摘要:为了应答传统数据中心网络对服务器虚拟化技术的限度,VXLAN技术应运而生。

1 概述

传统数据中心网络面临的问题

  • 虚拟机规模受设施表项规格限度

在传统二层网络中,交换机通过查问MAC地址表来转发数据帧,虚拟机的数量受限于MAC地址表的容量。

服务器虚拟化后,VM的数量比原有的物理机产生了数量级的增长,而接入侧二层设施的MAC地址表规格较小,无奈满足快速增长的VM数量。

  • 网络隔离能力限度

VLAN Tag只有12bit。对于大型虚拟化云计算服务的场景而言,VLAN的隔离能力无奈满足。

传统二层网络中的VLAN无奈满足网络动静调整的需要。

  • 虚拟机迁徙范畴受限

虚拟机迁徙必须产生在一个二层网络中。

传统的二层网络将虚拟机迁徙限度在了一个较小的部分范畴内。

VXLAN简介

  • VXLAN(Virtual eXtensible Local Area Network,虚构扩大局域网)在实质上属于一种VPN技术,可能在任意路由可达的网络上叠加二层虚构网络,通过VXLAN网关实现VXLAN网络外部的互通,同时,也能够实现与传统的非VXLAN网络的互通。
  • VXLAN通过采纳MAC in UDP封装来延长二层网络,将以太报文封装在IP报文之上,通过路由在网络中传输,两头的传输网络无需关注虚拟机的MAC地址,且路由网络无网络结构限度,具备大规模扩大能力。通过路由网络,虚拟机迁徙不受网络架构限度。

VXLAN在数据中心的利用

服务器虚拟化技术的宽泛部署,极大地减少了数据中心的计算密度;同时,为了实现业务的灵便变更,虚拟机VM(Virtual Machine)须要可能在网络中不受限迁徙,这给传统的“二层+三层”数据中心网络带来了新的挑战。为了应答传统数据中心网络对服务器虚拟化技术的限度,VXLAN技术应运而生,其可能很好地解决如下问题:

  • 针对虚拟机规模受设施表项规格限度

o 服务器虚拟化后,VM的数量比原有的物理机产生了数量级的增长,而接入侧二层设施的MAC地址表规格较小,无奈满足快速增长的VM数量。

o VXLAN将管理员布局的同一区域内的VM收回的原始报文封装成新的UDP报文,并应用物理网络的IP和MAC地址作为外层头,这样报文对网络中的其余设施只体现为封装后的参数。因而,极大升高了大二层网络对MAC地址规格的需要。

  • 针对网络隔离能力限度

o VLAN作为以后支流的网络隔离技术,在规范定义中只有12bit,因而可用的VLAN数量仅4096个。对于私有云或其它大型虚拟化云计算服务这种动辄上万甚至更多租户的场景而言,VLAN的隔离能力无奈满足。

o VXLAN引入了相似VLAN ID的用户标识,称为VXLAN网络标识VNI(VXLAN Network Identifier),由24比特组成,反对多达16M的VXLAN段,无效地解决了云计算中海量租户隔离的问题。

  • 虚拟机迁徙范畴受限

o 虚拟机迁徙是指将虚拟机从一个物理机迁徙到另一个物理机。为了保障虚拟机迁徙过程中业务不中断,则须要保障虚拟机的IP地址放弃不变,这就要求虚拟机迁徙必须产生在一个二层网络中。而传统的二层网络,将虚拟机迁徙限度在了一个较小的部分范畴内。

o VXLAN将VM收回的原始报文进行封装后通过VXLAN隧道进行传输,隧道两端的VM不需感知传输网络的物理架构。这样,对于具备同一网段IP地址的VM而言,即便其物理地位不在同一个二层网络中,但从逻辑上看,相当于处于同一个二层域。即VXLAN技术在三层网络之上,构建出了一个虚构的大二层网络,只有虚拟机路由可达,就能够将其布局到同一个大二层网络中。这就解决了虚拟机迁徙范畴受限问题。

在园区网络中应用VXLAN实现一网多用

  • 通过引入虚拟化技术,在园区网络中基于一张物理网络创立多张虚构网络(VN,Virtual Network)。不同的虚构网络应用于不同的业务,例如办公、研发或物联网等。
  • 通过iMaster NCE(华为园区网络SDN控制器)实现全网设施集中管理,管理员通过图形化界面实现网络配置。
  • iMaster NCE将管理员的网络业务配置用意“翻译”成设施命令,通过NETCONF协定将配置下发到各台设施,实现网络的主动驾驶。

2 VXLAN的基本概念

VXLAN的报文格式

NVENetwork Virtualization Edge,网络虚构边缘)

NVE是实现网络虚拟化性能的网络实体,能够是硬件交换机也能够是软件交换机。NVE在三层网络上构建二层虚构网络,是运行VXLAN的设施。图中SW1和SW2都是NVE。

VTEPVXLAN Tunnel Endpoints VXLAN隧道端点)

  • VTEP是VXLAN隧道端点,位于NVE中,用于VXLAN报文的封装和解封装。
  • VXLAN报文(的外层IP头部)中源IP地址为源端VTEP的IP地址,目标IP地址为目标端VTEP的IP地址。
  • 一对VTEP地址就对应着一条VXLAN隧道。
  • 在源端封装报文后通过隧道向目标端VTEP发送封装报文,目标端VTEP对接管到的封装报文进行解封装。
  • 通常状况下应用设施的Loopback接口地址作为VTEP地址。

VNIVXLAN Network IdentifierVXLAN网络标识)

  • 相似VLAN ID,用于辨别VXLAN段。不同VXLAN段的虚拟机不能间接二层互相通信。
  • 一个租户能够有一个或多个VNI,VNI长度为24bit。

BDBridge Domain

  • 相似传统网络中采纳VLAN划分播送域,在VXLAN网络中一个BD就标识一个大二层播送域。
  • VNI以1:1形式映射到播送域BD,同一个BD内的终端能够进行二层互通。

VAPVirtual Access Point,虚构接入点)

实现VXLAN的业务接入。VAP有两种配置形式,二层子接口方式或者VLAN绑定形式:

  1. 二层子接口方式接入,例如本例在SW1创立二层子接口关联BD 10,示意仅这个接口下的特定流量注入到BD 10。
  2. VLAN绑定形式接入,例如本例在SW2配置VLAN 10与播送域BD 10关联,示意所有VLAN10的流量注入到BD 10。

3 VXLAN二层网关、三层网关

二层(L2)网关:实现流量进入VXLAN虚构网络,也可用于同一VXLAN虚构网络的同子网通信。例如下图中的Edge1和Edge2。

三层(L3)网关:用于VXLAN虚构网络的跨子网通信以及内部网络(非VXLAN网络)的拜访。例如下图中的Border。

4 VBDIF

  • 相似于传统网络中采纳VLANIF解决不同播送域互通的办法,在VXLAN中引入了VBDIF的概念。
  • VBDIF接口在VXLAN三层网关上配置,是基于BD创立的三层逻辑接口。
  • 通过VBDIF接口配置IP地址可实现不同网段的VXLAN间,及VXLAN和非VXLAN的通信,也可实现二层网络接入三层网络。

5 分布式与集中式网关

集中式网关

L3网关部署在一台设施上。所有跨子网的流量都通过网关转发,实现流量的集中管理。

长处:跨子网流量集中管理,简化网关部署和治理。

毛病:转发门路并非最优。

分布式网关

L3网关部署在多台设施上,VTEP节点既是L2网关,又是L3网关。

长处:跨子网流量转发门路更优。

毛病:网关部署、故障定位及网络运维绝对集中式网关简单。VTEP节点之间需交互及保护主机路由。

6 VXLAN隧道的建设形式

VXLAN隧道由一对VTEP IP地址确定,报文在VTEP设施进行封装之后在VXLAN隧道中依附路由进行传输。在进行VXLAN隧道的配置之后,只有VXLAN隧道的两端VTEP IP是三层路由可达的,VXLAN隧道就能够建设胜利。

动态VXLAN:隧道建设

VXLAN隧道由一对VTEP IP地址确定;动态VXLAN隧道的创立通过手工配置本端和远端的VNI、VTEP IP地址来实现,只有VXLAN隧道的两端VTEP IP是三层路由可达的,VXLAN隧道就能够建设胜利。

应用BGP EVPN作为管制面协定

最后的VXLAN计划(RFC 7348)中没有定义管制立体,即用户需手工配置VXLAN隧道,而后通过流量泛洪的形式学习主机地址,这种形式会导致网络中存在很多泛洪流量,并且网络扩大起来艰难。

为了解决上述问题,VXLAN引入了EVPN(Ethernet Virtual Private Network,以太网虚构专用网)作为VXLAN的管制立体。EVPN可视为BGP协定的一种扩大,定义了几种新的路由类型来实现VTEP的主动发现、主机地址学习等。

7 VXLAN在CloudCampus解决方案中的典型利用

需要

Fabric需要:

  • 基于物理网络构建一个Fabric。
  • 采纳分布式网关计划。

VN需要:

  • 创立2个VN,别离为办公(OA)及研发(RD)。
  • 缺省时,2个VN齐全隔离,VN内可实现同子网、跨子网互访。
  • 2个VN均可拜访FW所上联的内部网络。
  • 2个VN内的终端均可通过DHCP Server获取IP地址。

Fabric治理

Fabric创立及配置:

  • 用户依据业务需要,将物理设施(外围交换机、汇聚交换机及接入交换机)增加到Fabric中。
  • 用户指定交换机的角色:Border节点及Edge节点。
  • iMaster NCE主动将Border指定为RR,优化网络逻辑架构、BGP对等体关系模型。
  • 用户预约义2个“内部网络”,用于供2个VN达到内部网络。
  • 用户定义1个“网络服务资源”,用于后续终端通过该资源(中的DHCP Server)获取IP地址。

FabricUnderlay网络自动化部署:

  • iMaster NCE依据已发现的物理网络拓扑,联合用户所定义的Fabric网络,主动进行网络编排(用户可抉择OSPF多区域或单区域,是否针对OSPF报文进行认证等)。
  • iMaster NCE依据网络编排后果将Underlay网络配置主动下发到设施,使得设施之间IP可达。实现本步骤后,交换机便主动取得互联IP地址、VLAN配置,以及OSPF配置,交换机之间实现了路由可达。
  • iMaster NCE将Fabric配置主动下发到设施,设施之间建设BGP EVPN对等体关系,实现管制面的筹备工作。

VN治理

创立VN

  • 用户别离创立OA及RD虚构网络,指定虚构网络的IP网段/VLAN、网关地址、所关联的内部网络及网络服务资源,以及终端接入点位。
  • iMaster NCE将用户用意翻译成配置下发到网络设备上。

VXLAN隧道主动建设

VXLAN隧道主动建设

  • BGP EVPN将用于建设VXLAN隧道的相干信息在对等体之间通告。
  • 设施之间建设VXLAN隧道,为后续的数据转发做筹备。

终端获取地址

  • 销售员工A接入网络,首先实现用户认证,认证胜利后,认证点Edge1取得该用户的受权后果,将用户划分到对应VLAN。
  • A发动DHCP申请,该申请达到网关设施Edge1后,后者将DHCP申请进行中继,中继报文通过VXLAN隧道转发给Border。
  • Border将VXLAN解封装,并将DHCP中继报文转发给DHCP Server。
  • DHCP Server为A调配IP地址。

雷同VN内的同子网互访

  • 销售员工A与B通过准入认证,接入园区网络。
  • 以销售员工B为例,Edge2将其MAC地址通过BGP更新报文通告给Border,后者将其反射给Edge1。
  • Edge1学习到MAC地址0000.0002。
  • 当A发送数据给B时,流量达到Edge1后,Edge1将其执行VXLAN封装,而后转发到Edge2。后者VXLAN解封装后送达目的地。

雷同VN内的跨子网互访

  • 销售员工C通过准入认证,接入园区网络。
  • Edge2将其主机路由通过BGP更新报文通告给Border,后者将其反射给Edge1。
  • Edge1学习到1.20.1/32路由,路由下一跳为2.2.2.2,出接口为VXLAN隧道接口。
  • 当A发送数据给C时,流量达到Edge1后,Edge1将其执行VXLAN封装,而后转发到Edge2。后者VXLAN解封装后送达目的地。

拜访内部网络

  • 当用户将内部网络(目标网段为2.3.0/24)关联到OA虚构网络后,iMaster NCE会将路由信息下发至Border,并由Border将上述内部路由重散发到BGP,通告给Edge1和Edge2。
  • 当A发送数据到2.3.0/24时,流量送达Edge1后,由其进行VXLAN封装,而后送至Border,后者将VXLAN解封装,而后将IP报文转发给FW。

本文分享自华为云社区《新HCIE知识点:VXLAN与园区网络虚拟化》,原文作者:迷图小书童 。

点击关注,第一工夫理解华为云陈腐技术~