Halo habr. Tha mi an-dràsta na stiùiriche cùrsa airson “Network Engineer” aig OTUS.
Le dùil gun tòisich clàradh ùr airson a’ chùrsa , Tha mi air sreath de artaigilean ullachadh air teicneòlas VxLAN EVPN.
Tha tòrr stuth ann mu obrachadh VxLAN EVPN, agus mar sin tha mi airson diofar ghnìomhan agus chleachdaidhean a chruinneachadh airson fuasgladh fhaighinn air duilgheadasan ann an ionad dàta ùr-nodha.
Anns a’ chiad phàirt de chearcall teicneòlas VxLAN EVPN, tha mi airson beachdachadh air dòigh air ceangal L2 a chuir air dòigh eadar luchd-aoigheachd a bharrachd air factaraidh lìonra.
Thèid a h-uile eisimpleir a dhèanamh air Cisco Nexus 9000v, air a chruinneachadh ann an topology Spine-Leaf. Cha bhith sinn a’ fuireach ann a bhith a’ stèidheachadh lìonra Underlay san artaigil seo.
- lìonra fo-chòmhdach
- BGP a’ coimhead airson seòladh-teaghlach l2vpn evpn
- Suidheachadh NVE
- Suppress-arp
lìonra fo-chòmhdach
Tha an topology air a chleachdadh mar a leanas:
Nach suidhich sinn seòladh air a h-uile inneal:
Spine-1 - 10.255.1.101
Spine-2 - 10.255.1.102
Leaf-11 - 10.255.1.11
Leaf-12 - 10.255.1.12
Leaf-21 - 10.255.1.21
Host-1 - 192.168.10.10
Host-2 - 192.168.10.20Feuch an dèan sinn cinnteach gu bheil ceangal IP eadar gach inneal:
Leaf21# sh ip route
<........>
10.255.1.11/32, ubest/mbest: 2/0 ! Leaf-11 доступен чеерз два Spine
*via 10.255.1.101, Eth1/4, [110/81], 00:00:03, ospf-UNDERLAY, intra
*via 10.255.1.102, Eth1/3, [110/81], 00:00:03, ospf-UNDERLAY, intra
10.255.1.12/32, ubest/mbest: 2/0 ! Leaf-12 доступен чеерз два Spine
*via 10.255.1.101, Eth1/4, [110/81], 00:00:03, ospf-UNDERLAY, intra
*via 10.255.1.102, Eth1/3, [110/81], 00:00:03, ospf-UNDERLAY, intra
10.255.1.21/32, ubest/mbest: 2/0, attached
*via 10.255.1.22, Lo0, [0/0], 00:02:20, local
*via 10.255.1.22, Lo0, [0/0], 00:02:20, direct
10.255.1.101/32, ubest/mbest: 1/0
*via 10.255.1.101, Eth1/4, [110/41], 00:00:06, ospf-UNDERLAY, intra
10.255.1.102/32, ubest/mbest: 1/0
*via 10.255.1.102, Eth1/3, [110/41], 00:00:03, ospf-UNDERLAY, intraFeuch an dèan sinn cinnteach gu bheil an raon VPC air a chruthachadh agus gu bheil an dà suidse air a dhol seachad air an sgrùdadh cunbhalachd agus gu bheil na roghainnean air an dà nod co-ionann:
Leaf11# show vpc
vPC domain id : 1
Peer status : peer adjacency formed ok
vPC keep-alive status : peer is alive
Configuration consistency status : success
Per-vlan consistency status : success
Type-2 consistency status : success
vPC role : primary
Number of vPCs configured : 0
Peer Gateway : Disabled
Dual-active excluded VLANs : -
Graceful Consistency Check : Enabled
Auto-recovery status : Disabled
Delay-restore status : Timer is off.(timeout = 30s)
Delay-restore SVI status : Timer is off.(timeout = 10s)
Operational Layer3 Peer-router : Disabled
vPC status
----------------------------------------------------------------------------
Id Port Status Consistency Reason Active vlans
-- ------------ ------ ----------- ------ ---------------
5 Po5 up success success 1BGP a’ coimhead
Mu dheireadh, is urrainn dhuinn gluasad air adhart gu bhith a’ rèiteachadh an lìonra Overlay.
