VXLAN avançado com vPC: Configuração e verificação de L2VNI e L3VNI

Introdução

Este documento descreve como configurar um laboratório com switches Nexus 9Kv usando a Virtual eXtensible Local Area Network (VXLAN) com Virtual Port-Channel (vPC).

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Compreensão de roteamento e comutação, bem como a tecnologia Multiprotocol Label Switching (MPLS)
• Experiência com princípios de roteamento multicast, como Ponto de reunião (RP) e Multicast independente de plataforma (PIM)
• Compreensão do Indicador de Família de Endereços (AFI)/Indicador de Família de Endereços Subsequente (SAFI) do Protocolo de Gateway de Borda (BGP)

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Informações de Apoio

O documento também fornece orientação sobre a implantação do laboratório, bem como a verificação de configurações e operações.

Para este laboratório, o EveNg com switches Nexus 9000V é utilizado para ambos, Leaf e Spine.

Configurar

Diagrama de Rede

Configurações

• As vizinhanças Underlay e PIM já estão estabelecidas.

Switch LEAF:

Ativação do Open Shortest Path First (OSPF) no Switch Leaf

Habilitando o PIM no Switch Leaf

Vizinho OSPF

Switch Spine:

Habilitando o PIM no Switch Spine

• As vizinhanças Underlay e PIM já estão estabelecidas.
• Ambos os switches Spine serão o RP Anycast idêntico para todo o grupo multicast 224.0.0.0/4.
• Maximum Transmission Unit (MTU) é definido como 9000/9216 nas interfaces entre os switches Leaf e Spine.

Primeiro, vamos configurar um vPC entre Leaf1 e Leaf2.

Etapa 1. Ativação de recursos e domínios do vPC.

• Ative o recurso vPC e o LACP (Link Aggregation Control Protocol).
• Configure o domínio do vPC.
• As interfaces mgmt 0 são usadas como um link keepalive par e Eth1/3 e Eth1/4 serão a parte do link peer vPC (Port-Channel 1).
• Certifique-se de que o comando peer-switch esteja configurado para compartilhar um endereço MAC comum com switches descendentes.

Ativando o recurso no switch leaf

Ativação do vPC no switch leaf 1

Ativação do vPC no switch leaf 2

Etapa 2. Atribuição de membro de porta.

• Atribua o membro da porta ao grupo de canais e inclua-o no vPC. Nesse caso, dois vPCs estão sendo usados. vPC 20 e vPC 10.

Atribuindo o Port Channel no Switch Leaf 1

Atribuindo o Port Channel no Switch Leaf 2

• Aqui, um vPC é criado e os correspondentes começam a trocar mensagens de keepalive para verificar a disponibilidade.

Status do vPC no Switch Leaf 1

Status do vPC no Switch Leaf 2

• As VLANs 10, 20, 500 já estão configuradas e passaram pelas portas membro do vPC e pelo link par do vPC.

Etapa 3. Configurar o endereço IP secundário.

• Quando o vPC é incluído na estrutura VXLAN, ambos os pares VTEP do vPC começam a usar endereços IP virtuais (VIP) como endereços de origem em vez de seus endereços IP físicos (PIP). Isso também significa que quando o BGP Ethernet VPN (EVPN) anuncia os tipos de rota 2 (anúncio MAC/IP) e 5 (rota de prefixo IP) por padrão, o VIP é usado como o próximo salto. A interface Loopback 0 em nosso exemplo é configurada com dois endereços IP: 10.1.1.100/32 (VIP) como o IP secundário e 1.1.1.51/32 (PIP) como o IP primário.
• Aqui um endereço IP comum é configurado como secundário na interface de loopback 0.

IP secundário no switch leaf 1

IP secundário no switch leaf 2

Etapa 4. Ativar a VXLAN e recursos relacionados.

• Sobreposição de virtualização de rede (nV) - permite VXLAN
• EVPN de sobreposição de nV de recurso - permite plano de controle de EVPN
• Encaminhamento de malha de recursos - habilita o Host Mobility Manager
• Feature Virtual Network (VN)-Segment-VLAN-Based - habilita VXLAN baseada em VLAN

Recursos no Switch Leaf

Recursos no switch spine

• Como o spine não exige conhecimento das informações de VLAN do cliente, os recursos de estrutura e do segmento de VLAN não precisam ser ativados.

Etapa 5. Ative a vizinhança BGP.

