Aloha, Habr. Ke hoʻopau nei au i nā ʻatikala, hoʻolaʻa i ka hoʻomaka ʻana o ka papa na OTUS, me ka hoʻohana ʻana i ka ʻenehana VxLAN EVPN no ka hoʻokele ʻana i loko o ka lole a me ka hoʻohana ʻana i ka Firewall e kaupalena i ke komo ʻana ma waena o nā lawelawe kūloko
Hiki ke loaʻa nā ʻāpana mua o ka moʻo ma nā loulou aʻe:
I kēia lā e hoʻomau mākou i ke aʻo ʻana i ka loiloi alahele i loko o ka lole VxLAN. Ma ka ʻaoʻao mua, ua nānā mākou i ka hoʻokele intra-fabric i loko o kahi VRF hoʻokahi. Eia nō naʻe, aia paha ka nui o nā lawelawe mea kūʻai aku ma ka pūnaewele, a pono e māhele ʻia lākou āpau i nā VRF like ʻole e hoʻokaʻawale i ke komo ʻana ma waena o lākou. Ma waho aʻe o ka hoʻokaʻawale ʻana i ka pūnaewele, pono paha kahi ʻoihana e hoʻopili i kahi pā ahi e kaupalena i ke komo ʻana ma waena o kēia mau lawelawe. ʻAe, ʻaʻole hiki ke kapa ʻia kēia ʻo ka hopena maikaʻi loa, akā ʻo nā ʻoiaʻiʻo o kēia wā e koi ana i "nā hopena hou".
E noʻonoʻo kākou i ʻelua mau koho no ke ala ʻana ma waena o nā VRF:
- Ke alahele me ka haʻalele ʻole i ka lole VxLAN;
- Ke alahele ma nā lako waho.
E hoʻomaka kākou me ka loiloi alahele ma waena o nā VRF. Aia kekahi helu o nā VRF. No ka hele ʻana ma waena o nā VRF, pono ʻoe e koho i kahi hāmeʻa ma ka pūnaewele e ʻike e pili ana i nā VRF āpau (a i ʻole nā wahi ma waena o kahi e pono ai ke alahele). . E like kēia topology:
He aha nā hemahema o kēia topology?
Pololei, pono kēlā me kēia Leaf e ʻike e pili ana i nā VRF a pau (a me nā ʻike a pau i loko o lākou) ma ka pūnaewele, e alakaʻi ana i ka nalowale o ka hoʻomanaʻo a me ka hoʻonui ʻana i ka ukana. Ma hope o nā mea a pau, ʻaʻole pono kēlā me kēia hoʻololi Leaf e ʻike e pili ana i nā mea āpau ma ka pūnaewele.
Eia naʻe, e noʻonoʻo pono i kēia ʻano hana, no ka mea, no nā ʻupena liʻiliʻi ua kūpono kēia koho (inā ʻaʻohe koi ʻoihana kikoʻī)
I kēia manawa, he nīnau paha kāu e pili ana i ka hoʻololi ʻana i ka ʻike mai VRF a i VRF, no ka mea, ʻo ke kiko o kēia ʻenehana ʻo ia ka palena o ka hoʻolaha ʻana o ka ʻike.
A aia ka pane i nā hana e like me ka hoʻokuʻu ʻana a me ka lawe ʻana mai o ka ʻike alahele (ua noʻonoʻo ʻia ka hoʻonohonoho ʻana i kēia ʻenehana ma ʻāpana o ka pōʻai). E ʻae mai iaʻu e haʻi pōkole:
I ka hoʻonohonoho ʻana i ka VRF ma AF, pono ʻoe e kuhikuhi route-target no ka ʻike alahele lawe mai a hoʻokuʻu aku. Hiki iā ʻoe ke hōʻike maʻalahi. A laila e komo ka waiwai i ka ASN BGP a me L3 VNI e pili ana me ka VRF. He mea maʻalahi kēia inā loaʻa iā ʻoe hoʻokahi ASN i kāu hale hana:
vrf context PROD20
address-family ipv4 unicast
route-target export auto ! В автоматическом режиме экспортируется RT-65001:99000
route-target import autoEia nō naʻe, inā ʻoi aku ʻoe ma mua o hoʻokahi ASN a pono e hoʻololi i nā ala ma waena o lākou, a laila ʻoi aku ka maʻalahi o ka hoʻonohonoho manual. route-target. ʻO ka ʻōlelo aʻoaʻo no ka hoʻonohonoho manual ka helu mua, e hoʻohana i kahi mea kūpono iā ʻoe, no ka laʻana, 9999.
Pono e hoʻonoho ʻia ka lua e like me ka VNI no kēlā VRF.
E hoʻonohonoho kākou e like me kēia:
vrf context PROD10
address-family ipv4 unicast
route-target export 9999:99000
route-target import 9999:99000
route-target import 9999:77000 ! Пример 1 import из другого VRF
route-target import 9999:88000 ! Пример 2 import из другого VRFHe aha ke ʻano o ka papa kuhikuhi ala:
Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
*via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN ! префикс доступен через L3VNI 99000E noʻonoʻo kākou i ka koho ʻelua no ke ala ʻana ma waena o nā VRF - ma o nā lako waho, no ka laʻana Firewall.
Nui nā koho no ka hana ʻana ma o kahi hāmeʻa waho:
- ʻIke ka mea hana i ka VxLAN a hiki iā mākou ke hoʻohui iā ia i kahi ʻāpana o ka lole;
- ʻAʻole ʻike ka hāmeʻa e pili ana iā VxLAN.
