ProHoster > Blog > Rianachd > Factaraidh VxLAN. Pàirt 3

Factaraidh VxLAN. Pàirt 3

Halò, Habr. Tha mi a’ crìochnachadh sreath de artaigilean, coisrigte airson cur air bhog a’ chùrsa "innleadair lìonra" le OTUS, a’ cleachdadh teicneòlas VxLAN EVPN airson slighe taobh a-staigh an aodaich agus a’ cleachdadh Firewall gus ruigsinneachd eadar seirbheisean a-staigh a chuingealachadh

Factaraidh VxLAN. Pàirt 3

Gheibhear pàirtean eile den t-sreath aig na ceanglaichean a leanas:

An-diugh cumaidh sinn oirnn a’ sgrùdadh an loidsig slighe taobh a-staigh aodach VxLAN. Anns a’ phàirt roimhe, choimhead sinn air slighe taobh a-staigh aodach taobh a-staigh aon VRF. Ach, dh’ fhaodadh gu bheil àireamh mhòr de sheirbheisean teachdaiche san lìonra, agus feumaidh iad uile a bhith air an sgaoileadh gu diofar VRFn gus ruigsinneachd eadar-dhealaichte a dhèanamh eatorra. A bharrachd air dealachadh lìonra, is dòcha gum feum gnìomhachas Balla-teine ​​​​a cheangal gus ruigsinneachd eadar na seirbheisean sin a chuingealachadh. Seadh, chan urrainnear seo a ghairm mar am fuasgladh as fheàrr, ach tha feum air “fuasglaidhean an latha an-diugh” air fìrinnean an latha an-diugh.

Beachdaichidh sinn air dà roghainn airson slighe eadar VRF:

  1. Ruith gun an t-aodach VxLAN fhàgail;
  2. Ruigsinneachd air uidheamachd taobh a-muigh.

Feuch an tòisich sinn leis an loidsig slighe eadar VRFn. Tha àireamh shònraichte de VRF ann. Airson slighe eadar VRFs, feumaidh tu inneal a thaghadh san lìonra a bhios eòlach air a h-uile VRF (no pàirtean eadar a bheil feum air slighe). . Bidh an topology seo a’ coimhead mar seo:

Factaraidh VxLAN. Pàirt 3

Dè na h-eas-bhuannachdan a tha aig an topology seo?

Tha sin ceart, feumaidh fios a bhith aig a h-uile duilleag mu na VRF gu lèir (agus a h-uile fiosrachadh a tha annta) air an lìonra, a tha a’ leantainn gu call cuimhne agus barrachd eallach lìonra. Às deidh na h-uile, gu math tric chan fheum fios a bhith aig gach tionndadh Leaf mu dheidhinn a h-uile dad a tha air an lìonra.

Ach, beachdaichidh sinn air an dòigh seo nas mionaidiche, oir airson lìonraidhean beaga tha an roghainn seo gu math freagarrach (mura h-eil riatanasan gnìomhachais sònraichte ann)

Aig an ìre seo, is dòcha gu bheil ceist agad mu mar as urrainn dhut fiosrachadh a ghluasad bho VRF gu VRF, oir is e puing an teicneòlais seo dìreach gum bu chòir sgaoileadh fiosrachaidh a bhith cuibhrichte.

Agus tha am freagairt ann an gnìomhan leithid às-mhalairt agus toirt a-steach fiosrachadh slighe (chaidh beachdachadh air stèidheachadh an teicneòlais seo ann an an dàrna fear pàirtean den chearcall). Leig dhomh ath-aithris goirid:

Nuair a shuidhicheas tu VRF ann an AF, feumaidh tu sònrachadh route-target airson fiosrachadh slighe in-mhalairt agus às-mhalairt. Faodaidh tu a shònrachadh gu fèin-ghluasadach. An uairsin bidh an luach a’ toirt a-steach an ASN BGP agus L3 VNI co-cheangailte ris an VRF. Tha seo goireasach nuair nach eil agad ach aon ASN anns an fhactaraidh agad: 

vrf context PROD20
  address-family ipv4 unicast
    route-target export auto      ! В автоматическом режиме экспортируется RT-65001:99000
    route-target import auto

Ach, ma tha barrachd air aon ASN agad agus gu feum thu slighean a ghluasad eatorra, bidh rèiteachadh làimhe na roghainn nas goireasaiche agus nas socraiche. route-target. Is e am moladh airson suidheachadh làimhe a’ chiad àireamh, cleachd fear a tha goireasach dhut, mar eisimpleir, 9999.
Bu chòir an dàrna fear a bhith co-ionann ris an VNI airson an VRF sin.

Leig leinn a rèiteachadh mar a leanas:

vrf context PROD10
  address-family ipv4 unicast
    route-target export 9999:99000          
    route-target import 9999:99000
    route-target import 9999:77000         ! Пример 1 import из другого VRF
    route-target import 9999:88000         ! Пример 2 import из другого VRF

Cò ris a tha e coltach anns a’ chlàr seòlaidh:

Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
    *via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN          ! префикс доступен через L3VNI 99000

Beachdaichidh sinn air an dàrna roghainn airson slighe eadar VRFn - tro uidheamachd bhon taobh a-muigh, mar eisimpleir Firewall.

Tha grunn roghainnean ann airson obrachadh tro inneal taobh a-muigh:

  1. Tha fios aig an inneal dè a th’ ann an VxLAN agus is urrainn dhuinn a chuir ri pàirt den aodach;
  2. Chan eil fios aig an inneal mu VxLAN.

