ProHoster > Blog > fitantanan-draharaha > orinasa VxLAN. Fizarana 3

orinasa VxLAN. Fizarana 3

Salama, Habr. Mamarana lahatsoratra maromaro aho, natokana ho amin'ny fanombohana ny taranja "Injeniera tambajotra" avy amin'ny OTUS, mampiasa ny teknolojia VxLAN EVPN amin'ny fandehanana ao anaty lamba ary mampiasa Firewall mba hamerana ny fidirana eo amin'ny serivisy anatiny

orinasa VxLAN. Fizarana 3

Ny ampahany teo aloha amin'ny andiany dia azo jerena amin'ireto rohy manaraka ireto:

Androany dia hanohy ny fandalinana ny lojika zotra ao anatin'ny lamba VxLAN isika. Ao amin'ny ampahany teo aloha, dia nijery ny intra-fabric routing ao anatin'ny VRF tokana. Na izany aza, mety ho be dia be ny serivisy mpanjifa ao amin'ny tambajotra, ary izy rehetra dia tsy maintsy zaraina amin'ny VRF samihafa mba hanavahana ny fidirana amin'izy ireo. Ho fanampin'ny fisarahana amin'ny tambajotra, mety mila mampifandray Firewall ny orinasa iray mba hamerana ny fidirana amin'ireo serivisy ireo. Eny, tsy azo antsoina hoe vahaolana tsara indrindra izany, fa ny zava-misy maoderina dia mitaky "vahaolana maoderina".

Andeha hodinihintsika safidy roa amin'ny fampitaovana eo anelanelan'ny VRFs:

  1. Mandeha tsy miala amin'ny lamba VxLAN;
  2. Fiarovana amin'ny fitaovana ivelany.

Andao atomboka amin'ny lojikan'ny lalana eo anelanelan'ny VRFs. Misy isa maromaro ny VRFs. Raha te handeha eo anelanelan'ny VRF dia mila misafidy fitaovana iray ao amin'ny tambajotra ianao izay hahalala ny momba ny VRF rehetra (na ny ampahany ilaina amin'ny zotra). . Ity topologie ity dia ho toy izao:

orinasa VxLAN. Fizarana 3

Inona no tsy fahampian'ity topolojia ity?

Marina izany, ny Leaf tsirairay dia mila mahafantatra momba ny VRF rehetra (sy ny fampahalalana rehetra ao aminy) ao amin'ny tambajotra, izay mitarika amin'ny fahaverezan'ny fitadidiana sy ny fitomboan'ny enta-mavesatry ny tambajotra. Rehefa dinihina tokoa, matetika ny switch Leaf tsirairay dia tsy mila mahafantatra ny zava-drehetra ao amin'ny tambajotra.

Na izany aza, andeha hodinihintsika amin'ny antsipiriany bebe kokoa ity fomba ity, satria ho an'ny tambajotra kely dia mety io safidy io (raha tsy misy fepetra manokana momba ny orinasa)

Amin'izao fotoana izao, mety manana fanontaniana momba ny fomba famindrana ny vaovao avy amin'ny VRF mankany VRF ianao, satria ny tanjon'ity teknolojia ity dia ny hoe tokony ho voafetra ny fanaparitahana vaovao.

Ary ny valiny dia mipetraka amin'ny fiasa toy ny fanondranana sy fanafarana fampahalalana momba ny lalana (ny fametrahana ity teknolojia ity dia nodinihina tao amin'ny ny faharoa ampahany amin'ny tsingerina). Averiko fohifohy:

Rehefa mametraka VRF amin'ny AF ianao dia tsy maintsy mamaritra route-target ho an'ny fampahalalana momba ny fanafarana sy fanondranana. Azonao atao ny mamaritra azy ho azy. Avy eo ny sanda dia ahitana ny ASN BGP sy L3 VNI mifandray amin'ny VRF. Mety izany raha tsy manana ASN tokana ao amin'ny orinasanao ianao: 

vrf context PROD20
  address-family ipv4 unicast
    route-target export auto      ! Π’ автоматичСском Ρ€Π΅ΠΆΠΈΠΌΠ΅ экспортируСтся RT-65001:99000
    route-target import auto

Na izany aza, raha manana ASN mihoatra ny iray ianao ary mila mamindra lalana eo anelanelan'izy ireo, dia ho safidy mety kokoa sy azo scalable ny fanamafisana manual. route-target. Ny tolo-kevitra ho an'ny setup manual dia ny laharana voalohany, ampiasao ny iray mety aminao, ohatra, 9999.
Ny faharoa dia tokony hapetraka hitovy amin'ny VNI ho an'io VRF io.

Andeha hojerentsika toy izao manaraka izao:

vrf context PROD10
  address-family ipv4 unicast
    route-target export 9999:99000          
    route-target import 9999:99000
    route-target import 9999:77000         ! ΠŸΡ€ΠΈΠΌΠ΅Ρ€ 1 import ΠΈΠ· Π΄Ρ€ΡƒΠ³ΠΎΠ³ΠΎ VRF
    route-target import 9999:88000         ! ΠŸΡ€ΠΈΠΌΠ΅Ρ€ 2 import ΠΈΠ· Π΄Ρ€ΡƒΠ³ΠΎΠ³ΠΎ VRF

Inona no miseho eo amin'ny tabilao routing:

Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
    *via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN          ! прСфикс доступСн Ρ‡Π΅Ρ€Π΅Π· L3VNI 99000

Andeha hodinihintsika ny safidy faharoa amin'ny fampitaovana eo anelanelan'ny VRF - amin'ny alΓ lan'ny fitaovana ivelany, ohatra Firewall.

Misy safidy maromaro ahafahana miasa amin'ny fitaovana ivelany:

  1. Fantatry ny fitaovana ny atao hoe VxLAN ary azontsika ampiana amin'ny ampahany amin'ny lamba;
  2. Tsy mahalala na inona na inona momba ny VxLAN ilay fitaovana.

Tsy hipetraka amin'ny safidy voalohany isika, satria ny lojika dia saika mitovy amin'ny aseho etsy ambony - mitondra ny VRF rehetra amin'ny Firewall izahay ary manamboatra ny lalana eo anelanelan'ny VRF eo aminy.

Andeha hodinihintsika ny safidy faharoa, rehefa tsy mahalala na inona na inona momba ny VxLAN ny Firewall-ntsika (ankehitriny, mazava ho azy, mipoitra ny fitaovana miaraka amin'ny fanohanana VxLAN. Ohatra, ny Checkpoint dia nanambara ny fanohanany tamin'ny version R81. Azonao atao ny mamaky momba izany eto, na izany aza, izany rehetra izany dia eo amin'ny dingana fitsapana ary tsy misy fahatokisana amin'ny fahamarinan'ny asa).

Rehefa mampifandray fitaovana ivelany dia mahazo izao kisary manaraka izao:

orinasa VxLAN. Fizarana 3

Araka ny hitanao avy amin'ny kisary, misy bottleneck miseho eo amin'ny interface miaraka amin'ny Firewall. Tsy maintsy raisina amin'ny ho avy izany rehefa manomana ny tambajotra sy manatsara ny fifamoivoizana amin'ny tambajotra.

Na izany aza, andeha isika hiverina amin'ny olana tany am-boalohany momba ny fandalovan'ny VRF. Vokatry ny fampidirana ny Firewall dia tonga amin'ny fanatsoahan-kevitra isika fa ny Firewall dia tsy maintsy mahafantatra momba ny VRFs rehetra. Mba hanaovana izany, ny VRFs rehetra dia tsy maintsy amboarina amin'ny sisin-tany ihany koa, ary ny Firewall dia tsy maintsy mifandray amin'ny VRF tsirairay miaraka amin'ny rohy misaraka.