• O BGP entre os switches Leaf e Spine deve ser habilitado. A lombada servirá como um refletor de rota no laboratório.
• Embora seja opcional configurar o refletor de rota (RR), para fins de escalabilidade, a Cisco recomenda o RR.

Habilitando BGP em Switch Leaf

Ativando o BGP no switch spine

Status de BGP em Switch Leaf

Status de BGP no Switch Spine

Etapa 6. Ativar o contexto VRF em switches leaf. O VRF separa o tráfego do cliente e facilita a comunicação entre dois L2VNIs distintos via L3VNI.

• Aloque 50000 L3VNI em VRF TENANT1.

Alocação L3VNI

Etapa 7. Interface Virtual de Rede (NVE - Network Virtual Interface), identificador de VXLAN (VNI - VXLAN Identifier) e configuração de VLAN.

• Configure a interface NVE, usando Loopback 0 como origem. Defina o grupo Multicast para cada VNI, em que o tráfego de broadcast da camada 2, unicast desconhecido e multicast (BUM) será entregue e, em seguida, conecte os 100010 VNI e os IDs de 100020 à interface NVE. O cabeçalho de VXLAN contém as informações que o VNI usa para identificar a quais segmentos de VXLAN ele pertence.
• O 50000 L3VNI é vinculado à instância VRF (ao enviá-lo ao switch spine, o VNI 50000 foi conectado à tabela VRF).
• O comando host-reachability protocol BGP ativa a família de endereços EVPN no túnel VXLAN, o que significa que os endereços MAC e os endereços IP são aprendidos através do protocolo BGP no plano de controle e não no plano de dados.
• Configure suppress-arp na interface NVE.
• Conecte VLAN de Camada 2 e Camada 3 ao VNI relevante.

Protocolo de Resolução de Endereço (ARP - Suppress-Address Resolution Protocol):

O plano de controle do EVPN Multiprotocolo (MP - Multi-Protocol)-BGP oferece uma melhoria chamada supressão ARP para reduzir a inundação de rede provocada pelo tráfego de broadcast das solicitações ARP. Cada um dos VTEPs de um VNIs mantém uma tabela de cache de supressão ARP para hosts IP conhecidos e os endereços MAC que correspondem a eles no segmento VNI quando a supressão ARP é ativada para esse VNI. Seu VTEP local intercepta a solicitação ARP e procura o endereço IP resolvido ARP em sua tabela de cache de supressão ARP sempre que um host final no VNI envia uma solicitação ARP para outro endereço IP de host final. Em nome do host final remoto, o VTEP local envia uma resposta ARP se descobrir uma correspondência. A resposta ARP então fornece ao host local o endereço MAC dos hosts remotos. A solicitação ARP é inundada para os outros VTEPs no VNI se o VTEP local não tiver o endereço IP resolvido ARP em sua tabela de supressão ARP. Para a primeira solicitação ARP para um host de rede silencioso, essa inundação ARP pode ocorrer.

Interface NVE

Mapeamento de VLAN para segmento VLAN

• Enviando à Spine uma mensagem de união PIM, a interface NVE se juntará aos grupos de multicast 239.0.0.10 e 239.0.0.20, respectivamente, assim que for inicializada.
• Você pode ver outras tabelas (S, G) também (1.1.1.54,239.0.0.20) e (10.1.1.100, 239.0.0.10/239.0.0.20) na imagem e elas já estão registradas com Spine de diferentes Switches Leaf.

Tabela Mroute

Etapa 8. Ativar a instância EVPN.

• Ative a instância de EVPN junto com a família de endereços para EVPN e VRF sob BGP.

Instância de EVPN

• A única finalidade do mapa de rota REDIST é permitir tudo.
• Usando o comando redistribute direct, as rotas conectadas com reconhecimento de VRF são promovidas em MP-BGP (rotas tipo 5).
• A configuração de EVPN exibida acima é idêntica à instrução de rede usada pelo BGP para anunciar rotas MAC (rotas tipo 2).

Etapa 9. Configurar a interface virtual do switch (SVI) para cada VLAN para o host final em VRF.

• Em cada switch leaf, o SVI é configurado para VLAN configurada localmente e um SVI para VLAN L3VNI para obter a Base de Informações de Roteamento Simétrico (RIB).

RIB simétrico:

• Quando o host final envia o pacote de dados para uma rede diferente e recebe para o Switch Leaf, ele será processado primeiro no L2VNI e, em seguida, será colocado no L3VNI usando VRF e enviado para o Leaf remoto.
• A Folha Remota recebe primeiro os pacotes na tabela VRF usando Roteamento e depois fazendo a ponte para o L2VNI e envia para o host final.
• Dessa forma, o roteamento simétrico (B-R-R-B) é alcançado.

