VxLAN စက်ရုံ။ အပိုင်း 3

မင်္ဂလာပါ Habr ဆောင်းပါးတွေ ဆက်တိုက်ရေးနေတယ်၊ သင်တန်းဖွင့်ပွဲအတွက် ရည်စူးပါသည်။ "ကွန်ရက်အင်ဂျင်နီယာ" OTUS မှVxLAN EVPN နည်းပညာကို အသုံးပြု၍ အတွင်းပိုင်းဝန်ဆောင်မှုများအကြား ဝင်ရောက်ခွင့်ကို ကန့်သတ်ရန် Firewall ကို အသုံးပြု၍

စီးရီး၏ ယခင်အပိုင်းများကို အောက်ပါလင့်ခ်များတွင် ကြည့်ရှုနိုင်ပါသည်။

• စက်ဝန်း၏ 1 အစိတ်အပိုင်း - ဆာဗာများကြား L2 ချိတ်ဆက်မှု
• စီးရီး၏ အပိုင်း 2 - VNI များအကြား လမ်းကြောင်းပေးခြင်း
• စီးရီး၏ အပိုင်း 2.5 - သီအိုရီပိုင်းခြားမှု

ယနေ့ကျွန်ုပ်တို့သည် VxLAN ထည်အတွင်းရှိလမ်းကြောင်းလမ်းကြောင်းကိုဆက်လက်လေ့လာပါမည်။ ယခင်အပိုင်းတွင်၊ ကျွန်ုပ်တို့သည် VRF တစ်ခုတည်းအတွင်း အထည်အလိပ်လမ်းကြောင်းကို ကြည့်ပါ။ သို့သော်၊ ကွန်ရက်တွင် သုံးစွဲသူဝန်ဆောင်မှုအများအပြားရှိနိုင်ပြီး ၎င်းတို့အားလုံးကို ၎င်းတို့အကြားဝင်ရောက်ခွင့်ကို ခွဲခြားနိုင်ရန် မတူညီသော VRF များသို့ ဖြန့်ဝေရမည်ဖြစ်သည်။ ကွန်ရက် ခွဲခြားခြင်းအပြင် လုပ်ငန်းတစ်ခုသည် ဤဝန်ဆောင်မှုများကြားတွင် ဝင်ရောက်ခွင့်ကို ကန့်သတ်ရန် Firewall ကို ချိတ်ဆက်ရန် လိုအပ်ပါသည်။ ဟုတ်တယ်၊ ဒါကို အကောင်းဆုံးဖြေရှင်းချက်လို့ မခေါ်နိုင်ပေမယ့် ခေတ်သစ်ဖြစ်ရပ်မှန်တွေက “ခေတ်မီဖြေရှင်းနည်းများ” လိုအပ်တယ်။

VRFs များကြားလမ်းကြောင်းသတ်မှတ်ခြင်းအတွက် ရွေးချယ်စရာနှစ်ခုကို စဉ်းစားကြည့်ကြပါစို့။

1. VxLAN ထည်ကို မချန်ဘဲ လမ်းကြောင်းပေးခြင်း။
2. ပြင်ပစက်ကိရိယာများပေါ်တွင်လမ်းကြောင်းပေးခြင်း။

VRF များအကြား လမ်းကြောင်းပြယုတ္တိဖြင့် စကြပါစို့။ VRF အရေအတွက်အချို့ရှိပါသည်။ VRFs များအကြား လမ်းကြောင်းပြောင်းရန်၊ VRF များအားလုံး (သို့မဟုတ် မည်သည့်လမ်းကြောင်းမှ လိုအပ်သည်များကြားမှ အစိတ်အပိုင်းများအကြောင်း သိနိုင်မည့် ကွန်ရက်အတွင်းရှိ စက်ပစ္စည်းကို ရွေးချယ်ရန် လိုအပ်ပါသည်။ ထိုသို့သောစက်ပစ္စည်းသည် ဥပမာအားဖြင့် Leaf ခလုတ်များထဲမှ တစ်ခု (သို့မဟုတ် အားလုံးကို တစ်ပြိုင်နက်) ဖြစ်နိုင်သည်) . ဤ topology သည် ဤကဲ့သို့ ဖြစ်သည်-

ဒီ topology ရဲ့ အားနည်းချက်တွေက ဘာတွေလဲ။

မှန်ပါသည်၊ Leaf တိုင်းသည် ကွန်ရက်ပေါ်ရှိ VRF များ (နှင့် ၎င်းတို့တွင်ပါရှိသော အချက်အလက်အားလုံးကို) သိထားရန် လိုအပ်ပြီး မှတ်ဉာဏ်ဆုံးရှုံးမှုနှင့် ကွန်ရက်ဝန်တိုးခြင်းကို ဖြစ်စေသည်။ နောက်ဆုံးတွင်၊ Leaf switch တစ်ခုစီသည် network ပေါ်ရှိအရာအားလုံးကို သိရန်မလိုအပ်ပါ။

သို့သော်၊ သေးငယ်သောကွန်ရက်များအတွက် ဤနည်းလမ်းသည် အလွန်သင့်လျော်သောကြောင့် ဤနည်းလမ်းကို ပိုမိုအသေးစိတ်သုံးသပ်ကြည့်ကြပါစို့။

ဤအချိန်တွင် VRF မှ သတင်းအချက်အလက်များကို VRF သို့ မည်ကဲ့သို့ လွှဲပြောင်းရမည်ကို သင့်တွင် မေးခွန်းထုတ်စရာရှိနိုင်သည်၊ အကြောင်းမှာ ဤနည်းပညာ၏အချက်မှာ သတင်းအချက်အလက်ဖြန့်ဝေခြင်းကို အကန့်အသတ်ရှိသင့်သည်ဟု အတိအကျဆိုနိုင်သည်။

အဖြေသည် လမ်းကြောင်းအချက်အလက် တင်ပို့ခြင်းနှင့် တင်သွင်းခြင်းကဲ့သို့သော လုပ်ငန်းဆောင်တာများတွင် အကျုံးဝင်သည် (ဤနည်းပညာကို စနစ်ထည့်သွင်းခြင်းတွင် ထည့်သွင်းစဉ်းစားခဲ့သည်။ ဒုတိယ သံသရာ၏အစိတ်အပိုင်းများ) ။ အတိုချုံး ပြန်ပြောပါရစေ။

VRF ကို AF တွင် သတ်မှတ်သောအခါ၊ သင်သည် သတ်မှတ်ရပါမည်။ route-target သွင်းကုန်နှင့် ပို့ကုန်လမ်းကြောင်းဆိုင်ရာ အချက်အလက်များအတွက်။ အလိုအလျောက် သတ်မှတ်နိုင်သည်။ ထို့နောက်တန်ဖိုးတွင် VRF နှင့်ဆက်စပ်သော ASN BGP နှင့် L3 VNI ပါ၀င်မည်ဖြစ်သည်။ သင့်စက်ရုံတွင် ASN တစ်ခုသာရှိသောအခါ ၎င်းသည် အဆင်ပြေသည်။

vrf context PROD20
  address-family ipv4 unicast
    route-target export auto      ! В автоматическом режиме экспортируется RT-65001:99000
    route-target import auto

သို့သော်၊ သင့်တွင် ASN တစ်ခုထက်ပိုပြီး ၎င်းတို့အကြား လမ်းကြောင်းများကို လွှဲပြောင်းရန် လိုအပ်ပါက၊ manual configuration သည် ပိုမိုအဆင်ပြေပြီး အတိုင်းအတာတစ်ခုအထိ ရွေးချယ်နိုင်မည်ဖြစ်သည်။ route-target. လူကိုယ်တိုင်ထည့်သွင်းခြင်းအတွက် အကြံပြုချက်သည် ပထမနံပါတ်ဖြစ်သည်၊ ဥပမာ၊ သင့်အတွက် အဆင်ပြေသောတစ်ခုကို အသုံးပြုပါ။ 9999.
ဒုတိယတစ်ခုသည် VRF အတွက် VNI နှင့် ညီမျှရန် သတ်မှတ်သင့်သည်။

အောက်ပါအတိုင်း configure လုပ်ကြပါစို့။

vrf context PROD10
  address-family ipv4 unicast
    route-target export 9999:99000          
    route-target import 9999:99000
    route-target import 9999:77000         ! Пример 1 import из другого VRF
    route-target import 9999:88000         ! Пример 2 import из другого VRF

လမ်းကြောင်းပြဇယားတွင် ၎င်းသည် မည်သို့ပုံပေါ်သည်-

Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
    *via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN          ! префикс доступен через L3VNI 99000

VRFs များအကြား လမ်းကြောင်းပြောင်းခြင်းအတွက် ဒုတိယရွေးချယ်မှုကို ကြည့်ကြပါစို့ - ပြင်ပကိရိယာများ ဥပမာ Firewall။

ပြင်ပစက်ပစ္စည်းမှတဆင့် လုပ်ဆောင်ရန် ရွေးချယ်စရာများစွာ ရှိပါသည်။

1. စက်က VxLAN ဆိုတာကို သိပြီး အထည်ရဲ့ တစ်စိတ်တစ်ပိုင်းကို ထည့်နိုင်ပါတယ်။
2. စက်သည် VxLAN အကြောင်း ဘာမှမသိပါ။

ယုတ္တိဗေဒသည် အထက်တွင်ပြထားသည့်အတိုင်းနီးပါးတူညီမည်ဖြစ်သဖြင့် ပထမရွေးချယ်မှုတွင် ကျွန်ုပ်တို့နေမည်မဟုတ်ပါ၊ အဘယ်ကြောင့်ဆိုသော် ကျွန်ုပ်တို့သည် VRF အားလုံးကို Firewall သို့ယူဆောင်ကာ ၎င်းပေါ်ရှိ VRF များကြားလမ်းကြောင်းသတ်မှတ်ခြင်းကို စီစဉ်ပေးပါသည်။

ကျွန်ုပ်တို့၏ Firewall သည် VxLAN အကြောင်းဘာမျှမသိသောအခါ (ယခုတွင်၊ VxLAN ပံ့ပိုးမှုပါရှိသောပစ္စည်းများ ပေါ်လာပါသည်။ ဥပမာ၊ Checkpoint သည် ၎င်း၏ပံ့ပိုးမှုကို ဗားရှင်း R81 တွင်ကြေငြာခဲ့သည်။ ၎င်းအကြောင်းကို သင်ဖတ်နိုင်သည်။ ဒီမှာသို့သော်၊ ဤအရာအားလုံးသည် စမ်းသပ်ဆဲအဆင့်တွင်ရှိပြီး လည်ပတ်မှုတည်ငြိမ်မှုအတွက် ယုံကြည်မှုမရှိပါ)။

ပြင်ပစက်ပစ္စည်းကို ချိတ်ဆက်သောအခါတွင်၊ ကျွန်ုပ်တို့သည် အောက်ပါ ပုံကြမ်းကို ရရှိသည်-

ပုံတွင်မြင်ရသည့်အတိုင်း Firewall နှင့် အင်တာဖေ့စ်တွင် ပိတ်ဆို့မှုတစ်ခုပေါ်လာသည်။ ကွန်ရက်ကို စီစဉ်ပြီး ကွန်ရက်အသွားအလာကို အကောင်းဆုံးဖြစ်အောင် လုပ်ဆောင်သည့်အခါ ၎င်းကို အနာဂတ်တွင် ထည့်သွင်းစဉ်းစားရပါမည်။

သို့သော်၊ VRF များကြားလမ်းကြောင်းပြောင်းခြင်း၏မူလပြဿနာသို့ ပြန်သွားကြပါစို့။ Firewall ကိုထည့်သွင်းခြင်း၏ရလဒ်အနေဖြင့် Firewall သည် VRF များအားလုံးကိုသိထားရမည်ဟူသောနိဂုံးချုပ်လာသည်။ ဒါကိုလုပ်ဖို့၊ VRF အားလုံးကို နယ်စပ် Leafs ပေါ်မှာလည်း configure လုပ်ထားရမှာဖြစ်သလို Firewall ကိုလည်း သီးခြားလင့်ခ်တစ်ခုနဲ့ VRF တစ်ခုစီနဲ့ ချိတ်ဆက်ရမှာဖြစ်ပါတယ်။

ရလဒ်အနေဖြင့် Firewall နှင့်အစီအစဥ်:

ဆိုလိုသည်မှာ Firewall တွင် network ပေါ်ရှိ VRF တစ်ခုစီအတွက် interface တစ်ခုကို configure လုပ်ရန်လိုအပ်သည်။ ယေဘုယျအားဖြင့်၊ ယုတ္တိဗေဒသည် ရှုပ်ထွေးပုံမပေါ်ဘဲ ဤနေရာတွင် ကျွန်ုပ်မကြိုက်သည့်တစ်ခုတည်းသောအရာမှာ Firewall ရှိ အင်တာဖေ့စ်အမြောက်အများဖြစ်သည်၊ သို့သော် ဤနေရာတွင် အလိုအလျောက်လုပ်ဆောင်ခြင်းအကြောင်း စဉ်းစားရန်အချိန်တန်ပြီ။

ဒဏ်ငွေ။ ကျွန်ုပ်တို့ Firewall ကိုချိတ်ဆက်ပြီး VRF များအားလုံးသို့ထည့်ပါ။ သို့သော် ယခု Firewall ကိုဖြတ်ရန် Leaf တစ်ခုစီမှ အသွားအလာများကို မည်သို့တွန်းအားပေးနိုင်မည်နည်း။

