用例和参考架构
在深入了解集成之前,我们必须回顾一下交换矩阵通常如何操作和转发数据包。了解有线和无线客户端所连接的交换矩阵接入交换机上的第 2 层 (L2) VLAN 如何通过客户端前进到其他 VLAN,然后通过 WAN 路由器前进,以及通过 WAN 路由器传向互联网,这一点非常关键。
交换矩阵的基本转发操作
如果没有像很少使用的桥接覆盖选项这样的极端情况,可以假定交换矩阵的所有 VLAN 都至少连接到一个全局虚拟路由功能 (VRF)。大多数客户使用少数多个 VRF。按设计:
- 交换矩阵 VRF 将包含作为接入交换机上每个连接的 VLAN 客户端的网关的 IP 地址。如果有线客户端想要离开交换矩阵或与交换矩阵中的任何其他 VLAN 通信,则需要知道流量并将其发送到该 IP 地址。这可以是客户端的静态分配,也可以是客户端的静态分配,也可以通过 DHCP-Lease 获取此信息。
- 连接到同一 VRF 的 VLAN 可以直接相互通信并交换流量。这种类型的东西向流量始终直接在交换矩阵中处理。如果需要在 VRF 内部控制流量,则通常使用 ACL,或者,如果交换矩阵支持,则可以使用部署在接入交换机上的基于 VXLAN 组的策略。
- VRF 始终是孤立的!这是设计上的安全措施。因此,VRF 之间的所有流量都需要上报到 WAN 路由器进行安全筛查。如果 WAN 路由器随后允许此流量,则该流量将被发送回交换矩阵的下一个 VRF。因此,始终以这种方式实施南北流量。
虚拟网关交换矩阵与任播交换矩阵
根据交换矩阵类型,客户端流量所在的叠加 VLAN 可能需要额外的 IP 地址才能进行内部提议,虚拟网关交换矩阵就是这种情况。Mist园区交换矩阵会配置以下交换矩阵类型:
交换矩阵类型 | 虚拟网关交换矩阵 | 任播交换矩阵 |
---|---|---|
EVPN 多宿主交换矩阵 | 是的 | --- |
中央路由和桥接交换矩阵 (CRB) | 是的 | --- |
边缘路由和桥接交换矩阵 (ERB) | --- | 是的 |
IP-Clos 交换矩阵 | --- | 是的 |
在虚拟网关交换矩阵中,位于交换矩阵中的 VRF 数量通常非常有限。这些位于核心或折叠核心交换机上。园区交换矩阵Mist中支持的最大核心/折叠核心交换机数量为 4 台。这也意味着某个 VRF 最多可以复制到交换矩阵中的每个冗余核心/塌缩核心交换机四次。然而,任播交换矩阵专为更多的横向扩展设计而设计,因此 VRF 的位置要么位于分布交换机 (ERB) 上,要么甚至位于接入交换机 (IP-Clos) 上。但是,所有虚拟网关交换矩阵的本质是,系统还会为位于交换矩阵中的每个 VLAN 分配一个附加的静态 IP 地址,该地址每个 VRF 都是唯一的。因此,除了 VLAN 网关的网关 IP 地址外,每个子网中最多需要四个额外的 IP 地址,因为Mist园区交换矩阵中的核心/折叠核心交换机的最大数量为 4。
为什么会有这样的设计?嗯,交换矩阵的某些流量是有好处的,例如在执行 DHCP 中继时。对于 DHCP 中继,当从特定 VRF 转发 DHCP 客户端请求时,系统使用静态 IP 地址而不是网关 IP 地址。此行为将确保返回的答案将直接发送回相关 VRF,因为静态 IP 地址对于 VLAN/核心交换机(带 VRF)是唯一的。
考虑虚拟网关交换矩阵的另一种方法是,将其与传统的 L2 网关故障转移设计(如 VRRP)进行比较。在那里,您始终有一个在网关(即我们的 VRF)之间浮动的 VIP,并且每个网关始终需要一个额外的唯一静态 IP,只有在该 VLAN 中才有。在Mist园区交换矩阵中,由于 EVPN 控制平面会接管该协议,因此自然不需要任何 VRRP 协议。
任播交换矩阵消除了这种需要为每个 VLAN 中的额外静态 IP 地址规划空间的小牺牲。这是因为,安装 VRF 的横向扩展分布/接入交换机越多,您在创建 VLAN 时就必须做好未来增长规划。DHCP 中继等系统服务在任播交换矩阵中的工作方式略有不同,而且内部更复杂。
创建新 VLAN 时,交换矩阵网关 IP 地址是子网中最低的主机 IP 地址。对于虚拟网关交换矩阵,最多 4 个额外静态 IP 地址通常是子网最低主机 IP 地址的递增。最佳做法应避免对网关 IP 地址和静态 IP 地址进行手动更改。更改这些地址只会在其他人可能也管理交换矩阵时增加混乱。
交换矩阵的服务块功能
在设计交换矩阵与 WAN 路由器的连接时,您将利用所谓的服务块功能。您还可以在其他文献中找到术语“服务叶”或“边缘叶”。服务块功能适用于所有类型的集成方案,例如:
- 交换矩阵中的 WAN 路由器集成。
- 交换矩阵需要提供的任何类型的本地服务的服务器附件,例如:
- 用于交换矩阵 VLAN 的 DHCP 服务器。
- 文件服务
- Web 服务器
- 无线网络叠加的Mist边缘
- 更多服务
- 采用传统交换矩阵和网络设计的各种迁移方案
根据交换矩阵的设计,Mist交换矩阵中的服务块功能可以是虚拟的,也可以是物理的。
- 虚拟服务块功能是一种主机代管功能,通常添加到通常具有不同功能的交换矩阵节点中。在我们的案例中,这意味着服务块功能被添加到交换矩阵的核心交换机中。这是默认设计,使您能够以最小的硬件占用空间部署交换矩阵。
- 物理服务块功能始终与所部署交换矩阵的核心交换机顶部的一对专用交换机一致。您可以将其想象成交换矩阵北向的一对专用分布交换机。因此,还建议使用与分布式交换机类似的硬件。
下图显示了两种设计,其中物理服务块功能在图片的左侧,虚拟服务块功能在图片的右侧。
部署交换矩阵时,通常取决于核心交换机的规模、本地端口或接口使用情况以及端口速度和密度,从而决定是使用虚拟交换机还是物理交换机部署。我们建议您考虑以下几点:
- 除了 WAN 路由器之外,您还有足够的端口用于将来的服务器连接吗?
- 支持的端口速度是否与要连接的端口速度匹配?
- 物理服务块功能将来是否会出现规模限制?
- 所连接 WAN 路由器的速度。请记住,根据设计,所有 VRF 到 VRF 的流量都必须通过 WAN 路由器。
当交换矩阵在未来增长到使用两个以上的核心交换机时,您必须拥有一对专用的物理服务块交换机,以实现服务块功能。
使用服务阻止功能的 WAN 路由器集成
有几种方法可以将交换矩阵连接到 WAN 路由器,以传输流向互联网的流量。通常,通过将 WAN 路由器连接到交换矩阵的服务块功能的方式来确定它们。
您可以连接 WAN 路由器:
- 使用 L2 方法:
- 在 VRF 的接入层上看到的 VLAN 或附加定义的传输 VLAN 连接到 VRF 的 VLAN 将通过中继接口向 WAN 路由器共享。
- 交换矩阵的服务块功能与 WAN 路由器之间的中继链路必须使用 IEEE 803.2ad LAG/LACP 才能检测链路故障和设备丢失。您不能在此处使用 STP。在交换矩阵的服务块功能上,您将配置 ESI-LAG 来对此进行归档。WAN 路由器端只需要具有主动链路管理功能的标准 IEEE 803.2ad LAG/LACP 配置。如果 WAN 路由器的供应商不支持后者,则可以考虑使用第 3 层方法。
- 在每个 VRF 的 Fabric 对话框中,必须为所有流向 Internet 和其他 VRF 的默认流量配置带有静态 IP 地址的手动路由。然后,可通过 WAN 路由器访问此静态 IP 地址。
- WAN 路由器需要将此静态 IP 地址分配给交换矩阵的服务块功能接口,以实现可访问性。此静态 IP 地址的冗余需要通过 L2 网关冗余协议进行存档。这里强烈建议使用 VRRP,静态 IP 地址是 VIP。
- 在 WAN 路由器上,您可能需要为连接到 VRF 的 VLAN 定义额外的静态路由。
- 使用 L3 方法:
- 交换矩阵的服务块功能与 WAN 路由器之间的链路将被定义为具有 IP 地址的 L3 P2P 链路。这些需要在交换矩阵和对面 WAN 路由器的每个服务块功能上单独配置。
- 每个 P2P 链路都需要分配给一个 VLAN 名称,该名称也分配给交换矩阵的 VRF。通过这种间接链接,Mist 云可以引用特定 VRF 并将其绑定到该链接。此外,分配给 P2P 链路的 VLAN ID 可实现与同一链路上其他 VRF 的隔离。
