Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

如何使用 EVPN 多宿主配置折叠主干

要求

此示例假定您有两个具有独立网络的数据中心(DC1 和 DC2)。此示例使用以下设备和软件:

  • DC1:

    • 两台主干交换机:运行 Junos OS 18.4R2-S1.4 版的 QFX5120-48Y

    • 两台 ToR 交换机:运行 Junos OS 18.1R3-S6.1 版的 EX4300-48T

    • 两台安全设备:运行 Junos OS 18.2R3.4 版的 SRX345 设备(可选附加配置)

    • 四台服务器

  • DC2:

    • 两台主干交换机:运行 Junos OS 18.4R2-S1.4 版的 QFX5120-48Y

    • 两台 ToR 交换机:运行 Junos OS 18.1R3-S6.1 版的 EX4300-48T

    • 两台服务器

每对 ToR 交换机都应已配置为一个虚拟机箱。有关使用 EX4300 交换机组成虚拟机箱的详细信息,请参阅了解 EX 系列虚拟机箱 。此示例配置仅在 虚拟机箱 中的一个成员上的 ToR 虚拟机箱和两个主干设备之间使用多宿主聚合以太网链路。如果可能,为了获得更好的弹性,您可以使用来自不同 虚拟机箱 成员的接口连接 虚拟机箱 和主干设备之间的多宿主聚合以太网链路。

概述

使用此示例配置具有 ToR 交换机 EVPN 多宿主的折叠主干架构。我们有两个数据中心具有可选的数据中心互连 (DCI) 配置,一个可选的 SRX 群集以增加安全性,以及一个可选的 DHCP 中继配置。此配置示例说明如何在 DC1 中配置此架构。您可以在 DC2 中使用类似的配置。

拓扑学

在此部署中,有两个数据中心:DC1 和 DC2。数据中心网络配置为折叠式主干架构,使用 QFX5120 作为主干交换机。在这种情况下,我们建议您将 EVPN-VXLAN 交换矩阵限制在本地数据中心。

您可以选择使用底层中的第 3 层 DCI 连接数据中心。此用例不需要在数据中心之间进行第 2 层延伸。数据中心间流量仅适用于第 3 层,并通过 DC1 中的 SRX 群集路由以进行高级检测。

图 1 显示了此 NCE 中使用的组件之间的逻辑连接。

图 1:逻辑拓扑 Logical Topology

DC1 中有两个租户:JNPR1 和 JNPR2。为了确保安全性,DC1 中 JNPR1 和 JNPR2 之间的任何租户间流量都通过 SRX 防火墙群集路由。

  • DC1:

    • VLAN 201 和 202 属于 JNPR1。

    • VLAN 211 和 212 属于 JNPR2。

    • DC1 的服务器位于 VLAN 201、202、211 和 212 中。

  • DC2:

    • VLAN 221 和 222 属于默认租户,与默认路由实例相同。

    • DC2 的服务器位于 VLAN 221 和 222 中。

图 2 显示了此 NCE 中使用的组件之间的物理连接。

图 2:物理拓扑 Physical Topology

准备工作

在配置交换矩阵之前,您需要在设备上实施一些基本配置。

程序

分步过程

  1. 默认情况下,不会创建聚合以太网接口。您必须先设置聚合以太网接口的数量,然后才能对其进行配置。设置设备计数后,系统将创建该数量的空聚合以太网接口,每个接口都具有全球唯一的 MAC 地址。您可以通过将设备数量增加到设备上所需的 ESI-LAG 接口数来创建更多聚合以太网接口。

    设置所有主干交换机和 ToR 交换机上的聚合以太网接口数量。

  2. 默认情况下,QFX5120-48Y 上的端口 0 到 47 用作 10 千兆端口。SRX 设备仅支持 1 千兆位。将主干 1 和主干 2 上连接到 SRX 系列防火墙的端口配置为 1 千兆端口。在这种情况下,这些端口是 ge-0/0/10 和 ge-0/0/11。要在这些端口上启用 1 千兆,请配置四边形中第一个端口的速度,在本例中为 ge-0/0/8。

    对主干 1 和主干 2 使用以下语句:

    注意:

    您只能按四通道(四端口组)配置 1 千兆和 25 千兆端口速度,而不能单独配置。所有端口在四边形内以单一速度运行。例如,如果您将端口 8 到 11 配置为 1 千兆以太网端口,并在端口 10 中插入 10 千兆 SFP+ 收发器,则不会为此端口创建接口。

  3. 自动速度检测模式可检测 100 千兆以太网接口和 40 千兆以太网接口,并自动对其进行通道化。默认情况下,自动通道化和速度检测处于启用状态。在此示例中,自动通道化会将每个 40 千兆以太网接口分成四个 10 千兆以太网接口。

    禁用主干 3 上的端口 et-0/0/2 和 et-0/0/31 以及主干 4 上的端口 et-0/0/49 和 et-0/0/50 上的自动通道化,使其保持 40 千兆以太网接口。

    主干 3:

    主干 4:

配置底层

在此拓扑中,IP 交换矩阵仅位于两台主干交换机之间,如 图 3 所示。两台主干交换机通过点对点链路建立 EBGP 对等互连,以便相互交换环路地址。

图 3:IP 交换矩阵拓扑 IP Fabric Topology

配置主干 1

分步过程

  1. 在主干 1 上配置接口。

  2. 配置 EBGP 底层。

  3. 配置导入和导出策略。

  4. 启用 ECMP 和 ECMP 快速重新路由保护。启用按流的负载平衡,这是使用 per-packet 关键字执行的操作。

    如果链路出现故障,ECMP 会使用快速重新路由保护将数据包转发转移到运行链路,从而减少数据包丢失。快速重新路由保护更新 ECMP 接口集,无需等待路由表更新。下一次路由表更新时,可以添加链路较少的新 ECMP 集,或者路由可以指向下一个跃点。

  5. 默认情况下,ARP 老化计时器设置为 20 分钟,MAC 老化计时器设置为 5 分钟。为避免 EVPN-VXLAN 环境中的 MAC 和 MAC-IP 绑定条目出现同步问题,请将 ARP 老化配置为比 MAC 老化更快。

配置主干 2

分步过程

在主干 2 上重复主干 1 的配置。

  1. 在主干 2 上配置接口。

  2. 配置 EBGP 底层。

  3. 配置导入和导出策略。

  4. 启用 ECMP 和 ECMP 快速重新路由保护。

  5. 为避免 EVPN-VXLAN 环境中的 MAC 和 MAC-IP 绑定条目出现同步问题,请将 ARP 老化配置为比 MAC 老化更快。

验证底层

分步过程

  1. 验证两个 BGP 邻居会话是否均已在主干 1 上建立。

  2. 验证主干 2 (192.168.255.12) 的环路地址是否由主干 1 从两个 BGP 邻居会话接收。

  3. 从主干 1 对其他主干主干设备的环路执行 Ping 命令。

配置叠加

本节介绍如何配置叠加。它包括 IBGP 对等互连以及虚拟网络的 VLAN 到 VXLAN 的映射。

配置主干 1

分步过程

  1. 在主干 1 和主干 2 环路地址之间配置 IBGP 对等互连。

  2. 配置 VLAN 和 VLAN 到 VXLAN 的映射。

  3. 配置以下交换机选项:

    • 虚拟隧道端点 (VTEP) 源接口。这是主干 1 上的环路地址。

    • 此设备生成的路由的路由识别符。

    • 路由目标。

    1 类 EVPN 路由使用下 vrf-target 配置的路由目标。2 类和 3 类 EVPN 路由使用自动派生的每 VNI 路由目标进行导出和导入。

  4. 配置 EVPN 协议。首先,将 VXLAN 配置为 EVPN 的数据平面封装。

    接下来,配置属于此 EVPN-VXLAN MP-BGP 域的 VNI。用于 set protocols evpn extended-vni-list all 配置所有 VNI,或单独配置每个 VNI,如下所示。

  5. 如果数据中心只有两台主干交换机,且彼此之间只有 BGP 邻居会话,则必须在两台主干交换机上禁用核心隔离。否则,如果一台主干交换机宕机,另一台主干交换机将丢失所有 BGP 邻接会话,从而将面向 ToR 的端口置于 LACP 备用模式,并导致流量完全丢失。有关详细信息,请参阅 裂脑状态了解何时禁用 EVPN-VXLAN 核心隔离

