Überblick über einen Collapsed Core mit EVPN Multihoming in einem Campus-Netzwerk
Informationen zu diesem Beispiel für eine Netzwerkkonfiguration
Dieses Netzwerkkonfigurationsbeispiel (NCE) beschreibt, wie Sie ein Campus-Netzwerk mithilfe von EVPN-VXLAN auf einer Collapsed Core-Architektur mit EVPN-Multihoming (auch ESI-LAG genannt) konfigurieren und verwalten. In diesem Beispiel werden Switches der EX-Serie mit Mist Access Points verwendet.
Juniper Networks benötigt eine Lizenz für EVPN-VXLAN auf Switches der QFX-Serie und EX4650. Weitere Informationen finden Sie im Lizenzierungshandbuch .
Übersicht über Anwendungsfälle
Ein Campus-Netzwerk mit EVPN-VXLAN ist eine effiziente und skalierbare Möglichkeit, Campus aufzubauen und mit Datencentern und öffentlichen Clouds zu verbinden. Das VXLAN-Overlay mit einer EVPN-Steuerungsebene ermöglicht es Ihnen, logische Layer-2-Netzwerke über ein Layer-3-Underlay-Netzwerk zu erstellen. Ein Collapsed-Core-Design ist ideal für ein Campus-Netzwerk, in dem das Netzwerk schnell skaliert werden muss. Eine Collapsed Core-Architektur ist weniger komplex und einfacher zu konfigurieren und zu verwalten. EVPN-Multihoming macht das Spanning Tree Protocol (STP) im gesamten Campus-Netzwerk überflüssig, indem es die Multihoming-Funktionen von der Zugriffsebene bis zur reduzierten Core-Schicht und eine L3-IP-Fabric vom reduzierten Core bis zum Netzwerkkern bereitstellt. EVPN-Multihoming unterstützt auch die horizontale Skalierung mit mehr als zwei Geräten in der Verteilungsschicht und erweitert das EVPN-Netzwerk bis in den Core.
Vorteile von EVPN-VXLAN
Diese Architektur bietet optimierte, nahtlose und standardkonforme Layer-2- oder Layer-3-Konnektivität. Die EVPN-VXLAN-Campusnetzwerke von Juniper Networks bieten die folgenden Vorteile:
Konsistente, skalierbare Architektur – Unternehmen haben in der Regel mehrere Standorte mit unterschiedlichen Größenanforderungen. Eine gemeinsame EVPN-VXLAN-basierte Campus-Architektur ist an allen Standorten konsistent, unabhängig von der Größe. EVPN-VXLAN lässt sich entsprechend der Entwicklung eines Standorts horizontal oder vertikal skalieren.
Bereitstellung mehrerer Anbieter: Die EVPN-VXLAN-Architektur verwendet standardbasierte Protokolle, sodass Unternehmen Campus-Netzwerke mit Netzwerkgeräten verschiedener Anbieter bereitstellen können. Es gibt keine Bindung an einen einzelnen Anbieter.
Reduziertes Flooding und Lernen: Steuerungsebenenbasiertes Layer-2/Layer-3-Lernen reduziert die Flood- und Learn-Probleme, die mit dem Lernen auf Datenebene verbunden sind. Das Erlernen von MAC-Adressen in der Weiterleitungsebene wirkt sich mit zunehmender Anzahl von Endpunkten negativ auf die Netzwerkleistung aus. Die EVPN-Steuerungsebene übernimmt den Austausch und das Erlernen von Routen, sodass neu gelernte MAC-Adressen nicht in der Weiterleitungsebene ausgetauscht werden.
Standortunabhängige Konnektivität – Die EVPN-VXLAN-Campusarchitektur bietet eine konsistente Endpunkterfahrung, unabhängig davon, wo sich der Endpunkt befindet. Einige Endpunkte erfordern Layer-2-Erreichbarkeit, wie z. B. ältere Gebäudesicherheitssysteme oder IoT-Geräte. Das Layer-2-VXLAN-Overlay bietet Layer-2-Erreichbarkeit über Campus hinweg, ohne dass Änderungen am Underlay-Netzwerk vorgenommen werden müssen. Mit unserer standardbasierten Integration der Netzwerkzugangskontrolle kann ein Endpunkt überall im Netzwerk verbunden werden.
Underlay-agnostisch: VXLAN als Overlay ist underlay-agnostisch. Mit einem VXLAN-Overlay können Sie mehrere Campus mit einem Layer-2-VPN- oder Layer-3-VPN-Service eines WAN-Anbieters oder mithilfe von IPsec über das Internet verbinden.
Konsistente Netzwerksegmentierung—Eine universelle EVPN-VXLAN-basierte Architektur über Campus und Datencenter hinweg bedeutet eine konsistente End-to-End-Netzwerksegmentierung für Endpunkte und Anwendungen.
Vereinfachte Verwaltung: Campus-Netzwerke und Datencenter, die auf einem gemeinsamen EVPN-VXLAN-Design basieren, können gemeinsame Tools und Netzwerkteams für die Bereitstellung und Verwaltung von Campus- und Datencenter-Netzwerken verwenden.
Technischer Überblick
Dieser NCE zeigt, wie eine Collapsed Core-Architektur für ein Campus-Netzwerk bereitgestellt wird. Sie können den EX4650 oder den QFX5120 Switch als Collapsed Core-Switch verwenden. In diesem Beispiel verwenden wir den EX4650-Switch als reduzierte Core-Switches und die Switches der EX-Serie als Zugriffs-Switches. Abbildung 1 zeigt die ausgeblendete Core-Architektur in einem Campus-Netzwerk. Die Access-Point-Geräte sind mit den Access Layer-Switches verbunden, die wiederum mit den ausgeblendeten Core-Switches multihomed sind. Es gibt separate VLANs für Mitarbeiter, Gäste und IoT-Geräte.
- Underlay- und Overlay-Netzwerk
- Collapsed Core-Architektur
- EVPN-Multihoming
- Zugriffsebene
- VRF-Segmentierung
Underlay- und Overlay-Netzwerk
In diesem Beispiel für eine Netzwerkkonfiguration wird eine Campus-Fabric mit einem IP-basierten Layer-3-Underlay-Netzwerk mit EVPN-VXLAN als Overlay bereitgestellt. Sie können OSPF oder BGP als Underlay-Protokoll und iBGP als Overlay-Protokoll verwenden, in diesem Beispiel verwenden wir BGP als Underlay-Routing-Protokoll und MP-BGP mit EVPN-Signalisierung als Overlay-Control-Plane-Protokoll. VXLAN ist das Kapselungsprotokoll für Overlay Data Plane.
Collapsed Core-Architektur
Bei einer kollabierten Core-Architektur wird das normale dreistufige hierarchische Netzwerk in ein zweistufiges Netzwerk umgewandelt. In einem zweistufigen Netzwerk werden die Funktionen der Switches in der Core- und Distribution-Schicht zu einer kombinierten Core- und Distribution-Schicht auf einem einzigen Switch "kollabiert". Sie können den EX4650 oder den QFX5120 Switch als Collapsed Core-Switch verwenden. In diesem Beispiel verwenden wir den EX4650-Switch als reduzierten Core-Switch.
EVPN-Multihoming
Neue EVPN-Technologiestandards – einschließlich der RFCs 8365, 7432 und 7348 – führen das Konzept der Link-Aggregation in EVPNs mit Ethernet-Segmenten ein. Ethernet-Segmente in einem EVPN sammeln Links zu einem Bundle und weisen den gebündelten Links eine Nummer zu, die als Ethernet Segment Identifier (ESI) bezeichnet wird. Links von mehreren eigenständigen Knoten können dieselbe ESI zugewiesen werden, eine wichtige Link-Aggregationsfunktion, die Geräten in einem EVPN-VXLAN-Netzwerk Redundanz auf Knotenebene verleiht. Die gebündelten Links, die mit einer ESI nummeriert sind, werden oft als ESI-LAGs bezeichnet.
Layer-2-Multihoming in EVPN-Netzwerken ist von der EVPN-Multihoming-Funktion abhängig. EVPN-Multihoming, das vollständige Unterstützung für Aktiv-Aktiv-Verbindungen bietet, wird häufig auch mit LACP aktiviert, um die Unterstützung mehrerer Anbieter für die Geräte zu gewährleisten, die auf das Campus-Netzwerk zugreifen. Layer-2-Multihoming mit LACP ist eine besonders attraktive Konfigurationsoption bei der Bereitstellung von Geräten, die sich mit Access Points in einem Campus-Netzwerk verbinden, da Multihoming aus Sicht des Access transparent ist. Mit ESI funktioniert der Access Point so, als wäre er mit einem einzigen Knoten verbunden, selbst wenn er mit zwei oder mehr Switches verbunden ist.