Interfaces VLAN

• O comando IP forward na VLAN 500 é usado para permitir o encaminhamento de Camada 3 para todas as VXLANs. Não há necessidade de configurar o endereço IP, pois ele apenas processa o pacote da tabela L2VNI para a tabela L3VNI.

Aprendendo rotas BGP VPNv4 para VRF TENANT1

• O endereço IP de cada VLAN será comum para todas as SVIs em todos os switches leaf. Isso é chamado de IP anycast e é usado no Gerenciamento de mobilidade, onde o usuário final pode se comunicar com outro host perfeitamente, sem qualquer interrupção.

Etapa 10. Habilitar o MAC do gateway anycast de encaminhamento de estrutura para o host final.

• Ele garante redundância transparente de gateway de Camada 3 e encaminhamento otimizado para dispositivos conectados à estrutura.
• O endereço MAC do gateway Anycast é um endereço MAC globalmente consistente usado para todos os gateways de Camada 3 em uma malha.
• O conceito é idêntico ao empregado no First Hop Redundancy Protocol (FHRP), em que cada grupo recebe um MAC virtual.

Ativando o encaminhamento de estrutura 

Etapa 11. Ative a VLAN de acesso/tronco para as portas membro.

Switch vPC:

Ativação de portas de tronco para a interface de membro do vPC

Switch não vPC:

Ativação de portas de tronco para a interface de membro não vPC

Verificação

• Verifique o ARP e a tabela de endereços MAC.

Tabela ARP e MAC no Switch LEAF 1

Tabela ARP e MAC no Switch LEAF 2

• Ambos os peers mantêm as entradas ARP.
• Verifique o status da NVI (Network Virtual Interface, interface virtual de rede).

Switch vPC:

Pares NVE no Switch vPC

Switch não vPC:

Pares NVE em Switch não vPC

• Aqui, você observará que o IP do peer é 10.1.1.100 em vez do endereço IP de loopback primário, de modo que o pacote de retorno será roteado para esse IP para qualquer um dos switches vPC.
• Verifique as rotas BGP EVPN.

BGP l2route EVPN MAC-IP

BGP l2route EVPN MAC

Resumo do BGP EVPN

Rotas BGP EVPN

• É comum questionar como os Switches Leaf adquirem entradas MAC para hosts remotos. Esse processo é facilitado pelo Gratuitous ARP. Quando uma porta de rede é ativada, ela imediatamente envia uma solicitação ARP para verificar a exclusividade do endereço IP. Em seguida, cada Switch Leaf registra o endereço MAC e o inclui em um Pacote de Atualização BGP. Isso permite que outros Switches Leaf atualizem suas respectivas tabelas de endereços MAC de acordo. Mas pode haver um caso em que o host final não gere o Gratuitous ARP (host silencioso) e, nesse caso, a solicitação ARP será transmitida para a folha e, como é uma solicitação de transmissão, o switch Leaf gerará a solicitação de transmissão múltipla para o respectivo grupo para o VNI específico. Nesse caso, é 239.0.0.10 e 239.0.0.20.

• Permite fazer ping do Host-1 para o Host-3 dentro do mesmo VNI e examinar a captura.

Ping do HOST-1 para o HOST-3

Pacote ICMP (Internet Control Message Protocol) sobre VXLAN:

Captura do Wireshark mostrando o pacote de solicitação ICMP viajando através do 10010 L2VNI

• Como você pode ver, o IP de origem é 10.1.1.100 com a porta 4789 como destino UDP.
• Como é uma comunicação intraVNI, a VLAN 10 usará 100010 VNI e a VLAN 20 usará o VNI 1000.
• Permite fazer ping do Host-1 para o Host-4 com VNI diferentes e observar a captura.

Ping do HOST-1 para o HOST-4

Pacote ICMP sobre VXLAN:

Captura do Wireshark mostrando o pacote de solicitação ICMP viajando através do 50000 L3VNI

• Como é uma comunicação entre VNIs, o 50000 L3VNI será usado.
• Verifique a tabela ARP para o host final.

Entradas ARP HOST-1

Entradas ARP HOST-2

Entradas ARP HOST-3

Entradas ARP HOST-4

Ping do HOST-4 para todos os outros hosts finais