🥇VxLAN ફેક્ટરી. ભાગ 3 | પ્રોહોસ્ટર

હેલો, હેબ્ર. હું લેખોની શ્રેણી પૂરી કરી રહ્યો છું, કોર્સના પ્રારંભને સમર્પિત "નેટવર્ક એન્જિનિયર" OTUS દ્વારા, ફેબ્રિકની અંદર રૂટીંગ માટે VxLAN EVPN ટેક્નોલોજીનો ઉપયોગ કરીને અને આંતરિક સેવાઓ વચ્ચે ઍક્સેસને પ્રતિબંધિત કરવા માટે ફાયરવોલનો ઉપયોગ

શ્રેણીના પહેલાના ભાગો નીચેની લિંક્સ પર મળી શકે છે:

આજે આપણે VxLAN ફેબ્રિકની અંદર રૂટીંગ લોજીકનો અભ્યાસ કરવાનું ચાલુ રાખીશું. અગાઉના ભાગમાં, અમે એક જ VRF ની અંદર ઇન્ટ્રા-ફેબ્રિક રૂટીંગ પર જોયું. જો કે, નેટવર્કમાં મોટી સંખ્યામાં ક્લાયન્ટ સેવાઓ હોઈ શકે છે, અને તેમની વચ્ચેની ઍક્સેસને અલગ પાડવા માટે તે તમામને વિવિધ VRF માં વિતરિત કરવી આવશ્યક છે. નેટવર્ક અલગ કરવા ઉપરાંત, આ સેવાઓ વચ્ચેની ઍક્સેસને પ્રતિબંધિત કરવા માટે વ્યવસાયને ફાયરવોલને કનેક્ટ કરવાની જરૂર પડી શકે છે. હા, આને શ્રેષ્ઠ ઉકેલ ન કહી શકાય, પરંતુ આધુનિક વાસ્તવિકતાઓને "આધુનિક ઉકેલો"ની જરૂર છે.

ચાલો VRF વચ્ચે રૂટીંગ માટેના બે વિકલ્પોનો વિચાર કરીએ:

VxLAN ફેબ્રિક છોડ્યા વિના રૂટીંગ;
બાહ્ય સાધનો પર રૂટીંગ.

ચાલો VRF વચ્ચેના રૂટીંગ તર્કથી શરૂઆત કરીએ. VRF ની ચોક્કસ સંખ્યા છે. VRF વચ્ચે રૂટ કરવા માટે, તમારે નેટવર્કમાં એક ઉપકરણ પસંદ કરવાની જરૂર છે જે તમામ VRF (અથવા તે ભાગો કે જેની વચ્ચે રૂટીંગની જરૂર છે) વિશે જાણતા હશે. આવા ઉપકરણ હોઈ શકે છે, ઉદાહરણ તરીકે, લીફ સ્વિચમાંથી એક (અથવા બધા એક જ સમયે) . આ ટોપોલોજી આના જેવી દેખાશે:

આ ટોપોલોજીના ગેરફાયદા શું છે?

તે સાચું છે, દરેક લીફને નેટવર્ક પરના તમામ VRF (અને તેમાં રહેલી તમામ માહિતી) વિશે જાણવાની જરૂર છે, જે મેમરી લોસ અને નેટવર્ક લોડમાં વધારો તરફ દોરી જાય છે. છેવટે, ઘણી વાર દરેક લીફ સ્વીચને નેટવર્ક પરની દરેક વસ્તુ વિશે જાણવાની જરૂર હોતી નથી.

જો કે, ચાલો આ પદ્ધતિને વધુ વિગતવાર ધ્યાનમાં લઈએ, કારણ કે નાના નેટવર્ક્સ માટે આ વિકલ્પ એકદમ યોગ્ય છે (જો ત્યાં કોઈ વિશિષ્ટ વ્યવસાય આવશ્યકતાઓ નથી)

આ સમયે, તમારી પાસે VRF થી VRF માં માહિતી કેવી રીતે સ્થાનાંતરિત કરવી તે વિશે પ્રશ્ન હોઈ શકે છે, કારણ કે આ તકનીકીનો મુદ્દો ચોક્કસપણે એ છે કે માહિતીનો પ્રસાર મર્યાદિત હોવો જોઈએ.

