سلامونه او نیکې هیلې زه اوس مهال په OTUS کې د شبکې انجینر کورس لپاره د کورس مشر یم.
د کورس لپاره د نوي نوم لیکنې د پیل په تمه ، ما د VxLAN EVPN ټیکنالوژۍ په اړه د مقالو لړۍ چمتو کړې ده.
د VxLAN EVPN د کار کولو څرنګوالي په اړه خورا لوی مقدار شتون لري ، نو زه غواړم په عصري ډیټا مرکز کې د ستونزو حل کولو لپاره مختلف دندې او تمرینونه راټول کړم.
د VxLAN EVPN ټیکنالوژۍ په اړه د لړۍ په لومړۍ برخه کې ، زه غواړم د شبکې پوښاک په سر کې د کوربه ترمینځ د L2 ارتباط تنظیم کولو یوه لاره وګورم.
ټول مثالونه به په سیسکو Nexus 9000v کې ترسره شي، چې د نخاعې پاڼي ټوپولوژي کې راټول شوي. موږ به پدې مقاله کې د انډرلي شبکې رامینځته کولو په اړه فکر ونه کړو.
- زیرمه شبکه
- د پتې کورنۍ l2vpn evpn لپاره BGP پییر کول
- د NVE تنظیم کول
- Suppress-arp
زیرمه شبکه
کارول شوي ټوپولوژي په لاندې ډول ده:
راځئ چې په ټولو وسیلو کې پته تنظیم کړو:
Spine-1 - 10.255.1.101
Spine-2 - 10.255.1.102
Leaf-11 - 10.255.1.11
Leaf-12 - 10.255.1.12
Leaf-21 - 10.255.1.21
Host-1 - 192.168.10.10
Host-2 - 192.168.10.20راځئ وګورو چې د ټولو وسیلو تر مینځ IP ارتباط شتون لري:
Leaf21# sh ip route
<........>
10.255.1.11/32, ubest/mbest: 2/0 ! Leaf-11 доступен чеерз два Spine
*via 10.255.1.101, Eth1/4, [110/81], 00:00:03, ospf-UNDERLAY, intra
*via 10.255.1.102, Eth1/3, [110/81], 00:00:03, ospf-UNDERLAY, intra
10.255.1.12/32, ubest/mbest: 2/0 ! Leaf-12 доступен чеерз два Spine
*via 10.255.1.101, Eth1/4, [110/81], 00:00:03, ospf-UNDERLAY, intra
*via 10.255.1.102, Eth1/3, [110/81], 00:00:03, ospf-UNDERLAY, intra
10.255.1.21/32, ubest/mbest: 2/0, attached
*via 10.255.1.22, Lo0, [0/0], 00:02:20, local
*via 10.255.1.22, Lo0, [0/0], 00:02:20, direct
10.255.1.101/32, ubest/mbest: 1/0
*via 10.255.1.101, Eth1/4, [110/41], 00:00:06, ospf-UNDERLAY, intra
10.255.1.102/32, ubest/mbest: 1/0
*via 10.255.1.102, Eth1/3, [110/41], 00:00:03, ospf-UNDERLAY, intraراځئ وګورو چې د VPC ډومین رامینځته شوی او دواړه سویچونه د ثابت چک څخه تیر شوي او په دواړو نوډونو کې تنظیمات ورته دي:
Leaf11# show vpc
vPC domain id : 1
Peer status : peer adjacency formed ok
vPC keep-alive status : peer is alive
Configuration consistency status : success
Per-vlan consistency status : success
Type-2 consistency status : success
vPC role : primary
Number of vPCs configured : 0
Peer Gateway : Disabled
Dual-active excluded VLANs : -
Graceful Consistency Check : Enabled
Auto-recovery status : Disabled
Delay-restore status : Timer is off.(timeout = 30s)
Delay-restore SVI status : Timer is off.(timeout = 10s)
Operational Layer3 Peer-router : Disabled
vPC status
----------------------------------------------------------------------------
Id Port Status Consistency Reason Active vlans
-- ------------ ------ ----------- ------ ---------------
5 Po5 up success success 1BGP peering
په نهایت کې ، تاسو کولی شئ د پوښښ شبکې تنظیم کولو ته لاړشئ.
