下面介绍了 EVPN(以太网 VPN)的配置步骤。

EVPN 功能具有以下功能和限制:
  • 支持两种模式:内嵌和路由服务器。在内嵌模式下,Edge 节点处理控制平面和数据平面流量。在路由服务器模式下,Edge 节点仅处理控制平面流量。这意味着,直接在 ESXi 主机上运行的 vRouter 和物理网关之间传输数据。
  • NSX Edge 和物理路由器之间的多协议 BGP (MP-BGP) EVPN。
  • 用作 MP-BGP EVPN 的覆盖网络的 NSX 覆盖网络。
  • 使用 VRF 实例在 MP-BGP EVPN 中实现多租户。
  • 支持 EVPN 5 类路由。
  • NSX-T 为 EVPN 域中的每个 NSX Edge VTEP 生成唯一的路由器 MAC。但是,网络中可能存在不受 NSX-T 管理的其他节点,例如,物理路由器。您必须确保路由器 MAC 在 EVPN 域的所有 VTEP 中都是唯一的。
  • EVPN 功能支持将 NSX Edge 作为 EVPN 虚拟隧道输入或输出端点。如果 NSX Edge 节点收到来自其 eBGP 对等体的 EVPN 第 5 类前缀,这些前缀需要重新分发到其他 eBGP 对等体,则将重新通告路由,而不会对下一跃点进行任何更改。
  • 在多路径网络拓扑中,建议也为 NSX BGP EVPN 控制平面启用 ECMP,以便 Tier-0 网关可以通告所有可能的路径。这将避免因非对称数据路径转发而导致的任何潜在流量黑洞。
  • 一个 VRF 可以跨多个 Edge。但是,不支持为每个 Edge 或 TEP 指定唯一的路由标识(通过自动或手动配置)。因此,不支持在对等路由器上使用 ECMP。
  • 在路由服务器模式下,Tier-0 网关的 HA(高可用性)模式必须为活动-活动。
  • 在路由服务器模式下,仅支持手动路由标识和手动路由目标。
  • 不支持通过默认静态路由解析网关 IP 的递归路由。
  • 在内嵌模式下,支持以帮助程序模式进行 BGP 平滑重启,但不支持以重新启动模式进行 BGP 平滑重启。
  • 在路由服务器模式下,对于 BGP 平滑重启,帮助程序模式和重新启动模式都不受支持。
  • EVPN 地址系列不支持路由映射。

支持的路由标识编码类型

关于路由标识 (Route Distinguisher, RD) 格式:
  • 路由标识的编码已在 RFC 4364 中定义。
  • RD 类型 0 具有 2 个字节的“管理员”子字段和 4 个字节的“指定的编号”子字段。“管理员”子字段必须包含一个自治系统编号。
  • RD 类型 1 具有 4 个字节的“管理员”子字段和 2 个字节的“指定的编号”子字段。“管理员”子字段必须包含一个 IP 地址。

对于内嵌模式,同时支持自动 RD 和手动 RD。对于路由服务器模式,仅支持手动 RD。

模式的 SR 自动 RD 手动 RD
内嵌
  • 受支持。
  • 仅支持类型 1。
  • 您必须配置“RD 管理员”字段。“RD 管理员”字段必须采用 IP 地址的格式。
  • “RD 管理员”字段用于填充 RD 中的“管理员”子字段。
  • 将在每个 RD 生成的范围内为 2 个字节的“指定的编号”子字段分配一个随机编号。
  • 将根据手动配置的其他 RD 对已生成的自动 RD 进行检查,以避免出现任何重复项。
  • 受支持。
  • 允许同时使用“类型 0”和“类型 1”,但建议使用“类型 1”。
  • 不需要配置“RD 管理员”字段。
  • 将根据其他自动 RD 对配置的手动 RD 进行检查,以避免出现任何重复项。
路由服务器
  • 不支持。
  • 受支持。
  • 允许同时使用“类型 0”和“类型 1”,但建议使用“类型 1”。
  • 不需要配置“RD 管理员”字段。
  • 将根据其他自动 RD 对配置的手动 RD 进行检查,以避免出现任何重复项。

配置必备条件

  • 已在 VMware ESXi Hypervisor 上部署虚拟路由器 (vRouter)。
  • 对于内嵌模式,对等物理路由器必须支持 EVPN 5 类路由(无接口模型)。对于路由服务器模式,对等物理路由器必须使用 SBD IRB 接口以有接口模型支持 EVPN 5 类路由,如https://tools.ietf.org/html/draft-ietf-bess-evpn-prefix-advertisement-11中所述。

