一．EVI的概念和应用

架构简介目前多个厂家提出了网络虚拟化技术的解决方案，本文只讲述应用H3C公司的EVI技术为例的设计方案。以太网虚拟化互联（EVI，EthernetVirtualizationInterconnect）是一种“MACinIP”技术，使用MAC地址路由规则，提供叠加网络（OverlayNetwork），使分散的二层区域之间能够实现IP的直接通信，并保持这些区域的独立性。假设省行与业务中心1内部都有VLAN10-20，这些跨站点二层互通的VLAN称为扩展VLAN；衔接二、三层网络执行EVI功能的设备称为边缘设备（ED，EdgeDevice），图3中的Gateway（网关）可与ED整合成一台设备。EVI系统由核心网、站点网、叠加网组成。核心网承担站点间的IP路由通信；站点网通过ED连接核心网，具有业务功能的二层网络，包括交换机和主机；叠加网是不同站点的ED之间建立的虚拟网，它能将多个站点互联后组成更大的二层网络。

二．省行与业务中心EVI通信的运行机制

站点内的二层流量通过传统的ARP广播及单播响应MAC，由交换机自动完成。对于穿越IP核心网的跨站点的二层流量，EVI需在控制层面上完成二层网络的路由和隔离，以及在数据层面上完成二层数据的封装与转发功能。

（一）控制层面的通信步骤

1．需要通信的两个ED之间必须建立EVI的邻居关系。

2．在ED上使用IS-IS路由协议，EVI的IS-IS取消了level字段，扩展了标准报文以便携带主机MAC和其他控制信息，通过ISIS把MAC表和EVI接口IP封装在数据链路层的数据帧中，传递给对端的ED。

3．以EVI接口IP为源IP，通过IS-IS学习到的对端EDEVI接口的IP作为目标IP地址，ED对本地二层流量进行EVI封装，然后通过核心网的IP路由把经过封装的数据包送达异地的ED。

4．异地ED解封数据包，查本地MAC表，把数据送达目的主机。

5．IS-IS自动同步本地的MAC表给邻居，MAC表项的老化、删除、新增都发IS-IS（LSP，CSNP，PSNP）消息通知其他站点。

（二）数据层面的通信步骤

1．两个ED之间建立模式为EVI的GRE隧道，如步骤③，

2．去往异地站点二层的单播流量，查MAC表后进行EVI封装转发。

3．ED在扩展VLAN运行了IGMPSnooping，对组播报文进行“头端复制”作为单播封装发往对端站点，如步骤⑤，解封后进行正常的组播通信。

4.在VLAN的所有接口泛洪MAC为广播的帧，ED对这些广播帧进行优化和复制，把每份复本进行EVI封装成单播包，经核心网传给异地站点。

5.未知单播或组播的默认处理：只在VLAN内的本地接口上进行泛洪，不会泛洪到异地的站点，但可手工配置指定目的MAC地址的帧，查找MAC表失败后，系统能将这部分流量进行泛洪到其他站点，以实现个别应用的特殊通信需求（如VRRP的组播报文）。

三．EVI系统的部署及注意事项

简介EVI部署最简单的方法是在中心增加ED设备，网络配置并不复杂，唯一要求是充当ED的设备必须是具有EVI功能的H3C网络设备。在ED能完成EVI的所有配置，建议特别关注与系统安全相关的几点：为避免扩展VLAN中的数据泄露而产生信息安全事件，同一EVI实例的所有ED的扩展VLAN必须相同；为实现安全隔离，不同的EVI网络实例的扩展VLAN不能重叠；为避免产生流量黑洞，MAC地址表老化时间须大于动态ARP表的老化时间；为加强异地业务部署的可靠性，必须考虑站点间二层网络的故障隔离，建议启用未知地址帧抑制、ARP报文优化、广播抑制等安全策略，以及使用IRF或STP来消除二层网络的环路。

作者：简耀庆单位：中国银行广东省分行