Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

数据中心交换矩阵蓝图架构组件

本节概述了此蓝图架构中使用的构建块。后面几节将更详细地探讨每种构建块技术的实现。

有关用作构建块基础的硬件和软件的信息,请参阅 数据中心 EVPN-VXLAN 交换矩阵参考设计 - 支持的硬件摘要

这些构建块包括:

IP 交换矩阵底层网络

现代 IP 交换矩阵底层网络构建块跨基于 Clos 的拓扑提供 IP 连接。瞻博网络支持以下 IP 交换矩阵底层模型:

  • 3 级 IP 交换矩阵,由一层主干设备和一层叶设备组成。请参阅 图 1

  • 5 级 IP 交换矩阵,通常从单个 3 级 IP 交换矩阵开始,发展为两个 3 级 IP 交换矩阵。这些交换矩阵被分割成数据中心内的单独交付点 (POD)。对于此用例,我们支持添加一层超级主干设备,用于在两个 POD 中的主干和叶设备之间启用通信。请参阅 图 2

  • 折叠主干 IP 交换矩阵模型,其中叶层功能折叠到主干设备上。这种类型的交换矩阵的设置和操作方式类似于 3 级或 5 级 IP 交换矩阵,但无单独一层叶设备除外。如果要逐步迁移到 EVPN 脊叶式模型,或者有接入设备或架顶式 (TOR) 设备因不支持 EVPN-VXLAN 而不能在叶层中使用,则可以使用折叠主干交换矩阵。

图 1:三级 IP 交换矩阵底层 Three-Stage IP Fabric Underlay
图 2:五级 IP 交换矩阵底层 Five-Stage IP Fabric Underlay

在这些图中,这些设备使用单链路或聚合以太网接口的高速接口互连。聚合以太网接口是可选的,通常使用设备之间的单一链路,但可以部署以增加带宽并提供链路级别冗余。我们介绍了这两种选择。

我们选择 EBGP 作为底层网络的路由协议,以实现其可靠性和可扩展性。每个设备都有自己的自治系统,并带有一个唯一的自治系统编号,以支持 EBGP。您可以在底层网络中使用其他路由协议;本文不涉及这些协议的使用

本指南中描述的参考架构设计基于 IP 交换矩阵,该 IP 交换矩阵使用 EBGP 进行底层连接,使用 IBGP 实现叠加对等互连(请参阅 有关叠加的 IBGP)。或者,您可以使用 EBGP 配置叠加对等互连。

从 Junos OS 21.2R2 和 21.4R1 版开始,我们还支持配置 IPv6 交换矩阵。本指南中的 IPv6 交换矩阵设计将 EBGP 用于底层连接和叠加对等互连(请参阅 EBGP 了解具有 IPv6 底层的叠加)。

注意:

IP 交换矩阵可以使用 IPv4 或 IPv6,如下所示:

  • IPv4 交换矩阵使用 IPv4 接口寻址以及 IPv4 底层和叠加 BGP 会话进行端到端工作负载通信。

  • IPv6 交换矩阵使用 IPv6 接口寻址以及 IPv6 底层和叠加 BGP 会话进行端到端工作负载通信。

  • 我们不支持混合使用 IPv4 和 IPv6 的 IP 交换矩阵。

    但是,IPv4 交换矩阵和 IPv6 交换矩阵都支持双堆栈工作负载,这些工作负载可以是 IPv4 或 IPv6,也可以是 IPv4 和 IPv6。

还可以在此构建块中启用微双向转发检测 (BFD)(能够在聚合以太网接口中的单个链路上运行 BFD),以快速检测用于连接设备的聚合以太网捆绑包中的任何成员链路上的链路故障。

有关更多信息,请参阅本指南中的其他部分:

IPv4 和 IPv6 工作负载支持

由于许多网络都为包括 IPv4 和 IPv6 协议的工作负载实施双堆栈环境,因此此蓝图同时支持这两种协议。本指南中将配置交换矩阵以支持 IPv4 和 IPv6 工作负载的步骤交织在一起,以便您选择其中一种或两种协议。

注意:

用于工作负载流量的 IP 协议独立于您为 IP 交换矩阵底层和叠加配置的 IP 协议版本(IPv4 或 IPv6)。(请参阅 IP 交换矩阵底层网络。)IPv4 交换矩阵或 IPv6 交换矩阵基础架构可同时支持 IPv4 和 IPv6 工作负载。

网络虚拟化叠加

网络虚拟化叠加是一种通过 IP 底层网络进行传输的虚拟网络。此构建块支持网络中多租户,允许您跨多个租户共享单个物理网络,同时使每个租户的网络流量与其他租户隔离。

租户是包含端点组的用户社区(如业务部门、部门、工作组或应用程序)。组可以与同一租户中的其他组通信,并在网络策略允许的情况下与其他租户通信。组通常表示为子网 (VLAN),可以与同一子网中的其他设备通信,并通过虚拟路由和转发 (VRF) 实例访问外部组和端点。

如图 3 所示的叠加示例所示,以太网桥接表(由三角形表示)处理租户桥接帧,IP 路由表(以方块表示)处理路由数据包。VLAN 间路由发生在集成路由和桥接 (IRB) 接口上(以圆圈表示)。以太网和 IP 表被定向到虚拟网络中(以彩色线路表示)。要到达连接到其他 VXLAN 隧道端点 (VTEP) 设备的终端系统,需要对租户数据包进行封装,并通过 EVPN 信号 VXLAN 隧道(以绿色隧道图标表示)发送到关联的远程 VTEP 设备。隧道数据包在远程 VTEP 设备上进行解封装,并通过出口 VTEP 设备的相应桥接或路由表转发到远程终端系统。

