H3C Service-chain產(chǎn)品配置手冊(cè)

1、H3C Service-chain產(chǎn)品配置手冊(cè) 在 SDN 環(huán)境中應(yīng)用的解決方案配置指導(dǎo)（東西向）i目錄TOC o 1-3 h z u HYPERLINK l _bookmark0 簡(jiǎn)介2 HYPERLINK l _bookmark1 配置前提2 HYPERLINK l _bookmark2 配置舉例2 HYPERLINK l _bookmark3 組網(wǎng)需求2 HYPERLINK l _bookmark4 配置步驟3 HYPERLINK l _bookmark5 3.2.1 S6800 交換機(jī)初始配置3 HYPERLINK l _bookmark6 3.2.2 F5020 初始配置4 HYPE

2、RLINK l _bookmark7 3.2.3 L5000 初始配置6 HYPERLINK l _bookmark8 VCF 控制器環(huán)境搭建8 HYPERLINK l _bookmark11 NFV Manager 配置12 HYPERLINK l _bookmark14 VSR 及 VFW 資源申請(qǐng)16 HYPERLINK l _bookmark15 為租戶(hù)分 VFW 資源21 HYPERLINK l _bookmark20 為租戶(hù)分 VLB 資源25 HYPERLINK l _bookmark21 配置虛擬網(wǎng)絡(luò)26 HYPERLINK l _bookmark23 vSwitch VM 上

3、線45 HYPERLINK l _bookmark24 S6800 交換機(jī)下掛 VM 上線（網(wǎng)絡(luò) Overlay）53 HYPERLINK l _bookmark25 驗(yàn)證配置65 HYPERLINK l _bookmark26 配置東西向服務(wù)鏈防火墻70 HYPERLINK l _bookmark27 配置規(guī)則70 HYPERLINK l _bookmark28 配置策略70 HYPERLINK l _bookmark29 配置防火墻實(shí)例72 HYPERLINK l _bookmark30 配置負(fù)載均衡73 HYPERLINK l _bookmark31 配置服務(wù)鏈76 HYPERLINK

4、l _bookmark32 配置流量特征組76 HYPERLINK l _bookmark33 查看已配置的流量特征組78 HYPERLINK l _bookmark34 創(chuàng)建服務(wù)鏈78 HYPERLINK l _bookmark35 查看防火墻和 LB 的狀態(tài)80 HYPERLINK l _bookmark36 驗(yàn)證配置81 HYPERLINK l _bookmark37 ping 測(cè)試81 HYPERLINK l _bookmark38 配置信息82 PAGE 15簡(jiǎn)介本文檔主要介紹了東西向服務(wù)鏈的搭建過(guò)程，包括通過(guò) S6800 系列交換機(jī)下掛服務(wù)器 VM 的網(wǎng)絡(luò)overlay 方式和S1

5、020V 下掛服務(wù)器 VM 的主機(jī)overlay 方式兩種，服務(wù)節(jié)點(diǎn)包括防火墻（硬件 F5020和 NFV VFW）和 LB 設(shè)備（硬件 L5000 和NFV VLB）。配置前提本文檔不嚴(yán)格與具體軟、硬件版本對(duì)應(yīng)，如果使用過(guò)程中與產(chǎn)品實(shí)際情況有差異，請(qǐng)以設(shè)備實(shí)際情況為準(zhǔn)。本文檔中的配置均是在實(shí)驗(yàn)室環(huán)境下進(jìn)行的配置和驗(yàn)證，配置前設(shè)備的所有參數(shù)均采用出廠時(shí)的缺省配置。如果您已經(jīng)對(duì)設(shè)備進(jìn)行了配置，為了保證配置效果，請(qǐng)確認(rèn)現(xiàn)有配置和以下舉例中的配置不沖突。本文檔假設(shè)您已了解 Service-chain 特性。配置舉例組網(wǎng)需求圖1 組網(wǎng)圖 1管理網(wǎng)下行口上行口圖2 組網(wǎng)圖 2控 制 端 1 VCFC：

6、IMC：vCenter:0/1NFV Manager 9（VSR/VFW/VLB）3/02/01/0管理網(wǎng)M0/0/00/12 0/13L5000-10/40/5IRFreth1reth1IRFL5000-20/30/150/10/140/11545454交換機(jī)SW521/2/1S1020V 0業(yè)務(wù)網(wǎng)管理網(wǎng)業(yè)務(wù)網(wǎng)管理網(wǎng)-15F020-15F020S6800交換機(jī)9業(yè)務(wù)網(wǎng)業(yè)務(wù)網(wǎng)1/2/2VMVM測(cè)試組網(wǎng)說(shuō)明：1、要求 VCFC、vCenter、虛擬交換機(jī) S1020V、VSR 相互之間管理地址路由可達(dá)，可獨(dú)立管理網(wǎng)絡(luò)部署，也可和數(shù)據(jù)網(wǎng)絡(luò)共享物理鏈路部署帶內(nèi)網(wǎng)管。2、VCFC 統(tǒng)一管理 Overl

7、ay 網(wǎng)絡(luò)虛擬和實(shí)體設(shè)備，如上圖的 S1020V、S6800 和 VSR 設(shè)備。S1020V 作為VM1、VM2 接入 Overlay 網(wǎng)絡(luò)的虛擬交換機(jī)，接受 SDN 控制器的策略下發(fā)，實(shí)現(xiàn)出入 VM1、VM2 流量的轉(zhuǎn)發(fā)；S6800 作為 VM3 接入 Overlay 網(wǎng)絡(luò)的接入交換機(jī)，接受 SDN 控制器的策略下發(fā)，實(shí)現(xiàn)出入 VM3 的流量轉(zhuǎn)發(fā)。VSR 作為 Overlay 網(wǎng)絡(luò)網(wǎng)關(guān)，即虛擬網(wǎng)絡(luò)的 VM 以及 S6800 交換機(jī)下掛的 VM 的物理網(wǎng)關(guān)，接受 SDN 控制器的策略下發(fā)，實(shí)現(xiàn)虛擬網(wǎng)絡(luò)和非虛擬網(wǎng)絡(luò)（Internet） 之間的流量轉(zhuǎn)發(fā)，以及跨 VSR 的虛擬網(wǎng)絡(luò)之間的互訪（服務(wù)鏈

