EVPN. Ethernet Virtual Private Network EVPN. Autor: Prof. Dr.-Ing. Anatol Badach

Transkript

1 EVPN Ethernet Virtual Private Network Autor: Prof. Dr.-Ing. Anatol Badach Auszug aus dem Werk: Herausgeber: Dipl.-Ing. Heinz Schulte Alle modernen Local Area Networks (LANs) basieren auf der Ethernet-Technologie. Zu ihrem Aufbau verwendet man hauptsächlich zwei Arten von Switches: Layer-2-Switches (kurz L2-Switches), die de facto reine Ethernet Switches sind, und L2-Switches mit integrierter Routingfunktion, welche oft als L2/3-Switches bzw. Multilayer-Switches bezeichnet werden. Mithilfe dieser beiden Arten von Switches werden verschiedene Rechner d.h. Benutzerrechner und diverse Server in Datacentern eines Unternehmens bzw. einer anderen Institution lokal an einem Standort vernetzt, sodass ein physisches privates Ethernet-basiertes LAN, kurz Ethernet-LAN genannt, entsteht. Globales EVPN Da ein großer Bedarf besteht, Ethernet-LANs standortübergreifend über Weitverkehrsnetze verschiedener Netzprovider nachbilden (emulieren) zu können, sind dieser Emulation dienende technische Konzepte von enorm großer zukünftiger Bedeutung. EVPN ist eben ein solches Konzept, welches es ermöglicht, auf der Grundlage eines Netzes mit dem Internet Protocol (IP), eines IP-Netzes also, mehrere voneinander isolierte virtuelle/logische Ethernet-basierte LANs nachzubilden. Dabei kann eine derartige Nachbildung als ein eigentliches EVPN sogar weltweite Dimensionen annehmen. Multi-Tenant Architecture Die Einsatzmöglichkeiten von EVPNs sind sehr vielfältig. Das EVPN-Konzept eignet sich z.b. ideal dazu, mehrere virtuelle private Ethernet-LANs, welche auch als EVPNs bezeichnet werden können, innerhalb des IP-Netzes bzw. Datacenters eines Providers für dessen Kunden (Mandanten) einzurichten. Somit ermöglicht das Konzept einem Provider, auf der Basis seines IP-Netzes/Netzwerkes mehrere virtuelle und private Kundennetze einzurichten. Folglich führt der Einsatz von EVPNs zur Entstehung von multi-mandantenfähigen Netzwerkarchitekturen (Multi-Tenant Network Architectures). WEKA-Verlag ISBN

2 Integrated Routing and Bridging Die grundlegende Idee des EVPN, die als Modifikation und Erweiterung der Idee von Virtual Private LAN Service (VPLS) angesehen werden kann, besteht darin, dass auf der Grundlage eines IP-Netzes mehrere Virtual Distributed Ethernet Switches (VDE Switches) eingerichtet werden können. Solche Switches können als Virtual Distributed L2-Switches (VD L2-Switches) angesehen werden. Das EVNP-Konzept ermöglicht aber nicht nur die Einrichtung dieser VD L2-Switches auf der Basis eines IP-Netzes, sondern auch mehrerer virtueller und verteilter Router. Letztere könnten als Virtual Distributed Layer-3-Switches (VD L3-Switches) angesehen werden. Daher spricht man bei EVPN auch von Integrated Routing and Bridging (IRB). Multi-Pathing Ein wichtiges Merkmal des EVPN-Konzeptes ist die Unterstützung von Multi-Homing. Somit können wichtige Endsysteme (z.b. verschiedene Server im Datacenter) über mehrere Access Points an ein einziges EVPN angebunden werden. Die Systeme können also multi-homed sein und es können zwischen ihnen mehrere parallel verlaufende Datenpfade (Paths) eingerichtet werden. Folglich spricht man bei EVPN auch von Multi-Pathing. Spezifikationen Die technischen Grundlagen zur Realisierung des EVPN werden in mehreren, am Ende dieses Beitrags aufgelisteten RFCs 1 und Internet Drafts der Internet Engineering Task Force (IETF) spezifiziert. In zahlreichen, auch dort aufgelisteten Patenten werden verschiedene Ideen für die Realisierung diverser EVPN-Funktionen präsentiert. Die Systemkomponenten zur Umsetzung von EVPNs in der Praxis sind bereits auf dem Markt verfügbar. Inhalt dieses Beitrags Dieser Beitrag schildert zuerst grundlegende, zur Entstehung der Idee des EVPN führende, technische Gedanken und präsentiert dabei 1 Request for Comments 2