Firewall နှင့် ချိတ်ဆက်ထားသော Leaf တွင်၊ လမ်းကြောင်းအားလုံးသည် ဒေသန္တရဖြစ်သောကြောင့် ပြဿနာများ ပေါ်လာမည်မဟုတ်ပါ။

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.254.13.55, [1/0], 6w5d, static       ! маршрут по-умолчанию через Firewall

သို့သော်၊ အဝေးမှသစ်ရွက်များကော။ သူတို့ကို ပုံသေပြင်ပလမ်းကြောင်းကို ဘယ်လိုဖြတ်သန်းမလဲ။

VxLAN ထည်၏ အခြားရှေ့ဆက်များကဲ့သို့ EVPN လမ်းကြောင်း-အမျိုးအစား 5 မှတဆင့် မှန်ပါသည်။ သို့သော်၊ ဤမျှမရိုးရှင်းပါ (ကျွန်ုပ်တို့သည် Cisco အကြောင်းပြောနေလျှင် အခြားရောင်းချသူများနှင့် မစစ်ဆေးရသေးသောကြောင့်)

မူရင်းလမ်းကြောင်းကို Firewall ချိတ်ဆက်ထားသည့် Leaf မှ ကြော်ငြာရပါမည်။ သို့သော် လမ်းကြောင်းကို လွှင့်တင်ရန် Leaf ကိုယ်တိုင် သိထားရမည်။ ဤနေရာတွင် အချို့သော ပြဿနာတစ်ခု ပေါ်ပေါက်လာသည် (ငါ့အတွက်သာ ဖြစ်ကောင်းဖြစ်နိုင်သည်) လမ်းကြောင်းကို သင်ထိုကဲ့သို့သော လမ်းကြောင်းကို ကြော်ငြာလိုသည့် VRF တွင် လမ်းကြောင်းကို တည်ငြိမ်စွာ မှတ်ပုံတင်ရမည်-

vrf context PROD10
    ip route 0.0.0.0/0 10.254.13.55

ထို့နောက် BGP ဖွဲ့စည်းမှုပုံစံတွင်၊ ဤလမ်းကြောင်းကို AF IPv4 တွင် သတ်မှတ်ပါ-

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0

သို့သော်၊ ဒါအားလုံးမဟုတ်ပါ။ ဤနည်းအားဖြင့် မူရင်းလမ်းကြောင်းသည် မိသားစုတွင် ပါဝင်မည်မဟုတ်ပါ။ l2vpn evpn. ၎င်းအပြင်၊ သင်သည် ပြန်လည်ဖြန့်ဝေခြင်းကို သတ်မှတ်ရန် လိုအပ်သည်-

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0
            redistribute static route-map COMMON_OUT

ပြန်လည်ဖြန့်ဝေခြင်းဖြင့် မည်သည့်ရှေ့ဆက်များ BGP ထဲသို့ရောက်ရှိမည်ကို ကျွန်ုပ်တို့ညွှန်ပြပါသည်။

route-map COMMON_OUT permit 10
  match ip address prefix-list COMMON_OUT

ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0

အခု ရှေ့ဆက် 0.0.0.0/0 EVPN လမ်းကြောင်း-အမျိုးအစား 5 တွင်ကျရောက်ပြီး ကျန်ရှိသော Leaf သို့ ကူးစက်သည်-

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
    ! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен Firewall

BGP ဇယားတွင် ကျွန်ုပ်တို့သည် 5 မှတစ်ဆင့် ရရှိလာသော လမ်းကြောင်းအမျိုးအစား 10.255.1.5 ကို XNUMX မှတဆင့် ကြည့်ရှုနိုင်သည်။

* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
                      10.255.1.5                        100          0 i
*>i                   10.255.1.5                        100          0 i

၎င်းသည် EVPN အတွက် ရည်ညွှန်းထားသော ဆောင်းပါးတွဲများကို နိဂုံးချုပ်သည်။ နောင်တွင်၊ ဤနည်းလမ်းကို ပို၍ အရွယ်အစားဟု ယူဆသောကြောင့် VxLAN ၏ လုပ်ဆောင်မှုကို Multicast နှင့် တွဲဖက်စဉ်းစားရန် ကြိုးစားပါမည်။

သင့်တွင် မေးခွန်းများ/အကြံပြုချက်များ ရှိနေသေးပါက EVPN ၏ လုပ်ဆောင်နိုင်စွမ်းကို ထည့်သွင်းစဉ်းစားပါ - ရေးပါ၊ ကျွန်ုပ်တို့ ၎င်းကို ထပ်မံစဉ်းစားပါမည်။

source: www.habr.com