解决方案架构 |瞻博网络

Juniper Mist Wired Assurance 概述

Juniper Mist Wired Assurance 是一项云服务，可为交换机、物联网设备、接入点、服务器和打印机的园区交换矩阵提供自动化运维和服务级别。就是要简化流程中的每一步，从第 0 天的无缝入网和自动调配开始，到第 2 天及以后的运维和管理。® 瞻博网络 EX 系列交换机提供丰富的 Junos OS 流遥测技术，可以洞悉交换机的健康指标和异常检测以及 Mist AI™ 功能。

Mist 的人工智能引擎和 Marvis® 虚拟网络助手通过监控事件和推荐作进一步简化了故障排除，同时简化了帮助台的运维。Marvis 是迈向自我驱动型网络™的一步，它可以将洞察转化为行动，并从根本上将信息技术（IT）运维从被动故障排除转变为主动补救。

™ Juniper Mist云服务是 100% 可编程的，使用开放式应用编程接口（API），可实现完全自动化、与运营支持系统集成或两者兼而有之。运营支持系统包括 IT 应用、工单系统和 IP 管理系统。

™ Juniper Mist 为 WAN、LAN 和无线网络提供独特的功能，例如：

大规模用户界面（UI）或 API 驱动型配置。
吞吐量、容量、漫游和正常运行时间等关键性能指标的服务级别预期（SLE）。
Marvis® 虚拟网络助手 - 集成式人工智能引擎，提供全栈网络问题的快速故障排除、趋势分析、异常检测和主动问题修复。
单一管理系统。
许可证管理。
用于长期趋势和数据存储的高级分析。

有关 Juniper Mist Wired Assurance 的更多信息，请参阅以下产品介绍： https://www.juniper.net/content/dam/www/assets/datasheets/us/en/cloud-services/juniper-mist- wired-assurance-datasheet.pdf

园区交换矩阵核心分布高级架构

EVPN 多宿主采用 EVPN-VXLAN 架构，可将叠加网络与底层网络分离开来。这种方法允许网络管理员在一个或多个第 3 层网络上创建逻辑第 2 层网络，从而满足现代企业网络的需求。在 EVPN 多宿主部署中，使用 EVPN VXLAN 可通过路由实例支持本机流量隔离;出于宏分段目的，通常称为虚拟路由和转发（VRF）。

借助Juniper Mist™门户工作流，可以轻松创建园区交换矩阵。

图 1：高级园区交换矩阵创建 Diagram Description automatically generated

底层网络

EVPN-VXLAN 交换矩阵架构使各园区和数据中心的网络基础架构变得简单且一致。所有塌缩核心层设备必须使用第 3 层基础架构相互连接。

您可以使用任何第 3 层路由协议在核心设备和分布设备之间交换环路地址。BGP 具有更好的前缀过滤、流量工程和路由标记等优势。在此示例中，Mist 将 eBGP 配置为底层路由协议。Juniper Mist 会自动为园区交换矩阵的底层和叠加层配置专用自治系统编号和所有 BGP 配置。有一些选项可提供额外的 BGP 发送方，以便与外部 BGP 对等方对等。

底层 BGP 用于从对等方学习环路地址，以便叠加 BGP 可以使用环路地址建立邻接方。然后，叠加层可用于交换 EVPN 路由。

图 2：在折叠核心交换机之间使用 /31 寻址的 Pt-PT 链路 Pt-Pt Links Using /31 Addressing Between Collapsed Core Switches

网络叠加实现独立于物理网络的连接和寻址。以太网帧封装在 IP UDP 数据报中，这些数据报被封装到 IP 中，以便通过底层进行传输。VXLAN 使第 2 层虚拟子网或 VLAN 能够跨越底层物理第 3 层网络。

在 VXLAN 叠加网络中，每个第 2 层子网或分段都由虚拟网络标识符（VNI）唯一标识。VNI 与 VLAN ID 对流量进行分段的方式相同。此映射发生在核心、分布和边界网关上，这些网关可以驻留在核心或服务块上。与使用 VLAN 的情况一样，同一虚拟网络中的端点可以相互直接通信。

