配置openv
openv 时间:2021-01-03 阅读:()
VXLAN配置指导VXLAN配置指导版本V1.
0时间2017年5月作者王祥状态反馈support_cn@fortinet.
comVXLAN配置指导目录1应用场景.
32网络拓扑.
33版本说明.
34配置步骤.
44.
1FortiGateVXLAN配置.
44.
2UbuntuVXLAN配置.
65测试结果.
66注意事项.
7VXLAN配置指导1应用场景VXLANoverIPsec是一种layer2overlayer3技术解决方案,将二层数据报文封装在三层报文中,跨越中间的三层网络,实现两地二层数据的互通,从而将多个数据中心贯穿起来.
2网络拓扑需求说明:Ubuntu连接的PC2需要访问FGTA同一VXLANVNI节点的PC1,FGTB连接的PC3需要访问Ubuntu不同VXLANVNI节点的PC2.
3版本说明VXLAN在v5.
6及以上版本支持.
试验中使用FGT100E:FortiGate-100Ev5.
6.
0,build1449VXLAN配置指导4配置步骤4.
1FortiGateVXLAN配置FGTA作为VXLAN网关配置:①配置VXLANconfigsystemvxlanedit"vxlan1"setinterface"wan1"setvni10setremote-ip"192.
168.
90.
182"nextedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
158"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan1"nextend③配置VXLAN接口ip地址configsysteminterfaceedit"vxlan-sw"setip20.
20.
20.
1255.
255.
255.
0setallowaccesspinghttpshttpnextedit"vxlan2"setip30.
30.
30.
1255.
255.
255.
0setallowaccesspinghttpshttpnextend注意:vxlan2接口没有配置软件换,是因为没有需要通信的节点pc接口.
VXLAN配置指导④配置VXLANipv4策略configfirewallpolicyedit1setname"vxlan-sw-vxlan2"setsrcintf"vxlan-sw"setdstintf"vxlan2"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextedit2setname"vxlan2-vxlan-sw"setsrcintf"vxlan2"setdstintf"vxlan-sw"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextendFGTB作为VXLAN节点配置:①配置VXLANconfigsystemvxlanedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
181"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan2"nextendVXLAN配置指导③配置软交换接口ip地址configsysteminterfaceedit"vxlan-sw"setip30.
30.
30.
2255.
255.
255.
0setallowaccesspinghttpshttpnextend④软交换成员之间默认互通,不需要配置防火墙策略.
注意:PC3访问internet的网关在FGTB上,则默认网关配置为FGTB的软交换接口,但是PC3访问其他VXLANVNI节点的下一条在FGTA上,则需要在PC3上写一条细化路由.
4.
2UbuntuVXLAN配置Ubuntu配置如下:apt-getinstallopenvswitch-switchovs-vsctladd-brbr0ovs-vsctladd-brbr1ovs-vsctladd-portbr0eth0ifconfigeth00up&&ifconfigbr0192.
168.
90.
182/24upifconfigbr120.
0.
0.
101/24upovs-vsctladd-portbr1vxlan1--setinterfacevxlan1type=vxlanoptions:remote_ip=192.
168.
90.
181options:key=10routeadd–net30.
30.
30.
0/24gw20.
20.
20.
15测试结果同VXLANVNI或者不同VXLANVNI下的PC都能够正常访问,报文如下:VXLAN配置指导6注意事项①过VXLAN接口的报文不会进入NP加速.
FG100E4Q16003541#diagnosesyssessionlistsessioninfo:proto=1proto_state=00duration=367expire=59timeout=0flags=00000000sockflag=00000000sockport=0av_idx=0use=4origin-shaper=reply-shaper=per_ip_shaper=ha_id=0policy_dir=0tunnel=/vlan_cos=0/255state=may_dirtystatistic(bytes/packets/allow_err):org=20400/340/1reply=20460/341/1tuples=2txspeed(Bps/kbps):55/0rxspeed(Bps/kbps):55/0orgin->sink:orgpre->post,replypre->postdev=42->40/40->42gwy=20.
20.
20.
1/30.
30.
30.
101hook=predir=orgact=noop30.
30.
30.
101:15->20.
20.
20.
1:8(0.
0.
0.
0:0)hook=postdir=replyact=noop20.
20.
