Web举例:VXLAN在数据中心中的应用——华为配置
知孤云出岫 2024-06-29 17:03:02 阅读 76
Web举例:VXLAN在数据中心中的应用
VXLAN特性在数据中心组网中经常和双机热备、虚拟系统以及NAT等特性一起使用。
组网需求
如图1所示,在数据中心中,同一个VPC(Virtual Private Cloud)的VM(虚拟主机)部署在不同的X86服务器上。由支持VXLAN的二层设备负责接入和二层转发。FW承担VXLAN网关的角色,同时负责VPC之间以及VPC和实体网络之间的网络安全。不同的VPC之间需要做路由隔离,对外体现公网地址。为了组网的安全稳定,还需要FW的双机热备。
图1 VXLAN在数据中心中的应用
安全区域
| 接口
| 说明
|
---|---|---|
TRUST
| GigabitEthernet 1/0/0
| 对接VXLAN二层接入设备。
|
DMZ
| BDIF1
BDIF2
| VPC的出口,内部是租户的虚拟主机。
|
Virtual-if0
| 虚拟系统到根墙的出口。对根墙来说等同BDIF。
| |
GigabitEthernet 1/0/1
| HRP心跳口。
| |
UNTRUST
| GigabitEthernet 1/0/2
| 上行口,连接到Internet或其他物理实体网络。
|
Virtual-if1
Virtual-if2
| 虚拟系统到根墙的入口。对虚拟系统来说等同GigabitEthernet 1/0/2
。
|
配置思路
两台FW搭建上行连接三层设备(配置OSPF)下行连接二层设备的主备备份(配置VRRP备份组)的组网。
在上行接口所在安全域和Local域之间的安全策略中允许OSPF服务通过,否则OSPF邻居无法建立。
创建BD、VNI(VXLAN ID)和VXLAN隧道,NVE接口源地址使用VRRP备份组的虚拟IP地址。
在VRRP备份组接口所在安全域和Local域之间安全策略中允许VXLAN服务通过,否则VXLAN隧道无法建立。
创建虚拟系统,将VNI和公网地址关联到虚拟系统。BDIF会随关联的VNI一起被分配给虚拟系统。
创建BDIF(VXLAN接口)并配置IP地址。
需要在备机上手动配置IP地址,主备机BDIF的IP地址必须一致。建议把MAC地址也配置成一样,否则在切换时会有短暂的中断过程。
在虚拟系统内配置NAT SERVER,将内网地址映射成公网地址。
在虚拟系统和根墙之间配置静态路由。配置VM的网关为BDIF的IP地址。
配置VXLAN二层接入设备,VXLAN隧道的对端IP地址是FW的VRRP备份组的虚拟IP地址。VXLAN二层接入设备之间也需要建立VXLAN隧道。
操作步骤
在FW_A上完成网络基本配置。
选择“网络 > 接口”,配置接口的IP地址和安全域。
接口
|
|
---|---|
GE1/0/0
| IP地址:10.0.10.11
安全区域:trust
|
GigabitEthernet 1/0/1
| IP地址:172.16.0.1
安全区域:dmz
|
GigabitEthernet 1/0/2
| IP地址:10.1.0.1
安全区域:untrust
|
Virtual-if0
| 安全区域:dmz
|
选择“网络 > 路由 > OSPF”,配置OSPF。
单击“新建”,配置以下参数后单击“确定”。
类型
| OSPF v2
|
---|---|
进程ID
| 1
|
单击“高级”,单击“区域配置”,单击“新建”,配置以下参数后单击“确定”。
区域
| 0
|
---|---|
网段IP
| 10.1.0.0
|
正/反掩码
| 0.0.0.255
|
认证模式
| NONE
|
单击“路由引入”单击“新建”,配置以下参数后单击“确定”。
路由类型
| Direct
|
---|
在FW_A上配置双机热备功能。
选择“系统 > 高可靠性 > 双机热备”,单击“配置”,完成以下配置后单击“确定”。
完成FW_B的配置,建立双机热备状态。
FW_B和上述FW_A的配置基本相同,不同之处在于:
FW_B各接口的IP地址与FW_A各接口的IP地址不相同。FW_B的OSPF路由发布的网段与FW_A不相同。FW_B的双机热备“运行角色”设置为“备用”。
配置BD、VNI(VXLAN ID)和VXLAN隧道。
BD在配置VXLAN隧道时会自动创建。
选择“网络 > VXLAN”。勾选“VXLAN功能”和“隧道监控”对应的“启用”,配置“源IP地址”为双机热备虚拟IP地址,单击“应用”。
单击“新建”,配置VXLAN隧道信息。
VXLAN ID
| 隧道目的IP
|
---|---|
8001
| 10.0.20.10
10.0.20.11
|
8002
| 10.0.20.10
10.0.20.11
|
创建虚拟系统,分配VNI和公网地址。
选择“系统 > 虚拟系统 > 虚拟系统”,启用“虚拟系统”,单击“确定”。
单击“新建”,创建虚拟系统并分配资源。
基础配置
| VXLAN分配
| 公网IP分配
|
---|---|---|
名称:vsys1
| 已绑定VXLAN:vni 8001
| 独占以下IP地址范围:1.1.1.1-1.1.1.100
|
名称:vsys2
| 已绑定VXLAN:vni 8002
| 独占以下IP地址范围:2.2.2.1-2.2.2.100
|
创建BDIF(VXLAN接口),并配置IP地址和安全区域。
如果先配置BDIF的IP地址再创建虚拟系统,BDIF的IP地址将被清除。
设备会根据“VXLAN ID”自动联想出“虚拟系统”,请勿手动配置“虚拟系统”。
选择“网络 > 接口”,单击“新建”,新建BDIF。
接口名称 | 类型
| 安全区域
| VXLAN ID | IP地址 |
---|---|---|---|---|
1
| VXLAN接口
| DMZ
| 8001
| 192.168.1.1/24
|
2
| 8002
| 192.168.2.1/24
|
配置根墙的静态路由。
假设与下行接口互联的IP地址是10.0.10.1。
选择“网络 > 路由 > 静态路由”,单击“新建”,配置静态路由信息。
配置根墙的安全策略。
选择“策略 > 安全策略 > 安全策略”,单击“新建安全策略”,配置以下安全策略。
策略名称
| 作用
|
---|---|
vxlan
| 允许VXLAN报文通过
|
ospf
| 允许OSPF报文通过
|
1_in
| 允许外网用户访问NAT后的内网虚拟机
|
2_in
| |
1_out
| 允许内网用户使用NAT后的地址访问外网
|
2_out
|
配置vsys1。
切换虚拟系统为vsys1。
配置NAT Server。
选择“策略 > NAT策略 > 服务器映射”,单击“新建”,完成以下配置后单击“确定”。
在“网络 > 接口”中配置接口安全区域。
在“网络 > 路由 > 静态路由”中配置到外网的静态路由。
在“策略 > 安全策略 > 安全策略”中配置安全策略。
策略名称
| 作用
|
---|---|
in
| 允许外部网络访问虚拟主机
|
out
| 允许虚拟主机访问外部网络
|
配置vsys2。
vsys2和上述vsys1的配置基本相同,不同之处在于:
NAT SERVER的公私网地址不同。安全策略中使用的源\目的地址不同。
配置FW_B的VXLAN接口IP和静态路由。
配置与FW_A一致,只是因为双机热备并不会备份该配置,所以需要手动执行。
可选:将FW_A和FW_B上的BDIF的MAC地址配置成一样。
登录FW_B,选择“网络 > 接口”,单击BDIF接口对应的“编辑”,在“高级”中查询的BDIF的MAC地址。在FW_A的同样位置,配置BDIF的MAC地址。
结果验证
操作
| 查询到的会话表
|
---|---|
从VPCa中的VM(192.168.1.2)上访问公网地址,成功。
| FW_A Untrust和Local之间的OSPF会话表 Trust和Local之间的VXLAN会话表
根墙中,DMZ到Untrust,源地址为1.1.1.2的会话表
VSYS1中,DMZ到Untrust,源地址为192.168.1.2的会话表
|
从公网访问VPCb的NAT Server地址(2.2.2.2),成功。
| FW_A Untrust和Local之间的OSPF会话表 Trust和Local之间的VXLAN会话表
根墙中,Untrust到DMZ,目的地址为2.2.2.2的会话表
VSYS2中,Untrust到DMZ,目的地址为192.168.2.2的会话表
|
从VPCa中的VM(192.168.1.2)上访问VPCb的NAT Server地址(2.2.2.2),成功。
| FW_A
Trust和Local之间的VXLAN会话表
VSYS1中,DMZ到Untrust,源地址为1.1.1.2,目的地址为2.2.2.2的会话表
VSYS2中,Untrust到DMZ,源地址为1.1.1.2,目的地址为192.168.2.2的会话表
|
关闭FW_A的GigabitEthernet 1/0/2后重复以上操作,成功。
| FW_B上能查询到以上的会话表
|
配置脚本
FW_A
| FW_B
|
---|---|
# hrp enable hrp interface GigabitEthernet 1/0/1 remote 172.16.0.2 hrp adjust ospf-cost enable hrp auto-sync config static-route hrp track interface GigabitEthernet 1/0/2 # bridge-domain 1 vxlan vni 8001 # bridge-domain 2 vxlan vni 8002 # vsys enable # vsys name vsys1 1 assign global-ip 1.1.1.1 1.1.1.100 exclusive assign vni 8001 # vsys name vsys2 2 assign global-ip 2.2.2.1 2.2.2.100 exclusive assign vni 8002 # interface GigabitEthernet1/0/0 ip address 10.0.10.11 255.255.255.0 vrrp vrid 1 virtual-ip 10.0.10.10 active # interface GigabitEthernet 1/0/1 ip address 172.16.0.1 255.255.255.0 # interface GigabitEthernet 1/0/2 ip address 10.1.0.1 255.255.255.0 # interface Vbdif1 ip address 192.168.1.1 255.255.255.0 # interface Vbdif2 ip address 192.168.2.1 255.255.255.0 # interface Nve1 source 10.0.10.10 vxlan statistic enable vni 8001 head-end peer-list 10.0.20.10 10.0.20.11 vni 8002 head-end peer-list 10.0.20.10 10.0.20.11 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/0 # firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/2 # firewall zone dmz set priority 50 add interface Virtual-if0 add interface GigabitEthernet 1/0/1 # ospf 1 import-route static area 0.0.0.0 network 10.1.0.0 0.0.0.255 # ip route-static 1.1.1.0 255.255.255.0 vpn-instance vsys1 ip route-static 2.2.2.0 255.255.255.0 vpn-instance vsys2 ip route-static 10.0.20.0 255.255.255.0 10.0.10.1 # security-policy