Định tuyến bên ngoài tại Boder leaf
Hình 2.13 cho thấy một thiết kế điển hình sử dụng một cặp Switch leaf border được kết nối với các thiết bị định tuyến bên ngoài. Switch leaf border chạy MP-BGP EVPN ở bên trong với các VTEP khác trong kết cấu VXLAN và trao đổi các tuyến EVPN với chúng. Đồng thời, nó chạy định tuyến đơn IPv4 hoặc IPv6 thông thường trong các phiên bản VRF của đối tượng thuê với thiết bị định tuyến bên ngoài ở bên ngoài. Giao thức định tuyến có thể là eBGP thông thường hoặc bất kỳ Giao thức cổng
nội bộ (IGP) nào được lựa chọn. Công tắc lá biên giới học các tuyến bên ngoài và quảng cáo chúng đến miền EVPN dưới dạng các tuyến EVPN để các nút lá VTEP khác cũng có thể tìm hiểu về các tuyến bên ngoài để gửi lưu lượng đi.
Switch leaf border giới cũng có thể được định cấu hình để gửi các tuyến EVPN đã học trong họ địa chỉ EVPN VPN lớp 2 tới họ địa chỉ unicast IPv4 hoặc IPv6 và quảng cáo chúng tới thiết bị định tuyến bên ngoài. Với thiết kế này, lưu lượng truy cập của người thuê cần phải thực hiện hai bước đệm (VTEP to spine to border leaf) để đến được mạng bên ngoài. Tuy nhiên, công tắc cột sống chỉ cần chạy mặt phẳng điều khiển BGP- EVPN và định tuyến IP, nó không cần hỗ trợ chức năng VXLAN VTEP.
Hình 2. 14: Định tuyến ngoài tại Border leaf Định tuyến ngoài tại Border Spine
Hình 2.14 cho thấy một thiết kế điển hình với một cặp spine switch được kết nối với các thiết bị định tuyến bên ngoài. Với thiết kế này, spine switch cần hỗ trợ định tuyến VXLAN. spine switch chạy MP-BGP EVPN ở bên trong với các VTEP khác trong kết cấu VXLAN và trao đổi các tuyến EVPN với chúng. Đồng thời, nó chạy định tuyến đơn IPv4 hoặc IPv6 thông thường trong các phiên bản VRF của đối tượng thuê với thiết bị định tuyến bên ngoài ở bên ngoài. Giao thức định tuyến có thể là eBGP thông thường hoặc bất kỳ IGP nào tùy chọn. spine switch học các tuyến bên ngoài và quảng cáo chúng đến miền EVPN dưới dạng các tuyến EVPN để các nút lá VTEP khác cũng có thể tìm hiểu về các tuyến bên ngoài để gửi lưu lượng đi.
spine switch cũng có thể được định cấu hình để gửi các tuyến EVPN đã học trong họ địa chỉ EVPN VPN lớp 2 tới họ địa chỉ unicast IPv4 hoặc IPv6 và quảng cáo chúng đến thiết bị định tuyến bên ngoài. Với thiết kế này, lưu lượng truy cập của người thuê chỉ cần một bước nhảy dưới (VTEP đến cột sống) để đến được mạng bên ngoài. Tuy
nhiên, spine switch cần chạy mặt phẳng điều khiển BGP-EVPN và định tuyến IP và chức năng VXLAN VTEP.
Hình 2. 15: Định tuyến ngoài với border spine 2.4 Kết luận chương 2
Mạng VXLAN flood-and-learn spine-and-leaf là độc quyền của Cisco. Nó đơn giản, linh hoạt và ổn định; nó có khả năng mở rộng tốt và đặc điểm hội tụ nhanh; và nó hỗ trợ nhiều đường dẫn song song ở Lớp 2. Nhưng mạng FabricPath là công nghệ Lớp 2 dựa trên Flood and learn. Chức năng định tuyến Lớp 3 được đặt ở trên cùng của mạng Lớp 2. Các thiết kế Lớp 3 phổ biến sử dụng định tuyến tập trung: nghĩa là chức năng định tuyến Lớp 3 tập trung vào các thiết bị chuyển mạch cụ thể (spine switches or border leaf switches). Mạng FabricPath hỗ trợ tối đa bốn cổng anycast để định tuyến VLAN nội bộ.
Mạng spine-and-leaf tuân thủ các tiêu chuẩn IETF VXLAN (RFC 7348). Nó vận chuyển các khung Lớp 2 qua mạng lớp 3 IP lớp 3. Nhưng nó vẫn là công nghệ Lớp 2 dựa trên Flood và Learn. Khi số lượng máy chủ lưu trữ trong miền phát sóng tăng lên, nó phải chịu những thách thức flood. Chức năng định tuyến Lớp 3 được đặt ở trên cùng của mạng Lớp 2. Các thiết kế Lớp 3 thông thường sử dụng định tuyến tập trung: nghĩa là, chức năng định tuyến Lớp 3 được tập trung vào các thiết bị chuyển mạch cụ thể (thiết bị chuyển mạch cột sống hoặc thiết bị chuyển mạch lá biên giới). Mạng lưới Spine-and- learning VXLAN hỗ trợ tối đa hai cổng hoạt động tích cực với vPC để định tuyến VXLAN nội bộ.
CHƯƠNG 3: MÔ PHỎNG VXLAN TRÊN MÔ HÌNH SPINE-LEAF 3.1 Topology 3.1 Topology
Thiết bị Interface IP address
Spine-01 Ethernet 1 10.10.1.1/24 Ethernet 2 10.10.2.1/24 Ethernet 3 10.10.3.1/24 Spine-02 Ethernet 1 20.20.1.1/24 Ethernet 2 20.20.2.1/24 Ethernet 3 20.20.3.1/24 Leaf-01 Ethernet 1 10.10.1.2/24 Ethernet 2 20.20.1.2/24 Loopback 1 101.1.1.1/24 Leaf-02 Ethernet 1 10.10.2.2/24 Ethernet 2 20.20.2.2/24 Loopback 1 102.1.1.1/24 Leaf-03 Ethernet 1 10.10.3.2/24 Ethernet 2 20.20.3.2/24 Loopback 1 103.1.1.1/24
3.2 Lời nói đầu.
Bài lab bao gồm 5 switch: 2 Spine và 3 Leaf. Leaf-01, 02 tạo vlan 31, 41. Còn leaf-03 ta tạo vlan 51. Công nghệ Vxlan sẽ mở rộng mạng lớp 2 thông qua mạng lớp 3. Lab trình bày mạng lớp dưới BGP và thử nghiệm khả năng dự phòng cao trong trường hợp lỗi một Spine hoặc bất kỳ lỗi liên kết nào.
Tiếp theo trình bày cách định cấu hình VXLAN trong nhiều thiết bị chuyển mạch Leaf, cấu hình VNI, gán cổng cho VLAN, định cấu hình peer VTEPS cho host và mở rộng Lớp 2 qua lớp 3 trong nhiều thiết bị Leaf.
Cuối cùng trình bày cách định cấu hình cổng VXLAN và định tuyến giữa lớp underlay và lớp overlay. Hiển thị cấu hình định tuyến VXLAN trực tiếp bằng lệnh "ip add virtual". Tạo một VLAN underlay 51 và xác thực giao tiếp.
3.3 Mục đích bài lab.
Mục đích của bài lab này là cấu hình Vxlan trên các switch 3, 4, 5 với giao thức BGP và ECMP. Hiểu rõ hơn về một số ưu điểm của mô hình Spine-leaf như: Tính dự phòng cao, không sử dụng STP -> mạng được cải thiện đáng kể.
Trong bài lab này em sẽ cấu hình trên con Switch Arista và được thiết kế trong phần mềm mô phỏng EVE-NG.
3.4 Các bước cấu hình và Show kết quả
Step 1: Cấu hình ip cho các Switch như hình.
Sau khi cấu hình xong :
Step 2: Cấu hình giao thức BGP trên các Switch. Spine-01: ip routing router bgp 100 maximum-paths 2 ecmp 2 neighbor 10.10.1.2 remote-as 201 neighbor 10.10.1.2 maximum-routes 12000 neighbor 10.10.2.2 remote-as 202 neighbor 10.10.2.2 maximum-routes 12000
neighbor 10.10.3.2 remote-as 203 neighbor 10.10.3.2 maximum-routes 12000 redistribute connected Spine-02: router bgp 100 maximum-paths 2 ecmp 2 neighbor 20.20.1.2 remote-as 201 neighbor 20.20.1.2 maximum-routes 12000 neighbor 20.20.2.2 remote-as 202 neighbor 20.20.2.2 maximum-routes 12000 neighbor 20.20.3.2 remote-as 203 neighbor 20.20.3.2 maximum-routes 12000 redistribute connected Leaf-01: ip routing router bgp 201 maximum-paths 2 ecmp 2 neighbor 10.10.1.1 remote-as 100 neighbor 10.10.1.1 maximum-routes 12000 neighbor 20.20.1.1 remote-as 100 neighbor 20.20.1.1 maximum-routes 12000 redistribute connected Leaf-02: ip routing router bgp 202 maximum-paths 2 ecmp 2 neighbor 10.10.2.1 remote-as 100 neighbor 10.10.2.1 maximum-routes 12000 neighbor 20.20.2.1 remote-as 100 neighbor 20.20.2.1 maximum-routes 12000 redistribute connected Leaf-03: ip routing router bgp 203 maximum-paths 2 ecmp 2 neighbor 10.10.3.1 remote-as 100
neighbor 10.10.3.1 maximum-routes 12000 neighbor 20.20.3.1 remote-as 100
neighbor 20.20.3.1 maximum-routes 12000 redistribute connected
Show kết quả khi thiết lập thành công phiên BGP
Spine 1, 2 thiết lập thành công với 3 Leaf bên dưới. (state: Estab)
Tương tự như spine thì leaf cũng vậy.
Tính dự phòng của mô hình:
Như hình bên dưới ta thấy khi hoạt động bình thường thì khi ping đến 103.1.1.1 thì nó sẽ đi tới Spine-01 rồi tới Leaf-03.
Sau khi ta Shut down cổng e1 cũng như Spine-01 có vấn đề nào đó trên Leaf-01 khi ping tới Leaf-03 thì nó sẽ chuyển sang Spine-02 và tới Leaf-03.
Step 3: Cấu hình Vxlan cho các Leaf để có thể kết nối các pc ở layer 2 thông qua layer 3 (BGP).
Leaf-01:
interface Vxlan1
vxlan source-interface Loopback1 vxlan udp-port 4789
vxlan vlan 31 vni 3311 vxlan vlan 41 vni 4411
vxlan flood vtep 102.1.1.1 103.1.1.1
Leaf-02:
interface Vxlan1
vxlan source-interface Loopback1 vxlan udp-port 4789
vxlan vlan 31 vni 3311 vxlan vlan 41 vni 4411
vxlan flood vtep 101.1.1.1 103.1.1.1
Leaf-03:
interface Vxlan1
vxlan source-interface Loopback1 vxlan udp-port 4789
vxlan vlan 31 vni 3311 vxlan vlan 41 vni 4411
vxlan flood vtep 101.1.1.1 102.1.1.1
Trước khi cấu hình gateway thì pc thuộc vlan 31 hay 41 chỉ có thể ping đến cùng vlan mà thôi.
Cấu hình ip add virtual: Leaf-01, Leaf-02: interface Vlan31 ip address virtual 31.1.1.254/24 interface Vlan41 ip address virtual 41.1.1.254/24 Leaf-03: interface Vlan51 ip address virtual 51.1.1.254/24
Sau khi cấu hình gateway ta thấy từ vlan 31 ping được tới vlan 41 và ngược lại.
