一、VXLAN基本概念
VXLAN是NVO3(Network Virtualization over Layer 3)中的一种网络虚拟化技术,通过将虚拟机发出的数据包封装在UDP中,并使用物理网络的IP、MAC作为outer-header进行封装,然后在IP网络上传输,到达目的地后由隧道终结点解封装并将数据发送给目标虚拟机。
VXLAN结构示意图:
VXLAN基本概念:
Underlay网络和Overlay网络 | VXLAN技术将已有的物理网络作为Underlay网络,在其上构建出虚拟的二层或三层网络,即Overlay网络。Overlay网络通过封装技术、利用Underlay网络提供的三层转发路径,实现租户报文在不同站点间传递。对于租户来说,Underlay网络是透明的,只能感知到Overlay网络。 |
NVE(Network Virtualization Edge) | 网络虚拟边缘节点NVE,实现网络虚拟化功能的网络实体。报文经过NVE封装转换后,NVE间就可基于三层基础网络建立二层虚拟化网络。 说明: 设备和服务器上的虚拟交换机VSwitch都可以作为NVE。 按照NVE部署位置的不同,可以分为以下三种模式:
|
VTEP(VXLAN Tunnel Endpoints) | VTEP是VXLAN隧道端点,封装在NVE中,用于VXLAN报文的封装和解封装。 VTEP与物理网络相连,分配有物理网络的IP地址,该地址与虚拟网络无关。 VXLAN报文中源IP地址为本节点的VTEP地址,VXLAN报文中目的IP地址为对端节点的VTEP地址,一对VTEP地址就对应着一个VXLAN隧道。 |
VNI(VXLAN Network Identifier) | VXLAN网络标识VNI类似VLAN ID,用于区分VXLAN段,不同VXLAN段的虚拟机不能直接二层相互通信。 一个VNI表示一个租户,即使多个终端用户属于同一个VNI,也表示一个租户。VNI由24比特组成,支持多达16M的租户。 在分布式网关部署场景下,VNI分为二层VNI和三层VNI。
|
BD(Bridge Domain) | BD是VXLAN网络中转发数据报文的二层广播域。 在VXLAN网络中,将VNI以1:1方式映射到广播域BD,BD成为VXLAN网络转发数据报文的实体。 |
VBDIF接口 | 基于BD创建的三层逻辑接口。通过VBDIF接口配置IP地址可实现不同网段的VXLAN间,及VXLAN和非VXLAN的通信,也可实现二层网络接入三层网络。 |
VAP(Virtual Access Point) | 虚拟接入点VAP,即VXLAN业务接入点,可以是二层子接口或VLAN:
|
| 网关(Gateway) | 和VLAN类似,不同VNI之间的VXLAN,及VXLAN和非VXLAN之间不能直接相互通信。为了使VXLAN之间,以及VXLAN和非VXLAN之间能够进行通信,VXLAN引入了VXLAN网关。 VXLAN网关分为:
|
报文封装类型
当业务接入点是二层子接口时,通过在二层子接口上配置不同的流封装类型以实现不同的接口接入不同的数据报文,将二层子接口关联广播域BD(Bridge-Domain)后,可实现数据报文通过BD转发
流封装类型 | 说明 |
|---|---|
dot1q | 对于带有一层VLAN Tag的报文,该类型接口只接收与指定VLAN Tag匹配的报文;对于带有两层VLAN Tag的报文,该类型接口只接收外层VLAN Tag与指定VLAN Tag匹配的报文。
Dot1q二层子接口的VLAN ID值可以为一个范围段,该情况下,接口会对报文进行透传,不会剥离VLAN。 配置流封装类型为dot1q时,存在如下限制:
|
untag | 该类型接口只接收不带VLAN Tag的报文。
配置流封装类型为untag时,存在如下限制:
|
qinq | 该类型接口只接收带有指定两层VLAN Tag的报文。
当有流封装类型为Default类型、Dot1q透传(配置了rewrite no-action命令)类型或QinQ透传(没有配置rewrite pop double命令)类型的二层子接口绑定BD后,该BD不支持配置IGMP Snooping、不支持配置DHCP Snooping、不支持创建VBDIF,不支持配置ARP广播报文抑制。 说明: 绑定同一个BD的QinQ接口的流动作类型要一致。 如果在QinQ二层子接口上配置了VLAN段,不支持同时配置rewrite pop double命令。 QinQ二层子接口上封装的外层VLAN不能和对应二层主接口配置的缺省VLAN以及允许通过的VLAN相同。 |
default | 允许接口接收所有报文,不区分报文中是否带VLAN Tag。 不论是对原始报文进行VXLAN封装,还是解封装VXLAN报文,该类型接口都不会对原始报文进行任何VLAN Tag处理,包括添加、替换或剥离。 配置流封装类型为default时,存在如下限制:
|
vxlan报文格式
vxlan是MAC in UDP的网络虚拟化技术,所以其报文封装是在原始以太网报文之前添加了一个UDP封装及VXLAN头封装
报文格式说明:
vxlan网络模型
VTEP(VXLAN Tunnel Endpoints,VXLAN隧道端点)
VXLAN网络的边缘设备,是VXLAN隧道的起点和终点,进行VXLAN报文的封装、解封装等处理。VTEP既可以部署在网络设备上(网络接入交换机),也可以部署在vSwitch上(服务器上的虚拟交换机)。
