- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-VXLAN配置
本章節下載: 01-VXLAN配置 (848.66 KB)
目 錄
VXLAN(Virtual eXtensible LAN,可擴展虛擬局域網絡)是基於IP網絡、采用“MAC in UDP”封裝形式的二層VPN技術。VXLAN可以基於已有的服務提供商或企業IP網絡,為分散的物理站點提供二層互聯,並能夠為不同的租戶提供業務隔離。VXLAN主要應用於數據中心網絡。
VXLAN具有如下優點:
· 支持大量的租戶:使用24位的標識符,最多可支持2的24次方(16777216)個VXLAN,使支持的租戶數目大規模增加,解決了傳統二層網絡VLAN資源不足的問題。
· 易於維護:基於IP網絡組建大二層網絡,使得網絡部署和維護更加容易,並且可以充分地利用現有的IP網絡技術,例如利用等價路由進行負載分擔等;隻有IP核心網絡的邊緣設備需要進行VXLAN處理,網絡中間設備隻需根據IP頭轉發報文,降低了網絡部署的難度和費用。
VXLAN技術將已有的三層物理網絡作為Underlay網絡,在其上構建出虛擬的二層網絡,即Overlay網絡。Overlay網絡通過封裝技術、利用Underlay網絡提供的三層轉發路徑,實現租戶二層報文跨越三層網絡在不同站點間傳遞。對於租戶來說,Underlay網絡是透明的,同一租戶的不同站點就像工作在一個局域網中。
圖1-1 VXLAN網絡模型示意圖
如圖1-1所示,VXLAN的典型網絡模型中包括如下幾部分:
· 用戶終端(Terminal):用戶終端設備可以是PC機、無線終端設備、服務器上創建的VM(Virtual Machine,虛擬機)等。不同的用戶終端可以屬於不同的VXLAN。屬於相同VXLAN的用戶終端處於同一個邏輯二層網絡,彼此之間二層互通;屬於不同VXLAN的用戶終端之間二層隔離。VXLAN通過VXLAN ID來標識,VXLAN ID又稱VNI(VXLAN Network Identifier,VXLAN網絡標識符),其長度為24比特。
本文檔中如無特殊說明,均以VM為例介紹VXLAN工作機製。采用其他類型用戶終端時,VXLAN工作機製與VM相同,不再贅述。
· VTEP(VXLAN Tunnel End Point,VXLAN隧道端點):VXLAN的邊緣設備。VXLAN的相關處理都在VTEP上進行,例如識別以太網數據幀所屬的VXLAN、基於VXLAN對數據幀進行二層轉發、封裝/解封裝報文等。
· VXLAN隧道:兩個VTEP之間的點到點邏輯隧道。VTEP為數據幀封裝VXLAN頭、UDP頭和IP頭後,通過VXLAN隧道將封裝後的報文轉發給遠端VTEP,遠端VTEP對其進行解封裝。
· 核心設備:IP核心網絡中的設備(如圖1-1中的P設備)。核心設備不參與VXLAN處理,僅需要根據封裝後報文的目的IP地址對報文進行三層轉發。
· VSI(Virtual Switch Instance,虛擬交換實例):VTEP上為一個VXLAN提供二層交換服務的虛擬交換實例。VSI可以看作是VTEP上的一台基於VXLAN進行二層轉發的虛擬交換機,它具有傳統以太網交換機的所有功能,包括源MAC地址學習、MAC地址老化、泛洪等。VSI與VXLAN一一對應。
· AC(Attachment Circuit,接入電路):VTEP連接本地站點的物理電路或虛擬電路。在VTEP上,與VSI關聯的三層接口稱為AC。
如圖1-2所示,VXLAN報文的封裝格式為:在原始二層數據幀外添加8字節VXLAN頭、8字節UDP頭和20字節IPv4頭/40字節IPv6頭。其中,UDP頭的目的端口號為VXLAN UDP端口號(缺省為4789)。VXLAN頭主要包括兩部分:
· 標記位:“I”位為1時,表示VXLAN頭中的VXLAN ID有效;為0,表示VXLAN ID無效。其他位保留未用,設置為0。
· VXLAN ID:用來標識一個VXLAN網絡,長度為24比特。
圖1-2 VXLAN報文封裝示意圖
VXLAN運行機製可以概括為:
(1) 發現遠端VTEP,在VTEP之間建立VXLAN隧道,並將VXLAN隧道與VXLAN關聯。
(2) 識別接收到的報文所屬的VXLAN,以便將報文的源MAC地址學習到VXLAN對應的VSI,並在該VSI內轉發該報文。
(3) 學習虛擬機的MAC地址。
(4) 根據學習到的MAC地址表項轉發報文。
為了將VXLAN報文傳遞到遠端VTEP,需要創建VXLAN隧道,並將VXLAN隧道與VXLAN關聯。
通過手工方式創建VXLAN隧道,手工配置Tunnel接口,並指定隧道的源和目的IP地址分別為本端和遠端VTEP的IP地址。
通過手工方式將VXLAN隧道與VXLAN關聯。
VTEP將三層接口與VSI關聯,從該三層接口接收到的數據幀均屬於指定的VSI。VSI內創建的VXLAN即為該數據幀所屬的VXLAN。
VTEP從三層接口接收到數據幀後,根據關聯方式判斷報文所屬的VXLAN。
對於從VXLAN隧道上接收到的VXLAN報文,VTEP根據報文中攜帶的VXLAN ID判斷該報文所屬的VXLAN。
MAC地址學習分為本地MAC地址學習和遠端MAC地址學習兩部分:
· 本地MAC地址學習
是指VTEP對本地站點內虛擬機MAC地址的學習。VTEP接收到本地虛擬機發送的數據幀後,判斷該數據幀所屬的VSI,並將數據幀中的源MAC地址(本地虛擬機的MAC地址)添加到該VSI的MAC地址表中,該MAC地址對應的接口為接收到數據幀的接口。
VXLAN不支持靜態配置本地MAC地址。
· 遠端MAC地址學習
是指VTEP對遠端站點內虛擬機MAC地址的學習。遠端MAC地址的學習方式有如下幾種:
¡ 靜態配置:手工指定遠端MAC地址所屬的VSI(VXLAN),及其對應的VXLAN隧道接口。
¡ 通過報文中的源MAC地址動態學習:VTEP從VXLAN隧道上接收到遠端VTEP發送的VXLAN報文後,根據VXLAN ID判斷報文所屬的VXLAN,對報文進行解封裝,還原二層數據幀,並將數據幀中的源MAC地址(遠端虛擬機的MAC地址)添加到所屬VXLAN對應VSI的MAC地址表中,該MAC地址對應的接口為VXLAN隧道接口。
通過不同方式學習到的遠端MAC地址優先級由高到低依次為:
a. 靜態配置的MAC地址優優先級最高。
b. 動態學習的MAC地址優先級最低。
完成本地和遠端MAC地址學習後,VTEP在VXLAN內轉發單播流量的過程如下所述。
對於站點內流量,VTEP判斷出報文所屬的VSI後,根據目的MAC地址查找該VSI的MAC地址表,從相應的本地接口轉發給目的VM。
如圖1-3所示,VM 1(MAC地址為MAC 1)發送以太網幀到VM 4(MAC地址為MAC 4)時,VTEP 1從接口Interface A收到該以太網幀後,判斷該數據幀屬於VSI A(VXLAN 10),查找VSI A的MAC地址表,得到MAC 4的出接口為Interface B,所在VLAN為VLAN 10,則將以太網幀從接口Interface B的VLAN 10內發送給VM 4。
如圖1-4所示,以VM 1(MAC地址為MAC 1)發送以太網幀給VM 7(MAC地址為MAC 7)為例,站點間單播流量的轉發過程為:
(1) VM 1發送以太網數據幀給VM 7,數據幀的源MAC地址為MAC 1,目的MAC為MAC 7,VLAN ID為2。
(2) VTEP 1從接口Interface A(所在VLAN為VLAN 2)收到該數據幀後,判斷該數據幀屬於VSI A(VXLAN 10),查找VSI A的MAC地址表,得到MAC 7的出端口為Tunnel1。
(3) VTEP 1為數據幀封裝VXLAN頭、UDP頭和IP頭後,將封裝好的報文通過VXLAN隧道Tunnel1、經由P設備發送給VTEP 2。
(4) VTEP 2接收到報文後,根據報文中的VXLAN ID判斷該報文屬於VXLAN 10,並剝離VXLAN頭、UDP頭和IP頭,還原出原始的數據幀。
(5) VTEP 2查找與VXLAN 10對應的VSI A的MAC地址表,得到MAC 7的出端口為Interface A(所在VLAN為VLAN 20)。
(6) VTEP 2從接口Interface A的VLAN 20內將數據幀發送給VM 7。
VTEP從本地站點接收到泛洪流量(組播、廣播和未知單播流量)後,將其轉發給除接收接口外的所有本地接口和VXLAN隧道。為了避免環路,VTEP從VXLAN隧道上接收到報文後,不會再將其泛洪到其他的VXLAN隧道,隻會轉發給所有本地接口。
如圖1-5所示,VTEP負責複製報文,采用單播方式將複製後的報文通過本地接口發送給本地站點,並通過VXLAN隧道發送給VXLAN內的所有遠端VTEP。
數據中心網絡中需要通過IP核心網絡進行二層互聯的站點較多時,采用泛洪代理方式可以在沒有組播協議參與的情況下,節省泛洪流量對核心網絡帶寬資源的占用。
如圖1-6所示,在泛洪代理方式下,同一個VXLAN內的所有VTEP都通過手工方式與代理服務器建立隧道。VTEP接收到泛洪流量後,不僅在本地站點內泛洪,還會將其發送到代理服務器,由代理服務器轉發到其他遠端VTEP。
目前泛洪代理方式主要用於SDN網絡,使用服務器作為泛洪代理服務器。采用泛洪代理方式時,需要在VTEP上進行如下配置:
· 使用vxlan tunnel mac-learning disable命令關閉遠端MAC地址自動學習功能,采用SDN控製器下發的MAC地址表項進行流量轉發。
· 在網絡側接口上使用undo mac-address static source-check enable命令關閉報文入接口與靜態MAC地址表項匹配檢查功能。當VTEP設備為IRF設備時,成員設備間互連的IRF端口上也需要關閉報文入接口與靜態MAC地址表項匹配檢查功能。
接入模式分為VLAN接入模式和Ethernet接入模式兩種。
在該模式下,從本地站點接收到的和發送給本地站點的以太網幀必須帶有VLAN Tag。
· VTEP從本地站點接收到以太網幀後,刪除該幀的所有VLAN Tag,再轉發該數據幀;
· VTEP發送以太網幀到本地站點時,為其添加本地站點的VLAN Tag。
采用該模式時,VTEP不會傳遞VLAN Tag信息,不同站點可以獨立地規劃自己的VLAN,不同站點的不同VLAN之間可以互通。
在該模式下,從本地站點接收到的和發送給本地站點的以太網幀可以攜帶VLAN Tag,也可以不攜帶VLAN Tag。
· VTEP從本地站點接收到以太網幀後,保持該幀的VLAN Tag信息不變,轉發該數據幀;
· VTEP發送以太網幀到本地站點時,不會為其添加VLAN Tag。
采用該模式時,VTEP會在不同站點間傳遞VLAN Tag信息,不同站點的VLAN需要統一規劃,否則無法互通。
VXLAN可以為分散的物理站點提供二層互聯。如果要為VXLAN站點內的虛擬機提供三層業務,則需要在網絡中部署VXLAN IP網關,以便站點內的虛擬機通過VXLAN IP網關與外界網絡或其他VXLAN網絡內的虛擬機進行三層通信。
VXLAN IP網關的詳細介紹,請參見“3 VXLAN IP網關”。
與VXLAN相關的協議規範有:
· RFC 7348:Virtual eXtensible Local Area Network (VXLAN): A Framework for Overlaying Virtualized Layer 2 Networks over Layer 3 Networks
VXLAN組網中,需要在VTEP上進行如下配置:
(1) 配置VXLAN隧道工作模式
(2) 創建VSI和VXLAN
(3) 配置VXLAN隧道
(5) 建立數據幀與VSI的關聯
(6) (可選)管理本地和遠端MAC地址
(7) (可選)配置VXLAN報文相關功能
(8) (可選)減少發送到核心網的泛洪流量
(9) (可選)配置VXLAN流量統計
(10) (可選)開啟VXLAN軟件快速轉發功能
在VXLAN組網中,IP核心網絡中的設備上需要配置路由協議,確保VTEP之間路由可達。
VXLAN隧道支持如下兩種工作模式:
· 三層轉發模式:VTEP設備通過查找ARP表項(IPv4網絡)或ND表項(IPv6網絡)對流量進行轉發。
· 二層轉發模式:VTEP通過查找MAC地址表項對流量進行轉發。
當設備作為VTEP時,需要配置VXLAN隧道工作在二層轉發模式;當設備作為VXLAN IP網關時,需要配置VXLAN隧道工作在三層轉發模式。有關VXLAN IP網關的詳細介紹請參見“3 VXLAN IP網關”。
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S、F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-M、F5000-A |
不支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI係列 |
F5000-AI-15 |
支持 |
|
F5000-AI-20、F5000-AI-40 |
不支持 |
|
|
F5000-V係列 |
F5000-V30 |
不支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-20、F1000-AI-30、F1000-AI-50 |
不支持 |
|
F1000-AI-10、F1000-AI-15、F1000-AI-25、F1000-AI-35、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V90 |
支持 |
|
F1000-V70 |
不支持 |
|
|
F1000-SASE係列 |
F1000-SASE100 |
不支持 |
|
F1000-SASE200 |
支持 |
|
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
|
F1000-AK1025、F1000-AK1115、F1000-AK1125、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1215、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1315、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9150 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
重複執行vxlan ip-forwarding命令切換二層、三層轉發模式前,必須先刪除設備上的所有VSI、VSI虛接口和VXLAN隧道,否則將配置失敗。因此,配置VXLAN前,用戶需要先做好VXLAN網絡規劃,確定設備使用的VXLAN隧道工作模式,完成本配置後,再進行其他配置。
(1) 進入係統視圖。
system-view
(2) 配置VXLAN隧道工作模式。
¡ 配置VXLAN隧道工作在二層轉發模式。
undo vxlan ip-forwarding
¡ 配置VXLAN隧道工作在三層轉發模式。
vxlan ip-forwarding
缺省情況下,VXLAN隧道工作在三層轉發模式。
(1) 進入係統視圖。
system-view
(2) 開啟L2VPN功能。
l2vpn enable
缺省情況下,L2VPN功能處於關閉狀態。
(3) 創建VSI,並進入VSI視圖。
vsi vsi-name
(4) 開啟VSI。
undo shutdown
缺省情況下,VSI處於開啟狀態。
(5) 創建VXLAN,並進入VXLAN視圖。
vxlan vxlan-id
在一個VSI下隻能創建一個VXLAN。
不同VSI下創建的VXLAN,其VXLAN ID不能相同。
(6) (可選)配置VSI相關參數。
a. 退回VSI視圖。
quit
b. 配置VSI的描述信息。
description text
缺省情況下,未配置VSI的描述信息。
c. 配置VSI的MTU值。
mtu mtu
缺省情況下,VSI的MTU值為1500字節。
VSI的MTU值是指從AC上接收且通過VXLAN隧道轉發的用戶報文的最大長度。VSI內的其他報文不受該MTU值的限製。
d. 開啟VSI的MAC地址學習功能。
mac-learning enable
缺省情況下,VSI的MAC地址學習功能處於開啟狀態。
e. 配置允許VSI學習到的最大MAC地址數。
mac-table limit mac-limit
缺省情況下,不對VSI學習到的最大MAC地址數進行限製。
手工創建VXLAN隧道時,隧道的源端地址和目的端地址需要分別手工指定為本地和遠端VTEP的接口地址。
在同一台設備上,VXLAN隧道模式的不同Tunnel接口建議不要同時配置完全相同的源端地址和目的端地址。
關於隧道的詳細介紹及Tunnel接口下的更多配置命令,請參見“VPN配置指導”中的“隧道”。
(1) 進入係統視圖。
system-view
(2) (可選)配置VXLAN隧道的全局源地址。
tunnel global source-address { ipv4-address | ipv6 ipv6-address }
缺省情況下,未配置VXLAN隧道的全局源地址。
如果隧道下未配置源地址或源接口,則隧道會使用全局源地址作為隧道的源地址。
(3) 創建模式為VXLAN隧道的Tunnel接口,並進入Tunnel接口視圖。
interface tunnel tunnel-number mode vxlan [ ipv6 ]
在隧道的兩端應配置相同的隧道模式,否則會造成報文傳輸失敗。
(4) 配置隧道的源端地址。請選擇其中一項進行配置。
¡ 直接指定隧道的源端地址。
source { ipv4-address | ipv6-address }
指定的地址將作為封裝後VXLAN報文的源IP地址。
¡ 指定隧道的源接口。
source interface-type interface-number
指定接口的主IP地址將作為封裝後VXLAN報文的源IP地址。
缺省情況下,未設置VXLAN隧道的源端地址。
(5) 配置隧道的目的端地址。
destination { ipv4-address | ipv6-address }
