Zrozumienie VXLANs

Posted on by admin

technologia Virtual Extensible LAN protocol (VXLAN) umożliwia sieciom obsługę większej liczby sieci VLAN. Zgodnie ze STANDARDEM IEEE 802.1 Q, tradycyjne identyfikatory VLAN mają długość 12 bitów—ta nazwa ogranicza sieci do 4094 Vlanów. Protokół VXLAN przezwycięża to ograniczenie poprzez użycie dłuższego identyfikatora sieci logicznej, który umożliwia większą liczbę sieci VLAN, a tym samym bardziej logiczną izolację sieci dla dużych sieci, takich jak chmury, które zazwyczaj zawierają wiele wirtualnych maszyn.

korzyści VXLAN

technologia VXLAN pozwala na segmentację sieci (jako VLANsdo), ale zapewnia korzyści, których VLAN nie może. Oto najważniejsze zalety korzystania z VXLAN:

  • teoretycznie można utworzyć aż 16 milionów Vxlansów w domenie administracyjnej (w przeciwieństwie do 4094 Vlanów na urządzeniu JuniperNetworks).

    • routery z serii MX i przełączniki EX9200 obsługują 32 000 Vxlanów, 32 000 grup multicastów i 8000 wirtualnych punktów tunelowych (vtep). Oznacza to, że sieci VXLAN oparte na routerach serii MX zapewniają segmentację sieci na skalę wymaganą przez budowniczych chmury, aby obsługiwać bardzo dużą liczbę najemców.

    • przełączniki serii QFX10000 obsługują 4000 VXLAN i 2000remote Vtep.

    • przełączniki QFX5100, QFX5110, QFX5200, QFX5210 i EX4600 obsługują 4000 Vxlanów, 4000 grup multicastów i 2000 zdalnych Vtepów.

    • EX4300-48mpswitche obsługują 4000 VXLAN.

  • migrację maszyn wirtualnych między serwerami istniejącymi w oddzielnych domenach warstwy 2 można włączyć, tunelując sieci nakładki ruchu 3. Ta funkcjonalność pozwala na dynamiczne przydzielanie zasobów w centrach danych lub między nimi bez ograniczania przez granice warstwy 2 lub zmuszania do tworzenia dużych lub rozciągniętych geograficznie domen warstwy 2.

używanie VXLAN do tworzenia mniejszych domen warstwy 2, które są połączone w sieci warstwy 3, oznacza, że nie trzeba używać protokołu SpanningTree (STP) do zbieżności topologii, ale zamiast tego można używać więcej protokołów robustrouting w sieci warstwy 3. W przypadku braku STP, żaden z twoich linków nie jest blokowany, co oznacza, że możesz uzyskać pełną wartość ze wszystkich zakupionych portów. Korzystanie z protokołów routingu w celu połączenia domen warstwy 2 pozwala również na równoważenie obciążenia, aby zapewnić najlepsze wykorzystanie dostępnej przepustowości.Biorąc pod uwagę ilość ruchu wschód-zachód, który często przepływa wewnątrz lub między centrami danych, maksymalizacja wydajności sieci dla tego ruchu jest bardzo ważna.

Film Po co używać sieci nakładkowej w centrum danych? przedstawia krótki przegląd zalet korzystania z VXLAN.

jak działa VXLAN?

VXLAN jest często opisywany jako technologia nakładkowa, ponieważ umożliwia rozciąganie połączeń warstwy 2 przez interweniującą sieć Layer3 poprzez hermetyzację (tunelowanie) ramek Ethernet w pakiecie VXLAN zawierającym adresy IP. Urządzenia obsługujące VXLAN są zwanymi wirtualnymi punktami końcowymi tunelu (vtep)—mogą to być hosty końcowe lub przełączniki sieciowe lub routery. Vteps encapsulateVXLAN ruchu i de-encapsulate tego ruchu, gdy opuści VXLANtunnel. Aby zamknąć ramkę Ethernet, VTEPs dodaje kilka pól, w tym następujące pola:

  • zewnętrzna Kontrola dostępu do mediów (MAC) Adres Docelowy (MACaddress punktu końcowego tunelu vtep)

  • zewnętrzny adres źródłowy MAC (MAC address of the tunnel sourcevtep)

  • zewnętrzny adres docelowy IP (adres IP tunnelendpoint VTEP)

  • zewnętrzny adres źródłowy IP (adres IP tunelu sourcevtep)

  • zewnętrzny nagłówek UDP

  • nagłówek VXLAN zawierający 24-bitowe pole o nazwie VXLAN network identifier (VNI) – służy do jednoznacznej identyfikacji VXLAN. VNI jest podobny do VLANIDA, ale posiadanie 24 bitów pozwala na tworzenie o wiele więcej Vxlanów niż vlanów.

Uwaga

ponieważ VXLAN dodaje 50 do 54 bajtów dodatkowych informacji o nagłówku do oryginalnej ramki Ethernet, możesz chcieć zwiększyć MTU sieci bazowej. W tym przypadku należy skonfigurować MTU interfejsów fizycznych uczestniczących w sieci VXLAN, a nie MTU logicznego interfejsu źródłowego vtep, który jest ignorowany.

Rysunek 1 przedstawia format pakietów VXLAN.

Rysunek 1: Format pakietu VXLAN

metody implementacji VXLAN

Junos OS obsługuje implementację VXLAN w następujących środowiskach:

  • ręczny VXLAN—w tym środowisku urządzenie Juniper Networksdevice działa jako urządzenie tranzytowe dla urządzeń podrzędnych działających jako Vtep lub brama, która zapewnia łączność dla serwerów podrzędnych, które obsługują maszyny wirtualne (vm), które komunikują się za pośrednictwem warstwy 3 network.In to środowisko, Kontrolery sieci definiowane programowo (SDN) nie są wdrażane.

    Uwaga

    przełączniki QFX10000 nie obsługują ręcznych VXLAN.

  • OVSDB-VXLAN-w tym środowisku Kontrolery SDN używają protokołu zarządzania Open vSwitch Database (OVSDB), aby zapewnić środki, za pomocą których Kontrolery (takie jak kontroler VMware NSX lub JuniperNetworks Contrail) i urządzenia Juniper Networks obsługujące vsdb mogą się komunikować.

  • EVPN-VXLAN-w tym środowisku Ethernet VPN (EVPN)jest technologią płaszczyzny sterowania, która umożliwia umieszczenie hostów (serwerów fizycznych i maszyn wirtualnych) w dowolnym miejscu sieci i pozostanie podłączonym do tej samej logicznej sieci nakładkowej warstwy 2, a VXLAN tworzy dane dla sieci nakładkowej warstwy 2.

korzystając z przełączników QFX5100, QFX5110, QFX5200, QFX5210, EX4300-48MP, andEX4600 z VXLAN

, możesz skonfigurować przełączniki tak, aby wykonywały wszystkie następujące czynności:

  • (wszystkie przełączniki z wyjątkiem EX4300-48MP) w środowisku bez kontrolera SDN, działają jako przełącznik warstwy 3 transit dla hostów downstream działających jako Vtep. W tej konfiguracji nie musisz konfigurowaćkażda funkcjonalność VXLAN na przełączniku. Musisz skonfigurować IGMPand PIM, aby przełącznik mógł tworzyć drzewa multicast dla grup VXLANmulticast. (Więcej informacji można znaleźć w podręczniku VXLANs Require PIM.)

  • (wszystkie przełączniki z wyjątkiem EX4300-48MP) w środowisku bez lub bez kontrolera SDN działają jako brama warstwy 2 między zwirtualizowanymi i niewirtualizowanymi sieciami w tym samym centrum danych lub między centrami danych. Na przykład, możesz użyć przełącznika do podłączenia sieci, która używa VXLAN do sieci, która używa VLAN.

  • (przełączniki EX4300-48MP) działają jako brama warstwy 2 pomiędzy sieciami zintegrowanymi i niezwirtualizowanymi w sieci kampusowej. Na przykład, możesz użyć przełącznika do podłączenia sieci, która używa VXLAN do onethat używa VLAN.

  • (wszystkie przełączniki z wyjątkiem EX4300-48MP) działają jako brama warstwy 2 między zwirtualizowanymi sieciami w tych samych lub różnych centrach danych i umożliwiają maszynom wirtualnym przemieszczanie się (VMotion) między tymi sieciami i centrami danych. Na przykład, jeśli chcesz zezwolić na VMotion between devices in two different networks, możesz utworzyć tę samą sieć VLAN inboth i umieścić oba urządzenia w tej sieci VLAN. Przełączniki podłączone do tych urządzeń, działając jako Vtep, mogą mapować tę VLAN do tego samego VXLAN,a ruch VXLAN może być kierowany między dwiema sieciami.

  • (przełączniki QFX5110 z EVPN-VXLAN) działają jako brama warstwy 3, aby kierować ruch między różnymi Vxlanami w tym samym centrum danych.

  • (przełączniki QFX5110 z EVPN-VXLAN) działają jako brama warstwy 3, pozwalająca na kierowanie ruchu między różnymi sieciami VXLAN w różnych centrach danych poprzez sieć WAN lub Internet przy użyciu standardowych protokołów routingu lub tuneli wirtualnych prywatnych usług LAN (vpls).

Uwaga

jeśli chcesz, aby przełącznik QFX5110 był bramą VXLAN warstwy 3 w środowisku EVPN-VXLAN, musisz skonfigurować zintegrowane interfejsy routing and bridging (IRB), aby połączyć sieci VXLAN, tak jak robisz, jeśli chcesz kierować ruch między sieciami VLAN.

ponieważ dodatkowe nagłówki dodają 50 do 54 bajtów, możesz potrzebować zwiększyć MTU na VTEP, aby pomieścić większe pakiety.Na przykład, jeśli przełącznik używa domyślnej wartości MTU 1514bytes i chcesz przekazać Pakiety 1500-bajtowe przez VXLAN, musisz zwiększyć MTU, aby umożliwić zwiększony rozmiar pakietu spowodowany przez dodatkowe nagłówki.

Zmiana portu UDP na przełącznikach QFX5100, QFX5110, QFX5200, QFX5210 i EX4600

począwszy od wydania JunosOS 14.1×53-D25 na przełącznikach QFX5100,Wydania Junos OS 15.1X53-D210ON QFX5110 i przełączniki qfx5200, Junos OS release 18.1R1 na przełącznikach QFX5210 i Junos OS release 18.2R1 na przełącznikach EX4600 można zmienić konfigurację portu UDP używanego jako port docelowy dla ruchu VXLAN. Aby skonfigurować port docelowy VXLAN jako inny niż domyślny port UDP 4789, wprowadź następującą instrukcję:

Ustaw protokoły L2-learning destination-udp-port numer portu

port, który skonfigurujesz, będzie używany dla wszystkich skonfigurowanych Vxlanów.

Uwaga

jeśli dokonasz tej zmiany na jednym przełączniku w VXLAN, musisz dokonać tej samej zmiany na wszystkich urządzeniach, które kończą Vxlanskonfigurowany na Twoim przełączniku. Jeśli tego nie zrobisz, ruch zostanie zakłócony dla wszystkich VXLAN skonfigurowanych na przełączniku. Gdy zmienisz portudp, wcześniej wyuczony zdalny Vtep i zdalne MACE są zablokowane, a ruch VXLAN jest zakłócany, dopóki przełącznik nie ponownie nauczy się Remote vtep i zdalne MACE.

kontrolowanie ruchu Transit Multicast na przełącznikach QFX5100, QFX5110,QFX5200, QFX5210 i EX4600

gdy przełącznik działający jako VTEP odbiera pakiet broadcast, unknownunicast lub multicast, wykonuje następujące akcje na pakiecie:

  1. dekapsuje pakiet i dostarcza go do hostów lokalnych.
  2. następnie dodaje ponownie enkapsulację VXLAN i wysyła pakiet do innych Vtep w VXLAN.

te działania są wykonywane przez interfejs pętli zwrotnej używany jako adres tunelu VXLAN i dlatego mogą negatywnie wpłynąć na szerokość pasma dostępną dla VTEP. Począwszy od Junos OS Release 14. 1×53-D30 dla przełączników qfx5100, Junos OS Release 15.1×53-D210 dla przełączników QFX5110 i Qfx5200, Junos OS Release 18.1R1 dla przełączników QFX5210 i JunosOS Release 18.2R1 dla przełączników EX4600, jeśli wiesz, że istnieją odbiorniki multiemisji podłączone do innych Vtep w VXLAN, które chcą traffic dla określonej grupy multiemisji, możesz zmniejszyć obciążenie procesowe interfejsu loopback, wpisując następującą instrukcję:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group multicast-group

w takim przypadku żaden ruch nie zostanie przekazany do określonej grupy, ale cały inny ruch multiemisji zostanie przekazany. Jeśli nie chcesz przekazywać żadnego ruchu multiemisji do innych Vtep w VXLAN, wprowadź następującą instrukcję:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group all

korzystając z routera serii MX, przełącznika EX9200 lub przełącznika QFX10000 jak VTEP

, można skonfigurować router serii MX, przełącznik EX9200 lub przełącznik Qfx10000, aby działał jako VTEP i spełniał wszystkie następujące role:

  • działaj jako brama warstwy 2 między zwirtualizowanymi i niewirtualizowanymi sieciami w tym samym centrum danych lub między centrami danych. Na przykład,możesz użyć routera z serii MX do podłączenia sieci, która korzysta z VXLANsto sieci, która korzysta z sieci VLAN.

  • działa jako brama warstwy 2 między zwirtualizowanymi sieciami w tych samych lub różnych centrach danych i umożliwia maszynom wirtualnym przenoszenie (VMotion) między tymi sieciami a centrami danych.

  • działa jako brama warstwy 3 do kierowania ruchu między różnymi sieciami VXLAN w tym samym centrum danych.

  • działa jako brama warstwy 3 do kierowania ruchu między różnymi sieciami VXL w różnych centrach danych za pośrednictwem sieci WAN lub Internetu przy użyciu standardowych protokołów routingu lub tuneli wirtualnych usług prywatnych LAN (vpls).

Uwaga

jeśli chcesz, aby jedno z urządzeń opisanych w tej sekcji było bramą VXLAN Layer 3, musisz skonfigurować zintegrowane interfejsy routing and bridging (IRB), aby połączyć sieci VXLAN, tak jak robisz, jeśli chcesz kierować ruch między sieciami VLAN.

Manual VXLANs Require Pim

w środowisku z kontrolerem (takim jak kontroler VMware NSX lub Uniper Networks Contrail), można zastosować VXLANs na urządzeniu Juniper Networks. Kontroler zapewnia również plan kontroli, którego Vtep używają do reklamowania ich osiągalności i uczenia się o możliwościach innych Vtep. Można również ręcznie tworzyć urządzenia vxlans onJuniper Networks zamiast używać kontrolera. Jeśli korzystasz z tego podejścia, musisz również skonfigurować Multicast niezależny od protokołu(PIM) na Vtep, aby mogły one tworzyć tunele VXLAN między sobą.

musisz również skonfigurować każdy VTEP w danym VXLAN, aby był członkiem tej samej grupy multiemisji. (Jeśli to możliwe, należy przypisać inny adres grupy multicast do każdego VXLAN, chociaż nie jest to wymagane.Wiele VXLAN może współdzielić tę samą grupę multiemisji.) Vtep mogą przekazywać żądania ARP, które otrzymują od podłączonego hosta do grupy multicast. Inne Vtep z grupy de-enkapsulują informacje o VXLAN i (zakładając, że są członkami tego samego VXLAN) przekazują żądanie ARP do swoich połączonych hostów. Gdy host docelowy otrzyma żądanie ARP, odpowiada swoim MACaddress, a jego vtep przekazuje tę odpowiedź ARP z powrotem do źródła vtep.Dzięki temu procesowi Vtep poznają adresy IP innych vtep w VXLAN oraz adresy MAC hostów podłączonych do innych Vtep.

grupy i Drzewa multicastu są również używane do przesyłania transmisji,nieznanego unicastu i ruchu multicastu (bum) między Vtepami. Zapobiega to niepotrzebnemu zalewaniu ruchu poza siecią VXLAN.

Uwaga

ruch Multicast, który jest przekazywany przez tunnelis VXLAN wysyłany tylko do zdalnych Vtep w VXLAN. Oznacza to, że encapsulatingVTEP nie kopiuje i nie wysyła kopii pakietów zgodnie z drzewem multicast—przekazuje tylko odebrane Pakiety multicast do zdalnego Vtep. Zdalne Vtep de-enkapsulatedmulticast pakiety i przekazuje je do odpowiednich interfejsów warstwy 2.JunosOS Release 18.1R1 dla przełączników QFX5210

Równoważenie Obciążenia ruch VXLAN

na przełącznikach QFX5100, QFX5110, QFX5200, QFX5210 i EX4600, trasy warstwy 3 tworzące tunele VXLAN używają domyślnie równoważenia obciążenia na pakiet,co oznacza, że równoważenie obciążenia jest zaimplementowane, jeśli istnieją ścieżki ECMP do zdalnego VTEP. Różni się to od normalnego trybu routingbehavior, w którym domyślnie nie jest używane równoważenie obciążenia dla poszczególnych pakietów.(Normalny routing używa domyślnie równoważenia obciążenia na prefiks.)

pole port źródłowy w nagłówku UDP służy do włączenia równoważenia ECMPload ruchu VXLAN w sieci warstwy 3. To pole jest ustawione na hash wewnętrznych pól pakietów, co skutkuje zmienną, którą ECMP może wykorzystać do rozróżnienia tuneli (przepływów). (Żadne inne pola, których ECMP zwykle używa w oparciu o przepływ, nie są odpowiednie do użycia z VXLAN. Wszystkie tunele pomiędzy tymi samymi dwoma Vtep mają ten sam źródłowy i docelowy adres IP, a UDP destinationport jest ustawiony na port 4789 z definicji. W związku z tym żadne z tych pól nie zapewnia wystarczającego sposobu, w jaki ECMP może różnicować przepływy.)

identyfikatory VLAN dla sieci VXLAN

podczas konfigurowania identyfikatora VLAN dla sieci VXLAN na dowolnym urządzeniu Juniper Networks, które obsługuje sieci VXLAN, z wyjątkiem przełączników QFX10000, zdecydowanie zalecamy używanie identyfikatora VLAN 3 lub wyższego. Jeśli używasz identyfikatora VLAN 1 lub 2, replikowane Pakiety broadcast, multicast i unknown unicast (BUM)dla tych VXLAN mogą być nieoznaczone, co z kolei może spowodować upuszczenie pakietów przez urządzenie, które je odbiera.

włączenie QFX5120 przełącza się na ruch tunelowy na interfejsach oznaczonych tagami Core-facingLayer 3 i IRB

Uwaga

gdy przełącznik QFX5120 próbuje tunelować ruch na interfejsach oznaczonych tagami core-facingLayer 3 lub IRB, przełącznik upuszcza Pakiety. Aby uniknąć tego problemu, można skonfigurować prostą zaporę opartą na filtrze dwuwarstwowym na interfejsie warstwy 3 lub IRB.

Uwaga

przełączniki QFX5120 obsługują maksymalnie 256 dwukierunkowych zapór ogniowych opartych na filtrach.

na przykład:

Ustaw interfejsy et-0/0/3 rodzina jednostek 0 inetfilter input vxlan100
ustaw filtr iNet rodziny zapory vxlan100 term1 z adresu docelowego 192.168.0.1/24 następnie zaakceptuj
ustaw filtr iNet rodziny zapory vxlan100 term2 następnie routing-Route1

term 1 dopasowuje i akceptuje ruch przeznaczony dla przełącznika qfx5210, który jest identyfikowany przez źródłowy adres IP vtep(192.168.0.1/24) przypisany do interfejsu pętli zwrotnej przełącznika. Forterm 1, zauważ, że określając akcję, możesz alternatywnie policzyć ruch zamiast go akceptować.

Term 2 dopasowuje i przekazuje cały inny ruch danych do routinginstance (route 1), który jest skonfigurowany interfejs et-0/0/3.

w tym przykładzie zwróć uwagę, że interfejs et-0/0/3 odnosi się do routingu instancji route1. W rezultacie, należy dołączyć zestaw firewall family iNet filter vxlan100 term 2 następnie polecenie routing-instanceroute1. Bez tego polecenia filtr zapory sieciowej nie będzie działał poprawnie.

używając ping i traceroute z VXLAN

na przełącznikach QFX5100 i QFX5110, możesz użyć poleceń ping i traceroute do rozwiązywania problemów z przepływem ruchu przez tunel VXLAN, włączając parametr Nakładki i różne opcje. Używasz tych opcji, aby zmusić Pakiety ping lub traceroute do podążania tą samą ścieżką co pakiety danych przez tunel VXLAN. Innymi słowy, sprawiasz, że pakiety podkładowe (ping i traceroute) przyjmują tę samą trasę jako pakiety nakładkowe (ruch danych). Zobacz nakładki ping i traceroute, aby uzyskać więcej informacji.

Obsługiwane standardy VXLAN

RFC i projekty internetowe definiujące standardy VXLAN:

  • RFC 7348, Virtual eXtensible Local Area Network (VXLAN): Framework do nakładania zwirtualizowanych sieci warstwy 2 sieci warstwy 3

  • Internet draft draft-ietf-nvo3-vxlan-gpe, rozszerzenie GenericProtocol dla VXLAN

tabela historii Wydania
Release
opis

począwszy od Junos OS Release 14. 1×53-D30 dla przełączników qfx5100, Junos OS Release 15.1X53-D210 dla przełączników QFX5110 i Qfx5200, Junos OS Release 18.1R1 dla przełączników QFX5210 i JunosOS Release 18. 2R1 dla przełączników EX4600, jeśli wiesz, że do innych vtep w VXLAN podłączone są odbiorniki multiemisji, które chcą pracować dla określonej grupy multiemisji, możesz zmniejszyć obciążenie procesowe interfejsu loopback

począwszy od JunosOS Release 14. 1×53-D25 na przełącznikach QFX5100, Junos OS Release 15.1×53-D210 na przełącznikach QFX5110 i QFX5200, Junos OS Release 18.1R1 na przełącznikach Qfx5210 i Junos OS Release 18.2R1 na przełącznikach EX4600 można zmienić konfigurację portu UDP używanego jako port docelowy dla ruchu VXLAN.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.