Cómo configurar una estructura IP Clos para una red de campus
Requisitos
En este ejemplo de configuración se utilizan los siguientes dispositivos:
Dos conmutadores EX9200 o QFX10000 como dispositivos principales, Versión de software: Junos OS versión 20.2R3
Dos conmutadores EX4650 o QFX5120 como dispositivos de distribución, Versión de software: Junos OS versión 20.2R3
Dos conmutadores EX4300-MP como capa de acceso, Versión de software: Junos OS versión 20.2R3 o Dos conmutadores EX4400, Versión de software: Junos OS versión 21.1R1.
Un dispositivo de seguridad SRX650
Un enrutador WAN
Puntos de acceso de Juniper
Visión general
Use este ejemplo de configuración de red para implementar una única estructura de campus con una red subyacente basada en IP de capa 3 que use EVPN como protocolo de plano de control y VXLAN como protocolo de plano de datos en la red superpuesta.
Primero configuraremos EBGP como el protocolo de enrutamiento subyacente para intercambiar rutas de circuito cerrado. Luego, configuraremos el IBGP entre el núcleo y los dispositivos de distribución en la superposición para compartir información de accesibilidad sobre los puntos de conexión en la estructura.
Topología
En este ejemplo, configuramos cada dispositivo con una dirección de circuito cerrado /32. La figura 1 muestra la topología física con un dispositivo de la serie SRX, un enrutador WAN y dispositivos de capa de acceso (EX-4300-MP) y muestra el esquema de direccionamiento IP que se usa en este ejemplo. El enrutador de la serie SRX aplica reglas de política para el tráfico de tránsito mediante el control del flujo de tráfico. Permite el tráfico que puede pasar y deniega el tráfico que no está permitido en función de la política de seguridad que se crea.
Configurar la estructura IP subyacente
Visión general
En esta sección se muestra cómo configurar la capa subyacente de estructura IP en los conmutadores de núcleo, distribución y capa de acceso mediante EBGP y cómo configurar las reglas de políticas en el servidor SRX.
Configuración de interfaz y subyacente
Utilice esta sección para configurar la capa subyacente en los conmutadores de núcleo y capa de distribución.
- Configuración Core 1
- Configuración del núcleo 2
- Configuración de distribución 1
- Configuración de la distribución 2
- Configuración del conmutador de acceso 1
- Configuración del conmutador de acceso 2
- Configuración de SRX
Configuración Core 1
Procedimiento paso a paso
Configure las interfaces conectadas a los dispositivos centrales.
set interfaces xe-0/0/3:0 unit 0 family inet address 192.168.11.2/24 set interfaces xe-0/0/3:1 unit 0 family inet address 192.168.13.2/24
Configure la interfaz de circuito cerrado y el ID del enrutador y habilite el equilibrio de carga por paquete
set interfaces lo0 unit 0 family inet address 172.16.5.1/32 set routing-options router-id 172.16.5.1 set routing-options forwarding-table export ecmp_policy set policy-options policy-statement ecmp_policy then load-balance per-packet set policy-options policy-statement ecmp_policy then accept
Configure la red subyacente de BGP.
set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback from interface lo0.0 set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback then accept set groups UnderlayBGP protocols bgp group underlay-bgp type external set groups UnderlayBGP protocols bgp group underlay-bgp export underlay-clos-export set groups UnderlayBGP protocols bgp group underlay-bgp local-as 4200000005 set groups UnderlayBGP protocols bgp group underlay-bgp multipath multiple-as set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection minimum-interval 1000 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection multiplier 3 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection session-mode automatic set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.13.1 peer-as 4200000004 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.11.1 peer-as 4200000003 set apply-groups UnderlayBGP
Configuración del núcleo 2
Procedimiento paso a paso
Configure las interfaces conectadas a los dispositivos centrales.
set interfaces xe-0/0/30:0 unit 0 family inet address 192.168.12.2/24 set interfaces xe-0/0/30:3 unit 0 family inet address 192.168.14.2/24
Configure la interfaz de circuito cerrado y el ID del enrutador y habilite el equilibrio de carga por paquete.
set interfaces lo0 unit 0 family inet address 172.16.6.1/32 set routing-options router-id 172.16.6.1 set policy-options policy-statement ecmp_policy then load-balance per-packet set policy-options policy-statement ecmp_policy then accept set routing-options forwarding-table export ecmp_policy
Configure la red subyacente de BGP.
set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback from interface lo0.0 set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback then accept set groups UnderlayBGP protocols bgp group underlay-bgp type external set groups UnderlayBGP protocols bgp group underlay-bgp export underlay-clos-export set groups UnderlayBGP protocols bgp group underlay-bgp local-as 4200000006 set groups UnderlayBGP protocols bgp group underlay-bgp multipath multiple-as set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection minimum-interval 1000 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection multiplier 3 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection session-mode automatic set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.14.1 peer-as 4200000004 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.12.1 peer-as 4200000003 set apply-groups UnderlayBGP
Configuración de distribución 1
Procedimiento paso a paso
Configure las interfaces de interconexión entre los dos dispositivos principales y la conectividad con los conmutadores de distribución.
set interfaces ge-0/0/12 unit 0 family inet address 192.168.1.2/24 set interfaces ge-0/0/9 unit 0 family inet address 192.168.7.2/24 set interfaces xe-0/0/3 unit 0 family inet address 192.168.11.1/24 set interfaces xe-0/0/4 unit 0 family inet address 192.168.12.1/24
Configure la interfaz de circuito cerrado y el ID del enrutador.
set interfaces lo0 unit 0 family inet address 172.16.3.1/32 set routing-options router-id 172.16.3.1
Habilite el equilibrio de carga por paquete.
set routing-options forwarding-table export ecmp_policy set policy-options policy-statement ecmp_policy then load-balance per-packet set policy-options policy-statement ecmp_policy then accept
Configure la red subyacente de BGP.
set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback from interface lo0.0 set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback then accept set groups UnderlayBGP protocols bgp group underlay-bgp type external set groups UnderlayBGP protocols bgp group underlay-bgp export underlay-clos-export set groups UnderlayBGP protocols bgp group underlay-bgp local-as 4200000003 set groups UnderlayBGP protocols bgp group underlay-bgp multipath multiple-as set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection minimum-interval 1000 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection multiplier 3 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection session-mode automatic set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.1.1 peer-as 4200000001 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.7.1 peer-as 4200000002 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.11.2 peer-as 4200000005 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.12.2 peer-as 4200000006 set apply-groups UnderlayBGP
Configuración de la distribución 2
Procedimiento paso a paso
Configure las interfaces de interconexión entre los dos dispositivos principales y la conectividad a los conmutadores de distribución.
set interfaces ge-0/0/9 unit 0 family inet address 192.168.9.2/24 set interfaces xe-0/0/3 unit 0 family inet address 192.168.13.1/24 set interfaces xe-0/0/4 unit 0 family inet address 192.168.14.1/24 set interfaces ge-0/0/12 unit 0 family inet address 192.168.4.2/24
Configure la interfaz de circuito cerrado y el ID del enrutador.
set interfaces lo0 unit 0 family inet address 172.16.4.1/32 set routing-options router-id 172.16.4.1
Habilite el equilibrio de carga por paquete.
set routing-options forwarding-table export ecmp_policy set policy-options policy-statement ecmp_policy then load-balance per-packet set policy-options policy-statement ecmp_policy then accept
Configure la red subyacente de BGP.
set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback from interface lo0.0 set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback then accept set groups UnderlayBGP protocols bgp group underlay-bgp type external set groups UnderlayBGP protocols bgp group underlay-bgp export underlay-clos-export set groups UnderlayBGP protocols bgp group underlay-bgp local-as 4200000004 set groups UnderlayBGP protocols bgp group underlay-bgp multipath multiple-as set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection minimum-interval 1000 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection multiplier 3 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection session-mode automatic set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.9.1 peer-as 4200000002 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.13.2 peer-as 4200000005 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.14.2 peer-as 4200000006 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.4.1 peer-as 4200000001 set apply-groups UnderlayBGP
Configuración del conmutador de acceso 1
Procedimiento paso a paso
Especifique las interfaces que se conectan a los conmutadores de distribución.
set interfaces ge-0/0/1 unit 0 family inet address 192.168.4.1/24 set interfaces ge-0/0/2 unit 0 family inet address 192.168.1.1/24 set interfaces lo0 unit 0 family inet address 172.16.1.1/32
(Opcional) Configure un chasis virtual con enrutamiento y puentes continuos para una alta disponibilidad.
set groups nsr_nsb system commit synchronize set groups nsr_nsb chassis redundancy graceful-switchover set groups nsr_nsb routing-options nonstop-routing set groups nsr_nsb protocols layer2-control nonstop-bridging set apply-groups nsr_nsb set groups vc virtual-chassis preprovisioned set groups vc virtual-chassis member 0 role routing-engine set groups vc virtual-chassis member 0 serial-number XR0220140070 set groups vc virtual-chassis member 1 role routing-engine set groups vc virtual-chassis member 1 serial-number XR0220140059 set groups vc virtual-chassis member 2 role line-card set groups vc virtual-chassis member 2 serial-number XR0220140068 set apply-groups vc
Configure el BGP subyacente.
set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback from interface lo0.0 set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback then accept set groups UnderlayBGP protocols bgp group underlay-bgp type external set groups UnderlayBGP protocols bgp group underlay-bgp export underlay-clos-export set groups UnderlayBGP protocols bgp group underlay-bgp local-as 4200000001 set groups UnderlayBGP protocols bgp group underlay-bgp multipath multiple-as set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection minimum-interval 1000 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection multiplier 3 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection session-mode automatic set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.1.2 peer-as 4200000003 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.4.2 peer-as 4200000004 set apply-groups UnderlayBGP
Configuración del conmutador de acceso 2
Procedimiento paso a paso
Especifique las interfaces que se conectarán a los conmutadores de distribución.
set interfaces ge-0/0/1 unit 0 family inet address 192.168.9.1/24 set interfaces ge-0/0/2 unit 0 family inet address 192.168.7.1/24 set interfaces lo0 unit 0 family inet address 172.16.2.1/32
(Opcional) Configure un chasis virtual con enrutamiento y puentes continuos para una alta disponibilidad.
set groups nsr_nsb system commit synchronize set groups nsr_nsb chassis redundancy graceful-switchover set groups nsr_nsb routing-options nonstop-routing set groups nsr_nsb protocols layer2-control nonstop-bridging set apply-groups nsr_nsb set groups vc virtual-chassis preprovisioned set groups vc virtual-chassis member 0 role routing-engine set groups vc virtual-chassis member 0 serial-number XR0220190261 set groups vc virtual-chassis member 1 role routing-engine set groups vc virtual-chassis member 1 serial-number XR0220190270 set apply-groups vc
Configure el BGP subyacente.
set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback from interface lo0.0 set groups UnderlayBGP policy-options policy-statement underlay-clos-export term loopback then accept set groups UnderlayBGP protocols bgp group underlay-bgp type external set groups UnderlayBGP protocols bgp group underlay-bgp export underlay-clos-export set groups UnderlayBGP protocols bgp group underlay-bgp local-as 4200000002 set groups UnderlayBGP protocols bgp group underlay-bgp multipath multiple-as set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection minimum-interval 1000 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection multiplier 3 set groups UnderlayBGP protocols bgp group underlay-bgp bfd-liveness-detection session-mode automatic set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.7.2 peer-as 4200000003 set groups UnderlayBGP protocols bgp group underlay-bgp neighbor 192.168.9.2 peer-as 4200000004 set apply-groups UnderlayBGP
Si tiene conmutadores de capa de acceso adicionales en la red, repita este procedimiento de configuración para cada conmutador de acceso.
Configuración de SRX
Procedimiento paso a paso
Configure las opciones de seguridad en el dispositivo SRX.
set security nat source rule-set trust-to-untrust from zone trust set security nat source rule-set trust-to-untrust to zone untrust set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0 set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any set security policies from-zone trust to-zone trust policy trust-to-trust match application any set security policies from-zone trust to-zone trust policy trust-to-trust then permit set security policies from-zone trust to-zone untrust policy trust-to-untrust match source-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit set security zones security-zone trust host-inbound-traffic system-services ping set security zones security-zone trust host-inbound-traffic system-services all set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone trust interfaces ge-0/0/2.0 set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services dhcp set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services tftp set interfaces ge-0/0/1 unit 0 family inet address 10.16.5.1/24 set interfaces ge-0/0/2 unit 0 family inet address 10.16.6.1/24 set interfaces ge-0/0/4 unit 0 family inet address 10.204.46.136/20
Configurar la superposición
Visión general
En esta sección se muestra cómo configurar la superposición, incluida la configuración de emparejamientos IBGP, las asignaciones de VLAN a VXLAN y las configuraciones de interfaz IRB para las redes virtuales en los conmutadores de acceso.
Topología
En este ejemplo, tenemos tres redes virtuales: 1, 2 y 3. Las interfaces IRB para estas redes virtuales se encuentran en los conmutadores de acceso. Colocamos todas las interfaces IRB en la misma instancia de enrutamiento. Puede colocar las interfaces IRB en distintas instancias de enrutamiento para la segmentación de red si es necesario en su implementación.
La figura 2 muestra la red virtual superpuesta con VLAN.
Superposición y configuración de red virtual
Utilice esta sección para configurar la superposición en los conmutadores de núcleo y capa de distribución.
- Configuración Core 1
- Configuración del núcleo 2
- Configuración de distribución 1
- Configuración de la distribución 2
- Configuración de Access 1
- Configuración de Access 2
Configuración Core 1
Procedimiento paso a paso
Establezca el número de AS y configure los vecinos de IBGP entre los dispositivos centrales y de distribución. No es necesario configurar vecinos de IBGP entre Core 1 y Core 2 porque reciben todas las actualizaciones de BGP de Distribution 1 y Distribution 2.
Configure los dispositivos centrales como reflectores de ruta para eliminar la necesidad de una malla IBGP completa entre todos los conmutadores de la capa de distribución. Esto hace que la configuración de los dispositivos de la capa de distribución sea sencilla y coherente.
set routing-options autonomous-system 100 set protocols bgp group cluster-rr type internal set protocols bgp group cluster-rr local-address 172.16.5.1 set protocols bgp group cluster-rr mtu-discovery set protocols bgp group cluster-rr family evpn signaling set protocols bgp group cluster-rr cluster 172.16.5.1 set protocols bgp group cluster-rr multipath set protocols bgp group cluster-rr bfd-liveness-detection minimum-interval 1000 set protocols bgp group cluster-rr bfd-liveness-detection multiplier 3 set protocols bgp group cluster-rr bfd-liveness-detection session-mode automatic set protocols bgp group cluster-rr neighbor 172.16.3.1 set protocols bgp group cluster-rr neighbor 172.16.4.1 set protocols bgp group cluster-rr vpn-apply-export
Configuración del núcleo 2
Procedimiento paso a paso
Establezca el número de AS y configure los vecinos de IBGP entre los dispositivos centrales y de distribución. Configure los dispositivos centrales como reflectores de ruta para eliminar la necesidad de una configuración de IBGP de malla completa entre todos los dispositivos de distribución y capa de acceso.
