EVPN小实验:配置实例间访问控制

最新推荐文章于 2024-07-17 15:29:15 发布
最新推荐文章于 2024-07-17 15:29:15 发布
阅读量3.1k 收藏 17
点赞数 1
分类专栏: 网络技术 云计算 文章标签: 网关 网络 EVPN vxlan bgp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/118710453
版权

前两个实验中我们发现EVPN中大量使用了VPN实例,并得到以下结论:RT是一种BGP扩展团体属性,用于控制EVPN路由的发布与接收。也就是说,RT决定了本端的EVPN路由可以被哪些对端所接收,以及本端是否接收对端发来的EVPN路由。RT分为ERT(Export RT,本端发送EVPN路由时,携带的RT属性设置为ERT)和IRT(Import RT,本端设置接收的对端的EVPN路由属性)。本端在收到对端的EVPN路由时,将路由中携带的ERT与本端的IRT进行比较,只有两者相等时才接收该路由,否则丢弃该路由

组网需求

VSR1、VSR2、VSR3为与服务器连接的分布式EVPN网关设备,VSR-RR为RR,负责在路由器之间反射BGP路由。

虚拟机VM 1属于VXLAN 10、位于VPN实例VPNA;VM 2和VM 4属于VXLAN 20、位于VPN实例VPNB;VM 3属于VXLAN 30、位于VPN实例VPNC。通过EVPN分布式网关配置,相同VXLAN之间可以二层互通,确保虚拟机在站点之间进行迁移时用户的访问流量不会中断;不同VXLAN之间通过分布式EVPN网关实现VM 1和VM 4之间互通,VM 4不能访问VM 3,VM 1和VM 3之间互通。

实验环境

VMWare ESXi 6.7.0(ProLiant DL360 Gen9,48核心,128G内存)

H3C VSR1000(Version 7.1.064, Release 0621P18,4核心,8G内存)

H3C VFW1000(Version 7.1.064, ESS 1171P13,4核心,8G内存)

Windows 7旗舰版(测试用虚拟机,8核心,16G内存)

组网图

互通配置组网图如下。

 

M地址指远程管理的带外管理口地址。新建一个vSwitch,所有线路均使用该vSwitch中端口组实现,建议将不同链路隔离进不同的VLAN,避免广播风暴。

配置步骤

1、配置IP地址和单播路由协议

调通底层网络,配置各接口的IP地址和子网掩码,并在IP核心网络内配置OSPF协议,和之前的实验配置基本相同。

将VM1的网关地址指定为192.168.2.1,将VM2和VM4的网关地址指定为192.168.10.1,将VM3的网关地址指定为192.168.20.1。

2、配置VSR1

如文章开始所讲,限制VXLAN网络间的访问时间上就是通过调整VPN实例的vpn-target来实现访问限制。调整后的VSR1配置如下:

#

ip vpn-instance vpna

 route-distinguisher 1:1

 #

 address-family ipv4

  vpn-target 2:2 3:3 1:1 import-extcommunity

  vpn-target 1:1 export-extcommunity

 #

 address-family evpn

  vpn-target 1:1 2:2 3:3 import-extcommunity

  vpn-target 1:1 export-extcommunity

#

ip vpn-instance vpnb

 route-distinguisher 2:2

 #

 address-family ipv4

  vpn-target 2:2 1:1 import-extcommunity

  vpn-target 2:2 export-extcommunity

 #

 address-family evpn

  vpn-target 2:2 1:1 import-extcommunity

  vpn-target 2:2 export-extcommunity

#

 vxlan tunnel mac-learning disable

#

ospf 1 router-id 1.1.1.1

 area 0.0.0.0

  network 1.1.1.1 0.0.0.0

  network 14.1.1.0 0.0.0.255

#

 l2vpn enable

 vxlan tunnel arp-learning disable

#

vsi vpna

 gateway vsi-interface 1

 vxlan 10

 evpn encapsulation vxlan

  route-distinguisher auto

  vpn-target auto export-extcommunity

  vpn-target auto import-extcommunity

#

vsi vpnb

 gateway vsi-interface 2

 vxlan 20

 evpn encapsulation vxlan

  route-distinguisher auto

  vpn-target auto export-extcommunity

  vpn-target auto import-extcommunity

#

interface LoopBack0

 ip address 1.1.1.1 255.255.255.255

#

interface GigabitEthernet2/0

 ip address 14.1.1.1 255.255.255.0

#

interface GigabitEthernet3/0

 xconnect vsi vpna

#

interface GigabitEthernet4/0

 xconnect vsi vpnb

#

interface Vsi-interface1

 ip binding vpn-instance vpna

 ip address 192.168.2.1 255.255.255.0

 mac-address 0001-0001-0001

 local-proxy-arp enable

 distributed-gateway local

#

interface Vsi-interface2

 ip binding vpn-instance vpnb

 ip address 192.168.10.1 255.255.255.0

 mac-address 0002-0002-0002

 local-proxy-arp enable

 distributed-gateway local

#

interface Vsi-interface3

 ip binding vpn-instance vpna

 l3-vni 1000

#

interface Vsi-interface4

 l3-vni 2000

#

interface Vsi-interface5

 l3-vni 3000

#

bgp 1234

 peer 4.4.4.4 as-number 1234

 peer 4.4.4.4 connect-interface LoopBack0

 #

 address-family l2vpn evpn

  peer 4.4.4.4 enable

3、配置VSR2

调整VPN实例的vpn-target来实现访问限制,调整后的VSR2配置如下:

#

ip vpn-instance vpnb

 route-distinguisher 2:2

 #

 address-family ipv4

  vpn-target 2:2 1:1 import-extcommunity

  vpn-target 2:2 export-extcommunity

 #

 address-family evpn

  vpn-target 2:2 1:1 import-extcommunity

  vpn-target 2:2 export-extcommunity

#

 vxlan tunnel mac-learning disable

#

ospf 1 router-id 2.2.2.2

 area 0.0.0.0

  network 2.2.2.2 0.0.0.0

  network 22.1.1.0 0.0.0.255

  network 24.1.1.0 0.0.0.255

#

 l2vpn enable

 vxlan tunnel arp-learning disable

#

vsi vpnb

 gateway vsi-interface 1

 vxlan 20

 evpn encapsulation vxlan

  route-distinguisher auto

  vpn-target auto export-extcommunity

  vpn-target auto import-extcommunity

#

interface LoopBack0

 ip address 2.2.2.2 255.255.255.255

#

interface GigabitEthernet2/0

 ip address 24.1.1.2 255.255.255.0

#

interface GigabitEthernet3/0

 xconnect vsi vpnb

#

interface Vsi-interface1

 ip binding vpn-instance vpnb

 ip address 192.168.10.1 255.255.255.0

 mac-address 0002-0002-0002

 local-proxy-arp enable

 distributed-gateway local

#

interface Vsi-interface3

 l3-vni 1000

#

interface Vsi-interface4

 ip binding vpn-instance vpnb

 l3-vni 2000

#

interface Vsi-interface5

 l3-vni 3000

#

bgp 1234

 peer 4.4.4.4 as-number 1234

 peer 4.4.4.4 connect-interface LoopBack0

 #

 address-family l2vpn evpn

  peer 4.4.4.4 enable

4、配置VSR3

调整VPN实例的vpn-target来实现访问限制,调整后的VSR3配置如下:

