25、VXLAN BGP EVPN网络中的防火墙、负载均衡器及服务链部署

VXLAN BGP EVPN网络中的防火墙、负载均衡器及服务链部署

1. 基于策略路由（PBR）的租户内/东西向防火墙

在VXLAN BGP EVPN网络中，PBR匹配结果可指向一个下一跳，只要该下一跳已知且可达，就可通过递归查找并经VXLAN实现通信。例如，假设从端点192.168.1.101到192.168.2.101的流量必须经过防火墙，且返回流量也需通过防火墙，那么在服务于端点192.168.2.101的VTEP上也必须配置PBR规则。

若192.168.1.0/24子网内的每个端点与192.168.2.0/24子网内的端点通信时都需要保护，那么所有服务于这两个子网的VTEP都要安装PBR规则。随着VRF中需要保护的子网数量增加，PBR规则集可能会变得难以管理，ACL表的规模也会成为问题。

基于PBR的方法可强制实施端点到端点的IP子网流量保护，并且出于性能考虑，某些通信中的流量可以绕过防火墙。虽然网络服务头（NSH）、段路由（SR）和LISP是目前与服务重定向相关的有效标准，但在VXLAN BGP EVPN网络中，PBR也具备逐跳影响和控制流量转发的能力。

1.1 PBR规则配置步骤

1. 确定需要保护的子网和端点。
2. 在服务于这些子网的VTEP上配置PBR规则，指定下一跳。
3. 确保下一跳可达，并进行递归查找。

1.2 PBR优缺点分析