예: EVPN-VXLAN 중앙 라우팅 브리징 오버레이에서 QFX5110 스위치를 레이어 3 VXLAN 게이트웨이로 구성
EVPN(Ethernet VPN)은 호스트(물리적 [베어메탈] 서버 및 가상 머신[VM])를 네트워크 어디에나 배치하고 동일한 논리적 Layer 2 오버레이 네트워크에 계속 연결할 수 있는 컨트롤 플레인 기술입니다. VXLAN(Virtual Extensible LAN)은 레이어 2 오버레이 네트워크에 대한 데이터 플레인을 생성하는 터널링 프로토콜입니다.
EVPN-VXLAN이 일반적으로 구축되는 물리적 언더레이 네트워크는 그림 1과 같이 스파인 및 리프 디바이스를 포함하는 2계층 IP 패브릭입니다. 언더레이 네트워크에서 스파인 디바이스는 리프 디바이스 간의 연결을 제공하며 리프 디바이스는 가상화된 서버의 연결된 물리적 서버 및 VM에 대한 연결을 제공합니다.
EVPN-VXLAN 중앙 라우팅 브리징 오버레이(2레이어 IP 패브릭의 EVPN-VXLAN 토폴로지)에서 리프 디바이스는 VLAN 내에서 트래픽을 처리하는 레이어 2 VXLAN 게이트웨이 역할을 하며, 스파인 디바이스는 통합 라우팅 및 브리징(IRB) 인터페이스를 사용하여 VLAN 간 트래픽을 처리하는 Layer 3 VXLAN 게이트웨이 역할을 합니다.
Junos OS 릴리스 17.3R1에 앞서 QFX5110 스위치는 중앙 라우팅 브리징 오버레이에서 Layer 2 VXLAN 게이트웨이로만 기능할 수 있으며, 이 모든 것이 데이터센터 내에 구축됩니다. Junos OS 릴리스 17.3R1부터 QFX5110 스위치는 중앙 라우팅 브리징 오버레이에서 레이어 3 VXLAN 게이트웨이로 기능할 수도 있습니다.
이 주제는 중앙 라우팅 브리지 오버레이에서 스파인 디바이스 또는 레이어 3 VXLAN 게이트웨이 역할을 하는 QFX5110 스위치의 샘플 구성을 제공합니다. 이 예에서는 IRB 인터페이스 및 기본 게이트웨이를 사용하여 레이어 3 VXLAN 게이트웨이를 구성하는 방법을 보여줍니다.
요구 사항
이 예에서는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
스파인 디바이스로 작동하는 2개의 QFX5110 스위치(스파인 1 및 스파인 2). 이러한 디바이스는 레이어 3 VXLAN 게이트웨이 기능을 제공합니다.
참고:이 예에서는 스파인 1의 역할을 하는 QFX5110 스위치의 구성에 초점을 맞춥니다. Spine 1의 경우 IP/BGP 언더레이 네트워크, EVPN-VXLAN 오버레이 네트워크, 고객별 프로파일 및 경로 누출에 대한 기본 구성이 제공됩니다. 이 예제에서는 EVPN-VXLAN 네트워크에서 사용할 수 있는 모든 기능이 포함되어 있지 않습니다. 스파인 1의 구성은 기본적으로 스파인 2 구성을 위한 템플릿 역할을 합니다. 스파인 2 구성의 경우 스파인 1 특정 정보를 Spine 2에 대한 정보로 교체하고 추가 명령을 추가할 수 있습니다.
리프 디바이스(리프 1 및 리프 2)의 역할을 하는 2개의 QFX5200 스위치 이러한 디바이스는 레이어 2 VXLAN 게이트웨이 기능을 제공합니다.
QFX5110 및 QFX5200 스위치에서 실행되는 Junos OS 릴리스 17.3R1 이상 소프트웨어입니다.
VLAN v100의 물리적 서버와 VLAN v200에 VM이 설치된 가상화된 서버 및 물리적 서버
개요 및 토폴로지
이 예에서는 서비스 프로바이더가 여러 사이트를 보유하고 있는 ABC Corporation을 지원합니다. 사이트 100의 물리적 서버는 사이트 200의 물리적 서버 및 VM과 통신해야 합니다. 그림 2에 표시된 중앙 라우팅 브리징 오버레이에서 이러한 통신을 활성화하려면 표 1에 표시된 주요 소프트웨어 엔티티를 구성하고 레이어 3 VXLAN 게이트웨이 또는 스파인 디바이스의 QFX5110 스위치에서 통신을 수행할 수 있습니다.
엔터티 |
스파인 1 및 스파인 2의 구성 |
|---|---|
Vlan |
v100 v200 |
VRF 인스턴스 |
vrf_vlan100 vrf_vlan200 |
IRB 인터페이스 |
irb.100 10.3.3.2/24(IRB IP 주소) 10.3.3.254(가상 게이트웨이 주소) |
irb.200 10.4.4.4/24(IRB IP 주소) 10.4.4.254(가상 게이트웨이 주소) |
표 1에 설명되어 있듯이 두 스파인 디바이스에서 사이트 100에 VLAN v100, 사이트 200의 경우 VLAN v200을 구성합니다. VLAN v100 및 v200과 관련된 레이어 3 경로를 분리하기 위해 VPN 라우팅 및 포워딩(VRF) 인스턴스 vrf_vlan100 생성하고 두 스파인 디바이스에서 vrf_vlan200. VLAN 간에 트래픽을 라우팅하려면 스파인 디바이스에서 IRB 인터페이스 irb.100 및 irb.200을 구성하고 IRB 인터페이스 irb.100과 VRF_VLAN100 ASSOCIATE VRF 라우팅 인스턴스와 IRB 인터페이스 irb.200을 vrf_vlan200 VRF 라우팅 인스턴스를 구성합니다.
QFX5110 스위치는 고유의 MAC 주소가 있는 IRB 인터페이스의 구성을 지원하지 않습니다.
VLAN v100 및 v200의 물리적 서버는 가상화되지 않습니다. 따라서 IRB 인터페이스 irb.100 및 irb.200을 물리적 서버의 VLAN 간 트래픽을 처리하는 기본 레이어 3 게이트웨이로 구성할 것을 강력히 권장합니다. 이를 위해 각 IRB 인터페이스의 구성에는 각 IRB 인터페이스를 기본 게이트웨이로 구성하는 가상 게이트웨이 주소(VGA)도 포함됩니다. 또한 이 예에서는 각 물리적 서버가 특정 기본 게이트웨이를 사용하도록 구성된다고 가정합니다. 기본 게이트웨이에 대한 일반적인 정보와 중앙 라우팅 브리지 오버레이의 다른 VLAN에서 물리적 서버 또는 VM 간의 VM 간 트래픽 플로우에 대한 자세한 내용은 EVPN-VXLAN 오버레이 네트워크에서 트래픽을 라우팅하기 위한 기본 레이어 3 게이트웨이를 사용하는 것을 참조하십시오.
IRB 인터페이스를 위해 VGA를 구성할 때는 IRB IP 주소와 VGA가 달라야 한다는 점을 유념해야 합니다.
Junos OS Release 17.3R1 이상 소프트웨어를 실행하는 QFX5110 스위치가 EVPN-VXLAN 토폴로지에서 Layer 3 VXLAN 게이트웨이 및 DHCP(Dynamic Host Configuration Protocol) 릴레이로 작동하는 경우 IP 주소에 대한 DHCP 서버 응답 시간이 최대 몇 분이 걸릴 수 있습니다. DHCP 클라이언트가 QFX5110 스위치에서 구성된 EVPN-VXLAN IRB 인터페이스에서 IP 주소를 수신하고 나중에 릴리스하고 DHCP 클라이언트와 IP 주소 간의 바인딩을 삭제하지 않을 경우 긴 응답 시간이 발생할 수 있습니다.
표 1에 설명되어 있듯이 각 VLAN에 대해 별도의 VRF 라우팅 인스턴스가 구성됩니다. VLAN v100 및 v200의 호스트 간의 통신을 활성화하기 위해 이 예에서는 vrf_vlan100 라우팅 인스턴스를 위해 라우팅 테이블에서 유니캐스트 경로를 내보내고 vrf_vlan200 위해 라우팅 테이블로 경로를 임포트하는 방법을 보여 줍니다. 이 기능을 루트 누수라고도 합니다.
기본 언더레이 네트워크 구성
CLI 빠른 구성
기본 언더레이 네트워크를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경한 다음, 계층 수준에서 CLI [edit] 에 명령을 복사하여 붙여넣습니다.
set interfaces et-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces et-0/0/1 unit 0 family inet address 10.2.2.1/24 set routing-options router-id 10.2.3.11 set routing-options autonomous-system 64500 set protocols bgp group pe neighbor 10.2.3.12 set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface et-0/0/0.0 set protocols ospf area 0.0.0.0 interface et-0/0/1.0
기본 언더레이 네트워크 구성
단계별 절차
스파인 1에서 기본 언더레이 네트워크를 구성하려면 다음을 수행합니다.