配置主干 2

分步过程

  1. 为避免 EVPN-VXLAN 环境中的 MAC 和 MAC-IP 绑定条目出现同步问题,请将 ARP 老化配置为比 MAC 老化更快。

  2. 配置 IBGP 对等互连。

  3. 配置 VLAN 和 VLAN 到 VXLAN 的映射。

  4. 配置以下交换机选项。

  5. 配置 EVPN 协议。

    接下来,配置属于此 EVPN-VXLAN MP-BGP 域的 VNI。用于 set protocols evpn extended-vni-list all 配置所有 VNI,或单独配置每个 VNI,如下所示。

  6. 如果数据中心只有两台主干交换机,且彼此之间只有 BGP 邻居会话,则必须在两台主干交换机上禁用核心隔离。

验证叠加

分步过程

  1. 验证主干 1 和主干 2 之间是否已建立 IBGP 对等互连。

  2. 验证 EVPN 域的源 VTEP。

  3. 验证所有源 VTEP 和远程 VTEP。

对第 3 层进行配置和分段

配置主干 1

分步过程

  1. 配置路由和转发选项。

    注意:

    更改路由和转发选项(如 next-hopoverlay-ecmpchained-composite-next-hop )会导致数据包转发引擎重新启动,从而中断所有转发操作。

    • 将下一跃点数设置为至少覆盖中预期的 ARP 条目数。有关配置 vxlan-routing next-hop的更多信息,请参阅下一跃点(VXLAN 路由)。

    • 使用语 overlay-ecmp 句启用两级等价多路径下一跃点。如果还配置了纯 5 类路由,则第 3 层 EVPN-VXLAN 叠加网络需要此语句。强烈建议在启用纯 5 类路由时配置此语句。

    • chained-composite-next-hop该配置是具有 VXLAN 封装的 EVPN 纯 5 型的必备配置。否则,PFE 将不会配置隧道下一跃点。

    • 将路由器 ID 配置为与用作 VTEP 源的环路 IP 地址和叠加 BGP 本地地址相同。

  2. 要启用默认网关功能,请为每个 IRB 接口配置一个唯一的 IP 地址和一个虚拟网关地址 (VGA),该地址必须是任播 IP 地址。当您为 VGA 指定 IPv4 地址时,第 3 层 VXLAN 网关会自动生成 00:00:5e:00:01:01:01 作为 MAC 地址。此示例说明如何手动配置虚拟网关 MAC 地址。在两个主干设备上为给定的 IRB 配置相同的虚拟网关 MAC 地址。

    注意:

    如果 VGA IP 地址低于 IRB IP 地址,则必须使用 preferred IRB 配置中的选项,如此示例中所示。

  3. 您将在每个主干设备的 IRB 接口上配置相同的任播 IRB IP 和 MAC 地址。由于主干设备在折叠式主干架构中同时充当主干设备和叶设备,因此是唯一需要了解 IRB 接口的设备。禁用 IRB 接口向其他设备播发。

  4. 将属于不同租户的 IRB 放入各自的路由实例中。这允许相同路由实例中的 IRB 共享路由表。因此,路由实例中的 IRB 可以相互路由。不同路由实例中的 IRB 可以通过 SRX 防火墙等外部安全策略实施器相互通信,或者如果我们在路由实例之间显式泄露路由,则可以相互通信。

  5. 为路由实例配置 5 类 VNI。为 EVPN-VXLAN 设置路由实例时,必须包括环路接口及其 IP 地址。如果省略环路接口和关联的 IP 地址,则无法处理 EVPN 控制数据包。

配置主干 2

分步过程

  1. 配置路由和转发选项。

    注意:

    更改路由和转发选项(如 next-hopoverlay-ecmpchained-composite-next-hop )会导致数据包转发引擎重新启动,从而中断所有转发操作。

  2. 配置 IRB。

  3. 由于在两台主干交换机的 IRB 接口上配置了相同的任播 IRB IP 和 MAC 地址,因此请禁用 IRB 接口向其他设备播发。

  4. 将属于不同租户的 IRB 放入各自的路由实例中。

  5. 为路由实例配置 5 类 VNI。

为 ToR 交换机配置 EVPN 多宿主

EVPN 多宿主使用 ESI。ESI 是启用 EVPN LAG 服务器多宿主的必需属性。ESI 值编码为 10 字节整数,用于标识多宿主分段。在连接到 ToR 交换机的所有主干交换机上启用的相同 ESI 值会形成 EVPN LAG。此 EVPN LAG 支持朝向 ToR 交换机的主动/主动多宿主。

ToR 交换机(在本例中为 ToR 虚拟机箱实现)使用 LAG 连接到两台主干交换机。如 图 4 所示,ToR1 通过 LAG ae1 连接到主干交换机。主干交换机上的此 LAG 由 EVPN 多宿主功能启用。

图 4:ToR 1 的 EVPN 多宿主配置 EVPN Multihoming Configuration for ToR 1

配置主干 1

分步过程

  1. 默认情况下,不会创建聚合以太网接口。您必须先设置交换机上的聚合以太网接口数量,然后才能对其进行配置。

  2. 配置 ESI。在两台主干交换机上设置相同。启用全活动模式。

    注意:

    您还可以自动派生 ESI。在此示例中,您将手动配置 ESI。

  3. 配置 LACP 系统 ID。 在两台主干交换机上设置相同的值,以向 ToR 交换机指示指向这两台主干交换机的上行链路属于同一 LAG 束。因此,ToR 交换机将两台主干交换机的上行链路放在同一个 LAG 束中,并在成员链路之间共享流量。

  4. 将主干 1 上连接到 ToR 1 的物理接口配置为 ae1 LAG 的成员。

配置主干 2

分步过程

  1. 设置交换机上的聚合以太网接口数量。

  2. 配置 ESI。在两台主干交换机上设置相同。启用全活动模式。

  3. 配置 LACP 系统 ID。在两台主干交换机上将其设置为相同。

  4. 将主干 2 上连接到 ToR 1 的物理接口配置为 ae1 LAG 的成员。

配置 ToR 1

分步过程

  1. 默认情况下,不会创建聚合以太网接口。您必须先设置交换机上的聚合以太网接口数量,然后才能对其进行配置。

  2. 配置聚合以太网接口。

  3. 配置 VLAN。

验证 EVPN 多宿主

分步过程

  1. 检查 ae1 的状态以及与 LAG 关联的 ESI。

  2. 验证 ae1 的成员是否正在收集和分发。

  3. 验证 EVPN 实例中 EVPN 多宿主的状态是否 Resolved 在主干 1 上。您还可以查看哪台主干交换机是 BUM 流量的指定转发器。

  4. 验证 ae1 接口的所有成员链路是否都在 ToR 1 上收集和分发。

为服务器配置多宿主

将服务器多宿主到 ToR 虚拟机箱,以实现冗余和负载共享。服务器使用 LAG 连接到两台 ToR 虚拟机箱成员交换机。

图 5 所示,端点 1 通过 LAG ae5 连接到 ToR 虚拟机箱,属于JNPR_1租户。端点 11 通过 LAG ae6 连接到 ToR 虚拟机箱,属于JNPR_2租户。

图 5:多宿主服务器拓扑 Multihomed Server Topology

配置 ToR 1

分步过程

由于 ToR 交换机是在虚拟机箱中配置的,因此您只需在主交换机上提交配置即可。在此示例中,ToR 1 是主开关。

  1. 在连接到端点 1 的接口上配置 LAG:ToR 1 上的接口 xe-0/2/10 和 ToR 2 上的接口 xe-1/2/10。端点 1 属于 VLAN 201 和 202。

  2. 在连接到端点 11 的接口上配置 LAG。端点 11 属于 VLAN 211 和 212。

验证服务器连接

使用此部分验证服务器是否通过 ToR 和主干交换机相互连接。如何执行此操作取决于它们是同一 VLAN 的一部分还是两个不同的 VLAN。

注意:

