5. Настройка передачи IP-префиксов в EVPN-сети (RT-5)

Что же делать, если мы хотим передать в нашу overlay-сеть некие внешние маршруты, не привязанные к какому-то конкретному узлу? Маршруты RT-2 здесь не подойдут. Как помним, маршруты RT-2 жестко привязаны к наличию MAC-адреса и к хост-маске /32 или /128. То есть мы не можем передать в маршруте RT-2 подсеть с произвольной маской. Вроде бы, проблема неразрешима? Именно поэтому был написан еще один RFC - 9136, в котором был описан новый вид EVPN-маршрута - IP Prefix Advertisment, тип маршрута 5.

В чем его "фишка"? Он отвязывается от MAC-адреса, а также снимает ограничение на длину маски, передаваемую в NLRI. Таким образом в RT-5 мы можем передавать, например, маршрут по умолчанию, или маршруты до каких-нибудь внешних подсетей, или даже внутренних подсетей, которые обслуживают наши клиентские домены.

Можно задаться вопросом, а зачем нам передавать маршруты внутренних подсетей, если всё равно MAC/IP-информацию о конечных узлах мы получаем из маршрутов RT-2? А вот зачем.

Посмотрите на иллюстрацию:

Представим, что "тихий узел" потихоньку сидит себе в сети, и не отправляет никаких данных. Допустим, это какой-то сервер, типа syslog, который ждет обращений к нему со стороны клиентов. Если сервер не отправляет ничего в сеть, то и VTEP2 не знает о его присутствии в сети, следовательно не генерирует маршрут RT-2, а следовательн VTEP1 не имеет никакой информации о сети 192.168.200.0/24 в своей таблице маршрутизации, и не знает ничего о хосте 192.168.200.20.

Если при этом пользователь хочет обратиться к серверу, то он отправит пакет на VTEP1 (на свой шлюз по умолчанию). VTEP1 видит, что пакет адресован не ему, заглянет в свою таблицу маршрутизации, чтобы понять, куда отправить пакет дальше, и подходящего маршрута не найдет! Следовательно VTEP1 ответит пользователю: "у меня нет маршрута к узлу назначению, извини". Таким образом, связности не будет, пока сервер за VTEP2 каким-то образом не даст о себе знать.

И вот тут-то нам и поможет маршрут RT-5! Если VTEP2 начнет анонсировать маршрут до подсети 192.168.200.0/24, то VTEP1 будет иметь маршрут в сеть назнчения, даже если сервер никак о себе не заявляет. В таком случае, ситуация развернется следующим образом:

Пользователь отправляет ICMP-пинг на VTEP1 (свой шлюз), VTEP1 смотрит в таблицу маршрутизации и видит маршрут до сети назначения (192.168.200.0/24), под которую подпадает IP-адрес 192.168.200.20. Таким образом, пакет будет отправлен на VTEP2. VTEP2 увидит, что IP назначения принадлежит сети, которая напрямую к нему подключена посредством интерфейса vlan 200, и со спокойной совестью сгенерирует и отправит в порты, принадлежащие VLAN 200, ARP-запрос, чтобы узнать MAC-адрес "тихого узла", на который последний с радостью ответит. А вот когда он ответит, тут-то VTEP2 и анонсирует RT2 маршрут для "тихого" сервера :). Хотя, технически, он и не нужен - нам для маршрутизации вполне достаточно маршрута RT-5. Тем не менее, теперь мы без проблем сможем связаться с "застенчивым" узлом в удаленной подсети :).

Еще один момент. В структуре NLRI RT-5 (если посмотреть ее Wireshark'ом) можно увидеть такое поле, как Gateway IP. Также в некоторой вендорской документации (например, Juniper), можно встретить разделение маршрутов RT-5 на два типа: "Pure RT-5 route" и "Standard RT-5 route". Отличаются они тем, что в первом случае поле Gateway IP не заполнено (значение равно 0), а во втором случае заполнено неким IP-адресом. Зачем же оно нужно, если в EVPN вместо в качестве next-hop используется VTEP IP (и Router's MAC в качестве вспомогательного средства)? За деталями (весьма зубодробительными) добро пожаловать в RFC 9136, но, вкратце, можно сказать, что в поле Gateway IP едет IP-адрес некст-хопа некоего хоста внутри overlay-сети, который обеспечивает доступ в сеть, префикс которой и переносится данным RT-5 маршрутом.

В-общем, проще продемонстрировать на примере:

       +--------+ BGP  +--------+ BGP  +--------+      +--------+
  SN1  |        | IPv4 |        | EVPN |        |      |        |
 ======+ Host1  +------+   PE1  +------+   PE2  +------+  Host2 +
       |        |      |        |      |        |      |        |
       +--------+      +--------+      +--------+      +--------+

PE1 и PE2 - это VTEP'ы. Host1 подключен к PE1 и поднимает с ним BGP-сессию внутри overlay-сети. Host1 по этой BGP-сессии анонсирует в сторону PE-1 некую подсеть SN1, которая расположена за ним. PE-1 в свою очередь, данную подсеть, полученную по BGP от Host1, анонсирует уже в EVPN как маршрут RT-5. И поле Gateway IP в NLRI заполняется IP-адресом Host1.

PE2 устанавливает данный маршрут для SN1 в свою таблицу маршрутизации. При этом next-hop у данного маршрута SN1 будет IP-адрес Host1. В свою очередь IP-адрес Host1 будет разрешаться через соответствующий маршрут RT-2. IP-адрес Host в данном случае будет называться Overlay Index.

Overlay Index необязательно должен быть IP-адресом. Это может быть и MAC-адрес (в таком случае он едет в комьюнити Router's MAC, а не в поле Gateway IP), также это может быть номер ESI. Но в рамках данного материала мы их рассматривать не будем. Если интересно: https://datatracker.ietf.org/doc/html/rfc9136#section-3.2 описывает Overlay Index'ы и приводит некоторые примеры их использования.

Теперь давайте вернемся к настройкам. :) Как последнюю нашу задачу, нам нужно реализовать "внешнюю связность" для нашего PoD'а. Означает это следующее: мы должны импортировать в нашу overlay-сеть некие внешние маршруты через некоторое внешнее устройство (например, это выделенный маршрутизатор/фаерволл, подключенный к одному из наших Leaf'ов). Маршруты будут импортированы в EVPN в качестве маршрутов 5-го типа (IP Prefix Route), а точнее это будет один маршрут - default. Благодаря ему клиенты в разных VRF получат связность друг с другом, а также доступ во внешние сети.

Мы поделим наших клиентов на две независимых VRF: VRF1 и VRF2. Client-1 и Client-2 будут принадлежать VRF1, а Client-3 и Client-4 будут жить в VRF2. Каждого клиента поместим в свой VNI (так будет нагляднее для целей данной главы).

К Leaf-3, который теперь будет играть специальную роль пограничного лифа, будет подключен маршрутизатор GW-1 (на базе Linux/FRR), который будет инжектировать внешние маршруты в нашу топологию. Какова будет его (GW-1) роль? Роль его будет чем-то вроде внешнего файрволла. То есть Leaf-3 будет отдавать на него два физических линка, каждый из которых будет принадлежать своей VRF. Через инжектируемый маршрут по умолчанию, клиенты в одном VRF смогут иметь связность с клиентами в другом VRF. Трафик будет проходить через GW-1 (удобное место, на котором можно реализовать различные политики безопасности).

Leaf-3 по обоим линкам будет отдавать на GW-1 суммарные маршруты подсетей, находящихся за IRB-интерфейсами всех VLAN'ов нашей фабрики.

Задача GW-1 будет состоять в том, чтобы принять маршруты с каждого линка, а обратно отдавать маршрут 0.0.0.0/0.

Приступим.

Топология, клиенты, адреса

Измененная топология - добавлен GW-1. Клиенты снова подключены к своим лифам одним линком (не то, что мультихоминг как-то мешает текущей настройке, просто так будет нагляднее в выводе show-команд).

L2VXLAN/L3VXLAN

Коммутатор

IRB-интерфейс

VLAN

VNI

Leaf-1

192.168.10.254/24

1010

1:1010

Leaf-2

192.168.20.254/24

1020

1:1020

Leaf-3

192.168.30.254/24

1030

1:1030

Leaf-3

192.168.40.254/24

1040

1:1040

Клиенты

Клиент

MAC

IP/Mask

VLAN

VRF

Client-1

02:00:00:00:01:bb

192.168.10.1/24

VRF1

Client-2

02:00:00:00:02:bb

192.168.20.2/24

VRF1

Client-3

02:00:00:00:03:bb

192.168.30.3/24

VRF2

Client-4

02:00:00:00:04:bb

192.168.40.4/24

VRF2

IP-VRF

VRF

VNI

VRF1

10001

1:10001

VRF2

10002

1:10002

Настройка

По сути сначала мы повторим настройку из части 3 с небольшими изменениями (единственное значимое изменение - разделение клиентов на 2 VRF). После этого на каждом лифе мы включим анонсирование адресов подсетей, в которых у нас есть клиенты, как маршруты RT-5. Затем на Leaf-3 мы выполним настройку BGP-соседства с GW-1 и анонсируем в его сторону наши подсети. Обратно от GW-1 примем дефолтный маршрут. Поехали!

Настройка Leaf-1

Снова приведем здесь начальную конфигурацию, с которой мы начинаем работу (с настроенным underlay):

service routing protocols model multi-agent
!
hostname Leaf-1
!
interface Ethernet1
   description Link_to_Spine-1
   no switchport
   ipv6 enable
!
interface Ethernet2
   description Link_to_Spine-2
   no switchport
   ipv6 enable
!
interface Loopback0
   ip address 10.1.1.1/32
!
ip routing ipv6 interfaces
!
ipv6 unicast-routing
!
route-map BGP_REDISTRIBUTE_CONNECTED permit 10
   match interface Loopback0
!
router bgp 65001
   maximum-paths 64
   neighbor CLOS peer group
   neighbor CLOS out-delay 0
   neighbor CLOS bfd
   neighbor CLOS timers 3 9
   neighbor CLOS password OTUS
   redistribute connected route-map BGP_REDISTRIBUTE_CONNECTED
   neighbor interface Et1-2 peer-group CLOS remote-as 65100
   !
   address-family ipv4
      neighbor CLOS activate
      neighbor CLOS next-hop address-family ipv6 originate
!
end

Теперь переходим к настройке overlay.

Создадим VRF1 и включим для него маршрутизацию:

Leaf-1(config)# vrf instance VRF1
Leaf-1(config)# ip routing vrf VRF1

Создадим клиентский VLAN:

Leaf-1(config)# vlan 10

Теперь настроим физический порт, в который подключен наш клиент Client-1:

Leaf-1(config)# interface Ethernet 3
Leaf-1(config-if-Et3)# description Link_to_Client-1
Leaf-1(config-if-Et3)# switchport access vlan 10
Leaf-1(config-if-Et3)# no shutdown

Создадим IRB-интерфейс:

Leaf-1(config)# interface vlan 10
Leaf-1(config-if-Vl10)# vrf VRF1
Leaf-1(config-if-Vl10)# ip address virtual 192.168.10.254/24

Теперь настроим интерфейс VXLAN:

Leaf-1(config)# interface vxlan 1
Leaf-1(config-if-Vx1)# vxlan source-interface Loopback0
Leaf-1(config-if-Vx1)# vxlan vlan 10 vni 1010
Leaf-1(config-if-Vx1)# vxlan vrf VRF1 vni 10001

Anycast MAC:

Leaf-1(config)# ip virtual-router mac-address 02:00:00:00:00:00

Настроим MAC-VRF для VLAN 10:

Leaf-1(config)# router bgp 65001
Leaf-1(config-router-bgp)# vlan 10
Leaf-1(config-macvrf-10)# rd auto 
Leaf-1(config-macvrf-10)# route-target both 1:1010
Leaf-1(config-macvrf-10)# redistribute learned

Теперь настроим IP-VRF и L3VNI для VRF1, который мы будем использовать для передачи маршрутизируемого трафика (inter-VNI):

Leaf-1(config)# router bgp 65001 
Leaf-1(config-router-bgp)# vrf VRF1
Leaf-1(config-router-bgp-vrf-VRF1)# rd 10.1.1.1:10001
Leaf-1(config-router-bgp-vrf-VRF1)# route-target export evpn 1:10001
Leaf-1(config-router-bgp-vrf-VRF1)# route-target import evpn 1:10001
Leaf-1(config-router-bgp-vrf-VRF1)# address-family ipv4 
Leaf-1(config-router-bgp-vrf-VRF1-af)# redistribute connected

Здесь есть новая команда - redistribute connected, выполненная в секции address-family ipv4. Эта команда включает анонсирование префиксов подсетей в EVPN как маршруты 5-го типа.

Теперь включим AF EVPN в настройках процесса BGP:

Leaf-1(config)# router bgp 65001
Leaf-1(config-router-bgp)# neighbor CLOS send-community extended
Leaf-1(config-router-bgp)# address-family evpn
Leaf-1(config-router-bgp-af)# neighbor CLOS activate

Общий вид выполненных настроек:

vlan 10
!
vrf instance VRF1
!
interface Ethernet3
   description Link_to_Client-1
   switchport access vlan 10
   no shutdown
!
interface Vlan10
   vrf VRF1
   ip address virtual 192.168.10.254/24
!
interface Vxlan1
   vxlan source-interface Loopback0
   vxlan vlan 10 vni 1010
   vxlan vrf VRF1 vni 10001
!
ip virtual-router mac-address 02:00:00:00:00:00
!
ip routing vrf VRF1
!
router bgp 65001
   neighbor CLOS send-community extended
   !
   vlan 10
      rd auto
      route-target both 1:1010
      redistribute learned
   !
   address-family evpn
      neighbor CLOS activate
   !
   vrf VRF1
      rd 10.1.1.1:10001
      route-target import evpn 1:10001
      route-target export evpn 1:10001
      !
      address-family ipv4
         redistribute connected

C Leaf-1 закончили. Leaf-2 настроим по примерно такому же принципу.

Настройка Leaf-2

Начальная конфигурация:

service routing protocols model multi-agent
!
hostname Leaf-2
!
interface Ethernet1
   description Link_to_Spine-1
   no switchport
   ipv6 enable
!
interface Ethernet2
   description Link_to_Spine-2
   no switchport
   ipv6 enable
!
interface Loopback0
   ip address 10.1.1.2/32
!
ip routing ipv6 interfaces
!
ipv6 unicast-routing
!
route-map BGP_REDISTRIBUTE_CONNECTED permit 10
   match interface Loopback0
!
router bgp 65002
   maximum-paths 64
   neighbor CLOS peer group
   neighbor CLOS out-delay 0
   neighbor CLOS bfd
   neighbor CLOS timers 3 9
   neighbor CLOS password OTUS
   redistribute connected route-map BGP_REDISTRIBUTE_CONNECTED
   neighbor interface Et1-2 peer-group CLOS remote-as 65100
   !
   address-family ipv4
      neighbor CLOS activate
      neighbor CLOS next-hop address-family ipv6 originate
!
end

Конфигурация overlay:

vlan 20
!
vrf instance VRF1
!
interface Ethernet3
   description Link_to_Client-2
   switchport access vlan 20
   no shutdown
!
interface Vlan20
   vrf VRF1
   ip address virtual 192.168.20.254/24
!
interface Vxlan1
   vxlan source-interface Loopback0
   vxlan vlan 20 vni 1020
   vxlan vrf VRF1 vni 10001
!
ip virtual-router mac-address 02:00:00:00:00:00
!
ip routing vrf VRF1
!
router bgp 65002
   neighbor CLOS send-community extended
   !
   vlan 20
      rd auto
      route-target both 1:1020
      redistribute learned
   !
   address-family evpn
      neighbor CLOS activate
   !
   vrf VRF1
      rd 10.1.1.2:10001
      route-target import evpn 1:10001
      route-target export evpn 1:10001
      !
      address-family ipv4
         redistribute connected

Настройка Leaf-3

Начальная конфигурация:

service routing protocols model multi-agent
!
hostname Leaf-3
!
interface Ethernet1
   description Link_to_Spine-1
   no switchport
   ipv6 enable
!
interface Ethernet2
   description Link_to_Spine-2
   no switchport
   ipv6 enable
!
interface Loopback0
   ip address 10.1.1.3/32
!
ip routing ipv6 interfaces
!
ipv6 unicast-routing
!
route-map BGP_REDISTRIBUTE_CONNECTED permit 10
   match interface Loopback0
!
router bgp 65003
   maximum-paths 64
   neighbor CLOS peer group
   neighbor CLOS out-delay 0
   neighbor CLOS bfd
   neighbor CLOS timers 3 9
   neighbor CLOS password OTUS
   redistribute connected route-map BGP_REDISTRIBUTE_CONNECTED
   neighbor interface Et1-2 peer-group CLOS remote-as 65100
   !
   address-family ipv4
      neighbor CLOS activate
      neighbor CLOS next-hop address-family ipv6 originate
!
end

Настройка overlay:

vlan 30
vlan 40
!
vrf instance VRF1
vrf instance VRF2
!
interface Ethernet3
   description Link_to_Client-3
   switchport access vlan 30
   no shutdown
!
interface Ethernet4
   description Link_to_Client-4
   switchport access vlan 40
   no shutdown
!
interface Vlan30
   vrf VRF2
   ip address virtual 192.168.30.254/24
!
interface Vlan40
   vrf VRF2
   ip address virtual 192.168.40.254/24
!
interface Vxlan1
   vxlan source-interface Loopback0
   vxlan vlan 30 vni 1030
   vxlan vlan 40 vni 1040
   vxlan vrf VRF1 vni 10001
   vxlan vrf VRF2 vni 10002
!
ip virtual-router mac-address 02:00:00:00:00:00
!
ip routing vrf VRF1
ip routing vrf VRF2
!
router bgp 65003
   neighbor CLOS send-community extended
   !
   vlan 30
      rd auto
      route-target both 1:1030
      redistribute learned
   vlan 40
      rd auto
      route-target both 1:1040
      redistribute learned
   !
   address-family evpn
      neighbor CLOS activate
   !
   vrf VRF1
      rd 10.1.1.3:10001
      route-target import evpn 1:10001
      route-target export evpn 1:10001
      !
      address-family ipv4
         redistribute connected
   !
   vrf VRF2
      rd 10.1.1.3:10002
      route-target import evpn 1:10002
      route-target export evpn 1:10002
      !
      address-family ipv4
         redistribute connected

Обратите внимание, что на Leaf-3 мы создали оба VRF, хотя клиенты Client-3 и Client-4 находятся в VRF2. "Поддержка" VRF1 нам нужна для отправки и принятия маршрутов в данном VRF от GW-1, а также анонсирование этих маршрутов в EVPN. Естественно, необходимо выделить и L3VNI для VRF1. Для VRF1 мы отдаем команду redistribute connected, просто для того, чтобы анонсировать стыковочную сеть до GW-1 (для консистентности). Строго говоря, это не обязательно, но пусть будет.

Теперь переходим к настройке пиринга с GW-1.

Настроим линки в сторону GW-1:

Leaf-3(config)# interface Ethernet 5
Leaf-3(config-if-Et5)# description Link_to_GW1_for_VRF1
Leaf-3(config-if-Et5)# no switchport
Leaf-3(config-if-Et5)# vrf VRF1
Leaf-3(config-if-Et5)# ip address 10.99.1.1/24
Leaf-3(config-if-Et5)# no shutdown

Leaf-3(config-if-Et5)# interface Ethernet 6
Leaf-3(config-if-Et6)# description Link_to_GW1_for_VRF2
Leaf-3(config-if-Et6)# no switchport
Leaf-3(config-if-Et6)# vrf VRF2
Leaf-3(config-if-Et6)# ip address 10.99.2.1/24
Leaf-3(config-if-Et6)# no shutdown

Создадим префикс-лист, отфильтровывающий host-маршруты (/32-маршруты). Мы не хотим отправлять в сторону GW-1 маршруты /32 наших клиентских хостов:

Leaf-3(config)# ip prefix-list HOST_ROUTES 
Leaf-3(config-ip-pfx)# permit 0.0.0.0/0 ge 32

Создадим маршрутную карту, чтобы отфильтровать /32-маршруты EVPN от анонсирования в сторону GW-1.

Leaf-3(config)# route-map SEND_TO_GW deny 10
Leaf-3(config-route-map-SEND_TO_GW)# match ip address prefix-list HOST_ROUTES
Leaf-3(config-route-map-SEND_TO_GW)# exit
Leaf-3(config)# route-map SEND_TO_GW permit 20

Теперь настроим BGP-пиринг с GW-1. Определим пир-группу GW-1, укажем группу CLOS в качестве родителя, чтобы наследовать большинство нужных нам настроек BGP, а затем пропишем AS GW-1 (65099) и повесим на направление в сторону GW-1 нашу route-карту.

Leaf-3(config-router-bgp)# neighbor GW-1 peer group CLOS 
Leaf-3(config-router-bgp)# neighbor GW-1 remote-as 65099
Leaf-3(config-router-bgp)# neighbor GW-1 route-map SEND_TO_GW out

Leaf-3(config)# router bgp 65003
Leaf-3(config-router-bgp)# vrf VRF1
Leaf-3(config-router-bgp-vrf-VRF1) router-id 10.1.1.3
Leaf-3(config-router-bgp-vrf-VRF1)# neighbor 10.99.1.2 peer group GW-1

Leaf-3(config)# router bgp 65003
Leaf-3(config-router-bgp)# vrf VRF2
Leaf-3(config-router-bgp-vrf-VRF2) router-id 10.1.1.3
Leaf-3(config-router-bgp-vrf-VRF2)# neighbor 10.99.2.2 peer group GW-1

Общий вид выполненной конфигурации пиринга с GW-1:

interface Ethernet5
   description Link_to_GW1_for_VRF1
   no switchport
   vrf VRF1
   ip address 10.99.1.1/24
   no shutdown
!
interface Ethernet6
   description Link_to_GW1_for_VRF2
   no switchport
   vrf VRF2
   ip address 10.99.2.1/24
   no shutdown
!
ip prefix-list HOST_ROUTES
   seq 10 permit 0.0.0.0/0 ge 32
!
route-map SEND_TO_GW deny 10
   match ip address prefix-list HOST_ROUTES
route-map SEND_TO_GW permit 20
!
router bgp 65003
   neighbor GW-1 peer group CLOS
   neighbor GW-1 remote-as 65099
   neighbor GW-1 route-map SEND_TO_GW out
   !
   address-family ipv4
      neighbor GW-1 activate
   !
   vrf VRF1
      router-id 10.1.1.3
      neighbor 10.99.1.2 peer group GW-1
   !
   vrf VRF2
      router-id 10.1.1.3
      neighbor 10.99.2.2 peer group GW-1

Настройка GW-1

Для GW-1 мы возьмем Ubuntu Server 22.04, а в качестве маршрутизационного ПО - FRR 10. Настройки на GW-1 будут совершенно простейшие: по сути, что получили в один линк, то и отправили во второй. И всё. Получается такой своеобразный "отражатель маршрутов", который еще и пропускает через себя трафик. Настраиваем!

В самом начале включим функциональность маршрутизатора:

root@GW-1:~# sysctl -w net.ipv4.conf.all.forwarding=1

Сначала настроим интерфейсы через Netplan (стандартная утилита настройки сетевой части в Ubuntu):

network:
  ethernets:
    e1:
      match:
        name: ens4
      set-name: e1
      addresses: [ 10.99.1.2/24 ]
    e2:
      match:
        name: ens5
      set-name: e2
      addresses: [ 10.99.2.2/24 ]
  bridges:
    lo0:
      addresses: [ 10.1.2.1/32 ]

  version: 2

Строго говоря, lo0 здесь не нужен, но пусть будет для красоты, все же "с него" будем брать router-id.