અને જવાબ રૂટીંગ માહિતીની નિકાસ અને આયાત જેવા કાર્યોમાં રહેલો છે (આ ટેક્નોલોજીનું સેટઅપ બીજા ચક્રના ભાગો). મને ટૂંકમાં પુનરાવર્તન કરવા દો:

AF માં VRF સેટ કરતી વખતે, તમારે સ્પષ્ટ કરવું આવશ્યક છે route-target આયાત અને નિકાસ રૂટીંગ માહિતી માટે. તમે તેને આપમેળે સ્પષ્ટ કરી શકો છો. પછી મૂલ્યમાં VRF સાથે સંકળાયેલ ASN BGP અને L3 VNI સામેલ હશે. જ્યારે તમારી ફેક્ટરીમાં તમારી પાસે માત્ર એક ASN હોય ત્યારે આ અનુકૂળ છે:

vrf context PROD20
  address-family ipv4 unicast
    route-target export auto      ! В автоматическом режиме экспортируется RT-65001:99000
    route-target import auto

જો કે, જો તમારી પાસે એક કરતાં વધુ ASN હોય અને તમારે તેમની વચ્ચે રૂટ ટ્રાન્સફર કરવાની જરૂર હોય, તો મેન્યુઅલ કન્ફિગરેશન વધુ અનુકૂળ અને સ્કેલેબલ વિકલ્પ હશે. route-target. મેન્યુઅલ સેટઅપ માટેની ભલામણ એ પ્રથમ નંબર છે, તમારા માટે અનુકૂળ હોય તે એકનો ઉપયોગ કરો, ઉદાહરણ તરીકે, 9999.
બીજાને તે VRF માટે VNI ની બરાબર સેટ કરવું જોઈએ.

ચાલો તેને નીચે પ્રમાણે ગોઠવીએ:

vrf context PROD10
  address-family ipv4 unicast
    route-target export 9999:99000          
    route-target import 9999:99000
    route-target import 9999:77000         ! Пример 1 import из другого VRF
    route-target import 9999:88000         ! Пример 2 import из другого VRF

રૂટીંગ ટેબલમાં તે કેવું દેખાય છે:

Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
    *via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN          ! префикс доступен через L3VNI 99000

ચાલો VRF વચ્ચે રૂટીંગ માટેના બીજા વિકલ્પને ધ્યાનમાં લઈએ - બાહ્ય સાધનો દ્વારા, ઉદાહરણ તરીકે ફાયરવોલ.

બાહ્ય ઉપકરણ દ્વારા કામ કરવા માટે ઘણા વિકલ્પો છે:

ઉપકરણ જાણે છે કે VxLAN શું છે અને અમે તેને ફેબ્રિકના ભાગમાં ઉમેરી શકીએ છીએ;
ઉપકરણ VxLAN વિશે કંઈ જાણતું નથી.

અમે પ્રથમ વિકલ્પ પર ધ્યાન આપીશું નહીં, કારણ કે તર્ક લગભગ ઉપર બતાવ્યા પ્રમાણે જ હશે - અમે તમામ VRF ને ફાયરવોલ પર લાવીએ છીએ અને તેના પર VRF વચ્ચે રૂટીંગ ગોઠવીએ છીએ.

ચાલો બીજા વિકલ્પને ધ્યાનમાં લઈએ, જ્યારે આપણો ફાયરવોલ VxLAN વિશે કંઈ જાણતું નથી (હવે, અલબત્ત, VxLAN સપોર્ટ સાથેના સાધનો દેખાઈ રહ્યા છે. ઉદાહરણ તરીકે, ચેકપોઈન્ટે R81 સંસ્કરણમાં તેના સમર્થનની જાહેરાત કરી. તમે તેના વિશે વાંચી શકો છો. અહીંજો કે, આ બધું પરીક્ષણના તબક્કે છે અને ઓપરેશનની સ્થિરતામાં કોઈ વિશ્વાસ નથી).

બાહ્ય ઉપકરણને કનેક્ટ કરતી વખતે, અમને નીચેનો આકૃતિ મળે છે:

જેમ તમે ડાયાગ્રામમાંથી જોઈ શકો છો, ફાયરવોલ સાથેના ઈન્ટરફેસ પર અડચણ દેખાય છે. નેટવર્કનું આયોજન કરતી વખતે અને નેટવર્ક ટ્રાફિકને ઑપ્ટિમાઇઝ કરતી વખતે ભવિષ્યમાં આને ધ્યાનમાં લેવું આવશ્યક છે.

જો કે, ચાલો VRF વચ્ચે રૂટીંગની મૂળ સમસ્યા પર પાછા ફરીએ. ફાયરવોલ ઉમેરવાના પરિણામે, અમે નિષ્કર્ષ પર આવીએ છીએ કે ફાયરવોલને તમામ VRF વિશે જાણ હોવી જોઈએ. આ કરવા માટે, તમામ VRF ને પણ બોર્ડર લીફ્સ પર રૂપરેખાંકિત કરવું આવશ્યક છે, અને ફાયરવોલ દરેક VRF સાથે અલગ લિંક સાથે જોડાયેલ હોવું આવશ્યક છે.

