验证
验证园区交换矩阵 IP Clos 部署。参见 图 1。
目前,有两个桌面用于验证园区交换矩阵。让我们快速浏览一下 Desktop1 是否可以在内部和外部连接。可以使用 SecureCRT 等第三方工具通过 图 1 中所示的 Desktop1 验证每个桌面的配置。
中的配置验证
验证步骤:
- 已确认在桌面 1 上配置了本地 IP 地址、VLAN 和默认网关。
- 可以 ping 默认网关 — 表示我们可以访问接入交换机。
- Ping 到 WAN 路由器失败 (10.99.99.254) — 我们需要进行故障排除。
首先在 Mist UI 中验证园区交换矩阵,导航到 “组织 > 园区交换矩阵”。
此处支持对园区交换矩阵内每台设备的远程 shell 访问,以及以下功能的可视化表示:
- BGP 对等互连建立。
- 逐个链路传输和接收流量。
- 来自验证物理生成的每台设备的遥测数据,例如 LLDP。
BGP 底层
目的
验证相邻层之间的 eBGP 状态对于 EVPN VXLAN 按预期运行至关重要。每层之间的这种点对点链路网络支持:
- 使用 ECMP 实现负载平衡,以提高弹性和带宽效率。
- 双向转发 (BFD),用于减少故障期间的收敛时间。
- BGP 对等互连。
- 环回至 VXLAN 可访问性。
无需在每一层进行验证,重点可以放在 Dist1 和 Dist2 及其与 Access1 和 Access2、Core1 和 Core2 的 eBGP 关系上。如果两台分布交换机都与每个相邻层“建立”了 eBGP 对等会话,则可以进入下一验证阶段。
由于环路 IP 地址的自动分配,对于此交换矩阵,我们需要记住以下配置:
| 交换机类型 | 交换机名称 | 自动分配的环路 IP |
|---|---|---|
| 核心 | 核心1 | 172.16.254.2 |
| 核心 | 核心2 | 172.16.254.1 |
| 分布 | 区1 | 172.16.254.3 |
| 分布 | Dist2 | 172.16.254.4 |
| 访问 | 交通1 | 172.16.254.6 |
| 访问 | 交通2 | 172.16.254.5 |
行动
验证是否已从 Dist1 和 Dist2 与接入和核心设备建立 BGP 会话,以确保环回可达性、BFD 会话状态以及使用 ECMP 的负载平衡。
操作数据可以通过 Mist GUI 的园区交换矩阵部分或使用外部应用程序(如 SecureCRT 或 Putty)来收集。
验证 BGP 对等互连
Dist1:
从 “交换机 > 实用程序”中,通过园区交换矩阵右下角、交换机视图或通过安全外壳 (SSH) 访问远程外壳。
从 BGP 摘要中,我们可以看到已建立底层 (10.255.240.X) 对等关系,以指示底层链路已连接到正确的设备并且链路已启动。
它还显示已建立叠加 (172.16.254.x) 关系,并且它正在对等正确的底层环路地址。这证明了底层环回可达性。
我们还可以看到收到的路由。由于建立的时间大致相等,因此到目前为止看起来不错。
园区交换矩阵构建说明了每个设备的实时 BGP 对等状态,如 Dist1 中的 图 2 所示。
如果未建立 BGP,请返回并验证底层链路和寻址。此外,请确保环路地址正确。环路地址必须可从其他环路地址 ping 通。例如,一旦建立了底层 eBGP 对等会话,Dist1 就可以到达 Core1 和 Access1 的环路地址。
eBGP 会话在园区交换矩阵 IP Clos 的相邻层之间建立。
让我们验证是否已跨多个路径建立到核心和其他设备的路由。例如,Access1 和 Access2 应利用通过 Dist1 和 Dist2 的两条路径来访问 Core1 和 Core2 的环路地址以及彼此的环路地址。
访问 1:通过 Dist1 和 Dist2 到 Core1 的环回可访问性
访问 1:通过 Core2 到 Dist1 和 Dist2 实现环回可访问性
Access1:Access2 到 Dist1 和 Dist2 的环回可访问性
可以对 Access 2 等重复此操作,以验证 ECMP 负载平衡。
意义:此时,BGP 底层和叠加层通过验证园区交换矩阵相应层之间的 eBGP 来运行,并建立到接入层、核心层和分布层的路由。
接入交换机和核心交换机之间的 EVPN VXLAN 验证
