pabrik VxLAN. Bagean 3

Sugeng rawuh, Habr. Aku ngrampungake seri artikel, darmabakti kanggo Bukak saka mesthi "Teknisi Jaringan" dening OTUS, nggunakake teknologi VxLAN EVPN kanggo nuntun ing kain lan nggunakake Firewall kanggo matesi akses antarane layanan internal

Bagean seri sadurunge bisa ditemokake ing tautan ing ngisor iki:

• 1 bagean saka siklus - konektivitas L2 antarane server
• Part 2 saka seri - Routing antarane VNIs
• Bagean 2.5 saka seri - Digression teoritis

Dina iki kita bakal terus sinau logika nuntun ing kain VxLAN. Ing bagean sadurunge, kita ndeleng rute intra-kain ing VRF siji. Nanging, bisa uga ana akeh layanan klien ing jaringan, lan kabeh mau kudu disebarake menyang VRF sing beda kanggo mbedakake akses ing antarane. Saliyane pamisahan jaringan, bisnis bisa uga kudu nyambungake Firewall kanggo matesi akses antarane layanan kasebut. Ya, iki ora bisa diarani solusi sing paling apik, nanging kasunyatan modern mbutuhake "solusi modern".

Ayo dipikirake rong opsi kanggo nuntun antarane VRF:

1. Nuntun tanpa ninggalake kain VxLAN;
2. Routing ing peralatan njaba.

Ayo dadi miwiti karo logika nuntun antarane VRFs. Ana sawetara VRFs tartamtu. Kanggo rute antarane VRFs, sampeyan kudu milih piranti ing jaringan sing bakal ngerti kabeh VRFs (utawa bagean antarane kang nuntun dibutuhake).Piranti kuwi bisa uga, contone, salah siji saka ngalih Leaf (utawa kabeh bebarengan) . Topologi iki bakal katon kaya iki:

Apa kekurangan topologi iki?

Sing tengen, saben Leaf kudu ngerti kabeh VRFs (lan kabeh informasi sing ana) ing jaringan, kang ndadékaké kanggo mundhut memori lan tambah mbukak jaringan. Sawise kabeh, asring saben switch Leaf ora perlu ngerti kabeh sing ana ing jaringan.

Nanging, ayo nimbang cara iki kanthi luwih rinci, amarga kanggo jaringan cilik pilihan iki cukup cocok (yen ora ana syarat bisnis tartamtu).

Ing titik iki, sampeyan bisa uga duwe pitakonan babagan carane nransfer informasi saka VRF menyang VRF, amarga titik teknologi iki yaiku panyebaran informasi kudu diwatesi.

Lan jawabane ana ing fungsi kayata ekspor lan impor informasi rute (nyiapake teknologi iki dianggep ing sing kapindho bagean saka siklus). Ayo kula mbaleni sedhela:

Nalika nyetel VRF ing AF, sampeyan kudu nemtokake route-target kanggo informasi rute impor lan ekspor. Sampeyan bisa nemtokake kanthi otomatis. Banjur nilai bakal kalebu ASN BGP lan L3 VNI gadhah VRF. Iki trep yen sampeyan duwe mung siji ASN ing pabrik:

vrf context PROD20
  address-family ipv4 unicast
    route-target export auto      ! В автоматическом режиме экспортируется RT-65001:99000
    route-target import auto

Nanging, yen sampeyan duwe luwih saka siji ASN lan kudu nransfer rute ing antarane, konfigurasi manual bakal dadi pilihan sing luwih trep lan bisa diukur. route-target. Rekomendasi kanggo persiyapan manual yaiku nomer pisanan, gunakake salah siji sing trep kanggo sampeyan, contone, 9999.
Kapindho kudu disetel kanggo witjaksono VNI kanggo VRF sing.

Ayo dikonfigurasi kaya ing ngisor iki:

vrf context PROD10
  address-family ipv4 unicast
    route-target export 9999:99000          
    route-target import 9999:99000
    route-target import 9999:77000         ! Пример 1 import из другого VRF
    route-target import 9999:88000         ! Пример 2 import из другого VRF

Apa sing katon ing tabel routing:

Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
    *via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN          ! префикс доступен через L3VNI 99000

Ayo dadi nimbang opsi liya kanggo nuntun antarane VRFs - liwat peralatan external, contone Firewall.

Ana sawetara opsi kanggo nggarap piranti eksternal:

1. Piranti ngerti apa VxLAN lan kita bisa nambah menyang bagéan saka kain;
2. Piranti ora ngerti apa-apa bab VxLAN.

Kita ora bakal manggon ing pilihan pisanan, amarga logika bakal meh padha ing ndhuwur - kita nggawa kabeh VRFs kanggo Firewall lan ngatur nuntun antarane VRFs ing.

Ayo dadi nimbang opsi kapindho, nalika Firewall kita ora ngerti apa-apa babagan VxLAN (saiki, mesthi, peralatan karo dhukungan VxLAN katon. Contone, Checkpoint ngumumake dhukungan ing versi R81. Sampeyan bisa maca babagan iki. kene, Nanging, iki kabeh ing tahap testing lan ora ana kapercayan ing stabilitas operasi).

Nalika nyambungake piranti eksternal, kita entuk diagram ing ngisor iki:

Nalika sampeyan bisa ndeleng saka diagram, bottleneck katon ing antarmuka karo Firewall. Iki kudu dianggep ing mangsa ngarep nalika ngrancang jaringan lan ngoptimalake lalu lintas jaringan.

Nanging, ayo bali menyang masalah asli rute antarane VRFs. Minangka asil saka nambah Firewall, kita teka menyang kesimpulan sing Firewall kudu ngerti kabeh VRFs. Kanggo nindakake iki, kabeh VRFs uga kudu diatur ing Leafs wewatesan, lan Firewall kudu disambungake kanggo saben VRF karo link kapisah.

Akibaté, skema karo Firewall:

Sing, ing Firewall sampeyan kudu ngatur antarmuka kanggo saben VRF dumunung ing jaringan. Umumé, logika ora katon rumit lan siji-sijine sing aku ora seneng ing kene yaiku akeh antarmuka ing Firewall, nanging ing kene wektune mikir babagan otomatisasi.

nggih. Kita nyambungake Firewall lan ditambahake menyang kabeh VRF. Nanging kepiye saiki bisa meksa lalu lintas saka saben Leaf kanggo ngliwati Firewall iki?

Ing Leaf sing disambungake menyang Firewall, ora ana masalah, amarga kabeh rute lokal:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.254.13.55, [1/0], 6w5d, static       ! маршрут по-умолчанию через Firewall

Nanging, kepiye babagan Leafs adoh? Kepiye carane ngliwati rute eksternal standar?

Bener, liwat EVPN route-type 5, kaya prefiks liyane ing kain VxLAN. Nanging, iki ora gampang banget (yen kita ngomong babagan Cisco, amarga aku durung mriksa vendor liyane)

Rute standar kudu diiklanake saka Leaf sing disambungake karo Firewall. Nanging, kanggo ngirim rute, Leaf kudu ngerti dhewe. Lan ing kene ana masalah tartamtu (mbok menawa mung kanggo aku), rute kasebut kudu didaftar kanthi statis ing VRF, sing sampeyan pengin ngiklanake rute kasebut:

vrf context PROD10
    ip route 0.0.0.0/0 10.254.13.55

Sabanjure, ing konfigurasi BGP, setel rute iki ing AF IPv4:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0

Nanging, ora mung kuwi. Kanthi cara iki, rute standar ora bakal kalebu ing kulawarga l2vpn evpn. Kajaba iku, sampeyan kudu ngatur redistribusi:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0
            redistribute static route-map COMMON_OUT

Kita nuduhake prefiks sing bakal mlebu ing BGP liwat redistribusi

route-map COMMON_OUT permit 10
  match ip address prefix-list COMMON_OUT

ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0

Saiki prefiks 0.0.0.0/0 tiba ing rute EVPN-jinis 5 lan ditularake menyang liyane Leaf:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
    ! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен Firewall

Ing tabel BGP kita uga bisa mirsani asil rute-jinis 5 karo rute standar liwat 10.255.1.5:

* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
                      10.255.1.5                        100          0 i
*>i                   10.255.1.5                        100          0 i

Iki ngrampungake seri artikel sing dikhususake kanggo EVPN. Ing mangsa ngarep, aku bakal nyoba kanggo nimbang operasi VxLAN magepokan karo Multicast, amarga cara iki dianggep luwih keukur (ing wayahe statement kontroversial)

Yen sampeyan isih duwe pitakon / saran babagan topik kasebut, nimbang fungsi EVPN - tulis, kita bakal nimbang luwih lanjut.

Source: www.habr.com