Ethernet VPN (EVPN) est un plan de contrôle distribué BGP basé sur des normes pour la superposition de virtualisation réseau (NVO) qui fournit la connectivité de couche 2 (pontage) et de couche 3 (routage) sur des réseaux de sous-couche IP ou IP/MPLS. BGP EVPN a été initialement conçu pour être utilisé avec le plan de données MPLS pour résoudre les limitations de VPLS dans les réseaux de fournisseurs de services. Cependant, EVPN a été largement adopté dans les centres de données comme mécanisme de plan de contrôle pour la mise en réseau superposé VXLAN en raison des avantages de l'évolutivité et de la flexibilité de BGP.

Voici quelques caractéristiques et avantages clés de BGP EVPN :

  • Apprentissage du plan de contrôle basé sur BGP pour les informations d'accessibilité de l'hôte final de couche 2 et de couche 3. Cela remplace le comportement de propagation et l'annulation des solutions L2VPN héritées telles que VXLAN, SPB et Trill.

  • Suppression ARP pour minimiser la saturation des messages ARP et ND inutiles.

  • Prise en charge du pontage uniquement et/ou du routage et du pontage intégrés.

  • Prise en charge de la mobilité MAC, IP et du multihébergement.

Famille d'adresses EVPN MP-BGP

Un nouvel indicateur de famille d'adresses MP/indicateur de famille d'adresses suivant (AFI/SAFI) est défini pour EVPN : l2vpn (25)/evpn (70). Pour que deux locuteurs BGP échangent des informations d'accessibilité de la couche réseau EVPN (NLRI), ils doivent négocier la capacité BGP EVPN au début de la session BGP pour s'assurer que les deux homologues peuvent prendre en charge ce type de NFRI.

Différenciateur de route et cibles de route

BGP EVPN utilise les mêmes mécanismes que les autres technologies VPN BGP pour garantir l'authentification et la mutualisation :

Mécanisme Description

Différenciateur de route (RD)

  • Utilisé dans EVPN pour rendre les adresses globalement uniques.

  • Le même codage défini dans RFC 4364 s'applique à BGP EVPN.

  • Le type de RD 0 a un sous-champ Admin de 2 octets et un sous-champ Nombre attribué de 4 octets. Le sous-champ Admin doit contenir un numéro de système autonome.

  • Le type de RD 1 a un sous-champ Admin de 4 octets et un sous-champ Nombre attribué de 2 octets. Le sous-champ Admin doit contenir une adresse IP.

Cible de route (RT)

  • Utilisé dans EVPN pour indiquer l'appartenance au réseau virtuel en important et en exportant des RT si nécessaire.

Types de route EVPN

EVPN NLRI est classé par types de route suivants :

Type de route Description Objectif Mode En ligne NSX Mode Serveur de route NSX

Type 1 (RT-1)

Route de détection automatique Ethernet (A-D)

Utilisé dans les centres de données pour prendre en charge EVPN actif-actif du multihébergement.

Non

Oui (recevoir uniquement pour l'utilisation de DC-GW)

Type 2 (RT-2)

Route d'annonce MAC/IP

Annonce l'accessibilité d'une adresse MAC spécifique et éventuellement la liaison d'adresses MAC et IP.

Non

Oui

Type 3 (RT-3)

Route de balises Ethernet de multidiffusion inclusive

Commence l'accessibilité d'un VNI associé à un VTEP particulier dans un réseau virtuel.

Des routes de type 3 sont requises pour la livraison du trafic BUM sur les réseaux EVPN.

Non

Oui

Type 4 (RT-4)

Route de segment Ethernet

Utilisé dans les centres de données avec des points de terminaison multi-hébergement et utilisé pour l'évaluation du redirecteur désigné pour garantir que seul l'un des VTEP transfère le trafic BUM.

Non

Non

Type 5 (RT-5)

Route de préfixe IP

Annonce l'accessibilité des préfixes IPv4 et IPv6. Cette annonce de préfixes dans le domaine EVPN permet de créer des services L3VPN similaires.

Oui

Oui

Type 6 (RT-6)

Route de balise Ethernet de multidiffusion sélective

Utilisé pour annoncer l'intention de l'hôte ou de la machine virtuelle de recevoir le trafic multidiffusion pour un groupe de multidiffusion (*,G) ou une combinaison de groupe source (S,G).

Non

Non

Routage virtuel et transfert

Le VRF (Virtual Routing and Forwarding) permet d'inscrire des tables de routage et de transfert isolées dans un routeur. Ces instances de table de routage et de transfert isolent les domaines et les segments de couche 3 les uns des autres créant ainsi un réseau à locataires multiples localement dans le routeur ou sur plusieurs routeurs.

Les VRF sont pris en charge dans NSX en déployant des passerelles VRF de niveau 0. Une passerelle VRF de niveau 0 doit être liée à une passerelle de niveau 0 parente et hérite de certains des paramètres de niveau 0, tels que le mode HA, le cluster Edge, le sous-réseau de transit interne, les sous-réseaux de transit T0-T1 et l'ASN local BGP.

Vous pouvez créer des passerelles VRF de niveau 0 sous le même niveau 0 parent. Cela permet la séparation des segments et des passerelles de niveau 1 dans plusieurs locataires isolés. Avec les passerelles VRF de niveau 0, les locataires peuvent utiliser des adresses IP qui se chevauchent sans interférence ni communication entre elles.

Dans le contexte d'EVPN, chaque VRF de couche 3 est identifié par un VNI (Virtual Network Identifier) global unique. Le VNI de chaque VRF doit correspondre dans les nœuds NSX Edge et les passerelles de centre de données.

Encapsulation VXLAN et VNI

L'encapsulation VXLAN, telle que définie dans RFC7348, est utilisée entre des points de terminaison du tunnel NSX (nœuds Edge pour le mode En ligne et hyperviseurs pour le mode Serveur de route) et des routeurs externes afin d'assurer la compatibilité du plan de données avec d'autres fournisseurs. Dans le domaine NSX, l'encapsulation GENEVE est toujours utilisée.

Une trame VXLAN encapsulée contient un en-tête Ethernet externe, un en-tête IP externe, un en-tête UDP externe, un en-tête VXLAN et la trame Ethernet interne.

Le VNI est un identifiant 24 bits utilisé pour identifier un segment de réseau virtuel particulier. Lorsqu'EVPN est utilisé pour annoncer l'accessibilité aux préfixes IP à l'aide du type de route 5 et du type d'encapsulation comme VXLAN, le VNI identifie l'instance VRF du locataire. Tel que défini dans RFC9135, ce VNI est annoncé dans le plan de contrôle BGP avec les routes de préfixe et utilisé dans l'encapsulation du plan de données pour différencier le trafic entre les VRF. Le VNI de chaque VRF doit correspondre dans les nœuds NSX Edge et les passerelles de centre de données.

Chaque instance VRF dispose de son propre VNI VXLAN.