配置VXLAN(分布式网关,BGP EVPN方式)
前置任务
在配置用户通过VXLAN隧道互通之前,需配置网络路由可达。
配置流程
VXLAN网络内终端用户互通的配置流程如图1-55所示。
存在差异的配置任务 |
IPv4 Overlay网络 |
IPv6 Overlay网络 |
|---|---|---|
(可选)配置三段式VXLAN实现三层互通 |
支持 |
不支持 |
(可选)配置ARP广播报文抑制 |
支持 |
不支持 |
(可选)配置NS组播报文抑制 |
不支持 |
支持 |
(可选)配置接入侧隔离功能 |
支持 |
支持 |
(可选)配置接入侧到隧道侧的单向隔离功能 |
支持 |
支持 |
(可选)配置ARP本地代理 |
支持 |
不支持 |
(可选)配置ND路由式代理 |
不支持 |
支持 |
(可选)配置ND本地代理 |
不支持 |
支持 |
(可选)配置BD内的流量抑制 |
支持 |
支持 |
(可选)配置静态MAC地址表项 |
支持 |
支持 |
(可选)配置静态ARP表项 |
支持 |
不支持 |
(可选)配置静态IPv6邻居 |
不支持 |
支持 |
配置VXLAN接入业务部署方式
背景信息
在设备上部署VXLAN网络时,需要对下行接入业务进行选择部署。
基于VLAN方式:将一个或多个VLAN与BD进行关联,实现将指定VLAN内的用户加入BD。该方式控制粒度较粗,但配置简单,适合在现网上直接进行部署。
基于报文流封装类型:根据报文携带VLAN Tag的情况,将不同流封装类型的报文送到不同的二层子接口,并将二层子接口与BD进行绑定,以实现将指定用户加入到BD。该方式控制粒度较细且较为灵活,但配置复杂,适合在新建网上进行部署。
在接入侧主接口配置NAC认证时,该接口下不支持创建VXLAN二层子接口接入VXLAN网络。
操作步骤
- 执行命令system-view,进入系统视图。
- (可选)执行命令set vxlan resource super-mode,配置VXLAN的大规格模式。
缺省情况下,设备支持配置的BD域规格为4094。配置为大规格模式后支持配置的BD域规格为64000。
配置VXLAN的大规格模式后需要保存配置并重启设备才能生效。
当配置为VXLAN的大规格模式时,可能导致部分业务转发性能下降。如:IP组播业务、VPLS业务、VLAN Mapping业务、VLAN Stacking业务、以及子接口三层转发业务。
- 执行命令bridge-domain bd-id,创建广播域BD,并进入BD视图。
缺省情况下,没有创建广播域BD。
- (可选)执行命令description description,配置BD的描述信息。
缺省情况下,未配置BD的描述信息。
- 执行命令quit,退出BD视图,返回到系统视图。
- (可选)配置接口的模式为VXLAN接入侧接口。
仅S12700支持该配置。
执行命令interface interface-type interface-number,进入接口视图。
执行命令port nvo3 mode access,配置接口的模式为VXLAN接入侧接口。
缺省情况下,接入侧接口位于ET1D2X48SEC0单板时,不支持收到的携带有VXLAN报文目的UDP端口号(端口号为4789)的普通IP报文进入VXLAN隧道。
执行命令quit,返回系统视图。
- 配置业务接入点接入业务。
- 基于VLAN方式:
执行命令vlan vlan-id,创建VLAN并进入VLAN视图。
执行命令quit,退出VLAN视图,返回到系统视图。
执行命令bridge-domain bd-id,进入已经创建的BD视图。
执行命令l2 binding vlan vlan-id,将指定VLAN与BD相关联,实现数据报文在BD内进行转发。
缺省情况下,VLAN与BD无关联。
一个VLAN只能绑定一个BD,但是一个BD可以绑定多个VLAN。
将全局VLAN与BD相关联后,需要将设备上相关接口加入该VLAN。
- 若Voice VLAN的成员口有位于除X系列单板之外的单板上时,该VLAN将不能与BD进行关联。
- 在NAC认证场景,若VLAN中有在线用户,执行undo l2 binding vlan命令解除该VLAN同BD绑定时,会导致用户下线。
- 若VLAN为授权给用户的ISP VLAN,且在设备上该VLAN下已经存在用户,则不支持指定该VLAN与BD相关联。
- 若VLAN作为Fit AP设备的管理VLAN时,该VLAN不建议同BD关联。
- 基于报文流封装类型:
- 执行命令interface interface-type interface-number,进入需要创建二层子接口的主接口视图。
执行命令port link-type { trunk | hybrid },配置接口的链路类型为trunk或者hybrid。
执行命令quit,返回系统视图。
执行命令interface interface-type interface-number.subnum mode l2,创建二层子接口,并进入二层子接口视图。
执行命令rewrite pop { single | double | none },配置对二层子接口接收的报文进行剥除VLAN Tag操作。
缺省情况下,对封装类型为QinQ的二层子接口接收的报文进行剥除双层VLAN Tag操作,对封装类型为Dot1q的二层子接口接收的报文进行剥除一层VLAN Tag操作。
- 配置rewrite pop single命令的二层子接口的封装类型必须为Dot1q,且不能配置VLAN段。
- 配置rewrite pop double命令的二层子接口的封装类型必须为QinQ,且不能配置VLAN段。
- 配置rewrite pop none命令的二层子接口的封装类型必须为Dot1q或QinQ。
执行命令encapsulation { dot1q vid low-pe-vid [ to high-pe-vid ] | default | untag | qinq vid low-vlan-vid [ to high-vlan-vid ] ce-vid low-ce-vid [ to high-ce-vid ] },配置二层子接口允许通过的流封装类型,实现不同的接口接入不同的数据报文。
缺省情况下,二层子接口没有配置允许通过的流封装类型。
配置二层子接口允许通过的流封装类型时,需要注意以下几点:
二层子接口封装的dot1q的VLAN与qinq的外层VLAN,不能与对应主接口允许通过的VLAN相同,也不能与全局VLAN相同。
在同一个主接口下,dot1q的VLAN与qinq的外层VLAN互斥。
主接口配置NAC认证后,该接口下的VXLAN二层子接口不支持配置流封装类型为default。
二层子接口下配置流封装类型为default时,必须确保对应的主接口没有加入任何VLAN,包括VLAN 1。
二层子接口下配置流封装类型为default前,主接口下有且仅有一个子接口。
二层子接口下配置流封装类型为default后,该主接口下不能再创建其他子接口。
二层子接口下配置流封装类型为untag时,必须确保对应的主接口没有加入VLAN 1,并且该主接口下不能在其他子接口下配置untag。
每个二层子接口只允许配置一种封装类型。如果二层子接口上已经配置流封装,需要改变流封装类型时,必须先通过命令undo encapsulation删除原有的流封装。
- 在Dot1q或QinQ二层子接口上配置VLAN段时,必须先执行命令rewrite pop none。
执行命令bridge-domain bd-id,将指定二层子接口与BD相关联,实现数据报文在BD内进行转发。
缺省情况下,二层子接口与BD无关联。
- 基于VLAN方式:
配置VXLAN隧道
背景信息
配置BGP EVPN对等体关系。通过在VXLAN网关之间配置BGP EVPN对等体关系可以使不同网关相互发送EVPN路由。如果在组网中部署路由反射器,则VXLAN网关仅需要与路由反射器建立BGP EVPN对等体关系。
(可选)配置RR(Route Reflector,路由反射器)功能。如果选择配置RR功能,则仅需要让各个VXLAN网关与路由反射器建立BGP EVPN对等体关系。配置RR功能可以减少网络中的BGP EVPN对等体关系数量,简化配置工作量。既可以使用网络中的某一台设备兼做RR,也可以在网络中新增一台设备配置RR功能。
配置EVPN实例。EVPN实例可以用来管理接收和发布EVPN路由。
配置头端复制功能。配置头端复制功能后,系统会通过BGP EVPN协议构建出其他远端VTEP列表,当VXLAN网关需要转发报文时,可以根据此列表将收到的BUM(Broadcast&Unknown-unicast&Multicast)报文进行复制并发送给属于同一个VNI的所有VXLAN网关。
(可选)配置VXLAN隧道目的端精确路由状态订阅功能。配置此功能后,只有隧道源端IP地址路由精确可达以及目的端IP地址路由精确可达时,VXLAN隧道状态才为Up,否则为Down。
操作步骤
- 配置BGP EVPN对等体关系。
- (可选)执行命令peer ipv4-address connect-interface interface-type interface-number [ ipv4-source-address ],指定BGP对等体之间建立TCP连接会话的源接口和源地址。
缺省情况下,BGP使用报文的出接口作为BGP报文的源接口。
当使用Loopback接口建立BGP连接时,建议对等体两端同时配置命令peer connect-interface,以保证两端连接的正确性。如果仅有一端配置该命令,可能导致BGP连接建立失败。
- (可选)执行命令peer ipv4-address ebgp-max-hop [ hop-count ],指定建立EBGP EVPN连接允许的最大跳数。
参数hop-count的默认值为255。
通常情况下,EBGP EVPN对等体之间应具有直连的物理链路;如果不满足这一要求,则必须配置peer ebgp-max-hop命令,以允许它们之间经过多跳建立TCP连接。
当使用Loopback接口建立EBGP EVPN连接时,必须配置命令peer ebgp-max-hop(其中hop-count≥2),否则EBGP EVPN连接将无法建立。
- (可选)执行命令peer ipv4-address connect-interface interface-type interface-number [ ipv4-source-address ],指定BGP对等体之间建立TCP连接会话的源接口和源地址。
- (可选)配置RR功能。通过配置RR功能,则仅需要让各个VXLAN网关与路由反射器配置BGP EVPN对等体关系,大大减少网络中的BGP EVPN对等体关系数量,简化配置工作量。
- 配置EVPN实例。
- 执行命令vpn-target vpn-target &<1-8> [ both | export-extcommunity | import-extcommunity ],为EVPN实例配置VPN-target扩展团体属性。本端配置的出方向VPN-target值需要与对端配置的入方向VPN-target值相等;本端配置的入方向VPN-target值需要与对端配置的出方向VPN-target值相等。
缺省情况下,没有为BD视图下的EVPN实例配置VPN-Target扩展团体属性。
在EVPN实例下,配置IRT时不建议超过32个的EVPN实例包含同一的IRT。
- 执行命令vpn-target vpn-target &<1-8> [ both | export-extcommunity | import-extcommunity ],为EVPN实例配置VPN-target扩展团体属性。本端配置的出方向VPN-target值需要与对端配置的入方向VPN-target值相等;本端配置的入方向VPN-target值需要与对端配置的出方向VPN-target值相等。
- 创建BD域并绑定EVPN实例。
- 配置头端复制功能。
- 执行命令source ip-address,配置源端VTEP的IP地址。
缺省情况下,VTEP没有配置IP地址。
头端是指VXLAN隧道的入节点,复制是指当VXLAN隧道的入节点收到一份BUM报文后,需要将其复制多份并发送给列表中的所有VTEP。头端复制列表就是用于指导VXLAN隧道的入节点进行BUM报文复制和发送的远端VTEP的IP地址列表。
由于当前只支持头端复制方式进行BUM报文转发,当和其他厂商设备对接创建VXLAN隧道时,必须保证对端设备也配置头端复制方式,否则会导致对接失败。
- 执行命令source ip-address,配置源端VTEP的IP地址。
- (可选)执行命令vxlan tunnel-status track exact-route,开启VXLAN隧道目的端精确路由状态订阅功能。
缺省情况下,VXLAN隧道目的端精确路由状态订阅功能处于关闭状态。
缺省情况下,如果一条VXLAN隧道的源端IP地址精确路由可达且目的端IP地址所在网段路由可达,则认为该条VXLAN隧道状态为Up。但是在实际组网中可能存在多个相同网段的目的地址,其中一个可达,即认为该网段可达,而如果此时该网段内某一个IP地址不可达,则会造成隧道状态误报,不能及时发现网络问题。此时,可以通过配置vxlan tunnel-status track exact-route命令,使能VXLAN隧道目的端精确路由状态订阅功能。只有目的VTEP的精确IP地址路由可达时,VXLAN隧道状态为Up,否则为Down。
后续处理
由于单板差异,对于X系列单板作为接入侧单板时,报文在进入交换机被封装后,同一隧道的VXLAN报文的源IP、源MAC、目的IP和目的MAC等报文信息均一致,仅传输层的源端口号是变化的。因此为避免VXLAN流量跨板转发时在主控或交换网板的Higig-Trunk接口出现负载分担不均,需要配置主控或者交换网板Higig-Trunk接口在进行负载分担计算时包含报文的传输层源端口信息作为负载分担因子。
在系统视图下执行命令load-distribution enhanced ip-field l4-sport,配置主控和交换网板Higig-Trunk接口的负载分担计算包含传输层源端口作为计算因子。
该配置对主控和交换网板以及Higig-Trunk负载分担方式为增强模式的X系列单板生效。X系列单板Higig-Trunk的负载分担方式配置请参见命令load-distribution mode。
VXLAN报文在隧道中的转发设备也建议进行上述配置。若在转发设备上经过的接口为Eth-Trunk接口时,建议同时通过命令load-balance配置Eth-Trunk接口的负载分担计算为增强模式,且通过命令ipv4 field配置负载分担模板中包含报文传输层的源端口作为负载分担因子。
配置VXLAN三层网关
背景信息
VXLAN分布式网关场景下不同网段的主机互通需要三层转发,因此需要三层网关学习到主机路由。此时,需要在VXLAN网关设备上完成以下配置:
配置与EVPN实例交叉路由的VPN实例。该VPN实例用于存储主机路由或主机网段路由,区分不同租户。
配置VXLAN三层网关绑定VPN实例,使能分布式网关功能并配置发布主机路由功能。
配置VXLAN网关之间发布的路由类型。通过选择发布不同的路由类型,可以使VXLAN网关之间发送不同的路由信息。如果在组网中部署路由反射器,则仅需要配置VXLAN网关与路由反射器之间发布的路由类型。
在配置VXLAN三层网关时,根据Overlay网络IP层协议选择不同的配置步骤。
当Overlay网络为IPv4网络时,可查看Overlay网络为IPv4网络时VXLAN三层网关的配置。
当Overlay网络为IPv6网络时,可查看Overlay网络为IPv6网络时VXLAN三层网关的配置。
操作步骤
- Overlay网络为IPv4网络时VXLAN三层网关的配置:
- 配置三层网关绑定VPN实例,使能分布式网关功能并配置发布主机路由功能。
执行命令interface vbdif bd-id,创建VBDIF接口,并进入VBDIF接口视图。
缺省情况下,没有创建VBDIF接口。
执行命令ip binding vpn-instance vpn-instance-name,将VBDIF接口绑定VPN实例。
缺省情况下,VBDIF接口未绑定任何VPN实例。
执行命令ip address ip-address { mask | mask-length } [ sub ],配置IPv4地址。
缺省情况下,在VBDIF接口上没有配置IP地址。
(可选)执行命令mac-address mac-address,配置VBDIF接口的MAC地址。
缺省情况下,VBDIF接口的MAC地址是系统的MAC地址。
在分布式网关需要将多个三层网关模拟成一个网关的场景下,需要通过执行mac-address命令为不同的三层网关的VBDIF配置相同的MAC地址。
执行命令arp distribute-gateway enable,使能分布式网关功能。
缺省情况下,分布式网关功能处于去使能状态。
在三层网关上使能分布式网关功能后,网关收到网络侧的ARP报文将做丢弃处理,只学习用户侧主机的ARP报文。
执行命令arp collect host enable,配置VBDIF接口的主机信息搜集功能。
执行命令quit,退出VBDIF接口视图。
- 配置VXLAN网关之间发布的路由类型(如果在组网中部署路由反射器,则仅需配置VXLAN网关与路由反射器之间发布的路由类型)。
配置发布IRB类型的路由
执行命令bgp as-number,进入BGP视图。
执行命令l2vpn-family evpn,进入BGP-EVPN地址族视图。
执行命令peer ipv4-address advertise irb,配置发布IRB类型的路由。
执行命令quit,退出BGP-EVPN地址族视图。
执行命令quit,退出BGP视图。
携带主机MAC地址、主机IP地址、二层VNI、三层VNI信息的Type2类型BGP EVPN路由称为IRB(Intergrate Routing and Bridge)类型路由,此类型路由既可以用于主机IP路由通告,也能用于主机ARP通告。因此,配置发布IRB类型的路由后,如果继续在BD视图下配置arp broadcast-suppress [ mismatch-discard ] enable命令,则可以实现ARP广播报文抑制功能。同时,主机ARP通告功能可以实现分布式网关场景下的虚拟机迁移,因此建议配置发布IRB类型的路由。
配置发布IP前缀类型的路由
执行命令bgp as-number,进入BGP视图。
执行命令ipv4-family vpn-instance vpn-instance-name,进入BGP-VPN实例IPv4地址族视图。
执行命令import-route protocol [ process-id ] [ med med | route-policy route-policy-name ] *,将其他协议路由引入到当前BGP-VPN实例IPv4地址族视图中。
如果要发布主机IP路由,则只需配置引入直链路由即可。如果要发布主机所在的网段路由,需要先利用动态路由协议(如OSPF等)发布该网段路由,此处再配置引入相应动态协议的路由。
执行命令advertise l2vpn evpn,配置发布IP前缀类型的路由。
执行命令quit,退出BGP-VPN实例IPv4地址族视图。
执行命令quit,退出BGP视图。
携带主机IP地址或网段地址、三层VNI信息的Type5类型BGP EVPN路由称为IP前缀类型路由,此类型路由既可以用于发布主机IP路由,也可以用于发布主机所在的网段路由。当主机明细路由数量较大时,为了减轻VXLAN网关上路由存储的负担,可以配置发布IP前缀类型的路由,并将网段路由引入到当前的BGP-VPN实例地址族中。
如果网关设备下连接的网段在整个网络中唯一,则可以配置发布网段路由,否则不能配置发布网段路由。
- 配置三层网关绑定VPN实例,使能分布式网关功能并配置发布主机路由功能。
- Overlay网络为IPv6网络时VXLAN三层网关的配置:
- 配置三层网关绑定VPN实例,使能分布式网关功能并配置发布主机路由功能。
执行命令ipv6,使能IPv6报文转发功能。
执行命令interface vbdif bd-id,创建VBDIF接口,并进入VBDIF接口视图。
缺省情况下,没有创建VBDIF接口。
VBDIF接口的编号必须对应一个已经存在的ID的BD。
- 设备通过命令assign resource-mode配置资源模式为enhanced-arp时,隧道侧位于ET1D2X48SEC0单板上的接口不支持对VXLAN报文进行三层转发。
执行命令ip binding vpn-instance vpn-instance-name,将VBDIF接口绑定VPN实例。
缺省情况下,VBDIF接口未绑定任何VPN实例。
执行命令ipv6 enable,使能接口的IPv6功能。
缺省情况下,接口的IPv6功能处于未使能状态。
执行命令ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length },手工配置IPv6全球单播地址。或者执行命令ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } eui-64,采用EUI-64格式形成IPv6全球单播地址。
缺省情况下,在VBDIF接口上没有配置IPv6地址。
(可选)执行命令mac-address mac-address,配置VBDIF接口的MAC地址。
缺省情况下,VBDIF接口的MAC地址是系统的MAC地址。
在分布式网关需要将多个三层网关模拟成一个网关的场景下,需要通过执行mac-address命令为不同的三层网关的VBDIF配置相同的MAC地址。
执行命令ipv6 nd distribute-gateway enable,使能IPv6分布式网关功能。
缺省情况下,IPv6分布式网关功能处于去使能状态。
在三层网关上使能分布式网关功能后,网关收到网络侧的NS报文将做丢弃处理,只学习用户侧主机的NS报文。
执行命令ipv6 nd collect host enable,配置VBDIF接口的主机IPv6信息搜集功能。
执行命令quit,退出VBDIF接口视图。
- 配置VXLAN网关之间发布的路由类型(如果在组网中部署路由反射器,则仅需配置VXLAN网关与路由反射器之间发布的路由类型)。
配置发布IRBv6类型的路由
执行命令bgp as-number,进入BGP视图。
执行命令l2vpn-family evpn,进入BGP-EVPN地址族视图。
执行命令peer ipv4-address advertise irbv6,配置发布IRBv6类型的路由。
执行命令quit,退出BGP-EVPN地址族视图。
执行命令quit,退出BGP视图。
携带主机MAC地址、主机IPv6地址、二层VNI、三层VNI信息的Type2类型BGP EVPN路由称为IRBv6(Intergrate Routing and Bridge)类型路由,此类型路由既可以用于主机IPv6路由通告,也能用于主机ND通告。因此,配置发布IRBv6类型的路由后,如果继续在BD视图下配置ipv6 nd multicast-suppress [ mismatch-discard ] enable命令,则可以实现NS组播报文抑制功能。同时,主机ND通告功能可以实现分布式网关场景下的虚拟机迁移,因此建议配置发布IRBv6类型的路由。
配置发布IPv6前缀类型的路由
执行命令bgp as-number,进入BGP视图。
执行命令ipv6-family vpn-instance vpn-instance-name,进入BGP-VPN实例IPv6地址族视图。
执行命令import-route protocol [ process-id ] [ med med | route-policy route-policy-name ] *,将其他协议路由引入到当前BGP-VPN实例IPv6地址族视图中。
如果要发布主机IPv6路由,则只需配置引入直链路由即可。如果要发布主机所在的网段路由,需要先利用动态路由协议(如OSPF等)发布该网段路由,此处再配置引入相应动态协议的路由。
执行命令advertise l2vpn evpn,配置发布IPv6前缀类型的路由。
执行命令quit,退出BGP-VPN实例IPv6地址族视图。
执行命令quit,退出BGP视图。
携带主机IPv6地址或网段地址、三层VNI信息的Type5类型BGP EVPN路由称为IP前缀类型路由,此类型路由既可以用于发布主机IPv6路由,也可以用于发布主机所在的网段路由。当主机明细路由数量较大时,为了减轻VXLAN网关上路由存储的负担,可以配置发布IP前缀类型的路由,并将网段路由引入到当前的BGP-VPN实例地址族中。
如果网关设备下连接的网段在整个网络中唯一,则可以配置发布网段路由,否则不能配置发布网段路由。
- 配置三层网关绑定VPN实例,使能分布式网关功能并配置发布主机路由功能。
后续处理
在配置VXLAN三层网关时,若设备隧道侧接口位于ET1D2X48SEC0单板上时,只有在配置VXLAN环回接口后,设备才能对接收的VXLAN报文解封装后进行三层转发。因此当隧道侧接口位于ET1D2X48SEC0单板上时,设备作为VXLAN三层网关,需要配置Eth-Trunk接口作为VXLAN的环回接口。配置步骤如下:
执行命令interface eth-trunk trunk-id,进入Eth-Trunk接口视图。
执行命令service type vxlan-tunnel,配置Eth-trunk接口为VXLAN环回接口。
缺省情况下,设备上Eth-Trunk接口未配置为VXLAN的环回接口。
执行命令trunkport interface-type interface-number,将物理接口加入Eth-Trunk接口。
配置Eth-Trunk接口为VXLAN环回接口后,Eth-Trunk接口将自动去使能STP,也不支持在此接口下配置STP相关命令。取消Eth-Trunk接口为VXLAN环回接口后,该Eth-Trunk接口将自动使能STP功能。
交换机上只能配置一个Eth-Trunk接口作为VXLAN环回接口,所有VBDIF接口的VXLAN报文均通过该环回接口进行封装和解封装。
当Eth-Trunk接口下存在成员端口时,该Eth-Trunk接口不能被配置为VXLAN环回接口。
若需要配置Eth-Trunk接口为环回接口时,该Eth-Trunk接口允许的配置有description、enable snmp trap updown、jumboframe enable、mixed-rate link enable、qos car inbound、qos phb marking enable、set flow-stat interval、shutdown、local-preference enable、traffic-policy(接口视图)和trust,若存在除此之外的配置时,该Eth-Trunk接口不能配置为环回接口。
配置Eth-Trunk接口为环回接口后,该Eth-Trunk接口仅支持如下配置,authentication open ucl-policy enable、description、enable snmp trap updown、jumboframe enable、mixed-rate link enable、qos car inbound、qos phb marking enable、set flow-stat interval、shutdown、local-preference enable、statistic enable(接口视图)、traffic-policy(接口视图)、vcmp disable和trust。其它业务功能命令行若可以配置,但功能不生效,对系统无影响。
若要通过命令undo service type vxlan-tunnel取消Eth-Trunk接口作为VXLAN环回接口时,需先删除该Eth-Trunk接口下的所有成员接口、设备上的所有VBDIF接口以及设备上所有用于接收和发布EVPN路由的VPN实例。
只有X系列以及ET1D2X48SEC0单板上的接口可以作为VXLAN环回接口的成员接口。
(可选)配置三段式VXLAN实现三层互通
背景信息
如图1-57所示,要求在各园区内部配置BGP EVPN协议创建分布式网关的VXLAN隧道,在VTEP之间也配置BGP EVPN协议创建VXLAN隧道,实现园区A和园区B之间的互相通信。
在配置三段式VXLAN网络时,需要园区间建立BGP对等体的设备在向对端发布EVPN路由时,将本端收到所在园区内的EVPN路由重新进行生成后发布给对端。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令bgp as-number,进入BGP视图。
- 执行命令l2vpn-family evpn命令,进入BGP-EVPN地址族视图。
- 执行命令peer ipv4-address import reoriginate,使能从BGP EVPN对等体收到的路由打上重生路由标记功能。
- 执行命令peer ipv4-address advertise route-reoriginated evpn ip,配置EVPN重生成路由并将EVPN重生成路由向一端BGP EVPN对等体发送。
重生成路由的过程:收到EVPN路由后,VTEP2或者VTEP3会将下一跳修改为自己,同时将主机路由中网关MAC属性中的Router MAC替换为自己的Router MAC,三层VNI替换为VPN实例的三层VNI。
(可选)配置ARP广播报文抑制
背景信息
为了保证ARP广播报文抑制功能生效,除了在VXLAN二层网关上使能ARP广播报文抑制功能外,还需要在VXLAN二层网关和VXLAN三层网关上配置BGP EVPN功能,BGP EVPN功能会将学习的ARP表项生成主机信息,然后将主机信息发布给二层网关。当二层网关收到ARP广播报文时,会根据学习到的主机信息将广播报文转换为单播报文进行转发,减少BD域内的广播报文,提高网络性能。
操作步骤
- 在VXLAN二层网关和三层网关配置BGP EVPN发布路由功能,用来发布VXLAN学习到的主机信息。
执行命令system-view,进入系统视图。
执行命令bgp as-number,进入BGP视图。
执行命令l2vpn-family evpn,进入BGP-EVPN地址族视图。
缺省情况下,未使能BGP-EVPN地址族视图。
缺省情况下,本端设备无法向BGP EVPN对等体发布ARP路由或者IRB路由。可以选择发布ARP类型或IRB类型的路由来实现ARP广播报文抑制功能,用户仅能选择配置并发布两种类型的路由中的一种:
执行命令peer ipv4-address advertise arp,配置发布ARP类型的路由。
- 执行命令peer ipv4-address advertise irb,配置发布IRB类型的路由。
- 在VXLAN三层网关使能BGP EVPN进行主机信息搜集的功能。
执行命令system-view,进入系统视图。
执行命令interface vbdif bd-id,进入VBDIF接口视图。
执行命令arp collect host enable,使能BGP EVPN进行主机信息搜集的功能。
缺省情况下,未使能BGP EVPN进行主机信息搜集的功能。
- 在VXLAN二层网关上使能ARP广播报文抑制功能。
执行命令system-view,进入系统视图。
执行命令bridge-domain bd-id,进入BD视图。
执行命令arp broadcast-suppress [ mismatch-discard ] enable,使能ARP广播报文抑制功能。
缺省情况下,ARP广播报文抑制功能处于去使能状态。
(可选)配置NS组播报文抑制
背景信息
在IPv6 Overlay网络场景中,IPv6主机邻居发现是通过NS组播方式实现的。当网关设备收到一个NS报文用来进行IPv6地址解析时,会将该报文在自己的BD域内组播转发。如果网关设备在一段时间内收到大量的NS报文,并且将这些报文都进行转发,会导致VXLAN网络中出现大量的NS报文,占用过多的网络资源,影响正常业务运行。因此,需要实现NS组播抑制功能。当网关设备在收到NS报文时,先查看自己能否获取到该NS报文的目的用户的信息,如果能够获取就直接进行组播转单播处理,从而减少或抑制NS报文洪泛。
操作步骤
- 在VXLAN二层网关和三层网关配置BGP EVPN发布路由功能,用来发布VXLAN学习到的主机IPv6信息。
执行命令system-view,进入系统视图。
执行命令bgp as-number,进入BGP视图。
执行命令l2vpn-family evpn,进入BGP-EVPN地址族视图。
缺省情况下,未使能BGP-EVPN地址族视图。
缺省情况下,本端设备无法向BGP EVPN对等体发布ND路由或者IRBv6路由。可以选择发布ND类型或IRBv6类型的路由来实现NS组播报文抑制功能,用户仅能选择配置并发布两种类型的路由中的一种:
执行命令peer ipv4-address advertise nd,配置发布ND类型的路由。
- 执行命令peer ipv4-address advertise irbv6,配置发布IRBv6类型的路由。
- 在VXLAN三层网关使能BGP EVPN进行主机IPv6信息搜集的功能。
执行命令system-view,进入系统视图。
执行命令interface vbdif bd-id,进入VBDIF接口视图。
执行命令ipv6 nd collect host enable,使能BGP EVPN进行主机IPv6信息搜集的功能。
缺省情况下,未使能BGP EVPN进行主机IPv6信息搜集的功能。
- 在VXLAN二层网关上使能NS组播报文抑制功能。
执行命令system-view,进入系统视图。
执行命令bridge-domain bd-id,进入BD视图。
执行命令ipv6 nd multicast-suppress [ mismatch-discard ] enable,使能NS组播报文抑制功能。
缺省情况下,NS组播报文抑制功能处于去使能状态。
(可选)配置接入侧隔离功能
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令bridge-domain bd-id,进入已创建的BD视图。
- 执行命令isolate enable,使能接入侧BD域内的隔离功能。
缺省情况下,未配置接入侧BD域内的隔离功能。
- 执行命令quit,返回系统视图。
- (可选)当通过某个VLAN或某个二层子接口接入BD域的用户需要与该BD域内的其它接入侧用户互通时,可以配置该VLAN或二层子接口的接入侧模式为Hub。
- 配置通过VLAN接入的接入侧模式为Hub。
执行命令vlan vlan-id,进入已创建的VLAN视图。
执行命令hub-mode enable,配置接入侧模式为Hub。
- 配置通过二层子接口接入的接入侧模式为Hub。
执行命令interface interface-type interface-number.subinterface-number mode l2,进入已创建的二层子接口视图。
执行命令hub-mode enable,配置接入侧模式为Hub。
- 配置通过VLAN接入的接入侧模式为Hub。
(可选)配置ARP本地代理
(可选)配置BD内的流量抑制
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令bridge-domain bd-id,创建广播域BD,并进入BD视图。
- 配置BD内的流量抑制。请根据实际需要,选择如下配置:
执行命令broadcast-suppression cir cir-value [ cbs cbs-value ],开启BD内广播流量抑制功能。
缺省情况下,BD内广播流量抑制功能处于关闭状态。
执行命令multicast-suppression cir cir-value [ cbs cbs-value ],开启BD内组播流量抑制功能。
缺省情况下,BD内组播流量抑制功能处于关闭状态。
执行命令unknown-unicast-suppression cir cir-value [ cbs cbs-value ],开启BD内未知单播流量抑制功能。
缺省情况下,BD内未知单播流量抑制功能处于关闭状态。
EA、EC(除ET1D2X48SEC0)单板不支持BD内流量抑制功能。
(可选)配置静态MAC地址表项
背景信息
设备通过源MAC地址学习并建立MAC地址表时,无法区分合法用户和非法用户的报文,为网络安全带来了隐患。如果非法用户将攻击报文的源MAC地址伪装成合法用户的MAC地址,并从设备的其他接口进入,设备就会学习到错误的MAC地址表项,于是就会将本应转发给合法用户的报文转发给非法用户。用户可以手工在VXLAN接入侧和隧道侧的MAC地址表中加入特定的MAC地址表项,将用户设备与接口绑定,从而防止仿冒身份的非法用户骗取数据。另外,手动配置静态MAC地址表项,可以有效指导报文进行单播转发,节省带宽。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令mac-address static mac-address interface-type interface-number.subnum bridge-domain bd-id { default | untag | vid vlan-id1 [ ce-vid vlan-id2 ] },配置基于二层子接口接入VXLAN网络的接入侧设备的静态MAC地址表项。或者执行命令mac-address static mac-address interface-type interface-number bridge-domain bd-id vid vlan-id3,配置基于VLAN接入VXLAN网络的接入侧设备的静态MAC地址表项。
配置VXLAN接入侧设备的静态MAC地址表项时,需提前完成接入侧设备接入VXLAN网络的配置,并且配置的相应参数应同接入VXLAN网络的配置相一致。
(可选)配置静态ARP表项
背景信息
静态ARP表项通过手工配置和维护,不会被老化,不会被动态ARP表项覆盖。所以在VXLAN三层网关上配置静态ARP表项可以增加通信的安全性。静态ARP表项可以限制和指定IP地址的设备通信时只使用指定的MAC地址,此时攻击报文无法修改此表项的IP地址和MAC地址的映射关系,从而保护了本设备和指定设备间的正常通信。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令arp static ip-address mac-address bridge-domain bd-id [ vid vlan-id1 [ cevid vlan-id2 ] ] interface interface-type interface-number.subnum,基于接口配置VXLAN二层子接口接入点的静态ARP表项,或者通过执行命令arp static ip-address mac-address bridge-domain bd-id [ vid vlan-id3 ] interface interface-type interface-number,基于接口配置VXLAN的VLAN接入点的静态ARP表项。
配置静态ARP表项时,如果此静态ARP表项已经存在,则不能重复配置。
配置的ip-address必须和ARP表项的出接口的地址在同一个网段。
配置参数vid vlan-id和cevid vlan-id时,需同接口封装类型的配置参数保持一致。
基于接口配置VXLAN静态ARP表项的接口位于除SA和X系列单板上时,需要配置该ARP表项中MAC地址对应的静态MAC地址表项,否则当不存在该MAC地址表项时,到该MAC地址的用户流量将被广播。
(可选)配置静态IPv6邻居
背景信息
在VXLAN网络中,当三层网关设备上没有使能发送ND协议报文功能时,可以配置此功能,通过静态配置来指定IPv6邻居表项。另外,当需要过滤掉一些非法的ND报文时,也可以使用此功能,将这些非法报文的目的IPv6地址绑定到某个不存在的MAC地址。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令interface vbdif bd-id,进入已创建的VBDIF接口视图。
- 执行命令ipv6 enable,使能接口的IPv6功能。
- 执行命令ipv6 neighbor ipv6-address mac-address { vid vlan-id1 [ cevid vlan-id2 ] } interface interface-type interface-num.subnum,基于接口配置VXLAN二层子接口接入的静态IPv6邻居,或者通过执行命令ipv6 neighbor ipv6-address mac-address vid vlan-id3 interface interface-type interface-num,基于接口配置VXLAN的VLAN接入的静态IPv6邻居表项。
检查配置结果
前提条件
已经完成分布式网关部署方式的VXLAN(BGP EVPN方式)的所有配置。
操作步骤
- 执行命令display bridge-domain [ bd-id [ brief | verbose ] ],查看BD的配置信息。
- 执行命令display interface nve [ nve-number | main ],查看NVE接口的状态信息。
- 执行命令display vxlan tunnel [ tunnel-id ] [ verbose ],查看VXLAN隧道的信息。
- 执行命令display vxlan vni [ vni-id [ verbose ] ],查看VNI的VXLAN的配置信息。
- 执行命令display vxlan peer [ vni vni-id ],查看VNI目的端VTEP的IP地址。
- 执行命令display vxlan encapsulation interface interface-type interface-number [ bridge-domain bd-id | default | dot1q [ vid pe-vid ] | qinq [ vid vlan-vid [ ce-vid ce-vid ] ] | untag ],查看主接口下二层子接口VXLAN封装信息。
- 执行命令display evpn vpn-instance [ verbose ] [ evpn-instance-name ],查看EVPN实例信息。
- 执行命令display bgp evpn peer [ ipv4-address verbose | verbose ],查看BGP EVPN对等体信息。
- 执行命令display interface vbdif [ bd-id ],查看VBDIF接口的状态信息、配置信息和统计信息。
- 执行命令display arp broadcast-suppress user bridge-domain bd-id,查看指定BD域的ARP广播抑制表。
- 执行命令display arp static,查看已配置的静态ARP表项。
- 执行命令display mac-address static [ verbose ],查看已配置的静态MAC地址表项。
- 执行命令display bgp evpn all routing-table [ inclusive-route [ inclusive-route ] | mac-route [ mac-route ] | prefix-route [ prefix-route ] ]或display bgp evpn route-distinguisher route-distinguisher routing-table { inclusive-route [ inclusive-route ] | mac-route [ mac-route ] | prefix-route [ prefix-route ] },查看EVPN路由信息。
- 执行命令display bgp evpn all routing-table statistics,查看EVPN路由的统计信息。
