正文

深度实战:一文掌握集中式VXLAN网关所有细节(含与VSR对比、MTU分析)

admin
admin V管理员 /0 评论 /86 阅读
1110
此篇文章发布距今已超过68天,您需要注意文章的内容或图片是否可用!

兵无常势,水无常形,搞实验哪有不翻车的?上次华某的VXLAN实验因模拟器水土不服而折戟沉沙()。但失之东隅,收之桑榆,这正好让我们转战H3C官网的另一个经典实验——集中式VXLAN IP网关配置。今天,就带大家亲手搭建一个多站点互联、并能华丽转身访问外网的VXLAN网络!

组网需求

SWA、SWB为与服务器连接的VTEP设备,SWC为与广域网连接的集中式VXLAN IP网关设备,SW-ISP为广域网内的三层交换机。虚拟机VM 1、VM 2同属于VXLAN 10,通过VXLAN实现不同站点间的二层互联,并通过VXLAN IP网关与广域网三层互联。

实验环境

Windows 7旗舰版

HCL 3.0.1

H3C S6850(Version 7.1.070, Alpha 7170)

H3C S5820V2(Version 7.1.075, Alpha 7571)

具体需求

不同VTEP之间手工建立VXLAN隧道。

手工关联VXLAN和VXLAN隧道。

通过源MAC地址动态学习远端MAC地址表项。

站点之间的泛洪流量采用头端复制的方式转发。

组网图

集中式VXLAN IP网关配置组网图。

配置步骤

1、配置SWC设备的硬件资源模式

配置SWC工作的硬件资源模式,并重启设备。

#hardware-resource vxlan l3gw

但是HCL的S6850设备不支持这条命令,没关系,直接跳过。

2、配置IP地址和单播路由协议

万丈高楼平地起,第一步永远是先打好地基——调通底层IP网络。给各个VLAN接口配置好IP地址和子网掩码,并在IP核心网络内配置OSPF协议,让所有设备先互相认识,为后续的VXLAN高级活动铺平道路。直接贴命令。

SWA

# sysname SWA#ospf 1 router-id 1.1.1.1 area 0.0.0.0  network 1.1.1.1 0.0.0.0  network 14.1.1.0 0.0.0.255#vlan 14#interface LoopBack0 ip address 1.1.1.1 255.255.255.255#interface Vlan-interface14 ip address 14.1.1.1 255.255.255.0#interface GigabitEthernet1/0/2 port access vlan 14

SWB

# sysname SWB#ospf 1 router-id 2.2.2.2 area 0.0.0.0  network 2.2.2.2 0.0.0.0  network 24.1.1.0 0.0.0.255#vlan 24#interface LoopBack0 ip address 2.2.2.2 255.255.255.255#interface Vlan-interface24 ip address 24.1.1.2 255.255.255.0#interface GigabitEthernet1/0/2 port access vlan 24

SWC

# sysname SWC#ospf 1 router-id 3.3.3.3 area 0.0.0.0  network 3.3.3.3 0.0.0.0  network 5.1.1.0 0.0.0.255  network 34.1.1.0 0.0.0.255#vlan 5#vlan 34#interface LoopBack0 ip address 3.3.3.3 255.255.255.255#interface Vlan-interface5 ip address 5.1.1.2 255.255.255.0#interface Vlan-interface34 ip address 34.1.1.3 255.255.255.0#interface GigabitEthernet1/0/1 port access vlan 5#interface GigabitEthernet1/0/2 port access vlan 34

SWD

# sysname SWD#ospf 1 router-id 4.4.4.4 area 0.0.0.0  network 4.4.4.4 0.0.0.0  network 14.1.1.0 0.0.0.255  network 24.1.1.0 0.0.0.255  network 34.1.1.0 0.0.0.255#vlan 14#vlan 24#vlan 34#interface LoopBack0 ip address 4.4.4.4 255.255.255.255#interface Vlan-interface14 ip address 14.1.1.4 255.255.255.0#interface Vlan-interface24 ip address 24.1.1.4 255.255.255.0#interface Vlan-interface34 ip address 34.1.1.4 255.255.255.0#interface GigabitEthernet1/0/1port access vlan 14#interface GigabitEthernet1/0/2port access vlan 24#interface GigabitEthernet1/0/3port access vlan 34

SW-ISP

# sysname SW-ISP#ospf 1 router-id 5.5.5.5 area 0.0.0.0  network 5.1.1.0 0.0.0.255  network 5.5.5.5 0.0.0.0#vlan 5#interface LoopBack0 ip address 5.5.5.5 255.255.255.255#interface Vlan-interface5 ip address 5.1.1.1 255.255.255.0#interface GigabitEthernet1/0/1 port link-mode bridge port access vlan 5

3、配置VXLAN隧道

和路由器的头端复制实验、交换机的头端复制实验相比,SWA和SWB的配置基本一致。不同的是SWC这次作为了网关,接口G1/0/1不再配置服务实例的绑定,同时增加了VSI虚接口。先上SWA和SWB的配置。

SWA

#l2vpn enable#interface Tunnel12 mode vxlan source 1.1.1.1 destination 2.2.2.2#interface Tunnel13 mode vxlan source 1.1.1.1 destination 3.3.3.3#vsi vpna vxlan 10  tunnel 12  tunnel 13#interface GigabitEthernet1/0/1port link-type trunk port trunk permit vlan 1 to 2# service-instance 1000  encapsulation s-vid 2  xconnect vsi vpna

SWB

#l2vpn enable#interface Tunnel21 mode vxlan source 2.2.2.2 destination 1.1.1.1#interface Tunnel23 mode vxlan source 2.2.2.2 destination 3.3.3.3#vsi vpna vxlan 10  tunnel 21  tunnel 23#interface GigabitEthernet1/0/1port link-type trunk port trunk permit vlan 1 to 2# service-instance 1000  encapsulation s-vid 2  xconnect vsi vpna

SWC

先完成SWC的VXLAN隧道配置。

#l2vpn enable#interface Tunnel31 mode vxlan source 3.3.3.3 destination 1.1.1.1#interface Tunnel32 mode vxlan source 3.3.3.3 destination 2.2.2.2#vsi vpna vxlan 10  tunnel 31  tunnel 32

跟VSR的集中式网关配置一样,创建VSI虚接口、配置IP地址,该IP地址作为VXLAN 10内虚拟机的网关地址。

#interface Vsi-interface10 ip address 10.1.1.1 255.255.255.0

配置VXLAN 10所在的VSI实例和接口VSI-interface10关联。

# sysname SWA#ospf 1 router-id 1.1.1.1 area 0.0.0.0  network 1.1.1.1 0.0.0.0  network 14.1.1.0 0.0.0.255#vlan 14#interface LoopBack0 ip address 1.1.1.1 255.255.255.255#interface Vlan-interface14 ip address 14.1.1.1 255.255.255.0#interface GigabitEthernet1/0/2 port access vlan 140

4、配置虚拟机

如组网图和组网需求所示,虚拟机上行口要带VLAN标签。所以为了简单,直接使用交换机代替虚拟机,以方便上行口打VLAN标签。

VM1、VM2、VM3的配置大体相同。以VM1为例,VM1配置如下:

# sysname SWA#ospf 1 router-id 1.1.1.1 area 0.0.0.0  network 1.1.1.1 0.0.0.0  network 14.1.1.0 0.0.0.255#vlan 14#interface LoopBack0 ip address 1.1.1.1 255.255.255.255#interface Vlan-interface14 ip address 14.1.1.1 255.255.255.0#interface GigabitEthernet1/0/2 port access vlan 141

