高士涛-学习日报

姓名

高士涛

日期

2023/07/03

部门

云服务业务部

导师

王晓明

学习工作内容

租户网络三层隔离与互通的模拟实验(配置文档)

一、实验目的

在华三云环境里面面临一个问题是如何实现不同租户网络的二层隔离和三层隔离。

二层隔离是通过 VxLAN 实现 ,三层隔离通过IP VPN 实现 。

在华三云环境里会让租户数据通过租户防火墙连接专门的 L3 交换机实现不同租户间的、按照业务安全要求策略的三层互通 。

该实验是对真实环境的一个简化和模拟,帮助大家了解租户数据流向,了解 VPN 实现三层隔离,了解L3交换机通过OSPF实现不同VPN 的三层互通,了解VLAN 终结的配置使用。

 

二、实验拓扑

图片包含 表格 描述已自动生成

 

三、实验需求

1PC_1PC_2处于两个不同网段。

2、 在SW1上:

SW1接口启用三层模式,SW1的上行口GE_0/1GE_0/2进行三层接口聚合,并基于三层聚合口RAGG12创建两个子接口RAGG12.1RAGG12.2

② 在SW1上配置VPN,其中GE_0/3RAGG12.1映射到同一个VPNGE_0/4RAGG12.2映射到另一个VPN,以实现不同业务网段之间的三层隔离(即10.10.1.0/24网段不能直接通过SW1 ping10.10.2.0/24网段)。【注:交换机接口绑定vpn实例后需重新添加IP地址】

SW1的两个子接口RAGG12.1RAGG12.2启用VLAN子接口功能(即Dot1q终结子接口)。其中,RAGG12.1终结pvid 10RAGG12.2终结pvid 20

3、 在SW2上:

SW2GE_0/1GE_0/2进行二层接口聚合,然后在二层聚合口上启用Trunk模式,允许VLAN 10 VLAN 20通过,实现二层隔离。

② 在SW2上创建Vlan-interface10Vlan-interface20,并分别配置IP,实现VLAN 10 VLAN 20数据的三层互通。

4、 请在以上条件的基础上,分别用以下两种方式,实现PC_1PC_2的互通:

① 配置静态路由: 在SW1SW2上手动添加必要的静态路由。

② 配置OSPF动态路由: 在SW1 的两个子接口与SW2 的两个VLAN interface 间配置OSPF,使得SW2 学习到SW1 的两个IP VPN 中的路由, 实现 PC1PC2 间互通。

 

四、配置步骤

1、 注意事项:

HCL模拟器中,交换机需使用S6850版本才支持Dot1q的配置。

2、 配置SW1

SW1接口开启三层模式:

 

② 创建三层聚合口RAGG12,并将物理口G1/0/1G1/0/2添加到三层聚合口:

 

③ 配置SW1的各接口IP:(此步可以省略先配置)

 

④ 查看各接口状态:

 

⑤ 创建两个VPN实例:

 

⑥ 根据实际业务,将G1/0/3RAGG12.1绑定到VPN实例zh1中,将G1/0/4RAGG12.2绑定到VPN实例zh2中:

 

⑦ 创建VLAN,配置Dot1q终结子接口:

 

3、 配置SW2

① 在SW2上创建二层聚合口,将物理口G1/0/1G1/0/2添加到该二层聚合口:

 

② 在SW2上创建VLAN

 

③ 配置二层聚合口为Trunk模式,允许 VLAN 10 VLAN 20 通过:*

 

④ 配置Vlan-interface10Vlan-interface20,并分别配置IP

 

4、 配置路由之前,测试PC_1PC_2之间的连通性

PC_1PC_2之间互PING,发现不能连通:

 

5、 配置路由

1)静态路由方式

① 在SW1上为两条VPN链路配置缺省路由:

 

② 在SW2上配置回程静态路由:

 

③ 查看SW2的路由表:

 

PC_1PC_2之间进行连通性测试,这时可以相互PING通了:

 

2OSPF动态路由方式

① 首先删除之前的静态路由配置:

 

② 在SW1上为两条VPN链路分别配置OSPF

 

③ 在SW2上配置OSPF

 

④ 查看SW2的路由表:

 

PC_1PC_2之间进行连通性测试,可以相互PING通:

 

 

 

参考文档:

1、华三防火墙三层逻辑子接口对接华三交换机

华三防火墙三层逻辑子接口对接华三交换机_华三子接口_F小新IT的博客-CSDN博客

2Trunk 口使用说明:

数据进trunk接口,

l  若本身带标签,看接口是否允许通过,若允许,带标签进入,如不允许,丢弃;

l  若本身不带标签,打上pvid的标签进入;

数据出trunk接口,

l  若标签等于pvid,则去掉标签出去;

l  若标签不等于pvid,看是否允许通过,若允许,出去,不允许,转发失败

 

Trunk

VLAN Tag

不带VLAN Tag

检查接口是否允许通过:

Ø  若允许,带标签进入,

Ø  如不允许,丢弃;

 打上pvid的标签进入

Trunk

VLAN Tag = PVID

VLAN Tag  PVID

去掉标签发出

检查是否允许通过:

Ø  若允许,发出

Ø  不允许,转发失败

 

3、三层子接口配置与VLAN 终结

三层子接口配置 :

在一个三层接口中创建子接口 , 不同的子接口可以使用独立的IP 地址

比如 :  

Route-Aggregation206.422      192.110.216.17

Route-Aggregation206.423      192.110.212.6

VLAN 终结 :

定义:VLAN终结是指设备对接收到的报文中的VLAN标签进行识别,根据后续的转发行为对报文中的单层或双层VLAN标签进行剥除,然后进行三层转发或其他处理。也就是这些VLAN标签只在终结之前生效,之后的三层转发或其他处理不再依据报文中的这些标签。

VLAN终结的实质包含两个方面:(https://blog.51cto.com/13871222/2150053

Ø  对接口接收的报文,剥除VLAN标签后进行三层转发或其他处理。

Ø  对接口发出的报文,将相应的VLAN标签添加到报文中后再发送。

https://blog.51cto.com/u_13699905/4874621?articleABtest=1

https://blog.51cto.com/13871222/2150053

 

遗留问题

 

明日计划

继续深入学习