rule name vxlan source-zone local source-zone trust destination-zone local destination-zone trust destination-address 10.0.0.0 mask 255.255.0.0 service vxlan action permit rule name ospf source-zone local source-zone untrust destination-zone local destination-zone untrust destination-address 10.0.0.0 mask 255.0.0.0 service ospf action permit rule name 1_in source-zone untrust destination-zone dmz destination-address 1.1.1.0 mask 255.255.255.0 action permit rule name 2_in source-zone untrust destination-zone dmz destination-address 2.2.2.0 mask 255.255.255.0 action permit rule name 1_out source-zone dmz destination-zone untrust source-address 1.1.1.0 mask 255.255.255.0 action permit rule name 2_out source-zone dmz destination-zone untrust source-address 2.2.2.0 mask 255.255.255.0 action permit # switch vsys vsys1 # interface Vbdif1 ip address 192.168.1.1 255.255.255.0 # firewall zone untrust set priority 5 add interface Virtual-if1 # firewall zone dmz set priority 50 add interface Vbdif1 # security-policy rule name in source-zone untrust destination-zone dmz destination-address 192.168.1.0 mask 255.255.255.0 action permit rule name out source-zone dmz destination-zone untrust source-address 192.168.1.0 mask 255.255.255.0 action permit # ip route-static 0.0.0.0 0.0.0.0 public # nat server to1 0 global 1.1.1.2 inside 192.168.1.2 unr-route # switch vsys vsys2 # interface Vbdif2 ip address 192.168.2.1 255.255.255.0 # firewall zone untrust set priority 5 add interface Virtual-if2 # firewall zone dmz set priority 50 add interface Vbdif2 # security-policy rule name in source-zone untrust destination-zone dmz destination-address 192.168.2.0 mask 255.255.255.0 action permit rule name out source-zone dmz destination-zone untrust source-address 192.168.2.0 mask 255.255.255.0 action permit # ip route-static 0.0.0.0 0.0.0.0 public # nat server to2 1 global 2.2.2.2 inside 192.168.2.2 unr-route #
| # hrp enable hrp interface GigabitEthernet 1/0/1 remote 172.16.0.1 hrp adjust ospf-cost enable hrp auto-sync config static-route hrp track interface GigabitEthernet 1/0/2 # bridge-domain 1 vxlan vni 8001 # bridge-domain 2 vxlan vni 8002 # vsys enable # vsys name vsys1 1 assign global-ip 1.1.1.1 1.1.1.100 exclusive assign vni 8001 # vsys name vsys2 2 assign global-ip 2.2.2.1 2.2.2.100 exclusive assign vni 8002 # interface GigabitEthernet1/0/0 ip address 10.0.10.12 255.255.255.0 vrrp vrid 1 virtual-ip 10.0.10.10 standby # interface GigabitEthernet 1/0/1 ip address 172.16.0.2 255.255.255.0 # interface GigabitEthernet 1/0/2 ip address 10.2.0.1 255.255.255.0 # interface Vbdif1 ip address 192.168.1.1 255.255.255.0 # interface Vbdif2 