Салом, Хабр. Ман як силсила мақолаҳоро тамом мекунам, ба огози курс бахшида шудааст аз ҷониби OTUS, бо истифода аз технологияи VxLAN EVPN барои масир дар дохили матоъ ва истифодаи Сипар барои маҳдуд кардани дастрасӣ байни хидматҳои дохилӣ
Қисмҳои қаблии силсиларо дар истиноди зерин дидан мумкин аст:
Имрӯз мо омӯзиши мантиқи масирро дар дохили матоъҳои VxLAN идома медиҳем. Дар қисми қаблӣ, мо масири дохили матоъро дар як VRF дида баромадем. Бо вуҷуди ин, дар шабака метавонад шумораи зиёди хидматҳои муштарӣ вуҷуд дошта бошад ва ҳамаи онҳо бояд ба VRF-ҳои гуногун тақсим карда шаванд, то дастрасиро байни онҳо фарқ кунанд. Илова ба ҷудошавии шабака, ба тиҷорат лозим меояд, ки Сипарро пайваст кунад, то дастрасӣ байни ин хидматҳоро маҳдуд кунад. Бале, инро наметавон беҳтарин роҳи ҳал номид, аммо воқеияти муосир “ҳалли замонавӣ”-ро талаб мекунад.
Биёед ду вариантро барои масир байни VRF баррасӣ кунем:
- Масир бидуни тарк кардани матоъ VxLAN;
- Маршрут дар таҷҳизоти беруна.
Биёед бо мантиқи масир байни VRFҳо оғоз кунем. Шумораи муайяни VRF вуҷуд дорад. Барои масир байни VRF-ҳо, шумо бояд дар шабака дастгоҳеро интихоб кунед, ки дар бораи ҳамаи VRF-ҳо (ё қисмҳое, ки байни онҳо масир лозим аст) донист. Чунин дастгоҳ метавонад, масалан, яке аз коммутаторҳои Leaf (ё ҳама якбора) бошад. . Ин топология чунин хоҳад буд:
Камбудиҳои ин топология кадомҳоянд?
Дуруст аст, ҳар як Leaf бояд дар бораи ҳамаи VRF-ҳо (ва ҳама маълумоти дар онҳо мавҷудбуда) дар шабака донад, ки боиси гум шудани хотира ва афзоиши сарбории шабака мегардад. Дар ниҳоят, аксар вақт ҳар як гузариши Leaf лозим нест, ки дар бораи ҳама чизе, ки дар шабака мавҷуд аст, донист.
Аммо, биёед ин усулро ба таври муфассал баррасӣ кунем, зеро барои шабакаҳои хурд ин вариант хеле мувофиқ аст (агар ягон талаботи мушаххаси тиҷорат вуҷуд надошта бошад)
Дар ин лаҳза, шумо шояд саволе дошта бошед, ки чӣ гуна маълумотро аз VRF ба VRF интиқол додан мумкин аст, зеро нуқтаи ин технология маҳз дар он аст, ки паҳнкунии иттилоот бояд маҳдуд бошад.
Ва ҷавоб дар функсияҳо, ба монанди содирот ва воридоти иттилооти масир (ташкили ин технология дар қисмҳои давра). Биёед мухтасар такрор кунам:
Ҳангоми танзими VRF дар AF, шумо бояд муайян кунед route-target барои маълумот оид ба масири воридот ва содирот. Шумо метавонед онро ба таври худкор муайян кунед. Он гоҳ арзиш ASN BGP ва L3 VNI-и бо VRF алоқамандро дар бар мегирад. Ин қулай аст, вақте ки шумо дар корхонаи худ танҳо як ASN доред:
vrf context PROD20
address-family ipv4 unicast
route-target export auto ! В автоматическом режиме экспортируется RT-65001:99000
route-target import autoАммо, агар шумо зиёда аз як ASN дошта бошед ва бояд байни онҳо масирҳоро интиқол диҳед, конфигуратсияи дастӣ як варианти қулай ва миқёспазир хоҳад буд. route-target. Тавсия барои танзими дастӣ рақами аввал аст, якеро истифода баред, ки барои шумо қулай аст, масалан, 9999.
Дуюм бояд ба VNI барои ин VRF баробар карда шавад.
Биёед онро ба таври зерин танзим кунем:
vrf context PROD10
address-family ipv4 unicast
route-target export 9999:99000
route-target import 9999:99000
route-target import 9999:77000 ! Пример 1 import из другого VRF
route-target import 9999:88000 ! Пример 2 import из другого VRFОн дар ҷадвали масир чӣ гуна ба назар мерасад:
Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
*via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN ! префикс доступен через L3VNI 99000Биёед варианти дуюмро барои масир байни VRF - тавассути таҷҳизоти беруна, масалан Firewall баррасӣ кунем.
Якчанд вариантҳо барои кор тавассути дастгоҳи беруна мавҷуданд:
- Дастгоҳ медонад, ки VxLAN чист ва мо метавонем онро ба қисми матоъ илова кунем;
- Дастгоҳ дар бораи VxLAN чизе намедонад.
Мо дар бораи варианти аввал таваққуф намекунем, зеро мантиқ тақрибан ҳамон тавре ки дар боло нишон дода шудааст, хоҳад буд - мо ҳама VRF-ро ба Сипар меорем ва масир байни VRF-ҳоро дар он танзим мекунем.
Биёед варианти дуюмро дида бароем, вақте ки Firewall мо дар бораи VxLAN чизе намедонад (албатта, ҳоло таҷҳизот бо дастгирии VxLAN пайдо мешавад. Масалан, Checkpoint дастгирии худро дар версияи R81 эълон кард. Шумо метавонед дар ин бора хонед. , аммо ин ҳама дар марҳилаи санҷиш аст ва ба устувории амалиёт боварӣ нест).
Ҳангоми пайваст кардани дастгоҳи беруна, мо диаграммаи зеринро мегирем:
Тавре ки шумо аз диаграмма мебинед, дар интерфейс бо Сипар мушкилот пайдо мешавад. Ин бояд дар оянда ҳангоми банақшагирии шабака ва оптимизатсияи трафики шабака ба назар гирифта шавад.
Аммо, биёед ба мушкилоти аслии масир байни VRF баргардем. Дар натиҷаи илова кардани Firewall, мо ба хулосае меоем, ки Firewall бояд дар бораи ҳама VRFҳо донад. Барои ин, ҳамаи VRF-ҳо инчунин бояд дар баргҳои сарҳадӣ танзим карда шаванд ва Сипар бояд ба ҳар як VRF бо истиноди алоҳида пайваст карда шавад.
Дар натиҷа, схема бо Firewall:
Яъне, дар Сипар шумо бояд интерфейси ҳар як VRF-и дар шабака ҷойгиршударо танзим кунед. Умуман, мантиқ мураккаб ба назар намерасад ва ягона чизе, ки дар ин ҷо ба ман маъқул нест, шумораи зиёди интерфейсҳо дар Сипар аст, аммо дар ин ҷо вақти он расидааст, ки дар бораи автоматизатсия фикр кунем.
Хуб. Мо Сипарро пайваст кардем ва онро ба ҳама VRFҳо илова кардем. Аммо чӣ гуна мо метавонем трафикро аз ҳар як барге маҷбур кунем, ки аз ин Сипар гузарад?
Дар Leaf, ки ба Firewall пайваст аст, ҳеҷ мушкиле ба миён намеояд, зеро ҳама масирҳо маҳаллӣ мебошанд:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.254.13.55, [1/0], 6w5d, static ! маршрут по-умолчанию через FirewallАммо, дар бораи Баргҳои дурдаст чӣ гуфтан мумкин аст? Чӣ тавр ба онҳо роҳи пешфарз берунӣ гузарад?
Ин дуруст аст, тавассути EVPN хатсайри навъи 5, ба монанди ҳама префикси дигар дар болои матоъ VxLAN. Аммо, ин он қадар оддӣ нест (агар мо дар бораи Cisco гап занем, зеро ман бо фурӯшандагони дигар тафтиш накардаам)
Масири пешфарз бояд аз Барге, ки ба он Сипар пайваст аст, таблиғ карда шавад. Аммо, барои интиқоли масир, Барг бояд онро худаш донад. Ва дар ин ҷо як мушкилие ба миён меояд (шояд танҳо барои ман), масир бояд дар VRF статикӣ сабт карда шавад, ки шумо мехоҳед чунин масирро таблиғ кунед:
vrf context PROD10
ip route 0.0.0.0/0 10.254.13.55Минбаъд, дар конфигуратсияи BGP ин масирро дар AF IPv4 таъин кунед:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0Бо вуҷуди ин, ин ҳама нест. Бо ин роҳ масири пешфарз ба оила дохил карда намешавад l2vpn evpn. Илова бар ин, шумо бояд дубора тақсимотро танзим кунед:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0
redistribute static route-map COMMON_OUTМо нишон медиҳем, ки кадом префиксҳо тавассути тақсимот ба BGP дохил мешаванд
route-map COMMON_OUT permit 10
match ip address prefix-list COMMON_OUT
ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0Акнун префикс 0.0.0.0/0 ба EVPN хатсайри навъи 5 меафтад ва ба қисми боқимондаи Leaf интиқол дода мешавад:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен FirewallДар ҷадвали BGP мо инчунин метавонем хатсайри натиҷавии навъи 5-ро бо масири пешфарз тавассути 10.255.1.5 мушоҳида кунем:
* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
10.255.1.5 100 0 i
*>i 10.255.1.5 100 0 iИн силсилаи мақолаҳои бахшида ба EVPN ба анҷом мерасад. Дар оянда, ман кӯшиш мекунам, ки кори VxLAN-ро дар якҷоягӣ бо Multicast баррасӣ кунам, зеро ин усул миқёспазиртар ҳисобида мешавад (дар айни замон изҳороти баҳсбарангез)
Агар шумо то ҳол дар ин мавзӯъ саволҳо/пешниҳод дошта бошед, ҳама гуна функсияҳои EVPN-ро баррасӣ кунед - нависед, мо онро минбаъд баррасӣ хоҳем кард.
Манбаъ: will.com