Lab 4 - Multi-Homing - Dual-Homed Network
Multi-Homing - Dual-Homed Network
Le lab4 reprend la fabric VXLAN EVPN du lab2 et le premier cas de multi-homing du lab3, mais il déplace le point de redondance un cran plus bas dans l’architecture. On ne parle plus d’un serveur dual-homé, mais d’un réseau d’accès complet présenté comme un domaine L2 unique vers la fabric.
L’idée est de simuler un bloc d’accès de campus où plusieurs équipements en bordure de réseau sont eux-mêmes redondés vers les leafs. Le sujet n’est donc pas la mise en place du VXLAN de base, mais la manière dont EVPN étend son mécanisme de multi-homing à un segment d’accès agrégé.
L’implémentation s’appuie sur les principes EVPN Multi-Homing décrits dans la documentation Cisco Catalyst 9300 pour les fabrics BGP EVPN VXLAN : https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/vxlan/b_1715_bgp_evpn_vxlan_9300_cg/configuring_multi_homing_in_bgp_evpn_vxlan_fabric.html
Structure
Spine1 (RR + RP)
/ \
/ \
Leaf1 Leaf2
| \ / |
| \ / |
| Spine2 (RR + RP) |
| |
-------------------------------
| |
Acces-SW1 ================= Acces-SW2
| |
VLANs / hosts / endpoints / services L2
Le socle de la topologie reste celui du lab2 : les spines assurent l’underlay et les leafs sont les VTEP VXLAN. La différence importante se situe au bord de la fabric, où le réseau d’accès n’est plus vu comme un simple switch isolé, mais comme un segment logique redondé qui remonte vers les deux leafs.
Cette approche permet de valider un cas plus représentatif d’un réseau de campus : la disponibilité ne dépend plus d’un seul équipement d’accès, et le trafic peut continuer à circuler même si un switch d’accès, un uplink ou un chemin complet disparaît.
Principe du Dual-Homed Network
Le dual-homed network applique le multi-homing EVPN à un ensemble de switches L2 qui représentent un domaine d’accès. Dans le lab4, les deux switches d’accès sont présentés comme un bloc unique pour les VLANs de service, avec des uplinks redondés vers la fabric.
Concrètement, cela change le niveau où l’on place la redondance :
- le lab3 multi-homait un serveur,
- le lab4 multi-home un réseau d’accès entier,
- EVPN doit donc protéger un segment qui transporte potentiellement plusieurs VLANs, pas seulement un endpoint unique.
Le point essentiel est que les leafs ne voient pas deux accès indépendants, mais un même Ethernet Segment logique. C’est ce segment partagé qui permet à EVPN d’appliquer la logique de DF election et d’éviter les boucles Layer 2.
Modèle “stack logique” du lab
Dans ce lab, Access-SW1 et Access-SW2 simulent un domaine d’accès unique. Le but n’est pas de refaire un design de production complet avec tous les détails d’un chassis virtuel, mais de reproduire le comportement attendu d’un bloc d’accès redondé :
- un seul point logique d’attachement vers la fabric,
- plusieurs liens physiques derrière ce point logique,
- une continuité de service si un des membres tombe,
- une gestion EVPN du forwarding au lieu d’une simple logique locale de switch.
Ce qui est ajouté par rapport à un VXLAN basique sans dual-homing
Dans un VXLAN standard, un VLAN est simplement rattaché à un VTEP ou à un port d’accès classique. Ici, on ajoute les éléments nécessaires pour faire comprendre à EVPN que le réseau d’accès est redondé :
- un
l2vpn evpn ethernet-segmentdédié au segment d’accès, - un ESI identique sur les deux leafs,
- un
Port-channelcôté leaf pour porter le segment logique, - un
Port-channelcôté accès pour agréger les liens physiques, - un trunk qui transporte plusieurs VLANs de service au lieu d’un seul VLAN d’endpoint,
- un
df-election wait-timepour laisser le control plane converger avant de figer le rôle de forwarding.
Le point important est que la redondance n’est pas seulement physique. Elle est aussi décrite au niveau EVPN, ce qui permet à la fabric de comprendre que les liens appartiennent au même domaine d’accès.
Configuration appliquée sur les leafs
Sur Leaf-01 et Leaf-02, la partie commune au lab4 ressemble à ceci :
l2vpn evpn ethernet-segment 2
identifier type 0 00.00.00.00.00.00.00.00.02
redundancy all-active
df-election wait-time 1
interface Port-channel14
switchport trunk allowed vlan 101,102
switchport mode trunk
evpn ethernet-segment 2
interface GigabitEthernet1/0/13
switchport trunk allowed vlan 101,102
switchport mode trunk
channel-group 14 mode active
interface GigabitEthernet1/0/14
switchport trunk allowed vlan 101,102
switchport mode trunk
channel-group 14 mode active
Le ethernet-segment 2 est l’élément central de cette configuration. Il identifie le second domaine redondé du lab, distinct du segment utilisé pour le cas précédent du serveur dual-homé. L’idée est de montrer que plusieurs Ethernet Segments peuvent coexister dans la même fabric, chacun avec son propre rôle.
