Vxlan基本名词解释:
NVE:运行了Vxlan的物理设备
VTEP:对Vxlan报文进行封装解封装的协议,根据NVI ID建立隧道
NVI:Vxlan隧道端点 负责接入BD 运行在Vtep内 采用不同ID区分
Vxlan基本流程(二层):
SW1 bridge-domain 100 #创建BD
SW1-bd100vxlan vni 1000 #BD绑定VNI
SW1 int nve 1 #有且只有一个
SW1-nve1source 1.1.1.1 #配置源IP用于Vtep寻址
SW1-nve1vni 1000 head-end peer-list 2.2.2.2 #VNI 1000 去找 NVE 2.2.2.2有同样的NVI 1000 隧道建立成功
三层网关的两种部署方式:
二层网关:用于解决租户接入Vxlan虚拟网络中或同网段通信
三层网关:跨网段通信以及外部网络访问
集中式网关:
所有三层通信都要经过Spine进行转发实现集中式管理
优点:流量集中管理,配置较为简单
缺点:转发路径不是最优路径,Spine压力过大以及ARP表项瓶颈
分布式网关:
Spine节点:关注于高速IP转发,强调的是设备的高速转发能力。
Leaf节点:
作为VXLAN网络中的二层网关设备,与物理服务器或VM对接,用于解决终端租户接入VXLAN虚拟网络的问题。
作为VXLAN网络中的三层网关设备,进行VXLAN报文封装/解封装,实现跨子网的终端租户通信,以及外部网络的访问。
分布式网关的特点
VXLAN分布式网关具有如下特点:
同一个Leaf节点既可以做VXLAN二层网关,也可以做VXLAN三层网关,部署灵活。
Leaf节点只需要学习自身连接服务器的ARP表项,而不必像集中三层网关一样,需要学习所有服务器的ARP表项,解决了集中式三层网关带来的ARP表项瓶颈问题,网络规模扩展能力强。
EVPN:
EVPN通过扩展BGP协议新定义了几种BGP EVPN路由,这些BGP EVPN路由可以用于传递VTEP地址和主机信息,因此EVPN应用于VXLAN网络中,可以把原本依赖数据平面的VTEP发现和主机信息学习从数据平面转移到控制平面。
Type路由:
总结:
Type 3:告诉别人"我在这个 VNI 里",用于建立 VNI 的泛洪树(IMET 表)。 Type 2:告诉别人"这个主机(MAC/IP)在我这里",用于学习主机位置与 ARP 抑制。 Type 5:告诉别人"这个三层网段(Prefix)从我这里可达",用于 VXLAN L3 路由。
实验一:静态Vxlan集中网关转发
配置思路:
-
Leaf接入BD,Spine上存在BD 10 20
-
Leaf都指向Spine建立对等体
-
Int vbdif 配置IP
暂时无法在飞书文档外展示此内容
命令参考:
https://blog.csdn.net/qq_35686185/article/details/112176735
存在疑问:
为什么只有终端可以ping通VBDIF 终端以上都不可以
目前理解:ce2 lsw1 没有IP 并且 ce 1 ce 2 通过BD ce 2 lsw 1 通过 vlan 组成局域网
Ce 2 lsw 1 就相当于一根网线
实验二:Vxlan&EVPN集中网关转发
配置思路:
-
ospf打通3层
-
D1 D3 创建BD并接入下层VLAN
-
通过NVE 建立隧道两端,并配置EVPN vrf
-
通过BGP 打通隧道,D2创建Vbdif接入下层BD
-
底层Vswitch,上trunk 下 access 终端配置vbdif 网关
注意:
-
配置EVPN BGP前要线开启 evpn-overlay enable
-
不要忘记配置EVPN VRF
\~Device1 bridge-domain 20 \*Device1-bd20 evpn
- 使用路由反射器记得在EVPN实例中配置
\~ce1-bgpl2vpn-family evpn
\~ce1-bgp-af-evpnpeer 2.2.2.2 reflect-client
\*Device2-bgp-af-evpn undo policy vpn-target #反射器禁用标签
具体配置命令查看手册 :
配置通过VXLAN实现相同网段用户通信的示例(BGP EVPN方式)
暂时无法在飞书文档外展示此内容
实验三:分布式网关EVPN方式实现
配置思路:
Under-lay使用ospf打通 over-lay使用Bgp evpn
Spine跟leaf建立bgp邻居并开启路由反射器
Leaf创建路由实例进行over-lay隔离,NVE接入vni 创建BD接入Vni 接入Vlan 接入evpn实例
leaf创建Vbdif 绑定路由实例 赋予ip mac 开启ip复用以及arp信息收集
关键代码:
peer advertise irb :让对端学习到三层路由(原本只能学习二层)
undo policy vpn-target :路由反射器一定要关掉这条命令,不然别人收不到
evpn-overlay enable :所有三层设备都要开
vxlan anycast-gateway enable :允许同IP同MAC在网络中同时存在,并由最近的路由进行响应
arp collect host enable : 收集BD下的设备信息通过EVPN发送给对端减少泛洪
VNI 3000 用来三层通信
配置:
SPINE:
under-lay基础配置:
interface GE1/0/1
undo portswitch
ip address 10.1.12.1 255.255.255.0
interface GE1/0/2
undo portswitch
ip address 10.1.13.1 255.255.255.0
interface GE1/0/3
undo portswitch
