• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

求一份vxlan配置

5小时前提问
  • 0关注
  • 0收藏,48浏览
hmvip
hmvip 四段
粉丝:0人 关注:1人

问题描述:

服务端设备icg3000,外网接口g0/1:公网ip60.142.54.55,内网接口g0/5网段192.168.70.0/24,开启dhcp服务,开启l2tp服务端,ip192.168.12.254。
客户端设备msr810,外网接口g0/1,联通家宽动态ip,开启l2tp,已连接服务端,ip为192.168.12.88,与服务端互通。
在此基础上需要一份vxlan配置,达到msr810这边终端能获取服务端的内网ip段192.168.70.0/24地址,组成大局域网。

组网及组网描述:

3 个回答
按时间 按赞数
刘浩存
刘浩存 八段
粉丝:16人 关注:1人

你这是一个非常经典的“租用线路”替代方案,不过常规的配置思路确实走不通,我们可以直接点明关键问题,然后提供一套完整的 VXLAN overlay 方案。

1. 为什么直接路由模式行不通?

你可能希望终端能直接拿到 192.168.70.0/24 的地址,但这在路由器上很难实现:

  • DHCP 请求无法跨越三层路由:终端的 DHCP 广播请求在路由器的 LAN 接口上会被隔离,无法直接到达 ICG3000 上的 DHCP 服务器。

  • DHCP 中继的问题:虽然 DHCP 中继可以将广播转成单播,但它会把中继接口的地址(如 192.168.1.1)写入请求包,让 ICG3000 看到后,容易产生策略混淆。

正因为常规路由模式无法透明地延伸内网,所以需要引入 VXLAN(Virtual eXtensible LAN) 技术。


2. 解决方案:基于 L2TP 的 VXLAN 二层延伸

利用 VXLAN,可以基于你现已打通的 L2TP 逻辑链路(192.168.12.0/24 网段),建立一个二层隧道。这样两端的设备就在逻辑上处于同一个“大局域网”内,完成“MAC in IP”的封装,让广播帧在两个站点间自由传输。

部署逻辑:将 ICG3000 和 MSR810 分别配置成 VXLAN 隧道的两个端点(VTEP),把 MSR810 的 LAN 接口与 ICG3000 的 VLAN 70 接入同一个 VSI。这样任何终端到 MSR810 下,广播发现报文就会被封装并送到 ICG3000 侧解封,从而拿到 192.168.70.0/24 的地址。


 详细配置步骤

配置概览

  • VNI:100 (两端必须一致)

  • 本地VLAN:70 (两端均使用)

  • VTEP IP:ICG3000: 192.168.12.254,MSR810: 192.168.12.88

  • 注意:ICG3000型号的特殊性在于,业务口是三层口还是交换口(含SVI),会导致关联方式不同。

服务端 (ICG3000) 配置

配置项命令
创建VXLAN隧道[ICG3000] interface Tunnel0 mode vxlan
[ICG3000-Tunnel0] source 192.168.12.254
[ICG3000-Tunnel0] destination 192.168.12.88
创建VSI实例[ICG3000] vsi vxlan-100
[ICG3000-vsi-vxlan-100] vxlan 100
[ICG3000-vsi-vxlan-100-100] quit
[ICG3000-vsi-vxlan-100] quit
关联VXLAN隧道与VSI[ICG3000] vsi vxlan-100
[ICG3000-vsi-vxlan-100] tunnel 0
关联本地VLAN[ICG3000] vlan 70
[ICG3000-vlan70] quit
[ICG3000] interface Vlan-interface70
[ICG3000-Vlan-interface70] xconnect vsi vxlan-100
注意:也可能需使用子接口[ICG3000] interface GigabitEthernet0/5.70
[ICG3000-GigabitEthernet0/5.70] vlan-type dot1q vid 70
[ICG3000-GigabitEthernet0/5.70] xconnect vsi vxlan-100

客户端 (MSR810) 配置

配置项命令
创建VXLAN隧道[MSR810] interface Tunnel0 mode vxlan
[MSR810-Tunnel0] source 192.168.12.88
[MSR810-Tunnel0] destination 192.168.12.254
创建VSI实例[MSR810] vsi vxlan-100
[MSR810-vsi-vxlan-100] vxlan 100
[MSR810-vsi-vxlan-100] quit
关联VXLAN隧道与VSI[MSR810] vsi vxlan-100
[MSR810-vsi-vxlan-100] tunnel 0
关联本地VLAN[MSR810] vlan 70
[MSR810-vlan70] quit
[MSR810] interface Vlan-interface70
[MSR810-Vlan-interface70] xconnect vsi vxlan-100
注意:如用交换模块[MSR810] interface Bridge-Aggregation 1
[MSR810-Bridge-Aggregation1] port trunk permit vlan 70
[MSR810-Bridge-Aggregation1] xconnect vsi vxlan-100

重要配置调整
配置完 VXLAN 后,你还需要完成最后一步,才能让终端拿到地址:

  1. 停用MSR810上的DHCP服务:确保 MSR810 的 LAN 接口没有开启 DHCP 服务,防止它“抢答”。可以在接口下使用 undo dhcp select server 命令。

  2. 保留 ICG3000 的 DHCP 配置:ICG3000 上的 DHCP 服务需保持开启状态。

  3. 调整 VSI 广播模式(DHCP如不生效):在两端设备的 VSI 视图下,都执行以下命令,确保 DHCP 广播请求能被 VXLAN 封装并转发:

    [Device-vsi-vxlan-100] flood-proxy enable

暂无评论

神烦烦烦烦烦烦烦烦烦烦卍
神烦烦烦烦烦烦烦烦烦烦卍 七段
粉丝:16人 关注:4人

暂无评论

zhiliao_GeOM0O
zhiliao_GeOM0O 七段
粉丝:10人 关注:2人

ICG3000 + MSR810 L2TP over VXLAN 完整配置

我直接给你能直接复制粘贴的配置,完全贴合你的环境:
  • 服务端:ICG3000
    • 外网口:G0/1,公网 IP 60.142.54.55
    • 内网口:G0/5,192.168.70.0/24
    • L2TP 对端 IP:192.168.12.88(MSR810)
    • VXLAN 目的:让分支机构终端拿到总部 192.168.70.0/24
  • 客户端:MSR810
    • 家宽动态 IP,已拨 L2TP 上线
    • 目标:下联终端获取总部 DHCP(192.168.70.0/24)

一、核心原理(一句话)

L2TP 做隧道承载 → VXLAN 做二层透传 → 分支机构终端广播包直接发到总部 → 拿总部 DHCP
最终效果:
MSR810 下面的电脑 和总部同一局域网,获取 192.168.70.x IP。

二、ICG3000 服务端配置(直接复制)

cli
# 1. 启用 VXLAN 功能 vsi vxlan70 # VXLAN 网段对应 192.168.70.0 vnni 1070 # 2. 绑定内网口 G0/5 到 VXLAN interface GigabitEthernet0/5 port link-mode bridge port access vlan 70 # 把内网口加入 VSI interface Vlan-interface70 port link-mode bridge map vsi vxlan70 # 3. 创建 VXLAN 隧道接口(走 L2TP 对端 192.168.12.88) interface Tunnel10 mode vxlan source 192.168.12.254 destination 192.168.12.88 vxlan vni 1070 headend # 4. 放开安全策略(必配) security-policy rule name vxlan-l2tp source-zone trust destination-zone trust service ip action permit # 5. 开启 DHCP 中继(分支机构终端自动拿总部地址) dhcp enable interface Vlan-interface70 dhcp select relay dhcp relay server-address 192.168.70.254 # 你的DHCP服务器

三、MSR810 客户端配置(直接复制)

cli
# 1. 创建 VXLAN 隧道接口(对接 ICG3000) interface Tunnel10 mode vxlan source 192.168.12.88 destination 192.168.12.254 vxlan vni 1070 headend # 2. 绑定内网口到 VXLAN interface GigabitEthernet0/2 port link-mode bridge port access vlan 70 interface Vlan-interface70 map vsi vxlan70 # 3. VSI 绑定 vsi vxlan70 vnni 1070 # 4. 关闭本地DHCP(必须关!) undo dhcp enable # 5. 内网口透传广播(拿总部DHCP) interface Vlan-interface70 dhcp select relay dhcp relay client-release

四、最终效果

  1. MSR810 下面的电脑 自动获取 192.168.70.x
  2. 电脑和总部服务器 同一局域网、互 ping 互通、网上邻居可访问
  3. L2TP 不断 → VXLAN 永远在线
  4. 真正 跨互联网大二层

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
隐私政策
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2026新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明