配置ssl连接

i目录1VXLAN简介·1-11.
1VXLAN网络模型·1-11.
2VXLAN报文封装格式·1-21.
3VXLAN运行机制·1-21.
3.
2识别报文所属的VXLAN1-31.
3.
3学习MAC地址1-31.
3.
4接入模式·1-41.
3.
5转发单播流量·1-41.
3.
6转发泛洪流量·1-61.
4ARP泛洪抑制1-81.
5协议规范·1-92配置VXLAN·2-12.
1VXLAN配置限制和指导·2-12.
1.
1VXLAN硬件限制2-12.
1.
2VXLAN软件限制2-12.
2VXLAN配置任务简介·2-22.
3创建VSI和VXLAN·2-22.
4创建VXLAN隧道·2-32.
5关联VXLAN与VXLAN隧道2-42.
6配置AC与VSI关联·2-52.
6.
1配置手工创建的以太网服务实例与VSI关联2-52.
6.
2配置动态创建的以太网服务实例与VSI关联2-72.
7管理本地和远端MAC地址2-82.
7.
1配置增删本地MAC地址时记录日志2-82.
7.
2添加静态远端MAC地址2-82.
7.
3关闭远端MAC地址自动学习功能2-92.
7.
4配置接口的MAC地址软件学习功能2-92.
8配置VXLAN组播路由泛洪方式·2-102.
8.
1配置准备·2-102.
8.
2配置PIM模式·2-102.
8.
3配置IGMP主机模式2-112.
9配置VSI泛洪抑制·2-11ii2.
10配置VXLAN报文的目的UDP端口号·2-122.
11配置VXLAN报文检查功能2-122.
12配置ARP泛洪抑制·2-132.
13关闭VXLAN远端ARP/ND自动学习功能2-132.
14配置VXLAN流量统计2-142.
14.
1配置VSI的报文统计功能2-142.
14.
2配置AC的报文统计功能2-142.
15VXLAN显示和维护2-142.
16VXLAN典型配置举例2-152.
16.
1VXLAN头端复制配置举例2-152.
16.
2VXLAN核心复制配置举例2-203VXLANIP网关3-13.
1VXLANIP网关简介3-13.
1.
1独立的VXLANIP网关3-13.
1.
2集中式VXLANIP网关3-23.
1.
3集中式VXLANIP网关保护组3-43.
1.
4分布式VXLANIP网关3-53.
2VXLANIP网关配置限制和指导3-83.
2.
1VXLANIP网关硬件限制3-83.
2.
2VXLANIP网关软件限制3-83.
2.
3VXLANIP网关用户侧接口板使用限制·3-93.
3VXLANIP网关配置准备3-93.
4配置集中式VXLANIP网关3-93.
5配置集中式VXLANIP网关保护组3-103.
5.
1VXLANIP网关上的配置3-103.
6配置分布式VXLANIP网关3-113.
6.
1配置限制和指导·3-113.
6.
2配置准备·3-113.
6.
3配置步骤·3-113.
7静态配置ARP表项3-133.
8配置VSI虚接口·3-143.
9VXLANIP网关显示和维护3-153.
10VXLANIP网关典型配置举例·3-153.
10.
1集中式VXLANIP网关配置举例·3-153.
10.
2集中式VXLANIP网关保护组配置举例·3-203.
10.
3分布式VXLANIP网关连接IPv4网络配置举例3-24iii3.
10.
4分布式VXLANIP网关连接IPv6网络配置举例3-364VXLAN数据中心互联·4-14.
1VXLAN数据中心互联简介·4-14.
1.
1VXLAN数据中心互联典型组网4-14.
1.
2VXLAN数据中心互联工作机制4-14.
2VXLAN数据中心互联配置限制和指导·4-44.
3VXLAN数据中心互联配置任务简介·4-44.
4创建VXLAN-DCI隧道·4-44.
5关联VXLAN与VXLAN-DCI隧道·4-54.
6配置VSI虚接口·4-64.
7为VSI指定网关接口·4-74.
8VXLAN数据中心互联显示和维护·4-74.
9VXLAN数据中心互联典型配置举例·4-85OVSDB-VTEP5-15.
1简介5-15.
2协议规范·5-15.
3OVSDB-VTEP配置任务简介5-15.
4配置准备·5-25.
5与控制器建立OVSDB连接5-25.
5.
1与控制器建立主动SSL连接5-35.
5.
2与控制器建立被动SSL连接5-35.
5.
3与控制器建立主动TCP连接5-35.
5.
4与控制器建立被动TCP连接5-45.
6开启OVSDB服务器5-45.
7开启OVSDBVTEP服务5-45.
8配置VXLAN隧道的全局源地址·5-45.
9指定用户侧的接入端口·5-55.
10OVSDB-VTEP典型配置举例·5-55.
10.
1OVSDB-VTEP头端复制配置举例5-51-11VXLAN简介VXLAN(VirtualeXtensibleLAN,可扩展虚拟局域网络)是基于IP网络、采用"MACinUDP"封装形式的二层VPN技术.
VXLAN可以基于已有的服务提供商或企业IP网络,为分散的物理站点提供二层互联,并能够为不同的租户提供业务隔离.
VXLAN主要应用于数据中心网络和园区接入网络.
VXLAN具有如下特点:支持大量的租户:使用24位的标识符,最多可支持2的24次方(16777216)个VXLAN,使支持的租户数目大规模增加,解决了传统二层网络VLAN资源不足的问题.
易于维护:基于IP网络组建大二层网络,使得网络部署和维护更加容易,并且可以充分地利用现有的IP网络技术,例如利用等价路由进行负载分担等;只有IP核心网络的边缘设备需要进行VXLAN处理,网络中间设备只需根据IP头转发报文,降低了网络部署的难度和费用.
目前,设备只支持基于IPv4网络的VXLAN技术,不支持基于IPv6网络的VXLAN技术.
1.
1VXLAN网络模型VXLAN技术将已有的三层物理网络作为Underlay网络,在其上构建出虚拟的二层网络,即Overlay网络.
Overlay网络通过封装技术、利用Underlay网络提供的三层转发路径,实现租户二层报文跨越三层网络在不同站点间传递.
对于租户来说,Underlay网络是透明的,同一租户的不同站点就像工作在一个局域网中.
图1-1VXLAN网络模型示意图UnderlaynetworkOverlaynetworkVTEP1VTEP2VXLANtunnelIP核心网络PTerminalTerminalVSI/VXLAN10VSI/VXLAN20VSI/VXLAN10VSI/VXLAN20Site1Site2TerminalTerminal1-2如图1-1所示,VXLAN的典型网络模型中包括如下几部分:用户终端(Terminal):用户终端设备可以是PC机、无线终端设备、服务器上创建的VM(VirtualMachine,虚拟机)等.
不同的用户终端可以属于不同的VXLAN.
属于相同VXLAN的用户终端处于同一个逻辑二层网络,彼此之间二层互通;属于不同VXLAN的用户终端之间二层隔离.
VXLAN通过VXLANID来标识,VXLANID又称VNI(VXLANNetworkIdentifier,VXLAN网络标识符),其长度为24比特.
VTEP(VXLANTunnelEndPoint,VXLAN隧道端点):VXLAN的边缘设备.
VXLAN的相关处理都在VTEP上进行,例如识别以太网数据帧所属的VXLAN、基于VXLAN对数据帧进行二层转发、封装/解封装报文等.
VTEP可以是一台独立的物理设备,也可以是虚拟机所在的服务器.
VXLAN隧道:两个VTEP之间的点到点逻辑隧道.
VTEP为数据帧封装VXLAN头、UDP头和IP头后,通过VXLAN隧道将封装后的报文转发给远端VTEP,远端VTEP对其进行解封装.
核心设备:IP核心网络中的设备(如图1-1中的P设备).
核心设备不参与VXLAN处理,仅需要根据封装后报文的目的IP地址对报文进行三层转发.
VSI(VirtualSwitchInstance,虚拟交换实例):VTEP上为一个VXLAN提供二层交换服务的虚拟交换实例.
VSI可以看作是VTEP上的一台基于VXLAN进行二层转发的虚拟交换机,它具有传统以太网交换机的所有功能,包括源MAC地址学习、MAC地址老化、泛洪等.
VSI与VXLAN一一对应.
1.
2VXLAN报文封装格式图1-2VXLAN报文封装示意图如图1-2所示,VXLAN报文的封装格式为:在原始二层数据帧外添加8字节VXLAN头、8字节UDP头和20字节IP头.
其中,UDP头的目的端口号为VXLANUDP端口号(缺省为4789).
VXLAN头主要包括两部分:标记位:"I"位为1时,表示VXLAN头中的VXLANID有效;为0,表示VXLANID无效.
其他位保留未用,设置为0.
VXLANID:用来标识一个VXLAN网络,长度为24比特.
1.
3VXLAN运行机制VXLAN运行机制可以概括为:(1)发现远端VTEP,在VTEP之间建立VXLAN隧道,并将VXLAN隧道与VXLAN关联.
原始二层数据帧外层UDP头VXLAN头外层IP头标记位RRRRIRRR保留未用VXLANID保留未用1-3(2)识别接收到的报文所属的VXLAN,以便将报文的源MAC地址学习到VXLAN对应的VSI,并在该VSI内转发该报文.
(3)学习用户终端的MAC地址.
(4)根据学习到的MAC地址表项转发报文.
1.
3.
2识别报文所属的VXLAN1.
本地站点内接收到数据帧的识别VTEP将连接本地站点的以太网服务实例(ServiceInstance)与VSI关联.
VTEP从以太网服务实例接收到数据帧后,查找与其关联的VSI,VSI内创建的VXLAN即为该数据帧所属的VXLAN.
在VXLAN中,与VSI关联的以太网服务实例称为AC(AttachmentCircuit,接入电路).
以太网服务实例在二层以太网接口上创建,它定义了一系列匹配规则,用来匹配从该二层以太网接口上接收到的数据帧.
如图1-3所示,Terminal1属于VLAN2,在VTEP上配置以太网服务实例1匹配VLAN2的报文,将以太网服务实例1与VSIA绑定,并在VSIA内创建VXLAN10,则VTEP接收到Terminal1发送的数据帧后,可以判定该数据帧属于VXLAN10.
图1-3二层数据帧所属VXLAN识别2.
VXLAN隧道上接收报文的识别对于从VXLAN隧道上接收到的VXLAN报文,VTEP根据报文中携带的VXLANID判断该报文所属的VXLAN.
1.
3.
3学习MAC地址MAC地址学习分为本地MAC地址学习和远端MAC地址学习两部分.
1.
本地MAC地址学习是指VTEP对本地站点内虚拟机MAC地址的学习.
VTEP接收到本地虚拟机发送的数据帧后,判断该数据帧所属的VSI,并将数据帧中的源MAC地址(本地虚拟机的MAC地址)添加到该VSI的MAC地址表中,该MAC地址对应的接口为接收到数据帧的接口.
VXLAN不支持静态配置本地MAC地址.
2.
远端MAC地址学习是指VTEP对远端站点内用户终端MAC地址的学习.
远端MAC地址的学习方式有如下几种:Serviceinstance1:VLAN2VSIAVXLAN10VLAN2Terminal1Terminal2Terminal3Serviceinstance2:VLAN3Serviceinstance3:VLAN4VLAN3VLAN4VSIBVXLAN20VSICVXLAN30VTEP1-4静态配置:手工指定远端MAC地址所属的VSI(VXLAN),及其对应的VXLAN隧道接口.
通过报文中的源MAC地址动态学习:VTEP从VXLAN隧道上接收到远端VTEP发送的VXLAN报文后,根据VXLANID判断报文所属的VXLAN,对报文进行解封装,还原二层数据帧,并将数据帧中的源MAC地址(远端用户终端的MAC地址)添加到所属VXLAN对应VSI的MAC地址表中,该MAC地址对应的接口为VXLAN隧道接口.
静态配置的远端MAC地址表项优先级高于源MAC地址动态学习的表项.
1.
3.
4接入模式接入模式分为以下两种:VLAN接入模式:从本地站点接收到的和发送给本地站点的以太网帧必须带有VLANTag.
VTEP从本地站点接收到以太网帧后,删除该帧的所有VLANTag,再转发该数据帧;VTEP发送以太网帧到本地站点时,为其添加本地站点的VLANTag.
采用该模式时,VTEP不会传递VLANTag信息,不同站点可以独立地规划自己的VLAN,不同站点的不同VLAN之间可以互通.
Ethernet接入模式:从本地站点接收到的和发送给本地站点的以太网帧可以携带VLANTag,也可以不携带VLANTag.
VTEP从本地站点接收到以太网帧后,保持该帧的VLANTag信息不变,转发该数据帧;VTEP发送以太网帧到本地站点时,不会为其添加VLANTag.
采用该模式时,VTEP会在不同站点间传递VLANTag信息,不同站点的VLAN需要统一规划,否则无法互通.
缺省情况下,接入模式为VLAN模式.
下文对于流量转发过程的介绍均以VLAN模式为例.
1.
3.
5转发单播流量完成本地和远端MAC地址学习后,VTEP在VXLAN内转发单播流量的过程如下所述.
1.
站点内流量对于站点内流量,VTEP判断出报文所属的VSI后,根据目的MAC地址查找该VSI的MAC地址表,从相应的本地接口转发给目的用户终端.
1-5图1-4站点内单播流量转发如图1-4所示,Terminal1(MAC地址为MAC1)发送以太网帧到Terminal4(MAC地址为MAC4)时,VTEP1从接口InterfaceA收到该以太网帧后,判断该数据帧属于VSIA(VXLAN10),查找VSIA的MAC地址表,得到MAC4的出接口为InterfaceB,所在VLAN为VLAN10,则将以太网帧从接口InterfaceB的VLAN10内发送给Terminal4.
2.
站点间流量图1-5站点间单播流量转发如图1-5所示,以Terminal1(MAC地址为MAC1)发送以太网帧给Terminal7(MAC地址为MAC7)为例,站点间单播流量的转发过程为:(1)Terminal1发送以太网数据帧给Terminal7,数据帧的源MAC地址为MAC1,目的MAC为MAC7,VLANTag为2.
VXLANtunnelVTEP1VTEP2IP核心网络PTerminal1Terminal2Terminal3Terminal7Terminal8Terminal9MACTableonVTEP1VXLAN/VSIMACInterfaceVXLAN10/VSIAMAC1InterfaceA,VLAN2VXLAN10/VSIAMAC4InterfaceB,VLAN10Terminal4Terminal5Terminal6InterfaceAInterfaceBVTEP1VTEP2IP核心网络PTerminal1Terminal2Terminal3Terminal7Terminal8Terminal9MACTableonVTEP1VXLAN/VSIMACInterfaceVXLAN10/VSIAMAC1InterfaceA,VLAN2VXLAN10/VSIAMAC7Tunnel1Terminal4Terminal5Terminal6InterfaceAInterfaceBMACTableonVTEP2VXLAN/VSIMACInterfaceVXLAN10/VSIAMAC1Tunnel1VXLAN10/VSIAMAC7InterfaceA,VLAN20InterfaceAVXLANtunnel11-6(2)VTEP1从接口InterfaceA(所在VLAN为VLAN2)收到该数据帧后,判断该数据帧属于VSIA(VXLAN10),查找VSIA的MAC地址表,得到MAC7的出端口为Tunnel1.
(3)VTEP1为数据帧封装VXLAN头、UDP头和IP头后,将封装好的报文通过VXLAN隧道Tunnel1、经由P设备发送给VTEP2.
(4)VTEP2接收到报文后,根据报文中的VXLANID判断该报文属于VXLAN10,并剥离VXLAN头、UDP头和IP头,还原出原始的数据帧.
(5)VTEP2查找与VXLAN10对应的VSIA的MAC地址表,得到MAC7的出端口为InterfaceA(所在VLAN为VLAN20).
(6)VTEP2从接口InterfaceA的VLAN20内将数据帧发送给Terminal7.
1.
3.
6转发泛洪流量泛洪流量包括组播、广播和未知单播流量.
根据复制方式的不同,流量泛洪方式分为单播路由方式(头端复制)和组播路由方式(核心复制).
1.
单播路由方式(头端复制)在单播路由方式下,VTEP负责复制报文,采用单播方式将复制后的报文通过本地接口发送给本地站点,并通过VXLAN隧道发送给VXLAN内的所有远端VTEP.
图1-6单播路由方式转发示意图如图1-6所示,单播路由方式的泛洪流量转发过程为:(1)VTEP1接收到本地用户终端发送的组播、广播和未知单播数据帧后,判断数据帧所属的VXLAN,通过该VXLAN内除接收接口外的所有本地接口和VXLAN隧道转发该数据帧.
通过VXLAN隧道转发数据帧时,需要为其封装VXLAN头、UDP头和IP头,将泛洪流量封装在多个单播报文中,发送到VXLAN内的所有远端VTEP.
VTEP1VTEP2IP核心网络PTerminal1Terminal2Terminal3Terminal7Terminal8Terminal9Terminal4Terminal5Terminal6VXLANtunnelVXLANtunnelVTEP3VXLANtunnelTerminal10Terminal11Terminal12复制和封装1-7(2)远端VTEP(VTEP2和VTEP3)接收到VXLAN报文后,解封装报文,将原始的数据帧在本地站点的指定VXLAN内泛洪.
为了避免环路,远端VTEP从VXLAN隧道上接收到报文后,不会再将其泛洪到其他的VXLAN隧道.
2.
组播路由方式(核心复制)数据中心网络中需要通过IP核心网络进行二层互联的站点较多时,采用组播路由方式可以节省泛洪流量对核心网络带宽资源的占用.
在组播路由方式下,同一个VXLAN内的所有VTEP都加入同一个组播组,利用组播路由协议(如PIM)在IP核心网上为该组播组建立组播转发表项.
VTEP接收到泛洪流量后,不仅在本地站点内泛洪,还会为其封装组播目的IP地址,封装后的报文根据已建立的组播转发表项转发到远端VTEP.
图1-7组播路由方式转发示意图如图1-7所示,组播路由方式的泛洪流量转发过程为:(1)VTEP1接收到本地用户终端发送的组播、广播和未知单播数据帧后,判断数据帧所属的VXLAN,不仅通过该VXLAN内除接收接口外的所有本地接口将数据帧转发到本地站点,还会为其封装VXLAN头、UDP头和IP头(目的IP地址为组播地址)通过组播转发表项将其发送到远端VTEP.
(2)在IP核心网内,P设备根据已经建立的组播转发表项复制并转发该组播报文.
(3)远端VTEP(VTEP2和VTEP3)接收到VXLAN报文后,解封装报文,将原始的数据帧在本地站点的指定VXLAN内泛洪.
为了避免环路,远端VTEP从VXLAN隧道上接收到报文后,不会再将其泛洪到其他的VXLAN隧道.
VTEP1VTEP2IP核心网络PTerminal1Terminal2Terminal3Terminal7Terminal8Terminal9Terminal4Terminal5Terminal6VXLANtunnelVXLANtunnelVTEP3VXLANtunnelTerminal10Terminal11Terminal12复制封装组播目的IP地址1-81.
4ARP泛洪抑制为了避免广播发送的ARP请求报文占用核心网络带宽,VTEP从本地站点或VXLAN隧道接收到ARP请求和ARP应答报文后,根据该报文在本地建立ARP泛洪抑制表项.
后续当VTEP收到本站点内用户终端请求其它用户终端MAC地址的ARP请求时,优先根据ARP泛洪抑制表项进行代答.
如果没有对应的表项,则将ARP请求泛洪到核心网.
ARP泛洪抑制功能可以大大减少ARP泛洪的次数.
图1-8ARP泛洪抑制示意图如图1-8所示,ARP泛洪抑制的处理过程如下:(1)用户终端Terminal1发送ARP请求,获取Terminal7的MAC地址.
(2)VTEP1根据接收到的ARP请求,建立Terminal1的ARP泛洪抑制表项,并在VXLAN内泛洪该ARP请求(图1-8以单播路由泛洪方式为例).
(3)远端VTEP(VTEP2和VTEP3)解封装VXLAN报文,获取原始的ARP请求报文后,建立Terminal1的ARP泛洪抑制表项,并在本地站点的指定VXLAN内泛洪该ARP请求.
(4)Terminal7接收到ARP请求后,回复ARP应答报文.
(5)VTEP2接收到ARP应答后,建立Terminal7的ARP泛洪抑制表项,并通过VXLAN隧道将ARP应答发送给VTEP1.
(6)VTEP1解封装VXLAN报文,获取原始的ARP应答,并根据该应答建立Terminal7的ARP泛洪抑制表项,之后将ARP应答报文发送给Terminal1.
(7)在VTEP1上建立ARP泛洪抑制表项后,用户终端Terminal4发送ARP请求,获取Terminal1或Terminal7的MAC地址.
(8)VTEP1接收到ARP请求后,建立Terminal4的ARP泛洪抑制表项,并查找本地ARP泛洪抑制表项,根据已有的表项回复ARP应答报文,不会对ARP请求进行泛洪.
(1)VTEP1VTEP2IP核心网络PTerminal1Terminal2Terminal3Terminal7Terminal8Terminal9Terminal4Terminal5Terminal6VXLANtunnelVXLANtunnelVTEP3VXLANtunnelTerminal10Terminal11Terminal12(2)(2)(3)(3)(4)(5)(6)(7)(8)(9)(10)(2)1-9(9)在VTEP3上建立ARP泛洪抑制表项后,用户终端Terminal10发送ARP请求,获取Terminal1的MAC地址.
(10)VTEP3接收到ARP请求后,建立Terminal10的ARP泛洪抑制表项,并查找本地ARP泛洪抑制表项,根据已有的表项回复ARP应答报文,不会对ARP请求进行泛洪.
1.
5协议规范与VXLAN相关的协议规范有:RFC7348:VirtualeXtensibleLocalAreaNetwork(VXLAN):AFrameworkforOverlayingVirtualizedLayer2NetworksoverLayer3Networks2-12配置VXLAN2.
1VXLAN配置限制和指导2.
1.
1VXLAN硬件限制VXLAN公网侧端口必须位于FD/FE/SG系列接口板或LSQM1SRP8X2QE0主控板上.
VXLAN用户侧端口必须位于FD/FE/SG系列接口板或以下接口板上:LSQM1SRP8X2QE0主控板下列SC系列接口板:LSQM2GP24TSSC0、LSQM2GP44TSSC0、LSQM2GT24PTSSC0、LSQM2GT24TSSC0、LSQM2GT48SC0、LSQM4GV48SC0、LSQM3GP44TSSC0EC系列接口板当多台设备组成IRF时,IRF物理端口必须位于FD/FE/SG系列接口板或LSQM1SRP8X2QE0主控板上,VXLAN才能正常运行.
2.
1.
2VXLAN软件限制请不要在VXLAN网络中配置MPLS、EVI相关功能.
有关MPLS和EVI的详细介绍,请分别参见"MPLS配置指导"和"EVI配置指导".
请不要同时配置VXLAN功能和MAC地址认证请求中携带用户IP地址功能,关于MAC地址认证请求中携带用户IP地址功能的详细介绍,请参见"安全配置指导"中的"MAC地址认证".
配置AC(以太网服务实例)时,需要注意:VTEP上配置了AC的端口不支持组播功能.
VTEP设备的同一端口下不支持同时配置AC和QinQ.
有关QinQ的介绍,请参见"二层技术-以太网交换配置指导"中的"QinQ".
为保证VTEP与本地站点的正常对接,应在配置了AC的端口上关闭生成树协议(undostpenable).
有关AC的其他配置限制,请参见"2.
6.
1配置手工创建的以太网服务实例与VSI关联"VXLAN网络的公网侧端口和AC侧端口都不支持配置端口优先级信任模式为DSCP.
关于优先级信任模式的配置,请参见"ACL和QoS配置指导"中的"QoS".
VTEP不支持通过多条等价路由对组播、广播和未知单播流量进行负载分担.