20.
1:15->30.
30.
30.
101:0(0.
0.
0.
0:0)misc=0policy_id=2auth_info=0chk_client_info=0vd=0serial=f6c7a5bftos=ff/ffapp_list=0app=0url_cat=0dd_type=0dd_mode=0npu_state=0x040000no_ofld_reason:non-npu-intf②FortiGate软交换switch-interface的成员策略有两种implicit和explicit,都能够给正常建立VXLANoverIPSEC隧道.
当intra-switch-policy设置为implicit时(默认),成员之间在没有策略允许的情况下是可以相互访问的,并且可以通过switch-interface接口进行三层转发,但是FortiGate设备不维持成员之间的会话.
当intra-switch-policy设置为explicit时,成员之间在没有策略允许的情况下是不可以相互访问的,成员接口之间的策略允许后,FortiGate维护成员之间的会话,但是这种情况switch-interface就像是一个透明模式的vdom,只能进行二层转发.
0时间2017年5月作者王祥状态反馈support_cn@fortinet.
comVXLAN配置指导目录1应用场景.
32网络拓扑.
33版本说明.
34配置步骤.
44.
1FortiGateVXLAN配置.
44.
2UbuntuVXLAN配置.
65测试结果.
66注意事项.
7VXLAN配置指导1应用场景VXLANoverIPsec是一种layer2overlayer3技术解决方案,将二层数据报文封装在三层报文中,跨越中间的三层网络,实现两地二层数据的互通,从而将多个数据中心贯穿起来.
2网络拓扑需求说明:Ubuntu连接的PC2需要访问FGTA同一VXLANVNI节点的PC1,FGTB连接的PC3需要访问Ubuntu不同VXLANVNI节点的PC2.
3版本说明VXLAN在v5.
6及以上版本支持.
试验中使用FGT100E:FortiGate-100Ev5.
6.
0,build1449VXLAN配置指导4配置步骤4.
1FortiGateVXLAN配置FGTA作为VXLAN网关配置:①配置VXLANconfigsystemvxlanedit"vxlan1"setinterface"wan1"setvni10setremote-ip"192.
168.
90.
182"nextedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
158"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan1"nextend③配置VXLAN接口ip地址configsysteminterfaceedit"vxlan-sw"setip20.
20.
20.
1255.
255.
255.
0setallowaccesspinghttpshttpnextedit"vxlan2"setip30.
30.
30.
1255.
255.
255.
0setallowaccesspinghttpshttpnextend注意:vxlan2接口没有配置软件换,是因为没有需要通信的节点pc接口.
VXLAN配置指导④配置VXLANipv4策略configfirewallpolicyedit1setname"vxlan-sw-vxlan2"setsrcintf"vxlan-sw"setdstintf"vxlan2"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextedit2setname"vxlan2-vxlan-sw"setsrcintf"vxlan2"setdstintf"vxlan-sw"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextendFGTB作为VXLAN节点配置:①配置VXLANconfigsystemvxlanedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
181"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan2"nextendVXLAN配置指导③配置软交换接口ip地址configsysteminterfaceedit"vxlan-sw"setip30.
30.
30.
2255.
255.
255.
0setallowaccesspinghttpshttpnextend④软交换成员之间默认互通,不需要配置防火墙策略.
注意:PC3访问internet的网关在FGTB上,则默认网关配置为FGTB的软交换接口,但是PC3访问其他VXLANVNI节点的下一条在FGTA上,则需要在PC3上写一条细化路由.
4.
2UbuntuVXLAN配置Ubuntu配置如下:apt-getinstallopenvswitch-switchovs-vsctladd-brbr0ovs-vsctladd-brbr1ovs-vsctladd-portbr0eth0ifconfigeth00up&&ifconfigbr0192.
168.
90.
182/24upifconfigbr120.
0.
0.
101/24upovs-vsctladd-portbr1vxlan1--setinterfacevxlan1type=vxlanoptions:remote_ip=192.
168.
90.
181options:key=10routeadd–net30.
30.
30.
0/24gw20.
20.
20.
15测试结果同VXLANVNI或者不同VXLANVNI下的PC都能够正常访问,报文如下:VXLAN配置指导6注意事项①过VXLAN接口的报文不会进入NP加速.
FG100E4Q16003541#diagnosesyssessionlistsessioninfo:proto=1proto_state=00duration=367expire=59timeout=0flags=00000000sockflag=00000000sockport=0av_idx=0use=4origin-shaper=reply-shaper=per_ip_shaper=ha_id=0policy_dir=0tunnel=/vlan_cos=0/255state=may_dirtystatistic(bytes/packets/allow_err):org=20400/340/1reply=20460/341/1tuples=2txspeed(Bps/kbps):55/0rxspeed(Bps/kbps):55/0orgin->sink:orgpre->post,replypre->postdev=42->40/40->42gwy=20.
20.
20.
1/30.
30.
30.
101hook=predir=orgact=noop30.
30.
30.
101:15->20.
20.
20.
1:8(0.
0.
0.
0:0)hook=postdir=replyact=noop20.
20.
20.
1:15->30.
30.
30.
101:0(0.
0.
0.
0:0)misc=0policy_id=2auth_info=0chk_client_info=0vd=0serial=f6c7a5bftos=ff/ffapp_list=0app=0url_cat=0dd_type=0dd_mode=0npu_state=0x040000no_ofld_reason:non-npu-intf②FortiGate软交换switch-interface的成员策略有两种implicit和explicit,都能够给正常建立VXLANoverIPSEC隧道.
当intra-switch-policy设置为implicit时(默认),成员之间在没有策略允许的情况下是可以相互访问的,并且可以通过switch-interface接口进行三层转发,但是FortiGate设备不维持成员之间的会话.
当intra-switch-policy设置为explicit时,成员之间在没有策略允许的情况下是不可以相互访问的,成员接口之间的策略允许后,FortiGate维护成员之间的会话,但是这种情况switch-interface就像是一个透明模式的vdom,只能进行二层转发.
美国云服务器 1核 1G 30M 50元/季 兆赫云
【双十二】兆赫云:全场vps季付六折优惠,低至50元/季,1H/1G/30M/20G数据盘/500G流量/洛杉矶联通9929商家简介:兆赫云是一家国人商家,成立2020年,主要业务是美西洛杉矶联通9929线路VPS,提供虚拟主机、VPS和独立服务器。VPS采用KVM虚拟架构,线路优质,延迟低,稳定性强。是不是觉得黑五折扣力度不够大?还在犹豫徘徊中?这次为了提前庆祝双十二,特价推出全场季付六折优惠。...
PIGYun月付14.4元起,美国洛杉矶/韩国VPS七月6折
PIGYun是成立于2019年的国人商家,提供香港、韩国和美西CUVIP-9929等机房线路基于KVM架构的VPS主机,本月商家针对韩国首尔、美国洛杉矶CUVIP-AS29、GIA回程带防御等多条线路VPS提供6-8.5折优惠码,优惠后韩国首尔CN2混合BGP特惠型/美国洛杉矶GIA回程带10Gbps攻击防御VPS主机最低每月14.4元起。下面列出几款不同机房VPS主机配置信息,请留意不同优惠码。...
DogYun香港BGP月付14.4元主机简单测试
前些天赵容分享过DogYun(狗云)香港BGP线路AMD 5950X经典低价云服务器的信息(点击查看),刚好账户还有点余额够开个最低配,所以手贱尝试下,这些贴上简单测试信息,方便大家参考。官方网站:www.dogyun.com主机配置我搞的是最低款优惠后14.4元/月的,配置单核,512MB内存,10GB硬盘,300GB/50Mbps月流量。基本信息DogYun的VPS主机管理集成在会员中心,包括...
openv为你推荐
-
国内域名注册预留的国内(cn)域名申请方法美国主机租用美国服务器租用整的这么便宜 啊免费云主机永久免费的云主机哎或者空间或者vps网站空间域名什么是网站域名和网站空间云服务器租用云服务器租用需要注意哪些方面重庆虚拟空间重庆顺丰快递运的电脑主机19号中午11点到的第二天物流状态还是在重庆集散中心?今天能不能领导件?免费网站空间申请如何申请到免费的网站空间独立ip虚拟主机独立ip的虚拟主机和vps的区别和优势??虚拟主机管理系统什么虚拟主机管理系统支持W和linux操作系统1g虚拟主机1G虚拟空间大约多少钱?