乐趣区

关于网络:数据中心网络技术新贵VXLAN与园区网络虚拟化

摘要:为了应答传统数据中心网络对服务器虚拟化技术的限度,VXLAN 技术应运而生。

1 概述

传统数据中心网络面临的问题

  • 虚拟机规模受设施表项规格限度

在传统二层网络中,交换机通过查问 MAC 地址表来转发数据帧,虚拟机的数量受限于 MAC 地址表的容量。

服务器虚拟化后,VM 的数量比原有的物理机产生了数量级的增长,而接入侧二层设施的 MAC 地址表规格较小,无奈满足快速增长的 VM 数量。

  • 网络隔离能力限度

VLAN Tag 只有 12bit。对于大型虚拟化云计算服务的场景而言,VLAN 的隔离能力无奈满足。

传统二层网络中的 VLAN 无奈满足网络动静调整的需要。

  • 虚拟机迁徙范畴受限

虚拟机迁徙必须产生在一个二层网络中。

传统的二层网络将虚拟机迁徙限度在了一个较小的部分范畴内。

VXLAN简介

  • VXLAN(Virtual eXtensible Local Area Network,虚构扩大局域网)在实质上属于一种 VPN 技术,可能在任意路由可达的网络上叠加二层虚构网络,通过 VXLAN 网关实现 VXLAN 网络外部的互通,同时,也能够实现与传统的非 VXLAN 网络的互通。
  • VXLAN 通过采纳 MAC in UDP 封装来延长二层网络,将以太报文封装在 IP 报文之上,通过路由在网络中传输,两头的传输网络无需关注虚拟机的 MAC 地址,且路由网络无网络结构限度,具备大规模扩大能力。通过路由网络,虚拟机迁徙不受网络架构限度。

VXLAN在数据中心的利用

服务器虚拟化技术的宽泛部署,极大地减少了数据中心的计算密度;同时,为了实现业务的灵便变更,虚拟机 VM(Virtual Machine)须要可能在网络中不受限迁徙,这给传统的“二层 + 三层”数据中心网络带来了新的挑战。为了应答传统数据中心网络对服务器虚拟化技术的限度,VXLAN 技术应运而生,其可能很好地解决如下问题:

  • 针对虚拟机规模受设施表项规格限度

o 服务器虚拟化后,VM 的数量比原有的物理机产生了数量级的增长,而接入侧二层设施的 MAC 地址表规格较小,无奈满足快速增长的 VM 数量。

o VXLAN 将管理员布局的同一区域内的 VM 收回的原始报文封装成新的 UDP 报文,并应用物理网络的 IP 和 MAC 地址作为外层头,这样报文对网络中的其余设施只体现为封装后的参数。因而,极大升高了大二层网络对 MAC 地址规格的需要。

  • 针对网络隔离能力限度

o VLAN 作为以后支流的网络隔离技术,在规范定义中只有 12bit,因而可用的 VLAN 数量仅 4096 个。对于私有云或其它大型虚拟化云计算服务这种动辄上万甚至更多租户的场景而言,VLAN 的隔离能力无奈满足。

o VXLAN 引入了相似 VLAN ID 的用户标识,称为 VXLAN 网络标识 VNI(VXLAN Network Identifier),由 24 比特组成,反对多达 16M 的 VXLAN 段,无效地解决了云计算中海量租户隔离的问题。

  • 虚拟机迁徙范畴受限

o 虚拟机迁徙是指将虚拟机从一个物理机迁徙到另一个物理机。为了保障虚拟机迁徙过程中业务不中断,则须要保障虚拟机的 IP 地址放弃不变,这就要求虚拟机迁徙必须产生在一个二层网络中。而传统的二层网络,将虚拟机迁徙限度在了一个较小的部分范畴内。

o VXLAN 将 VM 收回的原始报文进行封装后通过 VXLAN 隧道进行传输,隧道两端的 VM 不需感知传输网络的物理架构。这样,对于具备同一网段 IP 地址的 VM 而言,即便其物理地位不在同一个二层网络中,但从逻辑上看,相当于处于同一个二层域。即 VXLAN 技术在三层网络之上,构建出了一个虚构的大二层网络,只有虚拟机路由可达,就能够将其布局到同一个大二层网络中。这就解决了虚拟机迁徙范畴受限问题。

在园区网络中应用 VXLAN 实现 一网多用

  • 通过引入虚拟化技术,在园区网络中基于一张物理网络创立多张虚构网络(VN,Virtual Network)。不同的虚构网络应用于不同的业务,例如办公、研发或物联网等。
  • 通过 iMaster NCE(华为园区网络 SDN 控制器)实现全网设施集中管理,管理员通过图形化界面实现网络配置。
  • iMaster NCE 将管理员的网络业务配置用意“翻译”成设施命令,通过 NETCONF 协定将配置下发到各台设施,实现网络的主动驾驶。

2 VXLAN 的基本概念

VXLAN的报文格式

NVENetwork Virtualization Edge,网络虚构边缘)

NVE 是实现网络虚拟化性能的网络实体,能够是硬件交换机也能够是软件交换机。NVE 在三层网络上构建二层虚构网络,是运行 VXLAN 的设施。图中 SW1 和 SW2 都是 NVE。

VTEPVXLAN Tunnel Endpoints VXLAN隧道端点)

  • VTEP 是 VXLAN 隧道端点,位于 NVE 中,用于 VXLAN 报文的封装和解封装。
  • VXLAN 报文(的外层 IP 头部)中源 IP 地址为源端 VTEP 的 IP 地址,目标 IP 地址为目标端 VTEP 的 IP 地址。
  • 一对 VTEP 地址就对应着一条 VXLAN 隧道。
  • 在源端封装报文后通过隧道向目标端 VTEP 发送封装报文,目标端 VTEP 对接管到的封装报文进行解封装。
  • 通常状况下应用设施的 Loopback 接口地址作为 VTEP 地址。

VNIVXLAN Network IdentifierVXLAN网络标识)

  • 相似 VLAN ID,用于辨别 VXLAN 段。不同 VXLAN 段的虚拟机不能间接二层互相通信。
  • 一个租户能够有一个或多个 VNI,VNI 长度为 24bit。

BDBridge Domain

  • 相似传统网络中采纳 VLAN 划分播送域,在 VXLAN 网络中一个 BD 就标识一个大二层播送域。
  • VNI 以 1:1 形式映射到播送域 BD,同一个 BD 内的终端能够进行二层互通。

VAPVirtual Access Point,虚构接入点)

实现 VXLAN 的业务接入。VAP 有两种配置形式,二层子接口方式或者 VLAN 绑定形式:

  1. 二层子接口方式接入,例如本例在 SW1 创立二层子接口关联 BD 10,示意仅这个接口下的特定流量注入到 BD 10。
  2. VLAN 绑定形式接入,例如本例在 SW2 配置 VLAN 10 与播送域 BD 10 关联,示意所有 VLAN10 的流量注入到 BD 10。

3 VXLAN 二层网关、三层网关

二层(L2)网关:实现流量进入 VXLAN 虚构网络,也可用于同一 VXLAN 虚构网络的同子网通信。例如下图中的 Edge1 和 Edge2。

三层(L3)网关:用于 VXLAN 虚构网络的跨子网通信以及内部网络(非 VXLAN 网络)的拜访。例如下图中的 Border。

4 VBDIF

  • 相似于传统网络中采纳 VLANIF 解决不同播送域互通的办法,在 VXLAN 中引入了 VBDIF 的概念。
  • VBDIF 接口在 VXLAN 三层网关上配置,是基于 BD 创立的三层逻辑接口。
  • 通过 VBDIF 接口配置 IP 地址可实现不同网段的 VXLAN 间,及 VXLAN 和非 VXLAN 的通信,也可实现二层网络接入三层网络。

5 分布式与集中式网关

集中式网关

L3 网关部署在一台设施上。所有跨子网的流量都通过网关转发,实现流量的集中管理。

长处:跨子网流量集中管理,简化网关部署和治理。

毛病:转发门路并非最优。

分布式网关

L3 网关部署在多台设施上,VTEP 节点既是 L2 网关,又是 L3 网关。

长处:跨子网流量转发门路更优。

毛病:网关部署、故障定位及网络运维绝对集中式网关简单。VTEP 节点之间需交互及保护主机路由。

6 VXLAN 隧道的建设形式

VXLAN 隧道由一对 VTEP IP 地址确定,报文在 VTEP 设施进行封装之后在 VXLAN 隧道中依附路由进行传输。在进行 VXLAN 隧道的配置之后,只有 VXLAN 隧道的两端 VTEP IP 是三层路由可达的,VXLAN 隧道就能够建设胜利。

动态VXLAN:隧道建设

VXLAN 隧道由一对 VTEP IP 地址确定;动态 VXLAN 隧道的创立通过手工配置本端和远端的 VNI、VTEP IP 地址来实现,只有 VXLAN 隧道的两端 VTEP IP 是三层路由可达的,VXLAN 隧道就能够建设胜利。

应用 BGP EVPN 作为管制面协定

最后的 VXLAN 计划(RFC 7348)中没有定义管制立体,即用户需手工配置 VXLAN 隧道,而后通过流量泛洪的形式学习主机地址,这种形式会导致网络中存在很多泛洪流量,并且网络扩大起来艰难。

为了解决上述问题,VXLAN 引入了 EVPN(Ethernet Virtual Private Network,以太网虚构专用网)作为 VXLAN 的管制立体。EVPN 可视为 BGP 协定的一种扩大,定义了几种新的路由类型来实现 VTEP 的主动发现、主机地址学习等。

7 VXLAN 在 CloudCampus 解决方案中的典型利用

需要

Fabric需要:

  • 基于物理网络构建一个 Fabric。
  • 采纳分布式网关计划。

VN需要:

  • 创立 2 个 VN,别离为办公(OA)及研发(RD)。
  • 缺省时,2 个 VN 齐全隔离,VN 内可实现同子网、跨子网互访。
  • 2 个 VN 均可拜访 FW 所上联的内部网络。
  • 2 个 VN 内的终端均可通过 DHCP Server 获取 IP 地址。

Fabric治理

Fabric创立及配置:

  • 用户依据业务需要,将物理设施(外围交换机、汇聚交换机及接入交换机)增加到 Fabric 中。
  • 用户指定交换机的角色:Border 节点及 Edge 节点。
  • iMaster NCE 主动将 Border 指定为 RR,优化网络逻辑架构、BGP 对等体关系模型。
  • 用户预约义 2 个“内部网络”,用于供 2 个 VN 达到内部网络。
  • 用户定义 1 个“网络服务资源”,用于后续终端通过该资源(中的 DHCP Server)获取 IP 地址。

FabricUnderlay 网络自动化部署:

  • iMaster NCE 依据已发现的物理网络拓扑,联合用户所定义的 Fabric 网络,主动进行网络编排(用户可抉择 OSPF 多区域或单区域,是否针对 OSPF 报文进行认证等)。
  • iMaster NCE 依据网络编排后果将 Underlay 网络配置主动下发到设施,使得设施之间 IP 可达。实现本步骤后,交换机便主动取得互联 IP 地址、VLAN 配置,以及 OSPF 配置,交换机之间实现了路由可达。
  • iMaster NCE 将 Fabric 配置主动下发到设施,设施之间建设 BGP EVPN 对等体关系,实现管制面的筹备工作。

VN治理

创立VN

  • 用户别离创立 OA 及 RD 虚构网络,指定虚构网络的 IP 网段 /VLAN、网关地址、所关联的内部网络及网络服务资源,以及终端接入点位。
  • iMaster NCE 将用户用意翻译成配置下发到网络设备上。

VXLAN隧道主动建设

VXLAN隧道主动建设

  • BGP EVPN 将用于建设 VXLAN 隧道的相干信息在对等体之间通告。
  • 设施之间建设 VXLAN 隧道,为后续的数据转发做筹备。

终端获取地址

  • 销售员工 A 接入网络,首先实现用户认证,认证胜利后,认证点 Edge1 取得该用户的受权后果,将用户划分到对应 VLAN。
  • A 发动 DHCP 申请,该申请达到网关设施 Edge1 后,后者将 DHCP 申请进行中继,中继报文通过 VXLAN 隧道转发给 Border。
  • Border 将 VXLAN 解封装,并将 DHCP 中继报文转发给 DHCP Server。
  • DHCP Server 为 A 调配 IP 地址。

雷同 VN 内的同子网互访

  • 销售员工 A 与 B 通过准入认证,接入园区网络。
  • 以销售员工 B 为例,Edge2 将其 MAC 地址通过 BGP 更新报文通告给 Border,后者将其反射给 Edge1。
  • Edge1 学习到 MAC 地址 0000.0002。
  • 当 A 发送数据给 B 时,流量达到 Edge1 后,Edge1 将其执行 VXLAN 封装,而后转发到 Edge2。后者 VXLAN 解封装后送达目的地。

雷同 VN 内的跨子网互访

  • 销售员工 C 通过准入认证,接入园区网络。
  • Edge2 将其主机路由通过 BGP 更新报文通告给 Border,后者将其反射给 Edge1。
  • Edge1 学习到 1.20.1/32 路由,路由下一跳为 2.2.2.2,出接口为 VXLAN 隧道接口。
  • 当 A 发送数据给 C 时,流量达到 Edge1 后,Edge1 将其执行 VXLAN 封装,而后转发到 Edge2。后者 VXLAN 解封装后送达目的地。

拜访内部网络

  • 当用户将内部网络(目标网段为 2.3.0/24)关联到 OA 虚构网络后,iMaster NCE 会将路由信息下发至 Border,并由 Border 将上述内部路由重散发到 BGP,通告给 Edge1 和 Edge2。
  • 当 A 发送数据到 2.3.0/24 时,流量送达 Edge1 后,由其进行 VXLAN 封装,而后送至 Border,后者将 VXLAN 解封装,而后将 IP 报文转发给 FW。

本文分享自华为云社区《新 HCIE 知识点:VXLAN 与园区网络虚拟化》,原文作者:迷图小书童。

点击关注,第一工夫理解华为云陈腐技术~

退出移动版