Петля в EVPN-VXLAN. Часть 1. Теория.
Все же знают, что эти ваши vxlanы, да evpnы - они не про петли. Петля - это что-то из старого, давно забытого богом спанин три.
Как бы да, но нет.
По факту, собрать самую простую петлю в evpn-vxlan элементарно. Если говорим про cisco и их vpc, то достаточно чтобы порты в сторону хостов, настроенные транками, “внезапно” включились в соседний свич, на котором они настроены точно также.
Как это может произойти? Да легко, банальная ошибка при коммутации сервера на котором, к примеру esxi многие инженеры занимающиеся виртуализацией, по какой-то причине предпочитают отказываться от lacp на уровне dsw в пользу штатного механизма агрегации, а он настраивается со стороны свича как простой транк
Очевидно, что такая история приведёт к полномасштабной петле в фабрике внутри всего л2 домена. И что делать? попросить повысить зарплату и уйти в отпуск на 2 недели
В общем тут вариантов на самом деле немного:
-
настроить storm-control; это дефолт, нужно обязательно делать на всех интерфейсах в сторону хостов
-
использовать oam / cfm; тут вендоры делают по-разному. juniper отправляет свой проприетарный tlv в cfm, cisco чуть более сложный механизм с описанием профиля ngoam
-
делать лиф как stp root и включать root guard; увы, но да, такой вариант есть и в целом почему бы его не использовать
В общем, вот учитывая что-то из вышеперечисленного, или всё сразу, петля не возникнет. Наверное. Опять же, есть ситуации чуть более специфичные, собственно её и поймали с ребятами недавно, напишу во второй части 🚬
Немного ссылок для интересующихся: https://www.juniper.net/documentation/us/en/software/junos/evpn-vxlan/topics/concept/evpn-vxlan-lightweight-leaf-server-loop-detection.html
Не забывайте поделиться с коллегами, друзьями и тем, кто по вашему мнению будет заинтересован. Таким образом вы окажете поддержку мне и выразите свою благодарность.
Спасибо за внимание!