本帖最后由 杨童 于 2023-12-26 08:53 编辑
本文核心思想:目前涉及m-lag、sr、vxlan等这些新技术的三方对接场景越来越多,但是交换机、路由器这些三方产品无法以ova等镜像形式部署到超融合或者vmware中,在学习实验阶段面临无法论证可行性和效果的问题; 基于以上问题,本文介绍了纯虚拟化环境下深信服设备对接华三交换机、路由器等设备的实验环境搭建步骤,能够实现大多数场景的对接实验; PS:本文以深信服AD对接华三交换机的m-lag over ospf实验举例,主要讲环境搭建思路,具体的通用配置不做说明
==========================================================================
实验物料准备: 1、windows电脑一台,推荐win10/11,cpu需支持虚拟化,内存越大越好(根据虚拟机内存配置决定); 2、深信服AD的OVA模板(或其他设备镜像); 3、华三模拟器HCL V5.5(推荐5.5最稳定,bug少)---华三官网下载即可 4、Oracle VM VirtualBox 6.0.14(华三模拟器安装包自带vbox安装包,无需单独下载)
==========================================================================
实验环境/原理介绍: 1、在windows上使用vbox虚拟化平台部署深信服AD(或其他设备,只要能虚拟化部署就行);用华三模拟器部署虚拟化的华三交换机(华三模拟器是基于vbox的虚拟化平台的,交换机本质上也都是虚拟机);
2、在windows创建虚拟网卡或复用物理网卡作为虚拟网桥/交换机,虚拟机和华三交换机的接口都接到虚拟网桥上,相当于虚拟机和华三交换机之间串了一台交换机,打通两者之间二层的网络,实现互访;
3、本案例以一台深信服AD对接两台华三交换机(m-lag over ospf)举例;
4、AD通过链路聚合与华三交换机互联,在此之上建立ospf邻居,实现动态路由交互;
5、AD和交换机之间通过windows自带的loopback接口作为网桥二层互联;
6、逻辑拓扑如下图:
7、实际连接关系如下图: 华三模拟器通过自带的桥接能力,将交换机的下联口桥接到windows的两个loopback接口,然后vbox中虚拟机AD也同样将网口桥接到loopback接口(此接口相当于二层交换机,透传所有报文),打通华三模拟器中的虚拟交换机和vbox中的虚拟AD的接口网络
================================================================================
具体环境搭建步骤: 1、在windows电脑安装好华三模拟器、vbox软件---双击下载好的华三模拟器HCL的安装包,根据提示一直点下一步就行,会自动弹出vbox的安装进程;HCL可以自选安装路径,但是vbox需按照默认配置,不然HCL无法调用vbox的虚拟化底层;
3、将AD的OVA镜像导入到vbox并开机(具体导入步骤自行百度)
4、设置深信服AD的虚拟机网口,将带外管理口桥接到windows的网卡上,用于通过windows登录web控制台;这里注意可能会网口乱序,可以通过接入网线功能反复给接口上下电来观察哪个接口是eth0,带外管理的网口可以直接桥接到电脑的无线/物理网卡,或者其他的虚拟网卡,比如下图就桥接到了hyper-v的虚拟网卡上,然后给对应的网卡配上管理IP(主从IP都行),用浏览器访问AD即可; 如果AD需要联网授权,也可以结合此方式做网络共享让AD上网;
5、配置AD链路聚合口、vlan、IP等---不做赘述
6、给AD聚合口桥接虚拟网卡:找到聚合口对应的网卡后,将网卡设置为桥接模式,桥接到loopback接口,注意一定要选择高级,设置混合模式为全部允许,不然可能出现收不到arp/icmp包的问题
7、在华三模拟器中创建交换机和Host主机,将两台交换机的聚合口分别接到不同的环回口上,要求和上一步AD桥接的网卡相对应
8、跨设备链路聚合效果验证:根据实验需求配置m-lag组,配置好链路聚合,可在交换机上检查聚合组成员接口状态,如下图每台设备的接口都是select状态,说明lacp协商成功
9、抓包验证网桥连通性,通过wireshark等工具,选择loopback网卡,可以看到网卡中有LACP、ARP等报文在交互,说明虚拟机之前桥接正常
10、配置并验证OSPF邻居状态:AD正常和两个交换机分别建立了邻居关系,状态full,路由条目学习正常
==========================================================================
FQA:
Q:可以不安装vbox吗? A:华三模拟器是基于vbox工作的,vbox必须安装。
Q:vbox可以用最新版本或老版本吗? A:可以但不建议,大概率有各种各样的bug,建议用模拟器自带版本。
Q:可以用vmware workstation来部署AD吗? A:可以用,但需要注意vmware本身无法给接口开启混杂模式,在部分场景下(m-lag、单臂路由)会出现lacp协商成功,但是收不到arp、icmp报文的问题,所以建议优先vbox,如果存在设备无法在vbox运行的情况,比如新架构防火墙在vbox内无法开机,则可考虑vmware部署(仅限于linux系统虚拟机),然后在虚拟机内部开启接口混杂模式的方法(仅限于linux系统虚拟机)以如深信服新架构防火墙8086举例,使用sangfor权限进后台,使用命令:ifconfig 接口名 -promisc 即可开启对应接口的混杂模式
Q:华为模拟器适用该场景吗? A:两种模拟器工作原理一样,理论上没问题,建议实测。
Q:可以做哪些实验? A:华三模拟器的交换机和路由器目前主流的路由、交换等协议基本都支持,包括sr、vxlan等(可做分布式,因为没有SDN控制器无法模拟集中式),交换机厂商和深信服设备对接比较多的场景举例:ipsec vpn,gre over ipsec,m-lag,堆叠,跨三层取mac,802.1x,ospf,bgp,镜像流量等都可以通过模拟器拟真。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-12-25 11:12
技术研究员1级 
