VXLAN之VTEP网关旁挂式部署
- 方案特点
本方案针对分布式对称式架构下,VETP网关旁挂在underlay核心设备上,实现VXLAN技术实验
- 背景
结合多个业务生产系统分部和运行状况,计划建设规模千台服务器,在原有网络新增VXLAN,分部异地机房,主要承载视频流开放平台,测试系统等生产系统分布在原始拓扑
本次属于扩容数据中心,在原有UNDELAY网络架构中新增VXLAN区域
- 分析需求
- 支持VXLAN-EVPN分布式对称模式,实现同域内以及跨机房服务器二三层互访;
- 支持VXLAN网络通非VXLAN网络的互访;
- 实现访问服务器路径最优,避免数据绕行
- VTEP的网关挂在原核心上,不影响网络架构部署
- 如上图,根据以上需求,组网方式:
- 各机房核心(border)采用堆叠结构,下联TOR设备采用二层模式互联,上联出口核心采用三层no switch模式互联
- TOR设备直接采用二层汇聚的方式上联到各机房核心
- TOR下联的服务器中,VXLAN业务和非VXLAN业务都连接到TOR设备上,通过VLAN号来区分业务
- 同时为了保障原始架构不变,需要将VTERP采用旁挂方式部署,由于VTEP是旁挂在核心上,因此需要在旁挂交换机上和核心分别设置二层和三层接口,其中:二层接口用来透传VXLAN业务,三层接口用来和互联跑路由协议,实现VXLAN和非VXLAN的业务互通。
- 流量规划
按照需求,本次流量共涉及东西向流量(服务器间的二三层转发),南北向流量(服务器对外访问),其中虚线部分表示VXLAN封装,具体如下:
东西向流量:
东西向流量分两种,一种是普通业务访问vxlan业务,一种是跨机房之间vxlan业务访问
- 普通业务员访问VXLAN业务:
普通业业务的网关在本地CORE设备上,VXLAN的网关在VTEP设备上,他们之间互访,实际上是CORE和VTEP之间的路由转发,期间路由通告ospf进行学习,对于vtep设备来说,下一跳走普通三层转发,不涉及vxlan封装
- 跨数据中心VXLAN业务互访:
跨数据中心VXLAN,如果是同个VNI,走的是二层间转发。如果是不同VNI,走的是三层转发,其中二三层转发的下一跳是VXLAN的隧道口,因此从VTEP发出去的报文,均会带VXLAN封装
- 南北向流量:
南北向流量通过VTEP设备学习到路由下一跳为CORE的出接口,因此走普通转发不会带VXLAN封装
- 路由规划
全网路由总体采用ospf(underlay) ibgp(overlay)方式实现三层互通。同时考虑到防止VXLAN封装出现不对称的问题,需对路由进行过滤
- underlay路由规划
各数据中心和总核心出口之间采用三层(no switch)方式互联,同时采用ECMP的方式实现各路径的负载分担。underlay采用OSPF路由协议,进程号为100,同时,划分两个区域,如下:
区域0:外部网络与核心互联部分
区域x:各机房BODER设备和核心互联部分;
访问外网规划:在核心出口商重分布默认路由,同时在外网设备上回指内网静态路由,实现数据访问外网
- Overlay路由规划
Overlay采用ibgp的方式使得TOR之间建立IBGP-EVPN邻居,两地数据中心的VTEP通过自身的环回地址建立邻居即可。
- VXLAN与非VXLAN网络互访规划
- 东西向流量规划(通告VXLAN路由)
采用arp-host路由重分布进OSPF(同时重分布网关直连路由),以此实现VXLAN路由注入至非VXLAN网络中(采用arp-host的方式将发布明细的主机路由,避免仅网关网段路由存在时产生数据绕行)
- 南北向流量规划(发布默认路由)
在核心出口设备上,对内通告默认路由,使其内部能够访问外部网络
- 路由过滤
同时,需要在VTEP网关交换机上过滤服务器主机路由,避免服务器主机之间的互访走的是underlay(ospf)路由,而非overlay隧道。(VXLAN会同步arp生成EVPN路由,但OSPF路由优先级优于EVPN路由)
- VXLAN规划设计
vxlan二三层互访规划部分,结合需求目前推荐采用分布是对称分布式:所有VTEP配置一个相同的L3VNI,下属所有L2VNI的三层ARP表通过该L3VNI进行同步。同时开启anycast-gateway功能,优化东西向流量的同时实现虚拟机的无缝迁移的需求。最后,由于该项目的VTEP数量较少,因此可不用开启全路由功能,即无需配置ARP相关优化
- 方案部署
- Underlay路由互通配置
路由使用ospf实现underlay互通
- CORE交换机
- border交换机
router ospf 100
route-id 192.168.254.2
nsr
timer throttle sf 10 100 1000 (加快ospf收敛)
network 10.10.10.32 0.0.0.3 area 1 (到core邻居)
network 10.10.10.72. 0.0.0.1 (到VTEP1)
net 192.168.254.2 0.0.0.0 area 0 (通告loop0)
- VTEP交换机
- VTEP和BODER互联接口配置
由于vtep是旁挂核心方式部署,因此需要在旁挂交换机上和核心分别设置二层和三层接口,其中二层接口用来透传VXLAN业务,三层接口用来和互联跑路由
略...
- BGP建立EVPN-BGP邻居配置
EVPN vxlan是通过EVPN-BGP来传递路由信息,因此,建立EVPN vxlan隧道的前提是EVPN路由报文科大,在此建立EVPN-IBGP邻居关系。
- VTEP-1交换机
inter loo 0
ip 192.168.254.3 255.255.255.255
router bgp 65531
bgp router-id 192.168.254.3
address-family l2vpn evpn
neighbor 192.168.254.7 remote-as 65531
neighbor 192.168.254.7 update-source loopback 0
- VTEP-2交换机
inter loo 0
ip 192.168.254.7 255.255.255.255
router bgp 65531
bgp router-id 192.168.254.7
address-family l2vpn evpn
neighbor 192.168.254.3 remote-as 65531
neighbor 192.168.254.3 update-source loopback 0
- VXLAN配置(分布对称模式)
本方案中全网只包含一个业务段,全要实现各业务网段之间虚机迁移及互联互通,so,需要在每个TOR上创建1个相同的VNI,切分别哦诶之多活网关
- VTEP-1 2
Vtep
source loo 0
fabric anycast-gateway-mac 2001.0001.0001
evpn
vni 10
rd auto
route-targe bot auto
vni 100
rd auto
route-target both auto
interface overlayrouter 10
ip add 192.168.10.254 255.255.255.0
anycast-gateway (配置多活网关)
interface overlayrouter 100 (配置L3VNI网关)
vxlan 10
router-interface overlayrouter 10 (绑定VNI 10网关)
extend-vlan 10 (绑定vlan10 )
vxlan 100
router-interface overlayrouter 100
symmetric
- VXLAN与非VXLAN路由互通配置
为了避免南北向流量在VTEP交换机出现绕行的情况,需要在VTEP上对外通告主机明细路由,因此,可以在没组leaf交换机上采用arp-host路由方式,通告服务器主机明细路由,然后将arp-host充分不仅ospf进程中,同时,也将直连网关网段路由重发布进行ospf,使得虚拟机迁移切换过程中,还有网段路由提供路由转发
- VTEP-1 2
,