配置演练

VMware NSX-T 和 Juniper Apstra 集成设置 - 先决条件步骤

• 确保已安装 NSX-T Manager，并分配了管理地址以通过 SSH 或用户界面 （UI） 对其进行访问。对于此解决方案，仅为 NSX-T 管理器部署了一个节点群集。但是，在生产部署中，建议根据《 NSX-T 数据中心安装指南》添加多个节点。

图 1：传输节点网络

• 在 VMware vSphere 中添加所有必需的 ESXi 主机。请注意，此用例只需要四个 ESXi 主机，如图 1 所示。

有关 VMware NSX-T 的详细信息，请参阅 VMware NSX-T 3.2 指南。

VMware NSX-T 管理器：创建隧道端点池

隧道端点 （TEP） 用于外部（外部）IP 封装的标头中，以唯一标识源自和终止覆盖帧 NSX-T 封装的虚拟机管理程序主机。

要创建 TEP 池，请登录到 VMware NSX-T Manager 并导航到 网络 > IP 管理 > IP 地址池 > IP 地址池。

图 2：在 NSX-T 中创建 TEP 池

VMware NSX-T Manager：将 vSphere 添加到 NSX-T Manager

接下来，将 vSphere 服务器作为计算管理器添加到 NSX-T 管理器。NSX-T 管理器获取将用于计算和边缘传输节点的 ESXi 主机清单。

要添加 vSphere Server，请登录到 NSX-T Manager 并导航到 System > Fabric > Compute Manager。

图 3：将 vSphere 详细信息添加为计算管理器

VMware vSphere：在 ESXi 主机上配置 VDS

vSphere 分布式交换机 （VDS） 提供对交换机关联所有主机的网络配置的集中管理和监控。有关详细信息，请参阅 VMware 文档。

在 VMware vSphere 的网络下，右键单击数据中心，然后选择 分布式交换机 > 新建分布式交换机。

对于此虚拟分布式交换机 （VDS），请在 VDS 上创建三个分布式端口组 （DPG）。在所有节点上启用 VLAN 中继 。配置应如下所示：

在连接到边界叶交换机的ESXi1_4设备（托管 NSX-T-Edge 节点）上，实验室中配置了以下 VMNIC：

1. 叠加 VLAN：LAG1 （vmnic3+vmnic7）。这是边界叶交换机的聚合以太网接口。
2. 左上行链路：vmnic2。这是到边界叶 1 et-0/0/0：0 的路由接口。
3. 右上行链路：vmnic6。这是到边界叶 2 et-0/0/0：0 的路由接口。

图 4：ESXi 主机上 配置的物理适配器

1. 创建 VDS

在 VMware vSphere 中，导航到 网络连接 并执行以下操作： 在边缘节点主机上创建 VDS（在本例中名为 NSX-T-Edge-VDS）并分配默认上行链路。有四个默认上行链路。

图 5：添加 NSX-T-Edge VDS

2. 配置 LACP lag1

在 VMware vSphere 中，导航到 网络连接 并执行以下操作：

导航到网络> NSX-T-Edge-VDS，>配置 > LACP 以配置 LACP lag1。

图 6：在 NSX-T-EDGE VDS 上配置 LACP

3. 将虚拟机网卡分配给上行链路和 LAG 端口

在 VMware vSphere 中，执行以下操作：

在 NSX-T-Edge-VDS 操作中，使用 添加和管理主机 将虚拟机网卡分配给上行链路和 LAG 端口。

每个主机都必须连接到结构，如解决方案 体系结构 部分所述。

图 7：将主机添加到 NSX-T-Edge-VDS，显示分配的 虚拟机网卡

图 8：将主机添加到 NSX-t-edge-VDS - 将 VMNIC 分配给上行链路

4. 创建三个分布式端口组

在 VMware vSphere 中，执行以下操作：

1. 在 VDS 上，创建以下内容：
   • 港口
   • 分布式端口组：
     • 左上行链路
     • 覆盖
     • 右上行链路
2. 在所有端口组上启用 VLAN 中继 。

图 9：添加分布式端口组

以下是添加到 NSX-T-Edge-VDS 交换机的三个分布式端口组。

• 左上行链路连接到边界叶1

图 11：编辑左上行链路以分配活动上行链路

• 右上行链路连接到边界叶2

图 12：添加右上行链路分布式端口组

图 13：将活动顺序的上行链路分配给未使用的顺序

• 叠加链路用于 VLAN 传输流量。

图 14：添加叠加分布式端口组

图 15：为叠加网络 分配上行链路故障切换顺序

5. 查看 VDS

配置 NSXT-Edge-VDS 交换机后，交换机应按配置显示以下端口组。Edge 交换机虚拟机将分配给相关端口组。此外，ESXi 主机上的物理适配器现在已分配给 NSX-T-Edge-VDS。

