د VxLAN فابریکه. 3 برخه

سلام، حبر. زه د مقالو لړۍ پای ته رسوم، د کورس پیل کولو ته وقف شوی "د شبکې انجنیر" د OTUS لخوا، د فابریک دننه د روټینګ لپاره د VxLAN EVPN ټیکنالوژي کارول او د داخلي خدماتو ترمینځ لاسرسي محدودولو لپاره د فایر وال کارول

د لړۍ پخوانۍ برخې په لاندې لینکونو کې موندلی شئ:

• د دورې 1 برخه - د سرورونو ترمنځ L2 ارتباط
• د لړۍ 2 برخه - د VNIs تر منځ لاره
• د لړۍ 2.5 برخه - نظریاتي تحلیل

نن ورځ به موږ د VxLAN پارچه کې د روټینګ منطق مطالعې ته دوام ورکړو. په تیره برخه کې، موږ په یو واحد VRF کې د انټر فابریک روټینګ ته ګورو. په هرصورت، ممکن په شبکه کې د پیرودونکو خدماتو لوی شمیر شتون ولري، او دا ټول باید په مختلفو VRFs کې وویشل شي ترڅو د دوی ترمنځ د لاسرسي توپیر وکړي. د شبکې جلا کولو سربیره، یو سوداګر ممکن د دې خدماتو تر مینځ د لاسرسي محدودولو لپاره د فایر وال سره وصل کولو ته اړتیا ولري. هو، دا غوره حل نشي بلل کیدی، مګر عصري واقعیتونه "عصري حلونو" ته اړتیا لري.

راځئ چې د VRFs ترمنځ د روټینګ لپاره دوه اختیارونه په پام کې ونیسو:

1. د VxLAN پارچه پریښودو پرته لاره کول؛
2. په خارجي وسایلو باندې د تګ راتګ.

راځئ چې د VRFs ترمنځ د روټینګ منطق سره پیل وکړو. د VRFs یو مشخص شمیر شتون لري. د VRFs تر مینځ د لارې کولو لپاره، تاسو اړتیا لرئ چې په شبکه کې یو وسیله وټاکئ چې د ټولو VRFs په اړه پوه شي (یا هغه برخې چې د هغې ترمنځ روټینګ ته اړتیا وي). . دا ټوپولوژي به داسې ښکاري:

د دې ټوپولوژي زیانونه څه دي؟

دا سمه ده، هر لیف باید په شبکه کې د ټولو VRFs (او ټول هغه معلومات چې په دوی کې دي) په اړه پوه شي، کوم چې د حافظې له لاسه ورکولو او د شبکې بار زیاتوالي لامل کیږي. په هرصورت، ډیری وختونه د هر لیف سویچ اړتیا نلري چې په شبکه کې د هرڅه په اړه پوه شي.

په هرصورت، راځئ چې دا طریقه په ډیر تفصیل سره په پام کې ونیسو، ځکه چې د وړو شبکو لپاره دا اختیار خورا مناسب دی (که چیرې د سوداګرۍ ځانګړي اړتیاوې شتون نلري)

پدې مرحله کې، تاسو ممکن د VRF څخه VRF ته د معلوماتو لیږدولو څرنګوالي په اړه پوښتنه ولرئ، ځکه چې د دې ټیکنالوژۍ نقطه دقیقه ده چې د معلوماتو خپرول باید محدود وي.

او ځواب په دندو کې دی لکه د روټینګ معلوماتو صادرول او واردات (د دې ټیکنالوژۍ تنظیم کول په پام کې نیول شوي دوهم د دورې برخې). اجازه راکړئ په لنډ ډول تکرار کړم:

کله چې په AF کې VRF ترتیب کړئ، تاسو باید مشخص کړئ route-target د وارداتو او صادراتو روټینګ معلوماتو لپاره. تاسو کولی شئ دا په اتوماتيک ډول مشخص کړئ. بیا په ارزښت کې به د ASN BGP او L3 VNI شامل وي چې د VRF سره تړاو لري. دا مناسب دی کله چې تاسو په خپل فابریکه کې یوازې یو ASN لرئ:

vrf context PROD20
  address-family ipv4 unicast
    route-target export auto      ! В автоматическом режиме экспортируется RT-65001:99000
    route-target import auto

په هرصورت، که تاسو له یو څخه ډیر ASN لرئ او د دوی ترمنځ د لارو لیږدولو ته اړتیا لرئ، نو لاسي ترتیب به یو ډیر مناسب او د توزیع وړ انتخاب وي. route-target. د لاسي تنظیم کولو لپاره وړاندیز لومړی نمبر دی، هغه وکاروئ چې ستاسو لپاره مناسب وي، د بیلګې په توګه، 9999.
دوهم باید د دې VRF لپاره د VNI مساوي لپاره تنظیم شي.

راځئ چې دا په لاندې ډول تنظیم کړو:

vrf context PROD10
  address-family ipv4 unicast
    route-target export 9999:99000          
    route-target import 9999:99000
    route-target import 9999:77000         ! Пример 1 import из другого VRF
    route-target import 9999:88000         ! Пример 2 import из другого VRF

دا په روټینګ جدول کې څه ښکاري:

Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
    *via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN          ! префикс доступен через L3VNI 99000

راځئ چې د VRFs تر مینځ د روټینګ لپاره دوهم اختیار په پام کې ونیسو - د بهرني تجهیزاتو له لارې ، د مثال په توګه فایر وال.

