SUR CETTE PAGE
Comment configurer une dorsale réduite avec le multihébergement EVPN
Exigences
Cet exemple suppose que vous disposez de deux centres de données (DC1 et DC2) avec des réseaux distincts. Cet exemple utilise les périphériques et logiciels suivants :
DC1 :
Deux commutateurs de cœur de réseau : QFX5120-48Y exécutant Junos OS version 18.4R2-S1.4
Deux commutateurs ToR : EX4300-48T exécutant Junos OS version 18.1R3-S6.1
Deux équipements de sécurité : équipements SRX345 exécutant Junos OS version 18.2R3.4 (configuration complémentaire en option)
Quatre serveurs
DC2 :
Deux commutateurs de cœur de réseau : QFX5120-48Y exécutant Junos OS version 18.4R2-S1.4
Deux commutateurs ToR : EX4300-48T exécutant Junos OS version 18.1R3-S6.1
Deux serveurs
Chaque paire de commutateurs ToR doit déjà être configurée en tant que Virtual Chassis. Reportez-vous à la section Présentation du Virtual Chassis EX Series pour plus d’informations sur la création d’un Virtual Chassis avec les commutateurs EX4300. Cet exemple de configuration utilise des liaisons Ethernet agrégées de multihébergement entre le Virtual Chassis ToR et les deux périphériques de cœur de réseau sur un seul membre du Virtual Chassis. Si possible, pour une meilleure résilience, vous pouvez connecter les liaisons Ethernet agrégées de multihébergement entre le Virtual Chassis et les équipements de cœur de réseau à l’aide d’interfaces de différents membres de Virtual Chassis.
Aperçu
Utilisez cet exemple pour configurer une architecture de dorsale réduite avec le multihébergement EVPN des commutateurs ToR. Nous disposons de deux centres de données avec une configuration d’interconnexion du datacenter (DCI) en option, un cluster SRX en option pour plus de sécurité et une configuration de relais DHCP en option. Cet exemple de configuration vous montre comment configurer cette architecture dans DC1. Vous pouvez utiliser une configuration similaire dans DC2.
Topologie
Dans ce déploiement, il y a deux datacenters : DC1 et DC2. Les réseaux de centres de données sont configurés avec une architecture de cœur de réseau réduite utilisant des QFX5120 comme commutateurs de cœur de réseau. Dans ce cas, nous vous recommandons de limiter la structure EVPN-VXLAN au centre de données local.
Si vous le souhaitez, vous pouvez connecter les centres de données à l’aide d’une DCI de couche 3 dans l’underlay. Ce cas d’usage ne nécessite pas d’extension de couche 2 entre les centres de données. Le trafic entre centres de données est uniquement de couche 3 et est acheminé via le cluster SRX dans le centre de données 1 pour une inspection avancée.
La figure 1 illustre la connectivité logique entre les composants utilisés dans ce RCE.
logique
Il existe deux locataires dans DC1 : JNPR1 et JNPR2. Tout trafic interlocataire entre JNPR1 et JNPR2 dans DC1 est acheminé via le cluster de pare-feu SRX à des fins de sécurité.
DC1 :
Les VLAN 201 et 202 appartiennent à JNPR1.
Les VLAN 211 et 212 appartiennent à JNPR2.
DC1 a des serveurs dans les VLAN 201, 202, 211 et 212.
DC2 :
Les VLAN 221 et 222 appartiennent au locataire par défaut, qui est identique à l’instance de routage par défaut.
DC2 dispose de serveurs dans les VLAN 221 et 222.
La figure 2 montre la connectivité physique entre les composants utilisés dans ce RCE.
physique
Avant de commencer
Vous devez implémenter une configuration de base sur vos équipements avant de configurer la structure.
Procédure
Procédure étape par étape
Par défaut, aucune interface Ethernet agrégée n’est créée. Vous devez définir le nombre d’interfaces Ethernet agrégées avant de pouvoir les configurer. Une fois que vous avez défini le nombre d’appareils, le système crée ce nombre d’interfaces Ethernet agrégées vides, chacune avec une adresse MAC unique au monde. Vous pouvez créer davantage d’interfaces Ethernet agrégées en réduisant le nombre d’interfaces ESI-LAG au nombre d’interfaces ESI-LAG requises sur l’équipement.
Définissez le nombre d’interfaces Ethernet agrégées sur tous les commutateurs centraux et les commutateurs ToR.
set chassis aggregated-devices ethernet device-count 15
Les ports 0 à 47 d’un QFX5120-48Y fonctionnent comme des ports 10 Gigabit par défaut. Les équipements SRX ne prennent en charge que 1 Gigabit. Configurez les ports des cœurs 1 et 2 connectés au pare-feu SRX Series pour qu’ils soient des ports 1 gigabit. Dans ce cas, il s’agit de ge-0/0/10 et ge-0/0/11. Pour activer 1 Gigabit sur ces ports, configurez la vitesse du premier port du quadrilatère, qui dans ce cas est ge-0/0/8.
Utilisez l’instruction suivante sur les dos 1 et 2 :
set chassis fpc 0 pic 0 port 8 speed 1G
Note:Vous pouvez configurer les vitesses de port 1 Gigabit et 25 Gigabit uniquement par quad (groupe de quatre ports) et non individuellement. Tous les ports fonctionnent à la même vitesse au sein du quadrilatère. Par exemple, si vous configurez les ports 8 à 11 pour qu’ils fonctionnent comme des ports Ethernet 1 Gigabit et que vous insérez un émetteur-récepteur SFP+ 10 Gigabit dans le port 10, aucune interface n’est créée pour ce port.
Le mode de détection automatique de la vitesse détecte les interfaces Ethernet 100 Gigabit et 40 Gigabit et les canalise automatiquement. La canalisation automatique et la détection de vitesse sont activées par défaut. Dans cet exemple, la canalisation automatique divise chaque interface Ethernet 40 Gigabit en quatre interfaces Ethernet 10 Gigabit.
Désactivez la canalisation automatique sur les ports et-0/0/2 et et-0/0/31 sur le cœur 3 et les ports et-0/0/49 et et-0/0/50 sur le cœur 4 afin qu’ils restent des interfaces Ethernet 40 gigabits.
Colonne vertébrale 3 :
set chassis fpc 0 pic 0 port 2 channel-speed disable-auto-speed-detection set chassis fpc 0 pic 0 port 31 channel-speed disable-auto-speed-detection
Colonne vertébrale 4 :
set chassis fpc 0 pic 0 port 49 channel-speed disable-auto-speed-detection set chassis fpc 0 pic 0 port 50 channel-speed disable-auto-speed-detection
Configurer le calque sous-jacent
Dans cette topologie, la fabric IP se trouve uniquement entre les deux commutateurs centraux, comme illustré sur la Figure 3. Les deux commutateurs de cœur de réseau établissent un appairage EBGP sur les liaisons point à point afin d’échanger des adresses de bouclage entre eux.
de fabric IP
Configurer le cœur de réseau 1
Procédure étape par étape
Configurez les interfaces sur Spine 1.
set interfaces et-0/0/50 description "* connected to DC1-Spine2" set interfaces et-0/0/50 traps set interfaces et-0/0/50 mtu 9216 set interfaces et-0/0/50 unit 0 family inet address 192.168.100.5/31 set interfaces et-0/0/51 description "* connected to DC1-Spine2" set interfaces et-0/0/51 traps set interfaces et-0/0/51 mtu 9216 set interfaces et-0/0/51 unit 0 family inet address 192.168.100.7/31 set interfaces lo0 unit 0 description "** DC1 Spine1 Loopback" set interfaces lo0 unit 0 family inet address 192.168.255.13/32
Configurez le sous-calque EBGP.
set protocols bgp log-updown set protocols bgp graceful-restart restart-time 30 set protocols bgp group UNDERLAY type external set protocols bgp group UNDERLAY description "Connection to EBGP UNDERLAY" set protocols bgp group UNDERLAY import UNDERLAY-IMPORT set protocols bgp group UNDERLAY family inet unicast set protocols bgp group UNDERLAY authentication-key "$ABC123" set protocols bgp group UNDERLAY export UNDERLAY-EXPORT set protocols bgp group UNDERLAY local-as 65013 set protocols bgp group UNDERLAY multipath multiple-as set protocols bgp group UNDERLAY neighbor 192.168.100.4 peer-as 65012 set protocols bgp group UNDERLAY neighbor 192.168.100.6 peer-as 65012
Configurez les stratégies d’importation et d’exportation.
