2020年6月16日 星期二

HPE5940與NSX透過OVSDB整合

HPE5940與NSX透過OVSDB整合

HPE5940版本R2612P02

NSX版本

目標:
透過OVSDB讓NSX納管HPE5940,並讓Logical switch與5940建立vxlan tunnel,讓加入Logical switch的VM可以與接在5940上的實體主機(Bare Metal=BM) L2互通



參考文件:
VMware NSXv and 5940 Integration (Direct OVSDB) 



5940關鍵Config

 sysname 5940_172.16.13.58
#
 clock timezone UTC add 08:00:00 同步時間用的時區
#
 tunnel global source-address 172.16.13.58 指定建立tunnnel的來源IP
#
 vxlan local-mac report
#

vlan 13 

 l2vpn enable 啟用L2VPN

 vxlan tunnel flooding-proxy

#

interface NULL0

#

interface Vlan-interface13
 ip address 172.16.13.58 255.255.255.0

#

interface Ten-GigabitEthernet1/0/1 與NSX  Controller互通的介面
 port link-mode bridge
 port access vlan 13

#

interface Ten-GigabitEthernet1/0/2 要與進vxlan實體主機介接的端口
 port link-mode bridge
 vtep access port

#

interface Ten-GigabitEthernet1/0/3 要與進vxlan實體主機介接的端口
 port link-mode bridge
 vtep access port

#
 ip route-static 0.0.0.0 0 172.16.13.254
#
 vtep enable 啟用vtep
#
 ntp-service enable 啟用NTP
 ntp-service unicast-server 216.239.35.12 指定NTP Server

#

pki domain vmware  設定一個pki的domain名叫vmware(名稱可修改)
 ca identifier LynneCA.cer 設定根憑證
 certificate request entity vmware
 public-key rsa general name vmware length 2048
 undo crl check enable

#
pki entity vmware
#

 ovsdb server ssl ip 172.16.15.10 port 6640 指定"NSX controller"的IP
 ovsdb server pki domain vmware 套用pki domain
 ovsdb server bootstrap ca-certificate flash:/vswitchd.cacert
 ovsdb server enable

#


設定概念
1.讓5940與NSX路由可達,
2.5940與NSX時間要一致
3.準備兩張憑證,一張根憑證一張Server憑證 (可以用各種憑證Server or OpenSSL產生)






4.將憑證匯入switch 


5.透過指令
pki import domain vmware der ca filename LynneCA.cer 
將剛剛匯入的根憑證導入domain vmware
pki import domain vmware pem local filename vtep.pem 
將剛剛匯入的Server憑證導入domain vmware

如果匯入有問題,可以參考錯誤提示修改憑證,要注意依照憑證格式不同可以修改匯入指令
(無法匯入也有可能是時間問題,如果switch的系統時間跟憑證有效時間不同也會有問題)




可以透過指令show pki certificate domain vmware檢視憑證內容

6.憑證都處理完畢之後才可以進行OVSDB的設定(憑證有問題 ovsdb server enable會報錯),要注意ovsdb要指定NSC controller的IP



NSX設定

1.透過vsphere web client (flex)登入 (HTML5有些選項會看不到)

2.在Network&Security->Service Definitions->Hardware Devices新增一台設備
3.輸入名稱與貼入pem檔裡面的憑證

4.看到UP即為成功








NSX與5940建立tunnel
1.進入Service Definitions底下的Logical switches並點擊switch (VM已經加入了logical switch)



2.點擊Actions->Manage Hardware Bindings

3.添加Switch,指定端口與vlan

4.switch上檢視vxlan tunnel有UP

5.檢視vsi狀態

6.檢視EVPN內的MAC












7.在vxlan內的兩台主機與VM都可以互ping

沒有留言:

張貼留言