- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
09-M-LAG+EVPN分布式网关(Underlay路由协议为OSPF)+DHCP中继+微分段+服务链配置举例
本章节下载 (1.25 MB)
目 录
1 M-LAG+EVPN分布式网关(Underlay路由协议为OSPF)+DHCP中继+微分段+服务链配置举例
1.4 配置Service leaf(Leaf 1和Leaf 2)
1.7.6 配置Border外网L3设备的M-LAG聚合链路
1.11 配置DHCP server(单挂接入Leaf 5)
1.12 配置DHCP relay(client单挂接入leaf3)
1.13.1 配置Service leaf(Leaf 1和Leaf 2)
在EVPN分布式网关组网中,Leaf设备间通过M-LAG来避免单点故障对网络造成影响,提高EVPN网络的可靠性;DHCP client和DHCP server位于不同的VXLAN网络,DHCP client通过DHCP中继从DHCP server获取IP地址。具体需求如下:
· Leaf设备作为EVPN分布式网关,连接到Spine设备。
· Leaf 1和Leaf 2、Leaf 3和Leaf 4、Leaf 5和Leaf 6分别组成M-LAG系统。
· Leaf 1和Leaf 2组成M-LAG系统,作为Service leaf,下行连接防火墙设备。Leaf 1和Leaf 2上配置两个M-LAG接口,一个用于连接EW东西向防火墙,一个用于连接NS南北向防火墙。其中,进入和离开EW防火墙的流量所属的VXLAN分别为10999和11000;进入和离开NS防火墙的流量所属的VXLAN分别为10997和10998。
· Leaf 3和Leaf 4设备组成M-LAG系统,Leaf 5和Leaf 6设备组成M-LAG系统,均作为Leaf,下行连接服务器。其中,Leaf 3连接DHCP client虚拟机所在的服务器,Leaf 5连接DHCP server虚拟机所在的服务器。本举例以服务器主备接入Leaf为例,即单挂接入Leaf,实际应用中也可以采用DR方式接入Leaf。
· Border 1和Border 2组成M-LAG系统,作为Fabric的Border,上行通过M-LAG聚合连接到外网设备,下行连接到Spine A和Spine B。
· Spine A和Spine B作为路由反射器在Leaf 1、Leaf 2、Leaf 3、Leaf 4、Leaf5、Leaf 6、Border 1和Border 2之间反射路由,并进行underlay流量的转发。
· Underlay网络采用OSPF协议,实现设备间路由可达。
· 通过部署服务链是业务流量经过防火墙进行过滤和保护。
· 所有服务器业务所在的VPN为ZHTESTCTVRF;东西向业务(EW业务)所在的VPN为ZHTESTCTFWEW01VRF,DHCP业务流量不需要经过EW防火墙,除DHCP业务流量外的所有东西向业务流量都需要经过EW防火墙进行过滤和保护;南北向业务(NS业务)所在的VPN为ZHTESTCTFWNS01VRF,所有南北向业务流量都需要经过NS防火墙进行过滤和保护。
· 整网双栈部署,即同时支持IPv4/IPv6业务,IPv6网络之间走的IPv6 over IPv4隧道。
DHCP relay需求:
· 仅限组网下DHCP client可以分配到IPv4地址。
· DHCP client属于VXLAN 13313,DHCP server属于VXLAN 13342,通过EVPN分布式网关实现不同VXLAN之间的互通。
· Leaf设备作为DHCP中继,DHCP client通过DHCP中继从DHCP server获取IP地址。
服务器通过AC接入Leaf,Leaf基于虚拟机上线时的IP地址,将虚拟机划分到不同的微分段,通过微分段控制虚拟机的互访业务。微分段的部署需求如下:
· 微分段EPG 10001:业务网段。
· 微分段EPG 10002:公共服务器网段,例如FTP服务器。
· 微分段EPG 10001:外网默认路由网段。
· 微分段EPG 10001:专项DHCP server网段。
· 微分段EPG 10001和10001之间的业务互访,不需要微分段控制。
· 微分段EPG 10001和10002之间的业务互访,需要微分段控制,绕行EW防火墙。
· 微分段EPG 10001和10003之间的业务互访,需要微分段控制,绕行NS防火墙。
· 微分段EPG 10001和10004之间的业务互访,需要微分段控制,绕行EW防火墙,但是udp的DHCP报文不受微分段控制。
· 微分段EPG 10002和10002之间的业务互访,不需要微分段控制
· 微分段EPG 10002和10003之间的业务互访,需要微分段控制,绕行NS防火墙。
· 微分段EPG 10002和10004之间的业务互访,不需要微分段控制。
· 微分段EPG 10004和10004之间的业务互访,不需要微分段控制。
图1-1 组网图
表1-1 接口参数
|
设备 |
接口 |
IP地址 |
备注 |
|
Spine A |
LoopBack0 |
197.32.241.37 |
- |
|
HGE1/0/1 |
借用LoopBack0地址 |
连接Leaf 1 |
|
|
HGE1/0/2 |
借用LoopBack0地址 |
连接Leaf 2 |
|
|
HGE1/0/3 |
借用LoopBack0地址 |
连接Leaf 3 |
|
|
HGE1/0/4 |
借用LoopBack0地址 |
连接Leaf 4 |
|
|
HGE1/0/5 |
借用LoopBack0地址 |
连接Leaf 5 |
|
|
HGE1/0/6 |
借用LoopBack0地址 |
连接Leaf 6 |
|
|
HGE1/0/7 |
借用LoopBack0地址 |
连接Borser 1 |
|
|
HGE1/0/8 |
借用LoopBack0地址 |
连接Borser 2 |
|
|
Spine B |
LoopBack0 |
197.32.241.38 |
- |
|
HGE1/0/1 |
借用LoopBack0地址 |
连接Leaf 1 |
|
|
HGE1/0/2 |
借用LoopBack0地址 |
连接Leaf 2 |
|
|
HGE1/0/3 |
借用LoopBack0地址 |
连接Leaf 3 |
|
|
HGE1/0/4 |
借用LoopBack0地址 |
连接Leaf 4 |
|
|
HGE1/0/5 |
借用LoopBack0地址 |
连接Leaf 5 |
|
|
HGE1/0/6 |
借用LoopBack0地址 |
连接Leaf 6 |
|
|
HGE1/0/7 |
借用LoopBack0地址 |
连接Borser 1 |
|
|
HGE1/0/8 |
借用LoopBack0地址 |
连接Borser 2 |
|
|
Leaf 1 |
LoopBack0 |
197.32.241.41 |
- |
|
LoopBack2 |
197.32.241.55 |
- |
|
|
Vsi-interface10997 |
197.32.224.21 |
关联VXLAN 10997 |
|
|
Vsi-interface10998 |
197.32.224.25 |
关联VXLAN 10998 |
|
|
Vsi-interface10999 |
197.32.224.29 |
关联VXLAN 10999 |
|
|
Vsi-interface11000 |
197.32.224.33 |
关联VXLAN 11000 |
|
|
Vsi-interface13313 |
197.32.13.254 |
关联VXLAN 13313 |
|
|
HGE1/0/25 |
借用LoopBack0地址 |
连接Spine A |
|
|
HGE1/0/26 |
借用LoopBack0地址 |
连接Spine B |
|
|
HGE1/0/31 |
- |
连接Leaf 2,peer-link链路 |
|
|
Twenty-FiveGigE1/0/54 |
197.32.241.57 |
连接Leaf 2,keepalive链路 |
|
|
HGE1/0/51 |
- |
连接EW防火墙,M-LAG聚合257 |
|
|
HGE1/0/52 |
- |
连接NS防火墙,M-LAG聚合258 |
|
|
Leaf 2 |
LoopBack0 |
197.32.241.42 |
- |
|
LoopBack2 |
197.32.241.55 |
- |
|
|
Vsi-interface10997 |
197.32.224.21 |
关联VXLAN 10997 |
|
|
Vsi-interface10998 |
197.32.224.25 |
关联VXLAN 10998 |
|
|
Vsi-interface10999 |
197.32.224.29 |
关联VXLAN 10999 |
|
|
Vsi-interface11000 |
197.32.224.33 |
关联VXLAN 11000 |
|
|
Vsi-interface13313 |
197.32.13.254 |
关联VXLAN 13313 |
|
|
HGE1/0/25 |
借用LoopBack0地址 |
连接Spine A |
|
|
HGE1/0/26 |
借用LoopBack0地址 |
连接Spine B |
|
|
HGE1/0/31 |
- |
连接Leaf 1,peer-link链路 |
|
|
Twenty-FiveGigE1/0/54 |
197.32.241.58 |
连接Leaf 1,keepalive链路 |
|
|
HGE1/0/51 |
- |
连接EW防火墙,M-LAG聚合257 |
|
|
HGE1/0/52 |
- |
连接NS防火墙,M-LAG聚合258 |
|
|
Leaf 3 |
LoopBack0 |
197.32.241.43 |
- |
|
LoopBack2 |
197.32.241.64 |
- |
|
|
Vsi-interface13313 |
197.32.13.254 |
关联VXLAN 13313 |
|
|
HGE1/0/25 |
借用LoopBack0地址 |
连接Spine A |
|
|
HGE1/0/26 |
借用LoopBack0地址 |
连接Spine B |
|
|
HGE1/0/31 |
- |
连接Leaf 4,peer-link链路 |
|
|
Twenty-FiveGigE1/0/54 |
197.32.241.61 |
连接Leaf 4,keepalive链路 |
|
|
Twenty-FiveGigE1/0/2 |
- |
连接DHCP client |
|
|
Leaf 4 |
LoopBack0 |
197.32.241.44 |
- |
|
LoopBack2 |
197.32.241.64 |
- |
|
|
Vsi-interface13313 |
197.32.13.254 |
关联VXLAN 13313 |
|
|
HGE1/0/25 |
借用LoopBack0地址 |
连接Spine A |
|
|
HGE1/0/26 |
借用LoopBack0地址 |
连接Spine B |
|
|
HGE1/0/31 |
- |
连接Leaf 3,peer-link链路 |
|
|
Twenty-FiveGigE1/0/54 |
197.32.241.62 |
连接Leaf 3,keepalive链路 |
|
|
Leaf 5 |
LoopBack0 |
197.32.241.45 |
- |
|
LoopBack2 |
197.32.241.67 |
- |
|
|
Vsi-interface13342 |
197.32.42.254 |
关联VXLAN 13342 |
|
|
Vsi-interface13316 |
197.32.162.54 |
关联VXLAN 13316 |
|
|
HGE1/0/25 |
借用LoopBack0地址 |
连接Spine A |
|
|
HGE1/0/26 |
借用LoopBack0地址 |
连接Spine B |
|
|
HGE1/0/31 |
- |
连接Leaf 6,peer-link链路 |
|
|
Twenty-FiveGigE1/0/54 |
197.32.241.77 |
连接Leaf 6,keepalive链路 |
|
|
Twenty-FiveGigE1/0/2 |
- |
连接DHCP server |
|
|
Leaf 6 |
LoopBack0 |
197.32.241.46 |
- |
|
LoopBack2 |
197.32.241.67 |
- |
|
|
Vsi-interface13342 |
197.32.42.254 |
关联VXLAN 13342 |
|
|
Vsi-interface13316 |
197.32.162.54 |
关联VXLAN 13316 |
|
|
HGE1/0/25 |
借用LoopBack0地址 |
连接Spine A |
|
|
HGE1/0/26 |
借用LoopBack0地址 |
连接Spine B |
|
|
HGE1/0/31 |
- |
连接Leaf 5,peer-link链路 |
|
|
Twenty-FiveGigE1/0/54 |
197.32.241.78 |
连接Leaf 5,keepalive链路 |
|
|
Border 1 |
LoopBack0 |
197.32.241.47 |
- |
|
LoopBack2 |
197.32.241.86 |
- |
|
|
HGE1/0/25 |
借用LoopBack0地址 |
连接Spine A |
|
|
HGE1/0/26 |
借用LoopBack0地址 |
连接Spine B |
|
|
HGE1/0/31 |
借用LoopBack0地址 |
连接Border 2,peer-link链路 |
|
|
HGE1/0/51 |
借用LoopBack0地址 |
连接L3switch |
|
|
Twenty-FiveGigE1/0/54 |
197.32.241.93 |
连接Border 2,keepalive链路 |
|
|
Border 2 |
LoopBack0 |
197.32.241.48 |
- |
|
LoopBack2 |
197.32.241.86 |
- |
|
|
HGE1/0/25 |
借用LoopBack0地址 |
连接Spine A |
|
|
HGE1/0/26 |
借用LoopBack0地址 |
连接Spine B |
|
|
HGE1/0/31 |
借用LoopBack0地址 |
连接Border 1,peer-link链路 |
|
|
HGE1/0/51 |
借用LoopBack0地址 |
连接L3switch |
|
|
Twenty-FiveGigE1/0/54 |
197.32.241.94 |
连接Border 1,keepalive链路 |
|
|
EW防火墙 |
Vlan-interface999 |
197.32.224.30 |
- |
|
Vlan-interface1000 |
197.32.224.34 |
- |
|
|
HGE2/0/29 |
- |
连接Leaf 1,M-LAG聚合257 |
|
|
HGE2/0/30 |
- |
连接Leaf 2,M-LAG聚合257 |
|
|
NS防火墙 |
Vlan-interface997 |
197.32.224.22 |
- |
|
Vlan-interface998 |
197.32.224.26 |
- |
|
|
HGE3/0/29 |
- |
连接Leaf 1,M-LAG聚合258 |
|
|
HGE3/0/30 |
- |
连接Leaf 2,M-LAG聚合258 |
|
|
DHCP server |
- |
197.32.42.9 |
- |
请在适用软件版本的基础上安装当前最新补丁。
微分段+服务链相关配置仅S6805/S6825/S6850/S9850产品支持,其它产品可参考M-LAG+EVPN分布式网关+DHCP中继组网配置。
|
角色 |
设备 |
软件版本 |
|
Spine |
S12500X-AF/S12500F-AF |
R2825版本 |
|
S12500R |
R5210版本 |
|
|
S12500G-AF |
R7625版本 |
|
|
Border/Leaf |
S6800/S6860 |
R6710版本 |
|
S6900 |
R2910版本 |
|
|
S6805/S6825/S6850/S9850(本文以S6850为例) |
R6710版本 |
|
|
S6890 |
R2825版本 |
|
|
S6812/S6813 |
F6628P22及以上版本 |
|
|
S9820-64H(不支持EVPN网关功能) S9820-8C(不支持EVPN功能) |
不支持 |
|
|
SDN控制器 |
E3610P12H02或与控制器产品确认的较新版本 |
|
· 同一级M-LAG系统的两台设备要配置相同的M-LAG系统MAC地址;不同级M-LAG系统必须配置不同的M-LAG系统MAC地址,并保证全网唯一。
· 建议Spine设备使用动态路由协议连接外部网络。
· Leaf设备同时作为EVPN分布式网关和DHCP中继时,如果DHCP中继未记录收到的DHCP应答报文中DHCP客户端的MAC地址和中继出接口的对应关系,则DHCP中继必须根据客户端的MAC地址查询MAC地址表,在表项对应的出接口转发DHCP应答报文,即Leaf设备上必须执行dhcp relay mac-forward enable命令。同时,Leaf设备上还需要执行dhcp relay request-from-tunnel discard命令,配置DHCP中继丢弃从VXLAN隧道收到的DHCP请求报文。
· 配置设备模式
· 配置L3VPN
· 配置AC接入
设备模式相关配置的要求请参考ADDC方案的指导书。模式相关配置可能包括设备硬件资源模式配置(例如S6850 hardware-resource switch-mode命令)、前缀大于64位的IPv6路由功能配置(例如S6850 hardware-resource routing-mode ipv6-128命令)、VXLAN硬件资源模式配置(例如S6850 hardware-resource vxlan命令)等。
|
Leaf 1(S6850) |
Leaf 2(S6850) |
命令来源 |
命令说明/注意事项 |
|
router id 197.32.241.41 |
router id 197.32.241.42 |
手工配置/控制器下发 |
配置Router ID |
|
ospf 65530 |
ospf 65530 |
手工配置/控制器下发 |
启动OSPF进程65530 |
|
non-stop-routing |
non-stop-routing |
手工配置/控制器下发 |
使能OSPF协议的NSR功能 |
|
stub-router include-stub on-startup 900 |
stub-router include-stub on-startup 900 |
手工配置/控制器下发 |
配置在路由器重启期间,路由器作为Stub路由器,且路由器发布的Router-LSA中,链路类型为3的Stub链路度量值设置为最大值65535 通过本配置来优化OSPF路由的收敛效果 |
|
area 0.0.0.0 |
area 0.0.0.0 |
手工配置/控制器下发 |
创建OSPF区域0.0.0.0 |
|
interface LoopBack0 |
interface LoopBack0 |
手工配置/控制器下发 |
进入LoopBack0接口视图 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在LoopBack0接口上使能OSPF |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface LoopBack2 |
interface LoopBack2 |
手工配置/控制器下发 |
进入LoopBack2接口视图 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在LoopBack2接口上使能OSPF |
|
Leaf 1(S6850) |
Leaf 2(S6850) |
命令来源 |
命令说明/注意事项 |
|
interface LoopBack0 |
interface LoopBack0 |
手工配置/控制器下发 |
配置LoopBack0接口 |
|
ip address 197.32.241.41 255.255.255.255 |
ip address 197.32.241.42 255.255.255.255 |
手工配置/控制器下发 |
配置LoopBack0接口的IP地址 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface LoopBack2 |
interface LoopBack2 |
手工配置/控制器下发 |
配置LoopBack2接口 |
|
ip address 197.32.241.55 255.255.255.255 |
ip address 197.32.241.55 255.255.255.255 |
手工配置/控制器下发 |
配置LoopBack2接口的IP地址 |
|
ip vpn-instance auto-online-mlag |
ip vpn-instance auto-online-mlag |
手工配置/控制器下发 |
配置Keepalive链路所属的VPN实例 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance mgmt |
ip vpn-instance mgmt |
手工配置/控制器下发 |
配置网管口所属的VPN实例 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance ZHTESTCTVRF |
ip vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
配置下挂服务器的业务VPN实例 不同设备上,为业务VPN实例配置的RT必须匹配,以免无法学习到路由 |
|
route-distinguisher 1:10000 |
route-distinguisher 2:10000 |
手工配置/控制器下发 |
配置VPN实例的RD |
|
address-family ipv4 |
address-family ipv4 |
手工配置/控制器下发 |
进入VPN实例IPv4地址族视图 |
|
vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity |
vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity |
手工配置/控制器下发 |
配置VPN实例IPv4地址族的Import Target |
|
vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity |
vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity |
手工配置/控制器下发 |
配置VPN实例IPv4地址族的Export Target |
|
quit |
quit |
手工配置/控制器下发 |
退回VPN实例视图 |
|
address-family ipv6 |
address-family ipv6 |
手工配置/控制器下发 |
进入VPN实例IPv6地址族视图 |
|
vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity |
vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity |
手工配置/控制器下发 |
配置VPN实例IPv6地址族的Import Target |
|
vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity |
vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity |
手工配置/控制器下发 |
配置VPN实例IPv6地址族的Export Target |
|
quit |
quit |
手工配置/控制器下发 |
退回VPN实例视图 |
|
address-family evpn |
address-family evpn |
手工配置/控制器下发 |
进入VPN实例EVPN视图 |
|
vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity |
vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity |
手工配置/控制器下发 |
配置VPN实例EVPN地址族的Import Target |
|
vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity |
vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity |
手工配置/控制器下发 |
配置VPN实例EVPN地址族的Export Target |
|
quit |
quit |
手工配置/控制器下发 |
退回VPN实例视图 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance ZHTESTCTFWNS01VRF |
ip vpn-instance ZHTESTCTFWNS01VRF |
手工配置/控制器下发 |
配置NS防火墙的VPN实例 不同设备上,为NS防火墙的VPN实例配置的RT必须匹配,以免无法学习到路由 |
|
route-distinguisher 1:10001 |
route-distinguisher 2:10001 |
手工配置/控制器下发 |
配置VPN实例的RD |
|
address-family ipv4 |
address-family ipv4 |
手工配置/控制器下发 |
进入VPN实例IPv4地址族视图 |
|
vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity |
vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity |
手工配置/控制器下发 |
配置VPN实例IPv4地址族的Import Target |
|
vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity |
vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity |
手工配置/控制器下发 |
配置VPN实例IPv4地址族的Export Target |
|
quit |
quit |
手工配置/控制器下发 |
退回VPN实例视图 |
|
address-family ipv6 |
address-family ipv6 |
手工配置/控制器下发 |
进入VPN实例IPv6地址族视图 |
|
route-replicate from vpn-instance ZHTESTCTVRF protocol vlink-direct |
route-replicate from vpn-instance ZHTESTCTVRF protocol vlink-direct |
手工配置/控制器下发 |
将VPN实例ZHTESTCTVRF的IPv6 VLINK直连路由引入到当前VPN实例中 |
|
vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity |
vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity |
手工配置/控制器下发 |
配置VPN实例IPv6地址族的Import Target |
|
vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity |
vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity |
手工配置/控制器下发 |
配置VPN实例IPv6地址族的Export Target |
|
quit |
quit |
手工配置/控制器下发 |
退回VPN实例视图 |
|
address-family evpn |
address-family evpn |
手工配置/控制器下发 |
进入VPN实例EVPN地址族视图 |
|
vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity |
vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity |
手工配置/控制器下发 |
配置VPN实例EVPN地址族的Import Target |
|
vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity |
vpn-target0:10001 1:10001 0.39.17.0:10000 export-extcommunity |
手工配置/控制器下发 |
配置VPN实例EVPN地址族的Export Target |
|
quit |
quit |
手工配置/控制器下发 |
退回VPN实例视图 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance ZHTESTCTFWEW01VRF |
ip vpn-instance ZHTESTCTFWEW01VRF |
手工配置/控制器下发 |
配置EW防火墙的VPN实例 不同设备上,为EW防火墙的VPN实例配置的RT必须匹配,以免无法学习到路由 |
|
route-distinguisher 1:10002 |
route-distinguisher 2:10002 |
手工配置/控制器下发 |
配置VPN实例的RD |
|
address-family ipv4 |
address-family ipv4 |
手工配置/控制器下发 |
进入VPN实例IPv4地址族视图 |
|
vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity |
vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity |
手工配置/控制器下发 |
配置VPN实例IPv4地址族的Import Target |
|
vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity |
vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity |
手工配置/控制器下发 |
配置VPN实例IPv4地址族的Export Target |
|
quit |
quit |
手工配置/控制器下发 |
退回VPN实例视图 |
|
address-family ipv6 |
address-family ipv6 |
手工配置/控制器下发 |
进入VPN实例IPv6地址族视图 |
|
route-replicate from vpn-instance ZHTESTCTVRF protocol vlink-direct |
route-replicate from vpn-instance ZHTESTCTVRF protocol vlink-direct |
手工配置/控制器下发 |
将VPN实例ZHTESTCTVRF的IPv6 VLINK直连路由引入到当前VPN实例中 |
|
vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity |
vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity |
手工配置/控制器下发 |
配置VPN实例IPv6地址族的Import Target |
|
vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity |
vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity |
手工配置/控制器下发 |
配置VPN实例IPv6地址族的Export Target |
|
quit |
quit |
手工配置/控制器下发 |
退回VPN实例视图 |
|
address-family evpn |
address-family evpn |
手工配置/控制器下发 |
进入VPN实例EVPN地址族视图 |
|
vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity |
vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity |
手工配置/控制器下发 |
配置VPN实例EVPN地址族的Import Target |
|
vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity |
vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity |
手工配置/控制器下发 |
配置VPN实例EVPN地址族的Export Target |
|
quit |
quit |
手工配置/控制器下发 |
退回VPN实例视图 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip route-static vpn-instance ZHTESTCTFWNS01VRF 0.0.0.0 0 vpn-instance ZHTESTCTVRF 197.32.224.18 description SDN_ROUTE |
ip route-static vpn-instance ZHTESTCTFWNS01VRF 0.0.0.0 0 vpn-instance ZHTESTCTVRF 197.32.224.18 description SDN_ROUTE |
手工配置/控制器下发 |
将NS vpn内的ipv4缺省路由指回用户vpn内border上的外网地址,保证NS回程的南向北 |
|
ipv6 route-static vpn-instance ZHTESTCTFWNS01VRF :: 0 vpn-instance ZHTESTCTVRF FD00:0:97B0:2::F description SDN_ROUTE |
ipv6 route-static vpn-instance ZHTESTCTFWNS01VRF :: 0 vpn-instance ZHTESTCTVRF FD00:0:97B0:2::F description SDN_ROUTE |
手工配置/控制器下发 |
将NS vpn内的ipv6缺省路由指回用户vpn内border上的外网地址,保证NS回程的南向北 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
Leaf 1(S6850) |
Leaf 2(S6850) |
命令来源 |
命令说明/注意事项 |
|
m-lag system-mac 0c3a-fa36-ef49 |
m-lag system-mac 0c3a-fa36-ef49 |
手工配置/控制器下发 |
配置M-LAG系统的MAC地址 同一M-LAG组中,所有M-LAG设备的系统MAC地址必须相同 |
|
m-lag system-number 1 |
m-lag system-number 2 |
手工配置/控制器下发 |
配置M-LAG系统编号 同一M-LAG组中的M-LAG设备应配置不同的系统编号 |
|
m-lag system-priority 10 |
m-lag system-priority 10 |
手工配置/控制器下发 |
配置M-LAG系统优先级 同一M-LAG组中,所有M-LAG设备的系统优先级必须相同 |
|
m-lag keepalive ip destination 197.32.241.58 source 197.32.241.57 vpn-instance auto-online-mlag |
m-lag keepalive ip destination 197.32.241.57 source 197.32.241.58 vpn-instance auto-online-mlag |
手工配置/控制器下发 |
配置Keepalive报文的目的IP地址和源IP地址 同一M-LAG组中,M-LAG设备上配置的Keepalive报文的目的IP地址和源IP地址应匹配 |
|
m-lag restore-delay 300 |
m-lag restore-delay 300 |
手工配置/控制器下发 |
配置延迟恢复时间 在路由和接口较多时,可增加延迟恢复时间 |
|
m-lag mad default-action none |
m-lag mad default-action none |
手工配置/控制器下发 |
配置设备上的接口在M-LAG系统分裂后保持原状态不变 |
|
m-lag mad include interface HundredGigE1/0/25 m-lag mad include interface HundredGigE1/0/26 m-lag mad include interface HundredGigE1/0/51 m-lag mad include interface HundredGigE1/0/52 |
m-lag mad include interface HundredGigE1/0/25 m-lag mad include interface HundredGigE1/0/26 m-lag mad include interface HundredGigE1/0/51 m-lag mad include interface HundredGigE1/0/52 |
手工配置/控制器下发 |
配置上行口和连接防火墙的物理口在M-LAG系统分裂后处于M-LAG MAD DOWN状态 |
|
interface Twenty-FiveGigE 1/0/54 |
interface Twenty-FiveGigE 1/0/54 |
手工配置/控制器下发 |
进入Keepalive链路接口视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
配置Keepalive链路接口工作在三层模式 |
|
ip binding vpn-instance auto-online-mlag |
ip binding vpn-instance auto-online-mlag |
手工配置/控制器下发 |
配置Keepalive链路接口绑定VPN实例 |
|
ip address 197.32.241.57 255.255.255.252 |
ip address 197.32.241.58 255.255.255.252 |
手工配置/控制器下发 |
配置Keepalive链路接口的IP地址 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface bridge-aggregation 256 |
interface bridge-aggregation 256 |
手工配置/控制器下发 |
创建用作peer-link接口的聚合口,并进入接口视图 |
|
link-aggregation mode dynamic |
link-aggregation mode dynamic |
手工配置/控制器下发 |
配置用作peer-link接口的聚合口工作在动态聚合模式 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/31 |
interface HundredGigE1/0/31 |
手工配置/控制器下发 |
进入peer-link链路的物理端口视图 |
|
port link-aggregation group 256 |
port link-aggregation group 256 |
手工配置/控制器下发 |
配置peer-link链路的物理端口加入peer-link链路聚合组256 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface bridge-aggregation 256 |
interface bridge-aggregation 256 |
手工配置/控制器下发 |
进入聚合接口视图 |
|
port m-lag peer-link 1 |
port m-lag peer-link 1 |
手工配置/控制器下发 |
配置聚合口256为peer-link接口 |
|
port trunk pvid vlan 4094 |
port trunk pvid vlan 4094 |
手工配置/控制器下发 |
配置Trunk端口的缺省VLAN为4094 |
|
undo mac-address static source-check enable |
undo mac-address static source-check enable |
手工配置/控制器下发 |
在聚合口上关闭报文入接口与静态MAC地址表项匹配检查功能 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vlan-interface 4094 |
interface Vlan-interface 4094 |
手工配置/控制器下发 |
配置逃生VLAN(VLAN 4094) 两台M-LAG设备之间建立三层链路,保证单挂口的报文转发 |
|
ip address 197.32.241.141 255.255.255.0 |
ip address 197.32.241.142 255.255.255.0 |
手工配置/控制器下发 |
配置逃生VLAN接口的IP地址 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在逃生VLAN接口上配置OSPF |
|
Leaf 1(S6850) |
Leaf 2(S6850) |
命令来源 |
命令说明 |
|
interface bridge-aggregation 257 |
interface bridge-aggregation 257 |
手工配置/控制器下发 |
创建连接EW防火墙的M-LAG聚合组 |
|
link-aggregation mode dynamic |
link-aggregation mode dynamic |
手工配置/控制器下发 |
配置连接EW防火墙的聚合组工作在动态聚合模式 |
