能否基于l2tp实现vxlan

需要确认下设备底层有没有限制 联系下市场吧

VXLAN作为基于IP网络的二层VPN技术，可以为分散的物理站点提供二层互联。现有L2TP连接已建立IP层互通，这为在IP网络基础上部署VXLAN提供了可行条件，理论上可在MSR810客户端配置VXLAN隧道来实现大局域网（即二层网络扩展）。

但需注意：

• VXLAN配置要求两端设备兼容，服务端ICG3000的支持情况不在信息覆盖范围内（信息中未提及该型号）。建议参考ICG3000的具体文档以确认其对VXLAN的支持。
• VXLAN在MSR810上的实现需严格遵循配置指导，例如创建手工隧道接口并设置源UDP端口号等，且仅支持基于IPv4网络。

可以，但不是 “VXLAN 跑在 L2TP 里”，而是：L2TP 先打通总部‑分支的 IP 连通，再在这个 IP 通路上跑 VXLAN，实现二层大局域网。你的组网完全可行：
总部：ICG3000（公网静态 IP）→ 做 L2TP LNS + VXLAN VTEP
分支：MSR810（动态 IP）→ 做 L2TP LAC + VXLAN VTEP
底层：L2TP over IPSec 先建立站点间 IP 隧道
上层：VXLAN 基于 L2TP 隧道的私网 IP 建立 VXLAN 隧道，桥接两端内网
下面分原理、关键要点、极简配置思路三部分说明。
一、原理：为什么可以叠加
L2TP：负责站点间 IP 连通（三层可达），端口 UDP/1701。
VXLAN：依赖三层 IP 可达，在 IP 之上封装二层帧，端口 UDP/4789。
叠加逻辑：
分支 MSR810 → 拨号 L2TP → 总部 ICG3000，获取私网 IP（如 10.99.99.0/24）。
两端在 “L2TP 私网 IP” 上建立 VXLAN 隧道（源 / 目为 L2TP 分配的 IP）。
两端内网（如 VLAN 10）加入 VXLAN，形成同一广播域。
二、关键前提（必须满足）
L2TP 隧道稳定：两端已通，分支能 ping 通总部 L2TP 私网 IP。
设备支持 VXLAN：
ICG3000：Comware V7/V9，支持 VXLAN（作为 VTEP）。
MSR810：Comware V7，支持 VXLAN（作为 VTEP）。
路由可达：两端 VXLAN 源 IP（L2TP 私网 IP）路由互通。
端口放行：两端防火墙放行 UDP/1701（L2TP）、UDP/4789（VXLAN）、IPSec（ESP/50）。
三、配置思路（极简版，可直接套用）
1. 总部 ICG3000（LNS + VXLAN）
（1）L2TP 部分（已通，略）
公网 IP：202.100.1.1
L2TP 地址池：10.99.99.0/24
分支拨号后获取：10.99.99.2
（2）VXLAN 部分
bash
运行
# 1. 开启L2VPN/VXLAN
system-view
l2vpn enable
vxlan enable

# 2. 建立VSI（对应VXLAN 100，桥接内网VLAN 10）
vsi vsi100
vxlan 100
# 对端VXLAN IP（分支L2TP私网IP）
peer 10.99.99.2

# 3. 内网接口加入VSI（总部内网VLAN 10）
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
xconnect vsi vsi100

# 4. VXLAN源IP（总部L2TP私网IP，如10.99.99.1）
interface LoopBack0
ip address 10.99.99.1 255.255.255.255
vxlan source-address 10.99.99.1
2. 分支 MSR810（LAC + VXLAN）
（1）L2TP 部分（已通，略）
动态 IP 拨号，获取 L2TP 私网 IP：10.99.99.2
（2）VXLAN 部分
bash
运行
# 1. 开启L2VPN/VXLAN
system-view
l2vpn enable
vxlan enable

# 2. 建立VSI（同VXLAN 100）
vsi vsi100
vxlan 100
# 对端VXLAN IP（总部L2TP私网IP）
peer 10.99.99.1

# 3. 内网接口加入VSI（分支内网VLAN 10）
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
xconnect vsi vsi100

# 4. VXLAN源IP（分支L2TP私网IP）
interface LoopBack0
ip address 10.99.99.2 255.255.255.255
vxlan source-address 10.99.99.2
四、效果验证
两端内网 PC（同 VLAN 10）互 ping，能通即成功。
查看 VXLAN 隧道：
bash
运行
display vxlan tunnel
display vsi vsi100
五、常见坑
VXLAN 用了公网 IP 建隧道：必须用L2TP 私网 IP（10.99.99.1/2）。
防火墙拦 UDP/4789：两端安全策略放行。
MSR810 版本过低：升级到 V7 R6705+ 支持 VXLAN。
泛洪导致卡顿：VXLAN 小规模（≤50 节点）直接用静态 peer；大规模用 EVPN。
结论：完全可行。L2TP 负责底层 IP 连通，VXLAN 在其上构建二层 overlay，实现 “大局域网”。

这个想法在核心技术上是可行的。实际上，在一些运营商级的网络方案中，确实有将VXLAN承载于L2TP隧道之上的应用案例，用于实现“家庭局域网延伸”这类二层互联场景。

不过，在你的具体设备上落地，会面临不小的挑战。这主要源于两方面：

 方案可行性分析

1.  技术原理上可行
   VXLAN本质是“MAC in UDP”的封装技术，它可以将二层数据帧封装在UDP报文中，通过三层网络传输。而L2TP本身就是一个可承载二层数据的隧道，因此将VXLAN报文再封装进L2TP是符合协议栈逻辑的。

2.  实际部署的技术障碍

   • 设备支持度未知：你提到的MSR810及ICG3000系列路由器均可支持VXLAN功能，但能否支持VXLAN over L2TP的嵌套封装，极大程度上取决于你所使用的具体软件版本。需要以你设备当前的软件版本来确认这一点。

   • 公网IP的需求：标准的VXLAN要求隧道两端必须有稳定的公网IP地址。你当前网络的情况是ICG3000（服务端）有公网静态IP，MSR810（客户端）是动态IP，这就构成了一个技术障碍。

   • 潜在的性能问题：嵌套隧道会进一步降低有效的MTU（最大传输单元） 值与传输性能。根据论坛的反馈，这类复杂叠加要完全兼容并达到理想的全MTU值是比较困难的。如果无法避免报文分片，数据包延迟和丢包率可能会显著增加。

 一个更稳定的替代方案替代推荐

考虑到你两端路由器型号支持VXLAN功能，一个更标准、性能更好的方案是 VXLAN over IPsec。H3C官方提供了详细的VXLAN over IPsec配置案例，可以作为技术参考。

这个方案采用直连IPsec隧道+VXLAN叠加的思路，将IPsec安全协议与VXLAN技术结合，既能实现“大局域网”的二层互联，又能保证传输的安全性。