NSX-T EVPN

Posted on 28 kwietnia, 2020 in Juniper, Lab, NSX, Vmware

W poprzednim wpisie pokazałem jak skonfigurować DVS z NSX-t, dziś przedstawię bardzo ciekawą nową funkcjonalność w NSX-T 3.0 jest to EVPN.

W dokumentacji VMWare na czas pisania tego wpisu nie znalazłem za dużo informacji o konfiguracji, którą poczyniłem poniżej. Mam nadzieję, że przyda się Wam ta wiedza.

Co to jest EVPN

W kilku prostych słowach. EVPN (Ethernet VPN) jest to standard IEEE który dostarcza nam VPN warstwy 2 i 3. W EVPNie mamy control i data plane. NSXie Multiprotokol BGP (MPBGP) jest odpowiedzialne za control plane a VXLAN data plane.

Testowa architektura

Poniżej przedstawiam ogólną architekturę rozwiązania gdzie widzimy na routerze zewnętrznym w tym przypadku jest to Juniper vMX mamy 2 Vrfy A i B które przekażemy w sesji MP BGP do routera T0 na którym zostaną rozszyte do odpowiednich VRF’ów o tej samej nazwie oraz RD. Na końcu do tych VRF’ów zostaną podłączone routery T1 które będą miały podłączone segmenty.

Wymagania i ograniczenia

Wymagania	Ograniczenia
MTU min 1600 na uplinku do vMX	na chwilę nie znalazłem
Urządzenia muszą wspierać MPBGP oraz EVPN type 5

Konfiguracja EVPN

Konfiguracja NSX-T EVPN

Przygotowanie

Konfiguracja VNI POOL

Logujemy się do NSX Managera przechodzimy do Networking –> Networking Settings następnie VNI Pool. Poola ta będzie używana do tworzenia połączenia EVPN

Klikamy ADD VNI POOL i w nowym oknie definiujemy pulę id dla VNI.

Gdzie w Name nadajemy nazwę
Start – ID od którego rozpocznie poola
END – ID do którego będzie poola VNI

Konfiguracja Segmentu dla T0

Konfigurujemy Segment który będzie stanowił połączenie pomiędzy T0 i naszym vMXem przechodzimy do Networking następnie Segments.

Klikamy ADD Segment w nowym oknie konfigurujemy go

Nadajemy nazwę, wybieramy nasz transport zone typu Vlan, oraz nadjemy vlan id i zapisujemy.

Utworzenie i konfiguracja routera T0

W tym środowisku stworzyłem jeden router T0 na dedykowany do tego jednym EDGE VM którą przypisałem dla klastra edge-cluster-02 Nowy router zostanie stworzony na dedykowanym klastrze edge. Dla środowiska testowego uruchamiam to na jednym EDGE VM.
Przechodzimy do tworzenie routera T0,

w nowym oknie nadajemy nazwę dla naszego Tier-0 Routera

Klikamy save
Po utworzeniu routera T0 konfigurujemy interfejs Uplink do vMX. Przechodzimy do Edycji utworzonego T0 przechodzimy do Interfejs

klikamy set i w nowym oknie klikamy ADD Interface w pierwszej kolejności Uplink-vlan11. Tutaj mamy do skonfigurowania:
– nadajemy nazwę dla interfejsu,
– wybieramy Tym External,
– nadajemy adres ip,
– przypinamy do segmentu utworzonego na samym początku.
– Przypinamy na której EDGE VM ma być przypięty interfejs. W tym przypadku to jest jedyny edge vm który mam dostępny do tego.
– ustawiamy MTU ze względu że będzie tam VXALN enkapsulacja musimy ustawić min. 1600
Konfiguracja Interfejsu loopback
Teraz utworzymy interfejs loopback który będzie służył nam do zapinania sesji EVPN pomiędzy T0 a vMX’em
Konfiguracja EVPN
Przechodzimy do EVPN Settings gdzie w VNI Pool wybieramy nasz profil dla VNI który wcześniej utworzyliśmy.
EVPN Tunel Endpoint
W tym sam miejscu ustawiamy EVPN Tunel Endpoint który wskazuje nasz interfejs loopback
BGPKonfigurujemy sąsiedztwo BGP na interfejsie Uplink. W ta sesja posłuży nam do rozgłoszenia adresu IP Loopback
Przechodzimy do sekcji BGP gdzie konfigurujemy:
-Local AS
– BGP włączamy

Przechodzimy do BGP Neigbors gdzie konfigurujemy sąsiedztwo dla Interfejsu loopback i uplink
Konfiguracja sąsiedztwa
Sąsiedztwo na interfejsie uplink poniżej schemat poglądowy:

Konfiguracja od strony NSX-T

schemat logiczny:

Konfiguracja sąsiedztwa na interfejsie loopback

gdzie dla tego połączenie ustawiamy dodatkowy filtr
redystrybucja routingu
W sekcji Route RE-DISTRBUTION konfigurujemy profil gdzie włączamy takie jak poniżej redystrybucje:

w powyższych krokach mamy skonfigurowane połączenie oraz sesje BGP z vMX’em

Konfiguracja routera VRF A

utworzenie routera VRF1
przechodzimy do Networking Tier-0 Gateways wybieramy ADD Gateway i wybieramy VRF
Konfiguracja VRF
W nowym oknie konfigurujemy nazwę dla VRFu do którego T0 zostanie podłączony, Nadajemy unikalny RD(Route Distinguisher) oraz wybieramy ID VNI który będzie służył do tunelowania pomiędzy VRFem a vMXem
Tutaj można zastosować metodę dla RD że jest w formacie AS:VNI
Tworzenie Interfejsu loopback w VRFie A
Przechodzimy do Edycji VRF-A

Gdzie przechodzimy do sekcji Interface i dodajemy Interfejs
włączamy redystrybucję sieci podłączonych typu loopback oraz sieci z T1

VRF B potarzamy powyższe korki tylko zmieniamy dane zgodnie z rysunkiem

Router T1

Do każdego VRF’u zostanie podłączony nie zależny router T1 a każdy router T1 będzie miał podłączony jeden segment.

Tworzymy router T1
włączamy rozgłaszanie podłączonych segmentów
Tworzymy segment podłączony do T1

Powyższe kroki powtarzamy dla routera T1 podłączonego do VRFu B

Konfiguracja vMX’a

Konfiguracja Interfejsu ge-0/0/0.11 do T0.
Konfigurujemy połączenie pomiędzy T0 i vMX oraz na interfejsie włączamy MTU 9K.


set interfaces ge-0/0/0 vlan-tagging
set interfaces ge-0/0/0 mtu 9000
set interfaces ge-0/0/0 unit 11 vlan-id 11
set interfaces ge-0/0/0 unit 11 family inet address 192.168.10.1/24

set interfaces ge-0/0/0 vlan-tagging

set interfaces ge-0/0/0 mtu 9000

set interfaces ge-0/0/0 unit 11 vlan-id 11

set interfaces ge-0/0/0 unit 11 family inet address 192.168.10.1/24

Konfiguracja interfejsu loopback 0.

Shell

set interfaces lo0 unit 0 family inet address 10.11.10.2/32

1
2
3

set interfaces lo0 unit 0 family inet address 10.11.10.2/32

Konfigurujemy interfejsy które będą dodane do VRF’ów A i B.

Shell

set interfaces lo0 unit 100 family inet address 172.30.100.2/32 set interfaces lo0 unit 101 family inet address 192.168.100.2/32

1
2
3
4

set interfaces lo0 unit 100 family inet address 172.30.100.2/32
set interfaces lo0 unit 101 family inet address 192.168.100.2/32

Konfiguracja sesji BGP
W pierwszym kroku konfigurujemy sesję BGP na interfejsie uplink vlan 11 który łączy vMX i T0


set protocols bgp group T0 type internal
set protocols bgp group T0 family inet unicast
set protocols bgp group T0 peer-as 65000
set protocols bgp group T0 neighbor 192.168.10.10

set protocols bgp group T0 type internal

set protocols bgp group T0 family inet unicast

set protocols bgp group T0 peer-as 65000

set protocols bgp group T0 neighbor 192.168.10.10

w drugim korku konfigurujemy BGO pomiędzy interfejsami loopback


set protocols bgp group EVPN type internal
set protocols bgp group EVPN family inet unicast
set protocols bgp group EVPN family evpn signaling
set protocols bgp group EVPN neighbor 10.11.10.1 local-address 10.11.10.2
set protocols bgp group EVPN neighbor 10.11.10.1 peer-as 65000

set protocols bgp group EVPN type internal

set protocols bgp group EVPN family inet unicast

set protocols bgp group EVPN family evpn signaling

set protocols bgp group EVPN neighbor 10.11.10.1 local-address 10.11.10.2

set protocols bgp group EVPN neighbor 10.11.10.1 peer-as 65000

Konfiguracja polityki eksportującej wszystkich sieci direct

Shell

set policy-options policy-statement export_direct from protocol direct set policy-options policy-statement export_direct then accept

1
2
3
4

set policy-options policy-statement export_direct from protocol direct
set policy-options policy-statement export_direct then accept

VRFy
Konfiguracja VRF-A


set routing-instances vrfx-a protocols evpn ip-prefix-routes advertise direct-nexthop
set routing-instances vrfx-a protocols evpn ip-prefix-routes encapsulation vxlan
set routing-instances vrfx-a protocols evpn ip-prefix-routes vni 95001
set routing-instances vrfx-a protocols evpn ip-prefix-routes export export_direct
set routing-instances vrfx-a vtep-source-interface lo0.0
set routing-instances vrfx-a instance-type vrf
set routing-instances vrfx-a interface lo0.100
set routing-instances vrfx-a route-distinguisher 65000:95001
set routing-instances vrfx-a vrf-target target:65000:95001

set routing-instances vrfx-a protocols evpn ip-prefix-routes advertise direct-nexthop

set routing-instances vrfx-a protocols evpn ip-prefix-routes encapsulation vxlan

set routing-instances vrfx-a protocols evpn ip-prefix-routes vni 95001

set routing-instances vrfx-a protocols evpn ip-prefix-routes export export_direct

set routing-instances vrfx-a vtep-source-interface lo0.0

set routing-instances vrfx-a instance-type vrf

set routing-instances vrfx-a interface lo0.100

set routing-instances vrfx-a route-distinguisher 65000:95001

set routing-instances vrfx-a vrf-target target:65000:95001

Konfiguracja VRF-B


set routing-instances vrfx-b protocols evpn ip-prefix-routes advertise direct-nexthop
set routing-instances vrfx-b protocols evpn ip-prefix-routes encapsulation vxlan
set routing-instances vrfx-b protocols evpn ip-prefix-routes vni 95002
set routing-instances vrfx-b protocols evpn ip-prefix-routes export export_direct
set routing-instances vrfx-b vtep-source-interface lo0.0
set routing-instances vrfx-b instance-type vrf
set routing-instances vrfx-b interface lo0.101
set routing-instances vrfx-b route-distinguisher 65000:95002
set routing-instances vrfx-b vrf-target target:65000:95002

