EVPN浅析及在专线中的应用探索

李顺 曹景镇 张琰 乔岩

摘要：随着5G、通信云的发展，运营商向着协议、设备简化以及网络架构简化的目标部署了一张新的承载网络。采用多种边缘设备，实现5G、家庭宽带、大客户、通信云等业务的融合承载。构建智能化、自动化、开放化的网络管控系统，实现端到端业务的自动开通，支撑智能化运维和互联网化运营，提升用户体验。专线客户业务将是此网络重要的承载对象。

关键字：EVPN;VXLAN;SDN;VPWS;VPLS;专线

一、EVPN原理

1.1 EVPN技术背景

随着移动、固网和互联网业务的高速发展，MPLS VPN技术在广域网中得到成熟的商用，然而随着VPLS、VPWS等MPLS L2VPN业务在专线客户中的广泛部署以及业务数量的不断增加，其不足之处也日益突显，网络中存在的几个问题及网络新需求需要解决：

1）Redundancy Requirements，VPLS/VPWS CE多归场景，只能支持单活，需要支持多活。

2）Fast Convergence，传统的MAC/ARP学习没有控制平面，AC down即使用LDP发消息撤销远端PE相关的MAC，撤销速度和MAC数量有关，收敛速度慢。

3）Flood Suppression，大量的洪范报文占用网络资源，需要将洪范限制在本地。

4）H-VPLS NPE设备保存所有UPE上的MAC压力大。

而以太网VPN（Ethernet Virtual Private Network，简称EVPN）应运而生，它通过扩展MP-BGP协议来传递网络节点的MAC和ARP等信息，通过生成的MAC表项和路由表项进行二/三層报文转发，以实现广域网互联的目的。

1.2 EVPN原理

EVPN（Ethernet Virtual Private Network）是一种二层网络互联VPN技术，EVPN引入了控制平面与数据平面分离的概念。通过建立MP-BGP邻居来传递二层网络间的MAC/ARP/路由信息，通过生成的地址转发表项进行二层或者三层报文转发。且单一EVPN控制平面对应多种数据平面：VXLAN、MPLS和PBB，不同的数据平面封装具备不同的优劣势。EVPN扩展BGP协议以支持新的业务，实现了MPLS L2VPN与L3VPN的统一。

EVPN网络和BGP/MPLS IP VPN的网络结构相似，为了实现各个Site之间的互通，骨干网上的PE设备上建立EVPN实例并接入各个Site的CE设备，同时各个PE之间建立的邻居关系以及LDP隧道。但是EVPN网络与BGP/MPLS VPN网络的不同之处在于各个Site内是二层网络，因此PE从各个CE学习到的是MAC地址而不是路由，PE通过EVPN特有的路由类型将自己从CE学习到MAC地址转发到其他Site。

1.3 EVPN技术特点

EVPN继承了MP-BGP和VXLAN的优势。具有如下特点：

1）简化配置：通过MP-BGP实现VTEP自动发现、VXLAN隧道自动建立、VXLAN隧道与VXLAN自动关联，无需用户手工配置，降低网络部署难度。

2）分离控制平面与数据平面：控制平面负责发布路由信息，数据平面负责转发报文，分工明确，易于管理。

3）支持多归属：当同一个站点通过多台VTEP接入VXLAN网络时，连接该站点的多条路径均可以进行流量转发，以提高网络带宽利用率。

4）支持对称IRB（Integrated Bridging and Routing，集成的桥接和路由）：MP-BGP同时发布二层MAC地址和三层路由信息，VTEP既可以进行二层转发，也可以进行三层路由。这样，不仅可以保证流量采用最优路径转发，还可以减少广播流量。

二、EVPN基本功能

BGP EVPN邻居建立

BGP新定义evpn子地址族（AFI=25，SAFI=70）用于协商bgp evpn邻居消息，一般分为iBGP和eBGP两种：

在部署iBGP时，为简化全连接配置，可以引入RR路由反射器，所有PE设备都只和RR建立BGP对等体关系。RR发现并接收某PE设备发起的BGP连接后形成Client列表，将从其收到的路由反射给其他所有的PE设备。

在部署eBGP时，BGP会自动将从eBGP邻居收到的EVPN消息发送给其他eBGP和iBGP邻居。

BGP通告MAC/ARP

EVPN在控制面学习MAC和ARP信息，站点的MAC和ARP信息是通过EVPN MAC/IP路由通告的，因此在EVPN网络中无须将ARP请求泛洪到网络中。

MAC Mobility

MAC地址迁移是指主机从其接入的PE设备迁到EVPN网络的另一台PE设备下。新迁移到的PE设备会重新感知到主机上线，会重新通告该MAC/IP路由，此路由跟迁移前通告的MAC/IP路由的区别在于在BGP update消息中携带了一种新的扩展团体：MAC Mobility扩展团体。

