VXLANs verstehen

Posted on by admin

Virtual Extensible LAN Protocol (VXLAN) -Technologieermöglicht es Netzwerken, mehr VLANs zu unterstützen. Nach dem IEEE 802.1Qstandard sind traditionelle VLAN-Identifikatoren 12 Bit lang – thisnaming begrenzt Netzwerke auf 4094 VLANs. Das VXLAN-Protokoll überwindet diese Einschränkung, indem es eine längere logische Netzwerkkennung verwendet, die mehr VLANs und damit eine logischere Netzwerkisolation für große Netzwerke wie Clouds ermöglicht, die typischerweise viele virtuelle Maschinen enthalten.

VXLAN-Vorteile

Mit der VXLAN-Technologie können Sie Ihre Netzwerke segmentieren (wie VLANs), sie bietet jedoch Vorteile, die VLANs nicht bieten können. Hier sind die wichtigsten Vorteile der Verwendung von VXLANs:

  • Sie können theoretisch bis zu 16 Millionen VXLANs in einer Verwaltungsdomäne erstellen (im Gegensatz zu 4094 VLANs auf einem JuniperNetworks-Gerät).

    • Router der MX-Serie und EX9200-Switches unterstützen bis zu 32.000 VXLANs, 32.000 Multicast-Gruppen und 8000 virtuelle Tunnelendpunkte (VTEPs). Dies bedeutet, dass VXLANs, die auf Routern der MX-Serie basieren, eine Netzwerksegmentierung in der Größenordnung bieten, die von Cloud-Buildern zur Unterstützung einer sehr großen Anzahl von Mandanten benötigt wird.

    • Die Switches der QFX10000-Serie unterstützen 4000 VXLANs und 2000remote VTEPs.

    • QFX5100, QFX5110, QFX5200, QFX5210, und EX4600 schalter support4000 VXLANs, 4000 multicast gruppen, und 2000 remote VTEPs.

    • EX4300-48MPswitches unterstützung 4000 VXLANs.

  • Sie können die Migration virtueller Maschinen zwischen Servern aktivieren, die in separaten Layer-2-Domänen vorhanden sind, indem Sie die Traffic-overLayer-3-Netzwerke tunneln. Mit dieser Funktion können Sie Ressourcen innerhalb oder zwischen Rechenzentren dynamisch zuweisen, ohne durch Layer-2-Grenzen eingeschränkt zu sein oder große oder geografisch gestreckte Layer-2-Domänen erstellen zu müssen.

Die Verwendung von VXLANs zum Erstellen kleinerer Layer-2-Domänen, die über ein Layer-3-Netzwerk verbunden sind, bedeutet, dass Sie das SpanningTree-Protokoll (STP) nicht zum Konvergieren der Topologie verwenden müssen, sondern stattdessen Robustrouting-Protokolle im Layer-3-Netzwerk verwenden können. In Ermangelung vonstp, keiner Ihrer Links wird blockiert, was bedeutet, dass Sie fullvalue von allen Ports erhalten können, die Sie kaufen. Durch die Verwendung von Routing-Protokollen zum Verbinden Ihrer Layer-2-Domänen können Sie den Verkehr auch ausgleichen, um sicherzustellen, dass Sie Ihre verfügbare Bandbreite optimal nutzen.Angesichts der Menge an Ost-West-Verkehr, der häufig innerhalb oder zwischen Datenzentren fließt, ist es sehr wichtig, die Netzwerkleistung für diesen Verkehr zu maximieren.

Das Video Warum ein Overlay-Netzwerk in einem Rechenzentrum verwenden? präsentiert einen kurzen Überblick über die Vorteile der Verwendung von VXLANs.

Wie funktioniert VXLAN?

