Hello, Habr. Waxaan dhammeynayaa maqaalladan taxanaha ah. u heellan furitaanka koorsada by OTUS, iyada oo la adeegsanayo tignoolajiyada VxLAN EVPN si loogu dhex maro warshadda iyo adeegsiga Firewall si loo xaddido gelitaanka adeegyada gudaha

Qaybihii hore ee taxanaha waxaa laga heli karaa xiriirinta soo socota:
Maanta, waxaan sii wadi doonaa sahaminta macquulka dariiqa ee dhexda dharka VxLAN. Qaybtii hore, waxaanu ku eegnay habaynta maro dhexdeeda hal VRF ah. Si kastaba ha ahaatee, shabakadu waxay yeelan kartaa tiro badan oo adeegyo macmiil ah, mid walbana wuxuu u baahan yahay in lagu qaybiyo VRF-yada kala duwan si loo xaddido gelitaanka dhexdooda. Ka sokow xadaynta shabakada, ganacsigu waxa uu u baahan karaa in uu hirgeliyo firewall si loo xaddido gelitaanka adeegyadan u dhexeeya. Inkastoo tani aysan ahayn xalka ugu fiican, xaqiiqooyinka casriga ah waxay u baahan yihiin xalal casri ah.
Aynu tixgelinno laba ikhtiyaar oo loogu talagalay marin u dhexeeya VRF-yada:
- Wadista adigoon ka tagin dharka VxLAN;
- Jideynta qalabka dibadda.
Aan ku bilowno macquulka dhex dhexaadinta VRF. Waxaa jira tiro go'an oo VRF ah. Si loo dhex maro VRF-yada, waxaa lagama maarmaan ah in la qoondeeyo aalad shabakad ka warqabta dhammaan VRF-yada (ama qaybaha u dhexeeya dariiqa loo baahan yahay). Qalabkani wuxuu noqon karaa, tusaale ahaan, mid ka mid ah furayaasha caleenta (ama dhamaantood). Topology-gani wuxuu u ekaan lahaa sidan:

Waa maxay faa'iido darrooyinka topology this?
Run, Caleen kastaa waxay u baahan tahay inay ka warqabto dhammaan VRF-yada (iyo dhammaan macluumaadka ay ku jiraan) ee shabakadda, taasoo keenta xusuusta lumis iyo korodhka culeyska shabakadda. Ka dib oo dhan, marar badan, beddelasha caleen kasta uma baahna inuu ogaado wax kasta oo shabakadda ah.
Si kastaba ha ahaatee, aynu si dhow u eegno habkan, maadaama doorashadani aad ugu habboon tahay shabakadaha yaryar (haddii aysan jirin shuruudo ganacsi oo gaar ah)
Waqtigan xaadirka ah, waxaa laga yaabaa inaad la yaabto sida loogu wareejiyo macluumaadka VRF ilaa VRF, maadaama barta tignoolajiyadani ay si sax ah u xaddidayso faafinta macluumaadka.
Jawaabtu waxay ku jirtaa shaqooyinka sida dhoofinta iyo soo dejinta macluumaadka marinka (qaabaynta tignoolajiyadan ayaa loo tixgeliyey in qaybo ka mid ah wareegga). Aan ku celiyo si kooban:
Markaad qeexeyso VRF gudaha AF, waa inaad sheegtaa route-target soo dejinta iyo dhoofinta macluumaadka marinka. Si toos ah ayaad u cayimi kartaa Markaa qiimaha waxa ku jiri doona BGP ASN iyo L3 VNI ee la xidhiidha VRF. Tani way ku habboon tahay markaad hal ASN ku isticmaasho dharkaaga:
vrf context PROD20
address-family ipv4 unicast
route-target export auto ! Π Π°Π²ΡΠΎΠΌΠ°ΡΠΈΡΠ΅ΡΠΊΠΎΠΌ ΡΠ΅ΠΆΠΈΠΌΠ΅ ΡΠΊΡΠΏΠΎΡΡΠΈΡΡΠ΅ΡΡΡ RT-65001:99000
route-target import auto
Si kastaba ha noqotee, haddii aad haysato wax ka badan hal ASN oo aad u baahan tahay inaad ka gudubto dariiqyada u dhexeeya, markaa qaabeynta gacanta ayaa ah mid ku habboon oo la cabbiri karo. route-targetTalada habaynta gacanta ayaa ah inaad isticmaasho lambarka ugu horreeya ee adiga kugu habboon, tusaale ahaan, 9999.
Midda labaad waa in laga dhigaa mid la mid ah VNI ee VRF-kaas.
Aan u dhigno sidan soo socota:
vrf context PROD10
address-family ipv4 unicast
route-target export 9999:99000
route-target import 9999:99000
route-target import 9999:77000 ! ΠΡΠΈΠΌΠ΅Ρ 1 import ΠΈΠ· Π΄ΡΡΠ³ΠΎΠ³ΠΎ VRF
route-target import 9999:88000 ! ΠΡΠΈΠΌΠ΅Ρ 2 import ΠΈΠ· Π΄ΡΡΠ³ΠΎΠ³ΠΎ VRF
Waxa ay u egtahay miiska dajinta:
Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
*via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN ! ΠΏΡΠ΅ΡΠΈΠΊΡ Π΄ΠΎΡΡΡΠΏΠ΅Π½ ΡΠ΅ΡΠ΅Π· L3VNI 99000
Aynu tixgelinno ikhtiyaarka labaad ee isku xirka VRF-yada - iyada oo loo marayo qalabka dibadda, tusaale ahaan, Firewall.
Waxaa jira dhowr ikhtiyaar oo suurtagal ah oo lagu shaqeyn karo iyada oo loo marayo qalab dibadda ah:
- Qalabku wuu ogyahay waxa VxLAN yahay waxaanan ku dari karnaa qaybta dharka;
- Qalabku waxba kama oga VxLAN.
Ma dagi doono doorashada koowaad, maadaama caqligu uu la mid noqon doono sida kor lagu muujiyey - waxaan ku xireynaa dhammaan VRF-yada Firewall-ka waxaanan dejineynaa marin u dhexeeya VRF-yada.
Aynu tixgelinno dhacdada labaad, marka Firewall-kayaga aanu waxba ka ogayn VxLAN (dabcan, qalabka ku shaqeeya VxLAN ayaa hadda soo muuqda. Tusaale ahaan, Checkpoint wuxuu ku dhawaaqay taageerada nooca R81. Waad ka akhrisan kartaa wax ku saabsan , si kastaba ha ahaatee, tani waa dhammaan marxaladda tijaabada mana jirto wax hubaal ah oo ku saabsan xasilloonida hawlgalka).
Marka la isku xidho qalab dibadda ah, waxaan helnaa jaantuska soo socda:

Sida jaantusku muujinayo, qoortu waxay ka muuqataa meesha ay iska galaan dab-damiska. Tani waa in la tixgeliyo marka la qorsheynayo shabakada iyo hagaajinta taraafikada shabakada.
Si kastaba ha ahaatee, aan u soo laabano dhibkii asalka ahaa ee isku xirka VRF. Ku darida dab-damiska waxay la macno tahay in dab-demisku uu ka warqabo dhammaan VRF-yada. Si taas loo gaaro, dhammaan VRF-yada waa in sidoo kale lagu habeeyaa qanjidhada caleenta, iyo dab-damiska waa in lagu xidhaa VRF kasta iyada oo loo marayo xiriiriye gaar ah.
Natiijo ahaan, nidaamka leh Firewall:

Tani waxay ka dhigan tahay inaad u baahan tahay inaad u habayso interfiyuuga dabka ee VRF kasta oo shabakada ah. Guud ahaan, caqligu wuxuu u muuqdaa mid toos ah, waxa kaliya ee aad necbi kartona waa tirada badan ee is-dhexgalka ee dabka, laakiin waa waqtigii laga fikiri lahaa otomatiga.
Waayahay Waanu awoodnay dabka waxaana ku darnay dhammaan VRF-yada. Laakiin sidee ayaan ugu qasbi karnaa taraafikada caleen kasta si ay u maraan dabka?
Caleenta ku xidhan Dab-damiska, ma jiri doonto wax dhibaato ah, maadaama dariiqyada oo dhan ay yihiin kuwo maxali ah:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.254.13.55, [1/0], 6w5d, static ! ΠΌΠ°ΡΡΡΡΡ ΠΏΠΎ-ΡΠΌΠΎΠ»ΡΠ°Π½ΠΈΡ ΡΠ΅ΡΠ΅Π· Firewall
Laakiin ka waran Caleemaha la tirtiray? Sideen ugu gudbiyaa dariiqa dibadda ee caadiga ah?
Taasi waa sax, iyada oo loo marayo jidka EVPN nooca 5, sida horgalayaasha kale ee dharka VxLAN. Si kastaba ha ahaatee, ma aha mid fudud (haddii aan ka hadlayno Cisco, maadaama aanan tijaabin iibiyeyaasha kale).
Jidka caadiga ah waa in laga xayeysiiyaa caleenta ku xidhan Firewall-ka. Si kastaba ha ahaatee, si loo xayeysiiyo dariiqa, Caleenta lafteedu waa inay ogaataa. Tani waa meesha ay dhibaatadu ka soo baxdo (laga yaabee aniga oo keliya): dariiqa waa in si toos ah loogu qeexaa VRF meesha aad rabto inaad ku xayeysiiso:
vrf context PROD10
ip route 0.0.0.0/0 10.254.13.55
Marka xigta, qaabeynta BGP, u deji jidkan AF IPv4:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0
Si kastaba ha ahaatee, taasi maahan. Tani waxay ka dhigan tahay in dariiqa caadiga ah laguma dari doono qoyska. l2vpn evpnIntaa waxaa dheer, waxaad u baahan tahay inaad dejiso dib u qaybinta:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0
redistribute static route-map COMMON_OUT
Waxaan cadeyneynaa horgalayaasha lagu dari doono BGP iyadoo dib loo qeybin doono
route-map COMMON_OUT permit 10
match ip address prefix-list COMMON_OUT
ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0
Hadda horgalayaasha 0.0.0.0/0 gala jidka EVPN-nooca 5 waxaana loo gudbiyaa caleemaha kale:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
! 10.255.1.5 - ΠΠΈΡΡΡΠ°Π»ΡΠ½ΡΠΉ Π°Π΄ΡΠ΅Ρ Leaf(ΡΠ°ΠΊ ΠΊΠ°ΠΊ Leaf Π²ΡΡΡΡΠΏΠ°ΡΡ Π² ΠΊΠ°ΡΠ΅ΡΡΠ²Π΅ VPΠ‘ ΠΏΠ°ΡΡ), ΠΊ ΠΊΠΎΡΠΎΡΠΎΠΌΡ ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ΅Π½ Firewall
Jadwalka BGP waxaan sidoo kale ku arki karnaa dariiqa la helay-nooca 5 oo leh dariiqa caadiga ah ee loo maro 10.255.1.5:
* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
10.255.1.5 100 0 i
*>i 10.255.1.5 100 0 i
Tani waxay soo gabagabaynaysaa taxanaha maqaallada EVPN. Mustaqbalka, waxaan eegi doonaa VxLAN iyada oo la socota Multicast, maadaama habkan loo tixgeliyo mid la qiyaasi karo (dacwad muran leh markan).
Haddii aad hayso wax su'aalo ah ama soo jeedin ah oo ku saabsan mid ka mid ah sifooyinka EVPN, fadlan nala soo socodsii waxaanan tixgelin doonaa si dheeraad ah.
Source: www.habr.com
