vlan配置专题报告（VXLAN之VTEP网关旁挂式方案部署）

VXLAN之VTEP网关旁挂式部署

• 方案特点

本方案针对分布式对称式架构下，VETP网关旁挂在underlay核心设备上，实现VXLAN技术实验

• 背景

结合多个业务生产系统分部和运行状况，计划建设规模千台服务器，在原有网络新增VXLAN,分部异地机房，主要承载视频流开放平台，测试系统等生产系统分布在原始拓扑

本次属于扩容数据中心，在原有UNDELAY网络架构中新增VXLAN区域

• 分析需求
• 支持VXLAN-EVPN分布式对称模式，实现同域内以及跨机房服务器二三层互访；
• 支持VXLAN网络通非VXLAN网络的互访；
• 实现访问服务器路径最优，避免数据绕行
• VTEP的网关挂在原核心上，不影响网络架构部署

• 如上图，根据以上需求，组网方式：
• 各机房核心（border）采用堆叠结构，下联TOR设备采用二层模式互联，上联出口核心采用三层no switch模式互联
• TOR设备直接采用二层汇聚的方式上联到各机房核心
• TOR下联的服务器中，VXLAN业务和非VXLAN业务都连接到TOR设备上，通过VLAN号来区分业务
• 同时为了保障原始架构不变，需要将VTERP采用旁挂方式部署，由于VTEP是旁挂在核心上，因此需要在旁挂交换机上和核心分别设置二层和三层接口，其中：二层接口用来透传VXLAN业务，三层接口用来和互联跑路由协议，实现VXLAN和非VXLAN的业务互通。

• 流量规划

按照需求，本次流量共涉及东西向流量（服务器间的二三层转发），南北向流量（服务器对外访问），其中虚线部分表示VXLAN封装，具体如下：

东西向流量：

东西向流量分两种，一种是普通业务访问vxlan业务，一种是跨机房之间vxlan业务访问

• 普通业务员访问VXLAN业务：

普通业业务的网关在本地CORE设备上，VXLAN的网关在VTEP设备上，他们之间互访，实际上是CORE和VTEP之间的路由转发，期间路由通告ospf进行学习，对于vtep设备来说，下一跳走普通三层转发，不涉及vxlan封装

• 跨数据中心VXLAN业务互访：

跨数据中心VXLAN,如果是同个VNI,走的是二层间转发。如果是不同VNI,走的是三层转发，其中二三层转发的下一跳是VXLAN的隧道口，因此从VTEP发出去的报文，均会带VXLAN封装

• 南北向流量：

南北向流量通过VTEP设备学习到路由下一跳为CORE的出接口，因此走普通转发不会带VXLAN封装

• 路由规划

全网路由总体采用ospf(underlay) ibgp(overlay)方式实现三层互通。同时考虑到防止VXLAN封装出现不对称的问题，需对路由进行过滤

• underlay路由规划

各数据中心和总核心出口之间采用三层（no switch）方式互联，同时采用ECMP的方式实现各路径的负载分担。underlay采用OSPF路由协议，进程号为100，同时，划分两个区域，如下：

区域0：外部网络与核心互联部分

区域x:各机房BODER设备和核心互联部分；

访问外网规划：在核心出口商重分布默认路由，同时在外网设备上回指内网静态路由，实现数据访问外网

• Overlay路由规划

Overlay采用ibgp的方式使得TOR之间建立IBGP-EVPN邻居，两地数据中心的VTEP通过自身的环回地址建立邻居即可。

• VXLAN与非VXLAN网络互访规划
• 东西向流量规划（通告VXLAN路由）

采用arp-host路由重分布进OSPF(同时重分布网关直连路由)，以此实现VXLAN路由注入至非VXLAN网络中（采用arp-host的方式将发布明细的主机路由，避免仅网关网段路由存在时产生数据绕行）

• 南北向流量规划（发布默认路由）

在核心出口设备上，对内通告默认路由，使其内部能够访问外部网络

• 路由过滤

同时，需要在VTEP网关交换机上过滤服务器主机路由，避免服务器主机之间的互访走的是underlay(ospf)路由，而非overlay隧道。（VXLAN会同步arp生成EVPN路由，但OSPF路由优先级优于EVPN路由）

• VXLAN规划设计

vxlan二三层互访规划部分，结合需求目前推荐采用分布是对称分布式：所有VTEP配置一个相同的L3VNI,下属所有L2VNI的三层ARP表通过该L3VNI进行同步。同时开启anycast-gateway功能，优化东西向流量的同时实现虚拟机的无缝迁移的需求。最后，由于该项目的VTEP数量较少，因此可不用开启全路由功能，即无需配置ARP相关优化

• 方案部署
• Underlay路由互通配置

路由使用ospf实现underlay互通

• CORE交换机

• border交换机

router ospf 100

route-id 192.168.254.2

nsr

timer throttle sf 10 100 1000 (加快ospf收敛)

network 10.10.10.32 0.0.0.3 area 1 (到core邻居)

network 10.10.10.72. 0.0.0.1 （到VTEP1）

net 192.168.254.2 0.0.0.0 area 0 (通告loop0)

• VTEP交换机

• VTEP和BODER互联接口配置

由于vtep是旁挂核心方式部署，因此需要在旁挂交换机上和核心分别设置二层和三层接口，其中二层接口用来透传VXLAN业务，三层接口用来和互联跑路由

略...

• BGP建立EVPN-BGP邻居配置

EVPN vxlan是通过EVPN-BGP来传递路由信息，因此，建立EVPN vxlan隧道的前提是EVPN路由报文科大，在此建立EVPN-IBGP邻居关系。

• VTEP-1交换机

inter loo 0

ip 192.168.254.3 255.255.255.255

router bgp 65531

bgp router-id 192.168.254.3

address-family l2vpn evpn

neighbor 192.168.254.7 remote-as 65531

neighbor 192.168.254.7 update-source loopback 0

• VTEP-2交换机

inter loo 0

ip 192.168.254.7 255.255.255.255

router bgp 65531

bgp router-id 192.168.254.7

address-family l2vpn evpn

neighbor 192.168.254.3 remote-as 65531

neighbor 192.168.254.3 update-source loopback 0

• VXLAN配置(分布对称模式)

本方案中全网只包含一个业务段，全要实现各业务网段之间虚机迁移及互联互通，so,需要在每个TOR上创建1个相同的VNI,切分别哦诶之多活网关

• VTEP-1 2

Vtep

source loo 0

fabric anycast-gateway-mac 2001.0001.0001

evpn

vni 10

rd auto

route-targe bot auto

vni 100

rd auto

route-target both auto

interface overlayrouter 10

ip add 192.168.10.254 255.255.255.0

anycast-gateway (配置多活网关)

interface overlayrouter 100 (配置L3VNI网关）

vxlan 10

router-interface overlayrouter 10 (绑定VNI 10网关)

extend-vlan 10 (绑定vlan10 )

vxlan 100

router-interface overlayrouter 100

symmetric

• VXLAN与非VXLAN路由互通配置

为了避免南北向流量在VTEP交换机出现绕行的情况，需要在VTEP上对外通告主机明细路由，因此，可以在没组leaf交换机上采用arp-host路由方式，通告服务器主机明细路由，然后将arp-host充分不仅ospf进程中，同时，也将直连网关网段路由重发布进行ospf,使得虚拟机迁移切换过程中，还有网段路由提供路由转发

• VTEP-1 2

,