文章总结： 本文是关于智算中心网络架构的技术实战分享，重点介绍如何通过BorderLeaf实现网络的内外互通。在前序文章已完成Underlay网络搭建、Overlay网络打通等基础上，本文将指导读者配置外网集成，解决酒香也怕巷子深的问题，最终实现海阔凭鱼跃、天高任鸟飞的完整网络架构。 综合评分： 80 文章分类： 实战经验,网络安全,解决方案,技术标准,安全建设

Type-2是管家，Type-5是外交官！Border Leaf让智算中心网络走出去

原创

衡水铁头哥 衡水铁头哥

铁军哥

2026年3月22日 07:37 北京

前言

从Underlay到Overlay，智算中心还只能内部通信？EVE-NG专业版 + Cumulus VX + VSR配置外网集成，Border Leaf怎么配？VRF如何隔离？Type-5路由有何用？一文带你搞定外网集成核心架构。完整命令+验收测试全公开，建议收藏。

大鹏一日同风起，扶摇直上九万里！

回顾前面的摸爬滚打，我们用BGP Unnumbered搭建好了Underlay网络（告别OSPF！EVE-NG专业版+BGP Unnumbered打通Underlay的完整实战），用BFD实现了网络的毫秒级收敛（从180秒到0.01秒：智算中心Underlay路由优化的速度与激情），通过EVPN打通了Overlay网络（告别VLAN限制！EVPN + VXLAN实现跨Leaf二层互通，打造千万级隔离网络），展示了集中式网关跨VLAN业务通信的最差路径（跨VLAN通信过五关斩六将都不够，我的数据包创造了8跳的新纪录），又用分布式网关力挽狂澜（从8跳到3跳：EVPN 分布式网关让时延降低67%的完整实战）。

针对潜在的Leaf设备单点故障问题，我们用EVPN多宿主ESI技术进行了优化（从M-LAG到ESI：打造不用心跳线的神交式双活智算中心架构），第一次效果差点意思，我们又针对性的做了第二次调优（丢包之谜：为什么你的ESI实验总是不通？EVE-NG虚拟化环境避坑指南），最终实现Leaf设备单上行故障不丢包、单Leaf设备整机故障丢1个包的良好效果。

目前，我们的智算中心已经实现了Underlay网络的极速收敛和Overlay网络的全活接入，内功深厚，但酒香也怕巷子深，闭门造车总不是长久之计。用老话说，这就是盖了豪宅没修路——再好的网络，出不去也是白搭。

接下来，我们依旧使用Border Leaf给智算中心开个大门，只要将这个智算中心网络接入外网（从东西向到南北向：Border Leaf如何实现智算中心网络的”全向通达”），补上这临门一脚，基础网络架构就算齐活了！实现内通外联的完整架构，真正做到海阔凭鱼跃、天高任鸟飞！

本次实验环境为EVE-NG专业版6.4.0-78，虚拟机配置为40核vCPU、96 GB内存。调整了虚拟机CPU和内存的份额，预留了全部内存，同时将延迟敏感度调整为高，也关闭了KSM和CPULimit，理论上能大幅提升虚拟设备的运行效率。

因为前两个测试EVPN多宿主ESI的实验使用的临时拓扑，所以本次组网拓扑我们回滚到分布式网关，同时在Leaf1设备上旁挂一台VSR设备，用于接入互联网。组网拓扑如下所示：

其中，Spine/Leaf交换机均使用Nvidia Cumulus VX的5.15.1版本，资源配置为2核CPU、3 GB内存；服务器使用我们最新定制的Ubuntu 24.04（万物皆可EVE-NG！一招解决Ubuntu镜像MAC冲突），资源配置为2核CPU、2 GB内存。设备互联情况如下所示：

实验开始之前，我们先回顾一下从历史实验总结的注意事项：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：铁军哥 衡水铁头哥 衡水铁头哥《Type-2是管家，Type-5是外交官！Border Leaf让智算中心网络走出去》