EVPN基本原理

EVPN基本原理
介绍
EVPN（Ethernet Virtual Private Network）是一种用于二层网络互联的VPN技术。EVPN技术采用类似于BGP/MPLS IP VPN的机制，通过扩展BGP协议，使用扩展后的可达性信息，使不同站点的二层网络间的MAC地址学习和发布过程从数据平面转移到控制平面。
EVPN路由
EVPN（Ethernet Virtual Private Network）技术采用类似于BGP/MPLS IP VPN的机制，在BGP协议的基础上定义了一种新的NLRI（Network Layer Reachability Information，网络层可达信息）即EVPN NLRI，EVPN NLRI定义了新的BGP EVPN路由类型，用于处在三层网络的不同站点之间的IP地址学习和发布。
在动态VXLAN隧道创建中，EVPN作为VXLAN控制平面协议，会使用到EVPN NLRI中定义的IP前缀类型（IP Prefix Route）路由，用于传递VTEP地址和主机信息，可以使VTEP（VXLAN Tunnel Endpoints）发现和主机信息学习从数据平面转移到控制平面。
IP前缀路由是Type5路由，该类型路由的报文格式如图1所示：
图1 IP前缀路由的报文格式

各字段的解释如下表所示：

该类型路由的IP Prefix Length和IP Prefix字段既可以携带主机IP地址，也可以携带网段地址：
    当携带主机IP地址时，在VXLAN控制平面中主要用于主机IP路由通告。
    当携带网段地址时，通过传递该类型路由，可以实现VXLAN网络中的主机访问外部网络。

相关概念
    VTEP（VXLAN Tunnel Endpoints）
    VTEP是VXLAN隧道端点，封装在NVE中，用于VXLAN报文的封装和解封装。
    VTEP与物理网络相连，分配有物理网络的IP地址，该地址与虚拟网络无关。
    VXLAN报文中源IP地址为本节点的VTEP地址，VXLAN报文中目的IP地址为对端节点的VTEP地址，一对VTEP地址就对应着一个VXLAN隧道。
    NVE（Network Virtualization Edge）
    网络虚拟边缘节点NVE，实现网络虚拟化功能的网络实体。报文经过NVE封装转换后，NVE间就可基于三层基础网络建立二层虚拟化网络。
    VNI（VXLAN Network Identifier）
    VXLAN网络标识VNI类似VLAN ID，用于区分VXLAN段。
    一个VNI表示一个租户，即使多个终端用户属于同一个VNI，也表示一个租户。
    VNI和VPN实例进行关联，用于VXLAN报文跨子网的转发。
    EVPN-VPN-Target
    每个VPN实例关联一个或多个EVPN-VPN-Target。有两类EVPN-VPN-Target：
        Export EVPN-VPN-Target：Export EVPN-VPN-Target属性会携带在EVPN路由中发送到远端的EVPN对等体。
        Import EVPN-VPN-Target：Import EVPN-VPN-Target属性通过与EVPN路由中携带的Export EVPN-VPN-Target属性匹配来决定哪些EVPN路由能交叉到本地的VPN实例IPv4地址族的路由表中。
    EVPN-VPN-Target属性控制EVPN路由的收发，进行EVPN路由交叉时，EVPN路由中携带的Export EVPN-VPN-Target属性中如果有一个与本地VPN实例IPv4地址族下的配置的Import EVPN-VPN-Target一致，即可交叉成功。

通过EVPN部署VXLAN隧道过程
如图2所示其建立过程如下：
    在Device1和Device2上创建VPN实例，并在Device1和Device2之间建立EVPN对等体关系。
    Device1和Device2间通过EVPN协议相互发送IP前缀路由。本端设备将主机地址或主机所在的网段地址引入到VPN实例中，并使用IP前缀路由发送至对端设备。
    Device1和Device2收到对方发来的IP前缀路由后，将检查路由上携带的Export EVPN-VPN-Target，如果与本端VPN实例IPv4地址族下的配置的Import EVPN-VPN-Target一致，则接收该路由，否则将丢弃此路由。接收该路由后，系统将保存其中携带的VTEP IP地址与VNI，进行报文转发时，数据报文外层将封装这些信息，即使用VXLAN隧道进行传输。
图2 通过EVPN部署VXLAN隧道过程图