VXLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网),是由IETF定义的NVO3(Network Virtualization over Layer 3)标准技术之一,是对传统VLAN协议的一种扩展。VXLAN的特点是将L2的以太帧封装到UDP报文(即L2 over L4)中,并在L3网络中传输。
VXLAN本质上是一种隧道技术,在源网络设备与目的网络设备之间的IP网络上,建立一条逻辑隧道,将用户侧报文经过特定的封装后通过这条隧道转发。
VXLAN的优点:
1、解决了VLAN ID 数量上的限制
2、解决了交换机 MAC 地址表内存上的限制
3、解决了虚机或容器迁移范围受限
VXLAN报文格式:
Outer MAC:14~18字节,封装外层以太头。其中,源MAC地址(Src. MAC Addr.)为源VM所属VTEP的MAC地址,目的MAC地址(Dst. MAC Addr.)为到达目的VTEP的路径中下一跳设备的MAC地址
Outer IP:20字节,封装外层IP头。其中,源IP地址(Outer Src. IP)为源VM所属VTEP的IP地址,目的IP地址(Outer Dst. IP)为目的VM所属VTEP的IP地址
UDP Header:8字节,VXLAN头和原始以太帧一起作为UDP的数据。UDP头中,目的端口号(VXLAN Port)固定为4789,源端口号(UDP Src. Port)是原始以太帧通过(mac、ip、四层端口号)哈希算法计算后的值
VXLAN Header:增加VXLAN头(8字节),其中包含24比特的VNI字段,用来定义VXLAN网络中不同的租户。此外,还包含VXLAN Flags(8比特,取值为00001000)和两个保留字段(分别为24比特和8比特)
VXLAN中MTU的问题:
需要注意 MTU 的问题,传统网络 MTU 一般为 1500,这里加上 VXLAN 的封装多出的(36+14/18,对于 14 的情况为 access 口,省去了 4 字节的 VLAN Tag)50 或 54 字节,需要调整 MTU 为 1550 或 1554,防止频繁分包
VXLAN常见名称解析:
NVE: 网络虚拟化边缘(接口),只能在三层设备上配置,可以是物理网络边缘,也可以是虚拟网络,可以是二层转发,也可以是三层转发。
VNI:vxlan network ID 虚拟网络标识,一种类似于VLAN ID,整个vxlan传递中有效,不同VNI虚拟机之间不能直接进行二层通信
VTEP: vxlan tunnel end points(vxlan隧道端点设备),vxlan网络的边缘设备 是vxlan隧道的起点和终点,vxlan对原始数据的封装和解封装均在VTEP上进行,VTEP上的接口不是物理接口,而是一个叫做“二层子接口”的逻辑接口。
二层子接口主要做两件事:
1、根据配置来检查哪些报文需要进入VXLAN隧道;
2、判断对检查通过的报文做怎样的处理
BD: 桥接域,相当于本地vlan编号,该编号只是在本地有效
BD和vlan关联的方式有2种:
1、在BD下绑定vlan,但只能绑定单个vlan
2、在子接口下绑定BD,不同子接口的vlan可以不同,但可以绑定相同的BD
流封装类型有4种:
dot1q:对于带有一层VLAN Tag的报文,该类型接口只接收与指定VLAN Tag匹配的报文;对于带有两层VLAN Tag的报文,该类型接口只接收外层VLAN Tag与指定VLAN Tag匹配的报文。
untag:该类型接口只接收不带VLAN Tag的报文。
qinq:该类型接口只接收带有指定两层VLAN Tag的报文。
default:允许接口接收所有报文,不区分报文中是否带VLAN Tag。不论是对原始报文进行VXLAN封装,还是解封装VXLAN报文,该类型接口都不会对原始报文进行任何VLAN Tag处理,包括添加、替换或剥离。
VXLAN对流量的处理方式:
已知单播:VTEP收到已知单播报文时,会根据VTEP上的MAC表来确定报文要从哪条VXLAN隧道走
BUM:VTEP收到BUM(Broadcast&Unknown-unicast&Multicast,广播&未知单播&组播)报文时,会将报文复制并发送给Peer List中所列的所有对端VTEP(这就好比广播报文在VLAN内广播)
VXLAN隧道生成方式:
1、手工方式(静态隧道):手工配置隧道接口,并指定隧道的源和目的IP地址分别为本端VTEP和远端VTEP的IP地址。
2、自动方式(动态隧道):通过EVPN(Ethernet Virtual Private Network,以太网虚拟专用网络)发现远端VTEP后,自动在本端VTEP和远端VTEP之间建立VXLAN隧道
VXLAN网关种类:
1、VXLAN二层网关:用于VXLAN网络相同子网通信。
2、VXLAN三层网关:用于VXLAN网络不同子网通信以及访问外部网络。
3、集中式网关:将三层网关集中部署在一台VTEP设备上,所有跨子网的流量都经过这个三层网关转发
优点:实现流量的集中管理
缺点:造成数据包转发存在次优路径,网关存在单点故障,网关需要维护主机的MAC地址信息和ARP信息,对设备表项容量要求比较高,容易存在瓶颈
解决方法:针对集中式网关的缺点,可以通过配置多组双活网关的方式实现网关的表项瓶颈和带宽瓶颈
4、分布式网关:是把所有VXLAN大二层网络的虚拟机网关设置在该CE边缘设备,这样网络中存在多个网关,终端以最近的CE设备作为自己的网关,同时多个网关之间通过EVPN协议实现ARP和MAC表项的同步(主要是主机路由的传递)
优点:终端以最近的CE设备作为自己的网关;每个网关只需要学习自己分支下所有的ARP表项
缺点:部署复杂,网络流量的管理比较麻烦
案例配置:华为S12800
集中式网关配置:
1、配置CE1、CE2、CE3的接口IP信息
[CE1]interface GE 1/0/0
[CE1-GE1/0/0]undo portswitch
[CE1-GE1/0/0]ip address 12.1.1.1 24
[CE1-GE1/0/0]undo shutdown
[CE1]interface GE 1/0/1
[CE1-GE1/0/1]undo portswitch
[CE1-GE1/0/1]ip address 13.1.1.1 24
[CE1-GE1/0/1]undo shutdown
[CE1]interface LoopBack 0
[CE1-LoopBack0]ip address 1.1.1.1 32
[CE2]interface GE 1/0/0
[CE2-GE1/0/0]undo portswitch
[CE2-GE1/0/0]ip address 12.1.1.2 24
[CE2-GE1/0/0]undo shutdown
[CE2]interface LoopBack 0
[CE2-LoopBack0]ip address 2.2.2.2 32
[CE3]interface GE 1/0/0
[CE3-GE1/0/0]undo portswitch
[CE3-GE1/0/0]ip address 13.1.1.3 24
[CE3-GE1/0/0]undo shutdown
[CE3]interface LoopBack 0
[CE3-LoopBack0]ip address 3.3.3.3 322、配置ospf协议保证三层IP互通
[CE1]ospf 1 router-id 1.1.1.1
[CE1-ospf-1]area 0
[CE1-ospf-1-area-0.0.0.0]network 0.0.0.0 255.255.255.255
[CE2]ospf 1 router-id 2.2.2.2
[CE2-ospf-1]area 0
[CE2-ospf-1-area-0.0.0.0]network 0.0.0.0 255.255.255.255
[CE3]ospf 1 router-id 3.3.3.3
[CE3-ospf-1]area 0
[CE3-ospf-1-area-0.0.0.0]network 0.0.0.0 255.255.255.2553、配置CE1、CE2、CE3的BD域,在BD域下绑定vni和在网关设备上配置vbdif接口
[CE1]bridge-domain 1000
[CE1-bd1000]vxlan vni 1000
[CE1]interface Vbdif 1000
[CE1-Vbdif1000]ip address 192.168.10.1 24
[CE1]bridge-domain 2000
[CE1-bd1000]vxlan vni 2000
[CE1]interface Vbdif 2000
[CE1-Vbdif2000]ip address 192.168.20.1 24
[CE2]bridge-domain 1000
[CE2-bd1000]vxlan vni 1000
[CE2]bridge-domain 2000
[CE2-bd2000]vxlan vni 2000
[CE3]bridge-domain 1000
[CE3-bd1000]vxlan vni 1000
[CE3]bridge-domain 2000
[CE3-bd2000]vxlan vni 20004、配置VXLAN隧道和VTEP的二层子接口
[CE1]interface Nve 1
[CE1-Nve1]source 1.1.1.1
[CE1-Nve1]vni 1000 head-end peer-list 2.2.2.2 3.3.3.3
[CE1-Nve1]vni 2000 head-end peer-list 2.2.2.2 3.3.3.3
[CE2]interface Nve 1
[CE2-Nve1]source 2.2.2.2
[CE2-Nve1]vni 1000 head-end peer-list 1.1.1.1
[CE2-Nve1]vni 2000 head-end peer-list 1.1.1.1
[CE2]interface GE 1/0/1.10 mode l2
[CE2-GE1/0/1.10]encapsulation dot1q vid 10
[CE2-GE1/0/1.10]bridge-domain 1000
[CE2]interface GE 1/0/1.20 mode l2
[CE2-GE1/0/1.20]encapsulation dot1q vid 20
[CE2-GE1/0/1.20]bridge-domain 2000
[CE3]interface Nve 1
[CE3-Nve1]source 3.3.3.3
[CE3-Nve1]vni 1000 head-end peer-list 1.1.1.1
[CE3-Nve1]vni 2000 head-end peer-list 1.1.1.1
[CE3]interface GE 1/0/1.10 mode l2
