VXLAN (Virtual eXtensible Local Area Network，虛擬可擴展局域網)，是目前在數據中心內部主要采用的一種Overlay網絡技術，從最初的VXLAN方案（RFC7348）發展至如今的EVPN+VXLAN分布式方案經歷了一些比較復雜的過程。

本文將伴隨著VXLAN的發展過程講述當前比較流行的EVPN+VXLAN分布式實現方案。

為什么要采用分布式VXLAN方案？

目前，VXLAN的實現主要有兩種方式：集中式和分布式。那么在VXLAN部署方案中應該選擇集中式VXLAN方案還是分布式VXLAN方案呢？其實這個問題很好回答，可根據數據中心的規模需求選擇。如下表所示，適用于服務器集群在5000臺以上的大型數據中心的理想實踐為分布式VXLAN方案。

▲集中式VXLAN與分布式VXLAN的區別

集中式會存在傳統大二層網絡所常見的問題，例如廣播風暴問題，為了避免這個問題，廣播域不宜過大，從而集群規模不宜過大；而分布式方案由于三層到邊緣，加上EVPN的控制作用，可以減少廣播域，從而形成更大的網絡規模。

為什么要引入EVPN作為控制平面？

通過對比，分布式網關更適合作為公有云廠商或中大型規模私有云數據中心組網。VXLAN由RFC7348定義，只定義了轉發面的行為，并沒有指定VXLAN控制面。在VXLAN技術早期，通過轉發面來獲取轉發信息，在實現上較為簡單，但是隨著網絡規模的發展，完全依賴轉發面做控制會造成網絡中廣播組播風暴，同時給運維方面帶來很大問題，因此VXLAN也需要有一個控制平面。在了解EVPN之前，我們先看下幾種VXLAN控制平面的對比，如下表：

▲VXLAN控制平面技術對比

通過上表，我們可以看出采用EVPN作為控制平面的好處：

路由協議

對于中大型的數據中心，Underlay網絡的路由協議多數已經采用了BGP，而EVPN就是通過BGP的擴展協議實現，因此，僅需要維護一套路由協議，更具運維優勢；

標準化

相比其他控制面技術，只有EVPN已有標準化定義，可以實現網絡的異構，便于網絡兼容和擴展。

基于EVPN+VXLAN的實現方案

接下來，我們就來看下基于EVPN+VXLAN的具體實現方案，網絡架構如下圖所示：

▲物理網絡架構

Type3路由——隧道的建立

基于EVPN-Type3路由——Inclusive Multicast路由（注1）

自動發現VXLAN網絡中的VTEP（VXLAN Tunnel End Point，為VXLAN隧道的端點），并在各VTEP之間自動創建VXLAN隧道，自動關聯VNI與VXLAN隧道。

注1（該類型路由在VXLAN控制平面中主要用于VTEP的自動發現和VXLAN隧道的動態建立。作為BGP EVPN對等體的VTEP，通過Inclusive Multicast路由互相傳遞二層VNI和VTEP IP地址信息。其中，Originating Router's IP Address字段為本端VTEP IP地址。如果對端VTEP IP地址是三層路由可達的，則建立一條到對端的VXLAN隧道。）

EVPN-Type2路由——MAC與路由同步

基于EVPN-Type2路由——MAC/IP路由（注2）可自動完成網絡中MAC以及路由同步。

注2（該類型的路由主要功能為：主機MAC地址通告，主機ARP通告，主機IP路由通告）

EVPN-Type5路由——邊界路由訪問

在實際的網絡部署中我們既可以選擇Spine 作為Border也可以選擇一組Leaf作為Border，主要看我們實際網絡中的流量，如果以南北向流量為主的話，一般一組Leaf作為Border即可，但有些場景，比如混合云的情況下，東西流量依然需要Border轉發，那么我們建議將Spine 作為Border。

在這種Underlay與Overlay互通的場景下，就會用到EVPN的一個比較重要的路由類型-網段路由，通過EVPN-Type5路由——IP前綴路由來傳遞，當外部路由進入到Border后，Border會通過Type5類路由同步到VXLAN網絡里面，從而實現VXLAN網絡中的主機訪問外部網絡。

分布式VXLAN方案部署優化

優化點一：ARP泛洪抑制

當網絡中虛機的規模擴大， ARP廣播會消耗網絡帶寬，而且會存在廣播風暴的隱患，為了減少ARP廣播所帶來的影響，我們可通過ARP代理的方式，對ARP泛洪進行抑制。

ARP代理實現方式：網關開啟ARP代理后，主機學習到遠端的ARP均為網關的MAC地址。有如下優點：

• 減小廣播域，抑制廣播風暴；

• 集群規模提高：由于ARP代理開啟，二層廣播變為三層路由，因此每個VTEP僅需要維護自己本端的主機MAC，可以關閉同步遠端MAC功能，從而節省了MAC表項空間，提供更大集群規模的支持。

但在某些場景下可能不適用，比如LVS的DR模式要求LVS學習到服務器的真實MAC地址，因而不能被網關MAC所代替。這個場景下，我們可以將LVS所在VNI的ARP代理功能進行關閉，從而確保DR模式的正常通信。

優化點二：ARP-TO-HOST

▲業務模型

如上圖所示，假設VM1-4在屬于同一個子網，這種情況的出現可能由于業務部署形成，也可能由于虛擬機遷移導致。如果VETP1和VTEP4發布的是網段路由，由于ECMP的存在，會出現訪問VM1部分流量會通過VTEP1->VTEP4繞行。

為了解決這個問題，就需要明細路由或者主機路由來解決。如果要手動配置的話，工作量比較大，并且容易出錯，目前常用的一種做法是通過ARP來自動生成主機路由并發布到網絡中。

實現方式：網關開啟ARP-TO-HOST后，根據ARP表自動生成主機路由，并自動發布到網絡中。

總結

本文從為什么采用分布式VXLAN、為什么采用EVPN作為VXLAN的控制平面、EVPN+VXLAN實現方案以及方案部署優化等方面，對基于EVPN+VXLAN的實現方案進行闡述，這也是當前銳捷網絡虛擬化數據中心的推薦方案。歡迎大家留言交流。

本期作者：張文杰

銳捷網絡互聯網系統部行業咨詢

往期精彩回顧  

• 【第一期】淺談物聯網技術之通信協議的紛爭
• 【第二期】如何通過網絡遙測（Network Telemetry）技術實現精細化網絡運維？
• 【第三期】暢談數據中心網絡運維自動化
• 【第四期】基于Rogue AP反制的無線安全技術探討
• 【第五期】流量可視化之ERSPAN的前世今生
• 【第六期】如何實現數據中心網絡架構“去”堆疊
• 【第七期】運維可視化之INT功能詳解
• 【第八期】淺析RDMA網絡下MMU水線設置
• 【第九期】第七代無線技術802.11ax詳解
• 【第十期】數據中心自動化運維技術探索之交換機零配置上線
• 【第十一期】 淺談數據中心100G光模塊
• 【第十二期】數據中心網絡等價多路徑（ECMP）技術應用研究
• 【第十三期】如何為RDMA構建無損網絡

相關推薦：

• 淺析RDMA網絡下MMU水線設置

• 如何為RDMA構建無損網絡

• 了解gRPC技術，這一篇就夠了