一、VLAN回顾
Vxlan:virtual extensible local area network 虚拟扩展局域网,VLAN的升级版,两者都是一种工具
VLAN:virtual local area network 虚拟局域网,隔离广播域
交换机的泛洪:收到BUM流量后,只会在该VLAN内泛洪,一个VLAN充当一个广播域,不同VLAN之间若想通信部署SVI。
多台交换机部署满足以下原则,也可以成为一个广播域:端到端二层链路
SW1——Router——SW2,此时SW1和SW2尽管创建相同的VLAN,也不是处在一个广播域
二、数据中心的发展:虚拟化,流量走向变更
1、虚拟化
Data Center:网络+存储+计算
Server hosting:数据中心提供一切物理资源,设备,机架,服务器,电力,空调等,一般都是三线连接(移动,联通,电信),而互联网公司租赁部署自身业务以供客户访问。
随着硬件服务器的发展,导致资源过剩,虚拟化技术的出现解决此问题。
传统:硬件服务器直接安装操作系统(Linux,Windows等),直接部署业务
VMware:ESXI hypervisor
在硬件服务器不直接安装操作系统,先部署ESXI虚拟化平台,将一台硬件服务器虚拟为多个虚拟服务器,每个虚拟服务器都可以安装操作系统。
随着虚拟化的技术,托管由硬件服务器变更为虚拟机租赁。
举例:
标准机架42U,部署20台服务器,每台机架顶部有交换机,以供网络连接,称为ToR,Top of Rack
分别租赁给腾讯,百度,新浪等互联网公司,需求为不同租户之间的服务器是不允许直接通信
部署VLAN即可解决,12bit,1-4094个
而如果部署了虚拟化,一台硬件服务器相当于多个服务器(租户),比如1台服务器虚拟为20台,那么即需要消耗400个VLAN,而这仅仅只是一个机架。
由此可知:VLAN存在的问题之一数量太少。
解决方案:本地VLAN部署方案临时解决
带来问题:虚拟机迁移
2、流量变更
数据中心流量走向:服务器并不需要主动访问,而是被动等待相应,客户端将流量发送至ISP,ISP将流量发送给DC的边界,进而发送给服务器(虚拟机),南北向流量。
传统数据中心也分为核心,汇聚,接入,流量在南北向流通。
而如今架构为Clos,cisco提出,spine+leaf层
spine(汇聚+核心) leaf(接入)
而spine交换机一般都有虚拟化的功能,分别虚拟为多个spine交换机,故数据中心网络中spine交换机并不需过多。
如上图:双spine,所有leaf交换机通过双上行链路连接,下游为机头设备,也可以将leaf充当为ToR。
虚拟机通过VSwitch连接,与ToR设备之间为中继链路。
随着业务发展
举例:淘宝购物对接物流,支付等平台,故现代数据中心网络南北流量为主,但是也存在东西向流量(虚拟机之间通信)
东西向流量在传统VLAN部署中会产生危机。
本地vlan设计:leaf到spine之间为三层链路 虚拟机迁移
端到端vlan设计:leaf到spine之间为二层链路 vlan不够用
三、数据中心VLAN设计之本地VLAN以及端到端VLAN以及Vmotion虚拟机迁移问题
随着虚拟化的部署,虚拟机的资源还是依赖于物理服务器,而如果某些特定场合,如双11等,可能导致现有虚拟机资源不足,故需请求物理机分配更多的CPU,内存等,而物理机正好所有的资源已经被分配,那么就需要进行虚拟机迁移,即Vmotion。
本地VLAN设计迁移范围只能在本机柜进行,迁移需要保证业务不中断,虚拟机前后使用相同的IP,Mac需一致。如果机柜内所有物理机资源也分配完毕,那么Vmotion无法进行。
端到端VLAN可以在整个数据中心进行虚机迁移,但是存在VLAN不够用的问题。
临时方案:PVLAN,Mux VLAN,可以将VLAN数量*8,但依旧不够用。
四、VXLAN定位与功能
Vxlan:解决VLAN数目不足以及虚拟机迁移存在的问题
单台交换机部署:与VLAN一致
多台交换机部署:只要交换机可以互相访问(中继,三层,GRE,MPLS等),属于同一个广播域,基于网络内通信
VTEP1——任意方式——VTEP2
VXLAN 10---------------------VXLAN 10
VNI:vxlan网络标识符,24bit
当在两台VTEP身后部署了相同的VNI成员,会建立一个端到端二层隧道,VNI成员主机基于隧道通信。
GRE:3层隧道
PCA——R1——Internet——R2——PCB
PCA与PCB不能属于同一个广播域,若想属于同一个网络,可以部署VPLS,而VXLAN隧道类似于VPLS,可以实现二层内通信。那么就可以实现虚拟机迁移,甚至跨数据中心迁移,这是端到端VLAN部署无法做到的。
有了VXLAN,VLAN是否可以从数据中心中移除?
支持VXLAN的设备有限,虚拟机并不是直接连接在ToR上,而是连接在Vswitch,而VSwitch可能不支持VXLAN,故现在的场景是vlan和vxlan的混合场景,映射关系。
相同VNI成员后的VLAN必须一致吗?
可以不一致,比如VLAN 10——VNI 10——Internet——VNI 10——VLAN 20
五、VXLAN术语
underlay与overlay:底层物理网络与虚拟叠加网络(隧道)
overlay网络使用underlay网络进行点对点的传递报文,而报文如何传递到overlay网络的目的节点完全取决于underlay网络的控制层面和数据层面,报文在overlay网络两个VTEP节点的处理(转发,丢弃)则完全由overlay网络的封装协议决定。
NVE:VTEP类似于GRE的tunnel接口,VXLAN网络虚拟边缘节点,而VXLAN的隧道是动态的,所以不论对方有多少个VTEP,本地只需要创建一个NVE接口,需要配置tunnel source地址,通常就是VTEP的北向接口地址。
VTEP:VXLAN隧道端点,VTEP交换机相对于身后的VNI成员,可以理解为是他们的网关,但是VXLAN之间是基于二层通信,网关的概念如何理解?
VTEP1——Internet——VTEP2
VNI 10 VNI 10
VNI10能相互通信的前提是VTEP进行了重新封装数据,故此称为网关,区别于传统的网关,一般为layer 2网关。
VXLAN间通信,VBDIF(华为),overlayrouter(思科,锐捷) layer 3网关。
如果一台VTEP即作二层网关,又作三层网关,称为IRB,集成路由交换。
VNI:vxlan网络标识符,类似于VLAN ID,24bit,分为二层VNI与三层VNI
二层VNI:普通的VNI,仅仅租户隔离,不需要不同租户之间通信
三层VNI:需要进行不同VNI之间通信时使用,分布式的同步IRB,提供接口,不关联租户
不同VNI之间通信:集中式网关,分布式网关(分布式的异步IRB,分布式的同步IRB)
BD:一个bridge domain唯一映射到一个二层VNI,华为私有概念,配置时需在南向接口创建子接口,绑定下游VLAN到BD,再将BD绑定到二层VNI。
VBDIF:类似于SVI,虚拟bridge domain接口,华为私有
VTEP1——Internet——VTEP2
VNI 10,20 VNI 10,20
VTEP1与VTEP2创建的VBDIF接口地址需要一致吗?
