Forstå VXLANs

Posted on by admin

Virtual Extensible LAN protocol (VXLAN) teknologitillater nettverk å støtte Flere Vlan. I HENHOLD til IEEE 802.1 Qstandard er tradisjonelle vlan-identifikatorer 12 bits lange-thisnaming begrenser nettverk til 4094 Vlan. VXLAN-protokollen overvinner denne begrensningen ved å bruke en lengre logisk nettverksidentifikator som tillater Flere Vlan-Er og derfor mer logisk nettverksisolasjon for store nettverk som skyer som vanligvis inneholder mange virtualmachines.

VXLAN-Fordeler

VXLAN-teknologi lar deg segmentere nettverkene dine (Som VLANsdo), men det gir fordeler Som Vlan ikke kan. Her er de mestviktige fordelene Ved Å bruke VXLANs:

  • du kan teoretisk lage så mange som 16 millioner VXLANsin et administrativt domene (i motsetning til 4094 Vlan på En JuniperNetworks-enhet).

    • MX-Seriens rutere og EX9200-svitsjer støtter så mange som 32 000 Vxlan, 32 000 multicast-grupper og 8000 virtuelle tunnelendpoints (VTEPs). Dette betyr At VXLANs basert PÅ mx-Serien ruterergi nettverkssegmentering i skalaen som kreves av skybyggere for å støtte svært mange leietakere.

    • svitsjer I qfx10000-Serien støtter 4000 VXLANs og 2000remote VTEPs.

    • qfx5100, QFX5110, QFX5200, QFX5210 OG EX4600 brytere support4000 Vxlan, 4000 multicast-grupper og 2000 eksterne VTEPs.

    • EX4300-48MPSWITCHES støtter 4000 VXLANs.

  • du kan aktivere overføring av virtuelle maskiner mellom serverersom finnes i separate lag 2-domener ved å tunnelere trafikkoverlegget 3-nettverk. Denne funksjonaliteten lar deg dynamisk allokere ressurser innenfor eller mellom datasentre uten å være begrenset av Lag 2 grenser eller blir tvunget til å opprette store eller geografiske Lag 2 domener.

Hvis Du bruker VXLANs til å opprette mindre lag 2-domener som er connectedover Et Lag 3-nettverk, betyr det at DU ikke trenger Å bruke SpanningTree Protocol (STP) til å konvergere topologien, men kan bruke flere robustrouting-protokoller i Lag 3-nettverket i stedet. I fravær avstp er ingen av koblingene dine blokkert, noe som betyr at du kan få fullverdi fra alle porter du kjøper. Ved hjelp av rutingsprotokoller for å koble Til Lag 2-domenene dine, kan Du også laste balansertrafikk for å sikre at du får best mulig bruk av tilgjengelig båndbredde.Gitt mengden øst-vest trafikk som ofte flyter innenfor eller betweendata sentre, maksimere nettverksytelsen for at trafficis svært viktig.

videoen Hvorfor Bruke Et Overleggsnettverk i Et Datasenter? presenterer en kort oversikt over fordelene ved Å bruke VXLANs.

Hvordan Fungerer VXLAN?

VXLAN beskrives ofte som en overleggsteknologi fordi den lar Deg strekke lag 2-tilkoblinger over et mellomliggende Lag3-nettverk ved å innkapsle (tunneling) Ethernet-rammer i En VXLANpacket som inneholder IP-adresser. Enheter som støtter Vxlan erkalt virtuelle tunnelendepunkter—VTEPs) – de kan være sluttverter eller nettverkssvitsjer eller rutere. VTEPs encapsulateVXLAN trafikk og de-encapsulate at trafikken når den forlater VXLANtunnel. For å kapsle En Ethernet-ramme legger VTEPs til en rekke felt, inkludert følgende felt:

  • ekstern medietilgangskontroll (MAC) måladresse (Mac-Adresse for tunnelendepunktet VTEP)

  • Ytre mac-kildeadresse (MAC-adressen til tunnelen sourceVTEP)

  • Ytre ip-destinasjonsadresse (IP-adressen til tunnelendpoint VTEP)

  • Ytre IP-kildeadresse (IP-adressen til tunnelen sourceVTEP)

  • Ytre UDP-topptekst

  • EN vxlan-header som inneholder et 24-biters felt-kalt VXLAN network identifier (VNI)—som brukes til å identifisere VXLAN unikt. VNI ligner PÅ EN VLANID, men med 24 bits kan du lage mange Flere VXLANs thanVLANs.