પરિણામે, ફાયરવોલ સાથેની યોજના:

એટલે કે, ફાયરવોલ પર તમારે નેટવર્ક પર સ્થિત દરેક VRF માટે ઇન્ટરફેસ ગોઠવવાની જરૂર છે. સામાન્ય રીતે, તર્ક જટિલ લાગતો નથી અને ફાયરવોલ પરના ઇન્ટરફેસની વિશાળ સંખ્યા અહીં મને ગમતી નથી તે છે, પરંતુ અહીં ઓટોમેશન વિશે વિચારવાનો સમય છે.

દંડ. અમે ફાયરવોલને કનેક્ટ કર્યું અને તેને તમામ VRF માં ઉમેર્યું. પરંતુ હવે આપણે દરેક લીફમાંથી ટ્રાફિકને આ ફાયરવોલમાંથી પસાર થવા માટે કેવી રીતે દબાણ કરી શકીએ?

ફાયરવોલ સાથે જોડાયેલ લીફ પર, કોઈ સમસ્યા ઊભી થશે નહીં, કારણ કે તમામ માર્ગો સ્થાનિક છે:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.254.13.55, [1/0], 6w5d, static       ! маршрут по-умолчанию через Firewall

જો કે, દૂરસ્થ પાંદડા વિશે શું? તેમને મૂળભૂત બાહ્ય માર્ગ કેવી રીતે પસાર કરવો?

તે સાચું છે, EVPN રૂટ-ટાઈપ 5 દ્વારા, VxLAN ફેબ્રિક પરના કોઈપણ અન્ય ઉપસર્ગની જેમ. જો કે, આ એટલું સરળ નથી (જો આપણે સિસ્કો વિશે વાત કરી રહ્યા છીએ, કારણ કે મેં અન્ય વિક્રેતાઓ સાથે તપાસ કરી નથી)

ડિફૉલ્ટ રૂટની જાહેરાત તે લીફથી થવી જોઈએ કે જેની સાથે ફાયરવોલ જોડાયેલ છે. જો કે, માર્ગને પ્રસારિત કરવા માટે, લીફને તે પોતે જાણવું જોઈએ. અને અહીં એક ચોક્કસ સમસ્યા ઊભી થાય છે (કદાચ ફક્ત મારા માટે), રૂટ સ્ટેટિકલી VRF માં નોંધાયેલ હોવો જોઈએ જ્યાં તમે આવા રૂટની જાહેરાત કરવા માંગો છો:

vrf context PROD10
    ip route 0.0.0.0/0 10.254.13.55

આગળ, BGP કન્ફિગરેશનમાં, આ રૂટને AF IPv4 માં સેટ કરો:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0

જો કે, તે બધુ જ નથી. આ રીતે ડિફોલ્ટ રૂટ પરિવારમાં સામેલ થશે નહીં l2vpn evpn. આ ઉપરાંત, તમારે પુનઃવિતરણને ગોઠવવાની જરૂર છે:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0
            redistribute static route-map COMMON_OUT

અમે સૂચવીએ છીએ કે પુનઃવિતરણ દ્વારા કયા ઉપસર્ગો BGPમાં આવશે

route-map COMMON_OUT permit 10
  match ip address prefix-list COMMON_OUT

ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0

હવે ઉપસર્ગ 0.0.0.0/0 EVPN રૂટ-ટાઈપ 5 માં આવે છે અને બાકીના લીફમાં પ્રસારિત થાય છે:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
    ! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен Firewall

BGP કોષ્ટકમાં આપણે પરિણામી રૂટ-પ્રકાર 5 ને ડિફોલ્ટ રૂટ સાથે 10.255.1.5 દ્વારા પણ અવલોકન કરી શકીએ છીએ:

* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
                      10.255.1.5                        100          0 i
*>i                   10.255.1.5                        100          0 i

આ EVPN ને સમર્પિત લેખોની શ્રેણીને સમાપ્ત કરે છે. ભવિષ્યમાં, હું મલ્ટિકાસ્ટ સાથે જોડાણમાં VxLAN ની કામગીરીને ધ્યાનમાં લેવાનો પ્રયાસ કરીશ, કારણ કે આ પદ્ધતિ વધુ માપી શકાય તેવી માનવામાં આવે છે (આ ક્ષણે એક વિવાદાસ્પદ નિવેદન)

જો તમારી પાસે હજુ પણ વિષય પર પ્રશ્નો/સૂચનો હોય, તો EVPN ની કોઈપણ કાર્યક્ષમતાને ધ્યાનમાં લો - લખો, અમે આગળ વિચારણા કરીશું.

સોર્સ: www.habr.com

VxLAN ફેક્ટરી. ભાગ 3

એક ટિપ્પણી ઉમેરો જવાબ રદ