Copyright 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 H3C H3CS H3CIE H3CNE Aolynk H 3 Care IRF NetPilot

Transcription

1 H3C S12500F-AF 系列交换机 EVPN 配置指导 杭州华三通信技术有限公司 资料版本 :6W 产品版本 :Release 2609 及以上

2 Copyright 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 H3C H3CS H3CIE H3CNE Aolynk H 3 Care IRF NetPilot Netflow SecEngine SecPath SecCenter SecBlade Comware ITCMM HUASAN 华三均为杭州华三通信技术有限公司的商标 对于本手册中出现的其它公司的商标 产品标识及商品名称, 由各自权利人拥有 由于产品版本升级或其他原因, 本手册内容有可能变更 H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利 本手册仅作为使用指导,H3C 尽全力在本手册中提供准确的信息, 但是 H3C 并不确保手册内容完全没有错误, 本手册中的所有陈述 信息和建议也不构成任何明示或暗示的担保

3 前言 本配置指导主要介绍了 EVPN 技术的原理及具体配置方法 前言部分包含如下内容 : 读者对象 本书约定 资料获取方式 技术支持 资料意见反馈 读者对象 本手册主要适用于如下工程师 : 网络规划人员 现场技术支持与维护人员 负责网络配置和维护的网络管理员 本书约定 1. 命令行格式约定格式意义 粗体 斜体 命令行关键字 ( 命令中保持不变 必须照输的部分 ) 采用加粗字体表示 命令行参数 ( 命令中必须由实际值进行替代的部分 ) 采用斜体表示 [ ] 表示用 [ ] 括起来的部分在命令配置时是可选的 { x y... } 表示从多个选项中仅选取一个 [ x y... ] 表示从多个选项中选取一个或者不选 { x y... } * 表示从多个选项中至少选取一个 [ x y... ] * 表示从多个选项中选取一个 多个或者不选 &<1-n> 表示符号 & 前面的参数可以重复输入 1~n 次 # 由 # 号开始的行表示为注释行 2. 图形界面格式约定 格 式 意 义 < > 带尖括号 < > 表示按钮名, 如 单击 < 确定 > 按钮 [ ] 带方括号 [ ] 表示窗口名 菜单名和数据表, 如 弹出 [ 新建用户 ] 窗口

4 格式意义 / 多级菜单用 / 隔开 如 [ 文件 / 新建 / 文件夹 ] 多级菜单表示 [ 文件 ] 菜单下的 [ 新建 ] 子菜单下的 [ 文件夹 ] 菜单项 3. 各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方, 这些标志的意义如下 : 该标志后的注释需给予格外关注, 不当的操作可能会对人身造成伤害 提醒操作中应注意的事项, 不当的操作可能会导致数据丢失或者设备损坏 为确保设备配置成功或者正常工作而需要特别关注的操作或信息 对操作内容的描述进行必要的补充和说明 配置 操作 或使用设备的技巧 小窍门 4. 图标约定 本书使用的图标及其含义如下 : 该图标及其相关描述文字代表一般网络设备, 如路由器 交换机 防火墙等 该图标及其相关描述文字代表一般意义下的路由器, 以及其他运行了路由协议的设备 该图标及其相关描述文字代表二 三层以太网交换机, 以及运行了二层协议的设备 该图标及其相关描述文字代表无线控制器 无线控制器业务板和有线无线一体化交换机的无线控制引擎设备 该图标及其相关描述文字代表无线接入点设备 该图标及其相关描述文字代表无线 Mesh 设备 该图标代表发散的无线射频信号 该图标代表点到点的无线射频信号 该图标及其相关描述文字代表防火墙 UTM 多业务安全网关 负载均衡等安全设备 该图标及其相关描述文字代表防火墙插卡 负载均衡插卡 NetStream 插卡 SSL VPN 插卡 IPS 插卡 ACG 插卡等安全插卡

5 5. 端口编号示例约定本手册中出现的端口编号仅作示例, 并不代表设备上实际具有此编号的端口, 实际使用中请以设备上存在的端口编号为准 资料获取方式 您可以通过 H3C 网站 ( 获取最新的产品资料 : H3C 网站与产品资料相关的主要栏目介绍如下 : [ 服务支持 / 文档中心 ]: 可以获取硬件安装类 软件升级类 配置类或维护类等产品资料 [ 产品技术 ]: 可以获取产品介绍和技术介绍的文档, 包括产品相关介绍 技术介绍 技术白皮书等 [ 解决方案 ]: 可以获取解决方案类资料 [ 服务支持 / 软件下载 ]: 可以获取与软件版本配套的资料 技术支持 用户支持邮箱 :service@h3c.com 技术支持热线电话 : ( 手机 固话均可拨打 ) 网址 : 资料意见反馈 如果您在使用过程中发现产品资料的任何问题, 可以通过以下方式反馈 : info@h3c.com 感谢您的反馈, 让我们做得更好!

6 目录 1 EVPN 概述 EVPN 技术优势 EVPN 网络模型 EVPN 分层结构 MP-BGP 的 EVPN 扩展 自动发现邻居 建立隧道 关联隧道 识别报文所属的 VXLAN 本地站点内接收到数据帧的识别 VXLAN 隧道上接收报文的识别 转发二层流量 学习 MAC 地址 转发已知单播流量 转发泛洪流量 EVPN 网关转发三层流量 集中式 EVPN 网关 分布式 EVPN 网关 ARP 泛洪抑制 MAC 地址迁移 配置 EVPN EVPN 配置限制和指导 EVPN 配置任务简介 配置 VXLAN 隧道工作模式 创建 VSI 和 VXLAN 配置 EVPN 实例 配置 BGP 发布 EVPN 路由 配置 AC 与 VSI 关联 配置集中式 EVPN 网关 配置限制和指导 配置准备 配置步骤 配置分布式 EVPN 网关 配置限制和指导 2-6 i

7 2.9.2 配置准备 配置 VSI 虚接口作为分布式网关接口 配置 VSI 虚接口关联 L3VNI 配置发布 IP 前缀路由 管理远端 MAC 地址和远端 ARP 信息学习 关闭远端 MAC 地址和远端 ARP 自动学习功能 配置禁止通告 MAC 地址信息 配置禁止 EVPN 从 ARP 信息中学习 MAC 地址表项 配置允许向本地站点发布 BGP EVPN 路由 配置 VSI 泛洪抑制 配置 ARP 泛洪抑制 EVPN 显示和维护 EVPN 典型配置举例 ( 交换应用 ) 集中式 EVPN 网关配置举例 分布式 EVPN 网关配置举例 2-21 ii

8 1 EVPN 概述 EVPN 功能受设备的工作模式限制, 在使用 EVPN 功能前, 请在系统视图下使用 system-working-mode 命令将设备设置为标准模式或高级模式, 保存设备当前配置, 然后重启设 备 有关设备工作模式的详细介绍请参见 基础配置指导 中的 设备管理 EVPN(Ethernet Virtual Private Network, 以太网虚拟专用网络 ) 是一种二层 VPN 技术, 控制平面采用 MP-BGP 通告 EVPN 路由信息, 数据平面采用 VXLAN 封装方式转发报文 租户的物理站点分散在不同位置时,EVPN 可以基于已有的服务提供商或企业 IP 网络, 为同一租户的相同子网提供二层互联 ; 通过 EVPN 网关为同一租户的不同子网提供三层互联, 并为其提供与外部网络的三层互联 1.1 EVPN 技术优势 EVPN 不仅继承了 MP-BGP 和 VXLAN 的优势, 还提供了新的功能 EVPN 具有如下特点 : 简化配置 : 通过 MP-BGP 实现 VTEP 自动发现 VXLAN 隧道自动建立 VXLAN 隧道与 VXLAN 自动关联, 无需用户手工配置, 降低网络部署难度 分离控制平面与数据平面 : 控制平面负责发布路由信息, 数据平面负责转发报文, 分工明确, 易于管理 支持对称 IRB(Integrated Routing and Bridging, 集成的路由和桥接 ):MP-BGP 同时发布二层 MAC 地址和三层路由信息,VTEP 既可以进行二层转发, 也可以进行三层路由 这样, 不仅可以保证流量采用最优路径转发, 还可以减少广播流量 1.2 EVPN 网络模型 图 1-1 EVPN 网络模型示意图 VM VSI/VXLAN 10 VSI/VXLAN 10 VM VM VSI/VXLAN 20 VSI/VXLAN 20 VM VM VSI/VXLAN 30 VSI/VXLAN 30 VM ES VXLAN tunnel ES VTEP P VTEP Server IP 核心网络 Server Site 1 Site 2 1-1

9 如图 1-1 所示,EVPN 的典型网络模型中包括如下几部分 : VTEP(VXLAN Tunnel End Point,VXLAN 隧道端点 ):EVPN 的边缘设备 EVPN 的相关 处理都在 VTEP 上进行 VTEP 可以是一台独立的物理设备, 也可以是虚拟机所在的服务 器 VXLAN 隧道 : 两个 VTEP 之间的点到点逻辑隧道 VTEP 为数据帧封装 VXLAN 头 UDP 头 和 IP 头后, 通过 VXLAN 隧道将封装后的报文转发给远端 VTEP, 远端 VTEP 对其进行解封 装 核心设备 :IP 核心网络中的设备 ( 如图 1-1 中的 P 设备 ) 核心设备不参与 EVPN 处理, 仅需要根据封装后报文的外层目的 IP 地址对报文进行三层转发 VXLAN 网络 /EVPN 实例 : 用户网络可能包括分布在不同地理位置的多个站点内的虚拟机 在骨干网上可以利用 VXLAN 隧道将这些站点连接起来, 为用户提供一个逻辑的二层 VPN 这个二层 VPN 称为一个 VXLAN 网络, 也称为 EVPN 实例 VXLAN 网络通过 VXLAN ID 来标识,VXLAN ID 又称 VNI(VXLAN Network Identifier,VXLAN 网络标识符 ), 其长度为 24 比特 不同 VXLAN 网络中的虚拟机不能二层互通 VSI(Virtual Switch Instance, 虚拟交换实例 ):VTEP 上为一个 VXLAN 提供二层交换服务的虚拟交换实例 VSI 可以看做是 VTEP 上的一台基于 VXLAN 进行二层转发的虚拟交换机 VSI 与 VXLAN 一一对应 ES(Ethernet Segment, 以太网段 ): 用户站点连接到 VTEP 的链路, 通过 ESI(Ethernet Segment Identifier, 以太网段标识符 ) 唯一标识 目前, 一个用户站点只能通过一条链路连接一台 VTEP, 该 ES 的 ESI 为 EVPN 分层结构 如图 1-2 所示,EVPN 通常采用 Spine( 核心 ) Leaf( 分支 ) 的分层结构 Leaf 层的设备作为 VTEP 对报文进行 EVPN 相关处理 ;Spine 层为核心设备, 根据报文的目的 IP 地址转发报文 EVPN 网络中的设备属于同一个 AS(Autonomous System, 自治系统 ) 时, 为了避免在所有 VTEP 之间建立 IBGP 对等体, 可以将核心设备配置为 RR(Route Reflector, 路由反射器 ) 此时,RR 需要发布 接收 EVPN 路由, 但不需要封装 解封装 VXLAN 报文 1-2

