Noel tội nghiệp, một số trẻ em sẽ nhận được nhiều bản sao của
cùng một món đồ chơi, nhờ vào đại gia đình đông đúc của chúng. Ông già Noel có
nhiều trách nhiệm. Đầu tiên, anh ta phải giữ các bản sao của thùng đồ chơi
giống hệt nhau này. Đây là mục đích của RD. Ông già Noel dán tem RD cho từng
bản đồ chơi. Trách nhiệm thứ hai của ông già Noel là không chơi người họ hàng
yêu thích. Anh ta không được quyết định (dí dỏm hay không) đưa cho trẻ chính
xác một bản sao của một món đồ chơi hoặc chọn bản sao nào mà đứa trẻ nhận được
từ người thân. Tại sao đây là một rủi ro? Bởi vì ông già Noel giống BGP, ông ấy
chạy thuật toán đường đi tốt nhất trên mỗi món đồ chơi và chỉ chọn một món đồ
chơi. Tuy nhiên, việc quyết định giữ bản sao của món đồ chơi nào là tùy thuộc vào mỗi đứa trẻ.
Làm thế nào để một thanh niên hào hứng biết bản sao nào là của người họ hàng
nào? Đó là công việc của RT. Tóm lại, RD là cách ông già Noel để đồ chơi riêng
biệt, và RT là cách đứa trẻ biết món đồ chơi đó là của ai.
Quay trở lại BGP, hãy xem RD và RT ảnh hưởng như thế nào đến quá trình xử lý
quảng cáo của BGP. Mọi triển khai BGP mà tôi biết đều duy trì hai loại bảng
định tuyến: một bảng toàn cầu và một bảng định tuyến ảo.
Technet24
||||||||||||||||||||
mạng. BGP chạy thuật toán đường dẫn tốt nhất trên bảng toàn cầu để chọn
một đường dẫn duy nhất để quảng cáo cho từng tiền tố tới các đồng nghiệp
của nó. Bởi vì RD là duy nhất cho mỗi người khởi tạo, tất cả các bản sao
của một tuyến đường sẽ được quảng cáo cho một người hàng xóm. Để cài đặt
các tuyến vào bảng định tuyến của mạng ảo, trước tiên, BGP sử dụng mệnh
đề nhập RT để chọn các tuyến ứng viên cụ thể từ bảng toàn cầu để nhập
vào mạng ảo này. Sau đó, nó chạy thuật toán đường đi tốt nhất một lần
nữa trên các tuyến ứng cử viên đã nhập, nhưng lần này trong ngữ cảnh của
bảng định tuyến của mạng ảo. Nếu cùng một địa chỉ được quảng cáo với
nhiều RT, thuật toán đường dẫn tốt nhất sẽ chọn địa chỉ tốt nhất.
Các loại định
tuyến Trong BGP, các bản tin UPDATE mang thông tin về khả năng tiếp cận.
Thông tin về khả năng tiếp cận này được mã hóa trong một cấu trúc cụ thể
được gọi là Thông tin về khả năng tiếp cận của lớp mạng (NLRI). Đối với
hầu hết các kết hợp AFI/SAFI, cấu trúc và nội dung của thông tin khả năng
tiếp cận được mang trong bản tin CẬP NHẬT là giống nhau. Ví dụ, một bản
tin IPv4 Unicast UPDATE mang cùng một loại thông tin: khả năng tiếp cận
về một tiền tố IPv4.
Đây không phải là trường hợp của EVPN. Có những phần khác nhau của thông
tin được trao đổi. Ví dụ: bản cập nhật có thể có khả năng truy cập vào
một địa chỉ MAC cụ thể hoặc nó có thể có khả năng truy cập lại toàn bộ
mạng ảo. Ngoài ra, không giống như IPv4 và IPv6, vì EVPN đã sử dụng cả
AFI và SAFI, nên không có cách nào để phân loại thông tin về địa chỉ
unicast và multicast. Để sửa đổi các phân khu bổ sung này, EVPN NLRI
được phân loại thêm theo Loại tuyến. Bảng 3-1 cho thấy các loại tuyến
đường khác nhau được sử dụng trong EVPN. Các loại tuyến bắt buộc tối
thiểu cần thiết để vận hành mạng EVPN là RT-2, RT-3 và RT-5. Phần còn
lại là tùy chọn và phụ thuộc vào các lựa chọn bạn thực hiện trong việc
xây dựng mạng của mình. Chúng tôi sẽ trình bày chi tiết những vấn đề này
trong các chương tiếp theo.
Bảng 3-1. Các loại tuyến EVPN
Loại tuyến đường Những gì nó mang theo Cách dùng thông thường
Loại 1 Phân đoạn Ethernet tự động Được sử dụng trong trung tâm dữ liệu để hỗ trợ các điểm
Khám phá cuối đa tầng
Loại 2 MAC, VNI, IP Các nhà quảng cáo có thể truy cập vào một địa chỉ MAC cụ thể
và tùy chọn địa chỉ IP của nó
loại 3 Hiệp hội VNI / VTEP Khả năng tiếp cận quảng cáo trong mạng ảo
BGP xây dựng cho mạng ảo | 29

||||||||||||||||||||
Loại tuyến đường Những gì nó mang theo Cách dùng thông thường
Thông tin Multicast Được sử dụng trong trung tâm dữ liệu để hỗ trợ các điểm cuối
Loại 4
đa kênh, để đảm bảo rằng chỉ một trong các VTEP chuyển tiếp các gói đa
hướng
Loại 5 Tiền tố IP, L3 VNI Tiền tố nhà quảng cáo (không phải / 32 hoặc / 128), các tuyến
như các tuyến tóm tắt trong mạng L3 ảo
Loại 6 Thông tin thành Thông tin về các nhóm phát đa hướng quan tâm được lấy từ IGMP
viên nhóm multicast
Điều chỉnh để hỗ trợ EVPN qua eBGP

Việc sử dụng eBGP để trao đổi thông tin EVPN yêu cầu một số cấu hình
bổ sung. Mặc dù bản thân FRR không yêu cầu cấu hình bổ sung này,
nhưng các bộ định tuyến khác thì có. Điều quan trọng đối với người
quản trị mạng là phải hiểu các nút này để vận hành mạng lưới nhiều
nhà cung cấp.
Một số nút có thể yêu cầu cấu hình bổ sung nhiều hơn. Ví dụ: hướng
dẫn cấu hình của Cisco cũng khuyên bạn nên sử dụng tùy chọn vô hiệu
hóa khi kiểm tra ngang hàng. Tôi không mô tả những thay đổi bổ sung
về triển khai cụ thể như vậy trong cuốn sách này.
Giữ NEXT HOP Unmodi ed Theo mặc định, khi
quảng cáo một tiền tố trong eBGP, người gửi sẽ thay đổi bước nhảy
tiếp theo cho tiền tố đó thành địa chỉ của chính nó. Ví dụ: giả sử
ba đồng đẳng eBGP trong một dòng như thế này: A - B - C. Khi B nhận
được quảng cáo tiền tố từ A, quảng cáo bao gồm A làm bước nhảy tiếp
theo cho tiền tố đó. Khi B gửi quảng cáo đó cho C, nó sẽ thay đổi
bước nhảy tiếp theo thành B. Nói cách khác, C nhận tiền tố đã nói
với B là bước tiếp theo chứ không phải A.
Trong mô hình truyền thống của EVPN, sử dụng iBGP, sự ngang hàng nằm
giữa A và C. Do đó, thông tin khả năng tiếp cận L2 mà C nhận được cho
biết A là bước tiếp theo để đạt được điểm cuối L2 đó. Ngay cả khi B
hoạt động như một RR giữa A và C, B không thay đổi bước tiếp theo.
Với EVPN, địa chỉ L2 chỉ được A và C quan tâm. Như đã thảo luận trong
Chương 2, B là một phần của lớp nền và không biết hoặc không quan
tâm đến địa chỉ này. Vì vậy, khi eBGP được sử dụng để truyền thông
tin EVPN, B không được thay đổi chặng tiếp theo cho quảng cáo tiền
sửa lỗi L2 mà nó nhận được từ A cho chính nó trước khi gửi đến C.
Technet24
||||||||||||||||||||
Hầu hết, nếu không phải là tất cả, việc triển khai BGP hỗ trợ khả năng chỉ thị
theo điều kiện để BGP không thay đổi bước tiếp theo cho một phiên bản eBGP. Ví
dụ, các bộ định tuyến của Cisco sử dụng bản đồ tuyến đường như sau:
route-map foo permit 10 set

ip next-hop không thay đổi
Trong cấu trúc liên kết Clos, hãy định cấu hình điều này trên ít nhất tất cả các gai không phải
FRR. Nếu bạn đang sử dụng máy chủ lưu trữ là VTEP và đã định cấu hình EVPN trên máy chủ lưu
trữ, hãy định cấu hình điều này trên các lá không phải FRR như vậy.
Giữ lại Mục tiêu Tuyến đường Ngữ
nghĩa của eBGP coi việc loại bỏ tất cả các tiền tố có mục tiêu tuyến đường
không sử dụng có thể chấp nhận được. Tối ưu hóa này, giống như mặc định trong
phần trước, cũng được sinh ra từ giả định rằng trao đổi thông tin VPN sử dụng
iBGP. Nếu bạn đang sử dụng iBGP, lý do là tại sao bạn phải giữ bất kỳ thông
tin không sử dụng nào? Với eBGP, các gai không biết về VNIs mà các VTEP đang
giao tiếp. Nhưng họ không thể bỏ tiền tố chỉ vì họ không sử dụng nó; nói cách
khác, cài đặt nó trong bảng for‐ warding của họ. Họ cần phân phát nó cho các
lá khác (ngoài lá mà họ đã nhận được quảng cáo ban đầu).
Một lần nữa, cấu hình trên bộ định tuyến của Cisco thông qua lệnh giữ lại tuyến
đường-đích-tất cả. Điều này cũng được thêm vào trong phần gia đình địa chỉ
l2vpn evpn.
Hỗ trợ FRR cho EVPN

FRR hỗ trợ mô hình SP truyền thống của việc định cấu hình EVPN, cũng như mô
hình trung tâm dữ liệu đơn giản hơn. Nó sử dụng các cấu hình để thiết lập các
giá trị mặc định có ý nghĩa đối với từng mô hình. Như vậy, mô hình giả định
các mặc định lành mạnh để làm việc trong trung tâm dữ liệu để cấu hình người
dùng là tối thiểu.
Tự động lan truyền NEXT HOP Đối với bất kỳ quảng
cáo EVPN nào mang thông tin L2, FRR không thay đổi bước nhảy tiếp theo khi
giao tiếp BGP kết thúc eBGP. Nó cũng đủ thông minh để hoạt động như một diễn
giả eBGP thông thường cho các quảng cáo không phải EVPN. Nói cách khác, nó đặt
chặng tiếp theo cho chính nó cho các quảng cáo AFI/SAFI unicast IPv4/IPv6,
nhưng không làm như vậy đối với các tuyến EVPN (cụ thể là Loại tuyến 2 và 3).
Hỗ trợ FRR cho EVPN | 31

||||||||||||||||||||
Dẫn xuất RT/RD
Tiêu chuẩn EVPN chỉ định rằng RT có thể được tự động mã hóa, nếu muốn.
Không phải tất cả các triển khai đều hỗ trợ mô hình này, nhưng FRR thì
có. Nó mã hóa RT theo chỉ định của RFC 8365. Nó giả định rằng đóng gói
là VXLAN. Hầu hết các triển khai yêu cầu bạn nêu mục tiêu này thông qua
một cấu hình chẳng hạn như tự động nhập mục tiêu tuyến đường. Nhưng FRR
dẫn xuất điều này một cách tự động mà không yêu cầu cấu hình bổ sung.
FRR duy trì một bitmap trong đó mỗi bit đại diện cho một VNI riêng biệt.
Hai byte dành riêng cho VNI trong RD xuất phát từ giá trị của vị trí bit
này. FRR cũng cho phép quản trị viên xác định thủ công RT cho một mạng
ảo cụ thể, nhưng điều này không được khuyến nghị sửa chữa vì có khả năng
mắc lỗi.
Những gì không được hỗ trợ trong FRR
FRR phiên bản 4.0.1, bản phát hành mới nhất tại thời điểm viết bài này,
chỉ hỗ trợ các cổng Loại tuyến 2, 3 và 5.
Bản tóm tắt
Chương này đặt nền tảng cho việc sử dụng BGP để quảng cáo khả năng tiếp
cận tới các địa chỉ L2 và mạng ảo. Không giống như việc sử dụng nó trong
thế giới SP, EVPN trong trung tâm dữ liệu có thể sử dụng eBGP cho cả
lớp phủ và lớp phủ. Bằng cách giả định các mặc định lành mạnh, FRR đơn
giản hóa hình dung và loại bỏ sự lộn xộn không cần thiết. Giờ đây, chúng
tôi đã sẵn sàng để hiểu cốt lõi của EVPN: cách bắc cầu và định tuyến
được đề cập trong EVPN.
Technet24
||||||||||||||||||||
CHƯƠNG 4
Kết nối với Ethernet VPN
Một vài chương đầu tiên của cuốn sách này đã cung cấp nền tảng và khuôn khổ cho
Ethernet VPN (EVPN).
Chức năng chính của EVPN là hỗ trợ lớp phủ mạng ảo Lớp 2 (L2). Cầu nối là cách
hoạt động của chuyển tiếp gói trong mạng L2.
Do đó, trong chương này, trọng tâm của chúng tôi là tìm hiểu cách thức hoạt động
của cầu nối trong mạng EVPN. Nghiên cứu này bao gồm việc hiểu ngữ nghĩa của mặt
phẳng điều khiển và mặt phẳng dữ liệu liên quan đến bắc cầu. Chi tiết bao gồm
nghiên cứu về các lựa chọn khi nói đến việc xử lý các khung hình được định sẵn
cho nhiều Cạnh Ảo hóa Mạng (NVE), xử lý chuyển động Điều khiển Truy cập Phương
tiện (MAC) và các vòng lặp L2. Chúng tôi nghiên cứu cách thức hoạt động của EVPN
với các thiết bị đầu cuối đa điểm kết nối, chẳng hạn như các máy chủ được kết
nối kép, một mô hình triển khai phổ biến với EVPN. Chúng tôi kết thúc bằng một
nghiên cứu về việc ngăn chặn Giao thức phân giải địa chỉ (ARP) và những lợi ích
mà nó mang lại.
Tổng quan về Cầu nối truyền thống

Để hiểu cách thức hoạt động của cầu nối với EVPN, chúng ta bắt đầu bằng một
nghiên cứu nhanh về cách thức hoạt động của cầu nối trong cầu nối 802.1Q truyền thống.
IEEE 802.1Q đã xác định tiêu chuẩn mô tả cách thức hoạt động của cầu nối nhận
biết VLAN và vì vậy cầu nối truyền thống còn được gọi là cầu nối 802.1Q hoặc cầu
nối .1Q đơn giản. Chúng tôi cũng giới thiệu các thuật ngữ thường được sử dụng
trong bắc cầu. Sau đó, chúng tôi sử dụng điều này làm cơ sở để mô tả cách EVPN
giải quyết vấn đề tương tự, mặc dù khác nhau. Một bảng so sánh và tương phản ở
cuối giúp củng cố thêm các khái niệm này.
33
||||||||||||||||||||
Vì lợi ích của cuộc thảo luận này, chúng ta hãy giả sử mạng được
hiển thị trong Hình 4-1. Hình minh họa một mạng Clos đơn giản với
hai công tắc cột sống có nhãn S1 và S2 và bốn công tắc lá có nhãn
L1 đến L4. Máy chủ (hoặc điểm cuối) từ A đến F được gắn vào các lá.
Có hai mạng ảo, màu đỏ và màu xanh lam. Trong một cầu nối 802.1Q,
các mạng ảo này sẽ là các VLAN. Để đơn giản hóa các ánh xạ mà người
đọc phải duy trì, chúng tôi sẽ gọi địa chỉ MAC của A là MACA. Tương
tự, chúng tôi sẽ giả định rằng L1 kết nối với máy chủ A trên PortA.
Hình 4-1. Tôpô mẫu
Một cầu nối 802.1Q chuyển tiếp một gói dựa trên VLAN và địa chỉ MAC
đích của gói. Nếu một gói được nhận mà không có thẻ VLAN, thì cổng
cầu nối có một thẻ VLAN mặc định gắn liền với nó. Các cầu nối 802.1Q
“
sử dụng cái được gọi là ood-and-learning ”để điền vào
tiếpbảng
MAC.chuyển
Điều
này có nghĩa là khi một cầu nối nhận được một gói tin có sự kết hợp
của VLAN và địa chỉ MAC đích không có trong bảng chuyển tiếp MAC,
cầu nối sẽ gửi gói tin ra mọi cổng nằm trong cùng một VLAN với gói
tin đến. Đây được gọi là mã hóa. Tuy nhiên, cầu nối tìm ra cổng xâm
nhập từ danh sách các cổng này mà gói tin bị ngập. Quá trình lọc
này được gọi là kiểm tra tự chuyển tiếp. Điều khác mà cây cầu làm
là ghi lại (VLAN, địa chỉ MAC nguồn) trong bảng chuyển tiếp MAC có
thể truy cập được trên cổng nhập. Đây được gọi là học tập. Vì vậy,
trong Hình 4-1, khi nút L1 nhận một gói từ A được định mệnh đến E
và nó không có mục nhập cho (VLAN màu đỏ, MACE ) trong bảng chuyển
tiếp MAC của nó, nó sẽ làm tràn gói ra tất cả các cổng thuộc về
VLAN màu đỏ. Nó lọc ra PortA từ danh sách các cổng này. Nó cũng
ghi lại rằng (VLAN màu đỏ, MACA) có thể truy cập được qua PortA
trong bảng chuyển tiếp MAC của nó.
34 | Chương 4: Cầu nối với Ethernet VPN
Technet24
||||||||||||||||||||
Điều này được thực hiện bởi mọi nút trong đường dẫn của gói khi nó di chuyển một
cách chắc chắn từ nguồn đến đích. Do đó, các gai không được miễn trừ bất kỳ nhiệm
vụ nào khi nói đến việc chuyển tiếp gói tin và kiến thức về các mạng ảo. Do đó,
VLAN không phải là công nghệ ảo hóa mạng lớp phủ.
Làm thế nào để một cầu nối biết cổng nào thuộc về một VLAN cụ thể? Theo cấu hình.
Trong Hình 4-1, tất cả các liên kết giữa các lá và các công tắc cột sống mang cả
lưu lượng VLAN màu đỏ và xanh lam. Các liên kết như vậy được gọi là liên kết trung
kế.
Một người đọc cẩn thận đang cố gắng ánh xạ logic này với một dấu vết gói trong cấu
trúc liên kết của Hình 4-1 sẽ nhận ra rằng một gói có thể lặp lại trong mạng do các
vòng lặp trong cấu trúc liên kết (xem xét đường dẫn L1 – S1 – L2– S2 – L1 chẳng
hạn). Để tránh điều này, một proto‐ col điều khiển được gọi là Spanning Tree
Protocol (STP) được sử dụng để chuyển đổi bất kỳ cấu trúc liên kết nào thành cấu
trúc liên kết không có vòng lặp bằng cách loại bỏ tất cả các đường dẫn dư thừa đến
một nút. Nói cách khác, STP loại bỏ việc ghép nối trong một mạng lưới.
Tổng quan về Cầu nối với EVPN