#

ip vpn-instance vpnc

 route-distinguisher 3:3

 #

 address-family ipv4

  vpn-target 3:3 1:1 import-extcommunity

  vpn-target 3:3 export-extcommunity

 #

 address-family evpn

  vpn-target 3:3 1:1 import-extcommunity

  vpn-target 3:3 export-extcommunity

#

 vxlan tunnel mac-learning disable

#

ospf 1 router-id 3.3.3.3

 area 0.0.0.0

  network 3.3.3.3 0.0.0.0

  network 34.1.1.0 0.0.0.255

#

 l2vpn enable

 vxlan tunnel arp-learning disable

#

vsi vpnc

 gateway vsi-interface 1

 vxlan 30

 evpn encapsulation vxlan

  route-distinguisher auto

  vpn-target auto export-extcommunity

  vpn-target auto import-extcommunity

#

interface LoopBack0

 ip address 3.3.3.3 255.255.255.255

#

interface GigabitEthernet2/0

 ip address 34.1.1.3 255.255.255.0

#

interface GigabitEthernet3/0

 xconnect vsi vpnc

#

interface Vsi-interface1

 ip binding vpn-instance vpnc

 ip address 192.168.20.1 255.255.255.0

 mac-address 0003-0003-0003

 local-proxy-arp enable

 distributed-gateway local

#

interface Vsi-interface3

 l3-vni 1000

#

interface Vsi-interface4

 l3-vni 2000

#

interface Vsi-interface5

 ip binding vpn-instance vpnc

 l3-vni 3000

#

bgp 1234

 peer 4.4.4.4 as-number 1234

 peer 4.4.4.4 connect-interface LoopBack0

 #

 address-family l2vpn evpn

  peer 4.4.4.4 enable

5、配置VSR-RR

配置VSR-RR作为RR路由反射器与其他路由器建立BGP连接, 配置发布EVPN路由,并关闭BGP EVPN路由的VPN-Target过滤功能。无需调整配置。

验证配置

1、验证分布式EVPN网关设备VSR1

查看EVPN自动发现的邻居信息,包含各VSI的IMET路由和MAC/IP路由。

display evpn auto-discovery imet

dis evpn auto-discovery macip-prefix

 

查看EVPN的ARP信息和MAC地址信息,

dis evpn route arp

dis evpn route mac

 

查看EVPN路由表信息,因为绑定了VPN实例,所以记得带实例查看。

display evpn routing-table vpn-instance vpna

 

查看Tunnel接口信息,可以看到VXLAN模式的Tunnel接口处于UP状态。

display interface tunnel

 

查看VSI虚接口信息,可以看到VSI虚接口处于UP状态。

display interface vsi-interface

 

 

查看VSI的详细信息,可以看到VSI内创建的VXLAN、与VXLAN关联的VXLAN隧道、与VSI关联的VSI虚接口等信息。多了3个自动创建的VSI接口。

display l2vpn vsi verbose

 

 

查看VSI的MAC地址表项信息,可以看到已学习到的MAC地址信息。

 

查看BGP l2vpn对等体信息。

display bgp l2vpn evpn

 

VSR1设备上的VPN实例vpna和vpnb的路由信息如下:

 

查看FIB表项信息,可以看到已学习到了虚拟机的转发表项信息,都要加VPN实例了。

 

2、验证主机

对比组网拓扑,在VM1这台主机(192.168.2.160)上ping测VM2(192.168.10.110)、VM3(192.168.20.200)和VM4(192.168.10.188),结果如下:

 

在VM2(192.168.10.110)这台主机上ping测VM1(192.168.2.160)、VM3(192.168.20.200)和VM4(192.168.10.188),结果如下:

 

在VM3(192.168.20.200)这台主机上ping测VM1(192.168.2.160)、VM2(192.168.10.110)和VM4(192.168.10.188),结果如下:

 

在VM4(192.168.10.188)这台主机上ping测VM1(192.168.2.160)、VM2(192.168.10.110)和VM3(192.168.20.200),结果如下:

 

综上,除VM3和VM4不能互访之外,其余主机全部实现互访。

总结

设备在发布和接收BGP EVPN路由时,按照如下规则选择RD和RT:

1、IMET路由和仅包含MAC地址信息的MAC/IP路由。

发布该类路由时,携带EVPN实例视图下配置的RD和Export Target;

接收该类路由时,将路由中的Route Target属性与本地EVPN实例视图下配置的Import Target进行比较。

2、包含ARP/ND信息的MAC/IP路由。

发布该类路由时,携带EVPN实例视图下配置的RD,并同时携带EVPN实例视图下配置的Export Target和VPN实例/公网实例下为EVPN配置(VPN实例视图、VPN实例EVPN视图、公网实例视图、公网实例EVPN视图下配置)的Export Target;

接收该类路由时,将路由中的Route Target属性与本地VPN实例/公网实例下为EVPN配置的Import Target进行比较。

3、IP前缀路由。

发布该类路由时,携带VPN实例/公网实例下为IPv4 VPN配置或IPv6 VPN配置的Export Target;

接收该类路由时,将路由中的Route Target属性与本地VPN实例/公网实例下为IPv4 VPN或IPv6 VPN配置的Import Target进行比较。

Danileaf_Guo
关注
专栏目录
VXLAN实验:分布式VXLAN IP网关配置
衡水铁头哥的博客
07-08 3879
从前面两个实验我们已经知道:VXLAN可以为分散的物理站点提供二层互联。实验(1)演示了二层互通的网络环境,此时如果要为VXLAN站点内的虚拟机提供三层业务,则需要在网络中部署VXLAN IP网关,以便站点内的虚拟机通过VXLAN IP网关与外界网络或其他VXLAN网络内的虚拟机进行三层通信。将实验一中的一台虚拟机换成网关,就是部署在独立的物理设备上的场景,也称为独立VXLAN IP网关。 也可以部署在其中一台VTEP设备上,像实验二中那样配置,这种就属于集中式VXLAN IP网关。与独立的VXLAN I
VLAN应用篇系列:(10)H3C交换机 PVLAN功能(V7为PVLAN,V5为isolate-user-vlan
网络之路Blog(其他平台同名)
02-27 2568
说明 高级的隔离功能在H3C设备上面也是有的,之前介绍了思科与华为设备上面的配置,这次主要以H3C V7版本为主介绍PVLAN,在V5版本是称为isolate-user-vlan,通常拥在在运营商或者某些特殊场景下,采用LAN接入小区宽带,一般会采用用户之相互隔离,但是传统的VLAN来说,一个VLAN一个客户,而一个交换机最多只有4094个VLAN,很多情况下是不够的,该技术就是屏蔽掉接入层的VLAN ID,只有汇聚层的ID可见,保证在4094个VLAN下是可用的。这里主要以V7版本的来介绍,V5版本后
BGP EVPN 实验(2)
最新发布
2301_78439235的博客
07-17 887
建立vpn instance,配置RD,RT,VXLAN VNI,(有多少个租户,就有多少RT,但这种情况下适合多个租户共享同样的网络,如果PC1要访问出口,但PC2不想访问出口,可以建立多个vpn instance,单独建立RT给PC2,BGP evpn vpn instance里单独引入路由。),下面是一个vpn实例配置多个RT,3. CE1,CE3上配置BD域100,200,配置VNI,开启EVPN配置RD,RT值,创建子接口,将子接口放入不同BD域内(CE3略,与CE1相同)
Local-Proxy-ARP
weixin_34194551的博客
06-07 1016
Proxy-ARP,代理ARP,以网关自身的MAC回应客户端对不同网段IP地址的ARP请求,用于客户机网关设置为其它网段IP或自身IP时,能与其它网段通信。 Local-Proxy-ARP,本地代理ARP,以网关自身的MAC回应本网段的IP地址的ARP请求,用于二层端口隔离时,同一网段的客户之能够通信。 转载于:https://blog.51cto.co...
H3C-代理ARP
Hugu
08-13 4807
HCL实验室实现代理ARP实现。
关于路由器的一些知识
MeAkAw的学习乐园
08-02 473
关于路由器的一些知识: 默认时,路由器将不会转发任何广播包或组播包。路由器使用逻辑地址来决定将包转发到的下一跳路由器。路由器使用ACL来控制被允许进入或流出一个接口的包的安全性。路由器可提供L2层桥接功能,并可通过同一个接口同时进行传送。L3层设备(路由器)可提供VLAN的连接。路由器可为特定的网络流量提供服务质量(QoS)。
实验 - BGP EVPN配置VXLAN集中式网关
afanx的博客
07-04 1388
网络拓扑: 第一步:基础配置 CE设备ospf路由,三层互通。 sys im sys CE1 int g1/0/0 undo ports ip ad 12.1.1.1 24 un sh q int lo0 ip ad 10.10.10.10 32 q ospf area 0 net 12.1.1.0 0.0.0.255 net 10.10.10.10 0.0.0.0 q q sys im sys CE2 int g1/0/0 undo ports ip ad 12.1.1.2 24 un sh
vxlan 分布式网关(evpn 带RR场景)
weixin_47168904的博客
05-11 5057
规划: leaf和RR设备均有loopback0地址,按设备编号区分,如server-leaf1 loopback0 地址为1.1.1.1/32,server-leaf2 loopback0 地址为2.2.2.2/32,以此类推。 leaf和RR的互联地址规划为XY.1.1.X,其中XY为设备编号,且X>Y。 基本配置 配置RR与leaf节点underlay互联地址,IGP打通各自loopback地址。 检查配置结果: RR: 同leaf不同子网互访: 这里实现原理类似传统IP网络,是依靠vxl
VXLAN分布式网关- Type2三种路由与Type5类路由实验抓包演示
weixin_43311721的博客
01-26 1816
学习VXLAN Type2的三种路由和Type5类路由
H3C SDN典型经验案例集汇总.rar
09-04
目录: 01 SDN环境下,对Sping进行流量统计 02 SDN下手动创建浮动IP和CloudOS公网IP地址冲突解决方案 ...23 命令行配置EVPN VxLAN的典型配置案例 24 Overlay网络中IPGW上vxlan forwarding 命令使用经验案例
2023 华为 Datacom-HCIE 真题题库 03/12--含解析
mxl00z的博客
05-21 5265
Datacom-HCIE 03(10月26日更新)--含解析
局域网组网 实验7 MPLS VNP
m0_51828898的博客
08-03 811
配置: AR1: # interface GigabitEthernet0/0/0 ip address 10.1.2.1 255.255.255.0 # interface GigabitEthernet0/0/1 # interface GigabitEthernet0/0/2 # interface NULL0 # interface LoopBack0 ip address 10.1.1.1 255.255.255.255 # ip route-static 10.1.3.0 255.2..
端到端Vxlan方式使DCI互访实验配置
m0_49864110的博客
07-09 969
目录基本配置配置LSW1、LSW2的Vlan配置CE设备的IP地址并使得CE1、CE4的VTEP地址可达配置EVPN对等体配置L3VPN实例与三层VNICE1与CE4建立Vxlan隧道配置BD域与二层VNI配置VTEP接口配置Vbdif接口配置Vxlan业务接入CE1与CE2、CE2与CE3、CE3与CE4建立EVPN对等体蓝色CE1配置、绿色CE4配置.........
kaggle-imet 总结2
qq_16236875的博客
06-25 203
占坑
动态建立Vxlan隧道实现跨子网互访实验配置(分布式网关单租户多子网场景)
m0_49864110的博客
07-06 2631
目录基础配置配置E V P N在CE1、CE3开启E V P N功能建立CE1、CE3的E V P N对等体配置二层广播域,并在其下配置二层VNI配置Vxlan业务接入点配置VTEP接口为不同租户创建三层L3VPN实例将L3VPN实例绑定到BD域创建Vbdif接口并绑定L3VPN实例查看命令查看L3VPN实例学习到的路由绿色是CE1的配置蓝色是CE2的配置根据图配置相应的Vlan与接口IP地址,并通过路由协议使得VTEP地址互通CE1、CE3为Leaf、CE2为Spine分布式网关:二层网关和三层网关都在L
EVPN实验:分布式EVPN网关配置
衡水铁头哥的博客
07-12 4052
通过上一个实验,我们已经知道EVPN是一种二层VPN技术,控制平面采用MP-BGP通告EVPN路由信息,数据平面采用VXLAN封装方式转发报文。当租户的物理站点分散在不同位置时,EVPN可以基于已有的服务提供商或企业IP网络,为同一租户的相同子网提供二层互联;通过EVPN网关为同一租户的不同子网提供三层互联,并为其提供与外部网络的三层互联。 EVPN不仅继承了MP-BGPVXLAN的优势,还提供了新的功能。EVPN具有如下特点: 简化配置:通过MP-BGP实现VTEP自动发现、VXLAN隧道自动建立、
理解ARPProxy ARP
weixin_44685626的博客
06-23 9820
理解ARPProxy ARP 原理概述 ARP(Address Resolution Protocol)是用来将IP地址解析为MAC地址的协议。ARP表项可以分为静态和动态两种类型。动态ARP是利用ARP广播报文,动态执行并自动进行IP地址到以太网MAC地址的解析,无需网络管理员手动处理。静态ARP是建立IP地址和MAC地址之固定的映射关系,在主机和路由器上不能动态调整此映...
Proxy ARP 代理运用
许多网络
02-28 1984
Arp-Proxy
华为配置路由式Proxy ARP示例
专研计算机网络,数据通信,网络安全,系统集成
04-16 1597
企业内部进行子网划分时,可能会出现两个子网网络属于同一网段,但是却不属于同一物理网络的情况,两个子网网络被交换机分隔。这时可以通过修改网络内主机的路由信息,使发往其它子网的数据先发送到连接不同子网的网关设备上,再由网关设备转发此数据报文。但是这种解决方案需要配置子网中所有主机的路由,并不便于管理和维护。在网关上部署路由式Proxy ARP功能,可以有效解决子网划分带来的管理和维护方面的问题。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值