路由设计

本文描述了在设计Aruba ESP 三层LAN拓扑和控制平面时使用的技术和设计原则,这是Aruba ESP园区路由设计的一部分。

目录

OSPF路由

Aruba ESP的最佳实践推荐使用OSPF,因为它简单且易于配置。OSPF是一种动态、链路状态和基于标准的路由协议,通常用于园区网络中。其快速收敛和优秀的可扩展性使得OSPF成为大型网络的理想选择,能够随着网络规模的增长而自适应扩展,无需重新设计。

OSPF通过定义区域来限制路由通告并实现路由汇总。在Aruba ESP园区设计中,我们对园区LAN使用单一区域。当需要连接多个园区或WAN拓扑时,我们会考虑采用多区域(Multi-area,)和骨干(backbone)设计。通常情况下,OSPF被用于在园区LAN、WAN网关或DMZ防火墙之间进行路由交换。

在ESP底层,我们建议使用OSPF点对点链接连接汇聚和核心设备。为下游主机提供3层服务的汇聚交换机接口应配置为OSPF域成员。要防止与插入2层接入端口设备形成意外邻接关系,可以将OSPF路由器设置为passive-interface default。如果一个端口预期有一个OSPF邻居,则需要禁用被动操作。

在设置接入交换机时,推荐的操作是在管理VLAN中设定IP地址,并激活该VLAN IP接口上的OSPF。同时,将/32环回接口加入到OSPF也有助于建立高可靠性的管理网络。

下图展示了三层园区局域网(LAN)的开放最短路径优先(OSPF)基本原理。

三层有线中的OSPF

IP组播

Aruba Networks的ESP利用协议无关组播-稀疏模式(PIM-SM)在网络中进行组播流量路由。实现这一功能还需要其他机制,包括:

  • 自举路由器协议(BSR)
  • 集中点(RP)
  • 组播源发现协议(MSDP)
  • 互联网组管理协议(IGMP)

在所有路由链接上,配置PIM-SM以激活网络的组播流量。PIM-SM利用基于活跃路由表的反向路径转发(RPF)来寻找通往RP或组播源的最佳路径。

在PIM组播域中的所有路由器上启用BSR协议,可动态共享RP信息。单个路由器被选为BSR后,它会向所有参与路由器公布RP信息,从而使管理员不必在每个网络路由器上配置RP地址。选出BSR后,所有具有RP候选接口的路由器都会向BSR发送候选RP IP地址。从候选列表中选出活跃RP。

RP包含PIM多播域中活跃多播源的信息,是集合点树(RPT)的根。任播网络可使多个RP同时处于活跃状态,以实现冗余和流量优化。配置核心交换机,将任播环回IP地址宣布为候选RP,由BSR选择。

MSDP通过在RP之间共享组播源信息,确保全套任播RP都知道PIM组播域中的所有组播源,从而促进active-active RP任播冗余。园区核心交换机已启用MSDP。

我们还在汇聚层交换机的3层接口及其下游客户端上启用了IGMP。如果无线网关或其他2层设备直接连接到核心交换机,那么我们会在面向这些设备的3层接口上启用IGMP。同时,在接入层交换机上也启用了IGMP snooping。

所有网络上的交换机(包括其他厂商的)必须具有匹配的IGMP定时器。

叠加网络

叠加网络提供了一种灵活部署拓扑结构的机制,以适应不断变化的端点和应用需求。它将用户数据流量及其相关策略与网络物理拓扑完全解耦,使得可以按需部署2层或3层服务。此外,叠加简化了在整个网络中传输设备或用户角色信息的过程,并无需所有路径中的设备都理解或管理这些角色。叠加网络是建立在由物理基础设施组成的底层网络之上的虚拟网络,而底层则设计为稳定、可扩展且预测性强。像GRE和IPSEC这样的技术已经被用于创建园区和WAN空间内的叠加很多年了。目前,Virtual Extensible LAN (VXLAN) 是创建园区分布式叠加网络的一个选项。

Aruba 提供选择集中式叠加或分布式叠加来满足各种流量工程和策略执行要求。“User Based Tunneling”是一种集中式叠加架构,在网关设备上提供简化操作和高级安全特性。“EVPN-VXLAN”是一种分布式叠加架构,允许在园区内任何地方建立交换机之间动态隧道,并提供连贯的策略执行。这两种叠加模型都支持“无色端口(Colorless Ports)”特性,使得自动化客户端上线和接入控制变得简单易操作。

集中式叠加概述(Centralized Overlay)

基于用户的隧道(UBT)是一种集中式的网络叠加技术,它允许管理员将特定用户的流量引导至网关集群。这样可以利用防火墙、深度包检查、应用程序可见性和带宽控制等服务来执行策略。UBT能够根据用户或设备的角色有选择地进行流量隧道化。与每个客户端相关联的策略通常由RADIUS服务器(例如ClearPass Policy Manager)分配。

分布式叠加概述(Distributed Overlay)

分布式叠加是园区网络设计的进一步发展,它基于高可用性底层并利用EVPN-VXLAN构建。同时,它与全局角色为基础的微段划分策略相结合,贯穿整个网络基础设施。这种以角色为基础的策略将策略从底层网络中抽象出来,使得定义和执行策略更加灵活简单。通过完全自动化叠加实现这一点,并提供了一个统一管理视窗。

通过在网络中为各种设备分配角色,创建一个分布式fabric。下表详细解释了每个角色的功能。

  • 路由反射器 (RR) - 核心交换机被设置为BGP路由反射器(RR角色)以共享EVPN的可达信息,从而减少fabric中需要的对等会话数量。
  • Stub - 无线汇聚交换机被设置为stub角色,以便将策略执行扩展到只支持静态VXLAN隧道的无线网关。该汇聚交换机会将来自园区fabric VXLAN隧道的GPID值转发至其与网关之间配置的静态VXLAN隧道中。
  • Border - 互联网边缘交换机使用Border角色来提供fabric内部和外部服务之间的连接。
  • Edge - Edge角色被应用于接入交换机,它们主要提供VXLAN隧道的进出口,并在数据流量进入或离开fabric时执行策略。
  • 中间设备(Intermediate Devices) - 未分配fabric角色的底层有线汇聚交换机,它们不运行VTEP但是必须支持巨型(jumbo)帧。

分布式叠加

在Aruba ESP园区,利用EVPN-VXLAN构建分布式叠加网络。这套协议形成了一个动态的网络fabric,能够将二层连接性扩展至现有的物理网络和三层底层之上。它是一套开放标准的工具集,旨在创建更灵活、安全且可扩展的园区和数据中心网络。EVPN-VXLAN包括:

  • Ethernet VPN (EVPN) 是一种由BGP驱动的叠加控制平面,它在IP或MPLS网络上提供不同2层/3层域之间的虚拟连接。
  • 虚拟可扩展局域网 (VXLAN),是一种常见的网络虚拟化隧道协议,它将2层广播域的数量从使用传统VLAN可用的4000个扩展到1600万个。

Aruba ESP通过使用冗余的三层链接在IP底层实现EVPN-VXLAN叠加,以提高速度灵活性和最大化带宽利用率。

Distributed Overlay

EVPN-VXLAN的优点

  • 在多样化的园区拓扑中实现统一的桥接和路由:

    • 在3层边界上实现高效的2层扩展。
    • 任播网关确保了整个园区一致的首跳(first-hop)路由服务。
  • 使用VXLAN-基于组的策略(VXLAN-GBP)进行端到端分段,可以在园区的任何地方传播策略。
  • 支持巨帧的任何IP网络都可以传输VXLAN,但VXLAN只能在fabric的边缘设备上部署。

EVPN-VXLAN 控制平面

在Aruba ESP中,EVPN-VXLAN的控制平面采用多协议BGP(MP-BGP),通过传递MAC地址、MAC/IP绑定和IP前缀来保证跨fabric端点的可达性。这种方式比数据平面上效率较低的泛洪学习通信以及具有固有扩展限制的集中式控制平面更优越。

通过在虚拟隧道端点(VTEP)间使用带EVPN地址族的MP-BGP提供了一种基于标准且高度可扩展的控制平面,用以共享端点可达性信息,并原生支持多租户。多年来服务提供商已经利用MP-BGP在大规模上安全地提供2层和3层VPN服务。采用路由反射器的iBGP设计简化了架构,避免了需要在所有包含VTEP的交换机之间进行完全网状BGP对等连接。只需在VTEP终结交换机(如接入、stub和服务汇聚)与核心之间建立BGP对等连接即可。

BGP控制平面构造包括:

  • 地址族(AF) - MP-BGP通过将它们分类为地址族(IPv4,IPv6,L3VPN等)来实现多种地址类型的网络可达性信息交换。2层VPN地址族(AFI=25)和EVPN子地址族(SAFI=70)在MP-BGP speaker之间广播IP和MAC地址信息。EVPN地址族包含了建立VTEP之间VXLAN隧道的可达性信息。
  • 路由区分符 (RD) - 路由区分符使MP-BGP能在同一地址族中传递重叠的第三层和第二层地址,其方法是在原始地址前添加一个唯一值。RD仅是一个无固定含义的数字属性,它并不会将地址与路由或桥接表关联起来。通过确保两个不同VRF对相同地址范围的路由声明可以在同一MP-BGP地址族中进行广播,RD值支持了多租户性。
  • 路由目标 (RT) - 路由目标是MP-BGP的扩展,它将地址与路由或桥接表进行关联。在EVPN-VXLAN网络中,通过将公共VRF的路由目标导入和导出到MP-BGP EVPN地址族,实现了跨多个VTEP定义的VRF之间的三层可达性。通过在L2 VNI定义中导入和导出公共路由目标,二层可达性可以在分布式的L2 VNI集合中实现共享。此外,还可以使用IPv4地址族来泄露三层路径,方法是将其他VRF导出的路由目标导入一个VRF。
  • 路由反射器 (RR) - 为了优化在VTEP之间共享可达性信息的过程,核心层使用路由反射器可以简化iBGP对等连接。这种设计使所有VTEP具有相同的iBGP对等配置,从而消除了需要完全网状的iBGP邻居的需求。

Aruba ESP园区设计采用两个通过三层连接的核心交换机作为iBGP路由反射器。请注意,目标前缀和叠加网络数量会消耗以转发表形式存在的物理资源,因此在设计网络时应考虑这一因素。有关扩展fabric底层设计的硬件指南,请参阅”参考架构”部分。

VXLAN 网络模型

VXLAN将二层以太网帧封装在三层UDP数据包中,为连接的端点提供了同时具备二层和三层的虚拟化网络服务。处理VXLAN隧道起始或终止的交换机内部功能被称为VTEP。在一个VXLAN叠加拓扑中,类似于传统的VLAN ID,我们使用VXLAN网络标识符(VNI)来标记独立的二层段。对称集成路由和桥接(IRB)使得叠加网络能够支持连续的二层转发和跨Leaf节点的三级路由。

在Fabric的所有底层连接上配置巨型帧,以确保额外封装内容的准确传输。

VXLAN网络主要包含两个重要的虚拟网络元素:二层VNI和三层VNI。以下是对二层VNI、三层VNI以及VRF之间关系的描述:

  • L2VNI与VLAN相似,其在AOS-CX中的配置方式也与VLAN一样。它主要用于在不同的VTEP端点之间桥接二层流量。
  • L3VNI与VRF相似,它在各个VTEP之间的L2VNI子网进行路由。
    • 在单个VRF中可以存在多个L2VNI。

VXLAN封装

叠加网络通过使用虚拟可扩展局域网(VXLAN)隧道来提供连接到园区端点的2层和3层虚拟化网络服务。这些隧道利用VXLAN网络标识符(VNI)将流量与相应的2层 VLAN 或 3层路由表关联,使得接收VTEP能够正确转发封装帧。此外,对称集成路由和桥接(IRB)功能让叠加网络能支持跨Leaf节点的连续2层转发和3层路由。

VTEP将帧封装在以下的头部中:

  • IP头部:IP地址在头部可以是传输网络中的VTEP或VXLAN组播组。源和目标之间的中间设备会根据这个外部IP头部来转发VXLAN数据包。

  • VXLAN的UDP头部:默认的VXLAN目标UDP端口号是4789。

  • VXLAN头部:封装帧的VXLAN信息。

    • 8位VXLAN标志:第一位表示是否在数据包上设置了GBP ID,第五位表示VNI是否有效。所有其他位都保留并设置为“0”。
    • 16位VXLAN组策略ID:组ID用于识别对隧道流量执行的策略。
    • 24位VXLAN网络标识符:指定封装帧的虚拟网络标识符(VNI)。
    • 24位保留字段

    vxlan_packet_header

返回顶部

© Copyright 2024 Hewlett Packard Enterprise Development LP. The information contained herein is subject to change without notice. The only warranties for Hewlett Packard Enterprise products and services are set forth in the express warranty statements accompanying such products and services. Nothing herein should be construed as constituting an additional warranty. Hewlett Packard Enterprise shall not be liable for technical or editorial errors or omissions contained herein. Aruba Networks and the Aruba logo are registered trademarks of Aruba Networks, Inc. Third-party trademarks mentioned are the property of their respective owners. To view the end-user software agreement, go to Aruba EULA.