Skip to main content

Lab 3 - Multi-Homing - Dual-Homed Device

Multi-Homing - Dual-Homed Device

NousCe mettonslab3 part de la fabric VXLAN EVPN du lab2 et n’en œuvrechange unepas connectivitéle serveursocle enunderlay/overlay. La différence importante est l’ajout du multi-homing dual-homing au sein des baies, avec deux liens physiques redondants vers notre fabric EVPN VXLAN.

Le modèle initial repose sur une connectivité à lien unique par serveur, ce qui induitpour un équipement terminal, afin de supprimer le point de défaillance critiqueunique :que lareprésentait perte duun lien entraîned’accès l’isolementisolé.

immédiat

L’objectif dun’est serveurdonc et son indisponibilité réseau. Afinpas de supprimerredécrire VXLAN ou EVPN, mais d’expliquer ce SPOFqui (Singlea Pointété ofajouté Failure),pour nousque introduisonsdeux leafs puissent présenter un mécanismemême desegment redondancelogique devers typeun multi-homingserveur, actif/actif,avec intégréun àcomportement l’architecture VXLAN EVPN.

Cette évolution s’inscrit dans le cadre des capacités EVPN de la fabric, permettant :

la redondance de connectivité serveur via deux équipements leaf, la détection et la convergence rapide en cas de défaillance de lien ou de nœud, le maintien de la continuité de service sans interruption perceptible côté hôte.all-active.

L’implémentation s’appuie sur les principes de EVPN Multi-Homing (ESI-LAG / all-active multihoming) tels que décrits dans la documentation Cisco Catalyst 9300 pour les fabrics BGP EVPN VXLAN : https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/vxlan/b_1715_bgp_evpn_vxlan_9300_cg/configuring_multi_homing_in_bgp_evpn_vxlan_fabric.html

Structure

          Spine1 (RR + RP)
         /               \
        /                 \
Leaf1                       Leaf2
  |     \                 /   |
  |      \               /    |
  |       Spine2 (RR + RP)    |
  |                           |
  |                           |
  |----nic0 ServeurPort-Channel nic1----|- Serveur

DansLe cettecœur architecture,de la redondancetopologie reste celui du lab2 : deux spines assurent le transport underlay et les leafs restent les VTEP. La nouveauté du lab3 se trouve au bord de la fabric, où le serveur est assuréeprésenté par un double attachement entrecomme un équipement terminaldual-homed (icivers les deux leafs.

Ce montage permet de valider un switchcas simulantplus réaliste qu’une simple liaison d’accès unique : le service continue d’exister si un serveur)lien etphysique, un switchport deou niveauun 2.

leaf

Afin de déployer ce mécanisme, nous nous appuyons sur l’infrastructure existante de la fabric BGP EVPN VXLAN mise en place dans le lab 2, qui servira de socle pour l’implémentation du multi-homing EVPN et l’intégration des mécanismes de redondance associés.disparaît.

Multi-Homing en EVPN VXLAN

Le multi-homing en EVPN VXLANconsiste permetà faire apparaître deux VTEP comme un seul point logique d’attachement pour un même segment Ethernet. Dans le lab3, cela se traduit par une configuration identique sur Leaf-01 et Leaf-02, avec un même Ethernet Segment Identifier et un même VLAN de connecterservice.

un

La équipementpartie terminalimportante (serveurn’est oupas switchle d’accèssous-réseau Layerde 2)transport du lab2, qui reste inchangé, mais la façon dont le service VLAN est attaché à plusieursla VTEP (VXLAN Tunnel Endpoints) simultanément.

L’objectif principal est d’assurerfabric :

  • une redondance de connectivité en cas de défaillance d’un lien ou d’un équipement,
  • une meilleure disponibilité du réseau,
  • et, selon le mode choisi, une optimisation de la bande passante via répartition du trafic.

Dans une architecture EVPN, cet attachement redondantsegment est représenté par un Ethernet Segment (ES) identifié par un EthernetESI Segmentcommun, Identifier

  • les (ESI),deux configuréleafs déclarent ce même segment,
  • le serveur est raccordé via un agrégat de liens,
  • EVPN arbitre le forwarding grâce au DF election.
  • Ce qui change par rapport à laun foisVXLAN côté“basique” VTEPsans et côté interface de connexion. L’ensemble du trafic entre les VTEP et l’équipement connecté transite via cet Ethernet Segment.

    Modes de fonctionnement du multi-dual-homing

    EVPNDans définitun deuxVXLAN modessimple, deun redondanceport d’accès ou un VTEP unique suffit pour faire transiter le trafic. Ici, on ajoute les éléments suivants :

    • Single-Active
    • All-Active

    Dans les deux cas, le principe reste le même : un mêmel2vpn équipementevpn est dual-homé sur deux VTEP, mais la manière dont le trafic est acheminé diffère.

    1. Single-Active (mode actif / standby)

    Dans le mode single-active, un seul lien est actif à un instant donné entre le réseau EVPN et le ethernet-segment Ethernet.

    Principe :

    • Deux liens physiques existent entre l’équipement et deux VTEP.
    • Un seul VTEP est désigné comme actif (Designated Forwarder - DF) pour un VLAN donné.
    • L’autre lien est en standby (non-forwarding). Fonctionnement :
    • Le trafic entrant et sortant passe uniquement par le lien actif.
    • En cas de défaillance du lien ou du VTEP actif, un mécanisme d’élection DF bascule le trafic vers le second VTEP. Conséquence :
    • Pas de load balancing.
    • Simple et stable.
    • Convergence rapide mais utilisation de bande passante limitée à un seul lien.

    Il s'agit du premier mode que nous avons implémenté, sur les deux switchsleafs, Leaf:

  • le même identifiant ESI sur les deux équipements,
  • un Port-channel côté leaf associé à cet Ethernet Segment,
  • un Port-channel côté serveur avec plusieurs interfaces physiques en channel-group actif,
  • un délai de df-election pour laisser converger le control plane avant la désignation du forwarding actif.
  • Configuration appliquée sur les leafs

    Sur Leaf-01 et Leaf-02, la configuration commune est la suivante :

    l2vpn evpn ethernet-segment 1
     identifier type 0 0.0.0.0.0.0.0.0.100.00.00.00.00.00.00.00.01
     redundancy single-all-active
     df-election wait-time 1
    
    interface Port-channel12
     switchport access vlan 101
     switchport mode access
     evpn ethernet-segment 1
    
    interface GigabitEthernet1/0/12
     switchport access vlan 101
     switchport mode access
     channel-group 12 mode active
    

    ethernet-segmentLe 1:point Définitclé est la cohérence entre les deux leafs. Le même ESI doit être déclaré des deux côtés, sinon EVPN ne comprend pas que les liens appartiennent à un segment Ethernet logique (ES). Cemême segment représente l'ensemble des liens entre un CE et les PE auxquels il est connecté. Chaque PE raccordé au même CE doit référencer ce segment.redondé.

    identifier type 0 0.0.0.0.0.0.0.0.1...: L'ESI (Ethernet Segment Identifier) estindique un identifiantESI dedéfini 10manuellement. octets, unique dansC’est le domainechoix EVPN.le Leplus typesimple 0pour indiquele unelab valeur: configuréeil manuellement.garantit Tousque les PEdeux connectésleafs auannoncent même CE doivent partagerexactement le même ESI,identifiant, cesans quidépendre permetd’un auxcalcul autres équipements du fabric de reconnaître qu'ils appartiennent au même segment.automatique.

    redundancy single-all-active: Définitplace leles deux leafs dans un mode deoù ils participent tous les deux au forwarding. Ce n’est pas seulement une redondance dude secours : les deux chemins sont considérés comme utilisables par le segment.

    df-election wait-time 1: Délaiévite enune secondesélection avanttrop leprécoce déclenchementau de l'électionmoment du Designateddémarrage. Forwarder (DF). Ce délaiOn laisse le temps aux routes BGPà EVPN de convergerpropager les routes et les informations de segment avant quede l'électionfiger n'aitle lieu.rôle de forwarding.

    Port-channel12 est l’interface logique sur laquelle on accroche le segment EVPN. Le Port-channel sert de point de rattachement stable, au lieu d’attacher le segment directement à une interface physique isolée.

    Le Port-channelVLAN regroupe101 lesest interfacesle VLAN du service dual-homé dans ce lab. Il est associé au VNI 10101 côté fabric, ce qui permet à EVPN de transporter ce segment au travers du VXLAN sans changer son comportement au bord de la fabric.

    Configuration côté serveur

    Le serveur de test est lui aussi agrégé, avec deux liens physiques vers le CE endans un lien logique unique (LAG). C'est à ce niveau que s'applique la politique EVPN : en lui associant l'ethernet-segment 1, on désigne cemême bundle comme le lien porteur du segment ES. Les mécanismes d'ESI, d'élection DF et de redondance opèrent sur cette interface logique.

    2. Dual-homed (device / network) dans single-active

    Cisco distingue deux cas :

      interface 
    • Dual-homedPort-channel10 deviceno switchport ip address 10.1.101.100 255.255.255.0 interface GigabitEthernet1/0/1 description vers Leaf-01 no switchport no ip address channel-group 10 mode active interface GigabitEthernet1/0/2 description vers Leaf-02 no switchport no ip address channel-group 10 mode active
    • L’idée est simple : le serveur ne dépend plus d’un seul lien physique. Les deux interfaces sont placées dans le même channel-group, ce qui matérialise le double attachement vers la fabric.

