我在上面的设计中有几个问题,我有典型的 clos 网络设计,并且我的叶子配置为 Cisco vPC 以实现重联和任播网关,并使用 ASN 65000 为底层运行 OSPF,为覆盖运行 BGP
问题:
通过使用border-leaf连接ISP进行互联网访问的最佳方法是什么eBGP,vPC是更好的解决方案还是没有vPC(有什么优点或缺点?)
如果我的覆盖 BGP 使用 ASN 65000(私有)并且现在我想使用我的 IANA 注册 ASN 连接到 ISP/Internet,在这种情况下,我如何使用 eBGP 对等方与 ISP 对等边界叶?因为我已经在边界叶上运行了 bgp 65000 进程?
VPC是一种实现L2多宿主的机制。使用 eBGP 连接到 ISP 在很大程度上是一项 L3 练习 - 因此,您最好只建立与另一个叶子的第二个对等互连。这是一种更可扩展且更简单的建立连接的机制。将 VPC(或实际上任何 mLAG)留给双附加终端主机并连接到旧网络。
从 EVPN 边界叶对等到 ISP 路由器看起来与正常的 BGP 连接没有太大不同,并且将在标准 L3 接口上的 VRF 内终止(即不是为任播配置的 SVI)。您将使用该local-as命令来标识您的公共 ASN。您从上游对等方接收到的路由将作为类型 5 EVPN 路由重新发起,指向结构中承载相关 vrf 的其他 VTEP(阅读:正在导入适当的路由目标)。
现在——说了这么多——你是否想在 VRF 中传播一个完整的视图是另一个问题。这是绝对可能的,但更典型的设计将有一系列专用边界设备处理完整视图并注入默认值(或默认值加上一些特定的路由集)。简而言之,是否真的有必要在仅连接一堆服务器的叶子上的 vrf 内携带 700K+ 路由?不过,这并不是关于 EVPN 的真正意义——在经典的 IP 环境、MPLS 等中同样适用。
关于 ASN,您有很多选择。最简单的选择是将 ASN 65000 视为 ASN 98765 的下游私有 ASN 客户,接受来自它的 Internet 绑定路由,宣布到它的默认(或 DFZ,如果你必须)路由,remove-private当你将它们导出到您的中转站。
在复杂性规模的另一端是联盟,因此 65000 是 98765 的子。这可能使网络拓扑更容易理解,并且路由协议更容易表达,同时避免一些与 MPLS 相关的障碍,以防万一在两个 ASN 之间传输标记的 VPN 或 INET 流量。除非您的网络大幅扩展,否则我个人不会这样做。
我假设您正在考虑的替代方案是不对这对边界路由器使用 vPC,而是分别配置/管理它们。
单独的边界路由器是我对边界角色的建议,因为两个单独管理的路由器通常由于错误或软件/硬件升级复杂性而同时发生故障的可能性较小。
在边界角色中,您从 vPC/StackWise/etc 等技术中获得的优势较少,因为很可能所有相邻路由器都使用路由协议。MLAG 或 StackWise+EtherChannel 之类的好处并不存在。您也没有尝试在避免 STP 的同时提供 L2。您为 vPC 支付了所有 MTBF 和 MTTR 罚金,但没有获得它在其他角色(例如架顶式)中所带来的大部分优势。
我希望这有帮助。