identifier type 0 ...02 fixe un ESI manuel. C’est un choix adapté au lab, car il garantit que les deux leafs annoncent exactement le même identifiant sans dépendre d’un calcul automatique. Si l’ESI n’est pas identique des deux côtés, EVPN ne peut pas comprendre que les uplinks appartiennent à un même segment redondé.
redundancy all-active signifie que les deux leafs participent au forwarding. Ce n’est pas un mode de secours passif : les deux chemins sont utilisables, ce qui colle bien à un réseau d’accès qui doit rester opérationnel même en cas de perte d’un lien ou d’un équipement.
df-election wait-time 1 introduit un court délai avant l’élection du Designated Forwarder. Ce délai est utile pour éviter une décision trop précoce au démarrage, le temps que les annonces EVPN et la visibilité du segment soient stables.
Port-channel14 matérialise l’attachement logique du réseau d’accès à la fabric. Le port-channel est la bonne abstraction ici, parce que le segment ne doit pas dépendre d’une interface physique unique. Les deux liens physiques Gi1/0/13 et Gi1/0/14 sont donc mis dans le même bundle LACP.
Le trunk autorise les VLANs 101 et 102, ce qui montre la vraie différence avec le lab3 : on ne transporte plus un seul VLAN de service, mais un petit domaine d’accès complet. Chaque VLAN reste ensuite mappé dans l’overlay EVPN/VXLAN comme dans le socle du lab2 ; le travail du lab4 porte surtout sur la manière dont ce trafic arrive sur la fabric.
Configuration côté accès
Du côté du réseau d’accès, le switch logique agrège aussi ses uplinks dans un port-channel unique :
interface Port-channel24
switchport trunk allowed vlan 101,102
switchport mode trunk
interface GigabitEthernet1/0/23
switchport trunk allowed vlan 101,102
switchport mode trunk
channel-group 24 mode active
interface GigabitEthernet1/0/24
switchport trunk allowed vlan 101,102
switchport mode trunk
channel-group 24 mode active
Le but est de représenter un domaine d’accès qui ne s’appuie pas sur un seul câble vers la fabric. Les deux interfaces physiques sont réunies dans un seul agrégat logique, ce qui donne au réseau d’accès un comportement stable vis-à-vis des leafs.
L’intérêt du trunk est également important : il permet de faire transiter plusieurs VLANs de service sans multiplier les liens. Le lab4 insiste donc sur une logique d’accès “campus” plutôt que sur un simple test de résilience point à point.
Modes de fonctionnement du multi-homing
EVPN distingue toujours deux grands modes de multi-homing : single-active et all-active. Pour ce lab4, le choix retenu est all-active, parce qu’il correspond le mieux à un réseau d’accès qui doit exploiter ses deux chemins de manière simultanée.
1. Single-Active
Le mode single-active conserve une logique de secours : un seul leaf participe réellement au forwarding pour le segment concerné, l’autre reste en attente.
Dans un design très conservateur, ce mode peut avoir un intérêt. Pour le lab4, il est moins pertinent, car il ne met pas en évidence le principe recherché ici : faire porter un domaine d’accès complet par deux leafs en parallèle.
2. All-Active
Le mode all-active est celui utilisé dans le lab4.
Principe :
- les deux leafs annoncent le même Ethernet Segment,
- les deux uplinks sont considérés comme membres du même domaine logique,
- EVPN coordonne le forwarding pour éviter les boucles,
- le réseau d’accès reste joignable si un des chemins tombe.
Dans ce mode, la redondance est réellement active des deux côtés. Le réseau d’accès n’attend pas qu’un chemin échoue pour être utilisé ; il s’appuie sur les deux leafs dès que la fabric est convergée.
Designated Forwarder (DF)
Le Designated Forwarder reste un point clé du lab4, même si le segment est en all-active. Son rôle est de décider quel leaf porte certains flux du segment, notamment pour le trafic BUM et la coordination du forwarding sur le VLAN concerné.
Ici, le DF ne remet pas en cause l’idée de dual-homing actif. Il évite simplement que les deux leafs traitent exactement les mêmes flux de la même manière au même instant sur le même segment.
Le paramètre df-election wait-time 1 aide à stabiliser cette décision au démarrage. On laisse EVPN propager les informations du segment avant de figer les rôles.
Interaction avec STP
Dans le lab4, la résilience du segment d’accès ne repose pas sur STP. La logique principale de protection est portée par EVPN et par l’ESI partagé entre les leafs.
STP peut rester présent comme mécanisme de garde-fou dans le domaine L2 local, mais il ne pilote pas le comportement de redondance du segment dual-homé. Pour ce cas précis :
- EVPN coordonne le domaine redondé,
- le port-channel porte l’agrégation physique,
- le DF arbitre le forwarding sur le segment,
- STP n’est pas la brique qui décide quel chemin est actif pour le réseau d’accès.