kargeha VxLAN. Beş 3

Silav Habr. Ez rêze gotaran diqedînim, ji bo destpêkirina qursê tê veqetandin "endazyarê torê" ji hêla OTUS, teknolojiya VxLAN EVPN bikar tîne ji bo rêvekirina di hundurê qumaşê de û karanîna Firewall bikar tîne da ku gihîştina di navbera karûbarên hundurîn de sînordar bike

Beşên berê yên rêzefîlmê dikarin li ser lînkên jêrîn werin dîtin:

• 1 beşek çerxê - Têkiliya L2 di navbera serveran de
• Beşa 2 ya rêzê - Rêwîtiya di navbera VNI de
• Beşa 2.5 ya rêzefîlmê - Derketina teorîk

Îro em ê xwendina mantiqa rêvekirinê di hundurê tevna VxLAN de bidomînin. Di beşa paşîn de, me li rêwîtiya hundurîn-fabrîk di nav yek VRF de nihêrî. Lêbelê, dibe ku di torê de hejmareke mezin ji karûbarên xerîdar hebin, û divê hemî wan li VRF-yên cihêreng werin belav kirin da ku gihîştina di navbera wan de cûda bikin. Ji bilî veqetandina torê, dibe ku karsaziyek hewce bike ku Firewallek ve girêbide da ku gihîştina di navbera van karûbaran de sînordar bike. Erê, ev çareserî herî baş nayê gotin, lê rastiyên nûjen "çareseriyên nûjen" hewce dikin.

Ka em du vebijarkan ji bo rêvekirina di navbera VRF-an de binirxînin:

1. Rêvekirin bêyî ku ji qumaşê VxLAN derkeve;
2. Routing li ser alavên derve.

Ka em bi mantiqa rêvekirinê ya di navbera VRF de dest pê bikin. Hin hejmarek VRF hene. Ji bo rêvekirina di navbera VRF-an de, divê hûn di torê de amûrek hilbijêrin ku dê li ser hemî VRF-an bizanibe (an jî beşên ku di navbera wan de rêveçûn hewce ye). Amûrek weha dikare bibe mînak, yek ji guhezkerên Leaf (an hemî bi carekê) . Ev topolojî dê bi vî rengî xuya bike:

Dezawantajên vê topolojiyê çi ne?

Rast e, her Leaf pêdivî ye ku hemî VRF-yên (û hemî agahdariya ku di wan de hene) li ser torê zanibe, ku ev dibe sedema windabûna bîranînê û zêdebûna barkirina torê. Beriya her tiştî, pir caran her guheztina Pelê ne hewce ye ku li ser her tiştê ku li ser torê ye zanibe.

Lêbelê, em vê rêbazê bi hûrgulî bifikirin, ji ber ku ji bo torên piçûk ev vebijark pir maqûl e (heke hewcedariyên karsaziyê yên taybetî tune)

Di vê nuqteyê de, dibe ku pirsek we hebe ka meriv çawa agahdarî ji VRF-ê vediguhezîne VRF-ê, ji ber ku xala vê teknolojiyê bi rastî ew e ku belavkirina agahdarî bi sînor be.

Û bersiv di fonksiyonên wekî hinardekirin û îtxalkirina agahdariya rêwîtiyê de ye (sazkirina vê teknolojiyê di nav de hate hesibandin duyem beşên çerxê). Bi kurtî dubare bikim:

Dema ku VRF di AF de bicîh bikin, divê hûn diyar bikin route-target ji bo agahdariya rêwîtiyê ya import û hinardekirinê. Hûn dikarin wê bixweber diyar bikin. Wê hingê nirx dê ASN BGP û L3 VNI-ya ku bi VRF-ê ve girêdayî ye vehewîne. Dema ku we di kargeha we de tenê yek ASN hebe ev hêsan e:

vrf context PROD20
  address-family ipv4 unicast
    route-target export auto      ! В автоматическом режиме экспортируется RT-65001:99000
    route-target import auto

Lêbelê, heke we ji yek bêtir ASN hebe û hewce bike ku rêgezên di navbera wan de veguhezînin, wê hingê veavakirina destan dê vebijarkek hêsantir û berbelavtir be. route-target. Pêşniyara ji bo sazkirina destan hejmara yekem e, ya ku ji bo we rehet e bikar bînin, mînakî, 9999.
Divê ya duyemîn were danîn ku ji bo wê VRF-ê VNI wekhev be.

Ka em wê bi vî rengî mîheng bikin:

vrf context PROD10
  address-family ipv4 unicast
    route-target export 9999:99000          
    route-target import 9999:99000
    route-target import 9999:77000         ! Пример 1 import из другого VRF
    route-target import 9999:88000         ! Пример 2 import из другого VRF

Di tabloya rêwîtiyê de çi xuya dike:

Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
    *via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN          ! префикс доступен через L3VNI 99000

Ka em vebijarka duyemîn ji bo rêvekirina di navbera VRF-an de - bi navgîniya alavên derveyî, mînakî Firewall, binirxînin.

Gelek vebijark ji bo xebitandina bi amûrek derveyî hene:

1. Amûr dizane VxLAN çi ye û em dikarin wê li beşek ji qumaşê zêde bikin;
2. Amûr li ser VxLAN tiştek nizane.

Em ê li ser vebijarka yekem nesekinin, ji ber ku mantiq dê hema hema wekî ku li jor hatî destnîşan kirin heman be - em hemî VRF-an tînin ser Firewall-ê û rêvekirina di navbera VRF-an de li ser wê mîheng dikin.

Werin em vebijarka duyemîn bifikirin, dema ku Firewallê me di derbarê VxLAN de tiştek nizane (niha, bê guman, alavên bi piştgiriya VxLAN xuya dibin. Mînakî, Checkpoint piştgiriya xwe di guhertoya R81 de ragihand. Hûn dikarin li ser wê bixwînin. vir, Lêbelê, ev hemî di qonaxa ceribandinê de ye û bawerî bi aramiya operasyonê tune).

Dema ku amûrek derveyî ve girêdide, em diyagrama jêrîn digirin:

Wekî ku hûn ji diagramê jî dibînin, di navberê de bi Firewall re qelekek xuya dike. Divê di pêşerojê de dema ku torê plansaz bikin û seyrûsefera torê xweş bikin ev yek were hesibandin.

Lêbelê, em vegerin pirsgirêka bingehîn a rêvekirina di navbera VRF-an de. Wekî encamek zêdekirina Firewall, em gihîştin vê encamê ku Firewall divê hemî VRF-an bizanibe. Ji bo vê yekê, divê hemî VRF jî li ser Pelên sînor werin mîheng kirin, û Firewall divê bi her VRF-ê re bi girêdanek cûda ve were girêdan.

Wekî encamek, nexşeya bi Firewall:

Ango, li ser Firewall-ê hûn hewce ne ku ji her VRF-ê ya ku li ser torê ye re navgînek mîheng bikin. Bi gelemperî, mantiq tevlihev xuya nake û tenê tiştê ku ez li vir jê hez nakim hejmareke mezin a navberên li ser Firewall-ê ye, lê li vir dem e ku meriv li ser otomatê bifikire.

Baş. Me Firewall ve girêda û ew li hemî VRF zêde kir. Lê em çawa dikarin naha zorê bidin seyrûsefera her Pelê ku di vê Firewallê re derbas bibe?

Li ser pelê ku bi Firewall ve girêdayî ye, dê pirsgirêk dernekevin, ji ber ku hemî rêyên herêmî ne:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.254.13.55, [1/0], 6w5d, static       ! маршрут по-умолчанию через Firewall

Lêbelê, çi li ser Leafs dûr? Meriv çawa riya derveyî ya xwerû ji wan re derbas dike?

Rast e, bi riya EVPN-rêça 5-ê, mîna pêşgirek din a li ser tevna VxLAN. Lêbelê, ev ne ew çend hêsan e (heke em li ser Cisco dipeyivin, ji ber ku min bi firoşkarên din re kontrol nekiriye)

Pêdivî ye ku riya xwerû ji Pelê ku Firewall pê ve girêdayî ye were reklam kirin. Lêbelê, ji bo veguheztina rê, Leaf divê wê bixwe bizanibe. Û li vir pirsgirêkek diyar dibe (dibe ku tenê ji bo min), rê divê li VRF-a ku hûn dixwazin rêgezek wusa reklam bikin bi statîkî were tomar kirin:

vrf context PROD10
    ip route 0.0.0.0/0 10.254.13.55

Piştre, di veavakirina BGP de, vê rêyê di AF IPv4 de bicîh bikin:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0

Lêbelê, ew ne hemî. Bi vî rengî riya xwerû dê di nav malbatê de nebe l2vpn evpn. Digel vê yekê, hûn hewce ne ku ji nû ve dabeşkirinê mîheng bikin:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0
            redistribute static route-map COMMON_OUT

Em destnîşan dikin ka kîjan pêşgir dê bi navgîniya dabeşkirinê têkevin BGP

route-map COMMON_OUT permit 10
  match ip address prefix-list COMMON_OUT

ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0

Niha pêşgir 0.0.0.0/0 dikeve nav EVPN route-type 5 û ji pelê mayî re tê veguheztin:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
    ! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен Firewall

Di tabloya BGP-ê de em dikarin bi riya 5-a rêça-rûpa 10.255.1.5-ê ya ku bi rêça xwerû ve hatî çêkirin jî temaşe bikin:

* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
                      10.255.1.5                        100          0 i
*>i                   10.255.1.5                        100          0 i

Ev rêze gotarên ku ji EVPN re hatine veqetandin bi dawî dibe. Di pêşerojê de, ez ê hewl bidim ku operasyona VxLAN-ê bi Multicast-ê re têkildar binirxînim, ji ber ku ev rêbaz pirtir tê hesibandin (di vê gavê de daxuyaniyek nakokî)

Heke hûn hîn jî li ser mijarê pirs / pêşniyarên we hebin, her fonksiyonek EVPN-ê bifikirin - binivîsin, em ê wê bêtir bifikirin.

Source: www.habr.com