- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-VXLAN配置
本章节下载: 01-VXLAN配置 (641.28 KB)
目 录
S9857系列交换机不支持本特性。
VXLAN(Virtual eXtensible LAN,可扩展虚拟局域网络)是基于IP网络、采用“MAC in UDP”封装形式的二层VPN技术。VXLAN可以基于已有的服务提供商或企业IP网络,为分散的物理站点提供二层互联,并能够为不同的租户提供业务隔离。VXLAN主要应用于数据中心网络和园区接入网络。
VXLAN具有如下优点:
· 支持大量的租户:使用24位的标识符,最多可支持2的24次方(16777216)个VXLAN,使支持的租户数目大规模增加,解决了传统二层网络VLAN资源不足的问题。
· 易于维护:基于IP网络组建大二层网络,使得网络部署和维护更加容易,并且可以充分地利用现有的IP网络技术,例如利用等价路由进行负载分担等;只有IP核心网络的边缘设备需要进行VXLAN处理,网络中间设备只需根据IP头转发报文,降低了网络部署的难度和费用。
VXLAN技术利用已有的三层物理网络作为Underlay网络,在此基础上构建虚拟的二层网络,也被称为Overlay网络。通过封装技术,Overlay网络可以利用Underlay网络提供的三层转发路径,实现租户二层报文在不同站点之间跨越三层网络进行传递。对于租户来说,Underlay网络是透明的,同一租户的不同站点就像工作在一个局域网中。
图1-1 VXLAN网络模型示意图
如图1-1所示,VXLAN的典型网络模型中包括如下几部分:
· 用户终端(Terminal):用户终端设备可以是PC机、无线终端设备、服务器上创建的VM(Virtual Machine,虚拟机)等。不同的用户终端可以属于不同的VXLAN。属于相同VXLAN的用户终端处于同一个逻辑二层网络,彼此之间二层互通;属于不同VXLAN的用户终端之间二层隔离。VXLAN通过VXLAN ID来标识,VXLAN ID又称VNI(VXLAN Network Identifier,VXLAN网络标识符),其长度为24比特。
本文档中如无特殊说明,均以VM为例介绍VXLAN工作机制。采用其他类型用户终端时,VXLAN工作机制与VM相同,不再赘述。
· VTEP(VXLAN Tunnel End Point,VXLAN隧道端点):VXLAN的边缘设备。VXLAN的相关处理都在VTEP上进行,例如识别以太网数据帧所属的VXLAN、基于VXLAN对数据帧进行二层转发、封装/解封装报文等。
· VXLAN隧道:两个VTEP之间的点到点逻辑隧道。VTEP为数据帧封装VXLAN头、UDP头和IP头后,通过VXLAN隧道将封装后的报文转发给远端VTEP,远端VTEP对其进行解封装。
· 核心设备:IP核心网络中的设备(如图1-1中的P设备)。核心设备不参与VXLAN处理,仅需要根据封装后报文的目的IP地址对报文进行三层转发。
· VSI(Virtual Switch Instance,虚拟交换实例):VTEP上为一个VXLAN提供二层交换服务的虚拟交换实例。VSI可以看作是VTEP上的一台基于VXLAN进行二层转发的虚拟交换机,它具有传统以太网交换机的所有功能,包括源MAC地址学习、MAC地址老化、泛洪等。VSI与VXLAN一一对应。
· AC(Attachment Circuit,接入电路):VTEP连接本地站点的物理电路或虚拟电路。在VTEP上,与VSI关联的三层接口或以太网服务实例(service instance)称为AC。其中,以太网服务实例在二层以太网接口上创建,它定义了一系列匹配规则,用来匹配从该二层以太网接口上接收到的数据帧。
如图1-2所示,VXLAN报文的封装格式为:在原始二层数据帧外添加8字节VXLAN头、8字节UDP头和20字节IP头。其中,UDP头的目的端口号为VXLAN UDP端口号(缺省为4789)。VXLAN头主要包括两部分:
· 标记位:“I”位为1时,表示VXLAN头中的VXLAN ID有效;为0,表示VXLAN ID无效。其他位保留未用,设置为0。
· VXLAN ID:用来标识一个VXLAN网络,长度为24比特。
图1-2 VXLAN报文封装示意图
VXLAN运行机制可以概括为:
(1) 发现远端VTEP,在VTEP之间建立VXLAN隧道,并将VXLAN隧道与VXLAN关联。
(2) 识别接收到的报文所属的VXLAN,以便将报文的源MAC地址学习到VXLAN对应的VSI,并在该VSI内转发该报文。
(3) 学习虚拟机的MAC地址。
(4) 根据学习到的MAC地址表项转发报文。
为了将VXLAN报文传递到远端VTEP,需要创建VXLAN隧道,并将VXLAN隧道与VXLAN关联。
VXLAN隧道的建立方式有如下两种:
· 手工方式:手工配置Tunnel接口,并指定隧道的源和目的IP地址分别为本端和远端VTEP的IP地址。
· 自动方式:通过EVPN(Ethernet Virtual Private Network,以太网虚拟专用网络)发现远端VTEP后,自动在本端和远端VTEP之间建立VXLAN隧道。EVPN的详细介绍请参见“EVPN配置指导”。
VXLAN隧道与VXLAN关联的方式有如下两种:
· 手工方式:手工将VXLAN隧道与VXLAN关联。
· 自动方式:通过EVPN协议自动关联VXLAN隧道与VXLAN。EVPN的详细介绍请参见“EVPN配置指导”。
VTEP采用如下几种方式在数据帧和VXLAN之间建立关联:
· 将三层接口与VSI关联:从该三层接口接收到的数据帧均属于指定的VSI。VSI内创建的VXLAN即为该数据帧所属的VXLAN。
· 将以太网服务实例与VSI关联:以太网服务实例定义了一系列匹配规则,如匹配指定VLAN的报文、匹配接口接收到的所有报文等。从二层以太网接口上接收到的、与规则匹配的数据帧均属于指定的VSI/VXLAN。
VTEP从三层接口或以太网服务实例接收到数据帧后,根据关联方式判断报文所属的VXLAN。
如图1-3所示,VM 1属于VLAN 2,在VTEP上配置以太网服务实例1匹配VLAN 2的报文,将以太网服务实例1与VSI A绑定,并在VSI A内创建VXLAN 10,则VTEP接收到VM 1发送的数据帧后,可以判定该数据帧属于VXLAN 10。
对于从VXLAN隧道上接收到的VXLAN报文,VTEP根据报文中携带的VXLAN ID判断该报文所属的VXLAN。
MAC地址学习分为本地MAC地址学习和远端MAC地址学习两部分:
· 本地MAC地址学习
是指VTEP对本地站点内虚拟机MAC地址的学习。本地MAC地址的学习方式有如下几种:
¡ 静态配置:手工指定本地MAC地址所属的VSI(VXLAN),及其对应的以太网服务实例(即AC)。
¡ 通过报文中的源MAC地址动态学习:VTEP接收到本地虚拟机发送的数据帧后,判断该数据帧所属的VSI,并将数据帧中的源MAC地址(本地虚拟机的MAC地址)添加到该VSI的MAC地址表中,该MAC地址对应的接口为接收到数据帧的接口。
· 远端MAC地址学习
是指VTEP对远端站点内虚拟机MAC地址的学习。远端MAC地址的学习方式有如下几种:
¡ 静态配置:手工指定远端MAC地址所属的VSI(VXLAN),及其对应的VXLAN隧道接口。
¡ 通过报文中的源MAC地址动态学习:VTEP从VXLAN隧道上接收到远端VTEP发送的VXLAN报文后,根据VXLAN ID判断报文所属的VXLAN,对报文进行解封装,还原二层数据帧,并将数据帧中的源MAC地址(远端虚拟机的MAC地址)添加到所属VXLAN对应VSI的MAC地址表中,该MAC地址对应的接口为VXLAN隧道接口。
¡ 通过BGP EVPN学习:在VTEP上运行BGP EVPN,通过BGP EVPN将本地MAC地址及其所属的VXLAN信息通告给远端VTEP。远端VTEP接收到该信息后,在VXLAN对应VSI的MAC地址表中添加MAC地址表项。EVPN的详细介绍请参见“EVPN配置指导”。
¡ 通过OpenFlow下发:OpenFlow控制器以流表的形式向VTEP设备下发远端MAC地址表项。OpenFlow的详细介绍请参见“OpenFlow配置指导”。
通过不同方式学习到的远端MAC地址优先级由高到低依次为:
a. 静态配置、OpenFlow下发的MAC地址优先级相同,且优先级最高。
a. 通过BGP EVPN学习的MAC地址优先级次之。
b. 动态学习的MAC地址优先级最低。
完成本地和远端MAC地址学习后,VTEP在VXLAN内转发单播流量的过程如下所述。
对于站点内流量,VTEP判断出报文所属的VSI后,根据目的MAC地址查找该VSI的MAC地址表,从相应的本地接口转发给目的VM。
如图1-4所示,VM 1(MAC地址为MAC 1)发送以太网帧到VM 4(MAC地址为MAC 4)时,VTEP 1从接口Interface A收到该以太网帧后,判断该数据帧属于VSI A(VXLAN 10),查找VSI A的MAC地址表,得到MAC 4的出接口为Interface B,所在VLAN为VLAN 10,则将以太网帧从接口Interface B的VLAN 10内发送给VM 4。
如图1-5所示,以VM 1(MAC地址为MAC 1)发送以太网帧给VM 7(MAC地址为MAC 7)为例,站点间单播流量的转发过程为:
(1) VM 1发送以太网数据帧给VM 7,数据帧的源MAC地址为MAC 1,目的MAC为MAC 7,VLAN ID为2。
(2) VTEP 1从接口Interface A(所在VLAN为VLAN 2)收到该数据帧后,判断该数据帧属于VSI A(VXLAN 10),查找VSI A的MAC地址表,得到MAC 7的出端口为Tunnel1。
(3) VTEP 1为数据帧封装VXLAN头、UDP头和IP头后,将封装好的报文通过VXLAN隧道Tunnel1、经由P设备发送给VTEP 2。
(4) VTEP 2接收到报文后,根据报文中的VXLAN ID判断该报文属于VXLAN 10,并剥离VXLAN头、UDP头和IP头,还原出原始的数据帧。
(5) VTEP 2查找与VXLAN 10对应的VSI A的MAC地址表,得到MAC 7的出端口为Interface A(所在VLAN为VLAN 20)。
(6) VTEP 2从接口Interface A的VLAN 20内将数据帧发送给VM 7。
VTEP从本地站点接收到泛洪流量(组播、广播和未知单播流量)后,将其转发给除接收接口外的所有本地接口和VXLAN隧道。为了避免环路,VTEP从VXLAN隧道上接收到报文后,不会再将其泛洪到其他的VXLAN隧道,只会转发给所有本地接口。
根据复制方式的不同,流量泛洪方式分为单播路由方式(头端复制)和泛洪代理方式(服务器复制)。
如图1-6所示,VTEP负责复制报文,采用单播方式将复制后的报文通过本地接口发送给本地站点,并通过VXLAN隧道发送给VXLAN内的所有远端VTEP。
数据中心网络中需要通过IP核心网络进行二层互联的站点较多时,采用泛洪代理方式可以在没有组播协议参与的情况下,节省泛洪流量对核心网络带宽资源的占用。
如图1-7所示,在泛洪代理方式下,同一个VXLAN内的所有VTEP都通过手工方式与代理服务器建立隧道。VTEP接收到泛洪流量后,不仅在本地站点内泛洪,还会将其发送到代理服务器,由代理服务器转发到其他远端VTEP。
目前泛洪代理方式主要用于SDN网络,使用虚拟服务器作为泛洪代理服务器。采用泛洪代理方式时,需要在VTEP上进行如下配置:
· 使用vxlan tunnel mac-learning disable命令关闭远端MAC地址自动学习功能,采用SDN控制器下发的MAC地址表项进行流量转发。
· 在网络侧接口上使用undo mac-address static source-check enable命令关闭报文入接口与静态MAC地址表项匹配检查功能。
接入模式分为VLAN接入模式和Ethernet接入模式两种。
在该模式下,从本地站点接收到的和发送给本地站点的以太网帧必须带有VLAN Tag。
· VTEP从本地站点接收到以太网帧后,删除该帧的所有VLAN Tag,再转发该数据帧;
· VTEP发送以太网帧到本地站点时,为其添加本地站点的VLAN Tag。
采用该模式时,VTEP不会传递VLAN Tag信息,不同站点可以独立地规划自己的VLAN,不同站点的不同VLAN之间可以互通。
为了避免广播发送的ARP请求或组播发送的ND请求报文占用核心网络带宽,VTEP从本地站点或VXLAN隧道接收到ARP/ND请求和ARP/ND应答报文后,根据该报文在本地建立ARP/ND泛洪抑制表项。后续当VTEP收到本站点内虚拟机请求其它虚拟机MAC地址的ARP/ND请求时,优先根据ARP/ND泛洪抑制表项进行代答。如果没有对应的表项,则将ARP/ND请求泛洪到核心网。ARP/ND泛洪抑制功能可以大大减少ARP/ND泛洪的次数。
图1-8 ARP泛洪抑制示意图
如图1-8所示,以ARP为例,泛洪抑制的处理过程如下:
(1) 虚拟机VM 1发送ARP请求,获取VM 7的MAC地址。
(2) VTEP 1根据接收到的ARP请求,建立VM 1的ARP泛洪抑制表项,并在VXLAN内泛洪该ARP请求(图1-8以单播路由泛洪方式为例)。
(3) 远端VTEP(VTEP 2和VTEP 3)解封装VXLAN报文,获取原始的ARP请求报文后,建立VM 1的ARP泛洪抑制表项,并在本地站点的指定VXLAN内泛洪该ARP请求。
(4) VM 7接收到ARP请求后,回复ARP应答报文。
(5) VTEP 2接收到ARP应答后,建立VM 7的ARP泛洪抑制表项,并通过VXLAN隧道将ARP应答发送给VTEP 1。
(6) VTEP 1解封装VXLAN报文,获取原始的ARP应答,并根据该应答建立VM 7的ARP泛洪抑制表项,之后将ARP应答报文发送给VM 1。
(7) 在VTEP 1上建立ARP泛洪抑制表项后,虚拟机VM 4发送ARP请求,获取VM 1或VM 7的MAC地址。
(8) VTEP 1接收到ARP请求后,建立VM 4的ARP泛洪抑制表项,并查找本地ARP泛洪抑制表项,根据已有的表项回复ARP应答报文,不会对ARP请求进行泛洪。
(9) 在VTEP 3上建立ARP泛洪抑制表项后,虚拟机VM 10发送ARP请求,获取VM 1的MAC地址。
(10) VTEP 3接收到ARP请求后,建立VM 10的ARP泛洪抑制表项,并查找本地ARP泛洪抑制表项,根据已有的表项回复ARP应答报文,不会对ARP请求进行泛洪。
VXLAN可以为分散的物理站点提供二层互联。如果要为VXLAN站点内的虚拟机提供三层业务,则需要在网络中部署VXLAN IP网关,以便站点内的虚拟机通过VXLAN IP网关与外界网络或其他VXLAN网络内的虚拟机进行三层通信。
VXLAN IP网关的详细介绍,请参见“VXLAN配置指导”中的“VXLAN IP网关”。
目前,本功能仅支持IPv4站点网络和IPv4网络作为Underlay网络。
VXLAN利用M-LAG将两台物理设备连接起来虚拟成一台设备,使用该虚拟设备作为VTEP(既可以是仅用于二层转发的VTEP,也可以是VXLAN IP网关),可以避免VTEP单点故障对网络造成影响,从而提高VXLAN网络的可靠性。M-LAG的详细介绍,请参见“二层技术-以太网交换配置指导”中的“M-LAG”。
图1-9 VXLAN支持M-LAG组网图
如图1-9所示,VXLAN支持M-LAG功能的工作机制包括:
· 同步MAC地址和ARP信息