리프 디바이스에 연결하는 인터페이스를 구성합니다.
[edit interfaces] user@switch# set et-0/0/0 unit 0 family inet address 10.1.1.1/24 user@switch# set et-0/0/1 unit 0 family inet address 10.2.2.1/24
스파인 1에 대해 라우터 ID 및 자율 시스템 번호를 구성합니다.
[edit routing-options] user@switch# set router-id 10.2.3.11 user@switch# set autonomous-system 64500
스파인 2를 포함하는 BGP 그룹을 언더레이 기능을 처리하는 피어로 구성합니다.
[edit protocols] user@switch# set bgp group pe neighbor 10.2.3.12
OSPF를 언더레이 네트워크의 라우팅 프로토콜로 구성합니다.
[edit protocols] user@switch# set ospf area 0.0.0.0 interface lo0.0 passive user@switch# set ospf area 0.0.0.0 interface et-0/0/0.0 user@switch# set ospf area 0.0.0.0 interface et-0/0/1.0
기본 EVPN-VXLAN 오버레이 네트워크 구성
CLI 빠른 구성
기본 오버레이 네트워크를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경한 다음, 계층 수준에서 CLI [edit] 에 명령을 복사하여 붙여넣습니다.
set forwarding-options vxlan-routing interface-num 8192 set forwarding-options vxlan-routing next-hop 16384 set protocols bgp group pe type internal set protocols bgp group pe local-address 10.2.3.11 set protocols bgp group pe family evpn signaling set protocols evpn encapsulation vxlan set protocols evpn extended-vni-list all set protocols evpn default-gateway no-gateway-community set switch-options route-distinguisher 10.2.3.11:1 set switch-options vrf-target target:1111:11 set switch-options vtep-source-interface lo0.0
기본 EVPN-VXLAN 오버레이 네트워크 구성
단계별 절차
스파인 1에서 기본 EVPN-VXLAN 오버레이 네트워크를 구성하려면 다음을 수행합니다.
QFX5110 스위치가 EVPN-VXLAN 오버레이 네트워크에서 사용하도록 할당하는 물리적 인터페이스 및 다음 홉의 수를 늘릴 수 있습니다.
[edit forwarding-options] set vxlan-routing interface-num 8192 set vxlan-routing next-hop 16384
스파인 1과 연결된 리프 디바이스 간에 IBGP 오버레이를 구성하고, 스파인 1에 대한 로컬 IP 주소를 지정하며, EVPN 시그널링 NLRI(Network Layer Reachability Information)를 pe BGP 그룹에 포함합니다.
[edit protocols] user@switch# set bgp group pe type internal user@switch# set bgp group pe local-address 10.2.3.11 user@switch# set bgp group pe family evpn signaling
EVPN neighbor 간에 교환되는 데이터 패킷에 대한 VXLAN 캡슐화를 구성하고 모든 VXLAN 네트워크 식별자(VPI)가 가상 라우팅 및 포워딩(VRF) 인스턴스의 일부임을 지정합니다. 또한 IRB 인터페이스의 MAC 주소와 해당 기본 게이트웨이의 MAC 주소가 기본 -게이트웨이의 확장 커뮤니티 옵션 없이 Layer 2 VXLAN 게이트웨이에 광고되도록 지정합니다.
[edit protocols] user@switch# set evpn encapsulation vxlan user@switch# set evpn extended-vni-list all user@switch# set evpn default-gateway no-gateway-community
스위치 옵션을 구성하여 VRF 라우팅 인스턴스에 대한 경로 구분자 및 VRF 대상을 설정하고 인터페이스 lo0을 가상 터널 엔드포인트(VTEP)와 연결합니다.