Bây giờ chúng ta hãy kiểm tra lại cầu nối, nhưng với EVPN. Chúng ta sẽ sử dụng ví
dụ giao tiếp tương tự như trong phần trước: máy chủ A muốn tương ứng với máy chủ E.
Chúng ta sẽ sử dụng Hình 4-1.
Một số điều cần lưu ý để bắt đầu cuộc thảo luận. Chuyển tiếp gói giữa các lá và gai
xảy ra thông qua định tuyến. Vì lợi ích của cuộc thảo luận này, giả sử rằng giao
thức điều khiển được sử dụng để thiết lập các bảng chuyển tiếp IP là BGP. Điều này
có nghĩa là tất cả các đường dẫn giữa các định tuyến đều được sử dụng (tức là các
công việc ghép nối). Tiếp theo, không có VLAN trên các liên kết giữa các lá và các
công tắc cột sống. Chúng tôi đang sử dụng VXLAN làm giao thức lớp phủ ảo hóa mạng.
Mạng ảo hóa bắt đầu từ những chiếc lá. Do đó, các lá là các cạnh kỹ thuật hóa mạng
(NVE) (tức là, chúng đóng gói và giải mã các gói VXLAN). Là NVE, chúng cần có địa
chỉ đường hầm — địa chỉ IP được sử dụng trong tiêu đề đường hầm VXLAN. Chúng tôi sẽ
chỉ định các địa chỉ này bằng cách sử dụng ký hiệu VTEP: nghĩa là, địa chỉ IP đường
hầm của L1 là VTEPL1, của L4 là VTEPL4, v.v. Địa chỉ IP VTEP thường là địa chỉ được
gán cho thiết bị lặp lại của nút.
Chúng tôi cũng sẽ kích hoạt tính năng học truyền thống 802.1Q, nhưng chỉ trên các
cổng biên. Trong Hình 4-1, các cổng cạnh là tất cả các cổng đối mặt với máy chủ cuối.
Bây giờ, chúng ta hãy bắt đầu.
Tổng quan về Cầu nối với EVPN | 35

||||||||||||||||||||
Để bật EVPN, trước tiên chúng ta phải bật Chỉ báo họ địa chỉ (AFI) / Chỉ
báo họ địa chỉ tiếp theo (SAFI) của EVPN, là l2vpn / evpn trong tất cả
các ngang hàng BGP giữa các lá và công tắc. Chúng tôi cũng cho phép
quảng cáo thông tin liên quan đến các mạng ảo được gắn cục bộ của từng
NVE (xem Chương 6 để biết các lệnh cấu hình cụ thể).
Mỗi NVE đầu tiên quảng cáo danh sách tất cả các mạng ảo gắn liền cục bộ
của nó. Trong trường hợp của L1, đây là các hoạt động của mạng ảo màu đỏ
và xanh lam, đối với L2, nó chỉ là mạng màu đỏ, v.v. Vào cuối cuộc trao
đổi quảng cáo này, tất cả các NVE đều biết mạng ảo nào được tất cả các
NVE khác trong mạng quan tâm. Các bảng chuyển tiếp MAC trống, vì vậy
không có địa chỉ MAC nào để quảng cáo tại thời điểm này. Hình 4-2 minh
họa sự trao đổi này theo quan điểm của L1. Trên thực tế, tất cả các trao
đổi gói EVPN đều tuân theo cùng một mô hình này. Một lá gửi thông tin
đến các đồng nghiệp BGP của nó, đó là các gai và các gai gửi thông tin
đến các đồng đẳng của chúng, các lá.
Hình 4-2. Minh họa mẫu trao đổi gói tin EVPN từ quan điểm của L1
Bây giờ A gửi gói tin của nó đến L1 và gửi đến E. Hình 4-3 minh họa luồng
gói tin này.
1. Gói được gửi từ A đến L1 trong trường hợp này không khác gì so với
bắc cầu truyền thống. L1 nhận được gói tin này và cũng giống như
cầu nối giao dịch, biết rằng MACA có thể truy cập được thông qua
PortA. Bây giờ, vì L1 không có bất kỳ thông tin nào về MACE , nó
quyết định làm ngập gói tin, giống như cách bắc cầu truyền thống.
Hãy nhớ rằng S1 và S2 không biết gì về mạng ảo vì đây là giải pháp
lớp phủ ảo hóa mạng. Vì vậy, để L1 làm ngập gói, nó phải đóng gói
gói trong tiêu đề đường hầm VXLAN và gửi gói đến NVE mà
36 | Chương 4: Kết nối với Ethernet VPN
Technet24
||||||||||||||||||||
đã bày tỏ sự quan tâm đến mạng ảo màu đỏ. Có hai tùy chọn chính về
cách có thể thực hiện điều này. Chúng tôi thảo luận về những điều
đó trong “Xử lý các gói BUM” trên trang 42.
2. Hiện tại, hãy giả sử rằng L1 gửi các gói được đóng gói VXLAN đến L2
và L4 (L3 không có mạng ảo màu đỏ).
L1 tính toán băm trên các trường tiêu đề gói của gói gốc và đặt đây
là cổng nguồn UDP trong tiêu đề đường hầm VXLAN. Sau đó, các gói
được chuyển đến L2 và L4. Trong Hình 4-3, gói đến L2 được định tuyến
qua S2, và gói đến L4 được định tuyến qua S1.
Hình 4-3. Ngập trong mạng EVPN, A E
3. Khi các gói được đóng gói VXLAN này đến L2 và L4, L2 và L4 mỗi gói
biết rằng chúng là điểm cuối của đường hầm VXLAN vì địa chỉ IP đích
trong gói là địa chỉ IP của chúng và cổng đích của Giao thức dữ liệu
người dùng (UDP) cho biết rằng đây là một gói VXLAN.
4. Chúng giải mã gói tin và gửi gói tin ra khỏi tất cả các cổng được
gắn cục bộ trong mạng ảo màu đỏ. Nei‐ do L2 và L4 cố gắng gửi gói
tin này ở dạng đóng gói VXLAN đến bất kỳ nút nào khác. Không làm
ngập gói VXLAN sau khi giải mã trở lại lớp phủ VXLAN tương đương
với kiểm tra tự chuyển tiếp. Trong EVPN, nó được gọi bằng tên giao
thức định tuyến, kiểm tra đường chân trời.
Cả L2 và L4 đều không học được gì về MACA từ gói tin bị ngập lụt này.
Tuy nhiên, L1 có một mục nhập cục bộ mới trong bảng chuyển tiếp MAC của
nó. Vì vậy, L1 quảng cáo khả năng tiếp cận MACA trong mạng ảo màu đỏ
thông qua thông báo BGP EVPN. Cụ thể, nó sử dụng Loại tuyến đường

||||||||||||||||||||
2 (RT-2), mang quảng cáo {VNI, MAC}.

Thông báo cho biết MACA trong mạng ảo màu đỏ có thể truy cập được
qua VXLAN Tunnel End Point (VTEP) L1.1 L1 cung cấp thông tin này cho
các đồng nghiệp BGP của nó, S1 và S2. S1 và S2 lần lượt gửi thông
điệp này đến các đồng nghiệp của chúng, L2, L3 và L4. L2 và L4 điền
vào bảng chuyển tiếp MAC của chúng với thông tin về MACA. Họ lưu ý
rằng MACA ở xa và có thể truy cập được thông qua VTEP L1. L3 không
có VNI màu đỏ chỉ lưu thông báo này (hoặc có thể loại bỏ). Chúng tôi
không hiểu tại sao L3 thậm chí còn nhận được thông báo này trong "Tại
sao NVE L3 Nhận Quảng cáo cho MACA?" trên trang 41. Trao đổi BGP này
như được minh họa trước đó trong Hình 4-2.
Hình 4-4 cho thấy luồng gói trả lời của E cho A.
Hình 4-4. Gói từ E đến A với EVPN
1. E đặt địa chỉ MAC đích của gói là MACA và MAC nguồn là MACE
và gửi gói đến L4. L4 nhận được tin nhắn này trên PortE .
L4 học địa chỉ MAC này để kết
hợp cổng vì nó được nhận trên một cổng được gắn cục bộ.
L4 biết rằng MACA là một MAC từ xa có thể truy cập thông qua
VTEPL1 từ thông báo EVPN trước đó. Do đó, VXLAN đóng gói gói
tin bằng địa chỉ IP đích của VTEPL1 và địa chỉ IP nguồn của
VTEPL4. Nó tính toán băm trên các trường tiêu đề gói của gói
gốc và đặt đây là cổng nguồn UDP trong tiêu đề đường hầm
VXLAN. Gói tiếp theo được chuyển đến VTEPL1 thông qua các quy
tắc định tuyến IP thông thường.
1 Lưu ý rằng chúng tôi sử dụng VTEP và NVE thay thế cho nhau.
Technet24
||||||||||||||||||||
2. Bởi vì L4 đã học được thông qua BGP rằng VTEPL1 có thể truy cập
được qua cả S1 và S2, nên nó sử dụng hàm băm của gói (được tính
từ tiêu đề VXLAN hoặc bản gốc, vấn đề triển khai) để chọn S1
hoặc S2 và gửi gói với nó. Giả sử nó chọn S2.2
3. S2, khi nhận được gói tin này, định tuyến nó ra PortL1. Khi L1
nhận được gói tin này, nó sẽ thấy rằng địa chỉ IP đích là của
chính nó và loại bỏ tiêu đề VXLAN. Nó tìm kiếm địa chỉ MAC đích
trên gói bên trong bị lộ, đó là MACA trong mạng ảo màu đỏ.
4. Đầu ra của tra cứu này trong bảng chuyển tiếp MAC là PortA, và
do đó L1 chuyển tiếp gói tin ra PortA.
5. Cuối cùng, L4 quảng cáo khả năng truy cập MACE trong mạng ảo
màu đỏ cho các đồng nghiệp BGP của nó, S1 và S2. S1 và S2 lần
lượt gửi quảng cáo đến các đồng nghiệp BGP khác của chúng là L2,
L3 và L4. L2 và L4 cài đặt mục nhập MAC cho MACE được liên kết
với VTEPL4 trong bảng chuyển tiếp MAC của chúng (xem “Tại sao
NVE L3 Nhận Quảng cáo cho MACA?” Trên trang 41).
Hình 4-5 minh họa cách các tiêu đề gói được thêm vào khi gói chuyển
từ E đến A. Chỉ các trường liên quan từ các tiêu đề gói được hiển
thị; rõ ràng là có nhiều trường hơn trong tiêu đề IP và VXLAN.
2 Bạn có thể nhận thấy rằng L4 định tuyến gói tin đến A đến một cột sống khác với cột sống mà nó đã nhận gói tin đến E. Đây chỉ là
sự trùng hợp ngẫu nhiên do các quyết định băm được thực hiện cục bộ tại L4 (và tại L1 cho gói tin đến E ).

||||||||||||||||||||
Hình 4-5. Tiêu đề gói trong gói từ E đến A
Bảng 4-1 xem xét cách thức hoạt động của cầu nối trong cả cầu nối
802.1Q và mạng EVPN.
Bảng 4-1. So sánh bắc cầu trong cầu 802.1Q và trong mạng EVPN
Hành vi Cầu 802.1Q EVPN
giao thức điều khiển STP BGP EVPN
Biết các cạnh nào quan tâm Không có khái niệm về lợi Sự quan tâm của NVE từ
đến một mạng ảo thế xa xôi; mọi bước nhảy xa đối với mạng ảo học được từ
trên đường đi đều biết về mạng ảo Thông báo BGP EVPN
Hành vi khi đích đến không Lũ dọc theo cây bao trùm, Ngập lụt đến mọi VTEP
xác định chỉ trên các liên kết mang quan tâm đến mạng ảo đó
mạng ảo đó
Tiêu đề gói mang mạng ảo của gói Thẻ VLAN 802.1q Tiêu đề VXLAN
Liên kết MAC với cổng của máy chủ Học cầu .1Q Học cầu .1Q
cục bộ
Liên kết MAC với cổng của máy chủ lưu trữ Học cầu .1Q Tin nhắn BGP EVPN
đầu cuối từ xa
Tất cả các liên kết trong mạng đã được sử dụng Không Đúng
Đường đi từ A E so với đường đi Cùng một đường dẫn được sử dụng trong Các đường dẫn khác nhau có thể
từ E A các đường dẫn tiến và lùi

được sử dụng trong đường đi và
đường ngược lại a Điều này không
hoàn toàn chính xác, bởi vì có những lựa chọn. Chúng tôi nghiên cứu điều này trong “Xử lý các gói BUM” trên trang 42
Technet24
||||||||||||||||||||
Nếu là gì
Trong phần này, chúng ta xem xét hành vi khi một chuỗi sự kiện hơi
khác nhau xảy ra, những chuỗi mà bạn có thể đang cân nhắc.
• Điều gì sẽ xảy ra nếu quảng cáo BGP về MACA không đến L4 trước
khi phản hồi từ E đến L4? Trong tình huống này, L4 hoạt động
giống như L1 đã làm: nó gửi gói tin đến tất cả các NVE liên
quan trong mạng ảo màu đỏ.
• Điều gì xảy ra với gói từ E nếu khi đến L1, nó không biết A ở
đâu? Một lần nữa, nó hoạt động tương tự như L4 trong trường
hợp này: nó gửi gói ra tất cả các cổng được gắn cục bộ trong
mạng ảo màu đỏ. Trong cả hai trường hợp (khi NVE đầu ra là L1
hoặc L4), gói có bao giờ được gửi ra một cổng có đóng gói
VXLAN do kiểm tra đường chân trời phân tách hay không.
Tại sao NVE L3 Nhận Quảng cáo cho MACA ?

Bạn có thể nhớ rằng quảng cáo MAC về MACA và MACE đã được gửi đến
L3, mặc dù L3 đã bày tỏ không quan tâm đến mạng ảo màu đỏ. Tại sao
vậy, và L3 làm gì với thông báo này?
Đây là một chi tiết triển khai và nó có thể được xử lý khác nhau
bởi các triển khai BGP khác nhau. Hãy nhớ rằng các nút cột sống,
S1 và S2, là một phần của lớp nền và không biết gì về mạng ảo. Để
đảm bảo rằng L3 không nhận được thông tin, họ sẽ cần theo dõi xem
các đồng nghiệp BGP nào quan tâm đến mạng ảo nào. Đây là một tính
toán không cần thiết để họ thực hiện. Việc triển khai cũng mở rộng
quy mô tốt hơn nhiều nếu không cần theo dõi các mạng ảo.
Việc thực hiện này có thể có một lợi ích bổ sung. Nếu mạng ảo màu
đỏ được gắn vào L3 tại một thời điểm nào đó trong tương lai, L3
hiện đang quan tâm đến mạng ảo màu đỏ. Nếu nó đã có quảng cáo MAC
cho mạng ảo màu đỏ, thì luồng gói giữa L2 và các nút khác có thể
nhanh hơn nhiều và dẫn đến ít bị tràn hơn. Nếu L3 không có quảng
cáo MAC, nó phải yêu cầu S1 và S2 gửi lại tất cả các bản cập nhật
BGP EVPN. Nó thực hiện điều này thông qua một BGP

||||||||||||||||||||
Thông báo làm mới tuyến đường.3 Điều này hơi kém hiệu quả. Mặt khác,
việc duy trì một bản sao của tất cả các quảng cáo MAC cho các mạng mà
nó không quan tâm có thể gây ra việc sử dụng bộ nhớ cồng kềnh cho quy
trình BGP. Trong tình huống như vậy, tốt hơn là chỉ nên bỏ quảng cáo mà
nó nhận được hơn là lưu trữ nó. Tại thời điểm viết bài này, FRR giữ lại
các quảng cáo MAC.
Xử lý các gói tin BUM Chúng
tôi đã sơ sài với các chi tiết về cách hoạt động của lũ lụt trong mạng
EVPN. Bạn cũng có thể nhận thấy rằng hai bản sao của gói lũ đã được
gửi, một bản tới S1 và một bản khác tới S2. Quyết định này như thế nào?
Chúng tôi đề cập chi tiết như vậy trong phần này.
Thuật ngữ phổ biến để chỉ các gói bị ngập là các gói Broadcast, Unicast
không xác định và Multicast không xác định hoặc BUM. EVPN cung cấp hai
lựa chọn để chuyển tiếp gói của các gói BUM: sao chép xâm nhập và phát
đa hướng lớp 3 (L3). Ngoài ra, một số triển khai cũng có thể cung cấp
khả năng loại bỏ tất cả các gói BUM. Chúng tôi thảo luận chi tiết hơn
về từng phương pháp, bao gồm cả sự đánh đổi của từng phương pháp. Thông
tin này giúp quản trị viên chọn giải pháp phù hợp dựa trên nhu cầu doanh
nghiệp của họ thay vì giải pháp do nhà cung cấp mạng đưa ra.
Sao chép xâm nhập
Trong sao chép xâm nhập, NVE xâm nhập sẽ gửi nhiều bản sao của một gói
tin, một bản sao cho mỗi NVE đầu ra quan tâm đến mạng ảo. Trong ví dụ
của chúng ta, khi gói tin của A đến E bị ngập, L1 tạo ra hai bản sao -
một bản cho L2 và một bản cho L4 - và gửi từng bản một.
Lợi ích chính của mô hình này là nó giữ cho lớp nền đơn giản. Lớp nền
cần cung cấp chỉ định tuyến IP unicast để hỗ trợ ảo hóa mạng. Hơn nữa,
đây là mô hình đơn giản nhất để cấu hình: không cần cấu hình bổ sung.
Danh sách bản sao được tạo tự động từ các tin nhắn BGP EVPN RT-3 (mang
Mã định danh mạng ảo [VNI] quan tâm đến VTEP) mà không cần bất kỳ sự can
thiệp nào thêm từ người dùng. Điều này làm cho giải pháp cũng trở nên
mạnh mẽ hơn, vì khả năng xảy ra lỗi của con người giảm đáng kể.
3 Không phải tất cả các triển khai đều hỗ trợ Làm mới lộ trình, mặc dù hầu hết các ứng dụng phổ
biến đều có, bao gồm cả FRR.
Technet24
||||||||||||||||||||
Nhược điểm chính của phương pháp này là băng thông sao chép yêu cầu
từ lớp dưới có thể cao, đặc biệt nếu có nhiều gói BUM. Nếu số lượng
NVE cần nhân rộng không quá 64 đến 128 nút 4 và lượng lưu lượng BUM
thấp, thì cách tiếp cận này hoạt động khá tốt. Hai điều kiện này là
đủ để sao chép xâm nhập có lẽ là mô hình được triển khai phổ biến
nhất để xử lý các gói BUM trong trung tâm dữ liệu.
Ngay cả khi số lượng NVE cần nhân rộng nhiều hơn nhưng lượng truy cập
thấp, phương pháp này hoạt động khá tốt. Việc ngăn chặn ARP, mà chúng
ta sẽ thảo luận ở phần sau của chương này, giúp giảm nguồn lưu lượng
truy cập BUM nhiều nhất.
Hỗ trợ phát đa hướng L3 trong mạng lớp
dưới Cách tiếp cận thứ hai để xử lý các gói BUM là sử dụng phát đa
hướng L3 trong mạng lớp dưới. Bằng cách sử dụng phát đa hướng, NVE
đầu vào không phải gửi một bản sao riêng cho mỗi NVE đầu ra. Đối với
ví dụ được mô tả trước đó, L1 sẽ gửi một bản sao duy nhất tới S1 và
S1 sẽ gửi nhiều bản sao, một bản cho mỗi lá. Chỉ với hai NVE đầu ra
trong ví dụ của chúng tôi, sự khác biệt giữa cách tiếp cận sao chép
đầu vào và cách tiếp cận phát đa hướng là không rõ ràng. Thay vào đó,
nếu có 20 NVE đầu ra trong ví dụ của chúng tôi, thì L1 sẽ gửi 20 bản
sao tới S1 (hoặc chia số đó cho S1 và S2, như được mô tả trong phần
trước). Với L3 multicast, L1 sẽ gửi một bản sao hoặc nhiều nhất là
hai bản sao (mỗi bản sao cho S1 và S2) và chúng sẽ sao chép gói tin
tới tất cả các nút có liên quan khác.
Ưu điểm chính của phương pháp này là có thể xử lý một khối lượng lớn
các gói BUM hoặc thậm chí các gói phát đa hướng nổi tiếng một cách
hiệu quả. Tuy nhiên, nó là một cái gì đó của một cơn ác mộng hành chính.
Trong mô hình này, bên cạnh việc cung cấp hỗ trợ định tuyến unicast,
lớp nền cũng phải cung cấp hỗ trợ định tuyến multicast. Giao thức
định tuyến phát đa hướng được sử dụng phổ biến nhất được gọi là Giao
thức phát đa hướng độc lập với giao thức (PIM). PIM thực sự là một họ
các giao thức, cung cấp các cách khác nhau để xây dựng cây sao chép
tùy thuộc vào yêu cầu và cấu trúc liên kết mạng. Thành viên được
triển khai phổ biến nhất của gia đình PIM được gọi là Chế độ thưa thớt PIM
4 Tôi đã chọn 64 làm phép thử, không có nhiều dữ liệu chắc chắn đằng sau con số này. Đối với tôi, dường
như khi bạn đang gửi 64 bản sao cho mỗi gói BUM và có rất nhiều gói BUM, khối lượng công việc mà
silicon chuyển mạch phải làm bắt đầu tăng lên.

||||||||||||||||||||
(PIM-SM). Tuy nhiên, dự thảo EVPN khuyến nghị sử dụng Phát đa hướng dành riêng
cho nguồn PIM (PIM-SSM) vì nó phù hợp hơn cho trường hợp sử dụng này. Tuy nhiên,
PIM-SSM không được triển khai phổ biến trong các mạng doanh nghiệp. Mặt khác, PIM-
SM yêu cầu các giao thức bổ sung như Giao thức khám phá phiên (SDP) để triển
khai đáng tin cậy. Chúng tôi không có không gian để giải thích L3 multicast ở
đây. Nhưng việc triển khai phát đa hướng L3 đủ khó để mọi người tránh nó nếu có
thể.
Bên cạnh sự phức tạp của việc kích hoạt PIM và xử lý L3 multicast, mô hình này
còn có nhiều hạn chế khác. Để đảm bảo rằng đối với mọi mạng ảo, chỉ các NVE được
liên kết mới nhận được gói, mỗi mạng ảo phải nằm trong nhóm phát đa hướng của
chính nó. Nhưng điều này sẽ dẫn đến quá nhiều nhóm phát đa hướng để mở rộng quy
mô tốt. Vì vậy, quản trị viên bây giờ phải ánh xạ thủ công tất cả các mạng ảo
thành một số nhóm phát đa hướng nhỏ hơn. Điều này dẫn đến việc một số NVE nhận
các gói BUM cho các mạng ảo mà họ không quan tâm. Ánh xạ một mạng ảo vào một
nhóm phát đa hướng cũng làm tăng thêm độ phức tạp cấu hình đáng kể. Quản trị
viên phải định cấu hình ánh xạ mạng ảo tới nhóm phát đa hướng trên mỗi NVE. Không
có cách đơn giản nào để đảm bảo rằng cấu hình này nhất quán và chính xác trên
tất cả các NVE.
Bỏ gói tin BUM Gói tin
BUM được nhiều quản trị mạng coi là một cách rẻ tiền để khởi động một cuộc tấn
công từ chối dịch vụ phân tán (DDoS) trên mạng. Bằng cách gửi các gói đến các
địa chỉ mà mạng có thể không bao giờ nhìn thấy, băng thông mạng sẽ ít hơn cho
lưu lượng truy cập hợp pháp. Các gói như vậy có thể làm tràn ngập các máy chủ
cuối trong mạng nguyên vẹn đó và khiến chúng bị lỗi vì hệ thống đang rất bận rộn
đối phó với các gói BUM.
Việc loại bỏ các gói BUM ngụ ý rằng sau khi chúng ta nghe thấy từ một điểm cuối,
địa chỉ MAC của nó sẽ được giao tiếp với tất cả các nút khác thông qua BGP.
Do đó, thực sự không cần thiết phải làm ngập các gói tin này. Việc đàn áp ARP /
ND, sẽ được thảo luận ở phần sau, cũng có ích ở đây.
Nếu được hỗ trợ bởi một triển khai, tùy chọn này có thể được bật.
Một số triển khai cho phép điều này được bật cho mỗi công việc mạng ảo hoặc cho
tất cả các mạng ảo.
Nhược điểm chính của phương pháp này là có thể xảy ra sự cố giao tiếp với lưu
lượng dành cho các máy chủ im lặng. Ví dụ, nếu E là
Technet24
||||||||||||||||||||
máy chủ in và đang ở chế độ chờ, địa chỉ MAC của nó không được L4 biết
và do đó không thể được quảng cáo. Nếu A muốn gửi lệnh in đến máy in đó
thì không được vì L1 không biết E đang ở đâu. Nhưng các máy chủ im lặng
ngày càng hiếm, vì vậy đây có thể không còn là vấn đề trong các hoạt
động của mạng nữa.
Báo hiệu phương pháp tiếp cận nào
được sử dụng Vì có các lựa chọn, mỗi NVE phải thông báo cho các NVE khác
về những gì nó có thể hỗ trợ. Các bản tin RT-3 EVPN có thể mang thuộc
tính BGP được gọi là Giao diện dịch vụ đa hướng của nhà cung cấp (PMSI),
xác định loại xử lý gói BUM được thiết bị này hỗ trợ. Thuộc tính PMSI
được định nghĩa theo một tiêu chuẩn hoàn toàn khác (RFC 6514) từ các
tiêu chuẩn EVPN thông thường. Các giá trị được đề xuất bởi dự thảo EVPN
để báo hiệu mô hình nhân rộng là:
• 3 cho PIM-SSM
• 4 cho PIM-SM
• 5 cho PIM-BiDir5
• 6 cho Ingress Replication
Thật không may, việc bỏ các gói BUM là một nút cấu hình cục bộ, không
được quảng cáo cho các hàng xóm khác.
Xử lý Di chuyển MAC Bây
giờ hãy xem xét điều gì sẽ xảy ra nếu điểm cuối có tên A di chuyển từ
phía sau L1 sang phía sau L2. Điều này thường xảy ra nếu A là một máy
ảo (VM). Hầu hết các thiết bị đầu cuối gửi thông báo ARP khi chúng di
chuyển. Tin nhắn ARP này được gửi đến địa chỉ quảng bá và là một gói trả
lời ARP. Nó không phải là một câu trả lời được gửi để đáp lại bất kỳ yêu cầu nào.
Do đó, thông báo này được gọi là ARP vô cớ (GARP). Nếu A gửi một GARP
kết hợp với việc di chuyển của nó đến phía sau L2, thì L2 sẽ biết rằng
MACA là cục bộ của nó bây giờ. Nó phải cập nhật mục nhập bảng chuyển
tiếp MAC của nó để MACA chỉ ra cổng cục bộ của nó thay vì nó được kết
hợp với VTEPL1. Tiếp theo, L2 phải quảng cáo thông tin mới học được của
nó cho tất cả các VTEP khác. Nó làm như vậy bằng cách gửi một quảng cáo
MAC qua một bản tin BGP UPDATE (RT-2). Khi bản cập nhật này lên L1, L1
phải đối mặt với một tình huống khó khăn. Bảng chuyển tiếp MAC của nó
5 PIM-BiDir hoặc PIM hai chiều là một biến thể khác của giao thức PIM.

