使用vPC的高級VXLAN:L2VNI和L3VNI的配置與驗證
簡介
本文說明如何使用Nexus 9Kv交換機設定實驗,該實驗使用具有虛擬埠通道(vPC)的高級虛擬可擴展區域網(VXLAN)。
必要條件
需求
思科建議您瞭解以下主題:
- 瞭解路由和交換以及多重協定標籤交換(MPLS)技術
- 具備集結點(RP)和平台無關組播(PIM)等組播路由原則的經驗
- 瞭解邊界閘道通訊協定(BGP)位址系列指標(AFI)/後續位址系列指標(SAFI)
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
本文檔還提供有關部署實驗室以及驗證配置和操作的指導。
在本實驗中,枝葉和主幹都使用帶有Nexus 9000V交換機的EveNg。
|
虛擬通道端點(VTEP) |
LEAF1、LEAF2、LEAF3、LEAF4 |
|
vPC |
LEAF1和LEAF2 |
|
LEAF1主要和次要環回IP |
Loopback0 - 1.1.1.51、Loopback1 - 10.1.1.100 |
|
LEAF2主環回和輔助環回IP |
Loopback0 - 1.1.1.52, Loopback1 - 10.1.1.100 |
|
LEAF3環回IP |
1.1.1.53 |
|
LEAF4環回IP |
1.1.1.54 |
|
SPINE1環回和任播RP |
Loopback0 - 1.1.1.71、Loopback1 - 10.1.2.10(任播RP) |
|
SPINE2環回和任播RP |
Loopback0 - 1.1.1.72, Loopback1 - 10.1.2.10(任播RP) |
|
主機1 |
192.168.10.10(0000.000.aaaa)(VLAN 10) |
|
主機2 |
192.168.20.10(0000.000.bbb)(VLAN 20) |
|
主機3 |
192.168.10.20(0000.000.cccc)(VLAN 10) |
|
主機4 |
192.168.20.20(0000.000.ddd)(VLAN 20) |
|
VLAN 10 |
L2VNI支100010 |
|
VLAN 20 |
L2VNI支100020 |
|
VLAN 500 |
L3VNI裝50000 |
設定
網路圖表
組態
- 底層和PIM鄰居已經建立。
枝葉交換機:
在枝葉交換機上啟用開放最短路徑優先(OSPF)
在枝葉交換機上啟用PIM
OSPF鄰居
主幹交換機:
在主幹交換機上啟用PIM
- 底層和PIM鄰居已經建立。
- 對於整個組播組224.0.0.0/4,兩個主幹交換機將是相同的任播RP。
- 枝葉交換機和主幹交換機之間的介面上的最大傳輸單元(MTU)設定為9000/9216。
首先,在Leaf1和Leaf2之間設定vPC。
步驟1. vPC功能和域啟用。
- 啟用功能vPC和連結彙總控制通訊協定(LACP)。
- 配置vPC域。
- 管理0介面用作對等保持連線鏈路,而Eth1/3和Eth1/4將是vPC對等鏈路(埠通道1)的一部分。
- 確保將peer-switch命令配置為與降序交換機共用一個公用MAC地址。
在枝葉交換機上啟用功能
在枝葉交換機1上啟用vPC
在枝葉交換機2上啟用vPC
步驟2.埠成員分配。
- 將埠成員分配給通道組,並將它們包括在vPC中。在本例中,使用了兩個vPC。vPC 20和vPC 10。
在枝葉交換機1上分配埠通道
在枝葉交換機2上分配埠通道
- 此處建立了vPC,對等體開始交換keepalive消息以驗證可用性。
枝葉交換機1上的vPC狀態
枝葉交換機2上的vPC狀態
- VLAN 10、20、500已配置並透過vPC成員埠和vPC對等鏈路。
步驟3.配置輔助IP地址。
- 當vPC包含在VXLAN交換矩陣中時,兩個vPC VTEP對等體都開始使用虛擬IP(VIP)地址作為源地址,而不是其物理IP地址(PIP)。 這也表示當BGP乙太網路VPN(EVPN)預設通告路由型別2(MAC/IP通告)和5(IP首碼路由)時,VIP會用作下一個躍點。本例中的Loopback 0介面設定為使用兩個IP地址:10.1.1.100/32(VIP)作為輔助IP,1.1.1.51/32(PIP)作為主IP。
- 這裡,一個公用IP地址配置為loopback 0介面下的次要IP地址。
枝葉交換機1上的輔助IP
枝葉交換機2上的輔助IP
步驟4.啟用VXLAN和相關功能。
- 網路虛擬化(nV)覆蓋 — 啟用VXLAN
- Feature nV overlay EVPN — 啟用EVPN控制平面
- 功能交換矩陣轉發 — 啟用主機移動管理器
- 功能虛擬網路(VN) — 網段 — 基於VLAN — 啟用基於VLAN的VXLAN
枝葉交換機上的功能
主幹交換機上的功能
- 由於主幹不需要瞭解客戶端的VLAN資訊,因此無需啟用VN網段和交換矩陣功能。
步驟5.啟用BGP鄰居關係。
- 必須啟用枝葉和主幹交換機之間的BGP。脊柱將在實驗中用作路由反射器。
- 雖然可以選擇設定路由反射器(RR),但為了可擴充性,思科建議使用RR。
在枝葉交換機上啟用BGP
在脊柱交換機上啟用BGP
枝葉交換機上的BGP狀態
主幹交換器上的BGP狀態
步驟6.在枝葉交換機上啟用VRF情景。VRF可分隔客戶流量,並促進兩個不同的L2VNI之間通過L3VNI的通訊。
- 在VRF TENANT1下50000配L3VNI路由。
L3VNI分配
步驟7.網路虛擬介面(NVE)、VXLAN識別碼(VNI)和VLAN設定。
- 設定NVE介面,使用Loopback 0作為源。定義每個VNI的多點傳送群組(其中將傳送第2層廣播、未知單點傳播和多點傳送(BUM)流量),然後將VNI 100010和100020 ID附加到NVE介面。VXLAN標頭包含VNI用來識別其所屬的VXLAN區段的資訊。
- L3VNI實50000已連結到VRF例項(當將其傳送到主幹交換機時,VNI 50000已連線在VRF表中)。
- host-reachability protocol BGP命令在VXLAN隧道中啟用EVPN地址系列,這表示通過控制平面而非資料平面中的BGP協定獲知MAC地址和IP地址。
- 在NVE介面下配置suppress-arp。
- 將第2層和第3層VLAN連線到相關VNI。
抑制位址解析通訊協定(ARP):
多重通訊協定(MP)-BGP EVPN控制平面提供了一種稱為ARP抑制的改進,以減少ARP要求產生的廣播流量所帶來的網路泛濫。每個VNI的VTEP都會為已知IP主機保留一個ARP抑制快取表,並在為該VNI啟用ARP抑制時,在VNI網段中保留與它們對應的MAC地址。其本地VTEP會攔截ARP請求,並在ARP抑制快取表中查詢ARP解析的IP地址,只要VNI中的終端主機提交針對另一個終端主機IP地址的ARP請求。如果本地VTEP發現匹配項,則代表遠端終端主機傳送ARP響應。然後,ARP響應向本地主機提供遠端主機的MAC地址。如果本地VTEP的ARP抑製表中沒有ARP解析的IP地址,則ARP請求會泛洪到VNI中的其他VTEP。對於向靜默網路主機發出的第一個ARP請求,可能會發生此ARP泛洪。
NVE介面
VLAN到VN網段對映
- 通過向Spine傳送PIM加入消息,NVE介面將在啟動後立即分別加入組播組239.0.0.10和239.0.0.20。
- 您還可以在映像中看到其他(S, G)表(1.1.1.54,239.0.0.20)和(10.1.1.100, 239.0.0.10/239.0.0.20),這些表已在不同枝葉交換機的骨幹中註冊。
Mroute表
步驟8.啟用EVPN例項。
- 為BGP下的EVPN和VRF啟用EVPN例項以及地址系列。
EVPN例項
- route-map REDIST的唯一用途是允許所有內容。
- 使用redistribute direct命令,將連線的VRF感知路由提升為MP-BGP(第5類路由)。
- 上面顯示的EVPN配置與BGP用於通告MAC路由(型別2路由)的network語句相同。
