Lab 5 - Stack Leaf
Multi-Homing - Stack Leaf
Le lab5 reprend la fabric VXLAN EVPN des labs précédents, mais change le point d’intégration du domaine d’accès. Ici, la stack d’accès n’est plus un bloc séparé placé devant la fabric : elle devient directement une leaf EVPN à part entière.
L’idée est de faire de Leaf-03 une stack de deux switchs qui participe au même titre que Leaf-01 et Leaf-02 à la fabric. On garde donc le socle underlay/overlay du lab2, mais on rapproche la couche d’accès du rôle de leaf pour supprimer l’intermédiaire que représentait le design du lab4.
L’implémentation s’appuie sur les principes EVPN Multi-Homing décrits dans la documentation Cisco Catalyst 9300 pour les fabrics BGP EVPN VXLAN : https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst9300/software/release/17-15/configuration_guide/vxlan/b_1715_bgp_evpn_vxlan_9300_cg/configuring_multi_homing_in_bgp_evpn_vxlan_fabric.html
Structure
Spine1 (RR + RP)
/ | \
/ | \
Leaf1 Leaf3 Leaf2
||
Stack of two switches
(directly acting as a leaf)
||
Access / VLANs / hosts
Le point important du lab5 est que Leaf-03 n’est pas un simple switch d’accès derrière la fabric. C’est une stack de deux membres qui joue le rôle de leaf VXLAN EVPN, avec ses propres uplinks sous-jacents vers les spines et ses propres ports de service pour les VLANs locaux.
Le lab conserve aussi les autres briques du scénario :
- Leaf-01 et Leaf-02 restent les leafs EVPN classiques,
- Spine-01 et Spine-02 assurent l’underlay et le rôle de RR,
- Server-01 reste un endpoint dual-homed pour valider la continuité du service,
- Acces-01 reste un bloc L2 de bordure avec un port-channel trunké sur les VLANs de service.
Principe du Stack Leaf
Le changement clé par rapport au lab4 est le suivant : on ne met plus la stack d’accès devant la leaf, on la fait devenir la leaf.
Dans le lab4, la redondance était portée par un segment d’accès dual-homé vers la fabric. Dans le lab5, la stack Leaf-03 participe directement à la fabric EVPN/VXLAN et porte elle-même les VLANs de service. La logique n’est donc plus celle d’un réseau d’accès redondé qui remonte vers une leaf, mais celle d’une leaf qui est elle-même construite comme une stack de deux switchs.
Cette approche permet de valider un cas plus proche d’un design de campus réaliste :
- la couche leaf peut être réalisée par une stack physique,
- les ports d’accès sont directement localisés sur cette leaf,
- le VXLAN EVPN transporte les VLANs du site sans couche intermédiaire,
- la fabric reste cohérente même si la leaf elle-même est composée de deux membres.
Ce qui change par rapport à une fabric VXLAN basique sans stack leaf
Par rapport au VXLAN simple du lab2, on conserve le même modèle EVPN/VXLAN, mais Leaf-03 ajoute une particularité matérielle :
- deux switchs sont provisionnés dans la même stack,
- le control plane de leaf est porté par cette stack,
- les liens underlay partent des deux membres de la stack vers les spines,
- les ports de service sont répartis sur les deux plans de la stack,
- le leaf local peut donc jouer à la fois le rôle de VTEP et le rôle de point d’accès.
Le lab5 ne cherche donc pas à introduire un nouveau mécanisme EVPN spécifique. Il montre plutôt qu’une leaf peut être matérialisée par une stack et que cette stack peut porter directement des VLANs de service dans l’overlay.
Configuration appliquée sur Leaf-03
La configuration de Leaf-03 est le cœur du lab5. Les deux membres de la stack sont provisionnés explicitement :
switch 1 provision c9300l-24t-4g
switch 2 provision c9300l-24t-4g
Ce point est essentiel, car il confirme que la leaf n’est pas un seul châssis logique classique, mais bien une stack de deux switchs. Le reste de la configuration suit ensuite le modèle leaf du lab2 :
ip routing
ip multicast-routing
l2vpn evpn
replication-type static
router-id Loopback1
default-gateway advertise
l2vpn evpn instance 101 vlan-based
encapsulation vxlan
replication-type static
l2vpn evpn instance 102 vlan-based
encapsulation vxlan
replication-type ingress
La stack Leaf-03 participe ensuite au transport VXLAN comme les autres leafs :
Loopback0sert d’adresse de voisinage BGP,Loopback1sert de source NVE,router bgp 65001forme les sessions vers les spines,interface nve1porte les VNIs associés aux VLANs de service.
Le sous-système VXLAN reste donc identique dans son principe. La différence est que ce sous-système repose sur une stack à deux membres au lieu d’un seul switch.
Ports d’accès de la stack leaf
Leaf-03 expose directement les VLANs de service sur ses ports locaux. Les interfaces du premier membre transportent principalement le VLAN 101, tandis que celles du second membre transportent principalement le VLAN 102 :
interface GigabitEthernet1/0/2
switchport access vlan 101
switchport mode access
...
interface GigabitEthernet1/0/24
switchport access vlan 101
switchport mode access
interface GigabitEthernet2/0/2
switchport access vlan 102
switchport mode access
...
interface GigabitEthernet2/0/24
switchport access vlan 102
switchport mode access
Cette répartition est intéressante parce qu’elle montre concrètement le rôle de la stack : chaque membre fournit une partie du plan d’accès, mais l’ensemble reste piloté comme une seule leaf EVPN. On n’a donc pas une stack d’accès interposée entre la fabric et le service ; on a la leaf elle-même qui porte les VLANs.
Couche VLAN et NVE
Les VLANs 101, 102 et 901 sont toujours mappés vers les VNIs du lab :
vlan configuration 101
member evpn-instance 101 vni 10101
vlan configuration 102
member evpn-instance 102 vni 10102
vlan configuration 901
member vni 50901
Le point à retenir est le même que dans les labs précédents :
- VLAN 101 et VLAN 102 transportent les services du lab,
- VNI 10101 et VNI 10102 font le relais dans l’overlay VXLAN,
- VNI 50901 sert la VRF green,
nve1associe les VNIs à l’adresse de source de la leaf.
La différence avec le lab4 n’est pas dans le mapping VXLAN lui-même, mais dans le fait que ce mapping est directement porté par la stack Leaf-03.
Configuration côté fabric
Leaf-01 et Leaf-02 restent des leafs EVPN classiques. Leur configuration conserve les éléments déjà vus dans les labs précédents :
l2vpn evpnavec le router-id de la loopback,- les deux voisins BGP vers les spines,
- les VNIs 10101, 10102 et 50901,
- les interfaces
Port-channel12etPort-channel14pour les segments EVPN, - les ports de service en
channel-groupsur les bons VLANs.
Le lab5 ne modifie pas le rôle de ces leafs. Il ajoute simplement une leaf supplémentaire, Leaf-03, construite comme une stack de deux switchs.
Serveur et accès
Server-01 reste raccordé comme dans les labs précédents. Comme sa configuration ne change pas ici, je ne la redétaille pas dans cette partie ; il sert surtout de point de validation pour confirmer que la fabric reste cohérente pendant que Leaf-03 prend le rôle de leaf stack.
Acces-01 reste, lui, un bloc L2 simple avec un Port-channel24 trunké sur les VLANs 101 et 102 :
interface Port-channel24
switchport trunk allowed vlan 101,102
switchport mode trunk
Le message de la configuration est simple : le bord de réseau peut toujours exister sous forme d’un switch ou d’une stack L2 classique, mais la leaf EVPN elle-même est désormais représentée par la stack Leaf-03.
Mode de fonctionnement
Le lab5 ne change pas le modèle EVPN de base : la fabric continue à utiliser VXLAN comme data plane et EVPN comme control plane.
Le vrai changement est architectural :
- le lab4 redondait un domaine d’accès devant la leaf,
- le lab5 fait de la stack d’accès la leaf elle-même,
- la stack Leaf-03 transporte donc directement les VLANs du site dans l’overlay.
En pratique, cela simplifie le design du point de vue EVPN : la leaf ne doit plus coordonner un segment intermédiaire de dual-homing comme dans le lab4, parce que c’est sa propre stack qui constitue le point d’attachement à la fabric.
Interaction avec STP
Comme dans les labs précédents, STP ne pilote pas le comportement de la fabric VXLAN EVPN. La résilience et le transport des VLANs passent par le contrôle-plane EVPN et par le comportement de la leaf stack.
STP reste utile comme filet de sécurité dans les domaines L2 locaux, mais il ne remplace pas le rôle de VXLAN/EVPN dans la propagation des services.