一文让你了解什么是EVPN

1.为什么需要EVPNEVPN是这两年突然成为头条的技术，在讲EVPN之前，有必须要先了解下以太网发展简史。传统以太网采用最初小规模L2组网采用ARP广播寻找目的地址，使用STP协议进行防环来扩大组网规模，但是其一方面浪费了太多带宽，另一方面则是在网络规模稍大时（50-100台交换机设备）收敛时间就会变得异常慢，使得本来带宽利用率就不高的诟病得到了放大，所以STP的组网限制在本地一个有限的组网规模下使用。图1：L2交换机的学习过程示意后来提出了IP层路由的概念，通过TTL来防环，并提出了ECMP等让同一个设备的流通过多路径转发，来提升链路利用率和链路冗余，并提出了RIP/OSPF/BGP等多种路由协议，使得大规模组网时通过设备自身来发布在自己所具有的转发表项，为互联网的出现提供了基础。IP网络每一跳分析IP头，效率低，QoS难于部署，所有路由器都要知道所在路由域网络的所有路由，IP的逐跳转发，在经过的每一跳处，必须进行路由表的最长匹配查找（可能多次），速度缓慢。图2IP网络的转发原理技术进一步革新，演变到MPLS标签分发时代，MPLS体系结构由控制平面（ControlPlane）和转发平面（ForwardingPlane）组成。控制层面秉承IP的灵活性，转发层面则秉承了ATM的可靠性。中间网络对业务不可见，只做LSP的标签分发，MPLS把业务区分为L2VPN、L3VPN图3：MPLS的体系架构现在EVPN则是继续沿着这个思路前行，在新的场景下，越来越多的大量客户业务（办公场所或业务所在数据中心）在全世界的不同区域分布，并且需要进行数据通信，尤其是云计算商业模式的出现。随着网络规模的发展和网络新技术的应用，传统的数据中心网络正面临前所未有的压力，在管理运维、资源利用率、灵活性等方面均不能满足现在业务多变的需求。技术发展到现在，总结一下有如下几点已经成为瓶颈：1、传统MPLS落L2VPN与L3VPN的实现不统一；2、VPLS技术上的缺陷：比如控制面和转发面无法分离、保护切换性能低、跨域保护配置复杂和实际工程难以部署。3、更改网络设备的困难：传统部署方式网络侧全连接配置，新增站点或删除站点非常困难。4、未能集中管控，无法向SDN、NFV演进。5、可扩展性：要能满足大规模数据中心和虚拟机迁移的需要。2.EVPN是什么2.1EVPN简介EVPN全称是EthernetVPN，最开始由RFC7432定义:BGPMPLS-BasedEthernetVPN，从名字上看，这是一个基于BGP和MPLS的L2VPN。虽然这是一个2015年才有编号的RFC，但当它还是草案时，很多厂商已经开始实现EVPN。EVPN解决问题的场景是客户在广域网下通信时各局点MAC地址的动态通知，主要是针对L2VPN（VPLS，VirtualPrivateLANService）的缺陷（比如无法支持MP2MP、无法支持多链路全活转发等）来提出的；其问题范畴包括：多链路同时负载、基于流的负载均衡、基于流的多路径、跨地理域多PE节点冗余、流量转发优化、组播优化、广播抑制、快速收敛（受限于PE的MAC地址数目等）等方面。对于MPLS/VPLS和PBB这些成熟的方案而言，控制平面并未有什么改变。这些技术仍然依赖于L2泛洪和学习以建立转发数据库。EVPN继承了VPLS十余年的现网运营经验，并包含了在L3网络上针对业务部署的灵活性。在EVPN中：控制平面与数据平面被抽象并隔离，多协议BGP（MP-BGP）控制平面承载了MAC/IP路由信息，数据平面的封装有若干种选择。路由器厂商和运营商为实现一种简单且可互操作的技术而共同努力，而EVPN则籍此让路由厂商和运营商达成共识并共同合作。例如，VPLS有几种不同的运营模式，这使得其较复杂并引入互操作方面的问题。图4：EVPN的协议模型当前EVPN协议有正式的RFC以及相关草案，由于数据平面与控制平面的有效分离，EVPN定义了一套通用的控制面，但数据面可以使用不同的封装技术，目前已形成规范的数据平面分为三种：MPLS封装、PBB封装和NVO封装（VxLAN、NVGRE、MPLSoE）.2.2EVPN相关的关键名词EVPNInstance(EVI)：一个EVI就是一个EVPN实例，每一个EVI在PE设备上代表一个VPN，作用类似于L3VPN路由转发条目（VRF）。图5EVPN的元素组成关系EthernetSegment（ES）:EthernetSegment指的是“结点”连接的概念，表示CE侧的设备/网络。通常利用EthernetSegmentID（ESI）来标识每个ES，与CE侧的物理或逻辑接口进行一一对应。每个ES网络可以连接EVPN/MPLS核心网络中的多台PE设备以提供接入冗余，因而可以实现PE设备的主备冗余和多主需求。EthernetTag（ET）：每个EVI可以构成一个或者多个二层网络。当EVI包含了多个二层网络时，通过EthernetTag来区分这些二层网络。如果我们把二层网络看成是广播域的话（BroadcastDomain），那么ET就是用来区分不同广播域的。EVPNBGP路由和扩展团体属性：EVPN通过BGP协议在核心网络中进行标识和学习MAC地址或IP子网，因此在MPBGP协议族中新定义一个BGP地址族和扩展属性：AFI=25(L2VPN),SAFI=70(EVPN)，此地址族使用的EVPNNLRI（NetworkLayerReachabilityInformation：网络层可达性消息）使得PE设备可以传播和学习MAC地址和ES信息，而现有VPLS解决方案中只能必须严重依靠数据平面来学习。2.3EVPN服务模式前面说过，每个EVI，是可以连接一组或多组网络。这与EVPN的三种服务模式相关。VLAN-BasedServiceInterface这种模式下，每个EVI只有一个广播域，连接一组用户网络。如下图所示：这种模式隔离最好，每组网络都是独立的，缺点是太费EVI了，例如，一个用户如果需要10组L2VPN网络，就需要10个EVI，而通常SP能提供的EVI数量是有限的。这种模式下，在EVI内部类似于一个FLAT网络。每个MAC-VRF中只有一张MAC转发表。VLANBundleServiceInterface一个EVI有多个广播域，连接了多组用户网络，但是多组用户网络共用MAC转发表。如下图所示：这种模式，EVI内部类似于VLANwithSVL（SharedVLANlearning）。实际上广播域还是一个，通过逻辑分组区分不同的VLAN。在这种模式下，每个MAC-VRF只有一张MAC转发表，但是转发表类似于下图所示：端口5连接的CE对应了三个用户VLAN。由于多组用户网络共用MAC转发表，实际上是通过MAC地址来做转发决策，因此这种模式要求所有网络中MAC地址唯一。并且，EVPN连接的用户网络VLANID必须一致（如图所示）。举个例子，右边VID11的网络，有一条转发信息发送到了左边，左边为了实现多租户隔离，只能对某一个入口网络开放转发信息，这样才能做到多租户隔离，而由于只有一张转发表，EVI（更确切的说是MAC-VRF）只能允许VID11的入口网络使用这条转发信息。VLAN-AwareBundleServiceInterface一个EVI有多个广播域，连接了多组用户网络，但是每组用户网络有自己独立的MAC转发表。如下图所示：这种模式，EVI内部类似于VLANwithIVL（IndependentVLANlearning）。每个MAC-VRF有多张MAC转发表，每张MAC转发表对应一个用户网络。MAC地址和ET同时用来做转发决策，通过ET定位到MAC转发表，再通过MAC地址在转发表内寻址。这种模式允许多组用户网络之间存在重复的MAC地址，并且每组网络的VLANID可以不一致。例如，左边VID12的转发信息，可以直接发到VID11对应的MAC-VRF中。这种模式能解决上面两种模式的问题，不过就是实现相对来说复杂一些。2.4BGPEVPN消息类型EVPN采用MP-BGP作为路由/信令协议，并定义了一个新的地址族：AFI=25（L2VPN），SAFI=70（EVPN），此地址族使用的NLRI（NetworkLayerReachabilityInformation，网络层可达性信息）称为EVPNNLRI，EVPNNLRI当前共有5种子路由，前4种路由是在RFC7432中定义的，对于纯二层EVPN应用来说，这些路由已经足够。图6：EVPN的消息类型更好地支持二三层VPN桥接场景，在EVPNIPPrefix草案中又定义了RT_5路由。