示例:将QFX5110交换机配置为 EVPN-VXLAN集中路由桥接叠加中的第 3 层VXLAN网关
以太网 VPN (EVPN) 是一种控制平面技术,允许将主机(物理 [裸机] 服务器和虚拟机 [VM])放置在网络中的任何位置,并保持连接到同一逻辑第 2 层叠加网络。虚拟可扩展 LAN (VXLAN) 是一种隧道协议,用于为第 2 层叠加网络创建数据平面。
通常部署 EVPN-VXLAN 的物理下层网络是两层 IP 交换矩阵,包括脊叶式设备,如图 1 所示。在底板网络中,主干设备在叶设备之间提供连接,而叶设备则提供与虚拟化服务器上所连接物理服务器和虚拟机的连接。
在 EVPN-VXLAN 集中路由桥接叠加(采用两层 IP 交换矩阵的 EVPN-VXLAN 拓扑)中,叶设备作为处理 VLAN 内流量的 2 层 VXLAN 网关,而主干设备则作为第 3 层 VXLAN 网关工作,使用集成路由和桥接 (IRB) 接口处理 VLAN 之间的流量。
Junos OS 17.3R1 之前,QFX5110 交换机仅能作为集中路由桥接叠加中的第 2 层 VXLAN 网关工作,所有网关均部署在数据中心内。从Junos OS版本17.3R1,QFX5110交换机还可在集中路由桥接叠加VXLAN第 3 层网关。
本主题提供可作为主干设备或 3 层QFX5110集中路由桥接叠加中第 3 层VXLAN交换机的配置示例。此示例演示如何使用 IRB 接口和默认网关VXLAN第 3 层网关。
要求
此示例具有以下硬件和软件组件:
两QFX5110交换机,用作主干设备(主干 1 和主干 2)。这些设备可提供第 3 层VXLAN网关功能。
注意:此示例重点关注用作主干 1 的QFX5110交换机的配置。对于主干 1,为 IP/BGP层网络、EVPN-VXLAN 叠加网络、客户特定配置文件和路由泄漏提供了基本配置。此示例不包含可在 EVPN-VXLAN中使用的所有功能。主干 1 的配置本质上用作主干 2 配置的模板。对于主干 2 的配置,可根据需要将主干 1 特定信息替换为特定于主干 2 的信息,添加其他命令,等等。
两QFX5200交换机,用作叶设备(叶 1 和叶 2)。这些设备提供第 2 层VXLAN网关功能。
Junos OS交换机17.3R1交换机上运行的QFX5110或QFX5200软件版本。
VLAN v100 中的物理服务器,以及安装在 VLAN v200 中的虚拟机的物理服务器和虚拟化服务器。
概述和拓扑
在此例中,服务提供商支持具有多个站点 ABC Corporation。站点 100 中的物理服务器必须与站点 200 中的物理服务器和虚拟机通信。要启用此通信,在图 2中所示的集中路由桥接叠加中,在用作第 3 层 VXLAN 网关的 QFX5110 VXLAN 交换机或主干设备上,配置表 1中所示的关键软件实体。
实体 |
主干 1 和主干 2 上的配置 |
---|---|
Vlan |
v100 v200 |
VRF 实例 |
vrf_vlan100 vrf_vlan200 |
IRB 接口 |
IRB.100 10.3.3.2/24(IRB IP 地址) 10.3.3.254(虚拟网关地址) |
IRB.200 10.4.4.4/24(IRB IP 地址) 10.4.4.254(虚拟网关地址) |
如表 1中概述,在两个主干设备上,您可为站点 100 配置 VLAN v100,为站点 200 配置 VLAN v200。要隔离与 VLAN v100 和 v200 关联的第 3 层路由,您可以在两个主干设备上创建 VPN 路由和转发 (VRF) 实例vrf_vlan100 vrf_vlan200实例。要两个 VRB 之间路由流量,您可以在两个主干设备上配置 IRB 接口 IRB.100 和 IRB.200,并将 VRF 路由实例 vrf_vlan100 与 IRB 接口 IRB.100 和 VRF 路由实例 vrf_vlan200 与 IRB 接口 IRB.200 进行关联。
QFX5110交换机不支持使用唯一的交换器配置 IRB MAC 地址。
V100 和 v200 中的物理服务器非虚拟化。因此,强烈建议您将 IRB 接口 IRB.100 和 IRB.200 配置为处理物理服务器 VLAN 间流量的默认第 3 层网关。为此,每个 IRB 接口的配置还包括一个虚拟网关地址 (VGA),用于将每个 IRB 接口配置为默认网关。此外,此示例假设每个物理服务器配置为使用特定的默认网关。有关默认网关的常规信息以及 VLAN 间流量在物理服务器之间如何流向集中路由桥接叠加中不同 VLAN 中的另一物理服务器或 VM 的常规信息,请参阅 使用默认第 3 层网关在 EVPN-VXLAN叠加网络中路由流量。
为 IRB 接口配置 VGA 时,请记住 IRB IP 地址和 VGA 必须不同。
如果运行 Junos OS 版本 17.3R1 或更高版本的软件的 QFX5110 交换机同时在 EVPN-VXLAN 拓扑中同时用作第 3 层 VXLAN 网关和动态主机配置协议 (DHCP) 中继,则 IP 地址的 DHCP 服务器响应时间可能为几分钟。如果 DHCP 客户端在 QFX5110 交换机上配置的 EVPN-VXLAN IRB 接口上接收 IP 地址,并且 DHCP 客户端与 IP 地址之间的绑定不会删除,则响应时间可能很长。
如表 1 所示,每个 VLAN 都配置了单独的 VRF 路由实例。为了在 V100 和 v200 中的主机之间启用通信,此示例展示如何从路由实例的路由表中导出单播路由 vrf_vlan100 以及如何将路由导入路由表中vrf_vlan200反之亦然。此功能也称为 路由泄漏。
基本基础网络配置
CLI快速配置
要快速配置基本基础网络,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配您的网络配置,然后将命令复制并粘贴到 层次结构级别的 CLI 中。 [edit]
set interfaces et-0/0/0 unit 0 family inet address 10.1.1.1/24 set interfaces et-0/0/1 unit 0 family inet address 10.2.2.1/24 set routing-options router-id 10.2.3.11 set routing-options autonomous-system 64500 set protocols bgp group pe neighbor 10.2.3.12 set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface et-0/0/0.0 set protocols ospf area 0.0.0.0 interface et-0/0/1.0
配置基本基础网络
逐步过程
要配置主干上的基本基础网络 1:
配置连接到叶设备的接口。
[edit interfaces] user@switch# set et-0/0/0 unit 0 family inet address 10.1.1.1/24 user@switch# set et-0/0/1 unit 0 family inet address 10.2.2.1/24
配置主干 1 的路由器 ID 和自治系统编号。
[edit routing-options] user@switch# set router-id 10.2.3.11 user@switch# set autonomous-system 64500
将一个BGP组,其中包含主干 2 作为同时处理下层功能的对等方。
[edit protocols] user@switch# set bgp group pe neighbor 10.2.3.12
将OSPF配置为下层网络的路由协议。
[edit protocols] user@switch# set ospf area 0.0.0.0 interface lo0.0 passive user@switch# set ospf area 0.0.0.0 interface et-0/0/0.0 user@switch# set ospf area 0.0.0.0 interface et-0/0/1.0
基本的 EVPN-VXLAN叠加网络配置
CLI快速配置
要快速配置基本叠加网络,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,然后将命令复制并粘贴到 层次结构级别的 CLI 中。 [edit]
set forwarding-options vxlan-routing interface-num 8192 set forwarding-options vxlan-routing next-hop 16384 set protocols bgp group pe type internal set protocols bgp group pe local-address 10.2.3.11 set protocols bgp group pe family evpn signaling set protocols evpn encapsulation vxlan set protocols evpn extended-vni-list all set protocols evpn default-gateway no-gateway-community set switch-options route-distinguisher 10.2.3.11:1 set switch-options vrf-target target:1111:11 set switch-options vtep-source-interface lo0.0
配置基本的 EVPN-VXLAN叠加网络
逐步过程
要配置主干上的基本 EVPN-VXLAN叠加网络 1:
增加交换机分配给 EVPN-QFX5110叠加网络中使用的物理接口和VXLAN跃点。
[edit forwarding-options] set vxlan-routing interface-num 8192 set vxlan-routing next-hop 16384
在主干 1 和已连接的叶设备之间配置 IBGP 叠加,为主干 1 指定本地 IP 地址,以及将 EVPN 信令 网络层 可达性信息 (NLRI) 包括BGP组。
[edit protocols] user@switch# set bgp group pe type internal user@switch# set bgp group pe local-address 10.2.3.11 user@switch# set bgp group pe family evpn signaling
为 EVPN 邻VXLAN之间交换的数据包配置封装,并指定所有 VXLAN 网络标识符 (VNIS) 都是虚拟路由和转发 (VRF) 实例的一部分。此外,请MAC 地址 IRB 接口的路由和MAC 地址默认网关的路由通告至第 2 层 VXLAN 网关,而不带默认网关的扩展社区选项。
[edit protocols] user@switch# set evpn encapsulation vxlan user@switch# set evpn extended-vni-list all user@switch# set evpn default-gateway no-gateway-community
配置交换机选项,为 VRF 路由实例设置路由识别名和 VRF 目标,并将接口 lo0 与虚拟隧道端点 (VTEP)。
[edit switch-options] user@switch# set route-distinguisher 10.2.3.11:1 user@switch# set vrf-target target:1111:11 user@switch# set vtep-source-interface lo0.0
基本客户配置文件配置
CLI快速配置
要快速配置 ABC Corporation 站点 100 和 200 的基本客户配置文件,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,然后将命令复制并粘贴到 层次结构级别的 CLI 中。 [edit]
set interfaces xe-0/0/32:1 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/32:1 unit 0 family ethernet-switching vlan members v100 set interfaces xe-0/0/32:1 unit 0 family ethernet-switching vlan members v200 set interfaces irb unit 100 family inet address 10.3.3.2/24 virtual-gateway-address 10.3.3.254 set interfaces irb unit 100 proxy-macip-advertisement set interfaces irb unit 200 family inet address 10.4.4.4/24 virtual-gateway-address 10.4.4.254 set interfaces irb unit 200 proxy-macip-advertisement set interfaces lo0 unit 0 family inet address 10.2.3.11/32 primary set interfaces lo0 unit 1 family inet address 10.2.3.24/32 primary set interfaces lo0 unit 2 family inet address 10.2.3.25/32 primary set routing-instances vrf_vlan100 instance-type vrf set routing-instances vrf_vlan100 interface irb.100 set routing-instances vrf_vlan100 interface lo0.1 set routing-instances vrf_vlan100 route-distinguisher 10.2.3.11:2 set routing-instances vrf_vlan100 vrf-import import-inet set routing-instances vrf_vlan100 vrf-export export-inet1 set routing-instances vrf_vlan200 instance-type vrf set routing-instances vrf_vlan200 interface irb.200 set routing-instances vrf_vlan200 interface lo0.2 set routing-instances vrf_vlan200 route-distinguisher 10.2.3.11:3 set routing-instances vrf_vlan200 vrf-import import-inet set routing-instances vrf_vlan200 vrf-export export-inet2 set vlans v100 vlan-id 100 set vlans v100 l3-interface irb.100 set vlans v100 vxlan vni 100 set vlans v200 vlan-id 200 set vlans v200 l3-interface irb.200 set vlans v200 vxlan vni 200
配置基本客户配置文件
逐步过程
要配置 ABC Corporation 在主干 1 上的站点 100 和 200 的基本客户配置文件:
配置第 2 层接口,将接口指定为 V100 和 v200 的成员。
[edit interfaces] user@switch# set xe-0/0/32:1 unit 0 family ethernet-switching interface-mode trunk user@switch# set xe-0/0/32:1 unit 0 family ethernet-switching vlan members v100 user@switch# set xe-0/0/32:1 unit 0 family ethernet-switching vlan members v200
创建 IRB 接口,将接口配置为充当默认第 3 层虚拟网关,将流量从 VLAN v100 中的物理服务器路由至 VLAN v200 中的物理服务器和 VM,反之亦然。此外,在 IRB 接口上,VXLAN第 3 层网关可代表第 2 层网关播发 MAC+IP 2 类VXLAN。
[edit interfaces] user@switch# set irb unit 100 family inet address 10.3.3.2/24 virtual-gateway-address 10.3.3.254 user@switch# set irb unit 100 proxy-macip-advertisement user@switch# set irb unit 200 family inet address 10.4.4.4/24 virtual-gateway-address 10.4.4.254 user@switch# set irb unit 200 proxy-macip-advertisement
注意:QFX5110交换机不支持配置具有唯一接口的 IRB MAC 地址。
注意:为 IRB 接口配置 VGA 时,请记住 VGA 和 IRB IP 地址必须不同。
为主干 1 配置环路接口 (lo0),并为每个 VRF 路由实例配置逻辑环路地址 x (lo0)。
[edit interfaces] user@switch# set lo0 unit 0 family inet address 10.2.3.11/32 primary user@switch# set lo0 unit 1 family inet address 10.2.3.24/32 primary user@switch# set lo0 unit 2 family inet address 10.2.3.25/32 primary
配置 VRF v100 和 v200 的 VRF 路由实例。在每个路由实例中,将 IRB 接口、回环接口和连接到路由的标识符进行关联。另请指定每个路由实例将其叠加路由导出到其他路由实例的 VRF 表中,然后从 VRF 表中将其他路由实例的叠加路由导入其 VRF 表中。
[edit routing-instances] user@switch# set vrf_vlan100 instance-type vrf user@switch# set vrf_vlan100 interface irb.100 user@switch# set vrf_vlan100 interface lo0.1 user@switch# set vrf_vlan100 route-distinguisher 10.2.3.11:2 user@switch# set vrf_vlan100 vrf-import import-inet user@switch# set vrf_vlan100 vrf-export export-inet1 user@switch# set vrf_vlan200 instance-type vrf user@switch# set vrf_vlan200 interface irb.200 user@switch# set vrf_vlan200 interface lo0.2 user@switch# set vrf_vlan200 route-distinguisher 10.2.3.11:3 user@switch# set vrf_vlan200 vrf-import import-inet user@switch# set vrf_vlan200 vrf-export export-inet2
配置 VLAN v100 和 v200,并将 IRB 接口和 VNI 与每个 VLAN 进行关联。
[edit vlans] user@switch# set v100 vlan-id 100 user@switch# set v100 l3-interface irb.100 user@switch# set v100 vxlan vni 100 user@switch# set v200 vlan-id 200 user@switch# set v200 l3-interface irb.200 user@switch# set v200 vxlan vni 200
路由泄漏配置
程序
CLI快速配置
要快速配置路由泄漏,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,然后将命令复制并粘贴到 层次结构级别的 CLI 中。 [edit]
set policy-options policy-statement export-inet1 term 1 from interface irb.100 set policy-options policy-statement export-inet1 term 1 then community add com200 set policy-options policy-statement export-inet1 term 1 then accept set policy-options policy-statement export-inet2 term 1 from interface irb.200 set policy-options policy-statement export-inet2 term 1 then community add com100 set policy-options policy-statement export-inet2 term 1 then accept set policy-options policy-statement import-inet term 1 from community com100 set policy-options policy-statement import-inet term 1 from community com200 set policy-options policy-statement import-inet term 1 then accept set policy-options community com100 members target:1:100 set policy-options community com200 members target:1:200 set routing-instances vrf_vlan100 vrf-import import-inet set routing-instances vrf_vlan100 vrf-export export-inet1 set routing-instances vrf_vlan100 routing-options auto-export family inet unicast set routing-instances vrf_vlan200 vrf-import import-inet set routing-instances vrf_vlan200 vrf-export export-inet2 set routing-instances vrf_vlan200 routing-options auto-export family inet unicast
逐步过程
要配置主干上的路由泄漏 1:
配置路由策略,指定通过 IRB 接口 IRB.100 学习的路由将导出,然后导入路由表中vrf_vlan200。配置另一个路由策略,指定通过 IRB 接口 IRB.200 学习的路由将导出,然后导入路由表中vrf_vlan100。
[edit policy-options] user@switch# set policy-statement export-inet1 term 1 from interface irb.100 user@switch# set policy-statement export-inet1 term 1 then community add com200 user@switch# set policy-statement export-inet1 term 1 then accept user@switch# set policy-statement export-inet2 term 1 from interface irb.200 user@switch# set policy-statement export-inet2 term 1 then community add com100 user@switch# set policy-statement export-inet2 term 1 then accept user@switch# set policy-statement import-inet term 1 from community com100 user@switch# set policy-statement import-inet term 1 from community com200 user@switch# set policy-statement import-inet term 1 then accept user@switch# set community com100 members target:1:100 user@switch# set community com200 members target:1:200
在 VRF v100 和 v200 的 VRF 路由实例中。应用在步骤 1 中配置的路由策略。
[edit routing-instances] user@switch# set vrf_vlan100 vrf-import import-inet user@switch# set vrf_vlan100 vrf-export export-inet1 user@switch# set vrf_vlan200 vrf-import import-inet user@switch# set vrf_vlan200 vrf-export export-inet2
指定单播路由从路由表vrf_vlan100导出到vrf_vlan200路由表中,反之亦然。
[edit routing-instances] user@switch# set vrf_vlan100 routing-options auto-export family inet unicast user@switch# set vrf_vlan200 routing-options auto-export family inet unicast