VXLAN是NVO3中的一种网络虚拟化技术，通过将虚拟机发出的数据包封装在UDP中，并使用物理网络的IP、MAC作为outer-header进行封装，然后在IP网络上传输，到达目的地后由隧道终结点解封装并将数据发送给目标虚拟机。

图3-1 VXLAN结构示意图

通过VXLAN，虚拟网络可接入大量租户，且租户可以规划自己的虚拟网络，不需要考虑物理网络IP地址和广播域的限制，降低了网络管理的难度。下面龙哥开始介绍一下VXLAN相关概念。

VXLAN基本概念

租户

租户是数据中心、园区等企业网络业务的购买者，可以是运营商、服务提供商或使用服务的最终用户等。当购买网络业务的租户是运营商或服务提供商时，那么租户通常获得的是利用VXLAN技术构建的虚拟网络，此时一个租户对应一个VNI。

Underlay网络和Overlay网络

VXLAN技术将已有的物理网络作为Underlay网络，在其上构建出虚拟的二层或三层网络，即Overlay网络。Overlay网络通过封装技术、利用Underlay网络提供的三层转发路径，实现租户报文在不同站点间传递。对于租户来说，Underlay网络是透明的，只能感知到Overlay网络。

NVE（Network Virtualization Edge）

网络虚拟边缘节点NVE，实现网络虚拟化功能的网络实体。报文经过NVE封装转换后，NVE间就可基于三层基础网络建立二层虚拟化网络。

❝

说明：设备和服务器上的虚拟交换机VSwitch都可以作为NVE。

按照NVE部署位置的不同，可以分为以下三种模式：

• 硬件模式：所有的NVE都部署在支持NVE的设备上，所有的VXLAN报文封装与解封装都在设备上进行。
  
• 软件模式：所有的NVE都部署在vSwitch上，所有的VXLAN报文封装与解封装都在vSwitch上进行。
  
• 混合模式：部分NVE部署在vSwitch上，部分NVE部署在支持NVE的设备上，在vSwitch和设备上都有可能会进行VXLAN报文封装与解封装。
  

VTEP（VXLAN Tunnel Endpoints）

VTEP是VXLAN隧道端点，封装在NVE中，用于VXLAN报文的封装和解封装。

VTEP与物理网络相连，分配有物理网络的IP地址，该地址与虚拟网络无关。

VXLAN报文中源IP地址为本节点的VTEP地址，VXLAN报文中目的IP地址为对端节点的VTEP地址，一对VTEP地址就对应着一个VXLAN隧道。

VNI（VXLAN Network Identifier）

VXLAN网络标识VNI类似VLAN ID，用于区分VXLAN段，不同VXLAN段的虚拟机不能直接二层相互通信。

一个VNI表示一个租户，即使多个终端用户属于同一个VNI，也表示一个租户。VNI由24比特组成，支持多达16M的租户。

在分布式网关部署场景下，VNI分为二层VNI和三层VNI。

• 二层VNI是普通的VNI，以1：1方式映射到广播域BD，实现VXLAN报文同子网的转发。
  
• 三层VNI和VPN实例进行关联，用于VXLAN报文跨子网的转发。
  

BD（Bridge Domain）

BD是VXLAN网络中转发数据报文的二层广播域。

在VXLAN网络中，将VNI以1:1方式映射到广播域BD，BD成为VXLAN网络转发数据报文的实体。

VBDIF接口（Virtual Bridge Domain Interface）

基于BD创建的三层逻辑接口。通过VBDIF接口配置IP地址可实现不同网段的VXLAN间，及VXLAN和非VXLAN的通信，也可实现二层网络接入三层网络。

VAP（Virtual Access Point）

虚拟接入点VAP，即VXLAN业务接入点，可以是二层子接口或VLAN：

当接入节点是二层子接口时，通过在二层子接口上配置流封装类型实现不同的接口接入不同的数据报文，将二层子接口关联广播域BD后，可实现数据报文通过BD转发。

当业务接入点是VLAN时，需要将VLAN绑定到广播域BD，也可以实现数据报文通过BD转发。

网关（Gateway）

和VLAN类似，不同VNI之间的VXLAN，及VXLAN和非VXLAN之间不能直接相互通信。为了使VXLAN之间，以及VXLAN和非VXLAN之间能够进行通信，VXLAN引入了VXLAN网关。

VXLAN网关分为：

• 二层网关：用于解决租户接入VXLAN虚拟网络的问题，也可用于同一VXLAN虚拟网络的子网通信。
  
• 三层网关：用于VXLAN虚拟网络的跨子网通信以及外部网络的访问。