如何封装VXLAN内部的所有VLAN流量

Question

据我所知，VXLAN看起来应该能够封装和正确路由VLAN标记的流量。

然而，在研究如何在网络设备上实际配置VXLAN时，看起来像Cisco、Arista和Juniper这样的供应商做了这样的事情：

• 将物理以太网端口设置为VLAN 100上的VLAN访问端口
• 配置一个VLAN->VNI映射，该映射将VLAN 100映射到您想要的任何VNI

例如，请参见https://eos.arista.com/vxlan-without-controller-for-network-virtualization-with-arista-physical-vteps/末尾的配置

但是，我想指定所有的流量，无论VLAN标记，它进入一个物理端口，都应该放在一个特定的VNI上，而不需要在任何时候修改VLAN标记。

我是误解了该示例中的配置，还是有其他方法配置VXLAN？我对Arista特别感兴趣，所以如果任何有Arista专业知识的人能加入，我会很感激的。

Answer 1

我想你混淆了几个概念。查看您所链接的文档的最后一个配置部分：

7.2)在VTEP上没有CVX配置的VXLAN：！vlan 100 vlan 200！接口以太网1交换机接入vlan 100！接口以太网2交换机模式中继交换机中继线允许vlan 100,200！接口回送1个ip地址1.1.1.1/32！接口vxlan 1 vxlan源-接口回环1 Vxlan vlan 100 vni 10100 vxlan 200 vni 10200 vxlan vlan 100洪水vtep 2.2.2.2 4.4.4.4 vxlan vlan 200洪水vtep 2.2.2.2 3.3.3.3 4.4.4.4！

注意，VXLAN接口，Vxlan 1有多个VNI，就像主干有多个带有标记的VLAN一样。基本上，VXLAN上的VNI就像中继上的VLAN。您不应该期望访问接口允许来自标记的VLAN的任何帧，也不应该期望主干接口允许VLAN(配置为允许的除外)。除了相应的VLAN之外，VNI也不应该有任何流量，VXLAN接口也不应该允许未为其配置的VLAN的通信量。

您真的，真的不希望任何VLAN标记进入访问接口Ethernet 1的帧。这可能会导致像VLAN跳转这样的安全问题。人们会希望VLAN标记进入访问接口的帧会因为格式错误而被删除。

此外，在接口Ethernet 2上，switchport trunk allowed vlan 100,200指示删除除标记为VLAN 100或VLAN 200之外的所有传入帧，并且除两个允许的VLAN之外，不发送任何帧。与其他VLAN号码标记的帧将被删除。

接口Vxlan 1将发送和接收VLAN 100和200的通信量，就像主干接口Ethernet 2一样。

Answer 2

.1q标记不是通过L3边界发送的，映射是在封装和解除封装时完成的。这允许vlan转换或其他用例，在这些情况下，每个vtep上的vlan编号与普通的VNI不匹配。类似于之前的评论所指出的，对于每个vtep，vlan到vni的映射是1比1。

根据RFC 7348 6.1内部VLAN标签处理

VTEP和VXLAN网关中的内部VLAN标记处理应遵循以下原则：

使用内部VLAN标记解除封装的VXLAN帧应该被丢弃，除非另有配置。在封装方面，除非另有配置，否则VTEP不应在隧道数据包上包含内部VLAN标记。当VLAN标记的数据包是VXLAN隧道的候选包时，封装的VTEP应该删除VLAN标记，除非另有配置。

在EVPN方法中，有一些方法可以实现vlan捆绑服务，这些服务的行为与您所要求的类似，但是在您选择的任何有关EVPN l2vpn服务的平台上，都需要学习和实现另一组术语。

也许有更好的方法来使用不同的封装来完成您想要的事情呢？