缺省情況下,未指定隧道的目的端地址。
隧道的目的端地址是對端設備上接口的IP地址,該地址將作為封裝後VXLAN報文的目的地址。
隧道的BFD檢測功能用來避免VTEP設備無法感知或無法及時感知隧道的故障,導致報文轉發失敗。開啟隧道的BFD檢測功能後,VTEP設備周期性地通過VXLAN隧道向配置的目的MAC地址發送單跳BFD控製報文。如果在5秒內未接收到對端發送的BFD控製報文,則將隧道狀態置為Defect,隧道接口狀態仍為Up。VXLAN隧道故障排除後隧道狀態將自動恢複為Up。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S、F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-M、F5000-A |
不支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI係列 |
F5000-AI-15 |
支持 |
|
F5000-AI-20、F5000-AI-40 |
不支持 |
|
|
F5000-V係列 |
F5000-V30 |
不支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-20、F1000-AI-30、F1000-AI-50 |
不支持 |
|
F1000-AI-10、F1000-AI-15、F1000-AI-25、F1000-AI-35、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V90 |
支持 |
|
F1000-V70 |
不支持 |
|
|
F1000-SASE係列 |
F1000-SASE100 |
不支持 |
|
F1000-SASE200 |
支持 |
|
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
|
F1000-AK1025、F1000-AK1115、F1000-AK1125、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1215、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1315、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9150 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
隧道兩端的VTEP設備上均需要開啟隧道的BFD檢測功能。
(1) 進入係統視圖。
system-view
(2) 配置保留VXLAN。
reserved vxlan vxlan-id
缺省情況下,未指定保留VXLAN。
配置隧道的BFD檢測功能時,必須配置保留VXLAN。否則,BFD會話無法up。
設備上隻能配置一個保留VXLAN,且該VXLAN不能與VSI下創建的VXLAN相同。
(3) 進入VXLAN隧道模式的Tunnel接口視圖。
interface tunnel tunnel-number
(4) 開啟隧道的BFD檢測功能。
tunnel bfd enable destination-mac mac-address
缺省情況下,隧道的BFD檢測功能處於關閉狀態。
一個VXLAN可以關聯多條VXLAN隧道。一條VXLAN隧道可以關聯多個VXLAN,這些VXLAN共用該VXLAN隧道,VTEP根據VXLAN報文中的VXLAN ID來識別隧道傳遞的報文所屬的VXLAN。VTEP接收到某個VXLAN的泛洪流量後,如果采用單播路由泛洪方式,則VTEP將在與該VXLAN關聯的所有VXLAN隧道上發送該流量,以便將流量轉發給所有的遠端VTEP。
VTEP必須與相同VXLAN內的其它VTEP建立VXLAN隧道,並將該隧道與VXLAN關聯。
配置VXLAN與VXLAN隧道關聯時,如果指定了no-split-horizon參數,則該VXLAN內不能存在去往同一個VTEP的其他VXLAN隧道。
(1) 進入係統視圖。
system-view
(2) 進入VSI視圖。
vsi vsi-name
(3) 進入VXLAN視圖。
vxlan vxlan-id
(4) 配置VXLAN與VXLAN隧道關聯。
tunnel tunnel-number [ flooding-proxy ]
缺省情況下,VXLAN未關聯VXLAN隧道。
|
參數 |
說明 |
|
flooding-proxy |
如果指定了本參數,則VXLAN內的廣播、組播和未知單播流量將通過該隧道發送到泛洪代理服務器,由代理服務器進行複製並轉發到其他遠端VTEP |
將三層接口與VSI關聯後,從該接口接收到的報文,將通過查找關聯VSI的MAC地址表進行轉發。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
不支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI係列 |
F5000-AI-15 |
支持 |
|
F5000-AI-20、F5000-AI-40 |
不支持 |
|
|
F5000-V係列 |
F5000-V30 |
不支持 |
|
F1000-AI係列 |
F1000-AI-25、F1000-AI-35、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-30、F1000-AI-50 |
不支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1090 |
支持 |
|
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V90 |
支持 |
|
F1000-V70 |
不支持 |
|
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK1125、F1000-AK1205、F1000-AK1215、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1315、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614 |
支持 |
|
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK9109、F1000-AK9110、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) (可選)配置入方向報文的VLAN標簽處理規則。
l2vpn rewrite inbound tag { nest { c-vid vlan-id | s-vid vlan-id [ c-vid vlan-id ] } | remark 1-to-2 s-vid vlan-id c-vid vlan-id } [ symmetric ]
缺省情況下,不對入方向報文的VLAN標簽進行處理。
(4) 將三層接口與VSI關聯。
xconnect vsi vsi-name [ track track-entry-number&<1-3> ]
缺省情況下,三層接口未關聯VSI。
本地MAC地址隻能動態學習,不能靜態配置。在動態添加、刪除本地MAC地址時,可以記錄日誌信息。
遠端MAC地址表項的產生方法包括靜態添加、根據接收到的VXLAN報文內封裝的源MAC地址自動學習等。
(1) 進入係統視圖。
system-view
(2) 添加靜態遠端MAC地址表項。
mac-address static mac-address interface tunnel tunnel-number vsi vsi-name
interface tunnel interface-number參數指定的隧道接口必須與vsi vsi-name參數指定的VSI對應的VXLAN關聯,否則配置將失敗。
如果網絡中存在攻擊,為了避免學習到錯誤的遠端MAC地址,可以手工關閉遠端MAC地址自動學習功能,手動添加靜態的遠端MAC地址。
(1) 進入係統視圖。
system-view
(2) 關閉遠端MAC地址自動學習功能。
vxlan tunnel mac-learning disable
缺省情況下,遠端MAC地址自動學習功能處於開啟狀態。
開啟本地MAC地址的日誌記錄功能後,VXLAN會立即根據已經學習到的本地MAC地址表項生成日誌信息,之後在增加或刪除本地MAC地址時也將產生日誌信息。生成的日誌信息將被發送到設備的信息中心,通過設置信息中心的參數,決定日誌信息的輸出規則(即是否允許輸出以及輸出方向)。
(1) 進入係統視圖。
system-view
(2) 開啟本地MAC地址的日誌記錄功能。
vxlan local-mac report
缺省情況下,本地MAC地址的日誌記錄功能處於關閉狀態。
system-view
(2) 配置VXLAN報文的目的UDP端口號。