不同虚拟网络中的端点需要支持 VXLAN 间路由的设备（通常是路由器）或称为第 3 层网关的高端交换机。执行 VXLAN 封装和解封装的实体称为 VTEP。每个 VTEP 被称为第 2 层网关，通常分配设备的环路地址。这也是 VXLAN（通常称为 VNI）到 VLAN 映射存在的地方。

图 3：VXLAN VTEP 隧道 VXLAN VTEP Tunnels

VXLAN 可以作为隧道协议部署在第 3 层 IP 园区交换矩阵中，而无需控制平面协议。但是，单独使用 VXLAN 隧道并不能改变以太网协议的泛洪和学习行为。

在没有控制平面协议的情况下使用 VXLAN 的两种主要方法是静态单播 VXLAN 隧道和 VXLAN 隧道。这些方法通过组播底层发出信号，不能解决固有的泛洪和学习问题，并且难以在大型多租户环境中扩展。这些方法不在本文档的范围内。

了解 EVPN

以太网 VPN 是一种 BGP 扩展，用于将端点可访问性信息（如 MAC 和 IP 地址）分发给其他 BGP 对等方。这种控制平面技术采用多协议 BGP （MP-BGP）进行 MAC 和 IP 地址端点分配，其中 MAC 地址被视为 2 类 EVPN 路由。EVPN 使作为 VTEP 的设备能够相互交换关于其端点的可访问性信息。

瞻博网络支持的 EVPN 标准： https://www.juniper.net/documentation/us/en/software/junos/evpn-vxlan/topics/concept/evpn.html

什么是 EVPN-VXLAN： https://www.juniper.net/us/en/research-topics/what-is-evpn-vxlan.html

使用 EVPN 的优势包括：

MAC 地址移动性
多租户
跨多个链路的负载平衡
快速融合
高可用性
规模
基于标准的互作性

EVPN 通过全主动模型提供多路径转发和冗余。塌缩核心层在一个环状或网状拓扑中最多可以有四个设备。如果一个核心设备发生故障，流量将使用剩余的活动链路。

EVPN 的技术功能包括：

最小泛洪 — EVPN 创建一个控制平面，用于在 VTEP 之间共享终端主机 MAC 地址。
多宿主 — EVPN 支持客户端设备的多宿主。要支持多宿主，就需要像 EVPN 这样的控制协议来实现分布式交换机之间的端点地址同步，因为通过拓扑传输的流量需要智能地跨多个路径移动。
混叠 — EVPN 在将设备连接到园区交换矩阵的分布层时，会利用全活动多宿主技术。来自多宿主分布层交换机的连接称为 ESI-LAG，而接入层设备则使用标准 LACP 连接到每个分布交换机。
水平分割 — 水平分割可防止网络中出现广播、未知单播和组播（BUM）流量环路。使用水平分割时，数据包永远不会通过接收数据包的同一接口回传，从而防止环路。

叠加网络（数据平面）

VXLAN 是一种叠加数据平面封装协议，可通过底层网络在网络端点之间建立以太网帧隧道。对网络执行 VXLAN 封装和解封装的设备称为 VTEP。VTEP 在将帧发送到 VXLAN 隧道之前，会将原始帧包装在包含 VNI 的 VXLAN 标头中。VNI 将数据包映射到入换机上的原始 VLAN。应用 VXLAN 标头后，帧被封装到 UDP/IP 数据包中，通过 IP 交换矩阵传输到远程 VTEP，其中 VXLAN 标头将被移除，VNI 到 VLAN 的转换在出换机处进行。

图 4：VXLAN 报头 A picture containing diagram Description automatically generated

VTEP 是与设备环路地址相关联的软件实体，用于获取和终止 VXLAN 隧道。EVPN 多宿主交换矩阵中的 VXLAN 隧道仅在塌缩核心层交换机上配置。

叠加网络（控制平面）

具有 EVPN 信令的 MP-BGP 充当叠加控制平面协议。相邻交换机使用其环路地址，并使用底层 BGP 会话通告的下一跃点进行对等互连。塌缩核心层设备在彼此之间建立 eBGP 会话。当参与园区交换矩阵的任何交换机出现第 2 层转转发表更新时，它会将带有新 MAC 路由的 BGP 更新消息发送到交换矩阵中的其他设备。然后，这些设备会更新其本地 EVPN 数据库和路由表。在 EVPN 多宿主交换矩阵中，控制平面交换通过内部 BGP 进行，每个塌缩核心层交换机都充当路由反射器。

