مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

آموزش پیاده سازی VXLAN EVPN MultiSite در یک سناریو عملی

در پیکربندی بالا ما VNI را به شکل L2 پیکربندی کردیم و در پیکربندی پایین ما VNI به شکل L3 پیکربندی کردیم:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

برای مشاهده تخفیف های ویژه امروز کلیک کنید

سرفصل های این مطلب

مفهوم DCI چیست؟
چه تکنولوژی های در DCI استفاده میشود؟
پروتکل VXLAN چیست؟
پروتکل EVPN چیست؟
مفهوم VXLAN EVPN MultiSite چیست؟
پیاده سازی و نحوه پیکربندی VXLAN EVPN MultiSite

آموزش پیاده سازی VXLAN EVPN آموزش پیاده سازی VXLAN EVPN MultiSite مفهوم VXLAN EVPN چیست مفهوم VXLAN EVPN MultiSite چیست؟ در این مقاله قراره به یکی از مدرن ترین روش های اتصال DataCenter هارا به هم فرا بگیریم

سلام خدمت کاربران عزیز وب سایت توسینسو خب اومدیم با یک سناریو دیگه در خدمت شما عزیزان سناریو جالب و جذابی که قراره درونش به پیکربندی و راه اندازی DCI بین دو DataCenter بپردازیم. درواقع در این سناریو قرار است VXLAN EVPN در یک محیط MultiSite پیکربندی شود و یک ارتباط West-Esat را در دو DataCenter ایجاد شود که در همچین سناریویی به اصطلاح به آن پیکربندی و راه اندازی VXLAN EVPN MultiSite نیز میگویند

مفهوم DCI چیست؟

درواقع DCI تشکیل شده از کلمات DataCenter InterConnect میباشد با گذشت روز افزون تکنولوژی و افزایش تعداد دیتاسنتر ها ارتباطات میان این دیتاسنتر ها و داشتن ترافیک های مشترک بسیار اهمیت بالایی پیدا کرده است در گذشته ترافیک ها در محیط های دیتاسنتر به شکل North-South و یا شمال به جنوب بوده است که این ترافیک ها نشان دهنده این هستند که ترافیک از مبدا خاصی از کاربران و جاهای مختلف وارد دیتاسنتر میشوند و ارتباطی میان دیگر دیتاسنتر ها وجود نداشت به همین سبب تکنولوژی های به روی کار آمدن که امکان استقرار دیتاسنتر ها در بین یک دیگر را فراهم سازی کردند و امروزه ما به کمک تکنولوژی های DCI میتوانیم ترافیک های West-East داشته باشیم که این ترافیک ها درواقع با عنوان غرب به شرق نیز شناخته میشوند و به شکلی هستند که از یک دیتاسنتر به یک دیتاسنتر دیگر انتقال پیدا میکنند.

چه تکنولوژی های در DCI استفاده میشود؟

تکنولوژی های مختلف و متنوعی در رابطه با DCI وجود دارد که به سبب ایجاد ارتباط میان دیتاسنتر ها مورد استفاده قرار میگیرند از جمله این تکنولوژی ها عبارتند از:
تکنولوژی OTV: به سبب OTV ما توانایی این راه داریم که میان دیتاسنتر ها یک ارتباط بر روی بستر L3 براقرار کنیم و ترافیک های L2 خودمان را عبور دهیم.
تکنولوژی EoMPLS: به سبب EoMPLS که تشکیل شده از کلمات Ethernet Over MPLS میباشد ما توانایی ایجاد ارتباطات خصوصی از طریق شبکه های MPLS که به صورت Public میباشند را داریم به همین سبب ما میتوانیم با اتصالات Tunnelling بستر MPLS و مدار های خاصی مثله EVPL فرآیند برقراری ارتباط را پیاده سازی کنیم.

برای آشنایی بیشتر با مفاهیم MPLS و اجزا آن و شروع یادگیری پروتکل MPLS به ویدیو های دوره آموزشی MPLS مراجعه کنید.

تکنولوژی VPLS: تکنولوژی VPLS یک پروتکل Tunnelling و Site To Site VPN میباشد که به صورت لایه دویی فعالیت خود را انجام میدهد و جزوه دسته L2VPN به حساب می آید و میتواند ارتباطات مراکز داده به خوبی فراهم سازی کند.
حالا که با این تکنولوژی ها آشنا شدیم میبایست همه اینارو کنار بگذاریم و بریم سراغ مدرن ترین تکنولوژی DCI یعنی VXLAN EVPN که استفاده زیاد و محبوبیت بسیاری در بین دیتاسنتر های امروزی پیدا کرده است.

پروتکل VXLAN چیست؟

پروتکل VXLAN را که ما با عنوان یک Underlay نیز میشناسیم(زیرا توانایی توزیع بار از Layer 2 به سطح بالاتر خود یعنی Layer 3 را با استفاده از Encapsulation سازی دارد) توانایی ارائه کردن 16میلیون Segment و مدیریت آنهارا برای ما دارد زیرا از یک مقدار 24-Bit استفاده میکند و این مقدار را تحت عنوان VNID میشناسیم که به منظور متمایز سازی و بخش بندی یک شبکه مورد استفاده قرار میگیرد.
پروتکل VXLAN از مکانیزم بسیار جالبی تحت عنوان Mac-In-UDP استفاده میکند که به سبب این مکانیزم پس از قرار گرفتن مقدار MAC در بسته VXLAN، مستقیما درون بسته UDP قرار میگیرد و IP Header نیز به آن اضافه میشود و بسته ارسال میشود. درواقع این پروتکل به سبب بخش ها و یا قسمت های تحت عنوان VTEP شناخته میشود که امکان برقراری ارتباط از طریق این VTEP ها به یک ‌دیگر وجود دارد. برای استفاده از VXLAN ما دو راه داریم
راه حل اول: پیاده سازی VXLAN و بستر ارتباطی بر روی یک بستر SDN مانند Vmware NSX
راه حل دوم: پیاده سازی بر روی تجهیزات فیزیکی که قابلیت پشتیبانی از VXLAN را دارند مانند سوییچ های Nexus 7000

برای آشنایی بیشتر با VXLAN به مقاله پروتکل VXLAN چیست و چگونه آن را پیاده سازی کنیم مراجعه کنید.

پروتکل EVPN چیست؟

پروتکل EVPN یک پروتکل بر پایه BGP میباشد که به سبب آن ما توانایی پیاده سازی ارتباطات VPN به صورت L2 و L3 را داریم در حالت های L2 ما این ارتباطات را با عنوان Bridging میشناسیم و در ارتباطات L3 با عنوان Routing. برای استفاده از EVPN ما میبایست به سراغ پروتکل BGP در حالت MP-BGP برویم و از EVPN استفاده نماییم.

مفهوم VXLAN EVPN MultiSite چیست؟

این همه صحبت کردیم و آشنا شدیم با پروتکل ها تکنولوژی های مختلف از جمله VXLAN و EVPN حالا بیاید بررسی کنیم که این راهکار DCI یعنی VXLAN EVPN MultiSite چیست و چگونه عمل میکند؟ درواقع این راهکار همانطور که میدانید یک ارتباط میان دو دیتاسنتر مختلف برقرار میکند دقیقا عین وظیفه ایی که دیگر DCI ها برعهده دارند علاوه بر این موضوع این ارتباط برپایه EVPN در یک شبکه IP-Only میباشد.
در این سناریو یا بهتر بگوییم در این راهکار ما یک مفهوم داریم تحت عنوان BG یا Border Getaway که به سبب این بخش یا این تجهیزات مان که به عنوان BG عمل میکنند ما میتوانیم ارتباط میان دو دیتاسنتر را برقرار کنیم.

پیاده سازی و نحوه پیکربندی VXLAN EVPN MultiSite

حال که تئوریات را پشت سر گذاشتیم میبایست برویم سراغ نحوه پیکربندی و راه اندازی راهکار بالا میان دو دیتاسنتر مجزا از هم. درواقع سناریو ما به شکل زیر میباشد که هر دو با معماری و طراحی Leaf Spine قرار گرفته اند.

آموزش پیاده سازی VXLAN EVPN MultiSite در یک سناریو عملی

دیوایس های مورد نیاز و مورد استفاده در این سناریو چیست؟

درواقع به طور کلی شما نیاز به سوییچ های Nexus 9000 به همراه NX-OS ورژن 7 یا بالاتر به منظور پیکربندی این سناریو دارید.

نکته: پیکربندی این سناریو نیاز به دانش خوبی در حوزه زیرساخت DataCenter دارد زیرا توضیحات هرکدام از دستورات به صورت تکی بسیار طولانی میشود و به همین سبب درحد یک توضیح کلی در رابطه با هر بخش داده شده است

اول از دیوایس Leaf 1 در DC 1 شروع به پیکربندی خواهیم کرد. در ابتدا شروع کارمان میپردازیم به فعال سازی ویژگی ها و Feature های مورد نیازمان درون Leaf 1 میکنیم

Leaf 1 (DC-1):

Install feature-set fabric
feature-set fabric
hostname leaf1
feature fabric forwarding
nv overlay evpn
feature ospf
feature bgp
feature pim
feature interface-vian
feature fabric access
feature nv overlay
feature vn-segment-vlan-based

پیکربندی Interface متصل به Host 1

interface ethernet 1/23
switchport mode trunk
switchport mode trunk allowed vlan 1000-1001
speed 1000

ایجاد کردن VNI و مپ کردن آنها به Vlan ها:

vlan 1
vlan 101
Vn-segment 900001
vlan 1000
vn-segment 2001002
vlan 1001
Vn-segment 2001001

پیکربندی Vlan ها

interface vlan 1000
no shutdown
vrf member vxlan-900001
ip forward
Enabling Store-and-Forward Switching
switching-mode store-forward
interface Vlan1000
no shutdown
mtu 9216
vrf member vxlan-900001
ip address 4.2.2.1/24
ipv6 address 4:2:0:1::1/64

پیکربندی Anycast Getaway

این بخش به این دلیل پیکربندی میشود که سوییچ های Leaf درون شبکه VXLAN بتوانند از یک آدرس Getaway IP Address واحد استفاده کنند.

fabric forwarding anycast-gateway-mac 0000.2222.3333

درواقع درون این بخش ما شروع به ساخت VNI میکنیم که به نوعی حکم Vlan را در پروتکل VXLAN دارد.

در این بخش ما شروع به معرفی کردن دستی RP در PIM-SM Domain میپردازیم

ip pim rp-address 192.168.1.1 group-list 224.0.0.0/4
ip pim rp-address 192.168.1.2 group-list 224.0.0.0/4
pim ssm range 232.0.0.0/8
ip multicast multipath none

حال شروع به پیکربندی VTEP در Leaf میرسد توجه داشته باشید که درون دیتاسنتر های با طراحی و معماری Leaf Spine دیوایس های Leaf به عنوان VTEP شناخته میشوند.

interface nve1
no shutdown
source-interface loopbacko
host-reachability protocol bgp
member vni 900001 associate-vrf
member vnl 2001001
suppress-arp
mcast-group 239.0.0.1
member vni 2001002
suppress-arp
mcast-group 239.0.0.1

پیکربندی پروتکل OSPF از Leaf به Spine

router ospf 100
router-id 192.168.1.3

interface Ethernet2/23
no switchport
ip address 172.16.1.2/24
ip ospf network point-to-point
ip router ospf 100 area 0.0.0.0
ip pim sparse-mode

interface loopbacko
ip address 192.168.1.3/24
ip router ospf 100 area 0.0.0.0
ip pim sparse-mode

interface Ethernet2/24
no switchport
ip address 172.16.2.2/24
ip ospf network point-to-point
ip router ospf 100 area 0.0.0.0
ip pim sparse-mode

پیکربندی پروتکل BGP در حالت MP-BGP و استفاده از EVPN

router bep 200
router-id 192.168.1.3
address family ipv4 unicast
address-family 12vpn evpn
neighbor 192.168.1.1
remote-as 200
update-source loopbacko
address-family ipv4 unicast
address-family 12vpn evpn
send-community extended
neighbor 192.168.1.2
remote-as 200
update-source loopbacko
address-family ipv4 unicast
address family l2vpn evpn
send-community extended

rd auto
address-family ipv4 unicast
route-target both auto
route-target both auto evpn
address-family ipv6 unicast
route-target both auto
route-target both auto evpn

evpn
rd auto
route-target import auto
route-target export auto
vn 2001002 12
rd auto
route-target import auto
route-target export auto

دیوایس Leaf 1 در DC 1 و توضیحات کلی در رابطه با پیکربندی های انجام شده بقیه پیکربندی های دیوایس را به دلیل بالا بودم حجم دستورات در قالب تصویر به صورت طبقه بندی شده قرار میدهم.

Spine 1 (DC-1):

BG 1 (DC-1):

BG 2 (DC-2):

Spine 1 (DC-2):

Leaf 1 (DC-2):

تبریک عرض میکنم خدمت دوستان عزیز ما موفق به پیکربندی و راه اندازی VXLAN EVPN MultiSite شدیم حال میبایست پیکربندی های انجام شده را به منظور صحت و کارکرد این فرآیند بررسی کنیم:

0 2

امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

نظرات

البرز - کرج - شاهین ویلا - نبش خیابان هفتم شرقی - مجتمع تجاری مهرگان - طبقه 6 - واحد 704

زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18

فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود

شماره تماس: 02634209662

پشتیبانی تلگرام: کلیک کنید

توسینسو (ToSinSo) مخفف کلمه های Total Single Solutions می باشد و یک مجموعه آموزشی تخصص محور در حوزه فناوری اطلاعات بصورت آنلاین بوده که بیش از ده سال از فعالیت آن به زبان فارسی می گذرد. ارائه بهترین منابع آموزش شبکه ، آموزش لینوکس ، آموزش برنامه نویسی ، آموزش مجازی سازی ، آموزش هک و تست نفوذ و امنیت اطلاعات با همکاری اساتید بین المللی و حرفه ای از جمله مهمترین خدمات آموزشگاه توسینسو می باشد.

کلیه حقوق این وب سایت متعلق به مجموعه توسینسو است