Пример настройки Huawei vxlan

Обновлено: 20.11.2024

VXLAN необходимо развернуть на нисходящем интерфейсе для предоставления услуг доступа и восходящем интерфейсе для создания туннеля VXLAN. После развертывания VXLAN на обоих интерфейсах пакеты можно пересылать в сеть VXLAN. Реализация VXLAN описывается в три этапа: идентификация пакета, создание туннеля VXLAN и пересылка пакетов.

Идентификация пакета

В сети VXLAN VNI сопоставляются с BD в режиме 1:1. После того, как пакет достигает VTEP, VTEP может определить BD, которому принадлежит пакет, а затем выбрать правильный туннель для пересылки пакета. Для VTEP доступны два метода идентификации сети VXLAN, к которой принадлежит пакет.

Идентификация VXLAN по VLAN

Сопоставление 1:1 или N:1 между VLAN и BD настраивается на VTEP на основе сетевого планирования. После того как VTEP получает служебный пакет, он правильно выбирает туннель VXLAN для пересылки пакета на основе сопоставления между VLAN и BD и сопоставления между BD и VNI.

На рисунке 2-4 VLAN 10 и VLAN 20 принадлежат BD 10. Сопоставление между VLAN 10 и 20 и BD 10, а также сопоставление между BD 10 и VNI 1000 настраивается на VTEP. После того как VTEP получает пакет от ПК_1 или ПК_2, VTEP пересылает пакет через туннель VXLAN на VNI 1000.

Рис. 2-4. Идентификация VXLAN по VLAN

Идентификация VXLAN по режиму инкапсуляции

Режим инкапсуляции определяет обработку пакетов в зависимости от того, содержит ли пакет теги VLAN. Чтобы реализовать идентификацию VXLAN с помощью режима инкапсуляции, субинтерфейсы уровня 2 должны быть настроены на физическом интерфейсе нисходящей линии связи VTEP, и для этих субинтерфейсов необходимо настроить различные режимы инкапсуляции. Также должно быть определено отображение 1:1 между субинтерфейсами уровня 2 и BD. Затем служебные пакеты отправляются на определенные подинтерфейсы уровня 2 после достижения VTEP. VTEP выбирает правильный туннель VXLAN для пересылки пакетов на основе сопоставления между подинтерфейсами уровня 2 и BD, а также сопоставления между BD и VNI.

В таблице 2-3 перечислены четыре метода обработки пакетов по умолчанию для подинтерфейсов уровня 2, которые используют разные режимы инкапсуляции.

Разрешенный тип пакета

точка1q

С указанным тегом VLAN

Удаляет тег VLAN из исходных пакетов.

Добавляет тег VLAN к пакетам на основе идентификатора VLAN для терминации Dot1q на субинтерфейсе после декапсуляции VXLAN, а затем пересылает их.

удалить тег

Без тегов VLAN

Не выполняет никаких действий с исходными пакетами.

Не выполняет никаких операций, включая добавление, замену или удаление тега VLAN с пакетами после реализации декапсуляции VXLAN.

по умолчанию

Все пакеты независимо от того, содержат ли они теги VLAN

Не выполняет никаких действий с исходными пакетами.

Не выполняет никаких операций, включая добавление, замену или удаление тега VLAN с пакетами после реализации декапсуляции VXLAN.

цинь

С указанными двойными тегами VLAN

Удаляет все теги VLAN из исходных пакетов.

  • S5720HI: добавление двойных тегов VLAN к пакетам на основе внешнего и внутреннего идентификаторов VLAN для терминации QinQ на подчиненном интерфейсе, настроенном с помощью команды qinq terminal pe-vid ce-vid перед их пересылкой.
  • Другие модели: если полученные пакеты не содержат никаких тегов VLAN, добавьте к пакетам двойные теги VLAN на основе идентификаторов внешней и внутренней VLAN для терминации QinQ на субинтерфейсе, настроенном с помощью команды qinq terminal pe-vid ce-vid. перед их пересылкой. Если полученные пакеты содержат теги VLAN, удалите внешний тег VLAN и добавьте двойные теги VLAN к пакетам на основе идентификаторов внешней и внутренней VLAN для терминации QinQ на субинтерфейсе, настроенном с помощью команды qinq Termination pe-vid ce-vid перед их пересылкой. .

Режим инкапсуляции подинтерфейса уровня 2 GE 0/0/1.1 — dot1q, что позволяет пакетам с тегом VLAN 10 проходить через туннель VXLAN.

Режим инкапсуляции подинтерфейса уровня 2 GE 0/0/1.1 не содержит тегов, что позволяет пакетам без тега VLAN проходить через туннель VXLAN.

После того, как пакеты от ПК_1 или ПК_2 достигают VTEP, VTEP отправляет пакеты на разные подинтерфейсы уровня 2 на основе тегов VLAN в пакетах. Затем VTEP выбирает правильный туннель VXLAN для пересылки пакетов на основе сопоставления между субинтерфейсом и BD, а также сопоставления между BD и VNI.

Рис. 2-5. Идентификация VXLAN по режиму инкапсуляции

Прокладка туннеля

Туннель VXLAN определяется парой IP-адресов конечной точки туннеля VXLAN (VTEP). Статический туннель VXLAN можно создать после того, как идентификаторы сети VXLAN (VNI) и IP-адреса настроены для исходного и целевого VTEP, а между двумя IP-адресами VTEP имеется доступный маршрут.

На рис. 2-6 узлы Host2 и Host3 развернуты на коммутаторе 1, а узел Host1 развернут на коммутаторе 2. Для обеспечения связи между узлами необходимо установить туннели VXLAN.

В этой ситуации туннели VXLAN устанавливаются двумя способами:

Узел 1 и узел 2 запланированы в одном и том же сегменте сети, и на коммутаторе 1 и коммутаторе 2 необходимо настроить один и тот же VNI, поскольку у узла 1 и узла 2 одинаковые требования к обслуживанию. Хосты в VNI находятся в одной и той же логической сети уровня 2, поэтому они могут напрямую взаимодействовать на уровне 2 через туннель VXLAN. Чтобы обеспечить связь между хостом 1 и хостом 2, IP-адреса VNI и VTEP необходимо вручную настроить на коммутаторе 1 и коммутаторе 2. Пока коммутатор 1 и коммутатор 2 имеют доступный маршрут к IP-адресу VTEP друг друга, туннель VXLAN может быть между ними.

Узел 1 и узел 3 запланированы в разных сегментах сети, и на коммутаторе 1 и коммутаторе 2 необходимо настроить разные VNI, поскольку у узла 1 и узла 3 разные требования к обслуживанию. Хосты в разных VNI не могут напрямую обмениваться данными на уровне 2 через туннель VXLAN, поэтому необходимо настроить шлюз VXLAN уровня 3. Чтобы обеспечить связь между хостом 1 и хостом 3, статические VNI и IP-адреса VTEP необходимо вручную настроить для коммутатора 1 и коммутатора 3, а также для коммутатора 2 и коммутатора 3. Пока коммутатор 1 и коммутатор 3 имеют доступный маршрут к каждому из них. IP-адрес другого VTEP, между ними может быть установлен туннель VXLAN. Точно так же, если коммутатор 2 и коммутатор 3 имеют доступный маршрут к IP-адресу VTEP друг друга, между ними может быть установлен туннель VXLAN.

Пересылка пакетов

VXLAN инкапсулирует сетевые пакеты уровня 2 для их передачи по традиционным сетям уровня 3, создавая большую сеть уровня 2 среди сетей уровня 3.

Изучение MAC-адреса

В сети VXLAN поддерживается динамическое изучение MAC-адресов для обеспечения связи между пользователями. Рисунок 2-7 и Рисунок 2-7 описывают процесс изучения MAC-адреса во время связи между хостами в одной подсети. Впервые ПК_1 не знает MAC-адрес ПК_2. Затем ПК_1 отправляет широковещательный пакет ARP для запроса MAC-адреса ПК_2.

Рис. 2-7 Процесс пересылки пакетов запроса ARP

На рис. 2-7 показан процесс пересылки пакетов запроса ARP.

