适用于园区网络的 IP Clos 交换矩阵概述
关于此网络配置示例
此网络配置示例 (NCE) 介绍如何部署 IP Clos 架构来支持园区网络环境。该用例展示了如何通过Juniper Mist接入点集成,部署在控制平面中使用 EVPN,在叠加网络使用 VXLAN 隧道的单个园区交换矩阵。
用例概述
企业网络正在经历大规模转型,以期适应日益增长的云就绪网络需求以及大量的物联网和移动设备。随着设备数量的增加,网络复杂性也随之增加,对可扩展性和分段的需求也越来越大。为了应对这些挑战,您需要一个具有更高可扩展性、更易于运维的网络。IP Clos 网络使用一种广为人知的基于标准的方法,提供更高的可扩展性和分段功能。
大多数传统园区架构使用基于机箱的单供应商技术,这些技术在端点较少的小型静态园区中效果很好。但是,它们过于僵化,无法支持现代大型企业的可扩展性和不断变化的需求。
瞻博网络 EVPN-VXLAN 交换矩阵是一种高度可扩展的架构,简单、可编程,并建立在园区和数据中心通用的基于标准的架构之上。
EVPN-VXLAN 园区架构使用第 3 层基于 IP 的底层网络和 EVPN-VXLAN 叠加网络。简单的基于 IP 的第 3 层网络底层限制了第 2 层广播域,并且消除了对生成树协议 (STP) 的需求。基于 VXLAN 隧道的灵活叠加网络与 EVPN 控制平面相结合,可有效提供第 3 层或第 2 层连接。
此架构将虚拟拓扑与物理拓扑分离,提高了网络灵活性并简化了网络管理。需要第 2 层邻接的端点(如 IoT 设备)可以放置在网络中的任意位置,并保持与相同逻辑第 2 层网络的连接。
借助 EVPN-VXLAN 园区架构,您可以随着业务增长轻松添加核心、分布和接入层设备,而无需重新设计网络。EVPN-VXLAN 与供应商无关,因此您可以使用现有的接入层基础架构,并逐步迁移到支持 EVPN-VXLAN 功能的接入层交换机。
园区交换矩阵的优势: IP Clos
随着连接到网络的设备不断增加,您需要在不增加复杂性的情况下快速扩展园区网络。许多物联网设备的网络功能有限,需要跨建筑物和园区的第 2 层邻接。传统上,这个问题是通过使用基于数据平面的泛洪和学习机制在端点之间扩展 VLAN 来解决的。这种方法效率低下,因为它使用了过多的网络带宽。管理起来也很困难,因为您需要配置和手动管理 VLAN 才能将其扩展到新的网络端口。当您考虑到物联网和移动设备的爆炸式增长时,这个问题会增加数倍。
拥有 IP Clos 网络的好处是,您可以轻松连接 IP Clos 网络或园区交换矩阵中的多个交换机。IP Clos 扩展了 EVPN 交换矩阵,通过扩展第 2 层 VXLAN 网络,并在接入设备中进行路由,从而跨多栋建筑连接 VLAN。IP Clos 网络包含拓扑的分布层、核心层和接入层。
EVPN-VXLAN 交换矩阵解决了这些问题,并提供了以下优势:
减少泛洪和学习 — 基于控制平面的第 2 层/第 3 层学习可减少与数据平面学习相关的泛洪和学习问题。随着端点数量的增加,学习转发平面中的 MAC 地址会对网络性能产生不利影响。EVPN 控制平面负责处理路由的交换和学习,因此新学习的 MAC 地址不会在转发平面中交换
可扩展性—更快的基于控制平面的第 2 层/第 3 层学习允许 EVPN-VXLAN 网络进行纵向扩展,以支持更多移动设备。
一致的网络 — 跨园区和数据中心的通用基于 EVPN-VXLAN 的架构意味着端点和应用具有一致的端到端网络。此外,您还可以使用 EVPN-VXLAN 启用微分段和宏分段,以最大限度减少第 2 层泛洪、减少安全威胁并简化网络。
不受位置限制的连接 — 无论端点位于何处,EVPN-VXLAN 园区架构都能提供一致的端点体验。某些端点需要第 2 层可达性,例如传统的建筑安全系统或物联网设备。第 2 层 VXLAN 叠加网络提供跨园区的第 2 层可访问性,而无需对底层网络进行任何更改。借助我们基于标准的网络接入控制集成,端点可以连接到网络中的任何地方。