3 die funktionellen Anforderungen an ein EVPN. Danach erläutert er das Konzept und den Einsatz des EVPN in Datacentern und die dabei dank des Equal Cost Multi-Path Routing (ECMP-Routing) entstehenden Möglichkeiten für das sog. Flow-based Load Balancing. Dabei wird verdeutlicht, auf welche Weise funktionelle Anforderungen erfüllt werden können und darüber hinaus wird gezeigt, wie ein EVPN sowohl als VD L2-Switch wie auch als VD IP-Router eingesetzt werden kann. Genesis des EVPN Das EVPN ist ein sehr komplexes Konzept zur Nachbildung (Emulation) virtueller und geografisch unbegrenzter Ethernet-LANs. Um dies verständlich erläutern zu können, ist eine anschauliche Darstellung der zur Entstehung der Idee des EVPN führenden Gedanken hilfreich. Bild veranschaulicht diese Gedanken. Bild soll insbesondere vermitteln, dass das Konzept des EVPN sehr allgemein ist und es ermöglicht, die zwei grundlegenden Netzwerkdienste in einer virtuellen und verteilten Form bereitzustellen. Es handelt sich hierbei um Dienste, welche sowohl von Ethernet Switches, die de facto L2-Switches sind, als auch von Routern, die als L3-Switches ausgeführt werden können, erbracht werden. Die in Bild a gezeigte allgemeine Struktur eines Switch kann quasi als Quelle der Idee des EVPN angesehen werden. Weiterleitung von Ethernet Frames Wie in Bild a gezeigt, enthält jeder Ethernet Switch eine Switching Fabric (SF) und eine Forwarding Table (FT) mit Angaben darüber, welche MAC-Adressen als potenzielle Ziele über welche seiner Ports zu erreichen sind. Die Hauptaufgabe jedes Ethernet Switch, d.h. jedes L2-Switch, besteht in der Weiterleitung (Forwarding) empfangener Ethernet Frames anhand ihrer Zieladressen. Allgemein betrachtet interpretiert jeder Ethernet Switch die Ziel- MAC-Adressen in den von ihm empfangenen Ethernet Frames und leitet sie den Angaben in FT entsprechend weiter. Er verbindet also für die Weiterleitung jedes einzelnen Ethernet Frame temporär quasi zwei Ports, d.h. einen Eingangsport mit einem Ausgangsport, bis der Übermittlungsvorgang abgeschlossen ist. 3

4 Bild : Genesis der EVPN-Idee: a) die Basiskomponenten eines physischen Switch, b) die logische, aus einer Data und einer Control Plane bestehende Architektur eines physischen Switch, c) EVPN aus logischer Sicht als virtueller und verteilter Switch, d) EVPN aus physischer Sicht als Verbund von EVPN Edges mit EVIs über ein Interconnection Network BGP: Border Gateway Protocol CE: Customer Edge/ Equipment (Device) E: Ethernet-Teilsystem: ein Rechner bzw. ein Ethernet-Segment EVI: EVPN Instance FT: Forwarding Table: eine L2- oder eine L3-Forwarding Table IP-VRF: Internet Protocol VRF: eine Art L3-Forwarding Table 4

5 MAC-VRF: Media Access Control VRF: eine Art L2-Forwarding Table MP-BGP: Multiprotocol Extensions for BGP-4 MPLS: Multiprotocol Label Switching RR: Route Reflector VLAN: Virtual LAN VRF: Virtual Routing and Forwarding (Table) Aufgabe des Routers Betrachten man logisch die Router, genauer gesagt die IP-Router, die oft als L3-Switches ausgeführt werden, so besitzen sie eine ähnliche Struktur wie Ethernet Switches, also wie L2-Switches. Jeder Router enthält eine Switching Fabric und eine Forwarding Table, die man hier Routing Table nennt. Die Hauptaufgabe jedes Routers somit auch jedes als Router dienenden L3-Switch besteht in der Weiterleitung von empfangenen, in Ethernet Frames eingekapselten IP-Paketen. 2 Der Router allgemein betrachtet interpretiert die Ziel-IP-Adressen in den von ihm empfangenen IP-Paketen und leitet sie entsprechend den Angaben in der Routing Table weiter. Fundament des EVPN Die beiden Systemkomponenten L2-Switch und der als Router dienende L3-Switch können aus logischer Sicht auf die in Bild b dargestellte Weise betrachtet werden. Sie besitzen eine Data Plane, die als Switching Fabric dient, und eine Control Plane mit einer Forwarding Table. Diese liefert der Data Plane die von ihr gewünschte Adressinformation, genau gesagt eine Angabe darüber, welche Ziele (d.h. MAC- oder IP-Adressen) über welche Ports zu erreichen sind. Daraus resultiert, dass die Funktionalität dieser beiden Switch-Typen auf die in Bild c gezeigte Art und Weise erbracht werden kann. Das heißt, diese Funktionalität kann virtuell (logisch) und verteilt durch das ganze sog. Interconnection Network 2 Hierbei wird jedes im Ethernet Frame eingebettete IP-Paket zuerst aus dem Frame sozusagen herausgenommen, an einen Ausgangsport entsprechend der Routingtabelle zur Weiterleitung übergeben und vor dem Absenden in einen neuen Ethernet Frame mit einer neuen, dem Next Hop entsprechenden Ziel-MAC-Adresse eingebettet. 5

