VxLAN ఫ్యాక్టరీ. పార్ట్ 3

హలో, హబ్ర్. నేను వరుస కథనాలను పూర్తి చేస్తున్నాను, కోర్సు ప్రారంభానికి అంకితం చేయబడింది "నెట్‌వర్క్ ఇంజనీర్" OTUS ద్వారా, ఫాబ్రిక్ లోపల రూటింగ్ కోసం VxLAN EVPN సాంకేతికతను ఉపయోగించడం మరియు అంతర్గత సేవల మధ్య యాక్సెస్‌ని పరిమితం చేయడానికి ఫైర్‌వాల్‌ని ఉపయోగించడం

సిరీస్ యొక్క మునుపటి భాగాలను క్రింది లింక్‌లలో చూడవచ్చు:

• చక్రంలో 1 భాగం - సర్వర్‌ల మధ్య L2 కనెక్టివిటీ
• సిరీస్ యొక్క 2వ భాగం - VNIల మధ్య రూటింగ్
• సిరీస్ యొక్క భాగం 2.5 - సైద్ధాంతిక డైగ్రెషన్

ఈ రోజు మనం VxLAN ఫాబ్రిక్ లోపల రూటింగ్ లాజిక్‌ను అధ్యయనం చేస్తూనే ఉంటాము. మునుపటి భాగంలో, మేము ఒకే VRF లోపల ఇంట్రా-ఫ్యాబ్రిక్ రూటింగ్‌ని చూశాము. అయినప్పటికీ, నెట్‌వర్క్‌లో భారీ సంఖ్యలో క్లయింట్ సేవలు ఉండవచ్చు మరియు వాటి మధ్య యాక్సెస్‌ని వేరు చేయడానికి అవన్నీ వేర్వేరు VRFలలోకి పంపిణీ చేయబడాలి. నెట్‌వర్క్ విభజనతో పాటు, ఈ సేవల మధ్య యాక్సెస్‌ని పరిమితం చేయడానికి వ్యాపారం ఫైర్‌వాల్‌ను కనెక్ట్ చేయాల్సి రావచ్చు. అవును, ఇది ఉత్తమ పరిష్కారం అని పిలవబడదు, కానీ ఆధునిక వాస్తవాలకు "ఆధునిక పరిష్కారాలు" అవసరం.

Рассмотрим два варианта маршрутизации между VRF:

1. VxLAN ఫాబ్రిక్‌ను వదలకుండా రూటింగ్;
2. బాహ్య పరికరాలపై రూటింగ్.

VRFల మధ్య రూటింగ్ లాజిక్‌తో ప్రారంభిద్దాం. నిర్దిష్ట సంఖ్యలో VRFలు ఉన్నాయి. VRFల మధ్య రూట్ చేయడానికి, మీరు నెట్‌వర్క్‌లో అన్ని VRFల (లేదా రూటింగ్ అవసరమయ్యే భాగాల మధ్య) గురించి తెలుసుకునే పరికరాన్ని ఎంచుకోవాలి. అటువంటి పరికరం ఉదాహరణకు, లీఫ్ స్విచ్‌లలో ఒకటి కావచ్చు (లేదా ఒకేసారి) . ఈ టోపోలాజీ ఇలా కనిపిస్తుంది:

Какие недостатки в такой топологии?

అది నిజం, ప్రతి లీఫ్ నెట్‌వర్క్‌లోని అన్ని VRFల గురించి (మరియు వాటిలో ఉన్న మొత్తం సమాచారం) గురించి తెలుసుకోవాలి, ఇది మెమరీ నష్టానికి మరియు నెట్‌వర్క్ లోడ్‌కు దారితీస్తుంది. అన్నింటికంటే, చాలా తరచుగా ప్రతి లీఫ్ స్విచ్ నెట్‌వర్క్‌లో ఉన్న ప్రతిదాని గురించి తెలుసుకోవలసిన అవసరం లేదు.

అయితే, ఈ పద్ధతిని మరింత వివరంగా పరిశీలిద్దాం, ఎందుకంటే చిన్న నెట్‌వర్క్‌లకు ఈ ఎంపిక చాలా అనుకూలంగా ఉంటుంది (నిర్దిష్ట వ్యాపార అవసరాలు లేకపోతే)

ఈ సమయంలో, VRF నుండి VRFకి సమాచారాన్ని ఎలా బదిలీ చేయాలనే దాని గురించి మీకు ఒక ప్రశ్న ఉండవచ్చు, ఎందుకంటే ఈ సాంకేతికత యొక్క అంశం ఖచ్చితంగా సమాచారం యొక్క వ్యాప్తి పరిమితంగా ఉండాలి.

మరియు రూటింగ్ సమాచారం యొక్క ఎగుమతి మరియు దిగుమతి వంటి విధుల్లో సమాధానం ఉంది (ఈ సాంకేతికతను సెటప్ చేయడం పరిగణించబడింది రెండవది చక్రం యొక్క భాగాలు). నేను క్లుప్తంగా పునరావృతం చేస్తాను:

AFలో VRFని సెట్ చేస్తున్నప్పుడు, మీరు తప్పనిసరిగా పేర్కొనాలి route-target రూటింగ్ సమాచారం దిగుమతి మరియు ఎగుమతి కోసం. మీరు దీన్ని స్వయంచాలకంగా పేర్కొనవచ్చు. అప్పుడు విలువ VRFతో అనుబంధించబడిన ASN BGP మరియు L3 VNIలను కలిగి ఉంటుంది. మీరు మీ ఫ్యాక్టరీలో ఒకే ఒక ASNని కలిగి ఉన్నప్పుడు ఇది సౌకర్యవంతంగా ఉంటుంది:

vrf context PROD20
  address-family ipv4 unicast
    route-target export auto      ! В автоматическом режиме экспортируется RT-65001:99000
    route-target import auto

అయితే, మీరు ఒకటి కంటే ఎక్కువ ASNలను కలిగి ఉంటే మరియు వాటి మధ్య మార్గాలను బదిలీ చేయవలసి ఉంటే, అప్పుడు మాన్యువల్ కాన్ఫిగరేషన్ మరింత సౌకర్యవంతంగా మరియు స్కేలబుల్ ఎంపికగా ఉంటుంది. route-target. మాన్యువల్ సెటప్ కోసం సిఫార్సు మొదటి సంఖ్య, మీకు అనుకూలమైన దాన్ని ఉపయోగించండి, ఉదాహరణకు, 9999.
రెండవది ఆ VRF కోసం VNIకి సమానంగా సెట్ చేయాలి.

దీన్ని ఈ క్రింది విధంగా కాన్ఫిగర్ చేద్దాం:

vrf context PROD10
  address-family ipv4 unicast
    route-target export 9999:99000          
    route-target import 9999:99000
    route-target import 9999:77000         ! Пример 1 import из другого VRF
    route-target import 9999:88000         ! Пример 2 import из другого VRF

రూటింగ్ పట్టికలో ఇది ఎలా కనిపిస్తుంది:

Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
    *via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN          ! префикс доступен через L3VNI 99000

VRFల మధ్య రూటింగ్ కోసం రెండవ ఎంపికను పరిశీలిద్దాం - బాహ్య పరికరాల ద్వారా, ఉదాహరణకు ఫైర్‌వాల్.

బాహ్య పరికరం ద్వారా పని చేయడానికి అనేక ఎంపికలు ఉన్నాయి:

1. పరికరానికి VxLAN అంటే ఏమిటో తెలుసు మరియు మేము దానిని ఫాబ్రిక్ యొక్క భాగానికి జోడించవచ్చు;
2. పరికరానికి VxLAN గురించి ఏమీ తెలియదు.

మేము మొదటి ఎంపికపై నివసించము, ఎందుకంటే తర్కం పైన చూపిన విధంగానే ఉంటుంది - మేము అన్ని VRFలను ఫైర్‌వాల్‌కు తీసుకువస్తాము మరియు దానిపై VRFల మధ్య రూటింగ్‌ని కాన్ఫిగర్ చేస్తాము.

మన ఫైర్‌వాల్‌కి VxLAN గురించి ఏమీ తెలియనప్పుడు రెండవ ఎంపికను పరిశీలిద్దాం (ఇప్పుడు, వాస్తవానికి, VxLAN మద్దతుతో కూడిన పరికరాలు కనిపిస్తున్నాయి. ఉదాహరణకు, చెక్‌పాయింట్ వెర్షన్ R81లో దాని మద్దతును ప్రకటించింది. మీరు దాని గురించి చదువుకోవచ్చు. ఇక్కడ, అయితే, ఇదంతా పరీక్ష దశలో ఉంది మరియు ఆపరేషన్ యొక్క స్థిరత్వంపై విశ్వాసం లేదు).

బాహ్య పరికరాన్ని కనెక్ట్ చేసినప్పుడు, మేము ఈ క్రింది రేఖాచిత్రాన్ని పొందుతాము:

మీరు రేఖాచిత్రం నుండి చూడగలిగినట్లుగా, ఫైర్‌వాల్‌తో ఇంటర్‌ఫేస్‌లో ఒక అడ్డంకి కనిపిస్తుంది. నెట్‌వర్క్‌ను ప్లాన్ చేసేటప్పుడు మరియు నెట్‌వర్క్ ట్రాఫిక్‌ను ఆప్టిమైజ్ చేసేటప్పుడు ఇది భవిష్యత్తులో పరిగణనలోకి తీసుకోవాలి.

అయితే, VRFల మధ్య రూటింగ్ యొక్క అసలు సమస్యకు తిరిగి వద్దాం. ఫైర్‌వాల్‌ని జోడించడం వల్ల, ఫైర్‌వాల్ తప్పనిసరిగా అన్ని VRFల గురించి తెలుసుకోవాలనే నిర్ణయానికి వచ్చాము. దీన్ని చేయడానికి, అన్ని VRFలు తప్పనిసరిగా సరిహద్దు లీఫ్‌లపై కాన్ఫిగర్ చేయబడాలి మరియు ఫైర్‌వాల్ తప్పనిసరిగా ప్రతి VRFకి ప్రత్యేక లింక్‌తో కనెక్ట్ చేయబడాలి.

ఫలితంగా, ఫైర్‌వాల్‌తో పథకం:

అంటే, ఫైర్‌వాల్‌లో మీరు నెట్‌వర్క్‌లో ఉన్న ప్రతి VRFకి ఇంటర్‌ఫేస్‌ను కాన్ఫిగర్ చేయాలి. సాధారణంగా, తర్కం సంక్లిష్టంగా కనిపించడం లేదు మరియు ఇక్కడ నాకు నచ్చని ఏకైక విషయం ఫైర్‌వాల్‌లోని భారీ సంఖ్యలో ఇంటర్‌ఫేస్‌లు, కానీ ఇక్కడ ఆటోమేషన్ గురించి ఆలోచించాల్సిన సమయం వచ్చింది.

ఫైన్. మేము ఫైర్‌వాల్‌ని కనెక్ట్ చేసాము మరియు దానిని అన్ని VRFలకు జోడించాము. అయితే ఇప్పుడు మనం ప్రతి లీఫ్ నుండి ట్రాఫిక్‌ని ఈ ఫైర్‌వాల్ ద్వారా వెళ్లేలా ఎలా బలవంతం చేయవచ్చు?

ఫైర్‌వాల్‌కు కనెక్ట్ చేయబడిన లీఫ్‌లో, అన్ని మార్గాలు స్థానికంగా ఉన్నందున ఎటువంటి సమస్యలు తలెత్తవు:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.254.13.55, [1/0], 6w5d, static       ! маршрут по-умолчанию через Firewall

అయితే, రిమోట్ లీఫ్స్ గురించి ఏమిటి? వాటిని డిఫాల్ట్ బాహ్య మార్గంలో ఎలా దాటాలి?

అది నిజం, EVPN రూట్-టైప్ 5 ద్వారా, VxLAN ఫాబ్రిక్‌పై ఏదైనా ఇతర ఉపసర్గ వలె. అయితే, ఇది అంత సులభం కాదు (మేము సిస్కో గురించి మాట్లాడుతుంటే, నేను ఇతర విక్రేతలతో తనిఖీ చేయలేదు)

ఫైర్‌వాల్ కనెక్ట్ చేయబడిన లీఫ్ నుండి డిఫాల్ట్ మార్గాన్ని తప్పనిసరిగా ప్రచారం చేయాలి. అయితే, మార్గాన్ని ప్రసారం చేయడానికి, లీఫ్ దాని గురించి తెలుసుకోవాలి. మరియు ఇక్కడ ఒక నిర్దిష్ట సమస్య తలెత్తుతుంది (బహుశా నాకు మాత్రమే), మీరు అటువంటి మార్గాన్ని ప్రచారం చేయాలనుకుంటున్న VRFలో మార్గం స్థిరంగా నమోదు చేయబడాలి:

vrf context PROD10
    ip route 0.0.0.0/0 10.254.13.55

తర్వాత, BGP కాన్ఫిగరేషన్‌లో, ఈ మార్గాన్ని AF IPv4లో సెట్ చేయండి:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0

అయితే, అంతే కాదు. ఈ విధంగా డిఫాల్ట్ మార్గం కుటుంబంలో చేర్చబడదు l2vpn evpn. దీనికి అదనంగా, మీరు పునఃపంపిణీని కాన్ఫిగర్ చేయాలి:

router bgp 65001
    vrf prod
        address-family ipv4 unicast
            network 0.0.0.0/0
            redistribute static route-map COMMON_OUT

పునఃపంపిణీ ద్వారా BGPలోకి ఏ ఉపసర్గలు వస్తాయో మేము సూచిస్తాము

route-map COMMON_OUT permit 10
  match ip address prefix-list COMMON_OUT

ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0

Теперь префикс 0.0.0.0/0 EVPN రూట్-టైప్ 5లోకి వస్తుంది మరియు మిగిలిన లీఫ్‌కు ప్రసారం చేయబడుతుంది:

0.0.0.0/0, ubest/mbest: 1/0
    *via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
    ! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен Firewall

BGP పట్టికలో మేము 5 ద్వారా డిఫాల్ట్ మార్గంతో ఫలిత మార్గం-రకం 10.255.1.5ని కూడా గమనించవచ్చు:

* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
                      10.255.1.5                        100          0 i
*>i                   10.255.1.5                        100          0 i

ఇది EVPNకి అంకితమైన కథనాల శ్రేణిని ముగించింది. భవిష్యత్తులో, నేను మల్టీకాస్ట్‌తో కలిపి VxLAN యొక్క ఆపరేషన్‌ను పరిగణించడానికి ప్రయత్నిస్తాను, ఎందుకంటే ఈ పద్ధతి మరింత స్కేలబుల్‌గా పరిగణించబడుతుంది (ప్రస్తుతానికి వివాదాస్పద ప్రకటన)

మీకు ఇంకా అంశంపై ప్రశ్నలు/సూచనలు ఉంటే, EVPN యొక్క ఏదైనా కార్యాచరణను పరిగణించండి - వ్రాయండి, మేము దానిని మరింత పరిశీలిస్తాము.

మూలం: www.habr.com