内嵌模式的配置步骤

  • 创建 VNI 池。请参见添加 EVPN/VXLAN VNI 池
  • 配置 VLAN 分段。请参见添加分段
  • 配置覆盖网络分段,并指定一个或多个 VLAN 范围。请参见添加分段
  • 将 Tier-0 网关配置为支持 EVPN。请参见添加 Tier-0 网关
  • 在“EVPN 设置”下,选择 VNI 池并创建 EVPN 隧道端点。
  • 在“VRF 网关的路由标识”下,为自动路由标识用例配置 RD 管理地址。
  • 在 Tier-0 网关上配置一个或多个外部接口,并连接到 VLAN 分段。
  • 为 BGP 邻居配置对等物理路由器。添加具有 IPv4 和 L2VPN EVPN 地址系列的路由筛选器。
  • 配置路由重新分发。选择“Tier-0 子网”下面的 EVPN TEP IP 以及其他源。
  • 配置 VRF 以支持 EVPN。请参见添加 VRF 网关
  • 在“VRF 设置”下,指定 EVPN 转换 VNI。
  • 为手动路由标识指定路由标识。
  • 为手动路由目标指定导入/导出路由目标。
  • 在 VRF 上为每个 Edge 节点添加服务接口,并连接到覆盖网络分段。为每个服务接口指定一个访问 VLAN ID。
  • 为每个 VRF BGP 邻居配置对等 vRouter。NSX Edge 会通过 MP-BGP EVPN 会话将通过 VRF BGP 会话学习的路由重新分发给对等物理路由器。

路由服务器模式的配置步骤

与基础架构相关的配置:

  • 创建 VNI 池。请参见添加 EVPN/VXLAN VNI 池
  • 配置一个 EVPN 租户。请参见配置 EVPN 租户。对于 EVPN 租户中指定的每个 VLAN-VNI 映射,将自动创建 VNI 的 VRF 分段。
  • 配置 VLAN 分段。请参见添加分段。必须将分配给此分段的 IP 发现配置文件中的 ARP ND Binding Limit Timeout 值设置为大于 vRouter 上的 ARP 超时值。

与 NSX Edge 相关的配置:

  • 将 Tier-0 网关配置为支持 EVPN。在“EVPN 设置”下面,将 EVPN 模式设置为路由服务器,然后选择一个 EVPN 租户。请参见添加 Tier-0 网关
  • 在 Tier-0 网关上配置一个或多个外部接口,并连接到 VLAN 分段。
  • 在 Tier-0 网关的 EVPN 设置下面创建 EVPN 隧道端点。
  • 为 BGP 邻居配置对等物理路由器。添加具有 IPv4 和 L2VPN EVPN 地址系列的路由筛选器。
  • 配置路由重新分发。选择“Tier-0 子网”下的 EVPN TEP IP 以及其他源。
  • 配置 VRF 以支持 EVPN。请参见添加 VRF 网关
  • 在 VRF 设置/L3 VNI 设置下面,指定路由标识和路由目标。
  • 在 VRF 设置/L2 VNI 设置下面,单击“设置”以添加一个 L2 VNI。从下拉列表中选择一个 L2 VNI。指定路由标识和路由目标。
  • 在 VRF 上为每个 Edge 节点添加一个服务接口,并连接到具有与 VRF 相同的 L2 VNI 的 VRF 分段。
  • 对于每个 VRF,为 BGP 邻居配置对等 vRouter。NSX Edge 会通过 MP-BGP EVPN 会话将通过 VRF BGP 会话学习的路由重新分发给对等物理路由器。

与 vRouter 相关的配置:

  • 在 vSphere 上部署一个 vRouter 虚拟机。
  • 创建一个 vRouter 覆盖网络分段(VR 分段)。将 vRouter 连接到该 VR 分段。
  • 配置该 VR 分段。在“高级设置”下面,选择一个 EVPN 租户。VR 分段和 EVPN 租户必须位于同一覆盖传输区域中。
  • 在连接到 vRouter 的 VR 分段上编辑自动发现的分段端口。在 EVPN VLAN 字段中输入 VLAN 列表,然后单击“保存”。将为相应的 VRF 分段下面指定的每个 VLAN 自动生成分段端口。VLAN 必须属于在指定 EVPN 租户的 VLAN-VNI 映射中指定的 VLAN 列表或范围。