验证配置

1、验证VTEP设备

下文以其中一台设备SWB为例,其它设备验证方法与此类似。

显示VXLAN关联的VXLAN隧道信息。

查看SWB上的Tunnel接口信息,可以看到VXLAN模式的Tunnel接口处于UP状态。

查看SWB上的VSI信息,可以看到VSI内创建的VXLAN、与VXLAN关联的VXLAN隧道、与VSI关联的AC(Attachment Circuit,接入电路:VTEP连接本地站点的物理电路或虚拟电路)接口等信息。

查看以太网服务实例的信息。

查看SWB上VSI的MAC地址表项信息,可以看到已学习到的MAC地址信息。一个来自本地接口,一个来自VXLAN隧道对端。

查看SWC上的VSI虚接口信息,可以看到VSI虚接口处于UP状态。

# sysname SWA#ospf 1 router-id 1.1.1.1 area 0.0.0.0  network 1.1.1.1 0.0.0.0  network 14.1.1.0 0.0.0.255#vlan 14#interface LoopBack0 ip address 1.1.1.1 255.255.255.255#interface Vlan-interface14 ip address 14.1.1.1 255.255.255.0#interface GigabitEthernet1/0/2 port access vlan 142

查看SWC上的VSI信息,可以看到VSI内创建的VXLAN、与VXLAN关联的VXLAN隧道、与VSI关联的VSI虚接口等信息。

# sysname SWA#ospf 1 router-id 1.1.1.1 area 0.0.0.0  network 1.1.1.1 0.0.0.0  network 14.1.1.0 0.0.0.255#vlan 14#interface LoopBack0 ip address 1.1.1.1 255.255.255.255#interface Vlan-interface14 ip address 14.1.1.1 255.255.255.0#interface GigabitEthernet1/0/2 port access vlan 143

查看SWC上VSI的MAC地址表项信息,可以看到已学习到的MAC地址信息。

SWC设备上的路由信息如下:

查看SWC上FIB表项信息,可以看到已学习到了虚拟机的转发表项信息。

2、验证主机

从VM2上ping测试VM1和网关SWC,测试连通性。

到网关的MTU会是多少呢?猜一猜。

1472字节!说明跟头端复制是一样的,报文封装也相同。

测试访问SW-ISP。

怎么不通呢?之前做VSR的配置,是用了NAT,现在交换机不支持了,那就得把VXLAN的路由发布到OSPF里面。

再试一下,不通是不可能的。别忘了配置VM的网关。

那访问ISP的MTU是多少呢?

1416字节。抓包如下:

实验总结

实验至此,圆满成功!我们来复盘一下核心收获:

第一,深入理解了集中式网关的架构与配置。在该架构中,SWC作为核心网关设备,承担了所有跨子网路由转发与外部网络接入的关键职责。各VTEP(SWA、SWB) 仅需完成VXLAN的二层封装与解封装,实现了控制平面的简化与数据平面的高效集中。

第二,通过抓包再次验证了VXLAN的封装开销。VSR配置VXLAN集中式网关时,VSI接口下显示的MTU是1500字节,而交换机配置时,显示的MTU是1444字节。但是,实际二层转发的MTU还是1472字节,【outer-ETH-14】【outer-IP-20】【UDP-8】【VXLAN-8】【inner-ETH-14】【inner-IP-20】【ICMP-8】【DATA-1416】,报文总长度是1508字节,比正常的1514字节短了6个字节。为什么呢?就是VSI接口下显示的1444字节导致的。

第三,明确了模拟器与真机的细微差异。物理设备配置时,需要配置交换机工作的硬件资源模式为l3gw,并重启设备,但是模拟器不需要,不影响结果。正常来讲,SWD是不需要支持VXLAN特性的,所以用S5820V2也是可以的。

纸上得来终觉浅,绝知此事要躬行,这种深究,正是网络工程师的乐趣所在!希望这个实验能让大家对VXLAN的认识更上一层楼。

***推荐阅读***


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com