根据三层网关部署方式的不同,VXLAN三层网关又可以分为集中式网关和分布式网关。集中式网关是指将三层网关集中部署在一台设备上,所有跨子网的流量都经过三层网关进行转发,实现流量的集中管理。部署集中式网关的优点和缺点如下:
优点:对跨子网流量进行集中管理,网关的部署和管理比较简单。
缺点:
转发路径不是最优:同一二层网关下跨子网的数据中心三层流量都需要经过集中三层网关转发。
ARP表项规格瓶颈:由于采用集中三层网关,通过三层网关转发的终端租户的ARP表项都需要在三层网关上生成,而三层网关上的ARP表项规格有限,这不利于数据中心网络的扩展。
某企业在数据中心不同的位置都拥有自己的VM(此处用PC模拟),PC1和PC2属于vlan10,PC3和PC4属于vlan20,现需要通过VXLAN集中式网关实现数据中心不同位置相同vlan的租户互通。
也就是保证PC1/PC2/PC3/PC4都互通。
配置集中式网关部署方式的VXLAN组网图
配置思路
采用如下思路配置不同网段用户通过VXLAN三层网关通信:
- 分别在CE1/CE2/CE3上配置路由协议,保证网络三层互通。
- 分别在LSW1/LSW2上配置业务接入点实现区分业务流量。
- 分别在CE1/CE2/CE3上配置VXLAN隧道转发业务流量。
- 在CE1上配置VXLAN三层网关,实现不同网段用户通过VXLAN三层网关互通。
一、底层配置第一步:PC1、PC2、PC3和PC4初始化
二、底层配置第二步,LSW1和LSW2初始化
[LSW1]dis cur
sysname LSW1
#
undo info-center enable
#
vlan batch 10 20
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
[LSW2]dis current-configuration
sysname LSW2
#
undo info-center enable
#
vlan batch 10 20
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
三、底层配置第三步,初始化CE1/CE2/CE3以及配置OSPF
[CE1]dis cur
sysname CE1
interface GE1/0/0
undo portswitch
undo shutdown
ip address 10.1.12.1 255.255.255.0
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
#
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.1.12.1 0.0.0.0
network 10.1.13.1 0.0.0.0
[CE2]dis cur
sysname CE2
interface GE1/0/1
undo portswitch
undo shutdown
ip address 10.1.12.2 255.255.255.0
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
#
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 2.2.2.2 0.0.0.0
network 10.1.12.2 0.0.0.0
[CE3]dis cur
sysname CE3
interface GE1/0/1
undo portswitch
undo shutdown
ip address 10.1.13.3 255.255.255.0
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
#
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.1.13.3 0.0.0.0
至此,底层IPV4网络已经全通,CE2的lo0已经和CE3的lo0互通。
[CE2]ping -a 2.2.2.2 3.3.3.3
PING 3.3.3.3: 56 data bytes, press CTRL_C to break
Reply from 3.3.3.3: bytes=56 Sequence=1 ttl=254 time=13 ms
Reply from 3.3.3.3: bytes=56 Sequence=2 ttl=254 time=10 ms
Reply from 3.3.3.3: bytes=56 Sequence=3 ttl=254 time=7 ms
Reply from 3.3.3.3: bytes=56 Sequence=4 ttl=254 time=9 ms
Reply from 3.3.3.3: bytes=56 Sequence=5 ttl=254 time=7 ms
--- 3.3.3.3 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 7/9/13 ms
四、配置静态vxlan,使同网段的PC可以互访。
[CE2]dis cur
sysname CE2
#
bridge-domain 10
vxlan vni 10
#
bridge-domain 20
vxlan vni 20
interface GE1/0/0
undo shutdown
#
interface GE1/0/0.10 mode l2
encapsulation dot1q vid 10
bridge-domain 10
#
interface GE1/0/0.20 mode l2
encapsulation dot1q vid 20
bridge-domain 20
interface Nve1
source 2.2.2.2
vni 10 head-end peer-list 3.3.3.3
vni 20 head-end peer-list 3.3.3.3
[CE3]dis cur
sysname CE3
#
undo info-center enable
#
bridge-domain 10
vxlan vni 10
#
bridge-domain 20
vxlan vni 20
#
interface GE1/0/0
undo shutdown
#
interface GE1/0/0.10 mode l2
encapsulation dot1q vid 10
bridge-domain 10
#
interface GE1/0/0.20 mode l2
encapsulation dot1q vid 20
bridge-domain 20
interface Nve1
source 3.3.3.3
vni 10 head-end peer-list 2.2.2.2
vni 20 head-end peer-list 2.2.2.2
至此,同网段的PC已经互通。
五、配置集中式网关,并且把网关部署在CE1上。
说白了,就是CE2和CE1之间、CE3和CE1之间再建立一个隧道,然后再CE1上起两个bdif接口并且配置ip作为下面PC的网关。配置如下:
[CE1] bridge-domain 10
[CE1-bd10]vxlan vni 10
[CE1-bd10]quit
[CE1]bridge-domain 20
[CE1-bd20]vxlan vni 20
[CE1-bd10]quit
[CE1]int Vbdif 10
[CE1-Vbdif10]ip add 192.168.1.254 24
[CE1-Vbdif10]quit
[CE1]int Vbdif 20
[CE1-Vbdif20]ip add 192.168.2.254 24
[CE1-Vbdif20]quit
手动静态建立CE2和CE1(网关之间的隧道)
[CE1]int nve 1
[CE1-Nve1]source 1.1.1.1
[CE1-Nve1]vni 10 head-end peer-list 2.2.2.2
[CE1-Nve1]vni 20 head-end peer-list 2.2.2.2
[CE1-Nve1]vni 20 head-end peer-list 3.3.3.3
[CE1-Nve1]vni 10 head-end peer-list 3.3.3.3
[CE2]int nve 1
[CE2-Nve1]vni 10 head-end peer-list 1.1.1.1
[CE2-Nve1]vni 20 head-end peer-list 1.1.1.1
[CE3]int nve 1
[CE3-Nve1]vni 10 head-end peer-list 1.1.1.1
[CE3-Nve1]vni 20 head-end peer-list 1.1.1.1
至此,CE1 CE2 CE3两两之间的隧道已经建立完毕,并且网关也已经配置。因此不同VXLAN(VNI)之间已经互通。
如果在数据中心完全使用这种静态的方式构建vxlan隧道很明显是不可行的,太过于麻烦。后面我再介绍通过E***的形式构建vxlan隧道的方式。
虽然麻烦,但是我们可以看出,这种由vxlan构建的数据中心虚拟化技术说起来还是很高级的,对于运营商而言可以省去购买物理设备的成本,对于客户而言可以实现不同vlan之间互通的边界。
另外我说一个点 ,就是对于数据中心而言有很多的租户,那么如何实现不同租户的网络相互隔离呢。下面是老掉牙的方法,对于学过mpls ***的人来说,小菜一碟。集中式网关设备恩上实现不同租户网络隔离:
CE1
ip ***-instance A
route-distinguisher 1:1
quit
int vbdif 10
ip binding ***-instance A
ip add 192.168.1.254 24
int vbdif 20
ip binding ***-instance A
ip add 192.168.2.254 24
实现了多租户之间隔离,共享底层物理资源,隔离逻辑资源。
查看每个租户的路由表:
dis ip routing-table ***-instance A
大家看懂了没?就是这种老掉牙的几十年前的技术。
下面这个是同事讲的HCIA和CCNA的视频,感兴趣的朋友可以自取。
来源:oschina
链接:https://my.oschina.net/u/4397452/blog/4562828