步驟9.為VRF下的終端主機配置每個VLAN的交換機虛擬介面(SVI)。
- 在每個枝葉交換機上,SVI配置為本地配置的VLAN,一個SVI配置為L3VNI VLAN,以實現對稱路由資訊庫(RIB)。
對稱肋:
- 當終端主機將資料包傳送到不同的網路並接收到枝葉交換機時,它將首先被處理為L2VNI,然後使用VRF將其置於L3VNI並傳送到遠端枝葉。
- 遠端枝葉首先使用路由接收VRF表中的資料包,然後橋接到L2VNI並將其傳送到終端主機。
- 通過這種方式,實現了對稱路由(B-R-R-B)。
VLAN介面
- VLAN 500下的IP forward命令用於為所有VXLAN啟用第3層轉發。無需配置IP地址,因為它只處理從L2VNI表到L3VNI表的資料包。
學習VRF TENANT1的BGP VPNv4路由
- 每個VLAN的IP地址對於所有枝葉交換機上的所有SVI都是通用的。這稱為任播IP,它用於移動性管理,在該管理中,終端可以無縫地與其他主機通訊,而不會發生任何中斷。
步驟10.為終端主機啟用交換矩陣轉發任播網關MAC。
- 它確保連線到交換矩陣的裝置的無縫第3層網關冗餘和最佳化轉發。
- 任播網關MAC地址是一個全域性一致的MAC地址,用於交換矩陣中的所有第3層網關。
- 此概念與第一躍點備援通訊協定(FHRP)中使用的概念相同,其中每個群組都獲發一個虛擬MAC。
啟用交換矩陣轉發
步驟11.為成員埠啟用接入/中繼VLAN。
vPC交換機:
啟用到vPC成員介面的中繼埠
非vPC交換機:
啟用連線到非vPC成員介面的中繼埠
驗證
- 檢查ARP和MAC地址表。
枝葉交換機1上的ARP和MAC表
枝葉交換機2上的ARP和MAC表
- 兩個對等點都會維護ARP專案。
- 檢查網路虛擬介面(NVI)狀態。
vPC交換機:
vPC交換機上的NVE對等體
非vPC交換機:
非vPC交換機上的NVE對等體
- 在這裡,您會發現對等IP是10.1.1.100而不是主環回IP地址,因此返回的資料包將針對該IP路由到任何vPC交換機。
- 檢查BGP EVPN路由。
BGP l2route EVPN MAC-IP
BGP l2route EVPN MAC
BGP EVPN摘要
BGP EVPN路由
-
常見的問題是枝葉交換機如何獲取遠端主機的MAC條目。此過程由無償ARP實現。啟用網路埠後,它會立即傳送ARP請求以驗證IP地址的唯一性。然後,每台枝葉交換機記錄MAC地址並將其包含在BGP更新資料包中。這允許其他枝葉交換機相應地更新其各自的MAC地址表。但是可能出現終端主機不生成無償ARP(靜默主機)的情況,在這種情況下,ARP請求將廣播到枝葉,並且由於它是廣播請求,枝葉交換機將生成針對特定VNI的組播請求到相應的組。在本例中為239.0.0.10和239.0.0.20。
- 允許在同一VNI中從Host-1 ping Host-3,並檢視捕獲。
從HOST-1 ping HOST-3
透過VXLAN傳輸的網際網路控制訊息通訊協定(ICMP)封包:
顯示ICMP請求資料包通過L2VNI資料包傳輸的Wireshark捕10010
- 您可以看到,來源IP是10.1.1.100,且連線埠4789作為UDP目的地。
- 由於這是VNI內通訊,VLAN 10將使用VNI 100010,而VLAN 20將使用VNI 1000。
- 允許使用不同的VNI從Host-1 ping Host-4,並檢視捕獲。
從HOST-1 ping HOST-4
使用VXLAN的ICMP封包:
顯示ICMP請求資料包通過L3VNI資料包傳輸的Wireshark捕50000
- 由於這是VNI間通訊,因此將使用L50000VNI通訊協定。
- 檢查終端主機的ARP表。
主機1 ARP條目
主機2 ARP條目
主機3 ARP條目
主機4 ARP條目
從HOST-4 ping所有其他終端主機
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
25-Apr-2025 |
初始版本 |
意見