3. Настройка EVPN L3 VXLAN

Связность на 2-ом уровне это, конечно, хорошо, но что если нам необходимо общаться и с узлами, расположенными в других VNI? Просто так покинуть VNI мы не можем - для этого нам нужен маршрутизатор. В EVPN функциональность маршрутизации носит название "Integrated Routing and Bridging" и описана в RFC 9135. Интерфейсы внутри VNI, с помощью которых мы можем выйти за пределы VNI (шлюзы по умолчанию) в EVPN называются IRB-интерфейсами.

Есть две IRB-модели, которые мы можем использовать для организации взаимодействия между VNI: асимметричная и симметричная. Модель "централизованный шлюз" мы рассматривать не будем.

В асимметричной модели мы на каждом лифе настраиваем все VNI, которые присутствуют у нас в фабрике, даже если за локальным лифом нет подключенных клиентов в этих VNI. Маршрутизация между VNI происходит на первом хопе - или на ingress VTEP (для чего и нужно заведение всех VNI на каждый лиф). После перекладывания пакета из родительского VNI в VNI назначения, пакет путешествует до выходного VTEP'а уже в нужном VNI, а выходной VTEP делает коммутацию между VNI и локальным VLAN'ом.

Здесь на Leaf-1 настраиваются оба VNI (100 и 200), даже не смотря на то, что на нем нет клиентов в VNI 200. Маршрутизация происходит только на первом хопе (на Ingress VTEP). Входной VTEP маршрутизирует пакет из VNI в VNI, а выходной VTEP просто коммутирует его в нужный VLAN. Недостаток такого подхода - нужно на каждом VTEP заводить все VNI, а также каждый VTEP должен будет держать информацию о всех L2-адресах в фабрике, что может быть весьма ощутимым в условиях дефицита аппаратных ресурсов памяти.

Симметричная модель дает возможность настраивать на каждом Leaf'е только те VNI, за которыми есть физические клиенты. Все остальные VNI не настраиваются - вместо них выделяется один-единственный VNI, который будет служить как бы транзитным VNI для всего маршрутизируемого трафика. Таким образом вместо забивания всех ненужных нам VNI, мы настраиваем только один. Теперь маршрутизация будет происходить не только на входном VTEP, но и на выходном. Наглядно можно проиллюстрировать картинкой:

Здесь на Leaf-1 не настраивается VNI 200, а только транзитная L3VNI. Может возникнуть вопрос - а что мы выиграли? А представьте, что VNI у нас не две штуки, а сто, двести, тысяча?

Мы будем использовать модель симметричного IRB, чтобы не плодить лишних VNI на каждом Leaf'е, а также немножко сэкономить аппаратные L2-ресурсы для FDB. В качестве шлюзов по умолчанию будут использоваться статические anycast-шлюзы (SAG) по схеме "распределенный шлюз" (Distributed Gateway), то есть на каждом Leaf'е в каждом VNI будет создан интерфейс и назначен IP-адрес, который будет служить адресом шлюза по умолчанию для локально подключенных клиентов.

Согласно RFC 9135, пункт 4.1 существуют два подхода к настройке SAG. В первом случае мы настраиваем одинаковый IP и MAC на каждом IRB-интерфейсе конкретного VNI. Во втором варианте мы настраиваем одинаковый IP, но MAC на каждом IRB-интерфейсе конкретного VNI остается уникальным.

Чем хорош первый подход? Тем, что если конечный узел мигрирует с VTEP на VTEP, ему не придется обновлять ARP-запись своего шлюза по умолчанию, он может сразу после миграции начинать работать так, как будто никакой миграции и не было. В случае же с уникальным MAC, обновление в конечном счете потребуется. В принципе, для облегчения обновления ARP-записи шлюза конечным хостом RFC предлагает использовать механизм MAC Aliasing, при котором VTEP'ы анонсируют свои IRB-интерфейсы в EVPN с помощью RT-2 маршрутов, при этом добавляя к ним специальное комьюнити Default Gateway. Другие VTEP'ы, принимая маршрут с таким комьюнити, должны понимать, что такой-то MAC-адрес принадлежит IRB-интерфейсу удаленного VTEP, и должны считать его MAC-адрес - своим собственным, принимая на него Ethernet-кадры, как будто бы это был их локальный MAC! Таким образом перерыва в работе мигрировавшего клиента не должно быть, а в конечном итоге его ARP-запись обновится на актуальную.

Все же второй вариант мне не очень нравится тем, что требуется усложнение плоскости управления - собственно, необходимо генерировать дополнительные маршруты с комьюнити Default GW, нужно их обрабатывать, нужно строить списки MAC Aliasing, нужно сверять DST_MAC приходящих Ethernet-кадров со списком - а не нужно ли нам принять данный кадр? И ради чего? Не проще ли изначально настроить одинаковый anycast MAC на каждом Leaf статически? Мне кажется, что проще. Так и настроим. MAC-адреса каждого IRB-интерфейса для всех четырех Leaf'ов будут совпадать.

Клиенты, адреса и топология

Немножко переделаем L2 и L3-топологии широковещательных доменов, в которых находятся наши клиенты. Сейчас мы поместим каждого клиента в свой собственный VNI, а между ними настроим маршрутизацию. Наши клиенты будут иметь связь друг с другом только через 3-ий уровень (через свои шлюзы - IRB-интерфейсы). Следовательно, наша предыдущая единая плоская сеть 192.168.100.0/24 уже не подойдет. Выделим четыре сети, по одной на каждого клиента:

Коммутатор

IRB-интерфейс

VLAN

Leaf-1

192.168.101.254/24

101

Leaf-2

192.168.102.254/24

102

Leaf-3

192.168.103.254/24

103

Leaf-3

192.168.104.254/24

104

MAC, IP-адреса, VLAN, VNI клиентов, подключенных к Leaf-устройствам.

Клиент

MAC

IP/Mask

VLAN

Client-1

02:01:00:00:00:01

192.168.101.1/24

101

Client-2

02:01:00:00:00:02

192.168.102.2/24

102

Client-3

02:01:00:00:00:03

192.168.103.3/24

103

Client-4

02:01:00:00:00:04

192.168.104.4/24

104

IP-VRF будет иметь имя VRF1.

Ассоциации VLAN : VNI и их RT

VLAN

VNI

101

1101

100:1101

102

1102

100:1102

103

1103

100:1103

104

1104

100:1104

Топология:

Настройка

Как-то менять настройки на Spine после тех, которые были сделаны для L2VXLAN, необходимости нет. Вся конфигурация для L3VXLAN будет произведена на Leaf-коммутаторах.

Настройка Leaf-1

Очистим на лифах конфигурацию overlay, сделанную в предыдущей части. Начальная конфигурация, с которой мы начинаем работать на Leaf-1, сейчас выглядит так:

service routing protocols model multi-agent
!
hostname Leaf-1
!
interface Ethernet1
   description Link_to_Spine-1
   no switchport
   ipv6 enable
!
interface Ethernet2
   description Link_to_Spine-2
   no switchport
   ipv6 enable
!
interface Loopback0
   ip address 10.1.1.1/32
!
ip routing ipv6 interfaces
!
ipv6 unicast-routing
!
route-map BGP_REDISTRIBUTE_CONNECTED permit 10
   match interface Loopback0
!
router bgp 65001
   maximum-paths 64
   neighbor CLOS peer group
   neighbor CLOS out-delay 0
   neighbor CLOS bfd
   neighbor CLOS timers 3 9
   neighbor CLOS password OTUS
   redistribute connected route-map BGP_REDISTRIBUTE_CONNECTED
   neighbor interface Et1-2 peer-group CLOS remote-as 65100
   !
   address-family ipv4
      neighbor CLOS activate
      neighbor CLOS next-hop address-family ipv6 originate
!
end

Погнали!

Во-первых, создадим VRF1 и включим для него маршрутизацию:

Leaf-1(config-if-Vl101)# vrf VRF1
Leaf-1(config)# ip routing vrf VRF1

Далее создадим VLAN 101, в котором будут наши клиенты (один клиент, но не важно, клиентов могло быть и несколько):

Leaf-1(config)# vlan 101
Leaf-1(config-vlan-101)# name Clients_101

Теперь настроим физический порт, в который подключен наш клиент Client-1:

Leaf-1(config)# interface Ethernet3
Leaf-1(config-if-Et3)# description Link_to_Client-1
Leaf-1(config-if-Et3)# switchport access vlan 101
Leaf-1(config-if-Et3)# no shutdown

Теперь создадим IRB-интерфейс для VLAN 101 и установим на него anycast IP-адрес, который будет служить шлюзом по умолчанию для наших клиентов в данном VLAN. Также поместим этот IRB-интерфейс в VRF1:

Leaf-1(config)# interface vlan101
Leaf-1(config-if-Vl101)# vrf VRF1
Leaf-1(config-if-Vl101)# ip address virtual 192.168.101.254/24

Теперь настроим интерфейс VXLAN:

Leaf-1(config)# interface vxlan 1
Leaf-1(config-if-Vx1)# vxlan source-interface Loopback0
Leaf-1(config-if-Vx1)# vxlan vlan 101 vni 1101
Leaf-1(config-if-Vx1)# vxlan vrf VRF1 vni 1100

Из интересного - здесь мы назначили VNI 1100 на VRF1, то есть превратили VNI 1100 в L3-VNI, который будет служить транзитным VNI для маршрутизации между VNI в VRF1.

Теперь настроим anycast MAC-адрес для наших IRB-интерфейсов:

Leaf-1(config)# ip virtual-router mac-address 02:00:00:00:00:00

Настроим MAC-VRF для VLAN 101:

Leaf-1(config)# router bgp 65001
Leaf-1(config-router-bgp)# vlan 101
Leaf-1(config-macvrf-101)# rd auto
Leaf-1(config-macvrf-101)# route-target both 100:1101
Leaf-1(config-macvrf-101)# redistribute learned

Теперь настроим L3VNI для VRF1, который мы будем использовать для передачи маршрутизируемого трафика (inter-VNI):

Leaf-1(config)# router bgp 65001
Leaf-1(config-router-bgp)# vrf VRF1
Leaf-1(config-router-bgp-vrf-VRF1)# rd 10.1.1.1:1100
Leaf-1(config-router-bgp-vrf-VRF1)# route-target export evpn 100:1100
Leaf-1(config-router-bgp-vrf-VRF1)# route-target export evpn 100:1100

Важно отметить, что импорт- и экспорт-RT должны совпадать на всех VTEP для данного VRF.

Теперь включим AF EVPN в настройках процесса BGP:

Leaf-1(config)# router bgp 65001
Leaf-1(config-router-bgp)# neighbor CLOS send-community extended
Leaf-1(config-router-bgp)# address-family evpn
Leaf-1(config-router-bgp-af)# neighbor CLOS activate

Общий вид сделанных нами настроек:

vlan 101
   name Clients_101
!
vrf instance VRF1
!
interface Ethernet3
   description Link_to_Client-1
   switchport access vlan 101
   no shutdown
!
interface Vlan101
   vrf VRF1
   ip address virtual 192.168.101.254/24
!
interface Vxlan1
   vxlan source-interface Loopback0
   vxlan vlan 101 vni 1101
   vxlan vrf VRF1 vni 1100
!
ip virtual-router mac-address 02:00:00:00:00:00
!
ip routing vrf VRF1
!
router bgp 65001
   neighbor CLOS send-community extended
!
   vlan 101
      rd auto
      route-target both 100:1101
      redistribute learned
!
    vrf VRF1
    rd 10.1.1.1:1100
    route-target import evpn 100:1100
    route-target export evpn 100:1100
!   
   address-family evpn
      neighbor CLOS activate

Настройка Leaf-2

Напомним, с чем мы начинаем:

service routing protocols model multi-agent
!
hostname Leaf-2
!
interface Ethernet1
   description Link_to_Spine-1
   no switchport
   ipv6 enable
!
interface Ethernet2
   description Link_to_Spine-2
   no switchport
   ipv6 enable
!
interface Loopback0
   ip address 10.1.1.2/32
!
ip routing ipv6 interfaces
!
ipv6 unicast-routing
!
route-map BGP_REDISTRIBUTE_CONNECTED permit 10
   match interface Loopback0
!
router bgp 65002
   maximum-paths 64
   neighbor CLOS peer group
   neighbor CLOS out-delay 0
   neighbor CLOS bfd
   neighbor CLOS timers 3 9
   neighbor CLOS password OTUS
   redistribute connected route-map BGP_REDISTRIBUTE_CONNECTED
   neighbor interface Et1-2 peer-group CLOS remote-as 65100
   !
   address-family ipv4
      neighbor CLOS activate
      neighbor CLOS next-hop address-family ipv6 originate
!
end

Конфигурация Overlay:

vlan 102
   name Clients_102
!
vrf instance VRF1
!
interface Ethernet3
   description Link_to_Client-2
   switchport access vlan 102
   no shutdown
!
interface Vlan102
   vrf VRF1
   ip address virtual 192.168.102.254/24
!
interface Vxlan1
   vxlan source-interface Loopback0
   vxlan vlan 102 vni 1102
   vxlan vrf VRF1 vni 1100
!
ip virtual-router mac-address 02:00:00:00:00:00
!
ip routing vrf VRF1
!
router bgp 65002
   neighbor CLOS send-community extended
!
   vlan 102
      rd auto
      route-target both 100:1102
      redistribute learned
!
    vrf VRF1
    rd 10.1.1.2:1100
    route-target import evpn 100:1100
    route-target export evpn 100:1100
!   
   address-family evpn
      neighbor CLOS activate

Настройка Leaf-3

Начальная конфигурация:

service routing protocols model multi-agent
!
hostname Leaf-3
!
interface Ethernet1
   description Link_to_Spine-1
   no switchport
   ipv6 enable
!
interface Ethernet2
   description Link_to_Spine-2
   no switchport
   ipv6 enable
!
interface Loopback0
   ip address 10.1.1.3/32
!
ip routing ipv6 interfaces
!
ipv6 unicast-routing
!
route-map BGP_REDISTRIBUTE_CONNECTED permit 10
   match interface Loopback0
!
router bgp 65003
   maximum-paths 64
   neighbor CLOS peer group
   neighbor CLOS out-delay 0
   neighbor CLOS bfd
   neighbor CLOS timers 3 9
   neighbor CLOS password OTUS
   redistribute connected route-map BGP_REDISTRIBUTE_CONNECTED
   neighbor interface Et1-2 peer-group CLOS remote-as 65100
   !
   address-family ipv4
      neighbor CLOS activate
      neighbor CLOS next-hop address-family ipv6 originate
!
end

Конфигурация Overlay:

vlan 103
   name Clients_103
!
vlan 104
   name Clients_104
!
vrf instance VRF1
!
interface Ethernet3
   description Link_to_Client-3
   switchport access vlan 103
   no shutdown
!
interface Ethernet4
   description Link_to_Client-4
   switchport access vlan 104
   no shutdown
!
interface Vlan103
   vrf VRF1
   ip address virtual 192.168.103.254/24
!
interface Vlan104
   vrf VRF1
   ip address virtual 192.168.104.254/24
!
interface Vxlan1
   vxlan source-interface Loopback0
   vxlan vlan 103 vni 1103
   vxlan vlan 104 vni 1104
   vxlan vrf VRF1 vni 1100
!
ip virtual-router mac-address 02:00:00:00:00:00
!
ip routing vrf VRF1
!
router bgp 65003
   neighbor CLOS send-community extended
!
   vlan 103
      rd auto
      route-target both 100:1103
      redistribute learned
!
   vlan 104
      rd auto
      route-target both 100:1104
      redistribute learned
!
    vrf VRF1
    rd 10.1.1.3:1100
    route-target import evpn 100:1100
    route-target export evpn 100:1100
!   
   address-family evpn
      neighbor CLOS activate

На этом конфигурацию можно считать законченной. Теперь клиенты должны видеть друг друга на третьем уровне. Проверим!

Проверки

Проверка Spine-1

Spine-1# show bgp summary
BGP summary information for VRF default
Router identifier 10.1.0.1, local AS number 65100
Neighbor                               AS Session State AFI/SAFI                AFI/SAFI State   NLRI Rcd   NLRI Acc
----------------------------- ----------- ------------- ----------------------- -------------- ---------- ----------
fe80::5208:f9ff:fe4a:bd4a%Et3       65003 Established   IPv4 Unicast            Negotiated              1          1
fe80::5208:f9ff:fe4a:bd4a%Et3       65003 Established   L2VPN EVPN              Negotiated              6          6
fe80::52af:28ff:fef4:a836%Et2       65002 Established   IPv4 Unicast            Negotiated              1          1
fe80::52af:28ff:fef4:a836%Et2       65002 Established   L2VPN EVPN              Negotiated              3          3
fe80::52cb:f9ff:fea2:93cf%Et1       65001 Established   IPv4 Unicast            Negotiated              1          1
fe80::52cb:f9ff:fea2:93cf%Et1       65001 Established   L2VPN EVPN              Negotiated              3          3

Посмотрим на маршруты MAC/IP:

Spine-1# show bgp evpn route-type mac-ip
BGP routing table information for VRF default
Router identifier 10.1.0.1, local AS number 65100
Route status codes: * - valid, > - active, S - Stale, E - ECMP head, e - ECMP
                    c - Contributing to ECMP, % - Pending BGP convergence
Origin codes: i - IGP, e - EGP, ? - incomplete
AS Path Attributes: Or-ID - Originator ID, C-LST - Cluster List, LL Nexthop - Link Local Nexthop

          Network                Next Hop              Metric  LocPref Weight  Path
 * >      RD: 10.1.1.1:101 mac-ip 0201.0000.0001
                                 10.1.1.1              -       100     0       65001 i
 * >      RD: 10.1.1.1:101 mac-ip 0201.0000.0001 192.168.101.1
                                 10.1.1.1              -       100     0       65001 i
 * >      RD: 10.1.1.2:102 mac-ip 0201.0000.0002
                                 10.1.1.2              -       100     0       65002 i
 * >      RD: 10.1.1.2:102 mac-ip 0201.0000.0002 192.168.102.2
                                 10.1.1.2              -       100     0       65002 i
 * >      RD: 10.1.1.3:103 mac-ip 0201.0000.0003
                                 10.1.1.3              -       100     0       65003 i
 * >      RD: 10.1.1.3:103 mac-ip 0201.0000.0003 192.168.103.3
                                 10.1.1.3              -       100     0       65003 i
 * >      RD: 10.1.1.3:104 mac-ip 0201.0000.0004
                                 10.1.1.3              -       100     0       65003 i
 * >      RD: 10.1.1.3:104 mac-ip 0201.0000.0004 192.168.104.4
                                 10.1.1.3              -       100     0       65003 i

Видим по одному маршруту MAC-only и по одному маршруту MAC/IP для каждого клиента.

Посмотрим на них поподробнее:

Spine-1# show bgp evpn route-type mac-ip detail
BGP routing table information for VRF default
Router identifier 10.1.0.1, local AS number 65100
BGP routing table entry for mac-ip 0201.0000.0001, Route Distinguisher: 10.1.1.1:101
 Paths: 1 available
  65001
    10.1.1.1 from fe80::52cb:f9ff:fea2:93cf%Et1 (10.1.1.1)
      Origin IGP, metric -, localpref 100, weight 0, tag 0, valid, external, best
      Extended Community: Route-Target-AS:100:1101 TunnelEncap:tunnelTypeVxlan
      VNI: 1101 ESI: 0000:0000:0000:0000:0000
BGP routing table entry for mac-ip 0201.0000.0001 192.168.101.1, Route Distinguisher: 10.1.1.1:101
 Paths: 1 available
  65001
    10.1.1.1 from fe80::52cb:f9ff:fea2:93cf%Et1 (10.1.1.1)
      Origin IGP, metric -, localpref 100, weight 0, tag 0, valid, external, best
      Extended Community: Route-Target-AS:100:1100 Route-Target-AS:100:1101 TunnelEncap:tunnelTypeVxlan EvpnRouterMac:50:cb:f9:a2:93:cf
      VNI: 1101 L3 VNI: 1100 ESI: 0000:0000:0000:0000:0000
BGP routing table entry for mac-ip 0201.0000.0002, Route Distinguisher: 10.1.1.2:102
 Paths: 1 available
  65002
    10.1.1.2 from fe80::52af:28ff:fef4:a836%Et2 (10.1.1.2)
      Origin IGP, metric -, localpref 100, weight 0, tag 0, valid, external, best
      Extended Community: Route-Target-AS:100:1102 TunnelEncap:tunnelTypeVxlan
      VNI: 1102 ESI: 0000:0000:0000:0000:0000
BGP routing table entry for mac-ip 0201.0000.0002 192.168.102.2, Route Distinguisher: 10.1.1.2:102
 Paths: 1 available
  65002
    10.1.1.2 from fe80::52af:28ff:fef4:a836%Et2 (10.1.1.2)
      Origin IGP, metric -, localpref 100, weight 0, tag 0, valid, external, best
      Extended Community: Route-Target-AS:100:1100 Route-Target-AS:100:1102 TunnelEncap:tunnelTypeVxlan EvpnRouterMac:50:af:28:f4:a8:36
      VNI: 1102 L3 VNI: 1100 ESI: 0000:0000:0000:0000:0000
BGP routing table entry for mac-ip 0201.0000.0003, Route Distinguisher: 10.1.1.3:103
 Paths: 1 available
  65003
    10.1.1.3 from fe80::5208:f9ff:fe4a:bd4a%Et3 (10.1.1.3)
      Origin IGP, metric -, localpref 100, weight 0, tag 0, valid, external, best
      Extended Community: Route-Target-AS:100:1103 TunnelEncap:tunnelTypeVxlan
      VNI: 1103 ESI: 0000:0000:0000:0000:0000
BGP routing table entry for mac-ip 0201.0000.0003 192.168.103.3, Route Distinguisher: 10.1.1.3:103
 Paths: 1 available
  65003
    10.1.1.3 from fe80::5208:f9ff:fe4a:bd4a%Et3 (10.1.1.3)
      Origin IGP, metric -, localpref 100, weight 0, tag 0, valid, external, best
      Extended Community: Route-Target-AS:100:1100 Route-Target-AS:100:1103 TunnelEncap:tunnelTypeVxlan EvpnRouterMac:50:08:f9:4a:bd:4a
      VNI: 1103 L3 VNI: 1100 ESI: 0000:0000:0000:0000:0000
BGP routing table entry for mac-ip 0201.0000.0004, Route Distinguisher: 10.1.1.3:104
 Paths: 1 available
  65003
    10.1.1.3 from fe80::5208:f9ff:fe4a:bd4a%Et3 (10.1.1.3)
      Origin IGP, metric -, localpref 100, weight 0, tag 0, valid, external, best
      Extended Community: Route-Target-AS:100:1104 TunnelEncap:tunnelTypeVxlan
      VNI: 1104 ESI: 0000:0000:0000:0000:0000
BGP routing table entry for mac-ip 0201.0000.0004 192.168.104.4, Route Distinguisher: 10.1.1.3:104
 Paths: 1 available
  65003
    10.1.1.3 from fe80::5208:f9ff:fe4a:bd4a%Et3 (10.1.1.3)
      Origin IGP, metric -, localpref 100, weight 0, tag 0, valid, external, best
      Extended Community: Route-Target-AS:100:1100 Route-Target-AS:100:1104 TunnelEncap:tunnelTypeVxlan EvpnRouterMac:50:08:f9:4a:bd:4a
      VNI: 1104 L3 VNI: 1100 ESI: 0000:0000:0000:0000:0000

Обратим внимание, что в маршрутах MAC+IP появился второй Route Target, соответствующий RT для нашего VRF1 (то есть один RT - это RT MAC-VRF, а другой RT - это RT IP-VRF), а также появилось указание L3 VNI для данного маршрута, с помощью которого можно смаршрутизировать трафик, предназначенный для данного хоста.

