Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Technische Übersicht

Underlay-Netzwerk

Eine EVPN-VXLAN-Fabric-Architektur sorgt für eine einfache und konsistente Netzwerkinfrastruktur auf dem Campus und in Datencentern. Alle Core-, Verteilungs- und Zugriffsgeräte müssen über eine L3-Infrastruktur verbunden werden. Wir empfehlen die Bereitstellung einer Clos-basierten IP-Fabric, um eine vorhersehbare Leistung zu gewährleisten und eine konsistente, skalierbare Architektur zu ermöglichen.

Sie können ein beliebiges L3-Routing-Protokoll verwenden, um Loopback-Adressen zwischen den Zugriffs-, Core- und Verteilungsgeräten auszutauschen. BGP bietet Vorteile wie bessere Präfixfilterung, Traffic-Engineering und Routen-Tagging. Wir verwenden eBGP als Underlay-Routing-Protokoll in diesem Beispiel. Mist stellt automatisch Nummern für private autonome Systeme und alle BGP-Konfigurationen für das Underlay und Overlay nur für die Campus-Fabric bereit. Es gibt Optionen zum Bereitstellen zusätzlicher BGP-Lautsprecher, damit Sie ein Peering mit externen BGP-Peers durchführen können.

Underlay-BGP wird verwendet, um Loopback-Adressen von Peers zu lernen, sodass die Overlay-BGP mithilfe der Loopback-Adresse Nachbarn einrichten kann. Das Overlay wird dann zum Austausch von EVPN-Routen verwendet.

Abbildung 1: Punkt-zu-Punkt/31-Verbindungen zwischen benachbarten Schichten, auf denen eBGP Diagram Description automatically generated ausgeführt wird

Netzwerk-Overlays ermöglichen Konnektivität und Adressierung unabhängig vom physischen Netzwerk. Ethernet-Frames werden in UDP/IP-Datagramme gehüllt, die für den Transport über das Underlay in IP eingekapselt sind. VXLAN ermöglicht es virtuellen L2-Subnetzen oder VLANs, das zugrunde liegende physische L3-Netzwerk zu überspannen.

In einem VXLAN-Overlay-Netzwerk wird jedes L2-Subnetz oder -Segment eindeutig durch einen Virtual Network Identifier (VNI) identifiziert. Ein VNI segmentiert den Datenverkehr genauso wie eine VLAN-ID. Diese Zuordnung erfolgt auf den Zugriffs-Switches und dem Border Gateway, die sich im Core- oder Services-Block befinden können. Wie bei VLANs können Endgeräte im selben virtuellen Netzwerk direkt miteinander kommunizieren.

Endgeräte in verschiedenen virtuellen Netzwerken erfordern ein Gerät, das Inter-VXLAN-Routing unterstützt, in der Regel ein Router, oder einen High-End-Switch, der als L3-Gateway bezeichnet wird. Die Entität, die die VXLAN-Kapselung und -Entkapselung vornimmt, heißt VXLAN Tunnel Endpoint (VTEP). Jedes VTEP wird als L2-Gateway bezeichnet und erhält in der Regel die Loopback-Adresse des Geräts. Hier findet auch die Zuordnung von VXLAN (allgemein bekannt als VNI) zu VLAN statt.

Abbildung 2: VXLAN-VTEP-Tunnel A diagram of a network Description automatically generated

VXLAN kann als Tunneling-Protokoll in einer L3-IP-Campus-Fabric ohne ein Control Plane-Protokoll bereitgestellt werden. Die Verwendung von VXLAN-Tunneln allein ändert jedoch nichts am Flood-and-Learn-Verhalten des Ethernet-Protokolls.

Die beiden primären Methoden für die Verwendung von VXLAN ohne Control Plane-Protokoll sind statische Unicast-VXLAN-Tunnel und VXLAN-Tunnel. Diese Methoden werden mit einem Multicast-Underlay signalisiert und lösen das inhärente Flood-and-Learn-Problem nicht. Diese Methoden sind auch in großen, mandantenfähigen Umgebungen schwer zu skalieren. Diese Methoden sind nicht Gegenstand dieses JVD.

EVPN verstehen

Ethernet VPN (EVPN) ist eine BGP-Erweiterung zur Verteilung von Informationen zur Erreichbarkeit von Endgeräten wie MAC- und IP-Adressen an andere BGP-Peers. Diese Steuerungsebenentechnologie verwendet Multiprotocol BGP (MP-BGP) für die Verteilung von MAC- und IP-Adressendgeräten, wobei MAC-Adressen als EVPN-Routen vom Typ 2 behandelt werden. EVPN lässt Geräte als VTEPs agieren, um die Erreichbarkeitsinformationen ihrer Endgeräte untereinander auszutauschen.

Von Juniper unterstützte EVPN-Standards: https://www.juniper.net/documentation/us/en/software/junos/evpn-vxlan/topics/concept/evpn.html

Was ist EVPN-VXLAN? https://www.juniper.net/us/en/research-topics/what-is-evpn-vxlan.html

Zu den Vorteilen der Verwendung von EVPNs gehören:

  • Mobilität von MAC-Adressen
  • Mehrfachmandantenfähigkeit
  • Load-Balancing über mehrere Links
  • Schnelle Konvergenz
  • Hohe Verfügbarkeit
  • Maßstab
  • Standardbasierte Interoperabilität

EVPN bietet Multipath-Forwarding und Redundanz durch ein aktiviertes Modell. Die Zugriffsebene kann eine Verbindung zu zwei oder mehr Verteilungsgeräten herstellen und den Datenverkehr über alle Verbindungen weiterleiten. Wenn eine Zugriffsverbindung oder ein Verteilungsgerät ausfällt, fließt der Datenverkehr von der Zugriffsebene über die verbleibenden aktiven Verbindungen zur Verteilungsschicht. Für Datenverkehr in die andere Richtung aktualisieren Remote-Verteilungsgeräte ihre Weiterleitungstabellen, um Datenverkehr an die verbleibenden aktiven Verteilungsgeräte zu senden, die mit dem mehrfach vernetzten Ethernet-Segment verbunden sind.

Zu den technischen Möglichkeiten von EVPN gehören:

  • Minimale Überflutung: EVPN erstellt eine Steuerungsebene, die die MAC-Adressen des Endhosts zwischen VTEPs teilt.
  • Multihoming: EVPN unterstützt Multihoming für Client-Geräte. Für die Unterstützung von Multihoming ist ein Steuerungsprotokoll wie EVPN erforderlich, das die Synchronisierung von Endgeräteadressen zwischen den Zugriffs-Switches ermöglicht, da der Datenverkehr über die Topologie intelligent über mehrere Pfade geleitet werden muss.
  • Aliasing: EVPN nutzt aktives Multihoming, wenn Geräte mit der Zugriffsebene eines Campus-Fabric verbunden werden. Die Verbindung der Multihomed-Access-Layer-Switches wird als ESI-LAG bezeichnet, während die Access-Layer-Geräte über Standard-LACP mit jedem Zugriffs-Switch verbunden werden.
  • Geteilte Horizonte: Die Funktion "Geteilte Horizont" verhindert die Schleifen von Broadcast-, unbekanntem Unicast- und BUM-Datenverkehr (Multicast) in einem Netzwerk. Bei Split Horizon wird ein Paket nie über dieselbe Schnittstelle zurückgesendet, auf der es empfangen wurde, wodurch Schleifen vermieden werden.

Overlay-Netzwerk (Data Plane)

VXLAN ist das Overlay-Data-Plane-Kapselungsprotokoll, das Ethernet-Frames zwischen Netzwerkendpunkten über das Underlay-Netzwerk tunnelt. Geräte, die die VXLAN-Kapselung und -Entkapselung für das Netzwerk durchführen, werden als VTEP bezeichnet. Bevor ein VTEP einen Frame an einen VXLAN-Tunnel sendet, umschließt er den ursprünglichen Frame in einem VXLAN-Header, der einen Virtual Network Identifier (VNI) enthält. Der VNI ordnet das Paket dem ursprünglichen VLAN am Eingangs-Switch zu. Nach dem Anwenden eines VXLAN-Headers wird der Frame in ein UDP/IP-Datagramm für die Übertragung an den Remote-VTEP über die IP-Fabric gekapselt, wobei der VXLAN-Header entfernt wird und die VNI-zu-VLAN-Übersetzung am Ausgangs-Switch erfolgt.

