Halo, habr. Abdi ayeuna pamimpin kursus pikeun kursus Network Engineer di OTUS.
Dina antisipasi mimiti enrollment anyar pikeun kursus , Kuring geus nyiapkeun runtuyan artikel dina téhnologi VxLAN EVPN.
Aya seueur bahan ngeunaan kumaha VxLAN EVPN jalan, janten kuring hoyong ngumpulkeun rupa-rupa tugas sareng prakték pikeun ngarengsekeun masalah dina pusat data modern.
Dina bagian kahiji ti séri dina téhnologi VxLAN EVPN, Abdi hoyong ningali cara pikeun ngatur konektipitas L2 antara host dina luhureun hiji lawon jaringan.
Sadaya conto bakal dilakukeun dina Cisco Nexus 9000v, dirakit dina topologi tulang tonggong-Daun. Kami moal cicing dina nyetél jaringan Underlay dina tulisan ieu.
- Jaringan underlay
- BGP peering pikeun alamat-kulawarga l2vpn evpn
- Nyetél NVE
- Nyerep-arp
Jaringan underlay
Topologi anu digunakeun nyaéta kieu:
Hayu urang nyetél alamat dina sadaya alat:
Spine-1 - 10.255.1.101
Spine-2 - 10.255.1.102
Leaf-11 - 10.255.1.11
Leaf-12 - 10.255.1.12
Leaf-21 - 10.255.1.21
Host-1 - 192.168.10.10
Host-2 - 192.168.10.20Hayu urang pariksa yén aya konektipitas IP antara sadaya alat:
Leaf21# sh ip route
<........>
10.255.1.11/32, ubest/mbest: 2/0 ! Leaf-11 доступен чеерз два Spine
*via 10.255.1.101, Eth1/4, [110/81], 00:00:03, ospf-UNDERLAY, intra
*via 10.255.1.102, Eth1/3, [110/81], 00:00:03, ospf-UNDERLAY, intra
10.255.1.12/32, ubest/mbest: 2/0 ! Leaf-12 доступен чеерз два Spine
*via 10.255.1.101, Eth1/4, [110/81], 00:00:03, ospf-UNDERLAY, intra
*via 10.255.1.102, Eth1/3, [110/81], 00:00:03, ospf-UNDERLAY, intra
10.255.1.21/32, ubest/mbest: 2/0, attached
*via 10.255.1.22, Lo0, [0/0], 00:02:20, local
*via 10.255.1.22, Lo0, [0/0], 00:02:20, direct
10.255.1.101/32, ubest/mbest: 1/0
*via 10.255.1.101, Eth1/4, [110/41], 00:00:06, ospf-UNDERLAY, intra
10.255.1.102/32, ubest/mbest: 1/0
*via 10.255.1.102, Eth1/3, [110/41], 00:00:03, ospf-UNDERLAY, intraHayu urang parios yén domain VPC parantos didamel sareng kadua saklar parantos lulus cek konsistensi sareng setélan dina kadua titik idéntik:
Leaf11# show vpc
vPC domain id : 1
Peer status : peer adjacency formed ok
vPC keep-alive status : peer is alive
Configuration consistency status : success
Per-vlan consistency status : success
Type-2 consistency status : success
vPC role : primary
Number of vPCs configured : 0
Peer Gateway : Disabled
Dual-active excluded VLANs : -
Graceful Consistency Check : Enabled
Auto-recovery status : Disabled
Delay-restore status : Timer is off.(timeout = 30s)
Delay-restore SVI status : Timer is off.(timeout = 10s)
Operational Layer3 Peer-router : Disabled
vPC status
----------------------------------------------------------------------------
Id Port Status Consistency Reason Active vlans
-- ------------ ------ ----------- ------ ---------------
5 Po5 up success success 1BGP peering
Tungtungna, anjeun tiasa ngaléngkah ka nyetél jaringan Overlay.
Salaku bagian tina artikel, perlu pikeun ngatur jaringan antara host, sakumaha ditémbongkeun dina diagram di handap:
Pikeun ngonpigurasikeun jaringan Overlay, anjeun kedah ngaktipkeun BGP dina saklar Tulang tonggong sareng Daun kalayan dukungan pikeun kulawarga l2vpn evpn:
feature bgp
nv overlay evpnSalajengna, anjeun kedah ngonpigurasikeun BGP peering antara Daun sareng Tulang tonggong. Pikeun nyederhanakeun setelan sareng ngaoptimalkeun distribusi inpormasi rute, kami ngonpigurasikeun Spine salaku server Route-Reflector. Kami bakal nyerat sadaya Daun dina konfigurasi nganggo témplat pikeun ngaoptimalkeun setélan.
Janten setélan dina Spine sapertos kieu:
router bgp 65001
template peer LEAF
remote-as 65001
update-source loopback0
address-family l2vpn evpn
send-community
send-community extended
route-reflector-client
neighbor 10.255.1.11
inherit peer LEAF
neighbor 10.255.1.12
inherit peer LEAF
neighbor 10.255.1.21
inherit peer LEAFSetélan dina saklar Daun katingalina sami:
router bgp 65001
template peer SPINE
remote-as 65001
update-source loopback0
address-family l2vpn evpn
send-community
send-community extended
neighbor 10.255.1.101
inherit peer SPINE
neighbor 10.255.1.102
inherit peer SPINEDina Spine, hayu urang pariksa peering sareng sadaya saklar Daun:
Spine1# sh bgp l2vpn evpn summary
<.....>
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.255.1.11 4 65001 7 8 6 0 0 00:01:45 0
10.255.1.12 4 65001 7 7 6 0 0 00:01:16 0
10.255.1.21 4 65001 7 7 6 0 0 00:01:01 0Sakumaha anjeun tiasa tingali, teu aya masalah sareng BGP. Hayu urang ngaléngkah ka nyetel VxLAN. Konfigurasi salajengna bakal dilakukeun ngan di sisi Daun saklar. Tulang tonggong tindakan ukur salaku inti jaringan sarta ngan aub dina ngalirkeun lalulintas. Sadaya karya enkapsulasi sareng tekad jalur ngan ukur aya dina saklar Daun.
Nyetél NVE
NVE - panganteur virtual jaringan
Sateuacan ngamimitian setelan, hayu urang ngenalkeun sababaraha terminologi:
VTEP - Vitual Tunnel End Point, alat dimana torowongan VxLAN dimimitian atanapi ditungtungan. VTEP sanés mangrupikeun alat jaringan. Pangladén anu ngadukung téknologi VxLAN ogé tiasa janten pangladén. Dina topologi urang, sadaya switch Daun VTEP.
VNI - Virtual Network Index - identifier jaringan dina VxLAN. Analogi tiasa digambar nganggo VLAN. Sanajan kitu, aya sababaraha béda. Nalika nganggo lawon, VLAN janten unik ngan ukur dina hiji switch Daun sareng henteu dikirimkeun kana jaringan. Tapi unggal VLAN tiasa gaduh nomer VNI anu aya hubunganana sareng éta, anu parantos dikirimkeun kana jaringan. Naon rupana sareng kumaha éta tiasa dianggo bakal dibahas salajengna.
Hayu urang aktipkeun fitur pikeun téknologi VxLAN tiasa dianggo sareng kamampuan pikeun ngahubungkeun nomer VLAN sareng nomer VNI:
feature nv overlay
feature vn-segment-vlan-basedHayu urang ngonpigurasikeun panganteur NVE, nu jawab operasi VxLAN. panganteur ieu jawab encapsulating pigura dina headers VxLAN. Anjeun tiasa ngagambar analogi sareng antarmuka Torowongan pikeun GRE:
interface nve1
no shutdown
host-reachability protocol bgp ! используем BGP для передачи маршрутной информации
source-interface loopback0 ! интерфейс с которого отправляем пакеты loopback0Dina switch Daun-21 sagalana dijieun tanpa masalah. Sanajan kitu, lamun urang pariksa kaluaran paréntah show nve peers, mangka bakal kosong. Di dieu anjeun kedah uih deui ka konfigurasi VPC. Kami ningali yén Daun-11 sareng Daun-12 dianggo sapasang sareng dihijikeun ku domain VPC. Ieu masihan kami kaayaan di handap ieu:
Host-2 ngirimkeun hiji pigura ka arah Leaf-21 supados ngirimkeunana kana jaringan nuju Host-1. Tapi, Leaf-21 ningali yén alamat MAC tina Host-1 tiasa diaksés ku dua VTEP sakaligus. Naon anu kedah dilakukeun ku Daun-21 dina hal ieu? Barina ogé, ieu ngandung harti yén loop bisa muncul dina jaringan.
Pikeun ngabéréskeun kaayaan ieu, urang peryogi Daun-11 sareng Daun-12 pikeun ogé bertindak salaku hiji alat dina pabrik. Leyuran anu cukup basajan. Dina panganteur Loopback ti mana urang ngawangun torowongan, tambahkeun alamat sekundér. Alamat Sekunder kudu sarua dina duanana VTEPs.
interface loopback0
ip add 10.255.1.10/32 secondaryJanten, tina sudut pandang VTEP anu sanés, kami nampi topologi ieu:
Nyaéta, ayeuna torowongan bakal diwangun antara alamat IP Daun-21 sareng IP virtual antara dua Daun-11 sareng Daun-12. Ayeuna moal aya masalah diajar alamat MAC tina dua alat sareng lalu lintas tiasa ngalih ti hiji VTEP ka anu sanés. Mana tina dua VTEP anu bakal ngolah lalu lintas diputuskeun nganggo tabel routing on Spine:
Spine1# sh ip route
<.....>
10.255.1.10/32, ubest/mbest: 2/0
*via 10.255.1.11, Eth1/1, [110/41], 1d01h, ospf-UNDERLAY, intra
*via 10.255.1.12, Eth1/2, [110/41], 1d01h, ospf-UNDERLAY, intra
10.255.1.11/32, ubest/mbest: 1/0
*via 10.255.1.11, Eth1/1, [110/41], 1d22h, ospf-UNDERLAY, intra
10.255.1.12/32, ubest/mbest: 1/0
*via 10.255.1.12, Eth1/2, [110/41], 1d01h, ospf-UNDERLAY, intraSakumaha anjeun tiasa tingali di luhur, alamat 10.255.1.10 sadia langsung ngaliwatan dua Next-hops.
Dina tahap ieu, urang geus diurus konektipitas dasar. Hayu urang ngaléngkah ka nyetél panganteur NVE:
Hayu urang langsung ngaktifkeun Vlan 10 sareng ngahubungkeun sareng VNI 10000 dina unggal Daun pikeun host. Hayu urang nyetél torowongan L2 antara host
vlan 10 ! Включаем VLAN на всех VTEP подключенных к необходимым хостам
vn-segment 10000 ! Ассоциируем VLAN с номер VNI
interface nve1
member vni 10000 ! Добавляем VNI 10000 для работы через интерфейс NVE. для инкапсуляции в VxLAN
ingress-replication protocol bgp ! указываем, что для распространения информации о хосте используем BGPAyeuna hayu urang pariksa nve peers na tabel pikeun BGP EVPN:
Leaf21# sh nve peers
Interface Peer-IP State LearnType Uptime Router-Mac
--------- --------------- ----- --------- -------- -----------------
nve1 10.255.1.10 Up CP 00:00:41 n/a ! Видим что peer доступен с secondary адреса
Leaf11# sh bgp l2vpn evpn
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10.255.1.11:32777 (L2VNI 10000) ! От кого именно пришел этот l2VNI
*>l[3]:[0]:[32]:[10.255.1.10]/88 ! EVPN route-type 3 - показывает нашего соседа, который так же знает об l2VNI10000
10.255.1.10 100 32768 i
*>i[3]:[0]:[32]:[10.255.1.20]/88
10.255.1.20 100 0 i
* i 10.255.1.20 100 0 i
Route Distinguisher: 10.255.1.21:32777
* i[3]:[0]:[32]:[10.255.1.20]/88
10.255.1.20 100 0 i
*>i 10.255.1.20 100 0 iDi luhur urang ngan ukur ningali rute EVPN-tipe 3. Jenis rute ieu nyarioskeun peer(Daun), tapi dimana host urang?
Masalahna nyaéta inpormasi ngeunaan host MAC dikirimkeun via EVPN route-type 2
Pikeun ningali host kami, anjeun kedah ngonpigurasikeun EVPN route-type 2:
evpn
vni 10000 l2
route-target import auto ! в рамках данной статьи используем автоматический номер для route-target
route-target export autoHayu urang ping ti Host-2 ka Host-1:
Firewall2# ping 192.168.10.1
PING 192.168.10.1 (192.168.10.1): 56 data bytes
36 bytes from 192.168.10.2: Destination Host Unreachable
Request 0 timed out
64 bytes from 192.168.10.1: icmp_seq=1 ttl=254 time=215.555 ms
64 bytes from 192.168.10.1: icmp_seq=2 ttl=254 time=38.756 ms
64 bytes from 192.168.10.1: icmp_seq=3 ttl=254 time=42.484 ms
64 bytes from 192.168.10.1: icmp_seq=4 ttl=254 time=40.983 msSareng di handap ieu urang tiasa ningali yén rute-tipe 2 sareng alamat MAC host muncul dina tabel BGP - 5001.0007.0007 sareng 5001.0008.0007
Leaf11# sh bgp l2vpn evpn
<......>
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10.255.1.11:32777 (L2VNI 10000)
*>l[2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216 ! evpn route-type 2 и mac адрес хоста 1
10.255.1.10 100 32768 i
*>i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216 ! evpn route-type 2 и mac адрес хоста 2
* i 10.255.1.20 100 0 i
*>l[3]:[0]:[32]:[10.255.1.10]/88
10.255.1.10 100 32768 i
Route Distinguisher: 10.255.1.21:32777
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216
10.255.1.20 100 0 i
*>i 10.255.1.20 100 0 iSalajengna, anjeun tiasa ningali inpormasi lengkep ngeunaan Pembaruan, dimana anjeun nampi inpormasi ngeunaan MAC Host. Di handap ieu teu sakabéh kaluaran paréntah.
Leaf21# sh bgp l2vpn evpn 5001.0007.0007
BGP routing table information for VRF default, address family L2VPN EVPN
Route Distinguisher: 10.255.1.11:32777 ! отправил Update с MAC Host. Не виртуальный адрес VPC, а адрес Leaf
BGP routing table entry for [2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216,
version 1507
Paths: (2 available, best #2)
Flags: (0x000202) (high32 00000000) on xmit-list, is not in l2rib/evpn, is not i
n HW
Path type: internal, path is valid, not best reason: Neighbor Address, no labe
led nexthop
AS-Path: NONE, path sourced internal to AS
10.255.1.10 (metric 81) from 10.255.1.102 (10.255.1.102) ! с кем именно строим VxLAN тоннель
Origin IGP, MED not set, localpref 100, weight 0
Received label 10000 ! Номер VNI, который ассоциирован с VLAN, в котором находится Host
Extcommunity: RT:65001:10000 SOO:10.255.1.10:0 ENCAP:8 ! Тут видно, что RT сформировался автоматически на основе номеров AS и VNI
Originator: 10.255.1.11 Cluster list: 10.255.1.102
<........>Hayu urang tingali kumaha rupa pigura nalika aranjeunna dialirkeun ka pabrik:
Neundeun-ARP
Hébat, urang ayeuna gaduh komunikasi L2 antara host sareng urang tiasa réngsé di dinya. Sanajan kitu, teu kabeh jadi basajan. Salami urang gaduh sababaraha host moal aya masalah. Tapi hayu urang bayangkeun kaayaan dimana urang ngagaduhan ratusan sareng rébuan host. Masalah naon anu bisa urang hadapi?
Masalah ieu patalimarga BUM (Broadcast, Unknown Unicast, Multicast). Dina tulisan ieu, urang bakal mertimbangkeun pilihan pikeun ngatur lalu lintas siaran.
Generator Broadcast utama dina jaringan Ethernet nyaéta host sorangan ngaliwatan protokol ARP.
Nexus implements mékanisme handap pikeun merangan requests ARP - suppress-arp.
Fitur ieu jalanna kieu:
- Host-1 ngirimkeun pamundut APR ka alamat Broadcast jaringanna.
- Paménta ngahontal switch Daun sareng henteu ngalangkungan pamundut ieu langkung jauh ka lawon nuju Host-2, Daun ngaréspon nyalira sareng nunjukkeun IP sareng MAC anu diperyogikeun.
Ku kituna, pamundut Broadcast teu indit ka pabrik. Tapi kumaha ieu tiasa dianggo upami Daun ngan ukur terang alamat MAC?
Sadayana cukup saderhana, EVPN route-type 2, salian alamat MAC, tiasa ngirimkeun kombinasi MAC / IP. Jang ngalampahkeun ieu, anjeun kudu ngonpigurasikeun alamat IP dina VLAN on Daun. Timbul patarosan, IP naon anu kuring kedah disetel? Dina nexus, anjeun tiasa nyiptakeun alamat anu disebarkeun (sarua) dina sadaya saklar:
feature interface-vlan
fabric forwarding anycast-gateway-mac 0001.0001.0001 ! задаем virtual mac для создания распределенного шлюза между всеми коммутаторами
interface Vlan10
no shutdown
ip address 192.168.10.254/24 ! на всех Leaf задаем одинаковый IP
fabric forwarding mode anycast-gateway ! говорим использовать Virtual macJanten, tina sudut pandang host, jaringan bakal katingali sapertos kieu:
Hayu urang pariksa BGP l2route evpn
Leaf11# sh bgp l2vpn evpn
<......>
Network Next Hop Metric LocPrf Weight Path
Route Distinguisher: 10.255.1.11:32777 (L2VNI 10000)
*>l[2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216
10.255.1.21 100 32768 i
*>i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216
10.255.1.10 100 0 i
* i 10.255.1.10 100 0 i
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[32]:[192.168.10.20]/248
10.255.1.10 100 0 i
*>i 10.255.1.10 100 0 i
<......>
Route Distinguisher: 10.255.1.21:32777
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[0]:[0.0.0.0]/216
10.255.1.20 100 0 i
*>i 10.255.1.20 100 0 i
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[32]:[192.168.10.20]/248
*>i 10.255.1.20 100 0 i
<......>Tina kaluaran paréntah anjeun tiasa ningali yén dina EVPN route-type 2, salian MAC, ayeuna urang ogé ningali alamat IP host.
Hayu urang balik deui ka setelan suppress-arp. Setelan ieu diaktipkeun pikeun tiap VNI nyalira:
interface nve1
member vni 10000
suppress-arpLajeng sababaraha pajeulitna timbul:
- Pikeun fitur ieu jalan, spasi dina mémori TCAM diperlukeun. Ieu conto setelan pikeun suppress-arp:
hardware access-list tcam region arp-ether 256Setelan ieu ngabutuhkeun dua kali lebar. Nyaéta, upami anjeun nyetél 256, anjeun kedah ngabebaskeun 512 di TCAM. Nyetel TCAM di luar ruang lingkup tulisan ieu, sabab nyetél TCAM ngan ukur gumantung kana tugas anu ditugaskeun ka anjeun sareng tiasa bénten-béda ti hiji jaringan ka anu sanés.
- Ngalaksanakeun suppress-arp kedah dilakukeun dina sadaya saklar Daun. Tapi, pajeulitna tiasa timbul nalika ngonpigurasikeun pasangan Daun anu aya dina domain VPC. Lamun TCAM dirobah, konsistensi antara pasangan bakal pegat sarta hiji titik bisa dicokot kaluar tina operasi. Sajaba ti, reboot alat bisa jadi diperlukeun pikeun nerapkeun setelan robah TCAM.
Hasilna, anjeun kedah taliti mertimbangkeun naha, dina kaayaan anjeun, éta patut nerapkeun setelan ieu kana pabrik ngajalankeun.
Ieu menyimpulkan bagian mimiti séri. Dina bagian salajengna urang bakal nempo routing ngaliwatan lawon VxLAN kalawan separation jaringan kana VRFs béda.
Sareng ayeuna kuring ngajak sadayana , di mana kuring bakal nyaritakeun anjeun sacara rinci ngeunaan kursus. 20 pamilon munggaran anu ngadaptar pikeun webinar ieu bakal nampi Sertipikat Diskon via email dina 1-2 dinten saatos siaran.
sumber: www.habr.com