Hello, habr. Bħalissa jien il-mexxej tal-kors għall-kors tal-Inġinier tan-Netwerk fl-OTUS.
B'antiċipazzjoni tal-bidu ta' reġistrazzjoni ġdida għall-kors , ħejjejt serje ta 'artikoli dwar it-teknoloġija VxLAN EVPN.
Hemm ammont kbir ta 'materjal dwar kif jaħdem VxLAN EVPN, għalhekk irrid niġbor diversi kompiti u prattiki biex issolvi problemi f'ċentru tad-dejta modern.
Fl-ewwel parti tas-serje dwar it-teknoloġija VxLAN EVPN, irrid inħares lejn mod kif norganizza l-konnettività L2 bejn hosts fuq drapp tan-netwerk.
L-eżempji kollha se jsiru fuq Cisco Nexus 9000v, immuntat fit-topoloġija Spine-Leaf. Aħna mhux se noqogħdu fuq it-twaqqif ta 'netwerk Underlay f'dan l-artikolu.
- Netwerk tal-qiegħ
- BGP peering għall-indirizz-familja l2vpn evpn
- Twaqqif ta 'NVE
- Jrażżan-arp
Netwerk tal-qiegħ
It-topoloġija użata hija kif ġej:
Ejja nissettjaw l-indirizzar fuq l-apparati kollha:
Spine-1 - 10.255.1.101
Spine-2 - 10.255.1.102
Leaf-11 - 10.255.1.11
Leaf-12 - 10.255.1.12
Leaf-21 - 10.255.1.21
Host-1 - 192.168.10.10
Host-2 - 192.168.10.20Ejja niċċekkjaw li hemm konnettività IP bejn l-apparati kollha:
Leaf21# sh ip route
<........>
10.255.1.11/32, ubest/mbest: 2/0 ! Leaf-11 доступен чеерз два Spine
*via 10.255.1.101, Eth1/4, [110/81], 00:00:03, ospf-UNDERLAY, intra
*via 10.255.1.102, Eth1/3, [110/81], 00:00:03, ospf-UNDERLAY, intra
10.255.1.12/32, ubest/mbest: 2/0 ! Leaf-12 доступен чеерз два Spine
*via 10.255.1.101, Eth1/4, [110/81], 00:00:03, ospf-UNDERLAY, intra
*via 10.255.1.102, Eth1/3, [110/81], 00:00:03, ospf-UNDERLAY, intra
10.255.1.21/32, ubest/mbest: 2/0, attached
*via 10.255.1.22, Lo0, [0/0], 00:02:20, local
*via 10.255.1.22, Lo0, [0/0], 00:02:20, direct
10.255.1.101/32, ubest/mbest: 1/0
*via 10.255.1.101, Eth1/4, [110/41], 00:00:06, ospf-UNDERLAY, intra
10.255.1.102/32, ubest/mbest: 1/0
*via 10.255.1.102, Eth1/3, [110/41], 00:00:03, ospf-UNDERLAY, intraEjja niċċekkjaw li d-dominju VPC inħoloq u ż-żewġ swiċċijiet għaddew mill-kontroll tal-konsistenza u s-settings fuq iż-żewġ nodi huma identiċi:
Leaf11# show vpc
vPC domain id : 1
Peer status : peer adjacency formed ok
vPC keep-alive status : peer is alive
Configuration consistency status : success
Per-vlan consistency status : success
Type-2 consistency status : success
vPC role : primary
Number of vPCs configured : 0
Peer Gateway : Disabled
Dual-active excluded VLANs : -
Graceful Consistency Check : Enabled
Auto-recovery status : Disabled
Delay-restore status : Timer is off.(timeout = 30s)
Delay-restore SVI status : Timer is off.(timeout = 10s)
Operational Layer3 Peer-router : Disabled
vPC status
----------------------------------------------------------------------------
Id Port Status Consistency Reason Active vlans
-- ------------ ------ ----------- ------ ---------------
5 Po5 up success success 1Peering BGP
Fl-aħħarnett, tista 'tgħaddi għat-twaqqif tan-netwerk Overlay.
Bħala parti mill-artikolu, huwa meħtieġ li jiġi organizzat netwerk bejn l-ospiti, kif muri fid-dijagramma hawn taħt:
Biex tikkonfigura netwerk Overlay, jeħtieġ li tattiva BGP fuq is-swiċċijiet Spine u Leaf b'appoġġ għall-familja l2vpn evpn:
feature bgp
nv overlay evpnSussegwentement, għandek bżonn tikkonfigura l-peering BGP bejn Leaf u Spine. Biex nissimplifikaw is-setup u jottimizzaw id-distribuzzjoni tal-informazzjoni dwar ir-rotta, aħna kkonfiguraw Spine bħala server tar-Rotta-Riflettur. Aħna se niktbu l-Leaf kollha fil-konfigurazzjoni billi tuża mudelli biex ottimizzaw is-setup.
Allura s-settings fuq Spine jidhru bħal dan:
router bgp 65001
template peer LEAF
remote-as 65001
update-source loopback0
address-family l2vpn evpn
send-community
send-community extended
route-reflector-client
neighbor 10.255.1.11
inherit peer LEAF
neighbor 10.255.1.12
inherit peer LEAF
neighbor 10.255.1.21
inherit peer LEAFIs-setup fuq is-swiċċ Leaf tidher simili:
router bgp 65001
template peer SPINE
remote-as 65001
update-source loopback0
address-family l2vpn evpn
send-community
send-community extended
neighbor 10.255.1.101
inherit peer SPINE
neighbor 10.255.1.102
inherit peer SPINEFuq Spine, ejja niċċekkjaw il-peering bl-iswiċċijiet kollha tal-Leaf:
Spine1# sh bgp l2vpn evpn summary
<.....>
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.255.1.11 4 65001 7 8 6 0 0 00:01:45 0
10.255.1.12 4 65001 7 7 6 0 0 00:01:16 0
10.255.1.21 4 65001 7 7 6 0 0 00:01:01 0Kif tistgħu taraw, ma kien hemm l-ebda problemi bil-BGP. Ejja ngħaddu għat-twaqqif ta' VxLAN. Konfigurazzjoni ulterjuri se ssir biss fuq in-naħa tal-Leaf tas-swiċċijiet. Is-sinsla taġixxi biss bħala l-qalba tan-netwerk u hija involuta biss fit-trażmissjoni tat-traffiku. Ix-xogħol kollu ta 'inkapsulament u determinazzjoni tal-mogħdija jseħħ biss fuq swiċċijiet tal-Leaf.
Twaqqif ta 'NVE
NVE - interface virtwali tan-netwerk
Qabel ma nibdew is-setup, ejja nintroduċu xi terminoloġija:
VTEP - Vitual Tunnel End Point, l-apparat li fuqu tibda jew tispiċċa l-mina VxLAN. VTEP mhuwiex neċessarjament kwalunkwe apparat tan-netwerk. Server li jappoġġja t-teknoloġija VxLAN jista' jaġixxi wkoll bħala server. Fit-topoloġija tagħna, l-iswiċċijiet kollha tal-Leaf huma VTEP.
VNI - Virtual Network Index - identifikatur tan-netwerk fi ħdan VxLAN. Tista' ssir analoġija ma' VLAN. Madankollu, hemm xi differenzi. Meta tuża drapp, il-VLANs isiru uniċi biss fi ħdan swiċċ Leaf wieħed u ma jiġux trażmessi madwar in-netwerk. Iżda kull VLAN jista 'jkollha numru VNI assoċjat miegħu, li diġà huwa trażmess fuq in-netwerk. Kif jidher u kif jista' jintuża se jiġi diskuss aktar.
Ejja nippermettu li l-karatteristika għat-teknoloġija VxLAN taħdem u l-abbiltà li nassoċjaw in-numri VLAN ma 'numru VNI:
feature nv overlay
feature vn-segment-vlan-basedEjja kkonfigurat l-interface NVE, li hija responsabbli għat-tħaddim ta 'VxLAN. Din l-interface hija responsabbli għall-inkapsulazzjoni ta' frames f'headers VxLAN. Tista' tiġbed analoġija mal-interface tal-Mina għal GRE:
interface nve1
no shutdown
host-reachability protocol bgp ! используем BGP для передачи маршрутной информации
source-interface loopback0 ! интерфейс с которого отправляем пакеты loopback0Fuq is-swiċċ Leaf-21 kollox jinħoloq mingħajr problemi. Madankollu, jekk niċċekkjaw l-output tal-kmand show nve peers, allura jkun vojt. Hawnhekk għandek bżonn terġa 'lura għall-konfigurazzjoni tal-VPC. Naraw li Leaf-11 u Leaf-12 jaħdmu f'pari u huma magħqudin minn dominju VPC. Dan jagħtina s-sitwazzjoni li ġejja:
Host-2 jibgħat frejm wieħed lejn Leaf-21 sabiex jittrasmettih fuq in-netwerk lejn Host-1. Madankollu, Leaf-21 jara li l-indirizz MAC ta 'Host-1 huwa aċċessibbli permezz ta' żewġ VTEPs f'daqqa. X'għandu jagħmel Leaf-21 f'dan il-każ? Wara kollox, dan ifisser li linja tista 'tidher fin-netwerk.
Biex issolvi din is-sitwazzjoni, neħtieġu Leaf-11 u Leaf-12 biex jaġixxu wkoll bħala apparat wieħed fil-fabbrika. Is-soluzzjoni hija pjuttost sempliċi. Fuq l-interface Loopback li minnha nibnu l-mina, żid indirizz sekondarju. L-indirizz Sekondarju għandu jkun l-istess fuq iż-żewġ VTEPs.
interface loopback0
ip add 10.255.1.10/32 secondaryGħalhekk, mil-lat ta 'VTEPs oħra, aħna jkollna t-topoloġija li ġejja:
Jiġifieri, issa l-mina se tinbena bejn l-indirizz IP tal-Leaf-21 u l-IP virtwali bejn żewġ Leaf-11 u Leaf-12. Issa mhux se jkun hemm problemi biex jitgħallmu l-indirizz MAC minn żewġ apparati u t-traffiku jista 'jiċċaqlaq minn VTEP għal ieħor. Liema miż-żewġ VTEPs se jipproċessaw it-traffiku huwa deċiż billi tuża t-tabella tar-routing fuq Spine:
Spine1# sh ip route
<.....>
10.255.1.10/32, ubest/mbest: 2/0
*via 10.255.1.11, Eth1/1, [110/41], 1d01h, ospf-UNDERLAY, intra
*via 10.255.1.12, Eth1/2, [110/41], 1d01h, ospf-UNDERLAY, intra
10.255.1.11/32, ubest/mbest: 1/0
*via 10.255.1.11, Eth1/1, [110/41], 1d22h, ospf-UNDERLAY, intra
10.255.1.12/32, ubest/mbest: 1/0
*via 10.255.1.12, Eth1/2, [110/41], 1d01h, ospf-UNDERLAY, intraKif tistgħu taraw hawn fuq, l-indirizz 10.255.1.10 huwa disponibbli immedjatament permezz ta 'żewġ Next-hops.
F'dan l-istadju, ittrattati l-konnettività bażika. Ejja ngħaddu għat-twaqqif tal-interface NVE:
Ejja nippermettu immedjatament Vlan 10 u nassoċjawha ma 'VNI 10000 fuq kull Leaf għall-ospiti. Ejja nwaqqfu mina L2 bejn l-ospiti
vlan 10 ! Включаем VLAN на всех VTEP подключенных к необходимым хостам
vn-segment 10000 ! Ассоциируем VLAN с номер VNI
interface nve1
member vni 10000 ! Добавляем VNI 10000 для работы через интерфейс NVE. для инкапсуляции в VxLAN
ingress-replication protocol bgp ! указываем, что для распространения информации о хосте используем BGPIssa ejja niċċekkjaw nve peers u t-tabella għal BGP EVPN:
Leaf21# sh nve peers
Interface Peer-IP State LearnType Uptime Router-Mac
--------- --------------- ----- --------- -------- -----------------
nve1 10.255.1.10 Up CP 00:00:41 n/a ! Видим что peer доступен с secondary адреса
Leaf11# sh bgp l2vpn evpn
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10.255.1.11:32777 (L2VNI 10000) ! От кого именно пришел этот l2VNI
*>l[3]:[0]:[32]:[10.255.1.10]/88 ! EVPN route-type 3 - показывает нашего соседа, который так же знает об l2VNI10000
10.255.1.10 100 32768 i
*>i[3]:[0]:[32]:[10.255.1.20]/88
10.255.1.20 100 0 i
* i 10.255.1.20 100 0 i
Route Distinguisher: 10.255.1.21:32777
* i[3]:[0]:[32]:[10.255.1.20]/88
10.255.1.20 100 0 i
*>i 10.255.1.20 100 0 iHawn fuq naraw biss rotot EVPN tat-tip 3. Dan it-tip ta 'rotta titkellem dwar peer(Leaf), imma fejn huma l-ospiti tagħna?
Il-ħaġa hija li l-informazzjoni dwar il-MAC hosts tiġi trażmessa permezz tat-tip 2 tar-rotta EVPN
Sabiex tara l-ospiti tagħna, għandek bżonn tikkonfigura t-tip tar-rotta EVPN 2:
evpn
vni 10000 l2
route-target import auto ! в рамках данной статьи используем автоматический номер для route-target
route-target export autoEjja ping minn Host-2 għal Host-1:
Firewall2# ping 192.168.10.1
PING 192.168.10.1 (192.168.10.1): 56 data bytes
36 bytes from 192.168.10.2: Destination Host Unreachable
Request 0 timed out
64 bytes from 192.168.10.1: icmp_seq=1 ttl=254 time=215.555 ms
64 bytes from 192.168.10.1: icmp_seq=2 ttl=254 time=38.756 ms
64 bytes from 192.168.10.1: icmp_seq=3 ttl=254 time=42.484 ms
64 bytes from 192.168.10.1: icmp_seq=4 ttl=254 time=40.983 msU hawn taħt nistgħu naraw li rotta tat-tip 2 b'indirizz MAC ospitanti deher fit-tabella BGP - 5001.0007.0007 u 5001.0008.0007
Leaf11# sh bgp l2vpn evpn
<......>
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10.255.1.11:32777 (L2VNI 10000)
*>l[2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216 ! evpn route-type 2 и mac адрес хоста 1
10.255.1.10 100 32768 i
*>i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216 ! evpn route-type 2 и mac адрес хоста 2
* i 10.255.1.20 100 0 i
*>l[3]:[0]:[32]:[10.255.1.10]/88
10.255.1.10 100 32768 i
Route Distinguisher: 10.255.1.21:32777
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216
10.255.1.20 100 0 i
*>i 10.255.1.20 100 0 iSussegwentement, tista 'tara informazzjoni dettaljata dwar Aġġornament, li fiha rċevejt informazzjoni dwar il-MAC Host. Hawn taħt mhux l-output tal-kmand kollu.
Leaf21# sh bgp l2vpn evpn 5001.0007.0007
BGP routing table information for VRF default, address family L2VPN EVPN
Route Distinguisher: 10.255.1.11:32777 ! отправил Update с MAC Host. Не виртуальный адрес VPC, а адрес Leaf
BGP routing table entry for [2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216,
version 1507
Paths: (2 available, best #2)
Flags: (0x000202) (high32 00000000) on xmit-list, is not in l2rib/evpn, is not i
n HW
Path type: internal, path is valid, not best reason: Neighbor Address, no labe
led nexthop
AS-Path: NONE, path sourced internal to AS
10.255.1.10 (metric 81) from 10.255.1.102 (10.255.1.102) ! с кем именно строим VxLAN тоннель
Origin IGP, MED not set, localpref 100, weight 0
Received label 10000 ! Номер VNI, который ассоциирован с VLAN, в котором находится Host
Extcommunity: RT:65001:10000 SOO:10.255.1.10:0 ENCAP:8 ! Тут видно, что RT сформировался автоматически на основе номеров AS и VNI
Originator: 10.255.1.11 Cluster list: 10.255.1.102
<........>Ejja naraw kif jidhru l-frejms meta jgħaddu mill-fabbrika:
Jrażżan-ARP
Kbir, issa għandna komunikazzjoni L2 bejn l-ospiti u nistgħu nispiċċaw hemm. Madankollu, mhux kollha daqshekk sempliċi. Sakemm ikollna ftit hosts mhux se jkun hemm problemi. Imma ejja nimmaġinaw sitwazzjoni fejn għandna mijiet u eluf ta’ hosts. Liema problema nistgħu niffaċċjaw?
Din il-problema hija traffiku BUM(Broadcast, Unknown Unicast, Multicast). F'dan l-artikolu, se nikkunsidraw l-għażla li nittrattaw it-traffiku tax-xandir.
Il-ġeneratur ewlieni tax-Xandir fin-netwerks Ethernet huwa l-ospiti nfushom permezz tal-protokoll ARP.
Nexus jimplimenta l-mekkaniżmu li ġej biex jiġġieled it-talbiet ARP - suppress-arp.
Din il-karatteristika taħdem kif ġej:
- Host-1 jibgħat talba APR lill-indirizz tax-Xandir tan-netwerk tiegħu.
- It-talba tasal fis-swiċċ tal-Leaf u minflok tgħaddi din it-talba aktar lill-drapp lejn Host-2, Leaf twieġeb hi stess u tindika l-IP u l-MAC meħtieġa.
B’hekk, it-talba tax-Xandir ma marritx fil-fabbrika. Imma kif jista 'jaħdem jekk Leaf biss jaf l-indirizz MAC?
Kollox huwa pjuttost sempliċi, it-tip ta 'rotta EVPN 2, minbarra l-indirizz MAC, jista' jittrasmetti kombinazzjoni MAC/IP. Biex tagħmel dan, għandek bżonn tikkonfigura indirizz IP fil-VLAN fuq Leaf. Tqum il-mistoqsija, liema IP għandi nissettja? Fuq nexus huwa possibbli li jinħoloq indirizz distribwit (l-istess) fuq l-iswiċċijiet kollha:
feature interface-vlan
fabric forwarding anycast-gateway-mac 0001.0001.0001 ! задаем virtual mac для создания распределенного шлюза между всеми коммутаторами
interface Vlan10
no shutdown
ip address 192.168.10.254/24 ! на всех Leaf задаем одинаковый IP
fabric forwarding mode anycast-gateway ! говорим использовать Virtual macGħalhekk, mill-perspettiva tal-ospiti, in-netwerk se jidher bħal dan:
Ejja niċċekkjaw BGP l2route evpn
Leaf11# sh bgp l2vpn evpn
<......>
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10.255.1.11:32777 (L2VNI 10000)
*>l[2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216
10.255.1.21 100 32768 i
*>i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216
10.255.1.10 100 0 i
* i 10.255.1.10 100 0 i
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[32]:[192.168.10.20]/248
10.255.1.10 100 0 i
*>i 10.255.1.10 100 0 i
<......>
Route Distinguisher: 10.255.1.21:32777
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216
10.255.1.20 100 0 i
*>i 10.255.1.20 100 0 i
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[32]:[192.168.10.20]/248
*>i 10.255.1.20 100 0 i
<......>Mill-output tal-kmand tista 'tara li fl-EVPN rotta tat-tip 2, minbarra l-MAC, issa naraw ukoll l-indirizz IP ospitanti.
Ejja nerġgħu lura għall-issettjar suppress-arp. Dan is-setting huwa attivat għal kull VNI separatament:
interface nve1
member vni 10000
suppress-arpImbagħad tqum xi kumplessità:
- Biex din il-karatteristika taħdem, huwa meħtieġ spazju fil-memorja TCAM. Hawn eżempju ta 'settings għal suppress-arp:
hardware access-list tcam region arp-ether 256Din l-issettjar se teħtieġ double-wide. Jiġifieri, jekk issettja 256, allura għandek bżonn tillibera 512 f'TCAM.L-istabbiliment ta 'TCAM huwa lil hinn mill-ambitu ta' dan l-artikolu, peress li t-twaqqif ta 'TCAM jiddependi biss fuq il-kompitu assenjat lilek u jista' jkun differenti minn netwerk għal ieħor.
- L-implimentazzjoni ta' suppress-arp trid issir fuq is-swiċċijiet kollha tal-Leaf. Madankollu, il-kumplessità tista' tinħoloq meta jiġu kkonfigurati l-pari tal-Leaf li jirrisjedu f'dominju VPC. Jekk it-TCAM tinbidel, il-konsistenza bejn il-pari titkisser u nodu wieħed jista' jitneħħa. Barra minn hekk, jista 'jkun meħtieġ reboot tal-apparat biex jiġi applikat l-issettjar tal-bidla TCAM.
Bħala riżultat, għandek bżonn tikkunsidra bir-reqqa jekk, fis-sitwazzjoni tiegħek, jaqbilx li timplimenta dan l-issettjar f'fabbrika li taħdem.
Dan jikkonkludi l-ewwel parti tas-serje. Fil-parti li jmiss se nħarsu lejn ir-rotot permezz ta 'drapp VxLAN b'separazzjoni ta' netwerks f'VRFs differenti.
U issa nistieden lil kulħadd biex , li fih ser ngħidlek fid-dettall dwar il-kors. L-ewwel 20 parteċipant li jirreġistraw għal dan il-webinar se jirċievu Ċertifikat ta’ Skont permezz ta’ email fi żmien jumejn sa jumejn wara x-xandira.
Sors: www.habr.com