Mar phàirt den artaigil, feumar lìonra a chuir air dòigh eadar luchd-aoigheachd, mar a chithear san dealbh gu h-ìosal:
Gus lìonra Overlay a rèiteachadh, feumaidh tu BGP a chomasachadh air na suidsichean Spine and Leaf le taic don teaghlach l2vpn evpn:
feature bgp
nv overlay evpnAn ath rud, feumaidh tu co-aoisean BGP a rèiteachadh eadar Leaf agus Spine. Gus an rèiteachadh a dhèanamh nas sìmplidhe agus an sgaoileadh as fheàrr de fhiosrachadh slighe, bidh sinn a’ rèiteachadh Spine mar fhrithealaiche Route-Reflector. Sgrìobhaidh sinn a h-uile Leaf anns an config tro theamplaidean gus an suidheachadh as fheàrr a dhèanamh.
Mar sin tha na roghainnean air Spine a’ coimhead mar seo:
router bgp 65001
template peer LEAF
remote-as 65001
update-source loopback0
address-family l2vpn evpn
send-community
send-community extended
route-reflector-client
neighbor 10.255.1.11
inherit peer LEAF
neighbor 10.255.1.12
inherit peer LEAF
neighbor 10.255.1.21
inherit peer LEAFTha an suidheachadh air an tionndadh Leaf a’ coimhead coltach ri seo:
router bgp 65001
template peer SPINE
remote-as 65001
update-source loopback0
address-family l2vpn evpn
send-community
send-community extended
neighbor 10.255.1.101
inherit peer SPINE
neighbor 10.255.1.102
inherit peer SPINEAir Spine, thoir sùil air coimhead ris a h-uile suidse Leaf:
Spine1# sh bgp l2vpn evpn summary
<.....>
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.255.1.11 4 65001 7 8 6 0 0 00:01:45 0
10.255.1.12 4 65001 7 7 6 0 0 00:01:16 0
10.255.1.21 4 65001 7 7 6 0 0 00:01:01 0Mar a chì thu, cha robh duilgheadasan sam bith ann le BGP. Gluaisidh sinn air adhart gu stèidheachadh VxLAN. Cha tèid tuilleadh rèiteachaidh a dhèanamh ach air taobh suidsichean Leaf. Chan eil an spine ag obair ach mar chridhe an lìonra agus chan eil e an sàs ach ann an tar-chuir trafaic. Bidh a h-uile obair air cuairteachadh agus mìneachadh slighe a’ tachairt a-mhàin air suidsichean Leaf.
Suidheachadh NVE
NVE - eadar-aghaidh lìonra mas-fhìor
Mus tòisich sinn air an stèidheachadh, bheir sinn a-steach cuid de bhriathrachas:
VTEP - Rubha Deireannach Tunail Beatha, an inneal air a bheil an tunail VxLAN a’ tòiseachadh no a’ crìochnachadh. Chan fheum VTEP inneal lìonra sam bith. Faodaidh frithealaiche a bheir taic do theicneòlas VxLAN gnìomh cuideachd. Anns an topology againn, tha a h-uile suidse Leaf nan VTEPn.
VNI - Clàr Lìonra Mas-fhìor - aithnichear lìonra taobh a-staigh VxLAN. Faodaidh tu samhla a tharraing le VLAN. Ach, tha beagan eadar-dhealachaidhean ann. Nuair a bhios tu a’ cleachdadh aodach, bidh VLANn a’ fàs gun samhail ach taobh a-staigh aon tionndadh Leaf agus chan eilear gan cur thairis air an lìonra. Ach faodaidh gach VLAN a bhith co-cheangailte ri àireamh VNI a tha air a ghluasad thairis air an lìonra mu thràth. Cò ris a tha e coltach agus mar a ghabhas a chleachdadh thèid a dheasbad gu h-ìosal.
Dèan comas don fheart airson teicneòlas VxLAN obrachadh agus an comas àireamhan VLAN a cheangal ri àireamh VNI:
feature nv overlay
feature vn-segment-vlan-basedFeuch an rèiteachadh sinn an eadar-aghaidh NVE, a tha an urra ri obrachadh VxLAN. Tha uallach air an eadar-aghaidh seo airson frèaman a chuairteachadh ann an cinn VxLAN. Faodaidh tu samhla a tharraing leis an eadar-aghaidh Tunnel airson GRE:
interface nve1
no shutdown
host-reachability protocol bgp ! используем BGP для передачи маршрутной информации
source-interface loopback0 ! интерфейс с которого отправляем пакеты loopback0Air an tionndadh Leaf-21, thèid a h-uile càil a chruthachadh gun duilgheadasan. Ach, ma nì sinn sgrùdadh air toradh an àithne show nve peers, an sin bithidh e falamh. An seo feumaidh tu tilleadh gu suidheachadh VPC. Chì sinn gu bheil Leaf-11 agus Leaf-12 air am paidhir agus air an aonachadh le àrainn VPC. Tha seo mar thoradh air an t-suidheachadh a leanas:
Bidh Host-2 a 'cur aon fhrèam gu Leaf-21 airson a ghluasad thairis air an lìonra gu Host-1. Ach, tha Leaf-21 a’ faicinn gu bheil seòladh MAC Host-1 ri fhaighinn tro dhà VTEP aig an aon àm. Dè bu chòir do Leaf-21 a dhèanamh sa chùis seo? Às deidh na h-uile, tha seo a 'ciallachadh gum faodadh lùb nochdadh san lìonra.
Gus an suidheachadh seo fhuasgladh, feumaidh sinn Leaf-11 agus Leaf-12 cuideachd mar aon inneal taobh a-staigh an fhactaraidh. Tha e air fhuasgladh gu math sìmplidh. Air an eadar-aghaidh Loopback às a bheil sinn a 'togail an tunail, cuir an seòladh àrd-sgoile ris. Feumaidh seòladh àrd-sgoile a bhith mar an ceudna air an dà VTEP.
interface loopback0
ip add 10.255.1.10/32 secondaryMar sin, bho shealladh VTEPan eile, gheibh sinn na topology a leanas:
Is e sin, a-nis thèid an tunail a thogail eadar an seòladh IP aig Leaf-21 agus an IP brìgheil eadar dà Leaf-11 agus Leaf-12. A-nis cha bhi duilgheadas sam bith ann le bhith ag ionnsachadh an seòladh MAC bho dhà inneal, agus faodar trafaic a ghluasad bho aon VTEP gu fear eile. Thathas a’ co-dhùnadh dè an dà VTEP a bhios a’ làimhseachadh an trafaic a’ cleachdadh a’ chlàr slighe air Spine:
Spine1# sh ip route
<.....>
10.255.1.10/32, ubest/mbest: 2/0
*via 10.255.1.11, Eth1/1, [110/41], 1d01h, ospf-UNDERLAY, intra
*via 10.255.1.12, Eth1/2, [110/41], 1d01h, ospf-UNDERLAY, intra
10.255.1.11/32, ubest/mbest: 1/0
*via 10.255.1.11, Eth1/1, [110/41], 1d22h, ospf-UNDERLAY, intra
10.255.1.12/32, ubest/mbest: 1/0
*via 10.255.1.12, Eth1/2, [110/41], 1d01h, ospf-UNDERLAY, intraMar a chì thu gu h-àrd, tha an seòladh 10.255.1.10 ri fhaighinn sa bhad tro dhà Next-hop.
Aig an ìre seo, dh'obraich sinn a-mach an ceangal bunaiteach. Gluaisidh sinn air adhart gu bhith a’ stèidheachadh an eadar-aghaidh NVE:
Bheir sinn comas do Vlan 10 sa bhad agus ceangail e le VNI 10000 air gach duilleag airson luchd-aoigheachd. Stèidhich tunail L2 eadar luchd-aoigheachd
vlan 10 ! Включаем VLAN на всех VTEP подключенных к необходимым хостам
vn-segment 10000 ! Ассоциируем VLAN с номер VNI
interface nve1
member vni 10000 ! Добавляем VNI 10000 для работы через интерфейс NVE. для инкапсуляции в VxLAN
ingress-replication protocol bgp ! указываем, что для распространения информации о хосте используем BGPA-nis leig dhuinn sùil a thoirt air co-aoisean agus clàr airson BGP EVPN:
Leaf21# sh nve peers
Interface Peer-IP State LearnType Uptime Router-Mac
--------- --------------- ----- --------- -------- -----------------
nve1 10.255.1.10 Up CP 00:00:41 n/a ! Видим что peer доступен с secondary адреса
Leaf11# sh bgp l2vpn evpn
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10.255.1.11:32777 (L2VNI 10000) ! От кого именно пришел этот l2VNI
*>l[3]:[0]:[32]:[10.255.1.10]/88 ! EVPN route-type 3 - показывает нашего соседа, который так же знает об l2VNI10000
10.255.1.10 100 32768 i
*>i[3]:[0]:[32]:[10.255.1.20]/88
10.255.1.20 100 0 i
* i 10.255.1.20 100 0 i
Route Distinguisher: 10.255.1.21:32777
* i[3]:[0]:[32]:[10.255.1.20]/88
10.255.1.20 100 0 i
*>i 10.255.1.20 100 0 iGu h-àrd chì sinn slighean a-mhàin slighe-slighe EVPN 3. Tha an seòrsa slighean seo a 'bruidhinn air co-aoisean (Leaf), ach càite a bheil na h-aoighean againn?
