一����、VXLAN基本概念
站在用戶的角度思考問題��,與客戶深入溝通����,找到撫州網(wǎng)站設(shè)計與撫州網(wǎng)站推廣的解決方案���,憑借多年的經(jīng)驗���,讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合,創(chuàng)造個性化�、用戶體驗好的作品,建站類型包括:成都做網(wǎng)站、成都網(wǎng)站制作�、企業(yè)官網(wǎng)、英文網(wǎng)站��、手機端網(wǎng)站�����、網(wǎng)站推廣�、主機域名、虛擬空間���、企業(yè)郵箱����。業(yè)務(wù)覆蓋撫州地區(qū)�����。
VXLAN是NVO3(Network Virtualization over Layer 3)中的一種網(wǎng)絡(luò)虛擬化技術(shù)���,通過將虛擬機發(fā)出的數(shù)據(jù)包封裝在UDP中�����,并使用物理網(wǎng)絡(luò)的IP��、MAC作為outer-header進行封裝�����,然后在IP網(wǎng)絡(luò)上傳輸���,到達目的地后由隧道終結(jié)點解封裝并將數(shù)據(jù)發(fā)送給目標虛擬機。
VXLAN結(jié)構(gòu)示意圖:
VXLAN基本概念:
Underlay網(wǎng)絡(luò)和Overlay網(wǎng)絡(luò) | VXLAN技術(shù)將已有的物理網(wǎng)絡(luò)作為Underlay網(wǎng)絡(luò)��,在其上構(gòu)建出虛擬的二層或三層網(wǎng)絡(luò)���,即Overlay網(wǎng)絡(luò)�。Overlay網(wǎng)絡(luò)通過封裝技術(shù)�����、利用Underlay網(wǎng)絡(luò)提供的三層轉(zhuǎn)發(fā)路徑����,實現(xiàn)租戶報文在不同站點間傳遞。對于租戶來說��,Underlay網(wǎng)絡(luò)是透明的,只能感知到Overlay網(wǎng)絡(luò)���。 |
NVE(Network Virtualization Edge) | 網(wǎng)絡(luò)虛擬邊緣節(jié)點NVE����,實現(xiàn)網(wǎng)絡(luò)虛擬化功能的網(wǎng)絡(luò)實體�。報文經(jīng)過NVE封裝轉(zhuǎn)換后,NVE間就可基于三層基礎(chǔ)網(wǎng)絡(luò)建立二層虛擬化網(wǎng)絡(luò)��。 說明: 設(shè)備和服務(wù)器上的虛擬交換機VSwitch都可以作為NVE��。 按照NVE部署位置的不同�,可以分為以下三種模式: 硬件模式:所有的NVE都部署在支持NVE的設(shè)備上,所有的VXLAN報文封裝與解封裝都在設(shè)備上進行����。 軟件模式:所有的NVE都部署在vSwitch上,所有的VXLAN報文封裝與解封裝都在vSwitch上進行�。 混合模式:部分NVE部署在vSwitch上,部分NVE部署在支持NVE的設(shè)備上��,在vSwitch和設(shè)備上都有可能會進行VXLAN報文封裝與解封裝���。
|
VTEP(VXLAN Tunnel Endpoints) | VTEP是VXLAN隧道端點���,封裝在NVE中���,用于VXLAN報文的封裝和解封裝。 VTEP與物理網(wǎng)絡(luò)相連����,分配有物理網(wǎng)絡(luò)的IP地址����,該地址與虛擬網(wǎng)絡(luò)無關(guān)。 VXLAN報文中源IP地址為本節(jié)點的VTEP地址�����,VXLAN報文中目的IP地址為對端節(jié)點的VTEP地址��,一對VTEP地址就對應(yīng)著一個VXLAN隧道��。 |
VNI(VXLAN Network Identifier) | VXLAN網(wǎng)絡(luò)標識VNI類似VLAN ID���,用于區(qū)分VXLAN段���,不同VXLAN段的虛擬機不能直接二層相互通信����。 一個VNI表示一個租戶�,即使多個終端用戶屬于同一個VNI,也表示一個租戶���。VNI由24比特組成��,支持多達16M的租戶���。 在分布式網(wǎng)關(guān)部署場景下,VNI分為二層VNI和三層VNI��。 |