10 图 1-2 EVPN 典型组网 1.4 MP-BGP的 EVPN 扩展 为了支持 EVPN,MP-BGP 在 L2VPN 地址族下定义了新的子地址族 EVPN 地址族, 并新增了如下 EVPN NLRI(Network Layer Reachability Information, 网络层可达性信息 ), 即 EVPN 路由 : Ethernet Auto-discovery Route: 以太网自动发现路由, 用来在站点多归属组网中通告 ES 信息 MAC/IP Advertisement Route:MAC/IP 发布路由, 用来通告 MAC 地址和主机路由信息 ( 即 ARP 信息 ) Inclusive Multicast Ethernet Tag Route: 包含性组播以太网标签路由, 又称为 IMET 路由, 用来通告 VTEP 及其所属 VXLAN 信息, 以实现自动发现 VTEP 自动建立 VXLAN 隧道和自动关联 VXLAN 与 VXLAN 隧道 Ethernet Segment Route: 以太网段路由, 用来通告 ES 及其连接的 VTEP 信息 IP Prefix advertisement route:ip 前缀路由, 用来以 IP 前缀的形式通告 BGP IPv4 单播路由 目前, 设备不支持生成以太网自动发现路由和以太网段路由 EVPN 路由中包含 RD(Route Distinguisher, 路由标识符 ) 字段, 用来区分不同 VXLAN 的 EVPN 路由, 以免 EVPN 路由冲突 VTEP 在发布 EVPN 路由时, 会携带 VPN Target 扩展团体属性 ( 也称为 Route Target) VPN target 属性定义了本地发送的 EVPN 路由可以为哪些 VTEP 所接收,VTEP 可以接收哪些远端 VTEP 发送来的 EVPN 路由 MP-BGP 通过 VPN Target 属性来控制 EVPN 路由信息的发布与接收 VPN target 属性分为以下两种, 每一种都可以包括多个属性值 : Export target 属性 : 本地 VTEP 在通过 BGP 的 Update 消息将 EVPN 路由发送给远端 VTEP 时, 将 Update 消息中携带的 VPN target 属性设置为 Export target Import target 属性 :VTEP 收到其它 VTEP 发布的 Update 消息时, 将消息中携带的 VPN target 属性与本地配置的 Import target 属性进行比较, 只有二者中存在相同的属性值时, 才会接收该消息中的 EVPN 路由 1-3

11 1.5 自动发现邻居 建立隧道 关联隧道 VTEP 可以通过以下方式自动发现邻居 建立隧道并关联隧道 : IMET 路由方式 :VTEP 通过 IMET 路由通告自己的 VXLAN 信息 这样, 每个 VTEP 设备都能获取到网络中所有的 VTEP 及其所属 VXLAN 信息 如果本地 VTEP 和远端 VTEP 属于同一个 VXLAN, 则自动在二者之间建立 VXLAN 隧道, 并将该隧道与该 VXLAN 关联 MAC/IP 发布路由和 IP 前缀路由方式 : 在 EVPN 的三层转发组网中, 当本地 VTEP 接收到远端 VTEP 通告的 MAC/IP 发布路由或 IP 前缀路由, 且该路由携带的 Export target 属性与本地某个 VPN 实例的 Import target 属性匹配时, 本地 VTEP 会与远端 VTEP 建立 VXLAN 隧道, 并将该 VXLAN 隧道与 VPN 实例对应的 L3VNI(Layer 3 VNI, 三层 VXLAN ID) 关联 L3VNI 的详细介绍, 请参见 分布式 EVPN 网关 1.6 识别报文所属的 VXLAN EVPN 的 MAC 地址 /ARP 表项学习 流量转发均基于报文所属的 VXLAN 进行, 因此,VTEP 接收 到报文需要识别报文所属的 VXLAN 本地站点内接收到数据帧的识别 VTEP 将连接本地站点的以太网服务实例 (Service Instance) 与 VSI 关联 VTEP 从以太网服务实例接收到数据帧后, 查找与其关联的 VSI,VSI 内创建的 VXLAN 即为该数据帧所属的 VXLAN 在 VXLAN 中, 与 VSI 关联的以太网服务实例称为 AC(Attachment Circuit, 接入电路 ) 以太网服务实例在二层以太网接口上创建, 它定义了一系列匹配规则, 用来匹配从该二层以太网接口上接收到的数据帧 如图 1-3 所示,VM 1 属于 VLAN 2, 在 VTEP 上配置以太网服务实例 1 匹配 VLAN 2 的报文, 将以太网服务实例 1 与 VSI A 绑定, 并在 VSI A 内创建 VXLAN 10, 则 VTEP 接收到 VM 1 发送的数据帧后, 可以判定该数据帧属于 VXLAN 10 图 1-3 数据帧所属 VXLAN 识别 VXLAN 隧道上接收报文的识别对于从 VXLAN 隧道上接收到的 VXLAN 报文,VTEP 根据报文中携带的 VXLAN ID 判断该报文所属的 VXLAN 1-4

12 1.7 转发二层流量 学习 MAC 地址 VTEP 根据学习到的 MAC 地址表项转发二层单播流量 VTEP 上 MAC 地址学习分为两部分 : 本地 MAC 地址学习 : 学习本地站点内虚拟机的 MAC 地址 VTEP 接收到本地虚拟机发送的数据帧后, 判断该数据帧所属的 VSI, 并将数据帧中的源 MAC 地址 ( 本地虚拟机的 MAC 地址 ) 添加到该 VSI 的 MAC 地址表中, 该 MAC 地址对应的接口为接收到数据帧的接口 远端 MAC 地址学习 : 学习远端站点内虚拟机的 MAC 地址 VTEP 通过 MP-BGP 协议将本地学习的 MAC 地址及其所属的 VXLAN 通告给远端 VTEP 远端 VTEP 接收到该信息后, 将其添加到所属 VXLAN 对应 VSI 的 MAC 地址表中, 该 MAC 地址对应的接口为两个 VTEP 之间的 VXLAN 隧道接口 (Tunnel 接口 ) 转发已知单播流量 VTEP 接收到二层数据帧后, 判断其所属的 VSI, 根据目的 MAC 地址查找该 VSI 的 MAC 地址表, 通过表项的出接口转发该数据帧 如图 1-4 所示, 如果出接口为本地接口, 则 VTEP 直接通过该接口转发数据帧 ; 如图 1-5 所示, 如果出接口为 Tunnel 接口, 则 VTEP 根据 Tunnel 接口为数据帧添加 VXLAN 封装后, 通过 VXLAN 隧道将其转发给远端 VTEP 图 1-4 站点内单播流量转发 1-5

13 图 1-5 站点间单播流量转发 转发泛洪流量 泛洪流量包括组播 广播和未知单播流量, 该流量通过单播路由方式 ( 头端复制 ) 转发 VTEP 负责复制报文, 采用单播方式将复制后的报文通过本地接口发送给本地站点, 并通过 VXLAN 隧道发送给 VXLAN 内的所有远端 VTEP 1-6

14 图 1-6 泛洪流量转发示意图 如图 1-6 所示, 泛洪流量转发过程为 : (1) VTEP 1 接收到本地虚拟机发送的组播 广播和未知单播数据帧后, 判断数据帧所属的 VXLAN, 通过该 VXLAN 内除接收接口外的所有本地接口和 VXLAN 隧道转发该数据帧 通过 VXLAN 隧道转发数据帧时, 需要为其封装 VXLAN 头 UDP 头和 IP 头, 以便将泛洪流量封装在多个单播报文中, 发送到 VXLAN 内的所有远端 VTEP (2) 远端 VTEP(VTEP 2 和 VTEP 3) 接收到 VXLAN 报文后, 解封装报文, 将原始的数据帧在本地站点的指定 VXLAN 内泛洪 为了避免环路, 远端 VTEP 从 VXLAN 隧道上接收到报文后, 不会再将其泛洪到其他的 VXLAN 隧道 1.8 EVPN 网关转发三层流量 EVPN 网关用来为用户站点内的虚拟机提供三层转发业务 EVPN 网关分为 : 集中式 EVPN 网关 : 配置简单, 但不同 VXLAN 之间的流量以及 VXLAN 访问外界网络的流量全部由集中式 EVPN 网关处理, 网关压力较大 分布式 EVPN 网关 : 配置比较复杂, 但每台 VTEP 设备都可以作为 EVPN 网关, 对本地站点的流量进行三层转发, 缓解了网关的压力 集中式 EVPN 网关集中式 EVPN 网关进行二层 VXLAN 业务终结的同时, 还对内层封装的 IP 报文进行三层转发处理 1-7

15 图 1-7 集中式 EVPN 网关的三层通信过程 如图 1-7 所示, 集中式 EVPN 网关上需要配置 VSI 虚接口, 该接口的 IP 地址作为 VXLA N 内虚拟机的网关 IP 地址 虚拟机访问其他子网的过程为 : (1) 虚拟机获取网关的 MAC 地址 ( 网关 IP 对应的 MAC 地址 ), 并将报文发送给集中式 EVPN 网关 (2) VTEP 接收到报文后, 根据目的 MAC 地址在 VSI 的 MAC 地址表中查找匹配的表项, 将报文通过 VXLAN 隧道发送给集中式 EVPN 网关 (3) 网关解除 VXLAN 封装后, 对内层封装的 IP 报文进行三层转发, 将其发送给最终的目的节点 (4) 目的节点返回的报文到达网关后, 网关根据已经学习到的虚拟机 ARP 表项, 将报文转发给虚拟机 1-8

16 1.8.2 分布式 EVPN 网关 1. 简介 图 1-8 分布式 EVPN 网关示意图 如图 1-8 所示, 在分布式 EVPN 网关组网中, 每台 VTEP 设备都作为 EVPN 网关, 对本地站点的流量进行三层转发, 缓解了网关的压力 1-9

17 图 1-9 分布式 EVPN 网关部署示意图 VSI-interface1 VPN instance: vpna L3VNI: 1000 VM 1 VM VSI/VXLAN 10 VSI/VXLAN 20 VSI-interface /24 VPN instance: vpna VSI-interface /24 VPN instance: vpna VSI/VXLAN 10 VSI/VXLAN VM 4 VM 5 VXLAN tunnel Server VXLAN tunnel GW 1 P GW 2 VXLAN tunnel Server Site 1 Site 2 Border VSI-interface1 VPN instance: vpna L3VNI: 1000 L3 network 分布式 EVPN 网关采用对称 IRB 方式转发流量, 即连接报文源和目的节点的网关 ( 入口网关和出口网关 ) 上都需要进行二层和三层转发 对称 IRB 方式引入了如下概念 : L3VNI(Layer 3 VNI, 三层 VXLAN ID): 在网关之间通过 VXLAN 隧道转发流量时, 属于同一租户的流量通过 L3VNI 来标识 L3VNI 唯一关联一个 VPN 实例, 通过 VPN 实例确保不同租户之间的业务隔离 网关的 Router MAC 地址 : 每个分布式 EVPN 网关拥有一个唯一的 Router MAC 地址, 用于在网关之间通过 VXLAN 隧道转发流量 报文在网关之间转发时, 报文的内层 MAC 地址为出口网关的 Router MAC 地址 如图 1-9 所示, 在分布式 EVPN 网关组网中, 所有的分布式 EVPN 网关 ( GW) 上都存在以下类型的 VSI 虚接口 : 作为分布式网关接口的 VSI 虚接口 该接口需要与 VSI VPN 实例关联 不同 GW 上相同 VSI 虚接口的 IP 地址必须相同, 该 IP 地址作为 VXLAN 内虚拟机的网关地址 承载 L3VNI 的 VSI 虚接口 该接口需要与 VPN 实例关联, 并需要指定 L3VNI 关联相同 VPN 实例的 VSI 虚接口共用该 L3VNI 边界网关 (Border) 上也需要存在承载 L3VNI 的 VSI 虚接口 2. 三层转发表项学习三层流量通过查找 FIB 表项进行转发 FIB 表项通过路由信息或 ARP 信息生成 在 EVPN 地址族下引入外部路由后,VTEP 通过 MP-BGP 将该路由及其所属的 L3VNI 发布给远端 VTEP, 远端 VTEP 学习该路由, 并将其添加到 L3VNI 对应 VPN 实例的 FIB 表项中, 表项的出接 1-10

18 口为两个 VTEP 之间的 VXLAN 隧道接口 (Tunnel 接口 ) 下一跳为路由的 NEXT_HOP 属性携带 的地址 ( 即对端 VTEP 的地址 ) VTEP 上 ARP 信息学习分为两部分 : 本地学习 : 学习本地站点内虚拟机的 ARP 信息 VTEP 通过本地虚拟机发送的 GARP RARP 和对网关的 ARP 请求学习本地虚拟机的 ARP 信息, 并添加 ARP 表项和 FIB 表项 VTEP 判 断 GARP RARP ARP 请求所属的 VSI, 查找与该 VSI 关联的 VSI 虚接口 ARP 表项和 FIB 表项的出接口为接收到报文的接口, 该表项所属的 VPN 实例为 VSI 虚接口关联的 VPN 实例 远端学习 : 学习远端站点内虚拟机的 ARP 信息 VTEP 通过 MP-BGP 协议将本地的 ARP 信 息及其所属的 L3VNI 通告给远端 VTEP 远端 VTEP 学习该信息, 但不会添加 ARP 表项, 而 是由路由管理模块添加 FIB 表项 该 FIB 表项的出接口为与 L3VNI 关联的 VSI 虚接口 下一 跳为路由的 NEXT_HOP 属性携带的地址 ( 即对端 VTEP 的地址 ), 该表项所属的 VPN 实例为 L3VNI 对应的 VPN 实例 远端 VTEP 查找下一跳对应的 ARP 信息, 并添加对应的 ARP 表项 3. 流量转发 分布式网关对流量的转发方式分为两种 : 区分二三层转发方式 : 对于二层流量, 查找 MAC 地址表进行转发 ; 对于三层流量, 查找 FIB 表进行转发 在该方式下, 建议在分布式网关上开启 ARP 泛洪抑制功能, 以减少泛洪流量 全三层转发方式 : 对于二层和三层流量, 均查找 FIB 表进行转发 在该方式下, 需要在分布式网关上开启本地代理 ARP 功能 查找 MAC 地址表转发二层流量的过程, 请参见 转发已知单播流量 ; 相同站点间三层流量的转发过程如图 1-10 所示 ; 不同站点间三层流量转发过程如图 1-11所示 图 1-10 相同站点间三层流量转发过程 VM 1 IP 1 MAC 1 GW IP GW MAC( 与 GW IP 对应的 MAC 地址 ) IP 2 MAC 2 VM 2 Server 1 GW 1 Server 2 DMAC: GW MAC SMAC: MAC 1 DIP: IP 2 SIP: IP 1 DATA DMAC: MAC 2 SMAC: GW MAC DIP: IP 2 SIP: IP 1 DATA 1-11

19 图 1-11 不同站点间三层流量转发过程 VM 1 IP 1 MAC 1 GW IP GW MAC( 与 GW IP 对应的 MAC 地址 ) GW MAC 1(GW 1 的 Router MAC) VTEP IP 1 L3VNI 100 GW IP GW MAC( 与 GW IP 对应的 MAC 地址 ) GW MAC 2(GW 2 的 Router MAC) VTEP IP 2 L3VNI 100 IP 2 MAC 2 VM 2 Server 1 GW 1 P GW 2 IP 核心网络 DIP: VTEP IP 2 SIP: VTEP IP 1 VNI: 100 Server 2 DMAC: GW MAC SMAC: MAC 1 DIP: IP 2 SIP: IP 1 DATA DMAC: GW MAC 2 SMAC: GW MAC 1 DIP: IP 2 SIP: IP 1 DATA DMAC: MAC 2 SMAC: GW MAC DIP: IP 2 SIP: IP 1 DATA 以 IPv4 网络为例, 查找 FIB 表转发流量的过程为 : (1) 虚拟机访问相同子网 不同子网内的其他虚拟机时, 发送 ARP 请求获取 ARP 信息 (2) GW 接收到 ARP 请求后, 判断 ARP 请求所属 VSI, 采用与该 VSI 关联的 VSI 虚接口 MAC 地址对其进行应答 (3) 虚拟机将报文发送给 GW (4) GW 判断报文所属 VSI, 并查找与该 VSI 关联的 VSI 虚接口, 在与 VSI 虚接口关联的 VPN 实例内查找 FIB 表项, 并根据匹配的 FIB 表项转发报文 : 如果 FIB 表项的出接口为本地接口, 则 GW 将目的 MAC 替换为目的虚拟机的 MAC 地址 源 MAC 替换为 VSI 虚接口的 MAC, 并通过本地接口转发给目的虚拟机 如果 FIB 表项的出接口为 VSI 虚接口, 则 GW 将目的 MAC 替换为目的 GW 的 Router MAC 地址 源 MAC 替换为自己的 Router MAC, 报文添加 VXLAN 封装后将其转发给目的 GW 其中, 为报文封装的 VXLAN ID 为与 VPN 实例关联的 L3VNI (5) 目的 GW 接收到报文后, 根据 L3VNI 判断报文所属的 VPN 实例, 解除 VXLAN 封装后, 在该 VPN 实例内查找 ARP 表项转发该报文 1.9 ARP泛洪抑制 为了避免广播发送的 ARP 请求报文占用核心网络带宽,VTEP 会根据接收到的 ARP 请求和 ARP 应答报文 BGP EV PN 路由在本地建立 ARP 泛洪抑制表项 后续当 VTEP 收到本站点内虚拟机请求其它虚拟机 MAC 地址的 ARP 请求时, 优先根据 ARP 泛洪抑制表项进行代答 如果没有对应的表项, 则通过 VXLAN 隧道将 ARP 请求泛洪到其他站点 ARP 泛洪抑制功能可以大大减少 ARP 泛洪的次数 1-12

20 图 1-12 ARP 泛洪抑制示意图 如图 1-12 所示,ARP 泛洪抑制的处理过程如下 : (1) 虚拟机 VM 1 发送 ARP 请求, 获取 VM 7 的 MAC 地址 (2) VTEP 1 根据接收到的 ARP 请求, 建立 VM 1 的 ARP 泛洪抑制表项, 并在 VXLAN 内泛洪该 ARP 请求 ( 图 1-12 以单播路由泛洪方式为例 ) (3) 远端 VTEP(VTEP 2 和 VTEP 3) 解封装 VXLAN 报文, 获取原始的 ARP 请求报文后, 建立 VM 1 的 ARP 泛洪抑制表项, 并在本地站点的指定 VXLAN 内泛洪该 ARP 请求 (4) VM 7 接收到 ARP 请求后, 回复 ARP 应答报文 (5) VTEP 2 接收到 ARP 应答后, 建立 VM 7 的 ARP 泛洪抑制表项, 并通过 VXLAN 隧道将 ARP 应答发送给 VTEP 1 (6) VTEP 1 解封装 VXLAN 报文, 获取原始的 ARP 应答, 并根据该应答建立 VM 7 的 ARP 泛洪抑制表项, 之后将 ARP 应答报文发送给 VM 1 (7) 在 VTEP 1 上建立 ARP 泛洪抑制表项后, 虚拟机 VM 4 发送 ARP 请求, 获取 VM 1 或 VM 7 的 MAC 地址 (8) VTEP 1 接收到 ARP 请求后, 建立 VM 4 的 ARP 泛洪抑制表项, 并查找本地 ARP 泛洪抑制表项, 根据已有的表项回复 ARP 应答报文, 不会对 ARP 请求进行泛洪 (9) 在 VTEP 3 上建立 ARP 泛洪抑制表项后, 虚拟机 VM 10 发送 ARP 请求, 获取 VM 1 的 MAC 地址 (10) VTEP 3 接收到 ARP 请求后, 建立 VM 10 的 ARP 泛洪抑制表项, 并查找本地 ARP 泛洪抑制表项, 根据已有的表项回复 ARP 应答报文, 不会对 ARP 请求进行泛洪 1-13

21 1.10 MAC 地址迁移 MAC 地址迁移是指虚拟机或主机从一个 ES 迁移到另一个 ES 原 ES 连接的 VTEP 无法感知 MAC 地址已经迁移到其他 ES 段 新迁移到的 ES 所在 VTEP 需要重新通告该 MAC/IP 路由 原 VTEP 在收到此路由后, 撤销之前通告的路由 MAC 地址每次迁移, 迁移序列号依次递增, 以便在 MAC 地址多次迁移时, 通过序列号来标识最近一次迁移 1-14

22 2 配置 EVPN 2.1 EVPN 配置限制和指导 VXLAN 隧道既可以通过 EVPN 自动创建, 也可以手工创建 隧道目的地址相同的 EVPN 自动创建 隧道和手工创建隧道不能关联同一个 VX LAN 手工创建 VXLAN 隧道的详细介绍, 请参见 VXLAN 配置指导 中的 配置 VXLAN 2.2 E VPN 配置任务简介 表 2-1 EVPN 配置任务简介 配置任务说明详细配置 配置 VXLAN 隧道工作模式必选 2.3 创建 VSI 和 VXLAN 必选 2.4 配置 EVPN 实例必选 2.5 配置 BGP 发布 EVPN 路由必选 2.6 配置 AC 与 VSI 关联必选 2.7 配置集中式 EVPN 网关 2.8 转发三层流量时, 二者必选其一配置分布式 EVPN 网关 2.9 管理远端 MA C 地址和远端 ARP 自动学习可选 2.10 配置允许向本地站点发布 BGP E VPN 路由可选 2.11 配置 VSI 泛洪抑制可选 2.12 配置 ARP 泛洪抑制可选 配置 VX LAN 隧道工作模式 当设备作为 EVPN 网关时, 需要配置 VX LAN 隧道工作在三层转发模式 当设备作为 VTEP 时, VXLAN 隧道工作在二层转发模式 三层转发模式均可 如果 VXLAN 隧道工作在三层转发模式, 则设备将 VXLAN 封装后的报文转发给下一跳时是否携带 VLAN tag, 由本命令中的 tagged untagged 参数决定, 而不是由报文的出接口类型决定 请根据实际情况选择 tagged untagged 参数 : 设备通过 Access 端口 Trunk 或 Hybrid 端口的 PVID 连接下一跳时, 需要指定 untagged 参数 设备通过 Trunk 或 Hybrid 端口的非 PVID 连接下一跳时, 需要指定 tagged 参数 执行本配置时, 需要注意 : 2-1

23 重复执行 vxlan ip-forwarding 命令切换二层 三层转发模式前, 必须先删除设备上的所有 VSI VSI 虚接口和 VXLAN 隧道, 否则将配置失败 因此, 配置 VXLAN 前, 用户需要先做好 VXLAN 网络规划, 确定设备使用的 VXLAN 隧道工作模式, 完成本配置后, 再进行其他配置 重复执行 vxlan ip-for warding 命令修改 tagged 和 untagged 参数前, 必须先删除设备上所 有的 VX LAN 隧道 表 2-2 配置 VXLAN 隧道工作模式 操作命令说明 进入系统视图 system-view - 配置 VXLAN 隧道工作在二层转发模式 配置 VXLAN 隧道工作在三层转发模式 undo vxlan ip-forwarding vxlan ip-forwarding [ tagged untagged ] 二者选其一 缺省情况下, VXLAN 隧道工作在三层转发模式执行 vxlan ip-forwarding 命令时如果没有指定 tagged 和 untagged 参数, 则缺省为 untagged, 即转发 VXLAN 封装后的报文时, 不携带 VLAN tag 本命令的详细介绍, 请参见 VXLAN 命令参考 中的 VXLAN 2.4 创建 VSI 和 VXLAN 本配置中各命令的详细介绍, 请参见 VXLAN 命令参考 中的 VXLAN 表 2-3 创建 VSI 和 VXLAN 操作命令说明 进入系统视图 system-view - 开启 L2VPN 功能 l2vpn enable 缺省情况下,L2VPN 功能处于关闭状态 创建 VSI, 并进入 VSI 视图 vsi vsi-name 缺省情况下, 不存在 VSI ( 可选 ) 配置 VSI 的描述信息 descrip tion text 缺省情况下, 未配置 VSI 的描述信息 开启 VSI un do shutdown 缺省情况下,VSI 处于开启状态 创建 VXLAN, 并进入 VXLAN 视图 vxl an vxlan-id 缺省情况下, 不存在 VXLAN 在一个 VSI 下只能创建一个 VXLAN 不同 VSI 下创建的 VXLAN, 其 VXLAN ID 不能相同 2.5 配置 EVPN 实例 用于二层交换的 VXLAN 网络无需关联 VPN 实例 VTEP 在发布该 VXLAN 内路由时, 携带 VXLAN 对应 EVPN 实例下配置的 RD 和 RT 2-2