Создадим процесс BGP в AS 65099:

GW-1(config)# router bgp 65099

Укажем Router ID:

GW-1(config-router)# bgp router-id 10.1.2.1

Отключим обязательное требование о наличии фильтрационной политики для eBGP:

GW-1(config-router)# no bgp ebgp-requires-policy

Создадим агрегированный маршрут "по умолчанию", который мы будем отдавать на Leaf-3 по обоим линкам. Параметр "summary-only" означает, что более специфические маршруты, подпадающие под агреггированный маршрут, будут отфильтровываться и не анонсироваться:

GW-1(config-router)# address-family ipv4 unicast 
GW-1(config-router-af)# aggregate-address 0.0.0.0/0 summary-only

Создадим пир-группу для обоих наших подключений:

GW-1(config-router)# neighbor LEAF peer-group

Укажем удаленную AS как "external", то есть любую, отличающуюся от нашей (чтобы не вводить явно номер):

GW-1(config-router)# neighbor LEAF remote-as external

Включим BFD:

GW-1(config-router)# neighbor LEAF bfd

Аутентификацию:

GW-1(config-router)# neighbor LEAF password OTUS

Подкрутим таймеры:

GW-1(config-router)# neighbor LEAF timers 3 9

И пропишем IP-адреса соседей (линки в сторону Leaf-3):

GW-1(config-router)# neighbor 10.99.1.1 peer-group LEAF
GW-1(config-router)# neighbor 10.99.2.1 peer-group LEAF

Общий вид выполненной конфигурации:

router bgp 65099
 bgp router-id 10.1.2.1
 no bgp ebgp-requires-policy
 aggregate-address 0.0.0.0/0 summary-only
 neighbor LEAF peer-group
 neighbor LEAF remote-as external
 neighbor LEAF bfd
 neighbor LEAF password OTUS
 neighbor LEAF timers 3 9
 neighbor 10.99.1.1 peer-group LEAF
 neighbor 10.99.2.1 peer-group LEAF
 
exit

На этом настройка нашей сети закончена.

Проверки

Что мы хотим сейчас, в итоге, получить?

На Leaf-1 и Leaf-2 настроены VNI в VRF1, а на Leaf-3 - VNI в VRF2. Наша цель - обеспечить возможность хостам в VRF1 общаться с хостами в VRF2. Весь трафик при этом будет проходить через внешний маршрутизатор GW-1, на котором, при желании, можно повесить какие-нибудь политики безопасности или организовать фаервол. GW-1 должен отдавать маршрут по умолчанию в каждый из VRF.

Проверять будем с помощью пингов от клиентов в VRF1 до клиентов в VRF2 (и наоборот). Также с помощью tcpdump убедимся, что inter-VRF трафик действительно идет через GW-1, а также посмотрим show-команды (нас особенно интересуют маршруты RT-5).

Проверка Leaf-1

Посмотрим, какие маршруты RT-5 имеет Leaf-1 в своей RIB:

Leaf-1# show bgp evpn route-type ip-prefix ipv4
BGP routing table information for VRF default
Router identifier 10.1.1.1, local AS number 65001
Route status codes: * - valid, > - active, S - Stale, E - ECMP head, e - ECMP
                    c - Contributing to ECMP, % - Pending BGP convergence
Origin codes: i - IGP, e - EGP, ? - incomplete
AS Path Attributes: Or-ID - Originator ID, C-LST - Cluster List, LL Nexthop - Link Local Nexthop

          Network                Next Hop              Metric  LocPref Weight  Path
 * >Ec    RD: 10.1.1.3:10001 ip-prefix 0.0.0.0/0
                                 10.1.1.3              -       100     0       65100 65003 65099 i
 *  ec    RD: 10.1.1.3:10001 ip-prefix 0.0.0.0/0
                                 10.1.1.3              -       100     0       65100 65003 65099 i
 * >Ec    RD: 10.1.1.3:10002 ip-prefix 0.0.0.0/0
                                 10.1.1.3              -       100     0       65100 65003 65099 i
 *  ec    RD: 10.1.1.3:10002 ip-prefix 0.0.0.0/0
                                 10.1.1.3              -       100     0       65100 65003 65099 i
 * >Ec    RD: 10.1.1.3:10001 ip-prefix 10.99.1.0/24
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:10001 ip-prefix 10.99.1.0/24
                                 10.1.1.3              -       100     0       65100 65003 i
 * >Ec    RD: 10.1.1.3:10002 ip-prefix 10.99.2.0/24
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:10002 ip-prefix 10.99.2.0/24
                                 10.1.1.3              -       100     0       65100 65003 i
 * >      RD: 10.1.1.1:10001 ip-prefix 192.168.10.0/24
                                 -                     -       -       0       i
 * >Ec    RD: 10.1.1.2:10001 ip-prefix 192.168.20.0/24
                                 10.1.1.2              -       100     0       65100 65002 i
 *  ec    RD: 10.1.1.2:10001 ip-prefix 192.168.20.0/24
                                 10.1.1.2              -       100     0       65100 65002 i
 * >Ec    RD: 10.1.1.3:10002 ip-prefix 192.168.30.0/24
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:10002 ip-prefix 192.168.30.0/24
                                 10.1.1.3              -       100     0       65100 65003 i
 * >Ec    RD: 10.1.1.3:10002 ip-prefix 192.168.40.0/24
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:10002 ip-prefix 192.168.40.0/24
                                 10.1.1.3              -       100     0       65100 65003 i

Мы видим четыре дефолтных маршрута. Два из них в VRF1, два в VRF2 (два - потому что доступны через 2 спайна). Взглянем на них подробнее:

Leaf-1# show bgp evpn rd 10.1.1.3:10001 detail | s /0
BGP routing table entry for ip-prefix 0.0.0.0/0, Route Distinguisher: 10.1.1.3:10001
 Paths: 2 available
  65100 65003 65099 (aggregated by 65099 10.1.2.1)
    10.1.1.3 from fe80::528c:97ff:fed3:ebd7%Et1 (10.1.0.1)
      Origin IGP, metric -, localpref 100, weight 0, tag 0, valid, external, ECMP head, ECMP, best, ECMP contributor, atomic-aggregate
      Extended Community: Route-Target-AS:1:10001 TunnelEncap:tunnelTypeVxlan EvpnRouterMac:50:be:84:e2:7f:1a
      VNI: 10001
  65100 65003 65099 (aggregated by 65099 10.1.2.1)
    10.1.1.3 from fe80::52bb:94ff:fe1e:882%Et2 (10.1.0.2)
      Origin IGP, metric -, localpref 100, weight 0, tag 0, valid, external, ECMP, ECMP contributor, atomic-aggregate
      Extended Community: Route-Target-AS:1:10001 TunnelEncap:tunnelTypeVxlan EvpnRouterMac:50:be:84:e2:7f:1a
      VNI: 10001

Leaf-1#show bgp evpn rd 10.1.1.3:10002 detail | s /0
BGP routing table entry for ip-prefix 0.0.0.0/0, Route Distinguisher: 10.1.1.3:10002
 Paths: 2 available
  65100 65003 65099 (aggregated by 65099 10.1.2.1)
    10.1.1.3 from fe80::528c:97ff:fed3:ebd7%Et1 (10.1.0.1)
      Origin IGP, metric -, localpref 100, weight 0, tag 0, valid, external, ECMP head, ECMP, best, ECMP contributor, atomic-aggregate
      Extended Community: Route-Target-AS:1:10002 TunnelEncap:tunnelTypeVxlan EvpnRouterMac:50:be:84:e2:7f:1a
      VNI: 10002
  65100 65003 65099 (aggregated by 65099 10.1.2.1)
    10.1.1.3 from fe80::52bb:94ff:fe1e:882%Et2 (10.1.0.2)
      Origin IGP, metric -, localpref 100, weight 0, tag 0, valid, external, ECMP, ECMP contributor, atomic-aggregate
      Extended Community: Route-Target-AS:1:10002 TunnelEncap:tunnelTypeVxlan EvpnRouterMac:50:be:84:e2:7f:1a
      VNI: 10002

Мы видим, что некст-хопом является Leaf-3, AS-PATH состоит из Spine (65100) -> Leaf-3 (65003) -> GW-1 (65099). AS-PATH оканчивается на GW-1, который и является родителем этих маршрутов. Route-Target-AS у маршрутов разные - 1:10001 и 1:10002 - соответственно, принадлежат в VRF1 и VRF2 соответственно. Комьюнити Router's MAC содержит в себе MAC-адрес VTEP'а назначения: Leaf-3. VNI - L3VNI соответствующих VRF.

Теперь взглянем подробно на маршрут, который порождает сам Leaf-1:

Leaf-1#show bgp evpn rd 10.1.1.1:10001 detail 
BGP routing table information for VRF default
Router identifier 10.1.1.1, local AS number 65001
BGP routing table entry for ip-prefix 192.168.10.0/24, Route Distinguisher: 10.1.1.1:10001
 Paths: 1 available
  Local
    - from - (0.0.0.0)
      Origin IGP, metric -, localpref -, weight 0, tag 0, valid, local, best, redistributed (Connected)
      Extended Community: Route-Target-AS:1:10001 TunnelEncap:tunnelTypeVxlan EvpnRouterMac:50:ce:61:6c:0e:a6
      VNI: 10001

Это маршрут для подсети, расположенной в VLAN 10. VNI - L3VNI 10001, Router's MAC - MAC-адрес Leaf-1. Route-Target-AS:1:10001 - маршрут принадлежит VRF1 и должен быть установлен в него на тех VTEP'ах, на которых настроен VNI, импортирующий данное комьюнити.

Посмотрим в таблицу маршрутизации Leaf-1 для VRF1:

Leaf-1# show ip route vrf VRF1

VRF: VRF1
Codes: C - connected, S - static, K - kernel, 
       O - OSPF, IA - OSPF inter area, E1 - OSPF external type 1,
       E2 - OSPF external type 2, N1 - OSPF NSSA external type 1,
       N2 - OSPF NSSA external type2, B - Other BGP Routes,
       B I - iBGP, B E - eBGP, R - RIP, I L1 - IS-IS level 1,
       I L2 - IS-IS level 2, O3 - OSPFv3, A B - BGP Aggregate,
       A O - OSPF Summary, NG - Nexthop Group Static Route,
       V - VXLAN Control Service, M - Martian,
       DH - DHCP client installed default route,
       DP - Dynamic Policy Route, L - VRF Leaked,
       G  - gRIBI, RC - Route Cache Route

Gateway of last resort:
 B E      0.0.0.0/0 [200/0] via VTEP 10.1.1.3 VNI 10001 router-mac 50:be:84:e2:7f:1a local-interface Vxlan1

 B E      10.99.1.0/24 [200/0] via VTEP 10.1.1.3 VNI 10001 router-mac 50:be:84:e2:7f:1a local-interface Vxlan1
 C        192.168.10.0/24 is directly connected, Vlan10
 B E      192.168.20.2/32 [200/0] via VTEP 10.1.1.2 VNI 10001 router-mac 50:ad:c5:0e:9e:e9 local-interface Vxlan1
 B E      192.168.20.0/24 [200/0] via VTEP 10.1.1.2 VNI 10001 router-mac 50:ad:c5:0e:9e:e9 local-interface Vxlan1

Мы видим маршрут "по умолчанию" с next-hop'ом - Leaf-3. Трафик по этому маршруту будет отправлен на Leaf-3, инкапсулирован в VNI 10001, а DST_MAC в инкапсулированном пакете будет равен router-mac, что позволит Leaf-3 поднять принятый пакет на третий уровень. Так же мы в таблице видим стыковочную сеть 10.99.1.0/24 между Leaf-3 и GW-1.

Проверка Leaf-2

Leaf-2# show bgp evpn route-type ip-prefix ipv4
BGP routing table information for VRF default
Router identifier 10.1.1.2, local AS number 65002
Route status codes: * - valid, > - active, S - Stale, E - ECMP head, e - ECMP
                    c - Contributing to ECMP, % - Pending BGP convergence
Origin codes: i - IGP, e - EGP, ? - incomplete
AS Path Attributes: Or-ID - Originator ID, C-LST - Cluster List, LL Nexthop - Link Local Nexthop

          Network                Next Hop              Metric  LocPref Weight  Path
 * >Ec    RD: 10.1.1.3:10001 ip-prefix 0.0.0.0/0
                                 10.1.1.3              -       100     0       65100 65003 65099 i
 *  ec    RD: 10.1.1.3:10001 ip-prefix 0.0.0.0/0
                                 10.1.1.3              -       100     0       65100 65003 65099 i
 * >Ec    RD: 10.1.1.3:10002 ip-prefix 0.0.0.0/0
                                 10.1.1.3              -       100     0       65100 65003 65099 i
 *  ec    RD: 10.1.1.3:10002 ip-prefix 0.0.0.0/0
                                 10.1.1.3              -       100     0       65100 65003 65099 i
 * >Ec    RD: 10.1.1.3:10001 ip-prefix 10.99.1.0/24
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:10001 ip-prefix 10.99.1.0/24
                                 10.1.1.3              -       100     0       65100 65003 i
 * >Ec    RD: 10.1.1.3:10002 ip-prefix 10.99.2.0/24
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:10002 ip-prefix 10.99.2.0/24
                                 10.1.1.3              -       100     0       65100 65003 i
 * >Ec    RD: 10.1.1.1:10001 ip-prefix 192.168.10.0/24
                                 10.1.1.1              -       100     0       65100 65001 i
 *  ec    RD: 10.1.1.1:10001 ip-prefix 192.168.10.0/24
                                 10.1.1.1              -       100     0       65100 65001 i
 * >      RD: 10.1.1.2:10001 ip-prefix 192.168.20.0/24
                                 -                     -       -       0       i
 * >Ec    RD: 10.1.1.3:10002 ip-prefix 192.168.30.0/24
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:10002 ip-prefix 192.168.30.0/24
                                 10.1.1.3              -       100     0       65100 65003 i
 * >Ec    RD: 10.1.1.3:10002 ip-prefix 192.168.40.0/24
                                 10.1.1.3              -       100     0       65100 65003 i
 *  ec    RD: 10.1.1.3:10002 ip-prefix 192.168.40.0/24
                                 10.1.1.3              -       100     0       65100 65003 i

Видим тот же набор маршрутов. 192.168.20.0/24 мы порождаем сами, поэтому AS-PATH у него пустой (помним, что собственная AS к маршруту приставляется на выходе из автономной системы). Так же мы видим четыре дефолтных маршрута, ведущих к GW-1, как мы видели и на Leaf-1.

Таблица маршрутизации:

Leaf-2# show ip route vrf VRF1

VRF: VRF1
Codes: C - connected, S - static, K - kernel, 
       O - OSPF, IA - OSPF inter area, E1 - OSPF external type 1,
       E2 - OSPF external type 2, N1 - OSPF NSSA external type 1,
       N2 - OSPF NSSA external type2, B - Other BGP Routes,
       B I - iBGP, B E - eBGP, R - RIP, I L1 - IS-IS level 1,
       I L2 - IS-IS level 2, O3 - OSPFv3, A B - BGP Aggregate,
       A O - OSPF Summary, NG - Nexthop Group Static Route,
       V - VXLAN Control Service, M - Martian,
       DH - DHCP client installed default route,
       DP - Dynamic Policy Route, L - VRF Leaked,
       G  - gRIBI, RC - Route Cache Route

Gateway of last resort:
 B E      0.0.0.0/0 [200/0] via VTEP 10.1.1.3 VNI 10001 router-mac 50:be:84:e2:7f:1a local-interface Vxlan1

 B E      10.99.1.0/24 [200/0] via VTEP 10.1.1.3 VNI 10001 router-mac 50:be:84:e2:7f:1a local-interface Vxlan1
 B E      192.168.10.1/32 [200/0] via VTEP 10.1.1.1 VNI 10001 router-mac 50:ce:61:6c:0e:a6 local-interface Vxlan1
 B E      192.168.10.0/24 [200/0] via VTEP 10.1.1.1 VNI 10001 router-mac 50:ce:61:6c:0e:a6 local-interface Vxlan1
 C        192.168.20.0/24 is directly connected, Vlan20

В таблицу маршрутизации дефолтный маршрут установился.

Проверка Leaf-3

Маршруты типа RT-5 на Leaf-3:

Leaf-3# show bgp evpn route-type ip-prefix ipv4
BGP routing table information for VRF default
Router identifier 10.1.1.3, local AS number 65003
Route status codes: * - valid, > - active, S - Stale, E - ECMP head, e - ECMP
                    c - Contributing to ECMP, % - Pending BGP convergence
Origin codes: i - IGP, e - EGP, ? - incomplete
AS Path Attributes: Or-ID - Originator ID, C-LST - Cluster List, LL Nexthop - Link Local Nexthop

          Network                Next Hop              Metric  LocPref Weight  Path
 * >      RD: 10.1.1.3:10001 ip-prefix 0.0.0.0/0
                                 -                     0       100     0       65099 i
 * >      RD: 10.1.1.3:10002 ip-prefix 0.0.0.0/0
                                 -                     0       100     0       65099 i
 * >      RD: 10.1.1.3:10001 ip-prefix 10.99.1.0/24
                                 -                     -       -       0       i
 * >      RD: 10.1.1.3:10002 ip-prefix 10.99.2.0/24
                                 -                     -       -       0       i
 * >Ec    RD: 10.1.1.1:10001 ip-prefix 192.168.10.0/24
                                 10.1.1.1              -       100     0       65100 65001 i
 *  ec    RD: 10.1.1.1:10001 ip-prefix 192.168.10.0/24
                                 10.1.1.1              -       100     0       65100 65001 i
 * >Ec    RD: 10.1.1.2:10001 ip-prefix 192.168.20.0/24
                                 10.1.1.2              -       100     0       65100 65002 i
 *  ec    RD: 10.1.1.2:10001 ip-prefix 192.168.20.0/24
                                 10.1.1.2              -       100     0       65100 65002 i
 * >      RD: 10.1.1.3:10002 ip-prefix 192.168.30.0/24
                                 -                     -       -       0       i
 * >      RD: 10.1.1.3:10002 ip-prefix 192.168.40.0/24
                                 -                     -       -       0       i

Видим два дефолтных маршрута, которые мы принимаем от GW-1 и анонсируем в EVPN в соответствующих VRF. Так же порождаем маршруты стыковочных сетей между нами и GW-1, а также сети 192.168.30.0/24 и 192.168.40.0/24.

Взглянем на таблицу маршрутизации в VRF1:

Leaf-3# show ip route vrf VRF1

VRF: VRF1
Codes: C - connected, S - static, K - kernel, 
       O - OSPF, IA - OSPF inter area, E1 - OSPF external type 1,
       E2 - OSPF external type 2, N1 - OSPF NSSA external type 1,
       N2 - OSPF NSSA external type2, B - Other BGP Routes,
       B I - iBGP, B E - eBGP, R - RIP, I L1 - IS-IS level 1,
       I L2 - IS-IS level 2, O3 - OSPFv3, A B - BGP Aggregate,
       A O - OSPF Summary, NG - Nexthop Group Static Route,
       V - VXLAN Control Service, M - Martian,
       DH - DHCP client installed default route,
       DP - Dynamic Policy Route, L - VRF Leaked,
       G  - gRIBI, RC - Route Cache Route

Gateway of last resort:
 B E      0.0.0.0/0 [200/0] via 10.99.1.2, Ethernet5

 C        10.99.1.0/24 is directly connected, Ethernet5
 B E      192.168.10.1/32 [200/0] via VTEP 10.1.1.1 VNI 10001 router-mac 50:ce:61:6c:0e:a6 local-interface Vxlan1
 B E      192.168.10.0/24 [200/0] via VTEP 10.1.1.1 VNI 10001 router-mac 50:ce:61:6c:0e:a6 local-interface Vxlan1
 B E      192.168.20.2/32 [200/0] via VTEP 10.1.1.2 VNI 10001 router-mac 50:ad:c5:0e:9e:e9 local-interface Vxlan1
 B E      192.168.20.0/24 [200/0] via VTEP 10.1.1.2 VNI 10001 router-mac 50:ad:c5:0e:9e:e9 local-interface Vxlan1

Мы видим два дефолтных маршрута, ведущих в сторону GW-1 (интерфейс Ethernet5). Также мы видим напрямую присоединенную стыковочную сеть с GW-1. А также видим четыре маршрута для клиентских сетей, полученные от Leaf-1 и Leaf-2 через два Spine'а. Строго говоря, получили мы эти маршруты от Spine'ов, но сети анонсируются именно Leaf'ами. Spine'ы их просто ретранслируют нам, а мы эти сети передаем на GW-1, который потом их ретранслирует нам же, но в VRF2.

Посмотрим, что у нас в VRF2:

Leaf-3# show ip route vrf VRF2

VRF: VRF2
Codes: C - connected, S - static, K - kernel, 
       O - OSPF, IA - OSPF inter area, E1 - OSPF external type 1,
       E2 - OSPF external type 2, N1 - OSPF NSSA external type 1,
       N2 - OSPF NSSA external type2, B - Other BGP Routes,
       B I - iBGP, B E - eBGP, R - RIP, I L1 - IS-IS level 1,
       I L2 - IS-IS level 2, O3 - OSPFv3, A B - BGP Aggregate,
       A O - OSPF Summary, NG - Nexthop Group Static Route,
       V - VXLAN Control Service, M - Martian,
       DH - DHCP client installed default route,
       DP - Dynamic Policy Route, L - VRF Leaked,
       G  - gRIBI, RC - Route Cache Route

Gateway of last resort:
 B E      0.0.0.0/0 [200/0] via 10.99.2.2, Ethernet6

 C        10.99.2.0/24 is directly connected, Ethernet6
 C        192.168.30.0/24 is directly connected, Vlan30
 C        192.168.40.0/24 is directly connected, Vlan40

Опять же видим дефолтный маршрут от GW-1 (интерфейс Ethernet6). Видим стыковочную сеть с GW-1, а также две присоединенных сети, в которых у нас живут Client-3 и Client-4. Сетей 192.168.10.0/24 и 192.168.20.0/24 мы не видим, так как GW-1 их саггрегировал в дефолтный маршрут.

Давайте подробнее посмотрим на дефолтные маршруты в обоих VRF:

Leaf-3# show bgp ipv4 unicast detail vrf VRF1 | s /0
BGP routing table entry for 0.0.0.0/0
 Paths: 1 available
  65099 (aggregated by 65099 10.1.2.1)
    10.99.1.2 from 10.99.1.2 (10.1.2.1)
      Origin IGP, metric 0, localpref 100, IGP metric 0, weight 0, tag 0
      Received 22:36:59 ago, valid, external, best, atomic-aggregate
      Rx SAFI: Unicast
      
Leaf-3# show bgp ipv4 unicast detail vrf VRF2 | s /0
BGP routing table entry for 0.0.0.0/0
 Paths: 1 available
  65099 (aggregated by 65099 10.1.2.1)
    10.99.2.2 from 10.99.2.2 (10.1.2.1)
      Origin IGP, metric 0, localpref 100, IGP metric 0, weight 0, tag 0
      Received 22:37:07 ago, valid, external, best, atomic-aggregate
      Rx SAFI: Unicast

Обратите внимание - эти маршруты передаются не как RT-5, а как обычные IPv4-маршруты, так как GW-1 ничего не знает ни о каких EVPN и VXLAN. Эти маршруты наш Leaf-3 уже ретранслирует в EVPN, при этом конвертируя их в RT-5.

Проверка GW-1

Посмотрим, какие маршруты мы получаем от Leaf-3 по линку для VRF1:

GW-1# show ip bgp neighbors 10.99.1.1 routes
BGP table version is 25, local router ID is 10.1.2.1, vrf id 0
Default local pref 100, local AS 65099
Status codes:  s suppressed, d damped, h history, * valid, > best, = multipath,
               i internal, r RIB-failure, S Stale, R Removed
Nexthop codes: @NNN nexthop's vrf id, < announce-nh-self
Origin codes:  i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

    Network          Next Hop            Metric LocPrf Weight Path
 s> 10.99.1.0/24     10.99.1.1                              0 65003 i
 s> 192.168.10.0/24  10.99.1.1                              0 65003 65100 65001 i
 s> 192.168.20.0/24  10.99.1.1                              0 65003 65100 65002 i

Displayed 3 routes and 7 total paths

Мы получаем стыковочную сеть, а также маршруты из VRF1. А отдаем?

GW-1# show ip bgp neighbors 10.99.1.1 advertised-routes
BGP table version is 25, local router ID is 10.1.2.1, vrf id 0
Default local pref 100, local AS 65099
Status codes:  s suppressed, d damped, h history, * valid, > best, = multipath,
               i internal, r RIB-failure, S Stale, R Removed
Nexthop codes: @NNN nexthop's vrf id, < announce-nh-self
Origin codes:  i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

    Network          Next Hop            Metric LocPrf Weight Path
 *> 0.0.0.0/0        0.0.0.0                  0         32768 i

Total number of prefixes 1

Отдаем в сторону Leaf-3 VRF1 только дефолт.

Из VRF2 мы получаем следующее:

GW-1# show ip bgp neighbors 10.99.2.1 routes
BGP table version is 25, local router ID is 10.1.2.1, vrf id 0
Default local pref 100, local AS 65099
Status codes:  s suppressed, d damped, h history, * valid, > best, = multipath,
               i internal, r RIB-failure, S Stale, R Removed
Nexthop codes: @NNN nexthop's vrf id, < announce-nh-self
Origin codes:  i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

    Network          Next Hop            Metric LocPrf Weight Path
 s> 10.99.2.0/24     10.99.2.1                              0 65003 i
 s> 192.168.30.0/24  10.99.2.1                              0 65003 i
 s> 192.168.40.0/24  10.99.2.1                              0 65003 i

Displayed 3 routes and 7 total paths

Стыковочная сеть с Leaf-3 и две сети, в которых живут Client-3 и Client-4.

А отдаем?

GW-1# show ip bgp neighbors 10.99.2.1 advertised-routes
BGP table version is 25, local router ID is 10.1.2.1, vrf id 0
Default local pref 100, local AS 65099
Status codes:  s suppressed, d damped, h history, * valid, > best, = multipath,
               i internal, r RIB-failure, S Stale, R Removed
Nexthop codes: @NNN nexthop's vrf id, < announce-nh-self
Origin codes:  i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found

    Network          Next Hop            Metric LocPrf Weight Path
 *> 0.0.0.0/0        0.0.0.0                  0         32768 i

Total number of prefixes 1

Дефолт :).

Посмотрим в таблицу маршрутизации:

GW-1# show ip route
Codes: K - kernel route, C - connected, L - local, S - static,
       R - RIP, O - OSPF, I - IS-IS, B - BGP, E - EIGRP, N - NHRP,
       T - Table, v - VNC, V - VNC-Direct, A - Babel, F - PBR,
       f - OpenFabric, t - Table-Direct,
       > - selected route, * - FIB route, q - queued, r - rejected, b - backup
       t - trapped, o - offload failure

B   0.0.0.0/0 [200/0] unreachable (blackhole), weight 1, 22:42:28
K>* 0.0.0.0/0 [0/0] via 10.0.137.1, ens3, 22:57:47
B   10.99.1.0/24 [20/0] via 10.99.1.1 inactive, weight 1, 22:42:28
C>* 10.99.1.0/24 is directly connected, e1, 23:01:17
L>* 10.99.1.2/32 is directly connected, e1, 23:01:17
B   10.99.2.0/24 [20/0] via 10.99.2.1 inactive, weight 1, 22:42:28
C>* 10.99.2.0/24 is directly connected, e2, 23:01:17
L>* 10.99.2.2/32 is directly connected, e2, 23:01:17
B>* 192.168.10.0/24 [20/0] via 10.99.1.1, e1, weight 1, 22:42:28
B>* 192.168.20.0/24 [20/0] via 10.99.1.1, e1, weight 1, 22:42:28
B>* 192.168.30.0/24 [20/0] via 10.99.2.1, e2, weight 1, 22:42:28
B>* 192.168.40.0/24 [20/0] via 10.99.2.1, e2, weight 1, 22:42:28

Мы здесь видим агрегированный дефолт-маршрут, который ведет "в никуда", который мы анонсируем в сторону Leaf-3. Видим Видим стыковочные сети с Leaf-3, а также все четыре клиентских сети, которые мы получаем от Leaf-3 для VRF1 и VRF2.

Больше GW-1 ничего не делает, поэтому и смотреть здесь особо не на что.

Перейдем к проверкам клиентов.

Проверка связности клиентов

Запустим пинг от Client-1 до Client-4:

Client-1:~# ping 192.168.40.4
PING 192.168.40.4 (192.168.40.4): 56 data bytes
64 bytes from 192.168.40.4: seq=0 ttl=60 time=22.191 ms
64 bytes from 192.168.40.4: seq=1 ttl=60 time=18.002 ms
64 bytes from 192.168.40.4: seq=2 ttl=60 time=16.740 ms
64 bytes from 192.168.40.4: seq=3 ttl=60 time=15.952 ms
...

Посмотрим, как идет трафик, проследим его путь.

Мы видим его на линке между Leaf-1 и Spine-1, инкапсулированный в L3VNI 10001:

root@pnetlab:~# tcpdump -e -n -i vunl4_1 udp port 4789
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vunl4_1, link-type EN10MB (Ethernet), capture size 262144 bytes
19:43:07.900821 50:ce:61:6c:0e:a6 > 50:8c:97:d3:eb:d7, ethertype IPv4 (0x0800), length 148: 10.1.1.1.25185 > 10.1.1.3.4789: VXLAN, flags [I] (0x08), vni 10001
50:ce:61:6c:0e:a6 > 50:be:84:e2:7f:1a, ethertype IPv4 (0x0800), length 98: 192.168.10.1 > 192.168.40.4: ICMP echo request, id 2294, seq 61, length 64

19:43:07.912363 50:8c:97:d3:eb:d7 > 50:ce:61:6c:0e:a6, ethertype IPv4 (0x0800), length 148: 10.1.1.3.25185 > 10.1.1.1.4789: VXLAN, flags [I] (0x08), vni 10001
50:be:84:e2:7f:1a > 50:ce:61:6c:0e:a6, ethertype IPv4 (0x0800), length 98: 192.168.40.4 > 192.168.10.1: ICMP echo reply, id 2294, seq 61, length 64

19:43:08.902657 50:ce:61:6c:0e:a6 > 50:8c:97:d3:eb:d7, ethertype IPv4 (0x0800), length 148: 10.1.1.1.25185 > 10.1.1.3.4789: VXLAN, flags [I] (0x08), vni 10001
50:ce:61:6c:0e:a6 > 50:be:84:e2:7f:1a, ethertype IPv4 (0x0800), length 98: 192.168.10.1 > 192.168.40.4: ICMP echo request, id 2294, seq 62, length 64

19:43:08.915268 50:8c:97:d3:eb:d7 > 50:ce:61:6c:0e:a6, ethertype IPv4 (0x0800), length 148: 10.1.1.3.25185 > 10.1.1.1.4789: VXLAN, flags [I] (0x08), vni 10001
50:be:84:e2:7f:1a > 50:ce:61:6c:0e:a6, ethertype IPv4 (0x0800), length 98: 192.168.40.4 > 192.168.10.1: ICMP echo reply, id 2294, seq 62, length 64

Обратите внимание на DST_MAC в инкапсулированном пакете - он равен маку Leaf-3 и присутствовал в комьюнити Router's MAC в соответствующем маршруте EVPN.

Видим трафик на линке между Spine-1 и Leaf-3:

root@pnetlab:~# tcpdump -i vunl1_3 udp port 4789
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vunl1_3, link-type EN10MB (Ethernet), capture size 262144 bytes
19:38:06.441843 IP 10.1.1.1.25185 > 10.1.1.3.4789: VXLAN, flags [I] (0x08), vni 10001
IP 192.168.10.1 > 192.168.40.4: ICMP echo request, id 2291, seq 126, length 64

19:38:06.450087 IP 10.1.1.3.25185 > 10.1.1.1.4789: VXLAN, flags [I] (0x08), vni 10001
IP 192.168.40.4 > 192.168.10.1: ICMP echo reply, id 2291, seq 126, length 64

19:38:07.442512 IP 10.1.1.1.25185 > 10.1.1.3.4789: VXLAN, flags [I] (0x08), vni 10001
IP 192.168.10.1 > 192.168.40.4: ICMP echo request, id 2291, seq 127, length 64

19:38:07.450210 IP 10.1.1.3.25185 > 10.1.1.1.4789: VXLAN, flags [I] (0x08), vni 10001
IP 192.168.40.4 > 192.168.10.1: ICMP echo reply, id 2291, seq 127, length 64

