VXLAN笔记2. 配置静态 Vxlan 隧道

CE设备的VXLAN功能使用License控制。

一、配置静态 Vxlan 隧道

1.1 配置 VXLAN 隧道模式并使能 VXLAN 的 ACL 扩展功能

1.2 配置 VXLAN 业务接入点，BD、子接口

1.3 配置 VXLAN 隧道

1.4 配置 VXLAN 三层网关

1.5 检查配置

1.1 配置 VXLAN 隧道模式并使能 VXLAN 的 ACL 扩展功能

【】ip tunnel mode vxlan，配置隧道模式为VXLAN。缺省为VXLAN。

【】assign forward nvo3 acl extend enable，使能VXLAN的ACL扩展功能。缺省未使能。

　　以上两条命令完成后，需要重启设备才能生效。

 

【】load-balance ecmp #进入ECMP视图。

【ecmp】hashmode 5 #配置ECMP负载分担的HASH算法，5为源目IP+源目端口。

 

1.2 配置 VXLAN 业务接入点，BD、子接口

　　VAP（Virtual Access Point）vxlan业务虚拟接入点。

　　当业务接入点是二层子接口时，通过在二层子接口上配置不同的流封装类型以实现不同的接口接入不同的数据报文，将二层子接口关联广播域BD（Bridge-Domain）后，可实现数据报文通过BD转发。BD大致对应华三的VSI。

　　【】bridge-domain bd-id #用来创建广播域桥域BD（Bridge Domain）并进入BD视图，或直接进入已经存在的BD视图。BD-ID本地有效，用以连接vlan和vxlan【可以通过L2子接口、vlan方式配置关联】。同一个BD即是一个广播域。

　　在VXLAN网络中，将虚拟广播域VN（Virtual Network）对应的VNI（VXLAN Network Identifier）以1:1方式映射到广播域BD，BD成为VXLAN网络的实体，通过BD转发流量。

后续任务

　　基于BD，可通过命令interface vbdif bd-id 创建三层逻辑接口VBDIF接口。广播域BD的功能类似于广播域VLAN，VBDIF接口类似VLANIF接口，可将二层业务终结后，接入三层业务。

 

　　可选【bd】split-horizon enable，配置基于BD的水平分割功能。缺省去使能。当不同成员口通过BD在VXLAN网络中转发数据报文时，为了减少广播，需要在没有互访需求的成员口之间进行隔离。通过执行该命令能够隔离同一BD域内不同成员口之间的流量转发，包括单播、广播、组播。

　　可选【接口】port nvo3 mode access，指定端口模式为VXLAN网络接入端口，从而允许携带VXLAN报文目的UDP端口号（缺省值为4789）的普通IP报文接入VXLAN网络。缺省情况下，未指定端口模式为VXLAN网络接入端口，即携带VXLAN报文目的UDP端口号（缺省值为4789）的普通IP报文不能接入VXLAN网络。

 

1.通过配置二层子接口的方式来关联 Vxlan 和 VLAN，可利用BD广播域使本地不同vlan的L2子接口间二层互通【SDN控制器下发配置，就是通过二层子接口】：

　　【】interface internum.subnum mode L2，创建二层子接口并进入二层子接口视图。VXLAN将业务接入点定义为二层子接口，只有二层子接口才能接入业务。

　　【L2子接口】bridge-domain bd-id，将二层子接口加入BD（Bridge Domain）。BD创建后，为了保证业务报文在BD内转发，必须将二层子接口加入BD。每个二层子接口唯一属于一个BD。

　　【L2子接口】encapsulation { dot1q [ vid low* [ to high* ] ] | default | untag | qinq [ vid pe-vid ce-vid ce-vid ]}，配置二层子接口允许通过的流类型。

　　Dot1q为一层vlan tag，或是二层tag帧的外层tag。封装进入vxlan网络时，将剥离报文原有的vlan tag。对vxlan报文解封装转发时，将添加配置的vlan tag。Dot1q二层子接口的VLAN ID值可以为一个范围段，该情况下，接口会对报文进行透传，不会剥离VLAN。

　　default为不区分tag，此物理接口下所有报文全部接入。封装解封装时，对报文原有的tag不做处理。

　　untag发送报文时，会把最外层tag剥离掉。一个物理接口下，只能配置一个untag子接口。封装解封装时，对报文原有的tag不做处理。

• 该类型接口在对原始报文进行VXLAN封装时，会剥离最外层的VLAN Tag；
• 在解封装VXLAN报文时，会添加指定的VLAN Tag后再转发。

 

• Trunk接口Allow的vlan-id必须存在于本交换机，否则即使allow-pass vlan all，本地不存在的vlan-id也不能通过。
• 二层子接口封装的dot1q vid对应的vlan-id，不存在于本机也可通过。

 

2.配置业务接入点为 VLAN【较少使用】：

　　【bd】l2 binding vlan vlan-id，将全局VLAN绑定到广播域BD。缺省无绑定。执行此步骤前，请确保全局VLAN已经创建。将全局VLAN绑定到广播域BD后，需要将设备上相关接口加入该VLAN。

 

1.3 配置 VXLAN 隧道

　　静态VXLAN隧道的创建完全通过手工配置本端和远端的VNI和VTEP IP地址来完成，不需要协议参与，配置简单。所有vxlan NVE都要配置peer-list全互连【因为vxlan隧道为了防环，默认开启水平分割】，工作量很大，所以静态的vxlan网络必定规模偏小。

　　为了保证VXLAN报文的正常转发，VXLAN的二层网关和三层网关上都需要配置VXLAN隧道。

【】bridge-domain bd-id，进入BD视图。刘大伟：使用vxlan隧道连接隧道两端的BD，BD和Vxlan一一对应。

【bd】vxlan vni vni-id，创建VXLAN网络标识VNI并关联广播域BD。缺省没有创建VNI。

 

【】interface nve nve-number，创建NVE接口，并进入NVE接口视图。缺省没有创建NVE接口。

【nve接口】source ip-address，配置源端VTEP的IP地址。缺省没有配置。推荐使用Loopback接口的地址。

【nve接口】vni vni-id head-end peer-list ip-address &<1-10>，配置头端复制列表，缺省没有配置。在使用BGP evpn时，可以通过bgp协议进行控制。

• 同子网 BUM（广播、未知单播、组播）报文转发只在VXLAN二层网关之间进行，三层网关无需感知。同子网BUM报文转发可以采用头端复制方式、集中复制方式、组播复制方式【需要underlay开启PIM，多为IT厂家使用】。
• 头端复制：当BUM报文进入VXLAN隧道时，接入端VTEP根据头端复制列表进行报文的VXLAN封装，并将报文发送给头端复制列表中的所有出端口VTEP。BUM报文出VXLAN隧道时，出口端VTEP对报文解封装。
• Vxlan隧道水平分割：解封装后，NVE只会向南向的BD转发此BUM帧，而不会把此帧再通过vxlan隧道向东西向转发。

 

1.4 配置 VXLAN 三层网关

　　为了成功实现不同网段的终端用户互通，终端用户的缺省网关地址必须是对应三层网关上的VBDIF接口的IP地址。

背景信息：

　　BD是VXLAN网络的实体，通过将VNI（每一个VNI表示一个租户）以1:1方式映射到广播域BD，可以通过BD转发数据报文。基于BD可创建三层逻辑接口VBDIF接口，可以实现不同网段的VXLAN间，及VXLAN和非VXLAN之间的三层互通，也可实现二层网络接入三层网络。每个BD对应一个VBDIF接口，在为VBDIF接口配置IP地址后，该接口即可作为本BD内租户的网关，对需要进行通信的报文进行基于IP地址的三层转发。

　　VBDIF接口在VXLAN三层网关上配置，用于跨网段报文的转发，因此同网段通信时不需要配置。

 

　　【】interface vbdif bd-id，创建VBDIF接口，并进入VBDIF接口视图。

　　配置VBDIF接口的IP地址，实现三层互通：

• Overlay IPv4：ip address ip-address { mask | mask-length } [ sub ]，配置IPv4地址。
• Overlay IPv6：

1. ipv6 enable，使能接口的IPv6功能。
2. ipv6 address ipv6-address prefix-length 或 ipv6 address ipv6-address prefix-length eui-64，配置接口的全球单播地址。

　　（可选）mac-address mac-address，配置VBDIF接口的MAC地址。缺省是系统的MAC地址。同一VNI对应BD三层接口的mac建议全网统一，这样：vm在迁移后可以直接通信；其它子网到本地网关的下一跳mac保持一致。

 

1.5 检查配置

display bridge-domain [ bd-id [ brief | verbose ] ]，查看广播域BD的配置信息。

display interface nve [ nve-number | main ]，查看NVE接口的状态信息。

display vxlan peer [ vni vni-id ]，查看配置的VNI的头端复制列表信息。指导实际的vxlan报文转发【及同一个二层vni下的BUM帧头端复制转发】，头端复制列表没有独立的显示命令，包含在peer中。

display vxlan tunnel [ tunnel-id ] [ verbose ]，查看VXLAN隧道的信息。

display vxlan vni [ vni-id [ verbose ] ]，查看VXLAN的配置信息及VNI状态。

display interface vbdif [ bd-id ]，查看VBDIF接口的状态信息、配置信息和统计信息。

display dfs-group dfs-group-id active-active-gateway，查看DFS Group多活网关的信息。

display arp broadcast-suppress user bridge-domain bd-id，查看指定BD域的ARP广播抑制表。

display arp [ network network-address [ network-mask | mask-length ] ] static，查看已配置的静态ARP表项。

display mac-address static bridge-domain bd-id，查看BD内的静态MAC地址表项。

display mac-address limit bridge-domain bd-id，可以查看BD内动态MAC地址学习限制规则。

display mac-address limit nve nve-number peer ip-address，查看基于远端VTEP的MAC地址学习限制规则。

display mac-address flapping，查看MAC地址漂移检测功能的配置信息。

display vxlan flood-vtep [ vni vni-id ]，查看集中复制列表信息。