||||||||||||||||||||
cho biết MACA là một MAC gắn liền cục bộ. Trong các bản cập nhật BGP thường
xuyên, BGP luôn ưu tiên thông tin cục bộ cho một máy chủ ở xa. Làm thế nào để
chúng tôi sửa lỗi này?
EVPN định nghĩa một cộng đồng mở rộng BGP mới gọi là MAC Mobility để trợ giúp
việc này. Hình 4-6 cho thấy định dạng của cộng đồng mở rộng này.
Hình 4-6. Định dạng cộng đồng mở rộng MAC Mobility
Khi L1 lần đầu tiên quảng cáo MACA trong mạng ảo màu đỏ, MACA chưa được quảng cáo
trước đó. Trong tình huống như vậy, quảng cáo được gửi đi mà không gắn thẻ nó với
cộng đồng mở rộng MAC Mobility. Khi L2 bây giờ muốn quảng cáo về MACA, nó gắn thẻ
quảng cáo với cộng đồng mở rộng MAC Mobility.
Số thứ tự được đặt thành 0. Sự hiện diện của thẻ MAC Mobility trong quảng cáo cho
phép BGP ưu tiên quảng cáo từ xa hơn thông tin cục bộ của nó. Vì vậy, L1 sẽ cập
nhật mục nhập bảng chuyển tiếp MAC của nó ở phía sau VTEPL2. L1 cũng sẽ rút quảng
cáo MAC của nó cho MACA.
Nếu tại một thời điểm sau đó, A lùi lại phía sau L1 (hoặc di chuyển đến một nơi
khác, chẳng hạn như sau L4), L1 mà bây giờ nó là cục bộ sẽ gửi một quảng cáo mới,
nhưng với một số thứ tự tăng dần. Nếu BGP nhận được bản cập nhật với thẻ MAC
Mobility có số thứ tự lớn hơn bản sao cục bộ của nó, nó sẽ thích bản cập nhật mới
hơn. Nếu nhận được nhiều bản cập nhật cho một bản cập nhật MAC có cùng số thứ tự
nhưng có các VTEP khác nhau, thì quảng cáo từ VTEP có địa chỉ IP VTEP thấp nhất
sẽ được chọn.
Nếu địa chỉ MAC là tĩnh 6 — nghĩa là, nó không bao giờ được cho là di chuyển —
ngay lần đầu tiên địa chỉ MAC được quảng cáo, nó phải được gắn thẻ
6 Các triển khai khác nhau có các cách khác nhau để báo hiệu MAC tĩnh. Trong Linux, thông báo liên
kết mạng có các cờ để thực hiện việc này.
Technet24
||||||||||||||||||||
với cộng đồng mở rộng MAC Mobility với bit “S” được đặt thành 1. Khi bất kỳ
VTEP nào nhận được quảng cáo MAC với thẻ như vậy, nó phải bỏ qua bất kỳ thay
đổi nào được phát hiện cục bộ trong địa chỉ MAC đó trong mạng ảo được liên
kết.
Đôi khi, các thông báo cho biết địa chỉ MAC đã di chuyển là không chính xác.
Một lý do là bảo mật lỏng lẻo trong các mạng L2, khiến địa chỉ MAC có thể bị
giả mạo và chuyển từ máy chủ an toàn sang máy chủ bị xâm nhập. Một lý do khác
cho các chuyển động giả mạo là sự cố trong mạng 802.1Q được kết nối có thể
khiến STP liên tục cập nhật cây của nó. Khi cây được cập nhật, một địa chỉ
MAC có thể xuất hiện ở một vị trí khác trong cây, khiến nó giống như địa chỉ
MAC đã được di chuyển.
Để xử lý tất cả các trường hợp này, nếu VTEP phát hiện thấy địa chỉ MAC đang
cập nhật quá thường xuyên, nó có thể ngừng gửi hoặc xử lý các bản cập nhật
tiếp theo cho MAC đó. Nó cũng phải thông báo cho quản trị viên rằng điều này
đang xảy ra. Không có cách nào được xác định rõ ràng để thoát ra khỏi tình
huống này.
Việc triển khai EVPN của FRR hỗ trợ MAC Mobility như được định nghĩa bởi tiêu
chuẩn, với lưu ý rằng nó không hỗ trợ bất kỳ cách nào để xử lý các cập nhật
MAC quá mức đặc biệt.
Hỗ trợ cho các máy chủ được đính kèm kép
Trong mạng doanh nghiệp, các nút tính toán thường được gắn với nhiều hơn một
bộ chuyển mạch. Điều này chủ yếu được thực hiện để đảm bảo rằng một lỗi liên
kết đơn lẻ hoặc một lỗi chuyển mạch đơn lẻ không làm cho một nút máy tính bị
ngắt kết nối khỏi mạng. Điều này cũng cho phép nâng cấp thiết bị chuyển mạch
mà không cần gỡ bỏ tất cả các nút tính toán được liên kết với công tắc đó
trong cửa sổ nâng cấp. Là một giải pháp mạng doanh nghiệp, EVPN cũng thường
được triển khai với các máy chủ được gắn kép. Chúng tôi không thảo luận về
một biến thể của cùng một ý tưởng: nhiều trang web đính kèm nơi các trung tâm
dữ liệu khác nhau về mặt địa lý được kết nối với nhau thông qua một số dạng
kết nối Mạng diện rộng (WAN). Các vấn đề liên quan đến các trang web như vậy
phức tạp hơn.7
Hình 4-7 cho thấy mạng mà chúng ta đã sử dụng từ trước đến nay, nhưng với các
máy chủ được gắn kép với L1 và L2. Tôi đã xem qua các triển khai trong
7 Và một điều mà chúng ta sẽ không có chỗ để thảo luận trong cuốn sách này.
Hỗ trợ cho các máy chủ được đính kèm kép | 47

||||||||||||||||||||
trong đó một số nút được gắn kép và một số nút được gắn đơn.
Cấu trúc liên kết này không phải là hiếm khi việc triển khai đang lưu trữ
nhiều khối lượng công việc, chẳng hạn như một cụm Hadoop hiện đại và một ứng
dụng truyền thống hơn hoặc thậm chí là OpenStack.
Hình 4-7. Máy chủ được gắn kép trong mạng EVPN
Các phần phụ sau giải quyết các vấn đề của máy chủ được kết nối kép và cách
giải quyết chúng. Sau đây là các vấn đề cần giải quyết:
• Các máy chủ gắn kép được kết nối với các công tắc như thế nào?
• Nút gắn kép được các VTEP khác nhìn thấy như thế nào? Nói cách khác,
làm thế nào để VTEPs L3 và L4 trong Hình 4-7 xem A, B và C?
• Điều gì xảy ra khi một số máy chủ bị mất kết nối với một trong các thiết
bị chuyển mạch? Ví dụ, điều gì sẽ xảy ra nếu C mất liên kết với L1?
• Việc phân phối gói hoạt động như thế nào đối với khung nhiều đích, chẳng
hạn như gói BUM? A, B và C có bị trùng lặp vì L1 và L2 mỗi người cung
cấp một bản sao không? Các bản sao có thể gây nhầm lẫn cho các ứng dụng
nhất định nếu chúng không chạy trên một chương trình hỗ trợ luồng đáng
tin cậy như TCP.
Kết nối Host-Switch Interconnect
Trong cách triển khai phổ biến nhất, máy chủ lưu trữ coi hai liên kết như
đang ở trong một liên kết (hay còn gọi là tập hợp liên kết). Hai ưu điểm
chính của liên kết là cả hai liên kết đều có thể sử dụng được cùng một lúc và đó là
Technet24
||||||||||||||||||||
liên kết, liên kết cần một địa chỉ IP duy nhất thay vì hai. Sử dụng cả hai liên
kết cùng lúc cũng được gọi là chế độ hoạt động tích cực. Tạo mối liên kết bao
gồm việc sử dụng một giao thức chuẩn được gọi là Link Aggre‐ gation Control
Protocol (LACP). Sử dụng LACP đảm bảo rằng máy chủ được kết nối đúng cách với
các thiết bị phù hợp. Ví dụ: nếu C thực sự kết nối cáp với L3 thay vì L2, điều
này sẽ bị LACP bắt vì C sẽ phát hiện ra rằng nó không giao tiếp với cùng một
thực thể trên cả hai liên kết. LACP chỉ hỗ trợ liên kết nếu các liên kết được
kết nối với cùng một cặp thiết bị trên tất cả các liên kết. LACP cũng bắt các
vấn đề như lỗi liên kết đơn hướng. Một số nhà cung cấp máy chủ lưu trữ tính
thêm phí để bật LACP, vì vậy nhiều triển khai chuyển đổi hỗ trợ khái niệm liên
kết tĩnh, trong đó quản trị viên hình dung hai đầu của liên kết như đang ở
trong một liên kết mà không sử dụng LACP.
Một số khách hàng chỉ sử dụng kết nối công tắc kép để xử lý lỗi. Trong trường
hợp này, một trong các liên kết đang ở chế độ chờ. Nó chỉ hoạt động khi liên
kết hoạt động chết. Đây được gọi là chế độ nhóm NIC hoặc chế độ chờ tích cực.
Chế độ này đưa ra một số giả định tương tự như chế độ trái phiếu. Nó giả định
rằng khi liên kết dự phòng hoạt động, nó có cùng địa chỉ IP với liên kết đã
chết gần đây. Nó cũng giả định rằng cổng mặc định trên liên kết này giống như
trên liên kết kia.
Một giải pháp thay thế thứ ba là coi mỗi liên kết là một liên kết độc lập không
có LACP hoặc liên kết. Trong tình huống như vậy, máy chủ có thể được tạo để sử
dụng một địa chỉ IP duy nhất, nhưng điều này liên quan nhiều hơn một chút và
được triển khai trong các tình huống trong đó máy chủ là bộ định tuyến hoặc
chính VTEP.
Chúng ta sẽ thảo luận về trường hợp các liên kết được liên kết (có hoặc không
có LACP) trong phần còn lại của cuộc thảo luận này, bởi vì đó là cách triển
khai phổ biến nhất.
Mô hình VXLAN cho các máy chủ được đính kèm kép
Hầu hết các triển khai silicon chuyển mạch gói tính đến thời điểm viết bài này
giả định rằng một địa chỉ MAC nằm sau một VTEP duy nhất. Trong Hình 4-7, có hai
công tắc khác nhau được liên kết với mỗi máy chủ được gắn kép. Vậy làm thế nào
để các VTEP từ xa (L3 và L4 trong hình) xử lý trường hợp này?
Có hai khả năng: mỗi VTEP có địa chỉ IP riêng hoặc cả hai VTEP chia sẻ một địa
chỉ IP chung. Cái sau là phổ biến nhất
Hỗ trợ cho các máy chủ được đính kèm kép | 49

||||||||||||||||||||
mon triển khai: có hai VTEP chia sẻ cùng một địa chỉ IP.
Lý do chính cho điều này là việc triển khai chung một bảng chuyển tiếp
MAC chỉ hỗ trợ một cổng ra duy nhất. Trong bắc cầu giao dịch, không bao
giờ có lý do để một địa chỉ MAC có nhiều cổng thoát. STP loại bỏ rõ
ràng nhiều đường dẫn để loại bỏ các vòng lặp. Trái phiếu được biểu diễn
dưới dạng một cổng logic duy nhất để tránh vấn đề này. Logic bổ sung
sau khi lựa chọn cổng logic cho phép các triển khai chọn một cổng vật
lý gửi đi duy nhất để truyền gói tin. Tại thời điểm viết bài này, nhân
Linux và hầu hết các silicon chuyển mạch mà tôi biết đều hỗ trợ mô hình
IP tổng hợp duy nhất. Vì vậy, ngay cả khi bạn có nhà cung cấp hỗ trợ mô
hình thay đổi, việc sử dụng mô hình địa chỉ IP chung đảm bảo khả năng
tương tác với các nhà cung cấp khác.
Vì vậy, trong cấu trúc liên kết ví dụ của Hình 4-7, L1 và L2 đều sẽ
chuyển các gói tin cho tất cả các máy chủ được gắn kép với địa chỉ IP
VTEP nguồn chung cho cả hai. Hầu hết các triển khai xác minh rằng các
thiết bị chuyển mạch có cùng một địa chỉ IP chung được định cấu hình
thông qua một giao thức như Giao thức tổng hợp liên kết đa khung (MLAG),
8 được mô tả ngay sau đây. Người quản trị mạng cũng phải đảm bảo rằng
địa chỉ IP chung này được quảng cáo qua BGP; nếu không, các VTEP khác
sẽ không biết cách truy cập địa chỉ IP VTEP này.
Giải pháp chuyển đổi ngang hàng
Trước khi chúng ta tiến hành xem xét các vấn đề khác và cách chúng được
xử lý, trước tiên chúng ta phải dừng lại và kiểm tra mô hình được thông
qua bởi cặp công tắc mà các máy chủ gắn liền kép được kết nối với nhau.
Về cơ bản có hai câu trả lời: MLAG và EVPN.
MLAG
LACP tiêu chuẩn không hỗ trợ tạo liên kết khi các liên kết được phân
chia ở một đầu trên nhiều thiết bị. Nói cách khác, tiêu chuẩn không hỗ
trợ mô hình trong đó các máy chủ được gắn kép (A, B, C trong Hình 4-7)
kết nối để nói chuyện với hai công tắc khác nhau (L1 và L2). Do đó, mọi
nhà cung cấp mạng đều có giải pháp độc quyền của riêng mình để cung cấp
ảo ảnh đó. Tên chung cho giải pháp này là MLAG, nhưng mỗi nhà cung cấp
có một tên thương hiệu cho giải pháp của mình và
8 Tôi không biết về bất kỳ triển khai nào sử dụng thông tin từ các thông báo EVPN để
xác minh điều này.
Technet24
||||||||||||||||||||
các chi tiết triển khai và triển khai cụ thể khác nhau giữa các lần triển
khai. Ví dụ: Cumulus và Arista yêu cầu có một liên kết ngang hàng riêng biệt
(được hiển thị dưới dạng đường chấm giữa L1 và L2) giữa cặp công tắc MLAG.
NXOS của Cisco không yêu cầu phải có liên kết ngang hàng.
Toàn bộ cuốn sách có thể được viết về MLAG. Ở đây, chúng tôi bỏ qua tất cả các
chi tiết và tập trung vào cách nó giải quyết các vấn đề hiện tại trong một số
phần tiếp theo.
EVPN
EVPN hỗ trợ nguyên bản các thiết bị được gắn kép. Nó gọi chúng là các nút đa nhà. Các chi
tiết chính của giải pháp này được mô tả trong sec-
phần 8 của RFC 7432 và phần 8 của RFC 8365. Về cơ bản, EVPN sử dụng Loại tuyến
1 (RT-1) và Loại tuyến 4 (RT-4) để xử lý các nút đa nhà. RT-1 cho mạng biết
công tắc nào được gắn vào thiết bị phổ biến hoặc phân đoạn Ethernet nào. Phân
đoạn Ethernet trong trường hợp trung tâm dữ liệu được định nghĩa là mạng cầu
nối mà NVE được kết nối hoặc liên kết ngoại quan. Khi được kết nối với một
liên kết, quảng cáo RT-1 mang mã định danh LACP của nút từ xa (nghĩa là máy
chủ lưu trữ trong trường hợp của chúng tôi) dưới dạng ID phân đoạn Ethernet
(ESI). Khi các NVE khác nhận được các bản cập nhật BGP của quảng cáo RT-1 này,
họ có thể xác định đồng nghiệp nào của họ được gắn vào cùng một máy chủ.
RT-4 chọn một trong các đồng nghiệp làm bộ chuyển tiếp được chỉ định cho các
khung đa đích. Quảng cáo RT-4 mang ánh xạ của phân đoạn Ethernet tới bộ định
tuyến phục vụ phân khúc. Từ tất cả các quảng cáo nhận được cho một phân đoạn
Ethernet, mỗi VTEP chọn phân đoạn có địa chỉ IP VTEP thấp nhất làm trình chuyển
tiếp được chỉ định cho một mạng ảo. Trong trường hợp này, không cần có một địa
chỉ IP VTEP chung giữa hai thiết bị ngang hàng.
Hãy phân tích điều này bằng cách sử dụng Hình 4-7. Đầu tiên, tiêu chuẩn cho
phép L1 là trình chuyển tiếp được chỉ định cho một tập hợp các nút — giả sử A
và B— và L2 là trình chuyển tiếp được chỉ định cho một tập hợp các nút khác —
giả sử C. Trong Hình 4-7, mỗi máy chủ chỉ mang một VLAN. Nhưng nếu các máy chủ
hỗ trợ nhiều VLAN, tiêu chuẩn còn cho phép L1 trở thành bộ chuyển tiếp được
chỉ định cho một nút — giả sử A — cho một tập hợp các VLAN và L2 là trình
chuyển tiếp được chỉ định cho nút đó cho một tập hợp VLAN khác.
Hỗ trợ cho Máy chủ đính kèm kép | 51

||||||||||||||||||||
Xử lý lỗi liên kết Điều gì sẽ
xảy ra nếu một trong các máy chủ—giả sử máy chủ C trong Hình 4-7—mất liên kết
tới L1? Câu trả lời cho điều này cũng là triển khai cụ thể. Ngay cả khi giải
pháp liên quan đến MLAG, hai cách triển khai khác nhau có thể thực hiện những
việc khác nhau.
Trong trường hợp MLAG, sử dụng liên kết ngang hàng để tiếp cận máy chủ thông
qua công tắc khác là cách triển khai phổ biến nhất. Trong ví dụ của chúng
tôi, cả L1 và L2 đều quảng cáo khả năng truy cập tới C thông qua một IP VTEP chung.
Lưu lượng truy cập đa đường nằm dưới được đánh địa chỉ tới IP VTEP chung giữa
L1 và L2. Khi L1 mất kết nối với C, nó sẽ rút ra quảng cáo của C. Tuy nhiên,
vì quảng cáo của L2 vẫn còn hiệu lực, L3 và L4 thấy rằng MACC vẫn có thể truy
cập được thông qua IP VTEP kết hợp. Vì vậy, một gói đến C vẫn có thể kết thúc
ở L1, mặc dù liên kết giữa chúng bị ngắt và L1 không thể chuyển gói trực tiếp.
Trong những trường hợp như vậy, L1 giải mã gói tin và sử dụng liên kết ngang
hàng để gửi gói tin chưa được đóng gói đến L2. L2 chuyển gói tin đến C.
Chẳng hạn, có thể tránh việc sử dụng liên kết ngang hàng bằng cách đọc lại
địa chỉ MAC của C và chỉ ra rằng nó chỉ được gắn với L2 không? Rốt cuộc, cả
L1 và L2 đều có địa chỉ IP duy nhất chỉ thuộc về chúng. Than ôi, hầu hết cổng
hỗ trợ silicon chuyển mạch gói chỉ có một địa chỉ IP duy nhất làm nguồn của
VXLAN VNI, mặc dù VNI có thể có cả hai máy chủ gắn đôi và máy chủ được gắn
đơn (A và C trong ví dụ của chúng tôi). Do đó, việc triển khai không thể chỉ
ra rằng C hiện chỉ được gắn với IP VTEP duy nhất của L2. Vì vậy, ngay cả khi
một máy chủ được gắn kép mất liên kết đến một trong các máy chủ VTEP, địa chỉ
của nó vẫn được thông báo bằng cách sử dụng địa chỉ IP VTEP chung; liên kết
ngang hàng được sử dụng để chuyển gói tin đến máy chủ này.
Nếu không có liên kết ngang hàng, hầu hết các triển khai sẽ đóng gói lại và
gửi gói tin đến bộ chuyển mạch khác. Trong ví dụ của chúng tôi, L1 giải mã
gói VXLAN, thêm một tiêu đề VXLAN mới với IP đích là L2 và gửi gói tin.
Trong triển khai đa kênh EVPN, công tắc bị mất kết nối với máy chủ cũng sẽ
rút lại khả năng truy cập đối với ESI được xác định bởi LACP của máy chủ.
Điều này được thực hiện cho cả tuyến RT-1 và RT-4. Công tắc khác cuối cùng
nhận được các khoản rút tiền này.
Khi nhận được lệnh rút RT-4, bộ chuyển mạch còn lại tự chỉ định người chuyển
tiếp được chỉ định cho C. Việc nhận lệnh rút RT-1 cho bộ chuyển mạch biết
rằng máy chủ được gắn duy nhất vào nó. Công tắc có thể‐
Technet24
||||||||||||||||||||
không cố gắng chuyển tiếp gói tin tới máy ngang hàng của nó khi nó mất
kết nối với máy chủ. Trong ví dụ của chúng ta, khi L2 nhận được lệnh
rút tiền do L1 bắt nguồn, nó biết rằng nếu nó mất liên kết với C, nó
không thể chuyển một gói tin đến L1. Tuy nhiên, việc đóng gói lại một
gói VXLAN mà không định tuyến sẽ vi phạm việc kiểm tra đường chân trời.
Do đó, mô hình này cần được hỗ trợ thêm từ silicon chuyển mạch bên dưới.
Kể từ phiên bản 4.0.1, FRR không hỗ trợ mô hình đa kênh EVPN. Vì vậy,
nó dựa trên giải pháp MLAG với liên kết ngang hàng đã được thảo luận
trước đây.
Các khung đa điểm trùng lặp Khi mô hình VTEP
IP chung và sao chép xâm nhập được sử dụng, chỉ một trong các cặp
chuyển mạch nhận được một gói tin. Điều này là do các VTEP khác đại
diện cho cặp với một IP VTEP chung duy nhất.
Tuy nhiên, trong mô hình không có địa chỉ IP VTEP chung được chia sẻ,
cả hai thiết bị chuyển mạch có thể nhận được một bản sao của các khung
đa đích (ví dụ: gói BUM).
Để đảm bảo rằng chỉ một trong các cặp gửi một gói đến trạm cuối, hai
nút sử dụng bản tin RT-4 để chỉ chọn một trong số chúng để phân phối
khung đa đích trong mạng ảo. Tuy nhiên, các bản cập nhật giao thức con
lăn cần có thời gian và trong quá trình chọn người chuyển tiếp được chỉ
định hoặc trong quá trình chuyển đổi, máy chủ lưu trữ có thể không nhận
được khung đa đích hoặc nhận được các bản sao. Không thể làm được gì
về nó.
ARP / ND triệt tiêu