图 16：在 vSphere 中创建的 NSX-T Edge 虚拟机

图 17：分配给 NSX-T-Edge-VDS 的 ESXi 主机上的物理适配器

VMware NSX-T：创建覆盖网络和 VLAN 上行链路传输区域

需要创建三个传输区域：

• Overlay-TZ — 用于数据包的 GENEVE 封装。
• 上行链路 TZ — 用于 NSX Edge 上行链路以连接到交换机结构。
• 上行链路-TZ-2。

创建三个传输区域

要创建三个传输区域，请执行以下操作：

1. 在 NSX-T Manager 中，导航到 系统>结构>传输区域 ，然后单击 +添加区域 。
2. 为叠加 TZ 选择 叠加 流量类型。
3. 为上行链路 TZ 选择 VLAN 流量类型。
4. 为上行链路 TZ-2 选择 VLAN 流量类型。

图 18：NSX-T 中的传输区域

VMware NSX-T：为主机和边缘节点配置上行链路配置文件

既然已在 vSphere 中配置 VDS，就必须在 NSX-T 中创建上行链路配置文件。创建的配置文件对应于上行链路叠加、右边和左边。

• 创建三个上行链路配置文件

1. 在 NSX-T Manager 中，导航到 系统 > 结构 > 配置文件 > 上行链路配置文件，然后单击 ADD。
2. 叠加配置文件：VLAN 50 映射到 lag1。
   图 19：VLAN 50 的叠加配置文件
3. 左边上行链路配置文件：VLAN 100 映射到上行链路 1。
   图 20：VLAN 100 的左边上行链路配置文件
4. 边缘-右上行链路配置文件：VLAN 200 映射到上行链路 2。

图 21：VLAN 200 的边缘-右上行链路配置文件

图 22：覆盖、左上行和右上行链路 的上行链路配置文件

VMware vSphere：将传输节点主机添加到 VDS

对于传输节点主机，应配置 VDS，以便主机可以连接到叠加传输网络。

在 VMware vSphere 的网络下，右键单击在 Juniper Apstra： 添加 NSX-Manager 部分中创建的 VDS，然后将构成传输节点一部分的所有主机添加到 VDS。分配将用于叠加上行链路（LAG 链路）的相应 VMNIC。

图 23：将所有主机上的物理适配器分配给上行链路

图 24：在 NSX-T-Edge-VDS 上配置 MTU

VMware NSX-T：准备计算群集

要使 ESXi 主机成为 NSX-T 覆盖网络的一部分，必须先将其添加到 NSX-T 结构中。

结构节点是在 NSX-T 管理平面中注册并安装了 NSX-T 模块的节点。

1. 在 NSX-T Manager 中，导航到 系统 > 结构 > 节点 > 主机传输 节点。从主机传输节点下的托管者列表中选择相应的 vSphere 实例。
   图 25：NSX 管理器传输节点
2. 选择 ESXi 主机，然后单击 配置 NSX。
   图 26：在传输节点 上配置 NSX VDS
   图 27：ESXi 配置 NSX
3. 单击 完成。
4. 对需要配置为 NSX-T 群集的传输节点的所有 ESXi 主机重复步骤 1 到 3。

VMware NSX-T：传输节点 - 隧道 IP

在节点上配置 NSX-T 后，主机应将 NSX 配置报告为“成功”，将节点状态报告为“启动”。还将显示 NSX 版本。

请记住 TEP IP 地址，因为在后续步骤中将需要这些地址。这些是分配给每个节点的 IP 地址。应从之前配置的 TEP 地址池中设置这些 IP 地址。

图 28：分配给 ESXi 的 TEP 池

VMware NSX-T：部署 NSX 边缘节点并创建边缘群集

接下来，必须创建 NSX Edge 虚拟机。这将用于与交换矩阵的南北向通信和 BGP 对等互连。

• 创建边缘虚拟机

1. 登录到 NSX-T 并导航到 系统 > 结构 > Edge 传输节点。
2. 单击 +添加边缘节点。
   图 29：NSX-T 边缘传输节点
3. 将边缘虚拟机命名为 edge01。
   图 30：添加边缘节点
4. 输入 NSX Edge 虚拟机的凭据。

   记下凭据，以便在后续步骤中使用它们。

   图 31：为 NSX Edge 虚拟机 添加凭据
5. 在下一步中，选择要部署边缘虚拟机的计算管理器、群集和数据存储。
6. 接下来，配置边缘虚拟机网络设置，例如边缘节点的管理 IP、默认网关 IP、DNS 和 NTP 服务器。
   • 在 vSphere 中，创建了一个具有三个上行链路的 VDS。为 NSX-T、覆盖、右边和左边 VDS 中的 vSphere VDS 中的每个上行链路创建一个 NSX-T VDS。

