Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

示例:使用 MX 路由器作为主干配置 EVPN-VXLAN 集中路由的桥接交换矩阵

此示例演示如何在 IP 交换矩阵上配置 EVPN 和 VXLAN,以支持以太网帧的最佳转发、提供大规模网络分段、实现基于控制平面的 MAC 学习以及许多其他优势。此示例基于 5 级 Clos 交换矩阵中的集中路由与桥接 (CRB) EVPN 架构。

在 CRB 架构中,IRB 接口提供与属于不同 VLAN 和网络的服务器和 VMS 的第 3 层连接。这些 IRB 接口可用作交换矩阵内 VLAN 间流量的默认网关,也可用作交换矩阵远程目标的默认网关,例如在数据中心互连 (DCI) 的情况下。在 CRB 设计中,您只能定义主干设备上的 IRB 接口。因此,这种设计称为集中路由,因为所有路由都发生在主干上。

有关边缘路由桥接 (ERB) 设计的示例,请参阅 示例:使用任播网关配置 EVPN-VXLAN 边缘路由桥接交换矩阵

有关 EVPN-VXLAN 技术和受支持架构的背景信息,请参阅 EVPN 入门

要求

原始示例使用了以下硬件和软件组件:

  • 两台瞻博网络 MX 系列路由器,用作 EVPN 叠加网络的 IP 网关

  • 四台瞻博网络QFX5100交换机。其中两台交换机充当 EVPN 拓扑中的 PE 设备,另外两台交换机用作底层的纯 IP 传输。

  • Junos OS 16.1 或更高版本。

    • 使用 Junos OS 21.3R1.9 版进行更新和重新验证

  • 从 Junos OS 17.3R1 版开始,EX9200 交换机也支持 EVPN-VXLAN。以前,仅支持 MPLS 封装。在此示例中,EX9200 交换机将用作 EVPN 叠加网络的 IP 网关。MX 系列路由器和 EX9200 交换机之间存在一些配置差异。本主题后面的配置部分将详细介绍特定于 EX9200 的配置。

    • 有关受支持平台的列表,请参阅 硬件摘要

概述

通过以太网 VPN (EVPN),您可以使用第 2 层虚拟网桥连接分散的客户站点组,通过虚拟可扩展 LAN (VXLAN),您可以将第 2 层连接延伸至介于中间的第 3 层网络,同时提供 VLAN 等网络分段,但不会限制传统 VLAN 的扩展。使用 VXLAN 封装的 EVPN 以云服务提供商所需的规模处理第 2 层连接,并替代 STP 等限制协议,从而释放第 3 层网络,以使用更强大的路由协议。

此示例配置说明如何使用 VXLAN 封装配置 EVPN。在此示例中,MX 系列路由器分别命名为 Core-1 和 Core-2。QFX5100交换机分别命名为 Leaf-1、Leaf-2、Spine-1 和 Spine-2。核心路由器充当 EVPN 叠加网络的 IP 网关,叶式交换机在 EVPN 拓扑中充当 PE 设备,主干交换机充当底层(也称为“精简主干”)的纯 IP 传输。

拓扑学

在我们的示例拓扑中,我们演示了使用未标记和中继(标记)接口的服务器访问。中继接口使用显式 VLAN 标记。服务器 A 和 C 均配置为中继,而服务器 B 对两个分叶使用未标记的访问接口。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,然后将命令复制并粘贴到层 [edit] 级的 CLI 中。

叶-1

叶-2

主干-1

主干-2

核心-1

Core-2

EX9200 配置

在 EX9200 交换机上,使用语 vlans 句代替 bridge-domains,并且使用语 l3-interface 句代替 routing-interface

以下示例说明如何配置这些语句。此示例中为 MX 系列路由器显示的所有其他配置也适用于 EX9200 交换机。

注意:

在此示例中,无论在哪里 bridge-domains 使用 或 routing-interface 语句,要在 EX9200 交换机上进行配置,请改用 vlansl3-interface

配置叶 1

分步过程

下面的示例要求您在各个配置层级中进行导航。有关 CLI 导航的信息,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

注意:

配置 Leaf-2 的步骤与 Leaf-1 类似,因此我们将仅显示 Leaf-1 的分步过程。

要配置 Leaf-1,请执行以下操作:

  1. 设置系统主机名。

  2. 配置路由选项。 load-balance 导出策略将在下一步中配置。

  3. 配置负载平衡策略。

  4. 将底层 EBGP 配置到主干设备。 lo0 导出策略将在下一步中配置。

  5. 配置策略以将环路地址播发到底层。在此示例中,您通过仅匹配前缀长度为 /32 的直接路由,编写与环路地址无关的可移植策略。其结果是一个与任何环路地址匹配且可在拓扑中的所有设备中重复使用的策略。

  6. 配置交换机选项 虚拟隧道端点接口为 lo0.0,必须可通过底层路由协议访问。路由识别符必须在网络中的所有交换机中是唯一的,以确保 MP-BGP 叠加网络中的所有路由通告都是全局唯一的。QFX 系列交换机上的 VRF 表目标至少是交换机发送到所有 ESI(Type-1)路由的社区。该vrf-import vrf-imp语句定义目标社区列表,该列表从表导入到实例中bgp.evpn.0default-switch.evpn.0

  7. 配置 VRF 表导入策略。

  8. 配置相关社区。

  9. 配置扩展虚拟网络标识符 (VNI) 列表以建立要成为 EVPN 域一部分的 VNI。您还可以配置入口复制;在 EVPN-VXLAN 中,入口复制用于处理组播,而无需支持组播的底层。在 vni-routing-options下为每个 VXLAN 网络标识符实例指定了不同的路由目标。

  10. 将本地显著的 VLAN ID 映射到具有全局意义的 VXLAN 网络标识符。

  11. 配置支持 EVPN 的 IBGP 叠加会话。

    注意:

    某些 IP 交换矩阵使用基于 EBGP 的 EVPN-VXLAN 叠加。有关同时将 EBGP 用于底层和叠加层的 IP 交换矩阵的示例,请参阅 示例:使用任播网关配置 EVPN-VXLAN 边缘路由桥接交换矩阵。请注意,叠加选择 EBGP 与 IBGP 不会影响交换矩阵架构。CRB 和边缘路由桥接 (ERB) 设计均支持任一叠加类型。

  12. 配置交换矩阵接口。

  13. 配置接入接口。再次注意,我们演示了用于服务器连接的接入接口和中继接口的混合。

  14. 配置支持 LACP 的 LAG 接口。ESI 值在整个 EVPN 域中是全局唯一的。该 all-active 配置语句可确保此多宿主租户连接到的所有 PE 路由器都可以转发来自 CE 设备的流量,从而将主动使用所有 CE 链路。

  15. 配置环路接口地址。

配置主干-1

分步过程

下面的示例要求您在各个配置层级中进行导航。有关 CLI 导航的信息,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

注意:

配置主干 2 的步骤与主干 1 类似,因此我们将只显示主干 1 的分步过程。

要配置主干 1,请执行以下操作:

  1. 设置系统主机名。

  2. 配置路由选项。

  3. 配置负载平衡策略。

  4. 使用与叶设备和核心设备对等互连来配置 EBGP 底层。 lo0 在此步骤中应用播发 lo0 地址的策略;策略本身的配置将在下一步中显示。

  5. 配置名为 lo0 播发 /32 路由的策略。策略在环路地址上匹配,不指定任何特定 IP。这样,同一策略即可在任何交换矩阵设备上重复使用。

配置 Core-1

分步过程

下面的示例要求您在各个配置层级中进行导航。有关 CLI 导航的信息,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器

注意:

配置 Core-2 的步骤与 Core-1 类似,因此我们只会显示 Core-1 的分步过程。

要配置 Core-1:

  1. 设置系统主机名。

  2. 配置路由选项。 load-balance 在此步骤中应用策略。在下一步中创建策略

  3. 配置名为 load-balance的负载平衡策略。

  4. 配置 BGP 底层对等互连。 lo0 在此步骤中应用播发环路地址的策略。您将在下一步中配置此策略。

  5. 配置名为 lo0 以通告环路由的策略。

  6. Core-1 的很大一部分配置发生在层次结构中 [routing-instance] 。配置虚拟路由器,并为每个虚拟交换机配置唯一的 VRF 表导入策略。

  7. 为每个路由实例配置策略。

  8. 配置社区。确保 comm-leaf 策略接受使用目标 65000:1 标记的路由。这可以确保所有虚拟交换机从所有叶导入 Type-1 ESI 路由。

  9. 配置 IRB 接口。每个 IRB 都有一个虚拟网关地址,这是核心 1 和核心 2 之间共享的 MAC 地址和 IP 地址。

  10. 配置面向叶 1 和叶 2 的 IBGP 叠加会话。我们在核心设备之间提供了对等互连,以便在核心设备之间共享路由。

验证

验证单宿主 CE 设备的 MAC 可访问性(叶 1)

目的

验证 MAC 对 Tenant_A 的可访问性。此用户单宿主到 Leaf-1。首先,验证是否在叶 1 上本地学习了 MAC 地址。叶 1 只有在学习了 MAC 地址后才会生成 2 类 EVPN 路由。

行动

验证是否在叶 1 上本地学习了 MAC 地址。

意义

输出显示已成功从 Tenant_A CE 设备(即 xe-0/0/3.0 接口上的服务器 A)获知 MAC 56:04:15:00:bb:02。

验证单宿主 CE 设备 (Type-2) 的 MAC 可访问性

目的

验证单宿主 CE 设备 (Type-2) 的 MAC 可访问性

行动

验证生成到 Core-1 的 Type-2 路由。

意义

输出显示正在播发 MAC 和 MAC/IP。

在 Core-1 上,接收 EVPN Type-2 路由 bgp.evpn.0

输出显示 56:04:15:00:bb:02 的 Type-2 路由。路由区分符来自 Leaf-1,设置为 10.1.255.111:1。

验证导入的路由

目的

验证是否已导入 EVPN Type-2 路由。

行动

在 Core-1 上,验证 EVPN Type-2 路由是否已成功从 bgp.evpn.0 表导入到 EVPN 交换机实例中。

意义

输出显示,在 Tenant_A 的虚拟交换机中,EVPN Type-2 路由使用正确的目标 target:1:101 进行播发。 extensive 使用选项更详细地查看 Type-2 路由。

输出显示 Core-1 接收两个副本。第一个是来自 Leaf-1 的广告(来源:10.1.255.111)。第二个是来自 Core-2 的广告(来源:10.1.255.2)。

验证第 2 层地址学习守护程序副本

目的

验证第 2 层地址学习守护程序副本。

行动

输入 show bridge-mac table 命令,验证第 2 层地址学习守护程序副本。

意义

输出显示 56:04:15:00:bb:02 可通过叶 1 的 vtep.32771 逻辑接口访问。

注意:

在 EX9200 交换机上,命令 show ethernet-switching table-instance instance-nameshow bridge mac-table instance instance-name 此处用于 MX 系列路由器的命令相对应

验证内核级转发表

目的

验证内核级转转发表、下一跳标识符以及第 2 层 MAC 表和硬件。

行动

查询内核级转转发表,将索引下一跳标识符与正确的虚拟网络标识符相关联,并查看第 2 层 MAC 表和硬件。

意义

Tenant_A 的 MAC 56:04:15:00:bb:02 可通过索引 687 访问。

将索引 687 (NH-ID) 与正确的虚拟网络标识符 101 和 10.1.255.111 的远程 VTEP-ID 相关联。

注意:

在 EX9200 交换机上,命令 show ethernet-switchingshow l2-learning 此处适用于 MX 系列路由器的命令 show 相对应。

验证多宿主 CE 设备的 MAC 可访问性

目的

验证叶 1 和叶 2 上多宿主 Tenant_B CE 设备的 MAC 可访问性。

行动

验证叶 1 和叶 2 是否正在向多宿主 CE 设备通告 Type-1 和 Type-2 可访问性。

意义

输出显示 2c:6b:f5:43:12:c0 表示连接到叶 1 和叶 2 的Tenant_B的 MAC。

验证多宿主 CE 设备的 EVPN、第 2 层地址学习守护程序和内核转发表

目的

验证租户 B 的 EVPN 表、核心 1 的第 2 层地址学习守护程序表和内核转发表。

行动

在 Core-1 中,显示租户 B 的 EVPN 表。

显示 Core-1 的第 2 层地址学习守护程序表。

注意:

在 EX9200 交换机上,命令 show ethernet-switching table-instance instance-name 与此处适用于 MX 系列路由器的命令 show bridge mac-table instance instance-name show 相对应

显示 Core-1 的内核转发表。

意义

对于 Tenant_B CE 设备,ESI 列出了四种不同的路由: 00:01:01:01:01:01:01:01:01:

  • 1:10.1.255.111:0::010101010101010101::FFFF:FFFF/192 AD/ESI

    此每以太网分段 A-D Type-1 EVPN 路由源自叶 1。路由识别符是从全局级 routing-options获得的。Core-1 接收源自 Leaf-1 的 Type-1 路由,该路由来自 Leaf-1 和 Leaf-2。

  • 1:10.1.255.111:1::010101010101010101::0/192 AD/EVI

    这是按 EVI A-D Type-1 EVPN 路由。路由识别符是从路由实例获取的,如果是 QFX5100,则为 switch-options.Core-1 接收源自 Leaf-1 的 Type-1 路由,该路由来自 Leaf-1 和 Leaf-2。

  • 1:10.1.255.112:0::010101010101010101::FFFF:FFFF/192 AD/ESI

    这是源自叶 2 的每以太网段 A-D Type-1 EVPN 路由。路由识别符是从全局级 routing-options获得的。Core-1 接收源自 Leaf-2 的 Type-1 路由,该路由来自 Leaf-2 和 Leaf-1。

  • 1:10.1.255.112:1::010101010101010101::0/192 AD/EVI

    这是按 EVI A-D Type-1 EVPN 路由。路由识别符是从路由实例获取的,如果是 QFX5100, switch-options则为 。Core-1 接收源自 Leaf-2 的 Type-1 路由,该路由来自 Leaf-2 和 Leaf-1。

与Tenant_B多宿主 CE 设备关联的两个物理 MAC 和一个虚拟 MAC 的 Type-2 路由按预期发出。

从输出中,我们还无法确定用于转发到 ESI 的 VTEP 00:01:01:01:01:01:01:01:01:01:01:01。要确定 VTEPS,请显示 VXLAN 隧道端点 ESI。

注意:

在 EX9200 交换机上,命令 show ethernet-switchingshow l2-learning 此处适用于 MX 系列路由器的命令 show 相对应。

输出显示了此 ESI 上 MAC 地址对叶 1 和叶 2 的 VTEP 接口上的主动负载平衡,这将验证叶 1 和叶 2 上的全活动配置。

相关主题