VxLAN OFFICINA. Pars II

Salve, Habr. Pero seriem articulorum; dicata Lorem decursu "fectum network" per OTUStechnologia usus VxLAN EVPN ad excitandas intra fabricam et Firewall utens accessum restringere inter officia interna

Priores partes seriei his nexus reperiri possunt:

• 1 pars cycli - L2 conectividad inter servers
• Pars II seriei - Routing inter VNIs
• Pars 2.5 seriei - Digressio Theoretica

Hodie in VxLAN intra fabricam logicam elaborandam studere perseverabimus. In priore parte intra fabricam fusionem intra unum VRF inspeximus. Sed in retiaculis clientium numerus ingens esse potest, et omnia in diversis VRFs distribui debent ad differentiam inter eos accessus. Praeter separationem retis, negotium a Firewall coniungere potest accessum inter haec officia restringere. Ita, haec optima solutio dici non potest, sed realitates modernae "solutiones modernae" requirunt.

Consideremus duas optiones ad excitandas inter VRFs:

1. Fuso relicto fabricae VxLAN;
2. Externo apparatu profectus est.

Incipiamus cum logica excitanda inter VRFs. VRFs funt quidam. Ad iter inter VRFs, machinam eligere debes in retiaculis quae de omnibus VRFs cognoscet (vel partes inter quas fugandas opus est). Talis machina potest esse, exempli gratia, una virgarum foliorum (vel simul) . Haec topologia sic erit:

Quae sunt incommoda huius topologiae?

Iustum est, omne Folium scire debet de omnibus VRFs (et de omnibus quae in eis sunt) in retiaculis, quae damnum ad memoriam ducit et onus retis augetur. Post omnes, saepius singulis Folium transitum non oportet scire de omnibus quae in retiacula sunt.

Sed hunc modum accuratius consideremus, quoniam pro parvis reticulis haec optio satis idonea est (si nullae requiruntur negotiationes specificae)

Hoc loco quaestionem habere potes quomodo informationes ab VRF ad VRF transferas, quia punctum technologiae huius technologiae pressius limitatur notitiarum disseminatio.

Et responsum est in functionibus sicut exportatio et significatio informationis excitandae (constituendi technologiae huius technologiae secundus partes cycli). Dicam breviter:

Cum VRF in AF proficiscens, debes denota route-target pro importare et educendo notitias excitandas. Rem statim denotare potes. Tunc valor comprehendet ASN BGP et L3 VNI cum VRF coniungendis. Hoc commodum est cum unum tantum SER in officina tua habeas:

vrf context PROD20
  address-family ipv4 unicast
    route-target export auto      ! В автоматическом режиме экспортируется RT-65001:99000
    route-target import auto

Attamen si plus quam unum ASN habes et necesse est vias inter eas transferre, tunc conformatio manualis commodior et scalabilis optio erit. route-target. Commendatio manualis est primus numerus, utere commodo tibi, e.g. 9999.
Alter apponatur aequari VNI ei VRF.

Configurare sic est:

vrf context PROD10
  address-family ipv4 unicast
    route-target export 9999:99000          
    route-target import 9999:99000
    route-target import 9999:77000         ! Пример 1 import из другого VRF
    route-target import 9999:88000         ! Пример 2 import из другого VRF

Quid istuc placet in excitanda mensa;

Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
    *via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN          ! префикс доступен через L3VNI 99000

Consideremus secundam optionem ad excitandum inter VRFs - per apparatum externum, exempli gratia Firewall.

Plures sunt bene operandi per artem externam;

1. Cogitatus novit quid VxLAN sit et eam ad partem fabricae possumus addere;
2. De VxLAN fabrica nihil scit.

In prima optione non habitabimus, quoniam logica eadem fere erit quae supra demonstratum est - omnia VRFs ad Firewall deferimus et inter VRFs in ea fundere configuramus.

Secundam optionem consideremus, quando Firewall noster nihil de VxLAN scit (nunc, utique, apparatum cum VxLAN auxilio venisse. Exempli gratia, Checkpoint nuntiavit suum auxilium in versione R81. Legere de ea potes. hictamen haec omnia in probatione et nulla in operationis stabilitate confidunt).

Cum artificio externo coniungendo, hoc schemate consequimur:

Ut ex icone videre potes, bottleneck in interface cum Firewall apparet. Haec ratio habenda est in futuro cum retis et optimizing retis commercii consilio.

Sed revertamur ad problema originale inter VRFs excitandi. Ex Firewall additis, ad conclusionem de omnibus VRFs Firewallam necesse est cognoscere. Ad hoc faciendum, omnes VRFs etiam in confinio Foliorum configurari debent, et Firewall VRF cum nexu separato inter se coniungi debent.

Quam ob rem schema apud Agnitum est;

Hoc est, in Firewall opus interfacem configurare unicuique VRF in reticulo sito. In genere, logica perplexa non quaerit et unica res non placet hic ingens numerus interfionum in Firewall, sed tempus est hic de automatione cogitandi.

Fine. Firewall connexi et illud omnibus VRFs addidi. Sed quomodo nunc cogemus commercium ex unoquoque Folio ut per hunc Firewalliam ire possimus?

In Folio Firewall connexo, nullae difficultates oriuntur, cum omnes viae locales sint;

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.254.13.55, [1/0], 6w5d, static       ! маршрут по-умолчанию через Firewall

Sed quid de foliis remotis? Quomodo eos transire defectus itineris externi?

Iustum est, per itineris genus EVPN 5, sicut quaelibet alia praepositio in fabrica VxLAN. Sed hoc non tam simplex est (si de Cisco loquimur, quod cum aliis mercatoribus non sum repressus)

Iter defaltum proscribi debet ex Folio cui Firewall iungitur. Sed ut iter transmittat, Folium ipsum scire debet. Et hic quaestio quaedam oritur (forsitan mihi tantum), itinerarium statically in VRF rescribi debet ubi vis talem viam monstrare:

vrf context PROD10
    ip route 0.0.0.0/0 10.254.13.55

Deinde in configuratione BGP pone hanc viam in AF IPv4;

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0

Sed id nulla enim. Hoc modo defectus itineris in familia non comprehenditur l2vpn evpn. Praeter haec, discrimen configurare debes;

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0
            redistribute static route-map COMMON_OUT

Significamus quae praefixa erit in BGP per discrimen aliquod

route-map COMMON_OUT permit 10
  match ip address prefix-list COMMON_OUT

ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0

Nunc praeposita 0.0.0.0/0 cadit in EVPN itineris genus 5 et ad reliquum Folii traducitur;

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
    ! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен Firewall

In tabula BGP observare etiam possumus itineris genus 5 cum defectu itineris per 10.255.1.5;

* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
                      10.255.1.5                        100          0 i
*>i                   10.255.1.5                        100          0 i

Ex hoc colligitur seriem articulorum ad EVPN devotorum. In posterum operationem VxLAN in coniunctione cum Multicast considerare conabor, quia haec methodus scalmibilis (in momento constitutionis controversiae) consideratur.

Si quaestiones/propositas in re habes, aliquem functionem EVPN - scribe, ulterius deliberabimus.

Source: www.habr.com