网络工程师:VXLAN这9个术语要精通!

最新推荐文章于 2024-06-01 13:53:21 发布
最新推荐文章于 2024-06-01 13:53:21 发布
阅读量907 收藏 20
点赞数 30
文章标签: 网络 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wly55690/article/details/139061568
版权

VXLAN(Virtual Extensible LAN)是一种用于在大规模数据中心中扩展二层网络的隧道技术。它通过在现有的三层网络基础设施上创建虚拟的二层网络,使不同物理位置的虚拟机能够互相通信。本文将详细介绍VXLAN中的一些关键术语,包括租户、Underlay网络和Overlay网络、NVE、VTEP、VNI、BD、VBDIF接口、VAP和网关。

租户 (Tenant)

在云计算和网络虚拟化中,"租户"是指在共享的物理基础设施上运行的独立用户或客户群体。每个租户都可以认为是一个独立的业务实体,拥有自己的计算资源、存储资源和网络资源,这些资源与其他租户隔离。

在VXLAN中,租户隔离是通过VXLAN Network Identifier (VNI) 来实现的。每个租户可以拥有一个或多个VNI,这些VNI将租户的流量与其他租户的流量隔离开来。租户通常用于多租户环境,例如云服务提供商的数据中心,其中多个客户共享相同的物理硬件,但各自的网络流量是隔离的。

在一个云数据中心中,租户A和租户B可能同时存在。租户A可能运行电子商务应用,而租户B可能运行数据库服务。通过VXLAN技术,租户A的网络流量不会干扰租户B的流量,即使他们共享相同的物理网络基础设施。

Underlay网络和Overlay网络

  • Underlay网络:是指在数据中心内存在的实际物理网络基础设施,包括物理交换机、路由器和物理链路。Underlay网络负责传输实际的数据包。

  • Overlay网络:是构建在Underlay网络之上的虚拟网络。它通过在物理网络上创建虚拟隧道,将不同物理位置的虚拟机连接起来。

Underlay网络

Underlay网络提供了基本的传输路径,负责路由和交换基础设施。它使用标准的IP路由协议,如OSPF、BGP等,确保网络的高可用性和高性能。

Overlay网络

Overlay网络利用VXLAN协议在Underlay网络上创建虚拟隧道。每个隧道由一对VTEP(VXLAN Tunnel Endpoints)设备终结。VXLAN数据包被封装在UDP数据包中,通过Underlay网络传输。Overlay网络允许在不改变现有物理网络的情况下扩展和隔离虚拟网络。

在数据中心中,运营商可以使用Underlay网络提供基础连接,并在其上部署多个Overlay网络以支持不同的租户或应用。例如,一个Underlay网络可能由传统的IP网络组成,而Overlay网络则通过VXLAN技术实现虚拟化。

NVE (Network Virtualization Edge)

NVE(Network Virtualization Edge)是VXLAN架构中的一个关键组件。它位于物理网络和虚拟网络的边缘,负责VXLAN隧道的终结和流量的封装/解封装。

NVE可以部署在物理服务器上的虚拟交换机中,或部署在专用网络设备(如硬件交换机)中。NVE的主要职责包括:

  • 封装/解封装VXLAN数据包:NVE将来自虚拟网络的二层以太网帧封装到VXLAN头中,然后通过Underlay网络传输。接收到的数据包则反向操作,去除VXLAN头后将帧转发到相应的虚拟网络中。

  • 维护隧道状态:NVE需要维护与其他VTEP的隧道状态信息,以确保数据包能够正确路由到目的地。

  • 处理多租户流量:NVE通过VNI(VXLAN Network Identifier)区分不同租户的流量,确保隔离性。

在云数据中心中,NVE通常部署在计算节点的虚拟交换机中,如Open vSwitch (OVS),或硬件交换机中,以提供高性能的VXLAN隧道终结功能。

VTEP (VXLAN Tunnel Endpoints)

VTEP(VXLAN Tunnel Endpoints)是VXLAN隧道的终点设备,负责VXLAN数据包的封装和解封装。每个VTEP都有一个唯一的IP地址,用于在Underlay网络中进行通信。

VTEP设备可以是物理交换机、路由器或运行在服务器上的虚拟交换机。其主要功能包括:

  • 封装数据包:将来自虚拟网络的以太网帧封装到VXLAN数据包中,并通过Underlay网络发送到目标VTEP。

  • 解封装数据包:从Underlay网络接收到VXLAN数据包后,去除VXLAN头,将内部以太网帧转发到相应的虚拟网络。

  • 学习MAC地址:VTEP设备通过监听VXLAN数据包中的源MAC地址,动态构建MAC地址表,以进行高效的二层转发。

VTEP通常部署在数据中心的网络边缘设备上,如Top of Rack (ToR) 交换机,或服务器上的虚拟交换机中,支持虚拟机之间的高效通信。

VNI (VXLAN Network Identifier)

VNI(VXLAN Network Identifier)是一个24位的标识符,用于区分不同的VXLAN虚拟网络。每个VXLAN隧道都被分配一个唯一的VNI,以确保多租户环境中的流量隔离。

VNI是VXLAN头的一部分,每个VXLAN数据包中都包含VNI字段。VNI的范围从1到16,777,215,这意味着VXLAN可以支持多达16,777,215个独立的虚拟网络。

  • 租户隔离:通过VNI,不同租户的流量在同一个物理网络中保持隔离。

  • 虚拟网络识别:NVE和VTEP使用VNI来识别和处理来自不同虚拟网络的流量。

在云数据中心,运营商可以为每个租户分配一个或多个VNI,确保不同租户之间的网络流量互不干扰。例如,租户A可能使用VNI 1001,而租户B使用VNI 1002,两者的流量将被完全隔离。

BD (Bridge Domain)

BD(Bridge Domain)是一个二层广播域,包含一组逻辑上互相连接的设备。每个BD都与一个或多个VNI相关联,用于隔离和管理VXLAN中的二层流量。

在VXLAN架构中,BD的概念类似于传统的VLAN。它提供了一个逻辑二层隔离环境,支持二层广播、未知单播和多播流量。BD的主要功能包括:

  • 流量隔离:通过将不同的二层流量分配到不同的BD,实现流量隔离。

  • 广播域管理:BD处理VXLAN中的广播、未知单播和多播流量,确保这些流量只在特定的BD内传播。

在一个数据中心中,运营商可以为每个租户创建一个或多个BD,以管理和隔离其二层网络流量。例如,租户A可能有一个BD用于其Web服务器,另一个BD用于其数据库服务器,确保不同应用之间的流量隔离。

VBDIF接口

VBDIF(Virtual Bridge Domain Interface)是VXLAN中的一种逻辑接口,用于在不同的BD之间进行路由和通信。它充当了不同BD之间的网关角色。

VBDIF接口的主要功能包括:

  • 路由功能:VBDIF接口可以在不同的BD之间进行路由,使得不同二层网络中的设备能够互相通信。

  • 网关功能:VBDIF接口充当二层网络的网关,处理从一个BD到另一个BD的流量。

  • 多租户支持:通过VBDIF接口,可以在保持租户隔离的前提下实现多租户之间的通信,同时确保安全和隔离。

在一个多租户数据中心中,VBDIF接口用于管理和路由来自不同租户的流量。例如,租户A的Web服务器位于BD1,数据库服务器位于BD2。通过配置VBDIF接口,租户A的Web服务器和数据库服务器可以在不同的BD之间进行通信,而无需影响其他租户的流量。

VAP (Virtual Access Point)

VAP(Virtual Access Point)是一个虚拟接入点,允许虚拟机或其他终端设备接入VXLAN网络。VAP为每个终端设备提供逻辑上的网络接入点,确保其能够参与到VXLAN网络中。

VAP的主要功能包括:

  • 终端设备接入:VAP充当终端设备进入VXLAN网络的入口点,提供必要的网络配置和服务。

  • 网络隔离:通过VAP,可以将终端设备连接到特定的VNI和BD,确保其流量与其他设备隔离。

  • 动态管理:VAP支持动态配置和管理,可以根据需求快速调整网络配置,适应不同的网络需求。

在数据中心,VAP通常用于虚拟机的网络接入。例如,当一个虚拟机启动时,VAP会为其分配一个虚拟网络接口,并将其连接到相应的VNI和BD,使其能够参与到VXLAN网络中。

网关 (Gateway)

网关(Gateway)是网络中的关键设备,用于在不同网络之间进行数据包的转发和路由。网关可以是物理设备(如路由器)或虚拟设备,负责处理跨网络的通信。

在VXLAN网络中,网关的主要功能包括:

  • 跨网络路由:网关负责在不同的VXLAN网络(即不同的VNI)之间进行路由,使得来自一个VNI的流量能够到达另一个VNI。

  • 地址转换:网关可以进行网络地址转换(NAT),将内部网络地址转换为外部网络地址,反之亦然。

  • 安全管理:网关可以应用安全策略,控制进出网络的流量,确保网络安全。

在数据中心中,网关通常部署在核心交换机或路由器中,负责跨VNI的流量管理和路由。例如,租户A的VNI 1001和租户B的VNI 1002之间的通信需要通过网关进行路由和处理,确保两者的流量隔离和管理。

总结

VXLAN技术通过创建虚拟网络隧道,提供了灵活、高效的网络虚拟化解决方案。在VXLAN架构中,租户、Underlay网络和Overlay网络、NVE、VTEP、VNI、BD、VBDIF接口、VAP和网关等关键术语构成了其核心组件。理解这些术语及其功能,对于构建和管理大规模数据中心网络至关重要。通过本文的详细介绍,希望能帮助读者更好地理解和应用VXLAN技术,以实现高效的网络虚拟化和管理。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包,需要点击下方链接即可前往获取

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

图片

同时每个成长路线对应的板块都有配套的视频提供:

图片

实战训练营

在这里插入图片描述

面试刷题

在这里插入图片描述

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料

图片
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~

读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)

程序员橘子
关注
  • 30
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vxlan-gbp:VXLAN 组策略扩展
07-02
快速通道:流浪运行vagrant up将为两个名为kernel1和kernel2基于 Fedora 20 的 VM 提供启用 VXLAN-GBP 的内核、iproute2 和 Open vSwitch。 使用vagrant ssh登录虚拟机。 这将为您提供以下拓扑: +-----------------...
软件定义网络w : OpenFlow 和 和 VxLAN
08-20
简单介绍软件定义网络的基础协议和Vxlan技术,可以作为基础知识学习和了解SDN网络
vlanvxlan基础篇(上)
heibaikong6的博客
09-15 2614
一、为何会出现VXLAN? 第一个想到是的,难道是因为VLAN技术功能不够强大?还是VLAN的数量有限制?还是VLAN技术在特定的场景中不能使用? 找了很多的资料,总结最主要的三点: 虚拟化技术的出现,使得企业使用物理设备虚拟多台虚拟机的方式组网,应用模块和应用数量增加,导致VLAN的数量需求也在增加,所以VLAN4094的数量确实不够用了。 共有云厂商的出现,使得多租户的 网络之间可能存在I...
BGP in the datacenter, 数据中心的BGP,数据中心网络架构,Clos网络架构
曹世宏的博客
04-18 9448
数据中心的BGP 说明: 这是最近在学习《BGP in the datacenter》。由于原文是全英文。所以在学习过程中,利用谷歌翻译和网易翻译,再把翻译不通的地方,加上自己理解稍微改了改。在此共享出来,需要的人可以参考参考。 原文链接:https://www.oreilly.com/library/view/bgp-in-the/9781491983416/ 前言 这本小册子是我在与大大...
漫步云中网络
翟海飞
08-14 2242
 阅读本文前,最好能先了解以下的知识: 了解 OpenStack 将有助于对本文的理解。本文讲解的是 Linux 虚拟网络中的一般原理方法 , 虽不仅限于应用在 OpenStack 之中 , 但本文的实验是以 OpenStack 为基础的。OpenStack 是一个开源的 IaaS 云 , 您可以从 devstack 脚本 ( http://devstack.org/) 开始熟悉它。
【2024】优秀的网络安全工程师应该有哪些能力?
Javachichi的博客
01-09 521
我之所以没有排障成功主要有如下几个原因:①。
Kubernetes CNI网络最强对比:Flannel、Calico、Canal和Weave_canal calico
m0_74918915的博客
04-17 1049
同一主机中的Pod可以使用Docker桥接进行通信,而不同主机上的pod会使用flanneld将其流量封装在UDP数据包中,以便路由到适当的目标。这些插件既可以确保满足Kubernetes的网络要求,又能为Kubernetes集群管理员提供他们所需的某些特定的网络功能。从管理角度来看,它提供了一个简单的网络模型,用户只需要一些基础知识,就可以设置适合大多数用例的环境。在overlay网络中,封装被用于从虚拟网络转换到底层地址空间,从而能路由到不同的位置(数据包可以被解封装,并继续到其目的地)。
【2024】优秀的网络安全工程师应该有哪些能力?_2024 没有故障
【2023EI会议列表】
04-14 565
我之所以没有排障成功主要有如下几个原因:①。
28-云中网络的隔离GRE、VXLAN:虽然住一个小区,也要保护隐私1
08-03
1. 主机A在左边的网络,IP地址为192.168.1.102,它想要访问主机B,主机B在右边的网络,IP地址为192.168.2.115 2. 根据路由表,从
ENSPLAB笔记:配置VXLAN(分布式网关)配置文件
04-04
Leaf1, Leaf2, BL1, Spine1 config file.
浅谈openstack中使用linux_bridge实现vxlan网络
01-20
这是另一个故事,后面有专门章节讲解。) 计算节点网卡 ens33 ,ip = 172.171.5.201 一 vxlan配置 1 控制节点: 编辑/etc/neutron/plugins/ml2/ml2_conf.ini文件 配置tenant_network_types = vxlan。该配置意义是...
Java网络编程(上)
最新发布
qq_34471880的博客
06-01 815
数据在网络的传输, 局域网的概念, 广域网的概念, 网络协议, TCP五层模型, 网络封装 网络分用
冶炼钢铁厂热风炉发酵池煤矸石进回水无线远程温度监测
weixin_46970383的博客
05-30 299
Modbus RTU 标准Modbus-RTU通信协议。Modbus RTU使用二进制格式传输数据,并使用串行通信协议(如RS-232或RS-485)进行数据传输。它通常用于连接不同厂家的可编程逻辑控制器(PLC)、传感器、执行器和其他自动化设备。
note-网络是怎样连接的4 接入网和网络运营商
qq_42783188的博客
05-29 413
在BAS和运营商路由器之间的ADSL/FTTH接入服务商的网络中建立隧道,把用户到BAS的接入网连接起来,形成一条从用户一直到运营商路由器的通道。这些状况不是稳定出现的。一方路由器让相连的运营商的路由器告知路由信息后,就能知道对方路由器连接的所有网络,把这些信息写入自己的路由表中,就能向那些网络发送包了。运营商之间的路由交换是在特定路由器间一对一进行的,运营商可以只将路由信息提供给交了费的运营商,没交费的运营商无法将网络包发送过来。Modem产生的信号是以一定周期振动的波,振动的起始位置不同,波形就不同。
解密网络流量监控:优化IT运维的利器
Johnstons的博客
05-29 340
通过实时监测和分析网络流量,管理员可以及时发现并解决网络问题,确保业务的顺畅进行。作为一名资深网络工程师,我将分享一些关于网络流量监控的重要知识,并探讨如何在IT运维中运用这一工具优化网络性能,确保业务的顺畅进行。网络流量监控是指对网络中的数据流进行实时监测和分析,以了解网络使用情况、性能状况和潜在问题。通过网络流量监控,可以及时发现网络拥塞、异常流量和安全威胁,帮助管理员快速做出反应,保障网络的稳定运行。定期对监控数据进行分析,发现网络性能问题的潜在原因,并采取相应的优化措施,从而持续提升网络性能。
IP协议说明
banchengl的博客
05-28 1262
IP 指网际互连协议, Internet Protocol 的缩写,是 TCP/IP 体系中的网络层协议。设计 IP 的目的是提高网络的可扩展性:一是解决互联网问题,实现大规模、异构网络的互联互通;二是分割顶层网络应用和底层网络技术之间的耦合关系,以利于两者的独立发展。根据端到端的设计原则, IP 只为主机提供一种无连接、不可靠的、尽力而为的数据包传输服务。
计算机网络 第一章 计算机网络体系结构
2401_84080967的博客
05-30 814
网络由加上组成,其实准确来说,对于网络还应该加上。其中所谓的节点可以是计算机、路由器、集线器或是路由器,链路是节点之间的连接线路,可以是无线也可以是有线。这就是网络,当使用路由器之后,我们就可以将多个网络连接在一起形成所谓的,也就是网络网络。同时需要注意以下两个名词的表达,小写的internet和大小的Internet,小写的就是泛指多个计算机网络相互连接成为计算机网络,而大写的表示为当经全球最大的特定的计算机网络,采用TCP/IP协议族作为通信协议。
主机加固解决方案分享
Canon_YK的博客
05-30 365
深信达MCK主机加固系统是基于可信计算技术,锁定工作场景、实行严格场景白名单控制,受保护的主机只能做白名单规定的事情,任何白名单之外的、陌生程序都无法运行。通过采取一系列关键措施,我们可以有效提高主机的保密性、完整性、可用性和安全性,从而保障数据的安全和业务的连续性。在未来,随着网络安全威胁的不断增加和技术的不断进步,主机加固将继续发挥重要作用,为我们的网络安全保驾护航。通过及时安装最新的安全补丁和更新程序,我们可以修复已知的系统漏洞,增强主机的防御能力。防火墙是主机加固的重要组成部分。
vxlan网络中,隧道两端的VTEP是要保证vni一致吗
07-12
VNI是VXLAN中用于标识虚拟网络的一个32位标识符,它用于将二层帧封装在VXLAN隧道中进行传输。VNI的一致性非常重要,因为它允许VTEP在接收到VXLAN帧时正确地解封装并将其转发到正确的目标虚拟机。 当两个VTEP之间...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值