Hello, Habr. Gitapos ko ang serye sa mga artikulo, gipahinungod sa paglusad sa kurso pinaagi sa OTUS, gamit ang VxLAN EVPN nga teknolohiya para sa pagruta sulod sa panapton ug paggamit sa Firewall aron pugngan ang pag-access tali sa internal nga mga serbisyo
Ang nangaging mga bahin sa serye makita sa mosunod nga mga link:
Karon kita magpadayon sa pagtuon sa routing logic sulod sa VxLAN nga panapton. Sa miaging bahin, among gitan-aw ang intra-fabric routing sulod sa usa ka VRF. Bisan pa, mahimoβg adunay daghang mga serbisyo sa kliyente sa network, ug silang tanan kinahanglan ipang-apod-apod sa lainlaing mga VRF aron magkalainlain ang pag-access sa taliwala nila. Dugang sa pagbulag sa network, ang usa ka negosyo mahimong kinahanglan nga magkonektar sa usa ka Firewall aron mapugngan ang pag-access tali sa kini nga mga serbisyo. Oo, dili kini matawag nga pinakamaayo nga solusyon, apan ang modernong mga kamatuoran nagkinahanglan og "modernong mga solusyon".
Atong tagdon ang duha ka mga kapilian sa pagruta tali sa mga VRF:
- Pag-ruta nga dili biyaan ang panapton nga VxLAN;
- Pag-ruta sa gawas nga kagamitan.
Magsugod kita sa lohika sa pag-ruta tali sa mga VRF. Adunay usa ka piho nga gidaghanon sa mga VRF. Aron makaruta tali sa mga VRF, kinahanglan ka nga magpili usa ka aparato sa network nga mahibal-an ang bahin sa tanan nga mga VRF (o mga bahin kung diin kinahanglan ang pagruta). . Kini nga topology mahimong tan-awon sama niini:
Unsa ang mga disadvantages niini nga topology?
Husto kana, kinahanglan mahibal-an sa matag Leaf ang bahin sa tanan nga mga VRF (ug ang tanan nga kasayuran nga naa niini) sa network, nga nagdala sa pagkawala sa panumduman ug pagtaas sa load sa network. Pagkahuman, kasagaran ang matag switch sa Leaf dili kinahanglan mahibal-an bahin sa tanan nga naa sa network.
Bisan pa, atong tagdon ang kini nga pamaagi sa mas detalyado, tungod kay alang sa gagmay nga mga network kini nga kapilian angayan (kung walaβy piho nga mga kinahanglanon sa negosyo)
Niini nga punto, mahimo kang adunay pangutana kon unsaon pagbalhin sa impormasyon gikan sa VRF ngadto sa VRF, tungod kay ang punto niini nga teknolohiya mao nga ang pagsabwag sa impormasyon kinahanglan nga limitado.
Ug ang tubag anaa sa mga gimbuhaton sama sa pag-eksport ug pag-import sa impormasyon sa ruta (ang pag-set up niini nga teknolohiya gikonsiderar sa bahin sa siklo). Usbon nako sa makadiyot:
Kung nagbutang sa VRF sa AF, kinahanglan nimo nga itakda route-target alang sa import ug export routing impormasyon. Mahimo nimo kini ipiho nga awtomatiko. Dayon ang bili maglakip sa ASN BGP ug L3 VNI nga nalangkit sa VRF. Kombenyente kini kung adunay usa ra ka ASN sa imong pabrika:
vrf context PROD20
address-family ipv4 unicast
route-target export auto ! Π Π°Π²ΡΠΎΠΌΠ°ΡΠΈΡΠ΅ΡΠΊΠΎΠΌ ΡΠ΅ΠΆΠΈΠΌΠ΅ ΡΠΊΡΠΏΠΎΡΡΠΈΡΡΠ΅ΡΡΡ RT-65001:99000
route-target import autoBisan pa, kung adunay ka labaw sa usa ka ASN ug kinahanglan nga ibalhin ang mga ruta sa taliwala nila, nan ang manual nga pag-configure mahimong labi ka kombenyente ug mabag-o nga kapilian. route-target. Ang rekomendasyon alang sa manual setup mao ang una nga numero, gamita ang usa nga kombenyente alang kanimo, pananglitan, 9999.
Ang ikaduha kinahanglan nga ibutang nga katumbas sa VNI alang sa VRF.
Atong i-configure kini sama sa mosunod:
vrf context PROD10
address-family ipv4 unicast
route-target export 9999:99000
route-target import 9999:99000
route-target import 9999:77000 ! ΠΡΠΈΠΌΠ΅Ρ 1 import ΠΈΠ· Π΄ΡΡΠ³ΠΎΠ³ΠΎ VRF
route-target import 9999:88000 ! ΠΡΠΈΠΌΠ΅Ρ 2 import ΠΈΠ· Π΄ΡΡΠ³ΠΎΠ³ΠΎ VRFUnsa ang hitsura sa routing table:
Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
*via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN ! ΠΏΡΠ΅ΡΠΈΠΊΡ Π΄ΠΎΡΡΡΠΏΠ΅Π½ ΡΠ΅ΡΠ΅Π· L3VNI 99000Atong tagdon ang ikaduha nga kapilian alang sa pag-ruta tali sa mga VRF - pinaagi sa gawas nga kagamitan, pananglitan sa Firewall.
Adunay daghang mga kapilian sa pagtrabaho pinaagi sa usa ka eksternal nga aparato:
- Nahibal-an sa aparato kung unsa ang VxLAN ug mahimo naton kini idugang sa bahin sa panapton;
- Walaβy nahibal-an ang aparato bahin sa VxLAN.
