一、简介:
一种VPN技术,在任意路由可达的物理网络上叠加二层虚拟网络
通过VxLAN网关之间的VxLAN隧道实现网络内部的互通,也可以与传统非VxLAN网络互通
以太网in UDP封装,IP头在underlay网络中传输,延伸二层网络,同时由于三层网络没有网络结构限制,VxLAN具有大规模扩展能力。----虚拟机热迁移
1.1、实际应用领域:
云计算和数据中心网络
1.2、问题产生:
虚拟机从A硬件服务器迁移至另外一台B硬件服务器,由于需要跨三层,但是虚拟机的迁移必须在二层网络当中,故使用VxLAN技术
虚拟机---一般充当服务器的角色
1.3、underlay和overlay网络
前面提到IP头在underlay网络中传输,这里对underlay和overlay进行一个解释
1.3.1、underlay【具体,真实存在】
【传统IT基础设施网络[交换机和路由器等组成]====为overlay网络提供数据通信服务】
【专门承载用户IP流量的基础架构层,与overlay网络间如同[物理机]和[虚拟机]】
【underlay网络和物理机都是真实存在的实体,分别对应真实的网络设备和计算设备】
【Overlay网络和虚拟机----依托下层实体使用软件虚拟出来的层级】
1.3.2、overlay【虚拟】
【基于物理网络之上的逻辑网络===网络架构上叠加的虚拟化技术】
【建立在underlay网络之上的网络】
【通过虚拟/逻辑链路进行通信】
【基于底层网络互联互通的基础+隧道技术构建虚拟网络[核心:打隧道]】
【隧道转发本质:将容器双方的通信报文分别封装成各自宿主机之间的报文,借助宿主机网络隧道完成数据交换】
[隧道技术:TRILL、VxLAN、GRE、NVGRE等]
1.3.3、注:
underlay和overlay经常成对出现,underlay为overlay提供基础承载
【两者的概念是相对的,A为B提供基础网络架构,那么A就是underlay,B就是overlay】
主流overlay隧道技术:VxLAN、NVGRE、STT
目前所有的overlay跨主机容器网络方案几乎都是基于VxLAN实现的
二、在VxLAN中的出场嘉宾
2.1、VTEP
VxLAN隧道端点【边缘设备】
VTEP是VxLAN隧道端点,位于NVE中---VxLAN报文的封装和解封装
VxLAN报文【外层IP头--源IP地址=源端VTEP的IP地址,目的地址为目的端VTEP的IP地址】
2.2、VNI&BD
VNI 相当于传统网络的 VLAN ID:
【区分VxLAN段,不通过的VxLAN段虚拟机无法直接二层相互通信】
【一个租户可以有一个或多个VNI,长度24bit,支持多达16M租户】
BD桥域
【传统网络用vlan划分广播域】【VxLAN网络中一个BD标识一个大二层广播域】
VNI以1:1方式映射到广播域BD,同一BD内中断可以进行二层互通
2.3、VAP
虚拟节点
实现VxLAN业务接入
2.3.1、VAP两种配置方式:
二层子接口方式接入 【创建二层子接口关联BD--子接口下的特定流量回注入到对应BD当中】
VLAN绑定方式接入 【配置VLAN关联广播域BD--子接口所有VLAN流量注入到对应BD当中】
2.4、Edge
【VxLAN网络边缘接入设备,传统网络流量由此静茹VxLAN网络】
2.5、Border
【VxLAN网络和外部网络通信节点,外部流量进入VxLAN网络/VXLA网络访问外部】
【一般连接具有三层转发能力的设备】
2.6、分类
2.6.1、网关分类:
二层网关【同子网通信】
三层网关【跨子网通信】
2.6.2、配置分类:
集中式网关
L3网关部署在一台设备上,所有跨子网的流量都通过该设备转发,实现集中管理。
【[优点]:跨子网流量集中管理,简化网关部署和管理】
【[缺点]:转发路径并非最优。网关上需要维护大量通过VxLAN接入网络的终端ARP】
分布式网关
VTEP设备同时充当L2和L3网关。非网关节点对VXLAN隧道不感知,仅转发VxLAN报文。
【[优点]:VTEP节点只学习连接在本节点下终端ARP表项,网络规模扩展能力强】
【[缺点]:较集中式部署配置、实现复杂,部署工程量大】
三、工作原理
3.1、隧道类型
3.1.1、静态隧道
【手工配置本段和远端VNI、VTEP IP地址和头端复制列表】
3.1.2、动态隧道
【通过BGP EVPN[以太网虚拟私有网络]方式动态建立VXLA隧道】
【VTEP之间建立BGP EVPN对等体,对等体间用BGP EVPN路由互相传递VNI和VTEP IP地址信息,实现动态建立VxLAN隧道】
四、BUM流量转发
BUM【Broadcast[广播]、Unkonwn[未知]、Multicast[组播]】流量传输,VTEP将流量复制多份发送到头端复制列表中的对端VTEP,从而在Overlay网络中实现泛洪转发效果
五、静态隧道VxLAN基本配置
5.1、静态隧道拓扑
5.2、实验背景和需求
实验背景:
PC1和PC2,在物理网络中出于两个不同的三层子网
LSW1,LSW2和LSW3不支持VxLAN,CE
3和CE4支持VxLAN
实验需求:
1.如图,PC1和PC2,从underlay网络看,处于不同的广播域
2.通过配置VxLAN静态隧道,实现PC1和PC2在overlay网络上在同一广播域,可以互相通信
3.PC1和PC2在VLAN 10,BD 10,分配VNI 100
5.3、基础网络配置
LSW1:
LSW2:
LSW3:
CE3:
CE4:
5.4、VxLAN接入配置
流程:
①创建BD域
②创建子接口
③子接口关联vlan id
④子接口关联BD域
CE3:
CE4:
5.5、VxLAN隧道配置
流程:
①进入BD 10配置视图
②BD 10和VNI 100进行关联
③创建vxlan隧道,编号为1
④配置源地址
⑤配置隧道的源目标IP
CE3:
属于BD 10 的报文,将打上 VNI 的 vxlan 标识,并且封装上源地址为1.1.1.1,目标地址为2.2.2.2 的新IP头部,发到对端 NVE
CE4:
属于BD 10 的报文,将打上 VNI 的 vxlan 标识,并且封装上源地址为2.2.2.2,目标地址为1.1.1.1 的新IP头部,发到对端 NVE
5.6、验证配置
查看隧道是否生效
CE3隧道验证:
CE4隧道验证:
PC端PING测试:
六、分布式VxLAN隧道基本配置
6.1、分布式隧道VxLAN基本配置
6.2、实验目标和实验规划
实验目标:
1、pc1在bd 10,pc2在bd 20,地址如图
2、希望通过分布式vxlan网关+evpn自动隧道,实现pc1和pc2的连通性
实验规划:
1、pc1和pc2属于ip vpn实例zhynet,L3 vni为123
2、bd 10的vni为100
3、bd 20的vni为200
4、所有vpn实例的rd/irt/ert为100:1
6.3、网络基本配置
LSW6:
LSW7:
AR3:
CE5:
CE6:
路由测试
CE5:
CE6:
AR3:
ping测试:
6.4、对等体
建立对等体,使用对端的环回地址作为邻居
流程:
①建立BGP对等体
②建立EVPN对等体
6.4.1、建立BGP对等体
CE5:
CE6:
查看是否建立对等体:
6.4.2、建立EVPN对等体
CE5:
CE6:
查看EVPN对等体建立
6.5、路由引入
流程:
①进入vxlan隧道口
②配置源地址
③关联bgp来自动创建隧道
CE5:
CE6:
6.6、创建RD
信息介绍:
RD:
理解:一台物理机上有多台虚拟服务器,即多个用户,因此用RD来区分不同用户在网络层面进行隔离
RD用来区分本地VRF,该属性仅本地有效。8个字节的RD+4个字节的IPv4地址组成96位VPNv4路由,使不唯一的IPv4地址转化为唯一的VPN-IPv4地址,该VPNv4路由在ISP域内传递(区分),RD给某VRF里面的路由打上标签,进而实现地址的复用而不产生冲突。
RT:
是BGP的扩展团体属性,它分成Import RT和Export RT,分别用于路由的导入、导出策略。
通过配置import和export RT,来控制收发路由。
当从VPN表中导出路由时,要用export RT对VRF路由进行标记。
当往VRF表中导入路由时,只有所带RT标记与该VRF表中任意一个import RT相符的路由才会被导入到VRF表中。