问题描述:
首先是“EVPN配置指导”中的问题,见下方组网及组网描述 :
第二个就是实际应用中的问题:
在没有启用evpn的前提下,已经启用了vpn-instance进行了本地的路由隔离,每个vpn-instance下存在多个网关,多个网关均需要与异局打通二层,并用VLAN隔离减小广播域;
现在启用evpn,每个vxlan隧道需要一个独立的vpn-instance,这样将原来的同一vpn-instance的多个网关,需要用多个vpn-instance进行了划分,导致原来直接可用通讯的业务,无法正常通讯了。
请问,在一个vpn-instance,是否可以完成多个vxlan隧道的打通(在evpn组网的情况)。
第三个问题,原本没有VPN的业务,需要通过evpn+vlan打通异局二层互通,导致绑定了vpn-instance,这样导致与原业务路由进行了隔离,如何最简单的方式,把这部分动态路由引入原路由表。
第四个问题,evpn分布式网关中,由于双活网关的存在,发布路由的时候,进入的流量会有限最近的路径进入,可能会出现异局进,本局出的来去路径不一致的问题,有没有动态发布本局下带的业务地址,防止这种异局进,本局出这种流量,因为出口有防火墙,这种来去路径不一致,可能会导致防火进行数据流拦截。
第五个问题,在非全网BGP当前组网情况下,如何将evpn产生的路由,动态引入到其他的路由协议中去。
组网及组网描述:
组网为标准的案例组网
http://www.h3c.com.cn/cn/d_202107/1426185_30005_0.htm#
中的“2.20.2 对称IRB方式分布式EVPN网关配置举例(IPv4网络)”
其中配置以下内容:
# 配置VSI虚接口VSI-interface1。
[SwitchA] interface vsi-interface 1
[SwitchA-Vsi-interface1] ip binding vpn-instance vpna
[SwitchA-Vsi-interface1] ip address 10.1.1.1 255.255.255.0
[SwitchA-Vsi-interface1] mac-address 1-1-1
[SwitchA-Vsi-interface1] distributed-gateway local
[SwitchA-Vsi-interface1] local-proxy-arp enable
[SwitchA-Vsi-interface1] quit
# 配置VSI虚接口VSI-interface2。
[SwitchA] interface vsi-interface 2
[SwitchA-Vsi-interface2] ip binding vpn-instance vpna
[SwitchA-Vsi-interface2] ip address 10.1.2.1 255.255.255.0
[SwitchA-Vsi-interface2] mac-address 2-2-2
[SwitchA-Vsi-interface2] distributed-gateway local
[SwitchA-Vsi-interface2] local-proxy-arp enable
[SwitchA-Vsi-interface2] quit
# 创建VSI虚接口VSI-interface3,在该接口上配置VPN实例vpna对应的L3VNI为1000。
[SwitchA] interface vsi-interface 3
[SwitchA-Vsi-interface3] ip binding vpn-instance vpna
[SwitchA-Vsi-interface3] l3-vni 1000
[SwitchA-Vsi-interface3] quit
# 配置VXLAN 10所在的VSI实例和接口VSI-interface1关联。
[SwitchA] vsi vpna
[SwitchA-vsi-vpna] gateway vsi-interface 1
[SwitchA-vsi-vpna] quit
# 配置VXLAN 20所在的VSI实例和接口VSI-interface2关联。
[SwitchA] vsi vpnb
[SwitchA-vsi-vpnb] gateway vsi-interface 2
[SwitchA-vsi-vpnb] quit
问题1:
其中interface vsi-interface 2绑定的vpn-instance是不是应该是vpnb
问题2:
另外,interface vsi-interface 3,根本没有在示例中体现,看不出来这个接口是做什么用的,没有IP,仅绑定VPN(vpna)及l3-vni 1000,其中这个l3-vni 1000参数关联的是那个参数,在配置中也看不出来,在三个设备上统一即可么?
其中知识库https://zhiliao.h3c.com/questions/dispcont/120984
给出说明影响路由发布,但是l3-vni这个参数说要配置在网关上,但是实际上,interface vsi-interface 3上并没有业务,也没有IP,这个网关是怎么定义?
- 2021-08-29提问
- 举报
-
(0)
最佳答案
1、看案例看清楚,里面从头到尾都只有一个vpn实例,是有个vsi vpnb
2、L3 VNI,三层转发用的,不需要配置IP,同一个业务网段使用一个l3 vni,需要配置成一样的
3、可以
4、静态或者动态路由协议都行
5、双活网关存在这种可能性, 但是一般情况下DR系统不会直接连FW,至少得再连一个三层设备吧,如果直接连FW交换机上无法保证流量从哪个口上进来
6、improt直接引入就行
- 2021-08-29回答
- 评论(2)
- 举报
-
(0)
2、L3 VNI是三层转发用的,但是vsi-interface 3是什么用处,随便在一个interface vsi-interface 3下绑定就可以么? 没有配置这个的时候,vsi-interface 1和普通的vpn接口路由也是可以ping通的。 6、 # bgp 200 ip vpn-instance vpna # address-family ipv4 unicast network 10.1.1.0 255.255.255.0 # ospf 1 vpn-instance vpna import-route bgp allow-ibgp type 1 import-route bgp type 1 两种方式都没有引入bgp成功,查看bgp vpnv4路由表显示正常,查看vpna路由,没有引入成功,如果直接在ospf下,直接network,可以正常传递,是否是在那有遗漏数据配置,或者改路由优先级?
2问题已解决 6问题引入其他协议已解决,但出现了新问题, 由于使用了 l3-vni 1000,导致A数据中心学到了B数据中心本地活动地址/32的bgp路由,而非A数据中心本地活动地址/32的路由并未生成,将bgp路由引入到ospf中后,导致本地业务地址段没有发布出去,反而将对端数据中心的/32位的明细路由发布了出去,导致回答的5问题中的来去路径不一致的随机发生,变成必然发生。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
2问题已解决 6问题引入其他协议已解决,但出现了新问题, 由于使用了 l3-vni 1000,导致A数据中心学到了B数据中心本地活动地址/32的bgp路由,而非A数据中心本地活动地址/32的路由并未生成,将bgp路由引入到ospf中后,导致本地业务地址段没有发布出去,反而将对端数据中心的/32位的明细路由发布了出去,导致回答的5问题中的来去路径不一致的随机发生,变成必然发生。