Overlay网络设计
Overlay网络总体介绍
Overlay主要包含Fabric和VN两部分。Fabric相当于构建一个资源池化的网络,VN构建时可以按需选取Fabric中的资源,实现了Overlay与Underlay的分层解耦。创建VN(Virtual Network)相当于对Fabric进行实例化,一个VN实例可以代表一个业务专用的虚拟网络。
更多Overlay网络相关概念介绍,可参考Overlay网络总体介绍。
Overlay网络资源规划
VLAN/BD规划
IP地址规划
Fabric全局资源池中仅规划Loopback接口IP地址资源,Overlay网络其他IP地址资源则不需要再Fabric全局资源池中规划。表2-49列出了Overlay网络需要规划的IP地址资源项。更多IP地址规划相关介绍,请参考网络资源规划中的“IP地址规划”。
资源项 |
说明 |
|---|---|
Loopback接口IP地址 |
用于在VXLAN隧道端点Border/Edge间建立BGP EVPN对等体。 |
业务IP地址 |
|
互联IP地址 |
|
Fabric网络设计
Fabric角色设计
如图2-87所示,采用VXLAN到汇聚的分布式网关方案中,建议核心交换机作为Border节点,汇聚交换机作为Edge节点,接入交换机作为Fabric扩展节点。Edge与Fabric扩展节点间可以部署策略联动功能,实现用户终端在接入交换机进行准入控制。
另外,Border/Edge作为VXLAN隧道端点,需要建立BGP EVPN对等体关系,此时,建议配置路由反射器功能。如果不配置路由反射器,则所有Edge之间及Edge与Border之间都需要配置BGP对等体,不仅配置复杂,而且大量的BGP连接会消耗设备CPU性能。Border、Edge都可以作为路由反射器,但是Border作为核心设备处理能力最强,因此建议选择Border做路由反射器。
外部网络设计
在Fabric网络的资源模型设计中,通过在Border节点创建外部网络,使得园区内部终端能够访问外部Internet等。Border上创建的每个外部网络资源都会被分配一个VRF,VN构建过程中选取了一个外部网络资源后,通过其VRF与VN的VRF间进行路由互引,实现VN内业务子网与外部网络的互通,如图2-88所示。
外部网络的出口类型
外部网络资源定义了三种类型,如果用户网关位于Fabric内,主要采用L3共享出口或者L3独占出口两种类型,如图2-89所示。
- L3共享出口:Fabric网络的多个VN共享L3出口,与出口设备互通。由于VN与外部互访必须要在防火墙上配置到达业务子网的回程路由,这也间接导致不同VN间业务子网在防火墙上是可以互通的。如果不同VN间在防火墙仍需隔离,需基于VN内的业务网段配置策略。
L3共享出口可以节省VLAN和IP等用于互联的资源,适用于不同VN间安全控制策略要求较低的场景。
- L3独占出口:Fabric网络的每个VN独占一个L3出口,与出口设备互通。此时,防火墙可以创建多个安全区域,安全区域与L3独占出口一一对应,到达防火墙的不同VN间业务子网流量是隔离的。如果不同VN间需要在防火墙实现互访,可以在不同安全区域间配置安全策略,配置的安全策略还能够控制互访的应用端口、限制带宽等。
L3独占出口适用于不同VN间安全控制策略要求较高的场景。
外部网络的路由规划
VN与外部网络互通有两个关键点:在Border上,VN与外部网络资源的VRF间通过VPN Target实现路由互引;Border与防火墙间通过配置路由协议互通。如图2-90所示,Border与防火墙间的路由设计遵循传统园区内网与外部互通的路由设计原则:
- Border侧园区内网去往外部网络的路由:考虑需要访问的外部网络数量多、稳定性相对较低,一般采用缺省路由。
- 防火墙侧外部网络向园区内网的回程路由:一般采用明细路由。
Border在创建外部网络资源过程中,与防火墙互通的路由协议有3种可以选择。遵循前面讲述的路由设计原则,不同路由协议的建议配置及配置异同点如表2-50所示。
路由协议 |
Border侧VN向外部网络的缺省路由 |
防火墙侧外部网络向VN的回程路由 |
Border与防火墙间互联示意图 |
|---|---|---|---|
静态路由 |
|
|
|
OSPF路由 |
|
|
|
BGP路由 |
|
|
对于防火墙与Border间的路由协议选择,主要考虑防火墙部署双机热备时,在主备倒换场景下如何实现业务流量路径的切换,详细建议可参考出口网络设计中的出口路由设计。
Border侧路由是通过iMaster NCE-Campus创建外部网络资源时配置,防火墙侧路由需要登录其Web网管或者命令行界面配置。
网络服务资源设计
在Fabric网络的资源模型设计中,通过在Border节点创建网络服务资源,使得园区内部业务终端能够访问网络管理区的服务资源,比如DHCP服务器、准入服务器等。Border上创建的每个网络服务资源都会被分配一个VRF,VN构建过程中选取了一个网络服务资源后,通过其VRF与VN的VRF间进行路由互引,实现VN内业务子网与服务资源的互通,如图2-91所示。
在Fabric通过iMaster NCE-Campus创建网络服务资源时,需要配置:
- 服务资源的访问地址,如DHCP服务地址、iMaster NCE-Campus的南向地址。
- 互联场景,包括与服务器直连、与交换机直连两种。Border一般采用与交换机直连场景,不与服务器直连。
- 互联的物理接口。
- 互联的VLAN和IP地址。
相较于外部网络资源的路由设计,网络服务资源的路由设计相对简单。网络服务资源是基于服务资源的访问地址,在Border上创建相应的静态路由。网络服务资源可以创建多个,也可以一个网络服务资源模型包含多个服务资源的访问地址。如果网络管理区需要访问的服务资源较少,建议这些服务资源都规划在一个网络服务资源模型中。这样,可以节省互联的VLAN和IP资源,简化网络管理区侧的路由配置,如图2-92所示。
接入管理设计
创建Fabric过程中,需要对用户接入的认证控制点进行设计,包括接入点资源池规划,其中,有线接入点资源指的是终端接入的交换机端口,无线接入点资源指的是终端接入的SSID。在分布式网关方案中,如果Fabric组网采用推荐的VXLAN到汇聚,WLAN采用推荐的Edge节点作为随板WAC:
- 建议Edge节点(即汇聚交换机)作为有线无线统一的认证控制点。
- 有线无线接入点需要绑定的认证模板资源可以在Edge节点统一规划。其中,有线接入端口在Fabric接入管理中完成模板绑定;无线SSID在Fabric接入管理中首先需要配置与模板对应关系,并向WAC下发,然后无线SSID绑定认证模板的过程在AP上完成,需要登录WAC的Web网管配置,详细内容可参考WLAN设计中的“WLAN网络准入设计”。
接入端口设计
Fabric接入管理中,对交换机的接入端口定义了3种连接类型,如图2-27所示。
- Fabric扩展AP:下挂设备为华为AP,运行在Fit AP模式。主要在配置策略联动时使用。
- Fabric扩展交换机:下挂设备为华为交换机。主要在配置策略联动时使用。
- 终端(PC、话机、哑终端、非Fabric扩展接入交换机/AP):下挂设备是终端。可以按接入控制设计中的“用户认证方式设计”,根据终端类型,绑定相应的认证模板,对终端进行接入控制。
策略联动设计
策略联动功能是指将认证控制点上移到汇聚层/核心层,而且汇聚层/核心层与接入层设备通过CAPWAP隧道能够进行策略的联动,从而在减少认证控制点配置数量的同时,终端接入仍可在接入层进行控制。在有线无线统一认证控制点场景中,AP还可以通过策略联动建立的CAPWAP隧道在作为无线认证控制点的WAC上线。
分布式网关方案中,通常采用推荐的VXLAN到汇聚组网,建议在Fabric的接入管理设计中,规划策略联动功能。如图2-94所示,在作为Edge节点的汇聚交换机与接入交换机部署策略联动功能。
Fabric接入管理中,配置策略联动功能时,需要:
- 在Edge节点配置策略联动管理VLAN和策略联动管理IP地址。
- 在Edge节点配置下挂接入交换机的端口连接类型为“Fabric扩展交换机”。设置该类型可实现Edge与接入交换机间的策略联动管理VLAN互通。
- 在接入交换机配置下挂AP的端口连接类型为“Fabric扩展AP”。设置该类型可实现接入交换机与AP间的策略联动管理VLAN互通。
配置完成后,可以实现:
- Edge节点与接入交换机间能够建立CAPWAP隧道。有线用户接入认证仍在Edge节点进行,但是有线认证执行点下移到接入交换机,用户只有认证通过后,才允许通过接入交换机访问网络。
- Edge节点与AP间能够建立CAPWAP隧道,AP能够在Edge节点上线,并作为无线用户认证执行点。
注意,交换机连接的AP端口选择了“Fabric扩展AP”类型后,该端口不能再部署自协商管理VLAN功能。
虚拟网络(VN)设计
VN划分原则
在大中型园区网络虚拟化方案中,每个VN为一个VPN实例,一个VN中可以包含多个子网,同一VN内的用户之间默认可以三层互通,VN之间的用户默认是隔离的。VN的规划可以依据以下原则:
- 独立的业务部门或者业务网络作为一个VN。例如在校园网中,访客业务、教学业务、物联网业务、视频监控业务等可以划分成独立的VN。
- 同一业务部门或者业务网络内用户身份的差异导致的隔离要求建议不要通过VN实现,建议通过接入策略进行管控。
VN接入设计
用户子网接入VN介绍
如图2-95所示,在分布式网关方案中,Fabric通常采用推荐的VXLAN到汇聚组网,并且Edge作为随板WAC,无线用户流量在到达Edge会完成CAPWAP解封装,因此有线无线用户流量可以统一在Edge节点进入VN,通过用户VLAN与BD建立关联关系,从而在相应的VN内转发。
用户接入VLAN的类型选择
用户接入VLAN的类型主要包括静态VLAN和动态授权VLAN两种,在VN内配置用户网关时需要选择。表2-51列出了两种接入方式的对比。
VLAN的接入方式 |
实现过程 |
适用场景 |
|---|---|---|
静态VLAN |
|
适用于终端接入位置固定、不认证的场景,这种接入方式更安全,但是缺乏灵活性,当终端位置发生变化时,需要重新配置。 |
动态授权VLAN |
|
动态授权VLAN的方式是结合用户认证流程下发VLAN信息的,适用于任意位置接入,且需要认证的场景,这种接入方式灵活性高,当终端位置变化时,不需要修改配置。 |
- 对于下联端口有话机的场景,可以在端口上配置语音VLAN为话机提供单独的语音VLAN接入。
- 动态授权VLAN适用于MAC和802.1X认证。如果Portal认证采用动态授权VLAN,需要用户二次上线,不推荐使用。
- 动态授权VLAN可以选择VLAN池方式授权,认证控制点可以根据授权的VLAN池信息,自动计算并分配VLAN池内的一个VLAN给接入端口或者SSID。VLAN池内VLAN对应的子网会接入同一个VN。
VLAN池方式授权适用于用户子网数目特别多的场景,在分布式网关方案中,Edge之间没有二层隔离,在该场景下推荐使用。在进行VLAN池计算时,可能出现分配不均,出现个别VLAN分配用户数特别多,导致个别VLAN内用户终端因规划的IP地址池不足,申请不到IP地址的现象。在配置VN内配置用户网关时,如果接入VLAN采用VLAN池方式,建议规划相应子网的IP地址数量为实际用户数的5倍以上。
VN内用户网关设计
在分布式网关方案中,VN内用户网关位于Edge节点,通过iMaster NCE-Campus在VN配置时,有两种方式:
- 自动分配:指定用户子网数量、子网起始VLAN和IP地址,自动配置用户子网网关。适用于子网数量特别多,网关自动化配置需求强烈的场景。
- 手动指定:静态配置用户接入VLAN、网关接口IP地址等。适用于子网数量相对少,网关自动化配置需求不强烈的场景。
另外,通过iMaster NCE-Campus在配置VN的用户网关时,有如下建议供参考:
- 建议单独部署一台DHCP服务器,用于动态分配用户终端IP地址。通常DHCP服务器和用户终端不在同一个网段,建议用户网关开启DHCP中继功能。
- 建议在用户网关对应的BD内配置DHCP Snooping,能够保证用户终端从合法的DHCP服务器获取IP地址,避免被非法攻击。另外,采用DHCP方式的终端识别功能,也需要配置DHCP Snooping。
- 采用mDNS方式的终端识别功能,需要在用户网关对应的BD内配置mDNS Snooping功能。
VN互访设计
VN内子网互访
VN内相同子网互访
VN内相同子网的用户之间的互访为二层互访,如图2-96所示。
- 相同Edge节点的相同子网用户:可以直接在该Edge节点完成互访。
- Host1访问Host2,由于在同一子网,报文目的MAC为Host2的MAC地址。
- 报文到达Edge1后,查找发现Host2的MAC地址表项,表项属于VLAN 10、从GE0/0/2学习得到,然后直接转发出去。
- Host2从GE0/0/2收到Host1的报文。
- 跨Edge节点的相同子网用户:通过Edge节点之间的VXLAN隧道完成互访。
- Host1访问Host2,由于在同一子网,报文目的MAC为Host2的MAC地址。
- 报文到达Edge1后,查找发现Host2的MAC地址表项,表项属于BD 10、从Edge2隧道源接口(显示为IP地址)学习得到,对报文进行VXLAN隧道封装。
- 封装后外层源IP地址为Edge1的隧道源接口IP地址,目的IP地址为Edge2的隧道源接口IP地址,然后报文通过Underlay路由转发。
- 报文到达Edge2后解封装VXLAN隧道头,查找发现Host2的MAC地址表项,出接口为GE0/0/1,然后直接转发出去。
- Host2从GE0/0/1收到Host1的报文。
VN内不同子网互访
VN内不同子网的互访,互访流量需要经过网关转发,集中式网关方案中,网关为Border节点,如图2-97所示。
- 相同Edge节点的不同子网用户互访:互访流量需要通过该Edge节点与Border节点间的VXLAN隧道发送至Border节点,然后根据VN内直连路由进行三层转发。
- Host1访问Host2,由于在不同子网,报文发送给网关,目的MAC为网关接口VBDIF10的MAC地址。
- 报文到达Edge1后,在VN1路由表中查找,发现到达Host2的直连路由,然后根据ARP转发出去。
- Host2从GE0/0/2收到Host1的报文。
- 跨Edge节点的不同子网用户互访:互访流量需要通过不同Edge节点与Border节点间的VXLAN隧道发送至Border节点,然后根据VN内直连路由进行三层转发。
- Host1访问Host2,由于在不同子网,报文发送给网关,目的MAC为网关接口VBDIF10的MAC地址。
- 报文到达Edge1后,在VN1路由表中查找,发现到达Host2的路由,下一跳为Edge2隧道源接口IP地址,对报文进行VXLAN隧道封装。此时,发送报文内层目的MAC地址为Host2 MAC地址。
- 封装后外层源IP地址为Edge1的隧道源接口IP地址,目的IP地址为Edge2的隧道源接口IP地址,然后报文通过Underlay路由转发。
- 报文到达Edge2后解封装VXLAN隧道头,查找发现Host2的MAC地址表项,表项属于VLAN 20、从GE0/0/2学习得到,然后直接转发出去。
- Host2从GE0/0/1收到Host1的报文。
VN间子网互访
大中型园区网络虚拟化方案中,VN间是通过VPN实现三层隔离的,默认情况下VN间不能进行互访。实现VN间子网互访主要有两种方式,通过Border进行互访和通过防火墙进行互访。两种方式对应的场景参考表2-52。
互访方式 |
适用场景 |
|---|---|
通过Border进行互访 |
VN间互访如果不需要通过防火墙进行高级的安全策略控制,安全控制需求较低,仅需结合业务随行进行策略控制,可在Border节点上互相引入需访问的网段路由。 |
通过防火墙进行互访 |
VN间互访如果安全控制需求高,可通过防火墙配置高级的互访安全控制策略。 |
VN间子网通过Border进行互访
VN间子网如果通过Border进行互访,首先在Border节点上互相引入需访问的网段路由,然后互访流量到达Border节点即可根据引入的路由在VN间转发,如图2-98所示。
- 相同Edge节点的不同VN子网用户互访:互访流量需要通过该Edge节点与Border节点间的VXLAN隧道发送至Border节点,然后根据VN引入的路由在VN间转发。
- Host1访问Host2,由于在不同子网,报文发送给网关,目的MAC为网关接口VBDIF10的MAC地址。
- 报文到达Edge1后,在VN1路由表中查找到达Host2网段路由,由于在Border上VN1与VN2的VPN路由表间进行了路由互引,因此Edge1能够通过BGP对等体学习到Border上引入的VN2 VPN路由。通过查找发现下一跳为Border隧道源接口IP地址,对报文进行VXLAN隧道封装。
- 封装后外层源IP地址为Edge1的隧道源接口IP地址,目的IP地址为Border的隧道源接口IP地址,然后报文通过Underlay路由转发。
- 报文到达Border后解封装VXLAN隧道头,在VN1路由表中查找到达Host2网段的路由。由于VN1与VN2的VPN路由表间进行了路由互引,在VN1的VPN路由表中能够查找到达Host2网段的路由,下一跳为Edge1隧道源接口IP地址,对报文进行VXLAN隧道封装。此时,发送报文内层目的MAC地址为Edge1 VBDIF20 MAC地址。
- 封装后外层源IP地址为Border的隧道源接口IP地址,目的IP地址为Edge1的隧道源接口IP地址,然后报文通过Underlay路由转发。
- 报文到达Edge1后解封装VXLAN隧道头,在VN2路由表中查找,发现Host2网段的直连路由,然后直接转发出去。
- Host2从GE0/0/2收到Host1的报文。
- 跨Edge节点的不同VN子网用户互访:互访流量需要通过不同Edge节点与Border节点间的VXLAN隧道发送至Border节点,然后根据VN引入的路由在VN间转发。
- Host1访问Host2,由于在不同子网,报文发送给网关,目的MAC为网关接口VBDIF10的MAC地址。
- 报文到达Edge1后,在VN1路由表中查找到达Host2网段路由,由于在Border上VN1与VN2的VPN路由表间进行了路由互引,因此Edge1能够通过BGP对等体学习到Border上引入的VN2 VPN路由。通过查找发现下一跳为Border隧道源接口IP地址,对报文进行VXLAN隧道封装。
- 封装后外层源IP地址为Edge1的隧道源接口IP地址,目的IP地址为Border的隧道源接口IP地址,然后报文通过Underlay路由转发。
- 报文到达Border后解封装VXLAN隧道头,在VN1路由表中查找到达Host2网段的路由。由于VN1与VN2的VPN路由表间进行了路由互引,在VN1的VPN路由表中能够查找到达Host2网段的路由,下一跳为Edge2隧道源接口IP地址,对报文进行VXLAN隧道封装。此时,发送报文内层目的MAC地址为Edge2 VBDIF20 MAC地址。
- 封装后外层源IP地址为Border的隧道源接口IP地址,目的IP地址为Edge2的隧道源接口IP地址,然后报文通过Underlay路由转发。
- 报文到达Edge2后解封装VXLAN隧道头,在VN2路由表中查找,发现Host2网段的直连路由,然后直接转发出去。
- Host2从GE0/0/1收到Host1的报文。
VN间子网通过防火墙进行互访
VN间子网如果通过防火墙进行互访,首先在防火墙的安全区域间配置互相访问的控制策略,然后互访流量到达防火墙即可根据互访策略在VN间转发,如图2-99所示。
- 相同Edge节点的不同VN子网用户互访:互访流量需要通过该Edge节点与Border节点间的VXLAN隧道发送至Border节点;Border节点再根据引入的外部网络路由将其转发至防火墙;最后,防火墙根据安全区域间的互访控制策略在VN间转发。
- Host1访问Host2,由于在不同子网,报文发送给网关,目的MAC为网关接口VBDIF10的MAC地址。
- 报文到达Edge1后,在VN1路由表中查找到达Host2网段路由,由于在Border上VN1与外部网络资源模型VN1-Outer的VPN路由表间进行了路由互引,因此Edge1能够通过BGP对等体学习到Border上引入的VN1-Outer VPN路由。通过查找发现下一跳为Border隧道源接口IP地址,对报文进行VXLAN隧道封装。
- 封装后外层源IP地址为Edge1的隧道源接口IP地址,目的IP地址为Border的隧道源接口IP地址,然后报文通过Underlay路由转发。
- 报文到达Border后解封装VXLAN隧道头,在VN1路由表中查找到达Host2网段的路由。由于VN1与外部网络资源模型VN1-Outer的VPN路由表间进行了路由互引,在VN1的VPN路由表中能够查找到达Host2网段的路由,下一跳为防火墙GE1/0/1.1接口的IP地址。此时,发送报文目的MAC地址为GE1/0/1.1接口MAC地址,没有进行隧道封装。
- 报文到达防火墙后,根据防火墙互访策略,允许VN1访问VN2,然后查找发现到达Host2网段的路由,下一跳为Border VLANIF12接口IP地址。此时,发送报文目的MAC地址为VLANIF12接口MAC地址,没有进行隧道封装。
- 报文到达Border后,在VN2路由表中查找,发现到达Host2网段的路由,下一跳为Edge1隧道源接口IP地址,对报文进行VXLAN隧道封装。此时,发送报文内层目的MAC地址为Edge1 VBDIF20 MAC地址。
- 封装后外层源IP地址为Border的隧道源接口IP地址,目的IP地址为Edge1的隧道源接口IP地址,然后报文通过Underlay路由转发。
- 报文到达Edge1后解封装VXLAN隧道头,在VN2路由表中查找,发现Host2网段的直连路由,然后直接转发出去。
- Host2从GE0/0/2收到Host1的报文。
- 跨Edge节点的不同VN子网用户互访:互访流量需要通过不同Edge节点与Border节点间的VXLAN隧道发送至Border节点;Border节点再根据引入的外部网络路由将其转发至防火墙;最后,防火墙根据安全区域间的互访控制策略在VN间转发。
- Host1访问Host2,由于在不同子网,报文发送给网关,目的MAC为网关接口VBDIF10的MAC地址。
- 报文到达Edge1后,在VN1路由表中查找到达Host2网段路由,由于在Border上VN1与外部网络资源模型VN1-Outer的VPN路由表间进行了路由互引,因此Edge1能够通过BGP对等体学习到Border上引入的VN1-Outer VPN路由。通过查找发现下一跳为Border隧道源接口IP地址,对报文进行VXLAN隧道封装。
- 封装后外层源IP地址为Edge1的隧道源接口IP地址,目的IP地址为Border的隧道源接口IP地址,然后报文通过Underlay路由转发。
- 报文到达Border后解封装VXLAN隧道头,在VN1路由表中查找到达Host2网段的路由。由于VN1与外部网络资源模型VN1-Outer的VPN路由表间进行了路由互引,在VN1的VPN路由表中能够查找到达Host2网段的路由,下一跳为防火墙GE1/0/1.1接口的IP地址。此时,发送报文目的MAC地址为GE1/0/1.1接口MAC地址,没有进行隧道封装。
- 报文到达防火墙后,根据防火墙互访策略,允许VN1访问VN2,然后查找发现到达Host2网段的路由,下一跳为Border VLANIF12接口IP地址。此时,发送报文目的MAC地址为VLANIF12接口MAC地址,没有进行隧道封装。
- 报文到达Border后,在VN2路由表中查找,发现到达Host2网段的路由,下一跳为Edge2隧道源接口IP地址,对报文进行VXLAN隧道封装。此时,发送报文内层目的MAC地址为Edge2 VBDIF20 MAC地址。
- 封装后外层源IP地址为Border的隧道源接口IP地址,目的IP地址为Edge2的隧道源接口IP地址,然后报文通过Underlay路由转发。
- 报文到达Edge2后解封装VXLAN隧道头,在VN2路由表中查找,发现Host2网段的直连路由,然后直接转发出去。
- Host2从GE0/0/1收到Host1的报文。
VN与外部互访
大中型园区网络虚拟化方案中,Fabric网络设计了外部网络和网络服务资源两种资源模型,并且每创建一个资源,会给这个资源分配一个VRF。VN构建过程中,通过选取相应的资源,自动完成VN与外部网络/网络服务资源的路由互引,实现VN与外部互访,如图2-100所示。
- VN内用户与外部网络互访:用户访问Internet流量需要通过Edge节点与Border节点间的VXLAN隧道发送至Border节点;Border节点再根据引入的外部网络路由将其转发至防火墙;最后,防火墙将其转发至外部Internet。
- Host1访问Internet,由于在不同子网,报文发送给网关,目的MAC为网关接口VBDIF10的MAC地址。
- 报文到达Edge1后,在VN1路由表中查找到达Internet的路由,由于在Border上VN1与外部网络资源模型VN1-Outer的VPN路由表间进行了路由互引,因此Edge1能够通过BGP对等体学习到Border上引入的VN1-Outer VPN路由。通过查找发现下一跳为Border隧道源接口IP地址,对报文进行VXLAN隧道封装。
- 封装后外层源IP地址为Edge1的隧道源接口IP地址,目的IP地址为Border的隧道源接口IP地址,然后报文通过Underlay路由转发。
- 报文到达Border后解封装VXLAN隧道头,在VN1路由表中查找到达Internet的路由。由于VN1与外部网络资源模型VN1-Outer的VPN路由表间进行了路由互引,在VN1的VPN路由表中能够查找到达Internet的路由,下一跳为防火墙GE1/0/1.1接口的IP地址。此时,发送报文目的MAC地址为GE1/0/1.1接口MAC地址,没有进行隧道封装。
- 报文到达防火墙后,根据防火墙互访策略,允许VN1访问Internet,然后查找发现到达Internet的路由,报文发送出去。
- VN内用户与网络服务资源互访:用户访问网络管理区服务器的流量通过Edge节点与Border节点间的VXLAN隧道发送至Border节点;Border节点再根据引入的网络管理区路由将其转发至网络管理区网关;最后,网络管理区网关将其转发至网络管理区。
- Host1访问网络服务资源,由于在不同子网,报文发送给网关,目的MAC为网关接口VBDIF10的MAC地址。
- 报文到达Edge1后,在VN1路由表中查找到达Internet的路由,由于在Border上VN1与外部网络资源模型VN1-Server的VPN路由表间进行了路由互引,因此Edge1能够通过BGP对等体学习到Border上引入的VN1-Server VPN路由。通过查找发现下一跳为Border隧道源接口IP地址,对报文进行VXLAN隧道封装。
- 封装后外层源IP地址为Edge1的隧道源接口IP地址,目的IP地址为Border的隧道源接口IP地址,然后报文通过Underlay路由转发。
- 报文到达Border后解封装VXLAN隧道头,在VN1路由表中查找到达网络服务资源的路由。由于VN1与网络服务资源模型VN1-Server的VPN路由表间进行了路由互引,在VN1的VPN路由表中能够查找到达网络服务资源的路由,下一跳为网络管理区网关VLANIF11接口的IP地址。此时,发送报文目的MAC地址为VLANIF11接口MAC地址,没有进行隧道封装。
- 报文到达网络管理区网关后,然后查找发现到达网络服务资源的路由,报文发送出去。
