VXLAN之VTEP网关旁挂式部署

本方案针对分布式对称式架构下,VETP网关旁挂在underlay核心设备上,实现VXLAN技术实验

结合多个业务生产系统分部和运行状况,计划建设规模千台服务器,在原有网络新增VXLAN,分部异地机房,主要承载视频流开放平台,测试系统等生产系统分布在原始拓扑

本次属于扩容数据中心,在原有UNDELAY网络架构中新增VXLAN区域

vlan配置专题报告(VXLAN之VTEP网关旁挂式方案部署)(1)

vlan配置专题报告(VXLAN之VTEP网关旁挂式方案部署)(2)

vlan配置专题报告(VXLAN之VTEP网关旁挂式方案部署)(3)

按照需求,本次流量共涉及东西向流量(服务器间的二三层转发),南北向流量(服务器对外访问),其中虚线部分表示VXLAN封装,具体如下:

vlan配置专题报告(VXLAN之VTEP网关旁挂式方案部署)(4)

东西向流量:

东西向流量分两种,一种是普通业务访问vxlan业务,一种是跨机房之间vxlan业务访问

普通业业务的网关在本地CORE设备上,VXLAN的网关在VTEP设备上,他们之间互访,实际上是CORE和VTEP之间的路由转发,期间路由通告ospf进行学习,对于vtep设备来说,下一跳走普通三层转发,不涉及vxlan封装

跨数据中心VXLAN,如果是同个VNI,走的是二层间转发。如果是不同VNI,走的是三层转发,其中二三层转发的下一跳是VXLAN的隧道口,因此从VTEP发出去的报文,均会带VXLAN封装

南北向流量通过VTEP设备学习到路由下一跳为CORE的出接口,因此走普通转发不会带VXLAN封装

全网路由总体采用ospf(underlay) ibgp(overlay)方式实现三层互通。同时考虑到防止VXLAN封装出现不对称的问题,需对路由进行过滤

各数据中心和总核心出口之间采用三层(no switch)方式互联,同时采用ECMP的方式实现各路径的负载分担。underlay采用OSPF路由协议,进程号为100,同时,划分两个区域,如下:

区域0:外部网络与核心互联部分

区域x:各机房BODER设备和核心互联部分;

访问外网规划:在核心出口商重分布默认路由,同时在外网设备上回指内网静态路由,实现数据访问外网

vlan配置专题报告(VXLAN之VTEP网关旁挂式方案部署)(5)

Overlay采用ibgp的方式使得TOR之间建立IBGP-EVPN邻居,两地数据中心的VTEP通过自身的环回地址建立邻居即可。

vlan配置专题报告(VXLAN之VTEP网关旁挂式方案部署)(6)

采用arp-host路由重分布进OSPF(同时重分布网关直连路由),以此实现VXLAN路由注入至非VXLAN网络中(采用arp-host的方式将发布明细的主机路由,避免仅网关网段路由存在时产生数据绕行)

在核心出口设备上,对内通告默认路由,使其内部能够访问外部网络

vlan配置专题报告(VXLAN之VTEP网关旁挂式方案部署)(7)

同时,需要在VTEP网关交换机上过滤服务器主机路由,避免服务器主机之间的互访走的是underlay(ospf)路由,而非overlay隧道。(VXLAN会同步arp生成EVPN路由,但OSPF路由优先级优于EVPN路由)

vlan配置专题报告(VXLAN之VTEP网关旁挂式方案部署)(8)

vxlan二三层互访规划部分,结合需求目前推荐采用分布是对称分布式:所有VTEP配置一个相同的L3VNI,下属所有L2VNI的三层ARP表通过该L3VNI进行同步。同时开启anycast-gateway功能,优化东西向流量的同时实现虚拟机的无缝迁移的需求。最后,由于该项目的VTEP数量较少,因此可不用开启全路由功能,即无需配置ARP相关优化

vlan配置专题报告(VXLAN之VTEP网关旁挂式方案部署)(9)

路由使用ospf实现underlay互通

vlan配置专题报告(VXLAN之VTEP网关旁挂式方案部署)(10)

router ospf 100

route-id 192.168.254.2

nsr

timer throttle sf 10 100 1000 (加快ospf收敛)

network 10.10.10.32 0.0.0.3 area 1 (到core邻居)

network 10.10.10.72. 0.0.0.1 (到VTEP1)

net 192.168.254.2 0.0.0.0 area 0 (通告loop0)

vlan配置专题报告(VXLAN之VTEP网关旁挂式方案部署)(11)

由于vtep是旁挂核心方式部署,因此需要在旁挂交换机上和核心分别设置二层和三层接口,其中二层接口用来透传VXLAN业务,三层接口用来和互联跑路由

略...

EVPN vxlan是通过EVPN-BGP来传递路由信息,因此,建立EVPN vxlan隧道的前提是EVPN路由报文科大,在此建立EVPN-IBGP邻居关系。

inter loo 0

ip 192.168.254.3 255.255.255.255

router bgp 65531

bgp router-id 192.168.254.3

address-family l2vpn evpn

neighbor 192.168.254.7 remote-as 65531

neighbor 192.168.254.7 update-source loopback 0

inter loo 0

ip 192.168.254.7 255.255.255.255

router bgp 65531

bgp router-id 192.168.254.7

address-family l2vpn evpn

neighbor 192.168.254.3 remote-as 65531

neighbor 192.168.254.3 update-source loopback 0

本方案中全网只包含一个业务段,全要实现各业务网段之间虚机迁移及互联互通,so,需要在每个TOR上创建1个相同的VNI,切分别哦诶之多活网关

Vtep

source loo 0

fabric anycast-gateway-mac 2001.0001.0001

evpn

vni 10

rd auto

route-targe bot auto

vni 100

rd auto

route-target both auto

interface overlayrouter 10

ip add 192.168.10.254 255.255.255.0

anycast-gateway (配置多活网关)

interface overlayrouter 100 (配置L3VNI网关)

vxlan 10

router-interface overlayrouter 10 (绑定VNI 10网关)

extend-vlan 10 (绑定vlan10 )

vxlan 100

router-interface overlayrouter 100

symmetric

为了避免南北向流量在VTEP交换机出现绕行的情况,需要在VTEP上对外通告主机明细路由,因此,可以在没组leaf交换机上采用arp-host路由方式,通告服务器主机明细路由,然后将arp-host充分不仅ospf进程中,同时,也将直连网关网段路由重发布进行ospf,使得虚拟机迁移切换过程中,还有网段路由提供路由转发

vlan配置专题报告(VXLAN之VTEP网关旁挂式方案部署)(12)

,