Dia duit, Habr. Táim ag críochnú sraith alt, tiomanta do sheoladh an chúrsa ag OTUS, ag baint úsáide as teicneolaíocht VxLAN EVPN le haghaidh ródú laistigh den chreatlach agus ag baint úsáide as Balla Dóiteáin chun rochtain idir seirbhísí inmheánacha a shrianadh
Is féidir codanna roimhe seo den tsraith a fháil ag na naisc seo a leanas:
Sa lá atá inniu leanfaimid orainn ag déanamh staidéir ar an loighic ródaithe taobh istigh den fabraic VxLAN. Sa chuid roimhe seo, d'fhéachamar ar ródú laistigh den fabraic laistigh de VRF amháin. Mar sin féin, d'fhéadfadh go mbeadh líon mór seirbhísí cliant sa líonra, agus ní mór iad go léir a dháileadh i VRFanna éagsúla chun rochtain a idirdhealú eatarthu. Chomh maith le deighilt líonra, d’fhéadfadh go mbeadh ar ghnóthas Balla Dóiteáin a nascadh chun rochtain idir na seirbhísí seo a shrianadh. Sea, ní féidir an réiteach is fearr a thabhairt air seo, ach tá “réitigh nua-aimseartha” ag teastáil ó réaltachtaí nua-aimseartha.
Déanaimis machnamh ar dhá rogha maidir le ródú idir VRFanna:
- Ródú gan an fabraic VxLAN a fhágáil;
- Ródú ar threalamh seachtrach.
Cuirimis tús leis an loighic ródaithe idir VRFanna. Tá líon áirithe VRFanna ann. Chun bealach idir VRFanna, ní mór duit gléas a roghnú sa líonra a mbeidh eolas aige ar gach VRF (nó ar na codanna a bhfuil gá le ródú eatarthu). . Féachfaidh an topology seo mar seo:
Cad iad na míbhuntáistí a bhaineann leis an topology seo?
Sin ceart, ní mór go mbeadh a fhios ag gach Duilleog faoi na VRFanna go léir (agus an fhaisnéis go léir atá iontu) ar an líonra, rud a fhágann caillteanas cuimhne agus ualach líonra méadaithe. Tar éis an tsaoil, go minic ní gá go mbeadh a fhios ag gach lasc Leaf faoi gach rud atá ar an líonra.
Mar sin féin, déanaimis machnamh níos mine ar an modh seo, ós rud é go bhfuil an rogha seo oiriúnach go leor do líonraí beaga (mura bhfuil aon riachtanais ghnó ar leith ann)
Ag an bpointe seo, b'fhéidir go mbeadh ceist agat faoi conas faisnéis a aistriú ó VRF go VRF, toisc go bhfuil pointe na teicneolaíochta seo go beacht gur chóir go mbeadh teorainn le scaipeadh faisnéise.
Agus luíonn an freagra i bhfeidhmeanna ar nós onnmhairiú agus allmhairiú faisnéise ródaithe (measadh an teicneolaíocht seo a bhunú i codanna den timthriall). Lig dom athrá go hachomair:
Agus VRF á socrú in AF, ní mór duit a shonrú route-target le haghaidh faisnéise ródaithe allmhairithe agus onnmhairithe. Is féidir leat é a shonrú go huathoibríoch. Ansin áireofar sa luach an ASN BGP agus L3 VNI a bhaineann leis an VRF. Tá sé seo áisiúil nuair nach bhfuil ach ASN amháin agat i do mhonarcha:
vrf context PROD20
address-family ipv4 unicast
route-target export auto ! В автоматическом режиме экспортируется RT-65001:99000
route-target import autoMar sin féin, má tá níos mó ná FTB amháin agat agus gur gá duit bealaí a aistriú eatarthu, beidh cumraíocht láimhe ina rogha níos áisiúla agus níos inscálaithe route-target. Is é an moladh maidir le socrú láimhe an chéad uimhir, bain úsáid as ceann atá áisiúil duit, mar shampla, 9999.
Ba cheart an dara ceann a shocrú ar chomhchéim leis an VNI don VRF sin.
Déanaimis é a chumrú mar seo a leanas:
vrf context PROD10
address-family ipv4 unicast
route-target export 9999:99000
route-target import 9999:99000
route-target import 9999:77000 ! Пример 1 import из другого VRF
route-target import 9999:88000 ! Пример 2 import из другого VRFAn chuma atá air sa tábla ródaithe:
Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
*via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN ! префикс доступен через L3VNI 99000Déanaimis machnamh ar an dara rogha maidir le ródú idir VRFanna - trí threalamh seachtrach, mar shampla Balla Dóiteáin.
Tá roinnt roghanna ann chun oibriú trí fheiste seachtrach:
- Tá a fhios ag an bhfeiste cad é VxLAN agus is féidir linn é a chur le cuid den fhabraic;
- Níl a fhios ag an bhfeiste faoi VxLAN.
Ní mhairfimid ar an gcéad rogha, ós rud é go mbeidh an loighic beagnach mar a léirítear thuas - tugaimid gach VRF chuig an Balla Dóiteáin agus déanaimid ródú idir VRF a chumrú air.
Déanaimis machnamh ar an dara rogha, nuair nach bhfuil a fhios ag ár mBalla Dóiteáin aon rud faoi VxLAN (anois, ar ndóigh, tá trealamh le tacaíocht VxLAN le feiceáil. Mar shampla, d'fhógair Checkpoint a thacaíocht sa leagan R81. Is féidir leat léamh faoi. , áfach, tá sé seo go léir ag an gcéim tástála agus níl aon mhuinín i gcobhsaíocht na hoibríochta).
Nuair a cheanglaíonn muid gléas seachtrach, faighimid an léaráid seo a leanas:
Mar is féidir leat a fheiceáil ón léaráid, feictear tranglam ag an gcomhéadan leis an mBalla Dóiteáin. Ní mór é seo a chur san áireamh sa todhchaí agus an líonra á phleanáil agus an trácht líonra a bharrfheabhsú.
Mar sin féin, fillfimid ar an bhfadhb bhunaidh maidir le ródú idir VRFanna. Mar thoradh ar an Balla Dóiteáin a chur leis, tagann muid ar an gconclúid go gcaithfidh an Balla Dóiteáin a bheith ar an eolas faoi gach VRF. Chun seo a dhéanamh, ní mór gach VRF a chumrú freisin ar na Leafs teorann, agus ní mór an Balla Dóiteáin a nascadh le gach VRF le nasc ar leith.
Mar thoradh air sin, an scéim le Balla Dóiteáin:
Is é sin, ar an Balla Dóiteáin ní mór duit comhéadan a chumrú do gach VRF atá suite ar an líonra. Go ginearálta, níl cuma casta ar an loighic agus is é an t-aon rud nach maith liom anseo ná an líon mór comhéadain ar an Balla Dóiteáin, ach anseo tá sé in am smaoineamh ar uathoibriú.
Go breá. Cheangaileamar an Balla Dóiteáin agus chuireamar le gach VRF é. Ach conas is féidir linn anois iallach a chur ar thrácht ó gach Duilleog dul tríd an Balla Dóiteáin seo?
Ar Leaf ceangailte leis an Balla Dóiteáin, ní thiocfaidh aon fhadhbanna chun cinn, ós rud é go bhfuil gach bealach áitiúil:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.254.13.55, [1/0], 6w5d, static ! маршрут по-умолчанию через FirewallMar sin féin, cad faoi Leafs iargúlta? Conas bealach seachtrach réamhshocraithe a thabhairt dóibh?
Sin ceart, trí chineál bealach EVPN 5, cosúil le haon réimír eile ar an bhfabraic VxLAN. Mar sin féin, níl sé seo chomh simplí (má tá muid ag caint faoi Cisco, mar nach bhfuil seiceáil déanta agam le díoltóirí eile)
Ní mór an bealach réamhshocraithe a fhógairt ón Leaf a bhfuil an Balla Dóiteáin ceangailte léi. Chun an bealach a tharchur, áfach, ní mór go mbeadh a fhios ag Leaf é féin. Agus anseo tagann fadhb áirithe chun cinn (domsa amháin b’fhéidir), ní mór an bealach a chlárú go statach sa VRF áit ar mhaith leat a leithéid de bhealach a fhógairt:
vrf context PROD10
ip route 0.0.0.0/0 10.254.13.55Ansin, i gcumraíocht BGP, socraigh an bealach seo in AF IPv4:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0Mar sin féin, ní hé sin go léir. Ar an mbealach seo ní bheidh an bealach réamhshocraithe san áireamh sa teaghlach l2vpn evpn. Chomh maith leis seo, ní mór duit athdháileadh a chumrú:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0
redistribute static route-map COMMON_OUTLéirímid cé na réimíreanna a rachaidh isteach i BGP trí athdháileadh
route-map COMMON_OUT permit 10
match ip address prefix-list COMMON_OUT
ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0Anois an réimír 0.0.0.0/0 Titeann sé faoi chineál bealaigh EVPN 5 agus a tharchur chuig an gcuid eile de Leaf:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен FirewallSa tábla BGP is féidir linn an cineál bealaigh 5 mar thoradh air a urramú freisin leis an mbealach réamhshocraithe trí 10.255.1.5:
* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
10.255.1.5 100 0 i
*>i 10.255.1.5 100 0 iCríochnaíonn sé seo an tsraith alt atá dírithe ar EVPN. Sa todhchaí, déanfaidh mé iarracht oibriú VxLAN i gcomhar le Multicast a mheas, ós rud é go meastar go bhfuil an modh seo níos Inscálaithe (ráiteas conspóideach i láthair na huaire)
Má tá ceisteanna/moltaí fós agat ar an ábhar, smaoinigh ar aon fheidhmiúlacht EVPN - scríobh, déanfaimid é a mheas tuilleadh.
Foinse: will.com