- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
28-微分段配置
本章節下載: 28-微分段配置 (372.67 KB)
微分段(Microsegment),也叫基於精細分組的安全隔離,其實質就是基於對報文進行分組後的組標識來進行流量控製。例如,將數據中心網絡中的服務器按照一定的原則進行分組,然後基於分組來部署流量控製策略,從而達到簡化運維、安全管控的目的。
按照一定的原則對網絡終結點(例如一個或一組服務器)劃分的組。每個微分段都擁有一個全局唯一的ID。
GBP(Group Based Policy,組策略),基於微分段的流量控製策略,可以通過如下任意一個配置實現:
· 策略路由:一個策略路由節點對應一個GBP,通過策略路由中的apply動作對微分段間的互通進行控製。
· QoS策略:QoS策略中的一個CB對對應一個GBP,通過流行為中的動作對微分段間的互通進行控製。
· 報文過濾:一個報文過濾對應一個GBP,通過ACL規則中的permit或deny動作對微分段間的互通進行控製。
有關策略路由的詳細介紹,請參見“三層技術-IP路由配置指導”中的“策略路由”。有關QoS策略的詳細介紹,請參見“ACL和QoS配置指導”中的“QoS策略”和“流量過濾”。有關報文過濾的詳細介紹,請參見“ACL和QoS配置指導”中的“ACL”。
如圖1-1所示,微分段功能由配置微分段、ACL和GBP共同組成。其中,GBP可以選擇使用QoS策略、報文過濾或策略路由。
微分段功能不對微分段內成員間的互通進行控製,而對微分段間的互通進行控製。其控製策略生效的位置是分組流量轉發鏈路的源端設備,因此若需要對雙向流量進行控製,則需要在兩端設備上都部署微分段功能,中間節點則不需要。
微分段功能支持在IP網絡、VXLAN網絡和EVPN網絡中部署。在不同網絡中微分段功能的基本配置大致相同,不同之處在於:
· 在IP網絡中,所有配置均需配置在三層網關設備上;在VXLAN網絡和EVPN網絡中,所有配置均需配置在VTEP上。
· 在EVPN網絡中,如果本端微分段ID和成員IP地址的對應關係已經通過BGP EVPN的MAC/IP發布路由的擴展團體屬性同步給了對端,則實現雙向流量控製時,對端就無需配置相同的微分段,僅配置所需的ACL和GBP即可。
選擇不同配置作為GBP時,其流量控製動作是不同的:
· 選擇QoS策略作為GBP時,流量控製動作為流行為中的filter deny或filter permit。
· 選擇報文過濾作為GBP時,流量控製動作為ACL規則中的deny或permit。
· 選擇策略路由作為GBP時,流量控製動作為apply next-hop或apply output-interface null0。
微分段功能在IP網絡、VXLAN網絡和EVPN網絡中的基本運行機製相同。如圖1-2所示,本節以IP網絡中Host A至Host D的單向流為例,並選擇QoS策略作為GBP講述微分段功能的運行機製。
(1) Device A收到Host A發送給Host D的報文後,從報文中獲取到源IP地址(192.168.1.2)和目的IP地址(192.168.1.5)。
(2) Device A根據報文的源IP地址(192.168.1.2),按照最長匹配原則查找FIB表項,獲取源端Host A所屬的微分段ID(微分段1)。
(3) Device A根據報文的目的IP地址(192.168.1.5),按照最長匹配原則查找FIB表項,獲取目的端Host D所屬的微分段ID(微分段2)。
(4) Device A根據源端Host A所屬的微分段ID(微分段1)和目的端Host D所屬的微分段ID(微分段2)查找ACL規則,對命中ACL的報文執行QoS策略中指定的如下動作:
¡ filter permit,允許報文通過。
¡ filter deny,禁止報文通過。
圖1-2 三層報文在IP網絡中進行轉發示意圖
對於跨設備轉發流量也是同理,這裏不再贅述。
配置微分段功能時,需要注意的是:
· 請在網絡部署起始階段配置本功能,否則路由條數太多,可能會導致微分段功能使能失敗。
· 如果組網中應用了ARP代理和ND代理等涉及三層業務流量的代理功能,則配置微分段功能不生效。
· 當設備上連接主機的接口被配置為用戶側接口(通過arp mode uni命令)時,對該接口上的流量應用微分段功能不生效。
· 對設備網關地址應用微分段功能不生效。
· 使用微分段對VLAN中的流量進行控製時,僅普通VLAN支持微分段功能。
· 對於設備出方向上匹配到ACL規則的流量,無法應用微分段功能。
· 對用戶配置的缺省路由應用微分段功能後,設置指導報文轉發的缺省下一跳功能(通過命令apply default-next-hop命令)不可用。
使用微分段對跨VPN互訪的流量進行控製時,為了保證單向的流量正常轉發,需要注意的是:
· 當指導流量轉發的路由是網段路由時,需要在流量入VPN的設備(即源端PE)上,將網段路由的目的IP也作為成員加入微分段中。
· 當指導流量轉發的路由是主機路由時,需要在流量出VPN的設備(即目的端PE)上,將主機路由的目的IP也作為成員加入微分段中。
微分段配置任務如下:
(1) 配置微分段
(2) (可選)配置聚合微分段
(3) 配置ACL
(4) 配置GBP
請選擇以下一項任務進行配置:
¡ 配置策略路由
¡ 配置QoS策略
¡ 配置報文過濾
(5) (可選)配置微分段ID屬性的擴展團體屬性類型值
在EVPN網絡中,配置微分段ID屬性的擴展團體屬性類型值可以避免與其他擴展團體屬性的類型值衝突。
(6) (可選)配置微分段的網段地址成員采用的匹配方式
微分段功能可以應用在IP網絡、VXLAN網絡和EVPN網絡中,有關各自網絡的基礎配置,本模塊的配置步驟中略。
對雙向流量都進行控製時:
· 對於IP網絡和VXLAN網絡,需要在兩端設備上都配置微分段,且微分段的配置需完全一致。
· 對於EVPN網絡,設備在發布MAC/IP路由時支持通過BGP擴展團體屬性攜帶微分段ID,即微分段的配置僅需在本端設備上配置即可。當本端開啟了微分段功能,且微分段中的成員(即IP地址)在MAC/IP發布路由中時:
¡ 微分段的信息會自動同步給對端設備。同步數據會直接在接收設備上生效,不受接收設備上microsegment enable命令的控製。
¡ 如果對端設備也開啟了微分段功能,對於有衝突的數據,以同步數據為準。
有關MAC/IP發布路由的詳細介紹,請參見“EVPN配置指導”中的“EVPN概述”。
當配置了空閑內存告警的門限值,且剩餘空閑內存到達了告警門限後,無法創建微分段,也無法進入已創建的微分段。已配置的微分段功能可以正常使用。
(1) 進入係統視圖。
system-view
(2) 創建微分段,並進入微分段視圖。
microsegment microsegment-id [ name microsegment-name ]
缺省情況下,不存在微分段。
(3) 向微分段中添加成員。
member ipv4 ipv4-address { mask | mask-length } [ vpn-instance vpn-instance-name ]
member ipv6 ipv6-address prefix-length [ vpn-instance vpn-instance-name ]
缺省情況下,微分段中不存在成員。
(4) (可選)配置VSI與微分段關聯,將通過該AC接入的用戶加入到微分段中。
xconnect vsi命令用來將AC與VSI關聯。有關本命令的詳細介紹,請參見“VXLAN命令參考”。
缺省情況下,未配置VSI與微分段關聯。
需要注意,使用本方式為微分段添加成員後,相關信息不支持通過display microsegment命令查看。
(5) 退回係統視圖。
quit
(6) 開啟微分段功能。
microsegment enable
缺省情況下,微分段功能處於關閉狀態。
普通微分段是對網絡終結點(例如IP地址)進行的分組,而聚合微分段是在此基礎上對普通微分段進行的二次分組,以實現更加精細化的分組管理。一個聚合微分段是通過掩碼對ID連續的多個普通微分段進行聚合後生成的新的微分段,它的ID是被聚合的普通微分段ID中的最小值。
如圖1-3所示,微分段8~15這8個微分段間兩兩互通。在此基礎上,如需禁止微分段12與14互通、微分段13與14互通,采用重新規劃微分段相關配置會很繁瑣,直接使用聚合微分段會更加便捷。聚合微分段的配置思路為:將普通微分段12與13進行聚合,生成聚合微分段(ID為12),並新建GBP禁止聚合微分段12與普通微分段14互通。
(1) 進入係統視圖。
system-view
(2) 創建聚合微分段。
microsegment aggregation aggregation-id mask-length mask-length [ name aggregation-name ]
缺省情況下,不存在聚合微分段。
配置ACL時需要注意:
· 對雙向流量都進行控製時,兩端設備上都需要配置ACL,且ACL規則中指定的源、目的微分段互為相反。
· 如果使用策略路由或QoS策略作為GBP對流量進行控製,則ACL規則中的動作需配置為permit,表示命中該規則的報文會執行策略路由中對應的apply動作或QoS策略中對應的流行為動作。
· 如果使用報文過濾作為GBP對流量進行控製,則ACL規則中的動作可以配置為permit或deny,表示允許或禁止命中規則的報文通過。
(1) 進入係統視圖。
system-view
(2) 創建IPv4或IPv6高級ACL,並進入IPv4或IPv6高級ACL視圖。請選擇其中一項進行配置。
¡ acl [ ipv6 ] number acl-number [ name acl-name ] [ match-order { auto | config } ]
¡ acl [ ipv6 ] { advanced | basic } { acl-number | name acl-name } [ match-order { auto | config } ]
(3) 創建規則。
具體配置ACL規則的命令,請參見“ACL和QoS命令參考”中“ACL”中的rule命令。
rule命令中的destination microsegment microsegment-id和source microsegment microsegment-id必須指定,其他關鍵字請按需配置。
在策略路由中引用ACL,並指定策略節點的apply動作為具體下一跳(表示允許流量通過)或出接口NULL0(表示禁止流量通過),就能實現控製微分段間是否可以互通的目的。
對雙向流量都進行控製時,兩端設備上都需要配置策略路由。
(1) 進入係統視圖。
system-view
(2) 創建策略節點,並進入策略節點視圖。
policy-based-route policy-name [ permit ] node node-number
不指定permit時,缺省的匹配模式即為permit。
(3) 設置匹配ACL的規則。
if-match acl { acl-number | name acl-name }
缺省情況下,未設置ACL匹配規則。
(4) 配置策略節點的動作。下麵的方法互斥,請選擇其中一項進行配置。
¡ 設置報文轉發的下一跳。
apply next-hop ip-address
¡ 設置報文轉發的出接口為NULL0。
apply output-interface null0
缺省情況下,未配置策略節點的動作。
(5) 退回係統視圖。
quit
(6) 進入接口視圖。
interface interface-type interface-number
(7) 對接口轉發的報文應用策略路由。
ip policy-based-route policy-name [ share-mode ]
缺省情況下,未對接口轉發的報文應用策略。
在QoS策略的流分類中引用ACL,並配置對應流行為中的動作為流量過濾,就能實現控製微分段間是否可以互通的目的。
(1) 進入係統視圖。
system-view
(2) 定義類。
a. 創建一個類,並進入類視圖。
traffic classifier classifier-name [ operator { and | or } ]
b. 定義匹配數據包的規則。
if-match acl [ ipv6 ] { acl-number | name acl-name }
缺省情況下,未定義匹配數據包的規則。
僅支持引用IPv4或IPv6高級ACL。
c. 退回係統視圖。
quit
(3) 定義流行為。
a. 創建一個流行為,並進入流行為視圖。
traffic behavior behavior-name
b. 配置流量過濾動作。
filter { deny | permit }
缺省情況下,未配置流量過濾動作。
c. 退回係統視圖。
quit
(4) 定義策略。
a. 創建策略並進入策略視圖。
qos policy policy-name
b. 在策略中為類指定采用的流行為。
classifier classifier-name behavior behavior-name
缺省情況下,未指定類對應的流行為。
c. 退回係統視圖。
quit
(5) 在接口上應用QoS策略。
a. 進入接口視圖。
interface interface-type interface-number
b. 在接口入方向上應用已創建的QoS策略。
qos apply policy policy-name inbound [ share-mode ]
缺省情況下,未在接口入方向上應用QoS策略。
在ACL規則中配置動作為permit或deny,然後將此ACL應用在接口入方向上進行報文過濾,就能實現控製微分段間是否可以互通的目的。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 在接口入方向上應用ACL進行報文過濾。
packet-filter [ ipv6 ] { acl-number | name acl-name } inbound [ share-mode ]
缺省情況下,未配置接口入方向的報文過濾。
MAC/IP發布路由的BGP擴展團體屬性支持攜帶微分段ID,設備通過BGP路由中的微分段ID擴展團體屬性將本端的微分段信息發布給對端設備。如果與其他擴展團體屬性的類型值衝突,可通過本配置修改擴展團體屬性類型值,以避免衝突。有關MAC/IP發布路由的詳細介紹,請參見“EVPN配置指導”中的“EVPN概述”。
(1) 進入係統視圖。
system-view
(2) 進入BGP實例視圖。
bgp as-number [ instance instance-name ]
缺省情況下,沒有運行BGP,不存在BGP實例。
(3) 配置微分段ID屬性的擴展團體屬性類型值。
extcommunity-type microsegment-id microsegment-type-value
缺省情況下,微分段ID屬性在擴展團體屬性中使用的類型值為十六進製數83ff。
(4) (可選)在任意視圖下執行display bgp l2vpn evpn命令,查看BGP EVPN路由中攜帶的擴展團體屬性類型值及微分段ID。
有關該命令的詳細介紹,請參見“EVPN命令參考”中的“EVPN”。
(5) (可選)在任意視圖下執行display ip routing-table命令,查看路由中攜帶的微分段ID。
有關該命令的詳細介紹,請參見“三層技術-IP路由命令參考”中的“IP路由基礎”。
報文在不同微分段間轉發時,設備會根據GBP中的ACL規則來匹配報文的源地址和目的地址所屬的微分段。匹配方式有以下兩種:
· 精確匹配:報文源和目的地址的掩碼長度與微分段成員的地址掩碼長度一致。例如報文源地址為10.10.10.1/24則隻能匹配到微分段的成員10.10.10.0/24,而無法匹配到微分段的成員10.10.10.0/23。
· 最長匹配:報文源和目的地址的掩碼長度可以大於等於微分段成員的地址掩碼長度。例如報文源地址為10.10.10.1/24可以匹配到微分段的成員10.10.10.0/16。
如果報文的源地址或目的地址是一個網段地址,即IPv4掩碼長度為1~31位、IPv6前綴長度為1~127位的地址,則缺省情況下,設備使用精確匹配的原則來匹配其歸屬的微分段,因此使用member命令向微分段中添加某一網段路由時,必須精確指定網段地址及其掩碼長度,否則報文的源和目的可能無法匹配到歸屬的微分段。當存在大量網段地址加入同一微分段時,必須逐個將網段地址加入到微分段中,配置較複雜。通過采用最長匹配方式匹配報文源和目的所歸屬的微分段,可以簡化配置。例如不同報文源端地址分別屬於10.10.10.0/24、10.10.20.0/24、10.10.30.0/24網段,要求這三個網段地址都匹配到微分段1,隻需配置member ipv4 10.10.10.0/16即可。
不同掩碼長度地址匹配微分段的方式不同:
· 對於主機地址(IPv4掩碼長度為32位、IPv6為128位),按照最長匹配原則進行匹配;
· 對於缺省路由(0.0.0.0/0或0::0/0,即掩碼長度為0位),按照精確匹配的原則進行匹配;
· 對於除缺省路由外的其他網段地址,執行本命令後按最長匹配原則進行匹配,否則按精確匹配進行匹配。
(1) 進入係統視圖。
system-view
(2) 配置微分段的網段地址成員采用的匹配方式為最長匹配。
microsegment subnet-match longest
缺省情況下,網段地址采用精確匹配方式來匹配歸屬微分段。
在完成上述配置後,在任意視圖下執行display命令可以顯示微分段的運行情況,通過查看顯示信息驗證配置的效果。
表1-1 微分段顯示和維護
|
操作 |
命令 |
|
顯示聚合微分段的配置信息 |
display microsegment aggregation [ aggregation-id | name aggregation-name ] |
|
顯示微分段的配置 |
display microsegment [ microsegment-id | name microsegment-name ] |
Host A與Host B由Device A接入三層網絡,General Server與File Server由Device D接入三層網絡。現通過配置微分段功能,實現如下需求:
· Host A、Host B和General Server可以訪問File Server。
· Host A和General Server、Host B和General Server之間不可以互訪。
(1) 將Host A和Host B加入微分段1。
(2) 將General Server加入微分段2,File Server加入微分段3。
(3) 配置QoS策略,允許微分段1和微分段3互通,允許微分段2和微分段3互通,禁止微分段1和微分段2互通。
配置前請確保各設備間路由可達。
(1) 配置微分段
# 創建微分段1,將Host A和Host B的IP地址添加為微分段1的成員。
<DeviceA> system-view
[DeviceA] microsegment 1 name EPG1
[DeviceA-microsegment-1] member ipv4 192.168.1.1 32
[DeviceA-microsegment-1] member ipv4 192.168.2.1 32
[DeviceA-microsegment-1] quit
# 創建微分段2,將General Server的IP地址添加為微分段2的成員。
[DeviceA] microsegment 2 name EPG2
[DeviceA-microsegment-2] member ipv4 192.168.3.1 32
[DeviceA-microsegment-2] quit
# 創建微分段3,將File Server的IP地址添加為微分段3的成員。
[DeviceA] microsegment 3 name EPG3
[DeviceA-microsegment-3] member ipv4 192.168.4.1 32
[DeviceA-microsegment-3] quit
# 開啟微分段功能。
[DeviceA] microsegment enable
(2) 配置ACL
# 創建名為EPG1-EPG3的IPv4高級ACL,並配置規則:協議類型為ip,源微分段為微分段1,目的微分段為微分段3。
[DeviceA] acl advanced name EPG1-EPG3
[DeviceA-acl-ipv4-adv-EPG1-EPG3] rule 0 permit ip source microsegment 1 destination microsegment 3
[Device-acl-ipv4-adv-EPG1-EPG3] quit
# 創建名為EPG1-EPG2的IPv4高級ACL,並配置規則:協議類型為ip,源微分段為微分段1,目的微分段為微分段2。
[DeviceA] acl advanced name EPG1-EPG2
[DeviceA-acl-ipv4-adv-EPG1-EPG2] rule 0 permit ip source microsegment 1 destination microsegment 2
[DeviceA-acl-ipv4-adv-EPG1-EPG2] quit
(3) 配置QoS策略
# 創建流分類CLASSIFIER-GBP13,引用ACL EPG1-EPG3。
[DeviceA] traffic classifier CLASSIFIER-GBP13
[DeviceA-classifier-CLASSIFIER-GBP13] if-match acl name EPG1-EPG3
[DeviceA-classifier-CLASSIFIER-GBP13] quit
# 創建流行為BEHAVIOR-GBP13,配置流量過濾動作為permit。
[DeviceA] traffic behavior BEHAVIOR-GBP13
[DeviceA-behavior-BEHAVIOR-GBP13] filter permit
[DeviceA-behavior-BEHAVIOR-GBP13] quit
# 創建流分類CLASSIFIER-GBP12,引用ACL EPG1-EPG2。
[DeviceA] traffic classifier CLASSIFIER-GBP12
[DeviceA-classifier-CLASSIFIER-GBP12] if-match acl name EPG1-EPG2
[DeviceA-classifier-CLASSIFIER-GBP12] quit
# 創建流行為BEHAVIOR-GBP12,配置流量過濾動作為deny。
[DeviceA] traffic behavior BEHAVIOR-GBP12
[DeviceA-behavior-BEHAVIOR-GBP12] filter deny
[DeviceA-behavior-BEHAVIOR-GBP12] quit
# 創建QoS策略GBP1,為流分類CLASSIFIER-GBP13指定流行為BEHAVIOR-GBP13,為流分類CLASSIFIER-GBP12指定流行為BEHAVIOR-GBP12。
[DeviceA] qos policy GBP1
[DeviceA-qospolicy-GBP1] classifier CLASSIFIER-GBP13 behavior BEHAVIOR-GBP13
[DeviceA-qospolicy-GBP1] classifier CLASSIFIER-GBP12 behavior BEHAVIOR-GBP12
[DeviceA-qospolicy-GBP1] quit
# 將QoS策略GBP1應用在VLAN接口11入方向上。
[DeviceA] interface vlan-interface 11
[DeviceA-Vlan-interface11] qos apply policy GBP1 inbound
[DeviceA-Vlan-interface11] quit
# 將QoS策略GBP1應用在VLAN接口12入方向上。
[DeviceA] interface vlan-interface 12
[DeviceA-Vlan-interface12] qos apply policy GBP1 inbound
[DeviceA-Vlan-interface12] quit
(1) 配置微分段
# 創建微分段1,將Host A和Host B的IP地址添加為微分段1的成員。
<DeviceD> system-view
[DeviceD] microsegment 1 name EPG1
[DeviceD-microsegment-1] member ipv4 192.168.1.1 32
[DeviceD-microsegment-1] member ipv4 192.168.2.1 32
[DeviceD-microsegment-1] quit
# 創建微分段2,將General Server的IP地址添加為微分段2的成員。
[DeviceD] microsegment 2 name EPG2
[DeviceD-microsegment-2] member ipv4 192.168.3.1 32
[DeviceD-microsegment-2] quit
# 創建微分段3,將File Server的IP地址添加為微分段3的成員。
[DeviceD] microsegment 3 name EPG3
[DeviceD-microsegment-3] member ipv4 192.168.4.1 32
[DeviceD-microsegment-3] quit
# 開啟微分段功能。
[DeviceD] microsegment enable
(2) 配置ACL
# 創建名為EPG3-EPG1的IPv4高級ACL,並配置規則:協議類型為ip,源微分段為微分段3,目的微分段為微分段1。
<DeviceD> system-view
[DeviceD] acl advanced name EPG3-EPG1
[DeviceD-acl-ipv4-adv-EPG3-EPG1] rule 0 permit ip source microsegment 3 destination microsegment 1
[DeviceD-acl-ipv4-adv-EPG3-EPG1] quit
# 創建名為EPG2-EPG1的IPv4高級ACL,並配置規則:協議類型為ip,源微分段為微分段2,目的微分段為微分段1。
[DeviceD] acl advanced name EPG2-EPG1
[DeviceD-acl-ipv4-adv-EPG2-EPG1] rule 0 permit ip source microsegment 2 destination microsegment 1
[DeviceD-acl-ipv4-adv-EPG2-EPG1] quit
# 創建名為EPG2-EPG3的IPv4高級ACL,並配置規則:協議類型為ip,源微分段為微分段2,目的微分段為微分段3。
[DeviceD] acl advanced name EPG2-EPG3
[DeviceD-acl-ipv4-adv-EPG2-EPG3] rule 0 permit ip source microsegment 2 destination microsegment 3
[DeviceD-acl-ipv4-adv-EPG2-EPG3] quit
# 創建名為EPG3-EPG2的IPv4高級ACL,並配置規則:協議類型為ip,源微分段為微分段3,目的微分段為微分段2。
[DeviceD] acl advanced name EPG3-EPG2
[DeviceD-acl-ipv4-adv-EPG3-EPG2] rule 0 permit ip source microsegment 3 destination microsegment 2
[DeviceD-acl-ipv4-adv-EPG3-EPG2] quit
(3) 配置QoS策略
# 創建流分類CLASSIFIER-GBP23,引用ACL EPG2-EPG3。
[DeviceD] traffic classifier CLASSIFIER-GBP23
[DeviceD-classifier-CLASSIFIER-GBP23] if-match acl name EPG2-EPG3
[DeviceD-classifier-CLASSIFIER-GBP23] quit
# 創建流行為BEHAVIOR-GBP23,配置流量過濾動作為permit。
[DeviceD] traffic behavior BEHAVIOR-GBP23
[DeviceD-behavior-BEHAVIOR-GBP23] filter permit
[DeviceD-behavior-BEHAVIOR-GBP23] quit
# 創建流分類CLASSIFIER-GBP21,引用ACL EPG2-EPG1。
[DeviceD] traffic classifier CLASSIFIER-GBP21
[DeviceD-classifier-CLASSIFIER-GBP21] if-match acl name EPG2-EPG1
[DeviceD-classifier-CLASSIFIER-GBP21] quit
# 創建流行為BEHAVIOR-GBP21,配置流量過濾動作為deny。
[DeviceD] traffic behavior BEHAVIOR-GBP21
[DeviceD-behavior-BEHAVIOR-GBP21] filter deny
[DeviceD-behavior-BEHAVIOR-GBP21] quit
# 創建QoS策略GBP2,為流分類CLASSIFIER-GBP23指定流行為BEHAVIOR-GBP23,為流分類CLASSIFIER-GBP21指定流行為BEHAVIOR-GBP21。
[DeviceD] qos policy GBP2
[DeviceD-qospolicy-GBP2] classifier CLASSIFIER-GBP23 behavior BEHAVIOR-GBP23
[DeviceD-qospolicy-GBP2] classifier CLASSIFIER-GBP21 behavior BEHAVIOR-GBP21
[DeviceD-qospolicy-GBP2] quit
# 創建流分類CLASSIFIER-GBP31,引用ACL EPG3-EPG1。
[DeviceD] traffic classifier CLASSIFIER-GBP31
[DeviceD-classifier-CLASSIFIER-GBP31] if-match acl name EPG3-EPG1
[DeviceD-classifier-CLASSIFIER-GBP31] quit
# 創建流行為BEHAVIOR-GBP31,配置流量過濾動作為permit。
[DeviceD] traffic behavior BEHAVIOR-GBP31
[DeviceD-behavior-BEHAVIOR-GBP31] filter permit
[DeviceD-behavior-BEHAVIOR-GBP31] quit
# 創建流分類CLASSIFIER-GBP32,引用ACL EPG3-EPG2。
[DeviceD] traffic classifier CLASSIFIER-GBP32
[DeviceD-classifier-CLASSIFIER-GBP32] if-match acl name EPG3-EPG2
[DeviceD-classifier-CLASSIFIER-GBP32] quit
# 創建流行為BEHAVIOR-GBP32,配置流量過濾動作為permit。
[DeviceD] traffic behavior BEHAVIOR-GBP32
[DeviceD-behavior-BEHAVIOR-GBP32] filter permit
[DeviceD-behavior-BEHAVIOR-GBP32] quit
# 創建QoS策略GBP3,為流分類CLASSIFIER-GBP31指定流行為BEHAVIOR-GBP31,為流分類CLASSIFIER-GBP32指定流行為BEHAVIOR-GBP32。
[DeviceD] qos policy GBP3
[DeviceD-qospolicy-GBP3] classifier CLASSIFIER-GBP31 behavior BEHAVIOR-GBP31
[DeviceD-qospolicy-GBP3] classifier CLASSIFIER-GBP32 behavior BEHAVIOR-GBP32
[DeviceD-qospolicy-GBP3] quit
# 將QoS策略GBP2應用在VLAN接口14入方向上。
[DeviceD] interface vlan-interface 14
[DeviceD-Vlan-interface14] qos apply policy GBP2 inbound
[DeviceD-Vlan-interface14] quit
# 將QoS策略GBP3應用在VLAN接口15入方向上。
[DeviceD] interface vlan-interface 15
[DeviceD-Vlan-interface15] qos apply policy GBP3 inbound
[DeviceD-Vlan-interface15] quit
# 分別在Host A和Host B上檢查到General Server是否可達。
C:\> ping 192.168.3.1
Pinging 192.168.3.1 with 32 bytes of data:
Request timed out
Request timed out
Request timed out
Request timed out
Ping statistics for 192.168.3.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Host A和Host B無法ping通General Server。
# 分別在Host A、Host B上檢查到Filer Server是否可達。
C:\> ping 192.168.4.1
Pinging 192.168.40.100 with 32 bytes of data:
Reply from 192.168.10.100: bytes=32 time=1ms TTL=255
Reply from 192.168.10.100: bytes=32 time<1ms TTL=255
Reply from 192.168.10.100: bytes=32 time<1ms TTL=255
Reply from 192.168.10.100: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.10.100:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
Host A和Host B可以ping通Filer Server。
# 查看Device A上各微分段的配置信息。
[DeviceA] display microsegment 1
Microsegment ID : 1
Microsegment name : EPG1
IPv4 member:
192.168.1.1/32
192.168.2.1/32
[DeviceA] display microsegment 2
Microsegment ID : 2
Microsegment name : EPG2
IPv4 member:
192.168.3.1/32
[DeviceA] display microsegment 3
Microsegment ID : 3
Microsegment name : EPG3
IPv4 member:
192.168.4.1/32
# 查看Device A上微分段的概要和狀態信息。
[DeviceA] display microsegment
Microsegment status: Enabled
Total microsegments: 3
Microsegment list :
Microsegment ID Members Microsegment name
1 2 EPG1
2 1 EPG2
3 1 EPG3
# 查看Device A上ACL的配置信息。
[DeviceA] display acl all
Advanced IPv4 ACL named EPG1-EPG2, 1 rule,
ACL's step is 5, start ID is 0
rule 0 permit ip source microsegment 1 destination microsegment 2
Advanced IPv4 ACL named EPG1-EPG3, 1 rule,
ACL's step is 5, start ID is 0
rule 0 permit ip source microsegment 1 destination microsegment 3
# 查看Device A接口上QoS策略的配置信息和運行情況。
[DeviceA] display qos policy interface
Interface: Vlan-interface11
Direction: Inbound
Policy: GBP1
Classifier: CLASSIFIER-GBP13
Matched : 0 (Packets) 0 (Bytes)
Operator: AND
Rule(s) :
If-match acl name EPG1-EPG3
Behavior: BEHAVIOR-GBP13
Filter enable: Permit
Classifier: CLASSIFIER-GBP12
Matched : 0 (Packets) 0 (Bytes)
Operator: AND
Rule(s) :
If-match acl name EPG1-EPG2
Behavior: BEHAVIOR-GBP12
Filter enable: Deny
Interface: Vlan-interface12
Direction: Inbound
Policy: GBP1
Classifier: CLASSIFIER-GBP13
Matched : 0 (Packets) 0 (Bytes)
Operator: AND
Rule(s) :
If-match acl name EPG1-EPG3
Behavior: BEHAVIOR-GBP13
Filter enable: Permit
Classifier: CLASSIFIER-GBP12
Matched : 0 (Packets) 0 (Bytes)
Operator: AND
Rule(s) :
If-match acl name EPG1-EPG2
Behavior: BEHAVIOR-GBP12
Filter enable: Deny
# 查看Device D上微分段、ACL和策略路由的相關配置信息略。
Host A與Host B由Device A接入EVPN網絡,General Server與File Server由Device D接入EVPN網絡。現通過配置微分段功能,實現如下需求:
· Host A、Host B和General Server可以訪問File Server。
· Host A和General Server、Host B和General Server之間不可以互訪。
(1) 將Host A和Host B加入微分段1。
(2) 將General Server加入微分段2,File Server加入微分段3。
(3) 配置策略路由,允許微分段1和微分段3互通,允許微分段2和微分段3互通,禁止微分段1和微分段2互通。
僅Device A上需要手工配置微分段,相關配置會通過BGP同步至Device D上。
有關EVPN相關功能的配置略。
(1) 配置微分段
# 創建微分段1,將Host A和Host B的IP地址添加為微分段1的成員。
<DeviceA> system-view
[DeviceA] microsegment 1 name EPG1
[DeviceA-microsegment-1] member ipv4 192.168.1.1 32
[DeviceA-microsegment-1] member ipv4 192.168.2.1 32
[DeviceA-microsegment-1] quit
# 創建微分段2,將General Server的IP地址添加為微分段2的成員。
[DeviceA] microsegment 2 name EPG2
[DeviceA-microsegment-2] member ipv4 192.168.3.1 32
[DeviceA-microsegment-2] quit
# 創建微分段3,將File Server的IP地址添加為微分段3的成員。
[DeviceA] microsegment 3 name EPG3
[DeviceA-microsegment-3] member ipv4 192.168.4.1 32
[DeviceA-microsegment-3] quit
# 開啟微分段功能。
[DeviceA] microsegment enable
(2) 配置ACL
# 創建名為EPG1-EPG3的IPv4高級ACL,並配置規則:協議類型為ip,源微分段為微分段1,目的微分段為微分段3。
[DeviceA] acl advanced name EPG1-EPG3
[DeviceA-acl-ipv4-adv-EPG1-EPG3] rule 0 permit ip source microsegment 1 destination microsegment 3
[Device-acl-ipv4-adv-EPG1-EPG3] quit
# 創建名為EPG1-EPG2的IPv4高級ACL,並配置規則:協議類型為ip,源微分段為微分段1,目的微分段為微分段2。
[DeviceA] acl advanced name EPG1-EPG2
[DeviceA-acl-ipv4-adv-EPG1-EPG2] rule 0 permit ip source microsegment 1 destination microsegment 2
[DeviceA-acl-ipv4-adv-EPG1-EPG2] quit
(3) 配置策略路由
# 創建策略路由GBP1,節點號為0,引用ACL EPG1-EPG3,設置報文轉發的下一跳為192.168.4.1,使微分段1中的Host A和Host B可以訪問微分段3中的File Server。
[DeviceA] policy-based-route GBP1 node 0
[DeviceA-pbr-GBP1-0] if-match acl name EPG1-EPG3
[DeviceA-pbr-GBP1-0] apply next-hop 192.168.4.1
[DeviceA-pbr-GBP1-0] quit
# 創建策略路由GBP1,節點號為1,引用ACL EPG1-EPG2,設置報文轉發的出接口為NULL0,使微分段1中的Host A和Host B不可以訪問微分段2中的General Server。
[DeviceA] policy-based-route GBP1 node 1
[DeviceA-pbr-GBP1-1] if-match acl name EPG1-EPG2
[DeviceA-pbr-GBP1-1] apply output-interface null0
[DeviceA-pbr-GBP1-1] quit
# 將策略路由GBP1應用在VLAN接口11上。
[DeviceA] interface vlan-interface 11
[DeviceA-Vlan-interface11] ip policy-based-route GBP1
[DeviceA-Vlan-interface11] quit
# 將策略路由GBP1應用在VLAN接口12上。
[DeviceA] interface vlan-interface 12
[DeviceA-Vlan-interface12] ip policy-based-route GBP1
[DeviceA-Vlan-interface12] quit
(1) 配置微分段
# 創建微分段1,將Host A和Host B的IP地址添加為微分段1的成員。
<DeviceD> system-view
[DeviceD] microsegment 1 name EPG1
[DeviceD-microsegment-1] member ipv4 192.168.1.1 32
[DeviceD-microsegment-1] member ipv4 192.168.2.1 32
[DeviceD-microsegment-1] quit
# 創建微分段2,將General Server的IP地址添加為微分段2的成員。
[DeviceD] microsegment 2 name EPG2
[DeviceD-microsegment-2] member ipv4 192.168.3.1 32
[DeviceD-microsegment-2] quit
# 創建微分段3,將File Server的IP地址添加為微分段3的成員。
[DeviceD] microsegment 3 name EPG3
[DeviceD-microsegment-3] member ipv4 192.168.4.1 32
[DeviceD-microsegment-3] quit
# 開啟微分段功能。
[DeviceD] microsegment enable
(2) 配置ACL
# 創建名為EPG3-EPG1的IPv4高級ACL,並配置規則:協議類型為ip,源微分段為微分段3,目的微分段為微分段1。
<DeviceD> system-view
[DeviceD] acl advanced name EPG3-EPG1
[DeviceD-acl-ipv4-adv-EPG3-EPG1] rule 0 permit ip source microsegment 3 destination microsegment 1
[DeviceD-acl-ipv4-adv-EPG3-EPG1] quit
# 創建名為EPG2-EPG1的IPv4高級ACL,並配置規則:協議類型為ip,源微分段為微分段2,目的微分段為微分段1。
[DeviceD] acl advanced name EPG2-EPG1
[DeviceD-acl-ipv4-adv-EPG2-EPG1] rule 0 permit ip source microsegment 2 destination microsegment 1
[DeviceD-acl-ipv4-adv-EPG2-EPG1] quit
# 創建名為EPG2-EPG3的IPv4高級ACL,並配置規則:協議類型為ip,源微分段為微分段2,目的微分段為微分段3。
[DeviceD] acl advanced name EPG2-EPG3
[DeviceD-acl-ipv4-adv-EPG2-EPG3] rule 0 permit ip source microsegment 2 destination microsegment 3
[DeviceD-acl-ipv4-adv-EPG2-EPG3] quit
# 創建名為EPG3-EPG2的IPv4高級ACL,並配置規則:協議類型為ip,源微分段為微分段3,目的微分段為微分段2。
[DeviceD] acl advanced name EPG3-EPG2
[DeviceD-acl-ipv4-adv-EPG3-EPG2] rule 0 permit ip source microsegment 3 destination microsegment 2
[DeviceD-acl-ipv4-adv-EPG3-EPG2] quit
(3) 配置策略路由
# 創建策略路由GBP2,節點號為0,引用ACL EPG2-EPG3,設置報文轉發的下一跳為192.168.4.1,使微分段2中的General Server可以訪問微分段3中的File Server。
[DeviceD] policy-based-route GBP2 node 0
[DeviceD-pbr-GBP2-0] if-match acl name EPG2-EPG3
[DeviceD-pbr-GBP2-0] apply next-hop 192.168.4.1
[DeviceD-pbr-GBP2-0] quit
# 創建策略路由GBP2,節點號為1,引用ACL EPG2-EPG1,設置報文轉發的出接口為NULL0,使微分段2中的General Server不可以訪問微分段1中的Host A和Host B。
[DeviceD] policy-based-route GBP2 node 1
[DeviceD-pbr-GBP2-1] if-match acl name EPG2-EPG1
[DeviceD-pbr-GBP2-1] apply output-interface null0
[DeviceD-pbr-GBP2-1] quit
# 創建策略路由GBP3,節點號為0,引用ACL EPG3-EPG1,設置報文轉發的下一跳為192.168.1.1和192.168.2.1,使微分段3中的File Server可以訪問微分段1中的Host A和Host B。
[DeviceD] policy-based-route GBP3 node 0
[DeviceD-pbr-GBP3-0] if-match acl name EPG3-EPG1
[DeviceD-pbr-GBP3-0] apply next-hop 192.168.1.1 192.168.2.1
[DeviceD-pbr-GBP3-0] quit
# 創建策略路由GBP3,節點號為1,引用ACL EPG3-EPG2,設置報文轉發的下一跳為192.168.3.1,使微分段3中的File Server可以訪問微分段2中的General Server。
[DeviceD] policy-based-route GBP3 node 1
[DeviceD-pbr-GBP3-1] if-match acl name EPG3-EPG2
[DeviceD-pbr-GBP3-1] apply next-hop 192.168.3.1
[DeviceD-pbr-GBP3-1] quit
# 將策略路由GBP2應用在VLAN接口14上。
[DeviceD] interface vlan-interface 14
[DeviceD-Vlan-interface14] ip policy-based-route GBP2
[DeviceD-Vlan-interface14] quit
# 將策略路由GBP3應用在VLAN接口15上。
[DeviceD] interface vlan-interface 15
[DeviceD-vlan-interface15] ip policy-based-route GBP3
[DeviceD-vlan-interface15] quit
# 分別在Host A和Host B上檢查到General Server是否可達。
C:\> ping 192.168.3.1
Pinging 192.168.3.1 with 32 bytes of data:
Request timed out
Request timed out
Request timed out
Request timed out
Ping statistics for 192.168.3.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Host A和Host B無法ping通General Server。
# 分別在Host A、Host B上檢查到Filer Server是否可達。
C:\> ping 192.168.4.1
Pinging 192.168.40.100 with 32 bytes of data:
Reply from 192.168.10.100: bytes=32 time=1ms TTL=255
Reply from 192.168.10.100: bytes=32 time<1ms TTL=255
Reply from 192.168.10.100: bytes=32 time<1ms TTL=255
Reply from 192.168.10.100: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.10.100:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
Host A和Host B可以ping通Filer Server。
# 查看Device A上各微分段的配置信息。
[DeviceA] display microsegment 1
Microsegment ID : 1
Microsegment name : EPG1
IPv4 member:
192.168.1.1/32
192.168.2.1/32
[DeviceA] display microsegment 2
Microsegment ID : 2
Microsegment name : EPG2
IPv4 member:
192.168.3.1/32
[DeviceA] display microsegment 3
Microsegment ID : 3
Microsegment name : EPG3
IPv4 member:
192.168.4.1/32
# 查看Device A上微分段的概要和狀態信息。
[DeviceA] display microsegment
Microsegment status: Enabled
Total microsegments: 3
Microsegment list :
Microsegment ID Members Microsegment name
1 2 EPG1
2 1 EPG2
3 1 EPG3
# 查看Device A上ACL的配置信息。
[DeviceA] display acl all
Advanced IPv4 ACL named EPG1-EPG2, 1 rule,
ACL's step is 5, start ID is 0
rule 0 permit ip source microsegment 1 destination microsegment 2
Advanced IPv4 ACL named EPG1-EPG3, 1 rule,
ACL's step is 5, start ID is 0
rule 0 permit ip source microsegment 1 destination microsegment 3
# 查看Device A接口下策略路由的配置和統計信息。
[DeviceA] display ip policy-based-route interface vlan-interface 11
Policy-based routing information for interface Vlan-interface11:
Policy name: GBP1
node 0 permit:
if-match acl name EPG1-EPG3
apply next-hop 192.168.4.1
Matches: 20, bytes: 20000
node 1 permit:
if-match acl name EPG1-EPG2
apply output-interface NULL0
Matches: 4, bytes: 4000
Total matches: 24, total bytes: 24000
[DeviceA] display ip policy-based-route interface vlan-interface 12
Policy-based routing information for interface Vlan-interface12:
Policy name: GBP1
node 0 permit:
if-match acl name EPG1-EPG3
apply next-hop 192.168.4.1
Matches: 20, bytes: 20000
node 1 permit:
if-match acl name EPG1-EPG2
apply output-interface NULL0
Matches: 4, bytes: 4000
Total matches: 24, total bytes: 24000
# 查看Device D上微分段、ACL和策略路由的相關配置信息略。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
