03-OVSDB-VTEP配置
本章节下载: 03-OVSDB-VTEP配置 (354.10 KB)
目 录
OVSDB(Open vSwitch Database,开源虚拟交换机数据库)控制协议用来实现NVC(Network Virtualization Controller,网络虚拟化控制器)对网络中VTEP设备的管理和部署。
如图1-1所示,VTEP设备上维护OVSDB数据库,VXLAN相关配置以表项的形式保存在该数据库中。控制器与VTEP设备上的OVSDB服务器建立连接,二者采用OVSDB控制协议进行交互并操作OVSDB数据库中的数据。OVSDB VTEP服务从OVSDB服务器获取数据库中的数据,将其转变为VXLAN相关配置(例如创建或删除VXLAN、创建或删除VXLAN隧道)下发到设备上。同时,OVSDB VTEP服务也会通过OVSDB服务器,将本地的用户侧接入端口和VXLAN隧道全局源地址信息添加到数据库中,并上报给控制器。
与OVSDB相关的协议规范有:
· RFC 7047:The Open vSwitch Database Management Protocol
用户可以同时通过命令行和控制器配置VTEP设备。建议不要在VTEP设备上通过命令行删除控制器下发的配置。
要实现控制器对VTEP设备的部署,需要在VTEP设备上进行如下配置:
(2) 开启OVSDB服务器
(3) 开启OVSDB VTEP服务
(4) 配置VXLAN隧道的全局源地址
(5) 指定用户侧的接入端口
(6) 开启组播隧道泛洪代理功能
采用泛洪代理(服务器复制)方式转发站点间的泛洪流量时,必须执行本配置。
(7) (可选)开启禁止控制器下发的ACL在VTEP上生效功能
在进行OVSDB-VTEP相关配置前,需要首先通过l2vpn enable命令开启L2VPN功能。
如果OVSDB服务器与控制器之间建立SSL连接,则还需要完成SSL相关配置,详细配置方法请参见“安全配置指导”中的“SSL”。
OVSDB服务器和控制器之间可以建立多种类型的OVSDB连接,设备支持的OVSDB连接类型包括:
· 主动SSL连接:OVSDB服务器主动向控制器发起SSL连接。
· 被动SSL连接:OVSDB服务器监听并接收来自控制器的SSL连接请求。
· 主动TCP连接:OVSDB服务器主动向控制器发起TCP连接。
· 被动TCP连接:OVSDB服务器监听并接收来自控制器的TCP连接请求。
配置OVSDB服务器与控制器建立OVSDB连接时,需要注意:
· OVSDB服务器支持同时与多个控制器建立连接,且支持同时建立多种类型的连接。
· 在开启OVSDB服务器之前,必须先建立OVSDB连接。如果在开启OVSDB服务器之后修改OVSDB连接,那么需要关闭OVSDB服务器后再重新开启,新的连接配置才能生效。
· 所有SSL连接,包括主动SSL连接和被动SSL连接,需要使用相同的PKI域和CA证书文件。
OVSDB服务器与控制器主动SSL连接和被动SSL连接前,需要先创建PKI域,具体方法请参见“安全配置指导”中的“PKI”。
(1) 进入系统视图。
system-view
(2) 指定与控制器进行SSL通信时使用的PKI域。
ovsdb server pki domain domain-name
缺省情况下,未指定与控制器进行SSL通信时使用的PKI域。
(3) (可选)设置SSL通信时使用的CA证书文件。
ovsdb server bootstrap ca-certificate ca-filename
缺省情况下,与控制器进行SSL通信时使用PKI域中的CA证书文件。
如果指定的CA证书文件不存在,则使用开启OVSDB服务器时通过SSL连接获取的自签名证书,并通过本命令指定证书文件名。
(4) 与控制器建立主动SSL连接。
ovsdb server ssl ip ip-address port port-number
缺省情况下,不会与控制器建立主动SSL连接。
OVSDB服务器最多可以同时与8个控制器建立主动SSL连接。
(1) 进入系统视图。
system-view
(2) 指定与控制器进行SSL通信时使用的PKI域。
ovsdb server pki domain domain-name
缺省情况下,未指定与控制器进行SSL通信时使用的PKI域。
(3) (可选)设置SSL通信时使用的CA证书文件。
ovsdb server bootstrap ca-certificate ca-filename
缺省情况下,与控制器进行SSL通信时使用PKI域中的CA证书文件。
如果指定的CA证书文件不存在,则使用开启OVSDB服务器时通过SSL连接获取的自签名证书,并通过本命令指定证书文件名。
(4) 与控制器建立被动SSL连接。
ovsdb server pssl [ port port-number ]
缺省情况下,不会与控制器建立被动SSL连接。
OVSDB服务器只能监听1个端口的SSL连接请求。
(1) 进入系统视图。
system-view
(2) 与控制器建立主动TCP连接。
ovsdb server tcp ip ip-address port port-number
缺省情况下,不会与控制器建立主动TCP连接。
OVSDB服务器最多可以同时与8个控制器建立主动TCP连接。
(1) 进入系统视图。
system-view
(2) 与控制器建立被动TCP连接。
ovsdb server ptcp [ port port-number ]
缺省情况下,不会与控制器建立被动TCP连接。
OVSDB服务器只能监听1个端口的TCP连接请求。
在开启OVSDB服务器之前,必须先建立OVSDB连接。如果在开启OVSDB服务器之后修改OVSDB连接,那么需要关闭OVSDB服务器后再重新开启,新的连接配置才能生效。
