23、第4 - 7层服务在VXLAN BGP EVPN网络中的集成

第4 - 7层服务在VXLAN BGP EVPN网络中的集成

1. 第4 - 7层服务概述

在VXLAN BGP EVPN网络中，第4 - 7层服务的集成至关重要。这些服务包括防火墙、负载均衡器、应用交付控制器（ADC）等。它们能增强网络的安全性、性能和可用性。
- 防火墙 ：是网络中最常用的服务设备，用于不同网络间的安全隔离。
- 负载均衡器 ：可将流量均匀分配到多个服务器，提高服务器利用率和响应速度。
- 应用交付控制器（ADC） ：优化应用程序的交付，提供内容分发、SSL卸载等功能。

2. 防火墙在VXLAN BGP EVPN网络中的部署

防火墙是网络安全的重要组成部分，可部署在第3层（路由模式）或第2层（桥接模式）。

2.1 路由模式

在路由模式下，防火墙保护路由或子网间的流量。它可作为端点的默认网关，执行所有子网间的操作。
- 静态路由 ：防火墙保护的IP子网及其位置在上游路由器的配置中静态定义。防火墙通常配置默认路由（0/0）指向可通过“OUT”接口访问的下一跳路由器。
- 动态路由 ：使用路由协议在防火墙和网络中的其他路由器/交换机之间建立路由邻接关系。新网络可添加并由防火墙保护，无需额外的网络配置。动态路由常辅以双向转发检测（BFD）以实现快速故障检测和收敛。

然而，在高可用性模式下，动态路由可能存在问题。由于活动和备用实例之间的路由表可能不同步，故障转移后，备用防火墙需要重新建立路由邻接关系并学习路由信息，这可能导致数秒的收敛时间。

2.2 桥接模式

防火墙也可在桥接（透明）模式下运行。在此模式下，防火墙不学习IP路由，而是作为安全执行点，像“线路上的凸起”。
- VLAN拼接 ：将防火墙置于端点和默认网关之间，通过VLAN将两个桥接域连接起来。端点的外部通信必须经过防火墙检查。
- 路由三明治 ：在需要更可扩展解决方案时，可将透明防火墙置于两个路由器之间，两个路由器通过防火墙形成路由邻接关系并交换路由信息。但每个路由器必须在对等接口上通告唯一的MAC地址，否则防火墙无法正确转发流量。

3. 防火墙冗余与静态路由

当防火墙以高可用性对（HA对）形式部署在路由模式下时，需要考虑HA对与VXLAN BGP EVPN网络的连接。
- 如果两个防火墙实例连接到同一叶子或带有vPC的叶子对，故障转移时无需特殊考虑。
- 如果防火墙连接到不同的叶子或叶子对，VTEP IP地址会在HA事件时改变。此时，只有承载活动防火墙实例的VTEP应被考虑用于转发，并且应选择通往该VTEP的最有效路径。

在静态路由配置中，可能会出现次优转发问题。为解决此问题，可采用以下两种方法：

3.1 服务叶子上的静态路由跟踪

在服务叶子（连接防火墙的叶子）上添加路由跟踪条件，只有当路由通过主机移动性管理器（HMM）学习时，静态路由才会激活。

track 5 ip route 10.2.2.2/32 reachability hmm
ip route 192.168.1.0/24 10.2.2.2 track 5

3.2 远程叶子上的静态路由

在所有需要访问防火墙后受保护子网的远程叶子上配置静态路由。

ip route 192.168.1.0/24 10.2.2.2

当HA事件发生时，备用防火墙发送GARP或ARP请求，叶子学习防火墙的IP地址，流量将被引导至新的活动防火墙所在的VTEP。

4. 防火墙的物理连接

防火墙与叶子或叶子对的连接方式有多种，包括单接口、本地端口通道和虚拟端口通道（vPC）。
- 单接口或端口通道 ：连接到单个VTEP，提供第2层和第3层连接选项，对路由协议无特殊影响。
- vPC ：可提供额外的网络冗余选项，但使用动态路由协议时需谨慎评估。某些硬件平台和软件版本支持vPC上的动态路由协议，但存在一定限制。

以下是不同连接方式的对比表格：
| 连接方式 | 优点 | 缺点 |
| ---- | ---- | ---- |
| 单接口或端口通道 | 配置简单，对路由协议无特殊影响 | 冗余性有限 |
| vPC | 提供额外的网络冗余 | 需谨慎评估动态路由协议支持情况 |

mermaid流程图如下：

graph LR
    A[防火墙连接方式] --> B[单接口或端口通道]
    A --> C[vPC]
    B --> D[第2层或第3层连接]
    C --> E[支持动态路由协议（有条件）]

综上所述，在VXLAN BGP EVPN网络中集成第4 - 7层服务时，防火墙的部署和配置需要综合考虑多种因素，包括部署模式、冗余性和物理连接方式等。通过合理的设计和配置，可以提高网络的安全性、性能和可用性。

第4 - 7层服务在VXLAN BGP EVPN网络中的集成

5. 负载均衡器部署

负载均衡器是第4 - 7层服务中的重要组成部分，在VXLAN BGP EVPN网络中，可采用单臂路由模式进行部署。单臂路由模式下，负载均衡器能够将流量均匀地分配到多个服务器上，从而提高服务器的利用率和响应速度。以下是负载均衡器部署的一些关键要点：
- 流量分配 ：负载均衡器根据预设的算法（如轮询、最少连接等）将客户端的请求分配到不同的服务器上。
- 健康检查 ：定期检查服务器的健康状态，确保将流量只分配到正常运行的服务器上。
- 会话保持 ：对于需要保持会话状态的应用，负载均衡器可以确保同一客户端的请求始终被发送到同一台服务器上。

以下是负载均衡器部署的简单流程：
1. 确定负载均衡器的部署位置，通常位于客户端和服务器之间。
2. 配置负载均衡器的算法、健康检查策略和会话保持规则。
3. 将服务器添加到负载均衡器的后端服务器池中。
4. 测试负载均衡器的功能，确保流量能够正常分配到各个服务器上。

6. 服务链部署示例

服务链是将多个网络服务（如防火墙和负载均衡器）按顺序串联起来，以实现更复杂的网络功能。下面以防火墙和负载均衡器的服务链部署为例进行说明。

6.1 部署架构

在这个示例中，防火墙和负载均衡器依次部署在网络中，客户端的流量首先经过防火墙进行安全检查，然后再通过负载均衡器分配到后端服务器上。

6.2 流量流程

1. 客户端发送请求，流量进入防火墙。
2. 防火墙根据预设的安全规则对流量进行检查，允许或阻止流量通过。
3. 通过防火墙的流量进入负载均衡器。
4. 负载均衡器根据算法将流量分配到后端服务器池中。
5. 后端服务器处理请求并返回响应。
6. 响应流量按照相反的路径，先经过负载均衡器，再经过防火墙，最后返回给客户端。

以下是服务链部署的mermaid流程图：

graph LR
    A[客户端] --> B[防火墙]
    B --> C[负载均衡器]
    C --> D[后端服务器池]
    D --> C
    C --> B
    B --> A

7. 策略路由（PBR）的应用

在VXLAN BGP EVPN网络环境中，策略路由（PBR）可与第4 - 7层服务结合使用，以实现更灵活的流量控制。PBR允许根据特定的策略（如源IP地址、目的IP地址、应用类型等）来决定流量的转发路径。

7.1 PBR配置步骤

1. 定义策略规则：根据需要控制的流量特征，定义相应的策略规则。
2. 配置策略映射：将策略规则与转发动作（如转发到特定的接口、下一跳等）关联起来。
3. 应用策略映射：将策略映射应用到相应的接口上，使流量在经过该接口时按照策略规则进行转发。

以下是一个简单的PBR配置示例：

access-list 101 permit ip host 192.168.1.10 any
route-map PBR_MAP permit 10
 match ip address 101
 set next-hop 10.0.0.1
interface GigabitEthernet0/1
 ip policy route-map PBR_MAP

上述配置表示，当源IP地址为192.168.1.10的流量经过GigabitEthernet0/1接口时，将其转发到下一跳地址10.0.0.1。

8. 总结

在VXLAN BGP EVPN网络中集成第4 - 7层服务，需要综合考虑多种因素，包括防火墙、负载均衡器等设备的部署模式、冗余性、物理连接方式以及策略路由的应用等。通过合理的设计和配置，可以实现网络的安全、高效运行。以下是对各方面的总结列表：
- 防火墙 ：可采用路由模式或桥接模式部署，在高可用性模式下需考虑路由表同步和故障转移问题，可通过静态路由跟踪和远程叶子静态路由解决次优转发问题。
- 负载均衡器 ：采用单臂路由模式部署，实现流量的均匀分配和服务器的高效利用。
- 服务链 ：将多个网络服务串联起来，实现更复杂的网络功能，如防火墙和负载均衡器的服务链部署。
- 策略路由 ：与第4 - 7层服务结合使用，实现灵活的流量控制。

通过对这些技术和策略的合理运用，可以构建一个安全、稳定、高效的VXLAN BGP EVPN网络环境。