set routing-instances vrfx-b protocols evpn ip-prefix-routes advertise direct-nexthop

set routing-instances vrfx-b protocols evpn ip-prefix-routes encapsulation vxlan

set routing-instances vrfx-b protocols evpn ip-prefix-routes vni 95002

set routing-instances vrfx-b protocols evpn ip-prefix-routes export export_direct

set routing-instances vrfx-b vtep-source-interface lo0.0

set routing-instances vrfx-b instance-type vrf

set routing-instances vrfx-b interface lo0.101

set routing-instances vrfx-b route-distinguisher 65000:95002

set routing-instances vrfx-b vrf-target target:65000:95002

Wykonujemy commit i przechodzimy do weryfikacji

Weryfikacja

Weryfikacja po stronie vMX

Sprawdzenie BGP


root> show bgp summary 
Threading mode: BGP I/O
Groups: 2 Peers: 2 Down peers: 0
Table          Tot Paths  Act Paths Suppressed    History Damp State    Pending
inet.0               
                       2          0          0          0          0          0
bgp.evpn.0           
                       4          4          0          0          0          0
Peer                     AS      InPkt     OutPkt    OutQ   Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
10.11.10.1            65000         30         39       0       2       10:38 Establ
  inet.0: 0/1/1/0
  bgp.evpn.0: 4/4/4/0
  vrfx-a.evpn.0: 2/2/2/0
  vrfx-b.evpn.0: 2/2/2/0
192.168.10.10         65000         24         27       0       2       10:38 Establ
  inet.0: 0/1/1/0

root> show bgp summary

Threading mode: BGP I/O

Groups: 2 Peers: 2 Down peers: 0

Table Tot Paths Act Paths Suppressed History Damp State Pending

inet.0

2 0 0 0 0 0

bgp.evpn.0

4 4 0 0 0 0

Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...

10.11.10.1 65000 30 39 0 2 10:38 Establ

inet.0: 0/1/1/0

bgp.evpn.0: 4/4/4/0

vrfx-a.evpn.0: 2/2/2/0

vrfx-b.evpn.0: 2/2/2/0

192.168.10.10 65000 24 27 0 2 10:38 Establ

inet.0: 0/1/1/0

Jak widzimy sesje BGP unicast oraz evpn są zestawione

Sprawdzamy tablicę routingu


root> show route | no-more 

inet.0: 14 destinations, 16 routes (14 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

0.0.0.0/0          *[Static/5] 5d 05:20:34
                    >  to 10.101.9.1 via fxp0.0
10.11.10.1/32      *[Static/5] 3d 00:51:26
                    >  to 192.168.10.10 via ge-0/0/0.11
                    [BGP/170] 00:11:42, MED 0, localpref 100, from 10.11.10.1
                      AS path: ?, validation-state: unverified
                    >  to 192.168.10.10 via ge-0/0/0.11
                    [BGP/170] 00:11:42, MED 0, localpref 100
                      AS path: ?, validation-state: unverified
                    >  to 192.168.10.10 via ge-0/0/0.11

vrfx-a.inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

172.30.30.0/24     *[EVPN/170] 00:09:56
                    >  to 192.168.10.10 via ge-0/0/0.11
172.30.100.1/32    *[EVPN/170] 00:09:56
                    >  to 192.168.10.10 via ge-0/0/0.11
172.30.100.2/32    *[Direct/0] 00:14:31
                    >  via lo0.100

vrfx-b.inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

192.168.2.0/24     *[EVPN/170] 00:08:41
                    >  to 192.168.10.10 via ge-0/0/0.11
192.168.100.1/32   *[EVPN/170] 00:08:41
                    >  to 192.168.10.10 via ge-0/0/0.11
192.168.100.2/32   *[Direct/0] 00:14:31
                    >  via lo0.101

.....
bgp.evpn.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

5:65000:95001::0::172.30.30.0::24/248               
                   *[BGP/170] 00:33:41, MED 0, localpref 100, from 10.11.10.1
                      AS path: ?, validation-state: unverified
                    >  to 192.168.10.10 via ge-0/0/0.11
5:65000:95001::0::172.30.100.1::32/248               
                   *[BGP/170] 00:33:41, MED 0, localpref 100, from 10.11.10.1
                      AS path: ?, validation-state: unverified
                    >  to 192.168.10.10 via ge-0/0/0.11
5:65000:95001::0::172.30.100.2::32/248               
                   *[EVPN/170] 00:03:41
                       Indirect
5:65000:95002::0::192.168.2.0::24/248               
                   *[BGP/170] 00:32:26, MED 0, localpref 100, from 10.11.10.1
                      AS path: ?, validation-state: unverified
                    >  to 192.168.10.10 via ge-0/0/0.11
5:65000:95002::0::192.168.100.1::32/248               
                   *[BGP/170] 00:32:26, MED 0, localpref 100, from 10.11.10.1
                      AS path: ?, validation-state: unverified
                    >  to 192.168.10.10 via ge-0/0/0.11
5:65000:95002::0::192.168.100.2::32/248               
                   *[EVPN/170] 00:03:07
                       Indirect

vrfx-a.evpn.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

5:65000:95001::0::172.30.30.0::24/248               
                   *[BGP/170] 00:00:05, MED 0, localpref 100, from 10.11.10.1
                      AS path: ?, validation-state: unverified
                    >  to 192.168.10.10 via ge-0/0/0.11
5:65000:95001::0::172.30.100.1::32/248               
                   *[BGP/170] 00:00:05, MED 0, localpref 100, from 10.11.10.1
                      AS path: ?, validation-state: unverified
                    >  to 192.168.10.10 via ge-0/0/0.11
5:65000:95001::0::172.30.100.2::32/248               
                   *[EVPN/170] 00:03:41
                       Indirect

vrfx-b.evpn.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

5:65000:95002::0::192.168.2.0::24/248               
                   *[BGP/170] 00:00:05, MED 0, localpref 100, from 10.11.10.1
                      AS path: ?, validation-state: unverified
                    >  to 192.168.10.10 via ge-0/0/0.11
5:65000:95002::0::192.168.100.1::32/248               
                   *[BGP/170] 00:00:05, MED 0, localpref 100, from 10.11.10.1
                      AS path: ?, validation-state: unverified
                    >  to 192.168.10.10 via ge-0/0/0.11
5:65000:95002::0::192.168.100.2::32/248               
                   *[EVPN/170] 00:03:07
                       Indirect

root> show route | no-more

inet.0: 14 destinations, 16 routes (14 active, 0 holddown, 0 hidden)

+ = Active Route, - = Last Active, * = Both

0.0.0.0/0 *[Static/5] 5d 05:20:34

> to 10.101.9.1 via fxp0.0

10.11.10.1/32 *[Static/5] 3d 00:51:26

> to 192.168.10.10 via ge-0/0/0.11

[BGP/170] 00:11:42, MED 0, localpref 100, from 10.11.10.1

AS path: ?, validation-state: unverified

> to 192.168.10.10 via ge-0/0/0.11

[BGP/170] 00:11:42, MED 0, localpref 100

AS path: ?, validation-state: unverified

> to 192.168.10.10 via ge-0/0/0.11

vrfx-a.inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)

+ = Active Route, - = Last Active, * = Both

172.30.30.0/24 *[EVPN/170] 00:09:56

> to 192.168.10.10 via ge-0/0/0.11

172.30.100.1/32 *[EVPN/170] 00:09:56

> to 192.168.10.10 via ge-0/0/0.11

172.30.100.2/32 *[Direct/0] 00:14:31

> via lo0.100

vrfx-b.inet.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)

+ = Active Route, - = Last Active, * = Both

192.168.2.0/24 *[EVPN/170] 00:08:41

> to 192.168.10.10 via ge-0/0/0.11

192.168.100.1/32 *[EVPN/170] 00:08:41

> to 192.168.10.10 via ge-0/0/0.11

192.168.100.2/32 *[Direct/0] 00:14:31

> via lo0.101

.....

bgp.evpn.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden)

+ = Active Route, - = Last Active, * = Both

5:65000:95001::0::172.30.30.0::24/248

*[BGP/170] 00:33:41, MED 0, localpref 100, from 10.11.10.1

AS path: ?, validation-state: unverified

> to 192.168.10.10 via ge-0/0/0.11

5:65000:95001::0::172.30.100.1::32/248

*[BGP/170] 00:33:41, MED 0, localpref 100, from 10.11.10.1

AS path: ?, validation-state: unverified

> to 192.168.10.10 via ge-0/0/0.11

5:65000:95001::0::172.30.100.2::32/248

*[EVPN/170] 00:03:41

Indirect

5:65000:95002::0::192.168.2.0::24/248

*[BGP/170] 00:32:26, MED 0, localpref 100, from 10.11.10.1

AS path: ?, validation-state: unverified

> to 192.168.10.10 via ge-0/0/0.11

5:65000:95002::0::192.168.100.1::32/248

*[BGP/170] 00:32:26, MED 0, localpref 100, from 10.11.10.1

AS path: ?, validation-state: unverified

> to 192.168.10.10 via ge-0/0/0.11

5:65000:95002::0::192.168.100.2::32/248

*[EVPN/170] 00:03:07

Indirect

vrfx-a.evpn.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)

+ = Active Route, - = Last Active, * = Both

5:65000:95001::0::172.30.30.0::24/248

*[BGP/170] 00:00:05, MED 0, localpref 100, from 10.11.10.1

AS path: ?, validation-state: unverified

> to 192.168.10.10 via ge-0/0/0.11

5:65000:95001::0::172.30.100.1::32/248

*[BGP/170] 00:00:05, MED 0, localpref 100, from 10.11.10.1

AS path: ?, validation-state: unverified

> to 192.168.10.10 via ge-0/0/0.11

5:65000:95001::0::172.30.100.2::32/248

*[EVPN/170] 00:03:41

Indirect

vrfx-b.evpn.0: 3 destinations, 3 routes (3 active, 0 holddown, 0 hidden)

+ = Active Route, - = Last Active, * = Both

5:65000:95002::0::192.168.2.0::24/248

*[BGP/170] 00:00:05, MED 0, localpref 100, from 10.11.10.1

AS path: ?, validation-state: unverified

> to 192.168.10.10 via ge-0/0/0.11

5:65000:95002::0::192.168.100.1::32/248

*[BGP/170] 00:00:05, MED 0, localpref 100, from 10.11.10.1

AS path: ?, validation-state: unverified

> to 192.168.10.10 via ge-0/0/0.11

5:65000:95002::0::192.168.100.2::32/248

*[EVPN/170] 00:03:07

Indirect

w tablicy routingu wygląda wszytko ok – jak widać tylko w tablicy inet.0 warto od strony T0 włączyć odpowiedni filtrowanie rozgłaszanych prfixów w BGP dla loopbacka, ale to jest kosmetyka.

