0


【VxLAN】二、VxLAN-EVPN分布式网关-ensp实验

系列文章目录

一、VxLAN-EVPN集中式网关
二、VxLAN-EVPN分布式网关
三、VxLAN-EVPN外部路由引入


文章目录


前言

VXLAN(Virtual Extensible LAN)是一种基于IP的网络虚拟化技术,旨在解决数据中心网络中虚拟机跨主机通信的问题。随着云计算和虚拟化的广泛应用,数据中心网络规模越来越大,需要跨多个物理机实现虚拟机之间的通信。VXLAN分布式网关是VXLAN技术的一种扩展,用于解决跨不同子网的虚拟机之间的通信问题。


一、拓扑

在这里插入图片描述

二、需求

1、采用分布式网关部署,CE1和CE2作为租户下的L2和L3网关、CE3作为RR部署,只传递EVPN路由。
2、PC1/PC3:192.168.10.0/24;PC2/PC4:192.168.20.0/24,网关地址均为254
3、环回口地址:10.0.x.x/32(举例:CE1=10.0.1.1/32、AR1=10.0.11.11/32),接口地址:xy.1.1.x或y/24
4、实现效果:租户内所有主机都能互相访问

三、配置

1、IGP配置

具体配置省略,主要实现CE1、CE2、CE3、AR1四台设备能互相学习到对方路由,以此建立BGP-EVPN邻居,此处使用OSPF作为IGP。
以AR1为例:
在这里插入图片描述

2、BGP-EVPN配置

2.1、EVPN邻居建立

evpn-overlay enable                # 开启EVPN平面支持能力
#bgp100
 router-id 10.0.3.3
 peer 10.0.1.1 as-number 100
 peer 10.0.1.1 connect-interface LoopBack0
 peer 10.0.2.2 as-number 100
 peer 10.0.2.2 connect-interface LoopBack0
 #ipv4-family unicast
  peer 10.0.1.1 enable
  peer 10.0.2.2 enable
 #l2vpn-family evpn
  undo policy vpn-target    # 关闭BGP的VPN中RT的过滤规则
  peer 10.0.1.1 enable
  peer 10.0.1.1 reflect-client
  peer 10.0.2.2 enable
  peer 10.0.2.2 reflect-client
#

注意点
1、需要开启EVPN平面能力

evpn-overlay enable

,否则不仅是BGP下无法进入到l2vpn-family evpn地址簇下,bridge-domain内的EVPN的业务RD和RT也无法配置。
2、因CE3只做为RR设备,故不会配置bridge-domain和ip vpn-instance,所以本地是没有对应业务的RT值,如果不关闭

policy vpn-target

的RT过滤策略,所有经过RR的EVPN路由都会被丢弃
效果
命令:

display bgp evpn peer

在这里插入图片描述

2.2、VxLAN-EVPN基础配置

配置BD域和VTEP对应关系,建立VxLAN隧道

## 创建BD域和业务VNI
bridge-domain 100
 vxlan vni 100
 evpn                    # 如果没有开启evpn-overlay enable无法配置
  route-distinguisher 100:10
  vpn-target 100:100 export-extcommunity
  vpn-target 100:100 import-extcommunity
#bridge-domain 200
 vxlan vni 200
 evpn
  route-distinguisher 200:20
  vpn-target 200:200 export-extcommunity
  vpn-target 200:200 import-extcommunity
#
## 配置VTEP对应关系
interface Nve1
 source 10.0.1.1
 vni 100 head-end peer-list protocol bgp  # 承载BGP路由
 vni 200 head-end peer-list protocol bgp
#

注意点
1、通过bd域作为不同业务的隔离域,所以需要配置不同的RD和RT,本质类似于一个二层VPN隔离域(如果不开启evpn-overlay平面无法配置)并且一个子接口下只能绑定一个BD域
2、vxlan vni 100,主要区分VxLAN中不同的广播域(子网),每个VNI就代表Vxlan网络中的一个广播域,类似vlan编号。
3、NVE(网络虚拟边缘节点):运行了Vxlan的物理设备称为NVE,主要配置VxLAN的隧道对应关系,本次隧道建立通过BGP进行动态学习建立。
效果
命令:

display bgp evpn all routing-table

在这里插入图片描述
命令:

display vxlan tunnel

在这里插入图片描述

2.3、配置VxLAN三层网关

VPN实例和三层网关创建

## 创建三层VPN实例
ip vpn-instance vxlan
 ipv4-family
  route-distinguisher 100:200
  vpn-target 100:200 export-extcommunity
  vpn-target 100:200 export-extcommunity evpn
  vpn-target 100:200 import-extcommunity
  vpn-target 100:200 import-extcommunity evpn
 vxlan vni 5010
#
## 建立二层VPN和三层VPN路由交叉,生成IFB路由
bridge-domain 100
 evpn
  vpn-target 100:200 export-extcommunity
bridge-domain 200
 evpn
  vpn-target 100:200 export-extcommunity
#
## 创建VxLAN三层网关
interface Vbdif100
 ip binding vpn-instance vxlan
 ip address 192.168.10.254255.255.255.0
 mac-address 0000-005e-0001
 vxlan anycast-gateway enable
 arp collect host enable
#interfaceVbdif200
 ip binding vpn-instance vxlan
 ip address 192.168.20.254255.255.255.0
 mac-address 0000-005e-0002
 vxlan anycast-gateway enable
 arp collect host enable
#

注意点

  1. ip vpn-instance vxlan,创建三层VPN实例,注意RD和RT需要和bridge-domain中的不同,一个承载二层MAC路由一个承载三层IP路由。
  2. vxlan vni 5010,配置三层VNI标识,需要不同于二层VNI。
  3. vpn-target 100:200 export-extcommunity,注意!!!需要在二层BD域中配置三层VPN的入向RT,用于产生IRB交叉路由。否则数据访问对端时,路由从二层BD域出去,对端三层VPN是无法接收路由。
  4. mac-address 0000-005e-0001,绑定网关MAC地址,因为CE1和CE2都会配置同样三层网关地址,如果不手动绑定相关MAC地址,设备默认使用本地的MAC,如果CE1和CE2使用本地接口MAC绑定,业务解包转发时会因为MAC地址不同而出现MAC地址偏移或数据包丢弃。
  5. vxlan anycast-gateway enable,开启VxLAN分布式网关能力。
  6. arp collect host enable,用来使能BGP EVPN进行主机信息搜集的功能,如果不开启无法产生对应的32位主机路由。在这里插入图片描述

效果在这里插入图片描述
正常Type2路由如下: 需要包含二三层RT和VNI完整的Type5路由

2.4、传递EVPN-Type2路由(IRB:32位的主机路由)

由上可知,本地已经产生对应的Type2的主机路由,但是RR和对端都无法学习到对端的主机路由
在这里插入图片描述
通告IRB路由给到BGP邻居

## CE1/CE2 ##
bgp 100
 l2vpn-family evpn
  peer 10.0.3.3 advertise irb
#
## CE3 ##
bgp 100
 l2vpn-family evpn
  peer 10.0.1.1 advertise irb
  peer 10.0.2.2 advertise irb
#

注意点
不仅是CE1和CE2需要允许通告IRB路由,RR作为反射器也需要配置。
效果
RR上的EVPN正常学习到对端的主机路由
在这里插入图片描述
Edge节点设备正常学习到从RR传递过来的对端主机路由
在这里插入图片描述
目标主机路由正常加表
在这里插入图片描述

2.5、常见问题: 路由加表异常, 但evpn路由正常学习, 优先关注RT值是否配置正常

在这里插入图片描述
发现CE2的BD域配置中缺少对应业务VPN实例的RT值
在这里插入图片描述
增补配置后对端正常学习到主机路由
在这里插入图片描述

3、连通性测试

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述


总结

优势:

  1. 跨子网通信效率高:VXLAN分布式网关将跨子网通信的负载分散到多台物理机上,减少了单台物理机的负担,提高了跨子网通信的效率。
  2. 网络灵活性:VXLAN分布式网关通过软件定义网络技术进行集中管理和配置,可以根据需要动态调整虚拟网络的拓扑结构,提供更加灵活的网络配置和扩展。
  3. 高级网络服务支持:VXLAN分布式网关可以结合其他高级网络功能,如负载均衡、安全策略等,为虚拟机提供更强大的网络服务。

不足:

  1. 配置复杂:由于VXLAN分布式网关需要借助SDN技术进行集中管理和配置,需要对SDN和VXLAN技术有一定的了解,配置相对复杂。
  2. 性能影响:分布式网关功能的实现需要占用一定的计算和存储资源,可能会对物理机的性能产生一定的影响。
  3. 依赖物理网络:虽然VXLAN分布式网关可以解决跨子网通信问题,但依然需要依赖底层物理网络设备的支持和配合,对物理网络的要求较高。

本文转载自: https://blog.csdn.net/weixin_43408434/article/details/142739776
版权归原作者 小刘小刘富得流油# 所有, 如有侵权,请联系我们删除。

“【VxLAN】二、VxLAN-EVPN分布式网关-ensp实验”的评论:

还没有评论