1、网络拓扑
标准的数据中心Spine-leaf架构,2台防火墙采用镜像模式部署(通过部署2套虚墙模拟不同租户边界墙),控制不同租户之间东西向流量互访,同时也控制租户访问外网流量。仿真的流量包括
(1)租户A同子网互访:租户A-user03---->租户A-user01
(2)租户B同子网互访:租户B-user02----->租户B-user01
(3)租户A访问外网:租户A-user01----->88.1.1.1
(4)租户B访问外网:租户B-user01------>88.1.1.1
(5)跨租户互访: 租户A-user02----->租户B-user01

2、配置略
已集成到上传附件中,如果有预置加载有报错的地址,需要手工微调一下。
如果拉起来的镜像端口down的话,用如下命令手工拉起来一下,然后用dis int link-info检查接口状态
int range wge1/0/1 to wge1/0/20
undo shutdown
附件:eve-ng_export-20260703-033825.zip
(1)先检查SP和Leaf的ospf邻居和bgp邻居,dis ospf peer,dis bgp peer l2vpn evpn,ok的话再检查下面的步骤


(2)BL和SL,需要通过dis m-lag summary ,dis ospf peer ,dis bgp peer l2vpn evpn,dis evpn dis evpn auto-discovery imet检查协议状态,隧道状态是否正常,注意检查一下vpna和vpnb是否产生1条指向BL的缺省路由。
①BL


②SL


3、关键vxlan数据包过滤表达式生成
(1)选中数据帧头,右键复制->as a Hex Steam

(2)打开deepseek,用下列语句,由其输出bpf表达式

最终获得如下表达式,放入流量过滤表达式,如果不能抓到包,重新问ai,进一步微调。

4、正常情况下,流量演示
如果部分流量不显示,可以用如下命令重启流量过滤器
systemctl restart process-scanner,为了测试均匀,作如下测试
(1)VPC2-1、VPC2-2测试租户同子网流量


(2)VPC1-2、VPC1-2测试租户访问外网流量


(3)VPC1-3与VPC1-2测试跨租户流量

(4)整体测试效果如下图所示,5种并发流量

5、故障情况下,流量演示
(1)测试之前,为了优化效果,这里的ospf协议和bgp协议都做了bfd联动,加速收敛,建议先检查SP的bfd状态是否ok


(2)下图模拟BL01故障,FW01故障,SP01故障,SL01_M故障路径变化

6、startup配置加载(绿色箭头打开)以及流量洞察语句


7、使用的镜像版本如下:
| 镜像名称 |
设备角色 |
h3cvsr1k-7.1.064 |
PE01(H3C VSR1K 路由器,作为外网出口) |
h3cvac1k-7.1.064-R5435P03 |
SW01、SW02(H3C VAC1K 交换机,作为接入层 VXLAN 桥接设备) |
h3cvswitch_S6850-7.1.070-E6713 |
BL01、BL02、SP01、SP02、SL01_M、SL01_S、SL02_M、SL02_S (H3C S6850 交换机,用作边界、汇聚、服务节点等, 承载 EVPN/VXLAN 功能) |
huaweiusg6kv-V500R005C10SPC300 |
FW01、FW02(华为 USG6Kv 防火墙,用作安全防护及 NAT/路由) |