     • 为第一个 NSX-T VDS 命名：

       1. 将第一个 NSX-T VDS 命名为 NVDS 叠加网络。
       2. 将传输区域设置为 覆盖网络 TZ。
       3. 将上行链路配置文件设置为 叠加配置文件。
       4. 选择 TEP 池 作为 IP 池。
       图 32：边缘节点 的 NVDS 叠加
     • 将第二个 NSX-T VDS 命名为：
       1. 将第二个 NSX-T VDS 命名为 NVDS-left。
       2. 将传输区域设置为上行链路-TZ。
       3. 将上行链路配置文件设置为左边上行链路。
       图 33：边缘节点 的左侧 NVDS
     • 将第三个 NSX-T VDS 命名为：
       1. 将第三个 NSX-T VDS 命名为 NVDS-right。
       2. 将传输区域设置为上行链路-TZ。
       3. 将上行链路配置文件设置为边缘-右上行链路。
       图 34：适用于边缘节点的 NVDS

• 验证 NSX-T Edge 的创建

创建 NSX-T Edge 后，将显示一条成功消息。必须从以前配置的 TEP 池中分配 TEP IP 地址。

• 添加边缘群集

1. 在 NSX-T Manager 中，导航到 系统 > 结构 > 节点 > Edge 群集 > 添加。
2. 将集群命名为 edge-cluster1。
3. 为 Edge 群集配置文件选择 nsx-default-edge-high-availability-profile。
4. 为 edge-cluster1 中的成员类型 edge01，选择 Edge 节点。

图 35：添加到 Edge 群集的 Edge01 节点1

图 36：添加到 Edge 群集的 Edge01 节点1

• 验证 Edge 群集

要验证是否存在 SSH 连接以及凭据设置是否正确，请通过 SSH 连接到边缘节点并登录。

图 37：与边缘节点 的 SSH 连接

VMware NSX-T：创建 T-1 网关

Tier-1 网关是一种逻辑路由器，可在 NSX-T 域中的虚拟机之间提供东西向通信。

创建 Tier-1 网关

在 NSX-T Manager 中，导航到 第 1 层网关>网络连接>连接>添加 TIER-1 网关 ，然后输入网关名称为 T1-1。

图 38：NSX-T 第 1 层网关

VMware NSX-T：创建逻辑分段

分段是虚拟 L2 网络，虚拟机在分段中启动。分段连接到 T1 网关，以启用虚拟机之间的连接。

1. 在 NSX-T Manager 中，导航到分段>分段>网络连接>连接>添加分段。
2. 将第一个分段命名为 vn11。
3. 选择 T1-1 | “连接的网关”列表下的第 1 层以指定第 1 层网关。
4. 选择传输区域下的叠加 TZ ，为叠加指定传输区域。
5. 输入要使用的子网： 10.9.11.1/24。

图 39：创建逻辑段

添加其他细分

1. 将第二段命名为 vn22。
2. 选择 T1-1 | “连接的网关”下的第 1 层以指定第 1 层网关。
3. 选择传输区域下的叠加 TZ ，为叠加指定传输区域。
4. 输入要使用的子网： 10.9.22.1/24。

图 40：创建逻辑段

VMware NSX-T：创建 VLAN 支持的逻辑分段

VLAN 支持的分段使 Tier-0 网关能够与交换矩阵建立 BGP 会话。VLAN 支持的分段充当 NSX 中虚拟机与数据中心交换矩阵其余部分之间的南北向数据路径。

• 为每个上行链路创建一个 VLAN 支持的分段：

1. 在 NSX-T Manager 中，导航到分段>分段>网络连接>连接>添加分段。
2. 将第一个分段命名为 上行链路-seg-100。
3. 请勿在“连接的网关”下选择网关。
4. 选择传输区域下的 上行链路 TZ ，为叠加网络指定传输区域。
5. 不要输入要使用的子网。

6. 在 VLAN 下，关联 VLAN 100。

• 添加另一个 VLAN 分段

1. 将第二个分段命名为 上行链路-seg-200。
2. 请勿在“连接的网关”下选择网关。
3. 选择传输区域下的 上行链路 TZ ，为叠加网络指定传输区域。
4. 不要输入要使用的子网。
5. 在 VLAN 下，关联 VLAN 200。

图 41：为边界叶交换机的左右链路创建上行链路段

图 42：边界叶交换机 左右链路的上行链路段

VMware vSphere：确认创建逻辑段

在前面的步骤中创建的逻辑段应反映在 vSphere 客户端中。验证在 NSX-T 中创建的逻辑分段是否存在于 vSphere 客户端中。在 vSphere Client 中，导航到 分布式 vSwitch >配置>拓扑。

VMware vSphere：在区段中创建虚拟机

在群集中的每个传输节点上创建两个测试虚拟机：

1. 将每个传输节点上的第一个虚拟机连接到 NSX-T-Edge-VDS 上的 vn11 逻辑分段，这样就可以测试该传输节点的 vn11 覆盖网络分段。
2. 将每个传输节点上的第二个虚拟机连接到 NSX-T-Edge-VDS 上的 vn22 逻辑分段，这样就可以测试该传输节点的 vn22 覆盖网络分段。

