Skip to Content
05. SecurityVXLAN Flood and Learn with Multicast on Cisco IOS XE

Cisco IOS XE에서 멀티캐스트로 VXLAN Flood and Learn

학습 목차

  1. 구성 1.1. 멀티캐스트 1.2. VXLAN
  2. 검증 2.1. 멀티캐스트 2.2. VXLAN 2.3. 알 수 없는 유니캐스트 트래픽 2.4. 브로드캐스트 트래픽
  3. 결론

VXLAN 소개 강의에서 VXLAN이 무엇이고 어떻게 작동하는지 설명했습니다. 이 강의에서는 VTEP IP 주소와 MAC 주소 사이의 매핑을 학습하기 위해 멀티캐스트 “flood and learn” 시스템을 사용하는 VXLAN을 구성하는 방법을 보여드리겠습니다.

1. 구성

다음은 우리가 사용할 토폴로지입니다.

토폴로지

모든 장치는 Cisco IOS XE 소프트웨어 16.06.01 버전을 실행하는 CSR1000V 라우터입니다. 누구나 사용할 수 있기 때문에 CSR1000V 라우터를 사용하고 있습니다. 패킷 캡처를 할 때 인식하기 쉽기 때문에 사용자 지정 MAC 주소를 사용합니다.

VTEP1과 VTEP2는 우리의 VTEP 장치입니다. 코어 라우터는 “IP 네트워크”를 시뮬레이션하기 위해 있습니다. H1과 H2가 레이어 2를 통해 직접 통신할 수 있도록 VNI 5012로 VXLAN 터널을 만들겠습니다.

VTEP 장치와 코어 라우터 사이에 연결성을 갖도록 OSPF를 미리 구성했습니다.

시작 구성

각 장치의 시작 구성은 다음과 같습니다.

CORE

hostname CORE
!
interface Loopback0
 ip address 3.3.3.3 255.255.255.255
!
interface GigabitEthernet2
 mac-address 0000.5e00.5303
 ip address 192.168.13.3 255.255.255.0
!
interface GigabitEthernet3
 mac-address 0000.5e00.5333
 ip address 192.168.23.3 255.255.255.0
!
router ospf 1
 network 3.3.3.3 0.0.0.0 area 0
 network 192.168.13.0 0.0.0.255 area 0
 network 192.168.23.0 0.0.0.255 area 0
!
end

H1

hostname H1
!
interface GigabitEthernet2
 mac-address 0000.5e00.5365
 ip address 192.168.12.101 255.255.255.0
!
end

H2

hostname H2
!
interface GigabitEthernet2
 mac-address 0000.5e00.5366
 ip address 192.168.12.102 255.255.255.0
!
end

VTEP1

hostname VTEP1
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!
interface GigabitEthernet2
 mac-address 0000.5e00.5301
!
interface GigabitEthernet3
 mac-address 0000.5e00.5311
 ip address 192.168.13.1 255.255.255.0
!
router ospf 1
 network 1.1.1.1 0.0.0.0 area 0
 network 192.168.13.0 0.0.0.255 area 0
!
end

VTEP2

hostname VTEP2
!
interface Loopback0
 ip address 2.2.2.2 255.255.255.255
!
interface GigabitEthernet2
 mac-address 0000.5e00.5302
!
interface GigabitEthernet3
 mac-address 0000.5e00.5322
 ip address 192.168.23.2 255.255.255.0
!
router ospf 1
 network 2.2.2.2 0.0.0.0 area 0
 network 192.168.23.0 0.0.0.255 area 0
!
end

1.1. 멀티캐스트

멀티캐스트 구성부터 시작합시다. VXLAN에서는 소수의 소스와 많은 수신자가 있는 일반적인 시나리오가 없습니다. 모든 VTEP 장치가 서로 통신하므로 양방향 PIM(bidirectional PIM) 을 사용하는 것이 합리적입니다. 이 네트워크에서 코어 라우터가 RP가 됩니다.

모든 VTEP 장치와 코어 라우터에서 멀티캐스트 라우팅과 양방향 PIM을 활성화합시다.

VTEP1, VTEP2 & CORE
(config)# ip multicast-routing distributed
(config)# ip pim bidir-enable

IP 네트워크에 연결되는 모든 물리 인터페이스에서 PIM sparse 모드를 활성화해야 합니다.

VTEP1 & VTEP2 & CORE
(config)# interface GigabitEthernet 3
(config-if)# ip pim sparse-mode

CORE(config)# interface GigabitEthernet 2
CORE(config-if)# ip pim sparse-mode

루프백 인터페이스도 잊지 마세요.

VTEP1, VTEP2 & CORE
(config)# interface Loopback 0
(config-if)# ip pim sparse-mode

마지막으로 RP 주소를 구성합니다.

VTEP1, VTEP2 & CORE
(config)# ip pim rp-address 3.3.3.3 bidir

이것으로 멀티캐스트 구성이 완료됩니다.

1.2. VXLAN

Network Virtualization Endpoint(NVE) 인터페이스를 만들어야 합니다. 여기서 사용할 VNI와 멀티캐스트 그룹을 구성합니다. 이 인터페이스를 loopback 0 인터페이스에서 가져오고, VNI 5012를 사용하고, 멀티캐스트 그룹 239.1.1.1을 사용합니다.

NVE 인터페이스 구성 방법은 다음과 같습니다.

VTEP1 & VTEP2
(config)# interface NVE 1
(config-if)# no shutdown
(config-if)# source-interface Loopback 0
(config-if)# member vni 5012 mcast-group 239.1.1.1

또한 bridge domain을 만들어야 합니다. 여기서 VNI, 물리 인터페이스, service-instance를 결합합니다.

VTEP1 & VTEP2
(config)# bridge-domain 1
(config-bdomain)# member vni 5012
(config-bdomain)# member GigabitEthernet 2 service-instance 1

이제 Ethernet Flow Point(EFP) service instance를 구성해야 합니다. 이는 bridge domain을 물리 포트(또는 EtherChannel)에 연결하는 논리적 인터페이스입니다. service instance 아래에서 들어오는 트래픽이 태그가 있는지 없는지 구성합니다. 우리 경우에는 호스트가 태그 없는 트래픽을 보냅니다.

VTEP1 & VTEP2
(config)# interface GigabitEthernet 2
(config-if)# service instance 1 ethernet
(config-if-srv)# encapsulation untagged
(config-if-srv)# exit
(config-if)# exit

마지막으로 Bridge Domain Interface(BDI) 를 구성해야 합니다.

참고: BDI는 IOS Bridge-Group Virtual Interface(BVI)의 IOS XE 등가물입니다.

이것으로 VXLAN 구성이 완료됩니다.

참고: 두 개의 exit 명령을 의도적으로 표시하고 있습니다. bridge-domain을 글로벌로 구성하기 때문입니다. service instance 아래에서 bridge-domain을 구성할 수도 있습니다.

2. 검증

작업을 검증해 봅시다.

2.1. 멀티캐스트

먼저 멀티캐스트 구성이 올바른지 확인하겠습니다.

VTEP1# show ip mroute 239.1.1.1
IP Multicast Routing Table
(*, 239.1.1.1), 00:00:36/00:02:25, RP 3.3.3.3, flags: BCx
  Bidir-Upstream: GigabitEthernet3, RPF nbr 192.168.13.3
  Outgoing interface list:
    Tunnel0, Forward/Sparse-Dense, 00:00:36/00:02:25
    GigabitEthernet3, Bidir-Upstream/Sparse, 00:00:36/stopped

VTEP2# show ip mroute 239.1.1.1
IP Multicast Routing Table
(*, 239.1.1.1), 00:00:36/00:02:24, RP 3.3.3.3, flags: BCx
  Bidir-Upstream: GigabitEthernet3, RPF nbr 192.168.23.3
  Outgoing interface list:
    Tunnel0, Forward/Sparse-Dense, 00:00:36/00:02:24
    GigabitEthernet3, Bidir-Upstream/Sparse, 00:00:36/stopped

CORE# show ip mroute 239.1.1.1
IP Multicast Routing Table
(*, 239.1.1.1), 00:00:49/00:02:45, RP 3.3.3.3, flags: B
  Bidir-Upstream: Null, RPF nbr 0.0.0.0
  Outgoing interface list:
    GigabitEthernet3, Forward/Sparse, 00:00:44/00:02:45
    GigabitEthernet2, Forward/Sparse, 00:00:49/00:02:40

멀티캐스트 그룹 239.1.1.1에 대한 (*,G) 항목과 outgoing interfaces를 보고 있습니다. 좋아 보입니다.

검증 결과

2.2. VXLAN

몇 가지 VXLAN 특정 명령을 시도해 봅시다. 먼저 NVE 인터페이스가 가동 중인지 확인합니다.

본 강의는 NetworkLessons.com의 미리보기 버전입니다. 전체 내용은 멤버십 가입 후 확인 가능합니다.

포럼 답글

포럼 답글

Evan.1971

포럼 답글

Rene, “show nve peers” 명령이 작동합니다:

VTEP1#show nve peers
Interface  VNI      Type Peer-IP          RMAC/Num_RTs   eVNI    state flags UP time
nve1       5012     L2DP 2.2.2.2

저는 spine and leaf 아키텍처에서 BGP 언더레이로 VXLAN을 사용해 왔습니다. 멀티캐스트 없이 F&L를 사용하는데, F&L 메커니즘은 Head end replication이고 vlan-vni를 수동으로 매핑하고 flood list를 업데이트합니다. 우리 VXLAN 인프라는 작고 Cisco가 아닌 다른 벤더의 스위치를 사용합니다. 우리는 BGP VXLAN EVPN을 사용하는 Cisco 솔루션으로 가려고 합니다.

또 다른 훌륭한 강의에 다시 한 번 감사드립니다.

… 포럼에서 계속 읽기

ReneMolenaar

포럼 답글

안녕 Evan,

show nve peers 명령이 16.06.01과 16.09.01 사이에서 수정된 것 같습니다. VIRL을 업그레이드해야 할 시간입니다.

포럼 답글

VXLAN은 작업하기에 재미있고 이 강의는 너무 늦었습니다. 좋아하셨다니 기쁩니다! 누락된 ENCOR/ENARSI 주제 일부를 마치고 나면 BGP EVPN의 예제를 만들겠습니다.

Rene

rudycharlot

이 VXLAN 섹션을 추가해 주셔서 정말 기쁩니다! BGP EVPN과 OSPF 예제도 추가해 주세요. 저는 현재 두 사이트에서 cat9ks 스위치와 NCS55 ios Xr을 활용해 VxRail용으로 이 솔루션을 구현하고 있습니다.

포럼 답글

Zaman.rubd

포럼 답글

Rene님께,

언제나처럼 매우 좋은 강의에 감사드립니다.

Service Instance와 bridge domain의 기본을 이해하려고 노력했지만 실패했습니다. 두 주제와 여기에서의 구성을 마법 같은 명확한 텍스트로 이해하는 데 도움을 주실 수 있나요? 큰 도움이 될 것입니다. 감사합니다.

BR//ZAMAN

lagapidis

안녕 Mohammad,

사실, 이해해야 할 것이 많습니다! 여러분을 위해 명확히 해보겠습니다.

먼저 Network Virtualization Endpoint(NVE) 가 있습니다. 이는 VNI(VXLAN Network Identifier)가 구성되는 엔티티이며, 멀티캐스트 그룹 기능이 작동하는 곳입니다. NVE는 루프백 인터페이스에서 “소스”됩니다. 다시 말해, 소스가 된 루프백 인터페이스에 VNI 멤버십과 멀티캐스트 참여 기능을 추가합니다.

다음으로 Ethernet Flow Point(EFP) service instance 가 있습니다. 이는 논리적 인터페이스입니다…

… 포럼에서 계속 읽기

42개의 추가 답글이 있습니다. 커뮤니티 포럼을 방문해 질문하거나 토론에 참여하세요.

출처: networklessons.com - VXLAN Flood and Learn with Multicast on Cisco IOS XE

태그: VXLAN

Introduction to Virtual Extensible LAN (VXLAN)