EVPN (Ethernet-VPN) ist eine auf Standards basierende Control Plane von BGP, die die Möglichkeit bietet, die Layer-2- und Layer-3-Konnektivität zwischen verschiedenen Datencentern zu erweitern.

Für die EVPN-Funktion gelten folgende Möglichkeiten und Einschränkungen:
  • Es werden zwei Modi unterstützt: „Inline“ und „Routeserver“. Im Modus „Inline“ verarbeitet der Edge-Knoten den Datenverkehr der Control Plane und der Data Plane. Im Modus „Routeserver“ verarbeitet der Edge-Knoten nur den Datenverkehr der Control Plane. Dies bedeutet, dass direkt zwischen den vRoutern, die auf den ESXi-Hosts und den physischen Gateways ausgeführt werden, Daten fließen.
  • EVPN für BGP mit Mehrfachprotokoll (MP-BGP) zwischen NSX Edge und physischen Routern.
  • NSX-Overlay Wird als Overlay für MP-BGP-EVPN verwendet.
  • Mehrmandantenfähigkeit in MP-BGP EVPN mithilfe von VRF-Instanzen.
  • EVPN-Routen vom Typ 5 werden unterstützt.
  • NSX-T generiert für jeden NSX Edge-VTEP in der EVPN-Domäne eine eindeutige Router-MAC. Es können jedoch auch andere Knoten im Netzwerk vorhanden sein, die nicht von NSX-T verwaltet werden, z. B physische Router. Sie müssen sicherstellen, dass die Router-MACs über alle VTEPs in der EVPN-Domäne hinweg eindeutig sind.
  • Die EVPN-Funktion unterstützt NSX Edge entweder als Ingress oder Egress des virtuellen EVPN-Tunnel-Endpoints. Wenn ein NSX Edge-Knoten aus dem zugehörigen eBGP-Peer, der auf einen anderen eBGP-Peer umverteilt werden muss, EVPN-Präfixe vom Typ 5 empfängt, werden die Routen neu ausgeschrieben, ohne dass eine Änderung am nächsten Hop vorgenommen werden muss.
  • In Netzwerktopologien mit Mehrfachpfaden wird empfohlen, dass ECMP auch für die NSX BGP EVPN Control Plane aktiviert ist, sodass alle möglichen Pfade vom Tier-0-Gateway angekündigt werden können. Dadurch wird der potenzielle Datenverkehrsverlust aufgrund einer asymmetrischen Datenpfadweiterleitung vermieden.
  • VRF kann sich über mehrere Edges erstrecken. Die Angabe eines eindeutigen Route Distinguishers für jeden Edge oder TEP (über automatische oder manuelle Konfiguration) wird jedoch nicht unterstützt. Demzufolge wird die Verwendung von ECMP auf dem Peer-Router nicht unterstützt.
  • Im Modus „Routeserver“ wird nur der Route Distinguisher Typ 1 unterstützt.
  • Im Modus „Routeserver“ muss der Modus für die HA (Hochverfügbarkeit) des Tier-0-Gateways „Aktiv/Aktiv“ lauten.
  • Im Modus „Routeserver“ werden nur der manuelle Route Distinguisher und manuelle Routenziele unterstützt.
  • Rekursive Routenauflösung für Gateway-IP über standardmäßige statische Route wird nicht unterstützt.
  • Im Inline-Modus wird BGP Graceful Restart im Helper-Modus unterstützt, aber BGP Graceful Restart im Restarting-Modus wird nicht unterstützt.
  • Im Modus „Routeserver“ werden für BGP Graceful Restart weder der Helper-Modus noch der Restart-Modus unterstützt.
  • Keine Route Map-Unterstützung für EVPN-Adressfamilie.

Konfigurationsvoraussetzungen

  • Virtueller Router (vRouter), der auf VMware ESXi-Hypervisor bereitgestellt ist.
  • Im Modus „Inline“ muss der physische Peer-Router EVPN-Routen vom Typ 5 (schnittstellenloses Modell) unterstützen. Im Modus „Routeserver“ muss der physische Peer-Router EVPN-Routen vom Typ 5 mit dem schnittstellenreichen Modell unter Verwendung der SBD-IRB-Schnittstelle unterstützen, wie unter https://tools.ietf.org/html/draft-ietf-bess-evpn-prefix-advertisement-11 beschrieben.