      Le fait que le port-channel soit routé (no switchport) montre que le lab met surtout en évidence la résilience de l’attachement et non un simple bridging L2 local. Le trafic du serveur repose donc sur un agrégat logique unique, tout en profitant de la redondance physique.

      Modes de fonctionnement du multi-homing

      EVPN définit deux grands modèles de multi-homing : single-active et all-active. Dans ce lab3, le choix retenu est all-active, car il correspond le mieux à l’objectif de validation de la redondance effective des deux leafs.

      1. Single-Active (mode actif / standby)

      Le mode single-active conserve une logique de secours : un seul équipementleaf connectéest àréellement deuxutilisé VTEPpour

    • Dual-homedle networkforwarding : plusieurs équipements L2 derrière d’un mêmeVLAN segment
    • donné,
    l’autre reste en attente.

    Dans notreun contexte,contexte de production, ce mode peut être intéressant lorsque l’on chercheveut garder un comportement très conservateur. Pour le lab3, en revanche, il n’est pas le plus représentatif de l’objectif recherché, car il n’exploite pas simultanément les deux chemins.

    On le cite surtout pour comparaison : il montre que le multi-homing EVPN ne se limite pas à développerfaire unede infrala dual-homedredondance device.de secours, mais peut aussi distribuer le trafic.

    3.2. All-Active (mode actif / actif)

    Dans leLe mode all-active,active lesest deuxcelui liensutilisé sontdans simultanémentle actifs.lab3.

    Principe :

    • Lesles deux VTEPleafs participent àau la forwarding plane.forwarding,
    • Lele traficmême Ethernet Segment est répartivisible (load balancing) entresur les liens.
    • deux
    • Chaque VLAN/VNI peut être associé à un DF différent. Fonctionnement :VTEP,
    • EVPN utilise un mécanisme d’élection DF par VLAN/VNI.
    • Cela permet de répartir la charge entreévite les deuxboucles uplinks.Layer En2 casen des’appuyant pannesur d’unl’élection lien :DF,
    • le trafic estcontinue immédiatementà reroutécirculer sursi leun liendes restant,
    • liens
    • sansou interruptionun dedes service.leafs Avantages du mode all-active
    • Utilisation optimale de la bande passante
    • Résilience améliorée
    • Convergence rapide
    • Réduction du lien en mode inutilisé (contrairement au standby du single-active)
    • DF Election et rôle de contrôle EVPNtombe.

    OnDans midifieles directementfaits, surcela chaqueveut VTEP:

    dire
    l2vpnque evpnl’infrastructure ethernet-n’a plus besoin d’un chemin “principal” et d’un chemin “secours” pour le segment 1101. redundancyLa all-redondance devient active 
    des deux côtés, ce qui améliore la disponibilité du service et évite de sous-utiliser un lien prêt à porter du trafic.

    Designated Forwarder (DF)

    Le DFDesignated Forwarder est le VTEPrôle autoriséqui permet à envoyer/recevoirEVPN de décider quel leaf doit gérer certains flux du traficsegment, notamment pour unle trafic BUM et la coordination du forwarding sur le VLAN donnéconcerné.

    sur

    Dans unle Ethernetlab3, Segment. L’l’élection DF estreste réaliséeimportante viamême en all-active, parce qu’elle sert à éviter que les deux leafs ne fassent exactement la même chose au même moment sur le controlmême planesegment.

    BGP

    Le EVPN.délai Elledf-election permetwait-time d’éviter1 est là pour stabiliser le comportement au démarrage. On laisse la fabric converger avant de figer la répartition des rôles.

    En pratique, le DF ne remet pas en cause le fait que les bouclesdeux Layerleafs 2soient etconfigurés deen coordonnerall-active. Il encadre simplement la manière dont EVPN orchestre le forwarding entresur VTEP.le segment commun.

    Interaction avec STP (important)

    UneDans foisce lab3, le mécanisme de protection du segment ne repose plus sur STP pour décider quel chemin est utilisable. La logique de redondance est portée par EVPN et par l’ESI associé au port-channel.

    STP reste un Ethernetprotocole Segmentde configuré,garde-fou pour les VLANs ou les domaines L2 classiques, mais pour le segment dual-homé du lab3, c’est EVPN qui coordonne le comportement de forwarding.

    Autrement dit :

    • STP n’est pas le mécanisme principal de résilience pour le service dual-homé,
    • EVPN prend en charge la cohérence du segment,
    • le contrôleport-channel sert de support physique logique,
    • et le DF assure la coordination du forwarding L2au pour les VLAN EVPN.

      STP est soit:

      • désactivé pour ces VLAN,
      • maintenu uniquement pour les VLAN non EVPN. En casniveau de coexistencela L2 classique + EVPN, STP gère les VLAN legacy tandis que EVPN gère les VLAN VXLAN.fabric.