如上一节所述,我们建议将服务器多宿主到 ToR 交换机,以实现冗余和负载共享。为简单起见,本节介绍单宿主服务器。

验证 VLAN 内服务器连接

分步过程

  1. 验证两个端点的 MAC 地址是否显示在两个 ToR 交换机上的以太网交换表中。

  2. 验证两个 MAC 地址是否显示在两台主干交换机上的以太网交换表中。通过连接到每个 ToR 交换机的 LAG(ae1 和 ae2)从 ToR 交换机中学习这两个 MAC 地址。MAC 标记 DLDR、指示 DLR MAC 地址的流量是由主干交换机、远程主干交换机还是由主干交换机在本地学习的。

  3. 验证第一个 MAC 地址是否在主干 1 上的 EVPN 数据库中。此输出表示此MAC 地址已由此主干交换机通过 ESI 00:00:00:00:00:00:00:00:00:01:02 和 LAG ae2 本地学习。此 MAC 地址将在 EVPN 中播发至另一台主干交换机。

  4. 验证第二个 MAC 地址是否在主干 1 上的 EVPN 数据库中。远程MAC 地址由远程主干交换机学习,并通过 EVPN 向本地主干交换机播发。此输出还显示此 MAC 地址映射到 ESI 00:00:00:00:00:00:00:00:01:01。发往此 MAC 地址的流量可以使用相同的以太网分段在本地切换到 ToR 1。

  5. 验证主干 1 上的 EVPN 路由。此输出显示,这些 MAC 地址由主干交换机作为 BGP 路由进行播发。

  6. 验证主干 2 上的 EVPN 路由。此输出显示收到的 BGP 路由与主干 1 对等的 IBGP。让我们详细了解这些路线。

    上面强调的两条 1 类路由显示主干 1 连接到两个以太网段 (ES)。ESI 编号为 0101 和 0102。

    这两条路由是 2 类路由,如上所示,由主干 1 通告。它们显示可以从主干 1 访问这两个 MAC 地址。

  7. 验证主干 1 上以下 MAC 地址的控制平面。

  8. 验证主干 1 上这些 MAC 地址的转发表条目。以下输出显示本地聚合以太网接口用于交换发往这些 MAC 地址的流量。

  9. 测试上行链路发生故障时会发生什么。如果来自 ToR 1 的上行链路出现故障,则输出显示该接口上的状态为 Detached

    图 6 显示了主干 1 上连接到 ToR 1 的接口关闭时的拓扑。

    图 6:上行链路故障 Topology When Uplink Fails时的拓扑

    验证主干 1 现在正在从主干 2 学习此 MAC 地址,因为主干 1 与 ToR 1 没有直接连接。

    主干 1 上的转发表详细信息显示,发往此 MAC 地址的流量将发送到主干 2。

验证 VLAN 间服务器连接

分步过程

  1. 在主干 1 上,验证两个 MAC 地址是否位于不同的 VLAN 中。

  2. 在主干 1 上,验证两个端点的 ARP 解析。

  3. 在主干 1 上,检查控制平面学习中的 MAC 地址 00:10:94:00:11:11。您可以看到,该 MAC 地址有 MAC 路由,此 MAC 地址有 MAC/IP 路由。

  4. 验证这些 MAC 地址的转发表条目。由于主干 1 在本地连接到两个 ToR 交换机,因此流量会在本地从主干 1 切换到相应的 ToR 交换机。

下一步

您已经为您的第一个数据中心配置并验证了折叠式主干架构。如果需要,请在第二个数据中心的设备上重复配置。

请转到下一页,配置高级安全性并连接您的数据中心。

裂脑状态

如何防止脑裂状态

问题

如果主干交换机之间的链路断开,导致 BGP 对等互连中断,则两台主干交换机均处于活动状态并正在转发。下游聚合以太网接口处于活动状态,并且正在转发。这种情况被称为裂脑状态,可能会导致多个问题。

溶液

要防止发生此问题,请选择一台主干主干交换机作为备用交换机。

我们还建议:

  • 在主干交换机之间至少使用两个链路。这样就不太可能主干交换机之间的所有链路中断。

  • 对所有服务器进行多宿主。如果其中一台主干交换机上有单宿主服务器,则可能无法访问该服务器。

下一步

您已经为您的第一个数据中心配置并验证了折叠式主干架构。如果需要,请在第二个数据中心的设备上重复配置。

请转到下一页,配置高级安全性并连接您的数据中心。