Arquitectura de la solución

Descripción general de Juniper Mist Wired Assurance

Juniper Mist Wired Assurance es un servicio en la nube que aporta operaciones automatizadas y niveles de servicio a la estructura del campus para conmutadores, dispositivos IoT, puntos de acceso, servidores e impresoras. Se trata de simplificar cada paso del camino, desde el día 0 para una incorporación sin problemas y el autoaprovisionamiento hasta el día 2 y más allá para las operaciones y la administración. Los conmutadores de la serie EX de Juniper Networks® ofrecen una telemetría de streaming Junos OS enriquecida que permite obtener información para las métricas de estado del conmutador y la detección de anomalías, así como capacidades de Mist AI™.

El motor de IA de Mist y Marvis® Virtual Network Assistant simplifican aún más la resolución de problemas y, al mismo tiempo, optimizan las operaciones del servicio de asistencia técnica mediante la supervisión de eventos y la recomendación de acciones. Marvis es un paso hacia la red™ autónoma, convirtiendo los conocimientos en acciones y transformando fundamentalmente las operaciones de tecnología de la información (TI) de solución de problemas reactiva a corrección proactiva.

Los servicios en la nube de Juniper Mist™ son 100 % programables mediante interfaces de programación de aplicaciones (API) abiertas para una automatización completa, integración con sus sistemas de soporte operativo o ambas. Los sistemas de apoyo operacional incluyen aplicaciones de TI, sistemas de ticketing y sistemas de gestión de PI.

Juniper Mist™ ofrece capacidades únicas para redes WAN, LAN e inalámbricas, como las siguientes:

• Configuración de interfaz de usuario (UI) o basada en API a escala.
• Expectativas de nivel de servicio (SLE) para métricas clave de rendimiento, como rendimiento, capacidad, roaming y tiempo de actividad.
• Marvis® Virtual Network Assistant: un motor de IA integrado que proporciona solución rápida de problemas de red de pila completa, análisis de tendencias, detección de anomalías y solución proactiva de problemas.
• Sistema único de gestión.
• Gestión de licencias.
• Premium Analytics para tendencias a largo plazo y almacenamiento de datos.

Para obtener más información acerca de Juniper Mist Wired Assurance, consulte la siguiente hoja de datos: https://www.juniper.net/content/dam/www/assets/datasheets/us/en/cloud-services/juniper-mist- wired-assurance-datasheet.pdf

Arquitectura de alto nivel de núcleo y distribución de estructura de campus

La multiconexión EVPN, con una arquitectura EVPN-VXLAN, desacopla la red superpuesta de la red subyacente. Este enfoque aborda las necesidades de la red empresarial moderna al permitir a los administradores de red crear redes lógicas de capa 2 en una o más redes de capa 3. En una implementación de multiconexión de EVPN, el uso de EVPN VXLAN admite el aislamiento de tráfico nativo mediante instancias de enrutamiento; comúnmente llamado enrutamiento y reenvío virtual (VRF) para fines de macrosegmentación.

El flujo de trabajo del portal de Juniper Mist™ facilita la creación de estructuras de campus.

Figura 1: Creación de estructuras de campus de alto nivel

Red subyacente

Una arquitectura de estructura EVPN-VXLAN hace que la infraestructura de red sea sencilla y coherente en todos los campus y centros de datos. Todos los dispositivos de núcleo colapsado deben estar conectados entre sí mediante una infraestructura de capa 3.

Puede utilizar cualquier protocolo de enrutamiento de capa 3 para intercambiar direcciones de circuito cerrado entre el núcleo y los dispositivos de distribución. BGP proporciona beneficios como un mejor filtrado de prefijos, ingeniería de tráfico y etiquetado de rutas. En este ejemplo, Mist configura eBGP como el protocolo de enrutamiento subyacente. Juniper Mist aprovisiona automáticamente números de sistema autónomo privado y toda la configuración de BGP para la capa subyacente y la superposición solo para la estructura del campus. Hay opciones para proporcionar altavoces BGP adicionales que le permitan emparejarse con pares BGP externos.

El BGP subyacente se usa para aprender direcciones de circuito cerrado de pares para que el BGP superpuesto pueda establecer vecinos usando la dirección de circuito cerrado. A continuación, la superposición se utiliza para intercambiar rutas EVPN.

Figura 2: Enlaces pt-pt que usan direccionamiento /31 entre conmutadores de núcleo colapsado

Las superposiciones de red permiten la conectividad y el direccionamiento independientemente de la red física. Las tramas Ethernet están envueltas en datagramas IP UDP, que se encapsulan en IP para su transporte a través de la capa subyacente. VXLAN permite que las subredes virtuales de capa 2 o VLAN abarquen la red física de capa 3 subyacente.

En una red superpuesta VXLAN, cada subred o segmento de capa 2 se identifica de forma única mediante un identificador de red virtual (VNI). Un VNI segmenta el tráfico de la misma manera que lo hace un ID de VLAN. Esta asignación se produce en el núcleo, la distribución y la puerta de enlace de borde, que pueden residir en el núcleo o en el bloque de servicios. Como en el caso de las VLAN, los puntos de conexión dentro de la misma red virtual pueden comunicarse directamente entre sí.

Los puntos de conexión en diferentes redes virtuales requieren un dispositivo que admita el enrutamiento entre VXLAN, que suele ser un enrutador, o un conmutador de gama alta conocido como puerta de enlace de capa 3. La entidad que realiza la encapsulación y desencapsulación de VXLAN se denomina VTEP. Cada VTEP se conoce como puerta de enlace de capa 2 y, por lo general, se asigna con la dirección de circuito cerrado del dispositivo. Aquí es también donde existe la asignación de VXLAN (comúnmente conocida como VNI) a VLAN.

Figura 3: Túneles VXLAN VTEP

VXLAN se puede implementar como un protocolo de tunelización en una estructura de campus IP de capa 3 sin un protocolo de plano de control. Sin embargo, el uso de túneles VXLAN por sí solo no cambia el comportamiento de inundación y aprendizaje del protocolo Ethernet.

Los dos métodos principales para usar VXLAN sin un protocolo de plano de control son los túneles VXLAN de unidifusión estática y los túneles VXLAN. Estos métodos se señalan con una base de multidifusión y no resuelven el problema inherente de inundación y aprendizaje, y son difíciles de escalar en entornos grandes de multiinquilino. Estos métodos no están dentro del alcance de esta documentación.

Descripción de EVPN

Ethernet VPN es una extensión BGP para distribuir información de accesibilidad del punto de conexión, como direcciones MAC e IP, a otros pares BGP. Esta tecnología de plano de control utiliza BGP multiprotocolo (MP-BGP) para la distribución de puntos finales de direcciones MAC e IP, en las que las direcciones MAC se tratan como rutas EVPN de tipo 2. EVPN permite a los dispositivos que actúan como VTEP intercambiar información de accesibilidad entre sí sobre sus puntos de conexión.

Estándares de EVPN compatibles con Juniper: https://www.juniper.net/documentation/us/en/software/junos/evpn-vxlan/topics/concept/evpn.html

Qué es EVPN-VXLAN: https://www.juniper.net/us/en/research-topics/what-is-evpn-vxlan.html

Los beneficios de usar EVPN incluyen:

• Movilidad de direcciones MAC
• Multitenencia
• Equilibrio de carga en varios vínculos
• Convergencia rápida
• Alta disponibilidad
• Escama
• Interoperabilidad basada en estándares

EVPN proporciona redundancia y reenvío de múltiples rutas a través de un modelo totalmente activo. La capa de núcleo colapsado puede tener hasta cuatro dispositivos en una topología de anillo o malla. Si se produce un error en un dispositivo principal, los flujos de tráfico utilizan los vínculos activos restantes.

Las capacidades técnicas de EVPN incluyen:

• Inundación mínima: EVPN crea un plano de control que comparte las direcciones MAC del host final entre los VTEP.
• Multihoming: EVPN admite multihoming para dispositivos cliente. Se necesita un protocolo de control como EVPN que permita la sincronización de direcciones de punto de conexión entre los conmutadores de distribución para admitir la multiconexión, ya que el tráfico que viaja a través de la topología debe moverse inteligentemente a través de varias rutas.
• Aliasing: EVPN aprovecha el multihoming totalmente activo cuando conecta dispositivos a la capa de distribución de una estructura de campus. La conexión desde los conmutadores de la capa de distribución multihost se denomina ESI-LAG, mientras que los dispositivos de la capa de acceso se conectan a cada conmutador de distribución mediante un LACP estándar.
• Horizonte dividido: el horizonte dividido evita el bucle de tráfico de difusión, unidifusión desconocida y multidifusión (BUM) en una red. Con el horizonte dividido, un paquete nunca se devuelve a través de la misma interfaz en la que se recibió, lo que evita bucles.

Red superpuesta (plano de datos)

VXLAN es el protocolo de encapsulación del plano de datos de superposición que tuneliza las tramas Ethernet entre los puntos finales de la red a través de la red subyacente. Los dispositivos que realizan encapsulación y desencapsulación VXLAN para la red se denominan VTEP. Antes de que un VTEP envíe una trama a un túnel VXLAN, envuelve la trama original en un encabezado VXLAN que incluye una VNI. El VNI asigna el paquete a la VLAN original en el conmutador de entrada. Después de aplicar un encabezado VXLAN, la trama se encapsula en un paquete UDP/IP para su transmisión al VTEP remoto a través de la estructura IP, donde se elimina el encabezado VXLAN y la traducción de VNI a VLAN ocurre en el conmutador de salida.

Figura 4: Encabezado VXLAN

Los VTEP son entidades de software vinculadas a la dirección de circuito cerrado de un dispositivo que originan y terminan túneles VXLAN. Los túneles VXLAN en una estructura de multiconexión EVPN solo se aprovisionan en los conmutadores de núcleo colapsado.

