NCLU 到 NVUE 常用命令
Cumulus Linux 4.4 版本引入了一个名为 NVUE 的新 CLI;Cumulus Linux 的完整对象模型。NVUE 使第一次使用 Cumulus Linux 和跨 Cumulus Linux 版本转换配置变得更加可靠。
本知识库文章介绍了如何将常用 NCLU 配置转换为 NVUE 命令,并帮助您快速上手使用 NVUE。
从哪里开始?
为了使从 NCLU 到 NVUE 配置的过渡更加容易,您可以使用此 NVUE 迁移工具,通过上传 cl-support 文件来转换您的 NCLU 到 NVUE 配置。
主机名和系统
| NCLU 命令 | NVUE 命令 | 注释 |
|---|---|---|
net add hostname <hostname> | nv set system hostname <hostname> | |
net add syslog host [ipv4|ipv6] <ip> port [tcp|udp] <port> | nv set service syslog default server <ip> | 值 default 是服务器所在的 VRF。 |
net add time ntp server <ip> | nv set service ntp default server <ip> | |
net pending | nv config diff empty pending | NVUE 可以比较配置类型之间。 当比较配置类型为 empty 时,它只显示提供的类型。 |
net commit | nv config apply | 在 NCLU 中,running-config 等于 startup-config。 NVUE 分离运行配置和启动配置 nv config apply - 应用配置作为运行配置(不保存为启动配置)nv config save - 保存配置作为启动配置(不应用为运行配置) |
nv config save | ||
net show configuration | cat /etc/nvue.d/startup.yaml | 通过使用 net show configuration commands,您可以将配置视为实际的 NCLU 命令。您可以使用 Linux cat 命令或使用 NVUE 命令查看 NVUE 单个基于 YAML 的配置文件。 |
nv config diff empty startup | ||
nv config diff empty applied |
接口
| NCLU 命令 | NVUE 命令 | 注释 |
|---|---|---|
net add interface <interface> | nv set interface <interface> type <interface-type> | NVUE 允许在接口对象下创建任何接口类型。 NCLU 不是对象模型,因此此命令仅允许创建 <swp> 接口类型。对于其他接口类型,您需要使用不同的命令。 |
net add interface <interface> [ipv4|ipv6] address <ip/mask> | nv set interface <interface> ip address <ip/mask> | 在 NVUE 中,您可以使用相同的命令设置 IPv4 和 IPv6 地址。 要配置辅助 IP 地址,请使用相同的命令。 要替换现有 IP 地址,请先使用以下命令删除它 NCLU - net del interface <interface> [ipv4|ipv6] address <ip/mask>NVUE - nv unset interface <interface> ip address <ip/mask> |
net add interface <interface> mtu <mtu> | nv set interface <interface> link mtu <mtu> | Cumulus Linux 中的默认 MTU 为 9216B。 |
net add interface <interface> link speed <speed> | nv set interface <interface> link speed <speed> | |
net add interface <interface> link fec <fec-mode> | nv set interface <interface> link fec <fec-mode> | |
net [add|del] interface <interface> link down <fec-mode> | nv set interface <interface> link state [up|down] | 接口的默认状态为 UP。 |
net add loopback lo | nv set interface lo | Cumulus Linux 中的环回接口称为 `lo`。 |
net add interface <interface> breakout <breakout-option> | nv set interface <interface> link breakout <breakout-option> | 存在多个 breakout 选项。要查看所有选项,请运行 NVUE - nv set interface <interface> link breakout -hNCLU - net add interface <interface> breakout <press TAB> |
net add interface <interface> alias <description-text> | nv set interface <interface> alias <description-text> |
Bond 和端口通道
Linux 使用术语 bond 来表示 port-channels。
| NCLU 命令 | NVUE 命令 | 注释 |
|---|---|---|
net add bond <bond-name> bond slaves <interfaces> | nv set interface <bond-name> bond memeber <interfaces> | 在 NCLU 中,通过将端口从属化到 bond 或设置 bond mode 来创建 bond。您可以在单个命令中创建 bond 并添加成员。在 NVUE 中,您可以使用 type bond 接口关键字创建 bond,无论是否添加成员。此外,通过以 bond 开头的接口名称,类型将自动定义。例如,nv set interface bond1注意:您定义的 bond 名称必须以字母开头。 |
nv set interface <bond-name> type bond | ||
net add bond <bond-name> bond mode balance-xor | nv set interface <bond-name> bond mode static | Cumulus Linux 中的默认 bond 模式为 lacp(NCLU 中为 802.3ad)。 |
net add bond <bond-name> bond lacp-rate slow | nv set interface <bond-name> bond lacp-rate slow | Cumulus Linux 中的默认 bond lacp-rate 为 fast。 |
Layer 2 和 VLAN
默认情况下,Cumulus Linux 接口是 Layer 3 路由接口。要使接口成为 Layer 2 交换机端口,在使用 NCLU 时,您必须将接口添加到名为 bridge 的默认网桥,或在使用 NVUE 时添加到 br_default
cumulus@switch:~$ net add bridge bridge ports <interface>
cumulus@switch:~$ nv set interface <interface> bridge domain br_default
| NCLU 命令 | NVUE 命令 | 注释 |
|---|---|---|
net add interface <interface> bridge access <vlan-id> | nv set interface <interface> bridge domain br_default access <vlan-id> | |
net add bridge bridge ports <interface> | nv set interface <interface> bridge domain br_default | 您添加到网桥的端口默认为 trunk 端口(允许所有 VLAN)。 |
net add interface <interface> bridge trunk vlans <vlan-id|vlan-list> | nv set interface <interface> bridge domain br_default vlan <vlan-id|vlan-list|all> | 要在 trunk 端口上允许所有 VLAN NCLU - net add interface <interface> bridge trunkNVUE - nv set interface <interface> bridge domain br_default |
net add interface <interface> stp portadminedge | nv set interface <interface> bridge domain br_default stp admin-edge on | |
net add interface <interface> stp portnetwork | nv set interface <interface> bridge domain br_default stp network on | |
net add interface <interface> stp bpduguard | nv set interface <interface> bridge domain br_default stp bpdu-guard on | |
net add interface <interface> stp portbpdufilter | nv set interface <interface> bridge domain br_default stp bpdu-filter on | |
net add bridge stp treeprio <stp-priority> | nv set bridge domain br_default stp priority <stp-priority> | Cumulus Linux 仅支持 RSTP。 |
MLAG
在 MLAG 配置中,Cumulus Linux 使用对等链路(对等体之间的 bond)来同步 MLAG 对。此外,为了在直接连接失败时保持 MLAG 对同步,Cumulus Linux 使用mlag 备份 IP。
有关 MLAG 的更多信息,请参阅 Cumulus Linux 用户指南上的 多机箱链路聚合 - MLAG 页面。
net add bond <bond-name> clag id <number> | nv set interface <bond-name> bond mlag id <number|auto> | 您应该在设置 mlag id 之前创建 bond 接口。mlag id 必须与连接到同一主机的两个 MLAG 对等体上的 bond 接口匹配。使用 <auto> 根据终端主机的 MAC 地址确定 ID。 |
net add clag peer sys-mac <mac> interface <peerlink-members> [primary|secondary] backup-ip <ip> | nv set mlag mac-address <mac|auto> | NCLU MLAG 配置需要在单个命令中设置所有参数,其中 backup-ip <ip> 是可选的。NVUE MLAG 配置由多个命令组成,它允许更轻松地更改 MLAG 全局参数。它还支持 <auto> MAC 地址生成。Cumulus Linux 需要唯一的 bond 用于对等链路和关联的 peer-ip 定义。 |
nv set interface peerlink bond member <interfaces> | ||
nv set mlag peer-ip linklocal | ||
nv set mlag backup <ip> |
Layer 3 路由协议
大多数 NVUE BGP 命令都需要在命令中包含 VRF。以下示例包含 default VRF 名称,因为它在系统中预定义,但您可以使用任何 VRF 名称。您仍然可以配置一些全局 BGP 参数(启用/禁用 BGP、设置 ASN 和路由器 ID、配置 BGP 优雅重启以及关闭路由器),而无需指定 VRF。然后,所有 VRF 都会自动继承这些设置,除非您在 VRF 上设置特定设置。
在 NCLU 中,默认情况下,所有配置都是系统默认 VRF 上的全局配置(NCLU 没有名为 default 的预定义 VRF)。自定义 VRF 不会继承全局 BGP 设置。单独应用特定于 VRF 的配置。
| NCLU 命令 | NVUE 命令 | 注释 |
|---|---|---|
net add <interface> vrf <name> | nv set interface <interface> ip vrf <name> | |
net add bgp [vrf <name>] autonomous-system <leaf|spine|ASN> | nv set [vrf <default|name>] router bgp autonomous-system <leaf|spine|none|ASN> | 在 NVUE 中,当所有 VRF 都使用单个 AS 时,[vrf <name>] 选项不是创建实例所必需的。它的设置会自动应用于包括 default VRF 在内的所有 VRF。当使用 <none> ASN 选项时,为每个 VRF 设置 ASN。有关 <leaf|spine> 选项的更多信息,请查看 Cumulus Linux 用户指南中的 自动 BGP 部分。 |
net add bgp [vrf <name>] router-id <ipv4> | nv set [vrf <default|name>] router bgp router-id <ipv4> | 在 NVUE 中,当所有 VRF 都使用单个 AS 时,命令中不需要 <vrf <name>。它全局应用于包括 default VRF 在内的所有 VRF。 |
net add bgp [vrf <name>] neighbor <ip|interface> remote-as <internal|external|ASN> | set vrf <default|name> router bgp peer <ip|interface> remote-as <internal|external|ASN> | NVUE 要求您在添加 BGP 对等体时指定 VRF。Cumulus Linux 支持 BGP Unnumbered 对等体配置。 ASN 可以是数字,对于同一 AS 中的邻居可以是 internal,对于不同 AS 中的邻居可以是 external。 |
net add bgp [vrf <name>] neighbor <name> peer-group <attributes> | nv set vrf <default|name> router bgp peer-group <name> <attributes> | NCLU 需要使用以下命令创建对等组net add bgp <vrf <name>> neighbor <name> peer-group,然后再配置其属性。NVUE 允许您在单个命令中创建对等组并设置其属性。 |
net add bgp [vrf <name>] [ipv4|ipv6] unicast network <ipv4|ipv6/mask> | nv set vrf <default|name> router bgp address-family <ipv4-unicast|ipv6-unicast> static-network <ipv4|ipv6/mask> | 在 NCLU 中,address-family 是可选的。通告的 IP 地址确定地址族。 在 NVUE 中,您必须指定 address-family 才能将网络通告到其中。 |
net add bgp [vrf <name>] <ipv4|ipv6> unicast redistribute <connected|static|ospf|kernel> | nv set vrf <default|name> router bgp address-family <ipv4-unicast|ipv6-unicast> redistribute <connected|static|ospf|kernel> | |
net add routing prefix-list <ipv4|ipv6> <name> seq <seq> <permit|deny> <ipv4|ipv6/lenght|any> | nv set router policy prefix-list <name> rule <seq> action <permit|deny> | NCLU 允许在单个命令中配置前缀列表匹配和操作。 NVUE 在两个命令中执行此操作。NVUE 中的默认前缀列表类型为 IPv4。但是,您可以使用 nv set router policy prefix-list <name> type ipv6 命令设置 IPv6 前缀列表。 |
nv set router policy prefix-list <name> rule <seq> match <prefix/length> | ||
net add bgp [vrf <name>] [ipv4|ipv6] neighbor <ip|interface> prefix-list <name> <in|out> | nv set vrf <default|name> router bgp peer <ip|interface> address-family <ipv4-unicast|ipv6-unicast> policy <inbound|outbound> prefix-list <name> | 在 NCLU 中,默认的 address-family 是 IPv4-unicast。 |
net add routing route-map <name> <permit|deny> <seq> match ip address prefix-list <name> | nv set router policy route-map <name> rule <seq> action <permit|deny> | NCLU 允许在单个命令中配置路由映射匹配和操作。NVUE 使用两个命令执行此操作。 |
nv set router policy route-map <name> rule <seq> match ip-prefix-list <name> | ||
net add bgp [vrf <name>] [ipv4|ipv6|evpn] neighbor <ip|interface> route-map <name> <in|out> | nv set vrf <default|name> router bgp peer <ip|interface> address-family <ipv4-unicast|ipv6-unicast|l2vpn-evpn> policy <inbound|outbound> route-map <name> | 在 NCLU 中,默认的 address-family 是 IPv4-unicast。 |
net add routing route <ipv4|ipv6/mask> <next-hop|interface> [vrf <name>] | nv set vrf <default|name> router static <route> via <next-hop> |
VXLAN 和 EVPN
Cumulus Linux 支持单 VXLAN 设备和传统 VXLAN 设备。对于传统 VXLAN 设备,每个 VNI 都是一个单独的 Linux 设备(例如,vni10、vni20、vni30)。对于单 VXLAN 设备功能,一组 VNI 代表单个 Linux 设备。单 VXLAN 设备具有一组属于 VXLAN 构造的属性。
单个 VNI 包括 VLAN 到 VNI 的映射,您可以指定哪些 VLAN 映射到关联的 VNI。单 VXLAN 设备通过用单个 VXLAN 设备替换多个传统 VXLAN 设备来简化配置并减少开销。
使用 NCLU,您只能配置传统(多个)VXLAN 设备。使用 NVUE,您只能配置单个 VXLAN 设备。一些 VXLAN 命令在两个 CLI 上看起来相似,但由于实现方式不同,因此其中一些命令并不相同。
以下是一些类似的 VXLAN 和 EVPN 命令,有关完整配置和更详细的信息,请阅读 Cumulus Linux 用户指南中的 网络虚拟化 部分。
| NCLU 命令 | NVUE 命令 | 注释 |
|---|---|---|
net add loopback lo clag vxlan-anycast-ip <ip> | nv set nve vxlan mlag shared-address <ip> | |
net add vxlan <name> vxlan id <number> | nv set bridge domain br_default vlan <number> vni <number> | 使用 NCLU,您必须创建 VXLAN 设备并在网桥中将它们分配给 VLAN。 在 NVUE 中,通过在网桥上将 VLAN 映射到 VNI 来创建单个 VXLAN 设备。 |
net add vxlan <name> bridge access <vlan-id> | ||
net add loopback lo vxlan local-tunnelip <ip> | nv set nve vxlan source address <ip> | 在 NCLU 中,可以使用以下命令为每个设备单独设置 local-tunnel IPnet add vxlan <name> vxlan local-tunnelip <ip> 命令。 |
net add vlxan <name> bridge arp-nd-suppress on | nv set nve vxlan arp-nd-suppress on | 在 NCLU 中,在每个设备上配置 VXLAN 相关设置。 由于 NVUE 具有单个 VXLAN 设备,因此配置对于所有 VNI 都是全局的。 |
net add vlxan <name> bridge bridge learning off | nv set nve vxlan mac-learning off | |
net add vlxan <name> stp bpduguard | nv set interface <interface> bridge domain br_default stp bpdu-guard on | 在 NCLU 中,在每个接口(包括 VXLAN 设备)上配置生成树。 在 NVUE 中,仅在网桥端口上配置生成树。 |
net add vlxan <name> stp portbpdufilter | nv set interface <interface> bridge domain br_default stp admin-edge on | |
net add bgp l2vpn evpn neighbor <ip-addr|interface|peer-group> activate | nv set evpn enable on | 在 NVUE 中,全局和 BGP 进程以及 BGP 中的对等激活都需要启用 EVPN-AF。 与 NCLU 不同,在 NVUE 中,您不需要使用 advertise-all-vni 选项为所有 VNI 启用 BGP 控制平面。 |
nv set vrf <default|name> router bgp address-family l2vpn-evpn enable on | ||
net add bgp l2vpn evpn advertise-all-vni | nv set vrf <default|name> router bgp peer <ip-addr|interface|peer-group> address-family l2vpn-evpn enable on | |
net add bgp vrf <name> l2vpn evpn advertise ipv4 unicast | nv set vrf <name> router bgp address-family ipv4-unicast route-export to-evpn | |
net add vrf <name> vni <number> | nv set vrf vrf <name> evpn vni <number> | |
net add vlan <number> vrf <name> | 在 NVUE 中,layer 3 VNI 不需要单独的 VLAN 分配。 | |
net add vxlan <name> bridge access <vlan-id> | ||
net add vrf <name> vni <number> |
Active-Active VXLAN 对称路由 - NVUE 配置示例
nv set interface lo ip address 10.10.10.1/32
nv set interface swp1-3,swp49-54
nv set interface bond1 bond member swp1
nv set interface bond2 bond member swp2
nv set interface bond3 bond member swp3
nv set interface bond1 bond mlag id 1
nv set interface bond2 bond mlag id 2
nv set interface bond3 bond mlag id 3
nv set interface bond1 bond lacp-bypass on
nv set interface bond2 bond lacp-bypass on
nv set interface bond3 bond lacp-bypass on
nv set interface bond1 link mtu 9000
nv set interface bond2 link mtu 9000
nv set interface bond3 link mtu 9000
nv set interface bond1-3 bridge domain br_default
nv set interface bond1 bridge domain br_default access 10
nv set interface bond2 bridge domain br_default access 20
nv set interface bond3 bridge domain br_default access 30
nv set bridge domain br_default vlan 10,20,30
nv set interface peerlink bond member swp49-50
nv set mlag mac-address 44:38:39:BE:EF:AA
nv set mlag backup 10.10.10.2
nv set mlag peer-ip linklocal
nv set mlag priority 1000
nv set mlag init-delay 10
nv set interface vlan10 ip address 10.1.10.2/24
nv set interface vlan10 ip vrr address 10.1.10.1/24
nv set interface vlan10 ip vrr mac-address 00:00:00:00:00:10
nv set interface vlan10 ip vrr state up
nv set interface vlan20 ip address 10.1.20.2/24
nv set interface vlan20 ip vrr address 10.1.20.1/24
nv set interface vlan20 ip vrr mac-address 00:00:00:00:00:20
nv set interface vlan20 ip vrr state up
nv set interface vlan30 ip address 10.1.30.2/24
nv set interface vlan30 ip vrr address 10.1.30.1/24
nv set interface vlan30 ip vrr mac-address 00:00:00:00:00:30
nv set interface vlan30 ip vrr state up
nv set vrf RED
nv set vrf BLUE
nv set bridge domain br_default vlan 10 vni 10
nv set bridge domain br_default vlan 20 vni 20
nv set bridge domain br_default vlan 30 vni 30
nv set interface vlan10 ip vrf RED
nv set interface vlan20 ip vrf RED
nv set interface vlan30 ip vrf BLUE
nv set nve vxlan mlag shared-address 10.0.1.12
nv set nve vxlan source address 10.10.10.1
nv set nve vxlan arp-nd-suppress on
nv set vrf RED evpn vni 4001
nv set vrf BLUE evpn vni 4002
nv set system global anycast-mac 44:38:39:BE:EF:AA
nv set evpn enable on
nv set router bgp autonomous-system 65101
nv set router bgp router-id 10.10.10.1
nv set vrf default router bgp peer-group underlay remote-as external
nv set vrf default router bgp peer swp51 peer-group underlay
nv set vrf default router bgp peer swp52 peer-group underlay
nv set vrf default router bgp peer swp53 peer-group underlay
nv set vrf default router bgp peer swp54 peer-group underlay
nv set vrf default router bgp peer-group underlay address-family l2vpn-evpn enable on
nv set vrf default router bgp peer peerlink.4094 peer-group underlay
nv set vrf default router bgp address-family ipv4-unicast redistribute connected enable on
nv set vrf RED router bgp autonomous-system 65101
nv set vrf RED router bgp router-id 10.10.10.1
nv set vrf RED router bgp address-family ipv4-unicast redistribute connected enable on
nv set vrf RED router bgp peer-group underlay address-family l2vpn-evpn enable on
nv set vrf RED router bgp address-family ipv4-unicast route-export to-evpn
nv set vrf BLUE router bgp autonomous-system 65101
nv set vrf BLUE router bgp router-id 10.10.10.1
nv set vrf BLUE router bgp address-family ipv4-unicast redistribute connected enable on
nv set vrf BLUE router bgp peer-group underlay address-family l2vpn-evpn enable on
nv set vrf BLUE router bgp address-family ipv4-unicast route-export to-evpn
nv config apply
Active-Active VXLAN 对称路由 - NCLU 配置示例
net add loopback lo ip address 10.10.10.1/32
net add bond bond1 bond slaves swp1
net add bond bond2 bond slaves swp2
net add bond bond3 bond slaves swp3
net add interface swp1 alias bond member of bond1
net add interface swp2 alias bond member of bond2
net add interface swp3 alias bond member of bond3
net add interface swp51-54 alias to spine
net add bridge bridge vlan-aware
net add bond bond1 bridge access 10
net add bond bond1 clag id 1
net add bond bond1-3 bond lacp-bypass-allow
net add bond bond1-3 mtu 9000
net add bond bond1-3 stp bpduguard
net add bond bond1-3 stp portadminedge
net add bond bond2 bridge access 20
net add bond bond2 clag id 2
net add bond bond3 bridge access 30
net add bond bond3 clag id 3
net add bridge bridge ports bond1,bond2,bond3
net add bond peerlink bond slaves swp49,swp50
net add interface swp49-50 alias peerlink
net add bridge bridge ports peerlink
net add interface peerlink.4094 clag args --initDelay 10
net add interface peerlink.4094 clag backup-ip 10.10.10.2
net add interface peerlink.4094 clag peer-ip linklocal
net add interface peerlink.4094 clag priority 1000
net add interface peerlink.4094 clag sys-mac 44:38:39:BE:EF:AA
net add loopback lo clag vxlan-anycast-ip 10.0.1.12
net add vrf RED vni 4001
net add vrf BLUE vni 4002
net add vlan 10 ip address 10.1.10.2/24
net add vlan 10 ip address-virtual 00:00:00:00:00:10 10.1.10.1/24
net add vlan 10 vlan-id 10
net add vlan 10 vlan-raw-device bridge
net add vlan 10 vrf RED
net add vlan 20 ip address 10.1.20.2/24
net add vlan 20 ip address-virtual 00:00:00:00:00:20 10.1.20.1/24
net add vlan 20 vlan-id 20
net add vlan 20 vlan-raw-device bridge
net add vlan 20 vrf RED
net add vlan 30 ip address 10.1.30.2/24
net add vlan 30 ip address-virtual 00:00:00:00:00:30 10.1.30.1/24
net add vlan 30 vlan-id 30
net add vlan 30 vlan-raw-device bridge
net add vlan 30 vrf BLUE
net add vlan 4001 hwaddress 44:38:39:BE:EF:AA
net add vlan 4001 vlan-id 4001
net add vlan 4001 vlan-raw-device bridge
net add vlan 4001 vrf RED
net add vlan 4002 hwaddress 44:38:39:BE:EF:AA
net add vlan 4002 vlan-id 4002
net add vlan 4002 vlan-raw-device bridge
net add vlan 4002 vrf BLUE
net add vxlan vni10 vxlan id 10
net add vxlan vni20 vxlan id 20
net add vxlan vni30 vxlan id 30
net add vxlan vniBLUE vxlan id 4002
net add vxlan vniRED vxlan id 4001
net add vxlan vni10 bridge access 10
net add vxlan vni10,20,30,vniBLUE,vniRED bridge arp-nd-suppress on
net add vxlan vni10,20,30,vniBLUE,vniRED bridge learning off
net add vxlan vni10,20,30,vniBLUE,vniRED stp bpduguard
net add vxlan vni10,20,30,vniBLUE,vniRED stp portbpdufilter
net add vxlan vni20 bridge access 20
net add vxlan vni30 bridge access 30
net add vxlan vniBLUE bridge access 4002
net add vxlan vniRED bridge access 4001
net add bridge bridge ports vni10,vni20,vni30,vniRED,vniBLUE
net add bridge bridge vids 10,20,30,4001-4002
net add loopback lo vxlan local-tunnelip 10.10.10.1
net add bgp autonomous-system 65101
net add bgp router-id 10.10.10.1
net add bgp neighbor underlay peer-group
net add bgp neighbor underlay remote-as external
net add bgp neighbor peerlink.4094 interface peer-group underlay
net add bgp neighbor swp51 interface peer-group underlay
net add bgp neighbor swp52 interface peer-group underlay
net add bgp neighbor swp53 interface peer-group underlay
net add bgp neighbor swp54 interface peer-group underlay
net add bgp ipv4 unicast redistribute connected
net add bgp l2vpn evpn neighbor underlay activate
net add bgp l2vpn evpn advertise-all-vni
net add bgp vrf RED autonomous-system 65101
net add bgp vrf RED router-id 10.10.10.1
net add bgp vrf RED ipv4 unicast redistribute connected
net add bgp vrf RED l2vpn evpn advertise ipv4 unicast
net add bgp vrf BLUE autonomous-system 65101
net add bgp vrf BLUE router-id 10.10.10.1
net add bgp vrf BLUE ipv4 unicast redistribute connected
net add bgp vrf BLUE l2vpn evpn advertise ipv4 unicast
net commit
访问控制列表 (ACL)
Cumulus Linux 中的 ACL 基于 Linux iptables,具有以下默认行为
- 没有隐式拒绝。ACL 必须以
match any和action deny规则结尾,才能丢弃所有不匹配的流量。 - 不支持通配符掩码。您必须单独列出子网。
有关更多信息,请参阅 Cumulus Linux 用户指南的 ACL 部分。
除了 NCLU 命令外,您还可以通过设置 ebtables 和 iptables 规则来直接配置 ACL。为了简化系统上的 ACL 管理,您可以使用名为 cl-acltool 的工具。
| NCLU 命令 | NVUE 命令 | 注释 |
|---|---|---|
net add acl <ipv4|ipv6|mac> <name> <action> <attributes> [<value>] | nv set acl <name> type <ipv4|ipv6|mac> | NCLU 允许在一行中进行 ACL 配置,但没有序列号。要更改序列号,您必须编辑 nclu_acl.conf 文件。NVUE ACL 配置必须使用单独的命令,并且它将源、目标和操作与 <name> <seq> 值链接起来。 |
nv set acl <name> rule <seq> match <ip|mac> <attributes> <value> | ||
nv set acl <name> rule <seq> action <action> [<attributes>] | ||
net add interface <interface> acl <ipv4|ipv6|mac> <name> <inbound|outboung> | nv set interface <interface> acl <name> <inbound|outboung> |