  1. ПК_1 отправляет широковещательный пакет ARP с MAC-адресом источника MAC_1, MAC-адресом назначения all-F, IP-адресом источника IP_1 и IP-адресом назначения IP_2, чтобы запросить MAC-адрес ПК_2.
  2. Коммутатор 1 получает пакет запроса ARP, отправленный компьютером PC_1, и выбирает туннель VXLAN на основе интерфейса, который получает пакет. Благодаря отображению 1:1 между интерфейсами и BD, VTEP1 получает VNI, которому принадлежит пакет, после определения BD пакета. Затем VTEP1 изучает сопоставление между MAC_1, VNI и интерфейсом, получающим пакет, и сохраняет сопоставление в локальной таблице MAC-адресов. После получения списка входной репликации для VNI на основе соответствующего BD, VTEP1 реплицирует пакеты и выполняет инкапсуляцию туннеля VXLAN. Во время инкапсуляции пакетов VTEP1 добавляет IP-адреса VTEP-источника (VTEP1) и VTEP-адресата (VTEP2 и VTEP3), MAC-адреса VTEP1 и устройства следующего перехода на маршруте к VTEP-адресату в качестве внешнего IP-адреса источника, адресата. IP, MAC-адрес источника и MAC-адрес назначения соответственно. Инкапсулированный пакет передается на основе внешних MAC- и IP-адресов, пока не достигнет VTEP назначения (VTEP2/VTEP3).
  3. VTEP2/VTEP3 на коммутаторе 2/коммутаторе 3 получает инкапсулированный пакет VXLAN и декапсулирует пакет, чтобы получить исходный пакет, отправленный PC_1. VTEP2 и VTEP3 также изучают сопоставление между MAC-адресом ПК_1, VNI и IP-адресом удаленного VTEP и сохраняют сопоставление в локальной таблице MAC-адресов. Затем VTEP 2 и VTEP 3 обрабатывают пакет на основе конфигурации интерфейса и передают пакет в соответствующем домене уровня 2.
  4. После получения пакета запроса ARP ПК_2 и ПК_3 проверяют, является ли IP-адрес назначения в пакете своим собственным IP-адресом. Если это так, PC_2 или PC_3 отправляет ответный пакет ARP. Если нет, ПК_2 или ПК_3 отбрасывает пакет.

Рис. 2-8 Процесс пересылки пакетов ответа ARP

На рис. 2-8 показан процесс пересылки пакетов ответа ARP.

  1. ПК_2 отправляет одноадресный ответный пакет ARP после получения MAC-адреса ПК_1. MAC-адрес источника, MAC-адрес назначения, IP-адрес источника и IP-адрес назначения в пакете: MAC_2, MAC_1, IP_2 и IP_1 соответственно.
  2. После получения пакета ответа ARP VTEP2 проверяет VNI, которому принадлежит пакет. В то же время VTEP2 изучает сопоставление между MAC_2, VNI и интерфейсом, получающим пакет, и сохраняет сопоставление в локальной таблице MAC-адресов. Затем VTEP2 инкапсулирует пакет.Во время инкапсуляции пакетов VTEP2 добавляет IP-адреса исходного VTEP (VTEP2) и целевого VTEP (VTEP1), MAC-адреса VTEP2 и устройства следующего перехода на маршруте к VTEP1 в качестве внешнего исходного IP-адреса, целевого IP-адреса, исходного MAC-адреса. и MAC-адреса назначения соответственно. Инкапсулированный пакет передается на основе внешних MAC- и IP-адресов, пока не достигнет VTEP-получателя (VTEP1).
  3. VTEP1 получает инкапсулированный пакет VXLAN и декапсулирует пакет, чтобы получить исходный пакет, отправленный PC_2. VTEP1 также изучает сопоставление между MAC-адресом ПК_2, VNI и IP-адресом удаленного VTEP (VTEP2) и сохраняет сопоставление в локальной таблице MAC-адресов. Затем VTEP1 отправляет декапсулированный пакет на ПК_1. Узнав MAC-адреса друг друга, ПК_1 и ПК_2 обмениваются данными в одноадресном режиме.

Пересылка пакетов внутри подсети

Процесс пересылки пакетов подразделяется на пересылку известных одноадресных пакетов и широковещательную рассылку, пересылку неизвестных одноадресных пакетов и пересылку многоадресных пакетов (BUM) в зависимости от типа MAC-адреса получателя в исходных пакетах.

Только шлюзы VXLAN уровня 2 могут реализовывать известную переадресацию одноадресных пакетов в подсети и пересылку пакетов BUM. Процессы пересылки не требуют шлюза уровня 3.

Процесс пересылки известных одноадресных пакетов

На рис. 2-9 показан известный процесс пересылки одноадресных пакетов.