图 3:VXLAN 隧道 — 以太网桥接、IP 路由和 IRB VXLAN Tunnels—Ethernet Bridging, IP Routing, and IRB

接下来的部分将详细介绍叠加网络。

适用于叠加的 IBGP

内部 BGP (IBGP) 是一种路由协议,用于在 IP 网络中交换可访问性信息。当 IBGP 与多协议 BGP (MP-IBGP) 结合使用时,它为 EVPN 提供了在 VTEP 设备之间交换可访问性信息的基础。建立 VTEP 间 VXLAN 隧道并使用这些隧道提供叠加连接服务需要此功能。

图 4 显示,脊叶设备使用其环路地址在单个自治系统中对等。在这种设计中,主干设备充当路由反射器群集,叶设备用作路由反射器客户端。路由反射器可满足全网状的 IBGP 要求,而无需将所有 VTEP 设备直接对等互连。因此,叶设备仅与主干设备对等,主干设备与主干设备和叶设备对等。由于主干设备连接到所有叶设备,因此主干设备可以在间接对等叶设备邻接方之间中继 IBGP 信息。

图 4:用于叠加的 IBGP for Overlays IBGP

您几乎可以将路由反射器放置在网络中的任何位置。但是,您必须考虑以下几点:

  • 所选设备是否具有足够的内存和处理能力来处理路由反射器所需的额外工作负载?

  • 所有 EVPN 发言者是否均等且可访问所选设备?

  • 所选设备是否具有适当的软件功能?

在这种设计中,路由反射器群集放置在主干层。在此参考设计中可用作主干的 QFX 交换机具有充足的处理速度,可以处理网络虚拟化叠加中的路由反射器客户端流量。

有关在叠加中实施 IBGP 的详细信息,请参阅 为叠加配置 IBGP

EBGP,用于与 IPv6 底层叠加

本指南中的原始参考架构用例说明了具有 IPv4 IBGP 叠加设备连接的 IPv4 EBGP 底层设计。请参阅 IP 交换矩阵底层网络IBGP 的叠加。但是,随着网络虚拟化边缘 (NVE) 设备开始采用 IPv6 VTEP 来利用 IPv6 扩展的寻址范围和功能,我们扩展了 IP 交换矩阵支持以涵盖 IPv6。

从 Junos OS 21.2R2-S1 版开始,在支持平台上,您可以替代使用具有一些参考架构叠加设计的 IPv6 交换矩阵基础架构。IPv6 交换矩阵设计包括 IPv6 接口寻址、IPv6 EBGP 底层和用于工作负载连接的 IPv6 EBGP 叠加。借助 IPv6 交换矩阵,NVE 设备使用 IPv6 外部报头封装 VXLAN 报头,并使用 IPv6 下一跃点在交换矩阵中端到端建立数据包隧道。工作负载可以是 IPv4 或 IPv6。

您在支持的参考架构叠加设计中配置的大多数元素都与底层和叠加基础架构使用 IPv4 还是 IPv6 无关。如果底层和叠加使用 IPv6 交换矩阵设计,则每个受支持的叠加设计的相应配置过程会指出任何配置差异。

有关详细信息,请参阅本指南和其他资源中的以下参考资料:

桥接叠加

本指南介绍的第一个叠加服务类型是 桥接叠加,如图 5 所示。

图 5:桥接叠加 Bridged Overlay

在此叠加模型中,以太网 VLAN 跨 VXLAN 隧道在叶设备之间扩展。这些叶到叶 VXLAN 隧道支持叶设备之间需要以太网连接,但在 VLAN 之间不需要路由的数据中心网络。因此,主干设备仅为叶设备提供基本的底层和叠加连接,不执行使用其他叠加方法看到的路由或网关服务。

叶设备发起 VTEP 以连接到其他叶设备。隧道使叶设备能够将 VLAN 流量发送到其他叶设备,以及通过以太网连接的数据中心终端系统。对于需要轻松将 EVPN/VXLAN 引入基于以太网的现有数据中心的运营商来说,这种叠加服务的简单性极具吸引力。

注意:

您可以通过在 EVPN/VXLAN 交换矩阵外部实施 MX 系列路由器或 SRX 系列安全设备,将路由添加到桥接叠加。或者,您可以选择包含路由的其他叠加类型之一(例如 边缘路由桥接叠加集中路由桥接叠加路由叠加)。

有关实施桥接叠加的信息,请参阅 桥接叠加设计和实施

集中路由桥接叠加

第二种叠加服务类型是 集中路由的桥接叠加,如图 6 所示。

图 6:集中路由桥接叠加 Centrally Routed Bridging Overlay

在集中路由的桥接中,叠加路由发生在数据中心网络的中央网关(本例中的主干层),而不是发生在连接终端系统的 VTEP 设备(本例中的叶层)。

当您需要路由的流量通过集中式网关时,或者当边缘 VTEP 设备缺乏所需的路由功能时,您可以使用这种叠加模型。

如上所示,以太网连接终端系统源自的流量通过中继(多个 VLAN)或接入端口(单个 VLAN)转发到叶 VTEP 设备。VTEP 设备将流量转发到本地终端系统或远程 VTEP 设备上的终端系统。每个主干设备上的集成路由和桥接 (IRB) 接口有助于在以太网虚拟网络之间路由流量。

VLAN 感知桥接叠加服务模型使您能够轻松地将一组 VLAN 聚合到同一叠加虚拟网络中。瞻博网络 EVPN 设计支持数据中心中的三个 VLAN 感知以太网服务模型配置,如下所示:

边缘路由桥接叠加

第三个叠加服务选项是 边缘路由桥接叠加,如图 7 所示。

图 7:边缘路由桥接叠加 Edge-Routed Bridging Overlay

在这种以太网服务模型中,IRB 接口被移动到叠加网络边缘的叶设备 VTEP 上,使 IP 路由更接近终端系统。由于需要特殊的 ASIC 功能才能在一个设备中支持桥接、路由和 EVPN/VXLAN,因此边缘路由桥接叠加只能在特定交换机上实现。有关我们作为边缘路由桥接叠加中叶设备支持的交换机列表,请参阅 数据中心 EVPN-VXLAN 交换矩阵参考设计 - 支持的硬件摘要

这种模式使整个网络更简单。主干设备配置为仅处理 IP 流量,无需将桥接叠加扩展到主干设备。

此选项还支持更快的服务器到服务器、数据中心内的流量(也称为东西向流量),其中终端系统连接到同一叶设备 VTEP。因此,与使用集中路由桥接叠加相比,路由更靠近终端系统。

注意:

在 QFX5110 或 QFX5120 交换机上配置作为叶设备的 EVPN Type-5 路由实例中包含的 IRB 接口时,设备会自动为 EVPN Type 5 路由启用对称 IRB 间单播路由。

有关实施边缘路由桥接叠加的信息,请参阅 边缘路由桥接叠加设计和实施

折叠主干叠加

折叠主干架构中的叠加网络类似于 边缘路由桥接叠加。在折叠主干架构中,叶设备功能会折叠到主干设备上。由于没有叶层,因此您可以在位于叠加网络边缘的主干设备上配置 VTEPS 和 IRB 接口,就像边缘路由桥接模型中的叶设备一样。主干设备还可以执行边界网关功能来路由南北向流量,或跨数据中心位置扩展第 2 层 流量。

有关我们通过折叠主干架构支持的交换机列表,请参阅 数据中心 EVPN-VXLAN 交换矩阵参考设计 - 支持的硬件摘要

桥接、集中路由桥接和边缘路由桥接叠加的比较

为了帮助您确定哪种叠加类型最适合您的 EVPN 环境,请参阅 表 1

表 1:桥接、集中路由桥接和边缘路由桥接叠加的比较

比较点

边缘路由桥接叠加

集中路由桥接叠加

桥接叠加

完全分布式租户子网间路由

IP 网关故障的影响最小

在叶级别动态路由到第三方节点

专为大量东西向流量而优化

更好地与原始 IP 交换矩阵集成

更靠近服务器的 IP VRF 虚拟化

需要 Contrail vRouter 多宿主

与不同供应商之间的 EVPN 互操作性更简单

对称子网间路由

每个机架的 VLAN ID 重叠

更简单的手动配置和故障排除

服务提供商和企业样式的接口

旧有叶交换机支持 (QFX5100)

集中式虚拟机流量优化 (VMTO) 控制

防火墙群集上的 IP 租户子网网关

桥接叠加中的 IRB 寻址模型

在集中路由桥接和边缘路由桥接叠加中配置 IRB 接口时,需要了解 IRB 接口的默认网关 IP 和 MAC 地址配置模型,如下所示:

  • Unique IRB IP Address-在此模型中,在叠加子网的每个 IRB 接口上配置了一个唯一的 IP 地址。

    每个 IRB 接口上都有一个唯一的 IP 地址和 MAC 地址,其优势在于,可以使用其唯一 IP 地址从叠加层内监控和访问每个 IRB 接口。此模型还允许您在 IRB 接口上配置路由协议。

    此模型的缺点是,为每个 IRB 接口分配一个唯一的 IP 地址可能会占用子网的许多 IP 地址。

  • Unique IRB IP Address with Virtual Gateway IP Address— 此模型将虚拟网关 IP 地址添加到之前的模型中,我们会将其推荐用于集中路由的桥接叠加。它类似于 VRRP,但网关 IRB 接口之间没有带内数据平面信令。对于叠加子网中的所有默认网关 IRB 接口,虚拟网关应相同,并在配置的所有网关 IRB 接口上处于活动状态。您还应为虚拟网关配置一个通用 IPv4 MAC 地址,该地址将成为通过 IRB 接口转发的数据包上的源 MAC 地址。

    除了之前模型的优势外,虚拟网关还简化了终端系统上的默认网关配置。此模型的缺点与之前的模型相同。

  • IRB with Anycast IP Address and MAC Address-在此模型中,叠加子网中的所有默认网关 IRB 接口均使用相同的 IP 和 MAC 地址进行配置。我们建议将这种模型用于边缘路由桥接叠加。

    此模型的优势在于,默认网关 IRB 接口寻址每个子网只需一个 IP 地址,从而简化了终端系统上的默认网关配置。

使用 EVPN Type 5 路由的路由叠加

最后一个叠加选项是 路由叠加,如图 8 所示。

图 8:路由叠加 Routed Overlay

此选项是 IP 路由的虚拟网络服务。与基于 MPLS 的 IP VPN 不同,此模型中的虚拟网络基于 EVPN/VXLAN。

云提供商更喜欢这种虚拟网络选项,因为大多数现代应用程序都针对 IP 进行了优化。由于设备之间的所有通信都发生在 IP 层,因此在此路由叠加模型中,无需使用任何以太网桥接组件,如 VLAN 和 EIS。

有关实施路由叠加的信息,请参阅 路由叠加设计和实施

网络虚拟化叠加中用于多租户的 MAC-VRF 实例

通过 MAC-VRF 路由实例,您可以在用作 EVPN-VXLAN 交换矩阵中的 VTEP 的设备上使用不同的以太网服务类型配置多个 EVPN 实例。通过使用 MAC-VRF 实例,您可以使用客户特定的 VRF 表管理数据中心中的多个租户,以隔离或分组租户工作负载。

除了先前对 VLAN 感知服务类型的支持外,MAC-VRF 实例还引入了对基于 VLAN 的服务类型的支持。请参阅 图 9

图 9:MAC-VRF 服务类型 MAC-VRF Service Types

  • 基于 VLAN 的服务 — 您可以在 MAC-VRF 实例中配置一个 VLAN 和相应的 VXLAN 网络标识符 (VNI)。要调配新的 VLAN 和 VNI,您必须使用新的 VLAN 和 VNI 配置新的 MAC VRF 实例。

  • VLAN 感知服务 — 您可以在同一 MAC-VRF 实例中配置一个或多个 VLAN 以及相应的 VVI。要配置新的 VLAN 和 VNI,您可以将新的 VLAN 和 VNI 配置添加到现有 MAC-VRF 实例中,这比使用基于 VLAN 的服务可以节省一些配置步骤。

MAC-VRF 实例在 2 层和第 3 层  都支持更灵活的配置选项。例如:

图 10:使用 MAC-VRF 实例的第 2 层 和第 3 层 的灵活配置选项 Flexible Configuration Options at both Layer 2 and Layer 3 with MAC-VRF Instances

图 10 显示,在 MAC-VRF 实例中:

  • 您可以在同一设备上的不同 MAC-VRF 实例中配置不同的服务类型。

  • 您可以在第 2 层 (MAC-VRF 实例)和第 3 层 (VRF 实例)提供灵活的租户隔离选项。您可以在单个 MAC-VRF 实例中配置与 VLAN 或 VLAN 对应的 VRF 实例。或者,您可以在多个 MAC-VRF 实例中配置跨越 VLAN 的 VRF 实例。

图 11 显示了具有用于租户分离的示例 MAC-VRF 配置的边缘路由桥接叠加交换矩阵。

图 11:通过 MAC-VRF 实例实现租户分离的边缘路由桥接叠加交换矩阵 Edge-Routed Bridging Overlay Fabric with MAC-VRF Instances for Tenant Separation

图 11 中,叶设备会建立 VXLAN 隧道,通过使用 MAC-VRF 实例 MAC-VRF 12 和 MAC-VRF 3,在 租户 12(VLAN 1 和 VLAN 2)和租户 3 层之间保持隔离。叶设备还使用 VRF 实例 VRF 12 和 VRF  3 将租户隔离到第 3 层 。

您可以使用其他选项在在第 2 层和第 3 层  由 MAC-VRF 和 VRF 配置隔离的租户之间共享 VLAN 流量,例如:

  • 通过防火墙在租户 VRF 之间建立安全外部互连。

  • 配置第 3 层 VRF 之间的本地路由泄漏。

有关 MAC-VRF 实例并在示例客户用例中使用它们的更多信息,请参阅 EVPN-VXLAN DC IP 交换矩阵 MAC-VRF L2 服务

MAC-VRF 实例与转发实例对应,如下所示:

  • QFX5000 系列交换机上的 MAC-VRF 实例(包括运行 Junos OS 或 Junos OS 演化版的实例)都是默认转发实例的一部分。在这些设备上,不能在 MAC-VRF 实例中或跨多个 MAC-VRF 实例配置重叠的 VLAN。

  • 在 QFX10000 系列交换机上,您可以配置多个转发实例,并将一个 MAC-VRF 实例映射到特定转发实例。您还可以将多个 MAC-VRF 实例映射到同一转发实例。如果将每个 MAC-VRF 实例配置为使用不同的转发实例,则可以跨多个 MAC-VRF 实例配置重叠 VLAN。不能在单个 MAC-VRF 实例中配置重叠的 VLAN,也不能跨映射到同一转发实例的 MAC-VRF 实例配置重叠的 VLAN。

  • 在默认配置中,交换机包含一个与默认转发实例关联的 VLAN ID=1 的默认 VLAN。由于 VLAN ID 在转发实例中必须唯一,因此,如果您希望在使用默认转发实例的 MAC-VRF 实例中配置 VLAN ID=1 的 VLAN,则必须将默认 VLAN 的 VLAN ID 重新分配给非 1 值。例如:

本指南中的参考网络虚拟化叠加配置示例包括使用 MAC-VRF 实例配置叠加的步骤。您可以配置类型的 EVPN 路由实例 mac-vrf,并在实例中设置路由识别工具和路由目标。您还可以在实例中包括所需的接口(包括 VTEP 源接口)、VLAN 和 VLAN 到 VNI 的映射。请参阅以下主题中的参考配置:

注意:

当配置使用多个 MAC-VRF 实例时,设备的 VTEP 扩展可能出现问题。因此,为了避免出现此问题,我们需要您在运行 Junos OS 并采用 MAC-VRF 实例配置的 QFX5000 系列交换机上启用共享隧道功能。配置共享隧道时,设备将到达远程 VTEP 的下一跃点条目数量降至最低。您可以在层级使用 shared-tunnels 语句 [edit forwarding-options evpn-vxlan] 在设备上全局启用共享 VXLAN 隧道。此设置要求您重新启动设备。

此语句在运行 Junos OS 的 QFX10000 系列交换机上是可选的,它可以处理比 QFX5000 交换机更高的 VTEP 扩展。

在 EVPN-VXLAN 交换矩阵中运行 Junos OS 演化版的设备上,默认启用共享隧道。Junos OS Evolved 仅支持 MAC-VRF 配置中的 EVPN-VXLAN。

以太网连接终端系统的多宿主支持

图 12:以太网连接终端系统多宿主 Ethernet-Connected End System Multihoming

以太网连接多宿主 允许以太网连接的终端系统通过连接到一个 VTEP 设备的单宿主链路或连接到不同 VTEP 设备的多链路连接到以太网叠加网络。连接到同一终端系统的叶设备上的 VTEP 之间,以太网流量在交换矩阵中实现负载均衡。

我们测试了以太网连接终端系统连接到单个叶设备或多宿主连接到 2 或 3 个叶设备的设置,以证明在具有两个以上叶 VTEP 设备的多宿主设置中,流量得到正确处理;实际上,以太网连接的终端系统可以多宿主到大量叶 VTEP 设备。所有链路都是活动链路,网络流量可以在所有多宿主链路上均衡负载。

在此架构中,EVPN 用于以太网连接的多宿主。EVPN 多宿主 LAG 由 EVPN 桥接叠加中的以太网分段标识符 (ESI) 标识,而 LACP 则用于提高 LAG 可用性。

VLAN 中继允许一个接口支持多个 VLAN。VLAN 中继可确保非叠加虚拟机管理程序上的虚拟机 (VM) 可以在任何叠加网络环境中运行。

有关以太网连接多宿主支持的更多信息,请参阅 以太网连接的多宿主终端系统设计和实施

为 IP 连接终端系统提供多宿主支持

图 13:IP 连接终端系统多宿主 IP-Connected End System Multihoming

IP 连接多宿主 端点系统,可通过不同叶设备上的多个基于 IP 的接入接口连接到 IP 网络。

我们测试了一个 IP 连接终端系统连接到单个叶系统或多宿主连接到 2 或 3 个叶设备的设置。设置验证了当多宿主到多个叶设备时流量得到正确处理;实际上,IP 连接的终端系统可以多宿主到大量叶设备。

在多宿主设置中,所有链路均处于活动状态,并通过所有多宿主链路转发和接收网络流量。IP 流量使用简单的散列算法跨多宿主链路进行负载均衡。

EBGP 用于在 IP 连接的端点系统和连接的叶设备之间交换路由信息,以确保所有主干和叶设备共享到端点系统的路由或路由。

有关 IP 连接多宿主构建块的更多信息,请参阅 多宿主 IP 连接终端系统设计和实施

边界设备

我们的一些参考设计包括提供与以下设备(位于本地 IP 交换矩阵外部)的连接边界设备:

  • 组播网关。

  • 用于数据中心互连 (DCI) 的数据中心网关。

  • 诸如 SRX 路由器这样的设备,可整合防火墙、网络地址转换 (NAT)、入侵检测和防御 (IDP)、组播等多项服务。将多项服务整合到一个物理设备上称为服务链。

  • 用作防火墙、DHCP 服务器、sFlow 收集器等的设备或服务器。

    注意:

    如果您的网络包括需要与边界设备建立 1 Gbps 以太网连接的传统设备或服务器,我们建议使用 QFX10008 或 QFX5120 交换机作为边界设备。

为了提供上述附加功能,瞻博网络支持通过以下方式部署边界设备:

  • 作为仅用作边界设备的设备。在此专用角色中,您可以将设备配置为处理上述一个或多个任务。在这种情况下,设备通常部署为连接到主干设备的边界叶。

    例如,在 图 14 所示的边缘路由桥接叠加中,边界叶 L5 和 L6 为 DCI、sFlow 收集器和 DHCP 服务器提供与数据中心网关的连接。

  • 作为具有两个角色的设备:一个是网络底层设备和一个边界设备,可以处理上述一个或多个任务。在这种情况下,主干设备通常处理这两个角色。因此,边界设备功能称为边界主干。

    例如,在 图 15 所示的边缘路由桥接叠加中,边界主干 S1 和 S2 用作精简主干设备。此外,它们还可为 DCI、sFlow 收集器和 DHCP 服务器提供与数据中心网关的连接。

图 14:带边界枝叶 Sample Edge-Routed Bridging Topology with Border Leafs的边缘路由桥接拓扑示例
图 15:带边界主干的边缘路由桥接拓扑示例 Sample Edge-Routed Bridging Topology with Border Spines

数据中心互连 (DCI)

数据中心互连 (DCI) 构建块提供在数据中心之间发送流量所需的技术。经过验证的设计支持使用 EVPN Type 5 路由、IPVPN 路由和带 VXLAN 拼接的第 2 层 DCI 的 DCI。

EVPN Type 5 或 IPVPN 路由用于 DCI 环境中,以确保使用不同 IP 地址子网方案的数据中心之间可以交换数据中心间流量。路由在不同数据中心的主干设备之间交换,以便于在数据中心之间传输流量。

图 16:使用 EVPN 5 类路由拓扑的 DCI 概述 DCI Using EVPN Type 5 Routes Topology Overview

配置 DCI 之前,需要数据中心之间的物理连接。物理连接由 WAN 云中的主干设备提供。主干设备连接到单个数据中心 (POD) 中的所有主干设备,以及连接到其他数据中心的其他主干设备。

有关配置 DCI 的信息,请参阅:

服务链

在许多网络中,流量通常会通过分别提供服务的独立硬件设备,例如防火墙、NAT、IDP、组播等。每个设备都需要单独的操作和管理。这种将多个网络功能链接的方法可视为物理服务链。

一种更有效的服务链模型是将网络功能虚拟化并整合到单个设备上。在我们的蓝图架构中,我们使用 SRX 系列路由器作为整合网络功能和流程并应用服务的设备。该设备称为物理网络功能 (PNF)。

在此解决方案中,在集中路由桥接叠加和边缘路由桥接叠加上都支持服务链。它仅适用于租户间流量。

服务链的逻辑视图

图 17 显示了服务链的逻辑视图。其中显示了一个主干配置右侧和左侧配置。每一端都有一个 VRF 路由实例和一个 IRB 接口。中间的 SRX 系列路由器是 PNF,它会执行服务链。

图 17:服务链逻辑视图 Service Chaining Logical View

此逻辑视图中的流量为:

  1. 主干在 VTEP 上接收位于左侧 VRF 中的数据包。

  2. 数据包解封装后发送到左侧 IRB 接口。

  3. IRB 接口将数据包路由到充当 PNF 的 SRX 系列路由器。

  4. SRX 系列路由器对数据包执行服务链,并将数据包转发回主干,并在主干右侧显示的 IRB 接口上接收数据包。

  5. IRB 接口将数据包路由到右侧 VRF 中的 VTEP。

有关配置服务链的信息,请参阅 服务链设计和实施

组播优化

组播优化有助于在 EVPN VXLAN 环境中的组播场景中保留带宽并更高效地路由流量。无需配置任何组播优化,所有组播复制均在连接到组播源的叶入口处完成,如图 18 所示。组播流量会发送到连接到主干的所有叶设备。每个叶设备都会向连接的主机发送流量。

图 18:无优化 Multicast without Optimizations组播

EVPN VXLAN 环境支持几种类型的组播优化,可以协同工作:

有关配置组播功能的信息,请参阅:

IGMP 侦听

EVPN-VXLAN 交换矩阵中的 IGMP 侦听有助于优化组播流量的分布。IGMP 侦听保留带宽,因为组播流量仅在存在 IGMP 侦听器的接口上进行转发。叶设备上的并非所有接口都需要接收组播流量。

如果没有 IGMP 侦听,终端系统就会接收他们不感兴趣的 IP 组播流量,这不必要地为其链路充斥着不需要的流量。在某些情况下,IP 组播流量较大时,意外流量泛洪会导致拒绝服务问题。

图 19 显示了 IGMP 侦听如何在 EVPN-VXLAN 交换矩阵中发挥作用。在此 EVPN-VXLAN 交换矩阵示例中,所有叶设备上都配置了 IGMP 侦听,并且组播接收器 2 之前已发送 IGMPv2 加入请求。

  1. 组播接收器 2 发送 IGMPv2 离开请求。

  2. 组播接收器 3 和 4 发送 IGMPv2 加入请求。

  3. 当叶 1 收到入口组播流量时,它会为所有叶设备复制该流量,并将其转发到主干。

  4. 主干会将流量转发到所有叶设备。

  5. 叶 2 接收组播流量,但不会将其转发给接收器,因为接收方发送了 IGMP 离开消息。

图 19:使用 IGMP 侦听的多 Multicast with IGMP Snooping

在 EVPN-VXLAN 网络中,仅支持 IGMP 版本 2。

有关 IGMP 侦听的更多信息,请参阅 EVPN-VXLAN 环境中使用 IGMP 侦听或 MLD 侦听的组播转发概述

选择性组播转发

选择性组播以太网 (SMET) 转发提供更高的端到端网络效率,并减少 EVPN 网络中的流量。它可以节省交换矩阵核心中的带宽使用情况,并减少没有侦听器的出口设备上的负载。

支持 IGMP 侦听的设备可使用选择性组播转发以高效方式转发组播流量。启用 IGMP 侦听后,叶设备仅将组播流量发送至感兴趣接收器的接入接口。添加 SMET 后,叶设备选择性地仅将组播流量发送至已表示对组播组组感兴趣的核心叶设备。