ARP/ND Proxy

为了避免广播发送的ARP/ND请求报文占用核心网络带宽，PE根据从BGP收到的EVPN 2类路由在本地建立ARP/ND缓存表项。后续当PE收到本站点内请求其它站点MAC地址的ARP/ND请求时，优先根据本地存储的ARP/ND表项进行代理回应。如果没有对应的表项，则将ARP/ND请求泛洪到核心网。ARP/ND泛洪抑制功能可以大大减少ARP/ND泛洪的次数。

EVPN单播报文转发过程

当PE学习到其他站点的MAC地址且公网隧道建立成功后，则可以向其他站点传输单播报文，其具体传输过程如下：

1.CE1将单播报文以二层转发的方式发送至PE1;

2.PE1先为单播报文封装上EVPN Label，再封装上公网MPLS LSP Label，再先后封装PE1的MAC地址和PE2的MAC地址。然后将封装后的单播报文发送至PE2;

3.PE2收到封装后的单播报文后，将进行解封装，并根据EVPN Label将单播报文发送至对应EVPN的站点。

EVPN BUM报文转发过程

在EVPN中，Broadcast、Unknown-unicast、Muticast三种报文处理是一样的，统称为BUM转发。常用的BUM转发复制方式有：

1）入口复制MP2P，在头节点将BUM报文复制到每条P2P的单播隧道中，适用于轻负载场景。

2）逐跳复制P2MP，需要建立P2MP的隧道，中间设备维护P2MP隧道状态，适用于BUM负载大的场景。

当PE设备间的EVPN邻居关系建立成功后，EVPN邻居间会相互发送RT-3 泛指组播路由，根据RT-3路由中的RT属性感知建立EVPN实例PE之间的可达信息，并分配BUM标签。BUM标签由报文接收方分配，到不同PE间的BUM标签不同。若PE设备配置了ESI则报文接收方还会分配ESI标签。BUM报文转发过程如下：

1.CE1将BUM报文发送至PE1;

2.由PE1向属于同一EVPN的远端PE2、PE3逐个发送BUM报文。即PE1将BUM报文复制成两份，每份报文将先后封装上EVPN BUM Label、公网LDP LSP Label，再先后封装PE设备的源目MAC地址，然后发送给远端PE;

3.PE2和PE3收到BUM报文后，将对报文解封装并根据EVPN BUM Label将BUM报文发送至对应EVPN的站点。

在CE多归场景中，配置ES的PE设备之间发送BUM报文时，根据水平分割原理，BUM报文会还会封装上EVPN ESI Label，防止传输BUM报文过程中出现环路。

EVPN端口接入模式

EVPN端口接入模式和传统的L2VPN端口接入模式基本一致，有四种接入方式。

1.Port Base Service Interface：基于端口的以太网业务，该类型业务只有1个BD。

2.VLAN Base Servicel Interface：基于单个VLAN的以太网业务，以太网业务针对物理端口+VLAN，该端口对应的单个VLAN的报文被接收并转发，该类型业务只有1个BD。

3.VLAN Bundling Service Interface：基于VLAN范围的以太网业务，一个EVI中，对应的AC可绑定多个VLAN，即VLAN范围，但只有1个BD广播域和MAC转发表，要求每个VLAN下不能有相同的MAC。

4.VLAN Aware Bundling Service Interface：一个EVI中，对应的AC可绑定多个VLAN，每VLAN每BD，有多个MAC转发表，这样一来，每个VLAN下可以有相同的MAC。

三、EVPN在专线中的应用

EVPN的ES机制CE多归，支持单活和多活的冗余模式，替代复杂的DNI-PW方案;在 EVPN跨域的情况下，ASBR设备上部署BGP传递EAD路由策略，不需要针对业务配置。部署SR-Policy，使用color将VPN业务的服务质量和隧道SR关联。color信息随EAD路由传递，方便实现域内的SR隧道的资源预留，保证SLA。SR Tunnel分段部署，域内控制器根据color信息进行资源分配创建SR隧道。

专线客户在EVPN中开通的业务主要分为三类：VPWS、E-Tree、L3VPN。

1.VPWS：EVPN扩展支持VPWS功能，EVPN VPWS通过EAD per EVI路由通告AC、VLAN/VNI信息创建VPWS。携带L2扩展团体属性标识主备、MTU和控制字。EVPN VPWS同样支持CE双归PE，提供保护路径或者ECMP，能灵活控制业务经过的PE设备。EVPN邻居利用BGP的反射器不需要Full-mesh的邻居配置，特别在MSPW的SPE节点上可以减少对业务的配置。

