ProHoster > Π‘Π»ΠΎΠ³ > Maamulka > warshad VxLAN. Qaybta 3

warshad VxLAN. Qaybta 3

Hello, Habr. Waxaan dhameynayaa maqaallo taxane ah, u heellan furitaanka koorsada "Injineer shabakadeed" by OTUS, iyadoo la adeegsanayo tignoolajiyada VxLAN EVPN si loogu dhex maro dharka iyo adeegsiga Firewall si loo xaddido gelitaanka adeegyada gudaha

warshad VxLAN. Qaybta 3

Qaybihii hore ee taxanaha waxaa laga heli karaa xiriirinta soo socota:

Maanta waxaan sii wadi doonaa inaan barano caqli-galka dariiqa gudaha dharka VxLAN. Qaybtii hore, waxaanu ku eegnay hab-socodka-fabric-ka ee hal VRF gudahiisa. Si kastaba ha ahaatee, waxaa jiri kara tiro aad u badan oo ah adeegyada macmiilka ee shabakada, dhammaantoodna waa in loo qaybiyaa VRF-yo kala duwan si loo kala saaro gelitaanka dhexdooda. Marka laga soo tago kala-soocidda shabakadda, ganacsigu waxa uu u baahan karaa in uu ku xidho Firewall si loo xaddido gelitaanka u dhexeeya adeegyadan. Haa, tan laguma magacaabi karo xalka ugu fiican, laakiin xaqiiqooyinka casriga ahi waxay u baahan yihiin "xalal casri ah".

Aynu tixgelinno laba ikhtiyaar oo loogu talagalay marin u dhexeeya VRF-yada:

  1. Wadista adigoon ka tagin dharka VxLAN;
  2. Jideynta qalabka dibadda.

Aan ku bilowno macquulka dariiqa u dhexeeya VRF-yada. Waxaa jira tiro go'an oo VRF ah. Si aad u dhex marto VRF-yada, waxa aad u baahan tahay in aad doorato aalad ka mid ah shabakadaha ogaan doona dhammaan VRF-yada (ama qaybaha u dhexeeya dariiqa loo baahan yahay). . Topology-gani wuxuu u ekaan doonaa sidan:

warshad VxLAN. Qaybta 3

Waa maxay faa'iido darrooyinka topology this?

Taasi waa sax, caleen kastaa waxay u baahan tahay inay wax ka ogaato dhammaan VRF-yada (iyo dhammaan macluumaadka ku jira) ee shabakadda, taasoo keenta xusuusta lumis iyo korodhka culeyska shabakadda. Ka dib oo dhan, inta badan beddelka caleen kasta uma baahna inuu wax ka ogaado wax kasta oo ku jira shabakadda.

Si kastaba ha noqotee, aynu si faahfaahsan uga fiirsano habkan, maadaama shabakadaha yar yar ay doorashadani ku habboon tahay (haddii aysan jirin shuruudo ganacsi oo gaar ah)

Halkaa marka ay marayso, waxaa laga yaabaa inaad hayso su'aal ku saabsan sida looga wareejiyo macluumaadka VRF ilaa VRF, sababtoo ah barta tignoolajiyadani waa si sax ah in faafinta macluumaadka ay tahay in la xaddido.

Waxayna jawaabtu ku jirtaa shaqooyinka ay ka midka yihiin dhoofinta iyo soo dejinta macluumaadka marinka (dejinta tignoolajiyadan waxaa loo tixgeliyey in labaad qaybo ka mid ah wareegga). Aan ku celiyo si kooban:

Markaad dejinayso VRF gudaha AF, waa inaad sheegtaa route-target macluumaadka soo dejinta iyo dhoofinta. Si toos ah ayaad u cayimi kartaa Markaa qiimaha waxa ku jiri doona ASN BGP iyo L3 VNI ee la xidhiidha VRF. Tani way ku habboon tahay markaad hal ASN ku haysato warshadaada: 

vrf context PROD20
  address-family ipv4 unicast
    route-target export auto      ! Π’ автоматичСском Ρ€Π΅ΠΆΠΈΠΌΠ΅ экспортируСтся RT-65001:99000
    route-target import auto

Si kastaba ha noqotee, haddii aad haysato wax ka badan hal ASN oo aad u baahan tahay inaad ku wareejiso dariiqyada dhexdooda, markaa qaabeynta gacanta ayaa noqon doonta doorasho ku habboon oo la cabbiri karo route-target. Talada habaynta gacanta ayaa ah lambarka koowaad, isticmaal mid adiga kugu habboon, tusaale ahaan, 9999.
Midka labaad waa in loo dejiyaa inuu la mid yahay VNI ee VRF-gaas.

Aan u habaynno sida soo socota:

vrf context PROD10
  address-family ipv4 unicast
    route-target export 9999:99000          
    route-target import 9999:99000
    route-target import 9999:77000         ! ΠŸΡ€ΠΈΠΌΠ΅Ρ€ 1 import ΠΈΠ· Π΄Ρ€ΡƒΠ³ΠΎΠ³ΠΎ VRF
    route-target import 9999:88000         ! ΠŸΡ€ΠΈΠΌΠ΅Ρ€ 2 import ΠΈΠ· Π΄Ρ€ΡƒΠ³ΠΎΠ³ΠΎ VRF

Waxa ay u egtahay miiska dajinta:

Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
    *via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN          ! прСфикс доступСн Ρ‡Π΅Ρ€Π΅Π· L3VNI 99000

Aynu tixgelinno ikhtiyaarka labaad ee isku xirka VRF-yada - iyada oo loo marayo qalabka dibadda, tusaale ahaan Firewall.

Waxaa jira dhowr ikhtiyaar oo lagu shaqeynayo aalad dibadda ah:

  1. Qalabku waa ogyahay waxa VxLAN yahay waxaanan ku dari karnaa qayb ka mid ah dharka;
  2. Qalabku waxba kama oga VxLAN.

Ma sii joogi doono doorashada ugu horeysa, maadaama caqligu uu noqon doono mid la mid ah sida kor ku xusan - waxaan u keenaynaa dhammaan VRF-yada Firewall-ka waxaanan ku habeyneynaa habka u dhexeeya VRF-yada.

Aynu tixgelinno ikhtiyaarka labaad, marka Firewall-kayaga uusan waxba ka ogeyn VxLAN (hadda, dabcan, qalabka taageerada VxLAN ayaa soo muuqda. Tusaale ahaan, Checkpoint wuxuu ku dhawaaqay taageeradiisa nooca R81. Waad ka akhrisan kartaa wax ku saabsan halkan, si kastaba ha ahaatee, tani waa dhammaan marxaladda tijaabada mana jirto kalsooni lagu qabo xasilloonida hawlgalka).

Marka la isku xidho qalab dibadda ah, waxaan helnaa jaantuska soo socda:

warshad VxLAN. Qaybta 3

Sida aad ka arki karto jaantuska, cidhiidhi ayaa ka muuqda is dhexgalka Firewall-ka. Tani waa in lagu xisaabtamaa mustaqbalka marka la qorsheynayo shabakada iyo hagaajinta taraafikada shabakada.

Si kastaba ha ahaatee, aan u soo laabano dhibkii asalka ahaa ee dariiqa u dhexeeya VRF-yada. Natiijadu waxay tahay ku darista Firewall-ka, waxaan gaadhnay gabagabada in Firewall ay tahay inuu ogaado dhammaan VRF-yada. Si tan loo sameeyo, dhammaan VRF-yada waa in sidoo kale lagu habeeyaa Caleenta xadka, iyo Firewall waa in lagu xidhaa VRF kasta oo leh xiriir gaar ah.

Natiijo ahaan, nidaamka leh Firewall:

warshad VxLAN. Qaybta 3

Taasi waa, Firewall-ka waxaad u baahan tahay inaad u habayso interface VRF kasta oo ku yaal shabakadda. Guud ahaan, caqli-galku uma eka mid adag, waxa kaliya ee aanan jeclayn halkan waa tirada badan ee is-dhexgalka ee Firewall, laakiin halkan waa waqtigii laga fikiri lahaa otomatiga.

