EVPN淺析及在專線中的應用探索

李順 曹景鎮 張琰 喬巖

摘要：隨著5G、通信云的發展，運營商向著協議、設備簡化以及網絡架構簡化的目標部署了一張新的承載網絡。采用多種邊緣設備，實現5G、家庭寬帶、大客戶、通信云等業務的融合承載。構建智能化、自動化、開放化的網絡管控系統，實現端到端業務的自動開通，支撐智能化運維和互聯網化運營，提升用戶體驗。專線客戶業務將是此網絡重要的承載對象。

關鍵字：EVPN;VXLAN;SDN;VPWS;VPLS;專線

一、EVPN原理

1.1 EVPN技術背景

隨著移動、固網和互聯網業務的高速發展，MPLS VPN技術在廣域網中得到成熟的商用，然而隨著VPLS、VPWS等MPLS L2VPN業務在專線客戶中的廣泛部署以及業務數量的不斷增加，其不足之處也日益突顯，網絡中存在的幾個問題及網絡新需求需要解決：

1）Redundancy Requirements，VPLS/VPWS CE多歸場景，只能支持單活，需要支持多活。

2）Fast Convergence，傳統的MAC/ARP學習沒有控制平面，AC down即使用LDP發消息撤銷遠端PE相關的MAC，撤銷速度和MAC數量有關，收斂速度慢。

3）Flood Suppression，大量的洪范報文占用網絡資源，需要將洪范限制在本地。

4）H-VPLS NPE設備保存所有UPE上的MAC壓力大。

而以太網VPN（Ethernet Virtual Private Network，簡稱EVPN）應運而生，它通過擴展MP-BGP協議來傳遞網絡節點的MAC和ARP等信息，通過生成的MAC表項和路由表項進行二/三層報文轉發，以實現廣域網互聯的目的。

1.2 EVPN原理

EVPN（Ethernet Virtual Private Network）是一種二層網絡互聯VPN技術，EVPN引入了控制平面與數據平面分離的概念。通過建立MP-BGP鄰居來傳遞二層網絡間的MAC/ARP/路由信息，通過生成的地址轉發表項進行二層或者三層報文轉發。且單一EVPN控制平面對應多種數據平面：VXLAN、MPLS和PBB，不同的數據平面封裝具備不同的優劣勢。EVPN擴展BGP協議以支持新的業務，實現了MPLS L2VPN與L3VPN的統一。

EVPN網絡和BGP/MPLS IP VPN的網絡結構相似，為了實現各個Site之間的互通，骨干網上的PE設備上建立EVPN實例并接入各個Site的CE設備，同時各個PE之間建立的鄰居關系以及LDP隧道。但是EVPN網絡與BGP/MPLS VPN網絡的不同之處在于各個Site內是二層網絡，因此PE從各個CE學習到的是MAC地址而不是路由，PE通過EVPN特有的路由類型將自己從CE學習到MAC地址轉發到其他Site。

1.3 EVPN技術特點

EVPN繼承了MP-BGP和VXLAN的優勢。具有如下特點：

1）簡化配置：通過MP-BGP實現VTEP自動發現、VXLAN隧道自動建立、VXLAN隧道與VXLAN自動關聯，無需用戶手工配置，降低網絡部署難度。

2）分離控制平面與數據平面：控制平面負責發布路由信息，數據平面負責轉發報文，分工明確，易于管理。

3）支持多歸屬：當同一個站點通過多臺VTEP接入VXLAN網絡時，連接該站點的多條路徑均可以進行流量轉發，以提高網絡帶寬利用率。

4）支持對稱IRB（Integrated Bridging and Routing，集成的橋接和路由）：MP-BGP同時發布二層MAC地址和三層路由信息，VTEP既可以進行二層轉發，也可以進行三層路由。這樣，不僅可以保證流量采用最優路徑轉發，還可以減少廣播流量。

二、EVPN基本功能

BGP EVPN鄰居建立

BGP新定義evpn子地址族（AFI=25，SAFI=70）用于協商bgp evpn鄰居消息，一般分為iBGP和eBGP兩種：

在部署iBGP時，為簡化全連接配置，可以引入RR路由反射器，所有PE設備都只和RR建立BGP對等體關系。RR發現并接收某PE設備發起的BGP連接后形成Client列表，將從其收到的路由反射給其他所有的PE設備。

在部署eBGP時，BGP會自動將從eBGP鄰居收到的EVPN消息發送給其他eBGP和iBGP鄰居。

BGP通告MAC/ARP

EVPN在控制面學習MAC和ARP信息，站點的MAC和ARP信息是通過EVPN MAC/IP路由通告的，因此在EVPN網絡中無須將ARP請求泛洪到網絡中。

MAC Mobility

MAC地址遷移是指主機從其接入的PE設備遷到EVPN網絡的另一臺PE設備下。新遷移到的PE設備會重新感知到主機上線，會重新通告該MAC/IP路由，此路由跟遷移前通告的MAC/IP路由的區別在于在BGP update消息中攜帶了一種新的擴展團體：MAC Mobility擴展團體。

ARP/ND Proxy

為了避免廣播發送的ARP/ND請求報文占用核心網絡帶寬，PE根據從BGP收到的EVPN 2類路由在本地建立ARP/ND緩存表項。后續當PE收到本站點內請求其它站點MAC地址的ARP/ND請求時，優先根據本地存儲的ARP/ND表項進行代理回應。如果沒有對應的表項，則將ARP/ND請求泛洪到核心網。ARP/ND泛洪抑制功能可以大大減少ARP/ND泛洪的次數。

EVPN單播報文轉發過程

當PE學習到其他站點的MAC地址且公網隧道建立成功后，則可以向其他站點傳輸單播報文，其具體傳輸過程如下：

1.CE1將單播報文以二層轉發的方式發送至PE1;

2.PE1先為單播報文封裝上EVPN Label，再封裝上公網MPLS LSP Label，再先后封裝PE1的MAC地址和PE2的MAC地址。然后將封裝后的單播報文發送至PE2;

3.PE2收到封裝后的單播報文后，將進行解封裝，并根據EVPN Label將單播報文發送至對應EVPN的站點。

EVPN BUM報文轉發過程

在EVPN中，Broadcast、Unknown-unicast、Muticast三種報文處理是一樣的，統稱為BUM轉發。常用的BUM轉發復制方式有：

1）入口復制MP2P，在頭節點將BUM報文復制到每條P2P的單播隧道中，適用于輕負載場景。

2）逐跳復制P2MP，需要建立P2MP的隧道，中間設備維護P2MP隧道狀態，適用于BUM負載大的場景。

當PE設備間的EVPN鄰居關系建立成功后，EVPN鄰居間會相互發送RT-3 泛指組播路由，根據RT-3路由中的RT屬性感知建立EVPN實例PE之間的可達信息，并分配BUM標簽。BUM標簽由報文接收方分配，到不同PE間的BUM標簽不同。若PE設備配置了ESI則報文接收方還會分配ESI標簽。BUM報文轉發過程如下：

1.CE1將BUM報文發送至PE1;

2.由PE1向屬于同一EVPN的遠端PE2、PE3逐個發送BUM報文。即PE1將BUM報文復制成兩份，每份報文將先后封裝上EVPN BUM Label、公網LDP LSP Label，再先后封裝PE設備的源目MAC地址，然后發送給遠端PE;

3.PE2和PE3收到BUM報文后，將對報文解封裝并根據EVPN BUM Label將BUM報文發送至對應EVPN的站點。

在CE多歸場景中，配置ES的PE設備之間發送BUM報文時，根據水平分割原理，BUM報文會還會封裝上EVPN ESI Label，防止傳輸BUM報文過程中出現環路。

EVPN端口接入模式

EVPN端口接入模式和傳統的L2VPN端口接入模式基本一致，有四種接入方式。

1.Port Base Service Interface：基于端口的以太網業務，該類型業務只有1個BD。

2.VLAN Base Servicel Interface：基于單個VLAN的以太網業務，以太網業務針對物理端口+VLAN，該端口對應的單個VLAN的報文被接收并轉發，該類型業務只有1個BD。

3.VLAN Bundling Service Interface：基于VLAN范圍的以太網業務，一個EVI中，對應的AC可綁定多個VLAN，即VLAN范圍，但只有1個BD廣播域和MAC轉發表，要求每個VLAN下不能有相同的MAC。

4.VLAN Aware Bundling Service Interface：一個EVI中，對應的AC可綁定多個VLAN，每VLAN每BD，有多個MAC轉發表，這樣一來，每個VLAN下可以有相同的MAC。

三、EVPN在專線中的應用

EVPN的ES機制CE多歸，支持單活和多活的冗余模式，替代復雜的DNI-PW方案;在 EVPN跨域的情況下，ASBR設備上部署BGP傳遞EAD路由策略，不需要針對業務配置。部署SR-Policy，使用color將VPN業務的服務質量和隧道SR關聯。color信息隨EAD路由傳遞，方便實現域內的SR隧道的資源預留，保證SLA。SR Tunnel分段部署，域內控制器根據color信息進行資源分配創建SR隧道。

專線客戶在EVPN中開通的業務主要分為三類：VPWS、E-Tree、L3VPN。

1.VPWS：EVPN擴展支持VPWS功能，EVPN VPWS通過EAD per EVI路由通告AC、VLAN/VNI信息創建VPWS。攜帶L2擴展團體屬性標識主備、MTU和控制字。EVPN VPWS同樣支持CE雙歸PE，提供保護路徑或者ECMP，能靈活控制業務經過的PE設備。EVPN鄰居利用BGP的反射器不需要Full-mesh的鄰居配置，特別在MSPW的SPE節點上可以減少對業務的配置。

2.E-Tree：EVPN同時擴展了E-Tree功能，可以指定root屬性和leaf屬性，并制定過濾原則。E-Tree過濾原則是root 可以跟root/leaf互通，leaf只能跟root互通。Leaf屬性粒度可以基于PE、AC或者MAC地址。

對于單播流量有兩種過濾方式：

A. 針對單播MAC轉發，PE1通過RT-2路由攜帶Leaf flag屬性到PE2，流量在入口PE2進行leaf過濾。

B. EVI中針對leaf和root角色配置不同的Route-target，控制leaf的RT-2不導入到全leaf Site的EVI。

EVPN路由中如下RT屬性，Leaf指示符用于單播業務流過濾，Leaf標簽則用于BUM業務流過濾。組播流量通過EAD-per-ES路由攜帶E-Tree，有效字段是leaf標簽，在出口PE進行過濾。報文攜帶leaf標簽標示表示它來自于遠端Leaf Site，不能發往本地的Leaf Site。為了解決BUM流量Root和Leaf之間上下行流量異構的問題（如下行P2MP方式，上行P2P方式），引入了下面兼容的PMSI屬性。

3.L3VPN：EVPN不僅支持L2VPN，同時還支持L3VPN功能，這樣使得L2業務和L3業務可以共享一個BGP EVPN鄰居。針對不同的應用場景，可以使用不同的L3VPN EVPN技術。

3.1 對稱性IRB

為實現跨子網的通信，RT2（MAC/IP Advertisement Route）通告MAC+IP時可以攜帶二層和三層信息，如標簽和Route-Target信息。路由接收端根據該信息生產二層私網表項和三層私網主機路由表。三層私網主機路由用于跨子網的轉發。該場景同樣能支持CE的多歸，擴展定義Ethernet A-D per EVI route可以同時攜帶二層和三層信息，如標簽和Route-Target信息。三層私網主機路由同樣可以依賴ES進行快速收斂和Aliasing。

流量轉發至PE1，通過IRB接口橋接MAC-VRF和VRF表，PE1查三層私網主機路由表，并封裝三層標簽后發送給PE3，PE3通過標簽獲取L3VPNID然后查VRF路由表，ARP出口是IRB口，則橋接至二層出口轉發數據。

我們可以看到一次完整請求的來回路徑是一樣的，路由接收方PE1和路由發布方PE3都是路由查找，所以這種模式被稱為對稱IRB（Symmetric IRB）。

3.2 非對稱性IRB

對稱模型需要RT2等路由發布時攜帶三層標簽，而非對稱模型不需要三層標簽信息。數據轉發至路由接收方PE1，PE1通過路由查找，直接從arp表里獲取用戶MAC，并且發現出口是IRB口，查下一跳MAC表獲取二層標簽，封裝報文，發送給路由發送方PE3，PE3通過二層標簽獲取L2VPNID，直接查mac表轉發。

我們可以看到一次完整請求的來回路徑不一樣，路由接收方PE1做路由轉發，路由發送方PE3做mac轉發，所以這種模式被稱為非對稱路由（Asymmetric IRB）。

四、總結分析

EVPN通過擴展BGP協議使二層網絡間的MAC地址學習和發布過程從數據平面轉移到控制平面。與BGP/MPLS VPN相比，在CE多歸場景，EVPN通過控制面BGP路由收斂，達到快速收斂的效果;故障時收斂速度與MAC地址數量無關;控制和轉發的分離使EVPN與SDN無縫整合，為未來自動化運維署奠定了基礎。

EVPN技術還完美解決如下問題：

1）EVPN通過擴展BGP協議使二層網絡間的MAC地址學習和發布過程從數據面轉移到了控制面。這樣可以使設備用管理路由的方式來管理MAC地址，從而實現目的MAC相同但下一跳不同的多條EVPN路由，達到負載分擔的目的，實現ECMP。

2）EVPN網絡中的PE設備之間通過BGP協議實現相互通信，即EVPN可以利用BGP的反射器，通過路由反射器來反射EVPN路由，避免PE設備之間BGP鄰居的Full-mesh協議會話，將二層網絡和三層網絡統一在相同的控制平面，大大降低了網絡復雜度，減少網絡信令數量。

3）EVPN PE設備的ARP Proxy功能，可抑制洪范，關閉未知單播。PE設備通過ARP協議和MAC地址通告路由分別學習本地和遠端的MAC地址信息以及其對應的IP地址，并將這些信息緩存至本地。當PE設備再收到其他ARP請求時，將先根據ARP請求報文中的目的IP地址查找本地緩存代答表，如果查到對應信息，則PE直接返回ARP響應報文，避免ARP請求向其他PE廣播，減少網絡資源消耗。