有关详细信息，请参阅有关创建虚拟机和设置网络适配器的 VMware vSphere 指南。

图 43：在 NSX-T 中创建的叠加分段在 vSphere 中可见

图 44：在连接 vn11 和 vn22 端口的情况下创建的虚拟机

VMware NSX-T：创建第 0 层网关 T0-1

Tier-0 网关将 NSX-T 虚拟结构与物理交换机结构连接起来。这是通过使用 BGP 与架顶式 （ToR） 交换机通信来实现的。在本文档中，每个传输节点都连接到一对 QFX-5120 叶交换机，而 Edge 虚拟机主机 （Edge01） 连接到一对QFX5130边界叶交换机。

要添加 Tier-0 网关，请执行以下操作：

1. 在 NSX-T Manager 中，导航至第 0 层网关>网络连接>连接>添加网关。
2. 将 Tier-0 网关命名为 T0-1。
3. 将 HA 模式设置为 主动-主动。
4. 将 T0-1 上的边缘群集设置为 边缘群集 1。
5. 保存并继续执行后续步骤以添加接口、BGP 和路由重新分发。

图 45：创建 T0-1 网关并连接到 Edge 群集

VMware NSX-T：在 T0 网关上配置接口

Tier-0 网关（T0-1 网关）要求每个上行链路分段都有一个接口。

1. 在 NSX-T Manager 中，导航到第 0 层网关>网络连接>连接>编辑 T0-1。
2. 要在上面创建的 T0-1 Tier-0 网关的 Tier-0 网关屏幕内为交换矩阵添加两个外部接口，请执行以下操作：
   1. 单击 设置。
   2. 单击 添加接口 以添加第一个接口并配置以下内容：
      1. 将接口命名为左上行链路。
      2. 设置类型 外部。
      3. 将 IP 地址/掩码设置为 192.168.100.2/24。
      4. 作为 上行链路-seg-100 连接到分段。
      5. 将边缘节点设置为 edge01。
   3. 单击 添加接口 以添加第二个接口并配置以下内容：
      1. 将接口命名为右上行链路。
      2. 设置类型 外部。
      3. 将 IP 地址/掩码设置为 192.168.200.2/24。
      4. 作为 上行链路-seg-200 连接到分段。
      5. 将边缘节点设置为 edge01。

图 46：为 T0-1 添加两个接口，用于左上行链路和右上行链路

VMware NSX-T：在 T0 网关上配置环路接口

环路接口用于创建与交换机交换矩阵边界叶交换机的 BGP 会话。

1. 在 NSX-T Manager 中，导航到第 0 层网关>网络连接>连接>编辑 T0-1。
2. 要为上面创建的 T0-1 Tier-0 网关页面中的结构添加环路接口，请执行以下操作：
   1. 单击 设置。
   2. 单击 添加接口 以添加环回：
      1. 将环路接口命名为 环路接口。
      2. 设置类型 环回。
      3. 将 IP 地址/掩码设置为 10.0.0.1/32。
      图 47：配置环路接口以连接到边界叶交换机

VMware NSX-T：在 T0 网关上配置 BGP

在 NSX-T Manager 中，导航到 网络 > 连接 > Tier-0 网关 >编辑 T0-1

配置 BGP

1. 在上面创建的 T0-1 Tier-0 网关的 Tier-0 网关页面中：
   1. 单击 BGP。
   2. 将本地 AS 设置为 65000。
   3. 启用 BGP。
   4. 单击 BGP 邻居旁边的 设置 。
   5. 单击 添加 BGP 邻居 以添加第一个 BGP 邻居。

配置边界叶 1 的环路 IP 地址

1. 在瞻博网络 Apstra UI 中，导航到“蓝图”><蓝图名称> >“分段”>物理>节点。
   1. 请参阅列名环路 IPv4。
   2. 在下图中，Juniper Apstra 的环回 IP 地址为 192.168.255.2，但具体数字可能会有所不同。
   3. 将 BFD 设置为 禁用。

将远程 AS 编号配置为边界叶 1 ASN 编号

1. 在瞻博网络 Apstra UI 中，导航到“蓝图”><蓝图名称> >“分段”>物理>节点。
   1. 请参阅列名 ASN。
   2. 在下图中，Juniper Apstra 的 ASN 为 64514，但这可能会有所不同。
   3. 将路由过滤器设置为 1 ，并启用 IPV4 路由过滤器，并将输出过滤器设置为 前缀列表输出默认值。

      图 55 设置路由前缀列表

      

