Сценарий core isolation предполагает механизм защиты от blackholing'а трафика при потере связности с ядром сети. При использовании функционала ESI multihoming данный механизм реализуется переводом в err-disable всех состоящих в ES port-channel при обрыве BGP сессий со spine.
Настройка производится командой evpn multihoming core-tracking в контексте BGP neighbor. Указанная команда добавляет соседа в трекер отслеживания BGP-сессий, при отказе всех сессий трекера происходит отключение всех портов ES.
Для проверки работы функционала соберем сегмент IP-фабрики из одного leaf'а и двух spine'ов:
host1 подключен к leaf1 агрегированным интерфейсом состоящим в ethernet-segment 1000.
Для упрощения конфигурации настроем только underlay:
leaf1#sh run no spanning-tree ! port jumbo-frame ! ip maximum-paths 32 ! hostname leaf1 ! interface TenGigabitEthernet1/0/1 description to-spine1 ip address 192.168.10.1 255.255.255.252 exit ! interface TenGigabitEthernet1/0/2 description to-spine2 ip address 192.168.10.5 255.255.255.252 exit ! interface TenGigabitEthernet1/0/11 channel-group 1 mode auto exit ! interface Port-Channel1 description to-host1 ethernet-segment 1000 system-mac 11:22:33:44:55:66 exit exit ! interface loopback1 ip address 10.10.10.1 255.255.255.255 exit ! ! router ospf 1 network 192.168.10.1 area 0.0.0.0 network 192.168.10.5 area 0.0.0.0 router-id 10.10.10.1 redistribute connected subnets exit ! router bgp 65000 bgp router-id 10.10.10.1 address-family ipv4 unicast exit ! address-family l2vpn evpn exit ! peer-group spine remote-as 65000 update-source loopback 1 fall-over bfd exit ! neighbor 10.10.10.2 peer-group spine address-family ipv4 unicast exit ! address-family l2vpn evpn exit exit ! neighbor 10.10.10.3 peer-group spine address-family ipv4 unicast exit ! address-family l2vpn evpn exit exit exit ! ! end |
spine1#sh run no spanning-tree ! port jumbo-frame ! ip maximum-paths 32 ! hostname spine1 ! interface TenGigabitEthernet1/0/1 description to-leaf1 ip address 192.168.10.2 255.255.255.252 exit ! interface loopback1 ip address 10.10.10.2 255.255.255.255 exit ! ! router ospf 1 network 192.168.10.2 area 0.0.0.0 router-id 10.10.10.2 redistribute connected subnets exit ! router bgp 65000 bgp router-id 10.10.10.2 address-family ipv4 unicast exit ! address-family l2vpn evpn exit ! neighbor 10.10.10.1 remote-as 65000 update-source loopback 1 fall-over bfd route-reflector-client address-family ipv4 unicast exit ! address-family l2vpn evpn exit exit exit ! ! end |
spine2#sh run no spanning-tree ! port jumbo-frame ! ip maximum-paths 32 ! hostname spine2 ! interface TenGigabitEthernet1/0/1 description to-leaf1 ip address 192.168.10.6 255.255.255.252 exit ! interface loopback1 ip address 10.10.10.3 255.255.255.255 exit ! ! router ospf 1 network 192.168.10.6 area 0.0.0.0 router-id 10.10.10.3 redistribute connected subnets exit ! router bgp 65000 bgp router-id 10.10.10.3 address-family ipv4 unicast exit ! address-family l2vpn evpn exit ! neighbor 10.10.10.1 remote-as 65000 update-source loopback 1 fall-over bfd route-reflector-client address-family ipv4 unicast exit ! address-family l2vpn evpn exit exit exit ! ! end |
В такой конфигурации при отказе BGP-сессий между leaf и spine, host1 продолжит направлять пакеты в линк po1, что приведет к дропам трафика. Для защиты от этого сценария включим core-tracking на обеих BGP-сессиях в сторону spine1 и spine2:
leaf1(config)#router bgp 65000 leaf1(router-bgp)#neighbor 10.10.10.2 leaf1(router-bgp-nbr)#evpn multihoming core-tracking leaf1(router-bgp-nbr)#neighbor 10.10.10.3 leaf1(router-bgp-nbr)#evpn multihoming core-tracking |
и проверим его работу:
spine1(config)#router bgp 65000 spine1(router-bgp)#neighbor 10.10.10.1 shutdown spine2(config)#router bgp 65000 spine2(router-bgp)#neighbor 10.10.10.1 shutdown |
в логах leaf1 можем наблюдать срабатывание core-tracking после отключения второй сессии:
06-Mar-2026 09:13:01 %BGP-I-NOTIFICATION: Received from neighbor 10.10.10.2 Cease (Administrative Shutdown) 06-Mar-2026 09:13:01 %BGP-I-ADJCHANGE: Neighbor 10.10.10.2 Down 06-Mar-2026 09:13:04 %BGP-I-NOTIFICATION: Received from neighbor 10.10.10.3 Cease (Administrative Shutdown) 06-Mar-2026 09:13:04 %BGP-I-ADJCHANGE: Neighbor 10.10.10.3 Down 06-Mar-2026 09:13:04 %2SWTRUNK-I-TRNKPORTPARAM: auto-negotiation/adv. capabilities of port te1/0/11 differ from auto-negotiation/adv. capabilities of Po1 06-Mar-2026 09:13:04 %LINK-W-PORT_SUSPENDED: Port Po1 suspended by evpn-core-tracking 06-Mar-2026 09:13:04 %LINK-W-Down: te1/0/11 06-Mar-2026 09:13:04 %TRUNK-W-PORTREMOVED: Port te1/0/11 removed from Po1 06-Mar-2026 09:13:04 %LINK-W-Down: Po1 |
Трекер отслеживает состояние BGP-сессий и управляет интерфейсами ES по следующим правилам:
1. ES отключается при падении всех соседств с включенным evpn multihoming core-tracking.
2. ES включается при восстановлении хотя бы одного соседства с включенным evpn multihoming core-tracking.
Из этого следует, что в случае наличия, к примеру, двух соседств, смотрящих в сторону core-сети, первого с включенным трекингом, а второго без, отказ первого соседа приведет к остановке ES даже при установленном соседстве со вторым.
По умолчанию трекер поднимает интерфейсы ES сразу после восстановления соседства, но для реализации dampening'а при флапе BGP-сессий возможна и рекомендуется настройка задержки перевода ES из состояния err-disable.
Задержка в секундах настраивается командой evpn ethernet-segment multihoming core-tracking delay time <1..300> в режиме глобальной конфигурации.
Текущую конфигурацию трекера: задержку восстановления ES, отслеживаемые BGP-сессии и добавленные в ES интерфейсы, можно увидеть командой show evpn ethernet-segment multihoming core-tracking.
Применительно к вышеприведенному примеру:
leaf1#show evpn ethernet-segment multihoming core-tracking EVPN Core status is CONNECTED Multihoming ES UP delay timer is 10 seconds Peer trackings: BGP neighbor State ---------------- --------------- 10.10.10.2 ESTABLISHED 10.10.10.3 ESTABLISHED Ethernet segments: Interface Status Ethernet Segment ID (ESI) admin/oper --------- ---------- ----------------------------- Po1 DOWN/DOWN 00:00:00:00:00:00:00:00:00:00 |
Более подробно с описанием работы и примерами конфигураций IP-фабрики можно ознакомиться в соответствующем руководстве:
Построение IP-фабрики на коммутаторах Eltex