🥇VxLAN үйлдвэр. 3-р хэсэг

Сайн уу, Хабр. Би цуврал нийтлэлээ дуусгаж байна, хичээлийн нээлтэд зориулав "Сүлжээний инженер" OTUS, Даавуу дотор чиглүүлэлт хийхдээ VxLAN EVPN технологийг ашиглах, дотоод үйлчилгээнүүдийн хоорондох хандалтыг хязгаарлахын тулд Галт ханыг ашиглах

Цувралын өмнөх хэсгүүдийг дараах холбоосоор үзэх боломжтой.

Өнөөдөр бид VxLAN даавуун доторх чиглүүлэлтийн логикийг үргэлжлүүлэн судлах болно. Өмнөх хэсэгт бид нэг VRF доторх дотоод чиглүүлэлтийн талаар авч үзсэн. Гэсэн хэдий ч сүлжээнд асар олон тооны үйлчлүүлэгчийн үйлчилгээ байж болох бөгөөд тэдгээрийн хооронд хандалтыг ялгахын тулд бүгдийг нь өөр өөр VRF-д хуваарилах ёстой. Сүлжээг тусгаарлахаас гадна бизнес эдгээр үйлчилгээнүүдийн хоорондох хандалтыг хязгаарлахын тулд Галт ханыг холбох шаардлагатай байж болно. Тиймээ, үүнийг хамгийн сайн шийдэл гэж нэрлэж болохгүй, гэхдээ орчин үеийн бодит байдал нь "орчин үеийн шийдэл" шаарддаг.

VRF хооронд чиглүүлэх хоёр сонголтыг авч үзье.

VxLAN даавууг орхихгүйгээр чиглүүлэх;
Гадны тоног төхөөрөмж дээр чиглүүлэлт хийх.

VRF хоорондын чиглүүлэлтийн логикоос эхэлцгээе. Тодорхой тооны VRF байдаг. VRF хооронд чиглүүлэхийн тулд та сүлжээнд байгаа бүх VRF (эсвэл чиглүүлэх шаардлагатай хэсгүүдийн) талаар мэдэх төхөөрөмжийг сонгох хэрэгтэй. Ийм төхөөрөмж нь жишээлбэл, Навч шилжүүлэгчийн аль нэг (эсвэл бүгдийг нэг дор) байж болно. . Энэ топологи дараах байдлаар харагдах болно.

Энэ топологийн сул тал юу вэ?

Энэ нь зөв, Навч бүр сүлжээнд байгаа бүх VRF-ийн талаар (мөн тэдгээрт байгаа бүх мэдээллийг) мэдэх шаардлагатай бөгөөд энэ нь санах ой алдагдах, сүлжээний ачаалал нэмэгдэхэд хүргэдэг. Эцсийн эцэст, Навч шилжүүлэгч бүр сүлжээнд байгаа бүх зүйлийн талаар мэдэх шаардлагагүй байдаг.

Гэсэн хэдий ч, энэ аргыг илүү нарийвчлан авч үзье, учир нь жижиг сүлжээнүүдэд энэ сонголт маш тохиромжтой (хэрэв бизнесийн тодорхой шаардлага байхгүй бол)

Энэ үед танд VRF-ээс VRF руу мэдээллийг хэрхэн шилжүүлэх талаар асуулт гарч ирж магадгүй, учир нь энэ технологийн гол зорилго нь мэдээлэл түгээх нь хязгаарлагдмал байх ёстой.

Хариулт нь чиглүүлэлтийн мэдээллийг экспортлох, импортлох гэх мэт функцүүдэд оршдог (энэ технологийг тохируулах талаар авч үзсэн хоёрдугаарт мөчлөгийн хэсгүүд). Би товчхон давтан хэлье:

AF-д VRF-г тохируулахдаа та зааж өгөх ёстой route-target импорт, экспортын чиглүүлэлтийн мэдээлэл. Та үүнийг автоматаар зааж өгч болно. Дараа нь утгад VRF-тэй холбоотой ASN BGP болон L3 VNI орно. Таны үйлдвэрт зөвхөн нэг ASN байгаа үед энэ нь тохиромжтой:

vrf context PROD20
  address-family ipv4 unicast
    route-target export auto      ! В автоматическом режиме экспортируется RT-65001:99000
    route-target import auto

Гэсэн хэдий ч, хэрэв танд нэгээс олон ASN байгаа бөгөөд тэдгээрийн хооронд маршрутыг шилжүүлэх шаардлагатай бол гараар тохируулах нь илүү тохиромжтой бөгөөд өргөтгөх боломжтой сонголт байх болно. route-target. Гараар тохируулах зөвлөмж бол эхний дугаар бөгөөд өөрт тохирохыг ашиглана уу, жишээлбэл, 9999.
Хоёр дахь нь VRF-ийн VNI-тэй тэнцүү байхаар тохируулагдсан байх ёстой.

Үүнийг дараах байдлаар тохируулцгаая.

vrf context PROD10
  address-family ipv4 unicast
    route-target export 9999:99000          
    route-target import 9999:99000
    route-target import 9999:77000         ! Пример 1 import из другого VRF
    route-target import 9999:88000         ! Пример 2 import из другого VRF

Энэ нь чиглүүлэлтийн хүснэгтэд ямар харагдаж байна:

Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
    *via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN          ! префикс доступен через L3VNI 99000

VRF хооронд чиглүүлэх хоёрдахь хувилбарыг авч үзье - гадаад тоног төхөөрөмж, жишээлбэл Галт хана.

Гадны төхөөрөмжөөр ажиллах хэд хэдэн сонголт байдаг:

Төхөөрөмж нь VxLAN гэж юу болохыг мэддэг бөгөөд бид үүнийг даавууны хэсэгт нэмж болно;
Төхөөрөмж VxLAN-ийн талаар юу ч мэдэхгүй.