|
port m-lag group 1 |
port m-lag group 1 |
手工配置/控制器下发 |
配置聚合口257加入M-LAG组1 |
|
port link-type trunk |
port link-type trunk |
手工配置/控制器下发 |
配置M-LAG聚合口257为Trunk端口 |
|
port trunk permit vlan 1 997 to 1000 |
port trunk permit vlan 1 997 to 1000 |
手工配置/控制器下发 |
配置M-LAG聚合口257允许VLAN 997~1000通过 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/51 |
interface HundredGigE1/0/51 |
手工配置/控制器下发 |
进入连接EW防火墙的物理端口视图 |
|
port link-type trunk |
port link-type trunk |
手工配置/控制器下发 |
配置连接EW防火墙的物理端口为Trunk端口 |
|
port trunk permit vlan 1 997 to 1000 |
port trunk permit vlan 1 997 to 1000 |
手工配置/控制器下发 |
配置连接EW防火墙的物理端口允许VLAN 997~1000通过 |
|
port link-aggregation group 257 |
port link-aggregation group 257 |
手工配置/控制器下发 |
配置连接EW防火墙的物理端口加入聚合组257 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface bridge-aggregation 258 |
interface bridge-aggregation 258 |
手工配置/控制器下发 |
创建连接NS防火墙的M-LAG聚合组 |
|
link-aggregation mode dynamic |
link-aggregation mode dynamic |
手工配置/控制器下发 |
配置连接NS防火墙的聚合组工作在动态聚合模式 |
|
port m-lag group 2 |
port m-lag group 2 |
手工配置/控制器下发 |
配置聚合口258加入M-LAG组2 |
|
port link-type trunk |
port link-type trunk |
手工配置/控制器下发 |
配置M-LAG聚合口258为Trunk端口 |
|
port trunk permit vlan 1 997 to 1000 |
port trunk permit vlan 1 997 to 1000 |
手工配置/控制器下发 |
配置M-LAG聚合口258允许VLAN 997~1000通过 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/52 |
interface HundredGigE1/0/52 |
手工配置/控制器下发 |
进入连接NS防火墙的物理端口视图 |
|
port link-type trunk |
port link-type trunk |
手工配置/控制器下发 |
配置连接NS防火墙的物理端口为Trunk端口 |
|
port trunk permit vlan 1 997 to 1000 |
port trunk permit vlan 1 997 to 1000 |
手工配置/控制器下发 |
配置连接NS防火墙的物理端口允许VLAN 997~1000通过 |
|
port link-aggregation group 258 |
port link-aggregation group 258 |
手工配置/控制器下发 |
配置连接NS防火墙的物理端口加入聚合组258 |
|
Leaf 1(S6850) |
Leaf 2(S6850) |
命令来源 |
命令说明 |
|
interface HundredGigE1/0/25 |
interface HundredGigE1/0/25 |
手工配置/控制器下发 |
进入连接Spine A的物理接口(上行口)视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
配置上行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置上行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在上行口上使能OSPF |
|
undo mac-address static source-check enable |
undo mac-address static source-check enable |
手工配置/控制器下发 |
配置上行口关闭报文入接口与静态MAC地址表项匹配检查功能 |
|
lldp compliance admin-status cdp txrx |
lldp compliance admin-status cdp txrx |
手工配置/控制器下发 |
配置LLDP兼容CDP的工作模式为TxRx,即既发送也接收CDP报文 |
|
lldp management-address arp-learning |
lldp management-address arp-learning |
手工配置/控制器下发 |
配置接口收到携带Management Address TLV的LLDP报文后生成ARP表项 |
|
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
手工配置/控制器下发 |
配置接口上允许发布的TLV类型 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/26 |
interface HundredGigE1/0/26 |
手工配置/控制器下发 |
进入连接Spine B的物理接口(上行口)视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
配置上行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置上行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在上行口上使能OSPF |
|
undo mac-address static source-check enable |
undo mac-address static source-check enable |
手工配置/控制器下发 |
配置上行口关闭报文入接口与静态MAC地址表项匹配检查功能 |
|
lldp compliance admin-status cdp txrx |
lldp compliance admin-status cdp txrx |
手工配置/控制器下发 |
配置LLDP兼容CDP的工作模式为TxRx,即既发送也接收CDP报文 |
|
lldp management-address arp-learning |
lldp management-address arp-learning |
手工配置/控制器下发 |
配置接口收到携带Management Address TLV的LLDP报文后生成ARP表项 |
|
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
手工配置/控制器下发 |
配置接口上允许发布的TLV类型 |
|
Leaf 1(S6850) |
Leaf 2(S6850) |
命令来源 |
命令说明 |
|
l2vpn enable |
l2vpn enable |
手工配置/控制器下发 |
开启L2VPN功能 |
|
l2vpn m-lag peer-link ac-match-rule vxlan-mapping |
l2vpn m-lag peer-link ac-match-rule vxlan-mapping |
手工配置/控制器下发 |
在采用直连模式peer-link链路的M-LAG组网中,配置通过VXLAN ID映射方式生成peer-link链路上动态AC的报文匹配规则 |
|
vxlan tunnel arp-learning disable vxlan tunnel nd-learning disable |
vxlan tunnel arp-learning disable vxlan tunnel nd-learning disable |
手工配置/控制器下发 |
由于EVPN组网中,可以通过EVPN路由通告ARP和ND信息,因此,需要关闭远端ARP和ND自动学习功能 |
|
vxlan tunnel mac-learning disable |
vxlan tunnel mac-learning disable |
手工配置/控制器下发 |
由于EVPN组网中,可以通过EVPN路由通告MAC地址,因此,需要关闭远端MAC地址自动学习功能 |
|
vxlan default-decapsulation source interface LoopBack0 |
vxlan default-decapsulation source interface LoopBack0 |
手工配置/控制器下发 |
配置无论设备上是否存在VXLAN隧道,设备都可以解封装目的地址为LoopBack0接口IP地址的VXLAN报文 |
|
vlan all |
vlan all |
手工配置/控制器下发 |
批量创建VLAN 1~4094 |
|
evpn m-lag group 197.32.241.55 |
evpn m-lag group 197.32.241.55 |
手工配置/控制器下发 |
开启EVPN M-LAG功能,并配置虚拟VTEP地址 |
|
evpn m-lag local 197.32.241.41 remote 197.32.241.42 |
evpn m-lag local 197.32.241.42 remote 197.32.241.41 |
手工配置/控制器下发 |
在EVPN M-LAG组网中配置组成M-LAG系统的本地和远端VTEP的IP地址 采用直连模式peer-link链路时,如果存在单挂AC,则必须执行本命令 |
|
evpn global-mac 0c3a-fa38-4695 |
evpn global-mac 0c3a-fa38-4695 |
手工配置/控制器下发 |
配置EVPN的全局MAC地址 |
|
interface Vsi-interface10997 |
interface Vsi-interface10997 |
手工配置/控制器下发 |
创建进入NS防火墙流量的网关接口 |
|
ip binding vpn-instance ZHTESTCTFWNS01VRF |
ip binding vpn-instance ZHTESTCTFWNS01VRF |
手工配置/控制器下发 |
配置接口与NS防火墙所属的VPN实例关联 |
|
ip address 197.32.224.21 255.255.255.252 sub ipv6 nd ra prefix FD00:0:97B0:100::/64 no-advertise ipv6 address FD00:0:97B0:100::1/64 |
ip address 197.32.224.21 255.255.255.252 sub ipv6 nd ra prefix FD00:0:97B0:100::/64 no-advertise ipv6 address FD00:0:97B0:100::1/64 |
手工配置/控制器下发 |
配置VSI网关接口的IP地址 不同EVPN分布式网关设备上,同一VXLAN的网关接口需要配置相同的IP地址 |
|
mac-address 6805-ca21-d6e5 |
mac-address 6805-ca21-d6e5 |
手工配置/控制器下发 |
配置分布式网关的MAC地址 不同EVPN分布式网关设备上,同一VXLAN的网关接口需要配置相同的MAC地址 |
|
arp route-direct advertise |
arp route-direct advertise |
手工配置/控制器下发 |
开启ARP直连路由通告功能 |
|
distributed-gateway local |
distributed-gateway local |
手工配置/控制器下发 |
配置VSI虚接口为分布式网关接口 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vsi-interface10998 |
interface Vsi-interface10998 |
手工配置/控制器下发 |
创建离开NS防火墙流量的网关接口 |
|
ip binding vpn-instance ZHTESTCTFWNS01VRF |
ip binding vpn-instance ZHTESTCTFWNS01VRF |
手工配置/控制器下发 |
配置接口与NS防火墙所属的VPN实例关联 |
|
ip address 197.32.224.25 255.255.255.252 sub ipv6 nd ra prefix FD00:0:97B0:101::/64 no-advertise ipv6 address FD00:0:97B0:101::1/64 |
ip address 197.32.224.25 255.255.255.252 sub ipv6 nd ra prefix FD00:0:97B0:101::/64 no-advertise ipv6 address FD00:0:97B0:101::1/64 |
手工配置/控制器下发 |
配置VSI网关接口的IP地址 不同EVPN分布式网关设备上,同一VXLAN的网关接口需要配置相同的IP地址 |
|
mac-address 6805-ca21-d6e5 |
mac-address 6805-ca21-d6e5 |
手工配置/控制器下发 |
配置分布式网关的MAC地址 不同EVPN分布式网关设备上,同一VXLAN的网关接口需要配置相同的MAC地址 |
|
arp route-direct advertise |
arp route-direct advertise |
手工配置/控制器下发 |
开启ARP直连路由通告功能 |
|
distributed-gateway local |
distributed-gateway local |
手工配置/控制器下发 |
配置VSI虚接口为分布式网关接口 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vsi-interface10999 |
interface Vsi-interface10999 |
手工配置/控制器下发 |
创建进入EW防火墙流量的网关接口 |
|
ip binding vpn-instance ZHTESTCTFWEW01VRF |
ip binding vpn-instance ZHTESTCTFWEW01VRF |
手工配置/控制器下发 |
配置接口与EW防火墙所属的VPN实例关联 |
|
ip address 197.32.224.29 255.255.255.252 sub ipv6 nd ra prefix FD00:0:97B0:102::/64 no-advertise ipv6 address FD00:0:97B0:102::1/64 |
ip address 197.32.224.29 255.255.255.252 sub ipv6 nd ra prefix FD00:0:97B0:102::/64 no-advertise ipv6 address FD00:0:97B0:102::1/64 |
手工配置/控制器下发 |
配置VSI网关接口的IP地址 不同EVPN分布式网关设备上,同一VXLAN的网关接口需要配置相同的IP地址 |
|
mac-address 6805-ca21-d6e5 |
mac-address 6805-ca21-d6e5 |
手工配置/控制器下发 |
配置分布式网关的MAC地址 不同EVPN分布式网关设备上,同一VXLAN的网关接口需要配置相同的MAC地址 |
|
arp route-direct advertise |
arp route-direct advertise |
手工配置/控制器下发 |
开启ARP直连路由通告功能 |
|
distributed-gateway local |
distributed-gateway local |
手工配置/控制器下发 |
配置VSI虚接口为分布式网关接口 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vsi-interface11000 |
interface Vsi-interface11000 |
手工配置/控制器下发 |
创建离开EW防火墙流量的网关接口 |
|
ip binding vpn-instance ZHTESTCTFWEW01VRF |
ip binding vpn-instance ZHTESTCTFWEW01VRF |
手工配置/控制器下发 |
配置接口与EW防火墙所属的VPN实例关联 |
|
ip address 197.32.224.33 255.255.255.252 sub ipv6 nd ra prefix FD00:0:97B0:103::/64 no-advertise ipv6 address FD00:0:97B0:103::1/64 |
ip address 197.32.224.33 255.255.255.252 sub ipv6 nd ra prefix FD00:0:97B0:103::/64 no-advertise ipv6 address FD00:0:97B0:103::1/64 |
手工配置/控制器下发 |
配置VSI网关接口的IP地址 不同EVPN分布式网关设备上,同一VXLAN的网关接口需要配置相同的IP地址 |
|
mac-address 6805-ca21-d6e5 |
mac-address 6805-ca21-d6e5 |
手工配置/控制器下发 |
配置分布式网关的MAC地址 不同EVPN分布式网关设备上,同一VXLAN的网关接口需要配置相同的MAC地址 |
|
arp route-direct advertise |
arp route-direct advertise |
手工配置/控制器下发 |
开启ARP直连路由通告功能 |
|
distributed-gateway local |
distributed-gateway local |
手工配置/控制器下发 |
配置VSI虚接口为分布式网关接口 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
vsi SDN_VSI_10997 |
vsi SDN_VSI_10997 |
手工配置/控制器下发 |
创建为进入NS防火墙的流量提供服务的VSI实例 |
|
gateway vsi-interface 10997 |
gateway vsi-interface 10997 |
手工配置/控制器下发 |
为VSI指定网关接口 |
|
arp suppression enable ipv6 nd suppression enable |
arp suppression enable ipv6 nd suppression enable |
手工配置/控制器下发 |
开启ARP和ND泛洪抑制功能 |
|
vxlan 10997 |
vxlan 10997 |
手工配置/控制器下发 |
创建VXLAN 10997 |
|
quit |
quit |
手工配置/控制器下发 |
退回VSI视图 |
|
evpn encapsulation vxlan |
evpn encapsulation vxlan |
手工配置/控制器下发 |
创建采用VXLAN封装方式的EVPN实例 |
|
route-distinguisher auto |
route-distinguisher auto |
手工配置/控制器下发 |
配置自动生成EVPN实例的RD |
|
vpn-target auto export-extcommunity |
vpn-target auto export-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的export Route Target属性 |
|
vpn-target auto import-extcommunity |
vpn-target auto import-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的import Route Target属性 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回系统视图 |
|
vsi SDN_VSI_10998 |
vsi SDN_VSI_10998 |
手工配置/控制器下发 |
创建为离开NS防火墙的流量提供服务的VSI实例 |
|
gateway vsi-interface 10998 |
gateway vsi-interface 10998 |
手工配置/控制器下发 |
为VSI指定网关接口 |
|
arp suppression enable ipv6 nd suppression enable |
arp suppression enable ipv6 nd suppression enable |
手工配置/控制器下发 |
开启ARP和ND泛洪抑制功能 |
|
vxlan 10998 |
vxlan 10998 |
手工配置/控制器下发 |
创建VXLAN 10998 |
|
quit |
quit |
手工配置/控制器下发 |
退回VSI视图 |
|
evpn encapsulation vxlan |
evpn encapsulation vxlan |
手工配置/控制器下发 |
创建采用VXLAN封装方式的EVPN实例 |
|
route-distinguisher auto |
route-distinguisher auto |
手工配置/控制器下发 |
配置自动生成EVPN实例的RD |
|
vpn-target auto export-extcommunity |
vpn-target auto export-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的export Route Target属性 |
|
vpn-target auto import-extcommunity |
vpn-target auto import-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的import Route Target属性 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回系统视图 |
|
vsi SDN_VSI_10999 |
vsi SDN_VSI_10999 |
手工配置/控制器下发 |
创建为进入EW防火墙的流量提供服务的VSI实例 |
|
gateway vsi-interface 10999 |
gateway vsi-interface 10999 |
手工配置/控制器下发 |
为VSI指定网关接口 |
|
arp suppression enable ipv6 nd suppression enable |
arp suppression enable ipv6 nd suppression enable |
手工配置/控制器下发 |
开启ARP和ND泛洪抑制功能 |
|
vxlan 10999 |
vxlan 10999 |
手工配置/控制器下发 |
创建VXLAN 10999 |
|
quit |
quit |
手工配置/控制器下发 |
退回VSI视图 |
|
evpn encapsulation vxlan |
evpn encapsulation vxlan |
手工配置/控制器下发 |
创建采用VXLAN封装方式的EVPN实例 |
|
route-distinguisher auto |
route-distinguisher auto |
手工配置/控制器下发 |
配置自动生成EVPN实例的RD |
|
vpn-target auto export-extcommunity |
vpn-target auto export-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的export Route Target属性 |
|
vpn-target auto import-extcommunity |
vpn-target auto import-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的import Route Target属性 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回系统视图 |
|
vsi SDN_VSI_11000 |
vsi SDN_VSI_11000 |
手工配置/控制器下发 |
创建为离开EW防火墙的流量提供服务的VSI实例 |
|
gateway vsi-interface 11000 |
gateway vsi-interface 11000 |
手工配置/控制器下发 |
为VSI指定网关接口 |
|
arp suppression enable ipv6 nd suppression enable |
arp suppression enable ipv6 nd suppression enable |
手工配置/控制器下发 |
开启ARP和ND泛洪抑制功能 |
|
vxlan 11000 |
vxlan 11000 |
手工配置/控制器下发 |
创建VXLAN 11000 |
|
quit |
quit |
手工配置/控制器下发 |
退回VSI视图 |
|
evpn encapsulation vxlan |
evpn encapsulation vxlan |
手工配置/控制器下发 |
创建采用VXLAN封装方式的EVPN实例 |
|
route-distinguisher auto |
route-distinguisher auto |
手工配置/控制器下发 |
配置自动生成EVPN实例的RD |
|
vpn-target auto export-extcommunity |
vpn-target auto export-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的export Route Target属性 |
|
vpn-target auto import-extcommunity |
vpn-target auto import-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的import Route Target属性 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vsi-interface10001 |
interface Vsi-interface10001 |
手工配置/控制器下发 |
创建关联NS防火墙L3VNI的VSI虚接口 |
|
ip binding vpn-instance ZHTESTCTFWNS01VRF |
ip binding vpn-instance ZHTESTCTFWNS01VRF |
手工配置/控制器下发 |
配置接口与NS防火墙所属的VPN实例关联 |
|
ipv6 address auto link-local |
ipv6 address auto link-local |
手工配置/控制器下发 |
配置系统自动为接口生成链路本地地址 |
|
l3-vni 10001 |
l3-vni 10001 |
手工配置/控制器下发 |
配置接口关联L3VNI |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vsi-interface10002 |
interface Vsi-interface10002 |
手工配置/控制器下发 |
创建关联EW防火墙L3VNI的VSI虚接口 |
|
ip binding vpn-instance ZHTESTCTFWEW01VRF |
ip binding vpn-instance ZHTESTCTFWEW01VRF |
手工配置/控制器下发 |
配置接口与EW防火墙所属的VPN实例关联 |
|
ipv6 address auto link-local |
ipv6 address auto link-local |
手工配置/控制器下发 |
配置系统自动为接口生成链路本地地址 |
|
l3-vni 10002 |
l3-vni 10002 |
手工配置/控制器下发 |
配置接口关联L3VNI |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vsi-interface10000 |
interface Vsi-interface10000 |
手工配置/控制器下发 |
创建关联服务器L3VNI的VSI虚接口 |
|
ip binding vpn-instance ZHTESTCTVRF |
ip binding vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
配置接口与服务器所属的VPN实例关联 |
|
ipv6 address auto link-local |
ipv6 address auto link-local |
手工配置/控制器下发 |
配置系统自动为接口生成链路本地地址 |
|
l3-vni 10000 |
l3-vni 10000 |
手工配置/控制器下发 |
配置接口关联L3VNI |
|
bgp 65530 |
bgp 65530 |
手工配置/控制器下发 |
启动指定的BGP实例,并进入BGP实例视图 |
|
non-stop-routing |
non-stop-routing |
手工配置/控制器下发 |
开启BGP NSR功能 |
|
router-id 197.32.241.41 |
router-id 197.32.241.42 |
手工配置/控制器下发 |
指定BGP协议的Router ID |
|
group evpn internal |
group evpn internal |
手工配置/控制器下发 |
创建名为evpn的IBGP对等体组 |
|
peer evpn connect-interface LoopBack0 |
peer evpn connect-interface LoopBack0 |
手工配置/控制器下发 |
指定对等体组创建BGP会话时建立TCP连接使用的源接口 |
|
peer 197.32.241.37 group evpn |
peer 197.32.241.37 group evpn |
手工配置/控制器下发 |
将Spine A添加到对等体组evpn |
|
peer 197.32.241.38 group evpn |
peer 197.32.241.38 group evpn |
手工配置/控制器下发 |
将Spine B添加到对等体组evpn |
|
address-family l2vpn evpn |
address-family l2vpn evpn |
手工配置/控制器下发 |
创建BGP EVPN地址族 |
|
peer evpn enable |
peer evpn enable |
手工配置/控制器下发 |
使能与对等体组evpn交互BGP EVPN路由的能力 |
|
quit |
quit |
手工配置/控制器下发 |
退回BGP实例视图 |
|
ip vpn-instance ZHTESTCTFWEW01VRF |
ip vpn-instance ZHTESTCTFWEW01VRF |
手工配置/控制器下发 |
进入EW防火墙所属VPN实例的BGP-VPN实例视图 |
|
address-family ipv4 unicast |
address-family ipv4 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv4单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
network 197.32.224.28 255.255.255.252 network 197.32.224.29 255.255.255.255 network 197.32.224.30 255.255.255.255 network 197.32.224.32 255.255.255.252 network 197.32.224.33 255.255.255.255 network 197.32.224.34 255.255.255.255 |
network 197.32.224.28 255.255.255.252 network 197.32.224.29 255.255.255.255 network 197.32.224.30 255.255.255.255 network 197.32.224.32 255.255.255.252 network 197.32.224.33 255.255.255.255 network 197.32.224.34 255.255.255.255 |
手工配置/控制器下发 |
配置BGP发布的本地网段路由 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回BGP实例视图 |
|
address-family ipv6 unicast |
address-family ipv6 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv6单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
network FD00:0:97B0:102:: 64 network FD00:0:97B0:102::1 128 network FD00:0:97B0:102::F 128 network FD00:0:97B0:103:: 64 network FD00:0:97B0:103::1 128 network FD00:0:97B0:103::F 128 |
network FD00:0:97B0:102:: 64 network FD00:0:97B0:102::1 128 network FD00:0:97B0:102::F 128 network FD00:0:97B0:103:: 64 network FD00:0:97B0:103::1 128 network FD00:0:97B0:103::F 128 |
手工配置/控制器下发 |
配置BGP发布的本地网段路由 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回BGP实例视图 |
|
ip vpn-instance ZHTESTCTFWNS01VRF |
ip vpn-instance ZHTESTCTFWNS01VRF |
手工配置/控制器下发 |
进入NS防火墙所属VPN实例的BGP-VPN实例视图 |
|
address-family ipv4 unicast |
address-family ipv4 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv4单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
network 197.32.224.20 255.255.255.252 network 197.32.224.21 255.255.255.255 network 197.32.224.22 255.255.255.255 network 197.32.224.24 255.255.255.252 network 197.32.224.25 255.255.255.255 network 197.32.224.26 255.255.255.255 |
network 197.32.224.20 255.255.255.252 network 197.32.224.21 255.255.255.255 network 197.32.224.22 255.255.255.255 network 197.32.224.24 255.255.255.252 network 197.32.224.25 255.255.255.255 network 197.32.224.26 255.255.255.255 |
手工配置/控制器下发 |
配置BGP发布的本地网段路由 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回BGP实例视图 |
|
address-family ipv6 unicast |
address-family ipv6 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv6单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
network FD00:0:97B0:102:: 64 network FD00:0:97B0:102::1 128 network FD00:0:97B0:102::F 128 network FD00:0:97B0:103:: 64 network FD00:0:97B0:103::1 128 network FD00:0:97B0:103::F 128 |
network FD00:0:97B0:102:: 64 network FD00:0:97B0:102::1 128 network FD00:0:97B0:102::F 128 network FD00:0:97B0:103:: 64 network FD00:0:97B0:103::1 128 network FD00:0:97B0:103::F 128 |
手工配置/控制器下发 |
配置BGP发布的本地网段路由 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回BGP实例视图 |
|
ip vpn-instance ZHTESTCTVRF |
ip vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
进入服务器所属VPN实例的BGP-VPN实例视图 |
|
address-family ipv4 unicast |
address-family ipv4 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv4单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
network 197.32.13.0 255.255.255.0 network 197.32.13.254 255.255.255.255 network 197.32.42.0 255.255.255.0 network 197.32.42.254 255.255.255.255 |
network 197.32.13.0 255.255.255.0 network 197.32.13.254 255.255.255.255 network 197.32.42.0 255.255.255.0 network 197.32.42.254 255.255.255.255 |
手工配置/控制器下发 |
配置BGP发布的本地网段路由 |
|
address-family ipv6 unicast |
address-family ipv6 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv6单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
network FD00:0:97B0:1013:: 64 network FD00:0:97B0:1013::FFFF 128 network FD00:0:97B0:1042:: 64 network FD00:0:97B0:1042::FFFF 128 |
network FD00:0:97B0:1013:: 64 network FD00:0:97B0:1013::FFFF 128 network FD00:0:97B0:1042:: 64 network FD00:0:97B0:1042::FFFF 128 |
手工配置/控制器下发 |
配置BGP发布的本地网段路由 |
|
Leaf 1(S6850) |
Leaf 2(S6850) |
命令来源 |
命令说明 |
|
interface Bridge-Aggregation257 |
interface Bridge-Aggregation257 |
手工配置/控制器下发 |
进入连接EW防火墙的M-LAG聚合口视图 |
|
service-instance 997 |
service-instance 997 |
手工配置/控制器下发 |
创建以太网服务实例 |
|
encapsulation s-vid 997 |
encapsulation s-vid 997 |
手工配置/控制器下发 |
设置匹配的外层VLAN标签 |
|
xconnect vsi SDN_VSI_10997 |
xconnect vsi SDN_VSI_10997 |
手工配置/控制器下发 |
将AC与VSI关联 |
|
service-instance 998 |
service-instance 998 |
手工配置/控制器下发 |
创建以太网服务实例 |
|
encapsulation s-vid 998 |
encapsulation s-vid 998 |
手工配置/控制器下发 |
设置匹配的外层VLAN标签 |
|
xconnect vsi SDN_VSI_10998 |
xconnect vsi SDN_VSI_10998 |
手工配置/控制器下发 |
将AC与VSI关联 |
|
quit |
quit |
手工配置/控制器下发 |
退回接口视图 |
|
service-instance 999 |
service-instance 999 |
手工配置/控制器下发 |
创建以太网服务实例 |
|
encapsulation s-vid 999 |
encapsulation s-vid 999 |
手工配置/控制器下发 |
设置匹配的外层VLAN标签 |
|
xconnect vsi SDN_VSI_10999 |
