我們都知道并喜歡 EVPN 作為 VXLAN 隧道在第 3 層基礎(chǔ)設(shè)施上的控制平面。 EVPN 使您能夠在沒有控制器的情況下部署 VXLAN 隧道。此外，它還提供了一系列其他好處，如通過(guò) ARP 抑制減少數(shù)據(jù)中心流量、在移動(dòng)性期間快速收斂、一個(gè)底層和覆蓋路由協(xié)議以及支持多租戶的固有能力。

VXLAN 的 EVPN 可以滿足你所有的第二層需求，對(duì)嗎？嗯，比這復(fù)雜一點(diǎn)。你或許還得在 VXLAN 之間以及 VXLAN 隧道和外部世界之間進(jìn)行通信，因此在網(wǎng)絡(luò)中也必須啟用 VXLAN 路由，我在這篇文章中介紹了這一點(diǎn)。

VXLAN 路由可以使用以下兩種架構(gòu)之一執(zhí)行：

集中式路由在一個(gè)或兩個(gè)集中式路由器上執(zhí)行所有 VXLAN 路由，這可能會(huì)在數(shù)據(jù)中心造成額外的東西向流量。

分布式路由在直接連接的葉交換機(jī)上提供最接近主機(jī)的 VXLAN 路由，簡(jiǎn)化了通信流。

這就是帶 EVPN 的 VXLAN 路由的用武之地。 BGP-EVPN 用于將 VXLAN 第 3 層路由信息傳送到葉。

VZX1 采用分布式體系結(jié)構(gòu)，定義了兩種利用 EVPN 實(shí)現(xiàn)子網(wǎng)間路由的模型：非對(duì)稱綜合路由橋接（ IRB ）和對(duì)稱 IRB 。有些供應(yīng)商提供對(duì)稱模型，有些則提供非對(duì)稱模型。

在 NVIDIA 網(wǎng)絡(luò)中，我們相信您可以控制自己的網(wǎng)絡(luò)。這兩種模式都有價(jià)值，這取決于您的網(wǎng)絡(luò)是如何建立的，以及誰(shuí) MIG ht 構(gòu)建了您的傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)。我們提供這兩種解決方案，以便您可以選擇適合您的網(wǎng)絡(luò)的任何方法。

非對(duì)稱模型與對(duì)稱模型的區(qū)別

不對(duì)稱 IRB 模型和對(duì)稱 IRB 模型的主要區(qū)別在于路由查找的方式和位置。這會(huì)導(dǎo)致數(shù)據(jù)包在基礎(chǔ)設(shè)施中傳輸?shù)?VNI 不同。由于這些差異，它們?cè)诮粨Q機(jī)上的配置方式以及在網(wǎng)絡(luò)中的部署方式都有所不同。

不對(duì)稱模型

非對(duì)稱模型允許在 VXLAN 隧道入口上進(jìn)行路由和橋接，但僅在出口上進(jìn)行橋接。這導(dǎo)致雙向 VXLAN 通信在路由基礎(chǔ)設(shè)施的每個(gè)方向（始終是目標(biāo) VNI ）的不同 VNI 上傳輸。

圖 1 。非對(duì)稱 VXLAN 流量

請(qǐng)考慮前面的例子。主機(jī) A 希望與主機(jī) B 通信，主機(jī) B 位于不同的 VLAN 和不同的機(jī)架上，因此可以通過(guò)不同的 VNI 訪問(wèn)。

由于主機(jī) B 與主機(jī) a 位于不同的子網(wǎng)中，主機(jī) a 將幀發(fā)送到其默認(rèn)網(wǎng)關(guān) Leaf01 。這通常是一個(gè)選播網(wǎng)關(guān)。

Leaf01 識(shí)別目標(biāo) MAC 地址本身，查找路由表，并在仍然在 Leaf01 上時(shí)將數(shù)據(jù)包路由到綠色 VNI 。

然后， Leaf01 將綠色 VNI 中的幀隧道到 Leaf02 。

Leaf02 從幀中刪除 VXLAN 頭，并將幀橋接到主機(jī) B 。

同樣，返回流量的行為也會(huì)類似。

主機(jī) B 向 Leaf02 發(fā)送幀。

Leaf02 識(shí)別自己的目標(biāo) MAC 地址，并將數(shù)據(jù)包路由到 Leaf02 上的橙色 VNI 。

包在橙色的 VNI 中被隧道傳輸?shù)?Leaf01 。

Leaf01 從幀中刪除 VXLAN 頭并將其橋接到主機(jī) A 。

對(duì)于非對(duì)稱模型，所有必需的源和目標(biāo) VNI （例如，橙色和綠色）必須出現(xiàn)在每個(gè)葉上，即使該葉在其機(jī)架的 VLAN 中沒有主機(jī)。這可能會(huì)增加葉必須持有的 IP / MAC 地址的數(shù)量，從而導(dǎo)致規(guī)模有限。然而，在許多情況下，網(wǎng)絡(luò)中的所有 vni 都配置在所有葉子上，以允許 VM 移動(dòng)性并簡(jiǎn)化整個(gè)網(wǎng)絡(luò)的配置。在這種情況下，非對(duì)稱模型是可取的。

雖然它的可伸縮性不高，但使用非對(duì)稱模型進(jìn)行部署是一個(gè)簡(jiǎn)單的解決方案，因?yàn)椴槐嘏渲妙~外的 VNI 或 VLAN 。此外，在 VXLAN 之間進(jìn)行通信的路由跳數(shù)較少，因此延遲較低。