[edit switch-options] user@switch# set route-distinguisher 10.2.3.11:1 user@switch# set vrf-target target:1111:11 user@switch# set vtep-source-interface lo0.0
기본 고객 프로필 구성
CLI 빠른 구성
ABC Corporation 사이트 100 및 200의 기본 고객 프로필을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경한 다음, 명령을 계층적 수준에서 CLI [edit] 에 복사하여 붙여넣습니다.
set interfaces xe-0/0/32:1 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/32:1 unit 0 family ethernet-switching vlan members v100 set interfaces xe-0/0/32:1 unit 0 family ethernet-switching vlan members v200 set interfaces irb unit 100 family inet address 10.3.3.2/24 virtual-gateway-address 10.3.3.254 set interfaces irb unit 100 proxy-macip-advertisement set interfaces irb unit 200 family inet address 10.4.4.4/24 virtual-gateway-address 10.4.4.254 set interfaces irb unit 200 proxy-macip-advertisement set interfaces lo0 unit 0 family inet address 10.2.3.11/32 primary set interfaces lo0 unit 1 family inet address 10.2.3.24/32 primary set interfaces lo0 unit 2 family inet address 10.2.3.25/32 primary set routing-instances vrf_vlan100 instance-type vrf set routing-instances vrf_vlan100 interface irb.100 set routing-instances vrf_vlan100 interface lo0.1 set routing-instances vrf_vlan100 route-distinguisher 10.2.3.11:2 set routing-instances vrf_vlan100 vrf-import import-inet set routing-instances vrf_vlan100 vrf-export export-inet1 set routing-instances vrf_vlan200 instance-type vrf set routing-instances vrf_vlan200 interface irb.200 set routing-instances vrf_vlan200 interface lo0.2 set routing-instances vrf_vlan200 route-distinguisher 10.2.3.11:3 set routing-instances vrf_vlan200 vrf-import import-inet set routing-instances vrf_vlan200 vrf-export export-inet2 set vlans v100 vlan-id 100 set vlans v100 l3-interface irb.100 set vlans v100 vxlan vni 100 set vlans v200 vlan-id 200 set vlans v200 l3-interface irb.200 set vlans v200 vxlan vni 200
기본 고객 프로필 구성
단계별 절차
ABC Corporation 사이트 100 및 200의 스파인 1에 대한 기본 고객 프로필을 구성하려면 다음을 수행합니다.
레이어 2 인터페이스를 구성하고 인터페이스를 VLAN v100 및 v200의 구성원으로 지정합니다.
[edit interfaces] user@switch# set xe-0/0/32:1 unit 0 family ethernet-switching interface-mode trunk user@switch# set xe-0/0/32:1 unit 0 family ethernet-switching vlan members v100 user@switch# set xe-0/0/32:1 unit 0 family ethernet-switching vlan members v200
IRB 인터페이스를 생성하고 VLAN v100의 물리적 서버에서 VLAN v200의 물리적 서버 및 VM으로 트래픽을 라우팅하는 기본 레이어 3 가상 게이트웨이의 역할을 하도록 인터페이스를 구성합니다. 또한 IRB 인터페이스에서 레이어 3 VXLAN 게이트웨이가 Layer 2 VXLAN 게이트웨이를 대신하여 MAC+IP 유형 2 경로를 광고할 수 있도록 합니다.
[edit interfaces] user@switch# set irb unit 100 family inet address 10.3.3.2/24 virtual-gateway-address 10.3.3.254 user@switch# set irb unit 100 proxy-macip-advertisement user@switch# set irb unit 200 family inet address 10.4.4.4/24 virtual-gateway-address 10.4.4.254 user@switch# set irb unit 200 proxy-macip-advertisement
참고:QFX5110 스위치는 고유의 MAC 주소가 있는 IRB 인터페이스의 구성을 지원하지 않습니다.
참고:IRB 인터페이스를 위해 VGA를 구성할 때는 VGA 및 IRB IP 주소가 달라야 한다는 점을 유념해야 합니다.
스파인 1에 대한 루프백 인터페이스(lo0)와 각 VRF 라우팅 인스턴스에 대한 논리적 루프백 주소(lo0.x)를 구성합니다.
[edit interfaces] user@switch# set lo0 unit 0 family inet address 10.2.3.11/32 primary user@switch# set lo0 unit 1 family inet address 10.2.3.24/32 primary user@switch# set lo0 unit 2 family inet address 10.2.3.25/32 primary
VLAN v100 및 v200에 대한 VRF 라우팅 인스턴스를 구성합니다. 각 라우팅 인스턴스에서 IRB 인터페이스, 루프백 인터페이스 및 경로에 연결된 식별자를 연결합니다. 또한 각 라우팅 인스턴스는 다른 라우팅 인스턴스에 대해 오버레이 경로를 VRF 테이블로 내보낸 다음, 다른 라우팅 인스턴스의 VRF 테이블에서 VRF 테이블로 오버레이 경로를 가져오도록 지정합니다.
