vxlan理論基礎

vxlan理論基礎

1、 vxlan優勢；
1）、解決VLAN Tag域只有12比特的限制，通過24比特的VNI可以支持多達16M的VXLAN段的網絡隔離，對用戶進行隔離和標識不再受到限制，可滿足海量租戶。
2）、除VXLAN網絡邊緣設備，網絡中的其他設備不需要識別虛擬機的MAC地址，減輕了設備的MAC地址學習壓力，提升了設備性能。
3）、採用MAC in UDP封裝來延伸二層網絡，實現了物理網絡和虛擬網絡解耦。

---

2、 vxlan基本概念；
1）、Underlay網絡和Overlay網絡：
將已有的物理網絡作爲Underlay網絡，在其上構建出虛擬的二層或三層網絡，即Overlay網絡。（即：建立VXLAN隧道的基礎網絡稱爲Underlay網絡，VXLAN隧道所承載的業務網絡稱爲Overlay網絡。）
Overlay網絡通過封裝技術、利用Underlay網絡提供的三層轉發路徑，實現租戶報文在不同站點間傳遞。對於租戶來說，Underlay網絡是透明的，只能感知到Overlay網絡。

2）、NVE（Network Virtualization Edge）：
網絡虛擬邊緣節點NVE，實現網絡虛擬化功能的網絡實體。報文經過NVE封裝轉換後，NVE間就可基於三層基礎網絡建立二層虛擬化網絡。
注：設備和服務器上的虛擬交換機VSwitch都可以作爲NVE。

3）、VTEP（VXLAN Tunnel Endpoints）：
VTEP是VXLAN隧道端點，封裝在NVE中，用於VXLAN報文的封裝和解封裝。
VTEP與物理網絡相連，分配有物理網絡的IP地址，該地址與虛擬網絡無關。
VXLAN報文中源IP地址爲本節點的VTEP地址，VXLAN報文中目的IP地址爲對端節點的VTEP地址，一對VTEP地址就對應着一個VXLAN隧道。

4）、VNI（VXLAN Network Identifier）：
網絡標識，類似VLAN ID，用於區分VXLAN段，不同VXLAN段的虛擬機不能直接二層相互通信。

5）、BD（Bridge Domain）：
VXLAN網絡中轉發數據報文的二層廣播域。
在VXLAN網絡中，將VNI以1:1方式映射到廣播域BD，BD成爲VXLAN網絡轉發數據報文的實體。

6）、VBDIF接口：
基於BD創建的三層邏輯接口。
通過VBDIF接口配置IP地址可實現不同網段的VXLAN間，及VXLAN和非VXLAN的通信，也可實現二層網絡接入三層網絡。

7）、VAP（Virtual Access Point）：
虛擬接入點VAP，即VXLAN業務接入點，可以是二層子接口或VLAN。

8）、網關（Gateway）：
和VLAN類似，不同VNI之間的VXLAN，及VXLAN和非VXLAN之間不能直接相互通信。爲了使VXLAN之間，以及VXLAN和非VXLAN之間能夠進行通信，VXLAN引入了VXLAN網關。
Vxlan網關分類：
a、二層網關：用於解決租戶接入VXLAN虛擬網絡的問題，也可用於同一VXLAN虛擬網絡的子網通信。
b、三層網關：用於VXLAN虛擬網絡的跨子網通信以及外部網絡的訪問。

---

3、 vxlna報文格式；

1）、VXLAN header：
a、VXLAN Flags：8比特，取值爲00001000。
b、VNI：VXLAN網絡標識，24比特，用於區分VXLAN段。
c、Reserved：24比特和8比特，必須設置爲0。
2）、Outer UDP header：
a、DestPort：目的UDP端口號是4789。
b、Source Port：源端口號是內層報文通過哈希算法計算後的值。
3）、Outer IP header：
a、IP SA：源IP地址是VXLAN隧道本端VTEP的IP地址。
b、IP DA：目的IP地址是VXLAN隧道遠端VTEP的IP地址。
4）、Outer Ethernet header：
a、MAC DA：在發送報文的虛擬機所屬VTEP上根據目的VTEP地址查找路由表，路由表中下一跳IP地址對應的MAC地址。
b、MAC SA：發送報文的虛擬機所屬VTEP的MAC地址。
c、802.1Q Tag：可選字段，該字段爲報文中攜帶的VLAN Tag。
d、Ethernet Type：以太報文類型。

---

4、 vxlan三層網關部署方式；
1）、集中式網關部署：

優點：對跨子網流量進行集中管理，網關的部署和管理比較簡單。
缺點：轉發路徑不是最優、ARP表項規格瓶頸。

2）分佈式網關部署：

VXLAN分佈式網關是指在典型的“Spine-Leaf”組網結構下，將Leaf節點作爲VXLAN隧道端點VTEP，每個Leaf節點都可作爲VXLAN三層網關，Spine節點不感知VXLAN隧道，只作爲VXLAN報文的轉發節點。
Vxlan分佈式網關特點：
a、同一個Leaf節點既可以做VXLAN二層網關，也可以做VXLAN三層網關，部署靈活。
b、Leaf節點只需要學習自身連接服務器的ARP表項，而不必像集中三層網關一樣，需要學習所有服務器的ARP表項，解決了集中式三層網關帶來的ARP表項瓶頸問題，網絡規模擴展能力強。

---

5、 E×××基本原理；
E×××（Ethernet Virtual Private Network）是一種用於二層網絡互聯的×××技術。
E×××通過擴展BGP協議新定義了幾種BGP E×××路由，這些BGP E×××路由可以用於傳遞VTEP地址和主機信息，E×××應用於VXLAN網絡中，可以使VTEP發現和主機信息學習從數據平面轉移到控制平面。

---

6、 BGP E×××路由
1）、Type2路由——MAC/IP路由：

Route Distinguisher：該字段爲E×××實例下設置的RD（Route Distinguisher）值。
Ethernet Segment Identifier：該字段爲當前設備與對端連接定義的唯一標識。
Ethernet Tag ID：該字段爲當前設備上實際配置的VLAN ID。
MAC Address Length：該字段爲此路由攜帶的主機MAC地址的長度。
MAC Address：該字段爲此路由攜帶的主機MAC地址。
IP Address Length：該字段爲此路由攜帶的主機IP地址的掩碼長度。
IP Address：該字段爲此路由攜帶的主機IP地址。
MPLS Label1：該字段爲此路由攜帶的二層VNI。
MPLS Label2：該字段爲此路由攜帶的三層VNI。

Type2路由在vxlan控制平面中的作用：
1、主機MAC地址通告：
要實現同子網主機的二層互訪，兩端VTEP需要相互學習主機MAC。作爲BGP E×××對等體的VTEP之間通過交換MAC/IP路由，可以相互通告已經獲取到的主機MAC。其中，MAC Address Length和MAC Address字段爲主機MAC地址。
2、主機ARP通告：
MAC/IP路由可以同時攜帶主機MAC地址+主機IP地址，因此該路由可以用來在VTEP之間傳遞主機ARP表項，實現主機ARP通告。
3、主機IP路由通告：
在分佈式網關場景中，要實現跨子網主機的三層互訪，兩端VTEP（作爲三層網關）需要互相學習主機IP路由。作爲BGP E×××對等體的VTEP之間通過交換MAC/IP路由，可以相互通告已經獲取到的主機IP路由。其中，IP Address Length和IP Address字段爲主機IP路由的目的地址，同時MPLS Label2字段必須攜帶三層VNI。此時的MAC/IP路由也稱爲IRB（Integrated Routing and Bridge）類型路由。
注：ARP類型路由攜帶的有效信息有：主機MAC地址+主機IP地址+二層VNI；IRB類型路由攜帶的有效信息有：主機MAC地址+主機IP地址+二層VNI+三層VNI。因此，IRB類型路由包含着ARP類型路由，不僅可以用於主機IP路由通告，也能用於主機ARP通告。

2）、Type3路由——Inclusive Multicast路由：

由前綴和PMSI屬性組成，各字段解釋如下：
Route Distinguisher：該字段爲E×××實例下設置的RD（Route Distinguisher）值。
Ethernet Tag ID：該字段爲當前設備上的VLAN ID。在此路由中爲全0。
IP Address Length：該字段爲此路由攜帶的本端VTEP IP地址的掩碼長度。
Originating Router's IP Address：該字段爲此路由攜帶的本端VTEP IP地址。
Flags：該字段爲標誌位，標識當前隧道是否需要葉子節點信息。在vxlan場景中，該字段沒有實際意義。
Tunnel Type：該字段爲此路由攜帶的隧道類型。
MPLS Label：該字段爲此路由攜帶的二層VNI。
Tunnel Identifier：該字段爲此路由攜帶的隧道信息。目前，在VXLAN場景中，該字段也是本端VTEP IP地址。

該類型路由在VXLAN控制平面中主要用於VTEP的自動發現和VXLAN隧道的動態建立。作爲BGP E×××對等體的VTEP，通過Inclusive Multicast路由互相傳遞二層VNI和VTEP IP地址信息。其中，Originating Router's IP Address字段爲本端VTEP IP地址，MPLS Label字段爲二層VNI。如果對端VTEP IP地址是三層路由可達的，則建立一條到對端的VXLAN隧道。同時，如果對端VNI與本端相同，則創建一個頭端複製表，用於後續BUM報文轉發。

3）、Type5路由——IP前綴路由：

Route Distinguisher：該字段爲E×××實例下設置的RD（Route Distinguisher）值。
Ethernet Segment Identifier：該字段爲當前設備與對端連接定義的唯一標識。
Ethernet Tag ID：該字段爲當前設備上實際配置的VLAN ID。
IP Prefix Length：該字段爲此路由攜帶的IP前綴掩碼長度。
IP Prefix：該字段爲此路由攜帶的IP前綴。
GW IP Address：該字段爲默認網關地址。該字段在VXLAN場景中沒有實際意義。
MPLS Label：該字段爲此路由攜帶的三層VNI。

該類型路由的IP Prefix Length和IP Prefix字段既可以攜帶主機IP地址，也可以攜帶網段地址：
1、當攜帶主機IP地址時，該類型路由在VXLAN控制平面中的作用與IRB類型路由是一樣的，主要用於分佈式網關場景中的主機IP路由通告。
2、當攜帶網段地址時，通過傳遞該類型路由，可以實現VXLAN網絡中的主機訪問外部網絡。