set policy-options policy-statement UNDERLAY-EXPORT term LOOPBACK from route-filter 192.168.255.0/24 orlonger set policy-options policy-statement UNDERLAY-EXPORT term LOOPBACK then accept set policy-options policy-statement UNDERLAY-EXPORT term DEFAULT then reject set policy-options policy-statement UNDERLAY-IMPORT term LOOPBACK from route-filter 192.168.255.0/24 orlonger set policy-options policy-statement UNDERLAY-IMPORT term LOOPBACK then accept set policy-options policy-statement UNDERLAY-IMPORT term DEFAULT then reject
Activez ECMP et la protection contre le reroutage rapide ECMP. Activez l’équilibrage de charge par flux, ce que vous faites avec le
per-packetmot-clé.set policy-options policy-statement ECMP-POLICY then load-balance per-packet set routing-options forwarding-table export ECMP-POLICY
En cas de panne d’une liaison, ECMP utilise la protection contre le reroutage rapide pour déplacer le transfert de paquets vers les liaisons opérationnelles, ce qui réduit la perte de paquets. La protection de reroutage rapide met à jour les ensembles ECMP pour l’interface sans avoir à attendre la mise à jour de la table de routage. Lors de la prochaine mise à jour de la table de routage, un nouvel ensemble ECMP peut être ajouté avec moins de liaisons, ou le routage peut pointer vers un seul saut suivant.
set routing-options forwarding-table ecmp-fast-reroute
Par défaut, le minuteur de vieillissement ARP est réglé sur 20 minutes et le minuteur de vieillissement MAC est réglé sur 5 minutes. Pour éviter les problèmes de synchronisation avec les entrées de liaison MAC et MAC-IP dans un environnement EVPN-VXLAN, configurez la génération ARP pour qu’elle soit plus rapide que la génération MAC.
set system arp aging-timer 5 set protocols l2-learning global-mac-ip-table-aging-time 300 set protocols l2-learning global-mac-table-aging-time 600
Configurer le cœur de réseau 2
Procédure étape par étape
Répétez la configuration à partir du dos 1 sur le dos 2.
Configurez les interfaces sur Spine 2.
set interfaces et-0/0/50 description "* connected to DC1-Spine1" set interfaces et-0/0/50 traps set interfaces et-0/0/50 mtu 9216 set interfaces et-0/0/50 unit 0 family inet address 192.168.100.4/31 set interfaces et-0/0/51 description "* connected to DC1-Spine1" set interfaces et-0/0/51 traps set interfaces et-0/0/51 mtu 9216 set interfaces et-0/0/51 unit 0 family inet address 192.168.100.6/31 set interfaces lo0 unit 0 description "** DC1 Spine2 Loopback" set interfaces lo0 unit 0 family inet address 192.168.255.12/32
Configurez le sous-calque EBGP.
set protocols bgp log-updown set protocols bgp graceful-restart restart-time 30 set protocols bgp group UNDERLAY type external set protocols bgp group UNDERLAY description "EBGP UNDERLAY" set protocols bgp group UNDERLAY import UNDERLAY-IMPORT set protocols bgp group UNDERLAY family inet unicast set protocols bgp group UNDERLAY authentication-key "$ABC123" set protocols bgp group UNDERLAY export UNDERLAY-EXPORT set protocols bgp group UNDERLAY local-as 65012 set protocols bgp group UNDERLAY multipath multiple-as set protocols bgp group UNDERLAY neighbor 192.168.100.5 peer-as 65013 set protocols bgp group UNDERLAY neighbor 192.168.100.7 peer-as 65013
Configurez les stratégies d’importation et d’exportation.
set policy-options policy-statement UNDERLAY-EXPORT term LOOPBACK from route-filter 192.168.255.0/24 orlonger set policy-options policy-statement UNDERLAY-EXPORT term LOOPBACK then accept set policy-options policy-statement UNDERLAY-EXPORT term DEFAULT then reject set policy-options policy-statement UNDERLAY-IMPORT term LOOPBACK from route-filter 192.168.255.0/24 orlonger set policy-options policy-statement UNDERLAY-IMPORT term LOOPBACK then accept set policy-options policy-statement UNDERLAY-IMPORT term DEFAULT then reject
Activez ECMP et la protection contre le reroutage rapide ECMP.
set policy-options policy-statement ECMP-POLICY then load-balance per-packet set routing-options forwarding-table export ECMP-POLICY set routing-options forwarding-table ecmp-fast-reroute
Pour éviter les problèmes de synchronisation avec les entrées de liaison MAC et MAC-IP dans un environnement EVPN-VXLAN, configurez la génération ARP pour qu’elle soit plus rapide que la génération MAC.
set system arp aging-timer 5 set protocols l2-learning global-mac-ip-table-aging-time 300 set protocols l2-learning global-mac-table-aging-time 600
Vérification de l’underlay
Procédure étape par étape
Vérifiez que les deux sessions voisines BGP sont établies sur le cœur de réseau 1.
user@spine1> show bgp neighbor 192.168.100.4 Peer: 192.168.100.4+179 AS 65012 Local: 192.168.100.5+51424 AS 65013 Description: Connection to EBGP UNDERLAY Group: UNDERLAY Routing-Instance: master Forwarding routing-instance: master Type: External State: Established Flags: <Sync> Last State: OpenConfirm Last Event: RecvKeepAlive Last Error: Cease Export: [ UNDERLAY-EXPORT ] Import: [ UNDERLAY-IMPORT ] . . .
user@spine1> show bgp neighbor 192.168.100.6 Peer: 192.168.100.6+59705 AS 65012 Local: 192.168.100.7+179 AS 65013 Description: Connection to EBGP UNDERLAY Group: UNDERLAY Routing-Instance: master Forwarding routing-instance: master Type: External State: Established Flags: <Sync> Last State: OpenConfirm Last Event: RecvKeepAlive Last Error: Cease Export: [ UNDERLAY-EXPORT ] Import: [ UNDERLAY-IMPORT ] . . .
Vérifiez que l’adresse de bouclage du cœur de réseau 2 (192.168.255.12) est reçue par le cœur de réseau 1 à partir des deux sessions voisines BGP.
user@spine1> show route receive-protocol bgp 192.168.100.4 inet.0: 17 destinations, 25 routes (17 active, 0 holddown, 0 hidden) Restart Complete Prefix Nexthop MED Lclpref AS path * 192.168.255.12/32 192.168.100.4 65012 I . . .
user@spine1> show route receive-protocol bgp 192.168.100.6 inet.0: 17 destinations, 25 routes (17 active, 0 holddown, 0 hidden) Restart Complete Prefix Nexthop MED Lclpref AS path 192.168.255.12/32 192.168.100.6 65012 I
user@spine1> show route 192.168.255.12 inet.0: 17 destinations, 25 routes (17 active, 0 holddown, 0 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 192.168.255.12/32 *[BGP/170] 00:39:43, localpref 100, from 192.168.100.4 AS path: 65012 I, validation-state: unverified to 192.168.100.4 via et-0/0/50.0 > to 192.168.100.6 via et-0/0/51.0 [BGP/170] 00:39:43, localpref 100 AS path: 65012 I, validation-state: unverified > to 192.168.100.6 via et-0/0/51.0Envoyez une requête ping au bouclage de l’autre équipement Spine à partir du serveur principal 1.
user@spine1> ping 192.168.255.12 source 192.168.255.13 PING 192.168.255.12 (192.168.255.12): 56 data bytes 64 bytes from 192.168.255.12: icmp_seq=0 ttl=64 time=0.746 ms 64 bytes from 192.168.255.12: icmp_seq=1 ttl=64 time=0.699 ms 64 bytes from 192.168.255.12: icmp_seq=2 ttl=64 time=0.784 ms
Configurer l’overlay
Cette section montre comment configurer la superposition. Il inclut les appairages IBGP et les mappages VLAN à VXLAN pour les réseaux virtuels.
Configurer le cœur de réseau 1
Procédure étape par étape
Configurez l’appairage IBGP entre les adresses de bouclage Spine 1 et Spine 2.
set protocols bgp group EVPN_FABRIC type internal set protocols bgp group EVPN_FABRIC local-address 192.168.255.13 set protocols bgp group EVPN_FABRIC family evpn signaling set protocols bgp group EVPN_FABRIC authentication-key "$ABC123" set protocols bgp group EVPN_FABRIC local-as 65100 set protocols bgp group EVPN_FABRIC multipath set protocols bgp group EVPN_FABRIC bfd-liveness-detection minimum-interval 1000 set protocols bgp group EVPN_FABRIC bfd-liveness-detection multiplier 3 set protocols bgp group EVPN_FABRIC neighbor 192.168.255.12 set protocols bgp group EVPN_FABRIC vpn-apply-export
Configurez les VLAN et le mappage VLAN à VXLAN.
set vlans VLAN-201 description "jnpr_1 - bridge domain id 201" set vlans VLAN-201 vlan-id 201 set vlans VLAN-201 vxlan vni 5201 set vlans VLAN-202 description "jnpr_1 - bridge domain id 202" set vlans VLAN-202 vlan-id 202 set vlans VLAN-202 vxlan vni 5202 set vlans VLAN-211 description "jnpr_2 - bridge domain id 211" set vlans VLAN-211 vlan-id 211 set vlans VLAN-211 vxlan vni 5211 set vlans VLAN-212 description "jnpr_2 - bridge domain id 212" set vlans VLAN-212 vlan-id 212 set vlans VLAN-212 vxlan vni 5212
Configurez les options de commutateur suivantes :
L’interface source du point de terminaison de tunnel virtuel (VTEP). Il s’agit de l’adresse de bouclage sur Spine 1.
Le distinguateur de route pour les routes générées par cet appareil.
La cible de l’itinéraire.
set switch-options vtep-source-interface lo0.0 set switch-options route-distinguisher 192.168.255.13:1 set switch-options vrf-target target:1:999 set switch-options vrf-target auto
La cible de route configurée sous
vrf-targetest utilisée par les routes EVPN de type 1. Les routes EVPN de type 2 et de type 3 utilisent la cible de route par VNI dérivée automatiquement pour l’exportation et l’importation.Configurez le protocole EVPN. Tout d’abord, configurez VXLAN comme encapsulation du plan de données pour EVPN.
set protocols evpn encapsulation vxlan
Ensuite, configurez les VNI qui font partie de ce domaine EVPN-VXLAN MP-BGP. Permet
set protocols evpn extended-vni-list allde configurer tous les VNI ou de configurer chaque VNI séparément, comme indiqué ci-dessous.set protocols evpn extended-vni-list 5201 set protocols evpn extended-vni-list 5202 set protocols evpn extended-vni-list 5211 set protocols evpn extended-vni-list 5212
Si le datacenter ne comporte que deux commutateurs centraux qui n’ont que des sessions BGP voisines l’un avec l’autre, vous devez désactiver l’isolation centrale sur les deux commutateurs centraux. Dans le cas contraire, si un commutateur Spine tombe en panne, l’autre commutateur Spine perd toutes les sessions BGP voisines, ce qui place les ports orientés ToR en mode veille LACP et entraîne une perte totale du trafic. Pour plus d’informations, consultez État du cerveau divisé et Comprendre quand désactiver l’isolation centrale EVPN-VXLAN .
set protocols evpn no-core-isolation
Configurer le cœur de réseau 2
Procédure étape par étape
Pour éviter les problèmes de synchronisation avec les entrées de liaison MAC et MAC-IP dans un environnement EVPN-VXLAN, configurez la génération ARP pour qu’elle soit plus rapide que la génération MAC.
set system arp aging-timer 5 set protocols l2-learning global-mac-ip-table-aging-time 300 set protocols l2-learning global-mac-table-aging-time 600
Configurez l’appairage IBGP.
set protocols bgp group EVPN_FABRIC type internal set protocols bgp group EVPN_FABRIC local-address 192.168.255.12 set protocols bgp group EVPN_FABRIC family evpn signaling set protocols bgp group EVPN_FABRIC authentication-key "$ABC123" set protocols bgp group EVPN_FABRIC local-as 65100 set protocols bgp group EVPN_FABRIC multipath set protocols bgp group EVPN_FABRIC bfd-liveness-detection minimum-interval 1000 set protocols bgp group EVPN_FABRIC bfd-liveness-detection multiplier 3 set protocols bgp group EVPN_FABRIC neighbor 192.168.255.13 set protocols bgp group EVPN_FABRIC vpn-apply-export
Configurez les VLAN et le mappage VLAN à VXLAN.
set vlans VLAN-201 description "jnpr_1 - bridge domain id 201" set vlans VLAN-201 vlan-id 201 set vlans VLAN-201 vxlan vni 5201 set vlans VLAN-202 description "jnpr_1 - bridge domain id 202" set vlans VLAN-202 vlan-id 202 set vlans VLAN-202 vxlan vni 5202 set vlans VLAN-211 description "jnpr_2 - bridge domain id 211" set vlans VLAN-211 vlan-id 211 set vlans VLAN-211 vxlan vni 5211 set vlans VLAN-212 description "jnpr_2 - bridge domain id 212" set vlans VLAN-212 vlan-id 212 set vlans VLAN-212 vxlan vni 5212
Configurez les options de commutateur suivantes.
set switch-options vtep-source-interface lo0.0 set switch-options route-distinguisher 192.168.255.12:1 set switch-options vrf-target target:1:999 set switch-options vrf-target auto
Configurez le protocole EVPN.
set protocols evpn encapsulation vxlan
Ensuite, configurez les VNI qui font partie de ce domaine EVPN-VXLAN MP-BGP. Permet
set protocols evpn extended-vni-list allde configurer tous les VNI ou de configurer chaque VNI séparément, comme indiqué ci-dessous.set protocols evpn extended-vni-list 5201 set protocols evpn extended-vni-list 5202 set protocols evpn extended-vni-list 5211 set protocols evpn extended-vni-list 5212
Si le centre de données ne comporte que deux commutateurs centraux qui n’ont que des sessions BGP voisines l’un avec l’autre, vous devez désactiver l’isolation centrale sur les deux commutateurs centraux.
set protocols evpn no-core-isolation
Vérification de la superposition
Procédure étape par étape
Vérifiez que l’appairage IBGP entre les cœurs 1 et 2 est établi.
user@spine1> show bgp neighbor 192.168.255.12 Peer: 192.168.255.12+179 AS 65100 Local: 192.168.255.13+62666 AS 65100 Description: Overlay neighbor with peer Group: EVPN_FABRIC Routing-Instance: master Forwarding routing-instance: master Type: Internal State: Established Flags:<Sync> Last State: OpenConfirm Last Event: RecvKeepAlive Last Error: Hold Timer Expired Error Options: <Preference LocalAddress HoldTime AuthKey GracefulRestart LogUpDown AddressFamily Multipath LocalAS Rib-group Refresh> Authentication key is configured Address families configured: evpn
Vérifiez le VTEP source pour le domaine EVPN.
user@spine1> show ethernet-switching vxlan-tunnel-end-point source Logical System Name Id SVTEP-IP IFL L3-Idx SVTEP-Mode <default> 0 192.168.255.13 lo0.0 0 L2-RTT Bridge Domain VNID MC-Group-IP default-switch VLAN-201+201 5201 0.0.0.0 default-switch VLAN-202+202 5202 0.0.0.0 default-switch VLAN-211+211 5211 0.0.0.0 default-switch VLAN-212+212 5212 0.0.0.0Vérifiez tous les VTEP sources et distants.
user@spine1> show interfaces vtep Physical interface: vtep, Enabled, Physical link is Up Interface index: 641, SNMP ifIndex: 506 Type: Software-Pseudo, Link-level type: VxLAN-Tunnel-Endpoint, MTU: Unlimited, Speed: Unlimited Device flags : Present Running Link type : Full-Duplex Link flags : None Last flapped : Never Input packets : 0 Output packets: 0 Logical interface vtep.32768 (Index 545) (SNMP ifIndex 548) Flags: Up SNMP-Traps 0x4000 Encapsulation: ENET2 VXLAN Endpoint Type: Source, VXLAN Endpoint Address: 192.168.255.13, L2 Routing Instance: default-switch, L3 Routing Instance: default Input packets : 0 Output packets: 0 Logical interface vtep.32769 (Index 560) (SNMP ifIndex 550) Flags: Up SNMP-Traps Encapsulation: ENET2 VXLAN Endpoint Type: Remote, VXLAN Endpoint Address: 192.168.255.12, L2 Routing Instance: default-switch, L3 Routing Instance: default Input packets : 9140 Output packets: 0 Protocol eth-switch, MTU: Unlimited Flags: Trunk-Mode
Configurer et segmenter la couche 3
Configurer le cœur de réseau 1
Procédure étape par étape
Configurez les options de routage et de transfert.
Note:La modification des options de routage et de transfert telles que
next-hop,overlay-ecmp, ouchained-composite-next-hopentraîne le redémarrage du moteur de transfert de paquets, ce qui interrompt toutes les opérations de transfert.Définissez le nombre de sauts suivants au moins sur le nombre attendu d’entrées ARP dans la superposition. Reportez-vous à la section Saut suivant (routage VXLAN) pour plus d’informations sur la configuration
vxlan-routing next-hopde .Activez les sauts suivants multichemins à deux niveaux à coût égal à l’aide de l’instruction
overlay-ecmp. Cette instruction est requise pour un réseau de superposition EVPN-VXLAN de couche 3 lorsque le routage de type 5 pur est également configuré. Nous vous recommandons vivement de configurer cette instruction lorsque les routes de type 5 pur sont activées.La
chained-composite-next-hopconfiguration est indispensable pour l’EVPN pur Type 5 avec encapsulation VXLAN. Sans cela, le PFE ne configurera pas le tunnel à l’étape suivante.Configurez l’ID du routeur pour qu’il soit identique à l’adresse IP de bouclage utilisée comme source VTEP et à l’adresse locale BGP de superposition.
set forwarding-options vxlan-routing next-hop 32768 set forwarding-options vxlan-routing overlay-ecmp set routing-options forwarding-table chained-composite-next-hop ingress evpn set routing-options router-id 192.168.255.13
Pour activer la fonction de passerelle par défaut, configurez les interfaces IRB avec chacune une adresse IP unique et une adresse de passerelle virtuelle (VGA), qui doit être une adresse IP anycast. Lorsque vous spécifiez une adresse IPv4 pour le VGA, la passerelle VXLAN de couche 3 génère automatiquement 00:00:5e :00:01:01 comme adresse MAC. Cet exemple vous montre comment configurer manuellement l’adresse MAC de la passerelle virtuelle. Configurez la même adresse MAC de passerelle virtuelle sur les deux périphériques de cœur de réseau pour un IRB donné.
Note:Si l’adresse IP VGA est inférieure à l’adresse IP IRB, vous devez utiliser l’option
preferreddans la configuration IRB, comme indiqué dans cet exemple.set interfaces irb unit 201 virtual-gateway-accept-data set interfaces irb unit 201 description "** L3 interface for VLAN-201 in jnpr_1" set interfaces irb unit 201 family inet address 192.168.201.3/24 virtual-gateway-address 192.168.201.1 set interfaces irb unit 201 family inet address 192.168.201.3/24 preferred set interfaces irb unit 201 virtual-gateway-v4-mac 3c:8c:93:2e:20:01 set vlans VLAN-201 l3-interface irb.201 set interfaces irb unit 202 virtual-gateway-accept-data set interfaces irb unit 202 description "** L3 interface for VLAN-202 in jnpr_1" set interfaces irb unit 202 family inet address 192.168.202.3/24 virtual-gateway-address 192.168.202.1 set interfaces irb unit 202 family inet address 192.168.202.3/24 preferred set interfaces irb unit 202 virtual-gateway-v4-mac 3c:8c:93:2e:20:02 set vlans VLAN-202 l3-interface irb.202 set interfaces irb unit 211 virtual-gateway-accept-data set interfaces irb unit 211 description "** L3 interface for VLAN-211 in jnpr_2" set interfaces irb unit 211 family inet address 192.168.211.3/24 virtual-gateway-address 192.168.211.1 set interfaces irb unit 211 family inet address 192.168.211.3/24 preferred set interfaces irb unit 211 virtual-gateway-v4-mac 3c:8c:93:2e:21:11 set vlans VLAN-211 l3-interface irb.211 set interfaces irb unit 212 virtual-gateway-accept-data set interfaces irb unit 212 description "** L3 interface for VLAN-212 in jnpr_2" set interfaces irb unit 212 family inet address 192.168.212.3/24 virtual-gateway-address 192.168.212.1 set interfaces irb unit 212 family inet address 192.168.212.3/24 preferred set interfaces irb unit 212 virtual-gateway-v4-mac 3c:8c:93:2e:21:12 set vlans VLAN-212 l3-interface irb.212
Vous allez configurer les mêmes adresses IP et MAC IRB anycast sur les interfaces IRB de chaque équipement Spine. Étant donné que les périphériques de cœur de réseau agissent à la fois comme des équipements de cœur de réseau et de branche dans une architecture de cœur de réseau réduit, ils sont les seuls appareils qui ont besoin de connaître les interfaces IRB. Désactivez l’annonce des interfaces IRB aux autres périphériques.
set protocols evpn default-gateway do-not-advertise
Placez les IRB appartenant aux différents locataires dans leurs instances de routage respectives. Cela permet aux IRB des mêmes instances de routage de partager une table de routage. Par conséquent, les IRB d’une instance de routage peuvent s’acheminer les uns vers les autres. Les IRB de différentes instances de routage peuvent communiquer entre elles soit par le biais d’un outil externe d’application des politiques de sécurité tel que les pare-feu SRX, soit si nous divulguons explicitement des routes entre les instances de routage.
set routing-instances JNPR_1_VRF description "VRF for tenant jnpr_1" set routing-instances JNPR_1_VRF instance-type vrf set routing-instances JNPR_1_VRF interface irb.201 set routing-instances JNPR_1_VRF interface irb.202 set routing-instances JNPR_1_VRF vrf-table-label set routing-instances JNPR_1_VRF routing-options multipath set routing-instances JNPR_2_VRF description "VRF for tenant jnpr_2" set routing-instances JNPR_2_VRF instance-type vrf set routing-instances JNPR_2_VRF interface irb.211 set routing-instances JNPR_2_VRF interface irb.212 set routing-instances JNPR_2_VRF vrf-table-label set routing-instances JNPR_2_VRF routing-options multipath
Configurez un VNI de type 5 pour les instances de routage. Lors de la configuration d’une instance de routage pour EVPN-VXLAN, vous devez inclure une interface de bouclage et son adresse IP. Si vous omettez l’interface de bouclage et l’adresse IP associée, les paquets de contrôle EVPN ne peuvent pas être traités.
set routing-instances JNPR_1_VRF protocols evpn ip-prefix-routes advertise direct-nexthop set routing-instances JNPR_1_VRF protocols evpn ip-prefix-routes encapsulation vxlan set routing-instances JNPR_1_VRF protocols evpn ip-prefix-routes vni 1101 set routing-instances JNPR_1_VRF protocols evpn ip-prefix-routes export T5_EXPORT set routing-instances JNPR_2_VRF protocols evpn ip-prefix-routes advertise direct-nexthop set routing-instances JNPR_2_VRF protocols evpn ip-prefix-routes encapsulation vxlan set routing-instances JNPR_2_VRF protocols evpn ip-prefix-routes vni 1102 set routing-instances JNPR_2_VRF protocols evpn ip-prefix-routes export T5_EXPORT set interfaces lo0 unit 1 description "Tenant 1 T5 Loopback" set interfaces lo0 unit 1 family inet address 192.168.255.21/32 set routing-instances JNPR_1_VRF interface lo0.1 set interfaces lo0 unit 2 description "Tenant 2 T5 Loopback" set interfaces lo0 unit 2 family inet address 192.168.255.22/32 set routing-instances JNPR_2_VRF interface lo0.2 set policy-options policy-statement T5_EXPORT term 1 from protocol direct set policy-options policy-statement T5_EXPORT term 1 then accept set policy-options policy-statement T5_EXPORT term 2 from protocol bgp set policy-options policy-statement T5_EXPORT term 2 then accept
Configurer le cœur de réseau 2
Procédure étape par étape
Configurez les options de routage et de transfert.
Note:La modification des options de routage et de transfert telles que
next-hop,overlay-ecmp, ouchained-composite-next-hopentraîne le redémarrage du moteur de transfert de paquets, ce qui interrompt toutes les opérations de transfert.set forwarding-options vxlan-routing next-hop 32768 set forwarding-options vxlan-routing overlay-ecmp set routing-options forwarding-table chained-composite-next-hop ingress evpn set routing-options router-id 192.168.255.12
Configurez l’IRB.
set interfaces irb unit 201 virtual-gateway-accept-data set interfaces irb unit 201 description "** L3 interface for VLAN-201 in jnpr_1" set interfaces irb unit 201 family inet address 192.168.201.2/24 virtual-gateway-address 192.168.201.1 set interfaces irb unit 201 family inet address 192.168.201.2/24 preferred set interfaces irb unit 201 virtual-gateway-v4-mac 3c:8c:93:2e:20:01 set vlans VLAN-201 l3-interface irb.201 set interfaces irb unit 202 virtual-gateway-accept-data set interfaces irb unit 202 description "** L3 interface for VLAN-202 in jnpr_1" set interfaces irb unit 202 family inet address 192.168.202.2/24 virtual-gateway-address 192.168.202.1 set interfaces irb unit 202 family inet address 192.168.202.2/24 preferred set interfaces irb unit 202 virtual-gateway-v4-mac 3c:8c:93:2e:20:02 set vlans VLAN-202 l3-interface irb.202 set interfaces irb unit 211 virtual-gateway-accept-data set interfaces irb unit 211 description "** L3 interface for VLAN-211 in jnpr_2" set interfaces irb unit 211 family inet address 192.168.211.2/24 virtual-gateway-address 192.168.211.1 set interfaces irb unit 211 family inet address 192.168.211.2/24 preferred set interfaces irb unit 211 virtual-gateway-v4-mac 3c:8c:93:2e:21:11 set vlans VLAN-211 l3-interface irb.211 set interfaces irb unit 212 virtual-gateway-accept-data set interfaces irb unit 212 description "** L3 interface for VLAN-212 in jnpr_2" set interfaces irb unit 212 family inet address 192.168.212.2/24 virtual-gateway-address 192.168.212.1 set interfaces irb unit 212 family inet address 192.168.212.2/24 preferred set interfaces irb unit 212 virtual-gateway-v4-mac 3c:8c:93:2e:21:12 set vlans VLAN-212 l3-interface irb.212
Étant donné que vous avez configuré les mêmes adresses IP et MAC IRB anycast sur les interfaces IRB des deux commutateurs centraux, désactivez l’annonce des interfaces IRB à d’autres périphériques.
set protocols evpn default-gateway do-not-advertise
Placez les IRB appartenant aux différents locataires dans leurs instances de routage respectives.
set routing-instances JNPR_1_VRF description "VRF for tenant jnpr_1" set routing-instances JNPR_1_VRF instance-type vrf set routing-instances JNPR_1_VRF interface irb.201 set routing-instances JNPR_1_VRF interface irb.202 set routing-instances JNPR_1_VRF vrf-table-label set routing-instances JNPR_1_VRF routing-options multipath set routing-instances JNPR_2_VRF description "VRF for tenant jnpr_2" set routing-instances JNPR_2_VRF instance-type vrf set routing-instances JNPR_2_VRF interface irb.211 set routing-instances JNPR_2_VRF interface irb.212 set routing-instances JNPR_2_VRF vrf-table-label set routing-instances JNPR_2_VRF routing-options multipath
Configurez un VNI de type 5 pour les instances de routage.
set routing-instances JNPR_1_VRF protocols evpn ip-prefix-routes advertise direct-nexthop set routing-instances JNPR_1_VRF protocols evpn ip-prefix-routes encapsulation vxlan set routing-instances JNPR_1_VRF protocols evpn ip-prefix-routes vni 1101 set routing-instances JNPR_1_VRF protocols evpn ip-prefix-routes export T5_EXPORT set routing-instances JNPR_2_VRF protocols evpn ip-prefix-routes advertise direct-nexthop set routing-instances JNPR_2_VRF protocols evpn ip-prefix-routes encapsulation vxlan set routing-instances JNPR_2_VRF protocols evpn ip-prefix-routes vni 1102 set routing-instances JNPR_2_VRF protocols evpn ip-prefix-routes export T5_EXPORT set interfaces lo0 unit 101 description "Tenant 1 T5 Loopback" set interfaces lo0 unit 101 family inet address 192.168.255.31/32 set routing-instances JNPR_1_VRF interface lo0.101 set interfaces lo0 unit 102 description "Tenant 2 T5 Loopback" set interfaces lo0 unit 102 family inet address 192.168.255.32/32 set routing-instances JNPR_2_VRF interface lo0.102 set policy-options policy-statement T5_EXPORT term 1 from protocol direct set policy-options policy-statement T5_EXPORT term 1 then accept set policy-options policy-statement T5_EXPORT term 2 from protocol bgp set policy-options policy-statement T5_EXPORT term 2 then accept
Configurer le multihébergement EVPN pour les commutateurs ToR
Le multihébergement EVPN utilise des ESI. Un ESI est un attribut obligatoire qui active le multihébergement de serveur EVPN LAG. Les valeurs ESI sont codées sous forme d’entiers de 10 octets et sont utilisées pour identifier un segment multirésident. La même valeur ESI activée sur tous les commutateurs spine connectés à un commutateur ToR forme un EVPN LAG. Ce LAG EVPN prend en charge le multihébergement actif-actif vers le commutateur ToR.
Les commutateurs ToR (implémentés en tant que Virtual Chassis ToR dans cet exemple) utilisent un LAG pour se connecter aux deux commutateurs centraux. Comme illustré sur la Figure 4, ToR1 est connecté aux commutateurs centraux avec LAG ae1. Ce LAG sur les commutateurs de cœur de réseau est activé par la fonction de multihébergement EVPN.
- Configurer le cœur de réseau 1
- Configurer le cœur de réseau 2
- Configurer le ToR 1
- Vérifier le multihébergement EVPN
Configurer le cœur de réseau 1
Procédure étape par étape
Par défaut, les interfaces Ethernet agrégées ne sont pas créées. Vous devez définir le nombre d’interfaces Ethernet agrégées sur le commutateur avant de pouvoir les configurer.
set chassis aggregated-devices ethernet device-count 15 set interfaces ae1 description "to ToR1" set interfaces ae1 mtu 9216
Configurez un ESI. Réglez-le de la même manière sur les deux commutateurs centraux. Activez les modes tous actifs.
set interfaces ae1 esi 00:00:00:00:00:00:00:00:01:01 set interfaces ae1 esi all-active set interfaces ae1 aggregated-ether-options link-speed 10g set interfaces ae1 aggregated-ether-options lacp active set interfaces ae1 aggregated-ether-options lacp periodic fast
Note:Vous pouvez également dériver automatiquement ESI. Dans cet exemple, vous configurez manuellement ESI.
Configurez l’ID système LACP. Définissez-le de la même manière sur les deux commutateurs centraux pour indiquer aux commutateurs ToR que les liaisons montantes vers les deux commutateurs centraux appartiennent au même bundle LAG. Par conséquent, les commutateurs ToR placent les liaisons montantes vers les deux commutateurs centraux dans le même bundle LAG et partagent la charge du trafic sur les liaisons membres.
set interfaces ae1 aggregated-ether-options lacp system-id 00:00:00:00:01:01 set interfaces ae1 unit 0 family ethernet-switching interface-mode trunk set interfaces ae1 unit 0 family ethernet-switching vlan members VLAN-201 set interfaces ae1 unit 0 family ethernet-switching vlan members VLAN-202 set interfaces ae1 unit 0 family ethernet-switching vlan members VLAN-211 set interfaces ae1 unit 0 family ethernet-switching vlan members VLAN-212
Configurez l’interface physique sur la colonne vertébrale 1 connectée à ToR 1 en tant que membre du LAG ae1.
set interfaces xe-0/0/13 ether-options 802.3ad ae1
Configurer le cœur de réseau 2
Procédure étape par étape
Définissez le nombre d’interfaces Ethernet agrégées sur le commutateur.
set chassis aggregated-devices ethernet device-count 15 set interfaces ae1 description "to ToR1" set interfaces ae1 mtu 9216
Configurez un ESI. Réglez-le de la même manière sur les deux commutateurs centraux. Activez les modes tous actifs.
set interfaces ae1 esi 00:00:00:00:00:00:00:00:01:01 set interfaces ae1 esi all-active set interfaces ae1 aggregated-ether-options link-speed 10g set interfaces ae1 aggregated-ether-options lacp active set interfaces ae1 aggregated-ether-options lacp periodic fast
Configurez l’ID système LACP. Réglez-le de la même manière sur les deux commutateurs centraux.
set interfaces ae1 aggregated-ether-options lacp system-id 00:00:00:00:01:01 set interfaces ae1 unit 0 family ethernet-switching interface-mode trunk set interfaces ae1 unit 0 family ethernet-switching vlan members VLAN-201 set interfaces ae1 unit 0 family ethernet-switching vlan members VLAN-202 set interfaces ae1 unit 0 family ethernet-switching vlan members VLAN-211 set interfaces ae1 unit 0 family ethernet-switching vlan members VLAN-212
Configurez l’interface physique sur la colonne vertébrale 2 connectée à ToR 1 en tant que membre du LAG ae1.
set interfaces xe-0/0/13 ether-options 802.3ad ae1
Configurer le ToR 1
Procédure étape par étape
Par défaut, les interfaces Ethernet agrégées ne sont pas créées. Vous devez définir le nombre d’interfaces Ethernet agrégées sur le commutateur avant de pouvoir les configurer.
set chassis aggregated-devices ethernet device-count 4
Configurez les interfaces Ethernet agrégées.
set interfaces xe-0/2/0 ether-options 802.3ad ae1 set interfaces xe-0/2/1 ether-options 802.3ad ae1 set interfaces ae1 aggregated-ether-options lacp active set interfaces ae1 unit 0 family ethernet-switching interface-mode trunk set interfaces ae1 unit 0 family ethernet-switching vlan members VLAN-201 set interfaces ae1 unit 0 family ethernet-switching vlan members VLAN-202 set interfaces ae1 unit 0 family ethernet-switching vlan members VLAN-211 set interfaces ae1 unit 0 family ethernet-switching vlan members VLAN-212
Configurez les VLAN.
set vlans VLAN-201 vlan-id 201 set vlans VLAN-202 vlan-id 202 set vlans VLAN-211 vlan-id 211 set vlans VLAN-212 vlan-id 212
Vérifier le multihébergement EVPN
Procédure étape par étape
Vérifiez l’état de ae1 et l’ESI associé au LAG.
user@spine1> show interfaces ae1 Physical interface: ae1, Enabled, Physical link is Up Interface index: 689, SNMP ifIndex: 552 Description: to ToR1 Link-level type: Ethernet, MTU: 9216, Speed: 10Gbps, BPDU Error: None, Ethernet-Switching Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled, Minimum links needed: 1, Minimum bandwidth needed: 1bps Device flags : Present Running Interface flags: SNMP-Traps Internal: 0x4000 Current address: 3c:8c:93:2e:a9:80, Hardware address: 3c:8c:93:2e:a9:80 Ethernet segment value: 00:00:00:00:00:00:00:00:01:01, Mode: all-active Last flapped : 2019-11-10 14:50:49 PST (00:26:56 ago) Input rate : 624 bps (0 pps) Output rate : 936 bps (1 pps) ...