2.E-Tree：EVPN同时扩展了E-Tree功能，可以指定root属性和leaf属性，并制定过滤原则。E-Tree过滤原则是root 可以跟root/leaf互通，leaf只能跟root互通。Leaf属性粒度可以基于PE、AC或者MAC地址。

对于单播流量有两种过滤方式：

A. 针对单播MAC转发，PE1通过RT-2路由携带Leaf flag属性到PE2，流量在入口PE2进行leaf过滤。

B. EVI中针对leaf和root角色配置不同的Route-target，控制leaf的RT-2不导入到全leaf Site的EVI。

EVPN路由中如下RT属性，Leaf指示符用于单播业务流过滤，Leaf标签则用于BUM业务流过滤。组播流量通过EAD-per-ES路由携带E-Tree，有效字段是leaf标签，在出口PE进行过滤。报文携带leaf标签标示表示它来自于远端Leaf Site，不能发往本地的Leaf Site。为了解决BUM流量Root和Leaf之间上下行流量异构的问题（如下行P2MP方式，上行P2P方式），引入了下面兼容的PMSI屬性。

3.L3VPN：EVPN不仅支持L2VPN，同时还支持L3VPN功能，这样使得L2业务和L3业务可以共享一个BGP EVPN邻居。针对不同的应用场景，可以使用不同的L3VPN EVPN技术。

3.1 对称性IRB

为实现跨子网的通信，RT2（MAC/IP Advertisement Route）通告MAC+IP时可以携带二层和三层信息，如标签和Route-Target信息。路由接收端根据该信息生产二层私网表项和三层私网主机路由表。三层私网主机路由用于跨子网的转发。该场景同样能支持CE的多归，扩展定义Ethernet A-D per EVI route可以同时携带二层和三层信息，如标签和Route-Target信息。三层私网主机路由同样可以依赖ES进行快速收敛和Aliasing。

流量转发至PE1，通过IRB接口桥接MAC-VRF和VRF表，PE1查三层私网主机路由表，并封装三层标签后发送给PE3，PE3通过标签获取L3VPNID然后查VRF路由表，ARP出口是IRB口，则桥接至二层出口转发数据。

我们可以看到一次完整请求的来回路径是一样的，路由接收方PE1和路由发布方PE3都是路由查找，所以这种模式被称为对称IRB（Symmetric IRB）。

3.2 非对称性IRB

对称模型需要RT2等路由发布时携带三层标签，而非对称模型不需要三层标签信息。数据转发至路由接收方PE1，PE1通过路由查找，直接从arp表里获取用户MAC，并且发现出口是IRB口，查下一跳MAC表获取二层标签，封装报文，发送给路由发送方PE3，PE3通过二层标签获取L2VPNID，直接查mac表转发。

我们可以看到一次完整请求的来回路径不一样，路由接收方PE1做路由转发，路由发送方PE3做mac转发，所以这种模式被称为非对称路由（Asymmetric IRB）。

四、总结分析

EVPN通过扩展BGP协议使二层网络间的MAC地址学习和发布过程从数据平面转移到控制平面。与BGP/MPLS VPN相比，在CE多歸场景，EVPN通过控制面BGP路由收敛，达到快速收敛的效果;故障时收敛速度与MAC地址数量无关;控制和转发的分离使EVPN与SDN无缝整合，为未来自动化运维署奠定了基础。

EVPN技术还完美解决如下问题：

1）EVPN通过扩展BGP协议使二层网络间的MAC地址学习和发布过程从数据面转移到了控制面。这样可以使设备用管理路由的方式来管理MAC地址，从而实现目的MAC相同但下一跳不同的多条EVPN路由，达到负载分担的目的，实现ECMP。

2）EVPN网络中的PE设备之间通过BGP协议实现相互通信，即EVPN可以利用BGP的反射器，通过路由反射器来反射EVPN路由，避免PE设备之间BGP邻居的Full-mesh协议会话，将二层网络和三层网络统一在相同的控制平面，大大降低了网络复杂度，减少网络信令数量。

3）EVPN PE设备的ARP Proxy功能，可抑制洪范，关闭未知单播。PE设备通过ARP协议和MAC地址通告路由分别学习本地和远端的MAC地址信息以及其对应的IP地址，并将这些信息缓存至本地。当PE设备再收到其他ARP请求时，将先根据ARP请求报文中的目的IP地址查找本地缓存代答表，如果查到对应信息，则PE直接返回ARP响应报文，避免ARP请求向其他PE广播，减少网络资源消耗。