ip address 10.1.14.1 255.255.255.0
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
Evpn-overlay enable
bgp 1
private-4-byte-as enable
peer 3.3.3.3 as-number 1
peer 3.3.3.3 connect-interface LoopBack0
peer 4.4.4.4 as-number 1
peer 4.4.4.4 connect-interface LoopBack0
ipv4-family unicast
peer 3.3.3.3 enable
peer 4.4.4.4 enable
l2vpn-family evpn
undo policy vpn-target
peer 3.3.3.3 enable
peer 3.3.3.3 advertise irb #路由反射器也要配
peer 3.3.3.3 reflect-client
peer 4.4.4.4 enable
peer 4.4.4.4 advertise irb
peer 4.4.4.4 reflect-client
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.1.0.0 0.0.255.255
Leaf1:
evpn-overlay enable
三层实例,同租户使用相同实例
ip vpn-instance abc
ipv4-family
route-distinguisher 1:1
vpn-target 11:1 export-extcommunity evpn #一定要加上
vpn-target 11:1 import-extcommunity evpn #不然不走evpn
vxlan vni 3000 #三层隧道
BD接入NVI 并 创建EVPN实例
bridge-domain 1000
vxlan vni 5010
evpn
route-distinguisher 5010:1
vpn-target 5010:1 export-extcommunity
vpn-target 11:1 export-extcommunity #只出不入二层与三层隔离
vpn-target 5010:1 import-extcommunity
bridge-domain 2000
vxlan vni 5020
evpn
route-distinguisher 5020:1
vpn-target 5020:1 export-extcommunity
vpn-target 11:1 export-extcommunity
vpn-target 5020:1 import-extcommunity
创建vbdif 绑定三层实例配置两条核心命令
interface Vbdif1000
ip binding vpn-instance abc
ip address 192.168.1.254 255.255.255.0
mac-address 0000-5e00-0101
vxlan anycast-gateway enable
arp collect host enable
interface Vbdif2000
ip binding vpn-instance abc
ip address 192.168.2.254 255.255.255.0
mac-address 0000-5e00-0102
vxlan anycast-gateway enable
arp collect host enable
interface Nve1
source 3.3.3.3
vni 5010 head-end peer-list protocol bgp
vni 5020 head-end peer-list protocol bgp
bgp 1
undo default ipv4-unicast
private-4-byte-as enable
peer 1.1.1.1 as-number 1
peer 1.1.1.1 connect-interface LoopBack0
peer 2.2.2.2 as-number 1
peer 2.2.2.2 connect-interface LoopBack0
ipv4-family unicast
peer 1.1.1.1 enable
peer 2.2.2.2 enable
l2vpn-family evpn
policy vpn-target
peer 1.1.1.1 enable
peer 1.1.1.1 advertise irb
peer 2.2.2.2 enable
peer 2.2.2.2 advertise irb
Under-lay 基础配置
interface GE1/0/1
undo portswitch
ip address 10.1.13.3 255.255.255.0
interface GE1/0/2.10 mode l2
encapsulation dot1q vid 100
bridge-domain 1000
interface GE1/0/2.20 mode l2
encapsulation dot1q vid 200
bridge-domain 2000
interface GE1/0/3
undo portswitch
ip address 10.1.23.3 255.255.255.0
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.1.0.0 0.0.255.255
源文件:
暂时无法在飞书文档外展示此内容
IDC间互联解决方案
