我的笔记本

Cisco EVPN VXLAN

1.VXLAN EVPN - Configuration Constructs
1.1 拓撲圖:
1.2 流程:
 1. Underlay Configuration
 2. Underlay Configuration for BUM – Ingress replication / Multicast
 3. EVPN Control Plane Configuration
 4. EVPN – Multitenancy Configuration
 5. Overlay Configuration- Vxlan Data Plane
 6. Distributed Anycast Gateway Configuration

2.實施: 1. Underlay Configuration -OSPF
使用P2P,就不用建立DR/BDR,只發送LSA type-1報文







2. Underlay Configuration for BUM – Ingress replication / Multicast
使用PIM SM模式,指定loopback 1 為RP地址,配置RP指向地址為loopback1 地址







3. EVPN Control Plane Configuration
access與core配置ebgp,core配置bgp address family l2vpn evpn





4. EVPN – Multitenancy Configuration
不同access配置同樣L3VN,但RD值不同做租戶隔離



5. Overlay Configuration- Vxlan Data Plane
access 配置l2vpn evpn,創建instance封裝類型為vxlan,配置vlan綁定instance,配置vni號,配置access nve配置
L3VNI的創建主要是用來做vlan間的訪問,主要原理是當跨vlan被檢測到,vxlan頭部vni會變為L3VNI的號碼傳遞到目的NVE
使用 no autostate 后,即使该 VLAN 中没有活跃的物理接口,SVI 也不会变为 down,仍然保持 up 状态。
为什么core不用配置NVE:因为vxlan的封装和解封装在leaf实现,而core/spine只是做高速转发,所以不用创建
跨 Leaf 的 VXLAN 通信:
 1.主机 A(Leaf1 上,VLAN 10)发送数据给主机 B(Leaf2 上,VLAN 10)。
 2.Leaf1 上的 NVE 接口将数据帧封装为 VXLAN 报文(包含 L2VNI)。
 3.封装后的报文通过 IP 网络经由 Spine 转发到 Leaf2。
 4.Leaf2 解封装,找到对应的 VLAN,并转发给主机 B。
 5.Spine 不知道也不关心 VXLAN 内容,只做普通 IP 路由转发。



6. Distributed Anycast Gateway Configuration
access 配置anycast gateway



附:
1.为什么配置BGP EVPN不更改下一跳
为了确保 VXLAN 流量能够直接转发到原始源 Leaf 节点(Originating Leaf),而不是通过中间路由设备(如 Spine)进行转发,从而实现最优路径转发和分布式路由能力。
如果你让 BGP 在传播 EVPN 路由时更改下一跳为自己(默认行为),会导致其他节点把流量发到你这里,而不是真正的主机所在位置,从而造成次优路径甚至通信失败。
在标准 BGP 中,当你从 IBGP 邻居收到路由后,默认情况下:
当你将这条路由再通告给其他 IBGP 邻居时,会把自己的 IP 地址设为下一跳(next-hop-self) 。
这是为了防止下一跳不可达问题(因为 IBGP 不修改下一跳可能会导致黑洞)。
但在 VXLAN EVPN 架构中 ,这种行为是不适用甚至是错误的,因为我们希望:
所有 Leaf 节点之间直接建立 VXLAN 隧道来转发数据,而不需要经过 Spine 或某个中心节点做转发中继。
总结:
 1.允许 Leaf 之间直接通信,无需经过 Spine,减少不必要的中间跳转
 2.防止 Spine 成为转发瓶颈
 3.实现真正的全分布式 VXLAN EVPN 架构
 4.在使用 BGP-only VXLAN EVPN 时,务必确保所有 Leaf 和 Spine 都启用了 next-hop-unchanged

2.为什么需要配置配置BGP EVPN禁用RT过滤器
因为:在 Cisco IOS XE 和某些版本的 Catalyst 交换机上,默认启用了 BGP 的 RT(Route Target)过滤器功能 ,这会阻止设备接收和安装不符合本地 RT 列表的 EVPN 路由。
但在 VXLAN EVPN 架构中,Leaf 设备需要接收所有 EVPN 路由信息 (包括其他 Leaf 发送的主机 MAC/IP 信息),以便进行正确的转发决策。
原理:
Cisco IOS/XE 设备默认启用 RT Filter(RFC 4684)机制 。
它要求:只有当本地 VRF 向远端通告了自己支持的 RT 列表后,才允许远端发送对应的 EVPN 路由。
这个机制在传统的 MPLS L3VPN 中很有用,但在 VXLAN EVPN 架构中,尤其是使用自动派生 RT 的场景下,会造成问题。
router bgp 65001
no bgp default route-target filter
为了确保 VXLAN EVPN 正常工作,在配置 no bgp default route-target filter 的同时,通常还需要:
address-family l2vpn evpn
neighbor 【peer】 next-hop-unchanged
disable route-target community
就是禁用RT过滤器,就可以接收所有 EVPN 路由

兼容自动 RT 分配机制:VXLAN EVPN 通常使用自动派生 RT,不需要手动配置 import/export