可能存在迁移,需IP,Mac都需要一致,开启anycast gateway
VAP:virtual access point,华为私有,虚拟二层子接口,VLAN绑定到BD
六、Mac over UDP,VXLAN报文格式
VXLAN的overlay思想:将数据帧统一作载荷,添加UDP报头,进行Mac over UDP封装
一般的,比如GRE的overlay思想,二层数据帧头拆掉,添加GRE,添加新的IP地址
对比,可知vxlan保留了原始数据帧的MAC地址,保证VNI成员基于MAC地址进行二层通信。
Mac over UDP,也称NOV3
VXLAN头部
Flag(8位):其中I位必须设置成1以表示有效的VNI,R位设置成0。
VXLAN Network Identifier (VNI)(24位):表示VXLAN网络标识符。虚拟机属于相同的VXLAN才能互相通信。
Reserved fields:分别占24位和8位,填充0。
UDP头部
Source Port:UDP源端口号。由VTEP分配,源端口号是数据帧本身的二层帧头的哈希结果。这个哈希结果可以作为流量负载均衡的依据。
Dest Port:目的端口号,IANA分配端口号为4789。
UDP Length:UDP首部的长度。
UDP Checksum:UDP校验和,发送时填充0。
IP报头
Source IPv4 Address:发送报文的虚拟机所属VTEP的IP地址。
Destination IPv4 Address:表示的是需要通信的目的虚拟机所属VTEP的IP地址。
外部以太网帧
源Mac地址:VTEP的北向接口的MAC地址
目的MAC地址:下一跳节点的MAC地址
封装,定位,功能知晓后,VNI成员通信,如何知晓对方在哪里,如果在一个机架内部呢?或者即便真的是处在别的VTEP身后,那么该VTEP的地址是什么,如何知晓,这些都是控制层面的问题,而恰好vxlan是一种纯的数据层面技术,无法主动学习。
七、Flood&learn VXLAN端到端数据层面通信流程以及控制层面Mac路由获悉过程
一般一台VTEP需要存在以下表项才可以进行VNI成员通信:
Mac路由表:VNI内通信
本地表项:MAC地址 VNI编号 本地接口 与传统交换机一致,三要素
远端表项:MAC地址 VNI编号 对端VTEP的NVE的tunnel source地址 ——进行vxlan封装
如何学习?与传统交换机一致,动态学习
南向接口:收到数据帧,确认信源的MAC地址,接口,结合所属VNI形成本地表项
北向接口:收到VXLAN数据帧,VNI,信源MAC地址(内部二层数据帧头源MAC地址),对端VTEP地址(外部IP报头的源IP地址),三者形成远端表项。
动态学习是基于数据的接收,可如果没收到数据,如何学习?
PCA——VTEP1——Internet——VTEP2——PCB
PCA PCB都属于VNI10,两者通信:
1、PCA知晓PCB的MAC地址
PCA访问PCB数据帧达到VTEP1,VTEP1形成本地表项,接着查看目的MAC地址,发现未知,没有Mac路由表项
2、PCA不知晓PCB的MAC地址
PCA发送ARP报文到达VTEP1,VTEP1无法转发广播流量
3、PCA组播服务器,PCB组播接收者
VTEP1也无法转发组播流量
总结:未知单播,组播,广播都无法正常转发,与传统交换机一致,进行泛洪即可
南向泛洪与传统交换机一致;
北向泛洪,需要判断VTEP之间链路是否支持组播,一般情况都不支持(ISP问题),VTEP之间基本都是单播通信,所以分为两种,头端复制,集中复制。
头端复制:发送给所有VTEP,需要手工配置域内该VNI关联的所有VTEP的NVE接口的tunnel source地址,VTEP给每个单播地址发送一份。
集中复制:找一台代理VTEP,Proxy VTEP,可以不连接任何终端,只做北向泛洪,该VTEP部署所有VNI以及其他VTEP的NVE地址,而其他的VTEP也需要建立与该VTEP的连接,其余原理与头端复制一致。
而如果VTEP之间的连接支持PIM等组播协议,VTEP不需要指定任何VTEP的NVE source,只需要将VNI映射到一个组播地址,比如 VNI 10 = 239.1.1.1 、VNI 20 = 239.1.1.2,所有VTEP部署相同的映射关系,比如VTEP1收到一个BUM流量,直接在北向接口封装成组播数据,而连接该VNI的其他VTEP都会侦听。
4617
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
