VXLAN大二层技术
1.VXLAN背景
由redhat、思科、vmware、arista等众多网络厂商联合开发的共有协议,互联互通可操作性强
VXLAN(Virtual eXtensible LAN)是一种overlay网络技术,VXLAN的特点是将L2的以太帧封装到UDP报文(即L2 over L4)中,并在L3网络中传输。
如图1-1所示,VXLAN本质上是一种隧道技术,在源网络设备与目的网络设备之间的IP网络上,建立一条逻辑隧道,将用户侧报文经过特定的封装后通过这条隧道转发。从用户的角度来看,接入网络的服务器就像是连接到了一个虚拟的二层交换机的不同端口上(可把蓝色虚框表示的数据中心VXLAN网络看成一个二层虚拟交换机),可以方便地通信。
VXLAN已经成为当前构建数据中心的主流技术,是因为它能很好地满足数据中心里虚拟机动态迁移和多租户等需求。
2.VXLAN使用场景
众所周知,同一台二层交换机可以实现下挂服务器之间的二层通信,而且服务器从该二层交换机的一个端口迁移到另一个端口时,IP地址是可以保持不变的。这样就可以满足虚拟机动态迁移的需求了。VXLAN的设计理念和目标正是由此而来的。
(1)大型数据中心DC内部,由于跨域多个核心交换后,要使用二层技术实现互通,数据中心内部的L3 SWITCH和router运行的路由协议,是为了DC内的公网或者私有IP能有路由
(2)公网IP通常是分配给客户的网段,用于让客户能通过ssl VPN,ipsec VPN等方式访问自己在DC内部的设备
(3)私网IP分为两种:
- DC内部管理网段,登录设备,ssh,telnet,包括snmp,netflow
- DC属于私有云或者公有云架构,体现在DC内的租户tenant,每个tenant都有自己的独立的私网IP段,有可能是IPV4或者IPV6,要保证每个租户(tenant)完全隔离的
(4)客户要求在DC内,能够跨越三层网络,让二层设备互访,必须用VXLAN
(5)DC管理员可以为客户提供纯L2的接入,中间通过trunk打通,就算是给客户提供L2接入,VLAN如何分配?VLAN是要占用整个DC,VLAN的数量不能和其他客户冲突,因为Vlan的个数最大4096个
(6)跨域DC之间的公有云架构,客户在北京,上海,东京,伦敦4个site都有站点,通过公有云做全互联架构
客户在北京,上海,东京,伦敦4个site都有站点,通过公有云做全互联架构,运行BGP或者其他L3协议,实现多个site内网之间的互通,必须使用VXLAN技术,有可能使用到BGP-EVPN
3.VXLAN网络架构部署方式
(1)传统网络是接入层,汇聚层,核心层,改为两层架构,spine+leaf架构
vxlan gateway:实现了Vlan和VXLAN之间的转换的关系
VXLAN的实现可以通过软件(如:wmware的虚拟交换机,cisco的nexus 1000v),也可以通过硬件来实现(如:Cisco的nexus 3k, 5k, 7k, 9k来实现)
在这个图中,也体现了多租户,所谓多租户,就是提供了网络和网络之间的隔离,每个VXLAN面向一个客户,客户和客户之间进行隔离。图中的蓝色和绿色区域就是两个不同的vxlan。
(2)在underlay层面,提供ECMP协议最多支持64路多上联,所有链路实现无block网络,全可以转发数据
(3)在overlay层面,可以通过VXLAN技术,实现不同的tenant之间的完全隔离,实现一个跨域DC设备之间的大二层技术
(4)对于客户来说,通过VXLAN可以实现点对点同网段之间的通信,可以跑类似于L2的方式互联,也可以通过路由协议BGP等实现L3方式互联,VXLAN对于客户来说,是透明不存在的,如:客户设计的点对点的分配VLAN10,VXLAN(VNI)分配的10001
4.Overlay
Overlay是虚拟机业务通信所在的网络平面。主要目的是实现虚拟机之间通信及虚拟机与外网通信。
VXLAN网关有哪些种类
VXLAN二层网关与三层网关
-
VXLAN二层网关:用于终端接入VXLAN网络,也可用于同一VXLAN网络的子网通信。
-
VXLAN三层网关:用于VXLAN网络中跨子网通信以及访问外部网络。
VXLAN集中式网关与分布式网关
根据三层网关部署方式的不同,VXLAN三层网关又可以分为集中式网关和分布式网关。
VXLAN集中式网关
集中式网关是指将三层网关集中部署在一台设备上,如下图所示,所有跨子网的流量都经过这个三层网关转发,实现流量的集中管理。
主要典型场景有以下两种:集中式网关(图4.1)和分布式网关(图4.2)。由于分布式网关扩容方便,所以现网中主推分布式网关。
(1)集中式网关
图4.1
集中式网关:不同网段的虚拟机之间通信,数据流需要通过Spine的3层VXLAN网关设备转发,适用于南北向流量大,流量走向次优,逻辑、配置简单。
(2)分布式网关
VXLAN分布式网关
通过部署分布式网关可以解决集中式网关部署的缺点。VXLAN分布式网关是指在典型的“Spine-Leaf”组网结构下,将Leaf节点作为VXLAN隧道端点VTEP,每个Leaf节点都可作为VXLAN三层网关(同时也是VXLAN二层网关),Spine节点不感知VXLAN隧道,只作为VXLAN报文的转发节点。如下图所示,Server1和Server2不在同一个网段,但是都连接到同一个Leaf节点。Server1和Server2通信时,流量只需要在该Leaf节点上转发,不再需要经过Spine节点。
部署分布式网关时:
- Spine节点:关注于高速IP转发,强调的是设备的高速转发能力。
- Leaf节点:
- 作为VXLAN网络中的二层网关设备,与物理服务器或VM对接,用于解决终端租户接入VXLAN虚拟网络的问题。
- 作为VXLAN网络中的三层网关设备,进行VXLAN报文封装/解封装,实现跨子网的终端租户通信,以及外部网络的访问。
图4.2
分布式网关:不同网段的虚拟机之间通信,数据流可以通过上连的Leaf 3层VXLAN网关设备转发,适用于东西向流量大,流量走向更优化,逻辑、配置复杂。
参考文档:什么是VXLAN