基于SDN的网络随选系统 基于以太网VPN方式的技术要求

3基于SDN的网络随选系统基于以太网VPN方式的技术要求本文件规范以太网VPN(EVPN)在SDN随选网络中的应用场景和封装方式。本文件适用于SDN数据通信网络系统。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。YD/TxXXX-xXXX基于边界网关协议/多协议标记交换的以太网虚拟专用网(BGP/MPLSEVPN)技术要求IETFRFC7432基于BGPMPLS的以太网VPN(BGPMPLS-BasedEthernetIETFRFC8365一种使用以太网VPN(EVPN)的网络虚拟化0verlay解决方案(ANetworkIETFRFC9136以太网MPN(EVPN)中的IP前级通告(IPPrefix3术语和定义本文件没有雷要界定的术语和定义下列缩略语适用于本文件：广播域BGPBordarGateway边界网关协议宽带接入服务器核心路由器数据报拥塞控制协议ESEthernetS以太网段EVIEthernetVPNInstGREGenericRoutin通用路由封装IGPInteriorGatewayProtocol内部网关协议IMETInclusiveMultica包容多播以太网标签IPv4InternetProtocolversion互联网协议第四版IPv6InternetProt互联网协议第六版ISISIntermediatesystentointermedi中间系统到中间系统ISPInternetService互联网服务提供商LDPLabelDistribu标签分发协议LSPLayeredServ分层服务提供程序MPISMulti-ProtocolLab多协议标签交换4MWENetworkVirtualizationEntity网络虚拟化实体Encapsulation由封装NVONetworkVirtualizationOverlay网络虚拟化覆盖0SPF0penShortestPathFirst开放式最短路径优先PEProviderEdge运营商边缘设备PMSIP-MulticastServiceInterface运营商多播服务接口Qo5QualityofService服务质量RDRouteDistinguisher路由标识RIBRoutingInformationBase路由信息数据库路由目标StreamControlTransnission流控制传输协议Software-DefinedNetwork软件定义网络软件定义广域网传输控制协议TNITenantNetworkID租户网络标识符TORTopofRack架顶交换机UDPUserDatagramProtocol用户数据报协议MVirtualMachine虚拟机VXLANNetworkIdentifVXLAN网络标识符虚拟私有云VPNVirtualPrivateNetwork虚拟专用网络VXLANVirtualExtensibleLAN扩展虚拟局域网5SDN随选系统下的EVPN技术要求5.1SDN随选系统下的典型SD-AN应用场景主要应用于软件定义广域网的场景，实现用户站点到云端网络(用户的公有云VPC)以及其他用户站点的VPN组网。主要在SD-WAN的业务网关之间部署。6图1SD-AN应用场景示意图如图1所示，我们可以在局端机房部署业务的网关设备(可以根据具体应用场景选择传统硬件设备或者虚拟化设备),作为业务的锚点，承担诸如终结接入电路、业务路由选择以及NAT等业务功能。在业务网关之间部署EVPN,自动化的建立VXLAN隧道并通告客户私网网段路由或者云内VPC路由，保证连通性。业务网关之间的网络连通性由底层网络保证，通常需要跨域单个或多个网络服务提供商ISP的城域网骨干网接下来本文会结合上述典型的SDN随选系统应用场景，列出的对EVPN的技术要求要5.2技术要求5.2.1对数据面链路封装的要求由于通常的业务路径需要穿越ISP网络，包括城域网、骨干网甚至多家ISP管理的网络，因此需要一种隧道封装方式来承载数据报文，这种封装方式需要尽可能的简化对底层网络的影响，不需要底层网络设备(如ISP在城域网或者核心网的BRAS、CR等路由器设备)在传输路径中对业务数据报文做过多的处理(如MPLS便不符合此要求)。同时考虑到多设备多厂商的兼容问题，标准不能仅支持单一的封装方式，需要支持多种根据现在业内技术发展的主流技术，建议使用VXLAN或者NVGRE等封装方式。5.2.2对三层路由的要求传统的以太网VPN仅支持32位主机地址的路由方式，但是在SDN随选系统下的应用场景中，用户业务路由的主要形式为IP前级路由，因此EVPN需要增加对IP前级路由的支持以满足业务要求5.2.3对业务保护的要求在服务提供中，在满足用户业务建立这一基础要求之上，最核心的需求就是保证业务的可靠性。而抛开底层网络的稳定性，聚焦在EVPN技术本身，可以发现在SDN随选系统应用场景中，作为业务锚点的业务网关是业务系统的核心，也是业务能否稳定运行的关键，因此系统需要能够提供对核心业务网关的三层保护机制，保证业务的健壮性。VXLAN和NVGRE封装都是用于在公用IP数据网络的虚拟边缘之间传输数据包的转发面封装技术。这些封装技术中，每一个数据包都包含+个标识特定所属NVO的标识号 VXLAN封装技术是基于UDP的一种封装技术，它包含一个跟随在UDP报头之后的一个8字节的VXLAN报头。VXLAN提供24位的VNI,因此他可以将VNI与租户网络标识符(TenantNVGRE是一种基于通用路由封装协议(GRE)的封装技术，NVGRE没有采用标准传输协议(TCP/UDP),而是借用GRE.NVGRE使用GRE头部的低24位作为VSID.同VXLAN中的VNI相同，VSID同样可以和租户网络标识符(TND进行一比一映射。7通过后面的章节可以看到，无论是使用VXLAN封装还是NVGRE封装，除了BGP中用于表示封装方式的字段(扩展团体属性)不同之外，以太网VPN的路由编码方式都是相同的。但是，NVE部署位置的不同(TOR或者虚拟化层)以及是否支持多归(Multi-homing)会对以太网VPN产生潜在的影响。6.2广措域(BD)与以太网VP在这种模式下，每一个有VNI(或者VSID)标识的以太网广播域都会被映射到一个独立的EVI。这种模式被称为基于VLAN(VLAN-Based)的服务模式，即每一个面向租户的逻辑子接口或者物理接口(使用VNI或VSID标识)都会和一个EVI一一映射。如果使用此种模式，每一个NVE对应的VNI都需要一个RD和RT。这种模式的优点是可以利用BGP的RT约束机制将注入路由的传播范国限制在指定的EVI中。这种模式的缺点是如果RD和RT不能自动根据VNI生成，则会产生额外的开销在这种模式下，由特定VNI所标识的多个子网被映射到同一个EVI中。比如，如果一个租户拥有多个由VNI标识的子网，那么该租户下所有的VNI都会被映射到同一个EVI中，在这种情况下，一个EVI所表示的不再是一个子网而是一个租户。这种模式被称为VLAN捆绑服务(VLAN-awarebundl这种模式的优点是不需要每一个VNI都要对应一个RDIRT.但是如果系统具备根据VNI自动生成RDIRT的能力，则该优点并无意义，这种模式的缺点是EVI中会存在特定VNI所不需要的路由。在这种模式下，MAC-VRF表在控制面用RT来标识，每一个MAC-VRF所对应的桥接表(Bridgetable)在控制面使用一个<RT,以太网标签ID>两元组来标识：与此同时，VNI在数据面用来标识一个特定的桥接表。在基于MPIS的EVPN中，一个标记转发表的MPLS标签是由出口PE设备通过EVPN控制面分配的，并且此标签在由入口PE装载到MPLS报头中，此标签在出口PE收到数据包之后的处理过程中会被使用到，这个处理过程同出口NVE处理VNI的过程非常相似，唯一不同的是MPLS标签是本地有效而VNI是全局有效。因此，为了明确的支持本地分配的VNI,MACIP通告路由中的MPLS标签字段、以太网自动发现路由中的MPLS标签字段以及IMLT路由中的PMSI隧道字段都被用来承载VNI信息，以上MPLS标签字段会被关联为VNI字段。该字段同时适用于本地VNI和全局VNI,同时全部24位都会被用来作为VNI的编码对于基于VLAN的服务模式，MAC/IP通告路由、以太网自动发现路由以及IMET路由中的以太网标签ID字段必须被置零。对于VLAN捆绑服务模式，MAC/IP通告路由、以太网自动发现路由以及IMET路由中的以太网标签ID字段被用于标识MAC-VRF表中的一个特定的桥接表，所有的以太网标签必须被配置到所有包含该EVI的PE上。为了标明所使用的数据面封装形式，所有类型的路由条目都必须包含BGP协议中的扩展团体属性为了区别一个通告节点是否只支持MPLS封装方式，MPLS隧道封装类型(encapsulation8tunneltype)字段依然需要被保留，如果一个通告节点只支持MPLS封装方式，那么它无需通告封装类型这一扩展团体属性，如果该属性不存在，则系统会默认为MPLS或者其他预先设定好的封装方式。多协议网络可达性信息(MP_REACH_NLRI)中的NHP(NextHop)字段可以被设置7EVPN对多种数据面封装的支持BGP中的扩展团体属性表达了数据面封装类型，每一个EVI中的NVE都能够知道该EVI中其他所有NVE所能够使用的封装类型。对于一个给定的EVI,每一个NVE都可以支持多种数据面封装类型。如果入口NVE和出口NVE所支持的封装类型有交集，则入口NVE可发送一个帧到出口NVE。当一个PE通告它支持多种封装模式，他通告的所有封装模式必须采用同样的EVPN处理流程。比如，VXLAN和NVGRE两种封装方式的EVPN处理流程相同，因此PE可以通告它同时支持这两种封装方式。但是PE一定不能通告它同时支持VXLAN和MPLS两种数据面封装方式，这两种封装方式采用了不同的EVPN处理流程，比如在同一条路由中，MPLS标签字段只能在MPLS标签和VNI两种信息中任选其一，不能共存，同时对于水平分割的处理机制，两种封装方式也不尽相同。一个使用了组播树来发送组播或者广播帧的入口节点会为每一种不同的封装维护独立的组措树。系统的管理员有责任确保某一EVI中的所有NVE都支持至少一种相同的封装方式，如果这一条件没能成立，会导致业务的不完整或者失败。使用BGP扩展团体属性来标识封装模式也为这一条件的成立与否提供了一种检测机制。BEVPN对路由前缀的支持原始的EVPN定义了对MACIP的路由通告，即MAC/IP通告路由。在这类路由中，MAC地址会和IP地址一同被通告。为了增加对IP前缀的支持，引入了IP前级路由(IPPrefixRoute),它用于通告引入的外部路由，也可以通告主机路由信息。9EVPN中的NVE保护模式-单归保护9.1单归场景介绍本章描述单归模式下的EVPN处理流程，此模式多出现在NVE与下挂设备同时部署在相同的虚拟化层(Hypervisor)中的应用场景。当一个NVE和它下挂的虚拟机或者主机部署在同一个物理设备上，他们之间的链路为虚拟的并且分担相同的风险。即主机/虚拟机通常不是多归的，即使它们是多归的，这种多归也只是一种宿主机所提供的自有机制，这种机制对于其他的NVE或者主机是透明的；因此，它不需要任何一种特定的协议来支持。下面的章节描述当NVE部署在虚拟化层上，并且使用VXLAN或者NVGRE作为数据面封装方式时，对EVPN处理流程的影响。9.2对BGP路由类型和属性的影响在不同的数据中心分属不同的管理域的场景中，这些数据中心通过一个或多个骨干网连接，RD属性必须是每个EVI或者每个NVE唯一的。换句话说，即使全局VNI是由超过一个管理域分别管理的，RD值也必须是唯一的；或者一个VNI具有本地含义的时候，唯一的RD也是必须的。因此，唯一的RD值应用于所有场景。当NVE部署在虚拟化层上时，EVPNBGP路由中关于多归的相关属性便不再需要了。这将会减少所需要的路由类型和属性，仅保留以下内容——MAC/IP通告路由(MAC/IPAdver——IMET路由(InclusiveMulticastEthernetTag-—MAC迁移扩展团体属性0MACMobilityExtendedComunity):——默认网关扩展团体属性(DefaultGatewayExtendedCommunity).为了能够使单归入口NVE保留在快速收敛、别名以及备用路径方面的优势，入口NVE需要能够接受并处理以太网自动发现路由。9.3对EVPN处理流程的影响当NVE部署在虚拟化层上时，EVPN中与多归相关的处理程序便不再需要，EVPN仅需支持如下功能：-—学习本地下挂主机/虚拟机的MAC地址； 使用WC/IP通告路由通告本地学习到的MAC地址 处理通过BCP协议学习到的对端地址：-—处理MAC地址迁移的能力。为了能够使单归入口NVE保留在快速收敛、别名以及备用路径方面的优势，单归入口NVE需要能够保留对以太网自动发现路由的处理能力。10EVPN中的NVE保护模式-多归保护10.1多归场景介绍本章描述多归模式下NVE的处理流程，此模式多出现在NVE下挂的主机/虚拟机多归于不同的NVE的应用场景。多归NVE可以运行在“多活(All-Active)“或者“单活(Single-Active)“两种冗余模式下。当用户的主机单归于一台NVE时，则该场景会变得同NVE部署在虚拟化层上的场景非常相似，对EVPN在功能上的需求也相同10.2EVPN多归特性10.2.1多归中的ES自动发现EVPN中使用同一以太网段(EthemetSegment,同一主机虚拟机通过一个LAG连接到一组NVE,这组连接便称为ES)的NVE能够通过BGP路由交换的方式自动发现同一ES连接的其他NVE。10.2.2快速收敛和批量撇回EVPN定义了一种快速且高效的向对端发送信令的机制，该机制可在链接发生故障的时候快速更新设备的转发表。这是通过NVE为每一个的ES发送以太网自动发现路由来实现的。一旦一个ES的链接出现故障，NVE会立刻撒销该ES相关的以太网自动发现路由，这会导致所有相关的NVE都会收到这条撒销路由并且更新自己转发表中的相关表项，如果一台NVE没有收到其他NVE通告的有关于相同ES的以太网自动发现路由，那么该NVE便会简单地认为该ES的相关转发条目己经失效并据此更新转发表。如果一台主机多归于两台或者更多的NVE,并运行在“多活”的冗余模式下，那么当他在发送一个BUM(广播，多播以及未知单播)报文到这些NVE时，需要确保不会发生环路(即数据包通过另一台NVE转回原主机)。防止出现这种环路的过滤机制被称之为水平分割。10.2.4别名和备用路径当一个站点多归于多台NVE时，可能只有一台NVE学习到了所有的相关地址，即使一个站点多归于不同的NVE时，远端NVE仍然只能从一台NVE学习到所有的地址，导致远端NVE不能实现负载分担。为解决负载分担，EVPN引入了“别名(Aliasing)”。即使一台NVE没有学习到与ES连接的站点地址，也能通告对端自己可以通到该ES下的站点。以太网自动发现路由被用来进行这种通告。对端收到以太网自动发现路由后，会将之前收到的地址通告路由中的ESI编号和以太网自动发现路由中的ESI编号作对比，如果相同，便将更新转发表。备用路线与此类似，只是用于“单活”冗余模式。该模式下，远端NVE收到以太网自动发现路由后，会将之前收到的地址通告路由中的ESI编号和以太网自动发现路由中的ESI编号作对比，如果相同，便装载备用线路。10.2.5指定转发器(DF)选举在“多活”冗余模式下的多归场景中，为了防止出现报文大量复制的情况，EVPN允许指定一台NVE作为指定转发器(DesignedForwarder)来负责BUM报文的转发。连接到同一ES的多台NVE通过发送ES路由，以获得其他NVE的信息(如VID等配置好