[edit routing-instances] user@switch# set vrf_vlan100 instance-type vrf user@switch# set vrf_vlan100 interface irb.100 user@switch# set vrf_vlan100 interface lo0.1 user@switch# set vrf_vlan100 route-distinguisher 10.2.3.11:2 user@switch# set vrf_vlan100 vrf-import import-inet user@switch# set vrf_vlan100 vrf-export export-inet1 user@switch# set vrf_vlan200 instance-type vrf user@switch# set vrf_vlan200 interface irb.200 user@switch# set vrf_vlan200 interface lo0.2 user@switch# set vrf_vlan200 route-distinguisher 10.2.3.11:3 user@switch# set vrf_vlan200 vrf-import import-inet user@switch# set vrf_vlan200 vrf-export export-inet2
VLAN v100 및 v200을 구성하고 IRB 인터페이스 및 VNI를 각 VLAN에 연결합니다.
[edit vlans] user@switch# set v100 vlan-id 100 user@switch# set v100 l3-interface irb.100 user@switch# set v100 vxlan vni 100 user@switch# set v200 vlan-id 200 user@switch# set v200 l3-interface irb.200 user@switch# set v200 vxlan vni 200
경로 누출 구성
절차
CLI 빠른 구성
경로 누출을 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 맞는 세부 정보를 변경한 다음, 명령을 복사하여 계층적 수준에서 CLI [edit] 에 붙여넣습니다.
set policy-options policy-statement export-inet1 term 1 from interface irb.100 set policy-options policy-statement export-inet1 term 1 then community add com200 set policy-options policy-statement export-inet1 term 1 then accept set policy-options policy-statement export-inet2 term 1 from interface irb.200 set policy-options policy-statement export-inet2 term 1 then community add com100 set policy-options policy-statement export-inet2 term 1 then accept set policy-options policy-statement import-inet term 1 from community com100 set policy-options policy-statement import-inet term 1 from community com200 set policy-options policy-statement import-inet term 1 then accept set policy-options community com100 members target:1:100 set policy-options community com200 members target:1:200 set routing-instances vrf_vlan100 vrf-import import-inet set routing-instances vrf_vlan100 vrf-export export-inet1 set routing-instances vrf_vlan100 routing-options auto-export family inet unicast set routing-instances vrf_vlan200 vrf-import import-inet set routing-instances vrf_vlan200 vrf-export export-inet2 set routing-instances vrf_vlan200 routing-options auto-export family inet unicast
단계별 절차
스파인 1에서 경로 누출을 구성하려면 다음을 수행합니다.
IRB 인터페이스 irb.100을 통해 학습한 경로가 내보낸 다음 vrf_vlan200 라우팅 테이블로 임포트되도록 지정하는 라우팅 정책을 구성합니다. IRB 인터페이스 irb.200을 통해 학습한 경로가 내보낸 다음 vrf_vlan100 라우팅 테이블로 임포트되도록 지정하는 또 다른 라우팅 정책을 구성합니다.
[edit policy-options] user@switch# set policy-statement export-inet1 term 1 from interface irb.100 user@switch# set policy-statement export-inet1 term 1 then community add com200 user@switch# set policy-statement export-inet1 term 1 then accept user@switch# set policy-statement export-inet2 term 1 from interface irb.200 user@switch# set policy-statement export-inet2 term 1 then community add com100 user@switch# set policy-statement export-inet2 term 1 then accept user@switch# set policy-statement import-inet term 1 from community com100 user@switch# set policy-statement import-inet term 1 from community com200 user@switch# set policy-statement import-inet term 1 then accept user@switch# set community com100 members target:1:100 user@switch# set community com200 members target:1:200
VLAN v100 및 v200에 대한 VRF 라우팅 인스턴스에서 1단계에 구성된 라우팅 정책을 적용합니다.
[edit routing-instances] user@switch# set vrf_vlan100 vrf-import import-inet user@switch# set vrf_vlan100 vrf-export export-inet1 user@switch# set vrf_vlan200 vrf-import import-inet user@switch# set vrf_vlan200 vrf-export export-inet2
유니캐스트 경로가 vrf_vlan100 라우팅 테이블에서 vrf_vlan200 라우팅 테이블로 내보낼 것이며 그 반대의 경우도 마찬가지라고 명시하십시오.
[edit routing-instances] user@switch# set vrf_vlan100 routing-options auto-export family inet unicast user@switch# set vrf_vlan200 routing-options auto-export family inet unicast