8、網(wǎng)絡(luò)）。3、Underlay 網(wǎng)絡(luò) VSR、S6800、S1020V 和 F5020 和 L5000 之間通過(guò)傳統(tǒng)的網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)相互之間VTEP IP 地址可達(dá)。配置步驟S6800 交換機(jī)初始配置# 開(kāi)啟 OVSDB Server，用戶(hù)和控制器建立連接，實(shí)現(xiàn)控制器對(duì)設(shè)備的VXLAN 配置。 system-viewS6800 ovsdb server ptcp port 6632 S6800 ovsdb server enable# 使能 VTEP。S6800 vtep enable# 配置 netconf 參數(shù)，實(shí)現(xiàn)用戶(hù)控制器向設(shè)備下發(fā)配置信息。S6800 netconf soap http

9、enableS6800 netconf soap https enable# 開(kāi)啟 HTTP 和HTTPS 服務(wù)。S6800 ip http enable S6800 ip https enable# 創(chuàng)建用戶(hù)，VCFC 控制器通過(guò)此賬戶(hù)訪問(wèn) S6800。S6800 local-user dm class manageS6800-luser-manage-dm password simple dmS6800-luser-manage-dm service-type telnet http httpsS6800-luser-manage-dm authorization-attribute us

10、er-role network-admin S6800-luser-manage-dm quit# 開(kāi)啟 OSPF 進(jìn)程 1。S6800 ospf 1 S6800-ospf-1 quit# 配置 VXLAN VTEP IP 地址。S6800 interface LoopBack0S6800-LoopBack0 ip address 55S6800-LoopBack0 ospf 1 area S6800-LoopBack0 quit# 配置數(shù)據(jù)網(wǎng) IP，用戶(hù) Underlay 網(wǎng)絡(luò)互通。S6800 interface Ten-GigabitEthernet1/2/18S6800-Ten-Giga

11、bitEthernet1/2/18 port link-mode routeS6800-Ten-GigabitEthernet1/2/18 ip address S6800-Ten-GigabitEthernet1/2/18 ospf 1 area S6800-Ten-GigabitEthernet1/2/18 quit# 配置管理接口 IP 地址。S6800 interface M-GigabitEthernet0/0/0S6800-M-GigabitEthernet0/0/0 ip address 0 S6800-M-GigabitEthernet0/0/0 quitF5020 初始配置F

12、5020-1 的 IRF 配置# 配置成員號(hào)和優(yōu)先級(jí)。 system-viewF5020-1 irf member 1 priority 32# 配置 IRF 端口與物理端口相關(guān)聯(lián)。F5020-1 interface gigabitEthernet1/0/2 F5020-1-GigabitEthernet1/0/2 shutdown F5020-1-GigabitEthernet1/0/2 quit F5020-1 interface gigabitEthernet1/0/3 F5020-1-GigabitEthernet1/0/3 shutdown F5020-1-GigabitEthern

13、et1/0/3 quit F5020-1 irf-port 1/2F5020-1-irf-port1/2 port group interface gigabitEthernet1/0/2 F5020-1-irf-port1/2 port group interface gigabitEthernet1/0/3F5020-1-irf-port1/2 quitF5020-1 interface gigabitEthernet1/0/2 F5020-1-GigabitEthernet1/0/2 undo shutdown F5020-1-GigabitEthernet1/0/2 quitF5020

14、-1 interface gigabitEthernet1/0/3 F5020-1-GigabitEthernet1/0/3 undo shutdown F5020-1-GigabitEthernet1/0/3 quitF5020-1 saveF5020-1 irf-port-configuration activeF5020-2 的 IRF 配置# 配置成員號(hào)和優(yōu)先級(jí)。 system-viewF5020-2 irf member 1 renumber 2Renumbering the member ID may result in configuration change or loss.

15、Continue?Y/N:Y F5020-2 saveF5020-2 quit reboot# 設(shè)備重啟成功后，登錄設(shè)備并設(shè)置 IRF 優(yōu)先級(jí)。 system-viewF5020-2 irf member 2 priority 1# 配置 IRF 端口與物理端口關(guān)聯(lián)。F5020-2 interface gigabitEthernet2/0/2 F5020-2-GigabitEthernet2/0/2 shutdown F5020-2-GigabitEthernet2/0/2 quit F5020-2 interface gigabitEthernet2/0/3 F5020-2-GigabitE

16、thernet2/0/3 shutdown F5020-2-GigabitEthernet2/0/3 quit F5020-2 irf-port 2/1F5020-2-irf-port2/1 port group interface gigabitEthernet2/0/2 F5020-2-irf-port2/1 port group interface gigabitEthernet2/0/3 F5020-2-irf-port2/1 quitF5020-2 interface gigabitEthernet2/0/2 F5020-2-GigabitEthernet2/0/2 undo shu

17、tdown F5020-2-GigabitEthernet2/0/2 quitF5020-2 interface gigabitEthernet2/0/3 F5020-2-GigabitEthernet2/0/3 undo shutdown F5020-2-GigabitEthernet2/0/3 quitF5020-2 saveF5020-2 irf-port-configuration active# 配置冗余口。 system-view F5020-1 interface reth 1F5020-1-Reth1 member interface gigabitEthernet1/0/11

18、 priority 100 F5020-1-Reth1 member interface gigabitEthernet2/0/9 priority 10 F5020-1-Reth1 quit# 配置管理口接口地址。F5020-1 interface gigabitEthernet1/0/0F5020-1-GigabitEthernet1/0/0 ip address 4 F5020-1-GigabitEthernet1/0/0 quit# 將接口加入管理域。F5020-1 security-zone name ManagementF5020-1-security-zone-Managemen

19、t import interface gigabitEthernet1/0/0 F5020-1-security-zone-Management quit# 創(chuàng)建用戶(hù)。F5020-1 local-user dm class manageF5020-1-luser-manage-dm password simple dm F5020-1-luser-manage-dm service-type ftpF5020-1-luser-manage-dm service-type telnet http httpsF5020-1-luser-manage-dm authorization-attribu

20、te user-role network-admin F5020-1-luser-manage-dm quit# 配置 netconf 參數(shù)，實(shí)現(xiàn)用戶(hù)控制器向設(shè)備下發(fā)配置信息。F5020-1 netconf soap http enable F5020-1 netconf soap https enable# 開(kāi)啟 HTTP 和HTTPS 服務(wù)。F5020-1 ip http enable F5020-1 ip https enableL5000 初始配置L5000 設(shè)備除了不用配置安全域，其它配置和防火墻一樣。L5000-1 的 IRF 配置# 配置成員號(hào)和優(yōu)先級(jí)。 system-viewL

21、5000-1 irf member 1 priority 32# 配置 IRF 端口與物理端口相關(guān)聯(lián)。L5000-1 interface gigabitEthernet1/0/2 L5000-1-GigabitEthernet1/0/2 shutdown L5000-1-GigabitEthernet1/0/2 quit L5000-1 interface gigabitEthernet1/0/3 L5000-1-GigabitEthernet1/0/3 shutdown L5000-1-GigabitEthernet1/0/3 quit L5000-1 irf-port 1/2L5000-1

22、-irf-port1/2 port group interface gigabitEthernet1/0/2 L5000-1-irf-port1/2 port group interface gigabitEthernet1/0/3 L5000-1-irf-port1/2 quitL5000-1 interface gigabitEthernet1/0/2 L5000-1-GigabitEthernet1/0/2 undo shutdown L5000-1-GigabitEthernet1/0/2 quitL5000-1 interface gigabitEthernet1/0/3 L5000

23、-1-GigabitEthernet1/0/3 undo shutdown L5000-1-GigabitEthernet1/0/3 quitL5000-1 saveL5000-1 irf-port-configuration activeL5000-2 的 IRF 配置# 配置成員號(hào)和優(yōu)先級(jí)。 system-viewL5000-2 irf member 1 renumber 2Renumbering the member ID may result in configuration change or loss. Continue?Y/N:Y L5000-2 saveL5000-2 quit

24、 reboot# 設(shè)備重啟成功后，登錄設(shè)備并設(shè)置 IRF 優(yōu)先級(jí)。 system-viewL5000-2 irf member 2 priority 1# 配置 IRF 端口與物理端口關(guān)聯(lián)。L5000-2 interface gigabitEthernet2/0/2 L5000-2-GigabitEthernet2/0/2 shutdown L5000-2-GigabitEthernet2/0/2 quit L5000-2 interface gigabitEthernet2/0/3 L5000-2-GigabitEthernet2/0/3 shutdown L5000-2-GigabitEt

25、hernet2/0/3 quit L5000-2 irf-port 2/1L5000-2-irf-port2/1 port group interface gigabitEthernet2/0/2 L5000-2-irf-port2/1 port group interface gigabitEthernet2/0/3 L5000-2-irf-port2/1 quitL5000-2 interface gigabitEthernet2/0/2 L5000-2-GigabitEthernet2/0/2 undo shutdown L5000-2-GigabitEthernet2/0/2 quit

26、L5000-2 interface gigabitEthernet2/0/3 L5000-2-GigabitEthernet2/0/3 undo shutdown L5000-2-GigabitEthernet2/0/3 quitL5000-2 saveL5000-2 irf-port-configuration active# 配置冗余口。 system-view L5000-1 interface reth 1L5000-1-Reth1 member interface gigabitEthernet1/0/11 priority 100 L5000-1-Reth1 member inte

27、rface gigabitEthernet2/0/9 priority 10 L5000-1-Reth1 quit# 配置管理口接口地址。L5000-1 interface gigabitEthernet1/0/0L5000-1-GigabitEthernet1/0/0 ip address 4 L5000-1-GigabitEthernet1/0/0 quit# 創(chuàng)建用戶(hù)。L5000-1 local-user dm class manageL5000-1-luser-manage-dm password simple dm L5000-1-luser-manage-dm service-ty

28、pe ftpL5000-1-luser-manage-dm service-type telnet http httpsL5000-1-luser-manage-dm authorization-attribute user-role network-admin L5000-1-luser-manage-dm quit# 配置 netconf 參數(shù)，實(shí)現(xiàn)用戶(hù)控制器向設(shè)備下發(fā)配置信息。L5000-1 netconf soap http enable L5000-1 netconf soap https enable# 開(kāi)啟 HTTP 和HTTPS 服務(wù)。L5000-1 ip http enabl

29、e L5000-1 ip https enableVCF 控制器環(huán)境搭建在服務(wù)器ESXi 系統(tǒng)中搭建兩臺(tái) VCF 控制器以及一臺(tái) VCF License 服務(wù)器；本次組網(wǎng)中使用的 VCF控制器及 License 服務(wù)器是直接拷貝的虛擬機(jī)模板；兩臺(tái) VCF 的集群和 Region 配置方法可以參考H3C VCF 控制器安裝指導(dǎo)。目前可以通過(guò)VCFC 部署硬件防火墻和 LB 設(shè)備，部署方式如下：NGFW的部署通過(guò)NGFW Manager 添加安全設(shè)備，如 HYPERLINK l _bookmark9 圖 3 所示。具體參數(shù)配置如 HYPERLINK l _bookmark10 圖 4 所示圖3 添

30、加安全設(shè)備圖4 參數(shù)配置創(chuàng)建資源池，并選中已添加的安全設(shè)備，如下圖所示圖5 創(chuàng)建資源池為資源創(chuàng)建配置模板，單擊配置按鈕，如下圖所示圖6 配置模板# 單擊配置模板按鈕，如下圖所示。圖7 配置模板頁(yè)面# 類(lèi)型選擇服務(wù)鏈 FW 資源，配置防火墻上下行接口及管理口，并為接口分配 ip 地址資源，如下圖所示。圖8 創(chuàng)建模板# 查看模板詳情，如下圖所示。圖9 模板詳情L(zhǎng)B的部署LB 模板的創(chuàng)建過(guò)程和防火墻類(lèi)似，唯一的區(qū)別在于 LB 沒(méi)有上行口，而防火墻設(shè)備預(yù)留了上行口作為配置南北向服務(wù)鏈時(shí)和外網(wǎng)交互的接口，LB 模板詳情如下：NFV Manager 配置一般組網(wǎng)中有兩臺(tái)服務(wù)器安裝 NFV Manager

31、Agent，其中一臺(tái)安裝NFV Manager 用于管理兩臺(tái)服務(wù)器創(chuàng)建VSR。本組網(wǎng)中 NFV Manger 和NFV Manager Agent 裝在同一臺(tái)服務(wù)器上。在瀏覽器中輸入 NFV Manager 的 GUI 登錄地址，如9:8080/NFV-DSM/index.jsp，輸入用戶(hù)名和密碼（默認(rèn)用戶(hù)名 admin，密碼admin）登錄，上傳申請(qǐng)的 NFV Manager license選擇General/Host菜單項(xiàng)，單擊 Add Host，輸入一個(gè) agent 的管理地址，Host Name 以及用戶(hù)名密碼（默認(rèn)用戶(hù)名 admin，密碼 admin），如 HYPERLINK l _

32、bookmark12 圖 10 所示。再添加主機(jī)，如 HYPERLINK l _bookmark13 圖 11 所示圖10 輸入用戶(hù)名和密碼圖11 輸入信息圖12 添加主機(jī)完成選擇Settings/VNF Descriptor菜單項(xiàng)，上傳VNF Descriptor 文件圖13 上傳VNF Descriptor 文件選擇Settings/VNF Image菜單項(xiàng)，上傳VNF Image 文件圖14 上傳VNF Image 文件選擇Settings/ VNF Template菜單項(xiàng)，創(chuàng)建單機(jī)模版圖15 VSR 單機(jī)模板相關(guān)配置：session synchronization enablenat

33、port-block synchronization enable ipsec redundancy enableip vpn-instance external_vpn interface g 3/0.2vlan-type dot1q vid 2 interface Reth 1member interface g 3/0.2 priority 100 ip binding vpn-instance external_vpn ospf 1interface LoopBack 0ospf 1 area 0interface LoopBack 1ospf 1 area 0interface Lo

34、opBack 127 interface g 2/0mtu 9216ospf 1 area 0ospf cost 1圖16 VFW 單機(jī)模板：相關(guān)配置：ip vpn-instance external_vpn interface g 3/0.2vlan-type dot1q vid 2 interface Reth 1member interface g 3/0.2 priority 100 ip binding vpn-instance external_vpn ospf 1ospf 10interface LoopBack 0ospf 10 area 0 interface g 1/0 o

35、spf 10 area 0interface LoopBack 1ospf 1 area 0 interface g 2/0 mtu 9216ospf 1 area 0ospf cost 1security-zone name SDN_ZONE_DEFAULT import interface GigabitEthernet1/0 import interface GigabitEthernet2/0 import interface GigabitEthernet3/0 import interface GigabitEthernet3/0.2 Object-policy ip SDN_PO

36、LICY_DEFAULT rule 0 passsecurity-zone intra-zone default permitzone-pair security source Any destination Any object-policy apply ip SDN_POLICY_DEFAULT PAGE 31VSR 及 VFW 資源申請(qǐng)本手冊(cè)中申請(qǐng) VSR 資源為 NFV 環(huán)境下的虛擬資源，同時(shí)我們也可以申請(qǐng)實(shí)際的物理交換機(jī)（S12500-X、S9800）作為網(wǎng)關(guān)資源，使用物理交換機(jī)的配置方式本手冊(cè)不做介紹。通過(guò)NFV Manager 申請(qǐng) VSR 資源# VNF 網(wǎng)元，如下圖所示。圖1

37、7 VNF 網(wǎng)元# 配置 VTEP 地址池，如下圖所示。圖18 VTEP 地址池添加VTEP 地址池地址這個(gè)地址池的作用是配置 VSR 資源的 VTEP IP，每個(gè) VSR 都應(yīng)該有一個(gè) VTEP IP 作為外層隧道IP。這個(gè) IP 一般會(huì)配置為VSR 的：Inloopback 1。注意：如果多人共用同一個(gè) AFC 申請(qǐng) VSR，必須保證每個(gè)人申請(qǐng)到的 VSR 的 VTEP IP 不能相同。所以，要確保每套環(huán)境的 VTEP IP 的地址池都不能重疊。圖19 添加地址池連接NFV Manager 用戶(hù)名和密碼都是 admin。圖20 配置VNFW 信息進(jìn)入租戶(hù)管理頁(yè)面圖21 租戶(hù)管理創(chuàng)建租戶(hù)#