Также обратим внимание, что здесь появляется комьюнити Router's MAC: EvpnRouterMac на MAC/IP-маршрутах. В этом комьюнити указан MAC-адрес VTEP'а, который является некст-хопом для данного маршрута. Этот MAC нужен для того, чтобы входной (ingress) удаленный VTEP установил данный MAC как DST_MAC во внутреннем инкапсулированном кадре VXLAN. Таким образом, когда выходной (egress) VTEP получит этот кадр, он увидит, что DST_MAC является его локальным MAC, таким образом поднимет пакет на 3-ий уровень для маршрутизации. Без локального MAC в DST_MAC внутреннего кадра, наш VTEP просто отправил бы его в свои порты согласно обычной политике форвардинга на 2-ом уровне и никакой маршрутизации у нас не случилось бы. Для этого и нужен атрибут Router's MAC и он обязательно присутствует в маршруте, где есть присутствует L3VNI.

Маршруты MAC+IP будут установлены в таблицу маршрутизации VRF1.

Проверка Spine-2

Spine-2# show bgp summary
BGP summary information for VRF default
Router identifier 10.1.0.2, local AS number 65100
Neighbor                               AS Session State AFI/SAFI                AFI/SAFI State   NLRI Rcd   NLRI Acc
----------------------------- ----------- ------------- ----------------------- -------------- ---------- ----------
fe80::5208:f9ff:fe4a:bd4a%Et3       65003 Established   IPv4 Unicast            Negotiated              1          1
fe80::5208:f9ff:fe4a:bd4a%Et3       65003 Established   L2VPN EVPN              Negotiated              6          6
fe80::52af:28ff:fef4:a836%Et2       65002 Established   IPv4 Unicast            Negotiated              1          1
fe80::52af:28ff:fef4:a836%Et2       65002 Established   L2VPN EVPN              Negotiated              3          3
fe80::52cb:f9ff:fea2:93cf%Et1       65001 Established   IPv4 Unicast            Negotiated              1          1
fe80::52cb:f9ff:fea2:93cf%Et1       65001 Established   L2VPN EVPN              Negotiated              3          3

Spine-2# show bgp evpn route-type mac-ip 
BGP routing table information for VRF default
Router identifier 10.1.0.2, local AS number 65100
Route status codes: * - valid, > - active, S - Stale, E - ECMP head, e - ECMP
                    c - Contributing to ECMP, % - Pending BGP convergence
Origin codes: i - IGP, e - EGP, ? - incomplete
AS Path Attributes: Or-ID - Originator ID, C-LST - Cluster List, LL Nexthop - Link Local Nexthop

          Network                Next Hop              Metric  LocPref Weight  Path
 * >      RD: 10.1.1.1:101 mac-ip 0201.0000.0001
                                 10.1.1.1              -       100     0       65001 i
 * >      RD: 10.1.1.1:101 mac-ip 0201.0000.0001 192.168.101.1
                                 10.1.1.1              -       100     0       65001 i
 * >      RD: 10.1.1.2:102 mac-ip 0201.0000.0002
                                 10.1.1.2              -       100     0       65002 i
 * >      RD: 10.1.1.2:102 mac-ip 0201.0000.0002 192.168.102.2
                                 10.1.1.2              -       100     0       65002 i
 * >      RD: 10.1.1.3:103 mac-ip 0201.0000.0003
                                 10.1.1.3              -       100     0       65003 i
 * >      RD: 10.1.1.3:103 mac-ip 0201.0000.0003 192.168.103.3
                                 10.1.1.3              -       100     0       65003 i
 * >      RD: 10.1.1.3:104 mac-ip 0201.0000.0004
                                 10.1.1.3              -       100     0       65003 i
 * >      RD: 10.1.1.3:104 mac-ip 0201.0000.0004 192.168.104.4
                                 10.1.1.3              -       100     0       65003 i

Проверка Leaf-1

Leaf-1# show bgp summary 
BGP summary information for VRF default
Router identifier 10.1.1.1, local AS number 65001
Neighbor                               AS Session State AFI/SAFI                AFI/SAFI State   NLRI Rcd   NLRI Acc
----------------------------- ----------- ------------- ----------------------- -------------- ---------- ----------
fe80::5234:ceff:fe1e:87c9%Et2       65100 Established   IPv4 Unicast            Negotiated              3          3
fe80::5234:ceff:fe1e:87c9%Et2       65100 Established   L2VPN EVPN              Negotiated              9          9
fe80::523c:3aff:fe3f:d9d7%Et1       65100 Established   IPv4 Unicast            Negotiated              3          3
fe80::523c:3aff:fe3f:d9d7%Et1       65100 Established   L2VPN EVPN              Negotiated              9          9

Сессии у нас установлены только со Spine-ами, в обоих AF - IPv4 Unicast и в L2VPN EVPN.

Посмотрим, какие маршруты EVPN есть в RIB нашего Leaf-1:

Leaf-1# show bgp evpn 
BGP routing table information for VRF default
Router identifier 10.1.1.1, local AS number 65001
Route status codes: * - valid, > - active, S - Stale, E - ECMP head, e - ECMP
                    c - Contributing to ECMP, % - Pending BGP convergence
Origin codes: i - IGP, e - EGP, ? - incomplete
AS Path Attributes: Or-ID - Originator ID, C-LST - Cluster List, LL Nexthop - Link Local Nexthop

          Network                Next Hop              Metric  LocPref Weight  Path
 * >      RD: 10.1.1.1:101 mac-ip 0201.0000.0001
                                 -                     -       -       0       i
 * >      RD: 10.1.1.1:101 mac-ip 0201.0000.0001 192.168.101.1
                                 -                     -       -       0       i
 * >Ec    RD: 10.1.1.2:102 mac-ip 0201.0000.0002
                                 10.1.1.2              -       100     0       65100 65002 i
 *  ec    RD: 10.1.1.2:102 mac-ip 0201.0000.0002
                                 10.1.1.2              -       100     0       65100 65002 i
 * >Ec    RD: 10.1.1.2:102 mac-ip 0201.0000.0002 192.168.102.2
                                 10.1.1.2              -       100     0       65100 65002 i
 *  ec    RD: 10.1.1.2:102 mac-ip 0201.0000.0002 192.168.102.2
                                 10.1.1.2              -       100     0       65100 65002 i
 * >Ec    RD: 10.1.1.3:103 mac-ip 0201.0000.0003
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:103 mac-ip 0201.0000.0003
                                 10.1.1.3              -       100     0       65100 65003 i
 * >Ec    RD: 10.1.1.3:103 mac-ip 0201.0000.0003 192.168.103.3
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:103 mac-ip 0201.0000.0003 192.168.103.3
                                 10.1.1.3              -       100     0       65100 65003 i
 * >Ec    RD: 10.1.1.3:104 mac-ip 0201.0000.0004
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:104 mac-ip 0201.0000.0004
                                 10.1.1.3              -       100     0       65100 65003 i
 * >Ec    RD: 10.1.1.3:104 mac-ip 0201.0000.0004 192.168.104.4
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:104 mac-ip 0201.0000.0004 192.168.104.4
                                 10.1.1.3              -       100     0       65100 65003 i
 * >      RD: 10.1.1.1:101 imet 10.1.1.1
                                 -                     -       -       0       i
 * >Ec    RD: 10.1.1.2:102 imet 10.1.1.2
                                 10.1.1.2              -       100     0       65100 65002 i
 *  ec    RD: 10.1.1.2:102 imet 10.1.1.2
                                 10.1.1.2              -       100     0       65100 65002 i
 * >Ec    RD: 10.1.1.3:103 imet 10.1.1.3
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:103 imet 10.1.1.3
                                 10.1.1.3              -       100     0       65100 65003 i
 * >Ec    RD: 10.1.1.3:104 imet 10.1.1.3
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:104 imet 10.1.1.3
                                 10.1.1.3              -       100     0       65100 65003 i

Некоторые маршруты получены дважды - для каждого из Spine.

