數據中心架構(物理設備安裝架構):ToR、EoR ------------------------------------------------------------------- ToR:(Top of Rack)接入方式就是在服務器機櫃的最上面安裝接入交換機。(每台機櫃頂部安裝一條接入交換機,剩下空間安裝服務器;匯聚交換機在另一台機櫃,接入交換機統一接入到另一台機櫃的匯聚交換機;大型數據中心基本采用TOR結構) TOR布線的缺點:每個服務器機櫃受電源輸出功率限制,可部署的服務器數量有限,由此導致機櫃內交換機的接入端口利用率不足。在幾個服務器機櫃間共用1-2台接入交換機,可解決交換機端口利用率不足的問題,但這種方式增加了線纜管理工作量。 ------------------------------------------------------------------- EoR:(End of Row)接入交換機集中安裝在一列機櫃端部的機櫃內,通過水平纜線以永久鏈路方式連接設備櫃內的主機/服務器/小型機設備。EoR 對設備機櫃需要敷設大量的水平纜線連接到交換機。(這種方式個人理解:服務器放服務器機櫃,交換機放交換機機櫃) EOR布線方式的缺點:從服務器機櫃到網絡機櫃的銅纜多(約有20-40根銅纜),且距網絡機櫃越遠的服務器機櫃的銅纜,在機房中的布線距離越長,由此導致線纜管理維護工作量大、靈活性差。 ------------------------------------------------------------------- TOR適用於高密度機櫃;EOR適用於低密度機櫃 機櫃間的布線:TOR相對簡單;EOR布線復雜 維護:TOR接入設備多,網絡管理維護復雜,電纜維護簡單,擴展性好;EOR接入設備少,維護簡單,電纜維護復雜 從網絡設計考慮,TOR布線方式的每台接入交換機上的VLAN量不會很多,在網絡規划的時候也要盡量避免使一個VLAN通過匯聚交換機跨多台接入交換機,因此采用TOR布線方式的網絡拓撲中,每個VLAN的范圍不會太大,包含的端口數量不會太多。但對於EOR布線方式來說,接入交換機的端口密度高,在網路最初設計時,就可能存在包含較多端口數的VLAN。
CLOS網絡架構、胖樹(Fat-Tree)網絡架構、葉脊(Spine-Leaf)網絡架構 ---------------------------------------------------------------------------------- CLOS網絡的核心思想是:用多個小規模、低成本的單元構建復雜,大規模的網絡。(1953年提出) ---------------------------------------------------------------------------------- 胖樹(Fat-Tree)的 CLOS 網絡架構是一種三級的網絡架構,標志着 CLOS 正式進入數據中心網絡架構領域,這是 CLOS 網絡模型的第三次應用。(2008年提出) Fat-Tree 是無帶寬收斂的: 傳統的樹形網絡拓撲中,帶寬是逐層收斂的,樹根處的網絡帶寬要遠小於各個葉子處所有帶寬的總和。 Fat-Tree 則更像是真實的樹,越到樹根,枝干越粗,即:從葉子到樹根,網絡帶寬不收斂。這是 Fat-Tree 能夠支撐無阻塞網絡的基礎。 Fat-Tree 的缺陷 Fat-Tree 的擴展規模在理論上受限於核心層交換機的端口數目,不利於數據中心的長期發展要求; 對於 POD 內部,Fat-Tree 容錯性能差,對底層交換設備故障非常敏感,當底層交換設備故障時,難以保證服務質量; Fat-Tree 拓撲結構的特點決定了網絡不能很好的支持 One-to-All及 All-to-All 網絡通信模式,不利於部署 MapReduce、Dryad 等高性能分布式應用; Fat-Tree 網絡中交換機與服務器的比值較大,在一定程度上使得網絡設備成本依然很高,不利於企業的經濟發展。 因為要防止出現 TCP 報文亂序的問題,難以達到 1:1 的超分比。 ---------------------------------------------------------------------------------- 葉脊(Spine-Leaf)網絡架構,也稱為分布式核心網絡,由於這種網絡架構來源於交換機內部的 Switch Fabric,因此也被稱為 Fabric 網絡架構,同屬於 CLOS 網絡模型。事實已經證明,Spine-Leaf 網絡架構可以提供高帶寬、低延遲、非阻塞的服務器到服務器連接。 CLOS 網絡是三級交換架構,而 Leaf Spine 卻只有兩層,這是因為:網絡架構中的設備基本都是雙向流量,輸入設備同時也是輸出設備,因此三級 CLOS 沿着中間層對折,就得到了兩層的網絡架構。可以看出傳統的三層網絡架構是垂直的結構,而 Spine-Leaf 網絡架構是扁平的結構,從結構上看,Spine-Leaf 架構更易於水平擴展。 傳統三層網絡架構只有核心交換機是昂貴的 L3 交換機,但 Spine-Leaf 卻要求所有節點都應該是 L3 交換機。因此,Spine-Leaf 也只能在設備價格下降了的這些年才得以被推廣。 leaf交換機終結二層網絡,leaf交換機和spine交換機之間走3層路由 spine交換機同層之間不連線(這一點和城域網有區別!);leaf交換機同層之間不連線 參考:數據中心網絡架構的問題與演進 — CLOS 網絡與 Fat-Tree、Spine-Leaf 架構 源文檔 <https://www.cnblogs.com/jmilkfan-fanguiju/p/11825042.html>
華為數據中心的一些基礎概念 ---------------------------------------------------- NVo3---Network virtual over Layer3 Underlay ==物理網絡==L3 IP fabric Overlay == 虛擬化網絡 華為的spine-leaf架構,spine-leaf均使用物理交換機 而一些服務器廠商使用的spine-leaf架構,leaf則是由服務器虛擬產生的。 在華為的spine-leaf架構中,每台服務器都會虛擬一台虛擬交換機vsw(華為使用ovs,開源虛擬交換機),同時虛擬多張網卡和多台用戶設備;FW設備會虛擬多台防火牆;LB設備會虛擬多台LB負載均衡設備 虛擬交換機和物理交換機是一樣的,連接虛擬服務器的接口為access口。 在華為的VPC網絡(Virtual Private Cloud)中,虛擬防火牆、路由器、負載均衡都只能有一台,虛擬服務器則有多台。 數據中心中有3類leaf:1.用於接入服務器;2.用於接入防火牆,負載均衡設備;3.用於接入PE、路由器 在華為的spine-leaf架構(分布式網關架構)中,通信為3種情況: 1.同一個VPC下的兩台虛擬用戶設備通信,兩台虛擬用戶設備位於一台物理服務器之上,則在物理服務器內部完成通信 2.同一個VPC下的兩台虛擬用戶設備通信,兩台虛擬用戶設備位於不同物理服務器之上,則需要通過vxlan隧道完成二層通信 3.數據中心內部的不同vpc用戶通信,則為3層通信;用戶位於不同物理服務器之上時,還需要通過vxlan隧道完成通信 4.數據中心用戶與外部用戶通信,數據包需要通過vxlan隧道,同時可能還要經過NAT vxlan隧道的數據包大小問題,因為端口默認MTU為1500,虛擬交換機和物理交換機都不調整MTU將導致數據包分片;目前采用的方法為增加物理交換機的MTU vxlan基於udp,目的端口4789,源端口隨機,通過hash計算 BD內可以看成一個二層網絡,BD會終結vlan! interface GE1/0/1.10 mode l2 encapsulation dot1q vid 10 bridge-domain 10 進入BD域后,vlan會被終結!已抓包驗證vxlan報文,在報文內部確實沒有vlan tag!所以只要同一個BD中,不同vlan是可以通信的! 結論:不管虛機從哪個vlan上來,只要leaf上相應的子接口進行vlan終結,那么就是可以通信的! vxlan的水平分割機制:從vxlan接受到的bum幀不會再從vxlan傳遞出去,避免了環路。(也因為這種機制,決定了網絡需要全互聯) 例如三台leaf 中使用相同的vlan VNI,那么看起來是有成環的。 靜態VXLAN的問題: 1.手工配置,相當繁瑣,一個vxlan VNI連接的leaf越多,配置越繁瑣 2.BUM數據包 (廣播、未知單播、組播)對大二層影響很大 數據中心一般多用M-LAG,少用堆疊 SDN創建overlay 可以認為BD是vxlan在當前交換機上的延伸 BD可能是華為獨有的概念 vxlan關聯到BD vlan關聯到BD vxlan和vlan是間接關聯,通過BD進行關聯
集中式網關,網關放在spine上(現網中較少使用集中式網關) ----------------------------------------------- 集中式網關優缺點 優點:1.設計簡單;2.路徑更優;3.適合簡單組網 缺點:1.潛在單點故障(spine掛了影響太大);2.次優路徑 解決1:VRRP;但是也有問題,存在主備,利用率低,所以實際不用這種方式 解決2:多活網關,在多台spine上配置一樣的IP,使用一樣的MAC,相應的NVE接口也是一樣的配置... ----------------------------------------------- 集中式網關單點故障的多活網關導致的2個問題以及解決方案: 問題1:虛機ping網關是沒問題的,但是網關向虛機回ping時,因為在leaf上到網關顯示的是路由負載分擔,所以流量可能跑到另一個網關(這就是問題) 解決方案:動態交換服務組DFS Group,主要用於設備之間的配對。