EVPN技术入门

一个小白的学习日常

已于 2025-02-19 14:26:02 修改

阅读量1.2w

点赞数 12

分类专栏：网络部分文章标签：运维

于 2021-02-07 18:36:01 首次发布

本文链接：https://blog.csdn.net/weixin_45537413/article/details/113745443

版权

网络部分专栏收录该内容

21 篇文章

订阅专栏

1 EVPN技术简介

EVPN（Ethernet Virtual Private Network，以太网虚拟专用网络）：

二层VPN技术
控制平面采用MP-BGP通告EVPN路由信息
数据平面采用VXLAN封装方式转发报文

EVPN技术优势在于简化配置、分离控制平面与数据平面、支持对称IRB（Integrated Routing and Bridging，集成的路由和桥接）

简化配置：通过MP-BGP 传递路由信息实现VTEP 自动发现、VXLAN 隧道自动建立、VXLAN 隧道与VXLAN自动关联，无需用户手工配置，降低网络部署难度；
分离控制平面与数据平面：分工明确，易于管理；
IRB：同时发布二层MAC 地址和三层路由信息，VTEP 既可以进行二层转发，也可以进行三层路由。这样，不仅可以保证流量采用最优路径转发，还可以减少广播流量。

EVPN网络模型如下：

EVPN网络模型包括vtep（VXLAN Tunnel End Point，VXLAN 隧道端点）、vxlan 隧道、核心设备、vxlan网络/EVPN实例、VSI实例、ES（Ethernet Segment，以太网段）；

Vtep：EVPN 的边缘设备，进行vxlan封装与解封装；
VXLAN 隧道：两个VTEP 之间的点到点逻辑隧道；
核心设备（underlay）：IP核心网络中的设备；
VXLAN 网络/EVPN 实例：用户网络可能包括分布在不同地理位置的多个站点内的虚拟机。在骨干网上可以利用VXLAN 隧道将这些站点连接起来，为用户提供一个逻辑的二层VPN。这个二层VPN 称为一个VXLAN 网络，也称为EVPN 实例；
VSI（Virtual Switch Instance，虚拟交换实例）：VSI 与VXLAN一一对应；
ES（Ethernet Segment，以太网段）：）：当一个站点通过多条链路接入到EVPN网络时，这些链路形成一个ES。每条链路在对应的VTEP上使用相同的ESI标识。
支持多归属：当同一个站点通过多台VTEP接入VXLAN网络时，连接该站点的多条路径均可以进行流量转发，以提高网络带宽利用率。

EVPN分层结构：

Leaf作为vtep，对报文进行vxlan封装与解封装；

spine作为核心层设备，只对外层目的ip进行三层转发，不对报文进行vxlan的封装与解封装；

2 EVPN控制平面工作机制

2.1 BGP EVPN消息类型

5种EVPN NLRI（Network Layer Reachability Information，网络层可达性信息），即EVPN路由：

Ethernet Auto-discovery Route(RT-1)：用来在站点多归属组网中通告ES信息，以便实现水平分割、Aliasing和主备备份等特性；
MAC/IP Advertisement Route(RT-2)：用来通告MAC/IP地址信息；
Inclusive Multicast Ethernet Tag Route(RT-3)：用来通告VTEP及其所属VXLAN，以实现VTEP自动发现、自动建立VXLAN隧道；
Ethernet Segment Route(RT-4)：用来通告ES及其连接的VTEP信息，以便发现连接同一ES的VTEP冗余组其他成员，以及在冗余组之间选举指定转发器DF等
IP Prefix Advertisement Route(RT-5)：IP前缀路由，用来以IP前缀的形式通告引入的外部路由。

路由消息组成：

[路由类型]+[ESI]+ [表示MAC地址长度]+[mac地址]+[表示ip地址长度]+[ip地址]/总长度（bit）

路由类型：一个字节，现在只用到2/3/5类；ESI：现只支持单归属（取值0，四个字节）；表示mac地址长度：一个字节，取值48；MAC地址：6个字节；表示ip地址掩码长度：一个字节；ip地址：4个字节

总之，第2类路由既有只携带mac的路由，也有携带mac/ip的路由；
第3类路由传递的是route id信息，只含有ip，没有携带mac；
第五类路由传递的是网段路由信息，只含有ip；

2.2 BGP EVPN RT/RD

RD：

区分用来区分不同VXLAN的EVPN路由，以免EVPN路由冲突
控制器自动下发RD的规则为：N：VXLANID（N从1开始取）

RT：

用来控制evpn路由的发布与接收
控制器自动下发的RT的命名规则为：N：VXLANID（N从0开始取）

VPNV4与EVPN的RD命名规则为：N：VXLANID（N从1开始取）
VPNV4与EVPN的RT命名规则为：N：VXLANID（N从0开始取）
VXLAN RT命名规则为：N：VXLANID（N从1开始取）

因此，对于EVPN网络里，有2个RD值，3个RT值。

两个RD：VPNV4的RD用于三层，VXLAN RD用于二层；
三个RT：VPNV4的RT与EVPN的RT用于三层，VXLAN RT用于二层

RT、RD值与路由类型的关系

RT与RD与路由类型的关系可以用以下一张图概括：

后将第二类MAC/IP路由与第五类路由都写进EVPN三层路由表，最后将EVPN三层路由表写进VRF VPN路由表；

2.3 vxlan隧道的建立

在IP网络上传输时，RFC定义了几种组播技术，EVPN采用的是头端复制技术（Ingress Replication）——就是在VXLAN转发实体里面存在一个需要复制到的远端PE设备隧道列表，此列表叫做BUM广播表；

头端复制（Head-End Replication，HER）的工作原理：
**源设备（源主机）**发送广播、组播或未知单播（例如 ARP 请求）流量。
EVPN控制平面会在网络中建立起一个特定的多播组或广播组。
头端设备（通常是源设备的相邻设备）会在接收到该广播或多播流量时，直接复制该流量，并将其转发给其他所有需要接收的设备，而不是依赖传统的多播路由机制进行转发。
这种复制操作发生在网络边缘，即数据流从源设备的头端设备直接复制并向其他目的设备转发，而不是通过核心设备。

2、3、5类路由在建立隧道时的作用：

第3类imet路由：建立二层隧道广播域；
第2类或者第5类路由：建立三层转发隧道，此时隧道可以共用，因此两个VTEP之间最多只会建立一条隧道；

BUM广播表的建立是依靠EVPN的第3类路由，用于VTEP站点间的自动发现。每个VTEP有全网的vxlan信息以及vxlan与下一跳的关系，VTEP会自动将和本端有相同vxlan的下一跳建立vxlan隧道（二层广播域隧道），从而这些建立并关联的vxlan隧道就形成了BUM广播表；

2.4 虚机迁移

VTEP通告的第二类mac/ip路由的BGP update更新消息中，会携带一种新的扩展团体：MAC Mobility扩展团体。该团体字中包含一个序列号，每次迁移该序列号会增加。

虚机迁移，路由更新

此扩展团体里面包含一个系列号。每次迁移，迁移序列号将递增，远端在收到一个比自己系列号更大的消息时，更新自己的MAC/IP路由消息，下一跳指向迁移后通告此路由的VTEP或GW。原VTEP在收到此路由更新后，撤销之前通告的路由。

2.5 ARP代答（泛洪抑制）

为了避免广播发送的ARP请求报文占用核心网络带宽，VTEP根据接收到的第2类MAC/IP路由，在本地建立起arp代答表项。后续当VTEP收到本站点内虚机请求其他虚机mac的arp请求时，则根据本地存储的arp表项进行代理回应。如下图所示：

为了避免广播发送的ARP请求报文占用核心网络带宽，VTEP根据从BGP收到的EVPN 2类路由在本地建立ARP缓存表项。后续当VTEP收到本站点内虚拟机请求其它虚拟机MAC地址的ARP请求时，优先根据本地存储的ARP表项进行代理回应。如果没有对应的表项，则将ARP请求泛洪到核心网。ARP泛洪抑制功能可以大大减少ARP泛洪的次数。arp代答的优势：可以大大减少arp泛洪的次数。

3 EVPN数据平面工作机制

3.1 二层流量转发

EVPN通过第二类MAC/IP路由互相通告本地学习到的MAC，远端根据收到的MAC路由消息，将MAC下到远端tunnel口上，想成单播MAC表项。 VTEP接收到二层数据帧后，判断其所属的VSI，根据目的MAC地址查找该VSI的MAC地址表，通过表项的出接口转发该数据帧，如下图所示。如果出接口为本地接口，则VTEP直接通过该接口转发数据帧；如果出接口为Tunnel接口，则VTEP根据Tunnel接口为数据帧添加VXLAN封装后，通过VXLAN隧道将其转发给远端VTEP。