图 20 显示了 SMET 流量和 IGMP 侦听。

  1. 组播接收器 2 发送 IGMPv2 离开请求。

  2. 组播接收器 3 和 4 发送 IGMPv2 加入请求。

  3. 当叶 1 收到入口组播流量时,只会将流量复制到具有感兴趣接收器的叶设备(叶设备 3 和 4),并将其转发至主干。

  4. 主干将流量转发到叶设备 3 和 4。

图 20:使用 IGMP 侦听的 Selective Multicast Forwarding with IGMP Snooping选择性组播转发

您不需要启用 SMET;当设备上配置 IGMP 侦听时,默认启用它。

有关 SMET 的更多信息,请参阅 选择性组播转发概述

组播流量的辅助复制

辅助复制 (AR) 功能可以从入口复制任务中分载 EVPN-VXLAN 交换矩阵叶设备。入口叶不会复制组播流量。它将组播流量的一个副本发送到配置为 AR 复制器设备的主干。AR 复制器设备分发和控制组播流量。除了减少入口叶设备上的复制负载外,此方法还节省了叶与主干之间交换矩阵中的带宽。

图 21 显示了 AR 如何与 IGMP 侦听和 SMET 协同工作。

  1. 叶 1(设置为 AR 叶设备)接收组播流量,并向设置为 AR 复制器设备的主干发送一个副本。

  2. 主干会复制组播流量。它会复制使用 VLAN VNI 配置的叶设备的流量,其中组播流量源自叶 1。

    由于我们在网络中配置了 IGMP 侦听和 SMET,因此主干仅将组播流量发送至具有感兴趣接收器的叶设备。

图 21:使用 AR、IGMP 侦听和 SMET Multicast with AR, IGMP Snooping, and SMET 的组播

在本文档中,我们展示了小规模的组播优化。在具有多个主干和枝叶的全规模网络中,优化的优势更加明显。

针对边缘路由桥接叠加网络的优化子网络间组播

在边缘路由桥接叠加交换矩阵内外都有组播源和接收器时,您可以配置优化的子网络间组播 (OISM), 以启用大规模高效的组播流量。

OISM 使用本地路由模型进行组播流量,从而避免流量发夹,并最大限度地减少 EVPN 核心内的流量负载。OISM 仅在组播源 VLAN 上转发组播流量。对于子网络间接收器,叶设备使用 IRB 接口将源 VLAN 上接收的流量本地路由到同一设备上的其他接收器 VLAN。为了进一步优化 EVPN-VXLAN 交换矩阵中的组播流量,OISM 使用 IGMP 侦听和 SMET 将交换矩阵中的流量转发至具有相关接收器的叶设备。

OISM 还使交换矩阵能够有效地将流量从外部组播源路由到内部接收器,以及从内部组播源路由到外部接收器。OISM 使用交换矩阵内的补充桥接域 (SBD) 来转发边界叶设备上从外部源接收的组播流量。SBD 设计保留了外部源流量的本地路由模型。

您可以使用 OISM 与 AR 来减少低容量 OISM 叶设备上的复制负载。(请参阅 组播流量的辅助复制。)

有关具有 OISM 和 AR 的简单交换矩阵,请参阅 图 22

图 22:使用 AR OISM with AR 的 OISM

图 22 显示了 OISM 服务器叶和边界叶设备,AR 复制器角色中的主干 1,以及 AR 叶角色中的服务器叶 1 作为组播源。外部 PIM 域中可能还存在外部源和接收器。在这种情况下,OISM 和 AR 协同工作,如下所示:

  1. VLAN 1 上的服务器叶 3 和 VLAN 2 上的服务器叶 4 后面的组播接收器发送显示对组播组感兴趣的 IGMP 加入。外部接收器也可能加入组播组。

  2. 服务器叶 1 背后的组播源将组播流量发送到 VLAN 1 上的交换矩阵。服务器叶 1 仅向主干 1 上的 AR 复制器发送一个流量副本。

  3. 此外,组播组的外部源流量会到达边界叶 1。边界叶 1 将 SBD 上的流量转发到 AR 复制器主干 1。

  4. AR 复制器将从源 VLAN 上的内部源和 SBD 上的外部源向具有相关接收器的 OISM 叶设备发送副本。

  5. 服务器叶设备将流量转发至源 VLAN 上的接收器,并在本地将流量路由至其他 VLAN 上的接收器。

EVPN 入口虚拟机流量优化

当虚拟机和主机在数据中心内移动或从一个数据中心移动到另一个数据中心时,如果不将流量路由到最佳网关,网络流量就会变得效率低下。重新定位主机时可能会发生这种情况。即使有更最优的网关,ARP 表也并不总是被刷新,流向主机的数据流也会发送到配置的网关。流量被“流转”,并不必要地路由到配置的网关。

入口虚拟机流量优化 (VMTO) 提供更高的网络效率并优化入口流量,并可以消除 VLAN 之间的单向效应。启用入口 VMTO 后,路由存储在第 3 层虚拟路由和转发 (VRF) 表中,设备会将入站流量直接路由回重新定位的主机。

图 23 显示了没有入口 VMTO 的流流流量,以及启用了入口 VMTO 的优化流量。

  • 如果没有入口 VMTO,当源路由来自 DC2 时,来自 DC1 和 DC2 的主干 1 和 DC2 均播发远程 IP 主机路由 10.0.0.1。入口流量可定向到 DC1 中的主干 1 和主干 2。然后,它被路由到 DC2 中的主干 1 和主干 2,其中路由 10.0.0.1 被移动。这会导致往返效应。

  • 借助入口 VMTO,我们可以通过配置 IP 主机路由 (10.0.01) 的策略来实现最佳转发路径,该策略仅在主干 1 和主干 2 从 DC2 播发,而当 IP 主机移动到 DC2 时,则不会从 DC1 播发。

