Förstå VXLANs

Posted on by admin

Virtual Extensible LAN protocol (VXLAN) – tekniktillåter nätverk att stödja fler VLAN. Enligt IEEE 802.1 Qstandard är traditionella VLAN-identifierare 12 bitar långa-dettanamn begränsar nätverk till 4094 VLAN. VXLAN-protokollet övervinner denna begränsning genom att använda en längre logisk nätverksidentifierare som möjliggör fler VLAN och därmed mer logisk nätverksisolering för stora nätverk som moln som vanligtvis innehåller många virtuellamaskiner.

VXLAN fördelar

VXLAN-teknik gör att du kan segmentera dina nätverk (som VLANsdo), men det ger fördelar som VLAN inte kan. Här är de flestaviktiga fördelar med att använda VXLANs:

  • du kan teoretiskt skapa så många som 16 miljoner VXLANsin en administrativ domän (i motsats till 4094 VLAN på en JuniperNetworks-enhet).

    • MX-seriens Routrar och EX9200-switchar stöder så många som 32 000 VXLAN, 32 000 multicast-grupper och 8000 virtuella tunnelendpoints (VTEPs). Detta innebär att vxlans baserade på MX-serien routerger nätverkssegmentering i den skala som krävs av molnbyggareför att stödja ett mycket stort antal hyresgäster.

    • qfx10000-serien växlar stöd 4000 VXLANs och 2000remote VTEPs.

    • QFX5100, QFX5110, QFX5200, QFX5210 och EX4600 växlar stöd4000 VXLANs, 4000 multicast grupper, och 2000 fjärr VTEPs.

    • EX4300 – 48mpswitches stöd 4000 VXLANs.

  • du kan aktivera migrering av virtuella maskiner mellan serverersom finns i separata lager 2-domäner genom att tunnla traffic overLayer 3-nätverk. Med den här funktionen kan du dynamiskt allokera resurser inom eller mellan datacenter utan att begränsas av Layer 2-gränser eller tvingas skapa stora eller geografisktsträckta Layer 2-domäner.

att använda VXLANs för att skapa mindre Layer 2-domäner som är connectedover ett Layer 3-nätverk innebär att du inte behöver använda SpanningTree Protocol (STP) för att konvergera topologin utan kan använda mer robustrouting-protokoll i Layer 3-nätverket istället. I avsaknad avstp blockeras ingen av dina länkar, vilket innebär att du kan få fullvärde från alla portar du köper. Använda routing protocolsto ansluta dina Layer 2 domäner kan du också ladda-balans thetraffic att säkerställa att du får den bästa användningen av din tillgängliga bandbredd.Med tanke på mängden öst-väst-trafik som ofta flyter inom eller mellandatacenter, maximera din nätverksprestanda för den trafiken är mycket viktigt.

videon Varför använda ett Överlagringsnätverk i ett datacenter? presenterar en kort översikt över fördelarna med att använda VXLANs.

hur verkar VXLAN?

VXLAN beskrivs ofta som en överlagringsteknik eftersom den låter dig sträcka Layer 2-anslutningar över ett mellanliggande Layer3-nätverk genom att inkapsla (tunneling) Ethernet-ramar i en VXLANpacket som innehåller IP-adresser. Enheter som stöder VXLANs ärkallas virtual tunnel endpoints (VTEPs) – dekan vara slutvärdar eller nätverksswitchar eller routrar. VTEPs encapsulateVXLAN trafik och de-inkapsla att trafiken när den lämnar VXLANtunnel. För att inkapsla en Ethernet-ram lägger VTEPs till ett antal fält, inklusive följande fält:

  • yttre media access control (MAC) destinationsadress (MAC-adress för tunnelens slutpunkt VTEP)

  • yttre MAC-källadress (MAC-adress för tunneln sourceVTEP)

  • yttre IP-destinationsadress (IP-adress för tunnelendpoint VTEP)

  • yttre IP-källadress (IP-adress för tunneln sourceVTEP)

  • yttre UDP-rubrik

  • en VXLAN-rubrik som innehåller ett 24—bitars fält—kallatvxlan network identifier (VNI) – detanvänds för att unikt identifiera VXLAN. VNI liknar en VLANID, men med 24 bitar kan du skapa många fler VXLANs änvlans.

Obs

eftersom VXLAN lägger till 50 till 54 byte av ytterligare headerinformation till den ursprungliga Ethernet-ramen, kanske du vill öka MTU för det underliggande nätverket. Konfigurera i så fall Mtuav de fysiska gränssnitten som deltar i VXLAN-nätverket,inte MTU för det logiska vtep-källgränssnittet, vilket ignoreras.

Figur 1 visar VXLAN-paketformatet.

Figur 1: VXLAN paketformat

VXLAN implementeringsmetoder

Junos OS stöder implementering av VXLAN i följande miljöer:

  • Manuell VXLAN—i denna miljö, en Juniper Networksdevice fungerar som en transitanordning för nedströms enheter som fungerar som VTEPs,eller en gateway som ger anslutning för nedströms servrar thathost virtuella maskiner (VM), som kommunicerar över ett lager 3 network.In denna miljö, software-defined networking (SDN) controllersär inte utplacerade.

    Obs

    qfx10000 växlar stöder inte manuella VXLANs.

  • OVSDB-VXLAN-i denna miljö, SDN controllersanvänd Open vSwitch Database (OVSDB) management protocol för att tillhandahållaett sätt genom vilket styrenheter (t.ex. en VMware NSX eller JuniperNetworks Contrail controller) och Juniper Networks-enheter som supportOVSDB kan kommunicera.

  • EVPN-VXLAN-i denna miljö är Ethernet VPN (EVPN) en kontrollplanteknik som gör det möjligt för värdar (fysiska serversand VM) att placeras var som helst i ett nätverk och förbli anslutna till samma logiska Layer 2 overlay-nätverk, och VXLAN skapar dataplanen för Layer 2 overlay-nätverket.

med QFX5100, QFX5110, QFX5200, QFX5210, EX4300-48MP, andEX4600 växlar med Vxlans

kan du konfigurera omkopplarna för att utföra alla följanderoller:

  • (alla växlar utom EX4300-48MP) i en miljö utanen SDN-kontroller, fungera som en transitlager 3-omkopplare för downstreamhosts som fungerar som VTEPs. I den här konfigurationen behöver du inte konfigureranågon VXLAN-funktionalitet på strömbrytaren. Du behöver konfigurera IGMPand PIM så att omkopplaren kan bilda multicast-träd för vxlanmulticast-grupperna. (Se Manuell VXLANs kräver PIM för mer information.)

  • (alla växlar utom EX4300-48MP) i en miljö med eller utan SDN-kontroller, fungera som en Layer 2-gateway mellan virtualiseradeoch icke-virtuella nätverk i samma datacenter eller mellan datacenter. Du kan till exempel använda omkopplaren för att ansluta ett nätverksom använder VXLAN till en som använder VLAN.

  • (EX4300 – 48mp-switchar) fungerar som en Layer 2-gateway mellanvirtualiserade och icke-virtualiserade nätverk i ett campusnätverk. Du kan till exempel använda omkopplaren för att ansluta ett nätverk som använder VXLAN till ensom använder VLAN.

  • (alla växlar utom EX4300-48MP) fungerar som ett lager 2 gatewaymellan virtualiserade nätverk i samma eller olika data centersoch tillåta virtuella maskiner att flytta (VMotion) mellan dessa nätverkoch datacenter. Om du till exempel vill tillåta VMotion mellanenheter i två olika nätverk kan du skapa samma VLAN ibåda nätverk och sätta båda enheterna på den VLAN. Omkopplarna som är anslutna till dessa enheter, som fungerar som VTEPs,kan kartlägga den VLAN till samma VXLAN, och VXLAN-trafiken kan sedan dirigeras mellan de två nätverken.

  • (QFX5110 växlar med EVPN-VXLAN) fungera som en Layer 3 gatewayatt dirigera trafik mellan olika VXLAN i samma datacenter.

  • (QFX5110 växlar med EVPN-VXLAN) fungera som ett lager 3 gatewayto rutt trafik mellan olika VXLAN i olika data centersover en WAN eller Internet med hjälp av standard routingprotokoll eller virtualprivate LAN service (VPLS) tunnlar.

Obs

om du vill ha en qfx5110 switch för att vara en Layer 3 VXLAN gatewayi en EVPN-VXLAN miljö, måste du konfigurera integrerade routingand bridging (IRB) gränssnitt för att ansluta VXLAN, precis som du görom du vill dirigera trafik mellan VLAN.

eftersom de extra rubrikerna lägger till 50 till 54 byte, kan du behöva öka MTU på en VTEP för att rymma större paket.Om omkopplaren till exempel använder standard MTU-värdet på 1514bytes och du vill vidarebefordra 1500-byte-paket över VXLAN, måste du öka MTU för att möjliggöra den ökade paketstorleken som orsakasav de ytterligare rubrikerna.

ändra UDP-porten på QFX5100, QFX5110, QFX5200, QFX5210 och EX4600 växlar

börjar med JunosOS Release 14.1×53-D25 på QFX5100 växlar,Junos OS Release 15.1X53-D210on QFX5110 och qfx5200 växlar, Junos OS Release 18.1R1 på QFX5210SWITCHES, och Junos OS Release 18.2R1 på ex4600-omkopplare kan dukonfigurera UDP-porten som används som destinationsport för VXLAN-trafik. För att konfigurera VXLAN-destinationsporten för att vara något annat änstandard UDP-port på 4789, ange följande uttalande:

Ställ in protokoll l2-learning destination-udp-port port-number

porten du konfigurerar kommer att användas för alla vxlans konfigureradpå omkopplaren.

Obs

om du gör denna ändring på en switch i en VXLAN, youmust göra samma förändring på alla enheter som avslutar VXLANsconfigured på din switch. Om du inte gör det kommer trafiken att störasför alla vxlans som är konfigurerade på din switch. När du byterudp-porten är de tidigare inlärda fjärr-Vtep-och fjärr-Mac-Datorernaförlorad och VXLAN-trafik störs tills omkopplaren lär om theremote Vtep-och fjärr-Mac-datorer.

styra Transit Multicast-trafik på QFX5100, QFX5110,QFX5200, QFX5210 och EX4600 växlar

när omkopplaren som fungerar som en VTEP tar emot en sändning, unknownunicast eller multicast-paket utför den följande åtgärder påpaketet:

  1. det de-inkapslar paketet och levererar den till locallyattached värdar.
  2. det lägger sedan till VXLAN-inkapslingen igen och skickar thepacket till de andra Vtep: erna i VXLAN.

dessa åtgärder utförs av loopback-gränssnittet som används som VXLAN-tunneladressen och kan därför negativt påverka bandbredden som är tillgänglig för VTEP. Från och med Junos OS Release 14.1×53-D30 forQFX5100 växlar, Junos OS Release 15.1×53-D210 för QFX5110 och QFX5200switches, Junos OS Release 18.1R1 för QFX5210 växlar, och JunosOS Release 18.2R1 för ex4600-omkopplare, om du vet att det inte finnsinga multicast-mottagare kopplade till andra VTEPs i VXLAN som vill hatrafik för en specifik multicast-grupp, kan du minska bearbetningenbelastning på loopback-gränssnittet genom att angeföljande uttalande:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group multicast-group

i det här fallet kommer ingen trafik att vidarebefordras för den angivna gruppen, men all annan multicast-trafik kommer att vidarebefordras. Om du inte vill vidarebefordra någon multicast-trafik till andra Vtep i VXLAN,ange följande uttalande:

set protocols l2-learning disable-vxlan-multicast-transitvxlan-multicast-group all

använda en MX Series Router, EX9200 Switch eller QFX10000 Switchas en VTEP

du kan konfigurera en MX Series router, EX9200 switch eller QFX10000switch för att fungera som en VTEP och utföra alla följande roller:

  • fungera som ett lager 2 gateway mellan virtualiserade och nonvirtualizednetworks i samma datacenter eller mellan datacenter. Till exempel kan du använda en MX-serie router för att ansluta ett nätverk som använder VXLANsto en som använder VLAN.

  • fungera som en Layer 2 gateway mellan virtualiserade nätverki samma eller olika datacenter och tillåta virtuella maskiner tomove (VMotion) mellan dessa nätverk och datacenter.

  • fungera som ett lager 3 gateway för att dirigera trafik mellan olikavxlans i samma datacenter.

  • fungera som ett lager 3 gateway för att dirigera trafik mellan olikavxlans i olika datacenter över en WAN eller Internet usingstandard routing protocols eller virtual private LAN service (VPLS) tunnlar.

Obs

om du vill ha en av de enheter som beskrivs i det här avsnittetför att vara en VXLAN Layer 3-gateway måste du konfigurera integrerade routingand bridging (IRB) – gränssnitt för att ansluta VXLAN, precis som du görom du vill dirigera trafik mellan VLAN.

manuella VXLANs kräver PIM

i en miljö med en styrenhet (t.ex. en VMware NSX ellerjuniper Networks Contrail controller) kan du tillhandahålla VXLANs ona Juniper Networks-enhet. En styrenhet ger också en kontrollplan som VTEPs använder för att annonsera sin nåbarhet och lära sig om andra VTEPs tillgänglighet. Du kan också manuellt skapa VXLANs påjuniper Networks-enheter istället för att använda en kontroller. Om du använderdetta tillvägagångssätt måste du också konfigurera Protocol Independent Multicast (PIM) på VTEPs så att de kan skapa VXLAN-tunnlar mellan sig.

du måste också konfigurera varje VTEP i en viss VXLAN för att vara medlem i samma multicast-grupp. (Om möjligt bör du tilldela en annanmulticast – gruppadress till varje VXLAN, även om detta inte är nödvändigt.Flera VXLAN kan dela samma multicast-grupp.) Vtep: erna kansedan vidarebefordra Arp-förfrågningar som de får från sina anslutna värdartill multicast-gruppen. De andra Vtep: erna i gruppen de-encapsulatevxlan-informationen, och (förutsatt att de är medlemmar i sameVXLAN) vidarebefordrar de Arp-begäran till sina anslutna värdar. Närmålvärden tar emot Arp-begäran svarar den med sin Macadressoch dess VTEP vidarebefordrar detta ARP-svar tillbaka till källan VTEP.Genom denna process lär VTEPs IP-adresserna för de andravteps i VXLAN och MAC-adresserna för värdarna anslutna tillandra VTEPs.

multicast-grupperna och träden används också för att vidarebefordra sändning,okänd unicast och multicast (BUM) trafik mellan Vtep. Detta förhindrar att bum-trafiken översvämmas i onödan utanför VXLAN.

Obs

Multicast trafik som vidarebefordras via en VXLAN tunnelis skickas endast till fjärr VTEPs i VXLAN. Det vill säga inkapslingvtep kopierar inte och skickar kopior av paketen enligtmulticast—träd-det vidarebefordrar bara de mottagna multicast-förpackningarnatill fjärrkontrollen VTEPs. Fjärr VTEPs de-inkapslar inkapsladmulticast-paket och vidarebefordra dem till lämpliga Layer 2-gränssnitt.JunosOS Släpp 18.1R1 för qfx5210-omkopplare

lastbalansering VXLAN-trafik

på QFX5100, QFX5110, QFX5200, QFX5210 och EX4600-omkopplare använder Layer 3-rutterna som bildar VXLAN-tunnlar som standard, vilket innebär att lastbalansering implementeras om det finns ECMP-vägar till fjärrkontrollen VTEP. Detta skiljer sig från normal ruttningbeteende där lastbalansering per paket inte används som standard.(Normal routing använder per-prefix lastbalansering som standard.)

fältet källport i UDP-huvudet används för att aktivera ECMPload-balansering av VXLAN-trafiken i Layer 3-nätverket. Detta fält är inställt på en hash av de inre paketfälten, vilket resulterar i en variabel som ECMP kan använda för att skilja mellan tunnlar (flöden). (Inget av de andra fält som flödesbaserad ECMP normalt använder är lämpliga för användning med VXLAN. Alla tunnlar mellan samma två Vtep har sammayttre källa och destination IP-adresser, och UDP destinationport är per definition inställd på port 4789. Därför ger inget av dessa fält ett tillräckligt sätt för ECMP att differentiera flöden.)

VLAN-ID för VXLANs

när du konfigurerar ett VLAN-ID för en VXLAN på alla Juniper-Nätverkenhet som stöder VXLANs utom QFX10000-omkopplare, rekommenderar vi starkt att du använder ett VLAN-ID på 3 eller högre. Om du använder ett VLAN-ID av1 eller 2 kan replikerade broadcast -, multicast-och okända unicast-paket (BUM)för dessa VXLANs vara otaggade, vilket i sin tur kan resultera i att paketen tappas av en enhet som tar emot paketen.

aktivera QFX5120 växlar till Tunneltrafik på Core-FacingLayer 3 taggade och IRB-gränssnitt

notera

när en QFX5120-omkopplare försöker tunneltrafik på core-facingLayer 3 taggade gränssnitt eller IRB-gränssnitt, släpper omkopplaren packets. För att undvika det här problemet kan du konfigurera en enkel två-termfilterbaserad brandvägg på Layer 3 tagged eller IRB-gränssnittet.

Obs

QFX5120 switchar stöder högst 256 tvåsidiga filterbaserade eldväggar.

till exempel:

Ställ in gränssnitt et-0/0/3 enhet 0 familj inetfilter ingång vxlan100
Ställ in brandvägg familj inet filter vxlan100 term1 från destinationsadress 192.168.0.1/24 Acceptera sedan
Ställ in brandvägg familj Inet filter vxlan100 term2 sedan routing-instans route1

Term 1 matchar och accepterar trafik som är avsedd förqfx5210 switch, som identifieras av källan vtep IP-adress(192.168.0.1/24) som tilldelats omkopplarens loopback-gränssnitt. Forterm 1, notera att när du anger en åtgärd kan du alternativträkna trafik istället för att acceptera den.

Term 2 matcher och vidarebefordrar all annan datatrafik till en routinginstance (rutt 1), som är konfigurerad gränssnitt et-0/0/3.

i det här exemplet, notera att gränssnittet et-0/0/3 refereras genom routing instans route1. Som ett resultat måste du inkludera set firewall family Inet filter vxlan100 term 2 sedan routing-instanceroute1 kommando. Utan detta kommando kommer brandväggsfiltret attfungerar inte korrekt.

använda ping och traceroute med en VXLAN

på QFX5100-och QFX5110-omkopplare kan du använda ping-och traceroute-kommandona för att felsöka trafikflödet genom en VXLAN-tunnel genom att inkludera överlagringsparametern och olika alternativ. Du använder dessa alternativ för att tvinga ping-eller traceroute-paketen att följa samma väg som datapaket genom VXLAN-tunneln. Med andra ord gör du underlaypackets (ping och traceroute) ta sameroute som överlagringspaket (datatrafik). Se ping overlay och traceroute overlay för mer information.

stödda VXLAN-standarder

RFC och internetutkast som definierar standarder för VXLAN:

  • RFC 7348, Virtual eXtensible Local Area Network (VXLAN): ett ramverk för överlagring av virtualiserade Layer 2-Nätverk overLayer 3-nätverk

  • Internet draft draft-IETF-nvo3-vxlan-gpe, GenericProtocol förlängning för VXLAN

Release historia tabell
Release
beskrivning

från och med Junos OS Release 14. 1×53-D30 forQFX5100 växlar, Junos OS Release 15.1×53-D210 för QFX5110 och QFX5200switches, Junos OS Release 18. 1R1 för QFX5210 switchar och JunosOS Release 18. 2R1 för EX4600 switchar, om du vet att det finnsinga multicast-mottagare kopplade till andra VTEPs i VXLAN som vill hatrafik för en specifik multicast-grupp, kan du minska bearbetningenbelastning på loopback-gränssnittet

från och med JunosOS Release 14.1×53-D25 på QFX5100 växlar, Junos OS Release 15.1×53-D210on QFX5110 och QFX5200 växlar, Junos OS Release 18.1R1 på QFX5210switches, och Junos OS Release 18.2R1 på ex4600-omkopplare kan dukonfigurera UDP-porten som används som destinationsport för VXLAN-trafik.

Lämna ett svar

Din e-postadress kommer inte publiceras.