利用EVPN實現(xiàn)子網(wǎng)間路由的非對稱或?qū)ΨQ模型

我們都知道并喜歡 EVPN 作為 VXLAN 隧道在第 3 層基礎(chǔ)設(shè)施上的控制平面。 EVPN 使您能夠在沒有控制器的情況下部署 VXLAN 隧道。此外，它還提供了一系列其他好處，如通過 ARP 抑制減少數(shù)據(jù)中心流量、在移動性期間快速收斂、一個底層和覆蓋路由協(xié)議以及支持多租戶的固有能力。

VXLAN 的 EVPN 可以滿足你所有的第二層需求，對嗎？嗯，比這復(fù)雜一點。你或許還得在 VXLAN 之間以及 VXLAN 隧道和外部世界之間進行通信，因此在網(wǎng)絡(luò)中也必須啟用 VXLAN 路由，我在這篇文章中介紹了這一點。

VXLAN 路由可以使用以下兩種架構(gòu)之一執(zhí)行：

集中式路由在一個或兩個集中式路由器上執(zhí)行所有 VXLAN 路由，這可能會在數(shù)據(jù)中心造成額外的東西向流量。

分布式路由在直接連接的葉交換機上提供最接近主機的 VXLAN 路由，簡化了通信流。

這就是帶 EVPN 的 VXLAN 路由的用武之地。 BGP-EVPN 用于將 VXLAN 第 3 層路由信息傳送到葉。

VZX1 采用分布式體系結(jié)構(gòu)，定義了兩種利用 EVPN 實現(xiàn)子網(wǎng)間路由的模型：非對稱綜合路由橋接（ IRB ）和對稱 IRB 。有些供應(yīng)商提供對稱模型，有些則提供非對稱模型。

在 NVIDIA 網(wǎng)絡(luò)中，我們相信您可以控制自己的網(wǎng)絡(luò)。這兩種模式都有價值，這取決于您的網(wǎng)絡(luò)是如何建立的，以及誰 MIG ht 構(gòu)建了您的傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)。我們提供這兩種解決方案，以便您可以選擇適合您的網(wǎng)絡(luò)的任何方法。

非對稱模型與對稱模型的區(qū)別

不對稱 IRB 模型和對稱 IRB 模型的主要區(qū)別在于路由查找的方式和位置。這會導(dǎo)致數(shù)據(jù)包在基礎(chǔ)設(shè)施中傳輸?shù)?VNI 不同。由于這些差異，它們在交換機上的配置方式以及在網(wǎng)絡(luò)中的部署方式都有所不同。

不對稱模型

非對稱模型允許在 VXLAN 隧道入口上進行路由和橋接，但僅在出口上進行橋接。這導(dǎo)致雙向 VXLAN 通信在路由基礎(chǔ)設(shè)施的每個方向（始終是目標(biāo) VNI ）的不同 VNI 上傳輸。

圖 1 。非對稱 VXLAN 流量

請考慮前面的例子。主機 A 希望與主機 B 通信，主機 B 位于不同的 VLAN 和不同的機架上，因此可以通過不同的 VNI 訪問。

由于主機 B 與主機 a 位于不同的子網(wǎng)中，主機 a 將幀發(fā)送到其默認(rèn)網(wǎng)關(guān) Leaf01 。這通常是一個選播網(wǎng)關(guān)。

Leaf01 識別目標(biāo) MAC 地址本身，查找路由表，并在仍然在 Leaf01 上時將數(shù)據(jù)包路由到綠色 VNI 。

然后， Leaf01 將綠色 VNI 中的幀隧道到 Leaf02 。

Leaf02 從幀中刪除 VXLAN 頭，并將幀橋接到主機 B 。

同樣，返回流量的行為也會類似。

主機 B 向 Leaf02 發(fā)送幀。

Leaf02 識別自己的目標(biāo) MAC 地址，并將數(shù)據(jù)包路由到 Leaf02 上的橙色 VNI 。

包在橙色的 VNI 中被隧道傳輸?shù)?Leaf01 。

Leaf01 從幀中刪除 VXLAN 頭并將其橋接到主機 A 。

對于非對稱模型，所有必需的源和目標(biāo) VNI （例如，橙色和綠色）必須出現(xiàn)在每個葉上，即使該葉在其機架的 VLAN 中沒有主機。這可能會增加葉必須持有的 IP / MAC 地址的數(shù)量，從而導(dǎo)致規(guī)模有限。然而，在許多情況下，網(wǎng)絡(luò)中的所有 vni 都配置在所有葉子上，以允許 VM 移動性并簡化整個網(wǎng)絡(luò)的配置。在這種情況下，非對稱模型是可取的。

雖然它的可伸縮性不高，但使用非對稱模型進行部署是一個簡單的解決方案，因為不必配置額外的 VNI 或 VLAN 。此外，在 VXLAN 之間進行通信的路由跳數(shù)較少，因此延遲較低。

在需要多租戶的情況下，還可以將每組 VLAN 放在單獨的 VRF 中，并在 VRF 中的 VLAN 之間進行路由。

對稱模型

對稱模型在入口和出口葉上都有路由和橋。這導(dǎo)致雙向通信能夠在同一個 VNI 上傳輸，因此有了對稱的名稱。

然而，一種新的專用傳輸 VNI 用于所有路由 VXLAN 通信，稱為 L3VNI 。所有必須路由的流量都路由到 L3VNI 上，通過第 3 層基礎(chǔ)設(shè)施進行隧道傳輸，從 L3VNI 路由到相應(yīng)的 VLAN ，并最終橋接到目標(biāo)。

圖 2 。對稱 VXLAN 流量

現(xiàn)在考慮具有對稱模型的場景（圖 2 ）。 VLAN A 上的主機 A 必須與 VLAN B 上的主機 B 通信。

因為目標(biāo)與主機 a 是不同的子網(wǎng)，所以主機 a 將幀發(fā)送到其默認(rèn)網(wǎng)關(guān) Leaf01 。

Leaf01 識別目標(biāo) MAC 地址本身，并使用路由表將數(shù)據(jù)包路由到 L3VNI 和下一跳 Leaf02 。

VXLAN 封裝的數(shù)據(jù)包將出口葉的 MAC 作為目標(biāo) MAC 地址，將此 L3VNI 作為 VNI 。

Leaf02 執(zhí)行 VXLAN 解封裝，并識別目標(biāo) MAC 地址本身，并將數(shù)據(jù)包路由到目標(biāo) VLAN ，以到達目標(biāo)主機。

返回流量在相同的 L3VNI 上以類似方式路由。

在對稱模式下，葉交換機只需要托管位于其機架上的 VLAN 和相應(yīng)的 VNI ，以及 L3VNI 及其關(guān)聯(lián)的 VLAN 。這是因為入口葉開關(guān)不需要知道目標(biāo) VNI 。

只托管本地 vni （外加一個額外的）的能力有助于擴展。但是，由于您的網(wǎng)絡(luò)中需要額外的 VXLAN 隧道和 VLAN ，因此配置更為復(fù)雜。當(dāng)發(fā)生額外的路由跳時，數(shù)據(jù)平面通信也會變得更加復(fù)雜，并可能導(dǎo)致額外的延遲。

多租戶要求每個 VRF 有一個 L3VNI ，參與該 VRF 的所有交換機必須配置相同的 L3VNI 。出口葉使用 L3VNI 來標(biāo)識要在其中路由分組的 VRF 。

哪個 IRB 模型是正確的？

選擇 IRB 模型最困難的部分是了解對稱和非對稱方法之間的區(qū)別。既然你知道了兩者的區(qū)別，你就可以做出一個明智的決定，為你的人際網(wǎng)絡(luò)提供最佳的選擇。

一般來說，如果您配置了所有葉上的所有 VLAN 、子網(wǎng)或 vni （為了移動性或配置的方便性），那么非對稱模型適合您。它的配置更簡單，并且不需要額外的 VNIs 來進行故障排除。它甚至可能有稍微少的延遲。

如果您的數(shù)據(jù)中心可以分解為包含 VLAN 和子網(wǎng)的 Pod ，那么非對稱模型也可以很好地工作。 Pod 中的每個葉都配置了本地 Pod 中的所有 vlan 和子網(wǎng)或 VNIs 。其他 pod 和外部網(wǎng)絡(luò)可以通過 EVPN 外部路由到達。 Cumulus Linux 3.6 版本支持帶有非對稱模型的 EVPN 外部路由，僅將 L3VNI 用于外部路由。

如果您的 VLAN 、子網(wǎng)或 VNI 分布廣泛或動態(tài)配置，請選擇對稱模型。對稱模型支持 Cumulus Linux 3.5 對外部網(wǎng)絡(luò)的可達性。

NVIDIA 相信您擁有并控制您的網(wǎng)絡(luò)，而不是專有供應(yīng)商，因此我們提供這兩種解決方案，讓您可以選擇。

關(guān)于作者

Rama Darbha 是 NVIDIA 網(wǎng)絡(luò)組的解決方案架構(gòu)主管，主要負責(zé)數(shù)據(jù)中心、 NetDevOps 和以太網(wǎng)交換。他熱衷于幫助客戶和合作伙伴通過開放的網(wǎng)絡(luò)策略，充分利用他們的人工智能和計算工作負載。 RAMA 有一個活躍的 CCONP 2019 ：： 19 和 CCIE × 22804 ，擁有杜克大學(xué)工程與管理碩士學(xué)位。

審核編輯：郭婷