Vérifiez que les membres de ae1 collectent et distribuent.
user@spine1> show lacp interfaces ae1 Aggregated interface: ae1 LACP state: Role Exp Def Dist Col Syn Aggr Timeout Activity xe-0/0/13 Actor No No Yes Yes Yes Yes Fast Active xe-0/0/13 Partner No No Yes Yes Yes Yes Fast Active LACP protocol: Receive State Transmit State Mux State xe-0/0/13 Current Fast periodic Collecting distributingVérifiez que l’état du multihébergement EVPN dans l’instance EVPN est
Resolvedsur le cœur de réseau 1. Vous pouvez également voir quel commutateur Spine est le redirecteur désigné pour le trafic BUM.user@spine1> show evpn instance extensive Instance: __default_evpn__ Route Distinguisher: 192.168.255.13:0 Number of bridge domains: 0 Number of neighbors: 1 Address MAC MAC+IP AD IM ES Leaf-label 192.168.255.12 0 0 0 0 2 Instance: default-switch Route Distinguisher: 192.168.255.13:1 Encapsulation type: VXLAN Duplicate MAC detection threshold: 5 Duplicate MAC detection window: 180 MAC database status Local Remote MAC advertisements: 6 10 MAC+IP advertisements: 10 10 Default gateway MAC advertisements: 8 0 Number of local interfaces: 5 (3 up) Interface name ESI Mode Status AC-Role .local..6 00:00:00:00:00:00:00:00:00:00 single-homed Up Root ae1.0 00:00:00:00:00:00:00:00:01:01 all-active Up Root ... Number of neighbors: 1 Address MAC MAC+IP AD IM ES Leaf-label 192.168.255.12 10 10 8 4 0 Number of ethernet segments: 10 ESI: 00:00:00:00:00:00:00:00:01:01 Status: Resolved by IFL ae1.0 Local interface: ae1.0, Status: Up/Forwarding Number of remote PEs connected: 1 Remote PE MAC label Aliasing label Mode 192.168.255.12 5212 0 all-active DF Election Algorithm: MOD based Designated forwarder: 192.168.255.13 Backup forwarder: 192.168.255.12 Last designated forwarder update: Nov 10 14:50:49Vérifiez que tous les liens membres de l’interface ae1 sont collectés et distribués sur ToR 1.
user@tor1> show lacp interfaces Aggregated interface: ae1 LACP state: Role Exp Def Dist Col Syn Aggr Timeout Activity xe-0/2/0 Actor No No Yes Yes Yes Yes Fast Active xe-0/2/0 Partner No No Yes Yes Yes Yes Fast Active xe-0/2/1 Actor No No Yes Yes Yes Yes Fast Active xe-0/2/1 Partner No No Yes Yes Yes Yes Fast Active LACP protocol: Receive State Transmit State Mux State xe-0/2/0 Current Fast periodic Collecting distributing xe-0/2/1 Current Fast periodic Collecting distributing
Configurer le multihébergement pour les serveurs
Multihébergez les serveurs sur le Virtual Chassis ToR pour la redondance et le partage de charge. Les serveurs utilisent LAG pour se connecter aux deux commutateurs membres de ToR Virtual Chassis.
Comme illustré sur la Figure 5, le point de terminaison 1 est connecté au Virtual Chassis ToR via LAG ae5 et appartient au locataire JNPR_1. Le point de terminaison 11 est connecté au Virtual Chassis ToR via LAG ae6 et appartient au locataire JNPR_2.
Configurer le ToR 1
Procédure étape par étape
Étant donné que les commutateurs ToR sont configurés dans un Virtual Chassis, il vous suffit de valider la configuration sur le commutateur principal. Dans cet exemple, ToR 1 est le commutateur principal.
Configurez le LAG sur les interfaces connectées au point de terminaison 1 : interface xe-0/2/10 sur ToR 1 et interface xe-1/2/10 sur ToR 2. Le point de terminaison 1 appartient aux VLAN 201 et 202.
set interfaces xe-0/2/10 ether-options 802.3ad ae5 set interfaces xe-1/2/10 ether-options 802.3ad ae5 set interfaces ae5 aggregated-ether-options lacp active set interfaces ae5 description "Connected to Endpoint1" set interfaces ae5 unit 0 family ethernet-switching interface-mode trunk set interfaces ae5 unit 0 family ethernet-switching vlan members VLAN-201 set interfaces ae5 unit 0 family ethernet-switching vlan members VLAN-202
Configurez LAG sur les interfaces connectées au point de terminaison 11. Le point de terminaison 11 appartient aux VLAN 211 et 212.
set interfaces xe-0/2/11 ether-options 802.3ad ae6 set interfaces xe-1/2/11 ether-options 802.3ad ae6 set interfaces ae6 aggregated-ether-options lacp active set interfaces ae6 description "Connected to Endpoint11" set interfaces ae6 unit 0 family ethernet-switching interface-mode trunk set interfaces ae6 unit 0 family ethernet-switching vlan members VLAN-211 set interfaces ae6 unit 0 family ethernet-switching vlan members VLAN-212
Vérifier la connectivité du serveur
Utilisez cette section pour vérifier que les serveurs sont connectés les uns aux autres via les commutateurs ToR et spine. La méthode dépend du fait qu’ils font partie du même VLAN ou de deux VLAN différents.
Nous vous recommandons de multihéberger vos serveurs sur les commutateurs ToR pour la redondance et le partage de charge, comme décrit dans la section précédente. Cette section présente les serveurs à hébergement unique pour plus de simplicité.
- Vérifier la connectivité au serveur intra-VLAN
- Vérifier la connectivité entre les serveurs VLAN
- Quelle est la prochaine étape ?
Vérifier la connectivité au serveur intra-VLAN
Procédure étape par étape
Vérifiez que les adresses MAC des deux points de terminaison apparaissent dans le tableau des commutateurs Ethernet sur les deux commutateurs ToR.
user@tor1> show ethernet-switching table MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC) Ethernet switching table : 4 entries, 4 learned Routing instance : default-switch Vlan MAC MAC Age Logical NH RTR name address flags interface Index ID VLAN-201 f4:b5:2f:40:9f:01 D - ae1.0 0 0 VLAN-202 00:10:94:00:01:01 D - xe-0/2/2.0 0 0 VLAN-202 00:10:94:00:01:02 D - ae1.0 0 0 VLAN-202 3c:8c:93:2e:a8:c0 D - ae1.0 0 0user@tor2> show ethernet-switching table MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC) Ethernet switching table : 4 entries, 4 learned Routing instance : default-switch Vlan MAC MAC Age Logical NH RTR name address flags interface Index ID VLAN-201 f4:b5:2f:40:9f:01 D - ae1.0 0 0 VLAN-202 00:10:94:00:01:01 D - xe-0/2/2.0 0 0 VLAN-202 00:10:94:00:01:02 D - ae1.0 0 0 VLAN-202 3c:8c:93:2e:a8:c0 D - ae1.0 0 0Vérifiez que les deux adresses MAC apparaissent dans le tableau Commutation Ethernet sur les deux commutateurs centraux. Les deux adresses MAC sont apprises à partir des commutateurs ToR sur le LAG (ae1 et ae2) connectés à chaque commutateur ToR. Les indicateurs MAC indiquent
DLDR, , etDLRindiquent si le trafic de l’adresse MAC a été appris localement par le commutateur Spine, par le commutateur Spine distant ou par les deux commutateurs Spine.user@spine1> show ethernet-switching table vlan-id 202 MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC) Ethernet switching table : 4 entries, 4 learned Routing instance : default-switch Vlan MAC MAC Logical Active name address flags interface source VLAN-202 00:00:5e:00:01:01 DR esi.1723 05:00:00:fe:4c:00:00:14:52:00 VLAN-202 00:10:94:00:01:01 DR ae1.0 VLAN-202 00:10:94:00:01:02 DL ae2.0 VLAN-202 3c:8c:93:2e:da:c0 D vtep.32769 192.168.255.12user@spine2> show ethernet-switching table vlan-id 202 MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC) Ethernet switching table : 4 entries, 4 learned Routing instance : default-switch Vlan MAC MAC Logical Active name address flags interface source VLAN-202 00:00:5e:00:01:01 DR esi.1723 05:00:00:fe:4c:00:00:14:52:00 VLAN-202 00:10:94:00:01:01 DR ae1.0 VLAN-202 00:10:94:00:01:02 DL ae2.0 VLAN-202 3c:8c:93:2e:da:c0 D vtep.32769 192.168.255.12Vérifiez que la première adresse MAC se trouve dans la base de données EVPN sur le cœur de réseau 1. Cette sortie indique que l’adresse MAC a été apprise localement par ce commutateur Spine sur l’ESI 00:00:00:00:00:00:00:00:00:01:02 et LAG ae2. Cette adresse MAC est annoncée en EVPN vers l’autre commutateur Spine.
user@spine1> show evpn database mac-address 00:10:94:00:01:02 extensive Instance: default-switch VN Identifier: 5202, MAC address: 00:10:94:00:01:02 State: 0x0 Source: 00:00:00:00:00:00:00:00:01:02, Rank: 1, Status: Active Local origin: ae2.0 Mobility sequence number: 0 (minimum origin address 192.168.255.13) Timestamp: Nov 10 16:48:41 (0x5dc8afe9) State: <Local-MAC-Only Local-To-Remote-Adv-Allowed> MAC advertisement route status: Created History db: Time Event Nov 10 16:48:41 2019 Updating output state (change flags 0x20 <ESI-Added>) Nov 10 16:48:41 2019 Active ESI changing (not assigned -> 00:00:00:00:00:00:00:00:01:02) Nov 10 16:48:41 2019 Creating all output state Nov 10 16:48:41 2019 Creating MAC advertisement route Nov 10 16:48:41 2019 Adding to instance ESI list Nov 10 16:48:41 2019 Clearing change flags <ESI-Added> Nov 10 16:48:41 2019 Clearing change flags <Intf ESI-Local-State> Nov 10 16:48:42 2019 Updating output state (change flags 0x0) Nov 10 16:48:42 2019 Active ESI unchanged (00:00:00:00:00:00:00:00:01:02) Nov 10 16:48:42 2019 Updating output state (change flags 0x0)Vérifiez que la deuxième adresse MAC se trouve dans la base de données EVPN sur le cœur de réseau 1. Cette adresse MAC a été apprise par le commutateur Spine distant et annoncée au commutateur Spine local via EVPN. Cette sortie indique également que cette adresse MAC est mappée à ESI 00:00:00:00:00:00:00:00:01:01. Le trafic destiné à cette adresse MAC peut être commuté localement vers ToR 1 à l’aide du même segment Ethernet.
user@spine1> show evpn database mac-address 00:10:94:00:01:01 extensive Instance: default-switch VN Identifier: 5202, MAC address: 00:10:94:00:01:01 State: 0x0 Source: 00:00:00:00:00:00:00:00:01:01, Rank: 1, Status: Active Remote origin: 192.168.255.12 Mobility sequence number: 0 (minimum origin address 192.168.255.12) Timestamp: Nov 10 16:48:41 (0x5dc8afe9) State: <Remote-To-Local-Adv-Done> MAC advertisement route status: Not created (no local state present) History db: Time Event Nov 10 16:48:41 2019 Adding to instance ESI list Nov 10 16:48:41 2019 Clearing change flags <ESI-Added> Nov 10 16:48:41 2019 Clearing change flags <ESI-Peer-Added ESI-Remote-Peer-Com-Chg> Nov 10 16:48:42 2019 Updating output state (change flags 0x0) Nov 10 16:48:42 2019 Active ESI unchanged (00:00:00:00:00:00:00:00:01:01) Nov 10 16:48:42 2019 Updating output state (change flags 0x0) Nov 10 16:48:42 2019 Advertisement route cannot be created (no local state present) Nov 10 16:48:42 2019 ESI 00:00:00:00:00:00:00:00:01:01, peer 192.168.255.12 per-ES AD route not rcvd, remote peer found Nov 10 16:48:42 2019 Sent MAC add with NH 0, interface ae1.0 (index 0), RTT 6, remote addr 192.168.255.12, ESI 0101, VLAN 0, VNI 5202, flags 0x0, timestamp 0x5dc8afe9 to L2ALD Nov 10 16:48:42 2019 Sent peer 192.168.255.12 record createdVérifiez les routes EVPN sur le cœur de réseau 1. Cette sortie montre que ces adresses MAC sont annoncées par les commutateurs de cœur de réseau en tant que routes BGP.
user@spine1> show route table bgp.evpn.0 evpn-mac-address 00:10:94:00:01:01 bgp.evpn.0: 75 destinations, 75 routes (75 active, 0 holddown, 0 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 2:192.168.255.13:1::5202::00:10:94:00:01:01/304 MAC/IP *[EVPN/170] 00:01:52 Indirect user@spine1> show route table bgp.evpn.0 evpn-mac-address 00:10:94:00:01:02 bgp.evpn.0: 75 destinations, 75 routes (75 active, 0 holddown, 0 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 2:192.168.255.13:1::5202::00:10:94:00:01:02/304 MAC/IP *[EVPN/170] 00:02:02 IndirectVérifiez les routes EVPN sur Spine 2. Cette sortie affiche les routes BGP reçues lors de l’appairage IBGP avec Spine 1. Examinons ces itinéraires en détail.
user@spine2> show route receive-protocol bgp 192.168.255.13 inet.0: 13 destinations, 14 routes (13 active, 0 holddown, 0 hidden) Restart Complete JNPR_1_VRF.inet.0: 9 destinations, 11 routes (9 active, 0 holddown, 0 hidden) :vxlan.inet.0: 9 destinations, 9 routes (9 active, 0 holddown, 0 hidden) Restart Complete JNPR_2_VRF.inet.0: 9 destinations, 11 routes (9 active, 0 holddown, 0 hidden) mpls.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) Restart Complete inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) Restart Complete JNPR_1_VRF.inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) JNPR_2_VRF.inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) bgp.evpn.0: 75 destinations, 75 routes (75 active, 0 holddown, 0 hidden) Restart Complete Prefix Nexthop MED Lclpref AS path 1:192.168.255.13:0::0101::FFFF:FFFF/192 AD/ESI * 192.168.255.13 100 I 1:192.168.255.13:0::0102::FFFF:FFFF/192 AD/ESI * 192.168.255.13 100 I ... 1:192.168.255.13:0::050000fe4c0000145c00::FFFF:FFFF/192 AD/ESI * 192.168.255.13 100 I 1:192.168.255.13:1::0101::0/192 AD/EVI * 192.168.255.13 100 I 1:192.168.255.13:1::0102::0/192 AD/EVI * 192.168.255.13 100 I ...
Les deux routes de type 1 soulignées ci-dessus montrent que le cœur de réseau 1 est connecté à deux segments Ethernet (ES). Les numéros ESI sont 0101 et 0102.
... 2:192.168.255.13:1::5202::00:00:5e:00:01:01/304 MAC/IP * 192.168.255.13 100 I 2:192.168.255.13:1::5202::00:10:94:00:01:01/304 MAC/IP * 192.168.255.13 100 I 2:192.168.255.13:1::5202::00:10:94:00:01:02/304 MAC/IP * 192.168.255.13 100 I ...
Ces deux itinéraires sont des itinéraires de type 2 montrés ci-dessus sont annoncés par Spine 1. Ils montrent que les deux adresses MAC sont accessibles à partir du cœur de réseau 1.
Vérifiez le plan de contrôle pour les adresses MAC suivantes sur le cœur de réseau 1.
user@spine1> show route table bgp.evpn.0 evpn-mac-address 00:10:94:00:01:01 bgp.evpn.0: 78 destinations, 78 routes (78 active, 0 holddown, 0 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 2:192.168.255.13:1::5202::00:10:94:00:01:01/304 MAC/IP *[EVPN/170] 00:11:49 Indirectuser@spine1> show route table bgp.evpn.0 evpn-mac-address 00:10:94:00:01:02 bgp.evpn.0: 78 destinations, 78 routes (78 active, 0 holddown, 0 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 2:192.168.255.13:1::5202::00:10:94:00:01:02/304 MAC/IP *[EVPN/170] 00:11:52 IndirectVérifiez les entrées de la table de transfert pour ces adresses MAC sur le cœur de réseau 1. La sortie suivante montre que l’interface Ethernet agrégée locale est utilisée pour commuter le trafic à destination de ces adresses MAC.
user@spine1> show route forwarding-table destination 00:10:94:00:01:01 Routing table: default-switch.bridge Bridging domain: VLAN-202.bridge VPLS: Enabled protocols: Bridging, ACKed by all peers, Destination Type RtRef Next hop Type Index NhRef Netif 00:10:94:00:01:01/48 user 0 ucst 1710 7 ae1.0
user@spine1> show route forwarding-table destination 00:10:94:00:01:02 Routing table: default-switch.bridge Bridging domain: VLAN-202.bridge VPLS: Enabled protocols: Bridging, ACKed by all peers, Destination Type RtRef Next hop Type Index NhRef Netif 00:10:94:00:01:02/48 user 0 ucst 1754 9 ae2.0
Testez ce qui se passe en cas de défaillance d’une liaison montante. En cas d’échec d’une liaison montante à partir de ToR 1, la sortie indique que l’état à cette interface est
Detached.user@spine1> show lacp interfaces ae1 Aggregated interface: ae1 LACP state: Role Exp Def Dist Col Syn Aggr Timeout Activity xe-0/0/13 Actor No Yes No No No Yes Fast Active xe-0/0/13 Partner No Yes No No No Yes Fast Passive LACP protocol: Receive State Transmit State Mux State xe-0/0/13 Port disabled No periodic DetachedLa figure 6 illustre la topologie lorsque l’interface connectée à ToR 1 sur le cœur de réseau 1 est en panne.
Figure 6 : topologie en cas d’échec de la liaison montante
Vérifiez que Spine 1 apprend maintenant cette adresse MAC à partir de Spine 2, car Spine 1 n’a pas de connexion directe à ToR 1.
user@spine1> show route table bgp.evpn.0 evpn-mac-address 00:10:94:00:01:01 bgp.evpn.0: 76 destinations, 76 routes (76 active, 0 holddown, 0 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 2:192.168.255.12:1::5202::00:10:94:00:01:01/304 MAC/IP *[BGP/170] 00:01:05, localpref 100, from 192.168.255.12 AS path: I, validation-state: unverified to 192.168.100.4 via et-0/0/50.0 > to 192.168.100.6 via et-0/0/51.0Les détails de la table de transfert sur Spine 1 montrent que le trafic destiné à cette adresse MAC est envoyé au Spine 2.
user@spine1> show route forwarding-table destination 00:10:94:00:01:01 extensive Routing table: default-switch.bridge [Index 6] Bridging domain: VLAN-202.bridge [Index 6] VPLS: Enabled protocols: Bridging, ACKed by all peers, Destination: 00:10:94:00:01:01/48 Learn VLAN: 0 Route type: user Route reference: 0 Route interface-index: 560 Multicast RPF nh index: 0 P2mpidx: 0 IFL generation: 514 Epoch: 0 Sequence Number: 0 Learn Mask: 0x4000000000000000010000000000000000000000 L2 Flags: control_dyn Flags: sent to PFE Nexthop: Next-hop type: composite Index: 1724 Reference: 26 Next-hop type: indirect Index: 524289 Reference: 3 Next-hop type: unilist Index: 524288 Reference: 6 Nexthop: 192.168.100.4 Next-hop type: unicast Index: 1708 Reference: 4 Next-hop interface: et-0/0/50.0 Weight: 0x0 Nexthop: 192.168.100.6 Next-hop type: unicast Index: 1709 Reference: 4 Next-hop interface: et-0/0/51.0 Weight: 0x0
Vérifier la connectivité entre les serveurs VLAN
Procédure étape par étape
Sur le cœur de réseau 1, vérifiez que les deux adresses MAC se trouvent dans des VLAN différents.
user@spine1> show ethernet-switching table | match 00:10:94:00:11:11 VLAN-201 00:10:94:00:11:11 DLR ae1.0
user@spine1> show ethernet-switching table | match 00:10:94:00:01:02 VLAN-202 00:10:94:00:01:02 DL ae2.0
Sur le cœur de réseau 1, vérifiez la résolution ARP pour les deux points de terminaison.
user@spine1> show arp no-resolve | match 00:10:94:00:11:11 00:10:94:00:11:11 192.168.201.41 irb.201 [ae1.0] permanent remote
user@spine1> show arp no-resolve | match 00:10:94:00:01:02 00:10:94:00:01:02 192.168.202.42 irb.202 [ae2.0] permanent remote
Sur Spine 1, vérifiez l’apprentissage du plan de contrôle pour l’adresse MAC 00:10:94:00:11:11. Vous pouvez voir qu’il existe une route MAC pour l’adresse MAC et une route MAC/IP pour cette adresse MAC.
user@spine1> show route table bgp.evpn.0 evpn-mac-address 00:10:94:00:11:11 bgp.evpn.0: 82 destinations, 82 routes (82 active, 0 holddown, 0 hidden) Restart Complete + = Active Route, - = Last Active, * = Both 2:192.168.255.12:1::5201::00:10:94:00:11:11/304 MAC/IP *[BGP/170] 00:08:43, localpref 100, from 192.168.255.12 AS path: I, validation-state: unverified to 192.168.100.4 via et-0/0/50.0 > to 192.168.100.6 via et-0/0/51.0 2:192.168.255.13:1::5201::00:10:94:00:11:11/304 MAC/IP *[EVPN/170] 00:09:01 Indirect 2:192.168.255.12:1::5201::00:10:94:00:11:11::192.168.201.41/304 MAC/IP *[BGP/170] 00:08:43, localpref 100, from 192.168.255.12 AS path: I, validation-state: unverified to 192.168.100.4 via et-0/0/50.0 > to 192.168.100.6 via et-0/0/51.0 2:192.168.255.13:1::5201::00:10:94:00:11:11::192.168.201.41/304 MAC/IP *[EVPN/170] 00:09:01 IndirectVérifiez les entrées de la table de transfert pour ces adresses MAC. Étant donné que le cœur de réseau 1 est connecté localement aux deux commutateurs ToR, le trafic est commuté localement vers le commutateur de cœur de réseau correspondant à partir du cœur de réseau 1.
user@spine1> show route forwarding-table destination 00:10:94:00:11:11 Routing table: default-switch.bridge Bridging domain: VLAN-201.bridge VPLS: Enabled protocols: Bridging, ACKed by all peers, Destination Type RtRef Next hop Type Index NhRef Netif 00:10:94:00:11:11/48 user 0 ucst 1710 8 ae1.0
user@spine1> show route forwarding-table destination 00:10:94:00:01:02 Routing table: default-switch.bridge Bridging domain: VLAN-202.bridge VPLS: Enabled protocols: Bridging, ACKed by all peers, Destination Type RtRef Next hop Type Index NhRef Netif 00:10:94:00:01:02/48 user 0 ucst 1754 10 ae2.0
Quelle est la prochaine étape ?
Vous avez configuré et vérifié une architecture de dorsale réduite pour votre premier centre de données. Si nécessaire, répétez la configuration sur les appareils du deuxième centre de données.
Passez à la page suivante pour configurer la sécurité avancée et connecter vos centres de données.
État de cerveau divisé
Comment prévenir un état de cerveau divisé
Problème
Si les liaisons entre les commutateurs spine sont inactives, ce qui entraîne une interruption de l’appairage BGP, les deux commutateurs spine sont actifs et en cours de transfert. Les interfaces Ethernet agrégées en aval sont actives et en cours de transfert. Ce scénario est connu sous le nom d’état de cerveau divisé et peut causer plusieurs problèmes.
Solution
Pour éviter que ce problème ne se produise, choisissez un commutateur Spine comme commutateur de veille.
Nous vous recommandons également :
-
Utilisation d’au moins deux liaisons entre les commutateurs de cœur de réseau. Il est donc moins probable que toutes les liaisons entre les commutateurs de cœur de réseau tombent en panne.
-
Multihébergement de tous les serveurs. S’il existe un serveur à hébergement unique sur l’un des commutateurs centraux, le serveur peut être inaccessible.
Quelle est la prochaine étape ?
Vous avez configuré et vérifié une architecture de dorsale réduite pour votre premier centre de données. Si nécessaire, répétez la configuration sur les appareils du deuxième centre de données.
Passez à la page suivante pour configurer la sécurité avancée et connecter vos centres de données.