由于桌面可以 ping 其默认网关,因此我们可以假设以太网交换表已正确填充,并且 VLAN 和接口模式正确。如果对默认网关执行 ping 操作失败,则排除底层网络连接故障。
验证两台接入交换机上的 EVPN 数据库
您可以查看整个数据库或按 MAC 地址搜索。
两台接入交换机具有相同的 EVPN 数据库,这是意料之中的。请注意每个接入交换机中存在的桌面 1 (10.99.99.99) 和桌面 2 (10.88.88.88) 条目。这些条目在本地或通过园区交换矩阵学习,如输出的“活动源”列所示。
10.99.99.99 与 IRB.1099 相关联,我们看到 VNI 为 11099。让我们仔细检查接入交换机和核心交换机上的 VLAN-VNI 映射。
访问
核心
验证接入设备与核心设备之间的 VXLAN 隧道
访问 1:
访问 2:
我们需要配置WAN路由器的附件来完成整个设计。如果没有 WAN 路由器配置,交换矩阵仅允许以下通信。
接入交换机均未将 Core1 或 Core2 显示为远程隧道目标。原因是我们尚未在交换矩阵之上配置到 WAN 路由器的上行链路。因此,没有核心交换机知道VLAN1099。
通过边界网关核心 EX9204 交换机的外部园区交换矩阵连接
有多种选项可用于将 WAN 路由器连接到园区交换矩阵:
- 使用 L2 转发:
- 使用此方法时,交换矩阵上行链路配置为 ESI-LAG,并包含一个或多个标记的 VLAN(每个 VRF 一个),以便与 WAN 路由器通信。
- 您必须手动将 WAN 路由器接口的 IP 地址配置为每个交换矩阵 VRF 上默认转发的下一跃点 IP 地址,如上所述。
- WAN 路由器必须了解具有活动 LACP 的标准 IEEE 802.3ad LAG。
- 如果您连接了多个 WAN 路由器以实现冗余,我们建议您在它们之间配置 VRRP,以获取面向交换矩阵的接口 IP 地址。
- 使用 L3 转发:
- 将交换矩阵上行链路配置为 L3 对等 IP 链路。
- 您必须根据交换矩阵 VRF 与 WAN 路由器建立对等链路。
- 通常,单个物理上行链路上有多个对等链路。使用标记的 VLAN 进一步对等链路进行分段,以在上行链路上提供隔离。
- 无需为交换矩阵中的每个 VRF 手动配置下一跃点,因为假定将通过路由协议为 WAN 路由器获取默认网关的传播。
- 在交换矩阵和 WAN 路由器之间,必须建立路由协议来交换路由。园区交换矩阵支持将外部 BGP 和 OSPF 作为通向 WAN 路由器的路由协议。
为简单起见,我们选择在此 JVD 中使用通过 ESI-LAG 的 L2 出口。但是,对于大型交换矩阵,不建议使用此方法,因为 IP Clos 旨在扩展。对于生产环境中的 IP Clos 交换矩阵,应考虑使用 BGP 作为路由交换协议以及一对冗余的 WAN 路由器。
请记住,您在部署园区交换矩阵 IP Clos 期间选择利用 EX9204 交换机的 BGP 功能,如图 3 所示。
的 L2 ESI-LAG
Mist 使 EX9204 交换机能够在园区交换矩阵内的 VXLAN 流量与用于外部连接的标准以太网交换(在本例中为 MX 路由器)之间进行转换。让我们验证核心交换机上的以太网分段标识符 (ESI) 状态。
我们必须配置 ESI-LAG,因为 Mist 不会自动配置它。在面向 WAN 路由器的核心交换机接口上添加端口配置文件。
下面显示了应用于面向 EX9204 交换机端口的每个 MX 路由器的现有端口配置文件。(在 Core2 交换机上,端口为 xe-1/0/1)。
保存配置,然后验证核心交换机上的更改。
请注意,LACP 已启动,这推断 MX 路由器上存在现有配置。
验证桌面 1 的 MAC 地址是否通过 BGP 播发:
验证核心上是否已收到路由。
让我们检查一下核心是否具有桌面 1 MAC 地址。
验证映射到正确 VTEP 接口的 MAC 地址。这是核心。您也可以在接入交换机上进行验证。
最后,VTEP 接口已启动并传递流量。
然后,确认 EVPN 数据库现在具有 ESI 条目。返回桌面 1,查看它是否可以穿过交换矩阵。
最后一步是验证桌面 1 是否可以 ping 桌面 2。
含义:验证园区交换矩阵内外的连接性。桌面通过园区交换矩阵相互通信,每个桌面位于隔离的 VRF 中,然后通过 Core1 和 Core2 上的双宿主 ESI-LAG 转发到 MX 路由器,以便在 VRF 或路由实例之间进行路由。还从每个桌面验证了互联网连接。