s7506x vxlan

能否支持跨公网得看出口带宽或路由情况

vxlan只要路由可达就行

是的，完全支持。​​ 您的华三 S7506X 交换机（运行 Comware V7）完全具备通过公网（IP网络）建立 VXLAN 隧道的能力，从而实现两个机房之间二层网络（VLAN）的打通。

这项技术通常被称为 ​​“VXLAN over IPsec”​​ 或 ​​“VXLAN over Internet”​​，是解决跨地域二层互联的一个非常经典的方案。

技术可行性分析

1. ​​硬件支持​​：您的设备插槽中有 LSQM1MPUSA0主控板。这款主控板集成了高性能的硬件加密引擎，能够为IPsec提供硬件加速，这对于在公网上进行加密传输至关重要。没有它，纯软件加密的性能会非常差，无法用于生产环境。

2. ​​软件支持​​：您的版本 S7500X-7596P10基于 ​​Comware V7.1.070​​。这是一个非常新的版本，完整支持 VXLAN、EVPN（Ethernet VPN，用于控制VXLAN的自动建立）和IPsec等所有必要特性。

方案架构与工作原理

整个方案的架构可以理解为：​​在加密的IPsec隧道内部，承载着VXLAN流量。​​

1. ​​Underlay网络（公网）​​：两个机房的S7506X交换机需要分别有公网IP地址（可以是静态IP，也可以是域名DDNS）。它们之间通过互联网路由可达。

2. ​​IPsec隧道（安全通道）​​：两台交换机之间首先建立一条IPsec VPN隧道。这条隧道将对所有在其中传输的数据进行加密和认证，保证数据在公网传输的​​机密性​​和​​完整性​​。这是整个方案的安全基础。

3. ​​VXLAN Overlay网络（业务网络）​​：IPsec隧道建立后，它就像一条专线一样，为两台交换机提供了点对点的连通性。随后，VXLAN将利用这条“虚拟专线”作为其Underlay网络。

   • VXLAN隧道（VXLAN Tunnel）建立在两台交换机的环回口（Loopback）或其它三层接口上。

   • VXLAN报文（原始的以太网帧被封装后）被发送到IPsec隧道中，加密后通过公网传输。

   • 对端的IPsec网关解密后，将VXLAN报文送给VXLAN模块进行解封装，最终恢复出原始的二层帧。

配置要点和步骤概述

这是一个相对复杂的配置，主要分为几个大步骤：

​​第1步：基础网络配置​​

• 确保两台交换机有到达互联网的路由（默认网关）。

• 为VXLAN业务创建Loopback接口（例如Loopback0），并为其分配一个IP地址，这个地址需要被IPsec隧道可达（通常是一个内网地址）。

• 创建需要跨机房扩展的VLAN和VSI（Virtual Switching Instance，虚拟交换实例）。

​​第2步：建立IPsec VPN隧道（关键安全步骤）​​

• ​​定义感兴趣流（ACL）​​：配置ACL，匹配需要被加密的流量。这里需要匹配VXLAN隧道端点（Loopback0地址）之间的流量。

  acl number 3100 rule 5 permit ip source <机房A_Loopback0_IP> destination <机房B_Loopback0_IP>

• ​​配置IKE（Internet Key Exchange）​​：设置IKE提议、对等体（Peer）、预共享密钥等，用于协商加密密钥。

• ​​配置IPsec策略​​：设置IPsec转换集（定义加密和认证算法），并将IPsec策略与应用了公网IP的接口绑定。

​​第3步：配置VXLAN和EVPN​​

• ​​配置EVPN​​：启用EVPN功能，创建EVPN实例，并配置两台交换机为EVPN对等体。

• ​​配置VXLAN​​：

  • 创建VXLAN隧道接口，指定VNI（VXLAN Network Identifier）。

  • 将VXLAN隧道接口与VSI绑定。

  • 指定VXLAN隧道的源端地址（本端Loopback0 IP）和目的端地址（对端Loopback0 IP）。​​此时，VXLAN流量就会自动被第2步配置的IPsec策略捕获并加密。​​

重要注意事项

1. ​​性能​​：公网的延迟、抖动和丢包率远高于专线。虽然VXLAN对网络质量有一定容忍度，但网络质量会直接影响二层网络的体验。对于要求很高的业务（如数据库集群心跳线），需要谨慎评估。

2. ​​带宽成本​​：确保您的互联网出口带宽足以承载两个机房之间需要传输的流量。

3. ​​IP地址稳定性​​：如果使用的是动态公网IP，需要通过DDNS等技术来保证IPsec隧道的稳定建立。

4. ​​MTU问题​​：VXLAN和IPsec都会引入大量的报文开销（隧道头），容易导致数据包分片，影响性能。务必在物理接口和隧道接口上调整MTU（通常需要设置为1400或更小）和TCP MSS，以避免分片。

5. ​​复杂性​​：此配置涉及IPsec和EVPN/VXLAN两大技术领域，复杂度较高，建议由经验丰富的网络工程师操作，或在华三技术支持下进行。

总结

您的华三 S7506X 设备​​完全具备​​通过公网建立安全、加密的VXLAN隧道的能力。这是一个技术上是成熟且可行的方案。

​​建议​​：在实施前，先在实验室环境或业务低谷期进行模拟测试，充分验证配置的正确性、网络的稳定性和性能表现。如果您对配置细节不熟悉，强烈建议联系​​华三通服（H3C Certified Service）​​ 的工程师来协助实施，以确保项目的成功和网络的稳定。

拉裸光纤即可，如果距离不远的话，裸光纤一般建议同城

如果是跨城的，需要用到EVI技术