為了實現雙主檢測報文的交互,DFS Group需要綁定IP地址,綁定的IP地址用於和對端進行通信。(M-LAG技術) [*Spine1] dfs-group 1 [*Spine1-dfs-group-1] source ip 4.4.4.4 [*Spine1-dfs-group-1] active-active-gateway #這樣配置,用於spine之間同步ARP,參考產品文檔'多活網關的配置' [*Spine1-dfs-group-1-active-active-gateway] peer 5.5.5.5 [*Spine1-dfs-group-1-active-active-gateway] quit 問題2:建議多活網關組配置的網關不要超過4000個,減輕負擔 ----------------------------------------------- 集中式網關的缺點2:次優路徑 場景:2個NVI的網關配置在spine中,用戶在同一台leaf下;2個用戶互訪存在次優路徑,流量必須經過spine(該場景集中式網關無法解決) ----------------------------------------------- 小總結:集中式網關的特點 1.多活---解決單點故障 2.多組---降低設備負擔 3.同一個leaf下的2個NVI用戶的互訪的次優路徑問題,集中式網關無法解決
分布式網關(非對稱IRB和對稱IRB)、EVPN type2/3/5路由 非對稱IRB和對稱IRB(華為使用對稱IRB) IRB(I 集成、R 路由、B 橋接):一台設備既做路由也做橋接 ------------------------------------------------------------------- 非對稱IRB(了解) 場景:(分布式網關,即網關配置在leaf設備上,且每台leaf都配置了網關) leafA配置:1.x網絡在VNI5010中,2.x網絡在VNI5020中;leafC配置:2.x網絡在VNI5020中。 分析非對稱IRB的流量轉發過程(leafA下的1.1要訪問leafC下的2.2): 1.流量進入到leafA的BD(對應VNI5010)中,到達網關,然后查路由表下一跳為VNI5020對應的vbdif接口,然后通過vxlan隧道轉發到leafC中(即三層轉發是在leafA中完成的,leafA到leafC是通過vxlan隧道的二層流量) 2.返程流量,流量進入leafC的BD(對應VNI5020)中,到達網關,然后查路由表下一跳為VNI5010對應的vbdif接口,然后通過vxlan隧道轉發到leafA中(因為leafC中沒有配置1.x網絡,流量從leafC到leafA是通過vxlan隧道的二層流量,到達leafA后經過3層轉發才到1.x網絡的網關) 體現非對稱的2個方面: 1.流量往返使用的VNI不一樣 2.流量往返時,路由器AC的角色不一樣:流量去往C時,路由器A既做路由也做橋接;流量由C返程時,路由器A既做路由也做橋接 個人總結:在vxlan之間的通信,不需要關心底層的vlan,因為進入BD后,vlan都會被終結;而vxlan VNI則相當於vlan號,這個是需要保持一致的 ---------------------------------------------------------------------------------- 對稱型IRB(重點) EVPN充當VXLAN的路由控制平面 與BD關聯的VNI稱為二層VNI;與VRF關聯的VNI是三層VNI 網段1.x-----BD 10 ------VNI 5010 網段2.x-----BD 20 ------VNI 5020 網段3.x-----BD 30 ------VNI 5030 個人總結:分配原則是同一個租戶使用同一個三層VNI;同一個租戶的不同網段使用不同的二層VNI 當兩邊的三層VNI一樣,那么在雲端,就會被認為是同一個路由器 當兩邊的三層VNI不一樣,那么在雲端,被認為是2個路由器 RT才是決定路由的收發;VNI是轉發層面的,它會出現在type2路由中,但是它不決定路由的收發 三層VNI用於在目標leaf上識別vpn實例 橋表包含信息:mac、VNI、下一跳 路由表包含信息:IP、L3 VNI、下一跳 1.EVPN幫助leaf生成MAC表、路由表、ARP廣播抑制表 根據type3 生成BUM泛洪表(沒有EVPN,這個BUM表是需要手工配置的) 2.EVPN幫助leaf動態建立隧道 mac路由和irb路由的傳遞在於leaf是否有學習到路由,相當於leaf設備將本地的mac表和arp表傳遞給EVPN BGP鄰居 VNI是數據轉發層面的,只有vxlan報文的頭部有vni;vxlan報文帶着vni到目標路由器上找相應的vpn實例(其實這個和RD有些像嘛) EVPN type2包含了ARP類型路由和IRB類型路由 ARP類型路由攜帶的有效信息有:主機MAC地址+主機IP地址+二層VNI;IRB類型路由攜帶的有效信息有:主機MAC地址+主機IP地址+二層VNI+三層VNI。因此,IRB類型路由包含着ARP類型路由,不僅可以用於主機IP路由通告,也能用於主機ARP通告。 type2的作用: 1.主機MAC地址通告 2.主機ARP通告 3.主機IP路由通告 4.ND表項擴散 5.主機IPv6路由通告 Type2 關心4點:mac、IP、L2 VNI、L3 VNI;type2有點類型ARP表,都有mac、ip,但type2不是ARP表! EVPN Type3包含本端VTEP IP地址和二層VNI,通過Inclusive Multicast(type3)路由互相傳遞二層VNI和VTEP IP地址信息 1.如果對端VTEP IP地址是三層路由可達的,則建立一條到對端的VXLAN隧道。 2.如果對端VNI與本端相同,則創建一個頭端復制表,用於后續BUM報文轉發。(即受到type3之后,以后相應的VNI報文不會進行泛洪處理) type3路由感覺應該是用於指導轉發BUM幀的 EVPN Type5路由——IP前綴路由 包含路由網段+前綴,三層VNI;該類型路由的IP Prefix Length和IP Prefix字段既可以攜帶主機IP地址,也可以攜帶網段地址: • 當攜帶主機IP地址時,該類型路由在VXLAN控制平面中的作用與IRB類型路由是一樣的,主要用於分布式網關場景中的主機IP路由通告。 • 當攜帶網段地址時,通過傳遞該類型路由,可以實現VXLAN網絡中的主機訪問外部網絡。 想象一下分布式網關中,evpn3種路由的使用場景 1.type2路由 個人理解:type2路由一定程度上類似ARP表,若本地設備有目標ip的type2路由,那么直接根據type2路由就可以訪問到目標IP,不管訪問是否跨leaf設備 2.type3路由 個人理解:在遇到BUM幀時,需要發送ARP報文進行解析;由於目標IP不一定直連到本地leaf設備,也可能是掛在其他leaf下;而ARP報文若在數據中心網絡中無差別泛洪的話,將會造成各種帶寬的浪費,資源的浪費,此時可以根據type3路由將ARP報文發送到指定的leaf設備上進行泛洪,影響范圍小的多。通過type3的泛洪進而學習到type2路由。 同時華為使用對稱IRB,所以只要目標IP是數據中心內部的IP,那么必然本地設備上就有網關,必然就是同個廣播域內的訪問,需要獲取目標IP的mac才能進行訪問 3.type5路由 個人理解:type5路由更像傳統意義上的路由
關於集中式網關、分布式網關,以及EVPN的一些零碎理解 ------------------------------------------------- EVPN場景下,L2 VNI和L3 VNI的作用是什么? VNI(L2/L3)是數據轉發平面vxlan頭上的標識,占24位。 如果是同網段互訪,vxlan頭上的vni標識必定是L2 VNI,根據mac表而定 如果是跨網段互訪,vxlan頭上的VNI標識是L3 VNI,根據發送方vrf路由表而定 接收側:根據VNI來判定訪問L3 VRF還是L2 BD,每個BD和VRF都有不同的VNI值加以區分 VNI數值也會出現在BGP update的NLRI中 我的理解: 場景:多個設備的VRF使用相同的三層VNI、VPN實例名、RD值、RT值。 多個VRF在於用戶看來就是一台虛擬路由器;而設備上的多個與該VRF有關聯的BD則像是該台虛擬路由器下的橋接域 而三層VNI不同,但二層VNI相同則相當於通過交換機相連的2台路由器 ------------------------------------------------- EVPN場景下,租戶間可以相互學習對方路由嘛? 1.控制平面:接收EVPN路由時,根據RT來決定是否接收該路由,決定路由進到哪個租戶的哪張表 2.數據平面能否互訪: 在發出數據包時,依賴於L2 mac表or L3VRF中是否命中MAC或IP 在接收數據包時,依靠VNI值來識別該VNI為L3 VNI還是L2 VNI,從而選擇進入VRF還是BD IP VRF 三層的VRF實例 MAC VRF 二層的VRF實例 -------------------------------------------------- 集中式網關配置在spine上,EVPN在集中式網關下是可選的;EVPN在分布式網關下是必選的 作用: 1.mac同步 2.ARP同步(形成ARP廣播抑制表) -------------------------------------------------- ARP廣播抑制表(設備需要開啟ARP廣播抑制特性) ARP廣播抑制是通過在兩層網關實現的; 二層網關是不會學習到ARP的,而是有一張ARP廣播抑制表!雖然這個表也是IP/MAC的關系,和ARP表很像,但這是不同的兩張表! ARP廣播抑制的原理:當用戶虛機發出一個ARP廣播包請求解析一個地址時,二層網關查詢ARP廣播抑制表,若查詢有結果則根據ARP廣播抑制表的內容改寫目的MAC,然后再查詢mac表,繼而實現單播轉發 二層網關做ARP代答的弊端:若使用ARP代答,那么設備就不需要轉發ARP單播請求了,但是這樣對端設備無法通過ARP感知本端設備的存在。 display arp broadcast-suppress user bridge-domain命令用來指定BD域查看ARP廣播抑制表。 [~HUAWEI] bridge-domain 10 [*HUAWEI-bd10] arp broadcast-suppress enable # 在BD 10內使能ARP廣播抑制功能。 --------------------------------------------------- 用戶虛擬設備遷移前后,ARP表項的變化: 1.例如1.1的虛擬在LEAF1下面,LEAF2/3則會學習到1.1對應的ARP指向LEAF1 2.當1.1遷移到LEAF3下之后,LEAF3會通過EVPN更新ARP到其他leaf設備(攜帶更[4聲]新的序列號) 3.當leaf1收到該更新的EVPN路由,通過比較,發現本地已經沒有1.1了,則會發起路由撤銷
EVPN 分布式網關實驗配置
EVPN 分布式網關實驗配置、實驗配置步驟 實驗配置步驟 1.配置底層路由 2.配置evpn bgp鄰居 3.配置ip VPN實例,配置RD和RT、三層VNI 4.配置BD,配置RD和RT、二層VNI、vdbif 5.連接虛機,配置vlan使用子接口終結的方式接入到BD CE1 BD10 二層VNI 10 三層VNI 5010 VPN實例 RD 10:1 import 100:5010 EVPN實例RD 10:2 export 100:10 100:5010 import 100:10 <HUAWEI>dis bgp evpn all routing-table mac-route <HUAWEI>dis bgp evpn all routing-table inclusive-route <HUAWEI>dis bgp evpn all routing-table prefix-route <HUAWEI>dis bgp evpn all routing-table peer 2.2.2.2 advertised-routes <HUAWEI>dis bgp evpn all routing-table peer 2.2.2.2 advertised-routes prefix-route [~HUAWEI]dis bgp evpn peer 感覺總結下來就是vpn實例中配置對應的就是type5路由 BD中配置的對應的是type2路由 難道nve接口對應的是type3路由???? 實驗配置步驟 0.全局開啟EVPN evpn-overlay enable 1.配置底層路由 2.配置evpn bgp鄰居 bgp 100 router-id 1.1.1.1 peer 2.2.2.2 as-number 100 peer 2.2.2.2 connect-interface LoopBack0 # ipv4-family unicast undo peer 2.2.2.2 enable # ipv4-family vpn-instance vpn1 import-route direct advertise l2vpn evpn #一定要加上這條命令,否則本地的路由不會通告進type5路由,即dis bgp evpn all routing-table prefix-route查詢本地路由無結果 # l2vpn-family evpn policy vpn-target peer 2.2.2.2 enable peer 2.2.2.2 advertise irb 3.配置ip VPN實例,配置RD和RT、三層VNI ip vpn-instance vpn1 ipv4-family route-distinguisher 10:1 vpn-target 100:5010 export-extcommunity evpn #三層的RT export import歸三層;二層的RT export import歸二層 vpn-target 100:5010 import-extcommunity evpn vxlan vni 5010 #忘了配置這個,本地evpn查不到type5路由 4.配置BD,配置RD和RT、二層VNI、vdbif bridge-domain 10 vxlan vni 10 evpn #BD中未配置vni的話,是不能配置evpn的!