   4. 将“允许输入”设置为 “已禁用”。
   5. 在“计时器和密码”下，将“保持时间”设置为 90 ，将“保持活动时间”设置为 30。
      图 48：将边界叶 1 环路添加为邻居
2. 单击 添加 BGP 邻居 以添加第二个 BGP 邻居。

配置边界叶 2 的环路 IP 地址：

1. 在瞻博网络 Apstra UI 中，导航到“ 蓝图 ”><蓝图名称> >“ 分段 ”> 物理 > 节点。
2. 在下图中，来自瞻博网络 Apstra 的环路 IP 地址为 192.168.255.3，但这可能会有所不同。
3. 将 BFD 设置为 禁用。

将远程 AS 编号配置为边界叶 2 ASN 编号：

1. 在瞻博网络 Apstra UI 中，导航到“蓝图 ”><蓝图名称> >“分段”>物理>节点。
2. 请参阅列名 ASN。
3. 在下图中，Juniper Apstra 的 ASN 为 64554，但这可能会有所不同。
4. 为路由筛选器选择 1 。
5. 启用 IPV4 路由过滤器。
6. 为“输出筛选器”选择 前缀列表输出默认值 。
7. 将“允许输入”设置为 “已禁用”。
8. 选择“最大跳跃限制”为 10。
9. 在计时器和密码下将按住时间设置为 90 并保持活动时间为 30 ：

图 49：T0-1 上的 BGP 邻居是边界叶环回

VMware NSX-T：在 T0 网关上配置串联模式和路由重新分发

1. 在 NSX-T Manager 中，导航到第 0 层网关>网络连接>连接>编辑 T0-1。
2. 在 Tier-0 网关中，筛选上面创建的 T0-1 Tier-0 网关：
   1. 选择 EVPN 模式作为 内联模式。
   2. 单击三个垂直点，然后为 EVPN/VXLAN VNI 池创建新的 VNI 池。
      图 50：T0 网关 EVPN VXLAN VNI 池
3. 单击在 EVPN 隧道端点附近 设置 ，然后配置以下内容：
   1. 将 EVPN 本地隧道端点命名为 edge-vtep。
   2. 边缘节点名称：edge01（根据 VMware NSX-T：部署 NSX 边缘节点并创建边缘群集创建）。
   3. 本地地址：10.0.0.1 （这是在 VMware NSX-T：在 T0 网关上配置环路接口中配置的 T0 网关的环路地址）。
   4. MTU： 9000。
   5. 将更改保存到 Tier-0 网关。

图 51：配置本地 EVPN 隧道端点

图 52：T0-1 第 0 层网关 EVPN 内联模式

在上面创建的 T0-1 Tier-0 网关的 Tier-0 网关屏幕中：

1. 展开并单击 路由重新分发。
   图 53：配置路由重新分发
2. 在播发的 Tier-1 子网下，仅检查以下来源：
   1. 连接的接口和段
   2. 服务接口子网
   3. 静态路由
   4. 互联分段

   确保未选中其他框。

   图 54：设置路由重新分发

VMware NSX-T：创建静态路由以在边界叶交换机上进行环回

需要创建静态路由，以实现边界叶交换机上环路的可访问性。这些接口用于在 NSX-T 和边界叶交换机之间建立 BGP 邻接方。

1. 在 NSX-T Manager 中，导航到 网络连接 > Tier-0 网关。
2. 选择“ T0-1 网关 ”并进行编辑，然后选择 “设置”。
3. 添加边界叶 1 的环回 192.168.255.2/32 和边界叶 2 的 192.168.255.3/32 作为静态路由。

到边界叶 1 的静态路由

图 55：到边界叶 1 的静态路由

单击 设置下一跃点 并添加 192.168.100.1 （边界叶 1 交换机接口的 IP）。

图 56：下一跃点作为边界叶 1 接口 IP（左上行链路）

到边界叶 2 的静态路由

对于到边界叶 2 的静态路由，请单击 设置下一跃点 并添加 192.168.200.1 （边界叶 2 交换机接口的 IP）。

图 57：边界叶 2 静态路由

图 58：下一跃点作为边界叶 2 接口 IP（右上行链路）

图 59：到边界叶交换机 的静态路由

VMware NSX-T：在 T0 网关上创建 IP 前缀列表

必须将 IP 前缀列表设置为不允许通告交换矩阵 IP。

添加 IP 前缀，如下所示：

1. 在 NSX-T Manager 中，导航到 网络连接 > Tier-0 网关。
2. 选择 T0-1 网关，展开路由，然后单击 IP 前缀列表旁边的数字以添加或编辑前缀列表。

   prefixlist-out-default 是在 T0 网关 BGP 上设置的前缀列表，如 VMware NSX-T：在 T0 GW 上配置 BGP 中所述。

   图 60：将前缀添加到前缀列表默认
3. 单击前缀下的 1 （或任何数字）以添加前缀。
4. 单击 编辑 并添加以下前缀。

图 61：允许播发 VM 前缀，拒绝 Rest

VMware NSX-T：连接 T1 和 T0 网关

连接 T1 和 T0 网关可实现东西向连接以及与 NSX-T 域中的虚拟机的南北向通信。

连接网关

1. 在 NSX-T Manager 中，导航到 网络 > Tier-1 网关。
2. 选择 T1-1 网关。
3. 在“链接的 Tier-0 网关”下，选择 T0-1。
4. 在 VMware NSX-T 中添加 edge-cluster1 设置：部署 NSX Edge 节点并创建 Edge 群集。
5. 在路由播发下选择以下内容：
   • 所有静态路由
   • 所有LB贵宾路线
   • 所有 LB SNAT IP 路由

图 62：将 T0-1 网关链接到 T1-1

Juniper Apstra：添加 NSX 管理器

要让 Juniper Apstra 修复虚拟基础架构与物理 IP 交换矩阵之间的不一致，应在 Juniper Apstra 中添加 NSX-T 管理器。

在瞻博网络 Apstra UI 中，导航到 外部系统 > 虚拟基础架构管理器 > 创建虚拟基础架构管理器 ，然后添加 NSX-T 管理器详细信息和凭据。

图 63：在 Apstra 中添加 NSX-T 和 vsphere

Juniper Apstra：在蓝图中为 NSX-T 创建路由策略

为下一步中创建的 NSX-T 路由区域添加路由策略。

在瞻博网络 Apstra UI 中，导航到“蓝图”><blueprint-name>>分段>策略>路由策略“>”创建路由策略”。

图 64：NSX-T 路由策略

Juniper Apstra：在蓝图中创建路由区域

在蓝图中添加映射到 VRF 的路由区域：

1. 在瞻博网络 Apstra UI 中，导航到蓝图> <blueprint-name> >分段>虚拟>路由区域>创建路由区域，并了解以下详细信息：
   • VRF 名称：NSX-T
   • VLAN ID：9
   • VNI： 20000
   • 路由目标：20000：1
   • 路由策略：NSX-T

图 65：与 NSX-T 通信的路由区域

Juniper Apstra：将环路 IP 分配到路由区域

创建 NSX-T 路由区域后，为路由区域分配环路 IP。环回 IP 是从资源中的 IP 池中分配的。在下图中，池 MUST-EVPN-环回 DC1 已在“资源”下创建。这符合 Apstra 资源：ASN、结构和环回 IP 地址部分。

环路 IP 将分配给路由实例，并用于在叶交换机之间扩展 EVPN 和 NSX-T 覆盖网络 VLAN。

图 66：来自资源的 IP 池

图 67：为 NSX-T 路由区域中 的叶交换机分配 IP 池

Juniper Apstra：将 NSX-Manager 添加到蓝图中

将 NSX 管理器添加到管理交换矩阵的蓝图中：

1. 在瞻博网络 Apstra UI 中，导航到蓝图><蓝图名称>>分段>虚拟>虚拟基础架构“>然后添加虚拟基础架构。
2. 从虚拟基础架构管理器中，选择在 Juniper Apstra 中添加的 vSphere：添加 NSX-Manager。
3. 将 VLAN 补救策略 VN 类型设置为 VXLAN。
4. 将路由区域设置为 NSX-T。

图 68：将 NSX-T 管理器添加到蓝图中

Juniper Apstra：将 NSX-T-Overlay 添加为 VN

要在 NSX-T 中的传输节点之间建立日内瓦隧道，需要通过瞻博网络 Apstra 交换矩阵建立连接。这可以通过在 Apstra 中创建 VXLAN 虚拟网络并在 ToR 叶交换机中为传输节点分配正确的端口映射来确保这一点。确保在 Apstra 中定义的叠加 VXLAN VN 的 VLAN ID 与在 NSX-T 的传输节点的叠加配置文件中映射的 VLAN ID 匹配。

VLAN 50 在映射到 VNI 10050 的 NSX-T 托管叠加网络中配置。创建虚拟网络时，应选择“ 已标记的连接 模板”。虚拟网络将分配给所有叶交换机。IPv4 子网 （IRB） 已禁用，因为 NSX-T 已将 TEP 分配给 NSX-T 中的主机。

图 69：配置的 NSX-T 覆盖网络配置文件传输 VLAN 50

Juniper Apstra：验证连接模板

创建虚拟网络后，如果选择“创建连接模板”，则会创建“连接模板”类型“虚拟网络 [单个]。

验证虚拟网络的创建：

1. 在 Juniper Apstra UI 中 ，导航到蓝图 > <蓝图名称> > 分段 > 连接模板。
2. 滚动以查找虚拟网络的连接模板。
3. 单击 编辑 以查看连接模板。

