Ejemplo: Configurar un conmutador QFX5110 como puerta de enlace VXLAN de capa 3 en una superposición de puenteS de enrutamiento central EVPN-VXLAN
Vpn Ethernet (EVPN) es una tecnología de plano de control que permite que los hosts (servidores físicos [sin sistema operativo] y máquinas virtuales [VM]) se coloquen en cualquier lugar de una red y permanezcan conectados a la misma red superpuesta lógica de capa 2. Virtual Extensible LAN (VXLAN) es un protocolo de tunelización que crea el plano de datos para la red superpuesta de capa 2.
La red subyacente física en la que se implementa comúnmente EVPN-VXLAN es una estructura IP de dos capas, que incluye dispositivos spine y leaf, como se muestra en la Figura 1. En la red subyacente, los dispositivos spine proporcionan conectividad entre los dispositivos leaf y los dispositivos leaf proporcionan conectividad a los servidores físicos adjuntos y máquinas virtuales en servidores virtualizados.
IP de dos capas
En una superposición de puente EVPN-VXLAN enrutada centralmente (topología EVPN-VXLAN con una estructura IP de dos capas), los dispositivos leaf funcionan como puertas de enlace VXLAN de capa 2 que manejan el tráfico dentro de una VLAN, y los dispositivos spine funcionan como puertas de enlace VXLAN de capa 3 que manejan el tráfico entre redes VLAN mediante interfaces de enrutamiento y puente integrados (IRB).
Antes de la versión 17.3R1 de Junos OS, un conmutador QFX5110 solo puede funcionar como una puerta de enlace VXLAN de capa 2 en una superposición de puente enrutada centralmente, todo lo cual se despliega en un centro de datos. A partir de Junos OS versión 17.3R1, el conmutador QFX5110 también puede funcionar como una puerta de enlace VXLAN de capa 3 en una superposición de puente enrutada centralmente.
En este tema, se proporciona una configuración de ejemplo de un conmutador QFX5110 que funciona como un dispositivo spine o puerta de enlace VXLAN de capa 3 en una superposición de puente enrutada centralmente. En este ejemplo, se muestra cómo configurar puertas de enlace VXLAN de capa 3 con interfaces IRB y puertas de enlace predeterminadas.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Dos conmutadores QFX5110 que funcionan como dispositivos spine (spine 1 y spine 2). Estos dispositivos proporcionan funcionalidad de puerta de enlace VXLAN de capa 3.
Nota:Este ejemplo se centra en la configuración del conmutador QFX5110 que funciona como spine 1. Para la spine 1, se proporciona una configuración básica para la red subyacente IP/BGP, la red superpuesta EVPN-VXLAN, los perfiles específicos del cliente y la fuga de ruta. En este ejemplo, no se incluyen todas las funciones que se pueden usar en una red EVPN-VXLAN. La configuración para spine 1 sirve esencialmente como una plantilla para la configuración de spine 2. Para la configuración de spine 2, cuando corresponda, puede reemplazar la información específica de spine 1 por la información específica de spine 2, agregar comandos adicionales, etc.
Dos conmutadores QFX5200 que funcionan como dispositivos leaf (leaf 1 y leaf 2). Estos dispositivos proporcionan funcionalidad de puerta de enlace VXLAN de capa 2.
Junos OS versión 17.3R1 o software posterior que se ejecuta en los conmutadores QFX5110 y QFX5200.
Servidores físicos en VLAN v100 y un servidor físico y un servidor virtualizado en los que las máquinas virtuales están instaladas en VLAN v200.
Descripción general y topología
En este ejemplo, un proveedor de servicios admite ABC Corporation, que tiene varios sitios. Los servidores físicos del sitio 100 deben comunicarse con servidores físicos y máquinas virtuales del sitio 200. Para habilitar esta comunicación en la superposición de puentes enrutada centralmente que se muestra en la figura 2, en los conmutadores QFX5110 que funcionan como puertas de enlace VXLAN de capa 3 o dispositivos spine, configure las entidades de software clave que se muestran en la tabla 1.
Entidad |
Configuración en spine 1 y spine 2 |
|---|---|
Vlan |
v100 v200 |
Instancias de VRF |
vrf_vlan100 vrf_vlan200 |
Interfaces IRB |
irb.100 10.3.3.2/24 (dirección IP de IRB) 10.3.3.254 (dirección de puerta de enlace virtual) |
irb.200 10.4.4.4/24 (dirección IP IRB) 10.4.4.254 (dirección de puerta de enlace virtual) |
Como se describe en la tabla 1, en ambos dispositivos spine, configure VLAN v100 para el sitio 100 y VLAN v200 para el sitio 200. Para separar las rutas de capa 3 asociadas con las VLAN v100 y v200, cree instancias de enrutamiento y reenvío DE VPN (VRF) vrf_vlan100 y vrf_vlan200 en ambos dispositivos spine. Para enrutar el tráfico entre las VLAN, configure las interfaces IRB irb.100 e irb.200 en ambos dispositivos spine, y asocie la instancia de enrutamiento VRF vrf_vlan100 con la interfaz IRB irb.100 y la instancia de enrutamiento VRF vrf_vlan200 con la interfaz IRB irb.200.
Los conmutadores QFX5110 no admiten la configuración de una interfaz IRB con una dirección MAC única.
Los servidores físicos de las VLAN v100 y v200 no son virtualizados. Como resultado, recomendamos encarecidamente que configure las interfaces IRB irb.100 e irb.200 para que funcionen como puertas de enlace predeterminadas de capa 3 que manejen el tráfico entre VLAN de los servidores físicos. Para ello, la configuración de cada interfaz IRB también incluye una dirección de puerta de enlace virtual (VGA), que configura cada interfaz IRB como puerta de enlace predeterminada. Además, en este ejemplo se da por sentado que cada servidor físico está configurado para usar una puerta de enlace predeterminada determinada. Para obtener información general acerca de las puertas de enlace predeterminadas y cómo el tráfico de inter-VLAN fluye entre un servidor físico a otro servidor físico o máquina virtual en una VLAN diferente en una superposición de puente enrutada centralmente, consulte Uso de una puerta de enlace predeterminada de capa 3 para enrutar tráfico en una red superpuesta EVPN-VXLAN.
Cuando configure un VGA para una interfaz IRB, tenga en cuenta que la dirección IP IRB y VGA deben ser diferentes.
Si un conmutador QFX5110 que ejecuta Junos OS versión 17.3R1 o posterior funciona como una puerta de enlace VXLAN de capa 3 y como un relé del Protocolo de configuración dinámica de host (DHCP) en una topología EVPN-VXLAN, el tiempo de respuesta del servidor DHCP para una dirección IP puede tardar unos minutos. El tiempo de respuesta largo puede producirse si un cliente DHCP recibe y libera posteriormente una dirección IP en una interfaz IRB de EVPN-VXLAN configurada en el conmutador QFX5110 y no se elimina el enlace entre el cliente DHCP y la dirección IP.
Como se describe en la tabla 1, se configura una instancia de enrutamiento VRF independiente para cada VLAN. Para habilitar la comunicación entre los hosts de las VLAN v100 y v200, en este ejemplo se muestra cómo exportar rutas de unidifusión desde la tabla de enrutamiento para instancia de enrutamiento vrf_vlan100 e importar las rutas en la tabla de enrutamiento para vrf_vlan200 y viceversa. Esta característica también se conoce como fuga de ruta.
Configuración básica de red subyacente
Configuración rápida de CLI
Para configurar rápidamente una red subyacente básica, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel jerárquico.
set interfaces et-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces et-0/0/1 unit 0 family inet address 10.2.2.1/24 set routing-options router-id 10.2.3.11 set routing-options autonomous-system 64500 set protocols bgp group pe neighbor 10.2.3.12 set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface et-0/0/0.0 set protocols ospf area 0.0.0.0 interface et-0/0/1.0
Configuración de una red subyacente básica
Procedimiento paso a paso
Para configurar una red subyacente básica en la spine 1:
Configure las interfaces que se conectan a los dispositivos leaf.
