14、VXLAN BGP EVPN 中的多租户技术解析

最新推荐文章于 2025-12-08 10:11:37 发布

原创最新推荐文章于 2025-12-08 10:11:37 发布 · 748 阅读

19 ·

CC 4.0 BY-SA版权

文章标签：

#VXLAN # BGP EVPN # 多租户

VXLAN BGP EVPN 中的多租户技术解析

1. 路由区分器与自动推导

在网络配置中，路由区分器（Route Distinguisher，RD）起着关键作用。例如，执行如下命令：

LEAF1# show bgp l2vpn evpn vni-id 30001 | include "Route Distinguisher"

输出结果为：

Route Distinguisher: 10.10.10.1:32777            (L2VNI 30001)

RD 的自动推导采用类型 1 格式，结合 RID 回环 IP 和内部 MAC/IP VRF ID。内部 MAC VRF ID 由映射到 L2VNI 的 VLAN ID 加上 32767 得出。对于路由目标（Route Targets，RT）的自动推导，格式为 ASN: VNI，如 RT: 65501:30001。

2. 二层多租户操作模式

VXLAN 中的二层多租户支持两种操作模式：
- VLAN 导向模式 ：这是一种传统模式，VLAN 是实现 VNI 映射的基础。边缘设备的完整配置遵循 VLAN 语义，包括创建 VLAN 和使用交换虚拟接口（SVI）提供潜在的三层服务。在每交换机 VLAN 模式下，VLAN 承载相应的 VNI，交换机根据指定配置将以太网映射到 VXLAN。此模式下，桥接域从本地以太网段的 VLAN 寻址延伸到封装后的 VNI。例如：

vlan 10
  vn-segment 30001

不过，该模式存在每交换机最多 4K 个 VLAN 到 VNI 映射的限制。通常，映射到 VNI 的 VLAN 与本地以太网端口接收的 VLAN 相同，但也支持转换选项。
- 桥接域（BD）导向模式 ：在这种模式下，VLAN 位于本地以太网段，寻址保持不变，封装方式明确。经典以太网和 VLAN 使用 dot1q 封装来标识线路 VLAN，而在全局 VXLAN 段（VNI），通过 VNI 进行特定命名。使用封装映射配置文件，边缘设备对线路上的标记、封装编号和命名变得完全无关。例如：

encapsulation profile vni from10to30001
   dot1q 10 vni 30001

BD 导向模式以桥接域分配硬件资源，理论上 VNIs 数量受交换机硬件桥接域表大小限制，通常为 16K 到 32K，不再有每交换机 4K 个 VNI 映射的限制。与 VLAN 导向模式相比，BD 导向模式使用桥接域而非 VLAN，实现桥接域接口（BDI）而非 SVI。

下面是两种模式的对比表格：
| 模式 | 基础构建 | 接口实现 | 映射限制 |
| ---- | ---- | ---- | ---- |
| VLAN 导向模式 | VLAN | SVI | 每交换机最多 4K 个 VLAN 到 VNI 映射 |
| BD 导向模式 | 桥接域 | BDI | 理论上受硬件桥接域表大小限制（16K - 32K） |

在 BD 导向模式下，流量从线路上的 VLAN 到达边缘设备后，会映射到边缘设备的硬件桥接域，并分配一个 VNI 封装后发往 VXLAN 核心。配置时，需将 VNI 成员资格分配给相应的桥接域，如：

vni 30001
bridge-domain 5673
  member vni 30001

然后，为面向本地 LAN 段的接口创建虚拟服务实例（VSI），并引用适当的封装配置文件：

interface Ethernet 1/8
  no switchport
  service instance 1 vni
    encapsulation profile from10to30001 default

3. VRF 在 VXLAN BGP EVPN 中的应用

虚拟路由转发（VRF）是一种在单个物理设备上创建逻辑分离路由器实例的网络交换机构建。它能在给定物理网络中分离路由空间，提供路径隔离，并可控制不同实例间的通信。
- VRF Lite ：这是一种将 VRF 映射到 VLAN 标识符的常见方法。但该方法在可扩展性和配置复杂性方面存在挑战。每个 VRF 有自己的路由实例和专用路由接口，配置需与对等/相邻设备对齐。例如：

Router #1
vrf context VRF-B
interface eth1/10.1002
  encapsulation dot1q 1002
  vrf member VRF-B
  ip address 10.2.2.1/24
  ip router ospf 100 area 0
router ospf 100
  vrf VRF-B

Router #2
vrf context VRF-B
interface eth1/10.1002
  encapsulation dot1q 1002
  vrf member VRF-B
  ip address 10.2.2.2/24
  ip router ospf 100 area 0
router ospf 100
  vrf VRF-B

MPLS Layer 3 VPNs ：多协议标签交换（MPLS）的三层 VPN 为三层多租户提供了可扩展的解决方案。然而，由于数据中心交换机传统上不支持 MPLS，其在数据中心的应用有限。

与传统方法相比，VXLAN BGP EVPN 结合分布式子网和集成二层、三层多租户，能将集中式网关的首跳路由决策转移到边缘设备，实现分布式任播网关功能，将首跳路由范围从 IP 子网扩展到 IP 主机。MP - BGP EVPN 与 VXLAN 结合，通过多协议 BGP 交换信息，利用 VXLAN 封装和 VNI 命名空间，结合集成路由和桥接（IRB）提供的更高粒度，实现高效的基于主机的路由，避免同一 VXLAN 织物内节点间的流量绕路。

下面是 VRF 相关技术对比的 mermaid 流程图：

graph LR
    A[VRF 技术] --> B[VRF Lite]
    A --> C[MPLS Layer 3 VPNs]
    A --> D[VXLAN BGP EVPN]
    B --> B1(配置复杂)
    B --> B2(扩展性差)
    C --> C1(数据中心应用受限)
    D --> D1(分布式路由)
    D --> D2(高效主机路由)

4. 三层多租户操作模式

VXLAN 中的三层多租户采用单一操作模式，在 VLAN 或 BD 导向的交换机 CLI 上存在一些小差异，但总体概念相同。
- VRF 配置 ：基于 VXLAN 的三层多租户部署中的 VRF 配置包括 VRF 名称和相应的 VNI（L3VNI）。在 BGP EVPN VXLAN 网络中，VRF 内的所有路由流量都使用 L3VNI 封装，以此区分同一子网的路由流量和桥接流量（桥接流量的 VXLAN 头中携带 L2VNI）。例如：

vrf context VRF-A
  vni 50001
  rd auto
  address-family ipv4 unicast
    route-target both auto
    route-target both auto evpn
  address-family ipv6 unicast
    route-target both auto
    route-target both auto evpn

VRF 的 RD 自动从 BGP 路由器 ID 和内部 VRF 标识符推导得出，RT 也以类似二层 VNI 的方式自动推导。使用 BGP ASN 和 L3VNI 可使 RT 值对给定 VRF 唯一，且在同一 VRF 的所有边缘设备上保持相同。
- 配置要求 ：要实现 VXLAN BGP EVPN 中的三层多租户，需完成以下步骤：
1. 完成 VRF 上下文配置。
2. 启用 VRF 的 BGP EVPN 配置。
3. 使与 VRF 关联的 L3VNI 完全激活，需满足：
- 将 L3VNI 与 VTEP（NVE）接口关联。
- 将面向核心的 VLAN 或桥接域与 L3VNI 关联。
- 创建相应的三层接口（SVI 或 BDI）。
- 将该三层接口与 VRF 关联。

例如：

router bgp 65501
  vrf VRF-A
   address-family ipv4 unicast
     advertise l2vpn evpn

interface nve1
  member vni 50001 associate-vrf

5. VRF 相关的 VLAN 和桥接域配置

VXLAN 封装需要在内部 MAC 头中填充 MAC 地址，这使得与三层 VRF 关联的二层桥接域或 VLAN 得以映射。VLAN 或桥接域模型为跨 VXLAN 封装创建三层服务提供必要的硬件资源。
- VLAN 导向命令行接口 ：

# VLAN for VRF
vlan 2501
  vn-segment 50001

# Layer-3 Interface for VRF
interface Vlan2501
  no shutdown
  mtu 9216
  vrf member VRF-A
  ip forward

桥接域导向命令行接口 ：

# Bridge-Domain for VRF
vni 50001
bridge-domain 2501
  member vni 50001

# Layer-3 Interface for VRF
interface bdi2501
  no shutdown
  mtu 9216
  vrf member VRF-A
  ip forward

在这些配置中，VLAN 或桥接域在边缘设备中创建硬件资源，三层接口提供路由跳的语义，VRF 成员资格将其唯一分配给 VRF。配置 MTU 可确保包括巨型帧在内的所有路由流量都能转发。需注意，不同平台可能有特定命令和细微差别，需参考相应的平台发行说明和配置指南。

综上所述，VXLAN BGP EVPN 为数据中心的多租户提供了强大而灵活的解决方案，通过合理配置 VRF、VLAN、桥接域等元素，可实现高效的二层和三层多租户功能。

VXLAN BGP EVPN 中的多租户技术解析

6. 二层与三层 VNI 的关键注意事项

在配置 VXLAN BGP EVPN 网络时，二层 VNI（L2VNI）和三层 VNI（L3VNI）的配置有严格要求。L2VNI 和 L3VNI 的值不能重叠，即用于二层实例的 VNI 配置绝不能与三层实例的相同。这一规则同样适用于路由目标（RT）的配置。

对于路由区分器（RD），虽然最佳实践是保持层配置的分离，但并非绝对必要。当使用外部 BGP（eBGP）作为底层协议时，在某些情况下 RT 无法自动生成。因为在 eBGP 底层中，不同边缘设备的自治系统号可能不同，所以需要手动配置 RT，且各边缘设备之间的 RT 必须匹配，这是唯一需要手动配置 RT 的情况。

下面是一个关于二层与三层 VNI 配置限制的表格总结：
| 配置项 | 限制条件 |
| ---- | ---- |
| VNI | L2VNI 和 L3VNI 值不能重叠 |
| RT | 二层和三层实例的 RT 配置不能相同，eBGP 下需手动配置且匹配 |
| RD | 建议保持层配置分离，但非强制 |

7. 多租户技术的优势与价值

VXLAN BGP EVPN 多租户技术为下一代数据中心带来了显著的优势和价值。
- 灵活性与扩展性 ：通过 VXLAN 封装和 VNI 命名空间，网络可以轻松扩展，支持大量的租户和不同的网络拓扑。二层多租户的两种操作模式（VLAN 导向和 BD 导向）提供了灵活的配置选项，能够适应不同的网络环境和需求。三层多租户则通过分布式路由和任播网关功能，将首跳路由范围从 IP 子网扩展到 IP 主机，提高了网络的灵活性和可扩展性。
- 高效的资源利用 ：利用 VRF 技术，网络可以在单个物理设备上创建多个逻辑分离的路由器实例，实现路径隔离和资源共享。这使得数据中心能够更高效地利用硬件资源，降低运营成本。
- 简化管理 ：多协议 BGP 作为控制平面协议，通过分配唯一的 RD 和 RT，能够在单个 BGP 对等会话中传输路由信息，并通过导入和导出策略进行路由控制。这种集中化的管理方式简化了网络配置和维护，减少了人为错误的可能性。

下面是一个展示多租户技术优势的 mermaid 流程图：

graph LR
    A[VXLAN BGP EVPN 多租户技术] --> B[灵活性与扩展性]
    A --> C[高效的资源利用]
    A --> D[简化管理]
    B --> B1(支持大量租户)
    B --> B2(适应不同拓扑)
    C --> C1(逻辑分离实例)
    C --> C2(资源共享)
    D --> D1(集中化路由控制)
    D --> D2(减少配置错误)

8. 实际应用案例分析

为了更好地理解 VXLAN BGP EVPN 多租户技术的实际应用，我们来看一个简化的案例。假设一个大型数据中心需要为多个租户提供网络服务，每个租户都有自己的二层和三层网络需求。

二层网络配置 ：采用 BD 导向模式，为每个租户创建独立的桥接域和 VNI。例如，租户 A 的 VLAN 10 映射到 VNI 30001，配置如下：

encapsulation profile vni from10to30001
   dot1q 10 vni 30001
vni 30001
bridge-domain 5673
  member vni 30001
interface Ethernet 1/8
  no switchport
  service instance 1 vni
    encapsulation profile from10to30001 default

这样，租户 A 的二层流量可以在数据中心内进行隔离和转发，同时利用 VXLAN 封装实现跨数据中心的通信。
- 三层网络配置 ：为每个租户创建独立的 VRF 和 L3VNI。例如，租户 A 的 VRF 为 VRF - A，L3VNI 为 50001，配置如下：

vrf context VRF-A
  vni 50001
  rd auto
  address-family ipv4 unicast
    route-target both auto
    route-target both auto evpn
  address-family ipv6 unicast
    route-target both auto
    route-target both auto evpn
router bgp 65501
  vrf VRF-A
   address-family ipv4 unicast
     advertise l2vpn evpn
interface nve1
  member vni 50001 associate-vrf

通过这种配置，租户 A 的三层流量可以在 VRF 内进行路由，实现不同子网之间的通信。同时，利用 MP - BGP EVPN 进行路由信息的交换，确保不同数据中心之间的路由可达性。

9. 未来发展趋势

随着数据中心规模的不断扩大和业务需求的日益复杂，VXLAN BGP EVPN 多租户技术将继续发展和演进。
- 更高的扩展性 ：未来的网络需要支持更多的租户和更大规模的网络拓扑。因此，VXLAN BGP EVPN 技术可能会进一步优化，以提高其扩展性和性能。例如，通过改进硬件设计和算法，提高交换机的桥接域表容量和处理能力。
- 与新兴技术的融合 ：随着软件定义网络（SDN）、网络功能虚拟化（NFV）等新兴技术的发展，VXLAN BGP EVPN 可能会与这些技术深度融合，实现更智能化、自动化的网络管理和配置。例如，利用 SDN 控制器实现对 VXLAN 网络的集中管理和动态配置，利用 NFV 技术实现网络功能的虚拟化和灵活部署。
- 增强的安全性 ：数据中心的安全是至关重要的。未来，VXLAN BGP EVPN 技术可能会加强安全机制，如提供更细粒度的访问控制、加密传输等功能，以保护租户数据的安全和隐私。

10. 总结

VXLAN BGP EVPN 多租户技术为数据中心提供了强大而灵活的解决方案，通过合理配置 VRF、VLAN、桥接域等元素，能够实现高效的二层和三层多租户功能。在实际应用中，需要注意 L2VNI 和 L3VNI 的配置限制，以及 RT 在 eBGP 环境下的手动配置。同时，该技术具有灵活性与扩展性、高效的资源利用和简化管理等优势，未来还将朝着更高的扩展性、与新兴技术融合和增强安全性等方向发展。通过深入理解和应用 VXLAN BGP EVPN 多租户技术，数据中心运营商可以更好地满足不同租户的需求，提升网络的性能和可靠性。

在实际部署过程中，建议根据具体的网络环境和需求，参考相关的平台发行说明和配置指南，进行详细的规划和测试，确保网络的稳定运行。