Red superpuesta (plano de control)

MP-BGP con señalización EVPN actúa como protocolo de plano de control de superposición. Los conmutadores adyacentes se emparejan mediante sus direcciones de circuito cerrado mediante los siguientes saltos anunciados por las sesiones de BGP subyacentes. Los dispositivos de núcleo colapsado establecen sesiones eBGP entre sí. Cuando hay una actualización de la tabla de reenvío de capa 2 en cualquier conmutador que participe en la estructura del campus, envía un mensaje de actualización de BGP con la nueva ruta MAC a otros dispositivos de la estructura. Esos dispositivos luego actualizan su base de datos EVPN local y sus tablas de enrutamiento. En las estructuras de multiconexión EVPN, el intercambio del plano de control se produce a través del BGP interior y cada conmutador de núcleo colapsado actúa como reflector de ruta.

Figura 5: Sincronización iBGP de red de superposición EVPN

Resistencia y equilibrio de carga

Admitimos la detección de reenvío bidireccional (BFD) como parte de la implementación del protocolo BGP. Esto proporciona una convergencia rápida en caso de falla de un dispositivo o enlace sin depender de los temporizadores del protocolo de enrutamiento. Mist configuró intervalos mínimos de BFD de 1000ms y 3000ms en la capa subyacente y la superposición, respectivamente. El equilibrio de carga, por paquete de forma predeterminada, se admite en todos los vínculos de distribución de núcleo dentro de la estructura del campus mediante ECMP habilitado en el plano de reenvío.

Identificador de segmento Ethernet (ESI)

Cuando la capa de acceso multihogar a los dispositivos de la capa de distribución en una estructura de campus, se forma un ESI-LAG en los dispositivos de la capa de distribución. Este ESI es un entero de 10 octetos que identifica el segmento Ethernet entre los conmutadores de la capa de distribución que participan en el ESI. MP-BGP es el protocolo del plano de control utilizado para coordinar esta información. ESI-LAG permite la conmutación por error de vínculos en caso de que un vínculo esté defectuoso, admite el equilibrio de carga activo-activo y Juniper Mist lo asigna automáticamente.

Figura 6: Resistencia y equilibrio de carga

Capa de acceso

La capa de acceso proporciona conectividad de red a los dispositivos del usuario final, como computadoras personales, teléfonos VoIP, impresoras y dispositivos IoT, así como conectividad a puntos de acceso inalámbricos. En este ejemplo, usamos los puntos de acceso de Juniper como dispositivos de punto de acceso. Los departamentos de TI en evolución buscan un enfoque coherente para administrar las redes cableadas e inalámbricas. Juniper Networks tiene una solución que puede simplificar y automatizar las operaciones y la resolución de problemas de extremo a extremo, evolucionando en última instancia hacia la red™ autónoma.

El conmutador de acceso en sí solo debe admitir la agregación de vínculos IEEE 802.3ad y LACP activo en dos enlaces ascendentes hacia los conmutadores de núcleo colapsado de la estructura de multiconexión de EVPN. Las VLAN configuradas en los puertos donde están conectados el cliente cableado y los puntos de acceso se multiplexan y se etiquetan en los enlaces ascendentes.

Diseño de uno o varios PoD

Las estructuras de campus de Juniper Mist admiten implementaciones con un solo PoD (formalmente denominado Site-Design) o varios PoD. La implementación organizacional que se muestra a continuación se dirige a empresas que necesitan alinearse con una estructura multiPOD:

Figura 7: Ejemplo de diseño de múltiples PoD

Puntos de acceso de Juniper

En nuestra red, elegimos los AP de Juniper como nuestros dispositivos de punto de acceso preferidos. Están diseñados desde cero para satisfacer las estrictas necesidades de red de la era moderna de la nube y los dispositivos inteligentes. Juniper Mist ofrece capacidades únicas para LAN cableada e inalámbrica:

• Garantía por cable e inalámbrica: Juniper Mist está habilitado con la garantía por cable e inalámbrica. Una vez configurado, las expectativas de nivel de servicio (SLE) para las métricas clave de rendimiento por cable e inalámbrico, como el rendimiento, la capacidad, el roaming y el tiempo de actividad, se abordan en la plataforma Juniper Mist. Este JVD utiliza los servicios de Juniper Mist Wired Assurance.
• Marvis: un motor de IA integrado que proporciona una rápida solución de problemas por cable e inalámbrica, análisis de tendencias, detección de anomalías y solución proactiva de problemas.

Segmentación VRF

La segmentación VRF se utiliza para organizar usuarios y dispositivos en grupos en una red compartida mientras separa y aísla los diferentes grupos. Los dispositivos de enrutamiento de la red crean y mantienen una tabla de enrutamiento y reenvío virtual (VRF) independiente para cada grupo. Los usuarios y dispositivos de un grupo se colocan en un segmento VRF y pueden comunicarse entre sí, pero no pueden comunicarse con usuarios en otro segmento VRF. Si desea enviar y recibir tráfico de un segmento VRF a otro segmento VRF, debe configurar la ruta de enrutamiento en el enrutador WAN de la estructura, que también puede implementar firewalls con estado.

Plataformas compatibles con la multiconexión de EVPN de estructura de campus

Para revisar las versiones de software y las plataformas en las que Juniper Networks validó este JVD, consulte la sección Plataformas validadas y software de este documento.