VxLAN zavodu. 3-ci hissə

Salam, Habr. Bir sıra məqalələri bitirirəm, kursunun başlanmasına həsr olunub "Şəbəkə mühəndisi" OTUS tərəfindən, parça daxilində marşrutlaşdırma üçün VxLAN EVPN texnologiyasından istifadə etmək və daxili xidmətlər arasında girişi məhdudlaşdırmaq üçün Firewall-dan istifadə etmək

Serialın əvvəlki hissələri ilə aşağıdakı linklərdən tanış olmaq olar:

• Dövrün 1 hissəsi - serverlər arasında L2 əlaqə
• Seriyanın 2-ci hissəsi - VNI-lər arasında marşrutlaşdırma
• Seriyanın 2.5-ci hissəsi - Nəzəri təxribat

Bu gün biz VxLAN toxuması daxilində marşrutlaşdırma məntiqini öyrənməyə davam edəcəyik. Əvvəlki hissədə biz tək VRF daxilində parçadaxili marşrutlaşdırmaya baxdıq. Bununla belə, şəbəkədə çoxlu sayda müştəri xidmətləri ola bilər və onlar arasında girişi fərqləndirmək üçün onların hamısı müxtəlif VRF-lərə paylanmalıdır. Şəbəkənin ayrılmasına əlavə olaraq, biznes bu xidmətlər arasında girişi məhdudlaşdırmaq üçün Firewall-a qoşulmalı ola bilər. Bəli, bunu ən yaxşı həll adlandırmaq olmaz, lakin müasir reallıqlar “müasir həllər” tələb edir.

VRF-lər arasında marşrutlaşdırma üçün iki variantı nəzərdən keçirək:

1. VxLAN quruluşunu tərk etmədən marşrutlaşdırma;
2. Xarici avadanlıqda marşrutlaşdırma.

VRF-lər arasında marşrutlaşdırma məntiqindən başlayaq. Müəyyən sayda VRF var. VRF-lər arasında marşrutlaşdırmaq üçün siz şəbəkədə bütün VRF-lər (və ya marşrutlaşdırma tələb olunan hissələr) haqqında məlumatlı olan cihaz seçməlisiniz.Belə bir cihaz, məsələn, Leaf açarlarından biri (və ya hamısı birdən) ola bilər. . Bu topologiya belə görünəcək:

Bu topologiyanın çatışmazlıqları nələrdir?

Düzdür, hər bir Leaf şəbəkədəki bütün VRF-lər (və onlarda olan bütün məlumatlar) haqqında bilməlidir ki, bu da yaddaş itkisinə və şəbəkə yükünün artmasına səbəb olur. Axı, tez-tez hər bir Leaf keçidinin şəbəkədəki hər şey haqqında bilməsi lazım deyil.

Bununla birlikdə, bu üsulu daha ətraflı nəzərdən keçirək, çünki kiçik şəbəkələr üçün bu seçim olduqca uyğundur (xüsusi iş tələbləri olmadıqda)

Bu zaman sizdə məlumatın VRF-dən VRF-yə necə ötürülməsi ilə bağlı sual yarana bilər, çünki bu texnologiyanın məqsədi məhz məlumatın yayılmasının məhdudlaşdırılmasıdır.

Cavab isə marşrutlaşdırma məlumatlarının ixracı və idxalı kimi funksiyalardadır (bu texnologiyanın qurulmasına baxılmışdır ikinci dövrünün hissələri). Qısaca təkrar edim:

AF-də VRF-ni təyin edərkən, müəyyən etməlisiniz route-target idxal və ixrac marşrutu məlumatları üçün. Siz onu avtomatik olaraq təyin edə bilərsiniz. Sonra dəyərə VRF ilə əlaqəli ASN BGP və L3 VNI daxil olacaq. Bu, fabrikinizdə yalnız bir ASN olduqda rahatdır:

vrf context PROD20
  address-family ipv4 unicast
    route-target export auto      ! В автоматическом режиме экспортируется RT-65001:99000
    route-target import auto

Bununla belə, birdən çox ASN-niz varsa və onlar arasında marşrutları köçürməlisinizsə, o zaman əl ilə konfiqurasiya daha rahat və genişləndirilə bilən seçim olacaqdır. route-target. Əl ilə quraşdırma üçün tövsiyə ilk nömrədir, sizin üçün əlverişli olanı istifadə edin, məsələn, 9999.
İkincisi həmin VRF üçün VNI-yə bərabər olaraq təyin edilməlidir.

Onu aşağıdakı kimi konfiqurasiya edək:

vrf context PROD10
  address-family ipv4 unicast
    route-target export 9999:99000          
    route-target import 9999:99000
    route-target import 9999:77000         ! Пример 1 import из другого VRF
    route-target import 9999:88000         ! Пример 2 import из другого VRF

Marşrutlaşdırma cədvəlində nə kimi görünür:

Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
    *via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN          ! префикс доступен через L3VNI 99000

VRF-lər arasında marşrutlaşdırmanın ikinci variantını nəzərdən keçirək - xarici avadanlıq vasitəsilə, məsələn, Firewall.

Xarici cihaz vasitəsilə işləmək üçün bir neçə variant var:

1. Cihaz VxLAN-ın nə olduğunu bilir və biz onu parçanın bir hissəsinə əlavə edə bilərik;
2. Cihaz VxLAN haqqında heç nə bilmir.

Birinci seçim üzərində dayanmayacağıq, çünki məntiq yuxarıda göstərildiyi kimi demək olar ki, eyni olacaq - biz bütün VRF-ləri Firewall-a gətiririk və onun üzərindəki VRF-lər arasında marşrutlaşdırmanı konfiqurasiya edirik.

İkinci variantı nəzərdən keçirək, o zaman ki, Firewall VxLAN haqqında heç nə bilmir (indi, əlbəttə ki, VxLAN dəstəyi ilə avadanlıq peyda olur. Məsələn, Checkpoint R81 versiyasında dəstəyini elan etdi. Bu barədə oxuya bilərsiniz. burada, lakin bunların hamısı sınaq mərhələsindədir və əməliyyatın sabitliyinə inam yoxdur).

Xarici cihazı birləşdirərkən aşağıdakı diaqramı alırıq:

Diaqramdan göründüyü kimi, Firewall ilə interfeysdə bir darboğaz görünür. Bu, gələcəkdə şəbəkəni planlaşdırarkən və şəbəkə trafikini optimallaşdırarkən nəzərə alınmalıdır.

Bununla belə, VRF-lər arasında marşrutlaşdırmanın orijinal probleminə qayıdaq. Firewall-un əlavə edilməsi nəticəsində belə nəticəyə gəlirik ki, Firewall bütün VRF-lər haqqında bilməlidir. Bunun üçün bütün VRF-lər həm də Leafs sərhədində konfiqurasiya edilməlidir və Firewall hər bir VRF-yə ayrıca keçidlə qoşulmalıdır.

Nəticədə, Firewall ilə sxem:

Yəni, Firewall-da şəbəkədə yerləşən hər bir VRF üçün interfeys konfiqurasiya etməlisiniz. Ümumiyyətlə, məntiq mürəkkəb görünmür və burada bəyənmədiyim yeganə şey Firewall-da çox sayda interfeysdir, amma burada avtomatlaşdırma haqqında düşünməyin vaxtı gəldi.

Yaxşı. Biz Firewall-u birləşdirdik və onu bütün VRF-lərə əlavə etdik. Bəs indi hər bir Yarpaqdan gələn trafiki bu Firewalldan keçməyə necə məcbur edə bilərik?

Firewall-a qoşulmuş Leaf-da heç bir problem yaranmayacaq, çünki bütün marşrutlar yerlidir:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.254.13.55, [1/0], 6w5d, static       ! маршрут по-умолчанию через Firewall

Ancaq uzaq yarpaqlar haqqında nə demək olar? Onlara standart xarici marşrutu necə ötürmək olar?

Düzdür, VxLAN üzərindəki hər hansı digər prefiks kimi EVPN marşrut tipli 5 vasitəsilə. Bununla belə, bu o qədər də sadə deyil (əgər biz Cisco-dan danışırıqsa, çünki digər satıcılarla yoxlamamışam)

Standart marşrut Firewall-un qoşulduğu Yarpaqdan elan edilməlidir. Ancaq marşrutu ötürmək üçün Leaf özü bunu bilməlidir. Və burada müəyyən bir problem yaranır (bəlkə də yalnız mənim üçün), marşrut belə bir marşrutu reklam etmək istədiyiniz VRF-də statik olaraq qeydiyyata alınmalıdır:

vrf context PROD10
    ip route 0.0.0.0/0 10.254.13.55

Sonra, BGP konfiqurasiyasında bu marşrutu AF IPv4-də təyin edin:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0

Lakin, bu, hamısı deyil. Bu yolla defolt marşrut ailəyə daxil edilməyəcək l2vpn evpn. Bundan əlavə, yenidən bölüşdürməni konfiqurasiya etməlisiniz:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0
            redistribute static route-map COMMON_OUT

Yenidən bölüşdürmə yolu ilə hansı prefikslərin BGP-yə daxil olacağını göstəririk

route-map COMMON_OUT permit 10
  match ip address prefix-list COMMON_OUT

ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0

İndi prefiks 0.0.0.0/0 EVPN marşrut tipi 5-ə düşür və Leaf-ın qalan hissəsinə ötürülür:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
    ! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен Firewall

BGP cədvəlində biz 5 vasitəsilə defolt marşrutla nəticələnən marşrut-tip 10.255.1.5-i də müşahidə edə bilərik:

* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
                      10.255.1.5                        100          0 i
*>i                   10.255.1.5                        100          0 i

Bununla EVPN-ə həsr olunmuş məqalələr silsiləsi yekunlaşır. Gələcəkdə VxLAN-ın Multicast ilə birlikdə işləməsini nəzərdən keçirməyə çalışacağam, çünki bu üsul daha genişlənən hesab olunur (hazırda mübahisəli bir bəyanat)

Mövzu ilə bağlı hələ də sualınız/təklifiniz varsa, EVPN-in hər hansı funksionallığını nəzərdən keçirin - yazın, biz bunu daha da nəzərdən keçirəcəyik.

Mənbə: www.habr.com