set routing-options autonomous-system 100 set protocols bgp group cluster-rr type internal set protocols bgp group cluster-rr local-address 172.16.6.1 set protocols bgp group cluster-rr mtu-discovery set protocols bgp group cluster-rr family evpn signaling set protocols bgp group cluster-rr cluster 172.16.5.1 set protocols bgp group cluster-rr multipath set protocols bgp group cluster-rr bfd-liveness-detection minimum-interval 1000 set protocols bgp group cluster-rr bfd-liveness-detection multiplier 3 set protocols bgp group cluster-rr bfd-liveness-detection session-mode automatic set protocols bgp group cluster-rr neighbor 172.16.3.1 set protocols bgp group cluster-rr neighbor 172.16.4.1 set protocols bgp group cluster-rr vpn-apply-export
Configuración de distribución 1
Procedimiento paso a paso
Configure vecinos de IBGP desde el conmutador de distribución hasta los conmutadores principales.
set routing-options autonomous-system 100 set groups OverlayBGP protocols bgp group cluster-pod1 type internal set groups OverlayBGP protocols bgp group cluster-pod1 local-address 172.16.3.1 set groups OverlayBGP protocols bgp group cluster-pod1 mtu-discovery set groups OverlayBGP protocols bgp group cluster-pod1 family evpn signaling set groups OverlayBGP protocols bgp group cluster-pod1 cluster 172.16.3.1 set groups OverlayBGP protocols bgp group cluster-pod1 multipath set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection minimum-interval 1000 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection multiplier 3 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection session-mode automatic set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.1.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.2.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.5.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.6.1 set groups OverlayBGP protocols bgp group cluster-pod1 vpn-apply-export set apply-groups OverlayBGP
Configuración de la distribución 2
Procedimiento paso a paso
Configure vecinos de IBGP desde el conmutador de distribución hasta los conmutadores principales.
set routing-options autonomous-system 100 set groups OverlayBGP protocols bgp group cluster-pod1 type internal set groups OverlayBGP protocols bgp group cluster-pod1 local-address 172.16.4.1 set groups OverlayBGP protocols bgp group cluster-pod1 mtu-discovery set groups OverlayBGP protocols bgp group cluster-pod1 family evpn signaling set groups OverlayBGP protocols bgp group cluster-pod1 cluster 172.16.3.1 set groups OverlayBGP protocols bgp group cluster-pod1 multipath set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection minimum-interval 1000 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection multiplier 3 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection session-mode automatic set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.1.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.2.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.5.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.6.1 set groups OverlayBGP protocols bgp group cluster-pod1 vpn-apply-export set apply-groups OverlayBGP
Configuración de Access 1
Procedimiento paso a paso
Configure el BGP de superposición.
set routing-options router-id 172.16.1.1 set routing-options autonomous-system 100 set groups OverlayBGP protocols bgp group cluster-pod1 type internal set groups OverlayBGP protocols bgp group cluster-pod1 local-address 172.16.1.1 set groups OverlayBGP protocols bgp group cluster-pod1 mtu-discovery set groups OverlayBGP protocols bgp group cluster-pod1 family evpn signaling set groups OverlayBGP protocols bgp group cluster-pod1 multipath set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection minimum-interval 1000 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection multiplier 3 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection session-mode automatic set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.3.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.4.1 set groups OverlayBGP protocols bgp group cluster-pod1 vpn-apply-export set apply-groups OverlayBGP
Configure EVPN-VXLAN.
set switch-options vtep-source-interface lo0.0 set switch-options route-distinguisher 172.16.1.1:10 set switch-options vrf-target target:65000:1111 set switch-options vrf-target auto set forwarding-options vxlan-routing next-hop 16384 set forwarding-options vxlan-routing interface-num 6144 set forwarding-options vxlan-routing overlay-ecmp set protocols evpn encapsulation vxlan set protocols evpn default-gateway no-gateway-community set protocols evpn remote-ip-host-routes set protocols evpn extended-vni-list all
Configure la asignación de VLAN/VXLAN y las interfaces IRB. VLAN_1 se utiliza para enviar tráfico de administración desde los puntos de acceso de Mist a Internet. Configurar VLAN_2 y VLAN_3 para conectar dispositivos cliente cableados e inalámbricos
set groups EP-VLAN-1-52 vlans EP-VLAN-1 vlan-id 1 set groups EP-VLAN-1-52 vlans EP-VLAN-1 l3-interface irb.1 set groups EP-VLAN-1-52 vlans EP-VLAN-1 vxlan vni 100001 set groups EP-VLAN-1-52 vlans EP-VLAN-2 vlan-id 2 set groups EP-VLAN-1-52 vlans EP-VLAN-2 l3-interface irb.2 set groups EP-VLAN-1-52 vlans EP-VLAN-2 vxlan vni 100002 set groups EP-VLAN-1-52 vlans EP-VLAN-3 vlan-id 3 set groups EP-VLAN-1-52 vlans EP-VLAN-3 l3-interface irb.3 set groups EP-VLAN-1-52 vlans EP-VLAN-3 vxlan vni 100003 set groups EP-VLAN-1-52 interfaces irb unit 1 family inet address 10.0.1.241/24 preferred set groups EP-VLAN-1-52 interfaces irb unit 1 family inet6 nd6-stale-time 3600 set groups EP-VLAN-1-52 interfaces irb unit 1 family inet6 address 2001:db8::10:0:1:241/112 preferred set groups EP-VLAN-1-52 interfaces irb unit 2 family inet address 10.0.2.241/24 preferred set groups EP-VLAN-1-52 interfaces irb unit 2 family inet6 nd6-stale-time 3600 set groups EP-VLAN-1-52 interfaces irb unit 2 family inet6 address 2001:db8::10:0:2:241/112 preferred set groups EP-VLAN-1-52 interfaces irb unit 3 family inet address 10.0.3.241/24 preferred set groups EP-VLAN-1-52 interfaces irb unit 3 family inet6 nd6-stale-time 3600 set groups EP-VLAN-1-52 interfaces irb unit 3 family inet6 address 2001:db8::10:0:3:241/112 preferred set apply-group EP-VLAN-1-52
Configure la instancia de VRF.
set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 instance-type vrf set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface lo0.1 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface irb.1 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface irb.2 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface irb.3 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 route-distinguisher 172.16.1.1:1 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 vrf-target target:100:1 set apply-group VRF-TYPE-2-BD-1-52
Configure los puertos para los puntos de acceso de Mist como puertos troncales. Esto le permite usar varios SSID y VLAN en el puerto. VLAN_1 se utiliza para enviar tráfico de administración desde los puntos de acceso de Mist a Internet. Configure VLAN_2 y VLAN_3 para conectar dispositivos cliente inalámbricos y por cable.
set routing-options static route 0.0.0.0/0 next-hop 172.31.25.2 set interfaces mge-0/0/25 mtu 9200 set interfaces mge-0/0/25 unit 0 family ethernet-switching interface-mode trunk set interfaces mge-0/0/25 unit 0 family ethernet-switching vlan members vlan_1 set poe interface mge-0/0/25 set interfaces irb mtu 9200
Configure la autenticación 802.1x para los clientes cableados.
set access profile 802.1X-PROFILE-1 accounting-order radius set access profile 802.1X-PROFILE-1 authentication-order radius set access profile 802.1X-PROFILE-1 radius authentication-server 10.204.32.234 set access profile 802.1X-PROFILE-1 radius accounting-server 10.204.32.234 set access profile 802.1X-PROFILE-1 radius options nas-identifier access-switch-1 set access profile 802.1X-PROFILE-1 accounting order radius set access profile 802.1X-PROFILE-1 accounting address-change-immediate-update set groups DOT1X protocols dot1x authenticator authentication-profile-name 802.1X-PROFILE-1 set groups DOT1X protocols dot1x authenticator no-mac-table-binding set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 authentication-order dot1x set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 authentication-order mac-radius set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 supplicant multiple set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 transmit-period 30 set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 mac-radius set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 reauthentication 3600 set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 server-timeout 30 set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 maximum-requests 10 set apply-groups DOT1X
Configuración de Access 2
Procedimiento paso a paso
Configurar el BGP de superposición
set routing-options router-id 172.16.2.1 set routing-options autonomous-system 100 set groups OverlayBGP protocols bgp group cluster-pod1 type internal set groups OverlayBGP protocols bgp group cluster-pod1 local-address 172.16.2.1 set groups OverlayBGP protocols bgp group cluster-pod1 mtu-discovery set groups OverlayBGP protocols bgp group cluster-pod1 family evpn signaling set groups OverlayBGP protocols bgp group cluster-pod1 multipath set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection minimum-interval 1000 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection multiplier 3 set groups OverlayBGP protocols bgp group cluster-pod1 bfd-liveness-detection session-mode automatic set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.3.1 set groups OverlayBGP protocols bgp group cluster-pod1 neighbor 172.16.4.1 set groups OverlayBGP protocols bgp group cluster-pod1 vpn-apply-export set apply-groups OverlayBGP
Configure EVPN-VXLAN.
set switch-options vtep-source-interface lo0.0 set switch-options route-distinguisher 172.16.1.1:10 set switch-options vrf-target target:65000:1111 set switch-options vrf-target auto set forwarding-options vxlan-routing next-hop 16384 set forwarding-options vxlan-routing interface-num 6144 set forwarding-options vxlan-routing overlay-ecmp set protocols evpn encapsulation vxlan set protocols evpn default-gateway no-gateway-community set protocols evpn remote-ip-host-routes set protocols evpn extended-vni-list all
Configure la asignación de VLAN/VXLAN y el IRB.
set groups EP-VLAN-1-52 vlans EP-VLAN-1 vlan-id 1 set groups EP-VLAN-1-52 vlans EP-VLAN-1 l3-interface irb.1 set groups EP-VLAN-1-52 vlans EP-VLAN-1 vxlan vni 100001 set groups EP-VLAN-1-52 vlans EP-VLAN-2 vlan-id 2 set groups EP-VLAN-1-52 vlans EP-VLAN-2 l3-interface irb.2 set groups EP-VLAN-1-52 vlans EP-VLAN-2 vxlan vni 100002 set groups EP-VLAN-1-52 vlans EP-VLAN-3 vlan-id 3 set groups EP-VLAN-1-52 vlans EP-VLAN-3 l3-interface irb.3 set groups EP-VLAN-1-52 vlans EP-VLAN-3 vxlan vni 100003 set groups EP-VLAN-1-52 interfaces irb unit 1 family inet address 10.0.1.242/24 preferred set groups EP-VLAN-1-52 interfaces irb unit 1 family inet6 nd6-stale-time 3600 set groups EP-VLAN-1-52 interfaces irb unit 1 family inet6 address 2001:db8::10:0:1:242/112 preferred set groups EP-VLAN-1-52 interfaces irb unit 2 family inet address 10.0.2.242/24 preferred set groups EP-VLAN-1-52 interfaces irb unit 2 family inet6 nd6-stale-time 3600 set groups EP-VLAN-1-52 interfaces irb unit 2 family inet6 address 2001:db8::10:0:2:242/112 preferred set groups EP-VLAN-1-52 interfaces irb unit 3 family inet address 10.0.3.242/24 preferred set groups EP-VLAN-1-52 interfaces irb unit 3 family inet6 nd6-stale-time 3600 set groups EP-VLAN-1-52 interfaces irb unit 3 family inet6 address 2001:db8::10:0:3:242/112 preferred set apply-group EP-VLAN-1-52
Configure la instancia de VRF.
set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 instance-type vrf set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface lo0.1 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface irb.1 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface irb.2 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface irb.3 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 interface irb.4 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 route-distinguisher 172.16.2.1:1 set groups VRF-TYPE-2-BD-1-52 routing-instances VRF-ep-type2-1 vrf-target target:100:1 set groups VRF-TYPE-2-BD-1-52 interfaces lo0 unit 1 family inet set apply-group VRF-TYPE-2-BD-1-52
Configure los puertos para los puntos de acceso de Mist como puertos troncales. Esto le permite admitir varios SSID y VLAN en el puerto. VLAN_1 se utiliza para enviar tráfico de administración desde los puntos de acceso de Mist a Internet. Configure VLAN_2 y VLAN_3 para conectar dispositivos cliente inalámbricos y por cable.
set routing-options static route 0.0.0.0/0 next-hop 172.31.25.2 set interfaces mge-0/0/25 mtu 9200 set interfaces mge-0/0/25 unit 0 family ethernet-switching interface-mode trunk set interfaces mge-0/0/25 unit 0 family ethernet-switching vlan members vlan_1 set poe interface mge-0/0/25 set interfaces irb mtu 9200
Configure la autenticación 802.1x para los clientes cableados.
set access profile 802.1X-PROFILE-1 accounting-order radius set access profile 802.1X-PROFILE-1 authentication-order radius set access profile 802.1X-PROFILE-1 radius authentication-server 10.204.32.234 set access profile 802.1X-PROFILE-1 radius accounting-server 10.204.32.234 set access profile 802.1X-PROFILE-1 radius options nas-identifier access-switch-2 set access profile 802.1X-PROFILE-1 accounting order radius set access profile 802.1X-PROFILE-1 accounting address-change-immediate-update set groups DOT1X protocols dot1x authenticator authentication-profile-name 802.1X-PROFILE-1 set groups DOT1X protocols dot1x authenticator no-mac-table-binding set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 authentication-order dot1x set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 authentication-order mac-radius set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 supplicant multiple set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 transmit-period 30 set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 mac-radius set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 reauthentication 3600 set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 server-timeout 30 set groups DOT1X protocols dot1x authenticator interface mge-1/0/44.0 maximum-requests 10 set apply-groups DOT1X
Si tiene conmutadores de capa de acceso adicionales en la red, repita este procedimiento de configuración para cada conmutador de acceso.
Verificación
Procedimiento
Procedimiento paso a paso
Visión general
Inicie sesión en cada dispositivo y compruebe que se ha configurado la estructura EVPN-VXLAN.
Verificación
- Distribución 1: Verificación de sesiones BGP
- Distribución 2: Verificación de sesiones BGP
- Acceso 1: Verificación de la información de la base de datos EVPN
- Acceso 1: Comprobación de la información de la tabla de conmutación local
- Acceso 2: Verificación de la información de la base de datos EVPN
- Acceso 2: Comprobación de la información de la tabla de conmutación local
Distribución 1: Verificación de sesiones BGP
Propósito
Verifique el estado de las sesiones BGP con el núcleo y los dispositivos de acceso.
Acción
Compruebe que las sesiones BGP se establecen con los dispositivos principales y los dispositivos de acceso. Las direcciones IP para los dispositivos principales son 172.16.5.1 y 172.16.6.1 y las direcciones IP para los dispositivos de acceso son 172.16.1.1 y 172.16.2.1
user@distribution-1> show bgp summary
Threading mode: BGP I/O
Groups: 3 Peers: 11 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.evpn.0
931 914 0 0 0 0
inet.0
23 14 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
172.16.1.1 100 379 318 0 0 35:40 Establ
bgp.evpn.0: 273/273/273/0
default-switch.evpn.0: 5/5/5/0
__default_evpn__.evpn.0: 0/0/0/0
VRF-ep-type5-2.evpn.0: 9/9/9/0
172.16.2.1 100 301 357 0 0 35:32 Establ
bgp.evpn.0: 624/624/624/0
default-switch.evpn.0: 5/5/5/0
__default_evpn__.evpn.0: 0/0/0/0
172.16.5.1 100 569 540 0 0 29:53 Establ
bgp.evpn.0: 17/17/17/0
default-switch.evpn.0: 14/14/14/0
__default_evpn__.evpn.0: 1/1/1/0
VRF-ep-type5-2.evpn.0: 2/2/2/0
172.16.6.1 100 476 541 0 0 30:21 Establ
bgp.evpn.0: 0/17/17/0
default-switch.evpn.0: 0/14/14/0
__default_evpn__.evpn.0: 0/1/1/0
VRF-ep-type5-2.evpn.0: 0/2/2/0
192.168.1.1 4200000001 77 75 0 0 31:51 Establ
inet.0: 2/3/3/0
192.168.2.1 4200000001 84 83 0 0 35:42 Establ
inet.0: 2/3/3/0
192.168.3.1 4200000001 85 84 0 0 35:43 Establ
inet.0: 2/3/3/0
192.168.7.1 4200000002 83 86 0 0 35:39 Establ
inet.0: 2/3/3/0
192.168.8.1 4200000002 83 86 0 0 35:35 Establ
inet.0: 2/3/3/0
192.168.11.2 4200000005 76 74 0 0 30:04 Establ
inet.0: 2/5/5/0
192.168.12.2 4200000006 72 72 0 0 30:25 Establ
Significado
BGP está activo tanto en los dispositivos de distribución como en los de núcleo. Las sesiones de IBGP se establecen con las interfaces de circuito cerrado del núcleo y los dispositivos de acceso que utilizan MP-IBGP con señalización EVPN para formar la superposición que intercambia rutas EVPN.
Distribución 2: Verificación de sesiones BGP
Propósito
Verifique el estado de las sesiones BGP con el núcleo y los dispositivos de acceso.
Acción
Compruebe que las sesiones BGP se establecen con los dispositivos principales y los dispositivos de acceso. Las direcciones IP para los dispositivos principales son 172.16.5.1 y 172.16.6.1 y las direcciones IP para los dispositivos de acceso son 172.16.1.1 y 172.16.2.1.
user@distribution-2> show bgp summary
Threading mode: BGP I/O
Groups: 3 Peers: 11 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.evpn.0
931 914 0 0 0 0
inet.0
26 14 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
172.16.1.1 100 390 321 0 0 36:52 Establ
bgp.evpn.0: 273/273/273/0
default-switch.evpn.0: 5/5/5/0
__default_evpn__.evpn.0: 0/0/0/0
VRF-ep-type5-2.evpn.0: 9/9/9/0
172.16.2.1 100 303 364 0 0 36:32 Establ
bgp.evpn.0: 624/624/624/0
default-switch.evpn.0: 5/5/5/0
__default_evpn__.evpn.0: 0/0/0/0
172.16.5.1 100 555 555 0 0 31:46 Establ
bgp.evpn.0: 17/17/17/0
default-switch.evpn.0: 14/14/14/0
__default_evpn__.evpn.0: 1/1/1/0
VRF-ep-type5-2.evpn.0: 2/2/2/0
172.16.6.1 100 555 556 0 0 31:49 Establ
bgp.evpn.0: 0/17/17/0
default-switch.evpn.0: 0/14/14/0
__default_evpn__.evpn.0: 0/1/1/0
VRF-ep-type5-2.evpn.0: 0/2/2/0
192.168.4.1 4200000001 79 77 0 0 33:22 Establ
inet.0: 2/4/4/0
192.168.5.1 4200000001 88 85 0 0 36:53 Establ
inet.0: 2/4/4/0
192.168.6.1 4200000001 87 85 0 0 36:49 Establ
inet.0: 2/4/4/0
192.168.9.1 4200000002 88 91 0 0 36:49 Establ
inet.0: 2/4/4/0
192.168.10.1 4200000002 88 89 0 0 36:45 Establ
inet.0: 2/4/4/0
192.168.13.2 4200000005 74 75 0 0 31:48 Establ
inet.0: 2/2/2/0
192.168.14.2 4200000006 76 77 0 0 31:53 Establ
inet.0: 2/4/4/0
Significado
BGP está activo tanto en los dispositivos de distribución como en los de núcleo. Las sesiones de IBGP se establecen con las interfaces de circuito cerrado del núcleo y los dispositivos de acceso mediante MP-IBGP con señalización EVPN para formar la capa superpuesta e intercambiar rutas EVPN.
Acceso 1: Verificación de la información de la base de datos EVPN
Propósito
Compruebe que la base de datos EVPN se haya rellenado correctamente.
