Web举例:VXLAN在数据中心中的应用——华为配置

这篇具有很好参考价值的文章主要介绍了Web举例:VXLAN在数据中心中的应用——华为配置。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Web举例:VXLAN在数据中心中的应用

VXLAN特性在数据中心组网中经常和双机热备、虚拟系统以及NAT等特性一起使用。

组网需求Web举例:VXLAN在数据中心中的应用——华为配置,网络安全之暗无天日,网络,服务器,linux

如图1所示,在数据中心中,同一个VPC(Virtual Private Cloud)的VM(虚拟主机)部署在不同的X86服务器上。由支持VXLAN的二层设备负责接入和二层转发。FW承担VXLAN网关的角色,同时负责VPC之间以及VPC和实体网络之间的网络安全。不同的VPC之间需要做路由隔离,对外体现公网地址。为了组网的安全稳定,还需要FW的双机热备。

图1 VXLAN在数据中心中的应用

表1 安全区域规划

安全区域

接口

说明

TRUST

GigabitEthernet 1/0/0

对接VXLAN二层接入设备。

DMZ

BDIF1

BDIF2

VPC的出口,内部是租户的虚拟主机。

Virtual-if0

虚拟系统到根墙的出口。对根墙来说等同BDIF。

GigabitEthernet 1/0/1

HRP心跳口。

UNTRUST

GigabitEthernet 1/0/2

上行口,连接到Internet或其他物理实体网络。

Virtual-if1

Virtual-if2

虚拟系统到根墙的入口。对虚拟系统来说等同GigabitEthernet 1/0/2

配置思路
  1. 两台FW搭建上行连接三层设备(配置OSPF)下行连接二层设备的主备备份(配置VRRP备份组)的组网。

    在上行接口所在安全域和Local域之间的安全策略中允许OSPF服务通过,否则OSPF邻居无法建立。

  2. 创建BD、VNI(VXLAN ID)和VXLAN隧道,NVE接口源地址使用VRRP备份组的虚拟IP地址。

    在VRRP备份组接口所在安全域和Local域之间安全策略中允许VXLAN服务通过,否则VXLAN隧道无法建立。

  3. 创建虚拟系统,将VNI和公网地址关联到虚拟系统。BDIF会随关联的VNI一起被分配给虚拟系统。
  4. 创建BDIF(VXLAN接口)并配置IP地址。

    需要在备机上手动配置IP地址,主备机BDIF的IP地址必须一致。建议把MAC地址也配置成一样,否则在切换时会有短暂的中断过程。

  5. 在虚拟系统内配置NAT SERVER,将内网地址映射成公网地址。

  6. 在虚拟系统和根墙之间配置静态路由。
  7. 配置VM的网关为BDIF的IP地址。
  8. 配置VXLAN二层接入设备,VXLAN隧道的对端IP地址是FW的VRRP备份组的虚拟IP地址。VXLAN二层接入设备之间也需要建立VXLAN隧道。

操作步骤
  1. 在FW_A上完成网络基本配置。
    1. 选择“网络 > 接口”,配置接口的IP地址和安全域。Web举例:VXLAN在数据中心中的应用——华为配置,网络安全之暗无天日,网络,服务器,linux

      接口

      配置

      GE1/0/0

      IP地址:10.0.10.11

      安全区域:trust

      GigabitEthernet 1/0/1

      IP地址:172.16.0.1

      安全区域:dmz

      GigabitEthernet 1/0/2

      IP地址:10.1.0.1

      安全区域:untrust

      Virtual-if0

      安全区域:dmz

    2. 选择“网络 > 路由 > OSPF”,配置OSPF。
      1. 单击“新建”,配置以下参数后单击“确定”。

        类型

        OSPF v2

        进程ID

        1

      2. 单击“高级”,单击“区域配置”,单击“新建”,配置以下参数后单击“确定”。

        区域

        0

        网段IP

        10.1.0.0

        正/反掩码

        0.0.0.255

        认证模式

        NONE

      3. 单击“路由引入”单击“新建”,配置以下参数后单击“确定”。

        路由类型

        Direct

  2. 在FW_A上配置双机热备功能。

    选择“系统 > 高可靠性 > 双机热备”,单击“配置”,完成以下配置后单击“确定”。Web举例:VXLAN在数据中心中的应用——华为配置,网络安全之暗无天日,网络,服务器,linux

