Copyright © 2020 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
在网络Overlay组网中,隧道封装由物理交换机完成。此组网方案的优势在于物理网络设备性能转发性能比较高,可以支持非虚拟化的物理服务器之间的组网互通。
在主机Overlay组网中,将虚拟设备作为Overlay网络的边缘设备。此组网方案方案适用于服务器虚拟化的场景,支持KVM、CAS等主流Hypervisor平台。
在混合Overlay组网中,可同时支持网络Overlay和主机Overlay,既可以接入虚拟化服务器,也可以支持接入未虚拟化的物理服务器,以及必须使用物理服务器提升性能的数据库等业务。混合Overlay作为Overlay整体解决方案,它可以为客户提供自主化、多样化的选择。
在EVPN初期时代,由于虚拟化交换机(vSwitch)不具备处理BGP EVPN路由的功能,因此无法实现EVPN组网下的混合Overlay,使用户组网受到较大限制。在此背景下,SeerEngine-DC控制器实现了EVPN组网下的混合Overlay功能,使组网中网络Overlay和主机Overlay间的流量能够互通。以此解决了用户在EVPN初期时代无法同时部署虚拟交换机接入和物理交换机接入的难题。
· 控制器具备EVPN路由解析功能,实现EVPN路由与流表的转换。
· 控制器具备发送EVPN路由的能力。
· 支持主机Overlay与运行EVPN协议的网络Overlay流量互通。
· 控制器集群和vBGP都是多节点,可以保障单点故障时流量不受影响。
· 支持配置GR,当设备与vBGP断开连接时,保证路由不被老化,流量不受影响。
(1) EVPN
EVPN(Ethernet Virtual Private Network,以太网虚拟专用网络)是一种二层VPN技术,控制平面采用MP-BGP通告EVPN路由信息,数据平面采用VXLAN封装方式转发报文。租户的物理站点分散在不同位置时,EVPN可以基于已有的服务提供商或企业IP网络,为同一租户的相同子网提供二层互联;通过EVPN网关为同一租户的不同子网提供三层互联,并为其提供与外部网络的三层互联。
(2) 主机Overlay
主机Overlay将虚拟设备作为Overlay网络的边缘设备和网关设备,由虚拟设备负责隧道封装。
(3) 网络Overlay
网络Overlay将物理交换机作为接入设备,由物理交换机负责隧道封装。
(4) vBGP
作为控制器的一个组件,拥有BGP路由解析能力。可以实现向设备发布和接收EVPN路由。
(5) vBGP集群
一个vBGP集群有多个vBGP节点,增加vBGP可靠性。
(6) BGP GR
BGP GR(Graceful Restart,平滑重启)是一种在主备倒换或BGP协议重启时保证转发业务不中断的机制
(7) BGP实例
一台BGP路由器上可以同时启动多个BGP进程,每个BGP进程对应一个BGP实例。
(8) Fabric
Fabric是一个虚拟的物理连通域,其中包含Spine设备、Leaf设备和边界设备组,域内的所有设备均相互可达。当前一个BGP实例需要关联一个Fabric。
控制器部署vBGP,vBGP跟RR设备建立BGP邻居,从RR设备上收集EVPN路由,vBGP通知给控制器,控制器根据收到的EVPN路由转换成相应的流表,下发到vSwitch上,指导vSwitch转发。同理,当vBGP收到撤销EVPN路由时,控制器会删除EVPN路由对应的流表。
vSwitch上有vPort上线时,控制器会将vPort信息转换成EVPN路由通知vBGP,vBGP把相应的路由发布给RR设备,RR再反射给所有Leaf,从而实现Leaf侧学习到vSwitch虚机的EVPN路由,实现流量转发。同理,当vPort下线时,vBGP会把路由vPort对应的EVPN路由撤销。
图1 EVPN混合Overlay组网图
角色说明:
· S6800:接入设备,该类型设备在部署EVPN协议的VPC(Virtual Private Cloud,虚拟私有云)网络中承担分布式网关或接入设备功能。
· Border:边界设备,该类型设备在部署EVPN协议的VPC(Virtual Private Cloud,虚拟私有云)网络中承担边界网关的功能。同时可以作为Spine设备。这里选择使用S10500设备。
· RR:作为BGP的RR,这里选择使用S7500设备。
· vFW:为防火墙设备,用来提供防火墙相应的网络服务。这里选择使用M9000设备,也可以用F5000设备。
· LB:为负载均衡设备,也可以用第三方负载均衡设备F5,用来提供负载均衡网络服务。
· OVS:vSwitch设备。
EVPN混合Overlay特性,主要实现EVPN网络Overlay和主机Overlay组网间的流量互通。目前该特性仅支持EVPN分布式代答场景,具体实现流程如下:
· 网络Overlay和主机Overlay间的流量互访
a. 在DC控制器上配置BGP集群和BGP实例,并配置RR与vBGP建立对等体。
b. 主vBGP将从RR上获取的路由通过NETCONF上报给控制器。
c. 控制器将二三五类路由转化为流表,下发到对应的OVS主机上。
d. 控制器将已上线的主机Overlay虚机信息转换成二三五类路由,下发到主vBGP上,再由vBGP发布至EVPN网络Overlay。
e. RR设备根据收到的三类路由建立到OVS主机的VXLAN隧道。
f. EVPN接入设备下的虚机访问同网段OVS虚机的报文转发流程为:
¡ 去程流量通过匹配接入设备上控制器注入的路由生成的二层表项,封装L2VNI后经VXLAN隧道转发到目的OVS主机上,解封装后根据OVS主机上的流表转发至目的虚机。
¡ 回程流量通过匹配OVS上的EVPN路由转化的流表,封装L2VNI后经过VXLAN隧道转发到EVPN接入设备,解封装后根据二层表项把流量转发至源虚机。
g. EVPN接入设备下的虚机访问不同网段OVS虚机的报文转发流程为:
¡ 去程流量通过匹配接入设备上控制器注入的路由生成的三层表项,封装L3VNI后经VXLAN隧道转发到目的OVS主机上,解封装后根据OVS主机上的流表转发至目的虚机。
¡ 回程流量通过匹配OVS上的EVPN路由转化的流表,封装L3VNI后经过VXLAN隧道转发到EVPN接入设备,接封装后根据三层表项把流量转发至源虚机。
· Overlay网络和外部网络的流量互访
a. 在DC控制器上配置BGP集群和BGP实例,并配置RR与vBGP建立对等体。
b. 主vBGP将从RR上获取的路由通过NETCONF上报给控制器。
c. 控制器将五类路由(去外网的默认路由)转化为流表,下发到对应的OVS主机上。
d. 控制器把已上线的主机Overlay虚机转化为二三五类路由,下发到主vBGP上,再由vBGP发布至EVPN网络Overlay。
e. Border根据收到的三类路由建立到OVS主机的VXLAN隧道。
f. 内网虚机访问外网的报文转发流程为:
¡ 去程流量通过匹配五类路由生成的流表和组表,封装L3VNI后经过VXLAN隧道转发到Border上,报文解封装后匹配Border上的表项将报文转发至外网。
¡ 回程流量通过匹配Border上根据控制器注入的路由生成的表项,封装L3VNI后经过VXLAN隧道转发到OVS侧,根据主机上的流表把流量转发至源虚机。
图2 典型组网图
(1) 登录控制器的UI界面,单击[基础网络>网络>基础服务]菜单项,单击[BGP]页签,单击[BGP集群]子页签,进入BGP集群配置页面。
(2) 单击<增加>按钮,在弹出的对话框中配置集群名称、节点管理IP地址,单击<应用>按钮完成增加BGP集群的配置,如图2所示。
图3 添加BGP集群页面
目前只支持配置单个集群,最多支持两个vBGP成员,集群内两个IP分别为两个vBGP的管理实IP地址。
(1) 在单击[BGP实例]子页签,进入BGP实例配置页面。
(2) 单击<增加>按钮进入增加BGP实例页面,在基础信息区域填写BGP实例的名称等信息,如图3所示。
图4 添加BGP实例页面
(3) 在BGP对等体区域单击<增加>按钮,在弹出的对话框中输入对等体地址、AS号等信息,单击<应用>按钮完成操作。
图5 添加BGP对等体页面
(4) 单击<应用>按钮完成BGP实例的增加操作。
(1) 登录RR设备命令行界面,配置与vBGP建立对等体。
RR上的配置:
#
bgp 65535
graceful-restart
graceful-restart peer-reset all
router-id 68.0.0.20
group evpn internal
peer 68.0.0.5 group evpn
peer 68.0.0.8 group evpn
peer 192.168.20.1 group evpn
peer 192.168.20.1 connect-interface LoopBack0
peer 192.168.20.1 graceful-restart timer restart extra no-limit
#
address-family l2vpn evpn
undo policy vpn-target
peer evpn enable
peer evpn reflect-client
#
(2) 查看对等体状态。
BGP local router ID: 68.0.0.20
Local AS number: 65535
Total number of peers: 3 Peers in established state: 3
* - Dynamically created peer
Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State
68.0.0.5 65535 358 381 0 9 03:55:46 Established
68.0.0.8 65535 398 488 0 8 05:33:10 Established
192.168.20.1 65535 18 27 0 6 00:09:53 Established
需要保证RR设备的VTEP IP和vBGP集群虚IP的网络能够互通,以便可以正常建立BGP对等体。
· 在Border和Spine(RR)为同一台设备时,在配置BGP实例的BGP对等体时,需要使用Border的VTEP IP,以防止Border上发布的路由会修改下一跳地址。
· 在Border和Spine(RR)不是同一台设备时,在配置BGP实例的BGP对等体时,可以指定Spine(RR)的管理IP。
· 控制器上配置集群时,使用的是vBGP的实IP地址,在RR需要与vBGP的虚IP地址建立对等体。
· 当前版本控制器在注入和学习路由时只支持一个Fabric,暂不支持多Fabric。