Überblick über IP-Clos-Fabrics für Campusnetzwerke

Vorteile von Campus Fabric: IP Clos

Mit der zunehmenden Anzahl von Geräten, die sich mit dem Netzwerk verbinden, müssen Sie Ihr Campus-Netzwerk schnell skalieren, ohne die Komplexität zu erhöhen. Viele IoT-Geräte verfügen nur über begrenzte Netzwerkfunktionen und erfordern eine Layer-2-Nachbarschaft zwischen Gebäuden und Campus. Traditionell wurde dieses Problem durch die Erweiterung von VLANs zwischen Endpunkten mithilfe von Data Plane-basierten Flood- und Learn-Mechanismen gelöst. Dieser Ansatz ist ineffizient, da er übermäßig viel Netzwerkbandbreite beansprucht. Es ist auch schwierig zu verwalten, da Sie VLANs konfigurieren und manuell verwalten müssen, um sie auf neue Netzwerkports auszuweiten. Dieses Problem erhöht sich um ein Vielfaches, wenn man das explosionsartige Wachstum von IoT und mobilen Geräten berücksichtigt.

Der Vorteil eines IP-Clos-Netzwerks besteht darin, dass Sie problemlos eine Reihe von Switches in einem IP-Clos-Netzwerk oder einer Campus-Fabric verbinden können. IP Clos erweitert die EVPN-Fabric, um VLANs über mehrere Gebäude hinweg zu verbinden, indem das Layer-2-VXLAN-Netzwerk mit Routing im Zugriffsgerät erweitert wird. Das IP-Clos-Netzwerk umfasst die Verteilungs-, Core- und Zugriffsebenen Ihrer Topologie.

Eine EVPN-VXLAN-Fabric löst diese Probleme und bietet die folgenden Vorteile:

• Reduziertes Flooding und Lernen: Steuerungsebenenbasiertes Layer-2/Layer-3-Lernen reduziert die Flood- und Learn-Probleme, die mit dem Lernen auf Datenebene verbunden sind. Das Erlernen von MAC-Adressen in der Weiterleitungsebene wirkt sich mit zunehmender Anzahl von Endpunkten negativ auf die Netzwerkleistung aus. Die EVPN-Steuerungsebene übernimmt den Austausch und das Erlernen von Routen, sodass neu gelernte MAC-Adressen nicht in der Weiterleitungsebene ausgetauscht werden

• Skalierbarkeit – Schnelleres Layer-2-/Layer-3-Lernen auf Basis von Steuerungsebenen ermöglicht die Skalierung des EVPN-VXLAN-Netzwerks, um eine größere Anzahl mobiler Geräte zu unterstützen.

• Konsistentes Netzwerk: Eine universelle EVPN-VXLAN-basierte Architektur über Campus und Datencenter hinweg bedeutet ein konsistentes End-to-End-Netzwerk für Endpunkte und Anwendungen. Darüber hinaus können Sie mit EVPN-VXLAN Mikro- und Makrosegmentierung aktivieren, um Layer-2-Flooding zu minimieren, Sicherheitsbedrohungen zu reduzieren und das Netzwerk zu vereinfachen.

• Standortunabhängige Konnektivität – Die EVPN-VXLAN-Campusarchitektur bietet eine konsistente Endpunkterfahrung, unabhängig davon, wo sich der Endpunkt befindet. Einige Endpunkte erfordern Layer-2-Erreichbarkeit, wie z. B. ältere Gebäudesicherheitssysteme oder IoT-Geräte. Das Layer-2-VXLAN-Overlay bietet Layer-2-Erreichbarkeit über Campus hinweg, ohne dass Änderungen am Underlay-Netzwerk vorgenommen werden müssen. Mit unserer standardbasierten Integration der Netzwerkzugangskontrolle kann ein Endpunkt überall im Netzwerk verbunden werden.

Grundlegendes zu VXLAN

Netzwerk-Overlays werden erstellt, indem der Datenverkehr gekapselt und über ein physisches Netzwerk getunnelt wird. Das VXLAN-Tunneling-Protokoll (Virtual Extensible LAN) kapselt Layer-2-Ethernet-Frames in Layer-4-UDP-Datagramme, die ihrerseits für den Transport über das Underlay in IP gekapselt sind. VXLAN ermöglicht virtuelle Layer-2-Subnetze (oder VLANs), die sich über das zugrunde liegende physische Layer-3-Netzwerk erstrecken können.

In einem VXLAN-Overlay-Netzwerk wird jedes Layer-2-Subnetz oder -Segment eindeutig durch einen Virtual Network Identifier (VNI) identifiziert. Ein VNI segmentiert den Datenverkehr auf die gleiche Weise wie eine VLAN-ID. Wie bei VLANs können Endgeräte innerhalb desselben virtuellen Netzwerks direkt miteinander kommunizieren. Endpunkte in verschiedenen virtuellen Netzwerken erfordern ein Gerät, das Inter-VXLAN-Routing unterstützt, in der Regel ein Router oder ein High-End-Switch.

Die Entität, die die VXLAN-Kapselung und -Entkapselung durchführt, wird als VXLAN-Tunnelendpunkt (VTEP) bezeichnet. Jedem VXLAN-Tunnelendpunkt wird eine eindeutige IP-Adresse zugewiesen. Normalerweise stimmen diese VTEP-Adressen mit der Loopback-Adresse des Geräts überein.

Einschränkungen der VXLAN-Steuerungsebene

VXLAN kann als Tunneling-Protokoll in einem Layer-3-IP-Fabric-Datencenter ohne Protokoll der Steuerungsebene bereitgestellt werden. Die Verwendung von VXLAN-Tunneln allein ändert jedoch nichts am Flood- und Learn-Verhalten des Ethernet-Protokolls, das inhärente Einschränkungen in Bezug auf Skalierbarkeit und Effizienz aufweist.

Die beiden primären Methoden zur Verwendung von VXLAN ohne Steuerungsebenenprotokoll – statische Unicast-VXLAN-Tunnel und VXLAN-Tunnel, die mit einem Multicast-Underlay signalisiert werden – lösen das inhärente Flood-and-Learn-Problem nicht und sind in großen mandantenfähigen Umgebungen schwer zu skalieren. Eine EVPN-Steuerungsebene bietet eine skalierbare Lösung für die Überschwemmungs- und Lernprobleme mit Ethernet.

EVPN verstehen

Ethernet VPN (EVPN) ist ein standardbasiertes Protokoll, das virtuelle Multipoint-Bridge-Konnektivität zwischen verschiedenen Domänen über ein IP- oder IP/MPLS-Backbone-Netzwerk bereitstellt. EVPN ermöglicht nahtlose, mandantenfähige, flexible Services, die bei Bedarf erweitert werden können.

EVPN nutzt BGP-Signale, damit das Netzwerk sowohl Layer-2-MAC- als auch Layer-3-IP-Informationen gleichzeitig übertragen kann, um Routing- und Switching-Entscheidungen zu optimieren. Diese Steuerungsebenentechnologie verwendet Multiprotocol BGP (MP-BGP) für die Verteilung von MAC- und IP-Adressendpunkten, wobei MAC-Adressen als Routen behandelt werden. EVPN ermöglicht es Geräten, die als VTEPs fungieren, miteinander Erreichbarkeitsinformationen über ihre Endpunkte auszutauschen.

EVPN bietet Multipath-Weiterleitung und Redundanz durch ein rein aktives Modell. Die Zugriffsschicht kann eine Verbindung zu zwei oder mehr Verteilungsgeräten herstellen und den Datenverkehr über alle Verbindungen weiterleiten. Wenn eine Zugriffsverbindung oder ein Verteilungsgerät ausfällt, fließt der Datenverkehr von der Zugriffsschicht über die verbleibenden aktiven Verbindungen zur Verteilungsschicht. Für Datenverkehr in die entgegengesetzte Richtung aktualisieren Remote-Verteilungsgeräte ihre Weiterleitungstabellen, um Datenverkehr an die verbleibenden aktiven Verteilungsgeräte zu senden, die mit dem mehrfach vernetzten Ethernet-Segment verbunden sind.

Zu den Vorteilen der Verwendung von EVPNs gehören:

• Mobilität von MAC-Adressen

• Mandantenfähigkeit

• Load Balancing über mehrere Links hinweg

• Schnelle Konvergenz

Zu den technischen Möglichkeiten von EVPN gehören:

• Minimales Flooding: EVPN erstellt eine Steuerungsebene, die die MAC-Adressen des Endhosts von VTEPs im selben EVPN-Segment gemeinsam nutzt, wodurch das Flooding minimiert und das Erlernen von MAC-Adressen erleichtert wird.

