Aller au contenu principal

8. Multihoming NVEs - NVE Residing in ToR Switch

8. Multihoming NVEs - NVE Residing in ToR Switch (NVE multi-domiciliés - NVE résidant dans le commutateur ToR)

Dans cette section, nous discutons du scénario où les NVE résident dans les commutateurs ToR ET les serveurs (où résident les VM) sont multi-domiciliés à ces commutateurs ToR. Le NVE multi-domicilié fonctionne en mode de redondance tout actif ou actif unique. Si les serveurs sont mono-domiciliés aux commutateurs ToR, alors le scénario devient similaire à celui où le NVE réside sur l'hyperviseur, comme discuté dans la section 7, en ce qui concerne les fonctionnalités EVPN requises.

[RFC7432] définit un ensemble de routes BGP, d'attributs et de procédures pour prendre en charge le multi-domiciliation. Nous décrivons d'abord ces fonctions et procédures, puis nous discutons lesquelles sont impactées par l'encapsulation VXLAN (ou NVGRE) et quelles modifications sont nécessaires. Comme on le verra plus tard dans cette section, la seule procédure EVPN qui est impactée par l'encapsulation d'overlay non-MPLS (par exemple, VXLAN ou NVGRE) où elle fournit de l'espace pour un ID plutôt qu'une pile d'étiquettes, est celle du filtrage à horizon partagé pour les ES multi-domiciliés décrite dans la section 8.3.1.

8.1. EVPN Multihoming Features (Fonctionnalités de multi-domiciliation EVPN)

Dans cette section, nous récapitulerons les fonctionnalités de multi-domiciliation d'EVPN pour mettre en évidence les dépendances d'encapsulation. La section ne décrit les fonctionnalités et fonctions qu'à un niveau élevé. Pour plus de détails, le lecteur doit se référer à [RFC7432].

8.1.1. Multihomed ES Auto-Discovery (Découverte automatique des ES multi-domiciliés)

Les NVE EVPN (ou PE) connectés au même ES (par exemple, le même serveur via un groupe d'agrégation de liens (LAG)) peuvent se découvrir automatiquement avec une configuration minimale voire nulle grâce à l'échange de routes BGP.

8.1.2. Fast Convergence and Mass Withdrawal (Convergence rapide et retrait massif)

EVPN définit un mécanisme pour signaler efficacement et rapidement aux NVE distants la nécessité de mettre à jour leurs tables de transfert lors de la survenue d'une défaillance de connectivité à un ES (par exemple, une défaillance de lien ou de port). Cela se fait en faisant en sorte que chaque NVE annonce une route Ethernet A-D par ES pour chaque segment localement attaché. Lors d'une défaillance de connectivité au segment attaché, le NVE retire la route Ethernet A-D correspondante. Cela déclenche tous les NVE qui reçoivent le retrait pour mettre à jour leurs adjacences de saut suivant pour toutes les adresses MAC associées à l'ES en question. Si aucun autre NVE n'avait annoncé une route Ethernet A-D pour le même segment, alors le NVE qui a reçu le retrait invalide simplement les entrées MAC pour ce segment. Sinon, le NVE met à jour la liste d'adjacence de saut suivant en conséquence.

8.1.3. Split-Horizon (Horizon partagé)

Si un serveur est multi-domicilié à deux NVE ou plus (représentés par un ES ES1) et fonctionnant en mode de redondance tout actif, envoie un paquet BUM (c'est-à-dire, diffusion, monodiffusion inconnue ou multidiffusion) à l'un de ces NVE, alors il est important de s'assurer que le paquet n'est pas rebouclé vers le serveur via un autre NVE connecté à ce serveur. Le mécanisme de filtrage sur le NVE pour empêcher une telle boucle et duplication de paquets est appelé "filtrage à horizon partagé".

8.1.4. Aliasing and Backup Path (Alias et chemin de secours)

Dans le cas où une station est multi-domiciliée à plusieurs NVE, il est possible qu'un seul NVE apprenne un ensemble d'adresses MAC associées au trafic transmis par la station. Cela conduit à une situation où les NVE distants reçoivent des routes MAC Advertisement, pour ces adresses, d'un seul NVE même si plusieurs NVE sont connectés à la station multi-domiciliée. En conséquence, les NVE distants ne sont pas en mesure d'équilibrer efficacement la charge du trafic entre les NVE connectés à l'ES multi-domicilié. Par exemple, cela pourrait être le cas lorsque les NVE effectuent un apprentissage de chemin de données sur l'accès et que la fonction d'équilibrage de charge sur la station hache le trafic d'une adresse MAC source donnée vers un seul NVE. Un autre scénario où cela se produit est lorsque les NVE s'appuient sur l'apprentissage du plan de contrôle sur l'accès (par exemple, en utilisant ARP), car le trafic ARP sera haché vers un seul lien dans le LAG.

Pour atténuer ce problème, EVPN introduit le concept d'"alias". Cela fait référence à la capacité d'un NVE de signaler qu'il a une accessibilité à un ES localement attaché donné, même lorsqu'il n'a appris aucune adresse MAC de ce segment. La route Ethernet A-D par EVI est utilisée à cette fin. Les NVE distants qui reçoivent des routes MAC Advertisement avec des ESI non nuls doivent considérer l'adresse MAC comme accessible via tous les NVE qui annoncent l'accessibilité au segment concerné en utilisant des routes Ethernet A-D avec le même ESI et avec le drapeau actif unique réinitialisé.

Le chemin de secours est une fonction étroitement liée, bien qu'elle s'applique au cas où le mode de redondance est actif unique. Dans ce cas, le NVE signale qu'il a une accessibilité à un ES localement attaché donné en utilisant également la route Ethernet A-D. Les NVE distants qui reçoivent les routes MAC Advertisement, avec ESI non nul, doivent considérer l'adresse MAC comme accessible via le NVE annonceur. De plus, les NVE distants doivent installer un chemin de secours, pour ladite MAC, vers le NVE qui avait annoncé l'accessibilité au segment concerné en utilisant une route Ethernet A-D avec le même ESI et avec le drapeau actif unique défini.

8.1.5. DF Election (Élection DF)

Si un hôte est multi-domicilié à deux NVE ou plus sur un ES fonctionnant en mode de redondance tout actif, alors, pour un EVI donné, un seul de ces NVE, appelé le "transitaire désigné" (DF) est responsable de lui envoyer des trames de diffusion, de multidiffusion et, si configuré pour cet EVI, de monodiffusion inconnue.

Cela est nécessaire afin d'empêcher la livraison en double de trames multi-destinations à un hôte ou une VM multi-domicilié, en cas de redondance tout actif.

Dans les NVE où des trames étiquetées comme IEEE 802.1Q [IEEE.802.1Q] sont reçues des hôtes, l'élection DF doit être effectuée sur la base des VID d'hôte conformément à la section 8.5 de [RFC7432]. De plus, les PE multi-domiciliés d'un ES donné PEUVENT effectuer l'élection DF en utilisant des ID configurés tels que VNI, EVI, VID normalisés, etc., tant que les ID sont configurés de manière cohérente sur les PE multi-domiciliés.

Dans les GW où des trames encapsulées VXLAN sont reçues, l'élection DF est effectuée sur les VNI. Encore une fois, on suppose que, pour un segment Ethernet donné, les VNI sont uniques et cohérents (par exemple, aucun VNI en double n'existe).

8.2. Impact on EVPN BGP Routes and Attributes (Impact sur les routes et attributs BGP EVPN)

Étant donné que le multi-domiciliation est pris en charge dans ce scénario, l'ensemble complet des routes BGP et des attributs définis dans [RFC7432] est utilisé. Le paramétrage du champ Ethernet Tag dans les routes MAC Advertisement, Ethernet A-D par EVI et IMET suit celui de la section 5.1.3. De plus, le paramétrage du champ VNI dans les routes MAC Advertisement et Ethernet A-D par EVI suit celui de la section 5.1.3.

8.3. Impact on EVPN Procedures (Impact sur les procédures EVPN)

Deux cas doivent être examinés ici, selon que les NVE fonctionnent en mode de redondance actif unique ou tout actif.

Premièrement, considérons le cas du mode de redondance actif unique, où les hôtes sont multi-domiciliés à un ensemble de NVE; cependant, un seul NVE est actif à un moment donné pour un VNI donné. Dans ce cas, l'alias n'est pas requis, et le filtrage à horizon partagé peut ne pas être requis, mais d'autres fonctions telles que la découverte automatique des ES multi-domiciliés, la convergence rapide et le retrait massif, le chemin de secours et l'élection DF sont nécessaires.

Deuxièmement, considérons le cas du mode de redondance tout actif. Dans ce cas, parmi toutes les fonctionnalités de multi-domiciliation EVPN énumérées dans la section 8.1, l'utilisation de l'encapsulation VXLAN ou NVGRE impacte les fonctionnalités d'horizon partagé et d'alias, car ces deux dépendent de la couche client MPLS. Étant donné que cette couche client MPLS est absente avec ces types d'encapsulations, des procédures et mécanismes alternatifs sont nécessaires pour fournir les fonctions requises. Ceux-ci sont discutés en détail ensuite.

8.3.1. Split Horizon (Horizon partagé)

Dans EVPN, une étiquette MPLS est utilisée pour le filtrage à horizon partagé pour prendre en charge le multi-domiciliation tout actif où un NVE d'entrée ajoute une étiquette correspondant au site d'origine (aussi appelée étiquette ESI) lors de l'encapsulation du paquet. Le NVE de sortie vérifie l'étiquette ESI lors de la tentative de transfert d'une trame multi-destinations vers une interface, et si l'étiquette correspond au même identifiant de site (ESI) associé à cette interface, le paquet est supprimé. Cela empêche l'occurrence de boucles de transfert.

Étant donné que les encapsulations VXLAN et NVGRE n'incluent pas l'étiquette ESI, d'autres moyens d'exécuter la fonction de filtrage à horizon partagé doivent être conçus pour ces encapsulations. L'approche suivante est recommandée pour le filtrage à horizon partagé lors de l'utilisation de l'encapsulation VXLAN (ou NVGRE).

Chaque NVE suit la ou les adresses IP associées au(x) autre(s) NVE avec lesquels il a des ES multi-domiciliés partagés. Lorsque le NVE reçoit une trame multi-destinations du réseau overlay, il examine l'adresse IP source dans l'en-tête du tunnel (qui correspond au NVE d'entrée) et filtre la trame sur toutes les interfaces locales connectées aux ES qui sont partagés avec le NVE d'entrée. Avec cette approche, il est requis que le NVE d'entrée effectue une réplication locale vers tous les segments Ethernet directement attachés (indépendamment de l'état d'élection DF) pour tout le trafic inondé entrant depuis les interfaces d'accès (c'est-à-dire, depuis les hôtes). Cette approche est appelée "biais local", et a l'avantage qu'une seule adresse IP doit être utilisée par NVE pour le filtrage à horizon partagé, par opposition à l'exigence d'une adresse IP par segment Ethernet par NVE.

Afin de permettre un fonctionnement correct du filtrage à horizon partagé parmi le même groupe de dispositifs PE multi-domiciliés, un mélange de dispositifs PE avec encapsulations MPLS sur GRE exécutant les procédures de [RFC7432] pour le filtrage à horizon partagé d'une part et l'encapsulation VXLAN/NVGRE exécutant des procédures de biais local d'autre part sur un segment Ethernet donné NE DOIT PAS être configuré.

8.3.2. Aliasing and Backup Path (Alias et chemin de secours)

Les procédures d'alias et de chemin de secours pour l'encapsulation VXLAN/NVGRE sont très similaires à celles pour MPLS. Dans le cas de MPLS, la route Ethernet A-D par EVI est utilisée pour l'alias lorsque l'ES correspondant fonctionne en multi-domiciliation tout actif, et la même route est utilisée pour le chemin de secours lorsque l'ES correspondant fonctionne en multi-domiciliation actif unique. Dans le cas de VXLAN/NVGRE, la même route est utilisée pour l'alias et le chemin de secours avec la différence que les champs Ethernet Tag et VNI dans la route Ethernet A-D par EVI sont définis comme décrit dans la section 5.1.3.

8.3.3. Unknown Unicast Traffic Designation (Désignation du trafic monodiffusion inconnu)

Dans EVPN, lorsqu'un PE d'entrée utilise la réplication d'entrée pour inonder le trafic monodiffusion inconnu vers les PE de sortie, le PE d'entrée utilise une étiquette MPLS EVPN différente (de celle utilisée pour le trafic monodiffusion connu) pour identifier un tel trafic BUM. Les PE de sortie utilisent cette étiquette pour identifier un tel trafic BUM et, ainsi, appliquer le filtrage DF pour les sites multi-domiciliés tout actif. En l'absence d'une désignation de trafic monodiffusion inconnu et en présence de l'activation de l'inondation de monodiffusion inconnue, il peut y avoir du trafic en double transitoire vers les sites multi-domiciliés tout actif dans les conditions suivantes: l'adresse MAC de l'hôte est apprise par le(s) PE de sortie et annoncée au PE d'entrée; cependant, le MAC Advertisement n'a pas été reçu ou traité par le PE d'entrée, résultant en l'adresse MAC de l'hôte étant inconnue sur le PE d'entrée mais connue sur le(s) PE de sortie. Par conséquent, lorsqu'un paquet destiné à cette adresse MAC d'hôte arrive sur le PE d'entrée, il l'inonde via la réplication d'entrée vers tous les PE de sortie, et comme ils sont connus des PE de sortie, plusieurs copies sont envoyées au site multi-domicilié tout actif. Il convient de noter qu'une telle duplication de paquets transitoire ne se produit que lorsque a) l'hôte de destination est multi-domicilié via le mode de redondance tout actif, b) l'inondation de monodiffusion inconnue est activée dans le réseau, c) la réplication d'entrée est utilisée, et d) le trafic pour l'hôte de destination est arrivé sur le PE d'entrée avant qu'il n'apprenne l'adresse MAC de l'hôte via l'annonce BGP EVPN. S'il est souhaité d'éviter l'occurrence d'une telle duplication de paquets transitoire (quelle que soit la faible probabilité que cela puisse être), alors l'encapsulation VXLAN-GPE doit être utilisée entre ces PE et le PE d'entrée doit définir le bit de trafic BUM (bit B) [VXLAN-GPE] pour indiquer qu'il s'agit d'un trafic BUM répliqué en entrée.

Dernière mise à jour le