叠加网络
多个叠加网络可以建立在底层网络之上。每个叠加网络作为一个独立的虚拟路由转发(VRF)存在,具有独特的3层虚拟网络标识符(VNI)、路由目标和路由区分符。各个叠加网络可以使用底层网络中的部分或全部交换机。
NetConductor提供了fabric叠加网络工作流,自动化构建叠加网络,包括从干线交换机到无线网关的静态VXLAN隧道。DHCP中继在向导中为每个叠加网络自动配置。
在fabric内,向导在所有交换机上配置iBGP EVPN,利用路由反射器减少网络中所需的BGP对等连接数量。向导还根据需要在所有fabric设备之间配置VXLAN隧道。
每个叠加网络必须在每个fabric交换机上创建一个专用的VRF,并使用专用的回环接口用于DHCP中继和EVPN-VXLAN控制平面消息。在每个叠加网络内,可以创建多个2层和3层网络段,以有效地在fabric内选定的交换机上扩展子网。
2层段
当子网的网关必须存在于fabric之外的设备上,例如第三方路由器或防火墙时,应规划2层段。流向同一子网中其他端点的流量保持在fabric内,但目的地为互联网或其他内部子网的流量则从边界交换机退出fabric,前往具有网关的设备,该设备随后处理所需的路由或过滤决策。
3层段
对于3层段,在fabric中的某些或所有边缘或stub交换机上创建一个分布式Anycast网关,具有共同的网关IP和MAC地址。目标在源子网之外的流量在源交换机上进行路由。结合基于角色的策略,这实现了去中心化的路由和策略执行,从而可以提高网络性能并降低成本。
叠加网络 (VRFs)
虚拟路由与转发(VRF)允许多个路由表实例在同一交换机硬件中共存。部署可以使用VRF来完全隔离和保护IT、OT、访客及其他设备等段,同时为每个VRF提供所需的服务。在fabric内传输的流量采用VXLAN封装,携带VNI信息,以确保在站点内所有启用fabric的交换机之间保持分段。
外部连接性
连接到叠加网络(VRF)的客户端需要能够访问企业服务,例如数据中心、现有网络、防火墙、WAN和SD-WAN网络。某些叠加网络,例如访客(VRF),可能仅需访问有限的服务(DHCP、DNS、NAC)以便为客户端和互联网提供接入。建筑管理系统叠加网络(VRF)可能仅需访问数据中心中托管的特定服务器和共享服务,并且必须经过防火墙检查。部署可能需要防火墙托管网关(SVI),并要求fabric在网络中构建2层扩展VLAN。
在边界设备与上游外部设备之间配置的外部连接提供了一种将园区fabric连接到网络其余部分的方法。外部设备可以是路由器、交换机、防火墙、SD-WAN、WAN或具备Metro功能的网络设备。根据上游外部设备的能力,可以通过以下任一方法实现连接,并必须使用Aruba Central MultiEdit工具进行配置。
与外部设备的3层连接,使用OSPF或MP-BGP:
使用子接口或VLAN与trunk/MLAG链接建立可达性。
如果上游外部设备不支持VRF,则在边界的每个叠加网络(VRF)与配置为单一路由实例的外部设备之间建立路由邻接关系。
如果上游外部设备支持VRF,则从边界的每个叠加网络(VRF)扩展VRF分段到外部设备,并与每个VRF建立路由邻接关系。
使用MP-BGP进行外部连接的部署,建议在边界和外部设备之间部署eBGP会话,以避免路由环路。
使用OSPF进行外部连接的部署,在边界设备上进行BGP与OSPF之间的重分发。
与外部设备的3层连接,使用BGP EVPN VXLAN:
配置点对点底层可达性,通过回环建立与外部设备的BGP EVPN VXLAN邻接关系。
Aruba EdgeConnect SD-WAN从9.4.1+版本开始支持BGP EVPN VXLAN,允许在园区fabric与SD-WAN fabric之间原生扩展叠加网络(VRF)并在数据平面中使用Aruba用户角色。
默认情况下,园区fabric中的BGP EVPN使用主机路由跟踪客户端连接的边缘设备。当将园区fabric BGP EVPN路由重分发到外部域时,建议在边界设备上应用路由映射(出方向),仅通告前缀条目。在外部设备上,配置VRF间泄漏,使用路由映射过滤,仅允许每个叠加网络(VRF)所需的前缀共享到园区fabric。
如果外部设备是防火墙,管理员可以在每个叠加网络(VRF)上启用有状态检查,并启用带选择性路由过滤的VRF间泄漏,仅将所需前缀通告给园区fabric。
- 与外部设备的2层连接:
- 配置Trunk或多机箱LAG连接到托管园区fabric中2层段网关的外部网络。
- 在边界和外部设备上启用生成树,以确保网络稳定性。
2层或3层外部连接配置必须在边界和外部设备上使用Aruba Central MultiEdit工具进行预配置。