Видим трафик на линке между Leaf-3 и GW-1, в который терминируется VRF1:

root@pnetlab:~# tcpdump -i vunl5_5 src or dst 192.168.10.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vunl5_5, link-type EN10MB (Ethernet), capture size 262144 bytes
19:40:36.042808 IP 192.168.10.1 > 192.168.40.4: ICMP echo request, id 2292, seq 0, length 64
19:40:36.047061 IP 192.168.40.4 > 192.168.10.1: ICMP echo reply, id 2292, seq 0, length 64
19:40:37.040737 IP 192.168.10.1 > 192.168.40.4: ICMP echo request, id 2292, seq 1, length 64
19:40:37.044911 IP 192.168.40.4 > 192.168.10.1: ICMP echo reply, id 2292, seq 1, length 64

Видим трафик на линке между Leaf-3 и GW-1, в который терминируется VRF2:

root@pnetlab:~# tcpdump -i vunl5_6 src or dst 192.168.10.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vunl5_6, link-type EN10MB (Ethernet), capture size 262144 bytes
19:42:06.815153 IP 192.168.10.1 > 192.168.40.4: ICMP echo request, id 2294, seq 0, length 64
19:42:06.822023 IP 192.168.40.4 > 192.168.10.1: ICMP echo reply, id 2294, seq 0, length 64
19:42:07.812285 IP 192.168.10.1 > 192.168.40.4: ICMP echo request, id 2294, seq 1, length 64
19:42:07.816095 IP 192.168.40.4 > 192.168.10.1: ICMP echo reply, id 2294, seq 1, length 64
19:42:08.814115 IP 192.168.10.1 > 192.168.40.4: ICMP echo request, id 2294, seq 2, length 64
19:42:08.818112 IP 192.168.40.4 > 192.168.10.1: ICMP echo reply, id 2294, seq 2, length 64
19:42:09.815470 IP 192.168.10.1 > 192.168.40.4: ICMP echo request, id 2294, seq 3, length 64
19:42:09.818825 IP 192.168.40.4 > 192.168.10.1: ICMP echo reply, id 2294, seq 3, length 64

И теперь видим трафик на линке, напрямую присоединенном к Client-4:

root@pnetlab:~# tcpdump -e -n -i vunl5_4 src or dst host 192.168.10.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vunl5_4, link-type EN10MB (Ethernet), capture size 262144 bytes
19:44:51.978887 50:be:84:e2:7f:1a > 02:01:00:00:00:04, ethertype IPv4 (0x0800), length 98: 192.168.10.1 > 192.168.40.4: ICMP echo request, id 2294, seq 165, length 64
19:44:51.979116 02:01:00:00:00:04 > 02:00:00:00:00:00, ethertype IPv4 (0x0800), length 98: 192.168.40.4 > 192.168.10.1: ICMP echo reply, id 2294, seq 165, length 64
19:44:52.979978 50:be:84:e2:7f:1a > 02:01:00:00:00:04, ethertype IPv4 (0x0800), length 98: 192.168.10.1 > 192.168.40.4: ICMP echo request, id 2294, seq 166, length 64
19:44:52.983345 02:01:00:00:00:04 > 02:00:00:00:00:00, ethertype IPv4 (0x0800), length 98: 192.168.40.4 > 192.168.10.1: ICMP echo reply, id 2294, seq 166, length 64
19:44:53.979778 50:be:84:e2:7f:1a > 02:01:00:00:00:04, ethertype IPv4 (0x0800), length 98: 192.168.10.1 > 192.168.40.4: ICMP echo request, id 2294, seq 167, length 64
19:44:53.980138 02:01:00:00:00:04 > 02:00:00:00:00:00, ethertype IPv4 (0x0800), length 98: 192.168.40.4 > 192.168.10.1: ICMP echo reply, id 2294, seq 167, length 64

Обратите внимание, что SRC_MAC в кадре, в котором едет ICMP Request - это Anycast MAC IRB-интерфейса Leaf-3.

Визуализировать путь трафика можно таким образом:

Наши маршруты RT-5 работают, давайте под конец проверим связность всех клиентов друг с другом:

Client-1

Ping Client-2

Client-1:~# ping 192.168.20.2 -c 1
PING 192.168.20.2 (192.168.20.2): 56 data bytes
64 bytes from 192.168.20.2: seq=0 ttl=62 time=20.244 ms

--- 192.168.20.2 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 20.244/20.244/20.244 ms

Ping Client-3

Client-1:~# ping 192.168.30.3 -c 1
PING 192.168.30.3 (192.168.30.3): 56 data bytes
64 bytes from 192.168.30.3: seq=0 ttl=60 time=17.476 ms

--- 192.168.30.3 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 17.476/17.476/17.476 ms

Ping Client-4

Client-1:~# ping 192.168.40.4 -c 1
PING 192.168.40.4 (192.168.40.4): 56 data bytes
64 bytes from 192.168.40.4: seq=0 ttl=60 time=20.563 ms

--- 192.168.40.4 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 20.563/20.563/20.563 ms

Client-2

Ping Client-1

Client-2:~# ping 192.168.10.1 -c 1
PING 192.168.10.1 (192.168.10.1): 56 data bytes
64 bytes from 192.168.10.1: seq=0 ttl=62 time=24.390 ms

--- 192.168.10.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 24.390/24.390/24.390 ms

Ping Client-3

Client-2:~# ping 192.168.30.3 -c 1
PING 192.168.30.3 (192.168.30.3): 56 data bytes
64 bytes from 192.168.30.3: seq=0 ttl=60 time=20.141 ms

--- 192.168.30.3 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 20.141/20.141/20.141 ms

Ping Client-4

Client-2:~# ping 192.168.40.4 -c 1
PING 192.168.40.4 (192.168.40.4): 56 data bytes
64 bytes from 192.168.40.4: seq=0 ttl=60 time=18.497 ms

--- 192.168.40.4 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 18.497/18.497/18.497 ms

Client-3

Ping Client-1

Client-3:~# ping 192.168.10.1 -c 1
PING 192.168.10.1 (192.168.10.1): 56 data bytes
64 bytes from 192.168.10.1: seq=0 ttl=60 time=24.118 ms

--- 192.168.10.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 24.118/24.118/24.118 ms

Ping Client-2

Client-3:~# ping 192.168.20.2 -c 1
PING 192.168.20.2 (192.168.20.2): 56 data bytes
64 bytes from 192.168.20.2: seq=0 ttl=60 time=22.678 ms

--- 192.168.20.2 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 22.678/22.678/22.678 ms

Ping Client-4

Client-3:~# ping 192.168.40.4 -c 1
PING 192.168.40.4 (192.168.40.4): 56 data bytes
64 bytes from 192.168.40.4: seq=0 ttl=63 time=8.947 ms

--- 192.168.40.4 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 8.947/8.947/8.947 ms

Client-4

Ping Client-1

Client-4:~# ping 192.168.10.1 -c 1
PING 192.168.10.1 (192.168.10.1): 56 data bytes
64 bytes from 192.168.10.1: seq=0 ttl=60 time=26.851 ms

--- 192.168.10.1 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 26.851/26.851/26.851 ms

Ping Client-2

Client-4:~# ping 192.168.20.2 -c 1
PING 192.168.20.2 (192.168.20.2): 56 data bytes
64 bytes from 192.168.20.2: seq=0 ttl=60 time=20.453 ms

--- 192.168.20.2 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 20.453/20.453/20.453 ms

Ping Client-3

Client-4:~# ping 192.168.30.3 -c 1
PING 192.168.30.3 (192.168.30.3): 56 data bytes
64 bytes from 192.168.30.3: seq=0 ttl=63 time=5.116 ms

--- 192.168.30.3 ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 5.116/5.116/5.116 ms

Итого: связность между клиентами в двух разных VRF через внешний маршрутизатор - есть.

На этом настройку нашей EVPN-сети можно считать завершенной. Мы настроили основной функционал оверлей-сети, основанной на EVPN/VXLAN: L2-связность между клиентами в пределах одного широковещательного домена, L3-связность между VNI, резервируемое подключение (Multihoming) и инжектирование внешних префиксов в EVPN.

Надеюсь, данный материал был вам полезен.

Если у вас появились какие-то вопросы или замечания касательно содержимого статьи, то связаться со мной можно по электронной почте.

Удачи и всего хорошего!

Виталий Швецов ([email protected])

Previous4. Настройка EVPN Multihoming

Last updated 6 months ago