未配置evpn,本地設備無法查詢到type2,type3路由 route-distinguisher 10:2 vpn-target 100:10 export-extcommunity #三層的RT export import歸三層;二層的RT export import歸二層 vpn-target 100:5010 export-extcommunity vpn-target 100:10 import-extcommunity # interface Vbdif10 ip binding vpn-instance vpn1 ip address 10.0.0.254 255.255.255.0 vxlan anycast-gateway enable arp collect host enable 5.連接虛機,配置vlan使用子接口終結的方式接入到BD interface GE1/0/0.10 mode l2 encapsulation dot1q vid 10 bridge-domain 10 interface Nve1 source 1.1.1.1 #關系到vxlan隧道的建立;兩邊均有配置,vxlan隧道才會建立 vni 10 head-end peer-list protocol bgp #從測試結果來看,影響到type3路由的發布,只要本端有該條配置,就會發送type3路由(細想一下,這也是符合BGP的,因為大型網絡建立bgp鄰居必然會使用RR,如果某一台設備漏了該條配置,那么其他設備都不發布type3路由了?這顯然不合理,也不可能。結論:該條配置影響了本端設備的type3路由的發布) <LEAF1>dis bgp evpn all routing-table Local AS number : 100 BGP Local router ID is 1.1.1.1 Status codes: * - valid, > - best, d - damped, x - best external, a - add path, h - history, i - internal, s - suppressed, S - Stale Origin : i - IGP, e - EGP, ? - incomplete EVPN address family: Number of Mac Routes: 4 Route Distinguisher: 10:2 Network(EthTagId/MacAddrLen/MacAddr/IpAddrLen/IpAddr) NextHop *> 0:48:4c1f-ccb2-2ae1:32:10.0.0.1 0.0.0.0 *> 0:48:707b-e8c1-66df:0:0.0.0.0 0.0.0.0 Route Distinguisher: 20:2 Network(EthTagId/MacAddrLen/MacAddr/IpAddrLen/IpAddr) NextHop *>i 0:48:4c1f-cc6d-22bf:32:20.0.0.1 2.2.2.2 *>i 0:48:707b-e814-693b:0:0.0.0.0 2.2.2.2 EVPN-Instance 10: Number of Mac Routes: 4 Network(EthTagId/MacAddrLen/MacAddr/IpAddrLen/IpAddr) NextHop *>i 0:48:4c1f-cc6d-22bf:32:20.0.0.1 2.2.2.2 *> 0:48:4c1f-ccb2-2ae1:32:10.0.0.1 0.0.0.0 *>i 0:48:707b-e814-693b:0:0.0.0.0 2.2.2.2 *> 0:48:707b-e8c1-66df:0:0.0.0.0 0.0.0.0 EVPN-Instance __RD_1_10_1__: Number of Mac Routes: 1 Network(EthTagId/MacAddrLen/MacAddr/IpAddrLen/IpAddr) NextHop *>i 0:48:4c1f-cc6d-22bf:32:20.0.0.1 2.2.2.2 =============================================================================== EVPN address family: Number of Inclusive Multicast Routes: 2 Route Distinguisher: 10:2 Network(EthTagId/IpAddrLen/OriginalIp) NextHop *> 0:32:1.1.1.1 0.0.0.0 Route Distinguisher: 20:2 Network(EthTagId/IpAddrLen/OriginalIp) NextHop *>i 0:32:2.2.2.2 2.2.2.2 EVPN-Instance 10: Number of Inclusive Multicast Routes: 2 Network(EthTagId/IpAddrLen/OriginalIp) NextHop *> 0:32:1.1.1.1 0.0.0.0 *>i 0:32:2.2.2.2 2.2.2.2 =============================================================================== EVPN address family: Number of Ip Prefix Routes: 2 Route Distinguisher: 10:1 Network(EthTagId/IpPrefix/IpPrefixLen) NextHop *> 0:10.0.0.0:24 0.0.0.0 *> 0:10.0.0.254:32 0.0.0.0 EVPN-Instance __RD_1_10_1__: Number of Ip Prefix Routes: 2 Network(EthTagId/IpPrefix/IpPrefixLen) NextHop *> 0:10.0.0.0:24 0.0.0.0 *> 0:10.0.0.254:32 0.0.0.0 <LEAF1> [~LEAF2]ddis bgp evpn all routing-table prefix-route 0:10.0.0.0:24 BGP local router ID : 2.2.2.2 Local AS number : 100 Total routes of Route Distinguisher(10:1): 1 BGP routing table entry information of 0:10.0.0.0:24: Label information (Received/Applied): 5010/NULL From: 1.1.1.1 (1.1.1.1) Route Duration: 0d00h00m39s Relay IP Nexthop: 100.0.0.1 Relay Tunnel Out-Interface: VXLAN Original nexthop: 1.1.1.1 Qos information : 0x0 Ext-Community: RT <100 : 5010>, Tunnel Type <VxLan>, Router's MAC <707b-e8c1-66df> #這里的RT <100 : 5010>是要在 ip vpn-instance VPN1中設置vpn-target 100:5010 export-extcommunity evpn AS-path Nil, origin incomplete, MED 0, localpref 100, pref-val 0, valid, intern al, best, select, pre 255, IGP cost 1 Route Type: 5 (Ip Prefix Route) Ethernet Tag ID: 0, IP Prefix/Len: 10.0.0.0/24, ESI: 0000.0000.0000.0000.0000, GW IP Address: 0.0.0.0 Not advertised to any peer yet EVPN-Instance __RD_1_10_1__: Number of Ip Prefix Routes: 1 BGP routing table entry information of 0:10.0.0.0:24: Route Distinguisher: 10:1 Remote-Cross route Label information (Received/Applied): 5010/NULL From: 1.1.1.1 (1.1.1.1) Route Duration: 0d00h00m39s Relay Tunnel Out-Interface: VXLAN Original nexthop: 1.1.1.1 Qos information : 0x0 Ext-Community: RT <100 : 5010>, Tunnel Type <VxLan>, Router's MAC <707b-e8c1-66 df> AS-path Nil, origin incomplete, MED 0, localpref 100, pref-val 0, valid, intern al, best, select, pre 255 Route Type: 5 (Ip Prefix Route) Ethernet Tag ID: 0, IP Prefix/Len: 10.0.0.0/24, ESI: 0000.0000.0000.0000.0000, GW IP Address: 0.0.0.0 Not advertised to any peer yet
