如何设置Linux网络接口VXLAN端口虚拟网络隧道配置-linux运维-PHP中文网

如何设置Linux网络接口VXLAN端口虚拟网络隧道配置

P粉602998670

发布： 2025-08-19 10:06:02

原创

348人浏览过

vxlan在数据中心的核心价值在于突破传统vlan的规模限制，实现大规模虚拟网络隔离与跨物理拓扑的二层通信。1. vxlan使用24位vni，支持1600万独立网络，远超vlan的4096个id；2. 通过udp封装实现二层帧在三层网络上的传输，解耦物理拓扑与虚拟网络；3. 支持虚拟机和容器灵活调度，构建“大二层”网络，提升网络弹性与可扩展性。

如何设置Linux网络接口VXLAN端口虚拟网络隧道配置

在Linux上配置VXLAN端口和虚拟网络隧道，核心在于利用

ip link

登录后复制

工具创建虚拟接口，并指定其承载的VNI（VXLAN Network Identifier）和通信端口。这使得你可以在不同的物理网络或主机之间，建立起一个逻辑上的二层网络，仿佛它们直连一般。

解决方案

配置VXLAN隧道，通常涉及在两端或多端主机上执行一系列命令。这里以两台主机为例，假设主机A的IP是192.168.1.10，主机B的IP是192.168.1.20，它们之间通过物理网络可达。我们想创建一个VNI为100的VXLAN隧道，让其内部的虚拟机或容器能够互相通信。

首先，确保你的Linux内核支持VXLAN模块：

modprobe vxlan

登录后复制

。

主机A (192.168.1.10) 配置：

# 创建一个名为vxlan0的VXLAN接口
# id 100 是VNI（VXLAN Network Identifier），用于区分不同的VXLAN网络
# local 192.168.1.10 是本机的物理IP地址，用于发送VXLAN数据包的源IP
# remote 192.168.1.20 是对端主机的物理IP地址
# dstport 4789 是VXLAN的默认UDP端口，可以自定义
# nolearning 关闭MAC地址学习，通常用于静态配置或由上层控制器管理
# 如果需要学习，可以不加nolearning，或者使用bridge fdb add
ip link add vxlan0 type vxlan id 100 local 192.168.1.10 remote 192.168.1.20 dstport 4789 nolearning

# 为vxlan0接口分配一个内部IP地址，这个IP地址是虚拟网络内部的
# 假设我们想让这个虚拟网络使用10.0.0.0/24网段
ip addr add 10.0.0.1/24 dev vxlan0

# 启动vxlan0接口
ip link set up dev vxlan0

# 如果你的虚拟网络需要桥接虚拟机或容器，通常还需要创建一个Linux bridge
# 并将vxlan0接口和虚拟机的虚拟网卡加入到这个bridge中
# 例如：
# brctl addbr br0
# brctl addif br0 vxlan0
# ip link set up dev br0
# (然后将虚拟机或容器的eth0等接口加入br0)

登录后复制

主机B (196.168.1.20) 配置：

# 创建一个名为vxlan0的VXLAN接口，注意local和remote互换
ip link add vxlan0 type vxlan id 100 local 192.168.1.20 remote 192.168.1.10 dstport 4789 nolearning

# 为vxlan0接口分配一个内部IP地址，与主机A在同一个虚拟子网
ip addr add 10.0.0.2/24 dev vxlan0

# 启动vxlan0接口
ip link set up dev vxlan0

# 同样，如果需要桥接，执行类似主机A的bridge配置
# brctl addbr br0
# brctl addif br0 vxlan0
# ip link set up dev br0

登录后复制

配置完成后，两台主机上的

vxlan0

登录后复制

接口就可以通过底层的物理网络进行通信了，就好像它们之间有一条直连的以太网线一样。

VXLAN在现代数据中心网络中的角色与价值何在？

说实话，第一次接触VXLAN这东西，总觉得它有点玄乎，不就是个隧道技术嘛。但深入了解后才发现，它简直是为大型云环境和数据中心量身定制的。传统VLAN的2的12次方（4096）个ID限制，在动辄成千上万租户的云计算平台面前，简直是杯水车薪。VXLAN的24位VNI，提供了超过1600万个独立的虚拟网络标识，这一下子就把网络隔离的规模提升了几个数量级，简直是解决了大问题。

知网AI智能写作

知网AI智能写作，写文档、写报告如此简单

查看详情

更重要的是，VXLAN通过UDP封装，把二层以太网帧封装到三层IP包里，这意味着虚拟网络可以跨越任意三层网络边界。以前VLAN跨子网得多麻烦，需要路由器做VLAN间路由，现在VXLAN直接在物理IP网络上“跑”起来，彻底解耦了底层物理拓扑和上层虚拟网络。这让网络管理员在部署虚拟机和容器时，有了前所未有的灵活性。你可以把虚拟机随意地调度到任何物理服务器上，只要这些服务器能通过IP网络互通，它们就能加入同一个VXLAN网络。这种“大二层”网络的构建能力，是实现虚拟化和容器化环境弹性伸缩、故障迁移的关键基石。它让网络不再是计算资源扩展的瓶颈，而是变成了按需分配的“水管”。

如何排查VXLAN隧道不通或性能不佳的问题？

遇到VXLAN隧道不通，这事儿可大可小，但大部分时候都逃不过那几个“老熟人”。我个人经验里，最常见的问题往往不是VXLAN本身配置错了，而是底层网络出了岔子。

物理网络连通性： 这是最基础的。
```
ping
```
登录后复制
一下两端的物理IP地址（比如上面的192.168.1.10和192.168.1.20），看看是不是通的。不通的话，先检查网线、交换机、路由表、防火墙规则。很多时候，防火墙（
```
firewalld
```
登录后复制
或
```
iptables
```
登录后复制
）阻止了UDP 4789端口的流量，这是最容易被忽略的。记得开放UDP 4789端口。
MTU问题： VXLAN会在原始数据包外层再加一层头部，这会增加包的大小。如果底层物理网络的MTU设置不当（比如默认1500，但VXLAN封装后超过了1500），就可能导致碎片化或丢包。通常，VXLAN的MTU会比物理接口小50字节左右（取决于封装类型）。你可以尝试将
```
vxlan0
```
登录后复制
接口的MTU设置为1450或1400，或者确保底层网络支持巨型帧（Jumbo Frames）。
```
ip link show vxlan0
```
登录后复制
可以查看当前MTU，
```
ip link set dev vxlan0 mtu 1450
```
登录后复制
可以修改。
VNI和对端IP配置： 仔细核对两端的
```
id
```
登录后复制
（VNI）是否一致，
```
local
```
登录后复制
和
```
remote
```
登录后复制
IP地址是否正确且互为对端。一个字母或数字的错误都可能导致隧道无法建立。
MAC地址学习： 如果你没有使用
```
nolearning
```
登录后复制
，VXLAN接口会学习MAC地址。可以使用
```
bridge fdb show dev vxlan0
```
登录后复制
或
```
ip -s link show vxlan0
```
登录后复制
查看MAC地址表。如果发现MAC地址不正确或缺失，可能需要手动添加
```
bridge fdb add <MAC地址> dev vxlan0 dst <对端IP>
```
登录后复制
。
tcpdump
登录后复制
抓包：这是终极排查利器。在两端主机的物理接口上抓包（例如
```
tcpdump -i eth0 udp port 4789 -vv
```
登录后复制
），看看是否有VXLAN流量发出和接收。如果一端发出了，另一端没收到，那问题肯定在中间的物理网络。如果两端都收发正常，但内部还是不通，那问题可能出在
```
vxlan0
```
登录后复制
接口本身的IP配置或桥接配置上。
路由表： 确保VXLAN内部的IP地址有正确的路由。如果
```
vxlan0
```
登录后复制
接口的IP是10.0.0.1/24，那么对端10.0.0.2的流量自然会通过
```
vxlan0
```
登录后复制
走。但如果是更复杂的网络拓扑，可能需要检查路由。

VXLAN与Linux Bridge的协作模式及常见应用场景？

VXLAN和Linux Bridge简直是天作之合，它们俩搭档起来，就能构建出非常灵活且强大的虚拟网络。Linux Bridge就像一个虚拟的交换机，它能把多个网络接口（可以是物理网卡，也可以是虚拟接口如

veth

登录后复制

、

tap

登录后复制

，当然也包括

vxlan

登录后复制

接口）桥接起来，让它们在同一个二层网络中互相通信。

当我们将一个

vxlan

登录后复制

接口加入到一个Linux Bridge时，这个Bridge就拥有了跨越物理网络边界的能力。举个例子，假设你有两台物理服务器A和B，每台服务器上都跑着几台虚拟机。你可以在每台服务器上创建一个Linux Bridge（比如

br0

登录后复制

），然后把服务器上所有虚拟机的虚拟网卡都连接到这个

br0

登录后复制

上。接着，你再创建一个

vxlan0

登录后复制

接口，并把这个

vxlan0

登录后复制

也连接到

br0

登录后复制

上。

这样一来，任何从虚拟机发出的流量，都会先进入

br0

登录后复制

。如果目标是本地

br0

登录后复制

上的其他虚拟机，

br0

登录后复制

会直接转发。如果目标是另一台物理服务器B上的虚拟机，

br0

登录后复制

会把流量通过

vxlan0

登录后复制

接口发送出去。

vxlan0

登录后复制

接口会将这个二层帧封装成UDP/IP包，通过底层物理网络发送给服务器B的

vxlan0

登录后复制

接口。服务器B的

vxlan0

登录后复制

接收到后解封装，再交给服务器B上的

br0

登录后复制

，最终转发给目标虚拟机。

这种模式的常见应用场景非常多：

容器网络（如Docker Swarm、Kubernetes）： 许多容器编排系统都使用VXLAN作为其Overlay网络的基础。每个宿主机上的容器通过虚拟网卡连接到宿主机的Bridge上，而这个Bridge再通过VXLAN隧道与其他宿主机的Bridge相连，从而实现容器跨宿主机的通信。
虚拟化环境（如OpenStack、KVM）： 在大规模的私有云部署中，虚拟机可能分布在不同的物理服务器上。VXLAN配合Linux Bridge（或Open vSwitch）可以为这些虚拟机提供无缝的二层连通性，支持虚拟机迁移、负载均衡等功能。
多租户隔离： 每个租户可以拥有一个或多个独立的VXLAN网络，通过不同的VNI进行隔离。即使这些租户的虚拟机在同一个物理服务器上，它们之间也无法直接通信，除非通过特定的路由设备。
混合云连接： 通过在本地数据中心和公有云之间建立VXLAN隧道，可以扩展本地网络到云端，使得本地和云上的资源能够像在同一个局域网内一样进行通信，方便应用部署和数据同步。

简单来说，Linux Bridge提供了本地的二层转发能力，而VXLAN则将这种二层转发能力延伸到了物理网络之外，两者结合，就构建了一个可伸缩、可隔离的虚拟化网络基础设施。

以上就是如何设置Linux网络接口VXLAN端口虚拟网络隧道配置的详细内容，更多请关注php中文网其它相关文章！