华为云HCS8.0.3增强型云专线中Vxlan技术详解

华为云HCS8.0.3概述

在华为云HCS8.0.3中，采用FusionSphere OpenStack架构（如图1），对各个物理数据中心资源进行整合；使用ManageOne作为数据中心管理软件，对多个数据中心提供统一管理。通过云平台和数据中心管理软件协同运作，达到多数据中心融合、提升企业整体IT效率的目的。

图1 标准组 架构

应用此架构，在 络节点服务器上部署Vrouter、L3 NAT、BR等 络组件，结合ManagerOne交互界面，实现软件SDN功能。业务自动触发、自动建立Vxlan隧道，实现Vxlan封装和解封装。以下就以华为云增强型云专线业务中的Vxlan应用，说明整个平台和业务、 络设备的联动以及相应 文转发流程。

Vxlan技术概述

Vxlan技术的发展是随着服务器虚拟化、跨数据中心（三层）虚拟机迁移以及大量租户自行规划内部VLAN和地址这些应用需求逐步发展而完善。而在现云数据中心应用中，Vxlan可以白屏化配置、业务触发、自动建立隧道，运营管理员以及运维人员甚至不需要知道具体的Vxlan隧道建立和 文流转过程，就可以实现完全的黑盒封装。

以下是我学习Vxlan基础知识的一些总结：

随着技术的进一步发展，手动建立Vxlan隧道，尤其是针对arp、MAC地址等信息通过类似传统二层 络泛洪方式学习，显然不适合云数据中心这种规模的场景。一是手动建立Vxlan隧道工作繁杂，不能与云平台业务有效结合；二是通过泛洪学习MAC/IP信息效率太低，影响整个数据中心带宽。因此，提出了EVPN技术，EVPN可以结合BGP VPN了解，指的是BGP扩展字段不带路由前缀和MPLS标签信息，带的是VNI、MAC、主机IP这些信息，也同样用到RTRD属性，作用一样。这样，通过控制平面，实现VTEP之间交换BGP EVPN路由，实现VTEP的自动发现、主机信息相互通告等特性，从而避免了不必要的数据流量泛洪。

云专线案例中Vxlan 文转发模型

图2 L3GW业物流量模型图

基本配置步骤

云专线交换机基础配置

1）专线交换机堆叠或者M-LAG配置，使能Vxlan EVPN，配置NVE接口；

2）lo地址与互联地址配置，1个lo用于Vxlan隧道，1个lo用于BGP；互联地址用于和核心交换机对接，核心交换机上的互联地址绑定在teneat VRF中；

3）专线交换机netconfig相关配置，用于配置自动下发；

4）基础路由配置：专线交换机上配置到bgp-broker和device-manager、Tunnel_bearing路由段的路由，下一跳指向核心；核心上配置专线交换机lo地址路由，放在Teant_VRF中。

BGP路由配置

主要是专线交换机和bgp-broker的BGP路由配置，包括 l2vpn-family evpn配置。

云平台运维面和运营面配置

1）云专线创建：在serviceOM中，这里面有专线交换机的纳管，bgp-broker的配置，增强型云专线中的路由类型（主要是专线交换机和云外PE），接口组配置（专线交换机和云外PE的互联信息）。

2）云专线分配：在ManageOne运营面中，“ 络”–“云专线”中，首先申请创建的云专线，创建虚拟 关，创建虚拟接口。

部分重点难点解析

云平台操作界面和物理 络设备的关联

初学者往往对云平台管理界面操作和物理 络设备配置对应关系比较容易混淆或者不知道所指，以下是我归纳的云平台管理界面配置和物理 络设备配置的对应关系

1）云专线创建，对应云平台中的操作就是专线接入点创建，如下图，

其中，路由类型指的是专线交换机和云外PE的对接路由类型，本段组 指的是专线交换机，远端组 指的是云外PE。

接口组选择中，主要是针对专线交换机和云外PE互联信息，如下图，

接口名称指的是专线交换机与云外PE对接的物理口，本端 关指的是专线交换机与云外PE对接的互联地址中专线交换机侧的地址，远端IP自然指云外PE侧地址，掩码和VLAN按照相应规划填写。

2）某个ECS要使用云专线，首先ManageOne运营面申请；创建虚拟 关：关联VPC，可以关联多个VPC，也可以选择VPC里面需要专线的 段（不是VPC下的每个子 都需要云专线）；然后创建虚拟接口；最后分配对应VPC给ECS，就可以正常使用云专线。这里，可以这样了解，云平台中VPC是一个虚拟的三层 络，跟物理 络一样，有路由器，有不同的子 段，且有去往不同目的地址的路由。EIP业务和云专线业务要使用不同的路由（EIP路由优先云专线）。虚拟 关和虚拟接口关键作用就是在VPC中创建对应路由，对应填入的信息有VPC 段、云专线业务的目的地址。在此处学习过程中，可以不用过于觉得云平台操作界面复杂，或者被各种云平台专业名词绕晕。其实，完全可以按照传统 络路由的原理学习：一条通道，总归需要互联地址，路由协议，路由信息，只是对应填入到云平台操作界面各个表格中。

三层VNI,二层VNI,EVPN,L3VPN概念

二层VNI，二层 关，EVPN，BDID这些都是二层概念，只涉Vxlan中同一广播域（可以通俗的了解是同一子 ）中的信息交互以及 文转发。二层VNI,RTRD在bridge-domain 中配置，以上技术主要解决的是隧道建立、IP/MAC地址学习，节省手动配置工作量和避免广播 文泛洪。而在EVPN中的RT和RD主要为了区分不同广播域，通过RTRD就可以建立不同VNI隧道和MAC地址转发表。这样，通过BGP EVPN type2路由，使得Vxlan二层 关收敛同广播域下的全部MAC地址信息（类似传统的MAC地址表，只是多了VNI信息），指导同一广播域中的 文转发，实现跨数据中心热迁移等。

三层VNI，L3VPN，vbdif这些是三层概念，Vxlan 络和非Vxlan 络以及Vxlan中不同子 通信都需要三层 关。而在分布式 关中，一般发布的是主机路由（IRB类型路由）。这样，需要三层 关之间收敛主机路由，跟传统路由表一样，指导三层数据包的转发。而在实际应用中，针对不同租户或者不同三层隔离业务，就使用到ip vpn-instance ,L3VPN的RTRD就跟传统 络中的作用一样。只是在VPN实例中，需要配置带EVPN参数的ERT Y和IRT Y，用于和对端EVPN实例交叉，生成主机路由。如果还需要与普通L3VPN实例交互，则需要配置普通的ERT X和IRT X ；在EVPN实例中，除了针对不同的BD配置不同的ERT A、 ERT B和IRT A、 IRT B外，还必须配置用来和对端VPN实例交叉的ERT Y。一般情况下不需要配置IRT Y，否则会导致不同BD下的EVPN实例相互扩散MAC地址 。

VM1和VM2属于同一Vxlan中不同子 ，需要相互通信，设计的RTRD如下图，

总结

以上是云平台增强型云专线中Vxlan整个 文流转过程以及相应配置步骤，可以逐步深入了解云平台中白屏化操作的应用便捷性。比如在专线交换机上，可以看到大量的自动生成的配置，头部复制列表就更不用说，ip vpn-instance 中的RTRD，三层 关VBDIF（包括VXLAN一些相关的特性配置），bridge-domain的配置，BGP的配置，这些配置全部通过云平台操作界面自动下发，而且业务触发，业务随行，快速简单。