Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

So konfigurieren Sie eine IP-Clos-Fabric für ein Campus-Netzwerk

Anforderungen

In diesem Konfigurationsbeispiel werden die folgenden Geräte verwendet:

  • Zwei EX9200- oder QFX10000-Switches als Core-Geräte, Softwareversion: Junos OS Version 20.2R3

  • Zwei EX4650 oder QFX5120 Switches als Verteilungsgeräte, Softwareversion: Junos OS Version 20.2R3

  • Zwei EX4300-MP-Switches als Zugriffsebene, Softwareversion: Junos OS Version 20.2R3 oder zwei EX4400-Switches, Softwareversion: Junos OS Version 21.1R1.

  • Ein SRX650-Sicherheitsgerät

  • Ein WAN-Router

  • Juniper Access Points

Übersicht

Verwenden Sie dieses Beispiel für eine Netzwerkkonfiguration, um eine einzelne Campus-Fabric mit einem IP-basierten Layer-3-Underlay-Netzwerk bereitzustellen, das EVPN als Protokoll der Steuerungsebene und VXLAN als Protokoll der Datenebene im Overlay-Netzwerk verwendet.

Wir konfigurieren zunächst EBGP als Underlay-Routing-Protokoll für den Austausch von Loopback-Routen. Anschließend konfigurieren wir IBGP zwischen den Core- und Verteilungsgeräten im Overlay, um Informationen zur Erreichbarkeit von Endpunkten in der Fabric gemeinsam zu nutzen.

Topologie

In diesem Beispiel konfigurieren wir jedes Gerät mit einer /32-Loopback-Adresse. Abbildung 1 zeigt die physische Topologie mit einem Gerät der SRX-Serie, einem WAN-Router und Geräten auf Zugriffsebene (EX-4300-MP) sowie das in diesem Beispiel verwendete IP-Adressierungsschema. Der Router der SRX-Serie erzwingt Richtlinienregeln für den Transitdatenverkehr, indem er den Datenverkehrsfluss steuert. Sie lässt Datenverkehr zu, der passieren kann, und verweigert den Datenverkehr, der basierend auf der erstellten Sicherheitsrichtlinie nicht zulässig ist.

Abbildung 1: EVPN-VXLAN-Fabric EVPN-VXLAN Fabric

Konfigurieren der Underlay-IP-Fabric

Übersicht

In diesem Abschnitt wird gezeigt, wie Sie das IP-Fabric-Underlay auf den Core-, Distribution- und Access-Layer-Switches mithilfe von EBGP konfigurieren und wie Sie die Richtlinienregeln auf dem SRX-Server konfigurieren.

Schnittstellen- und Underlay-Konfiguration

In diesem Abschnitt erfahren Sie, wie Sie das Underlay auf den Core- und Distribution-Layer-Switches konfigurieren.

Core 1-Konfiguration

Schritt-für-Schritt-Anleitung

  1. Konfigurieren Sie die Schnittstellen, die mit den Core-Geräten verbunden sind.

  2. Konfigurieren Sie die Loopback-Schnittstelle und die Router-ID und aktivieren Sie den Lastenausgleich pro Paket

  3. Konfigurieren Sie das BGP-Underlay-Netzwerk.

Core 2-Konfiguration

Schritt-für-Schritt-Anleitung

  1. Konfigurieren Sie die Schnittstellen, die mit den Core-Geräten verbunden sind.

  2. Konfigurieren Sie die Loopback-Schnittstelle und die Router-ID, und aktivieren Sie den Lastenausgleich pro Paket.

  3. Konfigurieren Sie das BGP-Underlay-Netzwerk.

Konfiguration von Verteilung 1

Schritt-für-Schritt-Anleitung

  1. Konfigurieren Sie die Verbindungsschnittstellen zwischen den beiden Core-Geräten und die Konnektivität zu den Distribution-Switches.

  2. Konfigurieren Sie die Loopback-Schnittstelle und die Router-ID.

  3. Aktivieren Sie den Lastenausgleich pro Paket.

  4. Konfigurieren Sie das BGP-Underlay-Netzwerk.

Konfiguration von Verteilung 2

Schritt-für-Schritt-Anleitung

  1. Konfigurieren Sie die Verbindungsschnittstellen zwischen den beiden Core-Geräten und die Konnektivität zu den Distribution-Switches.

  2. Konfigurieren Sie die Loopback-Schnittstelle und die Router-ID.

  3. Aktivieren Sie den Lastenausgleich pro Paket.

  4. Konfigurieren Sie das BGP-Underlay-Netzwerk.

Konfiguration des Zugriffs-Switches 1

Schritt-für-Schritt-Anleitung

  1. Geben Sie die Schnittstellen an, die eine Verbindung zu den Verteiler-Switches herstellen.

  2. (Optional) Konfigurieren Sie ein Virtual Chassis mit Non-Stop-Routing und Bridging für Hochverfügbarkeit.

  3. Konfigurieren Sie das Underlay-BGP.

Konfiguration von Access Switch 2

Schritt-für-Schritt-Anleitung

  1. Geben Sie die Schnittstellen an, die mit Verteiler-Switches verbunden werden sollen.

  2. (Optional) Konfigurieren Sie ein Virtual Chassis mit Non-Stop-Routing und Bridging für Hochverfügbarkeit.

  3. Konfigurieren Sie das Underlay-BGP.

Hinweis:

Wenn Sie über zusätzliche Access Layer Switches in Ihrem Netzwerk verfügen, wiederholen Sie diesen Konfigurationsvorgang für jeden Access Switch.

SRX-Konfiguration

Schritt-für-Schritt-Anleitung

  1. Konfigurieren Sie die Sicherheitseinstellungen auf dem SRX-Gerät.

Konfigurieren des Overlays

Übersicht

In diesem Abschnitt wird gezeigt, wie das Overlay konfiguriert wird, einschließlich der Konfiguration von IBGP-Peerings, der VLAN-zu-VXLAN-Zuordnungen und der IRB-Schnittstellenkonfigurationen für die virtuellen Netzwerke auf den Zugriffs-Switches.

Topologie

In diesem Beispiel haben wir drei virtuelle Netzwerke: 1, 2 und 3. Die IRB-Schnittstellen für diese virtuellen Netzwerke befinden sich auf den Zugriffs-Switches. Wir haben alle IRB-Schnittstellen in derselben Routing-Instanz platziert. Sie können die IRB-Schnittstellen in verschiedenen Routing-Instanzen für die Netzwerksegmentierung platzieren, wenn dies in Ihrer Bereitstellung erforderlich ist.

Abbildung 2 zeigt das virtuelle Overlay-Netzwerk mit VLANs.

Abbildung 2: Overlay-Topologie Overlay Virtual Network Topology des virtuellen Netzwerks

Overlay- und virtuelle Netzwerkkonfiguration

Verwenden Sie diesen Abschnitt, um das Overlay auf den Core- und Distribution-Layer-Switches zu konfigurieren.

Core 1-Konfiguration

Schritt-für-Schritt-Anleitung

  1. Legen Sie die AS-Nummer fest und konfigurieren Sie IBGP-Nachbarn zwischen Core- und Verteilungsgeräten. Sie müssen keine IBGP-Nachbarn zwischen Core 1 und Core 2 konfigurieren, da sie alle BGP-Updates von Verteilung 1 und Verteilung 2 erhalten.

    Konfigurieren Sie die Core-Geräte als Routenreflektoren, damit kein vollständiges IBGP-Mesh zwischen allen Switches der Verteilungsschicht erforderlich ist. Dadurch wird die Konfiguration auf den Geräten der Verteilungsschicht einfach und konsistent.

Core 2-Konfiguration

Schritt-für-Schritt-Anleitung

  1. Legen Sie die AS-Nummer fest und konfigurieren Sie IBGP-Nachbarn zwischen Core- und Verteilungsgeräten. Konfigurieren Sie die Core-Geräte als Routenreflektoren, damit keine vollständige Mesh-IBGP-Konfiguration zwischen allen Geräten der Verteilungs- und Zugriffsebene erforderlich ist.

Konfiguration von Verteilung 1

Schritt-für-Schritt-Anleitung

  1. Konfigurieren Sie IBGP-Nachbarn vom Distribution-Switch bis zu den Core-Switches.

Konfiguration von Verteilung 2

Schritt-für-Schritt-Anleitung

  1. Konfigurieren Sie IBGP-Nachbarn vom Distribution-Switch bis zu den Core-Switches.

Access 1-Konfiguration

Schritt-für-Schritt-Anleitung

  1. Konfigurieren Sie das Overlay-BGP.

  2. Konfigurieren Sie EVPN-VXLAN.

  3. Konfigurieren Sie die VLAN/VXLAN-Zuordnung und die IRB-Schnittstellen. VLAN_1 wird verwendet, um Management-Datenverkehr von Mist APs an das Internet zu senden. Konfigurieren von VLAN_2 und VLAN_3 zum Verbinden von kabelgebundenen und drahtlosen Client-Geräten

  4. Konfigurieren Sie die VRF-Instanz.

  5. Konfigurieren Sie die Ports für die Mist Access Points als Trunk-Ports. Auf diese Weise können Sie mehrere SSIDs und VLANs auf dem Port verwenden. VLAN_1 wird verwendet, um Management-Datenverkehr von Mist APs an das Internet zu senden. Konfigurieren Sie VLAN_2 und VLAN_3 zum Verbinden von kabelgebundenen und drahtlosen Client-Geräten.

  6. Konfigurieren Sie die 802.1x-Authentifizierung für die kabelgebundenen Clients.

Access 2-Konfiguration

Schritt-für-Schritt-Anleitung

  1. Konfigurieren des Overlay-BGP

  2. Konfigurieren Sie EVPN-VXLAN.

  3. Konfigurieren Sie die VLAN/VXLAN-Zuordnung und den IRB.

  4. Konfigurieren Sie die VRF-Instanz.

  5. Konfigurieren Sie die Ports für die Mist Access Points als Trunk-Ports. Auf diese Weise können Sie mehrere SSIDs und VLANs auf dem Port unterstützen. VLAN_1 wird verwendet, um Management-Datenverkehr von Mist APs an das Internet zu senden. Konfigurieren Sie VLAN_2 und VLAN_3 zum Verbinden von kabelgebundenen und drahtlosen Client-Geräten.

  6. Konfigurieren Sie die 802.1x-Authentifizierung für die kabelgebundenen Clients.

Hinweis:

Wenn Sie über zusätzliche Access Layer Switches in Ihrem Netzwerk verfügen, wiederholen Sie diesen Konfigurationsvorgang für jeden Access Switch.

Überprüfung

Verfahren

Schritt-für-Schritt-Anleitung

Übersicht

Melden Sie sich bei jedem Gerät an und überprüfen Sie, ob die EVPN-VXLAN-Fabric konfiguriert wurde.

Überprüfung

Distribution 1: Überprüfen von BGP-Sitzungen

Zweck

Überprüfen Sie den Status der BGP-Sitzungen mit den Core- und Zugriffsgeräten.

Aktion

Stellen Sie sicher, dass BGP-Sitzungen mit den Core- und Zugriffsgeräten eingerichtet sind. Die IP-Adressen für die Core-Geräte lauten 172.16.5.1 und 172.16.6.1 und die IP-Adressen für die Zugriffsgeräte sind 172.16.1.1 und 172.16.2.1

Bedeutung

BGP ist sowohl auf den Distributions- als auch auf den Core-Geräten aktiv. Die IBGP-Sitzungen werden mit den Loopback-Schnittstellen der Core- und Zugriffsgeräte eingerichtet, wobei MP-IBGP mit EVPN-Signalisierung verwendet wird, um das Overlay zu bilden, das EVPN-Routen austauscht.