38、新建租戶(hù)，如下圖所示。圖22 新建租戶(hù)# 輸入租戶(hù)名，如下圖所示。圖23 輸入租戶(hù)名稱(chēng)分配VSR 資源# 修改網(wǎng)關(guān)資源，如下圖所示。圖24 修改網(wǎng)關(guān)資源# 創(chuàng)建虛擬網(wǎng)關(guān)，如下圖所示。圖25 創(chuàng)建虛擬網(wǎng)關(guān)# 創(chuàng)建成功，如下圖所示。圖26 創(chuàng)建完成成功申請(qǐng)信息圖27 成功申請(qǐng)信息查看已申請(qǐng)的VSR 網(wǎng)關(guān)資源圖28 查看VSR 網(wǎng)關(guān)資源查看VSR 資源的 IP 和用戶(hù)名圖29 查看VSR 資源信息記錄VSR 網(wǎng)關(guān)資源的管理 IP 和名稱(chēng)此時(shí)狀態(tài)為 Active（如果 openflow 連接上了，就是這個(gè)狀態(tài)，不是這個(gè)狀態(tài)就要檢查一下網(wǎng)絡(luò)或其他配置了），如下圖所示。圖30 記錄VSR 資源信息在 PC

39、 配置去往管理IP 的靜態(tài)路由由于測(cè)試組網(wǎng) VSR 的管理 IP 和 PC 在同一網(wǎng)段，因此本環(huán)境無(wú)需配置靜態(tài)路由，PC 就能夠直接ping 通 VSR，也能夠直接通過(guò) VTP 平臺(tái) telnet 所申請(qǐng)的VSR。為租戶(hù)分 VFW 資源本手冊(cè)中申請(qǐng)VFW 資源的實(shí)現(xiàn)方式有兩種，一種為通過(guò) NFV Manager 軟件方式申請(qǐng) VFW，一種通過(guò) IMC 方式在物理防火墻設(shè)備申請(qǐng) VFW。進(jìn)入租戶(hù)管理頁(yè)面圖31 租戶(hù)管理分配 vFW 資源圖32 分配 vFW 資源創(chuàng)建服務(wù)資源圖33 創(chuàng)建服務(wù)資源填寫(xiě)資源信息通過(guò)NFV Manager 方式申請(qǐng)如 HYPERLINK l _bookmark16 圖

40、34 所示。通過(guò) iMC 方式申請(qǐng)VFW 如 HYPERLINK l _bookmark17 圖 35 所示。圖34 通過(guò)NFV Manager 方式申請(qǐng) VFW圖35 通過(guò)iMC 方式申請(qǐng) VFW成功申請(qǐng)信息圖36 成功申請(qǐng)信息查看已申請(qǐng)的 vFW 資源圖37 查看 VNFM 信息圖38 NGFW 信息記錄 vFW 資源的管理 IP 和名稱(chēng)此時(shí)狀態(tài)為 Active（如果 openflow 連接上了，就是這個(gè)狀態(tài)，不是這個(gè)狀態(tài)就要檢查一下網(wǎng)絡(luò)或其他配置了），如下圖所示。圖39 通過(guò)NFV 申請(qǐng)的資源信息圖40 通過(guò)iMC 申請(qǐng)的資源信息在 pc 配置去往管理IP 的默認(rèn)路由由于測(cè)試組網(wǎng) VFW

41、 的管理 IP 和 PC 在同一網(wǎng)段，因此本環(huán)境無(wú)需配置靜態(tài)路由，PC 就能夠直接ping 通VFW，也能夠直接通過(guò) VTP 平臺(tái) telnet 所申請(qǐng)的VFW。查看所申請(qǐng)的VSR 及VFW 資源登錄NFV（用 chrome）：9:8080/NFV-DSM/login.jsp，用戶(hù)名/密碼：admin/admin，可以根據(jù)名字查看已創(chuàng)建的資源，如下圖所示。圖41 查看已創(chuàng)建的資源登錄 iMC（用 chrome）：:8080/imc/fwm/dev/devList.jsf，查看創(chuàng)建的 VFW 資源，如 HYPERLINK l _bookmark18 圖 42 和 HYPERLINK l _boo

42、kmark19 圖 43 所示。圖42 查看創(chuàng)建的 VFW 資源圖43 查看創(chuàng)建的 VFW 資源為租戶(hù)分 VLB 資源VLB 資源的創(chuàng)建和 VFW 類(lèi)似，只是選擇服務(wù)類(lèi)型為 vLB 即可，如下圖所示。圖44 分配VLB 資源配置虛擬網(wǎng)絡(luò)配置VDS進(jìn)入 VDS 配置界面，如下圖所示。圖45 進(jìn)入 VDS 配置界面創(chuàng)建 VDS由于當(dāng)前的組網(wǎng)是所有環(huán)境共用一個(gè)vCenter，vCenter 有一個(gè)要求，就是數(shù)據(jù)中心不允許存在同名的 VDS，所以要求大家給 VDS 取名字的時(shí)候帶上些微的個(gè)人特征，以免不小心重名導(dǎo)致后續(xù)出現(xiàn)問(wèn)題不知道如何定位。# 在創(chuàng)建 VDS 填寫(xiě)的數(shù)據(jù)中心的名稱(chēng)，是一個(gè)已經(jīng)存在的已

43、經(jīng)部署好的數(shù)據(jù)中心的名字，填對(duì)自己用的數(shù)據(jù)中心的名字。# 選擇 vswitch，如下圖所示。圖46 選擇 vswitch# 創(chuàng)建 VDS，如下圖所示。圖47 創(chuàng)建 VDS查看已創(chuàng)建的 VDS圖48 查看已創(chuàng)建的 VDS創(chuàng)建計(jì)算域進(jìn)入計(jì)算域配置界面圖49 創(chuàng)建計(jì)算域創(chuàng)建Domain 名稱(chēng)圖50 創(chuàng)建Domain 名稱(chēng)查看已創(chuàng)建的Domain圖51 查看已創(chuàng)建的DomainDomain 控制器配置圖52 Domain 控制器配置連接 vCenter 控制器輸入以下參數(shù)：IP：用戶(hù)名： HYPERLINK mailto:Administratorvsphere.local Administrator

44、vsphere.local密碼是：Sdn123456端口號(hào)：443詳細(xì)信息如下圖所示。圖53 輸入相關(guān)信息顯示已連接的 vCenter 控制器圖54 顯示已連接的 vCenter 控制器進(jìn)入關(guān)聯(lián) VDS 界面圖55 進(jìn)入關(guān)聯(lián) VDS 界面關(guān)聯(lián) VDS# 選擇需要關(guān)聯(lián)的 VDS，如下圖所示。圖56 關(guān)聯(lián) VDS# 單擊按鈕，如下圖所示。 PAGE 32圖57 關(guān)聯(lián) VDS# 單擊按鈕，完成關(guān)聯(lián)。確認(rèn) VDS 正確關(guān)聯(lián)上一步完成后，在 vCenter 對(duì)應(yīng)的數(shù)據(jù)中心能看到所關(guān)聯(lián)的 VDS 已經(jīng)推到數(shù)據(jù)中心的網(wǎng)絡(luò)中了。如下圖所示。圖58 確認(rèn) VDS 正確關(guān)聯(lián) PAGE 33vSwitch主機(jī)上線（

45、主機(jī)Overlay）vSphere連接vCenter# 連 vCenter,使用 vSphere 連地址，參數(shù)如下，登錄 Vmware，如 HYPERLINK l _bookmark22 圖 59 所示。IP：用戶(hù)名： HYPERLINK mailto:Administratorvsphere.local Administratorvsphere.local密碼：Sdn123456圖59 登錄Vmware PAGE 50添加主機(jī) 圖60 添加主機(jī)選擇主機(jī)和物理適配器VDS 能夠識(shí)別出安裝了S1020V 的主機(jī)設(shè)備。# 選擇主機(jī)的數(shù)據(jù)口，如下圖所示。圖61 選擇主機(jī)的數(shù)據(jù)口# 單擊，如下圖所示。

46、圖62 單擊下一步# 單擊，如下圖所示。圖63 單擊下一步# 單擊按鈕，如下圖所示。圖64 單擊完成查看已添加的主機(jī)圖65 查看已添加的主機(jī)添加管理適配器# 進(jìn)入管理虛擬機(jī)適配器界面，如下圖所示。圖66 管理虛擬適配器界面# 在界面選擇添加，如下圖所示。圖67 界面選擇添加# 選擇創(chuàng)建類(lèi)型，如下圖所示。圖68 選擇創(chuàng)建類(lèi)型# 單擊按鈕，選擇虛擬適配器類(lèi)型，如下圖所示。圖69 選擇虛擬適配器類(lèi)型# 設(shè)置網(wǎng)絡(luò)連接，如下圖所示。圖70 設(shè)置網(wǎng)絡(luò)連接# 單擊按鈕，配置 vmkernelIP，如下圖所示。圖71 配置 vmkernelIP# 單擊按鈕，完成配置，如下圖所示。圖72 完成配置# 編輯 vm

47、k1，修改 MTU 最大值為 9000，如下圖所示。圖73 修改 vmk1 的 MTU# 產(chǎn)看主機(jī)上線情況，如下圖所示。圖74 查看主機(jī)上線情況# 查看詳細(xì)情況，如下圖所示。圖75 詳細(xì)情況# 查看上想成功的主機(jī)，如下圖所示。圖76 查看上線成功vSwitch VM 上線創(chuàng)建租戶(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)# 注意創(chuàng)建網(wǎng)絡(luò)的時(shí)候 VDS 選擇剛剛創(chuàng)建的 han，而不是默認(rèn)的 VDS。圖77 創(chuàng)建網(wǎng)絡(luò)# 創(chuàng)建租戶(hù)網(wǎng)絡(luò)，參數(shù)配置如下圖所示。圖78 創(chuàng)建租戶(hù)網(wǎng)絡(luò)# 創(chuàng)建外部網(wǎng)絡(luò)，參數(shù)配置如下圖所示。圖79 創(chuàng)建外部網(wǎng)絡(luò)創(chuàng)建 subnet由于是 overlay，網(wǎng)段不限，這里 IP 地址可以任性。租戶(hù)網(wǎng)絡(luò)建議選擇“

48、激活 dhcp”，這樣虛擬網(wǎng)絡(luò)的虛機(jī)才能根據(jù)網(wǎng)段自動(dòng)分配到地址和默認(rèn)路由。# 租戶(hù)網(wǎng)絡(luò)子網(wǎng)，如下圖所示。圖80 租戶(hù)網(wǎng)絡(luò)子網(wǎng)# 創(chuàng)建租戶(hù)子網(wǎng)，如下圖所示。圖81 創(chuàng)建子網(wǎng)# 租戶(hù)子網(wǎng)參數(shù)配置信息，如下圖所示。圖82 輸入子網(wǎng)信息# 創(chuàng)建外部網(wǎng)絡(luò)子網(wǎng)，如下圖所示。圖83 外部網(wǎng)絡(luò)子網(wǎng)# 外部網(wǎng)絡(luò)子網(wǎng)配置參數(shù)，如下圖所示。圖84 輸入外部網(wǎng)絡(luò)子網(wǎng)信息創(chuàng)建虛擬路由器 vRouter注意：vRouter 創(chuàng)建時(shí)候選擇的 VDS 必須是自己創(chuàng)建的那個(gè) VDS。# 創(chuàng)建虛擬路由器，如下圖所示。圖85 創(chuàng)建虛擬路由器# 虛擬路由器參數(shù)配置，如下圖所示。圖86 虛擬路由器參數(shù)配置把 subnet 加入 vRo

