EVPN-VXLAN 桥接叠加网络中的 VXLAN 隧道上的第 2 层协议隧道
总结 在 EVPN-VXLAN 桥接叠加 (BO) 网络中,启用从接入接口到 VXLAN 隧道目标的协议控制帧的第 2 层 (L2) 协议隧道 (L2PT)。
基于 VXLAN 隧道的 L2PT
L2PT 通过设备之间的桥接网络透明地传输桥接协议数据单元 (BPDU),就好像这些设备直接连接到这些协议控制帧一样。传输路径中的节点不会捕获和处理隧道协议的控制帧。
EVPN-VXLAN 桥接叠加 (BO) 网络中的 VXLAN 隧道有助于将一个客户的流量与网络中其他客户的流量隔离开来。
VXLAN 隧道上的 L2PT 使 EVPN-VXLAN 桥接叠加网络中的设备能够跨网络中的 VXLAN 隧道端点 (VTEP) 透明地将标记或未标记的协议控制帧传输到目标。VXLAN 隧道将每个客户的流量分开,而 L2PT 则可防止传输路径沿线上网络中的设备处理协议帧。请参阅 图 1:
的 L2PT
您可以在访问接口上为要通过 EVPN-VXLAN 网络建立隧道的协议启用 L2PT。当控制帧进入该接入接口上的设备时,设备不会将这些帧捕获到控制平面进行协议处理。相反,设备使用 VXLAN 媒体访问控制 (MAC) UDP 报头和 VXLAN 网络标识符 (VNI) 封装帧,并通过关联的 VXLAN 隧道透明地将帧泛洪到目标主机。换句话说,EVPN-VXLAN 网络中的设备通过网络发送这些帧的方式与发送数据包的方式相同。
协议控制数据包可以是带有 VLAN 标记的,也可以是未标记的。设备使用以下 VNI 值进行 VXLAN 封装:
-
VLAN 标记 — 设备使用与控制数据包的 VLAN 对应的 VNI。
-
未标记 — 设备使用与本机 VLAN 对应的 VNI。
目标 VTEP 上的设备终止 VXLAN 隧道,解封装帧,然后将帧泛洪流向目标接入接口。
在以下情况下,您可以使用 VXLAN 上的 L2PT:您的网络通过 EVPN-VXLAN 网络中的远程连接将主机连接到叶设备,并且这些设备使用 LLDP 来发现 EVPN-VXLAN 邻居关系。
要为通过指定接入接口名称传入的 L2 协议控制帧配置此功能,必须在层次结构级别配置 [edit protocols layer2-control l2pt interface interface-name] 以下两个语句:
-
destination vxlan-tunnel—通常,对网络中 VXLAN 隧道中的网络目标启用 L2PT。 -
protocol (all | protocol-name)— 指定要隧道的 L2 协议。使用该all选项对所有受支持的协议进行隧道传输,或为要通过隧道传输的每个协议包含单独的protocol语句。
有关如何配置此功能的更多信息,请参阅 配置和验证基于 VXLAN 的 L2PT 。
L2PT 优于 VXLAN 隧道的优势
-
为网络管理员提供安全选项,以在 EVPN-VXLAN BO 交换矩阵中扩展带标记或未标记的 L2 BPDU。
基于 VXLAN 的 L2PT 支持详细信息
有关可以将设备配置为通过 VXLAN 隧道进行隧道传输的 L2 协议列表,请参阅 支持的隧道协议 。
在 EX 系列和 QFX5120 交换机上,您无需显式启用设备即可在 STP 协议家族中通过隧道传输 BPDU。我们在这里将 STP 系列协议称为 xSTP(包括 STP、MSTP、RSTP、VSTP 和 PVST/PVST+)。默认情况下,这些设备会将 xSTP 控制 BPDU 泛洪到 VXLAN 隧道中。如果您不希望设备通过 VXLAN 通过隧道传输 xSTP 控制 BPDU,则可以在入口接入接口上配置 BPDU 保护功能。有关 BPDU 保护功能的详细信息,请参阅 bpdu-block 和 bpdu-block-on-edge 。
我们支持 EVPN-VXLAN BO 网络中基于 VXLAN 隧道的 L2PT,具体如下所示:
-
如果在接口上为 L2PT over VXLAN 启用 L2PT 协议,则无法为设备上的数据流量配置同一协议。在这种情况下,设备会引发提交错误。
-
为受支持的协议启用 L2PT over VXLAN 时,设备会使用该协议目标 MAC 地址透明地转发协议控制帧。如果为与一个或多个其他受支持协议具有相同目标 MAC 地址的协议启用 L2PT,设备将透明地转发所有这些协议的控制帧。
例如,LACP 和 802.3AH 协议使用相同的目标 MAC 地址 01:80:C2:00:00:02。如果为 LACP 配置 L2PT over VXLAN,设备将建立隧道 802.3ah 协议帧以及 LACP 帧。(有关每个受支持协议的标准目标 MAC 地址,请参阅 支持的隧道协议 。)
-
设备可以对有 VLAN 标记或未标记的 L2 协议帧进行隧道传输。我们根据 示例:在 EVPN-VXLAN 叠加网络中通过隧道传输 Q-in-Q 流量中所述的用例,为 Q-in-Q 隧道流量提供支持。
要通过 VXLAN 隧道发送标记的控制 BPDU,设备将使用与标记帧中的 VLAN 对应的 VNI。要通过 VXLAN 隧道发送未标记的控制 BPDU,设备将使用本机 VLAN 及其相应的 VNI。
注意:要使基于 VXLAN 的 L2PT 正常工作,您必须在接口上将 VLAN 配置为本机 VLAN,并为本机 VLAN 配置一个 VNI 映射。
-
指定的接入接口可以是符合以下条件的接口:
-
物理接口或聚合以太网 (AE) 接口。
-
以企业风格或服务提供商风格配置。(请参见 灵活以太网服务封装 和 了解 EVPN-VXLAN 对灵活以太网服务的支持。)
-
单宿主或多宿主连接。
-
-
您不能在同一接口上配置 VXLAN 上的 L2PT 和标准 L2PT(用于相同或不同的协议)。 有关标准 L2PT 功能(不通过 VXLAN 封装隧道)的详细信息,该功能使用 MAC 重写操作来执行 L2 隧道。此处描述的 MAC 重写语句和命令仅适用于标准 L2PT 功能,不适用于基于 VXLAN 的 L2PT。
但是,您可以在一个接口上配置 Vxlan 上的 L2PT,并在另一个接口上配置标准 L2PT(适用于相同或不同的协议)。您还可以使用 show l2pt 接口 命令查看接口是否启用了 L2PT over VXLAN 或标准 L2PT。在目标输出字段中,该命令将显示通过 L2PT over VXLAN 启用的接口的 VXLAN-TUNNEL,或使用标准 L2PT 启用的接口的 MAC 重写地址。
支持的隧道协议
您可以将设备配置为对 表 1 中列出的任何协议以透明方式传输 BPDU。该表包括您配置以为每个受支持的协议启用 L2PT 的选项,以及协议的标准目标 MAC 地址。
如前所述,设备会根据目标 MAC 地址对协议控制帧建立隧道传输。因此,如果为具有该目标 MAC 地址的任何一个协议启用 L2PT,设备将通过隧道传输共享相同目标 MAC 地址的所有协议。
L2PT over VXLAN 支持详细信息 说明,EX 系列和 QFX5120 交换机默认将 xSTP BPDU 泛洪到 VXLAN 隧道,因此在这些设备上,您无需为 xSTP 协议显式启用 L2PT。因此,我们没有在 表 1 中列出为 xSTP 协议启用 L2PT 的选项。
| 协议 |
协议名称配置选项 |
协议 MAC 地址 |
|---|---|---|
| 802.1X—IEEE 802.1X 身份验证 |
IEEE 8021x |
01:80:C2:00:00:03 |
| 802.3ah — IEEE 802.3ah 操作、管理和维护 (OAM) 链路故障管理 (LFM) |
IEEE8023ah |
01:80:C2:00:00:02 |
| 思科发现协议 (CDP) |
CDP |
01:00:0C:CC:CC:CC |
| 以太网本地管理接口 (E-LMI) |
埃尔米 |
01:80:C2:00:00:07 |
| 通用属性注册协议 (GARP) VLAN 注册协议 (GVRP) |
GVRP |
01:80:C2:00:00:21 |
| 链路聚合控制协议 (LACP) |
拉克普 |
01:80:C2:00:00:02 |
| 链路层发现协议 (LLDP) |
LLDP |
01:80:C2:00:00:0E |
| 多 MAC 注册协议 (MMRP) |
毫米啪啪 |
01:80:C2:00:00:20 |
| MVRP VLAN 注册协议 (MVRP) |
MVRP |
01:80:C2:00:00:21 |
| 生成树协议 (STP) 系列协议:
|
无 CLI 选项 — 默认情况下,设备会通过 VXLAN 隧道对这些协议进行大量控制 BPDU。 | 01:80:C2:00:00:00 01:00:0C:CC:CC:CD |
| 单向链路检测 (UDLD) |
乌德勒德 |
01:00:0C:CC:CC:CC |
| VLAN 中继协议 (VTP) |
VTP |
01:00:0C:CC:CC:CC |
配置和验证基于 VXLAN 的 L2PT
要启用此功能,请在层次结构级别的 l2pt 节 [edit protocols layer2-control] 中配置语句。
在设备上配置并验证 L2PT over VXLAN,如下所示: