溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
一、VXLAN基本概念
VXLAN是NVO3(Network Virtualization over Layer 3)中的一種網絡虛擬化技術,通過將虛擬機發出的數據包封裝在UDP中,并使用物理網絡的IP、MAC作為outer-header進行封裝,然后在IP網絡上傳輸,到達目的地后由隧道終結點解封裝并將數據發送給目標虛擬機。
VXLAN結構示意圖:
VXLAN基本概念:
Underlay網絡和Overlay網絡 | VXLAN技術將已有的物理網絡作為Underlay網絡,在其上構建出虛擬的二層或三層網絡,即Overlay網絡。Overlay網絡通過封裝技術、利用Underlay網絡提供的三層轉發路徑,實現租戶報文在不同站點間傳遞。對于租戶來說,Underlay網絡是透明的,只能感知到Overlay網絡。 |
NVE(Network Virtualization Edge) | 網絡虛擬邊緣節點NVE,實現網絡虛擬化功能的網絡實體。報文經過NVE封裝轉換后,NVE間就可基于三層基礎網絡建立二層虛擬化網絡。 說明: 設備和服務器上的虛擬交換機VSwitch都可以作為NVE。 按照NVE部署位置的不同,可以分為以下三種模式:
|
VTEP(VXLAN Tunnel Endpoints) | VTEP是VXLAN隧道端點,封裝在NVE中,用于VXLAN報文的封裝和解封裝。 VTEP與物理網絡相連,分配有物理網絡的IP地址,該地址與虛擬網絡無關。 VXLAN報文中源IP地址為本節點的VTEP地址,VXLAN報文中目的IP地址為對端節點的VTEP地址,一對VTEP地址就對應著一個VXLAN隧道。 |
VNI(VXLAN Network Identifier) | VXLAN網絡標識VNI類似VLAN ID,用于區分VXLAN段,不同VXLAN段的虛擬機不能直接二層相互通信。 一個VNI表示一個租戶,即使多個終端用戶屬于同一個VNI,也表示一個租戶。VNI由24比特組成,支持多達16M的租戶。 在分布式網關部署場景下,VNI分為二層VNI和三層VNI。
|
BD(Bridge Domain) | BD是VXLAN網絡中轉發數據報文的二層廣播域。 在VXLAN網絡中,將VNI以1:1方式映射到廣播域BD,BD成為VXLAN網絡轉發數據報文的實體。 |
VBDIF接口 | 基于BD創建的三層邏輯接口。通過VBDIF接口配置IP地址可實現不同網段的VXLAN間,及VXLAN和非VXLAN的通信,也可實現二層網絡接入三層網絡。 |
VAP(Virtual Access Point) | 虛擬接入點VAP,即VXLAN業務接入點,可以是二層子接口或VLAN:
|
| 網關(Gateway) | 和VLAN類似,不同VNI之間的VXLAN,及VXLAN和非VXLAN之間不能直接相互通信。為了使VXLAN之間,以及VXLAN和非VXLAN之間能夠進行通信,VXLAN引入了VXLAN網關。 VXLAN網關分為:
|
報文封裝類型
當業務接入點是二層子接口時,通過在二層子接口上配置不同的流封裝類型以實現不同的接口接入不同的數據報文,將二層子接口關聯廣播域BD(Bridge-Domain)后,可實現數據報文通過BD轉發
流封裝類型 | 說明 |
|---|---|
dot1q | 對于帶有一層VLAN Tag的報文,該類型接口只接收與指定VLAN Tag匹配的報文;對于帶有兩層VLAN Tag的報文,該類型接口只接收外層VLAN Tag與指定VLAN Tag匹配的報文。
Dot1q二層子接口的VLAN ID值可以為一個范圍段,該情況下,接口會對報文進行透傳,不會剝離VLAN。 配置流封裝類型為dot1q時,存在如下限制:
|
untag | 該類型接口只接收不帶VLAN Tag的報文。
配置流封裝類型為untag時,存在如下限制:
|
qinq | 該類型接口只接收帶有指定兩層VLAN Tag的報文。
當有流封裝類型為Default類型、Dot1q透傳(配置了rewrite no-action命令)類型或QinQ透傳(沒有配置rewrite pop double命令)類型的二層子接口綁定BD后,該BD不支持配置IGMP Snooping、不支持配置DHCP Snooping、不支持創建VBDIF,不支持配置ARP廣播報文抑制。 說明: 綁定同一個BD的QinQ接口的流動作類型要一致。 如果在QinQ二層子接口上配置了VLAN段,不支持同時配置rewrite pop double命令。 QinQ二層子接口上封裝的外層VLAN不能和對應二層主接口配置的缺省VLAN以及允許通過的VLAN相同。 |
default | 允許接口接收所有報文,不區分報文中是否帶VLAN Tag。 不論是對原始報文進行VXLAN封裝,還是解封裝VXLAN報文,該類型接口都不會對原始報文進行任何VLAN Tag處理,包括添加、替換或剝離。 配置流封裝類型為default時,存在如下限制:
|
vxlan報文格式
vxlan是MAC in UDP的網絡虛擬化技術,所以其報文封裝是在原始以太網報文之前添加了一個UDP封裝及VXLAN頭封裝
報文格式說明:
vxlan網絡模型
VTEP(VXLAN Tunnel Endpoints,VXLAN隧道端點)
VXLAN網絡的邊緣設備,是VXLAN隧道的起點和終點,進行VXLAN報文的封裝、解封裝等處理。VTEP既可以部署在網絡設備上(網絡接入交換機),也可以部署在vSwitch上(服務器上的虛擬交換機)。
VNI(VXLAN Network Identifier,VXLAN 網絡標識符)
VNI是一種類似于VLAN ID的網絡標識,用來標識VXLAN二層網絡。一個VNI代表一個VXLAN段,不同VXLAN段的虛擬機不能直接二層相互通信。
VXLAN隧道
兩個VTEP之間建立的邏輯隧道,用于傳輸VXLAN報文。業務報文在進入VXLAN隧道式進行VXLAN、UDP、IP頭封裝,然后通過三層轉發透明地將報文轉發給遠端VTEP,遠端VTEP對報文進行解封裝處理。
同網段的VM間相通簡單介紹VXLAN網絡中的報文轉發過程。
VM1發送目的地址為VM2的報文。
VTEP1收到該報文后進行VXLAN封裝,封裝的外層目的IP為VTEP2。封裝后的報文,根據外層MAC和IP信息,在IP網絡中進行傳輸,直至到達對端VTEP2。
VTEP2收到報文后,對報文進行解封裝,得到VM1發送的原始報文,然后將其轉發至VM2。
網絡架構
在數據中心網絡中,區分于傳統的接入、匯聚、核心架構,只有所謂的spine(骨干)和leaf(葉子)架構
二、VXLAN基礎實驗
2.1配置VXLAN二層互通-無隧道方式
只有spine-1部署VXLAN,Leaf-1A和Leaf-1B兩臺交換機模擬PC,使得VXLAN像VLAN的工作一樣實現二層互通
實驗拓撲:
1、配置Leaf-1和Leaf-2的IP地址
<HUAWEI>system-view immediately #進入立即生效模式 [HUAWEI]sysname Leaf-1A [Leaf-1]interface GE 1/0/5 [Leaf-1-GE1/0/5] [Leaf-1-GE1/0/5]undo portswitch #配置接口為三層接口 [Leaf-1-GE1/0/5]ip address 192.168.10.1 24 #配置IP地址
leaf-1A
[HUAWEI]sysname Leaf-1B [Leaf-1]interface GE 1/0/6 [Leaf-1-GE1/0/6] [Leaf-1-GE1/0/6]undo portswitch #配置接口為三層接口 [Leaf-1-GE1/0/6]ip address 192.168.10.2 24
Leaf-1B
2、配置spine-1的vxlan基本配置
[HUAWEI]sysname Spine-1 [Spine-1]bridge-domain 10 #配置橋域,二層廣播域 [Spine-1-bd10]vxlan vni 5000 #配置vni 5000,映射到bd 10 Info: Please disable dynamic ARP learning when the controller is used to deliver ARP entries. [Spine-1-bd10]q
3、配置Spine-1的業務接入點
[Spine-1]interface GE 1/0/5.1 mode l2 #創建二層子接口,即GE1/05.1 [Spine-1-GE1/0/5.1]encapsulation do [Spine-1-GE1/0/5.1]encapsulation untag #封裝方式為untag Warning: Exercise caution when configuring an untagged default sub-interface and ensure that no configurations exist on the main interface before you configure an untagged default sub-interface. Otherwise, it will produce unpredictable resu lts. [Spine-1-GE1/0/5.1]bridge-domain 10 #將二層子接口綁定到bd10二層廣播域 [Spine-1-GE1/0/5.1]q [Spine-1]interface GE 1/0/6.1 mode l2 [Spine-1-GE1/0/6.1]encapsulation untag Warning: Exercise caution when configuring an untagged default sub-interface and ensure that no configurations exist on the main interface before you configure an untagged default sub-interface. Otherwise, it will produce unpredictable resu lts. [Spine-1-GE1/0/6.1]bridge-domain 10 [Spine-1-GE1/0/6.1]q [Spine-1]
4、驗證配置結果
Leaf1A ping Leaf-1B
證明,leaf-1A和leaf-1B處于同一個bd10二層域,且vni相同
在leaf-1A的ge1/0/5抓包
可以看到是正常的ipv4 icmp報文
在spine-1上抓包,GE1/0/5
也是正常的icmp報文
在spine-1上查看mac地址表
可以看到在二層廣播域br10中,二層子接口動態的學習到了leaf-1A和leaf-1B的mac地址
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