Abbildung 3: VXLAN-Header A picture containing diagram Description automatically generated

VTEPs sind an die Loopback-Adresse der Geräte gebundene Softwareentitäten, die VXLAN-Tunnel erzeugen und beenden. VXLAN-Tunnel in einer IP-Clos-Fabric werden auf Folgendem bereitgestellt:

  • Access-Switches zur Ausweitung der Services auf die gesamte Campus-Fabric IP-Clos.
  • Core-Switches fungieren als Border-Router und verbinden die Campus-Fabric mit dem externen Netzwerk.
  • Services blockieren Geräte, die die Campus-Fabric mit dem externen Netzwerk verbinden.

Overlay-Netzwerk (Control Plane)

MP-BGP mit EVPN-Signalisierung fungiert als Protokoll der Overlay-Steuerungsebene. Benachbarte Layer-Switches richten eBGP-Peers anhand ihrer Loopback-Adressen mit den nächsten Hops ein, die von den Underlay-BGP-Sitzungen angekündigt werden. Beispielsweise richten Core- und Verteilungsgeräte eBGP-Sitzungen untereinander ein, während die Zugriffs- und Verteilungsgeräte eBGP-Sitzungen untereinander einrichten. Wenn es eine L2-Weiterleitungstabelle-Aktualisierung auf einem Switch gibt, der an der Campus-Fabric beteiligt ist, sendet er eine BGP-Aktualisierungsnachricht mit der neuen MAC-Route an andere Geräte in der Fabric. Diese Geräte aktualisieren dann ihre lokale EVPN-Datenbank und Routing-Tabellen.

Abbildung 4: EVPN-VXLAN-Overlay-Netzwerk mit einem Services-Block A diagram of a diagram Description automatically generated

Ausfallsicherheit und Load Balancing

Wir unterstützen Bi-Directional Forwarding (BFD) als Teil der BGP-Protokollimplementierung. Dies ermöglicht eine schnelle Konvergenz im Falle eines Geräte- oder Verbindungsausfalls, ohne auf die Timer des Routing-Protokolls angewiesen zu sein. Mist konfigurierte BFD-Mindestintervalle von 350 ms bzw. 1000 ms im Underlay und Overlay. Load Balancing (standardmäßig pro Paket) wird für alle Links innerhalb der Campus-Fabric unter Verwendung von ECMP-Routing (Equal-Cost Multipath) unterstützt, das auf der Weiterleitungsebene aktiviert ist.

Ethernet Segment Identifier (ESI)

Wenn Geräte wie Server und Access Points mit zwei oder mehr Switches auf der Zugriffsebene in einer Campus-Fabric multihomed sind, bildet sich eine ESI-LAG auf den Geräten der Zugriffsebene. Bei dieser ESI-Komponente handelt es sich um eine 10-Oktett-Ganzzahl, die das Ethernet-Segment unter allen Access-Layer-Switches identifiziert, die an der ESI teilnehmen. MP-BGP ist das Protokoll der Steuerungsebene, das zur Koordination dieser Informationen verwendet wird. ESI-LAG ermöglicht Verbindungs-Failover im Falle einer fehlerhaften Verbindung, unterstützt Aktiv-Aktiv-Load Balancing und wird automatisch von Mist zugewiesen.

Abbildung 5: Geräteausfallsicherheit und Lastenausgleich A diagram of a computer network Description automatically generated

Service-Block

Sie müssen kritische Infrastrukturservices von einem dedizierten Zugriffspaar von Juniper Switches positionieren. Dazu können z. B. WAN- und Firewall-Konnektivität, RADIUS und DHCP-Server gehören. Wenn Sie einen schlanken Core bereitstellen müssen, verringert der dedizierte Serviceblock die Notwendigkeit, dass der Core die Kapselung und Entkapselung von VXLAN-Tunneln, mehreren Routing-Instanzen und zusätzlichen L3-Routing-Protokollen unterstützt. Die Service-Block-Border-Funktion wird direkt von der Core-Schicht oder als dediziertes Switch-Paar unterstützt.

Abbildung 6: Services-Block A diagram of a server Description automatically generated

Zugriffsebene

Die Zugriffsebene bietet Netzwerkkonnektivität zu Endbenutzergeräten wie PCs, VoIP-Telefonen, Druckern und IoT-Geräten sowie Konnektivität zu drahtlosen Access Points. Das EVPN-VXLAN-Netzwerk erweitert alle Switches der Zugriffsebene.