Рис. 2-9 Процесс пересылки известных одноадресных пакетов

  1. После того, как коммутатор 1 получает пакет от ПК_1, коммутатор 1 определяет домен моста уровня 2 (BD) пакета на основе интерфейса доступа и информации VLAN, содержащейся в пакете, и ищет информацию об исходящем интерфейсе и инкапсуляции на основе БД.
  2. Конечная точка туннеля VXLAN (VTEP1) на коммутаторе 1 инкапсулирует пакет на основе найденной информации об инкапсуляции и перенаправляет пакет на исходящий интерфейс.
  3. После того как VTEP2 на коммутаторе 2 получает пакет VXLAN, он проверяет номер порта назначения UDP, исходный и целевой IP-адреса, а также сетевой идентификатор VXLAN (VNI) пакета, чтобы определить его достоверность. После подтверждения того, что пакет действителен, VTEP получает BD на основе VNI и декапсулирует пакет VXLAN для получения внутреннего пакета уровня 2.
  4. Коммутатор 2 определяет исходящий интерфейс и информацию об инкапсуляции в таблице локальных MAC-адресов на основе MAC-адреса назначения во внутреннем пакете уровня 2, добавляет к пакету тег VLAN и перенаправляет его на ПК_2.

Пересылка пакетов с ПК_2 на ПК_1 аналогична описанной выше и здесь не упоминается.

Процесс пересылки пакетов BUM

После того как пакет BUM входит в туннель VXLAN, исходный VTEP реплицирует пакет BUM на основе списка туннелей и инкапсулирует исходный и реплицированный пакеты. Когда эти пакеты покидают туннели VXLAN, VTEP назначения декапсулируют их. На рис. 2-10 показан процесс пересылки пакетов BUM.

В сети VXLAN для VNI можно настроить несколько целевых IP-адресов VTEP, и список этих IP-адресов рассматривается как список туннелей. После того как интерфейс получает пакет BUM, исходный VTEP реплицирует пакет на основе списка туннелей и пересылает его всем VTEP с одним и тем же VNI.

Рис. 2-10. Процесс пересылки пакетов BUM

  1. После того, как коммутатор 1 получает пакет от ПК_1, коммутатор 1 определяет BD пакета на основе интерфейса доступа и информации VLAN, содержащейся в пакете.
  2. VTEP1 на коммутаторе 1 получает список туннелей для VNI на основе BD, реплицирует пакет на основе списка туннелей и выполняет инкапсуляцию туннеля VXLAN перед его пересылкой на исходящий интерфейс.
  3. После того как VTEP2 на коммутаторе 2 или коммутаторе 3 получает пакет VXLAN, он проверяет номер порта назначения UDP, исходный и целевой IP-адреса и VNI пакета, чтобы определить его достоверность. После подтверждения того, что пакет действителен, VTEP получает BD на основе VNI и декапсулирует пакет VXLAN для получения внутреннего пакета уровня 2.
  4. Коммутатор 2 или коммутатор 3 проверяет MAC-адрес назначения внутреннего пакета уровня 2 и обнаруживает, что это пакет BUM, а затем коммутатор 2 или коммутатор 3 транслирует пакет в соответствующем BD на сторону пользователя. Коммутатор 2 или Коммутатор 3 находит все исходящие интерфейсы на стороне пользователя и информацию об инкапсуляции в таблице локальных MAC-адресов, добавляет к пакету тег VLAN и перенаправляет его на ПК_2 или ПК_3.

Пересылка пакетов между подсетями

Если конечным пользователям на сайте VXLAN требуется доступ в Интернет или связь с конечными пользователями на другом сайте VXLAN, необходимо развернуть шлюз VXLAN уровня 3, чтобы предоставлять конечным пользователям услуги уровня 3. На рис. 2-11 показан процесс пересылки пакетов между подсетями.

IP-адреса ПК_1 и ПК_2 находятся в разных сегментах сети.В первый раз ПК_1 необходимо передать пакет запроса ARP, чтобы запросить MAC-адрес VBDIF 10. После получения MAC-адреса шлюза ПК_1 отправляет пакет данных на шлюз. Шлюз также передает пакет запроса ARP для запроса MAC-адреса ПК_2. После получения MAC-адреса шлюз пересылает пакет данных на ПК_2. Предыдущий процесс обучения MAC-адресов такой же, как и в обучении MAC-адресов.

Рис. 2-11 Процесс пересылки пакетов между подсетями

  1. После того, как коммутатор 1 получает пакет от ПК_1, коммутатор 1 определяет BD уровня 2 пакета на основе интерфейса доступа и информации VLAN, содержащейся в пакете, и ищет информацию об исходящем интерфейсе и инкапсуляции на основе BD.< /li>
  2. VTEP1 на коммутаторе 1 выполняет инкапсуляцию туннеля VXLAN на основе исходящего интерфейса и информации об инкапсуляции и перенаправляет пакет на коммутатор 3.
  3. Коммутатор 3 декапсулирует полученный пакет VXLAN, обнаруживает, что MAC-адрес назначения во внутреннем пакете — это MAC_3 интерфейса шлюза уровня 3 VBDIF10, и определяет, что пакет необходимо переслать на уровне 3.
  4. Коммутатор 3 удаляет заголовок Ethernet из внутреннего пакета, чтобы проанализировать IP-адрес назначения. Затем он просматривает таблицу маршрутизации на основе IP-адреса назначения, чтобы получить адрес следующего перехода, и ищет записи ARP на основе следующего перехода, чтобы получить MAC-адрес назначения, исходящий интерфейс туннеля VXLAN и VNI.
  5. Коммутатор 3 повторно инкапсулирует пакет VXLAN и перенаправляет его на коммутатор 2. MAC-адрес источника в заголовке Ethernet внутреннего пакета — MAC_4 интерфейса шлюза уровня 3 VBDIF20.
  6. После того как VTEP2 на коммутаторе 2 получает пакет VXLAN, он проверяет номер порта назначения UDP, исходный и целевой IP-адреса, а также сетевой идентификатор VXLAN (VNI) пакета, чтобы определить его достоверность. Затем VTEP получает BD на основе VNI, декапсулирует пакет для получения внутреннего пакета уровня 2 и ищет информацию об исходящем интерфейсе и инкапсуляции в соответствующем BD.
  7. Коммутатор 2 добавляет к пакету тег VLAN на основе исходящего интерфейса и информации об инкапсуляции и перенаправляет пакет на ПК_2.

Пересылка пакетов с ПК_2 на ПК_1 аналогична описанной выше и здесь не упоминается.

На рис. 1-7 узлы корешка, пограничного листа и сервисного листа объединены. Конечные узлы сервера и комбинированные конечные узлы корешка/граница/конечные узлы службы образуют двухуровневую архитектуру в физической топологии.

  • Пограничный конечный уровень: пограничные конечные узлы функционируют как выходные узлы распределенной оверлейной сети. В южном направлении они подключаются к конечным узлам сервера через маршрутизируемые интерфейсы уровня 3, реализуя пересылку ECMP. В северном направлении они подключаются к выходным маршрутизаторам (PE).
  • Конечный уровень сервера: конечные узлы сервера настроены с помощью M-LAG и подключены к узлам позвоночника через маршрутизируемые интерфейсы уровня 3 в северном направлении.

Рисунок 1-7 Сеть для настройки сети VXLAN с использованием двухуровневой архитектуры в режиме развертывания распределенного шлюза в DC

Запланируйте два типа адресов интерфейса замыкания на себя для коммутаторов. Предложения следующие:

  • Loopback0: его IP-адрес используется в качестве IP-адреса VTEP. Члены группы устройств «активный-активный» должны использовать один и тот же IP-адрес VTEP.
  • Петля1:
    • Его IP-адрес используется в качестве идентификатора маршрутизатора.
    • Его IP-адрес используется в качестве IP-адреса группы DFS M-LAG.
    • Он используется в качестве исходного интерфейса, который отправляет пакеты BGP при установлении одноранговых отношений BGP EVPN.

    Таблица 1-7 содержит план адресации интерфейса обратной связи для каждого коммутатора.