Dili kami magpuyo sa una nga kapilian, tungod kay ang lohika hapit parehas sa gipakita sa ibabaw - among gidala ang tanan nga mga VRF sa Firewall ug gi-configure ang ruta sa taliwala sa mga VRF niini.
Atong tagdon ang ikaduha nga kapilian, kung ang atong Firewall walay nahibal-an bahin sa VxLAN (karon, siyempre, ang mga kagamitan nga adunay suporta sa VxLAN nagpakita. Pananglitan, gipahibalo sa Checkpoint ang suporta niini sa bersyon nga R81. Mahimo nimong basahon ang bahin niini. , bisan pa, kini tanan sa yugto sa pagsulay ug walaβy pagsalig sa kalig-on sa operasyon).
Kung nagkonektar sa usa ka eksternal nga aparato, makuha namon ang mosunod nga diagram:
Sama sa imong makita gikan sa diagram, usa ka bottleneck ang makita sa interface sa Firewall. Kinahanglan kini nga tagdon sa umaabot kung magplano sa network ug pag-optimize sa trapiko sa network.
Bisan pa, mobalik kita sa orihinal nga problema sa pag-ruta tali sa mga VRF. Ingon usa ka sangputanan sa pagdugang sa Firewall, nakahinapos kami nga kinahanglan mahibal-an sa Firewall ang bahin sa tanan nga mga VRF. Aron mahimo kini, ang tanan nga mga VRF kinahanglan usab nga ma-configure sa mga dahon sa utlanan, ug ang Firewall kinahanglan nga konektado sa matag VRF nga adunay lahi nga link.
Ingon usa ka sangputanan, ang laraw nga adunay Firewall:
Kana mao, sa Firewall kinahanglan nimo nga i-configure ang usa ka interface sa matag VRF nga nahimutang sa network. Sa kinatibuk-an, ang lohika dili tan-awon nga komplikado ug ang bugtong butang nga dili nako gusto dinhi mao ang dako nga gidaghanon sa mga interface sa Firewall, apan ania na ang panahon sa paghunahuna mahitungod sa automation.
Maayo. Gikonektar namo ang Firewall ug gidugang kini sa tanang VRF. Apan unsaon man nato karon pagpugos ang trapiko gikan sa matag Dahon nga moagi niining Firewall?
Sa Leaf nga konektado sa Firewall, walaβy mga problema nga motumaw, tungod kay ang tanan nga mga ruta lokal:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.254.13.55, [1/0], 6w5d, static ! ΠΌΠ°ΡΡΡΡΡ ΠΏΠΎ-ΡΠΌΠΎΠ»ΡΠ°Π½ΠΈΡ ΡΠ΅ΡΠ΅Π· FirewallApan, komosta ang hilit nga mga Dahon? Giunsa nila pagpasa ang default nga ruta sa gawas?
Husto kana, pinaagi sa EVPN route-type 5, sama sa bisan unsang prefix sa VxLAN nga panapton. Bisan pa, dili kini yano (kung naghisgot kami bahin sa Cisco, tungod kay wala pa nako gisusi sa ubang mga tigbaligya)
Ang default nga ruta kinahanglan nga i-advertise gikan sa Leaf diin ang Firewall konektado. Bisan pa, aron mapasa ang ruta, kinahanglan mahibal-an mismo ni Leaf. Ug dinhi mitungha ang usa ka problema (tingali alang lamang kanako), ang ruta kinahanglan nga narehistro nga static sa VRF diin gusto nimo i-anunsyo ang ingon nga ruta:
vrf context PROD10
ip route 0.0.0.0/0 10.254.13.55Sunod, sa configuration sa BGP, ibutang kini nga ruta sa AF IPv4:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0Apan, dili lang kana. Niining paagiha ang default nga ruta dili maapil sa pamilya l2vpn evpn. Dugang pa niini, kinahanglan nimo nga i-configure ang pag-apod-apod:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0
redistribute static route-map COMMON_OUTGipakita namo kung unsang mga prefix ang makasulod sa BGP pinaagi sa pag-apod-apod
route-map COMMON_OUT permit 10
match ip address prefix-list COMMON_OUT
ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0Karon ang prefix 0.0.0.0/0 nahulog sa EVPN route-type 5 ug gipasa sa nahabilin nga Leaf:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
! 10.255.1.5 - ΠΠΈΡΡΡΠ°Π»ΡΠ½ΡΠΉ Π°Π΄ΡΠ΅Ρ Leaf(ΡΠ°ΠΊ ΠΊΠ°ΠΊ Leaf Π²ΡΡΡΡΠΏΠ°ΡΡ Π² ΠΊΠ°ΡΠ΅ΡΡΠ²Π΅ VPΠ‘ ΠΏΠ°ΡΡ), ΠΊ ΠΊΠΎΡΠΎΡΠΎΠΌΡ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ FirewallSa lamesa sa BGP mahimo usab natong obserbahan ang resulta nga ruta-type 5 nga adunay default nga ruta pinaagi sa 10.255.1.5:
* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
10.255.1.5 100 0 i
*>i 10.255.1.5 100 0 iGitapos niini ang serye sa mga artikulo nga gipahinungod sa EVPN. Sa umaabot, sulayan nako nga tagdon ang operasyon sa VxLAN inubanan sa Multicast, tungod kay kini nga pamaagi gikonsiderar nga labi ka scalable (sa pagkakaron usa ka kontrobersyal nga pahayag)
Kung aduna ka pa'y mga pangutana / sugyot sa hilisgutan, hunahunaa ang bisan unsang pag-andar sa EVPN - pagsulat, tagdon pa namon kini.
Source: www.habr.com