Talofa, Habr. O loʻo ou faʻamaeʻaina se faasologa o tala, fa'apitoa mo le fa'alauiloaina o le kosi e OTUS, fa'aoga VxLAN EVPN tekonolosi mo le ta'avale i totonu o le ie ma le fa'aogaina o le Firewall e fa'agata ai le avanoa i le va o auaunaga i totonu
O vaega muamua o le faasologa e mafai ona maua i sootaga nei:
O le asō o le a faʻaauau pea ona matou suʻesuʻeina le faʻaogaina o auala i totonu o le VxLAN ie. I le vaega muamua, na matou vaʻavaʻai i le taʻavale i totonu o le VRF se tasi. Ae ui i lea, atonu o loʻo i ai se numera tele o tagata faʻatau auaunaga i totonu o fesoʻotaʻiga, ma e tatau ona tufatufa uma i VRF eseese e faʻaeseese ai avanoa i le va oi latou. I le faaopoopo atu i le vavaeeseina o fesoʻotaʻiga, e ono manaʻomia e se pisinisi ona faʻafesoʻotaʻi se Pa puipui e faʻatapulaʻaina le avanoa i le va o nei auaunaga. Ioe, e le mafai ona taʻua o le fofo sili ona lelei, ae o mea moni faʻaonapo nei e manaʻomia ai "fofo faʻaonaponei".
Sei o tatou mafaufau i ni filifiliga se lua mo le auala i le va o VRFs:
- Auala e aunoa ma le tuua o le VxLAN ie;
- Fa'atonuga i masini fafo.
Sei o tatou amata i le faʻaogaina o auala i le va o VRFs. E i ai se numera patino o VRFs. Ina ia ala i le va o VRFs, e tatau ona e filifilia se masini i le fesoʻotaʻiga e iloa ai VRF uma (poʻo vaega i le va e manaʻomia ai le taʻavale). . O lenei topology o le a pei o lenei:
O a mea le lelei o lenei topology?
E sa'o, e tatau ona iloa e Laulau uma e uiga i VRF uma (ma faʻamatalaga uma o loʻo i ai) i luga o le upega tafaʻilagi, lea e oʻo atu ai i le leiloa o le mafaufau ma faʻateleina le uta fesoʻotaʻiga. A uma mea uma, e masani lava e le manaʻomia ona iloa e sui taʻitasi Leaf mea uma o loʻo i luga o le upega tafailagi.
Ae ui i lea, seʻi o tatou mafaufau atili i lenei metotia, talu ai mo fesoʻotaʻiga laiti e fetaui lelei lenei filifiliga (pe a leai ni manaʻoga faʻapitoa pisinisi)
I le taimi nei, e mafai ona i ai sau fesili pe faʻafefea ona faʻafeiloaʻi faʻamatalaga mai le VRF i le VRF, aua o le tulaga o lenei tekinolosi e tatau ona faʻatapulaʻaina le faʻasalalauina o faʻamatalaga.
Ma o le tali o loʻo taoto i galuega e pei o le auina atu i fafo ma le faʻaulufale mai o faʻamatalaga faʻasalalau (faʻatulagaina o lenei tekinolosi sa iloiloina i totonu. vaega o le taamilosaga). Sei ou toe fai atu puupuu:
A seti VRF i le AF, e tatau ona e faʻamaonia route-target mo fa'amatalaga fa'aulufale mai ma auina atu i fafo. E mafai ona e fa'ailoaina otometi. Ona o le tau o le a aofia ai le ASN BGP ma L3 VNI e fesoʻotaʻi ma le VRF. E faigofie pe a na o le tasi le ASN i lau falegaosimea:
vrf context PROD20
address-family ipv4 unicast
route-target export auto ! В автоматическом режиме экспортируется RT-65001:99000
route-target import autoAe peitaʻi, afai e sili atu ma le tasi le ASN ma e manaʻomia le fesiitaiga o auala i le va oi latou, o le faʻatulagaina o le tusi lesona o le a sili atu ona faigofie ma faʻaogaina filifiliga. route-target. O le fautuaga mo le setiina o le tusi lesona o le numera muamua, faʻaaoga se tasi e faigofie mo oe, mo se faʻataʻitaʻiga, 9999.
O le lona lua e tatau ona seti e tutusa ma le VNI mo lena VRF.
Se'i o tatou fa'atulaga e fa'apea:
vrf context PROD10
address-family ipv4 unicast
route-target export 9999:99000
route-target import 9999:99000
route-target import 9999:77000 ! Пример 1 import из другого VRF
route-target import 9999:88000 ! Пример 2 import из другого VRFE faape'ī foliga i le laulau o auala:
Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
*via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN ! префикс доступен через L3VNI 99000Sei o tatou mafaufau i le filifiliga lona lua mo le taʻavale i le va o VRFs - e ala i meafaigaluega i fafo, mo se faʻataʻitaʻiga Firewall.
E tele filifiliga mo le galue i se masini fafo:
- E iloa e le masini le VxLAN ma e mafai ona matou faʻaopopo i se vaega o le ie;
- E leai se mea e iloa e le masini e uiga i le VxLAN.
Matou te le o nofo i luga o le filifiliga muamua, talu ai o le manatu o le a toetoe lava tutusa e pei ona faʻaalia i luga - matou te aumaia uma VRFs i le Firewall ma faʻapipiʻi auala i le va o VRFs i luga.
Sei o tatou mafaufau i le filifiliga lona lua, pe a le iloa e le tatou Firewall se mea e uiga i le VxLAN (o le taimi nei, ioe, o meafaigaluega ma VxLAN lagolago o loʻo faʻaalia. , ae ui i lea, o nei mea uma i le faʻataʻitaʻiga ma e leai se talitonuga i le mautu o le gaioiga).
A faʻafesoʻotaʻi se masini fafo, matou te maua le ata lenei:
E pei ona mafai ona e vaʻai i le ata, o loʻo faʻaalia se fagu fagu i le faʻaoga ma le Firewall. E tatau ona amanaia lenei mea i le lumanaʻi pe a fuafuaina le fesoʻotaʻiga ma faʻamalieina fefaʻatauaiga o fesoʻotaʻiga.
Ae ui i lea, tatou toe foʻi i le faʻafitauli muamua o le taʻavale i le va o VRFs. O se taunuuga o le faʻaopoopoina o le Firewall, matou te oʻo i le faaiuga e tatau ona iloa e le Firewall e uiga i VRF uma. Ina ia faia lenei mea, e tatau foi ona faʻapipiʻi uma VRFs i luga o le tuaoi Leafs, ma e tatau ona fesoʻotaʻi le Firewall i VRF taʻitasi ma se isi soʻotaga.
O le iʻuga, o le polokalame ma Firewall:
O lona uiga, i luga o le Firewall e te manaʻomia e faʻapipiʻi se atinaʻe i VRF taʻitasi o loʻo i luga o le upega tafailagi. I se tulaga lautele, o le manatu e le foliga faigata ma na o le pau lava le mea ou te le fiafia i ai iinei o le tele o fesoʻotaʻiga i luga o le Firewall, ae o le taimi lenei e mafaufau ai i le masini.
Lelei. Na matou faʻafesoʻotaʻi le Firewall ma faʻaopoopo i VRF uma. Ae fa'afefea nei ona tatou fa'amalosia fe'avea'i mai Laulau ta'itasi e ui atu i lenei Pafi?
I luga o le Laulau e fesoʻotaʻi ma le Firewall, e leai ni faʻafitauli e tulaʻi mai, talu ai o auala uma e faʻapitonuʻu:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.254.13.55, [1/0], 6w5d, static ! маршрут по-умолчанию через FirewallAe peitaʻi, faʻafefea Leafs mamao? E fa'afefea ona pasi atu ia i latou le ala fa'aletonu i fafo?
E sa'o, e ala i le EVPN auala-ituaiga 5, pei o soʻo se isi faʻailoga i luga ole VxLAN ie. Ae ui i lea, e le faigofie tele (pe a tatou talanoa e uiga ia Cisco, aua ou te leʻi siakiina ma isi tagata faʻatau)
E tatau ona fa'asalalau le ala fa'aletonu mai le Laulau o lo'o feso'ota'i ai le Firewall. Ae ui i lea, ina ia faʻasalalau le auala, e tatau ona iloa e Leaf lava ia. Ma o iinei e tulaʻi mai ai se faʻafitauli faʻapitoa (atonu naʻo aʻu), o le auala e tatau ona resitalaina faʻamau i le VRF lea e te manaʻo e faʻasalalau ai sea auala:
vrf context PROD10
ip route 0.0.0.0/0 10.254.13.55Sosoo ai, i le BGP configuration, seti lenei ala ile AF IPv4:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0Ae peitai, e le ona pau lena. O le auala lea o le a le aofia ai i totonu o le aiga le auala fa'aletonu l2vpn evpn. E le gata i lea, e tatau ona e faʻatulagaina le toe tufatufaina atu:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0
redistribute static route-map COMMON_OUTMatou te fa'ailoa po'o fea prefix e o'o i le BGP e ala i le toe tufatufa
route-map COMMON_OUT permit 10
match ip address prefix-list COMMON_OUT
ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0O lea la o le prefix 0.0.0.0/0 pa'ū i le EVPN auala-ituaiga 5 ma tuʻuina atu i le isi vaega o le Laulau:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен FirewallI le laulau BGP e mafai foi ona tatou matauina le taunuuga o le auala-ituaiga 5 ma le ala le aoga e ala i le 10.255.1.5:
* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
10.255.1.5 100 0 i
*>i 10.255.1.5 100 0 iE fa'ai'u ai le fa'asologa o tala fa'atatau ile EVPN. I le lumanaʻi, o le a ou taumafai e mafaufau i le faʻaogaina o le VxLAN faʻatasi ma Multicast, talu ai o lenei metotia ua manatu e sili atu le faʻaogaina (i le taimi nei o se faʻamatalaga feteenai)
Afai e iai pea au fesili / fautuaga ile autu, mafaufau i soʻo se galuega a le EVPN - tusi, matou te mafaufau atili i ai.
puna: www.habr.com