    IP-адрес Loopback0

    IP-адрес Loopback1

    10.125.99.1/32 (виртуальный MAC-адрес: 0000-5e00-0101)

    10.125.99.1/32 (виртуальный MAC-адрес: 0000-5e00-0101)

    Подключенное устройство и номер интерфейса

    BorderLeaf_2: Eth-магистраль 20

    Ссылка для обхода исходящего трафика

    IP-адрес интерфейса на канале управления для взаимодействия с брандмауэром

    BorderLeaf_1: Eth-магистраль 20

    Ссылка для обхода исходящего трафика

    IP-адрес интерфейса на канале управления для взаимодействия с брандмауэром

    Eth-Trunk 0 (GigabitEthernet 1/0/0 и 1/0/1)

    Интерфейс Heartbeat брандмауэра

    Eth-Trunk 11 (GigabitEthernet 1/0/8 и 1/0/9)

    Интерфейсы, подключенные к BorderLeaf_1 и BorderLeaf_2

    Интерфейс Heartbeat брандмауэра

    Eth-Trunk 11 (GigabitEthernet 1/0/8 и 1/0/9)

    Интерфейсы, подключенные к BorderLeaf_1 и BorderLeaf_2

    IP-адрес для доступа к внешней сети

    Имя экземпляра VPN

    Дорожная карта конфигурации

    1. Настройте команды оптимизации VXLAN.
    2. Настройте базовую сеть.
      1. Настройте граничные конечные узлы.
        1. Настройте IP-адреса для взаимодействия уровня 3 с конечными узлами сервера, IP-адреса управления для взаимодействия с брандмауэрами, IP-адреса Loopback0 (используются как IP-адреса VTEP), IP-адреса Loopback1 (используются как идентификаторы маршрутизатора и IP-адреса группы DFS) и IP-адреса VTEP интерфейсов NVE.
        2. Настройте глобальный режим M-LAG, группу DFS, одноранговую связь и интерфейсы M-LAG, подключенные к брандмауэрам.
        3. Настройте OSPF, установите сетевой тип интерфейсов OSPF на P2P, объявите адреса интерфейсов обратной связи и IP-адреса управления для взаимодействия с брандмауэрами и настройте BGP EVPN в качестве плоскости управления VXLAN.

        Дорожная карта конфигурации такая же, как и для граничных конечных узлов.

        1. Настройте базовую информацию о брандмауэрах.
        2. Отключить активные и резервные брандмауэры от локального резервного копирования работающих конфигураций.
        3. Настройте интерфейсы для подключения брандмауэров к граничным конечным узлам или конечным узлам службы.
        4. Настройте пульсирующие интерфейсы между двумя брандмауэрами.
        5. Настройте активный/резервный режим зеркалирования для двух брандмауэров.
        6. Настройте зоны безопасности и политику безопасности по умолчанию. Конфигурация должна быть выполнена только на FW-1, а FW-2 автоматически синхронизирует конфигурацию.
        7. Включите функцию vSYS на брандмауэрах. Конфигурация должна быть выполнена только на FW-1, а FW-2 автоматически синхронизирует конфигурацию.
          1. Настройте пограничные конечные узлы.
          2. Настройте конечные узлы сервера.
          3. Настройте брандмауэры.

          Процедура

          Перед настройкой VXLAN на коммутаторе CE настройте команды оптимизации VXLAN, сервисную петлю и зарезервированную VLAN для интерфейса уровня 3 в зависимости от модели устройства, чтобы обеспечить стабильную работу службы. Команды конфигурации различаются в зависимости от модели устройства. Когда коммутаторы CE16800, CE6881 или CE6863, CE6863E используются в качестве граничных конечных узлов, служебных листов и серверных конечных узлов, необходимо выполнить следующие настройки. Ниже в качестве примера используется BorderLeaf_1.

            Настройте пограничные конечные узлы.
              Настройте IP-адреса.
                Настройте IP-адреса для интерфейсов, соединяющих пограничные конечные узлы с другими устройствами.

              Настройте сервисные ссылки для взаимодействия с брандмауэрами.

                Для V200R005C00 и более ранних версий

              В этом примере настроен только один нисходящий интерфейс. Настройте нисходящие интерфейсы в соответствии с фактическими требованиями.

                Для V200R005C00 и более ранних версий

                Настройте конечные узлы сервера.

                Настройте режим туннеля VXLAN и включите функцию расширения ACL VXLAN. (Этот шаг требуется только для моделей CE12800, CE16800 с картами серии A, CE6870EI и CE6875EI.)

              После настройки режима туннеля VXLAN или включения функции расширения списка контроля доступа VXLAN сохраните конфигурацию и перезапустите устройство, чтобы конфигурация вступила в силу. Вы можете перезапустить устройство сразу или после завершения всех настроек.

              • Интерфейс-участник должен быть бездействующим физическим интерфейсом, который не передает никаких услуг. Статус интерфейса не требуется.
              • Убедитесь, что пропускная способность интерфейса замыкания на себя службы Eth-Trunk как минимум в два раза превышает пропускную способность, необходимую для передачи трафика на шлюзе VXLAN уровня 3. Например, если трафик отправляется от пользователей к шлюзу через сеть VXLAN со скоростью 10 Гбит/с, добавьте два интерфейса 10GE к Eth-Trunk, используемому в качестве петлевого интерфейса службы.

              Настройте статический маршрут для доступа к внешней сети через пограничные конечные узлы.

              Службы, связанные с внешней сетью, перенаправляются брандмауэрами, но исходный IP-адрес остается неизменным. Чтобы арендаторы могли использовать общедоступные IP-адреса для связи с устройствами в Интернете, настройте SNAT для выполнения преобразования между частными и общедоступными исходными IP-адресами.

                Настройте ключевые параметры vSYS.

              Проверка конфигурации

              1. После завершения настройки базовой сети выполните следующие шаги, чтобы проверить правильность настроек.
                1. Проверьте состояние соседа OSPF в базовой сети и проверьте, могут ли адреса интерфейсов обратной связи проверять связь друг с другом. В следующем примере в качестве примера используется вывод команды на BorderLeaf_1.

                Статус туннелей на ServerLeaf1_2, ServerLeaf2_1 и ServerLeaf2_2 изменится на Up только после того, как серверы будут подключены к субинтерфейсам уровня 2 на конечных узлах серверов. Если ни один сервер не подключен к подинтерфейсам уровня 2, статус туннеля VXLAN нельзя проверить, поскольку маршрут IRB не объявляется.

                Файлы конфигурации

                Файл конфигурации BorderLeaf_1

                Файл конфигурации BorderLeaf_2

                Файл конфигурации ServerLeaf1_1

                Файл конфигурации ServerLeaf1_2

                Файлы конфигурации ServerLeaf2_1 и ServerLeaf2_2 аналогичны файлам ServerLeaf1_1 и ServerLeaf1_2 и здесь не упоминаются.

                У вас слишком ранняя версия браузера. Некоторые функции сайта могут быть недоступны. Чтобы улучшить взаимодействие с пользователем, обновите браузер до последней версии.

                Корпоративные продукты, решения и услуги

                Поддерживающая документация

                В этом документе описываются конфигурации VXLAN.

                Huawei использует машинный перевод в сочетании с корректурой, чтобы перевести этот документ на разные языки, чтобы помочь вам лучше понять его содержание. Примечание. Даже самый совершенный машинный перевод не может сравниться по качеству с профессиональными переводчиками. Компания Huawei не несет никакой ответственности за точность перевода, поэтому рекомендуется обратиться к документу на английском языке (ссылка на который предоставлена).

                Пример настройки сети VXLAN для реализации свободной мобильности с использованием пакетов VXLAN, несущих информацию о группе пользователей

                Требования к сети

                В сети, где настроена бесплатная мобильность, точка аутентификации и точка применения групповой политики для доступа пользователей настраиваются на одном устройстве. В результате политики соответствующей группы во всей сети необходимо настраивать на точке аутентификации пользователя, что не способствует планированию политик. Кроме того, если пользователь получает доступ к сети из другой точки аутентификации, для которой не настроена соответствующая групповая политика, это влияет на авторизацию пользователя. Чтобы решить эту проблему, сеть VXLAN может быть построена между устройством доступа пользователя и устройством доступа к сетевым ресурсам. Когда аутентифицированный пользователь, относящийся к группе безопасности, получает доступ к сетевым ресурсам через туннель VXLAN, пакеты VXLAN несут информацию о группе пользователей. Устройство доступа к сетевым ресурсам декапсулирует пакеты VXLAN, идентифицирует группу безопасности пользователя и может авторизовать пользователя с помощью локально настроенной групповой политики.