Agus is e an rud gu bheil fiosrachadh mu luchd-aoigheachd MAC air a ghluasad tro sheòrsa slighe EVPN 2
Gus na h-aoighean againn fhaicinn, feumaidh tu seòrsa slighe EVPN 2 a rèiteachadh:
evpn
vni 10000 l2
route-target import auto ! в рамках данной статьи используем автоматический номер для route-target
route-target export autoLeig leinn ping bho Host-2 gu Host-1:
Firewall2# ping 192.168.10.1
PING 192.168.10.1 (192.168.10.1): 56 data bytes
36 bytes from 192.168.10.2: Destination Host Unreachable
Request 0 timed out
64 bytes from 192.168.10.1: icmp_seq=1 ttl=254 time=215.555 ms
64 bytes from 192.168.10.1: icmp_seq=2 ttl=254 time=38.756 ms
64 bytes from 192.168.10.1: icmp_seq=3 ttl=254 time=42.484 ms
64 bytes from 192.168.10.1: icmp_seq=4 ttl=254 time=40.983 msAgus gu h-ìosal chì sinn gun do nochd slighe-slighe 2 ann an clàr BGP le seòladh MAC an luchd-aoigheachd - 5001.0007.0007 agus 5001.0008.0007
Leaf11# sh bgp l2vpn evpn
<......>
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10.255.1.11:32777 (L2VNI 10000)
*>l[2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216 ! evpn route-type 2 и mac адрес хоста 1
10.255.1.10 100 32768 i
*>i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216 ! evpn route-type 2 и mac адрес хоста 2
* i 10.255.1.20 100 0 i
*>l[3]:[0]:[32]:[10.255.1.10]/88
10.255.1.10 100 32768 i
Route Distinguisher: 10.255.1.21:32777
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216
10.255.1.20 100 0 i
*>i 10.255.1.20 100 0 iAn uairsin, chì thu fiosrachadh mionaideach mu Ùrachadh, anns an d ’fhuair thu fiosrachadh mun MAC Host. Gu h-ìosal chan eil toradh iomlan na h-àithne
Leaf21# sh bgp l2vpn evpn 5001.0007.0007
BGP routing table information for VRF default, address family L2VPN EVPN
Route Distinguisher: 10.255.1.11:32777 ! отправил Update с MAC Host. Не виртуальный адрес VPC, а адрес Leaf
BGP routing table entry for [2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216,
version 1507
Paths: (2 available, best #2)
Flags: (0x000202) (high32 00000000) on xmit-list, is not in l2rib/evpn, is not i
n HW
Path type: internal, path is valid, not best reason: Neighbor Address, no labe
led nexthop
AS-Path: NONE, path sourced internal to AS
10.255.1.10 (metric 81) from 10.255.1.102 (10.255.1.102) ! с кем именно строим VxLAN тоннель
Origin IGP, MED not set, localpref 100, weight 0
Received label 10000 ! Номер VNI, который ассоциирован с VLAN, в котором находится Host
Extcommunity: RT:65001:10000 SOO:10.255.1.10:0 ENCAP:8 ! Тут видно, что RT сформировался автоматически на основе номеров AS и VNI
Originator: 10.255.1.11 Cluster list: 10.255.1.102
<........>Nach faic sinn cò ris a bhios na frèaman coltach nuair a thèid iad tron fhactaraidh:
Sguab às-ARP
Sgoinneil, tha ceangal L2 againn eadar na h-aoighean agus dh’ fhaodadh gur e seo deireadh. Ach, chan eil a h-uile cho sìmplidh. Cho fad 's nach eil mòran luchd-aoigheachd againn, cha bhi duilgheadasan ann. Ach smaoinichidh sinn air suidheachaidhean anns a bheil ceudan is mìltean de luchd-aoigheachd againn. Dè an duilgheadas a dh’ fhaodadh a bhith oirnn?
Is e an duilgheadas seo trafaic BUM (Craoladh, Unknown Unicast, Multicast). Ann am frèam an artaigil seo, beachdaichidh sinn air an roghainn cuir an-aghaidh trafaic craolaidh.
Is e am prìomh ghineadair craolaidh ann an lìonraidhean Ethernet na h-aoighean iad fhèin tro phròtacal ARP.
Bidh Nexus a 'cur an gnìomh an dòigh a leanas airson dèiligeadh ri iarrtasan ARP - suppress-arp.
Tha am feart seo ag obair mar seo:
- Bidh Host-1 a ’cur iarrtas APR gu seòladh Craolaidh an lìonra aige.
