Salam, Habr. Kuring keur ngabéréskeun runtuyan artikel, dedicated ka peluncuran tangtu ku OTUS, ngagunakeun téhnologi VxLAN EVPN pikeun routing dina lawon sarta ngagunakeun firewall pikeun ngawatesan aksés antara jasa internal
Bagian saméméhna tina séri ieu tiasa dipendakan dina tautan ieu:
Dinten ieu kami bakal neruskeun diajar logika routing jero lawon VxLAN. Dina bagian saméméhna, urang nempo routing intra-lawon dina hiji VRF tunggal. Sanajan kitu, meureun aya sajumlah badag jasa klien dina jaringan, sarta sakabéh éta kudu disebarkeun kana VRF béda pikeun ngabedakeun aksés antara aranjeunna. Salian pamisahan jaringan, bisnis tiasa kedah nyambungkeun Firewall pikeun ngawatesan aksés antara jasa ieu. Sumuhun, ieu teu bisa disebut solusi pangalusna, tapi realities modern merlukeun "solusi modern".
Hayu urang nganggap dua pilihan pikeun routing antara VRFs:
- Routing tanpa ninggalkeun lawon VxLAN;
- Routing on parabot éksternal.
Hayu urang mimitian ku logika routing antara VRFs. Aya sababaraha VRFs. Pikeun rute antara VRFs, Anjeun kudu milih hiji alat dina jaringan nu bakal nyaho ngeunaan sakabéh VRFs (atawa bagian antara nu routing diperlukeun) alat misalna bisa jadi, contona, salah sahiji switch Daun (atawa sakaligus). . topologi ieu bakal kasampak kawas kieu:
Naon kalemahan tina topologi ieu?
Éta leres, unggal Daun kedah terang ngeunaan sadaya VRF (sareng sadaya inpormasi anu aya dina éta) dina jaringan, anu nyababkeun leungitna mémori sareng ningkat beban jaringan. Barina ogé, cukup sering unggal switch Daun henteu kedah terang ngeunaan sadayana anu aya dina jaringan.
Nanging, hayu urang pertimbangkeun metode ieu sacara langkung rinci, sabab pikeun jaringan leutik pilihan ieu cocog (upami teu aya syarat bisnis khusus).
Dina titik ieu, anjeun tiasa gaduh patarosan ngeunaan cara nransferkeun inpormasi tina VRF ka VRF, sabab titik téknologi ieu nyaéta yén panyebaran inpormasi kedah diwatesan.
Sareng jawabanna aya dina fungsi sapertos ékspor sareng impor inpormasi rute (nyetél téknologi ieu dianggap dina bagian tina siklus). Hayu atuh ngulang sakeudeung:
Lamun netepkeun VRF di AF, anjeun kudu nangtukeun route-target pikeun impor jeung ékspor routing informasi. Anjeun tiasa nangtukeun eta otomatis. Lajeng nilai bakal kaasup ASN BGP na L3 VNI pakait sareng VRF. Ieu merenah lamun anjeun boga ngan hiji ASN di pabrik anjeun:
vrf context PROD20
address-family ipv4 unicast
route-target export auto ! В автоматическом режиме экспортируется RT-65001:99000
route-target import autoNanging, upami anjeun gaduh langkung ti hiji ASN sareng kedah nransferkeun rute antara aranjeunna, maka konfigurasi manual bakal janten pilihan anu langkung merenah sareng skalabel. route-target. Rekomendasi pikeun pangaturan manual nyaéta nomer anu munggaran, paké anu cocog pikeun anjeun, contona, 9999.
Kadua kudu disetel ka sarua VNI pikeun VRF éta.
Hayu urang ngonpigurasikeunana sapertos kieu:
vrf context PROD10
address-family ipv4 unicast
route-target export 9999:99000
route-target import 9999:99000
route-target import 9999:77000 ! Пример 1 import из другого VRF
route-target import 9999:88000 ! Пример 2 import из другого VRFKumaha éta dina tabel routing:
Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
*via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN ! префикс доступен через L3VNI 99000Hayu urang nganggap pilihan kadua pikeun routing antara VRFs - ngaliwatan parabot éksternal, contona firewall.
Aya sababaraha pilihan pikeun dianggo ngaliwatan alat éksternal:
- Alatna terang naon VxLAN sareng urang tiasa nambihan kana bagian tina lawon;
- alat nu weruh nanaon ngeunaan VxLAN.
Kami moal cicing dina pilihan kahiji, sabab logikana bakal ampir sami sareng anu dipidangkeun di luhur - kami mawa sadaya VRF kana Firewall sareng ngonpigurasikeun rute antara VRF di dinya.
Hayu urang nganggap pilihan kadua, nalika Firewall urang nyaho nanaon tentang VxLAN (ayeuna, tangtosna, alat-alat jeung rojongan VxLAN mucunghul. Contona, Checkpoint ngumumkeun rojongan na dina versi R81. Anjeun bisa maca ngeunaan eta. , kumaha oge, ieu sadayana dina tahap tés sareng teu aya kapercayaan kana stabilitas operasi).
Nalika nyambungkeun alat éksternal, urang nampi diagram ieu:
Sakumaha anjeun tiasa tingali tina diagram, bottleneck muncul dina panganteur sareng firewall. Ieu kedah diperhatoskeun ka hareup nalika ngarencanakeun jaringan sareng ngaoptimalkeun lalu lintas jaringan.
Sanajan kitu, hayu urang balik deui ka masalah aslina routing antara VRFs. Salaku hasil tina nambahkeun firewall, urang datang ka kacindekan yén firewall kudu nyaho ngeunaan sagala VRFs. Jang ngalampahkeun ieu, sadaya VRFs ogé kudu ngonpigurasi dina Daun wates, sarta firewall kudu disambungkeun ka unggal VRF kalawan tumbu misah.
Hasilna, skéma sareng Firewall:
Nyaéta, dina firewall anjeun kedah ngonpigurasikeun antarbeungeut ka unggal VRF anu aya dina jaringan. Sacara umum, logika henteu katingali rumit sareng hiji-hijina hal anu kuring henteu resep di dieu nyaéta sajumlah ageung antarmuka dina Firewall, tapi di dieu waktosna pikeun mikir ngeunaan automation.
muhun. Urang disambungkeun firewall sarta ditambahkeun kana sagala VRFs. Tapi kumaha ayeuna urang tiasa maksakeun lalu lintas ti unggal Daun pikeun ngalangkungan Firewall ieu?
Dina Daun disambungkeun ka Firewall, moal aya masalah, sabab sadaya rute lokal:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.254.13.55, [1/0], 6w5d, static ! маршрут по-умолчанию через FirewallTapi, kumaha upami jauh Leafs? Kumaha carana ngaliwat aranjeunna jalur éksternal standar?
Leres, ngalangkungan EVPN route-type 5, sapertos awalan anu sanés dina lawon VxLAN. Sanajan kitu, ieu teu jadi basajan (lamun urang ngobrol ngeunaan Cisco, sakumaha Abdi teu acan dipariksa kalawan ngical paralatan séjén)
Rute standar kedah diémbarkeun tina Daun anu nyambungkeun Firewall. Nanging, pikeun ngirimkeun jalur éta, Daun kedah terang éta sorangan. Sareng di dieu aya masalah anu tangtu (panginten ngan ukur kuring), rutena kedah didaptarkeun sacara statik dina VRF dimana anjeun badé ngiklankeun rute sapertos kieu:
vrf context PROD10
ip route 0.0.0.0/0 10.254.13.55Salajengna, dina konfigurasi BGP, setel jalur ieu dina AF IPv4:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0Sanajan kitu, éta teu sakabéh. Ku cara ieu jalur standar moal diasupkeun kana kulawarga l2vpn evpn. Salaku tambahan, anjeun kedah ngonpigurasikeun distribusi ulang:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0
redistribute static route-map COMMON_OUTKami nunjukkeun awalan mana anu bakal asup kana BGP ngalangkungan redistribusi
route-map COMMON_OUT permit 10
match ip address prefix-list COMMON_OUT
ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0Ayeuna awalan 0.0.0.0/0 digolongkeun kana EVPN route-type 5 sareng dikirimkeun ka sesa Daun:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен FirewallDina tabel BGP urang ogé bisa niténan ruteu-tipe 5 kalawan jalur standar via 10.255.1.5:
* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
10.255.1.5 100 0 i
*>i 10.255.1.5 100 0 iIeu nyimpulkeun séri tulisan anu dikhususkeun pikeun EVPN. Dina mangsa nu bakal datang, kuring bakal coba mertimbangkeun operasi VxLAN ditéang jeung Multicast, saprak metoda ieu dianggap leuwih scalable (dina momen pernyataan kontroversial)
Upami anjeun masih gaduh patarosan / saran ngeunaan topik éta, pertimbangkeun naon waé pungsionalitas EVPN - nyerat, kami bakal nganggap éta salajengna.
sumber: www.habr.com