配置openv
openv 时间:2021-01-03 阅读:()
VXLAN配置指导VXLAN配置指导版本V1.
0时间2017年5月作者王祥状态反馈support_cn@fortinet.
comVXLAN配置指导目录1应用场景.
32网络拓扑.
33版本说明.
34配置步骤.
44.
1FortiGateVXLAN配置.
44.
2UbuntuVXLAN配置.
65测试结果.
66注意事项.
7VXLAN配置指导1应用场景VXLANoverIPsec是一种layer2overlayer3技术解决方案,将二层数据报文封装在三层报文中,跨越中间的三层网络,实现两地二层数据的互通,从而将多个数据中心贯穿起来.
2网络拓扑需求说明:Ubuntu连接的PC2需要访问FGTA同一VXLANVNI节点的PC1,FGTB连接的PC3需要访问Ubuntu不同VXLANVNI节点的PC2.
3版本说明VXLAN在v5.
6及以上版本支持.
试验中使用FGT100E:FortiGate-100Ev5.
6.
0,build1449VXLAN配置指导4配置步骤4.
1FortiGateVXLAN配置FGTA作为VXLAN网关配置:①配置VXLANconfigsystemvxlanedit"vxlan1"setinterface"wan1"setvni10setremote-ip"192.
168.
90.
182"nextedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
158"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan1"nextend③配置VXLAN接口ip地址configsysteminterfaceedit"vxlan-sw"setip20.
20.
20.
1255.
255.
255.
0setallowaccesspinghttpshttpnextedit"vxlan2"setip30.
30.
30.
1255.
255.
255.
0setallowaccesspinghttpshttpnextend注意:vxlan2接口没有配置软件换,是因为没有需要通信的节点pc接口.
VXLAN配置指导④配置VXLANipv4策略configfirewallpolicyedit1setname"vxlan-sw-vxlan2"setsrcintf"vxlan-sw"setdstintf"vxlan2"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextedit2setname"vxlan2-vxlan-sw"setsrcintf"vxlan2"setdstintf"vxlan-sw"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextendFGTB作为VXLAN节点配置:①配置VXLANconfigsystemvxlanedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
181"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan2"nextendVXLAN配置指导③配置软交换接口ip地址configsysteminterfaceedit"vxlan-sw"setip30.
30.
30.
2255.
255.
255.
0setallowaccesspinghttpshttpnextend④软交换成员之间默认互通,不需要配置防火墙策略.
注意:PC3访问internet的网关在FGTB上,则默认网关配置为FGTB的软交换接口,但是PC3访问其他VXLANVNI节点的下一条在FGTA上,则需要在PC3上写一条细化路由.
4.
2UbuntuVXLAN配置Ubuntu配置如下:apt-getinstallopenvswitch-switchovs-vsctladd-brbr0ovs-vsctladd-brbr1ovs-vsctladd-portbr0eth0ifconfigeth00up&&ifconfigbr0192.
168.
90.
182/24upifconfigbr120.
0.
0.
101/24upovs-vsctladd-portbr1vxlan1--setinterfacevxlan1type=vxlanoptions:remote_ip=192.
168.
90.
181options:key=10routeadd–net30.
30.
30.
0/24gw20.
20.
20.
15测试结果同VXLANVNI或者不同VXLANVNI下的PC都能够正常访问,报文如下:VXLAN配置指导6注意事项①过VXLAN接口的报文不会进入NP加速.
FG100E4Q16003541#diagnosesyssessionlistsessioninfo:proto=1proto_state=00duration=367expire=59timeout=0flags=00000000sockflag=00000000sockport=0av_idx=0use=4origin-shaper=reply-shaper=per_ip_shaper=ha_id=0policy_dir=0tunnel=/vlan_cos=0/255state=may_dirtystatistic(bytes/packets/allow_err):org=20400/340/1reply=20460/341/1tuples=2txspeed(Bps/kbps):55/0rxspeed(Bps/kbps):55/0orgin->sink:orgpre->post,replypre->postdev=42->40/40->42gwy=20.
20.
20.
1/30.
30.
30.
101hook=predir=orgact=noop30.
30.
30.
101:15->20.
20.
20.
1:8(0.
0.
0.
0:0)hook=postdir=replyact=noop20.
20.
20.
1:15->30.
30.
30.
101:0(0.
0.
0.
0:0)misc=0policy_id=2auth_info=0chk_client_info=0vd=0serial=f6c7a5bftos=ff/ffapp_list=0app=0url_cat=0dd_type=0dd_mode=0npu_state=0x040000no_ofld_reason:non-npu-intf②FortiGate软交换switch-interface的成员策略有两种implicit和explicit,都能够给正常建立VXLANoverIPSEC隧道.
当intra-switch-policy设置为implicit时(默认),成员之间在没有策略允许的情况下是可以相互访问的,并且可以通过switch-interface接口进行三层转发,但是FortiGate设备不维持成员之间的会话.
当intra-switch-policy设置为explicit时,成员之间在没有策略允许的情况下是不可以相互访问的,成员接口之间的策略允许后,FortiGate维护成员之间的会话,但是这种情况switch-interface就像是一个透明模式的vdom,只能进行二层转发.
0时间2017年5月作者王祥状态反馈support_cn@fortinet.
comVXLAN配置指导目录1应用场景.
32网络拓扑.
33版本说明.
34配置步骤.
44.
1FortiGateVXLAN配置.
44.
2UbuntuVXLAN配置.
65测试结果.
66注意事项.
7VXLAN配置指导1应用场景VXLANoverIPsec是一种layer2overlayer3技术解决方案,将二层数据报文封装在三层报文中,跨越中间的三层网络,实现两地二层数据的互通,从而将多个数据中心贯穿起来.
2网络拓扑需求说明:Ubuntu连接的PC2需要访问FGTA同一VXLANVNI节点的PC1,FGTB连接的PC3需要访问Ubuntu不同VXLANVNI节点的PC2.
3版本说明VXLAN在v5.
6及以上版本支持.
试验中使用FGT100E:FortiGate-100Ev5.
6.
0,build1449VXLAN配置指导4配置步骤4.
1FortiGateVXLAN配置FGTA作为VXLAN网关配置:①配置VXLANconfigsystemvxlanedit"vxlan1"setinterface"wan1"setvni10setremote-ip"192.
168.
90.
182"nextedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
158"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan1"nextend③配置VXLAN接口ip地址configsysteminterfaceedit"vxlan-sw"setip20.
20.
20.
1255.
255.
255.
0setallowaccesspinghttpshttpnextedit"vxlan2"setip30.
30.
30.
1255.
255.
255.
0setallowaccesspinghttpshttpnextend注意:vxlan2接口没有配置软件换,是因为没有需要通信的节点pc接口.
VXLAN配置指导④配置VXLANipv4策略configfirewallpolicyedit1setname"vxlan-sw-vxlan2"setsrcintf"vxlan-sw"setdstintf"vxlan2"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextedit2setname"vxlan2-vxlan-sw"setsrcintf"vxlan2"setdstintf"vxlan-sw"setsrcaddr"all"setdstaddr"all"setactionacceptsetschedule"always"setservice"ALL"nextendFGTB作为VXLAN节点配置:①配置VXLANconfigsystemvxlanedit"vxlan2"setinterface"wan1"setvni20setremote-ip"192.
168.
90.
181"nextend②配置软交换configsystemswitch-interfaceedit"vxlan-sw"setvdom"root"setmember"port1""vxlan2"nextendVXLAN配置指导③配置软交换接口ip地址configsysteminterfaceedit"vxlan-sw"setip30.
30.
30.
2255.
255.
255.
0setallowaccesspinghttpshttpnextend④软交换成员之间默认互通,不需要配置防火墙策略.
注意:PC3访问internet的网关在FGTB上,则默认网关配置为FGTB的软交换接口,但是PC3访问其他VXLANVNI节点的下一条在FGTA上,则需要在PC3上写一条细化路由.
4.
2UbuntuVXLAN配置Ubuntu配置如下:apt-getinstallopenvswitch-switchovs-vsctladd-brbr0ovs-vsctladd-brbr1ovs-vsctladd-portbr0eth0ifconfigeth00up&&ifconfigbr0192.
168.
90.
182/24upifconfigbr120.
0.
0.
101/24upovs-vsctladd-portbr1vxlan1--setinterfacevxlan1type=vxlanoptions:remote_ip=192.
168.
90.
181options:key=10routeadd–net30.
30.
30.
0/24gw20.
20.
20.
15测试结果同VXLANVNI或者不同VXLANVNI下的PC都能够正常访问,报文如下:VXLAN配置指导6注意事项①过VXLAN接口的报文不会进入NP加速.
FG100E4Q16003541#diagnosesyssessionlistsessioninfo:proto=1proto_state=00duration=367expire=59timeout=0flags=00000000sockflag=00000000sockport=0av_idx=0use=4origin-shaper=reply-shaper=per_ip_shaper=ha_id=0policy_dir=0tunnel=/vlan_cos=0/255state=may_dirtystatistic(bytes/packets/allow_err):org=20400/340/1reply=20460/341/1tuples=2txspeed(Bps/kbps):55/0rxspeed(Bps/kbps):55/0orgin->sink:orgpre->post,replypre->postdev=42->40/40->42gwy=20.
20.
20.
1/30.
30.
30.
101hook=predir=orgact=noop30.
30.
30.
101:15->20.
20.
20.
1:8(0.
0.
0.
0:0)hook=postdir=replyact=noop20.
20.
20.
1:15->30.
30.
30.
101:0(0.
0.
0.
0:0)misc=0policy_id=2auth_info=0chk_client_info=0vd=0serial=f6c7a5bftos=ff/ffapp_list=0app=0url_cat=0dd_type=0dd_mode=0npu_state=0x040000no_ofld_reason:non-npu-intf②FortiGate软交换switch-interface的成员策略有两种implicit和explicit,都能够给正常建立VXLANoverIPSEC隧道.
当intra-switch-policy设置为implicit时(默认),成员之间在没有策略允许的情况下是可以相互访问的,并且可以通过switch-interface接口进行三层转发,但是FortiGate设备不维持成员之间的会话.
当intra-switch-policy设置为explicit时,成员之间在没有策略允许的情况下是不可以相互访问的,成员接口之间的策略允许后,FortiGate维护成员之间的会话,但是这种情况switch-interface就像是一个透明模式的vdom,只能进行二层转发.
腾讯云轻量服务器两款低价年付套餐 2核4GB内存8M带宽 年74元
昨天,有在"阿里云秋季促销活动 轻量云服务器2G5M配置新购年60元"文章中记录到阿里云轻量服务器2GB内存、5M带宽一年60元的活动,当然这个也是国内机房的。我们很多人都清楚备案是需要接入的,如果我们在其他服务商的域名备案的,那是不能解析的。除非我们不是用来建站,而是用来云端的,是可以用的。这不看到其对手腾讯云也有推出两款轻量服务器活动。其中一款是4GB内存、8M带宽,这个比阿里云还要狠。这个真...
易探云:买香港/美国/国内云服务器送QQ音乐绿钻豪华版1年,价值180元
易探云产品限时秒杀&QQ音乐典藏活动正在进行中!购买易探云香港/美国云服务器送QQ音乐绿钻豪华版1年,价值180元,性价比超级高。目前,有四大核心福利产品推荐:福利一、香港云服务器1核1G2M,仅218元/年起(香港CN2线路,全球50ms以内);福利二、美国20G高防云服务器1核1G5M,仅336元/年起(美国BGP线路,自带20G防御);福利三、2G虚拟主机低至58.8元/年(更有免费...
VirMach:$7.2/年KVM-美元512MB/$7.2/年MB多个机房个机房可选_双线服务器租赁
Virmach对资源限制比较严格,建议查看TOS,自己做好限制,优点是稳定。 vCPU 内存 空间 流量 带宽 IPv4 价格 购买 1 512MB 15GB SSD 500GB 1Gbps 1 $7/VirMach:$7/年/512MB内存/15GB SSD空间/500GB流量/1Gbps端口/KVM/洛杉矶/西雅图/芝加哥/纽约等 发布于 5个月前 (01-05) VirMach,美国老牌、稳...
openv为你推荐
-
域名价格什么是域名的商业价值??企业虚拟主机购买虚拟主机要注意些什么?企业网站有什么好的虚拟主机推荐吗?vps国内VPS哪个好vps主机云主机和VPS主机之间有什么区别英文域名中文域名和英文域名有什么区别,越具体越好域名服务什么是域名服务?域名服务的主要作用是什么?个人虚拟主机个人网站该购买什么类型虚拟主机?网站空间商哪有好一点的网站空间商?欢迎友友们给我推荐下,虚拟主机服务商请问哪个服务商的虚拟主机比较好呀沈阳虚拟主机沈阳盘古网络技术有限公司的介绍