- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-OVSDB-VTEP命令
本章节下载: 03-OVSDB-VTEP命令 (174.47 KB)
ovsdb server bootstrap ca-certificate命令用来指定与控制器进行SSL通信时使用的CA证书文件。
undo ovsdb server bootstrap ca-certificate命令用来恢复缺省情况。
【命令】
ovsdb server bootstrap ca-certificate ca-filename
undo ovsdb server bootstrap ca-certificate
【缺省情况】
与控制器进行SSL通信时使用PKI域中的CA证书文件。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ca-filename:表示与控制器进行SSL通信时使用的CA证书文件名称,不区分大小写,文件名称中不允许出现slot字样。只允许使用主用主控板的CA证书文件。
【使用指导】
通过本命令指定与控制器进行SSL通信使用的CA证书文件时,如果已经开启了OVSDB服务器,则该配置不会生效。只有关闭并重新开启OVSDB服务器后,该配置才会生效。
本命令指定的只能是主用主控板中的CA证书文件。如果指定的文件存在,直接使用。否则,使用开启OVSDB服务器时通过SSL连接获取的自签名证书,并通过本命令指定证书文件名。
执行本命令后,优先使用本命令指定的CA证书文件,不使用PKI域中的CA证书。
【举例】
# 指定与控制器进行SSL通信时使用的CA证书文件为ca-new。
<Sysname> system-view
[Sysname] ovsdb server bootstrap ca-certificate ca-new
【相关命令】
· ovsdb server enable
· ovsdb server pki domain
· ovsdb server pssl
· ovsdb server ssl
ovsdb server enable命令用来开启OVSDB服务器。
undo ovsdb server enable命令用来关闭OVSDB服务器。
【命令】
ovsdb server enable
undo ovsdb server enable
【缺省情况】
OVSDB服务器处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启OVSDB服务器后,OVSDB服务器可以与控制器建立连接,接收控制器通过OVSDB控制协议发送的数据,并保存到本地OVSDB数据库中,从而实现控制器对VTEP设备进行VXLAN相关配置。
为了保证OVSDB服务器能够与控制器建立连接,在开启OVSDB服务器前,必须先配置至少一条与控制器的连接。
【举例】
# 开启OVSDB服务器。
<Sysname> system-view
[Sysname] ovsdb server enable
ovsdb server pki domain命令用来指定与控制器进行SSL通信时使用的PKI域。
undo ovsdb bootstrap server pki domain命令用来恢复缺省情况。
【命令】
ovsdb server pki domain domain-name
undo ovsdb server pki domain
【缺省情况】
未指定与控制器进行SSL通信时使用的PKI域。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
domain-name:表示与控制器进行SSL通信时使用的PKI域名称,为1~31个字符的字符串,区分大小写。指定的PKI域必须存在,并且PKI域中包含完整的证书和密钥。PKI域的详细介绍,请参见“安全配置指导”中的“PKI”。
【使用指导】
与控制器进行SSL通信时需通过本命令指定PKI域。
通过本命令指定与控制器进行SSL通信时使用的PKI域时,如果已经开启了OVSDB服务器,则该配置不会生效。只有关闭并重新开启OVSDB服务器后,该配置才会生效。
【举例】
# 指定与控制器进行SSL通信时使用的PKI域为ovsdb_test。
<Sysname> system-view
[Sysname] ovsdb server pki domain ovsdb_test
【相关命令】
· ovsdb server bootstrap ca-certificate
· ovsdb server enable
· ovsdb server pssl
· ovsdb server ssl
ovsdb server pssl命令用来配置与控制器建立被动SSL连接。
undo ovsdb server pssl命令用来恢复缺省情况。
【命令】
ovsdb server pssl [ port port-number ]
undo ovsdb server pssl
【缺省情况】
不会与控制器建立被动SSL连接。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
port port-number:指定与控制器建立SSL连接的端口号,OVSDB服务器监听该端口上的SSL连接请求。port-number取值范围为1~65535。如果不指定本参数,则监听6640端口。
【使用指导】
配置与控制器建立被动SSL连接前,需先指定SSL通信中使用的PKI域。
通过本命令配置与控制器建立被动SSL连接时,如果已经开启了OVSDB服务器,则该配置不会生效。只有关闭并重新开启OVSDB服务器后,该配置才会生效。
只能配置一个OVSDB服务器监听的SSL连接端口号。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置与控制器建立被动SSL连接,监听端口号采用默认端口号。
<Sysname> system-view
[Sysname] ovsdb server pssl
【相关命令】
· ovsdb server bootstrap ca-certificate
· ovsdb server enable
· ovsdb server pki domain
· ovsdb server ssl
ovsdb server ptcp命令用来配置与控制器建立被动TCP连接。
undo ovsdb server ptcp命令用来恢复缺省情况。
【命令】
ovsdb server ptcp [ port port-number ]
undo ovsdb server ptcp
【缺省情况】
不会与控制器建立被动TCP连接。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
port port-number:指定与控制器建立TCP连接的监听端口号,取值范围为1~65535,如果不指定本参数,则监听6640端口。
【使用指导】
通过本命令配置与控制器建立被动TCP连接时,如果已经开启了OVSDB服务器,则该配置不会生效。只有关闭并重新开启OVSDB服务器后,该配置才会生效。
只能配置一个OVSDB服务器监听的TCP连接端口号。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置与控制器建立被动TCP连接,监听端口号采用默认端口号。
<Sysname> system-view
[Sysname] ovsdb server ptcp
【相关命令】
· ovsdb server enable
· ovsdb server tcp
ovsdb server ssl命令用来配置与控制器建立主动SSL连接。
undo ovsdb server ssl命令用来删除指定的主动SSL连接。
【命令】
ovsdb server ssl ip ip-address port port-number
undo ovsdb server ssl ip ip-address port port-number
【缺省情况】
不会与控制器建立主动SSL连接。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ssl ip-address:指定SSL连接的目的IP地址。
port port-number:指定SSL连接的目的端口号,取值范围为1~65535。
【使用指导】
配置与控制器建立主动SSL连接前,需先指定SSL通信中使用的PKI域。
通过本命令配置与控制器建立主动SSL连接时,如果已经开启了OVSDB服务器,则该配置不会生效。只有关闭并重新开启OVSDB服务器后,该配置才会生效。
OVSDB服务器最多只能配置8个与控制器的SSL主动连接。
【举例】
# 配置与控制器建立主动SSL连接,指定目的IP地址为192.168.12.2、目的端口号为6632。
<Sysname> system-view
[Sysname] ovsdb server ssl ip 192.168.12.2 port 6632
【相关命令】
· ovsdb server bootstrap ca-certificate
· ovsdb server enable
· ovsdb server pki domain
· ovsdb server pssl
ovsdb server tcp命令用来配置与控制器建立主动TCP连接。
undo ovsdb server tcp命令用来删除指定的主动TCP连接。
【命令】
ovsdb server tcp ip ip-address port port-number
undo ovsdb server tcp ip ip-address port port-number
【缺省情况】
不会与控制器建立主动TCP连接。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip ip-address:指定TCP连接的目的IP地址。
port port-number:指定TCP连接的目的端口号。
【使用指导】
通过本命令配置与控制器建立主动TCP连接时,如果已经开启了OVSDB服务器,则该配置不会生效。只有关闭并重新开启OVSDB服务器后,该配置才会生效。
OVSDB服务器最多只能配置8个与控制器的TCP主动连接。
【举例】
# 配置与控制器建立主动TCP连接,指定目的IP地址为192.168.12.2、目的端口号为6632。
<Sysname> system-view
[Sysname] ovsdb server tcp ip 192.168.12.2 port 6632
【相关命令】
· ovsdb server enable
· ovsdb server ptcp
vtep access port命令用来指定当前接口为用户侧的接入端口。
undo vtep access port命令用来恢复缺省情况。
【命令】
vtep access port
undo vtep access port
【缺省情况】
当前接口不是用户侧的接入端口。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
只有将接口配置为用户侧的接入端口后,控制器上才能够显示该端口并对其进行控制。
【举例】
# 指定二层以太网接口Twenty-FiveGigE1/0/1为用户侧的接入端口。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] vtep access port
vtep acl disable命令用来禁止控制器下发的ACL在VTEP上生效。
undo vtep acl disable命令用来恢复缺省情况。
【命令】
vtep acl disable
undo vtep acl disable
【缺省情况】
控制器下发的ACL在VTEP上生效。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
配置本命令前,需要先执行vtep enable命令开启OVSDB VTEP服务。
在OVSDB-VTEP组网中,控制器通过OVSDB控制协议下发ACL到VTEP,占用VTEP上的ACL资源。通过配置本命令,用户可以禁止控制器下发的ACL在VTEP上生效,以便节约设备上的ACL资源。
在执行vtep acl disable命令禁止控制器下发的ACL在VTEP上生效后,可以通过执行undo vtep acl disable命令使控制器下发的ACL重新生效。
【举例】
# 配置禁止控制器下发的ACL在VTEP上生效。
<Sysname> system-view
[Sysname] vtep enable
[sysname] vtep acl disable
【相关命令】
· vtep enable
vtep enable命令用来开启OVSDB VTEP服务。
undo vtep enable命令用来关闭OVSDB VTEP服务。
【命令】
vtep enable
undo vtep enable
【缺省情况】
OVSDB VTEP服务处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【举例】
# 开启设备的OVSDB VTEP服务。
<Sysname> system-view
[Sysname] vtep enable
vxlan tunnel flooding-proxy命令用来开启组播隧道泛洪代理功能。
undo vxlan tunnel flooding-proxy命令用来关闭组播隧道泛洪代理功能。
【命令】
vxlan tunnel flooding-proxy
undo vxlan tunnel flooding-proxy
【缺省情况】
组播隧道泛洪代理功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
目前,仅采用VMware的NSX控制器作为OVSDB控制器时,设备支持组播隧道泛洪代理功能。
开启组播隧道泛洪代理功能后,系统会将控制器下发的组播隧道转换为具有泛洪代理功能的隧道。VXLAN内的广播、组播和未知单播流量将通过具有泛洪代理功能的隧道发送到泛洪代理服务器,由代理服务器进行复制并转发到其他远端VTEP。
在VTEP上开启组播隧道泛洪代理功能后,若控制器下发VSI配置,则系统会自动关闭所有VSI下的ARP泛洪抑制功能,否则所有VSI下的ARP泛洪抑制功能状态保持不变。
若VTEP上未开启组播隧道泛洪代理功能,则不论控制器是否下发VSI配置,VSI下的ARP泛洪抑制功能状态保持不变。
采用泛洪代理(服务器复制)方式转发站点间的泛洪流量时,必须开启该功能。
执行undo vxlan tunnel flooding-proxy命令,不会改变已有隧道的泛洪代理模式。
【举例】
# 开启组播隧道泛洪代理功能。
<Sysname> system
[Sysname] vxlan tunnel flooding-proxy
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
