步骤四：配置远端隧道网关

操作场景

本指导用户在云下IDC侧的VXLAN隧道交换机上配置隧道网关，建立远端二层连接子网在IDC侧的VXLAN隧道。

本文针对用户IDC的常见组网场景提供配置参考，以华为CE6850交换机、锐捷RG-S6250交换机、H3C S6520交换机为例，如需更多配置排查，相关命令可参考实际交换机型号的产品文档。

• 操作步骤（华为CE6850交换机）
• 操作步骤（锐捷RG-S6250交换机）
• 操作步骤（H3C S6520交换机）

约束与限制

如果您的IDC需要与华为云企业交换机对接来建立云下和云上二层网络通信，那么IDC侧的交换机需要支持VXLAN功能，建议您新购VXLAN交换机与ESW对接。如果有高可靠性要求，建议VXLAN交换机组进行容灾部署。

示例组网说明

本示例场景中，规划的二层网络的子网网关和VXLAN隧道在不同的交换机上。

云上隧道IP是10.0.6.3，用户IDC侧隧道交换机的隧道IP是2.2.2.2，隧道号（VNI）是5010，仅供参考。

图1 不同交换机

操作步骤（华为CE6850交换机）

远端隧道网关的配置方法：配置IDC隧道交换机，将二层子网VLAN的流量引流到隧道。

目前大部分CE交换机不支持三层子接口转发已经封装的VXLAN报文，因此VXLAN上行（对接线上企业交换机）不能使用三层子接口，可使用VLANIF接口替代。

1. 登录隧道交换机，执行命令system-view，进入系统视图。
2. 进入loopback 0接口视图，配置隧道IP。

   配置示例：

   interface loopback 0

   ip address 2.2.2.2 255.255.255.255

3. 执行命令quit，退出接口视图，返回到系统视图。
4. 执行命令bridge-domain，进入BD视图，配置BD所对应VXLAN的VNI。

   配置示例：

   bridge-domain 10

   vxlan vni 5010

5. 执行命令quit，退出BD视图，返回到系统视图。
6. 创建二层子接口，通过子接口将二层网络指定的VLAN引流到隧道。

   配置示例：

   interface 10ge 1/0/2.1 mode l2

   encapsulation dot1q vid 100

   bridge-domain 10

7. 执行命令interface nve，创建NVE接口，并进入NVE接口视图，配置VXLAN隧道源端VTEP的IP地址：2.2.2.2。

   配置示例：

   interface nve1

   source 2.2.2.2

8. 在NVE接口视图下，执行命令vni，配置VNI的头端复制列表。

   配置示例：

   vni 5010 head-end peer-list 10.0.6.3

9. 在系统视图下，执行如下命令查看VXLAN的配置状态。

   display vxlan vni 5010 verbose

   图2 VXLAN配置状态
   

   up表示隧道状态正常。

操作步骤（锐捷RG-S6250交换机）

远端隧道网关的配置方法：在VXLAN交换机和企业交换机之间建立VXLAN隧道，以便将云下主机发送的二层报文封装为IP报文后发到企业交换机。VXLAN交换机的下行二层子接口配置VXLAN与VLAN封装规则，用来识别用户网络中的报文所属的VXLAN。

1. 配置前进入全局配置模式。

   配置示例：

   Ruijie#configure

2. 创建VXLAN。

   配置示

   Ruijie(config)#vxlan 5010

   

   本步骤VXLAN ID 5010，必须和表1创建二层连接时，远端接入信息的隧道号保持一致。

3. 进入loopback接口视图，配置隧道IP。

   配置示例：

   Ruijie(config)#interface loopback 0

   Ruijie(config-if-Loopback 0)#ip address 2.2.2.2 255.255.255.255

   Ruijie(config-if-Loopback 0)# exi

   

   对于新规划的远端地址，即VXLAN交换机的接口IP地址（包括Loopback接口IP地址），要确认下其到企业交换机隧道子网路由是否可达，如果不通，需要在VXLAN交换机上配置路由。此处VXLAN交换机可以是汇聚交换机或者核心交换机，请根据网络实际规划选择。

4. 创建VXLAN隧道。
   1. 创建OverlayTunnel1接口，该接口用于静态创建Overlay隧道。

      配置示例：

      Ruijie(config)#interface overlayTunnel 1

   2. 指定Overlay隧道的源IP，即为用于建隧道的loopback口IP地址。

      配置示例：

      Ruijie(config-if-OverlayTunnel 1)#tunnel source 2.2.2.2

   3. 指定Overlay隧道的目的IP，即为企业交换机隧道子网IP。

      配置示例：

      Ruijie(config-if-OverlayTunnel 1)#tunnel destination 10.0.6.3

      Ruijie(config-if-OverlayTunnel 1)#exit

5. 配置VXLAN实例关联OverlayTunnel接口。

   配置示例：

   Ruijie(config)#vxlan 5010

   Ruijie(config-vxlan)#tunnel-interface OverlayTunnel 1

   Ruijie(config-vxlan)#exit

   

   • 同一企业交换机上创建多个（最多6个）二层连接场景，需和此企业交换机建多条VXLAN，可以创建多个VXLAN实例和同一个OverlayTunnel接口关联。如：OverlayTunnel1。
   • 同一VXLAN交换机和多个企业交换机连接场景，此场景比较少用，可以创建多个OverlayTunnel接口与同一个VXLAN关联。如：OverlayTunnel1、OverlayTunnel2。
   • 由于芯片限制，S6250产品VXLAN不支持多条隧道出口为同一个物理出口，并且还需要封装出不同的DMAC+VID信息。详情可咨询锐捷交换机技术支持。

6. 创建二层子接口配置VXLAN与vlan封装规则。

   在链路聚合口AggregatePort1创建AggregatePort 1.100子接口，接收vlan为100的数据报文，并封装为VXLAN 5010通过隧道转发。

   配置示例：

   Ruijie(config)#interface AggregatePort 1.100

   Ruijie(config-subif-AggregatePort 1.100)#encapsulation dot1q s-vid 100

   Ruijie(config-subif-AggregatePort 1.100)#encapsulation vxlan 5010

   Ruijie(config-subif-AggregatePort 1.100)#exit

   

   在交换机物理以太接口上创建以太网服务实例，方法类似。

7. 在系统视图下，执行如下命令查看VXLAN的配置状态。

   show vxlan 5010

   VXLAN配置状态

   VXLAN 5010
   Symmetric property  : FALSE
   Router Interface    : -
   Extend VLAN         : -
   VTEP Adjacency Count: 1
   VTEP Adjacency List :
   Interface              Source IP       Destination IP  Type
   ---------------------- --------------- --------------- -------
   OverlayTunnel 1      2.2.2.2   10.0.6.3      static

操作步骤（H3C S6520交换机）

远端隧道网关的配置方法：在VXLAN交换机和企业交换机之间建立VXLAN隧道，并将VXLAN隧道与VXLAN关联，以便将虚拟机发送的二层报文封装为IP报文后发到企业交换机。VXLAN交换机的下行端口上配置以太网服务实例和相应的匹配规则，用来识别用户网络中的报文所属的VXLAN。

1. 配置交换机VXLAN模式。

   配置交换机工作在VXLAN模式，保存配置并重启交换机（如果已开启则跳过）。

   配置示例：

   <SwitchA> system-view

   [SwitchA] switch-mode 1

   Reboot device to make the configuration take effect.

   [SwitchA] quit

   <SwitchA> reboot

   Start to check configuration with next startup configuration file, please wait..
   .......DONE!
   Current configuration may be lost after the reboot, save current configuration?
   [Y/N]:y
   This command will reboot the device. Continue? [Y/N]:y

2. 创建隧道口并配置接口IP地址。

   根据组网图规划，创建loopback接口并配置接口IP地址，作为隧道的远端地址。

   配置示例：

   [SwitchA] interface loopback 0

   [SwitchA-LoopBack0] ip address 2.2.2.2 32

   

   对于新规划的远端地址，即VXLAN交换机的接口IP地址（包括Loopback接口IP地址），要确认下其到企业交换机隧道子网路由是否可达，如果不通，需要在VXLAN交换机上配置路由。此处VXLAN交换机可以是汇聚交换机或者核心交换机，请根据网络实际规划选择。

3. 创建VXLAN。
   1. 开启L2VPN能力。

      配置示例：

      <SwitchA> system-view

      [SwitchA] l2vpn enable

   2. 配置VXLAN隧道工作在二层转发模式。

      配置示例：

      [SwitchA] undo vxlan ip-forwarding

   3. 创建VSI实例vpna和VXLAN 5010。

      配置示例：

      [SwitchA] vsi vpna

      [SwitchA-vsi-vpna] vxlan 5010

      [SwitchA-vsi-vpna-vxlan5010] quit

      [SwitchA-vsi-vpna] quit

      

      这里VXLAN ID必须和表1创建二层连接时，远端接入信息的隧道号保持一致。

4. 创建VXLAN隧道。

   创建到达企业交换机的VXLAN隧道Tunnel1。

   配置示例：

   [SwitchA] interface tunnel 1 mode vxlan

   [SwitchA-Tunnel1] source 2.2.2.2

   [SwitchA-Tunnel1] destination 10.0.6.3

   [SwitchA-Tunnel1] quit

5. 关联VXLAN和VXLAN隧道。

   在VXLAN交换机上将VXLAN隧道Tunnel1与VXLAN 5010关联。

   配置示例：

   [SwitchA] vsi vpna

   [SwitchA-vsi-vpna] vxlan 5010

   [SwitchA-vsi-vpna-vxlan5010] tunnel 1

   [SwitchA-vsi-vpna-vxlan5010] quit

   [SwitchA-vsi-vpna] quit

   

   • 同一企业交换机上创建多个（最多6个）二层连接场景，需和此企业交换机建多条VXLAN，可以创建多个VXLAN和同一个VXLAN隧道关联。如：Tunnel1。
   • 同一VXLAN交换机和多个企业交换机连接场景（此场景很少用），可以创建多个VXLAN隧道和同一个VXLAN关联。如：Tunnel1、Tunnel2。

6. 配置以太网服务实例匹配用户报文，并将其与VSI关联。

   在VXLAN交换机接口Bridge-Aggregation1上创建以太网服务实例1000，该实例用来匹配VLAN 100的数据帧，将该服务实例与vpna（VXLAN 5010）关联。

   配置示例：

   [SwitchA] Bridge-Aggregation 1

   [SwitchA-Bridge-Aggregation1] port link-type trunk

   [SwitchA-Bridge-Aggregation1] service-instance 1000

   [SwitchA-Bridge-Aggregation1-srv1000] encapsulation s-vid 100

   [SwitchA-Bridge-Aggregation1-srv1000] xconnect vsi vpna

   [SwitchA-Bridge-Aggregation1-srv1000] quit

   [SwitchA-Bridge-Aggregation1] quit

   

   在交换机物理以太接口上也可以创建以太网服务实例，方法类似。

7. 查看验证隧道状态。
   • 查看Tunnel接口信息，可以看到VXLAN模式的Tunnel接口处于up状态。

     配置示例：

     [SwitchA]display interface Tunnel 1

     Tunnel1
     Current state: UP
     Line protocol state: UP
     Description: Tunnel1 Interface
     Bandwidth: 64 kbps
     Maximum transmission unit: 1464
     Internet protocol processing: Disabled
     Last clearing of counters: 17:19:44 Fri 01/18/2013
     Tunnel source 2.2.2.2, destination 10.0.6.3
     Tunnel protocol/transport UDP_VXLAN/IP
     Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
     Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
     Input: 0 packets, 0 bytes, 4 drops
     Output: 0 packets, 0 bytes, 0 drops

   • 查看VSI信息，可以看到与VXLAN关联的VXLAN隧道、与VSI关联的以太网服务实例均处于up状态。

     配置示例：

     [SwitchA]display l2vpn vsi verbose

     VSI Name: vnpa
     VSI Index               : 1
     VSI State               : Up
     MTU                     : 1500
     Bandwidth               : -
     Broadcast Restrain      : -
     Multicast Restrain      : -
     Unknown Unicast Restrain: -
     MAC Learning            : Enabled
     MAC Table Limit         : -
     MAC Learning rate       : -
     Drop Unknown            : -
     Flooding                : Enabled
     Statistics              : Disabled
     VXLAN ID                : 5010
     Tunnels:
     Tunnel Name          Link ID    State    Type        Flood proxy
     Tunnel1              0x5000001  UP       Manual      Disabled
     ACs:
     AC                   Link ID    State    Type
     BAGG1 srv1000        0          Up       Manual