Acción
Compruebe que la base de datos EVPN está instalando información de dirección MAC para hosts conectados localmente y recibiendo anuncios de los otros dispositivos leaf con información sobre hosts remotos.
user@access-1> show evpn database
Instance: default-switch
VLAN DomainId MAC address Active source Timestamp IP address
100001 0c:59:9c:ea:22:dc 172.16.2.1 Dec 14 01:55:44 10.0.1.242
2001:db8::10:0:1:242
fe80::e59:9c00:1ea:22dc
100001 94:bf:94:8e:9b:6d irb.1 Dec 13 04:48:00 10.0.1.241
2001:db8::10:0:1:241
fe80::96bf:9400:18e:9b6d
100001 ba:04:00:00:00:01 mge-0/0/44.0 Dec 14 20:11:42 10.0.1.1
100001 ba:04:00:00:00:02 mge-0/0/44.0 Dec 14 20:11:42 10.0.1.2
100003 94:bf:94:8e:9b:6d irb.3 Dec 13 04:48:00 10.0.3.241
2001:db8::10:0:3:241
100003 ba:04:01:00:00:01 mge-0/0/44.0 Dec 14 20:11:43 10.0.3.1
...
Acceso 1: Comprobación de la información de la tabla de conmutación local
Propósito
Compruebe que la tabla de conmutación local esté correctamente rellenada. Para este ejemplo, nos interesan los dispositivos y las rutas para VLAN_2.
Acción
Compruebe que la tabla de conmutación local está instalando información de dirección MAC para hosts conectados localmente y recibiendo anuncios de los otros dispositivos leaf con información sobre hosts remotos.
user@access-1> show ethernet-switching table vlan-name EP-VLAN-1
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 201 entries, 201 learned
Routing instance : default-switch
Vlan MAC MAC Logical SVLBNH/ Active
name address flags interface VENH Index source
EP-VLAN-1 0c:59:9c:ea:22:dc D vtep.32770 172.16.2.1
EP-VLAN-1 ba:04:00:00:00:01 D mge-0/0/44.0
EP-VLAN-1 ba:04:00:00:00:02 D mge-0/0/44.0
user@access-1> show ethernet-switching table vlan-name EP-VLAN-2
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 201 entries, 201 learned
Routing instance : default-switch
Vlan MAC MAC Logical SVLBNH/ Active
name address flags interface VENH Index source
EP-VLAN-2 0c:59:9c:ea:22:dc D vtep.32770 172.16.2.1
EP-VLAN-2 bc:04:00:00:00:01 D vtep.32770 172.16.2.1
EP-VLAN-2 bc:04:00:00:00:02 D vtep.32770 172.16.2.1
Significado
El resultado anterior confirma que la tabla de conmutación local está aprendiendo e instalando correctamente las direcciones MAC para todos los puntos finales. Muestra la relación entre las direcciones MAC, las VLAN con las que están asociadas (VLAN 1, 2 y 3) y su interfaz de salto siguiente.
Acceso 2: Verificación de la información de la base de datos EVPN
Propósito
Compruebe que la base de datos EVPN se haya rellenado correctamente.
Acción
Compruebe que la base de datos EVPN está instalando información de dirección MAC para hosts conectados localmente y recibiendo anuncios de los otros dispositivos leaf con información sobre hosts remotos.
user@access-2> show evpn database
Instance: default-switch
VLAN DomainId MAC address Active source Timestamp IP address
100002 0c:59:9c:ea:22:dc irb.2 Dec 14 09:31:03 10.0.2.242
2001:db8::10:0:2:242
100002 94:bf:94:8e:9b:6d 172.16.1.1 Dec 14 09:52:33 10.0.2.241
2001:db8::10:0:2:241
100002 bc:04:00:00:00:01 mge-0/0/44.0 Dec 15 04:12:22 10.0.2.1
100002 bc:04:00:00:00:02 mge-0/0/44.0 Dec 15 04:12:22 10.0.2.2
100004 0c:59:9c:ea:22:dc irb.4 Dec 14 09:31:03 10.0.4.242
2001:db8::10:0:4:242
100004 94:bf:94:8e:9b:6d 172.16.1.1 Dec 14 09:52:33 10.0.4.241
2001:db8::10:0:4:241
100004 bc:04:01:00:00:01 mge-0/0/44.0 Dec 15 04:12:23 10.0.4.1
100004 bc:04:01:00:00:02 mge-0/0/44.0 Dec 15 04:12:23 10.0.4.2
Acceso 2: Comprobación de la información de la tabla de conmutación local
Propósito
Compruebe que la tabla de conmutación local se ha rellenado correctamente.
Acción
Compruebe que la tabla de conmutación local está instalando información de dirección MAC para hosts conectados localmente y recibiendo anuncios de los otros dispositivos leaf con información sobre hosts remotos.
user@access-2> show ethernet-switching table vlan-name EP-VLAN-2
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static
SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 201 entries, 201 learned
Routing instance : default-switch
Vlan MAC MAC Logical SVLBNH/ Active
name address flags interface VENH Index source
EP-VLAN-2 94:bf:94:8e:9b:6d D vtep.32769 172.16.1.1
EP-VLAN-2 bc:04:00:00:00:01 D mge-0/0/44.0
EP-VLAN-2 bc:04:00:00:00:02 D mge-0/0/44.0
Significado
El resultado anterior confirma que la tabla de conmutación local está aprendiendo e instalando correctamente las direcciones MAC para todos los extremos asociados con VLAN_2. Muestra la relación entre las direcciones MAC, las VLAN a las que están asociadas y su interfaz del próximo salto.