Vokatr'izany, ny drafitra miaraka amin'ny Firewall:

orinasa VxLAN. Fizarana 3

Izany hoe, ao amin'ny Firewall dia mila manamboatra interface tsara amin'ny VRF tsirairay ao amin'ny tambajotra ianao. Amin'ny ankapobeny, toa tsy sarotra ny lojika ary ny hany zavatra tsy tiako eto dia ny isan'ny interface tsara amin'ny Firewall, fa izao no fotoana hieritreretana momba ny automation.

tsara. Nampifandray ny Firewall izahay ary nampidirinay tamin'ny VRF rehetra. Ahoana anefa no hanerena ny fifamoivoizana avy amin'ny Ravin-kazo tsirairay handalo ity Firewall ity?

Amin'ny Leaf mifandray amin'ny Firewall dia tsy hisy olana hitranga, satria eo an-toerana ny lalana rehetra:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.254.13.55, [1/0], 6w5d, static       ! ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ ΠΏΠΎ-ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ Ρ‡Π΅Ρ€Π΅Π· Firewall

Ahoana anefa ny amin'ny Leafs lavitra? Ahoana no handefasana azy ireo ny lalana ivelany ivelany?

Marina izany, amin'ny alΓ lan'ny EVPN route-type 5, toy ny prefix hafa rehetra amin'ny lamba VxLAN. Na izany aza, tsy dia tsotra loatra izany (raha Cisco no resahina, satria tsy mbola nanamarina tamin'ny mpivarotra hafa aho)

Tsy maintsy atao dokam-barotra avy amin'ny Leaf izay ampifandraisina amin'ny Firewall ny lalana mahazatra. Na izany aza, mba hampitana ny lalana dia tsy maintsy mahafantatra azy ny Leaf. Ary eto dia misy olana iray (angamba ho ahy ihany), ny lalana dia tsy maintsy misoratra anarana amin'ny VRF izay tianao hanaovana dokam-barotra toy izany:

vrf context PROD10
    ip route 0.0.0.0/0 10.254.13.55

Manaraka, ao amin'ny BGP configuration, apetraho amin'ny AF IPv4 ity lalana ity:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0

Tsy izay ihany anefa. Amin'izany fomba izany dia tsy ho tafiditra ao amin'ny fianakaviana ny lalana mahazatra l2vpn evpn. Ho fanampin'izany dia mila manamboatra redistribution ianao:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0
            redistribute static route-map COMMON_OUT

Tondroinay hoe iza amin'ireo prefix no hiditra ao amin'ny BGP amin'ny alΓ lan'ny fizarana indray

route-map COMMON_OUT permit 10
  match ip address prefix-list COMMON_OUT

ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0

Ankehitriny ny prefix 0.0.0.0/0 latsaka ao amin'ny EVPN route-type 5 ary ampitaina amin'ny Leaf sisa:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
    ! 10.255.1.5 - Π’ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½Ρ‹ΠΉ адрСс Leaf(Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ Leaf Π²Ρ‹ΡΡ‚ΡƒΠΏΠ°ΡŽΡ‚ Π² качСствС VPΠ‘ ΠΏΠ°Ρ€Ρ‹), ΠΊ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌΡƒ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ Firewall

Ao amin'ny tabilao BGP dia azontsika atao ihany koa ny mijery ny lalana-karazana 5 miaraka amin'ny lalana default amin'ny 10.255.1.5:

* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
                      10.255.1.5                        100          0 i
*>i                   10.255.1.5                        100          0 i

Izany dia mamarana ny andian-dahatsoratra natokana ho an'ny EVPN. Amin'ny ho avy dia hiezaka ny handinika ny fiasan'ny VxLAN aho miaraka amin'ny Multicast, satria io fomba io dia heverina ho azo ekena kokoa (amin'izao fotoana izao dia fanambarana mampiady hevitra)

Raha mbola manana fanontaniana / soso-kevitra momba ny lohahevitra ianao dia diniho ny fiasan'ny EVPN - manorata, hodinihintsika bebe kokoa izany.

orinasa VxLAN. Fizarana 3

Source: www.habr.com

Add a comment