ulubiony test ping pomiędzy interfejsami loop back


root> ping 192.168.100.1 routing-instance vrfx-b    
PING 192.168.100.1 (192.168.100.1): 56 data bytes
64 bytes from 192.168.100.1: icmp_seq=0 ttl=64 time=1.266 ms
64 bytes from 192.168.100.1: icmp_seq=1 ttl=64 time=1.429 ms
64 bytes from 192.168.100.1: icmp_seq=2 ttl=64 time=1.347 ms
64 bytes from 192.168.100.1: icmp_seq=3 ttl=64 time=1.386 ms
64 bytes from 192.168.100.1: icmp_seq=4 ttl=64 time=1.698 ms
64 bytes from 192.168.100.1: icmp_seq=5 ttl=64 time=1.530 ms
64 bytes from 192.168.100.1: icmp_seq=6 ttl=64 time=1.450 ms
^C
--- 192.168.100.1 ping statistics ---
7 packets transmitted, 7 packets received, 0% packet loss
round-trip min/avg/max/stddev = 1.266/1.444/1.698/0.129 ms

root> ping 172.30.100.1 routing-instance vrfx-a  
PING 172.30.100.1 (172.30.100.1): 56 data bytes
64 bytes from 172.30.100.1: icmp_seq=0 ttl=64 time=1.325 ms
64 bytes from 172.30.100.1: icmp_seq=1 ttl=64 time=1.249 ms
64 bytes from 172.30.100.1: icmp_seq=2 ttl=64 time=1.390 ms
^C
--- 172.30.100.1 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 1.249/1.321/1.390/0.058 ms

root> ping 192.168.100.1 routing-instance vrfx-b

PING 192.168.100.1 (192.168.100.1): 56 data bytes

64 bytes from 192.168.100.1: icmp_seq=0 ttl=64 time=1.266 ms

64 bytes from 192.168.100.1: icmp_seq=1 ttl=64 time=1.429 ms

64 bytes from 192.168.100.1: icmp_seq=2 ttl=64 time=1.347 ms

64 bytes from 192.168.100.1: icmp_seq=3 ttl=64 time=1.386 ms

64 bytes from 192.168.100.1: icmp_seq=4 ttl=64 time=1.698 ms

64 bytes from 192.168.100.1: icmp_seq=5 ttl=64 time=1.530 ms

64 bytes from 192.168.100.1: icmp_seq=6 ttl=64 time=1.450 ms

--- 192.168.100.1 ping statistics ---

7 packets transmitted, 7 packets received, 0% packet loss

round-trip min/avg/max/stddev = 1.266/1.444/1.698/0.129 ms

root> ping 172.30.100.1 routing-instance vrfx-a

PING 172.30.100.1 (172.30.100.1): 56 data bytes

64 bytes from 172.30.100.1: icmp_seq=0 ttl=64 time=1.325 ms

64 bytes from 172.30.100.1: icmp_seq=1 ttl=64 time=1.249 ms

64 bytes from 172.30.100.1: icmp_seq=2 ttl=64 time=1.390 ms

--- 172.30.100.1 ping statistics ---

3 packets transmitted, 3 packets received, 0% packet loss

round-trip min/avg/max/stddev = 1.249/1.321/1.390/0.058 ms

Weryfikacja po stronie NSX-T

Po stronie NSX sprawdzamy z poziomu CLI. Logujemy się z na EDGE VM na którym jest uruchomione T0
1. sprawdzamy na którym id jest uruchomione SR dla T0


dc1edge03> get logical-router
Logical Router
UUID                                   VRF    LR-ID  Name                              Type                        Ports  
736a80e3-23f6-5a2d-81d6-bbefb2786666   0      0                                        TUNNEL                      4      
f9414cef-e3e3-405a-a7f8-55f349e08f22   1      1026   SR-VRF-VRF-A                      VRF_SERVICE_ROUTER_TIER0    6      
11ab6c6f-222b-434f-b25b-aad51dadf2ed   2      1027   SR-VRF-VRF-B                      VRF_SERVICE_ROUTER_TIER0    6      
987450ee-042c-41aa-9d0d-d4fcabd44b36   3      25     SR-R-T1-VRF-A                     SERVICE_ROUTER_TIER1        5      
06d10402-2066-4e4f-8243-6679d1bcb6b3   4      14     SR-R-T0-MPBGP                     SERVICE_ROUTER_TIER0        7      
f2ca25ae-49a3-4b12-a91e-c5c9908bb6c9   6      22     DR-VRF-VRF-A                      VRF_DISTRIBUTED_ROUTER_TIER0 4      
c43a9c6d-b207-4022-b43c-e52728eb1ab5   7      24     DR-R-T1-VRF-A                     DISTRIBUTED_ROUTER_TIER1    4      
304d5182-a40c-486a-a1e3-6d35275951fd   8      27     SR-R-T1-VRF-B                     SERVICE_ROUTER_TIER1        5      
758b42b3-8a4c-452f-91ad-6baf97188879   9      23     DR-VRF-VRF-B                      VRF_DISTRIBUTED_ROUTER_TIER0 4      
6204d89c-ec0e-40a9-9824-33adbbb41bff   10     26     DR-R-T1-VRF-B                     DISTRIBUTED_ROUTER_TIER1    4

dc1edge03> get logical-router

Logical Router

UUID VRF LR-ID Name Type Ports

736a80e3-23f6-5a2d-81d6-bbefb2786666 0 0 TUNNEL 4

f9414cef-e3e3-405a-a7f8-55f349e08f22 1 1026 SR-VRF-VRF-A VRF_SERVICE_ROUTER_TIER0 6

11ab6c6f-222b-434f-b25b-aad51dadf2ed 2 1027 SR-VRF-VRF-B VRF_SERVICE_ROUTER_TIER0 6

987450ee-042c-41aa-9d0d-d4fcabd44b36 3 25 SR-R-T1-VRF-A SERVICE_ROUTER_TIER1 5

06d10402-2066-4e4f-8243-6679d1bcb6b3 4 14 SR-R-T0-MPBGP SERVICE_ROUTER_TIER0 7

f2ca25ae-49a3-4b12-a91e-c5c9908bb6c9 6 22 DR-VRF-VRF-A VRF_DISTRIBUTED_ROUTER_TIER0 4

c43a9c6d-b207-4022-b43c-e52728eb1ab5 7 24 DR-R-T1-VRF-A DISTRIBUTED_ROUTER_TIER1 4

304d5182-a40c-486a-a1e3-6d35275951fd 8 27 SR-R-T1-VRF-B SERVICE_ROUTER_TIER1 5

758b42b3-8a4c-452f-91ad-6baf97188879 9 23 DR-VRF-VRF-B VRF_DISTRIBUTED_ROUTER_TIER0 4

6204d89c-ec0e-40a9-9824-33adbbb41bff 10 26 DR-R-T1-VRF-B DISTRIBUTED_ROUTER_TIER1 4

2. przechodzimy do VRF 4 i sprawdzamy stan BGP


dc1edge03(tier0_sr)> get bgp neighbor summary 
BFD States: NC - Not configured, AC - Activating,DC - Disconnected
            AD - Admin down, DW - Down, IN - Init,UP - Up
BGP summary information for VRF default for address-family: ipv4Unicast
Router ID: 192.168.10.10  Local AS: 65000

Neighbor                            AS          State Up/DownTime  BFD InMsgs  OutMsgs InPfx  OutPfx

10.11.10.2                          65000       Estab 00:20:34     NC  9887    8712    0      0     
192.168.10.1                        65000       Estab 00:20:34     NC  9869    8910    1      0     

BFD States: NC - Not configured, AC - Activating,DC - Disconnected
            AD - Admin down, DW - Down, IN - Init,UP - Up
BGP summary information for VRF default for address-family: l2VpnEvpn
Router ID: 192.168.10.10  Local AS: 65000

Neighbor                            AS          State Up/DownTime  BFD InMsgs  OutMsgs InPfx  OutPfx

10.11.10.2                          65000       Estab 00:20:34     NC  9887    8712    0      0     
192.168.10.1                        65000       Estab 00:20:34     NC  9869    8910    0      0

dc1edge03(tier0_sr)> get bgp neighbor summary

BFD States: NC - Not configured, AC - Activating,DC - Disconnected

AD - Admin down, DW - Down, IN - Init,UP - Up

BGP summary information for VRF default for address-family: ipv4Unicast

Router ID: 192.168.10.10 Local AS: 65000

Neighbor AS State Up/DownTime BFD InMsgs OutMsgs InPfx OutPfx

10.11.10.2 65000 Estab 00:20:34 NC 9887 8712 0 0

192.168.10.1 65000 Estab 00:20:34 NC 9869 8910 1 0

BFD States: NC - Not configured, AC - Activating,DC - Disconnected

AD - Admin down, DW - Down, IN - Init,UP - Up

BGP summary information for VRF default for address-family: l2VpnEvpn

Router ID: 192.168.10.10 Local AS: 65000

Neighbor AS State Up/DownTime BFD InMsgs OutMsgs InPfx OutPfx

10.11.10.2 65000 Estab 00:20:34 NC 9887 8712 0 0

192.168.10.1 65000 Estab 00:20:34 NC 9869 8910 0 0

3. sprawdzamy stan BGP EVPN – get bgp evpn


dc1edge03(tier0_sr)> get bgp evpn 
BGP table version is 3, local router ID is 192.168.10.10
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete
EVPN type-2 prefix: [2]:[EthTag]:[MAClen]:[MAC]:[IPlen]:[IP]
EVPN type-3 prefix: [3]:[EthTag]:[IPlen]:[OrigIP]
EVPN type-4 prefix: [4]:[ESI]:[IPlen]:[OrigIP]
EVPN type-5 prefix: [5]:[EthTag]:[IPlen]:[IP]

   Network          Next Hop            Metric LocPrf Weight Path
Route Distinguisher: 65000:95001
*> [5]:[0]:[24]:[172.30.30.0]
                    10.11.10.1               0         32768 ?
*> [5]:[0]:[32]:[172.30.100.1]
                    10.11.10.1               0         32768 ?
*>i[5]:[0]:[32]:[172.30.100.2]
                    10.11.10.2                    100      0 i
Route Distinguisher: 65000:95002
*> [5]:[0]:[24]:[192.168.2.0]
                    10.11.10.1               0         32768 ?
*> [5]:[0]:[32]:[192.168.100.1]
                    10.11.10.1               0         32768 ?
*>i[5]:[0]:[32]:[192.168.100.2]
                    10.11.10.2                    100      0 i

Displayed 6 prefixes (6 paths)

dc1edge03(tier0_sr)> get bgp evpn

BGP table version is 3, local router ID is 192.168.10.10

Status codes: s suppressed, d damped, h history, * valid, > best, i - internal

Origin codes: i - IGP, e - EGP, ? - incomplete

EVPN type-2 prefix: [2]:[EthTag]:[MAClen]:[MAC]:[IPlen]:[IP]

EVPN type-3 prefix: [3]:[EthTag]:[IPlen]:[OrigIP]

EVPN type-4 prefix: [4]:[ESI]:[IPlen]:[OrigIP]

EVPN type-5 prefix: [5]:[EthTag]:[IPlen]:[IP]

Network Next Hop Metric LocPrf Weight Path

Route Distinguisher: 65000:95001

*> [5]:[0]:[24]:[172.30.30.0]

10.11.10.1 0 32768 ?

*> [5]:[0]:[32]:[172.30.100.1]

10.11.10.1 0 32768 ?

*>i[5]:[0]:[32]:[172.30.100.2]

10.11.10.2 100 0 i

Route Distinguisher: 65000:95002

*> [5]:[0]:[24]:[192.168.2.0]

10.11.10.1 0 32768 ?

*> [5]:[0]:[32]:[192.168.100.1]

10.11.10.1 0 32768 ?

*>i[5]:[0]:[32]:[192.168.100.2]

10.11.10.2 100 0 i

Displayed 6 prefixes (6 paths)

kilka innych pomocnych komend do weryfikacji z poziomy serwis routera T0

Wyświetla wszystkie dostępne VRFy z przypisanym VBNI	get bgp evpn vni
Wyświetla tablicę routingu w protokole BGP z podziałem na RD	get bgp evpn overlay
Pokazuje skonfigurowane VRFy które są aktywne w EVPN	get evpn vni

Tags: evpn, get bgp evpn, get bgp neighbor summary, juniper bgp, juniper evpn type 5, juniper vmx, Junos, multiprotocol bgp, NSX-T, nsx-t 3.0 evpn, nsx-t bgp, nsx-t evpn, nsx-t evpn vrf, nsx-t vrf mpbgp, vmx bgp, vmx evpn, vni, vxlan

NSX-T 3.0 DVS

Posted on 13 kwietnia, 2020 in Lab, NSX, Vmware

Witam w świąteczny wieczór tak jak we wcześniejszym wpisie NSX-T 3.0 już jest obiecałem opisywać nowości które znajdziemy w 3.0. Dziś stwierdziłem że na pierwszy ogień idzie sprawdzenie czy działa zapowiadane wykorzystanie DVS zamiast NVDS w NSX-T 3.0 działa pokażę poniżej jak skonfigurować oraz zweryfikować to po stronie vCenter.

Na wstępie uwaga aby skorzystać DVS w NSX-T 3.0 musimy mieć vCenter oraz vSphere w wersji 7.0 czyli w najnowszych wydaniach. Warto też powiedzieć co daje nam takie rozwiązanie:

nie musimy już dedykować kart sieciowych tak jak było dotychczas.
Zmniejszamy skomplikowanie po stronie hostów.
Łatwiejsze i szybsze wprowadzenie mikrosegmentacji na poziomie vlanu

Rysunek poglądowy

vCenter

Logujemy się do vCenter.
Przechodzimy do Netowrk na poziomie Klastra klikamy prawym gdzie z menu wybieramy Distributed Switch – New Distributed Switch.
W nowym oknie przechodzimy Wizard tworzenia DVS, ale najważniejszym elementem jest wybranie odpowiedniej wersji DVS w
tym przypadku jest to wersja 7.0 co widzimy poniżej.
Po skonfigurowaniu DVS który robimy powyżej musimy zmienić MTU na min 1600, tak aby była możliwa enkapsulacja GENVE robimy to z poziomu stworzonego wcześniej switcha,

wybieramy Edit, gdzie w nowym oknie wybieramy Advanced. A w polu MTU wpisujemy min 1600, ja zawsze ustawiam MTU na poziomie 9k tak jak poniżej.
Po wprowadzeniu zmiany MTUmamy skonfigurowany DVS po stronie vCenter dodajemy hosty do tego switcha i kończymy pracę po stronie vCenter.

NSX Manager

Logujemy się do NSX Managera
Dodajemy nasze vCenter do NSXa robimy to przechodząc do System –> Fabric –> Compute Manager klikamy ADD+ w nowym oknie podajemy dane do naszego vCenter, gdzie podajemy nazwę dla profilu, podajemy FQDN do vCenter oraz login i hasło.
Po powyższym kroku możemy przejść do stworzenia Transport Node Profiles który zostanie wykorzystany przy konfiguracji vtepów na hostach vSphere. Przechodzimy do System –> Profiles –> Transport Node Profiles gdzie klikamy ADD w nowym oknie podajemy dane:
Type – wybieramy VDs.
Mode – standard.
Name – wybieramy nasze vCenter które wcześniej skonfigurowaliśmy oraz nasz switch switch DVS.
Transport Zone – Naszą overlay zone
Uplink Profile – profil dla hostów w DC1.
IP Assignment – wybieramy Use IP Pool.
IP Pool – wybieramy naszą pulę z adresami IP dla tepów.
W ostatnim kroku przypisujemy uplinki.
Po stworzeniu profilu konfigurujemy nasz klaster po stronie NSX.
Tworzymy po stronie NSX’a nowy logical segment który powinien pojawić się po stronie vCenter pod DVS’em. Przechodzimy Networking –> Segments klikamy ADD SEGMENT.

Klikamy Save i mamy utworzony segment w tej chwili mamy utworzone 2 Segmenty typu Overlay.

Weryfikacja

Przechodzimy do vCenter i sprawdzamy czy powyższe Segmenty pojawiły się po stronie naszego stworzonego DVS. Jak widzimy poniżej mamy te same segmenty po kliknięciu na jeden z nich mamy informacje o nim.

Tags: Distributed Switch, DVS 7.0, NSX Distributed port group, NSX-T, NSX-T 3.0 DVS, nsx-t dvs, transport node, vcenter 7, vmware

NSX-T 3.0 już jest!

Posted on 9 kwietnia, 2020 in NSX

Trzy dni temu na świat wyszła nowa wersja NSX-t 3.0 w niej jest sporo nowości, tym wpisem rozpocznę je opisywać. Ale teraz ogólna zajawka co znajdziemy w nowej wersji. Już jest u mnie w labie i powoli poznaję nowe funkcje.

NSX Federacja

Dzięki temu rozwiązaniu będziemy mogli zarządzań rozproszonym środowisku np. wile Data Center czy chmurą. Rozwiązanie to wprowadza kolejną instancję NSX Managera tzw Global Managera(GM). Rysunek poglądowy poniżej:

Rozwiązanie to prowadza łatwiejsze rozciąganie warstwy 2 oraz wprowadza routing dla tych sieci. Wracamy trochę do technologi uniwersalnych routerów takie jak było w V-ce ale jest duża różnica. Niebawem szczegóły.
IDS/IPS

VMware zaczyna wprowadzać więcej rozwiązań bezpieczeństwa na pierwszy ogień jest to IDS w wersji dystrybucyjnej. Na każdym hoście jest uruchamiany silnik IDS który wykrywa podatności. W 3.0 mamy IDS ale VMware mówi że już nie długo będzie to IPS wszystko małymi kroczkami.
Url Filtering

Tutaj mamy wsparcie do ULR Fiteringu w dostępie do Internetu. Niebawem więcej
VRF Lilte

Wraz z nową wersją tak jak tematy bezpieczeństwa pojawiają się tematy które do tej pory bardziej były znane i wymagane dla ISP VRF’y czy eVPN w tej chwili VMware zaczyna wprowadzać je do swoich rozwiązań. Niebawem sprawdzę czy faktycznie wszystko działa tak jak wygląda na prezentacjach.
NVDS wraca do DVS

Tutaj jest większa zależność od vSphere 7.0 który wprowadza nową wersję DVS 7.0 który natywnie integruje się z NSX’em już nie będziemy musieli dedykować portów do NVDS’a. Jest to pierwsza opcja którą sprawdziłem w labie i faktycznie działa. Przy wykorzystaniu DVS’a musimy mieć vCenter.
Service chaining

Możliwość budowania chainingu dla ruchu północ-południe z wykorzystaniem 3party PaloAlto, Fortinet
Windows 2016

W 3.0 jest zapowiedź, NSX zaczyna wspierać MS Windows 2016 dla Firewalla dystrybucyjnego zobaczmy jak to jest faktycznie.
Więcej na Infografice

Linki

Tags: NSX, NSX-T, NSX-T 3.0, vmware

NSX-t IPSec Route base

Posted on 26 marca, 2020 in NSX, Vmware, Vyos

W dzisiejszym wpisie przedstawię konfigurację NSX-t IPSec Route base, jest to opis krok po kroku jak skonfigurować IPseca po stronie NSX’a oraz Vyos który będzie uczestnikiem IPseca.

Założenia

Poniżej rysunek poglądowy jak wygląda topologia połączeń.
Pomiędzy routerem T0 i chmurką już istnieje połączenie oraz jest zestawione sąsiedztwo BGP w celu dostępu do sieci “Internet” na powyższym rysunku chmurki
Parametry połączenia:

IKE
IKE wersja	v2
Encryption Algorithm	AES 256
Digest Algorithm	SHA2 256
Diffie-Hellman	Grupa 5
SA Lifetime (sec)	86400

IPSec
Encryption Algorithm	AES 256
Digest Algorithm	SHA2 256
PFS Group	yes
Diffie-Hellman	Grupa 5
SA Lifetime (sec)	3600

Konfiguracja NSX-t

Konfiguracja połączenie IPSEC

Logujemy się do NSX Managera
Przechodzimy do Networking następnie VPN
Skonfigurujemy profile dla IKE,IPSec przechodząc do Profiles
wybieramy IKE-Profiles następnie IKE ADD Profile, w nowym oknie podajemy parametry konfiguracyjne które zostały zebrane powyżej w tabelce oraz podajemy nazwę dla profilu. Po zakończeniu wprowadzaniu zapisujemy profil.
Kolejnym krokiem jest dodanie profilu dla IPSeca, Wybieramy IPSEC Profiles i następnie ADD IPSEC Profile w nowym oknie podajemy nazwę dla niego oraz parametry z tabelki powyżej.
Ostatnim profilem do utworzenie jest profil DPD, wybieramy DPD Profiles i ADD DPD Profile, w nowym oknie podajemy nazwę oraz zostawiamy 60 secund.
Po skonfigurowaniu profilu dla IKE i IPSec oraz DPD przechodzimy do konfiguracji VPN Service robimy to przechodząc do VPN Services gdzie klikamy na ADD Service i wybieramy IPSEC. W nowym oknie podajemy nazwę oraz wybieramy na który gateway ma zostać uruchomiony serwis odpowiedzialny za IPSeca w naszym przypadku będzie to T0.
W tym kroku przechodzimy do konfiguracji LOCAL EDNPOINTS klikamy ADD LOCAL ENDPOINT w tym miejscu skonfigurujemy adres z którego oraz do którego będziemy nawiązywać sesję IPSec.
Przyszedł na ostatni krok konfiguracji IPSec przechodzimy do IPSEC SESION wybieramy Route Based.
W nowym okniekonfigurujemy naszą sesję IPSec podajemy dane:
Nazwa – dowolna nazwa dla sesji.
VPN Service – wybieramy wcześniej zdefiniowany profil.
Local Endpoint – podobnie wybieramy profil który wcześniej skonfigurowaliśmy.
Remote IP – podajemy adres IP partnera z którym będziemy nawiązywać sesję IPSec.
Authentication Mode – w naszym przypadku wybieramy PSK może kiedyś zrobię opis na certach :-).
Pre-shared Key – podajemy nasz klucz PSK
Tunnel Interface – podajemy ip dla naszego interfejsu tunel w naszym przypadku jest to 100.100.10.1/30 musi być podana maska min 31.
Remote ID – podajemy zakończenie tunelu po drugiej stronie, zgodnie z założeniami jest to 2.2.2.2
Do kolejnych ustawień przechodzimy klikając Advanced Properties gdzie dalej podajemy parametry naszego połączenia:
IKE Profiles – wybieramy utworzony przez nas profil IKE.
IPSec Profiles – wybieramy utworzony przez nas profil dla IPSec.
DPD Profiles – wybieramy utworzony profil dla DPD.
Connection Initiation – określmy rolę w naszym przypadku zostawiamy bez zmiany.
Parametry nie wymienione zostawiamy bez zmian.
Po wyższych krokach mam skonfigurowane parametry dla IPSeca Rouet Base.

Konfiguracja Routingu w NSX

W tej sekcji dowiesz się jak skonfigurować redystrybucję adres Local Endpoint oraz jak zestawić BGP.

Konfiguracja redystrybucji

Aby poprawnie zestawić połączenie IPSec przydało by się do naszej chmurki która jest pokazana na rysunku na początku wpisu rozgłosić adres Local Endpoint a robimy to tak:

Przechodzimy do Networking następnie do Tier0 wybieramy nasz router T0 i przechodzimy do jego edycji.
Przechodzimy do ROUTE RE-DISTRIBUTION klikamy na cyfrę w przy Route Re-Distribution.
W nowym oknie zaznaczamy IPSec Local IP i klikamy Apply.
Na koniec zapisujemy oraz klikamy close editing i temat ten mamy za sobą.

Konfiguracja BGP pomiędzy NSX a Vyos

W IPSec route base protokół routingu jest odpowiedzialny za ustalenie pomiędzy jakimi sieciami ma nastąpić szyfrowanie w kanale IPSec. W NSX-t mamy do dyspozycji dwa protokoły routingu jest to statk oraz BGP w tym punkcie skupię się właśnie nad poczciwym BGP’em.

Aby skonfigurować sesję BGP przechodzimy do Networking następnie do Tier0 wybieramy nasz router T0 i przechodzimy do jego edycji
Tam przechodzimy do sesji BGP, gdzie jest to pierwsza sesja BGP konfigurujemy:
Local AS – w labie oraz DC wybieramy coś z puli privet AS
resztę parametrów zostawiamy bez zmian w labie, w DC można podkręcić czasy sesji BGP
Tutaj już mamy to skonfigurowane bo mamy sesję do mojej chmurki
W kolejnym ważnym krokiem jest skonfigurowanie sąsiedztwa BGP aby to zrobić przechodzimy do BGP Neighbors. W tym przypadku dodajemy kolejne sąsiedztwo.
W nowym oknie dodajemy nowego sąsiada gdzie podajemy parametry do skonfigurowania
IP Address – podajemy adres ip sąsiada w naszym przypadku jest to 100.100.10.2
Remote AS – Podajemy numer AS sąsiada w naszym przypadku jest to 65555
Source Addresses – podajemy nasz adres 100.100.10.1
IP Address Family – wybieramy IPv4
Klikamy Save i mamy skonfigurowane po stronie NSX’a BGP

Aby wszystko zadziałało musimy skonfigurować naszego sąsiad czyli przechodzimy do konfiguracji Vyos,

Konfiguracja Vyos

Jak to było w piosence “do tanga trzeba dwojga” w tym przypadku partnerem dla NSX będzie Vyos na którym poniżej przedstawię jak skonfigurować IPSec route Based oraz BGP. Nie będę pokazywał podstawowej konfiguracji tylko skupię się na omawianych zagadnieniach. Cała konfiguracja jest wykonywana z poziomy SSH. W tym labie wykorzystuję wersję trochę starą bo jest to 1.3

Konfiguracja połączenie IPSEC w Vyos

Logujemy się do naszego Vyos po ssh

Przechodzimy do konfiguracji i konfigurujemy nasz profil dla fazy 1 zgodnie z założeniami


vyos@vyos01:~$ configure 
[edit]
vyos@vyos01# set vpn ipsec esp-group NSX-T lifetime '3600'
[edit]
vyos@vyos01# set vpn ipsec esp-group NSX-T mode 'tunnel'
[edit]
vyos@vyos01# set vpn ipsec esp-group NSX-T pfs 'dh-group5'
[edit]
vyos@vyos01# set vpn ipsec esp-group NSX-T proposal 1 encryption 'aes256'  
[edit]
vyos@vyos01# set vpn ipsec esp-group NSX-T proposal 1 hash 'sha256'
[edit]
vyos@vyos01#

vyos@vyos01:~$ configure

[edit]

vyos@vyos01# set vpn ipsec esp-group NSX-T lifetime '3600'

[edit]

vyos@vyos01# set vpn ipsec esp-group NSX-T mode 'tunnel'

[edit]

vyos@vyos01# set vpn ipsec esp-group NSX-T pfs 'dh-group5'

[edit]

vyos@vyos01# set vpn ipsec esp-group NSX-T proposal 1 encryption 'aes256'

[edit]

vyos@vyos01# set vpn ipsec esp-group NSX-T proposal 1 hash 'sha256'

[edit]

vyos@vyos01#

czysta konfiguracja same komendy


set vpn ipsec esp-group NSX-T lifetime '3600'
set vpn ipsec esp-group NSX-T mode 'tunnel'
set vpn ipsec esp-group NSX-T pfs 'dh-group5'
set vpn ipsec esp-group NSX-T proposal 1 encryption 'aes256'
set vpn ipsec esp-group NSX-T proposal 1 hash 'sha256'

set vpn ipsec esp-group NSX-T lifetime '3600'

set vpn ipsec esp-group NSX-T mode 'tunnel'

set vpn ipsec esp-group NSX-T pfs 'dh-group5'

set vpn ipsec esp-group NSX-T proposal 1 encryption 'aes256'

set vpn ipsec esp-group NSX-T proposal 1 hash 'sha256'

Następnie profil dla fazy 2


[edit]
vyos@vyos01# set vpn ipsec ike-group NSX-T ikev2-reauth 'yes'
[edit]
vyos@vyos01# set vpn ipsec ike-group NSX-T key-exchange 'ikev2'
[edit]
vyos@vyos01# set vpn ipsec ike-group NSX-T lifetime '86400'
[edit]
vyos@vyos01# set vpn ipsec ike-group NSX-T proposal 1 dh-group '5'
[edit]
vyos@vyos01# set vpn ipsec ike-group NSX-T proposal 1 encryption 'aes256'
[edit]
vyos@vyos01# set vpn ipsec ike-group NSX-T proposal 1 hash 'sha256'
[edit]
vyos@vyos01#

[edit]

vyos@vyos01# set vpn ipsec ike-group NSX-T ikev2-reauth 'yes'

[edit]

vyos@vyos01# set vpn ipsec ike-group NSX-T key-exchange 'ikev2'

[edit]

vyos@vyos01# set vpn ipsec ike-group NSX-T lifetime '86400'

[edit]

vyos@vyos01# set vpn ipsec ike-group NSX-T proposal 1 dh-group '5'

[edit]

vyos@vyos01# set vpn ipsec ike-group NSX-T proposal 1 encryption 'aes256'

[edit]

vyos@vyos01# set vpn ipsec ike-group NSX-T proposal 1 hash 'sha256'

[edit]

vyos@vyos01#

Profil dla DPD


[edit]
vyos@vyos01# set vpn ipsec ike-group NSX-T dead-peer-detection action 'restart'
[edit]
vyos@vyos01# set vpn ipsec ike-group NSX-T dead-peer-detection interval '15'
[edit]
vyos@vyos01# set vpn ipsec ike-group NSX-T dead-peer-detection timeout '60'

[edit]

vyos@vyos01# set vpn ipsec ike-group NSX-T dead-peer-detection action 'restart'

[edit]

vyos@vyos01# set vpn ipsec ike-group NSX-T dead-peer-detection interval '15'

[edit]

vyos@vyos01# set vpn ipsec ike-group NSX-T dead-peer-detection timeout '60'

same komendy


set vpn ipsec ike-group NSX-T dead-peer-detection action 'restart'
set vpn ipsec ike-group NSX-T dead-peer-detection interval '15'
set vpn ipsec ike-group NSX-T dead-peer-detection timeout '60'

set vpn ipsec ike-group NSX-T dead-peer-detection action 'restart'

set vpn ipsec ike-group NSX-T dead-peer-detection interval '15'

set vpn ipsec ike-group NSX-T dead-peer-detection timeout '60'

Tworzymy interfejs tunelowy oraz nadajemy jemu adres ip zgodnie z założeniami

Shell

[edit] vyos@vyos01# set interfaces vti vti1 address '100.100.10.2/30'

1
2
3
4

[edit]
vyos@vyos01# set interfaces vti vti1 address '100.100.10.2/30'

Konfiguracja IPSeca


[edit]
vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 authentication id '2.2.2.2'
[edit]
vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 authentication mode 'pre-shared-secret'
[edit]
vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 authentication pre-shared-secret 'de%b/B\7$*[rV*S%Pk(D'
[edit]
vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 ike-group 'NSX-T'
[edit]
vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 ikev2-reauth 'inherit'
[edit]
vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 local-address '2.2.2.2'
[edit]
vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 vti bind 'vti1'
[edit]
vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 vti esp-group 'NSX-T'
[edit]
vyos@vyos01#

[edit]

vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 authentication id '2.2.2.2'

[edit]

vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 authentication mode 'pre-shared-secret'

[edit]

vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 authentication pre-shared-secret 'de%b/B\7$*[rV*S%Pk(D'

[edit]

vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 ike-group 'NSX-T'

[edit]

vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 ikev2-reauth 'inherit'

[edit]

vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 local-address '2.2.2.2'

[edit]

vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 vti bind 'vti1'

[edit]

vyos@vyos01# set vpn ipsec site-to-site peer 1.1.1.1 vti esp-group 'NSX-T'

[edit]

vyos@vyos01#

same komendy które zostały użyte powyżej


set vpn ipsec site-to-site peer 1.1.1.1 authentication id '2.2.2.2'
set vpn ipsec site-to-site peer 1.1.1.1 authentication mode 'pre-shared-secret'
set vpn ipsec site-to-site peer 1.1.1.1 authentication pre-shared-secret 'de%b/B\7$*[rV*S%Pk(D'
set vpn ipsec site-to-site peer 1.1.1.1 ike-group 'NSX-T'
set vpn ipsec site-to-site peer 1.1.1.1 ikev2-reauth 'inherit'
set vpn ipsec site-to-site peer 1.1.1.1 local-address '2.2.2.2'
set vpn ipsec site-to-site peer 1.1.1.1 vti bind 'vti1'
set vpn ipsec site-to-site peer 1.1.1.1 vti esp-group 'NSX-T'

set vpn ipsec site-to-site peer 1.1.1.1 authentication id '2.2.2.2'

set vpn ipsec site-to-site peer 1.1.1.1 authentication mode 'pre-shared-secret'

set vpn ipsec site-to-site peer 1.1.1.1 authentication pre-shared-secret 'de%b/B\7$*[rV*S%Pk(D'

set vpn ipsec site-to-site peer 1.1.1.1 ike-group 'NSX-T'

set vpn ipsec site-to-site peer 1.1.1.1 ikev2-reauth 'inherit'

set vpn ipsec site-to-site peer 1.1.1.1 local-address '2.2.2.2'

set vpn ipsec site-to-site peer 1.1.1.1 vti bind 'vti1'

set vpn ipsec site-to-site peer 1.1.1.1 vti esp-group 'NSX-T'

Na koniec wykonujemy commit

Shell

[edit] vyos@vyos01# commit [edit] vyos@vyos01#

1
2
3
4
5
6

[edit]
vyos@vyos01# commit
[edit]
vyos@vyos01#

Konfiguracja BGP w Vyos

Po skonfigurowaniu IPSeca przechodzimy do konfiguracji sesji BGP, poniżej bardzo szybki config.


[edit]
vyos@vyos01# set protocols bgp 65555 
[edit]
vyos@vyos01# set protocols bgp 65555 neighbor 100.100.10.1 remote-as 65502 
[edit]
vyos@vyos01# set protocols bgp 65555 neighbor 100.100.10.1 update-source 100.100.10.2 
[edit]
vyos@vyos01# set protocols bgp 65555 address-family ipv4-unicast redistribute connected
[edit]
vyos@vyos01# commit
[edit]
vyos@vyos01#

[edit]

vyos@vyos01# set protocols bgp 65555

[edit]

vyos@vyos01# set protocols bgp 65555 neighbor 100.100.10.1 remote-as 65502

[edit]

vyos@vyos01# set protocols bgp 65555 neighbor 100.100.10.1 update-source 100.100.10.2

[edit]

vyos@vyos01# set protocols bgp 65555 address-family ipv4-unicast redistribute connected

[edit]

vyos@vyos01# commit

[edit]

vyos@vyos01#

same komendy:


set protocols bgp 65555 address-family ipv4-unicast redistribute connected
set protocols bgp 65555 neighbor 100.100.10.1 remote-as '65502'
set protocols bgp 65555 neighbor 100.100.10.1 update-source '100.100.10.2'

set protocols bgp 65555 address-family ipv4-unicast redistribute connected

set protocols bgp 65555 neighbor 100.100.10.1 remote-as '65502'

set protocols bgp 65555 neighbor 100.100.10.1 update-source '100.100.10.2'

Weryfikacja

Po czasie konfiguracji NSXa i jak Vyos przyszedł czas na weryfikację naszej pracy.

Sprawdzenie po stronie NSX

IPSEC

logujemy się po SSH do Edga na którym jest nasze T0

sprawdzamy sesję ike wykonując komendę get ipsecvpn ikesa active


nsx-edge-01> get ipsecvpn ikesa active 
    Total Number of Active IKE SAs: 1

    IKE Version              : IKEv2
    IKE Status               : Up
    IKE Session ID           : 6
    Session Name             : Tunnel-b522b518-59347c2-810b64c9-f60cccf2
    Session Type             : Route Based
    
    IKE SPI Initiator        : 0x0e35db0e3da6b2d7
    IKE SPI Responder        : 0x0402b472d9a26732
    Role                     : Initiator
    
    Number of Child SA Pairs : 2
    Created Timestamp        : 2020-03-26 11:12:09
    IKE SA Uptime            : 425 sec
    IKE SA Lifetime          : 86400 sec
    DPD Probe Interval       : 60 sec
    
    IP Address:
      Local                  : 1.1.1.1
      Remote                 : 2.2.2.2
    
    Identity:
      Local                  : 1.1.1.1 (ipv4)
      Remote                 : 2.2.2.2 (ipv4)
    
    Algorithm:
      Encryption             : aes256-cbc
      Authentication         : hmac-sha256-128
      PRF                    : hmac-sha256
    DH Group                 : 5
    
    Authentication Method    : Pre-shared key
    ----------------------------------------

nsx-edge-01> get ipsecvpn ikesa active

Total Number of Active IKE SAs: 1

IKE Version : IKEv2

IKE Status : Up

IKE Session ID : 6

Session Name : Tunnel-b522b518-59347c2-810b64c9-f60cccf2

Session Type : Route Based

IKE SPI Initiator : 0x0e35db0e3da6b2d7

IKE SPI Responder : 0x0402b472d9a26732

Role : Initiator

Number of Child SA Pairs : 2

Created Timestamp : 2020-03-26 11:12:09

IKE SA Uptime : 425 sec

IKE SA Lifetime : 86400 sec

DPD Probe Interval : 60 sec

IP Address:

Local : 1.1.1.1

Remote : 2.2.2.2

Identity:

Local : 1.1.1.1 (ipv4)

Remote : 2.2.2.2 (ipv4)

Algorithm:

Encryption : aes256-cbc

Authentication : hmac-sha256-128

PRF : hmac-sha256

DH Group : 5

Authentication Method : Pre-shared key

----------------------------------------

Weryfikujemy całego IPSeca wykonując komendę get ipsecvpn session


nsx-edge-01> get ipsecvpn session 
Total Number of Sessions: 1

IKE Session ID   : 6
UUID             : b522b518-0593-47c2-810b-64c9f60cccf2
SR ID            : 74816ace-6bb1-4f82-b845-97a41c517c41
Type             : Route
Auth Mode        : PSK
Compliance Suite : NONE

Local IP         : 1.1.1.1            Peer IP          : 2.2.2.2
Local ID         : 1.1.1.1            Peer ID          : 2.2.2.2
Session Status   : Up

Policy Rules
    VTI UUID         : 9b519fea-7754-40e4-8a81-22e794d0b12a
    ToRule ID        : 176235239          FromRule ID      : 2323718887
    Local Subnet     : 0.0.0.0/0          Peer Subnet      : 0.0.0.0/0
    Tunnel Status    : Up


------------------------------------------------------------------------------------------

nsx-edge-01> get ipsecvpn session

Total Number of Sessions: 1

IKE Session ID : 6

UUID : b522b518-0593-47c2-810b-64c9f60cccf2

SR ID : 74816ace-6bb1-4f82-b845-97a41c517c41

Type : Route

Auth Mode : PSK

Compliance Suite : NONE

Local IP : 1.1.1.1 Peer IP : 2.2.2.2

Local ID : 1.1.1.1 Peer ID : 2.2.2.2

Session Status : Up

Policy Rules

VTI UUID : 9b519fea-7754-40e4-8a81-22e794d0b12a

ToRule ID : 176235239 FromRule ID : 2323718887

Local Subnet : 0.0.0.0/0 Peer Subnet : 0.0.0.0/0

Tunnel Status : Up

------------------------------------------------------------------------------------------

Weryfikujemy jak wyglądają statystyki czy zmieniają się wykonując komendę get ipsecvpn tunnel stats


nsx-edge-01> get ipsecvpn tunnel stats 
Interface UID                      : 324
Interface UUID                     : 9b519fea-7754-40e4-8a81-22e794d0b12a
VTI UUID                           : 9b519fea-7754-40e4-8a81-22e794d0b12a

Stats
    Rx Pkts                            : 248           Tx Pkts                            : 399
    Rx Bytes                           : 16153         Tx Bytes                           : 50820
    Rx MSS Adjusted                    : 0             Tx MSS Adjusted                    : 0
    Rx MSS Ignored                     : 0             Tx MSS Ignored                     : 0
    Rx Drops                           : 1             Tx Drops                           : 0
    Rx Drop Crypto Failure             : 0             Tx Drop Crypto Failure             : 0
    Rx Drop State Mismatch             : 0             Tx Drop State Mismatch             : 0
    Rx Drop Malformed                  : 0             Tx Drop Malformed                  : 0
    Rx Drop Proto Not Supported        : 0             Tx Drop Proto Not Supported        : 0
    Rx Drop Replay                     : 0             Tx Drop Seq Rollover               : 0
    Rx Drop Inner Malformed            : 0             Tx Drop Fragmentation Needed       : 0
    Rx Drop Policy Nomatch             : 0             Rekey Request Failure              : 0
    Rx Drop Auth Failure               : 0

nsx-edge-01> get ipsecvpn tunnel stats

Interface UID : 324

Interface UUID : 9b519fea-7754-40e4-8a81-22e794d0b12a

VTI UUID : 9b519fea-7754-40e4-8a81-22e794d0b12a

Stats

Rx Pkts : 248 Tx Pkts : 399

Rx Bytes : 16153 Tx Bytes : 50820

Rx MSS Adjusted : 0 Tx MSS Adjusted : 0

Rx MSS Ignored : 0 Tx MSS Ignored : 0

Rx Drops : 1 Tx Drops : 0

Rx Drop Crypto Failure : 0 Tx Drop Crypto Failure : 0

Rx Drop State Mismatch : 0 Tx Drop State Mismatch : 0

Rx Drop Malformed : 0 Tx Drop Malformed : 0

Rx Drop Proto Not Supported : 0 Tx Drop Proto Not Supported : 0

Rx Drop Replay : 0 Tx Drop Seq Rollover : 0

Rx Drop Inner Malformed : 0 Tx Drop Fragmentation Needed : 0

Rx Drop Policy Nomatch : 0 Rekey Request Failure : 0

Rx Drop Auth Failure : 0

BGP

Podobnie jak wyżej wykorzystujemy połączenie ssh do EDGE

sprawdzamy jaki id VRF ma nasz router T0 moduł serwisowy wykonując komendę


nsx-edge-01> get logical-router
Logical Router
UUID                                   VRF    LR-ID  Name                              Type                        Ports  
736a80e3-23f6-5a2d-81d6-bbefb2786666   0      0                                        TUNNEL                      4      
f6badcc6-614e-4af3-bd27-50dc411e3a96   1      3      DR-t1                             DISTRIBUTED_ROUTER_TIER1    5      
74816ace-6bb1-4f82-b845-97a41c517c41   2      2      SR-test                           SERVICE_ROUTER_TIER0        6      
a749186b-2250-486d-9cdc-00862a6b1a92   3      4      SR-t1                             SERVICE_ROUTER_TIER1        5      
043a4cbd-97b9-4d48-ad0c-7f1c55c0065a   4      1      DR-test                           DISTRIBUTED_ROUTER_TIER0    4

nsx-edge-01> get logical-router

Logical Router

UUID VRF LR-ID Name Type Ports

736a80e3-23f6-5a2d-81d6-bbefb2786666 0 0 TUNNEL 4

f6badcc6-614e-4af3-bd27-50dc411e3a96 1 3 DR-t1 DISTRIBUTED_ROUTER_TIER1 5

74816ace-6bb1-4f82-b845-97a41c517c41 2 2 SR-test SERVICE_ROUTER_TIER0 6

a749186b-2250-486d-9cdc-00862a6b1a92 3 4 SR-t1 SERVICE_ROUTER_TIER1 5

043a4cbd-97b9-4d48-ad0c-7f1c55c0065a 4 1 DR-test DISTRIBUTED_ROUTER_TIER0 4

przechodzimy do vrfu 2

Shell

nsx-edge-01> vrf 2 nsx-edge-01(tier0_sr)>

1
2
3
4

nsx-edge-01> vrf 2
nsx-edge-01(tier0_sr)>

Sprawdzamy siąsietzdwa BGP wykonując komendę get bgp neighbor summary


nsx-edge-01(tier0_sr)> get bgp neighbor summary 
BFD States: NC - Not configured, AC - Activating,DC - Disconnected
            AD - Admin down, DW - Down, IN - Init,UP - Up
BGP summary information for VRF default for address-family: ipv4Unicast
Router ID: 10.10.203.10  Local AS: 65502

Neighbor                            AS          State Up/DownTime  BFD InMsgs  OutMsgs InPfx  OutPfx

10.10.203.1                         65500       Estab 01w4d23h     NC  17419   17412   19     25    
100.100.10.2                        65555       Estab 00:17:13     NC  29      26      5      25

nsx-edge-01(tier0_sr)> get bgp neighbor summary

BFD States: NC - Not configured, AC - Activating,DC - Disconnected

AD - Admin down, DW - Down, IN - Init,UP - Up

BGP summary information for VRF default for address-family: ipv4Unicast

Router ID: 10.10.203.10 Local AS: 65502

Neighbor AS State Up/DownTime BFD InMsgs OutMsgs InPfx OutPfx

10.10.203.1 65500 Estab 01w4d23h NC 17419 17412 19 25

100.100.10.2 65555 Estab 00:17:13 NC 29 26 5 25

sprawdzamy tablicę routingu wykonując polecenie get route bgp


nsx-edge-01(tier0_sr)> get route bgp

Flags: t0c - Tier0-Connected, t0s - Tier0-Static, B - BGP,
t0n - Tier0-NAT, t1s - Tier1-Static, t1c - Tier1-Connected,
t1n: Tier1-NAT, t1l: Tier1-LB VIP, t1ls: Tier1-LB SNAT,
t1d: Tier1-DNS FORWARDER, t1ipsec: Tier1-IPSec, 
> - selected route, * - FIB route

Total number of routes: 20

b  > * 0.0.0.0/0 [20/0] via 10.10.203.1, uplink-280, 01w4d23h
b  > * 2.2.2.2/32 [20/0] via 10.10.203.1, uplink-280, 01:32:45
b  > * 10.1.1.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h
b  > * 10.2.2.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h
b  > * 10.2.3.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h
b  > * 10.2.4.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h
b  > * 10.10.0.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h
b  > * 10.10.11.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h
b  > * 10.10.201.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h
b  > * 10.10.202.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h
b  > * 10.100.1.0/24 [20/0] via 10.10.203.1, uplink-280, 03:58:22
b  > * 10.100.2.0/24 [20/0] via 10.10.203.1, uplink-280, 03:58:22
b  > * 10.100.3.0/24 [20/0] via 10.10.203.1, uplink-280, 03:58:22
b  > * 10.255.254.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h
b  > * 10.255.255.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h
b  > * 54.37.136.1/32 [20/0] via 10.10.203.1, uplink-280, 01w4d23h
b  > * 192.168.1.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h
b  > * 192.168.3.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h
b  > * 192.168.128.0/24 [20/0] via 100.100.10.2, vti-324, 00:18:17
b  > * 192.168.129.0/24 [20/0] via 100.100.10.2, vti-324, 00:18:17

nsx-edge-01(tier0_sr)> get route bgp

Flags: t0c - Tier0-Connected, t0s - Tier0-Static, B - BGP,

t0n - Tier0-NAT, t1s - Tier1-Static, t1c - Tier1-Connected,

t1n: Tier1-NAT, t1l: Tier1-LB VIP, t1ls: Tier1-LB SNAT,

t1d: Tier1-DNS FORWARDER, t1ipsec: Tier1-IPSec,

> - selected route, * - FIB route

Total number of routes: 20

b > * 0.0.0.0/0 [20/0] via 10.10.203.1, uplink-280, 01w4d23h

b > * 2.2.2.2/32 [20/0] via 10.10.203.1, uplink-280, 01:32:45

b > * 10.1.1.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h

b > * 10.2.2.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h

b > * 10.2.3.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h

b > * 10.2.4.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h

b > * 10.10.0.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h

b > * 10.10.11.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h

b > * 10.10.201.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h

b > * 10.10.202.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h

b > * 10.100.1.0/24 [20/0] via 10.10.203.1, uplink-280, 03:58:22

b > * 10.100.2.0/24 [20/0] via 10.10.203.1, uplink-280, 03:58:22

b > * 10.100.3.0/24 [20/0] via 10.10.203.1, uplink-280, 03:58:22

b > * 10.255.254.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h

b > * 10.255.255.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h

b > * 54.37.136.1/32 [20/0] via 10.10.203.1, uplink-280, 01w4d23h

b > * 192.168.1.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h

b > * 192.168.3.0/24 [20/0] via 10.10.203.1, uplink-280, 01w4d23h

b > * 192.168.128.0/24 [20/0] via 100.100.10.2, vti-324, 00:18:17

b > * 192.168.129.0/24 [20/0] via 100.100.10.2, vti-324, 00:18:17

Weryfikacja Vyos

Wszystkie sprawdzenie po stronie również wykonujemy z poziomu CLI poprzez SSH

Sprawdzenie IPSEC

sprawdzamy sesję IKE


vyos@vyos01:~$ show vpn ike sa 
Peer ID / IP                            Local ID / IP               
------------                            -------------
1.1.1.1                                 2.2.2.2                                

    State  IKEVer  Encrypt  Hash    D-H Group      NAT-T  A-Time  L-Time
    -----  ------  -------  ----    ---------      -----  ------  ------
    up     IKEv2   aes256   sha256_128 5(MODP_1536)   no     3600    86400

vyos@vyos01:~$ show vpn ike sa

Peer ID / IP Local ID / IP

------------ -------------

1.1.1.1 2.2.2.2

State IKEVer Encrypt Hash D-H Group NAT-T A-Time L-Time

----- ------ ------- ---- --------- ----- ------ ------

up IKEv2 aes256 sha256_128 5(MODP_1536) no 3600 86400

Sprawdzamy sesję IPSec


vyos@vyos01:~$ show vpn ipsec sa 
Connection               State    Uptime    Bytes In/Out    Packets In/Out    Remote address    Remote ID    Proposal
-----------------------  -------  --------  --------------  ----------------  ----------------  -----------  ---------------------------------------
peer-1.1.1.1-tunnel-vti  up       24m59s    0B/60B          0/1               1.1.1.1           N/A          AES_CBC_256/HMAC_SHA2_256_128
peer-1.1.1.1-tunnel-vti  up       24m59s    3K/4K           43/67             1.1.1.1           N/A          AES_CBC_256/HMAC_SHA2_256_128/MODP_1536

vyos@vyos01:~$ show vpn ipsec sa

Connection State Uptime Bytes In/Out Packets In/Out Remote address Remote ID Proposal

----------------------- ------- -------- -------------- ---------------- ---------------- ----------- ---------------------------------------

peer-1.1.1.1-tunnel-vti up 24m59s 0B/60B 0/1 1.1.1.1 N/A AES_CBC_256/HMAC_SHA2_256_128

peer-1.1.1.1-tunnel-vti up 24m59s 3K/4K 43/67 1.1.1.1 N/A AES_CBC_256/HMAC_SHA2_256_128/MODP_1536

Weryfikacja BGP

weryfikacja statusu BGP


vyos@vyos01:~$ show ip bgp summary 

IPv4 Unicast Summary:
BGP router identifier 2.2.2.2, local AS number 65555 vrf-id 0
BGP table version 29
RIB entries 47, using 8648 bytes of memory
Peers 1, using 20 KiB of memory

Neighbor        V         AS MsgRcvd MsgSent   TblVer  InQ OutQ  Up/Down State/PfxRcd
100.100.10.1    4      65502      35      40        0    0    0 00:26:10           22

vyos@vyos01:~$ show ip bgp summary

IPv4 Unicast Summary:

BGP router identifier 2.2.2.2, local AS number 65555 vrf-id 0

BGP table version 29

RIB entries 47, using 8648 bytes of memory

Peers 1, using 20 KiB of memory

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd

100.100.10.1 4 65502 35 40 0 0 0 00:26:10 22

Sprawdzenie tablicy routingu


vyos@vyos01:~$ show ip route bgp 
Codes: K - kernel route, C - connected, S - static, R - RIP,
       O - OSPF, I - IS-IS, B - BGP, E - EIGRP, N - NHRP,
       T - Table, v - VNC, V - VNC-Direct, A - Babel, D - SHARP,
       F - PBR, f - OpenFabric,
       > - selected route, * - FIB route, q - queued route, r - rejected route


B>* 10.1.1.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 10.2.2.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 10.2.3.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 10.2.4.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 10.10.0.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 10.10.11.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 10.10.201.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 10.10.202.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 10.10.203.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 10.11.1.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 10.12.1.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 10.100.1.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 10.100.2.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 10.100.3.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 10.255.254.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 10.255.255.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 54.37.136.1/32 [20/0] via 100.100.10.1, vti1, 00:26:46
B>* 192.168.3.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

vyos@vyos01:~$ show ip route bgp

Codes: K - kernel route, C - connected, S - static, R - RIP,

O - OSPF, I - IS-IS, B - BGP, E - EIGRP, N - NHRP,

T - Table, v - VNC, V - VNC-Direct, A - Babel, D - SHARP,

F - PBR, f - OpenFabric,

> - selected route, * - FIB route, q - queued route, r - rejected route

B>* 10.1.1.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 10.2.2.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 10.2.3.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 10.2.4.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 10.10.0.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 10.10.11.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 10.10.201.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 10.10.202.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 10.10.203.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 10.11.1.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 10.12.1.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 10.100.1.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 10.100.2.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 10.100.3.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 10.255.254.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 10.255.255.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 54.37.136.1/32 [20/0] via 100.100.10.1, vti1, 00:26:46

B>* 192.168.3.0/24 [20/0] via 100.100.10.1, vti1, 00:26:46

Na koniec test puszczenie ping z Vyosa to NSX’a dokładnie na ip 10.11.1.1 który potwierdzi nam działanie transmisji w IPSecu


vyos@vyos01:~$ ping 10.11.1.1
PING 10.11.1.1 (10.11.1.1) 56(84) bytes of data.
64 bytes from 10.11.1.1: icmp_seq=1 ttl=63 time=0.749 ms
64 bytes from 10.11.1.1: icmp_seq=2 ttl=63 time=0.902 ms

vyos@vyos01:~$ ping 10.11.1.1

PING 10.11.1.1 (10.11.1.1) 56(84) bytes of data.

64 bytes from 10.11.1.1: icmp_seq=1 ttl=63 time=0.749 ms

64 bytes from 10.11.1.1: icmp_seq=2 ttl=63 time=0.902 ms

Jak widać proces weryfikacji wyszedł pozytywnie i możemy cieszyć się skonfigurowanym IPSeciem typu route base. Jak Macie pytania to zapraszam do kontaktu.

Tags: bgp, get bgp neighbor summary, get ipsecvpn ikesa active, get ipsecvpn session, ike, ipsec, NSX, NSX-T, nsx-t 2.5, NSX-t IPSec Route base, vmware, vyos

Fortimanager integracja z LDAP

Posted on 19 marca, 2020 in FortiManager, Fortinet

Dziś opiszę konfigurację Fortimanager a dokładnie integrację z LDAP’em w celu autoryzacji administratorów. Naszym serwerem LDAP będzie Active Directory które posiadam w labie. Sama konfiguracja zostanie wykonana z poziomu GUI ale na końcu znajdziecie wynik konfiguracji z CLI.

Założenia

dane potrzebne do konfiguracji:

Dane	Wartość
nazwa	safekom.pl
Server Name/IP	10.10.0.111
Common Name Identifier	sAMAccountName
Distinguished Name	DC=safekom,DC=pl
User DN	CN=fmg,OU=Fortinet,OU=Groups,DC=safekom,DC=pl
passowrd	P@ssw0rd!
attributes	member
filter*	(&(objectclass=group)(member=%u))
group	CN=FMG-admin,OU=Fortinet,OU=Groups,DC=safekom,DC=pl

Konfiguracja

Logujemy się do Fortimanagera
Przechodzimy do System Settings
przechodzimy do konfiguracji Remote Authentication Server klikamy Create New wybieramy LDAP Server
W nowym oknie konfigurujemy serwer LDAP zgodnie z założeniami które są przedstawione na początku tego wpisu w tabelce
Zapisujemy ten fragment konfiguracji i przechodzimy do Administrators, gdzie konfigurujemy użytkownika który ma uprawnienia super user i uwierzytelnia się poprzez LDAP
zapisujemy konfigurację i przechodzimy do weryfikacji

Powyższa konfiguracja widoczna z poziomu CLI

Konfiguracja serwera LDAP


config system admin ldap
    edit "safekom.pl"
        set server "10.10.0.111"
        set cnid "sAMAccountName"
        set dn "DC=safekom,DC=pl"
        set type regular
        set username "CN=fmg,OU=Fortinet,OU=Groups,DC=safekom,DC=pl"
        set password ENC MzA1NTkwMTMzNTAxMjMwNmfdGccVihuXSNDq21A4BVmvXMA8oXIm46doF2rgIMtow282vk+qFBrARWtQf13QNTFqweJ4cU105ntCLiDO7aNTiptlMD3vjl68RB8CpwmeDZLoYAisqIIseIGM+AuoBwD9L5qApC+nVNZkyY7JmX6B7Nj0
        set group "CN=FMG-admin,OU=Fortinet,OU=Groups,DC=safekom,DC=pl"
        set filter "(&(objectclass=group)(member=%u))"
        set attributes "member"
            set adom "all_adoms"             
    next
end

config system admin ldap

edit "safekom.pl"

set server "10.10.0.111"

set cnid "sAMAccountName"

set dn "DC=safekom,DC=pl"

set type regular

set username "CN=fmg,OU=Fortinet,OU=Groups,DC=safekom,DC=pl"

set password ENC MzA1NTkwMTMzNTAxMjMwNmfdGccVihuXSNDq21A4BVmvXMA8oXIm46doF2rgIMtow282vk+qFBrARWtQf13QNTFqweJ4cU105ntCLiDO7aNTiptlMD3vjl68RB8CpwmeDZLoYAisqIIseIGM+AuoBwD9L5qApC+nVNZkyY7JmX6B7Nj0

set group "CN=FMG-admin,OU=Fortinet,OU=Groups,DC=safekom,DC=pl"

set filter "(&(objectclass=group)(member=%u))"

set attributes "member"

set adom "all_adoms"

end

Konfiguracja profilu użytkownika


config system admin user
    edit "user-ldap"
            set profileid "Super_User"
            set adom "all_adoms"             
            set policy-package "all_policy_packages"             
        set user_type ldap
        set ldap-server "safekom.pl"
            config meta-data
                edit "Contact Email"
                next
                edit "Contact Phone"
                next
            end
        set wildcard enable
            config dashboard
                edit 1
                    set name "System Information"
                    set column 1
                    set refresh-interval 0
                    set tabid 1
                    set widget-type sysinfo
                next
                edit 2
                    set name "System Resources"
                    set column 1
                    set refresh-interval 0
                    set tabid 1
                    set widget-type sysres
                    set res-view-type real-time 
                    set res-cpu-display each
                next
                edit 3
                    set name "CLI Console"
                    set column 1
                    set refresh-interval 0
                    set tabid 1
                    set widget-type jsconsole
                next
                edit 4
                    set name "License Information"
                    set column 2
                    set refresh-interval 0
                    set tabid 1
                    set widget-type licinfo
                next
                edit 5
                    set name "Unit Operation"
                    set column 2
                    set refresh-interval 0
                    set tabid 1
                    set widget-type sysop
                next
                edit 6
                    set name "Alert Message Console"
                    set column 2
                    set refresh-interval 0
                    set tabid 1
                    set widget-type alert
                next
            end
    next
end

config system admin user

edit "user-ldap"

set profileid "Super_User"

set adom "all_adoms"

set policy-package "all_policy_packages"

set user_type ldap

set ldap-server "safekom.pl"

config meta-data

edit "Contact Email"

edit "Contact Phone"

end

set wildcard enable

config dashboard

edit 1

set name "System Information"

set column 1

set refresh-interval 0

set tabid 1

set widget-type sysinfo

edit 2

set name "System Resources"

set column 1

set refresh-interval 0

set tabid 1

set widget-type sysres

set res-view-type real-time

set res-cpu-display each

edit 3

set name "CLI Console"

set column 1

set refresh-interval 0

set tabid 1

set widget-type jsconsole

edit 4

set name "License Information"

set column 2

set refresh-interval 0

set tabid 1

set widget-type licinfo

edit 5

set name "Unit Operation"

set column 2

set refresh-interval 0

set tabid 1

set widget-type sysop

edit 6

set name "Alert Message Console"

set column 2

set refresh-interval 0

set tabid 1

set widget-type alert

end

*) Uwaga moja do konfiguracji

Wkonfiguracji pojawia się pole filter które według KB wygląda tak: (&(objectcategory=group)(member=*)) po wielu próbach i analizowaniu filtrów ldap zadziałał mi filtr w postaci: (&(objectcategory=group)(member=%u))

Weryfikacja

Wykonujemy próbę zalogowania się użytkownikiem michal który należy do grupy FMG-admin

po prawnym zalogowaniu zobaczymy

Tak jak widać udało się poprawnie zalogować co potwierdzaja log systemowy:


2020-03-19 12:00:12
information
michal-GUI(10.10.0.2)
System manager event
User login/logout successful
User 'michal' with profile 'Super_User' login accepted from GUI(10.10.0.2).

2020-03-19 12:00:12

information

michal-GUI(10.10.0.2)

System manager event

User login/logout successful

User 'michal' with profile 'Super_User' login accepted from GUI(10.10.0.2).

Tags: filt, fmg, forti, forti manager, fortinet, ldap, Remote Authentication Server

Co to jest EVPN

Testowa architektura

Wymagania i ograniczenia

Konfiguracja EVPN

Konfiguracja NSX-T EVPN

Przygotowanie

Konfiguracja VNI POOL

Konfiguracja Segmentu dla T0

Utworzenie i konfiguracja routera T0

Konfiguracja routera VRF A

Router T1

Konfiguracja vMX’a

Weryfikacja

Weryfikacja po stronie vMX

Weryfikacja po stronie NSX-T

vCenter

NSX Manager

Weryfikacja

NSX Federacja

IDS/IPS

Url Filtering

VRF Lilte

NVDS wraca do DVS

Service chaining

Windows 2016

Więcej na Infografice

Linki

Założenia

Konfiguracja NSX-t

Konfiguracja połączenie IPSEC

Konfiguracja Routingu w NSX

Konfiguracja redystrybucji

Konfiguracja BGP pomiędzy NSX a Vyos

Konfiguracja Vyos

Konfiguracja połączenie IPSEC w Vyos

Konfiguracja BGP w Vyos

Weryfikacja

Sprawdzenie po stronie NSX

IPSEC

BGP

Weryfikacja Vyos

Sprawdzenie IPSEC

Weryfikacja BGP

Założenia

Konfiguracja

Powyższa konfiguracja widoczna z poziomu CLI

*) Uwaga moja do konfiguracji

Weryfikacja