Erweitertes VXLAN mit vPC: Konfiguration und Verifizierung von L2VNI und L3VNI

Download-Optionen

  • PDF     (1.4 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.3 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (4.1 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:25. April 2025
Dokument-ID:222974

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Einrichtung eines Labs mit Nexus 9Kv-Switches unter Verwendung von Advanced Virtual eXtensible Local Area Network (VXLAN) mit Virtual Port-Channel (vPC) beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • Kenntnisse der Routing- und Switching-Technologie sowie der MPLS-Technologie (Multiprotocol Label Switching)
    • Erfahrung mit Multicast-Routing-Prinzipien wie Rendezvous Point (RP) und Platform Independent Multicast (PIM)
    • Verständnis des Border Gateway Protocol (BGP)-Indikators für die Adressfamilie (Address Family Indicator, AFI)/des Indikators für die nachfolgende Adressfamilie (Address Family Indicator, SAFI)

    Verwendete Komponenten

    Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Das Dokument enthält auch Anleitungen zur Bereitstellung der Übung sowie zur Verifizierung von Konfigurationen und Abläufen.

    Bei dieser Übung wird das EveNg mit Nexus 9000V-Switches sowohl für Leaf als auch für Spine verwendet.

    Virtual Tunnel Endpoint (VTEP)

    LEAF1, LEAF2, LEAF3, LEAF4

    vPC

    LEAF1 und LEAF2

    LEAF1 Primäre und sekundäre Loopback-IP

    Loopback0 - 1.1.1.51, Loopback1 - 10.1.1.100

    LEAF2 Primäre und sekundäre Loopback-IP

    Loopback0 - 1.1.1.52, Loopback1 - 10.1.1.100

    LEAF3 Loopback-IP 

    1.1.1.53

    LEAF4 Loopback-IP

    1.1.1.54

    SPINE1-Loopback und Anycast RP

    Loopback0 - 1.1.1.71, Loopback1 - 10.1.2.10 (Anycast RP)

    SPINE2-Loopback und Anycast RP

    Loopback0 - 1.1.1.72, Loopback1 - 10.1.2.10 (Anycast RP)

    HOST 1 

    192.168.10.10 (0000. 0000.aaa) (VLAN 10)

    HOST 2

    192.168.20.10 (0000. 0000.bbb) (VLAN 20)

    HOST 3 

    192.168.10.20 (0000. 0000.ccc) (VLAN 10)

    HOST 4

    192.168.20.20 (0000. 0000.dddd) (VLAN 20)

    VLAN 10

    L2VNI 100010

    VLAN 20

    L2VNI 100020

    VLAN 500

    L3VNI 50000

    Konfigurieren

    Netzwerkdiagramm

    Network Diagram

    Konfigurationen

    • Underlay- und PIM-Nachbarschaften sind bereits aufgebaut.

    LEAF-Schalter:

    Enabling Open Shortest Path First (OSPF) on Leaf Switch

    Aktivieren von Open Shortest Path First (OSPF) auf Leaf-Switch

    Enabling PIM on Leaf Switch

    Aktivieren von PIM auf Leaf-Switch

    OSPF Neighbor

    OSPF-Nachbar

    Spine-Switch

    Enabling PIM on Spine Switch

    Aktivieren von PIM auf dem Spine-Switch

    • Underlay- und PIM-Nachbarschaften sind bereits aufgebaut.
    • Beide Spine-Switches werden der gleiche Anycast RP für die gesamte Multicast-Gruppe 224.0.0.0/4.
    • Die Maximum Transmission Unit (MTU) wird an den Schnittstellen zwischen den Leaf- und Spine-Switches auf 9000/9216 festgelegt.

    Richten Sie zunächst einen vPC zwischen Leaf1 und Leaf2 ein.

    Schritt 1: vPC-Funktion und Domänenunterstützung.

    • Aktivieren Sie die Funktionen vPC und Link Aggregation Control Protocol (LACP).
    • Konfigurieren der vPC-Domäne
    • Die mgmt0-Schnittstellen werden als Peer-Keepalive-Verbindung verwendet, und Eth1/3 und Eth1/4 sind Teil der vPC-Peer-Verbindung (Port-Channel 1).
    • Stellen Sie sicher, dass der Befehl "peer-switch" so konfiguriert ist, dass er eine gemeinsame MAC-Adresse mit absteigenden Switches verwendet.

