O protocolo OSPF suporta a Autenticação para estabelecimento de adjacência com vizinhos. O Processo incrementa segurança ao Roteamento Dinâmico com troca de chaves em MD5.
Para ativarmos a Autenticação é necessário informar qual a Área OSPF utilizará a Autenticação e precisaremos habilitar a chave na Interface que formará a adjacência.
Configurando
Segue abaixo a configuração dos Switches.
SwitchA
ip routing
key-chain "ospf_aruba"
key-chain "ospf_aruba" key 1 key-string "it_net"
router ospf
area backbone
redistribute connected
redistribute static
enable
exit
vlan 32
ip address 10.168.32.133 255.255.255.252
ip ospf 10.168.32.133 area backbone
ip ospf 10.168.32.133 md5-auth-key-chain "ospf_aruba"
exit
vlan 10
ip address 10.10.10.1 255.255.255.0
ip ospf 10.10.10.1 area 10
SwitchB
ip routing
key-chain "ospf_aruba"
key-chain "ospf_aruba" key 1 key-string "it_net"
router ospf
area backbone
redistribute connected
redistribute static
enable
exit
vlan 32
ip address 10.168.32.134 255.255.255.252
ip ospf 10.168.32.134 area backbone
ip ospf 10.168.32.134 md5-auth-key-chain "ospf_aruba"
exit
Verificando o estabelecimento de vizinhança
SwitchA# sh ip ospf neighbor
OSPF Neighbor Information
Rxmt Helper
Router ID Pri IP Address NbIfState State QLen Events Status
--------------- --- --------------- --------- -------- ----- ------ ------
10.168.32.133 1 10.168.32.134 DR FULL 0 7 None
O Ethernet Virtual Private Network (EVPN) é uma tecnologia
VPN de Camada 2 VPN que fornece conectividade entre dispositivos tanto em
Camada 2 como para Camada 3 através de uma rede IP. A tecnologia EVPN utiliza o
MP-BGP como plano de controle (control plane) e o VXLAN como plano de
dados/encaminhamento (data plane) de um switch/roteador. A tecnologia é
geralmente utilizada em data centers em ambiente multitenant ( com
múltiplos clientes e serviços) com grande tráfego leste-oeste.
A configuração do EVPN permite ao MP-BGP automatizar a
descoberta de VTEPs, assim como o estabelecimento de tuneis VXLAN de forma
dinâmica, a utilização de IRB (Integrated Routing and Bridging) anuncia
tanto as informações de Camada 2 e 3
para acesso ao host, fornecendo a utilização do melhor caminho através do ECMP
e minimizando flood do trafego multidestination (BUM: broadcast,unicast
unknown e multicast) .
Em resumo o EVPN possui um address Family que permite
que as informações de MAC, IP, VRF e VTEP sejam transportadas sobre o MP-BGP, que
assim permitem aos VTEPs aprender informações sobre os hosts (via ARP/ND/DHCP
etc.).
O BGP EVPN distribui e fornece essa informação para todos os
outros pares BGP-EVPN dentro da rede.
Relembrando o VXLAN
O VXLAN prove uma rede de camada 2 sobreposta (overlay) em
uma rede de camada 3 (underlay). Cada rede sobreposta é chamada de segmento
VXLAN e é identificada por um ID único de 24 bits chamado VNI – VXLAN
Network Identifier ou VXLAN ID.
A identificação de um host vem da combinação do endereço MAC
e o VNI. Os hosts situados em VXLANs
diferentes não podem comunicar entre si (sem a utilização de um roteador). O
pacote original enviado por um host na camada 2 é encapsulado em um cabeçalho
VXLAN que inclui o VNI associado ao segmento VXLAN que aquele host pertence.
Os equipamentos que transportam os tuneis VXLAN são chamados
de VTEP (VXLAN tunnel endpoints).
Quando um VXLAN VTEP ou tunnel endpoint comunica-se
com outros VXLAN VTEP, um túnel VXLAN é estabelecido. Um túnel é meramente um
mecanismo de transporte através de uma rede IP.
Todo o processamento VXLAN é executado nos VTEPs. O VTEP de
entrada encapsula o tráfego com cabeçalho VXLAN, mais um cabeçalho UDP externo ,
mais um cabeçalhos IP externo, e então encaminha o tráfego por meio de túneis
VXLAN. O VTEP do destino remove o encapsulamento VXLAN e encaminha o tráfego
para o destino.
Os dispositivos da rede IP de transporte encaminham o
tráfego VXLAN apenas com base no cabeçalho IP externo dos pacotes VXLAN (eles
não precisam ter suporte à tecnologia VXLAN).