vxlan udp-port port-number
缺省情況下,VXLAN報文的目的UDP端口號為4789。
屬於同一個VXLAN的VTEP設備上需要配置相同的UDP端口號。
執行本配置後,對Tunnel接口上發送的報文進行VXLAN封裝時,VTEP會為其封裝指定的源UDP端口號。為不同報文封裝不同源UDP端口號後,IPsec可以根據源端口號匹配需要進行加密的報文,從而實現對特定的流量進行IPsec保護。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S、F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-M、F5000-A |
不支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI係列 |
F5000-AI-15 |
支持 |
|
F5000-AI-20、F5000-AI-40 |
不支持 |
|
|
F5000-V係列 |
F5000-V30 |
不支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-20、F1000-AI-30、F1000-AI-50 |
不支持 |
|
F1000-AI-10、F1000-AI-15、F1000-AI-25、F1000-AI-35、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V90 |
支持 |
|
F1000-V70 |
不支持 |
|
|
F1000-SASE係列 |
F1000-SASE100 |
不支持 |
|
F1000-SASE200 |
支持 |
|
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
|
F1000-AK1025、F1000-AK1115、F1000-AK1125、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1215、F1000-AK1205、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1315、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9150 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
本配置僅對IPv4站點網絡生效。
僅手工創建的VXLAN隧道支持本配置。
Tunnel接口下同時配置vxlan source udp-port acl與vxlan source udp-port five-tuple命令時,如果報文能夠匹配vxlan source udp-port acl命令指定的ACL,則優先使用vxlan source udp-port acl配置的源UDP端口號;否則,根據內層報文的五元組信息生成源UDP端口號。
(1) 進入係統視圖。
system-view
(2) 進入VXLAN隧道接口視圖。
interface tunnel tunnel-number mode vxlan [ ipv6 ]
(3) 配置VXLAN報文的源UDP端口號。
¡ 為符合ACL規則的報文指定VXLAN封裝的源UDP端口號。
vxlan source udp-port port-number acl acl-number
多次執行本命令時,僅最後一次執行的命令生效。
如果Tunnel接口下僅配置vxlan source udp-port acl命令,且該命令中指定的ACL未創建或ACL中沒有配置IP地址相關的規則,則按照缺省情況封裝源UDP端口號。
¡ 根據內層報文的五元組信息生成VXLAN封裝的源UDP端口號。
vxlan source udp-port five-tuple
缺省情況下,根據內層報文的源和目的MAC地址自動生成VXLAN封裝的源UDP端口號。
通過本配置可以實現對接收到的VXLAN報文的UDP校驗和、內層封裝的以太網數據幀是否攜帶VLAN Tag進行檢查:
· UDP校驗和檢查:VTEP接收到VXLAN報文後,檢查該報文的UDP校驗和是否為0。若UDP校驗和為0,則接收該報文;若UDP校驗和不為0,則檢查UDP檢驗和是否正確,正確則接收該報文;否則,丟棄該報文。
· VLAN Tag檢查:VTEP接收到VXLAN報文並對其解封裝後,若內層以太網數據幀帶有VLAN Tag,則丟棄該VXLAN報文。
(1) 進入係統視圖。
system-view
(2) 配置丟棄UDP校驗和檢查失敗的VXLAN報文。
vxlan invalid-udp-checksum discard
缺省情況下,不會檢查VXLAN報文的UDP校驗和。
缺省情況下,VTEP從本地站點內接收到目的MAC地址未知的單播數據幀後,會在該VXLAN內除接收接口外的所有本地接口和VXLAN隧道上泛洪該數據幀,將該數據幀發送給VXLAN內的所有站點。如果用戶希望把該類數據幀限製在本地站點內,不通過VXLAN隧道將其轉發到遠端站點,則可以通過本命令手工禁止VXLAN對應VSI的泛洪功能。
禁止泛洪功能後,為了將某些MAC地址的數據幀泛洪到遠端站點以保證某些業務的流量在站點間互通,可以配置選擇性泛洪的MAC地址,當數據幀的目的MAC地址匹配該MAC地址時,該數據幀可以泛洪到遠端站點。
(1) 進入係統視圖。
system-view
(2) 進入VSI視圖。
vsi vsi-name
(3) 關閉VSI的泛洪功能。
flooding disable
缺省情況下,VSI泛洪功能處於開啟狀態。
(4) (可選)配置VSI選擇性泛洪的MAC地址。
selective-flooding mac-address mac-address
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S |
不支持 |
|
F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-M、F5000-A |
支持 |
|
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100、F1000-SASE200 |
支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1315、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
如果同時執行flooding disable命令關閉了VSI的泛洪功能,則建議通過mac-address timer命令配置動態MAC地址的老化時間大於25分鍾(ARP泛洪抑製表項的老化時間),以免MAC地址在ARP泛洪抑製表項老化之前老化,產生黑洞MAC地址。
如果配置了vxlan tunnel arp-learning disable命令,則設備從VXLAN隧道上接收到ARP請求報文後,不會采用匹配的ARP泛洪抑製表項對其進行應答。
(1) 進入係統視圖。
system-view
(2) 進入VSI視圖。
vsi vsi-name
(3) 開啟ARP泛洪抑製功能。
arp suppression enable
缺省情況下,ARP泛洪抑製功能處於關閉狀態。
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S、F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-M、F5000-A |
不支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
不支持 |
|
F5000-AI係列 |
F5000-AI-15 |
支持 |
|
F5000-AI-20、F5000-AI-40 |
不支持 |
|
|
F5000-V係列 |
F5000-V30 |
不支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-20、F1000-AI-30、F1000-AI-50 |
不支持 |
|
F1000-AI-10、F1000-AI-15、F1000-AI-25、F1000-AI-35、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V90 |
支持 |
|
F1000-V70 |
不支持 |
|
|
F1000-SASE係列 |
F1000-SASE100 |
不支持 |
|
F1000-SASE200 |
支持 |
|
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
|
F1000-AK1025、F1000-AK1115、F1000-AK1125、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1215、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1315、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9150 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
支持 |
(1) 進入係統視圖。
system-view
(2) 進入三層接口視圖。
interface interface-type interface-number
(3) 開啟作為AC的三層接口的報文統計功能。
ac statistics enable
缺省情況下,作為AC的三層接口的報文統計功能處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 設置VXLAN統計信息收集的時間間隔。
l2vpn statistics interval interval
缺省情況下,VXLAN統計信息收集的時間間隔為15分鍾。
開啟本功能後,數據報文通過VXLAN隧道進行軟件轉發時,不會進行QoS、安全等業務處理,直接進行轉發,以提高處理性能。建議僅在VSI虛接口和VXLAN隧道對應的報文出接口上沒有配置QoS、安全等業務,且需要加快VXLAN軟件轉發速度的場景下,開啟本功能。
開啟本功能後,如果到達VXLAN隧道目的端地址存在多條等價路由,隻會從中選擇一條路由轉發VXLAN報文,不能在多條路由之間進行負載分擔。
(1) 進入係統視圖。
system-view
(2) 開啟VXLAN軟件快速轉發功能。
vxlan fast-forwarding enable
缺省情況下,VXLAN軟件快速轉發功能處於關閉狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後VXLAN的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,用戶可以執行reset命令來清除VXLAN的相關信息。
|
操作 |
命令 |
|
顯示VSI的ARP泛洪抑製表項信息 |
display arp suppression vsi [ name vsi-name ] [ slot slot-number ] [ count ] |
|
顯示Tunnel接口信息 |
display interface [ tunnel [ number ] ] [ brief [ description | down ] ] |
|
顯示與VSI關聯的三層接口的L2VPN信息 |
display l2vpn interface [ vsi vsi-name | interface-type interface-number ] [ verbose ] |
|
顯示VSI的MAC地址表信息 |
display l2vpn mac-address [ vsi vsi-name ] [ dynamic ] [ count ] |
|
顯示VSI的信息 |
display l2vpn vsi [ name vsi-name ] [ verbose ] |
|
顯示VXLAN關聯的VXLAN隧道信息 |
display vxlan tunnel [ vxlan-id vxlan-id [ tunnel tunnel-number ] ] |
|
清除VSI的ARP泛洪抑製表項 |
reset arp suppression vsi [ name vsi-name ] |
|
清除VSI動態學習的MAC地址表項 |
reset l2vpn mac-address [ vsi vsi-name ] |
|
清除AC的報文統計信息 |
reset l2vpn statistics ac [ interface interface-type interface-number ] |
display interface tunnel命令的詳細介紹,請參見“VPN命令參考”中的“隧道”。
VXLAN可以為分散的物理站點提供二層互聯。如果要為VXLAN站點內的虛擬機提供三層業務,則需要在網絡中部署VXLAN IP網關,以便站點內的虛擬機通過VXLAN IP網關與外界網絡或其他VXLAN網絡內的虛擬機進行三層通信。VXLAN IP網關既可以部署在獨立的物理設備上,也可以部署在VTEP設備上。VXLAN IP網關部署在VTEP設備上時,又分為集中式VXLAN IP網關和分布式VXLAN IP網關兩種方式。
本節僅以IPv4網絡為例說明VXLAN IP網關的流量轉發過程,IPv6網絡中的流量轉發過程與此類似。
如圖3-1所示,VXLAN IP網關部署在獨立的物理設備上時,VXLAN IP網關作為物理站點接入VTEP,VXLAN業務對於網關設備透明。虛擬機通過VXLAN IP網關與三層網絡中的節點通信時,虛擬機將三層報文封裝成二層數據幀發送給VXLAN IP網關。VTEP對該數據幀進行VXLAN封裝,並在IP核心網絡上將其轉發給遠端VTEP(連接VXLAN IP網關的VTEP)。遠端VTEP對VXLAN報文進行解封裝,並將原始的二層數據幀轉發給VXLAN IP網關。VXLAN IP網關去掉鏈路層封裝後,對報文進行三層轉發。
圖3-1 獨立的VXLAN IP網關示意圖
如圖3-2所示,集中式VXLAN IP網關進行二層VXLAN業務終結的同時,還對內層封裝的IP報文進行三層轉發處理。與獨立的VXLAN IP網關相比,該方式除了能夠節省設備資源外,VXLAN IP網關功能由VXLAN對應的三層虛接口(VSI虛接口)承擔,三層業務的部署和控製也更加靈活和方便。
圖3-2 集中式VXLAN IP網關示意圖
如圖3-3所示,以地址為10.1.1.11的虛擬機為例,虛擬機與外界網絡進行三層通信的過程為:
(1) 虛擬機(10.1.1.11)跨網段進行三層通信時,先廣播發送ARP請求消息,解析VXLAN IP網關(10.1.1.1)的MAC地址。
(2) VTEP 1收到ARP請求消息後,添加VXLAN封裝並發送給所有的遠端VTEP。
(3) VTEP 3解封裝VXLAN報文後,發現ARP請求的目的IP為VXLAN對應的本地網關IP地址,即與VXLAN關聯的VSI虛接口的IP地址,則學習10.1.1.11的ARP信息,並向虛擬機回應ARP應答消息。
(4) VTEP 1收到ARP應答消息後,將該消息轉發給虛擬機。
(5) 虛擬機獲取到網關的MAC地址後,為三層報文添加網關的MAC地址,通過VXLAN網絡將二層數據幀發送給VTEP 3。
(6) VTEP 3解封裝VXLAN報文,並去掉鏈路層頭後,對內層封裝的IP報文進行三層轉發,將其發送給最終的目的節點。
(7) 目的節點回複的報文到達網關後,網關根據已經學習到的ARP表項,為報文封裝鏈路層頭,並通過VXLAN網絡將其發送給虛擬機。
圖3-3 集中式VXLAN IP網關的三層通信過程
屬於不同VXLAN網絡的虛擬機之間的通信過程與上述過程類似,不同之處在於一個VXLAN網絡的集中式網關需要將報文轉發給另一個VXLAN網絡的集中式網關,再由該集中式網關將報文轉發給本VXLAN內對應的虛擬機。
由單台設備承擔站點內大量虛擬機的集中式VXLAN IP網關功能,對設備的處理資源占用較高,並且對於網關的單點故障沒有保護措施。通過集中式VXLAN IP網關保護組,可以實現多台設備同時承擔網關功能,在提供單點故障保護機製的同時,還可以實現上下行流量的負載分擔。
圖3-4 集中式VXLAN IP網關保護組示意圖
如圖3-4所示,兩台集中式VXLAN IP網關形成保護組,兩台設備上存在相同的VTEP IP,稱為保護組的VTEP IP。接入層VTEP與保護組的VTEP IP建立VXLAN隧道,將虛擬機發送至其它網絡的報文轉發至保護組,保護組中的兩台網關設備均可以接收並處理虛擬機發往其它網絡的流量。
保護組中的成員VTEP之間、每個成員VTEP與接入層VTEP之間還會采用成員自身的IP地址建立VXLAN隧道,以便進行協議通信和表項同步。
采用集中式VXLAN IP網關方案時,不同VXLAN之間的流量以及VXLAN訪問外界網絡的流量全部由集中式VXLAN IP網關處理,網關壓力較大,並加劇了網絡帶寬資源的消耗。如圖3-5所示,在分布式VXLAN IP網關方案中,每台VTEP設備都可以作為VXLAN IP網關,對本地站點的流量進行三層轉發,很好地緩解了網關的壓力。
圖3-5 分布式VXLAN IP網關示意圖
如圖3-6所示,在分布式VXLAN IP網關組網中,所有的分布式VXLAN IP網關(GW)上都需要創建VSI虛接口,並為不同GW上的相同VSI虛接口配置相同的IP地址,作為VXLAN內虛擬機的網關地址。邊界網關(Border)上也需要創建VSI虛接口,並配置IP地址。在分布式VXLAN IP網關上還需要開啟本地代理ARP功能或本地ND代理功能,開啟後所有流量都通過查找ARP表項或ND表項進行三層轉發。下文均以此功能為例,介紹分布式VXLAN IP網關中的通信過程。
網關可以通過多種方式生成ARP表項和ND表項,下文以根據ARP協議和ND協議動態學習表項來介紹分布式VXLAN IP網關中的通信過程。
圖3-6 分布式VXLAN IP網關部署示意圖
如圖3-6所示,以VM 1訪問VM 4為例,相同VXLAN內不同站點的虛擬機的通信過程為:
(1) VM 1廣播發送ARP請求消息,獲取VM 4的MAC地址。
(2) GW 1收到ARP請求消息後,學習VM 1的ARP信息,並代理應答該ARP請求,即:向VM 1發送ARP應答消息,應答的MAC地址為VSI虛接口10的MAC地址。
(3) VM 1學習到VM 4的MAC地址為GW 1上VSI虛接口10的MAC地址。
(4) GW 1將接收到的ARP請求消息中的源MAC地址修改為VSI虛接口10的MAC地址,在VXLAN 10內向本地站點和遠端站點廣播發送該ARP請求。
(5) GW 2對VXLAN報文進行解封裝後,學習VM 1的ARP信息(IP為10.1.1.11、MAC為GW 1上VSI虛接口10的MAC、出接口為接收該VXLAN報文的Tunnel接口),並將ARP請求消息中的源MAC修改為本地VSI虛接口10的MAC地址,在VXLAN 10的本地站點內進行廣播。
(6) VM 4收到ARP請求後,學習VM 1的ARP信息(IP為10.1.1.11、MAC為GW 2上VSI虛接口10的MAC),並發送ARP應答消息給本地網關GW 2。
(7) GW 2從VM 4收到ARP應答消息後,學習VM 4的ARP信息,將ARP應答消息中的源MAC修改為本地VSI虛接口10的MAC地址,並根據已經學習到的ARP表項,為ARP應答消息添加VXLAN封裝後發送給GW 1。
(8) GW 1對VXLAN報文進行解封裝後,根據收到的ARP應答消息學習VM 4的ARP信息(IP為10.1.1.12、MAC為GW 2上VSI虛接口10的MAC、出接口為接收該VXLAN報文的Tunnel接口)。
(9) 通過上述步驟完成ARP信息的學習後,VM 1發送給VM 4的報文,根據已經學習到的ARP信息進行轉發:首先發送給GW 1;GW 1對其進行VXLAN封裝後,將其發送給GW 2;GW 2解封裝後,將其發送給VM 4。
圖3-7 不同VXLAN間不同站點的虛擬機通信過程示意圖
如圖3-7所示,以VM 1(VXLAN 10)訪問VM 5(VXLAN 20)為例,不同VXLAN的虛擬機的通信過程為:
VM 1廣播發送ARP請求消息,獲取網關10.1.1.1的MAC地址。
(2) GW 1收到ARP請求消息後,學習VM 1的ARP信息,並向VM 1發送ARP應答消息,應答的MAC地址為VSI虛接口10的MAC地址。這樣,VM 1會將訪問VM 5的報文發送給GW 1。
(3) GW 1在VXLAN 10內向本地站點和遠端站點廣播發送ARP請求。ARP請求消息中的源IP地址為10.1.1.11、源MAC地址為本地VSI虛接口10的MAC地址。
(4) GW 2從VXLAN隧道上接收到VXLAN報文,對其進行解封裝後,學習VM 1的ARP信息(IP為10.1.1.11、MAC為GW 1上VSI虛接口10的MAC、出接口為接收該VXLAN報文的Tunnel接口),並將ARP請求消息中的源MAC修改為本地VSI虛接口10的MAC地址,在VXLAN 10的本地站點內廣播該ARP請求消息。GW 2發送ARP應答消息(IP為10.1.1.1、MAC為GW 2上VSI虛接口10的MAC)給GW 1。
(5) GW 1在VXLAN 10內發送ARP請求的同時,也會在VXLAN 20內向本地站點和遠端站點廣播發送ARP請求,獲取VM 5的MAC地址。ARP請求消息中的源IP地址為20.1.1.1、源MAC地址為本地VSI虛接口20的MAC地址。
(6) GW 2從VXLAN 20內收到ARP請求後,將ARP請求消息中的源MAC修改為本地VSI虛接口20的MAC地址,在VXLAN 20的本地站點內廣播該ARP請求消息。
(7) VM 5收到ARP請求後,學習GW 2的ARP信息(IP為20.1.1.1、MAC為GW 2上VSI虛接口20的MAC),並發送ARP應答消息給本地網關GW 2。
(8) GW 2從VM 5收到ARP應答消息後,學習VM 5的ARP信息,並向本地站點和遠端站點發送免費ARP。免費ARP消息中的源IP地址為20.1.1.12、源MAC地址為本地VSI虛接口20的MAC地址。GW 1從VXLAN隧道上接收到VXLAN報文,對其進行解封裝後,根據收到的免費ARP消息學習VM 5的ARP信息(IP為20.1.1.12、MAC為GW 2上VSI虛接口20的MAC、出接口為接收該VXLAN報文的Tunnel接口)。
(9) 通過上述步驟完成ARP信息的學習後,VM 1發送給VM 5的報文,根據已經學習到的ARP信息進行轉發:首先發送給GW 1;GW 1對其進行VXLAN封裝後,將其發送給GW 2;GW 2解封裝後,將其發送給VM 5。
虛擬機要想與外部網絡進行三層通信,需要在接入虛擬機的本地分布式VXLAN IP網關上指定流量的下一跳為Border,可以通過如下方式來實現:
· 在本地分布式VXLAN IP網關上配置靜態路由,指定路由下一跳為Border上同一個VXLAN對應VSI虛接口的IP地址。
· 在本地分布式VXLAN IP網關上配置策略路由,設置報文的下一跳為Border上同一個VXLAN對應VSI虛接口的IP地址。
如圖3-6所示,以VM 1訪問外部網絡內的主機50.1.1.1為例,虛擬機訪問外部網絡的三層通信過程為:
(1) VM 1廣播發送ARP請求消息,獲取網關10.1.1.1的MAC地址。
(2) GW 1收到ARP請求消息後,學習VM 1的ARP信息,並向VM 1發送ARP應答消息,應答的MAC地址為VSI虛接口10的MAC地址。
(3) VM 1將訪問外部網絡的報文發送給GW 1。
(4) GW 1接收到報文後,根據策略路由判斷報文的下一跳地址為10.1.1.2。GW 1在VXLAN 10內向本地站點和遠端站點廣播發送ARP請求消息,獲取10.1.1.2對應的MAC地址。
(5) Border對VXLAN報文進行解封裝,學習GW 1的ARP信息,並通過VXLAN隧道回複ARP應答消息。
(6) GW 1對VXLAN報文進行解封裝,並獲取到10.1.1.2的ARP信息。
(7) GW 1根據獲取到的信息為VM 1發送的報文封裝鏈路層地址(10.1.1.2對應的MAC地址),並通過VXLAN隧道將報文發送給Border。
(8) Border對接收到的報文進行解封裝後,對報文進行三層轉發。
建議不要在同一台設備上同時配置集中式VXLAN IP網關和集中式VXLAN IP網關保護組功能。
建議在VXLAN IP網關上為VXLAN隧道的出接口配置較大的MTU值,以免VXLAN報文分片導致轉發失敗。
VXLAN IP網關配置任務如下:
(1) 配置VXLAN IP網關
請根據實際組網,選擇以下一項任務進行配置:
(2) (可選)關閉VXLAN遠端ARP自動學習功能
(3) (可選)配置VSI虛接口
配置集中式VXLAN IP網關和分布式VXLAN IP網關設備前,需要完成以下配置任務:
· 配置VXLAN隧道工作在三層轉發模式。
· 創建VSI和VXLAN。
配置VXLAN隧道,並將VXLAN與VXLAN隧道關聯。
在集中式VXLAN IP網關組網中,請不要執行local-proxy-arp enable命令開啟本地代理ARP功能。
(1) 進入係統視圖。
system-view
(2) 創建VSI虛接口,並進入VSI虛接口視圖。
interface vsi-interface vsi-interface-id
(3) 配置VSI虛接口的IP地址。
ip address ip-address { mask | mask-length }
缺省情況下,未配置VSI虛接口的IP地址。
(4) 退回係統視圖。
quit
(5) 進入VXLAN所在VSI視圖。
vsi vsi-name
(6) 為VSI指定網關接口。
gateway vsi-interface vsi-interface-id
缺省情況下,未指定VSI的網關接口。
為了節省分布式VXLAN IP網關設備上的三層接口資源,在網關設備上多個VXLAN可以共用一個VSI虛接口,為VSI虛接口配置一個主IPv4地址和多個從IPv4地址,分別作為不同VXLAN內虛擬機的網關地址。
多個VXLAN共用一個VSI虛接口時,網關設備無法判斷從VSI虛接口接收到的報文屬於哪個VXLAN。為了解決該問題,需要在VSI視圖下通過本命令指定VSI所屬的子網網段,通過子網網段判斷報文所屬的VSI,並在該VSI內轉發報文,從而限製廣播報文範圍,有效地節省帶寬資源。
(1) 進入係統視圖。
system-view
(2) 進入VXLAN所在VSI視圖。
vsi vsi-name
(3) 配置當前VSI所屬的子網網段。
gateway subnet ipv4-address wildcard-mask
缺省情況下,未指定VSI所屬的子網網段。
保護組中所有網關上的VXLAN配置需要保證完全一致。
(1) 進入係統視圖。
system-view
(2) 創建VSI虛接口,並進入VSI虛接口視圖。
