Werfen wir einen Blick in das heutige Data Center, dann sehen wir viele neue Technologien. Software-defined Networking, Hyperconverged Infrastructure, End-to-End Automation, Data-in-Motion Encryption und vieles mehr. In diesem Artikel möchte ich jedoch ein generelles Thema beleuchten. Das Netzwerk im Data Center. Genauer gesagt, wie Ethernet VPN, kurz EVPN, helfen kann ein stabiles Fundament für jedes Rechenzentrum bereitzustellen.
Geht man vom klassischen Model einer dreistufigen Netzwerktopologie aus, so unterteilt sich das Netzwerk in einen Core, Distribution und Access Layer. Im heutigen Data Center wird jedoch in den meisten Fällen ein zwei stufiges Konzept verfolgt, um die geforderten Bandbreiten zwischen den Systemen gerecht zu werden. Weiteres handelt es sich in den meisten Fällen um ein reines Layer 2 Netzwerk, da VM Mobility, also das Verschieben von Virtuellen Maschinen zwischen Hypervisor Hosts, dies voraussetzt.
In dem klassischen Model wird ein sehr zentraler Ansatz verfolgt, der sich auf die Core Switches fokussiert. Sie bilden die Spanning-Tree Root Bridge, übernehmen das (Inter-VLAN) Routing, stellen den Gateway in andere Netze außerhalb des Data Centers und beherbergen die MAC Address und ARP Tables der kompletten Infrastruktur. Trotz der Tatsache, dass sie die wichtigsten Komponenten in dieser Topologie sind, endet es aufgrund der verwendeten Protokolle, wie HSRP/VRRP, dem Spanning-Tree Protocol, Multi-Chassis Link Aggregation (MLAG), bei der Redundanz vom zwei Core Switches. Außerdem ergeben sich aufgrund der großen Layer 2 Segmente einige Probleme hinsichtlich Stabilität, Skalierbarkeit und optimaler Ausnutzung der vorhandenen Ressourcen.
Die Ursache hierfür liegt an der Zentralisierung von Netzwerk Funktionen und strikten Trennung zwischen Layer 2 und Layer 3 Funktionen zwischen Access und Core. Behilft man sich aus einem anderen Gebiet der Netzwerktechnik, aus dem Bereich der Service Provider, so hat man hier schon früh gelernt, die Intelligenz an den Edge des Netzwerkes zu verschieben. Das beste Beispiel dafür ist ein BGP Free Core Netzwerk, wo der Backbone des Netzwerkes lediglich für den Transport der Pakete herangezogen. Die Anbindung der Endkunden und die Endkunden spezifischen Konfigurationen enthält nur der Service Provider Edge.
Wenden wir dieses Design an das hier abgebildete Data Center Netzwerk an, so erhalten wir ein reines Layer 3 Netzwerk, mit allen Vorteilen die es mit sich bringt.
Da wir hier jedoch die Layer 3 Grenze nach unten auf die Leaf Switches im Access Bereich
verschieben, müssen wir mit einem Overlay Protokoll arbeiten, um weiterhin die Anforderungen der angebundenen Systeme zu erfüllen. Aktuell wird im Data Center auf das VXLAN (Virtual Extensible LAN) Protokoll gesetzt. Der Einsatz eines Overlay Protokolls ist jedoch kein Nachteil, sondern ermöglicht die Infrastruktur unabhängig von der darunterliegenden Topologie je nach Einsatz anzupassen. Somit erreicht man eine hohe Flexibilität, ohne dafür mit Einbußen rechnen zu müssen.
Diese IP Fabric stellt nach dem Aufbau ein stabiles Fundament dar, welches außer man erweitert oder entfernt Switches, frei von weiterer Konfigurationen ist. Darauf können nach Belieben unterschiedliche Overlay Netzwerke erstellt werden, welche sowohl Layer 2 Segmente als auch Layer 3 Segmente sein können. Zwei Vorteile möchte ich hier besonders herausstreichen. Das ist einerseits die maximale Anzahl an Layer 2 Segmenten, die sich erhöht von vorher 4096 VLANs, auf theoretisch 16 Millionen VXLAN Segmente, und die Mandantenfähigkeit, d.h. die Trennung zwischen Overlay Netzwerken und die daraus resultierende mehrfache Verwendung von VLAN IDs und IP Subnetzen.
Stellt man sich das in einem größeren Data Center vor, so könnte man in jedem Rack einen Top-of-Rack Switch (Leaf Switch) installieren, der alle Funktionen für die Komponenten des Racks übernimmt.
- Verarbeitung und Weiterleitung von Paketen zu einem anderen Top-of-Rack Switch
- (Default) Gateway und somit auch Inter-VLAN Routing (Anycast Gateway auf allen Leaf Switches)
- Optimierte Verarbeitung und Weiterleitung von BUM (Broadcast, Unkown Unicast, Multicast) Traffic
Aufgrund der Verarbeitung und Optimierung direkt auf den Leaf Switches ändert sich das Verhalten des Datenverkehrs im Netzwerk und welche Datenpakete weitergeleitet werden massiv. Redundante Wege zwischen den Leaf und Spine Switches werden voll genutzt (ECMP) und das Datenaufkommen zwischen den Switches sollte sich verringern.
Wo kommt hier EVPN zum Einsatz?
EVPN (Ethernet VPN) kann das Control Plane Protocol in solchen Infrastrukturen sein. Ein Leaf Switch muss wissen, wo sich welche MAC und IP Adresse innerhalb welches VXLAN Overlay Segments und hinter welchem Leaf Switch befindet. Für diese Signalisierung arbeitet EVPN mit dem BGP Routing Protokoll. Genauer gesagt, ist EVPN eine Erweiterung von MP-BGP (Multi Protocol BGP) über die ein Leaf Switch genau diese Informationen austauschen kann. Der Austausch geschieht nur zwischen den Leaf Switches, und die Spine Switches werden rein für den Transport der Daten verwendet. In der Regel übernehmen sie zwar die Aufgabe der BGP Route Reflektoren, welche man hierfür jedoch losgelöst betrachten kann. Für die Anbindung von externen Netzes kann dann entweder MPLS L3 VPN oder LISP in größeren Rechenzentren, oder mit VRF-Lite im kleinen Rahmen gearbeitet werden.
Wann macht EVPN für mich Sinn?
Generell gesprochen erhöht EVPN mit VXLAN in jedem Rechenzentrum die Flexibilität, Stabilität und Skalierbarkeit im Vergleich zu einer Layer 2 Domäne, wie sie heute noch häufig zu finden sind. Die Größe des Netzwerkes spielt hier keine Rolle und EVPN kann sowohl für eine kleine Infrastruktur mit wenigen Switches, bis hin zu einem Data Center mit hundert Racks implementiert werden. Auch die Data Center Lösung von Cisco, Application Centric Infrastructure (ACI), arbeitet im Hintergrund mit EVPN und VXLAN und unterstützt aktuell 200 Leaf Switches, wobei sich diese Zahl von Release zu Release nach oben hin ändert. Noch dazu wird EVPN schon seit einiger Zeit auf Cisco Nexus Plattformen unterstützt und somit ist in vielen Fällen nicht einmal ein Tausch der Hardware für den Einsatz nötig.
Gerne unterstützen wir sie im Bereich Data Center Networking und erarbeiten mit ihnen gemeinsam eine für sie optimale Lösung.