24 表 2-4 配置 E VPN 实例 操作命令说明 进入系统视图 system-view - 进入 VSI 视图 vsi vsi-name - 创建 EVPN 实例, 并进入 EVPN 实例视图 配置 EVPN 实例的 RD 配置 EVPN 实例的 Route Target 属性 evpn encapsulation vxlan route-distinguisher auto } { route-distinguisher vpn-target { vpn-target&<1-8> auto } [ both export-extcommunity import-extcommunity ] 缺省情况下, 不存在 EVPN 实例缺省情况下, 未指定 EVPN 实例的 RD 缺省情况下, 未指定 EVPN 实例的 Route Target 属性建议为 EVPN 实例配置的 Import target 不要与 VPN实例的 Export target 匹配, 反之亦然 VPN 实例的配置, 请参见 配置 VSI 虚接口关联 L3VNI 2.6 配置 BGP 发布 EVPN 路由 下表中 peer as-number pe er enable peer allow-as-loop peer reflect-client reflect between-clients reflector cl uster-id refresh bgp 和 reset bgp 命令的详细介绍, 请参见 三 层技术 -IP 路由命令参考 中的 BGP 表 2-5 配置 BGP 发布 EVPN 路由 操作 命令 说明 进入系统视图 system-view - 配置全局 Router ID router id router-id 缺省情况下, 未配置全局 Router ID 启动 BGP 实例, 并进入 BGP 实例视图 将远端 VTEP 配置为对等体 创建 BGP EV PN 地址族, 并进入 BGP EVPN 地址族视图 使能本地路由器与指定对等体 / 对等体组交换 BGP EVPN 路由的能力 ( 可选 ) 配置对于从对等体 / 对等体组接收的 BGP 消息, 允许本地 AS 号在该消息的 AS_PATH 属性中出现, 并配置允许出现的次数 ( 可选 ) 开启 BGP EVPN 路由的 VPN-Target 过滤功能 bgp as-number [ instance instance-name ] [ multi-session-thread ] peer { group-name ipv4-address [ mask-length ] } as-number as-number address-family l2vpn evpn peer { group-name ipv4-address [ mask-length ] } enable peer { group-name ipv4-address [ mask-length ] } allow-as-loop [ number ] policy vpn-target 缺省情况下, 系统没有运行 BGP 缺省情况下, 不存在 BGP 对等体 缺省情况下, 不存在 BGP EVPN 地址族 缺省情况下, 本地路由器不能与对等体 / 对等体组交换 BGP EVPN 路由 缺省情况下, 不允许本地 AS 号在接收消息的 AS_PATH 属性中出现 缺省情况下,BGP EVPN 路由的 VPN-Target 过滤功能处于开启状态 2-3

25 操作命令说明 ( 可选 ) 配置本机作为路由反射器, 对等体 / 对等体组作为路由反射器的客户机 ( 可选 ) 允许路由反射器在客户机之间反射 EVPN 路由 peer { group-name ipv4-address [ mask-length ] } reflect-client reflect between-clients 缺省情况下, 没有配置路由反射器及其客户机 缺省情况下, 允许路由反射器在客户机之间反射 EVPN 路由 ( 可选 ) 配置路由反射器的集群 reflector cluster-id { cluster-id ID ipv4-address } 缺省情况下, 每个路由反射器都使用自己的 Router ID 作为集群 ID ( 可选 ) 配置路由反射器对反射的 EVPN 路由进行过滤 ( 可选 ) 配置向 EBGP 对等体 / 对等体组发布路由时不改变下一跳 rr-filter ext-comm-list-number peer { group-name ipv4-address [ mask-length ] } next-hop-invariable 缺省情况下, 路由反射器不会对反射的 EVPN 路由进行过滤 缺省情况下, 向 EBGP 对等体 / 对等体组发布路由时会将下一跳改为自己的地址 ( 可选 ) 返回用户视图 return - ( 可选 ) 手工对 EVPN 地址族下的 BGP 会话进行软复位 ( 可选 ) 复位 EVPN 地址族下的 BGP 会话 refresh bgp [ instance instance-name ] { ipv4-address [ mask-length ] all external group group-name internal } { export import } l2vpn evpn reset bgp [ instance instance-name ] { as-number ipv4-address [ mask-length ] all external group group-name internal } l2vpn evpn 配置 AC 与 VSI 关联 将以太网服务实例与 VSI 关联后, 从该接口接收到的 符合以太网服务实例报文匹配规则的报文, 将通过查找关联 VSI 的 MAC 地址表进行转发 以太网服务实例提供了多种报文匹配规则 ( 包括接口接收到的所有报文 所有携带 VLAN Tag 的报文和所有不携带 V LAN Tag 的报文等 ), 为报文关联 VSI 提供了更加灵活的方式 本配置中各命令的详细介绍, 请参见 VXLAN 命令参考 中的 VXLAN 表 2-6 配置以太网服务实例与 VSI 关联操作命令说明进入系统视图 system-view - 进入二层以太网接口视图或二层聚合接口视图 进入二层以太网接口视图 进入二层聚合接口视图 interface interface-type interface-number interface bridge-aggregation interface-number - 创建以太网服务实例, 并进入以太网服务实例视图 配置以太网服务实例的报文匹 service-instance instance-id encapsulation s-vid vlan-id-list [ c-vid vlan-id-list only-tagged ] 缺省情况下, 不存在以太网服务实例 缺省情况下, 未配置报文匹配规 2-4

26 操作命令说明 配规则 encapsulation { default untagged } 则 将以太网服务实例与 VSI 关联 xconnect vsi vsi-name [ access-mode { ethernet vlan } ] [ track track-entry-number&<1-3> ] 缺省情况下, 以太网服务实例未关联 VSI 2.8 配置集中式 EVPN 网关 配置限制和指导 设备作为集中式 EVPN 网关时, 需要在 VTEP 上开启 ARP 泛洪抑制功能 EVPN 组网中通常关闭远端 ARP 自动学习功能, 网关从 VXLAN 隧道上接收到请求网关 MAC 地址的 ARP 请求后, 不会对其进行应答 如果未开启 ARP 泛洪抑制功能, 则可能会导致虚拟机获取不到网关的 MAC 地址 配置准备配置 EVPN 网关前, 需要先配置 VXLAN 隧道工作在三层转发模式 配置步骤表 2-7 配置集中式 EVPN 网关操作命令说明 进入系统视图 system-view - 创建 VSI 虚接口, 并进入 VSI 虚接口视图 配置 VSI 虚接口的 IPv4 地址 interface vsi-interface vsi-interface-id ip address ip-address { mask mask-length } [ sub ] 缺省情况下, 不存在 VSI 虚接口如果 VSI 虚接口已经存在, 则直接进入该 VSI 虚接口视图本命令的详细介绍, 请参见 VXLAN 命令参考 中的 VXLAN 缺省情况下, 未配置 VSI虚接口的 IPv4 地址 退回系统视图 quit - 进入 VXLAN 所在 VSI 视图 vsi vsi-name - 为 VSI 指定网关接口 gateway vsi-interface vsi-interface-id 缺省情况下, 未指定 VSI 的网关接口 本命令的详细介绍, 请参见 VXLAN 命令参考 中的 VXLAN 2-5

27 2.9 配置分布式 EVPN 网关 配置限制和指导如果虚拟机要想与外部网络进行三层通信, 那么完成分布式 EVPN 网关的配置后, 还需要在接入虚拟机的本地分布式 EVPN 网关上配置静态路由或策略路由 : 配置静态路由 : 指定路由的下一跳为 Border 上同一个 VXLA N 对应 VSI 虚接口的 IP 地址 配置策略路由 : 通过 apply default-next-hop 命令或 apply next-hop 命令设置报文的缺省下一跳或下一跳为 Border 上同一个 VXLAN 对应 VSI 虚接口的 IP 地址 策略路由的配置方法, 请参见 三层技术 -IP 路由配置指导 中的 策略路由 在分布式 EVPN 网关设备上, 如果开启了 ARP 泛洪抑制功能, 并在 VSI 虚接口上开启了本地代理 ARP 功能, 则只有本地代理 ARP 功能生效 建议不要在分布式 EVPN 网关设备上同时开启这两个功能 配置准备配置 EVPN 网关前, 需要先配置 VXLAN 隧道工作在三层转发模式 配置 VSI 虚接口作为分布式网关接口表 2-8 配置 VSI 虚接口作为分布式网关接口操作命令说明进入系统视图 system-view - 创建 VSI 虚接口, 并进入 VSI 虚接口视图 配置 VSI 虚接口的 IPv4 地址 配置 VSI 虚接口为分布式网关接口 ( 可选 ) 开启本地代理 ARP 功能 interface vsi-interface vsi-interface-id ip address ip-address { mask mask-length } [ sub ] distributed-gateway local local-proxy-arp enable [ to endip ] ip-range startip 缺省情况下, 不存在 VSI 虚接口如果 VSI 虚接口已经存在, 则直接进入该 VSI 虚接口视图本命令的详细介绍, 请参见 VXLAN 命令参考 中的 VX LAN 缺省情况下, 未配置 VSI 虚接口的 IPv4 地址缺省情况下,VSI 虚接口不是分布式本地网关接口本命令的详细介绍, 请参见 VXLAN 命令参考 中的 VXLAN 缺省情况下, 本地代理 ARP 功能处于关闭状态本命令的详细介绍, 请参见 三层技术 -IP 业务命令参考 中的 代理 ARP 退回系统视图 quit - 进入 VXLAN 所在 VSI 视图 vsi vsi-name - 为 VSI 指定网关接口 gateway vsi-interface vsi-interface-id 缺省情况下, 未指定 VSI 的网关接口本命令的详细介绍, 请参见 VXLAN 命令参考 中的 VXLAN 2-6

28 操作命令说明 配置当前 VSI 所属的子网网段 gateway subnet ipv4-address wildcard-mask 缺省情况下, 未指定 VSI 所属的子网网段为了节省分布式 VXLAN IP 网关设备上的三层接口资源, 在网关设备上多个 VXLAN 可以共用一个 VSI 虚接口, 为 VSI 虚接口配置一个主 IPv4 地址和多个从 IPv4 地址, 分别作为不同 VXLAN 内虚拟机的网关地址多个 VXLAN 共用一个 VSI 虚接口时, 网关设备无法判断从 VSI 虚接口接收到的报文属于哪个 VXLAN 为了解决该问题, 需要在 VSI 视图下通过本命令指定 VSI 所属的子网网段, 通过子网网段判断报文所属的 VSI, 并在该 VSI 内转发报文, 从而限制广播报文范围, 有效地节省带宽资源本命令的详细介绍, 请参见 VXLAN 命令参考 中的 VXLAN 配置 VSI 虚接口关联 L3VNI 表 2-9 配置 VSI 虚接口关联 L3VNI 操作命令说明 进入系统视图 system-view - 创建 VPN 实例, 并进入 VPN 实例视图 ip vpn-instance vpn-instance-name 缺省情况下, 不存在 VPN 实例 配置 VPN 实例的 RD route-distinguisher route-distinguisher 缺省情况下, 未配置 VPN 实例的 RD ( 可选 ) 配置 VPN 实例的 RT ( 可选 ) 对 VPN 实例应用出方向路由策略 vpn-target { vpn-target&<1-8> [ both export-extcommunity import-extcommunity ] auto } export route-policy route-policy 缺省情况下, 未配置 VPN 实例的 Route Target 缺省情况下, 不对发布的路由进行过滤 进入 EVPN 视图 address-family evpn - 在 VPN 实例下配置 EVPN 的 Route Target ( 可选 ) 在 VPN 实例下配置 EVPN 的出方向路由策略 vpn-target vpn-target&<1-8> [ both export-extcommunity import-extcommunity ] export route-policy route-policy 缺省情况下,VPN 实例下的 EVPN 未配置 Route Target 建议为 EVPN 实例配置的 Import target 不要与 VPN 实例的 Export target匹配, 反之亦然 缺省情况下, 不对发布的路由进行过滤 退回 VPN 实例视图 quit - 退回系统视图 quit - 2-7

29 操作命令说明 创建 VSI 虚接口, 并进入 VSI 虚接口视图 配置接口与指定的 VPN 实例关联 配置 L3VPN 的 VXLAN ID interface vsi-interface vsi-interface-id ip binding vpn-instance vpn-instance-name l3-vni vxlan-id 缺省情况下, 不存在 VSI 虚接口 如果 VSI 虚接口已经存在, 则直接进入该 VSI 虚接口视图 缺省情况下, 接口未关联 VPN 实例, 接口属于公网 缺省情况下, 未配置 L3VPN 的 VXLAN ID 一个 VPN 实例只能关联一个 L3VNI 若为 VPN 实例配置了多个 L3VNI, 则该 VPN 实例与数值最小的 L3VNI 关联 通过 display evpn routing-table 命令可以查看与 VPN 实例关联的 L3VNI 配置发布 IP 前缀路由 在 BGP-VPN IPv4 单播地址族视图下引入 IGP 路由后, 如果该 VPN 实例关联了 L3VNI, 则引入的路由将作为 EVPN 的 IP 前缀路由发布给远端 VTEP, 该路由携带 VPN 实例视图或 VPN 实例 IPv4 VPN 视图下配置的 RD 和 RT 远端 VTEP 接收到 EVPN 的 IP 前缀路由, 将路由中的 Route Target 属性与本地 VPN 实例视图或 VPN 实例 IPv4 VPN 视图下配置的 Import Target 进行比较 若匹配, 则接收该路由, 并将该路由添加到 VPN 实例的路由表中 只有分布式 EVPN 网关组网支持本配置 本配置中各命令的详细介绍, 请参见 三层业务 -I P 路由命令参考 中的 BGP 表 2-10 配置发布 IP 前缀路由操作命令说明进入系统视图 system-view - 启动 BGP 实例, 并进入 BGP 实例视图 bgp as-number [ instance instance-name ] 缺省情况下, 没有运行 BGP, [ multi-session-thread ] 不存在 BGP 实例 进入 BGP-VPN 实例视图 ip vpn-instance vpn-instance-name - 进入 BGP-VPN IPv4 单播地址族视图 address-family ipv4 [ unicast ] - import-route protocol [ { process-id 将 IGP 路由协议的路由信息引 all-processes } [ allow-direct med 入到 BGP 路由表中 med-value route-policy route-policy-name ] * ] 缺省情况下,BGP 不会引入 IGP 路由协议的路由信息 ( 可选 ) 允许将缺省路由引入到 BGP 路由表中 default-route imported 缺省情况下,BGP 不允许将缺省路由引入到 BGP 路由表中 2-8

30 2.10 管理远端 MA C 地址和远端 ARP 信息学习 关闭远端 MAC地址和远端 ARP 自动学习功能缺省情况下, 设备从 VXLAN 隧道接收到报文后可以自动学习远端虚拟机的 MAC 地址和 ARP 信息 在 EVPN 组网中, 为了避免自动学习的远端 MAC 地址 /ARP 信息与通过 BGP 通告的 MAC 地址 /ARP 信息冲突, 建议关闭远端 MAC 地址和远端 ARP 自动学习功能 本配置中各命令的详细介绍, 请参见 VXLAN 命令参考 中的 VXLAN 表 2-11 关闭远端 MAC 地址和远端 ARP 自动学习功能操作命令说明进入系统视图 system-view - 关闭远端 MAC 地址自动学习功能 关闭远端 ARP 自动学习功能 vxlan tunnel mac-learning disable vxlan tunnel arp-learning disable 缺省情况下, 远端 MAC 地址自动学习功能处于开启状态 缺省情况下, 远端 ARP 自动学习功能处于开启状态 配置禁止通告 MAC 地址信息 VTEP 可能会同时向远端 VTE P 通告 MAC 地址信息和 ARP 信息 其中,ARP 信息中已经包含 MAC 地址信息 为了避免重复, 可以执行本配置来禁止本端 VTEP 向远端 VTEP 通告 MAC 地址信息 执行本配置后, 本端 VTEP 还会撤销已经发布的 MAC 地址信息 表 2-12 配置禁止通告 MAC 地址信息操作命令说明 进入系统视图 system-view - 进入 VSI 视图 vsi vsi-name - 进入 EVPN 实例视图 evpn encapsulation vxlan - 配置禁止通告 MAC 地址信息, 并撤销已经通告的 MAC 地址信息 mac-advertising disable 缺省情况下, 允许通告 MAC 地址信息 配置禁止 EVPN 从 ARP信息中学习 MAC 地址表项 VTEP 可能会同时接收到远端 VTEP 通告的 MAC 地址信息和 ARP 信息 其中,ARP 信息中包含 MAC 地址信息 为了避免重复, 可以在 VTEP 上执行本配置来禁止 EVPN 从 ARP 信息中学习 MAC 地址表项,EV PN 仅通过 MAC 地址信息学习远端 MAC 地址表项 表 2-13 配置禁止 EVP N 从 ARP 信息中学习 MAC 地址表项 操作命令说明 进入系统视图 system-view - 2-9

31 操作命令说明 进入 VSI 视图 vsi vsi-name - 进入 EVPN 实例视图 evpn encapsulation vxlan - 配置禁止 EVPN 从 ARP 信息中学习 MAC 地址表项 arp mac-learning disable 缺省情况下,EVPN 可以从 ARP 信息中学习 MAC 地址表项 2.11 配置允许向本地站点发布 BGP EVPN 路由 配置允许对外发布 BGP EVPN 路由后, 设备接收到 BGP EVPN 路由, 并将其添加到某个 VPN 实例路由表后, 会将该路由 ( 私网路由 ) 发布到本地站点 表 2-14 配置允许向本地站点发布 BGP EVPN 路由操作命令说明进入系统视图 system-view - bgp as-number [ instance 进入 BGP 实例视图 instance-name ] [ multi-session-thread ] - 进入 BGP-VPN 实例视图 进入 BGP-VPN IPv4 单播地址族视图 ip vpn-instance vpn-instance-name - address-famil y ipv4 [ unicast ] - 配置允许向本地站点发布 BGP EVPN 路由 advertise l2vpn evpn 缺省情况下, 允许向本地站点发布 BGP EVPN 路由 2.12 配置 VSI 泛洪抑制 缺省情况下,VTEP 从本地站点内接收到目的 MAC 地址未知的单播数据帧后, 会在该 VXLAN 内除接收接口外的所有本地接口和 VXLAN 隧道上泛洪该数据帧, 将该数据帧发送给 VXLAN 内的所有站点 如果用户希望把该类数据帧限制在本地站点内, 不通过 VXLAN 隧道将其转发到远端站点, 则可以通过本命令手工禁止 VXLAN 对应 VSI 的泛洪功能 禁止泛洪功能后, 为了将某些 MAC 地址的数据帧泛洪到远端站点以保证某些业务的流量在站点间互通, 可以配置选择性泛洪的 MAC 地址, 当数据帧的目的 MAC 地址匹配该 MAC 地址时, 该数据帧可以泛洪到远端站点 本配置中各命令的详细介绍, 请参见 VXLAN 命令参考 中的 VXLAN 表 2-15 配置 VSI 泛洪抑制操作命令说明进入系统视图 system-view - 进入 VSI 视图 vsi vsi-name

32 操作命令说明 关闭 VSI 的泛洪功能 ( 可选 ) 配置 VSI 选择性泛洪的 MAC 地址 flooding disable { all { broadcast unknown-multicast unknown-unicast } * } selective-flooding mac-address mac-address 缺省情况下,VSI 泛洪功能处于开启状态 unknown-multicast 和 unknown-unicast 参数必须同时指定 缺省情况下, 不存在 VSI 选择性泛洪 MAC 地址 如果用户只希望某些目的 MAC 地址的报文可以泛洪到其它站点, 可以先通过 flooding disable 命令关闭泛洪功能, 再通过本命令配置选择性泛洪的 MAC 地址 2.13 配置 ARP 泛洪抑制 开启 ARP 泛洪抑制时需要注意 : 如果同时执行 flooding disable 命令关闭了 VSI 的泛洪功能, 则 建议通过 mac-address timer 命令配置动态 MAC 地址的老化时间大于 25 分钟 (ARP 泛洪抑制表 项的老化时间 ), 以免 MAC 地址在 AR P 泛洪抑制表项老化之前老化, 产生黑洞 MAC 地址 如果配置了 vxlan tunnel arp-learning disable 命令, 则设备从 VXLAN 隧道上接收到 ARP 请求报 文后, 不会采用匹配的 ARP 泛洪抑制表项对其进行应答 表 2-16 配置 ARP 泛洪抑制 操作 命令 说明 进入系统视图 system-view - 进入 VSI 视图 vsi vsi-name - 开启 ARP 泛洪抑制功能 arp suppression enable 缺省情况下,ARP 泛洪抑制功能处于关闭状态 本命令的详细介绍, 请参见 VXLAN 命令参考 中的 VXLAN 2.14 EVPN 显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 EVPN 的运行情况, 通过查看显示信息验证配置的效果 在用户视图下, 用户可以执行 reset 命令来清除 EVPN 的相关信息 display bgp group display bgp peer display bgp update-group 命令的详细介绍请参见 三层技术 -IP 路由命令参考 中的 BGP 表 2-17 EVPN 显示和维护 操作 显示 BGP 对等体组的信息 命令 display bgp [ instance instance-name ] group l2vpn evpn [ group-name group-name ] 2-11

33 操作 显示 BGP EVPN 路由信息 显示 BGP 对等体或对等体组的状态和统计信息 显示 BGP 打包组的相关信息 显示 EVPN 通过 BGP 自动发现的邻居信息 命令 display bgp [ instance instance-name ] l2vpn evpn [ peer ipv4-address { advertised-routes received-routes } [ statistics ] route-distinguisher route-distinguisher [ route-type { auto-discovery es imet ip-prefix mac-ip } ] [ evpn-route route-length [ advertise-info ] ] route-type { auto-discovery es imet ip-prefix mac-ip } statistics ] display bgp [ instance instance-name ] peer l2vpn evpn [ ipv4-address mask-length { ipv4-address group-name group-name } log-info [ ipv4-address ] verbose ] display bgp [ instance instance-name ] update-group l2vpn evpn [ ipv4-address ] display evpn auto-discovery { imet [ peer ip-address] [ vsi vsi-name ] macip-prefix [ nexthop next-hop ] [ count ] } 显示 EVPN 的 MAC 地址信息 display evpn route mac [ local remote ] [ vsi vsi-name ] [ count ] 显示 EVPN 的 ARP 信息 显示 EVPN 的 ARP 泛洪抑制信息 显示 EVPN 的路由表信息 display evpn route arp [ local remote ] [ vpn-instance vpn-instance-name ] [ count ] display evpn route arp suppression [ local remote ] [ vsi vsi-name ] [ count ] display evpn routing-table vpn-instance vpn-instance-name [ count ] 2.15 EVPN 典型配置举例 ( 交换应用 ) 集中式 EVPN 网关配置举例 1. 组网需求 Switch A Switch B 为与服务器连接的 VTEP 设备 ;Switch C 为与广域网连接的集中式 EVPN 网关设备 ;Switch D 为 RR, 负责在交换机之间反射 BGP 路由 虚拟机 VM 1 和 VM 3 属于 VXLAN 10;VM 2 和 VM 4 属于 VXLAN 20 相同 VXLAN 之间可以二层互通, 不同 VXLAN 之间 VXLAN 与广域网之间可以通过集中式 EVPN 网关互通 2-12

34 2. 组网图 图 2-1 集中式 EVPN 网关配置组网图 3. 配置步骤 (1) 配置 IP 地址和单播路由协议 # 在 VM 1 和 VM 3 上指定网关地址为 ; 在 VM 2 和 VM 4 上指定网关地址为 ( 具体配置过程略 ) # 请按照图 2-1 配置各接口的 IP 地址和子网掩码 ; 在 IP 核心网络内配置 OSPF 协议, 确保交换机之间路由可达 ( 具体配置过程略 ) (2) 配置 Switch A # 开启 L2VPN 能力 <SwitchA> system-view [SwitchA] l2vpn enable # 配置 VXLAN 隧道工作在二层转发模式 [SwitchA] undo vxlan ip-forwarding # 关闭远端 MAC 地址自动学习功能 [SwitchA] vxlan tunnel mac-learning disable # 在 VSI 实例 vpna 下创建 EVPN 实例, 并配置自动生成 EVPN 实例的 RD 和 RT [SwitchA] vsi vpna [SwitchA-vsi-vpna] arp suppression enable [SwitchA-vsi-vpna] evpn encapsulation vxlan [SwitchA-vsi-vpna-evpn-vxlan] route-distinguisher vpn-target auto auto [SwitchA-vsi-vpna-evpn-vxlan] [SwitchA-vsi-vpna-evpn-vxlan] quit # 创建 VXLAN 10 [SwitchA-vsi-vpna] vxlan

35 [SwitchA-vsi-vpna-vxlan-10] quit [SwitchA-vsi-vpna] quit # 在 VSI 实例 vpnb 下创建 EVPN 实例, 并配置自动生成 EVPN 实例的 RD 和 RT [SwitchA] vsi vpnb [SwitchA-vsi-vpnb] arp suppression enable [SwitchA-vsi-vpnb] evpn encapsulation vxlan [SwitchA-vsi-vpnb-evpn-vxlan] route-distinguisher auto [SwitchA-vsi-vpnb-evpn-vxlan] vpn-target auto [SwitchA-vsi-vpnb-evpn-vxlan] quit # 创建 VXLAN 20 [SwitchA-vsi-vpnb] vxlan 20 [SwitchA-vsi-vpnb-vxlan-20] quit [SwitchA-vsi-vpnb] quit # 配置 BGP 发布 EVPN 路由 [SwitchA] bgp 200 [SwitchA-bgp-default] peer as-number 200 [SwitchA-bgp-default] peer connect-interface loopback 0 [SwitchA-bgp-default] address-family l2vpn evpn [SwitchA-bgp-default-evpn] peer enable [SwitchA-bgp-default-evpn] quit [SwitchA-bgp-default] quit # 在接入服务器的接口 HundredGigE1/0/1 上创建以太网服务实例 1000, 该实例用来匹配 VLAN 2 的数据帧 [SwitchA] interface hundredgige 1/0/1 [SwitchA-HundredGigE1/0/1] service-instance 1000 [SwitchA-HundredGigE1/0/1-srv1000] encapsulation s-vid 2 # 配置以太网服务实例 1000 与 VSI 实例 vpna 关联 [SwitchA-HundredGigE1/0/1-srv1000] xconnect vsi vpna [SwitchA-HundredGigE1/0/1-srv1000] quit # 在接口 HundredGigE1/0/1 上创建以太网服务实例 2000, 该实例用来匹配 VLAN 3 的数据帧 [SwitchA-HundredGigE1/0/1] service-instance 2000 [SwitchA-HundredGigE1/0/1-srv2000] encapsulation s-vid 3 # 配置以太网服务实例 2000 与 VSI 实例 vpnb 关联 [SwitchA-HundredGigE1/0/1-srv2000] xconnect vsi vpnb [SwitchA-HundredGigE1/0/1-srv2000] quit [SwitchA-HundredGigE1/0/1] quit (3) 配置 Switch B # 开启 L2VPN 能力 <SwitchB> system-view [SwitchB] l2vpn enable # 配置 VXLAN 隧道工作在二层转发模式 [SwitchB] undo vxlan ip-forwarding # 关闭远端 MAC 地址自动学习功能 [SwitchB] vxlan tunnel mac-learning disable # 在 VSI 实例 vpna 下创建 EVPN 实例, 并配置自动生成 EVPN 实例的 RD 和 RT 2-14

36 [SwitchB] vsi vpna [SwitchB-vsi-vpna] arp suppression enable [SwitchB-vsi-vpna] evpn encapsulation vxlan [SwitchB-vsi-vpna-evpn-vxlan] route-distinguisher auto [SwitchB-vsi-vpna-evpn-vxlan] vpn-target auto [SwitchB-vsi-vpna-evpn-vxlan] quit # 创建 VXLAN 10 [SwitchB-vsi-vpna] vxlan 10 [SwitchB-vsi-vpna-vxlan-10] quit [SwitchB-vsi-vpna] quit # 在 VSI 实例 vpnb 下创建 EVPN 实例, 并配置自动生成 EVPN 实例的 RD 和 RT [SwitchB] vsi vpnb [SwitchB-vsi-vpnb] arp suppression enable [SwitchB-vsi-vpnb] evpn encapsulation vxlan [SwitchB-vsi-vpnb-evpn-vxlan] route-distinguisher auto [SwitchB-vsi-vpnb-evpn-vxlan] vpn-target auto [SwitchB-vsi-vpnb-evpn-vxlan] quit # 创建 VXLAN 20 [SwitchB-vsi-vpnb] vxlan 20 [SwitchB-vsi-vpnb-vxlan-20] quit [SwitchB-vsi-vpnb] quit # 配置 BGP 发布 EVPN 路由 [SwitchB] bgp 200 [SwitchB-bgp-default] peer as-number 200 [SwitchB-bgp-default] peer connect-interface loopback 0 [SwitchB-bgp-default] address-family l2vpn evpn [SwitchB-bgp-default-evpn] peer enable [SwitchB-bgp-default-evpn] quit [SwitchB-bgp-default] quit # 在接入服务器的接口 HundredGigE1/0/1 上创建以太网服务实例 1000, 该实例用来匹配 VLAN 2 的数据帧 [SwitchB] interface hundredgige 1/0/1 [SwitchB-HundredGigE1/0/1] service-instance 1000 [SwitchB-HundredGigE1/0/1-srv1000] encapsulation s-vid 2 # 配置以太网服务实例 1000 与 VSI 实例 vpna 关联 [SwitchB-HundredGigE1/0/1-srv1000] xconnect vsi vpna [SwitchB-HundredGigE1/0/1-srv1000] quit [SwitchB-HundredGigE1/0/1] quit # 在接口 HundredGigE1/0/2 上创建以太网服务实例 2000, 该实例用来匹配 VLAN 3 的数据帧 [SwitchB] interface hundredgige 1/0/2 [SwitchB-HundredGigE1/0/2] service-instance 2000 [SwitchB-HundredGigE1/0/2-srv2000] encapsulation s-vid 3 # 配置以太网服务实例 2000 与 VSI 实例 vpnb 关联 [SwitchB-HundredGigE1/0/2-srv2000] xconnect vsi vpnb [SwitchB-HundredGigE1/0/2-srv2000] quit [SwitchB-HundredGigE1/0/2] quit 2-15

37 (4) 配置 Switch C # 开启 L2VPN 能力 <SwitchC> system-view [SwitchC] l2vpn enable # 关闭远端 MAC 地址自动学习功能 [SwitchC] vxlan tunnel mac-learning disable # 在 VS I 实例 vpna 下创建 EVPN 实例, 并配置自动生成 EVPN 实例的 RD 和 RT [SwitchC] vsi vpna [SwitchC-vsi-vpna] evpn encapsulation vxlan [SwitchC-vsi-vpna-evpn-vxlan] route-distinguisher auto [SwitchC-vsi-vpna-evpn-vxlan] vpn-target auto [SwitchC-vsi-vpna-evpn-vxlan] quit # 创建 VXLAN 10 [SwitchC-vsi-vpna] vxlan 10 [SwitchC-vsi-vpna-vxlan-10] quit [SwitchC-vsi-vpna] quit # 在 VSI 实例 vpn b 下创建 EVPN 实例, 并配置自动生成 EVPN 实例的 RD 和 RT [SwitchC] vsi vpnb [SwitchC-vsi-vpnb] evpn encapsulation vxlan [SwitchC-vsi-vpnb-evpn-vxlan] route-distinguisher auto [SwitchC-vsi-vpnb-evpn-vxlan] vpn-target auto [SwitchC-vsi-vpnb-evpn-vxlan] quit # 创建 VXLAN 20 [SwitchC-vsi-vpnb] vxlan 20 [SwitchC-vsi-vpnb-vxlan-20] quit [SwitchC-vsi-vpnb] quit # 配置 BGP 发布 EVPN 路由 [SwitchC] bgp 200 [SwitchC-bgp-default] peer as-number 200 [SwitchC-bgp-default] peer connect-interface loopback 0 [SwitchC-bgp-default] address-family l2vpn evpn [SwitchC-bgp-default-evpn] peer enable [SwitchC-bgp-default-evpn] quit [SwitchC-bgp-default] quit # 创建 VSI 虚接口 VSI-interface1, 并为其配置 IP 地址, 该 IP 地址作为 VXLAN 10 内虚拟机的网关地址 [SwitchC] interface vsi-interface 1 [SwitchC-Vsi-interface1] ip address [SwitchC-Vsi-interface1] quit # 配置 VXLAN 10 所在的 VSI 实例和接口 VSI-interface1 关联 [SwitchC] vsi vpna [SwitchC-vsi-vpna] gateway vsi-interface 1 [SwitchC-vsi-vpna] quit # 创建 VSI 虚接口 VSI-interface2, 并为其配置 IP 地址, 该 IP 地址作为 VXLAN 20 内虚拟机的网关地址 2-16

38 [SwitchC] interface vsi-interface 2 [SwitchC-Vsi-interface2] ip address [SwitchC-Vsi-interface2] quit # 配置 VXLAN 20 所在的 VSI 实例和接口 VSI-interface1 关联 [SwitchC] vsi vpnb [SwitchC-vsi-vpnb] gateway vsi-interface 2 [SwitchC-vsi-vpnb] quit (5) 配置 Switch D # 配置 Switch D 与其他交换机建立 BGP 连接 <SwitchD> system-view [SwitchD] bgp 200 [SwitchD-bgp-default] group evpn [SwitchD-bgp-default] peer group evpn [SwitchD-bgp-default] peer group evpn [SwitchD-bgp-default] peer group evpn [SwitchD-bgp-default] peer evpn as-number 200 [SwitchD-bgp-default] peer evpn connect-interface loopback 0 # 配置 BGP 发布 EVPN 路由, 并关闭 BGP EVPN 路由的 VPN-Target 过滤功能 [SwitchD-bgp-default] address-family l2vpn evpn [SwitchD-bgp-default-evpn] peer evpn enable [SwitchD-bgp-default-evpn] undo policy vpn-target # 配置 Switch D 为路由反射器 [SwitchD-bgp-default-evpn] peer evpn reflect-client [SwitchD-bgp-default-evpn] quit [SwitchD-bgp-default] quit 4. 验证配置 (1) 验证 EVPN 网关设备 Switch C # 查看 Switch C 上的 EVPN 路由信息, 可以看到 Switch C 发送了网关的 MAC/IP 路由和 IMET 路由, 并接收到 Switch A 和 Switch B 发送的 MAC/IP 路由和 IMET 路由 [SwitchC] display bgp l2vpn evpn BGP local router ID is Status codes: * - valid, > - best, d - dampened, h - history, s - suppressed, S - stale, i - internal, e - external Origin: i - IGP, e - EGP,? - incomplete Total number of routes from all PEs: 8 Route distinguisher: 1:10 Total number of routes: 4 Network NextHop MED LocPrf PrefVal Path/Ogn * >i [2][0][48][ ][0][ ]/ i * >i [2][0][48][ ][0][ ]/ i 2-17

39 * > [2][0][48][ ][32][ ]/ i * >i [3][10][32][ ]/ * > [3][10][32][ ]/ i i Route distinguisher: 1:20 Total number of routes: 4 Network NextHop MED LocPrf PrefVal Path/Ogn * >i [2][0][48][ ][0][ ]/ i * >i [2][0][48][ ][0][ ]/ i * > [2][0][48][ ][32][ ]/ i * > [3][20][32][ ]/ i * >i [3][20][32][ ]/ i # 查看 Switch C 上的 Tunnel 接口信息, 可以看到 VXLAN 模式的 Tunnel 接口处于 up 状态 [SwitchC] display interface tunnel Tunnel0 Current state: UP Line protocol state: UP Description: Tunnel0 Interface Bandwidth: 64 kbps Maximum transmission unit: 1464 Internet protocol processing: Disabled Last clearing of counters: Never Tunnel source , destination Tunnel protocol/transport UDP_VXLAN/IP Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec Last 300 seconds output rate: 7 bytes/sec, 56 bits/sec, 0 packets/sec Input: 10 packets, 980 bytes, 0 drops Output: 85 packets, 6758 bytes, 0 drops Tunnel1 Current state: UP Line protocol state: UP Description: Tunnel1 Interface Bandwidth: 64 kbps Maximum transmission unit: 1464 Internet protocol processing: Disabled Last clearing of counters: Never Tunnel source , destination

40 Tunnel protocol/transport UDP_VXLAN/IP Last 300 seconds input rate: 1 bytes/ sec, 8 bits/sec, 0 packets/sec Last 300 seconds output rate: 9 bytes/sec, 72 bits/sec, 0 packets/sec Input: 277 packets, bytes, 0 drops Output: 1099 packets, bytes, 0 drops # 查看 Switch C 上的 VSI 虚接口信息, 可以看到 VSI 虚接口处于 up 状态 [SwitchC] display interface vsi-interface Vsi-interface1 Current state: UP Line protocol state: UP Description: Vsi-interface1 Interface Bandwidth: kbps Maximum transmission unit: 1444 Internet address: /24 (primary) IP packet frame type: Ethernet II, hardware address: IPv6 packet frame type: Ethernet II, hardware address: Physical: Unknown, baudrate: kbps Last clearing of counters: Never Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec Input: 0 packets, 0 bytes, 0 drops Output: 64 packets, 6272 bytes, 0 drops Vsi-interface2 Current state: UP Line protocol state: UP Description: Vsi-interface2 Interface Bandwidth: kbps Maximum transmission unit: 1500 Internet address: /24 (primary) IP packet frame type: Ethernet II, hardware address: IPv6 packet frame type: Ethernet II, hardware address: Physical: Unknown, baudrate: kbps Last clearing of counters: Never Last 300 seconds input rate: 41 bytes/sec, 328 bits/sec, 0 packets/sec Last 300 seconds output rate: 52 bytes/sec, 416 bits/sec, 0 packets/sec Input: 2016 packets, bytes, 0 drops Output: 2144 packets, bytes, 0 drops # 查看 Switch C 上的 VSI 信息, 可以看到 VSI 内创建的 VXLAN 与 VXLAN 关联的 VXLAN 隧道 与 VSI 关联的 VSI 虚接口等信息 [SwitchC] display l2vpn vsi verbose VSI Name: vpna VSI Index : 0 VSI State : Up MTU : 1500 Bandwidth : - Broadcast Restrain : - Multicast Restrain :

41 Unknown Unicast Restrain: - MAC Learning : Enabled MAC Table Limit MAC Learning rate : - : - Drop Unknown : - Flooding : Enabled Statistics : Disabled Gateway Interface : VSI-interface 1 VXLAN ID : 10 Tunnels: Tunnel Name Link ID State Type Flood proxy Tunnel1 0x UP Auto Disabled VSI Name: vpnb VSI Index : 1 VSI State : Up MTU : 1500 Bandwidth : - Broadcast Restrain : - Multicast Restrain : - Unknown Unicast Restrain: - MAC Learning : Enabled MAC Table Limit : - MAC Learning rate : - Drop Unknown : - Flooding : Enabled Statistics : Disabled Gateway Interface : VSI-interface 2 VXLAN ID : 20 Tunnels: Tunnel Name Link ID State Type Flood proxy Tunnel0 0x UP Auto Disabled # 查看 Switch C 上 VSI 的 EVPN ARP 表项信息, 可以看到已学习到了虚拟机的 ARP 信息 [SwitchC] display evpn route arp Flags: D - Dynamic B - BGP G - Gateway L - Local Active VPN instance:- Interface:Vsi-interface2 IP address MAC address Router MAC VSI Index Flags GL B B VPN instance:- Interface:Vsi-interface1 IP address MAC address Router MAC VSI Index Flags GL B B # 查看 Switch C 上 FIB 表项信息, 可以看到已学习到了虚拟机的转发表项信息 2-20

42 [SwitchC] display fib Destination count: 1 FIB entry count: 1 Flag: U:Useable G:Gateway H:Host B:Blackhole D:Dynamic S:Static R:Relay F:FRR Destination/Mask Nexthop Flag OutInterface/Token Label / UH Vsi1 Null (2) 验证主机之间可以互访 虚拟机 VM 1 VM 2 VM 3 VM 4 之间可以互访 分布式 EVPN 网关配置举例 1. 组网需求 Switch A Switch B 为分布式 EVPN 网关设备 ;Switch C 为与广域网连接的边界网关设备 ;Switch D 为 RR, 负责在交换机之间反射 BGP 路由 虚拟机 VM 1 和 VM 3 属于 VXLAN 10; VM 2 和 VM 4 属于 VXLAN 20 相同 VXLAN 之间可以二层互通 ; 不同 VXLAN 之间通过分布式 EVPN 网关实现三层互通 ;VXLAN 与广域网之间通过边界网关实现三层互通 2. 组网图图 2-2 分布式 EVPN 网关配置组网图 3. 配置步骤 (1) 配置 IP 地址和单播路由协议 # 在 VM 1 和 VM 3 上指定网关地址为 ; 在 VM 2 和 VM 4 上指定网关地址为 ( 具体配置过程略 ) 2-21

43 # 请按照图 2-2 配置各接口的 IP 地址和子网掩码 ; 在 IP 核心网络内配置 OSPF 协议, 确保交换机之间路由可达 ( 具体配置过程略 ) (2) 配置 Switch A # 开启 L2VPN 能力 <SwitchA> system-view [SwitchA] l2vpn enable # 关闭远端 MAC 地址和远端 ARP 自动学习功能 [SwitchA] vxlan tunnel mac-learning disable [SwitchA] vxlan tunnel arp-learning disable # 在 VSI 实例 vpna 下创建 EVPN 实例, 并配置自动生成 EVPN 实例的 RD 和 RT [SwitchA] vsi vpna [SwitchA-vsi-vpna] evpn encapsulation vxlan [SwitchA-vsi-vpna-evpn-vxlan] route-distinguisher auto [SwitchA-vsi-vpna-evpn-vxlan] vpn-target auto [SwitchA-vsi-vpna-evpn-vxlan] quit # 创建 VXLAN 10 [SwitchA-vsi-vpna] vxlan 10 [SwitchA-vsi-vpna-vxlan-10] quit [SwitchA-vsi-vpna] quit # 在 VSI 实例 vpnb 下创建 EVPN 实例, 并配置自动生成 EVPN 实例的 RD 和 RT [SwitchA] vsi vpnb [SwitchA-vsi-vpnb] evpn encapsulation vxlan [SwitchA-vsi-vpnb-evpn-vxlan] route-distinguisher auto [SwitchA-vsi-vpnb-evpn-vxlan] vpn-target auto [SwitchA-vsi-vpnb-evpn-vxlan] quit # 创建 VXLAN 20 [SwitchA-vsi-vpnb] vxlan 20 [SwitchA-vsi-vpnb-vxlan-20] quit [SwitchA-vsi-vpnb] quit # 配置 BGP 发布 EVPN 路由 [SwitchA] bgp 200 [SwitchA-bgp-default] peer as-number 200 [SwitchA-bgp-default] peer connect-interface loopback 0 [SwitchA-bgp-default] address-family l2vpn evpn [SwitchA-bgp-default-evpn] peer enable [SwitchA-bgp-default-evpn] quit [SwitchA-bgp-default] quit # 在接入服务器的接口 HundredGigE1/0/1 上创建以太网服务实例 1000, 该实例用来匹配 VLAN 2 的数据帧 [SwitchA] interface hundredgige 1/0/1 [SwitchA-HundredGigE1/0/1] service-instance 1000 [SwitchA-HundredGigE1/0/1-srv1000] encapsulation s-vid 2 # 配置以太网服务实例 1000 与 VSI 实例 vpna 关联 [SwitchA-HundredGigE1/0/1-srv1000] xconnect vsi vpna [SwitchA-HundredGigE1/0/1-srv1000] quit 2-22

44 # 在接口 HundredGigE1/0/1 上创建以太网服务实例 2000, 该实例用来匹配 VLAN 3 的数据帧 [SwitchA-HundredGigE1/0/1] service-instance 2000 [SwitchA-HundredGigE1/0/1-srv2000] encapsulation s-vid 3 # 配置以太网服务实例 2000 与 VSI 实例 vpnb 关联 [SwitchA-HundredGigE1/0/1-srv2000] xconnect vsi vpnb [SwitchA-HundredGigE1/0/1-srv2000] quit [SwitchA-HundredGigE1/0/1] quit # 配置 L3VNI 的 RD 和 RT [SwitchA] ip vpn-instance vpna [SwitchA-vpn-instance-vpna] route-distinguisher 1:1 [SwitchA-vpn-instance-vpna] address-family ipv4 [SwitchA-vpn-ipv4-vpna] vpn-target 2:2 [SwitchA-vpn-ipv4-vpna] quit [SwitchA-vpn-instance-vpna] address-family evpn [SwitchA-vpn-evpn-vpna] vpn-target 1:1 [SwitchA-vpn-evpn-vpna] quit [SwitchA-vpn-instance-vpna] quit # 配置 VSI 虚接口 VSI-interface1 [SwitchA] interface vsi-interface 1 [SwitchA-Vsi-interface1] ip binding vpn-instance vpna [SwitchA-Vsi-interface1] ip address [SwitchA-Vsi-interface1] mac-address [SwitchA-Vsi-interface1] distributed-gateway local [SwitchA-Vsi-interface1] local-proxy-arp enable [SwitchA-Vsi-interface1] quit # 配置 VSI 虚接口 VSI-interface2 [SwitchA] interface vsi-interface 2 [SwitchA-Vsi-interface2] ip binding vpn-instance vpna [SwitchA-Vsi-interface2] ip address [SwitchA-Vsi-interface2] mac-address [SwitchA-Vsi-interface2] distributed-gateway local [SwitchA-Vsi-interface2] local-proxy-arp enable [SwitchA-Vsi-interface2] quit # 创建 VSI 虚接口 VSI-interface3, 在该接口上配置 VPN 实例 vpna 对应的 L3VNI 为 1000 [SwitchA] interface vsi-interface 3 [SwitchA-Vsi-interface3] ip binding vpn-instance vpna [SwitchA-Vsi-interface3] l3-vni 1000 [SwitchA-Vsi-interface3] quit # 配置 VXLAN 10 所在的 VSI 实例和接口 VSI-interface1 关联 [SwitchA] vsi vpna [SwitchA-vsi-vpna] gateway vsi-interface 1 [SwitchA-vsi-vpna] quit # 配置 VXLAN 20 所在的 VSI 实例和接口 VSI-interface2 关联 [SwitchA] vsi vpnb [SwitchA-vsi-vpnb] gateway vsi-interface 2 [SwitchA-vsi-vpnb] quit 2-23

45 (3) 配置 Switch B # 开启 L2VPN 能力 <SwitchB> system-view [SwitchB] l2vpn enable # 关闭远端 MAC 地址和远端 ARP 自动学习功能 [SwitchB] vxlan tunnel mac-learning disable [SwitchB] vxlan tunnel arp-learning disable # 在 VSI 实例 vpna 下创建 EVPN 实例, 并配置自动生成 EVPN 实例的 RD 和 RT [SwitchB] vsi vpna [SwitchB-vsi-vpna] evpn encapsulation vxlan [SwitchB-vsi-vpna-evpn-vxlan] route-distinguisher auto [SwitchB-vsi-vpna-evpn-vxlan] vpn-target auto [SwitchB-vsi-vpna-evpn-vxlan] quit # 创建 VXLAN 10 [SwitchB-vsi-vpna] vxlan 10 [SwitchB-vsi-vpna-vxlan-10] quit [SwitchB-vsi-vpna] quit # 在 VSI 实例 vpnb 下创建 EVPN 实例, 并配置自动生成 EVPN 实例的 RD 和 RT [SwitchB] vsi vpnb [SwitchB-vsi-vpnb] evpn encapsulation vxlan [SwitchB-vsi-vpnb-evpn-vxlan] route-distinguisher auto [SwitchB-vsi-vpnb-evpn-vxlan] vpn-target auto [SwitchB-vsi-vpnb-evpn-vxlan] quit # 创建 VXLAN 20 [SwitchB-vsi-vpnb] vxlan 20 [SwitchB-vsi-vpnb-vxlan-20] quit [SwitchB-vsi-vpnb] quit # 配置 BGP 发布 EVPN 路由 [SwitchB] bgp 200 [SwitchB-bgp-default] peer as-number 200 [SwitchB-bgp-default] peer connect-interface loopback 0 [SwitchB-bgp-default] address-family l2vpn evpn [SwitchB-bgp-default-evpn] peer enable [SwitchB-bgp-default-evpn] quit [SwitchB-bgp-default] quit # 在接入服务器的接口 HundredGigE1/0/1 上创建以太网服务实例 1000, 该实例用来匹配 VLAN 2 的数据帧 [SwitchB] interface hundredgige 1/0/1 [SwitchB-HundredGigE1/0/1] service-instance 1000 [SwitchB-HundredGigE1/0/1-srv1000] encapsulation s-vid 2 # 配置以太网服务实例 1000 与 VSI 实例 vpna 关联 [SwitchB-HundredGigE1/0/1-srv1000] xconnect vsi vpna [SwitchB-HundredGigE1/0/1-srv1000] quit [SwitchB-HundredGigE1/0/1] quit # 在接口 HundredGigE1/0/2 上创建以太网服务实例 2000, 该实例用来匹配 VLAN 3 的数据帧 2-24

46 [SwitchB] interface hundredgige 1/0/2 [SwitchB-HundredGigE1/0/2] service-instance 2000 [SwitchB-HundredGigE1/0/2-srv2000] encapsulation s-vid 3 # 配置以太网服务实例 2000 与 VSI 实例 vpnb 关联 [SwitchB-HundredGigE1/0/2-srv2000] xconnect vsi vpnb [SwitchB-HundredGigE1/0/2-srv2000] quit [SwitchB-HundredGigE1/0/2] quit # 配置 L3 VNI 的 RD 和 RT [SwitchB] ip vpn-instance vpna [SwitchB-vpn-instance-vpna] route-distinguisher 1: 1 [SwitchB-vpn-instance-vpna] address-family ipv4 [SwitchB-vpn-ipv4-vpna] vpn-target 2:2 [SwitchB-vpn-ipv4-vpna] quit [SwitchB-vpn-instance-vpna] address-family evpn [SwitchB-vpn-evpn-vpna] vpn-target 1:1 [SwitchB-vpn-evpn-vpna] quit [SwitchB-vpn-instance-vpna] quit # 配置 VSI 虚接口 VSI-interface1 [SwitchB] interface vsi-interface 1 [SwitchB-Vsi-interface1] ip binding vpn-instance vpna [SwitchB-Vsi-interface1] ip address [SwitchB-Vsi-interface1] mac-address [SwitchB-Vsi-interface1] distributed-gateway local [SwitchB-Vsi-interface1] local-proxy-arp enable [SwitchB-Vsi-interface1] quit # 创建 VSI 虚接口 VSI-interface2 [SwitchB] interface vsi-interface 2 [SwitchB-Vsi-interface2] ip binding vpn-instance vpna [SwitchB-Vsi-interface2] ip address [SwitchB-Vsi-interface2] mac-address [SwitchB-Vsi-interface2] distributed-gateway local [SwitchB-Vsi-interface2] local-proxy-arp enable [SwitchB-Vsi-interface2] quit # 创建 VSI 虚接口 VSI-interface3, 在该接口上配置 VPN 实例 vpna 对应的 L3VNI 为 1000 [SwitchB] interface vsi-interface 3 [SwitchB-Vsi-interface3] ip binding vpn-instance vpna [SwitchB-Vsi-interface3] l3-vni 1000 [SwitchB-Vsi-interface3] quit # 配置 VXLAN 10 所在的 VSI 实例和接口 VSI-interface1 关联 [SwitchB] vsi vpna [SwitchB-vsi-vpna] gateway vsi-interface 1 [SwitchB-vsi-vpna] quit # 配置 VXLAN 20 所在的 VSI 实例和接口 VSI-interface2 关联 [SwitchB] vsi vpnb [SwitchB-vsi-vpnb] gateway vsi-interface 2 [SwitchB-vsi-vpnb] quit 2-25

47 (4) 配置 Switch C # 开启 L2VPN 能力 <SwitchC> system-view [SwitchC] l2vpn enable # 关闭远端 MAC 地址和远端 ARP 自动学习功能 [SwitchC] vxlan tunnel mac-learning disable [SwitchC] vxlan tunnel arp-learning disable # 配置 BGP 发布 EVPN 路由 [SwitchC] bgp 200 [SwitchC-bgp-default] peer as-number 200 [SwitchC-bgp-default] peer connect-interface loopback 0 [SwitchC-bgp-default] address-family l2vpn evpn [SwitchC-bgp-default-evpn] peer enable [SwitchC-bgp-default-evpn] quit [SwitchC-bgp-default] quit # 配置 L3 VNI 的 RD 和 RT [SwitchC] ip vpn-instance vpna [SwitchC-vpn-instance-vpna] route-distinguisher 1:1 [SwitchC-vpn-instance-vpna] address-family ipv4 [SwitchC-vpn-ipv4-vpna] vpn-target 2:2 [SwitchC-vpn-ipv4-vpna] quit [SwitchC-vpn-instance-vpna] address-family evpn [SwitchC-vpn-evpn-vpna] vpn-target 1:1 [SwitchC-vpn-evpn-vpna] quit [SwitchC-vpn-instance-vpna] quit # 创建 VSI 虚接口 VSI-interface3, 在该接口上配置 VPN 实例 vpna 对应的 L3VNI 为 1000 [SwitchC] interface vsi-interface 3 [SwitchC-Vsi-interface3] ip binding vpn-instance vpna [SwitchC-Vsi-interface3] l3-vni 1000 [SwitchC-Vsi-interface3] quit # 配置缺省路由 [SwitchC] ip route-static vpn-instance vpna null0 # 将缺省路由引入到 VPN 实例 vpna 的 BGP IPv4 单播路由表中 [SwitchC] bgp 200 [SwitchC-bgp-default] ip vpn-instance vpna [SwitchC-bgp-default-vpna] address-family ipv4 unicast [SwitchC-bgp-default-ipv4-vpna] default-route imported [SwitchC-bgp-default-ipv4-vpna] import-route static [SwitchC-bgp-default-ipv4-vpna] quit [SwitchC-bgp-default-vpna] quit [SwitchC-bgp-default] quit (5) 配置 Switch D # 配置 Switch D 与其他交换机建立 BGP 连接 <SwitchD> system-view [SwitchD] bgp 200 [SwitchD-bgp-default] group evpn 2-26

48 [SwitchD-bgp-default] peer group evpn [SwitchD-bgp-default] peer group evpn [SwitchD-bgp-default] peer group evpn [SwitchD-bgp-default] peer evpn as-number 200 [SwitchD-bgp-default] peer evpn connect-interface loopback 0 # 配置 BGP 发布 EVPN 路由, 并关闭 BGP EVPN 路由的 VPN-Target 过滤功能 [SwitchD-bgp-default] address-family l2vpn evpn [SwitchD-bgp-default-evpn] peer evpn enable [SwitchD-bgp-default-evpn] undo policy vpn-target # 配置 Switch D 为路由反射器 [SwitchD-bgp-default-evpn] peer evpn reflect-client [SwitchD-bgp-default-evpn] quit [SwitchD-bgp-default] quit 4. 验证配置 (1) 验证分布式 EVPN 网关设备 Switch A # 查看 Switch A 上的 EVPN 路由信息, 可以看到 Switch A 发送了网关的 IP 前缀路由 各 VSI 的 IMET 路由和 MAC/IP 路由, 并接收到 Switch B 发送的网关 IP 前缀路由 各 VSI 的 IMET 路由和 MAC/IP 路由 [SwitchA] display bgp l2vpn evpn BGP local router ID is Status codes: * - valid, > - best, d - dampened, h - history, s - suppressed, S - stale, i - internal, e - external Origin: i - IGP, e - EGP,? - incomplete Total number of routes from all PEs: 14 Route distinguisher: 1:1 Total number of routes: 4 Network NextHop MED LocPrf PrefVal Path/Ogn * > [5][0][24][ ]/ i * > [5][0][24][ ]/ * >i [5][0][24][ ]/ i i * >i [5][0][24][ ]/ i Route distinguisher: 1:10 Total number of routes: 5 Network NextHop MED LocPrf PrefVal Path/Ogn * > [2][0][48][ ][0][ ]/ i 2-27