xconnect vsi SDN_VSI_10999 |
手工配置/控制器下发 |
将AC与VSI关联 |
|
quit |
quit |
手工配置/控制器下发 |
退回接口视图 |
|
service-instance 1000 |
service-instance 1000 |
手工配置/控制器下发 |
创建以太网服务实例 |
|
encapsulation s-vid1000 |
encapsulation s-vid 1000 |
手工配置/控制器下发 |
设置匹配的外层VLAN标签 |
|
xconnect vsi SDN_VSI_11000 |
xconnect vsi SDN_VSI_11000 |
手工配置/控制器下发 |
将AC与VSI关联 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Bridge-Aggregation258 |
interface Bridge-Aggregation258 |
手工配置/控制器下发 |
进入连接NS防火墙的M-LAG聚合口视图 |
|
service-instance 997 |
service-instance 997 |
手工配置/控制器下发 |
创建以太网服务实例 |
|
encapsulation s-vid 997 |
encapsulation s-vid 997 |
手工配置/控制器下发 |
设置匹配的外层VLAN标签 |
|
xconnect vsi SDN_VSI_10997 |
xconnect vsi SDN_VSI_10997 |
手工配置/控制器下发 |
将AC与VSI关联 |
|
quit |
quit |
手工配置/控制器下发 |
退回接口视图 |
|
service-instance 998 |
service-instance 998 |
手工配置/控制器下发 |
创建以太网服务实例 |
|
encapsulation s-vid 998 |
encapsulation s-vid 998 |
手工配置/控制器下发 |
设置匹配的外层VLAN标签 |
|
xconnect vsi SDN_VSI_10998 |
xconnect vsi SDN_VSI_10998 |
手工配置/控制器下发 |
将AC与VSI关联 |
|
quit |
quit |
手工配置/控制器下发 |
退回接口视图 |
|
service-instance 999 |
service-instance 999 |
手工配置/控制器下发 |
创建以太网服务实例 |
|
encapsulation s-vid 999 |
encapsulation s-vid 999 |
手工配置/控制器下发 |
设置匹配的外层VLAN标签 |
|
xconnect vsi SDN_VSI_10999 |
xconnect vsi SDN_VSI_10999 |
手工配置/控制器下发 |
将AC与VSI关联 |
|
quit |
quit |
手工配置/控制器下发 |
退回接口视图 |
|
service-instance 1000 |
service-instance 1000 |
手工配置/控制器下发 |
创建以太网服务实例 |
|
encapsulation s-vid1000 |
encapsulation s-vid 1000 |
手工配置/控制器下发 |
设置匹配的外层VLAN标签 |
|
xconnect vsi SDN_VSI_11000 |
xconnect vsi SDN_VSI_11000 |
手工配置/控制器下发 |
将AC与VSI关联 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回系统视图 |
· 配置设备模式
· 配置L3VPN
· 配置AC接入
设备模式相关配置的要求请参考ADDC方案的指导书。模式相关配置可能包括设备硬件资源模式配置(例如S6850 hardware-resource switch-mode命令)、前缀大于64位的IPv6路由功能配置(例如S6850 hardware-resource routing-mode ipv6-128命令)、VXLAN硬件资源模式配置(例如S6850 hardware-resource vxlan命令)等。
|
Leaf 3(S6850) |
Leaf 4(S6850) |
命令来源 |
命令说明/注意事项 |
|
router id 197.32.241.43 |
router id 197.32.241.44 |
手工配置/控制器下发 |
配置Router ID |
|
ospf 65530 |
ospf 65530 |
手工配置/控制器下发 |
启动OSPF进程65530 |
|
non-stop-routing |
non-stop-routing |
手工配置/控制器下发 |
使能OSPF协议的NSR功能 |
|
stub-router include-stub on-startup 900 |
stub-router include-stub on-startup 900 |
手工配置/控制器下发 |
配置在路由器重启期间,路由器作为Stub路由器,且路由器发布的Router-LSA中,链路类型为3的Stub链路度量值设置为最大值65535 通过本配置来优化OSPF路由的收敛效果 |
|
area 0.0.0.0 |
area 0.0.0.0 |
手工配置/控制器下发 |
创建OSPF区域0.0.0.0 |
|
interface LoopBack0 |
interface LoopBack0 |
手工配置/控制器下发 |
进入LoopBack0接口视图 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在LoopBack0接口上使能OSPF |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface LoopBack2 |
interface LoopBack2 |
手工配置/控制器下发 |
进入LoopBack2接口视图 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在LoopBack2接口上使能OSPF |
|
Leaf 3(S6850) |
Leaf 4(S6850) |
命令来源 |
命令说明/注意事项 |
|
interface LoopBack0 |
interface LoopBack0 |
手工配置/控制器下发 |
配置LoopBack0接口 |
|
ip address 197.32.241.43 255.255.255.255 |
ip address 197.32.241.44 255.255.255.255 |
手工配置/控制器下发 |
配置LoopBack0接口的IP地址 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface LoopBack2 |
interface LoopBack2 |
手工配置/控制器下发 |
配置LoopBack2接口 |
|
ip address 197.32.241.64 255.255.255.255 |
ip address 197.32.241.64 255.255.255.255 |
手工配置/控制器下发 |
配置LoopBack2接口的IP地址 |
|
ip vpn-instance auto-online-mlag |
ip vpn-instance auto-online-mlag |
手工配置/控制器下发 |
配置Keepalive链路所属的VPN实例 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance mgmt |
ip vpn-instance mgmt |
手工配置/控制器下发 |
配置网管口所属的VPN实例 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance ZHTESTCTVRF route-distinguisher3:10000 address-family ipv4 vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit |
ip vpn-instance ZHTESTCTVRF route-distinguisher 4:10000 address-family ipv4 vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit |
手工配置/控制器下发 |
配置下挂服务器的业务VPN实例:为VPN实例配置RD、为VPN实例的IPv4地址族和EVPN地址族配置RT 不同设备上,为业务VPN实例配置的RT必须匹配,以免无法学习到路由 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance ZHTESTCTFWNS01VRF route-distinguisher 3:10001 address-family ipv4 vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit |
ip vpn-instance ZHTESTCTFWNS01VRF route-distinguisher 4:10001 address-family ipv4 vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit |
手工配置/控制器下发 |
配置NS防火墙的VPN实例:为VPN实例配置RD、为VPN实例的IPv4地址族和EVPN地址族配置RT 不同设备上,为NS防火墙的VPN实例配置的RT必须匹配,以免无法学习到路由 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance ZHTESTCTFWEW01VRF route-distinguisher 3:10002 address-family ipv4 vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity |
ip vpn-instance ZHTESTCTFWEW01VRF route-distinguisher 4:10002 address-family ipv4 vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity |
手工配置/控制器下发 |
配置EW防火墙的VPN实例:为VPN实例配置RD、为VPN实例的IPv4地址族和EVPN地址族配置RT 不同设备上,为EW防火墙的VPN实例配置的RT必须匹配,以免无法学习到路由 |
|
Leaf 3(S6850) |
Leaf 4(S6850) |
命令来源 |
命令说明/注意事项 |
|
m-lag system-mac 0c3a-fa36-acef |
m-lag system-mac 0c3a-fa36-acef |
手工配置/控制器下发 |
配置M-LAG系统的MAC地址 同一M-LAG组中,所有M-LAG设备的系统MAC地址必须相同 |
|
m-lag system-number 1 |
m-lag system-number 2 |
手工配置/控制器下发 |
配置M-LAG系统编号 同一M-LAG组中的M-LAG设备应配置不同的系统编号 |
|
m-lag system-priority 10 |
m-lag system-priority 10 |
手工配置/控制器下发 |
配置M-LAG系统优先级 同一M-LAG组中,所有M-LAG设备的系统优先级必须相同 |
|
m-lag keepalive ip destination 197.32.241.62 source 197.32.241.61 vpn-instance auto-online-mlag |
m-lag keepalive ip destination 197.32.241.61 source 197.32.241.62 vpn-instance auto-online-mlag |
手工配置/控制器下发 |
配置Keepalive报文的目的IP地址和源IP地址 同一M-LAG组中,M-LAG设备上配置的Keepalive报文的目的IP地址和源IP地址应匹配 |
|
m-lag restore-delay 300 |
m-lag restore-delay 300 |
手工配置/控制器下发 |
配置延迟恢复时间 在路由和接口较多时,可增加延迟恢复时间 |
|
m-lag mad default-action none |
m-lag mad default-action none |
手工配置/控制器下发 |
配置设备上的接口在M-LAG系统分裂后保持原状态不变 |
|
m-lag mad include interface HundredGigE1/0/25 m-lag mad include interface HundredGigE1/0/26 |
m-lag mad include interface HundredGigE1/0/25 m-lag mad include interface HundredGigE1/0/26 |
手工配置/控制器下发 |
配置上行口在M-LAG系统分裂后处于M-LAG MAD DOWN状态 |
|
interface Twenty-FiveGigE 1/0/54 |
interface Twenty-FiveGigE 1/0/54 |
手工配置/控制器下发 |
进入Keepalive链路接口视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
配置Keepalive链路接口工作在三层模式 |
|
ip binding vpn-instance auto-online-mlag |
ip binding vpn-instance auto-online-mlag |
手工配置/控制器下发 |
配置Keepalive链路接口绑定VPN实例 |
|
ip address 197.32.241.61 255.255.255.252 |
ip address 197.32.241.62 255.255.255.252 |
手工配置/控制器下发 |
配置Keepalive链路接口的IP地址 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface bridge-aggregation 256 |
interface bridge-aggregation 256 |
手工配置/控制器下发 |
创建用作peer-link接口的聚合口,并进入接口视图 |
|
link-aggregation mode dynamic |
link-aggregation mode dynamic |
手工配置/控制器下发 |
配置用作peer-link接口的聚合口工作在动态聚合模式 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/31 |
interface HundredGigE1/0/31 |
手工配置/控制器下发 |
进入peer-link链路的物理端口视图 |
|
port link-aggregation group 256 |
port link-aggregation group 256 |
手工配置/控制器下发 |
配置peer-link链路的物理端口加入peer-link链路聚合组256 |
|
interface bridge-aggregation 256 |
interface bridge-aggregation 256 |
手工配置/控制器下发 |
进入聚合接口视图 |
|
port m-lag peer-link 1 |
port m-lag peer-link 1 |
手工配置/控制器下发 |
配置聚合口256为peer-link接口 |
|
port trunk pvid vlan 4094 |
port trunk pvid vlan 4094 |
手工配置/控制器下发 |
配置Trunk端口的缺省VLAN为4094 |
|
undo mac-address static source-check enable |
undo mac-address static source-check enable |
手工配置/控制器下发 |
在聚合口上关闭报文入接口与静态MAC地址表项匹配检查功能 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vlan-interface 4094 |
interface Vlan-interface 4094 |
手工配置/控制器下发 |
配置逃生VLAN(VLAN 4094) 两台M-LAG设备之间建立三层链路,保证单挂口的报文转发 |
|
ip address 197.32.241.143 255.255.255.0 |
ip address 197.32.241.144 255.255.255.0 |
手工配置/控制器下发 |
配置逃生VLAN接口的IP地址 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在逃生VLAN接口上配置OSPF |
|
Leaf 3(S6850) |
Leaf 4(S6850) |
命令来源 |
命令说明 |
|
interface HundredGigE1/0/25 |
interface HundredGigE1/0/25 |
手工配置/控制器下发 |
进入连接Spine A的物理接口(上行口)视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
配置上行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置上行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在上行口上使能OSPF |
|
undo mac-address static source-check enable |
undo mac-address static source-check enable |
手工配置/控制器下发 |
配置上行口关闭报文入接口与静态MAC地址表项匹配检查功能 |
|
lldp compliance admin-status cdp txrx |
lldp compliance admin-status cdp txrx |
手工配置/控制器下发 |
配置LLDP兼容CDP的工作模式为TxRx,即既发送也接收CDP报文 |
|
lldp management-address arp-learning |
lldp management-address arp-learning |
手工配置/控制器下发 |
配置接口收到携带Management Address TLV的LLDP报文后生成ARP表项 |
|
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
手工配置/控制器下发 |
配置接口上允许发布的TLV类型 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/26 |
interface HundredGigE1/0/26 |
手工配置/控制器下发 |
进入连接Spine B的物理接口(上行口)视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
配置上行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置上行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在上行口上使能OSPF |
|
undo mac-address static source-check enable |
undo mac-address static source-check enable |
手工配置/控制器下发 |
配置上行口关闭报文入接口与静态MAC地址表项匹配检查功能 |
|
lldp compliance admin-status cdp txrx |
lldp compliance admin-status cdp txrx |
手工配置/控制器下发 |
配置LLDP兼容CDP的工作模式为TxRx,即既发送也接收CDP报文 |
|
lldp management-address arp-learning |
lldp management-address arp-learning |
手工配置/控制器下发 |
配置接口收到携带Management Address TLV的LLDP报文后生成ARP表项 |
|
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
手工配置/控制器下发 |
配置接口上允许发布的TLV类型 |
|
Leaf 3(S6850) |
Leaf 4(S6850) |
命令来源 |
命令说明 |
|
l2vpn enable |
l2vpn enable |
手工配置/控制器下发 |
开启L2VPN功能 |
|
l2vpn m-lag peer-link ac-match-rule vxlan-mapping |
l2vpn m-lag peer-link ac-match-rule vxlan-mapping |
手工配置/控制器下发 |
在采用直连模式peer-link链路的M-LAG组网中,配置通过VXLAN ID映射方式生成peer-link链路上动态AC的报文匹配规则 |
|
vxlan tunnel arp-learning disable vxlan tunnel nd-learning disable |
vxlan tunnel arp-learning disable vxlan tunnel nd-learning disable |
手工配置/控制器下发 |
由于EVPN组网中,可以通过EVPN路由通告ARP和ND信息,因此,需要关闭远端ARP和ND自动学习功能 |
|
vxlan tunnel mac-learning disable |
vxlan tunnel mac-learning disable |
手工配置/控制器下发 |
由于EVPN组网中,可以通过EVPN路由通告MAC地址,因此,需要关闭远端MAC地址自动学习功能 |
|
vxlan default-decapsulation source interface LoopBack0 |
vxlan default-decapsulation source interface LoopBack0 |
手工配置/控制器下发 |
配置无论设备上是否存在VXLAN隧道,设备都可以解封装目的地址为LoopBack0接口IP地址的VXLAN报文 |
|
vlan all |
vlan all |
手工配置/控制器下发 |
批量创建VLAN 1~4094 |
|
evpn m-lag group 197.32.241.64 |
evpn m-lag group 197.32.241.64 |
手工配置/控制器下发 |
开启EVPN M-LAG功能,并配置虚拟VTEP地址 |
|
evpn m-lag local 197.32.241.43 remote 197.32.241.44 |
evpn m-lag local 197.32.241.44 remote 197.32.241.43 |
手工配置/控制器下发 |
在EVPN M-LAG组网中配置组成M-LAG系统的本地和远端VTEP的IP地址 采用直连模式peer-link链路时,如果存在单挂AC,则必须执行本命令 |
|
evpn global-mac 0c3a-fa38-3d3b |
evpn global-mac 0c3a-fa38-3d3b |
手工配置/控制器下发 |
配置EVPN的全局MAC地址 |
|
interface Vsi-interface13313 |
interface Vsi-interface13313 |
手工配置/控制器下发 |
创建服务器流量的网关接口 |
|
ip binding vpn-instance ZHTESTCTVRF |
ip binding vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
配置接口与服务器所属的VPN实例关联 |
|
ip address 197.32.13.254 255.255.255.0 sub ipv6 nd ra prefix FD00:0:97B0:1013::/64 no-advertise ipv6 address FD00:0:97B0:1013::FFFF/64 |
ip address 197.32.13.254 255.255.255.0 sub ipv6 nd ra prefix FD00:0:97B0:1013::/64 no-advertise ipv6 address FD00:0:97B0:1013::FFFF/64 |
手工配置/控制器下发 |
配置VSI网关接口的IP地址 |
|
mac-address 6805-ca21-d6e5 |
mac-address 6805-ca21-d6e5 |
手工配置/控制器下发 |
配置分布式网关的MAC地址 |
|
arp route-direct advertise ipv6 nd route-direct advertise |
arp route-direct advertise ipv6 nd route-direct advertise |
手工配置/控制器下发 |
开启ARP直连路由通告功能 |
|
distributed-gateway local |
distributed-gateway local |
手工配置/控制器下发 |
配置VSI虚接口为分布式网关接口 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
vsi SDN_VSI_13313 |
vsi SDN_VSI_13313 |
手工配置/控制器下发 |
创建为服务器接入提供服务的VSI实例 |
|
gateway vsi-interface 13313 |
gateway vsi-interface 13313 |
手工配置/控制器下发 |
为VSI指定网关接口 |
|
arp suppression enable ipv6 nd suppression enable |
arp suppression enable ipv6 nd suppression enable |
手工配置/控制器下发 |
开启ARP和ND泛洪抑制功能 |
|
vxlan 13313 |
vxlan 13313 |
手工配置/控制器下发 |
创建VXLAN 13313 |
|
quit |
quit |
手工配置/控制器下发 |
退回VSI视图 |
|
evpn encapsulation vxlan |
evpn encapsulation vxlan |
手工配置/控制器下发 |
创建采用VXLAN封装方式的EVPN实例 |
|
route-distinguisher auto |
route-distinguisher auto |
手工配置/控制器下发 |
配置自动生成EVPN实例的RD |
|
vpn-target auto export-extcommunity |
vpn-target auto export-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的export Route Target属性 |
|
vpn-target auto import-extcommunity |
vpn-target auto import-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的import Route Target属性 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vsi-interface13314 |
interface Vsi-interface13314 |
手工配置/控制器下发 |
创建服务器流量的网关接口 |
|
ip binding vpn-instance ZHTESTCTVRF |
ip binding vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
配置接口与服务器所属的VPN实例关联 |
|
ip address 197.32.14.254 255.255.255.0 sub ipv6 nd ra prefix FD00:0:97B0:1014::/64 no-advertise ipv6 address FD00:0:97B0:1014::FFFF/64 |
ip address 197.32.14.254 255.255.255.0 sub ipv6 nd ra prefix FD00:0:97B0:1014::/64 no-advertise ipv6 address FD00:0:97B0:1014::FFFF/64 |
手工配置/控制器下发 |
配置VSI网关接口的IP地址 |
|
mac-address 6805-ca21-d6e5 |
mac-address 6805-ca21-d6e5 |
手工配置/控制器下发 |
配置分布式网关的MAC地址 |
|
arp route-direct advertise ipv6 nd route-direct advertise |
arp route-direct advertise ipv6 nd route-direct advertise |
手工配置/控制器下发 |
开启ARP直连路由通告功能 |
|
distributed-gateway local |
distributed-gateway local |
手工配置/控制器下发 |
配置VSI虚接口为分布式网关接口 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
vsi SDN_VSI_13314 |
vsi SDN_VSI_13314 |
手工配置/控制器下发 |
创建为服务器接入提供服务的VSI实例 |
|
gateway vsi-interface 13314 |
gateway vsi-interface 13314 |
手工配置/控制器下发 |
为VSI指定网关接口 |
|
arp suppression enable ipv6 nd suppression enable |
arp suppression enable ipv6 nd suppression enable |
手工配置/控制器下发 |
开启ARP和ND泛洪抑制功能 |
|
vxlan 13314 |
vxlan 13314 |
手工配置/控制器下发 |
创建VXLAN 13314 |
|
quit |
quit |
手工配置/控制器下发 |
退回VSI视图 |
|
evpn encapsulation vxlan |
evpn encapsulation vxlan |
手工配置/控制器下发 |
创建采用VXLAN封装方式的EVPN实例 |
|
route-distinguisher auto |
route-distinguisher auto |
手工配置/控制器下发 |
配置自动生成EVPN实例的RD |
|
vpn-target auto export-extcommunity |
vpn-target auto export-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的export Route Target属性 |
|
vpn-target auto import-extcommunity |
vpn-target auto import-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的import Route Target属性 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vsi-interface10001 |
interface Vsi-interface10001 |
手工配置/控制器下发 |
创建关联NS防火墙L3VNI的VSI虚接口 |
|
ip binding vpn-instance ZHTESTCTFWNS01VRF |
ip binding vpn-instance ZHTESTCTFWNS01VRF |
手工配置/控制器下发 |
配置接口与NS防火墙所属的VPN实例关联 |
|
ipv6 address auto link-local |
ipv6 address auto link-local |
|
|
|
l3-vni 10001 |
l3-vni 10001 |
手工配置/控制器下发 |
配置接口关联L3VNI |
|
interface Vsi-interface10002 |
interface Vsi-interface10002 |
手工配置/控制器下发 |
创建关联EW防火墙L3VNI的VSI虚接口 |
|
ip binding vpn-instance ZHTESTCTFWEW01VRF |
ip binding vpn-instance ZHTESTCTFWEW01VRF |
手工配置/控制器下发 |
配置接口与EW防火墙所属的VPN实例关联 |
|
l3-vni 10002 |
l3-vni 10002 |
手工配置/控制器下发 |
配置接口关联L3VNI |
|
ipv6 address auto link-local |
ipv6 address auto link-local |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vsi-interface10000 |
interface Vsi-interface10000 |
手工配置/控制器下发 |
创建关联服务器L3VNI的VSI虚接口 |
|
ip binding vpn-instance ZHTESTCTVRF |
ip binding vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
配置接口与服务器所属的VPN实例关联 |
|
ipv6 address auto link-local |
ipv6 address auto link-local |
手工配置/控制器下发 |
|
|
l3-vni 10000 |
l3-vni 10000 |
手工配置/控制器下发 |
配置接口关联L3VNI |
|
bgp 65530 |
bgp 65530 |
手工配置/控制器下发 |
启动指定的BGP实例,并进入BGP实例视图 |
|
non-stop-routing |
non-stop-routing |
手工配置/控制器下发 |
开启BGP NSR功能 |
|
router-id 197.32.241.43 |
router-id 197.32.241.44 |
手工配置/控制器下发 |
指定BGP协议的Router ID |
|
group evpn internal |
group evpn internal |
手工配置/控制器下发 |
创建名为evpn的IBGP对等体组 |
|
peer evpn connect-interface LoopBack0 |
peer evpn connect-interface LoopBack0 |
手工配置/控制器下发 |
指定对等体组创建BGP会话时建立TCP连接使用的源接口 |
|
peer 197.32.241.37 group evpn |
peer 197.32.241.37 group evpn |
手工配置/控制器下发 |
将Spine A添加到对等体组evpn |
|
peer 197.32.241.38 group evpn |
peer 197.32.241.38 group evpn |
手工配置/控制器下发 |
将Spine B添加到对等体组evpn |
|
address-family l2vpn evpn |
address-family l2vpn evpn |
手工配置/控制器下发 |
创建BGP EVPN地址族 |
|
peer evpn enable |
peer evpn enable |
手工配置/控制器下发 |
使能与对等体组evpn交互BGP EVPN路由的能力 |
|
quit |
quit |
手工配置/控制器下发 |
退回BGP实例视图 |
|
ip vpn-instance ZHTESTCTFWEW01VRF |
ip vpn-instance ZHTESTCTFWEW01VRF |
手工配置/控制器下发 |
进入EW防火墙所属VPN实例的BGP-VPN实例视图 |
|
address-family ipv4 unicast |
address-family ipv4 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv4单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回BGP实例视图 |
|
ip vpn-instance ZHTESTCTFWNS01VRF |
ip vpn-instance ZHTESTCTFWNS01VRF |
手工配置/控制器下发 |
进入NS防火墙所属VPN实例的BGP-VPN实例视图 |
|
address-family ipv4 unicast |
address-family ipv4 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv4单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回BGP实例视图 |
|
ip vpn-instance ZHTESTCTVRF |
ip vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
进入服务器所属VPN实例的BGP-VPN实例视图 |
|
address-family ipv4 unicast |
address-family ipv4 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv4单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
network 197.32.13.0 255.255.255.0 network 197.32.13.254 255.255.255.255 |
network 197.32.13.0 255.255.255.0 network 197.32.13.254 255.255.255.255 |
手工配置/控制器下发 |
配置BGP发布的本地网段路由 |
|
address-family ipv6 unicast |
address-family ipv6 unicast |
|
|
|
balance 4 |
balance 4 |
|
|
|
network FD00:0:97B0:1013:: 64 network FD00:0:97B0:1013::FFFF 128 |
network FD00:0:97B0:1013:: 64 network FD00:0:97B0:1013::FFFF 128 |
|
|
|
Leaf 3(S6850) |
Leaf 4(S6850) |
命令来源 |
命令说明 |
|
interface Twenty-FiveGigE 1/0/2 |
interface Twenty-FiveGigE 1/0/4 |
手工配置/控制器下发 |
进入连接服务器的物理端口视图 |
|
port link-type trunk |
port link-type trunk |
手工配置/控制器下发 |
配置该端口为Trunk端口 |
|
undo port trunk permit vlan 1 |
undo port trunk permit vlan 1 |
手工配置/控制器下发 |
配置端口不允许VLAN 1通过 |
|
port trunk permit vlan 3313 |
port trunk permit vlan 3314 |
手工配置/控制器下发 |
配置Trunk端口允许通过的VLAN |
|
port trunk pvid vlan 3313 |
port trunk pvid vlan 3314 |
手工配置/控制器手工配置/控制器下发下发 |
配置Trunk端口的缺省VLAN |
|
service-instance 3313 |
service-instance 3314 |
手工配置/控制器下发 |
创建以太网服务实例 |
|
encapsulation untagged |
encapsulation untagged |
手工配置/控制器下发 |
设置匹配未携带VLAN标签的报文 |
|
xconnect vsi SDN_VSI_13313 access-mode ethernet |
xconnect vsi SDN_VSI_13314 access-mode ethernet |
手工配置/控制器下发 |
将AC与VSI关联 |
· 配置设备模式
· 配置L3VPN
· 配置AC接入
设备模式相关配置的要求请参考ADDC方案的指导书。模式相关配置可能包括设备硬件资源模式配置(例如S6850 hardware-resource switch-mode命令)、前缀大于64位的IPv6路由功能配置(例如S6850 hardware-resource routing-mode ipv6-128命令)、VXLAN硬件资源模式配置(例如S6850 hardware-resource vxlan命令)等。
|
Leaf 5(S6850) |
Leaf 6(S6850) |
命令来源 |
命令说明/注意事项 |
|
router id 197.32.241.45 |
router id 197.32.241.46 |
手工配置/控制器下发 |
配置Router ID |
|
ospf 65530 |
ospf 65530 |
手工配置/控制器下发 |
启动OSPF进程65530 |
|
non-stop-routing |
non-stop-routing |
手工配置/控制器下发 |
使能OSPF协议的NSR功能 |
|
stub-router include-stub on-startup 900 |
stub-router include-stub on-startup 900 |
手工配置/控制器下发 |
配置在路由器重启期间,路由器作为Stub路由器,且路由器发布的Router-LSA中,链路类型为3的Stub链路度量值设置为最大值65535 通过本配置来优化OSPF路由的收敛效果 |
|
area 0.0.0.0 |
area 0.0.0.0 |
手工配置/控制器下发 |
