Nexus OTV

OTV是一个典型的二层VPN, 提供多站点之间二层VPN以及数据中心之间的互联.
在站点内的以太网流量被封装MAC in IP, 使用IP报头重新封装二层帧来传递.

OTV术语

  1. OTV edge device
    OTV边界设备连接一个站点到核心, 执行所有的OTV功能.
  • 控制层面功能
  • 基于硬件的OTV封装和解封装
  • 一个站点最多拥有两个OTV设备, 实现高可用以及冗余
  1. internal interface
    典型的二层trunk口, 一个OTV edge设备使用内部接口连接站点
  2. join interface
    面向WAN的三层接口
  3. overlay interface
    封装二层帧到IP单播或者组播头部内的, 封装解封装OTV数据包

系统需求和原则

  • 在一个VDC中, 一个特定的vlan能够关联到一个SVI. 或者使用OTV扩展, 但是不能两者都做
  • 一个overlay interface只能指派一个join interface
  • 同一个站点内多个overlay接口可以共享一个site vlan

OTV封装格式

OTV添加了42字节的额外头部:

  1. 需要调整MTU, OTV的DF位是被设位的, 不允许分片. 要么调小内网的MTU, 要么调大广域网的MTU
  2. 14字节的二层以太网头部(源目MAC地址和以太网类型, CRC重新计算替换原有帧内的CRC)
  3. 20字节IP头部(OTV连接接口的源目IP地址, 原始帧的CoS位被映射成DSCP的高位比特)
  4. 8字节OTV头部(使用MPLS over GRE格式, 原始帧的vlan id拷贝到otv头部)
    OTV封装

OTV邻居建立

OTV边界设备形成比邻和交换MAC路由信息.

  1. Multicast-capable core(支持组播的核心, 边界设备加入普通的组播组)
    所有控制层面通讯通过组播组来进行交互, 核心设备优化复制控制层面信息
  2. Unicast-only core(仅支持单播的核心, 需要一个或多个边界设备做比邻服务器)
    比邻服务器作为边界设备信息交换场所, 所有控制层面信息通过点到点单播实现

OTV二层故障隔离

  • STP生成树隔离
    1. 没有BPDU通过overlay接口转发
    2. STP保留在每个站点本地
    3. 边界设备内部接口和普通switchport一样工作
  • 不知道目的的单播流量隔离
    1. 默认不知道目的的单播帧不会通过overlay接口泛洪
    2. 可以使用特性 选择性的对不知道目的的单播帧进行泛洪
  • 使用代理ARP缓存作为远端站点主机提供服务

OTV最佳实践

  • internal interface面向每一个站点, 并承载至少一个OTV vlan
    1. 在多个站点间承载OTV site vlan
    2. 一个标准的二层访问或者trunk
  • 每个overlay interface一个join interface; join interface是一个三层口, 不能使用SVI; 必须属于默认vrf下
  • OVT边界设备部署
    1. 在一个特定vdc下, 一个特定vlan即可以支持SVI, 也可以支持OTV扩展, 但是不可以同时支持

OTV新特性

  1. source interface with loopback
  2. authentication (控制层面和数据层面)
  3. tunnel depolarization with secondary ip
    使用相同源和目的地址在AED设备之间封装流量,限制了portchannel和ECMP负载均衡的优势
  4. OTV vlan translation
  5. selective unicast flooding