ip address 192.168.2.1 255.255.255.0 # interface Nve1 source 10.0.10.10 vxlan statistic enable vni 8001 head-end peer-list 10.0.20.10 10.0.20.11 vni 8002 head-end peer-list 10.0.20.10 10.0.20.11 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/0 # firewall zone untrust set priority 5 add interface GigabitEthernet 1/0/2 # firewall zone dmz set priority 50 add interface Virtual-if0 add interface GigabitEthernet 1/0/1 # ospf 1 import-route static area 0.0.0.0 network 10.2.0.0 0.0.0.255 # ip route-static 1.1.1.0 255.255.255.0 vpn-instance vsys1 ip route-static 2.2.2.0 255.255.255.0 vpn-instance vsys2 ip route-static 10.0.20.0 255.255.255.0 10.0.10.1 # security-policy rule name vxlan source-zone local source-zone trust destination-zone local destination-zone trust destination-address 10.0.0.0 mask 255.255.0.0 service vxlan action permit rule name ospf source-zone local source-zone untrust destination-zone local destination-zone untrust destination-address 10.0.0.0 mask 255.0.0.0 service ospf action permit rule name 1_in source-zone untrust destination-zone dmz destination-address 1.1.1.0 mask 255.255.255.0 action permit rule name 2_in source-zone untrust destination-zone dmz destination-address 2.2.2.0 mask 255.255.255.0 action permit rule name 1_out source-zone dmz destination-zone untrust source-address 1.1.1.0 mask 255.255.255.0 action permit rule name 2_out source-zone dmz destination-zone untrust source-address 2.2.2.0 mask 255.255.255.0 action permit # switch vsys vsys1 # interface Vbdif1 ip address 192.168.1.1 255.255.255.0 # firewall zone untrust set priority 5 add interface Virtual-if1 # firewall zone dmz set priority 50 add interface Vbdif1 # security-policy rule name in source-zone untrust destination-zone dmz destination-address 192.168.1.0 mask 255.255.255.0 action permit rule name out source-zone dmz destination-zone untrust source-address 192.168.1.0 mask 255.255.255.0 action permit # ip route-static 0.0.0.0 0.0.0.0 public # nat server to1 0 global 1.1.1.2 inside 192.168.1.2 unr-route # switch vsys vsys2 # interface Vbdif2 ip address 192.168.2.1 255.255.255.0 # firewall zone untrust set priority 5 add interface Virtual-if2 # firewall zone dmz set priority 50 add interface Vbdif2 # security-policy rule name in source-zone untrust destination-zone dmz destination-address 192.168.2.0 mask 255.255.255.0 action permit rule name out source-zone dmz destination-zone untrust source-address 192.168.2.0 mask 255.255.255.0 action permit # ip route-static 0.0.0.0 0.0.0.0 public # nat server to2 1 global 2.2.2.2 inside 192.168.2.2 unr-route #
|
声明
本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。