OTV是一个典型的二层VPN, 提供多站点之间二层VPN以及数据中心之间的互联.
在站点内的以太网流量被封装MAC in IP, 使用IP报头重新封装二层帧来传递.
OTV术语
- OTV edge device
OTV边界设备连接一个站点到核心, 执行所有的OTV功能.
- 控制层面功能
- 基于硬件的OTV封装和解封装
- 一个站点最多拥有两个OTV设备, 实现高可用以及冗余
- internal interface
典型的二层trunk口, 一个OTV edge设备使用内部接口连接站点 - join interface
面向WAN的三层接口 - overlay interface
封装二层帧到IP单播或者组播头部内的, 封装解封装OTV数据包
系统需求和原则
- 在一个VDC中, 一个特定的vlan能够关联到一个SVI. 或者使用OTV扩展, 但是不能两者都做
- 一个overlay interface只能指派一个join interface
- 同一个站点内多个overlay接口可以共享一个site vlan
OTV封装格式
OTV添加了42字节的额外头部:
- 需要调整MTU, OTV的DF位是被设位的, 不允许分片. 要么调小内网的MTU, 要么调大广域网的MTU
- 14字节的二层以太网头部(源目MAC地址和以太网类型, CRC重新计算替换原有帧内的CRC)
- 20字节IP头部(OTV连接接口的源目IP地址, 原始帧的CoS位被映射成DSCP的高位比特)
- 8字节OTV头部(使用MPLS over GRE格式, 原始帧的vlan id拷贝到otv头部)
OTV邻居建立
OTV边界设备形成比邻和交换MAC路由信息.
- Multicast-capable core(支持组播的核心, 边界设备加入普通的组播组)
所有控制层面通讯通过组播组来进行交互, 核心设备优化复制控制层面信息 - Unicast-only core(仅支持单播的核心, 需要一个或多个边界设备做比邻服务器)
比邻服务器作为边界设备信息交换场所, 所有控制层面信息通过点到点单播实现
OTV二层故障隔离
- STP生成树隔离
- 没有BPDU通过overlay接口转发
- STP保留在每个站点本地
- 边界设备内部接口和普通switchport一样工作
- 不知道目的的单播流量隔离
- 默认不知道目的的单播帧不会通过overlay接口泛洪
- 可以使用特性 选择性的对不知道目的的单播帧进行泛洪
- 使用代理ARP缓存作为远端站点主机提供服务
OTV最佳实践
- internal interface面向每一个站点, 并承载至少一个OTV vlan
- 在多个站点间承载OTV site vlan
- 一个标准的二层访问或者trunk
- 每个overlay interface一个join interface; join interface是一个三层口, 不能使用SVI; 必须属于默认vrf下
- OVT边界设备部署
- 在一个特定vdc下, 一个特定vlan即可以支持SVI, 也可以支持OTV扩展, 但是不可以同时支持
OTV新特性
- source interface with loopback
- authentication (控制层面和数据层面)
- tunnel depolarization with secondary ip
使用相同源和目的地址在AED设备之间封装流量,限制了portchannel和ECMP负载均衡的优势 - OTV vlan translation
- selective unicast flooding