作为M-LAG设备的两台VTEP通过peer-link链路连接,在peer-link链路上同步MAC地址和ARP信息,以确保两台VTEP上的MAC地址和ARP信息保持一致。peer-link链路连接既可以是以太网聚合链路,也可以是VXLAN隧道。作为peer-link链路的以太网聚合链路称为直连模式peer-link链路,作为peer-link链路的VXLAN隧道称为隧道模式peer-link链路。
作为peer-link链路的VXLAN隧道自动与设备上的所有VXLAN关联。
· 使用相同的隧道源IP地址
作为M-LAG设备的两台VTEP使用相同的隧道源IP地址,与其他VTEP设备建立VXLAN隧道。
· 备份双挂AC的用户侧链路
在用户侧,两台VTEP均通过以太网链路接入同一台虚拟机,跨设备在两条链路间建立二层聚合接口,将该聚合接口配置为AC(在聚合接口上创建以太网服务实例、配置报文匹配规则并关联以太网服务实例与VSI),则该AC称为双挂AC。VXLAN支持M-LAG组网中采用双挂AC,来避免单条以太网链路故障导致虚拟机无法访问网络。
¡ 采用直连模式peer-link链路时,用户侧链路备份机制为:将二层聚合接口配置为AC后,VTEP会在peer-link链路上自动创建具有相同报文匹配规则、关联相同VSI的AC。当一台VTEP上的AC故障后,从VXLAN隧道上接收到的、发送给该AC的报文将通过peer-link链路转发到另一台VTEP,该VTEP根据peer-link链路上配置的AC判断报文所属VSI,并转发该报文,从而保证转发不中断。
¡ 采用隧道模式peer-link链路时,用户侧链路备份机制为:如果一台VTEP上的AC故障,则该VTEP从VXLAN隧道上接收到发送给故障AC的报文后,为报文添加VXLAN封装,封装的VXLAN ID为故障AC所属VSI对应的VXLAN ID,并通过作为peer-link链路的VXLAN隧道将其转发到另一台VTEP。该VTEP根据VXLAN ID判断报文所属的VSI,并转发该报文。
· 单挂AC互通
在VXLAN支持M-LAG组网中,组成M-LAG系统的两台VTEP上AC配置可能不一致,若某个AC仅连接到其中一台VTEP,则该AC称为单挂AC。组成M-LAG系统的两台VTEP下不同单挂AC的互通通过peer-link链路来实现。
¡ 采用直连模式peer-link链路时,单挂AC互通机制为:将接口配置为单挂AC后,VTEP会在peer-link链路上自动创建具有相同报文匹配规则、关联相同VSI的AC。当从单挂AC上收到报文后,将通过peer-link链路转发到另一台VTEP,该VTEP根据peer-link链路上配置的AC判断报文所属VSI,并转发该报文。
¡ 采用隧道模式peer-link链路时,单挂AC互通机制为:当从单挂AC上收到报文后,为报文添加VXLAN封装,封装的VXLAN ID为单挂AC所属VSI对应的VXLAN ID,并通过作为peer-link链路的VXLAN隧道将其转发到另一台VTEP。该VTEP根据VXLAN ID判断报文所属的VSI,并转发该报文。
与VXLAN相关的协议规范有:
· RFC 7348:Virtual eXtensible Local Area Network (VXLAN): A Framework for Overlaying Virtualized Layer 2 Networks over Layer 3 Networks
以太网服务实例不支持生成树功能。以太网服务实例所在的端口开启了生成树功能后,该以太网服务实例不能根据生成树的计算结果进行状态变化(如阻塞或维持正常转发状态等)。
目前,暂不支持基于IPv6 Underlay网络的VXLAN组网承载IPv4用户流量。
在S9827系列交换机上具有如下限制:
· 在开启了L2VPN的设备上,如果该设备从三层以太网接口/三层聚合接口或它们的子接口收到了携带VXLAN封装的报文,则该报文会被丢弃,无法根据VXLAN的外层封装进行普通二三层转发。
· 不支持在VXLAN网络中配置如下功能:
¡ VSI下的MQC方式QoS功能。QoS的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
¡ 将报文镜像到VXLAN隧道中。镜像的详细介绍,请参见“网络管理和监控配置指导”中的“镜像”。
¡ 设置策略路由的报文转发下一跳时,将下一跳配置为VXLAN隧道接口地址。策略路由的详细介绍,请参见“三层技术-IP路由配置指导”中的“策略路由”和“IPv6策略路由”。
VXLAN组网中,需要在VTEP上进行如下配置:
(1) 创建VSI和VXLAN
(2) 配置VXLAN隧道
(4) 建立数据帧与VSI的关联
(5) (可选)管理本地和远端MAC地址
(6) (可选)配置VXLAN报文相关功能
(7) (可选)减少发送到核心网的泛洪流量
¡ 配置ND泛洪抑制
(8) (可选)开启VXLAN支持M-LAG功能
(9) 维护VXLAN网络
在VXLAN组网中,IP核心网络中的设备上需要配置路由协议,确保VTEP之间路由可达。
如果在VSI视图下同时执行了restrain命令和bandwidth命令且通过restrain命令配置的抑制带宽为非0值,则bandwidth命令生效。
(1) 进入系统视图。
system-view
(2) 开启L2VPN功能。
l2vpn enable
缺省情况下,L2VPN功能处于关闭状态。
(3) 创建VSI,并进入VSI视图。
vsi vsi-name
(4) 开启VSI。
undo shutdown
缺省情况下,VSI处于开启状态。
(5) 创建VXLAN,并进入VXLAN视图。
vxlan vxlan-id
在一个VSI下只能创建一个VXLAN。
不同VSI下创建的VXLAN,其VXLAN ID不能相同。
(6) (可选)配置VSI相关参数。
a. 退回VSI视图。
quit
b. (可选)配置VSI的描述信息。
description text
缺省情况下,未配置VSI的描述信息。
c. 配置VSI的MTU值。
mtu size
缺省情况下,VSI的MTU值为1500字节。
d. 配置VSI的广播、组播或未知单播抑制带宽。
restrain { broadcast | multicast | unknown-unicast } bandwidth
缺省情况下,不抑制VSI的广播、未知组播和未知单播流量。
仅R9323及以上版本支持本配置。
e. 开启VSI的MAC地址学习功能。
mac-learning enable
缺省情况下,VSI的MAC地址学习功能处于开启状态。
手工创建VXLAN隧道时,隧道的源端地址和目的端地址需要分别手工指定为本地和远端VTEP的接口地址。
在同一台设备上,VXLAN隧道模式的不同Tunnel接口建议不要同时配置完全相同的目的端地址。
如果设备上配置了通过EVPN自动建立并关联VXLAN隧道,则隧道目的地址相同的EVPN自动创建隧道和手工创建隧道不能关联同一个VXLAN。EVPN的详细介绍请参见“EVPN配置指导”。
关于隧道的详细介绍及Tunnel接口下的更多配置命令,请参见“接口管理配置指导”中的“隧道接口”。
(1) 进入系统视图。
system-view
(2) (可选)配置VXLAN隧道的全局源地址。
tunnel global source-address { ipv4-address | ipv6 ipv6-address }
缺省情况下,未配置VXLAN隧道的全局源地址。
如果隧道下未配置源地址或源接口,则隧道会使用全局源地址作为隧道的源地址。
(3) 创建模式为VXLAN隧道的Tunnel接口,并进入Tunnel接口视图。
interface tunnel tunnel-number mode vxlan [ ipv6 ]
在隧道的两端应配置相同的隧道模式,否则会造成报文传输失败。
(4) 配置隧道的源端地址。请选择其中一项进行配置。
¡ 直接指定隧道的源端地址。
source { ipv4-address | ipv6-address }
指定的地址将作为封装后VXLAN报文的源IP地址。
¡ 指定隧道的源接口。
source interface-type interface-number
指定接口的主IP地址将作为封装后VXLAN报文的源IP地址。
缺省情况下,未设置VXLAN隧道的源端地址。
(5) 配置隧道的目的端地址。
destination { ipv4-address | ipv6-address }
缺省情况下,未指定隧道的目的端地址。
隧道的目的端地址是对端设备上接口的IP地址,该地址将作为封装后VXLAN报文的目的地址。
一个VXLAN可以关联多条VXLAN隧道。一条VXLAN隧道可以关联多个VXLAN,这些VXLAN共用该VXLAN隧道,VTEP根据VXLAN报文中的VXLAN ID来识别隧道传递的报文所属的VXLAN。VTEP接收到某个VXLAN的泛洪流量后,如果采用单播路由泛洪方式,则VTEP将在与该VXLAN关联的所有VXLAN隧道上发送该流量,以便将流量转发给所有的远端VTEP;如果采用泛洪代理方式,则VTEP通过与该VXLAN关联、通过flooding-proxy参数开启了泛洪代理功能的VXLAN隧道将泛洪流量发送给泛洪代理服务器。
VTEP必须与相同VXLAN内的其它VTEP建立VXLAN隧道,并将该隧道与VXLAN关联。
(1) 进入系统视图。
system-view
(2) 进入VSI视图。
vsi vsi-name
(3) 进入VXLAN视图。
vxlan vxlan-id
(4) 配置VXLAN与VXLAN隧道关联。
tunnel { tunnel-number [ backup-tunnel tunnel-number | flooding-proxy ] | all }
缺省情况下,VXLAN未关联VXLAN隧道。
|
参数 |
说明 |
|
backup-tunnel tunnel-number |
本参数指定的隧道作为备用VXLAN隧道,为主用VXLAN隧道提供保护。当主用VXLAN隧道down时,VXLAN将启用备用VXLAN隧道 |
|
flooding-proxy |
如果指定了本参数,则VXLAN内的广播、组播和未知单播流量将通过该隧道发送到泛洪代理服务器,由代理服务器进行复制并转发到其他远端VTEP |
手工创建以太网服务实例,并将以太网服务实例与VSI关联后,从该接口接收到的、符合以太网服务实例报文匹配规则的报文,将通过查找关联VSI的MAC地址表进行转发。
本配置与以太网链路聚合功能互斥。二层以太网接口加入聚合组后,不能再将该接口上的以太网服务实例与VSI关联;反之亦然。
使用以太网服务实例进行CPU转发时,请确保以太网服务实例所属的端口的PVID不与该以太网服务实例匹配规则中配置的S-VID相同。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 手工创建以太网服务实例,并进入以太网服务实例视图。
service-instance instance-id
(4) 配置以太网服务实例的报文匹配规则。请选择其中一项进行配置。
¡ 匹配报文的外层VLAN tag。
encapsulation s-vid { vlan-id | vlan-id-list } [ only-tagged ]
¡ 匹配携带VLAN tag或不携带VLAN tag的所有报文。
encapsulation { tagged | untagged }
¡ 匹配未匹配到接口上其他以太网服务实例的所有报文。
encapsulation default
同一个接口上最多只能有一个服务实例的报文匹配规则为encapsulation default。
如果接口上只存在一个配置了encapsulation default规则的以太网服务实例,则该接口上的所有报文都匹配该以太网服务实例。
缺省情况下,未配置报文匹配规则。
(5) 将以太网服务实例与VSI关联。
xconnect vsi vsi-name [ access-mode { ethernet | vlan } ]
缺省情况下,以太网服务实例未关联VSI。
仅当以太网服务实例的报文匹配规则为匹配未携带VLAN标签的报文时,支持ethernet参数。
开启VLAN关联VXLAN功能,并在VLAN视图下配置与该VLAN关联的VXLAN后,如果存在属于该VLAN的接口,则自动在该接口上创建编号为当前VLAN ID、匹配外层VLAN tag为当前VLAN ID的以太网服务实例,并将该以太网服务实例与指定VXLAN对应的VSI关联,从而确保属于该VLAN的数据帧均通过指定的VSI转发。
EVPN M-LAG组网中,不能配置本功能。EVPN的详细介绍,请参见“EVPN配置指导”。
将VLAN与VXLAN关联后,该VLAN内将不能进行普通的二层转发,该VLAN对应的VLAN接口也不能进行三层转发。
与VXLAN关联的VLAN数目、允许这些VLAN通过的Trunk类型的端口数目较多时,AC创建和删除过程可能会耗费一定的时间,VXLAN、EVPN等相关操作需要等待AC创建、删除完成后才会响应。
本配置中指定的与VLAN关联的VXLAN需要通过vxlan命令创建。
(1) 进入系统视图。
system-view
(2) 开启VLAN关联VXLAN功能。
vxlan vlan-based
缺省情况下,VLAN关联VXLAN功能处于关闭状态。
(3) 进入VLAN视图。
vlan vlan-id
本配置中指定的VLAN不能为VLAN 1。
(4) 配置VLAN与指定的VXLAN关联。
vxlan vni vxlan-id
缺省情况下,未指定与VLAN关联的VXLAN。
本配置中指定的VXLAN ID不能为EVPN组网中的L3VNI。
本地MAC地址可以静态添加,也可以通过报文中的源MAC地址动态学习。在动态添加、删除本地MAC地址时,可以记录日志信息。
远端MAC地址表项的产生方法包括静态添加、根据接收到的VXLAN报文内封装的源MAC地址自动学习等。
请不要为EVPN动态创建的隧道配置静态远端MAC地址表项,避免出现如下问题:
· 如果公网侧接口down,设备将删除已创建的隧道,同时删除为该隧道配置的静态远端MAC地址表项,公网侧接口重新up后会自动重新建立隧道,但是无法恢复静态远端MAC地址表项;
· 如果执行了配置回滚操作,设备会重新创建隧道,新创建的隧道编号可能发生变化,造成配置回滚失败。
有关EVPN的介绍请参见“EVPN配置指导”。
(1) 进入系统视图。
system-view
(2) 添加静态本地MAC地址表项。
mac-address static mac-address interface interface-type interface-number service-instance instance-id vsi vsi-name
本命令中指定的以太网服务实例必须与指定的VSI关联,否则配置将失败
(3) 添加静态远端MAC地址表项。
mac-address static mac-address interface tunnel tunnel-number vsi vsi-name
interface tunnel interface-number参数指定的隧道接口必须与vsi vsi-name参数指定的VSI对应的VXLAN关联,否则配置将失败。
如果网络中存在攻击,为了避免学习到错误的远端MAC地址,可以手工关闭远端MAC地址自动学习功能,手动添加静态的远端MAC地址。
(1) 进入系统视图。
system-view
(2) 关闭远端MAC地址自动学习功能。
vxlan tunnel mac-learning disable
缺省情况下,远端MAC地址自动学习功能处于开启状态。
开启本地MAC地址的日志记录功能后,VXLAN会立即根据已经学习到的本地MAC地址表项生成日志信息,之后在增加或删除本地MAC地址时也将产生日志信息。生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。
(1) 进入系统视图。
system-view
(2) 开启本地MAC地址的日志记录功能。
vxlan local-mac report
缺省情况下,本地MAC地址的日志记录功能处于关闭状态。
system-view
(2) 配置VXLAN报文的目的UDP端口号。
vxlan udp-port port-number
缺省情况下,VXLAN报文的目的UDP端口号为4789。
属于同一个VXLAN的VTEP设备上需要配置相同的UDP端口号。
通过本配置可以实现对接收到的VXLAN报文的UDP校验和进行检查:UDP校验和检查:VTEP接收到VXLAN报文后,检查该报文的UDP校验和是否为0。若UDP校验和为0,则接收该报文;若UDP校验和不为0,则检查UDP检验和是否正确,正确则接收该报文;否则,丢弃该报文。
(1) 进入系统视图。
system-view
(2) 配置丢弃UDP校验和检查失败的VXLAN报文。
vxlan invalid-udp-checksum discard
缺省情况下,不会检查VXLAN报文的UDP校验和。
在建立单向IPv4/IPv6 VXLAN隧道的组网(即对端建立了指向本端的VXLAN隧道,但本端未建立指向对端的VXLAN隧道)中,本端从对端接收到VXLAN报文后,会因为无法解封装而丢弃该报文。配置本功能后,如果本端接收到的VXLAN报文的目的地址为指定源接口的IPv4/IPv6地址,则本端会解封装该报文,不会丢弃。
只有指定的接口上配置了IPv4/IPv6地址,本功能才生效。
如果在建立单向IPv4/IPv6 VXLAN隧道的组网中配置本功能后,又建立了以指定源接口下配置的IPv4/IPv6地址为源地址的、指向对端的IPv4/IPv6 VXLAN隧道,则本功能失效。
(1) 进入系统视图。
system-view
(2) 开启缺省解封装指定IPv4 VXLAN报文功能。
vxlan default-decapsulation source interface interface-type interface-number
缺省情况下,缺省解封装指定IPv4 VXLAN报文功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 开启缺省解封装指定IPv6 VXLAN报文功能。
vxlan ipv6 default-decapsulation source interface interface-type interface-number
缺省情况下,缺省解封装指定IPv6 VXLAN报文功能处于关闭状态。
ECN(Explicit Congestion Notification,显式拥塞通知)是一种端到端的网络拥塞通知机制,它允许网络在发生拥塞时不丢弃报文。通过配置本命令,用户可以将ECN技术应用到VXLAN/EVPN VXLAN网络中。配置本功能后,对于需要解封装的VXLAN报文,设备会将VXLAN报文外层IP头的ECN字段可以映射到报文内层IP头的ECN字段中;对于需要增加VXLAN封装的报文,设备会将原始报文IP头的ECN字段映射到报文外层IP头的ECN字段中,使内层IP头的ECN字段与外层IP头的ECN字段保持一致,保障报文在VXLAN网络发生拥塞时不丢弃报文。
(1) 进入系统视图。
system-view
(2) 开启VXLAN的ECN功能。
vxlan mapping-ecn enable
缺省情况下,VXLAN的ECN功能处于关闭状态。
缺省情况下,VTEP从本地站点内接收到目的MAC地址为广播、未知单播和未知组播的数据帧后,会在该VXLAN内除接收接口外的所有本地接口和VXLAN隧道上泛洪该数据帧,将该数据帧发送给VXLAN内的所有站点;VTEP从VXLAN隧道接收到目的MAC地址为广播、未知单播和未知组播的数据帧后,会在该VXLAN内的所有本地接口上泛洪该数据帧。通过本配置可以手工禁止某类数据帧在VXLAN内泛洪,以减少网络中的泛洪流量。
禁止通过VXLAN隧道向远端站点泛洪后,为了将某些单播或组播MAC地址的数据帧泛洪到远端站点以保证某些业务的流量在站点间互通,可以配置选择性泛洪的MAC地址,当数据帧的目的MAC地址匹配该MAC地址时,该数据帧可以泛洪到远端站点。
(1) 进入系统视图。
system-view
(2) 进入VSI视图。
vsi vsi-name
(3) 关闭VSI的泛洪功能。
flooding disable { all | { broadcast | unknown-multicast | unknown-unicast } * } [ all-direction | dci ]
缺省情况下,VSI泛洪功能处于开启状态。
数据中心互联场景中,如果只想禁止向数据中心间的VXLAN-DCI隧道泛洪,而数据中心内部的VXLAN隧道可以泛洪,请指定dci参数。
如果同时执行flooding disable命令关闭了VSI的泛洪功能,则建议通过mac-address timer命令配置动态MAC地址的老化时间大于25分钟(ARP泛洪抑制表项的老化时间),以免MAC地址在ARP泛洪抑制表项老化之前老化,产生黑洞MAC地址。
如果配置了vxlan tunnel arp-learning disable命令,则设备从VXLAN隧道上接收到ARP请求报文后,不会采用匹配的ARP泛洪抑制表项对其进行应答。
(1) 进入系统视图。
system-view
(2) 进入VSI视图。
vsi vsi-name
(3) (可选)配置ARP泛洪抑制模式。
arp suppression mode { proxy-reply | unicast-forward } [ mismatch-discard ]
缺省情况下,开启ARP泛洪抑制功能后,ARP泛洪抑制模式为设备代答模式。当ARP请求报文的目标IP地址不是本端设备的IP地址,且不能匹配本端设备的ARP泛洪抑制表项时,广播转发ARP请求报文。
(4) 开启ARP泛洪抑制功能。
arp suppression enable [ no-broadcast ]
缺省情况下,ARP泛洪抑制功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入VSI视图。
vsi vsi-name
(3) (可选)配置ND泛洪抑制模式。
ipv6 nd suppression mode { proxy-reply | unicast-forward } [ mismatch-discard ]
缺省情况下,开启ND泛洪抑制功能后,ND泛洪抑制模式为设备代答模式。当NS报文的目标IPv6地址不是本端设备的IPv6地址,且不能匹配本端设备的ND泛洪抑制表项时,广播转发NS报文。
(4) 开启ND泛洪抑制功能。
ipv6 nd suppression enable [ no-broadcast ]
缺省情况下,ND泛洪抑制功能处于关闭状态。
VXLAN利用M-LAG将两台物理设备连接起来虚拟成一台设备,使用该虚拟设备作为VTEP(既可以是仅用于二层转发的VTEP,也可以是VXLAN IP网关),可以避免VTEP单点故障对网络造成影响,从而提高VXLAN网络的可靠性。
在VXLAN支持M-LAG组网中不支持部署二层组播功能。
作为M-LAG设备的两台VTEP必须使用相同的隧道源IP地址与其他VTEP设备建立VXLAN隧道。
配置采用以太网聚合链路作为IPL的VXLAN分布式聚合时,需要注意:
· 根据用户侧以太网服务实例的报文匹配规则创建IPL上的AC时,用户侧以太网服务实例配置的报文匹配规则只能为匹配报文的外层VLAN tag(encapsulation s-vid { vlan-id | vlan-id-list })、匹配不携带VLAN tag的所有报文(encapsulation untagged),且AC的接入模式必须为VLAN模式。采用VXLAN ID映射方式生成IPL上动态AC的报文匹配规则,则无此限制。
· 配置相同报文匹配规则的以太网服务实例必须关联相同的VSI。
· 分布式聚合的两台VTEP上,同一DR口以及单挂AC口上以太网服务实例的匹配规则、关联的VSI对应的VXLAN ID必须一致,且只能采用手工方式创建AC。
配置采用VXLAN隧道作为IPL的VXLAN分布式聚合时,需要注意:
· 建议为VXLAN隧道和作为IPL的VXLAN隧道配置不同的物理接口作为隧道出接口。
· 建议在作为IPL的VXLAN隧道接口上执行tunnel tos命令为封装后的隧道报文配置较高的优先级(数值越大,优先级越高),以确保该隧道上传递的DRCP(Distributed Relay Control Protocol,分布式聚合控制协议)等协议报文的优先级高于其他隧道上传递的普通数据报文。
· 在作为IPL的VXLAN隧道对应的二层以太网接口上关闭STP功能,以免上行设备错误地阻塞连接DR device的接口。
· 分布式聚合的两台VTEP上,DR口的以太网服务实例匹配规则、关联的VSI对应的VXLAN ID必须一致,且只能采用手工方式创建AC。
作为M-LAG设备的VTEP从M-LAG接口学习到本地MAC地址,并通过peer-link链路将MAC地址同步给远端VTEP(另一台M-LAG设备)后,在本端VTEP上手动删除MAC地址表项,远端VTEP(M-LAG设备)上的MAC地址表项不会随之删除,只能等待MAC地址老化时间到达后,才会删除远端VTEP上的表项。
配置VXLAN的前,需要完成VXLAN相关配置。
(1) 配置M-LAG。
M-LAG的配置方法请参见“二层技术-以太网交换配置指导”中的“M-LAG”。
(2) 配置保留接口。
m-lag mad exclude interface interface-type interface-number
缺省情况下,未配置保留接口。
为了避免M-LAG协议将接口置为M-LAG MAD DOWN状态,所有参与VXLAN业务的接口(VSI虚接口、Keepalive链路的接口、VXLAN隧道的公网出接口)配置为保留接口。采用隧道模式peer-link链路时,需要将该隧道配置为保留接口。
本命令的详细介绍,请参见“二层技术-以太网交换命令参考”中的“M-LAG”。
(3) 配置M-LAG的延迟恢复时间
m-lag restore-delay value
缺省情况下,定时器超时时间为30秒。
在VXLAN支持M-LAG组网中,需要配置延迟恢复时间大于等于180秒。
本命令的详细介绍,请参见“二层技术-以太网交换命令参考”中的“M-LAG”。
(4) (可选)采用直连模式peer-link链路时,配置通过VXLAN ID映射方式生成peer-link链路上动态AC的报文匹配规则。
l2vpn m-lag peer-link ac-match-rule vxlan-mapping
缺省情况下,采用直连模式peer-link链路时,peer-link链路上动态AC的报文匹配规则与用户侧链路上AC的报文匹配规则相同。
peer-link链路上根据用户侧AC创建AC时,匹配相同外层VLAN Tag的不同以太网服务实例必须关联相同的VSI;采用VXLAN ID映射方式时,VTEP上创建的VXLAN的ID不能大于16000000。
本命令的详细介绍,请参见“EVPN”中的“EVPN命令”。
对于S9827系列交换机,当硬件资源模式为EM模式时,不支持VXLAN流量统计。有关EM模式的详细介绍,请参见“设备管理命令参考”中的“硬件资源管理”。
本配置用来开启VSI的报文统计功能,用户可以使用display l2vpn vsi verbose命令查看VSI的报文统计信息,使用reset l2vpn statistics vsi命令清除VSI的报文统计信息。
(1) 进入系统视图。
system-view
(2) 进入VXLAN所在VSI视图。
vsi vsi-name
(3) 开启VSI的报文统计功能。
statistics enable
缺省情况下,VSI的报文统计功能处于关闭状态。
只有为以太网服务实例配置了报文匹配方式并绑定了VSI实例,以太网服务实例的报文统计功能才会生效。如果在报文统计过程中修改报文匹配方式或绑定的VSI实例,则报文统计重新开始。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 进入以太网服务实例视图。
service-instance instance-id
(4) 开启以太网服务实例的报文统计功能。
statistics enable
缺省情况下,以太网服务实例的报文统计功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 开启VLAN下对应AC的报文统计功能。
ac statistics enable
缺省情况下,VLAN下对应AC的报文统计功能处于关闭状态。
本功能用来对VLAN与VXLAN关联方式下自动生成的AC进行报文统计。开启本功能前,必须先执行vxlan vlan-based命令开启VLAN关联VXLAN功能。
通过本功能配置的流量统计信息收集时间间隔对VSI的报文统计、AC的报文统计和VXLAN隧道的报文统计功能均生效。
(1) 进入系统视图。
system-view
(2) 设置L2VPN统计信息收集的时间间隔。
l2vpn statistics interval interval
缺省情况下,L2VPN统计信息收集的时间间隔为15分钟。
可在任意视图下执行以下命令:
· 显示Tunnel接口信息。
display interface [ tunnel [ number ] ] [ brief [ description | down ] ]
本命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“隧道”。
· 显示VXLAN关联的VXLAN隧道信息。
display vxlan tunnel [ vxlan-id vxlan-id ]
本命令的详细介绍,请参见“接口管理命令参考”中的“隧道接口”。
可在任意视图下执行以下命令,显示以太网服务实例的信息。
display l2vpn service-instance [ interface interface-type interface-number [ service-instance instance-id ] ] [ verbose ]
可在任意视图下执行以下命令:
· 显示VSI的信息。
display l2vpn vsi [ name vsi-name | vxlan ] [ count | verbose ]
· 显示与VSI关联的三层接口的L2VPN信息。
display l2vpn interface [ vsi vsi-name | interface-type interface-number ] [ verbose ]
可在任意视图下执行以下命令,显示VSI的MAC地址表信息。
display l2vpn mac-address [ vsi vsi-name ] [ dynamic ] [ count | verbose ]
请在用户视图下执行以下命令,清除VSI动态学习的MAC地址表项。
reset l2vpn mac-address [ vsi vsi-name ]
可在任意视图下执行以下命令,显示VSI的ARP泛洪抑制表项信息。
display arp suppression vsi [ name vsi-name ] [ slot slot-number [ cpu cpu-number ] ] [ count ]
请在用户视图下执行以下命令,清除VSI的ARP泛洪抑制表项。
reset arp suppression vsi [ name vsi-name ]
可在任意视图下执行以下命令,显示VSI的ND泛洪抑制表项信息。
display ipv6 nd suppression vsi [ name vsi-name ] [ slot slot-number ] [ count ]
请在用户视图下执行以下命令,清除VSI的ND泛洪抑制表项。
reset ipv6 nd suppression vsi [ name vsi-name ]
请在用户视图下执行以下命令,清除VSI的报文统计信息。
reset l2vpn statistics vsi [ name vsi-name ]
可在任意视图下执行以下命令,显示L2VPN的AC转发信息。
display l2vpn forwarding ac [ vsi vsi-name ] [ slot slot-number [ cpu cpu-number ] ] [ verbose ]
请在用户视图下执行以下命令,清除AC的报文统计信息。
reset l2vpn statistics ac [ interface interface-type interface-number service-instance instance-id ]
Switch A、Switch B、Switch C为与服务器连接的VTEP设备。虚拟机VM 1、VM 2和VM 3同属于VXLAN 10。通过VXLAN实现不同站点间的二层互联,确保虚拟机在站点之间进行迁移时用户的访问流量不会中断。
具体需求为:
· 不同VTEP之间手工建立VXLAN隧道。
· 手工关联VXLAN和VXLAN隧道。
· 通过源MAC地址动态学习远端MAC地址表项。
· 站点之间的泛洪流量采用头端复制的方式转发。
图2-1 VXLAN头端复制组网图
(1) 配置IP地址和单播路由协议
配置各接口的IP地址和子网掩码,并在IP核心网络内配置OSPF协议,具体配置过程略。
(2) 配置Switch A
# 开启L2VPN能力。
<SwitchA> system-view
[SwitchA] l2vpn enable
# 创建VSI实例vpna和VXLAN 10。
[SwitchA] vsi vpna
[SwitchA-vsi-vpna] vxlan 10
[SwitchA-vsi-vpna-vxlan-10] quit
[SwitchA-vsi-vpna] quit
# 配置接口Loopback0的IP地址,作为隧道的源端地址。
[SwitchA] interface loopback 0
[SwitchA-Loopback0] ip address 1.1.1.1 255.255.255.255
[SwitchA-Loopback0] quit
# 在Switch A和Switch B之间建立VXLAN隧道:
¡ 创建模式为VXLAN的隧道接口Tunnel1
¡ 指定隧道的源端地址为本地接口Loopback0的地址1.1.1.1
¡ 指定隧道的目的端地址为Switch B上接口Loopback0的地址2.2.2.2。
[SwitchA] interface tunnel 1 mode vxlan
[SwitchA-Tunnel1] source 1.1.1.1
[SwitchA-Tunnel1] destination 2.2.2.2
[SwitchA-Tunnel1] quit
# 在Switch A和Switch C之间建立VXLAN隧道。
[SwitchA] interface tunnel 2 mode vxlan
[SwitchA-Tunnel2] source 1.1.1.1
[SwitchA-Tunnel2] destination 3.3.3.3
[SwitchA-Tunnel2] quit
# 配置Tunnel1和Tunnel2与VXLAN 10关联。
[SwitchA] vsi vpna
[SwitchA-vsi-vpna] vxlan 10
[SwitchA-vsi-vpna-vxlan-10] tunnel 1
[SwitchA-vsi-vpna-vxlan-10] tunnel 2
[SwitchA-vsi-vpna-vxlan-10] quit
[SwitchA-vsi-vpna] quit
# 在接入服务器的接口FourHundredGigE1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN 2的数据帧。
[SwitchA] interface fourhundredgige 1/0/1
[SwitchA-FourHundredGigE1/0/1] service-instance 1000
[SwitchA-FourHundredGigE1/0/1-srv1000] encapsulation s-vid 2
# 配置以太网服务实例1000与VSI实例vpna关联。
[SwitchA-FourHundredGigE1/0/1-srv1000] xconnect vsi vpna
[SwitchA-FourHundredGigE1/0/1-srv1000] quit
[SwitchA-FourHundredGigE1/0/1] quit
(3) 配置Switch B
# 开启L2VPN能力。
<SwitchB> system-view
[SwitchB] l2vpn enable
# 创建VSI实例vpna和VXLAN 10。
[SwitchB] vsi vpna
[SwitchB-vsi-vpna] vxlan 10
[SwitchB-vsi-vpna-vxlan-10] quit
[SwitchB-vsi-vpna] quit
# 配置接口Loopback0的IP地址,作为隧道的源端地址。
[SwitchB] interface loopback 0
[SwitchB-Loopback0] ip address 2.2.2.2 255.255.255.255
[SwitchB-Loopback0] quit
# 在Switch A和Switch B之间建立VXLAN隧道。
[SwitchB] interface tunnel 2 mode vxlan
[SwitchB-Tunnel2] source 2.2.2.2
[SwitchB-Tunnel2] destination 1.1.1.1
[SwitchB-Tunnel2] quit
# 在Switch B和Switch C之间建立VXLAN隧道。
[SwitchB] interface tunnel 3 mode vxlan
[SwitchB-Tunnel3] source 2.2.2.2
[SwitchB-Tunnel3] destination 3.3.3.3
[SwitchB-Tunnel3] quit
# 配置Tunnel2和Tunnel3与VXLAN10关联。
[SwitchB] vsi vpna
[SwitchB-vsi-vpna] vxlan 10
[SwitchB-vsi-vpna-vxlan-10] tunnel 2
[SwitchB-vsi-vpna-vxlan-10] tunnel 3
[SwitchB-vsi-vpna-vxlan-10] quit
[SwitchB-vsi-vpna] quit
# 在接入服务器的接口FourHundredGigE1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN 2的数据帧。
[SwitchB] interface fourhundredgige 1/0/1
[SwitchB-FourHundredGigE1/0/1] service-instance 1000
[SwitchB-FourHundredGigE1/0/1-srv1000] encapsulation s-vid 2
# 配置以太网服务实例1000与VSI实例vpna关联。
[SwitchB-FourHundredGigE1/0/1-srv1000] xconnect vsi vpna
[SwitchB-FourHundredGigE1/0/1-srv1000] quit
[SwitchB-FourHundredGigE1/0/1] quit
(4) 配置Switch C
# 开启L2VPN能力。
<SwitchC> system-view
[SwitchC] l2vpn enable
# 创建VSI实例vpna和VXLAN 10。
[SwitchC] vsi vpna
[SwitchC-vsi-vpna] vxlan 10
[SwitchC-vsi-vpna-vxlan-10] quit
[SwitchC-vsi-vpna] quit
# 配置接口Loopback0的IP地址,作为隧道的源端地址。
[SwitchC] interface loopback 0
[SwitchC-Loopback0] ip address 3.3.3.3 255.255.255.255
[SwitchC-Loopback0] quit
# 在Switch A和Switch C之间建立VXLAN隧道。
[SwitchC] interface tunnel 1 mode vxlan
[SwitchC-Tunnel1] source 3.3.3.3
[SwitchC-Tunnel1] destination 1.1.1.1
[SwitchC-Tunnel1] quit
# 在Switch B和Switch C之间建立VXLAN隧道。
[SwitchC] interface tunnel 3 mode vxlan
[SwitchC-Tunnel3] source 3.3.3.3
[SwitchC-Tunnel3] destination 2.2.2.2
[SwitchC-Tunnel3] quit
# 配置Tunnel1和Tunnel3与VXLAN 10关联。
[SwitchC] vsi vpna
[SwitchC-vsi-vpna] vxlan 10
[SwitchC-vsi-vpna-vxlan-10] tunnel 1
[SwitchC-vsi-vpna-vxlan-10] tunnel 3
[SwitchC-vsi-vpna-vxlan-10] quit
[SwitchC-vsi-vpna] quit
# 在接入服务器的接口FourHundredGigE1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN 2的数据帧。
[SwitchC] interface fourhundredgige 1/0/1
[SwitchC-FourHundredGigE1/0/1] service-instance 1000
[SwitchC-FourHundredGigE1/0/1-srv1000] encapsulation s-vid 2
# 配置以太网服务实例1000与VSI实例vpna关联。
[SwitchC-FourHundredGigE1/0/1-srv1000] xconnect vsi vpna
[SwitchC-FourHundredGigE1/0/1-srv1000] quit
[SwitchC-FourHundredGigE1/0/1] quit
(1) 验证VTEP设备(下文以Switch A为例,其它设备验证方法与此类似)
# 查看Switch A上的Tunnel接口信息,可以看到VXLAN模式的Tunnel接口处于up状态。
[SwitchA] display interface tunnel 1
Tunnel1
Current state: UP
Line protocol state: UP
Description: Tunnel1 Interface
Bandwidth: 64 kbps
Maximum transmission unit: 1464
Internet protocol processing: Disabled
Last clearing of counters: Never
Tunnel source 1.1.1.1, destination 2.2.2.2
Tunnel protocol/transport UDP_VXLAN/IP
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 0 packets, 0 bytes, 0 drops
Output: 0 packets, 0 bytes, 0 drops
# 查看Switch A上的VSI信息,可以看到VSI内创建的VXLAN、与VXLAN关联的VXLAN隧道、与VSI关联的以太网服务实例等信息。
[SwitchA] display l2vpn vsi verbose
VSI Name: vpna
VSI Index : 0
VSI State : Up
MTU : -
Bandwidth : -
Broadcast Restrain : -
Multicast Restrain : -
Unknown Unicast Restrain: -
MAC Learning : Enabled
MAC Table Limit : -
MAC Learning rate : -
Drop Unknown : -
PW Redundancy Mode : Slave
Flooding : Enabled
ESI : 0000.0000.0000.0000.0000
Redundancy Mode : All-active
Statistics : Disabled
VXLAN ID : 10
Tunnels:
Tunnel Name Link ID State Type Flood proxy
Tunnel1 0x5000001 Up Manual Disabled
Tunnel2 0x5000002 Up Manual Disabled
ACs:
AC Link ID State Type
GE1/0/1 srv1000 0x0 Up Manual
Statistics: Disabled
# 查看Switch A上VSI的MAC地址表项信息,可以看到已学习到的MAC地址信息。
<SwitchA> display l2vpn mac-address
MAC Address State VSI Name Link ID/Name Aging
cc3e-5f9c-6cdb Dynamic vpna Tunnel1 Aging
cc3e-5f9c-23dc Dynamic vpna Tunnel2 Aging
--- 2 mac address(es) found ---
(2) 验证主机
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
