Как инкапсулировать весь трафик VLAN внутри VXLAN

Как я понимаю, VXLAN, похоже, он должен иметь возможность инкапсулировать и правильно маршрутизировать трафик с привязкой к VLAN.

Однако, исследуя, как настроить VXLAN на сетевых устройствах, похоже, что такие поставщики, как Cisco и Arista и Juniper, делают что-то вроде этого:

  • Настройте физический порт Ethernet как порт доступа VLAN, например. VLAN 100
  • Настройте сопоставление VNI и VNI, которое отображает VLAN 100 на любой VNI, который вы хотите.

Например, см. конфигурацию в конце https://eos.arista.com/vxlan-without-controller-for-network-virtualization-with-arista-physical-vteps/

Однако я хочу указать, что трафик all , независимо от тега VLAN, который входит в физический порт, должен быть помещен в определенный VNI без каких-либо изменений тегов VLAN в любой точке.

Я неправильно понимаю конфигурацию в этом примере или существуют альтернативные способы настройки VXLAN? Меня особенно интересует Ариста, поэтому, если кто-нибудь с опытом Arista может прослушивать, я был бы признателен.

3 голоса | спросил John 17 FebruaryEurope/MoscowbFri, 17 Feb 2017 03:15:26 +0300000000amFri, 17 Feb 2017 03:15:26 +030017 2017, 03:15:26

2 ответа


4

Я думаю, вы вводите в заблуждение пару концепций. Посмотрев последний раздел конфигурации документа, который вы связали:

  

7.2) VXLAN без CVX

     

Конфигурация на VTEP:

!
vlan 100
vlan 200
!
interface Ethernet 1
  switchport access vlan 100
!
interface Ethernet 2
  switchport mode trunk
  switchport trunk allowed vlan 100,200
!
interface loopback 1
 ip address 1.1.1.1/32
!
interface Vxlan 1
  vxlan source-interface loopback 1
  vxlan vlan 100 vni 10100
  vxlan vlan 200 vni 10200
  vxlan vlan 100 flood vtep 2.2.2.2 4.4.4.4
  vxlan vlan 200 flood vtep 2.2.2.2 3.3.3.3 4.4.4.4
!

Обратите внимание, что интерфейс VXLAN, Vxlan 1 имеет несколько VNI, так же, как у соединительной линии есть несколько VLAN с тегами. В принципе, VNI на VXLAN похож на VLAN на багажнике. Вы не должны ожидать, что интерфейс доступа разрешит любые кадры из помеченных VLAN, и вы не должны ожидать, чтобы интерфейс соединительной линии позволял VLAN, отличным от того, что он настроил для разрешения. Ни один из VNI не должен иметь никакого трафика, кроме соответствующей VLAN, а также не должен VXLAN-интерфейс разрешать трафик для VLAN, для которых он не настроен.

Вы действительно, действительно не хотите, чтобы кадры с any тегом VLAN, входящим в интерфейс доступа Ethernet 1 , Это может привести к проблемам безопасности, таким как переключение VLAN. Можно было бы надеяться, что кадры с тегами VLAN, входящие в интерфейс доступа, будут отброшены как неверные.

Кроме того, на интерфейсе Ethernet 2, switchport trunk allowed vlan 100,200 указывает, что все входящие кадры, кроме тех, которые помечены как VLAN 100 или VLAN 200, будут удалены, и не будут отправлены кадры, кроме тех, которые указаны в двух разрешенных VLAN. Фреймы, отмеченные другими номерами VLAN, будут удалены.

Интерфейс Vxlan 1 отправит и получит трафик для VLAN 100 и 200, как и интерфейс соединительной линии Ethernet 2

ответил Ron Maupin 17 FebruaryEurope/MoscowbFri, 17 Feb 2017 03:56:08 +0300000000amFri, 17 Feb 2017 03:56:08 +030017 2017, 03:56:08
0

Тег .1q не отправляется через границу L3, отображение выполняется при инкапсуляции и при декапсуляции. Это позволяет использовать перевод vlan или другие варианты использования, когда вы не согласны с номером vlan на каждом vtep на общий VNI. Подобно тому, что отмечали предыдущие комментаторы, для каждого vtep сопоставление vlan to vni составляет от 1 до 1.

В RFC 7348 6.1. Обработка тегов с внутренней VLAN

Обработка внутренней VLAN-метки в шлюзах VTEP и VXLAN должна соответствовать    следующее:

Декапсулированные кадры VXLAN с внутренним тегом VLAN ДОЛЖНЫ быть отброшены    если не указано иное. На стороне инкапсуляции VTEP    НЕ ДОЛЖНО включать внутренний тег VLAN в туннельные пакеты, если    в противном случае. Когда пакет с маркировкой VLAN является кандидатом на    Туннелирование VXLAN, инкапсулирующее VTEP СЛЕДУЕТ снимать тег VLAN    если не указано иное.

В подходах EVPN существуют методы для создания служб связывания vlan, которые ведут себя аналогично тому, что вы просите, но есть другой набор терминов для изучения и реализации на любой платформе, которую вы выбираете в отношении сервисов EVPN l2vpn.

Может быть, лучший способ сделать то, что вы ищете, используя, возможно, другую инкапсуляцию?

ответил ACE-A 4 +03002017-10-04T10:10:08+03:00312017bEurope/MoscowWed, 04 Oct 2017 10:10:08 +0300 2017, 10:10:08

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132