所谓基本单播路由，顾名思义，就是对于EVPN单播业务最基本的路由，它的基本性体现在两个方面：首先，在不涉及ES多归的情况下，EVPN单播业务只需这一种路由就完全足够了；其次，所有的单播业务，无论ES是单归还是多归，也无论它要桥接还是不要桥接，均需要此种路由。所谓冗余单播路由，也有两层含义，一是说这种路由对于EVPN单播业务并不是必须的，二是说只要涉及CE多归（即冗余）情况，这种路由对于EVPN单播业务就是必须的。所谓基本组播路由，强调的是它是一种不感知的组播路由，这类组播路由无法给不同的建立不同的组播树，实际上，EVPN目前还没有定义基于的组播路由，在这一点上显然是[VPLS-MCAST]走在了EVPN前头，［VPLS-MCAST］将基于的组播树称为“SelectivePMSITree”，对于基于业务实例（不感知）的组播树，［VPLS-MCAST］则是称之为“InclusiveMulticastTree”。DF选举的主要作用是防止远端PE过来的组播报文有多份被转发到同一个Segment中去，2.5BGPEVPN标签说明MPLSEVPN与VPLS最直观的区别在于，MPLSEVPN中没有了伪线式的P2P标签，取而代之的是MP2P单播标签，以及MP2P组播标签（入口复制）或P2MP组播标签（逐跳复制）。EVPN中单播和组播使用不同的标签进行转发，换句话说，由EVPN标签转发表就可以直接得出报文的类型是单播还是组播，再换个角度，协议中说的只有组播适用，通常可以理解成，只有在经过BUM标签转发时适用，协议中说的只有单播适用，通常可以理解成，只有在经过单播标签转发时适用。此外，在EVPN中，Broadcast/Unknown-unicast/Multicast是一样处理的，因此，组播标签又称为BUM标签。无论EVPN单播标签还是EVPN组播标签，都是EVPN私网标签性质，转发时还要打上公网隧道标签。单播标签分为MAC-based单播标签和MPLS-based单播标签两种类型，前者从单播标签表中只能获知EVPN实例的vpnid，后者则能从单播标签表中获知完整的AC侧转发信息。2.6一个应用场景的描述图7跨数据中心应用场景（1）PE1和PE2通过学习TYPE-3路由建立TUNNEL隧道，CE1发起ARP请求或免费ARP，ARP广播报文经由tunnel隧道发送到PE2，并广播给AC到达CE2，CE2回复ARP应答报文至CE1，CE间互相学习到了ARP：（2）ARP请求经过PE1时，形成本地MAC表项，出接口为fei-0/1/0/4.1，BGP把本地MAC路由加入路由表并通告给PE2：（3）PE2上收到PE1通告的MAC路由后同步给MAC，形成MAC条目，出接口为出接口evpn-tunnel（4）CE2可以看到从PE2学习到的ARP条目。3.EVPN的应用场景3.1数据中心互联DCI随着云计算的发展普及，数据中心间的流量出现爆发式增长，DCI（数据中心互联）网络成为运营商数据中心发展的重点。DCI场景是指跨DC（数据中心）的租户业务开通，可实现跨地域的层次化控制和业务编排以及组合的差异化服务和DCI网络的流量调优。DCI网络利用现有的MPLS/VPLS成熟技术，再结合创新和灵活的控制面EVPN技术，即在原始报文上再增加一层二层报文头，从而实现报文的大二层转发，实现数据流可以在所有数据中心之间自由互通，建设高速和优化的DCI网络。这些数据中心所具备的IP/MAC移动性控制平面信令服务于数据中心间的虚机迁移；同时各PE上的本地DC网关对路由进行优化，以便外部流量被发送到最近的出口上；在同一接口或VLAN上集成的L2交换和L3路由实现了虚机上灵活的业务部署。3.2集成的L2/L3服务EVPN技术使运营商能够在单一的接口和VLAN上向客户提供整合的L2和L3业务，优势在于：运营商只需启用一种网络技术即可开展多业务融合，而不需要多种VPN协议，业务部署简单易行，同时有效降低网络规划和运维的难度。比如：EVPN-VXLAN可工作于任何IP网络之上，为企业同时提供灵活的L2和L3VPN进行站点互联。该应用场景仅仅要求站点间IP互通，无论中间经过多家网络提供商的IP网络，无需部署MPLS或其它特殊的配置要求；在EVPN中的路由和MAC/IP通告由PE间的IBGP来控制；运营商的网络对于EVPN而言是完全透明的，而EVPN拓扑对于运营商而言也是完全透明的，广域网中所能看到的仅仅是IP流量。EVPN使运营商能够在单一的接口和VLAN上向客