华为ENSP实战手把手搭建VXLAN三层网关实现跨VLAN通信在企业网络架构中不同部门的服务器往往需要隔离管理但又存在业务互通需求。传统VLAN划分虽然能实现二层隔离但跨网段通信必须依赖三层路由设备导致网络拓扑复杂、扩展性受限。VXLAN技术通过MAC in UDP封装将二层帧承载在三层IP网络上传输完美解决了大二层网络扩展问题。本文将以华为ENSP模拟器为平台从零开始构建一个完整的VXLAN静态网关实验环境让VLAN 10与VLAN 20的服务器实现三层互通。1. 实验环境准备与拓扑规划1.1 设备清单与基础配置实验需要三台支持VXLAN的路由器作为VTEP节点两台交换机用于接入层VLAN划分以及两台PC模拟服务器# 设备角色分配 CE1 - 作为VXLAN三层网关IP:1.1.1.1/32 HF - 作为VTEP1节点IP:2.2.2.2/32 SH - 作为VTEP2节点IP:3.3.3.3/32 SW1 - 连接VLAN 10终端 SW2 - 连接VLAN 20终端基础IP规划如下表所示设备接口IP地址对端设备CE1GE1/0/010.1.12.1/24HF-GE1/0/0CE1GE1/0/110.1.13.1/24SH-GE1/0/0HFGE1/0/010.1.12.2/24CE1-GE1/0/0SHGE1/0/010.1.13.3/24CE1-GE1/0/1### 1.2 拓扑逻辑说明 实验拓扑采用星型结构中心节点CE1同时承担VXLAN三层网关和路由转发功能。关键通信路径包括 1. **Underlay网络**通过OSPF实现VTEP间的三层可达 2. **Overlay网络**基于VXLAN隧道构建虚拟大二层 3. **网关部署**在CE1上配置VBDIF接口处理跨子网路由 提示在实际企业网络中建议将Underlay与Overlay网络物理分离本例为实验环境简化设计 ## 2. Underlay网络搭建与路由配置 ### 2.1 物理接口与环回口配置 每台VTEP设备需要配置物理接口IP和唯一的Loopback地址用于VXLAN隧道源 bash # CE1基础配置示例 sysname CE1 interface GigabitEthernet1/0/0 undo portswitch # 切换为三层模式 ip address 10.1.12.1 255.255.255.0 interface GigabitEthernet1/0/1 ip address 10.1.13.1 255.255.255.0 interface LoopBack0 ip address 1.1.1.1 255.255.255.2552.2 OSPF路由协议部署通过OSPF实现VTEP间的三层互通关键配置点所有直连网段和Loopback口都需要宣告Router ID建议使用Loopback地址确保Area 0内所有节点网络可达# HF设备OSPF配置示例 ospf 1 router-id 2.2.2.2 area 0.0.0.0 network 2.2.2.2 0.0.0.0 network 10.1.12.0 0.0.0.255验证命令display ospf peer # 查看邻居关系 display ip routing-table # 检查路由表3. VXLAN隧道建立与业务接入3.1 接入层VLAN配置在SW1和SW2上划分VLAN并配置接口类型# SW1配置VLAN 10 vlan batch 10 interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 10 interface GigabitEthernet0/0/2 port link-type access port default vlan 103.2 VTEP上的VXLAN业务绑定在HF和SH设备上创建Bridge-Domain并关联VNI# HF设备配置示例 bridge-domain 10 vxlan vni 10 interface GigabitEthernet1/0/1.10 encapsulation dot1q vid 10 bridge-domain 10关键参数说明bridge-domain创建广播域vniVXLAN网络标识符需两端匹配encapsulation dot1q指定VLAN封装方式4. 三层网关配置与业务验证4.1 NVE隧道接口配置在各VTEP上创建NVE接口建立VXLAN隧道# CE1的NVE配置 interface Nve1 source 1.1.1.1 # 指定隧道源地址 vni 10 head-end peer-list 2.2.2.2 vni 20 head-end peer-list 3.3.3.3注意静态方式需要手动指定每个VNI的peer列表生产环境建议使用BGP EVPN动态发现4.2 三层网关部署在CE1上创建VBDIF接口作为VXLAN三层网关interface Vbdif10 ip address 192.168.10.254 255.255.255.0 interface Vbdif20 ip address 192.168.20.254 255.255.255.04.3 连通性测试与排错验证步骤检查VXLAN隧道状态display vxlan tunnel # 查看隧道建立情况测试PC1与PC2的互通性ping 192.168.20.1 # 从VLAN 10测试VLAN 20抓包分析VXLAN封装capture-packet interface GigabitEthernet1/0/0 # 在物理链路上抓包常见故障排查隧道无法建立检查Underlay网络连通性、NVE源地址配置业务不通验证VNI映射、BD绑定关系ARP学习失败确认网关MAC地址可达性5. 进阶配置与优化建议5.1 多租户隔离方案通过不同的VNI实现租户隔离每个租户对应独立的BD和VBDIF# 租户A配置示例 bridge-domain 100 vxlan vni 1000 interface Vbdif100 ip address 10.100.1.1 255.255.255.05.2 安全策略配置在VBDIF接口上应用ACL限制跨子网访问acl number 3000 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 interface Vbdif10 traffic-filter inbound acl 30005.3 性能优化参数调整VXLAN相关参数提升转发效率interface Nve1 mtu 9216 # 增大MTU适应封装开销 jumbo-frame enable # 启用巨帧实际项目中遇到MTU问题导致的碎片化时可以通过路径MTU发现或统一调整全网MTU值解决。