ʻAʻole mākou e noʻonoʻo i ka koho mua, no ka mea e like ka loiloi e like me ka mea i hōʻike ʻia ma luna - lawe mākou i nā VRF āpau i ka Firewall a hoʻonohonoho i ke ala ma waena o nā VRF ma luna.
E noʻonoʻo kākou i ka lua o ka koho, i ka wā i ʻike ʻole ai kā mākou Pā ahi e pili ana iā VxLAN (i kēia manawa, ʻoiaʻiʻo, ʻike ʻia nā mea lako me ke kākoʻo VxLAN. , akā naʻe, aia kēia i ka pae hoʻāʻo a ʻaʻohe hilinaʻi i ka paʻa o ka hana).
I ka hoʻohui ʻana i kahi hāmeʻa waho, loaʻa iā mākou ke kiʻi penei:
E like me kāu e ʻike ai mai ke kiʻikuhi, ʻike ʻia kahi bottleneck ma ke kikowaena me ka Firewall. Pono e noʻonoʻo ʻia kēia i ka wā e hiki mai ana i ka wā e hoʻolālā ai i ka pūnaewele a me ka hoʻonui ʻana i ka neʻe ʻana o ka pūnaewele.
Eia naʻe, e hoʻi kāua i ka pilikia kumu o ke ala ʻana ma waena o nā VRF. Ma muli o ka hoʻohui ʻana i ka Firewall, hiki mākou i ka hopena e ʻike pono ka Firewall e pili ana i nā VRF āpau. No ka hana ʻana i kēia, pono e hoʻonohonoho ʻia nā VRF āpau ma ka palena Leafs, a pono e hoʻopili ʻia ka Firewall i kēlā me kēia VRF me kahi loulou kaʻawale.
ʻO ka hopena, ʻo ka papahana me Firewall:
ʻO ia, ma ka Firewall pono ʻoe e hoʻonohonoho i kahi interface i kēlā me kēia VRF aia ma ka pūnaewele. Ma keʻano laulā, ʻaʻole ʻike paʻakikī ka loiloi a ʻo ka mea wale nō aʻu i makemake ʻole ai ma aneʻi ʻo ka nui o nā pilina ma ka Firewall, akā eia ka manawa e noʻonoʻo ai e pili ana i ka automation.
Maikaʻi. Hoʻohui mākou i ka Firewall a hoʻohui iā ia i nā VRF āpau. Akā, pehea e hiki ai iā mākou ke hoʻoikaika i nā kaʻa mai kēlā me kēia Leaf e hele i kēia Pā ahi?
Ma ka Leaf pili i ka Firewall, ʻaʻohe pilikia e kū mai, no ka mea, he kūloko nā ala āpau:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.254.13.55, [1/0], 6w5d, static ! маршрут по-умолчанию через FirewallAkā, pehea nā Leafs mamao? Pehea e hāʻawi ai iā lākou i ke ala waho paʻamau?
Pololei, ma o EVPN ala-ʻano 5, e like me nā prefix ʻē aʻe ma luna o ka lole VxLAN. Eia naʻe, ʻaʻole maʻalahi kēia (inā mākou e kamaʻilio e pili ana iā Cisco, ʻoiai ʻaʻole wau i nānā me nā mea kūʻai aku)
Pono e hoʻolaha ʻia ke ala paʻamau mai ka Leaf kahi i hoʻopili ʻia ai ka pā ahi. Eia naʻe, no ka hoʻouna ʻana i ke ala, pono e ʻike ʻo Leaf iā ia iho. A eia kekahi pilikia (noʻu wale nō paha), pono e hoʻopaʻa inoa ʻia ke ala ma ka VRF kahi āu e makemake ai e hoʻolaha i kēlā ala:
vrf context PROD10
ip route 0.0.0.0/0 10.254.13.55A laila, ma ka hoʻonohonoho BGP, hoʻonoho i kēia ala ma AF IPv4:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0Akā naʻe, ʻaʻole ʻo ia wale nō. Ma kēia ala ʻaʻole e hoʻokomo ʻia ke ala paʻa i ka ʻohana l2vpn evpn. Ma waho aʻe o kēia, pono ʻoe e hoʻonohonoho i ka hāʻawi hou ʻana:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0
redistribute static route-map COMMON_OUTHōʻike mākou i nā prefix e komo i BGP ma o ka hoʻohele hou ʻana
route-map COMMON_OUT permit 10
match ip address prefix-list COMMON_OUT
ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0I kēia manawa ka prefix 0.0.0.0/0 hāʻule i ka EVPN ala-ʻano 5 a hoʻouna ʻia i ke koena o ka Leaf:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен FirewallMa ka papa BGP hiki iā mākou ke nānā i ka hopena ala-type 5 me ke ala paʻamau ma o 10.255.1.5:
* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
10.255.1.5 100 0 i
*>i 10.255.1.5 100 0 iHoʻopau kēia i ke ʻano o nā ʻatikala i hoʻolaʻa ʻia iā EVPN. I ka wā e hiki mai ana, e hoʻāʻo wau e noʻonoʻo i ka hana o VxLAN i hui pū me Multicast, no ka mea, ua manaʻo ʻia kēia ʻano ʻoi aku ka scalable (i kēia manawa he ʻōlelo hoʻopaʻapaʻa)
Inā he mau nīnau kāu / manaʻo manaʻo e pili ana i ke kumuhana, e noʻonoʻo i kekahi hana o EVPN - kākau, e noʻonoʻo hou mākou.
Source: www.habr.com