图 70：为叠加虚拟网络 生成的 Apstra 连接模板

Juniper Apstra：为连接模板分配接口

连接模板将分配给面向 ESXi 主机的聚合以太网 （AE） 接口。

图 71：AE 接口已分配给连接模板

Juniper Apstra：提交配置

从蓝图中，导航到 蓝图> <蓝图名称> > 未提交 ，然后提交配置。这会将 VN 和路由区域推送到 NSX-T 的所有结构设备。

VMware NSX-T：日内瓦隧道

Juniper Apstra 将配置推送到 Junos OS 设备后，请注意传输节点和边缘节点之间的 GENEVE 隧道是否正常：

1. 在 edge01 Edge-VM 上，查看隧道端点并验证状态是否为 UP。
2. 在 NSX-T Manager 中，导航到 NSX-T 管理器>系统>结构>节点> Edge 传输节点。
3. 单击 edge01，然后单击 隧道。

图 72：NSX-T Edge 节点隧道已启动

Juniper Apstra：添加从边缘节点到交换矩阵的连接模板

连接模板指定从边缘节点到交换矩阵连接的 IP 链路，以及与用户指定的 BGP 邻居寻址对等方的 BGP 对等会话。

1. 在 Juniper Apstra UI 中，导航到“ 蓝图 ”>“ <blueprint-name> > 分段 > 连接模板。
2. 单击 添加模板。

Juniper Apstra：添加 IP 链路、BGP 对等和静态路由

连接模板用于为左右上行链路创建通向 NSX-T Edge 节点 edge01 的 NSX-T 上行链路。

此处选择默认路由区域以连接到 Edge 节点，因为交换矩阵中的 NSX-T 流量是叠加网络流量。流量到达 NSX-T 后，即为底层流量。

对等 ASN 为 NSX-T T0-1 ASN 65000。

• 为左上行链路和右上行链路创建两个 IP 链路连接模板

图 73：左右上行链路 的 IP 链路连接模板

• 创建 BGP 对等互连并分配 NSX-T 路由策略

1. 在 Juniper Apstra UI 中，导航到“ 蓝图 ”>“ <蓝图名称> > 分段 > 连接模板。
2. 单击 添加模板。
3. 为 BGP 对等互连创建连接模板并分配 NSX-T 路由策略。

图 74：通往边缘节点 的上行链路的连接模板

• 创建两个自定义静态路由连通性模板

静态路由在单独的连接模板中创建，因为此处使用的原始“自定义静态路由”是在系统级别（边界叶级别）生成的。左侧上行链路的静态路由从边界枝叶 1 开始到边缘节点，右侧上行链路从边界枝叶 2 开始到边缘节点。

1. 在 Juniper Apstra UI 中，导航到蓝图><蓝图名称>>分段>连接模板。
2. 单击 添加模板。重复此过程，为左右上行链路创建连接模板。

• 为静态路由创建两个连通性模板
  • 从边界叶 1 到边缘节点的左侧静态路由。
  • 从边界枝叶 2 到边缘节点的右侧静态路由。

图 75：左上行链路静态路由 的连接模板

图 76：右上行链路静态路由 的连接模板

Juniper Apstra：重命名通用系统并从边界叶交换机添加链路

为从边界叶交换机到 NSX-T-Edge 设备的上行链路创建 IP_Link 的连接模板后，Apstra 会添加一个具有 ASN 的通用系统节点（在前面的步骤中，65000 分配给 T0）。

1. 在 Juniper Apstra UI 中，导航到“蓝图”><蓝图名称>>“分段”>物理>节点。
2. 找到添加的通用系统，如下所示。单击铅笔图标将此名称更改为 NSXT-Edge-01。

图 77：重命名添加 IP 链路连接模板 后添加的通用系统

更改通用系统名称后，为左右上行链路创建从两个边界叶交换机到 ESXi 的链路。

1. 在 Juniper Apstra UI 中，导航到“蓝图 ”><蓝图名称> “>分段>物理>拓扑。
2. 选择 “边界叶 1”，然后选择“添加指向通用系统的链接”并从dc1_border_leaf1创建链接。
3. 对于dc1_border_leaf2，创建正确上行链路链路的步骤类似。

创建两个边界叶交换机上行链路后，链路将显示在拓扑中。之后，可以从连接模板分配接口，如后续步骤中所述。

Juniper Apstra：将接口分配给连接模板

分配在 Juniper Apstra 中创建的连接模板：添加 IP 链路、BGP 对等和静态路由 部分。

1. 分配上行链路。
2. 对于来自边界叶交换机的上行链路，请为 dc1_border_leaf1 和 dc1_border_leaf2 分配适当的以太网接口：
   • 从dc1_border_leaf1左上行链路
   图 79：边界叶 1 上的左上行链路接口
   • 从dc1_border_leaf2直接上行链路
   图 80：边界叶 2 上的右上行链路接口
3. 分配 BGP。
4. 对于 BGP 对等互连，请选择 dc1_border_leaf1 并dc1_border_leaf2环路接口 lo0.0。
   图 81：将 BGP 对等分配给两个边界叶交换机 左右上行链路 的默认环路接口
5. 分配静态路由
   • 到边界叶 1 的左上行链路的静态路由
   图 82：将左侧上行链路的静态路由分配给边界叶 1
   • 到边界叶 2 的右上行链路的静态路由
   图 83：将右上行链路的静态路由分配给边界叶 2

