园区交换矩阵核心分布高级架构
采用 EVPN-VXLAN 架构的园区交换矩阵可将叠加网络与底层网络分离。此方法允许网络管理员跨一个或多个 L3 网络创建逻辑 L2 网络,从而满足现代企业网络的需求。通过配置不同的路由实例,可以强制分离虚拟网络,因为每个路由实例都有自己单独的路由和交换表。
借助 Mist UI 工作流程,可以轻松创建园区交换矩阵。
园区交换矩阵核心分布 CRB 组件
此配置示例使用以下设备:
- 两台 EX9204 交换机作为核心设备,软件版本:Junos OS 21.4R1.12 或更高版本
- 两台 QFX5120 交换机作为分配设备,软件版本:Junos OS 21.4R1.12 或更高版本
- 双接入层 EX4400 交换机,软件版本:Junos OS 22.1R1.10 或更高版本
- 一台 SRX345 WAN 路由器,软件版本:Junos OS 20.2R3-S2.5 或更高版本
- 瞻博网络接入点
- 两个充当有线客户端的 Linux 桌面
瞻博网络推荐的园区交换矩阵 IP 核分布式 CRB 软件版本位于 EVPN/VXLAN ERB 部分,网址为: https://supportportal.juniper.net/s/article/Junos-Software-Versions-Suggested-Releases-to-Consider-and-Evaluate?language=en_US。
瞻博网络 Mist Wired Assurance
Wired Assurance 通过 Mist UI 可用于集中管理所有瞻博网络交换机。瞻博网络 Mist Wired Assurance 可让您全面了解构成网络接入层的设备。瞻博网络 Mist 门户提供了一个用户界面,允许您使用瞻博网络 Mist 帐户通过人工智能驱动的云服务访问您的架构。您可以在有线网络上监控、衡量关键合规性指标并获取警报。这包括交换机版本和以太网供电 (PoE) 合规性、交换机接入点关联性以及虚拟 LAN (VLAN) 洞察。
将瞻博网络交换机接入 Mist 云:
Wired Assurance 通过 Mist UI 用于从头开始构建园区交换矩阵核心分布 CRB。这包括以下内容:
- 在核心层和分布层之间分配 p2p 链路。
- 为参与底层和叠加网络的设备分配唯一的 BGP AS 编号。
- 创建虚拟路由和转发 (VRF) 实例允许您对流量进行逻辑分段。这还包括将新的或现有的 VLAN 分配给每个具有代表性的 VRF。
- 分配给分布层的每个 L3 网关集成路由和桥接 (IRB) 的 IP 寻址。
- 每个 lo0.0 环路的 IP 寻址。
- 为底层和叠加网络连接配置路由策略。
- 优化了 p2p 底层、L3 IRB 和 ESI-LAG 束的最大传输单元 (MTU) 设置。
- 可下载的连接表(.csv 格式),可供参与园区交换矩阵物理构建的人员使用。
- 图形界面,描述具有 BGP 对等和物理链路状态的所有设备。
有关瞻博网络 Mist Wired Assurance 的更多信息,请参阅: https://www.mist.com/documentation/category/wired-assurance/
瞻博网络 Mist 有线保证交换机
您必须验证参与园区交换矩阵的每台设备是否已被采用或声明并已分配给站点。交换机以交换矩阵中的各层命名,以便于构建和操作交换矩阵。
模板概述
通过瞻博网络 Mist 云进行交换机管理的一个关键功能是使用模板和分层模型对交换机进行分组并进行批量更新。模板提供了统一性和便利性,而层次结构(站点和交换机)则提供了规模和粒度。
模板和分层模型意味着您可以创建模板配置,然后每个组中的所有设备都将继承模板设置。发生冲突时,例如,当“站点”和“组织”级别存在适用于同一设备的设置时,较窄的设置(在本例中为“站点”)将覆盖在组织级别定义的较宽设置。
位于层次结构底部的各个交换机可以继承在组织级别定义的全部或部分配置,并再次继承在站点级别定义的配置。当然,单个交换机也可以有自己独特的配置。
您可以在层次结构的任何级别添加单独的命令行界面 (CLI) 命令,然后以“AND”的方式将这些命令附加到该组中的所有交换机,也就是说,将各个 CLI 设置追加到现有配置中(现有设置可能会被替换或追加)。
如果对非 Mist UI 本机的项目运行 CLI 命令,则最后应用此配置数据;覆盖同一节中的现有配置数据。您可以从交换机模板或单个交换机配置访问 CLI 命令选项。
在“组织和交换机模板”下,我们使用以下模板。
拓扑
Wired Assurance 可提供每个核心和分布式设备的 LAN 和环路 IP 寻址模板,前提是可以访问设备的管理 IP 地址。每台设备都预配了一个 /32 环路地址和 /31 点对点接口,用于互连园区交换矩阵核心分布中的核心和分布式设备。交换机接入层等设备使用标准LAG连接到分布层;而发行版则以多宿主、负载平衡的方式使用 ESI-LAG。
WAN 路由器可以通过 Mist UI 进行调配,但与园区交换矩阵工作流程是分开的。WAN 路由器具有配置为连接到核心交换机上的 ESI-LAG 的南向 LAG。WAN 路由器可以是独立的,也可以构建为高可用性群集。在本文档中,单个 SRX 系列防火墙用作 WAN 路由器。
创建园区交换矩阵
从 Mist UI 左侧部分的组织选项中,选择 有线园区交换矩阵。
Mist 提供了在组织或站点级别部署园区交换矩阵的选项,详见左上角的“园区交换矩阵”菜单,如下所示。例如,如果要构建包含多个建筑物的园区范围体系结构,每个建筑物都容纳分布和接入交换机,则可以考虑构建组织级别的园区交换矩阵。这种园区结构将每个站点连接在一起,形成一个整体的园区结构。否则,使用一组核心、分布和接入交换机进行站点构建就足够了。
园区交换矩阵组织构建
园区交换矩阵站点构建
园区交换矩阵站点部署是本文档的重点。
选择园区交换矩阵拓扑
选择 园区交换矩阵核心分布:
Mist 提供了一个部分来命名园区交换矩阵核心分布 CRB:
- 配置 - 提供符合公司标准的名称
- 拓扑子类型:
- Crb
- 再培训局
- 虚拟网关 v4 MAC 地址
- 只适用于CRB
- Mist 为每个 L3 IRB 提供唯一的 MAC 地址
CRB 使用虚拟网关寻址,在参与 L3 IRB 的所有设备之间提供共享 IP 地址,以及 IRB/VLAN 中每个设备的唯一 IP 地址。需要在 L3 IRB 上使用路由协议的部署必须将 CRB 与虚拟网关寻址配合使用。注意:如果 CRB 的大多数流量模式为南北向,则必须选择 CRB;如果存在东西向流量模式以及 IP 组播,则应选择 ERB。
拓扑设置
- BGP 本地 AS:表示为每个设备自动分配的专用 BGP AS 编号的起点。您可以使用适合您的部署的任何专用 BGP AS 编号范围,路由策略由 Mist 调配,以确保 AS 编号永远不会在交换矩阵外部播发。
- 环路前缀:表示与每个设备的环路地址关联的 IP 地址范围。您可以使用适合您的部署的任何范围。使用 VTEP 的 VXAN 隧道与此地址相关联。
- 子网:表示用于设备之间点对点链路的 IP 地址范围。您可以使用适合您的部署的任何范围。Mist 将此子网分成每个链路的 /31 子网寻址。可以修改此数字以适应特定的部署规模。例如,/24 最多提供 128 个 p2p /31 子网。
建议对所有选项进行默认设置,除非它与连接到园区交换矩阵的其他网络冲突。核心层和分布层之间的点-点链路使用 /31 寻址来保留地址。
选择园区交换矩阵节点
选择要参与园区交换矩阵核心分布 CRB 每一层的设备。我们建议您在创建园区交换矩阵之前,验证每台设备在站点交换机清单中的是否存在。
下一步是将交换机分配给层。由于交换机是相对于目标层功能命名的,因此可以快速将它们分配给其角色。
服务块路由器是园区交换矩阵互连外部设备(如防火墙、路由器或关键设备)的地方。例如,DHCP 和 Radius 服务器。外部服务连接到园区交换矩阵的设备称为边界叶。如果要将这些服务/设备连接到单独设备或设备对中的园区交换矩阵核心分布 CRB,请清除“使用核心作为边框”选项,然后选择“选择交换机”选项以选择设备。
将服务块路由器放置在一对专用交换机(或单个交换机)上,可以减轻核心层对 VXLAN 标头的封装和解封装。如果要在核心设备中组合此功能,则必须选择“用户核心作为边界”选项。
所有层都选择了适当的设备后,必须为每个设备提供一个环路 IP 地址。此环路与称为 VTEP 的逻辑结构相关联;用于获取 VXLAN 隧道。园区交换矩阵核心分布 启用核心边界选项时,CRB 在分布式交换机和核心交换机上具有用于 VXLAN 隧道的 VTEP。
环路地址和路由器 ID 应位于同一地址空间中。可以自定义环路的路由器 ID,以区分核心、分布和接入。如果要进行故障排除或遵循下一跃点,这有助于识别设备。环路也用作路由器 ID,用于叠加 eBGP 对等互连和 VXLAN 隧道终止。
环路地址和路由器 ID 应位于 Mist 提供的同一子网中。
环路前缀用于导入/导出策略。子网地址用于整个结构中的点对点链路。Mist 会自动创建用于导入和导出园区交换矩阵内使用的环路地址的策略。所选的织物类型以默认设置显示,可根据需要进行调整。
配置网络
输入网络信息,例如 VLAN 和 VRF(用于流量隔离目的的路由实例)选项。VLAN 映射到 VNI,也可以选择映射到 VRF,为您提供一种在逻辑上将流量模式(如物联网设备)与公司 IT 分开的方法。
网络
可以在此部分下创建或导入 VLAN,包括每个 VLAN 的 IP 子网和默认 GW。
园区交换矩阵模板的“共享元素”部分包括上面提到的创建 VLAN 的网络部分。
返回园区交换矩阵构建,选择包含 L2 VLAN 信息的现有模板。所有 VLAN 和 IP 信息都继承自模板。
其他 IP 配置
Mist Wired Assurance 为每个 VLAN 提供自动 IP 寻址集成路由和桥接 (IRB)。然后,端口配置文件和端口配置将 VLAN 与指定的端口相关联。在本例中,我们在园区交换矩阵构建之初选择了园区交换矩阵 CRB。
此选项对参与 L3 子网的所有设备使用虚拟网关寻址。Core1 和 Core2 交换机为每个 L3 子网配置了共享 IP 地址。此地址在两个核心交换机之间共享,并充当 VLAN 中所有设备的默认网关。每个核心设备还会收到一个由 Mist 选择的唯一 IP 地址。所有地址都可以根据客户要求进行管理。Mist 从每个子网的开头开始为 Core1/2 分配 IP 地址,最终用户可以相应地修改这些 IP 地址。例如,此部署使用 x.x.x.1 作为每个 VLAN 的默认网关,使用 x.x.x.254 作为离开 VLAN 的所有流量的最后网关(在本例中为 MX 路由器)。因此,我们将分配给 Core1 的 IP 地址从 x.x.x.1 修改为 x.x.x.3,允许虚拟网关对所有 VLAN 使用 x.x.x.1。
默认情况下,所有 VLAN 都放置在默认 VRF 中。VRF 选项允许您根据流量隔离要求将常见 VLAN 分组到同一 VRF 或单独的 VRF 中。此示例包括三个 VRF 或路由实例:corp-it |开发人员 |访客无线网络。在这里,您将构建第一个整体 VRF 并选择预定义的 VLAN 1099。
默认情况下,园区交换矩阵内不支持 VRF 间通信。如果需要 VRF 间通信,则每个 VRF 可以包含额外的路由,例如指示园区交换矩阵使用外部路由器或防火墙进行进一步安全检查或路由功能的默认路由。在此示例中,所有流量都通过 ESI-LAG 进行中继,瞻博网络 SRX 系列防火墙处理 VRF 间路由。参见图 1 。
请注意,SRX 系列防火墙参与园区交换矩阵中定义的 VLAN,是离开子网的所有流量的最后网关。选择 添加额外路由 以通知 Mist 转发离开 10.99.99.0/24 的所有流量,以使用瞻博网络 SRX 系列防火墙的下一跃点:10.99.99.254。
创建另外两个 VRF:
- 使用 VLAN 1088 和 0.0.0.0/0 利用 10.88.88.254 的开发人员
- 使用 VLAN 1033 和 0.0.0.0/0 利用 10.33.33.254 的访客 WiFi
“配置网络”部分的最后一步是“分发/访问端口配置”。
该分段配置分布交换机和接入交换机之间的主动-主动 ESI-LAG 中继。在这里,我们命名端口配置并包括与此配置关联的 VLAN。高级选项卡提供了其他配置选项:
除非需要特定要求,否则我们建议使用默认设置。
现在,所有 VLAN 都已配置并分配给每个 VRF,并且分布/接入 ESI-LAG 也已构建完毕,请单击 Mist UI 右上角的“继续”按钮以转到下一步。
配置园区交换矩阵端口
最后一步是在核心交换机、分布式交换机和接入交换机中选择物理端口。
我们建议您从每台交换机输出 show lldp neighbors 命令(假设在选择交换机之前启用了 LLDP)。此输出提供了在每一层选择哪些端口的事实来源。
核心交换机
核心1:
从 Core1 开始,分别选择在分布式交换机 1 和 2 上终止的 xe-1/0/5 和 xe-1/0/6。
核心2:
在 Core2 上,选择分别在分布式交换机 1 和 2 上终止的 xe-1/0/4 和 xe-1/0/5。
配电交换机
现在转到分布式交换机,您注意到存在两个互连选项:
- 链接到核心
- 访问链接
Dist1:
选择链接到核心,然后选择分别在核心交换机 1 和 2 上终止的 xe-0/0/5 和 xe-0/0/4。
选择接入链接,然后选择分别在接入交换机 1 和 2 上终止的 ge-0/0/36 和 ge-0/0/37。
接下来,从 Dist2 中选择以下互连:
- 链接到核心:
- xe-0/0/6 – 核心1
- xe-0/0/5 – 核心2
- 访问链接:
- ge-0/0/36 – 访问2
- ge-0/0/37 – 访问1
接入交换机
您只需要知道哪些接口用于与分布式交换机互连,而不需要知道具体的映射。系统通过 AE 索引选项将所有接口捆绑到单个以太网捆绑包中。这大大简化了每个接入交换机的物理端口构建。
交通1/2:
选择上行链路和接口速度,同时允许 Mist 定义每个 AE 索引。在这种情况下,上行链路 ge-0/0/36/37 将分别选为接入交换机上的分布式链路和 Access1/2 上的 AE 索引 0/1(系统默认编号)。
选择完所有必需的端口组合后,选择 Mist UI 右上角的“继续”按钮。
园区交换矩阵配置确认
最后一部分提供了确认每个设备配置的功能,如下所示:
完成验证后,选择 Mist UI 右上角的“应用更改”选项。
必须完成第二阶段确认才能创建交换矩阵。
Mist 显示以下横幅,其中包括构建园区交换矩阵的估计时间。该过程包括以下内容:
- Mist 使用从构建开始时显示的范围中选择的 IP 地址,在分发设备和核心设备之间构建点对点接口。
- 每个设备都配置了一个环路地址,该地址来自构建开始时显示的范围。
- eBGP 在每台设备上配置了唯一的 BGP 自治系统编号。底层网络的主要目标是利用 ECMP 在每个数据包级别对流量进行负载平衡,以实现设备环回可达性。eBGP 叠加网络的主要目标是支持 EVPN-VXLAN 的客户流量。
- 位于核心 1 和核心 2 上的每个 L3 网关 IRB 的 IP 寻址。
- 每个 lo0.0 环路的 IP 寻址。
- 为底层和叠加网络连接配置路由策略。
- 优化了 p2p 底层、L3 IRB 和 ESI-LAG 捆绑包的 MTU 设置。
- 使用自动分配的 VNI 地址进行 VXLAN 到 VLAN 映射
- VRF 创建与每个 VRF 关联的公司、开发人员、访客 wifi 和 VLAN。
- 在分布式设备和分布核心设备之间创建 VXLAN 隧道(以支持后续步骤中配置的北向 SRX 系列防火墙)。
- 可下载的连接表(.csv 格式),可供参与园区交换矩阵物理构建的人员使用。
- 图形界面,描述具有 BGP 对等和物理链路状态的所有设备。
单击关闭园区交换矩阵配置后,您可以查看新创建的园区交换矩阵核心分布 CRB 的摘要。
借助瞻博网络 Mist Wired Assurance,您可以下载代表园区交换矩阵物理布局的连接表(.csv 格式)。这可用于验证参与物理园区交换矩阵构建的用户的所有交换机互连。园区交换矩阵构建成功或正在构建过程中,可以下载连接表。
连接表电子表格:
将 VLAN 应用于接入端口
如前所述,Mist 提供了模板化已知服务(如 Radius、NTP、DNS 等)的能力,这些服务可在站点内的所有设备上使用。这些模板还可以包括可针对站点内每台设备的 VLAN 和端口配置文件。验证前的最后一步是将 VLAN 与每台接入交换机上的必要端口相关联。
在这种情况下,桌面 1/2 与每个接入交换机上的不同端口相关联,这需要将配置分别应用于 Access1/2。参见图 1 。
同样值得注意的是,Mist 接入点连接到 Access1/2 上的同一端口,允许使用此配置自定义交换机模板。例如,在“交换机模板”选项下找到的以下内容经过自定义,可将每台交换机与其角色相关联:核心、分布和接入。此外,所有接入交换机(例如由 EX4400 交换机定义)都将接入点端口配置文件与 ge-0/0/16 相关联,而无需配置每台独立交换机。
以 Access1 为例,我们将 vlan1099 应用于 Access1 上端口配置部分下的端口 ge-0/0/11。在此示例中,交换机模板中定义了 vlan1099 (corp-it)、vlan1088(开发人员)和 vlan1033(guest-wifi)。此处,在配置文件下选择了 vlan1099。
vlan1099 的交换机模板定义如下所示,表示与 VLAN 关联的属性,例如 dot1x 身份验证、QoS 和以太网供电 (PoE)。Vlan1088 和 vlan1033 需要以类似的方式进行配置。
