- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
07-AD-DC 6.5 单Fabric多出口和主备出口配置指导-整本手册.pdf 
(11.47 MB)
AD-DC 6.5 单Fabric多出口和主备出口
配置指导
资料版本:5W103-20240926
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
3.3.13 虚拟路由器绑定网关资源/L4-L7服务资源/外部网络
4 单Fabric直通外网多链路出口配置指导(网络分段方式)
11 单Fabric多出口+南北向微分段服务链(扩展外网方式)
本文档介绍在单Fabric组网中,如何实现多出口和主备出口业务。主要包含以下场景:
在单Fabric组网中,存在多个安全链路外网出口:出口1、出口2、出口3。安全链路出口是指访问外网的流量需要经过防火墙。正常情况下出口1的优先级最高,当出口1失效以后,优先级第二的出口2生效,以此类推。
· 单Fabric直通外网多链路出口配置指导(网络分段方式)
在单Fabric组网中,存在多个直通外网链路出口:出口1,出口2,出口3。直通外网链路是指访问外网的流量不需要经过防火墙,通过默认路由直接访问外网。正常情况下出口1的优先级最高,当出口1失效以后,优先级第二的出口2生效,以此类推。
在单Fabric组网中,两台M-LAG Border提供两个OSPF直通出口,一个出口连接Internet外网交换机,另一个出口连接其它站点外网交换机。两台M-LAG Border设备上通过控制组件下发给出外网虚接口主IPv4和从IPv4地址,M-LAG的两台设备均通过主IPv4和外网建立OSPF邻居;通过配置M-LAG IPv6协议IP和外网建立OSPFv3邻居;通过在控制组件配置OSPF及OSPFv3并且配置路由策略过滤掉主机路由,在OSPF及OSPFv3引入BGP路由,实现动态路由互联。
在单Fabric组网中,存在多个业务出口:出口1、出口2、出口3。一个vRouter下的内网用户可以同时访问三个出口,其中经过出口1的业务流量需在防火墙上做NAT业务,经过出口2的业务流量在防火墙上不做NAT业务,经过出口3的业务流量不经过防火墙,直接访问外网。默认路由指向出口1,使用明细路由分别将流量指向出口2和出口3。各外网出口也可以过LB访问内网,LB开启NAT。
在单Fabric组网中,存在一个主出口和一个备出口。当主出口失效以后,备出口生效。
在单Fabric场景中,仅有一组Border和一组防火墙,存在两个外网出口,通过在vRouter下绑定虚拟端口的不同方式,可实现两个出口的流量都经过防火墙,也可以实现一个出口流量经过防火墙另一个出口流量直通外网。
在单Fabric单组Border组网中,旁挂一组防火墙和一组LB。组网中存在两个出口,一个出口流量过防火墙、另一个出口流量不过防火墙,二者形成主备关系。本文以虚拟路由器外网出口设备的类型为防火墙、主出口流量过防火墙和LB,备出口流量过LB直通外网为例进行配置。
在单Fabric场景中,通过Service Leaf接入防火墙,内网流量通过南北向服务链使用Border上的默认路由访问第一个出口,通过明细路由访问第二个出口。
· 单Fabric多出口+南北向微分段服务链(扩展外网方式)
在单Fabric场景中,通过Service Leaf接入防火墙,内网流量通过南北向微分段服务链使用Border上的默认路由访问第一个出口,通过明细路由访问第二个出口。
本文中涉及的防火墙设备的RBM通道数量以F5K组网规划为例,如需使用M9K/M9KS组网,请参见《AD-DC 6.5 安全服务资源配置指导》规划RBM通道数量。
控制组件部署完成后将在统一数字底盘中加载对应菜单项,登录统一数字底盘即可使用控制组件功能。
统一数字底盘提供友好的GUI界面。具体登录方式如下:
在浏览器中输入统一数字底盘登录地址(默认登录地址:http://ip_address:30000/central/index.html),回车后会进入如下图所示登录界面。
· ip_address:为统一数字底盘所在Installer的集群北向业务虚IP地址。
· 30000为端口号。
(1) 进入[自动化>数据中心网络>Fabrics>Fabrics]页面,单击<增加>按钮,增加Fabric,填写Fabric相关参数:
¡ 名称:自定义Fabric名称,以fabric1为例。请勿使用控制组件默认的Fabric:DEFAULTFABRIC。
¡ Overlay路由协议BGP AS号:必填,此AS号需与Fabrics内设备的BGP AS号相同,以100为例。
¡ 组播网络:缺省关闭(如果需要使用组播,设置为打开)。
¡ EPG开关:缺省关闭(如果需要使用微分段,设置为打开)。
¡ 其他参数可根据组网需求配置,以使用缺省配置为例。
(2) 单击<确认>按钮完成增加Fabric的操作。
图2-2 增加Fabric
(3) 增加完成后,单击列表中“操作”区段的
按钮,再单击“设置”页签,进入Fabric的设置页面。在该页面中可根据组网需求配置Fabric的高级配置,以使用缺省配置为例。
图2-3 Fabric高级配置
(1) 进入[自动化>数据中心网络>公共网络配置>虚拟分布式交换机]页面,单击操作列的修改按钮,修改VDS1,在承载Fabric页签中增加已创建的Fabric:fabric1。请勿使用控制组件默认的Fabric:DEFAULTFABRIC。
图2-4 VDS增加Fabric
(2) 单击“高级配置”页签,配置VDS1高级配置:
¡ 桥名称:vds1-br。
¡ VXLAN隧道口名称:vxlan_vds1-br。
¡ 虚拟交换自学习流表老化时间(秒):300。
¡ 其他参数可根据组网需求配置,以使用缺省配置为例。
图2-5 高级配置
(1) 如组网中存在IPv6业务,为保证IPV6业务正常使用,需在控制组件中开启全局IPV6配置。配置步骤如下:
a. 进入[自动化>数据中心网络>Fabrics>参数设置]页面,单击“控制组件全局配置”页签,进入控制组件全局配置页面。
b. 配置“启用IPv6”选项为开启。
(2) 关闭交换设备下发安全策略流表功能,以减少对交换机ACL资源的占用,配置步骤如下:
a. 进入[自动化>数据中心网络>Fabrics>参数设置]页面,单击“控制组件全局配置”页签,进入控制组件全局配置页面。
b. 在“交换设备下发安全策略流表”选项中选择“关闭”。
(3) 如要求VRF名称按照规则生成,需在控制组件中选择全局VRF名称自动生成方式。配置步骤如下:
a. 进入[自动化>数据中心网络>Fabrics>参数设置]页面,单击“控制组件全局配置”页签,进入控制组件全局配置页面。
b. 在“VRF名称自动生成方式”选项中选择“按规则生成”。生成的VRF名称格式为:租户名称_路由器名称_Segment ID。
图2-6 控制组件全局配置
(1) 进入[自动化>数据中心网络>资源池>IP地址池]页面,单击<增加>按钮,进入增加IP地址池页面。在该页面中可配置以下参数:
¡ 名称:自定义地址池名称。
¡ 类型:选择地址池类型。
¡ 默认地址池:每种类型的地址池只能指定一个默认地址池。
¡ 地址段:配置地址池的地址段。
(2) 单击<应用>按钮完成地址池的增加操作。
图2-7 增加地址池
(1) 进入[自动化>数据中心网络>资源池>VNID池>VLAN]页面,单击<增加>按钮,进入增加VLAN页面,在该页面中进行以下配置:
¡ 名称:自定义VLAN名称,以VLAN300为例。
¡ 类型:根据业务需要配置VLAN池类型,以租户承载网为例。
¡ VLAN范围:以300-399为例。
(2) 单击<应用>按钮完成VLAN池的增加操作。
图2-8 增加VLAN
(1) 进入[自动化>数据中心网络>Fabrics>Fabrics]页面,单击fabric1操作区段的
按钮,单击“设备组”页签,进入fabric1的设备组配置页面。请勿使用控制组件默认的Fabric:DEFAULTFABRIC。
(2) 单击<增加>按钮,进入增加设备组页面,在该页面的基本信息区域配置以下参数:
¡ 设备组名称:自定义设备组的名称。
¡ 远端设备组:指定是否为远端设备组。此参数配置后无法修改,请提前做好规划。
¡ 网络位置:请根据组网需求进行配置,此参数配置后无法修改,请提前做好规划。单Fabric场景勾选“出口网关”;多Fabric互联场景勾选“出口网关”和“Fabric间互通”;多DCI互联场景勾选“出口网关”和“DC间互通”。
¡ HA部署模式:M-LAG。
在多Fabric互联场景中,如果ED和Border合一,则创建一个设备组即可,设备组的网络位置需勾选“出口网关”和“Fabric间互通”;如果ED和Border分离,则需创建两个设备组,ED所在的设备组的网络位置勾选“Fabric间互通”,Border所在的设备组勾选“出口网关”。
(3) 在增加设备组的出口网关设置区域可以配置以下参数:
¡ 第三方防火墙。
¡ 防火墙接入模式。
¡ 连接方式:指定边界设备和服务设备的连接方式。此参数配置后无法修改,请提前做好规划。
¡ 地址池列表。
¡ VLAN池列表。
图2-9 增加设备组
(4) 在增加设备组的设备组成员区域增加指定的边界设备。
(5) 单击右上角的<应用>按钮完成设备组的增加操作。
(1) 进入[自动化>数据中心网络>资源池>设备资源>物理设备]页面,单击<增加>按钮,选择“L4-L7设备”,进入增加L4-L7设备页面,配置以下参数:
¡ 名称:自定义设备名称,以FW1为例。
¡ 厂商:以H3C为例。
¡ 管理IP:以192.168.11.101为例。
¡ 用户名:以admin为例。
¡ 密码:以Qwert@1234为例,必须为复杂密码。
¡ 确认密码:以Qwert@1234为例。
¡ SNMP版本:SNMP_v2c。
¡ SNMP读团体名:public,与设备配置保持一致。
¡ SNMP写团体名:private,与设备配置保持一致。
¡ RBM模式:是。
¡ 其他参数可根据组网需求配置,以使用缺省配置为例。
图2-10 增加L4-L7设备
(2) 单击<应用>按钮,完成L4-L7设备的增加操作。
(3) 配置完成后,单击右上角的<应用>按钮,完成增加操作。在列表中可查看已增加设备的状态。
(1) 进入[自动化>数据中心网络>资源池>设备资源>L4-L7设备组]页面,单击<增加>按钮,进入增加L4-L7设备组页面,增加去堆叠环境的安全设备组
¡ 名称:自定义设备名称,以FWgroup1为例。
¡ 成员设备:选择已增加的的两台FW设备FW1和FW2。
图2-11 增加L4-L7设备组
(2) 配置完成后,单击右上角的<应用>按钮,完成增加操作。在列表中可查看已增加L4-L7设备组的状态。
图2-12 查看L4-L7设备组状态
(3) 配置VRRP实地址池,单击<配置IP地址池>按钮,进入配置地址池页面,单击<添加地址段>按钮,添加地址段。
¡ IP地址段1地址范围:以88.1.0.1—88.1.254.254为例。
¡ IP地址段2地址范围:以2000::88:1:0:1--2000::88:1:254:254为例。
图2-13 配置VRRP实地址段1
图2-14 配置VRRP实地址段2
图2-15 地址段配置完成
(4) 配置完成后,单击右上角的<应用>按钮,完成增加VRRP实地址池操作。
(5) 在L4-L7设备组页面单击<配置IPv6链路本地地址池>按钮,进入IPv6链路本地地址池页面,单击<添加地址段>按钮,添加地址段。
¡ IPv6链路地址范围:以FE80::88:1:0:1-FE80::88:1:254:254为例。
(6) 配置完成后,单击右上角的<应用>按钮,完成配置IPv6链路本地地址池的操作。
图2-16 添加地址段
图2-17 配置IPv6链路本地地址池
本章节仅描述配置示例,具体配置内容及数据以各场景中的章节“控制组件基础配置”为准。
(1) 进入[自动化>数据中心网络>资源池>VNID池>VLAN-VXLAN映射]页面,单击<增加>按钮,选择“VLAN-VXLAN映射”,进入VXLAN-VXLAN映射配置页面,在该页面中进行以下操作:
a. 输入映射名称:map1。
图2-18 增加VLAN-VXLAN映射
b. 单击<增加映射关系>按钮,在弹出的对话框中配置以下参数:
- 名称:map001。
- VLAN起始值:以2001为例。
- VXLAN起始值:以2001为例。
- 映射区间宽度:以4为例。
- 接入模式:以VLAN为例。
图2-19 增加映射关系
c. 单击<应用>按钮完成映射关系的增加操作。
(2) 在“应用到设备”页签或“应用到接口”页签中可将映射应用到设备或接口。以配置应用到接口为例。在VLAN-VXLAN映射页面,选择map1,在“应用到接口”区域中单击“接口”链接,进入应用到接口页面。
图2-20 应用到接口页面信息
(3) 在设备列表区域选择设备,然后选择设备的接入接口(或聚合口),将接口添加至右侧已选择的接口列表中。单击<应用>按钮,完成添加接口操作。
对于使用手动配置方式上线的设备,在本步骤中,需要通过单击<添加下行口>按钮,将设备的下行聚合口添加至可选择接口列表中。自动化上线的设备无需执行此操作,控制组件可自动获取聚合接口信息。本文以自动化上线方式为例进行介绍。
图2-21 选择对应接口
(4) 在列表中可查看已创建的映射。
图2-22 映射信息
本章节仅描述配置示例,具体配置内容及数据以各场景中的章节“控制组件基础配置”为准。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面,单击<增加>按钮,在增加租户页面中配置以下参数:
¡ 租户名称:自定义租户名称,以tenant1为例。
¡ VDS名称:以VDS1为例。
图2-23 增加租户
(2) 单击<应用>按钮完成租户的增加操作。
图3-1 单Fabric运营商多链路出口组网
组网说明:
环境中有互联网出口区和OA办公区两个区域,两组Border设备。Border1和Border2组网方式是M-LAG,为Border group1,Border3和Border4组网方式是M-LAG,为Border group2。
Border group1连接internet-FW group1,出口为互联网区域;Border group2连接OA-FW group 2,出口为OA区域。内网虚拟机可以同时访问互联网和OA区域资源。互联网区用户可使用的出口有三个,分别为电信出口(internet1)、移动出口(internet2)和联通出口(internet3)。正常情况下电信出口优先级最高,当电信出口Down掉后,优先级第二的移动出口生效,以此类推。
设备之间连接关系如下表所示。
表3-1 组网中IP及接口说明
|
设备 |
用途 |
管理IP地址 |
业务IP地址及接口 |
|
Border1 |
EVPN边界设备 |
192.168.11.8 |
Loopback0 10.1.1.8/32 HGE4/0/1(连接Border2 HGE4/0/1) HGE4/0/2(连接Border2 HGE4/0/2) XGE6/0/48(连接Border2 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/3) HGE4/0/4(连接Spine2 HGE1/0/3) 与FW的接口连接关系如下表所示 |
|
Border2 |
EVPN边界设备 |
192.168.11.9 |
Loopback0 10.1.1.9/32 HGE4/0/1(连接Border1 HGE4/0/1) HGE4/0/2(连接Border1 HGE4/0/2) XGE6/0/48(连接Border1 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/4) HGE4/0/4(连接Spine2 HGE1/0/4) 与FW的接口连接关系如下表所示 |
|
Border3 |
EVPN边界设备 |
192.168.11.10 |
Loopback0 10.1.1.10/32 HGE4/0/1(连接Border4 HGE4/0/1) HGE4/0/2(连接Border4 HGE4/0/2) XGE6/0/48(连接Border4 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/5) HGE4/0/4(连接Spine2 HGE1/0/6) 与FW的接口连接关系如下表所示 |
|
Border4 |
EVPN边界设备 |
192.168.11.11 |
Loopback0 10.1.1.11/32 HGE4/0/1(连接Border3 HGE4/0/1) HGE4/0/2(连接Border3 HGE4/0/2) XGE6/0/48 (连接Border3 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/7) HGE4/0/4(连接Spine2 HGE1/0/8) 与FW的接口连接关系如下表所示 |
|
Spine1 |
Underlay物理设备 |
192.168.11.2 |
Loopback0 10.1.1.2/32 HGE1/0/3(连接Border1 HGE4/0/3) HGE1/0/4(连接Border2 HGE4/0/3) HGE1/0/5(连接Leaf1 HGE1/0/25) HGE1/0/6(连接Leaf2 HGE1/0/25) HGE1/0/7(连接Leaf3 HGE1/0/27) HGE1/0/8(连接Leaf4 HGE1/0/27) |
|
Spine2 |
Underlay物理设备 |
192.168.11.3 |
Loopback0 10.1.1.3/32 HGE1/0/3(连接Border1 HGE4/0/4) HGE1/0/4(连接Border2 HGE4/0/4) HGE1/0/5(连接Leaf1 HGE1/0/27) HGE1/0/6(连接Leaf2 HGE1/0/27) HGE1/0/7(连接Leaf3 HGE1/0/25) HGE1/0/8(连接Leaf4 HGE1/0/25) |
|
Leaf1 |
EVPN接入设备 |
192.168.11.4 |
Loopback0 10.1.1.4/32 XGE1/0/9(连接Leaf2 XGE1/0/9) HGE1/0/29(连接Leaf2 HGE1/0/29) HGE1/0/30(连接Leaf2 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/5) HGE1/0/27(连接Spine2 HGE1/0/5) |
|
Leaf2 |
EVPN接入设备 |
192.168.11.5 |
Loopback0 10.1.1.5/32 XGE1/0/9(连接Leaf1 XGE1/0/9) HGE1/0/29(连接Leaf1 HGE1/0/29) HGE1/0/30(连接Leaf1 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/6) HGE1/0/27(连接Spine2 HGE1/0/6) |
|
Leaf3 |
EVPN接入设备 |
192.168.11.6 |
Loopback0 10.1.1.6/32 XGE1/0/9(连接Leaf4 XGE1/0/9) HGE1/0/29(连接Leaf4 HGE1/0/29) HGE1/0/30(连接Leaf4 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/7) HGE1/0/27(连接Spine2 HGE1/0/8 |
|
Leaf4 |
EVPN接入设备 |
192.168.11.7 |
Loopback0 10.1.1.7/32 XGE1/0/9(连接Leaf3 XGE1/0/9) HGE1/0/29(连接Leaf3 HGE1/0/29) HGE1/0/30(连接Leaf3 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/9) HGE1/0/27(连接Spine2 HGE1/0/10) |
|
FW1 |
防火墙设备 |
192.168.11.101 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW2) XGE2/0/16加入RAGG64(连接FW2) 与Border的接口连接关系如下表所示 |
|
FW2 |
防火墙设备 |
192.168.11.102 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW2) XGE2/0/16加入RAGG64(连接FW2) 与Border的接口连接关系如下表所示 |
|
FW3 |
防火墙设备 |
192.168.11.103 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW4) XGE2/0/16加入RAGG64 (连接FW4) 与Border的接口连接关系如下表所示 |
|
FW4 |
防火墙设备 |
192.168.11.104 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW3) XGE2/0/16加入RAGG64(连接FW3) 与Border的接口连接关系如下表所示 |
Border与FW之间的业务接口连接关系如下表所示。
表3-2 Border与FW之间的业务接口连接关系
|
FW |
Border |
|
下行接口: FW1 XGE2/0/3加入RAGG2 FW1 XGE2/0/4加入RAGG2 上行接口: FW1 XGE2/0/5加入RAGG3 FW1 XGE2/0/6加入RAGG3 |
下行接口: Border1 XGE6/0/1加入BAGG2 MLAG Group2 Border2 XGE6/0/1加入BAGG2 MLAG Group2 上行接口: Border1 XGE6/0/2加入BAGG3 MLAG Group3 Border2 XGE6/0/2加入BAGG3 MLAG Group3 |
|
下行接口: FW2 XGE2/0/3加入RAGG2 FW2 XGE2/0/4加入RAGG2 上行接口: FW2 XGE2/0/5加入RAGG3 FW2 XGE2/0/6加入RAGG3 |
下行接口: Border1 XGE6/0/5加入BAGG5 MLAG Group5 Border2 XGE6/0/5加入BAGG5 MLAG Group5 上行接口: Border1 XGE6/0/6加入BAGG6 MLAG Group6 Border2 XGE6/0/6加入BAGG6 MLAG Group6 |
|
下行接口: FW3 XGE2/0/3加入RAGG2 FW3 XGE2/0/4加入RAGG2 上行接口: FW3 XGE2/0/5加入RAGG3 FW3 XGE2/0/6加入RAGG3 |
下行接口: Border3 XGE6/0/1加入BAGG2 MLAG Group2 Border4 XGE6/0/1加入BAGG2 MLAG Group2 上行接口: Border3 XGE6/0/2加入BAGG3 MLAG Group3 Border4 XGE6/0/2加入BAGG3 MLAG Group3 |
|
下行接口: FW4 XGE2/0/3加入RAGG2 FW4 XGE2/0/4加入RAGG2 上行接口: FW4 XGE2/0/5加入RAGG3 FW4 XGE2/0/6加入RAGG3 |
下行接口: Border3 XGE6/0/5加入BAGG5 MLAG Group5 Border4 XGE6/0/5加入BAGG5 MLAG Group5 上行接口: Border3 XGE6/0/6加入BAGG6 MLAG Group6 Border4 XGE6/0/6加入BAGG6 MLAG Group6 |
本组网中Spine和Border为12500G,Leaf为S6850,如果存在其他设备类型请自行规划。另外,接口连接关系也仅供参考,实际组网请自行规划。
表3-3 资源规划
|
规划项 |
配置示例 |
说明 |
|
|
物理设备管理网 |
· 192.168.11.0/24 · 网关:192.168.11.1 |
|
|
|
Fabric |
· 名称:fabric1 · AS号:100 |
|
|
|
VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
|
|
IP地址池 |
租户承载负载分担内网 |
· 名称:租户承载负载分担内网1 · 地址段: ¡ 10.50.1.0/24 ¡ 2001::10:50:1:1-2001::10:50:1:254 · 默认地址池:不勾选 |
在RBM组网中,一个虚拟路由器的LB业务占用2个IPV4地址,掩码为31位,占用2个IPv6地址,前缀长度为127 |
|
租户承载负载分担内网 |
· 名称:租户承载负载分担内网2 · 地址段: ¡ 10.50.2.0/24 ¡ 2001::10:50:2:1-2001::10:50:2:254 · 默认地址池:不勾选 |
||
|
租户承载防火墙内网 |
· 名称:租户承载防火墙内网1 · 地址段: ¡ 10.60.1.0/24 ¡ 2001::10:60:1:1-2001::10:60:1:254 · 默认地址池:不勾选 |
在RBM组网中,一个虚拟路由器的FW业务占用2个IPV4地址,掩码为31位,占用2个IPv6地址,前缀长度为127 |
|
|
租户承载防火墙内网 |
· 名称:租户承载防火墙内网2 · 地址段: ¡ 10.60.2.0/24 ¡ 2001::10:60:2:1-2001::10:60:2:254 · 默认地址池:不勾选 |
||
|
虚拟管理网络 |
· 名称:虚拟管理网络1 · 地址段:192.168.10.2/24-192.168.10.100/24 · 网关地址:192.168.10.1 · 默认地址池:不勾选 |
在RBM组网中,主备VFW Context各占用1个IPV4地址 |
|
|
虚拟管理网络 |
· 名称:虚拟管理网络2 · 地址段:192.168.10.101/24-192.168.10.254/24 · 网关地址:192.168.10.1 · 默认地址池:不勾选 |
||
|
VLAN池 |
租户承载网VLAN池 |
· 名称:租户承载网vlan1 · VLAN范围:500-999 · 默认VLAN池:不勾选 |
在RBM组网中,一个虚拟路由器的FW业务,占用1一个VLAN资源,一个虚拟路由器的LB业务,占用1个VLAN ID资源 |
|
租户承载网VLAN池 |
· 名称:租户承载网vlan2 · VLAN范围:1000-1499 · 默认VLAN池:不勾选 |
||
|
L4-L7设备组IP地址池 |
地址段:88.1.0.1—88.1.254.254 |
用于在RBM组网中分配VRRP实地址 上行口:一组VRRP占用2个IPV4地址,掩码为31位 下行口:一组VRRP占用2个IPV4地址,掩码为31位 |
|
|
外部网络1 |
· 名称:exnetwork1801 · 类型:VLAN · 网络分段:开启 · 网络分段名称: ¡ v4fwextnet1801_seg1 ¡ Segment ID:4002 ¡ v4fwextnet1801_seg2 ¡ Segment ID:4003 ¡ v4fwextnet1801_seg3 ¡ Segment ID:4004 · 子网名称和地址: ¡ v4exsubnet_int1 ¡ 100.0.2.0/24 ¡ 2001:100:0:2::/64 ¡ v4exsubnet_int2 ¡ 100.0.3.0/24 ¡ 2001:100:0:3::/64 ¡ v4exsubnet_int3 ¡ 100.0.4.0/24 ¡ 2001:100:0:4::/64 |
|
|
|
外部网络2 |
· 名称:exnetwork1802 · 网络分段:不开启 · 类型:VLAN · Segment ID:4005 · 子网名称和地址: ¡ v4exsubnet_OA ¡ 100.0.5.0/24 ¡ 2001:100:0:5::/64 |
|
|
|
外网业务 |
· Internet: ¡ 15.1.1.0/24 ¡ 15::/64 · OA: ¡ 18.1.1.0/24 ¡ 18::/64 |
|
|
图3-2 单Fabric运营商多链路出口部署流程
请配置并纳管组网中的交换设备,详细信息请参见《AD-DC 6.5 Underlay网络配置指导》。
请根据《AD-DC 6.5 安全服务资源配置指导》中对应设备型号的服务网关章节配置步骤,完成物理安全设备的基础配置。
参见章节“控制组件基础配置”的配置步骤,完成以下基础配置:
表3-4 控制组件基础配置
|
配置项 |
配置示例 |
说明 |
||
|
增加Fabric |
· 基础配置 ¡ 名称:fabric1 ¡ AS号:100 · 高级配置 ¡ 未知单播报文抑制:勾选 ¡ 未知组播报文抑制:勾选 ¡ 广播报文抑制:勾选 |
|
||
|
配置VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
||
|
配置全局参数 |
· 交换设备下发安全策略流表:关闭 · VRF名称生成方式:按规则生成 |
|
||
|
增加IP地址池 |
租户承载负载分担内网 |
· 名称:租户承载负载分担内网1 · 地址段: ¡ 10.50.1.0/24; ¡ 2001::10:50:1:1-2001::10:50:1:254 · 默认地址池:不勾选 |
|
|
|
租户承载负载分担内网 |
· 名称:租户承载负载分担内网2 · 地址段: ¡ 10.50.2.0/24 ¡ 2001::10:50:2:1-2001::10:50:2:254 · 默认地址池:不勾选 |
|
||
|
租户承载防火墙内网 |
· 名称:租户承载防火墙内网1 · 地址段: ¡ 10.60.1.0/24 ¡ 2001::10:60:1:1-2001::10:60:1:254 · 默认地址池:不勾选 |
|
||
|
租户承载防火墙内网 |
· 名称:租户承载防火墙内网2 · 地址段: ¡ 10.60.2.0/24 ¡ 2001::10:60:2:1-2001::10:60:2:254 · 默认地址池:不勾选 |
|
||
|
虚拟管理网络 |
· 名称:虚拟管理网络1 · 地址段:192.168.10.2/24-192.168.10.100/24 · 网关地址:192.168.10.1 · 默认地址池:不勾选 |
|
||
|
虚拟管理网络 |
· 名称:虚拟管理网络2 · 地址段:192.168.10.101/24-192.168.10.254/24 · 网关地址:192.168.10.1 · 默认地址池:不勾选 |
|
||
|
增加VLAN池 |
租户承载网VLAN池 |
· 名称:租户承载网vlan1 · VLAN范围:500-999 · 默认VLAN池:不勾选 |
|
|
|
租户承载网VLAN池 |
· 名称:租户承载网vlan2 · VLAN范围:1000-1499 · 默认VLAN池:不勾选 |
|
||
|
增加设备组 |
· 名称:bdgroup1 · 网络位置:出口网关 · HA部署模式:M-LAG · 连接方式:VLAN跨网段 · 防火墙接入模式:直连 · 地址池列表:租户承载负载分担内网1,租户承载防火墙内网1,虚拟管理网络1 · VLAN池列表:租户承载网vlan1 · 设备组成员:border1,border2 |
网络位置、远端设备组、防火墙业务和连接方式四个参数在增加完后无法修改。其中防火墙业务和网络位置影响后续Fabric扩容,请做好规划后再配置 |
||
|
· 名称:bdgroup2 · 网络位置:出口网关 · HA部署模式:M-LAG · 连接方式:VLAN跨网段 · 防火墙接入模式:直连 · 地址池列表:租户承载负载分担内网2,租户承载防火墙内网2,虚拟管理网络2 · VLAN池列表:租户承载网vlan2 · 设备组成员:border3,border4 |
||||
|
增加L4-L7设备 |
· 名称:FW1 · 厂商:H3C · 管理IP:192.168.11.101 |
|
||
|
· 名称:FW2 · 厂商:H3C · 管理IP:192.168.11.102 |
|
|||
|
· 名称:FW3 · 厂商:H3C · 管理IP:192.168.11.103 |
|
|||
|
· 名称:FW4 · 厂商:H3C · 管理IP:192.168.11.104 |
|
|||
|
增加L4-L7设备组和地址池 |
增加 L4-L7设备组 |
· 名称:FWgroup1 · 包含设备:FW1,FW2 · 名称:FWgroup2 · 包含设备:FW3,FW4 |
|
|
|
配置IP地址池 |
· 地址段:88.1.0.1-88.1.254.254 |
|
||
|
增加VLAN-VXLAN映射 |
· 名称:map1 · VLAN-VXLAN映射关系: ¡ 名称:map1801 ¡ VLAN起始值:2069 ¡ VXLAN起始值:2069 ¡ 映射区间宽度:1 ¡ 接入模式:VLAN · 应用到接口:应用到组网中Server-Leaf连接Server的所有聚合接口上 |
应用到接口前,需在[自动化>数据中心网络>设备资源>物理设备>配置下行口>配置下行口[XXX]]页面将接口配置为下行口 |
||
|
增加租户 |
· 名称:publictenant1 · 名称:tenant1 · VDS名称:VDS1 |
|
||
多链路出口的实现要求:外网为VLAN类型,故不使用安全外网地址池。
(1) 进入[自动化>数据中心网络>资源池>设备资源>L4-L7物理资源池]页面,单击<增加>按钮,进入增加L4-L7物理资源池页面。在该页面中进行以下配置:
¡ 名称:FWpool1。
¡ 服务类型:选择“FW”。
¡ 设备资源:勾选已增加的FW设备组FWgroup1。
图3-3 增加FW资源池FWpool1
(2) 单击配置模板区段的
按钮,进入L4-L7物理资源池模板配置页面。单击<增加模板>按钮,在弹出的对话框中进行以下配置:
¡ 名称:FWtemp1。
¡ 类型:设备组FW资源。
¡ 接口设置:根据组网规划,选择管理接口、下行接口和上行接口。
¡ 自定义配置:输入“nat link-switch recreate-session”。
图3-4 增加防火墙资源池的模板FWtemp1
图3-5 自定义配置
若多链路出口开启SNAT功能,需在自定义配置里增加nat link-switch recreate-session命令。
(3) 单击<应用>完成模板增加操作。
(4) 单击<应用>按钮完成增加L4-L7物理资源池的操作。
(5) 再次进入[自动化>数据中心网络>资源池>设备资源>L4-L7物理资源池]页面,单击<增加>按钮,进入增加L4-L7物理资源池页面。在该页面中进行以下配置:
¡ 名称:FWpool2。
¡ 服务类型:选择“FW”。
¡ 设备资源:勾选已增加的FW设备组FWgroup2。
图3-6 增加FW资源池FWpool2
(6) 单击配置模板区段的
按钮,进入L4-L7物理资源池模板配置页面。单击<增加模板>按钮,在弹出的对话框中进行以下配置:
¡ 名称:FWtemp2。
¡ 类型:设备组FW资源。
¡ 接口设置:根据组网规划,选择管理接口、下行接口和上行接口。
图3-7 增加防火墙资源池的模板FWtemp2
(7) 单击<应用>完成模板增加操作。
(8) 模板配置完后,单击配置模板的详情,可查看模板的配置信息。
(9) 单击<应用>按钮完成增加L4-L7物理资源池的操作。
在出口网关页面依次增加3个非共享类型的出口网关:gw1_internet1,gw1_internet2,gw1_internet3,且它们共用一个防火墙资源,具体配置如下图所示。
|
出口网关名称 |
共享网关 |
出口网关成员名称 |
所属Fabric |
设备组 |
优先级 |
服务资源 |
|
gw1_internet1 |
关闭 |
gw1_member1 |
fabric1 |
bdgroup1 |
1 |
FWpool1 |
|
gw1_internet2 |
关闭 |
gw1_member2 |
fabric1 |
bdgroup1 |
1 |
FWpool1 |
|
gw1_internet3 |
关闭 |
gw1_member3 |
fabric1 |
bdgroup1 |
1 |
FWpool1 |
具体配置如下:
(2) 进入[自动化>数据中心网络>公共网络设置>出口网关]页面。
(3) 单击<增加>按钮进入增加出口网关页面,在该页面进行如下配置:
¡ 名称:gw1_internet1。
¡ 共享网关:选择“关闭”。
图3-8 增加互联网出口网关gw1_internet1
¡ 单击<增加出口网关成员>按钮,在弹出的对话框中进行如下配置,配置完成后单击<应用>按钮。
- 名称:gw1_member1。
- 所属Fabric:fabric1。
- 设备组:bdgroup1。
- 优先级:1。
- 绑定虚拟防火墙服务资源FWpool1。
图3-9 增加互联网出口网关成员gw1_member1
(4) 单击<应用>按钮完成增加出口网关的操作。
(5) 增加出口网关gw1_internet2。
¡ 名称:gw1_internet2。
¡ 共享网关:选择“关闭”。
图3-10 增加互联网出口网关gw1_internet2
¡ 单击<增加出口网关成员>按钮,在弹出的对话框中进行如下配置,配置完成后单击<应用>按钮。
- 名称:gw1_member2。
- 所属Fabric:fabric1。
- 设备组:bdgroup1。
- 优先级:1。
- 绑定虚拟防火墙服务资源池FWpool1。
图3-11 增加互联网出口网关成员gw1_member2
(6) 单击<应用>按钮完成增加出口网关的操作。
(7) 增加出口网关gw1_internet3。
¡ 名称:gw1_internet3。
¡ 共享网关:选择“关闭”。
图3-12 增加互联网出口网关gw1_internet3
¡ 单击<增加出口网关成员>按钮,在弹出的对话框中进行如下配置,配置完成后单击<应用>按钮。
- 名称:gw1_member3。
- 所属Fabric:fabric1。
- 设备组:bdgroup1。
- 优先级:1。
- 绑定虚拟防火墙服务资源池FWpool1。
图3-13 增加互联网出口网关成员gw1_member3
(8) 单击<应用>按钮完成增加出口网关的操作。
在出口网关页面增加共享类型的出口网关:gw2_OA,具体配置如下。
(1) 进入[自动化>数据中心网络>公共网络设置>出口网关]页面。
(2) 单击<增加>按钮进入增加出口网关页面,在该页面进行如下配置:
¡ 名称:gw2_OA。
¡ 共享网关:选择“开启”。
图3-14 增加OA区出口网关
¡ 单击<增加出口网关成员>按钮,在弹出的对话框中进行如下配置,配置完成后单击<应用>按钮。
- 名称:gw2_member。
- 所属Fabric:fabric1。
- 设备组:bdgroup2。
- 优先级:1。
- 绑定虚拟防火墙服务资源FWpool2。
图3-15 增加OA区出口网关成员
(3) 单击<应用>按钮完成增加出口网关的操作。
分别进入修改publictenant1租户和tenant1租户页面,进行绑定网关资源的操作。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(2) 单击指定租户操作栏的
按钮,进入修改租户页面。
(3) 在分配网关资源区域单击<增加>按钮在弹出的对话框中进行如下配置:
¡ 选择已增加的出口网关gw1_internet1,gw1_internet2,gw1_internet3和gw2_OA。
¡ 默认网关不选择。
(4) 单击<应用>按钮。
图3-16 公共租户publictenant1下绑定网关资源
图3-17 普通租户tenant1下绑定网关资源
公共租户publictenant1下增加互联网区VFW服务资源和OA区VFW服务资源。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(2) 单击指定租户publictenant1操作栏的
按钮,进入修改租户页面。
(3) 在分配服务资源区域进行如下参数配置。
¡ 资源类型:选择“服务资源”。
(4) 单击<增加>按钮,进入增加服务资源页面,该页面的参数配置如下。
¡ 增加互联网区VFW服务资源:
- 资源名称:pubfwcontext1。
- 使用场景:选择“服务网关”。
- 服务类型:选择“虚拟防火墙(VFW)”。
- 网关成员:gw1_internet1-gw1_member1。
- 资源池名称:FWpool1。
- 配置完成后单击<应用>按钮。
图3-18 publictenant1下增加互联网区VFW服务资源
¡ 增加OA区VFW服务资源:
- 资源名称:pubfwcontext2。
- 使用场景:选择“服务网关”。
- 服务类型:选择“虚拟防火墙(VFW)”。
- 网关成员:gw2_OA-gw2_member。
- 资源池名称:FWpool2。
- 配置完成后单击<应用>按钮。
图3-19 publictenant1下增加OA区VFW服务资源
(5) 配置完成后单击<应用>按钮完成租户下分配服务资源的操作。
普通租户tenant1下复用互联网区VFW服务资源和OA区VFW服务资源。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(2) 单击指定租户tenant1操作栏的
按钮,进入修改租户页面。
(3) 在分配服务资源区域进行如下参数配置。
¡ 资源类型:选择“服务资源”。
(4) 单击<增加>按钮,进入增加服务资源页面,该页面的参数配置如下。
¡ 增加互联网区VFW服务资源:
- 资源名称:fwgwcontext1801。
- 使用场景:选择“服务网关”。
- 服务类型:选择“虚拟防火墙(VFW)”。
- 资源分配方式:复用已增加资源。
- 网关成员:gw1_internet1-gw1_member1。
- 租户:publictenant1。
- 资源类型:NGFW_GW_SERVICE。
- 服务资源:pubfwcontext1。
- 配置完成后单击<应用>按钮。
图3-20 tenant1下增加互联网区VFW服务资源
¡ 增加OA区VFW服务资源:
- 资源名称:fwgwcontext1802。
- 使用场景:选择“服务网关”。
- 服务类型:选择“虚拟防火墙(VFW)”。
- 资源分配方式:复用已增加资源。
- 网关成员:gw2_OA-gw2_member。
- 租户:publictenant1。
- 资源类型:NGFW_GW_SERVICE。
- 服务资源:pubfwcontext2。
- 配置完成后单击<应用>按钮。
图3-21 tenant1下增加OA区VFW服务资源
(5) 配置完成后单击<应用>按钮完成租户下分配服务资源的操作。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面,单击租户tenant1名称,进入租户tenant1的虚拟链路层网络页面。
(2) 单击<增加>按钮,进入增加虚拟链路层网络页面,在该页面进行以下配置:
¡ 名称:network1801。
¡ 类型:VXLAN。
¡ Segment ID:2069。
图3-22 增加虚拟链路层网络
(3) 在“子网”页签中单击<增加>按钮,在弹出的对话框中进行以下配置:
¡ IP版本:选择“IPv4”。
¡ 启用DHCP:选择“关闭”。
¡ 名称:subnetv4-1801。
¡ 子网网段:11.18.1.0/24。
¡ 网关IP:11.18.1.1。
图3-23 增加子网
增加IPv6子网,配置完成后单击<应用>按钮保存配置。
¡ IP版本:选择“IPv6”。
¡ 启用DHCP:选择“关闭”。
¡ 名称:subnetv6-1801。
¡ 子网网段:2001:11:18:1::/64。
¡ 网关IP:2001:11:18:1::1。
图3-24 增加IPv6子网
(4) 在“高级配置”页签中可配置报文抑制等参数,以默认配置为例。
图3-25 高级配置
(5) 单击<应用>按钮完成增加虚拟链路层网络操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击<增加>按钮进入增加虚拟路由器页面,在该页面进行如下配置:
¡ 名称:router1801。
¡ Segment ID:11069。
¡ “子网”页签下单击<增加>按钮,在弹出的对话框中选择已增加的子网subnetv4-1801。选择完成后单击<应用>按钮。
图3-26 互联网虚拟路由器绑定子网
(3) 配置完成后单击<应用>按钮。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击<增加>按钮进入增加虚拟路由器页面,在该页面进行如下配置:
¡ 名称:router1802。
¡ Segment ID:11070。
(3) 配置完成后单击<应用>按钮。
图3-27 增加OA区虚拟路由器
进入[自动化>数据中心网络>租户[tenan1]的网络>防火墙]页面。单击<增加防火墙>按钮进入增加防火墙页面,在该页面依次增加规则、策略、防火墙,具体配置如下表所示。
表3-6 防火墙规划
|
防火墙名称 |
防火墙策略 |
防火墙规则 |
已选路由器 |
|
fw1801 |
policy1801 |
v4rule1801,v6rule1801 |
router1801 |
|
fw1802 |
policy1802 |
v4rule1802,v6rule1802 |
router1802 |
以创建防火墙fw1801为例进行配置:
(2) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略]页面,单击“规则”页签,进入规则页面。
(3) 单击<增加规则>按钮,在弹出的对话框中如下参数:
¡ 名称:rule1801。
¡ IP版本:IPv4。
¡ 服务:协议、所有。
¡ 动作:允许。
¡ 其余参数保持默认值。
图3-28 增加IPv4规则
增加IPv6规则,配置以下参数,完成后单击<应用>按钮保存配置。
¡ 名称:v6rule1801。
¡ IP版本:IPv6。
¡ 服务:协议——所有。
¡ 动作:允许。
¡ 其余参数保持默认值。
图3-29 增加IPv6规则
(4) 单击<应用>按钮,完成规则的增加操作。
(5) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略]页面,单击“策略”页签,进入策略页面。
(6) 单击<增加策略>按钮,在弹出的对话框中配置策略相关参数:
¡ 名称:policy1801。
¡ 激活:勾选激活。
图3-30 增加策略
(7) 单击<应用>按钮,完成策略的增加操作。
(8) 单击策略policy1801“规则”区段的超链接,进入绑定规则页面,进行如下配置:
¡ 绑定已创建的规则rule1801。
¡ 激活:勾选激活。
图3-31 单击规则链接
图3-32 绑定规则
(9) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙]页面,单击<增加防火墙>按钮,进入增加防火墙页面,配置如下参数:
¡ 名称:fw1801。
¡ 使用场景:服务网关。
¡ 入方向安全策略:policy1801。
¡ 出方向安全策略:policy1801。
¡ 安全域资源:选择虚拟路由器“router1801”。
图3-33 增加防火墙
(10) 单击<应用>按钮,完成防火墙的增加操作。
进入[自动化>数据中心网络>公共网络设置>外部网络]页面配置3个IPv4子网、3个IPv6子网和3个网络分段,具体配置如下表所示。
表3-7 网络分段配置信息
|
名称 |
Segment ID |
出口网关 |
|
v4fwextnet1801_seg1 |
4002 |
gw1_internet1 |
|
v4fwextnet1801_seg2 |
4003 |
gw1_internet2 |
|
v4fwextnet1801_seg3 |
4004 |
gw1_internet3 |
表3-8 子网配置信息
|
|
名称 |
子网网段 |
网关IP |
网络分段 |
|
IPv4子网 |
v4exsubnet_int1 |
100.0.2.0/24 |
100.0.2.1 |
v4fwextnet1801_seg1 |
|
v4exsubnet_int2 |
100.0.3.0/24 |
100.0.3.1 |
v4fwextnet1801_seg2 |
|
|
v4exsubnet_int3 |
100.0.4.0/24 |
100.0.4.1 |
v4fwextnet1801_seg3 |
|
|
IPv6子网 |
v6exsubnet_int1 |
2001:100:0:2::/64 |
2001:100:0:2::1 |
v4fwextnet1801_seg1 |
|
v6exsubnet_int2 |
2001:100:0:3::/64 |
2001:100:0:3::1 |
v4fwextnet1801_seg2 |
|
|
v6exsubnet_int3 |
2001:100:0:4::/64 |
2001:100:0:4::1 |
v4fwextnet1801_seg3 |
下面以配置网络分段v4fwextnet1801_seg1、IPv4子网v4exsubnet_int1为例进行配置。
(2) 进入[自动化>数据中心网络>公共网络设置>外部网络]页面。
(3) 单击<增加>按钮进入增加外部网络页面,在该页面进行如下配置。
基础配置。
¡ 名称:exnetwork1801_internet1。
¡ 类型:VLAN。不同类型会下发不同配置,以VLAN为例。
¡ 网络分段:选择“开启”。在弹出的对话框中配置如下参数:
- 名称:v4fwextnet1801_seg1。
- Segment ID:4002。
- 出口网关:gw1_nternet1。
图3-34 配置网络分段v4exsubnet_int1
在“网络分段”页签下单击<增加>按钮,再次配置网络分段v4fwextnet1801_seg2和v4fwextnet1801_seg3。
图3-35 增加多个网络分段
绑定IPv4子网:“IPv4子网”页签下单击<增加>按钮,在弹出的对话框中配置如下参数。配置完成后单击<应用>按钮。
¡ 名称:v4exsubnet_int1。
¡ 子网网段:100.0.2.0/24。
¡ 网关IP:100.0.2.1。
¡ 网络分段:v4fwextnet1801_seg1。
图3-36 增加IPv4子网v4exsubnet_int1
再次增加IPv4子网v4exsubnet_int2和v4exsubnet_int3。
图3-37 增加多个IPv4子网
绑定IPv6子网:“IPv6子网”页签下单击<增加>按钮,在弹出的对话框中配置如下参数。配置完成后单击<应用>按钮。
¡ 名称:v6exsubnet_int1。
¡ 子网网段:2001:100:0:2::/64。
¡ 网关IP:2001:100:0:2::1。
¡ 网络分段:v4fwextnet1801_seg1。
重复上述步骤再次增加IPv6子网v6exsubnet_int2和v6exsubnet_int3。
图3-38 增加IPv6子网v6exsubnet_int1
图3-39 增加多个IPv6子网
(4) 单击<应用>按钮完成外部网络的增加操作。
(1) 进入[自动化>数据中心网络>公共网络设置>外部网络]页面。
(2) 单击<增加>按钮进入增加外部网络页面,在该页面进行如下配置。
¡ 基础配置。
- 名称:extnetwork1802。
- 类型:VLAN。不同类型会下发不同配置,以VLAN为例。
- 网络分段:选择“关闭”。
¡ 绑定IPv4子网:“IPv4子网”页签下单击<增加>按钮,在弹出的对话框中配置如下参数。配置完成后单击<应用>按钮。
- 名称:v4exsubnet_OA。
- 子网网段:100.0.5.0/24。
- 网关IP:100.0.5.1。
图3-40 增加OA区IPv4外部网络
¡ 绑定IPv6子网:“IPv6子网”页签下单击<增加>按钮,在弹出的对话框中配置如下参数。配置完成后单击<应用>按钮。
- 名称:v6exsubnet_OA。
- 子网网段:2001:100:0:5::/64。
- 网关IP:2001:100:0:5::1。
图3-41 增加OA区IPv6外部网络
(3) 单击<应用>按钮完成外部网络的配置操作。
(1) 进入[自动化>数据中心网络>公共网络设置>路由表]页面。
(2) 单击<增加>按钮进入增加路由表页面,在该页面进行如下配置。
¡ 名称:routetable1802_OA。
¡ 租户:选择tenant1。
¡ 虚拟路由器:router1802。
图3-42 增加OA区路由表
(3) 单击<增加路由表项>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
¡ 目的网段:18.1.1.0/24。
¡ 下一跳类型:IPv4。
¡ 下一跳虚拟路由器:router1802(非必须选项)。
¡ 下一跳IP地址:OA区虚拟路由器router1802绑定的外网子网的网关,本例为100.0.5.1。
¡ 迭代主机路由:选择“关闭”。
图3-43 增加路由表项
增加IPv6路由表项:
¡ 目的网段:18::/64。
¡ 下一跳类型:IPv6。
¡ 下一跳IP地址:OA区虚拟路由器router1802绑定的IPv6外网子网的网关,本例为2001:100:0:5::1。
¡ 迭代主机路由:选择“关闭”。
图3-44 增加IPv6路由表项
(4) 单击<应用>按钮完成路由表的增加操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击“网关”超链接,在弹出的对话框中绑定已增加的出口网关gw1_internet1、gw1_internet2、gw1_internet3。
图3-45 互联网虚拟路由器绑定三个互联网出口网关
(3) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(4) 单击“VFW,VLB”超链接,在弹出的对话框中绑定已增加的VFW服务资源fwgwcontext1801。
图3-46 互联网虚拟路由器绑定VFW服务资源
(5) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(6) 单击互联网虚拟路由器router1801操作栏的
按钮进入修改虚拟路由器页面。
(7) 单击“外部网络”页签,配置如下参数:
a. 外部网络:选择互联网区外部网络extnetwork1801。
b. SNAT:选择“开启”。
c. 单击<绑定IPv4外网子网>按钮,在弹出的对话框中绑定IPv4外网子网且可以配置外部网络的优先级,数值越大,优先级越高。
(8) 配置完成后单击<应用>按钮。
图3-47 绑定IPv4和IPv6外网子网
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击“网关”超链接,在弹出的对话框中绑定已增加的出口网关gw2_OA。
图3-48 OA虚拟路由器绑定OA出口网关
(3) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(4) 单击“VFW,VLB”超链接,在弹出的对话框中绑定已增加的L4-L7服务fwgwcontext1802。
图3-49 虚拟路由器router1802绑定VFW服务资源
(5) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(6) 单击OA区虚拟路由器router1802操作栏的
按钮进入修改虚拟路由器页面。
(7) 单击“外部网络”页签,配置如下参数:
a. 外部网络:选择OA区外部网络extnetwork1802。
b. 单击<绑定IPv4外网子网>按钮,在弹出的对话框中绑定IPv4外网子网v4exsubnet_OA。
(8) 配置完成后单击<应用>按钮。
图3-50 OA虚拟路由器router1802绑定外部网络
单击“路由信息”页签中绑定已经增加完成的OA路由表routetable1802_OA。
图3-51 OA虚拟路由器绑定OA路由表
(1) 进入[自动化>数据中心网络>公共网络设置>虚拟路由器连接]页面。
(2) 单击<增加>按钮进入增加虚拟路由器连接页面,在该页面进行如下配置:
¡ 名称:router1801_router1802。
¡ 租户:选择tenant1。
¡ 本端虚拟路由器:选择互联网虚拟路由器router1801。
¡ 对端虚拟路由器:选择OA虚拟路由器router1802。
(3) 单击<应用>按钮完成增加虚拟路由器连接的操作。
图3-52 增加虚拟路由器连接
通过静态路由、Track与NQA联动,对静态路由有效性进行实时判断。如果静态路由失效,可触发主备出口切换。
本章需配置如下NQA策略。
表3-9 NQA策略配置
|
NQA策略名称 |
NQA策略配置 |
测试组管理员 |
测试组操作标签 |
探测时间间隔 |
探测失败次数 |
|
v4nqa181 |
自动 |
user181 |
lable181 |
1000 |
5 |
|
v4nqa182 |
自动 |
user182 |
lable182 |
1000 |
5 |
|
v4nqa183 |
自动 |
user183 |
lable183 |
1000 |
5 |
|
v6nqa184 |
自动 |
user184 |
lable184 |
1000 |
5 |
|
v6nqa185 |
自动 |
user185 |
lable185 |
1000 |
5 |
|
v6nqa186 |
自动 |
user186 |
lable186 |
1000 |
5 |
下面以增加NQA策略v4nqa181为例进行配置。
(2) 进入[自动化>数据中心网络>公共策略>NQA策略]页面。
(3) 单击<增加>按钮,配置如下参数:
¡ 名称:v4nqa181。
¡ NQA策略配置:选择“自动”。
¡ 探测失败次数:5。
¡ 测试组管理员:user181。
¡ 测试组操作标签:lable181。
¡ 探测时间间隔:1000。
图3-53 增加NQA策略v4nqa181
(4) 配置完成后单击<应用>按钮。
图3-54 NQA增加完成
(1) 进入[自动化>数据中心网络>公共网络设置>外部网络]页面。
(2) 单击互联网区外部网络exnetwork1801_internet1的
按钮进入修改外部网络页面。
(3) 在“IPv4子网”页签下为3个IPv4子网分别绑定NQA策略v4nqa181、v4nqa182、v4nqa183。
(4) 单击<应用>按钮完成IPv4外部网络绑定NQA策略的操作。
图3-55 IPv4子网v4exsubnet_int1绑定NQA策略v4nqa181
图3-56 IPv4外部网络绑定NQA策略成功
(1) 在“IPv6子网”页签下为3个IPv6子网分别绑定NQA策略v6nqa184、v6nqa185、v6nqa186。
(2) 单击<应用>按钮完成IPv6外部网络绑定NQA策略的操作。
图3-57 IPv6外部网络绑定NQA策略成功
虚墙fwgwcontext1801上配置下发:
· 防火墙上Track路由下发配置
ip route-static vpn-instance tenant1_router1801_11069 0.0.0.0 0 vpn-instance external_vpn_4004 100.0.4.1 track 1024 preference 255
description SDN_ROUTE
ip route-static vpn-instance tenant1_router1801_11069 0.0.0.0 0 vpn-instance external_vpn_4003 100.0.3.1 track 1022 preference 254
description SDN_ROUTE
ip route-static vpn-instance tenant1_router1801_11069 0.0.0.0 0 vpn-instance external_vpn_4002 100.0.2.1 track 1023 preference 253
description SDN_ROUTE
ip route-static vpn-instance tenant1_router1801_11069 11.18.1.0 24 10.60.1.2 description SDN_ROUTE
ip route-static vpn-instance external_vpn_4004 0.0.0.0 0 100.0.4.1 track 1024 description SDN_ROUTE
ip route-static vpn-instance external_vpn_4003 0.0.0.0 0 100.0.3.1 track 1022 description SDN_ROUTE
ip route-static vpn-instance external_vpn_4002 0.0.0.0 0 100.0.2.1 track 1023 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router1801_11069 :: 0 vpn-instance external_vpn_4002 2001:100:0:2::1 track 1021 preference 253 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router1801_11069 :: 0 vpn-instance external_vpn_4003 2001:100:0:3::1 track 1020 preference 254 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router1801_11069 :: 0 vpn-instance external_vpn_4004 2001:100:0:4::1 track 1019 preference 255 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router1801_11069 2001:11:18:1:: 64 2001::10:60:1:2 description SDN_ROUTE
ipv6 route-static vpn-instance external_vpn_4004 :: 0 2001:100:0:4::1 track 1019 description SDN_ROUTE
ipv6 route-static vpn-instance external_vpn_4004 2001:11:18:1:: 64 vpn-instance tenant1_router1801_11069 2001::10:60:1:2 description SDN_ROUTE
ipv6 route-static vpn-instance external_vpn_4003 :: 0 2001:100:0:3::1 track 1020 description SDN_ROUTE
ipv6 route-static vpn-instance external_vpn_4003 2001:11:18:1:: 64 vpn-instance tenant1_router1801_11069 2001::10:60:1:2 description SDN_ROUTE
ipv6 route-static vpn-instance external_vpn_4002 :: 0 2001:100:0:2::1 track 1021 description SDN_ROUTE
ipv6 route-static vpn-instance external_vpn_4002 2001:11:18:1:: 64 vpn-instance tenant1_router1801_11069 2001::10:60:1:2 description SDN_ROUTE
· NQA策略配置
#
track 1019 nqa entry user186 lable186 reaction 1
#
track 1020 nqa entry user185 lable185 reaction 1
#
track 1021 nqa entry user184 lable184 reaction 1
#
track 1022 nqa entry user182 lable182 reaction 1
#
track 1023 nqa entry user181 lable181 reaction 1
#
track 1024 nqa entry user183 lable183 reaction 1
#
nqa entry user181 lable181
type icmp-echo
description SDN_user181_lable181
destination ip 100.0.2.1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
vpn-instance external_vpn_4002
#
nqa entry user182 lable182
type icmp-echo
description SDN_user182_lable182
destination ip 100.0.3.1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
vpn-instance external_vpn_4003
#
nqa entry user183 lable183
type icmp-echo
description SDN_user183_lable183
destination ip 100.0.4.1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
vpn-instance external_vpn_4004
#
nqa entry user184 lable184
type icmp-echo
description SDN_user184_lable184
destination ipv6 2001:100:0:2::1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
source ipv6 2001:100:0:2::2
vpn-instance external_vpn_4002
#
nqa entry user185 lable185
type icmp-echo
description SDN_user185_lable185
destination ipv6 2001:100:0:3::1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
source ipv6 2001:100:0:3::2
vpn-instance external_vpn_4003
#
nqa entry user186 lable186
type icmp-echo
description SDN_user186_lable186
destination ipv6 2001:100:0:4::1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
source ipv6 2001:100:0:4::2
vpn-instance external_vpn_4004
#
nqa schedule user181 lable181 start-time now lifetime forever
nqa schedule user182 lable182 start-time now lifetime forever
nqa schedule user183 lable183 start-time now lifetime forever
nqa schedule user184 lable184 start-time now lifetime forever
nqa schedule user185 lable185 start-time now lifetime forever
nqa schedule user186 lable186 start-time now lifetime forever
#
由于gw1_internet1出口优先级最高,VFW上的租户路由表显示下一跳为出口网关为出口1的网关,此时:主机A(11.18.1.3/24、2001:11:18:1::3)可以ping通internet1出口的外部网关100.0.2.1以及模拟的外网IP 15.1.1.1/15::1。
RBM_P<device> display ip routing-table vpn-instance tenant1_router1801_11069
Destinations : 13 Routes : 13
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 253 0 100.0.2.1 RAGG60.4002
<device> dis ipv6 routing-table vpn-instance tenant1_router1801_11069 Destinations : 9 Routes : 9
Destination: ::/0 Protocol : Static
NextHop : 2001:100:0:2::1 Preference: 253
Interface : RAGG60.4002 Cost : 0
由于gw1_internet1出口Down掉,主出口切换至优先级第二的gw1_internet2出口,VFW上的租户路由表显示下一跳为出口网关为出口2的网关,此时:主机A(11.18.1.3/24、2001:11:18:1::3)可以ping通internet2出口的外部网关100.0.3.1以及模拟的外网IP 15.1.1.1/15::1。
RBM_P<device> display ip routing-table vpn-instance tenant1_router1801_11069
Destinations : 13 Routes : 13
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 254 0 100.0.3.1 RAGG60.4003
<device> dis ipv6 routing-table vpn-instance tenant1_router1801_11069 Destinations : 9 Routes : 9
Destination: ::/0 Protocol : Static
NextHop : 2001:100:0:3::1 Preference: 254
Interface : RAGG60.4003 Cost : 0
由于internet1,internet2出口都Down掉,主出口切换至internet3出口,VFW上的租户路由表显示下一跳为出口网关为出口3的网关,此时:主机A(11.18.1.3/24、2001:11:18:1::3)可以ping通internet3出口的外部网关100.0.4.1以及模拟的外网IP 15.1.1.1/15::1。
RBM_P<device> display ip routing-table vpn-instance tenant1_router1801_11069
Destinations : 13 Routes : 13
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 255 0 100.0.4.1 RAGG60.4004
<device> dis ipv6 routing-table vpn-instance tenant1_router1801_11069 Destinations : 9 Routes : 9
Destination: ::/0 Protocol : Static
NextHop : 2001:100:0:4::1 Preference: 255
Interface : RAGG60.4004 Cost : 0
图4-1 单Fabric直通外网多链路出口组网
组网说明:
直通出口有多个链路出口:internet1、internet2、internet3,正常情况下internet1的优先级最高,当internet1 Down掉以后,优先级第二的internet2生效,以此类推。
设备之间连接关系如下表所示。
表4-1 组网中IP及接口说明
|
设备 |
用途 |
管理IP地址 |
业务IP地址及接口 |
|
Border1 |
EVPN边界设备 |
192.168.11.8 |
Loopback0 10.1.1.8/32 HGE4/0/1(连接Border2 HGE4/0/1) HGE4/0/2(连接Border2 HGE4/0/2) XGE6/0/48连接Border2 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/3) HGE4/0/4(连接Spine2 HGE1/0/3) |
|
Border2 |
EVPN边界设备 |
192.168.11.9 |
Loopback0 10.1.1.9/32 HGE4/0/1(连接Border1 HGE4/0/1) HGE4/0/2(连接Border1 HGE4/0/2) XGE6/0/48(连接Border1 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/4) HGE4/0/4(连接Spine2 HGE1/0/4) |
|
Border3 |
EVPN边界设备 |
192.168.11.10 |
Loopback0 10.1.1.10/32 HGE4/0/1(连接Border4 HGE4/0/1) HGE4/0/2(连接Border4 HGE4/0/2) XGE6/0/48(连接Border2 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/5) HGE4/0/4(连接Spine2 HGE1/0/6) |
|
Border4 |
EVPN边界设备 |
192.168.11.11 |
Loopback0 10.1.1.11/32 HGE4/0/1(连接Border3 HGE4/0/1) HGE4/0/2(连接Border3 HGE4/0/2) XGE6/0/48(连接Border1 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/7) HGE4/0/4(连接Spine2 HGE1/0/8) |
|
Spine1 |
Underlay物理设备 |
192.168.11.2 |
Loopback0 10.1.1.2/32 HGE1/0/3(连接Border1 HGE4/0/3) HGE1/0/4(连接Border2 HGE4/0/3) HGE1/0/5(连接Leaf1 HGE1/0/25) HGE1/0/6(连接Leaf2 HGE1/0/25) HGE1/0/7(连接Leaf3 HGE1/0/27) HGE1/0/8(连接Leaf4 HGE1/0/27) |
|
Spine2 |
Underlay物理设备 |
192.168.11.3 |
Loopback0 10.1.1.3/32 HGE1/0/3(连接Border1 HGE4/0/4) HGE1/0/4(连接Border2 HGE4/0/4) HGE1/0/5(连接Leaf1 HGE1/0/27) HGE1/0/6(连接Leaf2 HGE1/0/27) HGE1/0/7(连接Leaf3 HGE1/0/25) HGE1/0/8(连接Leaf4 HGE1/0/25) |
|
Leaf1 |
EVPN接入设备 |
192.168.11.4 |
Loopback0 10.1.1.4/32 XGE1/0/9(连接Leaf2 XGE1/0/9) HGE1/0/29(连接Leaf2 HGE1/0/29) HGE1/0/30(连接Leaf2 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/5) HGE1/0/27(连接Spine2 HGE1/0/5) |
|
Leaf2 |
EVPN接入设备 |
192.168.11.5 |
Loopback0 10.1.1.5/32 XGE1/0/9(连接Leaf1 XGE1/0/9) HGE1/0/29(连接Leaf1 HGE1/0/29) HGE1/0/30(连接Leaf1 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/6) HGE1/0/27(连接Spine2 HGE1/0/6) |
|
Leaf3 |
EVPN接入设备 |
192.168.11.6 |
Loopback0 10.1.1.6/32 XGE1/0/9(连接Leaf4 XGE1/0/9) HGE1/0/29(连接Leaf4 HGE1/0/29) HGE1/0/30(连接Leaf4 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/7) HGE1/0/27(连接Spine2 HGE1/0/8 |
|
Leaf4 |
EVPN接入设备 |
192.168.11.7 |
Loopback0 10.1.1.7/32 XGE1/0/9(连接Leaf3 XGE1/0/9) HGE1/0/29(连接Leaf3 HGE1/0/29) HGE1/0/30(连接Leaf3 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/9) HGE1/0/27(连接Spine2 HGE1/0/10) |
本组网中Spine和Border为12500G,Leaf为S6850,如果存在其他设备类型请自行规划。另外,接口连接关系也仅供参考,实际组网请自行规划。
表4-2 资源规划
|
规划项 |
配置示例 |
说明 |
|
物理设备管理网 |
· 192.168.11.0/24 · 网关:192.168.11.1 |
|
|
Fabric |
· 名称:fabric1 · AS号:100 |
|
|
VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
|
外部网络1 |
· 名称:exnetwork1901 · 类型:VLAN · 网络分段:开启 · 网络分段名称及Segment ID: ¡ exnetwork1901_seg1 ¡ Segment ID:4006 ¡ exnetwork1901_seg2 ¡ Segment ID:4007 ¡ exnetwork1901_seg3 ¡ Segment ID:4008 · IPv4子网名称、地址和网关: ¡ 子网名称:v4exsubnet_int1 ¡ 地址:100.0.6.0/24 ¡ 网关:100.0.6.1 ¡ 子网名称:v4exsubnet_int2 ¡ 地址:100.0.7.0/24 ¡ 网关:100.0.7.1 ¡ 子网名称:v4exsubnet_int3 ¡ 地址:100.0.8.0/24 ¡ 网关:100.0.8.1 · IPv6子网名称和地址: ¡ 子网名称:v6exsubnet_int1 ¡ 地址:2001:100:0:6::/64 ¡ 网关:2001:100:0:6::1 ¡ 子网名称:v6exsubnet_int2 ¡ 地址:2001:100:0:7::/64 ¡ 网关: 2001:100:0:7::1 ¡ 子网名称:v6exsubnet_int3 ¡ 地址:2001:100:0:8::/64 ¡ 网关:2001:100:0:8::1 |
|
|
外网业务 |
· 19.1.1.0/24 · 19::/64 |
|
图4-2 单Fabric直通外网多链路出口部署流程
请配置并纳管组网中的交换设备,详细信息请参见《AD-DC 6.5 Underlay网络配置指导》。
参见章节“控制组件基础配置”的配置步骤,完成以下基础配置:
表4-3 控制组件基础配置
|
配置项 |
配置示例 |
说明 |
|
增加Fabric |
· 基础配置 ¡ 名称:fabric1 ¡ AS号:100 · 高级配置 ¡ 未知单播报文抑制:勾选 ¡ 未知组播报文抑制:勾选 ¡ 广播报文抑制:勾选 |
|
|
配置VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
|
配置全局参数 |
· 启用IPv6:开启 · 交换设备下发安全策略流表:关闭 · VRF名称生成方式:按规则生成 |
|
|
增加设备组 |
· 名称:bdgroup1 · 网络位置:出口网关 · HA部署模式:M-LAG · 连接方式:VLAN跨网段 · 地址池列表:默认地址池 · VLAN池列表:默认VLAN池 · 设备组成员:border1,border2 |
网络位置、远端设备组、防火墙业务和连接方式四个参数在增加完后无法修改。其中防火墙业务和网络位置影响后续Fabric扩容,请做好规划后再配置 |
|
增加VLAN-VXLAN映射 |
· 名称:map1 · VLAN-VXLAN映射关系: ¡ 名称:map1901 ¡ VLAN起始值:2073 ¡ VXLAN起始值:2073 ¡ 映射区间宽度:4 ¡ 接入模式:VLAN · 应用到接口:应用到组网中Server-Leaf连接Server的所有聚合接口上 |
应用到接口前,需在[自动化>数据中心网络>设备资源>物理设备>配置下行口>配置下行口[XXX]]页面将接口配置为下行口 |
|
增加租户 |
· 名称:pulictenant1 · 名称:tenant1 · VDS名称:VDS1 |
|
在出口网关页面依次增加3个非共享类型的出口网关:gw1_internet1、gw1_internet2、gw1_internet3,具体配置请见下表。
|
出口网关名称 |
共享网关 |
出口网关成员名称 |
所属Fabric |
设备组 |
优先级 |
|
gw1_internet1 |
关闭 |
gw1_member1 |
fabric1 |
bdgroup1 |
1 |
|
gw1_internet2 |
关闭 |
gw1_member2 |
fabric1 |
bdgroup1 |
1 |
|
gw1_internet3 |
关闭 |
gw1_member3 |
fabric1 |
bdgroup1 |
1 |
具体配置如下:
(2) 进入[自动化>数据中心网络>公共网络设置>出口网关]页面。
(3) 单击<增加>按钮进入增加出口网关页面,在该页面进行如下配置:
¡ 名称:gw1_internet1。
¡ 共享网关:选择“关闭”。
图4-3 增加gw1_internet1出口网关
¡ 单击<增加出口网关成员>按钮,在弹出的对话框中进行如下配置,配置完成后单击<应用>按钮。
- 名称:gw1_member1。
- 所属Fabric:fabric1。
- 设备组:bdgroup1。
- 优先级:1。
图4-4 增加gw1_member1出口网关成员
(4) 单击<应用>按钮完成增加出口网关gw1_internet1的操作。
(5) gw1_internet2出口网关配置如下:
¡ 名称:gw1_internet2。
¡ 共享网关:选择“关闭”。
图4-5 增加gw1_internet2出口网关
¡ 出口网关成员信息,配置完成后单击<应用>按钮。
- 名称:gw1_member2。
- 所属Fabric:fabric1。
- 设备组:bdgroup1。
- 优先级:1。
图4-6 增加gw1_member2出口网关成员
(6) 单击<应用>按钮完成增加出口网关gw1_internet2的操作。
(7) gw1_internet3出口网关配置如下:
¡ 名称:gw1_internet3。
¡ 共享网关:选择“关闭”。
图4-7 增加gw1_internet3出口网关
¡ 出口网关成员信息,配置完成后单击<应用>按钮。
- 名称:gw1_member3。
- 所属Fabric:fabric1。
- 设备组:bdgroup1。
- 优先级:1。
图4-8 增加gw1_member3出口网关成员
(8) 单击<应用>按钮完成增加出口网关gw1_internet3的操作。
分别进入修改publictenant1租户和tenant1租户页面,进行绑定网关资源的操作。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(2) 单击指定租户操作栏的
按钮,进入修改租户页面。
(3) 在分配网关资源区域单击<增加>按钮在弹出的对话框中进行如下配置:
¡ 选择已增加的出口网关gw1_internet1、gw1_internet2、gw1_internet3。
¡ 默认网关不选择。
(4) 单击<应用>按钮完成租户绑定网关资源的操作。
图4-9 公共租户publictenant1绑定网关资源
图4-10 普通租户tenant1下绑定网关资源
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面,单击租户tenant1名称,进入租户tenant1的虚拟链路层网络页面。
(2) 单击<增加>按钮,进入增加虚拟链路层网络页面,在该页面进行以下配置:
¡ 名称:network1901。
¡ 类型:VXLAN。
¡ Segment ID:2073。
图4-11 增加虚拟链路层网络
(3) 在“子网”页签中单击<增加>按钮,在弹出的对话框中配置IPv4子网。
¡ IP版本:选择“IPv4”。
¡ 启用DHCP:选择“关闭”。
¡ 名称:subnetv4-1901。
¡ 子网网段:11.19.1.0/24。
¡ 网关IP:11.19.1.1。
¡ 其余参数保持默认值即可,单击<应用>按钮完成增加IPv4子网的操作。
图4-12 增加IPv4子网
(4) 再次单击“子网”页签下的<增加>按钮,在弹出的对话框中配置IPv6子网。
¡ IP版本:选择“IPv6”。
¡ 启用DHCP:选择“关闭”。
¡ 名称:subnetv6-1901。
¡ 子网网段:2001:11:19:1::/64。
¡ 网关IP:2001:11:19:1::1。
¡ 其余参数保持默认值即可,单击<应用>按钮完成增加IPv6子网的操作。
图4-13 增加IPv6子网
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击<增加>按钮进入增加虚拟路由器页面,在该页面进行如下配置:
¡ 基本信息:
- 名称:router1901。
- Segment ID:11073。
图4-14 增加虚拟路由器router1901
¡ “子网”页签下单击<增加>按钮,在弹出的对话框中选择已增加的子网subnetv4-1901和 subnetv6-1901。选择完成后单击<应用>按钮。
图4-15 虚拟路由器绑定子网
¡ “外部网络”页签下,外网出口设备选择“边界设备”。
图4-16 外网出口设备为边界设备
(3) 单击<应用>按钮完成增加虚拟路由器的操作。
在[自动化>数据中心网络>公共网络设置>外部网络>增加外部网络]页面增加3个IPv4子网、3个IPv6子网和3个网络分段,具体配置如下表所示。
表4-5 网络分段配置信息
|
名称 |
Segment ID |
出口网关 |
|
exnetwork1901_seg1 |
4006 |
gw1_internet1 |
|
exnetwork1901_seg2 |
4007 |
gw1_internet2 |
|
exnetwork1901_seg3 |
4008 |
gw1_internet3 |
表4-6 子网配置信息
|
子网类型 |
名称 |
子网网段 |
网关IP |
网络分段 |
|
IPv4子网 |
v4exsubnet_int1 |
100.0.6.0/24 |
100.0.6.1 |
exnetwork1901_seg1 |
|
v4exsubnet_int2 |
100.0.7.0/24 |
100.0.7.1 |
exnetwork1901_seg2 |
|
|
v4exsubnet_int3 |
100.0.8.0/24 |
100.0.8.1 |
exnetwork1901_seg3 |
|
|
IPv6子网 |
v6exsubnet_int1 |
2001:100:0:6::/64 |
2001:100:0:6::1 |
exnetwork1901_seg1 |
|
v6exsubnet_int2 |
2001:100:0:7::/64 |
2001:100:0:7::1 |
exnetwork1901_seg2 |
|
|
v6exsubnet_int3 |
2001:100:0:8::/64 |
2001:100:0:8::1 |
exnetwork1901_seg3 |
下面以配置网络分段exnetwork1901_seg1、IPv4子网v4exsubnet_int1、IPv6子网v6exsubnet_int1为例进行配置。
(2) 进入[自动化>数据中心网络>公共网络设置>外部网络]页面。
(3) 单击<增加>按钮进入增加外部网络页面,在该页面进行如下配置。
基础配置。
¡ 名称:exnetwork1901。
¡ 类型:VLAN。不同类型会下发不同配置,以VLAN为例。
¡ 网络分段:选择“开启”。在弹出的对话框中配置如下参数:
- 名称:exnetwork1901_seg1。
- Segment ID:4006。
- 出口网关:gw1_internet1。
图4-17 增加网络分段exnetwork1901_seg1
在“网络分段”页签下单击<增加>按钮,再次配置网络分段exnetwork1901_seg2和exnetwork1901_seg3。
图4-18 增加多个网络分段
绑定IPv4子网:“IPv4子网”页签下单击<增加>按钮,在弹出的对话框中配置如下参数。配置完成后单击<应用>按钮。
¡ 名称:v4exsubnet_int1。
¡ 子网网段:100.0.6.0/24。
¡ 网关IP:100.0.6.1。
¡ 网络分段:exnetwork1901_seg1。
图4-19 增加IPv4子网v4exsubnet_int1
再次增加IPv4子网v4exsubnet_int2和v4exsubnet_int3。
图4-20 增加多个IPv4子网
绑定IPv6子网:“IPv6子网”页签下单击<增加>按钮,在弹出的对话框中配置如下参数。配置完成后单击<应用>按钮。
¡ 名称:v6exsubnet_int1。
¡ 子网网段:2001:100:0:6::/64。
¡ 网关IP:2001:100:0:6::1。
¡ 网络分段:exnetwork1901_seg1。
图4-21 增加IPv6子网v6exsubnet_int1
再次增加IPv6子网v6exsubnet_int2和v6exsubnet_int3。
图4-22 增加多个IPv6子网
通过静态路由、Track与NQA联动,对静态路由有效性进行实时判断。如果静态路由失效,可触发多链路出口切换。
本章需配置如下NQA策略。
表4-7 NQA策略配置
|
NQA策略名称 |
NQA策略配置 |
Track项序号 |
|
v4nqa191 |
手动 |
191 |
|
v4nqa192 |
手动 |
192 |
|
v4nqa193 |
手动 |
193 |
|
v6nqa191 |
手动 |
191 |
|
v6nqa192 |
手动 |
192 |
|
v6nqa193 |
手动 |
193 |
下面以增加NQA策略v4nqa191为例进行配置。
(2) 进入[自动化>数据中心网络>公共策略>NQA策略]页面。
(3) 单击<增加>按钮,配置如下参数:
¡ 名称:v4nqa191。
¡ NQA策略配置:选择“手动”。
¡ Track项序号:191。
(4) 配置完成后单击<应用>按钮。
图4-23 增加NQA策略v4nqa191
图4-24 NQA增加完成
(1) 进入[自动化>数据中心网络>公共网络设置>外部网络]页面。
(2) 单击外部网络exnetwork1901的
按钮进入修改外部网络页面。
(3) 在“IPv4子网”页签下为3个IPv4子网分别绑定NQA策略v4nqa191、v4nqa192、v4nqa193。
(4) 单击<应用>按钮完成IPv4外部网络绑定NQA策略的操作。
图4-25 IPv4外部网络绑定NQA策略成功
(1) 在“IPv6子网”页签下为3个IPv6子网分别绑定NQA策略v6nqa191、v6nqa192、v6nqa193。
(2) 单击<应用>按钮完成IPv6外部网络绑定NQA策略的操作。
图4-26 IPv6外部网络绑定NQA策略成功
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router1901的“网关”超链接,在弹出的对话框中绑定已增加的出口网关gw1_internet1、gw1_internet2、gw1_internet3。
图4-27 虚拟路由器绑定网关资源
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router1901操作栏的
按钮进入修改虚拟路由器页面。
(3) 单击“外部网络”页签,配置如下参数:
a. 选择外部网络exnetwork1901。
b. 单击<绑定IPv4外网子网>按钮,在弹出的对话框中绑定IPv4外网子网v4exsubnet_int1、v4exsubnet_int2和v4exsubnet_int3且可以配置优先级,分别为3、2、1,数值越大,优先级越高。
c. 单击<绑定IPv6外网子网>按钮,在弹出的对话框中绑定IPv6外网子网v6exsubnet_int1、v6exsubnet_int2和v6exsubnet_int3且可以配置优先级,分别为3、2、1,数值越大,优先级越高。
(4) 配置完成后单击<应用>按钮。
图4-28 虚拟路由器router1901绑定外部网路
下发的静态路由
· Border1
ip route-static vpn-instance tenant1_router1901_11037 0.0.0.0 0 vpn-instance external_vpn_4008 100.0.8.1 track 192 preference 255 description SDN_ROUTE
ip route-static vpn-instance tenant1_router1901_11037 0.0.0.0 0 vpn-instance external_vpn_4006 100.0.6.1 track 191 preference 253 description SDN_ROUTE
ip route-static vpn-instance tenant1_router1901_11037 0.0.0.0 0 vpn-instance external_vpn_4007 100.0.7.1 track 193 preference 254 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router1901_11037 :: 0 vpn-instance external_vpn_4007 2001:100:0:7::1 track 192 preference 254 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router1901_11037 :: 0 vpn-instance external_vpn_4006 2001:100:0:6::1 track 191 preference 253 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router1901_11037 :: 0 vpn-instance external_vpn_4008 2001:100:0:8::1 track 193 preference 255 description SDN_ROUTE
· Border2
ip route-static vpn-instance tenant1_router1901_11037 0.0.0.0 0 vpn-instance external_vpn_4008 100.0.8.1 track 192 preference 255 description SDN_ROUTE
ip route-static vpn-instance tenant1_router1901_11037 0.0.0.0 0 vpn-instance external_vpn_4006 100.0.6.1 track 191 preference 253 description SDN_ROUTE
ip route-static vpn-instance tenant1_router1901_11037 0.0.0.0 0 vpn-instance external_vpn_4007 100.0.7.1 track 193 preference 254 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router1901_11037 :: 0 vpn-instance external_vpn_4007 2001:100:0:7::1 track 192 preference 254 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router1901_11037 :: 0 vpn-instance external_vpn_4006 2001:100:0:6::1 track 191 preference 253 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router1901_11037 :: 0 vpn-instance external_vpn_4008 2001:100:0:8::1 track 193 preference 255 description SDN_ROUTE
对于Border为M-LAG组网情况下,NQA的规则需要在Border设备上手动配置。需要在Border和Core上配置每个出口的直连网段,在Core设备上设置外网网关,然后用每台Border的LoopBack0地址作为NQA的探测源IP地址,Core设备配置的网关地址作为NQA的探测的目的IP地址。目的是为了探测每个出口的链路是否正常UP。
手工配置
(1) 配置三个出口和Core相连的直连网段。
[border1] vlan 2
[border1-vlan2] quit
[border1] interface Vlan-interface2
[border1-Vlan-interface2] ip address 2.1.1.2 255.255.255.0
[border1-Vlan-interface2] quit
[border1] vlan 3
[border1-vlan3] quit
[border1] interface Vlan-interface3
[border1-Vlan-interface3] ip address 3.1.1.2 255.255.255.0
[border1-Vlan-interface3] quit
[border1] vlan 4
[border1-vlan4] quit
[border1] interface Vlan-interface4
[border1-Vlan-interface4] ip address 4.1.1.2 255.255.255.0
[border1-Vlan-interface4] quit
(2) 在Border连接Core设备的聚合口上配置VLAN放行。
[border1] interface Bridge-Aggregation2
[border1-Bridge-Aggregation2] port link-type trunk
[border1-Bridge-Aggregation2] undo port trunk permit vlan 1
[border1-Bridge-Aggregation2] port trunk permit vlan 2 to 4
(3) 配置NQA规则,同时和Track进行联动。
[border1] nqa entry v4nqa191 v4nqa191
[border1-nqa-v4nqa191-v4nqa191] type icmp-echo
[border1-nqa-v4nqa191-v4nqa191-icmp-echo] destination ip 2.1.1.1
[border1-nqa-v4nqa191-v4nqa191-icmp-echo] frequency 1000
[border1-nqa-v4nqa191-v4nqa191-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
[border1-nqa-v4nqa191-v4nqa191-icmp-echo] source ip 10.1.1.8
[border1-nqa-v4nqa191-v4nqa191-icmp-echo] quit
[border1] nqa schedule v4nqa191 v4nqa191 start-time now lifetime forever
[border1] track 191 nqa entry v4nqa191 v4nqa191 reaction 1
[border1] nqa entry v4nqa192 v4nqa192
[border1-nqa-v4nqa192-v4nqa192] type icmp-echo
[border1-nqa-v4nqa192-v4nqa192-icmp-echo] destination ip 3.1.1.1
[border1-nqa-v4nqa192-v4nqa192-icmp-echo] frequency 1000
[border1-nqa-v4nqa192-v4nqa192-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
[border1-nqa-v4nqa192-v4nqa192-icmp-echo] source ip 10.1.1.8
[border1-nqa-v4nqa192-v4nqa192-icmp-echo] quit
[border1] nqa schedule v4nqa192 v4nqa192 start-time now lifetime forever
[border1] track 192 nqa entry v4nqa192 v4nqa192 reaction 1
[border1] nqa entry v4nqa193 v4nqa193
[border1-nqa-v4nqa193-v4nqa193] type icmp-echo
[border1-nqa-v4nqa193-v4nqa193-icmp-echo] destination ip 4.1.1.1
[border1-nqa-v4nqa193-v4nqa193-icmp-echo] frequency 1000
[border1-nqa-v4nqa193-v4nqa193-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
[border1-nqa-v4nqa193-v4nqa193-icmp-echo] source ip 10.1.1.8
[border1-nqa-v4nqa193-v4nqa193-icmp-echo] quit
[border1] nqa schedule v4nqa193 v4nqa193 start-time now lifetime forever
[border1] track 193 nqa entry v4nqa193 v4nqa193 reaction 1
手工配置
(4) 三个出口配置和Croe相连的直连网段
[border2] vlan 2
[border2-vlan2] quit
[border2] interface Vlan-interface2
[border2-Vlan-interface2] ip address 2.1.1.2 255.255.255.0
[border2-Vlan-interface2] quit
[border2] vlan 3
[border2-vlan3] quit
[border2] interface Vlan-interface3
[border2-Vlan-interface3] ip address 3.1.1.2 255.255.255.0
[border2-Vlan-interface3] quit
[border2] vlan 4
[border2-vlan4] quit
[border2] interface Vlan-interface4
[border2-Vlan-interface4] ip address 4.1.1.2 255.255.255.0
[border2-Vlan-interface4] quit
(5) 在Border连接Core设备的聚合口上配置VLAN放行。
[border2] interface Bridge-Aggregation2
[border2-Bridge-Aggregation2] port link-type trunk
[border2-Bridge-Aggregation2] undo port trunk permit vlan 1
[border2-Bridge-Aggregation2] port trunk permit vlan 2 to 4
[border2-Bridge-Aggregation2] quit
(6) 配置NQA规则,同时和Track进行联动
[border2] nqa entry v4nqa191 v4nqa191
[border2-nqa-v4nqa191-v4nqa191] type icmp-echo
[border2-nqa-v4nqa191-v4nqa191-icmp-echo] destination ip 2.1.1.1
[border2-nqa-v4nqa191-v4nqa191-icmp-echo] frequency 1000
[border2-nqa-v4nqa191-v4nqa191-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
[border2-nqa-v4nqa191-v4nqa191-icmp-echo] source ip 10.1.1.9
[border2-nqa-v4nqa191-v4nqa191-icmp-echo] quit
[border2] nqa schedule v4nqa191 v4nqa191 start-time now lifetime forever
[border2] track 191 nqa entry v4nqa191 v4nqa191 reaction 1
[border2] nqa entry v4nqa192 v4nqa192
[border2-nqa-v4nqa192-v4nqa192] type icmp-echo
[border2-nqa-v4nqa192-v4nqa192-icmp-echo] destination ip 3.1.1.1
[border2-nqa-v4nqa192-v4nqa192-icmp-echo] frequency 1000
[border2-nqa-v4nqa192-v4nqa192-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
[border2-nqa-v4nqa192-v4nqa192-icmp-echo] source ip 10.1.1.9
[border2-nqa-v4nqa192-v4nqa192-icmp-echo] quit
[border2] nqa schedule v4nqa192 v4nqa192 start-time now lifetime forever
[border2] track 192 nqa entry v4nqa192 v4nqa192 reaction 1
[border2] nqa entry v4nqa193 v4nqa193
[border2-nqa-v4nqa193-v4nqa193] type icmp-echo
[border2-nqa-v4nqa193-v4nqa193-icmp-echo] destination ip 4.1.1.1
[border2-nqa-v4nqa193-v4nqa193-icmp-echo] frequency 1000
[border2-nqa-v4nqa193-v4nqa193-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
[border2-nqa-v4nqa193-v4nqa193-icmp-echo] source ip 10.1.1.9
[border2-nqa-v4nqa193-v4nqa193-icmp-echo] quit
[border2] nqa schedule v4nqa193 v4nqa193 start-time now lifetime forever
[border2] track 193 nqa entry v4nqa193 v4nqa193 reaction 1
配置外网资源(外网业务19.1.1.1/19::1),网关地址以及目的到Border设备的LoopBack0口的静态路由。以H3C交换机配置为例。
(7) 在Core连接Border设备的聚合口上配置VLAN放行。
[core] interface Bridge-Aggregation2
[core-Bridge-Aggregation2] port link-type trunk
[core-Bridge-Aggregation2] undo port trunk permit vlan 1
[core-Bridge-Aggregation2] port trunk permit vlan 2 to 4
[core-Bridge-Aggregation2] quit
(8) 配置外网业务
[core] interface LoopBack2
[core-LoopBack2] ip address 19.1.1.1 24
[core-LoopBack2] ipv6 address 19::1 64
[core-LoopBack2] quit
(9) 配置三个出口网关
[core]vlan 2
[core2-vlan2]quit
[core] interface Vlan-interface2
[core-Vlan-interface2] ip address 2.1.1.1 255.255.255.0
[core-Vlan-interface2] quit
[core]vlan 3
[core2-vlan3]quit
[core] interface Vlan-interface3
[core-Vlan-interface3] ip address 3.1.1.1 255.255.255.0
[core-Vlan-interface3] quit
[core]vlan 4
[core2-vlan4]quit
[core] interface Vlan-interface4
[core-Vlan-interface4] ip address 4.1.1.1 255.255.255.0
[core-Vlan-interface4] quit
(10) 此处配置静态路由的优先级顺序要和绑定外部网络中外部网络子网的优先级顺序保持一致:internet1>internet2>internet3。
[core] ip route-static 10.1.1.8 32 2.1.1.2 preference 1
[core] ip route-static 10.1.1.9 32 2.1.1.2 preference 1
[core] ip route-static 10.1.1.8 32 3.1.1.2 preference 2
[core] ip route-static 10.1.1.9 32 3.1.1.2 preference 2
[core] ip route-static 10.1.1.8 32 4.1.1.2 preference 3
[core] ip route-static 10.1.1.9 32 4.1.1.2 preference 3
由于gw1_internet1出口优先级最高,Border设备的租户路由表显示下一跳为出口网关为出口1的网关,此时:
· 主机A(11.19.1.10/24)可以ping通internet1出口的外部网关10.0.6.1以及模拟的外网IP 19.1.1.1。
· 主机A(2001:11:19:1::3)可以ping通internet1出口的外部网关2001:100:0:6::1和外网资源19::1。
[border1] dis ip routing-table vpn-instance tenant1_router1901_11037
Destinations : 11 Routes : 11
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 253 0 100.0.6.1 vlan4006
[border1] dis ipv6 routing-table vpn-instance tenant1_router1901_11037
Destinations : 6 Routes : 6
Destination: ::/0 Protocol : Static
NextHop : 2001:100:0:6::1 Preference: 253
Interface : vlan4006 Cost : 0
由于gw1_internet1出口Down掉,主出口切换至优先级为第二的internet2出口,Border设备的租户路由表显示下一跳为出口网关为出口2的网关,此时:
· 主机A(11.19.1.10/24)可以ping通internet2出口的外部网关10.0.7.1以及模拟的外网IP 19.1.1.1。
· 主机A(2001:11:19:1::3)可以ping通internet2出口的外部网关2001:100:0:7::1和外网资源19::1。
[border1] dis ip routing-table vpn-instance tenant1_router1901_11037
Destinations : 9 Routes : 9
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 254 0 100.0.7.1 Vlan4007
[border1]dis ipv6 routing-table vpn-instance tenant1_router1901_11037
Destinations : 4 Routes : 4
Destination: ::/0 Protocol : Static
NextHop : 2001:100:0:7::1 Preference: 254
Interface : Vlan4007 Cost : 0
由于gw1_internet1,gw1_internet2出口都Down掉,主出口切换至gw1_internet3出口,Border设备的租户路由表显示下一跳为出口网关为出口3的网关,此时:
· 主机A(11.19.1.10/24)可以ping通internet3出口的外部网关10.0.8.1以及模拟的外网IP 19.1.1.1。
· 主机A(2001:11:19:1::3)可以ping通internet3出口的外部网关2001:100:0:8::1和外网资源19::1。
[border1] dis ip routing-table vpn-instance tenant1_router1901_11037
Destinations : 9 Routes : 9
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 255 0 100.0.8.1 Vlan4008
[border1]dis ipv6 routing-table vpn-instance tenant1_router1901_11037
Destinations : 4 Routes : 4
Destination: ::/0 Protocol : Static
NextHop : 2001:100:0:8::1 Preference: 255
Interface : Vlan4008 Cost : 0
图5-1 OSPF多出口场景组网图
交换设备间的连接关系请参考《AD-DC 6.5 Underlay网络配置指导》进行规划。
两台M-LAG Border提供两个OSPF直通出口,一个出口连接Internet外网交换机,另一个出口连接其它站点外网交换机。两台M-LAG Border设备上通过控制组件下发给出外网虚接口主IPv4和从IPv4地址,M-LAG的两台设备均通过主IPv4和外网建立OSPF邻居;通过配置M-LAG IPv6协议IP和外网建立OSPFv3邻居;通过在控制组件配置OSPF及OSPFv3并且配置路由策略过滤掉主机路由,在OSPF及OSPFv3引入BGP路由,实现动态路由互联。
表5-1 组网中IP及接口说明
|
设备 |
用途 |
管理IP地址 |
业务IP地址及接口 |
|
Border1 |
EVPN边界设备 |
192.168.11.8 |
Loopback0 10.1.1.8/32 HGE4/0/1(连接Border2 HGE4/0/1) HGE4/0/2(连接Border2 HGE4/0/2) XGE6/0/48(连接Border2 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/3) HGE4/0/4(连接Spine2 HGE1/0/3) XGE6/0/1(连接Internet外网交换机,加入到BAGG2) XGE6/0/2(连接其它站点外网交换机,加入到BAGG3) |
|
Border2 |
EVPN边界设备 |
192.168.11.9 |
Loopback0 10.1.1.9/32 HGE4/0/1(连接Border1 HGE4/0/1) HGE4/0/2(连接Border1 HGE4/0/2) XGE6/0/48(连接Border1 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/4) HGE4/0/4(连接Spine2 HGE1/0/4) XGE6/0/1(连接Internet外网交换机,加入到BAGG2) XGE6/0/2(连接其它站点外网交换机,加入到BAGG3) |
|
Spine1 |
Underlay物理设备 |
192.168.11.2 |
Loopback0 10.1.1.2/32 HGE1/0/3(连接Border1 HGE4/0/3) HGE1/0/4(连接Border2 HGE4/0/3) HGE1/0/5(连接Leaf1 HGE1/0/25) HGE1/0/6(连接Leaf2 HGE1/0/25) HGE1/0/7(连接Leaf3 HGE1/0/25) HGE1/0/8(连接Leaf4 HGE1/0/25) |
|
Spine2 |
Underlay物理设备 |
192.168.11.3 |
Loopback0 10.1.1.3/32 HGE1/0/3(连接Border1 HGE4/0/4) HGE1/0/4(连接Border2 HGE4/0/4) HGE1/0/5(连接Leaf1 HGE1/0/27) HGE1/0/6(连接Leaf2 HGE1/0/27) HGE1/0/7(连接Leaf3 HGE1/0/27) HGE1/0/8(连接Leaf4 HGE1/0/27) |
|
Leaf1 |
EVPN接入设备 |
192.168.11.4 |
Loopback0 10.1.1.4/32 XGE1/0/9(连接Leaf2 XGE1/0/9) HGE1/0/29(连接Leaf2 HGE1/0/29) HGE1/0/30(连接Leaf2 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/5) HGE1/0/27(连接Spine2 HGE1/0/5) |
|
Leaf2 |
EVPN接入设备 |
192.168.11.5 |
Loopback0 10.1.1.5/32 XGE1/0/9(连接Leaf1 XGE1/0/9) HGE1/0/29(连接Leaf1 HGE1/0/29) HGE1/0/30(连接Leaf1 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/6) HGE1/0/27(连接Spine2 HGE1/0/6) |
|
Leaf3 |
EVPN接入设备 |
192.168.11.6 |
Loopback0 10.1.1.6/32 XGE1/0/9(连接Leaf4 XGE1/0/9) HGE1/0/29(连接Leaf4 HGE1/0/29) HGE1/0/30(连接Leaf4 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/7) HGE1/0/27(连接Spine2 HGE1/0/7) |
|
Leaf4 |
EVPN接入设备 |
192.168.11.7 |
Loopback0 10.1.1.7/32 XGE1/0/9(连接Leaf3 XGE1/0/9) HGE1/0/29(连接Leaf3 HGE1/0/29) HGE1/0/30(连接Leaf3 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/8) HGE1/0/27(连接Spine2 HGE1/0/8) |
本接口说明对应的设备类型为Spine和Border为12500G,Leaf为S6850,如果存在其他设备类型请自行规划。另外,接口连接关系也仅供参考,实际连接接口请自行规划。
表5-2 资源规划
|
规划项 |
配置示例 |
说明 |
|
Fabric |
· 名称:fabric1 · AS号:100 |
|
|
VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
图5-2 配置流程
请配置并纳管组网中的交换设备,详细信息请参见《AD-DC 6.5 Underlay网络配置指导》。
以H3C设备命令行为例,具体命令行请参考第三方设备的产品手册。
(1) 配置OSPF及OSPFv3。
[device] ospf 20 router-id 123.123.123.123
[device-ospf-20] area 0.0.0.0
[device-ospf-20] quit
[device] ospfv3 20
[device-ospfv3-20] router-id 123.123.123.123
[device-ospfv3-20] area 0.0.0.0
[device-ospfv3-20] quit
(2) 配置与Border1和Border2互联的VLAN口地址并加入到OSPF及OSPFv3,并配置OSPF及OSPFv3 BFD。
[device]interface vlan 4005
[device-Vlan-interface4005] ip address 100.0.5.1 24
[device-Vlan-interface4005] ip address 100.1.5.1 24 sub
[device-Vlan-interface4005] ipv6 address 2001:100:0:5::1 64
[device-Vlan-interface4005] ospf 20 area 0.0.0.0
[device-Vlan-interface4005] ospf bfd enable
[device-Vlan-interface4005] ospfv3 20 area 0.0.0.0
[device-Vlan-interface4005] ospfv3 bfd enable
[device-Vlan-interface4005] quit
(3) 配置动态聚合组。
[device]interface Bridge-Aggregation 2
[device-Bridge-Aggregation2]link-aggregation mode dynamic
(4) 配置与Border1互联接口加入聚合。
[device] interface Ten-GigabitEthernet1/0/1
[device-Ten-GigabitEthernet1/0/1] port link-aggregation group 2
[device-Ten-GigabitEthernet1/0/1] quit
(5) 配置与Border2互联接口加入聚合。
[device] interface Ten-GigabitEthernet1/0/3
[device-Ten-GigabitEthernet1/0/3] port link-aggregation group 2
[device-Ten-GigabitEthernet1/0/3] quit
(6) 配置外网交换机与Border1和Border2的互联聚合口放行VLAN 4005。
[device]interface Bridge-Aggregation2
[device-Bridge-Aggregation2] port link-type trunk
[device-Bridge-Aggregation2] port trunk permit vlan 4005
[device-Bridge-Aggregation2] undo port trunk permit vlan 1
[device-Bridge-Aggregation2] quit
以H3C设备命令行为例,具体命令行请参考第三方设备的产品手册。
(1) 配置OSPF及OSPFv3。
[device] ospf 30 router-id 123.123.123.124
[device-ospf-30] area 0.0.0.0
[device-ospf-30] quit
[device] ospfv3 30
[device-ospfv3-30] router-id 123.123.123.124
[device-ospfv3-30] area 0.0.0.0
[device-ospfv3-30] quit
(2) 配置与Border1和Border2互联的VLAN口地址并加入到OSPF及OSPFv3,并配置OSPF及OSPFv3 BFD。
[device]interface vlan 4006
[device-Vlan-interface4006] ip address 100.0.6.1 24
[device-Vlan-interface4006] ip address 100.1.6.1 24 sub
[device-Vlan-interface4006] ipv6 address 2001:100:0:6::1 64
[device-Vlan-interface4006] ospf 30 area 0.0.0.0
[device-Vlan-interface4006] ospf bfd enable
[device-Vlan-interface4006] ospfv3 30 area 0.0.0.0
[device-Vlan-interface4006] ospfv3 bfd enable
[device-Vlan-interface4006] quit
(3) 配置动态聚合组。
[device]interface Bridge-Aggregation 2
[device-Bridge-Aggregation2]link-aggregation mode dynamic
(4) 配置与Border1互联接口加入聚合。
[device] interface Ten-GigabitEthernet1/0/1
[device-Ten-GigabitEthernet1/0/1] port link-aggregation group 2
[device-Ten-GigabitEthernet1/0/1] quit
(5) 配置与Border2互联接口加入聚合。
[device] interface Ten-GigabitEthernet1/0/3
[device-Ten-GigabitEthernet1/0/3] port link-aggregation group 2
[device-Ten-GigabitEthernet1/0/3] quit
(6) 配置外网交换机与Border1和Border2的互联聚合口放行VLAN 4006。
[device]interface Bridge-Aggregation2
[device-Bridge-Aggregation2] port link-type trunk
[device-Bridge-Aggregation2] port trunk permit vlan 4006
[device-Bridge-Aggregation2] undo port trunk permit vlan 1
[device-Bridge-Aggregation2] quit
(1) Border1设备手工配置
(2) 配置Border1连接外网接口加入聚合口。
[border1] interface Ten-GigabitEthernet6/0/1
[border1-Ten-GigabitEthernet6/0/1] port link-aggregation group 2
[border1-Ten-GigabitEthernet6/0/1] quit
(3) 配置聚合口放行VLAN。
[border1] interface Bridge-Aggregation 2
[border1-Bridge-Aggregation2] port link-type trunk
[border1-Bridge-Aggregation2] undo port trunk permit vlan 1
[border1-Bridge-Aggregation2] port trunk permit vlan 4005
[border1-Bridge-Aggregation2] quit
(4) 配置聚合口加入到M-LAG组。
[border1] interface Bridge-Aggregation 2
[border1-Bridge-Aggregation2] port m-lag group 2 allow-single-member
[border1-Bridge-Aggregation2] quit
(5) 配置连接外网的VLAN虚接口加入MAD include非保留接口中。
[border1] m-lag mad include interface Vlan-interface 4005
(6) Border2设备手工配置
(7) 配置Border2连接外网接口加入聚合口。
[border2] interface Ten-GigabitEthernet6/0/1
[border2-Ten-GigabitEthernet6/0/1] port link-aggregation group 2
[border2-Ten-GigabitEthernet6/0/1] quit
(8) 配置聚合口放行VLAN。
[border2] interface Bridge-Aggregation 2
[border2-Bridge-Aggregation2] port link-type trunk
[border2-Bridge-Aggregation2] undo port trunk permit vlan 1
[border2-Bridge-Aggregation2] port trunk permit vlan 4005
[border2-Bridge-Aggregation2] quit
(9) 配置聚合口加入到M-LAG组。
[border2] interface Bridge-Aggregation 2
[border2-Bridge-Aggregation2] port m-lag group 2 allow-single-member
[border2-Bridge-Aggregation2] quit
(10) 配置连接外网的VLAN虚接口加入MAD include非保留接口中。
[border2] m-lag mad include interface Vlan-interface 4005
参见章节“控制组件基础配置”的配置步骤,完成以下基础配置:
表5-3 控制组件基础配置
|
配置项 |
配置示例 |
说明 |
|
增加Fabric |
· 基础配置 ¡ 名称:fabric1 ¡ AS号:100 · 高级配置 ¡ 未知单播报文抑制:勾选 ¡ 未知组播报文抑制:勾选 ¡ 广播报文抑制:勾选 |
|
|
配置VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
|
配置全局参数 |
· 启用IPv6:开启 · 交换设备下发安全策略流表:关闭 · VRF名称生成方式:按规则生成 |
|
|
增加设备组 |
· 名称:bdgroup1 · 网络位置:出口网关 · HA部署模式:M-LAG · 连接方式:VLAN跨网段 · 设备组成员:Border1、Border2 |
网络位置、远端设备组、防火墙业务和连接方式四个参数在增加完后无法修改。其中防火墙业务和网络位置影响后续Fabric扩容,请做好规划后再配置 |
|
增加VLAN-VXLAN映射 |
· 名称:map1 · VLAN-VXLAN映射关系: ¡ 名称:map3301 ¡ VLAN起始值:2129 ¡ VXLAN起始值:2129 ¡ 映射区间宽度:1 ¡ 接入模式:VLAN · 应用到接口:应用到组网中Leaf连接Server的所有聚合接口上 |
|
|
增加租户 |
· 名称:tenant1 · VDS名称:VDS1 |
|
|
增加出口网关 |
· 名称gw1 · 共享网关:开启 · 成员名称:gw1_member1 · 所属Fabric:fabric1 · 设备组:bdgroup1 · 优先级:1 |
|
|
租户绑定出口网关 |
· 分配网关资源:gw1 |
|
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟链路层网络]页面,单击<增加>按钮,进入增加虚拟链路层网络页面,配置虚拟链路层网络相关参数:
¡ 网络名称:network3301。
¡ Segment ID:2129。
¡ 其余参数保持默认值即可。
图5-3 增加虚拟链路层网络
(2) 单击子网区域的<增加>按钮,增加IPv4子网,在弹出的页面配置如下参数:
¡ IP版本:IPv4。
¡ 子网名称:自定义该名称,以subnetv4-3301为例。
¡ 子网网段:自定义该网段,以11.33.1.0/24,网关是11.33.1.1为例。
¡ 其余参数保持默认值即可。
图5-4 增加IPv4子网
(3) 单击增加子网页面的<应用>按钮完成增加子网的操作。
(4) 单击子网区域的<增加>按钮,增加IPv6子网,弹出的页面配置如下参数:
¡ IP版本:IPv6。
¡ 子网名称:自定义该名称,以subnetv6-3301为例。
¡ 子网网段:自定义该网段,以2001:43:1:1::/64为例。
¡ 网关:2001:43:1:1::1。
¡ 其余参数保持默认值即可。
图5-5 增加IPv6子网
(5) 单击增加子网页面的<应用>按钮,完成增加子网的操作。
(6) 单击增加虚拟链路层网络页面的<应用>按钮,完成增加虚拟链路层网络的操作。
|
虚拟路由器名称 |
Segment ID |
子网 |
外网出口设备 |
说明 |
|
router3301 |
11129 |
subnetv4-3301、subnetv6-3301 |
边界设备 |
|
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面,单击<增加>按钮,进入增加虚拟路由器页面,配置虚拟路由器相关参数:
¡ 名称:router3301。
¡ Segment ID:11129。
图5-6 增加虚拟路由器
(2) 在“子网”页签下,单击<增加>按钮,进入到增加子网页面,在弹出的对话框中选择已创建的子网“subnetv4-3301”和“subnetv6-3301”,单击<应用>按钮。
图5-7 增加子网
(3) 单击增加子网页面的页面的<应用>按钮,完成增加子网的操作。
(4) 在“外部网络”页签下,外网出口设备勾选“边界设备”。
图5-8 外部网络设置
(5) 单击增加虚拟路由器页面的<应用>按钮,完成增加虚拟路由器的操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面,单击虚拟路由器router3301的“网关资源”区段的链接,在弹出的网关资源对话框中选择的网关资源gw1。
图5-9 虚拟路由器绑定出口网关
(2) 单击网关资源页面的<应用>按钮,完成虚拟路由器绑定网关的操作。
本章需要配置如下连接Internet和连接其它站点的两个外部网络。
|
外部网络 |
配置示例 |
|
连接Internet的外部网络 |
· 名称:exnetwork3301。 · 类型:VLAN。不同类型会下发不同配置,以VLAN为例。 · Segment ID:4005。 · External Segment ID:4005。 · 网络分段:关闭 · 工作模式:共享 · IPv4组播网络:关闭 · IPv6组播网络:关闭 · 路由精简:关闭 · 引入外网路由:开启 · IPv4子网0: ¡ 名称:v4extsubnet5-0 ¡ 网段:100.0.5.0/24 ¡ 网关:100.0.5.1 ¡ 主IP所在子网:是 · IPv4子网1: ¡ 名称:v4extsubnet5-1 ¡ 网段:100.1.5.0/24 ¡ 网关:100.1.5.1 ¡ 主IP所在子网:否 · IPv6子网: ¡ 名称:v6extsubnet5 ¡ 网段:2001:100:0:5::/64 ¡ 网关:2001:100:0:5::1 |
|
连接其它站点的外部网络 |
· 名称:exnetwork3302。 · 类型:VLAN。不同类型会下发不同配置,以VLAN为例。 · Segment ID:4006。 · External Segment ID:4006。 · 网络分段:关闭 · 工作模式:共享 · IPv4组播网络:关闭 · IPv6组播网络:关闭 · 路由精简:关闭 · 引入外网路由:开启 · IPv4子网0: ¡ 名称:v4extsubnet6-0 ¡ 网段:100.0.6.0/24 ¡ 网关:100.0.6.1 ¡ 主IP所在子网:是 · IPv4子网1: ¡ 名称:v4extsubnet6-1 ¡ 网段:100.1.6.0/24 ¡ 网关:100.1.6.1 ¡ 主IP所在子网:否 · IPv6子网: ¡ 名称:v6extsubnet6 ¡ 网段:2001:100:0:6::/64 ¡ 网关:2001:100:0:6::1 |
下面以配置连接Internet的外部网络为例进行说明。
(1) 进入[自动化>数据中心网络>公共网络设置>外部网络]页面,单击<增加>按钮,进入增加外部网络页面,在该页面中进行以下配置:
¡ 名称:exnetwork3301。
¡ 类型:VLAN。不同类型会下发不同配置,以VLAN为例。
¡ Segment ID:4005。
¡ External Segment ID:4005。
¡ 其余参数保持默认值。
图5-10 增加外部网络
(2) 在IPv4子网区域单击<增加>按钮,在弹出的对话框中进行如下配置:
¡ 名称:v4extsubnet5-0。
¡ 子网网段:100.0.5.0/24。
¡ 网关IP:100.0.5.1。
¡ 主IP所在子网:勾选“是”。
¡ 其余参数保持默认值。
¡ 单击<应用>按钮,完成增加IPv4子网的操作。
图5-11 增加IPv4子网
(3) 在IPv4子网区域单击<增加>按钮,在弹出的对话框中进行如下配置:
¡ 名称:v4extsubnet5-1。
¡ 子网网段:100.1.5.0/24。
¡ 网关IP:100.1.5.1。
¡ 主IP所在子网:勾选“否”。
¡ 其余参数保持默认值。
¡ 单击<应用>按钮,完成增加IPv4子网的操作。
图5-12 增加IPv4子网
(4) 在IPv6子网区域单击<增加>按钮,在弹出的对话框中进行如下配置:
¡ 名称:自定义该名称,以v6extsubnet5为例。
¡ 子网网段:2001:100:0:5::/64。
¡ 网关IP:2001:100:0:5::1。
¡ 其余参数保持默认值。
¡ 单击<应用>按钮,完成增加IPv6子网的操作。
图5-13 增加IPv6子网
(5) 单击增加外部网络页面的<应用>按钮,完成增加外部网络的操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router3301操作栏的
按钮,进入修改虚拟路由器页面。
(3) 单击“外部网络”页签,在该页面中进行如下配置:
¡ 外部网络:exnetwork3301。
图5-14 选择外部网络exnetwork3301
¡ 单击<绑定IPv4外网子网>按钮,在弹出的对话框中进行如下配置:
- 名称:v4extsubnet5-1。
- 外网出口IP:自定义该IP,以“100.1.5.2”为例。
- 单击<应用>按钮,完成增加绑定IPv4外网子网的操作。
图5-15 绑定IPv4外网子网
不支持在虚拟路由器绑定时指定主地址所在子网,虚拟路由器绑定外部网络后就会在网关设备上的外网Vlan-interface下自动分配主地址所在子网地址,该地址用于和外网交换机建立OSPF邻居等。
¡ 单击<绑定IPv6外网子网>按钮,在弹出的对话框中进行如下配置:
- 名称:v6extsubnet5。
- 外网出口IP:自定义该IP,以“2001:100:0:5::2”为例。
- 单击<应用>按钮,完成增加绑定IPv6外网子网的操作。
图5-16 绑定IPv6外网子网
(4) 单击修改虚拟路由器页面的<应用>按钮,完成虚拟路由器绑定外部网络的操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟端口]页面,单击<增加>按钮,进入增加虚拟端口页面,配置虚拟端口相关参数:
¡ 名称:extvport1。
¡ 网络类型:外部网络。
¡ 外部网络:extnetwork3302。
¡ IP地址:100.1.6.2,2001:100:0:6::2。
¡ SNAT:关闭。
¡ 防火墙:关闭。
图5-17 增加外网虚拟端口
(2) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟虚拟路由器]页面,然后进入修改虚拟路由器router3301页面,单击“虚拟端口”页签,绑定外网虚拟端口extvport1,如下:
图5-18 虚拟路由器绑定外网虚拟端口
(1) 进入[自动化>数据中心网络>资源池>OSPF资源池]页面,单击<增加>按钮,在弹出的对话框中配置以下参数:
¡ 起始Router ID:2.1.1.1。
¡ 结束Router ID:2.1.1.10。
¡ 优先级:1。
图5-19 增加OSPF资源池
(2) 单击<确认>按钮,完成操作。
本章要配置如下Internet出口和其它站点出口的IBGP路由导入OSPF的IPv4前缀配置:
|
出口 |
配置示例 |
|
连接Internet的出口 |
· 名称:prefix33。 · 索引:以“1”为例。 · 模式:允许。 · 前缀网段:0.0.0.0/0。 · 最小前缀长度:32。 · 其余参数保持默认值 |
|
连接其它站点的出口 |
· 名称:prefix34。 · 索引:以“1”为例。 · 模式:允许。 · 前缀网段:0.0.0.0/0。 · 最小前缀长度:32。 · 其余参数保持默认值 |
下面以连接Internet的IPv4前缀为例进行说明。
(1) 进入[自动化>数据中心网络>公共网络设置>OSPF]页面。
(2) 单击OSPF策略的“地址前缀”页签,并单击<增加>按钮,进入该页面进行如下配置:
¡ 名称:prefix33。
¡ 其余参数保持默认值。
图5-20 增加IPv4地址前缀
(3) 单击“增加前缀规则”页签的<增加>按钮,在该页面中进行如下配置:
¡ 索引:以“1”为例。
¡ 模式:允许。
¡ 前缀网段:0.0.0.0/0。
¡ 最小前缀长度:32。
¡ 其余参数保持默认值。
图5-21 增加前缀规则
(4) 单击增加前缀规则的<应用>按钮,完成增加前缀规则的操作。
(5) 单击增加地址前缀的<应用>按钮,完成增加地址前缀的操作。
本章要配置如下Internet出口和其它站点出口的IPv4路由策略配置:
|
出口 |
路由策略功能 |
配置示例 |
|
连接Internet的出口 |
OSPF引入IBGP非主机路由 |
· 名称:routepolicy33 · 节点5: ¡ 节点序列号:5 ¡ 模式:拒绝 ¡ 匹配规格:地址前缀 ¡ 地址前缀:prefix33 · 节点1000: ¡ 节点序列号:1000 ¡ 模式:允许 ¡ 其它参数:保持默认值 |
|
连接Internet的出口 |
Fabric引入OSPF路由 |
· 名称:routepolicy35 · 节点1000: ¡ 节点序列号:1000 ¡ 模式:允许 · 其它参数:保持默认值 |
|
连接其它站点的出口 |
OSPF引入IBGP非主机路由 |
· 名称:routepolicy34 · 节点5: ¡ 节点序列号:5 ¡ 模式:拒绝 ¡ 匹配规格:地址前缀 ¡ 地址前缀:prefix34 · 节点1000: ¡ 节点序列号:1000 ¡ 模式:允许 · 其它参数:保持默认值 |
|
连接其它站点的出口 |
Fabric引入OSPF使用的路由策略 |
· 名称:routepolicy36 · 节点1000: ¡ 节点序列号:1000 ¡ 模式:允许 · 其它参数:保持默认值 |
下面以连接Internet出口的OSPF引入IBGP非主机路由策略routepolicy33为例进行说明。
(1) 进入[自动化>数据中心网络>公共网络设置>OSPF]页面。
(2) 单击OSPF策略的“路由策略”页签,并单击<增加>按钮,进入该页面进行如下配置:
¡ 名称:routepolicy33。
¡ 其余参数保持默认值。
图5-22 增加路由策略
(3) 单击“增加节点”页签的<增加>按钮,在该页面中进行如下配置:
¡ 节点序列号:以“5”为例。
¡ 模式:拒绝。
¡ 匹配规则:选择“地址前缀”。
¡ 地址前缀:选择“prefix33”。
图5-23 增加节点
(4) 单击增加节点的<应用>按钮,完成增加节点的操作。
(5) 单击“增加节点”页签的<增加>按钮,在该页面中进行如下配置:
¡ 节点序列号:以“1000”为例。
¡ 模式:允许。
¡ 其余参数保持默认值。
图5-24 增加节点
(6) 单击增加节点的<应用>按钮,完成增加节点的操作。
(7) 单击增加路由策略的<应用>按钮,完成增加路由策略的操作。
本章需要配置如下连接Internet和连接其它站点的两个OSPF策略。
|
OSPF策略 |
配置示例 |
|
连接Internet的OSPF策略 |
· 名称:extospf33。 · 不间断路由:开启。 · 路由环路探测:开启。 · Fabric引入OSPF路由策略:routepolicy35 · 其它参数:保持默认值 · 路由引入: ¡ 引入BGP路由:开启 ¡ 路由策略:routepolicy33 ¡ 引入IBGP:勾选 ¡ 其它参数:保持默认值 · 接口策略: ¡ 名称:portpolicy ¡ 启用BFD:是 ¡ 其它参数:保持默认值 · 区域 ¡ 区域ID:以“0.0.0.0”为例。 ¡ 其余参数保持默认值。 |
|
连接其它站点的OSPF策略 |
· 名称:extospf34。 · 不间断路由:开启。 · 路由环路探测:开启。 · Fabric引入OSPF路由策略:routepolicy36 · 其它参数:保持默认值 · 路由引入: ¡ 引入BGP路由:开启 ¡ 路由策略:routepolicy34 ¡ 引入IBGP:勾选 ¡ 其它参数:保持默认值 · 接口策略: ¡ 名称:portpolicy1 ¡ 启用BFD:是 ¡ 其它参数:保持默认值 · 区域 ¡ 区域ID:以“0.0.0.0”为例。 ¡ 其余参数保持默认值。 |
下面以连接Internet的OSPF策略为例进行说明。
(1) 进入[自动化>数据中心网络>公共网络设置>OSPF]页面。
(2) 单击OSPF策略的<增加>按钮,进入该页面进行如下配置:
¡ 名称:extospf33。
¡ 不间断路由:开启。
¡ 路由环路探测:开启。
¡ 其余参数保持默认值。
图5-25 增加OSPF策略
(3) 单击“路由引入”页签,在该页面中进行如下配置:
¡ 引入BGP路由:开启。
¡ 路由策略:routepolicy33。
¡ 引入IBGP:勾选。
¡ 其它参数:保持默认值。
图5-26 增加路由引入
(4) 单击“接口策略”页签的<增加>按钮,在该页面中进行如下配置:
¡ 名称:“portpolicy”。
¡ 启用BFD:勾选“是”。
¡ 其余参数保持默认值。
图5-27 增加接口策略
(5) 单击增加接口策略的<应用>按钮,完成增加接口策略的操作。
(6) 单击“区域”页签的<增加>按钮,在该页面中进行如下配置:
¡ 区域ID:以“0.0.0.0”为例。
¡ 其余参数保持默认值。
图5-28 增加区域
(7) 单击增加区域的<应用>按钮,完成增加区域的操作。
(8) 单击增加OSPF策略的<应用>按钮,完成增加OSPF策略的操作。
本章需要配置如下连接Internet和连接其它站点的两个OSPF策略应用。
|
OSPF策略 |
配置示例 |
|
连接Internet的OSPF策略应用 |
· 应用对象类型:外部网络。 · 应用对象:exnetwork3301。 · OSPF策略:extospf33。 · 区域ID:下拉框中选择“0.0.0.0”。 · 接口策略:选择“portpolicy”。 |
|
连接其它站点的OSPF策略应用 |
· 应用对象类型:外部网络。 · 应用对象:exnetwork3302。 · OSPF策略:extospf34。 · 区域ID:下拉框中选择“0.0.0.0”。 · 接口策略:选择“portpolicy1”。 |
下面以连接Internet的OSPF策略应用为例进行说明。
(1) 进入[自动化>数据中心网络>公共网络设置>OSPF]页面。
(2) 单击“OSPF策略应用”的<增加>按钮,进入该页面进行如下配置:
¡ 应用对象类型:外部网络。
¡ 应用对象:exnetwork3301。
¡ OSPF策略:extospf33。
¡ 区域ID:下拉框中选择“0.0.0.0”。
¡ 接口策略:选择“portpolicy”。
图5-29 增加OSPF策略应用
(3) 单击增加OSPF策略应用的<应用>按钮,完成增加OSPF策略应用的操作。
本章要配置如下Internet出口和其它站点出口的IBGP路由导入OSPF的IPv6前缀配置:
|
出口 |
配置示例 |
|
连接Internet的出口 |
· 名称:prefix33。 · 索引:以“1”为例。 · 模式:允许。 · 前缀网段:::/0。 · 最小前缀长度:128。 · 其余参数保持默认值 |
|
连接其它站点的出口 |
· 名称:prefix34。 · 索引:以“1”为例。 · 模式:允许。 · 前缀网段:::/0。 · 最小前缀长度:128。 其余参数保持默认值 |
下面以连接Internet的IPv6前缀为例进行说明。
(1) 进入[自动化>数据中心网络>公共网络设置>OSPFv3]页面。
(2) 单击OSPFv3策略的“地址前缀”页签,并单击<增加>按钮,进入该页面进行如下配置:
¡ 名称:prefix33。
¡ 其余参数保持默认值。
图5-30 增加地址前缀
(3) 单击“增加前缀规则”页签的<增加>按钮,在该页面中进行如下配置:
¡ 索引:以“1”为例。
¡ 模式:允许。
¡ 前缀网段:::/0。
¡ 最小前缀长度:128。
¡ 其余参数保持默认值。
图5-31 增加前缀规则
(4) 单击增加前缀规则的<应用>按钮,完成增加前缀规则的操作。
(5) 单击增加地址前缀的<应用>按钮,完成增加地址前缀的操作。
本章要配置如下Internet出口和其它站点出口的IPv6路由策略配置:
|
出口 |
路由策略用途 |
配置示例 |
|
连接Internet的出口 |
OSPFv3引入IBGP非主机路由 |
· 名称:routepolicy33 · 节点5: ¡ 节点序列号:5 ¡ 模式:拒绝 ¡ 匹配规格:地址前缀 ¡ 地址前缀:prefix33 · 节点1000: ¡ 节点序列号:1000 ¡ 模式:允许 ¡ 其它参数:保持默认值 |
|
连接Internet的出口 |
Fabric引入OSPFv3路由 |
· 名称:routepolicy35 · 节点1000: ¡ 节点序列号:1000 ¡ 模式:允许 · 其它参数:保持默认值 |
|
连接其它站点的出口 |
OSPFv3引入IBGP非主机路由 |
· 名称:routepolicy34 · 节点5: ¡ 节点序列号:5 ¡ 模式:拒绝 ¡ 匹配规格:地址前缀 ¡ 地址前缀:prefix34 · 节点1000: ¡ 节点序列号:1000 ¡ 模式:允许 · 其它参数:保持默认值 |
|
连接其它站点的出口 |
Fabric引入OSPFv3路由 |
· 名称:routepolicy36 · 节点1000: ¡ 节点序列号:1000 ¡ 模式:允许 · 其它参数:保持默认值 |
下面以连接Internet出口的OSPFv3引入IBGP非主机路由策略routepolicy33为例进行说明。
(1) 进入[自动化>数据中心网络>公共网络设置>OSPF]页面。
(2) 单击OSPF策略的“路由策略”页签,并单击<增加>按钮,进入该页面进行如下配置:
¡ 名称:routepolicy33。
¡ 其余参数保持默认值。
图5-32 增加路由策略
(3) 单击“增加节点”页签的<增加>按钮,在该页面中进行如下配置:
¡ 节点序列号:以“5”为例。
¡ 模式:拒绝。
¡ 匹配规则:选择“地址前缀”。
¡ 地址前缀:选择“prefix33”。
图5-33 增加节点
(4) 单击增加节点的<应用>按钮,完成增加节点的操作。
(5) 单击“增加节点”页签的<增加>按钮,在该页面中进行如下配置:
¡ 节点序列号:以“1000”为例。
¡ 模式:允许。
¡ 其余参数保持默认值。
图5-34 增加节点
(6) 单击增加节点的<应用>按钮,完成增加节点的操作。
(7) 单击增加路由策略的<应用>按钮,完成增加路由策略的操作。
本章需要配置如下连接Internet和连接其它站点的两个OSPFv3策略。
|
OSPFv3策略 |
配置示例 |
|
连接Internet的OSPF策略 |
· 名称:extospf33。 · 不间断路由:开启。 · 路由环路探测:开启。 · Fabric引入OSPFv3路由策略:routepolicy35 · 其它参数:保持默认值 · 路由引入: ¡ 引入BGP路由:开启 ¡ 路由策略:routepolicy33 ¡ 引入IBGP:勾选 ¡ 其它参数:保持默认值 · 接口策略: ¡ 名称:portpolicy ¡ 启用BFD:是 ¡ 其它参数:保持默认值 · 区域: ¡ 区域ID:以“0.0.0.0”为例。 ¡ 其余参数保持默认值。 |
|
连接其它站点的OSPF策略 |
· 名称:extospf34。 · 不间断路由:开启。 · 路由环路探测:开启。 · Fabric引入OSPFv3路由策略:routepolicy36 · 其它参数:保持默认值 · 路由引入: ¡ 引入BGP路由:开启 ¡ 路由策略:routepolicy34 ¡ 引入IBGP:勾选 ¡ 其它参数:保持默认值 · 接口策略: ¡ 名称:portpolicy1 ¡ 启用BFD:是 ¡ 其它参数:保持默认值 · 区域: ¡ 区域ID:以“0.0.0.0”为例。 ¡ 其余参数保持默认值。 |
下面以连接Internet出口的OSPFv3策略为例进行说明。
(1) 进入[自动化>数据中心网络>公共网络设置>OSPFv3]页面。
(2) 单击“OSPFv3策略”的<增加>按钮,进入该页面进行如下配置:
¡ 名称:extospf33。
¡ 不间断路由:开启。
¡ 路由环路探测:开启。
¡ Fabruc引入OSPFv3路由策略:routepolicy35。
¡ 其余参数保持默认值。
图5-35 增加OSPFv3策略
(3) 单击“路由引入”页签,在该页面中进行如下配置:
¡ 引入BGP路由:开启。
¡ 路由策略:routepolicy33。
¡ 引入IBGP:勾选。
¡ 其它参数:保持默认值。
图5-36 增加路由引入
(4) 单击“接口策略”页签的<增加>按钮,在该页面中进行如下配置:
¡ 名称:“portpolicy”。
¡ 启用“BFD”:勾选“是”。
¡ 其余参数保持默认值。
图5-37 增加接口策略
(5) 单击增加接口策略的<应用>按钮,完成增加接口策略引入的操作。
(6) 单击“区域”页签的<增加>按钮,在该页面中进行如下配置:
¡ 区域ID:以“0.0.0.0”为例。
¡ 其余参数保持默认值。
图5-38 增加区域
(7) 单击增加区域的<应用>按钮,完成增加区域的操作。
(8) 单击增加OSPF策略的<应用>按钮,完成增加OSPF策略的操作。
本章需要配置如下连接Internet和连接其它站点的两个OSPFv3策略应用。
|
OSPFv3策略应用 |
配置示例 |
|
连接Internet的OSPFv3策略应用 |
· 应用对象类型:外部网络。 · 应用对象:exnetwork3301。 · OSPF策略:extospf33。 · 区域ID:下拉框中选择“0.0.0.0”。 · 接口策略:选择“portpolicy”。 |
|
连接其它站点的OSPFv3策略应用 |
· 应用对象类型:外部网络。 · 应用对象:exnetwork3302。 · OSPF策略:extospf34。 · 区域ID:下拉框中选择“0.0.0.0”。 · 接口策略:选择“portpolicy1”。 |
下面以连接Internet的OSPFv3策略应用为例进行说明。
(1) 进入[自动化>数据中心网络>公共网络设置>OSPFv3]页面。
(2) 单击“OSPFv3策略应用”的<增加>按钮,进入该页面进行如下配置:
¡ 应用对象类型:外部网络。
¡ 应用对象:exnetwork3301。
¡ OSPF策略:extospf33。
¡ 区域ID:下拉框中选择“0.0.0.0”。
¡ 接口策略:选择“portpolicy”。
图5-39 增加OSPFv3策略应用
(3) 单击增加OSPFv3策略应用的<应用>按钮,完成增加OSPFv3策略应用的操作。
下面以控制器向Border1下发的配置为例进行说明,控制器向Border2下发的配置绝大部分与Border1相同,不同之处添加注意说明。
(1) 查看控制组件下发给Border1的VLAN虚接口的配置。
#
interface Vlan-interface4005
description SDN_VLAN_Interface_4005
ip binding vpn-instance external_vpn_4005
ip address 100.0.5.2 255.255.255.0
注意:控制器给border2下发的配置是ip address 100.0.5.3 255.255.255.0
ip address 100.1.5.2 255.255.255.0 sub
ospf 8 area 0.0.0.0
ospf bfd enable
ospfv3 2 area 0.0.0.0
ospfv3 bfd enable
port m-lag ipv6 virtual-ip FE80::201:101 link-local
注意:控制器给border2下发的配置是port m-lag ipv6 virtual-ip FE80::201:102 link-local
mac-address 3c8c-404e-dd46
ipv6 address 2001:100:0:5::2/64
#
#
interface Vlan-interface4006
description SDN_VLAN_Interface_4006
ip binding vpn-instance external_vpn_4006
ip address 100.0.6.2 255.255.255.0
注意:控制器给border2下发的配置是ip address 100.0.6.3 255.255.255.0
ip address 100.1.6.2 255.255.255.0 sub
ospf 9 area 0.0.0.0
ospf bfd enable
ospfv3 3 area 0.0.0.0
ospfv3 bfd enable
port m-lag ipv6 virtual-ip FE80::201:101 link-local
注意:控制器给border2下发的配置是port m-lag ipv6 virtual-ip FE80::201:102 link-local
mac-address 3c8c-404e-dd46
ipv6 address 2001:100:0:6::2/64
#
(2) 查看控制组件下发给Border1的OSPF配置。
a. OSPF配置
#
ospf 8 router-id 2.1.1.1 vpn-instance external_vpn_4005
注意:控制器向border2下发的配置是ospf 8 router-id 2.1.1.2 vpn-instance external_vpn_4005
description SDN_OSPF_POLICY_3c72720d-6119-4a9a-8f1e-2d20b7eff0ae
import-route bgp allow-ibgp route-policy SDN_ROUTE_POLICY_b004980b-e454-4b2f-9529-35ca084a740d
area 0.0.0.0
#
#
ospf 9 router-id 2.1.1.1 vpn-instance external_vpn_4006
注意:控制器向border2下发的配置是ospf 8 router-id 2.1.1.2 vpn-instance external_vpn_4006
description SDN_OSPF_POLICY_af3d90f0-1d65-4344-ad95-b812e61ca3a6
import-route bgp allow-ibgp route-policy SDN_ROUTE_POLICY_b7ee1107-b87a-4bc7-8d96-dfbd19c4bd79
area 0.0.0.0
#
b. OSPF引入IBGP非主机路由的路由策略配置
#
route-policy SDN_ROUTE_POLICY_b004980b-e454-4b2f-9529-35ca084a740d deny node 5
if-match ip address prefix-list SDN_OSPF_IPPREFIX_d63b42e4-909c-4870-9b86-ef094f213c79
#
route-policy SDN_ROUTE_POLICY_b004980b-e454-4b2f-9529-35ca084a740d permit node 1000
#
#
route-policy SDN_ROUTE_POLICY_b7ee1107-b87a-4bc7-8d96-dfbd19c4bd79 deny node 5
if-match ip address prefix-list SDN_OSPF_IPPREFIX_d63b42e4-909c-4870-9b86-ef094f213c79
#
route-policy SDN_ROUTE_POLICY_b7ee1107-b87a-4bc7-8d96-dfbd19c4bd79 permit node 1000
#
#
ip prefix-list SDN_OSPF_IPPREFIX_d63b42e4-909c-4870-9b86-ef094f213c79 index 1 permit 0.0.0.0 0 greater-equal 32
#
(3) 查看控制组件下发给Border1的OSPFv3配置。
a. OSPFv3配置
#
ospfv3 2 vpn-instance external_vpn_4005
router-id 2.1.1.1
注意控制器向border2下发的配置是router-id 2.1.1.2
description SDN_OSPF_POLICY_07df14b2-0969-46fd-aa10-b82bd2371024
import-route bgp4+ allow-ibgp route-policy SDN_ROUTE_POLICY_f87059b7-5566-4d7f-ab72-57654e8f5588
area 0.0.0.0
#
#
ospfv3 3 vpn-instance external_vpn_4006
router-id 2.1.1.1
注意控制器向border2下发的配置是router-id 2.1.1.2
description SDN_OSPF_POLICY_b3a2fa17-716f-4df5-bc07-b257f42d2a62
import-route bgp4+ allow-ibgp route-policy SDN_ROUTE_POLICY_ac101c36-8996-4867-8087-318ab1ff7992
area 0.0.0.0
#
b. OSPFv3引入IBGP非主机路由的路由策略配置
#
route-policy SDN_ROUTE_POLICY_f87059b7-5566-4d7f-ab72-57654e8f5588 deny node 5
if-match ipv6 address prefix-list SDN_OSPF_IPPREFIX_f408e0b3-0ebb-4686-9ccd-74a5df8400ad
#
route-policy SDN_ROUTE_POLICY_f87059b7-5566-4d7f-ab72-57654e8f5588 permit node 1000
#
#
route-policy SDN_ROUTE_POLICY_ac101c36-8996-4867-8087-318ab1ff7992 deny node 5
if-match ipv6 address prefix-list SDN_OSPF_IPPREFIX_f408e0b3-0ebb-4686-9ccd-74a5df8400ad
#
route-policy SDN_ROUTE_POLICY_ac101c36-8996-4867-8087-318ab1ff7992 permit node 1000
#
#
ipv6 prefix-list SDN_OSPF_IPPREFIX_f408e0b3-0ebb-4686-9ccd-74a5df8400ad index 1 permit :: 0 greater-equal 128
#
(4) 查看控制组件下发给Border1的Fabric引入OSPF和OSPFv3路由的路由策略配置。
#
Bgp 100
#
ip vpn-instance external_vpn_4005
#
address-family ipv4 unicast
balance 4
import-route ospf 8 route-policy SDN_ROUTE_POLICY_c902e91d-031d-4d12-9436-7bc535bb3b93
#
address-family ipv6 unicast
balance 4
import-route ospfv3 2 route-policy SDN_ROUTE_POLICY_b85f9e25-fa9a-4ad9-bbfd-3f1f04e86657
#
ip vpn-instance external_vpn_4006
#
address-family ipv4 unicast
balance 4
import-route ospf 9 route-policy SDN_ROUTE_POLICY_ed253e46-d564-4383-ba69-431fa77e529c
#
address-family ipv6 unicast
balance 4
import-route ospfv3 3 route-policy SDN_ROUTE_POLICY_dbfbe003-cc9a-428c-966c-e6bae66d9dc0
#
路由策略配置:
#
route-policy SDN_ROUTE_POLICY_c902e91d-031d-4d12-9436-7bc535bb3b93 permit node 1000
#
#
route-policy SDN_ROUTE_POLICY_b85f9e25-fa9a-4ad9-bbfd-3f1f04e86657 permit node 1000
#
#
route-policy SDN_ROUTE_POLICY_ed253e46-d564-4383-ba69-431fa77e529c permit node 1000
#
#
route-policy SDN_ROUTE_POLICY_dbfbe003-cc9a-428c-966c-e6bae66d9dc0 permit node 1000
#
(1) 查看Border1和Internet外网、其它站点、对端peer-link链路建立的OSPF邻居。
[border1]dis ospf 8 peer
OSPF Process 8 with Router ID 2.1.1.1
Neighbor Brief Information
Area: 0.0.0.0
Router ID Address Pri Dead-Time State Interface
2.1.1.2 100.0.5.3 1 38 Full/BDR Vlan4005
123.123.123.123 100.0.5.1 1 30 Full/DR Vlan4005
[border1]dis ospf 9 peer
OSPF Process 9 with Router ID 2.1.1.1
Neighbor Brief Information
Area: 0.0.0.0
Router ID Address Pri Dead-Time State Interface
2.1.1.2 100.0.6.3 1 38 Full/BDR Vlan4006
123.123.123.124 100.0.6.1 1 30 Full/DR Vlan4006
(2) 查看Border1和Internet外网、其它站点、对端peer-link链路建立的OSPFv3邻居。
[border1]dis ospfv3 2 peer
OSPFv3 Process 2 with Router ID 2.1.1.1
Area: 0.0.0.0
-------------------------------------------------------------------------
Router ID Pri State Dead-Time InstID Interface
2.1.1.2 1 Full/BDR 00:00:39 0 Vlan4005
123.123.123.123 1 Full/DR 00:00:39 0 Vlan4005
[border1]dis ospfv3 3 peer
OSPFv3 Process 3 with Router ID 2.1.1.1
Area: 0.0.0.0
-------------------------------------------------------------------------
Router ID Pri State Dead-Time InstID Interface
2.1.1.2 1 Full/BDR 00:00:39 0 Vlan4006
123.123.123.124 1 Full/DR 00:00:39 0 Vlan4006
(3) 查看Border2和Internet外网、其它站点、对端的peer-link链路建立的OSPF邻居。
[border2]dis ospf 8 peer
OSPF Process 8 with Router ID 2.1.1.2
Neighbor Brief Information
Area: 0.0.0.0
Router ID Address Pri Dead-Time State Interface
2.1.1.1 100.0.5.2 1 32 Full/DROther Vlan4005
123.123.123.123 100.0.5.1 1 38 Full/DR Vlan4005
[border2]dis ospf 9 peer
OSPF Process 9 with Router ID 2.1.1.2
Neighbor Brief Information
Area: 0.0.0.0
Router ID Address Pri Dead-Time State Interface
2.1.1.1 100.0.5.2 1 32 Full/DROther Vlan4006
123.123.123.124 100.0.5.1 1 38 Full/DR Vlan4006
(4) 查看Border2和Internet外网、其它站点、对端peer-link链路建立的OSPFv3邻居。
[border2]dis ospfv3 2 peer
OSPFv3 Process 2 with Router ID 2.1.1.2
Area: 0.0.0.0
-------------------------------------------------------------------------
Router ID Pri State Dead-Time InstID Interface
2.1.1.1 1 Full/DROther 00:00:30 0 Vlan4005
123.123.123.123 1 Full/DR 00:00:39 0 Vlan4005
[border2]dis ospfv3 3 peer
OSPFv3 Process 3 with Router ID 2.1.1.2
Area: 0.0.0.0
-------------------------------------------------------------------------
Router ID Pri State Dead-Time InstID Interface
2.1.1.1 1 Full/DROther 00:00:30 0 Vlan4006
123.123.123.124 1 Full/DR 00:00:39 0 Vlan4006
链路均正常时,内网虚机可以正常访问外网,在Internet外网交换机上查看去虚机的路由下一跳负载分担到M-LAG的两个Border。
[device]display ip routing-table 11.33.1.200
Summary count : 2
Destination/Mask Proto Pre Cost NextHop Interface
11.33.1.0/24 O_ASE2 150 1 100.0.5.2 Vlan4005
100.0.5.3 Vlan4005
[device]display ipv6 routing-table 2001:43:1:1::200
Summary count : 2
Destination: 2001:43:1:1::/64 Protocol : O_ASE2
NextHop : FE80::201:101 Preference: 150
Interface : Vlan4005Cost : 1
Destination: 2001:43:1:1::/64 Protocol : O_ASE2
NextHop : FE80::201:102 Preference: 150
Interface : Vlan4005 Cost : 1
在其它站点交换机上查看去虚机的路由下一跳负载分担到M-LAG的两个Border。
[device]dis ip routing-table 11.33.1.200
Summary count : 2
Destination/Mask Proto Pre Cost NextHop Interface
11.33.1.0/24 O_ASE2 150 1 100.0.6.2 Vlan4006
100.0.6.3 Vlan4006
[device]dis ipv6 routing-table 2001:43:1:1::200
Summary count : 2
Destination: 2001:43:1:1::/64 Protocol : O_ASE2
NextHop : FE80::201:101 Preference: 150
Interface : Vlan4006 Cost : 1
Destination: 2001:43:1:1::/64 Protocol : O_ASE2
NextHop : FE80::201:102 Preference: 150
Interface : Vlan4006 Cost : 1
假设在Internet外网有网段22.0.0.0/24和2001:22::/64,Border可通过OSPF和OSPFv3学习到这两个网段的路由。
[border1]display ip routing-table vpn-instance router3301 22.0.0.0
Summary count : 2
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 60 0 100.1.5.1 Vlan4005
22.0.0.0/24 BGP 130 3 100.0.5.1 Vlan4005
[Border1]display ipv6 routing-table vpn-instance router3301 2001:22::
Summary count : 2
Destination: ::/0 Protocol : Static
NextHop : 2001:100:1:5::1 Preference: 60
Interface : Vlan4005 Cost : 0
Destination: 2001:22::/64 Protocol : BGP4+
NextHop : FE80::D661:FEFF:FE31:C315 Preference: 130
Interface : Vlan4005 Cost : 2
假设在其它站点网络有网段23.0.0.0/24和2001:23::/64,Border可通过OSPF和OSPFv3学习到这两个网段的路由。
[border1]display ip routingtable vpn-instance router3301 23.0.0.0
Summary count : 2
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 60 0 100.1.5.1 Vlan4005
23.0.0.0/24 BGP 130 3 100.0.6.1 Vlan4006
[Border1]display ipv6 routing-table vpn-instance router3301 2001:23::
Summary count : 2
Destination: ::/0 Protocol : Static
NextHop : 2001:100:1:5::1 Preference: 60
Interface : Vlan4005 Cost : 0
Destination: 2001:23::/64 Protocol : BGP4+
NextHop : FE80::D661:FEFF:FE31:C316 Preference: 130
Interface : Vlan4006 Cost : 2
BGP引入了静态路由,其中包含出外网缺省路由,OSPF引入BGP路由后,不会再将引入的缺省路由发布给外网交换机。
图6-1 单Fabric下多业务出口组网
组网说明:
为了保证可靠性,Leaf,Border设备为M-LAG组网,FW、LB设备都采用RBM组网,FW1和FW2为FWgroup1,FW3和FW4为FWgroup2,LB1和LB2为LBgroup1。
内网路由器有多个出口:按照默认路由经FWgroup1出口到外网1;按照明细路由经FWgroup2出口到外网2;按照明细路由经直通出口到外网3。
DC内网路由器到外网1的报文,经FWgroup1的下行口到FWgroup1,再经FWgroup1的上行口经Border二层绕行到外网1。
DC内网路由器到外网2的报文,经FWgroup2的下行口到FWgroup2,再经FWgroup2的上行口经Border二层绕行到外网2。
DC内网路由器到外网3的报文,经Border直通出口到外网3。
若同时使用LB服务,则外网访问内网流程为:
外网1到内网的报文,经FWgroup1的上行口到FWgroup1,再经FWgroup1的下行口到LBgroup1后访问内网。
外网2到内网的报文,经FWgroup2的上行口到FWgroup2,再经FWgroup2的下行口到LBgroup1后访问内网。
外网3到内网的报文,经Border直通出口到LBgroup1后访问内网。
组网中IP及接口说明如下表所示。
表6-1 组网中IP及接口说明
|
设备 |
用途 |
管理IP地址 |
业务IP地址及接口 |
|
Border1 |
EVPN边界设备 |
192.168.11.8 |
Loopback0 10.1.1.8/32 HGE4/0/1(连接Border2 HGE4/0/1) HGE4/0/2(连接Border2 HGE4/0/2) XGE6/0/48(连接Border2 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/3) HGE4/0/4(连接Spine2 HGE1/0/3) 与FW的接口连接关系如下表所示 |
|
Border2 |
EVPN边界设备 |
192.168.11.9 |
Loopback0 10.1.1.9/32 HGE4/0/1(连接Border1 HGE4/0/1) HGE4/0/2(连接Border1 HGE4/0/2) XGE6/0/48(连接Border1 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/4) HGE4/0/4(连接Spine2 HGE1/0/4) 与FW的接口连接关系如下表所示 |
|
Spine1 |
Underlay物理设备 |
192.168.11.2 |
Loopback0 10.1.1.2/32 HGE1/0/3(连接Border1 HGE4/0/3) HGE1/0/4(连接Border2 HGE4/0/3) HGE1/0/5(连接Leaf1 HGE1/0/25) HGE1/0/6(连接Leaf2 HGE1/0/25) HGE1/0/7(连接Leaf3 HGE1/0/27) HGE1/0/8(连接Leaf4 HGE1/0/27) |
|
Spine2 |
Underlay物理设备 |
192.168.11.3 |
Loopback0 10.1.1.3/32 HGE1/0/3(连接Border1 HGE4/0/4) HGE1/0/4(连接Border2 HGE4/0/4) HGE1/0/5(连接Leaf1 HGE1/0/27) HGE1/0/6(连接Leaf2 HGE1/0/27) HGE1/0/7(连接Leaf3 HGE1/0/25) HGE1/0/8(连接Leaf4 HGE1/0/25) |
|
Leaf1 |
EVPN接入设备 |
192.168.11.4 |
Loopback0 10.1.1.4/32 XGE1/0/9(连接Leaf2 XGE1/0/9) HGE1/0/29(连接Leaf2 HGE1/0/29) HGE1/0/30(连接Leaf2 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/5) HGE1/0/27(连接Spine2 HGE1/0/5) |
|
Leaf2 |
EVPN接入设备 |
192.168.11.5 |
Loopback0 10.1.1.5/32 XGE1/0/9(连接Leaf1 XGE1/0/9) HGE1/0/29(连接Leaf1 HGE1/0/29) HGE1/0/30(连接Leaf1 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/6) HGE1/0/27(连接Spine2 HGE1/0/6) |
|
Leaf3 |
EVPN接入设备 |
192.168.11.6 |
Loopback0 10.1.1.6/32 XGE1/0/9(连接Leaf4 XGE1/0/9) HGE1/0/29(连接Leaf4 HGE1/0/29) HGE1/0/30(连接Leaf4 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/7) HGE1/0/27(连接Spine2 HGE1/0/8 |
|
Leaf4 |
EVPN接入设备 |
192.168.11.7 |
Loopback0 10.1.1.7/32 XGE1/0/9(连接Leaf3 XGE1/0/9) HGE1/0/29(连接Leaf3 HGE1/0/29) HGE1/0/30(连接Leaf3 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/9) HGE1/0/27(连接Spine2 HGE1/0/10) |
|
FW1 |
防火墙设备 |
192.168.11.101 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW2) XGE2/0/16加入RAGG64(连接FW2) 与Border的接口连接关系如下表所示 |
|
FW2 |
防火墙设备 |
192.168.11.102 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW2) XGE2/0/16加入RAGG64(连接FW2) 与Border的接口连接关系如下表所示 |
|
FW3 |
防火墙设备 |
192.168.11.103 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW4) XGE2/0/16加入RAGG64 (连接FW4) 与Border的接口连接关系如下表所示 |
|
FW4 |
防火墙设备 |
192.168.11.104 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW3) XGE2/0/16加入RAGG64(连接FW3) 与Border的接口连接关系如下表所示 |
|
LB1 |
LB设备 |
192.168.11.105 |
虚拟设备管理接口: XGE1/0/1加入RAGG1(连接管理交换机) XGE1/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE10/3加入RAGG64(连接LB2) XGE1/0/4加入RAGG64 (连接LB2) 与Border的接口连接关系如表6-3所示 |
|
LB2 |
LB设备 |
192.168.11.106 |
虚拟设备管理接口: XGE1/0/1加入RAGG1(连接管理交换机) XGE1/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE1/0/3加入RAGG64(连接LB1) XGE1/0/4加入RAGG64(连接LB1) 与Border的接口连接关系如表6-3所示 |
Border与FW之间的业务接口连接关系如下表所示。
表6-2 Border与FW之间的业务接口连接关系
|
FW |
Border |
|
下行接口: FW1 XGE2/0/3加入RAGG2 ,(连接border1 XGE6/0/1) FW1 XGE2/0/4加入RAGG2,(连接border2 XGE6/0/1) 上行接口: FW1 XGE2/0/5加入RAGG3,(连接border1 XGE6/0/2) FW1 XGE2/0/6加入RAGG3,(连接border2 XGE6/0/2) |
下行接口: Border1 XGE6/0/1加入BAGG1 MLAG Group1 Border2 XGE6/0/1加入BAGG1 MLAG Group1 上行接口: Border1 XGE6/0/2加入BAGG2 MLAG Group2 Border2 XGE6/0/2加入BAGG2 MLAG Group2 |
|
下行接口: FW2 XGE2/0/3加入RAGG2,(连接border1 XGE6/0/3) FW2 XGE2/0/4加入RAGG2,(连接border2 XGE6/0/3) 上行接口: FW2 XGE2/0/5加入RAGG3,(连接border1 XGE6/0/4) FW2 XGE2/0/6加入RAGG3,(连接border2 XGE6/0/4) |
下行接口: Border1 XGE6/0/3加入BAGG3 MLAG Group3 Border2 XGE6/0/3加入BAGG3 MLAG Group3 上行接口: Border1 XGE6/0/4加入BAGG4 MLAG Group4 Border2 XGE6/0/4加入BAGG4 MLAG Group4 |
|
下行接口: FW3 XGE2/0/3加入RAGG2,(连接border1 XGE6/0/5) FW3 XGE2/0/4加入RAGG2,(连接border2 XGE6/0/5) 上行接口: FW3 XGE2/0/5加入RAGG3,(连接border1 XGE6/0/6) FW3 XGE2/0/6加入RAGG3,(连接border2 XGE6/0/6) |
下行接口: Border1 XGE6/0/5加入BAGG5 MLAG Group5 Border2 XGE6/0/5加入BAGG5 MLAG Group5 上行接口: Border1 XGE6/0/6加入BAGG6 MLAG Group6 Border2 XGE6/0/6加入BAGG6MLAG Group6 |
|
下行接口: FW4 XGE2/0/3加入RAGG2,(连接border1 XGE6/0/7) FW4 XGE2/0/4加入RAGG2,(连接border2 XGE6/0/7) 上行接口: FW4 XGE2/0/5加入RAGG3,(连接border1 XGE6/0/8) FW4 XGE2/0/6加入RAGG3,(连接border2 XGE6/0/8) |
下行接口: Border1XGE6/0/7加入BAGG7 MLAG Group7 Border2 XGE6/0/7加入BAGG7 MLAG Group7 上行接口: Border1 XGE6/0/8加入BAGG8 MLAG Group8 Border2 XGE6/0/8加入BAGG8 MLAG Group8 |
Border与LB之间的业务接口连接关系如下表所示。
表6-3 Border与LB之间的业务接口连接关系
|
LB |
Border |
|
LB1 XGE2/0/3加入RAGG2,(连接border1 XGE6/0/11) LB1 XGE2/0/4加入RAGG2,(连接border2 XGE6/0/11) |
Border1 XGE6/0/11加入BAGG11 MLAG Group11 Border2 XGE6/0/11加入BAGG11 MLAG Group11 |
|
LB2 XGE2/0/3加入RAGG2,(连接border1 XGE6/0/12) LB2 XGE2/0/4加入RAGG2,(连接border2 XGE6/0/12) |
Border1 XGE6/0/12加入BAGG12 MLAG Group12 Border2 XGE6/0/12加入BAGG12 MLAG Group12 |
本组网中Spine和Border为12500G,Leaf为S6850,如果存在其他设备类型请自行规划。另外,接口连接关系也仅供参考,实际组网请自行规划。
表6-4 资源规划
|
规划项 |
配置示例 |
说明 |
|
|
物理设备管理网 |
192.168.11.0/24 网关:192.168.11.1 |
|
|
|
Fabric |
· 名称:fabric1 · AS号:100 |
|
|
|
VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
|
|
IP地址池 |
租户承载负载分担内网 |
· 名称:租户承载负载分担内网1 · 地址段: ¡ 10.50.1.0/24 ¡ 2001::10:50:1: /112 · 默认地址池:不勾选 |
在RBM组网中,一个虚拟路由器的LB业务占用2个IPV4地址,掩码为31位,占用2个IPV6地址,前缀长度为127 |
|
租户承载防火墙内网 |
· 名称:租户承载防火墙内网1 · 地址段: ¡ 10.60.1.0/24 ¡ 2001::10:60:1:/112 · 默认地址池:不勾选 |
在RBM组网中,一个虚拟路由器的FW业务占用2个IPV4地址,掩码为31位,占用2个IPV6地址,前缀长度为127 |
|
|
虚拟管理网络 |
· 名称:虚拟管理网络1 · 地址段: ¡ 192.168.10.2/24-192.168.10.100/24 · 网关地址: ¡ 192.168.10.1 · 默认地址池:不勾选 |
在RBM组网中,主备VFW Context各占用1个IPV4地址 |
|
|
VLAN池 |
租户承载网VLAN池 |
· 名称:租户承载网vlan1 · VLAN范围:500-999 · 默认VLAN池:不勾选 |
在RBM组网中,一个虚拟路由器的FW业务,占用1一个VLAN资源,一个虚拟路由器的LB业务,占用1个VLAN ID资源 |
|
L4-L7设备组IP地址池 |
· 地址段:88.1.0.1-88.1.254.254 · 地址段:2000::88:1:0:1-2000::88:1:254:254 |
用于在RBM组网中分配VRRP实地址 上行口:一组VRRP占用2个IPV4地址,掩码为31位,占用2个IPV6地址,前缀长度为127 下行口:一组VRRP占用2个IPV4地址,掩码为31位,占用2个IPV6地址,前缀长度为127 |
|
|
L4-L7设备组IPv6链路本地地址池 |
地址段:FE80::88:1:0:1-FE80::88:1:254:254 |
在RBM组网中,为接口分配Link-Local虚地址 上行口:占用2个IPv6地址 下行口:占用2个IPv6地址 |
|
|
外部网络1 |
· 名称:exnetwork2001 · 类型:VLAN · 网络分段:关闭 · SegmentID:4008 · IPv4子网名称、地址和网关: ¡ 子网名称:v4exsubnet2001 ¡ 地址:100.0.8.0/24 ¡ 网关:100.0.8.1 · IPv6子网名称、地址和网关: ¡ 子网名称:v6exsubnet2001 ¡ 地址:2001:100:0:8::/64 ¡ 网关:2001:100:0:8::1 |
|
|
|
外部网络2 |
· 名称:exnetwork2002 · 类型:VLAN · 网络分段:关闭 · SegmentID:4009 · IPv4子网名称、地址和网关: ¡ 子网名称:v4exsubnet2002 ¡ 地址:100.0.9.0/24 ¡ 网关:100.0.9.1 · IPv6子网称、地址和网关: ¡ 子网名称:v6exsubnet2002 ¡ 地址:2001:100:0:9::/64 ¡ 网关:2001:100:0:9::1 |
|
|
|
外部网络3 |
· 名称:exnetwork2003 · 类型:VLAN · 网络分段:关闭 · SegmentID:4010 · IPv4子网称、地址和网关: ¡ 子网名称:v4exsubnet2003 ¡ 地址:100.0.10.0/24 ¡ 网关:100.0.10.1 · IPv6子网称、地址和网关: ¡ 子网名称:v6exsubnet2003 ¡ 地址:2001:100:0:10::/64 ¡ 网关:2001:100:0:10::1 |
|
|
|
浮动IP |
IP地址:10.0.8.100 |
|
|
|
vLB |
网段:11.20.2.0/24 vLB IP:11.20.2.100 |
|
|
|
外网业务 |
· 外网出口1的业务地址: ¡ 11.1.1.0/24 ¡ 11::1/64 · 外网出口2的业务地址: ¡ 12.1.1.0/24 ¡ 12::1/64 · 外网出口3的业务地址: ¡ 13.1.1.0/24 ¡ 13::1/64 |
|
|
图6-2 单Fabric多业务出口部署流程
请配置并纳管组网中的交换设备,详细信息请参见《AD-DC 6.5 Underlay网络配置指导》。
请根据《AD-DC 6.5 安全服务资源配置指导》中对应设备型号的服务网关章节配置步骤,完成物理安全设备的基础配置。
参见章节“控制组件基础配置”的配置步骤,完成以下基础配置:
表6-5 控制组件基础配置
|
配置项 |
配置示例 |
说明 |
|
|
增加Fabric |
· 基础配置 ¡ 名称:fabric1 ¡ AS号:100 · 高级配置 ¡ 未知单播报文抑制:勾选 ¡ 未知组播报文抑制:勾选 ¡ 广播报文抑制:勾选 |
|
|
|
配置VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
|
|
配置全局参数 |
· 启用IPv6:开启 · 交换设备下发安全策略流表:关闭 · VRF名称生成方式:按规则生成 |
|
|
|
增加IP地址池 |
租户承载负载分担内网 |
· 名称:租户承载负载分担内网1 · 地址段: ¡ 10.50.1.0/24 ¡ 2001::10:50:1: /112 · 默认地址池:不勾选 |
|
|
租户承载防火墙内网 |
· 名称:租户承载防火墙内网1 · 地址段: ¡ 10.60.1.0/24 ¡ 2001::10:60:1:/112 · 默认地址池:不勾选 |
|
|
|
虚拟管理网络 |
· 名称:虚拟管理网络1 · 地址段: ¡ 192.168.10.2/24-192.168.10.100/24 · 网关地址: ¡ 192.168.10.1 · 默认地址池:不勾选 |
|
|
|
增加VLAN池 |
租户承载网VLAN池 |
· 名称:租户承载网vlan1 · VLAN范围:500-999 · 默认VLAN池:不勾选 |
|
|
增加设备组 |
· 名称:bdgroup1 · 网络位置:出口网关 · HA部署模式:M-LAG · 连接方式:VLAN跨网段 · 防火墙接入模式 :直连 · 地址池列表:租户负载分担内网1、租户承载防火墙内网1、虚拟管理网1 · VLAN池列表:租户承载网vlan1 · 设备组成员:border1,border2 |
网络位置、远端设备组、防火墙业务和连接方式四个参数在增加完后无法修改。其中防火墙业务和网络位置影响后续Fabric扩容,请做好规划后再配置 |
|
|
增加L4-L7设备 |
· 名称:FW1 · 厂商:H3C · 管理IP:192.168.11.101 |
|
|
|
· 名称:FW2 · 厂商:H3C · 管理IP:192.168.11.102 |
|
||
|
· 名称:FW3 · 厂商:H3C · 管理IP:192.168.11.103 |
|
||
|
· 名称:FW4 · 厂商:H3C · 管理IP:192.168.11.104 |
|
||
|
· 名称:LB1 · 厂商:H3C · 管理IP:192.168.11.105 |
|
||
|
· 名称:LB2 · 厂商:H3C · 管理IP:192.168.11.106 |
|
||
|
增加L4-L7设备组和地址池 |
增加 L4-L7设备组 |
· 名称:FWgroup1 · 包含设备:FW1,FW2 · 名称:FWgroup2 · 包含设备:FW3,FW4 · 名称:LBgroup1 · 包含设备:LB1,LB2 |
|
|
配置IP地址池 |
· 地址段:88.1.0.1-88.1.254.254 · 地址段:2000::88:1:0:1-2000::88:1:254:254 |
|
|
|
配置IPv6链路本地地址池 |
地址段:FE80::88:1:0:1-FE80::88:1:254:254 |
|
|
|
增加VLAN-VXLAN映射 |
· 名称:map1 · VLAN-VXLAN映射关系: ¡ 名称:map2001 ¡ VLAN起始值:2077 ¡ VXLAN起始值:2077 ¡ 映射区间宽度:4 ¡ 接入模式:VLAN · 应用到接口:应用到组网中Server-Leaf连接Server的所有聚合接口上 |
|
|
|
增加租户 |
· 名称:publictenant1 · 名称:tenant1 · VDS名称:VDS1 |
|
|
表6-6 物理资源池及模板列表
|
资源池名称 |
服务类型 |
对应的设备组名称 |
资源池名称 |
|
FWpool1 |
FW |
FWgroup1 |
FWtempt1 |
|
FWpool2 |
FW |
FWgroup2 |
FWtempt2 |
|
LBpool1 |
LB |
LBgroup1 |
LBtempt1 |
以创建FWpool1,FWgroup1,FWtempt1为例
(2) 进入[自动化>数据中心网络>资源池>设备资源>L4-L7物理资源池]页面,单击<增加>按钮,进入增加L4-L7物理资源池页面。在该页面中进行以下配置:
¡ 名称:FWpool1。
¡ 服务类型:选择“FW”。
¡ 设备资源:勾选已增加的FW设备组FWgroup1。
图6-3 增加FW资源池FWpool1
(3) 单击配置模板区段的
按钮,进入L4-L7物理资源池模板配置页面。单击<增加模板>按钮,在弹出的对话框中进行以下配置:
¡ 名称:FWtemp1。
¡ 类型:选择“设备组FW资源”。
¡ 接口设置:根据组网规划,选择管理接口、下行接口和上行接口。
(4) 单击<应用>完成模板增加操作。
图6-4 增加防火墙资源池的模板FWtemp1
在[自动化>数据中心网络>公共网络设置>出口网关]页面增加非共享型和共享型的出口网关。
(1) 进入[自动化>数据中心网络>公共网络设置>出口网关]页面。
(2) 单击<增加>按钮进入增加出口网关页面,在该页面进行如下配置:
¡ 名称:gw1_1。
¡ 共享网关:选择“关闭”。
图6-5 增加非共享型出口网关gw1_1
¡ 单击<增加出口网关成员>按钮,在弹出的对话框中进行如下配置,配置完成后单击<应用>按钮。
- 名称:gw1_member1。
- 所属Fabric:fabric1。
- 设备组:bdgroup1。
- 优先级:1。
- 服务资源:绑定虚拟防火墙资源池FWpool1。如果需使用LB业务,则服务资源添加员虚拟负载均衡资源池LBpool1。
图6-6 增加出口网关成员
(1) 进入[自动化>数据中心网络>公共网络设置>出口网关]页面。
(2) 单击<增加>按钮进入增加出口网关页面,在该页面进行如下配置:
¡ 名称:gw1_2。
¡ 共享网关:选择“开启”。
图6-7 增加共享型出口网关gw1_2
¡ 单击<增加出口网关成员>按钮,在弹出的对话框中进行如下配置,配置完成后单击<应用>按钮。
- 名称:gw1_member2。
- 所属Fabric:fabric1。
- 设备组:bdgroup1。
- 优先级:1。
- 服务资源:绑定虚拟防火墙资源池FWpool2。
图6-8 增加出口网关成员gw1_member2
分别进入修改publictenant1租户和tenant1租户页面,进行绑定网关资源的操作。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(2) 单击指定租户操作栏的
按钮,进入修改租户页面。
(3) 在分配网关资源区域单击<增加>按钮在弹出的对话框中进行如下配置:
¡ 选择已增加的出口网关gw1_1、gw1_2。
¡ 默认网关不选择。
(4) 单击<应用>按钮。
图6-9 公共租户publictenant1下绑定网关资源
图6-10 普通租户tenant1下绑定网关资源
本节需配置如下服务资源,其中,VLB服务资源请根据需求选择是否需要配置。
表6-7 服务资源
|
服务资源名称 |
使用场景 |
服务类型 |
网关成员 |
资源来源 |
资源池名称 |
|
pubfwcontext1 |
服务网关 |
虚拟防火墙(VFW) |
gw1_1-gw1_member1 |
L4-L7物理资源池 |
FWpool1 |
|
pubfwcontext2 |
服务网关 |
虚拟防火墙(VFW) |
gw1_2-gw1_member2 |
L4-L7物理资源池 |
FWpool2 |
|
publbcontext1 |
服务网关 |
虚拟负载均衡(VLB) |
gw1_1-gw1_member1 |
L4-L7物理资源池 |
LBpool1 |
配置步骤如下:
(2) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(3) 单击指定租户publictenant1操作栏的
按钮,进入修改租户页面。
(4) 在分配服务资源区域进行如下参数配置。
¡ 资源类型:选择“服务资源”。
图6-11 分配服务资源
(5) 单击<增加>按钮,进入增加服务资源页面,该页面的参数配置如下。
¡ 资源名称:pubfwcontext1。
¡ 使用场景:选择“服务网关”。
¡ 服务类型:选择“虚拟防火墙(VFW)”。
¡ 网关成员:gw1_1-gw1_member1。
¡ 资源池名称:FWpool1。
图6-12 创建第一个VFW服务资源
(6) 配置完成后单击<应用>按钮。
(7) 单击<增加>按钮,进入增加服务资源页面,该页面的参数配置如下。
¡ 资源名称:pubfwcontext2。
¡ 使用场景:选择“服务网关”。
¡ 服务类型:选择“虚拟防火墙(VFW)”。
¡ 网关成员:gw1_2-gw1_member2。
¡ 资源池名称:FWpool2。
图6-13 创建第2个VFW服务资源
(8) 配置完成后单击<应用>按钮。
(9) (可选)若需使用LB服务,则在增加服务资源页面配置VLB服务资源,否则以下步骤可以忽略。
¡ 资源名称:publbcontext1。
¡ 使用场景:选择“服务网关”。
¡ 服务类型:选择“虚拟负载均衡(VLB)”。
¡ 网关成员:gw1_1-gw1_member1
¡ 资源池名称:LBpool1
图6-14 增加第1个VLB服务资源
(10) 配置完成后单击<应用>按钮。
(11) 配置完成后单击<应用>按钮完成租户下分配服务资源的操作。
普通租户tenant1可复用公共租户publictenant1的VFW资源。本节需配置如下服务资源,其中,VLB服务资源请根据需求选择是否需要配置。
表6-8 服务资源
|
服务资源名称 |
使用场景 |
服务类型 |
资源分配方式 |
网关成员 |
租户 |
资源类型 |
服务资源 |
|
fwgwcontext2001 |
服务网关 |
虚拟防火墙(VFW) |
复用已创建资源 |
gw1_1-gw1_member1 |
publictenant1 |
NGFW_GW_SERVICE |
pubfwcontext1 |
|
fwgwcontext2002 |
服务网关 |
虚拟防火墙(VFW) |
复用已创建资源 |
gw1_2-gw1_member2 |
publictenant1 |
NGFW_GW_SERVICE |
pubfwcontext2 |
|
fwlbcontext2001 |
服务网关 |
虚拟负载均衡(VLB) |
复用已创建资源 |
gw1_1-gw1_member1 |
publictenant1 |
NGFW_GW_SERVICE |
publbcontext1 |
配置步骤如下:
(2) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(3) 单击租户tenant1操作栏的
按钮,进入修改租户页面。
(4) 在分配服务资源区域进行如下参数配置。
¡ 资源类型:选择“服务资源”。
¡ 单击<增加>按钮,进入增加服务资源页面,该页面的配置VFW服务资源fwgwcontext2001。
- 资源名称:fwgwcontext2001。
- 使用场景:选择“服务网关”。
- 服务类型:选择“虚拟防火墙(VFW)”。
- 资源分配方式:选择“复用已创建资源”。
- 网关成员:gw1_1-gw1_member1。
- 租户:publictenant1。
- 资源类型:NGFW_GW_SERVICE。
- 服务资源:pubfwcontext1。
- 配置完成后单击<应用>按钮。
图6-15 配置VFW服务资源fwgwcontext2001
¡ 单击<增加>按钮,进入增加服务资源页面,该页面配置VFW服务资源fwgwcontext2002。
图6-16 配置VFW服务资源fwgwcontext2002
¡ (可选)若需使用LB服务,则在增加服务资源页面配置VLB服务资源,否则以下步骤可以忽略。
- 资源名称:fwlbcontext2001。
- 使用场景:选择“服务网关”。
- 服务类型:选择“虚拟负载均衡(VLB)”。
- 资源分配方式:选择“复用已创建资源”。
- 网关成员:gw1_1-gw1_member1。
- 租户:publictenant1。
- 资源类型:NGFW_GW_SERVICE。
- 服务资源:publbcontext1。
图6-17 配置VLB服务资源fwlbcontext2001
(5) 配置完成后单击<应用>按钮。
(6) 配置完成后单击<应用>按钮完成租户下分配服务资源的操作。
在[自动化>数据中心网络>公共网络设置>外部网络]页面中增加3个外部网络,具体配置如下表所示。
表6-9 外部网络具体配置
|
外部网络名称 |
类型 |
Segment ID |
网络分段 |
IPv4子网名称 |
IPv4子网网段 |
IPv4网关IP地址 |
IPv6子网名称 |
IPv6子网网段 |
IPv6网关IP地址 |
|
exnetwork2001 |
VLAN |
4008 |
关闭 |
v4exsubnet2001 |
100.0.8.0/24 |
100.0.8.1 |
v6exsubnet2001 |
2001:100:0:8::/64 |
2001:100:0:8::1 |
|
exnetwork2002 |
VLAN |
4009 |
关闭 |
v4exsubnet2002 |
100.0.9.0/24 |
100.0.9.1 |
v6exsubnet2002 |
2001:100:0:9::/64 |
2001:100:0:9::1 |
|
exnetwork2003 |
VLAN |
4010 |
关闭 |
v4exsubnet2003 |
100.0.10.0/24 |
100.0.10.1 |
v6exsubnet2003 |
2001:100:0:10::/64 |
2001:100:0:10::1 |
下面以外部网络exnetwork2001为例进行配置。
(2) 进入[自动化>数据中心网络>公共网络设置>外部网络]页面。
(3) 单击<增加>按钮进入增加外部网络页面,在该页面进行如下配置。
¡ 基础配置:
- 名称:exnetwork2001。
- 类型:VLAN。不同类型会下发不同配置,以VLAN为例。
- Segment ID(VLAN ID):4008。
图6-18 增加外网网络
¡ 绑定IPv4子网:“IPv4子网”页签下单击<增加>按钮,在弹出的对话框中配置如下参数。配置完成后单击<应用>按钮。
- 名称:v4exsubnet2001。
- 子网网段:100.0.8.0/24。
- 网关IP:100.0.8.1。
图6-19 增加IPv4子网
¡ 绑定IPv6子网:“IPv6子网”页签下单击<增加>按钮,在弹出的对话框中配置如下参数。配置完成后单击<应用>按钮。
- 名称:v6exsubnet2001。
- 子网网段:2001:100:0:8::/64。
- 网关IP:2001:100:0:8::1。
图6-20 增加IPv6子网
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟链路层网络]页面。
(2) 单击<增加>按钮进入增加虚拟链路层页面,在该页面进行如下配置。
¡ 基础配置。
- 名称:network2001。
- 类型:VXLAN。
- Segment ID:2077。
¡ 增加IPv4子网:“子网”页签下单击<增加>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
- IP版本:IPv4。
- 名称:subnetv4-2001。
- 子网网段:11.20.1.0/24。
- 网关IP:11.20.1.1。
图6-21 增加IPv4子网
¡ 增加IPv6子网:再次单击“子网”页签的<增加>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
- IP版本:IPv6。
- 名称:subnetv6-2001。
- 子网网段:2001:11:20::/64。
- 网关IP:2001:11:20::1
图6-22 增加IPv6子网
图6-23 增加虚拟链路层网络
(3) 单击<应用>按钮完成增加虚拟链路层网络的操作。
在[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面中增加3个虚拟路由器router2001,router2002,router2003,具体配置如下表所示。
表6-10 虚拟路由器具体配置
|
虚拟路由器名称 |
Segment ID |
子网 |
外部网路 |
|
router2001 |
11077 |
subnetv4-2001和subnetv6-2001 |
外网出口设备为“防火墙” |
|
router2002 |
11078 |
不添加子网 |
外网出口设备为“防火墙” |
|
router2003 |
11079 |
不添加子网 |
外网出口设备为“边界设备” |
(2) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(3) 单击<增加>按钮进入增加虚拟路由器页面,在该页面配置router2001。配置完成后单击<应用>按钮。
¡ 名称:router2001。
¡ Segment ID:11077。
¡ “子网”页签下单击<增加>按钮,在弹出的对话框中选择已增加的子网subnetv4-2001和subnetv6-2001。选择完成后单击<应用>按钮。
图6-24 增加虚拟路由器router2001
¡ “外部网络”页签下,外网出口设备选择“防火墙”。
图6-25 虚拟路由器router2001的外网出口设备模式
(4) 在虚拟路由器页面再次单击<增加>按钮,配置router2002。配置完成后单击<应用>按钮。
¡ 名称:router2002。
¡ Segment ID:11078。
¡ “外部网络”页签下,外网出口设备选择“防火墙”。
¡ 其余参数默认,不添加任何子网。
图6-26 增加虚拟路由器router2002
(5) 在虚拟路由器页面单击<增加>按钮,配置router2003。配置完成后单击<应用>按钮。
¡ 名称:router2003。
¡ Segment ID:11079。
¡ “外部网络”页签下,外网出口设备选择“边界设备”。
¡ 其余参数默认,不添加任何子网。
图6-27 增加虚拟路由器router2003
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]虚拟路由器页面。
(2) 单击router2001的“网关”超链接,在弹出的对话框中绑定已增加的出口网关gw1_1,优先级不用设置.
图6-28 虚拟路由器绑定出口网关
(1) 进入[自动化>数据中心网络>租户[[tenant1]的网络>虚拟路由器]页面。
(2) 单击router2001的“VFW,VLB”超链接,在弹出的对话框中绑定已增加的防火墙服务资源fwgwcontext2001。
图6-29 虚拟路由器绑定防火墙服务资源
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router2001操作栏的
按钮进入修改虚拟路由器页面。
(3) 单击“外部网络”页签,配置如下参数:
a. 外部网络:绑定外部网络exnetwork2001。
b. SNAT:选择“开启”。
c. 单击<绑定IPv4外网子网>按钮,在弹出的对话框中绑定IPv4外网子网v4exsubnet2001。
d. 单击<绑定IPv6外网子网>按钮,在弹出的对话框中绑定IPv6外网子网v6exsubnet2001。
(4) 配置完成后单击<应用>按钮。
图6-30 虚拟路由器绑定外部网络
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略]页面,单击“规则”页签,进入规则页面,单击<增加规则>按钮,在弹出的对话框中配置规则相关参数:
创建IPv4规则,配置以下参数,完成后单击<应用>按钮保存配置。
¡ 名称:v4rule2001。
¡ IP版本:IPv4。
¡ 服务:协议——所有。
¡ 动作:允许。
¡ 其余参数保持默认值。
图6-31 增加IPv4规则
创建IPv6规则,配置以下参数,完成后单击<应用>按钮保存配置。
¡ 名称:v6rule2001。
¡ IP版本:IPv6。
¡ 服务:协议——所有。
¡ 动作:允许。
¡ 其余参数保持默认值。
图6-32 增加IPv6规则
(2) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略]页面,单击“策略”页签,进入策略页面,单击<增加策略>按钮,在弹出的对话框中配置策略相关参数:
¡ 名称:policy2001。
¡ 激活:勾选激活。
图6-33 增加策略
(3) 配置完成后单击<应用>按钮。
(4) 单击规则区段的链接,进入绑定规则页面,进行如下操作:
¡ 绑定已创建的规则v4rule2001和v6rule2001。
¡ 激活:勾选激活。
图6-34 绑定规则
(5) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙]页面,单击<增加防火墙>按钮,进入增加防火墙页面,配置防火墙相关参数:
¡ 名称:fw2001。
¡ 使用场景:服务网关。
¡ 入方向安全策略:policy2001。
¡ 出方向策略:policy2001。
¡ 安全域资源:已选虚拟路由器router2001。
图6-35 增加防火墙
(6) 配置完成后单击<应用>按钮。
Border设备下发的路由配置如下:
ip route-static vpn-instance tenant1_router2001_11077 0.0.0.0 0 10.60.1.3 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2001_11077 :: 0 2001::10:60:1:3 description SDN_ROUTE
VFW服务资源fwgwcontext2001下发的路由配置如下:
ip route-static vpn-instance tenant1_router2001_11077 0.0.0.0 0 vpn-instance external_vpn_4008 100.0.8.1 description SDN_ROUTE
ip route-static vpn-instance tenant1_router2001_11077 11.20.1.0 24 10.60.1.2 description SDN_ROUTE
ip route-static vpn-instance external_vpn_4008 0.0.0.0 0 100.0.8.1 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2001_11077 :: 0 vpn-instance external_vpn_4008 2001:100:0:8::1 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2001_11077 2001:100:0:20:: 64 2001::10:60:1:2 description SDN_ROUTE
ipv6 route-static vpn-instance external_vpn_4008 :: 0 2001:100:0:8::1 description SDN_ROUTE
ipv6 route-static vpn-instance external_vpn_4008 2001:100:0:20:: 64 vpn-instance tenant1_router2001_11077 2001::10:60:1:2 description SDN_ROUTE
(1) 进入[自动化>数据中心网络>公共网络设置>路由表]页面。
(2) 单击<增加>按钮进入增加路由表页面,在该页面进行如下配置。
¡ 名称:routetable2002。
¡ 租户:tenant1。
¡ 虚拟路由器:router2002。
图6-36 增加路由表
(3) 单击<增加路由表项>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
¡ 目的网段:12.1.1.0/24。
¡ 下一跳类型:IPv4。
¡ 下一跳IP地址:子网v4exsubnet2002的网关地址100.0.9.1。
¡ 迭代主机路由:关闭。
图6-37 增加IPv4路由表项
(4) 再次单击<增加路由表项>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
¡ 目的网段:12::/64。
¡ 下一跳类型:IPv6。
¡ 下一跳IP地址:子网v6exsubnet2002的网关地址2001:100:0:9::1。
¡ 迭代主机路由:关闭。
图6-38 增加IPv6路由表项
(5) 配置完成后单击<应用>按钮。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击router2002的“网关”超链接,在弹出的对话框中绑定已增加的共享出口网关gw1_2。
图6-39 虚拟路由器绑定出口网关
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击router2002的“VFW,VLB”超链接,在弹出的对话框中绑定已增加的防火墙服务资源fwgwcontext2002。
图6-40 虚拟路由器绑定VFW服务资源
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略]页面,单击“规则”页签,进入规则页面,单击<增加规则>按钮,在弹出的对话框中配置规则相关参数:
创建IPv4规则,配置以下参数,完成后单击<应用>按钮保存配置。
¡ 名称:v4rule2002。
¡ IP版本:IPv4。
¡ 服务:协议——所有。
¡ 动作:允许。
¡ 其余参数保持默认值。
图6-41 增加IPv4规则
创建IPv6规则,配置以下参数,完成后单击<应用>按钮保存配置。
¡ 名称:v6rule2002。
¡ IP版本:IPv6。
¡ 服务:协议——所有。
¡ 动作:允许。
¡ 其余参数保持默认值。
图6-42 增加IPv6规则
(2) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略]页面,单击“策略”页签,进入策略页面,单击<增加策略>按钮,在弹出的对话框中配置策略相关参数:
¡ 名称:policy2002。
¡ 激活:勾选激活。
图6-43 增加策略
(3) 配置完成后单击<应用>按钮
(4) 单击规则区段的链接,进入绑定规则页面,进行如下操作:
¡ 绑定已创建的规则v4rule2002和v6rule2002。
¡ 激活:勾选激活。
图6-44 绑定规则
(5) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙]页面,单击<增加防火墙>按钮,进入增加防火墙页面,配置防火墙相关参数:
¡ 名称:fw2002。
¡ 使用场景:服务网关。
¡ 入方向安全策略:policy2002。
¡ 出方向策略:policy2002。
¡ 安全域资源:已选虚拟路由器router2002。
图6-45 增加防火墙
(6) 配置完成后单击<应用>按钮。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router2002操作栏的
按钮进入修改虚拟路由器页面。
(3) 单击“外部网络”页签,配置如下参数:
a. 外部网络:绑定extnetwork2002。
b. 单击<绑定IPv4外网子网>按钮,在弹出的对话框中绑定IPv4外网子网v4exsubnet2002。
c. 单击<绑定IPv6外网子网>按钮,在弹出的对话框中绑定IPv6外网子网v6exsubnet2002。
图6-46 虚拟路由器绑定外部网络
单击“路由信息”页签,绑定已经增加完成的路由表routetable2002。
图6-47 虚拟路由器绑定路由表
(1) 单击[自动化>数据中心网络>公共网络设置>虚拟路由器连接]菜单栏进入虚拟路由器连接页面。
(2) 单击<增加>按钮进入增加虚拟路由器连接页面,在该页面进行如下配置:
¡ 名称:router2001_router2002。
¡ 租户:tenant1。
¡ 工作模式:分布式。
¡ 本端虚拟路由器:选择router2001。
¡ 对端虚拟路由器:选择router2002。
(3) 配置完成后单击<应用>按钮。
图6-48 增加虚拟路由器连接
Border设备上下发的配置如下:
ip route-static vpn-instance tenant1_router2002_11078 12.1.1.0 24 10.60.1.5 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2002_11078 12:: 64 2001::10:60:1:5 description SDN_ROUTE
防火墙上下发的配置如下:
ip route-static vpn-instance tenant1_router2002_11078 11.20.1.0 24 10.60.1.4 description SDN_ROUTE
ip route-static vpn-instance tenant1_router2002_11078 12.1.1.0 24 vpn-instance external_vpn_4009 100.0.9.1 description SDN_ROUTE
ip route-static vpn-instance external_vpn_4009 11.20.1.0 24 vpn-instance tenant1_router2002_11078 10.60.1.4 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2002_11078 12:: 64 vpn-instance external_vpn_4009 2001:100:0:9::1 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2002_11078 2001:100:0:20:: 64 2001::10:60:1:4 description SDN_ROUTE
ipv6 route-static vpn-instance external_vpn_4009 2001:100:0:20:: 64 vpn-instance tenant1_router2002_11078 2001::10:60:1:4 description SDN_ROUTE
(1) 进入[自动化>数据中心网络>公共网络设置>路由表]页面。
(2) 单击<增加>按钮进入增加路由表页面,在该页面进行如下配置。
¡ 名称:routetable2003。
¡ 租户:tenant1。
¡ 虚拟路由器:router2003。
图6-49 增加路由表
(3) 单击<增加路由表项>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
¡ 目的网段:13.1.1.0/24。
¡ 下一跳类型:IPv4。
¡ 下一跳IP地址:子网v4exsubnet2003的网关地址100.0.10.1。
¡ 迭代主机路由:关闭。
图6-50 增加IPv4路由表项
(4) 再次单击<增加路由表项>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
¡ 目的网段:13::1/64。
¡ 下一跳类型:IPv6。
¡ 下一跳IP地址:子网v6exsubnet2003的网关地址2001:100:0:10::1。
¡ 迭代主机路由:关闭。
图6-51 增加IPv6路由表项
(5) 配置完成后单击<应用>按钮。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击router2003的“网关”超链接,在弹出的对话框中绑定已增加的共享出口网关gw1_2。
图6-52 虚拟路由器绑定出口网关
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router2003操作栏的
按钮进入修改虚拟路由器页面。
(3) 单击“外部网络”页签,配置如下参数:
a. 外部网络:绑定extnetwork2003。
b. 单击<绑定IPv4外网子网>按钮,在弹出的对话框中绑定IPv4外网子网v4exsubnet2003。
c. 单击<绑定IPv6外网子网>按钮,在弹出的对话框中绑定IPv6外网子网v6exsubnet2003。
图6-53 虚拟路由器绑定外部网络
单击“路由信息”页签,绑定已经增加完成的路由表routetable2003。
图6-54 虚拟路由器绑定路由表
(1) 单击[自动化>数据中心网络>公共网络设置>虚拟路由器连接]菜单栏进入虚拟路由器连接页面。
(2) 单击<增加>按钮进入增加虚拟路由器连接页面,在该页面进行如下配置:
¡ 名称:router2001_router2003。
¡ 租户:tenant1。
¡ 本端虚拟路由器:选择router2001。
¡ 对端虚拟路由器:选择router2003。
(3) 单击<应用>按钮完成增加虚拟路由器连接的操作。
图6-55 增加虚拟路由器连接
Border设备上下发的配置如下:
#
ip vpn-instance external_vpn_4010
route-distinguisher 3:4010
description SDN_VRF_4010
#
address-family ipv4
route-replicate from vpn-instance tenant1_router2003_11079 protocol direct
route-replicate from vpn-instance tenant1_router2003_11079 protocol bgp 101
vpn-target 0:4010 1:4010 import-extcommunity
vpn-target 1:4010 export-extcommunity
#
address-family ipv6
route-replicate from vpn-instance tenant1_router2003_11079 protocol direct
route-replicate from vpn-instance tenant1_router2003_11079 protocol bgp4+ 101
vpn-target 0:4010 1:4010 import-extcommunity
vpn-target 1:4010 export-extcommunity
#
address-family evpn
vpn-target 0:4010 1:4010 import-extcommunity
vpn-target 1:4010 export-extcommunity
#
ip route-static vpn-instance tenant1_router2003_11079 13.1.1.0 24 vpn-instance external_vpn_4010 100.0.10.1 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2003_11079 13:: 64 vpn-instance external_vpn_4010 2001:100:0:10::1 description SDN_ROUTE
内网IPv4虚拟机(11.1.20.10和2010::10)上线后:
· 可以ping通访问外网1地址(11.1.1.1和11::1),此时在防火墙fwgwcontext2001上看到IPv4和IPv6会话信息。
· 可以ping通外网2地址(12.1.1.1和12::1),此时在防火墙fwgwcontext2002上看到IPv4和IPv6会话信息。
· 可以ping通外网3(13.1.1.1和13::1)。
若需要用到LB服务,则需要继续进行下面配置。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟链路层网络]页面。
(2) 单击<增加>按钮进入增加虚拟链路层页面,在该页面进行如下配置。
¡ 基础配置:
- 名称:network2002。
- 类型:VXLAN。
- Segment ID:2077。
¡ 增加IPv4子网:“子网”页签下单击<增加>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
- IP版本:IPv4。
- 名称:subnetv4-2002。
- 子网网段:11.20.2.0/24。
- 网关IP:11.20.2.1。
¡ 增加IPv6子网:再次单击“子网”页签的<增加>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
- IP版本:IPv6。
- 名称:subnetv6-2002。
- 子网网段:2001:11:20:2::/64。
- 网关IP:2001:11:20:2::1。
图6-56 增加network2002
(3) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器>修改虚拟路由器]页面,在“子网”页签下将虚拟路由器router2001绑定虚拟链路层网络network2002的IPv4子网和IPv6子网。
图6-57 虚拟路由器绑定子网
只需在虚拟路由器router2001(即默认路由所在路由器)绑定VLB服务资源即可。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router2001的“VFW,VLB”超链接,在弹出的对话框中绑定已创建完成的VLB服务fwlbcontext2001。
图6-58 虚拟路由器router2001绑定VLB服务资源
(3) 配置完成后单击<应用>按钮。
(1) 在[自动化>数据中心网络>公共服务设置>浮动IP]页面增加浮动IP,具体配置为:
¡ 外部网络:选择“exnetwork2001”。
¡ 子网:选择“v4exsubnet2001”。
¡ 浮动IP:100.0.8.100。
图6-59 增加浮动IP
(2) 配置完成后单击<应用>按钮。
(1) 在[自动化>数据中心网络>租户[tenant1]的网络>负载均衡>健康检测]页面中增加健康检测,具体配置为:
¡ 名称:health2001。
¡ 检测类型:选择“PING”。
¡ 延迟时间:5秒。
¡ 超时时间:5秒。
¡ 连续探测失败次数:3次。
¡ 连续探测成功次数:3次。
图6-60 增加健康检测
(2) 配置完成后单击<应用>按钮。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>负载均衡>实服务组]页面增加实服务组,具体配置如下:
¡ 名称:realserver2001。
¡ 负载载均衡方式:依据实际需求而定,此处以ROUND_ROBIN举例。
¡ 健康检测:选择已增加完成的health2001。
图6-61 增加实服务组
¡ 在实服务组成员区域单击<增加>按钮,进行如下配置:
- IP版本:IPv4。
- 所属子网:subnetv4-2001。
- 权值:1。
- 已选服务组成员:虚拟端口的IP地址为11.20.1.3和11.20.1.4。
图6-62 增加实服务组成员
图6-63 实服务组成员增加完成
(2) 单击<应用>按钮完成实服务组的增加操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>负载均衡>虚服务器]页面增加虚服务器,具体配置如下:
¡ 名称:vserver2001。
¡ IP版本:IPv4。
¡ 所属子网:选择“subnetv4-2002”。
¡ 服务器IP:11.20.2.100。
¡ 浮动IP:100.0.8.100。
图6-64 增加虚服务器
(2) 配置完成后单击<应用>按钮。此时虚服务器的状态为DOWN。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>负载均衡>监听器]页面增加监听器,具体配置如下:
¡ 名称:listen2001。
¡ IP版本:IPv4。
¡ 虚服务器:选择“vserver2001”。
¡ 监听协议:选择“HTTP”。
¡ 监听端口:80。
¡ 用户源地址转换:选择“开启”。
¡ 绑定实服务组realserver2001。
图6-65 增加监听器
(2) 配置完成后单击<应用>按钮。
(1) 在[自动化>数据中心网络>租户[tenant1]的网络>负载均衡>负载均衡器]页面增加负载均衡器,具体配置如下:
¡ 名称:lb2001。
¡ 使用场景:选择“服务网关”。
¡ 绑定已经增加完成的监听器listen2001。
图6-66 增加负载均衡器
(2) 配置完成后单击<应用>按钮。
(3) 此时,负载均衡器与虚服务器的状态都变为Active。
图6-67 负载均衡器状态为Active
· Border上预期下发:
ip route-static vpn-instance tenant1_router2001_11077 11.20.2.100 32 10.50.1.3 description SDN_ROUTE
· Border上路由查看:
[border1]dis ip routing-table vpn-instance tenant1_router2001_11077
Destinations : 20 Routes : 20
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 60 0 10.60.1.3 Vlan500
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
10.50.1.2/31 Direct 0 0 10.50.1.2 Vlan503
10.50.1.2/32 Direct 0 0 127.0.0.1 InLoop0
10.60.1.2/31 Direct 0 0 10.60.1.2 Vlan500
10.60.1.2/32 Direct 0 0 127.0.0.1 InLoop0
11.20.1.0/24 BGP 255 0 7.1.1.81 Vsi11077
11.20.1.3/32 BGP 255 0 7.1.1.80 Vsi11077
11.20.1.4/32 BGP 255 0 7.1.1.80 Vsi11077
11.20.2.0/24 BGP 255 0 7.1.1.81 Vsi11077
11.20.2.100/32 Static 60 0 10.50.1.3 Vlan503
12.1.1.0/24 BGP 130 0 10.60.1.5 Vlan501
13.1.1.0/24 BGP 130 0 100.0.10.1 Vlan4010
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
127.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
224.0.0.0/4 Direct 0 0 0.0.0.0 NULL0
224.0.0.0/24 Direct 0 0 0.0.0.0 NULL0
255.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
[border1]dis ip routing-table vpn-instance tenant1_router2002_11078
Destinations : 17 Routes : 17
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 BGP 130 0 10.60.1.3 Vlan500
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
10.60.1.4/31 Direct 0 0 10.60.1.4 Vlan501
10.60.1.4/32 Direct 0 0 127.0.0.1 InLoop0
11.20.1.0/24 BGP 255 0 7.1.1.81 Vsi11077
11.20.1.3/32 BGP 255 0 7.1.1.80 Vsi11077
11.20.1.4/32 BGP 255 0 7.1.1.80 Vsi11077
11.20.2.0/24 BGP 255 0 7.1.1.81 Vsi11077
11.20.2.100/32 BGP 130 0 10.50.1.3 Vlan503
12.1.1.0/24 Static 60 0 10.60.1.5 Vlan501
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
127.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
224.0.0.0/4 Direct 0 0 0.0.0.0 NULL0
224.0.0.0/24 Direct 0 0 0.0.0.0 NULL0
255.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
[border1]dis ip routing-table vpn-instance tenant1_router2003_11079
Destinations : 17 Routes : 17
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 BGP 130 0 10.60.1.3 Vlan500
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
10.60.1.6/31 Direct 0 0 10.60.1.6 Vlan502
10.60.1.6/32 Direct 0 0 127.0.0.1 InLoop0
11.20.1.0/24 BGP 255 0 7.1.1.81 Vsi11077
11.20.1.3/32 BGP 255 0 7.1.1.80 Vsi11077
11.20.1.4/32 BGP 255 0 7.1.1.80 Vsi11077
11.20.2.0/24 BGP 255 0 7.1.1.81 Vsi11077
11.20.2.100/32 BGP 130 0 10.50.1.3 Vlan503
13.1.1.0/24 Static 60 0 100.0.10.1 Vlan4010
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
127.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
224.0.0.0/4 Direct 0 0 0.0.0.0 NULL0
224.0.0.0/24 Direct 0 0 0.0.0.0 NULL0
255.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
· VLB配置预期下发:
当一个虚拟路由器下同时绑定VFW与VLB服务时,外部网络地址会落在VFW上而不是VLB上。
#
loadbalance snat-pool sdn_faa3c167-9c3e-491f-b27d-62880ccc8aec
ip range start 11.20.2.100 end 11.20.2.100
#
server-farm sdn_6fcabd4d-e55d-417e-929f-798d0c151afb
description realserver2001
fail-action reset
snat-pool sdn_faa3c167-9c3e-491f-b27d-62880ccc8aec
probe sdn_ijwt5eqqvmxglms2s35yoyamaa
#
real-server sdn_96e55374-8036-4c08-9776-28db27068b1c
ip address 11.20.1.4
port 80
weight 1
server-farm sdn_6fcabd4d-e55d-417e-929f-798d0c151afb
#
real-server sdn_d99bad1a-afc1-4122-a557-f8f249c04fc5
ip address 11.20.1.3
port 80
weight 1
server-farm sdn_6fcabd4d-e55d-417e-929f-798d0c151afb
#
virtual-server sdn_d8ee8e7d-135d-420b-9de4-a3952bc4fc6d type http
description listen2001
vpn-instance tenant1_router2001_11077
virtual ip address 11.20.2.100
default server-farm sdn_6fcabd4d-e55d-417e-929f-798d0c151afb
route-advertisement enable
vrrp vrid 18 interface Route-Aggregation60.503
service enable
#
return
在internet1出口访问目的地址为浮动IP 100.0.8.100的Web服务,可以正常访问,VLB上可以查看会话信息。
在internet2出口访问目的为VLB地址11.20.2.100的Web服务,可以正常访问,VLB上可以查看会话信息。
在internet3出口访问目的为VLB地址11.20.2.100的Web服务,可以正常访问,VLB上可以查看会话信息。
图7-1 单Fabric主备出口组网图
在单Fabric组网中,存在一个主出口和一个备出口。当主出口失效以后,备出口生效。
主出口包括Border1、Border2,FW1和FW2。Border1和Border2采用M-LAG组网,FW1和FW2采用RBM组网,使用外部网络的优先级高的网络分段与外网设备互通。
备出口包括Border3、Border4,FW3和FW4。Border3和Border4采用M-LAG组网,FW3和FW4采用RBM组网,使用外部网络的优先级低的网络分段与外网设备互通。
当主出口正常时,内网到外网的流量按照默认路由走主出口出去。当主出口故障时, track negotive状态触发出外网的默认路由切换到备出口,内网到外网的流量走备出口出去。
当主出口恢复正常时,track postive状态触发出外网的默认路由切回到主出口,内网到外网的流量走主出口出去。
|
设备 |
用途 |
管理IP地址 |
业务IP地址及接口 |
|
Border1 |
EVPN边界设备 |
192.168.11.8 |
Loopback0 10.1.1.8/32 HGE4/0/1(连接Border2 HGE4/0/1) HGE4/0/2(连接Border2 HGE4/0/2) XGE6/0/48(连接Border2 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/3) HGE4/0/4(连接Spine2 HGE1/0/3) 与FW的接口连接关系如下表所示 |
|
Border2 |
EVPN边界设备 |
192.168.11.9 |
Loopback0 10.1.1.9/32 HGE4/0/1 (连接Border1 HGE4/0/1) HGE4/0/2(连接Border1 HGE4/0/2) XGE6/0/48(连接Border1 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/4) HGE4/0/4(连接Spine2 HGE1/0/4) 与FW的接口连接关系如下表所示 |
|
Border3 |
EVPN边界设备 |
192.168.11.10 |
Loopback0 10.1.1.10/32 HGE4/0/1(连接Border4 HGE4/0/1) HGE4/0/2(连接Border4 HGE4/0/2) XGE6/0/48(连接Border2 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/5) HGE4/0/4(连接Spine2 HGE1/0/6) 与FW的接口连接关系如下表所示 |
|
Border4 |
EVPN边界设备 |
192.168.11.11 |
Loopback0 10.1.1.11/32 HGE4/0/1(连接Border3 HGE4/0/1) HGE4/0/2(连接Border3 HGE4/0/2) XGE6/0/48(连接Border1 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/7) HGE4/0/4(连接Spine2 HGE1/0/8) 与FW的接口连接关系如下表所示 |
|
Spine1 |
Underlay物理设备 |
192.168.11.2 |
Loopback0 10.1.1.2/32 HGE1/0/3(连接Border1 HGE4/0/3) HGE1/0/4(连接Border2 HGE4/0/3) HGE1/0/5(连接Leaf1 HGE1/0/25) HGE1/0/6(连接Leaf2 HGE1/0/25) HGE1/0/7(连接Leaf3 HGE1/0/27) HGE1/0/8(连接Leaf4 HGE1/0/27) |
|
Spine2 |
Underlay物理设备 |
192.168.11.3 |
Loopback0 10.1.1.3/32 HGE1/0/3(连接Border1 HGE4/0/4) HGE1/0/4(连接Border2 HGE4/0/4) HGE1/0/5(连接Leaf1 HGE1/0/27) HGE1/0/6(连接Leaf2 HGE1/0/27) HGE1/0/7(连接Leaf3 HGE1/0/25) HGE1/0/8(连接Leaf4 HGE1/0/25) |
|
Leaf1 |
EVPN接入设备 |
192.168.11.4 |
Loopback0 10.1.1.4/32 XGE1/0/9(连接Leaf2 XGE1/0/9) HGE1/0/29(连接Leaf2 HGE1/0/29) HGE1/0/30(连接Leaf2 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/5) HGE1/0/27(连接Spine2 HGE1/0/5) |
|
Leaf2 |
EVPN接入设备 |
192.168.11.5 |
Loopback0 10.1.1.5/32 XGE1/0/9(连接Leaf1 XGE1/0/9) HGE1/0/29(连接Leaf1 HGE1/0/29) HGE1/0/30(连接Leaf1 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/6) HGE1/0/27(连接Spine2 HGE1/0/6) |
|
Leaf3 |
EVPN接入设备 |
192.168.11.6 |
Loopback0 10.1.1.6/32 XGE1/0/9(连接Leaf4 XGE1/0/9) HGE1/0/29(连接Leaf4 HGE1/0/29) HGE1/0/30(连接Leaf4 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/7) HGE1/0/27(连接Spine2 HGE1/0/8 |
|
Leaf4 |
EVPN接入设备 |
192.168.11.7 |
Loopback0 10.1.1.7/32 XGE1/0/9(连接Leaf3 XGE1/0/9) HGE1/0/29(连接Leaf3 HGE1/0/29) HGE1/0/30(连接Leaf3 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/9) HGE1/0/27(连接Spine2 HGE1/0/10) |
|
FW1 |
防火墙设备 |
192.168.11.101 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW2) XGE2/0/16加入RAGG64 (连接FW2) 与Border的接口连接关系如下表所示 |
|
FW2 |
防火墙设备 |
192.168.11.102 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW2) XGE2/0/16加入RAGG64(连接FW2) 与Border的接口连接关系如下表所示 |
|
FW3 |
防火墙设备 |
192.168.11.103 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW4) XGE2/0/16加入RAGG64 (连接FW4) 与Border的接口连接关系如下表所示 |
|
FW4 |
防火墙设备 |
192.168.11.104 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW3) XGE2/0/16加入RAGG64(连接FW3) 与Border的接口连接关系如下表所示 |
Border与FW之间的业务接口连接关系如下表所示。
表7-2 Border与FW之间的业务接口连接关系
|
FW |
Border |
|
下行接口: FW1 XGE2/0/3加入RAGG2 FW1 XGE2/0/4加入RAGG2 上行接口: FW1 XGE2/0/5加入RAGG3 FW1 XGE2/0/6加入RAGG3 |
下行接口: Border1 XGE6/0/1加入BAGG2 MLAG Group2 Border2 XGE6/0/1加入BAGG2 MLAG Group2 上行接口: Border1 XGE6/0/2加入BAGG4 MLAG Group4 Border2 XGE6/0/2加入BAGG4 MLAG Group4 |
|
下行接口: FW2 XGE2/0/3加入RAGG2 FW2 XGE2/0/4加入RAGG2 上行接口: FW2 XGE2/0/5加入RAGG3 FW2 XGE2/0/6加入RAGG3 |
下行接口: Border1 XGE6/0/5加入BAGG3 MLAG Group3 Border2 XGE6/0/5加入BAGG3 MLAG Group3 上行接口: Border1 XGE6/0/6加入BAGG5 MLAG Group5 Border2 XGE6/0/6加入BAGG5 MLAG Group5 |
|
下行接口: FW3 XGE2/0/3加入RAGG2 FW3 XGE2/0/4加入RAGG2 上行接口: FW3 XGE2/0/5加入RAGG3 FW3 XGE2/0/6加入RAGG3 |
下行接口: Border3 XGE6/0/1加入BAGG2 MLAG Group2 Border4 XGE6/0/1加入BAGG2 MLAG Group2 上行接口: Border3 XGE6/0/2加入BAGG4 MLAG Group4 Border4 XGE6/0/2加入BAGG4 MLAG Group4 |
|
下行接口: FW4 XGE2/0/3加入RAGG2 FW4 XGE2/0/4加入RAGG2 上行接口: FW4 XGE2/0/5加入RAGG3 FW4 XGE2/0/6加入RAGG3 |
下行接口: Border3 XGE6/0/5加入BAGG3 MLAG Group3 Border4 XGE6/0/5加入BAGG3 MLAG Group3 上行接口: Border3 XGE6/0/6加入BAGG5 MLAG Group5 Border4 XGE6/0/6加入BAGG5 MLAG Group5 |
Border与Core之间的业务接口连接关系如下表所示。
表7-3 Border与Core间业务接口连接关系
|
Border-Core连接 |
|
border1 XGE6/0/10加入BAGG10,连接Core XGE 1/0/1,加入BAGG10 border2 XGE6/0/10加入BAGG10,连接Core XGE 1/0/2,加入BAGG10 border3 XGE6/0/11加入BAGG11,连接Core XGE 1/0/11,加入BAGG11 border4 XGE6/0/11加入BAGG11,连接Core XGE 1/0/12,加入BAGG11 |
租户的IP地址及资源规划如下表所示。
|
规划项 |
配置示例 |
说明 |
|
|
物理设备管理网 |
192.168.11.0/24 网关:192.168.11.1 |
|
|
|
Fabric |
· 名称:fabric1 · AS号:100 |
|
|
|
VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
|
|
租户 |
· 名称:pulictenant1 · 名称:tenant1 · VDS名称:VDS1 |
|
|
|
IP地址池 |
租户承载负载分担内网 |
· 名称:租户承载负载分担内网1 · 地址段: ¡ 10.50.1.0/24 ¡ 2001::10:50:1: /112 · 默认地址池:不勾选 |
在RBM组网中,一个虚拟路由器的LB业务占用2个IPv4地址,掩码为31位,占用2个IPv6地址,前缀长度为127 |
|
· 名称:租户承载负载分担内网2 · 地址段: ¡ 10.50.2.0/24 ¡ 2001::10:50:2:/112 |
|||
|
租户承载防火墙内网 |
· 名称:租户承载防火墙内网1 · 地址段: ¡ 10.60.1.0/24 ¡ 2001::10:60:1:/112 · 默认地址池:不勾选 |
在RBM组网中,一个虚拟路由器的FW业务占用2个IPv4地址,掩码为31位,占用2个IPv6地址,前缀长度为127 |
|
|
· 名称:租户承载防火墙内网2 · 地址段: ¡ 10.60.2.0/24 ¡ 2001::10:60:2:/112 · 默认地址池:不勾选 |
|||
|
虚拟管理网络 |
· 名称:虚拟管理网络1 · 地址段: ¡ 192.168.10.2/24-192.168.10.100/24 · 网关地址:192.168.10.1 · 默认地址池:不勾选 |
在RBM组网中,主备VFW Context各占用1个IPv4地址 |
|
|
· 名称:虚拟管理网络2 · 地址段: ¡ 192.168.10.101/24-192.168.10.254/24 · 网关地址:192.168.10.1 · 默认地址池:不勾选 |
|||
|
VLAN池 |
租户承载网VLAN池 |
· 名称:租户承载网vlan1 · VLAN范围:500-999 · 默认VLAN池:不勾选 |
在RBM组网中,一个虚拟路由器的FW业务,占用1一个VLAN资源,一个虚拟路由器的LB业务,占用1个VLAN ID资源 |
|
· 名称:租户承载网vlan2 · VLAN范围:1000-1499 · 默认VLAN池:不勾选 |
|||
|
L4-L7设备组IP地址池 |
· 地址段:88.1.0.1-88.1.254.254 · 地址段:2000::88:1:0:1-2000::88:1:254:254 |
用于在RBM组网中分配VRRP实地址 上行口:一组VRRP占用2个IPV4地址,掩码为31位,占用2个IPV6地址,前缀长度为127 下行口:一组VRRP占用2个IPV4地址,掩码为31位,占用2个IPV6地址,前缀长度为127 |
|
|
L4-L7设备组IPv6链路本地地址池 |
地址段:FE80::88:1:0:1-FE80::88:1:254:254 |
在RBM组网中,为接口分配Link-Local虚地址 上行口:占用2个IPv6地址 下行口:占用2个IPv6地址 |
|
|
外部网络 |
· 名称:exnetwork2101 · 类型:VLAN · 网络分段:开启 · 网络分段1: ¡ 名称:fwextnet2101_1 ¡ Segment ID:4003 · 网络分段2: ¡ 名称:fwextnet2101_2 ¡ Segment ID:4004 · IPv4子网1: ¡ 名称:v4exsubnet3 ¡ 子网网段:100.0.3.0/24 · IPv4子网2: ¡ 名称:v4exsubnet4 ¡ 子网网段:100.0.4.0/24 · IPv6子网1: ¡ 名称:v6exsubnet3 ¡ 子网网段:2001:100:0:3::/64 · IPv6子网2: ¡ 名称:v6exsubnet4 ¡ 子网网段:2001:100:0:4::/64 |
|
|
|
· 名称:exnetwork2102 · 类型:VLAN · 网络分段:开启 · 网络分段1: ¡ 名称:extnet2102_1 ¡ Segment ID:4005 · 网络分段2: ¡ 名称:extnet2102_2 ¡ Segment ID:4006 · IPv4子网1: ¡ 名称:v4exsubnet5 ¡ 子网网段:100.0.5.0/24 · IPv4子网2: ¡ 名称:v4exsubnet6 ¡ 子网网段:100.0.6.0/24 · IPv6子网1: ¡ 名称:v6exsubnet5 ¡ 子网网段:2001:100:0:5::/64 · IPv6子网2: ¡ 名称:v6exsubnet6 ¡ 子网网段:2001:100:0:6::/64 |
|
||
|
外网业务 |
· Core上配置: ¡ 地址:11.1.1.0/24 ¡ 11::/64 |
|
|
图7-2 单Fabric内经过FW的主备出口
图7-3 单Fabric内直通外网的主备出口
请配置并纳管组网中的交换设备,详细信息请参见《AD-DC 6.5 Underlay网络配置指导》。
请根据《AD-DC 6.5 安全服务资源配置指导》中对应设备型号的服务网关章节配置步骤,完成物理安全设备的基础配置。
参见章节“控制组件基础配置”的配置步骤,完成以下基础配置:
表7-5 控制组件基础配置
|
配置项 |
配置示例 |
说明 |
||
|
增加Fabric |
· 基础配置 ¡ 名称:fabric1 ¡ AS号:100 · 高级配置 ¡ 未知单播报文抑制:勾选 ¡ 未知组播报文抑制:勾选 ¡ 广播报文抑制:勾选 |
|
||
|
配置VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
||
|
配置全局参数 |
· 启用IPv6:开启 · 交换设备下发安全策略流表:关闭 · VRF名称生成方式:按规则生成 |
|
||
|
增加IP地址池 |
租户承载负载分担内网 |
· 名称:租户承载负载分担内网1 · 地址段: ¡ 10.50.1.0/24 ¡ 2001::10:50:1: /112 · 默认地址池:不勾选 |
|
|
|
租户承载负载分担内网 |
· 名称:租户承载负载分担内网2 · 地址段: ¡ 10.50.2.0/24 ¡ 2001::10:50:2:/112 |
|||
|
租户承载防火墙内网 |
· 名称:租户承载防火墙内网1 · 地址段: ¡ 10.60.1.0/24 ¡ 2001::10:60:1:/112 · 默认地址池:不勾选 |
|
||
|
租户承载防火墙内网 |
· 名称:租户承载防火墙内网2 · 地址段: ¡ 10.60.2.0/24 ¡ 2001::10:60:2:/112 · 默认地址池:不勾选 |
|||
|
虚拟管理网络 |
· 名称:虚拟管理网络1 · 地址段: ¡ 192.168.10.2/24-192.168.10.100/24 · 网关地址:192.168.10.1 · 默认地址池:不勾选 |
|
||
|
虚拟管理网络 |
· 名称:虚拟管理网络2 · 地址段: ¡ 192.168.10.101/24-192.168.10.254/24 · 网关地址:192.168.10.1 · 默认地址池:不勾选 |
|||
|
增加VLAN池 |
租户承载网VLAN池 |
· 名称:租户承载网vlan1 · VLAN范围:500-999 · 默认VLAN池:不勾选 |
|
|
|
租户承载网VLAN池 |
· 名称:租户承载网vlan2 · VLAN范围:1000-1499 · 默认VLAN池:不勾选 |
|||
|
增加设备组 |
· 名称:bdgroup1 ¡ 网络位置:出口网关 ¡ HA部署模式:M-LAG ¡ 连接方式:VLAN跨网段 ¡ 防火墙接入模式 :直连 ¡ 地址池列表:租户负载分担内网1,租户承载防火墙内网1,虚拟管理网1 ¡ VLAN池列表:租户承载vlan1 ¡ 设备组成员:border1,border2 |
网络位置、远端设备组、防火墙业务和连接方式四个参数在增加完后无法修改。其中防火墙业务和网络位置影响后续Fabric扩容,请做好规划后再配置 |
||
|
· 名称:bdgroup2 ¡ 网络位置:出口网关 ¡ HA部署模式:M-LAG ¡ 连接方式:VLAN跨网段 ¡ 防火墙接入模式 :直连 ¡ 地址池列表:租户负载分担内网2,租户承载防火墙内网2,虚拟管理网2 ¡ VLAN池列表:租户承载vlan2 ¡ 设备组成员:border3,border4 |
||||
|
增加L4-L7设备 |
· 名称:FW1 · 厂商:H3C · 管理IP:192.168.11.101 |
|
||
|
· 名称:FW2 · 厂商:H3C · 管理IP:192.168.11.102 |
|
|||
|
· 名称:FW3 · 厂商:H3C · 管理IP:192.168.11.103 |
|
|||
|
· 名称:FW4 · 厂商:H3C · 管理IP:192.168.11.104 |
|
|||
|
增加L4-L7设备组和地址池 |
增加 L4-L7设备组 |
· 名称:FWgroup1 ¡ 包含设备:FW1,FW2 · 名称:FWgroup2 ¡ 包含设备:FW3,FW4 |
|
|
|
配置IP地址池 |
· 地址段:88.1.0.1—88.1.254.254 · 地址段:2000::88:1:0:1--2000::88:1:254:254 |
|
||
|
配置IPv6链路本地地址池 |
地址段:FE80::88:1:0:1--FE80::88:1:254:254 |
|
||
|
增加VLAN-VXLAN映射 |
· 名称:map1 · VLAN-VXLAN映射关系: ¡ 名称:map2101 ¡ VLAN起始值:2081 ¡ VXLAN起始值:2081 ¡ 映射区间宽度:4 ¡ 接入模式:VLAN · 应用到接口:应用到组网中Server-Leaf连接Server的所有聚合接口上 |
应用到接口前,需在[自动化>数据中心网络>设备资源>物理设备>配置下行口>配置下行口[XXX]]页面将接口配置为下行口 |
||
|
增加租户 |
· 名称:pulictenant1 · 名称:tenant1 · VDS名称:VDS1 |
|
||
表7-6 物理资源池及模板列表
|
物理资源名称 |
服务类型 |
对应的设备组名称 |
物理资源池模板名称 |
|
FWpool1 |
FW |
FWgroup1 |
FWtempt1 |
|
FWpool2 |
FW |
FWgroup2 |
FWtempt2 |
以增加物理资源池FWpool1、FWgroup1,物理资源池模板FWtempt1为例
(2) 进入[自动化>数据中心网络>资源池>设备资源>L4-L7物理资源池]页面,单击<增加>按钮,进入增加L4-L7物理资源池页面。在该页面中进行以下配置:
¡ 名称:FWpool1。
¡ 服务类型:选择“FW”。
¡ 设备资源:勾选已增加的FW设备组FWgroup1。
图7-4 增加FW资源池FWpool1
(3) 单击配置模板区段的
按钮,进入L4-L7物理资源池模板配置页面。单击<增加模板>按钮,在弹出的对话框中进行以下配置:
¡ 名称:FWtemp1。
¡ 类型:选择“设备组FW资源”。
¡ 接口设置:根据组网规划,选择管理接口、下行接口和上行接口。
(4) 单击<应用>按钮,完成模板的增加操作。
图7-5 增加防火墙资源池的模板FWtemp1
(5) 单击<应用>按钮,完成L4-L7物理资源池的增加操作。
(6) 再次进入[自动化>数据中心网络>资源池>设备资源>L4-L7物理资源池]页面,单击<增加>按钮,进入增加L4-L7物理资源池页面。在该页面中进行以下配置:
¡ 名称:FWpool2。
¡ 服务类型:选择“FW”。
¡ 设备资源:勾选已增加的FW设备FWgroup2。
图7-6 增加FW资源池FWpool2
(7) 单击配置模板区段的
按钮,进入L4-L7物理资源池模板配置页面。单击<增加模板>按钮,在弹出的对话框中进行以下配置:
¡ 名称:FWtemp2。
¡ 类型:设备组FW资源。
¡ 接口设置:根据组网规划,选择管理接口、下行接口和上行接口。
图7-7 增加防火墙资源池的模板FWtemp2
(8) 模板配置完后,单击配置模板的详情,可查看模板的配置信息。
在出口网关页面依次增加2个非共享类型的出口网关:gw1,gw2,具体配置请见如下表格。
|
出口网关名称 |
共享网关 |
出口网关成员名称 |
所属Fabric |
设备组 |
服务资源 |
|
gw1 |
关闭 |
gw1member |
fabric1 |
bdgroup1 |
FWpool1 |
|
gw2 |
关闭 |
gw2member |
fabric1 |
bdgroup2 |
FWpool2 |
下面以gw1出口为例进行配置。
(1) 进入[自动化>数据中心网络>公共网络设置>出口网关]页面。
(2) 单击<增加>按钮进入增加出口网关页面,在该页面进行如下配置:
¡ 名称:gw1
¡ 共享网关:选择“关闭”。
图7-8 增加出口网关gw1
¡ 单击<增加出口网关成员>按钮,在弹出的对话框中进行如下配置,配置完成后单击<应用>按钮。
- 名称:gw1member
- 所属Fabric:fabric1
- 设备组:bdgroup1。
- 优先级:1。
- 服务资源:FWpool1。
图7-9 增加出口网关成员gw1member
(3) 重复以上步骤创建gw2。
本章需为不同租户配置如下网关资源。
|
租户 |
出口网关名称 |
网关成员 |
|
publictenant1 |
gw1 |
gw1member |
|
gw2 |
gw2member |
|
|
tenant1 |
gw1 |
gw1member |
|
gw2 |
gw2member |
下面以配置公共租户publictenant1的网关资源为例。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(2) 单击指定租户publictenant1操作区段的
按钮,进入修改租户页面。
(3) 在分配网关资源区域单击<增加>按钮在弹出的对话框中进行如下配置:
¡ 选择已增加的出口网关gw1,gw2。
¡ 默认网关不选择。
(4) 单击<应用>按钮,完成出口网关的增加操作。
图7-10 公共租户下publictenant1下绑定网关资源
(5) 单击修改租户页面的<应用>按钮,完成租户的修改操作。
图7-11 普通租户下tenant1下绑定网关资源
本章需为公共租户publictenant1配置如下VFW服务资源。
|
租户 |
资源类型 |
资源名称 |
使用场景 |
服务类型 |
网关成员 |
资源池名称 |
|
publictenant1 |
服务资源 |
pubfwcontext1 |
服务网关 |
虚拟防火墙(VFW) |
gw1 -gw1member |
FWpool1 |
|
服务资源 |
pubfwcontext2 |
服务网关 |
虚拟防火墙(VFW) |
gw2 –gw2member |
FWpool2 |
下面以配置公共租户publictenant1的第一个VFW服务资源为例。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(2) 单击指定租户pubfwcontext1操作栏的
按钮,进入修改租户页面。
(3) 在分配服务资源区域进行如下参数配置。
¡ 资源类型:选择“服务资源”。
(4) 单击<增加>按钮,进入增加服务资源页面,该页面的参数配置如下。
¡ 资源名称:pubfwcontext1。
¡ 使用场景:选择“服务网关”。
¡ 服务类型:选择“虚拟防火墙(VFW)”。
¡ 网关成员:gw1 -gw1member。
¡ 资源池名称:FWpool1。
¡ 其他参数以使用缺省配置为例。
(5) 单击<应用>按钮,完成服务资源的增加操作。
图7-12 增加服务资源pubfwcontext1
(6) 单击修改租户页面的<应用>按钮,完成租户的修改操作。
本章需为普通租户tenant1配置如下VFW服务资源。
|
租户 |
资源类型 |
资源名称 |
使用场景 |
服务类型 |
资源分配方式 |
网关成员 |
租户 |
资源类型 |
服务类型 |
|
tenant1 |
服务资源 |
fwgwcontext2101 |
服务网关 |
虚拟防火墙(VFW) |
复用已创建资源 |
gw1 -gw1member |
publictenant1 |
NGFW_GW_SERVICE |
pubfwcontext1 |
|
服务资源 |
fwgwcontext2102 |
服务网关 |
虚拟防火墙(VFW) |
复用已创建资源 |
gw2 –gw2member |
publictenant1 |
NGFW_GW_SERVICE |
pubfwcontext2 |
下面以配置普通租户tenant1的第一个VFW服务资源为例。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(2) 单击指定租户tenant1操作区段的
按钮,进入修改租户页面。
(3) 在分配服务资源区域进行如下参数配置。
¡ 资源类型:选择“服务资源”。
(4) 单击<增加>按钮,进入增加服务资源页面,该页面的参数配置如下。
¡ 资源名称:fwgwcontext2101。
¡ 使用场景:选择“服务网关”。
¡ 服务类型:选择“虚拟防火墙(VFW)”。
¡ 资源分配方式:复用已创建资源。
¡ 网关成员:gw1 -gw1member。
¡ 租户:publictenant1。
¡ 资源类型:NGFW_GW_SERVICE。
¡ 服务资源:pubfwcontext1。
(5) 单击<应用>按钮,完成服务资源的增加操作。
图7-13 增加VFW服务资源fwgwcontext2101
(6) 单击修改租户页面的<应用>按钮,完成租户的修改操作。
本章需配置如下虚拟链路层网络及子网。
|
虚拟链路层网络名称 |
Segment ID |
子网名称 |
IP版本 |
启用DHCP |
子网网段 |
网关IP |
|
network2101 |
2081 |
subnetv4-2101 |
IPv4 |
否 |
11.21.1.0/24 |
11.21.1.1 |
|
subnetv6-2101 |
IPv6 |
否 |
2001:11:21:1::/64 |
2001:11:21:1::1 |
下面以配置虚拟层网络network2101、IPv4子网subnetv4-2101为例进行配置。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面,单击租户tenant1名称,进入租户tenant1的虚拟链路层网络页面。
(2) 单击<增加>按钮,进入增加虚拟链路层网络页面,在该页面进行以下配置:
¡ 名称:network2101。
¡ 类型:VXLAN。
¡ Segment ID:2081。
图7-14 增加虚拟链路层网络
(3) 在“子网”页签中,单击<增加>按钮,在弹出的对话框中进行以下配置:
¡ IP版本:IPv4。
¡ 启用DHCP:关闭。
¡ 名称:subnetv4-2101。
¡ 子网网段:11.21.1.0/24。
¡ 网关IP:11.21.1.1。
图7-15 增加IPv4子网
(4) 单击<应用>按钮,完成子网的增加操作。
(5) 在“高级配置”页签中可配置报文抑制等参数,本网络以默认配置为例。
(6) 单击<应用>按钮,完成虚拟链路层网络的增加操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器>虚拟路由器]页面。
(2) 单击<增加>按钮进入增加虚拟路由器页面,在该页面进行如下配置:
¡ 名称:router2101。
¡ Segment ID:11081。
图7-16 增加虚拟路由器
(3) 在“子网”页签下,单击<增加>按钮,在弹出的对话框中选择已增加的子网subnetv4-2101和subnetv6-2101。选择完成后单击<应用>按钮。
图7-17 增加IPv4和IPv6子网
(4) 在“外部网络”页签下,外网出口设备选择“防火墙”。
图7-18 外网出口设备选择防火墙。
(5) 单击<应用>按钮,完成虚拟路由器的增加操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器>虚拟路由器]页面,单击虚拟路由器router2101“网关资源”区段的链接。
(2) 在弹出的网关资源对话框中,选择gw1、gw2两个出口网关。IPv4优先级和IPv6优先级不用填写。
图7-19 绑定网关资源
(3) 单击<应用>按钮,完成网关资源的绑定操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器>虚拟路由器]页面,单击虚拟路由器router2101“L4-L7服务”区段的链接。
(2) 在弹出的网关资源对话框中,FW服务选择fwgwcontext2101、fwgwcontext2102。
图7-20 绑定L4-L7服务
(3) 单击<应用>按钮,完成L4-L7服务的绑定操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略]页面,单击“规则”页签,进入规则页面。
(2) 单击<增加规则>按钮,在弹出的对话框中如下参数:
¡ 名称:v4rule2101。
¡ IP版本:IPv4。
¡ 服务:协议、所有。
¡ 动作:允许。
¡ 其余参数保持默认值。
图7-21 增加IPv4规则
(3) 单击<应用>按钮,完成IPv4规则的增加操作。
(4) 单击<增加规则>按钮,在弹出的对话框中如下参数:
¡ 名称:v6rule2101。
¡ IP版本:IPv6。
¡ 服务:协议、所有。
¡ 动作:允许。
¡ 其余参数保持默认值。
图7-22 增加IPv6规则
(5) 单击<应用>按钮,完成规则的增加操作。
(6) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略]页面,单击“策略”页签,进入策略页面。
(7) 单击<增加策略>按钮,在弹出的对话框中配置策略相关参数:
¡ 名称:policy2101。
¡ 激活:勾选激活。
图7-23 增加策略
(8) 单击<应用>按钮,完成策略的增加操作。
(9) 单击策略policy2101“规则”区段的链接,进入绑定规则页面,绑定已创建的规则v4rule2101、v6rule2101。
¡ 激活:勾选激活。
图7-24 单击规则链接
图7-25 绑定规则
(10) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙]页面,单击<增加防火墙>按钮,进入增加防火墙页面,配置如下参数:
¡ 名称:fw2101。
¡ 使用场景:服务网关。
¡ 入方向安全策略:policy2101。
¡ 出方向安全策略:policy2101。
¡ 安全域资源:选择虚拟路由器“router2101”。
图7-26 增加防火墙
(11) 单击<应用>按钮,完成防火墙的增加操作。
本章需配置如下2个IPv4子网、2个IPv6子网和2个网络分段,具体配置如下表所示。
表7-7 网络分段配置信息
|
名称 |
Segment ID |
出口网关 |
|
exnetwork2101_seg1 |
4003 |
gw1 |
|
exnetwork2101_seg2 |
4004 |
gw2 |
表7-8 外部网络子网配置信息
|
外部网络名称 |
子网 |
名称 |
子网网段 |
网关IP |
关联网络分段 |
|
exnetwork2101 |
IPv4子网 |
v4exsubnet3 |
100.0.3.0/24 |
100.0.3.1 |
exnetwork2101_seg1 |
|
v4exsubnet4 |
100.0.4.0/24 |
100.0.4.1 |
exnetwork2101_seg2 |
||
|
IPv6子网 |
v6exsubnet3 |
2001:100:0:3::/64 |
2001:100:0:3::1 |
exnetwork2101_seg1 |
|
|
v6exsubnet4 |
2001:100:0:4::/64 |
2001:100:0:4::1 |
exnetwork2101_seg2 |
下面以配置网络分段exnetwork2101_seg1、IPv4子网v4exsubnet3、IPv6子网v6exsubnet3为例。
(2) 进入[自动化>数据中心网络>公共网络设置>外部网络]页面。
(3) 单击<增加>按钮进入增加外部网络页面,在该页面进行如下配置。
¡ 名称:exnetwork2101。
¡ 类型:VLAN。不同类型会下发不同配置,以VLAN为例。
¡ 网络分段:选择“开启”。在弹出的对话框中配置如下参数:
- 名称:exnetwork2101_seg1。
- Segment ID:4003。
- 出口网关:gw1。
图7-27 增加外部网络和开启网络分段
(4) 在“网络分段”页签下,单击<增加>按钮,增加第二个网络分段exnetwork2101_seg2。
图7-28 增加网络分段
(5) 在“IPv4子网”页签下,单击<增加>按钮,在弹出的对话框中配置如下参数。
¡ 名称:v4exsubnet3。
¡ 子网网段:100.0.3.0/24。
¡ 网关IP:100.0.3.1。
¡ 网络分段:exnetwork2101_seg1。
¡ 其他参数以使用缺省配置为例。
(6) 单击<应用>按钮,完成IPv4子网的增加操作。
图7-29 增加IPv4子网v4exsubnet3
图7-30 增加多个IPv4子网
(7) 在“IPv6子网”页签下,单击<增加>按钮,在弹出的对话框中配置如下参数。
¡ 名称:v6exsubnet3。
¡ 子网网段:2001:100:0:3::/64。
¡ 网关IP:2001:100:0:3::1。
¡ 网络分段:exnetwork2101_seg1。
¡ 其他参数以使用缺省配置为例。
(8) 单击<应用>按钮,完成IPv6子网的增加操作。
图7-31 增加IPv6子网v6exsubnet3
图7-32 增加多个IPv6子网
(9) 所有配置完成后,单击增加外部网络页面的<应用>按钮,完成外部网络的增加操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router2101操作栏的
按钮,进入修改虚拟路由器页面。
(3) 单击“外部网络”页签,配置如下参数:
a. 外部网络:选择外部网络exnetwork2101。
b. 单击<绑定IPv4外网子网>按钮,在弹出的对话框中绑定IPv4外网子网v4exsubnet3,v4exsubnet4,且可以配置外部网络的优先级,分别为2和1。
c. 单击<绑定IPv6外网子网>按钮,在弹出的对话框中绑定IPv6外网子网v6exsubnet3,v6exsubnet4,且可以配置外部网络的优先级,分别为2和1。
优先级数值越大,优先级越高
(4) 单击<应用>按钮,完成虚拟路由器的修改操作。
图7-33 绑定外部网络
本章需配置如下NQA策略。
表7-9 NQA策略配置
|
NQA策略名称 |
NQA策略配置 |
Track号 |
|
nqa211 |
手动 |
211 |
|
nqa212 |
手动 |
212 |
下面以配置NQA策略nqa211为例。
(2) 进入[自动化>数据中心网络>公共策略>NQA策略]页面。
(3) 单击<增加>按钮,在弹出的增加NQA策略对话框中,配置如下参数:
¡ 名称:nqa211。
¡ NQA策略配置:手动。
¡ Track号:211。
图7-34 增加NQA策略
(4) 单击<应用>按钮,完成增加NQA策略的操作。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面,单击租户tenant1“操作”区段的
按钮,进入修改租户页面。
(2) 在分配服务资源区域,单击<批量联动NQA策略>按钮,在弹出的对话框中配置如下参数:
¡ NQA策略:nqa211。
¡ 已选服务资源:fwgwcontext2101。
(3) 单击<应用>按钮,完成增加服务资源绑定NQA策略的操作。
图7-35 联动NQA策略nqa211
(4) 重复上述步骤,为fwgwcontext2102服务资源绑定NQA策略nqa212。
图7-36 联动NQA策略
· Border1和Border2配置下发:
ip route-static vpn-instance tenant1_router2101_11081 0.0.0.0 0 10.60.1.9 track 211 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2101_11081 :: 0 2001::10:60:1:8 track 211 description SDN_ROUTE
· Border3和Border4配置下发:
ip route-static vpn-instance tenant1_router2101_11081 0.0.0.0 0 10.60.1.11 track 212 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2101_11081 :: 0 2001::10:60:1:A track 212 description SDN_ROUTE
· 当前作为备出口的Border3和Border4会下发as-path,用以降低路由的优先级。
#
route-policy SDN_POLICY_IPV4_tenant1_router2101_11081 permit node 10000
apply as-path 101 101
#
route-policy SDN_POLICY_IPV6_tenant1_router2101_11081 permit node 10000
apply as-path 101 101
##
配置Track和聚合接口的联动。
首先创建boolean类型列表的track项目,将ED-border连接防火墙FW1,FW2的下行口做一个track boolean or 类型,如果FW1,FW2的下行口中至少有一个对象的状态为Positive,则此Track项的状态为Positive。
再创建track boolean and 列表,该track 值和当前border上预期下发的路由表里的track值一致。列表里的关联对象是上述的track状态和ED-border1连接外网出口的状态,二者状态都是Positive,那么此Track项的状态为Positive;如果有一个或多个对象的状态为Negative,那么此Track项的状态为Negative。
配置border1连接防火墙的下行口,和border1连接外网出口的track boolean联动
[border1] track 10 interface Bridge-Aggregation10 physical //border1连接外网的接口
[border1] track 2 interface Bridge-Aggregation2 physical //border1连接FW1的接口
[border1] track 3 interface Bridge-Aggregation3 physical //border1连接FW2的接口
[border1] track 4 list boolean or
[border1-track-4] object 2
[border1-track-4] object 3
[border1-track-4] quit
[border1] track 211 list boolean and
[border1-track-211] delay positive 300
[border1-track-211] object 10
[border1-track-211] object 4
[border1-track-211] quit
配置border2连接防火墙的下行口,和border2连接外网出口的track boolean联动
[border2] track 10 interface Bridge-Aggregation10 physical //border2连接外网的接口
[border2] track 2 interface Bridge-Aggregation2 physical //border2连接FW1的接口
[border2] track 3 interface Bridge-Aggregation3 physical //border2连接FW2的接口
[border2] track 4 list boolean or
[border2-track-4] object 2
[border2-track-4] object 3
[border2-track-4] quit
[border2] track 211 list boolean and
[border2-track-211] delay positive 300
[border2-track-211] object 10
[border2-track-211] object 4
[border2-track-211] quit
配置border3连接防火墙的下行口,和border3连接外网出口的track boolean联动
[border3] track 11 interface Bridge-Aggregation11 physical //border3连接外网的接口
[border3] track 2 interface Bridge-Aggregation2 physical //border3连接FW3的接口
[border3] track 3 interface Bridge-Aggregation3 physical //border3连接FW4的接口
[border3] track 4 list boolean or
[border3-track-4] object 2
[border3-track-4] object 3
[border3-track-4] quit
[border3] track 212 list boolean and
[border3-track-212] delay positive 300
[border3-track-212] object 11
[border3-track-212] object 4
[border3-track-212] quit
配置border4连接防火墙的下行口,和border4连接外网出口的track boolean联动
[border4] track 11 interface Bridge-Aggregation11 physical //border4连接外网的接口
[border4] track 2 interface Bridge-Aggregation2 physical //border4连接FW3的接口
[border4] track 3 interface Bridge-Aggregation3 physical //border4连接FW4的接口
[border4] track 4 list boolean or
[border4-track-4] object 2
[border4-track-4] object 3
[border4-track-4] quit
[border4] track 212 list boolean and
[border4-track-212] delay positive 300
[border4-track-212] object 11
[border4-track-212] object 4
[border4-track-212] quit
以FW1为例,将下行口Route- Aggregation2和上行口Route-Aggregation3放到一个联动组里。
RBM_P[FW1] collaboration-group 1
RBM_P[FW1] interface Route-Aggregation 2
RBM_P[FW1-Route-Aggregation2] port collaboration-group 1
RBM_P[FW1-Route-Aggregation2] quit
RBM_P[FW1] interface Route-Aggregation3
RBM_P[FW1-Route-Aggregation3] port collaboration-group 1
RBM_P[FW1-Route-Aggregation3] quit
同样的方式,将FW2、FW3、FW4的上下行口都加入联动组collaboration-group1。
配置外网网关。
[core] vlan 4003
[core-vlan4003] quit
[core] vlan 4004
[core-vlan4004] quit
[core] ip vpn-instance vpn1
[core-vpn-instance-vpn1] quit
[core] interface vlan 4003
[core-Vlan-interface4003] ip binding vpn-instance vpn1
[core-Vlan-interface4003] ip address 100.0.3.1 24
[core-Vlan-interface4003] ipv6 address 2001:100:0:3::1 64
[core-Vlan-interface4003] quit
[core] interface vlan 4004
[core-Vlan-interface4004] ip binding vpn-instance vpn1
[core-Vlan-interface4004] ip address 100.0.4.1 24
[core-Vlan-interface4004] ipv6 address 2001:100:0:4::1 64
[core-Vlan-interface4004] quit
[core] interface Bridge-Aggregation10
[core-Bridge-Aggregation10] port link-type trunk
[core-Bridge-Aggregation10] undo port trunk permit vlan 1
[core-Bridge-Aggregation10] port trunk permit vlan 4003
[core-Bridge-Aggregation10] link-aggregation mode dynamic
[core-Bridge-Aggregation10] port link-aggregation group 10
[core-Bridge-Aggregation10] quit
[core] interface Bridge-Aggregation11
[core-Bridge-Aggregation11] port link-type trunk
[core-Bridge-Aggregation11] undo port trunk permit vlan 1
[core-Bridge-Aggregation11] port trunk permit vlan 4004
[core-Bridge-Aggregation11] link-aggregation mode dynamic
[core-Bridge-Aggregation11] port link-aggregation group 11
[core-Bridge-Aggregation11] quit
配置回程路由,目的到子网内网。
[core] ip route-static vpn-instance vpn1 11.21.1.0 24 100.0.3.2 track 1
[core] ip route-static vpn-instance vpn1 11.21.1.0 24 100.0.4.2 track 2 preference 61
[core] ipv6 route-static vpn-instance vpn1 2001:11:21:: 64 2001:100:0:3::2 track 3
[core] ipv6 route-static vpn-instance vpn1 2001:11:21:: 64 2001:100:0:4::2 track 4 preference 61
在Core上配置NQA,目的是探测防火墙虚墙上外网口的地址,这么配置是为了当出现Border和防火墙互联口Down掉以后,Core上也能检测到,保证Core上的回程路由可以撤销掉。
[core] nqa entry nqa1 nqa1
[core-nqa-nqa1-nqa1] type icmp-echo
[core-nqa-nqa1-nqa1-icmp-echo] destination ip 100.0.3.2
[core-nqa-nqa1-nqa1-icmp-echo] frequency 200
[core-nqa-nqa1-nqa1-icmp-echo] probe timeout 100
[core-nqa-nqa1-nqa1-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
[core-nqa-nqa1-nqa1-icmp-echo] source ip 100.0.3.1
[core-nqa-nqa1-nqa1-icmp-echo] quit
[core] nqa schedule nqa1 nqa1 start-time now lifetime forever
[core] track 1 nqa entry nqa1 nqa1 reaction 1
[core-track-1] delay positive 300
[core-track-1] quit
[core] nqa entry nqa2 nqa2
[core-nqa-nqa2-nqa2] type icmp-echo
[core-nqa-nqa2-nqa2-icmp-echo] destination ip 100.0.4.2
[core-nqa-nqa2-nqa2-icmp-echo] frequency 200
[core-nqa-nqa2-nqa2-icmp-echo] probe timeout 100
[core-nqa-nqa2-nqa2-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
[core-nqa-nqa2-nqa2-icmp-echo] source ip 100.0.4.1
[core-nqa-nqa2-nqa2-icmp-echo] quit
[core] nqa schedule nqa2 nqa2 start-time now lifetime forever
[core] track 2 nqa entry nqa2 nqa2 reaction 1
[core-track-2] delay positive 300
[core-track-2] quit
[core] nqa entry nqa3 nqa3
[core-nqa-nqa3-nqa3] type icmp-echo
[core-nqa-nqa3-nqa3-icmp-echo] destination ipv6 2001:100:0:3::2
[core-nqa-nqa3-nqa3-icmp-echo] frequency 200
[core-nqa-nqa3-nqa3-icmp-echo] probe timeout 100
[core-nqa-nqa3-nqa3-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
[core-nqa-nqa3-nqa3-icmp-echo] source ipv6 2001:100:0:3::1
[core-nqa-nqa3-nqa3-icmp-echo] quit
[core] nqa schedule nqa3 nqa3 start-time now lifetime forever
[core] track 3 nqa entry nqa3 nqa3 reaction 1
[core-track-3] delay positive 300
[core-track-3] quit
[core] nqa entry nqa4 nqa4
[core-nqa-nqa4-nqa4] type icmp-echo
[core-nqa-nqa4-nqa4-icmp-echo] destination ipv6 2001:100:0:4::2
[core-nqa-nqa4-nqa4-icmp-echo] frequency 200
[core-nqa-nqa4-nqa4-icmp-echo] probe timeout 100
[core-nqa-nqa4-nqa4-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
[core-nqa-nqa4-nqa4-icmp-echo] source ipv6 2001:100:0:4::1
[core-nqa-nqa4-nqa4-icmp-echo] quit
[core] nqa schedule nqa4 nqa4 start-time now lifetime forever
[core] track 4 nqa entry nqa4 nqa4 reaction 1
[core-track-4] delay positive 300
[core-track-4] quit
(1) 内网流量从主出口访问外网。
内网流量虚拟机ping外网出口1的外网资源11.1.1.1/11::1,可以ping通,且在防火墙fwgwcontext2101上看到会话信息。
(2) 防火墙下行口Down掉。
将防火墙FW1,FW2下行口全部Down掉, border1, border2的上track 211状态更新为Negative,router2101下的静态默认路由失效, border3,border4上的默认静态路由生效,流量切换备出口且在防火墙fwgwcontext2102上看到会话信息。
(3) 防火墙下行口恢复UP,上行口Down掉。
恢复防火墙FW1, FW2下行口为UP,流量从备出口切回主出口。
将防火墙FW1, FW2上行口全部Down掉,则防火墙的下行口会跟随Down掉,border1,border2的上track 211状态更新为Negative,router2101下的静态默认路由失效,border3,border4上的默认静态路由生效,流量切换到备出口。
(4) 防火墙上行口恢复UP,Border和Core之间的聚合口Down掉
恢复防火墙FW1,FW2上行口为UP,则防火墙的上行口会跟随UP,流量从备出口切回主出口。将border1,border2和外网Core设备的聚合口Down掉,则流量切换备出口。
本章需配置如下虚拟链路层网络及子网。
|
虚拟链路层网络名称 |
Segment ID |
子网名称 |
IP版本 |
启用DHCP |
子网网段 |
网关IP |
|
network2102 |
2082 |
subnetv4-2102 |
IPv4 |
否 |
11.21.2.0/24 |
11.21.2.1 |
|
subnetv6-2102 |
IPv6 |
否 |
2001:11:21:2::/64 |
2001:11:21:2::1 |
下面以配置虚拟层网络network2102、IPv4子网subnetv4-2102为例。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟链路层网络]页面,单击<增加>按钮,进入增加虚拟链路层网络页面。
(2) 在该页面进行以下配置:
¡ 名称:network2102。
¡ 类型:VXLAN。
¡ Segment ID:2082。
图7-37 增加虚拟链路层网络
(3) 在“子网”页签中,单击<增加>按钮,在弹出的对话框中进行以下配置:
¡ IP版本:IPv4。
¡ 启用DHCP:关闭。
¡ 名称:subnetv4-2102。
¡ 子网网段:11.21.2.0/24。
¡ 网关IP:11.21.2.1。
图7-38 增加IPv4子网
图7-39 增加IPv6子网
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面,单击<增加>按钮,进入增加虚拟路由器页面。
(2) 在该页面进行如下配置:
¡ 名称:router2102。
¡ Segment ID:11082。
(3) 在“外部网络”页签下,外网出口设备选择“边界设备”。
图7-40 增加虚拟路由器
(4) “子网”页签下,单击<增加>按钮,在弹出的对话框中选择已增加的子网subnetv4-2102和subnetv6-2102。选择完成后单击<应用>按钮。
表7-10 增加IPv4和IPv6子网
(5) 单击<应用>按钮,完成虚拟路由器的增加操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器>虚拟路由器]页面,单击虚拟路由器router2102“网关资源”区段的链接。
(2) 在弹出的对话框中配置选择出口网关gw1、gw2,IPv4优先级和IPv6优先级不用填写。
图7-41 绑定网关资源
(3) 单击<应用>按钮,完成网关资源的绑定操作。
本章需配置如下2个IPv4子网、2个IPv6子网和2个网络分段,具体配置如下表所示。
表7-11 网络分段配置信息
|
名称 |
Segment ID |
出口网关 |
|
exnetwork2102_seg1 |
4005 |
gw1 |
|
exnetwork2102_seg2 |
4006 |
gw2 |
表7-12 子网配置信息
|
外部网络名称 |
子网 |
名称 |
子网网段 |
网关IP |
关联网络分段 |
|
exnetwork2102 |
IPv4子网 |
v4exsubnet5 |
100.0.5.0/24 |
100.0.5.1 |
exnetwork2102_seg1 |
|
v4exsubnet6 |
100.0.6.0/24 |
100.0.6.1 |
exnetwork2102_seg2 |
||
|
IPv6子网 |
v6exsubnet5 |
2001:100:0:5::/64 |
2001:100:0:5::1 |
exnetwork2102_seg1 |
|
|
v6exsubnet6 |
2001:100:0:6::/64 |
2001:100:0:6::1 |
exnetwork2102_seg2 |
下面以配置网络分段exnetwork2102_seg1、IPv4子网v4exsubnet5、IPv6子网v6exsubnet5为例进行配置。
(2) 进入[自动化>数据中心网络>公共网络设置>外部网络]页面。
(3) 单击<增加>按钮,进入增加外部网络页面,在该页面进行如下配置。
¡ 名称:exnetwork2102。
¡ 类型:VLAN。不同类型会下发不同配置,以VLAN为例。
¡ 网络分段:选择“开启”。在弹出的对话框中配置如下参数:
- 名称:exnetwork2102_seg1。
- Segment ID:4005。
- 出口网关:gw1。
图7-42 增加外网网络开启网络分段
(4) 在“网络分段”页签下,单击<增加>按钮,再增加一个网络分段exnetwork2102_seg2。
图7-43 增加网络分段
(5) 在“IPv4子网”页签下,单击<增加>按钮,在弹出的对话框中配置如下参数。
¡ 名称:v4exsubnet5。
¡ 子网网段:100.0.5.0/24。
¡ 网关IP:100.0.5.1。
¡ 网络分段:exnetwork2102_seg1。
¡ 其他参数以使用缺省配置为例。
(6) 单击<应用>按钮,完成IPv4子网的增加操作。
表7-13 增加IPv4子网v4exsubnet5
图7-44 增加多个IPv4子网
(7) 在“IPv6子网”页签下,单击<增加>按钮,在弹出的对话框中配置如下参数。
¡ 名称:v6exsubnet5。
¡ 子网网段:2001:100:0:5::/64。
¡ 网关IP:2001:100:0:5::1。
¡ 网络分段:exnetwork2102_seg1。
¡ 其他参数以使用缺省配置为例。
(8) 单击<应用>按钮,完成IPv6子网的增加操作。
图7-45 增加IPv6子网v6exsubnet5
图7-46 增加多个IPv6子网
(9) 所有配置完成后,单击增加外部网络页面的<应用>按钮,完成外部网络的增加操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router2102操作区段的
按钮进入修改虚拟路由器页面。
(3) 单击“外部网络”页签,配置如下参数:
a. 外部网络:选择外部网络exnetwork2102。
b. 单击<绑定IPv4外网子网>按钮,在弹出的对话框中绑定IPv4外网子网v4exsubnet5,v4exsubnet6,且可以配置外部网络的优先级,分别为2和1。
c. 单击<绑定IPv6外网子网>按钮,在弹出的对话框中绑定IPv6外网子网v6exsubnet5,v6exsubnet6,且可以配置外部网络的优先级,分别为2和1。
优先级数值越大,优先级越高
(4) 单击<应用>按钮,完成虚拟路由器的修改操作。
图7-47 绑定外部网络
本章需配置如下NQA策略。
表7-14 NQA策略配置
|
NQA策略名称 |
NQA策略配置 |
Track号 |
|
v4nqa213 |
手动 |
213 |
|
v4nqa214 |
手动 |
214 |
|
v6nqa213 |
手动 |
213 |
|
v6nqa214 |
手动 |
214 |
下面以配置NQA策略v4nqa213为例。
(2) 进入[自动化>数据中心网络>公共策略>NQA策略]页面。
(3) 单击<增加>按钮,在弹出的增加NQA策略对话框中,配置如下参数。
¡ 名称:v4nqa213。
¡ NQA策略配置:手动。
¡ Track号:213。
图7-48 增加NQA策略
(4) 单击<应用>按钮,完成增加NQA策略的操作。
(1) 进入[自动化>数据中心网络>公共网络设置>外部网络]页面。
(2) 单击外部网络exnetwork2102“操作”区段的
按钮,进入修改外部网络页面。
(3) 在“IPv4子网”页签下,单击子网v4exsubnet5“操作”区段的
按钮,在弹出的对话框中配置如下参数:
¡ NQA策略:v4nqa213。
(4) 单击<应用>按钮,完成NQA策略的绑定操作。
(5) 重复上述步骤,为IPv4子网v4exsubnet6绑定NQA策略v4nqa214。
图7-49 IPv4外部网络绑定NQA策略成功
(1) 进入[自动化>数据中心网络>公共网络设置>外部网络]页面。
(2) 单击外部网络exnetwork2102“操作”区段的
按钮,进入修改外部网络页面。
(3) 在“IPv6子网”页签下,单击子网v6exsubnet5“操作”区段的
按钮,在弹出的对话框中配置如下参数:
¡ NQA策略:v6nqa213。。
(4) 单击<应用>按钮,完成NQA策略的绑定操作。
(5) 重复上述步骤,为IPv6子网v6exsubnet6绑定NQA策略v6nqa214。
图7-50 IPv6外部网络绑定NQA策略成功
ip route-static vpn-instance tenant1_router2102_11082 0.0.0.0 0 vpn-instance external_vpn_4005 100.0.5.1 track 213 preference 254 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2102_11082 :: 0 vpn-instance external_vpn_4005 2001:100:0:5::1 track 213 preference 254 description SDN_ROUTE
#
interface Vlan-interface4005
description SDN_VLAN_Interface_4005
ip binding vpn-instance external_vpn_4005
ip address 100.0.5.2 255.255.255.0 sub
mac-address 3c8c-404e-dd46
ipv6 address 2001:100:0:5::2/64
#
ip route-static vpn-instance tenant1_router2102_11082 0.0.0.0 0 vpn-instance external_vpn_4006 100.0.6.1 track 214 preference 255 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2102_11082 :: 0 vpn-instance external_vpn_4006 2001:100:0:6::1 track 214 preference 255 description SDN_ROUTE
#
interface Vlan-interface4006
description SDN_VLAN_Interface_4006
ip binding vpn-instance external_vpn_4006
ip address 100.0.6.2 255.255.255.0 sub
mac-address 3c8c-404e-dd46
ipv6 address 2001:100:0:6::2/64
#
将Track和Border、Core互联的聚合口状态做联动,当出端口聚合口Down,Track状态变为negative,路由将被撤销。
· Border1
手工配置
[border1] track 213 interface Bridge-Aggregation10 physical
· Border2
手工配置
[border2] track 213 interface Bridge-Aggregation10 physical
· Border3
手工配置
[border3] track 214 interface Bridge-Aggregation11 physical
· Border4
手工配置
[border4] track 214 interface Bridge-Aggregation11 physical
配置外网资源(19.1.1.1/19::1),网关地址以及目的到Border设备的LoopBack0口的静态路由。
[core] interface LoopBack0
[core-LoopBack0] ip address 19.1.1.1 24
[core-LoopBack0] ipv6 address 19::1 64
[core] vlan 4005
[core-vlan5] quit
[core]interface Vlan-interface4005
[core-Vlan-interface4005] ip address 100.0.5.1 255.255.255.0
[core-Vlan-interface4005] ipv6 address 2001:100:0:5::1 64
[core-Vlan-interface4005] quit
[core] vlan 4006
[core-vlan4006] quit
[core] interface Vlan-interface4006
[core-Vlan-interface4006] ip address 100.0.6.1 255.255.255.0
[core-Vlan-interface4006] ipv6 address 2001:100:0:6::1 64
[core-Vlan-interface4006] quit
配置Core和border1,border2的聚合口放行VLAN
[core] interface Bridge-Aggregation 10
[core-Bridge-Aggregation10] port trunk permit vlan 4005
[core-Bridge-Aggregation10] quit
配置Core和border3,border4的聚合口放行VLAN。
[core] interface Bridge-Aggregation 11
[core-Bridge-Aggregation11] port trunk permit vlan 4006
[core-Bridge-Aggregation11] quit
去往内网的回程路由。
[core] ip route-static 11.21.1.0 24 100.0.5.2 track 10
[core] ip route-static 11.21.1.0 24 100.0.6.2 track 11 preference 61
[core] ipv6 route-static 2001:11:21:2:: 64 2001:100:0:5::2 track 10
[core] ipv6 route-static 2001:11:21:2:: 64 2001:100:0:6::2 track 11 preference 61
[core] track 10 interface Bridge-Aggregation10 physical
[core] track 11 interface Bridge-Aggregation11 physical
当高优先级链路故障(Border到Core不可达)时,相关Track状态的更新为Negative,此时高优先级出口路由失效,备出口路由生效,查看生效路由表,原高优先级出口的路由已失效。
在单Fabric单组Border组网中,旁挂一组防火墙。组网中存在两个出口,两个出口流量均可经过防火墙,也可以一个出口流量经防火墙、另一个出口流量通过直通外网方式访问外网。以上两种场景均可通过vRouter下绑定vPort方式来实现。
根据vRouter的外网出口设备和vPort的防火墙配置的不同,有四种组合场景:
表8-1 vRouter的外网出口设备和vPort的防火墙配置组合表
|
场景 |
默认出口绑定外部网络 |
明细出口绑定vPort |
|
默认出口流量和明细出口流量都经过防火墙 |
外网出口设备:防火墙 SNAT:开启 |
防火墙:开启 SNAT:开启 |
|
默认出口流量经过防火墙,明细出口流量直通外网 |
外网出口设备:防火墙 SNAT:关闭 |
防火墙:关闭 SNAT:关闭 |
|
默认出口流量和明细出口流量都直通外网 |
外网出口设备:边界设备 SNAT:关闭 |
防火墙:关闭 SNAT:关闭 |
|
默认出口流量直通,明细出口流量经过防火墙 |
外网出口设备:边界设备 SNAT:关闭 |
防火墙:开启 SNAT:关闭 |
本章节以虚拟路由器外网出口设备的类型均为防火墙、两个出口流量都经过防火墙为例进行配置。其中基本配置步骤Underlay网络基础配置~增加路由表各场景基本一致,两个出口同时过防火墙配置及之后配置步骤各参数适用于举例场景,其他场景请按照实际需求进行配置。
图8-2 组网图
设备之间连接关系如下表所示。
表8-2 组网中IP及接口说明
|
设备 |
用途 |
管理IP地址 |
业务IP地址及接口 |
|
Border1 |
EVPN边界设备 |
192.168.11.8 |
Loopback0 10.1.1.8/32 HGE4/0/1(连接Border2 HGE4/0/1) HGE4/0/2(连接Border2 HGE4/0/2) XGE6/0/48(连接Border2 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/3) HGE4/0/4(连接Spine2 HGE1/0/3) 与FW的接口连接关系如下表所示 |
|
Border2 |
EVPN边界设备 |
192.168.11.9 |
Loopback0 10.1.1.9/32 HGE4/0/1(连接Border1 HGE4/0/1) HGE4/0/2(连接Border1 HGE4/0/2) XGE6/0/48(连接Border1 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/4) HGE4/0/4(连接Spine2 HGE1/0/4) 与FW的接口连接关系如下表所示 |
|
Spine1 |
Underlay物理设备 |
192.168.11.2 |
Loopback0 10.1.1.2/32 HGE1/0/3(连接Border1 HGE4/0/3) HGE1/0/4(连接Border2 HGE4/0/3) HGE1/0/5(连接Leaf1 HGE1/0/25) HGE1/0/6(连接Leaf2 HGE1/0/25) HGE1/0/7(连接Leaf3 HGE1/0/27) HGE1/0/8(连接Leaf4 HGE1/0/27) |
|
Spine2 |
Underlay物理设备 |
192.168.11.3 |
Loopback0 10.1.1.3/32 HGE1/0/3(连接Border1 HGE4/0/4) HGE1/0/4(连接Border2 HGE4/0/4) HGE1/0/5(连接Leaf1 HGE1/0/27) HGE1/0/6(连接Leaf2 HGE1/0/27) HGE1/0/7(连接Leaf3 HGE1/0/25) HGE1/0/8(连接Leaf4 HGE1/0/25) |
|
Leaf1 |
EVPN接入设备 |
192.168.11.4 |
Loopback0 10.1.1.4/32 XGE1/0/9(连接Leaf2 XGE1/0/9) HGE1/0/29(连接Leaf2 HGE1/0/29) HGE1/0/30(连接Leaf2 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/5) HGE1/0/27(连接Spine2 HGE1/0/5) |
|
Leaf2 |
EVPN接入设备 |
192.168.11.5 |
Loopback0 10.1.1.5/32 XGE1/0/9(连接Leaf1 XGE1/0/9) HGE1/0/29(连接Leaf1 HGE1/0/29) HGE1/0/30(连接Leaf1 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/6) HGE1/0/27(连接Spine2 HGE1/0/6) |
|
Leaf3 |
EVPN接入设备 |
192.168.11.6 |
Loopback0 10.1.1.6/32 XGE1/0/9(连接Leaf4 XGE1/0/9) HGE1/0/29(连接Leaf4 HGE1/0/29) HGE1/0/30(连接Leaf4 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/7) HGE1/0/27(连接Spine2 HGE1/0/8) |
|
Leaf4 |
EVPN接入设备 |
192.168.11.7 |
Loopback0 10.1.1.7/32 XGE1/0/9(连接Leaf3 XGE1/0/9) HGE1/0/29(连接Leaf3 HGE1/0/29) HGE1/0/30(连接Leaf3 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/9) HGE1/0/27(连接Spine2 HGE1/0/10) |
|
FW1 |
防火墙设备 |
192.168.11.101 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW2) XGE2/0/16加入RAGG64(连接FW2) 与Border的接口连接关系如下表所示 |
|
FW2 |
防火墙设备 |
192.168.11.102 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW2) XGE2/0/16加入RAGG64(连接FW2) 与Border的接口连接关系如下表所示 |
Border与FW之间的业务接口连接关系如下表所示。
表8-3 Border与FW间业务接口连接关系
|
FW |
Border |
|
下行接口: FW1 XGE2/0/3加入RAGG2 FW1 XGE2/0/4加入RAGG2 上行接口: FW1 XGE2/0/5加入RAGG4 FW1 XGE2/0/6加入RAGG4 |
下行接口: Border1 XGE6/0/1加入BAGG2 MLAG Group2 Border2 XGE6/0/1加入BAGG2 MLAG Group2 上行接口: Border1 XGE6/0/2加入BAGG4 MLAG Group4 Border2 XGE6/0/2加入BAGG4 MLAG Group4 |
|
下行接口: FW2 XGE2/0/3加入RAGG2 FW2 XGE2/0/4加入RAGG2 上行接口: FW2 XGE2/0/5加入RAGG4 FW2 XGE2/0/6加入RAGG4 |
下行接口: Border1 XGE6/0/5加入BAGG3 MLAG Group3 Border2 XGE6/0/5加入BAGG3 MLAG Group3 上行接口: Border1 XGE6/0/6加入BAGG5 MLAG Group5 Border2 XGE6/0/6加入BAGG5MLAG Group5 |
本组网中Spine和Border为12500G,Leaf为S6850,如果存在其他设备类型请自行规划。另外,接口连接关系也仅供参考,实际组网请自行规划。
表8-4 资源规划
|
配置项 |
配置示例 |
说明 |
|
|
物理设备管理网 |
· 192.168.11.0/24 · 网关:192.168.11.1 |
|
|
|
Fabric |
· 名称:fabric1 · AS号:100 |
|
|
|
VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
|
|
IP地址池 |
租户承载负载分担内网 |
· 名称:租户承载负载分担内网1 · 地址段: ¡ 10.50.1.0/24 · 默认地址池:不勾选 |
在RBM组网中,一个虚拟路由器的LB业务占用2个IPv4地址,掩码为31位,占用2个IPv6地址,前缀长度为127 |
|
租户承载防火墙内网 |
· 名称:租户承载防火墙内网1 · 地址段: ¡ 10.60.1.0/24 · 默认地址池:不勾选 |
在RBM组网中,一个虚拟路由器的FW业务占用2个IPv4地址,掩码为31位,占用2个IPv6地址,前缀长度为127 |
|
|
虚拟管理网络 |
· 名称:虚拟管理网络1 · 地址段:192.168.10.2/24-192.168.10.100/24 · 网关地址:192.168.10.1 · 默认地址池:不勾选 |
在RBM组网中,主备VFW Context各占用1个IPv4地址 |
|
|
VLAN池 |
租户承载网VLAN池 |
· 名称:租户承载网vlan1 · VLAN范围:500-999 · 默认VLAN池:不勾选 |
在RBM组网中,一个虚拟路由器的FW业务,占用1一个VLAN资源,一个虚拟路由器的LB业务,占用1个VLAN ID资源 |
|
L4-L7设备组IP地址池 |
· 地址段:88.1.0.1—88.1.254.254 · 地址段:2000::88:1:0:1--2000::88:1:254:254 |
用于在RBM组网中分配VRRP实地址 上行口:一组VRRP占用2个IPV4地址,掩码为31位,占用2个IPV6地址,前缀长度为127 下行口:一组VRRP占用2个IPV4地址,掩码为31位,占用2个IPV6地址,前缀长度为127 |
|
|
L4-L7设备组Pv6链路本地地址池 |
· 地址段:FE80:88:0:8::1- FE80::88:1:0:1--FE80::88:1:254:254 |
在RBM组网中,为接口分配Link-Local虚地址 上行口:占用2个IPv6地址 下行口:占用2个IPv6地址 |
|
|
外部网络1 |
· 名称:exnetwork2501 · 网络分段:不开启 · 类型:VLAN · Segment ID:4012 · IPv4子网名称和地址,网关: ¡ v4exsubnet12 ¡ 100.0.12.0/24 ¡ 100.0.12.1 ¡ v6exsubnet12 ¡ 2001:100:0:12::/64 ¡ 2001:100:0:12::1 |
|
|
|
外部网络2 |
· 名称:exnetwork2502 · 网络分段:不开启 · 类型:VLAN · Segment ID:4013 · IPv4子网名称和地址,网关: ¡ v4exsubnet13 ¡ 100.0.13.0/24 ¡ 100.0.13.1 ¡ v6exsubnet13 ¡ 2001:100:0:13::/64 ¡ 2001:100:0:13::1 |
|
|
|
虚拟端口地址 |
· 名称:vport1 · 地址:100.0.13.5和2001:100:0:13::5 |
|
|
|
浮动IP地址 |
· 100.0.12.100 · 100.0.13.100 |
|
|
|
外网出口业务 |
· Internet1:16.1.1.0/24,16::/64 · Internet2:17.1.1.0/24,17::/64 |
|
|
图8-3 流程图
请配置并纳管组网中的交换设备,详细信息请参见《AD-DC 6.5 Underlay网络配置指导》。
请根据《AD-DC 6.5 安全服务资源配置指导》中对应设备型号的服务网关章节配置步骤,完成物理安全设备的基础配置。
参见章节“控制组件基础配置”的配置步骤,完成以下基础配置:
表8-5 控制组件基础配置
|
配置项 |
配置示例 |
说明 |
||
|
增加Fabric |
· 基础配置 ¡ 名称:fabric1 ¡ AS号:100 · 高级配置 ¡ 未知单播报文抑制:勾选 ¡ 未知组播报文抑制:勾选 ¡ 广播报文抑制:勾选 |
|
||
|
配置VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
||
|
配置全局参数 |
· 启用IPv6:开启 · 交换设备下发安全策略流表:关闭 · VRF名称生成方式:按规则生成 |
|
||
|
增加IP地址池 |
租户承载负载分担内网 |
· 名称:租户承载负载分担内网1 · 地址段: ¡ 10.50.1.0/24 ¡ 2001::10:50:1: /112 · 默认地址池:不勾选 |
|
|
|
租户承载防火墙内网 |
· 名称:租户承载防火墙内网1 · 地址段: ¡ 10.60.1.0/24 ¡ 2001::10:60:1:/112 · 默认地址池:不勾选 |
|
||
|
虚拟管理网络 |
· 名称:虚拟管理网络1 · 地址段: ¡ 192.168.10.2/24-192.168.10.100/24 · 网关地址: ¡ 192.168.10.1 · 默认地址池:不勾选 |
|
||
|
增加VLAN池 |
租户承载网VLAN池 |
· 名称:租户承载网vlan1 · VLAN范围:500-999 · 默认VLAN池:不勾选 |
|
|
|
增加设备组 |
· 名称:bdgroup1 · 所属Fabric:fabric1 · 网络位置:出口网关 · HA部署模式:M-LAG · 连接方式:VLAN跨网段 · 防火墙接入模式:直连 · 地址池列表:租户负载分担内网1,租户承载防火墙内网1,虚拟管理网1 · VLAN池列表:租户承载网vlan1 · 设备组成员:border1,border2 |
网络位置、远端设备组、防火墙业务和连接方式四个参数在增加完后无法修改。其中防火墙业务和网络位置影响后续Fabric扩容,请做好规划后再配置 |
||
|
增加L4-L7设备 |
· 名称:FW1 · 厂商:H3C · 管理IP:192.168.11.101 |
|
||
|
· 名称:FW2 · 厂商:H3C · 管理IP:192.168.11.102 |
|
|||
|
增加L4-L7设备组和地址池 |
增加 L4-L7设备组 |
· 名称:FWgroup1 · 包含设备:FW1,FW2 |
|
|
|
配置IP地址池 |
· 地址段:88.1.0.1—88.1.254.254 · 地址段:2000::88:1:0:1--2000::88:1:254:254 |
|
||
|
配置IPv6链路本地地址池 |
· 地址段:FE80::88:1:0:1-FE80::88:1:254:254 |
|
||
|
增加VLAN-VXLAN映射 |
· 名称:map1 · VLAN-VXLAN映射关系: ¡ 名称:map2501 ¡ VLAN起始值:2097 ¡ VXLAN起始值:2097 ¡ 映射区间宽度:4 ¡ 接入模式:VLAN · 应用到接口:应用到组网中Server-Leaf连接Server的所有聚合接口上 |
应用到接口前,需在[自动化>数据中心网络>设备资源>物理设备>配置下行口>配置下行口[XXX]]页面将接口配置为下行口 |
||
|
增加租户 |
· 名称:publictenant1 · 名称:tenant1 · VDS名称:VDS1 |
|
||
(1) 进入[自动化>数据中心网络>资源池>设备资源>L4-L7物理资源池]页面,单击<增加>按钮,进入增加L4-L7物理资源池页面。在该页面中进行以下配置:
¡ 名称:FWpool1。
¡ 服务类型:选择“FW”。
¡ 设备资源:勾选已增加的FW设备组FWgroup1。
图8-4 增加FW资源池FWpool1
(2) 单击配置模板区段的
按钮,进入L4-L7物理资源池模板配置页面。单击<增加模板>按钮,在弹出的对话框中进行以下配置:
¡ 名称:FWtemp1。
¡ 类型:选择“设备组FW资源”。
¡ 接口设置:根据组网规划,选择管理接口、下行接口和上行接口。
(3) 单击<应用>完成模板增加操作。
图8-5 增加防火墙资源池的模板FWtemp1
(4) 单击<应用>完成物理资源池的增加操作。
(5) 模板配置完后,单击配置模板的详情,可查看模板的配置信息。
(1) 进入[自动化>数据中心网络>公共网络设置>出口网关]页面。
(2) 单击<增加>按钮进入增加出口网关页面,在该页面进行如下配置:
¡ 名称:gw1。
¡ 共享网关:选择“关闭”。
图8-6 增加出口网关gw1
¡ 单击<增加出口网关成员>按钮,在弹出的对话框中进行如下配置,配置完成后单击<应用>按钮。
- 名称:gw1member。
- 所属Fabric:fabric1。
- 设备组:bdgroup1。
- 优先级:1。
- 服务资源:FWpool1。
图8-7 增加出口网关成员gw1member
(3) 单击<应用>按钮完成增加出口网关的操作。
分别进入修改publictenant1租户和tenant1租户页面,进行绑定网关资源的操作。
publictenant1租户绑定出口网关
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(2) 单击租户publictenant1操作栏的
按钮,进入修改租户页面。
(3) 在分配网关资源区域单击<增加>按钮在弹出的对话框中进行如下配置:
¡ 选择已增加的出口网关gw1。
¡ 默认网关不选择。
(4) 单击<应用>按钮完成租户绑定出口网关的操作。
图8-8 公共租户下publictenant1下绑定网关资源
tenant1租户绑定出口网关
(5) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(6) 单击租户tenant1操作栏的
按钮,进入修改租户页面。
(7) 在分配网关资源区域单击<增加>按钮在弹出的对话框中进行如下配置:
¡ 选择已增加的出口网关gw1。
¡ 默认网关不选择。
(8) 单击<应用>按钮完成租户绑定出口网关的操作。
图8-9 普通租户tenant1下绑定网关资源
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(2) 单击租户publictenant1操作栏的
按钮,进入修改租户页面。
(3) 在分配服务资源区域进行如下参数配置。
¡ 资源类型:选择“服务资源”。
(4) 单击<增加>按钮,进入增加服务资源页面,该页面的参数配置如下。
¡ 资源名称:pubfwcontext1。
¡ 使用场景:选择“服务网关”。
¡ 服务类型:选择“虚拟防火墙(VFW)”。
¡ 网关成员:gw1-gw1member。
¡ 资源来源:L4-L7物理资源池。
¡ 资源池名称:FWpool1。
(5) 单击<应用>按钮完成增加VFW服务资源的操作。
图8-10 publictenant1下增加VFW服务资源
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(2) 单击指定租户tenant1操作栏的
按钮,进入修改租户页面。
(3) 在分配服务资源区域进行如下参数配置。
¡ 资源类型:选择“服务资源”。
(4) 单击<增加>按钮,进入增加服务资源页面,该页面的参数配置如下。
¡ 资源名称:fwgwcontext2501。
¡ 使用场景:选择“服务网关”。
¡ 服务类型:选择“虚拟防火墙(VFW)”。
¡ 资源分配方式:复用已创建资源。
¡ 网关成员:gw1_gw1member
¡ 租户:publictenant1。
¡ 资源类型:NGFW_GW_SERVICE。
¡ 服务资源:pubfwcontext1。
(5) 单击<应用>按钮完成增加VFW服务资源的操作。
图8-11 tenant1复用VFW服务资源
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面,单击租户tenant1名称,进入租户tenant1的虚拟链路层网络页面。
(2) 单击<增加>按钮进入增加虚拟链路层页面,在该页面进行如下配置。
¡ 基础配置。
- 名称:network2501。
- 类型:VXLAN。
- Segment ID:2097。
图8-12 增加虚拟链路层网络
¡ 增加IPv4子网:“子网”页签下单击<增加>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
- IP版本:IPv4。
- 名称:subnetv4-2501。
- 子网网段:11.25.1.0/24。
- 网关IP:11.25.1.1。
图8-13 增加IPv4子网
¡ 增加IPv6子网:“子网”页签下单击<增加>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
- IP版本:IPv6。
- 名称:subnetv6-2501。
- 子网网段:2001:11:25:1::/64。
- 网关IP:2001:11:25:1::1。
图8-14 增加IPv6子网
(3) 单击<应用>按钮完成虚拟链路层网络的增加操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击<增加>按钮进入增加虚拟路由器页面,在该页面进行如下配置:
¡ 名称:router2501。
¡ Segment ID:11097。
¡ “子网”页签下单击<增加>按钮,在弹出的对话框中选择已增加的子网subnetv4-2501和subnetv6-2501。选择完成后单击<应用>按钮。
图8-15 虚拟路由器绑定子网
¡ “外部网络”页签下外网出口设备选择防火墙。
图8-16 外网出口设备选择防火墙
(3) 单击<应用>按钮完成增加虚拟路由器的操作。
进入[自动化>数据中心网络>公共网络设置>外部网络]页面,分别增加两个外部网络,各参数配置请参见下表。
|
外部网络名称 |
子网名称 |
子网网段 |
网关IP |
|
exnetwork2501 |
v4exsubnet12 |
100.0.12.0/24 |
100.0.12.1 |
|
v6exsubnet12 |
2001:100:0:12::/64 |
2001:100:0:12::1 |
|
|
exnetwork2502 |
v4exsubnet13 |
100.0.13.0/24 |
100.0.13.1 |
|
v6exsubnet13 |
2001:100:0:13::/64 |
2001:100:0:13::1 |
下面以增加外部网络exnetwork2501为例进行配置。
(2) 进入[自动化>数据中心网络>公共网络设置>外部网络]页面。
(3) 单击<增加>按钮,进入增加外部网络页面,在该页面进行如下配置:
¡ 名称:exnetwork2501。
¡ 网络分段:关闭。
¡ 类型:VLAN。不同类型会下发不同配置,以VLAN为例。
¡ Segment ID:4012。
图8-17 增加外部网络
¡ 单击“IPv4子网”页签,单击<增加>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
- 名称:v4exsubnet12。
- 网段:100.0.12.0/24。
- 网关:100.0.12.1。
图8-18 增加IPv4子网
¡ 单击“IPv6子网”页签,单击<增加>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
- 名称:v6exsubnet12。
- 子网网段:2001:100:0:12::/64。
- 网关:2001:100:0:12::1。
图8-19 配置IPv6子网
(4) 单击<应用>按钮完成增加外部网络exnetwork2501的操作。
(5) 按照上述的方式再创建exnetwork2502以及子网。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟端口>虚拟端口]页面。
(2) 单击<增加>按钮,进入增加虚拟端口页面,在该页面配置如下参数:
¡ 名称:vport1。
¡ 虚拟链路层网络:选择exnetwork2502。
¡ IP地址:100.0.13.5和2001:100:0:13::5。
图8-20 增加虚拟端口
(1) 进入[自动化>数据中心网络>公共网络设置>路由表]页面,单击<增加>按钮,进入增加路由表页面。
(2) 在该页面配置如下参数:
¡ 名称:routetable2501。
¡ 租户:tenant1。
¡ 虚拟路由器:选择“router2501”。
图8-21 增加路由表
(3) 单击<增加路由表项>按钮,在弹出的对话框中新增如下两个路由表项:
|
路由表 |
目的网段 |
下一跳类型 |
下一跳IP地址 |
优先级 |
|
1 |
17::/64 |
IPv6 |
2001:100:0:13::1 |
/ |
|
2 |
17.1.1.0/24 |
IPv4 |
100.0.13.1 |
/ |
图8-22 增加IPv4路由表
图8-23 增加IPv6路由表
(4) 单击<应用>按钮完成增加路由表的操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击router2501的“网关”超链接,在弹出的对话框中绑定已增加的非共享型出口网关gw1。
图8-24 虚拟路由器router2501绑定出口网关
(3) 单击<应用>按钮完成虚拟路由器绑定出口网关的操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击router2501的“VFW,VLB”超链接,在弹出的对话框中绑定已增加的防火墙服务资源fwgwcontext2501。
图8-25 虚拟路由器router2501绑定VFW
(3) 单击<应用>按钮完成虚拟路由器绑定L4-L7服务资源的操作。
进入[自动化>数据中心网络>公共服务设置>浮动IP]页面,增加两个浮动IP,各参数配置请参见下表。
表8-7 浮动IP参数配置表
|
序号 |
外部网络 |
子网 |
浮动IP |
|
1 |
exnetwork2501 |
v4exsubnet12 |
100.0.12.100 |
|
2 |
exnetwork2502 |
v4exsubnet13 |
100.0.13.100 |
下面以增加第一个浮动IP为例进行配置。
(2) 进入[自动化>数据中心网络>公共服务设置>浮动IP]页面。
(3) 单击<增加>按钮,在弹出的对话框中配置如下参数:
¡ 外部网络:exnetwork2501。
¡ 子网:v4exsubnet12。
¡ 浮动IP:100.0.12.100。
(4) 单击<应用>按钮完成增加浮动IP的操作。
图8-26 增加浮动IP
图8-27 浮动IP列表
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router2501操作栏的
按钮进入修改虚拟路由器页面。
(3) 单击“外部网络”页签,配置如下参数:
a. 外部网络:选择exnetwork2501。
b. SNAT:选择“开启”。
c. 单击<绑定IPv4外网子网>按钮,绑定IPv4子网v4exsubnet12。
d. 单击<绑定IPv6外网子网>按钮,绑定IPv6子网v6exsubnet12。
(4) 单击<应用>按钮完成虚拟路由器绑定外部网络的操作。
图8-28 虚拟路由器绑定外部网络
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router2501操作栏的
按钮进入修改虚拟路由器页面。
(3) 单击“虚拟端口”页签后单击<增加>按钮,在弹出的对话框中选择vport1,选择完成后单击<应用>按钮。
图8-29 虚拟路由器绑定虚拟端口
(4) 单击虚拟端口vport1操作栏的
按钮,在弹出的对话框中修改如下参数:
¡ SNAT:选择“开启”。
¡ 防火墙:选择“开启”。
图8-30 修改外网虚拟端口
(5) 单击<应用>按钮完成虚拟路由器绑定虚拟端口的操作。
请确保虚拟机已经上线。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟端口>虚拟端口]页面,单击虚拟机上线的虚拟端口操作栏
按钮,进入修改虚拟端口页面。
(2) 在“浮动IP”页签下单击<增加>按钮,选择浮动IP:100.0.12.100和100.0.13.100。
(3) 单击<应用>按钮,将两个浮动IP绑定在该虚拟端口下。
图8-31 虚拟端口绑定浮动IP
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router2501操作栏的
按钮进入修改虚拟路由器页面。
(3) 单击“路由信息”页签,绑定路由表routetable2501。
(4) 单击<应用>按钮完成虚拟路由器绑定路由表的操作。
图8-32 虚拟路由器绑定路由表
增加防火墙前需先进行增加规则、策略绑定并激活规则后,再进行增加防火墙的操作。具体的规则、策略及防火墙配置如下表所示。
表8-8 防火墙规划
|
防火墙名称 |
使用场景 |
防火墙绑定的资源 |
入/出方向策略名称 |
入/出方向策略引用的规则名称 |
服务 |
动作 |
|
fw2501 |
服务网关 |
虚拟路由器router2501 |
policy2501 |
v4rule2501、v6rule2501 |
协议;所有 |
允许 |
(2) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略]页面,单击“规则”页签,进入规则页面,单击<增加规则>按钮,在弹出的对话框中配置规则相关参数:
创建IPv4规则,配置以下参数,完成后单击<应用>按钮保存配置。
¡ 名称:v4rule2501。
¡ IP版本:IPv4。
¡ 服务:协议——所有。
¡ 动作:允许。
¡ 其余参数保持默认值。
图8-33 增加IPv4规则
创建IPv6规则,配置以下参数,完成后单击<应用>按钮保存配置。
¡ 名称:v6rule2501。
¡ IP版本:IPv6。
¡ 服务:协议——所有。
¡ 动作:允许。
¡ 其余参数保持默认值。
图8-34 增加IPv6规则
(3) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略]页面,单击“策略”页签,进入策略页面,单击<增加策略>按钮,在弹出的对话框中配置策略相关参数:
¡ 名称:policy2501。
¡ 激活:勾选激活。
图8-35 增加策略
(4) 单击策略policy2501规则栏的超链接,进入绑定规则页面,在该页面进行如下配置:
¡ 绑定已创建的v4rule2501和v6rule2501规则。
¡ 激活:勾选激活。
图8-36 单击规则栏的超链接
图8-37 绑定规则
(5) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙]页面,单击<增加防火墙>按钮,进入增加防火墙页面,在该页面配置如下参数:
¡ 名称:fw2501。
¡ 使用场景:服务网关。
¡ 入方向安全策略:policy2501。
¡ 出方向策略:policy2501。
¡ 安全域/资源:虚拟路由器router2501。
图8-38 增加防火墙
(6) 单击<应用>按钮,完成增加防火墙的操作。
(1) border1和border2上下发:
ip route-static vpn-instance tenant1_router2501_11097 0.0.0.0 0 10.60.1.5 description SDN_ROUTE
ip route-static vpn-instance tenant1_router2501_11097 17.1.1.0 24 10.60.1.5 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2501_11097 :: 0 2001::10:60:1:4 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2501_11097 17:: 64 2001::10:60:1:4 description SDN_ROUTE
(2) 防火墙fwgwcontext2501上下发:
#
nat address-group 0 name SDN_ADDR_tenant1_router2501_11097
address 100.0.12.2 100.0.12.2
vrrp vrid 13
#
nat address-group 1 name SDN_ADDR_100_0_13_5_4013
address 100.0.13.5 100.0.13.5
vrrp vrid 13
#
ip route-static vpn-instance tenant1_router2501_11097 0.0.0.0 0 vpn-instance external_vpn_4012 100.0.12.1 description SDN_ROUTE
ip route-static vpn-instance tenant1_router2501_11097 11.25.1.0 24 10.60.1.4 description SDN_ROUTE
ip route-static vpn-instance tenant1_router2501_11097 17.1.1.0 24 vpn-instance external_vpn_4013 100.0.13.1 description SDN_ROUTE
ip route-static vpn-instance external_vpn_4012 0.0.0.0 0 100.0.12.1 description SDN_ROUTE
ip route-static vpn-instance external_vpn_4013 0.0.0.0 0 100.0.13.1 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2501_11097 :: 0 vpn-instance external_vpn_4012 2001:100:0:12::1 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2501_11097 17:: 64 vpn-instance external_vpn_4013 2001:100:0:13::1 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router2501_11097 2001:11:25:1:: 64 2001::10:60:1:5 description SDN_ROUTE
ipv6 route-static vpn-instance external_vpn_4012 :: 0 2001:100:0:12::1 description SDN_ROUTE
ipv6 route-static vpn-instance external_vpn_4012 2001:11:25:1:: 64 vpn-instance tenant1_router2501_11097 2001::10:60:1:5 description SDN_ROUTE
ipv6 route-static vpn-instance external_vpn_4013 :: 0 2001:100:0:13::1 description SDN_ROUTE
ipv6 route-static vpn-instance external_vpn_4013 2001:11:25:1:: 64 vpn-instance tenant1_router2501_11097 2001::10:60:1:5 description SDN_ROUTE
#
虚拟机(11.25.1.3和2001:11:25:1::3)访问出口1的外网业务(16.1.1.1和16::1),访问外网出口2的外网业务(17.1.1.1和17::1)都能访问成功,且在防火墙墙可看到会话信息。
在单Fabric单组Border组网中,旁挂一组防火墙和一组LB。组网中存在两个出口,一个出口流量过防火墙、另一个出口流量不过防火墙,二者形成主备关系。以上两种场景均通过vRouter下绑定vPort方式来实现。
根据vRouter的外网出口设备和vPort的防火墙配置的不同,有四种组合场景,如下表所示:
表9-1 vRouter的外网出口设备和vPort的防火墙配置组合表
|
场景 |
vRouter的外网出口设备 |
vPort防火墙 |
SNAT |
|
主出口流量过防火墙,备出口流量直通外网 |
防火墙 |
关闭 |
关闭 |
|
主出口流量过防火墙和LB,备出口流量过LB直通外网 |
防火墙 |
关闭 |
关闭 |
|
主出口流量过防火墙,备出口流量直通外网 |
边界设备 |
开启 |
关闭 |
|
主出口流量过防火墙和LB,备出口流量过LB直通外网 |
边界设备 |
开启 |
关闭 |
本章节以虚拟路由器外网出口设备的类型为防火墙、主出口流量过防火墙和LB,备出口流量过LB直通外网为例进行配置。其中基本配置步骤Underlay网络基础配置~增加路由表各场景基本一致,主出口过防火墙备出口直通配置及之后配置步骤各参数适用于举例场景,其他场景请按照实际需求进行配置。
图9-2 组网图
设备之间连接关系如下表所示。
表9-2 组网中IP及接口说明
|
设备 |
用途 |
管理IP地址 |
业务IP地址及接口 |
|
Border1 |
EVPN边界设备 |
192.168.11.8 |
Loopback0 10.1.1.8/32 HGE4/0/1(连接Border2 HGE4/0/1) HGE4/0/2(连接Border2 HGE4/0/2) XGE6/0/48(连接Border2 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/3) HGE4/0/4(连接Spine2 HGE1/0/3) 与FW的接口连接关系如表9-3所示 与LB的接口连接关系如表9-4所示 |
|
Border2 |
EVPN边界设备 |
192.168.11.9 |
Loopback0 10.1.1.9/32 HGE4/0/1(连接Border1 HGE4/0/1) HGE4/0/2(连接Border1 HGE4/0/2) XGE6/0/48(连接Border1 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/4) HGE4/0/4(连接Spine2 HGE1/0/4) 与FW的接口连接关系如表9-3所示 与LB的接口连接关系如表9-4所示 |
|
Spine1 |
Underlay物理设备 |
192.168.11.2 |
Loopback0 10.1.1.2/32 HGE1/0/3(连接Border1 HGE4/0/3) HGE1/0/4(连接Border2 HGE4/0/3) HGE1/0/5(连接Leaf1 HGE1/0/25) HGE1/0/6(连接Leaf2 HGE1/0/25) HGE1/0/7(连接Leaf3 HGE1/0/27) HGE1/0/8(连接Leaf4 HGE1/0/27) |
|
Spine2 |
Underlay物理设备 |
192.168.11.3 |
Loopback0 10.1.1.3/32 HGE1/0/3(连接Border1 HGE4/0/4) HGE1/0/4(连接Border2 HGE4/0/4) HGE1/0/5(连接Leaf1 HGE1/0/27) HGE1/0/6(连接Leaf2 HGE1/0/27) HGE1/0/7(连接Leaf3 HGE1/0/25) HGE1/0/8(连接Leaf4 HGE1/0/25) |
|
Leaf1 |
EVPN接入设备 |
192.168.11.4 |
Loopback0 10.1.1.4/32 XGE1/0/9(连接Leaf2 XGE1/0/9) HGE1/0/29(连接Leaf2 HGE1/0/29) HGE1/0/30(连接Leaf2 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/5) HGE1/0/27(连接Spine2 HGE1/0/5) |
|
Leaf2 |
EVPN接入设备 |
192.168.11.5 |
Loopback0 10.1.1.5/32 XGE1/0/9(连接Leaf1 XGE1/0/9) HGE1/0/29(连接Leaf1 HGE1/0/29) HGE1/0/30(连接Leaf1 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/6) HGE1/0/27(连接Spine2 HGE1/0/6) |
|
Leaf3 |
EVPN接入设备 |
192.168.11.6 |
Loopback0 10.1.1.6/32 XGE1/0/9(连接Leaf4 XGE1/0/9) HGE1/0/29(连接Leaf4 HGE1/0/29) HGE1/0/30(连接Leaf4 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/7) HGE1/0/27(连接Spine2 HGE1/0/8) |
|
Leaf4 |
EVPN接入设备 |
192.168.11.7 |
Loopback0 10.1.1.7/32 XGE1/0/9(连接Leaf3 XGE1/0/9) HGE1/0/29(连接Leaf3 HGE1/0/29) HGE1/0/30(连接Leaf3 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/9) HGE1/0/27(连接Spine2 HGE1/0/10) |
|
FW1 |
防火墙设备 |
192.168.11.101 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW2) XGE2/0/16加入RAGG64(连接FW2) 与Border的接口连接关系如表9-3所示 |
|
FW2 |
防火墙设备 |
192.168.11.102 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW2) XGE2/0/16加入RAGG64(连接FW2) 与Border的接口连接关系如表9-3所示 |
|
LB1 |
LB设备 |
192.168.11.103 |
虚拟设备管理接口: XGE1/0/1加入RAGG1(连接管理交换机) XGE1/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE10/3加入RAGG64(连接LB2) XGE1/0/4加入RAGG64 (连接LB2) 与Border的接口连接关系如表9-4所示 |
|
LB2 |
LB设备 |
192.168.11.104 |
虚拟设备管理接口: XGE1/0/1加入RAGG1(连接管理交换机) XGE1/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE1/0/3加入RAGG64(连接LB1) XGE1/0/4加入RAGG64(连接LB1) 与Border的接口连接关系如表9-4所示 |
Border与FW之间的业务接口连接关系如下表所示。
表9-3 Border与FW间业务接口连接关系
|
FW |
Border |
|
下行接口: FW1 XGE2/0/3加入RAGG2 FW1 XGE2/0/4加入RAGG2 上行接口: FW1 XGE2/0/5加入RAGG4 FW1 XGE2/0/6加入RAGG4 |
下行接口: Border1 XGE6/0/1加入BAGG2 M-LAG2 Border2 XGE6/0/1加入BAGG2 M-LAG2 上行接口: Border1 XGE6/0/2加入BAGG4 M-LAG4 Border2 XGE6/0/2加入BAGG4 M-LAG4 |
|
下行接口: FW2 XGE2/0/3加入RAGG2 FW2 XGE2/0/4加入RAGG2 上行接口: FW2 XGE2/0/5加入RAGG4 FW2 XGE2/0/6加入RAGG4 |
下行接口: Border1 XGE6/0/5加入BAGG3 M-LAG3 Border2 XGE6/0/5加入BAGG3 M-LAG3 上行接口: Border1 XGE6/0/6加入BAGG5 M-LAG5 Border2 XGE6/0/6加入BAGG5 M-LAG5 |
Border与LB之间的业务接口连接关系如下表所示。
表9-4 Border与LB之间的业务接口连接关系
|
LB |
Border |
|
LB1 XGE2/0/3加入RAGG2,(连接border1 XGE6/0/11) LB1 XGE2/0/4加入RAGG2,(连接border2 XGE6/0/11) |
Border1 XGE6/0/11加入BAGG11 M-LAG11 Border2 XGE6/0/11加入BAGG11 M-LAG11 |
|
LB2 XGE2/0/3加入RAGG2,(连接border1 XGE6/0/12) LB2 XGE2/0/4加入RAGG2,(连接border2 XGE6/0/12) |
Border1 XGE6/0/12加入BAGG12 M-LAG12 Border2 XGE6/0/12加入BAGG12 M-LAG12 |
本组网中Spine和Border为12500G,Leaf为S6850,如果存在其他设备类型请自行规划。另外,接口连接关系也仅供参考,实际组网请自行规划。
表9-5 资源规划
|
配置项 |
配置示例 |
说明 |
|
|
物理设备管理网 |
· 192.168.11.0/24 · 网关:192.168.11.1 |
|
|
|
Fabric |
· 名称:fabric1 · AS号:100 |
|
|
|
VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
|
|
IP地址池 |
租户承载负载分担内网 |
· 名称:租户承载负载分担内网1 · 地址段: ¡ 10.50.1.0/24 ¡ 2001::10:50:1: /112 · 默认地址池:不勾选 |
在RBM组网中,一个虚拟路由器的LB业务占用2个IPv4地址,掩码为31位,占用2个IPv6地址,前缀长度为127 |
|
租户承载防火墙内网 |
· 名称:租户承载防火墙内网1 · 地址段: ¡ 10.60.1.0/24 ¡ 2001::10:60:1:/112 · 默认地址池:不勾选 |
在RBM组网中,一个虚拟路由器的FW业务占用2个IPv4地址,掩码为31位,占用2个IPv6地址,前缀长度为127 |
|
|
虚拟管理网络 |
· 名称:虚拟管理网络1 · 地址段:192.168.10.2/24-192.168.10.100/24 · 网关地址:192.168.10.1 · 默认地址池:不勾选 |
在RBM组网中,主备VFW Context各占用1个IPv4地址 |
|
|
VLAN池 |
租户承载网VLAN池 |
· 名称:租户承载网vlan1 · VLAN范围:500-999 · 默认VLAN池:不勾选 |
在RBM组网中,一个虚拟路由器的FW业务,占用1一个VLAN资源,一个虚拟路由器的LB业务,占用1个VLAN ID资源 |
|
L4-L7设备组IP地址池 |
· 地址段:88.1.0.1—88.1.254.254 · 地址段:2000::88:1:0:1--2000::88:1:254:254 |
用于在RBM组网中分配VRRP实地址 上行口:一组VRRP占用2个IPv4地址,掩码为31位,占用2个IPv6地址,前缀长度为127 下行口:一组VRRP占用2个IPv4地址,掩码为31位,占用2个IPv6地址,前缀长度为127 |
|
|
L4-L7设备组Pv6链路本地地址池 |
· 地址段:FE80:88:0:8::1- FE80::88:1:0:1--FE80::88:1:254:254 |
在RBM组网中,为接口分配Link-Local虚地址 上行口:占用2个IPv6地址 下行口:占用2个IPv6地址 |
|
|
外部网络1 |
· 名称:exnetwork4501 · 网络分段:不开启 · 类型:VLAN · Segment ID:4012 · IPv4子网名称和地址,网关: ¡ v4exsubnet12 ¡ 100.0.12.0/24 ¡ 100.0.12.1 ¡ v6exsubnet12 ¡ 2001:100:0:12::/64 ¡ 2001:100:0:12::1 |
|
|
|
外部网络2 |
· 名称:exnetwork4502 · 网络分段:不开启 · 类型:VLAN · Segment ID:4013 · IPv4子网名称和地址,网关: ¡ v4exsubnet13 ¡ 100.0.13.0/24 ¡ 100.0.13.1 ¡ v6exsubnet13 ¡ 2001:100:0:13::/64 ¡ 2001:100:0:13::1 |
|
|
|
虚拟端口地址 |
· 名称:vport1 · 地址:100.0.13.5和2001:100:0:13::5 |
|
|
|
外网出口业务 |
· Internet1:16.1.1.0/24,16::/64 |
|
|
图9-3 流程图
请配置并纳管组网中的交换设备,详细信息请参见《AD-DC 6.5 Underlay网络配置指导》。
请根据《AD-DC 6.5 安全服务资源配置指导》中对应设备型号的服务网关章节配置步骤,完成物理安全设备的基础配置。
参见章节“控制组件基础配置”的配置步骤,完成以下基础配置:
表9-6 控制组件基础配置
|
配置项 |
配置示例 |
说明 |
||
|
增加Fabric |
· 基础配置 ¡ 名称:fabric1 ¡ AS号:100 · 高级配置 ¡ 未知单播报文抑制:勾选 ¡ 未知组播报文抑制:勾选 ¡ 广播报文抑制:勾选 |
|
||
|
配置VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
||
|
配置全局参数 |
· 启用IPv6:开启 · 交换设备下发安全策略流表:关闭 · VRF名称生成方式:按规则生成 |
|
||
|
增加IP地址池 |
租户承载负载分担内网 |
· 名称:租户承载负载分担内网1 · 地址段: ¡ 10.50.1.0/24 ¡ 2001::10:50:1: /112 · 默认地址池:不勾选 |
|
|
|
租户承载防火墙内网 |
· 名称:租户承载防火墙内网1 · 地址段: ¡ 10.60.1.0/24 ¡ 2001::10:60:1:/112 · 默认地址池:不勾选 |
|
||
|
虚拟管理网络 |
· 名称:虚拟管理网络1 · 地址段: ¡ 192.168.10.2/24-192.168.10.100/24 · 网关地址: ¡ 192.168.10.1 · 默认地址池:不勾选 |
|
||
|
增加VLAN池 |
租户承载网VLAN池 |
· 名称:租户承载网vlan1 · VLAN范围:500-999 · 默认VLAN池:不勾选 |
|
|
|
增加设备组 |
· 名称:bdgroup1 · 所属Fabric:fabric1 · 网络位置:出口网关 · HA部署模式:M-LAG · 连接方式:VLAN跨网段 · 防火墙接入模式:直连 · 地址池列表:租户负载分担内网1,租户承载防火墙内网1,虚拟管理网1 · VLAN池列表:租户承载网vlan1 · 设备组成员:border1,border2 |
网络位置、远端设备组、防火墙业务和连接方式四个参数在增加完后无法修改。其中防火墙业务和网络位置影响后续Fabric扩容,请做好规划后再配置 |
||
|
增加L4-L7设备 |
· 名称:FW1 · 厂商:H3C · 管理IP:192.168.11.101 |
|
||
|
· 名称:FW2 · 厂商:H3C · 管理IP:192.168.11.102 |
|
|||
|
增加L4-L7设备组和地址池 |
增加 L4-L7设备组 |
· 名称:FWgroup1 · 包含设备:FW1,FW2 |
|
|
|
配置IP地址池 |
· 地址段:88.1.0.1—88.1.254.254 · 地址段:2000::88:1:0:1--2000::88:1:254:254 |
|
||
|
配置IPv6链路本地地址池 |
· 地址段:FE80::88:1:0:1-FE80::88:1:254:254 |
|
||
|
增加VLAN-VXLAN映射 |
· 名称:map1 · VLAN-VXLAN映射关系: ¡ 名称:map2501 ¡ VLAN起始值:2097 ¡ VXLAN起始值:2097 ¡ 映射区间宽度:4 ¡ 接入模式:VLAN · 应用到接口:应用到组网中Server-Leaf连接Server的所有聚合接口上 |
|
||
|
增加租户 |
· 名称:publictenant1 · 名称:tenant1 · VDS名称:VDS1 |
|
||
表9-7 物理资源池及模板列表
|
资源池名称 |
服务类型 |
对应的设备组名称 |
资源池模板名称 |
|
FWpool1 |
FW |
FWgroup1 |
FWtempt1 |
|
LBpool1 |
LB |
LBgroup1 |
LBtempt1 |
以创建FWpool1,FWgroup1,FWtempt1为例。
(2) 进入[自动化>数据中心网络>资源池>设备资源>L4-L7物理资源池]页面,单击<增加>按钮,进入增加L4-L7物理资源池页面。在该页面中进行以下配置:
¡ 名称:FWpool1。
¡ 服务类型:选择“FW”。
¡ 设备资源:勾选已增加的FW设备组FWgroup1。
图9-4 增加FW资源池FWpool1
(3) 单击配置模板区段的
按钮,进入L4-L7物理资源池模板配置页面。单击<增加模板>按钮,在弹出的对话框中进行以下配置:
¡ 名称:FWtemp1。
¡ 类型:选择“设备组FW资源”。
¡ 接口设置:根据组网规划,选择管理接口、下行接口和上行接口。
(4) 单击<应用>完成模板增加操作。
图9-5 增加防火墙资源池的模板FWtemp1
(5) 单击<应用>完成物理资源池的增加操作。
(6) 模板配置完后,单击配置模板的详情,可查看模板的配置信息。
(1) 进入[自动化>数据中心网络>公共网络设置>出口网关]页面。
(2) 单击<增加>按钮进入增加出口网关页面,在该页面进行如下配置:
¡ 名称:gw1。
¡ 共享网关:选择“开启”。
图9-6 增加出口网关gw1
¡ 单击<增加出口网关成员>按钮,在弹出的对话框中进行如下配置,配置完成后单击<应用>按钮。
- 名称:gw1member。
- 所属Fabric:fabric1。
- 设备组:bdgroup1。
- 优先级:1。
- 服务资源:FWpool1,LBpool1。
图9-7 增加出口网关成员gw1member
(3) 单击<应用>按钮完成增加出口网关的操作。
分别进入修改publictenant1租户和tenant1租户页面,进行绑定网关资源的操作。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(2) 单击租户publictenant1操作栏的
按钮,进入修改租户页面。
(3) 在分配网关资源区域单击<增加>按钮在弹出的对话框中进行如下配置:
¡ 选择已增加的出口网关gw1。
¡ 默认网关不选择。
(4) 单击<应用>按钮完成租户绑定出口网关的操作。
图9-8 公共租户下publictenant1下绑定网关资源
(5) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(6) 单击租户tenant1操作栏的
按钮,进入修改租户页面。
(7) 在分配网关资源区域单击<增加>按钮在弹出的对话框中进行如下配置:
¡ 选择已增加的出口网关gw1。
¡ 默认网关不选择。
(8) 单击<应用>按钮完成租户绑定出口网关的操作。
图9-9 普通租户tenant1下绑定网关资源
本节需配置如下服务资源,其中,VLB服务资源请根据需求选择是否需要配置。
表9-8 服务资源
|
服务资源名称 |
使用场景 |
服务类型 |
网关成员 |
资源来源 |
资源池名称 |
|
pubfwcontext1 |
服务网关 |
虚拟防火墙(VFW) |
gw1-gw1member1 |
L4-L7物理资源池 |
FWpool1 |
|
publbcontext1 |
服务网关 |
虚拟负载均衡(VLB) |
gw1-gw1member1 |
L4-L7物理资源池 |
LBpool1 |
配置步骤如下:
(2) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(3) 单击指定租户publictenant1操作栏的
按钮,进入修改租户页面。
(4) 在分配服务资源区域进行如下参数配置。
¡ 资源类型:选择“服务资源”。
图9-10 分配服务资源
(5) 单击<增加>按钮,进入增加服务资源页面,该页面的参数配置如下。
¡ 资源名称:pubfwcontext1。
¡ 使用场景:选择“服务网关”。
¡ 服务类型:选择“虚拟防火墙(VFW)”。
¡ 网关成员:gw1-gw1member1。
¡ 资源池名称:FWpool1。
图9-11 创建第一个VFW服务资源
(6) 配置完成后单击<应用>按钮。
(7) (可选)若需使用LB服务,则在增加服务资源页面配置VLB服务资源,否则以下步骤可以忽略。
¡ 资源名称:publbcontext1。
¡ 使用场景:选择“服务网关”。
¡ 服务类型:选择“虚拟负载均衡(VLB)”。
¡ 网关成员:gw1-gw1member1。
¡ 资源池名称:LBpool1。
图9-12 增加第1个VLB服务资源
(8) 配置完成后单击<应用>按钮。
(9) 配置完成后单击<应用>按钮完成租户下分配服务资源的操作。
普通租户tenant1可复用公共租户publictenant1的VFW资源。本节需配置如下服务资源,其中,VLB服务资源请根据需求选择是否需要配置。
表9-9 服务资源
|
服务资源名称 |
使用场景 |
服务类型 |
资源分配方式 |
网关成员 |
租户 |
资源类型 |
服务资源 |
|
fwgwcontext4501 |
服务网关 |
虚拟防火墙(VFW) |
复用已创建资源 |
gw1-gw1member1 |
publictenant1 |
NGFW_GW_SERVICE |
pubfwcontext1 |
|
lbgwcontext4501 |
服务网关 |
虚拟负载均衡(VLB) |
复用已创建资源 |
gw1-gw1member1 |
publictenant1 |
NGFW_GW_SERVICE |
publbcontext1 |
配置步骤如下:
(2) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(3) 单击租户tenant1操作栏的
按钮,进入修改租户页面。
(4) 在分配服务资源区域进行如下参数配置。
¡ 资源类型:选择“服务资源”。
¡ 单击<增加>按钮,进入增加服务资源页面,该页面的配置VFW服务资源fwgwcontext4501。
- 资源名称:fwgwcontext4501。
- 使用场景:选择“服务网关”。
- 服务类型:选择“虚拟防火墙(VFW)”。
- 资源分配方式:选择“复用已创建资源”。
- 网关成员:gw1-gw1member1。
- 租户:publictenant1。
- 资源类型:NGFW_GW_SERVICE。
- 服务资源:pubfwcontext1。
- 配置完成后单击<应用>按钮。
图9-13 配置VFW服务资源fwgwcontext4501
¡ (可选)若需使用LB服务,则在增加服务资源页面配置VLB服务资源,否则以下步骤可以忽略。
- 资源名称:lbgwcontext4501。
- 使用场景:选择“服务网关”。
- 服务类型:选择“虚拟负载均衡(VLB)”。
- 资源分配方式:选择“复用已创建资源”。
- 网关成员:gw1-gw1member1。
- 租户:publictenant1。
- 资源类型:NGFW_GW_SERVICE。
- 服务资源:publbcontext1。
图9-14 配置VLB服务资源lbgwcontext4501
(5) 配置完成后单击<应用>按钮。
(6) 配置完成后单击<应用>按钮完成租户下分配服务资源的操作。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面,单击租户tenant1名称,进入租户tenant1的虚拟链路层网络页面。
(2) 单击<增加>按钮进入增加虚拟链路层页面,在该页面进行如下配置。
¡ 基础配置。
- 名称:network4501。
- 类型:VXLAN。
- Segment ID:2177。
图9-15 增加虚拟链路层网络
¡ 增加IPv4子网:“子网”页签下单击<增加>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
- IP版本:IPv4。
- 名称:subnetv4-4501。
- 子网网段:11.45.1.0/24。
- 网关IP:11.45.1.1。
图9-16 增加IPv4子网
¡ 增加IPv6子网:“子网”页签下单击<增加>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
- IP版本:IPv6。
- 名称:subnetv6-4501。
- 子网网段:2001:11:45:1::/64。
- 网关IP:2001:11:45:1::1。
图9-17 增加IPv6子网
(3) 单击<应用>按钮完成虚拟链路层网络的增加操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击<增加>按钮进入增加虚拟路由器页面,在该页面进行如下配置:
¡ 名称:router4501。
¡ Segment ID:11177。
¡ “子网”页签下单击<增加>按钮,在弹出的对话框中选择已增加的子网subnetv4-4501和subnetv6-4501。选择完成后单击<应用>按钮。
图9-18 虚拟路由器绑定子网
¡ “外部网络”页签下外网出口设备选择防火墙。
图9-19 外网出口设备选择防火墙
(3) 单击<应用>按钮完成增加虚拟路由器的操作。
分别增加两个外部网络,各参数配置请参见下表。
|
外部网络名称 |
子网名称 |
子网网段 |
网关IP |
|
exnetwork4501 |
v4exsubnet12 |
100.0.12.0/24 |
100.0.12.1 |
|
v6exsubnet12 |
2001:100:0:12::/64 |
2001:100:0:12::1 |
|
|
exnetwork4502 |
v4exsubnet13 |
100.0.13.0/24 |
100.0.13.1 |
|
v6exsubnet13 |
2001:100:0:13::/64 |
2001:100:0:13::1 |
下面以增加外部网络exnetwork4501为例进行配置。
(2) 进入[自动化>数据中心网络>公共网络设置>外部网络]页面。
(3) 单击<增加>按钮,进入增加外部网络页面,在该页面进行如下配置:
¡ 名称:exnetwork4501。
¡ 网络分段:关闭。
¡ 类型:VLAN。不同类型会下发不同配置,以VLAN为例。
¡ Segment ID:4012。
图9-20 增加外部网络
¡ 单击“IPv4子网”页签,单击<增加>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
- 名称:v4exsubnet12。
- 网段:100.0.12.0/24。
- 网关:100.0.12.1。
图9-21 增加IPv4子网
¡ 单击“IPv6子网”页签,单击<增加>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
- 名称:v6exsubnet12。
- 子网网段:2001:100:0:12::/64。
- 网关:2001:100:0:12::1。
图9-22 配置IPv6子网
(4) 单击<应用>按钮完成增加外部网络exnetwork4501的操作。
(5) 按照上述的方式再创建exnetwork4502以及子网。
需要配置两个虚拟端口vport1和vport2。
表9-11 虚拟端口参数配置表
|
名称 |
外部网络 |
IP地址 |
备注 |
|
vport1 |
exnetwork4501 |
100.0.12.5和2001:100:0:12::5 |
FW出口 |
|
vport2 |
exnetwork4502 |
100.0.13.5和2001:100:0:13::5 |
直通逃生出口 |
下面以配置虚拟端口vport1为例。
(2) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟端口>虚拟端口]页面。
(3) 单击<增加>按钮,进入增加虚拟端口页面,在该页面配置如下参数:
¡ 名称:vport1。
¡ 外部网络:选择exnetwork4501。
¡ IP地址:100.0.12.5和2001:100:0:12::5。
图9-23 增加虚拟端口
(1) 进入[自动化>数据中心网络>公共网络设置>路由表]页面,单击<增加>按钮,进入增加路由表页面。
(2) 在该页面配置如下参数:
¡ 名称:routetable4501。
¡ 租户:tenant1。
¡ 虚拟路由器:选择“router4501”。
图9-24 增加路由表
(3) 单击<增加路由表项>按钮,在弹出的对话框中新增如下4个路由表项:
表9-12 路由表项参数配置
|
路由表 |
目的网段 |
下一跳类型 |
下一跳IP地址 |
优先级 |
|
1 |
::/0 |
IPv6 |
2001:100:0:12::1 |
100 |
|
2 |
0.0.0.0/0 |
IPv4 |
100.0.12.1 |
100 |
|
3 |
::/0 |
IPv6 |
2001:100:0:13::1 |
101 |
|
4 |
0.0.0.0/0 |
IPv4 |
100.0.13.1 |
101 |
需注意优先级数值越低优先级越高,现网请根据实际业务需求自行分配。下面以单个IPv4、IPv6路由表举例。
图9-25 增加IPv4路由表
图9-26 增加IPv6路由表
(4) 单击<应用>按钮完成增加路由表的操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击router4501的“网关”超链接,在弹出的对话框中绑定已增加的共享型出口网关gw1。
图9-27 虚拟路由器router4501绑定出口网关
(3) 单击<应用>按钮完成虚拟路由器绑定出口网关的操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击router4501的“VFW,VLB”超链接,在弹出的对话框中绑定已增加的防火墙服务资源fwgwcontext4501,LB服务资源根据实际需求进行绑定。
图9-28 虚拟路由器router4501绑定VFW和VLB
(3) 单击<应用>按钮完成虚拟路由器绑定L4-L7服务资源的操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router4501操作栏的
按钮进入修改虚拟路由器页面。
(3) 单击“虚拟端口”页签后单击<增加>按钮,在弹出的对话框中选择vport1,选择完成后单击<应用>按钮。
图9-29 虚拟路由器绑定虚拟端口
(4) 单击虚拟端口vport1操作栏的
按钮,在弹出的对话框中修改如下参数:
¡ 防火墙:选择“关闭”。
图9-30 修改外网虚拟端口
(5) 单击<应用>按钮完成虚拟路由器绑定虚拟端口的操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router4501操作栏的
按钮进入修改虚拟路由器页面。
(3) 单击“路由信息”页签,绑定路由表routetable4501。
(4) 单击<应用>按钮完成虚拟路由器绑定路由表的操作。
图9-31 虚拟路由器绑定路由表
增加防火墙前需先进行增加规则、策略绑定并激活规则后,再进行增加防火墙的操作。具体的规则、策略及防火墙配置如下表所示。
表9-13 防火墙规划
|
防火墙名称 |
使用场景 |
防火墙绑定的资源 |
入/出方向策略名称 |
入/出方向策略引用的规则名称 |
服务 |
动作 |
|
fw4501 |
服务网关 |
虚拟路由器router4501 |
policy4501 |
v4rule4501、v6rule4501 |
协议;所有 |
允许 |
(2) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略]页面,单击“规则”页签,进入规则页面,单击<增加规则>按钮,在弹出的对话框中配置规则相关参数:
创建IPv4规则,配置以下参数,完成后单击<应用>按钮保存配置。
¡ 名称:v4rule4501。
¡ IP版本:IPv4。
¡ 服务:协议——所有。
¡ 动作:允许。
¡ 其余参数保持默认值。
图9-32 增加IPv4规则
创建IPv6规则,配置以下参数,完成后单击<应用>按钮保存配置。
¡ 名称:v6rule4501。
¡ IP版本:IPv6。
¡ 服务:协议——所有。
¡ 动作:允许。
¡ 其余参数保持默认值。
图9-33 增加IPv6规则
(3) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略]页面,单击“策略”页签,进入策略页面,单击<增加策略>按钮,在弹出的对话框中配置策略相关参数:
¡ 名称:policy4501。
¡ 激活:勾选激活。
图9-34 增加策略
(4) 单击策略policy4501规则栏的超链接,进入绑定规则页面,在该页面进行如下配置:
¡ 绑定已创建的v4rule4501和v6rule4501规则。
¡ 激活:勾选激活。
图9-35 单击规则栏的超链接
图9-36 绑定规则
(5) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙]页面,单击<增加防火墙>按钮,进入增加防火墙页面,在该页面配置如下参数:
¡ 名称:fw4501。
¡ 使用场景:服务网关。
¡ 入方向安全策略:policy4501。
¡ 出方向策略:policy4501。
¡ 安全域/资源:虚拟路由器router4501。
图9-37 增加防火墙
(6) 单击<应用>按钮,完成增加防火墙的操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>负载均衡>健康检测]页面。
(2) 单击<增加>按钮,在弹出的对话框中配置健康检测相关参数:
¡ 名称:health4501。
¡ 检测类型:选择“PING”。
¡ 延迟时间:自定义该时间,以10s为例。
¡ 超时时间:自定义该时间,以30s为例。
¡ 连续探测失败次数:自定义该次数,以3为例。
¡ 连续探测成功次数:自定义该次数,以3为例。
图9-38 增加健康检测
(3) 单击<应用>按钮完成增加健康检测的操作。
在实服务组页面新增1个实服务组,具体参数配置如下表所示。
表9-14 实服务组参数配置
|
名称 |
健康检测 |
成员IP版本 |
所属子网 |
协议端口 |
已选服务组成员 |
说明 |
|
realserver4501 |
health4501 |
IPv4 |
subnetv4-4501 |
22 |
11.45.1.101 (network4501) |
请确保指定IPv4子网中存在已上线的虚拟端口 |
具体配置步骤如下:
(4) 进入[自动化>数据中心网络>租户[tenant1]的网络>负载均衡>实服务组]页面。
(5) 单击<增加>按钮,进入增加实服务组页面,在该页面配置如下参数:
¡ 基本设置:
- 名称:realserver4501。
- 负载均衡方式保持默认即可。
¡ 在健康检测区域将可选健康检测health4501移至已选健康检检测表格中。
图9-39 增加实服务组realserver4501
¡ 在实服务组成员区域单击<增加>按钮,在弹出的对话框中进行如下配置:
- IP版本:选择IPv4。
- 所属子网:选择subnetv4-4501。
- 协议端口:根据实际填写,以22为例(SSH协议的端口号)。
- 其余参数保持默认。
请确保指定IPv4子网中存在已上线的虚拟端口。
图9-40 增加IPv4实服务组成员
- 将可选服务组成员表格中对应成员移至已选服务组成员表格中。
- 单击<应用>按钮,完成增加IPv4实服务组成员的操作。
(6) 单击增加实服务组页面的<应用>按钮,完成增加实服务组的操作。
虚服务器IP可以和实服务器IP使用相同网段或者不同网段,如果使用相同网段且开启源地址转换,请确保将ARP处理模式配置为设备代理。本文以虚服务器IP和实服务器IP使用相同网段且开启源地址转换为例。
在虚服务器页面增加1个虚服务器,具体参数配置如下表所示。
表9-15 虚服务器参数配置
|
名称 |
IP版本 |
所属子网 |
服务器IP |
|
vserver4501 |
IPv4 |
subnetv4-4501 |
11.45.1.201 |
具体配置步骤如下:
(7) 进入[自动化>数据中心网络>租户[tenant1]的网络>负载均衡>虚服务器]页面。
(8) 单击<增加>按钮,在弹出的对话框中配置如下参数:
¡ 名称:vserver4501。
¡ IP版本:选择IPv4。
¡ 所属子网:选择subnetv4-4501。
¡ 服务器IP:11.45.1.201。
¡ 其余参数保持默认。
图9-41 增加虚服务器vserver4501
(9) 单击<应用>按钮,完成增加虚服务器vserver4501的操作。
在监听器页面增加1个监听器,具体参数配置如下表所示。
表9-16 监听器参数配置
|
名称 |
IP版本 |
虚服务器 |
监听协议 |
监听端口 |
实服务组 |
|
listen4501 |
IPv4 |
vserver4501 |
TCP |
22 |
realserver4501 |
具体配置步骤如下:
(10) 进入[自动化>数据中心网络>租户[tenant1]的网络>负载均衡>监听器]页面。
(11) 单击<增加>按钮,进入增加监听器页面,在该页面中配置如下参数:
¡ 名称:listen4501。
¡ IP版本:选择IPv4。
¡ 虚服务器:vserver4501。
¡ 监听协议:TCP。
¡ 监听端口:22(需和实服务组成员的协议端口保持一致)。
¡ 用户源地址转换:开启。
¡ 默认实服务组:realserver4501。
¡ 其余参数保持默认。
图9-42 增加监听器listen4501
(12) 单击增加监听器页面的<应用>按钮,完成增加监听器listen3801的操作。
在负载均衡器页面增加1个负载均衡器,具体参数配置如下表所示。
表9-17 负载均衡器参数配置
|
名称 |
使用场景 |
监听器 |
|
lb4501 |
服务网关 |
listen4501 |
具体配置步骤如下:
(13) 进入[自动化>数据中心网络>租户[tenant1]的网络>负载均衡>负载均衡器]页面。
(14) 单击<增加>按钮,进入增加负载均衡器页面,在该页面配置如下参数:
¡ 基本设置:
- 名称:lb4501。
- 使用场景:服务网关。
- 监听器:listen4501。
图9-43 负载均衡器lb4501设置
(15) 单击<应用>按钮,完成增加负载均衡器lb4501的操作。
本章需配置如下NQA策略。
表9-18 NQA策略配置
|
NQA策略名称 |
NQA策略配置 |
Track号 |
|
nqa211 |
手动 |
211 |
(2) 进入[自动化>数据中心网络>公共策略>NQA策略]页面。
(3) 单击<增加>按钮,在弹出的增加NQA策略对话框中,配置如下参数:
¡ 名称:nqa211。
¡ NQA策略配置:手动。
¡ Track号:211。
图9-44 增加NQA策略
(4) 单击<应用>按钮,完成增加NQA策略的操作。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面,单击租户tenant1“操作”区段的
按钮,进入修改租户页面。
(2) 在分配服务资源区域,单击<批量联动NQA策略>按钮,在弹出的对话框中配置如下参数:
¡ NQA策略:nqa211。
¡ 已选服务资源:fwgwcontext4501。
(3) 单击<应用>按钮,完成增加服务资源绑定NQA策略的操作。
图9-45 联动NQA策略nqa211
(1) Border1和Border2上下发:
ip route-static vpn-instance tenant1_router4501_11177 0.0.0.0 0 10.60.1.5 track 211 preference 100 description SDN_ROUTE
ip route-static vpn-instance tenant1_router4501_11177 0.0.0.0 0 vpn-instance external_vpn_4013 100.0.13.1 preference 101 description SDN_ROUTE
ip route-static vpn-instance tenant1_router4501_11177 11.45.1.201 32 10.50.1.5 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router4501_11177 :: 0 2001::10:60:1:4 track 211 preference 100 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router4501_11177 :: 0 vpn-instance external_vpn_4013 2001:100:0:13::1 preference 101 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router4501_11177 2001:11:45:1::201 128 2001::10:50:1:5 description SDN_ROUTE
(2) 防火墙fwgwcontext4501上下发:
#
ip route-static vpn-instance tenant1_router4501_11177 0.0.0.0 0 vpn-instance external_vpn_4012 100.0.12.1 preference 100 description SDN_ROUTE
ip route-static vpn-instance tenant1_router4501_11177 11.45.1.0 24 10.60.1.4 description SDN_ROUTE
ip route-static vpn-instance external_vpn_4012 11.45.1.0 24 vpn-instance tenant1_router4501_11177 10.60.1.4 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router4501_11177 :: 0 vpn-instance external_vpn_4012 2001:100:0:12::1 preference 100 description SDN_ROUTE
ipv6 route-static vpn-instance tenant1_router4501_11177 2001:11:45:1:: 64 2001::10:60:1:5 description SDN_ROUTE
ipv6 route-static vpn-instance external_vpn_4012 2001:11:45:1:: 64 vpn-instance tenant1_router4501_11177 2001::10:60:1:5 description SDN_ROUTE
#
(3) lbgwcontext4501上下发:
#
loadbalance snat-pool sdn_faa3c167-9c3e-491f-b27d-62880ccc8aec
ip range start 11.45.1.201 end 11.45.1.201
#
server-farm sdn_6fcabd4d-e55d-417e-929f-798d0c151afb
description realserver4501
fail-action reset
snat-pool sdn_faa3c167-9c3e-491f-b27d-62880ccc8aec
probe sdn_ijwt5eqqvmxglms2s35yoyamaa
#
real-server sdn_96e55374-8036-4c08-9776-28db27068b1c
ip address 11.45.1.101
port 22
weight 1
server-farm sdn_6fcabd4d-e55d-417e-929f-798d0c151afb
#
virtual-server sdn_d8ee8e7d-135d-420b-9de4-a3952bc4fc6d type http
description listen4501
vpn-instance tenant1_router4501_11177
port 22
virtual ip address 11.45.1.201
default server-farm sdn_6fcabd4d-e55d-417e-929f-798d0c151afb
route-advertisement enable
connection-sync enable
sticky-sync enable global
vrrp vrid 18 interface Route-Aggregation60.503
service enable
配置Track和聚合接口的联动。
首先创建boolean类型列表的Track项目,将ED-border连接防火墙FW1,FW2的下行口做一个track boolean or 类型,如果FW1,FW2的下行口中至少有一个对象的状态为Positive,则此Track项的状态为Positive。
再创建track boolean and 列表,该Track值和当前Border上预期下发的路由表里的Track值一致。列表里的关联对象是上述的Track状态和ED-border1连接外网出口的状态,二者状态都是Positive,那么此Track项的状态为Positive;如果有一个或多个对象的状态为Negative,那么此Track项的状态为Negative。
配置Border1连接防火墙的下行口,和Border1连接外网出口的track boolean联动。
[border1] track 10 interface Bridge-Aggregation10 physical //border1连接外网的接口
[border1] track 2 interface Bridge-Aggregation2 physical //border1连接FW1的接口
[border1] track 3 interface Bridge-Aggregation3 physical //border1连接FW2的接口
[border1] track 4 list boolean or
[border1-track-4] object 2
[border1-track-4] object 3
[border1-track-4] quit
[border1] track 211 list boolean and
[border1-track-211] delay positive 300
[border1-track-211] object 10
[border1-track-211] object 4
[border1-track-211] quit
配置Border2连接防火墙的下行口,和Border2连接外网出口的track boolean联动。
[border2] track 10 interface Bridge-Aggregation10 physical //border2连接外网的接口
[border2] track 2 interface Bridge-Aggregation2 physical //border2连接FW1的接口
[border2] track 3 interface Bridge-Aggregation3 physical //border2连接FW2的接口
[border2] track 4 list boolean or
[border2-track-4] object 2
[border2-track-4] object 3
[border2-track-4] quit
[border2] track 211 list boolean and
[border2-track-211] delay positive 300
[border2-track-211] object 10
[border2-track-211] object 4
[border2-track-211] quit
以FW1为例,将下行口Route-Aggregation2和上行口Route-Aggregation3放到一个联动组里。
RBM_P[FW1] collaboration-group 1
RBM_P[FW1] interface Route-Aggregation 2
RBM_P[FW1-Route-Aggregation2] port collaboration-group 1
RBM_P[FW1-Route-Aggregation2] quit
RBM_P[FW1] interface Route-Aggregation3
RBM_P[FW1-Route-Aggregation3] port collaboration-group 1
RBM_P[FW1-Route-Aggregation3] quit
同样的方式,将FW2、FW3、FW4的上下行口都加入联动组collaboration-group1。
在Border1和Border2上都需要配置,以Border1为例:
[border1] interface Bridge-Aggregation10
[border1-Bridge-Aggregation10] port link-type trunk
[border1-Bridge-Aggregation10] undo port trunk permit vlan 1
[border1-Bridge-Aggregation10] port trunk permit vlan 4012 4013
[border1-Bridge-Aggregation10] quit
[border1] interface Bridge-Aggregation2
[border1-Bridge-Aggregation2] port link-type trunk
[border1-Bridge-Aggregation2] undo port trunk permit vlan 1
[border1-Bridge-Aggregation2] port trunk permit vlan 4012
[border1-Bridge-Aggregation2] quit
[border1] interface Bridge-Aggregation3
[border1-Bridge-Aggregation3] port link-type trunk
[border1-Bridge-Aggregation3] undo port trunk permit vlan 1
[border1-Bridge-Aggregation3] port trunk permit vlan 4013
[border1-Bridge-Aggregation3] quit
配置外网网关。
[core] vlan 4012
[core-vlan4012] quit
[core] vlan 4013
[core-vlan4013] quit
[core] ip vpn-instance vpn1
[core-vpn-instance-vpn1] quit
[core] interface vlan 4012
[core-Vlan-interface4012] ip binding vpn-instance vpn1
[core-Vlan-interface4012] ip address 100.0.12.1 24
[core-Vlan-interface4012] ipv6 address 2001:100:0:12::1 64
[core-Vlan-interface4012] quit
[core] interface vlan 4013
[core-Vlan-interface4013] ip binding vpn-instance vpn1
[core-Vlan-interface4013] ip address 100.0.13.1 24
[core-Vlan-interface4013] ipv6 address 2001:100:0:13::1 64
[core-Vlan-interface4013] quit
[core] interface Bridge-Aggregation10
[core-Bridge-Aggregation10] port link-type trunk
[core-Bridge-Aggregation10] undo port trunk permit vlan 1
[core-Bridge-Aggregation10] port trunk permit vlan 4012 4013
[core-Bridge-Aggregation10] link-aggregation mode dynamic
[core-Bridge-Aggregation10] port link-aggregation group 10
[core-Bridge-Aggregation10] quit
配置回程路由,目的到子网内网。
[core] ip route-static vpn-instance vpn1 11.45.1.0 24 100.0.12.5 track 1
[core] ip route-static vpn-instance vpn1 11.45.1.0 24 100.0.13.5 track 2 preference 61
[core] ipv6 route-static vpn-instance vpn1 2001:11:45:: 64 2001:100:0:12::5 track 3
[core] ipv6 route-static vpn-instance vpn1 2001:11:45:: 64 2001:100:0:13::5 track 4 preference 61
在Core上配置NQA,目的是探测防火墙虚墙上外网口的地址,这么配置是为了当出现Border和防火墙互联口Down掉以后,Core上也能检测到,保证Core上的回程路由可以撤销掉。
[core] nqa entry nqa1 nqa1
[core-nqa-nqa1-nqa1] type icmp-echo
[core-nqa-nqa1-nqa1-icmp-echo] destination ip 100.0.12.5
[core-nqa-nqa1-nqa1-icmp-echo] frequency 200
[core-nqa-nqa1-nqa1-icmp-echo] probe timeout 100
[core-nqa-nqa1-nqa1-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
[core-nqa-nqa1-nqa1-icmp-echo] source ip 100.0.12.1
[core-nqa-nqa1-nqa1-icmp-echo] quit
[core] nqa schedule nqa1 nqa1 start-time now lifetime forever
[core] track 1 nqa entry nqa1 nqa1 reaction 1
[core-track-1] delay positive 300
[core-track-1] quit
[core] nqa entry nqa2 nqa2
[core-nqa-nqa2-nqa2] type icmp-echo
[core-nqa-nqa2-nqa2-icmp-echo] destination ip 100.0.13.5
[core-nqa-nqa2-nqa2-icmp-echo] frequency 200
[core-nqa-nqa2-nqa2-icmp-echo] probe timeout 100
[core-nqa-nqa2-nqa2-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
[core-nqa-nqa2-nqa2-icmp-echo] source ip 100.0.13.1
[core-nqa-nqa2-nqa2-icmp-echo] quit
[core] nqa schedule nqa2 nqa2 start-time now lifetime forever
[core] track 2 nqa entry nqa2 nqa2 reaction 1
[core-track-2] delay positive 300
[core-track-2] quit
[core] nqa entry nqa3 nqa3
[core-nqa-nqa3-nqa3] type icmp-echo
[core-nqa-nqa3-nqa3-icmp-echo] destination ipv6 2001:100:0:12::5
[core-nqa-nqa3-nqa3-icmp-echo] frequency 200
[core-nqa-nqa3-nqa3-icmp-echo] probe timeout 100
[core-nqa-nqa3-nqa3-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
[core-nqa-nqa3-nqa3-icmp-echo] source ipv6 2001:100:0:12::1
[core-nqa-nqa3-nqa3-icmp-echo] quit
[core] nqa schedule nqa3 nqa3 start-time now lifetime forever
[core] track 3 nqa entry nqa3 nqa3 reaction 1
[core-track-3] delay positive 300
[core-track-3] quit
[core] nqa entry nqa4 nqa4
[core-nqa-nqa4-nqa4] type icmp-echo
[core-nqa-nqa4-nqa4-icmp-echo] destination ipv6 2001:100:0:13::5
[core-nqa-nqa4-nqa4-icmp-echo] frequency 200
[core-nqa-nqa4-nqa4-icmp-echo] probe timeout 100
[core-nqa-nqa4-nqa4-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
[core-nqa-nqa4-nqa4-icmp-echo] source ipv6 2001:100:0:13::1
[core-nqa-nqa4-nqa4-icmp-echo] quit
[core] nqa schedule nqa4 nqa4 start-time now lifetime forever
[core] track 4 nqa entry nqa4 nqa4 reaction 1
[core-track-4] delay positive 300
[core-track-4] quit
外网设备ssh虚服务IP(11.45.1.201)可以访问内网虚机11.45.1.101,且在防火墙和LB上可看到会话信息。
图10-1 组网图
在单Fabric场景中,通过Service Leaf接入防火墙,内网流量通过南北向服务链使用Border上的默认路由访问第一个出口,通过明细路由访问第二个出口。
各设备的管理地址和VTEP地址如下表所示。
表10-1 组网中IP及接口说明
|
设备 |
用途 |
管理IP地址 |
业务IP地址及接口 |
|
Border1 |
EVPN边界设备 |
192.168.11.8 |
Loopback0 10.1.1.8/32 HGE4/0/1(连接Border2 HGE4/0/1) HGE4/0/2(连接Border2 HGE4/0/2) XGE6/0/48(连接Border2 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/3) HGE4/0/4(连接Spine2 HGE1/0/3) |
|
Border2 |
EVPN边界设备 |
192.168.11.9 |
Loopback0 10.1.1.9/32 HGE4/0/1(连接Border1 HGE4/0/1) HGE4/0/2(连接Border1 HGE4/0/2) XGE6/0/48(连接Border1 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/4) HGE4/0/4(连接Spine2 HGE1/0/4) |
|
Spine1 |
Underlay物理设备 |
192.168.11.2 |
Loopback0 10.1.1.2/32 HGE1/0/3(连接Border1 HGE4/0/3) HGE1/0/4(连接Border2 HGE4/0/3) HGE1/0/5(连接Server Leaf1 HGE1/0/25) HGE1/0/6(连接Server Leaf2 HGE1/0/25) HGE1/0/7(连接Service Leaf1 HGE1/0/27) HGE1/0/8(连接Service Leaf2 HGE1/0/27) |
|
Spine2 |
Underlay物理设备 |
192.168.11.3 |
Loopback0 10.1.1.3/32 HGE1/0/3(连接Border1 HGE4/0/4) HGE1/0/4(连接Border2 HGE4/0/4) HGE1/0/5(连接Server Leaf1 HGE1/0/27) HGE1/0/6(连接Server Leaf2 HGE1/0/27) HGE1/0/7(连接Service Leaf1 HGE1/0/25) HGE1/0/8(连接Service Leaf2 HGE1/0/25) |
|
Server Leaf1 |
EVPN接入设备 |
192.168.11.4 |
Loopback0 10.1.1.4/32 XGE1/0/9(连接Server Leaf2 XGE1/0/9) HGE1/0/29(连接Server Leaf2 HGE1/0/29) HGE1/0/30(连接Server Leaf2 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/5) HGE1/0/27(连接Spine2 HGE1/0/5) |
|
Server Leaf2 |
EVPN接入设备 |
192.168.11.5 |
Loopback0 10.1.1.5/32 XGE1/0/9(连接Server Leaf1 XGE1/0/9) HGE1/0/29(连接Server Leaf1 HGE1/0/29) HGE1/0/30(连接Server Leaf1 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/6) HGE1/0/27(连接Spine2 HGE1/0/6) |
|
Service Leaf1 |
EVPN接入设备 |
192.168.11.6 |
Loopback0 10.1.1.6/32 XGE1/0/9(连接Service Leaf2 XGE1/0/9) HGE1/0/29(连接Service Leaf2 HGE1/0/29) HGE1/0/30(连接Service Leaf2 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/7) HGE1/0/27(连接Spine2 HGE1/0/7) 与FW的接口连接关系如下表所示 |
|
Service Leaf2 |
EVPN接入设备 |
192.168.11.7 |
Loopback0 10.1.1.7/32 XGE1/0/9(连接Service Leaf1 XGE1/0/9) HGE1/0/29(连接Service Leaf1 HGE1/0/29) HGE1/0/30(连接Service Leaf1 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/8) HGE1/0/27(连接Spine2 HGE1/0/8) 与FW的接口连接关系如下表所示 |
|
FW1 |
防火墙设备 |
192.168.11.101 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW2) XGE2/0/16加入RAGG64(连接FW2) 与Service Leaf的接口连接关系如下表所示 |
|
FW2 |
防火墙设备 |
192.168.11.102 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW1) XGE2/0/16加入RAGG64(连接FW1) 与Service Leaf设备的接口连接关系如下表所示 |
Service Leaf与FW之间的业务接口连接关系如下表所示:
表10-2 Service leaf与FW之间的业务接口连接关系
|
FW |
Service Leaf |
|
下行接口: FW1 XGE2/0/3加入RAGG2 FW1 XGE2/0/4加入RAGG2 上行接口: FW1 XGE2/0/5加入RAGG3 FW1 XGE2/0/6加入RAGG3 |
出接口: Service Leaf1 XGE6/0/1加入BAGG1 MLAG Group1 Service Leaf2 XGE6/0/1加入BAGG1 MLAG Group1 入接口: Service Leaf1 XGE6/0/2加入BAGG2 MLAG Group2 Service Leaf2 XGE6/0/2加入BAGG2 MLAG Group2 |
|
下行接口: FW2 XGE2/0/3加入RAGG2 FW2 XGE2/0/4加入RAGG2 上行接口: FW2 XGE2/0/5加入RAGG3 FW2 XGE2/0/6加入RAGG3 |
出接口: Service Leaf1 XGE6/0/3加入BAGG3 MLAG Group3 Service Leaf2 XGE6/0/3加入BAGG3 MLAG Group3 入接口: Service Leaf1 XGE6/0/4加入BAGG4 MLAG Group4 Service Leaf2 XGE6/0/4加入BAGG4 MLAG Group4 |
本组网中Spine和Border为12500G,Leaf为S6850,如果存在其他设备类型请自行规划。另外,接口连接关系也仅供参考,实际组网请自行规划。
租户资源及IP地址规划如下表所示。
表10-3 资源规划
|
规划项 |
配置示例 |
说明 |
|
|
物理设备管理网 |
192.168.11.0/24 网关:192.168.11.1 |
|
|
|
Fabric |
· 名称:fabric1 · AS号:100 |
|
|
|
VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
|
|
IP地址池 |
通用网络 |
· 名称:服务链IP地址池1 · 地址段: ¡ 10.80.1.1-10.80.1.254 ¡ 默认地址池:不勾选 |
一条服务链的一个双臂服务节点使用8个IPv4地址,掩码为30位 |
|
VLAN池 |
租户承载网 |
· 名称:服务链vlan1 · VLAN范围:300-399 · 默认VLAN池:不勾选 |
一条服务链的一个双臂服务节点占用2个VLAN ID |
|
VXLAN池 |
· 名称:vxlan1 · VXLAN范围:10000-10999 |
一条服务链占用1个L3VNI,一个双臂服务节点占用2个L2VNI ID |
|
|
L4-L7设备组IP地址池 |
· 地址段:88.1.0.1—88.1.254.254 |
用于在RBM组网中分配VRRP实地址 上行口:一组VRRP占用2个IPV4地址,掩码为31位 下行口:一组VRRP占用2个IPV4地址,掩码为31位 |
|
|
外部网络1 |
· 名称:exnetwork2701 · 类型:VLAN · 网络分段:不开启 · IPv4子网名称和地址: ¡ v4exsubnet9 ¡ 100.0.9.0/24 |
|
|
|
外部网络2 |
· 名称:exnetwork2702 · 类型:VLAN · 网络分段:不开启 · IPv4子网名称和地址: ¡ v4exsubnet10 ¡ 100.0.10.0/24 |
|
|
图10-2 流程图
请配置并纳管组网中的交换设备,详细信息请参见《AD-DC 6.5 Underlay网络配置指导》。
请根据《AD-DC 6.5 安全服务资源配置指导》中对应设备型号的服务网关章节配置步骤,完成物理安全设备的基础配置。
参见章节“控制组件基础配置”的配置步骤,完成以下基础配置:
表10-4 控制组件基础配置
|
配置项 |
配置示例 |
说明 |
|
|
增加Fabric |
· 基础配置 ¡ 名称:fabric1 ¡ AS号:100 · 高级配置 ¡ 未知单播报文抑制:勾选 ¡ 未知组播报文抑制:勾选 ¡ 广播报文抑制:勾选 |
|
|
|
配置VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
|
|
配置全局参数 |
· 启用IPv6:开启 · 交换设备下发安全策略流表:关闭 · VRF名称生成方式:按规则生成 |
|
|
|
增加IP地址池 |
通用网络 |
· 名称:服务链IP地址池1 · 地址段: ¡ 10.80.1.1-10.80.1.254 ¡ 默认地址池:不勾选 |
|
|
增加VLAN池 |
租户承载网 |
· 名称:服务链vlan1 · VLAN范围:300-399 · 默认VLAN池:不勾选 |
|
|
增加VXLAN池 |
· 名称:vxlan1 · VXLAN范围:10000-10999 |
|
|
|
增加设备组 |
· 名称:bdgroup1 · 网络位置:出口网关 · HA部署模式:M-LAG · 连接方式:VLAN跨网段 · 防火墙接入模式:直连 · 地址池列表:默认地址池 · VLAN池列表:默认VLAN池 · 设备组成员:Border1、Border2 |
网络位置、远端设备组、防火墙业务和连接方式四个参数在增加完后无法修改。其中防火墙业务和网络位置影响后续Fabric扩容,请做好规划后再配置 |
|
|
增加L4-L7设备 |
· 名称:FW1 · 厂商:H3C · 管理IP:192.168.11.101 |
|
|
|
· 名称:FW2 · 厂商:H3C · 管理IP:192.168.11.102 |
|
||
|
增加L4-L7设备组和地址池 |
增加 L4-L7设备组 |
· 名称:FWgroup1 · 包含设备:FW1,FW2 |
|
|
配置IP地址池 |
地址段:88.1.0.1—88.1.254.254 |
用于在RBM组网中分配VRRP实地址 上行口:一组VRRP占用2个IPV4地址,掩码为31位 下行口:一组VRRP占用2个IPV4地址,掩码为31位 |
|
|
增加VLAN-VXLAN映射 |
· 名称:map1 · VLAN-VXLAN映射关系: ¡ 名称:map2601 ¡ VLAN起始值:2101 ¡ VXLAN起始值:2101 ¡ 映射区间宽度:1 ¡ 接入模式:VLAN · 应用到接口:应用到组网中Server-Leaf连接Server的所有聚合接口上 |
应用到接口前,需在[自动化>数据中心网络>设备资源>物理设备>配置下行口>配置下行口[XXX]]页面将接口配置为下行口 |
|
|
增加租户 |
· 名称:publictenant1 · 名称:tenant1 · VDS名称:VDS1 |
|
|
(1) 进入[自动化>数据中心网络>资源池>设备资源>L4-L7物理资源池]页面,单击<增加>按钮,增加L4-L7物理资源池,参数如下:
¡ 名称:FWSCpool1。
¡ 服务类型:FW。
¡ 设备/设备组资源:勾选Fwgroup1,单击修改按钮
,进入L4-L7物理资源池模板页面。
图10-3 增加L4-L7物理资源池
(2) 在L4-L7物理资源池模板页面,单击<增加模板>按钮,增加模板,参数如下:
¡ 名称:FWSCtemp1。
¡ 设备组名称:FWgroup1。
¡ 类型:PBR服务链FW资源。
¡ 安全引擎组ID:1,不能修改。
¡ Context会话最大并发数:不填写。
¡ 防火墙规则总数:不填写。
¡ 管理接口:Route-Aggregation1。
¡ IPv4地址池:不填写。
- 起始:192.168.14.2。
- 结束:192.168.14.254。
- 子网掩码:255.255.255.0。
- IPv4网关地址:192.168.14.1。
¡ 下行接口:Route-Aggregation2。
¡ 上行接口:Route-Aggregation3。
图10-4 增加L4-L7物理资源池模板
(3) 单击<应用>按钮完成L4-L7物理资源池模板的增加操作。
(4) 单击<应用>按钮完成L4-L7资源池的增加操作。
(1) 进入[自动化>数据中心网络>公共服务设置>资源接入模板]页面,在全局配置区域配置服务链虚拟路由器VXLAN池:vxlan1,配置完成后单击<应用>按钮。
图10-5 创建服务链资源接入模板
(2) 在资源接入模板区域单击<增加>按钮,进入增加资源接入模板页面,填写资源接入模板的参数,如下:
¡ 名称:accesstemp1。
¡ 资源来源:L4-L7资源。
¡ 资源模板名称:FWSCtemp1。
¡ 地址池:服务链IP地址池1。
¡ VLAN池:服务链vlan1。
¡ VXLAN池:vxlan1。
(3) 在接入信息区域单击<增加>按钮,增加接入信息,配置完成后单击<应用>按钮。
¡ 接入设备:leaf3,连接模式:双臂,入接口BAGG2,出接口BAGG1。
¡ 接入设备:leaf4,连接模式:双臂,入接口BAGG2,出接口BAGG1。
¡ 接入设备:leaf3,连接模式:双臂,入接口BAGG4,出接口BAGG3。
¡ 接入设备:leaf4,连接模式:双臂,入接口BAGG4,出接口BAGG3。
Leaf的入接口对应FW的上行接口,Leaf的出接口对应FW的下行接口。
图10-6 增加资源接入模板
(1) 进入[自动化>数据中心网络>公共网络设置>出口网关]页面,单击<增加>按钮,进入增加出口网关页面,在该页面中进行以下配置:
¡ 名称:gw1_1。
¡ 共享网关:关闭。
¡ 出口网关类型:组合网关。
(2) 单击<增加出口网关成员>按钮,在弹出的对话框中进行以下配置:
¡ 名称:gw1_member1。
¡ 所属Fabric:fabric1。
¡ 设备组:bdgroup1。
¡ 优先级:1。
图10-7 增加出口网关成员
(3) 单击增加出口网关成员页面的<应用>按钮完成增加出口网关成员的操作
(4) 单击增加出口网关页面的<应用>按钮完成增加出口网关的操作。
(1) 进入[自动化>数据中心网络>公共网络设置>出口网关]页面,单击<增加>按钮,进入增加出口网关页面,在该页面中进行以下配置:
¡ 名称:gw1_2。
¡ 共享网关:开启。
¡ 出口网关类型:组合网关。
(2) 单击<增加出口网关成员>按钮,在弹出的对话框中进行以下配置:
¡ 名称:gw1_member2。
¡ 所属Fabric:fabric1。
¡ 设备组:bdgroup1。
¡ 优先级:1。
图10-8 增加出口网关成员
(3) 单击增加出口网关成员页面的<应用>按钮完成增加出口网关成员的操作
(4) 单击增加出口网关页面的<应用>按钮完成增加出口网关的操作。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面,单击租户tenant1操作区段的
按钮,进入修改租户页面。
(2) 在分配网关资源区域,单击<增加>按钮,在弹出的对话框中选择出口网关gw1_1和gw1_2。单击<应用>按钮完成操作。
图10-9 租户绑定出口网关
(3) 单击<应用>按钮,完成租户的修改操作。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面,选择租户“publictenant1”,点击
按钮,进入修改租户页面。在服务资源配置区域,创建VFW服务资源,如下:
¡ 资源名称:pubfwsccontext1
¡ 使用场景:服务链
¡ 服务类型:虚拟防火墙(VFW)
¡ 资源分配方式:从资源池分配
¡ 资源来源:L4-L7物理资源池
¡ 资源池名称:FWSCpool1
¡ 共享资源节点:关闭
图10-10 增加服务链VFW服务资源
(2) 点击<应用>按钮,开始创建VFW服务资源,资源创建成功后,将在FW1和FW2设备上各这创建一个VFW Context,这两个VFW Context的管理地址不同。
本章需为租户tenant1配置如下VFW服务资源。
|
租户 |
资源类型 |
资源名称 |
使用场景 |
服务类型 |
资源分配方式 |
租户 |
资源类型 |
服务资源 |
|
tenant1 |
服务资源 |
fwsccontext2601 |
服务链 |
虚拟防火墙(VFW) |
复用已创建资源 |
publictenant1 |
NGFW_SC_SERVICE |
pubfwsccontext1 |
|
服务资源 |
fwsccontext2602 |
服务链 |
虚拟防火墙(VFW) |
复用已创建资源 |
publictenant1 |
NGFW_SC_SERVICE |
pubfwsccontext1 |
下面以配置普通租户tenant1的第一个VFW服务资源为例。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面,单击租户tenant1操作区段的
按钮,进入租户修改页面。
(2) 在分配服务资源区域,进行如下配置:
¡ 资源类型:选择“服务资源”。
图10-11 分配服务资源区域
(3) 在分配网关资源区域,单击<增加>按钮,进入增加服务资源页面,在该页面中进行如下配置:
¡ 资源名称:自定义该名称,以fwsccontext2601为例。
¡ 使用场景:选择“服务链”。
¡ 服务类型:选择“虚拟防火墙(VFW)”。
¡ 资源分配方式:勾选“复用已创建资源”。
¡ 租户:选择“publictenant1”。
¡ 资源类型:选择“NGFW_SC_SERVICE”。
¡ 服务资源:选择“pubfwsccontext1”。
图10-12 增加服务资源
(4) 单击增加服务资源页面的<应用>按钮,完成服务资源的增加操作
(5) 单击修改租户页面的<应用>按钮,完成修改租户的操作。
本章需配置如下外部网络。
表10-5 外部网络配置信息
|
外部网络名称 |
类型 |
Segment ID |
IPv4子网 |
|
exnetwork2601 |
VLAN |
4007 |
· 名称:v4extsubnet7 · 子网网段:以100.0.7.0/24为例 · 网关IP:100.0.7.1 |
|
exnetwork2602 |
VLAN |
4008 |
· 名称:v4extsubnet8 · 子网网段:以100.0.8.0/24为例 · 网关IP:100.0.8.1 |
下面以配置外部网络exnetwork2601、IPv4子网v4extsubnet7为例。
(2) 进入[自动化>数据中心网络>公共网络设置>外部网络]页面,单击<增加>按钮,进入增加外部网络页面,在该页面中进行以下配置:
¡ 名称:exnetwork2601。
¡ 类型:选择“VLAN”类型。
¡ Segment ID:4007。
¡ 其他参数以使用缺省配置为例。
图10-13 增加外部网络
(3) 在IPv4子网区域,单击<增加>按钮,在弹出的增加IPv4子网对话框中配置如下参数:
¡ 名称:自定义该名称,以v4extsubnet7为例。
¡ 子网网段:以100.0.7.0/24为例。
¡ 网关IP:100.0.7.1。
¡ 其他参数以使用缺省配置为例。
图10-14 增加IPv4子网
(4) 单击<应用>按钮,完成IPv4子网的增加操作。
(5) 单击增加外部网络页面的<应用>按钮,完成外部网络的增加操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟链路层网络]页面,单击<增加>按钮,进入增加虚拟链路层网络页面,配置如下参数:
¡ 网络名称:network2601。
¡ Segment ID:2101。
¡ 其他参数以使用缺省配置为例。
图10-15 增加虚拟链路层网络
(2) 在“子网”页签下,单击<增加>按钮,在弹出的增加子网对话框中配置如下参数:
¡ 子网名称:subnetv4-2601。
¡ 子网网段:11.26.1.0/24。
¡ 网关IP:11.26.1.1。
¡ 其他参数以使用缺省配置为例。
图10-16 增加子网
(3) 单击<应用>按钮,完成子网的增加操作。
(4) 单击增加虚拟链路层网络页面的<应用>按钮,完成虚拟链路层网络的增加操作。
本章需配置如下两个虚拟路由器。
|
虚拟路由器名称 |
Segment ID |
子网 |
外部出口设备 |
说明 |
|
router2601 |
11101 |
subnetv4-2601 |
边界设备 |
|
|
router2602 |
11102 |
--- |
边界设备 |
该虚拟路由器不用绑定子网 |
下面以配置虚拟路由器router2601为例。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面,单击<增加>按钮,进入增加虚拟路由器页面,配置如下参数:
¡ 名称:router2601。
¡ Segment ID:11101。
图10-17 增加虚拟路由器
(2) 在“子网”页签下,单击<增加>按钮,进入增加子网页面,在该页面中把“可选子网”的“subnetv4-2601”移至“已选子网”中。
图10-18 增加子网
(3) 单击增加子网页面的<应用>按钮,完成子网的增加操作。
(4) 在“外部网络”页签下,外网出口设备勾选“边界设备”。
图10-19 外网出口设备
(5) 单击增加虚拟路由器页面的<应用>按钮,完成虚拟路由器的增加操作。
(1) 进入[自动化>数据中心网络>公共网络设置>路由表]页面,单击<增加>按钮,进入增加路由表页面,在该页面中进行以下配置:
¡ 名称:routetable2602。
¡ 租户:选择“tenant1”。
¡ 虚拟路由器:选择“router2602”。
图10-20 增加路由表
(2) 单击<增加路由表项>按钮,在弹出的增加路由表项对话框中配置如下参数:
¡ 目的网段:26.1.2.0/24。
¡ 下一跳类型:IPv4。
¡ 下一跳IP地址:虚拟路由器router2602绑定的外网子网的网关,本例为100.0.8.1。
¡ 迭代主机路由:选择“关闭”。
¡ 其他参数以使用缺省配置为例。
图10-21 增加路由表项
(3) 单击<应用>按钮,完成路由表项的增加操作。
(4) 单击增加路由器页面的<应用>按钮,完成路由表的增加操作。
本章需为如下两个虚拟路由器分别绑定出口网关。
|
虚拟路由器名称 |
出口网关名称 |
是否为共享网关 |
|
router2601 |
gw1_1 |
非共享型 |
|
router2602 |
gw1_2 |
共享型 |
下面以为虚拟路由器router2601绑定出口网关gw1_1为例。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面,单击router2601的“网关资源”区段的链接,在弹出的网关资源对话框中选择的出口网关gw1_1(非共享型)。
图10-22 虚拟路由器绑定出口网关
(2) 单击网关资源页面的<应用>按钮,完成虚拟路由器绑定网关的操作。
本章需要进行如下配置:
· 虚拟路由器router2601绑定外部网络。
· 虚拟路由器router2602绑定外部网络和路由表。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面,单击虚拟路由器router2601操作区段的
按钮,进入修改虚拟路由器页面。
(2) 在“外部网络”页签下,配置如下参数:
¡ 外部网络:选择“exnetwork2601”。
¡ 其他参数以使用缺省配置为例。
图10-23 虚拟路由器router2601绑定外部网络
(3) 单击<绑定IPv4外网子网>按钮,在弹出绑定IPv4外网子网对话框中配置如下参数:
¡ 名称:选择v4extsubnet7。
¡ 外网出口IP:100.0.7.2。
图10-24 绑定IPv4外网子网
(4) 单击<应用>按钮,完成IPv4外网子网的绑定操作。
(5) 单击修改虚拟路由器页面的<应用>按钮,完成虚拟路由器的修改操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面,单击虚拟路由器router2602操作区段的
按钮,进入修改虚拟路由器页面。
(2) 在“外部网络”页签下,配置如下参数:
¡ 外部网络:选择“exnetwork2602”。
¡ 其他参数以使用缺省配置为例。
图10-25 外部网络页签
(3) 单击<绑定IPv4外网子网>按钮,在弹出绑定IPv4外网子网对话框中配置如下参数:
¡ 名称:选择“v4extsubnet8”。
¡ 外网出口IP:100.0.8.2。
图10-26 绑定IPv4外网子网
(4) 单击<应用>按钮,完成IPv4外网子网的绑定操作。
(5) 在“路由信息”页签下,路由表选择routetable2602。
图10-27 路由信息
(6) 单击修改虚拟路由器页面的<应用>按钮,完成路由器绑定外部网络和路由表的操作。
(1) 进入[自动化>数据中心网络>公共网络设置>虚拟路由器连接]页面,单击<增加>按钮,进入增加虚拟路由器连接页面,在该页面中进行以下配置:
¡ 名称:router2601_router2602。
¡ 租户:tenant1。
¡ 本端虚拟路由器:选择“router2601”。
¡ 对端虚拟路由器:选择“router2602”。
¡ 其他参数以使用缺省配置为例。
图10-28 增加虚拟路由器连接
(2) 单击<应用>按钮,完成虚拟路由器连接的增加操作。
本章需配置如下防火墙、安全策略和规则。
|
防火墙 |
安全策略 |
安全规则 |
|
· 名称:fw2601 · 使用场景:服务链 · 连接模式:双臂(和资源接入模板中保持一致) · 入方向安全策略:policy2601 · 出方向安全策略:policy2601 · 资源:选择fwsccontext2601 |
· 名称:policy2601 · 激活:勾选激活 |
· 名称:rule2601 · IP版本:IPv4 · 服务:协议、所有 · 动作:允许 |
|
· 名称:fw2602 · 使用场景:服务链 · 连接模式:双臂(和资源接入模板中保持一致) · 入方向安全策略:policy2602 · 出方向安全策略:policy2602 · 资源:选择fwsccontext2602 |
· 名称:policy2602 · 激活:勾选激活 |
· 名称:rule2602 · IP版本:IPv4 · 服务:协议、所有 · 动作:允许 |
下面以配置防火墙fw2601、安全策略policy2601、安全规则rule2601为例。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略]页面,单击“规则”页签,进入规则页面,单击<增加规则>按钮,在弹出的对话框中配置规则相关参数:
¡ 名称:rule2601。
¡ IP版本:IPv4。
¡ 服务:协议、所有。
¡ 动作:允许。
¡ 其他参数以使用缺省配置为例。
图10-29 增加规则
(2) 单击<应用>按钮,完成规则的增加操作。
(3) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略]页面,单击“策略”页签,进入策略页面,单击<增加策略>按钮,在弹出的对话框中配置策略相关参数:
¡ 名称:policy2601。
¡ 激活:勾选激活。
图10-30 增加策略
(4) 单击<应用>按钮,完成策略的增加操作。
(5) 单击策略policy2601“规则”区段的链接,进入绑定规则页面,选择规则rule2601,并勾选激活。
图10-31 策略列表
图10-32 绑定规则
(6) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙]页面,单击<增加防火墙>按钮,进入增加防火墙页面,配置防火墙相关参数:
¡ 名称:fw2601。
¡ 使用场景:服务链。
¡ 连接模式:双臂(和资源接入模板中保持一致)。
¡ 入方向安全策略:policy2601。
¡ 出方向安全策略:policy2601。
¡ 资源:选择fwsccontext2601。
图10-33 增加防火墙
(7) 单击<应用>按钮,完成防火墙的增加操作。
本章需配置如下流量特征组和服务链。
表10-6 流量特征组
|
名称 |
类型 |
其他参数配置 |
说明 |
|
flowgroup2601 |
Network |
· 流量特征组成员:network2601 |
作为源流量特征组 |
|
flowgroup2602 |
External |
· 外网网段地址:空。 · 虚拟路由器:router2601 · 同步虚拟路由器的网关资源:否 · 出口模式:单出口 · 外网网络子网:4extsubnet7 |
作为目的流量特征组 |
|
flowgroup2603 |
External |
· 外网网段地址:26.1.2.0/24(与路由表的目的网段保持一致) · 虚拟路由器:router2602 · 出口模式:单出口 · 外网网络子网:v4extsubnet8 |
作为目的流量特征组 |
表10-7 服务链
|
名称 |
SRC |
经过的服务实例 |
DEST |
|
sc2601 |
flowgroup2601 |
fw2601 |
flowgroup2602 |
|
sc2602 |
flowgroup2601 |
fw2602 |
flowgroup2603 |
下面以配置流量特征组flowgroup2601、flowgroup2602,服务链sc2601、sc2602为例。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>服务链>IP服务链>服务链>流量特征组]页面,单击<增加>按钮,进入增加流量特征组页面。
(2) 在该页面配置如下参数:
¡ 名称:flowgroup2601。
¡ 类型:Network。
¡ 流量特征组成员:勾选“network2601”至已选虚拟链路层网络。
图10-34 增加流量特征组
(3) 单击<应用>按钮,完成流量特征组的增加操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>服务链>IP服务链>服务链>流量特征组]页面,单击<增加>按钮,进入增加流量特征组页面。
(2) 在该页面配置如下参数:
¡ 名称:flowgroup2602。
¡ 类型:External。
¡ 外网网段地址:此处为空。
¡ 虚拟路由器:router2601。
¡ 同步虚拟路由器的网关资源:否。
¡ 出口模式:单出口。
¡ 外网网络子网:勾选“v4extsubnet7”移至“已选外网子网”中。
¡ 其他参数以使用缺省配置为例。
图10-35 增加目的流量特征组flowgroup2602
(3) 单击<应用>按钮,完成流量特征组的增加操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>服务链>IP服务链>服务链]页面,单击<增加>按钮,进入增加服务链页面。
(2) 在该页面配置如下参数:
¡ 名称:sc2601。
¡ 拖拽服务链组件到方框内区域:从服务链组件把FW拖至改该区域内,单击该区域,把PBR_FW区域内的fw2601拖至该图标处。
¡ SRC图标:单击SRC图标后,从流量特征组区域把flowgroup2601拖至该图标处。
¡ DEST图标:单击DEST图标后,从流量特征组区域把flowgroup2602拖至该图标处。
图10-36 增加服务链
(3) 单击<应用>按钮,完成服务链的增加操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>服务链>IP服务链>服务链]页面,单击<增加>按钮,进入增加服务链页面。
(2) 在该页面配置如下参数:
¡ 名称:sc2602。
¡ 拖拽服务链组件到方框内区域:从服务链组件把FW拖至改该区域内,单击该区域,把PBR_FW区域内的fw2602至该图标处。
¡ SRC图标:单击SRC图标后,从流量特征组区域把flowgroup2601拖至该图标处。
¡ DEST图标:单击DEST图标后,从流量特征组区域把flowgroup2603至该图标处。
图10-37 增加服务链
(3) 单击<应用>按钮,完成服务链的增加操作。
上线源流量特征组对应子网的虚拟端口后,Leaf上VSI接口配置:
interface Vsi-interface2101
description SDN_VSI_Interface_2101
ip binding vpn-instance tenant1_router2601_11101
ip address 11.26.1.1 255.255.255.0 sub
mac-address 6805-ca21-d6e5
ip policy-based-route SDN_SC_2101
distributed-gateway local
#
查看对应PBR配置:
[Leaf1] display ip policy-based-route policy SDN_SC_2101
policy-based-route SDN_SC_2101 permit node 0
if-match acl name SDN_SC_F_AC_835_2606ddd2-9652-4222-81b9-89da317fd298 //匹配目的是明细网段26.1.2.0/24网段
apply next-hop vpn-instance SDN_SC_2 10.80.1.14
apply service-chain path-id 2 path-index 1
policy-based-route SDN_SC_2101 permit node 255
if-match acl name SDN_SC_F_S_AC_835_fcc6ed58-9b57-49ca-bf3b-6152852fe084 //匹配到所有外网的流量
apply service-chain path-id 1 path-index 1
apply default-next-hop vpn-instance SDN_SC_1 10.80.1.6
查看对应ACL配置:
[Leaf1] display acl name SDN_SC_F_AC_835_2606ddd2-9652-4222-81b9-89da317fd298
acl advanced name SDN_SC_F_AC_835_2606ddd2-9652-4222-81b9-89da317fd298
description SDN_ACL_SDN_SC_F_AC_835_2606ddd2-9652-4222-81b9-89da317fd298
rule 0 permit ip vpn-instance tenant1_router2601_11101 source 11.26.1.0 0.0.0.255 destination 26.1.2.0 0.0.0.255
[Leaf1] display acl name SDN_SC_F_S_AC_835_fcc6ed58-9b57-49ca-bf3b-6152852fe084
acl advanced name SDN_SC_F_S_AC_835_fcc6ed58-9b57-49ca-bf3b-6152852fe084
description SDN_ACL_SDN_SC_F_S_AC_835_fcc6ed58-9b57-49ca-bf3b-6152852fe084
rule 0 permit ip vpn-instance tenant1_router2601_11101 source 11.26.1.0 0.0.0.255
匹配到明细网段26.1.2.0/24后,走PBR一跳的路由表项:
[Leaf1] display ip routing-table vpn-instance SDN_SC_2 10.80.1.14
Summary count : 2
Destination/Mask Proto Pre Cost NextHop Interface
10.80.1.12/30 BGP 255 0 24.24.24.24 Vsi10003
10.80.1.14/32 BGP 255 0 24.24.24.24 Vsi10003
匹配外网所有网段后,走PBR一跳的路由表项:
[Leaf1] display ip routing-table vpn-instance SDN_SC_1 10.80.1.6
Summary count : 2
Destination/Mask Proto Pre Cost NextHop Interface
10.80.1.4/30 BGP 255 0 24.24.24.24 Vsi10000
10.80.1.6/32 BGP 255 0 24.24.24.24 Vsi10000
内网访问外网明细网段26.1.2.0/24流量,报文从server-leaf到service-leaf后,sevice-leaf下发对应的PBR配置
对应L3VNI VSI接口10003下发PBR配置:
interface Vsi-interface10003
description SDN_VRF_VSI_Interface_10003
ip binding vpn-instance SDN_SC_2
ip policy-based-route SDN_SC_L3_10003
ipv6 address auto link-local
l3-vni 10003
#
对应PBR配置:
[Leaf3] display ip policy-based-route policy SDN_SC_L3_10003
policy-based-route SDN_SC_L3_10003 permit node 0
if-match service-chain path-id 2 path-index 1 //匹配报文从leaf打上的path-id,下一跳到对应的fw
apply next-hop vpn-instance SDN_SC_2 10.80.1.14
policy-based-route SDN_SC_L3_10003 permit node 1
if-match service-chain path-id 8388610 path-index 1 //匹配报文从border打上的path-id,下一跳到fw
apply next-hop vpn-instance SDN_SC_2 10.80.1.17
内网访问外网流量,从FW出来报文到service-leaf对应的PBR配置:
[Leaf3] interface Vsi-interface10005
[Leaf3-Vsi-interface10005] display this
#
description SDN_VSI_Interface_10005
ip binding vpn-instance SDN_SC_2
ip address 10.80.1.18 255.255.255.252 sub
mac-address 6805-ca21-d6e5
arp route-direct advertise
ip policy-based-route SDN_SC_10005
distributed-gateway local
#
[Leaf3] display ip policy-based-route policy SDN_SC_L3_10005
policy-based-route SDN_SC_10005 permit node 3
if-match acl name SDN_SC_Forward_NS_2b5d_2606ddd2-9652-4222-81b9-89da317fd298
apply next-hop vpn-instance tenant1_router2601_11101 100.0.8.1
对应ACL配置:
[Leaf3] display acl name SDN_SC_F_AC_835_2606ddd2-9652-4222-81b9-89da317fd298
acl advanced name SDN_SC_Forward_NS_2b5d_2606ddd2-9652-4222-81b9-89da317fd298
description SDN_ACL_SDN_SC_Forward_NS_2b5d_2606ddd2-9652-4222-81b9-89da317fd298
rule 0 permit ip vpn-instance SDN_SC_2 source 11.26.1.0 0.0.0.255 destination 2
6.1.2.0 0.0.0.255
内网访问所有外网流量,报文从Server-Leaf到Service-Leaf后,Sevice-Leaf下发对应的PBR配置
对应L3VNI VSI接口10000下发PBR配置:
#
[Leaf3] interface Vsi-interface10000
[Leaf3-Vsi-interface10000]display this
#
description SDN_VRF_VSI_Interface_10000
ip binding vpn-instance SDN_SC_1
ip policy-based-route SDN_SC_L3_10000
ipv6 address auto link-local
l3-vni 10000
#
对应PBR配置:
[Leaf3] display ip policy-based-route policy SDN_SC_L3_10000
policy-based-route SDN_SC_L3_10000 permit node 0
if-match service-chain path-id 1 path-index 1 //匹配报文从leaf打上的path-id,下一跳到对应的fw
apply next-hop vpn-instance SDN_SC_1 10.80.1.6
#
policy-based-route SDN_SC_L3_10000 permit node 1
if-match service-chain path-id 8388609 path-index 1 //匹配报文从leaf打上的path-id,下一跳到对应的fw
apply next-hop vpn-instance SDN_SC_1 10.80.1.10
内网访问外网流量,从FW出来报文到Service-Leaf对应的PBR配置:
[Leaf3] interface Vsi-interface10002
[Leaf3-Vsi-interface10002] display this
#
description SDN_VSI_Interface_10002
ip binding vpn-instance SDN_SC_1
ip address 10.80.1.9 255.255.255.252 sub
mac-address 6805-ca21-d6e5
arp route-direct advertise
ip policy-based-route SDN_SC_10002
distributed-gateway local
#
[Leaf3] display ip policy-based-route policy SDN_SC_10002
policy-based-route SDN_SC_10002 permit node 3
if-match acl name SDN_SC_Forward_S_NS_2b5d_fcc6ed58-9b57-49ca-bf3b-6152852fe084
apply next-hop vpn-instance tenant1_router2601_11101 100.0.7.1
对应ACL配置:
[Leaf3] display acl name SDN_SC_Forward_S_NS_2b5d_fcc6ed58-9b57-49ca-bf3b-6152852fe084
acl advanced name SDN_SC_Forward_S_NS_2b5d_fcc6ed58-9b57-49ca-bf3b-6152852fe084
description SDN_ACL_SDN_SC_Forward_S_NS_2b5d_fcc6ed58-9b57-49ca-bf3b-6152852fe0
84
rule 0 permit ip vpn-instance SDN_SC_1 source 11.26.1.0 0.0.0.255
[Leaf3] display ip routing-table vpn-instance tenant1_router2601_11101 100.0.8.
1 //到外网明细网段26.1.2.0/24的pbr下一跳的路由表项
Summary count : 2
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 BGP 255 0 34.35.35.35 Vsi11101
100.0.8.0/24 BGP 255 0 34.35.35.35 Vsi11102
[Leaf3] display ip routing-table vpn-instance tenant1_router2601_11101 100.0.7.
1 //到所有外网网段的pbr下一跳的路由表项
Summary count : 2
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 BGP 255 0 34.35.35.35 Vsi11101
100.0.7.0/24 BGP 255 0 34.35.35.35 Vsi11101
对应外网的三层VLAN虚接口配置:
interface Vlan-interface4007
description SDN_VLAN_Interface_4007
ip binding vpn-instance external_vpn_4007
ip address 100.0.7.2 255.255.255.0 sub
mac-address 3c8c-404e-dd46
ip policy-based-route SDN_SC_VLAN_4007
#
对应PBR配置:该PBR匹配从外网到内网的报文下一跳指向FW
[Border1] display ip policy-based-route policy SDN_SC_VLAN_4007
policy-based-route SDN_SC_VLAN_4007 permit node 255
if-match acl name SDN_SC_B_S_NS_2b5d_fcc6ed58-9b57-49ca-bf3b-6152852fe084
apply next-hop vpn-instance SDN_SC_1 10.80.1.10
apply service-chain path-id 8388609 path-index 1
对应ACL配置:
[Border1] display acl name SDN_SC_B_S_NS_2b5d_fcc6ed58-9b57-49ca-bf3b-6152852fe084
acl advanced name SDN_SC_B_S_NS_2b5d_fcc6ed58-9b57-49ca-bf3b-6152852fe084
description SDN_ACL_SDN_SC_B_S_NS_2b5d_fcc6ed58-9b57-49ca-bf3b-6152852fe084
rule 0 permit ip destination 11.26.1.0 0.0.0.255
出外网另外一个出口的三层VLAN虚接口配置:
interface Vlan-interface4008
description SDN_VLAN_Interface_4008
ip binding vpn-instance external_vpn_4008
ip address 100.0.8.2 255.255.255.0 sub
mac-address 3c8c-404e-dd46
ip policy-based-route SDN_SC_VLAN_4008
#
对应PBR配置:该PBR匹配外网明细网段到内网的报文下一跳指向FW
[Border1] display ip policy-based-route policy SDN_SC_VLAN_4008
policy-based-route SDN_SC_VLAN_4008 permit node 1
if-match acl name SDN_SC_B_NS_2b5e_2606ddd2-9652-4222-81b9-89da317fd298
apply next-hop vpn-instance SDN_SC_2 10.80.1.17
apply service-chain path-id 8388610 path-index 1
对应ACL配置:
[Border1] display acl name SDN_SC_B_NS_2b5e_2606ddd2-9652-4222-81b9-89da317fd298
acl advanced name SDN_SC_B_NS_2b5e_2606ddd2-9652-4222-81b9-89da317fd298
description SDN_ACL_SDN_SC_B_NS_2b5e_2606ddd2-9652-4222-81b9-89da317fd298
rule 0 permit ip source 26.1.2.0 0.0.0.255 destination 11.26.1.0 0.0.0.255
对应L3VNI接口配置:
interface Vsi-interface11102
description SDN_VRF_VSI_Interface_11102
ip binding vpn-instance tenant1_router2602_11102
ipv6 address auto link-local
l3-vni 11102
#
interface Vsi-interface11101
description SDN_VRF_VSI_Interface_11101
ip binding vpn-instance tenant1_router2601_11101
ipv6 address auto link-local
l3-vni 11101
#
ip route-static vpn-instance tenant1_router2602_11102 26.1.2.0 24 vpn-instance
external_vpn_4008 100.0.8.1 description SDN_ROUTE --到明细网段26.1.2.0/24下一跳到对应网关100.0.8.1
#
ip route-static vpn-instance tenant1_router2601_11101 0.0.0.0 0 vpn-instance ex
ternal_vpn_4007 100.0.7.1 description SDN_ROUTE –到所有网段路由下一跳到对应网关100.0.7.1
#
接口配置:
#
interface Route-Aggregation 2.500—访问外网所有网段,FW和service-leaf连接的防火墙的上行接口
description SDN_SUBIF_Route-Aggregation 2.500
ip binding vpn-instance pbr_sc_ingress_vlanid_500
ip address 88.1.0.2 255.255.255.254 sub
vrrp vrid 9 virtual-ip 10.80.1.6 255.255.255.252 active
vlan-type dot1q vid 500
#
interface Route-Aggregation 3.501-访问外网所有网段,FW和service-leaf连接的防火墙的下行接口
description SDN_SUBIF_ Route-Aggregation 3.501
ip binding vpn-instance pbr_sc_egress_vlanid_501
ip address 88.1.0.4 255.255.255.254 sub
vrrp vrid 10 virtual-ip 10.80.1.10 255.255.255.252 active
vlan-type dot1q vid 501
#
interface Route-Aggregation 2.502-访问外网明细网段26.1.2.0/24,FW和service-leaf连接的防火墙上行接口
description SDN_SUBIF_ Route-Aggregation 2.502
ip binding vpn-instance pbr_sc_ingress_vlanid_502
ip address 88.1.0.8 255.255.255.254 sub
vrrp vrid 9 virtual-ip 10.80.1.14 255.255.255.252 active
vlan-type dot1q vid 502
#
interface Route-Aggregation 3.503-访问外网明细网段26.1.2.0/24,FW和service-leaf连接的防火墙下行接口
description SDN_SUBIF_Route-Aggregation 3.503
ip binding vpn-instance pbr_sc_egress_vlanid_503
ip address 88.1.0.10 255.255.255.254 sub
vrrp vrid 10 virtual-ip 10.80.1.17 255.255.255.252 active
vlan-type dot1q vid 503
#
静态路由配置:
ip route-static vpn-instance pbr_sc_ingress_vlanid_500 0.0.0.0 0 vpn-instance p
br_sc_egress_vlanid_501 10.80.1.9 description SDN_ROUTE-内网访问所有网段流量到fw后下一跳到serice-leaf
ip route-static vpn-instance pbr_sc_egress_vlanid_501 0.0.0.0 0 vpn-instance pb
r_sc_ingress_vlanid_500 10.80.1.5 description SDN_ROUTE-外网到内网流量到fw后,下一跳到service-leaf
ip route-static vpn-instance pbr_sc_ingress_vlanid_502 0.0.0.0 0 vpn-instance p
br_sc_egress_vlanid_503 10.80.1.18 description SDN_ROUTE--内网访问明细网段26.1.2.0/24流量到fw后下一跳到serice-leaf
ip route-static vpn-instance pbr_sc_egress_vlanid_503 0.0.0.0 0 vpn-instance pb
r_sc_ingress_vlanid_502 10.80.1.13 description SDN_ROUTE-外网到内网流量到fw后,下一跳到service-leaf
(1) 内网访问明细网段的外网,Border走对应的VLAN 4007到外网。
(2) 内网访问除了明细网段外的外网,Border走对应的VLAN 4008到外网。
图11-1 组网图
在单Fabric场景中,通过Service Leaf接入防火墙,内网流量通过南北向微分段服务链使用Border上的默认路由访问第一个出口,通过明细路由访问第二个出口。
Service Leaf与FW之间的业务接口连接关系如下表所示。
表11-1 组网中IP及接口说明
|
设备 |
用途 |
管理IP地址 |
业务IP地址及接口 |
|
Border1 |
EVPN边界设备 |
192.168.11.8 |
Loopback0 10.1.1.8/32 HGE4/0/1(连接Border2 HGE4/0/1) HGE4/0/2(连接Border2 HGE4/0/2) XGE6/0/48(连接Border2 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/3) HGE4/0/4(连接Spine2 HGE1/0/3) |
|
Border2 |
EVPN边界设备 |
192.168.11.9 |
Loopback0 10.1.1.9/32 HGE4/0/1(连接Border1 HGE4/0/1) HGE4/0/2(连接Border1 HGE4/0/2) XGE6/0/48(连接Border1 XGE6/0/48) HGE4/0/3(连接Spine1 HGE1/0/4) HGE4/0/4(连接Spine2 HGE1/0/4) |
|
Spine1 |
Underlay物理设备 |
192.168.11.2 |
Loopback0 10.1.1.2/32 HGE1/0/3(连接Border1 HGE4/0/3) HGE1/0/4(连接Border2 HGE4/0/3) HGE1/0/5(连接Server Leaf1 HGE1/0/25) HGE1/0/6(连接Server Leaf2 HGE1/0/25) HGE1/0/7(连接Service Leaf1 HGE1/0/27) HGE1/0/8(连接Service Leaf2 HGE1/0/27) |
|
Spine2 |
Underlay物理设备 |
192.168.11.3 |
Loopback0 10.1.1.3/32 HGE1/0/3(连接Border1 HGE4/0/4) HGE1/0/4(连接Border2 HGE4/0/4) HGE1/0/5(连接Server Leaf1 HGE1/0/27) HGE1/0/6(连接Server Leaf2 HGE1/0/27) HGE1/0/7(连接Service Leaf1 HGE1/0/25) HGE1/0/8(连接Service Leaf2 HGE1/0/25) |
|
Server Leaf1 |
EVPN接入设备 |
192.168.11.4 |
Loopback0 10.1.1.4/32 XGE1/0/9(连接Server Leaf2 XGE1/0/9) HGE1/0/29(连接Server Leaf2 HGE1/0/29) HGE1/0/30(连接Server Leaf2 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/5) HGE1/0/27(连接Spine2 HGE1/0/5) |
|
Server Leaf2 |
EVPN接入设备 |
192.168.11.5 |
Loopback0 10.1.1.5/32 XGE1/0/9(连接Server Leaf1 XGE1/0/9) HGE1/0/29(连接Server Leaf1 HGE1/0/29) HGE1/0/30(连接Server Leaf1 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/6) HGE1/0/27(连接Spine2 HGE1/0/6) |
|
Service Leaf1 |
EVPN接入设备 |
192.168.11.6 |
Loopback0 10.1.1.6/32 XGE1/0/9(连接Service Leaf2 XGE1/0/9) HGE1/0/29(连接Service Leaf2 HGE1/0/29) HGE1/0/30(连接Service Leaf2 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/7) HGE1/0/27(连接Spine2 HGE1/0/7) 与FW的接口连接关系如下表所示 |
|
Service Leaf2 |
EVPN接入设备 |
192.168.11.7 |
Loopback0 10.1.1.7/32 XGE1/0/9(连接Service Leaf1 XGE1/0/9) HGE1/0/29(连接Service Leaf1 HGE1/0/29) HGE1/0/30(连接Service Leaf1 HGE1/0/30) HGE1/0/25(连接Spine1 HGE1/0/8) HGE1/0/27(连接Spine2 HGE1/0/8) 与FW的接口连接关系如下表所示 |
|
FW1 |
防火墙设备 |
192.168.11.101 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW2) XGE2/0/16加入RAGG64(连接FW2) 与Service Leaf的接口连接关系如下表所示 |
|
FW2 |
防火墙设备 |
192.168.11.102 |
虚拟设备管理接口: XGE2/0/1加入RAGG1(连接管理交换机) XGE2/0/2加入RAGG1(连接管理交换机) RBM数据通道接口: XGE2/0/15加入RAGG64(连接FW1) XGE2/0/16加入RAGG64(连接FW1) 与Service Leaf设备的接口连接关系如下表所示 |
Border与FW之间的业务接口连接关系如下表所示。
表11-2 Service Leaf与FW间业务接口连接关系
|
FW |
Border |
|
下行接口: FW1 XGE2/0/3加入RAGG2 FW1 XGE2/0/4加入RAGG2 上行接口: FW1 XGE2/0/5加入RAGG3 FW1 XGE2/0/6加入RAGG3 |
下行接口: Service Leaf1 XGE6/0/1加入BAGG1 MLAG Group1 Service Leaf2 XGE6/0/1加入BAGG1 MLAG Group1 上行接口: Service Leaf1 XGE6/0/2加入BAGG2 MLAG Group2 Service Leaf2 XGE6/0/2加入BAGG2 MLAG Group2 |
|
下行接口: FW2 XGE2/0/3加入RAGG2 FW2 XGE2/0/4加入RAGG2 上行接口: FW2 XGE2/0/5加入RAGG3 FW2 XGE2/0/6加入RAGG3 |
下行接口: Service Leaf1 XGE6/0/5加入BAGG3 MLAG Group3 Service Leaf2 XGE6/0/5加入BAGG3 MLAG Group3 上行接口: Service Leaf1 XGE6/0/6加入BAGG4 MLAG Group4 Service Leaf2 XGE6/0/6加入BAGG4 MLAG Group4 |
本组网中Spine和Border为12500G,Leaf为S6850,如果存在其他设备类型请自行规划。另外,接口连接关系也仅供参考,实际组网请自行规划。
租户资源及IP地址规划如下表所示。
表11-3 资源规划
|
规划项 |
配置示例 |
说明 |
|
|
物理设备管理网 |
192.168.11.0/24 网关:192.168.11.1 |
|
|
|
Fabric |
· 名称:fabric1 · AS号:100 |
|
|
|
VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
|
|
IP地址池 |
通用网络 |
· 名称:服务链IP地址池1 · 地址段: ¡ 10.80.1.1-10.80.1.254 ¡ 2001::10:80:1:1-2001::10:80:1::FE · 默认地址池:不勾选 |
一条服务链的一个双臂服务节点使用8个IPv4地址,掩码为30位,使用8个IPv6地址,前缀长度为126 |
|
VLAN池 |
租户承载网 |
· 名称:服务链vlan1 · VLAN范围:300-399 · 默认VLAN池:不勾选 |
一条服务链的一个双臂服务节点占用2个VLAN ID |
|
VXLAN池 |
· 名称:vxlan1 · VXLAN范围:10000-10999 |
一条服务链占用1个L3VNI,一个双臂服务节点占用2个L2VNI ID |
|
|
L4-L7设备组IP地址池 |
· 地址段:88.1.0.1—88.1.254.254 · 地址段:2000::88:1:0:1--2000::88:1:254:254 |
用于在RBM组网中分配VRRP实地址 上行口:一组VRRP占用2个IPV4地址,掩码为31位 下行口:一组VRRP占用2个IPV4地址,掩码为31位 |
|
|
L4-L7设备组IPv6链路本地地址池 |
· 地址段:FE80::88:1:0:1-FE80::88:1:254:254 |
L4-L7设备组IPv6链路本地地址池 |
|
|
外部网络1 |
· 名称:exnetwork2701 · 类型:VLAN · 网络分段:不开启 · IPv4子网名称和地址: ¡ v4exsubnet9 ¡ 100.0.9.0/24 · IPv6子网名称和地址: ¡ v6exsubnet9 ¡ 2001:100:0:9::/64 |
|
|
|
外部网络2 |
· 名称:exnetwork2702 · 类型:VLAN · 网络分段:不开启 · IPv4子网名称和地址: ¡ v4exsubnet10 ¡ 100.0.10.0/24 · IPv6子网名称和地址: ¡ v6exsubnet10 ¡ 2001:100:0:10::/64 |
|
|
|
外网虚拟端口vport |
· 名称:vport1 · 地址: ¡ 100.0.10.8 ¡ 2001:100:0:10::8 |
|
|
|
外网业务 |
· Internet1: ¡ 地址:19.1.1.0/64、19::/64 · Internet2: ¡ 地址:20.1.1.0/64、20::/64 |
|
|
图11-2 流程图
请配置并纳管组网中的交换设备,详细信息请参见《AD-DC 6.5 Underlay网络配置指导》。
请根据《AD-DC 6.5 安全服务资源配置指导》中对应设备型号的服务网关章节配置步骤,完成物理安全设备的基础配置。
参见章节“控制组件基础配置”的配置步骤,完成以下基础配置:
表11-4 控制组件基础配置
|
配置项 |
配置示例 |
说明 |
|
|
增加Fabric |
· 基础配置 ¡ 名称:fabric1 ¡ AS号:100 · 高级配置 ¡ EPG开关:开启(使用微分段功能需要开启) ¡ 未知单播报文抑制:勾选 ¡ 未知组播报文抑制:勾选 ¡ 广播报文抑制:勾选 |
|
|
|
配置VDS |
· 名称:VDS1 · 承载Fabric:fabric1 · VXLAN ID范围:1-16777215 |
VXLAN范围应涵盖VDS中所有子网的VXLAN ID。VXLAN的ID局域网内唯一,不同VDS不允许配置相同的VXLAN ID |
|
|
配置全局参数 |
· 启用IPv6:开启 · 交换设备下发安全策略流表:关闭 · VRF名称生成方式:按规则生成 |
|
|
|
增加IP地址池 |
通用网络 |
· 名称:服务链IP地址池1 · 地址段: ¡ 10.80.1.1-10.80.1.254 ¡ 2001::10:80:1:1-2001::10:80:1::FE · 默认地址池:不勾选 |
|
|
增加VLAN池 |
租户承载网 |
· 名称:服务链vlan1 · VLAN范围:300-399 · 默认VLAN池:不勾选 |
|
|
增加VXLAN池 |
· 名称:vxlan1 · VXLAN范围:10000-10999 |
|
|
|
增加设备组 |
· 名称:bdgroup1 · 网络位置:出口网关 · HA部署模式:M-LAG · 连接方式:VLAN跨网段 · 防火墙接入模式:直连 · 地址池列表:默认地址池 · VLAN池列表:默认VLAN池 · 设备组成员:border1,border2 |
网络位置、远端设备组、防火墙业务和连接方式四个参数在增加完后无法修改。其中防火墙业务和网络位置影响后续Fabric扩容,请做好规划后再配置 |
|
|
增加L4-L7设备 |
· 名称:FW1 · 厂商:H3C · 管理IP:192.168.11.101 |
|
|
|
· 名称:FW2 · 厂商:H3C · 管理IP:192.168.11.102 |
|
||
|
增加L4-L7设备组和地址池 |
增加 L4-L7设备组 |
· 名称:FWgroup1 · 包含设备:FW1,FW2 |
|
|
配置IP地址池 |
· 地址段:88.1.0.1—88.1.254.254 · 地址段:2000::88:1:0:1--2000::88:1:254:254 |
|
|
|
配置IPv6链路本地地址池 |
地址段:FE80::88:1:0:1-FE80::88:1:254:254 |
|
|
|
增加VLAN-VXLAN映射 |
· 名称:map1 · VLAN-VXLAN映射关系: ¡ 名称:map2701 ¡ VLAN起始值:2105 ¡ VXLAN起始值:2105 ¡ 映射区间宽度:1 ¡ 接入模式:VLAN · 应用到接口:应用到组网中Server-Leaf连接Server的所有聚合接口上 |
应用到接口前,需在[自动化>数据中心网络>设备资源>物理设备>配置下行口>配置下行口[XXX]]页面将接口配置为下行口 |
|
|
增加租户 |
· 名称:pulictenant1 · 名称:tenant1 · VDS名称:VDS1 |
|
|
(1) 进入[自动化>数据中心网络>资源池>设备资源>L4-L7物理资源池]页面,单击<增加>按钮,增加L4-L7物理资源池,参数如下:
¡ 名称:FWSCpool1。
¡ 服务类型:FW。
¡ 设备/设备组资源:勾选Fwgroup1,单击修改按钮
,进入L4-L7物理资源池模板页面。
图11-3 增加L4-L7物理资源池
(2) 在L4-L7物理资源池模板页面,单击<增加模板>按钮,增加模板,参数如下:
¡ 名称:FWSCtemp1。
¡ 设备组名称:FWgroup1。
¡ 类型:PBR服务链FW资源。
¡ 安全引擎组ID:1,不能修改。
¡ Context会话最大并发数:不填写。
¡ 防火墙规则总数:不填写。
¡ 管理接口:Route-Aggregation1。
¡ IPv4地址池:不填写。
- 起始:192.168.14.2。
- 结束:192.168.14.254。
- 子网掩码:255.255.255.0。
- IPv4网关地址:192.168.14.1。
¡ 下行接口:Route-Aggregation2。
¡ 上行接口:Route-Aggregation3。
图11-4 增加L4-L7物理资源池模板
(3) 单击<应用>按钮完成L4-L7物理资源池模板的增加操作。
(4) 单击<应用>按钮完成L4-L7资源池的增加操作。
(1) 进入[自动化>数据中心网络>公共服务设置>资源接入模板]页面,在全局配置区域配置服务链虚拟路由器VXLAN池:vxlan1,配置完成后单击<应用>按钮。
图11-5 创建服务链资源接入模板
(2) 在资源接入模板区域单击<增加>按钮,进入增加资源接入模板页面,填写资源接入模板的参数,如下:
¡ 名称:accesstemp1。
¡ 资源来源:L4-L7资源。
¡ 资源模板名称:FWSCtemp1。
¡ 地址池:服务链IP地址池1。
¡ VLAN池:服务链vlan1。
¡ VXLAN池:vxlan1。
(3) 在接入信息区域单击<增加>按钮,增加接入信息,配置完成后单击<应用>按钮。
¡ 接入设备:leaf3,连接模式:双臂,入接口BAGG2,出接口BAGG1。
¡ 接入设备:leaf4,连接模式:双臂,入接口BAGG2,出接口BAGG1。
¡ 接入设备:leaf3,连接模式:双臂,入接口BAGG4,出接口BAGG3。
¡ 接入设备:leaf4,连接模式:双臂,入接口BAGG4,出接口BAGG3。
Leaf的入接口对应FW的上行接口,Leaf的出接口对应FW的下行接口。
图11-6 增加资源接入模板
(1) 进入[自动化>数据中心网络>公共网络设置>出口网关]页面。
(2) 单击<增加>按钮进入增加出口网关页面,在该页面进行如下配置:
¡ 名称:gw1。
¡ 共享网关:选择“关闭”。
图11-7 增加出口网关gw1
¡ 单击<增加出口网关成员>按钮,在弹出的对话框中进行如下配置,配置完成后单击<应用>按钮。
- 名称:gw1member。
- 所属Fabric:fabric1。
- 设备组:bdgroup1。
- 优先级:1。
- 单击<应用>按钮完成增加出口网关成员的操作。
图11-8 增加出口网关成员gw1member
(3) 单击<应用>按钮完成出口网关的增加操作。
分别进入修改publictenant1租户和tenant1租户页面,进行绑定网关资源的操作。
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(2) 单击指定租操作栏的
按钮,进入修改租户页面。
(3) 在分配网关资源区域单击<增加>按钮在弹出的对话框中进行如下配置:
¡ 选择已增加的出口网关gw1。
¡ 默认网关不选择。
(4) 单击<应用>按钮完成租户绑定出口网关的操作。
图11-9 公共租户下publictenant1下绑定网关资源
图11-10 普通租户tenant1下绑定网关资源
(1) 进入[自动化>数据中心网络>租户管理>全部租户]页面,选择租户“publictenant1”,点击
按钮,进入修改租户页面。在服务资源配置区域,创建VFW服务资源,如下:
¡ 资源名称:pubfwsccontext1
¡ 使用场景:服务链
¡ 服务类型:虚拟防火墙(VFW)
¡ 资源分配方式:从资源池分配
¡ 资源来源:L4-L7物理资源池
¡ 资源池名称:FWSCpool1
¡ 共享资源节点:关闭
图11-11 增加服务链VFW服务资源
(2) 点击<应用>按钮,开始创建VFW服务资源,资源创建成功后,将在FW1和FW2设备上各这创建一个VFW Context,这两个VFW Context的管理地址不同。
普通租户tenant1可复用公共租户publictenant1的VFW资源。
表11-5 服务资源
|
服务资源名称 |
使用场景 |
服务类型 |
资源分配方式 |
租户 |
资源类型 |
服务类型 |
|
fwsccontext2701 |
服务链 |
虚拟防火墙(VFW) |
复用已创建资源 |
publictenant1 |
NGFW_SC_SERVICE |
pubfwsccontext1 |
|
fwsccontext2702 |
服务链 |
虚拟防火墙(VFW) |
复用已创建资源 |
publictenant1 |
NGFW_SC_SERVICE |
pubfwsccontext1 |
|
fwsccontext2703 |
服务链 |
虚拟防火墙(VFW) |
复用已创建资源 |
publictenant1 |
NGFW_SC_SERVICE |
pubfwsccontext1 |
|
fwsccontext2704 |
服务链 |
虚拟防火墙(VFW) |
复用已创建资源 |
publictenant1 |
NGFW_SC_SERVICE |
pubfwsccontext1 |
(2) 进入[自动化>数据中心网络>租户管理>全部租户]页面。
(3) 单击指定租户tenant1操作栏的
按钮,进入修改租户页面。
(4) 在分配服务资源区域进行如下参数配置。
a. 资源类型:选择“服务资源”。
b. 单击<增加>按钮,进入增加服务资源fwsccontext2701页面,该页面的参数配置如下。
- 资源名称:fwsccontext2701。
- 使用场景:选择“服务链”。
- 服务类型:选择“虚拟防火墙(VFW)”。
- 资源分配方式:复用已创建资源。
- 租户:publictenant1。
- 资源类型:NGFW_SC_SERVICE。
- 服务资源:pubfwsccontext1。
图11-12 增加服务链VFW服务资源fwsccontext2701
- 单击<应用>按钮完成增加服务资源fwsccontext2701的操作。
c. 在分配服务资源区域再次单击<增加>按钮,进入增加服务资源fwsccontext2702页面,该页面的参数配置如下
- 资源名称:fwsccontext2702。
- 使用场景:选择“服务链”。
- 服务类型:选择“虚拟防火墙(VFW)”。
- 资源分配方式:复用已创建资源。
- 租户:publictenant1。
- 资源类型:NGFW_SC_SERVICE。
- 服务资源:pubfwsccontext1。
图11-13 增加服务链VFW服务资源fwsccontext2702
- 单击<应用>按钮完成增加服务资源fwsccontext2702的操作。
d. 在分配服务资源区域再次单击<增加>按钮,进入增加服务资源fwsccontext2703页面,该页面的参数配置如下:
- 资源名称:fwsccontext2703。
- 使用场景:选择“服务链”。
- 服务类型:选择“虚拟防火墙(VFW)”。
- 资源分配方式:复用已创建资源。
- 租户:publictenant1。
- 资源类型:NGFW_SC_SERVICE。
- 服务资源:pubfwsccontext1。
图11-14 增加服务链VFW服务资源fwsccontext2703
- 单击<应用>按钮完成增加服务资源fwsccontext2703的操作。
e. 在分配服务资源区域再次单击<增加>按钮,进入增加服务资源fwsccontext2704页面,该页面的参数配置如下:
- 资源名称:fwsccontext2704。
- 使用场景:选择“服务链”。
- 服务类型:选择“虚拟防火墙(VFW)”。
- 资源分配方式:复用已创建资源。
- 租户:publictenant1。
- 资源类型:NGFW_SC_SERVICE。
- 服务资源:pubfwsccontext1。
图11-15 增加服务链VFW服务资源fwsccontext2704
- 单击<应用>按钮完成增加服务资源fwsccontext2704的操作。
(5) 4个服务资源全部配置完成后,单击<应用>按钮完成修改租户的操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟链路层网络]页面。
(2) 单击<增加>按钮进入增加虚拟链路层页面,在该页面进行如下配置。
¡ 基础配置。
- 名称:network2701。
- 类型:VXLAN
- Segment ID:2105。
图11-16 增加虚拟链路层网络
¡ 增加IPv4子网:“子网”页签下单击<增加>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
- IP版本:IPv4。
- 名称:subnetv4-2701。
- 子网网段:11.27.1.0/24。
- 网关IP:11.27.1.1。
图11-17 增加IPv4子网
¡ 增加IPv6子网:再次单击“子网”页签的<增加>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
- IP版本:IPv6。
- 名称:subnetv6-2701。
- 子网网段:2001:11:27:1::/64。
- 网关IP:2001:11:27:1::1。
图11-18 增加IPv6子网
(3) 单击<应用>按钮完成虚拟链路层网络的配置。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击<增加>按钮进入增加虚拟路由器页面,在该页面进行如下配置:
¡ 名称:router2701。
¡ Segment ID:11105。
¡ “子网”页签下单击<增加>按钮,在弹出的对话框中选择已增加的子网subnetv4-2701和subnetv6-2701。选择完成后单击<应用>按钮。
图11-19 虚拟路由器绑定子网
¡ “外部网络”页签下外网出口设备选择“边界设备”。
图11-20 外网出口设备选择“边界设备”
(3) 配置完成后单击<应用>按钮。
在[自动化>数据中心网络>公共网络设置>外部网络]页面中增加2个外部网络,具体配置如下表所示。
表11-6 外部网络参数配置表
|
外部网络名称 |
类型 |
网络分段 |
Segment ID |
External Segment ID |
IPv4/IPv6子网名称 |
子网网段 |
网关IP |
|
exnetwork2701 |
VLAN |
关闭 |
4009 |
4009 |
v4exsubnet9 |
100.0.9.0/24 |
100.0.9.1 |
|
v6exsubnet9 |
2001:100:0:9::/64 |
2001:100:0:9::1 |
|||||
|
exnetwork2702 |
VLAN |
关闭 |
4010 |
4010 |
v4exsubnet10 |
100.0.10.0/24 |
100.0.10.1 |
|
v6exsubnet10 |
2001:100:0:10::/64 |
2001:100:0:10::1 |
下面以外部网络exnetwork2701为例进行配置。
(2) 进入[自动化>数据中心网络>公共网络设置>外部网络]页面,单击<增加>按钮进入增加外部网络页面,在该页面进行如下配置:
¡ 名称:exnetwork2701。
¡ 网络分段:关闭。
¡ 类型:VLAN。不同类型会下发不同配置,以VLAN为例。
¡ Segment ID:4009。
¡ External Segment ID:4009。
图11-21 增加外部网络exnetwork2701
¡ 选择IPv4子网页签,单击<增加>按钮,配置如下参数,配置完成后单击<应用>按钮。
- 名称:v4exsubnet9。
- 网段:100.0.9.0/24。
- 网关:100.0.9.1。
图11-22 增加IPv4子网
¡ 选择IPv6子网签,单击<增加>按钮,配置如下参数,配置完成后单击<应用>按钮。
- 名称:v6exsubnet9。
- 子网网段:2001:100:0:9::/64。
- 网关:2001:100:0:9::1。
图11-23 配置IPv6子网
(3) 单击<应用>按钮完成增加外部网络的操作。
按照上述的方式再创建exnetwork2702以及子网,此处省略。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟端口]页面,选择“虚拟端口”页签,单击<增加>按钮,进入增加虚拟端口页面。
(2) 在该页面配置如下参数:
¡ 名称:vport1。
¡ 虚拟链路层网络:选择exnetwork2702。
¡ IP地址:100.0.10.8和2001:100:0:10::8。
图11-24 增加虚拟端口
(3) 单击<应用>按钮完成增加虚拟端口的操作。
(1) 进入[自动化>数据中心网络>公共网络设置>路由表]页面。
(2) 单击<增加>按钮进入增加路由表页面,在该页面进行如下配置。
¡ 名称:routetable2701。
¡ 租户:tenant1。
¡ 虚拟路由器:router2701。
图11-25 增加路由表
(3) 单击<增加路由表项>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
¡ 目的网段:20.1.1. 0/24。
¡ 下一跳类型:IPv4。
¡ 下一跳IP地址:子网v4exsubnet10的网关地址100.0.10.1。
¡ 迭代主机路由:关闭。
图11-26 增加IPv4路由表项
(4) 再次单击<增加路由表项>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
¡ 目的网段:20::/64。
¡ 下一跳类型:IPv6。
¡ 下一跳IP地址:子网v6exsubnet10的网关地址2001:100:0:10::1。
¡ 迭代主机路由:关闭。
图11-27 增加IPv6路由表项
(5) 单击<应用>按钮完成增加路由表的操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击router2701的“网关(number)”超链接,在弹出的对话框中绑定已增加的共享型出口网关gw1。
图11-28 虚拟路由器router2701绑定出口网关
(3) 单击<应用>按钮完成虚拟路由器绑定出口网关的操作。
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router2701操作栏的
按钮进入修改虚拟路由器页面。
(3) 单击“外部网络”页签,配置如下参数:
a. 外部网络:选择外部网络exnetwork2701。
b. 单击<绑定IPv4外网子网>按钮,绑定IPv4子网v4exsubnet9。
c. 单击<绑定IPv6外网子网>按钮绑定IPv6子网v6exsubnet9。
(4) 单击<应用>按钮完成虚拟路由器绑定外部网络的操作。
图11-29 虚拟路由器绑定外部网络
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router2701操作栏的
按钮进入修改虚拟路由器页面。
(3) 单击“虚拟端口”页签后单击<增加>按钮,在弹出的对话框中vport1,选择完成后单击<应用>按钮。
(4) 单击<应用>按钮完成虚拟路由器绑定虚拟端口的操作。
图11-30 虚拟路由器绑定虚拟端口
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>虚拟路由器]页面。
(2) 单击虚拟路由器router2701操作栏的
按钮进入修改虚拟路由器页面。
(3) 在“路由信息”页签下绑定路由表routertable2701。
(4) 单击<应用>按钮完成虚拟路由器绑定路由表的操作。
图11-31 虚拟路由器绑定路由表
增加防火墙前需先进行增加规则、策略绑定并激活规则后,再进行增加防火墙的操作。具体的规则、策略及防火墙配置如下表所示
表11-7 防火墙规划
|
防火墙名称 |
使用场景 |
连接模式 |
防火墙绑定的资源 |
入/出方向策略名称 |
入/出方向策略引用的规则名称 |
IP版本 |
服务 |
动作 |
|
fw2701 |
服务链 |
双臂 |
fwsccontext2701 |
policy2701 |
v4rule2701 |
IPv4 |
协议;所有 |
允许 |
|
fw2702 |
服务链 |
双臂 |
fwsccontext2702 |
policy2702 |
v6rule2702 |
IPv6 |
协议;所有 |
允许 |
|
fw2703 |
服务链 |
双臂 |
fwsccontext2703 |
policy2703 |
v4rule2703 |
IPv4 |
协议;所有 |
允许 |
|
fw2704 |
服务链 |
双臂 |
fwsccontext2704 |
policy2704 |
v6rule2704 |
IPv6 |
协议;所有 |
允许 |
下面以增加防火墙fw2701为例进行配置。
(2) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略>规则]页面。单击<增加规则>按钮,在弹出的对话框中配置如下参数,配置完成后单击<应用>按钮。
增加IPv4规则:
¡ 名称:v4rule2701。
¡ IP版本:IPv4。
¡ 服务:协议——所有。
¡ 动作:允许。
¡ 其余参数保持默认值。
图11-32 增加IPv4规则
(3) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>安全策略>策略]页面。单击<增加策略>按钮,在弹出的对话框中配置如下参数。
¡ 名称:policy2701。
¡ 激活:勾选激活。
¡ 配置完成后单击<应用>按钮。
图11-33 增加策略
¡ 单击规则区段超链接,在绑定规则页面,绑定已创建的规则v4rule2701。并确保已勾选激活。
图11-34 策略绑定规则
(4) 进入[自动化>数据中心网络>租户[tenant1]的网络>防火墙>防火墙]页面,单击<增加防火墙>按钮,进入增加防火墙页面,配置如下参数:
¡ 名称:fw2701。
¡ 使用场景:服务链。
¡ 连接方式:双臂。
¡ 入方向安全策略:policy2701。
¡ 出方向策略:policy2701。
¡ 资源:fwsccontext2701。
图11-35 增加防火墙
¡ 配置完成后单击<应用>按钮。
增加四个服务路径,各参数配置请参见下表。
|
名称 |
IP版本 |
服务路径组件 |
|
scpath2701 |
IPv4 |
fw2701 |
|
scpath2702 |
IPv6 |
fw2702 |
|
scpath2703 |
IPv4 |
fw2703 |
|
scpath2704 |
IPv6 |
fw2704 |
以增加服务路径scpath2701为例,配置步骤如下:
(2) 进入[自动化>数据中心网络>租户[tenant1]的网络>服务链>微分段服务链>服务路径]页面,单击<增加>按钮,进入增加服务路径页面,在该页面配置如下参数:
¡ 名称:scpath2701。
¡ IP版本:IPv4。
¡ 其他参数可根据组网需求配置,以使用缺省配置为例。
(3) 将FW组件fw2701拖拽至方框内。
(4) 单击<应用>按钮,完成服务路径的增加操作。
图11-36 增加服务路径scpath2701
图11-37 增加4条服务路径
增加5个EPG,各参数配置请参见下表。
表11-9 EPG参数配置表
|
名称 |
类型 |
其他参数 |
|
epg2701 |
Network |
· 自动同步EPG到对端:是 · 成员:虚拟链路层网络network2701 |
|
epgexroute2701 |
External |
· 出口模式:单出口 · 虚拟路由器:route2701 · 成员: ¡ 外网网段地址0.0.0.0/0 · 外网子网: ¡ v4exsubnet9 |
|
epgexroute2702 |
External |
· 出口模式:单出口 · 虚拟路由器:route2701 · 成员: ¡ 外网网段地址::/0 · 外网子网: ¡ v6exsubnet9 |
|
epgexroute2703 |
External |
· 出口模式:单出口 · 虚拟路由器:route2701 · 成员: ¡ 外网网段地址20.1.1.0/24 · 外网子网: ¡ v4exsubnet10 |
|
epgexroute2704 |
External |
· 出口模式:单出口 · 虚拟路由器:route2701 · 成员: ¡ 外网网段地址20::/64 · 外网子网: ¡ v6exsubnet10 |
配置步骤如下:
增加epg2701:
(2) 进入[自动化>数据中心网络>租户[tenant1]的网络>服务链>微分段服务链>EPG]页面,单击<增加>按钮,进入增加EPG页面,在该页面配置如下参数:
¡ 名称:epg2701。
¡ 类型:Network。
¡ 自动同步EPG到对端:是。
¡ 在成员区域,选择虚拟链路层网络network2701。
¡ 其他参数可根据组网需求配置,以使用缺省配置为例。
(3) 单击<应用>按钮,完成EPG epg2701的增加操作。
图11-38 增加epg 2701
增加epgexroute2701:
(4) 在增加EPG页面配置如下参数:
¡ 名称:epgexroute2701。
¡ 类型:External。
¡ 虚拟路由器:router2701。
¡ 出口模式:单出口。
¡ 在成员区域,外网网段填写0.0.0.0/0后单击<增加>按钮。
¡ 已选外网子网为v4exsubnet9。
(5) 单击<应用>按钮,完成EPG epgexroute2701的增加操作。
图11-39 增加epgexroute2701
增加epgexroute2702:
(6) 在增加EPG页面配置如下参数:
¡ 名称:epgexroute2702。
¡ 类型:External。
¡ 虚拟路由器:router2701。
¡ 出口模式:单出口。
¡ 在成员区域,外网网段填写::/0后单击<增加>按钮。
¡ 已选外网子网为v6exsubnet9。
(7) 单击<应用>按钮,完成EPG epgexroute2702的增加操作。
图11-40 增加epgexroute2702
增加epgexroute2703:
(8) 在增加EPG页面配置如下参数:
¡ 名称:epgexroute2703。
¡ 类型:External。
¡ 虚拟路由器:router2701。
¡ 出口模式:单出口。
¡ 在成员区域,外网网段填写20.1.1.0/24后单击<增加>按钮。
¡ 已选外网子网为v4exsubnet10。
(9) 单击<应用>按钮,完成EPG epgexroute2703的增加操作。
图11-41 增加epgexroute2703
增加epgexroute2704:
(10) 在增加EPG页面配置如下参数:
¡ 名称:epgexroute2704。
¡ 类型:External。
¡ 虚拟路由器:router2701。
¡ 出口模式:单出口。
¡ 在成员区域,外网网段填写20::/64后单击<增加>按钮。
¡ 已选外网子网为v6exsubnet10。
(11) 单击<应用>按钮,完成EPG epgexroute2704的增加操作。
图11-42 增加epgexroute2704
(1) 进入[自动化>数据中心网络>租户[tenant1]的网络>服务链>微分段服务链>应用策略]页面,单击<虚拟路由器内策略>按钮,进入增加虚拟路由器内策略页面,在该页面配置如下参数:
¡ 名称:appolicy2701。
¡ 虚拟路由器:router2701。
¡ 默认动作:Deny All。
¡ 在例外规则区域,单击<增加>按钮,在弹出的对话框中增加4条例外规则,各参数配置请参见如下表所示。
表11-10 例外规则参数配置表
|
序号 |
IP版本 |
源EPG |
目的EPG |
协议类型 |
动作 |
方向 |
服务路径 |
|
1 |
IPv4 |
epg2701 |
epgexroute2701 |
ICMP |
Redirect |
双向 |
scpath2701 |
|
2 |
IPv6 |
epg2701 |
epgexroute2702 |
ICMPv6 |
Redirect |
双向 |
scpath2702 |
|
3 |
IPv4 |
epg2701 |
epgexroute2703 |
ICMP |
Redirect |
双向 |
scpath2703 |
|
4 |
IPv6 |
epg2701 |
epgexroute2704 |
ICMPv6 |
Redirect |
双向 |
scpath2704 |
下面以配置例外规则1为例进行配置。
- IP版本:IPv4。
- 源EPG:epg2701。
- 目的EPG:epgexroute2701。
- 协议类型:ICMP。
- 动作:Redirect。
- 方向:双向。
- 服务路径:scpath2701。
- 单击<应用>按钮完成例外规则的增加操作。
图11-43 增加例外规则
图11-44 增加应用策略
(2) 单击<应用>按钮,完成应用策略的增加配置。
(1) Server-Leaf上预期下发
#
microsegment enable
#
microsegment 10019 name SDN_EPG_10019
member ipv4 11.27.1.0 255.255.255.0 vpn-instance tenant1_router2701_11105
member ipv6 2001:11:27:1:: 64 vpn-instance tenant1_router2701_11105
#
#
microsegment 10024 name SDN_EPG_10024
member ipv4 0.0.0.0 0.0.0.0 vpn-instance tenant1_router2701_11105
#
#
#
microsegment 10030 name SDN_EPG_10030
member ipv6 :: 0 vpn-instance tenant1_router2701_11105
#
microsegment 10031 name SDN_EPG_10031
member ipv4 20.1.1.0 255.255.255.0 vpn-instance tenant1_router2701_11105
#
#
#
microsegment 10032 name SDN_EPG_10032
member ipv6 20:: 64 vpn-instance tenant1_router2701_11105
#
Advanced IPv4 ACL named SDN_SC_M_839_8e0e5ce9-aad2-4c90-b36a-3a7e752f0458, 1 rule,
SDN_ACL_SDN_SC_M_839_8e0e5ce9-aad2-4c90-b36a-3a7e752f0458
ACL's step is 5, start ID is 0
rule 0 permit ip vpn-instance tenant1_router2701_11105 source microsegment 10019 destination microsegment 10019
Advanced IPv4 ACL named SDN_SC_F_E_R_839_cff5ba97-00b2-4188-83c3-e348e78f40a3, 1 rule,
SDN_ACL_SDN_SC_F_E_R_839_cff5ba97-00b2-4188-83c3-e348e78f40a3
ACL's step is 5, start ID is 0
rule 0 permit icmp vpn-instance tenant1_router2701_11105 source microsegment 10019 destination microsegment 10024
Advanced IPv4 ACL named SDN_SC_F_E_R_839_e648421e-8cc7-4d47-b3c3-a07522c9a526, 1 rule,
SDN_ACL_SDN_SC_F_E_R_839_e648421e-8cc7-4d47-b3c3-a07522c9a526
ACL's step is 5, start ID is 0
rule 0 permit icmp vpn-instance tenant1_router2701_11105 source microsegment 10019 destination microsegment 10031
Advanced IPv4 ACL named SDN_SC_matchAll_M_8e0e5ce9-aad2-4c90-b36a-3a7e752f0458, 1 rule,
SDN_ACL_SDN_SC_matchAll_M_8e0e5ce9-aad2-4c90-b36a-3a7e752f0458
ACL's step is 5, start ID is 0
rule 0 permit ip
#
Policy name: SDN_SC_2105
node 0 permit:
if-match acl name SDN_SC_F_E_R_839_cff5ba97-00b2-4188-83c3-e348e78f40a3
apply next-hop vpn-instance SDN_SC_5 10.80.1.2
apply service-chain path-id 5 path-index 1
node 2 permit:
if-match acl name SDN_SC_F_E_R_839_e648421e-8cc7-4d47-b3c3-a07522c9a526
apply next-hop vpn-instance SDN_SC_7 10.80.1.10
apply service-chain path-id 7 path-index 1
node 4 permit:
if-match acl name SDN_SC_M_839_8e0e5ce9-aad2-4c90-b36a-3a7e752f0458
node 5 permit:
if-match acl name SDN_SC_matchAll_M_8e0e5ce9-aad2-4c90-b36a-3a7e752f0458
apply output-interface NULL0
#
Policy name: SDN_SC_2105
node 0 permit:
if-match acl name SDN_SC_F_E_R_839_8e6ed420-b6cf-4f49-b79a-5bec55341559
apply next-hop vpn-instance SDN_SC_6 2001::10:80:1:2
apply service-chain path-id 6 path-index 1
node 2 permit:
if-match acl name SDN_SC_F_E_R_839_e4802de7-c3a6-4187-83d6-fac9e6ef0a6b
apply next-hop vpn-instance SDN_SC_8 2001::10:80:1:A
apply service-chain path-id 8 path-index 1
node 4 permit:
if-match acl name SDN_SC_M_839_8e0e5ce9-aad2-4c90-b36a-3a7e752f0458
node 5 permit:
if-match acl name SDN_SC_matchAll_M_8e0e5ce9-aad2-4c90-b36a-3a7e752f0458
apply output-interface NULL0
(2) Service-Leaf上预期下发
#
microsegment enbale
#
interface Bridge-Aggregation1
port link-type trunk
port trunk permit vlan 1 301 303 305 307
link-aggregation mode dynamic
port m-lag group 2 allow-single-member
#
service-instance 301
encapsulation s-vid 301
xconnect vsi SDN_VSI_10002
#
service-instance 303
encapsulation s-vid 303
xconnect vsi SDN_VSI_10005
#
service-instance 305
encapsulation s-vid 305
xconnect vsi SDN_VSI_10008
#
service-instance 307
encapsulation s-vid 307
xconnect vsi SDN_VSI_10011
#
interface Bridge-Aggregation2
port link-type trunk
port trunk permit vlan 1 300 302 304 306
link-aggregation mode dynamic
port m-lag group 1 allow-single-member
#
service-instance 300
encapsulation s-vid 300
xconnect vsi SDN_VSI_10001
#
service-instance 302
encapsulation s-vid 302
xconnect vsi SDN_VSI_10004
#
service-instance 304
encapsulation s-vid 304
xconnect vsi SDN_VSI_10007
#
service-instance 306
encapsulation s-vid 306
xconnect vsi SDN_VSI_10010
#
interface Bridge-Aggregation3
port link-type trunk
port trunk permit vlan 1 301 303 305 307
link-aggregation mode dynamic
port m-lag group 3 allow-single-member
#
service-instance 301
encapsulation s-vid 301
xconnect vsi SDN_VSI_10002
#
service-instance 303
encapsulation s-vid 303
xconnect vsi SDN_VSI_10005
#
service-instance 305
encapsulation s-vid 305
xconnect vsi SDN_VSI_10008
#
service-instance 307
encapsulation s-vid 307
xconnect vsi SDN_VSI_10011
#
interface Bridge-Aggregation4
port link-type trunk
port trunk permit vlan 1 300 302 304 306
link-aggregation mode dynamic
port m-lag group 4 allow-single-member
#
service-instance 300
encapsulation s-vid 300
xconnect vsi SDN_VSI_10001
#
service-instance 302
encapsulation s-vid 302
xconnect vsi SDN_VSI_10004
#
service-instance 304
encapsulation s-vid 304
xconnect vsi SDN_VSI_10007
#
service-instance 306
encapsulation s-vid 306
xconnect vsi SDN_VSI_10010
#
#
interface Vsi-interface10000
description SDN_VRF_VSI_Interface_10000
ip binding vpn-instance SDN_SC_5
ip policy-based-route SDN_SC_L3_10000
ipv6 address auto link-local
l3-vni 10000
#
interface Vsi-interface10003
description SDN_VRF_VSI_Interface_10003
ip binding vpn-instance SDN_SC_6
ipv6 policy-based-route SDN_SC_L3_10003
ipv6 address auto link-local
l3-vni 10003
#
#
interface Vsi-interface10006
description SDN_VRF_VSI_Interface_10006
ip binding vpn-instance SDN_SC_7
ip policy-based-route SDN_SC_L3_10006
ipv6 address auto link-local
l3-vni 10006
#
Policy name: SDN_SC_L3_10000
node 0 permit:
if-match service-chain path-id 5 path-index 1
apply next-hop vpn-instance SDN_SC_5 10.80.1.2
node 1 permit:
if-match service-chain path-id 8388613 path-index 1
apply next-hop vpn-instance SDN_SC_5 10.80.1.6
#
interface Vsi-interface10009
description SDN_VRF_VSI_Interface_10009
ip binding vpn-instance SDN_SC_8
ipv6 policy-based-route SDN_SC_L3_10009
ipv6 address auto link-local
l3-vni 10009
#
Policy name: SDN_SC_L3_10006
node 0 permit:
if-match service-chain path-id 7 path-index 1
apply next-hop vpn-instance SDN_SC_7 10.80.1.10
node 1 permit:
if-match service-chain path-id 8388615 path-index 1
apply next-hop vpn-instance SDN_SC_7 10.80.1.14
Policy name: SDN_SC_L3_10003
node 0 permit:
if-match service-chain path-id 6 path-index 1
apply next-hop vpn-instance SDN_SC_6 2001::10:80:1:2
node 1 permit:
if-match service-chain path-id 8388614 path-index 1
apply next-hop vpn-instance SDN_SC_6 2001::10:80:1:5
Policy name: SDN_SC_L3_10009
node 0 permit:
if-match service-chain path-id 8 path-index 1
apply next-hop vpn-instance SDN_SC_8 2001::10:80:1:A
node 1 permit:
if-match service-chain path-id 8388616 path-index 1
apply next-hop vpn-instance SDN_SC_8 2001::10:80:1:E
ip route-static vpn-instance SDN_SC_5 0.0.0.0 0 vpn-instance tenant1_router2701_11105 100.0.9.1 description SDN_ROUTE
ip route-static vpn-instance SDN_SC_7 20.1.1.0 24 vpn-instance tenant1_router2701_11105 100.0.10.1 description SDN_ROUTE
ipv6 route-static vpn-instance SDN_SC_6 :: 0 vpn-instance tenant1_router2701_11105 2001:100:0:9::1 description SDN_ROUTE
ipv6 route-static vpn-instance SDN_SC_8 20:: 64 vpn-instance tenant1_router2701_11105 2001:100:0:10::1 description SDN_ROUTE
(3) Border上预期下发
#
microsegment enable
#
microsegment 10019 name SDN_EPG_10019
member ipv4 11.27.1.0 255.255.255.0 vpn-instance external_vpn_4009
member ipv4 11.27.1.0 255.255.255.0 vpn-instance external_vpn_4010
member ipv4 11.27.1.0 255.255.255.0 vpn-instance tenant1_router2701_11105
member ipv6 2001:11:27:1:: 64 vpn-instance external_vpn_4009
member ipv6 2001:11:27:1:: 64 vpn-instance external_vpn_4010
member ipv6 2001:11:27:1:: 64 vpn-instance tenant1_router2701_11105
#
microsegment 10024 name SDN_EPG_10024
member ipv4 0.0.0.0 0.0.0.0 vpn-instance external_vpn_4009
member ipv4 0.0.0.0 0.0.0.0 vpn-instance tenant1_router2701_11105
#
microsegment 10031 name SDN_EPG_10031
member ipv4 20.1.1.0 255.255.255.0 vpn-instance external_vpn_4010
member ipv4 20.1.1.0 255.255.255.0 vpn-instance tenant1_router2701_11105
#
Advanced IPv4 ACL named SDN_SC_matchAll_M_deny_all, 1 rule,
SDN_ACL_SDN_SC_matchAll_M_deny_all
ACL's step is 5, start ID is 0
rule 0 permit ip
Advanced IPv4 ACL named SDN_SC_B_E_R_NS_fa9_cff5ba97-00b2-4188-83c3-e348e78f40a3, 1 rule,
SDN_ACL_SDN_SC_B_E_R_NS_fa9_cff5ba97-00b2-4188-83c3-e348e78f40a3
ACL's step is 5, start ID is 0
rule 0 permit icmp vpn-instance external_vpn_4009 source microsegment 10024 destination microsegment 10019
Advanced IPv4 ACL named SDN_SC_B_E_R_NS_faa_c371734b-52d4-4f88-81be-dda112f07062, 1 rule,
SDN_ACL_SDN_SC_B_E_R_NS_faa_c371734b-52d4-4f88-81be-dda112f07062
ACL's step is 5, start ID is 0
rule 0 permit icmp vpn-instance external_vpn_4010 source microsegment 10031 destination microsegment 10019
#
Policy name: SDN_SC_VLAN_4009
node 0 permit:
if-match acl name SDN_SC_B_E_R_NS_fa9_8e6ed420-b6cf-4f49-b79a-5bec55341559
apply next-hop vpn-instance SDN_SC_6 2001::10:80:1:5
apply service-chain path-id 8388614 path-index 1
node 255 permit:
if-match acl name SDN_SC_matchAll_M_deny_all
apply output-interface NULL0
Policy name: SDN_SC_VLAN_4010
node 0 permit:
if-match acl name SDN_SC_B_E_R_NS_faa_e4802de7-c3a6-4187-83d6-fac9e6ef0a6b
apply next-hop vpn-instance SDN_SC_8 2001::10:80:1:E
apply service-chain path-id 8388616 path-index 1
node 255 permit:
if-match acl name SDN_SC_matchAll_M_deny_all
apply output-interface NULL0
验证方法如下:
· 虚拟机(11.27.1.2/2001:11:27:1:1::2)访问出口1的外网IPv4、IPv6资源(19.1.1.1/19::100):可以Ping通19.1.1.1/19::100,同时检查防火墙(vfw1)上有源是11.27.1.2、目的是11.1.1.1的会话信息;源是2001:11:27:1:1::2、目的是2011::100的会话信息。
· 访问出口2的外网资源(20.1.1.1/20::1):可以ping通20.1.1.1,同时检查防火墙(vfw1)上有源是11.27.1.2、目的是20.1.1.1的会话信息;源是2001:11:27:1:1::2、目的是20::1的会话信息。
支持
