EVPN小实验:集中式EVPN网关配置(上)

简介: EVPN小实验:集中式EVPN网关配置

前面通过四个实验大概了解了一下VXLAN隧道的建立过程,包括二层的头端复制实验、集中式VXLAN网关和分布式VXLAN网关,而使用华为模拟器eNSP做的实验因为模拟器问题没有成功。不过这四个实验都有一个共同点,那就是都是以手工方式进行建立和关联的。

VXLAN隧道的建立方式有两种:


1、手工方式,就是前面实验用到的。手工配置Tunnel接口,并指定隧道的源IP地址和目的IP地址分别为本端和远端VTEP的IP地址。


2、自动方式,一般是通过ENDP(Enhanced Neighbor Discovery Protocol,增强的邻居发现协议)或EVPN(Ethernet Virtual Private Network,以太网虚拟专用网络),发现远端VTEP后,自动在本端和远端VTEP之间建立VXLAN隧道。


而VXLAN隧道与VXLAN关联的方式也有两种:


1、还是手工方式,手工将VXLAN隧道与VXLAN关联起来。


2、自动方式,一般是通过EVPN协议自动关联VXLAN隧道与VXLAN。


可以看到,自动建立VXLAN隧道和自动关联VXLAN隧道都提到了EVPN,关于EVPN,之前也发了两篇RFC文章进行相关介绍,有兴趣的小伙伴可以阅读一下。


今天来操练一下集中式EVPN网关配置小实验。


组网需求


VSR1、VSR3为与服务器连接的VTEP设备,VSR2为与广域网连接的集中式EVPN网关设备,ISP-VFW为广域网内的三层设备,VSR-RR为RR,负责在路由器之间反射BGP路由。


虚拟机VM1和VM3同属于VXLAN10,VM2和VM4同属于VXLAN 20。相同VXLAN之间可以二层互通,确保虚拟机在站点之间进行迁移时用户的访问流量不会中断;不同VXLAN之间、VXLAN与广域网之间可以通过集中式EVPN网关互通。


实验环境


VMWare ESXi 6.7.0(ProLiant DL360 Gen9,48核心,128G内存)

H3C VSR1000(Version 7.1.064, Release 0621P18,4核心,8G内存)

H3C VFW1000(Version 7.1.064, ESS 1171P13,4核心,8G内存)

Windows 7旗舰版(测试用虚拟机,8核心,16G内存)


组网图


集中式EVPN网关配置组网图,跟之前的组网图依旧很像。

1677221604379.jpg

M地址指远程管理的带外管理口地址。新建一个vSwitch,所有线路均使用该vSwitch中端口组实现,建议将不同链路隔离进不同的VLAN,避免广播风暴。


配置步骤


1、配置IP地址和单播路由协议


调通底层网络,配置各接口的IP地址和子网掩码,并在IP核心网络内配置OSPF协议,和之前的实验配置基本相同。

将VM1和VM3的网关地址指定为192.168.2.1,将VM2和VM4的网关地址指定为192.168.10.1。


2、配置VSR1


开启L2VPN能力,并关闭远端MAC地址和远端ARP自动学习功能。

#
 vxlan tunnel mac-learning disable
#
 l2vpn enable
 vxlan tunnel arp-learning disable
在VSI实例vpna下创建EVPN实例,并配置自动生成EVPN实例的RD和RT。同时创建VXLAN 10。
#
vsi vpna
 arp suppression enable
 vxlan 10
 evpn encapsulation vxlan
  route-distinguisher auto
  vpn-target auto export-extcommunity
  vpn-target auto import-extcommunity
在VSI实例vpnb下创建EVPN实例,并配置自动生成EVPN实例的RD和RT。同时创建VXLAN 20。
#
vsi vpnb
 arp suppression enable
 vxlan 20
 evpn encapsulation vxlan
  route-distinguisher auto
  vpn-target auto export-extcommunity
  vpn-target auto import-extcommunity
配置BGP发布EVPN路由。
#
bgp 1234
 peer 4.4.4.4 as-number 1234
 peer 4.4.4.4 connect-interface LoopBack0
 #
 address-family l2vpn evpn
  peer 4.4.4.4 enable
配置接入服务器的接口GigabitEthernet3/0与VSI实例vpna关联,接入服务器的接口GigabitEthernet1/0/2与VSI实例vpnb关联。
#
interface GigabitEthernet3/0
 xconnect vsi vpna
#
interface GigabitEthernet4/0
 xconnect vsi vpnb

3、配置VSR2


开启L2VPN能力,并关闭远端MAC地址和远端ARP自动学习功能。


#
 vxlan tunnel mac-learning disable
#
 l2vpn enable
 vxlan tunnel arp-learning disable
创建VSI虚接口VSI-interface1和VSI-interface2,并为其配置IP地址,这两个IP地址分别作为VXLAN 10和VXLAN 20内虚拟机的网关地址。
#
interface Vsi-interface1
 ip address 192.168.2.1 255.255.255.0
#
interface Vsi-interface2
 ip address 192.168.10.1 255.255.255.0
在VSI实例vpna下创建EVPN实例,并配置自动生成EVPN实例的RD和RT。同时创建VXLAN 10,并配置VXLAN 10所在的VSI实例和接口VSI-interface1关联。
#
vsi vpna
 gateway vsi-interface 1
vxlan 10
 evpn encapsulation vxlan
  route-distinguisher auto
  vpn-target auto export-extcommunity
  vpn-target auto import-extcommunity
在VSI实例vpnb下创建EVPN实例,并配置自动生成EVPN实例的RD和RT。同时创建VXLAN 20,并配置VXLAN 20所在的VSI实例和接口VSI-interface2关联。
#
vsi vpnb
 gateway vsi-interface 2
 vxlan 20
 evpn encapsulation vxlan
  route-distinguisher auto
  vpn-target auto export-extcommunity
  vpn-target auto import-extcommunity
配置BGP发布EVPN路由。
#
bgp 1234
 peer 4.4.4.4 as-number 1234
 peer 4.4.4.4 connect-interface LoopBack0
 #
 address-family l2vpn evpn
  peer 4.4.4.4 enable接:https://blog.csdn.net/gtj0617/article/details/118650880

4、配置VSR3


开启L2VPN能力,并关闭远端MAC地址和远端ARP自动学习功能。


#
 vxlan tunnel mac-learning disable
#
 l2vpn enable
 vxlan tunnel arp-learning disable
在VSI实例vpna下创建EVPN实例,并配置自动生成EVPN实例的RD和RT。同时创建VXLAN 10。
#
vsi vpna
 arp suppression enable
 vxlan 10
 evpn encapsulation vxlan
  route-distinguisher auto
  vpn-target auto export-extcommunity
  vpn-target auto import-extcommunity
在VSI实例vpnb下创建EVPN实例,并配置自动生成EVPN实例的RD和RT。同时创建VXLAN 20。
#
vsi vpnb
 arp suppression enable
 vxlan 20
 evpn encapsulation vxlan
  route-distinguisher auto
  vpn-target auto export-extcommunity
  vpn-target auto import-extcommunity
配置BGP发布EVPN路由。
#
bgp 1234
 peer 4.4.4.4 as-number 1234
 peer 4.4.4.4 connect-interface LoopBack0
 #
 address-family l2vpn evpn
  peer 4.4.4.4 enable
配置接入服务器的接口GigabitEthernet3/0与VSI实例vpna关联,接入服务器的接口GigabitEthernet1/0/2与VSI实例vpnb关联。
#
interface GigabitEthernet3/0
 xconnect vsi vpna
#
interface GigabitEthernet4/0
 xconnect vsi vpnb

5、配置VSR4


配置Router D与其他路由器建立BGP连接, 配置发布EVPN路由,并关闭BGP EVPN路由的VPN-Target过滤功能。最后配置Router D为路由反射器。


#
bgp 1234
 group evpn internal
 peer evpn as-number 200  //配置完之后不显示,也没有影响
 peer evpn connect-interface LoopBack0
 peer 1.1.1.1 group evpn
 peer 2.2.2.2 group evpn
 peer 3.3.3.3 group evpn
 #
 address-family l2vpn evpn
  undo policy vpn-target
  peer evpn enable
  peer evpn reflect-client
相关文章
|
20天前
|
网络协议 网络虚拟化 网络架构
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(上)
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(上)
51 1
|
20天前
|
网络协议 数据安全/隐私保护 网络虚拟化
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(下)
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(下)
38 0
|
3月前
|
安全 前端开发 Java
微服务网关及其配置
微服务网关及其配置
102 4
|
3月前
|
存储 容器
【Azure 事件中心】为应用程序网关(Application Gateway with WAF) 配置诊断日志,发送到事件中心
【Azure 事件中心】为应用程序网关(Application Gateway with WAF) 配置诊断日志,发送到事件中心
|
3月前
|
微服务 应用服务中间件
微服务跨域(通过网关配置进行跨域)
在单体架构中,我们通常通过SpringMVC配置类实现CORS跨域支持,设置允许的来源、请求头、方法及凭证等。然而,在微服务架构下,因浏览器首先访问网关再进行服务路由,需在网关配置跨域。对于无SpringMVC环境的网关(如使用Gateway组件),我们可在YAML文件中配置`spring.cloud.gateway.globalcors`属性,以实现全局跨域支持。
73 0
|
4月前
|
Kubernetes 监控 Java
有了k8s还需要gateway网关,nacos配置中心吗
在Kubernetes环境中,服务网关(如Spring Cloud Gateway)和Nacos配置中心补充了k8s的不足。Nacos提供灵活服务路由和动态配置更新,超越k8s基础服务发现。它还支持更复杂的配置管理和实时推送,以及环境隔离和版本控制。作为服务注册中心,Nacos增强k8s服务治理能力,保持技术一致性,并提供额外的安全层及监控功能。
185 0
|
4月前
|
监控 负载均衡 Java
深入理解Spring Cloud中的服务网关
深入理解Spring Cloud中的服务网关
|
16天前
|
安全 5G 网络性能优化
|
2月前
|
监控 负载均衡 安全
微服务(五)-服务网关zuul(一)
微服务(五)-服务网关zuul(一)
|
3月前
|
运维 Kubernetes 安全
利用服务网格实现全链路mTLS(一):在入口网关上提供mTLS服务
阿里云服务网格(Service Mesh,简称ASM)提供了一个全托管式的服务网格平台,兼容Istio开源服务网格,用于简化服务治理,包括流量管理和拆分、安全认证及网格可观测性,有效减轻开发运维负担。ASM支持通过mTLS提供服务,要求客户端提供证书以增强安全性。本文介绍如何在ASM入口网关上配置mTLS服务并通过授权策略实现特定用户的访问限制。首先需部署ASM实例和ACK集群,并开启sidecar自动注入。接着,在集群中部署入口网关和httpbin应用,并生成mTLS通信所需的根证书、服务器证书及客户端证书。最后,配置网关上的mTLS监听并设置授权策略,以限制特定客户端对特定路径的访问。
126 2