GENEVE對應(yīng)的RFC8926是2020年11月份正式發(fā)布的，距今已經(jīng)過去4年多了，目前主要支持的設(shè)備商還是國外的廠商。從飛塔防火墻的配置過程，我們可以看到，配置非常簡單，實(shí)現(xiàn)應(yīng)該也比較簡單。

具體簡單到什么地步呢？據(jù)說Ubuntu系統(tǒng)從16.04版本開始就支持GENEVE了，也就是2016年4月份，竟然比RFC8926的發(fā)布時(shí)間還早？其實(shí)這也沒啥問題，RFC8926的前身是draft-gross-geneve草案，該草案始于2014年2月份，在2015年5月份演化為draft-ietf-nvo3-geneve草案，這時(shí)的協(xié)議規(guī)范就基本完善了，所以Ubuntu大概率是這時(shí)就開始了GENEVE協(xié)議的適配開發(fā)工作。

為了驗(yàn)證配置，我們使用兩臺Ubuntu主機(jī)測試對接GENEVE隧道，系統(tǒng)版本分別為18.04.6 LTS和23.10。

測試拓?fù)淙缦滤荆?/p>

圖片

測試前，我們先配通底層網(wǎng)絡(luò)。Ubuntu18.04和Ubuntu23.10兩個系統(tǒng)配置IP地址的方式有所不同，Ubuntu18.04的配置命令如下：   

ifconfig ens192 10.12.1.1 netmask 255.255.255.0
ip route add 10.23.1.0/24 via 10.12.1.2

而Ubuntu23.10的配置命令為：

ip addr add 10.23.1.3/24 dev ens192
ip route add 10.12.1.0/24 via 10.23.1.2

配置完成之后，兩臺主機(jī)就可以互通了。

圖片

接下來，我們先配置Ubuntu18.04的GENEVE配置。

跟飛塔防火墻的配置過程類似，配置GENEVE也是創(chuàng)建一個隧道接口，創(chuàng)建時(shí)必需要指定對端的IP地址和VNI，其他的都是可選配置。目前還沒遇到說修改GENEVE隧道端口號的，如果不幸遇到了，可以通過dstport來指定。

ip link add geneve0 type geneve id 100 remote 10.23.1.3
ip link add geneve0 type geneve id 100 remote 10.23.1.3 dstport 6081
ip link show geneve0

圖片

可以看到，隧道接口創(chuàng)建之后處于DOWN狀態(tài)，需要手工UP一下，再配置上接口的IP地址就好了。

ip link set geneve0 up
ip link show geneve0
ip addr add 10.13.1.1/24 dev geneve0
ip addr show geneve0

圖片

這里使能端口和配置IP地址沒有嚴(yán)格的先后順序，怎么操作都行。

到這里，Ubuntu18.04就配置完了，我們使用相同的操作，配置Ubuntu23.10。

ip link add geneve0 type geneve id 100 remote 10.12.1.1
ip link show geneve0    
ip link set geneve0 up
ip link show geneve0
ip addr add 10.13.1.3/24 dev geneve0
ip addr show geneve0

圖片

可以看到，配置完成的接口一直處于UNKNOWN狀態(tài)，那這是否影響GENEVE隧道的通信呢？

圖片

通信正常，沒有影響。

現(xiàn)在看來，只要3條命令就能完成Ubuntu系統(tǒng)創(chuàng)建GENEVE隧道，那報(bào)文長啥樣呢？我們抓包看一下。   

圖片

可以看到，我們在配置完一臺主機(jī)之后，該主機(jī)立即向外發(fā)送GENEVE協(xié)商請求報(bào)文，報(bào)文內(nèi)容竟然又是IPv6的組播報(bào)文，跟飛塔防火墻一模一樣。這與RFC規(guī)范中的描述基本一致：

“Geneve隧道可以是兩個隧道端點(diǎn)之間的點(diǎn)對點(diǎn)單播，也可以利用廣播或組播尋址。在這方面不要求內(nèi)部和外部尋址匹配。例如，在不支持組播的物理網(wǎng)絡(luò)中，封裝的組播流量可以被復(fù)制到多個單播隧道中，或者通過策略轉(zhuǎn)發(fā)到單播位置（可能在那里復(fù)制）?！?/strong>

而在兩端都成功加入到組播組之后，兩臺主機(jī)就可以正常通信了。

我們再看一下ping包，直接顯示的就是內(nèi)層的IP地址。   

圖片

可以發(fā)現(xiàn)，報(bào)文的封裝格式遵循GENEVE協(xié)議規(guī)范，從外到內(nèi)依次是外層以太網(wǎng)報(bào)文頭、外層IPv4報(bào)文頭、外層UDP報(bào)文頭、GENEVE報(bào)文頭、內(nèi)層以太網(wǎng)報(bào)文頭、封裝載荷。

以我們的抓包為例，外層以太網(wǎng)報(bào)文頭分別是Ubuntu23.10和VSR的MAC地址，外層IPv4報(bào)文頭分別是Ubuntu23.10和Ubuntu18.04的接口IPv4地址，外層UDP報(bào)文頭的目的端口為UDP 6081端口，而源端口則不是固定的UDP 6081端口，請求報(bào)文的源端口為51016，響應(yīng)報(bào)文的源端口為48931，似乎沒有什么規(guī)則，這里與飛塔防火墻的實(shí)現(xiàn)有些許不一樣。

再往內(nèi)層就是GENEVE報(bào)文頭，記錄了VNI為100（0x64），內(nèi)層以太網(wǎng)報(bào)文頭為兩個GENEVE虛擬接口的MAC地址；再內(nèi)層的封裝載荷就是原始的PING報(bào)文了。   

既然Ubuntu和飛塔防火墻的實(shí)現(xiàn)有差異，那兩者能對接嗎？且聽下文分解。