A VXLAN-ok megértése

Posted on by admin

Virtual Extensible LAN protocol (VXLAN) technológialehetővé teszi a hálózatok számára, hogy több VLAN-t támogassanak. Az IEEE 802.1 Qstandard szerint a hagyományos VLAN azonosítók 12 bit hosszúak-ez a név 4094 VLAN-ra korlátozza a hálózatokat. A VXLAN protokoll legyőzi ezt a korlátozást egy hosszabb logikai hálózati azonosító használatával, amely több VLAN-t tesz lehetővé, és ezért logikusabb hálózati elszigeteltséget biztosít a nagy hálózatok, például a felhők számára, amelyek általában sok virtuális gépet tartalmaznak.

VXLAN előnyök

a VXLAN technológia lehetővé teszi a hálózatok szegmentálását (mint VLANsdo), de olyan előnyöket nyújt, amelyeket a VLAN-ok nem tudnak. Itt vannak a VXLAN-OK használatának legfontosabb előnyei:

  • elméletileg akár 16 millió VXLAN-t is létrehozhat egy adminisztratív tartományban (szemben a JuniperNetworks eszközön található 4094 VLAN-nal).

    • az MX sorozatú útválasztók és az EX9200 kapcsolók 32 000 VXLAN-T, 32 000 multicast csoportot és 8000 virtuális tunnelendpontot (Vtep) támogatnak. Ez azt jelenti, hogy az MX sorozatú útválasztókon alapuló VXLAN-ok biztosítják a hálózati szegmentációt a felhőépítők által megkövetelt méretarányban, hogy nagyon sok bérlőt támogassanak.

    • a QFX10000 sorozatú kapcsolók 4000 VXLAN-t és 2000remote Vtep-eket támogatnak.

    • a QFX5100, QFX5110, QFX5200, QFX5210 és EX4600 kapcsolók támogatják4000 VXLAN-T, 4000 multicast csoportot és 2000 távoli Vtep-t.

    • EX4300-48MPswitches támogatja a 4000 VXLAN-t.

  • engedélyezheti a virtuális gépek áttelepítését a kiszolgálók közöttamelyek külön 2. rétegű tartományokban léteznek, a forgalmi átfedő 3 hálózatok alagútjával. Ez a funkció lehetővé teszi az erőforrások dinamikus allokálását az adatközpontokon belül vagy azok között anélkül, hogy a 2.réteg határai korlátoznák őket, vagy arra kényszerítenék őket, hogy nagy vagy földrajzilag feszített 2. réteg tartományokat hozzanak létre.

a VXLAN-ok használata kisebb 2. rétegű tartományok létrehozásához, amelyek egy 3. rétegű hálózaton vannak összekötve, azt jelenti, hogy nem kell spanningtree protokollt (STP) használni a topológia konvergálásához, hanem több robustrouting protokollt használhat a 3.réteg hálózatában. ASTP hiányában egyik link sem blokkolva van, ami azt jelenti, hogy teljes értéket kaphat az összes megvásárolt portból. Routing protocolsto csatlakozni a Layer 2 domainek is lehetővé teszi, hogy terhelés-egyensúly thetraffic annak érdekében, hogy a lehető legjobban kihasználják a rendelkezésre álló sávszélesség.Tekintettel a kelet-nyugati forgalom mennyiségére, amely gyakran áramlik az adatközpontokon belül vagy azok között, a hálózati teljesítmény maximalizálása az adott forgalomhoznagyon fontos.

a videó Miért használjon átfedő Hálózatot egy adatközpontban? rövid áttekintést nyújt a VXLANs használatának előnyeiről.

hogyan fejti ki hatását a VXLAN?

a VXLAN-t gyakran overlay technológiaként írják le, mert lehetővé teszi a 2.réteg kapcsolatainak nyújtását egy beavatkozó Layer3 hálózaton keresztül, az Ethernet keretek beágyazásával (alagút) egy VXLANPACKET-be, amely IP-címeket tartalmaz. A VXLAN-okat támogató eszközökvirtual tunnel endpoints (vteps)—ezek lehetnek végállomások, hálózati kapcsolók vagy útválasztók. VTEPs encapsulateVXLAN forgalom és De-encapsulate hogy a forgalom, amikor elhagyja a VXLANtunnel. Az Ethernet keret beágyazásához a VTEPs számos mezőt ad hozzá,beleértve a következő mezőket:

  • külső adathordozó hozzáférés-vezérlés (MAC) célcím (az alagút végpontjának Maccím VTEP)

  • külső MAC forrás címe (az alagút mac címe sourceVTEP)

  • külső IP célcím (a tunnelendpoint VTEP IP-címe)

  • külső IP-forrás címe (az alagút IP-címe sourceVTEP)

  • külső UDP fejléc

  • VXLAN fejléc, amely tartalmaz egy 24 bites mezőt—a VXLAN hálózati azonosítót (VNI) -, amely a VXLAN egyedi azonosítására szolgál. A VNI hasonló a VLANID-hez, de 24 bittel sokkal több VXLAN-t hozhat létre, mintvlan-okat.

Megjegyzés

mivel a VXLAN 50-54 bájtnyi további fejlécinformációt ad hozzá az eredeti Ethernet kerethez, érdemes lehet növelni az alapul szolgáló hálózat MTU-ját. Ebben az esetben konfigurálja az MTU-ta VXLAN hálózatban részt vevő fizikai interfészek közül,nem pedig a logikai vtep forrás interfész MTU-ját, amelyet figyelmen kívül hagynak.

az 1.ábra a VXLAN csomag formátumát mutatja.

1. ábra: VXLAN csomag formátum

VXLAN implementációs módszerek

a Junos OS támogatja a VXLAN implementációt a következő környezetekben:

  • kézi VXLAN-ebben a környezetben a Juniper Networksdevice tranziteszközként működik a vtep-ként működő downstream eszközök számára,vagy egy átjáró, amely kapcsolatot biztosít a downstream kiszolgálók számára, amelyek virtuális gépeket (VM-eket) tartalmaznak, amelyek egy 3. rétegen keresztül kommunikálnak network.In ez a környezet, szoftver által definiált hálózati (SDN) vezérlőknincs telepítve.

    Megjegyzés

    a QFX10000 kapcsolók nem támogatják a kézi VXLAN-okat.

  • OVSDB-VXLAN – ebben a környezetben az SDN vezérlők Az Open vSwitch Database (OVSDB) kezelési protokollt használják, hogy olyan eszközöket biztosítsanak, amelyeken keresztül a vezérlők (például a VMware NSX vagy a JuniperNetworks Contrail Contrail Contrail controller) és a Juniper Networks eszközöket támogató Juniper Networks eszközök kommunikálhatnak.

  • EVPN-VXLAN—ebben a környezetben az Ethernet VPN (EVPN)egy vezérlősík technológia, amely lehetővé teszi a gazdagépek (fizikai kiszolgálók és virtuális gépek) elhelyezését bárhol a hálózatban, és ugyanazon logikai 2.réteg átfedő hálózathoz kapcsolódva maradnak, és a VXLAN létrehozza a 2. réteg átfedő hálózatának dataplane-jét.

a QFX5100, QFX5110, QFX5200, QFX5210, EX4300-48MP, andEX4600 kapcsolók használata a VXLAN-ok

használatával konfigurálhatja a kapcsolókat az alábbi műveletek végrehajtására:

  • (minden kapcsoló, kivéve EX4300-48MP) egy olyan környezetben, WITHOUTAN SDN vezérlő, jár, mint egy transit Layer 3 kapcsoló downstreamhosts eljáró VTEPs. Ebben a konfigurációban nem kell konfigurálnibármely VXLAN funkció a kapcsolón. Be kell állítania az IGMPand PIM-et, hogy a kapcsoló létrehozhassa a vxlanmulticast csoportok multicast fáit. (Lásd kézi VXLANs igényel PIM További információ.)

  • (minden kapcsoló, kivéve EX4300 – 48MP) egy környezetbenvagy SDN vezérlő nélkül, 2. réteg átjáróként működik a virtualizedésés nem virtuális hálózatok ugyanabban az adatközpontban vagy az adatközpontok között. Például használhatja a kapcsolót egy hálózat csatlakoztatásáraamely VXLAN-okat használ a VLAN-okat használó hálózathoz.

  • (EX4300-48mp kapcsolók) jár, mint egy Layer 2 átjáró közöttvirtualizált és nonvirtualizált hálózatok egy campus hálózat. Például használhatja a kapcsolót egy VXLAN-okat használó hálózat csatlakoztatásáhozamely VLAN-okat használ.

  • (az Ex4300-48mp kivételével minden kapcsoló 2. rétegként működik Gateway a virtualizált hálózatok között ugyanazon vagy különböző adatközpontokbanés lehetővé teszi a virtuális gépek mozgását (VMotion) e hálózatok közöttés adatközpontok. Például, ha engedélyezni szeretné a VMotion közötteszközöket két különböző hálózatban, akkor ugyanazt a VLAN-t hozhatja létremindkét hálózaton, mind pedig mindkét eszközt felhelyezheti arra a VLAN-ra. Az ezekhez az eszközökhöz csatlakoztatott kapcsolók, amelyek Vtep-ként működnek, leképezhetik ezt a VLAN-t ugyanarra a VXLAN-ra,majd a VXLAN-forgalom továbbítható a két hálózat között.

  • (QFX5110 kapcsolók EVPN-VXLAN) jár, mint egy réteg 3 gatewayto útvonal közötti forgalom különböző VXLAN ugyanabban adatközpont.

  • (QFX5110 kapcsolók EVPN-VXLAN) jár, mint egy réteg 3 gatewayto útvonal közötti forgalom különböző VXLAN különböző adatközpontokwan vagy az Interneten keresztül szabványos routing protokollok vagy virtualprivate LAN service (VPLS) alagutak.

Megjegyzés

ha azt szeretné, hogy a QFX5110 kapcsoló egy 3.rétegű VXLAN Gateway legyen egy EVPN-VXLAN környezetben, akkor be kell állítania az integrált routingand bridging (IRB) interfészeket a VXLAN-ok csatlakoztatásához, ugyanúgy, mint ha a forgalmat a VLAN-ok között szeretné irányítani.

mivel a további fejlécek 50-54 bájtot adnak hozzá, a nagyobb csomagok befogadásához meg kell növelni az MTU-t egy VTEP-n.Például, ha a kapcsoló Az alapértelmezett 1514BYTE MTU értéket használja, és 1500 bájtos csomagokat szeretne továbbítani a VXLAN-on keresztül, akkor növelnie kell az MTU-t, hogy lehetővé tegye a további fejlécek által okozott megnövekedett csomagméretet.

az UDP Port megváltoztatása a QFX5100, QFX5110, QFX5200, QFX5210 és EX4600 kapcsolókon

kezdve a JunosOS 14.1×53-D25 kiadásával a QFX5100 kapcsolókon,a Junos OS 15.1X53-D210 kiadásával a QFX5110-en és qfx5200 kapcsolók, Junos OS kiadás 18.1R1 a QFX5210 kapcsolókon, Junos OS kiadás 18.2R1 az EX4600 kapcsolókonállítsa be a VXLAN forgalom célportjaként használt UDP portot. A VXLAN célport konfigurálásához, hogy valami más legyen, mintaz alapértelmezett UDP port 4789, írja be a következő utasítást:

set protokollok l2-learning destination-udp-port port-number

a beállított port lesz használva az összes VXLAN konfigurációhoza kapcsolón.