图 23:有和不带入口 VMTO Traffic with and without Ingress VMTO 的流量

有关配置 VMTO 的信息,请参阅 配置 VMTO

DHCP 中继

图 24:集中路由桥接叠加 DHCP Relay in Centrally Routed Bridging Overlay中的 DHCP 中继

动态主机配置协议 (DHCP) 中继构建块允许网络在 DHCP 客户端和 DHCP 服务器之间传递 DHCP 消息。此构建块中的 DHCP 中继实现会将 DHCP 数据包通过网关位于主干层的集中路由桥接叠加。

DHCP 服务器和 DHCP 客户端使用叶设备上的接入接口连接到网络。当 DHCP 客户端和服务器在同一 VLAN 中时,DHCP 服务器和客户端可以通过现有网络相互通信,无需进一步配置。当 DHCP 客户端和服务器位于不同的 VLAN 中时,客户端和服务器之间的 DHCP 流量将通过主干设备上的 IRB 接口在 VLAN 之间转发。您必须在主干设备上配置 IRB 接口以支持 VLAN 之间的 DHCP 中继。

有关实施 DHCP 中继的信息,请参阅 DHCP 中继设计和实施

通过 ARP 同步和抑制(代理 ARP)减少 ARP 流量

ARP 同步的目标是跨为叠加子网提供服务的所有 VRF 同步 ARP 表,从而减少网络设备和终端系统的流量并优化处理。子网的 IP 网关了解 ARP 绑定后,会与其他网关共享,这样它们就不需要独立发现同一 ARP 绑定。

借助 ARP 抑制功能,当叶设备收到 ARP 请求时,它会检查自己的 ARP 表,该表与其他 VTEP 设备同步,并在本地响应该请求,而不是泛洪 ARP 请求。

所有可用作边缘路由桥接叠加中的叶设备 QFX 系列交换机均默认启用代理 ARP 和 ARP 抑制。有关这些交换机的列表,请参阅 数据中心 EVPN-VXLAN 交换矩阵参考设计 - 支持的硬件摘要

叶设备上的 IRB 接口同时从本地和远程叶设备提供 ARP 请求和 NDP 请求。当叶设备从其他叶设备收到 ARP 请求或 NDP 请求时,接收设备会搜索其 MAC+IP 地址绑定数据库中的 IP 地址。

  • 如果设备在其数据库中找到 MAC+IP 地址绑定,它将响应请求。

  • 如果设备未找到 MAC+IP 地址绑定,则会将 ARP 请求泛洪到 VLAN 中的所有以太网链路和关联的 VTEP。

由于所有参与的叶设备都会添加 ARP 条目并同步其路由和桥接表,因此本地叶设备直接响应来自本地连接主机的请求,并不再需要远程设备响应这些 ARP 请求。

有关实施 ARP 同步、代理 ARP 和 ARP 抑制的信息,请参阅 为边缘路由桥接叠加启用代理 ARP 和 ARP 抑制

以太网连接终端系统上的第 2 层端口安全功能

集中路由桥接叠加和边缘路由桥接叠加支持第 2 层以太网连接终端系统上的以下安全功能:

有关这些功能的更多信息,请参阅 EVPN-VXLAN 环境中的 MAC 过滤、风暴控制和端口镜像支持

有关配置这些功能的信息,请参阅 在以太网连接的终端系统上配置第 2 层端口安全功能

借助风暴控制防止 BUM 流量风暴

风暴控制可以防止过多流量导致网络降级。通过监控 EVPN-VXLAN 接口上的流量级别,并在超过指定流量级别时丢弃 BUM 流量,可以减轻 BUM 流量风暴的影响。

在 EVPN-VXLAN 环境中,风暴控制可以监控:

  • 第 2 层 BUM 流量,从 VXLAN 中发起并转发到同一 VXLAN 中的接口。

  • 由 VXLAN 中的 IRB 接口接收并转发到另一个 VXLAN 中的接口的第 3 层组播流量。

使用 MAC 过滤增强端口安全性

MAC 过滤通过限制 VLAN 内可学习的 MAC 地址数量来增强端口安全性,从而限制 VXLAN 中的流量。限制 MAC 地址数量可以保护交换机免受以太网交换表泛洪。如果学习到的新 MAC 地址数量导致表溢出,并且之前学习的 MAC 地址将从表中刷新,则以太网交换表将泛洪。交换机会重新学习 MAC 地址,这可能会影响性能并引入安全漏洞。

在此蓝图中,MAC 过滤会根据 MAC 地址限制发送至入口访问接口的接受数据包数量。有关 MAC 过滤工作原理的更多信息,请参阅 了解 MAC 限制和 MAC 移动限制中的 MAC 限制信息。

使用端口镜像分析流量

借助基于分析器的端口镜像,您可以在 EVPN-VXLAN 环境中分析数据包级别的流量。您可以使用此功能实施与网络使用和文件共享相关的策略,并通过定位特定站点或应用程序异常或高带宽使用情况来识别问题来源。

端口镜像会将进入或退出端口或进入 VLAN 的数据包复制,并将副本发送至本地接口进行本地监控或 VLAN 进行远程监控。使用端口镜像将流量发送到用于监控合规性、实施策略、检测入侵、监控和预测流量模式、关联事件等目的的流量分析应用程序。

相关文档