Dia duit, abair. Tá mé i mo cheannaire cúrsa faoi láthair don chúrsa Innealtóir Líonra ag OTUS.
Ag súil le tosú ar chlárú nua don chúrsa , Tá sraith alt ullmhaithe agam ar theicneolaíocht VxLAN EVPN.
Tá méid ollmhór ábhar ann maidir le conas a oibríonn VxLAN EVPN, agus mar sin ba mhaith liom tascanna agus cleachtais éagsúla a bhailiú chun fadhbanna a réiteach i lárionad sonraí nua-aimseartha.
Sa chéad chuid den tsraith ar theicneolaíocht VxLAN EVPN, ba mhaith liom breathnú ar bhealach chun nascacht L2 a eagrú idir hóstach ar bharr fabraic líonra.
Déanfar na samplaí go léir ar Cisco Nexus 9000v, a chuirtear le chéile i dtopology Spine-Leaf. Ní fhanfaimid ar líonra Underlay a bhunú san Airteagal seo.
- Líonra underlay
- BGP peering le haghaidh seoladh-teaghlach l2vpn evpn
- Socrú NVE
- Suppress-arp
Líonra underlay
Seo a leanas an topology a úsáidtear:
Déanaimis seoltaí a shocrú ar gach gléas:
Spine-1 - 10.255.1.101
Spine-2 - 10.255.1.102
Leaf-11 - 10.255.1.11
Leaf-12 - 10.255.1.12
Leaf-21 - 10.255.1.21
Host-1 - 192.168.10.10
Host-2 - 192.168.10.20Déanaimis seiceáil go bhfuil nascacht IP idir gach feiste:
Leaf21# sh ip route
<........>
10.255.1.11/32, ubest/mbest: 2/0 ! Leaf-11 доступен чеерз два Spine
*via 10.255.1.101, Eth1/4, [110/81], 00:00:03, ospf-UNDERLAY, intra
*via 10.255.1.102, Eth1/3, [110/81], 00:00:03, ospf-UNDERLAY, intra
10.255.1.12/32, ubest/mbest: 2/0 ! Leaf-12 доступен чеерз два Spine
*via 10.255.1.101, Eth1/4, [110/81], 00:00:03, ospf-UNDERLAY, intra
*via 10.255.1.102, Eth1/3, [110/81], 00:00:03, ospf-UNDERLAY, intra
10.255.1.21/32, ubest/mbest: 2/0, attached
*via 10.255.1.22, Lo0, [0/0], 00:02:20, local
*via 10.255.1.22, Lo0, [0/0], 00:02:20, direct
10.255.1.101/32, ubest/mbest: 1/0
*via 10.255.1.101, Eth1/4, [110/41], 00:00:06, ospf-UNDERLAY, intra
10.255.1.102/32, ubest/mbest: 1/0
*via 10.255.1.102, Eth1/3, [110/41], 00:00:03, ospf-UNDERLAY, intraDéanaimis seiceáil gur cruthaíodh an fearann VPC agus gur éirigh leis an dá lasc an seiceáil comhsheasmhachta agus go bhfuil na socruithe ar an dá nód comhionann:
Leaf11# show vpc
vPC domain id : 1
Peer status : peer adjacency formed ok
vPC keep-alive status : peer is alive
Configuration consistency status : success
Per-vlan consistency status : success
Type-2 consistency status : success
vPC role : primary
Number of vPCs configured : 0
Peer Gateway : Disabled
Dual-active excluded VLANs : -
Graceful Consistency Check : Enabled
Auto-recovery status : Disabled
Delay-restore status : Timer is off.(timeout = 30s)
Delay-restore SVI status : Timer is off.(timeout = 10s)
Operational Layer3 Peer-router : Disabled
vPC status
----------------------------------------------------------------------------
Id Port Status Consistency Reason Active vlans
-- ------------ ------ ----------- ------ ---------------
5 Po5 up success success 1BGP ag breathnú
Ar deireadh, is féidir leat dul ar aghaidh go dtí an líonra Forleagan a bhunú.
Mar chuid den alt, is gá líonra a eagrú idir hóstach, mar a thaispeántar sa léaráid thíos:
Chun líonra Forleagan a chumrú, ní mór duit BGP a chumasú ar na lasca Spine and Leaf le tacaíocht don teaghlach l2vpn evpn:
feature bgp
nv overlay evpnAnsin, ní mór duit piaraí BGP idir Leaf agus Spine a chumrú. Chun socrú a shimpliú agus dáileadh na faisnéise ródaithe a bharrfheabhsú, déanaimid Spine a chumrú mar fhreastalaí Route-Reflector. Scríobhfaimid gach Leaf sa chumraíocht ag baint úsáide as teimpléid chun an socrú a bharrfheabhsú.
Mar sin tá cuma mar seo ar na socruithe ar Spine:
router bgp 65001
template peer LEAF
remote-as 65001
update-source loopback0
address-family l2vpn evpn
send-community
send-community extended
route-reflector-client
neighbor 10.255.1.11
inherit peer LEAF
neighbor 10.255.1.12
inherit peer LEAF
neighbor 10.255.1.21
inherit peer LEAFTá an chuma ar an socrú ar an lasc Leaf:
router bgp 65001
template peer SPINE
remote-as 65001
update-source loopback0
address-family l2vpn evpn
send-community
send-community extended
neighbor 10.255.1.101
inherit peer SPINE
neighbor 10.255.1.102
inherit peer SPINEAr an Spine, déanaimis seiceáil ag breathnú ar gach lasc Leaf:
Spine1# sh bgp l2vpn evpn summary
<.....>
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.255.1.11 4 65001 7 8 6 0 0 00:01:45 0
10.255.1.12 4 65001 7 7 6 0 0 00:01:16 0
10.255.1.21 4 65001 7 7 6 0 0 00:01:01 0Mar a fheiceann tú, ní raibh aon fadhbanna le BGP. Bogaimis ar aghaidh chuig VxLAN a bhunú. Ní dhéanfar tuilleadh cumraíochta ach amháin ar thaobh Leaf na lasca. Ní fheidhmíonn an spine ach mar chroílár an ghréasáin agus níl baint aige ach le trácht a tharchur. Is ar lasca Leaf amháin a tharlaíonn gach obair imchochlaithe agus cinnteoireachta cosáin.
Socrú NVE
NVE - comhéadan líonra fíorúil
Sula dtosóimid ar an socrú, tugaimid roinnt téarmaíochta isteach:
VTEP - Pointe Deiridh Tollán Beatha, an gléas ar a dtosaíonn nó a gcríochnaíonn an tollán VxLAN. Ní gá gur gléas líonra ar bith é VTEP. Is féidir le freastalaí a thacaíonn le teicneolaíocht VxLAN feidhmiú mar fhreastalaí freisin. Inár dtopology, is VTEP gach lasc Duilleog.
VNI - Innéacs Líonra Fíorúil - aitheantóir líonra laistigh de VxLAN. Is féidir analaí a tharraingt le VLAN. Mar sin féin, tá roinnt difríochtaí. Nuair a bhíonn fabraic á úsáid, ní thagann VLANanna uathúla ach laistigh de lasc Leaf amháin agus ní tharchuirtear iad ar fud an líonra. Ach is féidir uimhir VNI a bheith ag gach VLAN, a tharchuirtear thar an líonra cheana féin. Déanfar tuilleadh plé ar a chuma atá air agus conas is féidir é a úsáid.
Cuirfimid ar chumas an ghné le haghaidh teicneolaíocht VxLAN oibriú agus an cumas uimhreacha VLAN a cheangal le huimhir VNI:
feature nv overlay
feature vn-segment-vlan-basedDéanaimis an comhéadan NVE a chumrú, atá freagrach as oibriú VxLAN. Tá an comhéadan seo freagrach as frámaí a chuimsiú i gceanntásca VxLAN. Is féidir leat analaí a tharraingt le comhéadan Tollán do GRE:
interface nve1
no shutdown
host-reachability protocol bgp ! используем BGP для передачи маршрутной информации
source-interface loopback0 ! интерфейс с которого отправляем пакеты loopback0Ar an lasc Leaf-21 cruthaítear gach rud gan fadhbanna. Mar sin féin, má dhéanaimid seiceáil ar aschur an ordaithe show nve peers, ansin beidh sé folamh. Anseo ní mór duit filleadh ar chumraíocht VPC. Feicimid go n-oibríonn Leaf-11 agus Leaf-12 ina mbeirteanna agus go bhfuil siad aontaithe ag fearann VPC. Tugann sé seo an cás seo a leanas dúinn:
Seolann Host-2 fráma amháin i dtreo Leaf-21 ionas go ndéanfaidh sé é a tharchur thar an líonra i dtreo Óstach-1. Mar sin féin, feiceann Leaf-21 go bhfuil seoladh MAC Óstach-1 inrochtana trí dhá VTEP ag an am céanna. Cad ba cheart do Leaf-21 a dhéanamh sa chás seo? Tar éis an tsaoil, ciallaíonn sé seo go bhféadfadh lúb a bheith le feiceáil sa líonra.
Chun an cás seo a réiteach, ní mór dúinn Leaf-11 agus Leaf-12 gníomhú mar fheiste amháin laistigh den mhonarcha freisin. Tá an réiteach simplí go leor. Ar an gcomhéadan Loopback as a dtógfaimid an tollán, cuir seoladh tánaisteach leis. Caithfidh an seoladh tánaisteach a bheith mar an gcéanna ar an dá VTEP.
interface loopback0
ip add 10.255.1.10/32 secondaryMar sin, ó thaobh VTEPanna eile de, faigheann muid an topology seo a leanas:
Is é sin, anois tógfar an tollán idir an seoladh IP de Leaf-21 agus an IP fíorúil idir dhá Leaf-11 agus Leaf-12. Anois ní bheidh aon fadhbanna ag foghlaim seoladh MAC ó dhá ghléas agus is féidir le trácht bogadh ó VTEP amháin go ceann eile. Cinntear cé acu den dá VTEP a phróiseálfaidh an trácht ag baint úsáide as an tábla ródaithe ar an Spine:
Spine1# sh ip route
<.....>
10.255.1.10/32, ubest/mbest: 2/0
*via 10.255.1.11, Eth1/1, [110/41], 1d01h, ospf-UNDERLAY, intra
*via 10.255.1.12, Eth1/2, [110/41], 1d01h, ospf-UNDERLAY, intra
10.255.1.11/32, ubest/mbest: 1/0
*via 10.255.1.11, Eth1/1, [110/41], 1d22h, ospf-UNDERLAY, intra
10.255.1.12/32, ubest/mbest: 1/0
*via 10.255.1.12, Eth1/2, [110/41], 1d01h, ospf-UNDERLAY, intraMar a fheiceann tú thuas, tá an seoladh 10.255.1.10 ar fáil láithreach trí dhá Next-hops.
Ag an gcéim seo, táimid tar éis déileáil leis an nascacht bhunúsach. Bogaimis ar aghaidh chuig an comhéadan NVE a shocrú:
Déanaimis Vlan 10 a chumasú láithreach agus é a nascadh le VNI 10000 ar gach Leaf do na hóstach. Déanaimis tollán L2 a bhunú idir na hóstach
vlan 10 ! Включаем VLAN на всех VTEP подключенных к необходимым хостам
vn-segment 10000 ! Ассоциируем VLAN с номер VNI
interface nve1
member vni 10000 ! Добавляем VNI 10000 для работы через интерфейс NVE. для инкапсуляции в VxLAN
ingress-replication protocol bgp ! указываем, что для распространения информации о хосте используем BGPAnois seiceáilimis nve piaraí agus an tábla le haghaidh BGP EVPN:
Leaf21# sh nve peers
Interface Peer-IP State LearnType Uptime Router-Mac
--------- --------------- ----- --------- -------- -----------------
nve1 10.255.1.10 Up CP 00:00:41 n/a ! Видим что peer доступен с secondary адреса
Leaf11# sh bgp l2vpn evpn
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10.255.1.11:32777 (L2VNI 10000) ! От кого именно пришел этот l2VNI
*>l[3]:[0]:[32]:[10.255.1.10]/88 ! EVPN route-type 3 - показывает нашего соседа, который так же знает об l2VNI10000
10.255.1.10 100 32768 i
*>i[3]:[0]:[32]:[10.255.1.20]/88
10.255.1.20 100 0 i
* i 10.255.1.20 100 0 i
Route Distinguisher: 10.255.1.21:32777
* i[3]:[0]:[32]:[10.255.1.20]/88
10.255.1.20 100 0 i
*>i 10.255.1.20 100 0 iThuas ní fheicimid ach bealaí de chineál EVPN de chineál 3. Labhraíonn an cineál bealach seo faoi phiaraí (Duilleog), ach cá bhfuil ár n-óstach?
