主机通告的路由
通过 TYPE-2-ROUTE 通告,NVE 完成主机路由交互,得以实现主机间的互访;
TYPE-2-ROUTE(MAC/IP Route),其用于发布主机的 MAC 地址、ARP 表项、主机路由信息,即: 1)Host MAC-ADDR Advertisement(主机 MAC 地址通告); 2)Host ARP Advertisement(主机 ARP 信息通告); 3)Host IP Route Advertisement(主机 IP 路由通告);
报文示例(Wireshark)
针对 MP_REACH_NLRI.Route Type Specific 部分:
Route Distinguisher(8 Byte):该字段为 EVPN 实例下设置的 RD(Route Distinguisher)值; Ethernet Segment Identifier(10 Byte):该字段为当前设备与对端连接定义的唯一标识; Ethernet Tag ID(4 Byte):该字段为当前设备上实际配置的 VLAN ID;
MAC Address Length(1 Byte):该字段为此路由携带的主机 MAC 地址的长度; MAC Address(6 Byte):该字段为此路由携带的主机 MAC 地址; IP Address Length(1 Byte):该字段为此路由携带的主机 IP 地址的掩码长度; IP Address(0 或 4 或 16 Byte):该字段为此路由携带的主机 IP 地址; MPLS Label1(3 Byte):该字段为此路由携带的 LAYER 2 VNI; MPLS Label2(0 或 3 Byte):该字段为此路由携带的 LAYER 3 VNI;
补充说明
BGP EVPN 的 TYPE-2-ROUTE 的前三个字段:RD、Ethernet Segment Identifier、Ethernet Tag ID,在不同的场景下,其内容一致
仅后边的六个字段存在区别,其内容取决于路由内容(是发布主机的 MAC 地址?是发布 ARP 表项?是发布主机路由信息?);[……]
「VXLAN」- 路由通告:TYPE-2-ROUTE
「VXLAN」- TYPE-2-ROUTE:Host MAC-ADDR Advertisement
其用于同子网主机互访场景下进行主机 MAC 地址通告,包含主机 MAC 信息和二层 VNI:
报文结构
报文示例(Wirkshark)
Border Gateway Protocol – UPDATE Message
Marker: ffffffffffffffffffffffffffffffff
Length: 112
Type: UPDATE Message (2)
Withdrawn Routes Length: 0
Total Path Attribute Length: 89
Path attributes
Path Attribute – ORIGIN: INCOMPLETE
Path Attribute – AS_PATH: empty
Path Attribute – LOCAL_PREF: 100
Path Attribute – EXTENDED_COMMUNITIES
Flags: 0xc0, Optional, Transitive, Complete
1… …. = Optional: Set
.1.. …. = Transitive: Set
..0. …. = Partial: Not set
…0 …. = Extended-Length: Not set
…. 0000 = Unused: 0x0
Type Code: EXTENDED_COMMUNITIES (16)
Length: 24
Carried extended communities: (3 communities)
Route Target: 742:1 [Transitive 2-Octet AS-Specific]
Type: Transitive 2-Octet AS-Specific (0x00)
0… …. = IANA Authority: Allocated on Standard Action, Early Allocation or Experimental Basis
.0.. …. = Transitive across AS: Transitive[……]
「VXLAN」- TYPE-2-ROUTE:Host ARP Advertisement
TYPE-2-ROUTE 能够同时携带主机 MAC-ADDR/IP-ADDR,所以该路由也能够用来在 VTEP 间传递主机 ARP 表项,实现主机 ARP 通告。此时的 MAC/IP ROUTE 也称为 ARP 类型路由。鉴于其能够携带 MAC-ADDR/IP-ADDR,所以也称之为 MAC/IP ROUTE;
报文格式
当进行主机 ARP 信息通告时,其用于集中式网关部署场景下通告 ARP 类型路由,包含主机 IP 信息、MAC 信息和二层 VNI:
Route Distinguisher Ethernet Segment Identifier Ethernet Tag ID MAC Address Length = MAC 地址长度 MAC Address = MAC 地址 IP Address Length = IP 地址长度 IP Address = IP 地址 MPLS Label1 = VNI(二层) MPLS Label2
其中: 1)MAC Address 和 MAC Address Length 字段为主机 MAC 地址; 2)IP Address 和 IP Address Length 字段为主机 IP 地址。
分布式网关场景
所示如图,BGP EVPN 使用 TYPE-2-ROUTE 实现主机 ARP 通告:
在分布式网关中,主机 ARP 通告主要用于以下两种场景:
1)ARP 广播抑制。当三层网关学习到其子网下的主机 ARP 时,生成主机信息(包含:主机 IP 地址、主机 MAC 地址、二层 VNI、网关 VTEP IP 地址),然后通过传递 ARP 类型路由将主机信息同步到二层网关上。这样当二层网关再收到 ARP 请求时,先查找是否存在 DST-IP-ADDR 对应的主机信息。如果存在,则直接将 ARP 请求报文中的广播 MAC 地址替换为目的单播 MAC 地址,实现广播变单播,达到 ARP 广播抑制的目的;
2)分布式网关场景下的虚拟机迁移。当一台虚拟机从当前网关迁移到另个网关下之后,新网关学习到该虚拟机的 ARP(一般通过虚拟机发送免费 ARP 实现),并生成主机信息(包含主机 IP 地址、主机 MAC 地址、二层 VNI、网关 VTEP IP 地址),然后通过传递 ARP 类型路由将主机信息发送给虚拟机的原网关。原网关收到后,感知到虚拟机的位置发生变化,触发 ARP 探测,当探测不到原位置的虚拟机时,撤销原位置虚拟机的 ARP 和主机路由;
集中式网关场景
在集中式网关中,主机 ARP 通告,主要在 VXLAN 集中式网关+BGP EVPN 场景下使用,在 BGP EVPN 中向对等体通告 ARP 路由或者 IRB 路由为互斥选项,只能配置其中一种路[……]
「VXLAN」- TYPE-2-ROUTE:Host IP Route Advertisement
问题描述
在简单场景中,通过 VBDIF 实现 BD 间跨子网转发
在分布式网关组网中,VTEP 设备既是 L2 网关(完成同子网间的转发),又是 L3 网关(完成跨子网间的路由);
WIP 补充图示说明
在复杂环境中,通过 VBDIF 实现 BD 间跨子网转发
在分布式网关组网下,VTEP1、VTEP2 上都能创建 VBDIF 10、20,那么两端的 VBDIF 都会绑定地址,那么跨子网通信是如何完成的路由过程呢?
