Lab 4 - Multi-Homing - Dual-Homed Network
Multi-Homing - Dual-Homed Network
DansLe lab4 reprend la fabric VXLAN EVPN du lab2 et le Labpremier 4,cas nousde avonsmulti-homing étendudu lab3, mais il déplace le conceptpoint de redondance un cran plus bas dans l’architecture. On ne parle plus d’un serveur dual-hominghomé, EVPNmais au niveaud’un réseau d’accès,accès encomplet simulantprésenté une infrastructure de campus composée d’un stack logique de deux switchs d’accès.
Contrairement au dual-homing device (oùcomme un serveurdomaine estL2 directement multi-homéunique vers deuxla leafs), cette mise en œuvre introduit un niveau intermédiaire : un réseau L2 redondant en amont du fabric EVPN VXLAN.fabric.
L’objectifidée est de reproduiresimuler un scénariobloc réalisted’accès de bâtiment de campus,campus où plusieurs équipements d’accèsen (switchesbordure d’étagede ou d’armoire)réseau sont eux-mêmes redondés vers les leafs. Le sujet n’est donc pas la fabricmise core/distribution.
Leplace designdu vise à :
Simuler un stack logiqueVXLAN deswitchsbase,d’accès redondésFournir une connectivité dual-homed du réseau d’accès versmais lafabricmanière dont EVPNÉliminerétendlessonSPOF au niveau du switch d’accèsGarantir une continuitémécanisme deservice même en cas de panne d’un switch d’accèsÉtendre les mécanismes EVPN (ESI / DF election)multi-homing à unréseausegmentL2d’accèsagrégé
L'L’implémentation s's’appuie sur les principes de EVPN Multi-Homing (ESI-LAG) tels que décrits dans la documentation Cisco Catalyst 9300 pour les fabrics BGP EVPN VXLAN :
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/vxlan/b_1715_bgp_evpn_vxlan_9300_cg/configuring_multi_homing_in_bgp_evpn_vxlan_fabric.html
Structure
Spine1 (RR + RP)
/ \
/ \
Leaf1 Leaf2
| \ / |
| \ / |
| Spine2 (RR + RP) |
| |
-------------------------------
| |
Access-Acces-SW1 ================= Access-Acces-SW2
| |
VLANs / hosts / endpoints (/ services L2 campus)
DansLe ce modèle :
Les deux switchs d’accès simulent un stack d’accèssocle debâtimentla Chaquetopologieswitchresteestceluidual-homedduverslab2 : les spines assurent l’underlay et les leafsEVPNLes uplinkssontintégréslesdansVTEPunVXLAN.EthernetLaSegmentdifférenceEVPNimportantecommunse Lesitue au bord de la fabric, où le réseau d’accèsdevientn’est plus vu comme unparticipantsimpleactifswitch isolé, mais comme un segment logique redondé qui remonte vers les deux leafs.Cette approche permet de valider un cas plus représentatif d’un réseau de campus : la
redondancedisponibilitéEVPNne
Principe du Dual-Homed Network
Le dual-homed network étendapplique le conceptmulti-homing EVPN au niveau agrégé :
Ce n’est plus un seul serveur qui est multi-homéMaisà un ensemble de switches L2représentantqui représentent un domaine d’accès. Dans le lab4, les deux switches d’accès sont présentés comme un bloc unique pour les VLANs de service, avec des uplinks redondés vers la fabric.Concrètement, cela change le niveau où l’on place la redondance :
- le lab3 multi-homait un serveur,
Cesleswitcheslab4partagentmulti-homeuneun réseau d’accès entier,- EVPN doit donc protéger un segment qui transporte potentiellement plusieurs VLANs, pas seulement un endpoint unique.
Le point essentiel est que les leafs ne voient pas deux accès indépendants, mais un même Ethernet Segment logique. C’est ce segment partagé qui permet à EVPN d’appliquer la logique de
redondanceDFverselectionlaetfabricd’éviter
Deuxboucles casLayer se dégagent :2.
