🥇VxLAN कारखाना. भाग २ | प्रोहोस्टर

हॅलो, हॅब्र. मी लेखांची मालिका पूर्ण करत आहे, अभ्यासक्रम सुरू करण्यासाठी समर्पित "नेटवर्क अभियंता" OTUS द्वारे, फॅब्रिकमध्ये रूटिंगसाठी VxLAN EVPN तंत्रज्ञान वापरणे आणि अंतर्गत सेवांमधील प्रवेश प्रतिबंधित करण्यासाठी फायरवॉल वापरणे

मालिकेचे मागील भाग खालील लिंक्सवर मिळू शकतात:

आज आपण VxLAN फॅब्रिकमधील राउटिंग लॉजिकचा अभ्यास करत राहू. मागील भागात, आम्ही एकाच VRF मध्ये इंट्रा-फॅब्रिक राउटिंगकडे पाहिले. तथापि, नेटवर्कमध्ये मोठ्या संख्येने क्लायंट सेवा असू शकतात आणि त्या सर्व वेगवेगळ्या VRF मध्ये वितरीत केल्या पाहिजेत जेणेकरून त्यांच्यामधील प्रवेशामध्ये फरक असेल. नेटवर्क वेगळे करण्याव्यतिरिक्त, या सेवांमधील प्रवेश प्रतिबंधित करण्यासाठी व्यवसायाला फायरवॉल कनेक्ट करण्याची आवश्यकता असू शकते. होय, याला सर्वोत्तम उपाय म्हणता येणार नाही, परंतु आधुनिक वास्तवांना "आधुनिक उपाय" आवश्यक आहेत.

VRF मध्ये राउटिंगसाठी दोन पर्यायांचा विचार करूया:

VxLAN फॅब्रिक न सोडता राउटिंग;
बाह्य उपकरणांवर रूटिंग.

चला VRF दरम्यान राउटिंग लॉजिकसह प्रारंभ करूया. व्हीआरएफची ठराविक संख्या आहे. VRFs दरम्यान मार्ग काढण्यासाठी, तुम्हाला नेटवर्कमधील एक डिव्हाइस निवडणे आवश्यक आहे जे सर्व VRF (किंवा ज्या भागांमधील राउटिंग आवश्यक आहे) बद्दल माहिती असेल. असे डिव्हाइस असू शकते, उदाहरणार्थ, लीफ स्विचपैकी एक (किंवा सर्व एकाच वेळी) . हे टोपोलॉजी असे दिसेल:

या टोपोलॉजीचे तोटे काय आहेत?

हे बरोबर आहे, प्रत्येक लीफला नेटवर्कवरील सर्व VRF (आणि त्यामध्ये असलेली सर्व माहिती) माहित असणे आवश्यक आहे, ज्यामुळे मेमरी कमी होते आणि नेटवर्क लोड वाढते. तथापि, बर्‍याचदा प्रत्येक लीफ स्विचला नेटवर्कवर असलेल्या प्रत्येक गोष्टीबद्दल माहिती असणे आवश्यक नसते.

तथापि, या पद्धतीचा अधिक तपशीलवार विचार करूया, कारण लहान नेटवर्कसाठी हा पर्याय अगदी योग्य आहे (कोणत्याही विशिष्ट व्यवसाय आवश्यकता नसल्यास)

या टप्प्यावर, तुम्हाला VRF वरून VRF मध्ये माहिती कशी हस्तांतरित करायची याबद्दल प्रश्न असू शकतो, कारण या तंत्रज्ञानाचा मुद्दा तंतोतंत असा आहे की माहितीचा प्रसार मर्यादित असावा.

