验证
验证园区交换矩阵核心分布 CRB 部署。参见图 1 。目前,有两个桌面用于验证交换矩阵。让我们快速浏览一下 Desktop1 是否可以在内部和外部连接。
验证步骤:
- 已确认在桌面 1 上配置了本地 IP 地址、VLAN 和默认网关。
- 可以ping默认网关 – 表示我们可以访问接入交换机。
- Ping 到 WAN 路由器失败 (10.99.99.254) – 我们需要进行故障排除。
首先在 Mist UI 中验证园区交换矩阵,方法是选择 UI 左侧“组织”选项卡下的“园区交换矩阵”选项。
此处支持对园区交换矩阵内每台设备的远程 shell 访问,以及以下功能的可视化表示:
- BGP 对等建立
- 逐个链路传输/接收流量
- 来自验证物理构建的每个设备的遥测数据,例如 LLDP
BGP 底层用途
验证核心层和分布层之间的 eBGP 状态对于 EVPN VXLAN 按预期运行至关重要。每层之间的这种点对点链路网络支持:
- 使用 ECMP 实现负载平衡,以提高弹性和带宽效率。
- BFD,双向转发,用于减少故障期间的收敛时间。
- 支持 VXLAN 隧道的环路可达性。
无需在每一层进行验证,重点可以放在 Dist1/2 及其与 Core1/2 的 eBGP 关系上。如果两台分布交换机都与两台核心交换机“建立”了 eBGP 对等会话,则可以进入下一验证阶段。
行动
验证是否通过分布式设备从核心设备建立 BGP 会话,以确保环回可达性、bfd 会话状态以及使用 ECMP 的负载平衡。
操作数据可以通过 Mist UI 的园区交换矩阵部分或使用外部应用程序(如 SecureCRT 或 Putty)进行收集。
验证 BGP 对等互连
Dist1:
通过园区交换矩阵右下角、交换机视图或通过安全外壳 (SSH) 访问远程外壳。
从 BGP 摘要中,我们可以看到底层 (10.255.240.X) 对等关系已建立,表示底层链路已连接到正确的设备,并且链路已启动。
它还显示已建立叠加 (192.168.255.x) 关系,并且它正在对等正确的环路地址。这演示了环回可访问性。
我们还可以看到收到的路由;建立的时间大致相等,到目前为止看起来不错。
如果未建立 BGP,请返回并验证底层链路和寻址,以及环路地址是否正确。环路地址应可从其他环路地址 ping 通。
可以在任何其他交换机(未显示)上执行 BGP 连接的验证。
底层 eBGP 的主要目标是在园区交换矩阵中的核心和分布式设备之间提供环回可达性。此环路用于终止设备之间的 VXLAN 隧道。下面显示了从 Dist1 到园区交换矩阵中所有设备的环回可达性:
eBGP 会话在园区交换矩阵的核心分布层之间建立。核心设备和分布式设备之间的环回可达性也得到了验证。
让我们验证是否已跨多个路径建立到核心设备和其他设备的路由。例如,Dist1 应利用通过 Core1/2 的两条路径来到达 Dist2,反之亦然。
Dist1:通过 Core1/2 到 Dist2 的 ECMP 环路可达性
Dist2:通过 Dist1 到 Core1/2 实现的 ECMP 环路可达性
可以对 Core1/2 重复此操作,以验证 ECMP 负载平衡。
最后,我们验证 BFD 在链路或设备故障时能否实现快速收敛:
意义:此时,BGP 底层和叠加层通过验证园区交换矩阵相应层之间的 eBGP 以及在核心层和分布层之间建立环路路由来运行。
核心交换机和分布式交换机之间的 EVPN VXLAN 验证
由于桌面可以 ping 其默认网关,因此我们可以假设以太网交换表已正确填充,VLAN 和接口模式正确。如果对默认网关执行 ping 操作失败,则排除底层网络连接故障。
验证两个核心交换机上的 EVPN 数据库
核心1:
核心2:
两个核心交换机具有相同的 EVPN 数据库,这是预期的。请注意每个核心交换机中存在的桌面 1 (10.99.99.99) 和桌面 2 (10.88.88.88) 条目。这些条目是通过园区交换矩阵从 DIst1/2 之外的 ESI LAG 中学习的。
10.99.99.99 与 IRB.1099 相关联,我们看到 VNI 为 11099。我们只需仔细检查分布交换机和核心交换机上的 VLAN-VNI 映射,并验证核心上是否存在 L3。
区
核心
验证分布式交换机和核心交换机之间的 VXLAN 隧道
Dist1:
核心1:
最后,让我们验证 Core1 是否通过 MP-BGP 通过 Type2 EVPN 路由接收桌面 1 的 MAC 地址。
EVPN 数据库已在分布交换机和核心交换机之间建立的 Core1/2 和 VXLAN 隧道上得到确认。我们还验证了 Core1/2 的 EVPN 数据库中是否存在桌面 1/2。
接下来,我们验证桌面 1 的 MAC 地址是否已映射到 Core1 上的正确 VTEP 接口:
注意 桌面 1 的 MAC 地址 (52:54:00:74:a0:6f) 是通过两个 Dist1/2 交换机学习的。
现在,我们验证核心是否具有桌面 1 和桌面 2 的 MAC 和 ARP 条目:
从 EVPN-VLAN 的角度来看,一切都是正确的。这包括两个桌面地址都存在的事实再次验证了园区交换矩阵连接。也许我们找错地方了。让我们看一下核心路由器和WAN路由器之间的连接。
通过边界的外部园区交换矩阵连接 GW 核心 EX9204 交换机
请记住,您在园区交换矩阵核心分布部署期间选择在 EX9204 交换机上部署边界 GW 功能,如下所示:
Mist 使 EX9204 能够在园区交换矩阵内的 VXLAN 流量和用于外部连接的标准以太网交换(在本例中为 SRX 系列防火墙)之间进行转换。让我们验证核心交换机上的以太网分段标识符 (ESI) 状态。
我们必须配置 ESI-LAG,而 Mist 不会自动配置。在面向 WAN 路由器的核心交换机接口上添加端口配置文件。
以下是应用于面向 EX9204 端口的每个 SRX 系列防火墙的现有端口配置文件:
保存配置,然后验证核心交换机上的更改。
请注意,LACP 已启动,这推断 SRX 系列防火墙上存在现有配置。
然后确认 EVPN 数据库现在具有 ESI 条目。返回桌面 1,查看它是否可以穿过交换矩阵。
最后一步是验证桌面 1 是否可以 ping 桌面 2。
含义:园区交换矩阵内外的连接性已经过验证。桌面通过园区交换矩阵相互通信,每个桌面都在隔离的 VRF 中,然后通过两个 Core1/2 上的双宿主 ESI-LAG 转发到 SRX 系列防火墙,以便在 VRF 或路由实例之间进行路由。还从每个桌面验证了互联网连接。
EVPN 洞察
Mist Wired Assurance 使用 BGP 邻居状态和 TX/RX 端口统计信息等遥测技术,为您提供与园区交换矩阵核心分布 CRB 部署运行状况相关的实时状态。以下屏幕截图取自园区交换矩阵核心分布 CRB 构建,方法是访问 Mist 门户的组织/连线下的园区交换矩阵选项:
.png)
从此视图来看,Mist 还提供通过 Remote Shell 选项远程访问每个设备的控制台,并通过 Switch Insights 选项提供丰富的遥测数据。在本文档中演示了远程 Shell,在验证阶段显示每个设备的实时运行状态。
Dist1 的交换机分析显示历史遥测数据,包括对园区交换矩阵运行状况至关重要的 BGP 对等状态:
