H3CMSR810[2600][3600]路由器EVPN配置指导(V7)新华三技术有限公司http://www.
h3c.
com资料版本:6W401-20200708产品版本:MSR-CMW710-R0809Copyright2020新华三技术有限公司及其许可者版权所有,保留一切权利.
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播.
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有.
由于产品版本升级或其他原因,本手册内容有可能变更.
H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利.
本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保.
前言本配置指导主要介绍EVPN的配置.
前言部分包含如下内容:读者对象本书约定资料意见反馈读者对象本手册主要适用于如下工程师:网络规划人员现场技术支持与维护人员负责网络配置和维护的网络管理员本书约定1.
命令行格式约定格式意义粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示.
斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示.
[]表示用"[]"括起来的部分在命令配置时是可选的.
{x|y|.
.
.
}表示从多个选项中仅选取一个.
[x|y|.
.
.
]表示从多个选项中选取一个或者不选.
{x|y表示从多个选项中至少选取一个.
[x|y表示从多个选项中选取一个、多个或者不选.
&表示符号&前面的参数可以重复输入1~n次.
#由"#"号开始的行表示为注释行.
2.
图形界面格式约定格式意义带尖括号""表示按钮名,如"单击按钮".
[]带方括号"[]"表示窗口名、菜单名和数据表,如"弹出[新建用户]窗口".
/多级菜单用"/"隔开.
如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项.
3.
各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害.
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏.
为确保设备配置成功或者正常工作而需要特别关注的操作或信息.
对操作内容的描述进行必要的补充和说明.
配置、操作、或使用设备的技巧、小窍门.
4.
图标约定本书使用的图标及其含义如下:该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等.
该图标及其相关描述文字代表一般意义下的路由器,以及其他运行了路由协议的设备.
该图标及其相关描述文字代表二、三层以太网交换机,以及运行了二层协议的设备.
该图标及其相关描述文字代表无线控制器、无线控制器业务板和有线无线一体化交换机的无线控制引擎设备.
该图标及其相关描述文字代表无线接入点设备.
该图标及其相关描述文字代表无线终结单元.
该图标及其相关描述文字代表无线终结者.
该图标及其相关描述文字代表无线Mesh设备.
该图标代表发散的无线射频信号.
该图标代表点到点的无线射频信号.
该图标及其相关描述文字代表防火墙、UTM、多业务安全网关、负载均衡等安全设备.
该图标及其相关描述文字代表防火墙插卡、负载均衡插卡、NetStream插卡、SSLVPN插卡、IPS插卡、ACG插卡等安全插卡.
TTTT5.
示例约定由于设备型号不同、配置不同、版本升级等原因,可能造成本手册中的内容与用户使用的设备显示信息不一致.
实际使用中请以设备显示的内容为准.
本手册中出现的端口编号仅作示例,并不代表设备上实际具有此编号的端口,实际使用中请以设备上存在的端口编号为准.
资料意见反馈如果您在使用过程中发现产品资料的任何问题,可以通过以下方式反馈:E-mail:info@h3c.
com感谢您的反馈,让我们做得更好!
i目录1EVPN概述·1-11.
1EVPN与硬件适配关系1-11.
2EVPN技术优势1-21.
3EVPN网络模型1-31.
4EVPN分层结构1-41.
5MP-BGP的EVPN扩展·1-41.
6自动发现邻居、建立隧道、关联隧道1-51.
7识别报文所属的VXLAN1-51.
7.
1本地站点内接收到数据帧的识别·1-51.
7.
2VXLAN隧道上接收报文的识别·1-61.
8转发二层流量·1-61.
8.
1学习MAC地址1-61.
8.
2转发已知单播流量·1-61.
8.
3转发泛洪流量·1-71.
9EVPN网关转发三层流量·1-81.
9.
1集中式EVPN网关1-81.
9.
2分布式EVPN网关1-91.
10BGPEVPN路由的RD和RouteTarget选择1-131.
11ARP泛洪抑制·1-141.
12MAC地址迁移·1-152配置EVPN·2-12.
1EVPN配置限制和指导2-12.
2EVPN配置任务简介·2-12.
3配置VSI和VXLAN2-12.
3.
1配置限制和指导2-12.
3.
2创建VSI和VXLAN·2-22.
3.
3配置VSI参数·2-22.
4配置EVPN实例2-22.
5配置BGP发布EVPN路由·2-32.
5.
1配置限制和指导2-32.
5.
2开启BGP发布EVPN路由能力·2-32.
5.
3控制BGPEVPN路由的发布2-4ii2.
5.
4维护BGP会话·2-52.
6配置AC与VSI关联·2-52.
6.
1配置三层接口与VSI关联·2-52.
7配置集中式EVPN网关2-52.
8配置分布式EVPN网关2-62.
8.
1配置限制和指导2-62.
8.
2配置准备2-62.
8.
3配置VSI虚接口作为分布式网关接口2-62.
8.
4配置VSI虚接口关联L3VNI·2-82.
8.
5配置发布IP前缀路由·2-102.
9管理远端MAC地址和远端ARP信息学习2-112.
9.
1关闭远端MAC地址和远端ARP自动学习功能2-112.
9.
2配置禁止通告MAC地址信息·2-112.
9.
3配置禁止EVPN从ARP信息中学习MAC地址表项2-122.
10配置允许向本地站点发布BGPEVPN路由·2-122.
11配置VSI泛洪抑制2-132.
12配置ARP泛洪抑制2-132.
13EVPN显示和维护·2-142.
14EVPN典型配置举例·2-152.
14.
1集中式EVPN网关配置举例·2-152.
14.
2分布式EVPN网关配置举例·2-232.
14.
3EVPN公私网互通配置举例2-333EVPN数据中心互联3-13.
1EVPN数据中心互联简介·3-13.
1.
1EVPN数据中心互联典型组网·3-13.
1.
2EVPN数据中心互联工作机制·3-13.
1.
3EVPN数据中心互联支持双ED3-23.
2EVPN数据中心互联配置限制和指导·3-23.
3EVPN数据中心互联配置任务简介3-23.
4EVPN数据中心互联配置准备3-33.
5开启DCI功能·3-33.
6配置ED修改路由的下一跳和RouterMAC·3-33.
7配置VXLAN映射3-43.
8配置EVPN数据中心互联支持双ED·3-53.
9EVPN数据中心互联典型配置举例3-53.
9.
1数据中心二层互联且使用相同VXLAN配置举例·3-5iii3.
9.
2数据中心二层互联且使用不同VXLAN配置举例·3-113.
9.
3数据中心三层互联配置举例3-173.
9.
4数据中心三层互联支持双ED配置举例·3-231-11EVPN概述EVPN(EthernetVirtualPrivateNetwork,以太网虚拟专用网络)是一种二层VPN技术,控制平面采用MP-BGP通告EVPN路由信息,数据平面采用VXLAN封装方式转发报文.
租户的物理站点分散在不同位置时,EVPN可以基于已有的服务提供商或企业IP网络,为同一租户的相同子网提供二层互联;通过EVPN网关为同一租户的不同子网提供三层互联,并为其提供与外部网络的三层互联.
1.
1EVPN与硬件适配关系本特性的支持情况与设备型号有关,请以设备的实际情况为准.
型号说明MSR810、MSR810-W、MSR810-W-DB、MSR810-LM、MSR810-W-LM、MSR810-10-PoE、MSR810-LM-HK、MSR810-W-LM-HK、MSR810-LM-CNDE-SJK、MSR810-CNDE-SJK支持MSR810-LMS、MSR810-LUS不支持MSR810-LMS-EA、MSR810-LME支持MSR2600-6-X1、MSR2600-10-X1支持MSR2630支持MSR3600-28、MSR3600-51支持MSR3600-28-SI、MSR3600-51-SI不支持MSR3600-28-X1、MSR3600-28-X1-DP、MSR3600-51-X1、MSR3600-51-X1-DP支持MSR3610-I-DP、MSR3610-IE-DP、MSR3610-IE-ES、MSR3610-IE-EAD支持MSR3610-X1、MSR3610-X1-DP、MSR3610-X1-DC、MSR3610-X1-DP-DC支持MSR3610、MSR3620、MSR3620-DP、MSR3640、MSR3660支持MSR3610-G、MSR3620-G支持型号描述MSR810-W-WiNet、MSR810-LM-WiNet支持MSR830-4LM-WiNet支持MSR830-5BEI-WiNet、MSR830-6EI-WiNet、MSR830-10BEI-WiNet支持MSR830-6BHI-WiNet、MSR830-10BHI-WiNet支持MSR2600-6-WiNet、MSR2600-10-X1-WiNet支持1-2型号描述MSR2630-WiNet支持MSR3600-28-WiNet支持MSR3610-X1-WiNet支持MSR3610-WiNet、MSR3620-10-WiNet、MSR3620-DP-WiNet、MSR3620-WiNet、MSR3660-WiNet支持型号说明MSR2630-XS支持MSR3600-28-XS支持MSR3610-XS支持MSR3620-XS支持MSR3610-I-XS支持MSR3610-IE-XS支持型号说明MSR810-LM-GL支持MSR810-W-LM-GL支持MSR830-6EI-GL支持MSR830-10EI-GL支持MSR830-6HI-GL支持MSR830-10HI-GL支持MSR2600-6-X1-GL支持MSR3600-28-SI-GL不支持1.
2EVPN技术优势EVPN不仅继承了MP-BGP和VXLAN的优势,还提供了新的功能.
EVPN具有如下特点:简化配置:通过MP-BGP实现VTEP自动发现、VXLAN隧道自动建立、VXLAN隧道与VXLAN自动关联,无需用户手工配置,降低网络部署难度.
分离控制平面与数据平面:控制平面负责发布路由信息,数据平面负责转发报文,分工明确,易于管理.
支持对称IRB(IntegratedRoutingandBridging,集成的路由和桥接):MP-BGP同时发布二层MAC地址和三层路由信息,VTEP既可以进行二层转发,也可以进行三层路由.
这样,不仅可以保证流量采用最优路径转发,还可以减少广播流量.
1-31.
3EVPN网络模型图1-1EVPN网络模型示意图如图1-1所示,EVPN的典型网络模型中包括如下几部分:用户终端(Terminal):可以是PC机、无线终端设备、服务器上创建的VM(VirtualMachine,虚拟机)等.
不同的用户终端可以属于不同的VXLAN.
属于相同VXLAN的用户终端处于同一个逻辑二层网络,彼此之间二层互通;属于不同VXLAN的用户终端之间二层隔离.
本文档中如无特殊说明,均以VM为例介绍EVPN工作机制.
采用其他类型用户终端时,EVPN工作机制与VM相同,不再赘述.
VTEP(VXLANTunnelEndPoint,VXLAN隧道端点):EVPN的边缘设备.
EVPN的相关处理都在VTEP上进行.
VXLAN隧道:两个VTEP之间的点到点逻辑隧道.
VTEP为数据帧封装VXLAN头、UDP头和IP头后,通过VXLAN隧道将封装后的报文转发给远端VTEP,远端VTEP对其进行解封装.
核心设备:IP核心网络中的设备(如图1-1中的P设备).
核心设备不参与EVPN处理,仅需要根据封装后报文的外层目的IP地址对报文进行三层转发.
VXLAN网络/EVPN实例:用户网络可能包括分布在不同地理位置的多个站点内的用户终端.
在骨干网上可以利用VXLAN隧道将这些站点连接起来,为用户提供一个逻辑的二层VPN.
这个二层VPN称为一个VXLAN网络,也称为EVPN实例.
VXLAN网络通过VXLANID来标识,VXLANID又称VNI(VXLANNetworkIdentifier,VXLAN网络标识符),其长度为24比特.
不同VXLAN网络中的用户终端不能二层互通.
VSI(VirtualSwitchInstance,虚拟交换实例):VTEP上为一个VXLAN提供二层交换服务的虚拟交换实例.
VSI可以看作是VTEP上的一台基于VXLAN进行二层转发的虚拟交换机.
VSI与VXLAN一一对应.
VXLANtunnelVTEPTerminalTerminalTerminalVSI/VXLAN10VSI/VXLAN20VSI/VXLAN30TerminalTerminalTerminalVSI/VXLAN10VSI/VXLAN20VSI/VXLAN30IP核心网络PESESVTEPSite1Site21-4ES(EthernetSegment,以太网段):用户站点连接到VTEP的链路,通过ESI(EthernetSegmentIdentifier,以太网段标识符)唯一标识.
目前,一个用户站点只能通过一条链路连接一台VTEP,该ES的ESI为0.
1.
4EVPN分层结构如图1-2所示,EVPN通常采用Spine(核心)—Leaf(分支)的分层结构.
Leaf层的设备作为VTEP对报文进行EVPN相关处理;Spine层为核心设备,根据报文的目的IP地址转发报文.
EVPN网络中的设备属于同一个AS(AutonomousSystem,自治系统)时,为了避免在所有VTEP之间建立IBGP对等体,可以将核心设备配置为RR(RouteReflector,路由反射器).
此时,RR需要发布、接收EVPN路由,但不需要封装、解封装VXLAN报文.
图1-2EVPN典型组网1.
5MP-BGP的EVPN扩展为了支持EVPN,MP-BGP在L2VPN地址族下定义了新的子地址族——EVPN地址族,并新增了如下EVPNNLRI(NetworkLayerReachabilityInformation,网络层可达性信息),即EVPN路由:EthernetAuto-discoveryRoute:以太网自动发现路由,用来在站点多归属组网中通告ES信息.
MAC/IPAdvertisementRoute:MAC/IP发布路由,用来通告MAC地址和主机路由信息(即ARP信息).
InclusiveMulticastEthernetTagRoute:包含性组播以太网标签路由,又称为IMET路由,用来通告VTEP及其所属VXLAN信息,以实现自动发现VTEP、自动建立VXLAN隧道和自动关联VXLAN与VXLAN隧道.
EthernetSegmentRoute:以太网段路由,用来通告ES及其连接的VTEP信息.
IPPrefixadvertisementroute:IP前缀路由,用来以IP前缀的形式通告BGPIPv4单播路由.
目前,设备不支持生成以太网自动发现路由和以太网段路由.
VTEPServerServerSite1Site2IP核心网络VTEPRRRRLeafSpine1-5EVPN路由中包含RD(RouteDistinguisher,路由标识符)字段,用来区分不同VXLAN的EVPN路由,以免EVPN路由冲突.
VTEP在发布EVPN路由时,会携带VPNTarget扩展团体属性(也称为RouteTarget).
VPNtarget属性定义了本地发送的EVPN路由可以为哪些VTEP所接收,VTEP可以接收哪些远端VTEP发送来的EVPN路由.
MP-BGP通过VPNTarget属性来控制EVPN路由信息的发布与接收.
VPNtarget属性分为以下两种,每一种都可以包括多个属性值:Exporttarget属性:本地VTEP在通过BGP的Update消息将EVPN路由发送给远端VTEP时,将Update消息中携带的VPNtarget属性设置为Exporttarget.
Importtarget属性:VTEP收到其它VTEP发布的Update消息时,将消息中携带的VPNtarget属性与本地配置的Importtarget属性进行比较,只有二者中存在相同的属性值时,才会接收该消息中的EVPN路由.
1.
6自动发现邻居、建立隧道、关联隧道VTEP可以通过以下方式自动发现邻居、建立隧道并关联隧道:IMET路由方式:VTEP通过IMET路由通告自己的VXLAN信息.
这样,每个VTEP设备都能获取到网络中所有的VTEP及其所属VXLAN信息.
如果本地VTEP和远端VTEP属于同一个VXLAN,则自动在二者之间建立VXLAN隧道,并将该隧道与该VXLAN关联.
MAC/IP发布路由和IP前缀路由方式:在EVPN的三层转发组网中,当本地VTEP接收到远端VTEP通告的MAC/IP发布路由或IP前缀路由,且该路由携带的Exporttarget属性与本地某个VPN实例的Importtarget属性匹配时,本地VTEP会与远端VTEP建立VXLAN隧道,并将该VXLAN隧道与VPN实例对应的L3VNI(Layer3VNI,三层VXLANID)关联.
L3VNI的详细介绍,请参见"1.
9.
2分布式EVPN网关".
1.
7识别报文所属的VXLANEVPN的MAC地址/ARP表项学习、流量转发均基于报文所属的VXLAN进行,因此,VTEP接收到报文需要识别报文所属的VXLAN.
1.
7.
1本地站点内接收到数据帧的识别VTEP将连接本地站点的三层接口与VSI关联.
VTEP从三层接口或以太网服务实例接收到数据帧后,查找与其关联的VSI,VSI内创建的VXLAN即为该数据帧所属的VXLAN.
在VXLAN中,与VSI关联的三层接口称为AC(AttachmentCircuit,接入电路).
如图1-3所示,VM1属于VLAN2,在VTEP上配置以太网服务实例1匹配VLAN2的报文,将以太网服务实例1与VSIA绑定,并在VSIA内创建VXLAN10,则VTEP接收到VM1发送的数据帧后,可以判定该数据帧属于VXLAN10.
1-6图1-3数据帧所属VXLAN识别1.
7.
2VXLAN隧道上接收报文的识别对于从VXLAN隧道上接收到的VXLAN报文,VTEP根据报文中携带的VXLANID判断该报文所属的VXLAN.
1.
8转发二层流量1.
8.
1学习MAC地址VTEP根据学习到的MAC地址表项转发二层单播流量.
VTEP上MAC地址学习分为两部分:本地MAC地址学习:学习本地站点内虚拟机的MAC地址.
VTEP接收到本地虚拟机发送的数据帧后,判断该数据帧所属的VSI,并将数据帧中的源MAC地址(本地虚拟机的MAC地址)添加到该VSI的MAC地址表中,该MAC地址对应的接口为接收到数据帧的接口.
远端MAC地址学习:学习远端站点内虚拟机的MAC地址.
VTEP通过MP-BGP协议将本地学习的MAC地址及其所属的VXLAN通告给远端VTEP.
远端VTEP接收到该信息后,将其添加到所属VXLAN对应VSI的MAC地址表中,该MAC地址对应的接口为两个VTEP之间的VXLAN隧道接口(Tunnel接口).
1.
8.
2转发已知单播流量VTEP接收到二层数据帧后,判断其所属的VSI,根据目的MAC地址查找该VSI的MAC地址表,通过表项的出接口转发该数据帧.
如图1-4所示,如果出接口为本地接口,则VTEP直接通过该接口转发数据帧;如图1-5所示,如果出接口为Tunnel接口,则VTEP根据Tunnel接口为数据帧添加VXLAN封装后,通过VXLAN隧道将其转发给远端VTEP.
ServerServiceinstance1:VLAN2VSIAVXLAN10VLAN2VM1VM2VM3Serviceinstance2:VLAN3Serviceinstance3:VLAN4VLAN3VLAN4VSIBVXLAN20VSICVXLAN30VTEP1-7图1-4站点内单播流量转发图1-5站点间单播流量转发1.
8.
3转发泛洪流量泛洪流量包括组播、广播和未知单播流量,该流量通过单播路由方式(头端复制)转发.
VTEP负责复制报文,采用单播方式将复制后的报文通过本地接口发送给本地站点,并通过VXLAN隧道发送给VXLAN内的所有远端VTEP.
VXLANtunnelVTEP1VTEP2IP核心网络PServer1VM1VM2VM3Server3VM7VM8VM9MACTableonVTEP1VXLAN/VSIMACInterfaceVXLAN10/VSIAMAC1InterfaceA,VLAN2VXLAN10/VSIAMAC4InterfaceB,VLAN3Server2VM4VM5VM6InterfaceAInterfaceBVTEP1VTEP2IP核心网络PServer1VM1VM2VM3Server3VM7VM8VM9MACTableonVTEP1VXLAN/VSIMACInterfaceVXLAN10/VSIAMAC1InterfaceA,VLAN2VXLAN10/VSIAMAC7Tunnel1Server2VM4VM5VM6InterfaceAInterfaceBMACTableonVTEP2VXLAN/VSIMACInterfaceVXLAN10/VSIAMAC1Tunnel1VXLAN10/VSIAMAC7InterfaceA,VLAN3InterfaceAVXLANtunnel11-8图1-6泛洪流量转发示意图如图1-6所示,泛洪流量转发过程为:(1)VTEP1接收到本地虚拟机发送的组播、广播和未知单播数据帧后,判断数据帧所属的VXLAN,通过该VXLAN内除接收接口外的所有本地接口和VXLAN隧道转发该数据帧.
通过VXLAN隧道转发数据帧时,需要为其封装VXLAN头、UDP头和IP头,以便将泛洪流量封装在多个单播报文中,发送到VXLAN内的所有远端VTEP.
(2)远端VTEP(VTEP2和VTEP3)接收到VXLAN报文后,解封装报文,将原始的数据帧在本地站点的指定VXLAN内泛洪.
为了避免环路,远端VTEP从VXLAN隧道上接收到报文后,不会再将其泛洪到其他的VXLAN隧道.
1.
9EVPN网关转发三层流量EVPN网关用来为用户站点内的虚拟机提供三层转发业务.
EVPN网关分为:集中式EVPN网关:配置简单,但不同VXLAN之间的流量以及VXLAN访问外界网络的流量全部由集中式EVPN网关处理,网关压力较大.
分布式EVPN网关:配置比较复杂,但每台VTEP设备都可以作为EVPN网关,对本地站点的流量进行三层转发,缓解了网关的压力.
1.
9.
1集中式EVPN网关集中式EVPN网关进行二层VXLAN业务终结的同时,还对内层封装的IP报文进行三层转发处理.
如图1-7所示,集中式EVPN网关上需要配置VSI虚接口,该接口的IP地址作为VXLAN内虚拟机的网关IP地址.
VTEP1VTEP2IP核心网络PServer1VM1VM2VM3Server3VM7VM8VM9Server2VM4VM5VM6VXLANtunnelVXLANtunnelVTEP3VXLANtunnelServer4VM10VM11VM12复制和封装1-9图1-7集中式EVPN网关的三层通信过程集中式EVPN网关组网中,虚拟机访问其他子网的过程为:(1)虚拟机获取网关的MAC地址(网关IP对应的MAC地址),并将报文发送给集中式EVPN网关.
(2)VTEP接收到报文后,根据目的MAC地址在VSI的MAC地址表中查找匹配的表项,将报文通过VXLAN隧道发送给集中式EVPN网关.
(3)网关解除VXLAN封装后,对内层封装的IP报文进行三层转发,将其发送给最终的目的节点.
(4)目的节点返回的报文到达网关后,网关根据已经学习到的虚拟机ARP表项,将报文转发给虚拟机.
1.
9.
2分布式EVPN网关1.
简介如图1-8所示,在分布式EVPN网关组网中,每台VTEP设备都作为EVPN网关,对本地站点的流量进行三层转发,缓解了网关的压力.
VXLANtunnelVTEP1VTEP2ServerServerSite1Site2VMVMVMVSI/VXLAN10VSI/VXLAN20VSI/VXLAN30VMVMVMVSI/VXLAN10VSI/VXLAN20VSI/VXLAN30IP核心网络P10.
1.
1.
1120.
1.
1.
1130.
1.
1.
1110.
1.
1.
1220.
1.
1.
1230.
1.
1.
12VXLANtunnelVXLANtunnelVTEP3/集中式EVPN网关VSI/VXLAN10VSI/VXLAN20VSI/VXLAN30VSI-interface1010.
1.
1.
1/24VSI-interface2020.
1.
1.
1/24VSI-interface3030.
1.
1.
1/24L3network1-10图1-8分布式EVPN网关示意图2.
对称IRB转发方式分布式EVPN网关采用对称IRB方式转发流量,即连接报文源和目的节点的网关(入口网关和出口网关)上都需要进行二层和三层转发.
对称IRB方式引入了如下概念:L3VNI(Layer3VNI,三层VXLANID):在网关之间通过VXLAN隧道转发流量时,属于同一路由域、能够进行三层互通的流量通过L3VNI来标识.
L3VNI唯一关联一个VPN实例,通过VPN实例确保不同业务之间的隔离.
网关的RouterMAC地址:每个分布式EVPN网关拥有一个唯一的RouterMAC地址,用于在网关之间通过VXLAN隧道转发流量.
报文在网关之间转发时,报文的内层MAC地址为出口网关的RouterMAC地址.
3.
分布式EVPN网关部署要求如图1-9所示,在分布式EVPN网关组网中,所有的分布式EVPN网关(GW)上都存在以下类型的VSI虚接口:作为分布式网关接口的VSI虚接口.
该接口需要与VSI、VPN实例关联.
不同GW上相同VSI虚接口的IP地址必须相同,该IP地址作为VXLAN内虚拟机的网关地址.
承载L3VNI的VSI虚接口.
该接口需要与VPN实例关联,并需要指定L3VNI.
关联相同VPN实例的VSI虚接口共用该L3VNI.
边界网关(Border)上也需要存在承载L3VNI的VSI虚接口.
VXLANtunnelVXLANtunnelVTEPServerSite1L3networkVXLANtunnelVXLANtunnelServerSite2ServerSite3ServerSite4ServerSite5ServerSite6VTEP/分布式EVPN网关(GW)连接外网的边界网关(Border)VTEP/分布式EVPN网关(GW)VTEP/分布式EVPN网关(GW)1-11图1-9分布式EVPN网关部署示意图4.
三层转发表项学习三层流量通过查找FIB表项进行转发.
FIB表项通过路由信息或ARP信息生成.
在EVPN地址族下引入外部路由后,VTEP通过MP-BGP将该路由及其所属的L3VNI发布给远端VTEP,远端VTEP学习该路由,并将其添加到L3VNI对应VPN实例的FIB表项中,表项的出接口为两个VTEP之间的VXLAN隧道接口(Tunnel接口)、下一跳为路由的NEXT_HOP属性携带的地址(即对端VTEP的地址).
VTEP上ARP信息学习分为两部分:本地学习:学习本地站点内虚拟机的ARP信息.
VTEP通过本地虚拟机发送的GARP、RARP和对网关的ARP请求学习本地虚拟机的ARP信息,并添加ARP表项和FIB表项.
VTEP判断GARP、RARP、ARP请求所属的VSI,查找与该VSI关联的VSI虚接口.
ARP表项和FIB表项的出接口为接收到报文的接口,该表项所属的VPN实例为VSI虚接口关联的VPN实例.
远端学习:学习远端站点内虚拟机的ARP信息.
VTEP通过MP-BGP协议将本地的ARP信息及其所属的L3VNI通告给远端VTEP.
远端VTEP学习该信息,但不会添加ARP表项,而是由路由管理模块添加FIB表项.
该FIB表项的出接口为与L3VNI关联的VSI虚接口、下一跳为路由的NEXT_HOP属性携带的地址(即对端VTEP的地址),该表项所属的VPN实例为L3VNI对应的VPN实例.
远端VTEP查找下一跳对应的ARP信息,并添加对应的ARP表项.
5.
流量转发过程分布式网关对流量的转发方式分为两种:VXLANtunnelGW1GW2ServerServerSite1Site2VM1VM2VSI/VXLAN10VSI/VXLAN20VM4VM5VSI/VXLAN10VSI/VXLAN20P10.
1.
1.
1120.
1.
1.
1110.
1.
1.
1220.
1.
1.
12VXLANtunnelVXLANtunnelBorderL3networkVSI-interface1010.
1.
1.
1/24VPNinstance:vpnaVSI-interface2020.
1.
1.
1/24VPNinstance:vpnaVSI-interface1VPNinstance:vpnaL3VNI:1000VSI-interface1VPNinstance:vpnaL3VNI:10001-12区分二三层转发方式:对于二层流量,查找MAC地址表进行转发;对于三层流量,查找FIB表进行转发.
在该方式下,建议在分布式网关上开启ARP泛洪抑制功能,以减少泛洪流量.
全三层转发方式:对于二层和三层流量,均查找FIB表进行转发.
在该方式下,需要在分布式网关上开启本地代理ARP功能.
查找MAC地址表转发二层流量的过程,请参见"1.
8.
2转发已知单播流量";相同站点间三层流量的转发过程如图1-10所示;不同站点间三层流量转发过程如图1-11所示.
图1-10相同站点间三层流量转发过程图1-11不同站点间三层流量转发过程以IPv4网络为例,查找FIB表转发流量的过程为:(1)虚拟机访问相同子网、不同子网内的其他虚拟机时,发送ARP请求获取ARP信息.
(2)GW接收到ARP请求后,判断ARP请求所属VSI,采用与该VSI关联的VSI虚接口MAC地址对其进行应答.
(3)虚拟机将报文发送给GW.
GW1DATAServer1VM1IP1MAC1Server2VM2IP2MAC2GWIPGWMAC(与GWIP对应的MAC地址)SIP:IP1DIP:IP2SMAC:MAC1DMAC:GWMACDATASIP:IP1DIP:IP2SMAC:GWMACDMAC:MAC2GW1PGW2DATAIP核心网络Server1VM1IP1MAC1Server2VM2IP2MAC2GWIPGWMAC(与GWIP对应的MAC地址)GWMAC1(GW1的RouterMAC)VTEPIP1L3VNI100GWIPGWMAC(与GWIP对应的MAC地址)GWMAC2(GW2的RouterMAC)VTEPIP2L3VNI100SIP:IP1DIP:IP2SMAC:MAC1DMAC:GWMACDATASIP:IP1DIP:IP2SMAC:GWMAC1DMAC:GWMAC2VNI:100SIP:VTEPIP1DIP:VTEPIP2DATASIP:IP1DIP:IP2SMAC:GWMACDMAC:MAC21-13(4)GW判断报文所属VSI,并查找与该VSI关联的VSI虚接口,在与VSI虚接口关联的VPN实例内查找FIB表项,并根据匹配的FIB表项转发报文:如果FIB表项的出接口为本地接口,则GW将目的MAC替换为目的虚拟机的MAC地址、源MAC替换为VSI虚接口的MAC,并通过本地接口转发给目的虚拟机.
如果FIB表项的出接口为VSI虚接口,则GW将目的MAC替换为目的GW的RouterMAC地址、源MAC替换为自己的RouterMAC,报文添加VXLAN封装后将其转发给目的GW.
其中,为报文封装的VXLANID为与VPN实例关联的L3VNI.
(5)目的GW接收到报文后,根据L3VNI判断报文所属的VPN实例,解除VXLAN封装后,在该VPN实例内查找ARP表项转发该报文.
6.
转发公网三层流量及公私网互通分布式EVPN网关基于VPN实例转发三层流量,不能转发公网的三层流量.
将传统网络升级为EVPN网络时,用户可能希望在保持原有公私网部署不变的前提下,实现公私网流量通过分布式EVPN网关转发,并实现公私网的互通.
此时,需要在分布式EVPN网关上配置公网实例.
公网实例可以看作是特殊的VPN实例,分布式EVPN网关对公网实例的处理与VPN实例完全相同:公网实例也包括RD、RouteTarget属性和L3VNI.
如果VSI虚接口没有绑定任何VPN实例,则该VSI虚接口属于公网实例.
合理地规划公网实例、VPN实例的VPNtarget属性,可以实现公私网的互通.
1.
10BGPEVPN路由的RD和RouteTarget选择如表1-1所示,BGPEVPN路由的RD和RouteTarget可以在多个视图下配置.
表1-1RD和RouteTarget的配置视图对象配置视图RDVSI实例下的EVPN实例视图VPN实例视图公网实例视图RouteTargetVSI实例下的EVPN实例视图VPN实例视图VPN实例IPv4地址族视图VPN实例EVPN视图公网实例IPv4地址族视图公网实例EVPN视图其中,VPN实例视图下的配置可以用于IPv4VPN和EVPN;VPN实例IPv4地址族视图下的配置仅用于IPv4VPN;VPN实例EVPN视图下的配置仅用于EVPN.
VPN实例IPv4地址族视图和VPN实例EVPN视图下配置的优先级高于VPN实例视图下的配置设备在发布和接收BGPEVPN路由时,按照如下规则选择RD和RouteTarget:1-14发布IMET路由和仅包含MAC地址信息的MAC/IP发布路由时,携带EVPN实例视图下配置的RD和ExportTarget;接收该类路由时,将路由中的RouteTarget属性与本地EVPN实例视图下配置的ImportTarget进行比较.
发布包含ARP信息的MAC/IP发布路由时,携带EVPN实例视图下配置的RD,并同时携带EVPN实例视图下配置的ExportTarget和VPN实例/公网实例下为EVPN配置(VPN实例视图、VPN实例EVPN视图、公网实例EVPN视图下配置)的ExportTarget;接收该类路由时,将路由中的RouteTarget属性与本地VPN实例/公网实例下为EVPN配置的ImportTarget进行比较.
发布IP前缀路由时,携带VPN实例/公网实例下为IPv4VPN配置的ExportTarget;接收该类路由时,将路由中的RouteTarget属性与本地VPN实例/公网实例下为IPv4VPN配置的ImportTarget进行比较.
1.
11ARP泛洪抑制为了避免广播发送的ARP请求报文占用核心网络带宽,VTEP会根据接收到的ARP请求和ARP应答报文、BGPEVPN路由在本地建立ARP泛洪抑制表项.
后续当VTEP收到本站点内虚拟机请求其它虚拟机MAC地址的ARP请求时,优先根据ARP泛洪抑制表项进行代答.
如果没有对应的表项,则通过VXLAN隧道将ARP请求泛洪到其他站点.
ARP泛洪抑制功能可以大大减少ARP泛洪的次数.
图1-12ARP泛洪抑制示意图如图1-12所示,ARP泛洪抑制的处理过程如下:(1)虚拟机VM1发送ARP请求,获取VM7的MAC地址.
(1)VTEP1VTEP2IP核心网络PServer1VM1VM2VM3Server3VM7VM8VM9Server2VM4VM5VM6VXLANtunnelVXLANtunnelVTEP3VXLANtunnelServer4VM10VM11VM12(2)(2)(3)(3)(4)(5)(6)(7)(8)(9)(10)(2)1-15(2)VTEP1根据接收到的ARP请求,建立VM1的ARP泛洪抑制表项,在VXLAN内泛洪该ARP请求(图1-12以单播路由泛洪方式为例).
VTEP1还会通过BGPEVPN将该表项同步给VTEP2和VTEP3.
(3)远端VTEP(VTEP2和VTEP3)解封装VXLAN报文,获取原始的ARP请求报文后,在本地站点的指定VXLAN内泛洪该ARP请求.
(4)VM7接收到ARP请求后,回复ARP应答报文.
(5)VTEP2接收到ARP应答后,建立VM7的ARP泛洪抑制表项,通过VXLAN隧道将ARP应答发送给VTEP1.
VTEP2通过BGPEVPN将该表项同步给VTEP1和VTEP3.
(6)VTEP1解封装VXLAN报文,获取原始的ARP应答,将ARP应答报文发送给VM1.
(7)在VTEP1上建立ARP泛洪抑制表项后,虚拟机VM4发送ARP请求,获取VM1的MAC地址.
(8)VTEP1接收到ARP请求后,建立VM4的ARP泛洪抑制表项,并查找本地ARP泛洪抑制表项,根据已有的表项回复ARP应答报文,不会对ARP请求进行泛洪.
(9)虚拟机VM10发送ARP请求,获取VM1的MAC地址.
(10)VTEP3接收到ARP请求后,建立VM10的ARP泛洪抑制表项,并查找ARP泛洪抑制表项,根据已有的表项(VTEP1通过BGPEVPN同步)回复ARP应答报文,不会对ARP请求进行泛洪.
1.
12MAC地址迁移MAC地址迁移是指虚拟机或主机从一个ES迁移到另一个ES.
原ES连接的VTEP无法感知MAC地址已经迁移到其他ES段.
新迁移到的ES所在VTEP需要重新通告该MAC/IP路由.
原VTEP在收到此路由后,撤销之前通告的路由.
MAC地址每次迁移,迁移序列号依次递增,以便在MAC地址多次迁移时,通过序列号来标识最近一次迁移.
2-12配置EVPN2.
1EVPN配置限制和指导VXLAN隧道既可以通过EVPN自动创建,也可以手工创建.
隧道目的地址相同的EVPN自动创建隧道和手工创建隧道不能关联同一个VXLAN.
手工创建VXLAN隧道的详细介绍,请参见"VXLAN配置指导"中的"配置VXLAN".
建议在同一个EVPN网关上为所有的VSI虚接口配置相同的MAC地址,以免流量转发不通.
2.
2EVPN配置任务简介EVPN配置任务如下:(1)配置VSI和VXLANa.
创建VSI和VXLANb.
(可选)配置VSI参数(2)配置EVPN实例(3)配置BGP发布EVPN路由a.
开启BGP发布EVPN路由能力b.
(可选)控制BGPEVPN路由的发布c.
(可选)维护BGP会话(4)配置AC与VSI关联(5)配置EVPN网关转发三层流量时,请选择以下一项任务进行配置:配置集中式EVPN网关配置分布式EVPN网关(6)(可选)管理远端MAC地址和远端关闭远端MAC地址和远端配置禁止通告MAC地址信息配置禁止EVPN从ARP信息中学习MAC地址表项(7)(可选)配置允许向本地站点发布BGPEVPN路由(8)(可选)配置泛洪抑制配置VSI泛洪抑制配置ARP泛洪抑制2.
3配置VSI和VXLAN2.
3.
1配置限制和指导本配置中各命令的详细介绍,请参见"VXLAN命令参考"中的"VXLAN".
2-22.
3.
2创建VSI和VXLAN(1)进入系统视图.
system-view(2)开启L2VPN功能.
l2vpnenable缺省情况下,L2VPN功能处于关闭状态.
(3)创建VSI,并进入VSI视图.
vsivsi-name(4)开启VSI.
undoshutdown缺省情况下,VSI处于开启状态.
(5)创建VXLAN,并进入VXLAN视图.
vxlanvxlan-id在一个VSI下只能创建一个VXLAN.
不同VSI下创建的VXLAN,其VXLANID不能相同.
2.
3.
3配置VSI参数(1)进入系统视图.
system-view(2)进入VSI视图.
vsivsi-name(3)配置VSI的描述信息.
descriptiontext缺省情况下,未配置VSI的描述信息.
(4)配置VSI的MTU值.
mtumtu缺省情况下,VSI的MTU值为1500字节.
(5)开启VSI的MAC地址学习功能.
mac-learningenable缺省情况下,VSI的MAC地址学习功能处于开启状态.
2.
4配置EVPN实例1.
功能简介用于二层交换的VXLAN网络无需关联VPN实例.
VTEP在发布该VXLAN内路由时,携带VXLAN对应EVPN实例下配置的RD和RT.
2.
配置步骤(1)进入系统视图.
2-3system-view(2)进入VSI视图.
vsivsi-name(3)创建EVPN实例,并进入EVPN实例视图.
evpnencapsulationvxlan(4)配置EVPN实例的RD.
route-distinguisher{route-distinguisher|auto}缺省情况下,未指定EVPN实例的RD.
(5)配置EVPN实例的RouteTarget属性.
vpn-target{vpn-target&|auto}[both|export-extcommunity|import-extcommunity]缺省情况下,未指定EVPN实例的RouteTarget属性.
建议为EVPN实例配置的Importtarget不要与VPN实例、公网实例的Exporttarget匹配,反之亦然.
VPN实例、公网实例的配置,请参见"2.
8.
4配置VSI虚接口关联L3VNI".
2.
5配置BGP发布EVPN路由2.
5.
1配置限制和指导BGP相关命令的详细介绍,请参见"三层技术-IP路由命令参考"中的"BGP".
2.
5.
2开启BGP发布EVPN路由能力(1)进入系统视图.
system-view(2)配置全局RouterID.
routeridrouter-id缺省情况下,未配置全局RouterID.
(3)启动BGP实例,并进入BGP实例视图.
bgpas-number[instanceinstance-name]缺省情况下,系统没有运行BGP.
(4)将远端VTEP配置为对等体.
peer{group-name|ipv4-address[mask-length]}as-numberas-number(5)创建BGPEVPN地址族,并进入BGPEVPN地址族视图.
address-familyl2vpnevpn(6)使能本地路由器与指定对等体/对等体组交换BGPEVPN路由的能力.
peer{group-name|ipv4-address[mask-length]}enable缺省情况下,本地路由器不能与对等体/对等体组交换BGPEVPN路由.
2-42.
5.
3控制BGPEVPN路由的发布(1)进入系统视图.
system-view(2)进入BGP实例视图.
bgpas-number[instanceinstance-name](3)进入BGPEVPN地址族视图.
address-familyl2vpnevpn(4)配置对于从对等体/对等体组接收的BGP消息,允许本地AS号在该消息的AS_PATH属性中出现,并配置允许出现的次数.
peer{group-name|ipv4-address[mask-length]}allow-as-loop[number]缺省情况下,不允许本地AS号在接收消息的AS_PATH属性中出现.
(5)开启BGPEVPN路由的VPN-Target过滤功能.
policyvpn-target缺省情况下,BGPEVPN路由的VPN-Target过滤功能处于开启状态.
(6)配置BGP路由反射.
a.
配置本机作为路由反射器,对等体/对等体组作为路由反射器的客户机.
peer{group-name|ipv4-address[mask-length]}reflect-client缺省情况下,没有配置路由反射器及其客户机.
b.
(可选)允许路由反射器在客户机之间反射EVPN路由.
reflectbetween-clients缺省情况下,允许路由反射器在客户机之间反射EVPN路由.
c.
(可选)配置路由反射器的集群ID.
reflectorcluster-id{cluster-id|ipv4-address}缺省情况下,每个路由反射器都使用自己的RouterID作为集群ID.
d.
(可选)配置路由反射器对反射的EVPN路由进行过滤.
rr-filterext-comm-list-number缺省情况下,路由反射器不会对反射的EVPN路由进行过滤.
(7)配置向EBGP对等体/对等体组发布路由时不改变下一跳.
peer{group-name|ipv4-address[mask-length]}next-hop-invariable缺省情况下,向EBGP对等体/对等体组发布路由时会将下一跳改为自己的地址.
(8)对来自对等体/对等体组的路由或发布给对等体/对等体组的路由应用路由策略.
peer{group-name|ipv4-address[mask-length]}route-policyroute-policy-name{export|import}缺省情况下,没有为对等体/对等体组指定路由策略.
(9)配置向对等体/对等体组发布团体属性.
peer{group-name|ipv4-address[mask-length]}advertise-community缺省情况下,不向对等体/对等体组发布团体属性.
2-52.
5.
4维护BGP会话请在用户视图下执行如下命令,复位或软复位BGP会话.
复位EVPN地址族下的BGP会话.
resetbgp[instanceinstance-name]{as-number|ipv4-address[mask-length]|all|external|groupgroup-name|internal}l2vpnevpn手工对EVPN地址族下的BGP会话进行软复位.
refreshbgp[instanceinstance-name]{ipv4-address[mask-length]|all|external|groupgroup-name|internal}{export|import}l2vpnevpn2.
6配置AC与VSI关联2.
6.
1配置三层接口与VSI关联1.
功能简介将三层接口与VSI关联后,从该接口接收到的报文,将通过查找关联VSI的MAC地址表进行转发.
本配置中各命令的详细介绍,请参见"VXLAN命令参考"中的"VXLAN".
2.
配置步骤(1)进入系统视图.
system-view(2)进入三层接口视图.
interfaceinterface-typeinterface-number(3)将三层接口与VSI关联.
xconnectvsivsi-name[access-mode{ethernet|vlan}][tracktrack-entry-number&]缺省情况下,三层接口未关联VSI.
关联VSI的AC为三层子接口时,可以指定access-mode参数,接入模式缺省为VLAN;当AC为三层接口时,不可以指定access-mode参数.
2.
7配置集中式EVPN网关1.
配置限制和指导在集中式EVPN网关组网中,VTEP上需要开启ARP泛洪抑制功能.
EVPN组网中通常关闭远端ARP自动学习功能,网关从VXLAN隧道上接收到请求网关MAC地址的ARP请求后,不会对其进行应答.
如果未开启ARP泛洪抑制功能,则可能会导致虚拟机获取不到网关的MAC地址.
2.
配置步骤(1)进入系统视图.
system-view(2)创建VSI虚接口,并进入VSI虚接口视图.
2-6interfacevsi-interfacevsi-interface-id本命令的详细介绍,请参见"VXLAN命令参考"中的"VXLAN".
(3)配置VSI虚接口的IPv4地址.
ipaddressip-address{mask|mask-length}[sub]缺省情况下,未配置VSI虚接口的IPv4地址.
(4)退回系统视图.
quit(5)进入VXLAN所在VSI视图.
vsivsi-name(6)为VSI指定网关接口.
gatewayvsi-interfacevsi-interface-id缺省情况下,未指定VSI的网关接口.
本命令的详细介绍,请参见"VXLAN命令参考"中的"VXLAN".
2.
8配置分布式EVPN网关2.
8.
1配置限制和指导分布式EVPN网关连接IPv4站点网络时,所有网关上都需要为相同VSI虚接口配置相同的MAC地址.
在分布式EVPN网关设备上,如果开启了ARP泛洪抑制功能,并在VSI虚接口上开启了本地代理ARP功能,则只有本地代理ARP功能生效.
建议不要在分布式EVPN网关设备上同时开启这两个功能.
在分布式EVPN网关设备上,如果通过mac-address命令修改了某一关联L3VNI的VSI虚接口的MAC地址,则必须通过该命令将所有与L3VNI关联的VSI虚接口的MAC地址修改为相同的值,否则可能会导致报文转发失败.
2.
8.
2配置准备如果虚拟机要想与外部网络进行三层通信,那么除了分布式EVPN网关的配置外,还需要在接入虚拟机的本地分布式EVPN网关上配置静态路由或策略路由:配置静态路由:指定路由的下一跳为Border上同一个VXLAN对应VSI虚接口的IP地址.
配置策略路由:通过applydefault-next-hop命令或applynext-hop命令设置报文的缺省下一跳或下一跳为Border上同一个VXLAN对应VSI虚接口的IP地址.
策略路由的配置方法,请参见"三层技术-IP路由配置指导"中的"策略路由".
2.
8.
3配置VSI虚接口作为分布式网关接口1.
功能简介为了节省分布式VXLANIP网关设备上的三层接口资源,在网关设备上多个VXLAN可以共用一个VSI虚接口,为VSI虚接口配置一个主IPv4地址和多个从IPv4地址,分别作为不同VXLAN内虚拟机的网关地址.
2-7多个VXLAN共用一个VSI虚接口时,网关设备无法判断从VSI虚接口接收到的报文属于哪个VXLAN.
为了解决该问题,需要在VSI视图下通过gatewaysubnet命令指定VSI所属的子网网段,通过子网网段判断报文所属的VSI,并在该VSI内转发报文,从而限制广播报文范围,有效地节省带宽资源.
2.
配置步骤(1)进入系统视图.
system-view(2)创建VSI虚接口,并进入VSI虚接口视图.
interfacevsi-interfacevsi-interface-id本命令的详细介绍,请参见"VXLAN命令参考"中的"VXLAN".
(3)配置VSI虚接口的IP地址.
ipaddressip-address{mask|mask-length}[sub]缺省情况下,未配置VSI虚接口的IP地址.
(4)配置VSI虚接口的MAC地址.
mac-addressmac-address缺省情况下,VSI虚接口的MAC地址为设备的桥MAC地址.
不同分布式EVPN网关设备上,为同一个VXLAN的VSI虚接口配置的MAC地址必须相同.
否则,虚拟机发生迁移后,虚拟机上网关IP地址对应的MAC地址为远端网关的MAC地址,可能导致流量转发错误.
(5)配置VSI虚接口为分布式网关接口.
distributed-gatewaylocal缺省情况下,VSI虚接口不是分布式本地网关接口.
本命令的详细介绍,请参见"VXLAN命令参考"中的"VXLAN".
(6)(可选)开启本地代理ARP功能.
local-proxy-arpenable[ip-rangestartIPtoendIP]缺省情况下,本地代理ARP功能处于关闭状态.
本命令的详细介绍,请参见"三层技术-IP业务命令参考"中的"代理ARP".
(7)退回系统视图.
quit(8)进入VXLAN所在VSI视图.
vsivsi-name(9)为VSI指定网关接口.
gatewayvsi-interfacevsi-interface-id缺省情况下,未指定VSI的网关接口.
本命令的详细介绍,请参见"VXLAN命令参考"中的"VXLAN".
(10)配置当前VSI所属的子网网段.
gatewaysubnetipv4-addresswildcard-mask缺省情况下,未指定VSI所属的子网网段.
2-8本命令的详细介绍,请参见"VXLAN命令参考"中的"VXLAN".
2.
8.
4配置VSI虚接口关联L3VNI1.
配置VSI虚接口关联L3VNI(VPN实例)(1)进入系统视图.
system-view(2)配置VPN实例.
a.
创建VPN实例,并进入VPN实例视图.
ipvpn-instancevpn-instance-nameb.
配置VPN实例的RD.
route-distinguisherroute-distinguisher缺省情况下,未配置VPN实例的RD.
c.
配置VPN实例的RT.
vpn-targetvpn-target&[both|export-extcommunity|import-extcommunity]缺省情况下,未配置VPN实例的RouteTarget.
d.
(可选)对VPN实例应用出方向路由策略.
exportroute-policyroute-policy缺省情况下,不对发布的路由进行过滤.
e.
(可选)对VPN实例应用入方向路由策略.
importroute-policyroute-policy缺省情况下,VPN实例未应用入方向路由策略.
如果接收到的路由携带的RouteTarget属性中存在与本地配置的ImportTarget相同的值,则接收该路由.
(3)配置VPN实例下的EVPN.
a.
进入VPN实例EVPN视图.
address-familyevpnb.
在VPN实例下配置EVPN的RouteTarget.
vpn-targetvpn-target&[both|export-extcommunity|import-extcommunity]缺省情况下,VPN实例下的EVPN未配置RouteTarget.
建议为EVPN实例配置的Importtarget不要与VPN实例的Exporttarget匹配,反之亦然.
c.
(可选)在VPN实例下配置EVPN的出方向路由策略.
exportroute-policyroute-policy缺省情况下,不对发布的路由进行过滤.
d.
(可选)在VPN实例下配置EVPN的入方向路由策略.
importroute-policyroute-policy缺省情况下,在VPN实例下未配置EVPN的入方向路由策略,即如果接收到的路由携带的RouteTarget属性中存在与本地配置的ImportTarget相同的值,则接收该路由.
2-9(4)依次执行以下命令退回系统视图.
a.
quitb.
quit(5)进入VSI虚接口视图.
interfacevsi-interfacevsi-interface-id(6)配置接口与指定的VPN实例关联.
ipbindingvpn-instancevpn-instance-name缺省情况下,接口未关联VPN实例,接口属于公网.
(7)配置VPN实例的L3VNI.
l3-vnivxlan-id缺省情况下,未配置VPN实例的L3VNI.
一个VPN实例只能关联一个L3VNI.
若为VPN实例配置了多个L3VNI,则该VPN实例与数值最小的L3VNI关联.
通过displayevpnrouting-table命令可以查看与VPN实例关联的L3VNI.
2.
配置VSI虚接口关联L3VNI(公网实例)(1)进入系统视图.
system-view(2)创建公网实例,并进入公网实例视图.
ippublic-instance(3)配置公网实例的RD.
route-distinguisherroute-distinguisher缺省情况下,未配置公网实例的RD.
(4)配置公网实例的L3VNI.
l3-vnivxlan-id缺省情况下,未配置公网实例的L3VNI.
一个公网实例只能关联一个L3VNI.
不能通过重复执行本命令修改公网实例的L3VNI.
如需修改,请先删除已有的L3VNI后再配置.
(5)进入公网实例IPv4地址族视图或EVPN视图.
进入公网实例IPv4地址族视图.
address-familyipv4进入公网实例EVPN视图.
address-familyevpn(6)在公网实例下配置IPv4VPN或EVPN的RouteTarget.
vpn-targetvpn-target&[both|export-extcommunity|import-extcommunity]缺省情况下,公网实例下的IPv4VPN、EVPN未配置RouteTarget.
建议为EVPN实例配置的Importtarget不要与公网实例的Exporttarget匹配,反之亦然.
(7)依次执行以下命令退回系统视图.
2-10a.
quitb.
quit(8)进入VSI虚接口视图.
interfacevsi-interfacevsi-interface-id(9)在属于公网实例的VSI虚接口上配置L3VNI.
l3-vnivxlan-id缺省情况下,在属于公网实例的VSI虚接口上未配置L3VNI.
在所有属于公网实例的VSI虚接口中,必须至少有一个接口上配置的L3VNI与公网实例视图下指定的L3VNI相同.
2.
8.
5配置发布IP前缀路由1.
功能简介在BGP-VPNIPv4单播地址族视图下引入IGP路由后,如果该VPN实例关联了L3VNI,则引入的路由将作为EVPN的IP前缀路由发布给远端VTEP.
在BGPIPv4单播地址族视图下引入IGP路由后,如果公网实例关联了L3VNI,则引入的路由将作为EVPN的IP前缀路由发布给远端VTEP.
远端VTEP接收到EVPN的IP前缀路由后,将路由中的RouteTarget属性与本地VPN实例/公网实例下为IPv4VPN配置的ImportTarget进行比较.
若匹配则接收该路由,并将该路由添加到VPN实例或公网的路由表中.
2.
配置限制和指导只有分布式EVPN网关组网支持本配置.
本配置中各命令的详细介绍,请参见"三层技术-IP路由命令参考"中的"BGP".
3.
配置步骤(1)进入系统视图.
system-view(2)进入BGP实例视图.
bgpas-number[instanceinstance-name](3)进入BGP地址族视图.
进入BGPIPv4单播地址族视图.
address-familyipv4[unicast]依次执行以下命令,进入BGP-VPNIPv4单播地址族视图.
ipvpn-instancevpn-instance-nameaddress-familyipv4[unicast](4)将IGP路由协议的路由信息引入到BGP路由表中.
import-routeprotocol[{process-id|all-processes}[allow-direct|medmed-value|route-policyroute-policy-name]*]缺省情况下,BGP不会引入IGP路由协议的路由信息.
(5)(可选)允许将缺省路由引入到BGP路由表中.
2-11default-routeimported缺省情况下,BGP不允许将缺省路由引入到BGP路由表中.
(6)(可选)配置VPN引入等价路由功能.
a.
退回BGP实例视图.
quitb.
进入BGPEVPN地址族视图.
address-familyl2vpnevpnc.
开启VPN引入等价路由功能.
vpn-routecrossmultipath缺省情况下,VPN引入等价路由功能处于关闭状态,对于前缀和RD均相同的多条路由,只会将最优路由引入到BGPEVPN路由表中.
开启本功能后,BGP将前缀和RD均相同的多条路由全部引入到BGPEVPN路由表中.
2.
9管理远端MAC地址和远端ARP信息学习2.
9.
1关闭远端MAC地址和远端ARP自动学习功能1.
功能简介缺省情况下,设备从VXLAN隧道接收到报文后可以自动学习远端虚拟机的MAC地址和ARP信息.
阿里云(aliyun)在这个月又推出了一个金秋上云季活动,到9月30日前,每天两场秒杀活动,包括轻量应用服务器、云服务器、云数据库、短信包、存储包、CDN流量包等等产品,其中Aliyun轻量云服务器最低60元/年起,还可以99元续费3次!活动针对新用户和没有购买过他们的产品的老用户均可参与,每人限购1件。关于阿里云不用多说了,国内首屈一指的云服务器商家,无论建站还是学习都是相当靠谱的。活动地址:h...
弘速云元旦活动本公司所销售的弹性云服务器、虚拟专用服务器(VPS)、虚拟主机等涉及网站接入服务的云产品由具备相关资质的第三方合作服务商提供官方网站:https://www.hosuyun.com公司名:弘速科技有限公司香港沙田直营机房采用CTGNET高速回国线路弹性款8折起优惠码:hosu1-1 测试ip:69.165.77.50地区CPU内存硬盘带宽价格购买地址香港沙田2-8核1-16G20-...
介绍:819云怎么样?819云创办于2019,由一家从2017年开始从业的idc行业商家创办,主要从事云服务器,和物理机器819云—-带来了9月最新的秋季便宜vps促销活动,一共4款便宜vps,从2~32G内存,支持Windows系统,…高速建站的美国vps位于洛杉矶cera机房,服务器接入1Gbps带宽,采用魔方管理系统,适合新手玩耍!官方网站:https://www.8...