    Enabling Feature on Leaf Switch

    Aktivieren der Funktion auf dem Leaf-Switch

    Enabling vPC on Leaf Switch 1

    Aktivieren von vPC auf Leaf-Switch 1

    Enabling vPC on Leaf Switch 2

    Aktivieren von vPC auf Leaf Switch 2

    Schritt 2: Zuweisung der Port-Mitglieder.

    • Weisen Sie der Channel-Gruppe das Port-Mitglied zu, und schließen Sie es in den vPC ein. In diesem Fall werden zwei vPCs verwendet. vPC 20 und vPC 10

    Assigning Port Channel on Leaf Switch 1

    Zuweisen von Port-Channel auf Leaf-Switch 1

    Assigning Port Channel on Leaf Switch 2

    Zuweisen von Port-Channel auf Leaf-Switch 2

    • Hier wird ein vPC erstellt, und Peers tauschen Keepalive-Nachrichten aus, um die Verfügbarkeit zu überprüfen.

    vPC Status on Leaf Switch 1

    vPC-Status auf Leaf-Switch 1

    vPC Status on Leaf Switch 2

    vPC-Status auf Leaf-Switch 2

    • VLAN 10, 20, 500 ist bereits konfiguriert und wird über die vPC-Member-Ports und die vPC-Peer-Verbindung weitergeleitet.

    Schritt 3: Konfigurieren der sekundären IP-Adresse

    • Wenn vPC in die VXLAN-Fabric eingebunden ist, verwenden beide vPC-VTEP-Peers virtuelle IP-Adressen (VIP) als Quelladressen anstatt ihrer physischen IP-Adressen (PIP). Das bedeutet auch, dass VIP als Next-Hop verwendet wird, wenn BGP Ethernet VPN (EVPN) standardmäßig die Routentypen 2 (MAC/IP-Advertisement) und 5 (IP-Präfix-Route) ankündigt. Die Loopback 0-Schnittstelle in unserem Beispiel ist mit zwei IP-Adressen eingerichtet: 10.1.1.100/32 (VIP) als sekundäre IP und 1.1.1.51/32 (PIP) als primäre IP.
    • Hier wird eine gemeinsame IP-Adresse als sekundäre IP-Adresse unter der Loopback-0-Schnittstelle konfiguriert.

    Secondary IP on Leaf Switch 1

    Sekundäre IP auf Leaf-Switch 1

    Secondary IP on Leaf Switch 2

    Sekundäre IP auf Leaf-Switch 2

    Schritt 4: Aktivieren Sie VXLAN und die zugehörigen Funktionen.

    • Network Virtualization (nV) Overlay zur Unterstützung von VXLAN
    • Funktion nV overlay EVPN - zur Aktivierung der EVPN-Kontrollebene
    • Feature-Fabric-Weiterleitung - ermöglicht Host Mobility Manager
    • Funktion: VN-Segment (Virtual Network)-VLAN-basiert - ermöglicht VLAN-basiertes VXLAN

    Features on Leaf Switch

    Funktionen am Leaf-Switch

    Features on Spine Switch

    Funktionen auf Spine Switch

    • Da der Spine keine Kenntnis der VLAN-Informationen des Clients benötigt, müssen die VN-Segment- und Fabric-Funktionen nicht aktiviert werden.

    Schritt 5: Bringen Sie die BGP-Nachbarschaft hervor.

    • BGP zwischen den Leaf- und Spine-Switches muss aktiviert sein. Der Spine wird im Labor als Routen-Reflektor dienen.
    • Die Konfiguration des Routen-Reflektors (RR) ist zwar optional, aus Gründen der Skalierbarkeit empfiehlt Cisco jedoch einen RR.

    Enabling BGP on Leaf Switch

    Aktivieren von BGP auf Leaf-Switch

    Enabling BGP on Spine Switch

    Aktivieren von BGP auf dem Spine-Switch

    BGP Status on Leaf Switch

    BGP-Status auf Leaf-Switch

    BGP Status on Spine Switch

    BGP-Status auf Spine-Switch

    Schritt 6: Aktivieren Sie den VRF-Kontext auf Leaf-Switches. VRF trennt den Kundendatenverkehr und vereinfacht die Kommunikation zwischen zwei unterschiedlichen L2VNIs über L3VNI.

    • Weisen Sie L3VNI 50000 unter VRF TENANT1 zu.

    L3VNI Allocation

    L3VNI-Zuweisung

    Schritt 7: Network Virtual Interface (NVE), VXLAN Identifier (VNI) und VLAN-Konfiguration.

    • Richten Sie die NVE-Schnittstelle ein, und verwenden Sie Loopback 0 als Quelle. Definieren Sie die Multicast-Gruppe für jeden VNI, für den Layer-2-Broadcast-, Unknown Unicast- und Multicast (BUM)-Datenverkehr bereitgestellt wird, und fügen Sie dann die VNI-IDs 100010 und 100020 an die NVE-Schnittstelle an. Der VXLAN-Header enthält die Informationen, die vom VNI verwendet werden, um zu identifizieren, welchen VXLAN-Segmenten er angehört.
    • Der L3VNI 50000 ist mit der VRF-Instanz verknüpft (beim Senden an den Spine-Switch wurde VNI 50000 in die VRF-Tabelle eingefügt).
    • Der BGP-Befehl des Host-Erreichbarkeitsprotokolls aktiviert die EVPN-Adressfamilie im VXLAN-Tunnel, d. h. MAC- und IP-Adressen werden über das BGP-Protokoll in der Kontrollebene und nicht in der Datenebene abgefragt.
    • Konfigurieren Sie suppress-arp unter der NVE-Schnittstelle.
    • Verbinden Sie das Layer-2- und Layer-3-VLAN mit dem entsprechenden VNI.

    Suppress-Address Resolution Protocol (ARP):

    Die Multi-Protocol (MP)-BGP EVPN-Kontrollebene bietet eine Verbesserung, die als ARP-Unterdrückung bezeichnet wird, um Netzwerküberflutungen durch Broadcast-Verkehr von ARP-Anfragen zu verringern. Jede VTEP eines VNIs speichert eine Tabelle des ARP-Unterdrückungscaches für bekannte IP-Hosts und die ihnen entsprechenden MAC-Adressen im VNI-Segment, wenn die ARP-Unterdrückung für diese VNI aktiviert ist. Die lokale VTEP fängt die ARP-Anforderung ab und sucht in der Cache-Tabelle für die ARP-Unterdrückung nach der ARP-aufgelösten IP-Adresse, wenn ein End-Host im VNI eine ARP-Anforderung für eine andere End-Host-IP-Adresse sendet. Im Auftrag des Remote-End-Hosts sendet das lokale VTEP eine ARP-Antwort, wenn eine Übereinstimmung erkannt wird. Die ARP-Antwort liefert dann dem lokalen Host die MAC-Adresse des Remote-Hosts. Die ARP-Anforderung wird an die anderen VTEPs im VNI weitergeleitet, wenn die IP-Adresse des lokalen VTEP nicht die ARP-aufgelöste IP-Adresse in der ARP-Unterdrückungstabelle enthält. Bei der ersten ARP-Anforderung an einen Host im unbeaufsichtigten Netzwerk kann dieses ARP-Flooding erfolgen.

    NVE Interface

    NVE-Schnittstelle

    VLAN to VN-Segment Mapping

    Zuordnung von VLAN zu VN-Segment

    • Durch Senden einer PIM-Join-Nachricht an Spine wird die NVE-Schnittstelle den Multicast-Gruppen 239.0.0.10 bzw. 239.0.0.20 beitreten, sobald sie hochgefahren wird.
    • Sie können auch andere (S, G) Tabellen (1.1.1.54,239.0.0.20) und (10.1.1.100, 239.0.0.10/239.0.0.20) im Bild sehen und diese sind bereits bei Spine von verschiedenen Leaf Switches registriert.

    Mroute Table

    Mroute-Tabelle

    Schritt 8: Aktivieren der EVPN-Instanz

    • Aktivieren Sie die EVPN-Instanz zusammen mit der Adressfamilie für EVPN und VRF unter BGP.

    EVPN Instance

    EVPN-Instanz

    • Der einzige Zweck von route-map REDIST ist es, alles zu ermöglichen.
    • Mit dem Befehl redistribute direct werden die verbundenen VRF-kompatiblen Routen in das MP-BGP (Routen vom Typ 5) hochgestuft.
    • Die oben angezeigte EVPN-Konfiguration ist mit der vom BGP verwendeten Netzwerkanweisung identisch, mit der MAC-Routen (Routen vom Typ 2) angekündigt werden.

    Schritt 9: Konfigurieren Sie Switch Virtual Interface (SVI) für jedes VLAN für den End-Host unter VRF.

    • Auf jedem Leaf-Switch wird die SVI für ein lokal konfiguriertes VLAN und eine SVI für ein L3VNI-VLAN konfiguriert, um die Symmetric Routing Information Base (RIB) zu erhalten.

    Symmetrisches RIB:

    • Wenn der End-Host das Datenpaket an ein anderes Netzwerk sendet und es an den Leaf-Switch empfängt, wird es zuerst in L2VNI verarbeitet und dann mithilfe von VRF in L3VNI platziert und an den Remote-Leaf gesendet.
    • Remote Leaf empfängt die Pakete in der VRF-Tabelle zunächst mithilfe von Routing und dann Bridging zu L2VNI und sendet diese an den End-Host.
    • Auf diese Weise wird das Symmetrische Routing (B-R-R-B) erreicht.

    VLAN Interfaces

    VLAN-Schnittstellen

    • Der Befehl IP forward unter dem VLAN 500 dient dazu, die Layer-3-Weiterleitung für alle VXLANs zu aktivieren. Es ist nicht erforderlich, die IP-Adresse zu konfigurieren, da sie nur das Paket von der L2VNI-Tabelle zur L3VNI-Tabelle verarbeitet.

    Learning BGP VPNv4 Routes for VRF TENANT1

    Learning BGP-VPNv4-Routen für VRF TENANT1

    • Die IP-Adresse für jedes VLAN ist für alle SVIs auf allen Leaf-Switches gleich. Dies wird als Anycast IP bezeichnet und im Rahmen des Mobilitätsmanagements verwendet, bei dem das Ende nahtlos und unterbrechungsfrei mit einem anderen Host kommunizieren kann.

    Schritt 10: Aktivieren Sie die Fabric Forwarding Anycast Gateway-MAC für den End-Host.

    • Es gewährleistet eine nahtlose Layer-3-Gateway-Redundanz und optimierte Weiterleitung für Geräte, die mit der Fabric verbunden sind.
    • Die Anycast Gateway-MAC-Adresse ist eine global konsistente MAC-Adresse, die für alle Layer-3-Gateways in einer Fabric verwendet wird.
    • Das Konzept ist identisch mit dem im First Hop Redundancy Protocol (FHRP) verwendeten Konzept, bei dem jeder Gruppe eine virtuelle MAC-Adresse zugewiesen wird.

    Enabling Fabric Forwarding

    Aktivieren von Fabric Forwarding 

    Schritt 11: Aktivieren Sie das Zugriffs-/Trunk-VLAN für die Mitglieds-Ports.

    vPC-Switch:

    Enabling Trunk Ports to the vPC Member Interface

    Aktivieren von Trunk-Ports für die vPC-Member-Schnittstelle

    Nicht-vPC-Switch:

    Enabling Trunk Ports to the Non vPC Member Interface

    Aktivieren von Trunk-Ports für die Nicht-vPC-Member-Schnittstelle

    Verifizierung

    • Überprüfen Sie die ARP- und MAC-Adresstabelle.

