数据中心EVPN/VXLAN

----  基于EVPN-VXLAN的矩阵网络

为保证业务可用性, 传统上数据中心会使用诸如生成树协议(STP)和多机箱链路聚合(MC-LAG)之类的2层技术来连接计算和存储资源。这种体系结构适用于中小规模的数据中心,服务仅限于单一网络并可满足传统业务需求,但它们过于僵化,无法满足虚拟化,多租户,分散在不同地理位置的下一代数据中心的可伸缩性需求。

挑战

部署, 连接和安全保护数据中心是一项复杂的任务。现代数据中心网络已经演进到采用三层协议横向扩展的架构,数据中心需要一种将底层网络(underlay)与租户网络(Overlay)解耦的新架构。

与此同时安全性也构成了独特的挑战。现代企业数据中心希望将安全性整合至其整体架构中。不仅仅存在数据中心内部,而且能通过分区,租户分离和安全策略扩展到整个企业组织。

Juniper EVPN-VXLAN IP矩阵解决方案

传统数据中心大量业务都使用2层连接,而现代数据中心建设的最佳实践则是基于3层路由来构建高度可扩展及高可用的数据中心网络。为了弥合网络建设和业务需求的差异,下一代数据中心必须能够在3层路由架构上提供二层连接服务。EVPN技术是其中的关键。

解决方案组件

数据中心的底层网络(Underlay)设计 旨在提供3层路由可达性, 此结构也称为Clos矩阵网络,矩阵网络负责提供从任何物理设备(服务器,存储设备,路由器或交换机)到任何其他物理设备(服务器,存储设备,路由器或交换机)的3层路由可达性。理想的底层网络(Underlay)应提供从网络任何点到网络其它任何点的低延迟,无阻塞,高带宽连接。 IP矩阵的规模可以伸缩, 与此对应控制平面也可以选择不同路由协议;典型的解决方案使用两层(Spine层和Leaf层)设备来构建所谓的三级交换架构,其中每个Leaf都上连到每个Spine设备以提供冗余性和倍增的带宽。随着规模的增长,它还可以演变为五级交换架构,即在原Spine层上面再增加一层“超级Spine”以实现Pod间通信。

网络叠加(Overlay)虚拟化则是指通过隧道(VXLAN)技术将虚拟网络叠加在底层网络上, 通过底层网络来传输具体报文, 这是一种可在网络内实现多租户隔离的逻辑功能。这使您可以在多个租户之间共享同一个底层物理网络,同时又隔离每个租户的网络流量。

基于EVPN/VXLAN解决方案会使用不同路由协议比如成熟可靠的EBGP/IBGP路由协议来解耦Overlay网络与Underlay网络,从而也实现隔离(参见图1). 当使用EBGP作为underlay路由协议时每个Spine和Leaf设备都需分配自己AS号。当然其他路由协议例如OSPF / ISIS也可以在数据中心Underlay网络中使用. 而MP-IBGP则用于Overlay网络交换VPN路由信息,IBGP使得VTEP设备间交换EVPN可达性信息。从而建立用于连接VTEP节点的VXLAN隧道。

Juniper EVPN-VXLAN Overlay解决方案

Juniper基于EVPN-VXLAN的IP矩阵网络提供了多种overlay服务选项,让用户可以创建虚拟化的二层和三层网络,以满足在IP Underlay网络上运行传统和现代应用程序的需求,而不必引入MPLS的复杂性(过去则是必需的)。图2显示了Juniper当前支持的各种EVPN-VXLAN Overlay参考架构。

二层桥接Overlay

二层桥接Overlay设计可在EVPN网络中为Leaf设备上的VXLAN租户提供二层以太网桥接,通过VXLAN隧道来扩展VLAN的覆盖范围。使用二层桥接Overlay设计时,无需迁移原来由租户管理的IP网关, EVPN/VXLAN网络本身不提供VXLAN间路由。

集中路由

使用集中路由设计时,VXLAN间路由功能由集中网关提供(通常为Spine交换机)。在此设计中相同Leaf交换机上不同VXLAN租户间流量也需经由集中网关(Spine交换机)来路由, 即发夹弯(Hairpins)路由方式。当大多数流量是跨机柜或南北流量时,这是理想的方式。在这种环境中,租户IP / VRF管理是集中进行的。

分布式边缘路由

边缘路由发生在连接主机的边缘交换机(Leaf交换机)上,这种方式可确保路由发生在最靠近主机的网络边缘, 即Leaf层或VRouter层(如果通过Vrouter连接虚拟机(VM)。边缘路由采用分布式管理,这在流量模型主要是东西流量且在Pod内业务采用大量分区时是最佳选择。

EVPN-VXLAN 企业级数据中心特性及收益

Juniper QFX 交换机的角色: 集中路由架构

使用集中路由架构须注意的要点:

集中式网关(Spine 交换机)应该选用功能丰富,高扩展性的交换机型号,比如Juniper Networks QFX10000 系列交换机.
集中式网关(Spine 交换机)同时也负责担任边界网关(border gateways), 将本地租户网络的路由前缀宣告给外部网络.
由于集中路由架构下leaf 交换机不需要支持VXLAN routing, Juniper 整个QFX5000 和QFX10000系列产品皆可满足需求, 做为 Leaf 交换机, 具体选型可根据容量和接口类型进行.

Juniper QFX 交换机的角色: 边缘路由架构

使用边缘路由架构须注意的要点:

本架构下 Spine交换机只是做为纯 IP路由设备, 只需要高性能和容量, 不需要支持丰富的功能
边缘 Leaf 交换机负责分布式路由, 需要支持 VXLAN Routing 功能, 通常会选择使用Trident系列芯片的型号 (比如Juniper QFX5110和QFX5120系列), 或者更强大的Juniper QFX10000.

总结: 企业级数据中心必然拥抱EVPN-VXLAN

Juniper企业级数据中心解决方案, 通过集成EVPN控制平面和VXLAN overlay转发平面, 可以高效互联数据中心, 公有云和下一代园区网. 通过 QFX 系列交换局健壮的BGP/ EVPN实现, Juniper 解决方案在为企业网络提供优化,无缝且符合工业标准的2层/3层连接来帮助EVPN技术发挥其全部潜力方面具有独一无二的优势.