De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u VRF-lekken in een VXLAN-omgeving kunt configureren en verifiëren.
In een VXLAN (Virtual Extensible LAN)-omgeving is voor het aansluiten van VXLAN-hosts op externe hosts vanuit de fabric vaak het gebruik van VRF-lekkende en Border Leaf-apparaten vereist.
VRF-lekkage is van cruciaal belang voor de communicatie tussen VXLAN-hosts en externe hosts terwijl de netwerksegmentering en beveiliging behouden blijven.
Het Border Leaf-apparaat fungeert als een toegangspoort tussen de VXLAN-structuur en externe netwerken en speelt een centrale rol bij het faciliteren van deze communicatie.
Het belang van VRF-lekken in dit scenario kan worden samengevat met de volgende verklaringen:
Interconnectie met externe netwerken: VRF-lekken maakt VXLAN-hosts binnen de stof in staat om te communiceren met externe hosts buiten de stof. Dit maakt toegang tot bronnen, diensten en toepassingen mogelijk die worden gehost op externe netwerken, zoals het internet of andere datacenters.
Netwerksegmentatie en isolatie: VRF-lekken zorgt voor netwerksegmentatie en isolatie binnen de VXLAN-structuur terwijl selectieve communicatie met externe netwerken mogelijk is. Dit zorgt ervoor dat VXLAN-hosts geïsoleerd van elkaar blijven op basis van hun VRF-toewijzingen, terwijl ze toch toegang hebben tot externe bronnen als dit nodig is.
Beleidshandhaving: door het lekken van VRF kunnen beheerders netwerkbeleid en toegangscontroles afdwingen voor verkeer dat tussen VXLAN-hosts en externe hosts verloopt. Dit waarborgt dat de communicatie vooraf bepaald veiligheidsbeleid gebruikt en onbevoegde toegang tot gevoelige middelen verhindert.
Schaalbaarheid en flexibiliteit: VRF-lekken verbetert de schaalbaarheid en flexibiliteit van VXLAN-implementaties door VXLAN-hosts in staat te stellen naadloos te communiceren met externe hosts. Het maakt een dynamische toewijzing en het delen van resources tussen VXLAN en externe netwerken mogelijk en past zich aan de veranderende netwerkvereisten aan zonder bestaande configuraties te onderbreken.
Het filteren van routes in VRF (Virtual Routing and Forwarding) is essentieel voor het behoud van netwerkbeveiliging, het optimaliseren van routing-efficiëntie en het voorkomen van onbedoelde gegevenslekkage. VRF-lekken maakt communicatie tussen virtuele netwerken mogelijk terwijl ze logisch gescheiden blijven.
Het belang van het filteren van routes bij VRF-lekken is belangrijk kan worden samengevat met de volgende verklaringen:
Beveiliging: Filterroutes zorgen ervoor dat alleen specifieke routes tussen VRF-instanties worden uitgelekt, waardoor het risico van onbevoegde toegang of datalekken wordt beperkt. Door te controleren welke routes VRF-grenzen mogen overschrijden, kunnen beheerders beveiligingsbeleid afdwingen en voorkomen dat gevoelige informatie wordt blootgesteld aan onbevoegde entiteiten.
Isolatie: VRF's zijn ontworpen om netwerksegmentatie en isolatie te bieden, waardoor verschillende huurders of afdelingen onafhankelijk kunnen werken binnen dezelfde fysieke infrastructuur. Het filteren van routes in VRF-lekken helpt deze isolatie te behouden door het bereik van routedoorgifte tussen VRF-gevallen te beperken en onbedoelde communicatie en potentiële beveiligingskwetsbaarheden te voorkomen.
Geoptimaliseerde routing: door filtering van routes kunnen beheerders alleen de benodigde routes tussen VRF’s selectief lekken, waardoor de efficiëntie van de routing wordt geoptimaliseerd en onnodig verkeer in het netwerk wordt beperkt. Door irrelevante routes te filteren, kunnen beheerders ervoor zorgen dat het verkeer de meest efficiënte paden gebruikt en tegelijkertijd congestie en latentie minimaliseren.
Resourcemanagement: Door het filteren van routes kunnen beheerders de stroom van verkeer tussen VRF-instanties beheren, waardoor ze het resourcegebruik en de bandbreedte-toewijzing optimaliseren. Dit helpt netwerkcongestie te voorkomen en zorgt ervoor dat essentiële bronnen beschikbaar zijn voor prioritaire toepassingen of services.
Naleving: het filteren van routes in VRF-lekken helpt organisaties om de naleving van wettelijke vereisten en industriestandaarden te handhaven. Door het lekken van routes te beperken tot alleen bevoegde entiteiten, kunnen organisaties aantonen dat ze voldoen aan de regels voor gegevensbescherming en de integriteit van gevoelige informatie waarborgen.
Granulaire controle: Filterroutes biedt beheerders granulaire controle over de communicatie tussen VRF-instanties, zodat ze specifieke beleidslijnen kunnen definiëren op basis van hun unieke vereisten. Dankzij deze flexibiliteit kunnen organisaties hun netwerkconfiguraties aanpassen aan de behoeften van verschillende toepassingen, gebruikers of afdelingen.
Bestaande VXLAN-omgeving met een border-router
Cisco raadt kennis van de volgende onderwerpen aan:
Naam | Platform | Versie |
HOST-2 | N9K-C92160YC-X switch | 9.3(6) |
Blad-VPC-1 | N9K-C93180YC-EX | 9.3(9) |
Blad-VPC-2 | N9K-C93108TC-EX | 9.3(9) |
BLAD | N9K-C932D-GX2B switch | 10.2(6) |
BL | N9K-C9348D-GX2A switch | 10.2(5) |
EXT-R | N9K-C9348D-GX2A switch | 10.2(3) |
RUGGENGRAAT | N9K-C93108TC-FX3P | 10.1(1) |
"De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, zorg er dan voor dat u de mogelijke impact van elke opdracht begrijpt."
Als BGP een toepassing is, is BGP de toepassing die wordt gebruikt om lekkage tussen VRF’s uit te voeren
Dit voorbeeld Border VTEP (BL) ontvangt 172.16.120.55 van extern apparaat via OSFP in standaard VRF dat zal worden gelekt naar huurder VRF.
BL# sh ip route 172.16.120.55
IP Route Table for VRF "default"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.120.55/32, ubest/mbest: 1/0
*via 10.105.100.2, Eth1/41.2, [110/2], 00:00:10, ospf-1, intra
In NXOS is een routekaart vereist als parameter om routes te filteren en opnieuw te verdelen, bijvoorbeeld prefix 172.16.120.55/32 wordt gefilterd.
Opdracht of handeling |
Doel |
|
Stap 1 |
BL# terminal configureren Voer configuratie-opdrachten in, één per lijn. Einde met CNTL/Z. |
Hiermee gaat u de configuratiemodus in. |
Stap 2 |
BL (configuratie)# IP-prefixlijst VXLAN-VRF-standaard-to-huurvergunning 172.16.120.55/32 |
Maak een prefixlijst met bijbehorende host. |
Stap 3 |
BL (configuratie)# routekaart voor VXLAN-VRF-standaard-aan-huurder |
Routekaart maken |
Stap 4 |
BL (config-route-map)# overeenkomen met IP-adres prefix-lijst VXLAN-VRF-standaard-aan-huurder |
Overeenkomende voorvoegsel-lijst gemaakt in stap 2. |
Zodra wordt geverifieerd dat de route op standaardVRF bestaat, moet de route in een BGP-proces worden geïmporteerd.
Opdracht of handeling |
Doel |
|
Stap 1 |
BL# terminal configureren Voer configuratie-opdrachten in, één per lijn. Einde met CNTL/Z. |
Hiermee gaat u de configuratiemodus in. |
Stap 2 |
BL (configuratie)# router bgp 65000 |
Hiermee voert u BGP-configuratie in. |
Stap 3 |
BL (configuratie-router)#-adresfamilie ipv4-unicast |
Voer BGP-adressengroep IPV4 in. |
Stap 4 |
BL (config-router-af)# ospf 1 route-map VXLAN-VRF-standaard-aan-huurder opnieuw distribueren |
Verdeel route van OSPF naar BGP opnieuw met behulp van routekaart die in stap 3 is gemaakt. |
BL(config-router-af)# show ip bgp 172.16.120.55
BGP routing table information for VRF default, address family IPv4 Unicast
BGP routing table entry for 172.16.120.55/32, version 16
Paths: (1 available, best #1)
Flags: (0x000002) (high32 00000000) on xmit-list, is not in urib
Advertised path-id 1
Path type: redist, path is valid, is best path, no labeled nexthop
AS-Path: NONE, path locally originated
0.0.0.0 (metric 0) from 0.0.0.0 (172.16.0.5)
Origin incomplete, MED 2, localpref 100, weight 32768
Extcommunity: OSPF RT:0.0.0.0:0:0
Zodra de route in BGP is geïmporteerd, kan de route nu worden geïmporteerd om VRF (tenant-a) te bereiken.
Opdracht of handeling |
Doel |
|
Stap 1 |
BL (configuratie)# Vrf context tenant-a |
Hiermee voert u de VRF-configuratie in. |
Stap 2 |
BL (config-vrf)#-adresfamilie ipv4 unicast |
Stelt IPV4-adresfamilie in. |
Stap 3 |
BL (config-vrf-af-ipv4)# import-vrf standaardkaart VXLAN-VRF-standaard-aan-huurder advertenties-vpn |
Importeer route van standaard VRF naar gehuurde VRF-advertenties VPN |
Waarschuwing: standaard is het maximale aantal IP-prefixes dat vanuit de standaard-VRF kan worden geïmporteerd in een niet-standaard-VRF 1000 routes. Deze waarde kan met opdracht worden gewijzigd onder VRF-adresfamilie IPV4: import vrf <aantal prefixes> default map <route-map name> advertentie-vpn.
BL# sh bgp l2vpn evpn 172.16.120.55
BGP routing table information for VRF default, address family L2VPN EVPN
Route Distinguisher: 172.16.0.5:3 (L3VNI 303030)
BGP routing table entry for [5]:[0]:[0]:[32]:[172.16.120.55]/224, version 38
Paths: (1 available, best #1)
Flags: (0x000002) (high32 00000000) on xmit-list, is not in l2rib/evpn
Multipath: Mixed
Advertised path-id 1
Path type: local, path is valid, is best path, no labeled nexthop
Gateway IP: 0.0.0.0
AS-Path: NONE, path locally originated
172.16.0.5 (metric 0) from 0.0.0.0 (172.16.0.5)
Origin incomplete, MED 2, localpref 100, weight 32768
Received label 303030
Extcommunity: RT:65000:303030 ENCAP:8 Router MAC:20cf.ae54.fa3b
OSPF RT:0.0.0.0:0:0
Path-id 1 advertised to peers:
10.104.11.1
BL# sh ip route 172.16.120.55 vrf tenant-a
IP Route Table for VRF "tenant-a"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.120.55/32, ubest/mbest: 1/0
*via 172.16.0.5%default, [200/2], 00:02:47, bgp-65000, internal, tag 65000, segid: 303030 tunnelid: 0xac100005 encap: VXLAN
Dit voorbeeld Grens VTEP (BL) ontvangt route 192.168.10.11 via VXLAN op huurder-a VRF die zal worden gelekt om VRF in gebreke te blijven.
BL# sh ip route 192.168.10.11 vrf tenant-a
IP Route Table for VRF "tenant-a"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
192.168.10.11/32, ubest/mbest: 1/0
*via 172.16.100.10%default, [200/0], 01:15:04, bgp-65000, internal, tag 65000, segid: 303030 tunnelid: 0xac10640a encap: VXLAN
In NXOS is een routekaart vereist als parameter om routes te filteren en opnieuw te verdelen, bijvoorbeeld prefix 172.16.120.55/32 wordt gefilterd.
Opdracht of handeling |
Doel |
|
Stap 1 |
BL# terminal configureren Voer configuratie-opdrachten in, één per lijn. Einde met CNTL/Z. |
Hiermee gaat u de configuratiemodus in. |
Stap 2 |
BL (configuratie)# IP-prefixlijst VXLAN-VRF-tenant-to-default vergunning 192.168.10.11/32 |
Maak een prefixlijst met bijbehorende host. |
Stap 3 |
BL (configuratie)# routekaart voor VXLAN-VRF-tenant-to-default |
Routekaart maken |
Stap 4 |
BL (config-route-map)# overeenkomende IP-adresprefix-lijst VXLAN-VRF-Tenant-to-default |
Overeenkomende voorvoegsel-lijst gemaakt in stap 2. |
Aangezien de route al op het BGP L2VPN-proces staat, hoeft deze alleen nog maar naar de standaard VRF te worden geëxporteerd.
Opdracht of handeling |
Doel |
|
Stap 1 |
BL# terminal configureren Voer configuratie-opdrachten in, één per lijn. Einde met CNTL/Z. |
Hiermee gaat u de configuratiemodus in. |
Stap 2 |
BL (configuratie)# Vrf context tenant-a |
Hiermee voert u de VRF-configuratie in. |
Stap 3 |
BL (config-vrf)#-adresfamilie ipv4 unicast |
Voer IPV4 in voor de VRF-adresfamilie. |
Stap 4 |
BL (config-vrf-af-ipv4)# exportvrf standaardkaart VXLAN-VRF-Tenant-to-default allow-vpn |
Exporteer route van huurder VRF naar standaardwaarde VRF waarbij VPN is toegestaan |
Waarschuwing: standaard is het maximale aantal IP-prefixes dat vanuit de niet-standaard VRF kan worden geëxporteerd naar een standaard-VRF gelijk aan 1000 routes. Deze waarde kan met opdracht worden gewijzigd onder VRF-adresfamilie IPV4: export vrf default <aantal prefixes> map <route-map name> allow-vpn.
BL(config-router-vrf-neighbor)# sh ip bgp 192.168.10.11
BGP routing table information for VRF default, address family IPv4 Unicast
BGP routing table entry for 192.168.10.11/32, version 55
Paths: (1 available, best #1)
Flags: (0x8000001a) (high32 00000000) on xmit-list, is in urib, is best urib route, is in HW
Advertised path-id 1
Path type: internal, path is valid, is best path, no labeled nexthop, in rib
Imported from 172.16.0.5:3:192.168.10.11/32 (VRF tenant-a)
Original source: 172.16.100.1:32777:[2]:[0]:[0]:[48]:[0027.e380.6059]:[32]:[192.168.10.11]/272
AS-Path: NONE, path sourced internal to AS
172.16.100.10 (metric 45) from 10.104.11.1 (192.168.0.11)
Origin IGP, MED not set, localpref 100, weight 0
Received label 101010 303030
Extcommunity: RT:65000:101010 RT:65000:303030 SOO:172.16.100.10:0 ENCAP:8
Router MAC:70db.9855.f52f
Originator: 172.16.100.1 Cluster list: 192.168.0.11
Path-id 1 not advertised to any peer
BL(config-router-vrf-neighbor)# show ip route 192.168.10.11
IP Route Table for VRF "default"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
192.168.10.11/32, ubest/mbest: 1/0
*via 172.16.100.10, [200/0], 00:03:51, bgp-65000, internal, tag 65000, segid: 303030 tunnelid: 0xac10640a encap: VXLAN
Tenant-VRF to Default VRF
Dit voorbeeld nexus LEAF ontvangt route 172.16.120.55/32 tenant-a die zal worden uitgelekt naar VRF tenant-b
show ip route 172.16.120.55/32 vrf tenant-a
IP Route Table for VRF "tenant-a"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.120.55/32, ubest/mbest: 1/0
*via 172.16.0.5%default, [200/2], 4d02h, bgp-65000, internal, tag 65000, segid: 303030 tunnelid: 0xac100005 encap: VXLAN
Om routes te filteren zijn twee stappen nodig, de filtering tussen VRF's zijn gedaan via Route Targets (RT), RT is conformed door <BGP Process ID>:L3VNI ID> en het filteren van specifieke subnetten. Indien de tweede stap niet wordt gebruikt, zullen alle routes van de bron worden uitgelekt naar de bestemming VRF.
LEAF# show nve vni
<Snipped>
Interface VNI Multicast-group State Mode Type [BD/VRF] Flags
--------- -------- ----------------- ----- ---- ------------------ -----
nve1 50500 n/a Up CP L3 [tenant-b]
nve1 101010 224.10.10.10 Up CP L2 [10]
nve1 202020 224.10.10.10 Up CP L2 [20]
nve1 303030 n/a Up CP L3 [tenant-a]
LEAF# show run bgp | include ignore-case router
router bgp 65000
router-id 172.16.0.2
Bij dit voorbeeld staat Route Target gelijk aan: 65000:303030 en route 172.16.120.55/32 wordt gefilterd.
Opdracht of handeling |
Doel |
|
Stap 1 |
LEAF# configureer terminal Voer configuratie-opdrachten in, één per lijn. Einde met CNTL/Z. |
Hiermee gaat u de configuratiemodus in. |
Stap 2 |
LEAF (config)# ip prefix-lijst filter-tenant-a-to-tenant-b vergunning 172.16.120.55/32 |
Maak een prefixlijst met bijbehorende host. |
Stap 3 |
LEAF (configuratie)# routekaart tenantA-to-tenantB |
Routekaart maken |
Stap 4 |
LEAF (config-route-map)# overeenkomen met ip-adres prefix-listfilter-tenant-a-to-tenant-b |
Overeenkomende voorvoegsel-lijst gemaakt in stap 2. |
Zodra RT is geïdentificeerd en filtering is geconfigureerd, kan de route worden geïmporteerd naar bestemming VRF (tenant-b)
Opdracht of handeling |
Doel |
|
Stap 1 |
LEAF# configureer terminal Voer configuratie-opdrachten in, één per lijn. Einde met CNTL/Z. |
Hiermee gaat u de configuratiemodus in. |
Stap 2 |
LEAF (configuratie)# Vrf context tenant-b |
Hiermee voert u de VRF-configuratie in. |
Stap 3 |
LEAF (configuratie-vrf)#-adresfamilie ipv4-unicast |
Voer IPV4 in voor de VRF-adresfamilie. |
Stap 4 |
LEAF (config-vrf-af-ipv4)# importkaart tenantA-to-tenantB |
Route-filter importeren op basis van routekaart |
Stap 5 |
LEAF (config-vrf-af-ipv4)# route-doel 65000:303030 |
Routedoel importeren |
Stap 6 |
LEAF (config-vrf-af-ipv4)# route-doel 65000:303030 evpn |
Routedoel-evpn importeren |
Waarschuwing: het niet gebruiken van een importkaart kan toestaan dat alle routes van oorsprong VRF lekken hen om VRF te richten. Door het gebruik van invoerkaarten kunnen de uitgelekte routes worden gecontroleerd.
LEAF(config-vrf-af-ipv4)# show ip bgp 172.16.120.55/32 vrf tenant-b
BGP routing table information for VRF tenant-b, address family IPv4 Unicast
BGP routing table entry for 172.16.120.55/32, version 311
Paths: (1 available, best #1)
Flags: (0x8008021a) (high32 00000000) on xmit-list, is in urib, is best urib route, is in HW
vpn: version 456, (0x00000000100002) on xmit-list
Advertised path-id 1, VPN AF advertised path-id 1
Path type: internal, path is valid, is best path, no labeled nexthop, in rib
Imported from 172.16.0.5:3:[5]:[0]:[0]:[32]:[172.16.120.55]/224
AS-Path: NONE, path sourced internal to AS
172.16.0.5 (metric 45) from 10.101.11.1 (192.168.0.11)
Origin incomplete, MED 2, localpref 100, weight 0
Received label 303030
Extcommunity: RT:65000:303030 ENCAP:8 Router MAC:20cf.ae54.fa3b
OSPF RT:0.0.0.0:0:0
Originator: 172.16.0.5 Cluster list: 192.168.0.11
VRF advertise information:
Path-id 1 not advertised to any peer
VPN AF advertise information:
Path-id 1 not advertised to any peer
LEAF# show ip route 172.16.120.55/32 vrf tenant-b
IP Route Table for VRF "tenant-b"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.120.55/32, ubest/mbest: 1/0
*via 172.16.0.5%default, [200/2], 00:00:08, bgp-65000, internal, tag 65000, segid: 303030 (Asymmetric) tunnelid: 0xac100005 encap: VXLAN
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
16-Feb-2024 |
Eerste vrijgave |