Comprendere le VXLAN

Posted on by admin

Tecnologia Virtual Extensible LAN Protocol (VXLAN) consente alle reti di supportare più VLAN. Secondo lo standard IEEE 802.1 Qstandard, gli identificatori VLAN tradizionali sono lunghi 12 bit-thisnaming limita le reti a 4094 VLAN. Il protocollo VXLAN supera questa limitazione utilizzando un identificatore di rete logico più lungo che consente più VLAN e, quindi, un isolamento di rete più logico per reti di grandi dimensioni come i cloud che in genere includono molte macchine virtuali.

Vantaggi VXLAN

La tecnologia VXLAN consente di segmentare le reti (come VLAN), ma fornisce vantaggi che le VLAN non possono. Ecco i vantaggi piùimportanti dell’utilizzo di VXLAN:

  • È possibile creare teoricamente fino a 16 milioni di VXLAN in un dominio amministrativo (al contrario di 4094 VLAN su un dispositivo JuniperNetworks).

    • I router della serie MX e gli switch EX9200 supportano as manyas 32,000 VXLAN, 32,000 gruppi multicast e 8000 virtual tunnelendpoints (VTEP). Ciò significa che i VXLAN basati su routers serie MX forniscono la segmentazione della rete alla scala richiesta dai costruttori di cloud per supportare un numero molto elevato di tenant.

    • Gli interruttori della serie QFX10000 supportano 4000 VXLAN e 2000remote VTEP.

    • Gli switch QFX5100, QFX5110, QFX5200, QFX5210 e EX4600 supportano 4000 VXLAN, 4000 gruppi multicast e 2000 VTEP remoti.

    • Gli interruttori EX4300-48MP supportano 4000 VXLAN.

  • È possibile abilitare la migrazione di macchine virtuali tra server esistenti in domini Layer 2 separati eseguendo il tunneling delle reti overLayer 3 del traffico. Questa funzionalità consente di allocare dinamicamente le risorse all’interno o tra i data center senza essere vincolati dai confini del layer 2 o essere costretti a creare domini Layer 2 estesi o geograficamente estesi.

L’utilizzo di VXLAN per creare domini di livello 2 più piccoli che sono collegati su una rete di livello 3 significa che non è necessario utilizzare il protocollo SpanningTree (STP) per far convergere la topologia, ma è possibile utilizzare invece più protocolli robustrouting nella rete di livello 3. In assenza di STP, nessuno dei tuoi link è bloccato, il che significa che puoi ottenere fullvalue da tutte le porte che acquisti. L’utilizzo di protocolli di routing per collegare i domini Layer 2 consente inoltre di bilanciare il carico del traffico per garantire il miglior utilizzo della larghezza di banda disponibile.Data la quantità di traffico est-ovest che spesso scorre all’interno o tra i centri dati, massimizzare le prestazioni della rete per quel traffico è molto importante.

Il video Perché utilizzare una rete overlay in un Data Center? presenta una breve panoramica dei vantaggi dell’utilizzo di VXLAN.

Come funziona VXLAN?

VXLAN è spesso descritto come una tecnologia di overlay perché consente di allungare le connessioni Layer 2 su una rete Layer3 intervenendo incapsulando (tunneling) frame Ethernet in un VXLANpacket che include indirizzi IP. I dispositivi che supportano VXLAN sonochiamati virtual tunnel endpoint (VTEPs) – theycan essere end hosts o switch di rete o router. VTEPS encapsulateVXLAN traffico e de-incapsulare che il traffico quando lascia il VXLANtunnel. Per incapsulare un frame Ethernet, i VTEP aggiungono una serie di campi, inclusi i seguenti:

  • Esterno MAC (media access control) indirizzo di destinazione (MACaddress del tunnel endpoint VTEP)

  • Esterno MAC source address (indirizzo MAC del tunnel sourceVTEP)

  • Esterno IP indirizzo di destinazione (indirizzo IP del tunnelendpoint VTEP)

  • Esterno IP sorgente indirizzo IP (l’indirizzo del tunnel sourceVTEP)

  • Esterno intestazione UDP

  • UN VXLAN intestazione che include un 24-bit campo—calledthe VXLAN identificativo di rete (VNI)—thatis utilizzato per identificare in modo univoco il VXLAN. Il VNI è simile a un VLANID, ma avere 24 bit consente di creare molti più VXLAN rispetto a VLAN.

Nota

Poiché VXLAN aggiunge da 50 a 54 byte di informazioni di intestazione aggiuntive al frame Ethernet originale, è possibile aumentare l’MTU della rete sottostante. In questo caso,configurare l’MTUDELLE interfacce fisiche che partecipano alla rete VXLAN, non l’MTU dell’interfaccia sorgente VTEP logica, che viene ignorata.

La figura 1 mostra il formato del pacchetto VXLAN.

Figura 1: VXLAN Formato del Pacchetto

VXLAN modalità di Attuazione

Junos OS supporta l’implementazione di VXLANs nei seguenti ambienti:

  • Manuale VXLAN—In questo ambiente, un Ginepro Networksdevice agisce come un transito dispositivo a valle dei dispositivi di agire come VTEPs,o un gateway che fornisce la connettività per i server downstream thathost macchine virtuali (Vm), che comunicano attraverso una rete di Livello 3.In questo ambiente, il software-defined networking (SDN) controllersare non distribuito.

    Nota

    QFX10000 interruttori non supportano manuale VXLAN.

  • OVSDB-VXLAN – In questo ambiente, i controllori sdnutilizzare il protocollo di gestione Open vSwitch Database (OVSDB) per fornireun mezzo attraverso il quale i controller (come un controller VMware NSX o JuniperNetworks Contrail) e i dispositivi Juniper Networks che supportanoovsdb possono comunicare.

  • EVPN-VXLAN – In questo ambiente, Ethernet VPN (EVPN)è una tecnologia del piano di controllo che consente agli host (server fisici e VM) di essere posizionati ovunque in una rete e rimanere connessi alla stessa rete di overlay logico Layer 2, e VXLAN crea il dataplane per la rete di overlay Layer 2.

Utilizzando QFX5100, QFX5110, QFX5200, QFX5210, EX4300-48MP, andEX4600 Switch con VXLAN

È possibile configurare gli switch per eseguire tutti i seguenti ruoli:

  • (Tutti gli interruttori tranne EX4300-48MP) In un ambiente withoutan controller SDN, agire come un livello di transito 3 interruttore per downstreamhosts che agiscono come VTEPs. In questa configurazione, non è necessario configurarequalsiasi funzionalità VXLAN sullo switch. È necessario configurare IGMP e PIM in modo che lo switch possa formare gli alberi multicast per i gruppi VXLANmulticast. (Vedere Manuale VXLAN Richiedono PIM per ulteriori informazioni.)

  • (Tutti gli switch tranne EX4300-48MP) In un ambiente withor senza un controller SDN, agiscono come gateway Layer 2 tra reti virtualizzate e non virtualizzate nello stesso data center o tra datacenter. Ad esempio, è possibile utilizzare lo switch per collegare una reteche utilizza VXLAN a uno che utilizza VLAN.

  • (EX4300-48MP switch) Agire come un livello 2 gateway betweenvirtualized e nonvirtualized reti in una rete campus. Ad esempio, è possibile utilizzare lo switch per collegare una rete che utilizza VXLAN a una che utilizza VLAN.

  • (Tutti gli switch tranne EX4300-48MP) Fungono da gateway Layer 2 tra reti virtualizzate nello stesso o diversi data centersand consentono alle macchine virtuali di spostarsi (vMotion) tra tali networksand data center. Ad esempio, se si desidera consentire vMotion betweendevices in due reti diverse, è possibile creare la stessa VLAN inboth reti e mettere entrambi i dispositivi su quella VLAN. Gli switch collegati a questi dispositivi, agendo come VTEP, possono mappare la VLAN alla stessa VXLAN e il traffico VXLAN può quindi essere instradato tra le due reti.

  • (Gli switch QFX5110 con EVPN-VXLAN) Fungono da gateway Layer 3 per instradare il traffico tra diversi VXLAN nello stesso data center.

  • (QFX5110 switch con EVPN-VXLAN) Agire come un livello 3 gatewayto instradare il traffico tra diversi VXLAN in diversi data centersover una WAN o Internet utilizzando protocolli di routing standard o virtualprivate LAN service (VPLS) tunnel.

Nota

Se si desidera che uno switch QFX5110 sia un gateway VXLAN Layer 3 in un ambiente EVPN-VXLAN, è necessario configurare le interfacce IRB (Integrated routingand bridging) per collegare i VXLAN, proprio come si fa se si desidera instradare il traffico tra VLAN.

Poiché le intestazioni aggiuntive aggiungono da 50 a 54 byte, è possibile aumentare l’MTU su un VTEP per ospitare pacchetti più grandi.Ad esempio, se lo switch utilizza il valore MTU predefinito di 1514bytes e si desidera inoltrare pacchetti da 1500 byte sulla VXLAN, è necessario aumentare l’MTU per consentire l’aumento della dimensione del pacchetto causato dalle intestazioni aggiuntive.

Modifica della porta UDP sugli switch QFX5100, QFX5110, QFX5200, QFX5210 ed EX4600

A partire da JunosOS Release 14.1X53-D25 sugli switch QFX5100,Junos OS Release 15.1X53-D210on QFX5110 e QFX5200 interruttori, Junos OS rilascio 18.1R1 su QFX5210SWITCH, e Junos OS Rilascio 18.2R1 sugli switch EX4600, è possibileconfigurare la porta UDP utilizzata come porta di destinazione per il traffico VXLAN. Per configurare la porta di destinazione VXLAN in modo che sia diversa dalla porta UDP predefinita di 4789, immettere la seguente istruzione:

set protocols l2-learning destination-udp-port port-number

La porta configurata verrà utilizzata per tutte le configurazioni VXLANS sullo switch.

Nota

Se si effettua questa modifica su uno switch in una VXLAN, è necessario apportare la stessa modifica su tutti i dispositivi che terminano il VXLANSCONFIGURATO sullo switch. Se non lo fai, il traffico verrà interrotto per tutti i VXLAN configurati sul tuo switch. Quando si modifica la porta UDP, i VTEP remoti e i MAC remoti appresi in precedenza vengono interrotti e il traffico VXLAN viene interrotto fino a quando l’interruttore non riapprende i VTEP remoti e i MAC remoti.

Controllo del traffico multicast di transito sugli interruttori QFX5100, QFX5110,QFX5200, QFX5210 e EX4600

Quando l’interruttore che funge da VTEP riceve un pacchetto broadcast, unknownunicast o multicast, esegue le seguenti azioni sul pacchetto:

  1. deincapsula il pacchetto e lo consegna agli host locallyattached.
  2. Quindi aggiunge nuovamente l’incapsulamento VXLAN e invia thepacket agli altri VTEP nella VXLAN.

Queste azioni sono eseguite dall’interfaccia di loopback utilizzata come indirizzo del tunnel VXLAN e possono, quindi, avere un impatto negativo sulla larghezza di banda disponibile per il VTEP. A partire da Junos OS Release 14.1X53-D30 per gli switch QFX5100, Junos OS Release 15.1X53-D210 per gli switch QFX5110 e qfx5200, Junos OS Release 18.1R1 per gli switch QFX5210 e JunosOS Release 18.2R1 per EX4600 interruttori, se sai che ci areno multicast ricevitori collegati ad altri VTEPs in VXLAN che wanttraffic per uno specifico gruppo multicast, è possibile ridurre il processingload sull’interfaccia di loopback da enteringthe seguente dichiarazione:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group multicast-group

In questo caso, il traffico sarà trasmesso per la specifiedgroup ma tutti gli altri del traffico multicast verrà inoltrato. Se non si desidera inoltrare qualsiasi traffico multicast ad altri VTEP nella VXLAN, immettere la seguente istruzione:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group all

Utilizzando una Serie MX Router, EX9200 Interruttore, o QFX10000 Switchas un VTEP

È possibile configurare una Serie MX router, EX9200 interruttore, o QFX10000switch di agire come un VTEP e di eseguire tutti i seguenti ruoli:

  • Agire come un Livello di 2 gateway tra virtualizzato e nonvirtualizednetworks nella stessa data center o tra centri dati. Ad esempio, è possibile utilizzare un router MX Series per collegare una rete che utilizza VXLANsto uno che utilizza VLAN.

  • Fungere da gateway di livello 2 tra reti virtualizzate nello stesso data center o in data center diversi e consentire alle macchine virtuali di spostarsi (vMotion) tra tali reti e data center.

  • Agire come un gateway Layer 3 per instradare il traffico tra DIVERSIVXLAN nello stesso data center.

  • Agire come un gateway Layer 3 per instradare il traffico tra DIFFERENTVXLAN in diversi data center su una WAN o Internet utilizzando protocolli di routing standard o virtual Private LAN Service (VPLS) tunnel.

Nota

Se si desidera che uno dei dispositivi descritti in questa sezione sia un gateway VXLAN Layer 3, è necessario configurare le interfacce IRB (Integrated routingand bridging) per connettere le VXLAN, proprio come si fa se si desidera instradare il traffico tra VLAN.

Le VXLAN manuali richiedono PIM

In un ambiente con un controller (ad esempio un controller Contrail VMware NSX Ojuniper Networks), è possibile eseguire il provisioning di VXLAN su un dispositivo Juniper Networks. Un controller fornisce anche un controllo planethat VTEPs utilizzare per pubblicizzare la loro raggiungibilità e conoscere thereachability di altri VTEPs. È inoltre possibile creare manualmente VXLAN su dispositivi Juniper Networks invece di utilizzare un controller. Se si utilizzaquesto approccio, è necessario configurare anche Protocol Independent Multicast (PIM) sui VTEP in modo che possano creare tunnel VXLAN tra di loro.

È inoltre necessario configurare ogni VTEP in una data VXLAN per essere un membro dello stesso gruppo multicast. (Se possibile, è necessario assegnare un indirizzo di gruppo diversomulticast a ciascun VXLAN, sebbene ciò non sia richiesto.Più VXLAN possono condividere lo stesso gruppo multicast.) I VTEP possono inoltrare le richieste ARP che ricevono dai loro host connessi al gruppo multicast. Gli altri VTEP del gruppo deincapsulano le informazioni VXLAN e (supponendo che siano membri dello stesso VXLAN) inoltrano la richiesta ARP ai loro host connessi. Quando l’host di destinazione riceve la richiesta ARP, risponde con il suo MACaddress e il suo VTEP inoltra questa risposta ARP al VTEP di origine.Attraverso questo processo, i VTEP imparano gli indirizzi IP degli altri VTEP nel VXLAN e gli indirizzi MAC degli host collegati agli altri VTEP.

I gruppi e gli alberi multicast vengono utilizzati anche per inoltrare il traffico broadcast,unknown unicast e multicast (BUM) tra i VTEP. Ciò impedisce che il traffico del bus venga inutilmente allagato al di fuori della VXLAN.

Nota

Il traffico multicast inoltrato tramite un tunnel VXLAN viene inviato solo ai VTEP remoti nella VXLAN. Cioè, encapsulatingVTEP non copia e invia copie dei pacchetti in base almulticast tree-inoltra solo i pacchetti multicast ricevutiai VTEP remoti. I VTEP remoti deincapsulano i pacchetti encapsulatedmulticast e li inoltrano alle interfacce Layer 2 appropriate.JunosOS Rilascio 18.1R1 per gli switch QFX5210

Bilanciamento del carico Traffico VXLAN

Sugli switch QFX5100, QFX5110, QFX5200, QFX5210 e EX4600, i percorsi Layer 3 che formano i tunnel VXLAN utilizzano il bilanciamento del carico per pacchetto per impostazione predefinita,il che significa che il bilanciamento del carico viene implementato se Questo è diverso dal normale routingbehavior in cui il bilanciamento del carico per pacchetto non viene utilizzato per impostazione predefinita.(Il routing normale utilizza il bilanciamento del carico per prefisso per impostazione predefinita.)

Il campo porta sorgente nell’intestazione UDP viene utilizzato per abilitare il bilanciamento ECMPload del traffico VXLAN nella rete Layer 3. Questo campo è impostato su un hash dei campi del pacchetto interno, il che si traduce in una variabile che ECMP può utilizzare per distinguere tra tunnel (flussi). (Nessuno degli altri campi che ECMP basato sul flusso utilizza normalmente è adatto per l’uso con VXLAN. Tutti i tunnel tra gli stessi due VTEP hanno lo stesso indirizzo IP di origine e di destinazione di outer e la porta di destinazione UDP è impostata sulla porta 4789 per definizione. Pertanto, nessuno di questi campi fornisce un modo sufficiente per l’ECMP per differenziare i flussi.)

ID VLAN per VXLAN

Quando si configura un ID VLAN per una VXLAN su qualsiasi dispositivo di rete Juniper che supporta VXLAN ad eccezione degli switch QFX10000, si consiglia vivamente di utilizzare un ID VLAN di 3 o superiore. Se si utilizza un ID VLAN of1 o 2, i pacchetti replicated broadcast, multicast e unknown unicast (BUM)per questi VXLAN potrebbero non essere etichettati, il che a sua volta potrebbe causare la caduta dei pacchetti da parte di un dispositivo che li riceve.

Abilitazione degli switch QFX5120 al traffico tunnel su interfacce Core-FacingLayer 3 Tagged e IRB

Nota

Quando uno switch QFX5120 tenta di tunnel traffic su interfacce core-facingLayer 3 tagged o interfacce IRB, lo switch elimina i pacchetti. Per evitare questo problema, è possibile configurare un semplice firewall basato su due termfilter sull’interfaccia tagged o IRB Layer 3.

Nota

Gli switch QFX5120 supportano un massimo di 256 firewall basati su filtro a due termini.

Per esempio:

set di interfacce et-0/0/3 unità 0 famiglia inetfilter ingresso vxlan100
impostare il firewall famiglia inet filtro vxlan100 term1 da destinazione-indirizzo 192.168.0.1/24 quindi accettare
impostare il firewall famiglia inet filtro vxlan100 term2 quindi di routing-istanza rotta1

Termine 1 partite e accetta il traffico destinato theQFX5210 interruttore, che è identificata da una fonte VTEP indirizzo IP(192.168.0.1/24) assegnata all’interruttore dell’interfaccia di loopback. Forterm 1, si noti che quando si specifica un’azione, è possibile alternativelycount traffico invece di accettarlo.

Termine 2 corrisponde e inoltra tutti gli altri traffico dati a un routinginstance (percorso 1), che è configurato interfaccia et-0/0/3.

In questo esempio, si noti che l’interfaccia et-0/0/3 è referenced by routing instance route1. Di conseguenza, è necessario includere il set firewall family inet filter vxlan100 term 2 quindi il comando routing-instanceroute1. Senza questo comando, il filtro firewall sarànon funziona correttamente.

Utilizzando ping e traceroute con un VXLAN

Su QFX5100 e QFX5110 interruttori, è possibile utilizzare il ping e traceroute comandi per risolvere il flusso di traffico attraverso un tunnel VXLAN includendo il parametro overlay e varie opzioni. Utilizzare queste opzioni per forzare i pacchetti ping o traceroute a seguire lo stesso percorso dei datapacket attraverso il tunnel VXLAN. In altre parole, fai in modo che i underlaypackets (ping e traceroute) prendano lo stesso dei pacchetti di sovrapposizione (traffico dati). Per ulteriori informazioni, vedere sovrapposizione ping e sovrapposizione traceroute.

Supportato VXLAN Standard

Rfc e bozze Internet che definiscono gli standard per VXLAN:

  • RFC 7348, Virtuale estensibile(Local Area Network VXLAN): UN Quadro di riferimento per la Sovrapposizione di Virtualizzato Livello 2 Reti overLayer 3 Reti

  • bozza Internet draft-ietf-nvo3-vxlan-gpe, GenericProtocol Estensione per VXLAN

il Rilascio della Storia Tavolo
Release
Descrizione

a Partire con il sistema operativo Junos Release 14.1X53-D30 forQFX5100 interruttori, Junos OS Versione 15.1X53-D210 per QFX5110 e QFX5200switches, Junos OS Versione 18.1R1 per QFX5210 interruttori, e JunosOS la Versione 18.2R1 per EX4600 interruttori, se sai che ci areno multicast ricevitori collegati ad altri VTEPs in VXLAN che wanttraffic per uno specifico gruppo multicast, è possibile ridurre il processingload sull’interfaccia di loopback

a Partire JunosOS Release 14.1X53-D25 su QFX5100 interruttori, Junos OS Versione 15.1X53-D210on QFX5110 e QFX5200 interruttori, Junos OS Versione 18.1R1 su QFX5210switches, e Junos OS Versione 18.2R1 sugli switch EX4600, è possibileconfigurare la porta UDP utilizzata come porta di destinazione per il traffico VXLAN.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.