VXLAN BGP EVPN网络中的防火墙、负载均衡器及服务链部署
1. 基于策略路由(PBR)的租户内/东西向防火墙
在VXLAN BGP EVPN网络中,PBR匹配结果可指向一个下一跳,只要该下一跳已知且可达,就可通过递归查找并经VXLAN实现通信。例如,假设从端点192.168.1.101到192.168.2.101的流量必须经过防火墙,且返回流量也需通过防火墙,那么在服务于端点192.168.2.101的VTEP上也必须配置PBR规则。
若192.168.1.0/24子网内的每个端点与192.168.2.0/24子网内的端点通信时都需要保护,那么所有服务于这两个子网的VTEP都要安装PBR规则。随着VRF中需要保护的子网数量增加,PBR规则集可能会变得难以管理,ACL表的规模也会成为问题。
基于PBR的方法可强制实施端点到端点的IP子网流量保护,并且出于性能考虑,某些通信中的流量可以绕过防火墙。虽然网络服务头(NSH)、段路由(SR)和LISP是目前与服务重定向相关的有效标准,但在VXLAN BGP EVPN网络中,PBR也具备逐跳影响和控制流量转发的能力。
1.1 PBR规则配置步骤
- 确定需要保护的子网和端点。
- 在服务于这些子网的VTEP上配置PBR规则,指定下一跳。
- 确保下一跳可达,并进行递归查找。
1.2 PBR优缺点分析
| 优点 | 缺点 |
|---|---|
