Moien, Habr. Ech fäerdeg eng Serie vun Artikelen, fir de Start vum Cours gewidmet vum OTUS, benotzt VxLAN EVPN Technologie fir Routing am Stoff a benotzt Firewall fir Zougang tëscht internen Servicer ze beschränken
Virdrun Deeler vun der Serie kann op de folgende Linken fonnt ginn:
Haut wäerte mir weider d'Routing Logik am VxLAN Stoff studéieren. Am viregten Deel hu mir d'Intra-Fabric Routing an engem eenzegen VRF gekuckt. Wéi och ëmmer, et kann eng riesech Unzuel vu Clientsservicer am Netz sinn, an all vun hinnen mussen a verschiddene VRFs verdeelt ginn fir den Zougang tëscht hinnen z'ënnerscheeden. Zousätzlech zu der Netz Trennung, muss e Geschäft eventuell eng Firewall verbannen fir den Zougang tëscht dëse Servicer ze beschränken. Jo, dëst kann net déi bescht Léisung genannt ginn, awer modern Realitéite verlaangen "modern Léisungen".
Loosst eis zwou Optioune fir Routing tëscht VRFs betruechten:
- Routing ouni de VxLAN Stoff ze verloossen;
- Routing op extern Ausrüstung.
Loosst eis mat der Routing Logik tëscht VRFs ufänken. Et ginn eng gewëssen Zuel vu VRFs. Fir tëscht VRFs ze routen, musst Dir en Apparat am Netz auswielen, deen iwwer all VRFs kennt (oder Deeler tëscht deenen d'Routing néideg ass). Sou en Apparat kéint zum Beispill ee vun de Leaf-Schalter sinn (oder all op eemol) . Dës Topologie wäert esou ausgesinn:
Wat sinn d'Nodeeler vun dëser Topologie?
Dat ass richteg, all Leaf muss iwwer all VRFs wëssen (an all d'Informatioun déi an hinnen ass) am Netz, wat zu Erënnerungsverloscht a verstäerkter Netzwierkbelaaschtung féiert. No all, brauch all Leaf Schalter ganz dacks net iwwer alles ze wëssen wat am Netz ass.
Awer loosst eis dës Method méi am Detail betruechten, well fir kleng Netzwierker dës Optioun ganz gëeegent ass (wann et keng spezifesch Geschäftsfuerderunge gëtt)
Zu dësem Zäitpunkt kënnt Dir eng Fro hunn wéi Dir Informatioun vu VRF op VRF transferéiert, well de Punkt vun dëser Technologie ass genau datt d'Verbreedung vun Informatioun soll limitéiert sinn.
An d'Äntwert läit a Funktiounen wéi Export an Import vu Routinginformatioun (dës Technologie opzestellen gouf ugesinn Deeler vum Zyklus). Loosst mech kuerz widderhuelen:
Wann Dir VRF an AF setzt, musst Dir uginn route-target fir Import an Export Routing Informatioun. Dir kënnt et automatesch uginn. Da wäert de Wäert och den ASN BGP an L3 VNI verbonne mat der VRF. Dëst ass bequem wann Dir nëmmen een ASN an Ärer Fabréck hutt:
vrf context PROD20
address-family ipv4 unicast
route-target export auto ! В автоматическом режиме экспортируется RT-65001:99000
route-target import autoWann Dir awer méi wéi een ASN hutt a Strecken tëscht hinnen transferéiere musst, da wäert d'manuell Konfiguratioun eng méi praktesch a skalierbar Optioun sinn route-target. D'Empfehlung fir manuell Setup ass déi éischt Nummer, benotzt eng déi Iech bequem ass, zum Beispill, 9999.
Déi zweet soll gesat ginn fir de VNI fir dee VRF ze gläichen.
Loosst eis et wéi follegt konfiguréieren:
vrf context PROD10
address-family ipv4 unicast
route-target export 9999:99000
route-target import 9999:99000
route-target import 9999:77000 ! Пример 1 import из другого VRF
route-target import 9999:88000 ! Пример 2 import из другого VRFWéi gesäit et an der Routing Tabelle aus:
Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
*via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN ! префикс доступен через L3VNI 99000Loosst eis déi zweet Optioun fir Routing tëscht VRFs betruechten - duerch extern Ausrüstung, zum Beispill Firewall.
Et gi verschidde Méiglechkeeten fir duerch en externen Apparat ze schaffen:
- Den Apparat weess wat VxLAN ass a mir kënnen et op en Deel vum Stoff addéieren;
- Den Apparat weess näischt iwwer VxLAN.