د مقالې د یوې برخې په توګه، دا اړینه ده چې د کوربه ترمنځ شبکه تنظیم کړئ، لکه څنګه چې په لاندې انځور کې ښودل شوي:
د پوښښ شبکې تنظیمولو لپاره، تاسو اړتیا لرئ چې د l2vpn evpn کورنۍ لپاره د ملاتړ سره د نخاع او پاڼي سویچونو کې BGP فعال کړئ:
feature bgp
nv overlay evpnبیا ، تاسو اړتیا لرئ د BGP پیرینګ د پاڼي او نخاع ترمینځ تنظیم کړئ. د تنظیم کولو ساده کولو او د روټینګ معلوماتو توزیع اصلاح کولو لپاره ، موږ سپائن د روټ انعکاس سرور په توګه تنظیم کوو. موږ به ټول پاڼي په ترتیب کې د ټیمپلیټونو په کارولو سره د تنظیم اصلاح کولو لپاره ولیکو.
نو په نخاع کې ترتیبات داسې ښکاري:
router bgp 65001
template peer LEAF
remote-as 65001
update-source loopback0
address-family l2vpn evpn
send-community
send-community extended
route-reflector-client
neighbor 10.255.1.11
inherit peer LEAF
neighbor 10.255.1.12
inherit peer LEAF
neighbor 10.255.1.21
inherit peer LEAFد لیف سویچ ترتیب ورته ورته ښکاري:
router bgp 65001
template peer SPINE
remote-as 65001
update-source loopback0
address-family l2vpn evpn
send-community
send-community extended
neighbor 10.255.1.101
inherit peer SPINE
neighbor 10.255.1.102
inherit peer SPINEپه نخاع کې، راځئ چې د ټولو لیف سویچونو سره پییرنګ چیک کړو:
Spine1# sh bgp l2vpn evpn summary
<.....>
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.255.1.11 4 65001 7 8 6 0 0 00:01:45 0
10.255.1.12 4 65001 7 7 6 0 0 00:01:16 0
10.255.1.21 4 65001 7 7 6 0 0 00:01:01 0لکه څنګه چې تاسو لیدلی شئ، د BGP سره کومه ستونزه نه وه. راځئ چې د VxLAN تنظیم کولو ته لاړ شو. نور تشکیلات به یوازې د سویچونو پاڼي اړخ کې ترسره شي. نخاع یوازې د شبکې د اصلي په توګه کار کوي او یوازې د ټرافیک په لیږد کې ښکیل دي. ټول انکاپسولیشن او د لارې د ټاکلو کار یوازې د لیف سویچونو کې واقع کیږي.
د NVE تنظیم کول
NVE - د شبکې مجازی انٹرفیس
مخکې لدې چې تنظیم پیل کړئ ، راځئ چې ځینې اصطلاحات معرفي کړو:
VTEP - د مجازی تونل پای ټکی، هغه وسیله چې د VxLAN تونل پیل یا پای ته رسیږي. VTEP اړینه نه ده چې د شبکې وسیله وي. یو سرور چې د VxLAN ټیکنالوژۍ ملاتړ کوي هم کولی شي د سرور په توګه عمل وکړي. زموږ په ټوپولوژي کې، د پاڼي ټول سویچونه VTEP دي.
VNI - د مجازی شبکې شاخص - په VxLAN کې د شبکې پیژندونکی. یو مشابهت د VLAN سره رسم کیدی شي. په هرصورت، ځینې توپیرونه شتون لري. کله چې د پارچه کاروئ، VLANs یوازې په یو لیف سویچ کې ځانګړي کیږي او په ټوله شبکه کې نه لیږدول کیږي. مګر هر VLAN کولی شي د VNI شمیره ولري چې ورسره تړاو لري، کوم چې دمخه په شبکه کې لیږدول شوی. دا څه ډول ښکاري او دا څنګه کارول کیدی شي نور به بحث وشي.
راځئ چې د کار کولو لپاره د VxLAN ټیکنالوژۍ لپاره فیچر فعال کړو او د VNI شمیرې سره د VLAN شمیرې شریکولو وړتیا:
feature nv overlay
feature vn-segment-vlan-basedراځئ چې د NVE انٹرفیس تنظیم کړو، کوم چې د VxLAN عملیاتو مسولیت لري. دا انٹرفیس د VxLAN سرلیکونو کې د چوکاټونو پوښلو مسؤلیت لري. تاسو کولی شئ د GRE لپاره د تونل انٹرفیس سره ورته والی رسم کړئ:
interface nve1
no shutdown
host-reachability protocol bgp ! используем BGP для передачи маршрутной информации
source-interface loopback0 ! интерфейс с которого отправляем пакеты loopback0د لیف-21 سویچ کې هرڅه پرته له ستونزو رامینځته کیږي. په هرصورت، که موږ د کمانډ محصول وګورو show nve peersنو دا به خالي وي. دلته تاسو اړتیا لرئ د VPC ترتیب ته راستون شئ. موږ ګورو چې Leaf-11 او Leaf-12 په جوړه کې کار کوي او د VPC ډومین لخوا متحد دي. دا موږ ته لاندې حالت راکوي:
Host-2 یو چوکاټ د Leaf-21 په لور لیږي ترڅو دا د شبکې له لارې Host-1 ته لیږدوي. په هرصورت، Leaf-21 ګوري چې د کوربه-1 MAC پته په یوځل کې د دوه VTEPs له لارې د لاسرسي وړ ده. په دې حالت کې Leaf-21 باید څه وکړي؟ په هرصورت، دا پدې مانا ده چې په شبکه کې یو لوپ ښکاره کیدی شي.