Konfigurationsschritte für den Modus „Inline“

  • Erstellen Sie einen VNI-Pool. Siehe Hinzufügen eines EVPN/VXLAN-VNI-Pools.
  • Konfigurieren Sie ein VLAN-Segment. Siehe Hinzufügen eines Segments.
  • Konfigurieren Sie ein Overlay-Segment und geben Sie einen oder mehrere VLAN-Bereiche an. Siehe Hinzufügen eines Segments.
  • Konfigurieren Sie ein Tier-0-Gateway zur Unterstützung von EVPN. Siehe Hinzufügen eines Tier-0-Gateways.
  • Wählen Sie unter „EVPN-Einstellungen“ einen VNI-Pool aus und erstellen Sie EVPN-Tunnel-Endpoints.
  • Konfigurieren Sie unter der Routenunterscheidung für VRF-Gateways die RD-Adminadresse für den Anwendungsfall der automatischem Routenunterscheidung.
  • Konfigurieren Sie eine oder mehrere externe Schnittstellen auf dem Tier-0-Gateway und stellen Sie eine Verbindung zum VLAN-Segment her.
  • Konfigurieren Sie BGP-Nachbarn mit dem physischen Peer-Router. Fügen Sie Routenfilter mit IPv4- und L2VPN-EVPN-Adressfamilien hinzu.
  • Konfigurieren Sie die Routen-Neuverteilung. Wählen Sie unter den Tier-0-Subnetzen neben anderen Quellen die Option „EVPN-TEP-IP“ aus.
  • Konfigurieren Sie VRF für die Unterstützung von EVPN. Siehe Hinzufügen eines VRF-Gateways.
  • Geben Sie unter „VRF-Einstellungen“ einen EVPN-Transit-VNI an.
  • Geben Sie die Routenunterscheidung für eine manuelle Routenunterscheidung an.
  • Geben Sie Ziele für das Importieren/Exportieren von Routen für manuelle Routenziele an.
  • Fügen Sie die Dienstschnittstelle auf VRF für jeden Edge-Knoten hinzu und stellen Sie eine Verbindung zum Overlay-Segment her. Geben Sie eine Zugriffs-VLAN-ID für jede Dienstschnittstelle an.
  • Konfigurieren Sie die BGP-Nachbarn pro VRF mit dem Peer-vRouter. Die über die VRF-BGP-Sitzungen erlernten Routen werden vom NSX Edge an den physischen Peer-Router über die MP-BGP-EVPN-Sitzung neu verteilt.

Konfigurationsschritte für den Modus „Routeserver“

Infrastrukturbezogene Konfiguration:

  • Erstellen Sie einen VNI-Pool. Siehe Hinzufügen eines EVPN/VXLAN-VNI-Pools.
  • Konfigurieren Sie einen EVPN-Mandanten. Siehe Konfigurieren eines EVPN-Mandanten. Für jede im EVPN-Mandanten angegebene VLAN-VNI-Zuordnung wird automatisch ein VRF-Segment für den VNI erstellt.
  • Konfigurieren Sie ein VLAN-Segment. Siehe Hinzufügen eines Segments. Der ARP ND Binding Limit Timeout-Wert im für dieses Segment zugewiesenen IP Discovery-Profil muss auf einen Wert gesetzt werden, der größer als der ARP-Zeitüberschreitungswert auf dem vRouter ist.

NSX Edge-bezogene Konfiguration:

  • Konfigurieren Sie ein Tier-0-Gateway zur Unterstützung von EVPN. Legen Sie unter „EVPN-Einstellungen“ den EVPN-Modus auf „Routeserver“ fest und wählen Sie einen EVPN-Mandanten aus. Siehe Hinzufügen eines Tier-0-Gateways.
  • Konfigurieren Sie eine oder mehrere externe Schnittstellen auf dem Tier-0-Gateway und stellen Sie eine Verbindung zum VLAN-Segment her.
  • Erstellen Sie EVPN-Tunnel-Endpoints unter den EVPN-Einstellungen des Tier-0-Gateways.
  • Konfigurieren Sie BGP-Nachbarn mit dem physischen Peer-Router. Fügen Sie Routenfilter mit IPv4- und L2VPN-EVPN-Adressfamilien hinzu.
  • Konfigurieren Sie die Routen-Neuverteilung. Wählen Sie unter den Tier-0-Subnetzen neben anderen Quellen die Option „EVPN-TEP-IP“ aus.
  • Konfigurieren Sie VRF für die Unterstützung von EVPN. Siehe Hinzufügen eines VRF-Gateways.
  • Geben Sie unter „VRF-Einstellungen“/„L3-VNI-Einstellungen“ den Route Distinguisher und die Routenziele an.
  • Klicken Sie unter „VRF-Einstellungen“/„L2-VNI-Einstellungen“ auf „Festlegen“, um einen L2-VNI hinzuzufügen. Wählen Sie einen L2-VNI im Dropdown-Menü aus. Geben Sie einen Route Distinguisher und Routenziele an.
  • Fügen Sie eine Dienstschnittstelle auf dem VRF für jeden Edge-Knoten hinzu und stellen Sie eine Verbindung mit dem VRF-Segment mit dem gleichen L2-VNI wie beim VRF her.
  • Konfigurieren Sie für jeden VRF die BGP-Nachbarn mit dem Peer-vRouter. Die über die VRF-BGP-Sitzungen erlernten Routen werden vom NSX Edge an den physischen Peer-Router über die MP-BGP-EVPN-Sitzung neu verteilt.

vRouter-bezogene Konfiguration:

  • Stellen Sie eine vRouter-VM auf vSphere bereit.
  • Erstellen Sie ein vRouter-Overlay-Segment (VR-Segment). Hängen Sie den vRouter an das VR-Segment an.
  • Konfigurieren Sie das VR-Segment. Wählen Sie unter „Erweiterte Einstellungen“ einen EVPN-Mandanten aus. Das VR-Segment und der EVPN-Mandant müssen sich in derselben Overlay-Transportzone befinden.
  • Bearbeiten Sie den automatisch erkannten Segmentport auf dem VR-Segment, das mit dem vRouter verbunden ist. Geben Sie die Liste der VLANs in das Feld „EVPN-VLANs“ ein und klicken Sie auf „Speichern“. Die Segmentports werden automatisch für jedes VLAN generiert, das unter den entsprechenden VRF-Segmenten angegeben ist. Die VLANs müssen der Liste oder den Bereichen der VLANs angehören, die in der VLAN-VNI-Zuordnung des angegebenen EVPN-Mandanten angegeben sind.