आणि उत्तर राउटिंग माहितीची निर्यात आणि आयात यांसारख्या फंक्शन्समध्ये आहे (हे तंत्रज्ञान सेट करणे मध्ये विचारात घेतले होते दुसरा सायकलचे भाग). मी थोडक्यात पुनरावृत्ती करू:

AF मध्ये VRF सेट करताना, आपण निर्दिष्ट करणे आवश्यक आहे route-target आयात आणि निर्यात राउटिंग माहितीसाठी. आपण ते स्वयंचलितपणे निर्दिष्ट करू शकता. नंतर मूल्यामध्ये VRF शी संबंधित ASN BGP आणि L3 VNI समाविष्ट असेल. तुमच्या फॅक्टरीमध्ये फक्त एक ASN असताना हे सोयीस्कर आहे:

vrf context PROD20
  address-family ipv4 unicast
    route-target export auto      ! В автоматическом режиме экспортируется RT-65001:99000
    route-target import auto

तथापि, जर तुमच्याकडे एकापेक्षा जास्त ASN असतील आणि त्यांच्या दरम्यान मार्ग हस्तांतरित करायचे असतील, तर मॅन्युअल कॉन्फिगरेशन हा अधिक सोयीस्कर आणि स्केलेबल पर्याय असेल. route-target. मॅन्युअल सेटअपची शिफारस हा पहिला क्रमांक आहे, तुमच्यासाठी सोयीस्कर असलेला एक वापरा, उदाहरणार्थ, 9999.
दुसरा त्या VRF साठी VNI बरोबर सेट केला पाहिजे.

चला ते खालीलप्रमाणे कॉन्फिगर करूया:

vrf context PROD10
  address-family ipv4 unicast
    route-target export 9999:99000          
    route-target import 9999:99000
    route-target import 9999:77000         ! Пример 1 import из другого VRF
    route-target import 9999:88000         ! Пример 2 import из другого VRF

राउटिंग टेबलमध्ये ते कसे दिसते:

Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
    *via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN          ! префикс доступен через L3VNI 99000

व्हीआरएफ दरम्यान रूटिंगसाठी दुसरा पर्याय विचारात घेऊ या - बाह्य उपकरणांद्वारे, उदाहरणार्थ फायरवॉल.

बाह्य उपकरणाद्वारे कार्य करण्यासाठी अनेक पर्याय आहेत:

डिव्हाइसला VxLAN काय आहे हे माहित आहे आणि आम्ही ते फॅब्रिकच्या भागामध्ये जोडू शकतो;
डिव्हाइसला VxLAN बद्दल काहीही माहिती नाही.

आम्ही पहिल्या पर्यायावर लक्ष ठेवणार नाही, कारण तर्क जवळजवळ वर दर्शविल्याप्रमाणेच असेल - आम्ही सर्व व्हीआरएफ फायरवॉलवर आणतो आणि त्यावर व्हीआरएफ दरम्यान राउटिंग कॉन्फिगर करतो.

दुसऱ्या पर्यायाचा विचार करूया, जेव्हा आमच्या फायरवॉलला VxLAN बद्दल काहीही माहिती नसते (आता अर्थातच VxLAN समर्थन असलेली उपकरणे दिसत आहेत. उदाहरणार्थ, चेकपॉईंटने R81 आवृत्तीमध्ये समर्थन जाहीर केले. तुम्ही त्याबद्दल वाचू शकता. येथेतथापि, हे सर्व चाचणी टप्प्यावर आहे आणि ऑपरेशनच्या स्थिरतेवर विश्वास नाही).

बाह्य उपकरण कनेक्ट करताना, आम्हाला खालील आकृती मिळते:

जसे तुम्ही आकृतीवरून पाहू शकता, फायरवॉलच्या इंटरफेसमध्ये अडचण दिसते. नेटवर्कची योजना आखताना आणि नेटवर्क रहदारी ऑप्टिमाइझ करताना भविष्यात हे लक्षात घेतले पाहिजे.

तथापि, चला VRF दरम्यान रूटिंगच्या मूळ समस्येकडे परत जाऊया. फायरवॉल जोडण्याच्या परिणामी, आम्ही या निष्कर्षावर पोहोचतो की फायरवॉलला सर्व VRF बद्दल माहिती असणे आवश्यक आहे. हे करण्यासाठी, सर्व व्हीआरएफ बॉर्डर लीफवर देखील कॉन्फिगर केले जाणे आवश्यक आहे आणि फायरवॉल प्रत्येक व्हीआरएफशी वेगळ्या लिंकसह कनेक्ट केलेले असणे आवश्यक आहे.

