EN ESTA PÁGINA
Descripción técnica
Red subyacente
Una arquitectura de estructura EVPN-VXLAN hace que la infraestructura de red sea sencilla y coherente en todos los campus y centros de datos. Todos los dispositivos de núcleo, distribución y acceso deben estar conectados mediante una infraestructura L3. Se recomienda implementar una estructura IP basada en Clos para garantizar un rendimiento predecible y permitir una arquitectura coherente y escalable.
Puede utilizar cualquier protocolo de enrutamiento L3 para intercambiar direcciones de circuito cerrado entre los dispositivos de acceso, núcleo y distribución. BGP proporciona beneficios como un mejor filtrado de prefijos, ingeniería de tráfico y etiquetado de rutas. En este ejemplo, usamos eBGP como protocolo de enrutamiento subyacente. Mist aprovisiona automáticamente los números del sistema autónomo privado y todas las configuraciones de BGP para la capa subyacente y la superposición solo para la estructura del campus. Hay opciones para proporcionar altavoces BGP adicionales que le permitan emparejarse con pares BGP externos.
El BGP subyacente se usa para aprender direcciones de circuito cerrado de pares para que el BGP superpuesto pueda establecer vecinos usando la dirección de circuito cerrado. A continuación, la superposición se utiliza para intercambiar rutas EVPN.
Las superposiciones de red permiten la conectividad y el direccionamiento independientemente de la red física. Las tramas Ethernet están envueltas en datagramas UDP/IP, que se encapsulan en IP para su transporte a través de la capa subyacente. VXLAN permite que las subredes L2 virtuales o VLAN abarquen la red L3 física subyacente.
En una red superpuesta VXLAN, cada subred o segmento L2 se identifica de forma única mediante un identificador de red virtual (VNI). Un VNI segmenta el tráfico de la misma manera que lo hace un ID de VLAN. Esta asignación se produce en los conmutadores de acceso y la puerta de enlace de borde, que pueden residir en el núcleo o en el bloque de servicios. Como en el caso de las VLAN, los puntos de conexión dentro de la misma red virtual pueden comunicarse directamente entre sí.
Los puntos de conexión en diferentes redes virtuales requieren un dispositivo que admita el enrutamiento entre VXLAN, que suele ser un enrutador, o un conmutador de gama alta conocido como puerta de enlace L3. La entidad que realiza la encapsulación y la desencapsulación de VXLAN se denomina extremo de túnel VXLAN (VTEP). Cada VTEP se conoce como puerta de enlace L2 y, por lo general, se asigna con la dirección de circuito cerrado del dispositivo. Aquí es también donde se lleva a cabo la asignación de VXLAN (comúnmente conocida como VNI) a VLAN.
VXLAN VTEP
VXLAN se puede implementar como un protocolo de tunelización en una estructura de campus IP L3 sin un protocolo de plano de control. Sin embargo, el uso de túneles VXLAN por sí solo no cambia el comportamiento de inundación y aprendizaje del protocolo Ethernet.
Los dos métodos principales para usar VXLAN sin un protocolo de plano de control son los túneles VXLAN de unidifusión estática y los túneles VXLAN. Estos métodos están señalizados con una base de multidifusión y no resuelven el problema inherente de inundación y aprendizaje. Estos métodos también son difíciles de escalar en entornos grandes y multiinquilino. Estos métodos no están dentro del alcance de este JVD.
Descripción de EVPN
Ethernet VPN (EVPN) es una extensión BGP para distribuir información de accesibilidad del punto de conexión, como direcciones MAC e IP, a otros pares BGP. Esta tecnología de plano de control utiliza BGP multiprotocolo (MP-BGP) para la distribución de puntos finales de direcciones MAC e IP, donde las direcciones MAC se tratan como rutas EVPN de tipo 2. EVPN permite a los dispositivos que actúan como VTEP intercambiar información de accesibilidad entre sí sobre sus puntos de conexión.
Estándares de EVPN compatibles con Juniper: https://www.juniper.net/documentation/us/en/software/junos/evpn-vxlan/topics/concept/evpn.html
Qué es EVPN-VXLAN: https://www.juniper.net/us/en/research-topics/what-is-evpn-vxlan.html
Los beneficios de usar EVPN incluyen:
- Movilidad de direcciones MAC
- Multitenencia
- Equilibrio de carga en varios vínculos
- Convergencia rápida
- Alta disponibilidad
- Escama
- Interoperabilidad basada en estándares
EVPN proporciona redundancia y reenvío de múltiples rutas a través de un modelo totalmente activo. La capa de acceso puede conectarse a dos o más dispositivos de distribución y reenviar el tráfico utilizando todos los vínculos. Si se produce un error en un vínculo de acceso o dispositivo de distribución, el tráfico fluye desde la capa de acceso hacia la capa de distribución utilizando los vínculos activos restantes. Para el tráfico en la otra dirección, los dispositivos de distribución remota actualizan sus tablas de reenvío para enviar tráfico al resto de los dispositivos de distribución activos conectados al segmento Ethernet multiconexión.
Las capacidades técnicas de EVPN incluyen:
- Inundación mínima: EVPN crea un plano de control que comparte las direcciones MAC del host final entre los VTEP.
- Multihoming: EVPN admite multihoming para dispositivos cliente. Se necesita un protocolo de control como EVPN que permita la sincronización de direcciones de punto de conexión entre los conmutadores de acceso para admitir la multiconexión, ya que el tráfico que viaja a través de la topología debe moverse inteligentemente a través de múltiples rutas.
- Aliasing: EVPN aprovecha el multihoming totalmente activo cuando conecta dispositivos a la capa de acceso de una estructura de campus. La conexión de los conmutadores de capa de acceso multihost se denomina ESI-LAG, mientras que los dispositivos de la capa de acceso se conectan a cada conmutador de acceso mediante un LACP estándar.
- Horizonte dividido: el horizonte dividido evita el bucle de tráfico de difusión, unidifusión desconocida y multidifusión (BUM) en una red. Con el horizonte dividido, un paquete nunca se devuelve a través de la misma interfaz en la que se recibió, lo que evita bucles.
Red superpuesta (plano de datos)
VXLAN es el protocolo de encapsulación del plano de datos de superposición que tuneliza las tramas Ethernet entre los puntos finales de la red a través de la red subyacente. Los dispositivos que realizan encapsulación y desencapsulación VXLAN para la red se denominan VTEP. Antes de que un VTEP envíe una trama a un túnel VXLAN, envuelve la trama original en un encabezado VXLAN que incluye un identificador de red virtual (VNI). El VNI asigna el paquete a la VLAN original en el conmutador de entrada. Después de aplicar un encabezado VXLAN, la trama se encapsula en un datagrama UDP/IP para su transmisión al VTEP remoto a través de la estructura IP, donde se elimina el encabezado VXLAN y la traducción de VNI a VLAN ocurre en el conmutador de salida.
VXLAN
Los VTEP son entidades de software vinculadas a la dirección de circuito cerrado de los dispositivos que originan y terminan los túneles VXLAN. Los túneles VXLAN en una estructura IP Clos se aprovisionan en lo siguiente:
- Conmutadores de acceso para extender los servicios a través de la estructura del campus IP Clos.
- Los conmutadores centrales, cuando actúan como enrutadores de borde, interconectan la estructura del campus con la red externa.
- Los servicios bloquean los dispositivos que interconectan la estructura del campus con la red externa.
Red superpuesta (plano de control)
MP-BGP con señalización EVPN actúa como protocolo de plano de control de superposición. Los conmutadores de capa adyacente configuran pares eBGP utilizando sus direcciones de circuito cerrado con los siguientes saltos anunciados por las sesiones de BGP subyacentes. Por ejemplo, los dispositivos centrales y de distribución establecen sesiones de eBGP entre sí, mientras que los dispositivos de acceso y distribución establecen sesiones de eBGP entre ellos. Cuando hay una actualización de la tabla de reenvío L2 en cualquier conmutador que participa en la estructura del campus, envía un mensaje de actualización de BGP con la nueva ruta MAC a otros dispositivos de la estructura. Esos dispositivos luego actualizan su base de datos EVPN local y sus tablas de enrutamiento.
de servicios
Resistencia y equilibrio de carga
Admitimos el reenvío bidireccional (BFD) como parte de la implementación del protocolo BGP. Esto proporciona una convergencia rápida en caso de falla de un dispositivo o enlace sin depender de los temporizadores del protocolo de enrutamiento. Mist configuró intervalos mínimos de BFD de 350 ms y 1000 ms en la capa subyacente y la superposición, respectivamente. El equilibrio de carga, por paquete de forma predeterminada, se admite en todos los vínculos de la estructura del campus mediante el enrutamiento de múltiples rutas de igual costo (ECMP) habilitado en el plano de reenvío.
Identificador de segmento Ethernet (ESI)
Cuando dispositivos como servidores y puntos de acceso son multiconexión a dos o más conmutadores en la capa de acceso en una estructura de campus, se forma un ESI-LAG en los dispositivos de la capa de acceso. Este ESI es un entero de 10 octetos que identifica el segmento Ethernet entre todos los conmutadores de capa de acceso que participan en el ESI. MP-BGP es el protocolo del plano de control utilizado para coordinar esta información. ESI-LAG permite la conmutación por error de vínculos en caso de que un vínculo esté defectuoso, admite el equilibrio de carga activo-activo y Mist lo asigna automáticamente.
carga
Bloque de servicios
Debe colocar los servicios de infraestructura crítica fuera de un par de conmutadores Juniper de acceso dedicado. Esto puede incluir conectividad WAN y firewall, RADIUS y servidores DHCP, por ejemplo. Si necesita desplegar un núcleo reducido, el bloque de servicios dedicados mitiga la necesidad de que el núcleo admita la encapsulación y desencapsulación de túneles VXLAN, varias instancias de enrutamiento y protocolos de enrutamiento L3 adicionales. La capacidad de borde de bloque de servicios se admite directamente desde la capa central o como un par de conmutadores dedicados.
servicios
Capa de acceso
La capa de acceso proporciona conectividad de red a los dispositivos del usuario final, como computadoras personales, teléfonos VoIP, impresoras, dispositivos IoT, así como conectividad a puntos de acceso inalámbricos. La red EVPN-VXLAN extiende todos los conmutadores de la capa de acceso.
punto de conexión
En este ejemplo, cada conmutador de acceso o chasis virtual es multihost para dos o más conmutadores de distribución. El chasis virtual de Juniper reduce la cantidad de puertos necesarios en los conmutadores de distribución y optimiza la disponibilidad de fibra en todo el campus. El chasis virtual admite hasta 10 conmutadores miembro (según el modelo de conmutador) y se administra como un único dispositivo. Véase https://www.juniper.net/documentation/us/en/software/junos/vcf-best-practices-guide/vcf-best-practices-guide.pdf.
Con EVPN ejecutándose como protocolo de plano de control, cualquier conmutador de acceso o dispositivo de chasis virtual puede habilitar la multiconexión activa-activa a la capa de distribución. EVPN proporciona una solución de multiconexión basada en estándares que escala horizontalmente a través de cualquier cantidad de conmutadores de capa de acceso.
Implementación organizativa de la estructura de campus
La estructura de campus de Mist admite implementaciones a nivel de sitio y organización. La implementación basada en la organización que se muestra en la Figura 8 está dirigida a empresas que necesitan alinearse con una estructura POD.
del nodo de la estructura de campus
El despliegue a nivel de sitio es el foco de este JVD
Puntos de acceso de Juniper
En nuestra red, elegimos los puntos de acceso (AP) de Mist como nuestros dispositivos AP preferidos. Están diseñados desde cero para satisfacer las estrictas necesidades de red de la era moderna de la nube y los dispositivos inteligentes. Mist ofrece capacidades únicas para LAN cableada e inalámbrica:
- Garantía por cable e inalámbrica: Mist está habilitado con la garantía por cable e inalámbrica. Una vez configurado, las expectativas de nivel de servicio (SLE) para las métricas clave de rendimiento por cable e inalámbrico, como el rendimiento, la capacidad, el roaming y el tiempo de actividad, se supervisan en la plataforma de Mist. Este JVD utiliza los servicios de garantía de cableado de Mist.
- Marvis: un motor de IA integrado que proporciona una rápida solución de problemas por cable e inalámbrica, análisis de tendencias, detección de anomalías y solución proactiva de problemas.
Borde de niebla
Para redes de campus grandes, Mist Edge ofrece roaming sin problemas a través de la terminación del túnel local del tráfico hacia y desde los AP de Juniper. Juniper Mist Edge extiende microservicios selectos a las instalaciones del cliente mientras usa la nube de Juniper Mist y su arquitectura de software distribuida para operaciones, administración, solución de problemas y análisis escalables y resistentes. Juniper Mist Edge se implementa como un dispositivo independiente con múltiples variantes para implementaciones de diferentes tamaños.
Los departamentos de TI en evolución buscan un enfoque coherente para administrar redes cableadas, inalámbricas y WAN. Este enfoque de pila completa simplifica y automatiza las operaciones, proporciona solución de problemas de extremo a extremo y, en última instancia, evoluciona hacia la red autónoma. La integración de la plataforma de Mist en este JVD aborda tanto los despliegues de pila completa como la automatización. Para obtener más información sobre la integración de Mist con conmutadores EX, consulte: Cómo conectar puntos de acceso de Mist y conmutadores de la serie EX de Juniper.