маршрутизация VXLAN BGP EVPN и шлюз по умолчанию

Alex Pfeil

У нас есть 2 коммутатора 93180FX с кодом 9.3.3 или более поздней версии. Мы настроили 2 коммутатора для VXLAN BGP EVPN. Оба коммутатора настроены с одинаковым IP-адресом L3 VPN, который будет шлюзом по умолчанию. Пример: SW1 — 192.168.10.1 и SW2 — 192.168.10.1 SW1 имеет клиента 192.168.10.3, а SW2 — клиента 192.168.10.4. Клиент на SW1 (192.168.10.3) может выполнить ping 192.168.10.1 и 192.168.10.4. Клиент на SW2 (192.168.10.4) может пинговать 192.168.10.1 и 192.168.10.3. SW1 (192.168.10.1) может выполнить ping 192.168.10.1 и 192.168.10.3, но не может выполнить ping 192.168.10.4 SW2 (192.168.10.1) может выполнить ping 192.168.10.1 и 192.168.10.4, но не может выполнить ping 192.168.10.3. Мой вопрос: 1. Должен ли каждый коммутатор иметь возможность пинговать всех клиентов с обеих сторон? 2.
Мне также интересно, как будет происходить маршрутизация уровня 3 в конфигурации VXLAN BGP EVPN. Дополнительная информация: Я настроил еще одну виртуальную локальную сеть с IP-адресом 192.168.50.1 в том же vrf, что и настройка 192.168.10.x. Клиент 192.168.10.4 не может выполнить ping этого IP-адреса. Коммутатор 2 — единственный (192.168.10.1) IP, который может выполнить ping 192.168.50.1.

Sergiu.Daniluk

Привет, Алекс, 1. Должен ли каждый коммутатор иметь возможность пинговать всех клиентов с обеих сторон? Если вы настроили распределенный шлюз anycast, то ответ —
нет
. В основном, идея шлюза anycast заключается в настройке одинакового IP-адреса и MAC-адреса на всех VTEP. Возьмем, к примеру, следующую конфигурацию и топологию: ![vxlan.png] # VLAN to VNI mapping
vlan 201 vn-segment 6000 # Anycast Gateway MAC, identically configured on all VTEPs
fabric forwarding anycast-gateway-mac 0002.0002.0002

Distributed IP Anycast Gateway (SVI)

Gateway IP address needs to be identically configured on all VTEPs

interface vlan 201 no shutdown vrf member Green ip address 192.168.1.254/24
fabric forwarding mode anycast-gateway Когда устройства 1, 2 и 3 должны будут общаться с шлюзом (или, проще говоря, выполнить ping), они будут использовать dIP 102.168.1.254 и dMAC 0002.0002.0002. Поскольку все VTEP владеют этим IP и MAC, только первый из них ответит на пакет ICMP. Вот почему при пинге с VTEP 20 устройство 1 (192.168.1.1) не будет отображать ответы — ответ ICMP будет потребляться VTEP 10. Когда устройства из одной подсети/одного сегмента vn хотят обмениваться данными между собой, пакеты просто пересылаются (инкапсулируются) через Layer2 VNI — в приведенной выше топологии в VNI 6000. 2. Мне также было интересно, как будет происходить маршрутизация Layer 3 в конфигурации VXLAN BGP EVPN. Маршрутизация происходит по разным VNI через так называемый Layer 3 VNI. Как вы видите ниже, этот vlan / L3 VNI используется только для маршрутизации в vxlan. Вот пример конфигурации (это только часть, а не полная конфигурация). Vlan 200 vn-segment 5000 interface Vlan200 no shutdown mtu 9216 vrf member Green ip forward interface nve1 member vni 5000 associate-vrf Надеюсь, это объяснение будет вам полезно. С уважением, Серджиу

Sergiu.Daniluk

Здравствуйте, Алекс, Я настоятельно рекомендую прочитать технические документы по VXLAN. Там вы найдете различные руководства по проектированию и рекомендуемые топологии: https://www.cisco.com/c/en/us/products/collateral/switches/nexus-9000-series-switches/guide-c07-734107.html?cachemode=refresh#_Toc444553379
https://www.cisco.com/c/en/us/products/collateral/switches/nexus-9000-series-switches/white-paper-c11-732453.html
https://www.cisco.com/c/en/us/products/collateral/switches/nexus-9000-series-switches/white-paper-c11-739942.html С уважением, Серджиу

Francesco Molino

Привет! В среде vxlan ваши svi настроены как anycast-gateway. С самого коммутатора вы не сможете пинговать своих клиентов, потому что обратный трафик может попадать на любого участника фабрики. Что вы имеете в виду под маршрутизацией? Внутри фабрики или за ее пределами? Что касается вашей другой подсети, не могли бы вы поделиться своей конфигурацией? Спасибо,
Франческо
PS: Не забудьте оценить и выбрать в качестве подтвержденного ответа, если это ответило на ваш вопрос.

Alex Pfeil

У меня есть еще несколько вопросов: 1. Чтобы расширить уровень 3 на маршрутизаторы с обеих сторон, можно ли иметь магистраль, которая является членом VRF, и расширить несколько VLAN? 2. В OTV у нас есть шлюз по умолчанию с обеих сторон. Можно ли сделать аналогичную настройку с VXLAN? Спасибо, Алекс

Sergiu.Daniluk

Привет, Алекс, 1. Чтобы расширить уровень 3 на маршрутизаторы с обеих сторон, можно ли иметь магистраль, которая является членом VRF, и расширить несколько VLAN? Если вы хотите расширить L3 из VTEP, у вас есть несколько вариантов, включая (статическую или динамическую) маршрутизацию по магистрали с разрешенными VLAN (не совсем понятно, что вы имеете в виду под магистралью, являющейся членом VRF). Однако, если вы планируете выполнять внешнюю связь с маршрутизацией IP по VRF, вам следует ознакомиться с этим руководством по настройке:
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus9000/sw/93x/vxlan/configuration/guide/b-cisco-nexus-9000-series-nx-os-vxlan-configuration-guide-93x/b-cisco-nexus-9000-series-nx-os-vxlan-configuration-guide-93x_chapter_011111.html 2. В OTV у нас есть шлюз по умолчанию с обеих сторон. Можно ли выполнить аналогичную настройку с VXLAN? Благодаря использованию распределенного шлюза anycast именно это и достигается. Возвращаясь к моей схеме, оба VTEP 10 и VTEP 20 настроены с SVI 201 (IP 192.168.1.254 / MAC 0002.0002.0002), и оба будут действовать как локальный шлюз по умолчанию для серверов, подключенных к vlan 201. С уважением, Серджиу

Mazen Haj Abed

Привет, Алекс, Ты используешь режим пересылки Fabric Anycast-Gateway под твоим SVI? Если да, то отправляете ли вы ping с плавающего адреса? Если да, то можете ли вы настроить loopback в том же VRF и попробовать отправить ping оттуда?