H3C Service-chain产品配置手册

1、H3C Service-chain产品配置手册 在 SDN 环境中应用的解决方案配置指导（东西向）i目录TOC o 1-3 h z u HYPERLINK l _bookmark0 简介2 HYPERLINK l _bookmark1 配置前提2 HYPERLINK l _bookmark2 配置举例2 HYPERLINK l _bookmark3 组网需求2 HYPERLINK l _bookmark4 配置步骤3 HYPERLINK l _bookmark5 3.2.1 S6800 交换机初始配置3 HYPERLINK l _bookmark6 3.2.2 F5020 初始配置4 HYPE

2、RLINK l _bookmark7 3.2.3 L5000 初始配置6 HYPERLINK l _bookmark8 VCF 控制器环境搭建8 HYPERLINK l _bookmark11 NFV Manager 配置12 HYPERLINK l _bookmark14 VSR 及 VFW 资源申请16 HYPERLINK l _bookmark15 为租户分 VFW 资源21 HYPERLINK l _bookmark20 为租户分 VLB 资源25 HYPERLINK l _bookmark21 配置虚拟网络26 HYPERLINK l _bookmark23 vSwitch VM 上

3、线45 HYPERLINK l _bookmark24 S6800 交换机下挂 VM 上线（网络 Overlay）53 HYPERLINK l _bookmark25 验证配置65 HYPERLINK l _bookmark26 配置东西向服务链防火墙70 HYPERLINK l _bookmark27 配置规则70 HYPERLINK l _bookmark28 配置策略70 HYPERLINK l _bookmark29 配置防火墙实例72 HYPERLINK l _bookmark30 配置负载均衡73 HYPERLINK l _bookmark31 配置服务链76 HYPERLINK

4、l _bookmark32 配置流量特征组76 HYPERLINK l _bookmark33 查看已配置的流量特征组78 HYPERLINK l _bookmark34 创建服务链78 HYPERLINK l _bookmark35 查看防火墙和 LB 的状态80 HYPERLINK l _bookmark36 验证配置81 HYPERLINK l _bookmark37 ping 测试81 HYPERLINK l _bookmark38 配置信息82 PAGE 15简介本文档主要介绍了东西向服务链的搭建过程，包括通过 S6800 系列交换机下挂服务器 VM 的网络overlay 方式和S1

5、020V 下挂服务器 VM 的主机overlay 方式两种，服务节点包括防火墙（硬件 F5020和 NFV VFW）和 LB 设备（硬件 L5000 和NFV VLB）。配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解 Service-chain 特性。配置举例组网需求图1 组网图 1管理网下行口上行口图2 组网图 2控 制 端 1 VCFC：

6、IMC：vCenter:0/1NFV Manager 9（VSR/VFW/VLB）3/02/01/0管理网M0/0/00/12 0/13L5000-10/40/5IRFreth1reth1IRFL5000-20/30/150/10/140/11545454交换机SW521/2/1S1020V 0业务网管理网业务网管理网-15F020-15F020S6800交换机9业务网业务网1/2/2VMVM测试组网说明：1、要求 VCFC、vCenter、虚拟交换机 S1020V、VSR 相互之间管理地址路由可达，可独立管理网络部署，也可和数据网络共享物理链路部署带内网管。2、VCFC 统一管理 Overl

7、ay 网络虚拟和实体设备，如上图的 S1020V、S6800 和 VSR 设备。S1020V 作为VM1、VM2 接入 Overlay 网络的虚拟交换机，接受 SDN 控制器的策略下发，实现出入 VM1、VM2 流量的转发；S6800 作为 VM3 接入 Overlay 网络的接入交换机，接受 SDN 控制器的策略下发，实现出入 VM3 的流量转发。VSR 作为 Overlay 网络网关，即虚拟网络的 VM 以及 S6800 交换机下挂的 VM 的物理网关，接受 SDN 控制器的策略下发，实现虚拟网络和非虚拟网络（Internet） 之间的流量转发，以及跨 VSR 的虚拟网络之间的互访（服务链

8、网络）。3、Underlay 网络 VSR、S6800、S1020V 和 F5020 和 L5000 之间通过传统的网络技术实现相互之间VTEP IP 地址可达。配置步骤S6800 交换机初始配置# 开启 OVSDB Server，用户和控制器建立连接，实现控制器对设备的VXLAN 配置。 system-viewS6800 ovsdb server ptcp port 6632 S6800 ovsdb server enable# 使能 VTEP。S6800 vtep enable# 配置 netconf 参数，实现用户控制器向设备下发配置信息。S6800 netconf soap http

9、enableS6800 netconf soap https enable# 开启 HTTP 和HTTPS 服务。S6800 ip http enable S6800 ip https enable# 创建用户，VCFC 控制器通过此账户访问 S6800。S6800 local-user dm class manageS6800-luser-manage-dm password simple dmS6800-luser-manage-dm service-type telnet http httpsS6800-luser-manage-dm authorization-attribute us

10、er-role network-admin S6800-luser-manage-dm quit# 开启 OSPF 进程 1。S6800 ospf 1 S6800-ospf-1 quit# 配置 VXLAN VTEP IP 地址。S6800 interface LoopBack0S6800-LoopBack0 ip address 55S6800-LoopBack0 ospf 1 area S6800-LoopBack0 quit# 配置数据网 IP，用户 Underlay 网络互通。S6800 interface Ten-GigabitEthernet1/2/18S6800-Ten-Giga

11、bitEthernet1/2/18 port link-mode routeS6800-Ten-GigabitEthernet1/2/18 ip address S6800-Ten-GigabitEthernet1/2/18 ospf 1 area S6800-Ten-GigabitEthernet1/2/18 quit# 配置管理接口 IP 地址。S6800 interface M-GigabitEthernet0/0/0S6800-M-GigabitEthernet0/0/0 ip address 0 S6800-M-GigabitEthernet0/0/0 quitF5020 初始配置F

12、5020-1 的 IRF 配置# 配置成员号和优先级。 system-viewF5020-1 irf member 1 priority 32# 配置 IRF 端口与物理端口相关联。F5020-1 interface gigabitEthernet1/0/2 F5020-1-GigabitEthernet1/0/2 shutdown F5020-1-GigabitEthernet1/0/2 quit F5020-1 interface gigabitEthernet1/0/3 F5020-1-GigabitEthernet1/0/3 shutdown F5020-1-GigabitEthern

13、et1/0/3 quit F5020-1 irf-port 1/2F5020-1-irf-port1/2 port group interface gigabitEthernet1/0/2 F5020-1-irf-port1/2 port group interface gigabitEthernet1/0/3F5020-1-irf-port1/2 quitF5020-1 interface gigabitEthernet1/0/2 F5020-1-GigabitEthernet1/0/2 undo shutdown F5020-1-GigabitEthernet1/0/2 quitF5020

14、-1 interface gigabitEthernet1/0/3 F5020-1-GigabitEthernet1/0/3 undo shutdown F5020-1-GigabitEthernet1/0/3 quitF5020-1 saveF5020-1 irf-port-configuration activeF5020-2 的 IRF 配置# 配置成员号和优先级。 system-viewF5020-2 irf member 1 renumber 2Renumbering the member ID may result in configuration change or loss.

15、Continue?Y/N:Y F5020-2 saveF5020-2 quit reboot# 设备重启成功后，登录设备并设置 IRF 优先级。 system-viewF5020-2 irf member 2 priority 1# 配置 IRF 端口与物理端口关联。F5020-2 interface gigabitEthernet2/0/2 F5020-2-GigabitEthernet2/0/2 shutdown F5020-2-GigabitEthernet2/0/2 quit F5020-2 interface gigabitEthernet2/0/3 F5020-2-GigabitE

16、thernet2/0/3 shutdown F5020-2-GigabitEthernet2/0/3 quit F5020-2 irf-port 2/1F5020-2-irf-port2/1 port group interface gigabitEthernet2/0/2 F5020-2-irf-port2/1 port group interface gigabitEthernet2/0/3 F5020-2-irf-port2/1 quitF5020-2 interface gigabitEthernet2/0/2 F5020-2-GigabitEthernet2/0/2 undo shu

