VXLAN-EVPN-M-LAG

VXLAN EVPN建立大二层网络

思路：

1. Leaf、spine配置IP地址，以及通过OSPF实现全网互通
   1. 配置互联地址IP，leaf的vlan视图无需配置，ospf打通环回口建立VPN邻居
2. Leaf开启L2vpn，关闭mac、arp隧道学习功能
3. Leaf、spine配置L2vpn evpn邻居（RR记得关闭RT识别功能）
   1. Spine作为发射器，指明客户端，取消RT检测

此时leaf通过命令可以查看vxlan隧道建立成功

1. leaf下行口配置链路类型，创建服务实例，配置匹配的到vlan id以及对应的vsi。
   1. 下口配置trunk
   2. 创建service-instance 名字
   3. 选择需要抓的VLAN
   4. 绑定对于VSI
   5. 配置VTEP ACCESS PORT表面接口是接入接口

二层VXLAN+M-LAG组网

• 项目背景

随着网络的发展，数据中心架构日益丰富，前期介绍了防火墙旁挂场景，保证内网安全，以及F5的LTM设备实现负载均衡，对于数据中心整体架构，目前主流的是leaf+spine并且都是M-LAG架构提升系统冗余性，spine部署两台，均作为RR，以实现故障切换。

• 项目拓扑图

• 项目需求

1. 通过VXLAN技术实现业务互通
2. 控制场面采用evpn，转发层面采用vxlan
3. SW3、SW4使用M-LAG组成leaf
4. Leaf和spine通过OSPF实现overlay网络互联，MP BGP实现EVPN邻居

• 配置思路

1. leaf、spine配置IP地址，通过OSPF实现环回口互联
2. 配置M-LAG
3. Leaf开启L2VPN，关闭mac、arp学习功能
4. 创建VSI并且绑定vxlan id，配置RT和RD
5. spine与leaf建立EVPN邻居
6. Leaf配置下行接口，将vlan与VSI绑定

• 部署流程

1. 为每个leaf、spine配置IP地址（互联地址以及环回口地址）

配置略

1. 配置M-LAG系统，只将下行口设置为M-LAG成员接口

配置略

1. Leaf、spine配置OSPF实现环回口互联

配置略

1. 所有leaf设备开启l2vpn，并且关闭vxlan隧道的mac、arp学习功能

所有Leaf配置：

l2vpn enable

vxlan tunnel arp-learning disable

vxlan tunnel mac-learning disable

5、创建VSI，绑定vxlan，选择evpn封装vxlan，配置RT和RD

所有leaf设备配置：

#

vsi vxlan10

vxlan 10

evpn encapsulation vxlan

route-distinguisher 10:10

vpn-target 10:10 export-extcommunity

vpn-target 10:10 import-extcommunity

#

vsi vxlan20

vxlan 20

evpn encapsulation vxlan

route-distinguisher 20:20

vpn-target 20:20 export-extcommunity

vpn-target 20:20 import-extcommunity

1. leaf、spine配置MP-BGP，建立evpn邻居

注意：避免keepalive链路IP地址使用1.1.1.1，可能与koopback冲突导致路由故障

所有Leaf配置：

#

bgp 100

peer 1.1.1.1 as-number 100

peer 1.1.1.1 connect-interface LoopBack0

peer 2.2.2.2 as-number 100

peer 2.2.2.2 connect-interface LoopBack0

#

address-family l2vpn evpn

peer 1.1.1.1 enable

peer 2.2.2.2 enable

所有spine配置

bgp 100

peer 3.3.3.3 as-number 100

peer 3.3.3.3 connect-interface LoopBack0

peer 4.4.4.4 as-number 100

peer 4.4.4.4 connect-interface LoopBack0

peer 5.5.5.5 as-number 100

peer 5.5.5.5 connect-interface LoopBack0

#

address-family l2vpn evpn

peer 3.3.3.3 enable

peer 3.3.3.3 reflect-client

peer 4.4.4.4 enable

peer 4.4.4.4 reflect-client

peer 5.5.5.5 enable

peer 5.5.5.5 reflect-client

undo policy vpn-target

1. leaf下行口配置

创建VLAN

创建服务实例->选择需要封装的vlan id->匹配到对于VSI

M-LAG设备进入下行聚合口，其它设备进入下行物理接口：

service-instance 10

encapsulation s-vid 10

xconnect vsi vxlan10

#

service-instance 20

encapsulation s-vid 20

xconnect vsi vxlan20

1. leaf与接入交换机创建vlan，配置链路类型

略

此时，业务不能通信，是因为M-LAG系统没能形成一个VTEP设备，所以需要配置一个地址，对外宣告作为一个VTEP设备。

1. LAG设备：

int loopback 11

ip add 11.11.11.11 32

evpn m-lag group 11.11.11.11

ospf

net 11.11.11.11 0.0.0.0

此时业务可以相互通信

• 核心干货

• 故障A

场景：

如果M-LAG某台设备故障，则由于M-LAG机制，下行设备聚合口会感知到上行设备故障，通过另外一台设备转发。

但如果M-LAG某台设备上行链路故障，下行设备会感知不到，导致流量仍然是负载分担的形式发到M-LAG系统，但由于设备B的上行口故障，已经不存在去玩目的VTEP的路由，即使peer-link会自动生成服务实例，但由于没有路由，导致流量中断

解决方案：

Peer-link接口是放行所有vlan的，所以可以通过创建某个VLAN，并且配置IP地址，宣告在OSPF中，这样两台M-LAG设备会形成OSPF邻居，设备A收到的路由也可以传递给设备B，保证了设备B存在目的ＶＴＥＰ设备路由。

设备Ａ：

interface Vlan-interface100

ip address 100.1.1.1 255.255.255.0

ospf 1

network 100.1.1.1 0.0.0.0

设备Ｂ：

interface Vlan-interface100

ip address 100.1.1.2 255.255.255.0

ospf 1

network 100.1.1.2 0.0.0.0

• 原理

在M-LAG中，有两种模式，一个是直连模式，另外一个是隧道模式，通常使用直连模式。

直连模式：peer-link上自动生成VSI，当下行口故障后通过peer-link将数据传递对方。

隧道模式：peer-link通过vxlan隧道建立，通过peer-link传输的数据需要额外封装vxlan