一、概念:
VxLAN:Visual eXtensible Local Area Network 虚拟扩展本地局域网,一种隧道技术,能在三层网络的基础上建立二层以太网网络隧道,从而实现跨地域的二层互连,VxLAN端口:4789
EVPN:Ethernet VPN 以太网(二层)VPN技术
VNI:VxLAN Network Identifire VxLAN网络标识,由24bit组成,多达16M的VxLAN段
ES(Ethernet Segment):CE连接PE的 Ethernet 链路集合。
ESI(Ethernet Segment Identifier):10字节的ES非0标识。RFC7432中说明:取0时,表示单归站点;全ff为保留。
TOR:Top of Rack 机柜顶端,相当于接入层交换机
EOR: End of Row 机房队列末端,相当于汇聚层交换机
NVO3:Network Virtualization Over Layer 3 #三层上的网络虚拟化
BD:Bridge-Domain #二层网关,终结vlan-id,本质上是二层mac表
VAP:Virtual Access Point #虚拟接入点、BD跟Vlan-id关联的接口,对于用户侧,有4种:dot1q、default、untag、qinq
dot1q:DCN用得多,进入BD:剥离tag,出BD:打上对应tag(用户的vlan终结)
default:只能配在主接口下的一个子接口,带标记不带标记都收,透传,不区分tag和untag,全盘接收,不剥离tag,出 BD:保持tag,到达对应vlan
untag:进入BD:无标记,出BD :无任何标记
qinq:vlan嵌套vlan,较少用
NVE:Network Virtualization Edge(接口,用于连接网络侧,转发VxLAN的封装)
VTEP:Virtual Tunnel EndPoint #虚拟隧道终节点Leap loopback地址
二、常用命令:
dis vxlan peer #查看VxLAN对端列表
dis vxlan tunnel | verbose #查看VxLAN隧道
dis vxlan vni #查看 VxLAN 的vni列表
dis bridge-domain #查看BD
dis mac-address bridge-domain 10 | verbose #查看BD10的MAC表
dis port vlan 10 G0/0/1 #查看某个端口属于哪个vlan
三、拓朴图:
要求:AR1 上的 172.16.15.1 能穿越 ISP 网络去访问另一端 AR2 的 172.16.15.5
AR3 上的 172.16.1.1 能穿越 ISP 网络去访问另一端 AR4 的172.16.1.2
四、配置步骤:
运营商内部侧:
1、配网络侧底层互通(underlayer)
leaf之间loopback接口互访(以后的VTEP地址:VxLAN隧道IP地址)
2、Overlayer用户侧
a、创建BD,关联VNI:
bridge-domain 10
vxlan vni 5010 #针对 vlan10关联二层vni(1:1绑定,只能关联一个VNI)
b、配置VAP,关联BD
int G1/0/0.10 mode l2 #只有CE系列有此命令,S系列没有此条命令
encapsulation dot1q vid 10 #
bridge-doain 10
3、配置网络侧,创建NVE接口,用 vni 关联网络侧和用户侧,配置学习方式为头端复制,静态指定对端IP
int nve 1
source 10.1.1.1 #配置vtep的源地址
vni 5010 head-end peer-list 10.1.3.3 #头端复制
bridge-domain 10
vxlan vni 5010
#
interface GE1/0/0
undo portswitch
undo shutdown
#
interface GE1/0/0.10 mode l2
encapsulation dot1q vid 10
bridge-domain 10
#
interface GE1/0/1
undo portswitch
undo shutdown
ip address 10.1.12.1 255.255.255.0
#
interface LoopBack0
ip address 10.1.1.1 255.255.255.255
#
interface Nve1
source 10.1.1.1
vni 5010 head-end peer-list 10.1.3.3
#
interface NULL0
#
ospf 1 router-id 10.1.1.1
area 0.0.0.0
network 10.1.1.1 0.0.0.0
network 10.1.12.0 0.0.0.255
#用户侧:
1、AR1和AR2向交换机接口侧配置IP
2、S1和S2交换机起vlan10,向运营商侧配置trunk,允许vlan10通过
五、验证:
第一个抓包点在 AR1 到 S1 (路由器到交换机)之间,可以看到发出的正常的 ping 包:
第二个抓包点在 S1 到 CE1 (交换机到PE)之间,可以看到通过 trunk 口后,加上了 802.1q 的 vlan tag:
第三个抓包点在 CE1 到 CE2 之间(ISP内部),可以看到 CE1 将私网的 ping 包完整打上 VxLAN 封装,打上 5010 vni,再封装进 UDP 报文,用4789 端口,经 underlayer 承载后,发往ISP内部路由目标地址:
再看看另一个 5020 的 arp 包,也是相同的结构:
六、转发过程:
R1 转发 icmp ping 包,由于不知道对端IP的mac,先发一个 arp 包到 S1,源mac 为自己,目的mac 为全F,S1从此接口收到包,打上 vlan10 的标,泛洪所有 vlan10 的接口,包括出口的trunk口;
CE1 从子接口G1/0/0.10收到包,看到 vid 是10,收,因为封装模式是dot1q,去标(终结vlan id)后进入关联的BD 10,BD 10 学习到源mac,关联 vni 5010,通过 vxlan 隧道进行泛洪
CE3 收到包后,检查 dmac ,发现 dmac 是自己,收;拆掉帧头,发现 dip 是自己,收,拆掉 IP 头部,检查 udp 4789 端口,提交给 VxLAN 处理,检查 vni ,关联 BD,在BD 10 中进行学习(源mac是R1的,源IP是vtep peer的10.1.1.1),由于BD 10 关联 VAP(就是对R1出口的G1/0/1.10),由于封装方式是dot1q,打上tag 10,转发给交换机S2,S2从trunk口收入后,去标发给原来发出arp包的端口G0/0/2口,发给R1,R1 收到后,回复自己的arp包,带上自己的mac,重复以上过程
这样,两端的 BD10 都学习到了对端的mac,在underlayer基础上,建立起相当于同一局域网内的 BUM 的转发通信
七、简单化拓朴:
如果只是做现象的话,下面只有四台设备也可以满足要求,S1、S2起vlanif,配置IP地址,CE1和CE2配置静态直连就行了
八、注意的点:
1、这里配置好后有时是不通的,其实 ISP 通过 VxLAN 打通了二层,相当于一个交换机内的数据传输,也需要流量激活,如果 ping 不通,可以两边都 ping 一下就行了,也可能是模拟器的时延问题。
2、在 NVE 中: out-vni 可以配置对端不同的vni,只要互相用这个参数互指对端 vni 也可以建立 vxlan 隧道:vni 5010 head-end peer-list 10.1.1.2 out-vni 5030
3、如果两端的网段一致,但 vlan 不一致的情况下需要互访,只要在 VAP 接口中指定终结不同的 vlan 就行了,只要在 BD 中绑定相同的 vni ,或者在 NVE 中用 out-vni 指定好对端的 vni 就行了
1291
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
