VPLS без реален хардуер

Мрежа, ISP

Доскоро, за да практикувате настройка и отстраняване на проблеми с VPLS, трябваше да се справите с реално оборудване (с изключение на x86 версията на Mikrotik) или да наемете лаборатории на други хора за известно време. В края на 2013 г. - началото на 2014 г. ситуацията се промени с пускането на Cisco CSR1000V (IOS-XE 3.10S) и Juniper Firefly Perimeter (JunOS 12.1X46-D10.2), известен още като vSRX.

CSR1000V поддържа напълно VPLS. За да се запознаете със самата технология, най-добре е да използвате точно този виртуален рутер.

vSRX в ограничена (но достатъчна) форма, а именно превключване между псевдопроводници и локален подинтерфейс се поддържа, като се вземе предвид таблицата за превключване на VPLS. Превключването между локални подинтерфейси не се поддържа, нито превключването между псевдопроводници.

След това ще говорим за това как да стартирате и накарате споменатите виртуални рутери да работят нормално на хипервайзора ESXi 5.5

За да стартирате ESXi 5.5, ще ви трябва специален компютър със сравнително нормален процесор (нещо като Intel i5) и поне 6GB RAM. Инсталирането се извършва в стила Next-Next-Next, всеки може да се справи с него.

За написването на статията е използвана версията на ESXi 5.5.0 (r1623387) Free, управлявана директно през vSphere Client. За да работи vSphere Client на Windows XP/2003(x86), трябва да се инсталира корекция 351385_ENU_i386_zip.exe (вижте VMWare KB2049143)

Безплатната версия на ESXi е неудобна само защото е невъзможно да препратите порта на конзолата през telnet, но това не причинява много неудобства, на всяка виртуална машина можете да направите порт за управление и да управлявате чрез него с помощта на telnet / ssh (в противен случай ще трябва да управлявате чрез виртуален монитор).

Cisco CSR1000V

Този продукт е комерсиален, но има пробен период (60 дни), впо време на който е налична цялата функционалност. Използваното изображение беше „csr1000v-universalk9.03.11.01.S.154-1.S1-std-C1-M2560-N3-DS8.ova“. Внедряването се извършва чрез (vSphere Client) File->Deploy OVF Template. Минималният необходим размер на RAM е 2,5 GB.

Веднага след стартиране на виртуалната машина ще се появи 2-точков grub bootloader. 1-ва е виртуална конзола - управление чрез виртуален монитор (ако нямате ESXi лиценз за препращане на com порт) и 2-ра е серийна конзола - първоначалната конфигурация ще бъде възможна само през сериен порт (необходим е ESXi лиценз). Превключването между сериен и виртуален режим се извършва с командата “platform console serialvirtual”.

След процеса на инсталиране на софтуера на HDD на виртуалната машина ще се появи подкана:

Ние отговаряме с не, изчакайте и (ако искате да използвате пробния период) изпълнете командите:

След рестартирането можете да започнете да конфигурирате.

Периметър на хвойнова светулка

Подобно на CSR1000V, този продукт е комерсиален, но има пробен период (60 дни), през който е налична необходимата функционалност. Използваното изображение беше „junos-vsrx-12.1X46-D10.2-domestic.ova“. Внедряването се извършва чрез File->Deploy OVF Template. За разлика от CSR1000V, първоначалната конфигурация може да се извърши както през виртуален монитор, така и през сериен порт (но отново с ESXi лиценз). Минималният необходим размер на RAM е 1 GB.

След стартиране на VM, софтуерът (FreeBSD и JunOS) ще бъде инсталиран на HDD на виртуалната машина. В края на инсталацията ще се появи стандартната подкана на Juniper:

Влизането е root, без парола. Влизаме във FreeBSD, веднага отиваме в JunOS с командата cli, след това в режим на конфигуриране (команда за конфигуриране). Сега трябва да завъртитетази защитна стена в mpls рутера със следните команди:

След рестартирането можете да продължите с конфигурацията. Ако след всеки комит той ще ругае промяната на mpls режима, не обръщайте внимание, това вероятно е козметичен дефект.

Този продукт също е комерсиален и има пробен период от 24 часа, през който е налична цялата функционалност. Предназначен е не само да работи като виртуален рутер, но и да се инсталира директно на сървъра (без хипервайзор).

При подготовката на статията е използван инсталационният образ “mikrotik-6.11.iso”. Той се внедрява чрез създаване на нова виртуална машина (x86, 256MB RAM, 1 vCPU, (!) IDE (не SCSI) HDD) и инсталиране от виртуален cdrom по абсолютно същия начин, както ако сте инсталирали традиционна операционна система (например Windows) от iso изображение. Инсталиране в стил меню (когато избирате пакети, маркирайте за инсталиране: система, mpls, маршрутизиране). Управлението е възможно както чрез виртуален монитор, така и през сериен порт (и отново, ако имате ESXi лиценз за тази функция)

След инсталирането ще се появи подкана. Вход администратор, паролата е празна.

Създаване и конфигуриране на vSwitch

vpls

VPLS има две особености по отношение на връзките между мрежовите интерфейси на виртуалните рутери. Първоначално „проблемът“ е, че не можете просто да вземете и „свържете“ портовете на виртуалните машини. Превключването на мрежовите интерфейси на виртуалните машини се осъществява чрез виртуални комутатори ("вграден" VMware vSwitch или "алтернативен" Cisco Nexus). Тази бележка се занимава с vSwitch.

Първата функция (не само VPLS, но и MPLS като цяло) е необходимостта от увеличаване на MTU на транзитния превключвател (който е vSwitch), тази задача винаги се решава тривиално - увеличаване на MTU в настройките на превключвателя. В настройките на vSwitch има опцияувеличение на MTU. Тук няма какво да обсъждаме.

PE-CE ключове

За да създадете vSwitch, трябва да отидете в настройките (!) на хост машината->Configuration->Networking->Add Networking, изберете Тип връзка: Виртуална машина, След това изберете Създаване на стандартен превключвател vSphere, След това задайте името на превключвателя (мрежов етикет), например sw3-6 (между PE3 и CE6), задайте Vlan ID 4095 (пропуснете всички тагове dot1Q), След това, Край. Не е необходимо да свързвате този vSwitch с портове на хост машината. След това трябва да активирате безразборния режим, за да направите това, отидете на Properties на превключвателя:

След това изберете vSwitch, Edit, отидете на раздела Security и променете Promiscuous Mode от Reject на Accept, OK, ако бъдете попитани за липсващи портове, отговорете Yes, Close.

реален

Превключватели PE-PE

PE-PE превключвателите се създават подобно на PE-CE, със следните разлики: – VLAN ID може да бъде пропуснат (оставете None (0)), тъй като на PE-PE връзките dot1Q не се изисква на второ ниво (ако има dot1Q тагове някъде, то вече е вътре в рамката и няма значение за vSwitch) – promiscuous режим може да бъде пропуснат. Ако искате да видите трафика, тогава можете да използвате VM с „нормална“ операционна система като CE и tcpdump/wireshark – За нормална работа на VPLS трябва да увеличите MTU (например задайте стойността на 1600). Това се прави почти на същото място, където е включен безразборният режим, само не в раздела Сигурност, а като цяло

Свързване на VM към комутатори

Свързването на VM портове към комутатори се извършва в настройките на VM. В примера PE1 изглежда така:

реален

CE устройства

Като CE устройства, най-лесният начин е да използвате някаква дистрибуция на живо на Linux с обширен набор от предварително инсталиран мрежов софтуер. Например Kali Linux.

Най-накрая всичко е готово, можете да преминете директно към конфигурациятаPE рутери. Вероятно би било погрешно да започнем да говорим за IGP, MPLS и VPLS сигнализация в рамките на тази бележка, така че просто прикачвам готови конфигурации за всичките 3 PE. Конфигурациите са опростени доколкото е възможно, избрани са най-консервативните протоколи: ospf се използва като IGP, LDP за MPLS транспортен етикет и LDP за VPLS етикет (Martini VPLS).

Превключване на таблици (след стартиране на ping между CE):

За да направя красива картина с трафик (с два mpls-тага), поради липсата на P-рутери, трябваше да блокирам връзката PE1-PE3 и да премахна трафика между PE2 и PE3. Екранната снимка показва icmp трафик между CE6(IP 198.51.100.6) и CE4(IP 198.51.100.4), преминаващ по пътя CE6->PE3->PE2->PE1->CE4: