Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

实施 VXLAN-GBP 时的注意事项

如本文档所述,在测试 VXLAN-GBP 支持时,需要考虑几个方面。

VXLAN-GBP 需要 IP Clos 交换矩阵

该技术仅在 IP Clos 交换矩阵中支持 VXLAN-GBP,因为这是唯一在接入交换机层支持 VXLAN 第 2 层 VTEP 的设计。

图 1:基于组的策略支持 A screen shot of a computer Description automatically generated

所有其他交换矩阵类型(如 EVPN 多宿主、集中路由桥接 (CRB) 和边缘路由桥接 (ERB))都不允许对有线客户端进行 GBP 标记管理,因为:

  • VXLAN 层从分布层或塌缩核心层开始,因此,有线客户端可以在同一接入交换机内的端口到端口本地不受控制地相互通信。在这种情况下,专用 VLAN 无济于事,因为它们是通过静态 Junos OS 配置创建的,不会跟随动态分配的 GBP 标记。
  • 接入交换机和上层交换机(如分布式或塌缩核心层)之间仅建立标准 LAG。因此,在仅交换矩阵的这些阶段之间,VLAN 和 MAC 地址会发挥作用,而 GBP 标记会在传输过程中丢失。您必须从交换矩阵最低层的 VXLAN 开始。
  • 对于执行基于 RADIUS 的动态身份验证的有线客户端,有线客户端会在其连接到的接入交换机上获得授权过程的一部分,从而分配一个 GBP 标记。同样,没有附加协议可以将此信息传递到上层交换矩阵阶段,因此交换矩阵看不到此信息,也无法由交换矩阵重建。
注意:

例如,您可以将桌面交换机连接到交换矩阵的接入交换机,以管理园区交换矩阵 IP Clos 上的 VoIP 电话和 PC。如果要执行动态身份验证,则必须在交换矩阵的接入交换机上执行第二个基于 MAC 的身份验证,以获取有关要分配哪个 GBP 标记的同步信息。这是因为连接的桌面交换机不会与接入交换机共享其基于 RADIUS 的授权信息。

不支持 VRF 到 VRF GBP 标记分发

GBP 标记分布仅限于同一 VRF 内的 VLAN。如果您的网络具有具有多个虚拟路由和转发 (VRF) 实例的交换矩阵,则这可能适用。如 图 2 所示,由于以下技术原因,VRF 到 VRF GBP 标记分配不起作用:

  • 当流量在两个 VRF 之间传输时,所有Juniper Mist管理的园区交换矩阵在交换矩阵内部均有隔离。出于安全原因,交换矩阵内部不允许 VRF 之间发生路由泄漏。VRF 之间的流量必须始终由南向北传输到 WAN 路由器。然后,WAN 路由器可以允许或转发 VRF 之间的流量,并允许流量通过交换矩阵流回目标 VRF 和 VLAN。
  • WAN 路由器通常不是交换矩阵 VXLAN 层的一部分。它们使用以下任一 a:
    • 第 2 层配置,在交换矩阵和 WAN 路由器之间使用 VLAN、中继端口和静态路由。
    • 第 3 层配置,在交换矩阵和 WAN 路由器之间使用点对点链路和路由协议(如 OSPF 或 eBGP)。
  • 您会遇到与上面提到的 CRB 和 ERB 交换矩阵的 EVPN 多宿主类似的情况,即阶段之间的流量使用不同的环境,并且 VXLAN 隧道的挂机信息在这些阶段之间丢失。重建原始信息几乎是不可能的,因为当数据包返回到目标 VRF 的交换矩阵中时,原始 MAC 地址将丢失。
图 2:GBP 不适用于 VRF GBP Does Not Work for Traffic Between VRFs 之间的流量

最好考虑将 VLAN 移动到交换矩阵中的同一 VRF 中,因为此类流量将作为东西向流量保留在交换矩阵内,不会通过 WAN 路由器发送。在这种情况下,基于GBP的管理仍然有效。请参阅 图 3

图 3:GBP 在单个 VRF 交换矩阵 GBP Works in a Single-VRF Fabric中工作
注意:

在这种情况下,建议使用单个全局 VRF。然后,GBP 的使用减少了对多个 VRF 的需求,以满足安全需求。

已知的 Junos OS 交换机固件说明

首次在接入交换机上 配置 GBP 使用 率时,您需要在激活和使用交换机之前安排一个维护时段。Junos OS 需要重新启动控制平面才能包含以下更改:

  • 在独立交换机上,您可以重新启动数据包转发引擎 (PFE),以实现包含 GBP 所需的控制平面重启。
  • 在虚拟机箱上,您需要发出整个虚拟机箱的完全重新启动,以实现 GBP 激活所需的控制平面重启。

已知硬件限制

® 瞻博网络 EX4100 交换机具有以下 记录在案的限制

  • EX4100 交换机不支持静态接口/端口和基于 VLAN ID 的 GBP 标记分配。
  • EX4100 交换机无法进行基于静态 VLAN ID 的 GBP 标记分配。我们建议您使用 VLAN 的 IPv4 前缀来实现类似功能。

已知园区交换矩阵部署 功能上

根据您构建园区交换矩阵 IP Clos 的时间,需要检查以下内容:

  • 如果园区交换矩阵 IP Clos 是在 2024 年 7 月之后创建的,则需要在接入交换机上使用 Junos OS 24.2R2 或更高版本才能实现 GBP。这是因为在此日期之后创建的交换矩阵会自动获得更大规模的 EVPN 2/5 类共存 配置。Junos OS 24.2R2 版是第一个支持 EVPN 类型 2/5 和 GBP 共存的 Junos OS 发行版。

已知Juniper Mist门户限制

在当前版本中,Juniper Mist门户仅支持以下静态 GBP 标记分配:

  • 基于 IPv4 前缀的静态 GBP 标记分配,称为 子网
  • MAC 地址 基于主机的静态 GBP 标记分配,称为 MAC 地址
  • 基于 VLAN ID 的静态 GBP 标记分配,称为 网络

目前,如果要使用以下功能,必须使用其他 Junos OS CLI 命令:

  • 基于交换机端口(基于接口)的静态 GBP 标记分配
  • 基于交换机端口(基于接口)和基于 VLAN ID 的静态 GBP 标记分配。
  • 策略的 L4 匹配条件, 详见此处。
  • 对所有没有显式允许策略的通信使用 默认拒绝 选项。

无线和有线客户端分段策略使用Juniper Mist门户中的不同部分

目前,Juniper Mist管理交换矩阵的微分段是在Juniper Mist门户的不同部分中为有线和无线客户端实现的:

  • 应在 “组织”>“交换机模板” 页面上配置基于 GBP 和 SGT 的有线客户端微分段。请参阅 图 4
图 4:Juniper Mist门户 Switch Templates Location in the Juniper Mist Portal中的交换机模板位置
  • 无线客户端微分段的策略配置应在“ 组织> WLAN 模板” 页面上进行配置。请参阅 图 5
图 5:Juniper Mist门户 WLAN Templates Location in the Juniper Mist Portal中的 WLAN 模板位置

创建新的 WLAN 模板后,您可以开始管理和配置无线客户端的策略。