Trên Leaf-03 tạo một vlan 51 và gán nó cho 2 pc 10 và 11. Mặc dù leaf 3 không chạy vxlan nhưng những pc thuộc vlan 51 vẫn có thể kết nối đến được vlan 31 và 41.
Step 4: Dùng Wireshark để bắt gói tin Vxlan
- Gói tin khi ta ping pc-6 (31.1.1.1) tới pc-9 (41.1.1.2)
- Dựa vào gói wireshark trên ,ta có thể thấy vxlan không tạo vlan tag vào layer 2 packet thông thường, mà tạo ra 1 bộ gói tin riêng Vxlan.Thứ tự packet được đóng gói như sau:
+Layer 3 với Source và Des IP của 2 loopback trên Leaf1 và Leaf 2.
+Layer 4 là giao thức UDP với Dest port 4789
+Gói Vxlan với giá trị VNI 4411
+Layer 2 padding với source và dest Mac của 2 PC.
+Layer 3 padding với source và dest IP của 2 PC.
+Cuối cùng là trường ICMP
3.5 Kết luận chương 3.
Qua cơ sở lý thuyết về nguyên tắc hoạt động của VXLAN kết hợp với mô hình Spine-leaf chương 3 đã thiết kế thành công một bài lab trên phần mềm mô phỏng EVE- NG để chúng ta thấy tầm quan trọng khi chuyển dịch từ mô hình mạng trung tâm dữ liệu 3 lớp truyền thống sang mô hình Spine-Leaf chạy Vxlan.
KẾT LUẬN
Đồ án đã cho chúng ta thấy rõ hơn về Công nghệ Vxlan và Mô hình Spine-leaf trong mạng Data center.
Sau quá trình tìm hiểu và nghiên cứu, đồ án đã thực hiện những nội dung sau:
• Giới thiệu tổng quan về công nghệ VXLAN và những lợi ích của Vxlan trong mạng doanh nghiệp dần thay thế cho Vlan.
• Giới thiệu tổng quan về mạng trung tâm dữ liệu ba lớp truyền thống cũng như nhược điểm của mạng này. Qua đó, đồ án làm nổi bật ưu điểm của mạng trung tâm dữ liệu Spine – Leaf dựa trên giao thức VXLAN
• Xây dựng một bài lab cơ bản về kiến trúc mạng Spine-leaf sử dụng Vxlan để tối ưu hơn mô hình truyền thống 3 lớp.
Một số định hướng nghiên cứu tiếp trong tương lai:
• Nghiên cứu về ứng dụng và tăng tính bảo mật của mạng trung tâm dữ liệu thế hệ mới Spine – leaf dựa trên giao thức VXLAN kết hợp BGP EVPN.
TÀI LIỆU THAM KHẢO
1. David Jansen, “Data Centers with VXLAN BGP EVPN A Cisco NX-OS Perspective”, Cisco System, 2018.
2. Dr. Jim Metzzler, Ashton Metzler & Casado, “VXLAN Configuration Guide”, Huawei System, 2017.
3. Lukas Krattiger, “Understanding two terms evpn vs vxlan”, 2017.
4. Maksim Sisov, “Cisco Data Center Spine-and-Leaf Architecture: Design Overview” , Cisco System, 2016.
5. Santa Clara, “Data Center Interconnection with VXLAN”, 2017
6. Thomas D. Naudeau and Ken Gray, “Deploy a VXLAN Network with an MP-BGP EVPN Control Plane”, 2015
7. [Online] https://www.cisco.com/c/en/us/products/collateral
8. [Online] https://www.dclessons.com/introduction-to-vxlan-bgp-evpn
9. [Online]https://www.juniper.net/documentation/en_US/junos/topics/conce pt/evpn-vxlan-data-plane-encapsulation
10. [Online] Virtual Extensible LAN and Ethernet Virtual Private Network - Cisco