[CE3-GE1/0/1.10]encapsulation dot1q vid 10
[CE2-GE1/0/1.10]bridge-domain 1000
[CE3]interface GE 1/0/1.20 mode l2
[CE3-GE1/0/1.20]encapsulation dot1q vid 20
[CE3-GE1/0/1.20]bridge-domain 20005、LSW1和LSW2交换机配置
[LSW1]interface Ethernet0/0/1
[LSW1-Ethernet0/0/1 ]port link-type trunk
[LSW1-Ethernet0/0/1 ]port trunk allow-pass vlan all
[LSW2]interface Ethernet0/0/1
[LSW2-Ethernet0/0/1 ]port link-type trunk
[LSW2-Ethernet0/0/1 ]port trunk allow-pass vlan all查看vxlan中的vni
display vxlan vni
查看vxlan的peer
display vxlan peer
查看vxlan隧道
display vxlan tunnel
分布式网关部署:
1、配置CE1-CE3使用OSPF实现三层互联互通
[ce1]ospf 1 router-id 1.1.1.1
[ce1-ospf-1]area 0
[ce1-ospf-1-area-0.0.0.0]quit
[ce1-ospf-1]quit
[ce1]interface g1/0/0
[ce1-ge1/0/0]undo shutdown
[ce1-ge1/0/0]undo portswitch
[ce1-ge1/0/0]ip address 192.168.12.1 255.255.255.0
[ce1-ge1/0/0]ospf enable 1 area 0
[ce1-ge1/0/0]interface loopback 0
[ce1-loopback1]ip address 1.1.1.1 255.255.255.255
[ce1-loopback1]ospf enable 1 area 0
[ce1-loopback1]interface g1/0/1
[ce1-ge1/0/1]undo shutdown
[ce1-ge1/0/1]undo portswitch
[ce1-ge1/0/1]ip address 192.168.13.1 255.255.255.255
[ce1-ge1/0/1]ospf enable 1 area 0
[ce1-ge1/0/1]quit
[ce1]commit
[ce2]ospf 1 router-id 2.2.2.2
[ce2-ospf-1]area 0
[ce2-ospf-1-area-0.0.0.0]quit
[ce2-ospf-1]quit
[ce2]interface g1/0/0
[ce2-ge1/0/0]undo shutdown
[ce2-ge1/0/0]undo portswitch
[ce2-ge1/0/0]ip address 192.168.12.2 255.255.255.0
[ce2-ge1/0/0]ospf enable 1 area 0
[ce2-ge1/0/0]interface loopback 0
[ce2-loopback1]ip address 2.2.2.2 255.255.255.255
[ce2-loopback1]ospf enable 1 area 0
[ce2-loopback1]quit
[ce2]commit
[ce3]ospf 1 router-id 3.3.3.3
[ce3-ospf-1]area 0
[ce3-ospf-1-area-0.0.0.0]quit
[ce3-ospf-1]quit
[ce3]interface g1/0/0
[ce3-ge1/0/0]undo shutdown
[ce3-ge1/0/0]undo portswitch
[ce3-ge1/0/0]ip address 192.168.13.3 255.255.255.0
[ce3-ge1/0/0]ospf enable 1 area 0
[ce3-ge1/0/0]interface loopback 0
[ce3-loopback1]ip address 3.3.3.3 255.255.255.255
[ce3-loopback1]ospf enable 1 area 0
[ce3-loopback1]quit
[ce3]commit2、配置vxlan隧道模式,并使能vxlan的acl扩展功能
ip tunnel mode vxlan \\配置隧道模式为vxlan
assign forward nvo3 acl extend enable \\使能vxlan的ACL扩展功能,以防ACL叠加失败
配置注意点:
此处模拟器不支持配置命令,实际环境还是要配置的,配置命令后交换机需要重启3、配置LSW1 LSW2接入交换机vlan、trunk
[lsw1]vlan 10
[lsw1-vlan10]quit
[lsw1]vlan 20
[lsw1-vlan20]quit
[lsw1]interface e0/0/2
[lsw1-ethernet0/0/2]port link-type access
[lsw1-ethernet0/0/2]port default vlan 10
[lsw1-ethernet0/0/2]interface e0/0/3
[lsw1-ethernet0/0/3]port link-type access
[lsw1-ethernet0/0/3]port default vlan 20
[lsw1-ethernet0/0/3]interface e0/0/1
[lsw1-ethernet0/0/1]port link-type trunk
[lsw1-ethernet0/0/1]port trunk allow-pass vlan all
[lsw2]vlan 20
[lsw2-vlan20]quit
[lsw2]interface e0/0/2
[lsw2-ethernet0/0/2]port link-type access
[lsw2-ethernet0/0/2]port default vlan 20
[lsw2-ethernet0/0/2]interface e0/0/1
[lsw2-ethernet0/0/1]port link-type trunk
[lsw2-ethernet0/0/1]port trunk allow-pass vlan all4、配置vxlan业务接入点,配置PC1 PC2 PC3所连交换机端口vxlan功能
[ce2]vlan 10
[ce2-vlan10]quit
[ce2]vlan 20
[ce2-vlan20]quit
[ce2]commit
[ce2]bridge-domain 10
[ce2-bd10]quit
[ce2]bridge-domain 20
[ce2-bd20]quit
[ce2]interface g1/0/1
[ce2-ge1/0/1]undo shutdown
[ce2-ge1/0/1]interface g1/0/1.1 mode l2
[ce2-ge1/0/1.1]encapsulation dot1q vid 10
[ce2-ge1/0/1.1]bridge-domain 10
[ce2-ge1/0/1.1]interface g1/0/1.2 mode l2
[ce2-ge1/0/1.2]encapsulation dot1q vid 20
[ce2-ge1/0/1.2]bridge-domain 20
[ce2-ge1/0/1.2]quit
[ce2]commit
[ce3]vlan 20
[ce3-vlan20]quit
[ce3]bridge-domain 20
[ce3-bd20]quit
[ce3]interface g1/0/1
[ce3-ge1/0/1]undo shutdown
[ce3-ge1/0/1]interface g1/0/1.1 mode l2
[ce3-ge1/0/1.1]encapsulation dot1q vid 20
[ce3-ge1/0/1.1]bridge-domain 20
[ce3-ge1/0/1.1]quit
[ce3]commit5、使能EVPN作为vxlan控制平面功能
[ce1]evpn-overlay enable
[ce1]commit
[ce2]evpn-overlay enable
[ce2]commit
[ce3]evpn-overlay enable
[ce3]commit6、配置BGP EVPN对等体关系
[ce2]bgp 1
[ce2-bgp]router-id 2.2.2.2
[ce2-bgp]peer 3.3.3.3 as-number 1
[ce2-bgp]peeer 3.3.3.3 connect-interface loopback0
[ce2-bgp]l2vpn-family evpn
[ce2-bgp-af-evpn]peer 3.3.3.3 enable
[ce2-bgp-af-evpn]quit
[ce2-bgp]quit
[ce2]commit
[ce3]bgp 1
[ce3-bgp]router-id 3.3.3.3
[ce3-bgp]peer 2.2.2.2 as-number 1
[ce3-bgp]peeer 2.2.2.2 connect-interface 3.3.3.3
[ce3-bgp]l2vpn-family evpn
[ce3-bgp-af-evpn]peer 2.2.2.2 enable
[ce3-bgp-af-evpn]quit
[ce3-bgp]quit
[ce3]commit7、配置EVPN实例
[ce2]bridge-domain 10
[ce2-bd10]vxlan vni 1
[ce2-bd10]evpn
[ce2-bd10-evpn]route-distinguisher 1:1
[ce2-bd10-evpn]vpn-target 1:1 both
[ce2-bd10-evpn]vpn-target 1:10 export-extcommunity
[ce2-bd10-evpn]quit
[ce2-bd10]quit
[ce2]bridge-domain 20
[ce2-bd20]vxlan vni 2
[ce2-bd20]evpn
[ce2-bd20-evpn]route-distinguisher 1:3
[ce2-bd20-evpn]vpn-target 2:2 both
[ce2-bd20-evpn]vpn-target 1:10 export-extcommunity
[ce2-bd20-evpn]quit
[ce2-bd20]quit
[ce2]commit
