Vxlans begrijpen

Geplaatst op door admin

Virtual Extensible LAN protocol (VXLAN) technologie staat netwerken toe om meer VLAN ‘ s te ondersteunen. Volgens de IEEE 802.1 Q-standaard zijn traditionele VLAN-identifiers 12 bits lang-deze naam beperkt netwerken tot 4094 VLAN ‘ s. Het VXLAN-protocol overwint deze beperking door een langere logische netwerkidentifier te gebruiken die meer VLAN ‘ s toelaat en daarom logischer netwerkisolatie voor grote netwerken zoals clouds die meestal veel virtualmachines bevatten.

VXLAN-voordelen

met VXLAN-technologie kunt u uw netwerken segmenteren (als VLANsdo), maar het biedt voordelen die VLANs niet kunnen. Hier zijn de belangrijkste voordelen van het gebruik van VXLANs:

  • u kunt theoretisch maar liefst 16 miljoen Vxlans aanmaken in een administratief domein (in tegenstelling tot 4094 VLANs op een JuniperNetworks apparaat).

    • MX serie routers en EX9200 switches ondersteunen als veelas 32.000 VXLANs, 32.000 multicast groepen, en 8000 virtuele tunnelendpoints (VTEPs). Dit betekent dat VX-LAN ‘ s op basis van MX-serie routers netwerksegmentatie bieden op de schaal die door cloudbouwers wordt vereist om zeer grote aantallen huurders te ondersteunen.

    • QFX10000-Serieschakelaars ondersteunen 4000 VXLANs en 2000 Remote VTEPs.

    • qfx5100, QFX5110, QFX5200, QFX5210 en EX4600 switches ondersteunen 4000 VXLANs, 4000 multicastgroepen en 2000 externe VTEPs.

    • EX4300-48MPswitches ondersteunen 4000 VXLANs.

  • u kunt de migratie van virtuele machines tussen serversdie bestaan in afzonderlijke domeinen van laag 2 inschakelen door de traffic overlay 3-netwerken te tunnelen. Met deze functionaliteit kunt u dynamisch bronnen toewijzen binnen of tussen datacenters zonder te worden beperkt door Layer 2-grenzen of te worden gedwongen om grote of geografisch gespreide Layer 2-domeinen te creëren.

het gebruik van VXLANs om kleinere Layer 2 domeinen te maken die verbonden zijn over een Layer 3 netwerk betekent dat u geen SpanningTree Protocol (STP) hoeft te gebruiken om de topologie te convergeren, maar u kunt in plaats daarvan meer robuustrouting protocollen gebruiken in het Layer 3 netwerk. In de afwezigheid van STP, geen van uw links worden geblokkeerd, wat betekent dat u volledige waarde van alle poorten die u koopt kunt krijgen. Met behulp van routeringsprotocollen om uw Layer 2-domeinen aan te sluiten, kunt u ook het vervoer in evenwicht brengen om ervoor te zorgen dat u optimaal gebruik maakt van uw beschikbare bandbreedte.Gezien de hoeveelheid Oost-west verkeer die vaak binnen of tussen data centers stroomt, is het maximaliseren van uw netwerkprestaties voor dat verkeer erg belangrijk.

de video Waarom een Overlay-netwerk gebruiken in een datacenter? geeft een kort overzicht van de voordelen van het gebruik van VXLANs.

Hoe werkt VXLAN?

VXLAN wordt vaak beschreven als een overlay-technologie omdat het u toestaat om laag 2-verbindingen uit te rekken over een tussenliggende Laag3-netwerk door Ethernetframes (tunneling) in een Vxlanpakket op te nemen dat IP-adressen bevat. Apparaten die VXLANs ondersteunen, worden vteps (virtual tunnel endpoints) genoemd—dit kunnen end hosts of netwerkswitches of routers zijn. VTEPs encapsulateVXLAN verkeer en de-encapsuleer dat verkeer wanneer het de VXLANtunnel verlaat. Om een Ethernet-frame in te kapselen, voegt VTEPs een aantal velden toe, waaronder de volgende velden:

  • Buitenste media access control (MAC) – adres van de bestemming (MACaddress van de tunnel endpoint VTEP)

  • Buitenste MAC-adres (MAC-adres van de tunnel sourceVTEP)

  • Buitenste IP-adres van de bestemming (het IP-adres van de tunnelendpoint VTEP)

  • Buiten een bron IP adres (IP-adres van de tunnel sourceVTEP)

  • Buiten UDP-header

  • EEN VXLAN-header die is voorzien van een 24-bits veld—calledthe VXLAN-netwerk-id (VNI)—hetin gebruikt voor de unieke identificatie van de VXLAN. De VNI is vergelijkbaar met een VLANID, maar met 24 bits kunt u veel meer VXLANs dan VLANS maken.

Note

omdat VXLAN 50 tot 54 bytes extra headerinformatie toevoegt aan het oorspronkelijke Ethernet-frame, wilt u misschien de MTU van het onderliggende netwerk verhogen. Configureer in dit geval de MTU van de fysieke interfaces die deelnemen aan het VXLAN-netwerk, niet de MTU van de logische vtep-broninterface,die wordt genegeerd.

figuur 1 toont het VXLAN-pakketformaat.

figuur 1: VXLAN-Pakket Formaat

VXLAN Implementatie Methoden

Junos OS ondersteunt de uitvoering van VXLANs in de volgende omgevingen:

  • Handleiding VXLAN—In deze omgeving, een Juniper Networksdevice fungeert als een transit apparaat voor andere apparatuur die optreedt als VTEPs,of een gateway biedt connectiviteit voor downstream-servers thathost virtuele machines (vm ‘ s), die met elkaar communiceren over een Laag 3 netwerk.In deze omgeving, software-defined networking (SDN) controllersare niet ingezet.

    opmerking

    QFX10000-schakelaars ondersteunen geen handmatige VXLANs.

  • OVSDB-VXLAN – in deze omgeving gebruiken Sdn-regelaars het Open vSwitch Database (OVSDB) beheerprotocol om een middel te bieden waarmee controllers (zoals een VMware NSX of JuniperNetworks Contrail controller) en Juniper Networks-apparaten dieovsdb ondersteunen kunnen communiceren.

  • EVPN-VXLAN-in deze omgeving is Ethernet VPN (EVPN)een besturingsvliegtuigtechnologie waarmee hosts (fysieke servers en VM ‘ s) overal in een netwerk kunnen worden geplaatst en verbonden blijven met hetzelfde logische Layer 2 overlay-netwerk, en VXLAN creëert de dataplane voor het Layer 2 overlay-netwerk.

met behulp van Qfx5100, QFX5110, QFX5200, QFX5210, EX4300-48MP, andEX4600 Switches met VXLANs

kunt u de switches configureren om alle volgende rollen uit te voeren:

  • (alle schakelaars behalve EX4300-48MP) in een omgeving zonder een SDN-controller, fungeren als een transit Layer 3-schakelaar voor downstreamhosts die als VTEPs fungeren. In deze configuratie hoeft u geen VXLAN-functionaliteit op de switch te configureren. Je moet IGMPand PIM configureren zodat de switch de multicast bomen kan vormen voor de vxlanmulticast groepen. (Zie handleiding Vxlans vereisen PIM voor meer informatie.)

  • (alle switches behalve EX4300-48MP) in een omgeving zonder SDN-controller, fungeren als een Layer 2-gateway tussen gevirtualiseerde en niet-virtuele netwerken in hetzelfde datacenter of tussen datacenters. U kunt de switch bijvoorbeeld gebruiken om een netwerk te verbinden dat VXLANs gebruikt met een netwerk dat VLAN ‘ s gebruikt.

  • (EX4300-48MP switches) fungeren als een Layer 2 gateway tussengevirtualiseerde en nietgevirtualiseerde netwerken in een campusnetwerk. U kunt de switch bijvoorbeeld gebruiken om een netwerk te verbinden dat VXLANs gebruikt met een netwerk dat VLAN ‘ s gebruikt.

  • (alle schakelaars behalve EX4300-48MP) fungeren als een Layer 2 gateway tussen gevirtualiseerde netwerken in dezelfde of verschillende datacenters en laten virtuele machines bewegen (VMotion) tussen die netwerken en datacenters. Als u bijvoorbeeld VMotion tussen apparaten in twee verschillende netwerken wilt toestaan, kunt u dezelfde VLAN in beide netwerken maken en beide apparaten op die VLAN plaatsen. De schakelaars verbonden met deze apparaten, die fungeren als VTEPs, kunnen dat VLAN in kaart brengen op dezelfde VXLAN,en het VXLAN-verkeer kan dan worden gerouteerd tussen de twee netwerken.

  • (QFX5110 switches met EVPN-VXLAN) fungeren als een Layer 3 gatewayom het verkeer tussen verschillende VXLANs in hetzelfde datacenter te routeren.

  • (QFX5110 switches met EVPN-VXLAN) fungeren als een Layer 3 gatewayom het verkeer tussen verschillende VXLANs in verschillende datacenters over een WAN of het Internet te routeren met behulp van standaard routeringsprotocollen of virtualprivate LAN service (VPLS) tunnels.

Note

als u wilt dat een qfx5110-switch Een Layer 3 VXLAN-gatewayin een EVPN-VXLAN-omgeving is, moet u geïntegreerde routing and bridging (IRB) – interfaces configureren om de VXLANs te verbinden, net zoals u doet als u verkeer tussen VLAN ‘ s wilt routeren.

omdat de extra headers 50 tot 54 bytes toevoegen, moet u mogelijk de MTU op een VTEP verhogen om grotere pakketten aan te kunnen.Bijvoorbeeld, als de switch de standaard MTU waarde van 1514bytes gebruikt en je wilt 1500-byte pakketten doorsturen over de VXLAN, moet je de MTU vergroten om de verhoogde pakketgrootte toe te staan die veroorzaakt wordt door de extra headers.

de UDP-poort wijzigen op QFX5100, QFX5110, QFX5200, QFX5210 en EX4600-Switches

beginnend met JunosOS Release 14.1X53-D25 op QFX5100-switches,Junos OS Release 15.1X53-D210on QFX5110 en QFX5200-switches, Junos OS Release 18.1R1 op Qfx5210-switches, en Junos OS Release 18.2R1 op EX4600-switches kunt u de UDP-poort configureren die wordt gebruikt als bestemmingspoort voor VXLAN-verkeer. Als u de VXLAN-doelpoort wilt configureren als iets anders dan de standaard UDP-poort van 4789, voert u het volgende commando in::

stel protocollen in l2 – leerdoel-udp-poort poort-nummer

de poort die u configureert zal worden gebruikt voor alle vxlans-configuratieop de switch.

Note

als u deze wijziging aanbrengt op één switch in een VXLAN, moet u dezelfde wijziging aanbrengen op alle apparaten die de op uw switch geconfigureerde Vxlans beëindigen. Als u dit niet doet, zal het verkeer worden onderbroken voor alle vxlans geconfigureerd op uw switch. Wanneer u de UDP-poort wijzigt, zijn de eerder geleerde externe VTEPs en externe MACs het laatste en VXLAN-verkeer verstoord totdat de schakelaar de emote VTEPs en externe MACs opnieuw leert.

controle van Transit Multicast-verkeer op QFX5100, QFX5110, QFX5200, QFX5210 en EX4600-Switches

wanneer de schakelaar die als VTEP fungeert een broadcast -, unknownunicast-of multicast-pakket ontvangt, voert deze de volgende acties uit op het pakket:

  1. het de-encapsuleert het pakket en levert het aan de lokaal gekoppelde hosts.
  2. het voegt vervolgens de VXLAN-inkapseling opnieuw toe en stuurt het pakket naar de andere VTEPs in het VXLAN.

deze acties worden uitgevoerd door de loopback-interface die wordt gebruikt als het VXLAN-tunneladres en kunnen daarom een negatieve invloed hebben op de bandbreedte die beschikbaar is voor het VTEP. Te beginnen met Junos OS Release 14. 1X53-D30 forQFX5100 switches, Junos OS Release 15. 1X53-D210 voor QFX5110 en Qfx5200 Switches, Junos OS Release 18.1R1 voor QFX5210 switches, en JunosOS Release 18.2R1 voor EX4600-switches, Als u weet dat er geen multicast-ontvangers zijn aangesloten op andere VTEPs in de VXLAN die Traffic voor een specifieke multicast-groep willen, kunt u de verwerkingsbelasting op de loopback-interface verminderen door het volgende statement in te voeren:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group multicast-group

In dit geval zal er geen verkeer worden doorgestuurd voor de specifieke groep, maar alle andere multicast verkeer zal worden doorgestuurd. Als u geen multicast-verkeer wilt doorsturen naar andere VTEPs in het VXLAN,voert u het volgende commando in::

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group all

met Behulp van een MX-Serie Router, EX9200 Schakelen, of QFX10000 Switchas een VTEP

U kunt een MX-Serie router, EX9200 schakelen, of QFX10000switch om op te treden als een VTEP en het uitvoeren van alle van de volgende rollen:

  • Fungeren als een Layer 2-gateway tussen gevirtualiseerde en nonvirtualizednetworks in dezelfde data-center of tussen datacenters. U kunt bijvoorbeeld een router uit de MX-serie gebruiken om een netwerk met Vxlanaan te verbinden met een netwerk met VLAN ‘ s.

  • fungeren als een Layer 2 gateway tussen gevirtualiseerde netwerken in dezelfde of verschillende datacenters en laat virtuele machines (VMotion) verplaatsen tussen die netwerken en datacenters.

  • fungeren als een Layer 3-gateway om verkeer tussen verschillende vxlans in hetzelfde datacenter te routeren.

  • fungeren als een Layer 3-gateway voor het routeren van verkeer tussen verschillende vxlans in verschillende datacenters via een WAN of het internetgebruik van standaard routeringsprotocollen of VPLS-tunnels (virtual private LAN service).

Note

als u wilt dat een van de apparaten die in deze paragraaf worden beschreven een VXLAN Layer 3-gateway is, moet u geïntegreerde routing and bridging (IRB) – interfaces configureren om de VXLANs te verbinden, net zoals u doet als u het verkeer tussen VLAN ‘ s wilt routeren.

handmatige VXLANs vereisen PIM

In een omgeving met een controller (zoals een VMware NSX of Juniper Networks Contrail controller), kunt u vxlans leveren op een Juniper Networks apparaat. Een controller biedt ook een controleplan dat Vtep ’s gebruiken om hun bereikbaarheid te adverteren en te leren over de bereikbaarheid van andere Vtep’ s. U kunt ook handmatig vxlans maken op Juniper Networks-apparaten in plaats van een controller te gebruiken. Als je deze aanpak gebruikt, moet je ook Protocol Independent Multicast(PIM) configureren op de VTEPs, zodat ze VXLAN tunnels onderling kunnen maken.

u moet ook elke VTEP in een gegeven VXLAN configureren om lid te zijn van dezelfde multicastgroep. (Indien mogelijk moet u aan elke VXLAN een ander multicast-groepsadres toewijzen, hoewel dit niet vereist is.Meerdere VXLANs kunnen dezelfde multicast groep delen.) De VTEPs kunnen ARP verzoeken die ze ontvangen van hun verbonden host doorsturen naar de multicast groep. De andere Vtep ‘ s in de groep de-encapsuleren de VXLAN-informatie, en (ervan uitgaande dat ze lid zijn van hetzelfde evxlan) sturen ze het ARP-verzoek door naar hun verbonden hosts. Wanneer de doelhost het ARP-verzoek ontvangt, reageert het met zijn MAC-adres, en zijn VTEP stuurt dit ARP-antwoord terug naar de bron VTEP.Via dit proces leren de VTEPs de IP-adressen van de andere vteps in de VXLAN en de MAC-adressen van de hosts die verbonden zijn met andere VTEPs.

de multicast groepen en bomen worden ook gebruikt om broadcast,unknown unicast en multicast (BUM) verkeer tussen VTEPs door te sturen. Dit voorkomt dat het verkeer onnodig wordt overspoeld buiten het VXLAN.

opmerking

Multicast-verkeer dat wordt doorgestuurd via een VXLAN-tunnelis alleen verzonden naar de externe VTEPs in het VXLAN. Dat wil zeggen, de encapsulatingVTEP kopieert en verzendt geen kopieën van de pakketten volgens de multicast—boom-het stuurt alleen de ontvangen multicast-pakketten door naar de remote VTEPs. De remote VTEPs de-encapsuleer de encapsulatedmulticast pakketten en stuur ze door naar de juiste Layer 2 interfaces.JunosOS Release 18.1R1 voor QFX5210-switches

Load Balancing VXLAN-verkeer

op qfx5100 -, QFX5110 -, QFX5200 -, QFX5210-en EX4600-switches gebruiken de Layer 3-routes die VXLAN-tunnels vormen standaard per pakket load balancing,wat betekent dat load balancing wordt geïmplementeerd als er ECMP-paden zijn naar de externe VTEP. Dit is anders dan normaal routinggedrag waarbij per-pakket load balancing niet standaard wordt gebruikt.(Normale routing gebruikt standaard taakverdeling per voorvoegsel.)

het veld bronpoort in de UDP-header wordt gebruikt om ECMPload-balancering van het VXLAN-verkeer in het Layer 3-netwerk mogelijk te maken. Dit veld is ingesteld op een hash van de binnenpakketvelden, wat resulteert in een variabel die ECMP kan gebruiken om onderscheid te maken tussen tunnels (stromen). (Geen van de andere velden die op stroom gebaseerde ECMP normaal gebruikt, is geschikt voor gebruik met VX-LAN ‘ s. Alle tunnels tussen dezelfde twee Vtep ‘ s hebben dezelfde bron-en bestemmingsip-adressen, en de UDP destinationport is per definitie ingesteld op poort 4789. Daarom biedt geen van deze gebieden een voldoende manier voor ECMP om stromen te differentiëren.)

VLAN-ID ‘ s voor VXLANs

bij het configureren van een VLAN-ID voor een VXLAN op elk Juniper-netwerkapparaat dat vxlans ondersteunt, behalve QFX10000 switches, bevelen we sterk aan om een VLAN-ID van 3 of hoger te gebruiken. Als u een VLAN-ID van 1 of 2 gebruikt, kunnen gerepliceerde broadcast -, multicast-en onbekende unicast-pakketten (BUM)voor deze VXLANs worden onttagd, wat er op zijn beurt toe kan leiden dat de pakketten worden gedropt door een apparaat dat de pakketten ontvangt.

Enabling QFX5120 Switches to Tunnel Traffic on Core – facingLayer 3 Tagged and IRB Interfaces

Note

wanneer een qfx5120 switch probeert om tunnel traffic on core-facingLayer 3 tagged interfaces of IRB interfaces, de switch drops the packets. Om dit probleem te voorkomen, kunt u een eenvoudige tweetermfilter-gebaseerde firewall configureren op de Layer 3 tagged of IRB interface.

Note

QFX5120-switches ondersteunen maximaal 256 tweeterm filtergebaseerde firewalls.

bijvoorbeeld:

set interfaces et-0/0/3 eenheid 0 familie inetfilter ingang vxlan100
firewall instellen familie inet filter vxlan100 term1 van bestemming-adres 192.168.0.1/24 klik op accepteren
firewall instellen familie inet filter vxlan100 term2 dan routing-exemplaar route1

Termijn 1 wedstrijden en aanvaardt verkeer dat bestemd is voor theQFX5210 schakelaar, die wordt aangegeven door de bron VTEP IP-adres(192.168.0.1/24) toegewezen aan de schakelaar van de loopback-interface. Forterm 1, merk op dat bij het opgeven van een actie, kunt u alternativelycount verkeer in plaats van het te accepteren.

Term 2 komt overeen met en stuurt al het andere dataverkeer door naar een routinginstance (route 1), die is geconfigureerd interface et-0/0/3.

in dit voorbeeld, merk op dat interface et-0/0/3 wordt verwezen door routing instance route1. Als gevolg hiervan moet u de set firewall familie inet filter vxlan100 term 2 dan routing-instanceroute1 Commando. Zonder dit commando zal het firewallfilter niet goed werken.

met behulp van ping en traceroute met een VXLAN

op QFX5100-en QFX5110-switches kunt u de commando ‘ s ping en traceroute gebruiken om de verkeersstroom door een VXLAN-tunnel op te lossen door de overlayparameter en verschillende opties op te nemen. U gebruikt deze opties om de ping-of traceroute-pakketten te dwingen hetzelfde pad te volgen als datapackets door de VXLAN-tunnel. Met andere woorden, je maakt de underlaypackets (ping en traceroute) nemen de sameroute als de overlay pakketten (dataverkeer). Zie ping overlay en traceroute overlay voor meer informatie.

Ondersteund VXLAN-Normen

Rfc ‘ s en Internet concepten definiëren van normen voor VXLAN:

  • RFC 7348, Virtuele eXtensible Local Area Network(VXLAN): EEN Kader voor het Overlappen van Gevirtualiseerde Layer 2 Netwerken overLayer 3 Netwerken

  • Internet draft draft-ietf-nvo3-vxlan-gpe, GenericProtocol Extension voor VXLAN

Release Geschiedenis Table
Laat
Beschrijving

te Beginnen met de Junos OS versie 14.1X53-D30 forQFX5100 schakelaars, Junos OS versie 15.1X53-D210 voor QFX5110 en QFX5200switches, Junos OS versie 18.1R1 voor QFX5210 schakelaars, en JunosOS versie 18.2R1 voor EX4600 schakelaars, als je weet dat er areno multicast-ontvangers die op andere VTEPs in de VXLAN dat wanttraffic voor een specifieke multicast-groep, kunt u verminderen de processingload op de loopback-interface

te Beginnen met JunosOS Release 14.1X53-D25 op QFX5100 schakelaars, Junos OS versie 15.1X53-D210on QFX5110 en QFX5200 schakelaars, Junos OS versie 18.1R1 op QFX5210switches, en Junos OS versie 18.2R1 op EX4600-switches kunt u de UDP-poort configureren die wordt gebruikt als bestemmingspoort voor VXLAN-verkeer.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.