EVPN-VXLAN

EVPN-VXLAN

Het gebruik van Ethernet VPN Virtual Extensible LAN (EVPN-VXLAN) biedt organisaties de mogelijkheid om hun campus- en datacenternetwerk via één gemeenschappelijk framework te beheren. EVPN-VXLAN is een netwerkstructuur waarmee laag 2 connectiviteit wordt uitgebreid als netwerkoverlapping bovenop een fysiek netwerk.

EVPN-VXLAN

Schematische weergave van een EVPN-VXLAN

De opkomst van VXLAN

Steeds meer apparaten worden met het internet verbonden. De komst van IoT speelt hierin een belangrijke rol. Hierdoor loopt het gebruik van de traditionele VLAN's tegen zijn limieten aan en kan het niet langer met deze groei meegaan. Om meer flexibiliteit te bieden wordt met VXLAN de fysieke netwerkinfrastructuur ontkoppeld van de virtuele netwerktopologie. Door het netwerk in lagen op te delen hebben organisaties de flexibiliteit om laag 2- en laag 3 connectiviteit te bieden tussen alle endpoints op een campus en in het datacenter, waarbij een consistente netwerkarchitectuur behouden blijft. EVPN-VXLAN heeft zich hiermee ontwikkeld tot een breed gedragen standaard waarmee een brug tussen campus, bedrijfsvestigingen, de Cloud en het datacenter wordt geslagen.

OSI model

Lange tijd werden applicaties zodanig ontworpen dat deze zich allemaal in hetzelfde domein op OSI laag 2 bevonden. Met name door de gevoeligheid van het Spanning Tree Protocol (STP) ontstonden hierdoor problemen. OSI laag 3 protocollen hebben aan populariteit gewonnen, omdat deze gemakkelijker en efficiënter geschaald kunnen worden. Door virtuele netwerken van OSI laag 2 te laten op fysieke netwerken van OSI laag 3 kunnen de nieuwste technologieën toch op bestaande infrastructuur gebruikt worden. Dit wordt netwerkoverlapping genoemd. Deze netwerkoverlappingen bieden een laag van abstractie bovenop het fysieke netwerk waardoor nieuwere applicaties ook op oudere infrastructuur kunnen functioneren. Oudere applicaties werken in veel gevallen nog altijd op OSI laag 2.

Middels virtualisatie wordt aan deze applicaties een eigen netwerk aangeboden, waarbij ze via tunnels met elkaar verbonden worden. Hiervoor wordt E-VPN gebruikt. E-VPN zorgt ervoor dat oudere applicaties van OSI laag 2 gebruik kunnen maken, terwijl nieuwere applicaties van OSI laag 3 gebruik kunnen maken. E-VPN ondersteunt het OSI laag 2 protocol VXLAN. Hiermee worden virtuele tunnels opgezet waarmee data wordt ingekapseld, over het netwerk wordt getransporteerd en weer wordt uitgepakt. Deze virtuele tunnels zorgen ervoor dat het lijkt alsof alles op één netwerk plaatsvindt, terwijl het verkeer in feite meerdere netwerken doorkruist. Hierdoor maakt EVPN-VXLAN het mogelijk om oudere- en nieuwere naast elkaar te draaien, zodat organisaties hun activiteiten in verschillende domeinen met elkaar kunnen verenigen.

Hoe EVPN-VXLAN werkt

EVPN-VXLAN ontkoppelt de fysieke netwerktopologie van de virtuele netwerktopologie, het bovenliggende netwerk en het onderliggende netwerk. Ieder netwerk heeft binnen EVPN-VXLAN een eigen rol.

Het onderliggende netwerk

Het onderliggende netwerk is het fysieke netwerk dat zorgt voor de connectiviteit tussen alle endpoints. Dit netwerk is binnen EVPN-VXLAN vrijwel altijd volgens een leaf-spine configuratie opgebouwd dat draait op OSI laag 3. Het onderliggende netwerk biedt Any-to-Any connectiviteit tussen alle endpoints en tussen endpoints die gebruik maken van netwerkprotocollen die in het bovenliggende netwerk gebruikt worden.

EVPN-VXLAN

Schematische weergave van een spine-leaf netwerktopologie

Het bovenliggende netwerk

Bovenliggende netwerken worden gecreëerd door verkeer in te kapselen en via tunnels over het fysieke netwerk te transporteren. Hiervoor wordt bijna altijd VXLAN gebruikt. Met VXLAN worden OSI laag 2 Ethernet frames ingekapseld in OSI laag 3 UDP pakketjes. Hierdoor is het mogelijk om verkeer van virtuele OSI laag 2 segmenten te transporteren over het fysieke OSI laag 2/laag 3 netwerk. In een bovenliggend VXLAN netwerk wordt ieder segment voorzien van een unieke Virtual Network Identifier (VNI). De VNI is hetzelfde als het VLAN-ID in traditionele VLAN-netwerken. Net als VLANs kunnen alle segmenten met hetzelfde VNI rechtstreeks met elkaar communiceren. Netwerksegmenten met een verschillende VNI hebben een gateway nodig om met elkaar te kunnen communiceren.

Het apparaat dat de VXLAN inkapseling- en ontkapseling uitvoert heet een VXLAN Tunnel Endpoint (VTEP). VTEPs kunnen op hyper-visor hosts of op fysieke netwerkapparatuur geconfigureerd worden en beschikken doorgaans over een eigen IP-adres. VXLANs kunnen handmatig worden geconfigureerd- en beheerd, maar meestal wordt deze taak aan een E-VPN overgelaten. E-VPN maakt gebruik van netwerkstandaarden waarmee virtuele multipoint connectiviteit tussen verschillende domeinen in een IP of IP/MPLS core netwerk wordt gerealiseerd. E-VPN maakt hiervoor gebruik van Multiprotocol BGP (MP-BGP) voor endpoint distributie. Ieder MAC-adres wordt hierbij als een individuele route behandeld. Wanneer E-VPN in een datacenter gebruikt wordt, dan kunnen VTEPs onderling met elkaar informatie uitwisselen over hun endpoints.

Voordelen van VXLAN

Organisaties die van VXLAN gebruik maken profiteren van een aantal voordelen.

  • Flexibiliteit: VXLAN ondersteunt meerdere netwerkprotocollen en deelt diverse netwerkelementen met andere netwerkservices zoals VPN's. Hierdoor kan VXLAN eenvoudig in bestaande netwerken geïntegreerd worden.
  • Meer schaalbaarheid: VXLAN maakt het voor organisaties gemakkelijk om nieuwe switches toe te voegen zonder dat er grote wijzigingen in het fysieke netwerk doorgevoerd hoeven te worden.
  • Hogere mate van beveiliging: Netwerksegmentatie zorgt ervoor dat verkeersstromen beter gereguleerd kunnen worden, waardoor de algehele beveiliging van het netwerk wordt verbeterd en de schade bij hackeraanvallen wordt beperkt.
  • Meer prestaties en een hogere veerkracht: VXLAN zorgt ervoor dat de latency tussen netwerkapparaten beter beheerst kan worden en de uitval van één netwerkelement geen grote impact heeft op de prestaties van het algehele netwerk.