当前位置:首页>微思动态 > >详情
全国热线电话 400-881-4699

在线留言

【技术分享】VXLAN在数据中心中的应用

发布作者:微思网络   发布时间:2023-05-18   浏览量:0

图片


组网需求


如图所示,在数据中心中,同一个VPC(Virtual Private Cloud)的VM(虚拟主机)部署在不同的X86服务器上。由支持VXLAN的二层设备负责接入和二层转发。FW承担VXLAN网关的角色,同时负责VPC之间以及VPC和实体网络之间的网络安全。不同的VPC之间需要做路由隔离,对外体现公网地址。为了组网的安全稳定,还需要FW的双机热备。



操作步骤



  1. 在FW_A上完成网络基本配置。
# 配置各接口的IP地址。
<FW_A> system-view 
[FW_A] interface GigabitEthernet 0/0/0
[FW_A-GigabitEthernet0/0/0] ip address 10.0.10.11 24
[FW_A-GigabitEthernet0/0/0] quit 
[FW_A] interface GigabitEthernet 0/0/1
[FW_A-GigabitEthernet 0/0/1] ip address 172.16.0.1 24
[FW_A-GigabitEthernet 0/0/1] quit 
[FW_A] interface GigabitEthernet 0/0/2
[FW_A-GigabitEthernet 0/0/2] ip address 10.1.0.1 24
[FW_A-GigabitEthernet 0/0/2] quit 

# 将各接口加入相应的安全区域。
[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 0/0/0
[FW_A-zone-trust] quit 
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface GigabitEthernet 0/0/1
[FW_A-zone-dmz] add interface Virtual-if0
[FW_A-zone-dmz] quit 
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 0/0/2
[FW_A-zone-untrust] quit

# 配置OSPF,引入静态路由。
[FW_A] ospf 10
[FW_A-ospf-10] import-route static
[FW_A-ospf-10] area 0
[FW_A-ospf-10-area-0.0.0.0] network 10.1.0.0 0.0.0.255
[FW_A-ospf-10-area-0.0.0.0] quit
[FW_A-ospf-10] quit
  1. 在FW_A上配置双机热备功能。
# 由于FW上行连接路由器,下行连接交换机,因此需要在FW上配置VGMP组监控上行接口,并在下行接口上配置VRRP备份组。

# 配置VGMP组监控上行业务接口。
[FW_A] hrp track interface GigabitEthernet 0/0/2

# 在下行业务接口GE0/0/0上配置VRRP备份组1,并将其状态设置为Active。
[FW_A] interface GigabitEthernet 0/0/0
[FW_A-GigabitEthernet0/0/0] vrrp vrid 1 virtual-ip 10.0.10.10 active
[FW_A-GigabitEthernet0/0/0] quit

# 配置根据VGMP状态调整OSPF Cost值功能。
[FW_A] hrp adjust ospf-cost enable

#开启静态路由的自动备份功能。
[FW_A] hrp auto-sync config static-route

# 指定心跳口并启用双机热备功能。
[FW_A] hrp interface GigabitEthernet 0/0/1 remote 172.16.0.2 
[FW_A] hrp enable 
  1. 完成FW_B的配置,建立双机热备状态。 FW_B和上述FW_A的配置基本相同,不同之处在于: a. FW_B各接口的IP地址与FW_A各接口的IP地址不相同。 b. FW_B的OSPF路由发布的网段与FW_A不相同。 c. FW_B的下行业务接口GigabitEthernet0/0/0上的VRRP备份组1的状态设置为Standby。

  2. 配置BD、VNI和VXLAN隧道。

配置BD,关联VNI。
HRP_M[FW_A] bridge-domain 1
HRP_M[FW_A-bd-1] vxlan vni 8001 
HRP_M[FW_A-bd-1] quit 
HRP_M[FW_A] bridge-domain 2
HRP_M[FW_A-bd-2] vxlan vni 8002 
HRP_M[FW_A-bd-2] quit 

配置VXLAN隧道,源地址使用VRRP备份组的虚拟IP地址。
HRP_M[FW_A] interface nve 1
HRP_M[FW_A-Nve1] source 10.0.10.10
HRP_M[FW_A-Nve1] vni 8001 head-end peer-list 10.0.20.10 10.0.20.11
HRP_M[FW_A-Nve1] vni 8002 head-end peer-list 10.0.20.10 10.0.20.11
HRP_M[FW_A-Nve1] quit
  1. 创建虚拟系统,分配VNI和公网地址。
HRP_M[FW_A] vsys enable
HRP_M[FW_A] vsys name vsys1
HRP_M[FW_A-vsys-vsys1] assign global-ip 1.1.1.1 1.1.1.100 exclusive
HRP_M[FW_A-vsys-vsys1] assign vni 8001
HRP_M[FW_A-vsys-vsys1] quit
HRP_M[FW_A] vsys name vsys2
HRP_M[FW_A-vsys-vsys2] assign global-ip 2.2.2.2 2.2.2.100 exclusive
HRP_M[FW_A-vsys-vsys2] assign vni 8002
HRP_M[FW_A-vsys-vsys2] quit
  1. 创建BDIF,并配置IP地址。
HRP_M[FW_A] interface vbdif1
HRP_M[FW_A-Vbdif1] ip address 192.168.1.1 255.255.255.0
HRP_M[FW_A-Vbdif1] quit
HRP_M[FW_A] interface vbdif2
HRP_M[FW_A-Vbdif2] ip address 192.168.2.1 255.255.255.0
HRP_M[FW_A-Vbdif2] quit
  1. 配置根墙的静态路由。
假设与下行接口互联的IP地址是10.0.10.1。
HRP_M[FW_A] ip route-static 1.1.1.0 255.255.255.0 vpn-instance vsys1
HRP_M[FW_A] ip route-static 2.2.2.0 255.255.255.0 vpn-instance vsys2
HRP_M[FW_A] ip route-static 10.0.20.0 255.255.255.0 10.0.10.1
  1. 配置根墙的安全策略。
# 允许VXLAN报文通过。
HRP_M[FW_A] security-policy
HRP_M[FW_A-policy-security] rule name vxlan 
HRP_M[FW_A-policy-security-rule-vxlan] source-zone trust
HRP_M[FW_A-policy-security-rule-vxlan] source-zone local
HRP_M[FW_A-policy-security-rule-vxlan] destination-zone trust
HRP_M[FW_A-policy-security-rule-vxlan] destination-zone local
HRP_M[FW_A-policy-security-rule-vxlan] destination-address 10.0.0.0 mask 255.255.0.0
HRP_M[FW_A-policy-security-rule-vxlan] service vxlan
HRP_M[FW_A-policy-security-rule-vxlan] action permit
HRP_M[FW_A-policy-security-rule-vxlan] quit

# 允许OSPF报文通过。
HRP_M[FW_A-policy-security] rule name ospf 
HRP_M[FW_A-policy-security-rule-ospf] source-zone untrust
HRP_M[FW_A-policy-security-rule-ospf] source-zone local
HRP_M[FW_A-policy-security-rule-ospf] destination-zone untrust
HRP_M[FW_A-policy-security-rule-ospf] destination-zone local
HRP_M[FW_A-policy-security-rule-ospf] destination-address 10.0.0.0 mask 255.0.0.0
HRP_M[FW_A-policy-security-rule-ospf] service ospf
HRP_M[FW_A-policy-security-rule-ospf] action permit
HRP_M[FW_A-policy-security-rule-ospf] quit

# 允许外网用户访问NAT后的内网虚拟机。
HRP_M[FW_A-policy-security] rule name 1_in 
HRP_M[FW_A-policy-security-rule-1_in] source-zone untrust
HRP_M[FW_A-policy-security-rule-1_in] destination-zone dmz
HRP_M[FW_A-policy-security-rule-1_in] destination-address 1.1.1.0 mask 255.255.255.0
HRP_M[FW_A-policy-security-rule-1_in] action permit
HRP_M[FW_A-policy-security-rule-1_in] quit
HRP_M[FW_A-policy-security] rule name 2_in 
HRP_M[FW_A-policy-security-rule-2_in] source-zone untrust
HRP_M[FW_A-policy-security-rule-2_in] destination-zone dmz
HRP_M[FW_A-policy-security-rule-2_in] destination-address 2.2.2.0 mask 255.255.255.0
HRP_M[FW_A-policy-security-rule-2_in] action permit
HRP_M[FW_A-policy-security-rule-2_in] quit

# 允许内网用户使用NAT后的地址访问外网。
HRP_M[FW_A-policy-security] rule name 1_out 
HRP_M[FW_A-policy-security-rule-1_out] source-zone dmz
HRP_M[FW_A-policy-security-rule-1_out] destination-zone untrust
HRP_M[FW_A-policy-security-rule-1_out] source-address 1.1.1.0 mask 255.255.255.0
HRP_M[FW_A-policy-security-rule-1_out] action permit
HRP_M[FW_A-policy-security-rule-1_out] quit
HRP_M[FW_A-policy-security] rule name 2_out 
HRP_M[FW_A-policy-security-rule-2_out] source-zone dmz
HRP_M[FW_A-policy-security-rule-2_out] destination-zone untrust
HRP_M[FW_A-policy-security-rule-2_out] source-address 2.2.2.0 mask 255.255.255.0
HRP_M[FW_A-policy-security-rule-2_out] action permit
HRP_M[FW_A-policy-security-rule-2_out] quit
HRP_M[FW_A-policy-security] quit
  1. 配置vsys1。
# 配置NAT SERVER。
HRP_M[FW_A] switch vsys vsys1
HRP_M<FW_A-vsys1> system-view
HRP_M[FW_A-vsys1] nat server to1 global 1.1.1.2 inside 192.168.1.2 unr-route 

# 配置静态路由。
HRP_M[FW_A-vsys1] ip route-static 0.0.0.0 0.0.0.0 public 

# 将各接口加入相应的安全区域。
HRP_M[FW_A-vsys1] firewall zone dmz
HRP_M[FW_A-vsys1-zone-dmz] add interface Vbdif1 
HRP_M[FW_A-vsys1-zone-dmz] quit
HRP_M[FW_A-vsys1] firewall zone untrust
HRP_M[FW_A-vsys1-zone-untrust] add interface Virtual-if1 
HRP_M[FW_A-vsys1-zone-untrust] quit

# 允许外网用户访问内网虚拟机。
HRP_M[FW_A-vsys1] security-policy
HRP_M[FW_A-vsys1-policy-security] rule name in 
HRP_M[FW_A-vsys1-policy-security-rule-in] source-zone untrust
HRP_M[FW_A-vsys1-policy-security-rule-in] destination-zone dmz
HRP_M[FW_A-vsys1-policy-security-rule-in] destination-address 192.168.1.0 mask 255.255.255.0
HRP_M[FW_A-vsys1-policy-security-rule-in] action permit
HRP_M[FW_A-vsys1-policy-security-rule-in] quit

# 允许内网用户访问外网。
HRP_M[FW_A-vsys1-policy-security] rule name out 
HRP_M[FW_A-vsys1-policy-security-rule-out] source-zone dmz
HRP_M[FW_A-vsys1-policy-security-rule-out] destination-zone untrust
HRP_M[FW_A-vsys1-policy-security-rule-out] source-address 192.168.1.0 mask 255.255.255.0
HRP_M[FW_A-vsys1-policy-security-rule-out] action permit
HRP_M[FW_A-vsys1-policy-security-rule-out] quit
HRP_M[FW_A-vsys1-policy-security] quit
HRP_M[FW_A-vsys1] quit
HRP_M<FW_A-vsys1> quit
  1. 配置vsys2。
# 配置NAT SERVER。
HRP_M[FW_A] switch vsys vsys2
HRP_M<FW_A-vsys2> system-view
HRP_M[FW_A-vsys2] nat server to1 global 2.2.2.2 inside 192.168.2.2 unr-route 

# 配置静态路由。
HRP_M[FW_A-vsys2] ip route-static 0.0.0.0 0.0.0.0 public 

# 将各接口加入相应的安全区域。
HRP_M[FW_A-vsys2] firewall zone dmz
HRP_M[FW_A-vsys2-zone-dmz] add interface Vbdif2 
HRP_M[FW_A-vsys2-zone-dmz] quit
HRP_M[FW_A-vsys2] firewall zone untrust
HRP_M[FW_A-vsys2-zone-untrust] add interface Virtual-if2 
HRP_M[FW_A-vsys2-zone-untrust] quit

# 允许外网用户访问内网虚拟机。
HRP_M[FW_A-vsys2] security-policy
HRP_M[FW_A-vsys2-policy-security] rule name in 
HRP_M[FW_A-vsys2-policy-security-rule-in] source-zone untrust
HRP_M[FW_A-vsys2-policy-security-rule-in] destination-zone dmz
HRP_M[FW_A-vsys2-policy-security-rule-in] destination-address 192.168.2.0 mask 255.255.255.0
HRP_M[FW_A-vsys2-policy-security-rule-in] action permit
HRP_M[FW_A-vsys2-policy-security-rule-in] quit

# 允许内网用户访问外网。
HRP_M[FW_A-vsys2-policy-security] rule name out 
HRP_M[FW_A-vsys2-policy-security-rule-out] source-zone dmz
HRP_M[FW_A-vsys2-policy-security-rule-out] destination-zone untrust
HRP_M[FW_A-vsys2-policy-security-rule-out] source-address 192.168.2.0 mask 255.255.255.0
HRP_M[FW_A-vsys2-policy-security-rule-out] action permit
HRP_M[FW_A-vsys2-policy-security-rule-out] quit

#配置FW_B上BDIF的IP地址。
HRP_S<FW_B> system-view 
HRP_S[FW_B] interface vbdif1
HRP_S[FW_B-Vbdif1] ip address 192.168.1.1 255.255.255.0
HRP_S[FW_B-Vbdif1] quit
HRP_S[FW_B] interface vbdif2
HRP_S[FW_B-Vbdif2] ip address 192.168.2.1 255.255.255.0
HRP_S[FW_B-Vbdif2] quit
  1. 可选:将FW_A和FW_B上的BDIF的MAC地址配置成一样。 a. 查询FW_B的BDIF的MAC地址。
HRP_S[FW_B] display interface vbdif1

b. 配置FW_A的BDIF的MAC地址。 假设FW_B的BDIF的MAC地址为“000c-291f-e62d”

HRP_M[FW_A] interface vbdif1
HRP_M[FW_A-Vbdif1] mac-address 000c-291f-e62d
HRP_M[FW_A-Vbdif1] quit
HRP_M[FW_A] interface vbdif2
HRP_M[FW_A-Vbdif2] mac-address 000c-291f-e62d
HRP_M[FW_A-Vbdif2] quit
  1. 配置路由器、交换机和VXLAN二层接入设备。

在路由器上配置OSPF,发布相邻网段,具体配置命令请参考路由器的相关文档。
在交
机上将三个接口加入同一个VLAN,具体配置命令请参考交换机的相关文档。
在VXLAN二层接入设备上配置VXLAN二层接入以及VXLAN隧道,具体配置命令请参考该设备的相关文档。



返回顶部