VxLAN פאַבריק. טייל 2

העלא, האבר. איך פאָרזעצן די סעריע פון ​​אַרטיקלען אויף VxLAN EVPN טעכנאָלאָגיע, וואָס זענען געשריבן ספּעציעל פֿאַר די קאַטער פון דעם קורס "נעטוואָרק ינזשעניר" פֿון OTUS. און הייַנט מיר וועלן קוקן אין אַ טשיקאַווע טייל פון דער אַרבעט - רוטינג. ניט קיין ענין ווי נישטיק עס קען געזונט, אָבער, אין די ראַם פון די אַרבעט פון אַ נעץ פאַבריק, אַלץ קען נישט זיין אַזוי פּשוט.

טייל 1 פון די ציקל - ל 2 קאַנעקטיוויטי צווישן סערווערס

אין די לעצטע טייל, מיר אַטשיווד איין בראָדקאַסט פעלד געבויט אויף שפּיץ פון די נעץ שטאָף אויף די Nexus 9000v. אָבער, דאָס איז נישט די גאנצע קייט פון טאַסקס וואָס דאַרפֿן צו זיין סאַלווד אין די דאַטן צענטער נעץ. און הייַנט מיר וועלן קוקן אין דער ווייַטער אַרבעט - רוטינג צווישן נעטוואָרקס אָדער צווישן VNIs.

לאָזן מיר דערמאָנען איר אַז די ספּינע-בלאַט טאָפּאָלאָגי איז געניצט:

ערשטער, לאָזן ס קוק אין ווי רוטינג אַקערז און וואָס פֿעיִקייטן עס האט.

פֿאַר פארשטאנד, לאָמיר פאַרפּאָשעטערן די לאָגיק דיאַגראַמע און לייגן אן אנדער VNI 20000 פֿאַר האָסט-2. דער רעזולטאַט איז:

ווי, אין דעם פאַל, קענען איר אַריבערפירן פאַרקער פון איין האָסט צו אנדערן?

עס זענען צוויי אָפּציעס:

1. האַלטן אינפֿאָרמאַציע וועגן אַלע VNIs אויף אַלע בלאַט סוויטשיז, און אַלע רוטינג וועט פּאַסירן אויף דער ערשטער בלאַט אין דער נעץ;
2. ניצן אַ דעדאַקייטאַד L3 VNI

דער ערשטער אופֿן איז פּשוט און באַקוועם. זינט איר נאָר דאַרפֿן צו ינסטאַלירן אַלע VNI אויף אַלע בלאַט סוויטשיז. אָבער, באַשטעטיקן עטלעכע הונדערט אָדער טויזנט VNIs פֿאַר אַלע בלעטער ניט מער סימז ווי אַ פּשוט אַרבעט. דעריבער, עס איז געניצט גאַנץ ראַרעלי אין אַרבעט.

זאל ס קוק אין אופֿן 2, וואָס איז מער טשיקאַווע און אַ ביסל מער קאָמפּליצירט, אָבער גיט מער בייגיקייט אין באַשטעטיקן די פאַבריק.

לאָמיר לייגן "PROD" צו די VRF טאָפּאָלאָגי. צו עס מיר וועלן לייגן צובינד וולאַן 10 אויף די Leaf-11/12 פּאָר און צובינד וולאַן 20 אויף Leaf-21. VLAN 20 איז פֿאַרבונדן מיט VNI 20000

vrf context PROD
  rd auto       ! Route Distinguisher не принципиален и можем использовать сформированный автоматически
  address-family ipv4 unicast
    route-target both auto      ! указываем Route-target с которым будут импортироваться и экспортироваться префиксы в/из VRF
vlan 20
  vn-segment 20000

interface nve 1
  member vni 20000
    ingress-replication protocol bgp

interface Vlan10
  no shutdown
  vrf member PROD
  ip address 192.168.20.1/24
  fabric forwarding mode anycast-gateway

אין סדר צו נוצן L3VNI, איר דאַרפֿן צו שאַפֿן אַ נייַע VLAN און פאַרבינדן עס מיט די נייַע VNI. די נייַע VNI מוזן זיין די זעלבע אויף אַלע בלעטער וואָס זענען אינטערעסירט אין VLAN 10 און 20 אינפֿאָרמאַציע

vlan 99
  vn-segment 99000

interface nve1
  member vni 99000 associate-vrf        ! Создаем L3 VNI

vrf context PROD
  vni 99000                             ! Привязываем L3 VNI к определенному VRF

