diajengwd - stock.adobe.com
Netzwerke mit VXLAN und EVPN: Overlay- und EVPN-Konfiguration
Dieser Praxisleitfaden behandelt EVPN und VXLAN auf Cisco NX-OS mit MP-BGP, RR, VTEPs und NVE. VLAN/VNI-Mapping, Symmetric IRB, Anycast-Gateway und ARP-Suppression für Data Center.
Im abschließenden Teil unserer Serie zu EVPN/VXLAN-Fabrics zeigen wir Ihnen, wie EVPN als Control Plane und VXLAN als Overlay auf Cisco NX-OS praxisnah implementiert werden. Ausgehend von einem bereits aufgebauten Underlay richten wir MP-BGP inklusive Route-Reflector, VTEPs und NVE ein und ordnen VLANs die passenden VNIs zu. Zudem erläutern wir Symmetric IRB mit Anycast-Gateway und ARP-Suppression. Unser Ziel ist eine nachvollziehbare Referenzkonfiguration, die als Vorlage für eigene Bereitstellungen dient.
EVPN-Konfiguration
Nachdem das Underlay-Netzwerk bereitsteht, können wir uns um die ControlPlane für VXLAN kümmern, also genauer gesagt EVPN einrichten. Dazu aktivieren wir das Routing-Protokoll BGP über feature bgp, die VXLAN-VTEP-Funktionalität über feature nv overlay und anschließend die Optimierung von VXLAN über EVPN mit nv overlay evpn. Im Anschluss parametrisieren wir Multiprotokoll-BGP mit dem privaten autonomen System (AS) 65001 mit der IP-Adresse von Loopback0 als Router-ID ein und aktivieren die BGP-Routing-Nachbarschaft zum benachbarten VTEP über dessen Loopback0-IP-Adresse. Die Nachbarn werden in diesem Fall über iBGP mit den gleichen AS-Nummern eingerichtet, also in diesem Fall 65001. eBGP wäre ebenfalls möglich, kann aber wiederum zu anderen Fallstricken führen.
Auf den Spines aktivieren wir die Route-Reflector-Funktionalität für die Nachbarschaften zu den Leafs über route-reflector client, da ansonsten aufgrund von iBGP die gelernten Routen nicht an andere iBGP-Nachbarn, also andere Leafs, weitergeleitet werden dürften. Als Quellschnittstelle dient jeweils die Loopback0-IP-Adresse, die über OSPF im Routing bekannt ist. Um die EVPN-Route-Typen in der Control Plane übertragen zu können, aktiviert man in der address-family l2vpn evpn über send-community extended die erweiterten Attribute. Die Konfiguration auf den Leafs ist bis auf die fehlende Route-Reflector-Funktion und die angepassten IP-Adressen gleich.
Listing 1: Konfiguration EVPN Spine1
feature bgp
feature nv overlay
nv overlay evpn
!
!
router bgp 65001
router-id 10.10.10.1
neighbor 10.10.10.11
route-reflector client
remote-as 65001
update-source loopback0
address-family l2vpn evpn
send-community extended
Listing 2: Konfiguration EVPN Leaf1
feature bgp
feature nv overlay
nv overlay evpn
!
!
router bgp 65001
router-id 10.10.10.11
neighbor 10.10.10.1
remote-as 65001
update-source loopback0
address-family l2vpn evpn
send-community extended
Konfiguration VLAN und VXLAN
Nachdem wir nun die Basis geschaffen haben, geht es nun an die Konfiguration des Overlays mit VXLAN und den zugehörigen VLANs, die den VXLAN-VNIs zugeordnet werden. Zusätzlich richten wir auch ein Routing zwischen den VXLAN-VNIs über sogenannte Symmetric Integrated Routing and Bridging (Symmetric IRB) mit verteilten Anycast-Gateways und ARP-Suppression für eine Reduktion des zu flutenden Datenverkehrs ein. Diese Funktionen richtet man jedoch nur auf den Leafs ein.
Die anderen Teile der Artikelserie
Die anderen Teile der Artikelserie
Netzwerke mit VXLAN und EVPN planen: Die Netzwerkarchitektur
Netzwerke mit VXLAN/EVPN: Lernprozess und Paketweiterleitung
Netzwerke mit VXLAN und EVPN: Underlay-Konfiguration
Dazu wird in Listing 3 zunächst das Feature für VNI zu VLAN-Mapping über feature vn-segment-vlan-based aktiviert. Um zwischen den VLAN-Schnittstellen und später auch im VXLAN routen zu können, erlauben wir VLAN-Interfaces (Switched Virtual Interface / SVI) über feature interface-vlan. Damit alle Leafs mit der verteilten Gateway-IP-Adresse des jeweiligen VLANs mit der gleichen MAC-Adresse arbeiten, aktivieren wir eine virtuelle MAC-Adresse über fabric forwarding anycast-gateway-mac 0000.1234.5678.
Im Anschluss legen wir die jeweiligen VLANs 10 und 20 für den produktiven Datenverkehr an und weisen sie den Layer 2 VNIs 10010 und 10020 zu. Die numerische Angleichung der VNIs an die VLAN-IDs erleichtert eine spätere Fehlersuche. VLAN 1000 und VNI 11000 dienen als sogenanntes Layer 3 VNI, das rein für das Routing zwischen den L2-VNIs eines VRFs zuständig ist, also in diesem Fall das VRF CUSTOMER1. Dieses legen wir mit Referenz auf das Layer-3-VNI 11000 an und lassen Route-Distinguisher und Route-Targets automatisch generieren.
Den VLANs weisen wir jeweils VLAN-Schnittstellen mit IPv4-Adresse als verteiltes Gateway zu. Das bedeutet, das Endgeräte oder Server im jeweiligen VLAN eine Default-Gateway-IP-Adresse verwenden, sich diese IP-Adresse aber als Anycast-IP-Adresse auf alle Leafs aufteilt. Somit kann der Datenverkehr bei Inter-VLAN-Routing direkt auf dem nächstgelegenen Leaf geroutet werden und muss keinen Umweg über einen anderen Leaf nehmen. Hier ergibt sich also eine Pfadoptimierung. Wir aktivieren in allen VLAN-Interfaces Jumbo-Frames über mtu 9150, weisen sie dem VRF CUSTOMER1 für den ersten Mandanten zu. Die IPv4-Adresse wird zusätzlich mit einem Tag versehen, um eine spätere Redistributierung und Filterung an Netzübergängen zu vereinfachen. Die Anycast-Gateway-Funktionalität aktiveren wir über fabric forwarding mode anycast-gateway. Das VLAN-Interface für das Layer-3-VNI interface vlan 1000 weisen wir nur dem jeweiligen Mandanten/VRF zu und aktivieren das IP-Routing über ip forward. Ihm wird keine IP-Adresse zugewiesen.
Für die VTEP-Funktionalität legen wir noch eine separate Loopback-Schnittstelle 1 an, um die Funktionen sauber trennen zu können. Die VTEP-IP-Adressen werden ebenfalls über OSPF propagiert und in das Multicast-Routing über PIM aufgenommen.
Die eigentliche VXLAN-Konfiguration findet im Network Virtualization Edge (NVE) Interface statt. Darin weisen wir das Control-Plane-Protokoll BGP mit EVPN über host-reachability protocol bgp und die zuvor angelegte Loopback-1-Schnittstelle als Quellschnittstelle für den VTEP zu. Im Anschluss referenzieren wir die zugehörigen und zuvor angelegten Layer-2-VNI über member vni 10010 und Layer-3-VNIs über member vni 11000 associate-vrf zu. Bei L2-VNIs müssen noch die Multicast-Gruppen, also in diesem Fall 239.0.0.10 und 239.0.0.20 im jeweiligen VNI angegeben werden. Über suppress-arp lässt sich auf einfache Weise die ARP-Suppression aktivieren. Diese dient dazu, dass der Leaf ARP-Anfragen von verbundenen Geräten direkt selbst beantworten kann, wenn er in Kenntnis von IP- und MAC-Adresse ist, die vom Client angefragt wurde. Im EVPN-Kontext weisen wir ebenfalls noch einmal die Layer-2-VNIs mit automatisch generierten Route-Distinguishern und Route-Targets.
Listing 3: Konfiguration VXLAN Leaf1
feature vn-segment-vlan-based
feature interface-vlan
!
fabric forwarding anycast-gateway-mac 0000.1234.5678
!
vlan 10
vn-segment 10010
!
vlan 20
vn-segment 10020
!
vlan 1000
vn-segment 11000
!
vrf context CUSTOMER1
vni 11000
rd auto
address-family ipv4 unicast
route-target both auto
route-target both auto evpn
!
interface vlan 10
no shutdown
mtu 9150
vrf member CUSTOMER1
ip address 192.168.10.1/24 tag 1234
fabric forwarding mode anycast-gateway
!
interface vlan 20
no shutdown
mtu 9150
vrf member CUSTOMER1
ip address 192.168.20.1/24 tag 1234
fabric forwarding mode anycast-gateway
!
interface vlan 1000
no shutdown
vrf member CUSTOMER1
ip forward
!
interface loopback1
description VTEP loopback interface
ip address 10.10.30.1/32
ip router ospf UNDERLAY area 0.0.0.0
ip pim sparse-mode
!
interface nve1
no shutdown
host-reachability protocol bgp
source-interface loopback1
member vni 11000 associate-vrf
member vni 10010
mcast-group 239.0.0.10
suppress-arp
member vni 10020
mcast-group 239.0.0.20
suppress-arp
!
evpn
vni 10010 l2
rd auto
route-target both auto
vni 10020 l2
rd auto
route-target both auto
Fazit
Moderne Rechenzentrums- und Campusdesigns auf Basis von EVPN und VXLAN bieten eine skalierbare und flexibel erweiterbare Netzwerkarchitektur. Die Kombination aus Overlay- und Underlay-Technologien ermöglicht eine klare Trennung von physischer Topologie und logischer Netzstruktur. EVPN auf Basis von MP-BGP sorgt als Steuerebene für effiziente Adress- und Routing-Verteilung und bietet auch Optimierungen, wie ARP-Suppression, während es gemeinsam mit VXLAN für Mandantenfähigkeit sorgt und VXLAN als Data Plane mit über 16 Millionen VXLAN Network Identifiern für die notwendige Skalierbarkeit sorgt.
Wie die Artikelserie aufzeigt, erfordert ein solches Design jedoch einen höheren Planungsaufwand und mehr Know-how, da die Konfiguration und Fehlersuche im Overlay- und Underlay-Bereich deutlich komplexer ist als bei klassischen Architekturen. Wer diese Hürde meistert, kann Workloads mit optimaler Auslastung aller Links nahtlos zwischen Standorten migrieren und somit die wachsenden Anforderungen an Bandbreite, Automatisierung und Sicherheit erfüllen.
Wer frühzeitig auf diese Technologien setzt, schafft die Grundlage für einen konsistenten, programmierbaren sowie serviceorientierten Netzbetrieb und rüstet sein Netzwerk für die Herausforderungen der nächsten Jahre.