(1) 进入系统视图。
system-view
(2) 开启OVSDB服务器。
ovsdb server enable
缺省情况下,OVSDB服务器处于关闭状态。
(1) 进入系统视图。
system-view
(2) 开启OVSDB VTEP服务。
vtep enable
缺省情况下,OVSDB VTEP服务处于关闭状态。
用户需要在VTEP设备上配置VXLAN隧道的全局源地址,该地址会通过OVSDB协议上报给控制器,用于控制器对VTEP设备进行部署和控制。
采用OVSDB对VTEP设备进行部署和控制时,用户不能在VXLAN隧道的Tunnel接口下手工指定源地址,否则会影响控制器对VTEP设备的管理。
(1) 进入系统视图。
system-view
(2) 配置VXLAN隧道的全局源地址。
tunnel global source-address { ipv4-address | ipv6 ipv6-address }
缺省情况下,未配置VXLAN隧道的全局源地址。
为了在控制器上显示VTEP上的端口并对其进行控制,必须在VTEP上将该端口配置为用户侧的接入端口。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 指定当前接口为用户侧的接入端口。
vtep access port
缺省情况下,当前接口不是用户侧的接入端口。
开启组播隧道泛洪代理功能后,系统会将控制器下发的组播隧道转换为具有泛洪代理功能的隧道。VXLAN内的广播、组播和未知单播流量将通过具有泛洪代理功能的隧道发送到泛洪代理服务器,由代理服务器进行复制并转发到其他远端VTEP。
采用泛洪代理(服务器复制)方式转发站点间的泛洪流量时,必须开启该功能。
目前,仅采用VMware的NSX控制器作为OVSDB控制器时,设备支持组播隧道泛洪代理功能。在VTEP上开启组播隧道泛洪代理功能后,若控制器下发VSI配置,则系统会自动关闭所有VSI下的ARP泛洪抑制功能,否则所有VSI下的ARP泛洪抑制功能状态保持不变。
若VTEP上未开启组播隧道泛洪代理功能,则不论控制器是否下发VSI配置,VSI下的ARP泛洪抑制功能状态保持不变。
(1) 进入系统视图。
system-view
(2) 开启组播隧道泛洪代理功能。
vxlan tunnel flooding-proxy
缺省情况下,组播隧道泛洪代理功能处于关闭状态。
在OVSDB-VTEP组网中,控制器通过OVSDB控制协议下发ACL到VTEP,占用VTEP上的ACL资源。通过配置本命令,用户可以禁止控制器下发的ACL在VTEP上生效,以便节约设备上的ACL资源。
(1) 进入系统视图。
system-view
(2) 开启禁止控制器下发的ACL在VTEP上生效功能。
vtep acl disable
缺省情况下,控制器下发的ACL在VTEP上生效。
Switch A、Switch B、Switch C为与服务器连接的VTEP设备。虚拟机VM 1、VM 2和VM 3同属于VXLAN 10。通过VXLAN实现不同站点间的二层互联,确保虚拟机在站点之间进行迁移时用户的访问流量不会中断。
具体需求为:
· 通过控制器下发配置,在不同VTEP之间建立VXLAN隧道。
· 站点之间的泛洪流量采用头端复制的方式转发。
图1-2 OVSDB-VTEP头端复制组网图
(1) 创建VLAN和VLAN接口
根据组网图,完成各个VLAN和VLAN接口的创建,具体配置过程略。
(2) 配置IP地址、单播路由协议、控制器
配置各接口的IP地址和子网掩码,并在IP核心网络内配置OSPF协议,具体配置过程略。
(3) 配置Switch A
# 开启L2VPN能力。
<SwitchA> system-view
[SwitchA] l2vpn enable
# 配置与控制器建立主动TCP连接,TCP连接的目的地址为10.0.2.15(控制器的地址),目的端口号为6632。
[SwitchA] ovsdb server tcp ip 10.0.2.15 port 6632
# 开启OVSDB服务器。
[SwitchA] ovsdb server enable
# 开启OVSDB VTEP服务。
[SwitchA] vtep enable
# 配置接口Loopback0的IP地址,作为VXLAN隧道的全局源地址。
[SwitchA] interface loopback 0
[SwitchA-LoopBack0] ip address 1.1.1.1 255.255.255.255
[SwitchA-LoopBack0] quit
[SwitchA] tunnel global source-address 1.1.1.1
# 指定接入服务器的接口Twenty-FiveGigE1/0/1上为用户侧的接入端口。
[SwitchA] interface twenty-fivegige 1/0/1
[SwitchA-Twenty-FiveGigE1/0/1] vtep access port
[SwitchA-Twenty-FiveGigE1/0/1] quit
(4) 配置Switch B
# 开启L2VPN功能。
<SwitchB> system-view
[SwitchB] l2vpn enable
# 配置与控制器建立主动TCP连接,TCP连接的目的地址为10.0.2.15(控制器的地址),目的端口号为6632。
[SwitchB] ovsdb server tcp 10.0.2.15 port 6632
# 开启OVSDB服务器。
[SwitchB] ovsdb server enable
# 开启OVSDB VTEP服务。
[SwitchB] vtep enable
# 配置接口Loopback0的IP地址,作为VXLAN隧道的全局源地址。
[SwitchB] interface loopback 0
[SwitchB-LoopBack0] ip address 2.2.2.2 255.255.255.255
[SwitchB-LoopBack0] quit
[SwitchB] tunnel global source-address 2.2.2.2
# 指定接入服务器的接口Twenty-FiveGigE1/0/1上为用户侧的接入端口。
[SwitchB] interface twenty-fivegige 1/0/1
[SwitchB-Twenty-FiveGigE1/0/1] vtep access port
[SwitchB-Twenty-FiveGigE1/0/1] quit
(5) 配置Switch C
# 开启L2VPN功能。
<SwitchC> system-view
[SwitchC] l2vpn enable
# 配置与控制器建立主动TCP连接,TCP连接的目的地址为10.0.2.15(控制器的地址),目的端口号为6632。
[SwitchC] ovsdb server tcp ip 10.0.2.15 port 6632
# 开启OVSDB服务器。
[SwitchC] ovsdb server enable
# 开启OVSDB VTEP服务。
[SwitchC] vtep enable
# 配置接口Loopback0的IP地址,作为VXLAN隧道的全局源地址。
[SwitchC] interface loopback 0
[SwitchC-LoopBack0] ip address 3.3.3.3 255.255.255.255
[SwitchC-LoopBack0] quit
[SwitchC] tunnel global source-address 3.3.3.3
# 指定接入服务器的接口Twenty-FiveGigE1/0/1上为用户侧的接入端口。
[SwitchC] interface twenty-fivegige 1/0/1
[SwitchC-Twenty-FiveGigE1/0/1] vtep access port
[SwitchC-Twenty-FiveGigE1/0/1] quit
(6) 控制器上进行VXLAN配置(略)
(1) 验证VTEP设备(下文以Switch A为例,其它设备验证方法与此类似)
# 查看Switch A上的Tunnel接口信息,可以看到VXLAN模式的Tunnel接口处于up状态。
[SwitchA] display interface tunnel
Tunnel1
Current state: UP
Line protocol state: UP
Description: Tunnel1 Interface
Bandwidth: 64 kbps
Maximum transmission unit: 64000
Internet protocol processing: Disabled
Last clearing of counters: Never
Tunnel source 1.1.1.1, destination 2.2.2.2
Tunnel protocol/transport UDP_VXLAN/IP
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 0 packets, 0 bytes, 0 drops
Output: 0 packets, 0 bytes, 0 drops
# 查看Switch A上的VSI信息,可以看到VSI内创建的VXLAN、与VXLAN关联的VXLAN隧道、与VSI关联的以太网服务实例等信息。
[SwitchA] display l2vpn vsi verbose
VSI Name: evpn2014
VSI Index : 0
VSI State : Up
MTU : 1500
Bandwidth : Unlimited
Broadcast Restrain : -
Multicast Restrain : -
Unknown Unicast Restrain: -
MAC Learning : Enabled
MAC Table Limit : -
MAC Learning rate : -
Drop Unknown : -
PW Redundancy Mode : Slave
Flooding : Enabled
ESI : 0000.0000.0000.0000.0000
Redundancy Mode : All-active
Statistics : Disabled
VXLAN ID : 10
Tunnels:
Tunnel Name Link ID State Type Flood proxy
Tunnel1 0x50000001 Up Auto Disabled
Tunnel2 0x50000002 Up Auto Disabled
ACs:
AC Link ID State
GE1/0/1 srv2 0 Up
Statistics: Disabled
# 查看Switch A上VSI的MAC地址表项信息,可以看到已学习到的MAC地址信息。
<SwitchA> display l2vpn mac-address
MAC Address State VSI Name Link ID/Name Aging
cc3e-5f9c-6cdb Dynamic evpn2014 Tunnel1 Aging
cc3e-5f9c-23dc Dynamic evpn2014 Tunnel2 Aging
--- 2 mac address(es) found ---
(2) 验证主机
虚拟机VM 1、VM 2、VM 3之间可以互访。
Switch A、Switch B、Switch C为与服务器连接的VTEP设备。虚拟机VM 1、VM 2和VM 3同属于VXLAN 10。通过VXLAN实现不同站点间的二层互联,确保虚拟机在站点之间进行迁移时用户的访问流量不会中断。
具体需求为:
· 通过控制器下发配置,在不同VTEP之间建立VXLAN隧道。
· 站点之间的泛洪流量采用泛洪代理(服务器复制)的方式转发。
· VTEP采用控制器下发的MAC地址表项进行流量转发。
图1-3 OVSDB-VTEP泛洪代理组网图
(1) 创建VLAN和VLAN接口
根据组网图,完成各个VLAN和VLAN接口的创建,具体配置过程略。
(2) 配置IP地址、单播路由协议、控制器和服务器
配置各接口的IP地址和子网掩码,并在IP核心网络内配置OSPF协议,具体配置过程略。
(3) 配置Switch A
# 开启L2VPN功能。
<SwitchA> system-view
[SwitchA] l2vpn enable
# 配置与控制器建立主动TCP连接,TCP连接的目的地址为10.0.2.15(控制器的地址),目的端口号为6632。
[SwitchA] ovsdb server tcp ip 10.0.2.15 port 6632
# 开启OVSDB服务器。
[SwitchA] ovsdb server enable
# 开启OVSDB VTEP服务。
[SwitchA] vtep enable
# 配置接口Loopback0的IP地址,作为VXLAN隧道的全局源地址。
[SwitchA] interface loopback 0
[SwitchA-LoopBack0] ip address 1.1.1.1 255.255.255.255
[SwitchA-LoopBack0] quit
[SwitchA] tunnel global source-address 1.1.1.1
# 指定接入服务器的接口Twenty-FiveGigE1/0/1上为用户侧的接入端口。
[SwitchA] interface twenty-fivegige 1/0/1
[SwitchA-Twenty-FiveGigE1/0/1] vtep access port
[SwitchA-Twenty-FiveGigE1/0/1] quit
# 在网络侧接口上关闭报文入接口与静态MAC地址表项匹配检查功能。
[SwitchA] interface twenty-fivegige 1/0/2
[SwitchA-Twenty-FiveGigE1/0/2] undo mac-address static source-check enable
[SwitchA-Twenty-FiveGigE1/0/2] quit
# 关闭远端MAC地址自动学习功能。
[SwitchA] vxlan tunnel mac-learning disable
# 开启组播隧道泛洪代理功能。
[SwitchA] vxlan tunnel flooding-proxy
(4) 配置Switch B
# 开启L2VPN功能。
<SwitchB> system-view
[SwitchB] l2vpn enable
# 配置与控制器建立主动TCP连接,TCP连接的目的地址为10.0.2.15(控制器的地址),目的端口号为6632。
[SwitchB] ovsdb server tcp ip 10.0.2.15 port 6632
# 开启OVSDB服务器。
[SwitchB] ovsdb server enable
# 开启OVSDB VTEP服务。
[SwitchB] vtep enable
# 配置接口Loopback0的IP地址,作为VXLAN隧道的全局源地址。
[SwitchB] interface loopback 0
[SwitchB-LoopBack0] ip address 2.2.2.2 255.255.255.255
[SwitchB-LoopBack0] quit
[SwitchB] tunnel global source-address 2.2.2.2
# 指定接入服务器的接口Twenty-FiveGigE1/0/1上为用户侧的接入端口。
[SwitchB] interface twenty-fivegige 1/0/1
[SwitchB-Twenty-FiveGigE1/0/1] vtep access port
[SwitchB-Twenty-FiveGigE1/0/1] quit
# 在网络侧接口上关闭报文入接口与静态MAC地址表项匹配检查功能。
[SwitchB] interface twenty-fivegige 1/0/2
[SwitchB-Twenty-FiveGigE1/0/2] undo mac-address static source-check enable
[SwitchB-Twenty-FiveGigE1/0/2] quit
# 关闭远端MAC地址自动学习功能。
[SwitchB] vxlan tunnel mac-learning disable
# 开启组播隧道泛洪代理功能。
[SwitchB] vxlan tunnel flooding-proxy
(5) 配置Switch C
# 开启L2VPN功能。
<SwitchC> system-view
[SwitchC] l2vpn enable
# 配置与控制器建立主动TCP连接,TCP连接的目的地址为10.0.2.15(控制器的地址),目的端口号为6632。
[SwitchC] ovsdb server tcp 10.0.2.15 port 6632