                На рис. 11-9 VTEP2 функционирует как точка аутентификации пользователя. Вам необходимо указать политику доступа пользователя к почтовому серверу. В этом случае вы можете настроить сеть VXLAN между VTEP2 и VTEP3 для передачи информации о группе пользователей, авторизованной на VTEP2, на VTEP3 через пакеты VXLAN. Групповую политику для доступа к локальному почтовому серверу можно настроить на VTEP3.

                Рис. 11-9. Настройка туннеля VXLAN для реализации свободной мобильности с использованием пакетов VXLAN, несущих информацию о группе пользователей

                В этом примере используется интерфейс карты серии X в качестве интерфейса на стороне туннеля в качестве примера для описания конфигурации.

                На рис. 1-6 новая сеть центра обработки данных предприятия использует развертывание централизованного шлюза. Коммутаторы Spine функционируют как шлюзы уровня 3, а конечные коммутаторы функционируют как устройства доступа уровня 2 для подключения к серверам. Чтобы обеспечить высокую надежность, коммутаторы позвоночника используют централизованные все активные шлюзы, а коммутаторы листьев развертываются в режиме стека или с использованием M-LAG.

                На предыдущем рисунке 1/0/1 обозначает номер интерфейса, а скорость интерфейса составляет 10 Гбит/с. То есть 1/0/1 указывает на 10GE1/0/1. Другие интерфейсы задаются аналогичным образом.

                Дорожная карта конфигурации

                Настройте протокол маршрутизации, чтобы обеспечить подключение уровня 3 в базовой сети.

                Настройте BGP EVPN для создания туннелей VXLAN между конечными и корневыми коммутаторами.

                Примечания по настройке

                Выполните команду assign forward nvo3 service extension enable в системном представлении, чтобы включить функцию расширения службы NVO3.

                По умолчанию функция расширения службы NVO3 отключена на коммутаторе. После настройки службы NVO3 на коммутаторе существует высокая вероятность того, что на коммутаторе не удастся настроить другие ресурсоемкие службы ACL, такие как MQC, упрощенный ACL, контроль трафика, сбор статистики трафика BD и DHCP. Вы можете запустить эту команду на коммутаторе, настроенном с помощью службы NVO3, чтобы уменьшить вероятность сбоя конфигурации на картах EC (кроме карт CE-L48GT-EC и CE-L48GS-EC), картах серий ED, EF и EG.

                Выполните команду assign forward nvo3 f-linecard compatibility enable в системном представлении, чтобы убедиться, что трафик VXLAN может пересылаться, когда режим взаимодействия карт не является расширенным.

                Если трафик VXLAN перенаправляется между картами, когда режим взаимодействия карт является нерасширенным режимом, трафик VXLAN может не пересылаться. Чтобы использовать функцию VXLAN, вы должны настроить команду assign forward nvo3 f-linecard compatibility enable, когда режим взаимодействия карт не является расширенным.

                Процедура

                1. Настройте стек между конечными коммутаторами. В этом примере Leaf3 и Leaf4 создают стек, а Leaf3 является главным коммутатором.

                  Настройте режим туннеля VXLAN и включите функцию расширения ACL VXLAN. (Этот шаг необходимо выполнить только на моделях CE12800, CE16800 с картами серии A, CE6870EI и CE6875EI.)

                После настройки режима туннеля VXLAN и включения функции расширения списка контроля доступа VXLAN необходимо сохранить конфигурацию и перезапустить коммутатор, чтобы конфигурация вступила в силу. Вы можете перезапустить коммутатор сразу или после завершения всех настроек.

                Когда CE6855HI, CE6856HI и CE7855EI функционируют как шлюзы VXLAN уровня 3, им необходимо использовать интерфейсы VBDIF для подключения к внешним сетям.

                Когда CE6855HI, CE6856HI и CE7855EI функционируют как шлюзы VXLAN уровня 3, вы не можете запустить ip route-static vpn-instance vpn-source-name target-address < mask< /эм> | длина маски > < public | vpn-instance vpn-destination-name > команда для настройки статического маршрута с указанием только экземпляра VPN в качестве следующего прыжка (без указания исходящего интерфейса или адреса следующего прыжка) для реализации связи между VPN внутри сети VXLAN или между сетью VXLAN и сетью без VXLAN.

                Проверка конфигурации

                Выполните команду display vxlantunnel, чтобы проверить информацию о туннеле VXLAN. В следующем примере показан вывод команды на Spine1.

                Читайте также: