Overlay网络规划
虚拟网络和Overlay拓扑规划
随着用户业务的不断细化和安全需求的提高,很多情况下用户网络需要划分成多个部门,不同部门用户间的业务需要完全隔离。EVPN互联方案通过构建虚拟网络VN(Virtual Network)实现单租户多部门间的业务隔离。每个VN是一个独立的IP三层私有网络,彼此间逻辑隔离,互相无法直接访问。
企业的多个部门隔离,就是针对每个部门分别规划定义一个VN。每个VN可以拥有独立的Overlay拓扑,支持Hub-Spoke、Full-Mesh、Partial-Mesh和分层拓扑。需要做业务隔离的站点分别加入不同的VN,这些站点的LAN侧配置、流量策略和安全策略都是基于不同VN配置的,不同的VN可以配置不同的策略。
如果企业不需要配置部门隔离,则只需要一个VN,将所有站点加入VN,构建一个Overlay拓扑即可,本举例采用单VN方式说明如何构建站点间的Overlay网络。
参数 |
数据 |
|---|---|
VN名称 |
VN-test |
IPsec加密 |
使能 |
站点名称 |
Hub_1、Hub_2、Site_1、Site_2、Site_3 |
WAN互联 |
使能 |
拓扑 |
预定义拓扑 |
模式 |
简单模式 |
拓扑模式 |
Hub-Spoke |
中心站点 |
Hub_1、Hub_2 其中Hub_1为主,Hub_2为备。 |
分支站点 |
Site_1、Site_2、Site_3 |
LAN-WAN互联口规划
分支站点的出口AR作为LAN侧设备的管理网关,需要在出口AR上单独规划LAN侧设备的管理VLAN和IP地址,并配置DHCP Server和Option148参数,用于LAN侧设备开局。
参数 |
数据 |
||||
|---|---|---|---|---|---|
VN |
VN-test |
||||
站点 |
Site_1 |
Site_2 |
Site_3 |
||
互联模式 |
高级模式 |
高级模式 |
高级模式 |
||
网关 |
AR651_1 |
AR651_2 |
AR651_3 |
AR651_4 |
|
网关接口 |
L2 |
L2 |
L2 |
L2 |
|
VLAN ID |
101 |
102 |
103 |
103 |
|
接口 |
GE0/0/2 |
GE0/0/2 |
GE0/0/2 |
GE0/0/2 |
|
模式 |
Untag |
Untag |
Untag |
Untag |
|
IP地址 |
192.168.11.1/24 |
192.168.2.1/24 |
192.168.3.2/24 |
192.168.3.3/24 |
|
信任模式 |
信任 |
信任 |
信任 |
信任 |
|
高级属性 |
从IP地址 |
- |
|||
DHCP |
使能 |
||||
DHCP类型 |
Server |
||||
选项 |
[148]云平台地址 |
||||
值 |
agilemode=agile-cloud;agilemanage-mode=ip;agilemanage-domain=10.1.1.1;agilemanage-port=10020 |
||||
DNS server |
使能 |
||||
VRRP |
- |
- |
使能 |
使能 |
|
VRRP ID |
- |
- |
1 |
1 |
|
虚拟IP |
- |
- |
192.168.3.1 |
192.168.3.1 |
|
默认角色 |
- |
- |
Master |
Backup |
|
抢占延迟(s) |
- |
- |
30 |
0 |
|
Track |
不使能 |
不使能 |
不使能 |
不使能 |
|
ARP代理 |
不使能 |
不使能 |
不使能 |
不使能 |
|
MTU |
1500 |
1500 |
1500 |
1500 |
|
MSS |
1200 |
1200 |
1200 |
1200 |
|
分支站点的出口AR作为LAN侧业务的用户网关,还需要在出口AR上为互联的业务规划对应的VLAN和IP地址等。本举例中的规划如表5-15所示。
参数 |
数据 |
||||
|---|---|---|---|---|---|
VN |
VN-test |
||||
站点 |
Site_1 |
Site_2 |
Site_3 |
||
互联模式 |
高级模式 |
高级模式 |
高级模式 |
||
网关 |
AR651_1 |
AR651_2 |
AR651_3 |
AR651_4 |
|
网关接口 |
L2 |
L2 |
L2 |
L2 |
|
VLAN ID |
203 |
204 |
205 |
205 |
|
接口 |
GE0/0/2 |
GE0/0/2 |
GE0/0/2 |
GE0/0/2 |
|
模式 |
Tag |
Tag |
Tag |
Tag |
|
IP地址 |
192.168.6.1/24 |
192.168.7.1/24 |
192.168.8.2/24 |
192.168.8.3/24 |
|
信任模式 |
信任 |
信任 |
信任 |
信任 |
|
高级属性 |
DHCP |
使能 |
使能 |
使能 |
使能 |
DHCP类型 |
Server |
Server |
Server |
Server |
|
DNS server |
使能 |
使能 |
使能 |
使能 |
|
VRRP |
- |
- |
使能 |
使能 |
|
VRRP ID |
- |
- |
1 |
1 |
|
虚拟IP |
- |
- |
192.168.8.1 |
192.168.8.1 |
|
默认角色 |
- |
- |
Master |
Backup |
|
抢占延迟(s) |
- |
- |
30 |
0 |
|
ARP代理 |
不使能 |
不使能 |
不使能 |
不使能 |
|
MTU |
1500 |
1500 |
1500 |
1500 |
|
MSS |
1200 |
1200 |
1200 |
1200 |
|
总部站点内LAN侧为三层网络,需要在出口AR上配置LAN侧的互联口信息,如表5-16所示。
参数 |
数据 |
|||
|---|---|---|---|---|
VN |
VN-test |
|||
站点 |
Hub_1 |
Hub_2 |
||
互联模式 |
高级模式 |
高级模式 |
||
网关 |
AR6280_1 |
AR6280_2 |
AR6280_3 |
AR6280_4 |
网关接口 |
L3 |
L3 |
L3 |
L3 |
接口 |
GE0/0/2 |
GE0/0/2 |
GE0/0/2 |
GE0/0/2 |
子接口 |
使能 |
使能 |
使能 |
使能 |
VLAN ID |
301 |
302 |
303 |
304 |
IP地址 |
192.168.4.1/24 |
192.168.5.1/24 |
192.168.9.1/24 |
192.168.10.1/24 |
信任模式 |
信任 |
信任 |
信任 |
信任 |
高级属性 |
不配置 |
不配置 |
不配置 |
不配置 |
LAN-WAN互通路由规划
总部站点内LAN侧为三层网络的场景下,为了使各站点的出口设备和LAN侧三层网络互通,需要配置LAN-WAN互通路由(Overlay LAN侧路由),LAN侧的业务才可以正常运行。
参数 |
数据 |
||||
|---|---|---|---|---|---|
VN |
VN-test |
||||
站点 |
Hub_1 |
Hub_2 |
|||
路由类型 |
BGP |
BGP |
|||
设备 |
AR6280_1 |
AR6280_2 |
AR6280_3 |
AR6280_4 |
|
高级选项 |
外部优先级 |
30 |
|||
默认路由引入 |
开启 |
||||
路由引入 |
Direct、Static |
||||
聚合路由 |
- |
||||
对端IP |
192.168.4.2 |
192.168.5.2 |
192.168.9.2 |
192.168.10.2 |
|
对端AS |
100 |
100 |
300 |
300 |
|
本地AS |
200 |
200 |
400 |
400 |
|
存活时间(秒) |
- |
- |
- |
- |
|
保持时间(秒) |
- |
- |
- |
- |
|
MD5加密 |
关闭 |
关闭 |
关闭 |
关闭 |
|
总部站点LAN侧的核心设备与AR之间的互通路由需要对应在核心设备上本地配置,本举例中不再详细说明。
