2026年VXLAN技术白皮书

i 1.1产生背景 1.2技术优点 22.1网络模型 22.2VXLAN支持IPv6 2.3报文封装格式 42.4运行机制 2.4.1运行机制概述 2.4.2建立VXLAN隧道并将其与VXLAN关联 2.4.3识别报文所属的VXLAN 2.4.4学习MAC地址 2.4.5转发单播流量 2.4.6转发泛洪流量 2.4.7ARP/ND泛洪抑制 2.5VXLANIP网关 2.5.1独立的VXLANIP网关 2.5.2集中式VXLANIP网关 2.5.3集中式VXLANIP网关保护组 2.5.4分布式VXLANIP网关 223.1VXLAN支持M-LAG 22 244.1VXLAN二层互通组网 244.2集中式VXLANIP网关组网 244.3分布式VXLANIP网关组网 254.4VXLAN数据中心互联组网 264.5VXLAN与SDN控制器配合组网 27 281•VLAN资源不足•虚拟机迁移需求，使得二层网络的扩展不仅是在数据中心的边界为止，还需要考虑跨越数据中心机房的区域，延伸到同城备份中心、远程灾备中心。一般情况下，多提供二层互联，并能够为不同的租户提供业务隔离。VXLAN主要应用于数据中心网络和园区接入•易于维护：基于IP网络组2VSI/VSI/VXLAN10VSI/VSI/VXLAN10VSI/VXLAN20VSI/VXLAN20VSI/VXLAN20TerminalVXLANtunnelTerminalVXLANtunnelTerminalTerminalTerminalTerminalTerminalTerminalOverlaynetworkVTEPVTEP2VTEP1Site2VTEP1Site2Site1PIP核心网络Underlaynetwork）：说明说明处理都在VTEP上进行，例如识别以太网3•VXLAN隧道：两个VTEP之间的点到点逻辑隧道。VTEP为数据帧封装VXLAN头、UD•VXLAN网络：用户网络可能包括分布在不同地理位置的多个站点内的用户终端。在骨干网上PPVMIPv4用户网络1 VMIPv4用户网络1IPv4IPv4用户网络2VXLANtunnelIPv6核心网络VTEPVTEP1VTEP24VMIPv6用户网络2IPv6用户网络1VTEP1VTEP2PVMIPv6用户网络2IPv6用户网络1VTEP1VTEP2VMVXLANtunnelIPv4核心网络PPVMIPv6用户网络1VXLANtunnelVTEP1VTEP2VMIPv6用户网络1VXLANtunnelVTEP1VTEP2VMIPv6用户网络2IPv6核心网络外层以太头外层IP头外层UDP头VXLAN头原始二层数据帧标记位RRRRIRRR标记位RRRRIRRR保留未用VXLANID保留未用5•原始二层数据帧：虚拟机发送的原始以太网报•自动方式：通过EVPN（Eth•手工方式：手工将VXLAN隧道6•将以太网服务实例与VSI关联：以太网服务实例定义了一系列匹配规则，如匹配指定VLAN•将VLAN与VXLAVTEP从指定VLAN、三层接口或以太网服务实例接收到数据帧后，根据关联方式判断报VXLAN。VTEPServiceServiceinstance1:VLAN2VSIAVXLAN10Serviceinstance2:VLAN3VLAN2VSIAVXLAN10Serviceinstance2:VLAN3VSIBVXLAN20Serviceinstance3:VLAN4VSICVXLAN30ServerVLAN3VLAN4VM3VM1VM2VLAN278VM1MACTableonVTEPVM1VM2VXLAN/VSIMACVM2VXLAN10/VSIAMAC1interfaceA,VLAN2VM3VXLAN10/VSIAMAC4interfaceB,VLANVM3VM7ServerVM7interfaceAPinterfaceAVM8interfaceBVXLANtunnelIP核心网络VTEP1VXLANtunnelIP核心网络VTEP1VTEP2VM9Server3VM5VM6Server2），(5)VTEP2查找与VXLAN10对应的VSIA的MAC地址表，得9VM1VM2VM3VMVM1VM2VM3VM7VM8VM9Server3MACTableonVTEP1VXLAN/VSIMACInterfaceVXLAN10/VSIAMAC1InterfaceA,VLAN2VXLAN10/VSIAMAC7Tunnel1Server1InterfaceA VXLANtunnel1InterfaceAInterfaceAInterfaceBInterfaceAVTEP1VTEPVTEP1VTEP2VM4VM5VM6Server2VM5VM6Server2MACTableonVTEP2VXLAN/VSIMACInterfaceVXLAN10/VSIAMAC1Tunnel1VXLAN10/VSIAMAC7InterfaceA,VLAN20VTEP从本地站点接收到泛洪流量（组播、广播和未知单播流量）后，将其VM1VM2VM3VM3复制和封装VM7VM复制和封装VM7VM8VM9Server3VXLANtunnelVXLANtunnelVXLANtunnelVXLANtunnelVXLANtunnelVTEP1VTEP1VTEP2VM4VM5VM6VTEPVM6Server2VM10VM11VM12Server4说明说明VM1VM2VM3VM3Server1封装组播目的IP封装组播目的IP地址VM7VM8VM9Server3VXLANtunnelVXLANtunnelVXLANtunnelVXLANtunnelVXLANtunnelVTEP1VTEP1VTEP2VM4VM5VM6VTEPVM6Server2VM10VM11VM12Server4立隧道。