Ethernet-VPN (EVPN) ist eine standardbasierte, über BGP bereitgestellte Steuerungsebene für NVO (Network Virtualization Overlay), die Layer 2(Bridging)- und Layer 3(Routing)-Konnektivität über IP- oder IP/MPLS-Underlay-Netzwerke bereitstellt. BGP-EVPN wurde ursprünglich für die Verwendung mit der MPLS-Datenebene entwickelt, um VPLS-Einschränkungen in Dienstanbieternetzwerken zu beheben. Aufgrund seiner Vorteile im Hinblick auf die Skalierbarkeit und Flexibilität von BGP wurde EVPN in Datencentern jedoch als Mechanismus für die Steuerungsebene für VXLAN-Overlay-Netzwerke sehr beliebt.

Einige der wichtigsten Merkmale und Vorteile von BGP-EVPN:

  • BGP-basiertes Lernen auf der Steuerungsebene für Erreichbarkeitsinformationen zum L2- und L3-Endhost. Dies ersetzt das Flood-and-Learn-Verhalten älterer L2VPN-Lösungen wie VXLAN, SPB und Trill.

  • ARP-Unterdrückung zur Minimierung von unnötigem ARP- und ND-Nachrichten-Flooding.

  • Unterstützung für reines Bridging und/oder integriertes Routing und Bridging.

  • Unterstützung für MAC- und IP-Mobilität und Multihoming.

MP-BGP-EVPN-Adressfamilie

Ein neuer Indikator für MP-Adressfamilien/Nachfolgende Adressfamilien (AFI/SAFI) wurde für EVPN definiert: l2vpn (25)/evpn (70). Wenn zwei BGP-Speakers EVPN-NLRI (Network Layer Reachability Information) austauschen können, müssen sie zu Beginn der BGP-Sitzung die EVPN-BGP-Funktion aushandeln, um sicherzustellen, dass beide Peers diese NLRI unterstützen können.

Route Distinguisher und Routenziele

BGP-EVPN verwendet dieselben Mechanismen wie andere BGP-VPN-Technologien, um Eindeutigkeit und Mehrmandantenfähigkeit sicherzustellen:

Mechanismus Beschreibung

Route Distinguisher (RD)

  • Wird in EVPN genutzt, um Adressen global eindeutig zu machen.

  • Dieselbe in RFC 4364 definierte Kodierung gilt für BGP-EVPN.

  • RD-Typ 0 hat ein „Administrator“-Unterfeld von 2 Byte und ein Unterfeld „Zugewiesene Nummer“ von 4 Byte. Das Unterfeld „Administrator“ muss eine autonome Systemnummer enthalten.

  • RD-Typ 1 hat ein „Administrator“-Unterfeld von 4 Byte und ein Unterfeld „Zugewiesene Nummer“ von 2 Byte. Das Unterfeld „Administrator“ muss eine IP-Adresse enthalten.

Routenziel (RT)

  • Wird in EVPN verwendet, um die Mitgliedschaft im virtuellen Netzwerk anzugeben, indem RTs bei Bedarf importiert und exportiert werden.

EVPN-Routentypen

EVPN-NLRI wird durch folgende Routentypen weiter klassifiziert:

Routentyp Beschreibung Zweck NSX-Inline-Modus NSX-Routenservermodus

Typ 1 (RT-1)

Ethernet-AD-Route (Auto-Discovery)

Wird in Datencentern genutzt, um EVPN-Aktiv-Aktiv oder Multihoming zu unterstützen.

Nein

Ja (nur für DC-GW-Multihoming empfangen)

Typ 2 (RT-2)

MAC/IP-Routenankündigung

Kündigt die Erreichbarkeit einer bestimmten MAC-Adresse und optional die MAC- und IP-Adressbindung an.

Nein

Ja

Typ 3 (RT-3)

Inklusive Multicast-Ethernet-Tag-Route

Kündigt die Erreichbarkeit eines VNI an, der einem bestimmten VTEP in einem virtuellen Netzwerk zugeordnet ist.

Typ-3-Routen sind für die Bereitstellung von BUM-Datenverkehr über EVPN-Netzwerke erforderlich.