د دې وضعیت د حل لپاره، موږ Leaf-11 او Leaf-12 ته اړتیا لرو ترڅو په فابریکه کې د یوې وسیلې په توګه کار وکړو. د حل لاره خورا ساده ده. په لوپ بیک انٹرفیس کې چې موږ یې تونل جوړوو، یو ثانوي پته اضافه کړئ. ثانوي پته باید په دواړو VTEPs کې ورته وي.
interface loopback0
ip add 10.255.1.10/32 secondaryپه دې توګه، د نورو VTEPs له نظره، موږ لاندې ټوپولوژي ترلاسه کوو:
دا دی، اوس به تونل د Leaf-21 IP پتې او د دوه Leaf-11 او Leaf-12 تر منځ د مجازی IP تر منځ جوړ شي. اوس به د دوه وسیلو څخه د MAC پته زده کولو کې کومه ستونزه ونلري او ترافیک کولی شي له یو VTEP څخه بل ته حرکت وکړي. د دوو VTEPs څخه کوم یو به ټرافیک پروسس کوي پریکړه کیږي چې په نخاع کې د روټینګ میز په کارولو سره:
Spine1# sh ip route
<.....>
10.255.1.10/32, ubest/mbest: 2/0
*via 10.255.1.11, Eth1/1, [110/41], 1d01h, ospf-UNDERLAY, intra
*via 10.255.1.12, Eth1/2, [110/41], 1d01h, ospf-UNDERLAY, intra
10.255.1.11/32, ubest/mbest: 1/0
*via 10.255.1.11, Eth1/1, [110/41], 1d22h, ospf-UNDERLAY, intra
10.255.1.12/32, ubest/mbest: 1/0
*via 10.255.1.12, Eth1/2, [110/41], 1d01h, ospf-UNDERLAY, intraلکه څنګه چې تاسو پورته لیدلی شئ، پته 10.255.1.10 سمدلاسه د دوه Next-hops له لارې شتون لري.
پدې مرحله کې، موږ د بنسټیز ارتباط سره معامله کړې. راځئ چې د NVE انٹرفیس تنظیم کولو ته لاړ شو:
راځئ سمدلاسه Vlan 10 فعال کړو او د کوربه لپاره په هر پاڼی کې د VNI 10000 سره شریک کړو. راځئ چې د کوربه ترمنځ L2 تونل جوړ کړو
vlan 10 ! Включаем VLAN на всех VTEP подключенных к необходимым хостам
vn-segment 10000 ! Ассоциируем VLAN с номер VNI
interface nve1
member vni 10000 ! Добавляем VNI 10000 для работы через интерфейс NVE. для инкапсуляции в VxLAN
ingress-replication protocol bgp ! указываем, что для распространения информации о хосте используем BGPاوس راځئ چې د BGP EVPN لپاره nve ملګري او میز وګورو:
Leaf21# sh nve peers
Interface Peer-IP State LearnType Uptime Router-Mac
--------- --------------- ----- --------- -------- -----------------
nve1 10.255.1.10 Up CP 00:00:41 n/a ! Видим что peer доступен с secondary адреса
Leaf11# sh bgp l2vpn evpn
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10.255.1.11:32777 (L2VNI 10000) ! От кого именно пришел этот l2VNI
*>l[3]:[0]:[32]:[10.255.1.10]/88 ! EVPN route-type 3 - показывает нашего соседа, который так же знает об l2VNI10000
10.255.1.10 100 32768 i
*>i[3]:[0]:[32]:[10.255.1.20]/88
10.255.1.20 100 0 i
* i 10.255.1.20 100 0 i
Route Distinguisher: 10.255.1.21:32777
* i[3]:[0]:[32]:[10.255.1.20]/88
10.255.1.20 100 0 i
*>i 10.255.1.20 100 0 iپورته موږ یوازې د EVPN روټ ډول 3 لارې ګورو. دا ډول لاره د peer(Leaf) په اړه خبرې کوي، مګر زموږ کوربه چیرته دي؟
خبره دا ده چې د MAC کوربه په اړه معلومات د EVPN روټ ډول 2 له لارې لیږدول کیږي
زموږ د کوربه لیدلو لپاره، تاسو اړتیا لرئ د EVPN روټ ډول 2 ترتیب کړئ:
evpn
vni 10000 l2
route-target import auto ! в рамках данной статьи используем автоматический номер для route-target
route-target export autoراځئ چې له کوربه - 2 څخه کوربه - 1 ته پینګ وکړو:
Firewall2# ping 192.168.10.1
PING 192.168.10.1 (192.168.10.1): 56 data bytes
36 bytes from 192.168.10.2: Destination Host Unreachable
Request 0 timed out
64 bytes from 192.168.10.1: icmp_seq=1 ttl=254 time=215.555 ms
64 bytes from 192.168.10.1: icmp_seq=2 ttl=254 time=38.756 ms
64 bytes from 192.168.10.1: icmp_seq=3 ttl=254 time=42.484 ms
64 bytes from 192.168.10.1: icmp_seq=4 ttl=254 time=40.983 msاو لاندې موږ لیدلی شو چې د روټ ډول 2 د کوربه MAC پتې سره د BGP جدول کې څرګند شو - 5001.0007.0007 او 5001.0008.0007
Leaf11# sh bgp l2vpn evpn
<......>
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10.255.1.11:32777 (L2VNI 10000)
*>l[2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216 ! evpn route-type 2 и mac адрес хоста 1
10.255.1.10 100 32768 i
*>i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216 ! evpn route-type 2 и mac адрес хоста 2
* i 10.255.1.20 100 0 i
*>l[3]:[0]:[32]:[10.255.1.10]/88
10.255.1.10 100 32768 i
Route Distinguisher: 10.255.1.21:32777
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216
10.255.1.20 100 0 i
*>i 10.255.1.20 100 0 iبل ، تاسو کولی شئ په تازه کې تفصيلي معلومات وګورئ ، په کوم کې چې تاسو د MAC کوربه په اړه معلومات ترلاسه کړي. لاندې د کمانډ ټول محصول ندی.
Leaf21# sh bgp l2vpn evpn 5001.0007.0007
BGP routing table information for VRF default, address family L2VPN EVPN
Route Distinguisher: 10.255.1.11:32777 ! отправил Update с MAC Host. Не виртуальный адрес VPC, а адрес Leaf
BGP routing table entry for [2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216,
version 1507
Paths: (2 available, best #2)
Flags: (0x000202) (high32 00000000) on xmit-list, is not in l2rib/evpn, is not i
n HW
Path type: internal, path is valid, not best reason: Neighbor Address, no labe
led nexthop
AS-Path: NONE, path sourced internal to AS
10.255.1.10 (metric 81) from 10.255.1.102 (10.255.1.102) ! с кем именно строим VxLAN тоннель
Origin IGP, MED not set, localpref 100, weight 0
Received label 10000 ! Номер VNI, который ассоциирован с VLAN, в котором находится Host
Extcommunity: RT:65001:10000 SOO:10.255.1.10:0 ENCAP:8 ! Тут видно, что RT сформировался автоматически на основе номеров AS и VNI
Originator: 10.255.1.11 Cluster list: 10.255.1.102
<........>راځئ وګورو چې چوکاټونه څه ډول ښکاري کله چې دوی د فابریکې څخه تیریږي:
Suppress-ARP
عالي ، موږ اوس د کوربه توب ترمینځ L2 اړیکه لرو او موږ کولی شو هلته پای ته ورسوو. په هرصورت، ټول دومره ساده ندي. تر هغه چې موږ لږ کوربه لرو هیڅ ستونزه به نه وي. مګر راځئ یو داسې حالت تصور کړو چیرې چې موږ په سلګونو او زرګونه کوربه لرو. له کومې ستونزې سره مخ کېدای شي؟
دا ستونزه د BUM (براډکاسټ، نامعلوم یونیکاسټ، ملټي کاسټ) ترافیک دی. پدې مقاله کې ، موږ به د نشراتي ترافیک سره معامله کولو اختیار په پام کې ونیسو.
په ایترنیټ شبکو کې د نشراتو اصلي جنراتور کوربه پخپله د ARP پروتوکول له لارې دي.
Nexus د ARP غوښتنو سره د مبارزې لپاره لاندې میکانیزم پلي کوي - suppress-arp.
دا ځانګړتیا په لاندې ډول کار کوي:
- Host-1 د دې شبکې د نشراتو پتې ته د APR غوښتنه لیږي.
- غوښتنه د لیف سویچ ته رسیږي او د دې پرځای چې دا غوښتنه د کوربه 2 په لور فابریک ته انتقال کړي، لیف پخپله ځواب ورکوي او اړین IP او MAC په ګوته کوي.
په دې توګه، د نشر غوښتنه فابریکه ته لاړه. مګر دا څنګه کار کولی شي که لیف یوازې د MAC پته پیژني؟
هرڅه خورا ساده دي، د EVPN روټ ډول 2، د MAC پتې سربیره، کولی شي د MAC/IP ترکیب انتقال کړي. د دې کولو لپاره، تاسو اړتیا لرئ چې د لیف په VLAN کې IP پته ترتیب کړئ. پوښتنه راپورته کیږي، کوم IP باید تنظیم کړم؟ په Nexus کې دا ممکنه ده چې په ټولو سویچونو کې توزیع شوی (ورته) پته جوړه کړئ:
feature interface-vlan
fabric forwarding anycast-gateway-mac 0001.0001.0001 ! задаем virtual mac для создания распределенного шлюза между всеми коммутаторами
interface Vlan10
no shutdown
ip address 192.168.10.254/24 ! на всех Leaf задаем одинаковый IP
fabric forwarding mode anycast-gateway ! говорим использовать Virtual macپه دې توګه، د کوربه له نظره، شبکه به داسې ښکاري:
راځئ چې BGP l2route evpn وګورو
Leaf11# sh bgp l2vpn evpn
<......>
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10.255.1.11:32777 (L2VNI 10000)
*>l[2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216
10.255.1.21 100 32768 i
*>i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216
10.255.1.10 100 0 i
* i 10.255.1.10 100 0 i
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[32]:[192.168.10.20]/248
10.255.1.10 100 0 i
*>i 10.255.1.10 100 0 i
<......>
Route Distinguisher: 10.255.1.21:32777
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216
10.255.1.20 100 0 i
*>i 10.255.1.20 100 0 i
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[32]:[192.168.10.20]/248
*>i 10.255.1.20 100 0 i
<......>د کمانډ محصول څخه تاسو لیدلی شئ چې د EVPN روټ ډول 2 کې ، د MAC سربیره ، موږ اوس د کوربه IP پته هم ګورو.
راځئ چې د suppress-arp ترتیب ته راستون شو. دا ترتیب د هر VNI لپاره په جلا توګه فعال شوی دی:
interface nve1
member vni 10000
suppress-arpبیا یو څه پیچلتیا رامینځته کیږي:
- د دې خصوصیت کار کولو لپاره، په TCAM حافظه کې ځای ته اړتیا ده. دلته د suppress-arp لپاره د ترتیباتو یوه بیلګه ده:
hardware access-list tcam region arp-ether 256دا ترتیب به دوه اړخیزه ته اړتیا ولري. دا دی، که تاسو 256 وټاکئ، نو تاسو اړتیا لرئ چې په TCAM کې 512 وړیا کړئ. د TCAM تنظیم کول د دې مقالې له دائرې څخه بهر دي، ځکه چې د TCAM تنظیم کول یوازې تاسو ته سپارل شوي دندې پورې اړه لري او ممکن له یوې شبکې څخه بلې ته توپیر ولري.
- د suppress-arp پلي کول باید په ټولو لیف سویچونو کې ترسره شي. په هرصورت، پیچلتیا رامینځته کیدی شي کله چې په VPC ډومین کې د پاڼي جوړو ترتیب کول. که چیرې TCAM بدل شي، د جوړو ترمنځ ثبات به مات شي او یو نوډ به د عملیاتو څخه لیرې شي. سربیره پردې، د TCAM بدلون ترتیب پلي کولو لپاره د وسیله ریبوټ ته اړتیا لیدل کیدی شي.
د پایلې په توګه، تاسو اړتیا لرئ په دقت سره په پام کې ونیسئ چې ایا ستاسو په وضعیت کې، دا د چلولو فابریکه کې دا ترتیب پلي کول ارزښت لري.
دا د لړۍ لومړۍ برخه پای ته رسوي. په راتلونکې برخه کې به موږ د VxLAN پارچه له لارې په مختلف VRFs کې د شبکې جلا کولو سره وګورو.
او اوس زه ټولو ته بلنه ورکوم ، په کوم کې چې زه به تاسو ته د کورس په اړه په تفصیل سره ووایم. د دې ویبینار لپاره د نوم لیکنې لپاره لومړني 20 برخه اخیستونکي به د خپریدو وروسته د 1-2 ورځو دننه د بریښنالیک له لارې د تخفیف سند ترلاسه کړي.
سرچینه: www.habr.com