首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

EVPN小实验:配置实例间访问控制

文化   科技   2024-11-05 20:49   北京  


正文共:2904 字 17 图,预估阅读时间:6 分钟

前两个实验(EVPN小实验:集中式EVPN网关配置EVPN小实验:分布式EVPN网关配置)中我们发现EVPN中大量使用了VPN实例,并得到以下结论:RT是一种BGP扩展团体属性,用于控制EVPN路由的发布与接收。也就是说,RT决定了本端的EVPN路由可以被哪些对端所接收,以及本端是否接收对端发来的EVPN路由。RT分为ERT(Export RT,本端发送EVPN路由时,携带的RT属性设置为ERT)和IRT(Import RT,本端设置接收的对端的EVPN路由属性)。本端在收到对端的EVPN路由时,将路由中携带的ERT与本端的IRT进行比较,只有两者相等时才接收该路由,否则丢弃该路由

组网需求

VSR1、VSR2、VSR3为与服务器连接的分布式EVPN网关设备,VSR-RR为RR,负责在路由器之间反射BGP路由。

虚拟机VM 1属于VXLAN 10、位于VPN实例VPNA;VM 2和VM 4属于VXLAN 20、位于VPN实例VPNB;VM 3属于VXLAN 30、位于VPN实例VPNC。通过EVPN分布式网关配置,相同VXLAN之间可以二层互通,确保虚拟机在站点之间进行迁移时用户的访问流量不会中断;不同VXLAN之间通过分布式EVPN网关实现VM 1和VM 4之间互通,VM 4不能访问VM 3,VM 1和VM 3之间互通。

实验环境

VMWare ESXi 6.7.0(ProLiant DL360 Gen9,48核心,128G内存)

H3C VSR1000(Version 7.1.064, Release 0621P18,4核心,8G内存)

H3C VFW1000(Version 7.1.064, ESS 1171P13,4核心,8G内存)

Windows 7旗舰版(测试用虚拟机,8核心,16G内存)

组网图

访问控制配置组网图如下。

M地址指远程管理的带外管理口地址。新建一个vSwitch,所有线路均使用该vSwitch中端口组实现,建议将不同链路隔离进不同的VLAN,避免广播风暴。

配置步骤
1、配置IP地址和单播路由协议

调通底层网络,配置各接口的IP地址和子网掩码,并在IP核心网络内配置OSPF协议,和之前的实验配置基本相同。

将VM1的网关地址指定为192.168.2.1,将VM2和VM4的网关地址指定为192.168.10.1,将VM3的网关地址指定为192.168.20.1。

2、配置VSR1

如文章开始所讲,限制VXLAN网络间的访问时间上就是通过调整VPN实例的vpn-target来实现访问限制。调整后的VSR1配置如下:

#

ip vpn-instance vpna

route-distinguisher 1:1

#

address-family ipv4

vpn-target 2:2 3:3 1:1 import-extcommunity

vpn-target 1:1 export-extcommunity

#

address-family evpn

vpn-target 1:1 2:2 3:3 import-extcommunity

vpn-target 1:1 export-extcommunity

#

vxlan tunnel mac-learning disable

#

ospf 1 router-id 1.1.1.1

area 0.0.0.0

network 1.1.1.1 0.0.0.0

network 14.1.1.0 0.0.0.255

#

l2vpn enable

vxlan tunnel arp-learning disable

#

vsi vpna

gateway vsi-interface 1

vxlan 10

evpn encapsulation vxlan

route-distinguisher auto

vpn-target auto export-extcommunity

vpn-target auto import-extcommunity

#

vsi vpnb

gateway vsi-interface 2

vxlan 20

evpn encapsulation vxlan

route-distinguisher auto

vpn-target auto export-extcommunity

vpn-target auto import-extcommunity

#

interface LoopBack0

ip address 1.1.1.1 255.255.255.255

#

interface GigabitEthernet2/0

ip address 14.1.1.1 255.255.255.0

#

interface GigabitEthernet3/0

xconnect vsi vpna

#

interface GigabitEthernet4/0

xconnect vsi vpnb

#

interface Vsi-interface1

ip binding vpn-instance vpna

ip address 192.168.2.1 255.255.255.0

mac-address 0001-0001-0001

local-proxy-arp enable

distributed-gateway local

#

interface Vsi-interface2

ip binding vpn-instance vpna

ip address 192.168.10.1 255.255.255.0

mac-address 0002-0002-0002

local-proxy-arp enable

distributed-gateway local

#

interface Vsi-interface3

ip binding vpn-instance vpna

l3-vni 1000

#

interface Vsi-interface4

l3-vni 2000

#

interface Vsi-interface5

l3-vni 3000

#

bgp 1234

peer 4.4.4.4 as-number 1234

peer 4.4.4.4 connect-interface LoopBack0

#

address-family l2vpn evpn

peer 4.4.4.4 enable

3、配置VSR2

调整VPN实例的vpn-target来实现访问限制,调整后的VSR2配置如下:

#

ip vpn-instance vpnb

route-distinguisher 2:2

#

address-family ipv4

vpn-target 2:2 1:1 import-extcommunity

vpn-target 2:2 export-extcommunity

#

address-family evpn

vpn-target 2:2 1:1 import-extcommunity

vpn-target 2:2 export-extcommunity

#

vxlan tunnel mac-learning disable

#

ospf 1 router-id 2.2.2.2

area 0.0.0.0

network 2.2.2.2 0.0.0.0

network 22.1.1.0 0.0.0.255

network 24.1.1.0 0.0.0.255

#

l2vpn enable

vxlan tunnel arp-learning disable

#

vsi vpnb

gateway vsi-interface 1

vxlan 20

evpn encapsulation vxlan

route-distinguisher auto

vpn-target auto export-extcommunity

vpn-target auto import-extcommunity

#

interface LoopBack0

ip address 2.2.2.2 255.255.255.255

#

interface GigabitEthernet2/0

ip address 24.1.1.2 255.255.255.0

#

interface GigabitEthernet3/0

xconnect vsi vpnb

#

interface Vsi-interface1

ip binding vpn-instance vpnb

ip address 192.168.10.1 255.255.255.0

mac-address 0002-0002-0002

local-proxy-arp enable

distributed-gateway local

#

interface Vsi-interface3

l3-vni 1000

#

interface Vsi-interface4

ip binding vpn-instance vpnb

l3-vni 2000

#

interface Vsi-interface5

l3-vni 3000

#

bgp 1234

peer 4.4.4.4 as-number 1234

peer 4.4.4.4 connect-interface LoopBack0

#

address-family l2vpn evpn

peer 4.4.4.4 enable

4、配置VSR3

调整VPN实例的vpn-target来实现访问限制,调整后的VSR3配置如下:

#

ip vpn-instance vpnc

route-distinguisher 3:3

#

address-family ipv4

vpn-target 3:3 1:1 import-extcommunity

vpn-target 3:3 export-extcommunity

#

address-family evpn

vpn-target 3:3 1:1 import-extcommunity

vpn-target 3:3 export-extcommunity

#

vxlan tunnel mac-learning disable

#

ospf 1 router-id 3.3.3.3

area 0.0.0.0

network 3.3.3.3 0.0.0.0

network 34.1.1.0 0.0.0.255

#

l2vpn enable

vxlan tunnel arp-learning disable

#

vsi vpnc

gateway vsi-interface 1

vxlan 30

evpn encapsulation vxlan

route-distinguisher auto

vpn-target auto export-extcommunity

vpn-target auto import-extcommunity

#

interface LoopBack0

ip address 3.3.3.3 255.255.255.255

#

interface GigabitEthernet2/0

ip address 34.1.1.3 255.255.255.0

#

interface GigabitEthernet3/0

xconnect vsi vpnc

#

interface Vsi-interface1

ip binding vpn-instance vpnc

ip address 192.168.20.1 255.255.255.0

mac-address 0003-0003-0003

local-proxy-arp enable

distributed-gateway local

#

interface Vsi-interface3

l3-vni 1000

#

interface Vsi-interface4

l3-vni 2000

#

interface Vsi-interface5

ip binding vpn-instance vpnc

l3-vni 3000

#

bgp 1234

peer 4.4.4.4 as-number 1234

peer 4.4.4.4 connect-interface LoopBack0

#

address-family l2vpn evpn

peer 4.4.4.4 enable

5、配置VSR-RR

配置VSR-RR作为RR路由反射器与其他路由器建立BGP连接, 配置发布EVPN路由,并关闭BGP EVPN路由的VPN-Target过滤功能。无需调整配置。

验证配置
1、验证分布式EVPN网关设备VSR1

查看EVPN自动发现的邻居信息,包含各VSI的IMET路由和MAC/IP路由。

display evpn auto-discovery imet

dis evpn auto-discovery macip-prefix

查看EVPN的ARP信息和MAC地址信息,

dis evpn route arp

dis evpn route mac

查看EVPN路由表信息,因为绑定了VPN实例,所以记得带实例查看。

display evpn routing-table vpn-instance vpna

查看Tunnel接口信息,可以看到VXLAN模式的Tunnel接口处于UP状态。

display interface tunnel

查看VSI虚接口信息,可以看到VSI虚接口处于UP状态。

display interface vsi-interface

查看VSI的详细信息,可以看到VSI内创建的VXLAN、与VXLAN关联的VXLAN隧道、与VSI关联的VSI虚接口等信息。多了3个自动创建的VSI接口。

display l2vpn vsi verbose

查看VSI的MAC地址表项信息,可以看到已学习到的MAC地址信息。

查看BGP l2vpn对等体信息。

display bgp l2vpn evpn

VSR1设备上的VPN实例vpna和vpnb的路由信息如下:

查看FIB表项信息,可以看到已学习到了虚拟机的转发表项信息,都要加VPN实例了。

2、验证主机

对比组网拓扑,在VM1这台主机(192.168.2.160)上ping测VM2(192.168.10.110)、VM3(192.168.20.200)和VM4(192.168.10.188),结果如下:

在VM2(192.168.10.110)这台主机上ping测VM1(192.168.2.160)、VM3(192.168.20.200)和VM4(192.168.10.188),结果如下:

在VM3(192.168.20.200)这台主机上ping测VM1(192.168.2.160)、VM2(192.168.10.110)和VM4(192.168.10.188),结果如下:

在VM4(192.168.10.188)这台主机上ping测VM1(192.168.2.160)、VM2(192.168.10.110)和VM3(192.168.20.200),结果如下:

综上,除VM3和VM4不能互访之外,其余主机全部实现互访。

总结

设备在发布和接收BGP EVPN路由时,按照如下规则选择RD和RT:


1、IMET路由和仅包含MAC地址信息的MAC/IP路由。

发布该类路由时,携带EVPN实例视图下配置的RD和Export Target;

接收该类路由时,将路由中的Route Target属性与本地EVPN实例视图下配置的Import Target进行比较。

2、包含ARP/ND信息的MAC/IP路由。

发布该类路由时,携带EVPN实例视图下配置的RD,并同时携带EVPN实例视图下配置的Export Target和VPN实例/公网实例下为EVPN配置(VPN实例视图、VPN实例EVPN视图、公网实例视图、公网实例EVPN视图下配置)的Export Target;

接收该类路由时,将路由中的Route Target属性与本地VPN实例/公网实例下为EVPN配置的Import Target进行比较。

3、IP前缀路由。

发布该类路由时,携带VPN实例/公网实例下为IPv4 VPN配置或IPv6 VPN配置的Export Target;

接收该类路由时,将路由中的Route Target属性与本地VPN实例/公网实例下为IPv4 VPN或IPv6 VPN配置的Import Target进行比较。


长按二维码
关注我们吧

       

           
更多推荐
           

EVPN:RFC7209,以太网VPN的要求

EVPN小实验:集中式EVPN网关配置

EVPN小实验:分布式EVPN网关配置

简单网络问题自查V1.2

VXLAN:RFC7349-VXLAN基于三层网络实现二层虚拟化的框架
        

 http://mp.weixin.qq.com/s?__biz=MzI4NjAzMTk3MA==&mid=2458857357&idx=1&sn=09234da76daebd46f7294250da99fbed
铁军哥
高级网络规划设计师,中国电信高级技术规划工程师,天翼云认证高级解决方案架构师,H3C认证网络工程师。 继续加油,努力传播知识,影响更多人!
 最新文章
使用storcli工具配置RAID,收藏这一篇就够了
[求助帖]电脑硬盘意外被BitLocker锁了,求解密方法
流量控制tc命令使用手册
保证转发PHB组
VXLAN小实验:VXLAN头端复制配置
EVPN小实验:配置实例间访问控制
如何将VMware ESXi中的虚拟机迁移到Workstation
exFAT文件系统通过挂载到Linux系统实现NFS网络共享
Windows Server2012 R2搭建NFS服务器
Windows不支持配置NFS?还有什么注意事项?
CDN内容分发网络加速效果测试
openssl-ecparam 命令手册
openssl-ec-chn命令手册
OpenSSL格式选项和密码选项简介
Ubuntu使用Tesla P4配置Anaconda+CUDA+PyTorch
神奇的H3C设备自动配置功能,不用按Ctrl-D/C了
Windows Server 绝技:PXE 服务 WDS 部署,让系统安装如虎添翼!
1024|程序员充能大礼包及粉丝专属福利放送!
如何手工获取并更新ESXi中macOS的VMware Tools版本
借PVE8.0的Debian 12系统配置一下NFS服务器
如何使用OpenSSL创建RSA证书文件?
H3C iMC智能管理中心平台PLAT部署EIA/UAM/TAM组件
VMware使用vmkfstools命令将厚置备虚拟机磁盘转为精简置备
不使用USB,Windows电脑如何通过网络操控Android手机?
如何通过Windows电脑操控Android手机?
太卷了,能配置ADVPN的云主机一年只要37块钱!
H3Linux部署iMC智能管理中心平台PLAT-7.3_E0706实验
配置Windows系统对接天翼云VPN连接
使用Spring boot整合MyBatis,实现根据用户id查询用户信息功能
NAT域隧道模式IPsec安全模型
来吧,给大家分享一下最新版本的FortiGate-VM64,带试用授权
使用命令配置Windows和H3C VSR对接隧道模式的IPsec
Windows和H3C VSR对接隧道模式的IPsec隧道
使用6条命令完成Windows和H3C VSR的IPsec对接
MSR810配置有线Portal认证
还能这么玩?Windows通过netsh命令配置IPsec
Windows和H3C VSR对接IPsec VPN
手把手教你在天翼云部署一台FortiGate云主机
切换到WDDM模式,Tesla M4可以用于本地显示输出了!
使用IKE数字签名RSA认证建立IPsec隧道的配置案例
HPE VSR配置穿越NAT场景下的ADVPN案例
ADVPN:Hub-Spoke类型组网实验
粉丝福利:白嫖天翼云免费的VPN网关及1000块钱
ADVPN:Full-Mesh模型组网实验
Ubuntu配置PPTP服务端和客户端
pptpd配置文件/etc/pptpd.conf详解
能找到Hyper-V和VMware共存的方法吗?
开启Hyper-V之后用不了VMware了,怎么破?
什么?Windows自带的Hyper-V虚拟化你都没用过?
使用IKE建立保护IPv6报文的IPsec隧道
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