interface vsi-interface vsi-interface-id
(3) 配置VSI虛接口的IP地址。
ip address ip-address { mask | mask-length }
缺省情況下,未配置VSI虛接口的IP地址。
請在保護組中的每台網關上配置相同的VSI虛接口IP地址。
(4) 配置VSI虛接口的MAC地址。
mac-address mac-address
缺省情況下,VSI虛接口未指定MAC地址。
保護組中所有網關上配置的MAC地址必須相同。
(5) 退回係統視圖。
quit
(6) 進入VXLAN所在VSI視圖。
vsi vsi-name
(7) 為VSI指定網關接口。
gateway vsi-interface vsi-interface-id
缺省情況下,未指定VSI的網關接口。
(8) 退回係統視圖。
quit
(9) 將本設備加入VXLAN IP網關保護組,並配置本設備的成員地址。
vtep group group-ip member local member-ip
缺省情況下,設備未加入VXLAN IP網關保護組。
member-ip為本設備的成員地址,該地址必須是設備上已經存在的IP地址,並且需要通過路由協議發布到IP網絡。同一個保護組中不同成員VTEP的地址不能相同。
(10) 配置VXLAN IP網關保護組的成員地址列表。
vtep group group-ip member remote member-ip&<1-8>
缺省情況下,未配置VXLAN IP網關保護組的成員地址列表。
執行本命令時,必須輸入保護組中所有其它成員的成員地址。
執行本配置時,需要完成以下配置任務:
· 配置VXLAN隧道工作在二層轉發模式。
· 創建VSI和VXLAN。
· 配置VXLAN隧道,並將VXLAN與VXLAN隧道關聯。
(1) 進入係統視圖。
system-view
(2) 配置VXLAN IP網關保護組的成員地址列表。
vtep group group-ip member remote member-ip&<1-8>
缺省情況下,未配置VXLAN IP網關保護組的成員地址列表。
執行本命令時,必須輸入保護組中所有成員的成員地址。
如果虛擬機要想與外部網絡進行三層通信,除本配置外,還需要在接入虛擬機的本地分布式VXLAN IP網關上配置靜態路由或策略路由:
· 配置靜態路由:指定路由的下一跳為Border上同一個VXLAN對應VSI虛接口的IP地址。
· 配置策略路由:通過apply default-next-hop命令設置報文的缺省下一跳為Border上同一個VXLAN對應VSI虛接口的IP地址。策略路由的配置方法,請參見“三層技術-IP路由配置指導”中的“策略路由”。
分布式VXLAN IP網關連接IPv4站點網絡時,所有網關上都需要為相同VSI虛接口配置相同的MAC地址。如果網關同時連接IPv4站點網絡和IPv6站點網絡,則不同分布式VXLAN IP網關上需要為相同VSI虛接口配置不同的鏈路本地地址。
(1) 進入係統視圖。
system-view
(2) 創建VSI虛接口,並進入VSI虛接口視圖。
interface vsi-interface vsi-interface-id
(3) 配置VSI虛接口的IP地址。
(IPv4網絡)
ip address ip-address { mask | mask-length } [ sub ]
(IPv6網絡)
IPv6地址的配置方法,請參見“三層技術-IP業務配置指導”中的“IPv6基礎”。
缺省情況下,未配置VSI虛接口的IP地址。
(4) 配置VSI虛接口為分布式網關接口。
distributed-gateway local
缺省情況下,VSI虛接口不是分布式本地網關接口。
(5) 開啟本地代理ARP或本地ND代理功能。
(IPv4網絡)
local-proxy-arp enable [ ip-range startIP to endIP ]
缺省情況下,本地代理ARP功能處於關閉狀態。
本命令的詳細介紹,請參見“三層技術-IP業務命令參考”中的“代理ARP”。
(IPv6網絡)
local-proxy-nd enable
缺省情況下,本地ND代理功能處於關閉狀態。
本命令的詳細介紹,請參見“三層技術-IP業務命令參考”中的“IPv6基礎”。
(6) 開啟VSI虛接口。
undo shutdown
缺省情況下,VSI虛接口處於開啟狀態。
(7) 退回係統視圖。
quit
(8) 進入VXLAN所在VSI視圖。
vsi vsi-name
(9) 為VSI指定網關接口。
gateway vsi-interface vsi-interface-id
缺省情況下,未指定VSI的網關接口。
分布式VXLAN IP網關上開啟本地代理ARP功能時,本地網關不會將目標IP地址為分布式網關VSI虛接口的ARP報文轉發給其他網關,隻有本地網關能夠學習到ARP報文發送者的ARP表項。如果希望所有網關都能學習到該ARP表項,需要開啟分布式網關的動態ARP表項同步功能。分布式VXLAN IP網關之間也可以通過控製器在彼此之間同步ARP表項,此時無需開啟該功能。
(1) 進入係統視圖。
system-view
(2) 開啟分布式網關的動態ARP表項同步功能。
arp distributed-gateway dynamic-entry synchronize
缺省情況下,分布式網關的動態ARP表項同步功能處於關閉狀態。
缺省情況下,設備從VXLAN隧道接收到報文後可以自動學習遠端虛擬機的ARP信息,即遠端ARP信息。在SDN控製器組網下,當控製器和設備間進行表項同步時,可以通過本配置暫時關閉遠端ARP自動學習功能,以節省占用的設備資源。同步完成後,再開啟遠端ARP自動學習功能。
建議用戶隻在控製器和設備間同步表項的情況下執行本配置。
(1) 進入係統視圖。
system-view
(2) 關閉VXLAN遠端ARP自動學習功能。
vxlan tunnel arp-learning disable
缺省情況下,遠端ARP自動學習功能處於開啟狀態。
(1) 進入係統視圖。
system-view
(2) 進入VSI虛接口視圖。
interface vsi-interface vsi-interface-id
(3) 配置接口的MAC地址。
mac-address mac-address
缺省情況下,VSI虛接口的MAC地址為設備的橋MAC地址。
(4) 配置接口的描述信息。
description text
缺省情況下,接口的描述信息為“接口名 Interface”,例如:Vsi-interface100 Interface。
(5) 配置接口的MTU。
mtu mtu-value
缺省情況下,VSI虛接口的MTU值為1500。
(6) 配置接口的期望帶寬。
bandwidth bandwidth-value
缺省情況下,接口的期望帶寬=接口的波特率÷1000(kbps)。
期望帶寬供業務模塊使用,不會對接口實際帶寬造成影響。
接口下的某些配置恢複到缺省情況後,會對設備上當前運行的業務產生影響。建議您在執行本配置前,完全了解其對網絡產生的影響。
您可以在執行default命令後通過display this命令確認執行效果。對於未能成功恢複缺省的配置,建議您查閱相關功能的命令手冊,手工執行恢複該配置缺省情況的命令。如果操作仍然不能成功,您可以通過設備的提示信息定位原因。
(1) 進入係統視圖。
system-view
(2) 進入VSI虛接口視圖。
interface vsi-interface vsi-interface-id
(3) 恢複接口的缺省配置。
default
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後VXLAN IP網關的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,用戶可以執行reset命令來清除VSI虛接口的統計信息。
表3-1 VXLAN IP網關顯示和維護
|
操作 |
命令 |
|
顯示VSI虛接口信息 |
display interface [ vsi-interface [ vsi-interface-id ] ] [ brief [ description | down ] ] |
|
清除VSI虛接口的統計信息 |
reset counters interface [ vsi-interface [ vsi-interface-id ]] |
OVSDB(Open vSwitch Database,開源虛擬交換機數據庫)控製協議用來實現NVC(Network Virtualization Controller,網絡虛擬化控製器)對網絡中VTEP設備的管理和部署。
如圖4-1所示,VTEP設備上維護OVSDB數據庫,VXLAN相關配置以表項的形式保存在該數據庫中。控製器與VTEP設備上的OVSDB服務器建立連接,二者采用OVSDB控製協議進行交互並操作OVSDB數據庫中的數據。OVSDB VTEP服務從OVSDB服務器獲取數據庫中的數據,將其轉變為VXLAN相關配置(例如創建或刪除VXLAN、創建或刪除VXLAN隧道)下發到設備上。同時,OVSDB VTEP服務也會通過OVSDB服務器,將本地的用戶側接入端口和VXLAN隧道全局源地址信息添加到數據庫中,並上報給控製器。
