请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 1145|回复: 7

【原创翻译】ASA VXLAN接口 配置

[复制链接]
发表于 2019-10-30 10:16:18 | 显示全部楼层 |阅读模式
ASA 版本从9.4(1) 开始支持VXLAN 了,这里举例两个模式配置案例,有需要配置的可以参考如下配置


透明VXLAN 网关示例


• GigabitEthernet 0/0 上的外部接口用作VTEP 源接口,并且连接到第3 层网络。
• GigabitEthernet 0/1.100 上的insidevm100 VLAN 子接口连接到VM3 所在的10.10.10.0/24 网络。
当VM3 与VM1(未显示;两者均有10.10.10.0/24 IP 地址)通信时,ASA 使用VXLAN 标签6000。

• GigabitEthernet 0/1.200 上的insidevm200 VLAN 子接口连接到VM2 所在的10.20.20.0/24 网络。
当VM2 与VM4(未显示;两者均有10.20.20.0/24 IP 地址)通信时,ASA 使用VXLAN 标签8000。

• GigabitEthernet 0/2 上的insidepc 接口连接到若干PC 所在的10.30.30.0/24 网络。当这些PC 与属于同一网络(全部具有10.30.30.0/24 IP 地址)的远程VTEP 后面的VM/PC(未显示)进行通信时,ASA 使用VXLAN 标签10000。

ASA 配置
firewall transparent
vxlan port 8427
!
interface gigabitethernet0/0
nve-only
nameif outside
ip address 192.168.1.30 255.255.255.0
no shutdown
nve 1
encapsulation vxlan
source-interface outside
!
interface vni1
segment-id 6000
nameif vxlan6000
security-level 0
bridge-group 1
vtep-nve 1
mcast-group 235.0.0.100
!
interface vni2
segment-id 8000
nameif vxlan8000
security-level 0
bridge-group 2
vtep-nve 1
mcast-group 236.0.0.100
!
interface vni3
segment-id 10000
nameif vxlan10000
security-level 0
bridge-group 3
vtep-nve 1
mcast-group 236.0.0.100
!
interface gigabitethernet0/1.100
nameif insidevm100
security-level 100
bridge-group 1
!
interface gigabitethernet0/1.200
nameif insidevm200
security-level 100
bridge-group 2
!
interface gigabitethernet0/2
nameif insidepc
security-level 100
bridge-group 3
!
interface bvi 1
ip address 10.10.10.1 255.255.255.0
!
interface bvi 2
ip address 10.20.20.1 255.255.255.0
!
interface bvi 3
ip address 10.30.30.1 255.255.255.0


备注
• 对于VNI 接口vni1 和vni2,在封装过程中将删除内部VLAN 标签。
• VNI 接口vni2 和vni3 通过组播共享封装的ARP 的同一组播IP 地址。系统允许此共享。
• ASA 基于以上BVI 和网桥组配置,将VXLAN 流量桥接到非VXLAN 支持的接口。对于每个扩展的第2 层网段(10.10.10.0/24、10.20.20.0/24 和10.30.30.0/24),ASA 充当网桥。
• 在网桥组中允许有多个VNI 或多个常规接口(VLAN 或仅物理接口)。VXLAN 网段ID 与VLAN ID(或物理接口)之间的转发或关联,由目标MAC 地址和连接到目标的接口决定。
• VTEP 源接口是透明防火墙模式下,由接口配置中的nve-only 所指示的第3 层接口。VTEP 源接口不是BVI 接口或管理接口,但是具有IP 地址,并且使用路由表。



VXLAN 路由示例

示例的说明:
• VM1 (10.10.10.10) 通过虚拟服务器1 进行托管,VM2 (10.20.20.20) 通过虚拟服务器2 进行托管。
• VM1 的默认网关是ASA,它不与虚拟服务器1 位于同一个pod 上,但VM1 对此并不知晓。VM1 只知道其默认网关IP 地址为10.10.10.1。同样,VM2 只知道其默认网关IP 地址为10.20.20.1。
• 虚拟服务器1 和2 上的支持VTEP 的虚拟机监控程序可以通过相同的子网或第3 层网络(未显示;不管是哪种情况,ASA 和虚拟服务器的上行链路都具有不同的网络地址)与ASA 进行通信。
• VM1 的数据包将通过其虚拟机监控程序的VTEP 进行封装,并通过VXLAN 隧道发送到其默认网关。
• 当VM1 将数据包发送到VM2 时,对数据包而言,它将通过默认网关10.10.10.1 进行发送。虚拟服务器1 知道10.10.10.1 不是本地地址,因此VTEP 会通过VXLAN 封装数据包,并将其发送至ASA 的VTEP。
• 在ASA 上,对数据包进行解封。在解封过程中可获取VXLAN 网段ID。然后,ASA 会基于VXLAN 网段ID 将内部帧重新注入到对应的VNI 接口(vni1)。ASA 然后会执行路由查找,并通过VNI 接口vni2 发送内部数据包所有通过vni2 的传出数据包都使用VXLAN 网段8000 进行封装,并通过VTEP 发送到外部。
• 最终,虚拟服务器2 的VTEP 接收封装的数据包、解封数据包,并将数据包转发到VM2。

ASA 配置
interface gigabitethernet0/0
nameif outside
ip address 192.168.1.30 255.255.255.0
no shutdown
!
nve 1
encapsulation vxlan
source-interface outside
default-mcast-group 235.0.0.100
!
interface vni1
segment-id 6000
nameif vxlan6000
security-level 0
vtep-nve 1
ip address 10.20.20.1 255.255.255.0
!
interface vni2
segment-id 8000
nameif vxlan8000
security-level 0
vtep-nve 1
ip address 10.10.10.1 255.255.255.0







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (2 评价)
发表于 2019-10-30 17:37:20 | 显示全部楼层
感谢版主分享,谢谢~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-10-30 17:56:52 | 显示全部楼层
新的技术尝鲜,点个赞!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-10-30 20:14:44 | 显示全部楼层
LieBenSun0407 发表于 2019-10-30 17:56
新的技术尝鲜,点个赞!

有遇到过项目要配置的,所以搞个扫盲贴出来
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2019-11-7 08:58:39 | 显示全部楼层
感谢版主分享,谢谢~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-11-8 15:34:24 | 显示全部楼层
干货!我喜欢~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-11-12 17:34:23 | 显示全部楼层
感谢版主的分享,学习中
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 7 天前 | 显示全部楼层
这个不错,多谢分享~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-11-23 01:51 , Processed in 0.101851 second(s), 53 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表