Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Cómo configurar una spine colapsada con multiconexión EVPN

Requisitos

En este ejemplo, se supone que tiene dos centros de datos (DC1 y DC2) con redes independientes. En este ejemplo, se usan los siguientes dispositivos y software:

  • DC1:

    • Dos conmutadores spine: QFX5120-48Y con Junos OS versión 18.4R2-S1.4

    • Dos conmutadores ToR: EX4300-48T con Junos OS versión 18.1R3-S6.1

    • Dos dispositivos de seguridad: dispositivos SRX345 que ejecutan Junos OS versión 18.2R3.4 (Configuración adicional opcional)

    • Cuatro servidores

  • DC2:

    • Dos conmutadores spine: QFX5120-48Y con Junos OS versión 18.4R2-S1.4

    • Dos conmutadores ToR: EX4300-48T con Junos OS versión 18.1R3-S6.1

    • Dos servidores

Cada par de conmutadores ToR ya debe estar configurado como virtual Chassis. Consulte Descripción del chasis virtual de la serie EX para obtener más información acerca de cómo formar un virtual chassis con conmutadores EX4300. En esta configuración de ejemplo, se usan vínculos Ethernet agregados de multiconexión entre el ToR Virtual Chassis y los dos dispositivos spine en solo un miembro del Virtual Chassis. Si es posible, para una mejor resistencia, puede conectar los vínculos Ethernet agregados de multiconexión entre el Virtual Chassis y los dispositivos spine mediante el uso de interfaces de diferentes miembros de Virtual Chassis.

Visión general

Utilice este ejemplo para configurar una arquitectura spine colapsada con multiconexión EVPN de los conmutadores ToR. Tenemos dos centros de datos con una configuración opcional de interconexión del centro de datos (DCI), un clúster SRX opcional para mayor seguridad y una configuración de relé DHCP opcional. En este ejemplo de configuración se muestra cómo configurar esta arquitectura en DC1. Puede usar una configuración similar en DC2.

Topología

En este despliegue, hay dos centros de datos: DC1 y DC2. Las redes del centro de datos están configuradas con una arquitectura spine colapsada mediante el QFX5120 como conmutadores spine. En este caso, recomendamos que limite la estructura EVPN-VXLAN al centro de datos local.

Opcionalmente, puede conectar los centros de datos mediante DCI de capa 3 en la capa subyacente. Este caso de uso no requiere una extensión de capa 2 entre los centros de datos. El tráfico del centro de datos es solo de capa 3 y se enruta a través del clúster SRX en DC1 para una inspección avanzada.

La Figura 1 muestra la conectividad lógica entre los componentes utilizados en este NCE.

Figura 1: Topología Logical Topology lógica

Hay dos inquilinos en DC1: JNPR1 y JNPR2. Cualquier tráfico entre inquilinos entre JNPR1 y JNPR2 en DC1 se enruta a través del clúster de firewall SRX para seguridad.

  • DC1:

    • Las VLAN 201 y 202 pertenecen a JNPR1.

    • Las VLAN 211 y 212 pertenecen a JNPR2.

    • DC1 tiene servidores en redes VLAN 201, 202, 211 y 212.

  • DC2:

    • Las VLAN 221 y 222 pertenecen al inquilino predeterminado, que es el mismo que la instancia de enrutamiento predeterminada.

    • DC2 tiene servidores en redes VLAN 221 y 222.

La figura 2 muestra la conectividad física entre los componentes utilizados en este NCE.

Figura 2: Topología Physical Topology física

Antes de empezar

Debe implementar alguna configuración básica en sus dispositivos antes de configurar la estructura.

Procedimiento

Procedimiento paso a paso

  1. De forma predeterminada, no se crean interfaces Ethernet agregadas. Debe establecer el número de interfaces Ethernet agregadas antes de poder configurarlas. Una vez que establezca el recuento de dispositivos, el sistema crea esa cantidad de interfaces Ethernet agregadas vacías, cada una con una dirección MAC única globalmente. Puede crear más interfaces Ethernet agregadas aumentando el número de dispositivos a la cantidad de interfaces ESI-LAG necesarias en el dispositivo.

    Establezca el número de interfaces Ethernet agregadas en todos los conmutadores spine y ToR.

  2. Los puertos del 0 al 47 en un QFX5120-48Y funcionan como puertos de 10 Gigabit de forma predeterminada. Los dispositivos SRX solo admiten 1 Gigabit. Configure los puertos de spine 1 y Spine 2 que están conectados al dispositivo SRX para que sean puertos de 1 gigabit. En este caso, estos puertos son ge-0/0/10 y ge-0/0/11. Para habilitar 1 gigabit en estos puertos, configure la velocidad del primer puerto en el quad, que en este caso es ge-0/0/8.

    Utilice la siguiente instrucción en spine 1 y spine 2:

    Nota:

    Puede configurar las velocidades de puerto de 1 y 25 Gigabit solo por quad (grupo de cuatro puertos) y no de forma individual. Todos los puertos operan a una sola velocidad dentro del quad. Por ejemplo, si configura los puertos del 8 al 11 para que funcionen como puertos de 1 Gigabit Ethernet y inserta un transceptor SFP+ de 10 Gigabit en el puerto 10, no se crea una interfaz para este puerto.

  3. El modo de detección automática de velocidad detecta las interfaces de 100 Gigabit Ethernet y las interfaces de 40 Gigabit Ethernet y las canaliza automáticamente. La canalización automática y la detección de velocidad están habilitadas de forma predeterminada. En este ejemplo, la canalización automática dividiría cada interfaz de 40 Gigabit Ethernet en cuatro interfaces de 10 Gigabit Ethernet.

    Desactive la canalización automática en los puertos et-0/0/2 y et-0/0/31 en spine 3 y los puertos et-0/0/49 y et-0/0/50 en Spine 4 para que sigan siendo interfaces de 40 Gigabit Ethernet.

    Spine 3:

    Spine 4:

Configurar la capa subyacente

En esta topología, la estructura IP solo está entre los dos conmutadores spine, como se muestra en la figura 3. Los dos conmutadores spine establecen el emparejamiento de EBGP a través de los vínculos punto a punto para intercambiar direcciones de circuito cerrado entre sí.

Figura 3: Topología de estructura IP IP Fabric Topology

Configurar spine 1

Procedimiento paso a paso

  1. Configure las interfaces en spine 1.

  2. Configure la base ebGP.

  3. Configure las políticas de importación y exportación.

  4. Habilite la protección de reenrutamiento rápido de ECMP y ECMP. Habilite el equilibrio de carga por flujo, que se hace con la per-packet palabra clave.

    Si un vínculo falla, ECMP usa protección de reenrutamiento rápido para cambiar el reenvío de paquetes a los vínculos operativos, lo que disminuye la pérdida de paquetes. La protección de reenrutamiento rápido actualiza los conjuntos de ECMP para la interfaz sin tener que esperar a que se actualice la tabla de rutas. Cuando se produce la siguiente actualización de la tabla de rutas, se puede agregar un nuevo conjunto de ECMP con menos vínculos o la ruta puede apuntar a un solo salto siguiente.

  5. De forma predeterminada, el temporizador de antigüedad ARP se establece en 20 minutos y el temporizador de envejecimiento MAC se establece en 5 minutos. Para evitar problemas de sincronización con las entradas de enlace MAC y MAC-IP en un entorno EVPN-VXLAN, configure el envejecimiento de ARP para que sea más rápido que el envejecimiento de MAC.

Configurar spine 2

Procedimiento paso a paso

Repita la configuración desde spine 1 en spine 2.

  1. Configure las interfaces en spine 2.

  2. Configure la base ebGP.

  3. Configure las políticas de importación y exportación.

  4. Habilite la protección de reenrutamiento rápido de ECMP y ECMP.

  5. Para evitar problemas de sincronización con las entradas de enlace MAC y MAC-IP en un entorno EVPN-VXLAN, configure el envejecimiento de ARP para que sea más rápido que el envejecimiento de MAC.

Verificar la capa subyacente

Procedimiento paso a paso

  1. Verifique que ambas sesiones de vecino del BGP se establezcan en spine 1.

  2. Verifique que la dirección de circuito cerrado de spine 2 (192.168.255.12) sea recibida por spine 1 de ambas sesiones vecinas del BGP.

  3. Haga ping al circuito cerrado del otro dispositivo spine desde spine 1.

Configurar la superposición

En esta sección se muestra cómo configurar la superposición. Incluye emparejamientos de IBGP y las asignaciones de VLAN a VXLAN para las redes virtuales.

Configurar spine 1

Procedimiento paso a paso

  1. Configure el emparejamiento de IBGP entre las direcciones de circuito cerrado spine 1 y spine 2.

  2. Configure las VLAN y VLAN a la asignación de VXLAN.

  3. Configure las siguientes opciones de conmutador:

    • La interfaz de origen del punto de conexión de túnel virtual (VTEP). Esta es la dirección de circuito cerrado en spine 1.

    • El distinguidor de rutas para las rutas generadas por este dispositivo.

    • El destino de la ruta.

    El destino de ruta configurado en vrf-target es utilizado por las rutas EVPN tipo 1. Las rutas EVPN tipo 2 y tipo 3 usan el destino de ruta de derivación automática por VNI para la exportación e importación.

  4. Configure el protocolo EVPN. Primero, configure VXLAN como la encapsulación del plano de datos para EVPN.

    A continuación, configure las VNIs que forman parte de este dominio EVPN-VXLAN MP-BGP. Use set protocols evpn extended-vni-list all para configurar todas las VNI o configure cada VNI por separado, como se muestra a continuación.

  5. Si el centro de datos tiene solo dos conmutadores spine que tienen solo sesiones de BGP vecinos entre sí, debe deshabilitar el aislamiento de núcleo en ambos conmutadores spine. De lo contrario, si un conmutador spine falla, el otro conmutador spine pierde todas las sesiones de los vecinos del BGP, lo que coloca los puertos de tor en modo de espera LACP y da como resultado una pérdida completa de tráfico. Consulte #split-cerebro-state__split y Comprender cuándo deshabilitar el aislamiento de núcleo de EVPN-VXLAN para obtener más información.

Configurar spine 2

Procedimiento paso a paso

  1. Para evitar problemas de sincronización con las entradas de enlace MAC y MAC-IP en un entorno EVPN-VXLAN, configure el envejecimiento de ARP para que sea más rápido que el envejecimiento de MAC.

  2. Configure el emparejamiento de IBGP.

  3. Configure las VLAN y VLAN a la asignación de VXLAN.

  4. Configure las siguientes opciones de conmutador.

  5. Configure el protocolo EVPN.

    A continuación, configure las VNIs que forman parte de este dominio EVPN-VXLAN MP-BGP. Use set protocols evpn extended-vni-list all para configurar todas las VNI o configure cada VNI por separado, como se muestra a continuación.

  6. Si el centro de datos tiene solo dos conmutadores spine que solo tienen sesiones de BGP vecinos entre sí, debe deshabilitar el aislamiento de núcleo en ambos conmutadores spine.

Verificar la superposición

Procedimiento paso a paso

  1. Verifique que se establezca el emparejamiento del IBGP entre spine 1 y spine 2.

  2. Verifique el VTEP de origen para el dominio EVPN.

  3. Verifique todos los VTEP de origen y los VTEP remotos.

Configurar y segmentar la capa 3

Configurar spine 1

Procedimiento paso a paso

  1. Configure las opciones de enrutamiento y reenvío.

    Nota:

    Cambiar las opciones de enrutamiento y reenvío como next-hop, overlay-ecmpo chained-composite-next-hop hace que el motor de reenvío de paquetes se reinicie, lo que interrumpe todas las operaciones de reenvío.

    • Establezca el número de próximos saltos en al menos el número esperado de entradas ARP en la superposición. Consulte el siguiente salto para obtener más información acerca de la vxlan-routing next-hopconfiguración.

    • Habilite los próximos saltos de varias rutas de costo igual de dos niveles mediante la overlay-ecmp instrucción. Esta instrucción es necesaria para una red superpuesta EVPN-VXLAN de capa 3 cuando también está configurado el enrutamiento tipo 5 puro. Recomendamos encarecidamente que configure esta instrucción cuando se habilitan rutas de tipo 5 puras.

    • La chained-composite-next-hop configuración es obligatoria para EVPN puro tipo 5 con encapsulación VXLAN. Sin esto, el PFE no configurará el siguiente salto del túnel.

    • Configure el ID de enrutador para que sea el mismo que la dirección IP de circuito cerrado utilizada como origen de VTEP y la dirección local BGP superpuesta.

  2. Para habilitar la función de puerta de enlace predeterminada, configure las interfaces IRB con una dirección IP única y una dirección de puerta de enlace virtual (VGA), que debe ser una dirección IP de anycast. Cuando especifica una dirección IPv4 para VGA, la puerta de enlace VXLAN de capa 3 genera automáticamente 00:00:5e:00:00:01:01 como dirección MAC. En este ejemplo, se muestra cómo configurar manualmente la dirección MAC de la puerta de enlace virtual. Configure la misma dirección MAC de puerta de enlace virtual en ambos dispositivos spine para un IRB determinado.

    Nota:

    Si la dirección IP VGA es inferior a la dirección IP IRB, debe usar la opción en la preferred configuración IRB como se muestra en este ejemplo.

  3. Configurará las mismas direcciones IP y MAC IRB de anycast en las interfaces IRB de cada dispositivo spine. Dado que los dispositivos spine actúan como dispositivos spine y leaf en una arquitectura de spine colapsada, son los únicos dispositivos que necesitan saber acerca de las interfaces IRB. Desactive el anuncio de las interfaces IRB en los otros dispositivos.

  4. Coloque las IRB que pertenecen a los distintos inquilinos en sus respectivas instancias de enrutamiento. Esto permite que las IRB de las mismas instancias de enrutamiento compartan una tabla de enrutamiento. Como resultado, los IRB de una instancia de enrutamiento pueden enrutarse entre sí. Los IRB en diferentes instancias de enrutamiento pueden comunicarse entre sí a través de un agente de cumplimiento de políticas de seguridad externo, como firewalls SRX, o si filtramos explícitamente rutas entre las instancias de enrutamiento.

  5. Configure VNI tipo 5 para las instancias de enrutamiento. Al configurar una instancia de enrutamiento para EVPN-VXLAN, debe incluir una interfaz de circuito cerrado y su dirección IP. Si omite la interfaz de circuito cerrado y la dirección IP asociada, los paquetes de control EVPN no se pueden procesar.

Configurar spine 2

Procedimiento paso a paso

  1. Configure las opciones de enrutamiento y reenvío.

    Nota:

    Cambiar las opciones de enrutamiento y reenvío como next-hop, overlay-ecmpo chained-composite-next-hop hace que el motor de reenvío de paquetes se reinicie, lo que interrumpe todas las operaciones de reenvío.

  2. Configure IRB.

  3. Dado que ha configurado las mismas direcciones IP y MAC IRB de anycast en las interfaces IRB de ambos conmutadores spine, desactive el anuncio de las interfaces IRB a otros dispositivos.

  4. Coloque las IRB que pertenecen a los distintos inquilinos en sus respectivas instancias de enrutamiento.

  5. Configure VNI tipo 5 para las instancias de enrutamiento.

Configurar la multiconexión de EVPN para los conmutadores ToR

La multiconexión de EVPN usa ESIs. Un ESI es un atributo obligatorio que habilita la multiconexión del servidor LAG de EVPN. Los valores ESI se codifican como enteros de 10 bytes y se utilizan para identificar un segmento de varias casas. El mismo valor ESI habilitado en todos los conmutadores spine conectados a un conmutador ToR forma un LAG EVPN. Este LAG EVPN admite multiconexión activo-activo hacia el conmutador ToR.

Los conmutadores ToR (implementados como ToR Virtual Chassis en este ejemplo) usan un LAG para conectarse a los dos conmutadores spine. Como se muestra en la figura 4, ToR1 está conectado a los conmutadores spine con LAG ae1. Este LAG en los conmutadores spine está habilitado por la función de multiconexión de EVPN.

Figura 4: Configuración de multiconexión de EVPN para ToR 1 EVPN Multihoming Configuration for ToR 1

Configurar spine 1

Procedimiento paso a paso

  1. De forma predeterminada, no se crean interfaces Ethernet agregadas. Debe establecer el número de interfaces Ethernet agregadas en el conmutador antes de poder configurarlas.

  2. Configure una ESI. Establezca lo mismo en ambos conmutadores spine. Habilite los modos totalmente activos.

    Nota:

    También puede derivar AUTOMÁTICAMENTE ESI. En este ejemplo, configure ESI manualmente.

  3. Configure el ID de sistema LACP. Configure el mismo en ambos conmutadores spine para indicar a los conmutadores ToR que los enlaces ascendentes a los dos conmutadores spine pertenecen al mismo paquete LAG. Como resultado, los conmutadores ToR colocan los enlaces ascendentes a los dos conmutadores spine en el mismo paquete LAG y el tráfico de recursos compartidos de carga en los vínculos miembros.

  4. Configure la interfaz física en spine 1 conectada a ToR 1 como miembro del LAG ae1.

Configurar spine 2

Procedimiento paso a paso

  1. Establezca el número de interfaces Ethernet agregadas en el conmutador.

  2. Configure una ESI. Establezca lo mismo en ambos conmutadores spine. Habilite los modos totalmente activos.

  3. Configure el ID de sistema LACP. Defina el mismo en ambos conmutadores spine.

  4. Configure la interfaz física en spine 2 conectada a ToR 1 como miembro del LAG ae1.

Configurar tor 1

Procedimiento paso a paso

  1. De forma predeterminada, no se crean interfaces Ethernet agregadas. Debe establecer el número de interfaces Ethernet agregadas en el conmutador antes de poder configurarlas.

  2. Configure las interfaces Ethernet agregadas.

  3. Configure las VLAN.

Verificar la multiconexión de EVPN

Procedimiento paso a paso

  1. Compruebe el estado de ae1 y el ESI asociados con el LAG.

  2. Verifique que los miembros de ae1 estén recopilando y distribuyendo.

  3. Verifique que el estado de la multiconexión de EVPN en la instancia de EVPN esté Resolved en la columna vertebral 1. También puede ver qué conmutador spine es el reenviador designado para el tráfico BUM.

  4. Verifique que todos los vínculos miembros de la interfaz ae1 recopilan y distribuyen en ToR 1.

Configurar la multiconexión para los servidores

Multihome, los servidores al ToR Virtual Chassis para redundancia y uso compartido de carga. Los servidores usan LAG para conectarse a los dos conmutadores miembros de chasis virtual ToR.

Como se muestra en la figura 5, el punto de conexión 1 está conectado al ToR Virtual Chassis mediante LAG ae5 y pertenece al inquilino JNPR_1. El punto de conexión 11 está conectado al ToR Virtual Chassis a través de LAG ae6 y pertenece al inquilino JNPR_2.

Figura 5: Topología Multihomed Server Topology de servidor multihomed

Configurar tor 1

Procedimiento paso a paso

Dado que los conmutadores ToR están configurados en un Virtual Chassis, solo necesita confirmar la configuración en el conmutador principal. En este ejemplo, ToR 1 es el conmutador principal.

  1. Configure LAG en las interfaces conectadas al punto de conexión 1: interfaz xe-0/2/10 en ToR 1 y interfaz xe-1/2/10 en ToR 2. El punto de conexión 1 pertenece a las VLAN 201 y 202.

  2. Configure LAG en las interfaces conectadas al punto de conexión 11. El punto de conexión 11 pertenece a las VLAN 211 y 212.

Verificar la conectividad del servidor

Utilice esta sección para comprobar que los servidores están conectados entre sí mediante los conmutadores ToR y spine. Su forma de hacer esto depende de si forman parte de la misma VLAN o de dos VLAN diferentes.

Nota:

Recomendamos multiconexión de sus servidores en los conmutadores ToR para redundancia y uso compartido de carga, como se describe en la sección anterior. En esta sección, se muestran los servidores de una sola casa para simplificar.

Verificar la conectividad del servidor dentro de VLAN

Procedimiento paso a paso

  1. Compruebe que las direcciones MAC de ambos puntos de conexión aparecen en la tabla de conmutación Ethernet de ambos conmutadores ToR.

  2. Compruebe que las dos direcciones MAC aparecen en la tabla de conmutación Ethernet en ambos conmutadores spine. Las dos direcciones MAC se aprenden de los conmutadores ToR a través del LAG (ae1 y ae2) conectados a cada conmutador ToR. El MAC marca DL, DRe DLR indica si el tráfico de la dirección MAC lo aprendió localmente el conmutador spine, el conmutador spine remoto o ambos conmutadores spine.

  3. Verifique que la primera dirección MAC esté en la base de datos de EVPN en spine 1. Esta salida indica que este conmutador spine aprendió la dirección MAC localmente mediante el ESI 00:00:00:00:00:00:00:00:00:00:00:01:02 y LAG ae2. Esta dirección MAC se anuncia en EVPN al otro conmutador spine.

  4. Verifique que la segunda dirección MAC esté en la base de datos de EVPN en spine 1. Esta dirección MAC la aprendió el conmutador spine remoto y se anunció en el conmutador spine local a través de EVPN. Este resultado también muestra que esta dirección MAC está asignada a ESI 00:00:00:00:00:00:00:00:00:00:01:01. El tráfico destinado a esta dirección MAC se puede conmutar localmente a ToR 1 mediante el mismo segmento Ethernet.

  5. Verifique las rutas de EVPN en spine 1. Este resultado muestra que estas direcciones MAC se anuncian en los conmutadores spine como rutas BGP.

  6. Verifique las rutas de EVPN en spine 2. Este resultado muestra las rutas del BGP recibidas el emparejamiento del IBGP con spine 1. Veamos estas rutas en detalle.

    Las dos rutas tipo 1 enfatizadas anteriormente muestran que spine 1 está conectada a dos segmentos Ethernet (ES). Los números ESI son 0101 y 0102.

    Estas dos rutas son de tipo 2 las rutas que se muestran arriba se anuncian en Spine 1. Muestran que las dos direcciones MAC son accesibles desde spine 1.

  7. Verifique el plano de control para las siguientes direcciones MAC en spine 1.

  8. Verifique las entradas de la tabla de reenvío para estas direcciones MAC en spine 1. En el siguiente resultado, se muestra que la interfaz de Ethernet agregada local se utiliza para conmutar el tráfico destinado a estas direcciones MAC.

  9. Pruebe lo que sucede cuando falla un enlace ascendente. Si se produce un error en un enlace ascendente de ToR 1, el resultado muestra que el estado en esa interfaz es Detached.

    La Figura 6 muestra la topología cuando la interfaz conectada al ToR 1 en spine 1 está inactivo.

    Figura 6: Topología cuando falla el enlace ascendente Topology When Uplink Fails

    Verifique que Spine 1 ahora esté aprendiendo esta dirección MAC de Spine 2, ya que spine 1 no tiene una conexión directa con ToR 1.

    Los detalles de la tabla de reenvío en spine 1 muestran que el tráfico destinado a esta dirección MAC se envía a spine 2.

Verificar la conectividad del servidor entre VLAN

Procedimiento paso a paso

  1. En spine 1, verifique que las dos direcciones MAC estén en VLAN diferentes.

  2. En spine 1, verifique la resolución ARP para los dos puntos de conexión.

  3. En spine 1, compruebe el aprendizaje del plano de control para la dirección MAC 00:10:94:00:11:11. Puede ver que hay una ruta MAC para la dirección MAC y una ruta MAC/IP para esta dirección MAC.

  4. Compruebe las entradas de la tabla de reenvío para estas direcciones MAC. Dado que spine 1 está conectado a ambos conmutadores ToR localmente, el tráfico se conmuta localmente al conmutador ToR correspondiente desde spine 1.

Lo que sigue

Ha configurado y verificado una arquitectura spine colapsada para su primer centro de datos. Si es necesario, repita la configuración en los dispositivos del segundo centro de datos.

Vaya a la página siguiente para configurar la seguridad avanzada y conectar sus centros de datos.