华为数据中心HCIE静态方式部署VXLAN的集中式网关
联系乾颐堂在线客服获取华为HCIA DC免费学习资料 在线客服
一【实验目的】
了解华为集中式VXLAN网关的部署方式
了解集中式VXLAN网关的优势和劣势
二【实验环境】
多个VXLAN(VNI10和VNI20)隧道的集中式部署在SPINE设备上,即配置桥接域接口10和桥接域接口20
Leaf1存在2个业务子接口,分别用于接收PC1所属VLAN10和PC3所属的VLAN20的流量
Leaf2存在一个业务子接口,用于接入PC2的VLAN10的流量
通过部署集中式VXLAN网关,使得不同子网的主机实现通信
作者:乾颐堂安德
三【实验原理】
三层网关:用于VXLAN虚拟网络的跨子网通信以及外部网络的访问。
根据三层网关部署方式的不同,VXLAN三层网关又可以分为集中式网关和分布式网关。集中式网关是指将三层网关集中部署在一台设备上,所有跨子网的流量都经过三层网关进行转发,实现流量的集中管理。部署集中式网关的优点和缺点如下:
优点:对跨子网流量进行集中管理,网关的部署和管理比较简单。
缺点:
转发路径不是最优:同一二层网关下跨子网的数据中心三层流量都需要经过集中三层网关转发。
ARP表项规格瓶颈:由于采用集中三层网关,通过三层网关转发的终端租户的ARP表项都需要在三层网关上生成,而三层网关上的ARP表项规格有限,这不利于数据中心网络的扩展。
四【实验步骤】
1)本步骤给出Underlay基本的OSPF配置,也可以参考VXLAN基础一节
完成底层的IGP(Underlay网络),为后续部署其他协议做前置准备
SPINE: ospf router 3.3.3.3 //配置OSPF的RID area 0 //配置区域0,在本例中仅仅存在area0 int g1/0/0 un shu undo portswitch //接口切换为3层接口 ip address 10.1.13.3 24 ospf enable a 0 //接口开启OSPF,并配置在区域0中 ospf network-type p2p //为了加速OSPF邻居关系建立,全网改用了点到点的网络类型 int g1/0/1 un shu undo portswitch ip address 10.1.23.3 24 ospf enable a 0 ospf network-type p2p int lo0 ip address 3.3.3.3 32 ospf enable a 0 //环回接口配置OSPF并运行在区域0中 |
配置Leaf设备的OSPF,供大家参考
Leaf设备: Leaf1: ospf router-id 1.1.1.1 area 0 int lo0 ip address 1.1.1.1 32 ospf en a 0 int g1/0/0 undo shutdown undo portswitch ip address 10.1.13.1 24 ospf en a 0 ospf network-type p2p Leaf2:ospf router-id 2.2.2.2 area 0 int g1/0/1 un shutdown undo portswitch ip address 10.1.23.2 24 ospf enable a 0 ospf network-type p2p int lo0 ip address 2.2.2.2 32 ospf enable a 0 ospf network-type p2p |
配置完毕OSPF来验证邻居以及路由情况:
<SPINE>dis ospf peer brief rief //OSPF邻居正常,SPINE分别和LEAF1、2建立了邻居 OSPF Process 1 with Router ID 3.3.3.3 Peer Statistic Information Total number of peer(s): 2 Peer(s) in full state: 2 ----------------------------------------------------------------------------- Area Id Interface Neighbor id State 0.0.0.0 GE1/0/0 1.1.1.1 Full 0.0.0.0 GE1/0/1 2.2.2.2 Full ------------------------------------------------------------ <SPINE>display ip routing-table protocol ospf //查看OSPF的路由表,SPINE得到了1.1.1.1和2.2.2.2的路由信息 Proto: Protocol Pre: Preference Route Flags: R - relay, D - download to fib, T - to vpn-instance, B - black hole route ------------------------------------------------------------------------------ _public_ Routing Table : OSPF Destinations : 5 Routes : 5
OSPF routing table status : <Active> Destinations : 2 Routes : 2
Destination/Mask Proto Pre Cost Flags NextHop Interface
1.1.1.1/32 OSPF 10 1 D 10.1.13.1 GE1/0/0 2.2.2.2/32 OSPF 10 1 D 10.1.23.2 GE1/0/1 |
验证Underlay网络的数据通信:
<SPINE>ping -a 3.3.3.3 1.1.1.1 PING 1.1.1.1: 56 data bytes, press CTRL_C to break Reply from 1.1.1.1: bytes=56 Sequence=1 ttl=255 time=8 ms Reply from 1.1.1.1: bytes=56 Sequence=2 ttl=255 time=4 ms Reply from 1.1.1.1: bytes=56 Sequence=3 ttl=255 time=6 ms Reply from 1.1.1.1: bytes=56 Sequence=4 ttl=255 time=3 ms Reply from 1.1.1.1: bytes=56 Sequence=5 ttl=255 time=5 ms
--- 1.1.1.1 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 3/5/8 ms <SPINE>ping -a 3.3.3.3 2.2.2.2 PING 2.2.2.2: 56 data bytes, press CTRL_C to break Reply from 2.2.2.2: bytes=56 Sequence=1 ttl=255 time=8 ms Reply from 2.2.2.2: bytes=56 Sequence=2 ttl=255 time=5 ms Reply from 2.2.2.2: bytes=56 Sequence=3 ttl=255 time=4 ms Reply from 2.2.2.2: bytes=56 Sequence=4 ttl=255 time=10 ms Reply from 2.2.2.2: bytes=56 Sequence=5 ttl=255 time=5 ms
--- 2.2.2.2 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 4/6/10 ms |
本步骤同时给出传统接入网络交换机的配置如下:
[ACCESS1]vlan batch 10 20 [ACCESS1]interface GigabitEthernet0/0/2 [ACCESS1-GigabitEthernet0/0/2] port link-type trunk [ACCESS1-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 to 4094 //连接Leaf的Trunk接口允许所有VLAN通过。 [ACCESS1-GigabitEthernet0/0/2]int g0/0/10 [ACCESS1-GigabitEthernet0/0/10]port l a [ACCESS1-GigabitEthernet0/0/10]port default vlan 10 //连接PC1的接口接入到VLAN10 [ACCESS1]interface GigabitEthernet0/0/13 [ACCESS1-GigabitEthernet0/0/13] port link-type access [ACCESS1-GigabitEthernet0/0/13] port default vlan 20 //连接PC2的接口接入到VLAN20 ! [ACCESS2]vlan batch 10 20 [ACCESS2]int g0/0/2 [ACCESS2]port linl-type tr [ACCESS2-GigabitEthernet0/0/2]port tr all vlan all //连接Leaf的Trunk接口允许所有VLAN通过。 [ACCESS2]interface GigabitEthernet0/0/10 [ACCESS2-GigabitEthernet0/0/10] port link-type access [ACCESS2-GigabitEthernet0/0/10] port default vlan 10 //连接PC1的接口接入到VLAN10 |
2)配置VLAN10所在的桥接域,L2层子接口以及NVE,注意本例中所有设备采用常规的桥接域10,2层子接口采用DOT1Q封装单个VLAN ID模式。
Leaf1: bridge-domain 10 vxlan vni 10 //桥接域10和VNI10绑定 interface GE1/0/2.1 mode l2 encapsulation dot1q vid 10 //2层子接口采用允许单个VLAN ID进入的DOT1Q模式 bridge-domain 10 //业务2层子接口和桥接域绑定 interface Nve1 source 1.1.1.1 vni 10 head-end peer-list 2.2.2.2 //注意VNI10头端复制列表中存在2.2.2.2和3.3.3.3,如拓扑图所示,3个CE设备之间建立全互联的VXLAN实施 vni 10 head-end peer-list 3.3.3.3 Leaf2设备配置请参考CE1,如下所示 Leaf2: bridge-domain 10 vxlan vni 10 # interface GE1/0/2.1 mode l2 encapsulation dot1q vid 10 bridge-domain 10 interface Nve1 source 2.2.2.2 vni 10 head-end peer-list 1.1.1.1 //Leaf2和Leaf1以及SPINE设备都建立静态方式的头端复制 vni 10 head-end peer-list 3.3.3.3 SPINE设备上也需要配置桥接域和NVE接口,但它不存在业务接入,故而不需要L2层子接口 SPINE: bridge-domain 10 vxlan vni 10 interface Nve1 source 3.3.3.3 vni 10 head-end peer-list 1.1.1.1 vni 10 head-end peer-list 2.2.2.2 |