VXLAN wird oft als Overlay-Technologie beschrieben, da es Ihnen ermöglicht, Layer-2-Verbindungen über ein dazwischenliegendes Layer3-Netzwerk zu dehnen, indem Ethernet-Frames in einem VXLAN-Paket, das IP-Adressen enthält, gekapselt (getunnelt) werden. Geräte, die VXLANs unterstützen, werden virtuelle Tunnelendpunkte (VTEPs) genannt — sie können End-Hosts oder Netzwerk-Switches oder Router sein. VTEPs kapselnvxlan-Datenverkehr und entkapseln diesen Datenverkehr, wenn er den VXLANtunnel verlässt. Um einen Ethernet-Frame einzukapseln, fügen VTEPs eine Reihe von Feldern hinzu, darunter die folgenden:

  • Zieladresse der äußeren Media Access Control (MAC) (MacAddress des Tunnelendpunkts VTEP)

  • Äußere MAC-Quelladresse (MAC-Adresse der Tunnelquellevtep)

  • Äußere IP-Zieladresse (IP-Adresse des Tunnelendpunktes VTEP)

  • Äußere IP-Quelladresse (IP-Adresse der Tunnelquellevtep)

  • Äußerer UDP-Header

  • Ein VXLAN-Header, der ein 24-Bit-Feld enthält, das als VXLAN Network Identifier (VNI) bezeichnet wird und zur eindeutigen Identifizierung des VXLAN verwendet wird. Das VNI ähnelt einem VLANID, aber mit 24 Bit können Sie viel mehr VXLANs als VLANs erstellen.

Hinweis

Da VXLAN dem ursprünglichen Ethernet-Frame 50 bis 54 Byte zusätzlicher Headerinformationen hinzufügt, sollten Sie die MTU des zugrunde liegenden Netzwerks erhöhen. Konfigurieren Sie in diesem Fall die MTU der physischen Schnittstellen, die am VXLAN-Netzwerk teilnehmen, und nicht die MTU der logischen VTEP-Quellschnittstelle, die ignoriert wird.

Abbildung 1 zeigt das VXLAN-Paketformat.

Abbildung 1: VXLAN-Paketformat

VXLAN-Implementierungsmethoden

Junos OS unterstützt die Implementierung von VXLANs in den folgenden Umgebungen:

  • Manuelles VXLAN – In dieser Umgebung fungiert ein Juniper Networksdevice als Transitgerät für Downstream-Geräte, die als VTEPs fungieren, oder als Gateway, das Konnektivität für Downstream-Server bereitstellt, die virtuelle Maschinen (VMs) hosten, die über eine Schicht 3 kommunizieren network.In in dieser Umgebung werden SDN-Controller (Software-Defined Networking) nicht bereitgestellt.

    Hinweis

    QFX10000-Switches unterstützen keine manuellen VXLANs.

  • OVSDB-VXLAN – In dieser Umgebung verwenden SDN-Controller das OVSDB-Verwaltungsprotokoll (Open vSwitch Database), um ein Mittel bereitzustellen, über das Controller (z. B. ein VMware NSX- oder JuniperNetworks Contrail-Controller) und Juniper Networks-Geräte, die OVSDB unterstützen, kommunizieren können.

  • EVPN-VXLAN – In dieser Umgebung ist Ethernet VPN (EVPN) eine Steuerebenentechnologie, die es ermöglicht, Hosts (physische Server und VMs) an einer beliebigen Stelle in einem Netzwerk zu platzieren und mit demselben logischen Layer-2-Overlay-Netzwerk verbunden zu bleiben, und VXLAN erstellt die Datenebene für das Layer-2-Overlay-Netzwerk.

Mit QFX5100, QFX5110, QFX5200, QFX5210, EX4300-48MP, andEX4600 Schalter mit VXLANs

Sie können konfigurieren die schalter zu führen alle der followingroles:

  • ( Alle Switches außer EX4300-48MP) In einer Umgebung ohne SDN-Controller fungieren als Transit-Layer-3-Switch für Downstreamhosts, die als VTEPs fungieren. In dieser Konfiguration müssen Sie nicht konfigurierenjede VXLAN-Funktionalität auf dem Switch. Sie müssen IGMPand PIM konfigurieren, damit der Switch die Multicastbäume für die VXLANmulticast-Gruppen bilden kann. (Weitere Informationen finden Sie im Handbuch VXLANs erfordern PIM.)

  • ( Alle Switches außer EX4300-48MP) fungieren in einer Umgebung mit oder ohne SDN-Controller als Layer-2-Gateway zwischen virtualisierten und nicht virtualisierten Netzwerken im selben Rechenzentrum oder zwischen Rechenzentren. Sie können den Switch beispielsweise verwenden, um ein Netzwerk, das VXLANs verwendet, mit einem Netzwerk zu verbinden, das VLANs verwendet.

  • ( EX4300-48MP Switches) fungieren als Layer-2-Gateway zwischen virtualisierten und nicht virtualisierten Netzwerken in einem Campus-Netzwerk. Sie können den Switch beispielsweise verwenden, um ein Netzwerk, das VXLANs verwendet, mit einem Netzwerk zu verbinden, das VLANs verwendet.

  • ( Alle Switches außer EX4300-48MP) fungieren als Layer-2-Gateway zwischen virtualisierten Netzwerken in denselben oder verschiedenen Rechenzentren und ermöglichen es virtuellen Maschinen, sich zwischen diesen Netzwerken und Rechenzentren zu bewegen (vMotion). Wenn Sie beispielsweise vMotion zwischen Geräten in zwei verschiedenen Netzwerken zulassen möchten, können Sie in beiden Netzwerken dasselbe VLAN erstellen und beide Geräte in dieses VLAN einbinden. Die mit diesen Geräten verbundenen Switches, die als VTEPs fungieren, können dieses VLAN demselben VXLAN zuordnen, und der VXLAN-Datenverkehr kann dann zwischen den beiden Netzwerken geroutet werden.

  • ( QFX5110-Switches mit EVPN-VXLAN) fungieren als Layer-3-Gateway, um den Datenverkehr zwischen verschiedenen VXLANs im selben Rechenzentrum zu leiten.

  • ( QFX5110-Switches mit EVPN-VXLAN) fungieren als Layer-3-Gateway, um den Datenverkehr zwischen verschiedenen VXLANs in verschiedenen Rechenzentren über ein WAN oder das Internet mithilfe von Standard-Routingprotokollen oder VPLS-Tunneln (Virtualprivate LAN Service) zu leiten.

Hinweis

Wenn Sie möchten, dass ein QFX5110-Switch ein Layer-3-VXLAN-Gateway in einer EVPN-VXLAN-Umgebung ist, müssen Sie IRB-Schnittstellen (Integrated Routingand Bridging) konfigurieren, um die VXLANs zu verbinden.

Da die zusätzlichen Header 50 bis 54 Byte hinzufügen, müssen Sie möglicherweise die MTU auf einem VTEP erhöhen, um größere Pakete aufzunehmen.Wenn der Switch beispielsweise den Standard-MTU-Wert von 1514 Byte verwendet und Sie 1500-Byte-Pakete über das VXLAN weiterleiten möchten, müssen Sie die MTU erhöhen, um die durch die zusätzlichen Header verursachte erhöhte Paketgröße zu berücksichtigen.

Ändern des UDP-Ports auf QFX5100-, QFX5110-, QFX5200-, QFX5210- und EX4600-Switches

Ab JunosOS Release 14.1X53-D25 auf QFX5100-Switches Junos OS Release 15.1X53-D210auf QFX5110 und QFX5200 schalter, Junos OS Release 18.1R1 auf qfx5210 Switches, und Junos OS Release 18.2R1 auf EX4600-Switches können SieKonfigurieren Sie den UDP-Port, der als Zielport für den VXLAN-Datenverkehr verwendet wird. Geben Sie die folgende Anweisung ein, um den VXLAN-Zielport als einen anderen als den Standard-UDP-Port 4789 zu konfigurieren:

set protocols l2-learning destination-udp-port port-number

Der von Ihnen konfigurierte Port wird für alle VXLANs verwendet, die auf dem Switch konfiguriert sind.

Hinweis

Wenn Sie diese Änderung an einem Switch in einem VXLAN vornehmen, müssen Sie dieselbe Änderung an allen Geräten vornehmen, die das auf Ihrem Switch konfigurierte VXLAN beenden. Wenn Sie dies nicht tun, wird der Datenverkehr für alle auf Ihrem Switch konfigurierten VXLANs unterbrochen. Wenn Sie den UDP-Port ändern, gehen die zuvor erlernten Remote-VTEPs und Remote-MACs verloren, und der VXLAN-Datenverkehr wird unterbrochen, bis der Switch die Remote-VTEPs und Remote-MACs neu lernt.

Steuern des Transit-Multicast-Datenverkehrs auf QFX5100-, QFX5110-, QFX5200-, QFX5210- und EX4600-Switches

Wenn der Switch, der als VTEP fungiert, ein Broadcast-, Unknownunicast- oder Multicast-Paket empfängt, führt er die folgenden Aktionen für das Paket aus:

  1. Es entkapselt das Paket und liefert es an die lokal angebundenen Hosts.
  2. Anschließend wird die VXLAN-Kapselung erneut hinzugefügt und das Paket an die anderen VTEPs im VXLAN gesendet.

Diese Aktionen werden von der Loopback-Schnittstelle ausgeführt, die als VXLAN-Tunneladresse verwendet wird, und können sich daher negativ auf die dem VTEP zur Verfügung stehende Bandbreite auswirken. Beginnend mit Junos OS Release 14.1X53-D30 für QFX5100-Switches, Junos OS Release 15.1X53-D210 für QFX5110- und QFX5200switches, Junos OS Release 18.1R1 für QFX5210-Switches und JunosOS Release 18.2R1 Wenn Sie bei EX4600-Switches wissen, dass keine Multicast-Empfänger an andere VTEPs im VXLAN angeschlossen sind, die für eine bestimmte Multicast-Gruppe verkehren möchten, können Sie die Verarbeitungslast auf der Loopback-Schnittstelle durch Eingabe reduzierendie folgende Anweisung:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group multicast-group

In diesem Fall wird kein Datenverkehr für die angegebene Gruppe weitergeleitet, aber der gesamte andere Multicast-Datenverkehr wird weitergeleitet. Wenn Sie keinen Multicast-Datenverkehr an andere VTEPs im VXLAN weiterleiten möchten, geben Sie die folgende Anweisung ein:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group all

Verwenden eines Routers der MX-Serie, eines EX9200-Switches oder eines QFX10000-Switches Als VTEP

Sie können einen Router der MX-Serie, einen EX9200-Switch oder einen QFX10000switch so konfigurieren, dass er als VTEP fungiert und alle folgenden Rollen ausführt:

  • Fungieren Sie als Layer-2-Gateway zwischen virtualisierten und nicht virtualisierten Netzwerken im selben Rechenzentrum oder zwischen Rechenzentren. Sie können beispielsweise einen Router der MX-Serie verwenden, um ein Netzwerk, das VXLAN verwendet, mit einem Netzwerk zu verbinden, das VLANs verwendet.

  • Fungieren Sie als Layer-2-Gateway zwischen virtualisierten Netzwerken im selben oder in verschiedenen Rechenzentren und ermöglichen Sie virtuellen Maschinen, sich zwischen diesen Netzwerken und Rechenzentren zu bewegen (vMotion).

  • Fungieren Sie als Layer-3-Gateway, um den Datenverkehr zwischen verschiedenen VXLANs im selben Rechenzentrum weiterzuleiten.

  • Fungieren Sie als Layer-3-Gateway, um den Datenverkehr zwischen verschiedenen VXLANs in verschiedenen Rechenzentren über ein WAN oder das Internet mithilfe von Standard-Routingprotokollen oder VPLS-Tunneln (Virtual Private LAN Service) zu leiten.

Hinweis

Wenn Sie möchten, dass eines der in diesem Abschnitt beschriebenen Geräte ein VXLAN-Layer-3-Gateway ist, müssen Sie IRB-Schnittstellen (Integrated Routingand Bridging) konfigurieren, um die VXLANs zu verbinden.

Manuelle VXLANs erfordern PIM

In einer Umgebung mit einem Controller (z. B. einem VMware NSX- oder Juniper Networks Contrail-Controller) können Sie VXLANs auf einem Juniper Networks-Gerät bereitstellen. Ein Controller stellt auch einen Kontrollplan bereit, mit dem VTEPs ihre Erreichbarkeit ankündigen und die Erreichbarkeit anderer VTEPs kennenlernen. Sie können VXLANs auch manuell erstellenjuniper Networks-Geräte anstelle eines Controllers. Wenn Sie diesen Ansatz verwenden, müssen Sie auch Protokollunabhängiges Multicast (PIM) auf den VTEPs konfigurieren, damit sie VXLAN-Tunnel zwischen sich erstellen können.

Sie müssen außerdem jeden VTEP in einem bestimmten VXLAN so konfigurieren, dass er Mitglied derselben Multicastgruppe ist. (Wenn möglich, sollten Sie jedem VXLAN eine andere Multicast-Gruppenadresse zuweisen, obwohl dies nicht erforderlich ist.Mehrere VXLANs können sich dieselbe Multicastgruppe teilen.) Die VTEPs können dann ARP-Anfragen, die sie von ihren verbundenen Hosts erhalten, an die Multicast-Gruppe weiterleiten. Die anderen VTEPs in der Gruppe entkapseln die VXLAN-Informationen und leiten (vorausgesetzt, sie sind Mitglieder desselben VXLANs) die ARP-Anforderung an ihre verbundenen Hosts weiter. Wenn der Zielhost die ARP-Anforderung empfängt, antwortet er mit seiner Mac-Adresse, und sein VTEP leitet diese ARP-Antwort an den Quell-VTEP zurück.Durch diesen Prozess lernen die VTEPs die IP-Adressen der anderen VTEPs im VXLAN und die MAC-Adressen der mit den anderen VTEPs verbundenen Hosts.

Die Multicast-Gruppen und -bäume werden auch zum Weiterleiten von Broadcast-, unbekanntem Unicast- und Multicast-Datenverkehr (BUM) zwischen VTEPs verwendet. Dadurch wird verhindert, dass BUM-Datenverkehr außerhalb des VXLAN unnötig überflutet wird.

Hinweis

Multicast-Datenverkehr, der über einen VXLAN-Tunnel weitergeleitet wird, wird nur an die Remote-VTEPs im VXLAN gesendet. Das heißt, der encapsulatingVTEP kopiert und sendet keine Kopien der Pakete gemäß Demmulticast-Baum – er leitet nur die empfangenen Multicast-Pakete an die Remote-VTEPs weiter. Die Remote-VTEPs entkapseln die Encapsulatedmulticast-Pakete und leiten sie an die entsprechenden Layer-2-Schnittstellen weiter.JunosOS Veröffentlichung 18.1R1 für QFX5210-Switches

Lastausgleich des VXLAN-Datenverkehrs

Auf QFX5100-, QFX5110-, QFX5200-, QFX5210- und EX4600-Switches verwenden die Layer-3-Routen, die VXLAN-Tunnel bilden, standardmäßig den Lastausgleich pro Paket, was bedeutet, dass der Lastausgleich implementiert ist, wenn ECMP-Pfade zum Remote-VTEP vorhanden sind. Dies unterscheidet sich vom normalen Routingverhalten, bei dem der Lastausgleich pro Paket standardmäßig nicht verwendet wird.(Normales Routing verwendet standardmäßig den Lastenausgleich pro Präfix.)

Das Feld Quellport im UDP-Header wird verwendet, um den ECMPload-Ausgleich des VXLAN-Datenverkehrs im Layer-3-Netzwerk zu aktivieren. Dieses Feld wird auf einen Hash der inneren Paketfelder gesetzt, was zu einer Variablen führt, mit der ECMP zwischen Tunneln (Flows) unterscheiden kann. (Keines der anderen Felder, die flussbasiertes ECMP normalerweise verwendet, ist für die Verwendung mit VXLANs geeignet. Alle Tunnel zwischen denselben beiden VTEPs haben die gleichen Quell- und Ziel-IP-Adressen, und der UDP-Zielport ist per Definition auf Port 4789 festgelegt. Daher bietet keines dieser Felder eine ausreichende Möglichkeit für ECMP, Ströme zu unterscheiden.)

VLAN-IDs für VXLANs

Wenn Sie eine VLAN-ID für ein VXLAN auf einem Juniper Networksdevice konfigurieren, das VXLANs außer QFX10000-Switches unterstützt, empfehlen wir dringend, eine VLAN-ID von 3 oder höher zu verwenden. Wenn Sie eine VLAN-ID von 1 oder 2 verwenden, werden replizierte Broadcast-, Multicast- und unbekannte Unicast-Pakete (BUM) für diese VXLANs möglicherweise nicht markiert, was wiederum dazu führen kann, dass die Pakete von einem Gerät, das die Pakete empfängt, verworfen werden.

Aktivieren von QFX5120-Switches zum Tunneln von Datenverkehr auf Core-facingLayer 3-Tagged- und IRB-Schnittstellen

Hinweis

Wenn ein QFX5120-Switch versucht, Datenverkehr auf Core-facingLayer 3-Tagged-Schnittstellen oder IRB-Schnittstellen zu tunneln, löscht der Switch die Pakete. Um dieses Problem zu vermeiden, können Sie eine einfache Firewall mit zwei Termen konfigurierenfilter-basierte Firewall auf der Layer-3- oder IRB-Schnittstelle.

Hinweis

QFX5120-Switches unterstützen maximal 256 filterbasierte Firewalls mit zwei Laufzeiten.

Zum Beispiel:

set schnittstellen et-0/0/3 einheit 0 familie inetfilter eingang vxlan100
set firewall familie inet filter vxlan100 term1 von ziel-adresse 192.168.0.1/24 dann akzeptieren
set firewall familie inet filter vxlan100 term2 dann routing-instanz route1

Term 1 entspricht und akzeptiert Datenverkehr, der für den QFX5210-Switch bestimmt ist, der durch die Quell-VTEP-IP-Adresse (192.168.0.1/24) identifiziert wird, die der Loopback-Schnittstelle des Switches zugewiesen ist. Beachten Sie für Schritt 1, dass Sie beim Angeben einer Aktion alternativ den Datenverkehr zählen können, anstatt ihn zu akzeptieren.

Term 2 gleicht den gesamten anderen Datenverkehr ab und leitet ihn an eine Routinginstance (Route 1) weiter, die als et-0/0/3 konfiguriert ist.

Beachten Sie in diesem Beispiel, dass die Schnittstelle et-0/0/3 durch die Routinginstanz route1 referenziert wird. Daher müssen Sie den Befehl set firewall family inet filter vxlan100 term 2 und dann routing-instanceroute1 einschließen. Ohne diesen Befehl wird der Firewall-Filter seinnicht richtig funktionieren.

Verwenden von Ping und Traceroute mit einem VXLAN

Auf QFX5100- und QFX5110-Switches können Sie mit den Befehlen ping und Traceroute den Datenverkehrsfluss durch einen VXLAN-Tunnel beheben, indem Sie den Overlay-Parameter und verschiedene Optionen einbeziehen. Sie verwenden diese Optionen, um zu erzwingen, dass die Ping- oder Traceroute-Pakete demselben Pfad wie Datenpakete durch den VXLAN-Tunnel folgen. Mit anderen Worten, Sie lassen die Underlaypackets (Ping und Traceroute) dieselbe Route wie die Overlay-Pakete (Datenverkehr) verwenden. Weitere Informationen finden Sie unter Ping-Overlay und Traceroute-Overlay.

Unterstützte VXLAN-Standards

RFCs und Internet Drafts, die Standards für VXLAN definieren:

  • RFC 7348, Virtual eXtensible Local Area Network (VXLAN): Ein Framework zum Überlagern virtualisierter Layer-2-Netzwerke overLayer-3-Netzwerke

  • Internet draft draft-ietf-nvo3-vxlan-gpe, generische Protokollerweiterung für VXLAN

Releasehistorie Tabelle
Release
Beschreibung

Beginnend mit Junos OS Release 14.1X53-D30 forQFX5100 schalter, Junos OS Release 15.1X53-D210 für QFX5110 und QFX5200 Switches, Junos OS Release 18.1R1 für QFX5210 switches, und JunosOS Release 18.2R1 für EX4600 switches, wenn sie wissen, dass es areno multicast empfänger befestigt zu anderen VTEPs in die VXLAN, dass wanttraffic für eine bestimmte multicast gruppe, sie können reduzieren die processingload auf die loopback interface

Beginnend mit JunosOS Release 14.1X53-D25 auf QFX5100 Switches, Junos OS Release 15.1X53-D210on QFX5110 und QFX5200 Switches, Junos OS Release 18.1R1 auf QFX5210switches und Junos OS Release 18.2R1 auf EX4600-Switches können SieKonfigurieren Sie den UDP-Port, der als Zielport für den VXLAN-Datenverkehr verwendet wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.