VNI(VXLAN Network Identifier,VXLAN 网络标识符)
VNI是一种类似于VLAN ID的网络标识,用来标识VXLAN二层网络。一个VNI代表一个VXLAN段,不同VXLAN段的虚拟机不能直接二层相互通信。
VXLAN隧道
两个VTEP之间建立的逻辑隧道,用于传输VXLAN报文。业务报文在进入VXLAN隧道式进行VXLAN、UDP、IP头封装,然后通过三层转发透明地将报文转发给远端VTEP,远端VTEP对报文进行解封装处理。
同网段的VM间相通简单介绍VXLAN网络中的报文转发过程。
VM1发送目的地址为VM2的报文。
VTEP1收到该报文后进行VXLAN封装,封装的外层目的IP为VTEP2。封装后的报文,根据外层MAC和IP信息,在IP网络中进行传输,直至到达对端VTEP2。
VTEP2收到报文后,对报文进行解封装,得到VM1发送的原始报文,然后将其转发至VM2。
网络架构
在数据中心网络中,区分于传统的接入、汇聚、核心架构,只有所谓的spine(骨干)和leaf(叶子)架构
二、VXLAN基础实验
2.1配置VXLAN二层互通-无隧道方式
只有spine-1部署VXLAN,Leaf-1A和Leaf-1B两台交换机模拟PC,使得VXLAN像VLAN的工作一样实现二层互通
实验拓扑:
1、配置Leaf-1和Leaf-2的IP地址
<HUAWEI>system-view immediately #进入立即生效模式 [HUAWEI]sysname Leaf-1A [Leaf-1]interface GE 1/0/5 [Leaf-1-GE1/0/5] [Leaf-1-GE1/0/5]undo portswitch #配置接口为三层接口 [Leaf-1-GE1/0/5]ip address 192.168.10.1 24 #配置IP地址
leaf-1A
[HUAWEI]sysname Leaf-1B [Leaf-1]interface GE 1/0/6 [Leaf-1-GE1/0/6] [Leaf-1-GE1/0/6]undo portswitch #配置接口为三层接口 [Leaf-1-GE1/0/6]ip address 192.168.10.2 24
Leaf-1B
2、配置spine-1的vxlan基本配置
[HUAWEI]sysname Spine-1 [Spine-1]bridge-domain 10 #配置桥域,二层广播域 [Spine-1-bd10]vxlan vni 5000 #配置vni 5000,映射到bd 10 Info: Please disable dynamic ARP learning when the controller is used to deliver ARP entries. [Spine-1-bd10]q
3、配置Spine-1的业务接入点
[Spine-1]interface GE 1/0/5.1 mode l2 #创建二层子接口,即GE1/05.1 [Spine-1-GE1/0/5.1]encapsulation do [Spine-1-GE1/0/5.1]encapsulation untag #封装方式为untag Warning: Exercise caution when configuring an untagged default sub-interface and ensure that no configurations exist on the main interface before you configure an untagged default sub-interface. Otherwise, it will produce unpredictable resu lts. [Spine-1-GE1/0/5.1]bridge-domain 10 #将二层子接口绑定到bd10二层广播域 [Spine-1-GE1/0/5.1]q [Spine-1]interface GE 1/0/6.1 mode l2 [Spine-1-GE1/0/6.1]encapsulation untag Warning: Exercise caution when configuring an untagged default sub-interface and ensure that no configurations exist on the main interface before you configure an untagged default sub-interface. Otherwise, it will produce unpredictable resu lts. [Spine-1-GE1/0/6.1]bridge-domain 10 [Spine-1-GE1/0/6.1]q [Spine-1]
4、验证配置结果
Leaf1A ping Leaf-1B
证明,leaf-1A和leaf-1B处于同一个bd10二层域,且vni相同
在leaf-1A的ge1/0/5抓包
可以看到是正常的ipv4 icmp报文
在spine-1上抓包,GE1/0/5
也是正常的icmp报文
在spine-1上查看mac地址表
可以看到在二层广播域br10中,二层子接口动态的学习到了leaf-1A和leaf-1B的mac地址
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