• Multihoming: EVPN unterstützt Multihoming für Client-Geräte. Zur Unterstützung von Multihoming ist ein Steuerungsprotokoll wie EVPN erforderlich, das die Synchronisierung von Endpunktadressen zwischen den Distribution-Switches ermöglicht, da der durch die Topologie geleitete Datenverkehr intelligent über mehrere Pfade bewegt werden muss.

• Aliasing: EVPN nutzt all-aktives Multihoming, um es einem Remote-Verteilungsgerät zu ermöglichen, den Datenverkehr über das Netzwerk in Richtung Zugriffsebene auszugleichen.

• Geteilter Horizont: Der geteilte Horizont verhindert die Schleife von Broadcast-, unbekanntem Unicast- und Multicast-Datenverkehr (BUM) in einem Netzwerk. Bei Split Horizon wird ein Paket nie über dieselbe Schnittstelle zurückgesendet, auf der es empfangen wurde.

Underlay-Netzwerk

Eine EVPN-VXLAN-Fabric-Architektur macht die Netzwerkinfrastruktur einfach und konsistent über Campus und Datencenter hinweg. Alle Core- und Verteilungsgeräte müssen über eine Layer-3-Infrastruktur miteinander verbunden sein. Wir empfehlen die Bereitstellung einer Clos-basierten IP-Fabric mit einer Spine-Leaf-basierten Topologie, um eine vorhersehbare Leistung zu gewährleisten und eine konsistente, skalierbare Architektur zu ermöglichen.

Die primäre Anforderung im Underlay-Netzwerk ist, dass alle Core- und Distribution-Geräte über eine Loopback-Erreichbarkeit zueinander verfügen. Die Loopback-Adressen werden verwendet, um IBGP-Peering-Beziehungen herzustellen, die für den Austausch von EVPN-Routen im Overlay-Netzwerk verwendet werden.

Sie können jedes Layer-3-Routing-Protokoll verwenden, um Loopback-Adressen zwischen den Zugriffs-, Core- und Verteilungsgeräten auszutauschen. BGP bietet Vorteile wie bessere Präfixfilterung, Traffic Engineering und Routen-Tagging, während OSPF relativ einfach zu konfigurieren und Fehler zu beheben ist.

Wir verwenden EBGP als Underlay-Routing-Protokoll in diesem Beispiel aufgrund seiner Benutzerfreundlichkeit. Abbildung 1 zeigt die Topologie des Underlay-Netzwerks.

Abbildung 1: Underlay-Netzwerktopologie

Overlay-Netzwerksteuerungsebene

MP-BGP mit EVPN-Signalisierung fungiert als Protokoll der Overlay-Steuerungsebene. Die Core- und Distribution-Geräte richten IBGP-Sitzungen untereinander ein.

Um vollständige Mesh-IBGP-Sitzungen zwischen allen Geräten überflüssig zu machen, fungieren die Core-Switches als Routenreflektoren, während die Zugriffs- und Verteilungsgeräte als Routenreflektor-Clients fungieren. Routenreflektoren ermöglichen eine einfache und konsistente IBGP-Konfiguration auf allen Verteiler-Switches und verbessern die Skalierbarkeit der Steuerungsebene erheblich. In diesem Beispiel verwenden wir hierarchische Routenreflektoren. Abbildung 2 zeigt die Topologie des Overlay-Netzwerks.

Abbildung 2: Overlay-Netzwerktopologie

Datenebene überlagern

Diese Architektur verwendet VXLAN als Kapselungsprotokoll für Overlay Data Plane. Ein Juniper Switch, der als Layer-2- oder Layer-3-VXLAN-Gateway fungiert, fungiert als VTEP zum Einkapseln und Entkapseln von Datenpaketen.

Zugriffsebene

Die Zugriffsebene bietet Netzwerkkonnektivität für Endbenutzergeräte wie PCs, VoIP-Telefone, Drucker, IoT-Geräte sowie Konnektivität für drahtlose Access Point-Geräte. In diesem IP-Clos-Campus-Design erstreckt sich das EVPN-VXLAN-Netzwerk bis zu den Switches der Zugriffsebene.

In diesem Beispiel ist jeder Zugriffs-Switch oder jedes Virtual Chassis auf zwei oder mehr Verteiler-Switches multivernetzt. Da EVPN als Protokoll der Steuerungsebene ausgeführt wird, kann jeder Zugriffs-Switch oder jedes Virtual Chassis-Gerät Aktiv-Aktiv-Multihoming auf seinen Schnittstellen aktivieren. EVPN bietet eine standardbasierte Multihoming-Lösung, die horizontal über eine beliebige Anzahl von Switches auf Verteilungsebene skaliert werden kann.

