这就是我正在尝试设计的新网络,这只是在纸上没有最终确定,我相信它有很多问题,比如防火墙应该在叶子而不是边界叶子等。所以这就是为什么我在这里清除所有这些疑虑. 我有以下与脊叶设计相关的问题。
anycast gateway在这种情况下使用这种设计,叶子将是我连接到该叶子的所有主机的边缘网关,那么如何通过防火墙Host-A将流量发送到?Host-B首先,您有 6 个开关,但您成对命名它们。如果这些交换机没有堆叠,只需使用leaf-1 到leaf -4 和boarder leaf-1 boarder-leaf 2。更好的表示法。我假设您正在考虑在拓扑中使用 eVPN。
您可以使用建议的所有拓扑作为第 2 层网络,不使用任何 VLAN IP 地址,并将网关设置为 ASA IP 地址。这称为集中式模型,其中路由是通过选定的节点或设备完成的。
好的一面:您的配置将非常简单。您只需铺设 VXLAN 隧道即可开始使用。事实上,您可以在防火墙上进行所有路由以进出拓扑。
坏的一面:任何流量都会通过防火墙,即使你不想要它。想象一下,您在不同 VLAN 中的同一叶子上有两台主机。他们的流量将穿过边界叶子并返回,这将产生额外的流量。
如果您保留任播网关并将主机的网关设置为叶,则可以使用基于策略的路由 (PBR) 将流量重定向到防火墙。您仍然可以选择通过防火墙或边界叶进行外部路由。在这种情况下最好使用对称路由。
Goodside:由于您保留了任播地址,因此主机到主机的流量将流动得更快,重叠的流量更少。
坏的一面:更多的配置和更多的工作。