VxLAN faktori. Pati 2

Bonjou, Habr. Mwen kontinye seri atik sou teknoloji VxLAN EVPN, ki yo te ekri espesyalman pou lansman kou a "Enjenyè rezo" soti nan OTUS. Ak jodi a nou pral gade nan yon pati enteresan nan travay la - routage. Pa gen pwoblèm ki jan trivial li ka son, sepandan, nan kad travay la nan yon faktori rezo, tout bagay ka pa tèlman senp.

VxLAN faktori. Pati 2

Pati 1 nan sik la - L2 koneksyon ant serveurs

Nan dènye pati a, nou reyalize yon domèn emisyon bati sou tèt twal rezo a sou Nexus 9000v la. Sepandan, sa a se pa tout seri travay ki bezwen rezoud nan rezo sant done a. Ak jodi a nou pral gade nan pwochen travay la - routage ant rezo oswa ant VNIs.

Kite m raple w ke yo itilize topoloji Spine-Leaf la:

VxLAN faktori. Pati 2

Premyèman, ann gade ki jan routage rive ak ki karakteristik li genyen.

Pou konprann, ann senplifye dyagram lojik la epi ajoute yon lòt VNI 20000 pou Host-2. Rezilta a se:

VxLAN faktori. Pati 2

Ki jan, nan ka sa a, ou ka transfere trafik soti nan yon Host a yon lòt?

Gen de opsyon:

  1. Kenbe enfòmasyon sou tout VNI sou tout switch Leaf, Lè sa a, tout routage ap fèt sou premye Leaf nan rezo a;
  2. Sèvi ak yon L3 VNI dedye

Premye metòd la se senp ak pratik. Depi ou jis bezwen enstale tout VNI sou tout switch Leaf. Sepandan, mete kanpe plizyè santèn oswa mil VNI pou tout Leafs pa sanble yon travay senp ankò. Se poutèt sa, li se itilize byen raman nan travay.

Ann gade nan metòd 2, ki se pi enteresan ak yon ti kras pi konplèks, men li bay plis fleksibilite nan mete kanpe faktori a.

Ann ajoute "PROD" nan topoloji VRF la. Nan li nou pral ajoute koòdone vlan 10 sou pè a Leaf-11/12 ak koòdone VLAN 20 sou Leaf-21. VLAN 20 asosye ak VNI 20000

vrf context PROD
  rd auto       ! Route Distinguisher не принципиален и можем использовать сформированный автоматически
  address-family ipv4 unicast
    route-target both auto      ! указываем Route-target с которым будут импортироваться и экспортироваться префиксы в/из VRF
vlan 20
  vn-segment 20000

interface nve 1
  member vni 20000
    ingress-replication protocol bgp

interface Vlan10
  no shutdown
  vrf member PROD
  ip address 192.168.20.1/24
  fabric forwarding mode anycast-gateway

Pou itilize L3VNI, ou bezwen kreye yon nouvo VLAN epi asosye li ak nouvo VNI a. Nouvo VNI a dwe menm bagay la tou sou tout fèy ki enterese nan enfòmasyon VLAN 10 ak 20

vlan 99
  vn-segment 99000

interface nve1
  member vni 99000 associate-vrf        ! Создаем L3 VNI

vrf context PROD
  vni 99000                             ! Привязываем L3 VNI к определенному VRF

Kòm yon rezilta, dyagram nan pral sanble sa a:

VxLAN faktori. Pati 2

Li rete pou fè yon ti kras - ajoute yon lòt koòdone plis - koòdone vlan 99 nan VRF PROD

interface Vlan99
  no shutdown
  vrf member PROD
  ip forward  ! На интерфейсе не должно быть IP. Используется только для пересылки пакетов между Leaf

Kòm yon rezilta, lojik pou pase yon ankadreman soti nan Host-1 nan Host-2 se jan sa a:

  1. Ankadreman an voye pa Host-1 rive nan Leaf nan VLAN 10, ki asosye ak VNI 10000;
  2. Leaf tcheke kote adrès destinasyon an ye epi li jwenn li atravè L3 VNI sou dezyèm switch Leaf la;
  3. Le pli vit ke yo jwenn yon wout nan adrès destinasyon an, Leaf pake ankadreman an nan yon header ak L3VNI 99000 ki nesesè yo - epi voye li nan direksyon pou dezyèm Leaf la;
  4. Dezyèm switch Leaf la resevwa done ki soti nan L3VNI 99000. Li pran ankadreman orijinal la epi li transfere li nan L2VNI 20000 obligatwa a epi answit nan VLAN 20.

Kòm rezilta travay sa a, L3VNI elimine nesesite pou kenbe enfòmasyon sou tout VNI ki sou rezo a sou tout switch Leaf.

