使用vPC的高级VXLAN:L2VNI和L3VNI的配置与验证
简介
本文档介绍如何使用Nexus 9Kv交换机设置实验,该实验使用具有虚拟端口通道(vPC)的高级虚拟可扩展局域网(VXLAN)。
先决条件
要求
Cisco 建议您了解以下主题:
- 了解路由和交换以及多协议标签交换(MPLS)技术
- 具有组播路由原理(例如交汇点(RP)和平台无关组播(PIM))的经验
- 了解边界网关协议(BGP)地址系列指示器(AFI)/后续地址系列指示器(SAFI)
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
本文档还提供有关部署实验以及检验配置和操作的指导。
在本实验中,枝叶和主干均使用带有Nexus 9000V交换机的EveNg。
|
虚拟隧道终端(VTEP) |
LEAF1、LEAF2、LEAF3、LEAF4 |
|
vPC |
LEAF1和LEAF2 |
|
LEAF1主要和辅助环回IP |
Loopback0 - 1.1.1.51、Loopback1 - 10.1.1.100 |
|
LEAF2主环回和辅助环回IP |
Loopback0 - 1.1.1.52、Loopback1 - 10.1.1.100 |
|
LEAF3环回IP |
1.1.1.53 |
|
LEAF4环回IP |
1.1.1.54 |
|
SPINE1环回和任播RP |
Loopback0 - 1.1.1.71、Loopback1 - 10.1.2.10(任播RP) |
|
SPINE2环回和任播RP |
Loopback0 - 1.1.1.72、Loopback1 - 10.1.2.10(任播RP) |
|
主机1 |
192.168.10.10(000.000.aaaa)(VLAN 10) |
|
主机2 |
192.168.20.10(0000.000.bbb)(VLAN 20) |
|
主机3 |
192.168.10.20(0000.000.cccc)(VLAN 10) |
|
主机4 |
192.168.20.20(0000.000.ddd)(VLAN 20) |
|
VLAN 10 |
L2VNI设100010 |
|
VLAN 20 |
L2VNI设100020 |
|
VLAN 500 |
L3VNI设50000 |
配置
网络图
配置
- 底层和PIM邻居已建立。
枝叶交换机:
在枝叶交换机上启用开放最短路径优先(OSPF)
在枝叶交换机上启用PIM
OSPF 邻居
主干交换机:
在主干交换机上启用PIM
- 底层和PIM邻居已建立。
- 两个主干交换机将是整个组播组224.0.0.0/4的相同任播RP。
- 枝叶和主干交换机之间的接口上的最大传输单位(MTU)设置为9000/9216。
首先,让我们在Leaf1和Leaf2之间设置vPC。
步骤1.启用vPC功能和域。
- 启用功能vPC和链路汇聚控制协议(LACP)。
- 配置vPC域。
- 管理0接口用作对等保持连接链路,Eth1/3和Eth1/4将成为vPC对等链路(端口通道1)的一部分。
- 确保将peer-switch命令配置为与下行交换机共享一个公用MAC地址。
在枝叶交换机上启用功能
在枝叶交换机1上启用vPC
在枝叶交换机2上启用vPC
步骤2.端口成员分配。
- 将端口成员分配给通道组并将它们包括在vPC中。在本例中,使用了两个vPC。vPC 20和vPC 10。
在枝叶交换机1上分配端口通道
在枝叶交换机2上分配端口通道
- 此处创建了一个vPC,对等体开始交换keepalive消息以验证可用性。
枝叶交换机1上的vPC状态
枝叶交换机2上的vPC状态
- VLAN 10、20、500已配置并通过vPC成员端口和vPC对等链路。
步骤3.配置辅助IP地址。
- 当vPC包含在VXLAN交换矩阵中时,两个vPC VTEP对等体开始使用虚拟IP(VIP)地址而不是物理IP地址(PIP)作为源地址。 这也意味着当BGP以太网VPN(EVPN)默认通告路由类型2(MAC/IP通告)和5(IP前缀路由)时,VIP用作下一跳。本例中的Loopback 0接口设置有两个IP地址:10.1.1.100/32(VIP)作为辅助IP,1.1.1.51/32(PIP)作为主要IP。
- 在这里,一个公用IP地址配置为loopback 0接口下的一个辅助地址。
枝叶交换机1上的辅助IP
枝叶交换机2上的辅助IP
步骤4.启用VXLAN和相关功能。
- 网络虚拟化(nV)重叠 — 启用VXLAN
- 功能nV重叠EVPN — 启用EVPN控制平面
- 功能交换矩阵转发 — 启用主机移动管理器
- 基于功能虚拟网络(VN)网段VLAN — 启用基于VLAN的VXLAN
枝叶交换机上的功能
主干交换机上的功能
- 由于主干不需要了解客户端的VLAN信息,因此无需启用VN网段和交换矩阵功能。
步骤5.启用BGP邻居关系。
- 必须启用枝叶和主干交换机之间的BGP。主干将在实验中用作路由反射器。
- 虽然配置路由反射器(RR)是可选操作,但出于可扩展性的考虑,Cisco推荐使用RR。
在枝叶交换机上启用BGP
在主干交换机上启用BGP
枝叶交换机上的BGP状态
主干交换机上的BGP状态
步骤6.在枝叶交换机上启用VRF情景。VRF分离客户流量并促进两个不同的L2VNI之间通过L3VNI进行通信。
- 在VRF TENANT1下50000配L3VNI配置。
L3VNI分配
步骤7.网络虚拟接口(NVE)、VXLAN标识符(VNI)和VLAN配置。
- 设置NVE接口,使用Loopback 0作为源。定义每个VNI的组播组,其中将传送第2层广播、未知单播和组播(BUM)流量,然后将VNI 100010和100020 ID附加到NVE接口。VXLAN报头包含VNI用于标识它所属的VXLAN网段的信息。
- L3VNI实例50000接到VRF实例(当将其发送到主干交换机时,VNI 50000已附加到VRF表中)。
- host-reachability protocol BGP命令在VXLAN隧道中激活EVPN地址系列,这意味着MAC地址和IP地址是通过控制平面中的BGP协议获知的,而不是在数据平面中的。
- 在NVE接口下配置suppress-arp。
- 将第2层和第3层VLAN连接到相关VNI。
抑制地址解析协议(ARP):
多协议(MP)-BGP EVPN控制平面提供称为ARP抑制的改进,以减少ARP请求中的广播流量带来的网络泛洪。每个VNI的VTEP都会为已知IP主机保留一个ARP抑制缓存表,并在该VNI启用ARP抑制时在VNI网段中保留与它们对应的MAC地址。其本地VTEP会拦截ARP请求,并在ARP抑制缓存表中查找ARP解析的IP地址,只要该VNI中的终端主机提交针对另一个终端主机IP地址的ARP请求。本地VTEP代表远程终端主机在发现匹配项时发送ARP响应。然后,ARP响应将为本地主机提供远程主机的MAC地址。如果本地VTEP的ARP抑制表中没有ARP解析的IP地址,则ARP请求会泛洪到VNI中的其他VTEP。对于发送到静默网络主机的第一个ARP请求,可能会发生此ARP泛洪。
NVE接口
VLAN到VN网段的映射
- 通过向Spine发送PIM加入消息,NVE接口在启动时将分别加入组播组239.0.0.10和239.0.0.20。
- 您还可以在映像中看到其他(S、G)表(1.1.1.54、239.0.0.20)和(10.1.1.100、239.0.0.10/239.0.0.20),这些表已经注册到来自不同枝叶交换机的主干。
Mroute表
步骤8.启用EVPN实例。
- 为BGP下的EVPN和VRF启用EVPN实例以及地址系列。
EVPN实例
- route-map REDIST的唯一用途是允许所有内容。
- 使用redistribute direct命令,将连接的VRF感知路由提升为MP-BGP(第5类路由)。
- 上面显示的EVPN配置与BGP用于通告MAC路由(类型2路由)的network语句相同。
步骤9.在VRF下为终端主机配置每个VLAN的交换机虚拟接口(SVI)。
- 在每个枝叶交换机上,SVI配置为本地配置的VLAN,一个SVI配置为L3VNI VLAN,以实现对称路由信息库(RIB)。
对称肋:
- 当终端主机将数据包发送到不同的网络并接收至枝叶交换机时,它将首先被处理为L2VNI,然后使用VRF将其放置到L3VNI并发送到远程枝叶。
- 远程枝叶首先使用路由接收VRF表中的数据包,然后桥接到L2VNI并将其发送到终端主机。
- 通过这种方式,可以实现对称路由(B-R-R-B)。
VLAN接口
- VLAN 500下的IP forward命令用于为所有VXLAN启用第3层转发。无需配置IP地址,因为它只处理从L2VNI表到L3VNI表的数据包。
了解VRF TENANT1的BGP VPNv4路由
- 每个VLAN的IP地址对于所有枝叶交换机上的所有SVI都是通用的。这称为任播IP,它用于移动管理,其中终端可以无缝地与其他主机通信,而不会造成任何中断。
步骤10.为终端主机启用交换矩阵转发任播网关MAC。
- 它确保无缝的第3层网关冗余和连接到交换矩阵的设备的优化转发。
- 任播网关MAC地址是全局一致的MAC地址,用于交换矩阵中的所有第3层网关。
- 此概念与第一跳冗余协议(FHRP)中使用的概念相同,在该协议中,每个组都分配一个虚拟MAC。
启用交换矩阵转发
步骤11.对成员端口启用接入/中继VLAN。
vPC交换机:
启用到vPC成员接口的中继端口
非vPC交换机:
启用连接到非vPC成员接口的中继端口
确认
- 检查ARP和MAC地址表。
枝叶交换机1上的ARP和MAC表
枝叶交换机2上的ARP和MAC表
- 两个对等体都维护ARP条目。
- 检查网络虚拟接口(NVI)状态。
vPC交换机:
vPC交换机上的NVE对等体
非vPC交换机:
非vPC交换机上的NVE对等体
- 在这里,您会发现对等IP是10.1.1.100,而不是主环回IP地址,因此返回的数据包将针对该IP路由到任何vPC交换机。
- 检查BGP EVPN路由。
BGP l2route EVPN MAC-IP
BGP l2route EVPN MAC
BGP EVPN摘要
BGP EVPN路由
-
常见的问题是枝叶交换机如何获取远程主机的MAC条目。此过程由无故ARP实现。网络端口激活后,它会立即发送ARP请求以验证IP地址的唯一性。然后,每台枝叶交换机记录MAC地址并将其包含在BGP更新数据包中。这允许其他枝叶交换机相应地更新其各自的MAC地址表。但可能出现终端主机不生成无故ARP(静默主机)的情况,在这种情况下,ARP请求将广播到枝叶,由于它是广播请求,枝叶交换机将生成组播请求到特定VNI的相应组。在本例中,它是239.0.0.10和239.0.0.20。
- 允许从同一VNI中的Host-1 ping Host-3,查看捕获。
从HOST-1 ping HOST-3
VXLAN上的互联网控制消息协议(ICMP)数据包:
显示ICMP请求数据包通过L2VNI传输的Wireshark捕10010
- 如您所见,源IP是10.1.1.100,端口4789作为UDP目的地。
- 由于这是VNI内部通信,VLAN 10将使用VNI 100010,而VLAN 20将使用VNI 1000。
- 允许使用不同的VNI从Host-1 ping Host-4并查看捕获。
从HOST-1 ping HOST-4
VXLAN上的ICMP数据包:
显示ICMP请求数据包通过L3VNI传输的Wireshark捕50000
- 由于这是VNI间通信,因此将使用L50000VNI接口。
- 检查终端主机的ARP表。
主机1 ARP条目
主机2 ARP条目
主机3 ARP条目
主机4 ARP条目
从HOST-4 ping所有其他终端主机
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
25-Apr-2025 |
初始版本 |
反馈