Vxlansin ymmärtäminen

Posted on by admin

Virtual Extensible LAN protocol (Vxlan) technologyallow networks to support more VLAN. IEEE 802.1 Qstandardin mukaan perinteiset VLAN-tunnisteet ovat 12 bittiä pitkiä-tämä rajaaverkot 4094 Vlaaniin. Vxlan-protokollan ylikoomennus perustuu pitempään loogiseen verkkotunnisteeseen, joka mahdollistaa enemmän Vlaaneja ja siten loogisemman verkon eristämisen suurille verkoille, kuten pilville, jotka sisältävät tyypillisesti monia virtualmachinesia.

VXLANIN edut

vxlan-teknologia mahdollistaa verkkojesi segmentoinnin (vlansdona), mutta se tarjoaa etuja, joita VLANs ei voi. Tässä ovat tärkeimmät edut käyttämällä VXLANs:

  • voit teoriassa luoda jopa 16 miljoonaa vxlansin hallinnollisen verkkotunnuksen (vastakohtana 4094 VLANs JuniperNetworks laite).

    • MX-sarjan reitittimet ja EX9200-kytkimet tukevat monia 32 000 Vxlania, 32 000 multicast-ryhmää ja 8000 virtuaalista tunnelendpointia (vteps). Tämä tarkoittaa, että MX-sarjan reitittimiin perustuvat Vxlanit tarjoavat verkon segmentoinnin pilvirakentajien vaatimassa mittakaavassa tukemaan erittäin suuria vuokralaisia.

    • QFX10000 – sarjan kytkimet tukevat 4000 Vxlania ja 2000remote Vteppiä.

    • qfx5100, QFX5110, QFX5200, QFX5210 ja EX4600 kytkimet tukevat 4000 Vxlania, 4000 monilähetysryhmää ja 2000 kauko-Vteppiä.

    • EX4300-48kytkimet tukevat 4000 Vxlania.

  • voit mahdollistaa siirtymisen virtuaalikoneiden välillä serversthat olemassa erillinen kerros 2 verkkotunnuksia tunneloimalla traffic overLayer 3 verkot. Tämän toiminnon avulla voit dynaamisesti allocateresources sisällä tai välillä datakeskusten ilman rajoittaa by Kerros 2 rajoja tai pakotetaan luomaan suuria tai maantieteellisesti järjestelmällinen Kerros 2 verkkotunnuksia.

käyttämällä VXLANs luoda pienempi Kerros 2 verkkotunnuksia, jotka on yhdistetty yli kerros 3 verkko tarkoittaa, että sinun ei tarvitse käyttää SpanningTree Protocol (STP) lähentämään topologia, mutta voi käyttää enemmän robustrouting protokollia Kerros 3 verkossa sen sijaan. Jos ofstp: tä ei ole, yksikään linkkisi ei ole tukossa, mikä tarkoittaa, että voit saada täyden arvon kaikista ostamistasi satamista. Käyttämällä routing protocolsto connect your Layer 2 domains myös voit ladata tasapaino thetraffic varmistaa, että saat parhaan mahdollisen käytön käytettävissä kaistanleveys.Kun otetaan huomioon Itä-Länsi-liikenteen määrä, joka usein kulkee keskusten sisällä tai niiden välillä, verkon suorituskyvyn maksimointi kyseiselle liikenteelle on erittäin tärkeää.

video Miksi käyttää Overlay-verkkoa datakeskuksessa? esittelee lyhyen yleiskuvan eduista käyttämällä VXLANs.

miten VXLAN vaikuttaa?

VXLANIA kuvaillaan usein peittotekniikaksi, koska sen avulla voidaan venyttää Kerros 2-yhteyksiä välissä olevan Kerros3-verkon yli kapseloimalla (tunnelointi) Ethernet-kehyksiä IP-osoitteita sisältävään Vxlanpakettiin. Laitteet, jotka tukevat VXLANs arerecalled virtual tunnel endpoints (vteps)—theycan be end hosts or network switches or routers. VTEPs encapsulateVXLAN liikenne ja de-encapsulate että liikenne, kun se lähtee VXLANtunnel. Kapseloidakseen Ethernet-kehyksen VTEPs lisää useita kenttiä, mukaan lukien seuraavat kentät:

  • Outer media access control (MAC) kohdeosoite (macaddress of the tunnel endpoint VTEP)

  • ulompi MAC-lähdeosoite (tunnelin lähteen MAC-osoite)

  • ulompi IP-kohdeosoite (TUNNELENDPOINT VTEP: n IP-osoite)

  • ulompi IP-lähdeosoite (tunnelin lähteen IP-osoite)

  • ulompi UDP-otsake

  • vxlan-otsikkoa, joka sisältää 24—bittisen kentän, jota kutsutaan vxlan network identifieriksi (VNI), käytetään vxlan—tunnuksen yksilöimiseen. VNI on samanlainen kuin VLANID, mutta ottaa 24 bittiä voit luoda paljon enemmän VXLANs thanVLANs.

Huomautus

koska vxlan lisää 50-54 tavua lisää otsikkotietoja alkuperäiseen Ethernet-kehykseen, saatat haluta lisätä taustalla olevan verkon MTU: ta. Tässä tapauksessa määritä vxlan-verkkoon osallistuvien fyysisten rajapintojen MTU, ei loogisen vtep-lähderajapinnan MTU, joka jätetään huomiotta.

kuvassa 1 esitetään vxlan-pakettimuoto.

Kuva 1: Vxlan-Pakettimuoto

VXLAN-toteutusmenetelmät

Junos OS tukee vxlansin toteutusta seuraavissa ympäristöissä:

  • manuaalinen VXLAN—tässä ympäristössä Juniper Networksdevice toimii kauttakulkulaitteena loppupään laitteille, jotka toimivat vteps: nä, tai yhdyskäytävänä, joka tarjoaa yhteyden loppupään palvelimille thathost virtual machines (VMS), jotka kommunikoivat yli kerroksen 3 network.In tämä ympäristö, software-defined networking (SDN) controllers eivät ole käytössä.

    Huomautus

    QFX10000 Kytkimet eivät tue manuaalisia Vxlaneja.

  • OVSDB-lukien vxlan—tässä ympäristössä, SDN controllersuse Open vSwitch-Tietokanta (OVSDB) management protocol voisiseuratatätäsuorantalousarviotuen keino, jonka avulla ohjaimet (kuten VMware NSX tai JuniperNetworks Contrail-ohjain) ja Juniper Networks laitteita, jotka supportOVSDB voi kommunikoida.

  • EVPN—VXLAN-tässä ympäristössä Ethernet VPN (EVPN)on ohjaustekniikka, joka mahdollistaa isäntien (fyysiset serverit ja VMs) sijoittamisen mihin tahansa verkkoon ja pysymisen yhteydessä samaan loogiseen Layer 2 overlay-verkkoon.Vxlan luo dataplanen Layer 2 overlay-verkkoon.

käyttämällä Qfx5100, QFX5110, QFX5200, QFX5210, EX4300-48MP jaex4600-kytkimiä, joissa on Vxlans

, voit määrittää Kytkimet suorittamaan kaikki seuraavat tehtävät:

  • (kaikki Kytkimet paitsi EX4300-48MP) ympäristössä, jossa ei ole SDN-ohjainta, toimivat kauttakulkukerroksen 3 kytkimenä downstreamhostsille, joka toimii Vtep: nä. Tässä kokoonpanossa sinun ei tarvitse konfiguroida mitään vxlan-toimintoa kytkimessä. Sinun täytyy määrittää IGMPand PIM, jotta kytkin voi muodostaa multicast-puut VXLANmulticast-ryhmille. (KS. käsikirja Vxlans edellyttää PIM lisätietoja.)

  • (kaikki Kytkimet paitsi EX4300-48MP) ympäristössä withor ilman SDN-ohjain, toimivat Kerros 2 yhdyskäytävä virtualized ja nonvirtualized verkkojen välillä samassa datakeskuksessa tai datakeskusten välillä. Voit esimerkiksi kytkeä kytkimellä verkon, joka käyttää VXLANs ja joka käyttää VLAN.

  • (EX4300-48MP kytkimet) toimivat Kerros 2 yhdyskäytävänä weenvirtualisoitujen ja nonvirtualisoitujen verkkojen välillä kampusverkossa. Voit esimerkiksi kytkeä kytkimellä verkon, joka käyttää VXLANs onethat käyttää VLANs.

  • (kaikki Kytkimet paitsi EX4300-48MP) toimivat 2. kerroksen porttina virtualisoitujen verkkojen välillä samoissa tai eri tietokeskuksissa ja mahdollistavat virtuaalikoneiden liikkumisen (VMotion) näiden verkkojen ja datakeskusten välillä. Jos esimerkiksi haluat sallia Vmotionin kahden eri verkon laitteiden välillä, voit luoda saman VLAN: n molempiin verkkoihin ja laittaa molemmat laitteet kyseiseen VLAN: iin. Näihin laitteisiin kytketyt kytkimet, jotka toimivat VTEPs: nä,voivat kartoittaa VLAN: n samaan VXLAN: iin, ja vxlan-liikenne voidaan reitittää näiden kahden verkon välillä.

  • (QFX5110 Kytkimet EVPN-VXLAN) toimivat kerroksen 3 gatewayto reitittää liikennettä eri vxlans samassa datakeskuksessa.

  • (QFX5110 Kytkimet EVPN-VXLAN) toimivat kerroksen 3 gatewaytoreitti liikenteen eri vxlans eri datakeskuksissa WAN tai Internetin kautta käyttäen standard reititysprotokollia tai virtualprivate LAN service (VPLS) tunneleita.

Huomautus

jos haluat Qfx5110-Kytkimen olevan tason 3 Vxlan-portti EVPN-VXLAN-ympäristössä, sinun on määritettävä integroidut reititys-ja siltaliittymät (IRB) vxlanien liittämiseksi toisiinsa, aivan kuten haluat reitittää liikennettä VLAN-verkkojen välillä.

koska ylimääräiset otsakkeet lisäävät 50-54 tavua, MTU: ta on ehkä lisättävä vtep: llä, jotta siihen mahtuisi suurempia paketteja.Esimerkiksi, jos kytkin käyttää oletuksena MTU arvo 1514bytes ja haluat eteenpäin 1500-tavu paketteja yli VXLAN, youneed lisätä MTU jotta lisääntynyt paketin koko causedby ylimääräisiä otsikoita.

UDP-portin vaihtaminen Qfx5100 -, QFX5110 -, QFX5200 -, QFX5210-ja EX4600-kytkimissä

alkaen JunosOS-julkaisusta 14.1X53-D25 qfx5100-kytkimissä,Junos OS-julkaisusta 15.1X53-D210on QFX5110 ja qfx5200-Kytkimet, Junos OS-julkaisu 18.1R1 QFX5210-kytkimillä ja Junos OS-julkaisu 18.2R1 ex4600-kytkimissä voit määrittää VXLAN-liikenteen kohdeporttina käytetyn UDP-portin. Jos haluat määrittää VXLAN-kohdeportin olevan jotain muuta kuin 4789: n UDP-oletusportin, kirjoita seuraava lauseke:

set protocols l2-learning destination-udp-port port-number

määrittämääsi porttia käytetään kaikissa vxlaneissa, jotka on määritetty kytkimen kautta.

Huomautus

jos teet tämän muutoksen yhdellä kytkimellä VXLANISSA, sinun on tehtävä sama muutos kaikissa laitteissa, jotka lopettavat kytkimessäsi määritetyt Vxlans-laitteet. Jos et tee niin, liikenne häiriintyy kaikkien kytkimeesi asetettujen Vxlanien vuoksi. Kun vaihdat audp-porttia, aiemmin opitut kauko-Vtep-ja kauko-Macit eivät toimi ja vxlan-liikenne häiriintyy, kunnes kytkin opettelee uudelleen Vtep – ja kauko-Macit.

monilähetysliikenteen ohjaus Qfx5100 -, QFX5110 -, QFX5200 -, QFX5210-ja EX4600-kytkimillä

kun VTEP: nä toimiva kytkin vastaanottaa lähetyksen, tuntemattoman monilähetyksen tai monilähetyspaketin, se suorittaa seuraavat toimet paketissa:

  1. se purkaa paketin ja toimittaa sen paikallisille isännille.
  2. sen jälkeen se lisää VXLANIN kapseloinnin uudelleen ja lähettää paketin VXLANIN muille Vteppeille.

nämä toimet suoritetaan vxlan-tunnelin osoitteena käytettävän loopback-liitännän avulla, ja se voi näin ollen vaikuttaa kielteisesti VTEP: n käytettävissä olevaan leveyteen. Alkaen Junos OS Release 14. 1X53-D30 forQFX5100 Kytkimet, Junos OS Release 15.1×53-D210 qfx5110 ja Qfx5200 Kytkimet, Junos OS Release 18.1R1 qfx5210 kytkimet, ja JunosOS Release 18.2R1 EX4600-kytkimille, jos tiedät, että vxlanissa ei ole muihin Vtep-laitteisiin liitettyjä monilastivastaanottimia, jotka haluavat tietyn monilastiryhmän, voit vähentää loopback-käyttöliittymän prosessikuormaa syöttämällä seuraavan lausekkeen:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group multicast-group

tässä tapauksessa määritetylle ryhmälle ei välitetä liikennettä, mutta kaikki muu monilähetys välitetään eteenpäin. Jos et halua välittää mitään multicast-liikennettä VXLANIN muille Vtep-laitteille, anna seuraava lauseke:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group all

käyttämällä MX – sarjan reititintä, EX9200-kytkintä tai QFX10000-kytkintä vtep

voit määrittää MX-sarjan reitittimen, EX9200-kytkimen tai Qfx10000switchin toimimaan VTEP: nä ja suorittamaan kaikki seuraavat tehtävät:

  • toimi Kerros 2 yhdyskäytävänä virtualisoitujen ja virtualizednetworksin välillä samassa datakeskuksessa tai datakeskusten välillä. Voit esimerkiksi käyttää MX-sarjan reititintä liittääksesi vxlanstoa käyttävän verkon, joka käyttää VLAN-verkkoa.

  • toimi Layer 2-porttina virtualisoitujen verkkojen välillä samoissa tai eri datakeskuksissa ja salli virtuaalikoneiden siirtyä (VMotion) näiden verkkojen ja datakeskusten välillä.

  • toimi kerroksen 3 yhdyskäytävänä eri vxlanien väliseen reittiliikenteeseen samassa datakeskuksessa.

  • toimi Kerros 3 yhdyskäytävänä reittiliikenteeseen eri vxlans eri datakeskuksissa yli WAN tai Internet usingstandard reititysprotokollia tai virtual private LAN service (VPLS) tunnelit.

Huomautus

jos haluat, että jokin tässä osiossa kuvatuista laitteista on Vxlan Layer 3-yhdyskäytävä, sinun on määritettävä integroidut reititys-ja siltaliitännät (IRB) vxlanien liittämiseksi toisiinsa, aivan kuten haluat reitittää liikennettä Vlanien välillä.

manuaaliset Vxlanit vaativat PIM

ympäristössä, jossa on ohjain (kuten VMware NSX orJuniper Networks Contrail-ohjain), voit tarjota Vxlaneja Juniper Networks-laitteella. Ohjain tarjoaa myös ohjaussuunnitelman, jota Vtep: t käyttävät mainostaakseen saavutettavuuttaan ja oppiakseen muiden Vtep: iden saavutettavuudesta. Voit myös manuaalisesti luoda VXLANs onJuniper Networks laitteiden sijasta ohjaimen. Jos käytät tätä lähestymistapaa, sinun on myös määritettävä Protokollariippumaton Multicast(Pim) Vtep-järjestelmässä, jotta ne voivat luoda vxlan-tunneleita keskenään.

kunkin VTEP: n tulee myös olla saman monilähetysryhmän jäsen. (Jos mahdollista, sinun tulee määrittää erilainenmonitaarinen ryhmäosoite jokaiselle VXLANILLE, vaikka tätä ei vaadita.Useat Vxlanit voivat jakaa saman multicast-ryhmän.) VTEPs canthen eteenpäin ARP pyynnöt he saavat niiden yhteydessä hoststo multicast group. Muut ryhmän Vtep: t de-encapsulate vxlan-tiedot, ja (olettaen, että ne ovat sameVXLAN-ryhmän jäseniä) ne välittävät ARP-pyynnön niiden yhteydessä oleville isännille. Kun target-isäntä vastaanottaa ARP-pyynnön, se vastaa MACaddress-osoitteellaan, ja sen VTEP välittää tämän ARP-vastauksen takaisin lähteeseen VTEP.Tämän prosessin kautta Vtep: t oppivat VXLANIN muiden vtep: iden IP-osoitteet ja muihin Vtep: iin liitettyjen isäntien MAC-osoitteet.

multicast-ryhmiä ja-puita käytetään myös eteenpäin lähetettävään,tuntemattomaan unicast-ja multicast (BUM) – liikenteeseen Vtepsin välillä. Tämä estää liikennettä tulemasta tarpeettomasti vxlanin ulkopuolelle.

Huomautus

Monilähetysliikenne, joka välitetään vxlan-tunnelin kautta, lähetetään ainoastaan vxlan-tunnelin etälähettimille. Toisin sanoen encapsulatingVTEP ei kopioi ja lähetä kopioita paketeista themulticast—puun mukaisesti-se vain välittää vastaanotetut monilähetyspaketit kauko-Vtep: lle. Kauko-VTEPs de-kapseloida kapseloidut monilähetyspaketit ja välittää ne asianmukaisiin Layer 2-rajapintoihin.JunosOS Julkaisi 18.1R1 qfx5210-kytkimissä

kuormitustasapaino VXLAN-liikenteessä

qfx5100 -, QFX5110 -, QFX5200 -, QFX5210-ja EX4600-kytkimissä Vxlan-tunneleiden muodostamat kerroksen 3 reitit käyttävät oletusarvoisesti pakettikohtaista kuormitustasausta, mikä tarkoittaa,että kuormitustasapaino toteutetaan, jos vtep: n etäalueelle on ECMP-polkuja. Tämä eroaa normaalista reitityksestä, jossa pakettikohtaista kuormituksen tasapainottamista ei oletusarvoisesti käytetä.(Normaali reititys käyttää oletusarvoisesti per-etuliite kuormituksen tasapainottamista.)

UDP-otsakkeen lähdeporttikenttää käytetään Vxlan-liikenteen ECMPload-tasapainottamiseen Layer 3-verkossa. Tämä kenttä asetetaan sisäpakkauskenttien hash: iin, mikä johtaa vaihtelevaan tulokseen, jota ECMP voi käyttää tunnelien (virtojen) erottamiseen. (Mikään muu virtauspohjaisen ECMP: n tavallisesti käyttämä kenttä ei sovellu käytettäväksi Vxlansin kanssa. Kaikilla tunneleilla saman kahden Vtep: n välillä on sama lähde-ja kohde-IP-osoite, ja UDP: n määräportti on määritelmän mukaan Portti 4789. Siksi mikään näistä kentistä ei tarjoa riittävää tapaa ECMP: lle virtojen erottamiseksi.)

VLAN-tunnukset Vxlaneille

määritettäessä VLAN-tunnusta vxlanille mihin tahansa Juniper-verkkolaitteeseen, joka tukee vxlaneja QFX10000 kytkimiä lukuun ottamatta, suosittelemme voimakkaasti VLAN-tunnuksen käyttöä 3 tai korkeammalla. Jos käytät VLAN ID of1 tai 2, replikoitu broadcast, multicast, ja unknown unicast (Bum)paketteja näiden VXLANs saattaa olla untagged, mikä puolestaan saattaa johtaa paketit pudotetaan laite, joka vastaanottaa paketteja.

mahdollistaa QFX5120 siirtyy Tunneliliikenteeseen Core-FacingLayer 3 Tagged ja IRB liitännät

Huomautus

kun QFX5120 kytkin yrittää tunneloida liikennettä core-facingLayer 3 tagged rajapinnat tai IRB liitännät, kytkin pudottaa packets. Tämän ongelman välttämiseksi, voit määrittää yksinkertainen kahden termin Filter-pohjainen palomuuri Layer 3 tagged tai IRB käyttöliittymä.

Note

QFX5120-kytkimet tukevat enintään 256: ta kaksijakoista suodatinpohjaista liitintä.

esimerkiksi:

set interfaces et-0/0/3 unit 0 family inetfilter input vxlan100
set firewall family iNet filter vxlan100 term1 from destination-address 192.168.0.1/24 then accept
set firewall family iNet filter vxlan100 term2 then routing-instance route1

termi 1 vastaa ja hyväksyy liikenteen, joka on tarkoitettu theqfx5210-kytkimelle, joka tunnistetaan lähteen vtep-ip-osoitteesta(192.168.0.1/24), joka on liitetty Kytkimen loopback-liitäntään. Forterm 1, huomaa, että kun määrität toiminnon, voit alternativelycount liikennettä sen sijaan, että hyväksyisit sen.

termi 2 täsmää ja välittää kaiken muun dataliikenteen reititysinstanssille (reitti 1), joka on määritetty rajapinnaksi et-0/0/3.

tässä esimerkissä huomaa, että rajapinta et-0/0/3 on viitattu reititysesityksen route1. Tämän seurauksena, sinun on sisällytettävä asetettu palomuuriperhe iNet suodatin vxlan100 termi 2 sitten reititys-instanceroute1 komento. Ilman tätä komentoa palomuurisuodatin ei toimi kunnolla.

käyttämällä ping-ja traceroute-komentoja, joissa on vxlan

, qfx5100-ja QFX5110-kytkimillä, voit käyttää PING-ja traceroute-komentoja vxlan-tunnelin läpi kulkevan liikenteen vianmääritykseen sisällyttämällä siihen overlay-parametrin ja erilaisia vaihtoehtoja. Näiden vaihtoehtojen avulla pakotat ping – tai traceroute-paketit kulkemaan samaa polkua kuin datapaketit VXLAN-tunnelin läpi. Toisin sanoen, teet underlaypackets (ping ja traceroute) ottaa sameroute kuin overlay paketteja (dataliikenne). Lisätietoja on kohdassa ping overlay ja traceroute overlay.

Tuetut Vxlan-standardit

RFC-ja Internet-luonnokset, joissa määritellään vxlan-standardit:

  • RFC 7348, Virtual eXtensible Local Area Network(Vxlan): kehys Virtualized Layer 2-verkkojen päällekkäisyydelle overLayer 3-verkot

  • Internet draft draft-ietf-nvo3-vxlan-gpe, GenericProtocol-laajennus VXLANILLE

Julkaisuhistoriataulukko
julkaisu
kuvaus

alkaen Junos OS julkaisu 14. 1X53-D30 forQFX5100 Kytkimet, Junos OS julkaisu 15.1X53-D210 qfx5110 – ja Qfx5200-kytkimille, Junos OS-julkaisu 18. 1R1 qfx5210-kytkimille ja JunosOS-julkaisu 18.2R1 EX4600-kytkimille, jos tiedät, että vxlanissa ei ole muita vtep-vastaanottimia, jotka haluavat tietyn multicast-ryhmän, voit vähentää prosessikuormaa loopback-käyttöliittymässä

alkaen JunosOS Release 14. 1X53-D25 qfx5100 Kytkimet, Junos OS Release 15.1×53-D210on QFX5110 ja QFX5200 Kytkimet, Junos OS Release 18.1R1 qfx5210 kytkimet, ja Junos OS Release 18.2R1 ex4600-kytkimissä voit määrittää VXLAN-liikenteen kohdeporttina käytetyn UDP-portin.

Vastaa

Sähköpostiosoitettasi ei julkaista.