20、VXLAN BGP EVPN 网络的外部连接与多站点互联技术解析

VXLAN BGP EVPN 网络的外部连接与多站点互联技术解析

1. 以太网边缘端口保护

在传统以太网边缘端口，BPDU guard、root guard 或 storm control 可提供保护。这些工具能实现清晰且受保护的边界划分，防止不良故障传播，确保网络的稳定性。

2. 外网和共享服务

很多情况下，需要部署供不同租户（即 VRF）共享的服务，如 DHCP 和 DNS 等。这些共享服务可部署或连接到网络结构中“共享”VRF 内的特定叶子节点。为实现租户 VRF 和共享 VRF 之间的通信，可采用路由泄漏（route leaking）的方法，这一机制同样适用于外网服务的部署。

3. 本地/分布式 VRF 路由泄漏

虚拟路由转发（VRF）允许在单个网络路由器/交换机中存在多个虚拟路由转发实例，通常每个 VRF 与一个唯一的 VPN 标识符关联。VRF 路由泄漏可使同一网络路由器内的多个 VRF 实例之间泄漏前缀信息，无需通过外部路由实例和回环电缆来互连泄漏的 VRF。这种路由泄漏在互联网访问 VRF、共享服务 VRF 和集中服务 VRF 等场景中较为常见。

以下是 VRF 路由泄漏的配置示例：

# VRF Configuration at Ingress VTEP (V1) vrf context VRF-A vni 50001 rd auto address-family ipv4 unicast route-target both auto route-target both auto evpn route-target import 65501:50002 route-target import 65501:50002 evpn vrf context VRF-B vni 50002 rd auto address-family ipv4 unicast route-target both auto route-target both auto evpn route-target import 65501:50001 route-target import 65501:50001 evpn # VRF Configuration at Egress VTEP (V2) vrf context VRF-A vni 50001 rd auto address-family ipv4 unicast route-target both auto route-target both auto evpn route-target import 65501:50002 route-target import 65501:50002 evpn vrf context VRF-B vni 50002 rd auto address-family ipv4 unicast route-target both auto route-target both auto evpn route-target import 65501:50001 route-target import 65501:50001 evpn

在 VXLAN BGP EVPN 中，前缀属性会携带相关的 VNI 信息，但在封装时会使用源 VRF 关联的 VNI 进行远程流量封装。这种本地/分布式 VRF 路由泄漏机制要求在需要泄漏的地方同时配置源 VRF 和目的 VRF，且流量转发结果会因转发方向不同而存在一定的不对称性。

例如，当 IP 为 192.168.1.101（VRF - A）的端点要与 IP 为 192.168.2.102（VRF - B）的端点通信时：
1. 在入口 VTEP V1 处，由于路由目标导入配置，IP 地址 192.168.2.102 在 VRF - A 中可见。
2. 发往 192.168.2.102 的远程流量在入口 VTEP V1 处使用 VNI 50001 进行封装，发往出口 VTEP V2。
3. 流量到达 VTEP V2 后，在 VRF - A 中评估 VNI 50001，查找 192.168.2.102 后将流量本地泄漏到 VRF - B，最终发送到目的端点。

这种路由泄漏方法需要额外配置，且会影响可扩展性，因为需要在存在泄漏 VRF 的所有 VTEP 上进行一致配置。为解决这些问题，可采用下游 VNI 分配等替代方法。

4. 下游 VNI 分配

传统 VRF 路由泄漏的下游 VNI 分配方案类似于 MPLS L3VPN 的方法。在 VXLAN 中，标签（即 VNI）是静态配置而非动态分配的。对于给定的 VRF，除了本地分配的 VNI（配置的 L3VNI），VTEP 可使用不同的 VNI 分配仍实现通信。

具体来说，出口 VTEP 在 MP - BGP EVPN 路由更新中通告其本地 VRF VNI，该 VNI 信息是 EVPN NLRI 的一部分，存在于路由类型 2 和路由类型 5 消息中。入口 VTEP 接收到路由更新后，BGP 会将其与出口 VTEP 通告的 VNI 一起推送到硬件表中。

以下是下游 VNI 分配的流程：
1. 出口 VTEP 在 MP - BGP EVPN 路由更新中通告本地 VRF VNI。
2. 入口 VTEP 接收路由更新。
3. BGP 将路由更新与出口 VTEP 通告的 VNI 一起推送到硬件表。
4. 入口 VTEP 在封装过程中使用出口 VTEP 通告的 VNI。

例如，当 IP 为 192.168.1.101（VRF - A）的端点要与 IP 为 192.168.2.102（VRF - B）的端点通信时：
1. 在入口 VTEP V1 处，通过 MP - BGP EVPN 从 VTEP V2 通告得知 IP 地址 192.168.2.102 与 VRF - B 的 VNI 50002 关联。
2. 流量在入口 VTEP V1 处使用 VNI 50002 进行封装，发往出口 VTEP V2。
3. 流量到达 VTEP V2 后，在 VRF - B 中评估 VNI 50002，最终转发到 VRF - B 中的端点 192.168.2.102。

下游 VNI 分配可减少 VNI 范围和相应的对等 VTEP，配置相对简单。但如果每个 VTEP 为每个 VRF 使用不同的 VNI，所需的每个 VTEP、每个 VNI 信息可能会大量增加，对运维人员和硬件表规模提出更高要求，因此建议在常见的互联网 VRF 或集中共享服务场景中合理使用。

5. 多站点数据中心互联

数据中心通常需要 365 天 24 小时不间断运行，为确保高可用性，往往会制定灾难恢复计划。根据组织规模，数据中心部署可能分布在多个地理位置，有时同一站点会部署多个数据中心 Pod。因此，多个 Pod 或网络结构（站点）之间的互连至关重要。

在多 Pod 和多站点环境中部署 VXLAN EVPN 时，Overlay Transport Virtualization（OTV）常被用于提供二层数据中心互连（DCI）功能，且常与 VXLAN 一同被提及。下面对比分析 OTV 和 VXLAN。

综上所述，OTV 和 VXLAN（BGP EVPN）在数据中心互连场景中各有优缺点。随着控制协议和相关优化的发展，VXLAN（BGP EVPN）在大规模网络部署中的适用性不断增强，未来有望成为功能全面的 DCI 解决方案。

VXLAN BGP EVPN 网络的外部连接与多站点互联技术解析

6. 多目的地流量与未知单播流量处理细节

在多目的地流量处理方面，OTV 和 VXLAN（BGP EVPN）有着不同的实现方式和特点。OTV 采用基于 PIM 源特定组播（SSM）的数据包组进行组播转发，这种方式能够明确知道组的源，从而以最有效的方式转发覆盖层组播流量。同时，OTV 还具备将组播流量和广播流量的数据组分离的能力，这就好比为广播流量设置了一个“速率限制器”，可以对流量进行更精细的调整。

而 VXLAN（BGP EVPN）在处理多目的地流量时，所有的广播、未知单播和组播（BUM）流量都通过分配给二层 VNI 的组播组或入口复制方法进行转发。虽然它本身没有像 OTV 那样能明确区分不同 BUM 流量类型的能力，但可以通过 IGMP 监听来优化同一 VLAN/L2VNI 内的组播。以下是两者处理多目的地流量的对比流程图：

graph LR classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px; classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A([开始]):::startend --> B{流量类型}:::process B -->|组播| C{使用技术}:::process C -->|OTV| D(基于 PIM SSM 转发):::process C -->|VXLAN BGP EVPN| E(通过二层 VNI 组播组或入口复制转发):::process B -->|广播| F{使用技术}:::process F -->|OTV| G(数据组分离处理):::process F -->|VXLAN BGP EVPN| E B -->|未知单播| H{使用技术}:::process H -->|OTV| I(默认丢弃，可特定允许):::process H -->|VXLAN BGP EVPN| J(默认转发，部分可禁用):::process D --> K([结束]):::startend E --> K G --> K I --> K J --> K

在未知单播流量处理上，OTV 表现得更为严格。它默认情况下不会转发任何未知单播流量，如果目的 MAC 地址未知，流量会直接被丢弃。不过，在某些特定需求下，可以在每个 VLAN 的基础上明确允许特定的 MAC 地址进行未知单播泛洪。而 VXLAN（BGP EVPN）虽然也有防止未知单播流量的能力，但默认情况下并不停止未知单播转发。部分实现可以在每个二层 VNI 的基础上禁用未知单播转发，然而一旦禁用，就无法选择性地为单个 MAC 启用泛洪功能。不过，在实际网络中，对未知单播转发的需求通常并不频繁。

7. 生成树集成差异分析

OTV 和 VXLAN（BGP EVPN）在生成树集成方面也存在显著差异。OTV 边缘设备可以像经典以太网二层网络交换机一样参与 STP（生成树协议）。当站点配置使用 STP 时，OTV 边缘设备会正常参与其中。当接收到拓扑变更通知（TCN）时，OTV 会执行一系列典型操作，比如清除给定 VLAN 的 MAC 地址表，并且会评估是否发生了 OTV 拓扑变更，以确保端点可达性的准确性。在 OTV 环境中，STP 根的位置可以根据需要进行调整，但要注意的是，生成树域在 OTV 站点上是本地化的。

而 VXLAN（BGP EVPN）本身并不转发 BPDU（桥协议数据单元），所以它无法区分转发端口和阻塞端口。在 VXLAN 中，“隧道”被视为“始终转发”的链路，VTEP（VXLAN 隧道端点）作为常规交换机参与根桥选举。当需要连接基于 STP 的网络交换机时，由于 VXLAN 自身的特性，需要移除 BPDU 保护，让 STP 来承担环路保护的任务。以下是两者在生成树集成方面的对比表格：

8. 多宿主功能发展趋势

目前，OTV 和 VXLAN（BGP EVPN）在多宿主功能方面处于不同的发展阶段。OTV 基于每 VLAN 的指定转发器（AED）选举提供冗余，在启用多宿主功能时，不需要进行特定配置，也不需要像 vPC（虚拟端口通道）这样的多宿主方法。只要定义好共享相同站点的设备，就可以实现多宿主功能。

而 VXLAN（BGP EVPN）本身并没有集成多宿主功能。不过，通过添加 vPC，可以为边缘设备提供二层冗余。端点可以双连接到属于 vPC 域的一对 VTEP 上，从而确保二层网络的可靠性。值得期待的是，未来 EVPN 多宿主功能将会实现。一旦实现，VXLAN（BGP EVPN）将能够使用原生的多宿主功能来实现二层冗余，无需额外依赖 vPC 或 Multi - Chassis Link Aggregation Group（MC - LAG）等技术，并且可以有超过两个设备以集成的方式提供二层冗余。届时，OTV 和 VXLAN（BGP EVPN）在多宿主功能方面的差异将变得微不足道。以下是两者多宿主功能发展的时间线流程图：

graph LR classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px; classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A([现在]):::startend --> B{技术类型}:::process B -->|OTV| C(基于 AED 选举实现多宿主):::process B -->|VXLAN BGP EVPN| D(通过 vPC 实现二层冗余):::process C --> E([未来]):::startend D --> F(EVPN 多宿主功能实现):::process F --> E

9. 总结与建议

在数据中心网络中，OTV 和 VXLAN（BGP EVPN）都有各自的优势和适用场景。OTV 具有成熟的控制协议和数据平面集成能力，在环路检测、多宿主功能和多目的地流量处理等方面表现出色。而 VXLAN（BGP EVPN）随着控制协议的不断发展和优化，在扩展性和功能灵活性方面逐渐展现出优势，尤其是未来 EVPN 多宿主功能实现后，将进一步缩小与 OTV 的差距。

对于正在规划或升级数据中心互连网络的用户，建议根据自身网络的具体需求和特点来选择合适的技术。如果网络对环路检测和多宿主功能的即时性和简便性要求较高，OTV 可能是一个不错的选择。而如果希望构建大规模、可扩展的网络，并且能够接受一定的配置复杂度和等待技术发展，VXLAN（BGP EVPN）则具有更大的潜力。同时，合理使用下游 VNI 分配等技术，可以优化 VXLAN（BGP EVPN）的性能和可管理性。在实际应用中，也可以考虑将两者结合使用，充分发挥它们各自的优势，以实现更加高效、稳定的数据中心互连网络。