Cisco Türkiye Blog
Share

LISP ileri seviye uygulamalar

- May 4, 2017 12:51 pm

Önceki yazımda LISP’e bir giriş yapmıştık, bu yazımda da ileri seviye özelliklerini inceleyerek devam edeceğiz.

Ağ sanallaştırma (VRF) desteği:

LISP’in en faydalı özelliklerinden biri de birden fazla VRF içeren topolojileri kolayca destekleyebilmesidir. LISP EID uzayındaki her VRF için ayrı bir instance-id tanımlar (hatta her instance-id için o instance-id ile aynı no’ya sahip ayrı bir de LISP interface oluşur).

Örneğin önceki topolojimizde XTR’ların arkasında, “TEST” VRF’lerinde, mevcut EID IP’leriyle aynı IP’lere sahip birer interface olduğunu düşünelim.

1-topology-vrf

 

MS/MR’da tek yapmamız gereken SITE1 altında eid-prefix instance-id 100 10.0.1.0/24 ve SITE2 altında eid-prefix instance-id 100 10.0.2.0/24 komutlarını eklemek.

2-msmr-vrf

XTR’larda da tek yapmamız gereken VRF’leri bu instance-id’lerle eşleştirmek. Bunun için de database-mapping komutlarını, direk lisp altında değil de, eid-table vrf TEST instance-id 100 altında girmek gerekiyor.

3-xtr-vrf

Böylece tek bir RLOC uzayı üzerinden tüm VRF’lerin kendi içindeki haberleşmeyi sağlayabiliriz. Buna LISP Shared Model Virtualization denir. LISP Parallel Model Virtualization’da ise EID uzayındaki her VRF’i RLOC uzayına da uzatırız. Bu iki model bir arada da kullanılabilir fakat sıklıkla paylaşımlı model kullanılır.

4-virtualization

Multihoming:

LISP’te multihoming de çok basit bir şekilde yapılabilir. Örneğin XTR2’nin ikinci bir çıkış interface’i yani ikinci bir RLOC’u olsaydı tek yapmamız gereken aynı EID(ler) için diğer RLOC’u da tanımladığımız ikinci bir database-mapping komutu yazmak olacaktı.

Veya örneğin SITE2’nin iki çıkış router’ı yani iki XTR’ı bulunabilirdi. Bu durumda da iki XTR’da da kendi RLOC’larını belirttikleri database-mapping komutuna ek olarak database-mapping 10.0.2.0/24 auto-discover-rlocs komutunu yazacaktık. Böylece XTR’lar aynı EID’yi anons eden diğer RLOC’ları da MS/MR’dan öğrenecekti.

Bu noktada daha önce açıklamadığım priority ve weight parametrelerini de açıklayayım: Bir XTR trafik göndereceği bir EID için birden fazla RLOC öğrendiyse, trafiği priority’si düşük olan RLOC’a gönderir (en yüksek değer olan 255 trafik gönderme anlamına gelir). Bu priority’ye sahip başka bir RLOC varsa da bu RLOC’lar arasında RLOC’ların weight değerleriyle orantılı olacak şekilde load-balancing yapar.

Güvenlik:

İncelediğimiz üzere LISP çok uçlu bir yönlendirme alt yapısı oluşturuyor. Zaten yönlendirilebilir olan çok uçlu bir alt yapı mevcutsa, bunun güvenliğini yönlendirmeyi değiştirmeden sağlamak için en uygun çözüm GETVPN olacaktır. GETVPN ACL’de UDP 4341 ve 4342 trafiklerini tanımlayıp crypto map’i fiziksel çıkış interface’ine uygulayarak tüm LISP trafiğini kriptolayabiliriz. Bu halde önce LISP encapsulation sonra GETVPN encryption olur.

LISP’te ayrıca GRE tünellerinden farklı olarak LISP interface’inin kendisine de crypto map yazabiliriz (Bu interface’ten sadece LISP data plane trafiğinin aktığını unutmayalım). LISP interface’ine crypto map yazarak bütün data plane trafiğini kriptolamak istiyorsak GETVPN ACL’i permit ip any any olarak tanımlamamız gerekir. Sonrasında LISP encapsulation gerçekleşecektir.

Multicast:

LISP interface’i PIM protokolünü destekler. Yani bir LISP topolojisinde de multicast’i normal bir topolojide yaptığımız gibi yapılandırabiliriz. Bugün itibariyle bazı kısıtlamalar mevcut: PIM-SM veya PIM-SSM kullanmak durumundayız ve PIM-SM’de RP’yi statik olarak tanımlamamız gerekiyor. LISP multicast’i head-end replication yaparak destekliyor: Yani multicast paketleri underlay’de unicast’e çevrilerek iletiliyor.

Leave a comment

Share