此步骤是VXLAN的基础配置,我们来验证VXLAN隧道是否工作:
[SPINE]dis vxlan vni 10 verbose //查看SPINE的VXLAN,它已正常工作 BD ID : 10 //桥接域10 State : up //VNI10已经工作 NVE : 18 Source Address : 3.3.3.3 //源地址为3.3.3.3 Source IPv6 Address : - UDP Port : 4789 BUM Mode : head-end Group Address : - Peer List : 1.1.1.1 2.2.2.2 //头端复制的目的地为1.1.1.1和2.2.2.2 IPv6 Peer List : - 验证Leaf1,其VXLAN已处于工作状态 [Leaf1]display vxlan vni 10 verbose BD ID : 10 State : up NVE : 18 Source Address : 1.1.1.1 Source IPv6 Address : - UDP Port : 4789 BUM Mode : head-end Group Address : - Peer List : 2.2.2.2 3.3.3.3 IPv6 Peer List : - 验证Leaf2已工作: [Leaf2]display vxlan vni 10 verbose BD ID : 10 State : up NVE : 18 Source Address : 2.2.2.2 Source IPv6 Address : - UDP Port : 4789 BUM Mode : head-end Group Address : - Peer List : 1.1.1.1 3.3.3.3 IPv6 Peer List : - |
在VXLAN隧道工作之后配置网关
3)
在SPINE设备上部署VLAN10终端的3层网关
[SPINE]int Vbdif 10 //配置虚拟桥接域3层接口,作为3层网关 [SPINE-Vbdif10]ip address 172.16.1.254 24 |
注意在某些版本ENSP部署本部分时,如果在3个CE设备之间部署全互联的VXLAN,可能导致终端之间无法通信,此时可以尝试暂时去掉Leaf设备之间的头端复制,如下所示:
[Leaf1-Nve1]undo vni 10 head-end peer-list 2.2.2.2 //Leaf1去掉和R2的头端复制命令 [Leaf1-Nve1]dis th # interface Nve1 source 1.1.1.1 vni 10 head-end peer-list 3.3.3.3 ! [Leaf2-Nve1]undo vni 10 head-end peer-list 1.1.1.1 //Leaf1去掉和R1的头端复制命令 [Leaf2-Nve1]dis th interface Nve1 source 2.2.2.2 vni 10 head-end peer-list 3.3.3.3 |
此时PC1、PC2发送数据,结果为它们都可以和其网关数据通信,如下所示:
当然此时由于我们拿掉了Leaf1和Leaf1之间的VNI头端复制功能,故而PC1和PC2之间彼此不通信。
VLAN10下所属终端的3层网关配置完毕。接下来配置VLAN20对应部分。
4)在3个CE设备部署PC3所属VLAN20的VXLAN部分,请参考如下配置
Leaf1: bridge-domain 20 vxlan vni 20 interface Nve1 source 1.1.1.1 vni 20 head-end peer-list 3.3.3.3 //完成和SPINE的头端复制 interface GE1/0/2.20 mode l2 //创建另外一个子接口,并配置封装模式和绑定的桥接域20 encapsulation dot1q vid 20 bridge-domain 20 Leaf2(Leaf2的此部分并不是必须的,仅仅作为参考配置): bridge-domain 20 vxlan vni 20 interface Nve1 source 2.2.2.2 vni 20 head-end peer-list 3.3.3.3 interface GE1/0/2.20 mode l2 encapsulation dot1q vid 20 bridge-domain 20 SPINE: [SPINE]bridge-domain 20 [SPINE-bd20]vxlan vni 20 [SPINE]int Nve 1 [SPINE-Nve1]vni 20 head-end peer-list 1.1.1.1 2.2.2.2 [SPINE]int Vbdif 20 Info: Please disable dynamic ARP learning when the controller is used to deliver ARP entries. [SPINE-Vbdif20]ip address 172.16.2.254 24 ACCESS1的接口配置 interface GigabitEthernet0/0/13 port link-type access port default vlan 20 |
请验证VXLAN隧道,可以看到SPINE到两个Leaf设备的隧道已经建立
[Leaf1]display vxlan tunnel Number of vxlan tunnel : 1 Tunnel ID Source Destination State Type Uptime ----------------------------------------------------------------------------------- 4026531843 1.1.1.1 3.3.3.3 up static 00:19:43 [Leaf1]display vxlan vni //Leaf1的2和VNI都已经工作 Number of vxlan vni : 2 VNI BD-ID State --------------------------------------- 10 10 up 20 20 up [SPINE]dis vxlan tunnel //SPINE到达Leaf1和Leaf的VXLAN隧道已经建立 Number of vxlan tunnel : 2 Tunnel ID Source Destination State Type Uptime ----------------------------------------------------------------------------------- 4026531841 3.3.3.3 1.1.1.1 up static 00:38:28 4026531842 3.3.3.3 2.2.2.2 up static 00:38:26
[SPINE]display vxlan vni Number of vxlan vni : 2 VNI BD-ID State --------------------------------------- 10 10 up 20 20 up
[Leaf2]display vxlan tunnel Number of vxlan tunnel : 1 Tunnel ID Source Destination State Type Uptime ----------------------------------------------------------------------------------- [Leaf2]display vxlan vni Number of vxlan vni : 2 VNI BD-ID State --------------------------------------- 10 10 up 20 20 up |
但是在ENSP上数据通信测试并不理想
通过测试,可以发现PC3可以和自己的网关以PC1、PC2的网关通信。验证如下:
但终端之间即PC1、2、3之间却不可以通信
这是模拟器bug。请确定此实验运行在ENSP如下版本上:
关于此实验,最终的验证效果,可以使得PC发送数据到自身VLAN的网关以及其他终端的网关,之后在集中式网关SPINE上验证ARP即可。该过程如下所示:
完成上述步骤后,查看SPINE设备的ARP表:
[SPINE]dis arp ARP Entry Types: D - Dynamic, S - Static, I - Interface, O - OpenFlow, RD - Redirect EXP: Expire-time VLAN:VLAN or Bridge Domain
IP ADDRESS MAC ADDRESS EXP(M) TYPE/VLAN INTERFACE VPN-INSTANCE ---------------------------------------------------------------------------------------- 172.16.1.254 707b-e886-4101 I Vbdif10 //SPINE自身的IP(1.254)对应的MAC地址 172.16.1.1 5489-9823-5b2d 18 D/BD10 1.1.1.1 //SPINE通过VXLAN隧道从Leaf1处学习到的PC1的MAC地址 172.16.1.2 5489-98b3-675e 19 D/BD10 2.2.2.2 //SPINE通过VXLAN隧道从Leaf2处学习到的PC2的MAC地址 172.16.2.254 707b-e886-4101 I Vbdif20 //SPINE自身的IP(2.254)对应的MAC地址 172.16.2.1 5489-98a3-80bf 20 D/BD20 1.1.1.1 //SPINE通过VXLAN隧道从Leaf1处学习到的PC3的MAC地址 10.1.13.3 384f-2b02-0100 I GE1/0/0 10.1.13.1 384f-2b01-0100 8 D GE1/0/0 10.1.23.3 384f-2b02-0101 I GE1/0/1 10.1.23.2 384f-2b03-0101 9 D GE1/0/1 ---------------------------------------------------------------------------------------- |
由于数据测试存在BUG,故而读者只要看到正确的ARP表项即可。VXLAN集中式网关到此配置完毕。
联系乾颐堂在线客服获取华为HCIA DC免费学习资料 在线客服
乾颐堂提供
思科.华为.Python学习
CCNA|CCNP|CCIE|HCIA|HCIP|HCIE
路由交换|安全|DC数据中心|无线|云计算
乾颐堂客服热线:400-618-8070
乾颐堂官网:www.qytang.com
乾颐堂网络实验室 我们为您想的更多
|
姓名:
Q Q:
电话:
|
400-618-8070
