VXLAN基础概述

最新推荐文章于 2024-09-30 14:59:18 发布

坚持布谢

最新推荐文章于 2024-09-30 14:59:18 发布

阅读量869

点赞数 18

文章标签：服务器运维网络网络协议网络安全

本文链接：https://blog.csdn.net/atmxs/article/details/142441002

版权

概述
- VXLAN（Virtual+Extensible+LAN）是一种用于构建大型可扩展二层网络的网络协议。近年来，随着数据中心网络规模的不断扩大和云计算的快速发展，VXLAN逐渐成为华为等一些主要网络设备和解决方案供应商的关注焦点。
- VXLAN是一项基于UDP封装技术的网络虚拟化协议，它通过牺牲一些二层网络的特性，实现了网络划分、虚拟机迁移等功能，进一步提高了数据中心网络的资源利用率和可扩展性。
- 首先，VXLAN可以解决传统二层网络的规模限制问题。在传统的以太网中，二层网络的规模受限于网段的数量，通常只能容纳几百到几千个主机。而VXLAN通过引入虚拟实例标识符（VNI），将二层网络扩展到了1600多万个，大大增加了网络规模的上限。这对于大型数据中心来说是非常重要的，可以轻松应对日益增长的计算和存储需求。
- 其次，VXLAN还改善了数据中心网络的可扩展性。在传统的二层网络中，大规模的网络部署通常需要复杂的交换机布线、配置和管理，不仅耗时耗力，而且容易出现瓶颈和故障。而使用VXLAN，网络管理员可以通过软件定义网络（SDN）的方式，将网络的控制平面与数据平面分离，实现中心化的管理和灵活的部署。这样可以降低网络维护的工作量，并且可以快速响应业务需求的变化。
- 此外，VXLAN还支持虚拟机的迁移。在传统的二层网络中，当虚拟机从一个主机迁移到另一个主机时，需要修改MAC地址表，更新网络路由等操作，这会造成网络的短暂中断。而使用VXLAN，由于虚拟机的IP地址和VNI是绑定关系，迁移时只需要更新虚拟机的IP地址，不需要修改底层网络的配置，可以实现零宕机迁移。这对于需要频繁进行虚拟机迁移的云计算环境尤为重要，可以大大提升业务的可用性和灵活性。
- 最后，VXLAN还提供了安全性增强的功能。在传统的二层网络中，主机之间的隔离通常依赖于物理隔离或者VLAN划分，而这些方法不够灵活，也容易出现冲突和配置错误。而使用VXLAN，可以通过定义不同的VNI来实现虚拟网络的划分，不同的虚拟网络之间可以互相隔离，提供更好的安全性。此外，VXLAN还支持数据加密和身份认证等安全功能，进一步保护数据中心网络的安全。
- 综上所述，VXLAN作为一种先进的网络虚拟化技术，在大二层网络中具有广泛的应用前景。它能够解决传统二层网络的规模限制和可扩展性问题，提供虚拟机迁移和安全增强的功能。对于现代的数据中心和云计算环境来说，采用VXLAN可以提高网络的灵活性、可用性和安全性，帮助企业构建稳定高效的大型二层网络架构。
VNI与BD
- VNI（VXLAN Network Identifier，VXLAN网络标识）：
  - 类似VLAN ID，用于区分VXLAN段。不同VXLAN段的虚拟机不能直接二层相互通信。
  - 一个租户可以有一个或多个VNI，VNI长度为24 bit，支持多达16 M的租户。
- BD（Bridge Domain，桥域）：
  - 类似传统网络中采用VLAN划分广播域，在VXLAN网络中一个BD就标识一个大二层广播域。
  - VNI以1:1方式映射到广播域BD，同一个BD内的终端可以进行二层互通。
VAP
- 实现VXLAN的业务接入。VAP有两种配置方式，二层子接口方式或者VLAN绑定方式：
  - 二层子接口方式接入，例如在SW1创建二层子接口关联BD 10，则这个子接口下的特定流量会被注入到BD 10。
  - VLAN绑定方式接入，例如在SW2配置VLAN 10与广播域BD 10关联，则所有VLAN10的流量会被注入到BD 10。
VXLAN MAC地址表
- VXLAN实现的是在Overlay网络中进行二层转发，转发单播数据帧依赖的依旧是MAC地址表项。VTEP接收到BD内来自本地的数据帧，将数据帧的源MAC地址添加到该BD的MAC地址表中，出接口为收到数据帧的接口。该表项用于指导发往本VTEP下连接终端的数据帧的转发。
- MAC地址表学习过程
  - 转发属于远端VTEP下所连接设备的数据帧，需要先学习到远端设备的MAC地址。该过程与传统MAC地址表形成过程类似，依赖于主机之间的报文交互，一般通过ARP报文交互形成MAC地址表项。
  - 1
  - 2
  - 3
VBDIF
- 类似于传统网络中采用VLANIF实现不同广播域互通，在VXLAN中引入了VBDIF的概念。VBDIF接口在VXLAN三层网关上配置，是基于BD创建的三层逻辑接口。通过VBDIF接口可实现不同网段的用户通过VXLAN网络通信，及VXLAN网络和非VXLAN网络间的通信，也可实现二层网络接入三层网络。
集中式和分布式
- 集中式
  - L3网关部署在一台设备上，所有跨子网的流量都通过该设备转发，实现流量的集中管理。
  - 优点：
    - 跨子网流量集中管理,简化网关部署和管理
  - 缺点：
    - 转发路径并非最优。ARP表项规格瓶颈：由于采用集中式网关,网关上需要维护大量通过VXLAN接入网络的终端其ARP。
- 分布式
  - VTEP设备既是L2网关，又是L3网关。非网关节点对VXLAN隧道不感知，仅作为VXLAN报文的转发节点。
  - 优点：
    - VTEP节点只学习连接在本节点下终端的ARP表项，解决了集中式三层网关带来的ARP表项瓶颈问题，网络规模扩展能力强。
  - 缺点：
    - 相对集中式部署配置、实现复杂，部署工程量大。