17、tdown F5020-2-GigabitEthernet2/0/2 quitF5020-2 interface gigabitEthernet2/0/3 F5020-2-GigabitEthernet2/0/3 undo shutdown F5020-2-GigabitEthernet2/0/3 quitF5020-2 saveF5020-2 irf-port-configuration active# 配置冗余口。 system-view F5020-1 interface reth 1F5020-1-Reth1 member interface gigabitEthernet1/0/11

18、 priority 100 F5020-1-Reth1 member interface gigabitEthernet2/0/9 priority 10 F5020-1-Reth1 quit# 配置管理口接口地址。F5020-1 interface gigabitEthernet1/0/0F5020-1-GigabitEthernet1/0/0 ip address 4 F5020-1-GigabitEthernet1/0/0 quit# 将接口加入管理域。F5020-1 security-zone name ManagementF5020-1-security-zone-Managemen

19、t import interface gigabitEthernet1/0/0 F5020-1-security-zone-Management quit# 创建用户。F5020-1 local-user dm class manageF5020-1-luser-manage-dm password simple dm F5020-1-luser-manage-dm service-type ftpF5020-1-luser-manage-dm service-type telnet http httpsF5020-1-luser-manage-dm authorization-attribu

20、te user-role network-admin F5020-1-luser-manage-dm quit# 配置 netconf 参数，实现用户控制器向设备下发配置信息。F5020-1 netconf soap http enable F5020-1 netconf soap https enable# 开启 HTTP 和HTTPS 服务。F5020-1 ip http enable F5020-1 ip https enableL5000 初始配置L5000 设备除了不用配置安全域，其它配置和防火墙一样。L5000-1 的 IRF 配置# 配置成员号和优先级。 system-viewL

21、5000-1 irf member 1 priority 32# 配置 IRF 端口与物理端口相关联。L5000-1 interface gigabitEthernet1/0/2 L5000-1-GigabitEthernet1/0/2 shutdown L5000-1-GigabitEthernet1/0/2 quit L5000-1 interface gigabitEthernet1/0/3 L5000-1-GigabitEthernet1/0/3 shutdown L5000-1-GigabitEthernet1/0/3 quit L5000-1 irf-port 1/2L5000-1

22、-irf-port1/2 port group interface gigabitEthernet1/0/2 L5000-1-irf-port1/2 port group interface gigabitEthernet1/0/3 L5000-1-irf-port1/2 quitL5000-1 interface gigabitEthernet1/0/2 L5000-1-GigabitEthernet1/0/2 undo shutdown L5000-1-GigabitEthernet1/0/2 quitL5000-1 interface gigabitEthernet1/0/3 L5000

23、-1-GigabitEthernet1/0/3 undo shutdown L5000-1-GigabitEthernet1/0/3 quitL5000-1 saveL5000-1 irf-port-configuration activeL5000-2 的 IRF 配置# 配置成员号和优先级。 system-viewL5000-2 irf member 1 renumber 2Renumbering the member ID may result in configuration change or loss. Continue?Y/N:Y L5000-2 saveL5000-2 quit

24、 reboot# 设备重启成功后，登录设备并设置 IRF 优先级。 system-viewL5000-2 irf member 2 priority 1# 配置 IRF 端口与物理端口关联。L5000-2 interface gigabitEthernet2/0/2 L5000-2-GigabitEthernet2/0/2 shutdown L5000-2-GigabitEthernet2/0/2 quit L5000-2 interface gigabitEthernet2/0/3 L5000-2-GigabitEthernet2/0/3 shutdown L5000-2-GigabitEt

25、hernet2/0/3 quit L5000-2 irf-port 2/1L5000-2-irf-port2/1 port group interface gigabitEthernet2/0/2 L5000-2-irf-port2/1 port group interface gigabitEthernet2/0/3 L5000-2-irf-port2/1 quitL5000-2 interface gigabitEthernet2/0/2 L5000-2-GigabitEthernet2/0/2 undo shutdown L5000-2-GigabitEthernet2/0/2 quit

26、L5000-2 interface gigabitEthernet2/0/3 L5000-2-GigabitEthernet2/0/3 undo shutdown L5000-2-GigabitEthernet2/0/3 quitL5000-2 saveL5000-2 irf-port-configuration active# 配置冗余口。 system-view L5000-1 interface reth 1L5000-1-Reth1 member interface gigabitEthernet1/0/11 priority 100 L5000-1-Reth1 member inte

