Lab 3 - Multi-Homing - Dual-Homed Device
Multi-Homing - Dual-Homed Device
Ce lab3 part de la fabric VXLAN EVPN du lab2 et n’en change pas le socle underlay/overlay. La différence importante est l’ajout du multi-homing EVPN pour un équipement terminal, afin de supprimer le point de défaillance unique que représentait un lien d’accès isolé.
L’objectif n’est donc pas de redécrire VXLAN ou EVPN, mais d’expliquer ce qui a été ajouté pour que deux leafs puissent présenter un même segment logique vers un serveur, avec un comportement all-active.
L’implémentation s’appuie sur les principes EVPN Multi-Homing décrits dans la documentation Cisco Catalyst 9300 pour les fabrics BGP EVPN VXLAN : https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/vxlan/b_1715_bgp_evpn_vxlan_9300_cg/configuring_multi_homing_in_bgp_evpn_vxlan_fabric.html
Structure
Spine1 (RR + RP)
/ \
/ \
Leaf1 Leaf2
| \ / |
| \ / |
| Spine2 (RR + RP) |
| |
| |
|---- Port-Channel ---- Serveur
Le cœur de la topologie reste celui du lab2 : deux spines assurent le transport underlay et les leafs restent les VTEP. La nouveauté du lab3 se trouve au bord de la fabric, où le serveur est présenté comme un équipement dual-homed vers les deux leafs.
Ce montage permet de valider un cas plus réaliste qu’une simple liaison d’accès unique : le service continue d’exister si un lien physique, un port ou un leaf disparaît.
Multi-Homing en EVPN VXLAN
Le multi-homing EVPN consiste à faire apparaître deux VTEP comme un seul point logique d’attachement pour un même segment Ethernet. Dans le lab3, cela se traduit par une configuration identique sur Leaf-01 et Leaf-02, avec un même Ethernet Segment Identifier et un même VLAN de service.
La partie importante n’est pas le sous-réseau de transport du lab2, qui reste inchangé, mais la façon dont le service VLAN est attaché à la fabric :
- le segment est identifié par un ESI commun,
- les deux leafs déclarent ce même segment,
- le serveur est raccordé via un agrégat de liens,
- EVPN arbitre le forwarding grâce au DF election.
Ce qui change par rapport à un VXLAN “basique” sans dual-homing
Dans un VXLAN simple, un port d’accès ou un VTEP unique suffit pour faire transiter le trafic. Ici, on ajoute les éléments suivants :
- un
l2vpn evpn ethernet-segmentsur les deux leafs, - le même identifiant ESI sur les deux équipements,
- un
Port-channelcôté leaf associé à cet Ethernet Segment, - un
Port-channelcôté serveur avec plusieurs interfaces physiques enchannel-groupactif, - un délai de
df-electionpour laisser converger le control plane avant la désignation du forwarding actif.
Configuration appliquée sur les leafs
Sur Leaf-01 et Leaf-02, la configuration commune est la suivante :
l2vpn evpn ethernet-segment 1
identifier type 0 00.00.00.00.00.00.00.00.01
redundancy all-active
df-election wait-time 1
interface Port-channel12
switchport access vlan 101
switchport mode access
evpn ethernet-segment 1
interface GigabitEthernet1/0/12
switchport access vlan 101
switchport mode access
channel-group 12 mode active
Le point clé est la cohérence entre les deux leafs. Le même ESI doit être déclaré des deux côtés, sinon EVPN ne comprend pas que les liens appartiennent à un même segment redondé.
identifier type 0 ... indique un ESI défini manuellement. C’est le choix le plus simple pour le lab : il garantit que les deux leafs annoncent exactement le même identifiant, sans dépendre d’un calcul automatique.
redundancy all-active place les deux leafs dans un mode où ils participent tous les deux au forwarding. Ce n’est pas seulement une redondance de secours : les deux chemins sont considérés comme utilisables par le segment.
df-election wait-time 1 évite une élection trop précoce au moment du démarrage. On laisse le temps à EVPN de propager les routes et les informations de segment avant de figer le rôle de forwarding.
Port-channel12 est l’interface logique sur laquelle on accroche le segment EVPN. Le Port-channel sert de point de rattachement stable, au lieu d’attacher le segment directement à une interface physique isolée.
Le VLAN 101 est le VLAN du service dual-homé dans ce lab. Il est associé au VNI 10101 côté fabric, ce qui permet à EVPN de transporter ce segment au travers du VXLAN sans changer son comportement au bord de la fabric.
Configuration côté serveur
Le serveur de test est lui aussi agrégé, avec deux liens physiques dans un même bundle :
interface Port-channel10
no switchport
ip address 10.1.101.100 255.255.255.0
interface GigabitEthernet1/0/1
description vers Leaf-01
no switchport
no ip address
channel-group 10 mode active
interface GigabitEthernet1/0/2
description vers Leaf-02
no switchport
no ip address
channel-group 10 mode active
L’idée est simple : le serveur ne dépend plus d’un seul lien physique. Les deux interfaces sont placées dans le même channel-group, ce qui matérialise le double attachement vers la fabric.
Le fait que le port-channel soit routé (no switchport) montre que le lab met surtout en évidence la résilience de l’attachement et non un simple bridging L2 local. Le trafic du serveur repose donc sur un agrégat logique unique, tout en profitant de la redondance physique.
Modes de fonctionnement du multi-homing
EVPN définit deux grands modèles de multi-homing : single-active et all-active. Dans ce lab3, le choix retenu est all-active, car il correspond le mieux à l’objectif de validation de la redondance effective des deux leafs.
1. Single-Active (mode actif / standby)
Le mode single-active conserve une logique de secours : un seul leaf est réellement utilisé pour le forwarding d’un VLAN donné, l’autre reste en attente.
Dans un contexte de production, ce mode peut être intéressant lorsque l’on veut garder un comportement très conservateur. Pour le lab3, en revanche, il n’est pas le plus représentatif de l’objectif recherché, car il n’exploite pas simultanément les deux chemins.
On le cite surtout pour comparaison : il montre que le multi-homing EVPN ne se limite pas à faire de la redondance de secours, mais peut aussi distribuer le trafic.
2. All-Active (mode actif / actif)
Le mode all-active est celui utilisé dans le lab3.
Principe :
- les deux leafs participent au forwarding,
- le même Ethernet Segment est visible sur les deux VTEP,
- EVPN évite les boucles Layer 2 en s’appuyant sur l’élection DF,
- le trafic continue à circuler si un des liens ou un des leafs tombe.
Dans les faits, cela veut dire que l’infrastructure n’a plus besoin d’un chemin “principal” et d’un chemin “secours” pour le segment 101. La redondance devient active des deux côtés, ce qui améliore la disponibilité du service et évite de sous-utiliser un lien prêt à porter du trafic.
Designated Forwarder (DF)
Le Designated Forwarder est le rôle qui permet à EVPN de décider quel leaf doit gérer certains flux du segment, notamment pour le trafic BUM et la coordination du forwarding sur le VLAN concerné.
Dans le lab3, l’élection DF reste importante même en all-active, parce qu’elle sert à éviter que les deux leafs ne fassent exactement la même chose au même moment sur le même segment.
Le délai df-election wait-time 1 est là pour stabiliser le comportement au démarrage. On laisse la fabric converger avant de figer la répartition des rôles.
En pratique, le DF ne remet pas en cause le fait que les deux leafs soient configurés en all-active. Il encadre simplement la manière dont EVPN orchestre le forwarding sur le segment commun.
Interaction avec STP (important)
Dans ce lab3, le mécanisme de protection du segment ne repose plus sur STP pour décider quel chemin est utilisable. La logique de redondance est portée par EVPN et par l’ESI associé au port-channel.
STP reste un protocole de garde-fou pour les VLANs ou les domaines L2 classiques, mais pour le segment dual-homé du lab3, c’est EVPN qui coordonne le comportement de forwarding.
Autrement dit :
- STP n’est pas le mécanisme principal de résilience pour le service dual-homé,
- EVPN prend en charge la cohérence du segment,
- le port-channel sert de support physique logique,
- et le DF assure la coordination du forwarding au niveau de la fabric.