VXLAN三层网关实战：跨子网通信配置与排错指南

1. VXLAN三层网关基础概念

第一次接触VXLAN三层网关时，我也被那些专业术语搞得一头雾水。简单来说，VXLAN就像给传统网络套了个"马甲"，让不同子网的设备能够像在同一个局域网里那样通信。而三层网关就是这个"马甲"的交通警察，负责指挥不同子网间的数据包该往哪走。

在实际项目中，我常用华为eNSP模拟器来搭建实验环境。这个工具虽然有些小毛病，但对于学习VXLAN配置来说已经足够。重点要理解三个核心组件：BD域（Bridge Domain）、NVE隧道接口和VBDIF接口。BD域相当于划分不同的虚拟局域网，NVE隧道是连接这些虚拟局域网的管道，而VBDIF接口则是实现跨子网通信的关键。

举个例子，假设公司有两个部门分别使用192.168.1.0/24和192.168.2.0/24网段。传统方式下要实现互通需要配置复杂的路由，而用VXLAN三层网关，只需要在网关设备上创建对应的VBDIF接口并配置IP地址，两个子网就能自动互通。

2. 实验环境搭建与基础配置

2.1 模拟器选择与拓扑设计

我建议初学者直接从华为eNSP开始，虽然它有些小bug，但配置逻辑和真机基本一致。搭建拓扑时至少要准备三台设备：两台作为VTEP（VXLAN Tunnel End Point），一台作为集中式网关。记得给每台设备配置Loopback地址，这个地址后面会用来建立NVE隧道。

在最近的一个实验里，我用了如下IP规划：

• CE1: 1.1.1.1/32
• CE2: 2.2.2.2/32
• CE3(网关): 3.3.3.3/32
• 业务网段1: 192.168.1.0/24
• 业务网段2: 192.168.2.0/24

2.2 基础网络连通性检查

开始VXLAN配置前，一定要先确保底层网络是通的。我吃过好几次亏，花几小时排查VXLAN问题，最后发现是底层OSPF没配好。建议先用ping测试各设备Loopback地址间的连通性，再检查路由表是否正常。

# 检查路由表示例 display ip routing-table # 测试连通性 ping 1.1.1.1

3. 三层网关详细配置步骤

3.1 创建BD域与VNI映射

BD域是VXLAN的基础隔离单位，每个BD域对应一个VNI（VXLAN Network Identifier）。配置时要注意VNI必须两端一致，否则隧道建立不起来。我习惯用业务VLAN ID作为VNI，这样不容易搞混。

# 在网关设备CE3上配置 bridge-domain 10 vxlan vni 10 # bridge-domain 20 vxlan vni 20

3.2 NVE隧道配置技巧

NVE隧道配置有几个关键点容易出错：源地址要使用Loopback地址，peer-list要对端VTEP的Loopback地址，vni要和BD域里的配置一致。我建议先配单边测试，成功后再配另一边。

interface Nve1 source 3.3.3.3 vni 10 head-end peer-list 1.1.1.1 vni 10 head-end peer-list 2.2.2.2 vni 20 head-end peer-list 1.1.1.1 vni 20 head-end peer-list 2.2.2.2

3.3 VBDIF接口配置实战

VBDIF接口是三层网关的核心，它的IP地址就是对应子网的网关地址。配置时要特别注意接口编号必须和BD域编号一致，否则无法关联。我遇到过因为输错编号导致业务不通的情况。

interface Vbdif10 ip address 192.168.1.254 255.255.255.0 # interface Vbdif20 ip address 192.168.2.254 255.255.255.0

4. 配置验证与故障排查

4.1 隧道状态检查方法

配置完成后，我通常会按这个顺序检查：

1. 查看NVE隧道状态
2. 检查VXLAN隧道对端是否正常
3. 确认MAC地址学习情况

# 查看NVE接口状态 display interface nve 1 # 检查VXLAN隧道 display vxlan peer # 查看MAC地址表 display mac-address

4.2 常见问题处理经验

在eNSP上做实验时，经常会遇到各种奇怪现象。根据我的经验，90%的问题可以这样解决：

1. 确认配置没有敲错
2. 重启NVE接口
3. 检查底层网络是否正常

特别要注意的是，eNSP对CE设备的支持确实不完善。如果确认配置无误但现象不符，很可能就是模拟器bug。这时可以尝试换版本或者改用真机环境。

4.3 三层互通测试技巧

测试跨子网通信时，我建议先用网关设备ping两边的主机，确认网关层面是通的。然后再测试主机间的通信。如果网关能通但主机不通，很可能是主机网关没指对或者防火墙策略有问题。

# 在网关上测试 ping 192.168.1.1 ping 192.168.2.1

5. 实际应用中的注意事项

在企业网络里部署VXLAN三层网关时，有几点特别需要注意。首先是MTU问题，VXLAN封装会增加50字节开销，建议把物理接口MTU设置为1600以上。其次是ARP广播问题，可以通过配置ARP广播抑制来优化。

另外，生产环境中建议启用BFD检测隧道状态，这样可以快速感知链路故障。我在一个项目里就遇到过因为没配BFD，隧道中断半小时才被发现的情况。

最后提醒一点，VXLAN配置虽然复杂，但只要按照步骤一步步来，注意细节检查，一般都能成功。配置过程中记得及时保存配置，避免模拟器崩溃导致前功尽弃。