[ce3]bridge-domain 20
[ce3-bd20]vxlan vni 2
[ce3-bd20]evpn
[ce3-bd20-evpn]route-distinguisher 1:5
[ce3-bd20-evpn]vpn-target 2:2
[ce3-bd20-evpn]vpn-target 1:10 export-extcommunity
[ce3-bd20-evpn]quit
[ce3-bd20]quit
[ce3]commit8、配置头端复制列表
[ce2]interface nve1
[ce2-nve1]source 2.2.2.2
[ce2-nve1]vni 1 head-end peer-list protocol bgp
[ce2-nve1]vni 2 head-end peer-list protocol bgp
[ce2-nve1]quit
[ce2]commit
[ce3]interface nve1
[ce3-nve1]source 3.3.3.3
[ce3-nve1]vni 2 head-end peer-list protocol bgp
[ce3-nve1]quit
[ce3]commit9、配置VPN实例
[ce2]ip vpn-instance bd10
[ce2-vpn-instance-bd10]vxlan vni 10
[ce2-vpn-instance-bd10]ipv4-family
[ce2-vpn-instance-bd10-af-ipv4]route-distinguisher 1:2
[ce2-vpn-instance-bd10-af-ipv4]vpn-target 1:10 evpn
[ce2-vpn-instance-bd10-af-ipv4]quit
[ce2-vpn-instance-bd10]quit
[ce2]commit
[ce3]ip vpn-instance bd10
[ce3-vpn-instance-bd10]vxlan vni 10
[ce3-vpn-instance-bd10]ipv4-family
[ce3-vpn-instance-bd10-af-ipv4]route-distinguisher 1:6
[ce3-vpn-instance-bd10-af-ipv4]vpn-target 1:10 evpn
[ce3-vpn-instance-bd10-af-ipv4]quit
[ce3-vpn-instance-bd10]quit
[ce3]commit10、配置VBDIF并绑定VPN实例,配置发布路由类型
[ce2]interface vbdif 10
[ce2-vbdif10]ip binding vpn-instance bd10
[ce2-vbdif10]ip address 10.1.1.254 255.255.255.0
[ce2-vbdif10]vxlan anycast-gateway enable
[ce2-vbdif10]arp collect host enable
[ce2-vbdif10]quit
[ce2]interface vbdif 20
[ce2-vbdif20]ip binding vpn-instance bd10
[ce2-vbdif20]ip address 10.2.2.254 255.255.255.0
[ce2-vbdif20]mac-address 0000-5e00-0006
[ce2-vbdif20]vxlan anycast-gateway enable
[ce2-vbdif20]arp collect host enable
[ce2-vbdif20]quit
[ce2]commit
[ce3]interface vbdif 20
[ce3-vbdif20]ip binding vpn-instance bd10
[ce3-vbdif20]ip address 10.2.2.254 255.255.255.0
[ce3-vbdif20]mac-address 0000-5e00-0006
[ce3-vbdif20]vxlan anycast-gateway enable
[ce3-vbdif20]arp collect host enable
[ce3-vbdif20]quit
[ce3]commit11、配置BGP对等体路由类型
ce2]bgp 1
[ce2-bgp]l2vpn-family evpn
[ce2-bgp-af-evpn]peer 3.3.3.3 advertise irb
[ce2-bgp-af-evpn]quit
[ce2-bgp]quit
[ce2]commit
[ce3]bgp 1
[ce3-bgp]l2vpn-family evpn
[ce3-bgp-af-evpn]peer 2.2.2.2 advertise irb
[ce3-bgp-af-evpn]quit
[ce3-bgp]quit
[ce3]commitBGP EVPN对等体关系状态查看
display bgp evpn peer
查看主机路由信息
display ip routing-table vpn-instance db10
---------------------------------------------------------我还会不断更新---------------------------------------------------------