Fråga om MPLS, EVPN/VXLAN, overlays

VPN
1

Jag gör en hel del kringliggande datacenter kubernetes-material vilket är prompten.

Har jag rätt förståelsen att MPLS i huvudsak är kapsling-tjänst som säljs av din leverantör från en IX till en annan? Med lager 2 och lager 3-varianter.

Till exempel, tänk om jag sysslade med någon dum virtuell ARP, VIP-grej. ARP förlitar sig på broadcast och om jag ville ha ett broadcast-område sträckt mellan två eller fler olikartade datacenter skulle jag tydligt behöva någon form av kapsling för att behålla mina VLAN-taggar över WAN:en så att VLAN kan spänna över datacentren. Det finns metoder att göra detta, jag kan göra ett site-site IPsec VPN med L2TP, jag kan göra dumma grejer med pseudovågar, eller VXLANs.

Har jag rätt förståelse att MPLS, trots en annan underliggande implementation, i huvudsak löser samma problem, bara som en tjänsteleverantör hanterad sak de säljer till mig där jag inte behöver äga ett IPsec VPN-avtal själv?

Om MPLS bara är en annan kapslingslösning, hur skiljer sig dess implementation och vägalternativ i en meningsfull bemärkelse från andra? Det åskådliggörs ofta som ett moln, men det är ju bara en abstraction. Vad betyder ett MPLS-nätverk egentligen när det gäller L3-anslutning och fiber, och hur skiljer det sig från det vanliga IP på vanlig fiber? Förmedlas MPLS-trafik på samma långa fiber som den vanliga IP-trafiken?

Väldigt orelaterat, men vad är EVPN egentligen? Huawei verkar ha de mest läsbara dokumenten om detta, där det beskrivs som en kontrollplan för VXLANs.https://support.huawei.com/enterprise/en/doc/EDOC1100168670

Är det en rättvis beskrivning? Varför skulle jag någonsin vilja använda BGP EVPN, lager 2-utvidgningar i antingen ett datacenter eller en tjänsteleverantörsmiljö? Vilket praktiskt problem löser detta.

2

Det här är lite av en irritationsfaktor för mig…

MPLS är helt enkelt ett protokoll för att märka och switcha paket. Om någon säljer dig MPLS som något annat än en router eller switch av något slag, särskilt om det är en tjänst, säljer de dig något byggt med MPLS, inte ‘MPLS’. När leverantörer pratar om MPLS menar de ofta men inte alltid att de ska bygga en L3VPN som kör på deras MPLS-kerna. Nästan alla tjänster som levereras av en modern leverantör är byggda på MPLS, så i princip kan allt du köper från dem kallas ‘MPLS’. Det är en marknadsföringsterm som orsakar mer förvirring än klarhet.

Resterande förutsätter att du pratar om en carrier-levererad lösning för L3VPN.

Har jag rätt förståelse att MPLS, trots en annan underliggande implementation, i huvudsak löser samma problem, bara som en tjänsteleverantör hanterad sak de säljer till mig där jag inte behöver äga ett IPsec VPN-avtal själv?

L3VPN hjälper inte dig att spänna över L2, men du bör verkligen undvika att göra det ändå. Det ger dig ett privat routingsdomän som du kan använda för att routa trafik mellan flera platser över leverantörens WAN. Det ersätter inte IPsec, eftersom det vanligtvis inte är krypterat, men ur ett högre perspektiv ‘hur trafiken reser’ är det liknande ett mesh VPN.

Vad betyder ett MPLS-nätverk egentligen när det gäller L3-anslutning och fiber, och hur skiljer det sig från det vanliga IP på vanlig fiber? Anses MPLS-trafik multiplexerad på samma långa fiber som den vanliga IP-trafiken?

Dessa frågor måste du ställa till just den leverantör du köper från. För de flesta moderna leverantörer, ja, all deras IP- och icke-IP (EVPL etc.)-trafik kommer att tillhandahållas på samma MPLS-kerna. De kan (eller kanske inte) ge högre QoS för deras tjänster jämfört med vanlig IP-trafik, men vanligtvis har du åtminstone möjligheten att betala (mycket, enligt min erfarenhet) extra för detta. I det naiva fallet är det ganska troligt att mellan två givna POPs, MPLS och transittrafiken använder samma väg. Det finns mycket flexibilitet här, så de kan göra många saker.

Är det en rättvis beskrivning? Varför skulle jag någonsin vilja använda BGP EVPN, lager 2-utvidgningar i antingen ett datacenter eller en carrier setting? Vilket praktiskt problem löser detta?

Du har inte längre någon L2-trafik överallt, vilket är en stor fördel. Inte längre VLAN-pruning, inga broadcastproblem, du kan använda ECMP och routade snabba felhanteringsmekanismer, det gör dynamisk provisioning mycket enklare. Det är ganska fantastiskt om du är en tjänsteleverantör som gör mycket L2 i datacentret. För företag är det förmodligen mycket mindre användbart.

3

MPLS är i huvudsak bara kapsling som en tjänst som säljs av din leverantör från en IX till en annan?

MPLS-tjänst erbjuds aldrig vid en Internet Exchange. Den erbjuds på ett enskilt carrier-nätverk. Du kan köpa ett MPLS-nät från Lumen eller AT&T, men du skulle inte få tillgång till det via DECIX eller AMSIX eller CoreSite Any2, till exempel.

Nu kan den leverantören utnyttja andra leverantörer för att nå dina andra platser, så som Lumen kan köpa en krets från AT&T för din skull till din plats i Illinois, till exempel. Men det är en annan krets än en internettransit, peering eller IX-länk.

Med lager 2 och lager 3-varianter.

För ett företag betyder “MPLS” vanligtvis lagertjänst 3. Leverantören tillhandahåller en port som har ett IP, och det IP:et finns i en virtuell routingtjänst som är separat från Internet.

Inom lager 2-området finns det också:

  • Ethernet Private Lines, eller EPLs. En EPL tar ett Ethernet-ram från kunden och skickar det till en annan port på tjänsteleverantörens nätverk.
  • Ethernet Virtual Private Lines (EVPL): Samma som en EPL, men kan ansluta till många platser. 802.1Q VLAN-taggar används för att identifiera vilken trafik som går vart.
  • Virtual Private LAN Service (VPLS): Detta är ett sätt att tillhandahålla samma broadcastdomän till många platser samtidigt. Varje port på varje plats finns i samma L3-nätverk.
  • Ethernet VPN (EVPN): Liknande VPLS, men mekanismen för att lära MAC-adresser på varje router är annorlunda (behandlas nedan).

Har jag rätt förståelse att MPLS, trots en annan underliggande implementation, i huvudsak löser samma problem,

Ja, med tillägget av Quality of Service, och en L3VPN eller L2VPN är isolerade från Internet. Internettrafik kan inte röra din router som är ansluten till ett MPLS-nätverk, om du inte väljer en brandvägg baserad på nätverket.

Det finns olika, mer effektiva verktyg för att hantera flöden och kollisioner. Dessutom är VPN-funktionen i MPLS sekundär till dess huvudmål: att minska antalet IP-tabelluppslagningar för internettrafik inom ett tjänsteleverantörs nätverk.

Vad betyder ett MPLS-nätverk egentligen när det gäller l3-anslutning och fiber, och hur skiljer det sig från det vanliga IP på vanlig fiber? Anses MPLS-trafik multiplexerad på samma långa fiber som den vanliga IP-trafiken?

Isolation från Internet och QoS. Samma fiber, olika tjänst.

Anses MPLS-trafik multiplexerad på samma långa fiber som den vanliga IP-trafiken?

Ja. Det finns en extra MPLS-etikett i slutet av paketet som talar om för målet routern vilken destinations nätverkstabell och vilken gränssnitt det ska routa paketet till.

MPLS har också kapacitet för trafikstyrning, så en tjänsteleverantör som har konfigurerat den kapaciteten kan routa dina paket över ett annat backbone-krets, om de administrativt väljer att göra det.

Också ganska orelaterat, men vad är EVPN egentligen.

EVPN är ett sätt att utöka en broadcast-domän över ett tjänsteleverantörs-nätverk. Det liknar VPLS i att Ethernet-ramar är märkta och routade genom tjänstledertjänsten, men EVPN lär MAC-adresser via BGP för att tillhandahålla loop-fri routing. Däremot, i VPLS, lär var och en av routrarna MAC-adresser oberoende, liknande en switch.

Vilket praktiskt problem löser detta.

VPLS kan vara svårt att administrera. Varje router med L2 VFI måste ha en direkt eller indirekt länk till en annan, vilket blir opraktiskt när många routrar måste delta i samma VFI. Jag har också sett problem i en full mesh-konfiguration av VPLS, eftersom routrar börjar lära MAC-adresser via flera vägar. EVPN flyttar MAC-inlärningsfunktionen till BGP.

Hoppas det hjälper!

edit: redigeraren åt upp en rad, formatering