- 在每个 VRF 的“结构”对话框中,无需配置指向 WAN 路由器的任何其他路由,因为交换矩阵通过支持的路由协议从 WAN 路由器获取此信息。
- 您必须为交换矩阵和 WAN 路由器之间的导入和导出路由设置和创建策略。
- 您必须使用 L3 路由协议在交换矩阵和 WAN 路由器之间建立路由交换和转发。截至目前,支持的有:
- 外部 BGP,完全由 UI 驱动。
- OSPF(路由im/导出策略目前仍需要额外的 CLI)。
推荐是从第一天开始,在技术上可行的情况下使用基于 L3 eBGP 的方法。即使最初需要更高的配置工作量,它也将是将来存档新功能(如 DCI)的唯一方法。
L2 WAN 路由器连接详细信息
L2 WAN 路由器连接方法只能在实验室设计或小型交换矩阵中选择。即便如此,如果您设计了 HA/冗余 WAN 路由器,则 WAN 路由器供应商也必须支持 IEEE 803.2ad LAG/LACP 和冗余 L2 网关方法,如 VRRP。如果不支持这两者,您将无法将不会在某些时间点出现故障的 HA/冗余 WAN 路由器设计进行存档。
如果使用 L2 方法, 则具有以下选项:
- 将整个交换矩阵视为大型 L2 交换机,并使用桥接叠加模型。
- 将至少一个 VLAN 从接入交换机端也传输到 WAN 路由器,并且该 WAN 路由器(该 VLAN 中的 IP 地址)就是 VRF 本身的默认 GW。(请勿用于生产。
- 为每个 VRF 定义一个专用的传输 VLAN。(建议在执行 L2 退出时使用。
桥接叠加模式允许您直接在 WAN 路由器上处理 VLAN 的所有第 3 层 (L3) 网关功能。许多技术方面的缺点可能会阻止您使用交换矩阵的某些功能。如果要直接从旧设计迁移,可以使用桥接叠加模型,因此我们在这里描述该模型的用途和优势:
- 交换矩阵中的任何位置均未配置 VRF。因此,交换矩阵就像一台大型分布式 L2 交换机。
- 所有流量都锚定在交换矩阵外部的外部 WAN 路由器上。
- WAN 路由器必须在每个 VLAN 中充当 GW 的角色。
- VLAN 之间只能通过 WAN 路由器相互通信。因此,对于任何 VLAN 到 VLAN 流量,任何东西向流量都会被强制首先到达 WAN 路由器。
- 您在交换矩阵的任何接入端口上使用的所有 VLAN 也必须在通往 WAN 路由器的上行链路端口上配置。
下面列出了桥接叠加方法的已知限制:
- 此方法使用的 VLAN 数上限为 250 个左右。这主要是因为 WAN 路由器无法为网关故障切换提供超过 250 个 VRRP 组。您可以向 WAN 路由器供应商确认这一点。
- 如果需要 DHCP 中继,则必须在 WAN 路由器上配置该中继。
- 此模型允许 WAN 路由器作为 VLAN 的 DHCP 服务器。但是,这也意味着,当两台 WAN 路由器部署为高可用性对时,您必须在两台 WAN 路由器之间配置 DHCP 租用冗余。
- 交换矩阵上所有东西向 VLAN 间流量都必须流经 WAN 路由器。
桥接覆盖方法和其他一些方法的组合在技术上是可行的。当客户决定为访客访问提供单独的路径 (VLAN),而该路径不得干扰用于常规客户端的交换矩阵 VLAN 时,通常会使用这种组合。
现在让我们回顾一下另外两个最常用的 L2 模型:
- 延伸 VLAN:这是实验室在连接 WAN 路由器时用于快速进展的方法;其目标不是提供生产级设计,而是提供简单易调试的设计。您可以查看瞻博网络 JVD 和 NCE 中常用的此方法作为示例。
- 使用此方法,接入交换机中使用的 VRF 实例中的 VLAN 也将用于到 WAN 路由器的上行链路上,即服务块功能和 WAN 路由器之间。
- 由于存在这种延伸的 VLAN,必须在该 VLAN 上为 WAN 路由器分配一个空闲 IP 地址,并且 VRF 配置中默认 GW 的手动路由将指向该 IP 地址。
- 如果需要,您可以将更多 VLAN 连接到该 VRF。但您必须删除或修改用于延伸到 WAN 路由器的 VLAN。