图 5：EVPN 叠加网络 iBGP 同步 EVPN Overlay Network iBGP Synchronization

弹性配置和负载平衡

我们支持将双向转发检测（BFD）作为 BGP 协议实施的一部分。这样可在设备或链路发生故障时提供快速融合，而无需依赖路由协议的计时器。Mist在底层和叠加层中分别配置了 1000ms 和 3000ms 的 BFD 最小间隔。默认情况下，使用在转发平面上启用的 ECMP，园区交换矩阵内的所有核心分布链路都支持按数据包的负载平衡。

以太网分段标识符（ESI）

当接入层对园区交换矩阵中的分布层设备进行多宿主时，分布层设备上将形成 ESI-LAG。此 ESI 是一个 10 八位位组整数，用于标识参与 ESI 的分布层交换机之间的以太网分段。MP-BGP 是用于协调此信息的控制平面协议。ESI-LAG 可在发生故障链路时实现链路故障切换，支持主动-主动负载平衡，并由Juniper Mist自动分配。

图 6：弹性配置和负载平衡 Funnel chart Description automatically generated with medium confidence

接入层

接入层提供与最终用户设备（如个人计算机、VoIP 电话、打印机和 IoT 设备）的网络连接，以及与无线接入点的连接。在本示例中，我们将瞻博网络接入点用作接入点设备。不断发展的 IT 部门正在寻找一种统一的方法来管理有线和无线网络。瞻博网络的解决方案可以简化和自动化运维以及端到端故障排除，最终演变为自我驱动型网络™。

接入交换机本身只需在两个上行链路上支持 IEEE 802.3ad 链路聚合和活动 LACP，该上行链路朝向 EVPN 多宿主交换矩阵的塌缩核心层交换机。然后在有线客户端和接入点连接端口上配置的 VLAN 进行多路复用，并在上行链路上进行标记。

单PoD或多PoD设计

Juniper Mist园区交换矩阵仅支持一个 PoD（正式称为站点设计）或多个 PoD 的部署。下面显示的组织部署面向需要与多 POD 结构保持一致的企业：

图 7：多 PoD 设计示例 Graphical user interface Description automatically generated

注意：

此多 PoD 选项不适用于 EVPN 多宿主交换矩阵。但是，您可以构建多个站点，每个站点都使用一个小型 EVPN 多宿主交换矩阵，但限制是您不能在这些站点之间扩展 VLAN。

瞻博网络接入点

在我们的网络中，我们选择瞻博网络接入点作为首选接入点设备。采用全新设计，旨在满足现代云和智能设备时代的严苛网络需求。Juniper Mist 为有线和无线 LAN提供独特的功能：

有线和无线保证 — Juniper Mist 通过有线和无线保证提供支持。配置后，Juniper Mist平台即可满足吞吐量、容量、漫游和正常运行时间等关键有线和无线性能指标的服务级别预期（SLE）。该 JVD 使用Juniper Mist Wired Assurance 服务。
Marvis — 集成式人工智能引擎，可提供快速有线和无线故障排除、趋势分析、异常检测和主动问题修复。

VRF 分段

VRF 分段用于在共享网络上将用户和设备分组组织，同时分离和隔离不同的组。网络上的路由设备为每个组创建并维护单独的虚拟路由和转发（VRF）表。组中的用户和设备放置在一个 VRF 分段中，可以相互通信，但不能与另一个 VRF 分段中的用户通信。如果要从一个 VRF 分段向另一个 VRF 分段发送和接收流量，则必须在交换矩阵的 WAN 路由器上配置路由路径，该交换矩阵也可以实施有状态防火墙。

园区交换矩阵 EVPN 多宿主支持的平台

如需查看瞻博网络验证此 JVD 的软件版本和平台，请参阅本文档中的“已验证的平台和软件”部分。

表 1：园区交换矩阵 EVPN 多宿主部署支持的平台
园区交换矩阵 EVPN 多宿主部署	支持的平台
接入层	EX2300 EX3400 EX4300 EX4100 EX4400
塌缩核心层	EX4400-24X EX4650 QFX5120 QFX5130 QFX5700 EX92xx

本页内容

解决方案架构