Juniper Apstra：将 IP 和 VLAN ID 分配给接口

创建连接模板并分配物理接口后，必须为接口分配 IP 地址和 VLAN ID。

编辑连接边界叶和边缘节点的接口：

1. 在瞻博网络 Apstra UI 中，导航到蓝图><blueprint-name>>分段>虚拟>路由区域>默认路由区域>接口>编辑 IP 地址。
2. 输入边界叶交换机的 IP 地址和主机上 Edge 节点接口的 IP 地址。

图 84：将 IP 分配给连接到边缘主机 的接口

Juniper Apstra：提交配置

导航到蓝图>未提交并提交配置。这会将使用连接模板创建的所有上行链路推送到设备。

瞻博网络 Junos OS：验证配置

登录到其中一个边界叶交换机，并验证是否正在推送配置。

验证物理结构配置

通过 SSH 连接到其中一个边界叶交换机，然后运行以下命令：

• 显示配置接口 ET-0/0/0：0 | 显示集
• 显示配置协议 BGP 组 L3RTR | match 10.0.0.1 | 显示集
• 显示配置路由选项 | 显示集

VMware NSX-T：验证边缘上的 BGP 会话

在边缘节点上，验证是否已建立 BGP 会话以及是否已交换叠加路由。

验证 NSX-T 配置

通过 SSH 连接到 NSX-T edge01 Edge-VM，然后运行以下命令：

1. 首先，要确定VRF （SR-T0-1），请运行命令，获取逻辑路由器并选择名称为“SR-T0-1”的路由器。（服务路由器第 0 层）相应的 VRF 编号位于 VRF 列中。
2. 获取 BGP 邻居摘要
3. 获取路由

VMware NSX-T：验证 ToR 上的 BGP 会话

Juniper Apstra 应该会检测到蓝图上没有 BGP 异常。

在 Juniper Apstra UI 中 ，导航到蓝图 > <蓝图名称> > 激活。

图 85：Juniper Apstra 未检测到异常

登录到其中一个边界叶交换机，并验证 BGP 会话是否已启动，以及覆盖网络路由是否已交换。

验证物理结构配置

通过 SSH 连接到其中一个边界叶交换机，然后运行以下命令：

• 显示 BGP 摘要组 L3RTR
• 显示路由接收协议 BGP 10.0.0.1 表 inet.0
• 显示路由广告协议 BGP 10.0.0.1 表 inet.0

VMware NSX-T：验证叠加网络连接（东西向）

要测试东西向流量，请在跨分段的虚拟机之间以及在 VMware vSphere 中创建的 Linux 虚拟机之间运行 ping 测试 ：在分段中创建虚拟机。

流程如图 86 所示：

1. 来自 VM11-1（ESXi1_2主机上）的 ping 会遍历来自 ESI 叶的结构以到达边界叶 1。
2. 从边界叶发送到ESXi1_4上托管的边缘节点。
3. 流量从边缘节点发送到 T1-GW，后者又使用 ESXi1_4 上的 TEP 端口发送 ping 流量以到达 ESXi1_3 的 TEP 端口，然后到达 VM22-1。

图 86：VM 到 VM 流量（东西向）

图 87：连接到 vn11 的 VM11 能够 ping 连接到 vn22 逻辑分段 的 VM22

图 88：连接到 vn22 逻辑分段的 VM22 Ping 连接到 vn11 的 VM11

从边界叶交换机到覆盖网络虚拟机的跟踪路由会显示所采用的路径。

图 89：从边界叶交换机 到 VM11 的路径

（可选）Juniper Apstra：将 vSphere Server 添加到 Juniper Apstra

此步骤是可选的，但 vSphere 的集成提供了对 MAC、虚拟机和 ARP 的附加可见性层。它还允许您查看与通过 ESXi 服务器连接的每个结构叶设备连接的所有底层虚拟机和 docker 容器。

将 vSphere 服务器添加到管理结构的蓝图中：

1. 在瞻博网络 Apstra UI 中，导航到蓝图><蓝图名称>>分段>虚拟>虚拟基础架构>添加 虚拟基础架构。
2. 将 VLAN 补救策略 VN 类型设置为 VXLAN。
3. 将路由区域设置为 NSX-T。
4. 导航到蓝图> <蓝图名称>> 活动>查询。可在此处查看与交换矩阵关联的所有 VM。有关更多信息，请参阅瞻博网络 Apstra 4.2 用户指南。