接入与服务汇聚配置
接入汇聚层为二层接入交换机提供默认网关服务,并将较低速率接入端口的带宽整合到高速上行链路以连接核心。服务汇聚层提供类似网关、策略服务器以及广域网或互联网网关的功能。
目录
配置汇聚交换机组
以下流程描述了在 CLI 格式下创建汇聚交换机配置的方法。交换机配置可以在文本编辑器中离线创建,然后复制到 MultiEdit,或者直接在 Central 的 UI 组中在 MultiEdit 中输入。当同步到 Central 时,组内的交换机将接收配置。
下图显示了 ESP 园区中的接入汇聚和服务汇聚交换机。
有线汇聚
为组启用 MultiEdit
交换机的基础配置之前已在本指南的 Switch Group Configuration 部分中描述。以下流程使用 Aruba Central 的 MultiEdit 工具完成交换机配置,该工具是内置于 Central 的 CLI 配置编辑器。
登录 HPE Greenlake 并导航到 Aruba Central。
在筛选下拉菜单中,选择一个汇聚交换机 组 名称。在左侧菜单中,选择 设备。
在 交换机 页面右上角,选择 配置。
在 交换机 页面左上角,将滑块向右移动以启用 MultiEdit。
选择要编辑的设备。在右下角窗口中,点击 编辑配置。
以下步骤提供了一段配置,可以粘贴到 MultiEdit 窗口中。粘贴配置块后,右键点击任何设备特定的值。右侧会出现一个 修改参数 窗口,允许输入各个设备的值。
配置 OSPF 和多播路由
在以下步骤中,配置 OSPF 路由以在点对点 IP 链路上进行对等,使用 /31 子网中的接口地址。然后,在相同的链路上启用 PIM-稀疏模式,以确保来自核心的多播流可以流向接入 VLAN。
下图可作为已实现配置的参考点。
OSPF 拓扑
交换机配置在输入时会自动格式化。将 CLI 粘贴在配置的开头、结尾或任何新行上。
使用区域 0 配置全局 OSPF 路由实例,并启用 passive-interface 默认,以避免不必要的 OSPF 邻接。使用预分配的环回 IP 地址作为路由器 ID。
router ospf 1 area 0 passive-interface default router-id 10.0.3.1在为机箱交换机配置创建模板时,启用优雅重启。
graceful-restart restart-interval 30配置全局多播路由实例。
router pim enable active-active创建 Loopback 0 接口并使用预分配的 IP 地址。该地址应与用作 OSPF 路由器ID的地址匹配。在区域 0 中启用 OSPF,并在接口上启用 PIM 稀疏模式。
interface loopback 0 ip address 10.0.3.1/32 ip ospf 1 area 0 ip pim-sparse enable在物理接口上配置 OSPF 和 PIM-SM。配置较大的 IP MTU,关闭被动模式,关联上述的 OSPF 路由器实例,并在接口上启用 PIM 稀疏模式。
interface 1/1/1 description AG1_TO_CORE no shutdown ip mtu 9198 ip address 172.18.103.0/31 no ip ospf passive ip ospf network point-to-point ip ospf 1 area 0 ip pim-sparse enable对每个连接在汇聚交换机和核心交换机之间的接口重复上一步骤。
示例:汇聚 1 交换机
AG1 IP 地址 子网 源设备 对端设备 172.18.103.0 172.18.103.0/31 AG1-SW1 核心 1 172.18.103.4 172.18.103.4/31 AG1-SW2 核心 1 172.18.103.2 172.18.103.2/31 AG1-SW1 核心层 2 172.18.103.6 172.18.103.6/31 AG1-SW2 核心 2 示例:汇聚 2 交换机
AG2 IP 地址 子网 源设备 对端设备 172.18.102.0 172.18.102.0/31 AG2-SW1 核心 1 172.18.102.4 172.18.102.4/31 AG2-SW2 核心 1 172.18.102.2 172.18.102.2/31 AG2-SW1 核心 2 172.18.102.6 172.18.102.6/31 AG2-SW2 核心 2 示例:服务汇聚交换机
服务汇聚 IP 地址 子网 源设备 对端设备 172.18.106.0 172.18.106.0/31 S2-1 核心 1 172.18.106.4 172.18.106.4/31 S2-2 核心 1 172.18.106.2 172.18.106.2/31 S2-2 核心 2 172.18.106.6 172.18.106.6/31 S2-1 核心 2 在 MultiEdit 窗口的右下角,点击 保存。
当 配置状态 对已修改设备返回到 “同步” 状态后,从右上角选择 列表。
### 验证 OSPF 运行
Central 提供远程控制台功能,允许对任何管理的交换机进行 CLI 访问。在本指南的验证步骤中使用此功能运行 CLI show 命令。
在左侧菜单中,选择 工具。
在 控制台 选项卡中,分配以下设置,然后选择 创建新会话。
设备类型: 交换机
交换机: 设备名称
用户名: admin
密码: password
在 远程控制台 窗口中,输入命令
show ip ospf neighbors,然后按 ENTER。下方显示的输出表明与核心交换机的 OSPF 会话正常。
验证组播操作
在 远程控制台 窗口中,输入命令
show ip pim neighbor vrf default,然后按 ENTER。下方显示的输出表明配置的 VLAN 上正在运行组播路由。
规划 MAC 地址
在接下来的操作中,分配 VSX 系统 MAC 和活动网关 MAC 地址时,应使用本地管理地址(LAA)。LAA 是以下四种格式之一的 MAC 地址:
x2-xx-xx-xx-xx-xx
x6-xx-xx-xx-xx-xx
xA-xx-xx-xx-xx-xx
xE-xx-xx-xx-xx-xx
x 位置可以包含任何有效的十六进制值。有关 LAA 格式的更多详细信息,请参阅 IEEE tutorial guide。
确定 VSX 系统 MAC 地址。
每对 VSX 使用一个 VSX 系统 MAC 地址,用于控制平面协议,如 Spanning-Tree 和 LACP(链路聚合控制协议)。相同的 VSX MAC 地址配置在两个 VSX 成员上,并且每对必须唯一。
本指南中为 VSX 对分配的值如下:
VSX 对 VSX 系统 MAC RSVCP-CR1-AG1 02:01:00:00:01:00 RSVCP-CR1-AG2 02:01:00:00:02:00 RSVCP-CR1-AG3 02:01:00:00:03:00 RSVCP-CR1-SS2 02:01:00:00:04:00 确定活动网关 MAC 地址.
活动网关 IP 在 VSX 对的成员之间提供第 3 层网关冗余。活动网关 MAC 将虚拟 MAC 地址与活动网关 IP 相关联。每个交换机最多可以配置少量唯一的虚拟 MAC 分配。应为每个活动网关 IP 分配重复使用相同的活动网关 MAC 地址.
本指南中分配的 MAC 值如下:
VSX 对 所有子网/VLAN 上的活动网关 MAC(适用于 VSX 对) RSVCP-CR1-AG1 A2:01:00:00:00:01 RSVCP-CR1-AG2 A2:02:00:00:00:01 RSVCP-CR1-AG3 A2:03:00:00:00:01 RSVCP-CR1-SS2 A2:04:00:00:00:01
配置VSX
VSX是一种冗余协议,用于将两个AOS-CX交换机的第2层数据平面结合成一个单一的逻辑交换机结构。管理平面和控制平面功能保持独立。VSX支持在6400、8400和83xx系列交换机型号上。
应启用生成树,并让汇聚交换机作为根桥。网关和接入交换机应配置较高的桥ID,以防止其成为根桥。
使用此流程在每个交换机上配置VSX。
配置用作VSX对之间链路(ISL)的LAG接口。允许此LAG上的所有VLAN,以简化配置管理。
interface lag 256 no shutdown no routing vlan trunk native 1 vlan trunk allowed all lacp mode active配置LAG接口的端口。至少需要两个端口,最多支持八个。以下CLI示例显示接口编号。为简化复制粘贴流程,只复制接口下方的配置行,并在MultiEdit中粘贴到正确的接口下。
interface 1/1/49 description ISL_INTERFACE no shutdown lag 256 mtu 9198 interface 1/1/50 description ISL_INTERFACE no shutdown lag 256 mtu 9198使用ISL LAG接口、管理IP信息、用于保持会话的VRF、主角色或备角色以及共享系统MAC地址,启用VSX实例。为清晰起见,示例中显示了主角色和备角色。只需将配置粘贴一次到MultiEdit中,然后根据需要编辑各个交换机的值。
管理(mgmt)接口用作 VSX 的保持连接接口。确保次级交换机的 mgmt IP 接口可以从主交换机访问,反之亦然。
系统 MAC 必须在 VSX 对中的每个交换机上保持相同值,但在网络中其他位置必须唯一。
示例:主 VSX 交换机
vsx inter-switch-link lag 256 keepalive peer 172.16.108.58 source 172.16.108.56 vrf mgmt role primary system-mac 02:01:00:00:01:00示例:备用 VSX 交换机
vsx inter-switch-link lag 256 keepalive peer 172.16.108.56 source 172.16.108.58 vrf mgmt role secondary system-mac 02:01:00:00:01:00在 MultiEdit 窗口的右下角,点击 保存。
验证 VSX 配置
在远程控制台窗口中,输入命令
show vsx status,然后按回车。下方显示的输出表明 VSX 部署状态良好。
配置接入 VLAN
三层汇聚交换机是接入交换机的默认网关,并向网络的其他部分广播接口 VLAN 路由。
使用此流程配置汇聚交换机的 VLAN。
如有需要,从左侧菜单选择 设备,点击右上角的 配置,并在启用 MultiEdit 后,开始新的 配置编辑 会话。
定义接入 VLAN 编号和名称,并启用 IGMP 监听。
vlan 2 name ZTP_NATIVE ip igmp snooping enable vlan 3 name EMPLOYEE ip igmp snooping enable ... vlan 14 name CRITICAL_AUTH ip igmp snooping enable vlan 15 name MGMT ip igmp snooping enable配置 VLAN 和 IP 服务。配置较大的 IP MTU,设置 DHCP IP 助手地址,关联上述的 OSPF 路由器实例,启用 PIM-SM,并在接口上启用 IGMP。
interface vlan 2 description ZTP_NATIVE ip mtu 9198 ip address 10.2.2.2/24 ip helper-address 10.2.120.98 ip helper-address 10.2.120.99 ip ospf 1 area 0.0.0.0 ip igmp enable ip pim-sparse enableip helper-address 命令启用将端点的 DHCP 请求转发到其他子网的 DHCP 服务器。可以定义多个 DHCP 服务器。
对每个 VLAN 重复上一步。
在 MultiEdit 窗口的右下角,点击 保存。
示例:接入汇聚
VLAN 名称 VLAN ID 接入汇聚 1 接入汇聚 2 网络/子网掩码 保留的活动网关 IP 保留的活动网关 MAC 地址 ip helper 地址 ZTP_NATIVE 2 10.2.2.2 10.2.2.3 10.2.2.0/24 10.2.2.1 A2:01:00:00:00:01 10.2.120.98
10.2.120.99员工 3 10.2.3.2 10.2.3.3 10.2.3.0/24 10.2.3.1 A2:01:00:00:00:01 10.2.120.98
10.2.120.99访客 12 10.2.12.2 10.2.12.3 10.2.12.0/24 10.2.12.1 A2:01:00:00:00:01 10.2.120.98
10.2.120.99REJECT_AUTH 13 10.2.13.2 10.2.13.3 10.2.13.0/24 10.2.13.1 A2:01:00:00:00:01 10.2.120.98
10.2.120.99CRITICAL_ AUTH 14 10.2.14.2 10.2.14.3 10.2.14.0/24 10.2.14.1 A2:01:00:00:00:01 10.2.120.98
10.2.120.99管理 15 10.2.15.2 10.2.15.3 10.2.15.0/24 10.2.15.1 A2:01:00:00:00:01 10.2.120.98
10.2.120.99示例:服务汇聚 1
VLAN 名称 VLAN ID 服务汇聚 1 服务汇聚 2 网络/掩码 保留的活动网关 IP 保留的活动网关 MAC IP 助手地址 员工 103 10.6.103.2 10.6.103.3 10.6.103.0/24 10.6.103.1 A2:04:00:00:00:01 10.2.120.98
10.2.120.99访客 112 10.6.112.2 10.6.112.3 10.6.112.0/24 10.6.112.1 A2:04:00:00:00:01 10.2.120.98
10.2.120.99REJECT_AUTH 113 10.6.113.2 10.6.113.3 10.6.113.0/24 10.6.113.1 A2:04:00:00:00:01 10.2.120.98
10.2.120.99CRITICAL_ AUTH 114 10.6.114.2 10.6.114.3 10.6.114.0/24 10.6.114.1 A2:04:00:00:00:01 10.2.120.98
10.2.120.99管理 115 10.6.115.2 10.6.115.3 10.6.115.0/24 10.6.115.1 A2:04:00:00:00:01 10.2.120.98
10.2.120.99
配置 VLAN 活跃网关
活跃网关提供通过任何一个 VSX 对中的交换机拥有默认路由的能力,每个交换机使用相同的本地 MAC 地址和 IP 地址。
在每个 VLAN 上配置一个使用唯一本地 MAC 地址和 IP 地址的活跃网关。如果 VLAN 已按照上述步骤配置,则只需粘贴 活跃网关 行。
示例:主 VSX 交换机上的 VLAN 2
interface vlan 2 active-gateway ip mac a2:01:00:00:00:01 active-gateway ip 10.2.2.1 description ZTP_Native ip mtu 9198 ip address 10.2.2.2/24 ip helper-address 10.2.120.98 ip helper-address 10.2.120.99示例:备用 VSX 交换机上的 VLAN 2
interface vlan 2 active-gateway ip mac a2:01:00:00:00:01 active-gateway ip 10.2.2.1 description ZTP_Native ip mtu 9198 ip address 10.2.2.3/24 ip helper-address 10.2.120.98 ip helper-address 10.2.120.99
配置生成树
为了实现最广泛的互操作性,配置多重生成树协议(MSTP)作为环路保护协议。
全局配置生成树,并设置最高优先级以确保汇聚交换机为根桥。
spanning-tree spanning-tree priority 0MSTP 是 Aruba CX 交换机上的默认生成树协议,只需启用生成树即可选择。
配置多机箱链路聚合(MC-LAG)接口
为每个下游接入交换机配置 MC-LAG 接口,以实现对 VSX 对中的两个交换机的上行链路,而不阻塞。
启用生成树根保护和 LACP 备用,以实现接入交换机的安全 ZTP。分配一个原生 VLAN 为 2,并将之前创建的允许的接入 VLAN 进行中继。启用 LACP 活动和 LACP 备用,以便接入交换机的配置。启用 PIM-SM 路由。
interface lag 1 multi-chassis no shutdown no routing vlan trunk native 2 vlan trunk allowed 1-3,5-6,13-15 lacp mode active lacp fallback spanning-tree root-guard对每个连接的接入交换机所需的 MC-LAG 接口重复上一步。
配置 LAG 接口的端口。以下 CLI 显示示例接口编号。为简化复制粘贴流程,只复制接口下方的配置行,并在 MultiEdit 中将其粘贴到正确的接口下。
interface 1/1/1 description DOWNLINK_TO_ACCESS_SW_OR_CTRL no shutdown lag 1 mtu 9198对每个 MC-LAG 接口重复上一步。
在 MultiEdit 窗口右下角,点击 保存。
组中的设备会自动同步新配置。同步状态会在 配置状态 页面更新,点击左侧菜单的 审计跟踪 可以观察到流程步骤的执行情况。