1. VXLAN三层网关基础概念第一次接触VXLAN三层网关时我也被那些专业术语搞得一头雾水。简单来说VXLAN就像给传统网络套了个马甲让不同子网的设备能够像在同一个局域网里那样通信。而三层网关就是这个马甲的交通警察负责指挥不同子网间的数据包该往哪走。在实际项目中我常用华为eNSP模拟器来搭建实验环境。这个工具虽然有些小毛病但对于学习VXLAN配置来说已经足够。重点要理解三个核心组件BD域Bridge Domain、NVE隧道接口和VBDIF接口。BD域相当于划分不同的虚拟局域网NVE隧道是连接这些虚拟局域网的管道而VBDIF接口则是实现跨子网通信的关键。举个例子假设公司有两个部门分别使用192.168.1.0/24和192.168.2.0/24网段。传统方式下要实现互通需要配置复杂的路由而用VXLAN三层网关只需要在网关设备上创建对应的VBDIF接口并配置IP地址两个子网就能自动互通。2. 实验环境搭建与基础配置2.1 模拟器选择与拓扑设计我建议初学者直接从华为eNSP开始虽然它有些小bug但配置逻辑和真机基本一致。搭建拓扑时至少要准备三台设备两台作为VTEPVXLAN Tunnel End Point一台作为集中式网关。记得给每台设备配置Loopback地址这个地址后面会用来建立NVE隧道。在最近的一个实验里我用了如下IP规划CE1: 1.1.1.1/32CE2: 2.2.2.2/32CE3(网关): 3.3.3.3/32业务网段1: 192.168.1.0/24业务网段2: 192.168.2.0/242.2 基础网络连通性检查开始VXLAN配置前一定要先确保底层网络是通的。我吃过好几次亏花几小时排查VXLAN问题最后发现是底层OSPF没配好。建议先用ping测试各设备Loopback地址间的连通性再检查路由表是否正常。# 检查路由表示例 display ip routing-table # 测试连通性 ping 1.1.1.13. 三层网关详细配置步骤3.1 创建BD域与VNI映射BD域是VXLAN的基础隔离单位每个BD域对应一个VNIVXLAN Network Identifier。配置时要注意VNI必须两端一致否则隧道建立不起来。我习惯用业务VLAN ID作为VNI这样不容易搞混。# 在网关设备CE3上配置 bridge-domain 10 vxlan vni 10 # bridge-domain 20 vxlan vni 203.2 NVE隧道配置技巧NVE隧道配置有几个关键点容易出错源地址要使用Loopback地址peer-list要对端VTEP的Loopback地址vni要和BD域里的配置一致。我建议先配单边测试成功后再配另一边。interface Nve1 source 3.3.3.3 vni 10 head-end peer-list 1.1.1.1 vni 10 head-end peer-list 2.2.2.2 vni 20 head-end peer-list 1.1.1.1 vni 20 head-end peer-list 2.2.2.23.3 VBDIF接口配置实战VBDIF接口是三层网关的核心它的IP地址就是对应子网的网关地址。配置时要特别注意接口编号必须和BD域编号一致否则无法关联。我遇到过因为输错编号导致业务不通的情况。interface Vbdif10 ip address 192.168.1.254 255.255.255.0 # interface Vbdif20 ip address 192.168.2.254 255.255.255.04. 配置验证与故障排查4.1 隧道状态检查方法配置完成后我通常会按这个顺序检查查看NVE隧道状态检查VXLAN隧道对端是否正常确认MAC地址学习情况# 查看NVE接口状态 display interface nve 1 # 检查VXLAN隧道 display vxlan peer # 查看MAC地址表 display mac-address4.2 常见问题处理经验在eNSP上做实验时经常会遇到各种奇怪现象。根据我的经验90%的问题可以这样解决确认配置没有敲错重启NVE接口检查底层网络是否正常特别要注意的是eNSP对CE设备的支持确实不完善。如果确认配置无误但现象不符很可能就是模拟器bug。这时可以尝试换版本或者改用真机环境。4.3 三层互通测试技巧测试跨子网通信时我建议先用网关设备ping两边的主机确认网关层面是通的。然后再测试主机间的通信。如果网关能通但主机不通很可能是主机网关没指对或者防火墙策略有问题。# 在网关上测试 ping 192.168.1.1 ping 192.168.2.15. 实际应用中的注意事项在企业网络里部署VXLAN三层网关时有几点特别需要注意。首先是MTU问题VXLAN封装会增加50字节开销建议把物理接口MTU设置为1600以上。其次是ARP广播问题可以通过配置ARP广播抑制来优化。另外生产环境中建议启用BFD检测隧道状态这样可以快速感知链路故障。我在一个项目里就遇到过因为没配BFD隧道中断半小时才被发现的情况。最后提醒一点VXLAN配置虽然复杂但只要按照步骤一步步来注意细节检查一般都能成功。配置过程中记得及时保存配置避免模拟器崩溃导致前功尽弃。