所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
CloudEngine 6800, 5800 V200R002C50 配置指南-业务链

本文档介绍了业务链的配置,具体包括业务链原理描述和SFC配置举例。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
VXLAN分布式网关场景下SFC配置举例

VXLAN分布式网关场景下SFC配置举例

组网需求

SFC可实现流量依次经过服务节点的功能,如图8-2所示的VXLAN分布式(BGP EVPN方式)网关组网图中,SwitchA和SwitchB是VXLAN网络的Leaf节点,SwitchC和出口网关之间路由可达。租户服务器和防火墙通过VLAN网络接入VXLAN,防火墙支持NSH。

现客户要求来自租户服务器的访问外网的流量先经过防火墙的处理,以保证业务转发的安全。采用SFC可以满足客户要求。
说明:

本例中interface1、interface2分别代表10GE1/0/1、10GE1/0/2。

图8-2 VXLAN分布式网关场景下SFC配置组网图
表8-2 接口的IP地址

设备

接口

IP地址

SwitchA

10GE1/0/1

192.168.2.1/24

LoopBack0

2.2.2.2/32

SwitchB

10GE1/0/1

192.168.3.1/24

LoopBack0

1.1.1.1/32

SwitchC

10GE1/0/1

192.168.2.2/24

10GE1/0/2

192.168.3.2/24

LoopBack0

3.3.3.3/32

配置思路

部署SFC可以根据如下配置思路:
  • 在分布式网关的Leaf节点上均使能SFC功能。

  • 在SwitchA上配置分类器SC,使匹配规则的流量进入业务链转发。

  • 在SwitchB上配置转发器SFF,定义流量要经过的下一跳IP地址。

操作步骤

  1. 配置VXLAN。详细配置内容请见配置文件。
  2. 配置SC。在SwitchA上使能SFC功能,并配置流分类nsh,匹配源IP地址是10.1.1.2,目的IP地址是30.1.1.1的报文。将流量重定向到业务链100中,SI为5。

    <HUAWEI> system-view
    [~HUAWEI] sysname SwitchA
    [*HUAWEI] commit
    [~SwitchA] service-chain enable
    [*SwitchA] commit
    [~SwitchA] service-chain service-path 100
    [*SwitchA-service-chain-100] service-index 5 next-hop sff vtep 1.1.1.1 vni 5010
    [*SwitchA-service-chain-100] commit
    [~SwitchA-service-chain-100] quit
    [~SwitchA] acl 3001
    [*SwitchA-acl4-advance-3001] rule permit ip source 10.1.1.2 24 destination 30.1.1.1 24
    [*SwitchA-acl4-advance-3001] commit
    [~SwitchA-acl4-advance-3001] quit
    [~SwitchA] traffic classifier nsh type and
    [*SwitchA-classifier-nsh] if-match acl 3001
    [*SwitchA-classifier-nsh] commit
    [~SwitchA-classifier-nsh] quit
    [~SwitchA] traffic behavior nsh_1
    [*SwitchA-behavior-nsh_1] redirect service-path 100 service-index 5
    [*SwitchA-behavior-nsh_1] commit
    [~SwitchA-behavior-nsh_1] quit
    [~SwitchA] traffic policy nsh_2
    [*SwitchA-trafficpolicy-nsh_2] classifier nsh behavior nsh_1
    [*SwitchA-trafficpolicy-nsh_2] commit
    [~SwitchA-trafficpolicy-nsh_2] quit
    [~SwitchA] interface vbdif 10
    [~SwitchA-Vbdif10] traffic-policy nsh_2 inbound
    [*SwitchA-Vbdif10] commit
    

  3. 配置SFF。在SwitchB上使能SFC功能,并配置下一跳为SF。注意业务链ID和SC上重定向的业务链ID相同。

    <HUAWEI> system-view
    [~HUAWEI] sysname SwitchB
    [*HUAWEI] commit
    [~SwitchB] service-chain enable
    [*SwitchB] commit
    [~SwitchB] service-chain service-path 100
    [*SwitchB-service-chain-100] service-index 5 next-hop sf remote-ip 20.1.1.2
    [*SwitchB-service-chain-100] service-index 4 path-terminal
    [*SwitchB-service-chain-100] commit

  4. 检查配置结果

    上述配置成功后,在SwitchB上执行命令display service-chain service-path [ path-id ],可以查看业务链配置信息。
    <SwitchB> display service-chain service-path 100
    SPI: ServicePathIndex    SI: ServiceIndex
    ServiceType: NA - NSH-aware, NUA - NSH-unaware
    NodeType: SF - Service Function, SFF - Service Function Forward, PS - Post Service
    Detailed ServicePath Information:
    ---------------------------------------------------------------------------------------------------------------------
    
         SPI     SI     RouteStatus     ServiceType     NodeType     NextHop              Vni     VpnInstance
    ---------------------------------------------------------------------------------------------------------------------
         100      5     Reachable       NA              SF           20.1.1.2            5010     --
         100      4     --              NUA             PS           --                     0     --

    配置完成后,流量可以经防火墙处理后转发到外网中。

配置文件

  • SwitchA的配置文件

    #
    sysname SwitchA
    #
    evpn-overlay enable
    #
    service-chain enable
    #
    ip vpn-instance nsh
     ipv4-family
      route-distinguisher 11:11
      vpn-target 1:1 export-extcommunity
      vpn-target 11:1 export-extcommunity evpn
      vpn-target 1:1 import-extcommunity
      vpn-target 11:1 import-extcommunity evpn
     vxlan vni 5010
    #
    service-chain service-path 100
     service-index 5 next-hop sff vtep 1.1.1.1 vni 5010
    #
    bridge-domain 10
     vxlan vni 10
     evpn 
      route-distinguisher 10:1
      vpn-target 10:1 export-extcommunity
      vpn-target 11:1 export-extcommunity
      vpn-target 10:1 import-extcommunity
    #
    acl number 3001
     rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 30.1.1.0 0.0.0.255
    #
    traffic classifier nsh type and
     if-match acl 3001
    #
    traffic behavior nsh_1
     redirect service-path 100 service-index 5 
    #
    traffic policy nsh_2
     classifier nsh behavior nsh_1 precedence 5
    #
    interface 10GE1/0/1
     undo portswitch
     ip address 192.168.2.1 255.255.255.0
    #
    interface 10GE1/0/2.1 mode l2
     encapsulation dot1q vid 10
     bridge-domain 10
    #
    interface Vbdif10
     ip binding vpn-instance nsh
     ip address 10.1.1.1 255.255.255.0
     vxlan anycast-gateway enable
     arp collect host enable
     traffic-policy nsh_2 inbound 
    #
    interface LoopBack0
     ip address 2.2.2.2 255.255.255.255
    #
    interface Nve1
     source 2.2.2.2
     vni 10 head-end peer-list protocol bgp
    #
    bgp 200
     peer 192.168.2.2 as-number 100
     #
     ipv4-family unicast
      network 2.2.2.2 255.255.255.255
      peer 192.168.2.2 enable
    #
    bgp 100 instance evpn1
     peer 3.3.3.3 as-number 100
     peer 3.3.3.3 connect-interface LoopBack0
     #
     l2vpn-family evpn
      policy vpn-target
      peer 3.3.3.3 enable
      peer 3.3.3.3 advertise irb
    #
    return
  • SwitchB的配置文件

    #
    sysname SwitchB
    #
    evpn-overlay enable
    #
    service-chain enable
    #
    ip vpn-instance nsh
     ipv4-family
      route-distinguisher 22:22
      vpn-target 2:2 export-extcommunity
      vpn-target 11:1 export-extcommunity evpn
      vpn-target 2:2 import-extcommunity
      vpn-target 11:1 import-extcommunity evpn
     vxlan vni 5010
    #
    service-chain service-path 100
     service-index 5 next-hop sf remote-ip 20.1.1.2
     service-index 4 path-terminal
    #
    bridge-domain 20
     vxlan vni 20
     evpn 
      route-distinguisher 20:1
      vpn-target 20:1 export-extcommunity
      vpn-target 11:1 export-extcommunity
      vpn-target 20:1 import-extcommunity
    #
    interface 10GE1/0/1
     undo portswitch
     ip address 192.168.3.1 255.255.255.0
    #
    interface 10GE1/0/2.1 mode l2
     encapsulation dot1q vid 10
     bridge-domain 20
    #
    interface Vbdif20
     ip binding vpn-instance nsh
     ip address 20.1.1.1 255.255.255.0
     vxlan anycast-gateway enable
     arp collect host enable
    #
    interface LoopBack0
     ip address 1.1.1.1 255.255.255.255
    #
    interface Nve1
     source 1.1.1.1
     vni 20 head-end peer-list protocol bgp
    #
    bgp 300
     peer 192.168.3.2 as-number 100
     #
     ipv4-family unicast
      network 1.1.1.1 255.255.255.255
      peer 192.168.3.2 enable
    #
    bgp 100 instance evpn1
     peer 3.3.3.3 as-number 100
     peer 3.3.3.3 connect-interface LoopBack0
     #
     l2vpn-family evpn
      policy vpn-target
      peer 3.3.3.3 enable
      peer 3.3.3.3 advertise irb
    #
    return
  • SwitchC的配置文件
    #
    sysname SwitchC
    #
    evpn-overlay enable
    #
    interface 10GE1/0/1
     undo portswitch
     ip address 192.168.2.2 255.255.255.0
    #
    interface 10GE1/0/2
     undo portswitch
     ip address 192.168.3.2 255.255.255.0
    #
    interface LoopBack0
     ip address 3.3.3.3 255.255.255.255
    #
    bgp 100
     peer 192.168.2.1 as-number 200
     peer 192.168.3.1 as-number 300
     #
     ipv4-family unicast
      network 3.3.3.3 255.255.255.255
      peer 192.168.2.1 enable
      peer 192.168.3.1 enable
    #
    bgp 100 instance evpn1
     peer 2.2.2.2 as-number 100
     peer 2.2.2.2 connect-interface LoopBack0
     peer 1.1.1.1 as-number 100
     peer 1.1.1.1 connect-interface LoopBack0
     #
     l2vpn-family evpn
      undo policy vpn-target
      peer 2.2.2.2 enable
      peer 2.2.2.2 advertise irb
      peer 2.2.2.2 reflect-client
      peer 1.1.1.1 enable
      peer 1.1.1.1 advertise irb
      peer 1.1.1.1 reflect-client
    #
    return
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166620

浏览量:4975

下载量:219

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页