在需要多租戶的情況下，還可以將每組 VLAN 放在單獨(dú)的 VRF 中，并在 VRF 中的 VLAN 之間進(jìn)行路由。

對(duì)稱模型

對(duì)稱模型在入口和出口葉上都有路由和橋。這導(dǎo)致雙向通信能夠在同一個(gè) VNI 上傳輸，因此有了對(duì)稱的名稱。

然而，一種新的專用傳輸 VNI 用于所有路由 VXLAN 通信，稱為 L3VNI 。所有必須路由的流量都路由到 L3VNI 上，通過(guò)第 3 層基礎(chǔ)設(shè)施進(jìn)行隧道傳輸，從 L3VNI 路由到相應(yīng)的 VLAN ，并最終橋接到目標(biāo)。

圖 2 。對(duì)稱 VXLAN 流量

現(xiàn)在考慮具有對(duì)稱模型的場(chǎng)景（圖 2 ）。 VLAN A 上的主機(jī) A 必須與 VLAN B 上的主機(jī) B 通信。

因?yàn)槟繕?biāo)與主機(jī) a 是不同的子網(wǎng)，所以主機(jī) a 將幀發(fā)送到其默認(rèn)網(wǎng)關(guān) Leaf01 。

Leaf01 識(shí)別目標(biāo) MAC 地址本身，并使用路由表將數(shù)據(jù)包路由到 L3VNI 和下一跳 Leaf02 。

VXLAN 封裝的數(shù)據(jù)包將出口葉的 MAC 作為目標(biāo) MAC 地址，將此 L3VNI 作為 VNI 。

Leaf02 執(zhí)行 VXLAN 解封裝，并識(shí)別目標(biāo) MAC 地址本身，并將數(shù)據(jù)包路由到目標(biāo) VLAN ，以到達(dá)目標(biāo)主機(jī)。

返回流量在相同的 L3VNI 上以類似方式路由。

在對(duì)稱模式下，葉交換機(jī)只需要托管位于其機(jī)架上的 VLAN 和相應(yīng)的 VNI ，以及 L3VNI 及其關(guān)聯(lián)的 VLAN 。這是因?yàn)槿肟谌~開關(guān)不需要知道目標(biāo) VNI 。

只托管本地 vni （外加一個(gè)額外的）的能力有助于擴(kuò)展。但是，由于您的網(wǎng)絡(luò)中需要額外的 VXLAN 隧道和 VLAN ，因此配置更為復(fù)雜。當(dāng)發(fā)生額外的路由跳時(shí)，數(shù)據(jù)平面通信也會(huì)變得更加復(fù)雜，并可能導(dǎo)致額外的延遲。

多租戶要求每個(gè) VRF 有一個(gè) L3VNI ，參與該 VRF 的所有交換機(jī)必須配置相同的 L3VNI 。出口葉使用 L3VNI 來(lái)標(biāo)識(shí)要在其中路由分組的 VRF 。

哪個(gè) IRB 模型是正確的？

選擇 IRB 模型最困難的部分是了解對(duì)稱和非對(duì)稱方法之間的區(qū)別。既然你知道了兩者的區(qū)別，你就可以做出一個(gè)明智的決定，為你的人際網(wǎng)絡(luò)提供最佳的選擇。

一般來(lái)說(shuō)，如果您配置了所有葉上的所有 VLAN 、子網(wǎng)或 vni （為了移動(dòng)性或配置的方便性），那么非對(duì)稱模型適合您。它的配置更簡(jiǎn)單，并且不需要額外的 VNIs 來(lái)進(jìn)行故障排除。它甚至可能有稍微少的延遲。

如果您的數(shù)據(jù)中心可以分解為包含 VLAN 和子網(wǎng)的 Pod ，那么非對(duì)稱模型也可以很好地工作。 Pod 中的每個(gè)葉都配置了本地 Pod 中的所有 vlan 和子網(wǎng)或 VNIs 。其他 pod 和外部網(wǎng)絡(luò)可以通過(guò) EVPN 外部路由到達(dá)。 Cumulus Linux 3.6 版本支持帶有非對(duì)稱模型的 EVPN 外部路由，僅將 L3VNI 用于外部路由。

如果您的 VLAN 、子網(wǎng)或 VNI 分布廣泛或動(dòng)態(tài)配置，請(qǐng)選擇對(duì)稱模型。對(duì)稱模型支持 Cumulus Linux 3.5 對(duì)外部網(wǎng)絡(luò)的可達(dá)性。

NVIDIA 相信您擁有并控制您的網(wǎng)絡(luò)，而不是專有供應(yīng)商，因此我們提供這兩種解決方案，讓您可以選擇。

關(guān)于作者

Rama Darbha 是 NVIDIA 網(wǎng)絡(luò)組的解決方案架構(gòu)主管，主要負(fù)責(zé)數(shù)據(jù)中心、 NetDevOps 和以太網(wǎng)交換。他熱衷于幫助客戶和合作伙伴通過(guò)開放的網(wǎng)絡(luò)策略，充分利用他們的人工智能和計(jì)算工作負(fù)載。 RAMA 有一個(gè)活躍的 CCONP 2019 ：： 19 和 CCIE × 22804 ，擁有杜克大學(xué)工程與管理碩士學(xué)位。

審核編輯：郭婷