leaf2 全部配置 # sysname Device2 # assign forward nvo3 acl extend enable //僅CE12800需要配置此步驟 # dfs-group 1 source ip 2.2.2.2 # stp mode rstp stp v-stp enable # evpn-overlay enable # ip vpn-instance vpn1 ipv4-family route-distinguisher 20:2 vpn-target 100:5010 export-extcommunity evpn #就是這里的,VPN實例下的RT值沒什么用 vpn-target 100:5010 import-extcommunity evpn vxlan vni 5010 #配置在vrf下的是三層VNI # bridge-domain 10 #每一個BD下有一個vpn實例 vxlan vni 10 #配置在BD下的是二層VNI evpn #BD下的evpn必須配置,不配置的話,BD下的虛機路由無法傳遞進BGP route-distinguisher 10:2 vpn-target 100:10 export-extcommunity vpn-target 100:5010 export-extcommunity #EVPN攜帶的RT值主要是看BD下配置的RT;而VPN實例下的RT值沒什么用 vpn-target 100:10 import-extcommunity #EVPN路由從路由器發出時,攜帶上BD下的RT export #導入EVPN路由時,根據VPN實例下的RT import xxxx evpn導入到三層路由表;根據BD下的RT import導入到二層MAC表 # interface Vbdif10 #BD10的三層網關 ip binding vpn-instance vpn1 #BD10的Vbdif10綁定到vrf VPN1中 ip address 10.1.1.1 255.255.255.0 mac-address 0000-5e00-0102 vxlan anycast-gateway enable arp collect host enable #收集ARP,變成主機路由 # interface Eth-Trunk1 mode lacp-static peer-link 1 # interface Eth-Trunk10 stp edged-port enable mode lacp-static dfs-group 1 m-lag 1 # interface Eth-Trunk10.1 mode l2 encapsulation dot1q vid 10 bridge-domain 10 # interface 10GE1/0/1 undo portswitch ip address 192.168.2.1 255.255.255.0 # interface 10GE1/0/2 eth-trunk 10 # interface 10GE1/0/3 eth-trunk 1 # interface 10GE1/0/4 eth-trunk 1 # interface LoopBack0 ip address 2.2.2.2 255.255.255.255 # interface LoopBack1 ip address 2.2.2.210 255.255.255.255 # interface Nve1 #BD 10的兩層網關 source 2.2.2.210 vni 10 head-end peer-list protocol bgp #該配置使得當前設備可以為二層VNI10提供組播能力,泛洪到指定的VTEP;有該配置才能將BGP type3的路由通告出去 mac-address 0000-5e00-0101 # bgp 200 peer 192.168.2.2 as-number 100 # ipv4-family unicast network 2.2.2.2 255.255.255.255 network 2.2.2.210 255.255.255.255 peer 192.168.2.2 enable peer 192.168.2.2 allow-as-loop # bgp 100 instance evpn1 peer 1.1.1.1 as-number 100 peer 1.1.1.1 connect-interface LoopBack0 # ipv4-family vpn-instance vpn1 import-route direct advertise l2vpn evpn # l2vpn-family evpn policy vpn-target peer 1.1.1.1 enable peer 1.1.1.1 advertise irb # return
type2路由是實時的,是會過期的!猜測應該是本地有arp時,才會產生相應的type2路由,並傳遞給鄰居。
