Von Ethernet-Layer-2 zur EVPN-VXLAN-Overlay-Fabric

Data-Center-Netzwerke basieren heute oft auf riesigen, das ganze Data-Center umspannenden, Ethernet-Layer-2-Domänen. Zur externen Konnektivität dienen hier Layer-3-Systeme wie Router oder dedizierte Appliances wie Firewalls und Loadbalancern, die an verschiedenen Stellen der Layer-2-Domänen angeschlossen sind. Diese Art Netzwerke zu planen stammt allerdings aus einer Zeit, in der sowohl das Volumen des Datenverkehrs als auch die Anzahl angeschalteter Geräte weitaus geringer waren. Das explosionsartige Wachstum an Bandbreitenbedarf sowie die steigenden Anforderungen an die Verfügbarkeit bringen traditionelle Netzwerke nunmehr an ihre Leistungsgrenzen. Dieser Herausforderung kann mit „Ethernet-VPN-Virtual-Extensible-LAN“ – kurz EVPN-VXLAN – begegnet werden.

Im unlängst erschienenen Blog-Artikel rund um Hardware und Software im modernen Data-Center-Netzwerk haben wir bereits über Treiber und Business-Motivation moderner Rechenzentren gesprochen. Dieser Artikel beschäftigt sich nun detaillierter mit Optionen, bestehende Netzwerke so zu transformieren, um auch zukünftige Anforderungen erfüllen zu können, ohne dafür jedoch einen kompletten Umbau notwendig zu machen. Dies ist der erste Beitrag einer mehrteiligen Serie, in dem wir zunächst eine sanfte Transformation fokussieren; folgende Artikel werden dann auch radikalere Ansätze vorstellen.

Ausgangspunkt: Traditionelle Layer-2-Architekturen

Die meisten bestehenden Layer-2-Netzwerke wurden auf Basis eines Mehrschichtenmodells bestehend aus Border, Core, Distribution und Access aufgebaut und nutzen ältere Protokolle wie Spanning-Tree, um inhärente Ethernet-Limitierungen zu umgehen und Netzwerke Loop-frei abzubilden.

Ethernet selbst wurde initial als verästelte Baumstruktur ohne Redundanzen entwickelt. Als Netzwerke mit der Zeit immer wichtiger und ihre Verfügbarkeit damit in den Fokus gerückt wurde, mussten kontinuierlich Erweiterungen und Workarounds für bestehende Schwachpunkte implementiert werden. Die Layer-2-Domänen wuchsen unaufhörlich und werden heute häufig in Lastsituation betrieben, für welche sie nie gedacht waren.

Hieraus ergeben sich verschiedene Herausforderungen, welchen Sie sich sicherlich auch schon in der ein oder anderen Form stellen mussten:

  • Die Hälfte der vorhandenen Kapazität wird nicht aktiv genutzt, da Geräten und Verbindungen durch Protokolle wie Spanning-Tree deaktiviert werden.
  • Alle am Layer-2 angeschlossenen Endsysteme (bzw. deren MAC-Adressen) sind überall innerhalb der Layer-2-Fabric erreichbar und müssen von allen Switches gelernt werden.
  • Auf Grund der Funktionsweise von Ethernet entsteht ein permanentes „Hintergrundrauschen“ durch gefluteten Traffic im Netz (z.B. durch Protokolle wie ARP etc.).
  • Selbst wenn VLANs zur Segmentierung des Netzwerks eingesetzt werden, sind diese oft bereits proaktiv auf allen Geräten konfiguriert, da es schwer ist abzuschätzen, wo Sie wirklich benötigt werden oder würden.

Ein neuer Ansatz zur Data-Center-Architektur: EVPN-VXLAN-Overlays

Eine Möglichkeit, um viele dieser gewachsenen Probleme zu vermeiden, ist es, das Data-Center-Netzwerk von Grund auf anders aufzubauen und in zwei Funktionsbereiche zu trennen.

  1. Ein Underlay, dessen Primäraufgabe es ist, einen hochverfügbaren und skalierbaren Transport für alle Daten zwischen A und B zu ermöglichen, ohne sich Gedanken über die eigentlichen Endsysteme und deren Signalisierung machen zu müssen.
  2. Ein Overlay, welches die Aufgabe übernimmt, das bekannte Ethernet-Layer-2-Verhalten so gut wie möglich abzubilden, ohne dabei auf die Workarounds und Altlasten der klassischen Architektur angewiesen zu sein.

 

Durch die Aufteilung der Funktionen kann die jeweilige Ebene für ihre Primäraufgaben unterschiedlich optimiert und skaliert werden. Änderungen oder Anpassungen am Underlay haben somit keine direkten Auswirkungen auf die Funktionen im Overlay – und andersrum.

Der physikalische Aufbau des Netzwerks wird hierzu in eine „Three-Staged-Folded Clos Fabric“ transformiert. Das Netzwerk besteht nun aus Spine- und Leaf-Geräten. Hierbei können verfügbare, nicht modulare Switches mit Routing-Funktionalitäten eingesetzt werden.

Detailliertere Informationen rund um die Clos-Architektur bzw. Clos-Fabric finden sich z.B. hier: https://en.wikipedia.org/wiki/Clos_network

 

 

Xantaro_Spine-Leaf-Architecture

 

 

Im Underlay werden Routing-Protokolle – primär BGP – eingesetzt, um eine Loop-freie und bandbreitenstarke Topologie aufzubauen. In dieser Topologie sind alle Links und Geräte gleichzeitig aktiv nutzbar und bieten so die maximale Geschwindigkeit für die Kommunikation aller Leaf-Geräte untereinander.

Innerhalb des Overlay wird EVPN-VXLAN eingesetzt. Dabei werden die eigentlichen Layer-2-Daten in VXLAN eingekapselt und über das geroutete Underlay übertragen. EVPN hat dabei die Aufgabe, angeschlossene Endsysteme zu identifizieren und ihre Standorte über die Fabric zu signalisieren.

Durch die Kombination der beiden Protokolle ist es Endsystemen möglich, diese neue Data-Center-Fabric genauso transparent für Layer-2-Ethernet-Traffic zu nutzen, wie es auch mit klassischen Layer-2-Strukturen geschieht. Dies gilt analog auch für alle anderen angeschlossenen Systeme wie Router und Netzwerk-Appliances wie Firewalls oder Loadbalancer.
Weitere Informationen zu EVPN und VXLAN finden Sie bei unseren Partnern Juniper Networks und Arista.

Vorteile von EVPN-VXLAN und der Overlay-Underlay-Aufteilung

Die oben beschriebene EVPN-VXLAN-Variante wird „Bridged Overlay“ genannt. Dabei wird die Funktion einer klassischen Layer-2-Ethernet-Bridge mit Hilfe moderner Protokollen auf Basis eines Hochgeschwindigkeits-Underlay-Netzwerks abgebildet.

Der Einsatz dieser Technologien bieten u.a. folgende Vorteile:

  • Alle Interfaces und Geräte im Underlay sind jederzeit vollumfänglich und aktiv nutzbar (Clos-Fabric).
  • Layer-2-Dienste und deren Erreichbarkeit werden dort signalisiert, wo Sie benötigt werden (EVPN-VXLAN).
  • Unnötiges Flooding im Netzwerk wird durch aktives Lernen und Signalisieren von Endsystemen (EVPN-VXLAN) reduziert.
  • Weitere Optimierungen zur Reduktion des Hintergrundrauschens im Netzwerk z.B. durch ARP-Optimierungen (EVPN-VXLAN).

 


Xantaro_Legacy_vs_Next-Gen-DC

 

Eine bestehende Layer-2-Data-Center-Fabric kann hier eins zu eins gegen eine EVPN-VXLAN Bridged-Overlay-Fabric ersetzt werden. Alle Endgeräte und deren Funktionen können dabei zunächst bestehen bleiben.


 

Herausforderungen mit getesteten und standardisierten EVPN-VXLAN-Lösungen bewältigen

Der Umsetzung einer solchen Architektur bedingt zum einen allerdings den Einsatz neuer Protokolle und Technologien, welche im Data-Center bisher nicht eingesetzt wurden. Zum anderen wirkt der Aufbau selbst zuerst komplex und ist ggf. nicht direkt zu überblicken, da mehrere unterschiedliche und autarke Netzwerkschichten betrachtet werden müssen.

An dieser Stelle kommen Xantaros „Next-Gen Data Center Solutions“ ins Spiel: eine Sammlung von Best-Practice-Designs und Konfigurationen, um für jeden Anwendungsfall die ideale Netzwerkvariante bereitzustellen! Die unterschiedlichen Designs werden in Blueprints zusammengefasst, automatisiert getestet und im Rahmen eines kontinuierlichen Verbesserungsprozesses konstant optimiert.

Nachdem das Xantaro-Engineering eine spezifisches Netzwerk-Design für z.B. ein EVPN-VXLAN-Overlay erarbeitet hat, startet ein umfangreicher automatischer Test- und Qualifizierungszyklus. Ein Nachbau einer üblichen Spine- und Leaf-Netzwerkumgebung wird in Xantaro XT³Lab aktiviert. Hier werden die erarbeiten Konfigurationen eingespielt und mit Hilfe des XFAST-Frameworks einer Menge an vordefinierten Tests unterzogen. Die Qualifikation des Setups orientiert sich dabei so nahe wie möglich an echten, im Live-Betrieb-befindlichen Umgebungen.

Im Fall des zuvor beschriebenen Bridged-Overlay-Setups besteht die Test-Suite Stand heute z.B. aus rund 450 Testfällen mit 2500 einzelnen Testschritten. Ein automatischer Testdurchlauf benötigt ca. vier Stunden und erzeugt einen Test-Report mit einem Umfang von knapp 500 Seiten. Im Vergleich: Ein einzelner Engineer müsste gut fünf Arbeitstag investieren, um denselben Test manuell durchzuführen und alle Ergebnisse zu dokumentieren!

Da die Automation ohne Pausen und Unterbrechungen läuft, können auf diese Art und Weise sechs Testläufe pro Tag und bis zu 30 Testläufe innerhalb eines fünftägigen Zeitraums durchlaufen werden. Durch die hohe Anzahl an Testläufen können wir sicherstellen, dass die Ergebnisse verbindlich sind und reduzieren die Wahrscheinlichkeit des Auftretens nur sporadisch sichtbaren Fehlerzustände.

Die Test-Suite wird konstant um weitere Test-Cases und -Schritte ergänzt. Diese Erweiterungen können durch das Xantaro-Engineering oder basieren auf Erfahrungen, Vorfällen oder Wünschen aus Kundenumgebungen initiiert werden. Hierdurch wird die Wahrscheinlichkeit des Auftretens von Problemen in Produktionsnetzwerken um ein Vielfaches reduziert.

Falls neue Hardware oder Software für ein bestehendes Setup qualifiziert werden muss, werden alle Tests wiederholt, um sicherzustellen, dass die Ergebnisse weiter der Erwartungen entsprechen. Änderungen werden also immer qualifiziert, bevor diese im Live-Netz ausgerollt werden.

Weitere Informationen und Vorteile der Test-Automation lesen Sie in diesem Artikel

 


Ergo: Aus alt wird neu!

Xantaros „Next-Gen Data Center Solutions“ bietet eine einfache und direkt einsetzbare Lösung, um den Herausforderungen bestehender Layer-2-Strukturen zu begegnen und können als Drop-in-Replacement umgesetzt werden.

Xantaro_RZ-Transformation

  • Die enthaltenen Blueprints wurden erstellt und qualifiziert, um Zugang zu augenscheinlich komplexen Technologien zu ermöglichen, ohne die Notwendigkeit eines eigenen umfangreichen Engineerings.
  • Automatisiertes Testen und Vorabqualifikation unterstützt dabei, Probleme zu erkennen noch bevor sie das Produktionsnetzwerk betreffen.

 


Teilen Sie Ihre Meinung mit uns!

Ihre Perspektive zählt! Hinterlassen Sie einen Kommentar zu unserem Blogartikel und lassen Sie uns wissen, was Sie denken.

28/02/2021

Tobias Heister

Tobias Heister

Xantaro Deutschland GmbH
Solutions Architect
Thema
Hersteller

IT-Netzwerke: So sichern Sie Security und Verfügbarkeit

Jetzt lesen

So fällt der Einstieg ins eigene 5G-Campusnetz nicht schwer

Jetzt lesen

Wege zur Implementierung einer SASE-Lösung im Unternehmen

Jetzt lesen

IT-Sicherheit mit Next-Gen-Firewalls

Jetzt lesen

Wie SASE Unternehmensnetzwerke vor Cyberbedrohungen schützt

Jetzt lesen

Sie möchten mehr über die Umsetzung der EVPN-VXLAN-Overlay-Fabric erfahren?

Jetzt Experten fragen!
Chat