Mir wäerten net op déi éischt Optioun wunnen, well d'Logik bal d'selwecht wäert sinn wéi hei uewen gewisen - mir bréngen all VRFs op d'Firewall a konfiguréieren Routing tëscht VRFs op et.
Loosst eis déi zweet Optioun betruechten, wann eis Firewall näischt iwwer VxLAN weess (elo gëtt natierlech Ausrüstung mat VxLAN-Ënnerstëtzung erschéngt. Zum Beispill huet Checkpoint seng Ënnerstëtzung an der Versioun R81 ugekënnegt. Dir kënnt doriwwer liesen , awer dëst ass alles an der Teststadium an et gëtt kee Vertrauen an d'Stabilitéit vun der Operatioun).
Wann Dir en externen Apparat verbënnt, kréie mir de folgenden Diagramm:
Wéi Dir aus dem Diagramm kënnt gesinn, erschéngt e Flaschenhals op der Interface mat der Firewall. Dëst muss an Zukunft Rechnung gedroe ginn beim Planung vum Netz an der Optimisatioun vum Netzverkéier.
Wéi och ëmmer, loosst eis zréck op den urspréngleche Problem vum Routing tëscht VRFs. Als Resultat vun der Firewall derbäi, komme mir zur Conclusioun datt d'Firewall iwwer all VRFs muss wëssen. Fir dëst ze maachen, mussen all VRFs och op der Grenz Leafs konfiguréiert sinn, an d'Firewall muss mat engem separaten Link op all VRF verbonne sinn.
Als Resultat ass de Schema mat Firewall:
Dat ass, op der Firewall musst Dir eng Interface fir all VRF am Netz konfiguréieren. Am Allgemengen gesäit d'Logik net komplizéiert aus an dat eenzegt wat ech hei net gär hunn ass déi rieseg Unzuel vun Interfaces op der Firewall, awer hei ass et Zäit fir iwwer Automatioun ze denken.
Gutt. Mir hunn d'Firewall verbonnen an et op all VRFs bäigefüügt. Awer wéi kënne mir elo den Traffic vun all Leaf forcéieren duerch dës Firewall ze goen?
Op Leaf verbonne mat der Firewall wäerte keng Probleemer entstoen, well all routes lokal sinn:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.254.13.55, [1/0], 6w5d, static ! маршрут по-умолчанию через FirewallWéi och ëmmer, wat iwwer Remote Leafs? Wéi passéiere se se de Standard externe Wee?
Dat ass richteg, duerch EVPN Route-Typ 5, wéi all aner Präfix iwwer de VxLAN Stoff. Wéi och ëmmer, dëst ass net sou einfach (wa mir iwwer Cisco schwätzen, well ech net mat anere Verkeefer gepréift hunn)
De Standardroute muss aus dem Leaf ugekënnegt ginn, mat deem d'Firewall verbonnen ass. Wéi och ëmmer, fir d'Streck ze vermëttelen, muss de Leaf et selwer wëssen. An hei entsteet e gewëssen Problem (vläicht nëmme fir mech), de Wee muss statesch am VRF ugemellt sinn, wou een esou eng Streck wëll annoncéieren:
vrf context PROD10
ip route 0.0.0.0/0 10.254.13.55Als nächst, an der BGP Konfiguratioun, setzt dëse Wee an AF IPv4:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0Allerdéngs ass dat net alles. Op dës Manéier gëtt de Standardroute net an der Famill abegraff l2vpn evpn. Zousätzlech zu dësem, musst Dir d'Ëmverdeelung konfiguréieren:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0
redistribute static route-map COMMON_OUTMir weisen op wéi eng Präfixe duerch Ëmverdeelung an de BGP kommen
route-map COMMON_OUT permit 10
match ip address prefix-list COMMON_OUT
ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0Elo de Präfix 0.0.0.0/0 fällt an den EVPN Route-Typ 5 a gëtt op de Rescht vum Leaf iwwerdroen:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен FirewallAn der BGP Tabelle kënne mir och de resultéierende Wee-Typ 5 mat der Standardroute iwwer 10.255.1.5 beobachten:
* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
10.255.1.5 100 0 i
*>i 10.255.1.5 100 0 iDëst schléisst d'Serie vun Artikelen déi dem EVPN gewidmet sinn of. An Zukunft wäert ech probéieren d'Operatioun vu VxLAN a Verbindung mat Multicast ze berücksichtegen, well dës Method als méi skalierbar ugesi gëtt (am Moment eng kontrovers Ausso)
Wann Dir nach Froen / Suggestioune zum Thema hutt, betruecht all Funktionalitéit vum EVPN - schreiwen, mir wäerten et weider berücksichtegen.
Source: will.com