静态 VxLAN 浅析及配置示例(头端复制)

一、概念:

VxLAN :Visual eXtensible Local Area Network 虚拟扩展本地局域网,一种隧道技术,能在三层网络的基础上建立二层以太网网络隧道,从而实现跨地域的二层互连,VxLAN端口:4789
EVPN :Ethernet VPN 以太网(二层)VPN技术
VNI :VxLAN Network Identifire VxLAN网络标识,由24bit组成,多达16M的VxLAN段

ES(Ethernet Segment):CE连接PE的 Ethernet 链路集合。

ESI(Ethernet Segment Identifier):10字节的ES非0标识。RFC7432中说明:取0时,表示单归站点;全ff为保留。
TOR :Top of Rack 机柜顶端,相当于接入层交换机
EOR : End of Row 机房队列末端,相当于汇聚层交换机
NVO3 :Network Virtualization Over Layer 3 #三层上的网络虚拟化
BD :Bridge-Domain #二层网关,终结vlan-id,本质上是二层mac表
VAP :Virtual Access Point #虚拟接入点、BD跟Vlan-id关联的接口,对于用户侧,有4种:dot1q、default、untag、qinq

dot1q:DCN用得多,进入BD:剥离tag,出BD:打上对应tag(用户的vlan终结)

default:只能配在主接口下的一个子接口,带标记不带标记都收,透传,不区分tag和untag,全盘接收,不剥离tag,出 BD:保持tag,到达对应vlan

untag:进入BD:无标记,出BD :无任何标记

qinq:vlan嵌套vlan,较少用

NVE :Network Virtualization Edge(接口,用于连接网络侧,转发VxLAN的封装)
VTEP:Virtual Tunnel EndPoint #虚拟隧道终节点Leap loopback地址

二、常用命令:

dis vxlan peer #查看VxLAN对端列表

dis vxlan tunnel #查看VxLAN隧道

dis vxlan vni #查看 VxLAN 的vni列表

dis bridge-domain #查看BD

dis mac-address bridge-domain 10 | verbose #查看 BD10 的MAC表

三、拓朴图:

要求:AR1 上的 172.16.15.1 能穿越 ISP 网络去访问另一端 AR2 的 172.16.15.5

AR3 上的 172.16.1.1 能穿越 ISP 网络去访问另一端 AR4 的172.16.1.2

四、配置步骤:

运营商内部侧:

1、配网络侧底层互通(underlayer)

leaf之间loopback接口互访(以后的VTEP地址:VxLAN隧道IP地址)

2、Overlayer用户侧

a、创建BD,关联VNI:

bridge-domain 10

vxlan vni 5010 #针对 vlan10关联二层vni(1:1绑定,只能关联一个VNI)

b、配置VAP,关联BD

int G1/0/0.10 mode l2 #只有CE系列有此命令,S系列没有此条命令

encapsulation dot1q vid 10 #

bridge-doain 10

3、配置网络侧,创建NVE接口,关联网络侧和用户侧

int nve 1

source 10.1.1.1 #配置vtep的源地址

vni 5010 head-end peer-list 10.1.3.3 #头端复制

bridge-domain 10
 vxlan vni 5010
#
interface GE1/0/0
 undo portswitch
 undo shutdown
#
interface GE1/0/0.10 mode l2
 encapsulation dot1q vid 10
 bridge-domain 10
#
interface GE1/0/1
 undo portswitch
 undo shutdown
 ip address 10.1.12.1 255.255.255.0
#
interface LoopBack0
 ip address 10.1.1.1 255.255.255.255
#
interface Nve1
 source 10.1.1.1
 vni 5010 head-end peer-list 10.1.3.3
#
interface NULL0
#
ospf 1 router-id 10.1.1.1
 area 0.0.0.0
  network 10.1.1.1 0.0.0.0
  network 10.1.12.0 0.0.0.255
#

用户侧:

1、AR1和AR2向交换机接口侧配置IP

2、S1和S2交换机起vlan10,向运营商侧配置trunk,允许vlan10通过

五、验证:
第一个抓包点在 AR1 到 S1 之间,可以看到发出的正常的 ping 包:
第二个抓包点在 S1 到 CE1 之间,可以看到通过 trunk 口后,加上了 802.1q 的 vlan tag:
第三个抓包点在 CE1 到 CE2 之间,可以看到 CE1 将私网的 ping 包完整打上 VxLAN 封装,打上 5010 vni,并通过 UDP 4789 端口,用 underlayer 承载后,发往ISP内部路由目标地址:
再看看另一个 5020 的 arp 包,也是相同的结构:
六、注意的点:

这里配置好后有时是不通的,其实 ISP 通过 VxLAN 打通了二层,相当于一个交换机内的数据传输,也需要流量激活,如果 ping 不通,可以两边都 ping 一下就行了,也可能是模拟器的时延问题。

相关推荐
成都古河云20 分钟前
智慧场馆:安全、节能与智能化管理的未来
大数据·运维·人工智能·安全·智慧城市
算法与编程之美22 分钟前
文件的写入与读取
linux·运维·服务器
长弓三石36 分钟前
鸿蒙网络编程系列44-仓颉版HttpRequest上传文件示例
前端·网络·华为·harmonyos·鸿蒙
xianwu54340 分钟前
反向代理模块
linux·开发语言·网络·git
follycat43 分钟前
[极客大挑战 2019]HTTP 1
网络·网络协议·http·网络安全
Amelio_Ming1 小时前
Permissions 0755 for ‘/etc/ssh/ssh_host_rsa_key‘ are too open.问题解决
linux·运维·ssh
心灵彼岸-诗和远方1 小时前
Devops业务价值流:软件研发最佳实践
运维·产品经理·devops
JuiceFS1 小时前
好未来:多云环境下基于 JuiceFS 建设低运维模型仓库
运维·云原生
xiaoxiongip6662 小时前
HTTP 和 HTTPS
网络·爬虫·网络协议·tcp/ip·http·https·ip
Ven%2 小时前
centos查看硬盘资源使用情况命令大全
linux·运维·centos