园区网络中采用 EVPN 多宿主功能的塌缩核心概述
关于此网络配置示例
此网络配置示例 (NCE) 介绍如何在具有 EVPN 多宿主(也称为 ESI-LAG)的折叠核心架构上使用 EVPN-VXLAN 配置和管理园区网络。此示例将 EX 系列交换机与 Mist 接入点配合使用。
瞻博网络需要 QFX 系列和 EX4650 交换机上的 EVPN-VXLAN 许可证。有关详细信息,请参阅 许可指南 。
用例概述
使用 EVPN-VXLAN 的园区网络是构建园区并将其与数据中心和公共云连接的一种高效且可扩展的方式。通过与 EVPN 控制平面的 VXLAN 叠加,您可以在第 3 层底层网络上创建逻辑第 2 层网络。折叠式核心设计非常适合需要快速扩展网络的园区网络。折叠式核心架构不太复杂,更易于配置和管理。EVPN 多宿主通过提供从接入层到折叠核心层的多宿主功能以及从折叠核心到网络核心的 L3 IP 交换矩阵,消除了对整个园区网络生成树协议 (STP) 的需求。EVPN 多宿主还支持在分布层中与两个以上设备进行横向扩展,并将 EVPN 网络扩展到核心。
EVPN-VXLAN 的优势
此架构提供经过优化、无缝且符合标准的第 2 层或第 3 层连接。瞻博网络 EVPN-VXLAN 园区网络具有以下优势:
一致、可扩展的架构 — 企业通常有多个站点,具有不同的规模要求。无论规模大小,基于 EVPN-VXLAN 的通用园区架构在所有站点上都是一致的。EVPN-VXLAN 可随着站点的发展而横向扩展或横向扩展。
多供应商部署 — EVPN-VXLAN 架构使用基于标准的协议,因此企业可以使用多供应商网络设备部署园区网络。没有单一供应商锁定要求。
减少泛洪和学习 — 基于控制平面的第 2 层/第 3 层学习可减少与数据平面学习相关的泛洪和学习问题。随着端点数量的增加,学习转发平面中的 MAC 地址会对网络性能产生不利影响。EVPN 控制平面处理路由的交换和学习,因此不会在转发平面中交换新学习的 MAC 地址。
不受位置限制的连接 — 无论端点位于何处,EVPN-VXLAN 园区架构都能提供一致的端点体验。某些端点需要第 2 层可访问性,例如传统建筑安全系统或 IoT 设备。第 2 层 VXLAN 叠加提供跨园区的第 2 层可访问性,而无需对底层网络进行任何更改。通过我们基于标准的网络访问控制集成,端点可以连接到网络中的任何位置。
与底层无关 — 作为叠加层的 VXLAN 与底层无关。借助 VXLAN 叠加网络,您可以使用 WAN 提供商提供的第 2 层 VPN 或第 3 层 VPN 服务,或通过互联网使用 IPsec 连接多个园区。
一致的网络分段 — 跨园区和数据中心的基于 EVPN-VXLAN 的通用架构意味着端点和应用可实现一致的端到端网络分段。
简化的管理—基于通用 EVPN-VXLAN 设计的园区和数据中心可以使用通用工具和网络团队来部署和管理园区和数据中心网络。
技术概述
此 NCE 演示如何为园区网络部署折叠核心体系结构。您可以将 EX4650 或 QFX5120 交换机用作折叠核心交换机。在此示例中,我们使用 EX4650 交换机作为折叠核心交换机,使用 EX 系列交换机作为接入交换机。 图 1 显示了园区网络上折叠的核心架构。接入点设备连接到接入层交换机,而接入层交换机又与折叠核心交换机多宿主。员工、访客和 IoT 设备有单独的 VLAN。
底层和叠加网络
此网络配置示例使用基于 3 层 IP 的底层网络(以 EVPN-VXLAN 为叠加层)部署园区交换矩阵。您可以将 OSPF 或 BGP 用作底层协议,将 iBGP 用作叠加协议,在本例中,我们使用 BGP 作为底层路由协议,并使用带有 EVPN 信令的 MP-BGP 作为叠加控制平面协议。VXLAN 是叠加数据平面封装协议。
折叠式核心架构
折叠式核心架构采用普通的三层分层网络,并将其折叠为两层网络。在双层网络中,核心层和分布层交换机的功能被“折叠”成单个交换机上的核心和分布层的组合。您可以将 EX4650 或 QFX5120 交换机用作折叠核心交换机。在此示例中,我们使用 EX4650 交换机作为折叠核心交换机。
EVPN 多宿主
新的 EVPN 技术标准(包括 RFC 8365、7432 和 7348)在具有以太网分段的 EVPN 中引入了链路聚合的概念。EVPN 中的以太网分段将链路收集到捆绑包中,并为捆绑链路分配一个编号(称为以太网段标识符 (ESI)。可以为来自多个独立节点的链路分配相同的 ESI,这是一项重要的链路聚合功能,可为 EVPN-VXLAN 网络中的设备带来节点级冗余。使用 ESI 编号的捆绑链路通常称为 ESI LAG。
EVPN 网络中的第 2 层多宿主取决于 EVPN 多宿主功能。EVPN 多宿主提供完整的主动-主动链路支持,还经常通过 LACP 启用,以确保为访问园区网络的设备提供多供应商支持。在部署连接到园区网络中接入点的设备时,使用 LACP 的第 2 层多宿主是一个特别有吸引力的配置选项,因为从接入点的角度来看,多宿主是透明的。使用 ESI,接入点即使连接到两个或更多交换机,也能像连接到单个节点一样工作。
EVPN 多宿主在接入点设备和折叠核心层之间提供冗余连接。此示例将 ESI 配置为全活动模式,以在所有连接的多宿主设备之间对流量进行负载平衡。
接入层
接入层提供与最终用户设备(如个人计算机、VoIP 电话、打印机和物联网设备)的网络连接,以及与无线接入点设备的连接。在此示例中,我们使用 Mist 接入点作为接入点设备。不断发展的 IT 部门正在寻找一种统一的方法来管理有线和无线网络。瞻博网络拥有一款能够简化和自动化运维以及端到端故障排除的解决方案,最终演变为自我驱动型网络™。在此NCE中集成Mist平台解决了这两个挑战。
Mist 专为满足现代云和智能设备时代的严苛网络需求而设计,为有线和无线 LAN 提供独特的功能。
有线和无线保证 — Mist 支持有线和无线保证。配置完成后,Mist 平台即可解决吞吐量、容量、漫游和正常运行时间等关键有线和无线性能指标的服务级别预期 (SLE)。此 NCE 使用 Mist 有线保证服务。
Marvis - 集成式人工智能引擎,可提供快速有线和无线故障排除、趋势分析、异常检测和主动问题修复。
有关 Mist 集成和 EX 交换机的更多详细信息,请参阅 如何连接 Mist 接入点和瞻博网络 EX 系列交换机。
VRF 细分
VRF 分段用于在共享网络上将用户和设备组织成组,同时分离和隔离不同的组。网络上的路由设备为每个组创建和维护单独的虚拟路由和转发 (VRF) 表。组中的用户和设备放置在一个 VRF 分段中,可以相互通信,但无法与另一个 VRF 分段中的用户通信。如果要从一个 VRF 分段向另一个 VRF 分段发送和接收流量,则必须配置路由路径。在此示例中,我们将路由路径配置为通过 SRX 系列路由器。这允许您定义策略,以允许或拒绝其他组访问 VRF 分段上的特定资源。SRX 系列路由器通过识别和允许可以通过的流量并拒绝不允许的流量,对传输流量实施策略规则。有关通过 SRX 路由器配置路由路径的信息,请参阅 如何配置 SRX 路由器。 图 2 显示了包含 3 个 VRF 段(员工、访客和物联网设备)的折叠核心网络拓扑。