创建OSPF区域0.0.0.0 |
|
interface LoopBack0 |
interface LoopBack0 |
手工配置/控制器下发 |
进入LoopBack0接口视图 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在LoopBack0接口上使能OSPF |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface LoopBack2 |
interface LoopBack2 |
手工配置/控制器下发 |
进入LoopBack2接口视图 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在LoopBack2接口上使能OSPF |
|
Leaf 5(S6850) |
Leaf 6(S6850) |
命令来源 |
命令说明/注意事项 |
|
interface LoopBack0 |
interface LoopBack0 |
手工配置/控制器下发 |
配置LoopBack0接口 |
|
ip address 197.32.241.45 255.255.255.255 |
ip address 197.32.241.46 255.255.255.255 |
手工配置/控制器下发 |
配置LoopBack0接口的IP地址 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface LoopBack2 |
interface LoopBack2 |
手工配置/控制器下发 |
配置LoopBack2接口 |
|
ip address 197.32.241.67 255.255.255.255 |
ip address 197.32.241.67 255.255.255.255 |
手工配置/控制器下发 |
配置LoopBack2接口的IP地址 |
|
ip vpn-instance auto-online-mlag |
ip vpn-instance auto-online-mlag |
手工配置/控制器下发 |
配置Keepalive链路所属的VPN实例 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance mgmt |
ip vpn-instance mgmt |
手工配置/控制器下发 |
配置网管口所属的VPN实例 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance ZHTESTCTVRF route-distinguisher 5:10000 address-family ipv4 vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit |
ip vpn-instance ZHTESTCTVRF route-distinguisher 6:10000 address-family ipv4 vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit |
手工配置/控制器下发 |
配置下挂服务器的业务VPN实例:为VPN实例配置RD、为VPN实例的IPv4地址族和EVPN地址族配置RT 不同设备上,为业务VPN实例配置的RT必须匹配,以免无法学习到路由 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance ZHTESTCTFWNS01VRF route-distinguisher 5:10001 address-family ipv4 vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit |
ip vpn-instance ZHTESTCTFWNS01VRF route-distinguisher 6:10001 address-family ipv4 vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit |
手工配置/控制器下发 |
配置NS防火墙的VPN实例:为VPN实例配置RD、为VPN实例的IPv4地址族和EVPN地址族配置RT 不同设备上,为NS防火墙的VPN实例配置的RT必须匹配,以免无法学习到路由 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance ZHTESTCTFWEW01VRF route-distinguisher 5:10002 address-family ipv4 vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit |
ip vpn-instance ZHTESTCTFWEW01VRF route-distinguisher 6:10002 address-family ipv4 vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit |
手工配置/控制器下发 |
配置EW防火墙的VPN实例:为VPN实例配置RD、为VPN实例的IPv4地址族和EVPN地址族配置RT 不同设备上,为EW防火墙的VPN实例配置的RT必须匹配,以免无法学习到路由 |
|
Leaf 5(S6850) |
Leaf 6(S6850) |
命令来源 |
命令说明/注意事项 |
|
m-lag system-mac 0c3a-fa36-b811 |
m-lag system-mac 0c3a-fa36-b811 |
手工配置/控制器下发 |
配置M-LAG系统的MAC地址 同一M-LAG组中,所有M-LAG设备的系统MAC地址必须相同 |
|
m-lag system-number 1 |
m-lag system-number 2 |
手工配置/控制器下发 |
配置M-LAG系统编号 同一M-LAG组中的M-LAG设备应配置不同的系统编号 |
|
m-lag system-priority 10 |
m-lag system-priority 10 |
手工配置/控制器下发 |
配置M-LAG系统优先级 同一M-LAG组中,所有M-LAG设备的系统优先级必须相同 |
|
m-lag keepalive ip destination 197.32.241.78 source 197.32.241.77 vpn-instance auto-online-mlag |
m-lag keepalive ip destination 197.32.241.77 source 197.32.241.78 vpn-instance auto-online-mlag |
手工配置/控制器下发 |
配置Keepalive报文的目的IP地址和源IP地址 同一M-LAG组中,M-LAG设备上配置的Keepalive报文的目的IP地址和源IP地址应匹配 |
|
m-lag restore-delay 300 |
m-lag restore-delay 300 |
手工配置/控制器下发 |
配置延迟恢复时间 在路由和接口较多时,可增加延迟恢复时间 |
|
m-lag mad default-action none |
m-lag mad default-action none |
手工配置/控制器下发 |
配置设备上的接口在M-LAG系统分裂后保持原状态不变 |
|
m-lag mad include interface HundredGigE1/0/25 m-lag mad include interface HundredGigE1/0/26 |
m-lag mad include interface HundredGigE1/0/25 m-lag mad include interface HundredGigE1/0/26 |
手工配置/控制器下发 |
配置上行口在M-LAG系统分裂后处于M-LAG MAD DOWN状态 |
|
interface Twenty-FiveGigE 1/0/54 |
interface Twenty-FiveGigE 1/0/54 |
手工配置/控制器下发 |
进入Keepalive链路接口视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
配置Keepalive链路接口工作在三层模式 |
|
ip binding vpn-instance auto-online-mlag |
ip binding vpn-instance auto-online-mlag |
手工配置/控制器下发 |
配置Keepalive链路接口绑定VPN实例 |
|
ip address 197.32.241.77 255.255.255.252 |
ip address 197.32.241.78 255.255.255.252 |
手工配置/控制器下发 |
配置Keepalive链路接口的IP地址 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface bridge-aggregation 256 |
interface bridge-aggregation 256 |
手工配置/控制器下发 |
创建用作peer-link接口的聚合口,并进入接口视图 |
|
link-aggregation mode dynamic |
link-aggregation mode dynamic |
手工配置/控制器下发 |
配置用作peer-link接口的聚合口工作在动态聚合模式 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/31 |
interface HundredGigE1/0/31 |
手工配置/控制器下发 |
进入peer-link链路的物理端口视图 |
|
port link-aggregation group 256 |
port link-aggregation group 256 |
手工配置/控制器下发 |
配置peer-link链路的物理端口加入peer-link链路聚合组256 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface bridge-aggregation 256 |
interface bridge-aggregation 256 |
手工配置/控制器下发 |
创建用作peer-link接口的聚合口,并进入接口视图 |
|
port m-lag peer-link 1 |
port m-lag peer-link 1 |
手工配置/控制器下发 |
配置聚合口256为peer-link接口 |
|
port trunk pvid vlan 4094 |
port trunk pvid vlan 4094 |
手工配置/控制器下发 |
配置Trunk端口的缺省VLAN为4094 |
|
undo mac-address static source-check enable |
undo mac-address static source-check enable |
手工配置/控制器下发 |
在聚合口上关闭报文入接口与静态MAC地址表项匹配检查功能 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vlan-interface 4094 |
interface Vlan-interface 4094 |
手工配置/控制器下发 |
配置逃生VLAN(VLAN 4094) 两台M-LAG设备之间建立三层链路,保证单挂口的报文转发 |
|
ip address 197.32.241.145 255.255.255.0 |
ip address 197.32.241.146 255.255.255.0 |
手工配置/控制器下发 |
配置逃生VLAN接口的IP地址 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在逃生VLAN接口上配置OSPF |
|
Leaf 5(S6850) |
Leaf 6(S6850) |
命令来源 |
命令说明 |
|
interface HundredGigE1/0/25 |
interface HundredGigE1/0/25 |
手工配置/控制器下发 |
进入连接Spine A的物理接口(上行口)视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
配置上行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置上行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在上行口上使能OSPF |
|
undo mac-address static source-check enable |
undo mac-address static source-check enable |
手工配置/控制器下发 |
配置上行口关闭报文入接口与静态MAC地址表项匹配检查功能 |
|
lldp compliance admin-status cdp txrx |
lldp compliance admin-status cdp txrx |
手工配置/控制器下发 |
配置LLDP兼容CDP的工作模式为TxRx,即既发送也接收CDP报文 |
|
lldp management-address arp-learning |
lldp management-address arp-learning |
手工配置/控制器下发 |
配置接口收到携带Management Address TLV的LLDP报文后生成ARP表项 |
|
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
手工配置/控制器下发 |
配置接口上允许发布的TLV类型 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/26 |
interface HundredGigE1/0/26 |
手工配置/控制器下发 |
进入连接Spine B的物理接口(上行口)视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
配置上行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置上行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在上行口上使能OSPF |
|
undo mac-address static source-check enable |
undo mac-address static source-check enable |
手工配置/控制器下发 |
配置上行口关闭报文入接口与静态MAC地址表项匹配检查功能 |
|
lldp compliance admin-status cdp txrx |
lldp compliance admin-status cdp txrx |
手工配置/控制器下发 |
配置LLDP兼容CDP的工作模式为TxRx,即既发送也接收CDP报文 |
|
lldp management-address arp-learning |
lldp management-address arp-learning |
手工配置/控制器下发 |
配置接口收到携带Management Address TLV的LLDP报文后生成ARP表项 |
|
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
手工配置/控制器下发 |
配置接口上允许发布的TLV类型 |
|
Leaf 5(S6850) |
Leaf 6(S6850) |
命令来源 |
命令说明 |
|
l2vpn enable |
l2vpn enable |
手工配置/控制器下发 |
开启L2VPN功能 |
|
l2vpn m-lag peer-link ac-match-rule vxlan-mapping |
l2vpn m-lag peer-link ac-match-rule vxlan-mapping |
手工配置/控制器下发 |
在采用直连模式peer-link链路的M-LAG组网中,配置通过VXLAN ID映射方式生成peer-link链路上动态AC的报文匹配规则 |
|
vxlan tunnel arp-learning disable vxlan tunnel nd-learning disable |
vxlan tunnel arp-learning disable vxlan tunnel nd-learning disable |
手工配置/控制器下发 |
由于EVPN组网中,可以通过EVPN路由通告ARP和ND信息,因此,需要关闭远端ARP和ND自动学习功能 |
|
vxlan tunnel mac-learning disable |
vxlan tunnel mac-learning disable |
手工配置/控制器下发 |
由于EVPN组网中,可以通过EVPN路由通告MAC地址,因此,需要关闭远端MAC地址自动学习功能 |
|
vxlan default-decapsulation source interface LoopBack0 |
vxlan default-decapsulation source interface LoopBack0 |
手工配置/控制器下发 |
配置无论设备上是否存在VXLAN隧道,设备都可以解封装目的地址为LoopBack0接口IP地址的VXLAN报文 |
|
vlan all |
vlan all |
手工配置/控制器下发 |
批量创建VLAN 1~4094 |
|
evpn m-lag group 197.32.241.67 |
evpn m-lag group 197.32.241.67 |
手工配置/控制器下发 |
开启EVPN M-LAG功能,并配置虚拟VTEP地址 |
|
evpn m-lag local 197.32.241.45 remote 197.32.241.46 |
evpn m-lag local 197.32.241.46 remote 197.32.241.45 |
手工配置/控制器下发 |
在EVPNM-LAG组网中配置组成M-LAG系统的本地和远端VTEP的IP地址 采用以太网聚合链路作为peer-link链路时,如果存在单挂AC,则必须执行本命令 |
|
evpn global-mac 0c3a-fa36-b035 |
evpn global-mac 0c3a-fa36-b035 |
手工配置/控制器下发 |
配置EVPN的全局MAC地址 |
|
interface Vsi-interface13342 |
interface Vsi-interface13342 |
手工配置/控制器下发 |
创建服务器流量的网关接口 |
|
ip binding vpn-instance ZHTESTCTVRF |
ip binding vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
配置接口与服务器所属的VPN实例关联 |
|
ip address 197.32.42.254 255.255.255.0 sub ipv6 nd ra prefix FD00:0:97B0:1042::/64 no-advertise ipv6 address FD00:0:97B0:1042::FFFF/64 |
ip address 197.32.42.254 255.255.255.0 sub ipv6 nd ra prefix FD00:0:97B0:1042::/64 no-advertise ipv6 address FD00:0:97B0:1042::FFFF/64 |
手工配置/控制器下发 |
配置VSI网关接口的IP地址 |
|
mac-address 6805-ca21-d6e5 |
mac-address 6805-ca21-d6e5 |
手工配置/控制器下发 |
配置分布式网关的MAC地址 |
|
arp route-direct advertise ipv6 nd route-direct advertise |
arp route-direct advertise ipv6 nd route-direct advertise |
手工配置/控制器下发 |
开启ARP直连路由通告功能 |
|
distributed-gateway local |
distributed-gateway local |
手工配置/控制器下发 |
配置VSI虚接口为分布式网关接口 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
vsi SDN_VSI_13342 |
vsi SDN_VSI_13342 |
手工配置/控制器下发 |
创建为服务器接入提供服务的VSI实例 |
|
gateway vsi-interface 13342 |
gateway vsi-interface 13342 |
手工配置/控制器下发 |
为VSI指定网关接口 |
|
arp suppression enable ipv6 nd suppression enable |
arp suppression enable ipv6 nd suppression enable |
手工配置/控制器下发 |
开启ARP和ND泛洪抑制功能 |
|
vxlan 13342 |
vxlan 13342 |
手工配置/控制器下发 |
创建VXLAN 13342 |
|
quit |
quit |
手工配置/控制器下发 |
退回VSI视图 |
|
evpn encapsulation vxlan |
evpn encapsulation vxlan |
手工配置/控制器下发 |
创建采用VXLAN封装方式的EVPN实例 |
|
route-distinguisher auto |
route-distinguisher auto |
手工配置/控制器下发 |
配置自动生成EVPN实例的RD |
|
vpn-target auto export-extcommunity |
vpn-target auto export-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的export Route Target属性 |
|
vpn-target auto import-extcommunity |
vpn-target auto import-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的import Route Target属性 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vsi-interface13316 |
interface Vsi-interface13316 |
手工配置/控制器下发 |
创建服务器流量的网关接口 |
|
ip binding vpn-instance ZHTESTCTVRF |
ip binding vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
配置接口与服务器所属的VPN实例关联 |
|
ip address 197.32.162 54 255.255.255.0 sub ipv6 nd ra prefix FD00:0:97B0:1016::/64 no-advertise ipv6 address FD00:0:97B0:1016::FFFF/64 |
ip address 197.32.16.254 255.255.255.0 sub ipv6 nd ra prefix FD00:0:97B0:1016::/64 no-advertise ipv6 address FD00:0:97B0:1016::FFFF/64 |
手工配置/控制器下发 |
配置VSI网关接口的IP地址 |
|
mac-address 6805-ca21-d6e5 |
mac-address 6805-ca21-d6e5 |
手工配置/控制器下发 |
配置分布式网关的MAC地址 |
|
arp route-direct advertise ipv6 nd route-direct advertise |
arp route-direct advertise ipv6 nd route-direct advertise |
手工配置/控制器下发 |
开启ARP直连路由通告功能 |
|
distributed-gateway local |
distributed-gateway local |
手工配置/控制器下发 |
配置VSI虚接口为分布式网关接口 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
vsi SDN_VSI_13316 |
vsi SDN_VSI_13316 |
手工配置/控制器下发 |
创建为服务器接入提供服务的VSI实例 |
|
gateway vsi-interface 13316 |
gateway vsi-interface 13316 |
手工配置/控制器下发 |
为VSI指定网关接口 |
|
arp suppression enable ipv6 nd suppression enable |
arp suppression enable ipv6 nd suppression enable |
手工配置/控制器下发 |
开启ARP和ND泛洪抑制功能 |
|
vxlan 13316 |
vxlan 13316 |
手工配置/控制器下发 |
创建VXLAN 13313 |
|
quit |
quit |
手工配置/控制器下发 |
退回VSI视图 |
|
evpn encapsulation vxlan |
evpn encapsulation vxlan |
手工配置/控制器下发 |
创建采用VXLAN封装方式的EVPN实例 |
|
route-distinguisher auto |
route-distinguisher auto |
手工配置/控制器下发 |
配置自动生成EVPN实例的RD |
|
vpn-target auto export-extcommunity |
vpn-target auto export-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的export Route Target属性 |
|
vpn-target auto import-extcommunity |
vpn-target auto import-extcommunity |
手工配置/控制器下发 |
配置自动生成EVPN的import Route Target属性 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vsi-interface10001 |
interface Vsi-interface10001 |
手工配置/控制器下发 |
创建关联NS防火墙L3VNI的VSI虚接口 |
|
ip binding vpn-instance ZHTESTCTFWNS01VRF |
ip binding vpn-instance ZHTESTCTFWNS01VRF |
手工配置/控制器下发 |
配置接口与NS防火墙所属的VPN实例关联 |
|
l3-vni 10001 |
l3-vni 10001 |
手工配置/控制器下发 |
配置接口关联L3VNI |
|
ipv6 address auto link-local |
ipv6 address auto link-local |
手工配置/控制器下发 |
|
|
interface Vsi-interface10002 |
interface Vsi-interface10002 |
手工配置/控制器下发 |
创建关联EW防火墙L3VNI的VSI虚接口 |
|
ip binding vpn-instance ZHTESTCTFWEW01VRF |
ip binding vpn-instance ZHTESTCTFWEW01VRF |
手工配置/控制器下发 |
配置接口与EW防火墙所属的VPN实例关联 |
|
l3-vni 10002 |
l3-vni 10002 |
手工配置/控制器下发 |
配置接口关联L3VNI |
|
ipv6 address auto link-local |
ipv6 address auto link-local |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vsi-interface10000 |
interface Vsi-interface10000 |
手工配置/控制器下发 |
创建关联服务器L3VNI的VSI虚接口 |
|
ip binding vpn-instance ZHTESTCTVRF |
ip binding vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
配置接口与服务器所属的VPN实例关联 |
|
l3-vni 10000 |
l3-vni 10000 |
手工配置/控制器下发 |
配置接口关联L3VNI |
|
ipv6 address auto link-local |
ipv6 address auto link-local |
手工配置/控制器下发 |
退回系统视图 |
|
bgp 65530 |
bgp 65530 |
手工配置/控制器下发 |
启动指定的BGP实例,并进入BGP实例视图 |
|
non-stop-routing |
non-stop-routing |
手工配置/控制器下发 |
开启BGP NSR功能 |
|
router-id 197.32.241.45 |
router-id 197.32.241.46 |
手工配置/控制器下发 |
指定BGP协议的Router ID |
|
group evpn internal |
group evpn internal |
手工配置/控制器下发 |
创建名为evpn的IBGP对等体组 |
|
peer evpn connect-interface LoopBack0 |
peer evpn connect-interface LoopBack0 |
手工配置/控制器下发 |
指定对等体组创建BGP会话时建立TCP连接使用的源接口 |
|
peer 197.32.241.37 group evpn |
peer 197.32.241.37 group evpn |
手工配置/控制器下发 |
将Spine A添加到对等体组evpn |
|
peer 197.32.241.38 group evpn |
peer 197.32.241.38 group evpn |
手工配置/控制器下发 |
将Spine B添加到对等体组evpn |
|
address-family l2vpn evpn |
address-family l2vpn evpn |
手工配置/控制器下发 |
创建BGP EVPN地址族 |
|
peer evpn enable |
peer evpn enable |
手工配置/控制器下发 |
使能与对等体组evpn交互BGP EVPN路由的能力 |
|
quit |
quit |
手工配置/控制器下发 |
退回BGP实例视图 |
|
ip vpn-instance ZHTESTCTFWEW01VRF |
ip vpn-instance ZHTESTCTFWEW01VRF |
手工配置/控制器下发 |
进入EW防火墙所属VPN实例的BGP-VPN实例视图 |
|
address-family ipv4 unicast |
address-family ipv4 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv4单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
quit |
quit |
手工配置/控制器下发 |
退回BGP实例视图 |
|
ip vpn-instance ZHTESTCTFWNS01VRF |
ip vpn-instance ZHTESTCTFWNS01VRF |
手工配置/控制器下发 |
进入NS防火墙所属VPN实例的BGP-VPN实例视图 |
|
address-family ipv4 unicast |
address-family ipv4 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv4单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
quit |
quit |
手工配置/控制器下发 |
退回BGP实例视图 |
|
ip vpn-instance ZHTESTCTVRF |
ip vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
进入服务器所属VPN实例的BGP-VPN实例视图 |
|
address-family ipv4 unicast |
address-family ipv4 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv4单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
network 197.32.42.0 255.255.255.0 network 197.32.42.254 255.255.255.255 network 197.32.42.9 255.255.255.255 |
network 197.32.42.0 255.255.255.0 network 197.32.42.254 255.255.255.255 network 197.32.42.9 255.255.255.255 |
手工配置/控制器下发 |
配置BGP发布的本地网段路由 |
|
address-family ipv6 unicast |
address-family ipv6 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv6单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
network FD00:0:97B0:1042:: 64 network FD00:0:97B0:1042::FFFF 128 |
network FD00:0:97B0:1042:: 64 network FD00:0:97B0:1042::FFFF 128 |
手工配置/控制器下发 |
配置BGP发布的本地网段路由 |
|
Leaf 5(S6850) |
Leaf 6(S6850) |
命令来源 |
命令说明 |
|
interface Twenty-FiveGigE 1/0/2 |
interface Twenty-FiveGigE 1/0/6 |
手工配置/控制器下发 |
进入连接服务器的物理端口视图 |
|
port link-type trunk |
port link-type trunk |
手工配置/控制器下发 |
配置该端口为Trunk端口 |
|
undo port trunk permit vlan 1 |
undo port trunk permit vlan 1 |
手工配置/控制器下发 |
配置端口不允许VLAN 1通过 |
|
port trunk permit vlan 3342 |
port trunk permit vlan 3316 |
手工配置/控制器下发 |
配置Trunk端口允许通过的VLAN |
|
port trunk pvid vlan 3342 |
port trunk pvid vlan 3316 |
手工配置/控制器下发 |
配置Trunk端口的缺省VLAN |
|
service-instance 3342 |
service-instance 3316 |
手工配置/控制器下发 |
创建以太网服务实例 |
|
encapsulation untagged |
encapsulation untagged |
手工配置/控制器下发 |
设置匹配未携带VLAN标签的报文 |
|
xconnect vsi SDN_VSI_13342 access-mode ethernet |
xconnect vsi SDN_VSI_13316access-mode ethernet |
手工配置/控制器下发 |
将AC与VSI关联 |
· 配置设备模式
· 配置L3VPN
设备模式相关配置的要求请参考ADDC方案的指导书。模式相关配置可能包括设备硬件资源模式配置(例如S6850 hardware-resource switch-mode命令)、前缀大于64位的IPv6路由功能配置(例如S6850 hardware-resource routing-mode ipv6-128命令)、VXLAN硬件资源模式配置(例如S6850 hardware-resource vxlan命令)等。
|
Border1(S6850) |
Border2(S6850) |
命令来源 |
命令说明/注意事项 |
|
router id 197.32.241.47 |
router id 197.32.241.48 |
手工配置/控制器下发 |
配置Router ID |
|
ospf 65530 |
ospf 65530 |
手工配置/控制器下发 |
启动OSPF进程65530 |
|
non-stop-routing |
non-stop-routing |
手工配置/控制器下发 |
使能OSPF协议的NSR功能 |
|
stub-router include-stub on-startup 900 |
stub-router include-stub on-startup 900 |
手工配置/控制器下发 |
配置在路由器重启期间,路由器作为Stub路由器,且路由器发布的Router-LSA中,链路类型为3的Stub链路度量值设置为最大值65535 通过本配置来优化OSPF路由的收敛效果 |
|
area 0.0.0.0 |
area 0.0.0.0 |
手工配置/控制器下发 |
创建OSPF区域0.0.0.0 |
|
interface LoopBack0 |
interface LoopBack0 |
手工配置/控制器下发 |
进入LoopBack0接口视图 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在LoopBack0接口上使能OSPF |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface LoopBack2 |
interface LoopBack2 |
手工配置/控制器下发 |
进入LoopBack2接口视图 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在LoopBack2接口上使能OSPF |
|
Border1(S6850) |
Border2(S6850) |
命令来源 |
命令说明/注意事项 |
|
interface LoopBack0 |
interface LoopBack0 |
手工配置/控制器下发 |
配置LoopBack0接口 |
|
ip address 197.32.241.47 255.255.255.255 |
ip address 197.32.241.48 255.255.255.255 |
手工配置/控制器下发 |
配置LoopBack0接口的IP地址 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface LoopBack2 |
interface LoopBack2 |
手工配置/控制器下发 |
配置LoopBack2接口 |
|
ip address 197.32.241.86 255.255.255.255 |
ip address 197.32.241.86 255.255.255.255 |
手工配置/控制器下发 |
配置LoopBack2接口的IP地址 |
|
ip vpn-instance auto-online-mlag |
ip vpn-instance auto-online-mlag |
手工配置/控制器下发 |
配置Keepalive链路所属的VPN实例 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance mgmt |
ip vpn-instance mgmt |
手工配置/控制器下发 |
配置网管口所属的VPN实例 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance ZHTESTCTVRF route-distinguisher 7:10000 address-family ipv4 vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit address-family ipv6 route-replicate from vpn-instance ZHTESTCTVRF protocol vlink-direct vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity address-family evpn vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit |
ip vpn-instance ZHTESTCTVRF route-distinguisher 8:10000 address-family ipv4 vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit address-family ipv6 route-replicate from vpn-instance ZHTESTCTVRF protocol vlink-direct vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity address-family evpn vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 import-extcommunity vpn-target 0:10000 1:10000 0.39.18.0:10000 0.39.17.0:10000 export-extcommunity quit |
手工配置/控制器下发 |
