Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

典型网络用例

不同的网络拓扑结构支持 GBP。

我们在 IPv4 和 IPv6 叠加网络以及 IPv4(以及从 Junos OS 25.4R1 版开始的 IPv6)底层网络上的不同拓扑结构上支持 GBP。无论您是部署大型园区网络,还是部署分支机构或小型园区网络,您都可以使用 GBP 提供通用的微分段解决方案。

大型园区网络中的 GBP

大型园区网络通常以 IP Clos 交换矩阵的形式构建,包括接入层、分布层,在最大的部署中还包括一个不同的核心层。这种布置允许在最终用户设备之间实现大规模、无阻塞的连接。与 EVPN-VXLAN 等叠加技术搭配使用时,您可以在不受物理位置限制的情况下,将第 2 层连接扩展到整个园区,同时限制过度广播和泛洪。

EVPN-VXLAN 通过将虚拟(叠加)拓扑与物理(底层)拓扑分离,为您的网络提供可扩展性和灵活性。这降低了运维开销和部署时间,并提高了可移植性。IP Clos 交换矩阵提供物理任意到任意连接,而 EVPN-VXLAN 网络控制最终用户设备之间的虚拟连接。更具体地说,在微分段的环境中,EVPN-VXLAN 允许您扩展基于组的策略 (GBP),以在整个园区网络中提供微分段。

接入交换机充当 VXLAN 隧道端点 (VTEP)。在入口时,来自接入链路的数据包封装在 VXLAN 中,并通过相应的隧道进行转发。出口时,从 VTEP 发出的数据包将被解封装并通过接入链路发送出。

作为 VTEP 的宿主,接入交换机完全可以支持使用 GBP 的微分段。接入交换机对传入数据包进行分类以获取 GBP 标记,并将此标记插入 VXLAN 标头中,然后再通过相应隧道转发 VXLAN 封装帧。隧道远程端的接入交换机解封装 VXLAN 封装帧并提取标记。然后,远程访问交换机就可以使用本地和远程标记来实施策略。

图 1 所示。

图 1:大型园区 IP Clos 网络 Large Campus IP Clos Network

这种类型的架构非常适合大型园区站点。通过将所有策略实施委托给接入交换机,您可以大规模支持第 2 层/第 3 层分段。您可以在高度可扩展的 EVPN-VXLAN 基础架构上享受功能齐全的 GBP 微分段解决方案的优势。

虽然您可以使用 CLI 或 RADIUS 身份验证配置标记分配,但使用 RADIUS 身份验证是大型网络的首选方法。使用 RADIUS,您不需要像 CLI 那样事先了解客户端网络配置。您只需配置 RADIUS 服务器,为每个客户端提供所需的 GBP 标记。作为身份验证的一部分,标记在特殊的供应商特定属性 (VSA) 中传达,与支持 VSA 的任何 RADIUS 服务器兼容。有关用于 GBP 配置的 VSA 的更多信息,请参阅使用 RADIUS 分配标记

使用 RADIUS 分配标记时,需要考虑两种情况:

  • 客户端设备直接连接到接入交换机。在这种情况下,接入交换机充当验证方并处理进出身份验证服务器的 RADIUS 消息。因此,接入交换机可以从身份验证服务器的响应中提取分配的 GBP 标记,并在交换机本地自动进行配置。

  • 客户端设备连接到无线接入点(接入点)。然后,无线接入点连接到接入交换机。在这种情况下,我们可以像对接入点直接连接到接入交换机的客户端设备一样对其进行身份验证。但是,这仅在接入点级别提供身份验证(和 GBP 标记分配),这意味着接入点的所有无线客户端都经过身份验证并组合在一起。

    为了提供精确到客户端级别的粒度,我们必须在客户端级别执行身份验证并分配 GBP 标记。为此,无线接入点必须充当验证方,而非接入交换机。作为验证方,无线接入点知道分配给其每个客户端的 GBP 标记,但需要一种方法将此标记传送至上游接入交换机。

    从 Junos OS 25.4R1 版开始,如果无线接入点是 Mist 接入点,则 Mist 接入点可以使用专用消息传递将分配的 GBP 标记传送到上游接入交换机。收到此通知后,接入交换机会像在本地配置或学习一样配置分配的标记。有关此方案的详细信息,请参阅 统一访问策略

分支机构和小型园区网络中的 GBP

分支机构或小型园区环境可能没有运行完整 EVPN-VXLAN 实施的基础架构。网络可以仅由在一组第 2 层交换机上运行的 VLAN 组成。幸运的是,这并不妨碍您使用瞻博网络的 GBP 解决方案来对网络进行分段。从 Junos OS 25.4R1 版开始,瞻博网络的 GBP 解决方案可以在这种类型的纯第 2 层环境中运行(有一些限制)。

图 2 显示了通过 WAN 路由器连接到外部网络的第 2 层接入交换机。您可以将接入交换机配置为基于第 2 层字段分配 GBP 标记。由于没有 VXLAN 封装或 EVPN 信令,因此分配的 GBP 标记不会通过网络传播。因此,策略实施完全是在入口处使用本地可用的第 2 层和第 3 层信息来执行的。

即使存在这种限制,在这样的小型网络中使用 GBP 对流量进行分段的能力仍能提供许多与完整 GBP 解决方案相同的优势:作简单、策略应用一致以及高度可扩展性。

图 2:第 2 层分支机构网络 GBP in Layer 2 Branch Network中的 GBP

与大型园区网络中的 GBP 类似,您可以使用 CLI 或 RADIUS 身份验证配置标记分配。

注意:

对于此用例,您可以使用 CLI 配置的 GBP 微分段过滤器有限制。有关更多详细信息,请参阅 使用 GBP 纯 L2 配置文件

使用 RADIUS 身份验证时,行为与大型园区网络相同:

  • 接入交换机充当有线用户的身份验证器,并在有线用户通过身份验证时自动配置标记分配。

  • Mist 接入点充当无线用户的身份验证器,并使用专用消息通知接入交换机标签分配。收到此通知后,接入交换机会将标记分配配置到其 MAC 地址表和内部数据结构中。

有关在分支机构和小型园区网络中部署 GBP 的详细信息,请参阅 统一访问策略