  3. 完成FW_B的配置,建立双机热备状态。

    FW_B和上述FW_A的配置基本相同,不同之处在于:

    1. FW_B各接口的IP地址与FW_A各接口的IP地址不相同。
    2. FW_B的OSPF路由发布的网段与FW_A不相同。
    3. FW_B的双机热备“运行角色”设置为“备用”。
  4. 配置BD、VNI(VXLAN ID)和VXLAN隧道。

    BD在配置VXLAN隧道时会自动创建。

    1. 选择“网络 > VXLAN”。
    2. 勾选“VXLAN功能”和“隧道监控”对应的“启用”,配置“源IP地址”为双机热备虚拟IP地址,单击“应用”。Web举例:VXLAN在数据中心中的应用——华为配置,网络安全之暗无天日,网络,服务器,linux
    3. 单击“新建”,配置VXLAN隧道信息。Web举例:VXLAN在数据中心中的应用——华为配置,网络安全之暗无天日,网络,服务器,linux

      VXLAN ID

      隧道目的IP

      8001

      10.0.20.10

      10.0.20.11

      8002

      10.0.20.10

      10.0.20.11

  5. 创建虚拟系统,分配VNI和公网地址。
    1. 选择“系统 > 虚拟系统 > 虚拟系统”,启用“虚拟系统”,单击“确定”。Web举例:VXLAN在数据中心中的应用——华为配置,网络安全之暗无天日,网络,服务器,linux
    2. 单击“新建”,创建虚拟系统并分配资源。Web举例:VXLAN在数据中心中的应用——华为配置,网络安全之暗无天日,网络,服务器,linux

      基础配置

      VXLAN分配

      公网IP分配

      名称:vsys1

      已绑定VXLAN:vni 8001

      独占以下IP地址范围:1.1.1.1-1.1.1.100

      名称:vsys2

      已绑定VXLAN:vni 8002

      独占以下IP地址范围:2.2.2.1-2.2.2.100

  6. 创建BDIF(VXLAN接口),并配置IP地址和安全区域。
    • 如果先配置BDIF的IP地址再创建虚拟系统,BDIF的IP地址将被清除。
    • 设备会根据“VXLAN ID”自动联想出“虚拟系统”,请勿手动配置“虚拟系统”。

    选择“网络 > 接口”,单击“新建”,新建BDIF。Web举例:VXLAN在数据中心中的应用——华为配置,网络安全之暗无天日,网络,服务器,linux

    接口名称

    类型

    安全区域

    VXLAN ID IP地址

    1

    VXLAN接口

    DMZ

    8001

    192.168.1.1/24

    2

    8002

    192.168.2.1/24

  7. 配置根墙的静态路由。

    假设与下行接口互联的IP地址是10.0.10.1。

    选择“网络 > 路由 > 静态路由”,单击“新建”,配置静态路由信息。Web举例:VXLAN在数据中心中的应用——华为配置,网络安全之暗无天日,网络,服务器,linux

  8. 配置根墙的安全策略。

    选择“策略 > 安全策略 > 安全策略”,单击“新建安全策略”,配置以下安全策略。Web举例:VXLAN在数据中心中的应用——华为配置,网络安全之暗无天日,网络,服务器,linux

    策略名称

    作用

    vxlan

    允许VXLAN报文通过

    ospf

    允许OSPF报文通过

    1_in

    允许外网用户访问NAT后的内网虚拟机

    2_in

    1_out

    允许内网用户使用NAT后的地址访问外网

    2_out

  9. 配置vsys1。
    1. 切换虚拟系统为vsys1。Web举例:VXLAN在数据中心中的应用——华为配置,网络安全之暗无天日,网络,服务器,linux
    2. 配置NAT Server。

      Web举例:VXLAN在数据中心中的应用——华为配置,网络安全之暗无天日,网络,服务器,linux

      选择“策略 > NAT策略 > 服务器映射”,单击“新建”,完成以下配置后单击“确定”。

    3. 在“网络 > 接口”中配置接口安全区域。Web举例:VXLAN在数据中心中的应用——华为配置,网络安全之暗无天日,网络,服务器,linux
    4. 在“网络 > 路由 > 静态路由”中配置到外网的静态路由。Web举例:VXLAN在数据中心中的应用——华为配置,网络安全之暗无天日,网络,服务器,linux
    5. 在“策略 > 安全策略 > 安全策略”中配置安全策略。Web举例:VXLAN在数据中心中的应用——华为配置,网络安全之暗无天日,网络,服务器,linux

      策略名称

      作用

      in

      允许外部网络访问虚拟主机

      out

      允许虚拟主机访问外部网络

  10. 配置vsys2。

    vsys2和上述vsys1的配置基本相同,不同之处在于:

    1. NAT SERVER的公私网地址不同。
    2. 安全策略中使用的源\目的地址不同。
  11. 配置FW_B的VXLAN接口IP和静态路由。

    配置与FW_A一致,只是因为双机热备并不会备份该配置,所以需要手动执行。

  12. 可选:将FW_A和FW_B上的BDIF的MAC地址配置成一样。
    1. 登录FW_B,选择“网络 > 接口”,单击BDIF接口对应的“编辑”,在“高级”中查询的BDIF的MAC地址。
    2. 在FW_A的同样位置,配置BDIF的MAC地址。
结果验证

操作

查询到的会话表

从VPCa中的VM(192.168.1.2)上访问公网地址,成功。

FW_A
  • Untrust和Local之间的OSPF会话表
  • Trust和Local之间的VXLAN会话表

  • 根墙中,DMZ到Untrust,源地址为1.1.1.2的会话表

  • VSYS1中,DMZ到Untrust,源地址为192.168.1.2的会话表

从公网访问VPCb的NAT Server地址(2.2.2.2),成功。

FW_A
  • Untrust和Local之间的OSPF会话表
  • Trust和Local之间的VXLAN会话表

  • 根墙中,Untrust到DMZ,目的地址为2.2.2.2的会话表

  • VSYS2中,Untrust到DMZ,目的地址为192.168.2.2的会话表

从VPCa中的VM(192.168.1.2)上访问VPCb的NAT Server地址(2.2.2.2),成功。

FW_A
  • Trust和Local之间的VXLAN会话表

  • VSYS1中,DMZ到Untrust,源地址为1.1.1.2,目的地址为2.2.2.2的会话表

  • VSYS2中,Untrust到DMZ,源地址为1.1.1.2,目的地址为192.168.2.2的会话表

关闭FW_A的GigabitEthernet 1/0/2后重复以上操作,成功。

FW_B上能查询到以上的会话表

配置脚本

FW_A

FW_B文章来源地址https://www.toymoban.com/news/detail-838712.html

#
 hrp enable
 hrp interface GigabitEthernet 1/0/1 remote 172.16.0.2
 hrp adjust ospf-cost enable
 hrp auto-sync config static-route
 hrp track interface GigabitEthernet 1/0/2
#
bridge-domain 1
 vxlan vni 8001
#
bridge-domain 2
 vxlan vni 8002
#
vsys enable 
#
vsys name vsys1 1
 assign global-ip 1.1.1.1 1.1.1.100 exclusive
 assign vni 8001
#
vsys name vsys2 2
 assign global-ip 2.2.2.1 2.2.2.100 exclusive
 assign vni 8002
#
interface GigabitEthernet1/0/0
 ip address 10.0.10.11 255.255.255.0
 vrrp vrid 1 virtual-ip 10.0.10.10 active
#
interface GigabitEthernet 1/0/1
 ip address 172.16.0.1 255.255.255.0
#
interface GigabitEthernet 1/0/2
 ip address 10.1.0.1 255.255.255.0
#
interface Vbdif1
 ip address 192.168.1.1 255.255.255.0
#
interface Vbdif2
 ip address 192.168.2.1 255.255.255.0
#
interface Nve1
 source 10.0.10.10
 vxlan statistic enable
 vni 8001 head-end peer-list 10.0.20.10 10.0.20.11
 vni 8002 head-end peer-list 10.0.20.10 10.0.20.11
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet 1/0/2
#
firewall zone dmz
 set priority 50
 add interface Virtual-if0
 add interface GigabitEthernet 1/0/1
#
ospf 1 
 import-route static 
 area 0.0.0.0
  network 10.1.0.0 0.0.0.255
#
ip route-static 1.1.1.0 255.255.255.0 vpn-instance vsys1
ip route-static 2.2.2.0 255.255.255.0 vpn-instance vsys2
ip route-static 10.0.20.0 255.255.255.0 10.0.10.1
#
security-policy
 rule name vxlan
  source-zone local
  source-zone trust
  destination-zone local
  destination-zone trust
  destination-address 10.0.0.0 mask 255.255.0.0
  service vxlan
  action permit
 rule name ospf
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  destination-address 10.0.0.0 mask 255.0.0.0
  service ospf
  action permit
 rule name 1_in
  source-zone untrust
  destination-zone dmz
  destination-address 1.1.1.0 mask 255.255.255.0
  action permit
 rule name 2_in
  source-zone untrust
  destination-zone dmz
  destination-address 2.2.2.0 mask 255.255.255.0
  action permit
 rule name 1_out
  source-zone dmz
  destination-zone untrust
  source-address 1.1.1.0 mask 255.255.255.0
  action permit
 rule name 2_out
  source-zone dmz
  destination-zone untrust
  source-address 2.2.2.0 mask 255.255.255.0
  action permit
#
switch vsys vsys1 
#
interface Vbdif1
 ip address 192.168.1.1 255.255.255.0
#
firewall zone untrust
 set priority 5
 add interface Virtual-if1
#
firewall zone dmz
 set priority 50
 add interface Vbdif1
#
security-policy
 rule name in
  source-zone untrust
  destination-zone dmz
  destination-address 192.168.1.0 mask 255.255.255.0
  action permit
 rule name out
  source-zone dmz
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action permit
#
ip route-static 0.0.0.0 0.0.0.0 public
#
 nat server to1 0 global 1.1.1.2 inside 192.168.1.2 unr-route
#
switch vsys vsys2 
#
interface Vbdif2
 ip address 192.168.2.1 255.255.255.0
#
firewall zone untrust
 set priority 5
 add interface Virtual-if2
#
firewall zone dmz
 set priority 50
 add interface Vbdif2
#
security-policy
 rule name in
  source-zone untrust
  destination-zone dmz
  destination-address 192.168.2.0 mask 255.255.255.0
  action permit
 rule name out
  source-zone dmz
  destination-zone untrust
  source-address 192.168.2.0 mask 255.255.255.0
  action permit
#
ip route-static 0.0.0.0 0.0.0.0 public
#
 nat server to2 1 global 2.2.2.2 inside 192.168.2.2 unr-route
#
#
 hrp enable
 hrp interface GigabitEthernet 1/0/1 remote 172.16.0.1
 hrp adjust ospf-cost enable
 hrp auto-sync config static-route
 hrp track interface GigabitEthernet 1/0/2
#
bridge-domain 1
 vxlan vni 8001
#
bridge-domain 2
 vxlan vni 8002
#
vsys enable 
#
vsys name vsys1 1
 assign global-ip 1.1.1.1 1.1.1.100 exclusive
 assign vni 8001
#
vsys name vsys2 2
 assign global-ip 2.2.2.1 2.2.2.100 exclusive
 assign vni 8002
#
interface GigabitEthernet1/0/0
 ip address 10.0.10.12 255.255.255.0
 vrrp vrid 1 virtual-ip 10.0.10.10 standby
#
interface GigabitEthernet 1/0/1
 ip address 172.16.0.2 255.255.255.0
#
interface GigabitEthernet 1/0/2
 ip address 10.2.0.1 255.255.255.0
#
interface Vbdif1
 ip address 192.168.1.1 255.255.255.0
#
interface Vbdif2
 ip address 192.168.2.1 255.255.255.0
#
interface Nve1
 source 10.0.10.10
 vxlan statistic enable
 vni 8001 head-end peer-list 10.0.20.10 10.0.20.11
 vni 8002 head-end peer-list 10.0.20.10 10.0.20.11
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet 1/0/2
#
firewall zone dmz
 set priority 50
 add interface Virtual-if0
 add interface GigabitEthernet 1/0/1
#
ospf 1 
 import-route static 
 area 0.0.0.0
  network 10.2.0.0 0.0.0.255
#
ip route-static 1.1.1.0 255.255.255.0 vpn-instance vsys1
ip route-static 2.2.2.0 255.255.255.0 vpn-instance vsys2
ip route-static 10.0.20.0 255.255.255.0 10.0.10.1
#
security-policy
 rule name vxlan
  source-zone local
  source-zone trust
  destination-zone local
  destination-zone trust
  destination-address 10.0.0.0 mask 255.255.0.0
  service vxlan
  action permit
 rule name ospf
  source-zone local
  source-zone untrust
  destination-zone local
  destination-zone untrust
  destination-address 10.0.0.0 mask 255.0.0.0
  service ospf
  action permit
 rule name 1_in
  source-zone untrust
  destination-zone dmz
  destination-address 1.1.1.0 mask 255.255.255.0
  action permit
 rule name 2_in
  source-zone untrust
  destination-zone dmz
  destination-address 2.2.2.0 mask 255.255.255.0
  action permit
 rule name 1_out
  source-zone dmz
  destination-zone untrust
  source-address 1.1.1.0 mask 255.255.255.0
  action permit
 rule name 2_out
  source-zone dmz
  destination-zone untrust
  source-address 2.2.2.0 mask 255.255.255.0
  action permit
#
switch vsys vsys1 
#
interface Vbdif1
 ip address 192.168.1.1 255.255.255.0
#
firewall zone untrust
 set priority 5
 add interface Virtual-if1
#
firewall zone dmz
 set priority 50
 add interface Vbdif1
#
security-policy
 rule name in
  source-zone untrust
  destination-zone dmz
  destination-address 192.168.1.0 mask 255.255.255.0
  action permit
 rule name out
  source-zone dmz
  destination-zone untrust
  source-address 192.168.1.0 mask 255.255.255.0
  action permit
#
ip route-static 0.0.0.0 0.0.0.0 public
#
 nat server to1 0 global 1.1.1.2 inside 192.168.1.2 unr-route
#
switch vsys vsys2 
#
interface Vbdif2
 ip address 192.168.2.1 255.255.255.0
#
firewall zone untrust
 set priority 5
 add interface Virtual-if2
#
firewall zone dmz
 set priority 50
 add interface Vbdif2
#
security-policy
 rule name in
  source-zone untrust
  destination-zone dmz
  destination-address 192.168.2.0 mask 255.255.255.0
  action permit
 rule name out
  source-zone dmz
  destination-zone untrust
  source-address 192.168.2.0 mask 255.255.255.0
  action permit
#
ip route-static 0.0.0.0 0.0.0.0 public
#
 nat server to2 1 global 2.2.2.2 inside 192.168.2.2 unr-route
#

到了这里,关于Web举例:VXLAN在数据中心中的应用——华为配置的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • J9数字科普:Web 3.0 是关于数据所有权还是去中心化?

    我们都喜欢去中心化的概念。去中心化让我们感觉我们可以掌控自己的生活。许多人甚至认为,因为去中心化平台允许我们拥有自己的数据,去中心化平台将成为互联网的未来。但,这是一个误解。在本文中, 讨论区块链技术在多大程度上允许我们控制自己的数据,并向读者

    2024年02月16日
    浏览(51)
  • java 会员中心管理系统Myeclipse开发mysql数据库web结构jsp编程计算机网页项目

    一、源码特点     JSP 会员中心管理系统 是一套完善的系统源码,对理解JSP java编程开发语言有帮助,系统具有完整的源代码和数据库,以及相应配套的设计文档,系统主要采用B/S模式开发。     研究的基本内容是基于Web的会员中心管理系统,使用JSP作为页面开发工具。W

    2024年02月11日
    浏览(56)
  • 数据治理|数据资产中心

    01 前言 我们来聊聊数据治理最最核心的部分 —— 数据资产治理,本文主要阐述数据资产治理的策略和工具建设思路。 02 基本概念 广义的数据资产涵盖一切非结构化、半结构化和结构化数据,狭义的数据资产主要包括业务侧的业务日志、流数据的topic、批数据的数据表、生产

    2024年02月08日
    浏览(45)
  • 什么是数据管理,数据治理,数据中心,数据中台,数据湖?

    大家好,我是独孤风,大数据流动的作者。 最近几个概念频繁出现在大家的视野内。 什么是数据管理,数据治理,数据中心,数据中台,数据湖? 他们之间又有怎么样的区别和联系呢? 这几个概念常常让人混淆,今天我们就来详细解析一下。 数据管理是指组织对其整个数

    2024年02月17日
    浏览(41)
  • 如何区别数据中心交换机与普通交换机?数据中心交换机的优点是什么?

    随着互联网的普及,信息技术的发展,数据中心的建设需求和标准也在不断的发展,因此数据中心对网络设备的要求也逐步提升,普通的交换机往往无法满足数据中心的需要。相比普通交换机,数据中心交换机需具备:高容量、大缓存、虚拟化、FCOE、二层TRILL技术等方面的特

    2024年02月07日
    浏览(44)
  • 三地五中心(ldc(逻辑数据中心)单元化)和容灾

    什么是LDC LDC 的全称为: Logic Data Center, 逻辑数据中心,之所以叫LDC,是跟传统的IDC( Internet Data Center )相比而提出来的概念。 IDC 相信大家都很清楚,就是物理的数据中心,说白了就是能够建站的物理机房。 LDC(逻辑数据中心),核心架构思想就是不管你物理机房部署是怎样

    2024年02月04日
    浏览(43)
  • 数据放在云端和本地数据中心哪个安全?

    大数据时代,数据一定是最重要的。随着云计算技术和平台的广泛应用,开始有越来越多的用户挑选把数据存储在云平台上。那么关于用户来说,数据存放在云端更安全些,仍是放在本地的数据中心机房呢? 公有云平台里的数据 不管是对于企业还是用户而言,挑选一个大的公

    2024年02月11日
    浏览(48)
  • AWS 数据中心

    对于AWS的小白来说,经常搞不懂亚马逊的各种数据中心代号的含义,整理一下仅供参考。 代号  具体位置 us-east-1 美国东部(弗吉尼亚) us-east-2 美国西部(加利福尼亚) us-east-2 美国西部(俄勒冈) sa-east-1 南美洲(圣保罗) ap-northeast-1 亚太(东京) ap-southeast-1 亚太(新加

    2024年02月16日
    浏览(34)
  • 云数据中心网络技术

    在当前云计算高速发展的背景下,数据中心网络面临着诸多挑战。 云计算具有资源池化,按需供给等特点,正是因为云计算的出现使得IT资源具备了可运营的条件。 数据中心网络则是云计算生态中非常重要的一环,在云计算的模式下网络承担了基础底座的角色,信息的处理、

    2023年04月08日
    浏览(39)
  • 数据中心的供配电系统

    摘  要: 数据中心供配电系统是为机房内所有需要动力电源的设备提供稳定、可靠的动力电源支持的系统;是数据中心日常运维的重大支出之一,在数据中心,供配电系统相当于一个人的“心脏和血管”,负责把能量输送到系统的每一台设备。一旦供配电系统出现故障,会导

    2024年02月05日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包