VxLAN ፋብሪካ. ክፍል 3

ሰላም ሀብር ተከታታይ መጣጥፎችን እየጨረስኩ ነው ፣ ለኮርሱ ማስጀመሪያ የተሰጠ "የአውታረ መረብ መሐንዲስ" በ OTUSበጨርቁ ውስጥ ለማዘዋወር እና ፋየርዎልን በመጠቀም የውስጥ አገልግሎቶችን ለመገደብ VxLAN EVPN ቴክኖሎጂን በመጠቀም

የተከታታዩ የቀድሞ ክፍሎች በሚከተለው ሊንክ ይገኛሉ።

• የዑደቱ 1 ክፍል - በአገልጋዮች መካከል የ L2 ግንኙነት
• የተከታታዩ ክፍል 2 - በቪኤንአይ መካከል መሄጃ
• የተከታታዩ ክፍል 2.5 - ቲዎሬቲካል ዲግሬሽን

ዛሬ በVxLAN ጨርቅ ውስጥ ያለውን የማዞሪያ አመክንዮ ማጥናታችንን እንቀጥላለን። ባለፈው ክፍል፣ የውስጠ-ጨርቅ ማዘዋወርን በአንድ VRF ውስጥ ተመልክተናል። ሆኖም በኔትወርኩ ውስጥ እጅግ በጣም ብዙ የደንበኛ አገልግሎቶች ሊኖሩ ይችላሉ፣ እና ሁሉም በመካከላቸው ያለውን ተደራሽነት ለመለየት ወደተለያዩ ቪአርኤፍዎች መሰራጨት አለባቸው። ከአውታረ መረብ መለያየት በተጨማሪ አንድ ንግድ በእነዚህ አገልግሎቶች መካከል ያለውን ተደራሽነት ለመገደብ ፋየርዎልን ማገናኘት ሊያስፈልገው ይችላል። አዎን, ይህ በጣም ጥሩው መፍትሄ ተብሎ ሊጠራ አይችልም, ነገር ግን ዘመናዊ እውነታዎች "ዘመናዊ መፍትሄዎች" ያስፈልጋቸዋል.

በVRFs መካከል ለማስኬድ ሁለት አማራጮችን እንመልከት፡-

1. ከ VxLAN ጨርቅ ሳይወጡ ማዞር;
2. በውጫዊ መሳሪያዎች ላይ ማዞር.

በVRFs መካከል ባለው የማዞሪያ አመክንዮ እንጀምር። የተወሰነ ቁጥር ያላቸው ቪአርኤፍዎች አሉ። በVRF ዎች መካከል ለመዘዋወር በኔትወርኩ ውስጥ ስለ ሁሉም ቪአርኤፍ የሚያውቅ መሳሪያ መምረጥ አለቦት (ወይም በመካከላቸው ማዘዋወር እንደሚያስፈልግ) የሚያውቅ መሳሪያ መምረጥ አለቦት።እንዲህ አይነት መሳሪያ ለምሳሌ ከሌፍ መቀየሪያዎች አንዱ (ወይም ሁሉንም በአንድ ጊዜ) ሊሆን ይችላል። . ይህ ቶፖሎጂ ይህን ይመስላል።

የዚህ ቶፖሎጂ ጉዳቶች ምንድናቸው?

ልክ ነው፣ እያንዳንዱ ቅጠል በኔትወርኩ ላይ ስላሉት ቪአርኤፍ (እና በውስጣቸው ስላሉት ሁሉም መረጃዎች) ማወቅ አለበት፣ ይህም ወደ ማህደረ ትውስታ መጥፋት እና የአውታረ መረብ ጭነት መጨመር ያስከትላል። ደግሞም ፣ ብዙውን ጊዜ እያንዳንዱ ቅጠል መቀየሪያ በአውታረ መረቡ ላይ ስላለው ሁሉንም ነገር ማወቅ አያስፈልገውም።

ሆኖም ፣ ይህንን ዘዴ በበለጠ ዝርዝር እንመልከት ፣ ምክንያቱም ለአነስተኛ አውታረ መረቦች ይህ አማራጭ በጣም ተስማሚ ነው (ምንም ልዩ የንግድ መስፈርቶች ከሌሉ)

በዚህ ጊዜ, ከ VRF ወደ VRF መረጃን እንዴት ማስተላለፍ እንደሚቻል ጥያቄ ሊኖርዎት ይችላል, ምክንያቱም የዚህ ቴክኖሎጂ ነጥብ የመረጃ ስርጭት መገደብ አለበት.

እና መልሱ እንደ ማዘዋወር መረጃን ወደ ውጭ መላክ እና ማስመጣት ባሉ ተግባራት ላይ ነው (ይህን ቴክኖሎጂ ማዋቀር በ ውስጥ ይቆጠራል ሁለተኛው የዑደቱ ክፍሎች). ባጭሩ ልድገመው፡-

በ AF ውስጥ VRF ን ሲያቀናብሩ መግለጽ አለብዎት route-target የማስመጣት እና የወጪ ማዘዋወር መረጃ. በራስ-ሰር ሊገልጹት ይችላሉ. ከዚያ እሴቱ ከ VRF ጋር የተያያዘውን ASN BGP እና L3 VNI ያካትታል። በፋብሪካዎ ውስጥ አንድ ASN ብቻ ሲኖርዎት ይህ ምቹ ነው።

vrf context PROD20
  address-family ipv4 unicast
    route-target export auto      ! В автоматическом режиме экспортируется RT-65001:99000
    route-target import auto

ነገር ግን፣ ከአንድ በላይ ASN ካለዎት እና በመካከላቸው መንገዶችን ማስተላለፍ ከፈለጉ በእጅ ማዋቀር የበለጠ ምቹ እና ሊሰፋ የሚችል አማራጭ ይሆናል። route-target. በእጅ ለማዋቀር የተሰጠው ምክር የመጀመሪያው ቁጥር ነው ፣ ለእርስዎ ምቹ የሆነውን ይጠቀሙ ፣ ለምሳሌ ፣ 9999.
ሁለተኛው ለዚያ VRF ከ VNI ጋር እኩል መሆን አለበት።

እንደሚከተለው እናዋቅረው፡-

vrf context PROD10
  address-family ipv4 unicast
    route-target export 9999:99000          
    route-target import 9999:99000
    route-target import 9999:77000         ! Пример 1 import из другого VRF
    route-target import 9999:88000         ! Пример 2 import из другого VRF

በማዞሪያ ሠንጠረዥ ውስጥ ምን እንደሚመስል

Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
    *via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN          ! префикс доступен через L3VNI 99000

በ VRFs መካከል ለመዘዋወር ሁለተኛውን አማራጭ እንመልከት - በውጫዊ መሳሪያዎች ለምሳሌ ፋየርዎል.

በውጫዊ መሣሪያ በኩል ለመስራት ብዙ አማራጮች አሉ-

1. መሣሪያው VxLAN ምን እንደሆነ ያውቃል እና ወደ የጨርቁ ክፍል መጨመር እንችላለን;
2. መሣሪያው ስለ VxLAN ምንም አያውቅም።

በመጀመሪያው አማራጭ ላይ አንቀመጥም ፣ ምክንያቱም አመክንዮው ከላይ እንደሚታየው ተመሳሳይ ስለሚሆን - ሁሉንም VRFs ወደ ፋየርዎል እናመጣለን እና በ VRFs መካከል መሄጃን እናዋቅራለን።

ሁለተኛውን አማራጭ እናስብ፣ የኛ ፋየርዎል ስለ VxLAN ምንም የማያውቅ ከሆነ (አሁን በእርግጥ፣ የVxLAN ድጋፍ ያላቸው መሳሪያዎች እየታዩ ነው። ለምሳሌ፣ Checkpoint በስሪት R81 ድጋፉን አስታውቋል። ስለእሱ ማንበብ ትችላላችሁ። እዚህሆኖም ግን, ይህ ሁሉ በሙከራ ደረጃ ላይ ነው እና በአሠራሩ መረጋጋት ላይ ምንም እምነት የለም).

ውጫዊ መሳሪያን በሚያገናኙበት ጊዜ የሚከተለውን ንድፍ እናገኛለን:

ከሥዕላዊ መግለጫው ላይ እንደሚታየው ከፋየርዎል ጋር ባለው በይነገጽ ላይ የጠርሙስ አንገት ይታያል. ይህ ወደፊት አውታረመረብ ለማቀድ እና የአውታረ መረብ ትራፊክን ሲያመቻች ግምት ውስጥ መግባት አለበት.

ሆኖም፣ በVRFs መካከል ወደነበረው የማዞሪያ ችግር እንመለስ። ፋየርዎልን በማከል ምክንያት፣ ፋየርዎል ስለ ሁሉም VRFs ማወቅ አለበት ወደሚል መደምደሚያ ላይ ደርሰናል። ይህንን ለማድረግ ሁሉም ቪአርኤፍዎች እንዲሁ በድንበር ቅጠሎች ላይ መዋቀር አለባቸው እና ፋየርዎል ከእያንዳንዱ ቪአርኤፍ ጋር ከተለየ ማገናኛ ጋር መገናኘት አለበት።

በዚህ ምክንያት ከፋየርዎል ጋር ያለው እቅድ፡-

ማለትም በፋየርዎል ላይ በአውታረ መረቡ ላይ ለሚገኝ እያንዳንዱ VRF አንድ በይነገጽ ማዋቀር ያስፈልግዎታል። በአጠቃላይ አመክንዮው የተወሳሰበ አይመስልም እና እዚህ የማልወደው ብቸኛው ነገር በፋየርዎል ላይ ብዙ ቁጥር ያላቸው በይነገጾች ናቸው, ግን እዚህ ስለ አውቶማቲክ ማሰብ ጊዜው ነው.

ጥሩ። ፋየርዎልን አገናኘን እና ወደ ሁሉም VRF ጨምረነዋል። ግን እንዴት አሁን ከእያንዳንዱ ቅጠል ትራፊክ በዚህ ፋየርዎል ውስጥ እንዲያልፍ ማስገደድ እንችላለን?

ከፋየርዎል ጋር በተገናኘ ቅጠል ላይ፣ ሁሉም መንገዶች አካባቢያዊ ስለሆኑ ምንም ችግር አይፈጠርም።

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.254.13.55, [1/0], 6w5d, static       ! маршрут по-умолчанию через Firewall

ሆኖም፣ ስለ ሩቅ ቅጠሎችስ? ነባሪውን ውጫዊ መንገድ እንዴት ማለፍ እንደሚቻል?

ልክ ነው፣ በ EVPN መንገድ-አይነት 5 በኩል፣ ልክ እንደ ማንኛውም በVxLAN ጨርቅ ላይ ያለ ቅድመ ቅጥያ። ሆኖም፣ ይህ በጣም ቀላል አይደለም (ስለ Cisco እየተነጋገርን ከሆነ፣ ከሌሎች ሻጮች ጋር ስላላጣራሁ)

ነባሪው መንገድ ፋየርዎል ከተገናኘበት ቅጠል ማስታወቂያ መሆን አለበት። ነገር ግን, መንገዱን ለማስተላለፍ, ቅጠል እራሱን ማወቅ አለበት. እና እዚህ አንድ ችግር ተፈጠረ (ምናልባት ለኔ ብቻ) መንገዱ እንደዚህ አይነት መንገድ ለማስተዋወቅ በሚፈልጉበት በ VRF ውስጥ በስታቲስቲክስ መመዝገብ አለበት፡

vrf context PROD10
    ip route 0.0.0.0/0 10.254.13.55

በመቀጠል፣ በBGP ውቅር ውስጥ፣ ይህንን መንገድ በ AF IPv4 ውስጥ ያዘጋጁ፡-

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0

ሆኖም፣ ያ ብቻ አይደለም። በዚህ መንገድ ነባሪው መንገድ በቤተሰብ ውስጥ አይካተትም። l2vpn evpn. ከዚህ በተጨማሪ, እንደገና ማከፋፈሉን ማዋቀር ያስፈልግዎታል:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0
            redistribute static route-map COMMON_OUT

የትኛዎቹ ቅድመ ቅጥያዎች እንደገና በማሰራጨት ወደ BGP እንደሚገቡ እንጠቁማለን።

route-map COMMON_OUT permit 10
  match ip address prefix-list COMMON_OUT

ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0

አሁን ቅድመ ቅጥያ 0.0.0.0/0 ወደ EVPN መስመር ዓይነት 5 ይወድቃል እና ወደ ቀሪው ቅጠል ይተላለፋል፡

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
    ! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен Firewall

በBGP ሠንጠረዥ ውስጥ እንዲሁ በ5 በኩል ካለው ነባሪ መንገድ ጋር የሚመጣውን መንገድ-አይነት 10.255.1.5 መመልከት እንችላለን፡-

* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
                      10.255.1.5                        100          0 i
*>i                   10.255.1.5                        100          0 i

ይህ ለኢቪፒኤን የተሰጡ ተከታታይ መጣጥፎችን ያጠናቅቃል። ለወደፊቱ ፣ ይህ ዘዴ የበለጠ ሊሰፋ የሚችል ነው ተብሎ ስለሚታሰብ (በአሁኑ ጊዜ አወዛጋቢ መግለጫ) የ VxLAN አሰራርን ከ Multicast ጋር ለማገናዘብ እሞክራለሁ ።

አሁንም በርዕሱ ላይ ጥያቄዎች/አስተያየቶች ካሉዎት የ EVPNን ማንኛውንም ተግባር ግምት ውስጥ ያስገቡ - ይፃፉ ፣ የበለጠ እንመለከታለን።

ምንጭ: hab.com