د بهرنۍ وسیلې له لارې کار کولو لپاره ډیری اختیارونه شتون لري:

1. وسیله پوهیږي چې VxLAN څه شی دی او موږ کولی شو دا د ټوکر برخې ته اضافه کړو؛
2. وسیله د VxLAN په اړه هیڅ نه پوهیږي.

موږ به په لومړي اختیار کې پاتې نه شو، ځکه چې منطق به تقریبا ورته وي لکه څنګه چې پورته ښودل شوي - موږ ټول VRFs فایروال ته راوړو او په هغې کې د VRFs ترمنځ روټینګ تنظیم کوو.

راځئ چې دویم اختیار په پام کې ونیسو، کله چې زموږ فایروال د VxLAN په اړه هیڅ نه پوهیږي (اوس، البته، د VxLAN ملاتړ سره تجهیزات څرګندیږي. د مثال په توګه، چیک پواینټ خپل ملاتړ په R81 نسخه کې اعلان کړ. تاسو یې په اړه لوستلی شئ. دلتهپه هرصورت، دا ټول د ازموینې په مرحله کې دي او د عملیاتو په ثبات کې هیڅ باور شتون نلري).

کله چې یو بهرنۍ وسیله وصل کړئ، موږ لاندې انځور ترلاسه کوو:

لکه څنګه چې تاسو د ډیاګرام څخه لیدلی شئ، د فایر وال سره په انٹرفیس کې یو خنډ ښکاري. دا باید په راتلونکي کې په پام کې ونیول شي کله چې د شبکې پلان کول او د شبکې ترافیک اصلاح کول.

په هرصورت، راځئ چې د VRFs ترمنځ د روټینګ اصلي ستونزې ته راستون شو. د فایر وال اضافه کولو په پایله کې، موږ دې پایلې ته ورسیږو چې فایروال باید د ټولو VRFs په اړه پوه شي. د دې کولو لپاره، ټول VRFs باید په سرحدی پاڼو کې هم ترتیب شي، او فایروال باید د هر VRF سره د جلا لینک سره وصل شي.

د پایلې په توګه، د فایروال سره سکیم:

دا دی ، په فایر وال کې تاسو اړتیا لرئ په شبکه کې موقعیت لرونکي هر VRF ته انٹرفیس تنظیم کړئ. په عموم کې ، منطق پیچلی نه ښکاري او یوازینی شی چې زه یې دلته نه خوښوم په فایر وال کې د انٹرفیسونو لوی شمیر دی ، مګر دلته د اتومات کولو په اړه فکر کولو وخت دی.

ښه. موږ فایروال وصل کړ او په ټولو VRFs کې مو اضافه کړ. مګر اوس موږ څنګه کولی شو د هرې پاڼي څخه ترافیک مجبور کړو چې د دې فایر وال څخه تیر شي؟

په پاڼی کې چې د فایر وال سره وصل وي ، هیڅ ستونزه به رامینځته نشي ، ځکه چې ټولې لارې ځایی دي:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.254.13.55, [1/0], 6w5d, static       ! маршрут по-умолчанию через Firewall

په هرصورت، د لیرې لیفونو په اړه څه؟ دوی ته څنګه د ډیفالټ بهرنۍ لار تیریږي؟

دا سمه ده ، د EVPN روټ ډول 5 له لارې ، لکه د VxLAN پارچه کې د کوم بل مختګ په څیر. په هرصورت، دا دومره ساده نه دی (که موږ د سیسکو په اړه خبرې کوو، لکه څنګه چې ما د نورو پلورونکو سره ندي لیدلي)

د ډیفالټ لاره باید د پاڼي څخه اعلان شي چې فایروال ورسره وصل دی. په هرصورت، د لارې لیږدولو لپاره، لیف باید پخپله پوه شي. او دلته یوه ځانګړې ستونزه رامینځته کیږي (شاید یوازې زما لپاره) ، لاره باید په VRF کې په ثابت ډول ثبت شي چیرې چې تاسو غواړئ داسې لاره اعلان کړئ:

vrf context PROD10
    ip route 0.0.0.0/0 10.254.13.55

بیا، د BGP په ترتیب کې، دا لاره په AF IPv4 کې تنظیم کړئ:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0

په هرصورت، دا ټول نه دي. په دې توګه به د فامیلي لار نه شاملیږي l2vpn evpn. سربیره پردې ، تاسو اړتیا لرئ بیا توزیع تنظیم کړئ:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0
            redistribute static route-map COMMON_OUT

موږ په ګوته کوو چې کوم مخکینۍ به د بیا توزیع له لارې BGP ته ورسیږي

route-map COMMON_OUT permit 10
  match ip address prefix-list COMMON_OUT

ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0

اوس مختګ 0.0.0.0/0 د EVPN روټ ډول 5 کې راځي او پاتې پاڼي ته لیږدول کیږي:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
    ! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен Firewall

د BGP په جدول کې موږ کولی شو د 5 له لارې د ډیفالټ لارې سره د پایلې ډول 10.255.1.5 ډول وګورو:

* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
                      10.255.1.5                        100          0 i
*>i                   10.255.1.5                        100          0 i

دا د مقالو لړۍ پای ته رسوي چې EVPN ته وقف شوي. په راتلونکي کې، زه به هڅه وکړم چې د VxLAN عملیات د ملټيکاسټ سره په ګډه په پام کې ونیسم، ځکه چې دا طریقه د اندازې وړ ګڼل کیږي (اوس مهال یو متنازع بیان)

که تاسو لاهم د موضوع په اړه پوښتنې / وړاندیزونه لرئ، د EVPN کوم فعالیت په پام کې ونیسئ - ولیکئ، موږ به یې نور هم په پام کې ونیسو.

سرچینه: www.habr.com