BD(Bridge Domain) | BD是VXLAN網(wǎng)絡(luò)中轉(zhuǎn)發(fā)數(shù)據(jù)報文的二層廣播域��。 在VXLAN網(wǎng)絡(luò)中,將VNI以1:1方式映射到廣播域BD�,BD成為VXLAN網(wǎng)絡(luò)轉(zhuǎn)發(fā)數(shù)據(jù)報文的實體。 |
VBDIF接口 | 基于BD創(chuàng)建的三層邏輯接口�。通過VBDIF接口配置IP地址可實現(xiàn)不同網(wǎng)段的VXLAN間,及VXLAN和非VXLAN的通信���,也可實現(xiàn)二層網(wǎng)絡(luò)接入三層網(wǎng)絡(luò)���。 |
VAP(Virtual Access Point) | 虛擬接入點VAP���,即VXLAN業(yè)務(wù)接入點����,可以是二層子接口或VLAN:當(dāng)接入節(jié)點是二層子接口時�����,通過在二層子接口上配置流封裝類型實現(xiàn)不同的接口接入不同的數(shù)據(jù)報文�,將二層子接口關(guān)聯(lián)廣播域BD后,可實現(xiàn)數(shù)據(jù)報文通過BD轉(zhuǎn)發(fā)�。 當(dāng)業(yè)務(wù)接入點是VLAN時,需要將VLAN綁定到廣播域BD��,也可以實現(xiàn)數(shù)據(jù)報文通過BD轉(zhuǎn)發(fā)。
|
| 網(wǎng)關(guān)(Gateway) | 和VLAN類似���,不同VNI之間的VXLAN��,及VXLAN和非VXLAN之間不能直接相互通信����。為了使VXLAN之間���,以及VXLAN和非VXLAN之間能夠進行通信���,VXLAN引入了VXLAN網(wǎng)關(guān)。 VXLAN網(wǎng)關(guān)分為: |
報文封裝類型
當(dāng)業(yè)務(wù)接入點是二層子接口時�,通過在二層子接口上配置不同的流封裝類型以實現(xiàn)不同的接口接入不同的數(shù)據(jù)報文�����,將二層子接口關(guān)聯(lián)廣播域BD(Bridge-Domain)后,可實現(xiàn)數(shù)據(jù)報文通過BD轉(zhuǎn)發(fā)
報文流封裝類型流封裝類型 | 說明 |
|---|
dot1q | 對于帶有一層VLAN Tag的報文����,該類型接口只接收與指定VLAN Tag匹配的報文;對于帶有兩層VLAN Tag的報文�,該類型接口只接收外層VLAN Tag與指定VLAN Tag匹配的報文。 Dot1q二層子接口的VLAN ID值可以為一個范圍段���,該情況下��,接口會對報文進行透傳,不會剝離VLAN��。 配置流封裝類型為dot1q時���,存在如下限制: 二層子接口封裝的vid�����,不能與對應(yīng)二層主接口允許通過的VLAN相同�����,也不能與MUX VLAN中的VLAN相同���。 二層子接口和三層子接口封裝的VLAN ID不能相同�����。 同一主接口下的Dot1q的二層子接口VLAN ID不能重疊�。
|
untag | 該類型接口只接收不帶VLAN Tag的報文���。 配置流封裝類型為untag時�,存在如下限制: 請確保該二層子接口對應(yīng)的物理接口上沒有任何配置,且對應(yīng)的物理接口已退出默認VLAN�。 僅支持為二層物理接口(包括Eth-Trunk接口)創(chuàng)建untag類型二層子接口。 一個主接口下僅允許創(chuàng)建一個untag類型的二層子接口����。
|
qinq | 該類型接口只接收帶有指定兩層VLAN Tag的報文。 該類型接口在對原始報文進行VXLAN封裝時��,如果配置的二層子接口的VLAN Tag操作為剝除兩層VLAN Tag操作���,則將報文的所有VLAN Tag全部剝離����,如果不配置二層子接口的VLAN Tag操作為剝除兩層VLAN Tag操作����,則將報文的VLAN Tag全部保留�����; 在解封裝VXLAN報文時�,如果配置的二層子接口的VLAN Tag操作為剝除兩層VLAN Tag操作,則添加指定的兩層VLAN Tag后再轉(zhuǎn)發(fā),如果不配置二層子接口的VLAN Tag操作為剝除兩層VLAN Tag操作�,則保持報文的VLAN Tag不變直接轉(zhuǎn)發(fā)。
當(dāng)有流封裝類型為Default類型�、Dot1q透傳(配置了rewrite no-action命令)類型或QinQ透傳(沒有配置rewrite pop double命令)類型的二層子接口綁定BD后,該BD不支持配置IGMP Snooping��、不支持配置DHCP Snooping��、不支持創(chuàng)建VBDIF�,不支持配置ARP廣播報文抑制��。 說明: 綁定同一個BD的QinQ接口的流動作類型要一致�����。 如果在QinQ二層子接口上配置了VLAN段�����,不支持同時配置rewrite pop double命令�����。 QinQ二層子接口上封裝的外層VLAN不能和對應(yīng)二層主接口配置的缺省VLAN以及允許通過的VLAN相同����。 |
default | 允許接口接收所有報文�,不區(qū)分報文中是否帶VLAN Tag�。 不論是對原始報文進行VXLAN封裝,還是解封裝VXLAN報文���,該類型接口都不會對原始報文進行任何VLAN Tag處理��,包括添加�����、替換或剝離�。 配置流封裝類型為default時�,存在如下限制: 必須確保對應(yīng)的主接口沒有加入VLAN。 僅支持為二層物理接口(包括Eth-Trunk接口)創(chuàng)建default類型二層子接口���。 主接口下創(chuàng)建了default類型二層子接口����,不允許再創(chuàng)建其他類型二層子接口�����。
|
vxlan報文格式
vxlan是MAC in UDP的網(wǎng)絡(luò)虛擬化技術(shù)�����,所以其報文封裝是在原始以太網(wǎng)報文之前添加了一個UDP封裝及VXLAN頭封裝
報文格式說明:
vxlan網(wǎng)絡(luò)模型
VTEP(VXLAN Tunnel Endpoints����,VXLAN隧道端點)
VXLAN網(wǎng)絡(luò)的邊緣設(shè)備,是VXLAN隧道的起點和終點�����,進行VXLAN報文的封裝����、解封裝等處理。VTEP既可以部署在網(wǎng)絡(luò)設(shè)備上(網(wǎng)絡(luò)接入交換機)�����,也可以部署在vSwitch上(服務(wù)器上的虛擬交換機)�。
VNI(VXLAN Network Identifier,VXLAN 網(wǎng)絡(luò)標識符)
VNI是一種類似于VLAN ID的網(wǎng)絡(luò)標識���,用來標識VXLAN二層網(wǎng)絡(luò)�。一個VNI代表一個VXLAN段,不同VXLAN段的虛擬機不能直接二層相互通信�����。
VXLAN隧道
兩個VTEP之間建立的邏輯隧道��,用于傳輸VXLAN報文���。業(yè)務(wù)報文在進入VXLAN隧道式進行VXLAN���、UDP、IP頭封裝���,然后通過三層轉(zhuǎn)發(fā)透明地將報文轉(zhuǎn)發(fā)給遠端VTEP�,遠端VTEP對報文進行解封裝處理�。
VXLAN報文轉(zhuǎn)發(fā)過程
同網(wǎng)段的VM間相通簡單介紹VXLAN網(wǎng)絡(luò)中的報文轉(zhuǎn)發(fā)過程。
VM1發(fā)送目的地址為VM2的報文��。
VTEP1收到該報文后進行VXLAN封裝���,封裝的外層目的IP為VTEP2���。封裝后的報文����,根據(jù)外層MAC和IP信息�,在IP網(wǎng)絡(luò)中進行傳輸�,直至到達對端VTEP2。
VTEP2收到報文后��,對報文進行解封裝��,得到VM1發(fā)送的原始報文���,然后將其轉(zhuǎn)發(fā)至VM2�����。
網(wǎng)絡(luò)架構(gòu)
在數(shù)據(jù)中心網(wǎng)絡(luò)中��,區(qū)分于傳統(tǒng)的接入�、匯聚��、核心架構(gòu)�����,只有所謂的spine(骨干)和leaf(葉子)架構(gòu)
二、VXLAN基礎(chǔ)實驗
2.1配置VXLAN二層互通-無隧道方式
只有spine-1部署VXLAN,Leaf-1A和Leaf-1B兩臺交換機模擬PC��,使得VXLAN像VLAN的工作一樣實現(xiàn)二層互通
實驗拓撲:
1���、配置Leaf-1和Leaf-2的IP地址
system-view immediately #進入立即生效模式
[HUAWEI]sysname Leaf-1A
[Leaf-1]interface GE 1/0/5
[Leaf-1-GE1/0/5]
[Leaf-1-GE1/0/5]undo portswitch #配置接口為三層接口
[Leaf-1-GE1/0/5]ip address 192.168.10.1 24 #配置IP地址
leaf-1A
[HUAWEI]sysname Leaf-1B
[Leaf-1]interface GE 1/0/6
[Leaf-1-GE1/0/6]
[Leaf-1-GE1/0/6]undo portswitch #配置接口為三層接口
[Leaf-1-GE1/0/6]ip address 192.168.10.2 24
Leaf-1B
2、配置spine-1的vxlan基本配置
[HUAWEI]sysname Spine-1
[Spine-1]bridge-domain 10 #配置橋域�����,二層廣播域
[Spine-1-bd10]vxlan vni 5000 #配置vni 5000,映射到bd 10
Info: Please disable dynamic ARP learning when the controller is used to deliver
ARP entries.
[Spine-1-bd10]q
3�、配置Spine-1的業(yè)務(wù)接入點
[Spine-1]interface GE 1/0/5.1 mode l2 #創(chuàng)建二層子接口,即GE1/05.1
[Spine-1-GE1/0/5.1]encapsulation do
[Spine-1-GE1/0/5.1]encapsulation untag #封裝方式為untag
Warning: Exercise caution when configuring an untagged default sub-interface and
ensure that no configurations exist on the main interface before you configure
an untagged default sub-interface. Otherwise, it will produce unpredictable resu
lts.
[Spine-1-GE1/0/5.1]bridge-domain 10 #將二層子接口綁定到bd10二層廣播域
[Spine-1-GE1/0/5.1]q
[Spine-1]interface GE 1/0/6.1 mode l2
[Spine-1-GE1/0/6.1]encapsulation untag
Warning: Exercise caution when configuring an untagged default sub-interface and
ensure that no configurations exist on the main interface before you configure
an untagged default sub-interface. Otherwise, it will produce unpredictable resu
lts.
[Spine-1-GE1/0/6.1]bridge-domain 10
[Spine-1-GE1/0/6.1]q
[Spine-1]
4����、驗證配置結(jié)果
Leaf1A ping Leaf-1B
證明���,leaf-1A和leaf-1B處于同一個bd10二層域,且vni相同
在leaf-1A的ge1/0/5抓包
可以看到是正常的ipv4 icmp報文
在spine-1上抓包�����,GE1/0/5
也是正常的icmp報文
在spine-1上查看mac地址表
可以看到在二層廣播域br10中,二層子接口動態(tài)的學(xué)習(xí)到了leaf-1A和leaf-1B的mac地址
分享文章:vxlan-vxlan二層互通無隧道方式
網(wǎng)站地址:
http://weahome.cn/article/pehoig.html
重慶分公司
重慶分公司
