Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

示例:使用 MX 路由器作为主干配置 EVPN-VXLAN 集中路由桥接交换矩阵

此示例演示如何在 IP 交换矩阵上配置 EVPN 和 VXLAN,以支持以太网帧的最佳转发,提供大规模的网络分段,实现基于控制平面的 MAC 学习以及许多其他优势。此示例基于 5 级 Clos 交换矩阵中的集中路由桥接 (CRB) EVPN 架构。

在 CRB 架构中,IRB 接口提供与属于不同 VLAN 和网络的服务器和虚拟机的第 3 层连接。这些 IRB 接口充当交换矩阵内 VLAN 间流量的默认网关,也充当交换矩阵远程目标的默认网关,例如在数据中心互连 (DCI) 的情况下。在 CRB 设计中,您仅在主干设备上定义 IRB 接口。因此,这种设计称为集中路由,因为所有路由都发生在主干上。

有关边缘路由桥接 (ERB) 设计的示例,请参阅 示例:使用任播网关配置 EVPN-VXLAN 边缘路由桥接交换矩阵

有关 EVPN-VXLAN 技术和支持架构的背景信息,请参阅 EVPN 入门

要求

原始示例使用了以下硬件和软件组件:

  • 两台瞻博网络 MX 系列路由器充当 EVPN 叠加网络的 IP 网关

  • 四台瞻博网络 QFX5100 交换机。其中两台交换机用作 EVPN 拓扑中的 PE 设备,另外两台交换机用作底层网络的纯 IP 传输。

  • Junos OS 21.3R1 或更高版本。

  • 在此示例中,EX9200 交换机可用作 EVPN 叠加的 IP 网关。MX 系列路由器和 EX9200 交换机之间存在一些配置差异。本主题后面的配置部分提供了有关特定于 EX9200 的配置的更多信息。

概述

通过以太网 VPN (EVPN),您可以使用第 2 层虚拟网桥连接分散的客户站点组,通过虚拟可扩展 LAN (VXLAN),您可以将第 2 层连接延伸至介于中间的第 3 层网络,同时提供 VLAN 等网络分段,但不会限制传统 VLAN 的扩展。使用 VXLAN 封装的 EVPN 以云服务提供商所需的规模处理第 2 层连接,并替代 STP 等限制协议,进而释放第 3 层网络,以使用更强大的路由协议。

此配置示例说明如何使用 VXLAN 封装配置 EVPN。在此示例中,MX 系列路由器被命名为 Core-1 和 Core-2。QFX5100 交换机的名称为 Leaf-1、Leaf-2、Spine-1 和 Spine-2。核心路由器充当 EVPN 叠加网络的 IP 网关,叶式交换机充当 EVPN 拓扑中的 PE 设备,而主干交换机则充当底层网络(也称为“精主干网络”)的纯 IP 传输。

拓扑结构

Network topology diagram showing a spine-leaf architecture with core routers, spine switches, leaf switches, and connected servers.

在我们的示例拓扑中,我们演示了使用未标记接口和中继(标记)接口的服务器访问。中继接口使用显式 VLAN 标记。服务器 A 和 C 均配置为中继,而服务器 B 对两个枝叶均使用未标记的访问接口。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层次结构级别的 [edit] CLI 中。

枝叶 1

枝叶 2

主干 1

主干 2

核心 1

核心 2

EX9200 配置

在 EX9200 交换机上, vlans 将使用该语句代替 bridge-domains,而 l3-interface 使用该语句 routing-interface代替 。

以下示例说明如何配置这些语句。此示例中为 MX 系列路由器显示的所有其他配置也适用于 EX9200 交换机。

注意:

在此示例中,无论在何处 bridge-domains 使用 or routing-interface 语句,要在 EX9200 交换机上进行配置,请改用 vlansl3-interface

配置叶 1

分步程序

下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参阅 《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

注意:

配置 Leaf-2 的步骤与 Leaf-1 类似,因此我们只会展示 Leaf-1 的分步过程。

要配置 Leaf-1:

  1. 设置系统主机名。

  2. 配置路由选项。 load-balance 导出策略将在下一步中配置。

  3. 配置负载平衡策略。

  4. 将底层 EBGP 配置到主干设备。 lo0 导出策略将在下一步中配置。

  5. 配置策略以将环路地址播发到底层网络。在此示例中,您将编写一个与环路地址无关的可移植策略,方法是仅匹配前缀长度为 /32 的直接路由。其结果是一个与任何环路地址匹配的策略,并且可在拓扑中的所有设备上重复使用。

  6. 配置交换机选项。虚拟隧道端点接口为 lo0.0,必须可通过底层路由协议访问。路由识别符在网络中的所有交换机中必须是唯一的,以确保 MP-BGP 叠加中的所有路由播发都是全局唯一的。QFX 系列交换机上的 VRF 表目标至少是交换机发送连接到所有 ESI(1 类)路由的社区。该vrf-import vrf-imp语句定义目标社区列表,该列表从表导入bgp.evpn.0到实例中default-switch.evpn.0

  7. 配置 VRF 表导入策略。

  8. 配置相关社区。

  9. 配置扩展虚拟网络标识符 (VNI) 列表,以建立要加入 EVPN 域的 VNI。您还可以配置入口复制;在 EVPN-VXLAN 中,入口复制用于处理组播,而无需支持组播的底层。下为每个 VXLAN 网络标识符实例 vni-routing-options指定了不同的路由目标。

  10. 将本地有效性 VLAN ID 映射到全球重要性 VXLAN 网络标识符。

  11. 配置支持 EVPN 的 IBGP 叠加会话。

    注意:

    某些 IP 交换矩阵使用基于 EBGP 的 EVPN-VXLAN 叠加。有关将 EBGP 用于底层和叠加网络的 IP 交换矩阵的示例,请参阅 示例:使用任播网关配置 EVPN-VXLAN 边缘路由桥接交换矩阵。请注意,叠加选择 EBGP 与 IBGP 不会影响交换矩阵架构。CRB 和边缘路由桥接 (ERB) 设计都支持任一类型的叠加。

  12. 配置结构接口。

  13. 配置接入接口。再次请注意,我们演示了用于服务器连接的接入接口和中继接口的组合。

  14. 配置启用了 LACP 的 LAG 接口。ESI 值在整个 EVPN 域中是全局唯一的。 all-active 配置语句确保此多宿主租户连接到的所有 PE 路由器都可以转发来自客户边缘设备的流量,以便积极使用所有客户边缘链路。

  15. 配置环路接口地址。

配置主干 1

分步程序

下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参阅 《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

注意:

配置 Spine-2 的步骤与 Spine-1 类似,因此我们将仅展示 Spine-1 的分步过程。

要配置主干 1:

  1. 设置系统主机名。

  2. 配置路由选项。

  3. 配置负载平衡策略。

  4. 将 EBGP 底层配置为对等至叶设备和核心设备。 lo0 此步骤将应用播发 lo0 地址的策略;下一步将显示策略本身的配置。

  5. 配置名为 lo0 播发 /32 路由的策略。策略匹配环路地址,而不指定任何特定 IP。这样,就可以在任何交换矩阵设备上重复使用相同的策略。

配置核心 1

分步程序

下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参阅 《CLI 用户指南》中的在配置模式下使用 CLI 编辑器

注意:

配置 Core-2 的步骤与 Core-1 类似,因此我们只会展示 Core-1 的分步过程。

要配置 Core-1:

  1. 设置系统主机名。

  2. 配置路由选项。在此步骤中应用策略 load-balance 。在下一步中创建策略

  3. 配置名为 load-balance的负载平衡策略。

  4. 配置 BGP 底层对等互连。 lo0 在此步骤中应用播发环路地址的策略。在下一步中配置此策略。

  5. 配置名为 lo0 播发环路路由的策略。

  6. Core-1 的大部分配置发生在层次结构中 [routing-instance] 。配置虚拟路由器,并为每个虚拟交换机配置唯一的 VRF 表导入策略。

  7. 为每个路由实例配置策略。

  8. 配置社区 。确保策略 comm-leaf 接受使用目标 65000:1 标记的路由。这可以确保所有虚拟交换机从所有叶导入 1 类 ESI 路由。

  9. 配置 IRB 接口。每个 IRB 都有一个虚拟网关地址,即核心 1 和核心 2 之间的共享 MAC 地址和 IP 地址。

  10. 配置朝向 Leaf-1 和 Leaf-2 的 IBGP 叠加会话。我们在核心设备之间添加了对等互连,以便在核心设备之间共享路由。

验证

验证 MAC 与单宿主客户边缘设备 (Leaf-1) 的可达性

目的

验证 MAC 对Tenant_A的可达性。此用户是 Leaf-1 的单宿主。首先,验证是否在 Leaf-1 上本地学习了 MAC 地址。Leaf-1 只有在学习MAC 地址后才会生成 2 类 EVPN 路由。

行动

验证是否在 Leaf-1 上本地学习了 MAC 地址。

意义

输出显示,MAC 56:04:15:00:bb:02已成功从 Tenant_A 客户边缘设备(即 xe-0/0/3.0 接口上的服务器 A)获知。

验证 MAC 到单宿主客户边缘设备的可访问性(类型 2)

目的

验证 MAC 到单宿主客户边缘设备(类型 2)的可达性

行动

验证生成到 Core-1 的 Type-2 路由。

意义

输出显示正在播发 MAC 和 MAC/IP。

在 Core-1 上,EVPN Type-2 路由被接收到 bgp.evpn.0

输出显示 56:04:15:00:bb:02 的 Type-2 路由。路由区分符来自 Leaf-1,设置为 10.1.255.111:1。

验证导入的路由

目的

验证是否已导入 EVPN 2 类路由。

行动

在核心 1 上,验证 EVPN 2 类路由是否已成功从表导入 bgp.evpn.0 到 EVPN 交换机实例中。

意义

输出显示,在 Tenant_A 的虚拟交换机中,EVPN 2 类路由播发了正确的目标 target:1:101。使用该 extensive 选项更详细地查看 Type-2 路由。

输出显示 Core-1 收到两个副本。第一个是来自 Leaf-1 的广告(来源:10.1.255.111)。第二个是来自 Core-2 的广告(来源:10.1.255.2)。

验证第 2 层地址学习守护程序副本

目的

验证第 2 层地址学习守护程序副本。

行动

输入命令, show bridge-mac table 验证第 2 层地址学习守护程序副本。

意义

输出显示 56:04:15:00:bb:02 可通过 vtep.32771 逻辑接口到达 Leaf-1。

注意:

在 EX9200 交换机上,命令 show ethernet-switching table-instance instance-name 对应 show bridge mac-table instance instance-name 于此处用于 MX 系列路由器的命令

验证内核级转发表

目的

验证内核级转发表、下一跳标识符以及第 2 层 MAC 表和硬件。

行动

查询内核级转发表,将索引下一跃点标识符与正确的虚拟网络标识符相关联,并查看第 2 层 MAC 表和硬件。

意义

Tenant_A的 MAC 56:04:15:00:bb:02 可通过索引 687 到达。

将索引 687 (NH-Id) 与正确的虚拟网络标识符 101 和远程 VTEP-ID 10.1.255.111 相关联。

注意:

在 EX9200 交换机上,命令对 show ethernet-switchingshow l2-learning 于 MX 系列路由器的命令 show here。

验证 MAC 与多宿主客户边缘设备的可访问性

目的

验证 MAC 对叶 1 和叶 2 上的多宿主 Tenant_B 客户边缘设备的可访问性。

行动

验证 Leaf-1 和 Leaf-2 是否同时向多宿主客户边缘设备播发 Type-1 和 Type-2 可达性。

意义

输出显示 2c:6b:f5:43:12:c0 表示连接到 Leaf-1 和 Leaf-2 的Tenant_B的 MAC。

验证 EVPN、第 2 层地址学习守护程序以及多宿主客户边缘设备的内核转发表

目的

验证租户 B 的 EVPN 表以及核心 1 的第 2 层地址学习守护程序表和内核转发表。

行动

在核心 1 中,显示租户 B 的 EVPN 表。

显示 Core-1 的第 2 层地址学习守护程序表。

注意:

在 EX9200 交换机上,命令 show ethernet-switching table-instance instance-name 对应于 show bridge mac-table instance instance-name MX 系列路由器的命令 show here

显示 Core-1 的内核转发表。

意义

对于 Tenant_B 客户边缘 设备,ESI 00:01:01:01:01:01:01:01:01:01:01:01:01:01 列出了四个不同的路由:

  • 1:10.1.255.111:0::010101010101010101::FFFF:FFFF/192 AD/ESI

    此每以太网分段 A-D Type-1 EVPN 路由源自叶 1。路由区分符是从全局级别 routing-options获得的。核心 1 从叶 1 和叶 2 接收源自叶 1 的 1 类路由。

  • 1:10.1.255.111:1::010101010101010101::0/192 AD/EVI

    这是 per-EVI A-D 1 类 EVPN 路由。路由识别符是从路由实例获取的,或者对于 QFX5100, switch-options则是 .核心 1 从叶 1 和叶 2 接收源自叶 1 的 1 类路由。

  • 1:10.1.255.112:0::010101010101010101::FFFF:FFFF/192 AD/ESI

    这是从叶 2 发起的每以太网分段 A-D 1 类 EVPN 路由。路由区分符是从全局级别 routing-options获得的。核心 1 从叶 2 和叶 1 接收源自叶 2 的 1 类路由。

  • 1:10.1.255.112:1::010101010101010101::0/192 AD/EVI

    这是 per-EVI A-D 1 类 EVPN 路由。路由识别符是从路由实例获取的,或者对于 QFX5100, switch-options则为 。核心 1 从叶 2 和叶 1 接收源自叶 2 的 1 类路由。

与 Tenant_B 多宿主 客户边缘 设备关联的两个物理 MAC 和一个虚拟 MAC 的 2 类路由按预期发起。

从输出中,我们尚无法确定用于转发到 ESI 00:01:01:01:01:01:01:01:01:01:01:01。要确定 VTEPS,请显示 VXLAN 隧道端点 ESI。

注意:

在 EX9200 交换机上,命令对 show ethernet-switchingshow l2-learning 于 MX 系列路由器的命令 show here。

输出显示,对于此 ESI 上的 MAC 地址,VTEP 接口到叶 1 和叶 2 的活动负载均衡,用于验证 Leaf-1 和 Leaf-2 上的全活动配置。

相关文档