解决方案架构 |瞻博网络

园区交换矩阵核心分布高级架构

园区交换矩阵采用 EVPN-VXLAN 架构，将叠加网络与底层网络分离开来。这种方法允许网络管理员在一个或多个第 3 层网络上创建逻辑第 2 层网络，从而满足现代企业网络的需求。通过配置不同的路由实例，可以强制分离虚拟网络，因为每个路由实例都有自己单独的路由和交换表。

借助 Mist UI 工作流程，可以轻松创建园区交换矩阵。

图 1：高级园区交换矩阵创建 Diagram Description automatically generated

底层网络

EVPN-VXLAN 交换矩阵架构使各园区和数据中心的网络基础架构变得简单且一致。所有核心设备和分布式设备都必须使用第 3 层基础架构相互连接。我们建议部署基于 Clos 的 IP 交换矩阵，以确保可预测的性能，并实现一致、可扩展的架构。

您可以使用任何第 3 层路由协议在核心设备和分布设备之间交换环路地址。BGP 具有更好的前缀过滤、流量工程和路由标记等优势。在此示例中，Mist 将 eBGP 配置为底层路由协议。Mist 会自动为园区交换矩阵的底层和叠加层配置专用自治系统编号和所有 BGP 配置。有一些选项可提供额外的 BGP 发送方，以便与外部 BGP 对等方对等。

底层 BGP 用于从对等方学习环路地址，以便叠加 BGP 可以使用环路地址建立邻接方。然后，叠加层可用于交换 EVPN 路由。

图 2：在核心层和分布层之间使用 /31 寻址的 PT-PT 链路 Diagram Description automatically generated

网络叠加实现独立于物理网络的连接和寻址。以太网帧封装在 IP UDP 数据报中，这些数据报被封装到 IP 中，以便通过底层进行传输。VXLAN 使第 2 层虚拟子网或 VLAN 能够跨越底层物理第 3 层网络。

在 VXLAN 叠加网络中，每个第 2 层子网或分段都由虚拟网络标识符（VNI）唯一标识。VNI 与 VLAN ID 对流量进行分段的方式相同。此映射发生在核心、分布和边界网关上，这些网关可以驻留在核心或服务块上。与使用 VLAN 的情况一样，同一虚拟网络中的端点可以相互直接通信。

不同虚拟网络中的端点需要支持 VXLAN 间路由的设备（通常是路由器）或称为第 3 层网关的高端交换机。执行 VXLAN 封装和解封装的实体称为 VXLAN 隧道端点（VTEP）。每个 VTEP 被称为第 2 层网关，通常分配设备的环路地址。这也是 VXLAN（通常称为 VNI）到 VLAN 映射存在的地方。

图 3：VXLAN VTEP 隧道 Diagram Description automatically generated

VXLAN 可以作为隧道协议部署在第 3 层 IP 园区交换矩阵中，而无需控制平面协议。但是，单独使用 VXLAN 隧道并不能改变以太网协议的泛洪和学习行为。

在没有控制平面协议的情况下使用 VXLAN 的两种主要方法是静态单播 VXLAN 隧道和 VXLAN 隧道。这些方法通过组播底层发出信号，不能解决固有的泛洪和学习问题，并且难以在大型多租户环境中扩展。这些方法不在本文档的范围内。

了解 EVPN

以太网 VPN （EVPN）是一种 BGP 扩展，用于将端点可访问性信息（如 MAC 和 IP 地址）分发给其他 BGP 对等方。这种控制平面技术采用多协议 BGP （MP-BGP）进行 MAC 和 IP 地址端点分配，其中 MAC 地址被视为 2 类 EVPN 路由。EVPN 使作为 VTEP 的设备能够相互交换关于其端点的可访问性信息。

瞻博网络支持的 EVPN 标准： https://www.juniper.net/documentation/us/en/software/junos/evpn-vxlan/topics/concept/evpn.html

什么是 EVPN-VXLAN： https://www.juniper.net/us/en/research-topics/what-is-evpn-vxlan.html

使用 EVPN 的优势包括：

MAC 地址移动性
多租户
跨多个链路的负载平衡
快速融合
高可用性
规模
基于标准的互作性

EVPN 通过全主动模型提供多路径转发和冗余。核心层可以连接到两个或更多分布设备，并使用所有链路转发流量。如果分布链路或核心设备发生故障，流量将使用剩余的活动链路从分布层流向核心层。对于其他流向的流量，远程核心设备会更新其转发表，将流量发送至连接到多宿主以太网段的剩余活动分配设备。

EVPN 的技术功能包括：

最小泛洪 — EVPN 创建一个控制平面，用于在 VTEP 之间共享终端主机 MAC 地址。
多宿主 — EVPN 支持客户端设备的多宿主。要支持多宿主，就需要像 EVPN 这样的控制协议来实现分布式交换机之间的端点地址同步，因为通过拓扑传输的流量需要智能地跨多个路径移动。
混叠 — EVPN 在将设备连接到园区交换矩阵的分布层时，会利用全活动多宿主技术。多宿主分布层交换机的关闭连接称为 ESI-LAG，而接入层设备则使用标准 LACP 连接到每个分布交换机。
水平分割 — 水平分割可防止网络中出现广播、未知单播和组播（BUM）流量环路。使用水平分割时，数据包永远不会通过接收数据包的同一接口回传，从而防止环路。

叠加网络（数据平面）

VXLAN 是一种叠加数据平面封装协议，可通过底层网络在网络端点之间建立以太网帧隧道。对网络执行 VXLAN 封装和解封装的设备称为 VXLAN 隧道端点（VTEP）。VTEP 在将帧发送到 VXLAN 隧道之前，会将原始帧包装在包含 VNI 的 VXLAN 标头中。VNI 将数据包映射到入换机上的原始 VLAN。应用 VXLAN 标头后，帧被封装到 UDP/IP 数据包中，通过 IP 交换矩阵传输到远程 VTEP，其中 VXLAN 标头将被移除，VNI 到 VLAN 的转换在出换机处进行。

图 4：VXLAN 报头 A picture containing diagram Description automatically generated

VTEP 是与设备环路地址相关联的软件实体，用于获取和终止 VXLAN 隧道。核心分布结构中的 VXLAN 隧道按以下方式配置：

分布式交换机，可将服务扩展到整个园区交换矩阵。
核心交换机作为边界路由器，将园区交换矩阵与外部网络互连。
服务阻止将园区交换矩阵与外部网络互连的设备。

叠加网络（控制平面）

具有 EVPN 信令的 MP-BGP 充当叠加控制平面协议。相邻交换机使用其环路地址，并使用底层 BGP 会话通告的下一跃点进行对等互连。核心设备和分布设备在彼此之间建立 eBGP 会话。当参与园区交换矩阵的任何交换机出现第 2 层转转发表更新时，它会将带有新 MAC 路由的 BGP 更新消息发送到交换矩阵中的其他设备。然后，这些设备会更新其本地 EVPN 数据库和路由表。

图 5：带有服务块的 EVPN VXLAN 叠加网络 EVPN VXLAN Overlay Network with a Services Block

弹性配置和负载平衡

我们支持 BFD（双向转发）作为 BGP 协议实施的一部分。这样可在设备或链路发生故障时提供快速融合，而无需依赖路由协议的计时器。Mist底层和叠加层中分别配置了 1000ms 和 3000ms 的最小 BFD 间隔。默认情况下，使用在转发平面上启用的 ECMP，园区交换矩阵内的所有核心分布链路都支持按数据包的负载平衡。

以太网分段标识符（ESI）

当接入层对园区交换矩阵中的分布层设备进行多宿主时，将在分布层设备上形成 ESI-LAG。此 ESI 是一个 10 八位位组整数，用于标识参与 ESI 的分布层交换机之间的以太网分段。MP-BGP 是用于协调此信息的控制平面协议。ESI-LAG 可在发生故障链路时实现链路故障切换，支持主动-主动负载平衡，并由Mist自动分配。

图 6：弹性配置和负载平衡 Funnel chart Description automatically generated with medium confidence

服务块

您可能希望将关键基础架构服务置于瞻博网络交换机的专用接入对之外。这可能包括 WAN 和防火墙连接、RADIUS 和 DHCP 服务器等。对于那些希望部署精简核心的用户，专用服务块减少了对核心的支持 VXLAN 隧道封装和解封装以及路由实例和附加 L3 路由协议等附加功能的需求。服务块边界功能可直接在核心层外提供支持，也可作为一对专用交换机提供支持。

图 7：服务块

接入层

接入层提供与最终用户设备（如个人计算机、VoIP 电话、打印机、物联网设备）的网络连接，以及与无线接入点的连接。在这种园区交换矩阵核心分布式设计中，EVPN-VXLAN 网络在核心层和分布层交换机之间延伸。