6 bereitgestellt werden. Und exakt diese Denkweise führte zur Entstehung des Konzepts EVPN. EVPN Instance (EVI) Eine Besonderheit ist an dieser Stelle hervorzuheben (Bild c): Jede Edge-Komponente enthält eine EVPN-spezifische Instanz, die EVPN Instance (EVI). Sie stellt quasi einen lokalen, in einer Edge-Komponente implementierten, virtuellen L2- oder L3- Switch dar. Ob eine EVI die Funktion eines L2- oder eines L3- Switch erbringt, hängt davon ab, welche Art von VRF-Tabelle (Virtual Routing and Forwarding) sie enthält. Hat die EVI eine Tabelle der Art MAC-VRF, dann fungiert die EVI als L2- Switch, eine Tabelle der Art IP-VRF, dann fungiert die EVI als L3- Switch (de facto als IP-Router). Analogien Vergleicht man die Bilder b und c, erkennt man unmittelbar folgende Analogien zwischen einem physischen und einem virtuellen verteilten Switch: Den Ports des physischen Switch entsprechen Edge- Komponenten an einem Netz mit EVIs, also hier als EVPN Edges bezeichneten Komponenten. Die Funktion der Forwarding Table wird auf eine verteilte Art und Weise erbracht. Die einzelnen in den EVIs enthaltenen lokalen (als MAC- oder/und IP-VRF bezeichneten) Forwarding Tables werden untereinander funktionell so verknüpft, dass quasi eine gemeinsame verteilte Table (Distributed FT) entsteht. Die soeben erwähnte Verknüpfung der Forwarding Tables in den einzelnen EVIs erfolgt durch eine möglichst zentral im Netz installierte und hier als Route Reflector (RR) bezeichnete Komponente. Diese wird funktionell der Control Plane zugeordnet und fungiert als zentraler Verteiler von MAC- bzw. IP- Adressen zwischen EVIs aus einem EVPN. Für diese Verteilung wird eine erweiterte Version des bekannten Border Gateway Protocol (BGP), und zwar das MP-BGP (Multiprotocol 6

7 Extensions for BGP-4), verwendet. Aus diesem Grund wird auch von BGP Route Reflector (BGP RR) 3 bzw. kurz von RR gesprochen. Auf die Besonderheiten von MP-BGP wird im Weiteren detaillierter eingegangen. Anmerkung: Die in diesem Beitrag eingeführte Komponente RR entspricht der Funktion nach dem Konzept designated Router in Routingprotokollen wie Open Shortest Path First (OSPF). Es sei hervorgehoben, dass der RR im Grunde genommen als zentraler Verteiler zur Unterstützung von Broadcast und Multicast dient und der Funktion nach mit dem sog. Rendezvous Point (RP) bei der Realisierung von Multicast in IP-Netzen vergleichbar ist. Der Rendezvous Point fungiert als Wurzel (Root) im Multicast-Verteilbaum. 4 Control Plane Die Bilder c und d sollen vor allem zum Ausdruck bringen, dass die Vernetzung von EVIs über den RR dazu führt, dass die Control Plane alle zu einem EVPN gehörenden EVIs in die Lage versetzt zu erlernen, welche MAC- oder/und IP-Adressen (als potenzielle Ziele am EVPN, d.h. am verteilten Switch) überhaupt erreichbar sind und welche Adressen über einzelne EVIs erreicht werden können. Dies könnte man sich funktionell so vorstellen, als ob die Control Plane eine Art Distributed FT darstellte. Abschließend sei an dieser Stelle noch angemerkt, dass in EVPN aber nur aus logischer Sicht die eigentlichen Daten zwischen EVIs innerhalb der Data Plane, d.h. über das Interconnection Network, übermittelt und die hierfür notwendigen Steuerungsangaben in Form von MAC- oder/und IP-Adressen von der Control Plane geliefert werden. Architektur des EVPN Der Einfachheit der Darstellung halber wurde in Bild c innerhalb der Control Plane nur ein Route Reflector (RR) gezeigt. Da der RR in einer solchen Situation aber eine zentrale Komponente darstellt, könnte dessen Ausfall zu einem totalen Verlust der Funkti- 3 RFC 4456, aktualisiert/erweitert durch RFC Siehe hierfür Beitrag VXLAN in [4] oder den Abschnitt in [1]. 7