多个VXLAN隧道共用一个公网侧端口时,这些隧道必须使用设备的同一个VLAN接口来转发报文.
在组播路由方式下,不允许在核心设备上创建VXLAN或VXLAN隧道,否则会导致VXLAN报文转发不通.
VXLAN网络不支持处理带两层以上VLAN标签的报文.
2-22.
2VXLAN配置任务简介在VXLAN组网中,IP核心网络中的设备只需要配置路由协议,确保VTEP之间路由可达.
VXLAN相关配置都在VTEP上进行.
表2-1VXLAN配置任务简介配置任务说明详细配置创建VSI和VXLAN必选2.
3创建VXLAN隧道必选2.
4关联VXLAN与VXLAN隧道必选2.
5配置AC与VSI关联必选2.
6管理本地和远端MAC地址可选2.
7配置VXLAN组播路由泛洪方式可选2.
8配置VSI泛洪抑制可选2.
9配置VXLAN报文的目的UDP端口号可选2.
10配置VXLAN报文检查功能可选2.
11配置ARP泛洪抑制可选2.
12关闭VXLAN远端ARP/ND自动学习功能可选2.
13配置VXLAN流量统计可选2.
142.
3创建VSI和VXLAN表2-2创建VSI和VXLAN操作命令说明进入系统视图system-view-开启L2VPN功能l2vpnenable缺省情况下,L2VPN功能处于关闭状态创建VSI,并进入VSI视图vsivsi-name缺省情况下,不存在VSI(可选)配置VSI的描述信息descriptiontext缺省情况下,未配置VSI的描述信息开启VSIundoshutdown缺省情况下,VSI处于开启状态(可选)配置VSI的MTU值mtumtu缺省情况下,VSI的MTU值为1500字节(可选)开启VSI的MAC地址学习功能mac-learningenable缺省情况下,VSI的MAC地址学习功能处于开启状态对于VXLAN,设备不支持关闭VSI的MAC地址学习功能,执行undomac-learningenable命令后不生效2-3操作命令说明创建VXLAN,并进入VXLAN视图vxlanvxlan-id缺省情况下,不存在VXLAN在一个VSI下只能创建一个VXLAN不同VSI下创建的VXLAN,其VXLANID不能相同2.
4创建VXLAN隧道手工创建VXLAN隧道时,隧道的源端地址和目的端地址需要分别手工指定为本地和远端VTEP的接口地址.
在同一台设备上,VXLAN隧道模式的不同Tunnel接口建议不要同时配置完全相同的源端地址和目的端地址.
如果设备上配置了通过EVPN自动建立并关联VXLAN隧道,则隧道目的地址相同的EVPN自动创建隧道和手工创建隧道不能关联同一个VXLAN.
EVPN的详细介绍请参见"EVPN配置指导".
关于隧道的详细介绍及Tunnel接口下的更多配置命令,请参见"三层技术-IP业务配置指导"中的"隧道".
关于interfacetunnel、source和destination命令的详细介绍,请参见"三层技术-IP业务命令参考"中的"隧道".
表2-3手工创建VXLAN隧道操作命令说明进入系统视图system-view-配置VXLAN隧道的全局源地址tunnelglobalsource-addressip-address缺省情况下,未配置VXLAN隧道的全局源地址如果隧道下未配置源地址或源接口,则隧道会使用全局源地址作为隧道的源地址创建模式为VXLAN隧道的Tunnel接口,并进入Tunnel接口视图interfacetunneltunnel-numbermodevxlan缺省情况下,不存在Tunnel接口在隧道的两端应配置相同的隧道模式,否则会造成报文传输失败配置隧道的源端地址或源接口source{ipv4-address|interface-typeinterface-number}缺省情况下,未设置VXLAN隧道的源端地址和源接口如果设置的是隧道的源端地址,则该地址将作为封装后VXLAN报文的源IP地址;如果设置的是隧道的源接口,则该接口的主IP地址将作为封装后VXLAN报文的源IP地址采用VXLAN组播路由泛洪方式时,VXLAN隧道的源接口不能是Loopback接口、源端地址不能是Loopback接口的地址配置隧道的目的端地址destinationipv4-address缺省情况下,未指定隧道的目的端地址隧道的目的端地址是对端设备上接口的IP地址,该地址将作为封装后VXLAN报文的目的地址2-4操作命令说明(可选)开启隧道的BFD检测功能tunnelbfdenabledestination-macmac-address缺省情况下,隧道的BFD检测功能处于关闭状态执行本命令的同时,需要在系统视图下执行reservedvxlan命令配置保留VXLAN.
否则,BFD会话无法up本命令不能与uRPF功能同时配置,否则,BFD会话无法up.
关于uRPF功能的详细介绍请参见"安全配置指导"中的"uRPF"(可选)退回系统视图quit-(可选)配置保留VXLANreservedvxlanvxlan-id缺省情况下,未指定保留VXLAN只能在系统视图下配置一个全局保留VXLAN,该VXLAN不能与VSI下创建的VXLAN相同2.
5关联VXLAN与VXLAN隧道一个VXLAN可以关联多条VXLAN隧道.
一条VXLAN隧道可以关联多个VXLAN,这些VXLAN共用该VXLAN隧道,VTEP根据VXLAN报文中的VXLANID来识别隧道传递的报文所属的VXLAN.
VTEP接收到某个VXLAN的泛洪流量后,如果采用单播路由泛洪方式,则VTEP将在与该VXLAN关联的所有VXLAN隧道上发送该流量,以便将流量转发给所有的远端VTEP.
表2-4手工关联VXLAN与VXLAN隧道操作命令说明进入系统视图system-view-进入VSI视图vsivsi-name-进入VXLAN视图vxlanvxlan-id-配置VXLAN与VXLAN隧道关联tunnel{tunnel-number[backup-tunneltunnel-number]|all}缺省情况下,VXLAN未关联VXLAN隧道VTEP必须与相同VXLAN内的其它VTEP建立VXLAN隧道,并将该隧道与VXLAN关联如果指定了backup-tunneltunnel-number参数,则该参数指定的隧道作为备用VXLAN隧道,为主用VXLAN隧道提供保护.
当主用VXLAN隧道down时,VXLAN将启用备用VXLAN隧道2-52.
6配置AC与VSI关联2.
6.
1配置手工创建的以太网服务实例与VSI关联1.
功能简介将以太网服务实例与VSI关联后,从该接口接收到的、符合以太网服务实例报文匹配规则的报文,将通过查找关联VSI的MAC地址表进行转发.
以太网服务实例提供了多种报文匹配规则(包括接口接收到的所有报文、所有携带VLANTag的报文和所有不携带VLANTag的报文等),为报文关联VSI提供了更加灵活的方式.
对于使用Ethernet接入模式的以太网服务实例,可以修改该以太网服务实例上入方向和出方向报文的VLAN标签.
修改方式包括添加标签、映射标签和剥离标签.
关于修改入方向/出方向报文VLAN标签的配置限制和指导,请参见"VXLAN命令参考"中的rewriteinboundtag和rewriteoutboundtag命令.
2.
配置限制和指导请不要在同一端口下同时配置VLAN映射和配置以太网服务实例匹配多个VLAN标签(encapsulation命令中vlan-id-list参数指定多个VLAN);否则会导致报文转发异常,必须删除冲突配置并重启端口所在接口板才能恢复业务.
有关VLAN映射的介绍,请参见"二层技术-以太网交换配置指导"中的"VLAN映射".
encapsulation命令中匹配的外层VLAN不能再配置其他业务(包括二层、三层业务).

为确保转发正常,端口上以太网服务实例的报文匹配规则需要与该端口上允许通过的VLAN、VLAN报文是否带Tag配置保持一致.
当端口上以太网服务实例的报文匹配规则为encapsulation{default|tagged|untagged}时,该端口需要允许缺省VLAN通过.
当接入模式为VLAN时,如果端口接收到的报文不带Tag,需要配置报文匹配规则为encapsulationuntagged.
存在以下情况时,请用xconnectvsi命令指定接入模式为Ethernet.
以太网服务实例匹配了多个外层或内层VLAN标签(encapsulation命令中vlan-id-list参数指定了多个VLAN).
以太网服务实例采用缺省的报文匹配规则(encapsulationdefault).
以太网服务实例匹配携带VLAN标签的报文(encapsulationtagged).
当以太网服务实例匹配了多个VLAN标签时(encapsulation命令中vlan-id-list参数指定了多个VLAN),需要注意:该以太网服务实例只匹配携带VLAN标签的报文.
该以太网服务实例所在端口不支持802.
1X、MAC地址认证或端口安全功能.
有关802.
1X、MAC地址认证和端口安全的介绍,请参见"安全配置指导".
以太网服务实例上不支持同时配置DHCP和修改入方向/出方向报文的VLAN标签(rewriteinboundtag或rewriteoutboundtag命令).
有关DHCP的介绍,请参见"三层技术-IP业务配置指导"中的"DHCP".
2-63.
配置步骤表2-5配置手工创建的以太网服务实例与VSI关联操作命令说明进入系统视图system-view-进入二层以太网接口视图或二层聚合接口视图进入二层以太网接口视图:interfaceinterface-typeinterface-number进入二层聚合接口视图:interfacebridge-aggregationinterface-number-将二层接口加入本地站点VLAN配置端口的链路类型portlink-type{access|trunk|hybrid}缺省情况下,所有端口的链路类型均为Access类型将当前端口加入本地站点VLANportaccessvlanvlan-idporttrunkpermitvlan{vlan-id-list|all}porthybridvlanvlan-id-list{tagged|untagged}三者选其一本地站点VLAN必须是设备上已创建的VLAN创建以太网服务实例,并进入以太网服务实例视图service-instanceinstance-id缺省情况下,不存在以太网服务实例配置以太网服务实例的报文匹配规则encapsulations-vidvlan-id-list[only-tagged]encapsulations-vidvlan-id-listc-vid{vlan-id-list|all}encapsulationc-vidvlan-id-listencapsulation{default|tagged|untagged}缺省情况下,未配置报文匹配规则(可选)配置入方向报文的处理规则rewriteinboundtag{nest{c-vidvlan-id|s-vidvlan-id[c-vidvlan-id]}|remark{{1-to-1|2-to-1}{c-vidvlan-id|s-vidvlan-id}|{1-to-2|2-to-2}s-vidvlan-idc-vidvlan-id}|strip{c-vid|s-vid[c-vid]}}[symmetric]缺省情况下,不对入方向报文进行处理(可选)配置出方向报文的处理规则rewriteoutboundtag{nest{c-vidvlan-id|s-vidvlan-id[c-vidvlan-id]}|remark{{1-to-1|2-to-1}{c-vidvlan-id|s-vidvlan-id}|{1-to-2|2-to-2}s-vidvlan-idc-vidvlan-id}|strip{c-vid|s-vid[c-vid]}}缺省情况下,不对出方向报文进行处理将以太网服务实例与VSI关联xconnectvsivsi-name[access-mode{ethernet|vlan}][tracktrack-entry-number&]缺省情况下,以太网服务实例未关联VSI配置本功能时,如果不指定access-mode参数,将采用缺省接入模式VLAN2-72.
6.
2配置动态创建的以太网服务实例与VSI关联1.
功能简介802.
1X或MAC地址认证为用户下发授权VSI、GuestVSI、Auth-FailVSI或CriticalVSI后,将用户信息(接入端口、所属VLAN、MAC地址)及VSI信息通知给VXLAN.
VXLAN根据用户信息动态创建以太网服务实例,并将其与VSI关联.
802.
1X和MAC地址认证的详细介绍,请参见"安全配置指导"中的"802.
1X"和"MAC地址认证".
动态创建的以太网服务实例仅支持通过MAC地址方式判断接口接收到的报文是否属于该AC:检查报文携带的VLANID、源MAC地址是否分别与太网服务实例匹配的VLANID、MAC地址相同.
只有VLANID、源MAC地址均相同时,报文才属于该AC.
2.
配置限制和指导配置本功能时,必须采用MAC地址认证或基于MAC接入控制的802.
1X认证,并开启动态创建的以太网服务实例匹配MAC地址功能.
配置本功能时,需要注意:用户侧端口必须位于FD/FE/SG系列接口板或LSQM1SRP8X2QE0主控板上.
用户侧端口仅支持链路类型为Access或Trunk.
如果用户侧端口接收到的报文不带Tag或带的Tag等于端口缺省VLAN,则该端口仅支持转发不带Tag的报文.
如果要同时配置以太网服务实例的报文匹配规则,仅支持encapsulations-vidvlan-id[only-tagged]命令.
同一接口上源MAC地址相同的报文只能匹配到一个动态创建的以太网服务实例.
3.
配置步骤802.
1X或MAC地址认证中,接入认证设备上配置了GuestVSI、Auth-FailVSI、CriticalVSI,或远程AAA服务器为认证成功用户下发了授权VSI,则接入认证设备上会自动地创建以太网服务实例,并将其与GuestVSI、Auth-FailVSI、CriticalVSI或授权VSI关联.
在接入认证设备上开启动态创建的以太网服务实例匹配MAC地址功能.
表2-6开启动态创建的以太网服务实例匹配MAC地址功能操作命令说明进入系统视图system-view-进入用户侧二层以太网接口视图或二层聚合接口视图进入二层以太网接口视图interfaceinterface-typeinterface-number-进入二层聚合接口视图interfacebridge-aggregationinterface-number开启动态创建的以太网服务实例匹配MAC地址功能mac-basedac缺省情况下,动态创建的以太网服务实例匹配MAC地址功能处于关闭状态,即动态创建的以太网服务实例只匹配VLAN2-82.
7管理本地和远端MAC地址本地MAC地址只能动态学习,不能静态配置.
在动态添加、删除本地MAC地址时,可以记录日志信息.
远端MAC地址表项可以静态添加.
2.
7.
1配置增删本地MAC地址时记录日志执行本配置后,VXLAN增加或删除本地MAC地址时,将产生日志信息.
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向).
表2-7配置增删本地MAC地址时记录日志操作命令说明进入系统视图system-view-配置VXLAN增删本地MAC地址时记录日志vxlanlocal-macreport缺省情况下,VXLAN增删本地MAC地址时不会记录日志信息2.
7.
2添加静态远端MAC地址表2-8添加静态远端MAC地址操作命令说明进入系统视图system-view-添加静态远端MAC地址表项mac-addressstaticmac-addressinterfacetunneltunnel-numbervsivsi-name缺省情况下,不存在静态的远端MAC地址表项interfacetunnelinterface-number参数指定的隧道接口必须与vsivsi-name参数指定的VSI对应的VXLAN关联,且该VXLAN必须已经创建,否则配置将失败请不要为EVPN动态创建的隧道配置静态远端MAC地址表项,避免出现如下问题:如果公网侧接口down,设备将删除已创建的隧道,同时删除为该隧道配置的静态远端MAC地址表项,公网侧接口重新up后会自动重新建立隧道,但是无法恢复静态远端MAC地址表项;如果执行了配置回滚操作,设备会重新创建隧道,新创建的隧道编号可能发生变化,造成配置回滚失败.

2-92.
7.
3关闭远端MAC地址自动学习功能如果网络中存在攻击,为了避免学习到错误的远端MAC地址,可以手工关闭远端MAC地址自动学习功能,手动添加静态的远端MAC地址.
表2-9关闭远端MAC地址自动学习功能操作命令说明进入系统视图system-view-关闭远端MAC地址自动学习功能vxlantunnelmac-learningdisable缺省情况下,远端MAC地址自动学习功能处于开启状态2.
7.
4配置接口的MAC地址软件学习功能本功能适用于SDN(SoftwareDefinedNetwork,软件定义网络)组网.
在SDN组网中,设备将接口学习到的MAC地址上传给控制器,控制器把收到的MAC地址下发给其它远端设备,以减少不必要的广播流量.
接口的MAC地址学习方式包括:硬件学习:接口通过硬件学习MAC地址.
软件周期性地检查硬件是否学习到新的MAC地址,把学到的地址上传控制器处理.
硬件学习方式下需等待软件检查周期的到来,控制器获取MAC地址的速度较慢.
软件学习:接口通过软件学习MAC地址.
软件把学到的MAC地址下发给硬件,同时上传控制器处理.
软件学习方式下不需等待软件检查周期的到来,控制器获取MAC地址的速度较快.
需要注意的是,开启接口的MAC地址软件学习功能后,大量的MAC地址学习可能对系统造成冲击,不建议用户在大量MAC地址频繁变化的情况下开启本功能.
表2-10配置接口的MAC地址软件学习功能操作命令说明进入系统视图system-view-进入二层以太网接口或二层聚合接口视图进入二层以太网接口视图:interfaceinterface-typeinterface-number进入二层聚合接口视图:interfacebridge-aggregationinterface-number-开启接口的MAC地址软件学习功能l2vpnmac-addresssoftware-learningenable缺省情况下,接口的MAC地址软件学习功能处于关闭状态,设备采用硬件方式学习MAC地址配置接口的MAC地址数学习上限mac-addressmax-mac-countcount缺省情况下,没有配置接口的MAC地址数学习上限有关本命令的详细介绍请参见"二层技术-以太网交换命令参考"中的"MAC地址表"2-102.
8配置VXLAN组播路由泛洪方式组播路由泛洪方式支持如下两种实现模式:PIM模式:在VTEP和核心设备上运行PIM协议,以建立组播转发表项.
采用该模式时,可以使用Loopback接口地址作为组播报文的源IP地址.
当VTEP存在多个网络侧接口时,PIM协议可以动态选择报文的出接口.
IGMP主机模式:在VTEP上开启IGMP协议的主机功能、在连接VTEP的核心设备上配置IGMP、在所有核心设备上运行PIM协议,以建立组播转发表项.
采用该模式时,必须使用VTEP上网络侧接口的IP地址作为组播报文的源IP地址,并在该接口上开启IGMP协议的主机功能.
当VTEP存在多个网络侧接口时,IGMP主机模式只能采用组播报文的源IP地址所在的接口作为报文的出接口.
同一VXLAN网络中的不同VTEP可以采用不同的实现模式.
2.
8.
1配置准备在VTEP和核心设备上使能IP组播路由功能.
在核心设备上配置组播路由协议.
由于VTEP同时作为组播源和组播接收者,因此推荐使用双向PIM作为组播路由协议.
VXLAN网络中存在采用IGMP主机模式的VTEP时,需要在连接该VTEP的核心设备上配置IGMP.
2.
8.
2配置PIM模式表2-11配置PIM模式操作命令说明进入系统视图system-view-进入VSI视图vsivsi-name-进入VXLAN视图vxlanvxlan-id-配置VXLAN泛洪的组播地址和组播报文的源IP地址groupgroup-addresssourcesource-address缺省情况下,未指定VXLAN泛洪的组播地址和组播报文的源IP地址,VXLAN采用单播路由方式泛洪执行本命令后,VTEP将加入指定的组播组.
同一VXLAN的所有VTEP都要加入相同的组播组可以使用Loopback接口地址作为组播报文的源IP地址为确保组播报文转发正常,VXLAN组播报文的源IP地址(source-address)需要指定为一个已创建且处于up状态的VXLAN隧道的源端地址进入与核心设备相连接口的接口视图interfaceinterface-typeinterface-number-在接口上使能PIM协议pimsm二者选其一2-11操作命令说明pimdm缺省情况下,接口上PIM协议处于关闭状态2.
8.
3配置IGMP主机模式表2-12配置IGMP主机模式操作命令说明进入系统视图system-view-进入VSI视图vsivsi-name-进入VXLAN视图vxlanvxlan-id-配置VXLAN泛洪的组播地址和组播报文的源IP地址groupgroup-addresssourcesource-address缺省情况下,未指定VXLAN泛洪的组播地址和组播报文的源IP地址,VXLAN采用单播路由方式泛洪执行本命令后,VTEP将加入指定的组播组.
同一VXLAN的所有VTEP都要加入相同的组播组必须使用VTEP上网络侧接口的IP地址作为组播报文的源IP地址进入与核心设备相连接口的接口视图interfaceinterface-typeinterface-number-在接口上开启IGMP协议的主机功能igmphostenable缺省情况下,接口上IGMP协议的主机功能处于关闭状态执行本命令后,当前接口将作为IGMP主机,即从该接口收到IGMP查询报文后,通过该接口发送组播组的报告报文,以便接收该组播组的报文只有通过multicastrouting命令使能IP组播路由后,本命令才会生效2.
9配置VSI泛洪抑制缺省情况下,VTEP从本地站点内接收到目的MAC地址为广播、未知单播和未知组播的数据帧后,会在该VXLAN内除接收接口外的所有本地接口和VXLAN隧道上泛洪该数据帧,将该数据帧发送给VXLAN内的所有站点.
如果用户希望把某类数据帧限制在本地站点内,不通过VXLAN隧道将其转发到远端站点,则可以通过本命令手工禁止该类数据帧向远端站点泛洪.

禁止泛洪功能后,为了将某些单播或组播MAC地址的数据帧泛洪到远端站点以保证某些业务的流量在站点间互通,可以配置选择性泛洪的MAC地址,当数据帧的目的MAC地址匹配该MAC地址时,该数据帧可以泛洪到远端站点.
表2-13配置VSI泛洪抑制操作命令说明进入系统视图system-view-2-12操作命令说明进入VSI视图vsivsi-name-关闭VSI的泛洪功能floodingdisable{all|{broadcast|unknown-multicast|unknown-unicast}*}缺省情况下,VSI泛洪功能处于开启状态(可选)配置VSI选择性泛洪的MAC地址selective-floodingmac-addressmac-address缺省情况下,不存在VSI选择性泛洪MAC地址如果用户只希望某些目的MAC地址的报文可以泛洪到其它站点,可以先通过floodingdisable命令关闭泛洪功能,再通过本命令配置选择性泛洪的MAC地址2.
10配置VXLAN报文的目的UDP端口号属于同一个VXLAN的VTEP设备上需要配置相同的UDP端口号.
表2-14配置VXLAN报文的目的UDP端口号操作命令说明进入系统视图system-view-配置VXLAN报文的目的UDP端口号vxlanudp-portport-number缺省情况下,VXLAN报文的目的UDP端口号为47892.
11配置VXLAN报文检查功能通过本配置可以实现对接收到的VXLAN报文内层封装的以太网数据帧是否携带VLANTag进行检查:VTEP接收到VXLAN报文并对其解封装后,若内层以太网数据帧带有VLANTag,则丢弃该VXLAN报文.
需要注意的是:远端VTEP上通过xconnectvsi命令的access-mode参数配置接入模式为ethernet时,VXLAN报文可能携带VLANTag.
这种情况下建议不要在本端VTEP上执行vxlaninvalid-vlan-tagdiscard命令,以免错误地丢弃报文.
表2-15配置VXLAN报文检查功能操作命令说明进入系统视图system-view-配置丢弃内层数据帧含有VLANTag的VXLAN报文vxlaninvalid-vlan-tagdiscard缺省情况下,不会检查VXLAN报文内层封装的以太网数据帧是否携带VLANTag2-132.
12配置ARP泛洪抑制配置ARP泛洪抑制时需要注意:当同时执行floodingdisable命令关闭了VSI的泛洪功能时:如果要与远端站点互通,则两端VTEP都需要为对端站点添加静态远端MAC地址表项(相关命令为mac-addressstatic).
建议通过mac-addresstimer命令配置动态MAC地址的老化时间大于25分钟(ARP泛洪抑制表项的老化时间),以免MAC地址在ARP泛洪抑制表项老化之前老化,产生黑洞MAC地址.
VLAN接入模式下,如果以太网服务实例的报文匹配规则为encapsulations-vidvlan-id,且匹配的VLAN为接口的缺省VLAN,则VTEP对匹配ARP泛洪抑制表项的ARP请求进行应答时,ARP应答报文的VLANtag将被删除后再转发给用户终端.
如果用户终端要求接收到的ARP应答报文携带VLANtag,则会导致该用户终端无法学习到ARP表项.
在这种情况下,建议不要将以太网服务实例匹配的VLAN指定为接口的缺省VLAN.
当VXLAN网络采用组播路由(核心复制)方式转发泛洪流量时:若需要使用ARP泛洪抑制功能,必须保证所有VTEP设备均开启ARP泛洪抑制功能;如果需要和其他厂商的VTEP设备互通,则不能使用ARP泛洪抑制功能.
表2-16配置ARP泛洪抑制操作命令说明进入系统视图system-view-进入VSI视图vsivsi-name-开启ARP泛洪抑制功能arpsuppressionenable缺省情况下,ARP泛洪抑制功能处于关闭状态2.
13关闭VXLAN远端ARP/ND自动学习功能缺省情况下,设备从VXLAN隧道接收到报文后可以自动学习远端用户终端的ARP/ND信息,即远端ARP/ND信息.
在SDN控制器组网下,当控制器和设备间进行表项同步时,可以通过vxlantunnelarp-learningdisable命令暂时关闭远端ARP/ND自动学习功能,以节省占用的设备资源.
同步完成后,再执行undovxlantunnelarp-learningdisable命令开启远端ARP/ND自动学习功能.
建议用户只在控制器和设备间同步表项的情况下执行本配置.
表2-17关闭远端ARP/ND自动学习功能操作命令说明进入系统视图system-view-关闭远端ARP自动学习功能vxlantunnelarp-learningdisable缺省情况下,远端ARP自动学习功能处于开启状态关闭远端ND自动学习功能vxlantunnelnd-learningdisable缺省情况下,远端ND自动学习功能处于开启状态2-142.
14配置VXLAN流量统计2.
14.
1配置VSI的报文统计功能本配置用来开启VSI的报文统计功能,用户可以使用displayl2vpnvsiverbose命令查看VSI的报文统计信息,使用resetl2vpnstatisticsvsi命令清除VSI的报文统计信息.
表2-18配置VSI的报文统计功能操作命令说明进入系统视图system-view-进入VXLAN所在VSI视图vsivsi-name-开启VSI的报文统计功能statisticsenable缺省情况下,VSI的报文统计功能处于关闭状态2.
14.
2配置AC的报文统计功能指定本配置后,用户可以使用displayl2vpnservice-instanceverbose命令查看以太网服务实例的报文统计信息,使用resetl2vpnstatisticsac命令清除以太网服务实例的报文统计信息.
只有为以太网服务实例配置了报文匹配方式并绑定了VSI实例,报文统计功能才会生效.
如果在报文统计过程中修改报文匹配方式或绑定的VSI实例,则报文统计重新开始.
表2-19配置以太网服务实例的报文统计功能操作命令说明进入系统视图system-view-进入二层以太网接口视图或二层聚合接口视图进入二层以太网接口视图interfaceinterface-typeinterface-number-进入二层聚合接口视图interfacebridge-aggregationinterface-number进入以太网服务实例视图service-instanceinstance-id-开启以太网服务实例的报文统计功能statisticsenable缺省情况下,以太网服务实例的报文统计功能处于关闭状态2.
15VXLAN显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后VXLAN的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,用户可以执行reset命令来清除VXLAN的相关信息.
2-15表2-20VXLAN显示和维护操作命令显示VSI的ARP泛洪抑制表项信息(独立运行模式)displayarpsuppressionvsi[namevsi-name][slotslot-number][count]显示VSI的ARP泛洪抑制表项信息(IRF模式)displayarpsuppressionvsi[namevsi-name][chassischassis-numberslotslot-number][count]显示VSI的MAC地址表信息displayl2vpnmac-address[vsivsi-name][dynamic][count|verbose]显示以太网服务实例的信息displayl2vpnservice-instance[interfaceinterface-typeinterface-number[service-instanceinstance-id]][verbose]显示VSI的信息displayl2vpnvsi[namevsi-name][verbose]显示IGMP执行主机行为的所有组播组信息displayigmphostgroup[group-address|interfaceinterface-typeinterface-number][verbose]显示Tunnel接口信息displayinterface[tunnel[number]][brief[description|down]]显示VXLAN关联的VXLAN隧道信息displayvxlantunnel[vxlan-idvxlan-id]清除VSI的ARP泛洪抑制表项resetarpsuppressionvsi[namevsi-name]清除VSI动态学习的MAC地址表项resetl2vpnmac-address[vsivsi-name]清除VSI的报文统计信息resetl2vpnstatisticsvsi[namevsi-name]清除AC的报文统计信息resetl2vpnstatisticsac[interfaceinterface-typeinterface-numberservice-instanceinstance-id]displayinterfacetunnel命令的详细介绍,请参见"三层技术-IP业务命令参考"中的"隧道".

2.
16VXLAN典型配置举例2.
16.
1VXLAN头端复制配置举例1.
组网需求SwitchA、SwitchB、SwitchC为与服务器连接的VTEP设备.
虚拟机VM1、VM2和VM3同属于VXLAN10.
通过VXLAN实现不同站点间的二层互联,确保虚拟机在站点之间进行迁移时用户的访问流量不会中断.
具体需求为:不同VTEP之间手工建立VXLAN隧道.
手工关联VXLAN和VXLAN隧道.
通过源MAC地址动态学习远端MAC地址表项.
站点之间的泛洪流量采用头端复制的方式转发.
2-162.
组网图图2-1VXLAN头端复制组网图3.
配置步骤(1)配置IP地址和单播路由协议请按照图2-1配置各接口的IP地址和子网掩码,并在IP核心网络内配置OSPF协议,具体配置过程略.
(2)配置SwitchA#开启L2VPN能力.
system-view[SwitchA]l2vpnenable#创建VSI实例vpna和VXLAN10.
[SwitchA]vsivpna[SwitchA-vsi-vpna]vxlan10[SwitchA-vsi-vpna-vxlan-10]quit[SwitchA-vsi-vpna]quit#配置接口Loopback0的IP地址,作为隧道的源端地址.
[SwitchA]interfaceloopback0[SwitchA-Loopback0]ipaddress1.
1.
1.
1255.
255.
255.
255[SwitchA-Loopback0]quit#在SwitchA和SwitchB之间建立VXLAN隧道:创建模式为VXLAN的隧道接口Tunnel1指定隧道的源端地址为本地接口Loopback0的地址1.
1.
1.
1指定隧道的目的端地址为SwitchB上接口Loopback0的地址2.
2.
2.
2.
[SwitchA]interfacetunnel1modevxlan[SwitchA-Tunnel1]source1.
1.
1.
1[SwitchA-Tunnel1]destination2.
2.
2.
2[SwitchA-Tunnel1]quit#在SwitchA和SwitchC之间建立VXLAN隧道.
[SwitchA]interfacetunnel2modevxlanSwitchASwitchCTransportnetworkSwitchDXGE1/0/1XGE1/0/1SwitchBServer2VM2Server1VM1Server3VM3XGE1/0/1Loop01.
1.
1.
1/32Loop03.
3.
3.
3/32Loop02.
2.
2.
2/32VLAN2VLAN2VLAN2Vlan-int1111.
1.
1.
1/24Vlan-int1313.
1.
1.
4/24Vlan-int1212.
1.
1.
2/24Vlan-int1111.
1.
1.
4/24Vlan-int1313.
1.
1.
3/24Vlan-int1212.
1.
1.
4/242-17[SwitchA-Tunnel2]source1.
1.
1.
1[SwitchA-Tunnel2]destination3.
3.
3.
3[SwitchA-Tunnel2]quit#配置Tunnel1和Tunnel2与VXLAN10关联.
[SwitchA]vsivpna[SwitchA-vsi-vpna]vxlan10[SwitchA-vsi-vpna-vxlan-10]tunnel1[SwitchA-vsi-vpna-vxlan-10]tunnel2[SwitchA-vsi-vpna-vxlan-10]quit[SwitchA-vsi-vpna]quit#在接入服务器的接口Ten-GigabitEthernet1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN2的数据帧.
[SwitchA]interfaceten-gigabitethernet1/0/1[SwitchA-Ten-GigabitEthernet1/0/1]portlink-typetrunk[SwitchA-Ten-GigabitEthernet1/0/1]porttrunkpermitvlan2[SwitchA-Ten-GigabitEthernet1/0/1]service-instance1000[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]encapsulations-vid2#配置以太网服务实例1000与VSI实例vpna关联.
[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]xconnectvsivpna[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]quit[SwitchA-Ten-GigabitEthernet1/0/1]quit(3)配置SwitchB#开启L2VPN能力.
system-view[SwitchB]l2vpnenable#创建VSI实例vpna和VXLAN10.
[SwitchB]vsivpna[SwitchB-vsi-vpna]vxlan10[SwitchB-vsi-vpna-vxlan-10]quit[SwitchB-vsi-vpna]quit#配置接口Loopback0的IP地址,作为隧道的源端地址.
[SwitchB]interfaceloopback0[SwitchB-Loopback0]ipaddress2.
2.
2.
2255.
255.
255.
255[SwitchB-Loopback0]quit#在SwitchA和SwitchB之间建立VXLAN隧道.
[SwitchB]interfacetunnel2modevxlan[SwitchB-Tunnel2]source2.
2.
2.
2[SwitchB-Tunnel2]destination1.
1.
1.
1[SwitchB-Tunnel2]quit#在SwitchB和SwitchC之间建立VXLAN隧道.
[SwitchB]interfacetunnel3modevxlan[SwitchB-Tunnel3]source2.
2.
2.
2[SwitchB-Tunnel3]destination3.
3.
3.
3[SwitchB-Tunnel3]quit#配置Tunnel2和Tunnel3与VXLAN10关联.
[SwitchB]vsivpna2-18[SwitchB-vsi-vpna]vxlan10[SwitchB-vsi-vpna-vxlan-10]tunnel2[SwitchB-vsi-vpna-vxlan-10]tunnel3[SwitchB-vsi-vpna-vxlan-10]quit[SwitchB-vsi-vpna]quit#在接入服务器的接口Ten-GigabitEthernet1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN2的数据帧.
[SwitchB]interfaceten-gigabitethernet1/0/1[SwitchB-Ten-GigabitEthernet1/0/1]portlink-typetrunk[SwitchB-Ten-GigabitEthernet1/0/1]porttrunkpermitvlan2[SwitchB-Ten-GigabitEthernet1/0/1]service-instance1000[SwitchB-Ten-GigabitEthernet1/0/1-srv1000]encapsulations-vid2#配置以太网服务实例1000与VSI实例vpna关联.
[SwitchB-Ten-GigabitEthernet1/0/1-srv1000]xconnectvsivpna[SwitchB-Ten-GigabitEthernet1/0/1-srv1000]quit[SwitchB-Ten-GigabitEthernet1/0/1]quit(4)配置SwitchC#开启L2VPN能力.
system-view[SwitchC]l2vpnenable#创建VSI实例vpna和VXLAN10.
[SwitchC]vsivpna[SwitchC-vsi-vpna]vxlan10[SwitchC-vsi-vpna-vxlan-10]quit[SwitchC-vsi-vpna]quit#配置接口Loopback0的IP地址,作为隧道的源端地址.
[SwitchC]interfaceloopback0[SwitchC-Loopback0]ipaddress3.
3.
3.
3255.
255.
255.
255[SwitchC-Loopback0]quit#在SwitchA和SwitchC之间建立VXLAN隧道.
[SwitchC]interfacetunnel1modevxlan[SwitchC-Tunnel1]source3.
3.
3.
3[SwitchC-Tunnel1]destination1.
1.
1.
1[SwitchC-Tunnel1]quit#在SwitchB和SwitchC之间建立VXLAN隧道.
[SwitchC]interfacetunnel3modevxlan[SwitchC-Tunnel3]source3.
3.
3.
3[SwitchC-Tunnel3]destination2.
2.
2.
2[SwitchC-Tunnel3]quit#配置Tunnel1和Tunnel3与VXLAN10关联.
[SwitchC]vsivpna[SwitchC-vsi-vpna]vxlan10[SwitchC-vsi-vpna-vxlan-10]tunnel1[SwitchC-vsi-vpna-vxlan-10]tunnel3[SwitchC-vsi-vpna-vxlan-10]quit[SwitchC-vsi-vpna]quit2-19#在接入服务器的接口Ten-GigabitEthernet1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN2的数据帧.
[SwitchC]interfaceten-gigabitethernet1/0/1[SwitchC-Ten-GigabitEthernet1/0/1]portlink-typetrunk[SwitchC-Ten-GigabitEthernet1/0/1]porttrunkpermitvlan2[SwitchC-Ten-GigabitEthernet1/0/1]service-instance1000[SwitchC-Ten-GigabitEthernet1/0/1-srv1000]encapsulations-vid2#配置以太网服务实例1000与VSI实例vpna关联.
[SwitchC-Ten-GigabitEthernet1/0/1-srv1000]xconnectvsivpna[SwitchC-Ten-GigabitEthernet1/0/1-srv1000]quit[SwitchC-Ten-GigabitEthernet1/0/1]quit4.
验证配置(1)验证VTEP设备(下文以SwitchA为例,其它设备验证方法与此类似)#查看SwitchA上的Tunnel接口信息,可以看到VXLAN模式的Tunnel接口处于up状态.
[SwitchA]displayinterfacetunnel1Tunnel1Currentstate:UPLineprotocolstate:UPDescription:Tunnel1InterfaceBandwidth:64kbpsMaximumtransmissionunit:64000Internetprotocolprocessing:DisabledLastclearingofcounters:NeverTunnelsource1.
1.
1.
1,destination2.
2.
2.
2Tunnelprotocol/transportUDP_VXLAN/IPLast300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/secInput:0packets,0bytes,0dropsOutput:0packets,0bytes,0drops#查看SwitchA上的VSI信息,可以看到VSI内创建的VXLAN、与VXLAN关联的VXLAN隧道、与VSI关联的以太网服务实例等信息.
[SwitchA]displayl2vpnvsiverboseVSIName:vpnaVSIIndex:0VSIState:UpMTU:1500Bandwidth:-BroadcastRestrain:-MulticastRestrain:-UnknownUnicastRestrain:-MACLearning:EnabledMACTableLimit:-MACLearningrate:-DropUnknown:-Flooding:EnabledVXLANID:102-20Tunnels:TunnelNameLinkIDStateTypeFloodproxyTunnel10x5000001UpManualDisabledTunnel20x5000002UpManualDisabledACs:ACLinkIDStateTypeXGE1/0/1srv10000UpManual#查看SwitchA上VSI的MAC地址表项信息,可以看到已学习到的MAC地址信息.
displayl2vpnmac-addressMACAddressStateVSINameLinkID/NameAgingcc3e-5f9c-6cdbDynamicvpnaTunnel1Agingcc3e-5f9c-23dcDynamicvpnaTunnel2Aging---2macaddress(es)found---(2)验证主机虚拟机VM1、VM2、VM3之间可以互访.
2.
16.
2VXLAN核心复制配置举例1.
组网需求SwitchA、SwitchB、SwitchC为与服务器连接的VTEP设备.
虚拟机VM1、VM2和VM3同属于VXLAN10.
通过VXLAN实现不同站点间的二层互联,确保虚拟机在站点之间进行迁移时用户的访问流量不会中断.
具体需求为:不同VTEP之间手工建立VXLAN隧道.
手工关联VXLAN和VXLAN隧道.
通过源MAC地址动态学习远端MAC地址表项.
站点之间的泛洪流量采用核心复制的方式转发.
2-212.
组网图图2-2VXLAN核心复制组网图设备接口IP地址设备接口IP地址SwitchAVlan-int1111.
1.
1.
1/24SwitchCVlan-int1313.
1.
1.
3/24SwitchDVlan-int1111.
1.
1.
4/24SwitchEVlan-int1313.
1.
1.
5/24Vlan-int2121.
1.
1.
4/24Vlan-int2323.
1.
1.
5/24SwitchFVlan-int2121.
1.
1.
6/24SwitchGVlan-int1212.
1.
1.
7/24Vlan-int2222.
1.
1.
6/24Vlan-int2222.
1.
1.
7/24Vlan-int2323.
1.
1.
6/24SwitchBVlan-int1212.
1.
1.
2/24Loop06.
6.
6.
6/323.
配置步骤(1)配置IP地址和单播路由协议请按照图2-2配置各接口的IP地址和子网掩码,并在IP核心网络内配置OSPF协议,具体配置过程略.
(2)配置SwitchA#开启L2VPN能力.
system-view[SwitchA]l2vpnenable#使能IP组播路由.
[SwitchA]multicastrouting[SwitchA-mrib]quit#创建VSI实例vpna和VXLAN10.
[SwitchA]vsivpna[SwitchA-vsi-vpna]vxlan10TransportnetworkSwitchGSwitchBServer2VM2XGE1/0/1VLAN2Vlan-int12Vlan-int12SwitchCXGE1/0/1Server3VLAN2Vlan-int13Vlan-int13VM3SwitchAXGE1/0/1Server1VLAN2Vlan-int11Vlan-int11VM1SwitchDSwitchESwitchFVlan-int22Vlan-int22Vlan-int21Vlan-int21Vlan-int23Vlan-int23Loop02-22[SwitchA-vsi-vpna-vxlan-10]quit[SwitchA-vsi-vpna]quit#配置接口Vlan-interface11的IP地址,并在该接口上开启IGMP协议的主机功能.
[SwitchA]interfacevlan-interface11[SwitchA-Vlan-interface11]ipaddress11.
1.
1.
124[SwitchA-Vlan-interface11]igmphostenable[SwitchA-Vlan-interface11]quit#在SwitchA和SwitchB之间建立VXLAN隧道:创建模式为VXLAN的隧道接口Tunnel1指定隧道的源端地址为本地接口Vlan-interface11的地址11.
1.
1.
1指定隧道的目的端地址为SwitchB上接口Vlan-interface12的地址12.
1.
1.
2[SwitchA]interfacetunnel1modevxlan[SwitchA-Tunnel1]source11.
1.
1.
1[SwitchA-Tunnel1]destination12.
1.
1.
2[SwitchA-Tunnel1]quit#在SwitchA和SwitchC之间建立VXLAN隧道.
[SwitchA]interfacetunnel2modevxlan[SwitchA-Tunnel2]source11.
1.
1.
1[SwitchA-Tunnel2]destination13.
1.
1.
3[SwitchA-Tunnel2]quit#配置Tunnel1和Tunnel2与VXLAN10关联.
[SwitchA]vsivpna[SwitchA-vsi-vpna]vxlan10[SwitchA-vsi-vpna-vxlan-10]tunnel1[SwitchA-vsi-vpna-vxlan-10]tunnel2#配置VXLAN泛洪的组播地址为225.
1.
1.
1,组播报文的源IP地址为11.
1.
1.
1.
[SwitchA-vsi-vpna-vxlan-10]group225.
1.
1.
1source11.
1.
1.
1[SwitchA-vsi-vpna-vxlan-10]quit[SwitchA-vsi-vpna]quit#在接入服务器的接口Ten-GigabitEthernet1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN2的数据帧.
[SwitchA]interfaceten-gigabitethernet1/0/1[SwitchA-Ten-GigabitEthernet1/0/1]portlink-typetrunk[SwitchA-Ten-GigabitEthernet1/0/1]porttrunkpermitvlan2[SwitchA-Ten-GigabitEthernet1/0/1]service-instance1000[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]encapsulations-vid2#配置以太网服务实例1000与VSI实例vpna关联.
[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]xconnectvsivpna[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]quit[SwitchA-Ten-GigabitEthernet1/0/1]quit(3)配置SwitchB#开启L2VPN能力.
system-view[SwitchB]l2vpnenable#使能IP组播路由.
2-23[SwitchB]multicastrouting[SwitchB-mrib]quit#创建VSI实例vpna和VXLAN10.
[SwitchB]vsivpna[SwitchB-vsi-vpna]vxlan10[SwitchB-vsi-vpna-vxlan-10]quit[SwitchB-vsi-vpna]quit#配置接口Vlan-interface12的IP地址,并在该接口上开启IGMP协议的主机功能.
[SwitchB]interfacevlan-interface12[SwitchB-Vlan-interface12]ipaddress12.
1.
1.
224[SwitchB-Vlan-interface12]igmphostenable[SwitchB-Vlan-interface12]quit#在SwitchA和SwitchB之间建立VXLAN隧道.
[SwitchB]interfacetunnel2modevxlan[SwitchB-Tunnel2]source12.
1.
1.
2[SwitchB-Tunnel2]destination11.
1.
1.
1[SwitchB-Tunnel2]quit#在SwitchB和SwitchC之间建立VXLAN隧道.
[SwitchB]interfacetunnel3modevxlan[SwitchB-Tunnel3]source12.
1.
1.
2[SwitchB-Tunnel3]destination13.
1.
1.
3[SwitchB-Tunnel3]quit#配置Tunnel2和Tunnel3与VXLAN10关联.
[SwitchB]vsivpna[SwitchB-vsi-vpna]vxlan10[SwitchB-vsi-vpna-vxlan-10]tunnel2[SwitchB-vsi-vpna-vxlan-10]tunnel3#配置VXLAN泛洪的组播地址为225.
1.
1.
1,组播报文的源IP地址为12.
1.
1.
2.
[SwitchB-vsi-vpna-vxlan-10]group225.
1.
1.
1source12.
1.
1.
2[SwitchB-vsi-vpna-vxlan-10]quit[SwitchB-vsi-vpna]quit#在接入服务器的接口Ten-GigabitEthernet1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN2的数据帧.
[SwitchB]interfaceten-gigabitethernet1/0/1[SwitchB-Ten-GigabitEthernet1/0/1]portlink-typetrunk[SwitchB-Ten-GigabitEthernet1/0/1]porttrunkpermitvlan2[SwitchB-Ten-GigabitEthernet1/0/1]service-instance1000[SwitchB-Ten-GigabitEthernet1/0/1-srv1000]encapsulations-vid2#配置以太网服务实例1000与VSI实例vpna关联.
[SwitchB-Ten-GigabitEthernet1/0/1-srv1000]xconnectvsivpna[SwitchB-Ten-GigabitEthernet1/0/1-srv1000]quit[SwitchB-Ten-GigabitEthernet1/0/1]quit(4)配置SwitchC#开启L2VPN能力.
system-view[SwitchC]l2vpnenable2-24#使能IP组播路由.
[SwitchC]multicastrouting[SwitchC-mrib]quit#创建VSI实例vpna和VXLAN10.
[SwitchC]vsivpna[SwitchC-vsi-vpna]vxlan10[SwitchC-vsi-vpna-vxlan-10]quit[SwitchC-vsi-vpna]quit#配置接口Vlan-interface13的IP地址,并在该接口上开启IGMP协议的主机功能.
[SwitchC]interfacevlan-interface13[SwitchC-Vlan-interface13]ipaddress13.
1.
1.
324[SwitchC-Vlan-interface13]igmphostenable[SwitchC-Vlan-interface13]quit#在SwitchA和SwitchC之间建立VXLAN隧道.
[SwitchC]interfacetunnel1modevxlan[SwitchC-Tunnel1]source13.
1.
1.
3[SwitchC-Tunnel1]destination11.
1.
1.
1[SwitchC-Tunnel1]quit#在SwitchB和SwitchC之间建立VXLAN隧道.
[SwitchC]interfacetunnel3modevxlan[SwitchC-Tunnel3]source13.
1.
1.
3[SwitchC-Tunnel3]destination12.
1.
1.
2[SwitchC-Tunnel3]quit#配置Tunnel1和Tunnel3与VXLAN10关联.
[SwitchC]vsivpna[SwitchC-vsi-vpna]vxlan10[SwitchC-vsi-vpna-vxlan-10]tunnel1[SwitchC-vsi-vpna-vxlan-10]tunnel3#配置VXLAN泛洪的组播地址为225.
1.
1.
1,组播报文的源IP地址为13.
1.
1.
3.
[SwitchC-vsi-vpna-vxlan-10]group225.
1.
1.
1source13.
1.
1.
3[SwitchC-vsi-vpna-vxlan-10]quit[SwitchC-vsi-vpna]quit#在接入服务器的接口Ten-GigabitEthernet1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN2的数据帧.
[SwitchC]interfaceten-gigabitethernet1/0/1[SwitchC-Ten-GigabitEthernet1/0/1]portlink-typetrunk[SwitchC-Ten-GigabitEthernet1/0/1]porttrunkpermitvlan2[SwitchC-Ten-GigabitEthernet1/0/1]service-instance1000[SwitchC-Ten-GigabitEthernet1/0/1-srv1000]encapsulations-vid2#配置以太网服务实例1000与VSI实例vpna关联.
[SwitchC-Ten-GigabitEthernet1/0/1-srv1000]xconnectvsivpna[SwitchC-Ten-GigabitEthernet1/0/1-srv1000]quit[SwitchC-Ten-GigabitEthernet1/0/1]quit(5)配置SwitchD#使能IP组播路由.
2-25system-view[SwitchD]multicastrouting[SwitchD-mrib]quit#在接口Vlan-interface11上使能IGMP和PIM-SM.
[SwitchD]interfacevlan-interface11[SwitchD-Vlan-interface11]igmpenable[SwitchD-Vlan-interface11]pimsm[SwitchD-Vlan-interface11]quit#在接口Vlan-interface21上使能PIM-SM.
[SwitchD]interfacevlan-interface21[SwitchD-Vlan-interface21]pimsm[SwitchD-Vlan-interface21]quit#使能双向PIM.
[SwitchD]pim[SwitchD-pim]bidir-pimenable[SwitchD-pim]quit(6)配置SwitchE#使能IP组播路由.
system-view[SwitchE]multicastrouting[SwitchE-mrib]quit#在接口Vlan-interface13上使能IGMP和PIM-SM.
[SwitchE]interfacevlan-interface13[SwitchE-Vlan-interface13]igmpenable[SwitchE-Vlan-interface13]pimsm[SwitchE-Vlan-interface13]quit#在接口Vlan-interface23上使能PIM-SM.
[SwitchE]interfacevlan-interface23[SwitchE-Vlan-interface23]pimsm[SwitchE-Vlan-interface23]quit#使能双向PIM.
[SwitchE]pim[SwitchE-pim]bidir-pimenable[SwitchE-pim]quit(7)配置SwitchF#使能IP组播路由.
system-view[SwitchF]multicastrouting[SwitchF-mrib]quit#在各接口上使能PIM-SM.
[SwitchF]interfacevlan-interface21[SwitchF-Vlan-interface21]pimsm[SwitchF-Vlan-interface21]quit[SwitchF]interfacevlan-interface22[SwitchF-Vlan-interface22]pimsm2-26[SwitchF-Vlan-interface22]quit[SwitchF]interfacevlan-interface23[SwitchF-Vlan-interface23]pimsm[SwitchF-Vlan-interface23]quit[SwitchF]interfaceloopback0[SwitchF-LoopBack0]pimsm[SwitchF-LoopBack0]quit#使能双向PIM.
[SwitchF]pim[SwitchF-pim]bidir-pimenable#将接口Vlan-interface22配置为C-BSR,并将接口Loopback0配置为服务于双向PIM的C-RP.
[SwitchF-pim]c-bsr22.
1.
1.
6[SwitchF-pim]c-rp6.
6.
6.
6bidir[SwitchF-pim]quit(8)配置SwitchG#使能IP组播路由.
system-view[SwitchG]multicastrouting[SwitchG-mrib]quit#在接口Vlan-interface12上使能IGMP和PIM-SM.
[SwitchG]interfacevlan-interface12[SwitchG-Vlan-interface12]igmpenable[SwitchG-Vlan-interface12]pimsm[SwitchG-Vlan-interface12]quit#在接口Vlan-interface22上使能PIM-SM.
[SwitchG]interfacevlan-interface22[SwitchG-Vlan-interface22]pimsm[SwitchG-Vlan-interface22]quit#使能双向PIM.
[SwitchG]pim[SwitchG-pim]bidir-pimenable[SwitchG-pim]quit4.
验证配置(1)验证VTEP设备(下文以SwitchA为例,其它设备验证方法与此类似)#查看SwitchA上的Tunnel接口信息,可以看到VXLAN模式的Tunnel接口处于up状态.
[SwitchA]displayinterfacetunnel1Tunnel1Currentstate:UPLineprotocolstate:UPDescription:Tunnel1InterfaceBandwidth:64kbpsMaximumtransmissionunit:64000Internetprotocolprocessing:DisabledLastclearingofcounters:NeverTunnelsource11.
1.
1.
1,destination12.
1.
1.
22-27Tunnelprotocol/transportUDP_VXLAN/IPLast300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/secInput:0packets,0bytes,0dropsOutput:0packets,0bytes,0drops#查看SwitchA上的VSI信息,可以看到VSI内创建的VXLAN、与VXLAN关联的VXLAN隧道、与VSI关联的以太网服务实例等信息.
[SwitchA]displayl2vpnvsiverboseVSIName:vpnaVSIIndex:0VSIState:UpMTU:1500Bandwidth:-BroadcastRestrain:-MulticastRestrain:-UnknownUnicastRestrain:-MACLearning:EnabledMACTableLimit:-MACLearningrate:-DropUnknown:-Flooding:EnabledVXLANID:10Tunnels:TunnelNameLinkIDStateTypeFloodproxyTunnel10x5000001UpManualDisabledTunnel20x5000002UpManualDisabledMTunnel00x6000000UpAutoDisabledACs:ACLinkIDStateTypeXGE1/0/1srv10000UpManual#查看SwitchA上VSI的MAC地址表项信息,可以看到已学习到的MAC地址信息.
displayl2vpnmac-addressMACAddressStateVSINameLinkID/NameAgingcc3e-5f9c-6cdbDynamicvpnaTunnel1Agingcc3e-5f9c-23dcDynamicvpnaTunnel2Aging---2macaddress(es)found---#查看SwitchA上IGMP执行主机行为的所有组播组信息,可以看到接口Vlan-interface11下存在组播组225.
1.
1.
1的信息.
displayigmphostgroupIGMPhostgroupsintotal:1Vlan-interface11(11.
1.
1.
1):IGMPhostgroupsintotal:1GroupaddressMemberstateExpires225.
1.
1.
1IdleOff(2)验证主机虚拟机VM1、VM2、VM3之间可以互访.
3-13VXLANIP网关3.
1VXLANIP网关简介VXLAN可以为分散的物理站点提供二层互联.
如果要为VXLAN站点内的用户终端提供三层业务,则需要在网络中部署VXLANIP网关,以便站点内的用户终端通过VXLANIP网关与外界网络或其他VXLAN网络内的用户终端进行三层通信.
VXLANIP网关既可以部署在独立的物理设备上,也可以部署在VTEP设备上.
VXLANIP网关部署在VTEP设备上时,又分为集中式VXLANIP网关和分布式VXLANIP网关两种方式.
3.
1.
1独立的VXLANIP网关图3-1独立的VXLANIP网关示意图如图3-1所示,VXLANIP网关部署在独立的物理设备上时,VXLANIP网关作为物理站点接入VTEP,VXLAN业务对于网关设备透明.
用户终端通过VXLANIP网关与三层网络中的节点通信时,用户终端将三层报文封装成二层数据帧发送给VXLANIP网关.
VTEP对该数据帧进行VXLAN封装,并在IP核心网络上将其转发给远端VTEP(连接VXLANIP网关的VTEP).
远端VTEP对VXLAN报文进行解封装,并将原始的二层数据帧转发给VXLANIP网关.
VXLANIP网关去掉链路层封装后,对报文进行三层转发.
VXLANtunnelVXLANtunnelVXLANtunnelVTEPVTEPVTEPTerminalSite1Site3IP核心网络PVXLANIP网关L3networkTerminal3-23.
1.
2集中式VXLANIP网关图3-2集中式VXLANIP网关示意图如图3-2所示,集中式VXLANIP网关进行二层VXLAN业务终结的同时,还对内层封装的IP报文进行三层转发处理.
与独立的VXLANIP网关相比,该方式除了能够节省设备资源外,VXLANIP网关功能由VXLAN对应的三层虚接口(VSI虚接口)承担,三层业务的部署和控制也更加灵活和方便.

VXLANtunnelVXLANtunnelVXLANtunnelVTEPVTEPVTEP/集中式VXLANIP网关TerminalSite1Site3IP核心网络PL3networkTerminal3-3图3-3集中式VXLANIP网关的三层通信过程如图3-3所示,以地址为10.
1.
1.
11的用户终端为例,用户终端与外界网络进行三层通信的过程为:(1)用户终端(10.
1.
1.
11)跨网段进行三层通信时,先广播发送ARP请求消息,解析VXLANIP网关(10.
1.
1.
1)的MAC地址.
(2)VTEP1收到ARP请求消息后,添加VXLAN封装并发送给所有的远端VTEP.
(3)VTEP3解封装VXLAN报文后,发现ARP请求的目的IP为VXLAN对应的本地网关IP地址,即与VXLAN关联的VSI虚接口的IP地址,则学习10.
1.
1.
11的ARP信息,并向用户终端回应ARP应答消息.
(4)VTEP1收到ARP应答消息后,将该消息转发给用户终端.
(5)用户终端获取到网关的MAC地址后,为三层报文添加网关的MAC地址,通过VXLAN网络将二层数据帧发送给VTEP3.
(6)VTEP3解封装VXLAN报文,并去掉链路层头后,对内层封装的IP报文进行三层转发,将其发送给最终的目的节点.
(7)目的节点回复的报文到达网关后,网关根据已经学习到的ARP表项,为报文封装链路层头,并通过VXLAN网络将其发送给用户终端.
属于不同VXLAN网络的用户终端之间的通信过程与上述过程类似,不同之处在于一个VXLAN网络的集中式网关需要将报文转发给另一个VXLAN网络的集中式网关,再由该集中式网关将报文转发给本VXLAN内对应的用户终端.
VXLANtunnelVTEP1VTEP2TerminalTerminalTerminalVSI/VXLAN10VSI/VXLAN20VSI/VXLAN30TerminalTerminalTerminalVSI/VXLAN10VSI/VXLAN20VSI/VXLAN30IP核心网络P10.
1.
1.
1120.
1.
1.
1130.
1.
1.
1110.
1.
1.
1220.
1.
1.
1230.
1.
1.
12VXLANtunnelVXLANtunnelVTEP3/集中式VXLANIP网关VSI/VXLAN10VSI/VXLAN20VSI/VXLAN30VSI-interface1010.
1.
1.
1/24VSI-interface2020.
1.
1.
1/24VSI-interface3030.
1.
1.
1/24L3networkSite1Site23-43.
1.
3集中式VXLANIP网关保护组由单台设备承担站点内大量用户终端的集中式VXLANIP网关功能,对设备的处理资源占用较高,并且对于网关的单点故障没有保护措施.
通过集中式VXLANIP网关保护组,可以实现多台设备同时承担网关功能,在提供单点故障保护机制的同时,还可以实现上下行流量的负载分担.

图3-4集中式VXLANIP网关保护组示意图如图3-4所示,两台集中式VXLANIP网关形成保护组,两台设备上存在相同的VTEPIP,称为保护组的VTEPIP.
接入层VTEP与保护组的VTEPIP建立VXLAN隧道,将用户终端发送至其它网络的报文转发至保护组,保护组中的两台网关设备均可以接收并处理用户终端发往其它网络的流量.

保护组中的成员VTEP之间、每个成员VTEP与接入层VTEP之间还会采用成员自身的IP地址建立VXLAN隧道,以便进行协议通信和表项同步.
L3networkVXLANtunnel接入层VTEP接入层VTEP集中式VXLANIP网关保护组TerminalSite1Site2IP核心网络PVXLANtunnelVXLANtunnelTerminal3-53.
1.
4分布式VXLANIP网关1.
简介图3-5分布式VXLANIP网关示意图采用集中式VXLANIP网关方案时,不同VXLAN之间的流量以及VXLAN访问外界网络的流量全部由集中式VXLANIP网关处理,网关压力较大,并加剧了网络带宽资源的消耗.
如图3-5所示,在分布式VXLANIP网关方案中,每台VTEP设备都可以作为VXLANIP网关,对本地站点的流量进行三层转发,很好地缓解了网关的压力.
VXLANtunnelVXLANtunnelVTEP/分布式VXLANIP网关(GW)VTEPTerminalSite1L3networkVXLANtunnelVXLANtunnelSite2TerminalSite3TerminalSite4TerminalSite5TerminalSite6VTEP/分布式VXLANIP网关(GW)VTEP/分布式VXLANIP网关(GW)VTEP/连接外网的边界网关(Border)Terminal3-6图3-6分布式VXLANIP网关部署示意图如图3-6所示,在分布式VXLANIP网关组网中,所有的分布式VXLANIP网关(GW)上都需要创建VSI虚接口,并为不同GW上的相同VSI虚接口配置相同的IP地址,作为VXLAN内用户终端的网关地址.
在分布式VXLANIP网关上还需要开启本地代理ARP功能(IPv4网络)或本地ND代理功能(IPv6网络).
边界网关(Border)上也需要创建VSI虚接口,并配置IP地址.
采用分布式VXLANIP网关组网方案时,流量都通过查找ARP表项(IPv4网络)或ND表项(IPv6网络)进行三层转发.
2.
相同VXLAN内不同站点的用户终端通信过程如图3-6所示,以Terminal1访问Terminal4为例,相同VXLAN内不同站点的用户终端的通信过程为:(1)Terminal1广播发送ARP请求消息,获取Terminal4的MAC地址.
(2)GW1收到ARP请求消息后,学习Terminal1的ARP信息,并代理应答该ARP请求,即:向Terminal1发送ARP应答消息,应答的MAC地址为VSI虚接口10的MAC地址.
(3)Terminal1学习到Terminal4的MAC地址为GW1上VSI虚接口10的MAC地址.
(4)GW1将接收到的ARP请求消息中的源MAC地址修改为VSI虚接口10的MAC地址,对该消息进行VXLAN封装后,将其发送给VXLAN内的所有远端VTEP.
(5)GW2对VXLAN报文进行解封装后,学习Terminal1的ARP信息(IP为10.
1.
1.
11、MAC为GW1上VSI虚接口10的MAC、出接口为接收该VXLAN报文的Tunnel接口),并将ARP请求消息中的源MAC修改为本地VSI虚接口10的MAC地址,在VXLAN10的本地站点内进行广播.
VXLANtunnelGW1GW2Terminal1Terminal2Terminal3VSI/VXLAN10VSI/VXLAN20VSI/VXLAN30Terminal4Terminal5Terminal6VSI/VXLAN10VSI/VXLAN20VSI/VXLAN30P10.
1.
1.
1120.
1.
1.
1130.
1.
1.
1110.
1.
1.
1220.
1.
1.
1230.
1.
1.
12VXLANtunnelVXLANtunnelBorderVSI/VXLAN10VSI/VXLAN20VSI/VXLAN30VSI-interface1010.
1.
1.
2/24VSI-interface2020.
1.
1.
2/24VSI-interface3030.
1.
1.
2/24L3networkVSI-interface1010.
1.
1.
1/24VSI-interface2020.
1.
1.
1/24VSI-interface3030.
1.
1.
1/24Site1Site23-7(6)Terminal4收到ARP请求后,学习Terminal1的ARP信息(IP为10.
1.
1.
11、MAC为GW2上VSI虚接口10的MAC),并发送ARP应答消息给本地网关GW2.
(7)GW2从Terminal4收到ARP应答消息后,学习Terminal4的ARP信息,将ARP应答消息中的源MAC修改为本地VSI虚接口10的MAC地址,并根据已经学习到的ARP表项,为ARP应答消息添加VXLAN封装后发送给GW1.
(8)GW1对VXLAN报文进行解封装后,根据收到的ARP应答消息学习Terminal4的ARP信息(IP为10.
1.
1.
12、MAC为GW2上VSI虚接口10的MAC、出接口为接收该VXLAN报文的Tunnel接口).
(9)通过上述步骤完成ARP信息的学习后,Terminal1发送给Terminal4的报文,根据已经学习到的ARP信息进行转发:首先发送给GW1;GW1对其进行VXLAN封装后,将其发送给GW2;GW2解封装后,将其发送给Terminal4.
3.
不同VXLAN间不同站点的用户终端通信过程如图3-6所示,以Terminal1访问Terminal5为例,不同VXLAN的用户终端的通信过程为:(1)Terminal1广播发送ARP请求消息,获取网关10.
1.
1.
1的MAC地址.
(2)GW1收到ARP请求消息后,学习Terminal1的ARP信息,并向Terminal1发送ARP应答消息,应答的MAC地址为VSI虚接口10的MAC地址.
(3)Terminal1将访问Terminal5的报文发送给GW1.
(4)GW1在所有VXLAN内向本地站点和远端站点广播发送ARP请求,获取Terminal5的MAC地址.
ARP请求消息中的源IP地址为20.
1.
1.
1、源MAC地址为本地VSI虚接口20的MAC地址.
(5)GW2从VXLAN隧道上接收到VXLAN报文,对其进行解封装后,学习GW1的ARP信息(IP为20.
1.
1.
1、MAC为GW1上VSI虚接口20的MAC、出接口为接收该VXLAN报文的Tunnel接口),并将ARP请求消息中的源MAC修改为本地VSI虚接口20的MAC地址,在VXLAN20的本地站点内广播该ARP请求消息.
(6)Terminal5收到ARP请求后,学习GW2的ARP信息(IP为20.
1.
1.
1、MAC为GW2上VSI虚接口20的MAC),并发送ARP应答消息给本地网关GW2.
(7)GW2从Terminal5收到ARP应答消息后,学习Terminal5的ARP信息,将ARP应答消息中的源MAC修改为本地VSI虚接口20的MAC地址,并根据已经学习到的ARP表项,为ARP应答消息添加VXLAN封装后发送给GW1.
(8)GW1对VXLAN报文进行解封装后,根据收到的ARP应答消息学习Terminal5的ARP信息(IP为20.
1.
1.
12、MAC为GW2上VSI虚接口20的MAC、出接口为接收该VXLAN报文的Tunnel接口).
(9)通过上述步骤完成ARP信息的学习后,Terminal1发送给Terminal5的报文,根据已经学习到的ARP信息进行转发:首先发送给GW1;GW1对其进行VXLAN封装后,将其发送给GW2;GW2解封装后,将其发送给Terminal5.
4.
用户终端与外部网络的三层通信过程用户终端要想与外部网络进行三层通信,需要在接入用户终端的本地分布式VXLANIP网关上指定流量的下一跳为Border,可以通过如下方式来实现:在本地分布式VXLANIP网关上配置静态路由,指定路由下一跳为Border上同一个VXLAN对应VSI虚接口的IP地址.
3-8在本地分布式VXLANIP网关上配置策略路由,设置报文的下一跳为Border上同一个VXLAN对应VSI虚接口的IP地址.
如图3-6所示,以Terminal1访问外部网络内的主机50.
1.
1.
1为例,用户终端访问外部网络的三层通信过程为:(1)Terminal1广播发送ARP请求消息,获取网关10.
1.
1.
1的MAC地址.
(2)GW1收到ARP请求消息后,学习Terminal1的ARP信息,并向Terminal1发送ARP应答消息,应答的MAC地址为VSI虚接口10的MAC地址.
(3)Terminal1将访问外部网络的报文发送给GW1.
(4)GW1接收到报文后,根据策略路由判断报文的下一跳地址为10.
1.
1.
2.
GW1在VXLAN10内向本地站点和远端站点广播发送ARP请求消息,获取10.
1.
1.
2对应的MAC地址.
(5)Border对VXLAN报文进行解封装,学习GW1的ARP信息,并通过VXLAN隧道回复ARP应答消息.
(6)GW1对VXLAN报文进行解封装,并获取到10.
1.
1.
2的ARP信息.
(7)GW1根据获取到的信息为Terminal1发送的报文封装链路层地址(10.
1.
1.
2对应的MAC地址),并通过VXLAN隧道将报文发送给Border.
(8)Border对接收到的报文进行解封装后,对报文进行三层转发.
3.
2VXLANIP网关配置限制和指导3.
2.
1VXLANIP网关硬件限制配置VXLANIP网关时,VXLAN公网侧端口必须位于以下接口板上:FD系列接口板FE系列接口板SG系列接口板配置VXLANIP网关时,VXLAN用户侧端口除了不允许位于LSQM1SRP8X2QE0主控板之外,允许的所在接口板与"2.
1.
1VXLAN硬件限制"一致.
3.
2.
2VXLANIP网关软件限制VXLANIP网关功能不支持与以下特性组合使用:SuperVLAN、PrivateVLAN.
有关SuperVLAN和PrivateVLAN的介绍,请参见"二层技术-以太网交换配置指导"中的"SuperVLAN"和"PrivateVLAN".
建议不要在同一台设备上同时配置集中式VXLANIP网关和集中式VXLANIP网关保护组功能.
VXLANIP网关功能仅支持以下几种以太网服务实例:报文匹配规则为encapsulations-vidvlan-id或encapsulationuntagged,且接入模式为VLAN的以太网服务实例.
报文匹配规则为encapsulations-vidvlan-idc-vidvlan-id,且接入模式为VLAN的以太网服务实例.
该AC仅支持与配置相同的本地AC三层互通;与远端VTEP三层通信时,VXLAN隧道报文内层封装的以太网数据帧会携带c-vid(CustomerVLANID)标签.
3-9VXLANIP网关接口(VSI虚接口)仅支持如下协议类型:Telnet、TFTP、DHCP、ARP、ND、RADIUS、SSH、NTP、SNMP、NETCONF.
有关DHCP、ARP和ND协议的介绍,请分别参见"三层技术-IP业务配置指导"中的"DHCP"、"ARP"和"IPv6基础";有关RADIUS和SSH协议的介绍,请分别参见"安全配置指导"中的"AAA"和"SSH";有关NTP、SNMP和NETCONF协议的介绍,请分别参见"网络管理和监控配置指导"中的"NTP"、"SNMP"和"NETCONF".
3.
2.
3VXLANIP网关用户侧接口板使用限制以下接口板的端口上,如果以太网服务实例匹配两层VLAN标签的报文(encapsulation命令配置了s-vid和c-vid参数),则该以太网服务实例关联的VSI不支持VXLANIP网关功能.
下列SC系列接口板:LSQM2GP24TSSC0、LSQM2GP44TSSC0、LSQM2GT24PTSSC0、LSQM2GT24TSSC0、LSQM2GT48SC0、LSQM3GP44TSSC0、LSQM4GV48SC0EC系列接口板对于以上接口板,还有如下使用限制:这些接口板的端口上以太网服务实例关联的VSI,其网关接口(VSI虚接口)不支持策略路由.
对于这些接口板的端口上以太网实例关联的VSI,当不同的VSI指定同一网关接口时,该接口不支持应用ACL进行报文过滤.
有关应用ACL进行报文过滤的介绍,请参见"ACL和QoS配置指导"中的"ACL".
请不要将这些接口板上的接口关联到VPN实例(ipbindingvpn-instance),否则从这些接口上进入的流量不能进行VXLAN三层转发.
有关VPN实例的配置,请参见"MPLS配置指导"中的"MPLSL3VPN".
当用户VLAN流量从这些单板进入,并通过FE系列接口板或SG系列接口板的出接口进行VXLAN三层转发时,这些VXLAN报文内层封装的以太网数据帧会携带用户VLANTag.
3.
3VXLANIP网关配置准备配置集中式VXLANIP网关和分布式VXLANIP网关时,需要完成以下配置任务:创建VSI和VXLAN.
配置VXLAN隧道,并将VXLAN与VXLAN隧道关联.
3.
4配置集中式VXLANIP网关表3-1配置集中式VXLANIP网关操作命令说明进入系统视图system-view-创建VSI虚接口,并进入VSI虚接口视图interfacevsi-interfacevsi-interface-id缺省情况下,不存在VSI虚接口如果VSI虚接口已经存在,则直接进入该VSI虚接口视图配置VSI虚接口的IP地址ipaddressip-address{mask|mask-length}缺省情况下,未配置VSI虚接口的IP地址退回系统视图quit-3-10操作命令说明进入VXLAN所在VSI视图vsivsi-name-为VSI指定网关接口gatewayvsi-interfacevsi-interface-id缺省情况下,未指定VSI的网关接口3.
5配置集中式VXLANIP网关保护组3.
5.
1VXLANIP网关上的配置保护组中所有网关上的VXLAN配置需要保证完全一致.
表3-2配置集中式VXLANIP网关操作命令说明进入系统视图system-view-创建VSI虚接口,并进入VSI虚接口视图interfacevsi-interfacevsi-interface-id缺省情况下,不存在VSI虚接口如果VSI虚接口已经存在,则直接进入该VSI虚接口视图请在保护组中的每台网关上创建相同的VSI虚接口配置VSI虚接口的IP地址ipaddressip-address{mask|mask-length}缺省情况下,未配置VSI虚接口的IP地址请在保护组中的每台网关上配置相同的VSI虚接口IP地址配置VSI虚接口的MAC地址mac-addressmac-address缺省情况下,VSI虚接口的MAC地址为桥MAC地址+1保护组中所有网关上配置的MAC地址必须相同退回系统视图quit-进入VXLAN所在VSI视图vsivsi-name-为VSI指定网关接口gatewayvsi-interfacevsi-interface-id缺省情况下,未指定VSI的网关接口退回系统视图quit-将本设备加入VXLANIP网关保护组,并配置本设备的成员地址vtepgroupgroup-ipmemberlocalmember-ip缺省情况下,设备未加入VXLANIP网关保护组保护组中的每台VXLANIP网关上都要执行此配置.
member-ip为本设备的成员地址,该地址必须是设备上已经存在的IP地址,并且需要通过路由协议发布到IP网络同一个保护组中不同成员VTEP的地址不能相同3-11操作命令说明配置VXLANIP网关保护组的成员地址列表vtepgroupgroup-ipmemberremotemember-ip&缺省情况下,未配置VXLANIP网关保护组的成员地址列表保护组中每台VXLANIP网关上都要执行此配置,且必须输入保护组中所有其它成员的成员地址3.
6配置分布式VXLANIP网关3.
6.
1配置限制和指导分布式VXLANIP网关上所有公网侧端口都需要配置undomac-addressstaticsource-checkenable命令.
分布式网关上不能ping通该网关学习到的远端主机的ARP/ND表项对应的IPv4/IPv6地址.
分布式VXLANIP网关连接IPv4站点网络时,所有网关上都需要为相同VSI虚接口配置相同的MAC地址.
如果网关同时连接IPv4站点网络和IPv6站点网络,则不同分布式VXLANIP网关上需要为相同VSI虚接口配置不同的链路本地地址.
在分布式VXLANIP网关设备上,如果开启了ARP泛洪抑制功能,并在VSI虚接口上开启了本地代理ARP功能,则只有本地代理ARP功能生效.
建议不要在分布式VXLANIP网关设备上同时开启这两个功能.
有关ARP泛洪抑制功能的详细介绍请参见"2.
12配置ARP泛洪抑制".
3.
6.
2配置准备如果用户终端要想与外部网络进行三层通信,那么需要在接入用户终端的本地分布式VXLANIP网关上配置静态路由或策略路由:配置静态路由:指定路由的下一跳为Border上同一个VXLAN对应VSI虚接口的IP地址.
配置策略路由:通过applydefault-next-hop命令或applynext-hop命令设置报文的缺省下一跳或下一跳为Border上同一个VXLAN对应VSI虚接口的IP地址.
策略路由的配置方法,请参见"三层技术-IP路由配置指导"中的"策略路由".
3.
6.
3配置步骤表3-3配置分布式VXLANIP网关操作命令说明进入系统视图system-view-创建VSI虚接口,并进入VSI虚接口视图interfacevsi-interfacevsi-interface-id缺省情况下,不存在VSI虚接口如果VSI虚接口已经存在,则直接进入该VSI虚接口视图3-12操作命令说明配置VSI虚接口的IP地址或IPv6地址配置VSI虚接口的IP地址:ipaddressip-address{mask|mask-length}[sub]配置VSI虚接口的IPv6地址:IPv6地址的配置方法,请参见"三层技术-IP业务配置指导"中的"IPv6基础"缺省情况下,未配置VSI虚接口的IP地址和IPv6地址配置VSI虚接口为分布式网关接口distributed-gatewaylocal缺省情况下,VSI虚接口不是分布式本地网关接口开启本地代理ARP功能local-proxy-arpenable[ip-rangestartIPtoendIP]对于IPv4网络,必选缺省情况下,本地代理ARP功能处于关闭状态本命令的详细介绍,请参见"三层技术-IP业务命令参考"中的"代理ARP"开启本地ND代理功能local-proxy-ndenable对于IPv6网络,必选缺省情况下,本地ND代理功能处于关闭状态本命令的详细介绍,请参见"三层技术-IP业务命令参考"中的"IPv6基础"退回系统视图quit-(可选)开启分布式网关的动态ARP表项同步功能arpdistributed-gatewaydynamic-entrysynchronize缺省情况下,分布式网关的动态ARP表项同步功能处于关闭状态分布式VXLANIP网关上开启本地代理ARP功能时,需要开启本功能,以保证所有网关都能学习到ARP表项分布式VXLANIP网关之间也可以通过控制器或EVPN等在彼此之间同步ARP表项,此时无需开启本功能(可选)开启分布式网关的动态IPv6ND表项同步功能ipv6nddistributed-gatewaydynamic-entrysynchronize缺省情况下,分布式网关的动态IPv6ND表项同步功能处于关闭状态分布式VXLANIP网关上开启本地ND代理功能时,本地网关不会将目标IP地址为分布式网关VSI虚接口的IPv6ND报文转发给其他网关,只有本地网关能够学习到IPv6ND报文发送者的ND表项.
如果希望所有网关都能学习到该ND表项,需要开启分布式网关的动态IPv6ND表项同步功能分布式VXLANIP网关之间也可以通过控制器或EVPN等在彼此之间同步IPv6ND表项,此时无需开启本功能进入VXLAN所在VSI视图vsivsi-name-为VSI指定网关接口gatewayvsi-interfacevsi-interface-id缺省情况下,未指定VSI的网关接口3-13操作命令说明配置当前VSI所属的子网网段gatewaysubnet{ipv4-addresswildcard-mask|ipv6-addressprefix-length}缺省情况下,未指定VSI所属的子网网段为了节省分布式VXLANIP网关设备上的三层接口资源,在网关设备上多个VXLAN可以共用一个VSI虚接口,为VSI虚接口配置一个主IPv4地址和多个从IPv4地址、或多个IPv6地址,分别作为不同VXLAN内用户终端的网关地址多个VXLAN共用一个VSI虚接口时,网关设备无法判断从VSI虚接口接收到的报文属于哪个VXLAN.
为了解决该问题,需要在VSI视图下通过本命令指定VSI所属的子网网段,通过子网网段判断报文所属的VSI,并在该VSI内转发报文,从而限制广播报文范围,有效地节省带宽资源3.
7静态配置ARP表项VXLANIP网关既可以动态学习ARP表项,也可以通过本配置静态创建ARP表项.
表3-4静态配置ARP表项操作命令说明进入系统视图system-view-静态配置本地ARP表项arpstaticip-addressmac-addressvsi-interfacevsi-interface-idinterface-typeinterface-numberservice-instanceinstance-idvsivsi-name[vpn-instancevpn-instance-name]缺省情况下,不存在本地ARP表项本命令的详细介绍,请参见"三层技术-IP业务命令参考"中的"ARP"3-14操作命令说明静态配置远端ARP表项arpstaticip-addressmac-addressvsi-interfacevsi-interface-idtunnelnumbervsivsi-name[vpn-instancevpn-instance-name]缺省情况下,不存在远端ARP表项本命令的详细介绍,请参见"三层技术-IP业务命令参考"中的"ARP"3.
8配置VSI虚接口通过本配置,可以根据需要调整VSI虚接口的参数及状态.
表3-5配置VSI虚接口操作命令说明进入系统视图system-view-进入VSI虚接口视图interfacevsi-interfacevsi-interface-id-配置VSI虚接口的MAC地址mac-addressmac-address缺省情况下,VSI虚接口的MAC地址为桥MAC地址+1(可选)配置接口的描述信息descriptiontext缺省情况下,接口的描述信息为"接口名Interface",例如:Vsi-interface100Interface(可选)配置接口的MTUmtumtu-value缺省情况下,VSI虚接口的MTU值为1444字节(可选)配置接口的期望带宽bandwidthbandwidth-value缺省情况下,接口的期望带宽=接口的波特率÷1000(kbps)(可选)恢复接口的缺省配置default-(可选)开启VSI虚接口的ARP报文发送限速功能arpsend-ratepps缺省情况下,VSI虚接口的ARP报文发送限速功能处于关闭状态开启VSI虚接口undoshutdown缺省情况下,VSI虚接口处于开启状态3-153.
9VXLANIP网关显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后VXLANIP网关的运行情况,通过查看显示信息验证配置的效果.
表3-6VXLANIP网关显示和维护操作命令显示VSI虚接口信息displayinterface[vsi-interface[vsi-interface-id]][brief[description|down]]3.
10VXLANIP网关典型配置举例3.
10.
1集中式VXLANIP网关配置举例1.
组网需求SwitchA、SwitchC为与服务器连接的VTEP设备,SwitchB为与广域网连接的集中式VXLANIP网关设备,SwitchE为广域网内的三层交换机.
虚拟机VM1、VM2同属于VXLAN10,通过VXLAN实现不同站点间的二层互联,并通过VXLANIP网关与广域网三层互联.
具体需求为:不同VTEP之间手工建立VXLAN隧道.
手工关联VXLAN和VXLAN隧道.
通过源MAC地址动态学习远端MAC地址表项.
站点之间的泛洪流量采用头端复制的方式转发.
2.
组网图图3-7集中式VXLANIP网关配置组网图SwitchASwitchCTransportnetworkSwitchDXGE1/0/1XGE1/0/1SwitchBServer1VM1Server2VM2Loop01.
1.
1.
1/32Loop03.
3.
3.
3/32Loop02.
2.
2.
2/32VLAN2VLAN2Vlan-int1111.
1.
1.
1/24Vlan-int1313.
1.
1.
4/24Vlan-int1212.
1.
1.
2/24Vlan-int1111.
1.
1.
4/24Vlan-int1313.
1.
1.
3/24Vlan-int1212.
1.
1.
4/24VSI-int110.
1.
1.
1/24Vlan-int2020.
1.
1.
5/24Vlan-int2020.
1.
1.
2/24SwitchE10.
1.
1.
1110.
1.
1.
123-163.
配置步骤(1)配置IP地址和单播路由协议#在VM1和VM2上指定网关地址为10.
1.
1.
1.
(具体配置过程略)#请按照图3-7配置各接口的IP地址和子网掩码;在IP核心网络内配置OSPF协议,确保交换机之间路由可达;配置SwitchB和SwitchE上发布10.
1.
1.
0/24和20.
1.
1.
0/24网段的路由.
(具体配置过程略)(2)配置SwitchA#开启L2VPN能力.
system-view[SwitchA]l2vpnenable#创建VSI实例vpna和VXLAN10.
[SwitchA]vsivpna[SwitchA-vsi-vpna]vxlan10[SwitchA-vsi-vpna-vxlan-10]quit[SwitchA-vsi-vpna]quit#配置接口Loopback0的IP地址,作为隧道的源端地址.
[SwitchA]interfaceloopback0[SwitchA-Loopback0]ipaddress1.
1.
1.
1255.
255.
255.
255[SwitchA-Loopback0]quit#在SwitchA和SwitchB之间建立VXLAN隧道:创建模式为VXLAN的隧道接口Tunnel1.
指定隧道的源端地址为本地接口Loopback0的地址1.
1.
1.
1.
指定隧道的目的端地址为SwitchB上接口Loopback0的地址2.
2.
2.
2.
[SwitchA]interfacetunnel1modevxlan[SwitchA-Tunnel1]source1.
1.
1.
1[SwitchA-Tunnel1]destination2.
2.
2.
2[SwitchA-Tunnel1]quit#在SwitchA和SwitchC之间建立VXLAN隧道.
[SwitchA]interfacetunnel2modevxlan[SwitchA-Tunnel2]source1.
1.
1.
1[SwitchA-Tunnel2]destination3.
3.
3.
3[SwitchA-Tunnel2]quit#配置Tunnel1和Tunnel2与VXLAN10关联.
[SwitchA]vsivpna[SwitchA-vsi-vpna]vxlan10[SwitchA-vsi-vpna-vxlan-10]tunnel1[SwitchA-vsi-vpna-vxlan-10]tunnel2[SwitchA-vsi-vpna-vxlan-10]quit[SwitchA-vsi-vpna]quit#在接入服务器的接口Ten-GigabitEthernet1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN2的数据帧.
[SwitchA]interfaceten-gigabitethernet1/0/1[SwitchA-Ten-GigabitEthernet1/0/1]portlink-typetrunk[SwitchA-Ten-GigabitEthernet1/0/1]porttrunkpermitvlan23-17[SwitchA-Ten-GigabitEthernet1/0/1]service-instance1000[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]encapsulations-vid2#配置以太网服务实例1000与VSI实例vpna关联.
[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]xconnectvsivpna[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]quit[SwitchA-Ten-GigabitEthernet1/0/1]quit(3)配置SwitchB#开启L2VPN能力.
system-view[SwitchB]l2vpnenable#创建VSI实例vpna和VXLAN10.
[SwitchB]vsivpna[SwitchB-vsi-vpna]vxlan10[SwitchB-vsi-vpna-vxlan-10]quit[SwitchB-vsi-vpna]quit#配置接口Loopback0的IP地址,作为隧道的源端地址.
[SwitchB]interfaceloopback0[SwitchB-Loopback0]ipaddress2.
2.
2.
2255.
255.
255.
255[SwitchB-Loopback0]quit#在SwitchA和SwitchB之间建立VXLAN隧道.
[SwitchB]interfacetunnel2modevxlan[SwitchB-Tunnel2]source2.
2.
2.
2[SwitchB-Tunnel2]destination1.
1.
1.
1[SwitchB-Tunnel2]quit#在SwitchB和SwitchC之间建立VXLAN隧道.
[SwitchB]interfacetunnel3modevxlan[SwitchB-Tunnel3]source2.
2.
2.
2[SwitchB-Tunnel3]destination3.
3.
3.
3[SwitchB-Tunnel3]quit#配置Tunnel2和Tunnel3与VXLAN10关联.
[SwitchB]vsivpna[SwitchB-vsi-vpna]vxlan10[SwitchB-vsi-vpna-vxlan-10]tunnel2[SwitchB-vsi-vpna-vxlan-10]tunnel3[SwitchB-vsi-vpna-vxlan-10]quit[SwitchB-vsi-vpna]quit#创建VSI虚接口VSI-interface1,并为其配置IP地址,该IP地址作为VXLAN10内虚拟机的网关地址.
[SwitchB]interfacevsi-interface1[SwitchB-Vsi-interface1]ipaddress10.
1.
1.
1255.
255.
255.
0[SwitchB-Vsi-interface1]quit#配置VXLAN10所在的VSI实例和接口VSI-interface1关联.
[SwitchB]vsivpna[SwitchB-vsi-vpna]gatewayvsi-interface1[SwitchB-vsi-vpna]quit3-18(4)配置SwitchC#开启L2VPN能力.
system-view[SwitchC]l2vpnenable#创建VSI实例vpna和VXLAN10.
[SwitchC]vsivpna[SwitchC-vsi-vpna]vxlan10[SwitchC-vsi-vpna-vxlan-10]quit[SwitchC-vsi-vpna]quit#配置接口Loopback0的IP地址,作为隧道的源端地址.
[SwitchC]interfaceloopback0[SwitchC-Loopback0]ipaddress3.
3.
3.
3255.
255.
255.
255[SwitchC-Loopback0]quit#在SwitchA和SwitchC之间建立VXLAN隧道.
[SwitchC]interfacetunnel1modevxlan[SwitchC-Tunnel1]source3.
3.
3.
3[SwitchC-Tunnel1]destination1.
1.
1.
1[SwitchC-Tunnel1]quit#在SwitchB和SwitchC之间建立VXLAN隧道.
[SwitchC]interfacetunnel3modevxlan[SwitchC-Tunnel3]source3.
3.
3.
3[SwitchC-Tunnel3]destination2.
2.
2.
2[SwitchC-Tunnel3]quit#配置Tunnel1和Tunnel3与VXLAN10关联.
[SwitchC]vsivpna[SwitchC-vsi-vpna]vxlan10[SwitchC-vsi-vpna-vxlan-10]tunnel1[SwitchC-vsi-vpna-vxlan-10]tunnel3[SwitchC-vsi-vpna-vxlan-10]quit[SwitchC-vsi-vpna]quit#在接入服务器的接口Ten-GigabitEthernet1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN2的数据帧.
[SwitchC]interfaceten-gigabitethernet1/0/1[SwitchC-Ten-GigabitEthernet1/0/1]portlink-typetrunk[SwitchC-Ten-GigabitEthernet1/0/1]porttrunkpermitvlan2[SwitchC-Ten-GigabitEthernet1/0/1]service-instance1000[SwitchC-Ten-GigabitEthernet1/0/1-srv1000]encapsulations-vid2#配置以太网服务实例1000与VSI实例vpna关联.
[SwitchC-Ten-GigabitEthernet1/0/1-srv1000]xconnectvsivpna[SwitchC-Ten-GigabitEthernet1/0/1-srv1000]quit[SwitchC-Ten-GigabitEthernet1/0/1]quit4.
验证配置(1)验证VXLANIP网关设备SwitchB#查看SwitchB上的Tunnel接口信息,可以看到VXLAN模式的Tunnel接口处于up状态.
[SwitchB]displayinterfacetunnel23-19Tunnel2Currentstate:UPLineprotocolstate:UPDescription:Tunnel1InterfaceBandwidth:64kbpsMaximumtransmissionunit:64000Internetprotocolprocessing:DisabledLastclearingofcounters:NeverTunnelsource2.
2.
2.
2,destination1.
1.
1.
1Tunnelprotocol/transportUDP_VXLAN/IPLast300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/secInput:0packets,0bytes,0dropsOutput:0packets,0bytes,0drops#查看SwitchB上的VSI虚接口信息,可以看到VSI虚接口处于up状态.
[SwitchB]displayinterfaceVsi-interface1Vsi-interface1Currentstate:UPLineprotocolstate:UPDescription:Vsi-interface100InterfaceBandwidth:1000000kbpsMaximumtransmissionunit:1500Internetaddress:10.
1.
1.
1/24(primary)IPpacketframetype:EthernetII,hardwareaddress:0011-2200-0102IPv6packetframetype:EthernetII,hardwareaddress:0011-2200-0102Physical:Unknown,baudrate:1000000kbpsLastclearingofcounters:NeverLast300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/secInput:0packets,0bytes,0dropsOutput:0packets,0bytes,0drops#查看SwitchB上的VSI信息,可以看到VSI内创建的VXLAN、与VXLAN关联的VXLAN隧道、与VSI关联的VSI虚接口等信息.
[SwitchB]displayl2vpnvsiverboseVSIName:vpnaVSIIndex:0VSIState:UpMTU:1500Bandwidth:-BroadcastRestrain:-MulticastRestrain:-UnknownUnicastRestrain:-MACLearning:EnabledMACTableLimit:-MACLearningrate:-DropUnknown:-Flooding:EnabledGatewayinterface:VSI-interface13-20VXLANID:10Tunnels:TunnelNameLinkIDStateTypeFloodproxyTunnel20x5000002UpManualDisabledTunnel30x5000003UpManualDisabled#查看SwitchB上VSI的ARP表项信息,可以看到已学习到了虚拟机的ARP信息.
[SwitchB]displayarpType:S-StaticD-DynamicO-OpenflowR-RuleM-MultiportI-InvalidIPaddressMACaddressVIDInterface/LinkIDAgingType20.
1.
1.
5000c-29c1-5e46N/AVlan2019D10.
1.
1.
110000-1234-0001N/A0x020D10.
1.
1.
120000-1234-0002N/A0x019D#查看SwitchB上FIB表项信息,可以看到已学习到了虚拟机的转发表项信息.
[SwitchB]displayfib10.
1.
1.
11Destinationcount:1FIBentrycount:1Flag:U:UseableG:GatewayH:HostB:BlackholeD:DynamicS:StaticR:RelayF:FRRDestination/MaskNexthopFlagOutInterface/TokenLabel10.
1.
1.
11/3210.
1.
1.
11UHVsi100Null(2)验证主机和广域网互访虚拟机VM1、VM2之间可以互访,VM1、VM2和SwitchE上接口Vlan-interface20的地址20.
1.
1.
5之间可以互访.
3.
10.
2集中式VXLANIP网关保护组配置举例1.
组网需求SwitchA为与服务器连接的VTEP设备,SwitchB和SwitchC为与广域网连接的集中式VXLANIP网关设备.
虚拟机VM1属于VXLAN10,通过VXLANIP网关保护组实现SwitchB和SwitchC能够同时为VM1的跨网络报文进行三层转发,同时实现网关设备的备份.
3-212.
组网图图3-8集中式VXLANIP网关保护组配置组网图3.
配置步骤(1)配置IP地址和单播路由协议#在VM1上指定网关地址为10.
1.
1.
1.
(具体配置过程略)#请按照图3-8配置各接口的IP地址和子网掩码,并在IP核心网络内配置OSPF协议.
(具体配置过程略)(2)配置SwitchA#开启L2VPN能力.
system-view[SwitchA]l2vpnenable#创建VSI实例vpna和VXLAN10.
[SwitchA]vsivpna[SwitchA-vsi-vpna]vxlan10[SwitchA-vsi-vpna-vxlan10]quit[SwitchA-vsi-vpna]quit#配置接口Loopback0的IP地址,作为隧道的源端地址.
[SwitchA]interfaceloopback0[SwitchA-Loopback0]ipaddress1.
1.
1.
1255.
255.
255.
255[SwitchA-Loopback0]quit#在SwitchA和VXLANIP保护组之间建立VXLAN隧道:创建模式为VXLAN的隧道接口Tunnel1.
指定隧道的源端地址为本地接口Loopback0的地址1.
1.
1.
1.
指定隧道的目的端地址为SwitchB和SwitchC上同时存在的接口Loopback0的地址2.
2.
2.
2.
[SwitchA]interfacetunnel1modevxlan[SwitchA-Tunnel1]source1.
1.
1.
1[SwitchA-Tunnel1]destination2.
2.
2.
2[SwitchA-Tunnel1]quitLoop14.
4.
4.
4/32Loop13.
3.
3.
3/32SwitchBSwitchCTransportnetworkSwitchDSwitchAServer1VM1Loop02.
2.
2.
2/32Loop02.
2.
2.
2/32Loop01.
1.
1.
1/32VLAN2Vlan-int1111.
1.
1.
1/24Vlan-int1313.
1.
1.
4/24Vlan-int1212.
1.
1.
2/24Vlan-int1111.
1.
1.
4/24Vlan-int1313.
1.
1.
3/24Vlan-int1212.
1.
1.
4/24VSI-int110.
1.
1.
1/2410.
1.
1.
12VSI-int110.
1.
1.
1/24XGE1/0/13-22#配置Tunnel1与VXLAN10关联.
[SwitchA]vsivpna[SwitchA-vsi-vpna]vxlan10[SwitchA-vsi-vpna-vxlan10]tunnel1[SwitchA-vsi-vpna-vxlan10]quit[SwitchA-vsi-vpna]quit#在接入服务器的接口Ten-GigabitEthernet1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN2的数据帧.
[SwitchA]interfaceten-gigabitethernet1/0/1[SwitchA-Ten-GigabitEthernet1/0/1]portlink-typetrunk[SwitchA-Ten-GigabitEthernet1/0/1]porttrunkpermitvlan2[SwitchA-Ten-GigabitEthernet1/0/1]service-instance1000[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]encapsulations-vid2#配置以太网服务实例1000与VSI实例vpna关联.
[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]xconnectvsivpna[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]quit[SwitchA-Ten-GigabitEthernet1/0/1]quit(3)配置SwitchB#开启L2VPN能力.
system-view[SwitchB]l2vpnenable#创建VSI实例vpna和VXLAN10.
[SwitchB]vsivpna[SwitchB-vsi-vpna]vxlan10[SwitchB-vsi-vpna-vxlan10]quit[SwitchB-vsi-vpna]quit#配置接口Loopback0的IP地址,作为保护组的VTEPIP地址.
[SwitchB]interfaceloopback0[SwitchB-Loopback0]ipaddress2.
2.
2.
2255.
255.
255.
255[SwitchB-Loopback0]quit#配置接口Loopback1的IP地址,作为保护组的成员地址.
[SwitchB]interfaceloopback1[SwitchB-Loopback1]ipaddress3.
3.
3.
3255.
255.
255.
255[SwitchB-Loopback1]quit#在VXLANIP网关保护组和SwitchA之间建立VXLAN隧道.
[SwitchB]interfacetunnel2modevxlan[SwitchB-Tunnel2]source2.
2.
2.
2[SwitchB-Tunnel2]destination1.
1.
1.
1[SwitchB-Tunnel2]quit#配置Tunnel2与VXLAN10关联.
[SwitchB]vsivpna[SwitchB-vsi-vpna]vxlan10[SwitchB-vsi-vpna-vxlan10]tunnel2[SwitchB-vsi-vpna-vxlan10]quit[SwitchB-vsi-vpna]quit3-23#创建VSI虚接口VSI-interface1,为其配置IP地址和MAC地址,该IP地址作为VXLAN10内虚拟机的网关地址,并指定该接口的MAC地址.
[SwitchB]interfacevsi-interface1[SwitchB-Vsi-interface1]ipaddress10.
1.
1.
1255.
255.
255.
0[SwitchB-Vsi-interface1]mac-address2-2-2[SwitchB-Vsi-interface1]quit#配置VXLAN10所在的VSI实例和接口VSI-interface1关联.
[SwitchB]vsivpna[SwitchB-vsi-vpna]gatewayvsi-interface1[SwitchB-vsi-vpna]quit#配置VXLANIP网关保护组,并配置本地成员地址.
[SwitchB]vtepgroup2.
2.
2.
2memberlocal3.
3.
3.
3#配置VXLANIP网关保护组的其它成员地址.
[SwitchB]vtepgroup2.
2.
2.
2memberremote4.
4.
4.
4(4)配置SwitchC#开启L2VPN能力.
system-view[SwitchC]l2vpnenable#创建VSI实例vpna和VXLAN10.
[SwitchC]vsivpna[SwitchC-vsi-vpna]vxlan10[SwitchC-vsi-vpna-vxlan10]quit[SwitchC-vsi-vpna]quit#配置接口Loopback0的IP地址,作为数据隧道的源端地址.
[SwitchC]interfaceloopback0[SwitchC-Loopback0]ipaddress2.
2.
2.
2255.
255.
255.
255[SwitchC-Loopback0]quit#配置接口Loopback1的IP地址,作为保护组的成员地址.
[SwitchC]interfaceloopback1[SwitchC-Loopback1]ipaddress4.
4.
4.
4255.
255.
255.
255[SwitchC-Loopback1]quit#在VXLANIP网关保护组和SwitchA之间建立VXLAN隧道.
[SwitchC]interfacetunnel2modevxlan[SwitchC-Tunnel2]source2.
2.
2.
2[SwitchC-Tunnel2]destination1.
1.
1.
1[SwitchC-Tunnel2]quit#配置Tunnel2与VXLAN10关联.
[SwitchC]vsivpna[SwitchC-vsi-vpna]vxlan10[SwitchC-vsi-vpna-vxlan10]tunnel2[SwitchC-vsi-vpna-vxlan10]quit[SwitchC-vsi-vpna]quit#创建VSI虚接口VSI-interface1,为其配置IP地址和MAC地址,该IP地址作为VXLAN10内虚拟机的网关地址,并指定该接口的MAC地址.
[SwitchC]interfacevsi-interface13-24[SwitchC-Vsi-interface1]ipaddress10.
1.
1.
1255.
255.
255.
0[SwitchC-Vsi-interface1]mac-address2-2-2[SwitchC-Vsi-interface1]quit#配置VXLAN10所在的VSI实例和接口VSI-interface1关联.
[SwitchC]vsivpna[SwitchC-vsi-vpna]gatewayvsi-interface1[SwitchC-vsi-vpna]quit#配置VXLANIP网关保护组,并配置本地成员地址.
[SwitchC]vtepgroup2.
2.
2.
2memberlocal4.
4.
4.
4#配置VXLANIP网关保护组的其它成员地址.
[SwitchC]vtepgroup2.
2.
2.
2memberremote3.
3.
3.
33.
10.
3分布式VXLANIP网关连接IPv4网络配置举例1.
组网需求SwitchA、SwitchC为分布式VXLANIP网关设备,SwitchB为与广域网连接的边界网关设备,SwitchE为广域网内的三层交换机.
虚拟机VM1属于VXLAN10,VM2属于VXLAN20,VM3属于VXLAN30.
通过分布式VXLANIP网关实现不同VXLAN网络的三层互联,并通过边界网关实现与广域网的三层互联.
具体需求为:不同VTEP之间手工建立VXLAN隧道.
手工关联VXLAN和VXLAN隧道.
站点之间的泛洪流量采用头端复制的方式转发.
VM1、VM2、VM3之间可以互访,且VM1、VM2和VM3都可以访问外部网络.
3-252.
组网图图3-9分布式VXLANIP网关连接IPv4网络配置组网图3.
配置步骤(1)配置IP地址和单播路由协议#在VM1、VM2和VM3上分别指定网关地址为10.
1.
1.
1、10.
1.
2.
1、20.
1.
1.
1.
(具体配置过程略)#请按照图3-9配置各接口的IP地址和子网掩码;在IP核心网络内配置OSPF协议,确保交换机之间路由可达;配置SwitchB和SwitchE发布10.
1.
1.
0/24、10.
1.
2.
0/24、20.
1.
1.
0/24和25.
1.
1.
0/24网段的路由.
(具体配置过程略)(2)配置SwitchA#开启L2VPN能力.
system-view[SwitchA]l2vpnenable#创建VSI实例vpna和VXLAN10.
[SwitchA]vsivpna[SwitchA-vsi-vpna]vxlan10[SwitchA-vsi-vpna-vxlan-10]quit[SwitchA-vsi-vpna]quit#创建VSI实例vpnb和VXLAN20.
[SwitchA]vsivpnb[SwitchA-vsi-vpnb]vxlan20[SwitchA-vsi-vpnb-vxlan-20]quit[SwitchA-vsi-vpnb]quit#创建VSI实例vpnc和VXLAN30.
[SwitchA]vsivpnc[SwitchA-vsi-vpnc]vxlan30SwitchASwitchCTransportnetworkSwitchDXGE1/0/1XGE1/0/1SwitchBServer1VM1Server3VM3Loop01.
1.
1.
1/32Loop03.
3.
3.
3/32Loop02.
2.
2.
2/32VLAN2VLAN4Vlan-int1111.
1.
1.
1/24Vlan-int1313.
1.
1.
4/24Vlan-int1212.
1.
1.
2/24Vlan-int1111.
1.
1.
4/24Vlan-int1313.
1.
1.
3/24Vlan-int1212.
1.
1.
4/24Vlan-int2025.
1.
1.
5/24Vlan-int2025.
1.
1.
2/24SwitchE10.
1.
1.
1120.
1.
1.
12Server2VM2VLAN310.
1.
2.
11XGE1/0/3VSI-int110.
1.
1.
1/2420.
1.
1.
1/24subVSI-int210.
1.
2.
1/24VSI-int110.
1.
1.
1/2420.
1.
1.
1/24subVSI-int210.
1.
2.
1/24VSI-int110.
1.
1.
2/24VSI-int210.
1.
2.
2/24VSI-int320.
1.
1.
2/243-26[SwitchA-vsi-vpnc-vxlan-30]quit[SwitchA-vsi-vpnc]quit#配置接口Loopback0的IP地址,作为隧道的源端地址.
[SwitchA]interfaceloopback0[SwitchA-Loopback0]ipaddress1.
1.
1.
1255.
255.
255.
255[SwitchA-Loopback0]quit#在SwitchA和SwitchB之间建立VXLAN隧道:创建模式为VXLAN的隧道接口Tunnel1.
指定隧道的源端地址为本地接口Loopback0的地址1.
1.
1.
1.
指定隧道的目的端地址为SwitchB上接口Loopback0的地址2.
2.
2.
2.
[SwitchA]interfacetunnel1modevxlan[SwitchA-Tunnel1]source1.
1.
1.
1[SwitchA-Tunnel1]destination2.
2.
2.
2[SwitchA-Tunnel1]quit#在SwitchA和SwitchC之间建立VXLAN隧道.
[SwitchA]interfacetunnel2modevxlan[SwitchA-Tunnel2]source1.
1.
1.
1[SwitchA-Tunnel2]destination3.
3.
3.
3[SwitchA-Tunnel2]quit#配置Tunnel1和Tunnel2与VXLAN10关联.
[SwitchA]vsivpna[SwitchA-vsi-vpna]vxlan10[SwitchA-vsi-vpna-vxlan-10]tunnel1[SwitchA-vsi-vpna-vxlan-10]tunnel2[SwitchA-vsi-vpna-vxlan-10]quit[SwitchA-vsi-vpna]quit#配置Tunnel1和Tunnel2与VXLAN20关联.
[SwitchA]vsivpnb[SwitchA-vsi-vpnb]vxlan20[SwitchA-vsi-vpnb-vxlan-20]tunnel1[SwitchA-vsi-vpnb-vxlan-20]tunnel2[SwitchA-vsi-vpnb-vxlan-20]quit[SwitchA-vsi-vpnb]quit#配置Tunnel2与VXLAN30关联.
[SwitchA]vsivpnc[SwitchA-vsi-vpnc]vxlan30[SwitchA-vsi-vpnc-vxlan-30]tunnel2[SwitchA-vsi-vpnc-vxlan-30]quit[SwitchA-vsi-vpnc]quit#在接入VM1的接口Ten-GigabitEthernet1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN2的数据帧.
[SwitchA]interfaceten-gigabitethernet1/0/1[SwitchA-Ten-GigabitEthernet1/0/1]portlink-typetrunk[SwitchA-Ten-GigabitEthernet1/0/1]porttrunkpermitvlan2[SwitchA-Ten-GigabitEthernet1/0/1]service-instance1000[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]encapsulations-vid23-27#配置以太网服务实例1000与VSI实例vpna关联.
[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]xconnectvsivpna[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]quit[SwitchA-Ten-GigabitEthernet1/0/1]quit#在接入VM2的接口Ten-GigabitEthernet1/0/3上创建以太网服务实例1000,该实例用来匹配VLAN3的数据帧.
[SwitchA]interfaceten-gigabitethernet1/0/3[SwitchA-Ten-GigabitEthernet1/0/3]portlink-typetrunk[SwitchA-Ten-GigabitEthernet1/0/3]porttrunkpermitvlan3[SwitchA-Ten-GigabitEthernet1/0/3]service-instance1000[SwitchA-Ten-GigabitEthernet1/0/3-srv1000]encapsulations-vid3#配置以太网服务实例1000与VSI实例vpnb关联.
[SwitchA-Ten-GigabitEthernet1/0/3-srv1000]xconnectvsivpnb[SwitchA-Ten-GigabitEthernet1/0/3-srv1000]quit[SwitchA-Ten-GigabitEthernet1/0/3]quit#创建VSI虚接口VSI-interface1,并为其配置IP地址和MAC地址,该IP地址作为VXLAN10内虚拟机的网关地址,指定该VSI虚接口为分布式本地网关接口,并开启本地代理ARP功能.
[SwitchA]interfacevsi-interface1[SwitchA-Vsi-interface1]ipaddress10.
1.
1.
1255.
255.
255.
0[SwitchA-Vsi-interface1]mac-address1-1-1[SwitchA-Vsi-interface1]distributed-gatewaylocal[SwitchA-Vsi-interface1]local-proxy-arpenable[SwitchA-Vsi-interface1]quit#创建VSI虚接口VSI-interface2,并为其配置IP地址和MAC地址,该IP地址作为VXLAN20内虚拟机的网关地址,指定该VSI虚接口为分布式本地网关接口,并开启本地代理ARP功能.
[SwitchA]interfacevsi-interface2[SwitchA-Vsi-interface2]ipaddress10.
1.
2.
1255.
255.
255.
0[SwitchA-Vsi-interface2]mac-address2-2-2[SwitchA-Vsi-interface2]distributed-gatewaylocal[SwitchA-Vsi-interface2]local-proxy-arpenable[SwitchA-Vsi-interface2]quit#开启分布式网关的动态ARP表项同步功能.
[SwitchA]arpdistributed-gatewaydynamic-entrysynchronize#配置VXLAN10所在的VSI实例和接口VSI-interface1关联,并配置该VSI实例的子网网段为10.
1.
1.
0/24.
[SwitchA]vsivpna[SwitchA-vsi-vpna]gatewayvsi-interface1[SwitchA-vsi-vpna]gatewaysubnet10.
1.
1.
00.
0.
0.
255[SwitchA-vsi-vpna]quit#配置VXLAN20所在的VSI实例和接口VSI-interface2关联.
[SwitchA]vsivpnb[SwitchA-vsi-vpnb]gatewayvsi-interface2[SwitchA-vsi-vpnb]quit#为VSI虚接口VSI-interface1配置从IP地址,该从IP地址作为VXLAN30内虚拟机的网关地址.
[SwitchA]interfacevsi-interface13-28[SwitchA-Vsi-interface1]ipaddress20.
1.
1.
1255.
255.
255.
0sub[SwitchA-Vsi-interface1]quit#配置VXLAN30所在的VSI实例和接口VSI-interface1关联,并配置该VSI实例的子网网段为20.
1.
1.
0/24.
[SwitchA]vsivpnc[SwitchA-vsi-vpnc]gatewayvsi-interface1[SwitchA-vsi-vpnc]gatewaysubnet20.
1.
1.
00.
0.
0.
255[SwitchA-vsi-vpnc]quit#配置策略路由,指定IPv4报文如果未找到匹配的路由表项,则设置报文的下一跳为SwitchB上接口VSI-interface1的IP地址10.
1.
1.
2.
[SwitchA]acladvanced3000[SwitchA-acl-ipv4-adv-3000]rule0permitip[SwitchA-acl-ipv4-adv-3000]quit[SwitchA]policy-based-routevxlan10permitnode5[SwitchA-pbr-vxlan10-5]if-matchacl3000[SwitchA-pbr-vxlan10-5]applydefault-next-hop10.
1.
1.
2[SwitchA-pbr-vxlan10-5]quit#配置策略路由,指定IPv4报文如果未找到匹配的路由表项,则设置报文的下一跳为SwitchB上接口VSI-interface2的IP地址10.
1.
2.
2.
[SwitchA]policy-based-routevxlan20permitnode5[SwitchA-pbr-vxlan20-5]if-matchacl3000[SwitchA-pbr-vxlan20-5]applydefault-next-hop10.
1.
2.
2[SwitchA-pbr-vxlan20-5]quit#在VSI虚接口VSI-interface1和VSI-interface2上应用策略路由.
[SwitchA]interfacevsi-interface1[SwitchA-Vsi-interface1]ippolicy-based-routevxlan10[SwitchA-Vsi-interface1]quit[SwitchA]interfacevsi-interface2[SwitchA-Vsi-interface2]ippolicy-based-routevxlan20[SwitchA-Vsi-interface2]quit(3)配置SwitchB#开启L2VPN能力.
system-view[SwitchB]l2vpnenable#创建VSI实例vpna和VXLAN10.
[SwitchB]vsivpna[SwitchB-vsi-vpna]vxlan10[SwitchB-vsi-vpna-vxlan-10]quit[SwitchB-vsi-vpna]quit#创建VSI实例vpnb和VXLAN20.
[SwitchB]vsivpnb[SwitchB-vsi-vpnb]vxlan20[SwitchB-vsi-vpnb-vxlan-20]quit[SwitchB-vsi-vpnb]quit#创建VSI实例vpnc和VXLAN30.
[SwitchB]vsivpnc3-29[SwitchB-vsi-vpnc]vxlan30[SwitchB-vsi-vpnc-vxlan-30]quit[SwitchB-vsi-vpnc]quit#配置接口Loopback0的IP地址,作为隧道的源端地址.
[SwitchB]interfaceloopback0[SwitchB-Loopback0]ipaddress2.
2.
2.
2255.
255.
255.
255[SwitchB-Loopback0]quit#在SwitchA和SwitchB之间建立VXLAN隧道.
[SwitchB]interfacetunnel2modevxlan[SwitchB-Tunnel2]source2.
2.
2.
2[SwitchB-Tunnel2]destination1.
1.
1.
1[SwitchB-Tunnel2]quit#在SwitchB和SwitchC之间建立VXLAN隧道.
[SwitchB]interfacetunnel3modevxlan[SwitchB-Tunnel3]source2.
2.
2.
2[SwitchB-Tunnel3]destination3.
3.
3.
3[SwitchB-Tunnel3]quit#配置Tunnel2与VXLAN10关联.
[SwitchB]vsivpna[SwitchB-vsi-vpna]vxlan10[SwitchB-vsi-vpna-vxlan-10]tunnel2[SwitchB-vsi-vpna-vxlan-10]quit[SwitchB-vsi-vpna]quit#配置Tunnel2与VXLAN20关联.
[SwitchB]vsivpnb[SwitchB-vsi-vpnb]vxlan20[SwitchB-vsi-vpnb-vxlan-20]tunnel2[SwitchB-vsi-vpnb-vxlan-20]quit[SwitchB-vsi-vpnb]quit#配置Tunnel3与VXLAN30关联.
[SwitchB]vsivpnc[SwitchB-vsi-vpnc]vxlan30[SwitchB-vsi-vpnc-vxlan-30]tunnel3[SwitchB-vsi-vpnc-vxlan-30]quit[SwitchB-vsi-vpnc]quit#创建VSI虚接口VSI-interface1,并为其配置IP地址.
[SwitchB]interfacevsi-interface1[SwitchB-Vsi-interface1]ipaddress10.
1.
1.
2255.
255.
255.
0[SwitchB-Vsi-interface1]quit#创建VSI虚接口VSI-interface2,并为其配置IP地址.
[SwitchB]interfacevsi-interface2[SwitchB-Vsi-interface2]ipaddress10.
1.
2.
2255.
255.
255.
0[SwitchB-Vsi-interface2]quit#创建VSI虚接口VSI-interface3,并为其配置IP地址.
[SwitchB]interfacevsi-interface3[SwitchB-Vsi-interface3]ipaddress20.
1.
1.
2255.
255.
255.
03-30[SwitchB-Vsi-interface3]quit#配置VXLAN10所在的VSI实例和接口VSI-interface1关联.
[SwitchB]vsivpna[SwitchB-vsi-vpna]gatewayvsi-interface1[SwitchB-vsi-vpna]quit#配置VXLAN20所在的VSI实例和接口VSI-interface2关联.
[SwitchB]vsivpnb[SwitchB-vsi-vpnb]gatewayvsi-interface2[SwitchB-vsi-vpnb]quit#配置VXLAN30所在的VSI实例和接口VSI-interface3关联.
[SwitchB]vsivpnc[SwitchB-vsi-vpnc]gatewayvsi-interface3[SwitchB-vsi-vpnc]quit(4)配置SwitchC#开启L2VPN能力.
system-view[SwitchC]l2vpnenable#创建VSI实例vpna和VXLAN10.
[SwitchC]vsivpna[SwitchC-vsi-vpna]vxlan10[SwitchC-vsi-vpna-vxlan-10]quit[SwitchC-vsi-vpna]quit#创建VSI实例vpnb和VXLAN20.
[SwitchC]vsivpnb[SwitchC-vsi-vpnb]vxlan20[SwitchC-vsi-vpnb-vxlan-20]quit[SwitchC-vsi-vpnb]quit#创建VSI实例vpnc和VXLAN30.
[SwitchC]vsivpnc[SwitchC-vsi-vpnc]vxlan30[SwitchC-vsi-vpnc-vxlan-30]quit[SwitchC-vsi-vpnc]quit#配置接口Loopback0的IP地址,作为隧道的源端地址.
[SwitchC]interfaceloopback0[SwitchC-Loopback0]ipaddress3.
3.
3.
3255.
255.
255.
255[SwitchC-Loopback0]quit#在SwitchA和SwitchC之间建立VXLAN隧道.
[SwitchC]interfacetunnel1modevxlan[SwitchC-Tunnel1]source3.
3.
3.
3[SwitchC-Tunnel1]destination1.
1.
1.
1[SwitchC-Tunnel1]quit#在SwitchB和SwitchC之间建立VXLAN隧道.
[SwitchC]interfacetunnel3modevxlan[SwitchC-Tunnel3]source3.
3.
3.
3[SwitchC-Tunnel3]destination2.
2.
2.
23-31[SwitchC-Tunnel3]quit#配置Tunnel1与VXLAN10关联.
[SwitchC]vsivpna[SwitchC-vsi-vpna]vxlan10[SwitchC-vsi-vpna-vxlan-10]tunnel1[SwitchC-vsi-vpna-vxlan-10]quit[SwitchC-vsi-vpna]quit#配置Tunnel1与VXLAN20关联.
[SwitchC]vsivpnb[SwitchC-vsi-vpnb]vxlan20[SwitchC-vsi-vpnb-vxlan-20]tunnel1[SwitchC-vsi-vpnb-vxlan-20]quit[SwitchC-vsi-vpnb]quit#配置Tunnel1和Tunnel3与VXLAN30关联.
[SwitchC]vsivpnc[SwitchC-vsi-vpnc]vxlan30[SwitchC-vsi-vpnc-vxlan-30]tunnel1[SwitchC-vsi-vpnc-vxlan-30]tunnel3[SwitchC-vsi-vpnc-vxlan-30]quit[SwitchC-vsi-vpnc]quit#在接入VM3的接口Ten-GigabitEthernet1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN4的数据帧.
[SwitchC]interfaceten-gigabitethernet1/0/1[SwitchC-Ten-GigabitEthernet1/0/1]portlink-typetrunk[SwitchC-Ten-GigabitEthernet1/0/1]porttrunkpermitvlan4[SwitchC-Ten-GigabitEthernet1/0/1]service-instance1000[SwitchC-Ten-GigabitEthernet1/0/1-srv1000]encapsulations-vid4#配置以太网服务实例1000与VSI实例vpnc关联.
[SwitchC-Ten-GigabitEthernet1/0/1-srv1000]xconnectvsivpnc[SwitchC-Ten-GigabitEthernet1/0/1-srv1000]quit[SwitchC-Ten-GigabitEthernet1/0/1]quit#创建VSI虚接口VSI-interface1,并为其配置IP地址和MAC地址,该IP地址作为VXLAN10内虚拟机的网关地址,指定该VSI虚接口为分布式本地网关接口,并开启本地代理ARP功能.
[SwitchC]interfacevsi-interface1[SwitchC-Vsi-interface1]ipaddress10.
1.
1.
1255.
255.
255.
0[SwitchC-Vsi-interface1]mac-address1-1-1[SwitchC-Vsi-interface1]distributed-gatewaylocal[SwitchC-Vsi-interface1]local-proxy-arpenable[SwitchC-Vsi-interface1]quit#创建VSI虚接口VSI-interface2,并为其配置IP地址和MAC地址,该IP地址作为VXLAN20内虚拟机的网关地址,指定该VSI虚接口为分布式本地网关接口,并开启本地代理ARP功能.
[SwitchC]interfacevsi-interface2[SwitchC-Vsi-interface2]ipaddress10.
1.
2.
1255.
255.
255.
0[SwitchC-Vsi-interface2]mac-address2-2-2[SwitchC-Vsi-interface2]distributed-gatewaylocal[SwitchC-Vsi-interface2]local-proxy-arpenable3-32[SwitchC-Vsi-interface2]quit#开启分布式网关的动态ARP表项同步功能.
[SwitchC]arpdistributed-gatewaydynamic-entrysynchronize#配置VXLAN10所在的VSI实例和接口VSI-interface1关联,并配置该VSI实例的子网网段为10.
1.
1.
0/24.
[SwitchC]vsivpna[SwitchC-vsi-vpna]gatewayvsi-interface1[SwitchC-vsi-vpna]gatewaysubnet10.
1.
1.
00.
0.
0.
255[SwitchC-vsi-vpna]quit#配置VXLAN20所在的VSI实例和接口VSI-interface2关联.
[SwitchC]vsivpnb[SwitchC-vsi-vpnb]gatewayvsi-interface2[SwitchC-vsi-vpnb]quit#为VSI虚接口VSI-interface1配置从IP地址,该从IP地址作为VXLAN30内虚拟机的网关地址.
[SwitchC]interfacevsi-interface1[SwitchC-Vsi-interface1]ipaddress20.
1.
1.
1255.
255.
255.
0sub[SwitchC-Vsi-interface1]quit#配置VXLAN30所在的VSI实例和接口VSI-interface1关联,并配置该VSI实例的子网网段为20.
1.
1.
0/24.
[SwitchC]vsivpnc[SwitchC-vsi-vpnc]gatewayvsi-interface1[SwitchC-vsi-vpnc]gatewaysubnet20.
1.
1.
00.
0.
0.
255[SwitchC-vsi-vpnc]quit#配置策略路由,指定IPv4报文如果未找到匹配的路由表项,则设置报文的下一跳为SwitchB上接口VSI-interface1的IP地址20.
1.
1.
2.
[SwitchC]acladvanced3000[SwitchC-acl-ipv4-adv-3000]rule0permitip[SwitchC-acl-ipv4-adv-3000]quit[SwitchC]policy-based-routevxlanpermitnode5[SwitchC-pbr-vxlan-5]if-matchacl3000[SwitchC-pbr-vxlan-5]applydefault-next-hop20.
1.
1.
2[SwitchC-pbr-vxlan-5]quit#在VSI虚接口VSI-interface1上应用策略路由.
[SwitchC]interfacevsi-interface1[SwitchC-Vsi-interface1]ippolicy-based-routevxlan[SwitchC-Vsi-interface1]quit4.
验证配置(1)验证分布式VXLANIP网关设备SwitchA#查看SwitchA上的Tunnel接口信息,可以看到VXLAN模式的Tunnel接口处于up状态.
[SwitchA]displayinterfacetunnel2Tunnel2Currentstate:UPLineprotocolstate:UPDescription:Tunnel2InterfaceBandwidth:64kbps3-33Maximumtransmissionunit:64000Internetprotocolprocessing:DisabledLastclearingofcounters:NeverTunnelsource1.
1.
1.
1,destination3.
3.
3.
3Tunnelprotocol/transportUDP_VXLAN/IPLast300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/secInput:0packets,0bytes,0dropsOutput:0packets,0bytes,0drops#查看SwitchA上的VSI虚接口信息,可以看到VSI虚接口处于up状态.
[SwitchA]displayinterfacevsi-interface1Vsi-interface1Currentstate:UPLineprotocolstate:UPDescription:Vsi-interface1InterfaceBandwidth:1000000kbpsMaximumtransmissionunit:1500Internetaddress:10.
1.
1.
1/24(primary)IPpacketframetype:EthernetII,hardwareaddress:0001-0001-0001IPv6packetframetype:EthernetII,hardwareaddress:0001-0001-0001Physical:Unknown,baudrate:1000000kbpsLastclearingofcounters:NeverLast300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/secInput:0packets,0bytes,0dropsOutput:0packets,0bytes,0drops#查看SwitchA上的VSI信息,可以看到VSI内创建的VXLAN、与VXLAN关联的VXLAN隧道、与VSI关联的VSI虚接口等信息.
[SwitchA]displayl2vpnvsinamevpnaverboseVSIName:vpnaVSIIndex:0VSIState:UpMTU:1500Bandwidth:UnlimitedBroadcastRestrain:5120kbpsMulticastRestrain:5120kbpsUnknownUnicastRestrain:5120kbpsMACLearning:EnabledMACTableLimit:-MACLearningrate:-DropUnknown:-Flooding:EnabledGatewayInterface:VSI-interface1VXLANID:10Tunnels:TunnelNameLinkIDStateTypeTunnel10x5000001UpManualTunnel20x5000002UpManual3-34ACs:ACLinkIDStateTypeXGE1/0/1srv10000UpManual#查看SwitchA上VSI的ARP表项信息,可以看到已学习到了虚拟机的ARP信息.
[SwitchA]displayarpType:S-StaticD-DynamicO-OpenflowR-RuleM-MultiportI-InvalidIPaddressMACaddressVIDInterface/LinkIDAgingType11.
1.
1.
4000c-29c1-5e4611Vlan1119D10.
1.
1.
20003-0000-0000N/A0x020D10.
1.
1.
110cda-41b5-cf09N/A0x020D10.
1.
2.
20004-0000-0000N/A0x120D10.
1.
2.
110cda-41b5-cf89N/A0x120D20.
1.
1.
120000-fc00-0b01N/A0x019D(2)验证边界网关设备SwitchB#查看SwitchB上的Tunnel接口信息,可以看到VXLAN模式的Tunnel接口处于up状态.
[SwitchB]displayinterfacetunnel2Tunnel2Currentstate:UPLineprotocolstate:UPDescription:Tunnel2InterfaceBandwidth:64kbpsMaximumtransmissionunit:64000Internetprotocolprocessing:DisabledLastclearingofcounters:NeverTunnelsource2.
2.
2.
2,destination1.
1.
1.
1Tunnelprotocol/transportUDP_VXLAN/IPLast300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/secInput:0packets,0bytes,0dropsOutput:0packets,0bytes,0drops#查看SwitchB上的VSI虚接口信息,可以看到VSI虚接口处于up状态.
[SwitchB]displayinterfacevsi-interface1Vsi-interface1Currentstate:UPLineprotocolstate:UPDescription:Vsi-interface1InterfaceBandwidth:1000000kbpsMaximumtransmissionunit:1500Internetaddress:10.
1.
1.
2/24(primary)IPpacketframetype:EthernetII,hardwareaddress:0011-2200-0102IPv6packetframetype:EthernetII,hardwareaddress:0011-2200-0102Physical:Unknown,baudrate:1000000kbpsLastclearingofcounters:NeverLast300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/secInput:0packets,0bytes,0dropsOutput:0packets,0bytes,0drops3-35#查看SwitchB上的VSI信息,可以看到VSI内创建的VXLAN、与VXLAN关联的VXLAN隧道、与VSI关联的VSI虚接口等信息.
[SwitchB]displayl2vpnvsinamevpnaverboseVSIName:vpnaVSIIndex:0VSIState:UpMTU:1500Bandwidth:-BroadcastRestrain:-MulticastRestrain:-UnknownUnicastRestrain:-MACLearning:EnabledMACTableLimit:-MACLearningrate:-DropUnknown:-Flooding:EnabledGatewayinterface:VSI-interface1VXLANID:10Tunnels:TunnelNameLinkIDStateTypeTunnel10x5000001UpManualTunnel20x5000002UpManual#查看SwitchB上VSI的ARP表项信息,可以看到已学习到了虚拟机的ARP信息.
[SwitchB]displayarpType:S-StaticD-DynamicO-OpenflowR-RuleM-MultiportI-InvalidIPaddressMACaddressVIDInterface/LinkIDAgingType12.
1.
1.
40000-fc00-00ab12Vlan1214D25.
1.
1.
54431-9234-24bb20Vlan2017D10.
1.
1.
10000-fc00-00abN/A0x017D10.
1.
1.
110000-fc00-00abN/A0x020D10.
1.
2.
10000-fc00-00bcN/A0x117D10.
1.
1.
110000-fc00-00bcN/A0x120D20.
1.
1.
10000-fc00-00aaN/A0x217D20.
1.
1.
120000-fc00-00aaN/A0x220D#查看SwitchB上FIB表项信息,可以看到已学习到了虚拟机的转发表项信息.
[SwitchB]displayfib10.
1.
1.
11Destinationcount:1FIBentrycount:1Flag:U:UseableG:GatewayH:HostB:BlackholeD:DynamicS:StaticR:RelayF:FRRDestination/MaskNexthopFlagOutInterface/TokenLabel10.
1.
1.
11/3210.
1.
1.
11UHVsi1Null[SwitchB]displayfib20.
1.
1.
12Destinationcount:1FIBentrycount:1Flag:U:UseableG:GatewayH:HostB:BlackholeD:DynamicS:StaticR:RelayF:FRR3-36Destination/MaskNexthopFlagOutInterface/TokenLabel20.
1.
1.
12/3220.
1.
1.
12UHVsi1Null(3)验证主机和广域网互访虚拟机VM1、VM2、VM3之间可以互访;VM1、VM2和VM3可以与SwitchE上接口Vlan-interface20的地址25.
1.
1.
5之间互访.
3.
10.
4分布式VXLANIP网关连接IPv6网络配置举例1.
组网需求SwitchA、SwitchC为分布式VXLANIP网关设备,SwitchB为与广域网连接的边界网关设备,SwitchE为广域网内的三层交换机.
虚拟机VM1属于VXLAN10,VM2属于VXLAN20.
通过分布式VXLANIP网关实现不同VXLAN网络的三层互联,并通过边界网关实现与广域网的三层互联.
具体需求为:不同VTEP之间手工建立VXLAN隧道.
手工关联VXLAN和VXLAN隧道.
站点之间的泛洪流量采用头端复制的方式转发.
2.
组网图图3-10分布式VXLANIP网关连接IPv6网络配置组网图3.
配置步骤(1)配置IPv6地址和单播路由协议#在VM1和VM2上分别指定网关地址为1::1、4::1.
(具体配置过程略)#请按照图3-10配置各接口的地址;在IP核心网络内配置OSPF协议,确保交换机之间路由可达;配置SwitchB和SwitchE发布1::/64、4::/64和3::/64网段的路由.
(具体配置过程略)(2)配置SwitchA#开启L2VPN能力.
system-viewSwitchASwitchCTransportnetworkSwitchDXGE1/0/1XGE1/0/1SwitchBServer1VM1Server2VM2Loop01.
1.
1.
1/32Loop03.
3.
3.
3/32Loop02.
2.
2.
2/32VLAN2VLAN4Vlan-int1111.
1.
1.
1/24Vlan-int1313.
1.
1.
4/24Vlan-int1212.
1.
1.
2/24Vlan-int1111.
1.
1.
4/24Vlan-int1313.
1.
1.
3/24Vlan-int1212.
1.
1.
4/24Vlan-int203::300/64Vlan-int203::200/64SwitchE1::100/644::400/64VSI-int11::1/64anycast4::1/64anycastVSI-int11::2/644::2/64VSI-int11::1/64anycast4::1/64anycast3-37[SwitchA]l2vpnenable#创建VSI实例vpna和VXLAN10.
[SwitchA]vsivpna[SwitchA-vsi-vpna]vxlan10[SwitchA-vsi-vpna-vxlan-10]quit[SwitchA-vsi-vpna]quit#创建VSI实例vpnb和VXLAN20.
[SwitchA]vsivpnb[SwitchA-vsi-vpnb]vxlan20[SwitchA-vsi-vpnb-vxlan-20]quit[SwitchA-vsi-vpnb]quit#配置接口Loopback0的IP地址,作为隧道的源端地址.
[SwitchA]interfaceloopback0[SwitchA-Loopback0]ipaddress1.
1.
1.
1255.
255.
255.
255[SwitchA-Loopback0]quit#在SwitchA和SwitchB之间建立VXLAN隧道:创建模式为VXLAN的隧道接口Tunnel1.
指定隧道的源端地址为本地接口Loopback0的地址1.
1.
1.
1.
指定隧道的目的端地址为SwitchB上接口Loopback0的地址2.
2.
2.
2.
[SwitchA]interfacetunnel1modevxlan[SwitchA-Tunnel1]source1.
1.
1.
1[SwitchA-Tunnel1]destination2.
2.
2.
2[SwitchA-Tunnel1]quit#在SwitchA和SwitchC之间建立VXLAN隧道.
[SwitchA]interfacetunnel2modevxlan[SwitchA-Tunnel2]source1.
1.
1.
1[SwitchA-Tunnel2]destination3.
3.
3.
3[SwitchA-Tunnel2]quit#配置Tunnel1和Tunnel2与VXLAN10关联.
[SwitchA]vsivpna[SwitchA-vsi-vpna]vxlan10[SwitchA-vsi-vpna-vxlan-10]tunnel1[SwitchA-vsi-vpna-vxlan-10]tunnel2[SwitchA-vsi-vpna-vxlan-10]quit[SwitchA-vsi-vpna]quit#配置Tunnel1和Tunnel2与VXLAN20关联.
[SwitchA]vsivpnb[SwitchA-vsi-vpnb]vxlan20[SwitchA-vsi-vpnb-vxlan-20]tunnel1[SwitchA-vsi-vpnb-vxlan-20]tunnel2[SwitchA-vsi-vpnb-vxlan-20]quit[SwitchA-vsi-vpnb]quit#在接入VM1的接口Ten-GigabitEthernet1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN2的数据帧.
[SwitchA]interfaceten-gigabitethernet1/0/13-38[SwitchA-Ten-GigabitEthernet1/0/1]portlink-typetrunk[SwitchA-Ten-GigabitEthernet1/0/1]porttrunkpermitvlan2[SwitchA-Ten-GigabitEthernet1/0/1]service-instance1000[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]encapsulations-vid2#配置以太网服务实例1000与VSI实例vpna关联.
[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]xconnectvsivpna[SwitchA-Ten-GigabitEthernet1/0/1-srv1000]quit[SwitchA-Ten-GigabitEthernet1/0/1]quit#创建VSI虚接口VSI-interface1,并为其配置IPv6任播地址,其中1::1/64地址作为VXLAN10内虚拟机的网关地址、4::1/64作为VXLAN20内虚拟机的网关地址,指定该VSI虚接口为分布式本地网关接口,并开启本地ND代理功能.
[SwitchA]interfacevsi-interface1[SwitchA-Vsi-interface1]ipv6address1::1/64anycast[SwitchA-Vsi-interface1]ipv6address4::1/64anycast[SwitchA-Vsi-interface1]distributed-gatewaylocal[SwitchA-Vsi-interface1]local-proxy-ndenable[SwitchA-Vsi-interface1]quit#开启分布式网关的动态IPv6ND表项同步功能.
[SwitchA]ipv6nddistributed-gatewaydynamic-entrysynchronize#配置VXLAN10所在的VSI实例和接口VSI-interface1关联,并配置该VSI实例的子网网段为1::1/64.
[SwitchA]vsivpna[SwitchA-vsi-vpna]gatewayvsi-interface1[SwitchA-vsi-vpna]gatewaysubnet1::164[SwitchA-vsi-vpna]quit#配置VXLAN20所在的VSI实例和接口VSI-interface1关联,并配置该VSI实例的子网网段为4::1/64.
[SwitchA]vsivpnb[SwitchA-vsi-vpnb]gatewayvsi-interface1[SwitchA-vsi-vpnb]gatewaysubnet4::164[SwitchA-vsi-vpnb]quit#配置静态路由,指定到达网络3::/64网络的路由下一跳为SwitchB的IPv6地址1::2.
[SwitchA]ipv6route-static3::641::2(3)配置SwitchB#开启L2VPN能力.
system-view[SwitchB]l2vpnenable#创建VSI实例vpna和VXLAN10.
[SwitchB]vsivpna[SwitchB-vsi-vpna]vxlan10[SwitchB-vsi-vpna-vxlan-10]quit[SwitchB-vsi-vpna]quit#创建VSI实例vpnb和VXLAN20.
[SwitchB]vsivpnb[SwitchB-vsi-vpnb]vxlan203-39[SwitchB-vsi-vpnb-vxlan-20]quit[SwitchB-vsi-vpnb]quit#配置接口Loopback0的IP地址,作为隧道的源端地址.
[SwitchB]interfaceloopback0[SwitchB-Loopback0]ipaddress2.
2.
2.
2255.
255.
255.
255[SwitchB-Loopback0]quit#在SwitchA和SwitchB之间建立VXLAN隧道.
[SwitchB]interfacetunnel2modevxlan[SwitchB-Tunnel2]source2.
2.
2.
2[SwitchB-Tunnel2]destination1.
1.
1.
1[SwitchB-Tunnel2]quit#在SwitchB和SwitchC之间建立VXLAN隧道.
[SwitchB]interfacetunnel3modevxlan[SwitchB-Tunnel3]source2.
2.
2.
2[SwitchB-Tunnel3]destination3.
3.
3.
3[SwitchB-Tunnel3]quit#配置Tunnel2和Tunnel3与VXLAN10关联.
[SwitchB]vsivpna[SwitchB-vsi-vpna]vxlan10[SwitchB-vsi-vpna-vxlan-10]tunnel2[SwitchB-vsi-vpna-vxlan-10]tunnel3[SwitchB-vsi-vpna-vxlan-10]quit[SwitchB-vsi-vpna]quit#配置Tunnel2和Tunnel3与VXLAN20关联.
[SwitchB]vsivpnb[SwitchB-vsi-vpnb]vxlan20[SwitchB-vsi-vpnb-vxlan-20]tunnel2[SwitchB-vsi-vpnb-vxlan-20]tunnel3[SwitchB-vsi-vpnb-vxlan-20]quit[SwitchB-vsi-vpnb]quit#创建VSI虚接口VSI-interface1,并为其配置IPv6地址.
[SwitchB]interfacevsi-interface1[SwitchB-Vsi-interface1]ipv6address1::2/64[SwitchB-Vsi-interface1]ipv6address4::2/64[SwitchB-Vsi-interface1]quit#配置VXLAN10所在的VSI实例和接口VSI-interface1关联.
[SwitchB]vsivpna[SwitchB-vsi-vpna]gatewayvsi-interface1[SwitchB-vsi-vpna]quit#配置VXLAN20所在的VSI实例和接口VSI-interface1关联.
[SwitchB]vsivpnb[SwitchB-vsi-vpnb]gatewayvsi-interface1[SwitchB-vsi-vpnb]quit(4)配置SwitchC#开启L2VPN能力.
system-view3-40[SwitchC]l2vpnenable#创建VSI实例vpna和VXLAN10.
[SwitchC]vsivpna[SwitchC-vsi-vpna]vxlan10[SwitchC-vsi-vpna-vxlan-10]quit[SwitchC-vsi-vpna]quit#创建VSI实例vpnb和VXLAN20.
[SwitchC]vsivpnb[SwitchC-vsi-vpnb]vxlan20[SwitchC-vsi-vpnb-vxlan-20]quit[SwitchC-vsi-vpnb]quit#配置接口Loopback0的IP地址,作为隧道的源端地址.
[SwitchC]interfaceloopback0[SwitchC-Loopback0]ipaddress3.
3.
3.
3255.
255.
255.
255[SwitchC-Loopback0]quit#在SwitchA和SwitchC之间建立VXLAN隧道.
[SwitchC]interfacetunnel1modevxlan[SwitchC-Tunnel1]source3.
3.
3.
3[SwitchC-Tunnel1]destination1.
1.
1.
1[SwitchC-Tunnel1]quit#在SwitchB和SwitchC之间建立VXLAN隧道.
[SwitchC]interfacetunnel3modevxlan[SwitchC-Tunnel3]source3.
3.
3.
3[SwitchC-Tunnel3]destination2.
2.
2.
2[SwitchC-Tunnel3]quit#配置Tunnel1和Tunnel3与VXLAN10关联.
[SwitchC]vsivpna[SwitchC-vsi-vpna]vxlan10[SwitchC-vsi-vpna-vxlan-10]tunnel1[SwitchC-vsi-vpna-vxlan-10]tunnel3[SwitchC-vsi-vpna-vxlan-10]quit[SwitchC-vsi-vpna]quit#配置Tunnel1和Tunnel3与VXLAN20关联.
[SwitchC]vsivpnb[SwitchC-vsi-vpnb]vxlan20[SwitchC-vsi-vpnb-vxlan-20]tunnel1[SwitchC-vsi-vpnb-vxlan-20]tunnel3[SwitchC-vsi-vpnb-vxlan-20]quit[SwitchC-vsi-vpnb]quit#在接入VM2的接口Ten-GigabitEthernet1/0/1上创建以太网服务实例1000,该实例用来匹配VLAN4的数据帧.
[SwitchC]interfaceten-gigabitethernet1/0/1[SwitchC-Ten-GigabitEthernet1/0/1]portlink-typetrunk[SwitchC-Ten-GigabitEthernet1/0/1]porttrunkpermitvlan4[SwitchC-Ten-GigabitEthernet1/0/1]service-instance1000[SwitchC-Ten-GigabitEthernet1/0/1-srv1000]encapsulations-vid43-41#配置以太网服务实例1000与VSI实例vpnb关联.
[SwitchC-Ten-GigabitEthernet1/0/1-srv1000]xconnectvsivpnb[SwitchC-Ten-GigabitEthernet1/0/1-srv1000]quit[SwitchC-Ten-GigabitEthernet1/0/1]quit#创建VSI虚接口VSI-interface1,并为其配置IPv6地址,其中1::1/64地址作为VXLAN10内虚拟机的网关地址,4::1/64地址作为VXLAN20内虚拟机的网关地址,指定该VSI虚接口为分布式本地网关接口,并开启本地ND代理功能.
[SwitchC]interfacevsi-interface1[SwitchC-Vsi-interface1]ipv6address1::1/64anycast[SwitchC-Vsi-interface1]ipv6address4::1/64anycast[SwitchC-Vsi-interface1]distributed-gatewaylocal[SwitchC-Vsi-interface1]local-proxy-ndenable[SwitchC-Vsi-interface1]quit#开启分布式网关的动态IPv6ND表项同步功能.
[SwitchC]ipv6nddistributed-gatewaydynamic-entrysynchronize#配置VXLAN10所在的VSI实例和接口VSI-interface1关联,并配置该VSI实例的子网网段为1::1/64.
[SwitchC]vsivpna[SwitchC-vsi-vpna]gatewayvsi-interface1[SwitchC-vsi-vpna]gatewaysubnet1::164[SwitchC-vsi-vpna]quit#配置VXLAN20所在的VSI实例和接口VSI-interface1关联,并配置该VSI实例的子网网段为4::1/64.
[SwitchC]vsivpnb[SwitchC-vsi-vpnb]gatewayvsi-interface1[SwitchC-vsi-vpnb]gatewaysubnet4::164[SwitchC-vsi-vpnb]quit#配置静态路由,指定到达网络3::/64网络的路由下一跳为SwitchB的IPv6地址4::2.
[SwitchC]ipv6route-static3::644::24.
验证配置(1)验证分布式VXLANIP网关设备SwitchA#查看SwitchA上的Tunnel接口信息,可以看到VXLAN模式的Tunnel接口处于up状态.
[SwitchA]displayinterfacetunnel2Tunnel2Currentstate:UPLineprotocolstate:UPDescription:Tunnel2InterfaceBandwidth:64kbpsMaximumtransmissionunit:64000Internetprotocolprocessing:DisabledLastclearingofcounters:NeverTunnelsource1.
1.
1.
1,destination3.
3.
3.
3Tunnelprotocol/transportUDP_VXLAN/IPLast300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/sec3-42Input:0packets,0bytes,0dropsOutput:0packets,0bytes,0drops#查看SwitchA上的VSI虚接口信息,可以看到VSI虚接口处于up状态.
[SwitchA]displayinterfacevsi-interface1Vsi-interface1Currentstate:UPLineprotocolstate:UPDescription:Vsi-interface1InterfaceBandwidth:1000000kbpsMaximumtransmissionunit:1500Internetprotocolprocessing:DisabledIPpacketframetype:EthernetII,hardwareaddress:0011-2200-0102IPv6packetframetype:EthernetII,hardwareaddress:0011-2200-0102Physical:Unknown,baudrate:1000000kbpsLastclearingofcounters:NeverLast300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/secInput:0packets,0bytes,0dropsOutput:0packets,0bytes,0drops#查看SwitchA上的VSI信息,可以看到VSI内创建的VXLAN、与VXLAN关联的VXLAN隧道、与VSI关联的VSI虚接口等信息.
[SwitchA]displayl2vpnvsiverboseVSIName:vpnaVSIIndex:0VSIState:UpMTU:1500Bandwidth:-BroadcastRestrain:-MulticastRestrain:-UnknownUnicastRestrain:-MACLearning:EnabledMACTableLimit:-MACLearningrate:-DropUnknown:-Flooding:EnabledGatewayInterface:VSI-interface1VXLANID:10Tunnels:TunnelNameLinkIDStateTypeFloodproxyTunnel10x5000001UpManualDisabledTunnel20x5000002UpManualDisabledACs:ACLinkIDStateTypeXGE1/0/1srv10000UpManualVSIName:vpnbVSIIndex:0VSIState:Up3-43MTU:1500Bandwidth:UnlimitedBroadcastRestrain:5120kbpsMulticastRestrain:5120kbpsUnknownUnicastRestrain:5120kbpsMACLearning:EnabledMACTableLimit:-DropUnknown:DisabledFlooding:EnabledGatewayInterface:VSI-interface1VXLANID:20Tunnels:TunnelNameLinkIDStateTypeTunnel10x5000001UpManualTunnel20x5000002UpManual#查看SwitchA上IPv6neighbors表项信息,可以看到已经建立的邻居信息.
[SwitchA]displayipv6neighborsallType:S-StaticD-DynamicO-OpenflowR-RuleI-InvalidIPv6addressLinklayerVIDInterfaceStateTAge1::20003-0000-0000N/AVsi1STALED71::1000001-0000-0047N/AVsi1STALED224::4000002-0000-0047N/AVsi1REACHD5FE80::201:FF:FE00:470001-0000-0047N/AVsi1REACHD30FE80::202:FF:FE00:00002-0000-0000N/AVsi1REACHD27FE80::202:FF:FE00:470002-0000-0047N/AVsi1DELAYD5#查看SwitchA上FIB表项信息,可以看到已学习到了虚拟机的转发表项信息.
[SwitchA]displayipv6fib4::400Destinationcount:1FIBentrycount:1Flag:U:UseableG:GatewayH:HostB:BlackholeD:DynamicS:StaticR:RelayF:FRRDestination:4::400Prefixlength:128Nexthop:4::400Flags:UHTimestamp:0x2cLabel:NullInterface:Vsi1Token:Invalid[SwitchA]displayipv6fib3::300Destinationcount:1FIBentrycount:1Flag:U:UseableG:GatewayH:HostB:BlackholeD:DynamicS:StaticR:RelayF:FRRDestination:3::Prefixlength:40Nexthop:1::2Flags:USGRTimestamp:0x23Label:NullInterface:Vsi1Token:Invalid(2)验证VXLANIP边界网关设备SwitchB#查看SwitchB上的Tunnel接口信息,可以看到VXLAN模式的Tunnel接口处于up状态.
[SwitchB]displayinterfacetunnel23-44Tunnel2Currentstate:UPLineprotocolstate:UPDescription:Tunnel2InterfaceBandwidth:64kbpsMaximumtransmissionunit:64000Internetprotocolprocessing:DisabledLastclearingofcounters:NeverTunnelsource2.
2.
2.
2,destination1.
1.
1.
1Tunnelprotocol/transportUDP_VXLAN/IPLast300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/secInput:0packets,0bytes,0dropsOutput:0packets,0bytes,0drops#查看SwitchB上的VSI虚接口信息,可以看到VSI虚接口处于up状态.
[SwitchB]displayinterfaceVsi-interface1Vsi-interface1Currentstate:UPLineprotocolstate:UPDescription:Vsi-interface1InterfaceBandwidth:1000000kbpsMaximumtransmissionunit:1500Internetprotocolprocessing:DisabledIPpacketframetype:EthernetII,hardwareaddress:0011-2200-0102IPv6packetframetype:EthernetII,hardwareaddress:0011-2200-0102Physical:Unknown,baudrate:1000000kbpsLastclearingofcounters:NeverLast300secondsinputrate:0bytes/sec,0bits/sec,0packets/secLast300secondsoutputrate:0bytes/sec,0bits/sec,0packets/secInput:0packets,0bytes,0dropsOutput:0packets,0bytes,0drops#查看SwitchB上的VSI信息,可以看到VSI内创建的VXLAN、与VXLAN关联的VXLAN隧道、与VSI关联的VSI虚接口等信息.
[SwitchB]displayl2vpnvsinamevpnaverboseVSIName:vpnaVSIIndex:0VSIState:UpMTU:1500Bandwidth:-BroadcastRestrain:-MulticastRestrain:-UnknownUnicastRestrain:-MACLearning:EnabledMACTableLimit:-MACLearningrate:-DropUnknown:-Flooding:EnabledGatewayinterface:VSI-interface13-45VXLANID:10Tunnels:TunnelNameLinkIDStateTypeTunnel10x5000001UpManualTunnel20x5000002UpManual#查看SwitchB上IPv6neighbors表项信息,可以看到已经建立的邻居信息.
[SwitchB]displayipv6neighborsallType:S-StaticD-DynamicO-OpenflowR-RuleI-InvalidIPv6addressLinklayerVIDInterfaceStateTAge3::3000003-0000-0047N/AFGE2/0/24DELAYD3FE80::203:FF:FE00:470003-0000-0047N/AFGE2/0/24STALED2221::1000001-0000-0047N/AVsi1STALED2324::4000002-0000-0047N/AVsi1REACHD3FE80::201:FF:FE00:00001-0000-0000N/AVsi1STALED237FE80::201:FF:FE00:470001-0000-0047N/AVsi1STALED222FE80::202:FF:FE00:00002-0000-0000N/AVsi1STALED345#查看SwitchB上FIB表项信息,可以看到已学习到了虚拟机的转发表项信息.
[SwitchB]displayipv6fib1::100Destinationcount:1FIBentrycount:1Flag:U:UseableG:GatewayH:HostB:BlackholeD:DynamicS:StaticR:RelayF:FRRDestination:1::100Prefixlength:128Nexthop:1::100Flags:UHTimestamp:0x21Label:NullInterface:Vsi1Token:Invalid[SwitchB]displayipv6fib4::400Destinationcount:1FIBentrycount:1Flag:U:UseableG:GatewayH:HostB:BlackholeD:DynamicS:StaticR:RelayF:FRRDestination:4::Prefixlength:64Nexthop:::Flags:UTimestamp:0x19Label:NullInterface:Vsi1Token:Invalid(3)验证主机和广域网互访虚拟机VM1、VM2之间可以互访,VM1、VM2和SwitchE上接口Vlan-interface20的地址3::300之间可以互访.
4-14VXLAN数据中心互联4.
1VXLAN数据中心互联简介VXLAN隧道只能用于数据中心内部,实现数据中心内部用户终端的互联.
VXLAN-DCI(VXLANDataCenterInterconnection,VXLAN数据中心互联)隧道可以用来实现数据中心之间的互联.
4.
1.
1VXLAN数据中心互联典型组网VXLAN数据中心互联典型组网如图4-1所示.
VXLAN-DCI隧道采用VXLAN封装格式,该隧道的端点称为ED(EdgeDevice,边缘设备).
ED与数据中心内部的VTEP建立VXLAN隧道.
ED从VXLAN隧道或VXLAN-DCI隧道上接收到报文后,解除VXLAN封装,根据目的网络重新对报文进行VXLAN封装,并将其转发到VXLAN-DCI隧道或VXLAN隧道,从而实现VXLAN跨数据中心之间的互通.

图4-1VXLAN数据中心互联典型组网图4.
1.
2VXLAN数据中心互联工作机制VXLAN数据中心互联组网中,VTEP根据MAC地址表项对流量进行二层转发.
ED根据ARP表项或ND表项对流量进行三层转发.
EDEDEDVTEPVTEPSite1Site3Site2VXLANtunnelVXLAN-DCItunnelVXLAN-DCItunnelVXLANtunnelVXLAN-DCItunnelVXLANtunnelIP核心网络VXLAN网络VXLAN网络VTEPVXLAN网络4-2图4-2VXLAN数据中心互联原理图如图4-2所示,所有的ED上都需要创建VSI虚接口,并为不同ED上的相同VSI虚接口配置相同的IP地址,作为VXLAN网络内用户终端的网关地址.
在ED上还需要开启本地代理ARP功能(IPv4网络)或本地ND代理功能(IPv6网络).
2.
相同VXLAN内不同站点的用户终端通信过程以Terminal1访问Terminal4为例,相同VXLAN内不同站点的用户终端的通信过程为:(1)Terminal1广播发送ARP请求消息,获取Terminal4的MAC地址.
(2)VTEP1收到ARP请求消息后,学习Terminal1的MAC地址,并在Terminal1所属的VXLAN内广播该ARP请求.
(3)ED1接收到ARP请求后,解除VXLAN封装,学习Terminal1的ARP信息,并代理应答该ARP请求,即:向Terminal1发送ARP应答消息,应答的MAC地址为VSI虚接口10的MAC地址.
ARP应答消息通过VXLAN隧道发送给VTEP1.
(4)VTEP1解除VXLAN封装,学习ED1的MAC地址,并将ARP应答消息转发给Terminal1.
(5)Terminal1学习Terminal4的MAC地址,该地址为ED1上VSI虚接口10的MAC地址.
(6)ED1将接收到的ARP请求消息中的源MAC地址修改为VSI虚接口10的MAC地址,对该消息进行VXLAN封装后,将其发送给VXLAN10内的所有远端ED.
(7)ED2对VXLAN报文进行解封装后,学习Terminal1的ARP信息(IP为10.
1.
1.
100、MAC为ED1上VSI虚接口10的MAC、出接口为接收该VXLAN报文的VXLAN-DCI模式Tunnel接口),将ARP请求消息中的源MAC修改为本地VSI虚接口10的MAC地址,并在VXLAN10的所有VXLAN隧道上进行广播.
(8)VTEP2收到ARP请求后,解除VXLAN封装,学习ED2的MAC地址,并向本地站点广播该ARP请求.
(9)Terminal4收到ARP请求后,学习Terminal1的ARP信息(IP为10.
1.
1.
100、MAC为ED2上VSI虚接口10的MAC),并发送ARP应答消息给VTEP2.
VXLAN-DCItunnelVXLANtunnelED1ED2IP核心网络VSI-interface1010.
1.
1.
1/24VSI-interface2020.
1.
1.
1/24VSI-interface3030.
1.
1.
1/2410.
1.
1.
10020.
1.
1.
10030.
1.
1.
10010.
1.
1.
20020.
1.
1.
20030.
1.
1.
200VTEP1VTEP2Terminal1Terminal2Terminal3Terminal4Terminal5Terminal6VXLANtunnelVSI/VXLAN10VSI/VXLAN20VSI/VXLAN30VSI/VXLAN10VSI/VXLAN20VSI/VXLAN304-3(10)VTEP2收到ARP应答消息后,查找MAC地址表,对报文进行VXLAN封装后发送给ED2.
(11)ED2根据接收到的ARP应答消息学习Terminal4的ARP信息,将ARP应答消息中的源MAC修改为本地VSI虚接口10的MAC地址,并根据已经学习到的ARP表项,为ARP应答消息添加VXLAN封装后发送给ED1.
(12)ED1对VXLAN报文进行解封装后,根据收到的ARP应答消息学习Terminal4的ARP信息(IP为10.
1.
1.
200、MAC为ED2上VSI虚接口10的MAC、出接口为接收该VXLAN报文的VXLAN-DCI模式Tunnel接口).
(13)通过上述步骤完成MAC地址表项和ARP表项的学习后,Terminal1发送给Terminal4的报文,根据已经学习到的表项进行转发:首先VTEP1添加VXLAN封装,发送给ED1;ED1重新进行VXLAN封装后,通过VXLAN-DCI隧道将其发送给ED2;ED2重新封装后,通过VXLAN隧道将其发送给VTEP2;VTEP2将报文转发给Terminal4.
3.
不同VXLAN间不同站点的用户终端通信过程以Terminal1访问Terminal5为例,不同VXLAN内用户终端的通信过程为:(1)Terminal1广播发送ARP请求消息,获取网关10.
1.
1.
1的MAC地址.
(2)VTEP1收到ARP请求消息后,学习Terminal1的MAC地址,并在Terminal1所属的VXLAN内广播该ARP请求.
(3)ED1接收到ARP请求后,解除VXLAN封装,学习Terminal1的ARP信息,并向Terminal1发送ARP应答消息,应答的MAC地址为VSI虚接口10的MAC地址.
ARP应答消息通过VXLAN隧道发送给VTEP1.
(4)VTEP1解除VXLAN封装,学习ED1的MAC地址,并将ARP应答消息转发给Terminal1.
(5)Terminal1学习网关的ARP信息,并将访问Terminal5的报文发送给VTEP1.
(6)VTEP1查找MAC地址表项,填加VXLAN封装后,将报文发送给ED1.
(7)ED1收到数据报文后,解除VXLAN封装,并根据报文的目的IP地址查找路由表.
由于目的IP地址与VSI虚接口20的接口IP地址在同一网段,ED1在VXLAN20内向所有VTEP和ED广播发送ARP请求,获取Terminal5的MAC地址.
ARP请求的源IP地址为20.
1.
1.
1、目标IP地址为20.
1.
1.
200、源MAC为ED1上VSI虚接口20的MAC地址.
(8)ED2接收到VXLAN报文后,对其进行解封装,将ARP请求中的源MAC修改为本地VSI虚接口20的MAC地址,并在VXLAN20的所有VXLAN隧道上广播该ARP请求.
(9)VTEP2收到ARP请求后,解除VXLAN封装,学习ED2的MAC地址,并向本地站点广播该ARP请求.
(10)Terminal5收到ARP请求后,学习ED2的ARP信息(IP为20.
1.
1.
1、MAC为ED2上VSI虚接口20的MAC地址),并发送ARP应答消息给VTEP2.
(11)VTEP2收到ARP应答消息后,查找MAC地址表项,对报文进行VXLAN封装后发送给ED2.
(12)ED2根据接收到的ARP应答消息学习Terminal5的ARP信息,并通过VXLAN-DCI隧道向ED1发送免费ARP消息(源IP为20.
1.
1.
200、目标IP为20.
1.
1.
200、源MAC为ED2上VSI虚接口20的MAC地址).
(13)ED1对VXLAN报文进行解封装后,根据收到的免费ARP消息学习Terminal5的ARP信息(IP为20.
1.
1.
200、MAC为ED2上VSI虚接口20的MAC地址、出接口为接收该VXLAN报文的VXLAN-DCI模式Tunnel接口).
4-4(14)通过上述步骤ED1学习到了Terminal5的ARP信息,ED2学习Terminal1的ARP信息的过程同上面过程类似.
ED1和ED2均学习到Terminal1和Terminal5的ARP信息后,Terminal1发送给Terminal5的报文根据已经学习到的表项进行转发.
4.
2VXLAN数据中心互联配置限制和指导VXLAN-DCI隧道和VXLAN隧道建议不要共用一个公网侧端口,否则会导致报文丢失.
4.
3VXLAN数据中心互联配置任务简介在VXLAN数据中心互联组网中,各设备上需要进行如下配置:IP核心网络中的设备配置路由协议,确保ED之间路由可达.
ED和VTEP上配置路由协议,确保二者之间路由可达.
ED和VTEP上配置VXLAN,在二者之间建立VXLAN隧道.
ED上配置VXLAN数据中心互联,在ED之间建立VXLAN-DCI隧道.
VXLAN数据中心互联的大部分配置与VXLAN配置、VXLANIP网关配置相同.
表4-1罗列了VXLAN数据中心互联支持的所有配置.
本文只介绍与VXLAN、VXLANIP网关不同的配置,二者相同的配置请分别参见"2配置VXLAN"和"3VXLANIP网关".
表4-1VXLAN数据中心互联配置任务简介配置任务说明详细配置创建VSI和VXLAN必选配置方式与VXLAN相同2.
3创建VXLAN-DCI隧道必选4.
4关联VXLAN与VXLAN-DCI隧道必选4.
5配置VSI虚接口必选4.
6为VSI指定网关接口必选4.
7配置VXLAN报文的目的UDP端口号可选配置方式与VXLAN相同2.
10配置VXLAN报文检查功能可选配置方式与VXLAN相同2.
11配置VXLAN流量统计可选配置方式与VXLAN相同,且仅支持VSI的报文统计功能2.
144.
4创建VXLAN-DCI隧道手工创建VXLAN隧道时,隧道的源端地址和目的端地址需要分别手工指定为本地和远端ED的接口地址.
在同一台设备上,VXLAN-DCI隧道模式的不同Tunnel接口建议不要同时配置完全相同的源端地址和目的端地址.
4-5关于隧道的详细介绍及Tunnel接口下的更多配置命令,请参见"三层技术-IP业务配置指导"中的"隧道".
关于interfacetunnel、source和destination命令的详细介绍,请参见"三层技术-IP业务命令参考"中的"隧道".
表4-2手工创建VXLAN-DCI隧道操作命令说明进入系统视图system-view-配置VXLAN-DCI隧道的全局源地址tunnelglobalsource-addressip-address缺省情况下,未配置VXLAN-DCI隧道的全局源地址如果隧道下未配置源地址或源接口,则隧道会使用全局源地址作为隧道的源地址创建模式为VXLAN-DCI隧道的Tunnel接口,并进入Tunnel接口视图interfacetunneltunnel-numbermodevxlan-dci缺省情况下,不存在Tunnel接口在隧道的两端应配置相同的隧道模式,否则会造成报文传输失败配置隧道的源端地址或源接口source{ipv4-address|interface-typeinterface-number}缺省情况下,未设置VXLAN隧道的源端地址和源接口如果设置的是隧道的源端地址,则该地址将作为封装后VXLAN报文的源IP地址;如果设置的是隧道的源接口,则该接口的主IP地址将作为封装后VXLAN报文的源IP地址采用VXLAN组播路由泛洪方式时,VXLAN-DCI隧道的源接口不能是Loopback接口、源端地址不能是Loopback接口的地址配置隧道的目的端地址destinationipv4-address缺省情况下,未指定隧道的目的端地址隧道的目的端地址是对端设备上接口的IP地址,该地址将作为封装后VXLAN报文的目的地址4.
5关联VXLAN与VXLAN-DCI隧道一个VXLAN可以关联多条VXLAN-DCI隧道.
一条VXLAN-DCI隧道可以关联多个VXLAN,这些VXLAN共用该VXLAN-DCI隧道,ED根据VXLAN报文中的VXLANID来识别隧道传递的报文所属的VXLAN.
ED接收到某个VXLAN的泛洪流量后,如果采用单播路由泛洪方式,则ED将在与该VXLAN关联的所有VXLAN-DCI隧道上发送该流量,以便将流量转发给所有的远端VTEP.
表4-3手工关联VXLAN与VXLAN-DCI隧道操作命令说明进入系统视图system-view-进入VSI视图vsivsi-name-进入VXLAN视图vxlanvxlan-id-4-6操作命令说明配置VXLAN与VXLAN-DCI隧道关联tunnel{tunnel-number[remote-vnivxlan-id]|all}缺省情况下,VXLAN未关联VXLAN-DCI隧道ED必须与相同VXLAN内的其它ED建立VXLAN-DCI隧道,并将该隧道与VXLAN关联指定remote-vnivxlan-id参数后,ED将本地VXLANID替换为指定的远端VXLANID属于同一用户的不同数据中心使用了不同的VXLANID.
如果用户想将这两个数据中心当作同一个VXLAN网络进行互联,则需要在数据中心的ED上指定remote-vnivxlan-id参数4.
6配置VSI虚接口表4-4配置VSI虚接口操作命令说明进入系统视图system-view-创建VSI虚接口,并进入VSI虚接口视图interfacevsi-interfacevsi-interface-id缺省情况下,设备上不存在任何VSI虚接口如果VSI虚接口已经存在,则直接进入该VSI虚接口视图配置VSI虚接口的IPv4地址或IPv6地址配置VSI虚接口的IPv4地址ipaddressip-address{mask|mask-length}[sub]缺省情况下,未配置VSI虚接口的IPv4地址和IPv6地址配置VSI虚接口的IPv6地址IPv6地址的配置方法,请参见"三层技术-IP业务配置指导"中的"IPv6基础"配置VSI虚接口为分布式网关接口distributed-gatewaylocal缺省情况下,VSI虚接口不是分布式本地网关接口开启本地代理ARP功能local-proxy-arpenable[ip-rangestartIPtoendIP]对于IPv4网络,必选缺省情况下,本地代理ARP功能处于关闭状态本命令的详细介绍,请参见"三层技术-IP业务命令参考"中的"代理ARP"开启本地ND代理功能local-proxy-ndenable对于IPv6网络,必选缺省情况下,本地ND代理功能处于关闭状态本命令的详细介绍,请参见"三层技术-IP业务命令参考"中的"IPv6基础"配置VSI虚接口的MAC地址mac-addressmac-address缺省情况下,VSI虚接口的MAC地址为设备的桥MAC地址+1(可选)配置接口的描述信息descriptiontext缺省情况下,接口的描述信息为"接口名Interface",例如:Vsi-interface100Interface4-7操作命令说明(可选)配置接口的MTUmtumtu-value缺省情况下,接口的MTU为1444字节(可选)配置接口的期望带宽bandwidthbandwidth-value缺省情况下,接口的期望带宽=接口的波特率÷1000(kbps)(可选)恢复当前接口的缺省配置default-(可选)开启VSI虚接口的ARP报文发送限速功能arpsend-ratepps缺省情况下,VSI虚接口的ARP报文发送限速功能处于关闭状态开启当前接口undoshutdown缺省情况下,接口处于开启状态4.
7为VSI指定网关接口表4-5为VSI指定网关接口操作命令说明进入系统视图system-view-进入VXLAN所在VSI视图vsivsi-name-为VSI指定网关接口gatewayvsi-interfacevsi-interface-id缺省情况下,没有为VSI指定网关接口4.
8VXLAN数据中心互联显示和维护在完成上述配置后,在任意视图下执行display命令可以显示配置后VXLAN数据中心互联的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,用户可以执行reset命令来清除VXLAN数据中心互联的相关信息.
表4-6VXLAN数据中心互联显示和维护操作命令显示VSI的信息displayl2vpnvsi[namevsi-name][verbose]显示Tunnel接口信息displayinterface[tunnel[number]][brief[description|down]]显示VXLAN关联的VXLAN-DCI隧道信息displayvxlantunnel[vxlan-idvxlan-id]清除VSI的报文统计信息resetl2vpnstatisticsvsi[namevsi-name]displayinterfacetunnel命令的详细介绍,请参见"三层技术-IP业务命令参考"中的"隧道".