1. Modèle “stack logique” (cas du lab)lab
Dans notrece implémentationlab, :
- Access-SW1 et Access-SW2 simulent un
seuldomaine d’accès Lesunique.uplinks sont répartis vers deux leafs EVPN- Le
comportementbut n’estsimilairepasàde refaire un design de production complet avec tous les détails d’un chassisvirtuelvirtuel,d’accès
L’objectif estmais de testerreproduire lale résiliencecomportement attendu d’un bloc d’accès complet.
2. Dual-homed network EVPN
EVPN permet de traiter ce type de design viaredondé :
UnunEthernetseulSegmentpoint(ES)logiquepartagéd’attachement vers la fabric,UnplusieursESIlienscommunphysiquessurderrièrelesceuplinkspointd’accèslogique,Uneune continuité de service si un des membres tombe,- une gestion EVPN du forwarding au lieu d’une simple logique locale de
la redondance via DF electionswitch.
Ce qui est ajouté par rapport à un VXLAN basique sans dual-homing
CelaDans permetun VXLAN standard, un VLAN est simplement rattaché à un VTEP ou à un port d’accès classique. Ici, on ajoute les éléments nécessaires pour faire comprendre à EVPN que le réseau d’accès est redondé :
laundétectionl2vpn evpn ethernet-segmentdédié au segment d’accès,- un ESI identique sur les deux leafs,
- un
Port-channelcôté leaf pour porter le segment logique, - un
Port-channelcôté accès pour agréger les liens physiques, - un trunk qui transporte plusieurs VLANs de service au lieu d’un
switchseul VLAN d’accèsendpoint, - un
dansdf-election wait-timepour laisser lesegmentcontrol laplanesuppressionconvergerdes boucles L2la convergence rapide en casavant depannefigerd’unleswitchrôled’accèsde forwarding.
OnLe traitemerapoint important est que la redondance n’est pas seulement physique. Elle est aussi décrite au niveau EVPN, ce casqui danspermet leà Labla 5.fabric de comprendre que les liens appartiennent au même domaine d’accès.
Configuration
On crée un nouveau ethernet-segment et appliquée sur les port-channelPE:leafs
Sur Leaf-01 et Leaf-02, la partie commune au lab4 ressemble à ceci :
l2vpn evpn ethernet-segment 2
identifier type 0 00.00.00.00.00.00.00.00.02
redundancy all-active
df-election wait-time 1
!
interface Port-channel14
switchport trunk allowed vlan 101,102
switchport mode trunk
evpn ethernet-segment 2
!
interface GigabitEthernet1/0/13
switchport trunk allowed vlan 101,102
switchport mode trunk
channel-group 14 mode active
!
interface GigabitEthernet1/0/14
switchport trunk allowed vlan 101,102
switchport mode trunk
channel-group 14 mode active
Le ethernet-segment 2 est l’élément central de cette configuration. Il identifie le second domaine redondé du lab, distinct du segment utilisé pour le cas précédent du serveur dual-homé. L’idée est de montrer que plusieurs Ethernet Segments peuvent coexister dans la même fabric, chacun avec son propre rôle.
identifier type 0 ...02 fixe un ESI manuel. C’est un choix adapté au lab, car il garantit que les deux leafs annoncent exactement le même identifiant sans dépendre d’un calcul automatique. Si l’ESI n’est pas identique des deux côtés, EVPN ne peut pas comprendre que les uplinks appartiennent à un même segment redondé.
redundancy all-active signifie que les deux leafs participent au forwarding. Ce n’est pas un mode de secours passif : les deux chemins sont utilisables, ce qui colle bien à un réseau d’accès qui doit rester opérationnel même en cas de perte d’un lien ou d’un équipement.
df-election wait-time 1 introduit un court délai avant l’élection du Designated Forwarder. Ce délai est utile pour éviter une décision trop précoce au démarrage, le temps que les annonces EVPN et la visibilité du segment soient stables.
Port-channel14 matérialise l’attachement logique du réseau d’accès à la fabric. Le port-channel est la bonne abstraction ici, parce que le segment ne doit pas dépendre d’une interface physique unique. Les deux liens physiques Gi1/0/13 et Gi1/0/14 sont donc mis dans le même bundle LACP.
Le trunk autorise les VLANs 101 et 102, ce qui montre la vraie différence avec le lab3 : on ne transporte plus un seul VLAN de service, mais un petit domaine d’accès complet. Chaque VLAN reste ensuite mappé dans l’overlay EVPN/VXLAN comme dans le socle du lab2 ; le travail du lab4 porte surtout sur la manière dont ce trafic arrive sur la fabric.
Configuration côté accès
Du côté du réseau d’accès, le switch logique agrège aussi ses uplinks dans un port-channel unique :
interface Port-channel24
switchport trunk allowed vlan 101,102
switchport mode trunk
interface GigabitEthernet1/0/23
switchport trunk allowed vlan 101,102
switchport mode trunk
channel-group 24 mode active
interface GigabitEthernet1/0/24
switchport trunk allowed vlan 101,102
switchport mode trunk
channel-group 24 mode active
Le but est de représenter un domaine d’accès qui ne s’appuie pas sur un seul câble vers la fabric. Les deux interfaces physiques sont réunies dans un seul agrégat logique, ce qui donne au réseau d’accès un comportement stable vis-à-vis des leafs.
L’intérêt du trunk est également important : il permet de faire transiter plusieurs VLANs de service sans multiplier les liens. Le lab4 insiste donc sur une logique d’accès “campus” plutôt que sur un simple test de résilience point à point.
Modes de fonctionnement du multi-homing
EVPN distingue toujours deux grands modes de multi-homing : single-active et all-active. Pour ce lab4, le choix retenu est all-active, parce qu’il correspond le mieux à un réseau d’accès qui doit exploiter ses deux chemins de manière simultanée.
1. Single-Active
Le mode single-active conserve une logique de secours : un seul leaf participe réellement au forwarding pour le segment concerné, l’autre reste en attente.
Dans un design très conservateur, ce mode peut avoir un intérêt. Pour le lab4, il est moins pertinent, car il ne met pas en évidence le principe recherché ici : faire porter un domaine d’accès complet par deux leafs en parallèle.
2. All-Active
Le mode all-active est celui utilisé dans le lab4.
Principe :
- les deux leafs annoncent le même Ethernet Segment,
- les deux uplinks sont considérés comme membres du même domaine logique,
- EVPN coordonne le forwarding pour éviter les boucles,
- le réseau d’accès reste joignable si un des chemins tombe.
Dans ce mode, la redondance est réellement active des deux côtés. Le réseau d’accès n’attend pas qu’un chemin échoue pour être utilisé ; il s’appuie sur les deux leafs dès que la fabric est convergée.
Designated Forwarder (DF)
Le Designated Forwarder reste un point clé du lab4, même si le segment est en all-active. Son rôle est de décider quel leaf porte certains flux du segment, notamment pour le trafic BUM et la coordination du forwarding sur le VLAN concerné.
Ici, le DF ne remet pas en cause l’idée de dual-homing actif. Il évite simplement que les deux leafs traitent exactement les mêmes flux de la même manière au même instant sur le même segment.
Le paramètre df-election wait-time 1 aide à stabiliser cette décision au démarrage. On laisse EVPN propager les informations du segment avant de figer les rôles.
Interaction avec STP
Dans le lab4, la résilience du segment d’accès ne repose pas sur STP. La logique principale de protection est portée par EVPN et par l’ESI partagé entre les leafs.
STP peut rester présent comme mécanisme de garde-fou dans le domaine L2 local, mais il ne pilote pas le comportement de redondance du segment dual-homé. Pour ce cas précis :
- EVPN coordonne le domaine redondé,
- le port-channel porte l’agrégation physique,
- le DF arbitre le forwarding sur le segment,
- STP n’est pas la brique qui décide quel chemin est actif pour le réseau d’accès.