Distribution 2: Überprüfen von BGP-Sitzungen

Zweck

Überprüfen Sie den Status der BGP-Sitzungen mit den Core- und Zugriffsgeräten.

Aktion

Stellen Sie sicher, dass BGP-Sitzungen mit den Core- und Zugriffsgeräten eingerichtet sind. Die IP-Adressen für die Core-Geräte lauten 172.16.5.1 und 172.16.6.1 und die IP-Adressen für die Zugriffsgeräte lauten 172.16.1.1 und 172.16.2.1.

Bedeutung

BGP ist sowohl auf den Distributions- als auch auf den Core-Geräten aktiv. Die IBGP-Sitzungen werden mit den Loopback-Schnittstellen der Core- und Zugriffsgeräte eingerichtet, wobei MP-IBGP mit EVPN-Signalisierung verwendet wird, um die Overlay-Schicht zu bilden und EVPN-Routen auszutauschen.

Access 1: Überprüfen von EVPN-Datenbankinformationen

Zweck

Vergewissern Sie sich, dass die EVPN-Datenbank korrekt aufgefüllt ist.

Aktion

Stellen Sie sicher, dass die EVPN-Datenbank MAC-Adressinformationen für lokal angeschlossene Hosts installiert und Ankündigungen von den anderen Leaf-Geräten mit Informationen zu Remote-Hosts empfängt.

Access 1: Überprüfen der Informationen zur lokalen Switching-Tabelle

Zweck

Vergewissern Sie sich, dass die lokale Switching-Tabelle korrekt ausgefüllt ist. In diesem Beispiel interessieren wir uns für die Geräte und Routen für VLAN_2.

Aktion

Stellen Sie sicher, dass die lokale Switching-Tabelle MAC-Adressinformationen für lokal angeschlossene Hosts installiert und Ankündigungen von den anderen Leaf-Geräten mit Informationen zu Remote-Hosts empfängt.

Bedeutung

Die obige Ausgabe bestätigt, dass die lokale Switching-Tabelle die MAC-Adressen für alle Endpunkte korrekt lernt und installiert. Es zeigt die Beziehung zwischen MAC-Adressen, den VLANs, denen sie zugeordnet sind (VLANs 1, 2 und 3) und ihrer Next-Hop-Schnittstelle.

Access 2: Überprüfen von EVPN-Datenbankinformationen

Zweck

Vergewissern Sie sich, dass die EVPN-Datenbank korrekt aufgefüllt ist.

Aktion

Stellen Sie sicher, dass die EVPN-Datenbank MAC-Adressinformationen für lokal angeschlossene Hosts installiert und Ankündigungen von den anderen Leaf-Geräten mit Informationen zu Remote-Hosts empfängt.

Access 2: Überprüfen der Informationen zur lokalen Switching-Tabelle

Zweck

Vergewissern Sie sich, dass die lokale Switching-Tabelle korrekt ausgefüllt wurde.

Aktion

Stellen Sie sicher, dass die lokale Switching-Tabelle MAC-Adressinformationen für lokal angeschlossene Hosts installiert und Ankündigungen von den anderen Leaf-Geräten mit Informationen zu Remote-Hosts empfängt.

Bedeutung

Die obige Ausgabe bestätigt, dass die lokale Switching-Tabelle die MAC-Adressen für alle mit VLAN_2 verknüpften Endgeräte korrekt lernt und installiert. Es zeigt die Beziehung zwischen MAC-Adressen, VLANs, denen sie zugeordnet sind, und ihrer Next-Hop-Schnittstelle.