- 请勿在生产环境中使用延伸的 VLAN 方法。它有一些缺点,例如,由于交换矩阵内的路由欠佳,可能需要将数据包固定在交换矩阵内部。
- 传输 VLAN:这是在使用 L2 连接方法时在生产级设计中使用的推荐方法。
- 使用此方法,在服务块功能和 WAN 路由器之间的 WAN 路由器的上行链路上,必须为每个 VRF 或 WAN 路由器使用专用 VLAN。此专用 VLAN 不会在交换矩阵内的任何接入交换机上使用。
- 系统会为该专用 VLAN 上分配一个免费 IP 地址,并且 VRF 配置中默认 GW 的手动路由将指向该 IP 地址。
- 在这种情况下,假定您在该 VRF 的接入交换机上使用了一个或多个其他 VLAN。
更深入地了解扩展 VLAN 的转发和配置:
- 在服务块边界功能上,创建一个 ESI-LAG,其中包含属于交换矩阵的所有延伸 VLAN(每个 VRF 一个)。
- WAN 路由器只需要普通的 LAG 支持,因为使用延伸的 VLAN,您可以在单个 LAG 配置中汇集到连接的服务块边界交换机的链路。
- 例如,在 VLAN 10.99.99.0/24 上,交换矩阵 VRF 可能具有任播或虚拟 GW IP 地址 10.99.99.1。所有有线和无线客户端都将使用此地址向交换矩阵发送流量。
- 在 VRF 中,我们将默认路由 (0.0.0.0/0) 配置为网关 10.99.99.254
- 然后,将 IP 地址 10.99.99.254 配置在 WAN 路由器上的 vlan 1099 上,为交换矩阵提供转发。
- 如果您有冗余 WAN 路由器,请为其配置一个地址为 10.99.99.254 的 VRRP-VIP。
更深入地了解传输 VLAN 的转发和配置:
- 在交换机模板中定义其他传输 VLAN。只需定义一个不带网络信息的 VLAN ID。
- 在您的结构定义中,排除它们应使用的 VRF 中的传输 VLAN。仅在此处添加接入 VLAN。
- 请勿在交换矩阵 VRF 中定义默认路由。默认路由在服务块定义中进行配置。
- 在服务块边界交换机上,使用附加 IP 地址配置为 VLAN 添加网络的本地 IP 地址,例如 192.168.101.1/24。
- 在服务块边界交换机上,创建一个仅包含每个 VRF 所选传输 VLAN 的 ESI-LAG。
- WAN 路由器只需要普通的 LAG 支持,因为您可以在单个 LAG 配置中汇集到附加的服务块边界交换机的链路。
- 然后,您需要手动创建和编辑 VRF 服务块边界交换机:
- 将传输 VLAN 添加到自动显示的接入 VLAN 中。
- 创建网关为 192.168.101.1.254 的默认路由 (0.0.0.0/0)
- 对于 10.99.99.0/24 等 VLAN,接入或交换矩阵 VRF 将具有任播/虚拟 GW IP 地址,在本例中为 10.99.99.1。这将由有线/无线客户端使用。
- 然后,将 IP 地址 192.168.101.254 配置在 WAN 路由器上的 VLAN 101 上,以提供交换矩阵的转发。
- WAN 路由器还必须配置通过 192.168.101.1 指向 10.99.99.0/24 的静态路由,因为这是交换矩阵 VRF 的链路。
- 如果您有冗余 WAN 路由器,请在其上为 192.168.101.254 配置 VRRP-VIP。
- 最后,还建议在此时使用其他 CLI 将服务块上的传输 VLAN 和 VRF 功能更改为虚拟网关寻址,与交换矩阵类型无关!这将保证流量将以最佳方式流动。如果您忘记进行此改进,可能会发生以下情况:流量不必要的发夹会使您的服务块通过以下分布交换机发挥作用。在以下示例中,当出现以下情况时会发生这种情况:
- 数据包通过上行链路 1 将交换矩阵排除在服务块功能 1 上,作为 ESI-LAG 的锚点。
- WAN 路由器在上行链路 1 上获取数据包,但将应答数据包向下发送到上行链路 2,朝向服务块功能 2。