Fiican Waxaan isku xirnay Firewall-ka waxaana ku darnay dhammaan VRF-yada. Laakiin sidee baan hadda ugu qasbi karnaa taraafikada caleen kasta si ay u maraan Firewall-kan?

Caleenta ku xidhan Firewall-ka, wax dhibaato ah kama soo baxayso, maadaama dhammaan dariiqyadu ay yihiin kuwo maxali ah:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.254.13.55, [1/0], 6w5d, static       ! ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ ΠΏΠΎ-ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ Ρ‡Π΅Ρ€Π΅Π· Firewall

Si kastaba ha ahaatee, ka warran Caleenta fog? Sidee looga gudbi karaa dariiqa dibadda ee caadiga ah?

Taasi waa sax, iyada oo loo marayo jidka EVPN-nooca 5, sida horgale kasta oo kale oo ka sarreeya dharka VxLAN. Si kastaba ha ahaatee, tani ma fududa (haddii aan ka hadlayno Cisco, maadaama aanan la hubin iibiyeyaasha kale)

Jidka caadiga ah waa in laga xayeysiiyaa caleenta uu ku xidhan yahay Firewall-ku. Si kastaba ha ahaatee, si loo gudbiyo dariiqa, Caleentu waa inay iyada lafteeda taqaan. Oo halkan dhibaato gaar ah ayaa ka soo baxda (laga yaabee aniga oo keliya), dariiqa waa in si joogto ah looga diwaan galiyo VRF halkaas oo aad rabto inaad ku xayeysiiso jidkan:

vrf context PROD10
    ip route 0.0.0.0/0 10.254.13.55

Marka xigta, qaabeynta BGP, u deji jidkan AF IPv4:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0

Si kastaba ha ahaatee, taasi maahan. Sidan dariiqa caadiga ah laguma dari doono qoyska l2vpn evpn. Tan waxa dheer, waxaad u baahan tahay inaad habayso dib u qaybinta:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0
            redistribute static route-map COMMON_OUT

Waxaan muujineynaa horgalayaasha ku geli doona BGP dib u qaybinta

route-map COMMON_OUT permit 10
  match ip address prefix-list COMMON_OUT

ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0

Hadda horgalayaasha 0.0.0.0/0 waxay ku dhacdaa dariiqa EVPN-nooca 5 waxaana lagu kala qaadaa inta kale ee Caleen:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
    ! 10.255.1.5 - Π’ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½Ρ‹ΠΉ адрСс Leaf(Ρ‚Π°ΠΊ ΠΊΠ°ΠΊ Leaf Π²Ρ‹ΡΡ‚ΡƒΠΏΠ°ΡŽΡ‚ Π² качСствС VPΠ‘ ΠΏΠ°Ρ€Ρ‹), ΠΊ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌΡƒ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ Firewall

Jadwalka BGP-ga waxa aanu sidoo kale ku ilaalin karnaa dariiqa ka soo baxay nooca 5 ee leh dariiqa caadiga ah ee loo maro 10.255.1.5:

* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
                      10.255.1.5                        100          0 i
*>i                   10.255.1.5                        100          0 i

Tani waxay soo gabagabaynaysaa taxanaha maqaallada loo hibeeyay EVPN. Mustaqbalka, waxaan isku dayi doonaa inaan tixgeliyo hawlgalka VxLAN ee la socda Multicast, maadaama habkan loo tixgeliyo mid aad u miisaan badan (hadda hadda la joogo hadal muran dhaliyay)

Haddii aad wali hayso su'aalo/talo-bixino mawduuca ku saabsan, ka fiirso wax qabad kasta oo EVPN ah - qor, waxaanu sii tixgelin doonaa.

warshad VxLAN. Qaybta 3

Source: www.habr.com

Add a comment