परिणामी, फायरवॉलसह योजना:

म्हणजेच, फायरवॉलवर तुम्हाला नेटवर्कवर असलेल्या प्रत्येक व्हीआरएफसाठी इंटरफेस कॉन्फिगर करणे आवश्यक आहे. सर्वसाधारणपणे, लॉजिक क्लिष्ट दिसत नाही आणि फायरवॉलवरील इंटरफेसची एकच गोष्ट मला येथे आवडत नाही, परंतु येथे ऑटोमेशनबद्दल विचार करण्याची वेळ आली आहे.

ठीक आहे. आम्ही फायरवॉल कनेक्ट केले आणि ते सर्व VRF मध्ये जोडले. पण आता या फायरवॉलमधून जाण्यासाठी आम्ही प्रत्येक पानावरून रहदारी कशी सक्ती करू शकतो?

फायरवॉलला जोडलेल्या लीफवर, कोणतीही समस्या उद्भवणार नाही, कारण सर्व मार्ग स्थानिक आहेत:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.254.13.55, [1/0], 6w5d, static       ! маршрут по-умолчанию через Firewall

तथापि, रिमोट लीफ्सचे काय? त्यांना डीफॉल्ट बाह्य मार्ग कसा पास करायचा?

ते बरोबर आहे, EVPN रूट-प्रकार 5 द्वारे, VxLAN फॅब्रिकवरील इतर कोणत्याही उपसर्गाप्रमाणे. तथापि, हे इतके सोपे नाही (जर आपण सिस्कोबद्दल बोलत आहोत, कारण मी इतर विक्रेत्यांकडे तपासले नाही)

डीफॉल्ट मार्गाची जाहिरात ज्या लीफशी फायरवॉल जोडलेली आहे त्या वरून केली जाणे आवश्यक आहे. तथापि, मार्ग प्रसारित करण्यासाठी, लीफला ते स्वतः माहित असणे आवश्यक आहे. आणि येथे एक विशिष्ट समस्या उद्भवते (कदाचित फक्त माझ्यासाठी), मार्गाची नोंदणी VRF मध्ये स्थिरपणे केली पाहिजे जिथे तुम्हाला अशा मार्गाची जाहिरात करायची आहे:

vrf context PROD10
    ip route 0.0.0.0/0 10.254.13.55

पुढे, BGP कॉन्फिगरेशनमध्ये, हा मार्ग AF IPv4 मध्ये सेट करा:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0

तथापि, ते सर्व नाही. अशा प्रकारे डीफॉल्ट मार्ग कुटुंबात समाविष्ट केला जाणार नाही l2vpn evpn. या व्यतिरिक्त, आपल्याला पुनर्वितरण कॉन्फिगर करणे आवश्यक आहे:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0
            redistribute static route-map COMMON_OUT

आम्ही सूचित करतो की कोणते उपसर्ग पुनर्वितरणाद्वारे BGP मध्ये येतील

route-map COMMON_OUT permit 10
  match ip address prefix-list COMMON_OUT

ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0

आता उपसर्ग 0.0.0.0/0 EVPN रूट-प्रकार 5 मध्ये येते आणि उर्वरित पानांमध्ये प्रसारित केले जाते:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
    ! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен Firewall

बीजीपी टेबलमध्ये आपण 5 मार्गे डीफॉल्ट मार्गासह परिणामी मार्ग-प्रकार 10.255.1.5 देखील पाहू शकतो:

* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
                      10.255.1.5                        100          0 i
*>i                   10.255.1.5                        100          0 i

हे EVPN ला समर्पित लेखांच्या मालिकेचा समारोप करते. भविष्यात, मी मल्टीकास्टच्या संयोगाने VxLAN चे ऑपरेशन विचारात घेण्याचा प्रयत्न करेन, कारण ही पद्धत अधिक स्केलेबल मानली जाते (याक्षणी एक विवादास्पद विधान)

तुमच्याकडे अजूनही या विषयावर प्रश्न/सूचना असल्यास, EVPN ची कोणतीही कार्यक्षमता विचारात घ्या - लिहा, आम्ही पुढे विचार करू.

स्त्रोत: www.habr.com

VxLAN कारखाना. भाग 3

एक टिप्पणी जोडा Отменить ответ