Проверка EVI:

Leaf-1# show bgp evpn instance
EVPN instance: VLAN 101
  Route distinguisher: 0:0
  Route target import: Route-Target-AS:100:1101
  Route target export: Route-Target-AS:100:1101
  Service interface: VLAN-based
  Local VXLAN IP address: 10.1.1.1
  VXLAN: enabled
  MPLS: disabled

Leaf-1# show vxlan vni
VNI to VLAN Mapping for Vxlan1
VNI        VLAN       Source       Interface       802.1Q Tag
---------- ---------- ------------ --------------- ----------
1101       101        static       Ethernet3       untagged  
                                   Vxlan1          101       

VNI to dynamic VLAN Mapping for Vxlan1
VNI        VLAN       VRF        Source       
---------- ---------- ---------- ------------ 
1100       4094       VRF1       evpn

Leaf-1# show vxlan vtep
Remote VTEPS for Vxlan1:

VTEP           Tunnel Type(s)
-------------- --------------
10.1.1.2       unicast       
10.1.1.3       unicast       

Total number of remote VTEPS:  2

Туннели построены только для unicast-трафика (что логично - общих L2VNI с другими Leaf'ами у нас нет).

Взглянем на таблицу маршрутизации VRF1:

Leaf-1# show ip route vrf VRF1

VRF: VRF1
Codes: C - connected, S - static, K - kernel, 
       O - OSPF, IA - OSPF inter area, E1 - OSPF external type 1,
       E2 - OSPF external type 2, N1 - OSPF NSSA external type 1,
       N2 - OSPF NSSA external type2, B - Other BGP Routes,
       B I - iBGP, B E - eBGP, R - RIP, I L1 - IS-IS level 1,
       I L2 - IS-IS level 2, O3 - OSPFv3, A B - BGP Aggregate,
       A O - OSPF Summary, NG - Nexthop Group Static Route,
       V - VXLAN Control Service, M - Martian,
       DH - DHCP client installed default route,
       DP - Dynamic Policy Route, L - VRF Leaked,
       G  - gRIBI, RC - Route Cache Route

Gateway of last resort is not set

 C        192.168.101.0/24 is directly connected, Vlan101
 B E      192.168.102.2/32 [200/0] via VTEP 10.1.1.2 VNI 1100 router-mac 50:af:28:f4:a8:36 local-interface Vxlan1
 B E      192.168.103.3/32 [200/0] via VTEP 10.1.1.3 VNI 1100 router-mac 50:08:f9:4a:bd:4a local-interface Vxlan1
 B E      192.168.104.4/32 [200/0] via VTEP 10.1.1.3 VNI 1100 router-mac 50:08:f9:4a:bd:4a local-interface Vxlan1

Мы видим, что коммутатор установил в таблицу маршрутизации маршруты до других клиентов, доступных в других VNI. Ариста наглядно показывает здесь IP-адрес удаленного VTEP'а, номер VNI, Router's MAC VTEP'а, а также локальный VXLAN-интерфейс.

Проверка Leaf-2

Пробежимся вкратце.

Leaf-2# show bgp summary 
BGP summary information for VRF default
Router identifier 10.1.1.2, local AS number 65002
Neighbor                               AS Session State AFI/SAFI                AFI/SAFI State   NLRI Rcd   NLRI Acc
----------------------------- ----------- ------------- ----------------------- -------------- ---------- ----------
fe80::5234:ceff:fe1e:87c9%Et2       65100 Established   IPv4 Unicast            Negotiated              3          3
fe80::5234:ceff:fe1e:87c9%Et2       65100 Established   L2VPN EVPN              Negotiated              9          9
fe80::523c:3aff:fe3f:d9d7%Et1       65100 Established   IPv4 Unicast            Negotiated              3          3
fe80::523c:3aff:fe3f:d9d7%Et1       65100 Established   L2VPN EVPN              Negotiated              9          9

Leaf-2# show bgp evpn
BGP routing table information for VRF default
Router identifier 10.1.1.2, local AS number 65002
Route status codes: * - valid, > - active, S - Stale, E - ECMP head, e - ECMP
                    c - Contributing to ECMP, % - Pending BGP convergence
Origin codes: i - IGP, e - EGP, ? - incomplete
AS Path Attributes: Or-ID - Originator ID, C-LST - Cluster List, LL Nexthop - Link Local Nexthop

          Network                Next Hop              Metric  LocPref Weight  Path
 * >Ec    RD: 10.1.1.1:101 mac-ip 0201.0000.0001
                                 10.1.1.1              -       100     0       65100 65001 i
 *  ec    RD: 10.1.1.1:101 mac-ip 0201.0000.0001
                                 10.1.1.1              -       100     0       65100 65001 i
 * >Ec    RD: 10.1.1.1:101 mac-ip 0201.0000.0001 192.168.101.1
                                 10.1.1.1              -       100     0       65100 65001 i
 *  ec    RD: 10.1.1.1:101 mac-ip 0201.0000.0001 192.168.101.1
                                 10.1.1.1              -       100     0       65100 65001 i
 * >      RD: 10.1.1.2:102 mac-ip 0201.0000.0002
                                 -                     -       -       0       i
 * >      RD: 10.1.1.2:102 mac-ip 0201.0000.0002 192.168.102.2
                                 -                     -       -       0       i
 * >Ec    RD: 10.1.1.3:103 mac-ip 0201.0000.0003
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:103 mac-ip 0201.0000.0003
                                 10.1.1.3              -       100     0       65100 65003 i
 * >Ec    RD: 10.1.1.3:103 mac-ip 0201.0000.0003 192.168.103.3
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:103 mac-ip 0201.0000.0003 192.168.103.3
                                 10.1.1.3              -       100     0       65100 65003 i
 * >Ec    RD: 10.1.1.3:104 mac-ip 0201.0000.0004
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:104 mac-ip 0201.0000.0004
                                 10.1.1.3              -       100     0       65100 65003 i
 * >Ec    RD: 10.1.1.3:104 mac-ip 0201.0000.0004 192.168.104.4
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:104 mac-ip 0201.0000.0004 192.168.104.4
                                 10.1.1.3              -       100     0       65100 65003 i
 * >Ec    RD: 10.1.1.1:101 imet 10.1.1.1
                                 10.1.1.1              -       100     0       65100 65001 i
 *  ec    RD: 10.1.1.1:101 imet 10.1.1.1
                                 10.1.1.1              -       100     0       65100 65001 i
 * >      RD: 10.1.1.2:102 imet 10.1.1.2
                                 -                     -       -       0       i
 * >Ec    RD: 10.1.1.3:103 imet 10.1.1.3
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:103 imet 10.1.1.3
                                 10.1.1.3              -       100     0       65100 65003 i
 * >Ec    RD: 10.1.1.3:104 imet 10.1.1.3
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:104 imet 10.1.1.3
                                 10.1.1.3              -       100     0       65100 65003 i

EVI:

Leaf-2# show bgp evpn instance
EVPN instance: VLAN 102
  Route distinguisher: 0:0
  Route target import: Route-Target-AS:100:1102
  Route target export: Route-Target-AS:100:1102
  Service interface: VLAN-based
  Local VXLAN IP address: 10.1.1.2
  VXLAN: enabled
  MPLS: disabled

Leaf-2# show vxlan vni
VNI to VLAN Mapping for Vxlan1
VNI        VLAN       Source       Interface       802.1Q Tag
---------- ---------- ------------ --------------- ----------
1102       102        static       Ethernet3       untagged  
                                   Vxlan1          102       

VNI to dynamic VLAN Mapping for Vxlan1
VNI        VLAN       VRF        Source       
---------- ---------- ---------- ------------ 
1100       4094       VRF1       evpn

Leaf-2# show vxlan control-plane 
   VLAN       Control Plane       Direction    Source       
---------- ------------------- --------------- -------------
   102        EVPN                both         configuration

Leaf-2# show vxlan vtep
Remote VTEPS for Vxlan1:

VTEP           Tunnel Type(s)
-------------- --------------
10.1.1.1       unicast       
10.1.1.3       unicast       

Total number of remote VTEPS:  2

И таблица маршрутизации:

Leaf-2# show ip route vrf VRF1

VRF: VRF1
Codes: C - connected, S - static, K - kernel, 
       O - OSPF, IA - OSPF inter area, E1 - OSPF external type 1,
       E2 - OSPF external type 2, N1 - OSPF NSSA external type 1,
       N2 - OSPF NSSA external type2, B - Other BGP Routes,
       B I - iBGP, B E - eBGP, R - RIP, I L1 - IS-IS level 1,
       I L2 - IS-IS level 2, O3 - OSPFv3, A B - BGP Aggregate,
       A O - OSPF Summary, NG - Nexthop Group Static Route,
       V - VXLAN Control Service, M - Martian,
       DH - DHCP client installed default route,
       DP - Dynamic Policy Route, L - VRF Leaked,
       G  - gRIBI, RC - Route Cache Route

Gateway of last resort is not set

 B E      192.168.101.1/32 [200/0] via VTEP 10.1.1.1 VNI 1100 router-mac 50:cb:f9:a2:93:cf local-interface Vxlan1
 C        192.168.102.0/24 is directly connected, Vlan102
 B E      192.168.103.3/32 [200/0] via VTEP 10.1.1.3 VNI 1100 router-mac 50:08:f9:4a:bd:4a local-interface Vxlan1
 B E      192.168.104.4/32 [200/0] via VTEP 10.1.1.3 VNI 1100 router-mac 50:08:f9:4a:bd:4a local-interface Vxlan1

Видим маршруты до остальных клиентов в других VNI.

Проверка Leaf-3

Leaf-3# show bgp summary 
BGP summary information for VRF default
Router identifier 10.1.1.3, local AS number 65003
Neighbor                               AS Session State AFI/SAFI                AFI/SAFI State   NLRI Rcd   NLRI Acc
----------------------------- ----------- ------------- ----------------------- -------------- ---------- ----------
fe80::5234:ceff:fe1e:87c9%Et2       65100 Established   IPv4 Unicast            Negotiated              3          3
fe80::5234:ceff:fe1e:87c9%Et2       65100 Established   L2VPN EVPN              Negotiated              6          6
fe80::523c:3aff:fe3f:d9d7%Et1       65100 Established   IPv4 Unicast            Negotiated              3          3
fe80::523c:3aff:fe3f:d9d7%Et1       65100 Established   L2VPN EVPN              Negotiated              6          6

Leaf-3# show bgp evpn
BGP routing table information for VRF default
Router identifier 10.1.1.3, local AS number 65003
Route status codes: * - valid, > - active, S - Stale, E - ECMP head, e - ECMP
                    c - Contributing to ECMP, % - Pending BGP convergence
Origin codes: i - IGP, e - EGP, ? - incomplete
AS Path Attributes: Or-ID - Originator ID, C-LST - Cluster List, LL Nexthop - Link Local Nexthop

          Network                Next Hop              Metric  LocPref Weight  Path
 * >Ec    RD: 10.1.1.1:101 mac-ip 0201.0000.0001
                                 10.1.1.1              -       100     0       65100 65001 i
 *  ec    RD: 10.1.1.1:101 mac-ip 0201.0000.0001
                                 10.1.1.1              -       100     0       65100 65001 i
 * >Ec    RD: 10.1.1.1:101 mac-ip 0201.0000.0001 192.168.101.1
                                 10.1.1.1              -       100     0       65100 65001 i
 *  ec    RD: 10.1.1.1:101 mac-ip 0201.0000.0001 192.168.101.1
                                 10.1.1.1              -       100     0       65100 65001 i
 * >Ec    RD: 10.1.1.2:102 mac-ip 0201.0000.0002
                                 10.1.1.2              -       100     0       65100 65002 i
 *  ec    RD: 10.1.1.2:102 mac-ip 0201.0000.0002
                                 10.1.1.2              -       100     0       65100 65002 i
 * >Ec    RD: 10.1.1.2:102 mac-ip 0201.0000.0002 192.168.102.2
                                 10.1.1.2              -       100     0       65100 65002 i
 *  ec    RD: 10.1.1.2:102 mac-ip 0201.0000.0002 192.168.102.2
                                 10.1.1.2              -       100     0       65100 65002 i
 * >      RD: 10.1.1.3:103 mac-ip 0201.0000.0003
                                 -                     -       -       0       i
 * >      RD: 10.1.1.3:103 mac-ip 0201.0000.0003 192.168.103.3
                                 -                     -       -       0       i
 * >      RD: 10.1.1.3:104 mac-ip 0201.0000.0004
                                 -                     -       -       0       i
 * >      RD: 10.1.1.3:104 mac-ip 0201.0000.0004 192.168.104.4
                                 -                     -       -       0       i
 * >Ec    RD: 10.1.1.1:101 imet 10.1.1.1
                                 10.1.1.1              -       100     0       65100 65001 i
 *  ec    RD: 10.1.1.1:101 imet 10.1.1.1
                                 10.1.1.1              -       100     0       65100 65001 i
 * >Ec    RD: 10.1.1.2:102 imet 10.1.1.2
                                 10.1.1.2              -       100     0       65100 65002 i
 *  ec    RD: 10.1.1.2:102 imet 10.1.1.2
                                 10.1.1.2              -       100     0       65100 65002 i
 * >      RD: 10.1.1.3:103 imet 10.1.1.3
                                 -                     -       -       0       i
 * >      RD: 10.1.1.3:104 imet 10.1.1.3
                                 -                     -       -       0       i

EVI:

Leaf-3# show bgp evpn instance
EVPN instance: VLAN 103
  Route distinguisher: 0:0
  Route target import: Route-Target-AS:100:1103
  Route target export: Route-Target-AS:100:1103
  Service interface: VLAN-based
  Local VXLAN IP address: 10.1.1.3
  VXLAN: enabled
  MPLS: disabled
EVPN instance: VLAN 104
  Route distinguisher: 0:0
  Route target import: Route-Target-AS:100:1104
  Route target export: Route-Target-AS:100:1104
  Service interface: VLAN-based
  Local VXLAN IP address: 10.1.1.3
  VXLAN: enabled
  MPLS: disabled

Leaf-3# show vxlan vni
VNI to VLAN Mapping for Vxlan1
VNI        VLAN       Source       Interface       802.1Q Tag
---------- ---------- ------------ --------------- ----------
1103       103        static       Ethernet3       untagged  
                                   Vxlan1          103       
1104       104        static       Ethernet4       untagged  
                                   Vxlan1          104       

VNI to dynamic VLAN Mapping for Vxlan1
VNI        VLAN       VRF        Source       
---------- ---------- ---------- ------------ 
1100       4094       VRF1       evpn

Leaf-3# show vxlan control-plane 
   VLAN       Control Plane       Direction    Source       
---------- ------------------- --------------- -------------
   103        EVPN                both         configuration
   104        EVPN                both         configuration

Leaf-3# show vxlan vtep
Remote VTEPS for Vxlan1:

VTEP           Tunnel Type(s)
-------------- --------------
10.1.1.1       unicast       
10.1.1.2       unicast       

Total number of remote VTEPS:  2

Ну и взглянем на таблицу маршрутизации:

Leaf-3# show ip route vrf VRF1

VRF: VRF1
Codes: C - connected, S - static, K - kernel, 
       O - OSPF, IA - OSPF inter area, E1 - OSPF external type 1,
       E2 - OSPF external type 2, N1 - OSPF NSSA external type 1,
       N2 - OSPF NSSA external type2, B - Other BGP Routes,
       B I - iBGP, B E - eBGP, R - RIP, I L1 - IS-IS level 1,
       I L2 - IS-IS level 2, O3 - OSPFv3, A B - BGP Aggregate,
       A O - OSPF Summary, NG - Nexthop Group Static Route,
       V - VXLAN Control Service, M - Martian,
       DH - DHCP client installed default route,
       DP - Dynamic Policy Route, L - VRF Leaked,
       G  - gRIBI, RC - Route Cache Route

Gateway of last resort is not set

 B E      192.168.101.1/32 [200/0] via VTEP 10.1.1.1 VNI 1100 router-mac 50:cb:f9:a2:93:cf local-interface Vxlan1
 B E      192.168.102.2/32 [200/0] via VTEP 10.1.1.2 VNI 1100 router-mac 50:af:28:f4:a8:36 local-interface Vxlan1
 C        192.168.103.0/24 is directly connected, Vlan103
 C        192.168.104.0/24 is directly connected, Vlan104

Две сети являются локальными, о двух клиентах мы знаем от удаленных VTEP'ов.

Проверка связности между клиентами

Проверять будем следующим образом. Сначала мы на клиенте делаем пинг другого клиента (физически находящегося за другим Leaf'ом). Затем смотрим в tcpdump и проверяем, действительно ли трафик инкапсулируется в L3VNI, а не в L2VNI.

Далее пингуем всех остальных клиентов. Так повторяем со всеми клиентами (кроме tcpdump, его сделаем только для первого пинга).

На всякий случай еще раз приведем настройки каждого клиента: Client-1

auto eth0
iface eth0 inet static
        address 192.168.101.1
        netmask 255.255.255.0
        gateway 192.168.101.254
        hwaddress 02:01:00:00:00:01

Client-2

auto eth0
iface eth0 inet static
        address 192.168.102.2
        netmask 255.255.255.0
        gateway 192.168.102.254
        hwaddress 02:01:00:00:00:02

Client-3

auto eth0
iface eth0 inet static
        address 192.168.103.3
        netmask 255.255.255.0
        gateway 192.168.103.254
        hwaddress 02:01:00:00:00:03

Client-4

auto eth0
iface eth0 inet static
        address 192.168.104.4
        netmask 255.255.255.0
        gateway 192.168.104.254
        hwaddress 02:01:00:00:00:04

Итак, проверяем. Запускаем пинг с Client-1 до Client-4. Как это выглядит на топологии (обратный трафик идет зеркально):

Client-1:~# ping 192.168.104.4
PING 192.168.104.4 (192.168.104.4): 56 data bytes
64 bytes from 192.168.104.4: seq=0 ttl=62 time=16.407 ms
64 bytes from 192.168.104.4: seq=1 ttl=62 time=14.566 ms
64 bytes from 192.168.104.4: seq=2 ttl=62 time=16.310 ms
...

Захватываем трафик в Wireshark и смотрим, в каком виде ходят пакеты. На интерфейсе eth3 на Leaf-1 (к которому подключен Client-1), пакеты ICMP Request и ICMP Reply выглядят так:

Frame 1: 98 bytes on wire (784 bits), 98 bytes captured (784 bits)
Ethernet II, Src: 02:01:00:00:00:01, Dst: 02:00:00:00:00:00
Internet Protocol Version 4, Src: 192.168.101.1, Dst: 192.168.104.4
Internet Control Message Protocol

Frame 2: 98 bytes on wire (784 bits), 98 bytes captured (784 bits)
Ethernet II, Src: 50:9d:63:e5:aa:eb, Dst: 02:01:00:00:00:01
Internet Protocol Version 4, Src: 192.168.104.4, Dst: 192.168.101.1
Internet Control Message Protocol

Запрос: SRC_MAC - наш клиент, DST_MAC - Anycast MAC IRB-интерфейса. SRC_IP - IP Client-1, DST_IP - IP Client-4

Ответ: SRC_MAC - аппаратный адрес Leaf-1, DST_MAC - MAC Client-1. SRC_IP - IP Client-4, DST_IP - IP Client-1

Обычный обмен трафиком, без каких-либо инкапсуляций.

А теперь посмотрим на интерфейс Ethernet1 на Leaf-1, который смотрит в Spine-1. В каком виде здесь мы увидим наш ICMP-обмен?

Frame 1: 148 bytes on wire (1184 bits), 148 bytes captured (1184 bits)
Ethernet II, Src: 50:9d:63:e5:aa:eb (50:9d:63:e5:aa:eb), Dst: 50:76:0b:69:9e:fa (50:76:0b:69:9e:fa)
Internet Protocol Version 4, Src: 10.1.1.1, Dst: 10.1.1.3
User Datagram Protocol, Src Port: 20281, Dst Port: 4789
Virtual eXtensible Local Area Network
    Flags: 0x0800, VXLAN Network ID (VNI)
    Group Policy ID: 0
    VXLAN Network Identifier (VNI): 1100
    Reserved: 0
Ethernet II, Src: 50:9d:63:e5:aa:eb (50:9d:63:e5:aa:eb), Dst: 50:37:c7:d0:4b:4b (50:37:c7:d0:4b:4b)
Internet Protocol Version 4, Src: 192.168.101.1, Dst: 192.168.104.4
Internet Control Message Protocol

Тут мы уже видим инкапсуляцию в VNI 1100 - это наш L3VNI. Разберем первый кадр. OUTER_SRC_MAC: аппаратный MAC Leaf-1, OUTER_DST_MAC: MAC-адрес Spine-1. OUTER_SRC_IP: Loopback-адрес Leaf-1 (он же VTEP IP), OUTER_DST_IP: Loopback-адрес Leaf-3 (он же VTEP IP). OUTER_DST_UDP_PORT: 4789 - well-known порт VXLAN. VNI: 1100: L3VNI VRF, в котором живут клиенты. INNER_SRC_MAC: аппаратный MAC Leaf-1. INNER_DST_MAC: аппаратный MAC Leaf-3. INNER_SRC_IP: IP-адрес Client-1. INNER_DST_IP: IP-адрес Client-4.

Аппаратный MAC Leaf-3 был взят из комьюнити Router's MAC в маршруте RT-2 для MAC/IP Client-4:

BGP routing table entry for mac-ip 0201.0000.0004 192.168.104.4, Route Distinguisher: 10.1.1.3:104
 Paths: 1 available
  65003
    10.1.1.3 from fe80::5237:c7ff:fed0:4b4b%Et3 (10.1.1.3)
      Origin IGP, metric -, localpref 100, weight 0, tag 0, valid, external, best
      Extended Community: Route-Target-AS:100:1100 Route-Target-AS:100:1104 TunnelEncap:tunnelTypeVxlan EvpnRouterMac:50:37:c7:d0:4b:4b
      VNI: 1104 L3 VNI: 1100 ESI: 0000:0000:0000:0000:0000

Frame 2: 148 bytes on wire (1184 bits), 148 bytes captured (1184 bits)
Ethernet II, Src: 50:76:0b:69:9e:fa (50:76:0b:69:9e:fa), Dst: 50:9d:63:e5:aa:eb (50:9d:63:e5:aa:eb)
Internet Protocol Version 4, Src: 10.1.1.3, Dst: 10.1.1.1
User Datagram Protocol, Src Port: 20281, Dst Port: 4789
Virtual eXtensible Local Area Network
    Flags: 0x0800, VXLAN Network ID (VNI)
    Group Policy ID: 0
    VXLAN Network Identifier (VNI): 1100
    Reserved: 0
Ethernet II, Src: 50:37:c7:d0:4b:4b (50:37:c7:d0:4b:4b), Dst: 50:9d:63:e5:aa:eb (50:9d:63:e5:aa:eb)
Internet Protocol Version 4, Src: 192.168.104.4, Dst: 192.168.101.1
Internet Control Message Protocol

Разберем второй кадр (с ответом). OUTER_SRC_MAC: аппаратный MAC Spine-1, OUTER_DST_MAC: MAC-адрес Leaf-1. OUTER_SRC_IP: Loopback-адрес Leaf-3 (он же VTEP IP), OUTER_DST_IP: Loopback-адрес Leaf-1 (он же VTEP IP). OUTER_DST_UDP_PORT: 4789 - well-known порт VXLAN. VNI: 1100: L3VNI VRF, в котором живут клиенты. INNER_SRC_MAC: аппаратный MAC Leaf-3. INNER_DST_MAC: аппаратный MAC Leaf-1 (он же взят из комьюнити Router's MAC маршрута RT-2 для Client-1). INNER_SRC_IP: IP-адрес Client-4. INNER_DST_IP: IP-адрес Client-1.

Маршрут RT-2 для Client-1 с Router's MAC:

BGP routing table entry for mac-ip 0201.0000.0001 192.168.101.1, Route Distinguisher: 10.1.1.1:101
 Paths: 2 available
  65100 65001
    10.1.1.1 from fe80::5276:bff:fe69:9efa%Et1 (10.1.0.1)
      Origin IGP, metric -, localpref 100, weight 0, tag 0, valid, external, ECMP head, ECMP, best, ECMP contributor
      Extended Community: Route-Target-AS:100:1100 Route-Target-AS:100:1101 TunnelEncap:tunnelTypeVxlan EvpnRouterMac:50:9d:63:e5:aa:eb
      VNI: 1101 L3 VNI: 1100 ESI: 0000:0000:0000:0000:0000

Посмотрим на интерфейс Ethernet1 на Leaf-3, где мы принимаем пакеты от Spine-1:

root@pnetlab:~# tcpdump -i vunl5_1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vunl5_1, link-type EN10MB (Ethernet), capture size 262144 bytes
21:02:43.416106 IP 10.1.1.1.20281 > 10.1.1.3.4789: VXLAN, flags [I] (0x08), vni 1100
IP 192.168.101.1 > 192.168.104.4: ICMP echo request, id 2158, seq 47, length 64
21:02:43.424647 IP 10.1.1.3.20281 > 10.1.1.1.4789: VXLAN, flags [I] (0x08), vni 1100
IP 192.168.104.4 > 192.168.101.1: ICMP echo reply, id 2158, seq 47, length 64
21:02:44.415560 IP 10.1.1.1.20281 > 10.1.1.3.4789: VXLAN, flags [I] (0x08), vni 1100
IP 192.168.101.1 > 192.168.104.4: ICMP echo request, id 2158, seq 48, length 64
21:02:44.420725 IP 10.1.1.3.20281 > 10.1.1.1.4789: VXLAN, flags [I] (0x08), vni 1100
IP 192.168.104.4 > 192.168.101.1: ICMP echo reply, id 2158, seq 48, length 64

Пакеты приходят, инкапсулированные в VXLAN VNI 1100 (L3VNI).

Теперь глянем на интерфейс Ethernet4, в который на Leaf-3 подключен клиент Client-4:

root@pnetlab:~# tcpdump -i vunl5_4 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vunl5_4, link-type EN10MB (Ethernet), capture size 262144 bytes
21:03:46.442647 IP 192.168.101.1 > 192.168.104.4: ICMP echo request, id 2158, seq 110, length 64
21:03:46.445647 IP 192.168.104.4 > 192.168.101.1: ICMP echo reply, id 2158, seq 110, length 64
21:03:47.443105 IP 192.168.101.1 > 192.168.104.4: ICMP echo request, id 2158, seq 111, length 64
21:03:47.443448 IP 192.168.104.4 > 192.168.101.1: ICMP echo reply, id 2158, seq 111, length 64
21:03:48.443787 IP 192.168.101.1 > 192.168.104.4: ICMP echo request, id 2158, seq 112, length 64
21:03:48.444268 IP 192.168.104.4 > 192.168.101.1: ICMP echo reply, id 2158, seq 112, length 64

Внешний IP-пакет и VXLAN-заголовки были сняты, и теперь трафик в сторону Client-4 (и от него) идет как обычный IP, без инкапсуляции.

Таким образом мы убедились, что пинги между Client-1 и Client-4 ходят инкапсулированными в L3VNI 1100.

В ARP-таблице у Client-1 только адрес шлюза:

Client-1:~# ip nei
192.168.101.254 dev eth0 lladdr 02:00:00:00:00:00 ref 1 used 0/0/0 probes 4 REACHABLE

Пропингуем остальных:

Client-1:~# ping 192.168.102.2
PING 192.168.102.2 (192.168.102.2): 56 data bytes
64 bytes from 192.168.102.2: seq=0 ttl=62 time=20.007 ms
^C
--- 192.168.102.2 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 20.007/20.007/20.007 ms

Client-1:~# ping 192.168.103.3
PING 192.168.103.3 (192.168.103.3): 56 data bytes
64 bytes from 192.168.103.3: seq=0 ttl=62 time=14.252 ms
^C
--- 192.168.103.3 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 14.252/14.252/14.252 ms

Связность есть.

Сделаем проверки для Client-2, Client-3 и Client-4: Client-2:

Client-2:~# ping 192.168.101.1 -c 1
PING 192.168.101.1 (192.168.101.1): 56 data bytes
64 bytes from 192.168.101.1: seq=0 ttl=62 time=16.544 ms

--- 192.168.101.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 16.544/16.544/16.544 ms


Client-2:~# ping 192.168.103.3 -c 1
PING 192.168.103.3 (192.168.103.3): 56 data bytes
64 bytes from 192.168.103.3: seq=0 ttl=62 time=13.858 ms

--- 192.168.103.3 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 13.858/13.858/13.858 ms


Client-2:~# ping 192.168.104.4 -c 1
PING 192.168.104.4 (192.168.104.4): 56 data bytes
64 bytes from 192.168.104.4: seq=0 ttl=62 time=17.559 ms

--- 192.168.104.4 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 17.559/17.559/17.559 ms

ARP-таблица Client-2:

Client-2:~# ip nei
192.168.102.254 dev eth0 lladdr 02:00:00:00:00:00 ref 1 used 0/0/0 probes 4 REACHABLE

Client-3:

lient-3:~# ping 192.168.101.1 -c 1
PING 192.168.101.1 (192.168.101.1): 56 data bytes
64 bytes from 192.168.101.1: seq=0 ttl=62 time=16.769 ms

--- 192.168.101.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 16.769/16.769/16.769 ms


Client-3:~# ping 192.168.102.2 -c 1
PING 192.168.102.2 (192.168.102.2): 56 data bytes
64 bytes from 192.168.102.2: seq=0 ttl=62 time=21.587 ms

--- 192.168.102.2 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 21.587/21.587/21.587 ms


Client-3:~# ping 192.168.104.4 -c 1
PING 192.168.104.4 (192.168.104.4): 56 data bytes
64 bytes from 192.168.104.4: seq=0 ttl=63 time=5.538 ms

--- 192.168.104.4 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 5.538/5.538/5.538 ms

ARP-таблица Client-3:

Client-3:~# ip nei
192.168.103.254 dev eth0 lladdr 02:00:00:00:00:00 ref 1 used 0/0/0 probes 4 REACHABLE

Client-4:

Client-4:~# ping 192.168.101.1 -c 1
PING 192.168.101.1 (192.168.101.1): 56 data bytes
64 bytes from 192.168.101.1: seq=0 ttl=62 time=16.014 ms

--- 192.168.101.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 16.014/16.014/16.014 ms


Client-4:~# ping 192.168.102.2 -c 1
PING 192.168.102.2 (192.168.102.2): 56 data bytes
64 bytes from 192.168.102.2: seq=0 ttl=62 time=14.355 ms

--- 192.168.102.2 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 14.355/14.355/14.355 ms


Client-4:~# ping 192.168.103.3 -c 1
PING 192.168.103.3 (192.168.103.3): 56 data bytes
64 bytes from 192.168.103.3: seq=0 ttl=63 time=5.626 ms

--- 192.168.103.3 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 5.626/5.626/5.626 ms

ARP-таблица Client-4:

Client-4:~# ip nei
192.168.104.254 dev eth0 lladdr 02:00:00:00:00:00 ref 1 used 0/0/0 probes 4 REACHABLE

Всё работает. Теперь мы можем перейти к настройке резервируемости для конечных узлов - EVPN Multihoming.

Previous2. Настройка EVPN L2 VXLAN Next4. Настройка EVPN Multihoming

Last updated 1 year ago