技术概述
了解 VXLAN
网络叠加层是通过对流量进行封装并在物理网络上建立隧道来进行创建。虚拟可扩展 LAN (VXLAN) 隧道协议将第 2 层以太网帧封装在第 4 层 UDP 数据报中,这些数据报本身被封装到 IP 中,以便通过底层进行传输。VXLAN 支持可以跨越底层第 3 层物理网络的第 2 层虚拟子网(或 VLAN)。
在 VXLAN 叠加网络中,每个第 2 层子网或分段都由虚拟网络标识符 (VNI) 唯一标识。VNI 与 VLAN ID 对流量进行分段的方式相同。与使用 VLAN 的情况一样,同一虚拟网络中的端点可以相互直接通信。不同虚拟网络中的端点都需要支持 VXLAN 间路由的设备,通常是路由器或高端交换机。
执行 VXLAN 封装和解封装的实体称为 VXLAN 隧道端点 (VTEP)。系统会为每个 VXLAN 隧道端点分配一个唯一的 IP 地址。通常,这些 VTEP 地址会与设备的环路地址匹配。
VXLAN 控制平面限制
VXLAN 可以作为隧道协议部署在第 3 层 IP 交换矩阵数据中心,而无需控制平面协议。但是,单独使用 VXLAN 隧道并不能改变以太网协议的泛洪和学习行为,因为以太网协议在可扩展性和效率方面存在固有局限。
在没有控制平面协议的情况下使用 VXLAN 的两种主要方法(静态单播 VXLAN 隧道和使用组播底层信号的 VXLAN 隧道)无法解决固有的泛洪和学习问题,并且难以在大型多租户环境中进行扩展。EVPN 控制平面为以太网泛洪和学习问题提供了可扩展的解决方案。
了解 EVPN
以太网 VPN (EVPN) 是一种基于标准的协议,可通过 IP 或 IP/MPLS 骨干网络在不同域之间提供虚拟多点桥接连接。EVPN 支持无缝、多租户的灵活服务,可按需扩展。
EVPN 利用 BGP 信令使网络能够同时传输第 2 层 MAC 和第 3 层 IP 信息,从而优化路由和交换决策。这种控制平面技术采用多协议 BGP (MP-BGP) 进行 MAC 和 IP 地址端点分配,其中 MAC 地址作为路由进行处理。EVPN 使作为 VTEP 的设备能够相互交换关于其端点的可访问性信息。
EVPN 通过全主动模型提供多路径转发和冗余。接入层可以连接到两个或更多分布设备,并使用所有链路转发流量。如果接入链路或分配设备发生故障,流量将使用剩余的活动链路从接入层流向分布层。对于其他流向的流量,远程分发设备会更新其转发表,将流量发送至连接到多宿主以太网段的剩余活动分发设备。
使用 EVPN 的优势包括:
MAC 地址移动性
多租户
跨多个链路的负载平衡
快速融合
EVPN 的技术功能包括:
最小泛洪 — EVPN 创建一个控制平面,在同一 EVPN 分段中的 VTEP 之间共享终端主机 MAC 地址,从而最大限度地减少泛洪并促进 MAC 地址学习。
多宿主 — EVPN 支持客户端设备的多宿主。要支持多宿主,就需要像 EVPN 这样的控制协议来实现分布式交换机之间的端点地址同步,因为通过拓扑传输的流量需要智能地跨多个路径移动。
混叠 — EVPN 利用全活动多宿主技术,允许远程分发设备将网络上的流量负载均衡地流向接入层。
水平分割 — 水平分割可防止网络中出现广播、未知单播和组播 (BUM) 流量环路。使用水平分割时,数据包永远不会通过接收数据包的同一接口回传。
底层网络
EVPN-VXLAN 交换矩阵架构使各园区和数据中心的网络基础架构变得简单且一致。所有核心设备和分布式设备都必须使用第 3 层基础架构相互连接。我们建议使用基于主干叶的拓扑结构部署基于 Clos 的 IP 交换矩阵,以确保可预测的性能并实现一致、可扩展的架构。
底层网络的主要要求是所有核心设备和分布设备都具有相互之间的环路可访问性。环路地址用于建立 IBGP 对等关系,用于在叠加网络中交换 EVPN 路由。
您可以使用任意第 3 层路由协议在接入设备、核心设备和分布设备之间交换环路地址。BGP 具有更好的前缀过滤、流量工程和路由标记等优势,而 OSPF 的配置和故障排除相对简单。
在此示例中,我们使用 EBGP 作为底层路由协议,因为它易于使用。 图 1 显示了底层网络的拓扑。
叠加网络控制平面
具有 EVPN 信令的 MP-BGP 充当叠加控制平面协议。核心设备和分布设备在彼此之间建立 IBGP 会话。
为了消除所有设备之间进行全网状 IBGP 会话的需要,核心交换机充当路由反射器,接入和分配设备充当路由反射器客户端。路由反射器可在所有分布式交换机上实现简单一致的 IBGP 配置,并显著提高控制平面的可扩展性。在此示例中,我们使用分层路由反射器。 图 2 显示了叠加网络的拓扑。
叠加数据平面
此架构使用 VXLAN 作为叠加数据平面封装协议。作为第 2 层或第 3 层 VXLAN 网关运行的瞻博网络交换机可以充当 VTEP,对数据包进行封装和解封装。
接入层
接入层提供与最终用户设备(如个人计算机、VoIP 电话、打印机、物联网设备)的网络连接,以及与无线接入点设备的连接。在此 IP Clos 园区设计中,EVPN-VXLAN 网络一直延伸到接入层交换机。
在此示例中,每个接入交换机或虚拟机箱都多宿主到两个或更多分布交换机。借助作为控制平面协议运行的 EVPN,任何接入交换机或虚拟机箱设备都可以在其接口上启用 A/A 多宿主。EVPN 提供基于标准的多宿主解决方案,可在任意数量的分布层交换机之间横向扩展。
图 3 显示了多宿主后接入层设备的拓扑。
瞻博网络接入点
在此示例中,我们选择瞻博网络接入点作为我们的首选接入点设备。采用全新设计,旨在满足现代云和智能设备时代的严苛网络需求。Juniper Mist为有线和无线 LAN提供独特的功能。
有线和无线保证 — Mist 通过有线和无线保证提供支持。配置后,Mist平台将解决吞吐量、容量、漫游和正常运行时间等关键有线和无线性能指标的服务级别预期 (SLE)。此 NCE 使用Mist Wired Assurance服务。
Marvis — 集成式人工智能引擎,可提供快速有线和无线故障排除、趋势分析、异常检测和主动问题修复。
如今的 IT 部门都在寻求一种统一的方法来管理有线和无线网络。瞻博网络提供的解决方案可以简化运维并实现自动化,提供端到端故障排除,并最终演变为自我驱动型网络™。在此 NCE 中集成 Mist 平台解决了这两个挑战。有关 Mist 集成和 EX 交换机的更多详细信息,请参阅 如何连接 Mist 接入点和瞻博网络 EX 系列 交换机。
园区 IP Clos 交换矩阵高级架构
园区交换矩阵采用 EVPN-VXLAN 架构,将叠加网络与底层网络分离开来。这种方法允许网络管理员在一个或多个第 3 层网络上创建逻辑第 2 层网络,从而满足现代企业网络的需求。通过配置不同的路由实例,可以强制分离虚拟网络,因为每个路由实例都有自己单独的路由和交换表。
VXLAN 是一种叠加数据平面封装协议,可通过第 3 层 IP 网络在网络端点之间建立以太网帧隧道。对网络执行 VXLAN 封装和解封装的设备称为 VXLAN 隧道端点 (VTEP)。VTEP 在将帧发送到 VXLAN 隧道之前,会将原始帧包装在包含虚拟网络标识符 (VNI) 的 VXLAN 标头中。VNI 将数据包映射到入换机上的原始 VLAN。应用 VXLAN 标头后,帧被封装到 UDP/IP 数据包中,以便通过 IP 交换矩阵传输至远程 VTEP。
基于 EVPN-VXLAN 的园区交换矩阵是一种可扩展的现代化网络,从核心到接入层交换机使用 BGP、OSPF 或 IS-IS 底层交换机。接入层交换机充当 VTEP,可对 VXLAN 流量进行封装和解封装。此外,这些设备还会将数据包路由和桥接进出 VXLAN 隧道。
图 4 显示了园区交换矩阵: 采用瞻博网络 EX4300-MP、EX4650、EX9200、QFX 5120 和 QFX10000 交换机的 IP Clos 网络。
