Hello, Habr. Mo n pari awọn nkan lẹsẹsẹ, igbẹhin si awọn ifilole ti awọn dajudaju nipasẹ OTUS, lilo VxLAN EVPN ọna ẹrọ fun afisona laarin awọn fabric ati lilo ogiriina lati ni ihamọ wiwọle laarin awọn iṣẹ inu
Awọn ẹya iṣaaju ti jara le ṣee rii ni awọn ọna asopọ atẹle:
Loni a yoo tẹsiwaju lati ṣe iwadi ọgbọn ipa-ọna inu aṣọ VxLAN. Ni apakan ti tẹlẹ, a wo ipa-ọna inu-ọṣọ laarin VRF kan. Sibẹsibẹ, nọmba nla ti awọn iṣẹ alabara le wa ninu nẹtiwọọki, ati pe gbogbo wọn gbọdọ pin si oriṣiriṣi VRF lati ṣe iyatọ iwọle laarin wọn. Ni afikun si iyapa nẹtiwọọki, iṣowo le nilo lati so ogiriina kan pọ lati ni ihamọ wiwọle laarin awọn iṣẹ wọnyi. Bẹẹni, eyi ko le pe ni ojutu ti o dara julọ, ṣugbọn awọn otitọ ode oni nilo "awọn ojutu ode oni".
Jẹ ki a wo awọn aṣayan meji fun ipa-ọna laarin awọn VRFs:
- Ipa ọna lai kuro ni aṣọ VxLAN;
- Ipa ọna lori ita ẹrọ.
Jẹ ká bẹrẹ pẹlu awọn afisona kannaa laarin VRFs. Nọmba kan wa ti awọn VRF. Lati ipa-ọna laarin awọn VRF, o nilo lati yan ẹrọ kan ninu nẹtiwọọki ti yoo mọ nipa gbogbo awọn VRF (tabi awọn apakan laarin eyiti o nilo ipa-ọna) Iru ẹrọ le jẹ, fun apẹẹrẹ, ọkan ninu awọn iyipada Ewe (tabi gbogbo ni ẹẹkan) . Topology yii yoo dabi eyi:
Kini awọn aila-nfani ti topology yii?
Iyẹn tọ, gbogbo bunkun nilo lati mọ nipa gbogbo awọn VRF (ati gbogbo alaye ti o wa ninu wọn) lori nẹtiwọọki, eyiti o yori si pipadanu iranti ati iwuwo nẹtiwọọki pọ si. Lẹhin gbogbo ẹ, ni igbagbogbo iyipada ewe kọọkan ko nilo lati mọ nipa ohun gbogbo ti o wa lori nẹtiwọọki.
Sibẹsibẹ, jẹ ki a wo ọna yii ni awọn alaye diẹ sii, nitori fun awọn nẹtiwọọki kekere aṣayan yii dara dara (ti ko ba si awọn ibeere iṣowo kan pato)
Ni aaye yii, o le ni ibeere kan nipa bi o ṣe le gbe alaye lati VRF si VRF, nitori aaye ti imọ-ẹrọ yii jẹ deede pe itankale alaye yẹ ki o ni opin.
Ati pe idahun wa ni iru awọn iṣẹ bii okeere ati agbewọle ti alaye afisona (ṣeto eto imọ-ẹrọ yii ni a gbero ninu awọn ẹya ara ti awọn ọmọ). Jẹ ki n tun ni soki:
Nigbati o ba ṣeto VRF ni AF, o gbọdọ pato route-target fun gbe wọle ati ki o okeere afisona alaye. O le pato rẹ laifọwọyi. Lẹhinna iye naa yoo pẹlu ASN BGP ati L3 VNI ti o ni nkan ṣe pẹlu VRF. Eyi rọrun nigbati o ni ASN kan nikan ni ile-iṣẹ rẹ:
vrf context PROD20
address-family ipv4 unicast
route-target export auto ! В автоматическом режиме экспортируется RT-65001:99000
route-target import autoBibẹẹkọ, ti o ba ni ASN ju ọkan lọ ati pe o nilo lati gbe awọn ipa-ọna laarin wọn, lẹhinna iṣeto ni afọwọṣe yoo jẹ irọrun diẹ sii ati aṣayan iwọn. route-target. Iṣeduro fun iṣeto afọwọṣe jẹ nọmba akọkọ, lo ọkan ti o rọrun fun ọ, fun apẹẹrẹ, 9999.
Ekeji yẹ ki o ṣeto si dogba VNI fun VRF yẹn.
Jẹ ki a tunto rẹ gẹgẹbi atẹle:
vrf context PROD10
address-family ipv4 unicast
route-target export 9999:99000
route-target import 9999:99000
route-target import 9999:77000 ! Пример 1 import из другого VRF
route-target import 9999:88000 ! Пример 2 import из другого VRFOhun ti o dabi ninu tabili afisona:
Leaf11# sh ip route vrf prod
<.....>
192.168.20.0/24, ubest/mbest: 1/0
*via 10.255.1.20%default, [200/0], 00:24:45, bgp-65001, internal, tag 65001
(evpn) segid: 99000 tunnelid: 0xaff0114 encap: VXLAN ! префикс доступен через L3VNI 99000Jẹ ki a gbero aṣayan keji fun ipa-ọna laarin awọn VRFs - nipasẹ ohun elo ita, fun apẹẹrẹ Firewall.
Awọn aṣayan pupọ wa fun ṣiṣẹ nipasẹ ẹrọ ita kan:
- Ẹrọ naa mọ kini VxLAN jẹ ati pe a le fi kun si apakan ti aṣọ;
- Ẹrọ naa ko mọ nkankan nipa VxLAN.
A kii yoo gbe lori aṣayan akọkọ, nitori ọgbọn naa yoo fẹrẹ jẹ kanna bi a ti han loke - a mu gbogbo awọn VRF wa si Ogiriina ati tunto ipa-ọna laarin awọn VRF lori rẹ.
Jẹ ki a ro aṣayan keji, nigbati ogiriina wa ko mọ nkankan nipa VxLAN (bayi, dajudaju, ohun elo pẹlu atilẹyin VxLAN n han. Fun apẹẹrẹ, Checkpoint kede atilẹyin rẹ ni ẹya R81. O le ka nipa rẹ. , sibẹsibẹ, eyi jẹ gbogbo ni ipele idanwo ati pe ko si igbẹkẹle ninu iduroṣinṣin ti iṣẹ).
Nigbati o ba n so ẹrọ ita pọ, a gba aworan atọka wọnyi:
Bi o ti le rii lati aworan atọka, igo kan han ni wiwo pẹlu ogiriina. Eyi gbọdọ ṣe akiyesi ni ọjọ iwaju nigbati o ba gbero nẹtiwọọki ati jijẹ ijabọ nẹtiwọọki.
Sibẹsibẹ, jẹ ki a pada si iṣoro atilẹba ti ipa-ọna laarin awọn VRFs. Bi abajade ti fifi ogiriina kun, a wa si ipari pe ogiriina gbọdọ mọ nipa gbogbo awọn VRF. Lati ṣe eyi, gbogbo awọn VRF gbọdọ tun wa ni tunto lori awọn ewe aala, ati pe ogiriina gbọdọ wa ni asopọ si VRF kọọkan pẹlu ọna asopọ lọtọ.
Bi abajade, ero pẹlu Firewall:
Iyẹn ni, lori ogiriina o nilo lati tunto wiwo kan si VRF kọọkan ti o wa lori nẹtiwọọki. Ni gbogbogbo, ọgbọn naa ko dabi idiju ati pe ohun kan ti Emi ko fẹran nibi ni nọmba nla ti awọn atọkun lori Ogiriina, ṣugbọn nibi o to akoko lati ronu nipa adaṣe.
O dara. A so ogiriina naa pọ a si fi kun si gbogbo awọn VRF. Ṣugbọn bawo ni a ṣe le fi ipa mu ijabọ lati Ewe kọọkan lati lọ nipasẹ Ogiriina yii?
Lori Ewebe ti o sopọ si Ogiriina, ko si awọn iṣoro ti yoo dide, nitori gbogbo awọn ipa-ọna jẹ agbegbe:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.254.13.55, [1/0], 6w5d, static ! маршрут по-умолчанию через FirewallSibẹsibẹ, kini nipa awọn Leafs latọna jijin? Bii o ṣe le kọja wọn ni ọna ita aiyipada?
Iyẹn tọ, nipasẹ iru ipa ọna EVPN 5, bii eyikeyi ìpele miiran lori aṣọ VxLAN. Sibẹsibẹ, eyi kii ṣe rọrun (ti a ba n sọrọ nipa Sisiko, bi Emi ko ti ṣayẹwo pẹlu awọn olutaja miiran)
Ọna aiyipada gbọdọ wa ni ipolowo lati Ewe si eyiti o ti sopọ mọ ogiriina. Sibẹsibẹ, lati tan kaakiri ọna, Ewe gbọdọ mọ ararẹ. Ati pe nibi iṣoro kan dide (boya fun mi nikan), ipa-ọna gbọdọ wa ni iforukọsilẹ ni iṣiro ni VRF nibiti o fẹ ṣe ipolowo iru ipa-ọna kan:
vrf context PROD10
ip route 0.0.0.0/0 10.254.13.55Nigbamii, ni iṣeto BGP, ṣeto ọna yii ni AF IPv4:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0Sibẹsibẹ, kii ṣe gbogbo rẹ. Ni ọna yii ọna aiyipada kii yoo wa ninu ẹbi l2vpn evpn. Ni afikun si eyi, o nilo lati tunto pinpin:
router bgp 65001
vrf prod
address-family ipv4 unicast
network 0.0.0.0/0
redistribute static route-map COMMON_OUTA tọkasi iru awọn ami-iṣaaju yoo wọle si BGP nipasẹ atunpinpin
route-map COMMON_OUT permit 10
match ip address prefix-list COMMON_OUT
ip prefix-list COMMON_OUT seq 10 permit 0.0.0.0/0Bayi ìpele 0.0.0.0/0 ṣubu sinu EVPN-iru-ọna-iru 5 ati pe a gbejade si iyoku Ewe:
0.0.0.0/0, ubest/mbest: 1/0
*via 10.255.1.5%default, [200/0], 5w6d, bgp-65001, internal, tag 65001, segid: 99000 tunnelid: 0xaff0105 encap: VXLAN
! 10.255.1.5 - Виртуальный адрес Leaf(так как Leaf выступают в качестве VPС пары), к которому подключен FirewallNinu tabili BGP a tun le ṣe akiyesi iru ipa-ọna abajade 5 pẹlu ọna aiyipada nipasẹ 10.255.1.5:
* i[5]:[0]:[0]:[0]:[0.0.0.0]/224
10.255.1.5 100 0 i
*>i 10.255.1.5 100 0 iEyi pari lẹsẹsẹ awọn nkan ti o yasọtọ si EVPN. Ni ọjọ iwaju, Emi yoo gbiyanju lati gbero iṣiṣẹ ti VxLAN ni apapo pẹlu Multicast, niwọn igba ti a gba pe ọna yii ni iwọn diẹ sii (ni akoko yii alaye ariyanjiyan)
Ti o ba tun ni awọn ibeere / awọn aba lori koko, ro eyikeyi iṣẹ ti EVPN - kọ, a yoo ro o siwaju sii.
orisun: www.habr.com