
CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH
Danh sách nội dung [Ẩn]
Tổng quan về tích hợp Provider Backbone Bridging (PBB) và EVPN
Ethernet VPN (EVPN) cung cấp giải pháp cho các dịch vụ Layer 2 VPN đa điểm (multipoint) với khả năng multihoming nâng cao, sử dụng BGP để phân phối thông tin MAC address reachability qua mạng MPLS hoặc IP core.
Tuy nhiên, trong môi trường EVPN, hàng nghìn địa chỉ MAC có thể được quảng bá từ mỗi Virtual Routing and Forwarding (VRF) instance, dẫn đến việc phải cập nhật thường xuyên các tuyến MAC mới học được cũng như các tuyến bị thu hồi. Điều này làm tăng tải cho control plane và gia tăng overhead trên mạng nhà cung cấp (provider network).
Provider Backbone Bridging (PBB) mở rộng khả năng chuyển mạch Ethernet Layer 2, cung cấp khả năng mở rộng (scalability) cao hơn, chất lượng dịch vụ (QoS) tốt hơn và độ tin cậy ở cấp carrier-class.
Khi PBB được tích hợp với EVPN, thay vì quảng bá địa chỉ MAC của khách hàng (C-MAC) trong control plane, thì địa chỉ MAC của backbone (B-MAC) sẽ được phân phối trong EVPN core.
Cách tiếp cận này giúp đơn giản hóa việc học và phân phối MAC trong control plane, đồng thời cho phép triển khai số lượng lớn dịch vụ Layer 2 (như Data Center Interconnect) hoạt động xuyên suốt mạng backbone một cách dễ dàng và hiệu quả hơn.
Tổng quan công nghệ của PBB-EVPN Integration
Hiểu về Provider Backbone Bridging (PBB)
Hiểu về EVPN
Cơ chế tích hợp PBB-EVPN (Integration Architecture)
Phân tích luồng gói tin (PBB-EVPN Packet Walkthrough)
Tổng quan về Provider Backbone Bridging (PBB)
Provider Backbone Bridging (PBB) được định nghĩa trong tiêu chuẩn IEEE 802.1ah, và về cơ bản hoạt động tương tự như IEEE 802.1ad (Q-in-Q). Tuy nhiên, thay vì ghép kênh (multiplexing) nhiều VLAN, PBB tách biệt hoàn toàn lớp MAC của khách hàng (Customer MAC layer) khỏi miền mạng của nhà cung cấp (Provider domain) bằng cách đóng gói (encapsulate) khung Ethernet của khách hàng trong một Service Instance Identifier (I-SID) 24-bit. Cơ chế này giúp đảm bảo tính trong suốt hoàn toàn (complete transparency) giữa mạng khách hàng và mạng của nhà cung cấp — nghĩa là lưu lượng của khách hàng được truyền qua mạng backbone mà không làm lộ cấu trúc hoặc thông tin định danh trong miền của nhà cung cấp.
Khi xử lý Customer MAC (C-MAC) và Service MAC (S-MAC), PBB giới thiệu thêm một lớp Backbone MAC (B-MAC) mới. Địa chỉ B-MAC được gán và quản lý tại các thiết bị biên của mạng PBB (edge devices) — thường là Carrier VPN hoặc Carrier-of-Carriers VPN. Thông qua việc sử dụng I-SID cho mỗi service instance (I-component), PBB cho phép nhóm và định danh các dịch vụ Ethernet độc lập. Cách thiết kế này tăng đáng kể khả năng mở rộng (scalability) của mạng Ethernet, giúp nhà cung cấp có thể triển khai hàng nghìn dịch vụ khách hàng mà không làm phức tạp bảng MAC trong core network.
Hình 1 minh họa kiến trúc một mạng PBB, bao gồm các thành phần chính của PBB và các không gian địa chỉ MAC (MAC address spaces) tương ứng trong mỗi miền.
Figure 1: PBB Network Elements
Các thuật ngữ trong PBB
Thiết bị BEB là điểm đầu tiên trong kiến trúc PBB, đóng vai trò ranh giới giữa mạng truy nhập (access network) và mạng lõi (core network).
Tại đây, PBB giới thiệu hai thành phần chính: I-component và B-component.
I-component là thành phần đại diện cho giao diện hoặc instance hướng khách hàng (customer-facing interface or routing instance). I-component chịu trách nhiệm ánh xạ (mapping) lưu lượng Ethernet của khách hàng vào I-SID tương ứng. Ban đầu, lưu lượng Ethernet của khách hàng được ánh xạ đến customer bridge domain, sau đó mỗi bridge domain được ánh xạ sang một I-SID. Việc ánh xạ dịch vụ có thể thực hiện theo: Per-port, Per-port với S-VLAN, Per-port với S-VLAN và C-VLAN. I-component thực hiện học và chuyển tiếp (learn and forward) các frame dựa trên địa chỉ C-MAC, và duy trì bảng ánh xạ C-MAC-to-B-MAC dựa trên instance tag (I-TAG).
Bên trong I-component có hai loại cổng:
- Customer Instance Port (CIP)
Các cổng này là instance dịch vụ khách hàng tại giao diện hướng khách hàng.
Dịch vụ có thể được định nghĩa theo port, theo port với S-VLAN, hoặc theo port với S-VLAN và C-VLAN.
- Provider Instance Port (PIP)
Cổng này thực hiện chức năng đóng gói PBB (PBB encapsulation), bao gồm thêm I-TAG, địa chỉ nguồn và đích B-MAC, và giải đóng gói (PBB decapsulation) như gỡ I-SID, học ánh xạ B-MAC-to-C-MAC trong hướng vào (ingress).
B-component là instance PBB hướng backbone, chịu trách nhiệm xử lý lưu lượng trong miền core. B-component học và chuyển tiếp các gói dựa trên địa chỉ B-MAC, đồng thời ánh xạ I-SID sang B-VLAN tương ứng (trong mạng PBB), hoặc thực hiện gắn và gỡ nhãn dịch vụ (service label) trong các mạng dựa trên MPLS.
Bên trong B-component có hai loại cổng:
- Customer Backbone Port (CBP)
Các cổng này là backbone edge port, có thể nhận và truyền các frame có instance tag từ nhiều khách hàng khác nhau, gán Backbone VLAN ID (B-VID) và dịch I-SID dựa trên giá trị I-SID nhận được.
- Provider Backbone Port (PBP)
Các cổng này cung cấp kết nối tới các bridge khác trong hoặc kết nối với backbone.
Đây là các cổng hướng provider, hỗ trợ thành phần S-VLAN.
Hình 2 minh họa các thành phần chính của PBB.
Hình 3 minh họa định dạng gói tin PBB (PBB packet format).
Tìm hiểu về EVPN
EVPN (Ethernet VPN) là một công nghệ dựa trên tiêu chuẩn (standards-based), cung cấp khả năng kết nối bridge đa điểm (virtual multipoint bridged connectivity) giữa các miền Layer 2 khác nhau thông qua mạng backbone IP hoặc IP/MPLS. Tương tự như các công nghệ VPN khác như IPVPN hoặc VPLS, các EVPN instance (EVI) được cấu hình trên router PE (Provider Edge) để duy trì sự tách biệt dịch vụ logic giữa các khách hàng. Các thiết bị PE (Provider Edge) kết nối với CE (Customer Edge) — có thể là router, switch, hoặc host. Các PE này trao đổi thông tin reachability thông qua Multiprotocol BGP (MP-BGP), và lưu lượng được đóng gói (encapsulated traffic) sẽ được truyền giữa các PE qua mạng backbone. Do chia sẻ nhiều thành phần kiến trúc với các công nghệ VPN khác, EVPN có thể được triển khai và tích hợp dễ dàng vào môi trường dịch vụ hiện có, mà không cần thay đổi lớn trong hạ tầng mạng hiện tại.
Công nghệ EVPN
Công nghệ EVPN cung cấp các cơ chế dành cho kết nối liên trung tâm dữ liệu thế hệ mới (Next-Generation Data Center Interconnection – DCI) bằng cách bổ sung các quy trình điều khiển mở rộng (extended control plane procedures) để trao đổi thông tin Layer 2 (địa chỉ MAC) và Layer 3 (địa chỉ IP) giữa các Data Center Border Router (DCBR) tham gia. Các tính năng này giúp giải quyết một số thách thức quan trọng của DCI, bao gồm: Seamless VM Mobility: mở rộng kết nối Layer 2 để duy trì tính liên tục của dịch vụ khi máy ảo di chuyển giữa các trung tâm dữ liệu. Optimal IP Routing: đảm bảo hành vi default gateway tối ưu cho lưu lượng đi ra (outbound) của máy ảo, đồng thời tránh hiện tượng định tuyến tam giác (triangular routing) cho lưu lượng đi vào (inbound).
Công nghệ EVPN được các nhà vận hành trung tâm dữ liệu sử dụng để cung cấp dịch vụ đa thuê (multi-tenancy), linh hoạt (flexible) và có khả năng chịu lỗi cao (resilient), đồng thời có thể mở rộng khi cần. Tính linh hoạt và khả năng chịu lỗi này cho phép chia sẻ tài nguyên tính toán giữa nhiều trung tâm dữ liệu vật lý cho cùng một dịch vụ (Layer 2 extension) và di chuyển máy ảo (VM motion) một cách linh hoạt.
EVPN hỗ trợ cơ chế all-active multihoming, cho phép một thiết bị CE kết nối đồng thời tới hai hoặc nhiều thiết bị PE, và lưu lượng được truyền trên tất cả các liên kết giữa các thiết bị. Cơ chế này giúp CE có thể cân bằng tải (load-balance) lưu lượng tới nhiều thiết bị PE, đồng thời cho phép các PE ở xa (remote PEs) cũng cân bằng tải lưu lượng hướng đến các PE multihomed thông qua mạng backbone — tính năng này được gọi là aliasing. EVPN cũng tích hợp các cơ chế ngăn chặn loop cho lưu lượng Broadcast, Unknown unicast, và Multicast (BUM) trong cấu trúc all-active multihoming.
**Lưu ý: EVPN không hỗ trợ các cơ chế tối ưu hóa multicast dựa trên snooping như IGMP snooping, MLD snooping, hoặc PIM snooping khi hoạt động với PBB-EVPN.
Multihoming cung cấp khả năng dự phòng (redundancy) khi liên kết truy nhập (access link) hoặc thiết bị PE gặp sự cố. Trong trường hợp đó, lưu lượng từ CE đến PE sẽ tự động chuyển sang các liên kết còn hoạt động. Theo chiều ngược lại, các PE ở xa (remote PEs) sẽ cập nhật bảng chuyển tiếp (forwarding table) để gửi lưu lượng tới các PE đang hoạt động còn lại trong Ethernet segment. EVPN cung cấp cơ chế hội tụ nhanh (fast convergence), đảm bảo thời gian chuyển đổi gần như không phụ thuộc vào số lượng MAC mà thiết bị PE đã học được.
Control plane MP-BGP của EVPN cho phép di chuyển máy ảo (VM motion) giữa các trung tâm dữ liệu một cách linh hoạt. Khi một VM được chuyển tới máy chủ đích (destination server/hypervisor), nó sẽ gửi gratuitous ARP để cập nhật bảng chuyển tiếp Layer 2 của thiết bị PE tại trung tâm dữ liệu đích. Thiết bị PE sau đó sẽ quảng bá bản cập nhật MAC route tới tất cả các PE ở xa, và các thiết bị này sẽ cập nhật lại bảng chuyển tiếp tương ứng. Nhờ vậy, EVPN có thể theo dõi sự di chuyển của máy ảo (MAC Mobility), đồng thời có cơ chế phát hiện và ngăn chặn MAC flapping.
Tương tự như Layer 3 MPLS VPN, EVPN giới thiệu khái niệm định tuyến địa chỉ MAC thông qua MP-BGP trên mạng MPLS core. Một số lợi ích quan trọng của EVPN bao gồm:
Hỗ trợ dual-active multihomed edge device
Cung cấp load balancing qua các liên kết dual-active
Hỗ trợ MAC address mobility
Cung cấp multi-tenancy
Hỗ trợ aliasing
Đảm bảo fast convergence
Tích hợp PBB-EVPN
Việc tích hợp PBB với EVPN được mô tả trong các phần sau:
Tích hợp các thành phần mạng PBB và EVPN
Trong một mạng PBB, một lượng lớn địa chỉ MAC của khách hàng (C-MAC) được ẩn sau một số lượng địa chỉ MAC backbone (B-MAC) nhỏ hơn rất nhiều, mà không cần các thiết bị trong lõi phải học và xử lý tất cả các trạng thái của khách hàng. I-SID tạo ra một lớp đóng gói cho phép triển khai một số lượng lớn các dịch vụ. Tuy nhiên, không giống như các mạng hiện đại có lõi MPLS đơn giản chỉ bao gồm các thiết bị PE và provider, các thiết bị trong lõi PBB phải hoạt động như các switch, được gọi là Backbone Core Bridge (BCB), thực hiện các quyết định chuyển tiếp dựa trên địa chỉ B-MAC. Điều này gây ra vấn đề không tương thích với các mạng MPLS hiện đại, nơi mà các gói tin được chuyển mạch giữa các edge loopback addresses bằng MPLS labels và recursion.
Với việc tích hợp PBB và EVPN, thành phần BCB trong lõi PBB được thay thế bằng MPLS, trong khi vẫn giữ nguyên khả năng mở rộng dịch vụ của thiết bị biên PBB (BEB). B-component được báo hiệu bằng cơ chế EVPN BGP signaling và được đóng gói trong MPLS sử dụng các thiết bị PE và provider. Kết quả là, quy mô mở rộng lớn của PBB được kết hợp với sự đơn giản của mạng MPLS core truyền thống, và lượng thông tin trạng thái trên toàn mạng được giảm đáng kể, so với PBB thông thường.
Hình 5 minh họa việc tích hợp PBB-EVPN bằng cách sử dụng các thành phần khác nhau của mạng PBB và EVPN.
Khởi tạo mặt phẳng điều khiển PBB-EVPN
Trong mạng PBB-EVPN, các địa chỉ B-MAC được phân phối qua lõi EVPN, trong khi các địa chỉ C-MAC được học trong mặt phẳng dữ liệu và được gom lại (aggregate) phía sau các địa chỉ B-MAC.
Hình 6 minh họa quá trình xử lý mặt phẳng điều khiển trong một mạng PBB-EVPN mẫu với bốn thiết bị PE và hai thiết bị top-of-rack nằm ở hai trung tâm dữ liệu.
Xử lý mặt phẳng điều khiển tại Trung tâm dữ liệu Site 1:
Xử lý mặt phẳng điều khiển tại Trung tâm dữ liệu Site 2:
Khám phá các tuyến EVPN trong PBB-EVPN
Chức năng PBB với Dot1ah được triển khai tại các thiết bị PE. Trong trường hợp của PBB-EVPN, các thiết bị PE thực hiện cả chức năng instance và backbone bridge. Chỉ các địa chỉ B-MAC được phân phối trong mặt phẳng điều khiển, còn các địa chỉ C-MAC được học trong mặt phẳng dữ liệu. Các tuyến EVPN sau được phát hiện trên các thiết bị PE khác nhau:
Tự động khám phá VPN (VPN Autodiscovery)
Khi một EVPN instance (EVI) được cấu hình trên nhiều thiết bị PE, quá trình tự động khám phá VPN (autodiscovery) sẽ diễn ra đầu tiên để xác định các điểm cuối EVPN. Mỗi thiết bị PE được cấu hình với một EVI sẽ gửi tuyến multicast bao gồm (inclusive multicast route).
Các trường trong tuyến multicast bao gồm:
Trong Hình 7, mỗi thiết bị PE gửi tuyến multicast bao gồm đến từng láng giềng BGP. Thiết bị PE1 gửi một tuyến multicast bao gồm đến PE2, PE3 và PE4 để thực hiện quá trình tự động khám phá VPN. Việc xử lý lưu lượng BUM cũng được minh họa trong hình. Trong quá trình khởi tạo, các thiết bị PE1, PE2, PE3 và PE4 gửi các tuyến multicast bao gồm có chứa nhãn multicast.
Khám phá phân đoạn Ethernet (Ethernet Segment Discovery)
Tuyến Ethernet segment được mã hóa trong EVPN NLRI sử dụng Route Type có giá trị 4.
NLRI này được sử dụng để khám phá phân đoạn Ethernet đa kết nối (multihomed Ethernet segment) và để thực hiện bầu chọn DF (Designated Forwarder).
Một ES-import route target — là một route target mở rộng dạng transitive (có thể truyền qua các phiên BGP khác) — cũng được mang theo cùng với tuyến Ethernet segment. Thuộc tính mở rộng ES-import extended community cho phép tất cả các thiết bị PE được kết nối đến cùng một site đa kết nối (multihomed site) có thể nhập (import) các tuyến Ethernet segment. Việc import tuyến này chỉ được thực hiện bởi thiết bị PE có cấu hình ESI (Ethernet Segment Identifier). Tất cả các thiết bị PE khác sẽ loại bỏ (discard) tuyến Ethernet segment này.
Hình 8 minh họa quy trình của tuyến Ethernet segment trong việc tự động khám phá phân đoạn Ethernet đa kết nối (multihomed Ethernet segment autodiscovery).
Trong hình minh họa này, các thiết bị PE1 và PE2 được kết nối đến một phân đoạn đa kết nối (multihomed segment) với giá trị ESI = ESI1 và địa chỉ B-MAC = B-MAC1. Trong trường hợp phân đoạn đa kết nối hoạt động ở chế độ active-active, địa chỉ B-MAC1 này sẽ tồn tại trên cả hai thiết bị PE1 và PE2. Tương tự, các thiết bị PE3 và PE4 cũng hoạt động ở chế độ active-active multihomed cho ESI2, với địa chỉ B-MAC = B-MAC2. Các thiết bị PE1 và PE2 sẽ gửi tuyến Ethernet segment cho ESI1, và tuyến này được PE3 và PE4 nhận được — nhưng sẽ bị bỏ qua, vì chúng không được cấu hình cho ESI1. Chỉ PE1 và PE2 nằm trong cùng một nhóm dự phòng (redundant group), và quá trình bầu chọn DF (Designated Forwarder) sẽ được thực hiện trong nhóm này. Tương tự, PE3 và PE4 tạo thành một nhóm dự phòng khác, và trong nhóm đó hoặc PE3 hoặc PE4 sẽ được chọn làm DF.
Khám phá tuyến Ethernet MAC (Ethernet MAC Routes Discovery)
Tuyến Ethernet MAC Advertisement được sử dụng để phân phối (advertise) các địa chỉ B-MAC của các nút PE. Tuyến MAC Advertisement được mã hóa với các trường sau:
Trường MAC address: chứa địa chỉ B-MAC.
Trường Ethernet Tag: được đặt giá trị 0.
Trường Ethernet Segment Identifier (ESI):
Đặt 0 cho các phân đoạn single-homed hoặc multihomed có cân bằng tải theo từng I-SID.
Đặt MAX-ESI cho các phân đoạn multihomed có cân bằng tải theo luồng (per-flow load balancing).
Nhãn (Label): được liên kết với việc chuyển tiếp unicast của lưu lượng giữa các thiết bị PE khác nhau.
Thuộc tính RT (Route Target) Extended Community: được gắn với EVI tương ứng.
Hình 9 minh họa quá trình quảng bá tuyến MAC (MAC route advertisement) trong mạng PBB-EVPN.
Sự khác biệt giữa PBB-EVPN và EVPN
Bảng 1 và Bảng 2 liệt kê các điểm khác biệt giữa PBB-EVPN và EVPN thuần túy trong mạng Layer 2, được xét theo các loại tuyến (route types) và thuộc tính tuyến (route attributes) tương ứng.
Bảng 1: Sự khác biệt về tuyến giữa PBB-EVPN và EVPN
Loại tuyến (Route) | Mục đích sử dụng (Usage) | Phạm vi áp dụng (Applicability) |
---|---|---|
Ethernet autodiscovery route | Rút gọn hàng loạt địa chỉ MAC (MAC mass withdrawal)Hỗ trợ aliasingQuảng bá nhãn split-horizon | Chỉ EVPN |
MAC advertisement route | Quảng bá khả năng truy cập địa chỉ MAC (Advertise MAC address reachability)Quảng bá ánh xạ giữa IP và MAC (Advertise IP and MAC bindings) | EVPN, PBB-EVPN |
Inclusive multicast route | Khám phá điểm đầu cuối của đường hầm multicast (Multicast tunnel endpoint discovery) | EVPN, PBB-EVPN |
Ethernet segment route | Cung cấp tính năng dự phòng (Redundancy)Phục vụ quá trình bầu chọn DF (Designated Forwarder election) | EVPN, PBB-EVPN |
Bảng 2: Sự khác biệt về thuộc tính tuyến (Route Attributes) và cách sử dụng giữa PBB-EVPN và EVPN
Thuộc tính (Attribute) | Mục đích sử dụng (Usage) | Phạm vi áp dụng (Applicability) |
---|---|---|
ESI MPLS label extended community | Mã hóa nhãn split-horizon cho Ethernet segment.Chỉ ra chế độ dự phòng (active/standby hoặc active/active). | Ethernet autodiscovery route |
ES-import extended community | Giới hạn phạm vi import của các tuyến Ethernet segment. | Ethernet segment route |
MAC mobility extended community | EVPN: Chỉ ra rằng địa chỉ MAC đã di chuyển từ segment này sang segment khác giữa các thiết bị PE.PBB-EVPN: Gửi tín hiệu thông báo xóa (flush) địa chỉ C-MAC. | MAC advertisement route |
Default gateway extended community | Chỉ ra ánh xạ giữa MAC và IP của gateway. | MAC advertisement route |
Quy trình xử lý gói tin trong PBB-EVPN (PBB-EVPN Packet Walkthrough)
Dựa trên cấu hình PBB và EVPN trên các thiết bị PE khác nhau trong mạng, các tuyến Ethernet segment, khả năng truy cập địa chỉ B-MAC, và các tuyến multicast đã được lập trình sẵn trên các thiết bị PE trong đám mây EVPN. Quy trình xử lý gói tin trong PBB-EVPN bao gồm việc xử lý các loại lưu lượng sau: Xử lý lưu lượng BUM (Broadcast, Unknown unicast, Multicast) trong PBB-EVPN
Hình 10 minh họa mặt phẳng điều khiển (control plane) của PBB-EVPN và cách xử lý lưu lượng BUM.
Cách PBB-EVPN xử lý lưu lượng BUM (Broadcast, Unknown unicast, Multicast) qua đám mây EVPN được thực hiện như sau:
Xử lý lưu lượng Unicast trong PBB-EVPN
Hình 11 minh họa mặt phẳng điều khiển (control plane) của PBB-EVPN và quy trình xử lý lưu lượng unicast, dưới dạng gói ARP Reply từ Server B.
Giả định rằng việc học địa chỉ MAC ở cả mặt phẳng điều khiển (control plane) và mặt phẳng dữ liệu (data plane) đã hoàn tất.
Máy chủ B tạo gói phản hồi ARP. Nội dung của gói ARP bao gồm:
VLAN = 10
S-MAC = MAC11 (địa chỉ MAC của giao diện Ethernet của Server B)
Destination MAC = MACA
Source IP = địa chỉ IP của Server B hoặc VM IP address
Destination IP = địa chỉ IP của Server A
Gói này được gửi lên Top-of-Rack switch B.
Sau khi nhận frame, CE device thực hiện phân loại frame dựa trên giao diện đầu vào để xác định bridge domain tương ứng.
Thiết bị học địa chỉ MAC nguồn trong bridge domain. Sau đó, thực hiện MAC lookup (MACA) để tìm giao diện đầu ra (egress interface).
Frame được gửi tới giao diện egress sau khi áp dụng kết quả lookup.
Frame đã được encapsulate (L2 encapsulated) được Device PE4 nhận. PE4 xác định Customer Bridge Domain (C-BD) tương ứng.
Địa chỉ MAC nguồn (MAC11) được học trong C-BD context.
Khi thực hiện MAC lookup trong C-BD, PE4 tìm thấy PIP interface là đích đến. Tại đây, PE4 áp dụng feature list, và thêm tiêu đề I-SID vào frame Ethernet gốc.
Source MAC: B-MAC của PE4
Destination MAC: B-MAC của PE2 (tra trong bảng I-SID C-MAC-to-B-MAC)
I-SID: Giá trị được cấu hình cho I-SID
Layer 2 EtherType = 0x88E7
PE4 tiếp tục lookup địa chỉ B-MAC đích (PE2) trong bảng MAC của B-BD.
Kết quả lookup là một unicast next-hop (một EVPN next-hop).
Next-hop này chứa MPLS service label được phân phối thông qua MP-BGP (Multiprotocol BGP).
Nhãn MPLS này có thể được cấp theo EVI, VLAN, hoặc interface tùy cấu hình.
Dựa trên thông tin trong next-hop, PE4 đóng gói gói MPLS và gửi vào mạng MPLS.
PE2 nhận gói MPLS và xác định nhờ lookup trong bảng mpls.0 routing table.
Kết quả lookup cho ra B-BD table. PE2 kiểm tra B-MAC rule (B-MAC đích trùng với B-MAC của PE2) và thực hiện lọc I-SID.
Sau khi xác định C-BD và B-VLAN, PE2 gỡ bỏ (pop) nhãn B-VLAN.
Frame sau đó được chuyển đến PIP interface để xử lý tiếp.
Địa chỉ C-MAC (MAC11) được map đến B-MAC của PE2, và ánh xạ B-MAC này được lưu trong bảng I-SID.
Header I-SID ngoài được gỡ bỏ.
Địa chỉ MAC nguồn bên trong được học trên PIP interface trong ngữ cảnh C-BD.
Lookup MAC đích bên trong được thực hiện để tìm giao diện egress tương ứng.
CE device nhận frame Layer 2 và tiến hành chuyển tiếp (Layer 2 forwarding).
Server A nhận gói phản hồi ARP unicast từ Server B.
Xử lý Path Forwarding trong PBB-EVPN
Trong mạng PBB-EVPN, một frame có thể được gửi đến từ hai hướng:
Từ phía Customer Edge (CE) – còn gọi là bridge interface, hoặc
Từ phía core-facing interface – là giao diện có hỗ trợ MPLS encapsulation.
1. Luồng gói tin từ phía CE (Bridge Interface)
Khi gói tin được nhận từ CE interface, quá trình xử lý diễn ra như sau:
Khi frame đến từ CE interface, giao diện này thuộc bridge family. Việc lookup và học địa chỉ MAC được thực hiện trong ngữ cảnh Customer Bridge Domain (C-BD).
Kết quả của quá trình lookup là unicast MAC route hoặc flood MAC route.
Tiếp theo, thiết bị thực hiện lookup trong bảng I-SID MAC để xác định B-MAC đích tương ứng với C-MAC đích.
Header I-SID được gắn (prepend) vào gói tin.
Lookup tiếp theo được thực hiện trong B-BD (Bridge Backbone Domain), vì PIP interface thuộc nhóm bridge family.
Bảng B-BD sẽ trỏ đến unicast MAC route hoặc flood MAC route, mà hai route này có thể dẫn đến:
EVPN indirect multicast next-hop, hoặc
Unicast indirect next-hop.
2. Luồng gói tin từ phía Core (MPLS Interface)
Khi gói tin được nhận từ core-facing interface, quá trình xử lý diễn ra như sau:
Nếu frame đến từ MPLS core interface, giao diện này thuộc MPLS family. Lookup MPLS label được thực hiện trong bảng mpls.0 routing table để tìm next-hop.
Kết quả của bước này xác định routing instance context.
Tiếp theo, thiết bị thực hiện lookup theo I-SID được trích xuất từ gói tin để truy cập vào BBD lookup.
Nếu BBD (Backbone Bridge Domain) được tìm thấy, thiết bị áp dụng I-SID-based filtering rule.
Nếu địa chỉ source B-MAC của gói tin trùng với địa chỉ I-SID-configured MAC, gói tin bị loại bỏ (drop).
Bảng I-SID MAC được cập nhật với destination B-MAC tương ứng với destination C-MAC, nhằm xây dựng quan hệ ánh xạ C-MAC-to-B-MAC.
Header I-SID được loại bỏ, và thiết bị tìm C-BD tương ứng dựa trên PIP interface.
Lookup tiếp theo được thực hiện trong C-BD, vì PIP interface thuộc bridge family.
Bảng C-BD xác định unicast MAC route hoặc flood MAC route, và route này sẽ chỉ ra CE interface hoặc flood route tương ứng.
Xử lý MAC Mobility trong PBB-EVPN
Hình 12 minh họa quá trình PBB-EVPN MAC Mobility, xem xét từ cả mặt phẳng chuyển tiếp (forwarding plane) và mặt phẳng điều khiển (control plane).
Việc xử lý MAC mobility từ góc nhìn của forwarding plane và control plane được thực hiện như sau:
Thiết bị PE1 học địa chỉ C-MAC M1 từ cổng nội bộ (local port) và thực hiện chuyển tiếp (forwarding) lưu lượng qua core network dựa trên ánh xạ destination C-MAC → remote B-MAC.
Ánh xạ này có thể được cấu hình tĩnh (static) hoặc được học động thông qua data plane.
Nếu không tìm thấy ánh xạ destination C-MAC → remote B-MAC trong bảng I-SID mapping, thiết bị sẽ suy ra remote B-MAC dựa vào I-SID tương ứng.
Thiết bị PE3 học địa chỉ C-MAC M1 thông qua địa chỉ B-MAC B-M1 từ dataplane.
Khi thiết bị khách hàng M1 được di chuyển từ CE1 sang CE2, việc học lại địa chỉ MAC sẽ diễn ra.
Khi M1 muốn giao tiếp với một khách hàng nằm phía sau CE1, nó gửi lưu lượng broadcast với các thông tin:
VID: 100
Source MAC: M1
Destination MAC: ff:ff:ff:ff:ff:ff
Thiết bị PE3 sẽ học lại địa chỉ MAC M1 trong C-BD MAC table và cập nhật vị trí của M1 trong bảng I-SID mapping.
Thiết bị PE1 nhận được gói tin broadcast và tiếp tục học lại địa chỉ M1, đồng thời cập nhật trong bảng I-SID mapping rằng M1 hiện có thể truy cập thông qua remote MAC là B-M2.
Xử lý End-to-End OAM trong PBB-EVPN
Mạng PBB-EVPN hỗ trợ vận hành, quản trị và bảo trì (OAM – Operation, Administration, and Maintenance) ở tầng nhà cung cấp (Provider Level) thông qua CFM – Connectivity Fault Management.
CFM có thể được triển khai tại:
Inward-facing MEP (Maintenance End Point): điểm giám sát bên trong mạng EVPN.
Outward-facing MEP: điểm giám sát hướng về phía khách hàng (PIP interface hoặc trên dịch vụ EVPN).
Hiện tại, Designated Forwarder (DF) được xác định dựa trên thuật toán DF election, và đây là quyết định cục bộ (local decision) của từng thiết bị PE. Cơ chế này đặc biệt hữu ích trong các môi trường dịch vụ end-to-end, nơi DF có thể được lựa chọn dưới sự kiểm soát của nhà vận hành (operator-controlled) nếu cần. Ngoài ra, khả năng ảnh hưởng hoặc truyền thông tin DF role trên mỗi dịch vụ riêng biệt, hoặc quảng bá DF role tới thiết bị CE, rất hữu ích trong mô hình multihoming, khi không tồn tại liên kết trực tiếp giữa CE và PE.
Bảng 3 mô tả chi tiết các tính năng QoS và firewall được hỗ trợ trong phạm vi tích hợp PBB-EVPN.
Tính năng (Feature) | Mô tả (Description) | Hỗ trợ trên CE Interface | Hỗ trợ trên Core Interface |
---|---|---|---|
Hỗ trợ đo thời gian khứ hồi (RTT – Round-Trip Time) | Có (Yes) | Có (Yes) | |
Phân loại (Classification) | Phân loại cố định vào một Forwarding Class (FC) | Có | Có |
Phân loại theo Behavior Aggregate (BA) và Multifield (MF) dựa trên bit 802.1p của VLAN nội (inner output VLAN) | Có | Có | |
Phân loại BA và MF dựa trên các trường Drop Eligible Indicator (DEI) và Priority Code Point (PCP) | Không (No) | Không yêu cầu (Not required) | |
Phân loại BA và MF dựa trên trường MPLS Experimental (EXP) | Không | Không | |
Đánh dấu CoS (CoS Marking) | Ánh xạ 802.1p → I-SID PCP và DEI fields (từ VLAN khách hàng 802.1p) | Không | Theo mặc định, 802.1p được ánh xạ sang PCP và DEI |
Ánh xạ 802.1p → MPLS EXP field (từ VLAN khách hàng 802.1p) | Không | Không | |
Ánh xạ MPLS EXP field → I-SID PCP và DEI fields | Không | Hành vi mặc định (Default behavior) | |
Ánh xạ EXP field → 802.1p | Không | Có | |
Điều tiết QoS (QoS Shaping) | Lập lịch phân cấp (Hierarchical Scheduling) và shaping tại thiết bị ingress | Không | Có |
Lập lịch phân cấp và shaping tại thiết bị egress | Không | Có | |
Bộ lọc Firewall (Firewall Filter) | Lọc lưu lượng BUM (Broadcast, Unknown, Multicast) | Chỉ lọc lưu lượng Unknown | Chỉ lọc Broadcast và Multicast |
Bộ lọc dựa trên I-SID (I-SID-based filter) | Không | Không | |
Bộ lọc dựa trên VLAN khách hàng (Customer VLAN-based filter) | Không | Có | |
Policer (2-rate 3-color) | Hướng Ingress | Không | Có |
Hướng Egress | Không | Có |
Các phần sau đây mô tả các kịch bản sử dụng (use case scenarios) cho việc tích hợp PBB-EVPN trong môi trường DCI (Data Center Interconnect).
Các mục bao gồm:
PBB-EVPN Failure Scenarios – Các kịch bản lỗi trong PBB-EVPN
PBB-EVPN I-SID Use Case Scenarios – Các kịch bản sử dụng I-SID trong PBB-EVPN
VPLS Integration with PBB-EVPN Use Case Scenario – Kịch bản tích hợp VPLS với PBB-EVPN
PBB-EVPN Redundancy Use Case Scenarios – Các kịch bản dự phòng trong PBB-EVPN
PBB-EVPN Failure Scenarios (Các kịch bản lỗi trong PBB-EVPN)
Có nhiều loại kịch bản lỗi khác nhau cần được xem xét khi triển khai giải pháp PBB-EVPN end-to-end.
Các lỗi này có thể bao gồm:
Segment Failure (Lỗi đoạn/đường kết nối)
Một segment, hay còn gọi là đường kết nối giữa CE và PE (CE-facing link), có thể bị lỗi. Khi đó, sự cố này sẽ được xử lý theo hai chế độ dự phòng:
Active/Active Multihoming (đa kết nối hoạt động đồng thời)
Active/Standby Multihoming (đa kết nối hoạt động/dự phòng)
Hình 13 minh họa cách xử lý lỗi segment failure trong trường hợp cân bằng tải theo luồng (flow-based load balancing) tại thiết bị CE1.
Một lỗi đoạn kết nối (segment failure) trong PBB-EVPN được xử lý như sau:
Kết nối Ethernet giữa thiết bị CE1 và PE1 bị lỗi — nguyên nhân có thể do đứt cáp quang hoặc giao diện bị down.
→ Thiết bị PE1 sẽ phát hiện ra đoạn kết nối bị lỗi này.
Thiết bị PE1 sẽ rút lại (withdraw) địa chỉ B-MAC đã được quảng bá cho đoạn kết nối bị lỗi (B-M1).
Liên kết hướng về CE1 bị ngắt.
Nếu sự cố này xảy ra trong chế độ dự phòng single-active (chỉ một đường hoạt động) hoặc không có dự phòng, thì toàn bộ địa chỉ C-MAC liên quan cũng sẽ bị xóa (C-MAC flush).
Việc xóa địa chỉ C-MAC (C-MAC flushing) có thể diễn ra theo hai cách:
Trường hợp 1: Nếu thiết bị PE2 sử dụng chung địa chỉ B-MAC cho nhiều I-SID khác nhau,
→ PE2 sẽ thông báo lại cho PE từ xa bằng cách quảng bá lại (re-advertise) địa chỉ B-MAC đó kèm thuộc tính mở rộng “MAC Mobility”, trong đó giá trị bộ đếm (counter) sẽ được tăng thêm.
→ Hành động này khiến PE ở xa sẽ xóa tất cả các địa chỉ C-MAC gắn với B-MAC của thiết bị PE1.
Trường hợp 2: Nếu thiết bị PE2 dùng B-MAC riêng biệt (dedicated B-MAC),
→ PE2 sẽ rút lại địa chỉ B-MAC liên quan đến đoạn kết nối bị lỗi,
→ và gửi thông báo này đến các thiết bị PE2, PE3, và PE4.
Sau khi PE3 nhận được thông báo “B-MAC withdraw” từ PE1,
→ PE3 sẽ xóa khả năng reachability (khả năng truy cập) đến B-MAC1 qua PE1 trong bảng chuyển tiếp (forwarding table).
→ Tuy nhiên, khả năng truy cập đến B-MAC1 qua PE2 vẫn còn tồn tại.
Quá trình bầu chọn DF (Designated Forwarder) sẽ được thực hiện lại trên PE2 cho tất cả các I-SID thuộc đoạn Ethernet ESI đó.
Lỗi thiết bị (Node Failure)
Một lỗi thiết bị (node failure) — tức là PE bị lỗi — sẽ được xử lý tương tự như lỗi đoạn kết nối (segment failure) nếu xét về phía CE.
Tuy nhiên, về phía lõi mạng (core side) thì cách xử lý khác biệt:
Trong trường hợp lỗi ở phía core,
→ EVPN sẽ phụ thuộc vào thời gian chờ (timeout) của phiên BGP để xóa trạng thái (state) của các phiên EVPN trên những thiết bị PE bị ảnh hưởng.
Hình 14 minh họa kịch bản lỗi thiết bị (node failure scenario) trong quá trình xử lý lỗi node.
Thiết bị PE1 bị lỗi, và chuyển đổi phía CE sang thiết bị PE2 được thực hiện thông qua sự kiện giao diện bị down (interface down event).
Các thiết bị PE2, PE3, PE4 (hoặc BGP Route Reflector, nếu có) sẽ phát hiện phiên BGP với PE1 bị hết thời gian (BGP session timeout).
Ngay khi phiên BGP timeout xảy ra:
Các thiết bị PE3 và PE4 sẽ xóa PE1 khỏi bảng chuyển tiếp (forwarding table) bằng cách đánh dấu “next hop” của PE1 là không thể truy cập (unreachable) hoặc đã bị xóa (deleted).
Trong chế độ dự phòng single-active, bảng I-SID — dùng để ánh xạ C-MAC ↔ B-MAC — phải được xóa (flush) hoặc cập nhật lại.
Trong chế độ dự phòng active/active, không cần xóa bảng I-SID, vì cùng một địa chỉ B-MAC được sử dụng cho cả PE1 và PE2 trong cùng EVI.
Ở thiết bị PE2, sau khi phát hiện phiên BGP timeout,
→ Thuật toán bầu chọn DF (Designated Forwarder) sẽ được chạy lại,
→ và PE2 trở thành DF cho tất cả các I-SID trên đoạn Ethernet bị ảnh hưởng.
Lỗi lõi mạng (Core Failure)
Việc xử lý sự cố cách ly lõi mạng (core-side isolation) trong mạng EVPN tương tự như lỗi thiết bị PE, tuy nhiên có một số khác biệt trong cách xử lý phía thiết bị CE hoặc đoạn Ethernet (Ethernet segment).
Hình 15 minh họa cách xử lý sự cố cách ly lõi mạng (core isolation handling) trong mạng PBB-EVPN.
Cách xử lý sự cố lõi mạng bị cách ly (core isolation) trong PBB-EVPN diễn ra như sau:
Thiết bị PE1 mất kết nối với lõi mạng (core).
Các thiết bị PE2, PE3, PE4, hoặc BGP Route Reflector, phát hiện phiên BGP với PE1 bị hết thời gian (BGP session timeout).
Thiết bị PE1 gửi thông điệp LACP OUT_OF_SYNC đến thiết bị CE1, để yêu cầu loại bỏ cổng đó khỏi nhóm liên kết (bundle).
Thiết bị PE2, hoặc BGP Route Reflector, phát hiện phiên BGP với PE1 bị timeout.
Thiết bị PE2 chạy lại thuật toán bầu chọn DF (Designated Forwarder) và được chọn làm DF cho tất cả các I-SID trên đoạn kết nối (Ethernet Segment) đó.
Các kịch bản sử dụng (Use Case) I-SID trong PBB-EVPN
Dịch vụ dựa trên I-SID (I-SID Base Service)
Trong mô hình dịch vụ dựa trên I-SID, có mối quan hệ một-một (1:1) giữa miền cầu nối (Bridge Domain) và EVI (Ethernet VPN Instance). Trong trường hợp này, không cần mang trường I-SID trong tuyến quảng bá MAC (MAC Advertisement Route), bởi vì ID của Bridge Domain có thể được suy ra từ Route Target (RT) liên kết với tuyến đó. Việc cấp phát nhãn MPLS (MPLS Label Allocation) được thực hiện theo từng EVI riêng biệt (per-EVI basis).
Hình 16 minh họa tổng quan về kịch bản sử dụng dịch vụ I-SID cơ bản (I-SID Base Service Use Case).
Trong trường hợp cân bằng tải I-SID Khi cân bằng tải được thực hiện trên cơ sở từng dịch vụ từ thiết bị CE khởi tạo trong cấu hình nhóm liên kết liên kết (LAG), có hai mô hình địa chỉ B-MAC: