Comprensión de las VXLAN

Publicada el por admin

La tecnología de protocolo LAN extensible virtual (VXLAN) permite que las redes admitan más VLAN. De acuerdo con el estándar IEEE 802.1 Q, los identificadores de VLAN tradicionales tienen una longitud de 12 bits: este nombre limita las redes a 4094 VLAN. El protocolo VXLAN supera esta limitación al usar un identificador de red lógico más largo que permite más VLAN y, por lo tanto, un aislamiento de red más lógico para redes grandes, como nubes que normalmente incluyen muchas máquinas virtuales.

Ventajas de VXLAN

La tecnología VXLAN le permite segmentar sus redes (como VLANsdo), pero proporciona beneficios que las VLAN no pueden. Estos son los beneficios más importantes del uso de VXLAN:

  • En teoría, puede crear hasta 16 millones de VXLANS en un dominio administrativo (en lugar de 4094 VLAN en un dispositivo JuniperNetworks).

    • Los routers de la serie MX y los switches EX9200 son compatibles con muchos 32.000 VXLAN, 32.000 grupos de multidifusión y 8.000 puntos finales de túnel virtuales (VTEP). Esto significa que las VXLAN basadas en enrutadores de la serie MX proporcionan segmentación de red a la escala requerida por los constructores de nube para admitir un gran número de inquilinos.

    • Los switches de la serie QFX10000 admiten 4000 VXLAN y 2000 VTEPS remotos.

    • Los switches QFX5100, QFX5110, QFX5200, QFX5210 y EX4600 admiten 4000 VXLAN, 4000 grupos de multidifusión y 2000 VTEP remotos.

    • Los interruptores EX4300-48MP admiten 4000 VXLAN.

  • Puede habilitar la migración de máquinas virtuales entre servidores que existen en dominios de capa 2 separados mediante el túnel de las redes de capa superior de tráfico 3. Esta funcionalidad le permite asignar dinámicamente recursos dentro o entre centros de datos sin estar limitado por los límites de la Capa 2 ni verse obligado a crear dominios de capa 2 grandes o geográficamente estirados.

El uso de VXLAN para crear dominios de capa 2 más pequeños que se conecten sobre una red de capa 3 significa que no necesita usar el Protocolo SpanningTree (STP) para converger la topología, sino que puede usar protocolos de enrutamiento más robustos en la red de Capa 3. En ausencia de STP, ninguno de sus enlaces está bloqueado, lo que significa que puede obtener valor completo de todos los puertos que compre. El uso de protocolos de enrutamiento para conectar sus dominios de capa 2 también le permite equilibrar la carga del tráfico para garantizar el mejor uso de su ancho de banda disponible.Dada la cantidad de tráfico este-oeste que a menudo fluye dentro o entre centros de datos, maximizar el rendimiento de su red para ese tráfico es muy importante.

El vídeo ¿Por qué usar una Red Superpuesta en un Centro de datos? presenta una breve descripción de las ventajas de usar VXLAN.

¿Cómo Funciona VXLAN?

VXLAN a menudo se describe como una tecnología de superposición porque le permite estirar las conexiones de capa 2 a través de una red de capa interviniente 3 encapsulando (tunelizando) tramas Ethernet en un paquete Vxlan que incluye direcciones IP. Los dispositivos que admiten VXLAN se denominan puntos finales de túnel virtuales (VTEP): pueden ser hosts finales, conmutadores de red o enrutadores. VTEPS encapsula el tráfico de Evxlan y lo descapsula cuando sale del túnel VXLANtunnel. Para encapsular una trama Ethernet, los VTEPs agregan una serie de campos, incluidos los siguientes:

  • Dirección de destino del control de acceso a medios externos (MAC) (dirección MAC del extremo del túnel VTEP)

  • Dirección de origen MAC externa (dirección MAC del túnel sourceVTEP)

  • Dirección IP de destino externa (dirección IP del VTEP tunnelendpoint)

  • Dirección IP de origen externa (dirección IP de la fuente del túnel))

  • Cabezal UDP externo

  • Un encabezado VXLAN que incluye un campo de 24 bits llamado identificador de red VXLAN (VNI), que se utiliza para identificar de forma única la VXLAN. El VNI es similar a un VLANID, pero tener 24 bits le permite crear muchos más VXLAN que VLAN.

Nota

Debido a que VXLAN agrega de 50 a 54 bytes de información de encabezado adicional al marco Ethernet original, es posible que desee aumentar la MTU de la red subyacente. En este caso, configure el MTU de las interfaces físicas que participan en la red VXLAN,no el MTU de la interfaz de origen lógica VTEP, que se ignora.

La figura 1 muestra el formato de paquete VXLAN.

Figura 1: Formato de Paquete VXLAN

Métodos de implementación de VXLAN

Junos OS admite la implementación de VXLAN en los siguientes entornos:

  • VXLAN manual: En este entorno, un dispositivo de red Juniper actúa como un dispositivo de tránsito para dispositivos descendentes que actúan como VTEP, o una puerta de enlace que proporciona conectividad para servidores descendentes que alojan máquinas virtuales (VM), que se comunican a través de una Capa 3 network.In en este entorno, los controladores de redes definidas por software (SDN) no se implementan.

    Nota

    Los conmutadores QFX10000 no son compatibles con VXLAN manuales.

  • OVSDB-VXLAN: En este entorno, los controladores SDN utilizan el protocolo de administración de Base de datos Abierta vSwitch (OVSDB) para proporcionar un medio a través del cual los controladores (como un controlador VMware NSX o JuniperNetworks Contrail) y los dispositivos de Juniper Networks compatibles con OVSDB pueden comunicarse.

  • EVPN-VXLAN: En este entorno, Ethernet VPN (EVPN)es una tecnología de plano de control que permite que los hosts (servidores físicos y máquinas virtuales) se coloquen en cualquier lugar de una red y permanezcan conectados a la misma red superpuesta de capa 2 lógica, y VXLAN crea el plano de datos para la red superpuesta de Capa 2.

Con los Switches QFX5100, QFX5110, QFX5200, QFX5210, EX4300-48MP YEX4600 con VXLAN

Puede configurar los switches para realizar todas las funciones siguientes:

  • (Todos los conmutadores excepto EX4300-48MP) En un entorno sin un controlador SDN, actúan como un conmutador de capa 3 de tránsito para postes descendentes que actúan como VTEPs. En esta configuración, no es necesario configurar ninguna funcionalidad de VXLAN en el conmutador. Es necesario configurar IGMP y PIM para que el conmutador pueda formar los árboles de multidifusión para los grupos VXLANmulticast. (Consulte las VXLAN manuales Requieren PIM para obtener más información.)

  • (Todos los switches excepto EX4300-48MP) En un entorno con o sin controlador SDN, actúan como una puerta de enlace de capa 2 entre redes virtualizadas y no virtualizadas en el mismo centro de datos o entre centros de datos. Por ejemplo, puede usar el conmutador para conectar una red que use VXLAN a una que use VLAN.

  • (Conmutadores EX4300-48MP) Actúan como una puerta de enlace de capa 2 entre redes virtuales y no virtuales en una red de campus. Por ejemplo,puede usar el conmutador para conectar una red que usa VXLAN a onethat que usa VLAN.

  • (Todos los conmutadores, excepto EX4300-48MP), actúan como una puerta de enlace de capa 2 entre redes virtualizadas en centros de datos iguales o diferentes y permiten que las máquinas virtuales se muevan (vMotion) entre esas redes y centros de datos. Por ejemplo, si desea permitir vMotion entre dispositivos en dos redes diferentes, puede crear la misma VLAN en ambas redes y poner ambos dispositivos en esa VLAN. Los conmutadores conectados a estos dispositivos, que actúan como VTEPs, pueden asignar esa VLAN a la misma VXLAN,y el tráfico de VXLAN se puede enrutar entre las dos redes.

  • (Conmutadores QFX5110 con EVPN-VXLAN) Actúan como una puerta de enlace de capa 3 para enrutar el tráfico entre diferentes VXLAN en el mismo centro de datos.

  • (Los switches QFX5110 con EVPN-VXLAN) Actúan como una puerta de enlace de capa 3 para enrutar el tráfico entre diferentes VXLAN en diferentes centros de datos sobre una WAN o Internet mediante protocolos de enrutamiento estándar o túneles virtuales de servicio LAN privado (VPLS).

Nota

Si desea que un conmutador QFX5110 sea una puerta de enlace VXLAN de capa 3 en un entorno EVPN-VXLAN, debe configurar interfaces de enrutamiento y puente integrados (IRB) para conectar las VXLAN, al igual que si desea enrutar el tráfico entre VLAN.

Debido a que los encabezados adicionales agregan de 50 a 54 bytes, es posible que necesite aumentar la MTU en un VTEP para acomodar paquetes más grandes.Por ejemplo, si el conmutador utiliza el valor predeterminado de MTU de 1514 bytes y desea reenviar paquetes de 1500 bytes a través de la VXLAN, debe aumentar la MTU para permitir el aumento del tamaño del paquete causado por las cabeceras adicionales.

Cambiar el puerto UDP en los Switches QFX5100, QFX5110, QFX5200, QFX5210 y EX4600

A partir de la versión JunosOS 14.1X53-D25 en los switches QFX5100,la versión Junos OS 15.1X53-D210on QFX5110 y Conmutadores QFX5200, Versión 18.1R1 de Junos OS en conmutadores qfx5210 y Versión 18 de Junos OS.2R1 en conmutadores EX4600, puede configurar el puerto UDP utilizado como puerto de destino para el tráfico VXLAN. Para configurar el puerto de destino de VXLAN para que no sea el puerto UDP predeterminado de 4789, escriba la siguiente instrucción:

establecer protocolos l2-destino de aprendizaje-puerto udp-número de puerto

El puerto que configure se utilizará para todas las VXLAN configuradas en el conmutador.

Nota

Si realiza este cambio en un conmutador de una VXLAN, debe realizar el mismo cambio en todos los dispositivos que terminan los VXLANS configurados en el conmutador. Si no lo hace, el tráfico se interrumpirá para todas las VXLAN configuradas en su conmutador. Al cambiar el puerto de audio, los VTEPs remotos y MAC remotos previamente aprendidos se interrumpen y el tráfico VXLAN se interrumpe hasta que el conmutador vuelva a aprender los VTEPS remotos y MAC remotos.

Controlar el tráfico de multidifusión de tránsito en conmutadores QFX5100, QFX5110,QFX5200, QFX5210 y EX4600

Cuando el conmutador que actúa como VTEP recibe un paquete de difusión, unicast desconocido o multidifusión, realiza las siguientes acciones en el paquete:

  1. Descapsula el paquete y lo entrega a los hosts conectados localmente.
  2. A continuación, añade la encapsulación de VXLAN de nuevo y envía el paquete a los otros VTEPs de la VXLAN.

Estas acciones son realizadas por la interfaz de bucle invertido utilizada como dirección de túnel VXLAN y, por lo tanto, pueden afectar negativamente al ancho de banda disponible para el VTEP. A partir de Junos OS Release 14.1X53-D30 para conmutadores QFX5100, Junos OS Release 15.1X53-D210 para conmutadores QFX5110 y qfx5200, Junos OS Release 18.1R1 para conmutadores QFX5210 y JunosOS Release 18.2R1 para conmutadores EX4600, si sabe que no hay receptores de multidifusión conectados a otros VTEPs en la VXLAN que quieran tráfico para un grupo de multidifusión específico, puede reducir la carga de procesamiento en la interfaz de bucle invertido ingresando la siguiente instrucción:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group multicast-group

En este caso, no se reenviará ningún tráfico para el grupo especificado, pero se reenviará todo el resto del tráfico de multidifusión. Si no desea reenviar ningún tráfico de multidifusión a otros VTEP de la VXLAN,escriba la siguiente instrucción:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group all

Con un enrutador de la serie MX, un conmutador EX9200 o un conmutador QFX10000 Como un VTEP

, puede configurar un enrutador de la serie MX, un conmutador EX9200 o un conmutador QFX10000 para que actúe como un VTEP y realice todas las funciones siguientes:

  • Actúa como una puerta de enlace de capa 2 entre redes virtualizadas y no virtualizadas en el mismo centro de datos o entre centros de datos. Por ejemplo,puede usar un enrutador de la serie MX para conectar una red que use VXLANsto a una que use VLAN.

  • Actúa como una puerta de enlace de capa 2 entre redes virtualizadas en el mismo centro de datos o en centros de datos diferentes y permite que las máquinas virtuales se muevan (vMotion) entre esas redes y centros de datos.

  • Actúa como una puerta de enlace de capa 3 para enrutar el tráfico entre diferentes VXLAN en el mismo centro de datos.

  • Actúa como una puerta de enlace de capa 3 para enrutar el tráfico entre diferentes VXLAN en diferentes centros de datos a través de una WAN o protocolos de enrutamiento estándar de uso de Internet o túneles de servicio de LAN privada virtual (VPLS).

Nota

Si desea que uno de los dispositivos descritos en esta sección sea una puerta de enlace de capa 3 de VXLAN, debe configurar las interfaces de enrutamiento y puente integrados (IRB) para conectar las VXLAN, al igual que si desea enrutar el tráfico entre VLAN.

Las VXLAN manuales requieren PIM

En un entorno con un controlador (como un controlador de contrail de VMware NSX o Juniper Networks), puede aprovisionar VXLAN en un dispositivo de Juniper Networks. Un controlador también proporciona un plan de control que los VTEP utilizan para anunciar su accesibilidad y aprender sobre la accesibilidad de otros VTEP. También puede crear manualmente VXLANs en dispositivos de Redjuniper en lugar de usar un controlador. Si utiliza este enfoque, también debe configurar la multidifusión independiente del protocolo(PIM) en los VTEPs para que puedan crear túneles VXLAN entre sí.

También debe configurar cada VTEP en una VXLAN determinada para que sea miembro del mismo grupo de multidifusión. (Si es posible, debe asignar una dirección de grupo multicast diferente a cada VXLAN, aunque esto no es necesario.Varias VXLAN pueden compartir el mismo grupo de multidifusión.) Los VTEPs pueden reenviar las solicitudes ARP que reciben de sus hosts conectados al grupo de multidifusión. Los otros VTEP del grupo desenencapsulan la información de VXLAN y (suponiendo que sean miembros de sameVXLAN) reenvían la solicitud ARP a sus hosts conectados. Cuando el host de destino recibe la solicitud ARP, responde con su MacAddress y su VTEP reenvía esta respuesta ARP al VTEP de origen.A través de este proceso, los VTEPs aprenden las direcciones IP de los otros VTEPS en la VXLAN y las direcciones MAC de los hosts conectados a los otros VTEPs.

Los grupos y árboles de multidifusión también se utilizan para reenviar el tráfico de difusión,unidifusión desconocida y multidifusión (BUM) entre VTEPs. Esto evita que el tráfico masivo se inunde innecesariamente fuera de la VXLAN.

Nota

El tráfico de multidifusión que se reenvía a través de un túnel VXLAN solo se envía a los VTEPs remotos de la VXLAN. Es decir, el VTEP Encapsulado no copia y envía copias de los paquetes de acuerdo con el árbol de multidifusión, solo reenvía los paquetes de multidifusión recibidos a los VTEP remotos. Los VTEP remotos descapotan los paquetes de multidifusión encapsulados y los reenvían a las interfaces de capa 2 apropiadas.JunosOS Release 18 (en inglés).1R1 para conmutadores QFX5210

Equilibrio de carga Tráfico VXLAN

En conmutadores QFX5100, QFX5110, QFX5200, QFX5210 y EX4600, las rutas de capa 3 que forman túneles VXLAN utilizan el equilibrio de carga por paquete de forma predeterminada,lo que significa que el equilibrio de carga se implementa si hay rutas ECMP al VTEP remoto. Esto es diferente del comportamiento normal de la ruta en el que el equilibrio de carga por paquete no se usa de forma predeterminada.(El enrutamiento normal utiliza el equilibrio de carga por prefijo de forma predeterminada.)

El campo puerto de origen en el encabezado UDP se utiliza para habilitar el equilibrio de carga ECM del tráfico VXLAN en la red de capa 3. Este campo se establece en un hash de los campos de paquetes internos, lo que resulta en una variable que ECMP puede usar para distinguir entre túneles (flujos). (Ninguno de los otros campos que utiliza normalmente ECMP basado en flujo es adecuado para su uso con VXLAN. Todos los túneles entre los mismos dos VTEPs tienen las mismas direcciones IP de origen y de destino, y el puerto de destino UDP está configurado en el puerto 4789 por definición. Por lo tanto, ninguno de estos campos proporciona una manera suficiente para que el ECMP diferencie los flujos.)

ID de VLAN para VXLAN

Al configurar un ID de VLAN para una VXLAN en cualquier dispositivo de red Juniper que admita VXLAN, excepto los switches QFX10000, recomendamos encarecidamente el uso de un ID de VLAN de 3 o superior. Si utiliza un ID de VLAN of1 o 2, es posible que los paquetes replicados de difusión, multidifusión y unidifusión desconocida (BUM)para estas VXLAN no estén etiquetados, lo que a su vez puede dar lugar a que un dispositivo que los recibe deje caer los paquetes.

Habilitar conmutadores QFX5120 para hacer un túnel de Tráfico en interfaces etiquetadas de Capa 3 con revestimiento de núcleo e IRB

Nota

Cuando un conmutador QFX5120 intenta hacer un túnel de tráfico en interfaces etiquetadas de capa 3 con revestimiento de núcleo o interfaces IRB, el conmutador elimina los paquetes. Para evitar este problema, puede configurar un firewall simple basado en filtros de dos términos en la interfaz etiquetada de capa 3 o IRB.

Nota

Los switches QFX5120 admiten un máximo de 256 paredes con filtro de dos períodos.

Por ejemplo:

establecer interfaces et-0/0/3 entrada de filtro inet de la familia de unidades 0 vxlan100
establecer filtro inet de la familia de cortafuegos vxlan100 term1 de la dirección de destino 192.168.0.1/24 luego aceptar
establecer filtro inet de la familia de cortafuegos vxlan100 term2 y luego enrutar el enrutador de instancia1

El término 1 coincide y acepta el tráfico destinado al conmutador QFX5210, que se identifica por la dirección IP VTEP de origen(192.168.0.1/24) asignada a la interfaz de bucle invertido del conmutador. Para el término 1, tenga en cuenta que al especificar una acción, puede contar el tráfico de forma alternativa en lugar de aceptarlo.

El término 2 coincide y reenvía el resto del tráfico de datos a una instancia de ruta (ruta 1), que está configurada interfaz et-0/0/3.

En este ejemplo, tenga en cuenta que la interfaz et-0/0/3 se refiere al enrutamiento de instancia 1. Como resultado, debe incluir el comando set firewall family inet filter vxlan100 term 2 y luego routing-instanceroute1. Sin este comando, el filtro de cortafuegos no funcionará correctamente.

Con ping y traceroute con un VXLAN

En conmutadores QFX5100 y QFX5110, puede utilizar los comandos ping y traceroute para solucionar problemas de flujo de tráfico a través de un túnel VXLAN mediante la inclusión del parámetro superpuesto y varias opciones. Utilice estas opciones para forzar que los paquetes ping o traceroute sigan la misma ruta que los paquetes de datos a través del túnel VXLAN. En otras palabras, usted hace que los paquetes subyacentes (ping y traceroute) tomen el sameroute como paquetes superpuestos (tráfico de datos). Consulte superposición de ping y superposición de trazador para obtener más información.

Estándares compatibles de VXLAN

RFC y borradores de Internet que definen estándares para VXLAN:

  • RFC 7348, Red de Área Local Extensible Virtual (VXLAN) : Un Marco para Superponer Redes de Capa 2 Virtualizadas Redes de Capa 3

  • Borrador de Internet borrador-ietf-nvo3-vxlan-gpe, Extensión de protocolo genérico para VXLAN

Tabla de historial de versiones
Release
Descripción

A partir de Junos OS Release 14. Conmutadores 1X53-D30 forQFX5100, Junos OS Release 15.1X53-D210 para conmutadores QFX5110 y QFX5200, Junos OS Release 18.1R1 para conmutadores QFX5210, y JunosOS Release 18. 2R1 para conmutadores EX4600, si sabe que no hay receptores de multidifusión conectados a otros VTEPs en la VXLAN que necesiten tráfico para un grupo de multidifusión específico, puede reducir la carga de procesamiento en la interfaz de bucle invertido

Comenzando con JunosOS Release 14.1X53-D25 en conmutadores QFX5100, Junos OS Release 15.1X53-D210on QFX5110 y QFX5200, Junos OS Release 18.1R1 en conmutadores QFX5210 y Junos OS Release 18.2R1 en conmutadores EX4600, puede configurar el puerto UDP utilizado como puerto de destino para el tráfico VXLAN.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.