配置openv
openv 时间:2021-01-03 阅读:()
VXLAN配置指导VXLAN配置指导版本V1.
0时间2017年5月作者王祥状态反馈support_cn@fortinet.
comVXLAN配置指导目录1应用场景.
32网络拓扑.
33版本说明.
34配置步骤.
44.
1FortiGateVXLAN配置.
44.
2UbuntuVXLAN配置.
65测试结果.
66注意事项.
7VXLAN配置指导1应用场景VXLANoverIPsec是一种layer2overlayer3技术解决方案,将二层数据报文封装在三层报文中,跨越中间的三层网络,实现两地二层数据的互通,从而将多个数据中心贯穿起来.
2网络拓扑需求说明:Ubuntu连接的PC2需要访问FGTA同一VXLANVNI节点的PC1,FGTB连接的PC3需要访问Ubuntu不同VXLANVNI节点的PC2.
3版本说明VXLAN在v5.
6及以上版本支持.
试验中使用FGT100E:FortiGate-100Ev5.
6.
0,build1449VXLAN配置指导4配置步骤4.
1FortiGateVXLAN配置FGTA作为VXLAN网关配置:①配置VXLANconfigsystemvxlanedit"vxlan1"setinterface"wan1"setvni10setremote-ip"192.
168.
90.
182"nextedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
158"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan1"nextend③配置VXLAN接口ip地址configsysteminterfaceedit"vxlan-sw"setip20.
20.
20.
1255.
255.
255.
0setallowaccesspinghttpshttpnextedit"vxlan2"setip30.
30.
30.
1255.
255.
255.
0setallowaccesspinghttpshttpnextend注意:vxlan2接口没有配置软件换,是因为没有需要通信的节点pc接口.
VXLAN配置指导④配置VXLANipv4策略configfirewallpolicyedit1setname"vxlan-sw-vxlan2"setsrcintf"vxlan-sw"setdstintf"vxlan2"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextedit2setname"vxlan2-vxlan-sw"setsrcintf"vxlan2"setdstintf"vxlan-sw"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextendFGTB作为VXLAN节点配置:①配置VXLANconfigsystemvxlanedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
181"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan2"nextendVXLAN配置指导③配置软交换接口ip地址configsysteminterfaceedit"vxlan-sw"setip30.
30.
30.
2255.
255.
255.
0setallowaccesspinghttpshttpnextend④软交换成员之间默认互通,不需要配置防火墙策略.
注意:PC3访问internet的网关在FGTB上,则默认网关配置为FGTB的软交换接口,但是PC3访问其他VXLANVNI节点的下一条在FGTA上,则需要在PC3上写一条细化路由.
4.
2UbuntuVXLAN配置Ubuntu配置如下:apt-getinstallopenvswitch-switchovs-vsctladd-brbr0ovs-vsctladd-brbr1ovs-vsctladd-portbr0eth0ifconfigeth00up&&ifconfigbr0192.
168.
90.
182/24upifconfigbr120.
0.
0.
101/24upovs-vsctladd-portbr1vxlan1--setinterfacevxlan1type=vxlanoptions:remote_ip=192.
168.
90.
181options:key=10routeadd–net30.
30.
30.
0/24gw20.
20.
20.
15测试结果同VXLANVNI或者不同VXLANVNI下的PC都能够正常访问,报文如下:VXLAN配置指导6注意事项①过VXLAN接口的报文不会进入NP加速.
FG100E4Q16003541#diagnosesyssessionlistsessioninfo:proto=1proto_state=00duration=367expire=59timeout=0flags=00000000sockflag=00000000sockport=0av_idx=0use=4origin-shaper=reply-shaper=per_ip_shaper=ha_id=0policy_dir=0tunnel=/vlan_cos=0/255state=may_dirtystatistic(bytes/packets/allow_err):org=20400/340/1reply=20460/341/1tuples=2txspeed(Bps/kbps):55/0rxspeed(Bps/kbps):55/0orgin->sink:orgpre->post,replypre->postdev=42->40/40->42gwy=20.
20.
20.
1/30.
30.
30.
101hook=predir=orgact=noop30.
30.
30.
101:15->20.
20.
20.
1:8(0.
0.
0.
0:0)hook=postdir=replyact=noop20.
20.
20.
1:15->30.
30.
30.
101:0(0.
0.
0.
0:0)misc=0policy_id=2auth_info=0chk_client_info=0vd=0serial=f6c7a5bftos=ff/ffapp_list=0app=0url_cat=0dd_type=0dd_mode=0npu_state=0x040000no_ofld_reason:non-npu-intf②FortiGate软交换switch-interface的成员策略有两种implicit和explicit,都能够给正常建立VXLANoverIPSEC隧道.
当intra-switch-policy设置为implicit时(默认),成员之间在没有策略允许的情况下是可以相互访问的,并且可以通过switch-interface接口进行三层转发,但是FortiGate设备不维持成员之间的会话.
当intra-switch-policy设置为explicit时,成员之间在没有策略允许的情况下是不可以相互访问的,成员接口之间的策略允许后,FortiGate维护成员之间的会话,但是这种情况switch-interface就像是一个透明模式的vdom,只能进行二层转发.
0时间2017年5月作者王祥状态反馈support_cn@fortinet.
comVXLAN配置指导目录1应用场景.
32网络拓扑.
33版本说明.
34配置步骤.
44.
1FortiGateVXLAN配置.
44.
2UbuntuVXLAN配置.
65测试结果.
66注意事项.
7VXLAN配置指导1应用场景VXLANoverIPsec是一种layer2overlayer3技术解决方案,将二层数据报文封装在三层报文中,跨越中间的三层网络,实现两地二层数据的互通,从而将多个数据中心贯穿起来.
2网络拓扑需求说明:Ubuntu连接的PC2需要访问FGTA同一VXLANVNI节点的PC1,FGTB连接的PC3需要访问Ubuntu不同VXLANVNI节点的PC2.
3版本说明VXLAN在v5.
6及以上版本支持.
试验中使用FGT100E:FortiGate-100Ev5.
6.
0,build1449VXLAN配置指导4配置步骤4.
1FortiGateVXLAN配置FGTA作为VXLAN网关配置:①配置VXLANconfigsystemvxlanedit"vxlan1"setinterface"wan1"setvni10setremote-ip"192.
168.
90.
182"nextedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
158"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan1"nextend③配置VXLAN接口ip地址configsysteminterfaceedit"vxlan-sw"setip20.
20.
20.
1255.
255.
255.
0setallowaccesspinghttpshttpnextedit"vxlan2"setip30.
30.
30.
1255.
255.
255.
0setallowaccesspinghttpshttpnextend注意:vxlan2接口没有配置软件换,是因为没有需要通信的节点pc接口.
VXLAN配置指导④配置VXLANipv4策略configfirewallpolicyedit1setname"vxlan-sw-vxlan2"setsrcintf"vxlan-sw"setdstintf"vxlan2"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextedit2setname"vxlan2-vxlan-sw"setsrcintf"vxlan2"setdstintf"vxlan-sw"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextendFGTB作为VXLAN节点配置:①配置VXLANconfigsystemvxlanedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
181"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan2"nextendVXLAN配置指导③配置软交换接口ip地址configsysteminterfaceedit"vxlan-sw"setip30.
30.
30.
2255.
255.
255.
0setallowaccesspinghttpshttpnextend④软交换成员之间默认互通,不需要配置防火墙策略.
注意:PC3访问internet的网关在FGTB上,则默认网关配置为FGTB的软交换接口,但是PC3访问其他VXLANVNI节点的下一条在FGTA上,则需要在PC3上写一条细化路由.
4.
2UbuntuVXLAN配置Ubuntu配置如下:apt-getinstallopenvswitch-switchovs-vsctladd-brbr0ovs-vsctladd-brbr1ovs-vsctladd-portbr0eth0ifconfigeth00up&&ifconfigbr0192.
168.
90.
182/24upifconfigbr120.
0.
0.
101/24upovs-vsctladd-portbr1vxlan1--setinterfacevxlan1type=vxlanoptions:remote_ip=192.
168.
90.
181options:key=10routeadd–net30.
30.
30.
0/24gw20.
20.
20.
15测试结果同VXLANVNI或者不同VXLANVNI下的PC都能够正常访问,报文如下:VXLAN配置指导6注意事项①过VXLAN接口的报文不会进入NP加速.
FG100E4Q16003541#diagnosesyssessionlistsessioninfo:proto=1proto_state=00duration=367expire=59timeout=0flags=00000000sockflag=00000000sockport=0av_idx=0use=4origin-shaper=reply-shaper=per_ip_shaper=ha_id=0policy_dir=0tunnel=/vlan_cos=0/255state=may_dirtystatistic(bytes/packets/allow_err):org=20400/340/1reply=20460/341/1tuples=2txspeed(Bps/kbps):55/0rxspeed(Bps/kbps):55/0orgin->sink:orgpre->post,replypre->postdev=42->40/40->42gwy=20.
20.
20.
1/30.
30.
30.
101hook=predir=orgact=noop30.
30.
30.
101:15->20.
20.
20.
1:8(0.
0.
0.
0:0)hook=postdir=replyact=noop20.
20.
20.
1:15->30.
30.
30.
101:0(0.
0.
0.
0:0)misc=0policy_id=2auth_info=0chk_client_info=0vd=0serial=f6c7a5bftos=ff/ffapp_list=0app=0url_cat=0dd_type=0dd_mode=0npu_state=0x040000no_ofld_reason:non-npu-intf②FortiGate软交换switch-interface的成员策略有两种implicit和explicit,都能够给正常建立VXLANoverIPSEC隧道.
当intra-switch-policy设置为implicit时(默认),成员之间在没有策略允许的情况下是可以相互访问的,并且可以通过switch-interface接口进行三层转发,但是FortiGate设备不维持成员之间的会话.
当intra-switch-policy设置为explicit时,成员之间在没有策略允许的情况下是不可以相互访问的,成员接口之间的策略允许后,FortiGate维护成员之间的会话,但是这种情况switch-interface就像是一个透明模式的vdom,只能进行二层转发.
香港服务器租用多少钱一个月?影响香港服务器租用价格因素
香港服务器租用多少钱一个月?香港服务器受到很多朋友的青睐,其中免备案成为其特色之一。很多用户想了解香港云服务器价格多少钱,也有同行询问香港服务器的租赁价格,一些实际用户想要了解香港服务器的市场。虽然价格是关注的焦点,但价格并不是香港服务器的全部选择。今天小编介绍了一些影响香港服务器租赁价格的因素,以及在香港租一个月的服务器要花多少钱。影响香港服务器租赁价格的因素:1.香港机房选择香港机房相当于选择...
Virtono:圣何塞VPS七五折月付2.2欧元起,免费双倍内存
Virtono是一家成立于2014年的国外VPS主机商,提供VPS和服务器租用等产品,商家支持PayPal、信用卡、支付宝等国内外付款方式,可选数据中心共7个:罗马尼亚2个,美国3个(圣何塞、达拉斯、迈阿密),英国和德国各1个。目前,商家针对美国圣何塞机房VPS提供75折优惠码,同时,下单后在LET回复订单号还能获得双倍内存的升级。下面以圣何塞为例,分享几款VPS主机配置信息。Cloud VPSC...
提速啦:美国多IP站群云服务器 8核8G 10M带宽 7IP 88元/月
提速啦(www.tisula.com)是赣州王成璟网络科技有限公司旗下云服务器品牌,目前拥有在籍员工40人左右,社保在籍员工30人+,是正规的国内拥有IDC ICP ISP CDN 云牌照资质商家,2018-2021年连续4年获得CTG机房顶级金牌代理商荣誉 2021年赣州市于都县创业大赛三等奖,2020年于都电子商务示范企业,2021年于都县电子商务融合推广大使。资源优势介绍:Ceranetwo...
openv为你推荐
-
国内域名注册预留的国内(cn)域名申请方法全能虚拟主机免费的虚拟主机不可以修改网站?英文域名中文域名与英文域名有什么区别,中文域名为什么贵?在搜索时哪个更有优势香港虚拟空间请大哥帮个忙,介绍可靠的香港虚拟主机?重庆虚拟空间重庆虚拟主机租用那家好?重庆虚拟空间重庆顺丰快递运的电脑主机19号中午11点到的第二天物流状态还是在重庆集散中心?今天能不能领导件?100m虚拟主机100M的虚拟主机都能做些什么windows虚拟主机在windows上怎么安装虚拟机西安虚拟主机如何评价虚拟主机的优劣新加坡虚拟主机请问新网的虚拟主机靠谱吗?