配置下挂服务器的业务VPN实例:为VPN实例配置RD、为VPN实例的IPv4地址族和EVPN地址族配置RT 不同设备上,为业务VPN实例配置的RT必须匹配,以免无法学习到路由 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance ZHTESTCTFWNS01VRF route-distinguisher 7:10001 address-family ipv4 vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit |
ip vpn-instance ZHTESTCTFWNS01VRF route-distinguisher 8:10001 address-family ipv4 vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10001 1:10001 0.39.17.0:10000 import-extcommunity vpn-target 0:10001 1:10001 0.39.17.0:10000 export-extcommunity quit |
手工配置/控制器下发 |
配置NS防火墙的VPN实例:为VPN实例配置RD、为VPN实例的IPv4地址族和EVPN地址族配置RT 不同设备上,为NS防火墙的VPN实例配置的RT必须匹配,以免无法学习到路由 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
ip vpn-instance ZHTESTCTFWEW01VRF route-distinguisher 7:10002 address-family ipv4 vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit |
ip vpn-instance ZHTESTCTFWEW01VRF route-distinguisher 8:10002 address-family ipv4 vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit address-family ipv6 vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit address-family evpn vpn-target 0:10002 1:10002 0.39.18.0:10000 import-extcommunity vpn-target 0:10002 1:10002 0.39.18.0:10000 export-extcommunity quit |
手工配置/控制器下发 |
配置EW防火墙的VPN实例:为VPN实例配置RD、为VPN实例的IPv4地址族和EVPN地址族配置RT 不同设备上,为EW防火墙的VPN实例配置的RT必须匹配,以免无法学习到路由 |
|
ip vpn-instance external_vpn_1001 route-distinguisher 1:1001 address-family ipv4 vpn-target 0:1001 1:1001 1:10000 import-extcommunity vpn-target 1:1001 export-extcommunity address-family ipv6 vpn-target 0:1001 1:1001 1:10000 import-extcommunity vpn-target 1:1001 export-extcommunity address-family evpn vpn-target 0:1001 1:1001 1:10000 import-extcommunity vpn-target 1:1001 export-extcommunity |
ip vpn-instance external_vpn_1001 route-distinguisher 2:1001 address-family ipv4 vpn-target 0:1001 1:1001 1:10000 import-extcommunity vpn-target 1:1001 export-extcommunity address-family ipv6 vpn-target 0:1001 1:1001 1:10000 import-extcommunity vpn-target 1:1001 export-extcommunity address-family evpn vpn-target 0:1001 1:1001 1:10000 import-extcommunity vpn-target 1:1001 export-extcommunity |
手工配置/控制器下发 |
配置外网用户的VPN实例:为VPN实例配置RD、为VPN实例的IPv4地址族和EVPN地址族配置RT |
|
ip route-static vpn-instance ZHTESTCTVRF 0.0.0.0 0 vpn-instance external_vpn_1001 197.32.224.18 |
ip route-static vpn-instance ZHTESTCTVRF 0.0.0.0 0 vpn-instance external_vpn_1001 197.32.224.18 |
手工配置/控制器下发 |
配置用户vpn ipv4默认路由去外网vpn L3设备 |
|
ipv6 route-static vpn-instance ZHTESTCTVRF :: 0 vpn-instance external_vpn_1001 FD00:0:97B0:2::F description SDN_ROUTE |
ipv6 route-static vpn-instance ZHTESTCTVRF :: 0 vpn-instance external_vpn_1001 FD00:0:97B0:2::F description SDN_ROUTE |
手工配置/控制器下发 |
配置用户vpn ipv6默认路由去外网vpn L3设备 |
|
Border1(S6850) |
Border2(S6850) |
命令来源 |
命令说明/注意事项 |
|
m-lag system-mac 0c3a-fa38-9c5f |
m-lag system-mac 0c3a-fa38-9c5f |
手工配置/控制器下发 |
配置M-LAG系统的MAC地址 同一M-LAG组中,所有M-LAG设备的系统MAC地址必须相同 |
|
m-lag system-number 1 |
m-lag system-number 2 |
手工配置/控制器下发 |
配置M-LAG系统编号 同一M-LAG组中的M-LAG设备应配置不同的系统编号 |
|
m-lag system-priority 10 |
m-lag system-priority 10 |
手工配置/控制器下发 |
配置M-LAG系统优先级 同一M-LAG组中,所有M-LAG设备的系统优先级必须相同 |
|
m-lag keepalive ip destination 197.32.241.94 source 197.32.241.93 vpn-instance auto-online-mlag |
m-lag keepalive ip destination 197.32.241.93 source 197.32.241.94 vpn-instance auto-online-mlag |
手工配置/控制器下发 |
配置Keepalive报文的目的IP地址和源IP地址 同一M-LAG组中,M-LAG设备上配置的Keepalive报文的目的IP地址和源IP地址应匹配 |
|
m-lag restore-delay 300 |
m-lag restore-delay 300 |
手工配置/控制器下发 |
配置延迟恢复时间 在路由和接口较多时,可增加延迟恢复时间 |
|
m-lag mad default-action none |
m-lag mad default-action none |
手工配置/控制器下发 |
配置设备上的接口在M-LAG系统分裂后保持原状态不变 |
|
m-lag mad include interface HundredGigE1/0/25 m-lag mad include interface HundredGigE1/0/26 |
m-lag mad include interface HundredGigE1/0/25 m-lag mad include interface HundredGigE1/0/26 |
手工配置/控制器下发 |
配置上行口在M-LAG系统分裂后处于M-LAG MAD DOWN状态 |
|
interface Twenty-FiveGigE 1/0/54 |
interface Twenty-FiveGigE 1/0/54 |
手工配置/控制器下发 |
进入Keepalive链路接口视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
配置Keepalive链路接口工作在三层模式 |
|
ip binding vpn-instance auto-online-mlag |
ip binding vpn-instance auto-online-mlag |
手工配置/控制器下发 |
配置Keepalive链路接口绑定VPN实例 |
|
ip address 197.32.241.93 255.255.255.252 |
ip address 197.32.241.94 255.255.255.252 |
手工配置/控制器下发 |
配置Keepalive链路接口的IP地址 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface bridge-aggregation 256 |
interface bridge-aggregation 256 |
手工配置/控制器下发 |
创建用作peer-link接口的聚合口,并进入接口视图 |
|
link-aggregation mode dynamic |
link-aggregation mode dynamic |
手工配置/控制器下发 |
配置用作peer-link接口的聚合口工作在动态聚合模式 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/31 |
interface HundredGigE1/0/31 |
手工配置/控制器下发 |
进入peer-link链路的物理端口视图 |
|
port link-aggregation group 256 |
port link-aggregation group 256 |
手工配置/控制器下发 |
配置peer-link链路的物理端口加入peer-link链路聚合组256 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface bridge-aggregation 256 |
interface bridge-aggregation 256 |
手工配置/控制器下发 |
创建用作peer-link接口的聚合口,并进入接口视图 |
|
port m-lag peer-link 1 |
port m-lag peer-link 1 |
手工配置/控制器下发 |
配置聚合口256为peer-link接口 |
|
port trunk pvid vlan 4094 |
port trunk pvid vlan 4094 |
手工配置/控制器下发 |
配置Trunk端口的缺省VLAN为4094 |
|
undo mac-address static source-check enable |
undo mac-address static source-check enable |
手工配置/控制器下发 |
在聚合口上关闭报文入接口与静态MAC地址表项匹配检查功能 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vlan-interface 4094 |
interface Vlan-interface 4094 |
手工配置/控制器下发 |
配置逃生VLAN(VLAN 4094) 两台M-LAG设备之间建立三层链路,保证单挂口的报文转发 |
|
ip address 197.32.241.147 255.255.255.0 |
ip address 197.32.241.148 255.255.255.0 |
手工配置/控制器下发 |
配置逃生VLAN接口的IP地址 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在逃生VLAN接口上配置OSPF |
|
Leaf 1(S6850) |
Leaf 2(S6850) |
命令来源 |
命令说明 |
|
interface bridge-aggregation 257 |
interface bridge-aggregation 257 |
手工配置/控制器下发 |
创建连接外网L3设备的M-LAG聚合组 |
|
link-aggregation mode dynamic |
link-aggregation mode dynamic |
手工配置/控制器下发 |
配置连接外网L3设备的聚合组工作在动态聚合模式 |
|
port m-lag group 1 |
port m-lag group 1 |
手工配置/控制器下发 |
配置聚合口257加入M-LAG组1 |
|
port link-type trunk |
port link-type trunk |
手工配置/控制器下发 |
配置M-LAG聚合口257为Trunk端口 |
|
port trunk permit vlan 1 1001 |
port trunk permit vlan 1 1001 |
手工配置/控制器下发 |
配置M-LAG聚合口257允许VLAN 1001通过 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/51 |
interface HundredGigE1/0/51 |
手工配置/控制器下发 |
进入连接外网L3设备的物理端口视图 |
|
port link-type trunk |
port link-type trunk |
手工配置/控制器下发 |
配置连接外网L3设备的物理端口为Trunk端口 |
|
port trunk permit vlan 1 1001 |
port trunk permit vlan 1 1001 |
手工配置/控制器下发 |
配置连接外网L3设备的物理端口允许VLAN 1001通过 |
|
port link-aggregation group 257 |
port link-aggregation group 257 |
手工配置/控制器下发 |
配置连接外网L3设备的物理端口加入聚合组257 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vlan-interface1001 |
interface Vlan-interface1001 |
|
配置连接外网L3设备的vlan interface |
|
ip binding vpn-instance external_vpn_1001 |
ip binding vpn-instance external_vpn_1001 |
|
配置连接外网L3设备的vpn,和用户内网vpn不同 |
|
ip address 197.32.224.17 255.255.255.252 sub |
ip address 197.32.224.17 255.255.255.252 sub |
|
配置连接外网L3设备的ip地址,双活网关 |
|
mac-address 3c8c-404e-dd46 |
mac-address 3c8c-404e-dd46 |
|
配置连接外网L3设备的接口的MAC地址 |
|
ipv6 address FD00:0:97B0:2::1/64 |
ipv6 address FD00:0:97B0:2::1/64 |
|
配置连接外网L3设备的ipv6地址 |
|
Border1(S6850) |
Border2(S6850) |
命令来源 |
命令说明 |
|
interface HundredGigE1/0/25 |
interface HundredGigE1/0/25 |
手工配置/控制器下发 |
进入连接Spine A的物理接口(上行口)视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
配置上行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置上行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在上行口上使能OSPF |
|
undo mac-address static source-check enable |
undo mac-address static source-check enable |
手工配置/控制器下发 |
配置上行口关闭报文入接口与静态MAC地址表项匹配检查功能 |
|
lldp compliance admin-status cdp txrx |
lldp compliance admin-status cdp txrx |
手工配置/控制器下发 |
配置LLDP兼容CDP的工作模式为TxRx,即既发送也接收CDP报文 |
|
lldp management-address arp-learning |
lldp management-address arp-learning |
手工配置/控制器下发 |
配置接口收到携带Management Address TLV的LLDP报文后生成ARP表项 |
|
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
手工配置/控制器下发 |
配置接口上允许发布的TLV类型 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/26 |
interface HundredGigE1/0/26 |
手工配置/控制器下发 |
进入连接Spine B的物理接口(上行口)视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
配置上行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置上行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在上行口上使能OSPF |
|
undo mac-address static source-check enable |
undo mac-address static source-check enable |
手工配置/控制器下发 |
配置上行口关闭报文入接口与静态MAC地址表项匹配检查功能 |
|
lldp compliance admin-status cdp txrx |
lldp compliance admin-status cdp txrx |
手工配置/控制器下发 |
配置LLDP兼容CDP的工作模式为TxRx,即既发送也接收CDP报文 |
|
lldp management-address arp-learning |
lldp management-address arp-learning |
手工配置/控制器下发 |
配置接口收到携带Management Address TLV的LLDP报文后生成ARP表项 |
|
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
手工配置/控制器下发 |
配置接口上允许发布的TLV类型 |
|
Border1(S6850) |
Border2(S6850) |
命令来源 |
命令说明 |
|
l2vpn enable |
l2vpn enable |
手工配置/控制器下发 |
开启L2VPN功能 |
|
l2vpn m-lag peer-link ac-match-rule vxlan-mapping |
l2vpn m-lag peer-link ac-match-rule vxlan-mapping |
手工配置/控制器下发 |
在采用直连模式peer-link链路的M-LAG组网中,配置通过VXLAN ID映射方式生成peer-link链路上动态AC的报文匹配规则 |
|
vxlan tunnel arp-learning disable vxlan tunnel nd-learning disable |
vxlan tunnel arp-learning disable vxlan tunnel nd-learning disable |
手工配置/控制器下发 |
由于EVPN组网中,可以通过EVPN路由通告ARP和ND信息,因此,需要关闭远端ARP和ND自动学习功能 |
|
vxlan tunnel mac-learning disable |
vxlan tunnel mac-learning disable |
手工配置/控制器下发 |
由于EVPN组网中,可以通过EVPN路由通告MAC地址,因此,需要关闭远端MAC地址自动学习功能 |
|
vxlan default-decapsulation source interface LoopBack0 |
vxlan default-decapsulation source interface LoopBack0 |
手工配置/控制器下发 |
配置无论设备上是否存在VXLAN隧道,设备都可以解封装目的地址为LoopBack0接口IP地址的VXLAN报文 |
|
vlan all |
vlan all |
手工配置/控制器下发 |
批量创建VLAN 1~4094 |
|
evpn m-lag group 197.32.241.86 |
evpn m-lag group 197.32.241.86 |
手工配置/控制器下发 |
开启EVPN M-LAG功能,并配置虚拟VTEP地址 |
|
evpn global-mac 0c3a-fa38-2211 |
evpn global-mac 0c3a-fa38-2211 |
手工配置/控制器下发 |
配置EVPN的全局MAC地址 |
|
interface Vsi-interface1001 |
interface Vsi-interface1001 |
手工配置/控制器下发 |
创建关联外网设备L3VNI的VSI虚接口 |
|
ip binding vpn-instance external_vpn_1001 |
ip binding vpn-instance external_vpn_1001 |
手工配置/控制器下发 |
配置接口与外网设备所属的VPN实例关联 |
|
l3-vni 1001 |
l3-vni 1001 |
手工配置/控制器下发 |
配置接口关联L3VNI |
|
interface Vsi-interface10001 |
interface Vsi-interface10001 |
手工配置/控制器下发 |
创建关联NS防火墙L3VNI的VSI虚接口 |
|
ip binding vpn-instance ZHTESTCTFWNS01VRF |
ip binding vpn-instance ZHTESTCTFWNS01VRF |
手工配置/控制器下发 |
配置接口与NS防火墙所属的VPN实例关联 |
|
l3-vni 10001 |
l3-vni 10001 |
手工配置/控制器下发 |
配置接口关联L3VNI |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vsi-interface10002 |
interface Vsi-interface10002 |
手工配置/控制器下发 |
创建关联EW防火墙L3VNI的VSI虚接口 |
|
ip binding vpn-instance ZHTESTCTFWEW01VRF |
ip binding vpn-instance ZHTESTCTFWEW01VRF |
手工配置/控制器下发 |
配置接口与EW防火墙所属的VPN实例关联 |
|
l3-vni 10002 |
l3-vni 10002 |
手工配置/控制器下发 |
配置接口关联L3VNI |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface Vsi-interface10000 |
interface Vsi-interface10000 |
手工配置/控制器下发 |
创建关联服务器L3VNI的VSI虚接口 |
|
ip binding vpn-instance ZHTESTCTVRF |
ip binding vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
配置接口与服务器所属的VPN实例关联 |
|
l3-vni 10000 |
l3-vni 10000 |
手工配置/控制器下发 |
配置接口关联L3VNI |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
bgp 65530 |
bgp 65530 |
手工配置/控制器下发 |
启动指定的BGP实例,并进入BGP实例视图 |
|
non-stop-routing |
non-stop-routing |
手工配置/控制器下发 |
开启BGP NSR功能 |
|
router-id 197.32.241.47 |
router-id 197.32.241.48 |
手工配置/控制器下发 |
指定BGP协议的Router ID |
|
group evpn internal |
group evpn internal |
手工配置/控制器下发 |
创建名为evpn的IBGP对等体组 |
|
peer evpn connect-interface LoopBack0 |
peer evpn connect-interface LoopBack0 |
手工配置/控制器下发 |
指定对等体组创建BGP会话时建立TCP连接使用的源接口 |
|
peer 197.32.241.37 group evpn |
peer 197.32.241.37 group evpn |
手工配置/控制器下发 |
将Spine A添加到对等体组evpn |
|
peer 197.32.241.38 group evpn |
peer 197.32.241.38 group evpn |
手工配置/控制器下发 |
将Spine B添加到对等体组evpn |
|
address-family l2vpn evpn |
address-family l2vpn evpn |
手工配置/控制器下发 |
创建BGP EVPN地址族 |
|
peer evpn enable |
peer evpn enable |
手工配置/控制器下发 |
使能与对等体组evpn交互BGP EVPN路由的能力 |
|
nexthop evpn-m-lag group-address |
nexthop evpn-m-lag group-address |
手工配置/控制器下发 |
Border需要配置此命令,用来发布m-lag虚地址tunnel |
|
ip vpn-instance ZHTESTCTFWEW01VRF |
ip vpn-instance ZHTESTCTFWEW01VRF |
手工配置/控制器下发 |
进入EW防火墙所属VPN实例的BGP-VPN实例视图 |
|
address-family ipv4 unicast |
address-family ipv4 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv4单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
address-family ipv6 unicast |
address-family ipv6 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv6单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
ip vpn-instance ZHTESTCTFWNS01VRF |
ip vpn-instance ZHTESTCTFWNS01VRF |
手工配置/控制器下发 |
进入NS防火墙所属VPN实例的BGP-VPN实例视图 |
|
address-family ipv4 unicast |
address-family ipv4 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv4单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
address-family ipv6 unicast |
address-family ipv6 unicast |
手工配置/控制器下发 |
进入BGP-VPN IPv6单播地址族视图 |
|
balance 4 |
balance 4 |
手工配置/控制器下发 |
配置进行BGP负载分担的路由条数 |
|
ip vpn-instance ZHTESTCTVRF |
ip vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
进入服务器所属VPN实例的BGP-VPN实例视图 |
|
address-family ipv4 unicast default-route imported balance 4 import-route static |
address-family ipv4 unicast default-route imported balance 4 import-route static |
手工配置/控制器下发 |
进入BGP-VPN IPv4单播地址族视图,配置BGP发布的路由 |
|
address-family ipv6 unicast default-route imported balance 4 import-route static |
address-family ipv6 unicast default-route imported balance 4 import-route static |
手工配置/控制器下发 |
进入BGP-VPN IPv6单播地址族视图,配置BGP发布的路由 |
|
ip vpn-instance external_vpn_1001 address-family ipv4 unicast balance 4 network 197.32.224.16 255.255.255.252 network 197.32.224.18 255.255.255.255 address-family ipv6 unicast balance 4 network FD00:0:97B0:2:: 64 network FD00:0:97B0:2::F 128 |
ip vpn-instance external_vpn_1001 address-family ipv4 unicast balance 4 network 197.32.224.16 255.255.255.252 network 197.32.224.18 255.255.255.255 address-family ipv6 unicast balance 4 network FD00:0:97B0:2:: 64 network FD00:0:97B0:2::F 128 |
手工配置/控制器下发 |
进入连接外网L3设备所属VPN实例的BGP-VPN实例视图---进入BGP-VPN IPv4/IPv6单播地址族视图---配置BGP发布的本地网段路由 |
|
Spine A(S12500X) |
Spine B(S12500X) |
命令来源 |
命令说明/注意事项 |
|
interface LoopBack0 |
interface LoopBack0 |
手工配置/控制器下发 |
进入LoopBack0接口视图 |
|
ip address 197.32.241.37 255.255.255.255 |
ip address 197.32.241.38 255.255.255.255 |
手工配置/控制器下发 |
配置LoopBack0接口的IP地址 |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
router id 197.32.241.37 |
router id 197.32.241.38 |
手工配置/控制器下发 |
配置Router ID |
|
ospf 65530 |
ospf 65530 |
手工配置/控制器下发 |
启动OSPF进程65530 |
|
non-stop-routing |
non-stop-routing |
手工配置/控制器下发 |
使能OSPF协议的NSR功能 |
|
stub-router include-stub on-startup 900 |
stub-router include-stub on-startup 900 |
手工配置/控制器下发 |
配置在路由器重启期间,路由器作为Stub路由器,且路由器发布的Router-LSA中,链路类型为3的Stub链路度量值设置为最大值65535 通过本配置来优化OSPF路由的收敛效果 |
|
area 0.0.0.0 |
area 0.0.0.0 |
手工配置/控制器下发 |
创建OSPF区域0.0.0.0 |
|
quit quit |
quit quit |
手工配置/控制器下发 |
退回系统歌诗图 |
|
interface LoopBack0 |
interface LoopBack0 |
手工配置/控制器下发 |
进入LoopBack0接口视图 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在LoopBack0接口上使能OSPF |
|
Spine A(S12500X) |
Spine B(S12500X) |
命令来源 |
命令说明 |
|
interface HundredGigE1/0/1 |
interface HundredGigE1/0/1 |
手工配置/控制器下发 |
进入连接Leaf 1的下行物理口视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
设置下行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置下行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在下行口上使能OSPF |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/2 |
interface HundredGigE1/0/2 |
手工配置/控制器下发 |
进入连接Leaf 2的下行物理口视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
设置下行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置下行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在下行口上使能OSPF |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/3 |
interface HundredGigE1/0/3 |
手工配置/控制器下发 |
进入连接Leaf 3的下行物理口视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
设置下行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置下行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在下行口上使能OSPF |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/4 |
interface HundredGigE1/0/4 |
手工配置/控制器下发 |
进入连接Leaf 4的下行物理口视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
设置下行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置下行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在下行口上使能OSPF |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/5 |
interface HundredGigE1/0/5 |
手工配置/控制器下发 |
进入连接Leaf 5的下行物理口视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
设置下行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置下行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在下行口上使能OSPF |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/6 |
interface HundredGigE1/0/6 |
手工配置/控制器下发 |
进入连接Leaf 6的下行物理口视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
设置下行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置下行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在下行口上使能OSPF |
|
quit |
quit |
手工配置/控制器下发 |
退回系统视图 |
|
interface HundredGigE1/0/7 |
interface HundredGigE1/0/7 |
手工配置/控制器下发 |
进入连接border1的下行物理口视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
设置上行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置上行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在上行口上使能OSPF |
|
quit |
quit |
手工配置/控制器下发 |
|
|
interface HundredGigE1/0/8 |
interface HundredGigE1/0/8 |
手工配置/控制器下发 |
进入连接border2的下行物理口视图 |
|
port link-mode route |
port link-mode route |
手工配置/控制器下发 |
设置上行口工作在三层模式 |
|
ip address unnumbered interface LoopBack0 |
ip address unnumbered interface LoopBack0 |
手工配置/控制器下发 |
配置上行口借用LoopBack0接口的地址 |
|
ospf network-type p2p |
ospf network-type p2p |
手工配置/控制器下发 |
配置OSPF接口的网络类型为点到点类型 |
|
ospf 65530 area 0.0.0.0 |
ospf 65530 area 0.0.0.0 |
手工配置/控制器下发 |
在上行口上使能OSPF |
|
quit |
quit |
手工配置/控制器下发 |
|
|
interface range HundredGigE1/0/1 to HundredGigE1/0/8 |
interface range HundredGigE1/0/1 to HundredGigE1/0/8 |
手工配置/控制器下发 |
进入连接Leaf的接口 |
|
lldp compliance admin-status cdp txrx |
lldp compliance admin-status cdp txrx |
手工配置/控制器下发 |
配置LLDP兼容CDP的工作模式为TxRx,即既发送也接收CDP报文 |
|
lldp management-address arp-learning |
lldp management-address arp-learning |
手工配置/控制器下发 |
配置接口收到携带Management Address TLV的LLDP报文后生成ARP表项 |
|
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0 |
手工配置/控制器下发 |
配置接口上允许发布的TLV类型 |
|
Spine A(S12500X) |
Spine B(S12500X) |
命令来源 |
命令说明 |
|
bgp 65530 |
bgp 65530 |
手工配置/控制器下发 |
启动指定的BGP实例,并进入BGP实例视图 |
|
non-stop-routing |
non-stop-routing |
手工配置/控制器下发 |
开启BGP NSR功能 |
|
router-id 197.32.241.37 |
router-id 197.32.241.38 |
手工配置/控制器下发 |
指定BGP协议的Router ID |
|
group evpn internal |
group evpn internal |
手工配置/控制器下发 |
创建名为evpn的IBGP对等体组 |
|
peer evpn connect-interface LoopBack0 |
peer evpn connect-interface LoopBack0 |
手工配置/控制器下发 |
指定对等体组创建BGP会话时建立TCP连接使用的源接口 |
|
peer 197.32.241.41 group evpn |
peer 197.32.241.41 group evpn |
手工配置/控制器下发 |
将Leaf 1添加到对等体组evpn |
|
peer 197.32.241.42 group evpn |
peer 197.32.241.42 group evpn |
手工配置/控制器下发 |
将Leaf 2添加到对等体组evpn |
|
peer 197.32.241.43 group evpn |
peer 197.32.241.43 group evpn |
手工配置/控制器下发 |
将Leaf 3添加到对等体组evpn |
|
peer 197.32.241.44 group evpn |
peer 197.32.241.44 group evpn |
手工配置/控制器下发 |
将Leaf 4添加到对等体组evpn |
|
peer 197.32.241.45 group evpn |
peer 197.32.241.45 group evpn |
手工配置/控制器下发 |
将Leaf 5添加到对等体组evpn |
|
peer 197.32.241.46 group evpn |
peer 197.32.241.46 group evpn |
手工配置/控制器下发 |
将Leaf 6添加到对等体组evpn |
|
peer 197.32.241.47 group evpn |
peer 197.32.241.47 group evpn |
手工配置/控制器下发 |
将Border 1添加到对等体组evpn |
|
peer 197.32.241.48 group evpn |
peer 197.32.241.48 group evpn |
手工配置/控制器下发 |
将Border 2添加到对等体组evpn |
|
address-family l2vpn evpn |
address-family l2vpn evpn |
手工配置/控制器下发 |
创建BGP EVPN地址族 |
|
undo policy vpn-target |
undo policy vpn-target |
手工配置/控制器下发 |
关闭BGP EVPN路由的VPN-Target过滤功能 |
|
peer evpn enable |
peer evpn enable |
手工配置/控制器下发 |
使能与对等体组evpn交互BGP EVPN路由的能力 |
|
peer evpn reflect-client |
peer evpn reflect-client |
手工配置/控制器下发 |
配置Spine作为路由反射器,对等体组evpn作为路由反射器的客户机 |
|
EW防火墙 |
NS防火墙 |
命令来源 |
命令说明 |
|
vlan 999 1000 |
vlan 997 998 |
手工配置/控制器下发 |
批量创建VLAN 1~4094 |
|
interface Vlan-interface999 ip address 197.32.224.30 255.255.255.252 ipv6 address FD00:0:97B0:102::F/64 quit |
interface Vlan-interface997 ip address 197.32.224.22 255.255.255.252 ipv6 address FD00:0:97B0:100::F/64 quit |
手工配置/控制器下发 |
配置用于三层转发的VLAN接口997 |
|
interface Vlan-interface1000 ip address 197.32.224.34 255.255.255.252 ipv6 address FD00:0:97B0:103::F/64 quit |
interface Vlan-interface998 ip address 197.32.224.26 255.255.255.252 ipv6 address FD00:0:97B0:101::F/64 quit |
手工配置/控制器下发 |
配置用于三层转发的VLAN接口998 |
|
interface Bridge-Aggregation257 port link-type trunk port trunk permit vlan all link-aggregation mode dynamic quit |
interface Bridge-Aggregation258 port link-type trunk port trunk permit vlan all link-aggregation mode dynamic quit |
手工配置/控制器下发 |
配置防火墙通过聚合接口接入Leaf设备组成的M-LAG系统 |
|
interface HundredGigE2/0/29 port link-mode bridge port link-type trunk port trunk permit vlan all flow-interval 5 port link-aggregation group 257 quit |
interface HundredGigE3/0/29 port link-mode bridge port link-type trunk port trunk permit vlan all flow-interval 5 port link-aggregation group 258 quit |
手工配置/控制器下发 |
将连接Leaf 1的物理端口加入聚合组 |
|
interface HundredGigE2/0/30 port link-mode bridge port link-type trunk port trunk permit vlan all flow-interval 5 port link-aggregation group 257 quit |
interface HundredGigE3/0/30 port link-mode bridge port link-type trunk port trunk permit vlan all flow-interval 5 port link-aggregation group 258 quit |
手工配置/控制器下发 |
将连接Leaf 2的物理端口加入聚合组 |
|
ip route-static 197.32.0.0 16 197.32.224.33 ipv6 route-static FD00:0:97B0::/24 FD00:0:97B0:103::1 |
ip route-static 197.32.0.0 16 197.32.224.25 ipv6 route-static FD00:0:97B0::/24 FD00:0:97B0:101::1 |
手工配置/控制器下发 |
为经过EW/NS防火墙去往VXLAN网络的流量配置返回Leaf设备的路由 本配置仅为示例,在实际环境中,也可以通过防火墙的配置保证去往VXLAN网络的流量返回leaf设备 |
|
L3设备 |
命令来源 |
命令说明 |
|
vlan all |
手工配置/控制器下发 |
批量创建VLAN 1~4094 |
|
interface Vlan-interface1001 |
手工配置/控制器下发 |
配置用于外网出口三层转发的VLAN接口1001 |
|
ip address 197.32.225.18 255.255.255.252 |
手工配置/控制器下发 |
配置接口的IPv4地址 |
|
ipv6 address FD00:1:97B0:2::F/64 |
手工配置/控制器下发 |
配置接口的IPv6地址 |
|
interface Bridge-Aggregation257 port link-type trunk port trunk permit vlan 1001 link-aggregation mode dynamic quit |
手工配置/控制器下发 |
配置通过聚合接口接入border设备组成的M-LAG系统 |
|
interface HundredGigE4/0/29 port link-mode bridge port link-type trunk port trunk permit vlan 1001 flow-interval 5 port link-aggregation group 257 quit |
手工配置/控制器下发 |
将连接border1的物理端口加入聚合组 |
|
interface HundredGigE4/0/30 port link-mode bridge port link-type trunk port trunk permit vlan1001 flow-interval 5 port link-aggregation group 257 quit |
手工配置/控制器下发 |
将连接border 2的物理端口加入聚合组 |
|
ip route-static 197.32.0.0 16 197.32.224.17 ipv6 route-static FD00:: 16 FD00:0:97B0:2::1 |
手工配置/控制器下发 |
为L3外网流量配置返回Leaf设备的路由 |
Leaf 5的Twenty-FiveGigE1/0/2接口下挂DHCP sever虚机。DHCP server使用的操作系统为win 2012 server,地址为197.32.42.9。
在win 2012 server上添加DHCP角色,操作步骤为:
(1) 在图1-2所示的界面上,点击<添加角色和功能>。
(2) 在“添加角色和功能向导”界面,按照图1-3、图1-4和图1-5选择选项后,点击下一步,直到DHCP服务安装完成。
(3) 打开DHCP服务,配置DHCP地址池:分配的IP地址范围为197.32.13.50~197.32.13.100。
图1-6 配置DHCP地址池
|
Leaf 1(S6850) |
Leaf 2(S6850) |
命令来源 |
命令说明 |
|
dhcp enable |
dhcp enable |
手工配置/控制器下发 |
开启DHCP服务 |
|
dhcp relay mac-forward enable |
dhcp relay mac-forward enable |
手工配置/控制器下发 |
配置如果DHCP中继未记录收到的DHCP应答报文中DHCP客户端的MAC地址和中继出接口的对应关系,则根据客户端的MAC地址查询MAC地址表,在表项对应的出接口转发DHCP应答报文 |
|
Leaf 3(S6850) |
Leaf 4(S6850) |
命令来源 |
命令说明 |
注意事项 |
|
dhcp enable |
dhcp enable |
手工配置/控制器下发 |
开启DHCP服务 |
- |
|
dhcp relay mac-forward enable |
dhcp relay mac-forward enable |
手工配置/控制器下发 |
配置如果DHCP中继未记录收到的DHCP应答报文中DHCP客户端的MAC地址和中继出接口的对应关系,则根据客户端的MAC地址查询MAC地址表,在表项对应的出接口转发DHCP应答报文 |
在EVPN分布式网关+DHCP中继组网中必须执行本配置 |
|
interface Vsi-interface13313 |
interface Vsi-interface13313 |
手工配置/控制器下发 |
进入服务器的VSI网关接口视图 |
- |
|
dhcp select relay |
dhcp select relay |
手工配置/控制器下发 |
配置VSI虚接口工作在DHCP中继模式 |
- |
|
dhcp relay server-address 197.32.42.9 |
dhcp relay server-address 197.32.42.9 |
手工配置/控制器下发 |
在DHCP中继上指定DHCP服务器的地址 |
- |
|
dhcp relay request-from-tunnel discard |
dhcp relay request-from-tunnel discard |
手工配置/控制器下发 |
配置DHCP中继丢弃从VXLAN隧道收到的DHCP请求报文 |
- |
|
Leaf 5(S6850) |
Leaf 6(S6850) |
命令来源 |
命令说明 |
注意事项 |
|
dhcp enable |
dhcp enable |
手工配置/控制器下发 |
开启DHCP服务 |
- |
|
dhcp relay mac-forward enable |
dhcp relay mac-forward enable |
手工配置/控制器下发 |
配置如果DHCP中继未记录收到的DHCP应答报文中DHCP客户端的MAC地址和中继出接口的对应关系,则根据客户端的MAC地址查询MAC地址表,在表项对应的出接口转发DHCP应答报文 |
在EVPN分布式网关+DHCP中继组网中必须执行本配置 |
|
Leaf 1(S6850) |
Leaf 2(S6850) |
命令来源 |
命令说明 |
|
microsegment enable |
microsegment enable |
手工配置/控制器下发 |
配置微分段功能使能命令 |
|
microsegment 10001 name SDN_EPG_10001 |
microsegment 10001 name SDN_EPG_10001 |
手工配置/控制器下发 |
配置微分段EPG 10001 |
|
member ipv4 197.32.14.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.14.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv4 197.32.16.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.16.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv6 FD00:0:97B0:1014:: 64 vpn-instance ZHTESTCTVRF |
member ipv6 FD00:0:97B0:1014:: 64 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
member ipv6 FD00:0:97B0:1016:: 64 vpn-instance ZHTESTCTVRF |
member ipv6 FD00:0:97B0:1016:: 64 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
microsegment 10002 name SDN_EPG_10002 |
microsegment 10002 name SDN_EPG_10002 |
手工配置/控制器下发 |
配置微分段EPG 10002 |
|
member ipv4 197.32.42.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.42.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv6 FD00:0:97B0:1042:: 64 vpn-instance ZHTESTCTVRF |
member ipv6 FD00:0:97B0:1042:: 64 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
microsegment 10003 name SDN_EPG_10003 |
microsegment 10003 name SDN_EPG_10003 |
手工配置/控制器下发 |
配置微分段EPG 10003 |
|
member ipv4 0.0.0.0 0.0.0.0 vpn-instance ZHTESTCTVRF |
member ipv4 0.0.0.0 0.0.0.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv6 :: 0 vpn-instance ZHTESTCTVRF |
member ipv6 :: 0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
microsegment 10004 name SDN_EPG_10004 |
microsegment 10004 name SDN_EPG_10004 |
手工配置/控制器下发 |
配置微分段EPG 10004 |
|
member ipv4 197.32.42.9 255.255.255.255 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.42.9 255.255.255.255 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
policy-based-route SDN_SC_L3_10001 permit node 0 |
policy-based-route SDN_SC_L3_10001 permit node 0 |
手工配置/控制器下发 |
配置VSI虚接口10001下的pbr,用来将南北向流量指向NS防火墙 |
|
if-match service-chain path-id 1 path-index 1 |
if-match service-chain path-id 1 path-index 1 |
手工配置/控制器下发 |
匹配从微分段10001来得流量服务链标记,即南向北流量 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.22 |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.22 |
手工配置/控制器下发 |
将流量PBR重定向到NS防火墙 |
|
policy-based-route SDN_SC_L3_10001 permit node 1 |
policy-based-route SDN_SC_L3_10001 permit node 1 |
手工配置/控制器下发 |
配置VSI虚接口10001下的pbr,用来将南北向流量指向NS防火墙 |
|
if-match service-chain path-id 8388609 path-index 1 |
if-match service-chain path-id 8388609 path-index 1 |
手工配置/控制器下发 |
匹配从微分段10003来得流量服务链标记,即北向南流量 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.26 |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.26 |
手工配置/控制器下发 |
将流量PBR重定向到NS防火墙 |
|
policy-based-route SDN_SC_L3_10002 permit node 0 |
policy-based-route SDN_SC_L3_10002 permit node 0 |
手工配置/控制器下发 |
配置VSI虚接口10002下的pbr,用来将东西向流量指向EW防火墙 |
|
if-match service-chain path-id 2 path-index 1 |
if-match service-chain path-id 2 path-index 1 |
手工配置/控制器下发 |
匹配从微分段10001来的东西向流量服务链标记 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.30 |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.30 |
手工配置/控制器下发 |
将流量PBR重定向到EW防火墙 |
|
policy-based-route SDN_SC_L3_10002 permit node 1 |
policy-based-route SDN_SC_L3_10002 permit node 1 |
手工配置/控制器下发 |
配置VSI虚接口10002下的pbr,用来将东西向流量指向EW防火墙 |
|
if-match service-chain path-id 8388610 path-index 1 |
if-match service-chain path-id 8388610 path-index 1 |
手工配置/控制器下发 |
匹配从微分段10002/10004来的东西向流量服务链标记 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.34 |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.34 |
手工配置/控制器下发 |
将流量PBR重定向到EW防火墙 |
|
ipv6 policy-based-route SDN_SC_L3_10001 permit node 0 |
ipv6 policy-based-route SDN_SC_L3_10001 permit node 0 |
手工配置/控制器下发 |
配置VSI虚接口10001下的IPv6 PBR,用来将南北向流量指向NS防火墙 |
|
if-match service-chain path-id 1 path-index 1 |
if-match service-chain path-id 1 path-index 1 |
手工配置/控制器下发 |
匹配从微分段10001来得流量服务链标记,即南向北流量 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:100::F |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:100::F |
手工配置/控制器下发 |
将流量PBR重定向到NS防火墙 |
|
ipv6 policy-based-route SDN_SC_L3_10001 permit node 1 |
ipv6 policy-based-route SDN_SC_L3_10001 permit node 1 |
手工配置/控制器下发 |
配置VSI虚接口10001下的IPv6 PBR,用来将南北向流量指向NS防火墙 |
|
if-match service-chain path-id 8388609 path-index 1 |
if-match service-chain path-id 8388609 path-index 1 |
手工配置/控制器下发 |
匹配从微分段10003来得流量服务链标记,即北向南流量 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:101::F |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:101::F |
手工配置/控制器下发 |
将流量PBR重定向到NS防火墙 |
|
ipv6 policy-based-route SDN_SC_L3_10002 permit node 0 |
ipv6 policy-based-route SDN_SC_L3_10002 permit node 0 |
手工配置/控制器下发 |
配置VSI虚接口10002下的IPv6 PBR,用来将东西向流量指向EW防火墙 |
|
if-match service-chain path-id 2 path-index 1 |
if-match service-chain path-id 2 path-index 1 |
手工配置/控制器下发 |
匹配从微分段10001来的东西向流量服务链标记 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:102::F |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:102::F |
手工配置/控制器下发 |
将流量PBR重定向到EW防火墙 |
|
ipv6 policy-based-route SDN_SC_L3_10002 permit node 1 |
ipv6 policy-based-route SDN_SC_L3_10002 permit node 1 |
手工配置/控制器下发 |
配置VSI虚接口10002下的IPv6 PBR,用来将东西向流量指向EW防火墙 |
|
if-match service-chain path-id 8388610 path-index 1 |
if-match service-chain path-id 8388610 path-index 1 |
手工配置/控制器下发 |
匹配从微分段10002/10004来的东西向流量服务链标记 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:103::F |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:103::F |
手工配置/控制器下发 |
将流量PBR重定向到EW防火墙 |
|
interface Vsi-interface10001 |
interface Vsi-interface10001 |
手工配置/控制器下发 |
进入关联NS防火墙L3VNI的VSI虚接口 |
|
ip policy-based-route SDN_SC_L3_10001 |
ip policy-based-route SDN_SC_L3_10001 |
手工配置/控制器下发 |
下发IPv4的PBR |
|
ipv6 policy-based-route SDN_SC_L3_10001 |
ipv6 policy-based-route SDN_SC_L3_10001 |
手工配置/控制器下发 |
下发IPv6的PBR |
|
interface Vsi-interface10002 |
interface Vsi-interface10002 |
手工配置/控制器下发 |
进入关联EW防火墙L3VNI的VSI虚接口 |
|
ip policy-based-route SDN_SC_L3_10002 |
ip policy-based-route SDN_SC_L3_10002 |
手工配置/控制器下发 |
下发IPv4的PBR |
|
ipv6 policy-based-route SDN_SC_L3_10002 |
ipv6 policy-based-route SDN_SC_L3_10002 |
手工配置/控制器下发 |
下发IPv6的PBR |
|
Leaf 3(S6850) |
Leaf 4(S6850) |
命令来源 |
命令说明 |
|
microsegment enable |
microsegment enable |
手工配置/控制器下发 |
配置微分段功能使能命令 |
|
microsegment 10001 name SDN_EPG_10001 |
microsegment 10001 name SDN_EPG_10001 |
手工配置/控制器下发 |
配置微分段EPG 10001 |
|
member ipv4 197.32.14.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.14.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv4 197.32.16.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.16.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv6 FD00:0:97B0:1014:: 64 vpn-instance ZHTESTCTVRF |
member ipv6 FD00:0:97B0:1014:: 64 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
member ipv6 FD00:0:97B0:1016:: 64 vpn-instance ZHTESTCTVRF |
member ipv6 FD00:0:97B0:1016:: 64 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
microsegment 10002 name SDN_EPG_10002 |
microsegment 10002 name SDN_EPG_10002 |
手工配置/控制器下发 |
配置微分段EPG 10002 |
|
member ipv4 197.32.42.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.42.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv6 FD00:0:97B0:1042:: 64 vpn-instance ZHTESTCTVRF |
member ipv6 FD00:0:97B0:1042:: 64 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
microsegment 10003 name SDN_EPG_10003 |
microsegment 10003 name SDN_EPG_10003 |
手工配置/控制器下发 |
配置微分段EPG 10003 |
|
member ipv4 0.0.0.0 0.0.0.0 vpn-instance ZHTESTCTVRF |
member ipv4 0.0.0.0 0.0.0.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv6 :: 0 vpn-instance ZHTESTCTVRF |
member ipv6 :: 0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
microsegment 10004 name SDN_EPG_10004 |
microsegment 10004 name SDN_EPG_10004 |
手工配置/控制器下发 |
配置微分段EPG 10004 |
|
member ipv4 197.32.42.9 255.255.255.255 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.42.9 255.255.255.255 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
acl advanced name 13314_1 |
acl advanced name 13314_1 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下pbr node 0需要匹配的ACL |
|
rule 0 permit udp vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
rule 0 permit udp vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13314_2 |
acl advanced name 13314_2 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下pbr node 1需要匹配的ACL |
|
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13314_3 |
acl advanced name 13314_3 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下pbr node 2需要匹配的ACL |
|
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10002 |
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10002 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13314_4 |
acl advanced name 13314_4 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下pbr node 3需要匹配的ACL |
|
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10003 |
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10003 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13314_5 |
acl advanced name 13314_5 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下pbr node 4需要匹配的ACL |
|
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10001 |
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10001 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13314_6 |
acl advanced name 13314_6 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下pbr node 5需要匹配的ACL |
|
rule 0 permit ip |
rule 0 permit ip |
手工配置/控制器下发 |
配置IPv4 ACL,匹配所有IPv4报文 |
|
acl ipv6 advanced name 13314_1 |
acl ipv6 advanced name 13314_1 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下IPv6 PBR node 0需要匹配的微分段1 |
|
rule 0 permit udp vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
rule 0 permit udp vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13314_2 |
acl ipv6 advanced name 13314_2 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下IPv6 PBR node 1需要匹配的ACL |
|
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13314_3 |
acl ipv6 advanced name 13314_3 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下IPv6 PBR node 2需要匹配的ACL |
|
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10002 |
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10002 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13314_4 |
acl ipv6 advanced name 13314_4 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下IPv6 PBR node 3需要匹配的ACL |
|
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10003 |
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10003 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13314_5 |
acl ipv6 advanced name 13314_5 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下IPv6 PBR node 4需要匹配的ACL |
|
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10001 |
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10001 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13314_6 |
acl ipv6 advanced name 13314_6 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下IPv6 PBR node 5需要匹配的ACL |
|
rule 0 permit ipv6 |
rule 0 permit ipv6 |
手工配置/控制器下发 |
配置IPv6 ACL,匹配所有的IPv6报文 |
|
policy-based-route SDN_SC_13314 permit node 0 |
policy-based-route SDN_SC_13314 permit node 0 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下pbr node 0 |
|
if-match acl name 13314_1 |
if-match acl name 13314_1 |
手工配置/控制器下发 |
匹配ACL规则 |
|
policy-based-route SDN_SC_13314 permit node 1 |
policy-based-route SDN_SC_13314 permit node 1 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下pbr node 1 |
|
if-match acl name 13314_2 |
if-match acl name 13314_2 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.30 |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.30 |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 2 path-index 1 |
apply service-chain path-id 2 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
policy-based-route SDN_SC_13314 permit node 2 |
policy-based-route SDN_SC_13314 permit node 2 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下pbr node 2 |
|
if-match acl name 13314_3 |
if-match acl name 13314_3 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.30 |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.30 |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 2 path-index 1 |
apply service-chain path-id 2 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
policy-based-route SDN_SC_13314 permit node 3 |
policy-based-route SDN_SC_13314 permit node 3 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下pbr node 3 |
|
if-match acl name 13314_4 |
if-match acl name 13314_4 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.22 |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.22 |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 1 path-index 1 |
apply service-chain path-id 1 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
policy-based-route SDN_SC_13314 permit node 4 |
policy-based-route SDN_SC_13314 permit node4 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下pbr node 4 |
|
if-match acl name 13314_5 |
if-match acl name 13314_5 |
手工配置/控制器下发 |
匹配ACL规则 |
|
policy-based-route SDN_SC_13314 permit node 5 |
policy-based-route SDN_SC_13314 permit node 5 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下pbr node 5 |
|
if-match acl name 13314_6 |
if-match acl name 13314_6 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply output-interface NULL0 |
apply output-interface NULL0 |
手工配置/控制器下发 |
配置PBR动作,output-interface NULL0,代表丢弃 |
|
interface Vsi-interface13314 |
interface Vsi-interface13314 |
手工配置/控制器下发 |
进入用户vpn下的vsi 13314 |
|
ip policy-based-route SDN_SC_13314 |
ip policy-based-route SDN_SC_13314 |
手工配置/控制器下发 |
下发IPv4 PBR |
|
Ipv6 policy-based-route SDN_SC_13314 permit node 0 |
Ipv6 policy-based-route SDN_SC_13314 permit node 0 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下IPv6 PBR node 0 |
|
if-match acl name 13314_1 |
if-match acl name 13314_1 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
Ipv6 policy-based-route SDN_SC_13314 permit node 1 |
Ipv6 policy-based-route SDN_SC_13314 permit node 1 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下IPv6 PBR node 1 |
|
if-match acl name 13314_2 |
if-match acl name 13314_2 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:102::F |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:102::F |
手工配置/控制器下发 |
配置IPv6 PBR动作next hop |
|
apply service-chain path-id 2 path-index 1 |
apply service-chain path-id 2 path-index 1 |
手工配置/控制器下发 |
配置IPv6 PBR动作,设置服务链标记 |
|
Ipv6 policy-based-route SDN_SC_13314 permit node 2 |
Ipv6 policy-based-route SDN_SC_13314 permit node 2 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下IPv6 PBR node 2 |
|
if-match acl name 13314_3 |
if-match acl name 13314_3 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:102::F |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:102::F |
手工配置/控制器下发 |
配置IPv6 PBR动作next hop |
|
apply service-chain path-id 2 path-index 1 |
apply service-chain path-id 2 path-index 1 |
手工配置/控制器下发 |
配置IPv6 PBR动作,设置服务链标记 |
|
Ipv6 policy-based-route SDN_SC_13314 permit node 3 |
Ipv6 policy-based-route SDN_SC_13314 permit node 3 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下IPv6 PBR node 3 |
|
if-match acl name 13314_4 |
if-match acl name 13314_4 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:100::F |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:100::F |
手工配置/控制器下发 |
配置IPv6 PBR动作next hop |
|
apply service-chain path-id 1 path-index 1 |
apply service-chain path-id 1 path-index 1 |
手工配置/控制器下发 |
配置IPv6 PBR动作,设置服务链标记 |
|
Ipv6 policy-based-route SDN_SC_13314 permit node 4 |
Ipv6 policy-based-route SDN_SC_13314 permit node 4 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下IPv6 PBR node 4 |
|
if-match acl name 13314_5 |
if-match acl name 13314_5 |
手工配置/控制器下发 |
匹配ACL规则 |
|
Ipv6 policy-based-route SDN_SC_13314 permit node 5 |
Ipv6 policy-based-route SDN_SC_13314 permit node 5 |
手工配置/控制器下发 |
创建用户vpn vsi 13314下IPv6 PBR node 5 |
|
if-match acl name 13314_6 |
if-match acl name 13314_6 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply output-interface NULL0 |
apply output-interface NULL0 |
手工配置/控制器下发 |
配置IPv6 PBR动作,output-interface NULL0,代表丢弃 |
|
interface Vsi-interface13314 |
interface Vsi-interface13314 |
手工配置/控制器下发 |
进入用户vpn下的vsi 13314 |
|
ipv6 policy-based-route SDN_SC_13314 |
ipv6 policy-based-route SDN_SC_13314 |
手工配置/控制器下发 |
下发IPv6 PBR |
|
Leaf 5(S6850) |
Leaf 6(S6850) |
命令来源 |
命令说明 |
|
microsegment enable |
microsegment enable |
手工配置/控制器下发 |
配置微分段功能使能命令 |
|
microsegment 10001 name SDN_EPG_10001 |
microsegment 10001 name SDN_EPG_10001 |
手工配置/控制器下发 |
配置微分段EPG 10001 |
|
member ipv4 197.32.14.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.14.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv4 197.32.16.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.16.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv6 FD00:0:97B0:1014:: 64 vpn-instance ZHTESTCTVRF |
member ipv6 FD00:0:97B0:1014:: 64 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
member ipv6 FD00:0:97B0:1016:: 64 vpn-instance ZHTESTCTVRF |
member ipv6 FD00:0:97B0:1016:: 64 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
microsegment 10002 name SDN_EPG_10002 |
microsegment 10002 name SDN_EPG_10002 |
手工配置/控制器下发 |
配置微分段EPG 10002 |
|
member ipv4 197.32.42.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.42.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv6 FD00:0:97B0:1042:: 64 vpn-instance ZHTESTCTVRF |
member ipv6 FD00:0:97B0:1042:: 64 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
microsegment 10003 name SDN_EPG_10003 |
microsegment 10003 name SDN_EPG_10003 |
手工配置/控制器下发 |
配置微分段EPG 10003 |
|
member ipv4 0.0.0.0 0.0.0.0 vpn-instance ZHTESTCTVRF |
member ipv4 0.0.0.0 0.0.0.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv6 :: 0 vpn-instance ZHTESTCTVRF |
member ipv6 :: 0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
microsegment 10004 name SDN_EPG_10004 |
microsegment 10004 name SDN_EPG_10004 |
手工配置/控制器下发 |
配置微分段EPG 10004 |
|
member ipv4 197.32.42.9 255.255.255.255 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.42.9 255.255.255.255 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
acl advanced name 13316_1 |
acl advanced name 13316_1 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下pbr node 0需要匹配的ACL |
|
rule 0 permit udp vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
rule 0 permit udp vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13316_2 |
acl advanced name 13316_2 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下pbr node 1需要匹配的ACL |
|
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13316_3 |
acl advanced name 13316_3 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下pbr node 2需要匹配的ACL |
|
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10002 |
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10002 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13316_4 |
acl advanced name 13316_4 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下pbr node 3需要匹配的ACL |
|
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10003 |
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10003 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13316_5 |
acl advanced name 13316_5 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下pbr node 4需要匹配的ACL |
|
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10001 |
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10001 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13316_6 |
acl advanced name 13316_6 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下pbr node 5需要匹配的ACL |
|
rule 0 permit ip |
rule 0 permit ip |
手工配置/控制器下发 |
配置IPv4 ACL,匹配所有IPv4报文 |
|
acl ipv6 advanced name 13316_1 |
acl ipv6 advanced name 13316_1 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下IPv6 PBR node 0需要匹配的ACL |
|
rule 0 permit udp vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
rule 0 permit udp vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13316_2 |
acl ipv6 advanced name 13316_2 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下IPv6 PBR node 1需要匹配的ACL |
|
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10004 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13316_3 |
acl ipv6 advanced name 13316_3 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下IPv6 PBR node 2需要匹配的ACL |
|
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10002 |
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10002 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13316_4 |
acl ipv6 advanced name 13316_4 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下IPv6 PBR node 3需要匹配的ACL |
|
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10003 |
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10003 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13316_5 |
acl ipv6 advanced name 13316_5 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下IPv6 PBR node 4需要匹配的ACL |
|
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10001 |
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10001 destination microsegment 10001 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13316_6 |
acl ipv6 advanced name 13316_6 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下IPv6 PBR node 5需要匹配的ACL |
|
rule 0 permit ipv6 |
rule 0 permit ipv6 |
手工配置/控制器下发 |
配置IPv6 ACL,匹配所有的IPv6报文 |
|
policy-based-route SDN_SC_13314 permit node 0 |
policy-based-route SDN_SC_13314 permit node 0 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下pbr node 0 |
|
if-match acl name 13316_1 |
if-match acl name 13316_1 |
手工配置/控制器下发 |
匹配ACL规则 |
|
policy-based-route SDN_SC_13316 permit node 1 |
policy-based-route SDN_SC_13316 permit node 1 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下pbr node 1 |
|
if-match acl name 13316_2 |
if-match acl name 13316_2 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.30 |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.30 |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 2 path-index 1 |
apply service-chain path-id 2 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
policy-based-route SDN_SC_13316 permit node 2 |
policy-based-route SDN_SC_13316 permit node 2 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下pbr node 2 |
|
if-match acl name 13316_3 |
if-match acl name 13316_3 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.30 |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.30 |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 2 path-index 1 |
apply service-chain path-id 2 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
policy-based-route SDN_SC_13316 permit node 3 |
policy-based-route SDN_SC_13316 permit node 3 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下pbr node 3 |
|
if-match acl name 13316_4 |
if-match acl name 13316_4 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.22 |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.22 |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 1 path-index 1 |
apply service-chain path-id 1 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
policy-based-route SDN_SC_13316 permit node 4 |
policy-based-route SDN_SC_13316 permit node4 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下pbr node 4 |
|
if-match acl name 13316_5 |
if-match acl name 13316_5 |
手工配置/控制器下发 |
匹配ACL规则 |
|
policy-based-route SDN_SC_13316 permit node 5 |
policy-based-route SDN_SC_13316 permit node 5 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下pbr node 5 |
|
if-match acl name 13316_6 |
if-match acl name 13316_6 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply output-interface NULL0 |
apply output-interface NULL0 |
手工配置/控制器下发 |
配置PBR动作,output-interface NULL0,代表丢弃 |
|
interface Vsi-interface13316 |
interface Vsi-interface13316 |
手工配置/控制器下发 |
进入用户vpn下的vsi 13314 |
|
ip policy-based-route SDN_SC_13316 |
ip policy-based-route SDN_SC_13316 |
手工配置/控制器下发 |
下发IPv4 PBR |
|
Ipv6 policy-based-route SDN_SC_13316 permit node 0 |
Ipv6 policy-based-route SDN_SC_13316 permit node 0 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下IPv6 PBR node 0 |
|
if-match acl name 13316_1 |
if-match acl name 13316_1 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
Ipv6 policy-based-route SDN_SC_13316 permit node 1 |
Ipv6 policy-based-route SDN_SC_13316 permit node 1 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下IPv6 PBR node 1 |
|
if-match acl name 13316_2 |
if-match acl name 13316_2 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:102::F |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:102::F |
手工配置/控制器下发 |
配置IPv6 PBR动作next hop |
|
apply service-chain path-id 2 path-index 1 |
apply service-chain path-id 2 path-index 1 |
手工配置/控制器下发 |
配置IPv6 PBR动作,设置服务链标记 |
|
Ipv6 policy-based-route SDN_SC_13316 permit node 2 |
Ipv6 policy-based-route SDN_SC_13316 permit node 2 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下IPv6 PBR node 2 |
|
if-match acl name 13316_3 |
if-match acl name 13316_3 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:102::F |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:102::F |
手工配置/控制器下发 |
配置IPv6 PBR动作next hop |
|
apply service-chain path-id 2 path-index 1 |
apply service-chain path-id 2 path-index 1 |
手工配置/控制器下发 |
配置IPv6 PBR动作,设置服务链标记 |
|
Ipv6 policy-based-route SDN_SC_13316 permit node 3 |
Ipv6 policy-based-route SDN_SC_13316 permit node 3 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下IPv6 PBR node 3 |
|
if-match acl name 13316_4 |
if-match acl name 13316_4 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:100::F |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:100::F |
手工配置/控制器下发 |
配置IPv6 PBR动作next hop |
|
apply service-chain path-id 1 path-index 1 |
apply service-chain path-id 1 path-index 1 |
手工配置/控制器下发 |
配置IPv6 PBR动作,设置服务链标记 |
|
Ipv6 policy-based-route SDN_SC_13316 permit node 4 |
Ipv6 policy-based-route SDN_SC_13316 permit node 4 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下IPv6 PBR node 4 |
|
if-match acl name 13316_5 |
if-match acl name 13316_5 |
手工配置/控制器下发 |
匹配ACL规则 |
|
Ipv6 policy-based-route SDN_SC_13316 permit node 5 |
Ipv6 policy-based-route SDN_SC_13316 permit node 5 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下IPv6 PBR node 5 |
|
if-match acl name 13316_6 |
if-match acl name 13316_6 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply output-interface NULL0 |
apply output-interface NULL0 |
手工配置/控制器下发 |
配置IPv6 PBR动作,output-interface NULL0,代表丢弃 |
|
interface Vsi-interface13316 |
interface Vsi-interface13316 |
手工配置/控制器下发 |
进入用户vpn下的vsi 13316 |
|
Ipv6 policy-based-route SDN_SC_13316 |
Ipv6 policy-based-route SDN_SC_13316 |
手工配置/控制器下发 |
下发IPv6 PBR |
|
acl advanced name 13342_1 |
acl advanced name 13342_1 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下pbr node 0需要匹配的微分段1 |
|
rule 0 permit udp vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10001 rule 1 permit ip vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10004 |
rule 0 permit udp vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10001 rule 1 permit ip vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10004 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13342_2 |
acl advanced name 13342_2 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下pbr node 1需要匹配的微分段2 |
|
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10002 |
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10002 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13342_3 |
acl advanced name 13342_3 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下pbr node 2需要匹配的微分段3 |
|
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10001 |
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10001 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13342_4 |
acl advanced name 13342_4 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下pbr node 3需要匹配的微分段4 |
|
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10001 |
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10001 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13342_5 |
acl advanced name 13342_5 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下pbr node 4需要匹配的微分段5 |
|
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10003 |
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10003 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13342_6 |
acl advanced name 13342_6 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下pbr node 5需要匹配的微分段6 |
|
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10003 |
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10003 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13342_7 |
acl advanced name 13342_7 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下pbr node 6需要匹配的微分段7 |
|
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10002 rule 1 permit ip vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10004 |
rule 0 permit ip vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10002 rule 1 permit ip vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10004 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 13342_8 |
acl advanced name 13342_8 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下pbr node 7需要匹配的ACL |
|
rule 0 permit ip |
rule 0 permit ip |
手工配置/控制器下发 |
配置IPv4 ACL,匹配所有IPv4报文 |
|
acl ipv6 advanced name 13342_1 |
acl ipv6 advanced name 13342_1 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下IPv6 PBR node 0需要匹配的微分段1 |
|
rule 0 permit udp vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10001 rule 1 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10004 |
rule 0 permit udp vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10001 rule 1 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10004 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13342_2 |
acl ipv6 advanced name 13342_2 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下IPv6 PBR node 1需要匹配的微分段2 |
|
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10002 |
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10002 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13342_3 |
acl ipv6 advanced name 13342_3 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下IPv6 PBR node 2需要匹配的微分段3 |
|
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10001 |
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10001 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13342_4 |
acl ipv6 advanced name 13342_4 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下IPv6 PBR node 3需要匹配的微分段4 |
|
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10001 |
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10001 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13342_5 |
acl ipv6 advanced name 13342_5 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下IPv6 PBR node 4需要匹配的微分段5 |
|
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10003 |
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10003 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13342_6 |
acl ipv6 advanced name 13342_6 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下IPv6 PBR node 5需要匹配的微分段6 |
|
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10003 |
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10003 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13342_7 |
acl ipv6 advanced name 13342_7 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下IPv6 PBR node 6需要匹配的微分段7 |
|
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10002 rule 1 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10004 |
rule 0 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10002 destination microsegment 10002 rule 1 permit ipv6 vpn-instance ZHTESTCTVRF source microsegment 10004 destination microsegment 10004 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 13342_8 |
acl ipv6 advanced name 13342_8 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下IPv6 PBR node 7需要匹配的ACL |
|
rule 0 permit ipv6 |
rule 0 permit ipv6 |
手工配置/控制器下发 |
配置IPv6 ACL,,匹配所有IPv6报文 |
|
policy-based-route SDN_SC_13342 permit node 0 |
policy-based-route SDN_SC_13342 permit node 0 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下pbr node 0 |
|
if-match acl name 13342_1 |
if-match acl name 13342_1 |
手工配置/控制器下发 |
匹配ACL规则 |
|
policy-based-route SDN_SC_13342 permit node 1 |
policy-based-route SDN_SC_13342 permit node 1 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下pbr node 1 |
|
if-match acl name 13342_2 |
if-match acl name 13342_2 |
手工配置/控制器下发 |
匹配ACL规则 |
|
policy-based-route SDN_SC_13342 permit node 2 |
policy-based-route SDN_SC_13342 permit node 2 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下pbr node 2 |
|
if-match acl name 13342_3 |
if-match acl name 13342_3 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.34 |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.34 |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 8388610 path-index 1 |
apply service-chain path-id 8388610 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
policy-based-route SDN_SC_13342 permit node 3 |
policy-based-route SDN_SC_13342 permit node 3 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下pbr node 3 |
|
if-match acl name 13342_4 |
if-match acl name 13342_4 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.34 |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF 197.32.224.34 |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 8388610 path-index 1 |
apply service-chain path-id 8388610 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
policy-based-route SDN_SC_13342 permit node 4 |
policy-based-route SDN_SC_13342 permit node 4 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下pbr node 4 |
|
if-match acl name 13342_5 |
if-match acl name 13342_5 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.22 |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.22 |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 1 path-index 1 |
apply service-chain path-id 1 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
policy-based-route SDN_SC_13342 permit node 5 |
policy-based-route SDN_SC_13342 permit node 5 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下pbr node 5 |
|
if-match acl name 13342_6 |
if-match acl name 13342_6 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.22 |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.22 |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 1 path-index 1 |
apply service-chain path-id 1 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
policy-based-route SDN_SC_13342 permit node 6 |
policy-based-route SDN_SC_13342 permit node 6 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下pbr node 6 |
|
if-match acl name 13342_7 |
if-match acl name 13342_7 |
手工配置/控制器下发 |
匹配ACL规则 |
|
policy-based-route SDN_SC_13342 permit node 7 |
policy-based-route SDN_SC_13342 permit node 7 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下pbr node 7 |
|
if-match acl name 13342_8 |
if-match acl name 13342_8 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply output-interface NULL0 |
apply output-interface NULL0 |
手工配置/控制器下发 |
配置PBR动作,output-interface NULL0,代表丢弃 |
|
interface Vsi-interface13342 |
interface Vsi-interface13342 |
手工配置/控制器下发 |
进入用户vpn下的vsi 13342 |
|
ip policy-based-route SDN_SC_13342 |
ip policy-based-route SDN_SC_13342 |
手工配置/控制器下发 |
下发IPv4 PBR |
|
Ipv6 policy-based-route SDN_SC_13342 permit node 0 |
Ipv6 policy-based-route SDN_SC_13342 permit node 0 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下IPv6 PBR node 0 |
|
if-match acl name 13342_1 |
if-match acl name 13342_1 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
Ipv6 policy-based-route SDN_SC_13342 permit node 1 |
Ipv6 policy-based-route SDN_SC_13342 permit node 1 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下IPv6 PBR node 1 |
|
if-match acl name 13342_2 |
if-match acl name 13342_2 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
Ipv6 policy-based-route SDN_SC_13342 permit node 2 |
Ipv6 policy-based-route SDN_SC_13342 permit node 2 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下IPv6 PBR node 2 |
|
if-match acl name 13342_3 |
if-match acl name 13342_3 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:103::F 128 |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:103::F 128 |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 8388610 path-index 1 |
apply service-chain path-id 8388610 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
Ipv6 policy-based-route SDN_SC_13342 permit node 3 |
Ipv6 policy-based-route SDN_SC_13342 permit node 3 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下IPv6 PBR node 3 |
|
if-match acl name 13342_4 |
if-match acl name 13342_4 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:103::F 128 |
apply next-hop vpn-instance ZHTESTCTFWEW01VRF FD00:0:97B0:103::F 128 |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 8388610 path-index 1 |
apply service-chain path-id 8388610 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
Ipv6 policy-based-route SDN_SC_13342 permit node 4 |
Ipv6 policy-based-route SDN_SC_13342 permit node 4 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下IPv6 PBR node 4 |
|
if-match acl name 13342_5 |
if-match acl name 13342_5 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:100::F |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:100::F |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 1 path-index 1 |
apply service-chain path-id 1 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
Ipv6 policy-based-route SDN_SC_13342 permit node 5 |
Ipv6 policy-based-route SDN_SC_13342 permit node 5 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下IPv6 PBR node 5 |
|
if-match acl name 13342_6 |
if-match acl name 13342_6 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:100::F |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:100::F |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 1 path-index 1 |
apply service-chain path-id 1 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
Ipv6 policy-based-route SDN_SC_13342 permit node 6 |
Ipv6 policy-based-route SDN_SC_13342 permit node 6 |
手工配置/控制器下发 |
创建用户vpn vsi 13342下IPv6 PBR node 6 |
|
if-match acl name 13342_7 |
if-match acl name 13342_7 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
ipv6 policy-based-route SDN_SC_13342 permit node 7 |
ipv6 policy-based-route SDN_SC_13342 permit node 7 |
手工配置/控制器下发 |
创建用户vpn vsi 13316下IPv6 PBR node 7 |
|
if-match acl name 13342_8 |
if-match acl name 13342_8 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply output-interface NULL0 |
apply output-interface NULL0 |
手工配置/控制器下发 |
配置PBR动作,output-interface NULL0,代表丢弃 |
|
interface Vsi-interface13342 |
interface Vsi-interface13342 |
手工配置/控制器下发 |
进入用户vpn下的vsi 13342 |
|
ipv6 policy-based-route SDN_SC_13342 |
ipv6 policy-based-route SDN_SC_13342 |
手工配置/控制器下发 |
下发IPv6 PBR |
|
Border 1(S6850) |
Border 2(S6850) |
命令来源 |
命令说明 |
|
microsegment enable |
microsegment enable |
手工配置/控制器下发 |
配置微分段功能使能命令 |
|
microsegment 10001 name SDN_EPG_10001 |
microsegment 10001 name SDN_EPG_10001 |
手工配置/控制器下发 |
配置微分段EPG 10001 |
|
member ipv4 197.32.14.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.14.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv4 197.32.14.0 255.255.255.0 vpn-instance external_vpn_1001 |
member ipv4 197.32.14.0 255.255.255.0 vpn-instance external_vpn_1001 |
手工配置/控制器下发 |
IPv4 member |
|
member ipv4 197.32.16.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.16.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv4 197.32.16.0 255.255.255.0 vpn-instance external_vpn_1001 |
member ipv4 197.32.16.0 255.255.255.0 vpn-instance external_vpn_1001 |
手工配置/控制器下发 |
IPv4 member |
|
member ipv6 FD00:0:97B0:1014:: 64 vpn-instance ZHTESTCTVRF |
member ipv6 FD00:0:97B0:1014:: 64 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
member ipv6 FD00:0:97B0:1014:: 64 vpn-instance external_vpn_1001 |
member ipv6 FD00:0:97B0:1014:: 64 vpn-instance external_vpn_1001 |
手工配置/控制器下发 |
IPv6 member |
|
member ipv6 FD00:0:97B0:1016:: 64 vpn-instance ZHTESTCTVRF |
member ipv6 FD00:0:97B0:1016:: 64 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
member ipv6 FD00:0:97B0:1016:: 64 vpn-instance external_vpn_1001 |
member ipv6 FD00:0:97B0:1016:: 64 vpn-instance external_vpn_1001 |
手工配置/控制器下发 |
IPv6 member |
|
microsegment 10002 name SDN_EPG_10002 |
microsegment 10002 name SDN_EPG_10002 |
手工配置/控制器下发 |
配置微分段EPG 10002 |
|
member ipv4 197.32.42.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.42.0 255.255.255.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv4 197.32.42.0 255.255.255.0 vpn-instance external_vpn_1001 |
member ipv4 197.32.42.0 255.255.255.0 vpn-instance external_vpn_1001 |
手工配置/控制器下发 |
IPv4 member |
|
member ipv6 FD00:0:97B0:1042:: 64 vpn-instance ZHTESTCTVRF |
member ipv6 FD00:0:97B0:1042:: 64 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
member ipv6 FD00:0:97B0:1042:: 64 vpn-instance external_vpn_1001 |
member ipv6 FD00:0:97B0:1042:: 64 vpn-instance external_vpn_1001 |
手工配置/控制器下发 |
IPv6 member |
|
microsegment 10003 name SDN_EPG_10003 |
microsegment 10003 name SDN_EPG_10003 |
手工配置/控制器下发 |
配置微分段EPG 10003 |
|
member ipv4 0.0.0.0 0.0.0.0 vpn-instance ZHTESTCTVRF |
member ipv4 0.0.0.0 0.0.0.0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv4 0.0.0.0 0.0.0.0 vpn-instance external_vpn_1001 |
member ipv4 0.0.0.0 0.0.0.0 vpn-instance external_vpn_1001 |
手工配置/控制器下发 |
IPv4 member |
|
member ipv6 :: 0 vpn-instance ZHTESTCTVRF |
member ipv6 :: 0 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv6 member |
|
member ipv6 :: 0 vpn-instance external_vpn_1001 |
member ipv6 :: 0 vpn-instance external_vpn_1001 |
手工配置/控制器下发 |
IPv6 member |
|
microsegment 10004 name SDN_EPG_10004 |
microsegment 10004 name SDN_EPG_10004 |
手工配置/控制器下发 |
配置微分段EPG 10004 |
|
member ipv4 197.32.42.9 255.255.255.255 vpn-instance ZHTESTCTVRF |
member ipv4 197.32.42.9 255.255.255.255 vpn-instance ZHTESTCTVRF |
手工配置/控制器下发 |
IPv4 member |
|
member ipv4 197.32.42.9 255.255.255.255 vpn-instance external_vpn_1001 |
member ipv4 197.32.42.9 255.255.255.255 vpn-instance external_vpn_1001 |
手工配置/控制器下发 |
IPv4 member |
|
acl advanced name 1001_1 |
acl advanced name 1001_1 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下pbr node 0需要匹配的微分段1 |
|
rule 0 permit ip vpn-instance external_vpn_1001 source microsegment 10003 destination microsegment 10001 |
rule 0 permit ip vpn-instance external_vpn_1001 source microsegment 10003 destination microsegment 10001 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 1001_2 |
acl advanced name 1001_2 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下pbr node 1需要匹配的微分段2 |
|
rule 0 permit ip vpn-instance external_vpn_1001 source microsegment 10003 destination microsegment 10002 |
rule 0 permit ip vpn-instance external_vpn_1001 source microsegment 10003 destination microsegment 10002 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 1001_3 |
acl advanced name 1001_3 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下pbr node 2需要匹配的微分段3 |
|
rule 0 permit ip vpn-instance external_vpn_1001 source microsegment 10003 destination microsegment 10004 |
rule 0 permit ip vpn-instance external_vpn_1001 source microsegment 10003 destination microsegment 10004 |
手工配置/控制器下发 |
配置带有微分段的ACL |
|
acl advanced name 1001_4 |
acl advanced name 1001_4 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下pbr node3需要匹配的ACL |
|
rule 0 permit ip |
rule 0 permit ip |
手工配置/控制器下发 |
配置IPv4 ACL |
|
Ipv6 acl advanced name 1001_1 |
Ipv6 acl advanced name 1001_1 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下IPv6 PBR node 0需要匹配的微分段1 |
|
rule 0 permit ipv6 vpn-instance external_vpn_1001 source microsegment 10003 destination microsegment 10001 |
rule 0 permit ipv6 vpn-instance external_vpn_1001 source microsegment 10003 destination microsegment 10001 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 1001_2 |
acl ipv6 advanced name 1001_2 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下IPv6 PBR node 1需要匹配的微分段2 |
|
rule 0 permit ipv6 vpn-instance external_vpn_1001 source microsegment 10003 destination microsegment 10002 |
rule 0 permit ipv6 vpn-instance external_vpn_1001 source microsegment 10003 destination microsegment 10002 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 1001_3 |
acl ipv6 advanced name 1001_3 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下IPv6 PBR node 2需要匹配的微分段3 |
|
rule 0 permit ipv6 vpn-instance external_vpn_1001 source microsegment 10003 destination microsegment 10004 |
rule 0 permit ipv6 vpn-instance external_vpn_1001 source microsegment 10003 destination microsegment 10004 |
手工配置/控制器下发 |
配置带有微分段的IPv6 ACL |
|
acl ipv6 advanced name 1001_4 |
acl ipv6 advanced name 1001_4 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下IPv6 PBR node3需要匹配的ACL |
|
rule 0 permit ipv6 |
rule 0 permit ipv6 |
手工配置/控制器下发 |
配置IPv6 ACL |
|
policy-based-route SDN_SC_VLAN_1001 permit node 0 |
policy-based-route SDN_SC_VLAN_1001 permit node 0 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下pbr node 0 |
|
if-match acl name 1001_1 |
if-match acl name 1001_1 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.26 |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.26 |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 8388609 path-index 1 |
apply service-chain path-id 8388609 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
policy-based-route SDN_SC_VLAN_1001 permit node 1 |
policy-based-route SDN_SC_VLAN_1001 permit node 1 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下pbr node 1 |
|
if-match acl name 1001_2 |
if-match acl name 1001_2 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.26 |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.26 |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 8388609 path-index 1 |
apply service-chain path-id 8388609 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
policy-based-route SDN_SC_VLAN_1001 permit node 2 |
policy-based-route SDN_SC_VLAN_1001 permit node 2 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下pbr node 2 |
|
if-match acl name 1001_3 |
if-match acl name 1001_3 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.26 |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF 197.32.224.26 |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 8388609 path-index 1 |
apply service-chain path-id 8388609 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
policy-based-route SDN_SC_VLAN_1001 permit node 3 |
policy-based-route SDN_SC_VLAN_1001 permit node 3 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下pbr node 3 |
|
if-match acl name 1001_4 |
if-match acl name 1001_4 |
手工配置/控制器下发 |
匹配ACL规则 |
|
apply output-interface NULL0 |
apply output-interface NULL0 |
手工配置/控制器下发 |
配置PBR动作,output-interface NULL0,代表丢弃 |
|
interface Vlan-interface1001 |
interface Vlan-interface1001 |
手工配置/控制器下发 |
进入外网vpn下的vlan 1001 |
|
ip policy-based-route SDN_SC_VLAN_1001 |
ip policy-based-route SDN_SC_VLAN_1001 |
手工配置/控制器下发 |
下发IPv4 PBR |
|
Ipv6 policy-based-route SDN_SC_VLAN_1001 permit node 0 |
Ipv6 policy-based-route SDN_SC_VLAN_1001 permit node 0 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下IPv6 PBR node 0 |
|
if-match acl name 1001_1 |
if-match acl name 1001_1 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:101::F |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:101::F |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 8388609 path-index 1 |
apply service-chain path-id 8388609 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
Ipv6 policy-based-route SDN_SC_VLAN_1001 permit node 1 |
Ipv6 policy-based-route SDN_SC_VLAN_1001 permit node 1 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下IPv6 PBR node 1 |
|
if-match acl name 1001_2 |
if-match acl name 1001_2 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:101::F |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:101::F |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 8388609 path-index 1 |
apply service-chain path-id 8388609 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
Ipv6 policy-based-route SDN_SC_VLAN_1001 permit node 2 |
Ipv6 policy-based-route SDN_SC_VLAN_1001 permit node 2 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下IPv6 PBR node 2 |
|
if-match acl name 1001_3 |
if-match acl name 1001_3 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:101::F |
apply next-hop vpn-instance ZHTESTCTFWNS01VRF FD00:0:97B0:101::F |
手工配置/控制器下发 |
配置PBR动作next hop |
|
apply service-chain path-id 8388609 path-index 1 |
apply service-chain path-id 8388609 path-index 1 |
手工配置/控制器下发 |
配置PBR动作,设置服务链标记 |
|
Ipv6 policy-based-route SDN_SC_VLAN_1001 permit node 3 |
Ipv6 policy-based-route SDN_SC_VLAN_1001 permit node 3 |
手工配置/控制器下发 |
创建外网vpn external_vpn_1001 vlan 1001下IPv6 PBR node 3 |
|
if-match acl name 1001_4 |
if-match acl name 1001_4 |
手工配置/控制器下发 |
匹配IPv6 ACL规则 |
|
apply output-interface NULL0 |
apply output-interface NULL0 |
手工配置/控制器下发 |
配置PBR动作,output-interface NULL0,代表丢弃 |
|
interface Vlan-interface1001 |
interface Vlan-interface1001 |
手工配置/控制器下发 |
进入外网vpn下的vlan 1001 |
|
Ipv6 policy-based-route SDN_SC_VLAN_1001 |
Ipv6 policy-based-route SDN_SC_VLAN_1001 |
手工配置/控制器下发 |
下发IPv6 PBR |
|
命令行 |
命令说明 |
|
display m-lag role |
显示M-LAG设备角色信息 |
|
display m-lag summary |
显示M-LAG系统的接口摘要信息 |
|
display ospf peer |
显示OSPF中各区域邻居的信息 |
|
display bgp peer l2vpn evpn |
显示BGP EVPN对等体或对等体组的状态和统计信息 |
|
display bgp l2vpn evpn |
显示BGP EVPN路由信息 |
|
display l2vpn vsi |
显示VSI的信息 |
|
display microsegment |
显示微分段的配置和状态信息 |
# 查看Leaf 1与Leaf 2之间M-LAG系统状态,M-LAG正常建立。以Leaf 1为例。
<Leaf1> display m-lag role
Effective role information
Factors Local Peer
Effective role Secondary Primary
Initial role None None
MAD DOWN state Yes Yes
Health level 0 0
Role priority 32768 32768
Bridge MAC 703a-a6e9-a00a 0440-a9df-98d0
Effective role trigger: Peer link calculation
Effective role reason: Bridge MAC
Configured role information
Factors Local Peer
Configured role Secondary Primary
Role priority 32768 32768
Bridge MAC 703a-a6e9-a00a 0440-a9df-98d0
<Leaf1> display m-lag summary
Flags: A -- Aggregate interface down, B -- No peer M-LAG interface configured
C -- Configuration consistency check failed
Peer-link interface: BAGG256
Peer-link interface state (cause): UP
Keepalive link state (cause): UP
M-LAG interface information
M-LAG IF M-LAG group Local state (cause) Peer state Remaining down time(s)
BAGG256 1 UP UP -
# 查看Leaf 1与Spine之间的OSPF邻居和BGP EVPN邻居状态。以Leaf 1为例。
<Leaf1> display ospf peer
OSPF Process 65530 with Router ID 197.32.241.41
Neighbor Brief Information
Area: 0.0.0.0
Router ID Address Pri Dead-Time State Interface
197.32.241.37 197.32.241.37 1 38 Full/ - HGE1/0/25
197.32.241.38 197.32.241.38 1 34 Full/ - HGE1/0/26
197.32.241.42 197.32.241.142 1 31 Full/DR Vlan4094
<Leaf1> display bgp peer l2vpn evpn
BGP local router ID: 197.32.241.41
Local AS number: 65530
Total number of peers: 2 Peers in established state: 2
* - Dynamically created peer
^ - Peer created through link-local address
Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State
197.32.241.37 65530 6273 5374 0 340 0080h32m Established
197.32.241.38 65530 5175 5041 0 340 0080h34m Established
# 查看Leaf 1上微分段的配置和状态信息
<Leaf1>display microsegment
Microsegment status : Enabled
Total microsegments : 4
Microsegment list
Microsegment ID Members Microsegment name
10001 87 SDN_EPG_10001
10002 8 SDN_EPG_10002
10003 2 SDN_EPG_10003
10004 2 SDN_EPG_10004
# Leaf 3的Twenty-FiveGigE1/0/2接口下挂win 7和linux操作系统的DHCP client,这些DHCP client都可以从DHCP server获取到IP地址。
· Linux操作系统的DHCP client获取到的IP地址为197.32.13.50。
· Win 7操作系统的DHCP client获取到的IP地址为197.32.13.51。
# 在DHCP server上可以看到为客户端分配的IP地址。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