27、rface gigabitEthernet2/0/9 priority 10 L5000-1-Reth1 quit# 配置管理口接口地址。L5000-1 interface gigabitEthernet1/0/0L5000-1-GigabitEthernet1/0/0 ip address 4 L5000-1-GigabitEthernet1/0/0 quit# 创建用户。L5000-1 local-user dm class manageL5000-1-luser-manage-dm password simple dm L5000-1-luser-manage-dm service-ty

28、pe ftpL5000-1-luser-manage-dm service-type telnet http httpsL5000-1-luser-manage-dm authorization-attribute user-role network-admin L5000-1-luser-manage-dm quit# 配置 netconf 参数，实现用户控制器向设备下发配置信息。L5000-1 netconf soap http enable L5000-1 netconf soap https enable# 开启 HTTP 和HTTPS 服务。L5000-1 ip http enabl

29、e L5000-1 ip https enableVCF 控制器环境搭建在服务器ESXi 系统中搭建两台 VCF 控制器以及一台 VCF License 服务器；本次组网中使用的 VCF控制器及 License 服务器是直接拷贝的虚拟机模板；两台 VCF 的集群和 Region 配置方法可以参考H3C VCF 控制器安装指导。目前可以通过VCFC 部署硬件防火墙和 LB 设备，部署方式如下：NGFW的部署通过NGFW Manager 添加安全设备，如 HYPERLINK l _bookmark9 图 3 所示。具体参数配置如 HYPERLINK l _bookmark10 图 4 所示图3 添

30、加安全设备图4 参数配置创建资源池，并选中已添加的安全设备，如下图所示图5 创建资源池为资源创建配置模板，单击配置按钮，如下图所示图6 配置模板# 单击配置模板按钮，如下图所示。图7 配置模板页面# 类型选择服务链 FW 资源，配置防火墙上下行接口及管理口，并为接口分配 ip 地址资源，如下图所示。图8 创建模板# 查看模板详情，如下图所示。图9 模板详情LB的部署LB 模板的创建过程和防火墙类似，唯一的区别在于 LB 没有上行口，而防火墙设备预留了上行口作为配置南北向服务链时和外网交互的接口，LB 模板详情如下：NFV Manager 配置一般组网中有两台服务器安装 NFV Manager

31、Agent，其中一台安装NFV Manager 用于管理两台服务器创建VSR。本组网中 NFV Manger 和NFV Manager Agent 装在同一台服务器上。在浏览器中输入 NFV Manager 的 GUI 登录地址，如9:8080/NFV-DSM/index.jsp，输入用户名和密码（默认用户名 admin，密码admin）登录，上传申请的 NFV Manager license选择General/Host菜单项，单击 Add Host，输入一个 agent 的管理地址，Host Name 以及用户名密码（默认用户名 admin，密码 admin），如 HYPERLINK l _

32、bookmark12 图 10 所示。再添加主机，如 HYPERLINK l _bookmark13 图 11 所示图10 输入用户名和密码图11 输入信息图12 添加主机完成选择Settings/VNF Descriptor菜单项，上传VNF Descriptor 文件图13 上传VNF Descriptor 文件选择Settings/VNF Image菜单项，上传VNF Image 文件图14 上传VNF Image 文件选择Settings/ VNF Template菜单项，创建单机模版图15 VSR 单机模板相关配置：session synchronization enablenat

33、port-block synchronization enable ipsec redundancy enableip vpn-instance external_vpn interface g 3/0.2vlan-type dot1q vid 2 interface Reth 1member interface g 3/0.2 priority 100 ip binding vpn-instance external_vpn ospf 1interface LoopBack 0ospf 1 area 0interface LoopBack 1ospf 1 area 0interface Lo

34、opBack 127 interface g 2/0mtu 9216ospf 1 area 0ospf cost 1图16 VFW 单机模板：相关配置：ip vpn-instance external_vpn interface g 3/0.2vlan-type dot1q vid 2 interface Reth 1member interface g 3/0.2 priority 100 ip binding vpn-instance external_vpn ospf 1ospf 10interface LoopBack 0ospf 10 area 0 interface g 1/0 o

35、spf 10 area 0interface LoopBack 1ospf 1 area 0 interface g 2/0 mtu 9216ospf 1 area 0ospf cost 1security-zone name SDN_ZONE_DEFAULT import interface GigabitEthernet1/0 import interface GigabitEthernet2/0 import interface GigabitEthernet3/0 import interface GigabitEthernet3/0.2 Object-policy ip SDN_PO

36、LICY_DEFAULT rule 0 passsecurity-zone intra-zone default permitzone-pair security source Any destination Any object-policy apply ip SDN_POLICY_DEFAULT PAGE 31VSR 及 VFW 资源申请本手册中申请 VSR 资源为 NFV 环境下的虚拟资源，同时我们也可以申请实际的物理交换机（S12500-X、S9800）作为网关资源，使用物理交换机的配置方式本手册不做介绍。通过NFV Manager 申请 VSR 资源# VNF 网元，如下图所示。图1

37、7 VNF 网元# 配置 VTEP 地址池，如下图所示。图18 VTEP 地址池添加VTEP 地址池地址这个地址池的作用是配置 VSR 资源的 VTEP IP，每个 VSR 都应该有一个 VTEP IP 作为外层隧道IP。这个 IP 一般会配置为VSR 的：Inloopback 1。注意：如果多人共用同一个 AFC 申请 VSR，必须保证每个人申请到的 VSR 的 VTEP IP 不能相同。所以，要确保每套环境的 VTEP IP 的地址池都不能重叠。图19 添加地址池连接NFV Manager 用户名和密码都是 admin。图20 配置VNFW 信息进入租户管理页面图21 租户管理创建租户#

38、新建租户，如下图所示。图22 新建租户# 输入租户名，如下图所示。图23 输入租户名称分配VSR 资源# 修改网关资源，如下图所示。图24 修改网关资源# 创建虚拟网关，如下图所示。图25 创建虚拟网关# 创建成功，如下图所示。图26 创建完成成功申请信息图27 成功申请信息查看已申请的VSR 网关资源图28 查看VSR 网关资源查看VSR 资源的 IP 和用户名图29 查看VSR 资源信息记录VSR 网关资源的管理 IP 和名称此时状态为 Active（如果 openflow 连接上了，就是这个状态，不是这个状态就要检查一下网络或其他配置了），如下图所示。图30 记录VSR 资源信息在 PC

39、 配置去往管理IP 的静态路由由于测试组网 VSR 的管理 IP 和 PC 在同一网段，因此本环境无需配置静态路由，PC 就能够直接ping 通 VSR，也能够直接通过 VTP 平台 telnet 所申请的VSR。为租户分 VFW 资源本手册中申请VFW 资源的实现方式有两种，一种为通过 NFV Manager 软件方式申请 VFW，一种通过 IMC 方式在物理防火墙设备申请 VFW。进入租户管理页面图31 租户管理分配 vFW 资源图32 分配 vFW 资源创建服务资源图33 创建服务资源填写资源信息通过NFV Manager 方式申请如 HYPERLINK l _bookmark16 图

40、34 所示。通过 iMC 方式申请VFW 如 HYPERLINK l _bookmark17 图 35 所示。图34 通过NFV Manager 方式申请 VFW图35 通过iMC 方式申请 VFW成功申请信息图36 成功申请信息查看已申请的 vFW 资源图37 查看 VNFM 信息图38 NGFW 信息记录 vFW 资源的管理 IP 和名称此时状态为 Active（如果 openflow 连接上了，就是这个状态，不是这个状态就要检查一下网络或其他配置了），如下图所示。图39 通过NFV 申请的资源信息图40 通过iMC 申请的资源信息在 pc 配置去往管理IP 的默认路由由于测试组网 VFW

41、 的管理 IP 和 PC 在同一网段，因此本环境无需配置静态路由，PC 就能够直接ping 通VFW，也能够直接通过 VTP 平台 telnet 所申请的VFW。查看所申请的VSR 及VFW 资源登录NFV（用 chrome）：9:8080/NFV-DSM/login.jsp，用户名/密码：admin/admin，可以根据名字查看已创建的资源，如下图所示。图41 查看已创建的资源登录 iMC（用 chrome）：:8080/imc/fwm/dev/devList.jsf，查看创建的 VFW 资源，如 HYPERLINK l _bookmark18 图 42 和 HYPERLINK l _boo

42、kmark19 图 43 所示。图42 查看创建的 VFW 资源图43 查看创建的 VFW 资源为租户分 VLB 资源VLB 资源的创建和 VFW 类似，只是选择服务类型为 vLB 即可，如下图所示。图44 分配VLB 资源配置虚拟网络配置VDS进入 VDS 配置界面，如下图所示。图45 进入 VDS 配置界面创建 VDS由于当前的组网是所有环境共用一个vCenter，vCenter 有一个要求，就是数据中心不允许存在同名的 VDS，所以要求大家给 VDS 取名字的时候带上些微的个人特征，以免不小心重名导致后续出现问题不知道如何定位。# 在创建 VDS 填写的数据中心的名称，是一个已经存在的已

43、经部署好的数据中心的名字，填对自己用的数据中心的名字。# 选择 vswitch，如下图所示。图46 选择 vswitch# 创建 VDS，如下图所示。图47 创建 VDS查看已创建的 VDS图48 查看已创建的 VDS创建计算域进入计算域配置界面图49 创建计算域创建Domain 名称图50 创建Domain 名称查看已创建的Domain图51 查看已创建的DomainDomain 控制器配置图52 Domain 控制器配置连接 vCenter 控制器输入以下参数：IP：用户名： HYPERLINK mailto:Administratorvsphere.local Administrator

44、vsphere.local密码是：Sdn123456端口号：443详细信息如下图所示。图53 输入相关信息显示已连接的 vCenter 控制器图54 显示已连接的 vCenter 控制器进入关联 VDS 界面图55 进入关联 VDS 界面关联 VDS# 选择需要关联的 VDS，如下图所示。图56 关联 VDS# 单击按钮，如下图所示。 PAGE 32图57 关联 VDS# 单击按钮，完成关联。确认 VDS 正确关联上一步完成后，在 vCenter 对应的数据中心能看到所关联的 VDS 已经推到数据中心的网络中了。如下图所示。图58 确认 VDS 正确关联 PAGE 33vSwitch主机上线（

45、主机Overlay）vSphere连接vCenter# 连 vCenter,使用 vSphere 连地址，参数如下，登录 Vmware，如 HYPERLINK l _bookmark22 图 59 所示。IP：用户名： HYPERLINK mailto:Administratorvsphere.local Administratorvsphere.local密码：Sdn123456图59 登录Vmware PAGE 50添加主机 图60 添加主机选择主机和物理适配器VDS 能够识别出安装了S1020V 的主机设备。# 选择主机的数据口，如下图所示。图61 选择主机的数据口# 单击，如下图所示。

46、图62 单击下一步# 单击，如下图所示。图63 单击下一步# 单击按钮，如下图所示。图64 单击完成查看已添加的主机图65 查看已添加的主机添加管理适配器# 进入管理虚拟机适配器界面，如下图所示。图66 管理虚拟适配器界面# 在界面选择添加，如下图所示。图67 界面选择添加# 选择创建类型，如下图所示。图68 选择创建类型# 单击按钮，选择虚拟适配器类型，如下图所示。图69 选择虚拟适配器类型# 设置网络连接，如下图所示。图70 设置网络连接# 单击按钮，配置 vmkernelIP，如下图所示。图71 配置 vmkernelIP# 单击按钮，完成配置，如下图所示。图72 完成配置# 编辑 vm

47、k1，修改 MTU 最大值为 9000，如下图所示。图73 修改 vmk1 的 MTU# 产看主机上线情况，如下图所示。图74 查看主机上线情况# 查看详细情况，如下图所示。图75 详细情况# 查看上想成功的主机，如下图所示。图76 查看上线成功vSwitch VM 上线创建租户网络和外部网络# 注意创建网络的时候 VDS 选择刚刚创建的 han，而不是默认的 VDS。图77 创建网络# 创建租户网络，参数配置如下图所示。图78 创建租户网络# 创建外部网络，参数配置如下图所示。图79 创建外部网络创建 subnet由于是 overlay，网段不限，这里 IP 地址可以任性。租户网络建议选择“

48、激活 dhcp”，这样虚拟网络的虚机才能根据网段自动分配到地址和默认路由。# 租户网络子网，如下图所示。图80 租户网络子网# 创建租户子网，如下图所示。图81 创建子网# 租户子网参数配置信息，如下图所示。图82 输入子网信息# 创建外部网络子网，如下图所示。图83 外部网络子网# 外部网络子网配置参数，如下图所示。图84 输入外部网络子网信息创建虚拟路由器 vRouter注意：vRouter 创建时候选择的 VDS 必须是自己创建的那个 VDS。# 创建虚拟路由器，如下图所示。图85 创建虚拟路由器# 虚拟路由器参数配置，如下图所示。图86 虚拟路由器参数配置把 subnet 加入 vRo

49、uter# 选择接口，如下图所示。图87 选择接口# 增加接口，如下图所示。图88 增加接口# 输入接口信息，如下图所示。图89 输入接口信息增加外部网络# 增加外部网络，如下图所示。图90 增加外部网络# 输入外部网络信息，如下图所示。图91 输入外部网络信息创建端口组图92 创建端口组 PAGE 51为 VM 选取端口组# 在 vCenter 的主机和群集找到自己的数据中心。# 选中希望启动的虚机。# 编辑虚拟机设置。# 选择网络适配器。# 选择网络标签。# 选择虚机网络所依赖的端口组（虚机自动分配出来的 IP 地址由端口组对应的 network 的 subnet中配置的网段和网关决定，当

50、然还有dhcp 选项）。# 确定。# 配置完虚机的网络配置后，启动虚机。图93 为 VM 选取端口组启动VM（Win2008）# VM 启动需要一点时间，变绿以后就说明启动好了。# 登录虚机 console。# 在“运行”中输入 cmd，在命令行窗口中输入 ipconfig 查看虚机的地址分配情况，如下图所示。 PAGE 52图94 查看虚机的地址分配情况# 在“运行”中输入 cmd，在命令行窗口中输入 route print -4 查看虚机接口的默认路由。图95 查看虚机接口的默认路由在 VCFC 上查看 vm 上线情况本次启动了两个 vm，ip 地址为 、，如下图所示。图96 查看 vm

51、上线情况 PAGE 83S6800 交换机下挂 VM 上线（网络 Overlay）S6800 交换机设备预配置# 开启 OVSDB Server 用户和控制器建立连接，实现控制器对设备的VXLAN 配置。 system-viewS6800 ovsdb server ptcp port 6632 S6800 ovsdb server enable# 使能 VTEP。S6800 vtep enable# netconf 参数用户控制器向设备下发配置信息。S6800 netconf soap http enable S6800 netconf soap https enable# 开启 HTTP 和

52、HTTPS 服务。S6800 ip http enable S6800 ip https enable# 创建用户，VCFC 控制器通过此账户访问 S6800。S6800 local-user admin class manageS6800-luser-manage-dm password simple adminS6800-luser-manage-dm service-type telnet http httpsS6800-luser-manage-dm authorization-attribute user-role network-admin S6800-luser-manage-d

53、m quit# 开启 OSPF 进程 1。S6800 ospf 1 S6800-ospf-1 quit# 配置 VXLAN VTEP IP 地址。S6800 interface LoopBack0S6800-LoopBack0 ip address 55S6800-LoopBack0 ospf 1 area S6800-LoopBack0 quit# 配置数据网 IP。S6800 interface Ten-GigabitEthernet1/2/1S6800-Ten-GigabitEthernet1/2/18 port link-mode routeS6800-Ten-GigabitEther

54、net1/2/18 ip address S6800-Ten-GigabitEthernet1/2/18 ospf 1 area S6800-Ten-GigabitEthernet1/2/18 quit# 配置管理接口 IP 地址。S6800 interface M-GigabitEthernet0/0/0S6800-M-GigabitEthernet0/0/0 ip address 9 S6800-M-GigabitEthernet0/0/0 quitS6800 交换机上线登录 VCF 控制器 web 页面，在承载网络-物理网元中创建物理网元，NETCONF 用户名和密码为登录 68 设备的

55、用户名密码图97 创建物理网元物理网元创建成功后，设备状态变为active 即上线成功图98 查看设备状态VM虚机上线创建VLAN-VXLAN 映射表确定 VM 虚机所处 vlan3000，VM 虚机 IP 为 /24，网关为 54，映射到 SDN组网中的VXLAN ID 也为 3000，在承载网络 vlan-vxlan 映射中创建映射表。图99 创建VLAN-VXLAN 映射表点物理接入设备配置按钮，将 S6800 设备加入# 配置物理接入设备，如下图所示。图100 配置物理接入设备# 添加 S6800 设备，如下图所示。图101 添加S6800 设备创建租户网络在虚拟网络-物理链路层网络页

56、面中，点创建网络按钮，配置完点应用，需要说明的是，此处的Segment ID 值需要和租户的 VXLAN 值保持一致，否则 VXLAN 隧道无法创建，外部网络在 6.1.1 节已经创建，同一租户使用同一外部网络，此处不需再次创建。# 创建网络，如下图所示。图102 创建网络# 输入网络信息，如下图所示。图103 输入网络信息创建 subnet# 在创建好的 vnet02 网络中点子网下的按钮，创建子网，如下图所示。图104 单击子网按钮# 创建子网，如下图所示。图105 创建子网# S6800 下挂的 VM 的 IP 地址分配可以采用手工分配方式，如下图所示。图106 设置 IP 地址# 创建

57、完成的子网信息，如下图所示。图107 创建好的子网信息把 subnet 加入 vRouter# 单击接口下的增加接口按钮增加接口，如下图所示。图108 增加接口# 增加接口，如下图所示。图109 增加接口# 插件接口信息，如下图所示。图110 查看接口信息设置网络配置# 设置网络配置，如下图所示。图111 设置网络配置# 选择虚拟机，单击按钮，如下图所示。图112 选择虚拟机，单击下一步# 选中 VM 的数据口网卡，单击按钮，如下图所示。图113 选中VM 的数据口网卡# 配置虚拟网卡名称，并配置VLAN，单击按钮，如下图所示。图114 配置虚拟网卡名称和 VLAN# 单击按钮，如下图所示。图

58、115 单击完成# 配置虚拟网卡为混杂模式，可以接受带 VLAN 的报文。图116 配置虚拟网卡# 将 VM 的网卡设置为VM Network 2，如下图所示。图117 设置VM 网卡# VM 打开控制台，配置 IP 地址及网关，如下图所示。图118 VM 打开控制台，配置 IP 地址及网关# 重启网卡。# 在“运行”中输入 cmd，在命令行窗口中输入 ipconfig 查看虚机的地址分配情况，如下图所示。图119 查看虚机的地址分配情况# 在“运行”中输入 cmd，在命令行窗口中输入 route print -4 查看虚机接口的默认路由，如下图所示。图120 查看虚机接口的默认路由登录 VC

59、F 控制器 web 页面中虚拟网络虚拟端口页面进行查看，刷新一段时间后，VM 虚机即上线# 查看虚拟机状态，如下图所示。图121 查看虚机状态验证配置虚拟 ping 网关# 将 VM1、VM2 和 VM3 三台虚拟机都开启，如下图所示。图122 开启VM1、VM2 和VM3# 分别登录到 3 台虚拟机，ping 网关设备。# VM1 ping 网关，如下图所示。图123 VM1 ping 网关# VM2 ping 网关，如下图所示。图124 VM2 ping 网关# VM3 ping 网关，如下图所示。图125 VM3 ping 网关虚机之间互通# 从 VM1 ping VM2，验证 vSwi

60、tch 下挂虚机间 VM1 和VM2 流量通。图126 VM1 和 VM2 流量通从 VM1 ping VM3，验证 vSwitch 下挂虚机VM1 到S6800 下挂虚机 VM3 流量通图127 VM1 和 VM3 流量通虚机和外网互通# 从 VM1 ping 外网地址 54，验证 VM1 和外网流量通。图128 VM1 和外网流量通从外网 ping VM1，验证外网流量能到达 VM1。# 在虚拟网络 / 浮动 IP菜单项，配置浮动 IP 并在对应虚拟端口上绑定，这样可以外网虚机访问内网。# 分配浮动 IP，如下图所示。图129 分配浮动 IP# 虚拟网络虚拟端口，选择虚拟端口修改，如下图所