[edit interfaces] user@switch# set et-0/0/0 unit 0 family inet address 10.1.1.1/24 user@switch# set et-0/0/1 unit 0 family inet address 10.2.2.1/24
Configure el ID de enrutador y el número de sistema autónomo para la columna vertebral 1.
[edit routing-options] user@switch# set router-id 10.2.3.11 user@switch# set autonomous-system 64500
Configure un grupo de BGP que incluya spine 2 como un par que también maneje funciones subyacentes.
[edit protocols] user@switch# set bgp group pe neighbor 10.2.3.12
Configure OSPF como el protocolo de enrutamiento para la red subyacente.
[edit protocols] user@switch# set ospf area 0.0.0.0 interface lo0.0 passive user@switch# set ospf area 0.0.0.0 interface et-0/0/0.0 user@switch# set ospf area 0.0.0.0 interface et-0/0/1.0
Configuración de red superpuesta básica de EVPN-VXLAN
Configuración rápida de CLI
Para configurar rápidamente una red superpuesta básica, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel jerárquico.
set forwarding-options vxlan-routing interface-num 8192 set forwarding-options vxlan-routing next-hop 16384 set protocols bgp group pe type internal set protocols bgp group pe local-address 10.2.3.11 set protocols bgp group pe family evpn signaling set protocols evpn encapsulation vxlan set protocols evpn extended-vni-list all set protocols evpn default-gateway no-gateway-community set switch-options route-distinguisher 10.2.3.11:1 set switch-options vrf-target target:1111:11 set switch-options vtep-source-interface lo0.0
Configuración de una red superpuesta básica de EVPN-VXLAN
Procedimiento paso a paso
Para configurar una red superpuesta EVPN-VXLAN básica en spine 1:
Aumente la cantidad de interfaces físicas y los próximos saltos que el conmutador QFX5110 asigna para su uso en una red superpuesta EVPN-VXLAN.
[edit forwarding-options] set vxlan-routing interface-num 8192 set vxlan-routing next-hop 16384
Configure una superposición de IBGP entre spine 1 y los dispositivos leaf conectados, especifique una dirección IP local para spine 1 e incluya la información de señalización de la capa de red (NLRI) de señalización de EVPN al grupo pe BGP.
[edit protocols] user@switch# set bgp group pe type internal user@switch# set bgp group pe local-address 10.2.3.11 user@switch# set bgp group pe family evpn signaling
Configure la encapsulación de VXLAN para los paquetes de datos intercambiados entre los vecinos de EVPN y especifique que todos los identificadores de red VXLAN (VNIs) forman parte de la instancia de enrutamiento y reenvío virtual (VRF). Además, especifique que la dirección MAC de la interfaz IRB y la dirección MAC de la puerta de enlace predeterminada correspondiente se anuncian a las puertas de enlace VXLAN de capa 2 sin la opción de comunidad extendida de puerta de enlace predeterminada.
[edit protocols] user@switch# set evpn encapsulation vxlan user@switch# set evpn extended-vni-list all user@switch# set evpn default-gateway no-gateway-community
Configure las opciones de conmutador para establecer un distinguidor de ruta y un destino VRF para la instancia de enrutamiento VRF, y asocie lo0 de interfaz con el punto de conexión de túnel virtual (VTEP).
[edit switch-options] user@switch# set route-distinguisher 10.2.3.11:1 user@switch# set vrf-target target:1111:11 user@switch# set vtep-source-interface lo0.0
Configuración básica del perfil de cliente
Configuración rápida de CLI
Para configurar rápidamente un perfil de cliente básico para los sitios 100 y 200 de ABC Corporation, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set interfaces xe-0/0/32:1 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/32:1 unit 0 family ethernet-switching vlan members v100 set interfaces xe-0/0/32:1 unit 0 family ethernet-switching vlan members v200 set interfaces irb unit 100 family inet address 10.3.3.2/24 virtual-gateway-address 10.3.3.254 set interfaces irb unit 100 proxy-macip-advertisement set interfaces irb unit 200 family inet address 10.4.4.4/24 virtual-gateway-address 10.4.4.254 set interfaces irb unit 200 proxy-macip-advertisement set interfaces lo0 unit 0 family inet address 10.2.3.11/32 primary set interfaces lo0 unit 1 family inet address 10.2.3.24/32 primary set interfaces lo0 unit 2 family inet address 10.2.3.25/32 primary set routing-instances vrf_vlan100 instance-type vrf set routing-instances vrf_vlan100 interface irb.100 set routing-instances vrf_vlan100 interface lo0.1 set routing-instances vrf_vlan100 route-distinguisher 10.2.3.11:2 set routing-instances vrf_vlan100 vrf-import import-inet set routing-instances vrf_vlan100 vrf-export export-inet1 set routing-instances vrf_vlan200 instance-type vrf set routing-instances vrf_vlan200 interface irb.200 set routing-instances vrf_vlan200 interface lo0.2 set routing-instances vrf_vlan200 route-distinguisher 10.2.3.11:3 set routing-instances vrf_vlan200 vrf-import import-inet set routing-instances vrf_vlan200 vrf-export export-inet2 set vlans v100 vlan-id 100 set vlans v100 l3-interface irb.100 set vlans v100 vxlan vni 100 set vlans v200 vlan-id 200 set vlans v200 l3-interface irb.200 set vlans v200 vxlan vni 200
Configuración de un perfil básico de cliente
Procedimiento paso a paso
Para configurar un perfil de cliente básico para los sitios 100 y 200 de ABC Corporation en spine 1:
Configure una interfaz de capa 2 y especifique la interfaz como miembro de VLAN v100 y v200.
[edit interfaces] user@switch# set xe-0/0/32:1 unit 0 family ethernet-switching interface-mode trunk user@switch# set xe-0/0/32:1 unit 0 family ethernet-switching vlan members v100 user@switch# set xe-0/0/32:1 unit 0 family ethernet-switching vlan members v200
Cree interfaces IRB y configure las interfaces para que actúen como puertas de enlace virtuales predeterminadas de capa 3, que enrutan el tráfico desde servidores físicos en VLAN v100 a servidores físicos y máquinas virtuales en VLAN v200 y viceversa. Además, en las interfaces IRB, habilite la puerta de enlace VXLAN de capa 3 para anunciar rutas MAC+IP tipo 2 en nombre de las puertas de enlace VXLAN de capa 2.
[edit interfaces] user@switch# set irb unit 100 family inet address 10.3.3.2/24 virtual-gateway-address 10.3.3.254 user@switch# set irb unit 100 proxy-macip-advertisement user@switch# set irb unit 200 family inet address 10.4.4.4/24 virtual-gateway-address 10.4.4.254 user@switch# set irb unit 200 proxy-macip-advertisement
Nota:Los conmutadores QFX5110 no admiten la configuración de una interfaz IRB con una dirección MAC única.
Nota:Cuando configure un VGA para una interfaz IRB, tenga en cuenta que la dirección IP VGA e IRB debe ser diferente.
Configure una interfaz de circuito cerrado (lo0) para spine 1 y una dirección lógica de circuito cerrado (lo0.x) para cada instancia de enrutamiento VRF.
[edit interfaces] user@switch# set lo0 unit 0 family inet address 10.2.3.11/32 primary user@switch# set lo0 unit 1 family inet address 10.2.3.24/32 primary user@switch# set lo0 unit 2 family inet address 10.2.3.25/32 primary
Configure instancias de enrutamiento VRF para VLAN v100 y v200. En cada instancia de enrutamiento, asocie una interfaz IRB, una interfaz de circuito cerrado y un identificador adjunto a la ruta. También especifique que cada instancia de enrutamiento exporta sus rutas superpuestas a la tabla VRF para la otra instancia de enrutamiento e importe rutas superpuestas desde la tabla VRF para la otra instancia de enrutamiento a su tabla VRF.
[edit routing-instances] user@switch# set vrf_vlan100 instance-type vrf user@switch# set vrf_vlan100 interface irb.100 user@switch# set vrf_vlan100 interface lo0.1 user@switch# set vrf_vlan100 route-distinguisher 10.2.3.11:2 user@switch# set vrf_vlan100 vrf-import import-inet user@switch# set vrf_vlan100 vrf-export export-inet1 user@switch# set vrf_vlan200 instance-type vrf user@switch# set vrf_vlan200 interface irb.200 user@switch# set vrf_vlan200 interface lo0.2 user@switch# set vrf_vlan200 route-distinguisher 10.2.3.11:3 user@switch# set vrf_vlan200 vrf-import import-inet user@switch# set vrf_vlan200 vrf-export export-inet2
Configure VLAN v100 y v200, y asocie una interfaz IRB y VNI con cada VLAN.
[edit vlans] user@switch# set v100 vlan-id 100 user@switch# set v100 l3-interface irb.100 user@switch# set v100 vxlan vni 100 user@switch# set v200 vlan-id 200 user@switch# set v200 l3-interface irb.200 user@switch# set v200 vxlan vni 200
Configuración de fugas de ruta
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente la fuga de rutas, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set policy-options policy-statement export-inet1 term 1 from interface irb.100 set policy-options policy-statement export-inet1 term 1 then community add com200 set policy-options policy-statement export-inet1 term 1 then accept set policy-options policy-statement export-inet2 term 1 from interface irb.200 set policy-options policy-statement export-inet2 term 1 then community add com100 set policy-options policy-statement export-inet2 term 1 then accept set policy-options policy-statement import-inet term 1 from community com100 set policy-options policy-statement import-inet term 1 from community com200 set policy-options policy-statement import-inet term 1 then accept set policy-options community com100 members target:1:100 set policy-options community com200 members target:1:200 set routing-instances vrf_vlan100 vrf-import import-inet set routing-instances vrf_vlan100 vrf-export export-inet1 set routing-instances vrf_vlan100 routing-options auto-export family inet unicast set routing-instances vrf_vlan200 vrf-import import-inet set routing-instances vrf_vlan200 vrf-export export-inet2 set routing-instances vrf_vlan200 routing-options auto-export family inet unicast
Procedimiento paso a paso
Para configurar la fuga de ruta en spine 1:
Configure una política de enrutamiento que especifique que las rutas aprendidas a través de la interfaz IRB irb.100 se exportan y, luego, se importan a la tabla de enrutamiento para vrf_vlan200. Configure otra política de enrutamiento que especifique que las rutas aprendidas a través de la interfaz IRB irb.200 se exportan y, luego, se importan a la tabla de enrutamiento para vrf_vlan100.
[edit policy-options] user@switch# set policy-statement export-inet1 term 1 from interface irb.100 user@switch# set policy-statement export-inet1 term 1 then community add com200 user@switch# set policy-statement export-inet1 term 1 then accept user@switch# set policy-statement export-inet2 term 1 from interface irb.200 user@switch# set policy-statement export-inet2 term 1 then community add com100 user@switch# set policy-statement export-inet2 term 1 then accept user@switch# set policy-statement import-inet term 1 from community com100 user@switch# set policy-statement import-inet term 1 from community com200 user@switch# set policy-statement import-inet term 1 then accept user@switch# set community com100 members target:1:100 user@switch# set community com200 members target:1:200
En las instancias de enrutamiento VRF para VLAN v100 y v200. aplicar las políticas de enrutamiento configuradas en el paso 1.
[edit routing-instances] user@switch# set vrf_vlan100 vrf-import import-inet user@switch# set vrf_vlan100 vrf-export export-inet1 user@switch# set vrf_vlan200 vrf-import import-inet user@switch# set vrf_vlan200 vrf-export export-inet2
Especifique que las rutas de unidifusión se exportarán desde la tabla de enrutamiento vrf_vlan100 a la tabla de enrutamiento vrf_vlan200 y viceversa.
[edit routing-instances] user@switch# set vrf_vlan100 routing-options auto-export family inet unicast user@switch# set vrf_vlan200 routing-options auto-export family inet unicast