Abbildung 3 zeigt die Topologie der Access-Layer-Geräte nach dem Multihoming.

Abbildung 3: Topologie der Zugriffsebene

Juniper Access Points

In diesem Beispiel haben wir Juniper Access Points als unsere bevorzugten Access Point-Geräte ausgewählt. Sie wurden von Grund auf so konzipiert, dass sie die strengen Netzwerkanforderungen des modernen Cloud- und Smart-Device-Zeitalters erfüllen. Juniper Mist bietet einzigartige Funktionen sowohl für kabelgebundenes als auch für drahtloses LAN.

• Kabelgebundene und drahtlose Assurance: Mist bietet kabelgebundene und drahtlose Assurance. Nach der Konfiguration werden die Service Level Expectations (SLE) für wichtige kabelgebundene und drahtlose Leistungskennzahlen wie Durchsatz, Kapazität, Roaming und Betriebszeit in der Mist-Plattform berücksichtigt. Diese NCE verwendet Wired Assurance-Services von Mist.

• Marvis – Eine integrierte KI-Engine, die eine schnelle Fehlerbehebung per Kabel und drahtlos, Trendanalysen, Anomalieerkennung und proaktive Problembehebung ermöglicht.

Die IT-Abteilungen von heute suchen nach einem kohärenten Ansatz für die Verwaltung kabelgebundener und drahtloser Netzwerke. Juniper Networks bietet eine Lösung, die den Betrieb vereinfacht und automatisiert, eine End-to-End-Fehlerbehebung ermöglicht und sich letztendlich zum Self-Driving Network™ entwickelt. Die Integration der Mist-Plattform in dieses NCE adressiert diese beiden Herausforderungen. Weitere Informationen zur Mist-Integration und zu EX-Switches finden Sie unter Verbinden von Mist Access Points und Switches der EX-Serie von Juniper.

Campus-IP-Clos-Fabric-High-Level-Architektur

Die Campus-Fabric mit einer EVPN-VXLAN-Architektur entkoppelt das Overlay-Netzwerk vom Underlay-Netzwerk. Dieser Ansatz erfüllt die Anforderungen moderner Unternehmensnetzwerke, indem er es Netzwerkadministratoren ermöglicht, logische Layer-2-Netzwerke über ein oder mehrere Layer-3-Netzwerke hinweg zu erstellen. Durch die Konfiguration unterschiedlicher Routinginstanzen können Sie die Trennung virtueller Netzwerke erzwingen, da jede Routinginstanz über eine eigene separate Routing- und Switching-Tabelle verfügt.

VXLAN ist das Kapselungsprotokoll für Overlay-Data-Plane, das Ethernet-Frames zwischen Netzwerkendpunkten über das Layer-3-IP-Netzwerk tunnelt. Geräte, die die VXLAN-Kapselung und -Entkapselung für das Netzwerk durchführen, werden als VXLAN-Tunnelendpunkt (VTEP) bezeichnet. Bevor ein VTEP einen Frame in einen VXLAN-Tunnel sendet, umschließt er den ursprünglichen Frame in einem VXLAN-Header, der einen Virtual Network Identifier (VNI) enthält. Der VNI ordnet das Paket dem ursprünglichen VLAN am Eingangs-Switch zu. Nach dem Anwenden eines VXLAN-Headers wird der Frame in ein UDP/IP-Paket gekapselt, um es über die IP-Fabric an den Remote-VTEP zu übertragen.

Eine auf EVPN-VXLAN basierende Campus-Fabric ist ein modernes und skalierbares Netzwerk, das ein BGP-, OSPF- oder IS-IS-Underlay vom Core bis zu den Switches der Zugriffsebene verwendet. Die Access Layer Switches fungieren als VTEPs, die den VXLAN-Datenverkehr kapseln und entkapseln. Darüber hinaus leiten diese Geräte Pakete in und aus VXLAN-Tunneln weiter und überbrücken sie.

Abbildung 4 zeigt eine Campus-Fabric: IP-Clos-Netzwerk mit Juniper EX4300-MP, EX4650, EX9200, QFX 5120 und QFX10000-Switches.

Abbildung 4: IP-Clos-Topologie