Um outro ponto importante é que a tecnologia VXLAN supera as
limitações de apenas 4 mil domínios de broadcast fornecido por VLANs para até
16 milhões de domínios de broadcast com VNIs. Já para as limitações do Spanning-Tree
que coloca os caminhos redundantes em estado de bloqueio, a tecnologia VXLAN
permite a construção de todos os uplinks como parte de um backbone IP
(rede underlay), utilizando protocolos de roteamento dinâmico para
escolha do melhor caminho ao destino, assim fazendo uso do ECMP (Equal Cost
Multipath) em uma topologia Spine-Leaf, por exemplo.
BGP EVPN
O BGP EVPN difere do comportamento “Flood and Learn”
executado por tuneis VXLANs em diversas maneiras. Enquanto o tráfego multidestination
(BUM: broadcast,unicast unknown e multicast) encaminhado pelo
VXLAN sem o BGP EVPN necessita de utilizar grupos multicast, o EVPN permite a
replicação da identificação dos dispositivos finais com o MP-BGP , assim como
as informações do VTEP que ele está associado. As comunicações ARP para IPv4
também pode ser suprimida, aprimorando assim a eficiência do transporte dos
dados.
LAB
No laboratório abaixo utilizamos os roteadores HP VSR no release
R0621P18-X64, no EVE-NG.
Ambos os Spines estão configurados como VTEP e encaminharão
o tráfego do VXLAN VNI 10. A instancia criada para esse cliente, chamamos de ‘clientea’.
O Spine está configurado como BGP Router Reflector
fechando peerring com ambos Leafs. Nenhum Leaf fecha peering
BGP entre si, somente como Spine.
Nesse vídeo falamos sobre conceitos básicos de roteamento como a tabela de roteamento, rotas estáticas, rotas dinâmicas, rota padrão, distância administrativa, balanceamento, etc.
A utilização de VRF (Virtual Routing and Forwarding) permite a criação de tabelas de roteamentos virtuais em Switches e Roteadores, independentes da tabela de roteamento “normal”(geralmente chamada de tabela de roteamento global [Global Routing Table]).
Da mesma forma como a utilização de VLANs em Switches Ethernet permitem a divisão de dominios de broadcasts e mapeamentos da tabela MAC, a utilização de VRF permite a virtualização da tabela de roteamento. Nos Switches e Roteadores utilizando o Sistema Operacional Comware (3Com, H3C e HPN) a feature é chamada de “vpn-instance“.
A tabela de roteamento possui registro dos destinos para encaminhamento dos pacotes. As rotas podem ser aprendidas manualmente (rotas estáticas ou redes diretamente conectadas) e dinamicamente (aprendidos via protocolo de roteamento dinâmico como OSPF, BGP,etc).
Nesse vídeo faremos uma breve descrição do funcionamento, aprendizado e escolha das rotas por um Roteador.
A utilização de PBR, policy-based routing, permite ao engenheiro de rede alterar o comportamento padrão de roteamento baseando-se em diferentes critérios ao invés de somente a rede de destino, incluindo o endereço de rede de origem, endereços TCP/UDP de origem e/ou destino, tamanho do pacote, pacotes classificados com fins de QoS, etc.
Um prefixo ‘bogon’ é uma rota que nunca deve aparecer na tabela de roteamento da Internet. Um pacote roteado pela Internet pública nunca deve ter um endereço de origem em um intervalo ‘bogon'(não incluindo VPNs ou outros tipos túneis). Estes são geralmente encontrados como endereços de origem de ataques DDoS.
A equipe 6Bogon mantém recomendações atualizadas para Filtro de Pacotes e para Filtro de rotas IPv6 para xSP, descrevendo as recomendações para filtragem de pacotes e filtragem de rotas para uso em roteadores de borda que falam IPv6 em/com xSPs. Continue reading →
Galera, segue abaixo um pequeno resumo sobre a nomenclatura utilizada nas documentações Cisco x HP sobre o assunto VRF. Acredito que possa ajudar de forma rápida a entender alguns conceitos:
VRF: Virtual Routing and Forwarding
A utilização de VRFs (Virtual Routing and Forwarding) em Roteadores permite a criação de tabelas de roteamentos virtuais que trabalham de forma independente da tabela de roteamento “normal”, protegendo os processos de roteamento de cada cliente de forma individual. Utilizado em cenários MPLS L3VPN com MP-BGP.
VRF Lite
A mesma funcionalidade que a VRF para criação de tabelas de roteamento independentes, mas nomeado para cenários sem MPLS L3VPN. Chamado também de Multi-VRF.
VPN-Instance
Termo utilizado nas documentações HP para VRF no Comware.
MCE (Multi CE)
Termo utilizado nas documentações HP para VRF-Lite.