ווי אַ רעזולטאַט, די דיאַגראַמע וועט קוקן ווי דאָס:

עס בלייבט צו טאָן אַ ביסל - לייגן נאָך אַ צובינד - צובינד וולאַן 99 אין VRF PROD

interface Vlan99
  no shutdown
  vrf member PROD
  ip forward  ! На интерфейсе не должно быть IP. Используется только для пересылки пакетов между Leaf

ווי אַ רעזולטאַט, די לאָגיק פֿאַר פאָרן אַ ראַם פון Host-1 צו Host-2 איז ווי גייט:

1. דער ראַם געשיקט דורך האָסט-1 ערייווז אין ליף אין וולאַן 10, וואָס איז פֿאַרבונדן מיט VNI 10000;
2. בלאַט טשעקס ווו די דעסטיניישאַן אַדרעס איז און געפינט עס דורך L3 VNI אויף די רגע בלאַט באַשטימען;
3. ווי באַלד ווי אַ מאַרשרוט צו די דעסטיניישאַן אַדרעס איז געפֿונען, Leaf פּאַקט די ראַם אין אַ כעדער מיט די נייטיק L3VNI 99000 - און סענדז עס צו די רגע בלאַט;
4. דער צווייטער בלאַט באַשטימען נעמט דאַטן פון L3VNI 99000. עס נעמט די אָריגינעל ראַם און טראַנספערס עס צו די פארלאנגט L2VNI 20000 און דערנאָך צו VLAN 20.

ווי אַ רעזולטאַט פון דעם אַרבעט, L3VNI ילימאַנייץ די נויט צו האַלטן אינפֿאָרמאַציע וועגן אַלע VNIs וואָס זענען אויף די נעץ אויף אַלע בלאַט סוויטשיז.

ווי אַ רעזולטאַט, ווען מיר שיקן פאַרקער פון Host-1 צו Host-2, די פּאַקאַט איז פּאַקט ין VxLAN מיט אַ נייַע VNI - 99000:

עס בלייבט צו זען ווי פּונקט Leaf-1 לערנט וועגן די MAC אַדרעס פון אן אנדער VNI. דאָס אויך כאַפּאַנז מיט EVPN מאַרשרוט-טיפּ 2 (MAC / IP).

די פאלגענדע ווייזט דעם פּראָצעס פון פּראַפּאַגייטינג אַ מאַרשרוט וועגן אַ פּרעפיקס אין אן אנדער VNI:

דאָס איז, אַדרעסעס באקומען פון VNI 20000 האָבן צוויי רטס.
לאָזן מיר דערמאָנען איר אַז רוץ באקומען פֿון דערהייַנטיקן ענדיקט זיך אין די BGP טיש מיט די רוט ציל ספּעסיפיעד אין די VRF סעטטינגס (דער פּראָצעס איז עפּעס מער קאָמפּליצירט, אָבער מיר וועלן נישט דעלוו אין דעם אַרטיקל).
רט זיך איז געשאפן לויט די פאָרמולע: AS:VNI (אויב אָטאַמאַטיק מאָדע איז געניצט).

בייַשפּיל פון RT פאָרמירונג אין אָטאַמאַטיק און מאַנואַל מאָדע:

vrf context PROD
  address-family ipv4 unicast
    route-target import auto - автоматический режим работы
    route-target export 65001:20000 - ручной режим формирования RT

דער רעזולטאַט אויבן ווייזט אַז פּרעפיקס פון אן אנדער VNI האָבן צוויי RT וואַלועס.
איינער פון זיי איז 65001:99000 - אַן נאָך L3 VNI. זינט דעם VNI איז די זעלבע אויף אַלע בלעטער און פאלן אונטער אונדזער אַרייַנפיר כּללים אין די VRF סעטטינגס, די פּרעפיקס ענדס אין די BGP טיש, וואָס קענען זיין געזען פֿון דער רעזולטאַט:

sh bgp l2vpn evpn
<.....>
   Network            Next Hop            Metric     LocPrf     Weight Path
Route Distinguisher: 10.255.1.11:32777    (L2VNI 10000)
*>l[2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216
                      10.255.1.10                       100      32768 i
*>l[2]:[0]:[0]:[48]:[5001.0007.0007]:[32]:[192.168.10.10]/272
                      10.255.1.10                       100      32768 i
*>l[3]:[0]:[32]:[10.255.1.10]/88
                      10.255.1.10                       100      32768 i

Route Distinguisher: 10.255.1.21:32787
* i[2]:[0]:[0]:[48]:[5001.0008.0007]:[32]:[192.168.20.20]/272    ! Префикс полученный из VNI 20000
                      10.255.1.20                       100          0 i
*>i                   10.255.1.20                       100          0 i

אויב מיר קוקן מער ענג אין די באקומען דערהייַנטיקן, מיר קענען זען אַז די פּרעפיקס האט צוויי RTs:

Leaf11# sh bgp l2vpn evpn 5001.0008.0007
BGP routing table information for VRF default, address family L2VPN EVPN
Route Distinguisher: 10.255.1.21:32787
BGP routing table entry for [2]:[0]:[0]:[48]:[5001.0008.0007]:[32]:[192.168.20.2
0]/272, version 5164
Paths: (2 available, best #2)
Flags: (0x000202) (high32 00000000) on xmit-list, is not in l2rib/evpn, is not i
n HW

  Path type: internal, path is valid, not best reason: Neighbor Address, no labeled nexthop
  AS-Path: NONE, path sourced internal to AS
    10.255.1.20 (metric 81) from 10.255.1.102 (10.255.1.102)
      Origin IGP, MED not set, localpref 100, weight 0
      Received label 20000 99000                                 ! Два label для работы VxLAN
      Extcommunity: RT:65001:20000 RT:65001:99000 SOO:10.255.1.20:0 ENCAP:8     ! Два значения Route-target, на основе, которых добавили данный префикс
          Router MAC:5001.0005.0007
      Originator: 10.255.1.21 Cluster list: 10.255.1.102
<......>

אין די רוטינג טיש אויף Leaf-1 איר קענען אויך זען די פּרעפיקס 192.168.20.20/32:

Leaf11# sh ip route vrf PROD
192.168.10.0/24, ubest/mbest: 1/0, attached
    *via 192.168.10.1, Vlan10, [0/0], 01:29:28, direct
192.168.10.1/32, ubest/mbest: 1/0, attached
    *via 192.168.10.1, Vlan10, [0/0], 01:29:28, local
192.168.10.10/32, ubest/mbest: 1/0, attached
    *via 192.168.10.10, Vlan10, [190/0], 01:27:22, hmm
192.168.20.20/32, ubest/mbest: 1/0                                        ! Адрес Host-2
    *via 10.255.1.20%default, [200/0], 01:20:20, bgp-65001, internal, tag 65001     ! Доступный через Leaf-2
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN                                ! Через VNI 99000

באמערקט די פעלן פון די הויפּט פּרעפיקס 192.168.20.0/24 אין די רוטינג טיש?
רעכט, ער איז נישט דאָרט. דאָס איז, ווייַט ליפס באַקומען אינפֿאָרמאַציע בלויז וועגן די מחנות וואָס זענען אויף דיין נעץ. און דאָס איז די ריכטיק נאַטור. אויבן אין אַלע דערהייַנטיקונגען איר קענען זען אַז אינפֿאָרמאַציע קומט מיט MAC / IP אינהאַלט. וועגן קיין פּרעפיקס איז ניט גערעדט.

דאָס איז ווי די האָסט מאָביליטי מאַנאַגער (HMM) פּראָטאָקאָל אַרבעט, וואָס פילז די ARP טיש פֿון וואָס די BGP טיש איז אָנגעפילט (מיר וועלן פאַרלאָזן דעם פּראָצעס פֿאַר די צוועקן פון דעם אַרטיקל). באַזירט אויף די אינפֿאָרמאַציע באקומען פון די HMM, EVPN מאַרשרוט טיפּ 2 איז געשאפן (טראַנסמיטטעד דורך MAC / IP).

אָבער, וואָס אויב עס איז אַ נויט צו אַריבערפירן אינפֿאָרמאַציע וועגן אַ פּרעפיקס?

פֿאַר דעם טיפּ פון אינפֿאָרמאַציע, עס איז EVPN מאַרשרוט טיפּ 5 - עס אַלאַוז איר צו אַריבערפירן פּרעפיקסיז דורך אַדרעס-משפּחה l2vpn evpn (דעם טיפּ פון רוץ אין דער צייט פון שרייבן איז בלויז אין די פּלאַן ווערסיע רפק, ווייַל פון דעם, די נאַטור פון דעם טיפּ פון מאַרשרוט קען זיין אַנדערש צווישן פאַרשידענע מאַניאַפאַקטשערערז)

צו יבערשיקן פּרעפיקס, עס איז נייטיק צו לייגן פּרעפיקס וואָס וועט זיין אַדווערטייזד אין די BGP פּראָצעס פֿאַר VRF:

router bgp 65001
  vrf PROD
    address-family ipv4 unicast
      redistribute direct route-map VNI20000        ! В данном случае анонсируем префиксы подключение непосредственно к Leaf в VNI 20000
route-map VNI20000 permit 10
  match ip address prefix-list VNI20000_OUT    ! Указываем какой использовать prefix-list

ip prefix-list VNI20000_OUT seq 5 permit 192.168.20.0/24   ! Указываем какие сети будут попадать в EVPN route-type 5

ווי אַ רעזולטאַט, דער דערהייַנטיקן וועט האָבן:

זאל ס קוק אין די BGP טיש. אין אַדישאַן צו EVPN מאַרשרוט טיפּ 2,3, טיפּ 5 רוץ זענען ארויס, וואָס אַנטהאַלטן אינפֿאָרמאַציע וועגן די נעץ נומער:

<......>
   Network            Next Hop            Metric     LocPrf     Weight Path
Route Distinguisher: 10.255.1.11:3
* i[5]:[0]:[0]:[24]:[192.168.10.0]/224
                      10.255.1.10              0        100          0 ?
*>i                   10.255.1.10              0        100          0 ?

Route Distinguisher: 10.255.1.11:32777
* i[2]:[0]:[0]:[48]:[5001.0007.0007]:[0]:[0.0.0.0]/216
                      10.255.1.10                       100          0 i
*>i                   10.255.1.10                       100          0 i
* i[2]:[0]:[0]:[48]:[5001.0007.0007]:[32]:[192.168.10.10]/272
                      10.255.1.10                       100          0 i
*>i                   10.255.1.10                       100          0 i
* i[3]:[0]:[32]:[10.255.1.10]/88
                      10.255.1.10                       100          0 i
*>i                   10.255.1.10                       100          0 i

Route Distinguisher: 10.255.1.12:3
*>i[5]:[0]:[0]:[24]:[192.168.10.0]/224      ! EVPN route-type 5 с номером префикса
                      10.255.1.10              0        100          0 ?
* i
<.......>                   

די פּרעפיקס אויך ארויס אין די רוטינג טיש:

Leaf21# sh ip ro vrf PROD
192.168.10.0/24, ubest/mbest: 1/0
    *via 10.255.1.10%default, [200/0], 00:14:32, bgp-65001, internal, tag 65001  ! Удаленный префикс, доступный через Leaf1/2(адрес Next-hop = virtual IP между парой VPC)
(evpn) segid: 99000 tunnelid: 0xaff010a encap: VXLAN      ! Префикс доступен через L3VNI 99000

192.168.10.10/32, ubest/mbest: 1/0
    *via 10.255.1.10%default, [200/0], 02:33:40, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff010a encap: VXLAN

192.168.20.0/24, ubest/mbest: 1/0, attached
    *via 192.168.20.1, Vlan20, [0/0], 02:39:44, direct
192.168.20.1/32, ubest/mbest: 1/0, attached
    *via 192.168.20.1, Vlan20, [0/0], 02:39:44, local
192.168.20.20/32, ubest/mbest: 1/0, attached
    *via 192.168.20.20, Vlan20, [190/0], 02:35:46, hmm

דאָס ענדיקט די צווייטע טייל פון דער סעריע פון ​​​​אַרטיקלען אויף VxLAN EVPN. אין דער ווייַטער טייל מיר וועלן קוקן אין פאַרשידן אָפּציעס פֿאַר רוטינג צווישן VRFs.

די באַסיקס פון די IPv6 פּראָטאָקאָל און די דיפעראַנסיז צווישן די IPv4

מקור: www.habr.com