VXLAN 基于VXLAN的EVP*艺博东的博客-vxlan 基于vxlan的evp*

无论什么时候，不管遇到什么情况，我绝不允许自己有一点点灰心丧气。——爱迪生

温馨提示：因为特殊原因，所以一些内容用” * “代替N字母。

一、定义

EVP *（Ethernet Virtual Private Network）是一种用于二层网络互联的 VP * 技术。EVP * 技术采用类似于BGP/MPLS IP VP * 的机制，通过扩展BGP协议，使用扩展后的可达性信息，使不同站点的二层网络间的MAC地址学习和发布过程从数据平面转移到控制平面。

1.1 VXLAN的目的

1、大二层（跨三层网络的二层广播域）
2、用户隔离（多vlan 24bit—-提供16M个vlan）
3、控制（方便部署—-网络设备与虚拟服务设备都可以支持；基于SDN的部署，管理，维护）

二、拓扑

基于VXLAN的EVP*

< HUAWEI > system-view immediately //进入系统视图并且使得配置即刻生效（华为高端交换机或路由器配置完成后不会立刻生效，需要使用commit命令提交，使用此命令后无需提交，配置会立刻生效）

三、基础配置

1、如图配置底层环境，运行OSPF协议，区域0

AR-1

[AR-1]int g0/0/0 [AR-1-GigabitEthernet0/0/0]ip address 11.1.1.2 24 [AR-1-GigabitEthernet0/0/0]int g4/0/0 [AR-1-GigabitEthernet4/0/0]ip address 20.1.1.1 24 [AR-1-GigabitEthernet4/0/0]int g0/0/2 [AR-1-GigabitEthernet0/0/2]ip address 13.1.1.1 24 [AR-1-GigabitEthernet0/0/2]int g0/0/1 [AR-1-GigabitEthernet0/0/1]ip address 12.1.1.1 24 [AR-1-GigabitEthernet0/0/1]quit [AR-1]ospf 1  [AR-1-ospf-1]a 0 [AR-1-ospf-1-area-0.0.0.0]net 0.0.0.0 0.0.0.0 

CE3

<HUAWEI>system-view immediately  [HUAWEI]sysname VTE-2 [VTE-2]int l0 [VTE-2-LoopBack0]ip address 3.3.3.3 32 [VTE-2-LoopBack0]quit [VTE-2]int g1/0/0 [VTE-2-GE1/0/0]undo shutdown  [VTE-2-GE1/0/0]undo portswitch [VTE-2-GE1/0/0]ip address 13.1.1.3 24 [VTE-2-GE1/0/0]quit [VTE-2]ospf 1 router-id 3.3.3.3 [VTE-2-ospf-1]a 0 [VTE-2-ospf-1-area-0.0.0.0]net 3.3.3.3 0.0.0.0 [VTE-2-ospf-1-area-0.0.0.0]net 13.1.1.3 0.0.0.0 

其他设备配置类似

dis ospf peer brief

2、图中的CE设备建立全互联的BGP邻居关系

CE4

[*VTE-3]bgp 100 [*VTE-3-bgp]peer 1.1.1.1 as-number 100 [*VTE-3-bgp]peer 1.1.1.1 connect-interface LoopBack 0 [*VTE-3-bgp]peer 2.2.2.2 as-number 100 [*VTE-3-bgp]peer 2.2.2.2 connect-interface LoopBack 0 [*VTE-3-bgp]peer 3.3.3.3 as-number 100 [*VTE-3-bgp]peer 3.3.3.3 connect-interface LoopBack 0 [*VTE-3-bgp]commit 

CE1、2、3设备配置类似

dis bgp peer

3、S 5700 创建对应的VLAN，连接CE的接口配置为Trunk 放行所有

LSW1

[LSW1]vlan batch 10 20 [LSW1]int g0/0/24 [LSW1-GigabitEthernet0/0/24]port link-type trunk [LSW1-GigabitEthernet0/0/24]port trunk allow-pass vlan all  [LSW1]int g0/0/1 [LSW1-GigabitEthernet0/0/1]port link-type access [LSW1-GigabitEthernet0/0/1]port default vlan 10 

LSW2、3配置类似

四、VXLAN配置

1、开启EVP * -overlay功能
2、创建BD域
3、BD域与VNI的绑定
4、BD域与EVP * 实例的绑定
5、BD域与本地接口绑定
6、激活EVP * 邻居，配置路由通告类型
7、在NVe进程下创建VXLAN隧道

五、配置与观察

1、在CE设备上配置VXLAN构建大二层网络

（1）配置BD域，VNI，绑定本地接口
（2）EVP*的RD与RT自定义

[*VTE-1]evp*-overlay enable   //开启EVP*的承载功能 [*VTE-1]bridge-domain 10      //创建二层广播域，编号10 [*VTE-1-bd10]vxlan vni 10     //此广播域对应的VXLAN编号为10 [*VTE-1-bd10]evp*             //进入此广播域的EVP*实例进程下 [*VTE-1-bd10-evp*]route-distinguisher 100:10            //配置此实例的RD为100:10（RD本地有效，在本地需要保持唯一，不能与本地的其他EVP*实例重复，与其他设备的可以重复） [*VTE-1-bd10-evp*]vp*-target 100:10 export-extcommunity //设置此EVP*实例发出时携带100:10的RT值  [*VTE-1-bd10-evp*]vp*-target 100:10 import-extcommunity //此EVP*实例只接收带有RT 100:10的EVP*地址簇的路由  [~VTE-1]int G1/0/1 [~VTE-1-GE1/0/1]undo shutdown                 //激活主接口  [*VTE-1]int GE 1/0/1.1 mode l2                //创建二层 子接口 [*VTE-1-GE1/0/1.1]bridge-domain 10            //此接口绑定本地广播域10  [*VTE-1-GE1/0/1.1]encapsulation dot1q vid 10  //只接收带有vlan 10便签的用户数据，同理发往用户的数据协议vlan 10的标签 [*VTE-1-GE1/0/1.1]quit 

2、建立EVP * -BGP邻居，开启IRB路由通告功能，配置NVe下的VXLAN隧道

[~VTE-1]bgp 100 [~VTE-1-bgp]l2vpn-family evp*                  //进入BGP的EVP*地址簇下激活邻居  [*VTE-1-bgp-af-evp*]peer 1.1.1.1 enable         //激活本设备与1.1.1.1的EVP*邻居 [*VTE-1-bgp-af-evp*]peer 1.1.1.1 advertise irb  //向邻居通告IRB类型的路由 [*VTE-1-bgp-af-evp*]peer 3.3.3.3 enable  [*VTE-1-bgp-af-evp*]peer 3.3.3.3 advertise irb  [*VTE-1-bgp-af-evp*]peer 4.4.4.4 enable  [*VTE-1-bgp-af-evp*]peer 4.4.4.4 advertise irb   [*VTE-1]int Nve 1                                   //进入虚拟化话进程nve 1下 [*VTE-1-Nve1]source  2.2.2.2                        //指定本端隧道的源地址为2.2.2.2 [*VTE-1-Nve1]vni 10 head-end peer-list protocol bgp //本端vni 10的隧道建立通过BGP协议获悉（隧道建立受EVP* BGP控制）  

3、在CE-1上部署VXLAN的集中式网关

CE-1

bridge-domain 10  vxlan vni 10  evp*    route-distinguisher 100:20   vp*-target 100:10 export-extcommunity   vp*-target 100:60 export-extcommunity   vp*-target 100:10 import-extcommunity   vp*-target 100:60 import-extcommunity # bridge-domain 20  vxlan vni 20  evp*    route-distinguisher 100:40   vp*-target 100:30 export-extcommunity   vp*-target 100:30 import-extcommunity # # interface Vbdif10  ip address 192.168.1.254 255.255.255.0 # interface Vbdif20  ip address 192.168.2.254 255.255.255.0 # 

（1）完成后查看GW设备上的处于UP状态的隧道有几条

处于UP状态的隧道有3条

dis vxlan tunnel

（2）在GW的G1/0/0接口开启抓包，使用BGP路由刷新命令重新获取BGP路由
请找出EVP* -BGP中的类型2与类型3路由，并说明这两类路由的作用于关键参数

<GW>refresh bgp all import 

抓包
type 2

Type 3

type 2—–MPLS-EVP * VXLAN-EVP *
作用：用于转发表项的形成:同子网，不同子网的通信
传递MAC/IP信息
MAC地址信息—-MAC
ARP信———IP+MAC
路由信——32位的前缀

Type 3—–MPLS-EVP* & VXLAN-EVP*
作用：用于VXLAN隧道的自动发现与建立

4、数据路径图描述

（1）PC-1 PING 测PC-3的路径图

把pc-3的arp信息静态写到pc-1上

PC>arp -s 192.168.1.103 54-89-98-06-22-7F 

ping 192.168.1.103


（2）PC-2 PING 测PC-3的路径图

ping 192.168.1.103


（3）对比VXLAN网关设备的ARP表项与其他VXLAN设备的ARP表项

总结出集中式网关的优缺点


dis int Vbdif 10

二层网关不参与，都是三层网关在进行;

优点： 便于管理
缺点： 三层网关坏的话，比较麻烦

六、总结

6.1 VXLAN的转发

1、VXLAN同子网转发流程：

（1）报文通过L2-Subif接口到达NVE设备，NVE基于L2-Subif接口绑定的BD与VNI查表（MAC）以确定是否需要送入VXLAN隧道
（2）广播报文向所有的同VNI的VXLAN隧道进行广播发送（头部复制：针对广播报文，在隧道内复制为多份发给所有的隧道）

问：广播发送，单播回复，其他的收到此广播报文的NVE节点会学到这个单播回复吗？

①单播报文通过查找目的MAC对应的VTEP地址进行对应的三层封装
问：如果收到单播报文去往目标的MAC地址不存在如何解决，是否会泛洪？

（3）NVE设备通过提取收到的VXLAN报文的VNI地址来判断报文送入哪个L2-Subif接口下的用户网络。

TOR—top over rank 在机框顶部的交换机

2、VXLAN不同子网转发流程：

（1）NVE设备对收到的报文通过查看目的MAC进行三层封装通过VXLAN隧道送至此NVI子网的的三层网关NVE设备
（2）网关NVE设备拆除三层封装，获取原数据报文的目的IP 查找IP路由表发送

①目的IP为外网，不再封装VXLAN头部转发
②目的IP为其他NVI子网，查找目的网段所在的VTEP隧道封装三层进行发送。

注意： 网关设备–集中式网关设备上会存在所有nvi下的MAC地址。

6.2 VXLAN报文

Eth————–VTEP对应的链路层地址
IP—————-VTEP的源目的IP
UDP————使用UDP 4789
VXLAN——–（VNI号）

（1）Reserved 保留
（2）VXLAN Network Identifier（VNI）

Eth hdr————-数据原链路层地址

6.3 VXLAN数据封装

MAC——————dynamit—-IP
数据的目的mac—-获取方式—-发出隧道的对端VTEP地址
1、从指定brindon domin接口收到报文，查看数据的目的MAC，寻找发出接口
2、获取发出端VTEP地址封装去往UDP报文—-基于VTEP隧道的源目的IP
3、基于VTEP地址再封装对应的链路层地址

注意：

①沿线设备只通过查看这个VXLAN报文的目的VTEP地址将报文转发至目标设备，终端VTEP删除VTEP的封装后基于报文携带的VNI地址将报文送入本地对应的VLAN。
②VTEP与VNI并发一一对应，一个VTEP隧道课承载多个VNI的报文。

6.4 VXLAN逻辑

VXLAN的虚拟化

1、虚拟化-1：利用VTEP构成的隧道透传二层报文；将隧道跨域的底层物理网虚拟为一台超级 LAN switch，VTEP构成了这台超级SW的端口，底层物理网构成这个超级SW的总线。
2、虚拟化-2：利用VNI将这台超级SW虚拟出多个二层的广播域，VNI作用本质与VLAN一致，通过定义VXLAN header中的VNI字段，使得课配置的广播域数量由4K扩展至16M。

6.5 VXLAN的主要优点

1、网络依赖小

基于IP的Overlay，仅需要在边界设备之间IP网络可达即可。

2、环路避免

隧道间存在水平分割，IP overlay的TTL避免环路。

3、高效转发

数据流量基于IP路由SPF及ECMP快速转发。

4、快速收敛

网络变化实时侦听全网拓扑毫秒收敛（取决于IGP收敛）。

5、虚拟化

Overlay + VNI构建虚拟网络，支持多达16M的虚拟网络 。

6、灵活部署

物理设备及vSwitch（虚拟化的SW—基于Server运行）均能实现部署。

6.6 VXLAN 网关

可以实现进跨网段转发的设备即为网关设备。

1、VXLAN L2 Gateway：允许租户接入VXLAN网络，实现相同VXLAN内部流量的互访（如分属于不同物理位置的的同一用户的业务需要在二层互访）。
2、VXLAN L3 Gateway：允许租户接入VXLAN网络，实现不同VXLAN互访，VXLAN与非VXLAN网络互访

本人所有文章都受版权保护，著作权归艺博东所有！未经授权，转载必究或附上其原创链接。