Is é an rud go ndéantar faisnéis faoi na hóstach MAC a tharchur trí chineál bealaigh 2 EVPN
Chun ár n-óstach a fheiceáil, ní mór duit cineál bealaigh 2 EVPN a chumrú:
evpn
vni 10000 l2
route-target import auto ! в рамках данной статьи используем автоматический номер для route-target
route-target export autoDéanaimis ping ó Host-2 go Host-1:
Firewall2# ping 192.168.10.1
PING 192.168.10.1 (192.168.10.1): 56 data bytes
36 bytes from 192.168.10.2: Destination Host Unreachable
Request 0 timed out
64 bytes from 192.168.10.1: icmp_seq=1 ttl=254 time=215.555 ms
64 bytes from 192.168.10.1: icmp_seq=2 ttl=254 time=38.756 ms
64 bytes from 192.168.10.1: icmp_seq=3 ttl=254 time=42.484 ms
64 bytes from 192.168.10.1: icmp_seq=4 ttl=254 time=40.983 msAgus thíos is féidir linn a fheiceáil go raibh cineál bealaigh 2 le seoladh MAC óstach le feiceáil sa tábla BGP - 5001.0007.0007 agus 5001.0008.0007
Leaf11# sh bgp l2vpn evpn
<......>
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10.255.1.11:32777 (L2VNI 10000)
*>l[2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216 ! evpn route-type 2 и mac адрес хоста 1
10.255.1.10 100 32768 i
*>i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216 ! evpn route-type 2 и mac адрес хоста 2
* i 10.255.1.20 100 0 i
*>l[3]:[0]:[32]:[10.255.1.10]/88
10.255.1.10 100 32768 i
Route Distinguisher: 10.255.1.21:32777
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216
10.255.1.20 100 0 i
*>i 10.255.1.20 100 0 iAnsin, is féidir leat faisnéis mhionsonraithe a fheiceáil ar Nuashonrú, ina bhfuair tú faisnéis faoin MAC Host. Anseo thíos níl an t-aschur ordaithe go léir.
Leaf21# sh bgp l2vpn evpn 5001.0007.0007
BGP routing table information for VRF default, address family L2VPN EVPN
Route Distinguisher: 10.255.1.11:32777 ! отправил Update с MAC Host. Не виртуальный адрес VPC, а адрес Leaf
BGP routing table entry for [2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216,
version 1507
Paths: (2 available, best #2)
Flags: (0x000202) (high32 00000000) on xmit-list, is not in l2rib/evpn, is not i
n HW
Path type: internal, path is valid, not best reason: Neighbor Address, no labe
led nexthop
AS-Path: NONE, path sourced internal to AS
10.255.1.10 (metric 81) from 10.255.1.102 (10.255.1.102) ! с кем именно строим VxLAN тоннель
Origin IGP, MED not set, localpref 100, weight 0
Received label 10000 ! Номер VNI, который ассоциирован с VLAN, в котором находится Host
Extcommunity: RT:65001:10000 SOO:10.255.1.10:0 ENCAP:8 ! Тут видно, что RT сформировался автоматически на основе номеров AS и VNI
Originator: 10.255.1.11 Cluster list: 10.255.1.102
<........>Feicfimid cén chuma atá ar fhrámaí nuair a chuirtear tríd an mhonarcha iad:
Shochtadh-ARP
Go hiontach, tá cumarsáid L2 againn anois idir na hóstach agus d'fhéadfaimis críochnú ansin. Mar sin féin, ní léir chomh simplí. Chomh fada agus nach bhfuil mórán óstach againn ní bheidh aon fhadhbanna ann. Ach samhlaímid cás ina bhfuil na céadta agus na mílte óstach againn. Cén fhadhb a d’fhéadfadh a bheith romhainn?
Is é an fhadhb seo ná trácht BUM (Craoladh, Unknown Unicast, Multicast). San Airteagal seo, déanfaimid breithniú ar an rogha chun déileáil le trácht craolta.
Is é an príomh-ghineadóir Craolacháin i líonraí Ethernet ná na hóstach iad féin tríd an bprótacal ARP.
Cuireann Nexus an mheicníocht seo a leanas i bhfeidhm chun iarratais ARP a chomhrac - suppress-arp.
Feidhmíonn an ghné seo mar seo a leanas:
- Seolann Óstach-1 iarratas APR chuig seoladh Craolacháin a líonra.
- Sroicheann an t-iarratas an lasc Leaf agus in ionad an t-iarratas seo a chur ar aghaidh níos faide ar an bhfabraic i dtreo Host-2, freagraíonn Leaf é féin agus léiríonn sé an IP agus MAC atá ag teastáil.
Mar sin, níor chuaigh an t-iarratas Craoladh chuig an mhonarcha. Ach conas is féidir leis seo oibriú mura bhfuil a fhios ag Leaf ach an seoladh MAC?
Tá gach rud simplí go leor, is féidir le cineál bealaigh EVPN 2, chomh maith leis an seoladh MAC, teaglaim MAC/IP a tharchur. Chun seo a dhéanamh, ní mór duit seoladh IP a chumrú sa VLAN ar Leaf. Éiríonn an cheist, cén IP ba cheart dom a shocrú? Ar nexus is féidir seoladh dáilte (céanna) a chruthú ar gach lasc:
feature interface-vlan
fabric forwarding anycast-gateway-mac 0001.0001.0001 ! задаем virtual mac для создания распределенного шлюза между всеми коммутаторами
interface Vlan10
no shutdown
ip address 192.168.10.254/24 ! на всех Leaf задаем одинаковый IP
fabric forwarding mode anycast-gateway ! говорим использовать Virtual macMar sin, ó thaobh na n-óstach de, beidh cuma mar seo ar an líonra:
Déanaimis seiceáil ar BGP l2route evpn
Leaf11# sh bgp l2vpn evpn
<......>
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10.255.1.11:32777 (L2VNI 10000)
*>l[2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216
10.255.1.21 100 32768 i
*>i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216
10.255.1.10 100 0 i
* i 10.255.1.10 100 0 i
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[32]:[192.168.10.20]/248
10.255.1.10 100 0 i
*>i 10.255.1.10 100 0 i
<......>
Route Distinguisher: 10.255.1.21:32777
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216
10.255.1.20 100 0 i
*>i 10.255.1.20 100 0 i
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[32]:[192.168.10.20]/248
*>i 10.255.1.20 100 0 i
<......>Ón aschur ordaithe is féidir leat a fheiceáil i gcineál bealach EVPN 2, chomh maith leis an MAC, go bhfeicimid seoladh IP an óstaigh anois freisin.
Fillfimid ar an socrú suppress-arp. Tá an socrú seo cumasaithe do gach VNI ar leithligh:
interface nve1
member vni 10000
suppress-arpAnsin tagann roinnt castachta chun cinn:
- Chun go n-oibreoidh an ghné seo, tá spás i gcuimhne TCAM ag teastáil. Seo sampla de shocruithe do shochtadh arp:
hardware access-list tcam region arp-ether 256Teastóidh leithead dúbailte ón socrú seo. Is é sin, má shocraigh tú 256, caithfidh tú TCAM a shaoradh 512. Tá socrú TCAM lasmuigh de raon feidhme an ailt seo, ós rud é go mbraitheann bunú TCAM ar an tasc a shanntar duit amháin agus go bhféadfadh sé a bheith éagsúil ó líonra amháin go líonra eile.
- Ní mór cur i bhfeidhm suppress-arp a dhéanamh ar gach lasc Leaf. Mar sin féin, féadann castacht teacht chun cinn nuair a bhíonn péirí Leaf a bhfuil cónaí orthu i bhfearann VPC á chumrú. Má athraítear TCAM, déanfar an comhsheasmhacht idir péirí a bhriseadh agus féadfar nód amháin a bhaint as oibriú. Ina theannta sin, d'fhéadfadh go mbeadh gá le hath-atosú gléas chun an socrú athraithe TCAM a chur i bhfeidhm.
Mar thoradh air sin, ní mór duit a mheas go cúramach an bhfuil, i do chás, fiú an socrú seo a chur i bhfeidhm i monarcha reatha.
Críochnaíonn sé seo an chéad chuid den tsraith. Sa chéad chuid eile féachfaimid ar ródú trí fhabraic VxLAN le líonraí a scaradh isteach i VRFanna éagsúla.
Agus anois tugaim cuireadh do gach duine , laistigh de inseoidh mé duit go mion faoin gcúrsa. Gheobhaidh an chéad 20 rannpháirtí a chláróidh don seimineár gréasáin seo Deimhniú Lascaine trí ríomhphost laistigh de 1-2 lá tar éis an chraolta.
Foinse: will.com