Comprendre les VXLANs

Posted on by admin

La technologie VXLAN (Virtual Extensible LAN protocol) permet aux réseaux de prendre en charge plus de VLAN. Selon la norme IEEE 802.1Q, les identifiants VLAN traditionnels ont une longueur de 12 bits — ce nom limite les réseaux à 4094 VLAN. Le protocole VXLAN surmonte cette limitation en utilisant un identifiant de réseau logique plus long qui permet plus de VLAN et, par conséquent, une isolation de réseau plus logique pour les grands réseaux tels que les clouds qui incluent généralement de nombreuses machines virtuelles.

Avantages VXLAN

La technologie VXLAN vous permet de segmenter vos réseaux (en tant que VLANDO), mais elle offre des avantages que les VLAN ne peuvent pas. Voici les avantages les plus importants de l’utilisation des VXLAN:

  • Vous pouvez théoriquement créer jusqu’à 16 millions de VXLANS dans un domaine administratif (par opposition à 4094 VLAN sur un périphérique JuniperNetworks).

    • Les routeurs de la série MX et les commutateurs EX9200 prennent en charge 32 000 VXLAN, 32 000 groupes de multidiffusion et 8 000 points de connexion virtuels (VTEP). Cela signifie que les VXLAN basés sur les routeurs de la série MX permettent une segmentation du réseau à l’échelle requise par les constructeurs de cloud pour prendre en charge un très grand nombre de locataires.

    • Les commutateurs de la série QFX10000 prennent en charge 4000 VXLAN et 2000 VTEPs à distance.

    • Les commutateurs QFX5100, QFX5110, QFX5200, QFX5210 et EX4600 prennent en charge 4000 VXLAN, 4000 groupes de multidiffusion et 2000 VTEP distants.

    • Les commutateurs EX4300-48MP prennent en charge 4000 VXLAN.

  • Vous pouvez activer la migration de machines virtuelles entre des serveurs qui existent dans des domaines de couche 2 distincts en tunnelisant les réseaux de la couche 3 du trafic. Cette fonctionnalité vous permet d’allouer dynamiquement des ressources à l’intérieur ou entre les centres de données sans être contraint par les limites de la couche 2 ou obligé de créer de grands domaines de couche 2 ou géographiquement étirés.

L’utilisation de VXLAN pour créer des domaines de couche 2 plus petits qui sont connectés sur un réseau de couche 3 signifie que vous n’avez pas besoin d’utiliser le protocole SpanningTree (STP) pour faire converger la topologie, mais que vous pouvez utiliser des protocoles plus robustes dans le réseau de couche 3 à la place. En l’absence de STP, aucun de vos liens n’est bloqué, ce qui signifie que vous pouvez obtenir fullvalue de tous les ports que vous achetez. L’utilisation de protocoles de routage pour connecter vos domaines de couche 2 vous permet également d’équilibrer la charge pour vous assurer d’utiliser au mieux votre bande passante disponible.Compte tenu de la quantité de trafic est-ouest qui circule souvent à l’intérieur ou entre les centres de données, maximiser les performances de votre réseau pour ce trafic est très important.

La vidéo Pourquoi utiliser un réseau de superposition dans un centre de données ? présente un bref aperçu des avantages de l’utilisation des VXLAN.

Comment Fonctionne VXLAN ?

Le VXLAN est souvent décrit comme une technologie de superposition, car il vous permet d’étirer les connexions de couche 2 sur un réseau de couche 3 intermédiaire en encapsulant des trames Ethernet (tunneling) dans un paquet VXLAN qui inclut des adresses IP. Les périphériques prenant en charge les VXLAN sont appelés points de terminaison de tunnel virtuel (VTEP) — ils peuvent être des hôtes finaux ou des commutateurs ou routeurs réseau. Les VTEPs encapsulent le trafic EVXLAN et désencapsulent ce trafic lorsqu’il quitte le VXLANtunnel. Pour encapsuler une trame Ethernet, VTEPs ajoute un certain nombre de champs, y compris les champs suivants:

  • Adresse de destination du contrôle d’accès au support externe (MACaddress) du point de terminaison du tunnel VTEP)

  • Adresse source MAC externe (adresse MAC du tunnel sourceVTEP)

  • Adresse de destination IP externe (adresse IP du VTEP tunnelendpoint)

  • Adresse de la source IP externe (adresse IP de la source du tunnelevtep)

  • En-tête UDP externe

  • Un en-tête VXLAN qui inclut un champ de 24 bits appelé l’identifiant de réseau VXLAN (VNI) — qui est utilisé pour identifier de manière unique le VXLAN. Le VNI est similaire à un VLANID, mais avoir 24 bits vous permet de créer beaucoup plus de VXLAN que de VLAN.

Note

Étant donné que VXLAN ajoute 50 à 54 octets d’informations de tête supplémentaires à la trame Ethernet d’origine, vous souhaiterez peut-être augmenter le MTU du réseau sous-jacent. Dans ce cas, configurez le MTU des interfaces physiques qui participent au réseau VXLAN, pas le MTU de l’interface source logique VTEP, qui est ignoré.

La figure 1 montre le format de paquet VXLAN.

Figure 1: Format de paquet VXLAN

Méthodes d’implémentation de VXLAN

Junos OS prend en charge l’implémentation de VXLAN dans les environnements suivants:

  • VXLAN manuel — Dans cet environnement, un périphérique Juniper Networksdevice agit comme un périphérique de transit pour les périphériques en aval agissant comme VTEP, ou une passerelle qui fournit une connectivité pour les serveurs en aval qui utilisent les machines virtuelles (VM), qui communiquent sur une couche 3 network.In cet environnement, les contrôleurs de réseau défini par logiciel (SDN) ne sont pas déployés.

    Remarque

    Les commutateurs QFX10000 ne prennent pas en charge les VXLAN manuels.

  • OVSDB -VXLAN – Dans cet environnement, les contrôleurs SDN utilisent le protocole de gestion de la base de données vSwitch ouverte (OVSDB) pour fournir un moyen par lequel les contrôleurs (tels qu’un contrôleur de contrail VMware NSX ou JuniperNetworks) et les périphériques Juniper Networks prenant en charge OVSDB peuvent communiquer.

  • EVPN-VXLAN – Dans cet environnement, le VPN Ethernet (EVPN) est une technologie de plan de contrôle qui permet aux hôtes (serveurs physiques et machines virtuelles) d’être placés n’importe où dans un réseau et de rester connectés au même réseau de superposition de couche 2 logique, et VXLAN crée le plan de données pour le réseau de superposition de couche 2.

En utilisant les commutateurs QFX5100, QFX5110, QFX5200, QFX5210, EX4300-48MP et EX4600 avec VXLAN

, vous pouvez configurer les commutateurs pour effectuer tous les rôles suivants:

  • ( Tous les commutateurs sauf EX4300-48MP) Dans un environnement sans contrôleur SDN, agissent comme un commutateur de couche 3 de transit pour les hôtes de descente agissant comme des VTEP. Dans cette configuration, vous n’avez pas besoin de configurertoute fonctionnalité VXLAN sur le commutateur. Vous devez configurer IGMPand PIM afin que le commutateur puisse former les arborescences de multidiffusion pour les groupes VXLANmulticast. (Voir Manuel VXLAN Require PIM pour plus d’informations.)

  • ( Tous les commutateurs sauf EX4300-48MP) Dans un environnement avec ou sans contrôleur SDN, agissent comme une passerelle de couche 2 entre des réseaux virtualisés et non virtualisés dans le même centre de données ou entre des centres de données. Par exemple, vous pouvez utiliser le commutateur pour connecter un réseau qui utilise des VXLAN à un réseau qui utilise des VLAN.

  • ( EX4300-commutateurs 48MP) Agissent comme une passerelle de couche 2 entre les réseaux virtualisés et non virtualisés dans un réseau de campus. Par exemple, vous pouvez utiliser le commutateur pour connecter un réseau qui utilise des VXLAN à un réseau qui utilise des VLAN.

  • ( Tous les commutateurs, à l’exception de EX4300-48MP), agissent comme une passerelle de couche 2 entre des réseaux virtualisés dans des centres de données identiques ou différents et permettent aux machines virtuelles de se déplacer (vMotion) entre ces réseaux et centres de données. Par exemple, si vous souhaitez autoriser vMotion entre les appareils dans deux réseaux différents, vous pouvez créer le même réseau VLAN dans les deux réseaux et placer les deux périphériques sur ce VLAN. Les commutateurs connectés à ces périphériques, agissant en tant que VTEP, peuvent mapper ce VLAN au même VXLAN, et le trafic VXLAN peut ensuite être acheminé entre les deux réseaux.

  • ( Les commutateurs QFX5110 avec EVPN-VXLAN) Agissent comme une passerelle de couche 3 pour acheminer le trafic entre différents VXLAN dans le même centre de données.

  • ( Les commutateurs QFX5110 avec EVPN-VXLAN) Agissent comme une passerelle de couche 3 pour acheminer le trafic entre différents VXLAN dans différents centres de données sur un WAN ou Internet à l’aide de protocoles de routage standard ou de tunnels VPLS (virtualprivate LAN service).

Note

Si vous souhaitez qu’un commutateur QFX5110 soit une passerelle VXLAN de couche 3 dans un environnement EVPN-VXLAN, vous devez configurer des interfaces IRB (integrated routing and bridging) pour connecter les VXLAN, tout comme vous le faisiez si vous souhaitez acheminer le trafic entre les VLAN.

Parce que les en-têtes supplémentaires ajoutent 50 à 54 octets, vous pourriez avoir besoin d’augmenter le MTU sur un VTEP pour accueillir des paquets plus gros.Par exemple, si le commutateur utilise la valeur MTU par défaut de 1514 octets et que vous souhaitez transférer des paquets de 1500 octets sur le VXLAN, vous devez augmenter la MTU pour permettre l’augmentation de la taille de paquet causée par les en-têtes supplémentaires.

Modification du port UDP sur les commutateurs QFX5100, QFX5110, QFX5200, QFX5210 et EX4600

À partir de la version JunosOS 14.1X53-D25 sur les commutateurs QFX5100, de la version Junos OS 15.1X53-D210 sur QFX5110 et Les commutateurs QFX5200, la version 18.1R1 du système d’exploitation Junos sur les commutateurs QFX5210 et la version 18 du système d’exploitation Junos.2R1 sur les commutateurs EX4600, vous pouvez configurer le port UDP utilisé comme port de destination pour le trafic VXLAN. Pour configurer le port de destination VXLAN pour être autre chose que le port UDP par défaut de 4789, entrez l’instruction suivante:

définir les protocoles l2 – destination d’apprentissage – udp-port numéro de port

Le port que vous configurez sera utilisé pour toutes les configurations VXLAN sur le commutateur.

Note

Si vous effectuez cette modification sur un commutateur dans un VXLAN, vous devez effectuer la même modification sur tous les périphériques qui terminent le VXLAN configuré sur votre commutateur. Si vous ne le faites pas, le trafic sera perturbé pour tous les VXLAN configurés sur votre commutateur. Lorsque vous changez de port UDP, les VTEP distants et les MAC distants précédemment appris sont perdus et le trafic VXLAN est perturbé jusqu’à ce que le commutateur réapprenne les VTEP distants et les MAC distants.

Contrôle du trafic de multidiffusion en transit sur les commutateurs QFX5100, QFX5110, QFX5200, QFX5210 et EX4600

Lorsque le commutateur agissant en tant que VTEP reçoit un paquet de diffusion, de diffusion inconnue ou de multidiffusion, il effectue les actions suivantes sur le paquet:

  1. Il désencapsule le paquet et le délivre aux hôtes attachés localement.
  2. Il ajoute ensuite à nouveau l’encapsulation VXLAN et envoie le paquet aux autres VTEP du VXLAN.

Ces actions sont effectuées par l’interface de bouclage utilisée comme adresse de tunnel VXLAN et peuvent donc avoir un impact négatif sur la largeur de bande disponible pour le VTEP. À partir de la version Junos OS 14.1X53-D30 pour les commutateurs QFX5100, de la version Junos OS 15.1X53-D210 pour les commutateurs QFX5110 et QFX5200, de la version Junos OS 18.1R1 pour les commutateurs QFX5210 et de la version JunosOS 18.2R1 pour les commutateurs EX4600, si vous savez qu’il n’y a pas de récepteurs de multidiffusion connectés à d’autres VTEP dans le VXLAN qui veulent fonctionner pour un groupe de multidiffusion spécifique, vous pouvez réduire la charge de traitement sur l’interface de bouclage en entrant l’instruction suivante:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group multicast-group

Dans ce cas, aucun trafic ne sera transféré pour le groupe spécifié, mais tout autre trafic de multidiffusion le sera. Si vous ne voulez pas transférer n’importe quel trafic de multidiffusion à d’autres VTEP dans le VXLAN, entrez l’instruction suivante:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group all

En utilisant un routeur de la série MX, un commutateur EX9200 ou un commutateur QFX10000COMME un VTEP

, vous pouvez configurer un routeur de la série MX, un commutateur EX9200 ou un commutateur QFX10000 pour agir en tant que VTEP et exécuter tous les rôles suivants:

  • Agir comme une passerelle de couche 2 entre les réseaux virtualisés et non virtualisés dans le même centre de données ou entre les centres de données. Par exemple, vous pouvez utiliser un routeur de la série MX pour connecter un réseau qui utilise VXLAN à un réseau qui utilise des VLAN.

  • Agir comme une passerelle de couche 2 entre des réseaux virtualisés dans des centres de données identiques ou différents et permettre aux machines virtuelles de se déplacer (vMotion) entre ces réseaux et ces centres de données.

  • Agissez en tant que passerelle de couche 3 pour acheminer le trafic entre Differentvxlan dans le même centre de données.

  • Agissez en tant que passerelle de couche 3 pour acheminer le trafic entre différents VXLAN dans différents centres de données via un WAN ou Internet en utilisant des protocoles de routage standard ou des tunnels de service de réseau local privé virtuel (VPLS).

Note

Si vous souhaitez que l’un des périphériques décrits dans cette section soit une passerelle de couche 3 VXLAN, vous devez configurer des interfaces IRB (integrated routing and bridging) pour connecter les VXLAN, tout comme vous le faisiez si vous souhaitez acheminer le trafic entre les VLAN.

Les VXLAN manuels Nécessitent un PIM

Dans un environnement avec un contrôleur (tel qu’un contrôleur VMware NSX ouJuniper Networks Contrail), vous pouvez provisionner des VXLAN sur un périphérique Juniper Networks. Un contrôleur fournit également un plan de contrôle que les VTEP utilisent pour annoncer leur accessibilité et en apprendre davantage sur l’accessibilité des autres VTEP. Vous pouvez également créer manuellement des VXLAN sur des périphériques Juniper Networks au lieu d’utiliser un contrôleur. Si vous utilisez cette approche, vous devez également configurer la multidiffusion indépendante du protocole (PIM) sur les VTEP afin qu’ils puissent créer des tunnels VXLAN entre eux.

Vous devez également configurer chaque VTEP dans un VXLAN donné pour qu’il soit membre du même groupe de multidiffusion. (Si possible, vous devez attribuer une adresse de groupe differentmulticast à chaque VXLAN, bien que cela ne soit pas requis.Plusieurs VXLAN peuvent partager le même groupe de multidiffusion.) Les VTEPS peuvent ensuite transmettre les demandes ARP qu’ils reçoivent de leurs hôtes connectés au groupe de multidiffusion. Les autres VTEP du groupe désencapsulent les informations VXLAN et (en supposant qu’ils soient membres du même EVXLAN) ils transmettent la demande ARP à leurs hôtes connectés. Lorsque l’hôte cible reçoit la demande ARP, il répond avec son adresse MAC et son VTEP renvoie cette réponse ARP au VTEP source.Grâce à ce processus, les VTEP apprennent les adresses IP des autres VTEP dans le VXLAN et les adresses MAC des hôtes connectés aux autres VTEP.

Les groupes et arborescences de multidiffusion sont également utilisés pour transférer le trafic de diffusion, d’unicast inconnu et de multidiffusion (BUM) entre les VTEP. Ceci empêche le trafic de SWUM d’être inutilement inondé en dehors du VXLAN.

Remarque

Trafic de multidiffusion transféré via un tunnel VXLANEST envoyé uniquement aux VTEP distants du VXLAN. Autrement dit, l’encapsulatingVTEP ne copie pas et n’envoie pas de copies des paquets selon l’arborescence multidiffusion — il transmet uniquement les paquets de multidiffusion reçus aux VTEP distants. Les VTEP distants désencapsulent les paquets encapsulatedmulticast et les transfèrent aux interfaces de couche 2 appropriées.Sortie JunosOS 18.1R1 pour les commutateurs QFX5210

Trafic VXLAN d’équilibrage de charge

Sur les commutateurs QFX5100, QFX5110, QFX5200, QFX5210 et EX4600, les routes de couche 3 qui forment des tunnels VXLAN utilisent l’équilibrage de charge par paquet par défaut, ce qui signifie que l’équilibrage de charge est implémenté s’il existe des chemins ECMP vers le VTEP distant. Ceci est différent de routingbehavior normal dans lequel l’équilibrage de charge par paquet n’est pas utilisé par défaut.(Le routage normal utilise par défaut l’équilibrage de charge par préfixe.)

Le champ de port source de l’en-tête UDP est utilisé pour activer l’équilibrage ECMPload du trafic VXLAN dans le réseau de couche 3. Ce champ est défini sur un hachage des champs de paquets internes, ce qui donne une variable que l’ECMP peut utiliser pour distinguer les tunnels (flux). (Aucun des autres champs normalement utilisés par ECMP basé sur le flux ne convient à l’utilisation avec des VXLAN. Tous les tunnels entre les deux mêmes VTEP ont les mêmes adresses IP source et de destination, et le port de destination UDP est défini sur le port 4789 par définition. Par conséquent, aucun de ces champs ne fournit un moyen suffisant pour que l’ECMP puisse différencier les flux.)

