溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

vxlan-vxlan二層互通無(wú)隧道方式

發(fā)布時(shí)間:2020-07-08 18:24:45 來(lái)源:網(wǎng)絡(luò) 閱讀:2946 作者:羊草 欄目:云計(jì)算

一、VXLAN基本概念

VXLAN是NVO3(Network Virtualization over Layer 3)中的一種網(wǎng)絡(luò)虛擬化技術(shù),通過(guò)將虛擬機(jī)發(fā)出的數(shù)據(jù)包封裝在UDP中,并使用物理網(wǎng)絡(luò)的IP、MAC作為outer-header進(jìn)行封裝,然后在IP網(wǎng)絡(luò)上傳輸,到達(dá)目的地后由隧道終結(jié)點(diǎn)解封裝并將數(shù)據(jù)發(fā)送給目標(biāo)虛擬機(jī)。

VXLAN結(jié)構(gòu)示意圖:

vxlan-vxlan二層互通無(wú)隧道方式

VXLAN基本概念:



Underlay網(wǎng)絡(luò)和Overlay網(wǎng)絡(luò)

VXLAN技術(shù)將已有的物理網(wǎng)絡(luò)作為Underlay網(wǎng)絡(luò),在其上構(gòu)建出虛擬的二層或三層網(wǎng)絡(luò),即Overlay網(wǎng)絡(luò)。Overlay網(wǎng)絡(luò)通過(guò)封裝技術(shù)、利用Underlay網(wǎng)絡(luò)提供的三層轉(zhuǎn)發(fā)路徑,實(shí)現(xiàn)租戶報(bào)文在不同站點(diǎn)間傳遞。對(duì)于租戶來(lái)說(shuō),Underlay網(wǎng)絡(luò)是透明的,只能感知到Overlay網(wǎng)絡(luò)。

NVE(Network Virtualization Edge)

網(wǎng)絡(luò)虛擬邊緣節(jié)點(diǎn)NVE,實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化功能的網(wǎng)絡(luò)實(shí)體。報(bào)文經(jīng)過(guò)NVE封裝轉(zhuǎn)換后,NVE間就可基于三層基礎(chǔ)網(wǎng)絡(luò)建立二層虛擬化網(wǎng)絡(luò)。

說(shuō)明:

設(shè)備和服務(wù)器上的虛擬交換機(jī)VSwitch都可以作為NVE。

按照NVE部署位置的不同,可以分為以下三種模式:

  • 硬件模式:所有的NVE都部署在支持NVE的設(shè)備上,所有的VXLAN報(bào)文封裝與解封裝都在設(shè)備上進(jìn)行。

  • 軟件模式:所有的NVE都部署在vSwitch上,所有的VXLAN報(bào)文封裝與解封裝都在vSwitch上進(jìn)行。

  • 混合模式:部分NVE部署在vSwitch上,部分NVE部署在支持NVE的設(shè)備上,在vSwitch和設(shè)備上都有可能會(huì)進(jìn)行VXLAN報(bào)文封裝與解封裝。

VTEP(VXLAN Tunnel Endpoints)

VTEP是VXLAN隧道端點(diǎn),封裝在NVE中,用于VXLAN報(bào)文的封裝和解封裝。

VTEP與物理網(wǎng)絡(luò)相連,分配有物理網(wǎng)絡(luò)的IP地址,該地址與虛擬網(wǎng)絡(luò)無(wú)關(guān)。

VXLAN報(bào)文中源IP地址為本節(jié)點(diǎn)的VTEP地址,VXLAN報(bào)文中目的IP地址為對(duì)端節(jié)點(diǎn)的VTEP地址,一對(duì)VTEP地址就對(duì)應(yīng)著一個(gè)VXLAN隧道。

VNI(VXLAN Network Identifier)

VXLAN網(wǎng)絡(luò)標(biāo)識(shí)VNI類似VLAN ID,用于區(qū)分VXLAN段,不同VXLAN段的虛擬機(jī)不能直接二層相互通信。

一個(gè)VNI表示一個(gè)租戶,即使多個(gè)終端用戶屬于同一個(gè)VNI,也表示一個(gè)租戶。VNI由24比特組成,支持多達(dá)16M的租戶。

在分布式網(wǎng)關(guān)部署場(chǎng)景下,VNI分為二層VNI和三層VNI。

  • 二層VNI是普通的VNI,以1:1方式映射到廣播域BD,實(shí)現(xiàn)VXLAN報(bào)文同子網(wǎng)的轉(zhuǎn)發(fā)。

  • 三層VNI和×××實(shí)例進(jìn)行關(guān)聯(lián),用于VXLAN報(bào)文跨子網(wǎng)的轉(zhuǎn)發(fā)。

BD(Bridge Domain)

BD是VXLAN網(wǎng)絡(luò)中轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文的二層廣播域。

在VXLAN網(wǎng)絡(luò)中,將VNI以1:1方式映射到廣播域BD,BD成為VXLAN網(wǎng)絡(luò)轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文的實(shí)體。

VBDIF接口

基于BD創(chuàng)建的三層邏輯接口。通過(guò)VBDIF接口配置IP地址可實(shí)現(xiàn)不同網(wǎng)段的VXLAN間,及VXLAN和非VXLAN的通信,也可實(shí)現(xiàn)二層網(wǎng)絡(luò)接入三層網(wǎng)絡(luò)。

VAP(Virtual Access Point)

虛擬接入點(diǎn)VAP,即VXLAN業(yè)務(wù)接入點(diǎn),可以是二層子接口或VLAN:

  • 當(dāng)接入節(jié)點(diǎn)是二層子接口時(shí),通過(guò)在二層子接口上配置流封裝類型實(shí)現(xiàn)不同的接口接入不同的數(shù)據(jù)報(bào)文,將二層子接口關(guān)聯(lián)廣播域BD后,可實(shí)現(xiàn)數(shù)據(jù)報(bào)文通過(guò)BD轉(zhuǎn)發(fā)。

  • 當(dāng)業(yè)務(wù)接入點(diǎn)是VLAN時(shí),需要將VLAN綁定到廣播域BD,也可以實(shí)現(xiàn)數(shù)據(jù)報(bào)文通過(guò)BD轉(zhuǎn)發(fā)。

網(wǎng)關(guān)(Gateway)

和VLAN類似,不同VNI之間的VXLAN,及VXLAN和非VXLAN之間不能直接相互通信。為了使VXLAN之間,以及VXLAN和非VXLAN之間能夠進(jìn)行通信,VXLAN引入了VXLAN網(wǎng)關(guān)。

VXLAN網(wǎng)關(guān)分為:

  • 二層網(wǎng)關(guān):用于解決租戶接入VXLAN虛擬網(wǎng)絡(luò)的問(wèn)題,也可用于同一VXLAN虛擬網(wǎng)絡(luò)的子網(wǎng)通信。

  • 三層網(wǎng)關(guān):用于VXLAN虛擬網(wǎng)絡(luò)的跨子網(wǎng)通信以及外部網(wǎng)絡(luò)的訪問(wèn)。



報(bào)文封裝類型

當(dāng)業(yè)務(wù)接入點(diǎn)是二層子接口時(shí),通過(guò)在二層子接口上配置不同的流封裝類型以實(shí)現(xiàn)不同的接口接入不同的數(shù)據(jù)報(bào)文,將二層子接口關(guān)聯(lián)廣播域BD(Bridge-Domain)后,可實(shí)現(xiàn)數(shù)據(jù)報(bào)文通過(guò)BD轉(zhuǎn)發(fā)



報(bào)文流封裝類型

流封裝類型

說(shuō)明

dot1q

對(duì)于帶有一層VLAN Tag的報(bào)文,該類型接口只接收與指定VLAN Tag匹配的報(bào)文;對(duì)于帶有兩層VLAN Tag的報(bào)文,該類型接口只接收外層VLAN Tag與指定VLAN Tag匹配的報(bào)文。

  • 該類型接口在對(duì)原始報(bào)文進(jìn)行VXLAN封裝時(shí),會(huì)剝離最外層的VLAN Tag;

  • 在解封裝VXLAN報(bào)文時(shí),會(huì)添加指定的VLAN Tag后再轉(zhuǎn)發(fā)。

Dot1q二層子接口的VLAN ID值可以為一個(gè)范圍段,該情況下,接口會(huì)對(duì)報(bào)文進(jìn)行透?jìng)?,不?huì)剝離VLAN。

配置流封裝類型為dot1q時(shí),存在如下限制:

  • 二層子接口封裝的vid,不能與對(duì)應(yīng)二層主接口允許通過(guò)的VLAN相同,也不能與MUX VLAN中的VLAN相同。

  • 二層子接口和三層子接口封裝的VLAN ID不能相同。

  • 同一主接口下的Dot1q的二層子接口VLAN ID不能重疊。

untag

該類型接口只接收不帶VLAN Tag的報(bào)文。

  • 該類型接口在對(duì)原始報(bào)文進(jìn)行VXLAN封裝時(shí),不會(huì)為其添加任何VLAN Tag;

  • 在解封裝VXLAN報(bào)文時(shí),如果其內(nèi)層報(bào)文帶有VLAN Tag,則將其VLAN Tag剝離(對(duì)于QinQ報(bào)文,只剝離其外層VLAN Tag)后再轉(zhuǎn)發(fā)。

配置流封裝類型為untag時(shí),存在如下限制:

  • 請(qǐng)確保該二層子接口對(duì)應(yīng)的物理接口上沒(méi)有任何配置,且對(duì)應(yīng)的物理接口已退出默認(rèn)VLAN。

  • 僅支持為二層物理接口(包括Eth-Trunk接口)創(chuàng)建untag類型二層子接口。

  • 一個(gè)主接口下僅允許創(chuàng)建一個(gè)untag類型的二層子接口。

qinq

該類型接口只接收帶有指定兩層VLAN Tag的報(bào)文。

  • 該類型接口在對(duì)原始報(bào)文進(jìn)行VXLAN封裝時(shí),如果配置的二層子接口的VLAN Tag操作為剝除兩層VLAN Tag操作,則將報(bào)文的所有VLAN Tag全部剝離,如果不配置二層子接口的VLAN Tag操作為剝除兩層VLAN Tag操作,則將報(bào)文的VLAN Tag全部保留;

  • 在解封裝VXLAN報(bào)文時(shí),如果配置的二層子接口的VLAN Tag操作為剝除兩層VLAN Tag操作,則添加指定的兩層VLAN Tag后再轉(zhuǎn)發(fā),如果不配置二層子接口的VLAN Tag操作為剝除兩層VLAN Tag操作,則保持報(bào)文的VLAN Tag不變直接轉(zhuǎn)發(fā)。

當(dāng)有流封裝類型為Default類型、Dot1q透?jìng)鳎ㄅ渲昧?strong >rewrite no-action命令)類型或QinQ透?jìng)鳎](méi)有配置rewrite pop double命令)類型的二層子接口綁定BD后,該BD不支持配置IGMP Snooping、不支持配置DHCP Snooping、不支持創(chuàng)建VBDIF,不支持配置ARP廣播報(bào)文抑制。

說(shuō)明:

綁定同一個(gè)BD的QinQ接口的流動(dòng)作類型要一致。

如果在QinQ二層子接口上配置了VLAN段,不支持同時(shí)配置rewrite pop double命令。

QinQ二層子接口上封裝的外層VLAN不能和對(duì)應(yīng)二層主接口配置的缺省VLAN以及允許通過(guò)的VLAN相同。

default

允許接口接收所有報(bào)文,不區(qū)分報(bào)文中是否帶VLAN Tag。

不論是對(duì)原始報(bào)文進(jìn)行VXLAN封裝,還是解封裝VXLAN報(bào)文,該類型接口都不會(huì)對(duì)原始報(bào)文進(jìn)行任何VLAN Tag處理,包括添加、替換或剝離。

配置流封裝類型為default時(shí),存在如下限制:

  • 必須確保對(duì)應(yīng)的主接口沒(méi)有加入VLAN。

  • 僅支持為二層物理接口(包括Eth-Trunk接口)創(chuàng)建default類型二層子接口。

  • 主接口下創(chuàng)建了default類型二層子接口,不允許再創(chuàng)建其他類型二層子接口。



vxlan報(bào)文格式

vxlan是MAC in UDP的網(wǎng)絡(luò)虛擬化技術(shù),所以其報(bào)文封裝是在原始以太網(wǎng)報(bào)文之前添加了一個(gè)UDP封裝及VXLAN頭封裝

vxlan-vxlan二層互通無(wú)隧道方式

報(bào)文格式說(shuō)明:

vxlan-vxlan二層互通無(wú)隧道方式

vxlan網(wǎng)絡(luò)模型

vxlan-vxlan二層互通無(wú)隧道方式

  • VTEP(VXLAN Tunnel Endpoints,VXLAN隧道端點(diǎn))

    VXLAN網(wǎng)絡(luò)的邊緣設(shè)備,是VXLAN隧道的起點(diǎn)和終點(diǎn),進(jìn)行VXLAN報(bào)文的封裝、解封裝等處理。VTEP既可以部署在網(wǎng)絡(luò)設(shè)備上(網(wǎng)絡(luò)接入交換機(jī)),也可以部署在vSwitch上(服務(wù)器上的虛擬交換機(jī))。

  • VNI(VXLAN Network Identifier,VXLAN 網(wǎng)絡(luò)標(biāo)識(shí)符)

    VNI是一種類似于VLAN ID的網(wǎng)絡(luò)標(biāo)識(shí),用來(lái)標(biāo)識(shí)VXLAN二層網(wǎng)絡(luò)。一個(gè)VNI代表一個(gè)VXLAN段,不同VXLAN段的虛擬機(jī)不能直接二層相互通信。

  • VXLAN隧道

    兩個(gè)VTEP之間建立的邏輯隧道,用于傳輸VXLAN報(bào)文。業(yè)務(wù)報(bào)文在進(jìn)入VXLAN隧道式進(jìn)行VXLAN、UDP、IP頭封裝,然后通過(guò)三層轉(zhuǎn)發(fā)透明地將報(bào)文轉(zhuǎn)發(fā)給遠(yuǎn)端VTEP,遠(yuǎn)端VTEP對(duì)報(bào)文進(jìn)行解封裝處理。

VXLAN報(bào)文轉(zhuǎn)發(fā)過(guò)程

vxlan-vxlan二層互通無(wú)隧道方式

同網(wǎng)段的VM間相通簡(jiǎn)單介紹VXLAN網(wǎng)絡(luò)中的報(bào)文轉(zhuǎn)發(fā)過(guò)程。


  1. VM1發(fā)送目的地址為VM2的報(bào)文。

  2. VTEP1收到該報(bào)文后進(jìn)行VXLAN封裝,封裝的外層目的IP為VTEP2。封裝后的報(bào)文,根據(jù)外層MAC和IP信息,在IP網(wǎng)絡(luò)中進(jìn)行傳輸,直至到達(dá)對(duì)端VTEP2。

  3. VTEP2收到報(bào)文后,對(duì)報(bào)文進(jìn)行解封裝,得到VM1發(fā)送的原始報(bào)文,然后將其轉(zhuǎn)發(fā)至VM2。




網(wǎng)絡(luò)架構(gòu)

在數(shù)據(jù)中心網(wǎng)絡(luò)中,區(qū)分于傳統(tǒng)的接入、匯聚、核心架構(gòu),只有所謂的spine(骨干)和leaf(葉子)架構(gòu)

vxlan-vxlan二層互通無(wú)隧道方式




二、VXLAN基礎(chǔ)實(shí)驗(yàn)

2.1配置VXLAN二層互通-無(wú)隧道方式

vxlan-vxlan二層互通無(wú)隧道方式

只有spine-1部署VXLAN,Leaf-1A和Leaf-1B兩臺(tái)交換機(jī)模擬PC,使得VXLAN像VLAN的工作一樣實(shí)現(xiàn)二層互通

實(shí)驗(yàn)拓?fù)洌?/p>

vxlan-vxlan二層互通無(wú)隧道方式

1、配置Leaf-1和Leaf-2的IP地址

<HUAWEI>system-view immediately                             #進(jìn)入立即生效模式	
[HUAWEI]sysname Leaf-1A	
[Leaf-1]interface GE 1/0/5
[Leaf-1-GE1/0/5]
[Leaf-1-GE1/0/5]undo portswitch                             #配置接口為三層接口	
[Leaf-1-GE1/0/5]ip address 192.168.10.1 24                             #配置IP地址

leaf-1A

[HUAWEI]sysname Leaf-1B
[Leaf-1]interface GE 1/0/6
[Leaf-1-GE1/0/6]
[Leaf-1-GE1/0/6]undo portswitch                             #配置接口為三層接口	
[Leaf-1-GE1/0/6]ip address 192.168.10.2 24

Leaf-1B


2、配置spine-1的vxlan基本配置

[HUAWEI]sysname Spine-1	
[Spine-1]bridge-domain 10                                    #配置橋域,二層廣播域	
[Spine-1-bd10]vxlan vni 5000                                 #配置vni 5000,映射到bd 10
Info: Please disable dynamic ARP learning when the controller is used to deliver
 ARP entries.
[Spine-1-bd10]q


3、配置Spine-1的業(yè)務(wù)接入點(diǎn)

[Spine-1]interface GE 1/0/5.1 mode l2	                                       #創(chuàng)建二層子接口,即GE1/05.1                 
[Spine-1-GE1/0/5.1]encapsulation do	
[Spine-1-GE1/0/5.1]encapsulation untag                                                #封裝方式為untag
Warning: Exercise caution when configuring an untagged default sub-interface and
 ensure that no configurations exist on the main interface before you configure 
an untagged default sub-interface. Otherwise, it will produce unpredictable resu
lts.	
[Spine-1-GE1/0/5.1]bridge-domain 10                                                    #將二層子接口綁定到bd10二層廣播域
[Spine-1-GE1/0/5.1]q	
[Spine-1]interface GE 1/0/6.1 mode l2	
[Spine-1-GE1/0/6.1]encapsulation untag 
Warning: Exercise caution when configuring an untagged default sub-interface and
 ensure that no configurations exist on the main interface before you configure 
an untagged default sub-interface. Otherwise, it will produce unpredictable resu
lts.
[Spine-1-GE1/0/6.1]bridge-domain 10
[Spine-1-GE1/0/6.1]q
[Spine-1]

4、驗(yàn)證配置結(jié)果

Leaf1A ping Leaf-1B

vxlan-vxlan二層互通無(wú)隧道方式

證明,leaf-1A和leaf-1B處于同一個(gè)bd10二層域,且vni相同

在leaf-1A的ge1/0/5抓包

vxlan-vxlan二層互通無(wú)隧道方式

可以看到是正常的ipv4 icmp報(bào)文

在spine-1上抓包,GE1/0/5

vxlan-vxlan二層互通無(wú)隧道方式


也是正常的icmp報(bào)文


在spine-1上查看mac地址表

vxlan-vxlan二層互通無(wú)隧道方式

可以看到在二層廣播域br10中,二層子接口動(dòng)態(tài)的學(xué)習(xí)到了leaf-1A和leaf-1B的mac地址


向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI