Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

数据中心交换矩阵蓝图架构组件

本节将概述此蓝图架构中使用的构建基块。后面的章节将更详细地探讨每种构建块技术的实现。

有关用作构建基块基础的硬件和软件的信息,请参阅 数据中心 EVPN-VXLAN 交换矩阵参考设计 - 支持的硬件摘要

构建块包括:

IP 交换矩阵底层网络

现代 IP 交换矩阵底层网络构建块跨基于 Clos 的拓扑提供 IP 连接。瞻博网络支持以下 IP 交换矩阵底层模型:

  • 3 级 IP 交换矩阵,由一层主干设备和一层叶设备组成。见 图 1

  • 5 级 IP 交换矩阵,通常从单个 3 级 IP 交换矩阵开始,后逐渐发展为两个 3 级 IP 交换矩阵。这些交换矩阵被分割成数据中心内的独立交付点 (POD)。对于此用例,我们支持添加一层超级主干设备,以便在两个 POD 中的主干和叶设备之间实现通信。参见 图 2

  • 折叠式主干 IP 交换矩阵模型,其中叶层功能折叠到主干设备上。这种类型的交换矩阵的设置和作方式与 3 级或 5 级 IP 交换矩阵类似,只是没有单独的叶设备层。如果要逐步迁移到 EVPN 主干和叶模型,或者您的接入设备或架顶式 (TOR) 设备由于不支持 EVPN-VXLAN,因此无法在叶层中使用,则可以使用折叠式主干交换矩阵。

图 1:三级 IP 交换矩阵底层 Three-Stage IP Fabric Underlay
图 2:五级 IP 交换矩阵底层 Five-Stage IP Fabric Underlay

在这些图中,设备使用高速接口互连,这些接口可以是单链路接口,也可以是聚合以太网接口。聚合以太网接口是可选的,通常使用设备之间的单链路,但也可以通过部署来增加带宽并提供链路级别的冗余。我们同时涵盖这两个选项

我们选择 EBGP 作为底层网络的路由协议,因为它具有出色的可靠性和可扩展性。每个设备都会被分配有自己的自治系统,并具有一个唯一的自治系统编号,以支持 EBGP。您可以在底层网络中使用其他路由协议;这些协议的用法超出了本文档的范围。

本指南中描述的参考架构设计基于使用 EBGP 进行底层连接,将 IBGP 用于叠加对等的 IP 交换矩阵(请参阅 适用于叠加的 IBGP)。或者,您可以使用 EBGP 配置叠加对等互连。

从 Junos OS 21.2R2 和 21.4R1 版开始,我们还支持配置 IPv6 交换矩阵。本指南中的 IPv6 交换矩阵设计将 EBGP 用于底层连接和叠加对等互连(请参阅 EBGP for Overlays with IPv6 底层网络)。

注意:

IP 交换矩阵可使用 IPv4 或 IPv6,如下所示:

  • IPv4 交换矩阵使用 IPv4 接口寻址以及 IPv4 底层和叠加 BGP 会话进行端到端工作负载通信。

  • IPv6 交换矩阵使用 IPv6 接口寻址以及 IPv6 底层和叠加 BGP 会话进行端到端工作负载通信。

  • 我们不支持混合 IPv4 和 IPv6 的 IP 交换矩阵。

    但是,IPv4 交换矩阵和 IPv6 交换矩阵都支持双堆栈工作负载——工作负载可以是 IPv4 或 IPv6,也可以是 IPv4 和 IPv6。

此构建块中还可以启用微双向转发检测 (BFD) — 在聚合以太网接口的各个链路上运行 BFD 的能力),以便快速检测连接设备的聚合以太网捆绑包中任何成员链路上的链路故障。

有关更多信息,请参阅本指南中的以下其他部分:

IPv4 和 IPv6 工作负载支持

由于许多网络为包含 IPv4 和 IPv6 协议的工作负载实施双堆栈环境,因此此蓝图同时支持这两种协议。本指南中交织了配置交换矩阵以支持 IPv4 和 IPv6 工作负载的步骤,以便您可以从这些协议中选择一种或两种协议。

注意:

用于工作负载流量的 IP 协议与您为 IP 交换矩阵底层和叠加网络配置的 IP 协议版本(IPv4 或 IPv6)无关。(请参阅 IP 交换矩阵底层网络。)IPv4 交换矩阵或 IPv6 交换矩阵基础架构可以同时支持 IPv4 和 IPv6 工作负载。

网络虚拟化叠加

网络虚拟化叠加是通过 IP 底层网络传输的虚拟网络。此构建块支持网络中的多租户,允许您在多个租户之间共享单个物理网络,同时将每个租户的网络流量与其他租户隔离。

租户是包含端点组的用户社区(例如业务部门、部门、工作组或应用程序)。组可以与同一租户中的其他组通信,如果网络策略允许,租户可以与其他租户通信。组通常表示为一个子网 (VLAN),它可以与同一子网中的其他设备通信,并通过虚拟路由和转发 (VRF) 实例到达外部组和端点。

图 3 所示的叠加示例所示,以太网桥接表(用三角形表示)处理租户桥接帧,IP 路由表(用正方形表示)处理路由的数据包。VLAN 间路由在集成路由和桥接 (IRB) 接口(用圆圈表示)上进行。以太网和 IP 表被定向到虚拟网络中(用彩色线条表示)。为了到达连接到其他 VXLAN 隧道端点 (VTEP) 设备的终端系统,租户数据包被封装,并通过 EVPN 信令 VXLAN 隧道(用绿色隧道图标表示)发送到关联的远程 VTEP 设备。隧道数据包在远程 VTEP 设备上进行解封装,并通过出口 VTEP 设备的相应桥接或路由表转发至远程终端系统。

图 3:VXLAN 隧道 — 以太网桥接、IP 路由和 IRB VXLAN Tunnels—Ethernet Bridging, IP Routing, and IRB

下一节将详细介绍叠加网络。

用于叠加的 IBGP

内部 BGP (IBGP) 是一种通过 IP 网络交换可访问性信息的路由协议。当 IBGP 与多协议 BGP (MP-IBGP) 结合使用时,它为 EVPN 在 VTEP 设备之间交换可访问性信息奠定了基础。建立 VTEP 间 VXLAN 隧道并将其用于叠加连接服务需要此功能。

图 4 显示了主干和叶设备使用其环路地址在单个自治系统中进行对等互连。在此设计中,主干设备充当路由反射器群集,叶设备是路由反射器客户端。路由反射器可满足全网状网络的 IBGP 要求,无需将所有 VTEP 设备直接相互对等。因此,叶设备仅与主干设备对等,而主干设备与主干设备和叶设备对等。由于主干设备连接到所有叶设备,因此主干设备可以在间接对等叶设备邻接方之间中继 IBGP 信息。

图 4:用于叠加的 IBGP for Overlays IBGP

您几乎可以将路由反射器放置在网络的任何位置。但是,您必须考虑以下事项:

  • 所选设备是否有足够的内存和处理能力来处理路由反射器所需的额外工作负载?

  • 所选设备是否等距所有 EVPN 发送方均可访问?

  • 所选设备是否具有适当的软件功能?

在此设计中,路径反射器群集放置在主干图层上。在此参考设计中可用作主干的 QFX 交换机具有足够的处理速度来处理网络虚拟化叠加中的路由反射器客户端流量。

有关在叠加层中实现 IBGP 的详细信息,请参阅 为叠加配置 IBGP

EBGP 用于与 IPv6 底层叠加网络

本指南中的原始参考架构用例说明了具有 IPv4 IBGP 叠加设备连接的 IPv4 EBGP 底层设计。请参阅 IP 交换矩阵底层网络IBGP 叠加。但是,随着网络虚拟化边缘 (NVE) 设备开始采用 IPv6 VTEP,以利用 IPv6 扩展的寻址范围和功能,我们已将 IP 交换矩阵支持扩展至包含 IPv6。

从 Junos OS 21.2R2-S1 版开始,在支持的平台上,您还可以将 IPv6 交换矩阵基础架构与一些参考架构叠加设计一起使用。IPv6 交换矩阵设计包括 IPv6 接口寻址、IPv6 EBGP 底层和用于工作负载连接的 IPv6 EBGP 叠加。借助 IPv6 交换矩阵,NVE 设备可以使用 IPv6 外部标头封装 VXLAN 标头,并使用 IPv6 下一跃点在交换矩阵上端到端隧道传输数据包。工作负载可以是 IPv4 或 IPv6。

您在支持的参考架构叠加设计中配置的大多数元素与底层和叠加基础架构使用 IPv4 还是 IPv6 无关。如果底层和叠加层使用 IPv6 交换矩阵设计,则每个受支持的叠加设计的相应配置过程都会指出任何配置差异。

有关更多详细信息,请参阅本指南中的以下参考资料和其他资源:

桥接叠加

本指南中描述的第一种叠加服务类型是 桥接叠加,如 图 5 所示。

图 5:桥接叠加 Bridged Overlay

在此叠加模型中,以太网 VLAN 跨 VXLAN 隧道在叶设备之间扩展。这些叶到叶 VXLAN 隧道支持需要叶设备之间以太网连接但不需要在 VLAN 之间进行路由的数据中心网络。因此,主干设备仅为叶设备提供基本的底层和叠加连接,不会执行使用其他叠加方法时看到的路由或网关服务。

叶设备发起 VTEP 以连接到其他叶设备。通过隧道,叶设备可以将 VLAN 流量发送到数据中心内的其他叶设备和连接以太网的终端系统。这种叠加服务的简单性使其非常适合需要一种简单的方式将 EVPN/VXLAN 引入现有以太网数据中心的运营商。

注意:

您可以通过在 EVPN/VXLAN 交换矩阵外部实施 MX 系列路由器或 SRX 系列安全设备,将路由添加到桥接叠加。否则,您可以选择一种其他包含路由的叠加类型(例如, 边缘路由桥接叠加中心路由桥接叠加路由叠加)。

有关实现桥接叠加的信息,请参阅 桥接叠加设计和实现

集中路由的桥接叠加

第二种叠加服务类型是 集中路由桥接 (CRB) 叠加,如 图 6 所示。

图 6:集中路由的桥接叠加 Centrally Routed Bridging Overlay

在 CRB 叠加中,路由发生在数据中心网络的中央网关(本例中的主干层),而非连接终端系统的 VTEP 设备(本例中的叶层)。

当您需要路由流量通过集中式网关或您的边缘 VTEP 设备缺乏所需的路由功能时,您可以使用此叠加模型。

如上所示,源自以太网连接终端系统的流量将通过中继(多个 VLAN)或接入端口(单个 VLAN)转发至叶 VTEP 设备。VTEP 设备将流量转发到本地终端系统或远程 VTEP 设备上的终端系统。每个主干设备上的集成路由和桥接 (IRB) 接口有助于在以太网虚拟网络之间路由流量。

借助 VLAN 感知桥接叠加服务模型,可以轻松地将一组 VLAN 聚合到同一个叠加虚拟网络中。瞻博网络 EVPN 设计在数据中心支持三种 VLAN 感知以太网服务模型配置,如下所示:

边缘路由桥接叠加

第三个叠加服务选项是 边缘路由桥接 (ERB) 叠加,如 图 7 所示。

图 7:边缘路由桥接叠加 Edge-Routed Bridging Overlay

在此以太网服务模型中,IRB 接口被移至叠加网络边缘的叶设备 VTEP,使 IP 路由更接近终端系统。由于在一台设备中支持桥接、路由和 EVPN/VXLAN 所需的特殊 ASIC 功能,因此只能在某些交换机上进行 ERB 叠加。有关我们在 ERB 叠加中用作叶设备支持的交换机列表,请参阅 数据中心 EVPN-VXLAN 交换矩阵参考设计 - 支持的硬件摘要

此模型可实现更简单的整体网络。主干设备配置为仅处理 IP 流量,因此无需将桥接叠加扩展到主干设备。

在此选项还支持更快的服务器到服务器、数据中心内流量(也称为东西向流量),其中终端系统连接到同一叶设备 VTEP。因此,与 CRB 叠加相比,路由发生在更靠近终端系统的位置。

注意:

在用作叶设备的 QFX5110 或 QFX5120 交换机上配置 EVPN 5 类路由实例中包含的 IRB 接口时,设备会自动为 EVPN 5 类路由启用对称的 IRB 间单播路由。

有关实施 ERB 叠加的信息,请参阅 Edge 路由桥接叠加设计和实施

折叠式主干叠加

折叠式主干架构中的叠加网络类似于 ERB 叠加网络。在折叠式主干架构中,叶设备功能折叠到主干设备上。由于没有叶层,因此可以在主干设备上配置 VTEPS 和 IRB 接口,这些接口与 ERB 模型中的叶设备一样,位于叠加网络的边缘。主干设备还可以执行边界网关功能,以路由南北向流量,或跨数据中心位置扩展第 2 层流量。

有关我们支持的折叠式主干架构交换机列表,请参阅 数据中心 EVPN-VXLAN 交换矩阵参考设计 - 支持的硬件摘要

桥接、CRB 和 ERB 叠加的比较

要帮助您确定哪种叠加类型最适合您的 EVPN 环境,请参阅 表 1

注意:

如果支持桥接叠加、CRB 叠加和 ERB 叠加,我们支持在同一设备上同时混合使用桥接叠加、CRB 叠加和 ERB 叠加配置。无需为设备配置单独的逻辑系统,设备即可在不同类型的叠加层中并行运行。

表 1:桥接、CRB 和 ERB 叠加的比较

比较点

ERB 叠加

CRB 叠加

桥接叠加

完全分布式租户子网间路由

将 IP 网关故障的影响降至最低

在叶级别动态路由到第三方节点

针对高流量进行优化

更好地与原始 IP 交换矩阵集成

IP VRF 虚拟化更接近服务器

需要 Contrail vRouter 多宿主

更轻松地与不同供应商进行 EVPN 互作性

对称子网间路由

每个机架的 VLAN ID 重叠

更简单的手册配置和故障排除

服务提供商和企业样式接口

支持传统叶式交换机 (QFX5100)

集中式虚拟机流量优化 (VMTO) 控制

防火墙群集上的 IP 租户子网网关

桥接叠加中的 IRB 寻址模型

在 CRB 和 ERB 叠加中配置 IRB 接口需要了解 IRB 接口的默认网关 IP 和 MAC 地址配置模型,如下所示:

  • Unique IRB IP Address— 在此模型中,叠加子网中的每个 IRB 接口上均配置一个唯一 IP 地址。

    在每个 IRB 接口上都有唯一的 IP 地址和 MAC 地址的好处是能够使用每个 IRB 接口的唯一 IP 地址从叠加层内监控和访问每个 IRB 接口。此模型还允许您在 IRB 接口上配置路由协议。

    此模型的缺点是,为每个 IRB 接口分配唯一的 IP 地址可能会占用一个子网的许多 IP 地址。

  • Unique IRB IP Address with Virtual Gateway IP Address— 此模型将虚拟网关 IP 地址添加到之前的模型中,我们建议将其用于集中路由的桥接叠加。它与 VRRP 类似,但在网关 IRB 接口之间没有带内数据平面信令。对于叠加子网中的所有默认网关 IRB 接口,虚拟网关应相同,并且在配置它的所有网关 IRB 接口上都处于活动状态。您还应为虚拟网关配置一个通用 IPv4 MAC 地址,该地址将成为通过 IRB 接口转发的数据包上的源 MAC 地址。

    除了前一种模式的优势外,虚拟网关还简化了终端系统上的默认网关配置。该型号的缺点与之前的型号相同。

  • IRB with Anycast IP Address and MAC Address— 在此模型中,叠加子网中的所有默认网关 IRB 接口均配置了相同的 IP 和 MAC 地址。建议将此模型用于 ERB 覆盖。

    此模型的一个好处是,默认网关 IRB 接口寻址只需要每个子网一个 IP 地址,这简化了终端系统上的默认网关配置。

使用 EVPN Type 5 路由的路由叠加

最后一个叠加选项是 路由叠加,如 图 8 所示。

图 8:路由叠加 Routed Overlay

此选项是 IP 路由的虚拟网络服务。与基于 MPLS 的 IP VPN 不同,此模型中的虚拟网络基于 EVPN/VXLAN。

云提供商更青睐于此虚拟网络选项,因为大多数现代应用都针对 IP 进行了优化。由于设备之间的所有通信均发生在 IP 层,因此在此路由叠加模型中无需使用任何以太网桥接组件,如 VLAN 和 ESI。

有关实施路由叠加的信息,请参阅 路由叠加设计和实施

网络虚拟化叠加中用于多租户的 MAC-VRF 实例

MAC-VRF 路由实例允许您在充当 EVPN-VXLAN 交换矩阵中的 VTEP 的设备上配置具有不同以太网服务类型的多个 EVPN 实例。使用 MAC-VRF 实例,您可以使用特定于客户的 VRF 表管理数据中心的多个租户,以隔离租户工作负载或对租户工作负载进行分组。

除了之前对 VLAN 感知服务类型的支持外,MAC-VRF 实例还引入了对基于 VLAN 的服务类型的支持。见 图 9

图 9:MAC-VRF 服务类型 MAC-VRF Service Types

  • 基于 VLAN 的服务 — 您可以在 MAC-VRF 实例中配置一个 VLAN 和相应的 VXLAN 网络标识符 (VNI)。要配置新的 VLAN 和 VNI,必须使用新的 VLAN 和 VNI 配置新的 MAC VRF 实例。

  • VLAN 感知服务 — 您可以在同一 MAC-VRF 实例中配置一个或多个 VLAN 和对应的 VNI。要配置新的 VLAN 和 VNI,可以将新的 VLAN 和 VNI 配置添加到现有 MAC-VRF 实例,这样与使用基于 VLAN 的服务相比,可以节省一些配置步骤。

MAC-VRF 实例在第 2 层和第 3 层都支持更灵活的配置选项。例如:

图 10:使用 MAC-VRF 实例在第 2 层和第 3 层提供灵活的配置选项 Flexible Configuration Options at both Layer 2 and Layer 3 with MAC-VRF Instances

图 10 显示了使用 MAC-VRF 实例的情况:

  • 您可以在同一设备上的不同 MAC-VRF 实例中配置不同的服务类型。

  • 您可以在第 2 层(MAC-VRF 实例)和第 3 层(VRF 实例)拥有灵活的租户隔离选项。您可以配置与单个 MAC-VRF 实例中的多个 VLAN 对应的 VRF 实例。或者,您可以配置一个跨多个 MAC-VRF 实例中的 VLAN 的 VRF 实例。

图 11 显示了 ERB 叠加交换矩阵,其中包含用于租户分离的 MAC-VRF 配置示例。

图 11:用于租户分离的 ERB 叠加交换矩阵与 MAC-VRF 实例 ERB Overlay Fabric with MAC-VRF Instances for Tenant Separation

图 11 中,叶设备建立 VXLAN 隧道,使用 MAC-VRF 实例 MAC-VRF 12 和 MAC-VRF 3 在租户 12(VLAN 1 和 VLAN 2)和租户 3(VLAN 3)之间在第 2 层保持隔离。叶设备还使用 VRF 实例 VRF 12 和 VRF 3 将租户隔离在第 3 层。

您可以采用其他选项在通过 MAC-VRF 和 VRF 配置在第 2 层和第 3 层隔离的租户之间共享 VLAN 流量,例如:

  • 通过防火墙在租户 VRF 之间建立安全的外部互连。

  • 配置第 3 层 VRF 之间的本地路由泄漏。

有关 MAC-VRF 实例及其在示例客户用例中使用的详细信息,请参阅 EVPN-VXLAN 直流 IP 交换矩阵 MAC-VRF L2 服务

MAC-VRF 实例对应转发实例如下所示:

  • QFX5000 系列交换机上的 MAC-VRF 实例(包括运行 Junos OS 或 Junos OS 演化版的交换机)都是默认转发实例的一部分。在这些设备上,您无法在一个 MAC-VRF 实例中或跨多个 MAC-VRF 实例配置重叠的 VLAN。

  • 在 QFX10000 系列交换机上,您可以配置多个转发实例,并将 MAC-VRF 实例映射到特定的转发实例。您还可以将多个 MAC-VRF 实例映射到同一个转发实例。如果将每个 MAC-VRF 实例配置为使用不同的转发实例,则可以在多个 MAC-VRF 实例之间配置重叠的 VLAN。您不能在单个 MAC-VRF 实例中配置重叠 VLAN,也不能在映射到同一转发实例的 MAC-VRF 实例之间配置重叠 VLAN。

  • 在默认配置中,交换机包括一个与默认转发实例关联的 VLAN ID=1 的默认 VLAN。由于 VLAN ID 在转发实例中必须是唯一的,因此如果要在使用默认转发实例的 MAC-VRF 实例中配置 VLAN ID=1 的 VLAN,则必须将默认 VLAN 的 VLAN ID 重新分配为 1 以外的值。例如:

本指南中的参考网络虚拟化叠加配置示例包括使用 MAC-VRF 实例配置叠加的步骤。您可以配置 的 EVPN 路由实例 mac-vrf,并在实例中设置路由识别符和路由目标。您还可以在实例中包括所需的接口(包括 VTEP 源接口)、VLAN 和 VLAN 到 VNI 的映射。请参阅以下主题中的参考配置:

注意:

当配置使用多个 MAC-VRF 实例时,设备可能会出现 VTEP 扩展问题。因此,为避免出现此问题,我们要求您在使用 MAC-VRF 实例配置运行Junos OS的QFX5000系列交换机上启用共享隧道功能。配置共享隧道时,设备会尽量减少到达远程 VTEP 的下一跃点条目数量。在层次结构级别使用[edit forwarding-options evpn-vxlan]语句在shared-tunnels设备上全局启用共享 VXLAN 隧道。此设置要求您重新启动设备。

对于运行 Junos OS 的交换机,此语句是QFX10000 系列可选的,可以处理比QFX5000交换机更高的VTEP扩展。

在 EVPN-VXLAN 交换矩阵中运行 Junos OS 演化版的设备上,默认情况下会启用共享隧道。Junos OS 演化版仅支持采用 MAC-VRF 配置的 EVPN-VXLAN。

以太网连接终端系统的多宿主支持

图 12:以太网连接的终端系统多宿主 Ethernet-Connected End System Multihoming

以太网连接的多宿主 允许以太网连接的终端系统通过单宿主链路连接到一个VTEP设备,或通过多宿主到不同VTEP设备的多个链路连接到以太网叠加网络。以太网流量在连接到相同终端系统的叶设备上的 VTEP 之间的交换矩阵中实现负载均衡。

我们测试了将以太网连接的终端系统连接到单个叶设备或多宿主到 2 或 3 个叶设备的设置,以证明在具有两个以上叶 VTEP 设备的多宿主设置中可以正确处理流量;实际上,以太网连接的终端系统可以多宿主到大量叶 VTEP 设备。所有链路都处于活动状态,并且网络流量可以在所有多宿主链路上实现负载均衡。

在此架构中,EVPN 用于以太网连接的多宿主。EVPN 多宿主 LAG 由 EVPN 桥接叠加中的以太网段标识符 (ESI) 标识,而 LACP 用于提高 LAG 可用性。

VLAN 中继支持一个接口支持多个 VLAN。VLAN 中继可确保非叠加虚拟机管理程序上的虚拟机 (VM) 可以在任何叠加网络环境中运行。

有关以太网连接的多宿主支持的更多信息,请参阅以 太网连接终端系统的多宿主设计和实施

对 IP 连接终端系统的多宿主支持

图 13:IP 连接的终端系统多宿主 IP-Connected End System Multihoming

IP 连接的多宿主 端点系统,可通过不同叶设备上的多个基于 IP 的接入接口连接到 IP 网络。

我们测试了将 IP 连接的终端系统连接到单个叶或多宿主到 2 或 3 个叶设备的设置。该设置验证了在多宿主到多个叶设备时流量是否得到正确处理;实际上,IP 连接的终端系统可以多宿主到大量叶设备。

在多宿主设置中,所有链路都处于活动状态,并且网络流量将通过所有多宿主链路进行转发和接收。IP 流量使用简单的散列算法在多宿主链路上实现负载均衡。

EBGP 用于在连接 IP 的端点系统和连接的叶设备之间交换路由信息,以确保到端点系统的路由或路径与所有主干和叶设备共享。

有关 IP 连接的多宿主构建块的更多信息,请参阅 IP 连接终端系统的多宿主设计和实施

边界设备

我们的一些参考设计包括边界设备,这些设备提供与本地 IP 交换矩阵外部的以下设备的连接:

  • 组播网关。

  • 用于数据中心互连 (DCI) 的数据中心网关。

  • SRX 路由器等设备,其上整合了防火墙、网络地址转换 (NAT)、入侵检测和防御 (IDP)、组播等多种服务。将多项服务整合到一台物理设备上称为服务链。

  • 充当防火墙、DHCP 服务器、sFlow 收集器等的设备或服务器。

    注意:

    如果您的网络包含需要与边界设备进行 1-Gbps 以太网连接的传统设备或服务器,我们建议使用 QFX10008 或 QFX5120 交换机作为边界设备。

为了提供上述附加功能,瞻博网络支持通过以下方式部署边界设备:

  • 作为仅用作边界设备的设备。在此专用角色中,您可以配置设备来处理上述一项或多项任务。在这种情况下,设备通常部署为连接到主干设备的边界叶。

    例如,在 图 14 所示的 ERB 叠加中,边界分叶 L5 和 L6 提供与 DCI、sFlow 收集器和 DHCP 服务器的数据中心网关的连接。

  • 作为具有两个角色的设备 - 网络底层设备和可以处理上述一个或多个任务的边界设备。对于这种情况,主干设备通常处理这两个角色。因此,边界设备功能称为边界主干。

    例如,在 图 15 所示的 ERB 叠加层中,边界主干 S1 和 S2 充当精主干设备。它们还提供与 DCI 数据中心网关的连接、sFlow 收集器和 DHCP 服务器。

图 14:带有边界叶 Sample ERB Topology with Border Leafs的 ERB 拓扑示例
图 15:具有边界主干 Sample ERB Topology with Border Spines的 ERB 拓扑示例

数据中心互连 (DCI)

数据中心互连 (DCI) 构建块提供了在数据中心之间发送流量所需的技术。经过验证的设计支持使用 EVPN Type 5 路由、IPVPN 路由和采用 VXLAN 拼接技术的第 2 层 DCI。

在 DCI 环境中使用 EVPN Type 5 或 IPVPN 路由,以确保使用不同 IP 地址子网方案的数据中心之间可以交换数据中心间流量。路由在不同数据中心的主干设备之间交换,以便在数据中心之间传递流量。

图 16:使用 EVPN Type 5 路由拓扑的 DCI 拓扑概述 DCI Using EVPN Type 5 Routes Topology Overview

在配置 DCI 之前,需要在数据中心之间建立物理连接。物理连接由 WAN 云中的骨干设备提供。骨干设备连接到单个数据中心 (POD) 中的所有主干设备,以及连接到其他数据中心的其他骨干设备。

有关配置 DCI 的信息,请参阅:

服务链

在许多网络中,流量通常会通过各自提供服务的单独硬件设备(如防火墙、NAT、IDP、组播等)。每个设备都需要单独的作和管理。这种链接多个网络功能的方法可以被认为是物理服务链。

一种更有效的服务链模型是将网络功能虚拟化并整合到单个设备上。在我们的蓝图架构中,我们将 SRX 系列路由器用作整合网络功能并进行处理和应用服务的设备。该设备称为物理网络功能 (PNF)。

在此解决方案中,CRB 叠加和 ERB 叠加都支持服务链。它仅适用于租户间流量。

服务链的逻辑视图

图 17 显示了服务链的逻辑视图。它显示了一个具有右侧配置和左侧配置的主干。每一端都有一个 VRF 路由实例和一个 IRB 接口。中间的 SRX 系列路由器是 PNF,它执行服务链。

图 17:服务链逻辑视图 Service Chaining Logical View

此逻辑视图中的流量为:

  1. 主干在左侧 VRF 中的 VTEP 上接收数据包。

  2. 数据包将解封并发送至左侧 IRB 接口。

  3. IRB 接口将数据包路由到充当 PNF 的 SRX 系列路由器。

  4. SRX 系列路由器对数据包执行服务链,并将数据包转发回主干,在主干右侧显示的 IRB 接口上接收数据包。

  5. IRB 接口将数据包路由到右侧 VRF 中的 VTEP。

有关配置服务链的信息,请参阅 服务链设计和实现

组播优化

组播优化有助于在 EVPN VXLAN 环境中的组播场景中保留带宽并更有效地路由流量。在未配置任何组播优化的情况下,所有组播复制都在连接到组播源的叶入口处完成,如 图 18 所示。组播流量将发送至连接到主干的所有叶设备。每个叶设备都会将流量发送到连接的主机。

图 18:未经优化 Multicast without Optimizations的组播

EVPN VXLAN 环境中支持几种类型的组播优化,可以协同工作:

有关配置组播功能的信息,请参阅:

IGMP 侦听

EVPN-VXLAN 交换矩阵中的 IGMP 侦听有助于优化组播流量的分配。IGMP 侦听可保留带宽,因为组播流量仅在存在 IGMP 侦听器的接口上转发。并非叶设备上的所有接口都需要接收组播流量。

如果没有 IGMP 侦听,终端系统就会收到它们不感兴趣的 IP 组播流量,这会不必要地用不必要的流量淹没其链路。在某些情况下,当 IP 组播流量较大时,大量有害流量会导致拒绝服务问题。

图 19 显示了 IGMP 侦听在 EVPN-VXLAN 交换矩阵中的工作原理。在此示例 EVPN-VXLAN 交换矩阵中,所有叶设备上均配置了 IGMP 侦听,并且组播接收器 2 之前已发送过 IGMPv2 加入请求。

  1. 组播接收方 2 发送 IGMPv2 离开请求。

  2. 组播接收器 3 和 4 发送 IGMPv2 加入请求。

  3. 当叶 1 收到入口组播流量时,它会为所有叶设备复制该流量,并将其转发到主干。

  4. 主干将流量转发至所有叶设备。

  5. 枝叶 2 接收组播流量,但不会将其转发给接收方,因为接收方发送了 IGMP 离开消息。

图 19:使用 IGMP 侦听 Multicast with IGMP Snooping的组播

在 EVPN-VXLAN 网络中,仅支持 IGMP 版本 2。

有关 IGMP 侦听的详细信息,请参阅在 EVPN-VXLAN 环境中使用 IGMP 侦听或 MLD 侦听进行组播转发概述

选择性组播转发

选择性组播以太网 (SMET) 转发可提供更高的端到端网络效率,并减少 EVPN 网络中的流量。它节省了交换矩阵核心的带宽使用,并减少了没有侦听器的出口设备的负载。

启用了 IGMP 侦听的设备使用选择性组播转发,以有效的方式转发组播流量。启用 IGMP 侦听后,叶设备仅会将组播流量发送到有相关接收方的接入接口。添加 SMET 后,叶设备会选择性地仅将组播流量发送至核心中对该组播组感兴趣的叶设备。

图 20 显示了 SMET 流量和 IGMP 侦听。

  1. 组播接收方 2 发送 IGMPv2 离开请求。

  2. 组播接收器 3 和 4 发送 IGMPv2 加入请求。

  3. 当叶 1 收到入口组播流量时,它只会将流量复制到具有相关接收方的叶设备(叶设备 3 和 4),并将其转发至主干。

  4. 主干将流量转发至叶设备 3 和 4。

图 20:使用 IGMP 侦听 Selective Multicast Forwarding with IGMP Snooping的选择性组播转发

您不需要启用 SMET;在设备上配置 IGMP 侦听时,默认情况下会启用此功能。

有关 SMET 的详细信息,请参阅 选择性组播转发概述

组播流量的辅助复制

辅助复制 (AR) 功能将 EVPN-VXLAN 交换矩阵叶设备从入口复制任务中分载出来。入口叶不会复制组播流量。它将组播流量的一个副本发送到配置为 AR 复制器设备的主干。AR 复制器设备分配和控制组播流量。除了减少入口叶设备上的复制负载外,此方法还节省了叶和主干之间交换矩阵中的带宽。

图 21 显示了 AR 如何与 IGMP 侦听和 SMET 一起工作。

  1. 设置为 AR 叶设备的枝叶 1 接收组播流量,并将一个副本发送到设置为 AR 复制器设备的主干。

  2. 主干复制组播流量。它为使用 VLAN VNI 调配的叶设备的流量复制,其中组播流量源自叶 1。

    由于我们在网络中配置了 IGMP 侦听和 SMET,因此主干仅将组播流量发送至具有相关接收器的叶设备。

图 21:使用 AR、IGMP 侦听和 SMET Multicast with AR, IGMP Snooping, and SMET 的组播

在本文档中,我们将小规模地展示组播优化。在具有许多主干和分叶的全规模网络中,优化的好处要明显得多。

适用于 ERB 叠加网络的优化子网间组播

当 ERB 叠加交换矩阵内部和外部都有组播源和接收器时,可以配置优化的子网间组播 (OISM),以实现大规模高效的组播流量。

OISM 对组播流量使用本地路由模型,这样可以避免流量发夹,并最大程度地降低 EVPN 核心内的流量负载。OISM 仅在组播源 VLAN 上转发组播流量。对于子网间接收器,叶设备使用 IRB 接口将源 VLAN 上接收到的流量本地路由到同一设备上的其他接收方 VLAN。为了进一步优化 EVPN-VXLAN 交换矩阵中的组播流量,OISM 使用 IGMP 侦听和 SMET 仅将交换矩阵中的流量转发至具有相关接收器的叶设备。

OISM 还使交换矩阵能够有效地将流量从外部组播源路由到内部接收器,以及从内部组播源路由到外部接收器。OISM 在交换矩阵中使用补充桥域 (SBD) 来转发边界叶设备上从外部来源接收到的组播流量。SBD 设计为外部来源流量保留了本地路由模型。

您可以将 OISM 与 AR 结合使用,以减少低容量 OISM 叶设备上的复制负载。(请参阅 组播流量的辅助复制。)

参见 图 22 了解带有 OISM 和 AR 的简单交换矩阵。

图 22:OISM 与 AR OISM with AR

图 22 显示了 OISM 服务器叶和边界叶设备、主干 1 在 AR 复制器角色中,服务器叶 1 在 AR 叶角色中作为组播源。外部 PIM 域中也可能存在外部源和接收器。OISM 和 AR 在这种情况下协同工作,如下所示:

  1. VLAN 1 上服务器叶 3 后面和 VLAN 2 上服务器枝叶 4 后面的组播接收器发送 IGMP 加入,以表明对组播组感兴趣。外部接收器也可能加入组播组。

  2. 服务器枝叶 1 后面的组播源将组的组播流量发送到 VLAN 1 上的交换矩阵中。服务器枝叶 1 仅将一个流量副本发送至主干 1 上的 AR 复制器。

  3. 此外,组播组的外部源流量也会到达边界叶 1。边界叶 1 将 SBD 上的流量转发到主干 1(AR 复制器)。

  4. AR 复制器从源 VLAN 上的内部源和 SBD 上的外部源向具有相关接收器的 OISM 叶设备发送副本。

  5. 服务器叶设备将流量转发至源 VLAN 上的接收方,然后将流量本地路由至其他 VLAN 上的接收方。

面向 EVPN 的入口虚拟机流量优化

当虚拟机和主机在数据中心内或从一个数据中心移动到另一个数据中心时,如果流量没有路由到最佳网关,网络流量可能会变得低效。主机重新定位时可能会发生这种情况。ARP 表并不总是被刷新,即使有更优的网关,流向主机的数据流也会发送到配置的网关。流量被“往返”并被不必要地路由到配置的网关。

入口虚拟机流量优化 (VMTO) 可提供更高的网络效率并优化入口流量,并可消除 VLAN 之间的往返效应。启用入口 VMTO 后,路由将存储在第 3 层虚拟路由和转发 (VRF) 表中,设备会将入站流量直接路由回已重定位的主机。

图 23 显示了没有入口 VMTO 的往返流量,以及启用了入口 VMTO 的优化流量。

  • 如果没有入口 VMTO,当源路由来自 DC2 时,DC1 和 DC2 的主干 1 和 2 都会播发远程 IP 主机路由 10.0.0.1。入口流量可以定向至 DC1 中的主干 1 和主干 2。然后将其路由到 DC2 中的主干 1 和 2,路由 10.0.0.1 已移动。这会导致往返效应。

  • 使用入口 VMTO,我们可以通过配置 IP 主机路由 (10.0.01) 策略来实现最佳转发路径,使其仅由主干 1 和 2 从 DC2 播发,而当 IP 主机移动到 DC2 时,不由 DC1 播发。

图 23:带有和不包含入口 VMTO Traffic with and without Ingress VMTO 的流量

有关配置 VMTO 的信息,请参阅 配置 VMTO

DHCP 中继

图 24:CRB 叠加 DHCP Relay in a CRB Overlay中的 DHCP 中继

动态主机配置协议 (DHCP) 中继构建块允许网络在 DHCP 客户端和 DHCP 服务器之间传递 DHCP 消息。此构建块中的 DHCP 中继实现通过网关位于主干层的 CRB 叠加层移动 DHCP 数据包。

DHCP 服务器和 DHCP 客户端使用叶设备上的接入接口连接到网络。当 DHCP 客户端和服务器在同一 VLAN 中时,DHCP 服务器和客户端可以通过现有网络相互通信,无需进一步配置。当 DHCP 客户端和服务器位于不同的 VLAN 中时,客户端和服务器之间的 DHCP 流量将通过主干设备上的 IRB 接口在 VLAN 之间转发。您必须在主干设备上配置 IRB 接口,以支持 VLAN 之间的 DHCP 中继。

有关实施 DHCP 中继的信息,请参阅 DHCP 中继设计和实施

通过 ARP 同步和抑制(代理 ARP)减少 ARP 流量

ARP 同步的目标是在服务于叠加子网的所有 VRF 之间同步 ARP 表,以减少流量并优化网络设备和终端系统的处理。当子网的 IP 网关了解到 ARP 绑定时,它会与其他网关共享该绑定,因此它们无需独立发现相同的 ARP 绑定。

使用 ARP 抑制时,当叶设备收到 ARP 请求时,它会检查自己的 ARP 表,该表与其他 VTEP 设备同步,并在本地响应请求,而不是泛洪 ARP 请求。

默认情况下,所有可在 ERB 叠加中充当叶设备的 QFX 系列交换机均启用代理 ARP 和 ARP 抑制。有关这些交换机的列表,请参阅 数据中心 EVPN-VXLAN 交换矩阵参考设计 — 支持的硬件摘要

叶设备上的 IRB 接口可传输来自本地和远程叶设备的 ARP 请求和 NDP 请求。当叶设备收到来自另一台叶设备的 ARP 请求或 NDP 请求时,接收设备将搜索其 MAC+IP 地址绑定数据库以查找请求的 IP 地址。

  • 如果设备在其数据库中找到 MAC+IP 地址绑定,便会响应请求。

  • 如果设备找不到 MAC+IP 地址绑定,则会将 ARP 请求泛洪到 VLAN 中的所有以太网链路以及关联的 VTEP。

由于所有参与的叶设备都会添加 ARP 条目并同步其路由和桥接表,因此本地叶设备会直接响应来自本地连接主机的请求,无需远程设备响应这些 ARP 请求。

有关实施 ARP 同步、代理 ARP 和 ARP 抑制的信息,请参阅 为 Edge 路由桥接叠加启用代理 ARP 和 ARP 抑制

以太网连接终端系统上的第 2 层端口安全性功能

CRB 和 ERB 叠加支持第 2 层以太网连接终端系统上的安全功能,我们将在下一节中介绍这些功能。

有关这些功能的详细信息,请参阅 EVPN-VXLAN 环境中的 MAC 过滤、风暴控制和端口镜像支持

有关配置这些功能的信息,请参阅 在以太网连接的终端系统上配置第 2 层端口安全性功能

通过风暴控制防止 BUM 流量风暴

风暴控制可以防止过多流量降低网络性能。它通过监控 EVPN-VXLAN 接口上的流量级别并在超过指定流量级别时丢弃 BUM 流量,减轻了 BUM 流量风暴的影响。

在 EVPN-VXLAN 环境中,风暴控制会监控:

  • 源自 VXLAN 并转发至同一 VXLAN 内的接口的第 2 层 BUM 流量。

  • 由 VXLAN 中的 IRB 接口接收并转发至其他 VXLAN 中的接口的第 3 层组播流量。

使用 MAC 过滤增强端口安全性

MAC 过滤通过限制可在 VLAN 中获知的 MAC 地址数量来增强端口安全性,从而限制 VXLAN 中的流量。限制 MAC 地址数量可防止交换机在以太网交换表中泛洪。当学习的新 MAC 地址数量导致以太网交换表溢出,并且之前学习的 MAC 地址从表中清除时,就会发生以太网交换表泛洪。交换机会重新学习 MAC 地址,这可能会影响性能并引入安全漏洞。

在此蓝图中,MAC 过滤会根据 MAC 地址限制发送到面向入口的接入接口的可接受数据包数。有关 MAC 过滤工作原理的详细信息,请参阅 了解 MAC 限制和 MAC 移动限制中的 MAC 限制信息。

使用端口镜像分析流量

借助基于分析器的端口镜像,您可以在 EVPN-VXLAN 环境中分析细至数据包级别的流量。您可以使用此功能实施与网络使用和文件共享相关的策略,并通过定位特定站点或应用程序的异常或大量带宽使用情况来识别问题来源。

端口镜像复制进出端口或进入 VLAN 的数据包,并将这些副本发送到本地接口以进行本地监控,或发送到 VLAN 进行远程监控。使用端口镜像将流量发送到分析流量的应用,以实现监控合规性、执行策略、检测入侵、监控和预测流量模式、关联事件等目的。

相关文档