- 服务块功能 2 看到锚点是服务块功能 1,但与它没有直接链接。因此,它会将应答数据包向下发送到分布交换机。
- 分配交换机将数据包转发回服务块功能 1。
- 然后,服务块功能 1 作为锚点,将应答转发到其中一个分布交换机,就像它在正常条件下应该的那样。
当我们进行建议的更改时,可以避免这种额外的流量影响。请在下面的附录部分查看更多存档方式,我们将分享具体示例。
一个常见的错误是,人们在交换矩阵的两个服务块功能上定义上行链路时忘记同步 AE-Index-Field。必须在两个服务块功能接口上选择相同的值。系统不会检查这一点,并且如果交换矩阵在其他地方使用它,系统也不会向您发出警告。此外,请确保启用 esilag 配置旋钮。
L3 WAN 路由器连接详细信息
最后,让我们回顾一下将 WAN 路由器连接到交换矩阵的更强大、更可扩展的 L3 方法。使用 L3 方法时, 您有以下选项:
- 使用 OSPF 作为交换矩阵与 WAN 路由器之间的路由协议。
- 使用外部 BGP 作为交换矩阵与 WAN 路由器之间的路由协议。在这种情况下,我们只是交换路由,而不是 EVPN 信息。
使用 L3 路由器连接的 WAN 路由器集成:
- 如果禁用了 VRF,则此方法不起作用。您至少需要一个 VRF。
- 在 WAN 路由器和服务块功能之间,您需要一个路由协议来处理链路丢失时的故障转移。您可以在 OSPF 或 eBGP 之间进行选择:
- OSPF 可能更易于配置,但需要一些额外的 CLI 来添加路由过滤器。
- eBGP 允许您在 GUI 中配置所有内容,但稍微复杂一些。这是瞻博网络推荐的将 WAN 路由器连接到交换矩阵的方法。
- 在交换矩阵对话中,无需手动为每个 VRF 定义其他路由,因为这些路由将通过 OSPF 或 eBGP 获得。
- 对于每个 VRF,选择一个现有连接的 VLAN 作为通往 WAN 路由器的上行链路,作为到 VRF 的间接映射。在生产级高可用性环境中,您有两个 WAN 路由器。每个 VRF 中必须至少有两个 VLAN,然后才能连接 WAN 路由器。这可能有点奇怪,但是在引用绑定到 VRF 的 VLAN 时,Mist UI 知道如何引用 VRF。如果需要,您可以为每个 VRF 使用设备传输 VLAN,但始终需要两个,因为我们需要一对冗余的 WAN 路由器用于生产。
- 对于每个上行链路 VLAN(代表 VRF),您必须有一个用于 L3 点对点 (P2P) 通信的 IP 子网。这些子网必须是唯一的,并且与交换矩阵使用的池(通常为 10.255.240.0/20)不重叠。您可以自己选择它们,因为您需要手动管理该分配。在子接口定义中覆盖交换矩阵 VLAN 的 IP 地址似乎很奇怪,但这是设计使然。对于 P2P 链路,我们建议使用上述结构范围之外的 /31 网络。
- 虽然大部分配置都可以在 Mist GUI 中完成,但您必须为 OSPF 提供几行额外的 CLI:
- 这是为了为每个 VRF 的 OSPF 区域的导入和导出过滤器提供所需的策略语句。借助 eBGP,您可以在 Mist GUI 中管理这些过滤器。
- 您还需要为每个 VRF 设置唯一的 OSPF 路由器 ID。这是为了确保来自 WAN 路由器的路由(如默认路由)分别导入到每个交换矩阵 VRF 中。
- 选择 eBGP 时,您必须管理自己的专用自治系统编号 (ASN)。Mist交换矩阵以 ASN 65000 开头,因此您必须选择低于该值的 ASN。我们不建议对每个 VRF 使用唯一的 AS,因为 QFX 交换机上的最大本地 ASN 数为 16。我们建议您在 VRF 中使用共享 ASN。
P2P 链路上行链路上每个 VRF 和 WAN 路由器的所有 L3 方法都将多路复用到每个链路中。在生产级设计中,您应该会有两个 WAN 路由器。这意味着每个 VRF 至少需要两个 VLAN 才能与外部建立连接。
图 3 显示了两个服务块功能和一个 WAN 路由器的 eBGP 配置示例。
我们在附录中提供了所有 WAN 路由器连接方法的配置示例。如果有什么不清楚的地方,请查看附录。