所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
CloudEngine 6800, 5800 V200R002C50 配置指南-业务链

本文档介绍了业务链的配置,具体包括业务链原理描述和SFC配置举例。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
VXLAN集中式网关场景下SFC配置举例

VXLAN集中式网关场景下SFC配置举例

组网需求

SFC可实现流量依次经过服务节点的功能,如图8-1所示的VXLAN集中式(BGP EVPN方式)网关组网图中,SwitchA和SwitchB是VXLAN网络的Leaf节点,SwitchC和出口网关之间路由可达。租户服务器和防火墙通过VLAN网络接入VXLAN,防火墙支持NSH。

现客户要求来自租户服务器的访问外网的流量先经过防火墙的处理,以保证业务转发的安全。采用SFC可以满足客户要求。
说明:

本例中interface1、interface2分别代表10GE1/0/1、10GE1/0/2。

图8-1 VXLAN集中式网关场景下SFC配置组网图
表8-1 接口的IP地址

设备

接口

IP地址

SwitchA

10GE1/0/1

192.168.1.1/24

LoopBack0

2.2.2.2/32

SwitchB

10GE1/0/1

192.168.2.2/24

LoopBack0

4.4.4.4/32

SwitchC

10GE1/0/1

192.168.1.2/24

10GE1/0/2

192.168.2.1/24

LoopBack0

3.3.3.3/32

配置思路

部署SFC可以根据如下配置思路:
  • 在SwitchC上使能SFC功能。

  • 在SwitchC上配置分类器SC,使匹配规则的流量进入业务链转发。

  • 在SwitchC上配置转发器SFF,定义流量要经过的下一跳IP地址。

操作步骤

  1. 配置VXLAN。详细配置内容请见配置文件。
  2. 在SwitchC上使能SFC功能。

    <HUAWEI> system-view
    [~HUAWEI] sysname SwitchC
    [*HUAWEI] commit
    [~SwitchC] service-chain enable
    [*SwitchC] commit
    

  3. 在SwitchC上配置业务链下一跳节点类型为SF。配置流分类nsh,匹配源IP地址是192.168.10.1,目的IP地址是30.1.1.1的报文。将流量重定向到业务链100中,SI为5,并配置终结SI值为4。

    [~SwitchC] service-chain service-path 100
    [*SwitchC-service-chain-100] service-index 5 next-hop sf remote-ip 192.168.20.1
    [*SwitchC-service-chain-100] service-index 4 path-terminal
    [*SwitchC-service-chain-100] commit
    [~SwitchC-service-chain-100] quit
    [~SwitchC] acl 3001
    [*SwitchC-acl4-advance-3001] rule permit ip source 192.168.10.1 24 destination 30.1.1.1 24
    [*SwitchC-acl4-advance-3001] commit
    [~SwitchC-acl4-advance-3001] quit
    [~SwitchC] traffic classifier nsh type and
    [*SwitchC-classifier-nsh] if-match vxlan acl 3001
    [*SwitchC-classifier-nsh] commit
    [~SwitchC-classifier-nsh] quit
    [~SwitchC] traffic behavior nsh_1
    [*SwitchC-behavior-nsh_1] redirect service-path 100 service-index 5
    [*SwitchC-behavior-nsh_1] commit
    [~SwitchC-behavior-nsh_1] quit
    [~SwitchC] traffic policy nsh_2
    [*SwitchC-trafficpolicy-nsh_2] classifier nsh behavior nsh_1
    [*SwitchC-trafficpolicy-nsh_2] commit
    [~SwitchC-trafficpolicy-nsh_2] quit
    [~SwitchC] interface vbdif 10
    [~SwitchC-Vbdif10] traffic-policy nsh_2 inbound
    [*SwitchC-Vbdif10] commit

  4. 检查配置结果

    上述配置成功后,在SwitchC上执行命令display service-chain service-path [ path-id ],可以查看业务链配置信息。
    <SwitchC> display service-chain service-path 100
    SPI: ServicePathIndex    SI: ServiceIndex
    ServiceType: NA - NSH-aware, NUA - NSH-unaware
    NodeType: SF - Service Funtion, SFF - Service Funtion Forward, PS - Post Service
    Detailed ServicePath Information:
    ---------------------------------------------------------------------------------------------------------------------
    
         SPI     SI     RouteStatus     ServiceType     NodeType     NextHop              Vni     VpnInstance
    ---------------------------------------------------------------------------------------------------------------------
         100      5     Reachable       NA              SF           192.168.20.1        5020     --
         100      4     --              NUA             PS           --                     0     --

    配置完成后,流量可以经防火墙处理后转发到外网中。

配置文件

  • SwitchA的配置文件

    #
    sysname SwitchA
    #
    evpn-overlay enable
    #
    bridge-domain 10
     vxlan vni 5010
     evpn
      route-distinguisher 11:1
      vpn-target 1:1 export-extcommunity
      vpn-target 1:1 import-extcommunity
    #
    bridge-domain 20
     vxlan vni 5020
     evpn
      route-distinguisher 12:1
      vpn-target 2:2 export-extcommunity
      vpn-target 2:2 import-extcommunity
    #
    interface 10GE1/0/1
     undo portswitch
     ip address 192.168.1.1 255.255.255.0
    #
    interface 10GE1/0/2.1 mode l2
     encapsulation dot1q vid 10
     bridge-domain 10
    #
    interface 10GE1/0/3.1 mode l2
     encapsulation dot1q vid 30
     bridge-domain 20
    #
    interface LoopBack1
     ip address 2.2.2.2 255.255.255.255
    #
    interface Nve1
     source 2.2.2.2
     vni 5010 head-end peer-list protocol bgp
     vni 5020 head-end peer-list protocol bgp
    #
    bgp 100 instance evpn1
     peer 3.3.3.3 as-number 100
     peer 3.3.3.3 connect-interface LoopBack1
     peer 4.4.4.4 as-number 100
     peer 4.4.4.4 connect-interface LoopBack1
     #
     l2vpn-family evpn
      policy vpn-target
      peer 3.3.3.3 enable
      peer 4.4.4.4 enable
    #
    ospf 1
     area 0.0.0.0
      network 2.2.2.2 0.0.0.0
      network 192.168.1.0 0.0.0.255
    #
    return
  • SwitchB的配置文件

    #
    sysname SwitchB
    #
    evpn-overlay enable
    #
    bridge-domain 20
     vxlan vni 5020
     evpn
      route-distinguisher 31:2
      vpn-target 2:2 export-extcommunity
      vpn-target 2:2 import-extcommunity
    #
    interface 10GE1/0/1
     undo portswitch
     ip address 192.168.2.2 255.255.255.0
    #
    interface 10GE1/0/2.1 mode l2
     encapsulation dot1q vid 20
     bridge-domain 20
    #
    interface LoopBack1
     ip address 4.4.4.4 255.255.255.255
    #
    interface Nve1
     source 4.4.4.4
     vni 5020 head-end peer-list protocol bgp
    #
    bgp 100 instance evpn1
     peer 2.2.2.2 as-number 100
     peer 2.2.2.2 connect-interface LoopBack1
     peer 3.3.3.3 as-number 100
     peer 3.3.3.3 connect-interface LoopBack1
     #
     l2vpn-family evpn
      policy vpn-target
      peer 2.2.2.2 enable
      peer 3.3.3.3 enable
    #
    ospf 1
     area 0.0.0.0
      network 4.4.4.4 0.0.0.0
      network 192.168.2.0 0.0.0.255
    #
    return
  • SwitchC的配置文件
    #
    sysname SwitchC
    #
    evpn-overlay enable
    #
    service-chain enable
    #
    service-chain service-path 100
     service-index 5 next-hop sf remote-ip 192.168.20.1
     service-index 4 path-terminal
    #
    bridge-domain 10
     vxlan vni 5010
     evpn
      route-distinguisher 21:1
      vpn-target 1:1 export-extcommunity
      vpn-target 1:1 import-extcommunity
    #
    bridge-domain 20
     vxlan vni 5020
     evpn
      route-distinguisher 23:1
      vpn-target 2:2 export-extcommunity
      vpn-target 2:2 import-extcommunity
    #
    acl number 3001
     rule 5 permit ip source 192.168.10.1 0.0.0.255 destination 30.1.1.1 0.0.0.255
    #
    traffic classifier nsh type and
     if-match vxlan acl 3001
    #
    traffic behavior nsh_1
     redirect service-path 100 service-index 5 
    #
    traffic policy nsh_2
     classifier nsh behavior nsh_1 precedence 5
    #
    interface Vbdif10
     ip address 192.168.10.10 255.255.255.0
     traffic-policy nsh_2 inbound 
    #
    interface Vbdif20
     ip address 192.168.20.10 255.255.255.0
    #
    interface 10GE1/0/1
     undo portswitch
     ip address 192.168.1.2 255.255.255.0
    #
    interface 10GE1/0/2
     undo portswitch
     ip address 192.168.2.1 255.255.255.0
    #
    interface LoopBack1
     ip address 3.3.3.3 255.255.255.255
    #
    interface Nve1
     source 3.3.3.3
     vni 5010 head-end peer-list protocol bgp
     vni 5020 head-end peer-list protocol bgp
    #
    bgp 100 instance evpn1
     peer 2.2.2.2 as-number 100
     peer 2.2.2.2 connect-interface LoopBack1
     peer 4.4.4.4 as-number 100
     peer 4.4.4.4 connect-interface LoopBack1
     #
     l2vpn-family evpn
      policy vpn-target
      peer 2.2.2.2 enable
      peer 4.4.4.4 enable
    #
    ospf 1
     area 0.0.0.0
      network 3.3.3.3 0.0.0.0
      network 192.168.1.0 0.0.0.255
      network 192.168.2.0 0.0.0.255
    #
    return
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166620

浏览量:4907

下载量:219

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页