8 onalität der Control Plane führen. Daher werden in der Praxis in der Control Plane typischerweise zumindest zwei RRs eingesetzt. Auf diese Weise kann eine hohe Verfügbarkeit ihrer Funktionalität erreicht werden. Eine solche, aus Bild d abgeleitete, effiziente Lösung dieser Art illustriert Bild a. Bild : Entstehung der EVPN-Architektur: a) aus Bild d abgeleitete Topologie des EVPN, b) logisches Modell des EVPN als Two Tier Architecture RR: S&RR: (BGP) Route Reflector L2-, L3- oder L2/3-Switch und RR Two Tier Architecture Die in Bild a dargestellte Struktur kann in eine andere funktional äquivalente, in Bild b gezeigte Form umgewandelt werden. Letztere kann als grundlegende EVPN-Architektur (EVPN Basic Architecture) angesehen werden. Einer solchen zweischichtigen EVPN-Architektur (Two Tier Architecture) entsprechende Netzwerktopologie findet man an mehreren Stellen in modernen Netzwerkstrukturen. Darauf wird zwecks einer anschaulichen Erläuterung wichtiger Use Cases of EVPN noch eingegangen. 8

9 Anmerkung: Beim Einsatz des EVPN in Datacentern (Bild b) werden oft folgende Begriffe verwendet: Spine (Rückgrat, Backbone) für Core des EVPN und Leafs für Switches mit EVIs. Ethernet-Evolution In Anlehnung an die in Bild b gezeigte grundlegende Architektur des EVPN soll nun auf eine strukturelle/topologische Ähnlichkeit zwischen dem Konzept des EVPN und dem ersten klassischen, zu Beginn der 1980er-Jahre als IEEE 5 -Standard 10Base5 spezifizierten Konzept für Ethernet-LANs hingewiesen werden. Bild verdeutlicht diese strukturelle Ähnlichkeit und illustriert den bedeutenden Sprung in der technischen Evolution von Ethernet- LANs den Sprung from 10Base5 to EVPN. 6 Funktionelle Ähnlichkeit Vergleicht man die in dem Bild dargestellten, auf den ersten Blick ähnlich aussehenden Architekturen, erkennt man, welche gigantischen Entwicklungen auf dem Gebiet Networking in den letzten 35 Jahren stattgefunden haben. In diesem Zusammenhang sei auf folgende funktionelle Ähnlichkeit hingewiesen: Die hier angesprochene EVPN Instance (EVI) könnte man oberflächlich gesehen mit einem Network Interface Controller (NIC) vergleichen, denn über beide Komponenten werden Endsysteme an das Transportmedien herangeführt. Doch genauer betrachtet besteht zwischen EVI und NIC ein gravierender Unterschied hinsichtlich ihres Funktionsumfangs. 5 Institute of Electrical and Electronics Engineers 6 Der erste Standard IEEE aus dem Jahr 1983 spezifizierte das als 10Base5 bezeichnete Ethernet mit einer Übertragungsgeschwindigkeit von 10 MBit/s in Form eines Shared-Media-LAN-Segments mit einer Länge von bis zu 500 m. In diesem LAN wurde ein verhältnismäßig dickes gelbes Koaxialkabel (Yellow Cable) mit einem Durchmesser von ca. 1 cm als Übertragungsmedium verwendet. 9

10 Eine EVI mit den an sie angebundenen Rechnern und diversen Ethernet-Segmenten würde, vollzieht man den oberflächlichen Vergleich, einem über 30 Jahre alten Rechner entsprechen. Bild : Ethernet-Evolution von 10Base5 zu EVPN: a) EVPN als eine besondere Nachbildung des klassischen Konzeptes von Ethernet 10Base5, b) Konzept von 10Base5 NIC: Network Interface Controller (sog. Ethernet-Adapterkarte) Die im obigen Bild dargestellte allgemeine Betrachtung des EVPN als eine Art Next Generation Virtual Ethernet soll hauptsächlich zu einer anschaulichen Darstellung der EVPN Use Cases im Weiteren beitragen. Datacenter und EVPN-Topologie Bild zeigt ein Beispiel für den Einsatz des EVPN in Datacentern. Hier wurde angenommen, dass die Funktionalität von EVIs in an Top of Racks (ToRs) 7 mit diversen Servern untergebrachten, folglich als ToR-Switches bezeichneten Access Switches realisiert wird. Die Funktion von Route Reflectors (RRs) wird dabei von Aggregation Switches (GSs) erbracht. 7 Für Näheres über die ToR-Architektur siehe Abschnitt in [2].. 10

11 Equal Cost Multi-Paths In der hier gezeigten Systemlösung werden VLANs aus physischen, in Racks untergebrachten Servern gebildet; folglich können sich VLANs auf alle Racks erstrecken. Dank der Anbindung von EVIs an mehrere GSs kann die Kommunikation zwischen den in verschiedenen Racks untergebrachten Servern über mehrere Datenpfade gleicher Länge parallel stattfinden. Also gibt es zwischen jeweils zwei Servern mehrere sog. Data Paths gleicher Länge (Equal Cost). 8 Dies bedeutet, dass beim Einsatz des Konzepts EVPN mit sog. Multi-Homed EVIs eine wichtige, als Equal Cost Multi-Path (ECMP) bezeichnete Funktionalität entsteht, d.h. die Möglichkeit der Kommunikation über parallele Routen mit gleicher Länge. Die Länge jedes Data Path beträgt zwei Hops, gebildet aus dem 1-ten Hop von EVI zu GS und dem 2-ten Hop von GS zu EVI. Bild : Abbildung der grundlegenden EVPN-Architektur auf die ToR-Architektur im Datacenter EIN: EVI Interconnection Network RR: Route Reflector als eine MP-BGP-Instanz S: Server 8 In einer der in Bild gezeigten entsprechenden Systemlösung wird die Anzahl paralleler Data Paths durch die Anzahl parallel eingesetzter GSs bestimmt. 11

12 ToR: VLAN: Top of Rack Virtual LAN In Bezug auf Bild sei nochmals darauf verwiesen, dass eine EVI im Allgemeinen als L2-Switch oder L3-Switch bzw. als Multilayer-Switch, also L2/3-Switch, dienen kann. Auf diese Möglichkeiten wird im Folgenden näher eingegangen. Anwendungsfälle im Datacenter Auf der Basis des in Bild gezeigten Beispiels für den Einsatz des EVPN in Datacentern werden jetzt kurz einige wichtige Beispiele für EVPN Use Cases erläutert. Bild illustriert sie. Bild : Beispiele für die Nutzung und Bedeutung des EVPN in Datacentern. EVPN kann hier angesehen werden a) als verteilter L2-Switch, b) als verteilter L3-Switch, c) als verteilter L2/3-Switch. VLANs als IP-Subnetze Bei dieser Illustration wurde angenommen, dass alle VLANs als IP- Subnetze definiert wurden. Dabei handelt es sich um folgende Anwendungsfälle: 12

13 EVPN als verteilter L2-Switch Intra-VLAN-Kommunikation: Alle EVIs dienen hier als L2- Switches und unterstützen die Bildung von VLANs. In diesem Fall bildet EVPN eine gemeinsame Broadcast-Domäne ( Shared Broadcast Domain ) für mehrere VLANs. Demzufolge ermöglicht diese EVPN-Lösungsvariante hier, wie in Bild a gezeigt, nur die Intra-VLAN-Kommunikation, d.h. eine parallele Kommunikation zwischen jeweils zwei Rechnern (Servern) nur aus jeweils demselben VLAN entlang der drei parallelen, zwei Hops langen Data Paths. Folglich erlaubt diese Lösung die Bildung mehrerer, voneinander isolierter VLANs, die als IP- Subnetze konfiguriert werden können (Bild ). EVPN als verteilter L3-Switch Inter-VLAN-Kommunikation: Alle EVIs dienen in diesem Anwendungsfall als Router. Hierbei stellt EVPN eine Vernetzung von L3-Switches dar de facto von Routing-Instanzen in diesen Switches. Infolgedessen gestattet diese Lösungsvariante, so wie es in Bild b zum Ausdruck gebracht wird, eine Vernetzung von als IP-Subnetzen definierten VLANs. Dies bedeutet, dass die Kommunikation zwischen jeweils zwei Rechnern nur aus verschiedenen VLANs über drei parallele, zwei Hops lange Routen möglich ist. Diese Lösung unterstützt nur die Inter-VLAN-Kommunikation, d.h. nur die Kommunikation zwischen VLANs, und kann als eine Art virtueller Router eingesetzt werden. EVPN als verteilter L2/3-Switch Intra- und Inter-VLAN-Kommunikation: Alle EVIs verhalten sich hier als L2/3-Switches. Der in Bild c gezeigte dritte Anwendungsfall des EVPN stellt eine Kombination der beiden obigen Lösungen dar und wird gemeinhin als Integrated Routing and Bridging (IRB) bezeichnet. Er ermöglicht eine parallele Kommunikation zwischen jeweils zwei Rechnern sowohl aus demselben VLAN als auch aus verschiedenen VLANs. Somit unterstützt diese Lösungsvariante sowohl die Intra- als auch die Inter-VLAN-Kommunikation. Anmerkung: An dieser Stelle sei hervorgehoben, dass die Spezifikation des EVPN in RFC 7432 nur beide erstgenannten Varianten beschreibt. Die dritte Variante wurde in draft-ietf-bess-evpn-inter-subnet-forwarding vorgeschlagen. 13

14 Funktionelle Anforderungen Zu den funktionellen Anforderungen, die an moderne Netzwerkstrukturen vor allem in Datacentern und somit auch an EVPN gestellt werden, gehören insbesondere: Hohe Verfügbarkeit und Qualität von Network Services Die Erfüllung dieser Anforderungen erreicht man auf zwei speziellen Wegen: Multi-Homing (s. unten) und Multi-Pathing. Beide Konzepte gestatten eine parallele Kommunikation zwischen Endsystemen und somit auch das bereits erwähnte Flowbased Load Balancing. Folglich tragen die Konzepte u.a. zur Steigerung der Verfügbarkeit (Availability) und der Qualität (Quality) von Network Services bei. Es sei aber darauf hingewiesen, dass Multi-Homing eine Voraussetzung für Multi- Pathing darstellt. Anmerkung: Ein Flow (Fluss von Daten) wird mit zwei Adressen, nämlich der Quell- und Zieladresse, identifiziert. Daher spricht man von Flow: - auf dem IP-Layer (L3-Layer), falls dieser mit der Quell- und Ziel-IP-Adresse (also mit L3-Adressen) identifiziert wird. - auf dem Transport-Layer (L4-Layer), falls dieser mit den Quell- und Ziel-IP-Sockets (also mit L4-Adressen) identifiziert wird. Unter Socket versteht man in diesem Kontext ein Paar (IP-Adresse, Portnummer einer Anwendung). Netzwerk-Skalierbarkeit Mit Netzwerk-Skalierbarkeit (Network Scalability) verbindet sich die funktionelle Anforderung, dass die Durchführung einer eventuellen Netzwerkerweiterung bzw. -modernisierung ohne Störung des Netzwerkbetriebes immer möglich sein sollte. Unterstützung aller Adresstypen (BUM Frames) Jedes Netzwerk sollte ein effektives Versenden sowohl von Ethernet Frames mit Broadcast- (B) und Multicast-MAC- Adressen (M) als auch von Ethernet Frames mit Unknown- MAC-Adressen (U) in ihrer Gesamtheit als BUM Frames (Broadcast, Unknown and Multicast) bezeichnet ermöglichen. Broadcast Frames werden z.b. oft vom Address Resolution Protocol (ARP) erzeugt, um die Zuordnung IP-Adresse MAC- Adresse zu ermitteln. 14

15 Die genannten funktionellen Anforderungen müssen durch das Konzept des EVPN weitgehend erfüllt werden. Darauf, wie dies zu erreichen ist, wird jetzt kurz eingegangen. Anmerkung: Unter Multi-Homing versteht man im Netzwerkbereich eine Systemlösung, die zur Steigerung der Verfügbarkeit und Qualität von Network Services führt. Diese Lösung besteht darin, dass einige Endsysteme multi-homed sind, d.h. an mehrere, zumindest zwei Netzwerkzugangskomponenten (wie z.b. Switches, Router) angebunden sind. Zwischen zwei multi-homed Endsystemen am Netzwerk kann dann die Kommunikation über parallele Datenpfade verlaufen. In diesem Zusammenhang spricht man auch von Multi-Pathing. EVPN-Konzept im Überblick Nachdem bereits sowohl die Idee des EVPN erläutert als auch seine Nutzungsmöglichkeiten an einigen Beispiele gezeigt wurden, soll jetzt anhand des folgenden Bildes das Konzept des EVPN mit seiner logischen Architektur und seinen hervortretenden Merkmalen vorgestellt werden. Bild : Allgemeine logische Architektur des EVPN BGP: Border Gateway Protocol 15

16 CE: ESI: Eth: EVI: MHD: MHN: MP-BGP: PE: RR: SHD: SHN: Customer Edge (Device): Host, Router oder Switch Ethernet Segment Identifier Ethernet-basiertes Netzwerk EVPN Instance Multi-Homed Device Multi-Homed Network Multiprotocol Extensions for BGP-4 Provider Edge Route Reflector, als eine Art Rendezvous Point Single-Homed Device Single-Homed Network Konzeptionelle Merkmale Es sei hier angemerkt, dass die in Bild gezeigte logische Architektur des EVPN als allgemeinere Form der in Bild gezeigten Architektur betrachtet werden kann. Netzwerke mit dieser Architektur erfüllen weitgehend die vorher aufgelisteten Anforderungen. Bild soll insbesondere folgende konzeptionelle Merkmale des EVPN herausstellen: EVI als emulierter Switch Jede EVI übernimmt de facto die Funktionen eines Switch, also eines Layer-2-, eines Layer-3- oder eines Layer-2/3-Switch. Daher kann jede EVI als emulierter Switch angesehen werden (Bild a). Folglich müssen alle zu einem EVPN gehörenden EVIs so kooperieren, dass sie einen Virtual Distributed Switch (VDS) bilden. Die Funktionen von EVIs werden, ähnlich wie die Funktionen von Virtual Switching Instances (VSIs) beim Konzept des Virtual Private LAN Service (VPLS) 9, in als Provider Edges (PEs) bezeichneten Komponenten erbracht. Dies begründet die Ähnlichkeit zwischen den logischen Architekturen von EVPN und VPLS. Infolgedessen könnte man EVPN auch zum Teil als eine funktionelle Weiterentwicklung von VPLS betrachten. 9 Der Funktion nach ist EVI mit der Instanz VSI bei VPLS vergleichbar. Siehe hierfür Beitrag VPLS in [4]. 16

17 Multi-Homed Devices and Networks Zur Erzielung einer hohen Verfügbarkeit und Qualität von Network Services können sowohl einige Endsysteme von Kunden, als Customer Edge (CE) oder kurz als Device bezeichnet, sowie auch ihrer Netzwerke als sog. Multi-Homed-Systeme konfiguriert werden. Daher unterscheidet man zwischen den folgenden Kategorien von Devices und Networks: - Single-Homed Device (SHD): CE ist nur an eine EVI angebunden. - Single-Homed Network (SHN): Network ist nur an eine EVI angebunden. - Multi-Homed Device (MHD): CE ist zumindest an zwei EVIs angebunden. - Multi-Homed Network (MHN): Network ist zumindest an zwei EVIs angebunden. Ethernet-Segment als Bündel von Access Links Jedes Multi-Homed-Endsystem sowohl MHD als auch MHN wird über mehrere Access Links mit verschiedenen EVIs verbunden. Die Access Links eines Device oder eines Network bilden eine funktionelle Einheit, die man als Ethernet-Segment (ES) bezeichnet. Es könnte auch virtueller Access Link genannt werden. Jedem ES wird zu seiner Identifikation ein im ganzen EVPN einmaliger/eindeutiger Ethernet Segment Identifier (ESI) zugewiesen. Falls ein Endsystem (Device, Network) singlehomed ist, wird dessen Access Link als eine besondere Form von ES betrachtet. Einem solchen Access Link als eine Art ES wird ESI = 0 zugewiesen. Redundancy Modes bei Multi-Homed-Endsystemen Da ein Multi-Homed-Endsystem mit EVPN über mehrere, ein Ethernet-Segment bildende Access Links verbunden ist, werden zwei Betriebsarten (Modi) definiert, die festlegen, auf welche Art und Weise die Access Links eingesetzt werden können. Diese Betriebsarten sind: - Single-Active Redundancy Mode (SA Redundancy Mode): Bei dieser Betriebsart ist nur ein Access Link im Ethernet-Segment aktiv, d.h. nur dieser wird für die Kommunikation genutzt. Die anderen Access Links im Ethernet-Segment sind passiv und stellen eine sog. kalte Reserve dar. Sollte der aktive Link ausfallen, kommt einer aus dieser Reserve zum Einsatz. Bei dieser Betriebsart wird kein Flow-based Load Balancing zwischen End- 17

18 system und EVPN realisiert. - All-Active Redundancy Mode (AA Redundancy Mode): Bei dieser Betriebsart sind alle Access Links im Ethernet-Segment aktiv, d.h. alle werden gleichzeitig für die Kommunikation genutzt. Bei dieser Betriebart wird daher Flow-based Load Balancing zwischen Endsystem und EVPN realisiert. Route Reflector als Control Plane Wie Bild c illustriert, kann man in EVPNs zwei funktionelle Schichten, sog. Planes, unterscheiden: die Data Plane, innerhalb derer nur eigentliche Daten transportiert werden, und die Control Plane, innerhalb derer ausschließlich controlrelevante Informationen, insbesondere verschiedene Adressinformationen, übermittelt werden. Wie Bild zeigt, wird die Funktionalität der Control Plane durch eine zentrale Verteilungsstelle der Informationen in Form von Route Reflectors (RRs) erbracht. Für den Transport von control-relevanten Informationen zwischen RRs und EVIs wird eine speziell für EVPN erweiterte Version des Protokolls MP-BGP eingesetzt (Bild ). EVI-Basisfunktionen als emulierter L2-Switch Wird auf der Grundlage eines EVPN ein Virtual Distributed Ethernet Switch (VDE Switch), also ein L2-Switch, erbracht, so müssen alle zu dem EVPN gehörenden EVIs, wie in Bild gezeigt, kooperieren und dabei folgende Funktionen realisieren: Forwarding: Weiterleitung von Ethernet Frames Jede ESI als emulierter L2-Switch hat die Aufgabe, jeden empfangenen Ethernet Frame anhand seiner Ziel-MAC-Adresse entsprechend der aktuellen Lage im EVPN weiterzuleiten. Jede ESI muss daher wissen, welche MAC-Adressen (d.h. Ethernet- Adressen) über jeden ihrer Ausgangsports zu erreichen sind. Hierfür enthält jede ESI eine Forwarding Table (FT). Diese wird in den EVPN betreffenden Standards oft als MAC-VRF Table (MAC Virtual Routing and Forwarding) bezeichnet. Learning: Erlernen von MAC-Adressen Jede EVI muss in der Lage sein, ihre Forwarding Table selbst zu erstellen und diese auch ständig zu aktualisieren. Also muss jede EVI fähig sein, ständig zu erfassen, welche MAC- Adressen über jeden ihrer Ports zu erreichen sind. In diesem 18

19 Zusammenhang spricht man vom Learning of MAC Addresses und unterscheidet dabei zwischen Local Learning und Remote Learning. - Local Learning bezeichnet das Erlernen lokaler MAC- Adressen, d.h. von Adressen lokaler Rechner also über die lokale Endkomponente CE erreichbarer Rechner. Dieser Lernvorgang findet innerhalb der Data Plane statt und wird weitgehend auf die gleiche Art und Weise realisiert, wie dies in klassischen Netzwerken in L2-Switches der Fall ist. - Remote Learning bezeichnet das Erlernen von MAC-Adressen der Remote-Rechner, d.h. der Rechner, die nur über andere, entfernte EVIs zu erreichen sind. Diese Art von Learning findet nicht innerhalb der Data Plane, sondern innerhalb der Control Plane mithilfe des Protokolls MP-BGP und des Route Reflector statt. Um Remote Learning zu unterstützen, macht jede EVI aus einem EVPN die Adressen der bei ihr lokal erreichbaren Rechner mittels des MP-BGP und des Route Reflector den anderen, zum gleichen EVPN gehörenden EVIs bekannt. Für Näheres darüber sei auf Bild verwiesen. Flooding: Versenden von BUM Frames Jede EVI muss sowohl das Versenden von Ethernet Frames mit Broadcast- and Multicast-MAC-Adressen unterstützen als auch Ethernet Frames mit Unknown-MAC-Adressen entsprechend weiterleiten. Falls ein Endsystem (Device, Network) multihomed ist, also an mehrere EVIs angebunden ist, wird nur eine EVI für das Versenden der von diesem Endsystem stammenden BUM Frames ausgewählt. Diese hierfür ausgewählte EVI wird dann Designated Forwarder (DF) genannt. In diesem Zusammenhang spricht man von EVPN DF Election (Bild ). Avoidance of Loops: Vermeidung von Loops Alle ein EVPN erbringende EVIs als emulierte L2-Switches sind untereinander vernetzt. Gibt es bei einer solchen Vernetzung redundante Routen zwischen EVIs, hat dies zur Folge, dass ein zwischen zwei EVIs übermittelter Unicast Ethernet Frame eventuell über mehrere Routen in Form von geschlossenen Schleifen (von sog. Loops) übermittelt wird, also quasi rotiert. Dadurch können diverse unerwünschte Effekte entstehen. So kann z.b. die Ziel-EVI mehrere Kopien eines entlang mehrerer Loops 19

20 übermittelten Frames erhalten. 10 Zur Vermeidung von Loops bei der Vernetzung von EVIs wird weder das Spanning Tree Protocol (STP) noch das Rapid STP (RSTP) verwendet. 11 Vielmehr wird ein als Split-Horizon bezeichnetes Prinzip angewandt. Dieses ist einfach und besteht darin, dass ein Ethernet Frame nie über den EVI-Port weitergesendet wird, über den er empfangen wurde. Für die vollständige Darstellung siehe: Dreibändiges Loseblattwerk (Print und CD-Version) mit Update-Dienst: "Protokolle und Dienste der Informationstechnologie" Aktualisierungszyklus: 2 Monate WEKA Media, Kissing ISBN-13: , Bestell-Nr. OL9142J 10 Siehe hierfür Abschnitt in [2]. 11 Das STP und sein Nachfolger RSTP kommen noch oft bei der Vernetzung klassischer L2-Switches zum Einsatz, um Loops und folglich die durch diese entstehenden unerwünschten Effekte zu vermeiden. 20

21 Literatur [1] Badach, Anatol; Hoffmann, Erwin: Technik der IP-Netze. Verlag Hanser, 2015, DOI: /RG s. Abschnitte: Multiprotocol Extensions for BGP-4 (MP-BGP), Multi-Protocol Label Switching (MPLS), Virtual Networking in LANs [2] Badach, Anatol; Rieger, Sebastian: Netzwerk-Projekte. Verlag Hanser, 2013, DOI: /RG s. Abschnitte: über den Einsatz des Protokolls STP, über die ToR-Architektur [3] Kapadia, Shyam: Building Data Centers with VXLAN EVPN. Cisco Press; 2016 [4] Schulte, Heinz (Hrsg.): Protokolle und Dienste der Informationstechnologie. WEKA Verlag siehe: Badach, Anatol: MP-BGP Multiprotocol Extensions for BGP-4 Badach, Anatol: RSTP Rapid Spanning Tree Protocol Badach, Anatol: VPLS Virtual Private LAN Service Badach, Anatol: VXLAN Virtual extensible Local Area Network 21