虚拟化环境下深信服设备对接华三HCL模拟器实验环境搭建思路

本文核心思想：

目前涉及m-lag、sr、vxlan等这些新技术的三方对接场景越来越多，但是交换机、路由器这些三方产品无法以ova等镜像形式部署到超融合或者vmware中，在学习实验阶段面临无法论证可行性和效果的问题；

基于以上问题，本文介绍了纯虚拟化环境下深信服设备对接华三交换机、路由器等设备的实验环境搭建步骤，能够实现大多数场景的对接实验；

PS：本文以深信服AD对接华三交换机的m-lag over ospf实验举例，主要讲环境搭建思路，具体的通用配置不做说明

==========================================================================

实验物料准备：

1、windows电脑一台，推荐win10/11，cpu需支持虚拟化，内存越大越好（根据虚拟机内存配置决定）；

2、深信服AD的OVA模板（或其他设备镜像）；

3、华三模拟器HCL V5.5（推荐5.5最稳定，bug少）---华三官网下载即可

4、Oracle VM VirtualBox 6.0.14（华三模拟器安装包自带vbox安装包，无需单独下载）

==========================================================================

实验环境/原理介绍：

1、在windows上使用vbox虚拟化平台部署深信服AD（或其他设备，只要能虚拟化部署就行）；用华三模拟器部署虚拟化的华三交换机（华三模拟器是基于vbox的虚拟化平台的，交换机本质上也都是虚拟机）；

2、在windows创建虚拟网卡或复用物理网卡作为虚拟网桥/交换机，虚拟机和华三交换机的接口都接到虚拟网桥上，相当于虚拟机和华三交换机之间串了一台交换机，打通两者之间二层的网络，实现互访；

3、本案例以一台深信服AD对接两台华三交换机（m-lag over ospf）举例；

4、AD通过链路聚合与华三交换机互联，在此之上建立ospf邻居，实现动态路由交互；

5、AD和交换机之间通过windows自带的loopback接口作为网桥二层互联；

6、逻辑拓扑如下图：

7、实际连接关系如下图：

华三模拟器通过自带的桥接能力，将交换机的下联口桥接到windows的两个loopback接口，然后vbox中虚拟机AD也同样将网口桥接到loopback接口（此接口相当于二层交换机，透传所有报文），打通华三模拟器中的虚拟交换机和vbox中的虚拟AD的接口网络

================================================================================

具体环境搭建步骤：

1、在windows电脑安装好华三模拟器、vbox软件---双击下载好的华三模拟器HCL的安装包，根据提示一直点下一步就行，会自动弹出vbox的安装进程；HCL可以自选安装路径，但是vbox需按照默认配置，不然HCL无法调用vbox的虚拟化底层；

2、windows安装两个以上loopback接口（根据实验中AD和交换机需要对接的线路决定，需要几个网桥就创建几个loopback接口，不可多个网桥复用一个接口）：具体步骤参考百度https://blog.csdn.net/qq_46665948/article/details/134915115

3、将AD的OVA镜像导入到vbox并开机（具体导入步骤自行百度）

4、设置深信服AD的虚拟机网口，将带外管理口桥接到windows的网卡上，用于通过windows登录web控制台；这里注意可能会网口乱序，可以通过接入网线功能反复给接口上下电来观察哪个接口是eth0，带外管理的网口可以直接桥接到电脑的无线/物理网卡，或者其他的虚拟网卡，比如下图就桥接到了hyper-v的虚拟网卡上，然后给对应的网卡配上管理IP（主从IP都行），用浏览器访问AD即可；如果AD需要联网授权，也可以结合此方式做网络共享让AD上网；

5、配置AD链路聚合口、vlan、IP等---不做赘述

6、给AD聚合口桥接虚拟网卡：找到聚合口对应的网卡后，将网卡设置为桥接模式，桥接到loopback接口，注意一定要选择高级，设置混合模式为全部允许，不然可能出现收不到arp/icmp包的问题

7、在华三模拟器中创建交换机和Host主机，将两台交换机的聚合口分别接到不同的环回口上，要求和上一步AD桥接的网卡相对应

8、跨设备链路聚合效果验证：根据实验需求配置m-lag组，配置好链路聚合，可在交换机上检查聚合组成员接口状态，如下图每台设备的接口都是select状态，说明lacp协商成功

9、抓包验证网桥连通性，通过wireshark等工具，选择loopback网卡，可以看到网卡中有LACP、ARP等报文在交互，说明虚拟机之前桥接正常

10、配置并验证OSPF邻居状态：AD正常和两个交换机分别建立了邻居关系，状态full，路由条目学习正常

==========================================================================

FQA：

Q：可以不安装vbox吗？

A：华三模拟器是基于vbox工作的，vbox必须安装。

Q：vbox可以用最新版本或老版本吗？

A：可以但不建议，大概率有各种各样的bug，建议用模拟器自带版本。

Q：可以用vmware workstation来部署AD吗？

A：可以用，但需要注意vmware本身无法给接口开启混杂模式，在部分场景下（m-lag、单臂路由）会出现lacp协商成功，但是收不到arp、icmp报文的问题，所以建议优先vbox，如果存在设备无法在vbox运行的情况，比如新架构防火墙在vbox内无法开机，则可考虑vmware部署（仅限于linux系统虚拟机），然后在虚拟机内部开启接口混杂模式的方法（仅限于linux系统虚拟机）以如深信服新架构防火墙8086举例，使用sangfor权限进后台，使用命令：ifconfig 接口名 -promisc   即可开启对应接口的混杂模式

Q：华为模拟器适用该场景吗？

A：两种模拟器工作原理一样，理论上没问题，建议实测。

Q：可以做哪些实验？

A：华三模拟器的交换机和路由器目前主流的路由、交换等协议基本都支持，包括sr、vxlan等（可做分布式，因为没有SDN控制器无法模拟集中式），交换机厂商和深信服设备对接比较多的场景举例：ipsec vpn，gre over ipsec，m-lag，堆叠，跨三层取mac，802.1x，ospf，bgp，镜像流量等都可以通过模拟器拟真。

牛逼童哥

666666666喜欢

感谢分享，每天进步亿点点

感谢分享，有助于增长见识，学习一下！

感谢分享，有助于增长见识，学习一下！

AD的镜像ova没授权玩不了啊？

感谢楼主的精彩分享，有助工作!!!