Логик нь дээр үзүүлсэнтэй бараг ижил байх тул бид эхний сонголт дээр анхаарлаа хандуулахгүй - бид бүх VRF-ийг Галт хананд авчирч, түүн дээрх VRF-ийн хооронд чиглүүлэлт хийдэг.

Манай Галт хана VxLAN-ийн талаар юу ч мэдэхгүй байгаа хоёр дахь хувилбарыг авч үзье (одоо мэдээж VxLAN дэмжлэгтэй тоног төхөөрөмж гарч ирж байна. Жишээлбэл, Checkpoint R81 хувилбар дээр дэмжлэг үзүүлэхээ зарласан. Та энэ талаар уншиж болно. энд, гэхдээ энэ бүхэн туршилтын шатанд байгаа бөгөөд үйл ажиллагааны тогтвортой байдалд итгэлгүй байна).

Гадаад төхөөрөмжийг холбохдоо бид дараах диаграммыг авна.

Диаграмаас харахад Галт хананы интерфэйс дээр гацаа гарч ирнэ. Ирээдүйд сүлжээг төлөвлөх, сүлжээний урсгалыг оновчтой болгохдоо үүнийг анхаарч үзэх хэрэгтэй.

Гэсэн хэдий ч VRF хоорондын чиглүүлэлтийн анхны асуудал руу буцъя. Галт ханыг нэмсний үр дүнд бид Галт хана нь бүх VRF-ийн талаар мэдэх ёстой гэсэн дүгнэлтэд хүрсэн. Үүнийг хийхийн тулд бүх VRF-г Leafs-ийн хил дээр тохируулсан байх ёстой бөгөөд галт хана нь VRF тус бүртэй тусдаа холбоосоор холбогдсон байх ёстой.

Үүний үр дүнд Галт ханатай схем:

Өөрөөр хэлбэл, Галт хана дээр та сүлжээнд байрлах VRF бүрийн интерфейсийг тохируулах хэрэгтэй. Ерөнхийдөө логик нь тийм ч төвөгтэй мэт санагдахгүй бөгөөд энд надад таалагдахгүй байгаа цорын ганц зүйл бол Галт хана дээрх асар олон тооны интерфейс юм, гэхдээ энд автоматжуулалтын талаар бодох цаг болжээ.

Сайн байна. Бид Галт ханыг холбож, бүх VRF-д нэмсэн. Гэхдээ бид одоо Навч бүрээс ирж буй траффикийг энэ Галт ханаар нэвтрүүлэхийг хэрхэн албадах вэ?

Галт хананд холбогдсон Навч дээр ямар ч асуудал гарахгүй, учир нь бүх маршрутууд нь орон нутгийнх байдаг:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.254.13.55, [1/0], 6w5d, static       ! маршрут по-умолчанию через Firewall

Гэсэн хэдий ч, алсын навчны талаар юу хэлэх вэ? Тэдэнд анхдагч гадаад замыг хэрхэн дамжуулах вэ?

VxLAN дээрх бусад угтвартай адил 5-р төрлийн EVPN маршрутаар дамжуулан зөв. Гэсэн хэдий ч, энэ нь тийм ч энгийн зүйл биш юм (хэрэв бид Cisco-ийн тухай ярьж байгаа бол би бусад үйлдвэрлэгчидтэй холбоо бариагүй)

Галт хана холбогдсон Навчнаас анхдагч маршрутыг сурталчлах ёстой. Гэсэн хэдий ч, маршрутыг дамжуулахын тулд Навч өөрөө үүнийг мэддэг байх ёстой. Эндээс тодорхой асуудал гарч ирж байна (магадгүй зөвхөн миний хувьд), та ийм маршрутыг сурталчлахыг хүсч буй VRF-д маршрутыг статик байдлаар бүртгэх ёстой.

vrf context PROD10
    ip route 0.0.0.0/0 10.254.13.55

Дараа нь BGP тохиргоонд энэ замыг AF IPv4-д тохируулна уу:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0

Гэсэн хэдий ч энэ нь бүгд биш юм. Ингэснээр анхдагч маршрут гэр бүлд багтахгүй l2vpn evpn. Үүнээс гадна та дахин хуваарилалтыг тохируулах хэрэгтэй:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0
            redistribute static route-map COMMON_OUT

Дахин хуваарилах замаар BGP-д ямар угтвар орохыг бид зааж өгнө

route-map COMMON_OUT permit 10
  match ip address prefix-list COMMON_OUT

ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0

Одоо угтвар 0.0.0.0/0 EVPN-ийн 5-р төрлийн маршрутад багтаж, Навчны бусад хэсэгт дамждаг:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
    ! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен Firewall

BGP хүснэгтээс бид 5-аар дамжуулан анхдагч маршрутаар 10.255.1.5-р төрлийн маршрутыг ажиглаж болно:

* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
                      10.255.1.5                        100          0 i
*>i                   10.255.1.5                        100          0 i

EVPN-д зориулсан цуврал нийтлэлүүд үүгээр өндөрлөж байна. Ирээдүйд би VxLAN-ийн ажиллагааг Multicast-тай хамт авч үзэхийг хичээх болно, учир нь энэ аргыг илүү өргөжүүлэх боломжтой гэж үздэг (одоогоор маргаантай мэдэгдэл)

Хэрэв танд энэ сэдвээр асуулт/санал байгаа бол EVPN-ийн ямар нэгэн функцийг анхаарч үзээрэй - бичээрэй, бид үүнийг цаашид авч үзэх болно.

Эх сурвалж: www.habr.com

VxLAN үйлдвэр. 3-р хэсэг

сэтгэгдэл нэмэх хариу цуцлах