SANGFOR_aSV_v4.2_2016年度渠道初级认证培训03_虚拟网络

1、SANGFOR aSV虚拟网络网络拓扑虚拟网络设备SANGFOR aSV物理出口虚拟交换机和虚拟路由器培训内容培训目标网络拓扑1、了解设备间相连的规则2、掌握通过连通性测试排查故障物理出口1、了解物理出口的架构2、掌握物理出口的配置方法及连接规则虚拟网络设备1、掌握新建虚拟网络设备的方法2、了解asv获取到虚拟网络设备的信息虚拟路由器和交换机1、掌握虚拟路由器和交换机支持的功能2、了解虚拟交换机的分布式架构4网络拓扑网络拓扑SDDC (Software Defined Data Center，软件定义的数据中心)，是通过将物理计算机、存储设备等的资源进行虚拟化，然后基于这些虚拟资源构建一个包含

2、计算、存储和网络等功能的完全虚拟的数据中心。网络虚拟化，或称软件定义网络（Software Defined Network, SDN ），是SDDC的一部分。aSV的虚拟网络功能以可视化的网络拓扑方式呈现，所见即所得的虚拟网络操作方式，让网络构建更简单。1 、网络虚拟化SANGFOR aSV使用“所见即所得”的网络拓扑，直观呈现虚拟网络中的虚拟机、网络设备之间的连接关系。使用鼠标简单拖拽，即可快速完成虚拟网络的组建。节点：物理出口：虚拟网络跟物理网络之间，通过物理出口进行连接。虚拟交换机：用于虚拟网络内部节点之间的二层连接和转发。虚拟路由器：用于虚拟网络内部节点之间的三层路由。虚拟网络设备：虚

3、拟网络的安全防护(vAF)和应用交付(vAD)设备。添加虚拟网络设备前，需要先导入设备模板。虚拟机：虚拟网络最终用于提供服务、产生价值的是虚拟机。虚拟机在“虚拟机”页面中管理，安装操作系统并部署业务，然后可以添加到网络拓扑中。2、网络拓扑连线：物理网络中，我们使用双绞线、光缆等来连接网络设备和计算机。而在虚拟网络中，我们也需要使用“连线”来连接虚拟的网络设备和虚拟机。虚拟网络中，并不是任意两个节点都能直接相连的。下表展示了虚拟网络中各种节点之间的互联关系，YES表示可以直连，NO表示不能直连。2、网络拓扑连线：在编辑模式下，可以在网络拓扑中添加节点间的连线。点击连线图标，然后使用鼠标在需要连线

4、的两个节点图标之间拖拽出一条线。如果这两个节点可以互联，则会弹出网口选择节点用于互联的网口。2、网络拓扑连线：连线上默认会显示当前节点之间传输流量的速率。点击“流量显示”图标可以关闭/开启。2、网络拓扑连通性探测：用于诊断虚拟机节点到目标网络的连通性，选择一个虚拟机作为探测的源，然后输入探测目标IP或域名，点击“开始探测”。探测完成会显示从源到目标经过了哪些节点，或者在哪个节点上丢包。2、管理连通性探测：提示：连通性探测功能由探测源虚拟机执行操作并上报探测结果给aSV控制台，所以要求该虚拟机必须安装优化工具。未安装优化工具的虚拟机无法选择为探测源。2、管理3、思考1、在虚拟网络拓扑中虚拟路由器

5、可以与哪些设备相连？答：物理出口，虚拟交换机，虚拟设备13物理出口物理出口物理出口用来连接虚拟网络和物理网络。物理出口对内可以连接虚拟路由器、虚拟网络设备或虚拟机，对外需要连接到主机的物理网络。1 、什么是物理出口物理出口物理出口用来连接虚拟网络和物理网络。物理出口对内可以连接虚拟路由器、虚拟网络设备或虚拟机，对外需要连接到主机的物理网络。1 、什么是物理出口2.物理出口的配置如果是多台主机集群部署，对外作为一个整体来提供服务，虚拟机可能在任意一台主机上运行，因此需要每台主机都指定一个网口连接同一个“物理出口”，同时将主机的对应网口连接到同一个二层交换机上，以保证虚拟网络中的流量能从任一主机发

6、出到达物理网络中。2.物理出口的配置2.物理出口的配置“物理出口”对内可以连接虚拟路由器、虚拟网络设备或虚拟机。通过划分“端口组”，将虚拟网络连接到“物理出口”的网口进行分组，通常将具有相同网络属性（如相同的vlan）的网口集合划分到同一个端口组。虚拟网络中的设备或虚拟机可以通过端口组连接到“物理出口”。端口组可以指定为Trunk或Access类型。2.物理出口的配置Trunk用于VLAN汇聚或VLAN中继。Trunk类型端口组收到数据包如果带有VLAN信息，且在指定VLAN范围内，则允许通过，不在指定的VLAN范围内，不允许通过。Trunk类型的端口组通过配置PVID，允许所有不带VLAN信

7、息的数据通过，且在内部转发时默认使用该VLAN ID进行封装识别。默认端口组以Trunk ALL的方式连接到虚拟网络，允许VLAN范围为1-4094，且允许非VLAN数据转发。2.物理出口的配置2.物理出口的配置or带vlan标记不在指定的VLAN范围内在指定VLAN范围内允许通过不允许通过2.物理出口的配置Access用于标记VLAN ID。Access类型端口组收到数据包如果不带VLAN信息，则为该数据包打上指定VLAN ID的标记并进行转发，而在包含该VLAN ID标记的数据包从Access端口组发出去时，会先将VLAN信息去掉。Access类型端口组不会接收所有带VLAN信息的数据包。

8、2.物理出口的配置2.物理出口的配置or带vlan标记打上vlan10标记并转发不接收不带vlan标记3.聚合网口配置“物理出口”可以直接连接主机的物理网口，也可以连接由多个物理网口组成的聚合网口。单个物理网口的通信带宽有限，使用聚合网口可以将多个物理网口进行绑定，在叠加通信带宽的同时，还提升了网口的冗余容错能力3.聚合网口配置4、思考1、物理出口的端口组是用来做什么的？答：将具有相同网络属性的网口集合划分到同一个端口组28虚拟网络设备虚拟网络设备将深信服现有的网络设备进行虚拟化目前支持AD、AF的虚拟网络设备模版管理aSV设备未内置vAD、vAF，以模板形式单独提供模板是将qcow2和配置文

9、件压缩封装，格式为vma使用虚拟网络设备前需导入模版虚拟网络设备虚拟网络设备虚拟应用防火墙vAF使用前需要配置授权支持AF连接数、网口信息等上报（网桥ip无法上报）支持控制台代理访问虚拟网络设备虚拟网络设备虚拟应用交付vAD支持AD连接数、网口信息等上报支持控制台代理访问虚拟网络设备2、思考1、深信服asv目前支持哪些虚拟网络设备？答：vAD和vAF36虚拟交换机和虚拟路由器虚拟机交换机和虚拟路由器虚拟交换机运行在虚拟网络中，连接虚拟机或虚拟网络设备，用于在虚拟网络内部进行数据交换转发。将虚拟交换机拖放到网络拓扑中生效后，即可将虚拟机、虚拟网络设备或虚拟路由器连接到虚拟交换机。虚拟交换机内置若

10、干端口，添加连线时选择连接到“内置端口”即可。1 、虚拟交换机编辑虚拟交换机，可以添加或删除连接的虚拟机或虚拟网络设备，被添加的虚拟机或网络设备要求有空闲的网口。1 、虚拟交换机编辑虚拟交换机，可以添加或删除连接的虚拟机或虚拟网络设备，被添加的虚拟机或网络设备要求有空闲的网口。1 、虚拟交换机aSV集群中的虚拟交换机是分布式运行的，即一个虚拟交换机在各台主机上均有实例。分布式虚拟交换机可以保证运行在不同主机上、但连接到同一个虚拟交换机的虚拟机之间能相互通信。1 、虚拟交换机访问控制：虚拟交换机可以对其转发的流量进行基于接口或IP的访问控制。控制的源和目的对象可以指定虚拟交换机连接的虚拟机接口，

11、或者根据数据的IP地址进行访问控制。访问控制的操作可以选择“允许”或“拒绝”。1 、虚拟交换机访问控制：虚拟交换机的访问控制列表是有先后顺序的，所有经过的流量以从上往下的顺序进行逐条匹配，如果条件匹配则按指定的动作进行处理，不匹配则继续向下匹配。添加规则后，可以使用“上移”或“下移”操作来调整规则的顺序。1 、虚拟交换机详情状态：选择“虚拟交换机”并点击查看“详情状态”，可以通过直观的图形化界面来显示当前“虚拟交换机”连接的虚拟机或设备的详细信息，包括其连接状态、流量排行及网络状态趋势等数据。1 、虚拟交换机广播风暴抑制：当虚拟交换机出现组播或广播风暴的时候，会影响虚拟网络中数据转发，甚至影响

12、aSV主机的正常运行。启用“广播风暴抑制功能”，可以限制发包频率，或者断开某些网口以阻断风暴。1 、虚拟交换机广播风暴抑制：当虚拟交换机某个端口发包速率超过阈值时，会触发广播风暴抑制。默认触发阈值为40960Kbps，可以配置修改。注意：开启“广播风暴抑制”后，可能会导致正常的广播或组播数据包被丢弃。1 、虚拟交换机路由器是网络中必不可少的组件之一，aSV为虚拟网络提供了虚拟路由器的功能，可解决网络虚拟化后出口路由互联的问题，同时提供包括VLAN子网口、NAT规则、ACL策略、DHCP地址池、DNS代理等完善的功能2 、虚拟路由器网口路由器作为三层互联设备，用于连接不同的网络。一个路由器的每一

13、个接口都属于不同的网段。新建的路由器拥有2个网口，可以连接2个不同的网络。如果需要更多网口，可以点击“添加”并输入需要的网口数量。2 、虚拟路由器路由路由器的基本功能是进行路由转发，需要维持一份路由表。网口配置IP后，只存在直连路由。如果要访问其他非直连网络，需要添加静态路由。2 、虚拟路由器地址转换源地址转换适用于内网使用私有网段向外网发起访问时，外网没有内网网段的回包路由，需要将内网私有网段转换为外网互联地址进行访问的场景。2 、虚拟路由器地址转换2 、虚拟路由器地址转换目的地址转换DNAT（通常又称为“端口映射”）适用于外网需要访问内网的服务器，但内网服务器使用私有网段，其IP不能在外网

14、访问到的场景。路由器使用外网口的互联地址来发布内网私有地址的服务器，外网向该路由器的互联地址发起访问，路由器收到请求后，将目的地址修改为内网服务器的私有地址并进行转发。服务器回包时，路由器将地址转换回去并回复给外网。2 、虚拟路由器地址转换2 、虚拟路由器PC-0001需要访问PC-0002，但两者都使用了私有地址，当PC-0001经过路由器1访问PC-0002时，如果路由器2不做DNAT直接访问，则路由器2不会响应PC-0001的请求包，导致访问失败。地址转换配置DNAT规则，使用路由器2的外网地址来发布PC-0002。即PC-0001通过这个IP地址来访问PC-0002，请求到达路由器2时

15、，路由器2将目的地址修改为0并转发给PC-0002，回包时转换回去。2 、虚拟路由器访问控制路由器具有基于服务端口的访问控制功能，可以对指定IP或网口、指定的服务端口，执行“允许”或“拒绝”的访问控制动作。2 、虚拟路由器访问控制虚拟路由器的访问控制列表是有先后顺序的，所有经过的流量以从上往下的顺序进行逐条匹配，如果条件匹配则按指定的动作进行处理，不匹配则继续向下匹配。添加规则后，可以使用“上移”或“下移”操作来调整规则的顺序。2 、虚拟路由器DHCP虚拟路由器拥有DHCP功能，可以为指定网口下的PC提供动态IP分配服务。配置地址池虚拟路由器的每一个接口都可以提供若干个DHCP地址池，IP池之

16、间分配的地址不能相互冲突。2 、虚拟路由器DHCPDHCP地址池还可以设置“绑定IP”，即为指定MAC或指定主机名的PC分配固定的IP地址。分配的IP地址必须是DHCP地址池中已配置的IP，MAC地址格式为00-1A-2B-3C-4D-5E或00:1A:2B:3C:4D:5E。2 、虚拟路由器DNS代理启用“DNS代理”功能，可以让内部的PC将DNS指向路由器的IP，通过路由器代理解析域名。启用“DNS代理”之前，必须先配置DNS服务器地址。启用本功能后，连接到本路由器的其他设备可以通过本路由器的DNS代理功能解析域名。2 、虚拟路由器高级路由器“高级”配置中，允许启用“高可用（HA）”特性。

17、虚拟路由器不是分布式运行的，其运行位置在指定的主机上。当虚拟路由器启用HA后，会在两个不同主机上建立该路由器的实例，并实时同步会话信息。当路由器当前运行的主机出现故障时，可以实现秒级故障恢复。2 、虚拟路由器高级路由器“高级”配置中，允许启用“高可用（HA）”特性。虚拟路由器不是分布式运行的，其运行位置在指定的主机上。当虚拟路由器启用HA后，会在两个不同主机上建立该路由器的实例，并实时同步会话信息。当路由器当前运行的主机出现故障时，可以实现秒级故障恢复。2 、虚拟路由器高级开启HA后，由于会话信息实时同步，会占用少量带宽。如果不启用HA，当路由器所在主机故障时，会在其他主机重新创建该路由器的实例并运行起来，缺点是故障恢复时间较长，同时由于会话信息丢失，已建立的连接可能中断。2 、虚拟路由器高级系统会根据路由器连接的网络和主机的性能情况自动选择运行位置，也可以手动指定其运行位置。2 、虚拟路由器详情状态选择“虚拟路由器”并点击查看“详情