Megjegyzés

ha ezt a változtatást egy VXLAN kapcsolón hajtja végre, akkor ugyanazt a változtatást kell végrehajtania minden olyan eszközön, amely megszünteti a kapcsolón konfigurált VXLAN-t. Ha ezt nem teszi meg, a forgalom megszakad a kapcsolón konfigurált összes VXLAN számára. Az UDP port megváltoztatásakor a korábban megtanult távoli Vtep-ek és távoli Mac-ek elvesznek, és a VXLAN-forgalom megszakad, amíg a kapcsoló újra meg nem tanulja a távoli Vtep-eket és a távoli Mac-eket.

a tranzit Multicast forgalom ellenőrzése QFX5100, QFX5110, QFX5200, QFX5210 és EX4600 kapcsolókon

amikor a vtep-ként működő kapcsoló adást, ismeretlen unicast vagy multicast csomagot vesz, a következő műveleteket hajtja végre a csomagon:

  1. de-encapsulates a csomagot, és szállítja a lokálisan csatolt házigazdák.
  2. ezután ismét hozzáadja a VXLAN kapszulát, és elküldi a csomagot a VXLAN többi Vtep-jének.

ezeket a műveleteket a VXLAN alagút címeként használt visszacsatolási interfész hajtja végre, ezért negatívan befolyásolhatja a VTEP számára elérhető sávszélességet. Kezdve a Junos OS Release 14.1×53-D30 forQFX5100 kapcsolókkal, a Junos OS Release 15.1×53-D210 a QFX5110 és a Qfx5200 kapcsolókkal, a Junos OS Release 18.1R1 a QFX5210 kapcsolókkal és a JunosOS Release 18.2R1 az EX4600 kapcsolókhoz, ha tudja, hogy a VXLAN-ban nincsenek más vtep-ekhez csatlakoztatott multicast vevők, amelyek egy adott multicast csoport forgalmát akarják, csökkentheti a feldolgozástterhelés a visszacsatolási felületen a következő utasítás beírásával:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group multicast-group

ebben az esetben a megadott csoport számára nem kerül továbbításra forgalom, hanem az összes többi Csoportos forgalom továbbításra kerül. Ha nem akarja továbbítani a multicast forgalmat a VXLAN többi Vtep-jére, írja be a következő utasítást:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group all

MX sorozatú útválasztó, EX9200 kapcsoló vagy QFX10000 Kapcsolóvtep

mint egy MX sorozatú útválasztó, EX9200 kapcsoló vagy Qfx10000 kapcsoló konfigurálható úgy, hogy VTEP-ként működjön, és az alábbi szerepköröket hajtsa végre:

  • 2. réteg átjáróként működik a virtualizált és a nem virtualizált hálózatok között ugyanabban az adatközpontban vagy az adatközpontok között. Például használhat egy MX sorozatú útválasztót olyan hálózat csatlakoztatásához, amely VXLANsto VLAN-okat használ.

  • 2. réteg átjáróként működik a virtualizált hálózatok közöttugyanabban vagy különböző adatközpontokban, és lehetővé teszi a virtuális gépek mozgását (VMotion) a hálózatok és az adatközpontok között.

  • 3. rétegű átjáróként működik az ugyanazon adatközpontban lévő különböző VXLAN-ok közötti forgalom irányításához.

  • 3. rétegű átjáróként működik a különböző adatközpontok különböző VXLAN-jai közötti forgalom irányításához WAN vagy az Internet segítségével szabványos útválasztási protokollok vagy virtuális magán LAN szolgáltatás (VPLS) alagutak.

Megjegyzés

ha azt szeretné, hogy az ebben a szakaszban leírt eszközök egyike VXLAN 3.rétegű átjáró legyen, akkor a VXLAN-ok összekapcsolásához be kell állítania az integrált routingingand bridging (IRB) interfészeket, ugyanúgy, mint a VLAN-ok közötti forgalom irányításához.

a kézi VXLAN-ok PIM-et igényelnek

vezérlővel rendelkező környezetben (például VMware NSX orJuniper Networks Contrail Contrail Contrail controller), a VXLAN-okat egy Juniper Networks eszközön biztosíthatja. A vezérlő egy olyan vezérlőgépet is biztosít, amelyet a Vtep-ek használnak elérhetőségük hirdetésére és más Vtep-ek elérhetőségének megismerésére. A VXLAN-okat manuálisan is létrehozhatjuniper Networks eszközök a vezérlő használata helyett. Ha ezt a megközelítést használja, akkor be kell állítania a Protocol Independent Multicast(PIM) protokollt is a Vtep-Eken, hogy VXLAN alagutakat hozhassanak létre egymás között.

azt is be kell állítani minden VTEP egy adott VXLAN, hogy tagja legyen az azonos multicast csoport. (Ha lehetséges, minden VXLAN-hoz másmulticast csoportcímet kell rendelnie, bár ez nem szükséges.Több VXLAN megoszthatja ugyanazt a multicast csoportot.) A Vtep-ek továbbíthatják a csatlakoztatott gépeiktől kapott ARP-kéréseket a multicast csoportba. A csoport többi Vtep-je de-encapsulatea VXLAN információt, és (feltételezve, hogy ugyanannak a VXLAN-nak a tagjai) továbbítják az ARP kérést a csatlakoztatott gépeiknek. Amikor a célállomás megkapja az ARP kérést, a MACaddress-szel válaszol, és VTEP-je továbbítja ezt az ARP-választ a forrás VTEP-nek.Ezen a folyamaton keresztül a Vtep-ek megtanulják a VXLAN-ban lévő többi szerver IP-címét, valamint a többi vtep-hez kapcsolódó gép MAC-címét.

a multicast csoportokat és fákat a broadcast,az ismeretlen unicast és a multicast (BUM) forgalom továbbítására is használják a Vtep-ek között. Ez megakadályozza, hogy a buszforgalom szükségtelenül elárasztódjon a VXLANON kívül.

Megjegyzés

a VXLAN alagúton keresztül továbbított Multicast forgalom csak a VXLAN távoli Vtep-jeire kerül elküldésre. Ez azt jelenti, hogy az encapsulatingVTEP nem másolja vagy küldi el a csomagokat a multicast fa szerint—csak a fogadott multicast csomagokat továbbítja a távoli Vtep-ekhez. A távoli Vtep-ek leválasztják a beágyazott multicast csomagokat, és továbbítják azokat a megfelelő 2. réteg interfészekre.JunosOS Kiadás 18.1R1 a qfx5210 kapcsolók

terheléselosztás VXLAN forgalom

a QFX5100, QFX5110, QFX5200, QFX5210 és EX4600 kapcsolókon a VXLAN alagutakat alkotó 3.rétegű útvonalak csomagonkénti terheléselosztást használnak alapértelmezés szerint, ami azt jelenti,hogy a terheléselosztás akkor valósul meg, ha vannak ECMP útvonalak a távoli VTEP-hez. Ez eltér a normál útvonaltólviselkedés, amelyben a csomagonkénti terheléselosztást alapértelmezés szerint nem használják.(Normál routing használ per-előtag terheléselosztás alapértelmezés szerint.)

az UDP fejléc forrásport mezője lehetővé teszi a VXLAN forgalom ECMPload kiegyensúlyozását a 3.rétegű hálózatban. Ez a mező a belső csomagmezők hash-jára van állítva, ami azt eredményezi, hogy az ECMP képes megkülönböztetni az alagutakat (áramlásokat). (A flow-alapú ECMP által általában használt egyéb mezők egyike sem alkalmas a VXLAN-ok használatára. Az ugyanazon két Vtep közötti összes alagútnak ugyanaz a forrása és cél IP-címe, és az UDP destinationport definíció szerint a 4789-es portra van állítva. Ezért e területek egyike sem biztosít megfelelő módot az ecmp számára az áramlások megkülönböztetésére.)

VLAN-azonosítók a VXLAN-okhoz

ha VXLAN-azonosítót állít be bármely Juniper Networksdevice-en, amely támogatja a VXLAN-okat, kivéve a QFX10000 kapcsolókat, erősen javasoljuk 3 vagy magasabb VLAN-azonosító használatát. Ha a VLAN ID of1 vagy 2, Replikált broadcast, multicast, és ismeretlen unicast (BUM)csomagokat ezek VXLAN lehet címkézetlen, ami viszont azt eredményezheti, hogy a csomagokat, hogy leesett egy eszköz, amely fogadja a csomagokat.

a QFX5120 engedélyezése Alagútforgalomra vált a Core-facingLayer 3 címkézett és IRB interfészeken

Megjegyzés

amikor egy QFX5120 kapcsoló megpróbálja alagútba helyezni a forgalmat a core-facingLayer 3 címkézett interfészeken vagy IRB interfészeken, a kapcsoló eldobja a csomagokat. A probléma elkerülése érdekében konfigurálhat egy egyszerű kéttermfilter-alapú tűzfalat a 3. réteg címkézett vagy IRB felületén.

megjegyzés

a QFX5120 kapcsolók legfeljebb 256 két időtartamú szűrőbázisú tűzfalat támogatnak.

például:

állítsa interfészek et-0/0/3 unit 0 család inetfilter bemenet vxlan100
állítsa tűzfal család inet szűrő vxlan100 term1 a cél-cím 192.168.0.1/24 akkor fogadja el
állítsa tűzfal család inet szűrő vxlan100 term2 majd routing-példány route1

az 1.ciklus megfelel és elfogadja az qfx5210 kapcsolónak szánt forgalmat, amelyet a kapcsoló visszacsatolási felületéhez rendelt forrás vtep IP-cím(192.168.0.1/24) azonosít. Forterm 1, vegye figyelembe, hogy egy művelet megadásakor alternatívanszámlálja a forgalmat ahelyett, hogy elfogadná.

a 2.ciklus az összes többi adatforgalmat egy routinginstance (1. útvonal), amely et-0/0/3 interfésszel van konfigurálva.

ebben a példában vegye figyelembe, hogy az ET-0/0/3 interfészt a route1 útválasztási példány hivatkozza. Ennek eredményeként meg kell adnia a set firewall family inet filter vxlan100 term 2 majd routing-instanceroute1 parancsot. E parancs nélkül a tűzfal szűrő lesznem működik megfelelően.

a ping és traceroute használata VXLAN

kapcsolókkal a QFX5100 és QFX5110 kapcsolókon a ping és traceroute parancsokkal elháríthatja a forgalom áramlását a VXLAN-alagúton keresztül az overlay paraméter és a különböző opciók megadásával. Ezekkel a beállításokkal kényszerítheti a ping vagy traceroute csomagokat arra, hogy ugyanazt az utat kövessék, mint az adatcsomagokat a VXLAN alagúton keresztül. Más szavakkal, az underlaypackets (ping és traceroute) ugyanazt az útvonalat veszi fel, mint az overlay csomagok (adatforgalom). További információkért lásd: ping overlay és traceroute overlay.

támogatott VXLAN szabványok

RFC-k és internetes tervezetek, amelyek meghatározzák a VXLAN szabványait:

  • RFC 7348, Virtual eXtensible Local Area Network (VXLAN): keretrendszer a virtualizált 2. rétegű hálózatok átfedéséhez overLayer 3 hálózatok

  • Internet draft draft-ietf-nvo3-vxlan-gpe, GenericProtocol kiterjesztés a VXLAN-hoz

kiadási előzmények táblázata
kiadás
leírás

kezdve Junos OS kiadás 14. 1×53-D30 forQFX5100 kapcsolók, Junos OS kiadás 15.1X53-D210 a QFX5110 és a Qfx5200 kapcsolókhoz, a Junos OS 18.1R1 kiadása a QFX5210 kapcsolókhoz, a JunosOS 18.2R1 kiadása az EX4600 kapcsolókhoz, ha tudja, hogy a VXLAN-ban nincsenek más vtep-hez csatlakoztatott multicast vevők, amelyek egy adott multicast csoport forgalmát szeretnék igénybe venni, csökkentheti a feldolgozási terhelést a visszacsatolási felületen

kezdve a JunosOS Release 14.1×53-D25-tel a QFX5100 kapcsolókon, a Junos OS Release 15.1×53-D210on QFX5110 és QFX5200 kapcsolókon, a Junos OS Release 18.1R1 a Qfx5210 kapcsolókon, és a Junos OS Release 18.2R1 az EX4600 kapcsolókonállítsa be a VXLAN forgalom célportjaként használt UDP portot.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.