49、uter# 選擇接口，如下圖所示。圖87 選擇接口# 增加接口，如下圖所示。圖88 增加接口# 輸入接口信息，如下圖所示。圖89 輸入接口信息增加外部網(wǎng)絡(luò)# 增加外部網(wǎng)絡(luò)，如下圖所示。圖90 增加外部網(wǎng)絡(luò)# 輸入外部網(wǎng)絡(luò)信息，如下圖所示。圖91 輸入外部網(wǎng)絡(luò)信息創(chuàng)建端口組圖92 創(chuàng)建端口組 PAGE 51為 VM 選取端口組# 在 vCenter 的主機(jī)和群集找到自己的數(shù)據(jù)中心。# 選中希望啟動(dòng)的虛機(jī)。# 編輯虛擬機(jī)設(shè)置。# 選擇網(wǎng)絡(luò)適配器。# 選擇網(wǎng)絡(luò)標(biāo)簽。# 選擇虛機(jī)網(wǎng)絡(luò)所依賴(lài)的端口組（虛機(jī)自動(dòng)分配出來(lái)的 IP 地址由端口組對(duì)應(yīng)的 network 的 subnet中配置的網(wǎng)段和網(wǎng)關(guān)決定，當(dāng)

50、然還有dhcp 選項(xiàng)）。# 確定。# 配置完虛機(jī)的網(wǎng)絡(luò)配置后，啟動(dòng)虛機(jī)。圖93 為 VM 選取端口組啟動(dòng)VM（Win2008）# VM 啟動(dòng)需要一點(diǎn)時(shí)間，變綠以后就說(shuō)明啟動(dòng)好了。# 登錄虛機(jī) console。# 在“運(yùn)行”中輸入 cmd，在命令行窗口中輸入 ipconfig 查看虛機(jī)的地址分配情況，如下圖所示。 PAGE 52圖94 查看虛機(jī)的地址分配情況# 在“運(yùn)行”中輸入 cmd，在命令行窗口中輸入 route print -4 查看虛機(jī)接口的默認(rèn)路由。圖95 查看虛機(jī)接口的默認(rèn)路由在 VCFC 上查看 vm 上線情況本次啟動(dòng)了兩個(gè) vm，ip 地址為 、，如下圖所示。圖96 查看 vm

51、上線情況 PAGE 83S6800 交換機(jī)下掛 VM 上線（網(wǎng)絡(luò) Overlay）S6800 交換機(jī)設(shè)備預(yù)配置# 開(kāi)啟 OVSDB Server 用戶(hù)和控制器建立連接，實(shí)現(xiàn)控制器對(duì)設(shè)備的VXLAN 配置。 system-viewS6800 ovsdb server ptcp port 6632 S6800 ovsdb server enable# 使能 VTEP。S6800 vtep enable# netconf 參數(shù)用戶(hù)控制器向設(shè)備下發(fā)配置信息。S6800 netconf soap http enable S6800 netconf soap https enable# 開(kāi)啟 HTTP 和

52、HTTPS 服務(wù)。S6800 ip http enable S6800 ip https enable# 創(chuàng)建用戶(hù)，VCFC 控制器通過(guò)此賬戶(hù)訪問(wèn) S6800。S6800 local-user admin class manageS6800-luser-manage-dm password simple adminS6800-luser-manage-dm service-type telnet http httpsS6800-luser-manage-dm authorization-attribute user-role network-admin S6800-luser-manage-d

53、m quit# 開(kāi)啟 OSPF 進(jìn)程 1。S6800 ospf 1 S6800-ospf-1 quit# 配置 VXLAN VTEP IP 地址。S6800 interface LoopBack0S6800-LoopBack0 ip address 55S6800-LoopBack0 ospf 1 area S6800-LoopBack0 quit# 配置數(shù)據(jù)網(wǎng) IP。S6800 interface Ten-GigabitEthernet1/2/1S6800-Ten-GigabitEthernet1/2/18 port link-mode routeS6800-Ten-GigabitEther

54、net1/2/18 ip address S6800-Ten-GigabitEthernet1/2/18 ospf 1 area S6800-Ten-GigabitEthernet1/2/18 quit# 配置管理接口 IP 地址。S6800 interface M-GigabitEthernet0/0/0S6800-M-GigabitEthernet0/0/0 ip address 9 S6800-M-GigabitEthernet0/0/0 quitS6800 交換機(jī)上線登錄 VCF 控制器 web 頁(yè)面，在承載網(wǎng)絡(luò)-物理網(wǎng)元中創(chuàng)建物理網(wǎng)元，NETCONF 用戶(hù)名和密碼為登錄 68 設(shè)備的

55、用戶(hù)名密碼圖97 創(chuàng)建物理網(wǎng)元物理網(wǎng)元?jiǎng)?chuàng)建成功后，設(shè)備狀態(tài)變?yōu)閍ctive 即上線成功圖98 查看設(shè)備狀態(tài)VM虛機(jī)上線創(chuàng)建VLAN-VXLAN 映射表確定 VM 虛機(jī)所處 vlan3000，VM 虛機(jī) IP 為 /24，網(wǎng)關(guān)為 54，映射到 SDN組網(wǎng)中的VXLAN ID 也為 3000，在承載網(wǎng)絡(luò) vlan-vxlan 映射中創(chuàng)建映射表。圖99 創(chuàng)建VLAN-VXLAN 映射表點(diǎn)物理接入設(shè)備配置按鈕，將 S6800 設(shè)備加入# 配置物理接入設(shè)備，如下圖所示。圖100 配置物理接入設(shè)備# 添加 S6800 設(shè)備，如下圖所示。圖101 添加S6800 設(shè)備創(chuàng)建租戶(hù)網(wǎng)絡(luò)在虛擬網(wǎng)絡(luò)-物理鏈路層網(wǎng)絡(luò)頁(yè)

56、面中，點(diǎn)創(chuàng)建網(wǎng)絡(luò)按鈕，配置完點(diǎn)應(yīng)用，需要說(shuō)明的是，此處的Segment ID 值需要和租戶(hù)的 VXLAN 值保持一致，否則 VXLAN 隧道無(wú)法創(chuàng)建，外部網(wǎng)絡(luò)在 6.1.1 節(jié)已經(jīng)創(chuàng)建，同一租戶(hù)使用同一外部網(wǎng)絡(luò)，此處不需再次創(chuàng)建。# 創(chuàng)建網(wǎng)絡(luò)，如下圖所示。圖102 創(chuàng)建網(wǎng)絡(luò)# 輸入網(wǎng)絡(luò)信息，如下圖所示。圖103 輸入網(wǎng)絡(luò)信息創(chuàng)建 subnet# 在創(chuàng)建好的 vnet02 網(wǎng)絡(luò)中點(diǎn)子網(wǎng)下的按鈕，創(chuàng)建子網(wǎng)，如下圖所示。圖104 單擊子網(wǎng)按鈕# 創(chuàng)建子網(wǎng)，如下圖所示。圖105 創(chuàng)建子網(wǎng)# S6800 下掛的 VM 的 IP 地址分配可以采用手工分配方式，如下圖所示。圖106 設(shè)置 IP 地址# 創(chuàng)建

57、完成的子網(wǎng)信息，如下圖所示。圖107 創(chuàng)建好的子網(wǎng)信息把 subnet 加入 vRouter# 單擊接口下的增加接口按鈕增加接口，如下圖所示。圖108 增加接口# 增加接口，如下圖所示。圖109 增加接口# 插件接口信息，如下圖所示。圖110 查看接口信息設(shè)置網(wǎng)絡(luò)配置# 設(shè)置網(wǎng)絡(luò)配置，如下圖所示。圖111 設(shè)置網(wǎng)絡(luò)配置# 選擇虛擬機(jī)，單擊按鈕，如下圖所示。圖112 選擇虛擬機(jī)，單擊下一步# 選中 VM 的數(shù)據(jù)口網(wǎng)卡，單擊按鈕，如下圖所示。圖113 選中VM 的數(shù)據(jù)口網(wǎng)卡# 配置虛擬網(wǎng)卡名稱(chēng)，并配置VLAN，單擊按鈕，如下圖所示。圖114 配置虛擬網(wǎng)卡名稱(chēng)和 VLAN# 單擊按鈕，如下圖所示。圖

58、115 單擊完成# 配置虛擬網(wǎng)卡為混雜模式，可以接受帶 VLAN 的報(bào)文。圖116 配置虛擬網(wǎng)卡# 將 VM 的網(wǎng)卡設(shè)置為VM Network 2，如下圖所示。圖117 設(shè)置VM 網(wǎng)卡# VM 打開(kāi)控制臺(tái)，配置 IP 地址及網(wǎng)關(guān)，如下圖所示。圖118 VM 打開(kāi)控制臺(tái)，配置 IP 地址及網(wǎng)關(guān)# 重啟網(wǎng)卡。# 在“運(yùn)行”中輸入 cmd，在命令行窗口中輸入 ipconfig 查看虛機(jī)的地址分配情況，如下圖所示。圖119 查看虛機(jī)的地址分配情況# 在“運(yùn)行”中輸入 cmd，在命令行窗口中輸入 route print -4 查看虛機(jī)接口的默認(rèn)路由，如下圖所示。圖120 查看虛機(jī)接口的默認(rèn)路由登錄 VC

59、F 控制器 web 頁(yè)面中虛擬網(wǎng)絡(luò)虛擬端口頁(yè)面進(jìn)行查看，刷新一段時(shí)間后，VM 虛機(jī)即上線# 查看虛擬機(jī)狀態(tài)，如下圖所示。圖121 查看虛機(jī)狀態(tài)驗(yàn)證配置虛擬 ping 網(wǎng)關(guān)# 將 VM1、VM2 和 VM3 三臺(tái)虛擬機(jī)都開(kāi)啟，如下圖所示。圖122 開(kāi)啟VM1、VM2 和VM3# 分別登錄到 3 臺(tái)虛擬機(jī)，ping 網(wǎng)關(guān)設(shè)備。# VM1 ping 網(wǎng)關(guān)，如下圖所示。圖123 VM1 ping 網(wǎng)關(guān)# VM2 ping 網(wǎng)關(guān)，如下圖所示。圖124 VM2 ping 網(wǎng)關(guān)# VM3 ping 網(wǎng)關(guān)，如下圖所示。圖125 VM3 ping 網(wǎng)關(guān)虛機(jī)之間互通# 從 VM1 ping VM2，驗(yàn)證 vSwi

60、tch 下掛虛機(jī)間 VM1 和VM2 流量通。圖126 VM1 和 VM2 流量通從 VM1 ping VM3，驗(yàn)證 vSwitch 下掛虛機(jī)VM1 到S6800 下掛虛機(jī) VM3 流量通圖127 VM1 和 VM3 流量通虛機(jī)和外網(wǎng)互通# 從 VM1 ping 外網(wǎng)地址 54，驗(yàn)證 VM1 和外網(wǎng)流量通。圖128 VM1 和外網(wǎng)流量通從外網(wǎng) ping VM1，驗(yàn)證外網(wǎng)流量能到達(dá) VM1。# 在虛擬網(wǎng)絡(luò) / 浮動(dòng) IP菜單項(xiàng)，配置浮動(dòng) IP 并在對(duì)應(yīng)虛擬端口上綁定，這樣可以外網(wǎng)虛機(jī)訪問(wèn)內(nèi)網(wǎng)。# 分配浮動(dòng) IP，如下圖所示。圖129 分配浮動(dòng) IP# 虛擬網(wǎng)絡(luò)虛擬端口，選擇虛擬端口修改，如下圖所