配置openv
openv 时间:2021-01-03 阅读:()
VXLAN配置指导VXLAN配置指导版本V1.
0时间2017年5月作者王祥状态反馈support_cn@fortinet.
comVXLAN配置指导目录1应用场景.
32网络拓扑.
33版本说明.
34配置步骤.
44.
1FortiGateVXLAN配置.
44.
2UbuntuVXLAN配置.
65测试结果.
66注意事项.
7VXLAN配置指导1应用场景VXLANoverIPsec是一种layer2overlayer3技术解决方案,将二层数据报文封装在三层报文中,跨越中间的三层网络,实现两地二层数据的互通,从而将多个数据中心贯穿起来.
2网络拓扑需求说明:Ubuntu连接的PC2需要访问FGTA同一VXLANVNI节点的PC1,FGTB连接的PC3需要访问Ubuntu不同VXLANVNI节点的PC2.
3版本说明VXLAN在v5.
6及以上版本支持.
试验中使用FGT100E:FortiGate-100Ev5.
6.
0,build1449VXLAN配置指导4配置步骤4.
1FortiGateVXLAN配置FGTA作为VXLAN网关配置:①配置VXLANconfigsystemvxlanedit"vxlan1"setinterface"wan1"setvni10setremote-ip"192.
168.
90.
182"nextedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
158"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan1"nextend③配置VXLAN接口ip地址configsysteminterfaceedit"vxlan-sw"setip20.
20.
20.
1255.
255.
255.
0setallowaccesspinghttpshttpnextedit"vxlan2"setip30.
30.
30.
1255.
255.
255.
0setallowaccesspinghttpshttpnextend注意:vxlan2接口没有配置软件换,是因为没有需要通信的节点pc接口.
VXLAN配置指导④配置VXLANipv4策略configfirewallpolicyedit1setname"vxlan-sw-vxlan2"setsrcintf"vxlan-sw"setdstintf"vxlan2"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextedit2setname"vxlan2-vxlan-sw"setsrcintf"vxlan2"setdstintf"vxlan-sw"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextendFGTB作为VXLAN节点配置:①配置VXLANconfigsystemvxlanedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
181"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan2"nextendVXLAN配置指导③配置软交换接口ip地址configsysteminterfaceedit"vxlan-sw"setip30.
30.
30.
2255.
255.
255.
0setallowaccesspinghttpshttpnextend④软交换成员之间默认互通,不需要配置防火墙策略.
注意:PC3访问internet的网关在FGTB上,则默认网关配置为FGTB的软交换接口,但是PC3访问其他VXLANVNI节点的下一条在FGTA上,则需要在PC3上写一条细化路由.
4.
2UbuntuVXLAN配置Ubuntu配置如下:apt-getinstallopenvswitch-switchovs-vsctladd-brbr0ovs-vsctladd-brbr1ovs-vsctladd-portbr0eth0ifconfigeth00up&&ifconfigbr0192.
168.
90.
182/24upifconfigbr120.
0.
0.
101/24upovs-vsctladd-portbr1vxlan1--setinterfacevxlan1type=vxlanoptions:remote_ip=192.
168.
90.
181options:key=10routeadd–net30.
30.
30.
0/24gw20.
20.
20.
15测试结果同VXLANVNI或者不同VXLANVNI下的PC都能够正常访问,报文如下:VXLAN配置指导6注意事项①过VXLAN接口的报文不会进入NP加速.
FG100E4Q16003541#diagnosesyssessionlistsessioninfo:proto=1proto_state=00duration=367expire=59timeout=0flags=00000000sockflag=00000000sockport=0av_idx=0use=4origin-shaper=reply-shaper=per_ip_shaper=ha_id=0policy_dir=0tunnel=/vlan_cos=0/255state=may_dirtystatistic(bytes/packets/allow_err):org=20400/340/1reply=20460/341/1tuples=2txspeed(Bps/kbps):55/0rxspeed(Bps/kbps):55/0orgin->sink:orgpre->post,replypre->postdev=42->40/40->42gwy=20.
20.
20.
1/30.
30.
30.
101hook=predir=orgact=noop30.
30.
30.
101:15->20.
20.
20.
1:8(0.
0.
0.
0:0)hook=postdir=replyact=noop20.
20.
20.
1:15->30.
30.
30.
101:0(0.
0.
0.
0:0)misc=0policy_id=2auth_info=0chk_client_info=0vd=0serial=f6c7a5bftos=ff/ffapp_list=0app=0url_cat=0dd_type=0dd_mode=0npu_state=0x040000no_ofld_reason:non-npu-intf②FortiGate软交换switch-interface的成员策略有两种implicit和explicit,都能够给正常建立VXLANoverIPSEC隧道.
当intra-switch-policy设置为implicit时(默认),成员之间在没有策略允许的情况下是可以相互访问的,并且可以通过switch-interface接口进行三层转发,但是FortiGate设备不维持成员之间的会话.
当intra-switch-policy设置为explicit时,成员之间在没有策略允许的情况下是不可以相互访问的,成员接口之间的策略允许后,FortiGate维护成员之间的会话,但是这种情况switch-interface就像是一个透明模式的vdom,只能进行二层转发.
0时间2017年5月作者王祥状态反馈support_cn@fortinet.
comVXLAN配置指导目录1应用场景.
32网络拓扑.
33版本说明.
34配置步骤.
44.
1FortiGateVXLAN配置.
44.
2UbuntuVXLAN配置.
65测试结果.
66注意事项.
7VXLAN配置指导1应用场景VXLANoverIPsec是一种layer2overlayer3技术解决方案,将二层数据报文封装在三层报文中,跨越中间的三层网络,实现两地二层数据的互通,从而将多个数据中心贯穿起来.
2网络拓扑需求说明:Ubuntu连接的PC2需要访问FGTA同一VXLANVNI节点的PC1,FGTB连接的PC3需要访问Ubuntu不同VXLANVNI节点的PC2.
3版本说明VXLAN在v5.
6及以上版本支持.
试验中使用FGT100E:FortiGate-100Ev5.
6.
0,build1449VXLAN配置指导4配置步骤4.
1FortiGateVXLAN配置FGTA作为VXLAN网关配置:①配置VXLANconfigsystemvxlanedit"vxlan1"setinterface"wan1"setvni10setremote-ip"192.
168.
90.
182"nextedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
158"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan1"nextend③配置VXLAN接口ip地址configsysteminterfaceedit"vxlan-sw"setip20.
20.
20.
1255.
255.
255.
0setallowaccesspinghttpshttpnextedit"vxlan2"setip30.
30.
30.
1255.
255.
255.
0setallowaccesspinghttpshttpnextend注意:vxlan2接口没有配置软件换,是因为没有需要通信的节点pc接口.
VXLAN配置指导④配置VXLANipv4策略configfirewallpolicyedit1setname"vxlan-sw-vxlan2"setsrcintf"vxlan-sw"setdstintf"vxlan2"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextedit2setname"vxlan2-vxlan-sw"setsrcintf"vxlan2"setdstintf"vxlan-sw"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextendFGTB作为VXLAN节点配置:①配置VXLANconfigsystemvxlanedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
181"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan2"nextendVXLAN配置指导③配置软交换接口ip地址configsysteminterfaceedit"vxlan-sw"setip30.
30.
30.
2255.
255.
255.
0setallowaccesspinghttpshttpnextend④软交换成员之间默认互通,不需要配置防火墙策略.
注意:PC3访问internet的网关在FGTB上,则默认网关配置为FGTB的软交换接口,但是PC3访问其他VXLANVNI节点的下一条在FGTA上,则需要在PC3上写一条细化路由.
4.
2UbuntuVXLAN配置Ubuntu配置如下:apt-getinstallopenvswitch-switchovs-vsctladd-brbr0ovs-vsctladd-brbr1ovs-vsctladd-portbr0eth0ifconfigeth00up&&ifconfigbr0192.
168.
90.
182/24upifconfigbr120.
0.
0.
101/24upovs-vsctladd-portbr1vxlan1--setinterfacevxlan1type=vxlanoptions:remote_ip=192.
168.
90.
181options:key=10routeadd–net30.
30.
30.
0/24gw20.
20.
20.
15测试结果同VXLANVNI或者不同VXLANVNI下的PC都能够正常访问,报文如下:VXLAN配置指导6注意事项①过VXLAN接口的报文不会进入NP加速.
FG100E4Q16003541#diagnosesyssessionlistsessioninfo:proto=1proto_state=00duration=367expire=59timeout=0flags=00000000sockflag=00000000sockport=0av_idx=0use=4origin-shaper=reply-shaper=per_ip_shaper=ha_id=0policy_dir=0tunnel=/vlan_cos=0/255state=may_dirtystatistic(bytes/packets/allow_err):org=20400/340/1reply=20460/341/1tuples=2txspeed(Bps/kbps):55/0rxspeed(Bps/kbps):55/0orgin->sink:orgpre->post,replypre->postdev=42->40/40->42gwy=20.
20.
20.
1/30.
30.
30.
101hook=predir=orgact=noop30.
30.
30.
101:15->20.
20.
20.
1:8(0.
0.
0.
0:0)hook=postdir=replyact=noop20.
20.
20.
1:15->30.
30.
30.
101:0(0.
0.
0.
0:0)misc=0policy_id=2auth_info=0chk_client_info=0vd=0serial=f6c7a5bftos=ff/ffapp_list=0app=0url_cat=0dd_type=0dd_mode=0npu_state=0x040000no_ofld_reason:non-npu-intf②FortiGate软交换switch-interface的成员策略有两种implicit和explicit,都能够给正常建立VXLANoverIPSEC隧道.
当intra-switch-policy设置为implicit时(默认),成员之间在没有策略允许的情况下是可以相互访问的,并且可以通过switch-interface接口进行三层转发,但是FortiGate设备不维持成员之间的会话.
当intra-switch-policy设置为explicit时,成员之间在没有策略允许的情况下是不可以相互访问的,成员接口之间的策略允许后,FortiGate维护成员之间的会话,但是这种情况switch-interface就像是一个透明模式的vdom,只能进行二层转发.
CloudCone(12.95美元/月CN2 GT线路,KVM架构1 Gbps带宽
整理一下CloudCone商家之前推送的闪购VPS云服务器产品,数量有限,活动推出可能很快机器就售罄了,有需要美国便宜VPS云服务器的朋友可以关注一下。CloudCone怎么样?CloudCone服务器好不好?CloudCone值不值得购买?CloudCone是一家成立于2017年的美国服务器提供商,国外实力大厂,自己开发的主机系统面板,CloudCone主要销售美国洛杉矶云服务器产品,优势特点是...
腾讯云新用户省钱秘笈购买云服务器
目前国内云计算市场竞争异常激烈,尤其是国内的腾讯云、阿里云、景安等商家促销活动一波接一波的进行,对于有需要的用户确实得到不小的实惠。但是这样给予国内的主机商确实是比较大的打击,毕竟这些商家的背景和实例强劲,即便是贴本补贴优惠,也是不怕的。前两年阿里一家各种活动促销,确实在国内市场占据主要的市场地位,腾讯云开始两年没有较大的吸引用户,不过这两年的发展还是比较稳健的。我们很多网友在之前肯定也享受到一些...
ThomasHost(月付5美元)美国/法国/英国/加拿大KVM,支持Windows
ThomasHost域名注册自2012年,部落最早分享始于2016年,还算成立了有几年了,商家提供基于KVM架构的VPS,数据中心包括美国、法国、英国、加拿大和爱尔兰等6个地区机房,VPS主机套餐最低2GB内存起步,支持Windows或者Linux操作系统,1Gbps端口不限制流量。最近商家提供了一个5折优惠码,优惠后最低套餐月付5美元起。下面列出部分套餐配置信息。CPU:1core内存:2GB硬...
openv为你推荐
-
linux虚拟主机windows虚拟主机和linux虚拟主机有什么区别虚拟主机推荐谁可以给推荐下好用的虚拟主机php虚拟空间普通网站需要多大空间?本人新手php学习者,想买个虚拟空间用来放自己做的一些企业站,只是练习用途深圳网站空间深圳宝安网站设计,深圳网站空间,哪里做的最好???北京网站空间什么样的网站空间好香港虚拟主机香港的虚拟主机好不好,如何选择虚拟主机?虚拟主机控制面板虚拟主机控制面板是什么?1g虚拟主机网站空间1G是多少M,网站空间用1G虚拟主机够吗。价格多少,数据库和网站有什么关系asp虚拟主机支持ASP MSSQL 的虚拟主机有哪些推荐二级域名什么是二级域名