與OVSDB相關的協議規範有:
· RFC 7047:The Open vSwitch Database Management Protocol
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S、F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-M、F5000-A |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-20、F1000-AI-30、F1000-AI-50 |
不支持 |
|
F1000-AI-10、F1000-AI-15、F1000-AI-25、F1000-AI-35、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V90 |
支持 |
|
F1000-V70 |
不支持 |
|
|
F1000-SASE係列 |
F1000-SASE100 |
不支持 |
|
F1000-SASE200 |
支持 |
|
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
|
F1000-AK1025、F1000-AK1115、F1000-AK1125、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1215、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1315、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9150 |
支持 |
|
|
插卡 |
LSU3FWCEA0、LSCM1FWDSD0、LSCM2FWDSD0、LSUM1FWCEAB0、LSX1FWCEA1、LSXM1FWDF1、LSUM1FWDEC0、IM-NGFWX-IV、LSQM1FWDSC0、LSWM1FWD0、LSPM6FWD、LSPM6FWDB、LSQM2FWDSC0 |
不支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
用戶可以同時通過命令行和控製器配置VTEP設備。建議不要在VTEP設備上通過命令行刪除控製器下發的配置。
要實現控製器對VTEP設備的部署,需要在VTEP設備上進行如下配置:
(2) 開啟OVSDB服務器
(3) 開啟OVSDB VTEP服務
(4) 配置VXLAN隧道的全局源地址
(5) 指定用戶側的接入端口
(6) 開啟組播隧道泛洪代理功能
采用泛洪代理(服務器複製)方式轉發站點間的泛洪流量時,必須執行本配置。
在進行OVSDB-VTEP相關配置前,需要首先通過l2vpn enable命令開啟L2VPN功能。
如果OVSDB服務器與控製器之間建立SSL連接,則還需要完成SSL相關配置,詳細配置方法請參見“安全配置指導”中的“SSL”。
OVSDB服務器和控製器之間可以建立多種類型的OVSDB連接,設備支持的OVSDB連接類型包括:
· 主動SSL連接:OVSDB服務器主動向控製器發起SSL連接。
· 被動SSL連接:OVSDB服務器監聽並接收來自控製器的SSL連接請求。
· 主動TCP連接:OVSDB服務器主動向控製器發起TCP連接。
· 被動TCP連接:OVSDB服務器監聽並接收來自控製器的TCP連接請求。
配置OVSDB服務器與控製器建立OVSDB連接時,需要注意:
· OVSDB服務器支持同時與多個控製器建立連接,且支持同時建立多種類型的連接。
· 在開啟OVSDB服務器之前,必須先建立OVSDB連接。如果在開啟OVSDB服務器之後修改OVSDB連接,那麼需要關閉OVSDB服務器後再重新開啟,新的連接配置才能生效。
· 所有SSL連接,包括主動SSL連接和被動SSL連接,需要使用相同的PKI域和CA證書文件。
OVSDB服務器與控製器主動SSL連接和被動SSL連接前,需要先創建PKI域,具體方法請參見“安全配置指導”中的“PKI”。
(1) 進入係統視圖。
system-view
(2) 指定與控製器進行SSL通信時使用的PKI域。
ovsdb server pki domain domain-name
缺省情況下,未指定與控製器進行SSL通信時使用的PKI域。
(3) (可選)設置SSL通信時使用的CA證書文件。
ovsdb server bootstrap ca-certificate ca-filename
缺省情況下,與控製器進行SSL通信時使用PKI域中的CA證書文件。
如果指定的CA證書文件不存在,則使用開啟OVSDB服務器時通過SSL連接獲取的自簽名證書,並通過本命令指定證書文件名。
(4) 與控製器建立主動SSL連接。
ovsdb server ssl ip ip-address port port-number
缺省情況下,不會與控製器建立主動SSL連接。
OVSDB服務器最多可以同時與8個控製器建立主動SSL連接。
(1) 進入係統視圖。
system-view
(2) 指定與控製器進行SSL通信時使用的PKI域。
ovsdb server pki domain domain-name
缺省情況下,未指定與控製器進行SSL通信時使用的PKI域。
(3) (可選)設置SSL通信時使用的CA證書文件。
ovsdb server bootstrap ca-certificate ca-filename
缺省情況下,與控製器進行SSL通信時使用PKI域中的CA證書文件。
如果指定的CA證書文件不存在,則使用開啟OVSDB服務器時通過SSL連接獲取的自簽名證書,並通過本命令指定證書文件名。
(4) 與控製器建立被動SSL連接。
ovsdb server pssl [ port port-number ]
缺省情況下,不會與控製器建立被動SSL連接。
OVSDB服務器隻能監聽1個端口的SSL連接請求。
(1) 進入係統視圖。
system-view
(2) 與控製器建立主動TCP連接。
ovsdb server tcp ip ip-address port port-number
缺省情況下,不會與控製器建立主動TCP連接。
OVSDB服務器最多可以同時與8個控製器建立主動TCP連接。
(1) 進入係統視圖。
system-view
(2) 與控製器建立被動TCP連接。
ovsdb server ptcp [ port port-number ]
缺省情況下,不會與控製器建立被動TCP連接。
OVSDB服務器隻能監聽1個端口的TCP連接請求。
在開啟OVSDB服務器之前,必須先建立OVSDB連接。如果在開啟OVSDB服務器之後修改OVSDB連接,那麼需要關閉OVSDB服務器後再重新開啟,新的連接配置才能生效。
(1) 進入係統視圖。
system-view
(2) 開啟OVSDB服務器。
ovsdb server enable
缺省情況下,OVSDB服務器處於關閉狀態。
(1) 進入係統視圖。
system-view
(2) 開啟OVSDB VTEP服務。
vtep enable
缺省情況下,OVSDB VTEP服務處於關閉狀態。
用戶需要在VTEP設備上配置VXLAN隧道的全局源地址,該地址會通過OVSDB協議上報給控製器,用於控製器對VTEP設備進行部署和控製。
采用OVSDB對VTEP設備進行部署和控製時,用戶不能在VXLAN隧道的Tunnel接口下手工指定源地址,否則會影響控製器對VTEP設備的管理。
(1) 進入係統視圖。
system-view
(2) 配置VXLAN隧道的全局源地址。
tunnel global source-address { ipv4-address | ipv6 ipv6-address }
缺省情況下,未配置VXLAN隧道的全局源地址。
為了在控製器上顯示VTEP上的端口並對其進行控製,必須在VTEP上將該端口配置為用戶側的接入端口。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 指定當前接口為用戶側的接入端口。
vtep access port
缺省情況下,當前接口不是用戶側的接入端口。
開啟組播隧道泛洪代理功能後,係統會將控製器下發的組播隧道轉換為具有泛洪代理功能的隧道。VXLAN內的廣播、組播和未知單播流量將通過具有泛洪代理功能的隧道發送到泛洪代理服務器,由代理服務器進行複製並轉發到其他遠端VTEP。
采用泛洪代理(服務器複製)方式轉發站點間的泛洪流量時,必須開啟該功能。
(1) 進入係統視圖。
system-view
(2) 開啟組播隧道泛洪代理功能。
vxlan tunnel flooding-proxy
缺省情況下,組播隧道泛洪代理功能處於關閉狀態。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