图 8：端点访问

在此示例中，每个接入交换机或虚拟机箱都多宿主到两个或更多分布交换机。瞻博网络的虚拟机箱减少了分布式交换机所需的端口数量，并优化了整个园区内的光纤可用性。虚拟机箱也可作为单个设备进行管理，并且在一个虚拟机箱内最多支持 10 台设备（具体取决于交换机型号）。借助作为控制平面协议运行的 EVPN，任何分布式交换机都可以在接入层启用 A/A 多宿主。EVPN 提供基于标准的多宿主解决方案，可在任意数量的接入层交换机之间横向扩展。

单PoD或多PoD设计

Juniper Mist园区交换矩阵仅支持一个 PoD（正式称为站点设计）或多个 PoD 的部署。下面显示的组织部署面向需要与多 POD 结构保持一致的企业：

图 9：多 PoD 设计示例 Graphical user interface Description automatically generated

注意：

本文档附录部分中的示例仅显示单个 PoD，以便于启动设计。

瞻博网络接入点

在我们的网络中，我们选择瞻博网络接入点作为我们的首选接入点设备。采用全新设计，旨在满足现代云和智能设备时代的严苛网络需求。Mist 为有线和无线 LAN提供独特的功能：

有线和无线保证 — Mist 通过有线和无线保证提供支持。配置后，Mist平台即可满足吞吐量、容量、漫游和正常运行时间等关键有线和无线性能指标的服务级别预期（SLE）。该 JVD 使用Juniper Mist Wired Assurance 服务。
Marvis — 集成式人工智能引擎，可提供快速有线和无线故障排除、趋势分析、异常检测和主动问题修复。

Juniper Mist边缘

对于大型园区网络，Juniper Mist™ Edge 通过流量来往瞻博网络接入点的本地隧道终端提供无缝流畅漫游服务。Juniper Mist Edge 将精选微服务扩展到客户本地，同时利用 Juniper Mist™ 云及其分布式软件架构来实现具有弹性且可扩展的运维、管理、故障排除和分析功能。Juniper Mist Edge 部署为独立设备，具有多种变体，适用于不同规模的部署。

不断发展的 IT 部门希望找到一种统一的方法来管理有线、无线和 WAN 网络。这种全栈方法可简化运维并实现自动化，提供端到端故障排除，并最终演变为自我驱动型网络™。将 Mist 平台集成到该 JVD 中可以解决这两个难题。有关 Mist 集成和瞻博网络® EX 系列交换机的更多详细信息，请参阅如何连接 Mist 接入点和瞻博网络EX 系列交换机。

园区交换矩阵核心分布 ERB 支持的平台

表 1：园区交换矩阵核心分布 ERB 部署支持的平台
园区交换矩阵核心分布 ERB 部署	支持的平台
接入层	EX2300 EX3400 EX4300 EX4100 EX4400
分布层	EX4400-24X EX4650 QFX5120 QFX5130 QFX5700 EX92xx
核心层	EX4650 QFX5120 QFX5130 QFX5700 QFX10000 EX92xx
服务块	EX4400-24X EX4650 QFX5120 QFX5130 QFX5700 EX92xx

Juniper Mist Wired Assurance

Juniper Mist Wired Assurance 是一项云服务，可为交换机、物联网设备、接入点、服务器和打印机的园区交换矩阵提供自动化运维和服务级别。它要简化流程中的每一步，从第 0 天的无缝入网和自动配置开始，一直到第 2 天及以后的运维和管理。瞻博网络 EX 系列交换机提供 Junos 流遥测技术，可以深入了解交换机的健康指标和异常检测以及 Mist AI 功能。

Mist 的人工智能引擎和虚拟网络助手 Marvis 通过监控事件和推荐作，进一步简化了故障排除，同时简化了帮助台的运维。Marvis 是迈向自我驱动型网络的一步，它可以将洞察转化为行动，并将 IT 运维从被动故障排除转变为主动补救。

Juniper Mist云服务采用开放式 API，100% 可编程，可以实现全面自动化和/或与运营支持系统集成。例如，工单系统和 IP 管理系统等 IT 应用。

Juniper Mist 为 WAN、LAN 和无线网络提供独特的功能：

大规模 UI 或 API 驱动型配置。
吞吐量、容量、漫游和正常运行时间等关键性能指标的服务级别预期（SLE）。
Marvis - 集成式人工智能引擎，可快速排除全栈网络问题、趋势分析、异常检测和主动问题修复。
单一管理系统。
许可证管理。
用于长期趋势和数据存储的高级分析。

如需详细了解 Juniper Mist Wired Assurance，请参阅以下产品介绍： https://www.juniper.net/content/dam/www/assets/datasheets/us/en/cloud-services/juniper-mist-wired-assurance-datasheet.pdf

本页内容

解决方案架构