Yêu cầu ARP và gói GARP là gói BUM vì các gói này được gửi đến địa chỉ
quảng bá. Trong cấu trúc liên kết mẫu, nếu A có ARP'd cho địa chỉ MAC
của E và lấy được nó, có vẻ như không cần thiết phải yêu cầu ARP của C
cho địa chỉ MAC của E hoạt động giống như yêu cầu của A. L1 có thể lưu
vào bộ nhớ cache thông tin ARP của E và phản hồi trực tiếp. Điều này có
tác dụng tốt trong việc giảm lưu lượng BUM trong mạng lưới. Neighbor
Discovery (ND) là ARP tương đương cho địa chỉ IPv6. Kết quả là, ND sẽ
được hưởng lợi từ cùng một bộ nhớ đệm và phản hồi của L1. Chức năng lưu
trữ thông tin ARP / ND của máy chủ từ xa và phản hồi các yêu cầu ARP /
ND đối với thông tin này là ARP / ND Suppression.
Ức chế ARP/ND | 53
||||||||||||||||||||
Triệt tiêu ARP/ND sử dụng thông báo RT-2 để truyền địa chỉ IP được
liên kết với địa chỉ MAC trong mạng ảo. Việc triển khai quyết định
xem nó muốn gửi các quảng cáo MAC và MAC/IP riêng biệt hay sử dụng
một thông báo cho cả hai. FRR sử dụng một mô hình cập nhật thông
báo duy nhất khi bật chế độ chặn ARP/ND.
Giống như bảng chuyển tiếp MAC đánh dấu khi các mục được học thông
qua giao thức điều khiển, các mục trong bộ đệm ARP (hoặc bảng lân
cận IP trong nhân Linux) cũng được đánh dấu là đã được học thông
qua giao thức điều khiển. Hạt nhân không cố gắng chạy làm mới ARP
cho các mục như vậy. Hạt nhân cũng không làm mất đi các mục đã
được đánh dấu là đã học thông qua một giao thức điều khiển. Giao
thức chịu trách nhiệm xóa các mục này' khi quảng cáo các mục từ xa
bị rút. FRR cũng loại bỏ chúng khi tắt máy nhẹ nhàng hoặc khi khôi
phục sau sự cố.
Chức năng này phải được kích hoạt thông qua cấu hình. Một số triển
khai chỉ cho phép cấu hình này nếu NVE cũng là bộ định tuyến cổng
cho mạng ảo đó. Cisco's là một ví dụ về việc triển khai như vậy.
Linux (và do đó là Cumulus) cho phép bạn định cấu hình điều này một
cách độc lập cho dù NVE có phải là bộ định tuyến cổng cho mạng đó
hay không.
Cumulus đã thêm hỗ trợ cho chức năng chặn ARP/ND trong nhân Linux.
Chức năng này khả dụng bắt đầu từ phiên bản kernel 4.14.
Bản tóm tắt
Chương này liên quan đến cách hoạt động của cầu nối với EVPN.
Trong Chương 5, chúng ta sẽ đề cập đến vấn đề định tuyến.
Technet24
||||||||||||||||||||
CHƯƠNG 5
Định tuyến với Ethernet VPN
Ethernet VPN (EVPN) trong trung tâm dữ liệu là Lớp 2 (L2) đầu tiên
Công nghệ Mạng riêng ảo (VPN) để hỗ trợ định tuyến liên tục như một phần
của giải pháp hoàn chỉnh. Chúng tôi bắt đầu với việc xem xét các trường hợp
sử dụng thúc đẩy nhu cầu bao gồm định tuyến của EVPN.
Điều này tạo tiền đề cho mục tiêu chính của chương này: hiểu các mô hình
định tuyến khác nhau trong EVPN. Điều này giúp bạn, với tư cách là quản trị
viên mạng hoặc kiến trúc sư, chọn giải pháp phù hợp với trường hợp sử dụng
của mình. Nó cũng giúp bạn lựa chọn nhà cung cấp vì không phải nhà cung cấp
nào cũng hỗ trợ tất cả các kiểu máy hoặc trường hợp sử dụng. Cuối cùng, sự
hiểu biết này giúp định cấu hình và khắc phục sự cố định tuyến với EVPN.
Chương này sẽ dễ dàng hơn nếu bạn hiểu những điều cơ bản về định tuyến. Tôi
cố gắng chạy nhanh qua logic cơ bản của định tuyến. Nhưng độc giả không
quen với định tuyến sẽ cần phải xem qua chương này cẩn thận hơn.
Trường hợp định tuyến trong EVPN
Khi lớp phủ mạng L2 ảo và lớp phủ mạng lớp 3 (L3) ảo được phát minh, chúng
cùng tồn tại như những người hàng xóm. Có một hàng rào rõ ràng ngăn cách
hai người và không ai cố gắng vượt qua nó.
Điều này bắt chước thế giới không ảo hóa. Cả trong các giao thức điều khiển
được sử dụng và trong hành vi chuyển tiếp gói tin, hai lĩnh vực đều khác
nhau. Trong thế giới của nhà cung cấp dịch vụ (SP), hai trang web được kết
nối thông qua mạng L2 ảo hoặc mạng L3 ảo. Hiếm khi, nếu có, họ được kết nối
như cả hai. Vì vậy, những trường hợp sử dụng nào thúc đẩy nhu cầu về giải
pháp định tuyến toàn diện trong EVPN?
55
||||||||||||||||||||
Các trường hợp sử dụng định tuyến trong Trung
tâm dữ liệu Hãy xem xét một doanh nghiệp muốn thay thế cấu trúc cơ sở
hạ tầng dựa trên VLAN của mình bằng cấu trúc sử dụng VXLAN. Có thể tất
cả các nút lưu trữ đều nằm trong một mạng L2 riêng biệt. Các thiết bị
trong mạng L2 khác chỉ có thể truy cập bộ nhớ chung thông qua định tuyến.
Một ví dụ khác là kiến trúc ứng dụng ba tầng cổ điển trong đó tầng web, tầng
ứng dụng và tầng cơ sở dữ liệu được cách ly với nhau bằng cách đặt mỗi tầng
trong một mạng L2 ảo riêng biệt.
Một ví dụ phổ biến thứ ba liên quan đến định tuyến là giao tiếp với thế giới
bên ngoài. Điểm chung trong mọi trường hợp là một VTEP duy nhất sẽ cần kết nối
lưu lượng giữa các máy chủ trong cùng một mạng L2 ảo và định tuyến lưu lượng
giữa các máy chủ trong các mạng L2 ảo khác nhau.
Để giải quyết những vấn đề này, IETF (Lực lượng Đặc nhiệm Kỹ thuật Internet) dự
thảo về định tuyến và bắc cầu tích hợp1 đã được chế tạo. Nó chỉ định cách định
tuyến hoạt động với EVPN trong trung tâm dữ liệu.
Mô hình định tuyến
Định tuyến với EVPN không đơn giản như định tuyến truyền thống. Nhiệm vụ đầu
tiên của chúng ta là hiểu tại sao lại như vậy và tại sao chúng ta có bất cứ thứ
gì giống như nhiều mô hình định tuyến. Để mở đầu, tôi sẽ dành hai đoạn tiếp
theo để trình bày tổng quan ngắn gọn về định tuyến.
Một điểm cuối trong mạng L2 có thể nói chuyện với một điểm cuối khác trong mạng
L2 khác biệt chỉ thông qua định tuyến. Bộ định tuyến, thiết bị đóng vai trò
định tuyến, có một giao diện trong mỗi mạng L2 mà nó định tuyến giữa. Giao diện
bộ định tuyến này được gọi là Giao diện VLAN chuyển mạch (SVI). SVI có ít nhất
một địa chỉ IP và ít nhất một địa chỉ Điều khiển truy cập phương tiện (MAC).
Thông thường các điểm cuối có một tuyến trỏ đến địa chỉ IP của SVI là địa chỉ
IP bước tiếp theo. Một tuyến đường như vậy có địa chỉ IP 0.0.0.0/0 (hoặc :: / 0
trong IPv6) và được gọi là tuyến đường mặc định. Một bộ định tuyến định tuyến
các gói nhận được trên một giao diện được định tuyến được gửi tới địa chỉ MAC
của giao diện đó. Giao thức phân giải địa chỉ (ARP) được sử dụng trong mạng
IPv4 để lấy MAC
1 Nếu bạn chưa quen với thế giới IETF, các bản nháp không phải là các tiêu chuẩn đã được phê chuẩn hoàn toàn (được gọi là RFC theo
cách nói của IETF) nhưng vẫn có thể khá hoàn chỉnh, ổn định và được thực hiện bởi các cơ sở.
56 | Chương 5: Định tuyến với Ethernet VPN
Technet24
||||||||||||||||||||
địa chỉ liên kết với địa chỉ IP. Mạng IPv6 có một cơ chế tương tự được gọi là ND
(Neighbor Discovery).
Để xác định cách định tuyến một gói, bộ định tuyến tra cứu địa chỉ IP đích của
gói đó trong bảng chuyển tiếp IP. Bảng IP for‐ warding còn được gọi là Cơ sở
Thông tin Chuyển tiếp (FIB).
Việc tra cứu liên quan đến hai trường chính: Định tuyến ảo và For‐ warding (VRF)
được liên kết với gói và địa chỉ IP đích trong gói. Kết quả ít nhất là giao diện
gửi đi. Nếu bước tiếp theo không phải là đích cuối cùng, kết quả cũng chứa địa
chỉ IP của bước tiếp theo. Bộ định tuyến lấy địa chỉ MAC của địa chỉ IP bước tiếp
theo này từ bảng ARP (hoặc ND). Nếu giao diện gửi đi là SVI, bộ định tuyến sẽ tra
cứu địa chỉ MAC này trong bảng MAC cho mạng L2 đó. Việc tra cứu này mang lại giao
diện đầu ra thực tế.
Việc triển khai silicon của ba bảng này và quy trình tra cứu sẽ trông khác nhau
do nhu cầu duy trì tốc độ chuyển tiếp gói lớn của chúng. Vì mục đích của cuộc
thảo luận này, chúng tôi sẽ gắn bó với mô hình logic của các bảng này.
Với tổng quan ngắn gọn đó, chúng ta hãy quay lại tìm hiểu các vấn đề cần được
giải quyết bằng định tuyến EVPN. Chúng tôi sẽ sử dụng cấu trúc liên kết mẫu được
hiển thị trong Hình 4-1. Chúng tôi sẽ giả sử SVI của bộ định tuyến được gán các
địa chỉ 10.1.1.1/32 và 10.1.2.1/32 tương ứng với SVI màu đỏ và xanh lam. Địa chỉ
IP của A là IPA và IPF của F.
Giả sử rằng A ở mạng đỏ muốn nói chuyện với F ở mạng xanh. Vì F nằm trong một
mạng L2 khác, A tra cứu bảng định tuyến để quyết định bước tiếp theo để đạt được
F là ai. Như chúng ta đã trình bày trước đó, các máy chủ thường có một tuyến
đường mặc định duy nhất trỏ đến bộ định tuyến bước đầu tiên. Bảng ARP chứa địa
chỉ MAC để truy cập bộ định tuyến bước đầu tiên. Vì vậy, A gửi một gói tin với
địa chỉ MAC đích của SVI của bộ định tuyến bước nhảy đầu tiên. Trong các hoạt
động mạng truyền thống, một bộ định tuyến đơn (hoặc một cặp bộ định tuyến) là bộ
định tuyến bước đầu tiên cho mạng L2. Trong hình 4-1, mạng màu đỏ được gắn vào
các lá L1, L2 và L4. Làm cách nào để chúng tôi chọn bộ định tuyến bước nhảy đầu
tiên cho mạng đỏ? Nếu chúng ta chọn một cặp trong số chúng làm bộ định tuyến bước
đầu tiên như trong mạng truyền thống, liệu có một bộ định tuyến duy nhất đang
hoạt động tại bất kỳ thời điểm nào hay cả hai chúng đều có thể hoạt động cùng
một lúc? Chúng ta có thể có nhiều hơn hai bộ định tuyến bước đầu tiên đang hoạt
động cho một mạng con nhất định không?
Ngoài ra, mỗi lá có thể là bộ định tuyến bước nhảy đầu tiên cho các điểm cuối
cục bộ của nó trong mạng đỏ không? Trong trường hợp như vậy, chúng ta có sử dụng một
Mô hình định tuyến | 57

||||||||||||||||||||
địa chỉ IP bộ định tuyến cho mỗi lá? Điều gì xảy ra khi điểm cuối VM di chuyển phía
sau một chiếc lá khác tại một thời điểm nào đó trong tương lai? Liệu nó có thể coi
chiếc lá mà nó đang gắn vào là bộ định tuyến bước nhảy đầu tiên của nó không?
Từ một góc độ khác, Virtual Extensible LAN (VXLAN) cung cấp một mạng lớp phủ L2 ảo.
Làm thế nào nó có thể vận chuyển các gói được định tuyến?
Đối với trường hợp A nói chuyện với F, nếu L1 là bộ định tuyến, Bộ nhận dạng công việc
mạng ảo (VNI) nào mà L1 đặt trên gói tin mà nó gửi đến L4? Sau khi định tuyến, L1 có
đánh địa chỉ gói tin đến L4 hoặc F trong tiêu đề bên trong (hoặc tải trọng VXLAN)
không? Trước khi đề xuất câu trả lời rõ ràng, hãy xem xét điều gì cần xảy ra khi C
muốn gửi một gói tin đến D. L2 thậm chí không mang mạng xanh lam và vì vậy không có
kiến thức về mạng xanh lam.
Các mô hình định tuyến khác nhau trong EVPN phát sinh từ các câu trả lời khả thi khác
nhau cho những câu hỏi này. Khi một VTEP đơn lẻ (hoặc tập hợp con của VTEP) là bộ định
tuyến bước nhảy đầu tiên cho mạng ảo, mô hình này được gọi là định tuyến tập trung.
Nếu mỗi VTEP là bộ định tuyến bước nhảy đầu tiên cho các điểm cuối cục bộ của nó trên
mạng ảo, thì mô hình này được gọi là định tuyến phân tán. Khi L1 kết nối trực tiếp gói
tin với F sau khi định tuyến và đặt VNI của F (màu xanh) trong gói tin đó, nó được gọi
là mô hình định tuyến không đối xứng. Khi L1 định tuyến gói đến L4 và đặt VNI mới, đại
diện cho VRF và không có màu đỏ cũng không phải màu xanh, nó được gọi là mô hình định
tuyến đối xứng.
Đợi một chút, bạn nói. Đây không phải là tất cả một chút quá phức tạp? Bạn không thể
chỉ chọn một câu trả lời phù hợp và sử dụng câu trả lời đó thay vì cố gắng hỗ trợ tất
cả các câu trả lời có thể sao? Mô hình đối xứng, phân tán thực hiện việc cắt giảm
trong hầu hết các trường hợp. Thật không may, có những yếu tố khác như khả năng tương
tác, quan điểm đối lập từ các nhà cung cấp và có thể là nhu cầu cụ thể của riêng bạn,
khiến việc hiểu tất cả những điều này trở nên hữu ích và quan trọng.
Định tuyến được thực hiện ở đâu?

Phần này trình bày các hệ quả của việc định vị chức năng định tuyến trong mạng EVPN.
Như đã mô tả trong phần trước, có hai cách khả thi để xác định vị trí định tuyến: tập
trung và phân tán.
Technet24
||||||||||||||||||||
Định tuyến tập trung Định
tuyến tập trung là mô hình đơn giản nhất để hiểu giữa các mô hình EVPN. Nó duy trì
mô hình ban đầu của một điểm cuối định tuyến bước nhảy đầu tiên (hoặc một cặp điểm
cuối) cho mạng L2. Một cách phổ biến để triển khai mô hình này được thể hiện trong
Hình 5-1. B1 và B2 là các lá biên và hoạt động như các bộ định tuyến tập trung.
Nếu phần lớn lưu lượng bị ràng buộc bên ngoài trung tâm dữ liệu—nghĩa là hướng bắc–
nam—việc triển khai này hiệu quả với luồng lưu lượng tối ưu. Một ưu điểm khác của
mô hình này là có thể triển khai các dịch vụ khác nhau như tường lửa và bộ cân
bằng tải từ các bộ định tuyến này.
Định tuyến VXLAN không được phổ biến rộng rãi trên hầu hết các chip2 của thương
gia cho đến năm 2017 hoặc lâu hơn. Do đó, cấu trúc liên kết này cung cấp một cách
đơn giản để chèn các hộp mới hơn có chức năng định tuyến VXLAN vào mạng hiện có mà
không cần nâng cấp toàn bộ mạng.
Nếu bạn làm cột sống chuyển các nút biên giới,
thì các nút cột sống cũng phải hoạt động như
các VTEP.
Hình 5-1. Một cấu trúc liên kết phổ biến để triển khai định tuyến tập trung
2 Nếu bạn thông thạo lĩnh vực này, ý tôi là định tuyến VXLAN không phải là hoạt động một lần thông qua chip chuyển mạch.
Định tuyến được thực hiện ở đâu? | 59

||||||||||||||||||||
Nhược điểm chính của phương pháp này là khả năng mở rộng và luồng lưu
lượng không tối ưu. Các bộ định tuyến tập trung cần mở rộng quy mô để
xử lý tải các thông báo ARP cho toàn bộ mạng. Sử dụng triệt tiêu ARP/ND
sẽ giảm bớt gánh nặng này.
Nếu có lưu lượng đáng kể giữa các điểm cuối bên trong công trình mạng
này (ví dụ giữa A và F), mô hình này dẫn đến luồng lưu lượng không tối
ưu. Con đường tối ưu cho lưu lượng từ A đến F là từ L1 đến L4 thông qua
một trong các mũi nhọn. Với định tuyến tập trung, lưu lượng từ A đến F
chảy từ L1 đến B1 (hoặc B2) qua một trong các gai trước khi chảy đến L4
(qua một trong các gai một lần nữa). Những bước nhảy bổ sung này làm
tăng thêm độ trễ và tăng tắc nghẽn trong mạng.
Khi cả B1 và B2 hoạt động như các bộ định tuyến tập trung, có hai cách
để triển khai chúng. Đầu tiên, cả hai bộ định tuyến đều hoạt động cho
tất cả các VNI. Trong trường hợp thứ hai, mỗi cái đang hoạt động cho
một tập hợp con của VNI và được cấu hình để ở chế độ chờ cho các VNI
khác. Khi cả hai đều hoạt động cho tất cả các VNI, bạn phải đề phòng
rủi ro rằng bất kỳ gói bị tràn nào dẫn đến các gói được định tuyến trùng
lặp. Để hiểu điều này tốt hơn, hãy xem xét thời điểm A gửi một gói đến
bộ định tuyến bước nhảy đầu tiên của nó. Nếu L1 không biết địa chỉ MAC
của bộ định tuyến, nó sẽ sao chép gói tới tất cả các VTEP quan tâm đến
mạng đỏ (A nằm trong mạng đỏ). Nếu cả B1 và B2 nhận được một bản sao, cả
hai sẽ định tuyến gói, dẫn đến các gói trùng lặp. Sử dụng một mô hình
chẳng hạn như địa chỉ IP bất kỳ VTEP với sao chép xâm nhập có thể đảm
bảo chỉ một trong số chúng nhận được gói. Ngoài ra, một giao thức như
Giao thức dự phòng bộ định tuyến ảo (VRRP) có thể đảm bảo rằng chỉ một
trong số chúng định tuyến gói cho mạng. Cách thứ ba để đảm bảo rằng chỉ
một trong số chúng định tuyến gói tin là sử dụng mô hình chuyển tiếp
được chỉ định được mô tả trong chương về bắc cầu.
Khuyến nghị của tôi là sử dụng mô hình VTEP anycast IP với tính năng sao
chép xâm nhập do tính đơn giản của nó (không có giao thức bổ sung và
cấu hình tối thiểu).
Định tuyến phân tán Trong
định tuyến phân tán, mọi VTEP là bộ định tuyến bước đầu tiên cho các
mạng gắn liền cục bộ của nó. Vì vậy, trong Hình 4-1, L1 là bộ định tuyến
bước nhảy đầu tiên cho các mạng màu đỏ và xanh lam, L2 là bộ định tuyến
bước nhảy đầu tiên cho mạng màu đỏ, v.v. L1 sẽ định tuyến các gói từ A
và B, L2 sẽ định tuyến các gói từ C, v.v. Đây là mô hình được triển khai
phổ biến nhất trong trung tâm dữ liệu.
Technet24
||||||||||||||||||||
Để đảm bảo truy cập nhất quán đến các điểm cuối, tất cả các bộ định tuyến bước
đầu tiên trong mạng có cùng địa chỉ bộ định tuyến bước đầu tiên và địa chỉ MAC
của bộ định tuyến. Ví dụ: giả sử rằng IP của bộ định tuyến là 10.1.1.1 cho
mạng đỏ, L1, L2 và L4 đều được cấu hình với địa chỉ này trong mạng đỏ. Bằng
cách này, một nút di chuyển từ lá này sang lá khác không cần phải học lại địa
chỉ MAC và địa chỉ IP của bộ định tuyến bước nhảy đầu tiên của nó.
Định tuyến phân tán không cần bất kỳ giao thức bổ sung nào.
Nhược điểm chính của phương pháp này là nó yêu cầu quản trị viên phải suy nghĩ
lại về cách triển khai các dịch vụ như tường lửa và bộ cân bằng tải. Trong mô
hình định tuyến tập trung, các dịch vụ được đặt ở các lá biên giới. Nếu các
dịch vụ này chỉ cần thiết cho lưu lượng truy cập vào và ra khỏi trung tâm dữ
liệu, thì việc triển khai các dịch vụ này tại các biên giới vẫn hoạt động.
Nhưng nếu các dịch vụ cần thiết cho lưu lượng truy cập trong
trung tâm dữ liệu, cách tốt nhất để triển khai các dịch vụ là trên chính mỗi
máy chủ.
Một cách khác để giải quyết vấn đề dịch vụ là sử dụng VRF.

Đặt từng mạng cần xác thực lưu lượng trong một VRF khác. Điều này cô lập mạng
khỏi mọi lưu lượng truy cập bên ngoài với chính nó. Đường dẫn định tuyến đến
mạng này có thể thông qua tường lửa. Bằng cách đặt tường lửa phía sau B1 và B2
như trong Hình 5-1, chúng ta có thể sử dụng lại các tường lửa vật lý hiện có
trong khi vẫn triển khai định tuyến phân tán. Nếu không phải tất cả lưu lượng
được định tuyến cần được xác thực qua tường lửa, thì mô hình này hoạt động khá
tốt. Nếu B1 và B2 cũng lưu trữ các dịch vụ được chia sẻ như các nút lưu trữ,
luồng lưu lượng cũng là tối ưu. Trường hợp sử dụng trong thế giới thực của mô
hình này là sử dụng các đám mây riêng, khi hai mạng bên thuê riêng biệt muốn
giao tiếp với nhau. Quyền truy cập như vậy thông qua địa chỉ IP công cộng chứ
không phải địa chỉ riêng tư và địa chỉ IP công cộng đó có thể được truy cập
thông qua tường lửa.
Bạn có thể triển khai cả định tuyến phân tán và tập trung trong cùng một trung
tâm dữ liệu.
Cách định tuyến hoạt động trong EVPN
Trong phần này, chúng ta đi vào trọng tâm của định tuyến trong EVPN. Như đã mô
tả trước đó, EVPN hỗ trợ hai mô hình định tuyến: bất đối xứng và đối xứng.
Cách thức hoạt động của định tuyến trong EVPN | 61

||||||||||||||||||||
Định tuyến bất đối xứng
Trong định tuyến không đối xứng, các VTEP đầu vào và đầu ra
hoạt động khác nhau. VTEP đầu vào, cũng là bộ định tuyến bước
nhảy đầu tiên, thực hiện tra cứu định tuyến để quyết định đâu
là VTEP đầu ra. Gói bên trong sau đó được gửi đến đích cuối
cùng. Vì vậy, các tuyến VTEP đi vào, trong khi VTEP đi ra chỉ
bắc cầu. Do đó, tên định tuyến bất đối xứng. Mô hình này giả
định rằng mạng đích là cục bộ của VTEP đầu vào; mặt khác, nó
không thể biết địa chỉ MAC của đích cuối cùng.
Hãy chia nhỏ điều này bằng cách xem xét một ví dụ cụ thể. Sử dụng mạng
trong Hình 4-1, chúng ta hãy nghiên cứu luồng gói tin khi A gửi một gói
tin đến F. Hãy giả sử mô hình định tuyến phân tán.
1. A biết rằng F nằm trong một mạng con khác. A biết điều này vì nó
biết địa chỉ của chính nó là 10.1.1.A/24, trong khi địa chỉ của F
là 10.1.2.F/24.3 Khi A được gán một địa chỉ IP, nó cũng được cấu
hình với một tuyến đường mặc định. Bước tiếp theo cho tuyến đường
mặc định được đặt thành địa chỉ IP của bộ định tuyến bước nhảy đầu
tiên, trong trường hợp này là 10.1.1.1/24. A gửi một gói có địa chỉ
MAC đích được đặt thành địa chỉ MAC được gán cho địa chỉ IP
10.1.1.1,4 và địa chỉ IP đích được đặt thành 10.1.2.F.
2. L1 nhận được gói tin này. Vì địa chỉ MAC đích là

địa chỉ MAC bộ định tuyến của nó, L1 định tuyến
gói tin. một. Bởi vì L1 cũng có các điểm cuối trong mạng xanh, kết
quả tra cứu FIB là mạng con 10.1.2.0/24 là cục bộ, có thể truy
cập qua SVI xanh.
b. Vì vậy, L1 tra cứu bảng ARP của nó để xem liệu nó có biết cách
đạt được F thông qua SVI màu xanh lam hay không. 10.1.2.F có
trong bảng ARP của nó, vì EVPN đã điền thông tin này vào thời
điểm sớm hơn. c. L1 tra cứu địa chỉ MAC của F và thấy rằng F đứng sau VTEP
L4.
đ. L1 tra cứu địa chỉ IP của L4 trong bảng định tuyến của nó và
thấy rằng nó có thể đến L4 thông qua S1 hoặc S2. Nó sử dụng hàm
băm gói để xác định S1 và S2 sẽ chọn. Giả sử rằng nó chọn S1.
3 Số thứ ba trong địa chỉ thập phân chấm của F khác với A.
4 A đưa ra một yêu cầu ARP cho địa chỉ MAC của 10.1.1.1 nếu nó chưa có.
Technet24
||||||||||||||||||||
e. Nó thay đổi địa chỉ MAC đích trên gói tin thành và thay đổi
đề VXLAN địa
với chỉ
địa MAC
chỉ nguồn
IP đích
thành
được
chính
đặt nó. Nó MACF , thêm tiêu
đến địa chỉ IP VTEP của L4, địa chỉ IP nguồn được đặt thành địa
chỉ IP VTEP của L1, VNI được đặt thành màu xanh lam (mạng của
F) và cổng nguồn UDP dựa trên hàm băm của gói gốc. Cuối cùng,
nó thêm một tiêu đề Ethernet bên ngoài với địa chỉ MAC đích vào
địa chỉ MAC của S1.
f. L1 chuyển tiếp gói tin tới S1.
3. S1 nhận được gói tin này. Địa chỉ IP đích là của L4, vì vậy S1
tham khảo FIB IP của nó và thấy rằng nó biết cách truy cập L4.
Nó thay đổi địa chỉ MAC đích trên tiêu đề bên ngoài thành L4 và
gửi gói đến L4 ra PortL4.
4. L4 nhận gói tin.
một. Bởi vì gói được dành cho nó ở cả lớp địa chỉ MAC và IP và gói
là gói VXLAN, L4 giải mã phần tiêu đề VXLAN và lưu thông tin
rằng gói này thuộc về VNI màu xanh lam.
b. MACF là địa chỉ MAC đích trong gói đã tách rời này. Vì vậy, L4
tra bảng MAC của nó cho MACF trong VNI màu xanh lam. Nó thấy
rằng MACF trong mạng màu xanh là ngoài PortF c. L4 chuyển tiếp
gói đã tách rời tới F.
Hình 5-2 minh họa các tiêu đề gói khi gói chuyển từ A đến F.
Định tuyến hoạt động như thế nào trong EVPN | 63

||||||||||||||||||||
Hình 5-2. Tiêu đề gói trong gói từ A đến F với định tuyến không đối xứng
Phần quan trọng của định tuyến không đối xứng tất cả đã xảy ra ở bước 2. L1
đặt VNI là màu xanh lam trong gói và địa chỉ MAC đích là F's. Sau đó, hành
vi không khác với mô hình bắc cầu VXLAN mà chúng ta đã nghiên cứu trong
Chương 4. Gói VXLAN được định tuyến từ L1 đến L4, trong đó tiêu đề VXLAN là
dải, và gói ban đầu được bắc cầu từ L4 đến F.
Xem xét điều gì sẽ xảy ra nếu C muốn gửi một gói đến F. Bước 1 giống như
trong ví dụ trước của chúng tôi, ngoại trừ việc gói được chấp nhận để xử lý
bởi L2 chứ không phải L1. Bởi vì chúng tôi đang giả định định tuyến phân
tán, mọi bộ định tuyến bước nhảy đầu tiên được định cấu hình để có cùng địa
chỉ IP và MAC của bộ định tuyến cho các mạng có liên quan được gắn vào nó.
L2 không có mạng màu xanh và vì vậy nó không biết phải làm gì.
Do đó, định tuyến bất đối xứng không hoạt động nếu mạng con đích không được
gắn cục bộ vào bộ định tuyến bước nhảy đầu tiên.
Giải pháp cho vấn đề L2 này là định tuyến đối xứng. Chúng ta xem xét điều đó
trong tiểu mục tiếp theo và sau đó so sánh định tuyến bất đối xứng và đối
xứng.
Technet24
||||||||||||||||||||
Định tuyến đối xứng
Trong định tuyến đối xứng, cả VTEP đầu vào và đầu ra đều định
tuyến gói tin đến đích cuối cùng của nó.
Do đó, chuyển tiếp gói trong định tuyến đối xứng khác với định tuyến không theo
hệ mét ở ba cách. Đầu tiên, VTEP xâm nhập định tuyến gói tin đến đích cuối cùng
với VTEP đi ra là bước tiếp theo.
Thứ hai, VTEP đầu ra, sau khi giải mã, thực hiện tra cứu định tuyến để quyết
định đường đi đến đích cuối cùng. Thứ ba, VNI được sử dụng để mang gói giữa VTEP
đi vào và đi ra là VNI L3 hoặc VRF. VNI L3 này khác với VNI L2 của mạng nguồn
hoặc mạng đích. Bảng 5-1 nêu rõ sự khác biệt giữa định tuyến không đối xứng và
đối xứng.
Bảng 5-1. Sự khác biệt giữa chuyển tiếp gói định tuyến không đối xứng
và đối xứng
Hành vi xâm nhập VTEP Quá cảnh VNI Hành vi VTEP đi ra
định tuyến bất Định tuyến sau, gói được bắc cầu Điểm đến Giải mã, sau đó kết nối gói
đối xứng đến đích cuối cùng thông qua đầu ra VNI của nút đến đích trong
VTEP Tiêu đề MAC
Định tuyến Định tuyến sau, gói được chuyển L3 VNI Giải mã, sau đó định tuyến gói đến
đối xứng đến đích cuối cùng thông qua đầu ra đích bằng tiêu đề IP
VTEP
Hình 5-3 cho thấy các tiêu đề gói cho gói truyền từ A đến F với định tuyến đối
xứng cho cấu trúc liên kết mạng được thể hiện trong Hình 4-1. Sự khác biệt trong
tiêu đề so với người anh em họ hàng không đối xứng của nó được in đậm.
Chúng ta hãy nghiên cứu một lần nữa các hành động tại mỗi bước nhảy khi gói tin
chuyển từ A đến F, nhưng lần này sử dụng định tuyến đối xứng.
1. Luồng gói từ A đến L1 vẫn giống như trong trường hợp metric. A biết rằng F
nằm trong một mạng con khác với nó. A gửi một gói đến bộ định tuyến bước
đầu tiên, 10.1.1.1, với địa chỉ MAC đích là 10.1.1.1 và địa chỉ IP đích là
10.1.2.F.
2. L1 nhận được gói tin này.
một. Vì MAC đích là địa chỉ MAC của bộ định tuyến, L1 cố gắng định tuyến
gói tin.

||||||||||||||||||||
b. Đầu tiên, nó xác định VRF được liên kết với mạng màu đỏ (vì A nằm
trên mạng màu đỏ). Hãy gọi nó là VRF xanh.

L1 cũng nằm trên mạng xanh lam, vì vậy kết quả tra cứu FIB của nó
là mạng con 10.1.2.0/24 là cục bộ của nó. Tuy nhiên, do định tuyến
đối xứng, bảng định tuyến cũng chứa một tuyến cụ thể hơn đến 10.1.2.F/
32 (chúng ta sẽ thấy cách nó biết trong tiểu mục tiếp theo). Vì vậy,
tra cứu tuyến đường này thắng tuyến đường mạng con.
Tuyến này có IP chặng tiếp theo là VTEP của L4, là 10.1.2.1, có thể
truy cập thông qua giao diện đầu ra màu xanh lục SVI.
Hình 5-3. Tiêu đề gói trong gói từ A đến F với định tuyến đối
xứng
c. Vì vậy, L1 tra cứu bảng ARP của nó để xem liệu nó có biết cách tiếp
cận L4 thông qua SVI màu xanh lục hay không. đ. Nó tìm thấy địa chỉ
MAC được liên kết với mục nhập này (đã xuất hiện thông qua EVPN vào thời
điểm sớm hơn). Sau đó, nó tra cứu bảng MAC cho địa chỉ MAC này trong
mạng màu xanh lá cây (một VNI L2 đặc biệt được tạo cho VRF màu xanh
lá cây). L1 nhận thấy rằng nút này nằm sau VTEP L4.
e. L1 tra cứu địa chỉ IP của L4 trong bảng định tuyến của nó (nhưng
trong VRF mặc định lần này) và thấy rằng nó có thể đến L4 thông qua
S1 hoặc S2. Nó sử dụng băm gói để xác định S1 và S2 cần chọn. Giả sử
rằng nó chọn S1.
Technet24
||||||||||||||||||||
f. Nó thay đổi địa chỉ MAC đích trên gói thành MACL4 và thay đổi
địa chỉ MAC nguồn thành MAC của chính nó, MACL1. Nó thêm tiêu
đề VXLAN với địa chỉ IP đích được đặt thành địa chỉ IP VTEP của
L4, VNI được đặt thành màu xanh lục và cổng nguồn Giao thức gói
dữ liệu người dùng (UDP) dựa trên hàm băm của gói gốc. Cuối
cùng, nó thêm một tiêu đề Ethernet bên ngoài với địa chỉ MAC
đích được đặt thành địa chỉ MAC của S1.
g. L1 chuyển tiếp gói tin tới S1.
3. S1 nhận được gói tin này. Địa chỉ IP đích là của L4, vì vậy S1 tham
khảo bảng IP FIB của nó và thấy rằng nó biết cách truy cập L4. Nó
thay đổi địa chỉ MAC đích trên tiêu đề bên ngoài thành của L4 và
gửi gói tin đến L4.
4. L4 nhận gói tin.
một. Gói tin được chuyển đến L4 ở cả hai lớp địa chỉ MAC và IP và
đây là một gói VXLAN. Vì vậy, L4 decapsu‐ kết hợp tiêu đề VXLAN
và lưu thông tin rằng gói tin này thuộc về VNI màu xanh lá cây.
b. Địa chỉ MAC đích trên gói giải mã là

MACL4, vì vậy L4 cố gắng định tuyến gói tin.
c. VNI xanh ánh xạ tới VRF xanh. Vì vậy, L4 tra cứu 10.1.2.F trong
VRF màu xanh lá cây trong FIB, trả về kết quả rằng mạng con là
cục bộ trên SVI màu xanh lam.
đ. L4 sau đó tra cứu 10.1.2.F trong SVI màu xanh lam trong bảng
ARP và tìm địa chỉ MAC được liên kết, đó là MACF . Bây giờ nó
tra cứu địa chỉ MAC MACF trong mạng màu xanh lam và thấy rằng
cổng ra là PortF .
e. Do đó, L4 chuyển tiếp gói tin đã giải mã đến F. F nhận

cái túi.
Nếu bạn đã ở với tôi cho đến nay, tốt. Có rất nhiều khái niệm để trêu
chọc ở đây và hiểu. Để tóm tắt hành vi chuyển tiếp với định tuyến đối
xứng:
• Gói được định tuyến hai lần trong lớp phủ: một lần khi xâm nhập
VTEP và một lần VTEP đầu ra.
• Bởi vì VTEP đầu ra được coi là một bước nhảy được định tuyến trong
lớp phủ, mô hình giả định rằng chúng chia sẻ một VNI liên VTEP
chung được gọi là L3 VNI. Trong định tuyến không phải EVPN truyền thống,
Cách định tuyến hoạt động trong EVPN | 67

||||||||||||||||||||
liên kết giữa các bộ định tuyến không có trong mạng nguồn cũng như trong
mạng đích. Định tuyến đối xứng bắt chước hành vi đó bằng cách đặt đường
hầm VXLAN kết nối VTEP vào và ra trong L3 VNI mới. Điều này được thể hiện
trong Hình 5-4.
• Định tuyến đối xứng yêu cầu tất cả định tuyến diễn ra trong ngữ cảnh của
VRF. Khi xâm nhập, nguồn VNI xác định VRF cũng cung cấp L3 VNI được sử
dụng. Trên VTEP đi ra, L3 VNI trong gói xác định VRF sẽ được sử dụng trong
tra cứu bảng định tuyến.
Hình 5-4. Mô hình liên kết giữa các VTEP trong định tuyến đối xứng
Quay lại nơi mà định tuyến bất đối xứng trở nên lộn xộn: nếu C muốn nói chuyện
với F, định tuyến đối xứng hỗ trợ nó rất tốt. VTEP đi vào, L2, không bao giờ
cần phải tra cứu bất kỳ thông tin nào bằng cách sử dụng mạng đích của F (màu
xanh lam), và do đó, chuyển tiếp gói hoạt động giống như trên L1.
Tuy nhiên, vì định tuyến đối xứng yêu cầu VTEP đầu ra thực hiện định tuyến,
nên mô hình tập trung không hoạt động với định tuyến đối xứng; nó chỉ hoạt động
với định tuyến không đối xứng.
VRF trong Định tuyến EVPN
Trong EVPN, định tuyến được giả định xảy ra trong ngữ cảnh của VRF.
Điều này đúng không phụ thuộc vào việc mô hình là đối xứng hay không đối xứng.
Bảng định tuyến lớp phủ được giả định nằm trong bảng định tuyến mặc định hoặc
toàn cục, trong khi bảng định tuyến lớp phủ được giả định nằm trong bảng định
tuyến dành riêng cho VRF. Có thể có hoạt động định tuyến không đối xứng mà
không cần sử dụng VRF, như được minh họa bằng ví dụ trong “Định tuyến không đối
xứng” trên trang 62. Nhưng VRF là cần thiết nếu các điểm cuối phải giao tiếp
với thế giới bên ngoài, vì quảng cáo RT-5 có liên quan . Các quảng cáo RT-5
luôn xảy ra trong bối cảnh VRF: chỉ số VNI L3 được báo hiệu trong quảng cáo.
Do đó, để duy trì một mô hình định tuyến thống nhất, tôi thực sự khuyên bạn nên
luôn sử dụng VRF với định tuyến EVPN.
Technet24
||||||||||||||||||||
Thông báo tuyến đường tóm tắt
Cho đến nay, tất cả các quảng cáo chúng tôi đã thấy đều đủ tiêu chuẩn / 32 tuyến
đường. Quảng cáo MAC / IP (RT-2) không hỗ trợ các tuyến đường tóm tắt hoặc tiền tố
quảng cáo như / 16 hoặc / 24 tuyến đường. Nhưng không có khả năng quảng cáo các
tuyến đường tóm tắt ảnh hưởng đến khả năng mở rộng của giải pháp. Ví dụ, định tuyến
hoạt động như thế nào khi máy chủ A cần giao tiếp với thế giới bên ngoài? Bảng định
tuyến của L1 trông như thế nào để hỗ trợ điều này?
Nếu bạn xem xét một mạng như trong Hình 5-1, thì các bộ định tuyến biên (E1 và E2)
thường chỉ quảng cáo tuyến đường mặc định đến B1 và B2. Chỉ trong mỗi lần triển
khai, gai và lá không mang bảng định tuyến của thế giới bên ngoài. Họ chỉ thực hiện
tuyến đường mặc định đưa họ đến B1 và B2 và từ đó đến E1 và E2. Tuyến mặc định là
0.0.0.0/0, có tiền tố không phải là/32 (IPv6 có ::/0 làm tuyến mặc định). Làm thế
nào điều này được quảng cáo vào mạng EVPN của L1-L4?
Loại tuyến đường mới, loại 5 (RT-5) đã được giới thiệu để hỗ trợ trường hợp sử dụng
này. Dự thảo tiêu chuẩn trên quảng cáo tiền tố IP xác định định nghĩa và cách sử
dụng loại tuyến đường này.
Quảng cáo các tuyến đường tóm tắt không được thực hiện tự động; bạn cần phải cấu
hình nó. Chúng tôi đề cập đến vấn đề này trong Chương 6.
Hỗ trợ BGP cho Định tuyến EVPN
Trong phần này, chúng ta sẽ xem xét hỗ trợ BGP cho định tuyến EVPN.
Mặc dù kiến thức này có thể không cần thiết cho việc sử dụng hàng ngày nhưng nó vẫn
hữu ích trong việc khắc phục sự cố.
Định tuyến không đối xứng không cần thêm bất kỳ hỗ trợ nào trong BGP. Nó sử dụng
thông tin trong thông báo RT-2 (Loại tuyến 2). Sau khi SVI được tạo trên VTEP và địa
chỉ IP được chỉ định, hộp đã sẵn sàng để thực hiện định tuyến không đối xứng. Nếu
chế độ chặn ARP / ND đã được bật trước đó, thì bảng hàng xóm đã được điền.
Nếu ngăn chặn ARP / ND không được bật, một quảng cáo RT-2 sẽ được gửi bởi VTEP mỗi
khi bảng láng giềng IP được cập nhật bởi các yêu cầu ARP của điểm cuối cục bộ.
Định tuyến đối xứng cần nhiều tình yêu hơn.
Có ba phần thông tin bổ sung cần thiết cho định tuyến đối tượng: VNI để sử dụng giữa
đầu vào và đầu ra
Cách thức hoạt động của định tuyến trong EVPN | 69

||||||||||||||||||||
VTEP, địa chỉ IP bước tiếp theo (là địa chỉ IP của VTEP đầu ra) và
địa chỉ MAC của bộ định tuyến của VTEP đầu ra. Những điều này cần
được chuyển tải trong một số thông điệp BGP UPDATE. Địa chỉ IP của
VTEP đi ra luôn được mang trong thuộc tính NEXTHOP của quảng cáo
BGP. Bản tin RT-2 có các điều khoản để hỗ trợ cổng mang hai phần
thông tin còn lại.
RT-2 hỗ trợ mang hai nhãn VNI (hoặc nhãn Chuyển mạch nhãn đa giao
thức [MPLS] trong tiêu chuẩn EVPN ban đầu). Với định tuyến bất đối
xứng, chỉ một trong hai trường VNI được sử dụng để thông báo L2 VNI.
Với định tuyến đối xứng, cả hai trường VNI đều được sử dụng, một cho
L2 VNI và một cho quá cảnh hoặc L3 VNI.
Tuyến cũng cần mang địa chỉ MAC của VTEP đi ra, bởi vì địa chỉ này
được sử dụng làm địa chỉ MAC đích trên gói bên trong. Địa chỉ MAC
này được mang dưới dạng Cộng đồng mở rộng BGP mới trong quảng cáo.
Cộng đồng mở rộng mới này được gọi là Cộng đồng mở rộng Router MAC.
So sánh các mô hình không đối xứng và đối xứng Hình 5-5
cho thấy cách các trường khác nhau của tiêu đề VXLAN được phổ biến
trong trường hợp định tuyến không đối xứng và đối xứng khi L1 định
tuyến một gói tin đến IPF . Sự khác biệt được in đậm. Thông tin này
hữu ích cho quản trị viên mạng cần khắc phục sự cố trong mạng EVPN.
Hình 5-5. Cách các trường trong gói VXLAN được điền bởi L1 trên
định tuyến IPF
Technet24
||||||||||||||||||||
Một cách khác để so sánh hai mô hình định tuyến là xem các bảng chuyển
tiếp được sử dụng như thế nào trong mỗi mô hình. Trong định tuyến không
đối xứng, vì gói được bắc cầu sau khi định tuyến - tức là, mạng quốc gia
là cục bộ với VTEP đi vào - tất cả các điểm cuối từ xa đều có mặt dưới
dạng các mục ARP / ND trong khi bảng định tuyến phần lớn vẫn trống. Bởi
vì tất cả các điểm cuối từ xa đều nằm trong bảng ARP / ND nên tất cả
chúng đều có trong bảng chuyển tiếp MAC.
Trong định tuyến đối xứng, đối với các mạng đích là cục bộ, hành vi cũng
giống như định tuyến không đối xứng. Đối với các mạng đích không phải là
mạng cục bộ, bảng định tuyến chứa tất cả các điểm cuối từ xa (dưới dạng /
32 tuyến) với VTEP đầu ra tương ứng là bước tiếp theo. Mục nhập duy nhất
trong bảng ARP / ND cho các mục nhập từ xa này là VTEP đi ra VRF VNI. Vì
vậy, bảng chuyển tiếp MAC chỉ chứa một mục nhập địa chỉ MAC duy nhất (của
VTEP đầu ra) cho tất cả các điểm cuối từ xa đằng sau VTEP đầu ra đó.
Tuy nhiên, nếu một mạng đích là cục bộ, thực sự không có sự tiết kiệm
nào trong không gian bảng chuyển tiếp tổng thể cho VNI đó với định tuyến
đối xứng và không đối xứng.
Từ quan điểm của các VNI, quy mô định tuyến đối xứng tốt hơn nhiều so
với bất đối xứng vì mỗi VTEP chỉ có thể chứa các VTEP mà nó quan tâm
trong khi vẫn cho phép kết nối với các VNI không cục bộ. Mặt khác, nếu
tất cả các VNI không có mặt trên tất cả các VTEP, nếu các máy ảo di
chuyển hoặc có thể quay lên hoặc xuống, một số thực thể phải đảm bảo
rằng VTEP cục bộ sẽ có VNI được liên kết với VM như được định cấu hình
nếu nó không hiện nay. Thực thể tương tự cũng phải đảm bảo rằng một VNI
bị hủy trên VTEP khi máy ảo cuối cùng sử dụng nó tắt. Trừ khi bạn đang
vận hành một đám mây riêng trong đó quy mô của các VNI là quan trọng,
khuyến nghị của tôi là luôn định cấu hình tất cả các VNI có liên quan
trên tất cả các VTEP. Điều này giới hạn số lượng trạng thái thay đổi
trong mạng khi máy ảo quay lên và xuống và loại bỏ sự cần thiết của bộ
điều phối giữa máy tính và mạng để định cấu hình và xóa VNI trên máy ảo
quay lên và xuống.
Từ quan điểm cấu hình, định tuyến đối xứng yêu cầu cấu hình bổ sung: cho
L3 VNI. Tuy nhiên, nếu yêu cầu kết nối bên ngoài, thì định tuyến đối
xứng vẫn được yêu cầu và do đó, cấu hình của L3 VNI không bổ sung nhiều.
Một sự khác biệt khác giữa các mô hình định tuyến không đối xứng và đối
xứng là việc sử dụng VRF. Định tuyến không đối xứng có thể hoạt động trong

||||||||||||||||||||
VRF giống như mạng lớp nền, tức là ở VRF mặc định, nếu người dùng không có yêu
cầu về nhiều VRF. Định tuyến đối xứng yêu cầu cấu hình rõ ràng của L3 hoặc VRF
VNI, ngay cả khi chỉ cần một VRF duy nhất. Nó không thể hoạt động trong VRF mặc
định. Tuy nhiên, để tách biệt các mạng lớp phủ và mạng lớp phủ, tốt hơn là sử
dụng VRF không mặc định ngay cả trong trường hợp định tuyến không đối xứng.
Hỗ trợ của nhà cung cấp cho Định tuyến EVPN
Bây giờ lý thuyết về định tuyến với EVPN đã được làm rõ ràng, chúng tôi chuyển sự
chú ý của mình sang những mối quan tâm thực dụng hơn: những mô hình nào được hỗ
trợ bởi các nhà cung cấp khác nhau và các silicon chuyển mạch của người bán.
Có hai phe (chúng ta có thể tranh luận về một loại bia cho dù họ đang đấu tay
đôi) giữa các nhà cung cấp để ủng hộ các mô hình khác nhau.
Arista, Cisco và Cumulus hỗ trợ mô hình đối xứng, trong khi Cumulus và Juniper hỗ
trợ mô hình bất đối xứng.
Có khá nhiều lựa chọn khi nói đến chuyển đổi silicon hỗ trợ định tuyến VXLAN. Các
quản trị viên mạng sẽ cần tự xác nhận xem chip trong sản phẩm họ định mua có hỗ
trợ định tuyến VXLAN (chức năng thường được gọi là Định tuyến Vào và Ra khỏi
Đường hầm [RIOT]) hay không trong một lần chuyển.
Bản tóm tắt
Chúng tôi đã khám phá cách hoạt động của định tuyến trong bối cảnh của EVPN. Đọc
lại chương này để làm quen với các tùy chọn định tuyến khác nhau.
Được trang bị lý thuyết về cầu nối và định tuyến trong EVPN, tiếp theo chúng ta
sẽ kiểm tra cách định cấu hình và quản trị mạng EVPN.
Technet24
||||||||||||||||||||
CHƯƠNG 6
Con guring và quản trị

Ethernet VPN
Tất cả lý thuyết và cơ sở của các chương trước được đưa vào sử dụng
thực tế trong chương này. Chúng tôi nghiên cứu cấu hình Ethernet VPN
(EVPN) cho ba tình huống triển khai phổ biến nhất: định tuyến tập trung
bất đối xứng, định tuyến phân tán không đối xứng và định tuyến đối
xứng. Trong mỗi trường hợp, đầu tiên chúng tôi trình bày cấu hình cuối
cùng cho bộ định tuyến nguồn mở, Định tuyến theo phạm vi miễn phí
(FRR). Sau đó, chúng tôi tách các cấu hình để có thể học cách sử dụng
chúng trong các tình huống khác.
Cấu hình với FRR hoàn toàn đơn giản hơn so với các bộ định tuyến khác
nhưng tương thích với cấu hình phức tạp hơn của các bộ khác đó. Để giúp
người dùng, chúng tôi cung cấp bảng gian lận mẫu ở cuối cung cấp cấu
hình FRR cùng với Cisco NX-OS tương đương của nó.
Mặc dù chúng tôi đang tập trung vào EVPN, chúng tôi cũng phải hiển
thị cấu hình mặt phẳng dữ liệu vì cấu hình EVPN phản ánh một số khía
cạnh của cấu hình đó. Nó bao gồm Định tuyến và Chuyển tiếp Ảo (VRF),
Số nhận dạng Mạng Ảo (VNI) và các ánh xạ Mạng Cục bộ Ảo (VLAN)-tới-VNI.
Những phần này là chung cho tất cả các mạng và việc định cấu hình chúng
là dành riêng cho từng nhà cung cấp, vì vậy tôi giới hạn cuộc thảo luận
trong việc nêu các phần hợp lý để cấu hình. Trong một số trường hợp,
tôi hiển thị các đoạn trích cấu hình trên đĩa Debian Linux. Tôi giả sử
sử dụng gói ifupdown2 cho cấu hình liên mạng.
73
||||||||||||||||||||
Nó không đủ để cấu hình một mạng. Chúng tôi cũng cần kiểm tra trạng thái đang chạy và
khắc phục sự cố. Để đạt được mục tiêu đó, chúng tôi kiểm tra các lệnh khác nhau hiển
thị trạng thái đang chạy của EVPN. Chúng tôi kết thúc chương này với các cân nhắc triển
khai cho mạng Clos ba tầng. Có một kho lưu trữ GitHub đồng hành chứa cấu hình đã thảo
luận, cùng với khả năng khởi tạo mạng hoạt động với máy ảo bằng Vagrant.
ifupdown2 là phần kế thừa tương thích ngược của

ifupdown, trình quản lý cấu hình giao diện mạng
của Debian. Thiết kế của ifupdown2 phù hợp với
việc cấu hình các bộ định tuyến và cầu nối. Nó
cũng hỗ trợ cấu hình các tính năng mới như ngăn
chặn Giao thức phân giải địa chỉ (ARP)/Khám phá
hàng xóm (ND). Được các quản trị viên hệ thống
Debian sử dụng phổ biến, ifupdown được thiết kế
cho mạng máy chủ và do đó không mở rộng quy mô khi
được sử dụng với các bộ định tuyến. ifupdown2 là
một dự án mã nguồn mở với các gói chính thức dành
cho các bản phân phối Ubuntu và Debian.
Cấu trúc liên kết mẫu

Hình 6-1 trình bày cấu trúc liên kết mẫu được sử dụng trong phần còn lại của
chương này. Cấu trúc liên kết này là phiên bản thu nhỏ của cấu trúc liên kết
phổ biến nhất mà tôi đã gặp trong quá trình triển khai của khách hàng EVPN.
Số lượng VLAN được triển khai cho các máy chủ là hàng chục đến vài nghìn
trong cuộc sống thực, trong khi chúng tôi chỉ sử dụng hai. Tương tự, có nhiều
lá, gai, lá thoát (hoặc viền), v.v. ngoài đời thực.
Tất cả các bộ định tuyến đều được giả định đang chạy Cumulus Linux (phiên
bản 3.5.1 trở lên) với FRR. Tất cả các máy chủ đều được giả định đang chạy
bản phát hành Ubuntu 16.04 LTS.
74 | Chương 6: Tìm hiểu và quản trị Ethernet VPN
Technet24
||||||||||||||||||||
Hình 6-1. Cấu trúc liên kết mạng mẫu cho EVPN con guration
Chúng tôi giả sử hai mạng ảo, đỏ và xanh lam, được ánh xạ tới một
VRF lớp phủ duy nhất. Màu đỏ được ánh xạ tới VLAN 3 và màu xanh lam
tới VLAN 4.1 Các máy chủ số chẵn hỗ trợ VLAN 4, trong khi các máy
chủ số lẻ hỗ trợ VLAN 3. Các VXLAN VNI được ánh xạ nhận dạng từ
VLAN ID của chúng; nghĩa là, vni3 cho VLAN 3 và vni4 cho VLAN 4.
Giao diện VLAN Chuyển đổi (SVI) đại diện cho giao diện được định
tuyến được đặt tên theo VLAN đến và từ đó
định tuyến. Vì vậy, vlan3 và vlan4 là tên SVI.
Mỗi máy chủ được gắn kép với hai công tắc. Giao diện máy chủ là các
liên kết (còn gọi là liên kết tổng hợp hoặc etherchannel). Tôi giả
định rằng các công tắc hỗ trợ một phiên bản của giao thức Tập hợp
liên kết đa khung (MLAG) để cung cấp ảo giác về một thiết bị duy
nhất cho các máy chủ. Hai VTEP của một cặp MLAG sử dụng cùng một
địa chỉ IP VTEP.
Tôi giả sử rằng sao chép vào được sử dụng cho các khung đa điểm,
các gói BUM (Broadcast, unicast và multicast) không xác định. Trừ khi
1 VLAN 1 theo truyền thống không bao giờ được sử dụng để mang dữ liệu thực và tôi đã bỏ qua VLAN 2 để làm cho ánh xạ giữa các máy chủ
lẻ và chẵn tự nhiên hơn.
Topo mẫu | 75
||||||||||||||||||||
khối lượng khung nhiều người tham gia đủ cao trong mạng của bạn‐ hoạt động
để hưởng lợi từ việc sử dụng đa hướng lớp dưới, tôi khuyên bạn nên sao
chép thâm nhập cho các khung nhiều người.
Kết nối với thế giới bên ngoài bị ngăn cản bởi tường lửa thực thi quyền
truy cập dựa trên chính sách. Tường lửa được cho là được gắn vào như một
bước nhảy L3 kết nối qua các VRF. Hầu hết các triển khai sili‐ con chuyển
mạch quy định rằng lớp phủ Điểm cuối đường hầm VXLAN (VTEP) nằm trong VRF
mặc định. Vì vậy, quyền truy cập internet nằm trong VRF được gọi là
internet-vrf. Lưu lượng truy cập máy chủ là một phần của VRF riêng biệt
được gọi là evpn-vrf và có VNI là 4001 và VLAN tương ứng là 4001. Các nút
này trong evpn-vrf có thể tiếp cận thế giới bên ngoài thông qua tường lửa.
Chúng tôi phân bổ địa chỉ IP lặp lại cho các bộ định tuyến từ mạng con
10.0.0.0/24. Mạng con cho VLAN 3 là 10.1.3.0/24, trong khi mạng con của
VLAN 4 là 10.1.4.0/24. Địa chỉ IP cổng cho các mạng con này tương ứng là
10.1.3.1 và 10.1.4.1. Địa chỉ IP của máy chủ là số máy chủ cộng với 100.
Ví dụ: server01 nằm trong VLAN 3 với địa chỉ IP là 10.1.3.101, trong khi
server04 nằm trên VLAN 4 với địa chỉ IP là 10.1.4.104.
Tất cả các bộ định tuyến đều có một mạng quản lý ngoài băng tần riêng được
kết nối với cổng eth0 của chúng. Các địa chỉ của giao diện này được chia
nhỏ thông qua máy chủ DHCP trên mạng quản lý. Máy chủ DHCP này chạy trên
một nút có tên là oob-mgmt-server trong thiết lập Vagrant. Tất cả quyền
truy cập vào các nút riêng lẻ đều thông qua Secure Shell (SSH) từ máy chủ
oob-mgmt này với tư cách là người dùng tích lũy.
Trường hợp cấu hình

Chương này trình bày các cấu hình cho ba trường hợp. Bảng 6-1 cho thấy các
trường hợp và lý do tại sao chúng thú vị.
Bảng 6-1. Các trường hợp cấu hình được mô tả trong cuốn sách này
Trường hợp
Lý do nó thú vị
Định tuyến Lá chạy silicon chuyển mạch chỉ có thể thực hiện bắc cầu VXLAN, với lá thoát thực
tập trung không đối xứng hiện định tuyến
Định tuyến Mô hình được Juniper sử dụng và do đó có giá trị cho một kịch bản Juniper-interop
phân tán không đối xứng
Định tuyến đối xứng Mô hình định tuyến EVPN mặc định; cũng là mô hình được sử dụng để tương tác với
thiết bị của Cisco và Arista
Technet24
||||||||||||||||||||
Chúng ta đã thảo luận về sự khác biệt giữa các trường hợp này trong Chương 5.
Nhưng chúng ta hãy tóm tắt nhanh về ba tình huống:
• Định tuyến tập trung chỉ yêu cầu các lá thoát biết về định tuyến. Tất
cả lưu lượng truy cập giữa các VNI đều đi đến lối ra và ngược lại. Điều
này rõ ràng là không hiệu quả nhưng không thành vấn đề nếu phần lớn lưu
lượng đi ra từ mạng, bởi vì các lá thoát nằm trên đường thoát.
• Trong định tuyến phân tán không đối xứng, mọi lá thực hiện chức năng
định tuyến, giúp cho luồng lưu lượng hiệu quả hơn trên các VNI. • Định
tuyến phân tán đối xứng là những gì tôi coi là mô hình định tuyến mặc định
cho khả năng mở rộng của nó. Như đã thảo luận trước đó, so với trường
hợp phân tán không đối xứng, một gói tạo ra hai bước định tuyến trong
lớp phủ giữa điểm cuối nguồn và đích.
Trong định tuyến phân tán, nhiệm vụ của các lá đầu ra bị giới hạn trong việc
kết nối với các hộp dịch vụ như tường lửa và cân bằng tải cho tất cả lưu
lượng giữa các VRF, bao gồm cả lưu lượng vào và ra khỏi trung tâm dữ liệu.
Đối với mỗi trường hợp, chúng tôi trình bày cấu hình cho các lá và các lá
thoát. Các gai là một phần của lớp lót, vì vậy cấu hình của chúng là bất
biến trong các trường hợp. Cấu hình máy chủ và cấu hình định tuyến của tường
lửa cũng giữ nguyên trong các trường hợp khác nhau. Cấu hình của bộ định
tuyến kết nối internet rất phức tạp và nằm ngoài phạm vi của cuốn sách này.
Cấu hình mẫu của nó trong kho lưu trữ GitHub chỉ thông báo tuyến đường mặc
định thông qua BGP.
Cấu hình MTU Với VXLAN,
cũng như với các đường hầm khác, điều quan trọng là phải đặt Đơn vị truyền
tối đa (MTU) chính xác trên tất cả các liên kết. MTU xác định kích thước gói
IP lớn nhất có thể chấp nhận được trên một liên kết. Với VXLAN, bạn phải dự
phòng để không vượt quá MTU khi thêm tiêu đề đường hầm VXLAN. 1.500 byte là
MTU phổ biến nhất. Tuy nhiên, thông thường người ta đặt MTU thành số lớn hơn
nhiều cho lưu lượng truy cập bên trong trung tâm dữ liệu. Đề xuất phương
pháp hay nhất là đặt MTU là 9.216 cho các liên kết giữa các công tắc và MTU
là 9.000 cho các cổng đối diện với máy chủ không mang tiêu đề VXLAN.
Các trường hợp đánh giá con | 77

||||||||||||||||||||
Trong Linux, bạn có thể sử dụng lệnh ip route để thiết lập MTU,
nhưng để có thiết lập dính khi khởi động lại, bạn phải thêm dòng
mtu vào phần giao diện trong file2 của mỗi máy chủ lưu trữ như
sau:
giao diện swp51

mtu 9216
Trong Cumulus Linux, bạn có thể sử dụng Dòng lệnh mạng

Công cụ Utility (NCLU) để đặt MTU như sau:
net add interface swp51 mtu 9216
Trên hộp Cisco NX-OS hoặc Arista, sử dụng lệnh mtu (ví dụ: mtu
9216 ) trong tiểu mục giao diện thích hợp.
The End First: Hoàn thành cấu hình FRR

Trong phần này, chúng tôi trình bày toàn bộ cấu hình FRR cho
từng trường hợp được mô tả trong Bảng 6-1. Các giải thích của
các phần có liên quan được cung cấp sau. Lý do chính để trình
bày nó theo cách này là vì tôi cho rằng người dùng sẽ muốn xem
cấu hình mẫu nhiều lần, nhưng bản thân các giải thích cho các
cấu hình không thú vị sau khi chúng được hiểu. Sở thích cá nhân
của tôi cũng là một yếu tố trong việc trình bày các cấu hình
theo cách này: Tôi muốn xem bức tranh toàn cảnh trước khi chia
nhỏ cấu trúc và hiểu từng phần.
The Invariants: Cấu hình cho Spines, Firewall

và Servers
Cấu hình cho spine01 trông như sau:
bộ định tuyến bgp

65020 bgp router-id 10.0.0.21
bgp bestpath as-path đa đường dẫn-thư giãn
hàng xóm vải láng giềng hàng xóm vải từ xa
như hàng xóm bên ngoài giao diện swp1 đồng
đẳng nhóm vải hàng xóm giao diện swp2 đồng hàng
nhóm vải hàng xóm swp3 giao diện đồng hàng nhóm
vải giao diện hàng xóm swp4 vải hàng xóm nhóm vải
hàng xóm giao diện swp5 vải hàng xóm nhóm đồng
hàng vải hàng xóm swp6 giao diện đồng hàng nhóm vải
2 Tệp này được xử lý bởi ifupdown và ifupdown2.
Technet24
||||||||||||||||||||
địa chỉ-gia đình ipv4 unicast hàng

xóm vải kích hoạt phân phối lại
tuyến đường được kết nối-bản đồ LOOPBACKS địa chỉ-gia
đình l2vpn evpn
vải hàng xóm kích hoạt
!
bản đồ tuyến đường LOOPBACKS cho phép

10 trận đấu giao diện lo
!
Spine02 có cấu hình tương tự ngoại trừ router-id, được đặt thành
địa chỉ IP lặp lại của nó. Không có gì đáng chú ý trong cấu hình
này. Vì chúng tôi đang sử dụng Border Gateway Proto‐ col (eBGP)
bên ngoài để mang EVPN, chúng tôi cần có các gai tiếp nhận, xử
lý và truyền các tuyến EVPN. Vì vậy, Chỉ báo gia đình địa chỉ
EVPN (AFI) / Chỉ báo gia đình địa chỉ tiếp theo (SAFI) được kích
hoạt trên tất cả các hàng xóm của gai. Những gì được hiển thị là
toàn bộ cấu hình FRR. Cấu hình giao diện đặt MTU thành 9216 trên
tất cả các liên kết của nó và có địa chỉ IP được gán cho giao
diện lặp lại.
Các máy chủ đang chạy Ubuntu 16.04 với các giao diện eth1 và
eth2 được cấu hình như một liên kết. Cấu hình của server01 trông
như sau:
auto lo
iface lo inet loopback
tự động eth1
iface eth1 inet hướng dẫn
liên kết liên kết chủ

# Bắt buộc đối với liên kết
ip post-up của Vagrant đặt promisc trên dev eth1
auto eth2
iface eth2 inet đường lên liên
kết chủ trái phiếu thủ công
# Cần thiết cho liên kết ip

post-up của Vagrant đặt promisc trên dev eth2
auto uplink
iface uplink inet tĩnh mtu 9000
bond-slaves none
bond-mode 802.3ad bond-

miimon 100 bond-lacp-
rate 1 bond-min-links
1 bond-xmit-hash-policy
layer3 + 4
The End First: Complete FRR Con gurations | 79

||||||||||||||||||||
địa chỉ 10.1.3.101

netmask 255.255.255.0
Trong Vagrant, điều quan trọng là phải đặt các giao diện ở chế độ quảng
bá để cho phép truyền và nhận các gói phát đa hướng và quảng bá. Ngoài
ra, phần còn lại của cấu hình khá đơn giản. Cấu hình cho phần còn lại của
các máy chủ trông giống nhau ngoại trừ địa chỉ IP được định cấu hình.
Tôi giả định rằng tường lửa đang chạy BGP, một tùy chọn phổ biến. Cấu
hình tường lửa trông như sau:

65053 bgp router-id 10.0.0.53
bgp bestpath as-path đa đường-thư giãn hàng
xóm vải nhóm ngang hàng hàng xóm vải từ xa
như hàng xóm bên ngoài eth1.10 giao diện
nhóm ngang hàng vải hàng xóm eth1.11 địa chỉ-họ vải
nhóm ngang hàng Cấu trúc hàng xóm unicast ipv4 kích
hoạt phân phối lại bản đồ tuyến đường được kết nối
LOOPBACKS
!
route-map LOOPBACKS cho phép giao
diện khớp 10 lo
!
Tường lửa trong cấu trúc liên kết mẫu cũng đang chạy Ubuntu 16.04 LTS.
FRR được cài đặt trên đó thông qua bản gỡ lỗi từ kho lưu trữ GitHub của
frrouting.org . Các tuyến lưu lượng hướng về phía internet được nhận qua
giao diện con eth1.10 , trong khi các tuyến giao thông hướng về mạng nội
bộ được nhận qua giao diện con eth1.11 . Không có gì thực sự đáng chú ý
trong cấu hình.
Định tuyến tập trung Đối
với trường hợp định tuyến tập trung, chúng tôi giả định rằng các lá thoát
là các nút duy nhất thực hiện định tuyến EVPN. Phần còn lại của các lá
chỉ đơn thuần làm cầu nối EVPN. Tính năng ngăn chặn ARP / ND cũng được bật.
Cấu hình FRR cho leaf01 như sau:

65011 bgp router-id 10.0.0.11
bgp bestpath as-path đa đường dẫn-thư giãn
vải hàng xóm peer-nhóm vải hàng xóm từ xa-
như hàng xóm bên ngoài giao diện swp51
ngang hàng vải hàng xóm giao diện swp52 ngang hàng
nhóm vải địa chỉ-gia đình ipv4 unicast
80 | Chương 6: Cấu hình và Quản trị Ethernet VPN
Technet24
||||||||||||||||||||
vải hàng xóm kích hoạt phân

phối lại bản đồ tuyến đường được kết nối LOOPBACKS
!
gia đình địa chỉ l2vpn evpn
quảng cáo-tất cả-vni
!
!
bản đồ tuyến đường LOOPBACKS cho phép
!
Các lá khác có cùng cấu hình chính xác ngoại trừ Số hệ thống tự
trị (ASN) và id bộ định tuyến khác nhau. Nếu bạn chỉ muốn sử dụng
EVPN để bắc cầu chứ không phải để định tuyến, cấu hình này là tất
cả những gì bạn cần cho FRR. Chặn ARP/ND được định cấu hình cho mỗi
VNI trong tệp cấu hình giao diện. Chúng tôi trình bày điều này
trong “Định cấu hình Lớp phủ: Giao diện” ở trang 90.
Các lá thoát có cấu hình tương tự, ngoại trừ việc chúng cũng cần
tự quảng cáo là cổng mặc định cho VNI 3 và 4. Các lá thoát cũng
phải giao tiếp với internet edge router, internet, qua internet-vrf
và tường lửa. Như được mô tả trong “Cấu hình lớp lót của lá thoát”
trên trang 86, BGP ngang hàng với tường lửa phải nằm trong mỗi VRF
được cấu hình trên lá thoát. Trong ví dụ của chúng tôi, các lá lối
ra có ba VRF: VRF mặc định cho lớp nền, internet-vrf để kết nối với
thế giới bên ngoài và evpn-vrf cho mạng EVPN nội bộ.
Cấu hình FRR của exit01 trông như sau:
router bgp 65041

bgp router-id 10.0.0.41 bgp
bestpath as-path multiath-relax vải láng
giềng vải hàng xóm từ xa như hàng xóm bên
ngoài giao diện swp51 ngang hàng nhóm vải
hàng xóm giao diện swp52 ngang hàng nhóm vải hàng
xóm 10.253.0.1 giao diện từ xa- như bên ngoài địa
chỉ-họ ipv4 unicast hàng xóm vải kích hoạt hàng xóm swp1.3
allowas-in 1 phân phối lại bản đồ tuyến đường được kết nối
LOOPBACKS
! address-family l2vpn evpn

vải hàng xóm kích hoạt quảng
cáo-all-vni quảng cáo-mặc
định-gw
!

||||||||||||||||||||
! bản đồ tuyến đường LOOPBACKS cho phép

!
bộ định tuyến bgp 65041 vrf internet-vrf

bestpath as-path multiath-relax internet hàng
xóm ngang hàng nhóm hàng xóm internet từ xa
như hàng xóm bên ngoài 10.253.1.1 giao diện
ngang hàng nhóm internet hàng xóm giao diện swp44 địa chỉ
internet nhóm ngang hàng-gia đình ipv4 unicast
hàng xóm kích hoạt internet hàng

xóm 10.253.1.1 allowas-in 1 phân phối
lại bản đồ tuyến đường được kết nối INTERNET
! route-map giấy phép INTERNET 10

giao diện trận đấu internet-vrf
Chúng tôi phân tích cấu hình này trong “Cấu hình lớp phủ của các lá
thoát” trên trang 86.
Định tuyến phân tán không đối xứng Trong
trường hợp định tuyến phân tán không đối xứng, mỗi lá hoạt động như
một bộ định tuyến bước đầu tiên cho lưu lượng EVPN. Tất cả các lá đều
có cùng địa chỉ IP SVI và địa chỉ Điều khiển truy cập phương tiện
(MAC), như được mô tả trong Chương 5. Vì SVI được bật cho các VLAN cục
bộ cho bộ định tuyến, nên không cần phải bật ARP / ND triệt tiêu.
Cấu hình của các lá không thoát giống hệt với trường hợp định tuyến
tập trung. Sau khi bạn định cấu hình SVI cho VNI/VLAN, định tuyến bất
đối xứng sẽ tự động được bật.
Các lá thoát có cấu hình phức tạp nhất trong thiết lập này.
Họ đang nhìn ngang hàng với bộ định tuyến truy cập internet trên
internet vrf, với lớp nền (gai) trong VRF mặc định và với lớp phủ (qua
gai) trong evpn-vrf. Trong mỗi VRF, chúng cũng ngang hàng với tường
lửa. Sau đây là ba phần BGP riêng biệt, một phần dành cho mỗi VRF này.
Cấu hình của exit01 trông như sau:
vrf evpn-vrf
vni 104001
!
! VRF ngang hàng mặc định với lớp lót và tường lửa
Technet24
||||||||||||||||||||

65041 bgp router-id 10.0.0.41
như hàng xóm bên ngoài giao diện swp51 vải
nhóm ngang hàng hàng xóm swp52 giao diện vải nhóm
ngang hàng hàng xóm swp1.2 giao diện từ xa- như cấu
trúc hàng xóm unicast ipv4 của họ địa chỉ bên ngoài
kích hoạt hàng xóm swp1.2 cho phép trong 1 phân phối
lại bản đồ tuyến đường được kết nối LOOPBACKS
address-family l2vpn evpn

cáo-tất cả-vni
!
!
route-map LOOPBACKS cho phép giao

diện khớp 10 lo
! ! evpn vrf peering để thông báo tuyến đường mặc định đến mạng nội bộ!
router bgp 65041 vrf evpn-vrf bgp

router-id 10.0.0.41 Neighbor
swp1.3 interface remote-as external address-family ipv4
unicast network 10.1.3.0/24 network 10.2.4.0/24 Neighbor
swp1.3 allowas-in 1 exit- địa chỉ-gia đình
! Cấu hình này đảm bảo chúng tôi quảng cáo tuyến đường mặc
định! như một tuyến đường loại 5 trong EVPN trong phiên bản BGP chính.
! Tường lửa ngang hàng là để có được tuyến đường mặc định!
trong evpn-vrf từ internet-vrf. Bức tường lửa ! không ngang
hàng với l2vpn/evpn. !

quảng cáo ipv4 unicast
! ! internet vrf peering để truy xuất tuyến đường mặc định từ! bộ định tuyến
phải đối mặt với internet và đưa nó vào tường lửa. !
bộ định tuyến bgp 65041 vrf internet-vrf

bestpath as-path multiath-relax internet hàng
xóm ngang hàng internet hàng xóm từ xa như
hàng xóm bên ngoài giao diện swp1.4 internet
ngang hàng

||||||||||||||||||||
giao diện hàng xóm swp44 địa chỉ internet nhóm ngang
hàng-họ ipv4 unicast
hàng xóm kích hoạt internet hàng
xóm swp1.4 allowas-in 1 phân phối
lại bản đồ tuyến đường được kết nối INTERNET
!
! route-map giấy phép INTERNET 10

giao diện trận đấu internet-vrf
Định tuyến đối xứng
Trong trường hợp định tuyến đối xứng, các lá lối ra có cùng
cách hiểu như trong phần trước. Đó là trong cấu hình của các
VLAN và VNI trên một lá lối ra mà các cấu hình định tuyến đối
xứng và không đối xứng khác nhau. Cấu hình lá không thoát
cũng khác nhau. Sự khác biệt cơ bản là các lá cần phải cấu
hình thêm một L3 VNI theo cách nói tiêu chuẩn. VNI này là
những gì được vận chuyển như là trường VNI giữa VTEP đi vào và đi ra.
Hầu hết cấu hình cho L3 VNI này (và cấu hình VLAN tương ứng
của nó) nằm trong cấu hình giao diện chứ không phải trong
chính EVPN, ngoại trừ một phần nhỏ đánh dấu VNI cho VRF.
cấu hình FRR của leaf01 cho định tuyến đối xứng như sau:
vrf evpn-vrf
vni 104001
! bộ định tuyến bgp

65011 bgp router-id 10.0.0.11
như hàng xóm bên ngoài swp51 giao diện vải
nhóm ngang hàng hàng xóm swp52 giao diện vải nhóm
ngang hàng địa chỉ họ ipv4 vải hàng xóm unicast kích
hoạt phân phối lại bản đồ tuyến đường được kết nối
LOOPBACKS
! address-family l2vpn evpn

hàng xóm vải kích hoạt quảng
cáo-all-vni
!
! bản đồ tuyến đường LOOPBACKS cho phép

!
Technet24
||||||||||||||||||||
Mặc dù EVPN hoàn toàn không yêu cầu, áp dụng FRR hiện tại yêu cầu giá
trị của VNI L3 cho một VRF nhất định phải giống nhau trên tất cả các hộp.
Mổ xẻ khẩu hình
Nói chung, chúng ta có thể chia cấu hình EVPN thành hai phần: định cấu
hình lớp lót và định cấu hình lớp phủ. Mỗi phần đó có thể được chia
thành cấu hình giao diện và cấu hình định tuyến.
Định cấu hình lớp lót Cấu hình
lớp lót là điều cần thiết để đảm bảo rằng các VTEP có thể kết nối với
nhau. Cấu hình bao gồm gán địa chỉ IP cho VTEP và quảng cáo các địa chỉ
đó thông qua giao thức định tuyến. Trong lớp lót, mỗi lá chỉ có các máy
chủ được đính kèm đơn lẻ có một địa chỉ IP duy nhất cũng có thể là địa
chỉ IP của thiết bị loopback. Spines cần một địa chỉ IP duy nhất. Nếu
bạn đang sử dụng các giao diện được đánh số, bạn sẽ cần định cấu hình
cho mỗi địa chỉ IP liên kết giữa các công tắc, thường là từ mạng con/31
hoặc/30. Các lá thoát có thể có vai trò phức tạp hơn, vì vậy chúng tôi
kiểm tra cấu hình của chúng trong “Cấu hình lớp lót của các lá thoát”
trên trang 86.
Chúng ta đã thảo luận về các ràng buộc và lựa chọn để chọn một giao thức
định tuyến lớp dưới. Trong các ví dụ được trình bày trong chương này,
eBGP là giao thức định tuyến lớp dưới. Cụ thể hơn, việc sử dụng BGP
không được đánh số dẫn đến cấu hình giao diện và định tuyến tầm thường.
Nếu bạn muốn biết thêm về việc sử dụng BGP trong trung tâm dữ liệu và
BGP không được đánh số, hãy tham khảo sách đi kèm, BGP trong Trung tâm
dữ liệu (O'Reilly, 2017).
Cấu hình giao diện đơn giản như sau:
• Gán địa chỉ IP duy nhất của nút cho thiết bị loopback. • Đặt
MTU trên tất cả các liên kết chuyển mạch để mang các khung khổng lồ,
kích thước 9.216 byte.
Cấu hình giao diện Linux mẫu cho leaf01 trông như sau:
auto all
address 10.0.0.11/32
iface swp51
Mổ xẻ chiêu bài | 85
||||||||||||||||||||
mtu 9216
iface swp52
mtu 9216
Đây là cấu hình định tuyến sử dụng BGP không được đánh số với
FRR:
• Chỉ định ASN của bộ định tuyến theo các nguyên tắc được mô tả trong sách đi
kèm, BGP trong Trung tâm dữ liệu. • Gán địa chỉ IP lặp lại làm ID bộ định
tuyến. • Xác định một nhóm ngang hàng để cung cấp một khuôn mẫu cho tất cả
những người hàng xóm.
Trong trường hợp có gai, các lá lân cận đều là lá, kể cả lá thoát. Trong
trường hợp lá, hàng xóm là gai. • Xác định các kết nối hàng xóm riêng lẻ.
• Kích hoạt quảng bá địa chỉ unicast IPv4.
• Quảng cáo các tuyến đường được kết nối cục bộ, nhưng chỉ cho đường vòng
thiết bị.
Trong mạng tối thiểu của chúng tôi, mỗi cột sống được kết nối với hai lá lối ra
và bốn lá thông thường, vì vậy định tuyến của chúng tôi trong “Những kẻ bất biến:
Định cấu hình khẩu phần cho Cột sống, Tường lửa và Máy chủ” trên trang 78 liệt kê
sáu hàng xóm.
Cấu hình lớp lót của các lá thoát Các
lá thoát có cấu hình phức tạp hơn các lá còn lại. Điều này đặc biệt đúng khi
tường lửa và bộ cân bằng tải được kết nối với chúng. Tôi đã giả định rằng tường
lửa và các dịch vụ khác được gắn vào một lá thoát dưới dạng một bước nhảy được
định tuyến. Mô hình còn lại là một bước nhảy bắc cầu, còn được gọi là tường lửa
trong suốt. Mô hình hop được định tuyến phổ biến hơn và phù hợp hơn cho trường
hợp sử dụng mà chúng ta đang thảo luận.
Hình 6-2 cho thấy luồng giao thông hợp lý khi lối ra rời khỏi chức năng theo kiểu
này. Mọi VRF cần tiếp cận các điểm đến bên ngoài chính nó đều được kết nối với
tường lửa thông qua giao diện logic của riêng nó.
Trên tường lửa, lưu lượng truy cập rời VRF sẽ đến trên mặt liên của VRF đó và nếu
được phép, đi ra khỏi giao diện của VRF đích trở lại lá thoát. Lưu lượng truy cập
được chuyển đến tường lửa bằng cách đặt đường dẫn mặc định ra khỏi VRF trên giao
diện con phù hợp với tường lửa. Trong trường hợp của chúng tôi, chúng tôi có ba
VRF: mặc định, evpn-vrf và internet-vrf.
Technet24
||||||||||||||||||||
Hình 6-2. Lưu lượng truy cập thông qua lối ra có tường chắn
Do đó, tường lửa được kết nối với mỗi lá thoát thông qua ba giao diện
logic. Giao diện con VLAN là giao diện logic phổ biến nhất được sử dụng
giữa tường lửa và lá thoát.
Khi lá lối ra cũng là một VTEP, do một số hạn chế trong một số silicon
chuyển mạch, các gói tin đi ra từ một đường hầm VXLAN không thể được
định tuyến mà không đưa gói tin vào một đường hầm VXLAN khác hoặc gửi
nó ra một cổng bắc cầu. Vì vậy, chúng tôi xác định một cầu nối với một
tập hợp các VLAN và SVI, một cho mỗi VRF được yêu cầu trên lá thoát.
Cấu hình giao diện trên các lá thoát bao gồm:
• Gán địa chỉ IP cho vòng lặp để có khả năng truy cập lại cơ bản trong
lớp dưới • Định cấu hình VRF, ít nhất là cho VRF internet, giả sử
lớp dưới nằm trong VRF mặc định
Một đoạn cấu hình giao diện Linux cho hai giao diện này như sau:
auto all
address 10.0.0.41/32
iface internet-vrf
vrf-table tự động
Mổ xẻ chiêu bài Con | 87

||||||||||||||||||||
iface swp44
vrf internet-vrf
Cấu hình định tuyến BGP bao gồm hai phần, một dành cho VRF mặc định và
phần còn lại dành cho Internet VRF.3 Phần trước được xác định bởi phần
“router bgp 65041,” và phần sau bởi phần “router bgp 65041 vrf internet
-vrf.
Cấu hình VRF mặc định cũng giống như cấu hình của các lá không thoát,
ngoại trừ việc có thêm một hàng xóm khác là tường lửa. VRF mặc định này
cũng sẽ là nơi chúng tôi định cấu hình lớp phủ, nhưng nhiều hơn nữa về
điều đó sau này. Cấu hình VRF internet chứa hai hàng xóm: một đối với
bộ định tuyến kết nối internet và cấu hình còn lại với tường lửa.
Một phần quan trọng cần thảo luận là việc sử dụng tùy chọn BGP mới,
allowas-in 1. Nhớ lại rằng có nhiều kết nối giữa tường lửa và lá thoát,
mỗi kết nối trong VRF. Tuy nhiên, bản thân tường lửa không biết VRF và
chỉ thấy nhiều phiên BGP. Khi tường lửa phản ánh lại các tuyến được học
từ một hàng xóm trong VRF này đến hàng xóm trong VRF khác, BGP của lá
thoát sẽ từ chối các tuyến này do phát hiện vòng lặp ASPATH của BGP. Để
hiểu điều này tốt hơn, hãy xem xét ASPATH trên một tuyến đường mà tường
lửa nhận được.
Giả sử ASPATH cho tuyến đường này là <65041, 65020, 65011>.4 Khi tường
lửa phản ánh tuyến đường này trở lại lá lối ra thông qua phiên trên một
giao diện con khác, ASPATH sẽ là <65053, 65041, 65020, 65011> . Vì ASN
(65041) của exit01 đã có trong ASPATH này, nên exit01 coi đây là dấu
hiệu của vòng lặp định tuyến và hủy cập nhật. Nếu bạn bật gỡ lỗi trên
exit01, chẳng hạn, bạn sẽ thấy thông báo sau trong nhật ký:
2018-04-13T06:19:04.101100+00:00 exit01 bgpd[4112]: swp1.3 rcvd CẬP NHẬT về 10.0.0.12/32 -- BỊ TỪ CHỐI

do: đường dẫn chứa AS của chúng tôi; 2018-04-13T06:19:04.101380+00:00 exit01 bgpd[4112]: swp1.3 rcvd
,
UPDATE w/ attr: origin ?, mp_nexthop fe80::4638:39ff:fe00:4a(fe80::4638:39ff: fe00:4a)(fe80::4638:39ff:fe00:4a),
đường dẫn 65530 65041 65020 65013
Tùy chọn allowas-in 1 yêu cầu BGP bỏ qua một lần xuất hiện ASN của chính
nó trong ASPATH khi phát hiện vòng lặp ASPATH.
Bởi vì chúng tôi chỉ muốn cấu hình cụ thể này với tường lửa
3 Phần thứ ba dành cho lớp phủ, và chúng ta sẽ thảo luận về điều đó sau.
4 Xem ASN trong cấu hình để hiểu rằng đây là tuyến được quảng cáo bởi
lá.01.
Technet24
||||||||||||||||||||
ngang hàng, chúng tôi chỉ sử dụng điều này cụ thể với các phiên tường lửa
và không chống lại toàn bộ nhóm ngang hàng.
Định cấu hình lớp phủ: FRR Giống như
cấu hình lớp phủ, định cấu hình lớp phủ có hai phần: phần dành riêng cho
giao diện và phần EVPN. Trong FRR, giả sử mặc định là đúng, cấu hình EVPN
trông cực kỳ đơn giản, đặc biệt là khi so sánh với các triển khai ngăn xếp
định tuyến khác. Đối với mọi thứ trừ các tuyến Tuyến loại 5 (RT-5), đây là
toàn bộ cấu hình cho khẩu phần cấu hình định tuyến phân tán đối xứng và
không đối xứng cho các lá, cả lối ra và thông thường:

cáo-tất cả-vni
Từ khóa ads-all-vni yêu cầu BGP quảng cáo các VNI được đính kèm cục bộ, MAC
của chúng và các mục ARP / ND của chúng (nếu chế độ ARP / ND được bật). Như
đã thảo luận trong Chương 2, tất cả nội dung của Bộ phân biệt tuyến (RD)
và Mục tiêu tuyến (RT) trong hầu hết các cấu hình của bộ định tuyến khác
là không cần thiết trong trường hợp FRR.
Cấu hình định tuyến đối xứng bổ sung thêm một phần giao diện trong FRR để
ánh xạ tên VRF tới L3 VNI. Từ cấu hình của chúng tôi được trích dẫn trong
phần trước, đây là phần đó:
vrf evpn-vrf
vni 104001
Trong trường hợp định tuyến tập trung, toàn bộ cấu hình EVPN trên lá thoát
(hoặc bất kỳ lá nào khác thực hiện nhiệm vụ của bộ định tuyến tập trung)
trông như sau:

hàng xóm vải kích hoạt quảng
cáo-all-vni
ads-default-gw
Từ khóa ads-default-gw quảng cáo MAC và IP của bộ định tuyến dưới dạng
quảng cáo RT-2 cùng với cộng đồng mở rộng Cổng mặc định, như được mô tả
trong Chương 5. Trong trường hợp định tuyến trung tâm, lá thoát cũng sẽ có
tất cả VNI cần khởi tạo định tuyến dưới dạng VLAN/VNI được gắn cục bộ mặc
dù có thể không có điểm cuối nào ngoài SVI trong các mạng đó.
||||||||||||||||||||
Thông báo các tuyến đường RT-5 kém trực quan hơn một chút. Trong FRR,
các tuyến tiền tố IPv4 trong VRF thường được thông báo thông qua phiên
bản BGP được liên kết với VRF đó. Vì vậy, chúng tôi cũng định cấu hình
quảng cáo RT-5 thông qua phiên bản BGP được liên kết với VRF. Bởi vì
đây cũng là một tín hiệu cho máy móc EVPN, nên cấu hình nằm trong EVPN
AFI/SAFI. Đây là cấu hình đó, được trích xuất từ cấu hình của exit01
trong phần trước:
bộ định tuyến bgp 65041 vrf evpn-vrf

…
quảng cáo ipv4 unicast
!
Phần này chỉ ra rằng BGP phải thông báo các tuyến được biết đến với VRF
này dưới dạng các tuyến EVPN RT-5 trong phiên bản BGP được định cấu
hình trong phần VRF mặc định.
Để giúp hiểu điều này tốt hơn, hãy cung cấp một số ngữ cảnh. Mô hình
cấu hình BGP cho VRF có hai chế độ cấu hình có thể có. Đầu tiên, nó
tuân theo mô hình MPLS / L3VPN, trong đó cốt lõi là VPN không nhận biết
được và tất cả cấu hình VRF đều nằm trong một phần BGP duy nhất. Trong
mô hình thứ hai, cấu hình tuân theo mô hình không phải L3VPN, chỉ VRF,
trong đó có một bí mật rõ ràng và riêng biệt cho mọi VRF sử dụng BGP.
Vì FRR không hỗ trợ MPLS / L3VPN tính đến thời điểm viết bài này (phiên
bản 4.0.1), lựa chọn duy nhất của nó là tuân theo mô hình sau.
Các gai là một phần của lớp phủ và chỉ cần nhận, xử lý và quảng cáo các
tuyến EVPN mà không cần cài đặt chúng trong bảng chuyển tiếp. Do đó,
đối với họ, cấu hình duy nhất được yêu cầu là kích hoạt EVPN AFI /
SAFI. Toàn bộ cấu hình này như sau:
address-family l2vpn evpn

Định hướng lớp phủ: Giao diện

Cấu hình VXLAN trên lá bao gồm các phần sau:
• Gán địa chỉ IP VTEP. Địa chỉ này giống như địa chỉ IP lặp lại nếu
các máy chủ được đính kèm riêng lẻ; nếu không, đó là địa chỉ IP
VTEP được chia sẻ với đồng đẳng của nó. • Xác định các VLAN được
kết nối với các cổng máy chủ.
Technet24
||||||||||||||||||||
• Xác định các VXLAN ánh xạ tới các VLAN này. •
Xác định một SVI cho mỗi VLAN. Bởi vì chúng ta đang sử dụng định
tuyến phân tán, mỗi lá lưu trữ một VLAN/VNI đều sử dụng cùng
một địa chỉ IP và địa chỉ MAC của cổng.
• Nếu lá được kết nối với các máy chủ được kết nối kép, hãy chỉ
định một địa chỉ IP VTEP chung cho lá này và đồng đẳng của nó.
Địa chỉ IP được gắn vào giao diện loopback. Đặt địa chỉ IP này
làm địa chỉ IP VTEP.
• Tạo nhiều VRF theo yêu cầu. Nếu bạn đang sử dụng định tuyến đối
xứng, hãy tạo một cặp VNI / VLAN cho mỗi VRF.
• Gán các SVI cho các VRF liên quan.
Một đoạn cấu hình giao diện Linux cho các chức năng này trông giống
như sau:
tự động tất cả

địa chỉ 10.0.0.0.11/32 clagd-
vxlan-anycast-ip 10.0.0.112 # vlan3 là SVI
cho VLAN 3 iface vlan3
địa chỉ 10.1.3.11/24

address-virtual 44:39:39:ff:00:13 10.1.3.1/24 vlan-id 3
vlan-raw-device bridge vrf vrf1
# Đây là định nghĩa của VNI 3 tương ứng với VLAN 3 iface vni3 mtu 9000
vxlan-id 3 vxlan-local-tunnelip 10.0.0.11 bridge-access 3 bridge-learning
off iface bridge bridge-vlan-aware yes # bridge-ports bao gồm tất cả
các cổng liên quan đến VxLAN và CLAG. bridge-port bond01 bond02
peerlink vni3 vni4 bridge-vids 3-4
Trong trường hợp định tuyến đối xứng, việc tạo VRF và cặp VLAN/VNI
như sau:
iface evpn-vrf
vrf-table tự động
iface vlan4001
địa chỉ 44:39:39:FF:40:94
||||||||||||||||||||
vlan-id 4001
vlan-raw-device bridge
vrf evpn-vrf
iface vxlan4001
vxlan-id 4001
vxlan-local-tunnelip 10.0.0.11
bridge-learning off bridge-
access 4001
Đồng thời thêm vxlan4001 vào danh sách các cổng cầu dưới đoạn cầu iface .
Không bắt buộc phải sử dụng ARP / ND nếu bạn đang định tuyến tại một VTEP.
Trong trường hợp định tuyến tập trung, tính năng triệt tiêu ARP / ND được bật
cho mỗi VNI. Đoạn mã cho một VNI duy nhất trông như sau:
# Đây là định nghĩa của VNI 3 tương ứng với VLAN 3 iface
vni3 mtu 9000 vxlan-id 3 vxlan-local-tunnelip 10.0.0.11
bridge-access 3 bridge-learning off bridge-arp-nd-
Suppression on
Kiểm tra mạng EVPN

Chúng tôi đã thảo luận về cấu hình của mạng EVPN cho đến nay. Bây giờ chúng ta
hãy xem xét một số lệnh hữu ích để kiểm tra trạng thái chạy của một bộ định
tuyến. Bạn có thể chạy tất cả các lệnh FRR từ bên trong FRR shell, được gọi
bởi sudo vtysh hoặc bằng cách thực hiện từng lệnh riêng lẻ với sudo vtysh -c
"command" trong đó lệnh là lệnh. Lợi ích của việc thực thi các lệnh bên ngoài
vtysh shell là sau đó bạn có thể sử dụng toàn bộ kho công cụ Linux để tìm hiểu
thông tin.
Show Running Con guration Lệnh hữu ích
đầu tiên là hiển thị cấu hình đang chạy thông qua lệnh show run bgp. Sau đây
là một số điểm chính cần tìm trong đầu ra này:
• ASN có chính xác không?
• Id bộ định tuyến có chính xác không?
• Địa chỉ IP VTEP bên dưới có được quảng cáo không?
Technet24
||||||||||||||||||||
• Họ địa chỉ EVPN có được kích hoạt cho quảng cáo không? • Nếu
đây là một chiếc lá, thì liệu từ khóa ads-all-vni có hiện diện không? •
Nếu đây là một cột sống, thì từ khóa ads-all-vni có bị thiếu không? • Nếu
đây là lá thoát với định tuyến tập trung, thì từ khóa ads-default-gw có xuất
hiện không?
• Nếu bạn đang quảng cáo tuyến đường mặc định, ipv4 unicast có được bật trong
l2vpn họ địa chỉ không?
• Nếu đây là chế độ đối xứng, VRF, L3 VNI và VXLAN tương ứng của nó có được
xác định không?
Hiển thị Tóm tắt BGP Lệnh
hữu ích tiếp theo là hiển thị tóm tắt unicast bgp ipv4.
Điều này liệt kê tất cả các hàng xóm trong lớp dưới. Dưới đây là một số điểm
chính cần tìm trong kết quả này:
• Nếu đây là một chiếc lá, có phải tất cả các gai đều xuất hiện
trong đầu ra không? • Nếu đây là cột sống, tất cả các lá có xuất hiện
trong đầu ra không? • Đối với mỗi hàng xóm được hiển thị, trường State / PfxRcd có hiển thị
số khác không?
Nhờ FRR sử dụng tùy chọn BGP tên máy chủ, các hàng xóm được liệt kê không chỉ
theo tên giao diện hoặc địa chỉ IP mà còn theo máy chủ.
Tên.
Lệnh hiển thị tóm tắt bgp l2vpn evpn liệt kê tất cả các bors lân cận trong lớp
phủ. Tìm kiếm các điểm chính tương tự như được liệt kê cho lớp dưới. Việc tường
lửa và bộ định tuyến đối diện với internet không hiển thị là hàng xóm của EVPN
là đúng.
Hiển thị EVPN VNI và VTEP
Tiếp theo, chúng ta hãy xác minh rằng chúng ta có thể thấy tất cả các VNI và số
lượng VTEP được liên kết với mỗi VNI. Điều này được thực hiện thông qua com-
mand show evpn vni. Một số điểm chính cần tìm trong đầu ra này bao gồm:
• Có phải tất cả các VNI đều có mặt không? Bạn có thể sử dụng lệnh show evpn
để có được số lượng của L2 và L3 VNI.
Kiểm tra mạng EVPN | 93

||||||||||||||||||||
• VNI có nằm trong VRF liên quan không?
• Số lượng VTEP liên kết với mỗi VNI có chính xác không? L3 VNI sẽ không
có bất kỳ VTEP nào.
Xác định VTEP nào đã quảng cáo địa chỉ MAC
Sử dụng lệnh show evpn mac vni <vnid> mac <macaddr> để xác
định VTEP đã quảng cáo địa chỉ MAC nào. Trên hệ thống Linux,
bạn cũng có thể chạy bridge fdb show | grep <macaddr> để xác
định VTEP từ xa cho MAC được chỉ định bởi <macaddr>.
So sánh các định dạng FRR và Cisco EVPN Con
Để hỗ trợ trong trường hợp bạn không thể sử dụng FRR nhưng muốn hiểu cách ánh
xạ cấu hình FRR tới của Cisco, tôi đã đính kèm một số bản đồ của FRR vào các
thiết bị tương đương được đề xuất trong NXOS của Cisco trong Hình 6-3.
Hình 6-3. So sánh các đoạn mã kiểm tra FRR và Cisco
Technet24
||||||||||||||||||||
Cân nhắc khi triển khai EVPN quy mô lớn

Mạng
Như chúng ta đã biết, ngoại trừ RT-5, các tuyến trong mạng EVPN phần lớn
là / 32 tuyến. Trong mạng Clos hai tầng, với khoảng 100.000 đến 120.0005 /
32 mục nhập, điều này có vẻ không quá tệ. Tuy nhiên, khi các mạng trở nên
lớn hơn và chúng tôi chuyển sang các mạng Clos ba tầng, việc thiếu quy mô
bắt đầu ảnh hưởng đến việc triển khai. Việc thiếu quy mô không chỉ ảnh
hưởng đến mức độ lớn của các bảng chuyển tiếp mà còn ảnh hưởng đến số
lượng các nút mà bản sao xâm nhập cần tái tạo và tổng số VNI trong hệ
thống. Tất cả điều này ảnh hưởng tiêu cực đến sự vững chắc của toàn bộ hệ
thống. Nếu một lỗi hệ thống có thể phá hủy toàn bộ mạng hoặc làm cho nó
kém thích ứng hơn mức bạn cần, bạn phải xem xét lại thiết kế. Vì những lý
do này, tôi không nghĩ rằng một Clos hai tầng với hơn 128 lá có thể mạnh
mẽ. Đối với những quy mô lớn hơn mức này, tôi thực sự khuyên bạn nên sử
dụng thiết kế Clos ba tầng.
Mạng Clos ba tầng chỉ cung cấp kết nối L3 không thể được điều chỉnh trực
tiếp với mạng EVPN. Vấn đề chính là sự tương tác giữa các kết nối của các
nhóm với lớp xương sống giữa các nhóm và hành vi VTEP. Hình 6-4 minh họa
thiết kế Clos ba tầng dựa trên nhóm truyền thống.
Hình 6-4. Ví dụ về một Clos topol‐ ogy ba tầng dựa trên pod truyền thống
Để mở rộng quy mô, các bộ định tuyến trong các mạng lớn thường giảm số
lượng các tuyến đường mà chúng quảng cáo bằng cách gộp nhiều máy chủ theo
các bit bậc cao của chúng; thủ tục này được gọi là tóm tắt. Với EVPN, câu
hỏi quan trọng nhất là chúng ta tóm tắt ở đâu? Chúng tôi không thể tóm tắt tại
5 Con số này là vùng an toàn của tôi đối với miền một lỗi trong doanh nghiệp hơn là dựa trên giới hạn phần
cứng hoặc phần mềm; nó không phải là nhà cung cấp cụ thể.
Cân nhắc khi triển khai EVPN trong các mạng lớn | 95
||||||||||||||||||||
lớp cột sống bên trong mỗi nhóm.6 Trong một L3 Clos thuần túy, mỗi giá đỡ
đã tóm tắt tất cả các mạng con được gắn cục bộ, vì một mạng con chỉ có thể
được gắn vào một lá (hoặc cặp lá). Việc làm cho interpod cột sống trở thành
điểm tổng kết đánh bại thiết kế chính của mạng Clos là mở rộng mạng, phân
tán tải ra các cạnh, không hút nó vào trung tâm của mạng.
Quy mô và độ phức tạp của thiết kế và chức năng của gai interpod trở nên
khá lớn. Hơn nữa, việc cung cấp các dịch vụ như tường lửa cho lưu lượng
truy cập vào và ra khỏi nhóm trở nên khó khăn trong thiết kế này.
Cuối cùng, tôi nghĩ rằng việc thêm các lá thoát nhóm và sử dụng các lá thoát
này làm điểm tóm tắt và vị trí để kết nối các dịch vụ cấp nhóm như tường
lửa sẽ có ý nghĩa hơn. Mỗi nhóm bây giờ khá khép kín, như trong Hình 6-5.
Hình 6-5. Mẫu thiết kế Clos ba tầng thân thiện với EVPN
Trước tiên, hãy để tôi nói rằng nếu bạn có thể nghĩ rằng đây là mạng Clos
bốn tầng, thì không phải vậy. Tôi vừa chuyển vị trí của các lá lối ra từ
cạnh các lá khác sang nằm trên cùng, chủ yếu là để vừa với
màn hình.
Trong mạng này, các lá lối ra chủ yếu tóm tắt các tuyến tiền tố cụ thể cho
nhóm, quảng cáo nó đến các gai liên kết và quảng cáo một tuyến mặc định đến
nhóm. Các lá thoát nhận được các tuyến tiền tố của các vỏ khác từ cột sống
giữa lá.
Nếu một số VNI nhất định được trải dài trên các nhóm, các lá trong nhóm có
thể sao chép chỉ đến các lá thoát, sau đó các lá này có thể sao chép sang các
6 Xem khối lượng đồng hành, BGP trong Trung tâm dữ liệu, để biết chi tiết.
Technet24
||||||||||||||||||||
lá thoát của các vỏ có liên quan mang VNI đó, và các lá thoát có thể sao
chép nội bộ sang các lá trong vỏ của chúng. Điều này đạt được khả năng mở
rộng tốt nhưng yêu cầu silicon chuyển mạch để xử lý mô hình chuyển mạch
đường hầm VXLAN. Những người thành thạo trong lĩnh vực nghệ thuật này sẽ
nhận ra mô hình sao chép này giống với H-VPLS. Bạn không sai, và vì vậy nó
yêu cầu silicon chuyển mạch phải thực hiện một số hình thức kiểm tra đường
chân trời phân cấp để đảm bảo rằng không có vòng lặp nào được tạo ra bởi
các đường hầm chuyển đổi. Theo như tôi biết, hầu hết các công ty thương mại
hiện có không thể xử lý điều này một cách chính xác. Nhưng tôi nghi ngờ
rằng chúng ta sẽ sớm thấy sự thú vị này.
Khuyến nghị của tôi là tránh kéo dài VNI đến mức có thể.
Bản tóm tắt
Chúng ta đã học cách định cấu hình và quản trị mạng EVPN trong chương này.
Cụ thể, tôi hy vọng sự đơn giản triệt để của dự phòng đề cập đến của FRR
đặt ra tiêu chuẩn cho cách cấu hình mạng EVPN và rằng các bộ định tuyến
khác áp dụng cùng một mô hình hoặc mô hình tương tự. Lỗi của con người là
một trong hai nguyên nhân lớn nhất gây ra lỗi mạng. Tự động hóa, nếu không
được hỗ trợ bởi công cụ phù hợp, chỉ có thể khuếch đại ảnh hưởng của các
lỗi do con người gây ra. Vì vậy, việc có một cấu hình đơn giản — đơn giản
đến mức toàn bộ cấu hình có thể được kiểm tra để tìm lỗi — đi một chặng
đường dài để tạo ra một mạng mạnh mẽ. Còn rất nhiều điều có thể được viết
về chủ đề cụ thể này, đặc biệt là khắc phục sự cố, nhưng những hạn chế về
không gian ngăn cản tôi đi sâu vào vấn đề này với bất kỳ chi tiết nào. Kho
lưu trữ GitHub hy vọng sẽ cung cấp mảnh đất màu mỡ cho người dùng chơi với
mạng và hiểu cách quản lý mạng EVPN.
Tóm tắt | 97
||||||||||||||||||||
Thông tin về các Tác giả
Dinesh G. Dutt đã làm việc trong ngành công nghiệp mạng trong 20 năm
qua, hầu hết là tại Cisco Systems. Gần đây nhất, ông là nhà khoa học
chính tại Cumulus Networks. Trước đó, anh ấy là thành viên của Cisco
Systems. Ông đã tham gia vào các công nghệ làm việc mạng của doanh
nghiệp và trung tâm dữ liệu, bao gồm việc thiết kế nhiều ASIC cung
cấp cho các thiết bị chuyển mạch lớn của Cisco như Cat6K và dòng thiết
bị chuyển mạch Nexus. Ông cũng có kinh nghiệm về mạng lưu trữ từ
những ngày còn làm việc tại Andiamo Systems và trong việc thiết kế
FCoE. Anh ấy là đồng tác giả của TRILL và VxLAN và đã nộp hơn 40 bằng sáng chế.
Technet24

EVPN in The Data Center-1

Uploaded by

Copyright:

Available Formats

You might also like

EVPN in The Data Center-1

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

EVPN in The Data Center-1

Uploaded by

Copyright:

Available Formats

||||||||||||||||||||

Machine Translated by Google

EVPN trong Trung tâm dữ liệu

Bắc Kinh Boston Farnham Sebastopol Tokyo

EVPN trong Trung tâm dữ

liệu của Dinesh G. Dutt

In tại Hoa Kỳ.

hoặc công ty@oreilly.com.

Biên tập viên phát triển: Andy Oram Dwight Ramsey

Copyeditor: Octal Publishing, Inc. Nhà thiết kế bìa: Karen Montgomery

Tháng 6 năm 2018: Ấn bản đầu tiên

Lịch sử sửa đổi cho lần xuất bản đầu tiên

2018-06-04: Bản phát hành đầu tiên

13-07-2018: Bản phát hành thứ hai

biên tập của chúng tôi.

1. Giới thiệu về EVPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Phần mềm được sử dụng trong sách này 4

Ảo hóa mạng là gì? 5

3. Các Khối Xây dựng của Ethernet VPN. . . . . . . . . . . . . . . . . . . . . . . . . . 19

Lược sử tóm tắt về 20

4. Kết nối với Ethernet VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Tổng quan về Cầu nối truyền thống 33

ARP / ND triệt tiêu 53

Bản tóm tắt 54

5. Định tuyến bằng Ethernet VPN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

Trường hợp định tuyến trong các 55

mô hình định tuyến EVPN Định tuyến 56

được thực hiện ở đâu? 58

Cách thức hoạt động của định tuyến 61

trong EVPN Hỗ trợ nhà cung cấp cho định 72

tuyến EVPN Tóm tắt 72

6. Cấu hình và Quản trị Ethernet VPN. . . . . . . . . . . . . . . . . . . 73

Cấu trúc liên kết mẫu 74

Trường hợp cấu hình 76

Kết thúc đầu tiên: Hoàn thành cấu hình FRR 78

Khám phá cấu hình 85

Kiểm tra mạng EVPN 92

So sánh cấu hình FRR và Cisco EVPN 94

Bản tóm tắt 97

của mình. Courtney và Andy, cảm ơn vì hiệp hai.

dạng và trực quan.

cũng thấy cuốn sách này hữu ích.

Giới thiệu về EVPN

2 | Chương 1: Giới thiệu về EVPN

như đã được hứa hẹn.

hơn về những khái niệm này.

các thuật ngữ chung chung.

Giới thiệu về EVPN | 3

tận hưởng nó lâu hơn nữa.

chứ không phải của bạn.

Phần mềm được sử dụng trong cuốn sách này

4 | Chương 1: Giới thiệu về EVPN

Ảo hóa mạng là gì?

rò rỉ giả từ mạng ảo này sang mạng ảo khác.

Các loại mạng ảo Nhiều loại mạng

các không gian địa chỉ chồng chéo?

6 | Chương 2: Ảo hóa mạng

ảo khác thông qua định tuyến.