VTEP接收到泛洪流量后，不仅在本地站点内泛洪，还会将VM1泛洪代理服务器复制报文；源IP地址为服务器本身，目的IP地址为其余VTEP地址VM1泛洪代理服务器VM2VXLANtunnelVXLANtunnelVM3封装目的IP地址为服务器地址VXLANtunnelVXLANtunnelVM3封装目的IP地址为服务器地址VXLANtunnelVXLANtunnelIP核心网络Server1VM4VTEP1VTEP2VM5VM7VM8VM9VXLANtunnelVXLANtunnelIP核心网络Server1VM4VTEP1VTEP2VM5VM7VM8VM9Server3VTEP3VTEP3VM6Server2Server2VM10VM11VM12Server4据ARP/ND泛洪抑制表项进行代答。如果没有对应的表项，则将ARP/ND请求泛洪到核心网。VMVM1VMVM2IP核心网络IP核心网络(2)(5)VXLANtunnel(1)VMVM3Server1(6)VMVM7VM8VM9Server3(3)(4)(4)(7)(2)(7)(2)VXLANtunnelVXLANtunnelVTEP2VXLANtunnelVXLANtunnelVTEP2VTEP1P(8)VM4(8)VM4VM5VM6Server2(2)(3)(9)(10)(3)(9)(10)VM10VM11VMVM12Server4(3)远端VTEP（VTEP2和VTEP3）解封装V对报文进行三层转发。IP核心网络VXLANtunnelVXLANtunnelVXLANtunnelVXLANtunnelVXLANtunnelVTEPVTEPPVTEPVTEPServerServerServerSite1Site1VTEPVXLANIP网关L3network网关功能由VXLAN对应的三层虚接口（VSI虚接IP核心网络VXLANtunnelVXLANtunnelVXLANtunnelVXLANtunnelVXLANtunnelPVTEPVTEPPVTEPServerServerServerSite1Site1VTEP/集中式VXLANIP网关L3network(3)VTEP3解封装VXLAN报文后，发现ARP请(7)目的节点回复的报文到达网关后，网关根据已经学习到的10.1.1.1220.1.1.1230.1.1.1210.1.1.1220.1.1.1230.1.1.12VSI/VXLAN10VSI/VXLAN20VSI/VXLAN10VSI/VXLAN20VSI/VXLAN30VSI/VXLAN10VSI/VXLAN20VSI/VXLAN30VMVMVMVMVMVM30.1.1.11VMVMIP核心网络VXLANtunnelVXLANtunnelVXLANtunnelVXLANtunnelVXLANtunnelPVTEP2VTEPPVTEP2ServerServerServerSite2SiteSite2VTEP3/集中式VXLANIP网关VSI-interface1010.1.1.1/24VSI-interface2020.1.1.1/24VSI-interface3030.1.1.1/24VSI-interface1010.1.1.1/24VSI-interface2020.1.1.1/24VSI-interface3030.1.1.1/24VSI/VXLAN20VSI/VXLAN30L3network且对于网关的单点故障没有保护措施。通过集中式V承担网关功能，在提供单点故障保护机制的同时L3L3network集中式VXLANIP网关保护组VXLANtunnelVXLANtunnelVXLANtunnelVXLANtunnelPVXLANtunnel接入层VTEPPVXLANtunnel接入层VTEP接入层VTEPServerIP核心网络ServerServerIP核心网络Site2SiteSite2的报文转发至保护组，保护组中的两台网关设备均可以接泛洪流量（组播、广播和未知单播）通过该隧道转发L3L3networkVTEP/连接外网的边界网关（Border）VXLANtunnelVXLANtunnelVXLANtunnelVXLANtunnelVTEPVTEP/分布式VXLANIP网关（GW）VTEP/VTEP/分布式VXLANIP网关（GW）VTEP/分布式VXLANIP网关（GW）VXLANtunnelVXLANtunnelVXLANtunnelVXLANtunnelServerSite4VTEPServerServerSite4VTEPServerSite3ServerSite1ServerSite5ServerSite2ServerSite6•ARP/ND泛洪抑制功能：开启本功能后，二层流量查找MAVSI-interface1010.1.1.1220.1.1.1230.1.1.12VSI-interface1010.1.1.1220.1.1.1230.1.1.12VSI/VXLAN10VSI/VXLAN20VSI/VXLAN10VSI/VXLAN20VSI/VXLAN30VSI/VXLAN10VSI/VXLAN20VSI/VXLAN3010.1.1.1/24VSI-interface2020.1.1.1/24VSI-interface3030.1.1.1/24VM1VM4VM5VM6VM2VMVM3VXLANtunnelVXLANtunnelVXLANtunnelVXLANtunnelVXLANtunnelPPServerServerSite1SiteSite1BorderVSI/VSI/VXLAN10VSI/VXLAN20VSI/VXLAN3010.1.1.2/24VSI-interface2020.1.1.2/24VSI-interface3030.1.1.2/24L3network），VM1IP:10.1.1.11MAC:VM1_macGW1VSI-int110.1.1.1/241-1-1VSI-int220.1.1.1/242-2-2VSI-int110.1.1.1/241-1-1 VSI-int220.1.1.1/242-2-2GW2IP:20.1.1.12MAC:VM5_macVM5(1)ARPRequestsenderMAC:VM1_macsenderIP:10.1.1.11targetMAC:0000-0000-0000targetIP:10.1.1.1(3)ARPRequestinVXLAN10senderMAC:0001-0001-0001senderIP:10.1.1.11targetMAC:0000-0000-0000targetIP:10.1.1.1(4)ARPReplyinVXLAN10senderMAC:0001-0001-0001senderIP:10.1.1.1targetMAC:0001-0001-0001targetIP:10.1.1.11(5)ARPRequestinVXLAN20senderMAC:0002-0002-0002senderIP:20.1.1.1targetMAC:0000-0000-0000targetIP:20.1.1.12(8)GratuitousARPinVXLAN20senderMAC:0002-0002-0002senderIP:20.1.1.12targetMAC:0000-0000-0000targetIP:20.1.1.12(9)报文(6)ARPRequestsenderMAC:0002-0002-0002senderIP:20.1.1.1targetMAC:0000-0000-0000targetIP:20.1.1.12(7)ARPReplysenderMAC:VM5_macsenderIP:20.1.1.12targetMAC:0002-0002-0002targetIP:20.1.1.1(2)ARPReplysenderMAC:0001-0001-0001senderIP:10.1.1.1targetMAC:VM1_mactargetIP:10.1.1.11），免费ARP消息学习VM5的ARP信息（IP为20.1.1.12、MAC4.虚拟机与外部网络的三层通信过程虚拟机要想与外部网络进行三层通信，需要在(8)Border对接收到的报文进行解封装后，对报文进说明说明VXLAN利用M-LAG功能（Multichassi起来虚拟成一台设备，使用该虚拟设备作为VTEP（既可以是仅用于二层转发的VTEP，也可以是VTEPIP核心网络VTEPpeer-linkIP核心网络VTEPpeer-linkVTEPAgg2Agg1Agg2AggAgg2Site2ServerSite2Server1Server2Site1Server2ServerServer1地址和ARP信息，以确保两台VTEP上的MAC地址和ARP信息保持一致。peer-link链路既说明说明•备份双挂AC的用户侧链路采用直连模式peer-link链路时，用户侧链路备份机制为：将二层聚合接口配置为AC后，并转发该报文，从而保证转发不中断。采用隧道模式peer-link链路时，用户侧链路备份机制为：如果一台VTEP上的AC故障，•单挂AC互通IPIP核心网络VXLANtunnel Site1Site2VXLANtunnelVXLANtunnelPVTEPVXLANtunnelVXLANtunnelPVTEP2VTEP1VTEP3SiteSite3IPIP核心网络VXLANtunnel Site1Site2VXLANtunnelVXLANtunnelPVXLANtunnelVXLANtunnelPVTEPVTEP1VTEP2VTEPVTEP3/集中式VXLANIP网关L3L3networkIPIP核心网络VXLANtunnel Site1Site2VXLANtunnelVXLANtunnelPVXLANtunnelVXLANtunnel