Merk

FORDI VXLAN legger til 50 til 54 byte med ekstra headerinformasjon til Den opprinnelige Ethernet-rammen, vil DU kanskje øke MTU for det underliggende nettverket. I så fall konfigurerer Mtuav de fysiske grensesnittene som deltar I vxlan-nettverket, ikke MTU av det logiske vtep-kildegrensesnittet, som ignoreres.

Figur 1 viser VXLAN-pakkeformatet.

Figur 1: Vxlan Pakkeformat

Vxlan Implementeringsmetoder

Junos OS støtter implementering Av Vxlan i følgende miljøer:

  • Manuell VXLAN—I dette miljøet fungerer En Juniper Networksdevice som en transittenhet for nedstrøms enheter som fungerer Som VTEPs, eller en gateway som gir tilkobling for nedstrøms servere somvert virtuelle maskiner( VMs), som kommuniserer over Et Lag 3 network.In dette miljøet, software-defined networking (SDN) controllersare ikke distribuert.

    Merk

    qfx10000 brytere støtter ikke manuelle VXLANs.

  • OVSDB-VXLAN – I DETTE miljøet, SDN-kontrollerebruk Open Vswitch Database (OVSDB) management protocol for å gi et middel gjennom hvilke kontrollere (for Eksempel En VMware NSX eller JuniperNetworks Contrail contrail controller) og Juniper Networks-enheter som supportOVSDB kan kommunisere.

  • EVPN-VXLAN-I dette miljøet Er Ethernet VPN (EVPN) en kontrollplaneteknologi som gjør at verter (fysiske serversand VMs) kan plasseres hvor som helst i et nettverk og forbli koblet til det samme logiske Layer 2 overlay-nettverket, og VXLAN skaper dataplanen for Layer 2 overlay-nettverket.

Bruke Qfx5100, QFX5110, QFX5200, QFX5210, EX4300-48MP, andEX4600 Brytere Med VXLANs

du kan konfigurere bryterne til å utføre alle følgenderoller:

  • (ALLE brytere unntatt EX4300-48MP) I et miljø uten SDN-kontroller, fungerer som en transit Layer 3-bryter for downstreamhosts som fungerer Som VTEPs. I denne konfigurasjonen trenger du ikke å konfigurerenhver vxlan-funksjonalitet på bryteren. Du må konfigurere IGMPand PIM slik at bryteren kan danne multicast-trærne For vxlanmulticast-gruppene. (Se Manuell VXLANs Krever PIM for mer informasjon.)

  • (ALLE brytere unntatt EX4300-48MP) i et miljø uten SDN-kontroller, fungerer Som En lag 2-gateway mellom virtualizedand nonvirtualized nettverk i samme datasenter eller mellom datasentre. For eksempel kan du bruke bryteren til å koble til et nettverksom bruker VXLANs til en som bruker Vlan.

  • (EX4300-48MP-brytere) Fungerer Som En lag 2-gateway mellomvirtualiserte og ikke-virtualiserte nettverk i et campusnettverk. Du kan for eksempel bruke bryteren til å koble til et nettverk som bruker VXLANs til onethat bruker Vlan.

  • (alle brytere unntatt EX4300-48MP) Fungerer Som Et lag 2 gatewaymellom virtualiserte nettverk i samme eller forskjellige datasentre og tillater virtuelle maskiner å bevege seg (VMotion) mellom disse nettverkene og datasentrene. For eksempel, hvis Du vil tillate vmotion mellomenheter i to forskjellige nettverk, kan du opprette samme VLAN innbegge nettverk og sette begge enhetene på DEN VLAN. Bryterne koblet til disse enhetene, som Fungerer Som VTEPs, kan kartlegge DEN VLAN til samme VXLAN, OG vxlan-trafikken kan da rutes mellom de to nettverkene.

  • (qfx5110 brytere MED EVPN-VXLAN) Fungerer Som Et lag 3 gatewayto rute trafikk mellom forskjellige VXLANs i samme datasenter.

  • (qfx5110 svitsjer MED EVPN-VXLAN) Fungere Som Et lag 3 gatewayto rute trafikk mellom ulike Vxlan i ulike datasenterover EN WAN eller Internett ved hjelp av standard rutingsprotokoller eller virtualprivate LAN service (VPLS) tunneler.

Merk

HVIS DU vil AT en qfx5110-bryter skal være En Layer 3 VXLAN gatewayi ET EVPN – vxlan-miljø, må du konfigurere integrerte routingand bridging (IRB) – grensesnitt for å koble Til Vxlan, akkurat som du gjørhvis du vil rute trafikk mellom Vlan.

fordi de ekstra overskriftene legger til 50 til 54 byte, kan DU øke MTU på EN VTEP for å imøtekomme større pakker.Hvis for eksempel bryteren bruker STANDARD MTU-verdien på 1514BYTES og du vil videresende pakker på 1500 byte over VXLAN, må DU øke MTU for å tillate økt pakkestørrelse forårsaket av flere overskrifter.

Endre UDP-Porten PÅ Qfx5100 -, QFX5110 -, QFX5200 -, QFX5210-Og EX4600-Bryterne

Starter Med JunosOS-Utgivelse 14.1×53-D25 PÅ qfx5100-brytere,Junos OS-Utgivelse 15.1×53-D210on QFX5110 og qfx5200-brytere, junos Os-utgivelse 18.1r1 PÅ QFX5210SWITCHES, OG JUNOS OS-UTGIVELSE 18.2R1 PÅ EX4600-brytere kan dukonfigurere UDP-porten som brukes som målport FOR VXLAN-trafikk. Hvis DU vil konfigurere vxlan-målporten til å være noe annet enn standard UDP-port på 4789, skriver du inn følgende setning:

set protocols l2-learning destination-udp-port port-nummer

porten du konfigurerer vil bli brukt for Alle vxlans konfigurertpå bryteren.

Merk

hvis du gjør denne endringen på en bryter i ET VXLAN, må du gjøre den samme endringen på alle enhetene som avslutter VXLANsconfigured på bryteren. Hvis du ikke gjør det, vil trafikken bli forstyrretfor Alle VXLANs konfigurert på bryteren. Når du endrer denudp port, tidligere lært ekstern VTEPs og ekstern Mac arelost og VXLAN trafikken er forstyrret til bryteren relearns theremote VTEPs og eksterne Mac.

Kontrollere Transit Multicast-Trafikk PÅ Svitsjene QFX5100, QFX5110,QFX5200, QFX5210 Og EX4600

når bryteren som fungerer SOM EN VTEP mottar en kringkasting, unknownunicast eller multicast-pakke, utfører den følgende handlinger på pakken:

  1. det de-innkapsler pakken og leverer den til locallyached verter.
  2. det legger DERETTER TIL VXLAN-innkapslingen igjen og sender pakken til de andre Vtepsene I VXLAN.

disse handlingene utføres av loopback-grensesnittet som brukes SOM VXLAN-tunneladressen, og kan derfor påvirke båndbredden som ER tilgjengelig FOR VTEP negativt. Starter Med Junos OS Release 14.1×53-D30 forqfx5100 brytere, Junos OS Release 15. 1×53-D210 FOR QFX5110 Og QFX5200switches, Junos OS Release 18. 1R1 FOR qfx5210 brytere, Og JunosOS Release 18.2r1 for EX4600-brytere, hvis du vet at det eringen multicast-mottakere koblet til andre VTEPs I VXLAN som ønskertraffic for en bestemt multicast-gruppe, kan du redusere processingload på loopback-grensesnittet ved å skrive inn følgende setning:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group multicast-group

i dette tilfellet vil ingen trafikk bli videresendt for den spesifiserte gruppen, men all annen multicast-trafikk vil bli videresendt. Hvis du ikke vil videresende multicast-trafikk til andre VTEPs i VXLAN,skriver du inn følgende setning:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group all

Bruke En Mx Series-Ruter, EX9200-Bryter Eller QFX10000-Bryter Som EN VTEP

du kan konfigurere en mx Series-ruter, EX9200-bryter eller QFX10000switch til å fungere SOM EN VTEP og utføre alle følgende roller:

  • Fungere Som Et lag 2 gateway mellom virtualisert og nonvirtualizednettverk i samme datasenter eller mellom datasentre. Du kan for eksempel bruke en mx-Serie-ruter til å koble til et nettverk Som bruker Vxlanstil En Som bruker Vlan.

  • Gjør Som En lag 2 gateway mellom virtualiserte nettverki samme eller forskjellige datasentre og la virtuelle maskiner flytte (VMotion) mellom disse nettverkene og datasentrene.

  • Fungerer som En lag 3 gateway for å rute trafikk mellom forskjelligevxlan i samme datasenter.

  • Fungere som Et lag 3 gateway for å rute trafikk mellom differentvxlan i ulike datasentre over EN WAN eller Internett bruker standard ruting protokoller eller virtual private LAN service (VPLS) tunneler.

Merk

hvis du vil ha en av enhetene som er beskrevet i denne seksjonenfor å være en vxlan Layer 3 gateway, må du konfigurere integrerte routingand bridging (IRB) – grensesnitt for å koble Til Vxlan, akkurat som du gjørhvis du vil rute trafikk mellom Vlan.

Manuelle VXLANs Krever PIM

I et miljø med en kontroller (for Eksempel En Vmware nsx elleruniper Networks Contrail controller), kan Du klargjøre VXLANs ona Juniper Networks-enhet. En kontroller gir også en kontrollplanat VTEPs bruker til å annonsere deres nåbarhet og lære om evnen til andre VTEPs. Du kan også manuelt opprette vxlans påenhetsnettverk enheter i stedet for å bruke en kontroller. Hvis du bruker denne tilnærmingen, må DU også konfigurere Protocol Independent Multicast(PIM) På VTEPs slik at DE kan opprette VXLAN-tunneler mellom seg selv.

du må også konfigurere hver VTEP i et GITT VXLAN til å være medlem av samme multicast-gruppe. (Hvis det er mulig, bør du tilordne en annenmulticast-gruppeadresse til hver VXLAN, selv om dette ikke er nødvendig.Flere VXLANs kan dele samme multicast-gruppe.) VTEPs canthen videresende arp forespørsler de mottar fra sine tilkoblede hoststo multicast-gruppen. De andre VTEPs i gruppen de-encapsulatethe vxlan informasjon, og (forutsatt at de er medlemmer av sameVXLAN) de videresende arp forespørsel til sine tilkoblede verter. Når målverten mottar arp-forespørselen, svarer den med Sin MACaddress, og DENS VTEP videresender DETTE ARP-svaret tilbake til kilden VTEP.Gjennom denne prosessen lærer VTEPs IP-adressene til den andrevteps I VXLAN og MAC-adressene til vertene som er koblet tilandre VTEPs.

multicast-gruppene og trærne brukes også til å videresende kringkasting,ukjent unicast og MULTICAST (BUM) trafikk mellom VTEPs. Dette forhindrer at trafikk fra å bli unødvendig oversvømmet utenfor VXLAN.

Merknad

Multicast-trafikk som videresendes via EN vxlan-tunnel, sendes bare til de eksterne Vtepsene I VXLAN. Det vil si at innkapslingenvtep ikke kopierer og sender kopier av pakkene i henhold tilmulticast tree-det videresender bare de mottatte multicast-pakkenetil de eksterne VTEPs. De eksterne Vtepsene de-innkapsler de innkapsletmulticast-pakker og videresend dem til de riktige Lag 2-grensesnittene.JunosOS Utgivelse 18.1R1 FOR qfx5210-brytere

Lastbalansering VXLAN-Trafikk

på qfx5100 -, QFX5110 -, QFX5200 -, QFX5210-og EX4600-brytere bruker Layer 3-rutene som danner VXLAN-tunneler lastbalansering per pakke som standard, noe som betyr at lastbalansering implementeres hvis det er ECMP-baner til den eksterne VTEP-en. Dette er forskjellig fra normal routingbehavior der per pakke lastbalansering ikke brukes som standard.(Normal ruting bruker per-prefiks lastbalansering som standard.)

kildeportfeltet I UDP-hodet brukes til Å aktivere ECMPload-balansering AV vxlan-trafikken I Layer 3-nettverket. Dette feltet er satt til en hash av de indre pakkefeltene, noe SOM resulterer I en variableat ECMP kan bruke til å skille mellom tunneler (strømmer). (Ingen av de andre feltene som flytbasert ECMP vanligvis bruker, er egnet for bruk Med VXLANs. Alle tunneler mellom de samme To VTEPs har sameouter kilde OG destinasjon IP-adresser, OG UDP destinationport er satt til port 4789 per definisjon. Derfor er ingen av disse feltenegi EN tilstrekkelig måte FOR ECMP å skille mellom strømmer.)

VLAN-Id for Vxlan

når du konfigurerer EN VLAN-ID For ET VXLAN På Noen Juniper Networksdevice som støtter Vxlan unntatt QFX10000-brytere, anbefaler vi sterkt å bruke EN VLAN-ID på 3 eller høyere. Hvis DU bruker EN VLAN-ID på 1 eller 2, kan replikerte kringkastings -, multicast-og ukjente unicast-pakker (BUM)for Disse Vxlanene være ukodede, noe som igjen kan resultere i at pakkene slippes av en enhet som mottar pakkene.

Aktivering AV QFX5120 Bytter Til Tunnel Trafikk På Core-FacingLayer 3 Tagged Og IRB Grensesnitt

Merk

når EN QFX5120 bryter forsøker å tunnel trafikk på core-facingLayer 3 tagged grensesnitt eller IRB grensesnitt, faller bryteren thepackets. For å unngå dette problemet kan du konfigurere en enkel to-termfilterbasert brannmur på Layer 3-merket eller IRB-grensesnittet.

Merk

qfx5120-brytere støtter maksimalt 256 to-term filterbaserte brannmurer.

for eksempel:

angi grensesnitt et-0/0/3 enhet 0 familie inetfilter inngang vxlan100
angi brannmur familie inet filter vxlan100 term1 fra destinasjon-adresse 192.168.0.1/24 deretter godta
angi brannmur familie inet filter vxlan100 term2 deretter ruting-instans route1

term 1 samsvarer med og godtar trafikk som er bestemt for qfx5210-bryteren, som identifiseres av kilden vtep ip-adressen(192.168.0.1/24) tilordnet bryterens loopback-grensesnitt. Forterm 1, merk at når du angir en handling, kan du alternativteller trafikk i stedet for å godta den.

Term 2 matcher og videresender all annen datatrafikk til en routinginstance (rute 1), som er konfigurert grensesnitt et-0/0/3.

i dette eksemplet, merk at interface et-0/0/3 er referencedby ruting forekomst route1. Som et resultat, må du inkludere angi brannmur familie inet filter vxlan100 term 2 deretter routing-instanceroute1 kommando. Uten denne kommandoen vil brannmurfilteretikke fungere skikkelig.

Bruke ping og traceroute med EN VXLAN

PÅ qfx5100-og QFX5110-brytere, kan du bruke ping-og traceroute-kommandoene til å feilsøke trafikkflyt gjennom EN VXLAN-tunnel ved å inkludere overlay-parameterenog ulike alternativer. Du bruker disse alternativene til å tvinge ping-eller traceroute-pakkene til å følge samme bane som datapakker gjennom vxlan-tunnelen. Med andre ord, du gjør underlagspakker (ping og traceroute) ta sameroute som overlay pakker (datatrafikk). Se ping overlay og traceroute overlay for mer informasjon.

Støttede Vxlan-Standarder

Rfc-er og internett-utkast som definerer standarder FOR VXLAN:

  • RFC 7348, Virtual eXtensible Local Area Network (VXLAN): Et Rammeverk For Overlegging Av Virtualiserte Lag 2-Nettverk overLayer 3-Nettverk

  • Internett utkast utkast-Ietf-nvo3-vxlan-gpe, GenericProtocol Forlengelse FOR VXLAN

Tabell For Utgivelseshistorikk
Utgivelse
Beskrivelse

Starter Med Junos OS Utgivelse 14. 1×53-D30 forqfx5100 brytere, Junos OS Utgivelse 15.1X53-D210 FOR QFX5110 Og QFX5200switches, Junos OS Release 18.1R1 FOR qfx5210 brytere, Og JunosOS Release 18.2r1 FOR EX4600 brytere, hvis du vet at det eringen multicast-mottakere koblet til andre VTEPs I VXLAN som ønskertraffic for en bestemt multicast-gruppe, kan du redusere processingload på loopback-grensesnittet

Starter Med JunosOS Slipp 14. 1×53-D25 PÅ qfx5100 brytere, Junos OS Slipp 15. 1×53-D210on QFX5110 og QFX5200 brytere, Junos OS Slipp 18. 1r1 På QFX5210switches, Og Junos OS Slipp 18.2R1 PÅ EX4600-brytere kan dukonfigurere UDP-porten som brukes som målport FOR VXLAN-trafikk.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.