Lumela, Habr. Ke qetela letoto la lihlooho, e inehetseng ho thakgola thupelo ka OTUS, ho sebelisa theknoloji ea VxLAN EVPN bakeng sa ho tsamaisa ka har'a lesela le ho sebelisa Firewall ho thibela phihlello lipakeng tsa lits'ebeletso tsa kahare.
Likarolo tse fetileng tsa letoto li ka fumanoa lihokelong tse latelang:
Kajeno re tla tsoelapele ho ithuta mokhoa oa ho tsamaisa ka har'a lesela la VxLAN. Karolong e fetileng, re shebile mokhoa oa ho tsamaisa masela ka har'a VRF e le 'ngoe. Leha ho le joalo, ho ka 'na ha e-ba le palo e kholo ea litšebeletso tsa bareki marang-rang, 'me kaofela ha tsona li tlameha ho ajoa ho li-VRF tse fapaneng ho khetholla phihlello lipakeng tsa tsona. Ntle le karohano ea marang-rang, khoebo e kanna ea hloka ho hokela Firewall ho thibela phihlello lipakeng tsa lits'ebeletso tsena. E, sena se ke ke sa bitsoa tharollo e molemo ka ho fetisisa, empa linnete tsa morao-rao li hloka "tharollo ea morao-rao".
Ha re nahaneng ka likhetho tse peli tsa ho tsamaisa lipakeng tsa VRFs:
- Ho tsamaisa ntle le ho siea lesela la VxLAN;
- Ho tsamaisa lisebelisoa tsa kantle.
Ha re qaleng ka mokhoa oa ho tsamaisa lipakeng tsa li-VRF. Ho na le palo e itseng ea li-VRF. Ho tsamaisa li-VRF, o hloka ho khetha sesebelisoa marang-rang se tla tseba ka li-VRF tsohle (kapa likarolo tseo ho tsona ho hlokahalang routing) Sesebelisoa se joalo e ka ba e 'ngoe ea li-switches tsa Leaf (kapa kaofela hang-hang . Topology ena e tla shebahala tjena:
Ke mefokolo efe ea topology ee?
Ke 'nete, Lekhasi le leng le le leng le hloka ho tseba ka li-VRF tsohle (le tlhahisoleseding eohle e ho tsona) ho marang-rang, e leng se lebisang ho lahleheloa ke mohopolo le ho eketseha ha marang-rang. Ntle le moo, hangata switch e 'ngoe le e' ngoe ea Leaf ha e hloke ho tseba ka tsohle tse teng marang-rang.
Leha ho le joalo, a re hlahlobeng mokhoa ona ka ho qaqileng, kaha bakeng sa marang-rang a manyenyane khetho ena e loketse haholo (haeba ho se na litlhoko tse khethehileng tsa khoebo)
Ka nako ena, u ka 'na ua ba le potso mabapi le mokhoa oa ho fetisetsa tlhahisoleseding ho tloha VRF ho ea ho VRF, hobane ntlha ea theknoloji ena ke hantle hore ho phatlalatsoa ha tlhahisoleseding ho lokela ho lekanyetsoa.
'Me karabo e ka mesebetsi e kang ho romela thepa ntle le ho kenngoa ha tlhahisoleseding ea litsela (ho theha theknoloji ena ho ne ho nahanoa ka likarolo tsa potoloho). E re ke phete ka bokhutšoanyane:
Ha u seta VRF ho AF, u tlameha ho hlakisa route-target bakeng sa tlhaiso-leseling ea ho kenya le ho romela kantle ho naha. O ka e hlalosa ka bohona. Joale boleng bo tla kenyelletsa ASN BGP le L3 VNI e amanang le VRF. Sena se bonolo ha o na le ASN e le 'ngoe feela fekthering ea hau:
vrf context PROD20
address-family ipv4 unicast
route-target export auto ! В автоматическом режиме экспортируется RT-65001:99000
route-target import autoLeha ho le joalo, haeba u na le ASN e fetang e le 'ngoe' me u hloka ho fetisetsa litsela pakeng tsa tsona, joale tlhophiso ea matsoho e tla ba khetho e bonolo le e ka senyehang. route-target. Khothaletso ea ho seta ka letsoho ke nomoro ea pele, sebelisa e u loketseng, mohlala, 9999.
Ea bobeli e lokela ho hlophisoa ho lekana le VNI bakeng sa VRF eo.
A re e hlophiseng ka tsela e latelang:
vrf context PROD10
address-family ipv4 unicast
route-target export 9999:99000
route-target import 9999:99000
route-target import 9999:77000 ! Пример 1 import из другого VRF
route-target import 9999:88000 ! Пример 2 import из другого VRFE shebahala joang tafoleng ea routing:
Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
*via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN ! префикс доступен через L3VNI 99000Ha re nahaneng ka khetho ea bobeli ea ho tsamaisa lipakeng tsa VRF - ka lisebelisoa tsa kantle, mohlala, Firewall.
Ho na le likhetho tse 'maloa tsa ho sebetsa ka sesebelisoa sa kantle:
- Sesebelisoa se tseba hore na VxLAN ke eng mme re ka e eketsa karolong ea lesela;
- Sesebelisoa ha se tsebe letho ka VxLAN.
Re ke ke ra lula holim'a khetho ea pele, kaha logic e tla batla e tšoana le e bontšitsoeng ka holimo - re tlisa li-VRF tsohle ho Firewall le ho lokisa tsela pakeng tsa VRF ho eona.
A re nahaneng ka khetho ea bobeli, ha Firewall ea rona e sa tsebe letho ka VxLAN (hona joale, ha e le hantle, lisebelisoa tse nang le tšehetso ea VxLAN lia hlaha. Ka mohlala, Checkpoint e phatlalalitse tšehetso ea eona phetolelong ea R81. U ka bala ka eona , leha ho le joalo, sena sohle se sethaleng sa teko 'me ha ho na tšepo ea botsitso ba ts'ebetso).
Ha re hokahanya sesebelisoa sa kantle, re fumana setšoantšo se latelang:
Joalo ka ha u bona ho tsoa setšoantšong, botlolo bo hlaha sehokelong le Firewall. Sena se tlameha ho nahanoa nakong e tlang ha ho rera marang-rang le ho ntlafatsa sephethephethe sa marang-rang.
Leha ho le joalo, ha re khutleleng bothateng ba pele ba ho tsamaisa li-VRF. Ka lebaka la ho kenyelletsa Firewall, re fihlela qeto ea hore Firewall e tlameha ho tseba ka li-VRF tsohle. Ho etsa sena, li-VRF tsohle le tsona li tlameha ho hlophisoa moeling oa Leafs, 'me Firewall e tlameha ho hokahanngoa ho VRF e' ngoe le e 'ngoe ka sehokelo se arohaneng.
Ka lebaka leo, leano le nang le Firewall:
Ka mantsoe a mang, ho Firewall o hloka ho hlophisa sebopeho ho VRF ka 'ngoe e fumanehang marang-rang. Ka kakaretso, mohopolo ha o shebahale o rarahane mme ntho feela eo ke sa e rateng mona ke palo e kholo ea li-interfaces ho Firewall, empa mona ke nako ea ho nahana ka boiketsetso.
Hantle. Re ile ra hokahanya Firewall mme ra e kenyelletsa ho li-VRF tsohle. Empa joale re ka qobella sephethephethe ho tsoa Lekhasing le leng le le leng joang ho feta Firewall ee?
Lekhasing le amanang le Firewall, ha ho na mathata a tla hlaha, kaha litsela tsohle ke tsa lehae:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.254.13.55, [1/0], 6w5d, static ! маршрут по-умолчанию через FirewallLeha ho le joalo, ho thoe’ng ka remote Leafs? Joang ho li fetisa ka tsela e tloaelehileng ea kantle?
Ho joalo, ka mofuta oa 5 oa EVPN, joalo ka sehlomathiso sefe kapa sefe holim'a lesela la VxLAN. Leha ho le joalo, sena ha se bonolo haholo (haeba re bua ka Cisco, kaha ha ke so hlahlobe barekisi ba bang)
Tsela ea kamehla e tlameha ho phatlalatsoa ho tloha Lekhasing leo Firewall e hoketsoeng ho lona. Leha ho le joalo, ho fetisa tsela, Leaf o tlameha ho e tseba ka boeena. 'Me mona ho hlaha bothata bo itseng (mohlomong bakeng sa ka feela), tsela e tlameha ho ngolisoa ka lipalo ho VRF moo u batlang ho bapatsa tsela e joalo:
vrf context PROD10
ip route 0.0.0.0/0 10.254.13.55E latelang, ho tlhophiso ea BGP, beha tsela ena ho AF IPv4:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0Leha ho le joalo, ha se eona feela. Ka tsela ena tsela ea kamehla e ke ke ea kenyelletsoa lelapeng l2vpn evpn. Дополнительно к этому необходимо настроить редистрибуцию:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0
redistribute static route-map COMMON_OUTRe bonts'a hore na ke li-prefixes life tse tla kena BGP ka kabo bocha
route-map COMMON_OUT permit 10
match ip address prefix-list COMMON_OUT
ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0Joale sehlongoapele 0.0.0.0/0 e oela ho EVPN-mofuta oa 5 mme e fetisetsoa ho Leaf kaofela:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен FirewallTafoleng ea BGP re ka boela ra bona sephetho sa mofuta oa 5 ka tsela ea kamehla ka 10.255.1.5:
* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
10.255.1.5 100 0 i
*>i 10.255.1.5 100 0 iSena se phethela letoto la lingoliloeng tse nehetsoeng ho EVPN. Nakong e tlang, ke tla leka ho nahana ka ts'ebetso ea VxLAN hammoho le Multicast, kaha mokhoa ona o nkoa e le oa ho senyeha (ka nako eo polelo e tsosang khang)
Если же у вас остались вопросы/предложения на тему, рассмотреть какой-либо функционал EVPN — напишите, рассмотрим дополнительно.
Source: www.habr.com