Kòm yon rezilta, lè nou voye trafik soti nan Host-1 nan Host-2, pake a chaje andedan VxLAN ak yon nouvo VNI - 99000:

VxLAN faktori. Pati 2

Li rete yo dwe wè ki jan egzakteman Leaf-1 aprann sou adrès MAC la nan yon lòt VNI. Sa rive tou lè l sèvi avèk EVPN wout-type 2 (MAC/IP).

Sa ki anba la a montre pwosesis pou pwopaje yon wout sou yon prefiks ki sitiye nan yon lòt VNI:

VxLAN faktori. Pati 2

Sa vle di, adrès yo resevwa nan men VNI 20000 gen de RT.
Kite m raple w ke wout yo te resevwa nan men Mizajou fini nan tablo BGP la ak sib Route ki espesifye nan paramèt VRF yo (pwosesis la se yon ti jan pi konplike, men nou pa pral fouye nan atik sa a).
RT tèt li fòme selon fòmil la: AS:VNI (si yo itilize mòd otomatik).

Egzanp fòmasyon RT nan mòd otomatik ak manyèl:

vrf context PROD
  address-family ipv4 unicast
    route-target import auto - автоматический режим работы
    route-target export 65001:20000 - ручной режим формирования RT

Rezilta ki pi wo a montre ke prefiks ki soti nan yon lòt VNI gen de valè RT.
Youn nan yo se 65001:99000 - yon lòt L3 VNI. Piske VNI sa a se menm bagay la tou sou tout fèy yo epi li tonbe anba règ enpòte nou yo nan anviwònman VRF yo, prefiks la fini nan tablo BGP la, ki ka wè nan pwodiksyon an:

sh bgp l2vpn evpn
<.....>
   Network            Next Hop            Metric     LocPrf     Weight Path
Route Distinguisher: 10.255.1.11:32777    (L2VNI 10000)
*>l[2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216
                      10.255.1.10                       100      32768 i
*>l[2]:[0]:[0]:[48]:[5001.0007.0007]:[32]:[192.168.10.10]/272
                      10.255.1.10                       100      32768 i
*>l[3]:[0]:[32]:[10.255.1.10]/88
                      10.255.1.10                       100      32768 i

Route Distinguisher: 10.255.1.21:32787
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[32]:[192.168.20.20]/272    ! Префикс полученный из VNI 20000
                      10.255.1.20                       100          0 i
*>i                   10.255.1.20                       100          0 i

Si nou gade pi byen aktyalizasyon nou resevwa a, nou ka wè prefiks sa a gen de RT:

Leaf11# sh bgp l2vpn evpn 5001.0008.0007
BGP routing table information for VRF default, address family L2VPN EVPN
Route Distinguisher: 10.255.1.21:32787
BGP routing table entry for [2]:[0]:[0]:[48]:[5001.0008.0007]:[32]:[192.168.20.2
0]/272, version 5164
Paths: (2 available, best #2)
Flags: (0x000202) (high32 00000000) on xmit-list, is not in l2rib/evpn, is not i
n HW

  Path type: internal, path is valid, not best reason: Neighbor Address, no labeled nexthop
  AS-Path: NONE, path sourced internal to AS
    10.255.1.20 (metric 81) from 10.255.1.102 (10.255.1.102)
      Origin IGP, MED not set, localpref 100, weight 0
      Received label 20000 99000                                 ! Два label для работы VxLAN
      Extcommunity: RT:65001:20000 RT:65001:99000 SOO:10.255.1.20:0 ENCAP:8     ! Два значения Route-target, на основе, которых добавили данный префикс
          Router MAC:5001.0005.0007
      Originator: 10.255.1.21 Cluster list: 10.255.1.102
<......>

Nan tablo routage sou Leaf-1 ou ka wè tou prefiks 192.168.20.20/32:

Leaf11# sh ip route vrf PROD
192.168.10.0/24, ubest/mbest: 1/0, attached
    *via 192.168.10.1, Vlan10, [0/0], 01:29:28, direct
192.168.10.1/32, ubest/mbest: 1/0, attached
    *via 192.168.10.1, Vlan10, [0/0], 01:29:28, local
192.168.10.10/32, ubest/mbest: 1/0, attached
    *via 192.168.10.10, Vlan10, [190/0], 01:27:22, hmm
192.168.20.20/32, ubest/mbest: 1/0                                        ! Адрес Host-2
    *via 10.255.1.20%default, [200/0], 01:20:20, bgp-65001, internal, tag 65001     ! Доступный через Leaf-2
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN                                ! Через VNI 99000

Èske w remake absans prensipal prefiks 192.168.20.0/24 nan tablo routage?
Se vre, li pa la. Sa vle di, Leafs aleka resevwa enfòmasyon sèlman sou tout pouvwa yo ki sou rezo ou. Ak sa a se konpòtman an dwa. Pi wo a nan tout mizajou ou ka wè ke enfòmasyon vini ak kontni MAC / IP. Pa gen okenn pale sou nenpòt prefiks.

Men ki jan pwotokòl Host Mobility Manager (HMM) travay, ki ranpli tab ARP kote tab BGP la ranpli (nou pral omite pwosesis sa a pou rezon atik sa a). Dapre enfòmasyon yo resevwa nan men HMM, EVPN wout-type 2 fòme (transmèt pa MAC/IP).

Sepandan, e si gen yon bezwen transmèt enfòmasyon sou yon prefiks?

Pou kalite enfòmasyon sa a, gen EVPN wout-type 5 - li pèmèt ou transmèt prefiks atravè adrès-fanmi l2vpn evpn (kalite wout sa a nan moman ekri a se sèlman nan vèsyon an bouyon. RFC, Se poutèt sa, konpòtman an nan kalite wout sa a ka diferan pami manifaktirè diferan)

Pou transmèt prefiks, li nesesè pou ajoute prefiks ki pral pibliye nan pwosesis BGP pou VRF:

router bgp 65001
  vrf PROD
    address-family ipv4 unicast
      redistribute direct route-map VNI20000        ! В данном случае анонсируем префиксы подключение непосредственно к Leaf в VNI 20000
route-map VNI20000 permit 10
  match ip address prefix-list VNI20000_OUT    ! Указываем какой использовать prefix-list

ip prefix-list VNI20000_OUT seq 5 permit 192.168.20.0/24   ! Указываем какие сети будут попадать в EVPN route-type 5

Kòm yon rezilta, Mizajou pral gen:

VxLAN faktori. Pati 2

Ann gade tab BGP la. Anplis EVPN wout-type 2,3, tip 5 wout yo te parèt, ki gen enfòmasyon sou nimewo rezo a:

<......>
   Network            Next Hop            Metric     LocPrf     Weight Path
Route Distinguisher: 10.255.1.11:3
* i[5]:[0]:[0]:[24]:[192.168.10.0]/224
                      10.255.1.10              0        100          0 ?
*>i                   10.255.1.10              0        100          0 ?

Route Distinguisher: 10.255.1.11:32777
* i[2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216
                      10.255.1.10                       100          0 i
*>i                   10.255.1.10                       100          0 i
* i[2]:[0]:[0]:[48]:[5001.0007.0007]:[32]:[192.168.10.10]/272
                      10.255.1.10                       100          0 i
*>i                   10.255.1.10                       100          0 i
* i[3]:[0]:[32]:[10.255.1.10]/88
                      10.255.1.10                       100          0 i
*>i                   10.255.1.10                       100          0 i

Route Distinguisher: 10.255.1.12:3
*>i[5]:[0]:[0]:[24]:[192.168.10.0]/224      ! EVPN route-type 5 с номером префикса
                      10.255.1.10              0        100          0 ?
* i
<.......>                   

Prefiks la parèt tou nan tablo routage:

Leaf21# sh ip ro vrf PROD
192.168.10.0/24, ubest/mbest: 1/0
    *via 10.255.1.10%default, [200/0], 00:14:32, bgp-65001, internal, tag 65001  ! Удаленный префикс, доступный через Leaf1/2(адрес Next-hop = virtual IP между парой VPC)
(evpn) segid: 99000 tunnelid: 0xaff010a encap: VXLAN      ! Префикс доступен через L3VNI 99000

192.168.10.10/32, ubest/mbest: 1/0
    *via 10.255.1.10%default, [200/0], 02:33:40, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff010a encap: VXLAN

192.168.20.0/24, ubest/mbest: 1/0, attached
    *via 192.168.20.1, Vlan20, [0/0], 02:39:44, direct
192.168.20.1/32, ubest/mbest: 1/0, attached
    *via 192.168.20.1, Vlan20, [0/0], 02:39:44, local
192.168.20.20/32, ubest/mbest: 1/0, attached
    *via 192.168.20.20, Vlan20, [190/0], 02:35:46, hmm

Sa a fini dezyèm pati nan seri atik sou VxLAN EVPN. Nan pwochen pati a nou pral gade divès opsyon pou routage ant VRF yo.

Prensip debaz pwotokòl IPv6 ak diferans li yo ak IPv4

Sous: www.habr.com

Achte hosting serye pou sit ki gen pwoteksyon DDoS, sèvè VPS VDS 🔥 Achte yon hébergement sit entènèt serye ak pwoteksyon DDoS, sèvè VPS VDS | ProHoster