Nein

Ja

Typ 4 (RT-4)

Ethernet-Segmentroute

Wird in Datencentern mit Multihomed-Endpunkten für die DF-Wahl (Designated Forwarder) genutzt, um sicherzustellen, dass nur einer der VTEPs BUM-Datenverkehr weiterleitet.

Nein

Nein

Typ 5 (RT-5)

IP-Präfix-Route

Kündigt die Erreichbarkeit von IPv4- und IPv6-Präfixen an. Diese Ankündigung von Präfixen in der EVPN-Domäne bietet die Möglichkeit, L3VPN-ähnliche Dienste zu erstellen.

Ja

Ja

Typ 6 (RT-6)

Selektive Multicast-Ethernet-Tag-Route

Wird genutzt, um die Absicht des Hosts oder der VM anzukündigen, Multicast-Datenverkehr für eine bestimmte Multicast-Gruppe (*,G) oder Quell-Gruppenkombination (S,G) zu empfangen.

Nein

Nein

Virtuelles Routing und virtuelle Weiterleitung

VRF (virtuelles Routing und Weiterleitung) ermöglicht die Instanziierung isolierter Routing- und Weiterleitungstabellen in einem Router. Diese Routing- und Weiterleitungstabellen-Instanzen isolieren Layer-3-Domänen und -Segmente voneinander und erstellen ein Netzwerk mit mehreren Mandanten – entweder lokal innerhalb des Routers oder über mehrere Router hinweg.

VRFs werden in NSX-T durch die Bereitstellung von Tier-0-VRF-Gateways unterstützt. Ein Tier-0-VRF-Gateway muss mit einem übergeordneten Tier-0-Gateway verknüpft sein. Es übernimmt einige der Tier-0-Einstellungen, z. B. HA-Modus, Edge-Cluster, internes Transitsubnetz, T0-T1-Transitsubnetze und lokale BGP-ASN.

Mehrere Tier-0-VRF-Gateways können unter demselben übergeordneten Tier-0 erstellt werden, was die Trennung von Segmenten und Tier-1-Gateways in mehrere isolierte Mandanten ermöglicht. Mit Tier-0-VRF-Gateways können Mandanten überlappende IP-Adressen verwenden, ohne dass es zu Interferenz oder Kommunikation untereinander kommt.

Im Kontext von EVPN wird jede Layer-3-VRF durch einen globalen eindeutigen virtuellen Netzwerkbezeichner (VNI) identifiziert. Der VNI muss für jedes VRF in NSX Edge-Knoten und Datencenter-Gateways übereinstimmen.

VXLAN-Kapselung und VNI

Die in RFC7348 definierte VXLAN-Kapselung wird zwischen NSX-T Data Center-Tunnel-Endpoints (Edge-Knoten für den Inline-Modus und Hypervisoren für den Routenservermodus) und externen Routern genutzt, um die Kompatibilität der Datenebene mit anderen Anbietern sicherzustellen. Innerhalb der NSX-T-Domäne wird weiterhin die GENEVE-Kapselung verwendet.

Ein gekapselter VXLAN-Frame enthält einen äußeren Ethernet-Header, einen äußeren IP-Header, einen äußeren UDP-Header, einen VXLAN-Header und den inneren Ethernet-Frame.

Der VNI ist ein 24-Bit-Bezeichner, der für die Identifizierung eines bestimmten virtuellen Netzwerksegments verwendet wird. Wenn EVPN verwendet wird, um die Erreichbarkeit von IP-Präfixen mithilfe von Routentyp 5 und dem VXLAN-Kapselungstyp anzukündigen, identifiziert der VNI die Mandanten-VRF-Instanz. Gemäß der Definition in RFC9135 wird dieser VNI in der BGP-Steuerungsebene zusammen mit den Präfixrouten angekündigt und in der Kapselung der Datenebene verwendet, um den Datenverkehr zwischen VRFs zu unterscheiden. Der VNI muss für jedes VRF in NSX Edge-Knoten und Datencenter-Gateways übereinstimmen.

Jede VRF-Instanz verfügt über eine eigene VXLAN-VNI.