CE設備的VXLAN功能使用License控制。
1.1 配置 VXLAN 隧道模式並使能 VXLAN 的 ACL 擴展功能
【】
ip tunnel mode vxlan,配置隧道模式為VXLAN。缺省為VXLAN。
【】
assign forward nvo3 acl extend enable,使能VXLAN的ACL擴展功能。缺省未使能。
以上兩條命令完成后,需要重啟設備才能生效。
【】
load-balance ecmp #進入ECMP視圖。
【ecmp】
hashmode 5 #配置ECMP負載分擔的HASH算法,5為源目IP+源目端口。
1.2 配置 VXLAN 業務接入點,BD、子接口
VAP(Virtual Access Point)vxlan業務虛擬接入點。
當業務接入點是二層子接口時,通過在二層子接口上配置不同的流封裝類型以實現不同的接口接入不同的數據報文,將二層子接口關聯廣播域BD(Bridge-Domain)后,可實現數據報文通過BD轉發。BD大致對應華三的VSI。
【】
bridge-domain bd-id #用來創建廣播域橋域BD(Bridge Domain)並進入BD視圖,或直接進入已經存在的BD視圖。BD-ID本地有效,用以連接vlan和vxlan【可以通過L2子接口、vlan方式配置關聯】。同一個BD即是一個廣播域。
在VXLAN網絡中,將虛擬廣播域VN(Virtual Network)對應的VNI(VXLAN Network Identifier)以1:1方式映射到廣播域BD,BD成為VXLAN網絡的實體,通過BD轉發流量。
后續任務
基於BD,可通過命令
interface vbdif bd-id 創建三層邏輯接口VBDIF接口。廣播域BD的功能類似於廣播域VLAN,VBDIF接口類似VLANIF接口,可將二層業務終結后,接入三層業務。
可選【bd】
split-horizon enable,配置基於BD的水平分割功能。缺省去使能。當不同成員口通過BD在VXLAN網絡中轉發數據報文時,為了減少廣播,需要在沒有互訪需求的成員口之間進行隔離。通過執行該命令能夠隔離同一BD域內不同成員口之間的流量轉發,包括單播、廣播、組播。
可選【接口】
port nvo3 mode access,指定端口模式為VXLAN網絡接入端口,從而允許攜帶VXLAN報文目的UDP端口號(缺省值為4789)的普通IP報文接入VXLAN網絡。缺省情況下,未指定端口模式為VXLAN網絡接入端口,即攜帶VXLAN報文目的UDP端口號(缺省值為4789)的普通IP報文不能接入VXLAN網絡。
1.通過配置二層子接口的方式來關聯 Vxlan 和 VLAN,可利用BD廣播域使本地不同vlan的L2子接口間二層互通【SDN控制器下發配置,就是通過二層子接口】:
【】
interface internum.subnum
mode L2,創建二層子接口並進入二層子接口視圖。VXLAN將業務接入點定義為二層子接口,只有二層子接口才能接入業務。
【L2子接口】
bridge-domain bd-id,將二層子接口加入BD(Bridge Domain)。BD創建后,為了保證業務報文在BD內轉發,必須將二層子接口加入BD。每個二層子接口唯一屬於一個BD。
【L2子接口】
encapsulation { dot1q [ vid low* [ to high* ] ] | default | untag | qinq [ vid pe-vid ce-vid ce-vid ]},配置二層子接口允許通過的流類型。
Dot1q為一層vlan tag,或是二層tag幀的外層tag。封裝進入vxlan網絡時,將剝離報文原有的vlan tag。對vxlan報文解封裝轉發時,將添加配置的vlan tag。Dot1q二層子接口的VLAN ID值可以為一個范圍段,該情況下,接口會對報文進行透傳,不會剝離VLAN。
default為不區分tag,此物理接口下所有報文全部接入。封裝解封裝時,對報文原有的tag不做處理。
untag發送報文時,會把最外層tag剝離掉。一個物理接口下,只能配置一個untag子接口。封裝解封裝時,對報文原有的tag不做處理。
- 該類型接口在對原始報文進行VXLAN封裝時,會剝離最外層的VLAN Tag;
- 在解封裝VXLAN報文時,會添加指定的VLAN Tag后再轉發。
- Trunk接口Allow的vlan-id必須存在於本交換機,否則即使allow-pass vlan all,本地不存在的vlan-id也不能通過。
- 二層子接口封裝的dot1q vid對應的vlan-id,不存在於本機也可通過。
2.配置業務接入點為 VLAN【較少使用】:
【bd】
l2 binding vlan vlan-id,將全局VLAN綁定到廣播域BD。缺省無綁定。執行此步驟前,請確保全局VLAN已經創建。將全局VLAN綁定到廣播域BD后,需要將設備上相關接口加入該VLAN。
1.3 配置 VXLAN 隧道
靜態VXLAN隧道的創建完全通過手工配置本端和遠端的VNI和VTEP IP地址來完成,不需要協議參與,配置簡單。所有vxlan NVE都要配置peer-list全互連【因為vxlan隧道為了防環,默認開啟水平分割】,工作量很大,所以靜態的vxlan網絡必定規模偏小。
為了保證VXLAN報文的正常轉發,VXLAN的二層網關和三層網關上都需要配置VXLAN隧道。
【】
bridge-domain bd-id,進入BD視圖。劉大偉:使用vxlan隧道連接隧道兩端的BD,BD和Vxlan一一對應。
【bd】
vxlan vni vni-id,創建VXLAN網絡標識VNI並關聯廣播域BD。缺省沒有創建VNI。
【】
interface nve nve-number,創建NVE接口,並進入NVE接口視圖。缺省沒有創建NVE接口。
【nve接口】
source ip-address,配置源端VTEP的IP地址。缺省沒有配置。推薦使用Loopback接口的地址。
【nve接口】
vni vni-id head-end peer-list ip-address &<1-10>,配置頭端復制列表,缺省沒有配置。在使用BGP evpn時,可以通過bgp協議進行控制。
- 同子網 BUM(廣播、未知單播、組播)報文轉發只在VXLAN二層網關之間進行,三層網關無需感知。同子網BUM報文轉發可以采用頭端復制方式、集中復制方式、組播復制方式【需要underlay開啟PIM,多為IT廠家使用】。
- 頭端復制:當BUM報文進入VXLAN隧道時,接入端VTEP根據頭端復制列表進行報文的VXLAN封裝,並將報文發送給頭端復制列表中的所有出端口VTEP。BUM報文出VXLAN隧道時,出口端VTEP對報文解封裝。
- Vxlan隧道水平分割:解封裝后,NVE只會向南向的BD轉發此BUM幀,而不會把此幀再通過vxlan隧道向東西向轉發。
1.4 配置 VXLAN 三層網關
為了成功實現不同網段的終端用戶互通,終端用戶的缺省網關地址必須是對應三層網關上的VBDIF接口的IP地址。
背景信息:
BD是VXLAN網絡的實體,通過將VNI(每一個VNI表示一個租戶)以1:1方式映射到廣播域BD,可以通過BD轉發數據報文。基於BD可創建三層邏輯接口VBDIF接口,可以實現不同網段的VXLAN間,及VXLAN和非VXLAN之間的三層互通,也可實現二層網絡接入三層網絡。每個BD對應一個VBDIF接口,在為VBDIF接口配置IP地址后,該接口即可作為本BD內租戶的網關,對需要進行通信的報文進行基於IP地址的三層轉發。
VBDIF接口在VXLAN三層網關上配置,用於跨網段報文的轉發,因此同網段通信時不需要配置。
【】
interface vbdif bd-id,創建VBDIF接口,並進入VBDIF接口視圖。
配置VBDIF接口的IP地址,實現三層互通:
- Overlay IPv4:ip address ip-address { mask | mask-length } [ sub ],配置IPv4地址。
- Overlay IPv6:
- ipv6 enable,使能接口的IPv6功能。
- ipv6 address ipv6-address prefix-length 或 ipv6 address ipv6-address prefix-length eui-64,配置接口的全球單播地址。
(可選)
mac-address mac-address,配置VBDIF接口的MAC地址。缺省是系統的MAC地址。同一VNI對應BD三層接口的mac建議全網統一,這樣:vm在遷移后可以直接通信;其它子網到本地網關的下一跳mac保持一致。
1.5 檢查配置
display bridge-domain [ bd-id [ brief | verbose ] ],查看廣播域BD的配置信息。
display interface nve [ nve-number | main ],查看NVE接口的狀態信息。
display vxlan peer [ vni vni-id ],查看配置的VNI的頭端復制列表信息。指導實際的vxlan報文轉發【及同一個二層vni下的BUM幀頭端復制轉發】,頭端復制列表沒有獨立的顯示命令,包含在peer中。
display vxlan tunnel [ tunnel-id ] [ verbose ],查看VXLAN隧道的信息。
display vxlan vni [ vni-id [ verbose ] ],查看VXLAN的配置信息及VNI狀態。
display interface vbdif [ bd-id ],查看VBDIF接口的狀態信息、配置信息和統計信息。
display dfs-group dfs-group-id active-active-gateway,查看DFS Group多活網關的信息。
display arp broadcast-suppress user bridge-domain bd-id,查看指定BD域的ARP廣播抑制表。
display arp [ network network-address [ network-mask | mask-length ] ] static,查看已配置的靜態ARP表項。
display mac-address static bridge-domain bd-id,查看BD內的靜態MAC地址表項。
display mac-address limit bridge-domain bd-id,可以查看BD內動態MAC地址學習限制規則。
display mac-address limit nve nve-number peer ip-address,查看基於遠端VTEP的MAC地址學習限制規則。
display mac-address flapping,查看MAC地址漂移檢測功能的配置信息。
display vxlan flood-vtep [ vni vni-id ],查看集中復制列表信息。