ID de VLAN pour les VXLAN

Lors de la configuration d’un ID de VLAN pour un VXLAN sur tout appareil du réseau Juniper prenant en charge les VXLAN à l’exception des commutateurs QFX10000, nous recommandons fortement d’utiliser un ID de VLAN de 3 ou supérieur. Si vous utilisez un ID VLAN de 1 ou 2, les paquets de diffusion répliqués, de multidiffusion et d’unicast inconnu (BUM) pour ces VXLAN peuvent être non étiquetés, ce qui peut entraîner la perte des paquets par un périphérique qui reçoit les paquets.

Activation des commutateurs QFX5120 au trafic de tunnel sur les interfaces marquées Core-FacingLayer 3 et IRB

Note

Lorsqu’un commutateur QFX5120 tente de tunneler le trafic sur les interfaces marquées Core-facingLayer 3 ou les interfaces IRB, le commutateur abandonne les paquets. Pour éviter ce problème, vous pouvez configurer un pare-feu simple basé sur deux termfilter sur l’interface étiquetée de couche 3 ou IRB.

Note

Les commutateurs QFX5120 prennent en charge un maximum de 256 pare-feux à base de filtres à deux termes.

Par exemple:

définir les interfaces et-0/0/3 entrée inetfilter de la famille de l’unité 0 vxlan100
définir le filtre inet de la famille du pare-feu vxlan100 term1 à partir de l’adresse de destination 192.168.0.1/24 puis accepter
définir le filtre inet de la famille du pare-feu vxlan100 term2 puis routage-instance route1

Le terme 1 correspond et accepte le trafic destiné au commutateur QFX5210, qui est identifié par l’adresse IP VTEP source (192.168.0.1/24) attribuée à l’interface de bouclage du commutateur. Pourterm 1, notez que lorsque vous spécifiez une action, vous pouvez comptabiliser le trafic en alternance au lieu de l’accepter.

Le terme 2 correspond et transmet tout le trafic de données à un routinginstance (route 1), qui est configuré interface et-0/0/3.

Dans cet exemple, notez que l’interface et-0/0/3 est référencée par l’instance de routage route1. Par conséquent, vous devez inclure la famille de pare-feu set inet filter vxlan100 term 2 puis la commande routing-instanceroute1. Sans cette commande, le filtre du pare-feu ne fonctionnera pas correctement.

En utilisant ping et traceroute avec un VXLAN

Sur les commutateurs QFX5100 et QFX5110, vous pouvez utiliser les commandes ping et traceroute pour dépanner le flux de trafic via un tunnel VXLAN en incluant le paramètre de superposition et diverses options. Vous utilisez ces options pour forcer les paquets ping ou traceroute à suivre le même chemin que les paquets de données via le tunnel VXLAN. En d’autres termes, vous faites en sorte que les sous-paquets (ping et traceroute) prennent la même route que les paquets de superposition (trafic de données). Voir superposition ping et superposition traceroute pour plus d’informations.

Normes VXLAN prises en charge

RFC et brouillons Internet qui définissent les normes pour VXLAN:

  • RFC 7348, Réseau Local Extensible Virtuel (VXLAN) : Un cadre pour Superposer des Réseaux de Couche 2 Virtualisés Superposer des Réseaux de Couche 3

  • Projet de brouillon Internet – ietf-nvo3-vxlan-gpe, extension de protocole générique pour VXLAN

Tableau de l’historique des versions
Version
Description

À partir de la version Junos OS 14.1X53-D30 pour les commutateurs Qfx5100, la version Junos OS 15.1X53-D210 pour les commutateurs QFX5110 et QFX5200, Version Junos OS 18.1R1 pour les commutateurs QFX5210 et version JunosOS 18.2R1 pour les commutateurs EX4600, si vous savez qu’il n’y a pas de récepteurs de multidiffusion connectés à d’autres VTEP dans le VXLAN qui veulent fonctionner pour un groupe de multidiffusion spécifique, vous pouvez réduire la charge de traitement sur l’interface de bouclage

À partir de la version JunosOS 14.1X53-D25 sur les commutateurs QFX5100, de la version Junos OS 15.1X53-D210 sur les commutateurs QFX5110 et QFX5200, de la version Junos OS 18.1R1 sur les commutateurs QFX5210 et de la version Junos OS 18.2R1 sur les commutateurs EX4600, vous pouvez configurer le port UDP utilisé comme port de destination pour le trafic VXLAN.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.