- Bidh an t-iarrtas a’ ruighinn tionndadh Leaf agus an àite a bhith a’ dol seachad air an iarrtas seo nas fhaide chun fhactaraidh a dh’ ionnsaigh Host-2, bidh an Leaf a’ freagairt agus a’ comharrachadh an IP agus MAC a tha thu ag iarraidh.
Mar sin, cha deach an t-iarrtas Craolaidh chun fhactaraidh. Ach ciamar a dh’ obraicheas seo mura h-eil fios aig Leaf ach air an t-seòladh MAC?
Tha a h-uile dad gu math sìmplidh, faodaidh seòrsa slighe EVPN 2, a bharrachd air an t-seòladh MAC, pasgan MAC / IP a chuir thairis. Gus seo a dhèanamh, feumaidh an Leaf a bhith air a rèiteachadh le seòladh IP anns an VLAN. Tha a’ cheist ag èirigh, dè an IP a dh’ fhaighnicheas tu? Air nexus, tha e comasach seòladh sgaoilte (aon) a chruthachadh air a h-uile suidse:
feature interface-vlan
fabric forwarding anycast-gateway-mac 0001.0001.0001 ! задаем virtual mac для создания распределенного шлюза между всеми коммутаторами
interface Vlan10
no shutdown
ip address 192.168.10.254/24 ! на всех Leaf задаем одинаковый IP
fabric forwarding mode anycast-gateway ! говорим использовать Virtual macMar sin, bho shealladh luchd-aoigheachd, seallaidh an lìonra mar seo:
Thoir sùil air BGP l2route evpn
Leaf11# sh bgp l2vpn evpn
<......>
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10.255.1.11:32777 (L2VNI 10000)
*>l[2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216
10.255.1.21 100 32768 i
*>i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216
10.255.1.10 100 0 i
* i 10.255.1.10 100 0 i
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[32]:[192.168.10.20]/248
10.255.1.10 100 0 i
*>i 10.255.1.10 100 0 i
<......>
Route Distinguisher: 10.255.1.21:32777
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216
10.255.1.20 100 0 i
*>i 10.255.1.20 100 0 i
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[32]:[192.168.10.20]/248
*>i 10.255.1.20 100 0 i
<......>Bho toradh na h-àithne, chì sinn ann an seòrsa slighe EVPN 2, a bharrachd air an MAC, gu bheil sinn a-nis a’ faicinn seòladh IP an aoigh.
Tillidh sinn chun an t-suidheachaidh suppress-arp. Tha an suidheachadh seo air a chomasachadh airson gach VNI fa leth:
interface nve1
member vni 10000
suppress-arpAn uairsin tha beagan duilgheadas ann:
- Feumaidh am feart seo àite ann an cuimhne TCAM. Bheir mi eisimpleir de shuidheachadh airson suppress-arp:
hardware access-list tcam region arp-ether 256Feumaidh an suidheachadh seo dà-leathann. Is e sin, ma shuidhicheas tu 256, feumaidh 512 a bhith air a leigeil ma sgaoil ann an TCAM. Tha stèidheachadh TCAM taobh a-muigh raon an artaigil seo, leis gu bheil stèidheachadh TCAM an urra ris an obair a chaidh a shònrachadh dhut a-mhàin agus faodaidh e a bhith eadar-dhealaichte bho aon lìonra gu lìonra eile.
- Feumar cur an gnìomh suppress-arp a dhèanamh air a h-uile suidse Leaf. Ach, faodaidh iom-fhillteachd èirigh nuair a bhios tu a’ rèiteachadh air paidhrichean Leaf a tha suidhichte ann an raon VPC. Nuair a bhios tu ag atharrachadh TCAM, thèid an cunbhalachd eadar na paidhrichean a bhriseadh agus faodar aon nód a thoirt a-mach à seirbheis. A bharrachd air an sin, is dòcha gum feumar ath-thòiseachadh inneal gus an suidheachadh atharrachadh TCAM a chuir an sàs.
Mar thoradh air an sin, bu chòir dhut beachdachadh gu faiceallach a bheil e na fhiach an suidheachadh seo a chuir an gnìomh air factaraidh obrach nad shuidheachadh.
Tha seo a’ crìochnachadh a’ chiad phàirt den chuairt. Anns an ath phàirt, beachdaichidh sinn air slighe tro fhactaraidh VxLAN le dealachadh lìonra thar diofar VRF.
Agus a-nis tha mi a 'toirt cuireadh dha na h-uile , anns am bi mi a 'bruidhinn gu mionaideach mun chùrsa. Gheibh a’ chiad 20 com-pàirtiche a chlàras airson an webinar seo Teisteanas lasachaidh air post-d taobh a-staigh 1-2 latha às deidh a’ chraolaidh.
Source: www.habr.com