# 开启OVSDB服务器。
[SwitchC] ovsdb server enable
# 开启OVSDB VTEP服务。
[SwitchC] vtep enable
# 配置接口Loopback0的IP地址,作为VXLAN隧道的全局源地址。
[SwitchC] interface loopback 0
[SwitchC-LoopBack0] ip address 3.3.3.3 255.255.255.255
[SwitchC-LoopBack0] quit
[SwitchC] tunnel global source-address 3.3.3.3
# 指定接入服务器的接口Twenty-FiveGigE1/0/1上为用户侧的接入端口。
[SwitchC] interface twenty-fivegige 1/0/1
[SwitchC-Twenty-FiveGigE1/0/1] vtep access port
[SwitchC-Twenty-FiveGigE1/0/1] quit
# 在网络侧接口上关闭报文入接口与静态MAC地址表项匹配检查功能。
[SwitchC] interface twenty-fivegige 1/0/2
[SwitchC-Twenty-FiveGigE1/0/2] undo mac-address static source-check enable
[SwitchC-Twenty-FiveGigE1/0/2] quit
# 关闭远端MAC地址自动学习功能。
[SwitchC] vxlan tunnel mac-learning disable
# 开启组播隧道泛洪代理功能。
[SwitchC] vxlan tunnel flooding-proxy
(6) 控制器上进行VXLAN配置(略)
(1) 验证VTEP设备(下文以Switch A为例,其它设备验证方法与此类似)
# 查看Switch A上的Tunnel接口信息,可以看到VXLAN模式的Tunnel接口处于up状态。
[SwitchA] display interface tunnel
Tunnel1
Current state: UP
Line protocol state: UP
Description: Tunnel1 Interface
Bandwidth: 64 kbps
Maximum transmission unit: 64000
Internet protocol processing: disabled
Last clearing of counters: Never
Tunnel source 1.1.1.1, destination 2.2.2.2
Tunnel protocol/transport UDP_VXLAN/IP
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 0 packets, 0 bytes, 0 drops
Output: 0 packets, 0 bytes, 0 drops
# 查看Switch A上的VSI信息,可以看到VSI内创建的VXLAN、与VXLAN关联的VXLAN隧道、与VSI关联的以太网服务实例等信息,其中Tunnel1和Tunnel2为去往SwitchB、SwitchC的隧道,Tunnel3为去往代理服务器的隧道。
[SwitchA] display l2vpn vsi verbose
VSI Name: evpn2014
VSI Index : 0
VSI State : Up
MTU : 1500
Bandwidth : Unlimited
Broadcast Restrain : -
Multicast Restrain : -
Unknown Unicast Restrain: -
MAC Learning : Enabled
MAC Table Limit : -
MAC Learning rate : -
Drop Unknown : -
PW Redundancy Mode : Slave
Flooding : Enabled
ESI : 0000.0000.0000.0000.0000
Redundancy Mode : All-active
Statistics : Disabled
VXLAN ID : 10
EVPN Encapsulation : VXLAN
Tunnels:
Tunnel Name Link ID State Type Flood proxy
Tunnel1 0x50000001 Up Auto Disabled
Tunnel2 0x50000002 Up Auto Disabled
Tunnel3 0x50000003 Up Auto Enabled
ACs:
AC Link ID State
GE1/0/1 srv2 0 Up
Statistics: Disabled
# 查看Switch A上VSI的MAC地址表项信息,可以看到控制器下发的MAC地址信息。
<SwitchA> display l2vpn mac-address
MAC Address State VSI Name Link ID/Name Aging
cc3e-5f9c-6cdb OVSDB evpn2014 Tunnel1 NotAging
cc3e-5f9c-23dc OVSDB evpn2014 Tunnel2 NotAging
--- 2 mac address(es) found ---
(2) 验证主机
虚拟机VM 1、VM 2、VM 3之间可以互访。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!