Abbildung 7: Endpunktzugriff A diagram of a server Description automatically generated

In diesem Beispiel ist jeder Zugriffs-Switch oder jedes Virtual Chassis mit zwei oder mehr Verteiler-Switches multinetworked. Das Virtual Chassis von Juniper reduziert die Anzahl der Ports, die für Verteiler-Switches erforderlich sind, und optimiert die Verfügbarkeit von Glasfaserkabeln auf dem gesamten Campus. Das Virtual Chassis unterstützt Switches mit bis zu 10 Mitgliedern (je nach Switch-Modell) und wird als einzelnes Gerät verwaltet. Siehe https://www.juniper.net/documentation/us/en/software/junos/vcf-best-practices-guide/vcf-best-practices-guide.pdf.

Wenn EVPN als Protokoll der Steuerungsebene ausgeführt wird, kann jeder Zugriffs-Switch oder jedes Virtual Chassis-Gerät Aktiv-Aktiv-Multihoming zur Verteilungsschicht ermöglichen. EVPN bietet eine standardbasierte Multihoming-Lösung, die horizontal über eine beliebige Anzahl von Access-Layer-Switches skaliert werden kann.

Organisatorische Bereitstellung von Campus-Fabrics

Mist Campus-Fabric unterstützt Bereitstellungen auf Standort- und Organisationsebene. Die in Abbildung 8 dargestellte organisationsbasierte Bereitstellung richtet sich an Unternehmen, die sich an einer POD-Struktur ausrichten müssen.

Abbildung 8: Campus-Fabric-Knotenkonfiguration Graphical user interface Description automatically generated
Anmerkung:

Die Bereitstellung auf Standortebene steht bei diesem JVD im Mittelpunkt

Juniper Access Points

In unserem Netzwerk wählen wir Mist Access Points (APs) als unsere bevorzugten AP-Geräte. Sie wurden von Grund auf so konzipiert, dass sie die hohen Netzwerkanforderungen des modernen Zeitalters von Clouds und intelligenten Geräten erfüllen. Mist bietet einzigartige Funktionen sowohl für kabelgebundene als auch für WLAN:

  • Wired and Wireless Assurance—Mist ist mit Wired and Wireless Assurance aktiviert. Nach der Konfiguration werden die Servicelevel-Erwartungen (SLE) für wichtige kabelgebundene und drahtlose Leistungsmetriken wie Durchsatz, Kapazität, Roaming und Betriebszeit in der Mist Plattform überwacht. Dieses JVD verwendet Mist Wired Assurance Services.
  • Marvis: Eine integrierte KI-Engine, die schnelle Fehlerbehebung für kabelgebundene und drahtlose Netzwerke, Trendanalysen, Anomalieerkennung und proaktive Problembehebung ermöglicht.

Juniper Mist Edge

In großen Campus-Netzwerken bietet Juniper Mist Edge nahtloses Roaming durch Beenden des Datenverkehr-Tunneling von und zu den Juniper APs. Juniper Mist Edge erweitert ausgewählte Microservices auf den Kundenstandort und nutzt gleichzeitig die Juniper Mist Cloud und ihre verteilte Softwarearchitektur für skalierbare und zuverlässige Prozesse, Management, Fehlerbehebung und Analysen. Juniper Mist Edge wird als eigenständige Anwendung mit mehreren Varianten für Bereitstellungen unterschiedlicher Größe bereitgestellt.

IT-Abteilungen, die sich weiterentwickeln, suchen nach einem kohärenten Ansatz für die Verwaltung von kabelgebundenen, drahtlosen und WAN-Netzwerken. Dieser Full-Stack-Ansatz simplifiziert und automatisiert den Betrieb, bietet eine End-to-End-Fehlerbehebung und entwickelt sich schließlich zum Self-Driving Network. Die Integration der Mist Plattform in dieses JVD zielt sowohl auf Full-Stack-Bereitstellungen als auch auf Automatisierung ab. Weitere Informationen zur Mist Integration mit EX-Switches finden Sie unter: Verbinden Mist Access Points und Juniper EX-Serie-Switches.