EVPN-Multihoming bietet redundante Konnektivität zwischen Access Point-Geräten und der ausgeblendeten Core-Schicht. In diesem Beispiel wird ESI in einem rein aktiven Modus konfiguriert, um den Datenverkehr auf alle angeschlossenen mehrfach vernetzten Geräte auszugleichen.
Zugriffsebene
Die Zugriffsebene bietet Netzwerkkonnektivität für Endbenutzergeräte wie PCs, VoIP-Telefone, Drucker und IoT-Geräte sowie Konnektivität für drahtlose Access Point-Geräte. In diesem Beispiel verwenden wir Mist APs als Access Point-Gerät. Sich entwickelnde IT-Abteilungen suchen nach einem kohärenten Ansatz für die Verwaltung kabelgebundener und drahtloser Netzwerke. Juniper Networks verfügt über eine Lösung, die den Betrieb und die End-to-End-Fehlerbehebung vereinfachen und automatisieren kann und sich letztendlich zum Self-Driving Network™ entwickelt. Die Integration der Mist-Plattform in dieses NCE adressiert diese beiden Herausforderungen.
Mist wurde von Grund auf so konzipiert, dass es die strengen Netzwerkanforderungen des modernen Cloud- und Smart-Device-Zeitalters erfüllt. Mist bietet einzigartige Funktionen für das kabelgebundene und drahtlose LAN.
Kabelgebundene und drahtlose Assurance: Mist bietet kabelgebundene und drahtlose Assurance. Nach der Konfiguration werden die Service Level Expectations (SLE) für wichtige kabelgebundene und drahtlose Leistungskennzahlen wie Durchsatz, Kapazität, Roaming und Betriebszeit in der Mist-Plattform berücksichtigt. Diese NCE verwendet Wired Assurance-Services von Mist.
Marvis – Eine integrierte KI-Engine, die eine schnelle Fehlerbehebung per Kabel und drahtlos, Trendanalysen, Anomalieerkennung und proaktive Problembehebung ermöglicht.
Weitere Informationen zur Mist-Integration und zu EX-Switches finden Sie unter Verbinden von Mist Access Points und Switches der EX-Serie von Juniper.
VRF-Segmentierung
Die VRF-Segmentierung wird verwendet, um Benutzer und Geräte in Gruppen in einem gemeinsam genutzten Netzwerk zu organisieren und gleichzeitig die verschiedenen Gruppen zu trennen und zu isolieren. Die Routing-Geräte im Netzwerk erstellen und verwalten für jede Gruppe eine separate virtuelle Routing- und Weiterleitungstabelle (VRF). Die Benutzer und Geräte in einer Gruppe werden in einem VRF-Segment platziert und können miteinander kommunizieren, aber sie können nicht mit Benutzern in einem anderen VRF-Segment kommunizieren. Wenn Sie Datenverkehr von einem VRF-Segment zu einem anderen VRF-Segment senden und empfangen möchten, müssen Sie den Routingpfad konfigurieren. In diesem Beispiel konfigurieren wir Routing-Pfade so, dass sie über einen Router der SRX-Serie laufen. Auf diese Weise können Sie Richtlinien definieren, um anderen Gruppen den Zugriff auf bestimmte Ressourcen in einem VRF-Segment zu erlauben oder zu verweigern. Der Router der SRX-Serie setzt Richtlinienregeln für den Transitdatenverkehr durch, indem er den Datenverkehr, der passieren kann, identifiziert und zulässt und den nicht zulässigen Datenverkehr verweigert. Informationen zum Konfigurieren eines Routing-Pfads über einen SRX-Router finden Sie unter Konfigurieren des SRX-Routers. Abbildung 2 zeigt unsere reduzierte Core-Netzwerktopologie mit den 3 VRF-Segmenten (Mitarbeiter, Gäste und IoT-Geräte).