    ARP and MAC Table on LEAF Switch 1

    ARP- und MAC-Tabelle auf LEAF-Switch 1

    ARP and MAC Table on LEAF Switch 2

    ARP- und MAC-Tabelle auf LEAF-Switch 2

    • Beide Peers verwalten die ARP-Einträge.
    • Überprüfen Sie den Status der virtuellen Netzwerkschnittstelle (Network Virtual Interface, NVI).

    vPC-Switch:

    NVE Peers on vPC Switch

    NVE-Peers auf dem vPC-Switch

    Nicht-vPC-Switch:

    NVE Peers on Non vPC Switch

    NVE-Peers auf Nicht-vPC-Switch

    • Hier stellen Sie fest, dass die Peer-IP-Adresse 10.1.1.100 ist und nicht die primäre Loopback-IP-Adresse. Das Rückpaket wird daher für diese IP an einen beliebigen vPC-Switch weitergeleitet.
    • Aktivieren Sie die BGP-EVPN-Routen.

    BGP l2route EVPN MAC-IP

    BGP l2route EVPN-MAC-IP

    BGP l2route EVPN MAC

    BGP l2route EVPN-MAC

    BGP EVPN Summary

    BGP-EVPN-Zusammenfassung

    BGP EVPN Routes

    BGP-EVPN-Routen

    • Häufig stellt sich die Frage, wie Leaf-Switches MAC-Einträge für Remote-Hosts abrufen. Dieser Prozess wird durch kostenloses ARP erleichtert. Wenn ein Netzwerk-Port aktiviert wird, sendet er sofort eine ARP-Anfrage, um die Eindeutigkeit der IP-Adresse zu überprüfen. Jeder Leaf-Switch zeichnet dann die MAC-Adresse auf und bindet sie in ein BGP-Update-Paket ein. Dadurch können andere Leaf-Switches ihre jeweiligen MAC-Adresstabellen entsprechend aktualisieren. Es kann jedoch vorkommen, dass der End-Host kein kostenloses ARP (Silent Host) generiert. In diesem Fall wird die ARP-Anforderung an das Leaf-Netzwerk gesendet. Da es sich um eine Broadcast-Anforderung handelt, generiert der Leaf-Switch die Multicast-Anforderung an die entsprechende Gruppe für das jeweilige VNI. In diesem Fall sind es 239.0.0.10 und 239.0.0.20.

    • Ermöglicht das Pingen von Host-1 zu Host-3 innerhalb desselben VNI und das Anzeigen der Aufzeichnung.

    Pinging from HOST-1 to HOST-3

    Pingen von HOST-1 an HOST-3

    Internet Control Message Protocol (ICMP)-Paket über das VXLAN:

    Wireshark Capture Showing ICMP Request Packet Travelling Through L2VNI 10010

    Wireshark-Erfassung zeigt ICMP-Anforderungspaket, das durch L2VNI 10010 übertragen wird

    • Wie Sie sehen, ist die Quell-IP 10.1.1.100, wobei Port 4789 als UDP-Ziel verwendet wird.
    • Da es sich um eine Intra-VNI-Kommunikation handelt, verwendet VLAN 10 VNI 100010 und VLAN 20 VNI 1000.
    • Ermöglicht das Pingen von Host-1 zu Host-4 mit verschiedenen VNI und einen Überblick über die Aufzeichnung.

    Pinging from HOST-1 to HOST-4

    Pingen von HOST-1 an HOST-4

    ICMP-Paket über das VXLAN:

    Wireshark Capture Showing ICMP Request Packet Travelling Through L3VNI 50000

    Wireshark-Erfassung zeigt ICMP-Anforderungspaket, das durch L3VNI 50000 übertragen wird

    • Da es sich um eine Inter-VNI-Kommunikation handelt, wird das L3VNI 50000 verwendet.
    • Überprüfen Sie die ARP-Tabelle für den End-Host.

    HOST-1 ARP Entries

    HOST-1 ARP-Einträge

    HOST-2 ARP Entries

    HOST-2 ARP-Einträge

    HOST-3 ARP Entries

    HOST-3 ARP-Einträge

    HOST-4 ARP Entries

    HOST-4 ARP-Einträge

    Pinging from HOST-4 to All Other End Hosts

    Pingen von HOST-4 an alle anderen End-Hosts

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    25-Apr-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Akash Koshiya
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.