Cha bhith sinn a’ fuireach air a’ chiad roghainn, oir bidh an loidsig cha mhòr mar a chithear gu h-àrd - bidh sinn a’ toirt a h-uile VRF don Firewall agus a’ rèiteachadh slighe eadar VRF air.

Beachdaichidh sinn air an dàrna roghainn, nuair nach eil fios aig ar Balla-teine ​​​​mu dheidhinn VxLAN (a-nis, gu dearbh, tha uidheamachd le taic VxLAN a ’nochdadh. Mar eisimpleir, dh’ ainmich Checkpoint an taic aige ann an dreach R81. Faodaidh tu leughadh mu dheidhinn an seo, ge-tà, tha seo uile aig an ìre deuchainn agus chan eil misneachd ann an seasmhachd gnìomhachd).

Nuair a cheanglas sinn inneal bhon taobh a-muigh, gheibh sinn an diagram a leanas:

Factaraidh VxLAN. Pàirt 3

Mar a chì thu bhon dealbh, tha cnap-starra a’ nochdadh aig an eadar-aghaidh leis a’ bhalla-teine. Feumar seo a thoirt fa-near san àm ri teachd nuair a bhios tu a ’dealbhadh an lìonra agus a’ dèanamh an fheum as fheàrr de thrafaig lìonra.

Ach, tillidh sinn chun duilgheadas tùsail a thaobh slighe eadar VRF. Mar thoradh air a’ bhalla-teine ​​​​a chuir ris, thig sinn chun cho-dhùnadh gum feum fios a bhith aig a ’bhalla-teine ​​​​mu dheidhinn a h-uile VRF. Gus seo a dhèanamh, feumaidh a h-uile VRF a bhith air an rèiteachadh cuideachd air na duilleagan crìche, agus feumaidh am Balla-teine ​​​​a bhith ceangailte ri gach VRF le ceangal air leth.

Mar thoradh air an sin, tha an sgeama le Firewall:

Factaraidh VxLAN. Pàirt 3

Is e sin, air a’ bhalla-teine ​​​​feumaidh tu eadar-aghaidh a rèiteachadh airson gach VRF a tha suidhichte air an lìonra. San fharsaingeachd, chan eil an loidsig a’ coimhead iom-fhillte agus is e an aon rud nach toil leam an seo an àireamh mhòr de eadar-aghaidh air a’ bhalla-teine, ach an seo tha an t-àm ann smaoineachadh air fèin-ghluasad.

Gu math. Cheangail sinn am Balla-teine ​​​​agus chuir sinn ris a h-uile VRF e. Ach ciamar as urrainn dhuinn a-nis toirt air trafaic bho gach duilleag a dhol tron ​​​​bhalla-teine ​​​​seo?

Air Leaf ceangailte ris a’ bhalla-teine, cha èirich duilgheadas sam bith, leis gu bheil a h-uile slighe ionadail:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.254.13.55, [1/0], 6w5d, static       ! маршрут по-умолчанию через Firewall

Ach, dè mu dheidhinn Leafs iomallach? Ciamar a thèid thu seachad air an t-slighe àbhaisteach a-muigh?

Tha sin ceart, tro sheòrsa slighe EVPN 5, mar ro-leasachan sam bith eile thairis air aodach VxLAN. Ach, chan eil seo cho sìmplidh (ma tha sinn a’ bruidhinn mu dheidhinn Cisco, leis nach do rinn mi sgrùdadh le luchd-reic eile)

Feumaidh an t-slighe àbhaisteach a bhith air a shanasachadh bhon Leaf ris a bheil am Balla-teine ​​​​ceangailte. Ach, airson an t-slighe a tharraing, feumaidh fios a bhith aig Leaf air fhèin. Agus an seo tha duilgheadas sònraichte ag èirigh (is dòcha dìreach dhòmhsa), feumaidh an t-slighe a bhith clàraichte gu statach san VRF far a bheil thu airson a leithid de shlighe a shanasachadh:

vrf context PROD10
    ip route 0.0.0.0/0 10.254.13.55

An uairsin, ann an rèiteachadh BGP, cuir an t-slighe seo ann an AF IPv4:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0

Ach, chan e sin uile. San dòigh seo cha tèid an t-slighe àbhaisteach a thoirt a-steach don teaghlach l2vpn evpn. A bharrachd air an seo, feumaidh tu ath-sgaoileadh a rèiteachadh:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0
            redistribute static route-map COMMON_OUT

Bidh sinn a’ comharrachadh dè na ro-leasachain a gheibh a-steach do BGP tro ath-sgaoileadh

route-map COMMON_OUT permit 10
  match ip address prefix-list COMMON_OUT

ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0

A-nis an ro-leasachan 0.0.0.0/0 a’ tuiteam a-steach do sheòrsa slighe EVPN 5 agus air a ghluasad chun chòrr de Leaf:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
    ! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен Firewall

Ann an clàr BGP chì sinn cuideachd an seòrsa slighe 5 a thig às leis an t-slighe àbhaisteach tro 10.255.1.5:

* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
                      10.255.1.5                        100          0 i
*>i                   10.255.1.5                        100          0 i

Tha seo a’ crìochnachadh an t-sreath de artaigilean a tha coisrigte do EVPN. Anns an àm ri teachd, feuchaidh mi ri beachdachadh air obrachadh VxLAN ann an co-bhonn ri Multicast, leis gu bheil an dòigh seo air a mheas nas scalable (an-dràsta aithris connspaideach)

Ma tha ceistean/molaidhean agad fhathast air a’ chuspair, beachdaich air gnìomh sam bith de EVPN - sgrìobh, beachdaichidh sinn air tuilleadh.

Factaraidh VxLAN. Pàirt 3

Source: www.habr.com

Cuir beachd ann