解决方案
回顾:在 VLAN 中,跨子网转发
如图,在 VLAN 中,跨子网通信的解决方案:
VLANIF 实现 VLAN 跨子网转发细节回顾:
PC1 通过本地 IP 地址、本地掩码、对端 IP 地址进行计算,发现目的设备 PC2 与自身不在同一个网段,判断该通信为三层通信,将去往 PC2 的流量发给网关。PC1 发送的数据帧:源 MAC = MAC1,目的 MAC = MAC2;
交换机收到 PC1 发送的去往 PC2 的报文,经解封装发现目的 MAC 为 VLANIF 10 接口的 MAC 地址,则认为该报文是发给交换机本身的,所以将报文交给路由模块继续处理;
路由模块解析发现目的 IP 为 192.168.20.2,非本地接口存在的 IP 地址,因此需要对该报文三层转发。查找路由表后,匹配中 VLANIF 20 产生的直连路由;
因为匹配的为直连路由,说明已经到达最后一跳,所以交换机在 ARP 表中查找 192.168.20.2,获取 192.168.20.2 的 MAC 地址,交由交换模块重新封装为数据帧;
交换模块查找 MAC 地址表以明确报文出接口、是否需要携带 VLAN Tag。最终交换模块发送的数据帧:源 MAC = MAC2,目的 MAC = MAC3,VLAN Tag = None;
在 VLAN 转发过程中,SW 通过数据帧的 DST-MAC-ADDR 来判断报文是否为自身三层转发处理(如果 DST-MAC-ADDR 为自身 MAC,则执行 L3 查表转发,否则 L2 查表转发),该细节对于理解对称 IRB、非对称 IRB 都会涉及到该知识点;
在 VXLAN 中,跨子网通信
在分布式网关下,跨子网通信,需要通过 TYPE-2-ROUTE 的 HOST IP Route Advertisement 完成。
当进行主机 IP 路由通告时,其用于分布式网关部署不同子网互访场景下,进行 IRB 类型路由通告。它包括主机 MAC 信息、IP 信息、二层 VNI 和三层 VNI;
在该组网下跨子网通信的实现方式并不唯一,根据接收报文的 VTEP(Ingress VTEP)处理方式不同,可以划[……]
「VXLAN」- 外部路由通告: TYPE 5 Route
Type 5 路由(IP 前缀路由): 该类型路由的 IP Prefix Length 和 IP Prefix 字段既可以携带主机 IP 地址,也可以携带网段地址; 当携带主机 IP 地址时,该类型路由在 VXLAN 控制平面中的作用与 IRB 类型路由是一样的,主要用于分布式网关场景中的主机 IP 路由通告; 当携带网段地址时,通过传递该类型路由,可以实现 VXLAN 网络中的主机访问外部网络;
Route Distinguisher(8 Byte):该字段为 EVPN 实例下设置的 RD 值; Ethernet Segment Identifier(10 Byte):该字段为当前设备与对端连接定义的唯一标识; Ethernet Tag ID(4 Byte):该字段为当前设备上实际配置的 VLAN ID; IP Prefix Length(1 Byte):该字段为此路由携带的 IP 前缀掩码长度; IP Prefix(4 或 16 Byte):该字段为此路由携带的 IP 前缀; GW IP Address(4 或 16 Byte):该字段为默认网关地址。该字段在 VXLAN 场景中没有实际意义; MPLS Label(3 Byte):该字段为此路由携带的三层 VNI;
通告 IP 前缀路由的应用场景
对于 VXLAN 外部网络,VTEP 可以通过 Type 5 类路由将外部路由通告到整个 VXLAN 网络中,用于指导 VXLAN 内部主机访问外部网络;
Type 5 类路由和 Type 2 IRB 路由类似,进行路由传递时都会通过 EVPN Router’s MAC Extended Community 这一扩展团体属性携带 VTEP 的 Route MAC,同时该类型路由只会携带 L3 VNI,因此转发过程同样也为 IRB 转发;[……]
「EVPN for VXLAN」- 隧道配置案例
同子网互访:Same Network Segment 跨子网互访(集中式网关):Diff Network Segment (Centralized GW) 跨子网互访(分布式网关):Diff Network Segment (Distributed GW)[……]
「EVPN for VXLAN」- 同子网访问(Huawei)
第一步、开启 evpn 功能
for CE1
evpn-overlay enable
针对 CE2 设备,其与 CE1 配置相仿,这里不再赘述;
第二步、配置 BD 信息
for CE1
bridge-domain 32
vxlan vni 756
evpn
route-distinguisher 200:1
vpn-target 200:1 export-extcommunity
vpn-target 200:1 import-extcommunity
针对 CE2 设备,其与 CE1 配置相仿,这里不再赘述;
第三步、配置 BGP 信息
for CE1
bgp 200
peer 10.0.0.2 as-number 200
peer 10.0.0.2 connect-interface LoopBack0
#
l2vpn-family evpn
policy vpn-target
peer 10.0.0.2 enable
针对 CE2 设备,其与 CE1 配置相仿,这里不再赘述;
第四步、配置 NVE 信息
for CE1
interface Nve1
source 10.0.0.1
vni 728 head-end peer-list protocol bgp
vni 756 head-end peer-list protocol bgp
针对 CE2 设备,其与 CE1 配置相仿,这里不再赘述;
第五步、配置设备接入
for CE1
interface GE1/0/1
undo shutdown
interface GE1/0/1.134 mode l2
encapsulation dot1q vid 134
bridge-domain 32
interface GE1/0/1.675 mode l2
encapsulation dot1q vid 675
bridge-domain 79
针对 CE2 设备,其与 CE1 配置相仿,这里不再赘述;
第六步、访问测试
[PC3] ping PC2 [PC4] ping PC1
Q:上述两组 ping 实验仅有一组能成功? A:在抓包观察后,我们发现其中一组的 ARP REPLAY 的 VNI 是错误的。鉴于其他人也遇到类似的问题,我们猜测是模拟器的问题。[……]
「EVPN for VXLAN」- 跨子网访问:集中式网关(Huawei)
CE2 and CE3
针对 CE2 CE3 设备,其与同子网访问的配置相仿,这里不再赘述;
不同点在于,CE2 CE3 要与 CE1 建立 IBGP 邻居,而非直接建立 IBPG 邻居;
CE1
添加 BD 配置:
bridge-domain 365
vxlan vni 4389
evpn
route-distinguisher 365:1
vpn-target 365:1 export-extcommunity
vpn-target 365:1 import-extcommunity
#
bridge-domain 742
vxlan vni 6731
evpn
route-distinguisher 742:1
vpn-target 742:1 export-extcommunity
vpn-target 742:1 import-extcommunity
添加 BGP 配置:
bgp 300
undo default ipv4-unicast
peer 10.0.0.2 as-number 300
peer 10.0.0.2 connect-interface LoopBack0
peer 10.0.0.3 as-number 300
peer 10.0.0.3 connect-interface LoopBack0
#
ipv4-family unicast
undo peer 10.0.0.2 enable
undo peer 10.0.0.3 enable
#
l2vpn-family evpn
policy vpn-target
peer 10.0.0.2 enable
peer 10.0.0.2 reflect-client
peer 10.0.0.3 enable
peer 10.0.0.3 reflect-client
添加 NVE 配置:
interface Nve1
source 10.0.0.1
vni 4389 head-end peer-list protocol bgp
vni 6731 head-end peer-list protocol bgp
添加 Vbdif 配置:
interface Vbdif365
ip address 192.168.10.254 255.255.255.0
#
interface Vbdif742
ip address 192.168.20.254 255.255.255.0
访问测试
[PC1] ping PC2[……]
「EVPN for VXLAN」- 跨子网访问:分布式网关(Huawei)
0 基础网络配置
IP Address / OSPF
1 BGP / RR
for CE1
bgp 200
undo default ipv4-unicast
peer 10.0.0.2 as-number 200
peer 10.0.0.2 connect-interface LoopBack0
peer 10.0.0.3 as-number 200
peer 10.0.0.3 connect-interface LoopBack0
#
ipv4-family unicast
undo peer 10.0.0.2 enable
undo peer 10.0.0.3 enable
#
l2vpn-family evpn
undo policy vpn-target
peer 10.0.0.2 enable
peer 10.0.0.2 advertise irb
peer 10.0.0.2 reflect-client
peer 10.0.0.3 enable
peer 10.0.0.3 advertise irb
peer 10.0.0.3 reflect-client
for CE2
bgp 200
undo default ipv4-unicast
peer 10.0.0.1 as-number 200
peer 10.0.0.1 connect-interface LoopBack0
#
ipv4-family unicast
undo peer 10.0.0.1 enable
#
l2vpn-family evpn
policy vpn-target
peer 10.0.0.1 enable
peer 10.0.0.1 advertise irb
for CE3
与 CE2 类似,略;
2 Bridge Domain
for CE2
ip vpn-instance vxlan
ipv4-family
route-distinguisher 523:1
vpn-target 300523:1 export-extcommunity
vpn-target 300523:1 export-extcommunity evpn
vpn-target 300523:1 import-extcommunity
vpn-target 300523:1 import-extcommunity evpn
vxlan vni 5010
#
bridge-domain 368
vxlan vni 7522
evpn
route-distinguisher 368:1[……]
「VXLAN」- General BGP EVPN Topics
该部分特性属于 EVPN 的通用特性;,其不单适用于 EVPN for VXLAN,也适用与 EVPN for MPLS、EVPN for SRv6;
ARP 广播抑制
BGP EVPN 的 Type 2 路由使得 VTEP 可以不依赖主机之间的通信过程完成 MAC 地址表的学习,但是主机间的 ARP 信息依旧需要在 VXLAN Overlay 中进行泛洪转发,这会占用大量的网络资源; 为此可以通过 BGP EVPN 路由实现 ARP 广播抑制功能,减少广播流量;
ARP 广播抑制功能是一种有效缓解网关处理 ARP 报文的压力的方法。当网关收到 ARP 请求报文时,会查询 ARP 广播抑制表,该表保存了目的设备的 IP 与 MAC 地址的映射关系,如果命中表项,则直接将 ARP 请求报文中的广播 MAC 地址替换为目的设备的 MAC 地址,随后网关将 ARP 请求报文从目的 MAC 对应的端口发送出去;
主机信息收集
ARP 广播抑制功能的实现依赖于 ARP 广播抑制表,该表项的形成依赖于 BGP EVPN 携带的 Type 2 路由(IRB 路由、主机 ARP 通告); 默认情况下 L3 网关不会由本地的 ARP 信息生成 BGP EVPN 路由,需要手动使能 BGP EVPN 主机信息收集功能。之后 VTEP 会依据 ARP 信息生成 IRB 路由;
ARP 类型路由携带的有效信息有:主机 MAC 地址+主机 IP 地址+二层 VNI;IRB 类型路由携带的有效信息有:主机 MAC 地址+主机 IP 地址+二层 VNI+三层 VNI。因此,IRB 类型路由包含着 ARP 类型路由,不仅可以用于主机 IP 路由通告,也能用于主机 ARP 通告;
本地 ARP 代理
全网开启 BGP EVPN 主机信息收集功能之后,L3 网关上将学习到全部主机的 32 位主机路由,这使得 L3 网关在转发属于同一个 BD 之间的流量时完全可以依赖主机路由进行三层 IRB 对称转发; 为此可以在 L3 网关的 VBDIF 接口上开启本地 ARP 代理,VBDIF 接口会响应下连主机对同网段 IP 地址的 ARP 请求,之后对该同网段 IP 的访问可以由 L3 网关进行三层转发完成;
在 VXLAN 网络中,BD 是一个广播域,VTEP 收到 BUM 报文后会在 BD 域内广播。为了减少广播,网络管理员通常会在接入侧通过配置接入侧的隔离功能或配置端口隔离功能,使得该 BD 内的接入用户之间相互隔离,无法二层互通。但是,随着用户业务的日益增多,用户之间的互通需求也会相应地增加,此时网络管理员可以在 VBDIF 接口上使能本地 ARP 代理功能,实现 BD 内接入侧配置了用户隔离的用户间的相互通信;[……]
「NETWORKING」- 广域互联(WAN Access)
问题描述
广域网有着悠久的历史,广域网上所使用的技术也经过了多次的更新。相比园区网,广域网所连接企业的需求更加多样,不同的企业在连接方式、可靠性要求、安全要求方面都会有很大不同;
解决方案
为了满足不同企业在互联上的需求,产生了各种广域互联技术(WAN Access);
企业广域互联,指的是不同地点的总部、数据中心、分部、办事处、移动办公等各级节点间互联互通的企业私有网络;
原理简述
网间互联技术:WIP 高可靠性技术:WIP 流量控制技术:WIP 网络安全技术:WIP
特性特征
企业广域互联一般依赖于运营商搭建的广域网或企业自建广域网;
应用场景
WIP[……]
「NETWORKING」- 广域互联:组网架构
组网技术
一般企业广域互联组网有以下几种方式,但是企业广域互联网络往往是以上多种连接形式的结合;
运营商传输专线、MPLS 专线
通过运营商传输专线或 MPLS 专线把各区域网络连接在一起; 企业基于网络可靠性与网络安全性考虑,在构建企业广域网时会向运营商租用传输专线或 MPLS 专线:
1)向运营商租用传输专线价格昂贵,但是数据被承载在传输专用线路上,业务质量和业务安全都有保障; 2)向运营商租用 MPLS 专线线路在价格上比传输专线便宜,能够保障业务安全,但是业务可靠性没有传输专线好;
场景:该方式适用于对 SLA 要求较高的企业,价格较贵;
Internet 与 VPN
通过运营商 Internet + VPN 技术连接;
随着 Internet 的发展,部分的企业业务可以使用 Internet 承载;VPN 技术开始占有更多的市场; 由于 Internet 有安全风险,因此需要使用 VPN 技术提供安全可靠的连接; 以 PPTP,L2TP 以及 PPPoE 为代表的 VPDN 技术提供终端用户或者分支拨号连接到运营商或者总部网络的能力; 以 IPsec VPN 为基础的网络更多地成为企业分支之间以及分支总部互连的选择; 为了解决 IPsec 在大规模组网配置复杂的问题,DSVPN, A2A VPN 等技术也发展起来并被广泛使用;
场景:该方式适用于对 SLA 要求不高的中小分支;
运营商点对点专线
通过运营商点对点专线实现跨城或者跨国的连接,该方式多用于数据中心、总部或重要网点的连接,价格较贵;
自建骨干网
少部分企业(比如交通,电力)拥有部署光纤的能力,可以自建骨干网;
场景:电力,交通等行业拥有自建专线的网络连接;
应用场景
企业广域互联需要基于企业需求部署,比如: 1)在金融行业为了可靠性和安全性,大多会租用传输专线或 MPLS 专线; 2)在别的企业,考虑到网络成本一般会租用 MPLS 专线做主线路,Internet + VPN 做备用线路的方式;[……]
「NETWORKING」- 广域互联:组网技术
概述组网技术
专线技术
运营商拥有大量线路资源,对于不同的行业与场景,运营商推出不同专线业务;
运营商高品质的传输专线业务主要是:裸纤;线路复用:如 SDH、MSTP 等;
价格昂贵,但是性能优异;
VPN 技术
应用场景
企业广域互联方式较多,基于企业不同的需求,一般会使用一种或多种互联方式;
裸纤专线
裸纤也叫裸光纤,运营商提供一条纯光纤线路,中间不经过别的设备,网络容量取决于光纤两端的企业设备;
原理简述
特性特征
光纤价格昂贵;
裸纤按照距离收费,距离越远越贵;光纤有最大长度,一般认为光纤一跳最大距离是 300 KM,超过 300 KM 的站点之间需要架设中继设备;
应用场景
1)运营商裸纤:同城的主校区和分校区之间可以租用运营商裸纤,将两个校区互联,简化网络管理和接入认证管理;
2)企业自建专线:部分大型企业有自行铺设光纤的能力,能够自建专线,但是拥有自行铺设光纤能力的公司较少;
传输专线(SDH/MSTP/WDM)
传输类专线,这类专线使用传输设备在光纤上构建硬管道,能够保障良好的性能,价格比裸纤便宜;
原理简述
专线技术诞生很早,由于网络的发展,很多专线技术已经不再使用,比如:帧中继、ATM 等,现在使用比较多的专线技术基本分以下几种:
SDH(Synchronous Digital Hierarchy,同步数字体系),SDH 是一种 TDM(时分复用)系统,是传统的电路调度方式;
MSTP(Multi- Service Transport Platform,多业务传送平台),同时实现 TDM、ATM、以太网等业务的接入、处理和传送;
WDM(Wavelength Division Multiplexing,波分复用),利用多个激光器在单条光纤上同时发送多束不同波长的激光,WDM 设备的传输带宽很高,现网基本能达到 8T 的带宽;
对于需要长距离传输且对网络可靠性和安全性有需求的企业,可以租用 SDH/MSTP/WDM 专线。现网中使用比较多的是 MSTP 与 WDM 专线,少量区域还在使用 SDH 专线;
特性特征
此类专线属于传输类专线,租户独占传输专线的一部分带宽,由于是多个用户共享线路,所以价格比裸纤便宜。
虽然传输类专线线路共享,但是由于带宽独占,且使用的是硬管道,所以能够提供非常高的可靠性和安全性;
应用场景
1)金融分支站点互联时,为了保障网络的高可靠和高安全,一般会选用 MSTP 或 SDH 专线;
虚拟专线(MPLS VPN)
运营商还有一类专线业务是 MPLS[……]
「NETWORKING」- 广域互联:其他技术
组网技术应用
广域组网互联方案
专线技术应用
VPN技术应用
高可靠性技术
链路探测技术应用
网络与业务可靠性技术应用
优化技术应用
QoS技术应用
FEC技术应用[……]
「VPN」- 阿里云 VPN 服务、网间互联
基本概念
VPN 网关
是个虚拟 VPN 网络设备,在阿里云中的 VPN 网关设备。在创建 VPN 网关后,该虚拟设备将被分配公网地址。当创建 VPN 连接时,也是将 私有数据中心的 VPN 网络设备 与 阿里云环境的 VPN 网关 进行连接。
用户网关
在阿里云中,创建“用户网关”,这个“用户网关”就是指私有数据中心的网关设备。然后,在创建连接时,引用用户网关,以指示要连接到的私有数据中心,而不是直接填写私有数据中心的网络地址。
换句化说:在阿里云中,将私有数据中心抽象为资源,然后在连接时指定资源。
IPSec 连接
创建 用户网关 与 VPN 网关之间的连接: 1)我们使用兴趣流模式;计划后期切换到 BGP 路由模式。
最后,还要发布路由才行,否则无法通信。 首页>VPN网关>用户指南>管理VPN网关>配置VPN网关路由>使用策略路由
SSL 服务端
SSL 客户端
IPSec 服务端
应用场景
建立VPC到本地数据中心的连接[……]
「Huawei」- 企业数通解决方案:iMaster-NCE,自动驾驶网络管理与控制系统
问题描述
伴随 5G 和云时代的到来,VR/AR、直播、无人驾驶等各类创新性业务大量涌现,整个 ICT 产业迸发出蓬勃生机。与此同时,整个网络的流量也呈现出爆炸式增长,华为 GIV(Global Industry Vision,全球产业展望)预计,2025 年新增的数据量将达到 180 ZB。业务的动态复杂性也使得整个网络复杂度不断攀升;
整体来看,这些问题的源头都指向现有的网络系统,只有通过构建自动化、智能化的以用户体验为中心的网络系统才能有效应对;
随着网络的快速发展,数字化转型日益凸显,网络管理逐步从面向网元管理的方式转到面向场景的自动化;
网络管控系统是自治网络的演进方向,包含了控制器、分析器、管理器;
解决方案
华为企业数通解决方案:四大引擎 + 管控析融合平台
四大引擎:AirEngine(WLAN);CloudEngine(Switch);NetEngine(Router);HiSecEngine(Security);
管控析融合平台:iMaster NCE
管控析融合平台:iMaster NCE
华为 iMaster NCE 是华为的一款集管理、控制、分析、AI 智能功能于一体的网络自动化与智能化平台;
Q:iMaster NCE 能做什么? A:它有效连接了物理网络与商业意图。南向实现全局网络的集中管理、控制和分析。面向商业和业务意图使能资源云化、全生命周期网络自动化,以及数据分析驱动的智能闭环。北向提供开放网络 API 与 IT 快速集成;
Q:iMaster NCE 用在哪里? A:可以在企业领域数据中心网络(DCN)、企业园区(Campus)、企业分支互联(SD-WAN)等场景,让企业网络更加简单、智慧、开放和安全,加速企业的业务转型和创新;
四大引擎:Air, Net, Cloud, HiSec
在园区网络、广域及分支网络、数据中心网络、网络安全方面,华为都在为客户提供优质服务,华为数通 4 大引擎:(1)AirEngine 是园区网络解决方案;(2)NetEngine 是城域和骨干网络解决方案;(3)CloudEngine 是 DCN 解决方案;(4)HiSecEngine 是安全解决方案;
原理简述
产品架构
SNMP 和 NETCONF 一般用于配置下发;Telemetry、Netstream、sFlow 一般用于数据上报;
Huawei iMaser NCE,涉及 SDN 技术。采用 NETCONF 与设备交互(而 ONF 采用 OpenFlow 与设备交互);
在 HCIE 的培训 PPT 中提及,通过 Huawei eSight 网管,该方式已集成[……]
「Huawei CloudCampus」- 华为园区网络一站式自动驾驶解决方案
华为智简园区(CloudCampus)致力于为企业构建一张超宽、智慧、极简、安全、开放的基于业务意图的园区网络,时刻洞察并快速响应网络及业务需求,赋予企业捕捉转瞬即逝的商机能力。
CloudCampus 解决方案是园区网络一站式自动驾驶解决方案。
解决方案组件1:智简园区网络硬件产品全景
解决方案组件2:iMaster NCE-Campus
解决方案组件3:iMaster NCE-CampusInsight[……]
「Huawei iMaster NCE-Campus」- 开放 RESTful 接口
问题描述
iMaster NCE-Campus 提供标准 RESTful 接口开放能力,可用于合作伙伴开发创新应用 APP,持续为企业市场客户创造价值。
该笔记将记录:iMaster NCE-Campus 的 RESTful 接口,以及相关问题的解决办法。针对我们的场景,鉴于日后不太可能接触相关技术,所以了解这些技术即可。
解决方案
简而言之,开放 RESTful 接口,允许用户利用网络设备获取到的数据,来创造商业价值。
应用层:聚焦主流场景,覆盖行业应用;网络业务数据全共享,满足应用层对数据增值和运营需求。 平台层:平台覆盖 4 大类 API 接口,支持业界标准网络对接协议。 网络层:支持 Netconf/YANG/Telemetry 等多种开放接口,提升设备可管理性; AP 开放三方物联插卡,物联使能。 终端层:支持物联终端接入(Zigbee、RFID、BLE..);支持有线和无线终端接入 (移动电话、IP 电话、平板、摄像头等)。 典型合作场景与开放接口
典型场景及开放能力介绍
认证授权:认证授权,即第三方认证授权平台可以配合华为智简平台,对接入华为智简园区网络的终端设备进行网络接入认证和计费。租户或MSP希望使用已有或者第三方认证平台,通过Web页面(认证Portal)进行网络接入认证的用户身份信息验证和授权。比如某MSP为服务的租户提供统一的接入认证页面。
位置服务:位置服务(LBS, Location Based Services) ,即第三方LBS应用平台(客流分析、基于位置的 Wi-Fi 营销、定位导航)可以对华为智简园区网络探测和关联的终端设备进行位置应用。
人群画像:人群画像,即第三方大数据分析平台,对华为智简园区网络探测和管理的终端设备的位置和终端状态信息进行分析,获取某个区域内人群画像特征,使网络建设者可以做精准的信息推送。
网络运维:网络运维,即第三方网络管理平台(MSP自有或主流网络管理监控平台)可以管理或监控华为智简园区平台管理的设备。
智慧物联:智慧物联,即第三方通过AP上开放的插卡能力,将AP扩充为一个物联基站实现能效管理、资产管理、物联定位、电子价签等功能。[……]
「Huawei」- CloudCampus,华为智简园区网络,下一代园区网络
智简园区网络解决方案
现代化企业需要一张能够快速连接人、物、环境的多功能、全无线的网络。从设计、部署、业务发放到调优,实现端到端自动化,持续自动优化的高品质、极简运维的网络;
华为智简园区网络(CloudCampus)解决方案,利用最前沿的有线和无线技术,加持大数据、智能和云技术,以业务为中心,构建万物互联、业务无忧和可平滑演进的园区网络,并作为组网兼容性、开放性最佳的解决方案,使能企业数字化转型;
中小型园区网络
基本概念
通过云管理平台,可以实现任意地点对设备进行集中的管理和维护,大大降低网络部署运维成本;
适用范围:中小型企业;
优势 (对比 AC + FIT AP 架构)
即插即用,自动开局,减少网络部署成本; 统一运维:所有云管理网元统一在云管理平台上进行监控和管理; 工具化:通常情况下,云解决方案会在云端提供各类工具,有效降低各类开支;
大中型园区网络
架构特点
AP 需要配合 iMaster NCE 使用,由 iMaster NCE 统一管理和配置,功能丰富,进一步和有线网络融合,结合大数据和 AI 技术实现园区网络的极简、智慧和安全;
适用范围:大中型企业;[……]
「WLAN」- 敏捷分布式 AP,Agile Distributed WLAN
架构特点
AP的一种特殊架构,将 AP 拆分为 中心 AP 和 敏分 AP 两部分,中心AP可管理多台敏分AP。
在适用的场景下,成本低,覆盖好。敏捷分布式AP可以用于FAT AP、AC + FIT AP、云管理架构。
适用范围:房间分布密集的场景。
AD / AD9430 ⇒ 中心 AP SAP / R250D ⇒ 敏分 AP[……]
「Huawei iMaster-NCE」- SDN Solution
华为 SDN 网络架构
华为 SDN 网络架构支持丰富的南北向接口,包括 OpenFlow、OVSDB、NETCONF、PCEP、RESTful、SNMP、BGP、JsonRPC、RESTCONF 等;
Network Application: 1)云平台:云数据中心内资源管理平台。云平台包含对网络资源、计算资源和存储资源的管理。OpenStack 是最主流的开源云平台; 2)EMS(Element Management System,网元管理系统):管理特定类型的一个或多个电信 NE(Network Element,网络单元)的系统; 3)Orchestration(容器编排):容器编排工具也可以包含网络业务编排功能。Kubernetes 是主流的工具;
NBI Plane: 1)MTOSI/CORBA 用于对接 BSS/OSS; 2)Kafka/SFTP 可用于对接大数据平台;
华为 SDN 解决方案 – 管、控、析构建智简网络[……]
「Huawei iMaster-NCE」- 业务开放可编程
问题描述
技术背景
首先以运营商为例,放眼全球,大部分运营商都面临着收入下降、OPEX 上升的问题。同时,随着 OTT 对其市场份额的不断蚕食,越来越多的运营商将 OTT 作为其竞争对手,这些都促使了运营商要做网络转型。此时,运营商必然面临的问题是如何做到多网融合、多厂商协同以及快速高效地管理好融合网络;
在 5G 时代,所有人都预测 5G 将催生新的服务、新的业务。但纵观历史新业务的上线方式都是由运营商提出诉求,再由设备厂商去实现,其周期短则大半年,长则需要几年。而 OTT 推出新业务只需要几个月,这使得运营商和 OTT 完全无法平等竞争。业务上线慢原因众多,其中之一便是运营商和厂商之间存在一个 GAP,即运营商不懂设备,而厂商不懂运营商业务。如何消除这个 GAP 的影响,让运营商和厂商在各自熟悉的领域发挥最大的作用,快速开通新业务,这是急需解决的问题;
最后,厂商生产的产品具有普适性,即适用于大部分运营商。运营商希望系统能够和其业务需求以及企业文化相匹配,故而有定制的需求。例如某运营商将定制能力写入标书,或通过定制企业规范来实现。而从厂商的角度,客户的定制需求会产生大量的成本,因此,最好的方案就是提供可定制的能力,由客户自己完成定制的工作;
对于其他企业,云时代的到来同样面临相同的问题。云化是趋势,基础设施均有被云平台统一纳管的需求。同时云数据中心业务变更频繁对自动化有极高需求,这些需求都要求一个更开放的网络;
在传统的网络中,所谓的网络自动化指的仅仅是依赖模板机制形成命令行脚本,再通过网络管理协议让设备运行接收到的命令行脚本。它并没有改变与网络设备交互的方式。在具体的设备适配过程中,网络管理工程师们使用 Python 或 Perl 等脚本语言编写一段具体的,适用范围较窄的函数来实现一系列操作的自动化,也可以借助 Ansible 和 Puppet 这样的自动化工具来实现更为复杂的自动化任务。无论是自己写也好,借用自动化工具也罢,网络管理工程师们都需要逐一适配待支持的网络设备。脚本规模越来越大,其可维护性也持续下降,增加新配套所耗费的时间也会随之增加。随着万物互联时代的到来,新业务的上市时间(TTM)越来越成为了企业赖以生存的核心指标;
随着云计算商业化取得的巨大成功,“软件定义网络”(SDN,有时也称为“软件驱动网络”)这个之前只在学术圈流行的概念开始大放异彩。在 SDN 网络中,备受推崇的理念就是控制面和转发面的分离(即“转控分离”)。在理想的 SDN 网络中,集中控制器成了一个必不可少的基点。作为整个网络的大脑,它会收集全网拓扑,然后根据业务需求,全局计算出一条最优路径并通知路径途经的设备。当接收到业务报文时,这些设备就会按照集中控制器确定的路径转发报文。此时企业可通过控制面暴露出来的应用编程接口(A[……]
「Software Router」- 路由器操作系统
问题描述
我们需要选择路由器操作系统,通过软件的方式来实现我们的边缘数据中心的网关设备;
该笔记将记录:我们已知的路由器系统对比、我们的选择、相关问题的解决办法;
解决方案
硬件路由器,比如以前很火的就是极 1s 路由宝斐讯 k2 联想的 N1 刷潘多拉 opt lede 之类的都可以刷的闲鱼上的很多卖的 30 50 块就可以买一个了 ⇒ 在硬件路由器上,刷入新的路由器系统,也算是软路由。但这与我们的场景无关,这里仅作记录,一笔带过;
嵌入式路由器操作系统,比如 OpenWrt、DD-Wrt、Padavan、海蜘蛛、爱快、koolshare(koolshare 论坛于 2021 年 10 月 1 日前关闭)等等,这些都是我们听说过的、常见的路由器系统。这里的”嵌入式“是为了形容这些路由器系统为小型的,能满足基本的路由功能;
企业级路由器操作系统,比如 VyOS、RouterOS、pfsense、Zeroshell 等等,有开源的,也有付费的,这些路由器操作系统的功能更加复杂,适用于大型网络环境;
我们选择的系统
# 02/06/2022 OpenWrt
我们最后还是选择 OpenWrt 系统,原因如下: 1)针对我们的场景:OpenWrt 能够满足需求,日后也能够进行更换; 2)良好的生态:学习哪个都一样,我们也疲于折腾(ROI 太低);
# 02/12/2022 pfSense
关于 OPNSense 与 pfSense 对比: 1)Which Operating System should I have on my router? Is pfSense better than OPNSense? 2)pfSense® vs OPNSense – which firewall OS is better?
我们开始尝试使用 pfSense 系统,原因是我们需要功能更加丰富的企业路由系统,能够完成企业组网: 1)OpenWrt 功能过于简单,需要安装很多扩展,且不适用于企业级场景; 2)OPNSense 不支持 L2TP VPN 技术;[……]
「Network Bridging」
Difference between Switch and Linux Bridge
Difference between Switch and Linux Bridge – Network Engineering Stack Exchange
两者功能相仿,但是有很多不同的地方。
参考文献
鳥哥的Linux私房菜/通透式防火牆[……]
「Linux」- 网桥、网络桥接、网卡桥接
问题描述
桥接网络连接,可以将一台电脑的互联网连接在多台电脑之间分享。尤其是在没有路由器或者接口不够的时候,极其有用。
基本上,「桥接」是将一台「HostA(未联网)」连接到「HostB(已经联网)」,并让HostA使用HostB的网络连接。为此,联网网络HostB需要有两个以太网端口,一个用于大型网络,另一个用于桥接HostA。
使用桥接的另一个示例场景是提供冗余网络功能。例如使用两个网络接口连接到两个支持生成树的交换机,在电缆、接口、交换机故障的情况下提供冗余连接。这需要在桥接器和交换机上启用生成树。
解决方案
系统环境:Kali GNU/Linux Rolling
在开始之前,请确保要连接的HostB有两个以太网端口,并且硬件能够桥接以太网连接(可能应该是)。
第一步、安装软件
网桥的配置需要使用brctl(8)命令,该命令位于bridge-utils软件包中。执行apt-get install bridge-utils安装。
桥接网口在ip link中显示为新接口,很像eth0或eth1。它不存在于计算机上,而是一个虚拟接口,只需从一个物理接口接收数据包,并透明地将它们路由到另一个物理接口。
第二步、配置网桥
设置时使用命令是在联网的计算机上执行的,即已经联网的HostB。要设置要桥接的HostA,只需正常设置,就像其他计算机一样。您可以使用DHCP,也可以使用静态地址。桥接HostA不需要做额外的配置,像普通的计算机一样就好了。
在使用网桥接口后,如果发现网络链路死机、无法上网,可能是路由器/交换机上游可能会阻塞网络中的“未授权交换机(unauthorized switches)”(例如,通过检测BPDU报文) 。你必须更改其配置,以显式的允许主机/网络端口作为“交换机”。
下面是在已经联网的HostB上执行的命令:
# 创建网桥接口
brctl addbr br0
# 添加接口到网桥
brctl addif br0 eth0 eth1
# 启动所有的网络接口
ip link set dev br0 up
常见问题处理
持久化网桥设置
https://wiki.debian.org/BridgeNetworkConnections#Configuring_bridging_in_.2Fetc.2Fnetwork.2Finterfaces https://wiki.debian.org/BridgeNetworkConnections#Useful_options_for_virtualised_environments
与网桥有关的内核变量
https://wiki.debian.org/BridgeNetw[……]
「Cellular」- 流量
靠谱的流量卡运营商
知乎 / 现在的纯流量卡哪里还可以购买?
>>> 用过一段时间流量卡的都知道大公司就那么几家:小象,中泽,硕朗,秒通。之前介绍的火象卡就是小象通信公司运营的,疫情之后还能存货的公司,都是比较稳定的大公司;
小象通信
# 01/13/2021 目前,我们在使用小象通信的流量卡,电信,乐宁通信 K – A1 通道;
# 06/10/2021 差不多半年,本地不是很稳定,偶尔会断开。如果到了外地,也是同样的不稳定;
# 12/08/2022 很早之前我们已经不用了,现在直接是与宽带帐号绑定的电话卡所提供的流量套餐;[……]
「Software Router」- 动态路由协议软件
问题描述
我们的软路由需要运行动态路由协议,以实现多个 VPN 实例间的网络互通。
该笔记将记录:在 Linux 中,动态路由协议的软件实现,及相关问题的解决方法。
解决方案
Quagga Routing Suite
Quagga Software Routing Suite
1)路由套件,实现多种动态路由协议(例如 OSPF ISIS BGP 等等); 2)提供 vtysh 命令,配置操作类似网络设备的管理方式(所以易上手); 3)部分路由系统(OpenWrt)仅支持该套件,所以我们经常使用该工具;(04/22/2022)
FRRouting Project, Free Ranage Routing
FRRouting – Wikipedia https://frrouting.org/
FRR 起源于 Quagga 项目。事实上,它是由许多长期的 Quagga 开发人员发起的,他们共同努力改进 Quagga 的完善基础,以创建可用的最佳路由协议栈。
# 02/12/2022 我们之前未发现该动态路由的软件实现。通过调研软件路由系统,我们发现很多系统都内置 FRR 来提供动态路由协议的支持。
The BIRD Internet Routing Daemon
The BIRD Internet Routing Daemon Project
通过配置文件进行配置。
The OpenBGPd and OpenOSPFd project
http://www.openbgpd.org/
参考文献
Quagga Software Routing Suite[……]
「Network」- Quagga Routing Suite
问题描述
我们使用 Huawei AR1220E-S 设备,但运行在内网,无法直接访问。我们通过公网服务器,部署 xl2tpd 服务(作为中转),实现异地组网。但是 xl2tpd 存在动态分配地址、网络接口名不固定等等问题,我们决定部署动态路由协议的软件实现以解决这些问题,实现在多个软路由间网络互通。
我们选择 Quagga Routing Suite 来运行动态路由协议,只要原因是:其提供的 vtysh 命令,其交互方式与管理网络设备及其类似;另外支持的动态路由协议较多;广泛使用(从 Google Search 结果来看,使用 Quagga 的文章比较多)。
该笔记将记录:Quagga 的学习过程(参照官方文档),以及配置示例,常见问题解决方法。
解决方案
建议阅读 Quagga (http://www.quagga.net) 官方文档,以获取更多细节,该笔记仅作摘录笔记。
1 Overview(概念术语、系统架构)
1.1 About Quagga
1.2 System Architecture
这是官方提供的架构图:
+—-+ +—-+ +—–+ +—–+
|bgpd| |ripd| |ospfd| |zebra|
+—-+ +—-+ +—–+ +—–+
|
+—————————|–+
| v |
| UNIX Kernel routing table |
| |
+——————————+
如下,是我们绘制的架构图(根据文档的描述而绘制):
+——————————+
| |
| vtysh |
| |
+-||——||——-|——–|–+
|| || | |
|| || | |
+-||-+ +-||-+ +–|–+ +–|–+
|bgpd| |ripd| |ospfd| |zebra|
+-||-+ +-||-+ +–|–+ +–|–+
|| || | |
+-vv—–[……]
「Dnsmasq」- DNS/DHCP/TFTP
解决方案
Dnsmasq,小型缓存DNS代理及DHCP/TFTP服务器。是一个轻量级、易于配置的DNS转发器和DHCP服务器。用于向小型网络提供DNS和可选的DHCP服务。
它可以服务于不在全局DNS中的本地计算机的名称。DHCP服务器与DNS服务器集成,并允许具有DHCP分配地址的机器出现在DNS中,名称配置在每个主机或中心配置文件中。
Dnsmasq支持静态和动态DHCP租用和用于无盘机的网络启动的BOOTP/TFTP。
安装服务
从发行版的源中安装
# Ubuntu 16.04.2 LTS
# dnsmasq-base: dnsmasq程序文件
# dnsmasq: /etc下相关的脚本及其他的一些配置文件等。
apt-get install dnsmasq dnsmasq-base dnsmasq-utils
使用源码编译安装
第一步,下载源码 参考官网中的Get code小节: http://www.thekelleys.org.uk/dnsmasq/doc.html
第二步,进入源码目录、编译安装
cd /path/to/dnsmasq
make && make install
安装的可执行程序
dnsmasq,是 Dnsmasq 的程序文件,轻量级的DNS服务和DHCP服务。
相关程序
dbab: https://github.com/suntong/dbab
常见问题处理
symbol nettle_get_hashes version NETTLE_6 not defined in file libnettle.so.6
dnsmasq: relocation error: dnsmasq: symbol nettle_get_hashes version NETTLE_6 not defined in file libnettle.so.6 with link time reference
系统环境:Kali GNU/Linux Rolling 问题原因:使用了旧版本的 libnettle6 库。 解决方案:升级libnettle6库。执行:apt-get install libnettle6
参考文献
Website: http://www.thekelleys.org.uk/dnsmasq/doc.html[……]
「H3C」- S5500-24P-WiNet
问题描述
该笔记将记录:与 H3C S5500-24P-WiNet 有关的内容,以及相关问题的解决方案;
解决方案
在早些年(10/15/2019),那时候我们还未学习数通网络技术,所以对于相关知识知之甚少。这是第一篇与网络设备相关的笔记,当前已无参考价值;
硬件信息
H3C Comware Platform Software Comware Software, Version 5.20.99, Release 2220P10 Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C S5500-24P-WiNet uptime is 35 weeks, 2 days, 3 hours, 58 minutes
系统命令
根据官方「H3C S5500-WiNet 系列以太网交换机 用户手册-6PW102」文档所述:
设备使用 Release 2221P18 之前的版本时,仅支持少量基本配置命令(参见表 4-1)。如果您无法通过 Web 界面登录设备(例如:忘记了设备的 IP 地址),可以通过 Console 口登录设备,使用命令行对设备进行一些基础配置;
所以也没有什么命令可以,唯一的命令是基础命令,在「表 4-1」中。大多数操作是通过 Web 界面完成的;
相关链接
H3C S5500-WiNet 系列以太网交换机 用户手册-6PW102
参考文献
百度百科 /H3C S5500-24P-WiNet[……]