參考2個專業的資源:
http://www.h3c.com/cn/d_201811/1131076_30005_0.htm
https://support.huawei.com/enterprise/zh/doc/EDOC1100087027
傳統VLAN網絡
VLAN概念
VLAN(Virtual Local Area Network)即虛擬局域網,是將一個物理的LAN在邏輯上劃分成多個廣播域的通信技術。每個VLAN是一個廣播域,VLAN內的主機間通信就和在一個LAN內一樣,而VLAN間則不能直接互通,這樣,廣播報文就被限制在一個VLAN內。
如圖,兩臺交換機放置在不同的地點,比如寫字樓的不同樓層,每臺交換機連接兩臺屬於不同企業用戶的計算機,此時就可以將兩臺計算機劃分到不同的VLAN,實現對不同企業用戶的隔離。
VLAN報文
IEEE 802.1Q協議規定,在以太網數據幀的目的MAC地址和源MAC地址字段之後、協議類型字段之前加入4個字節的VLAN標籤(又稱VLAN Tag,簡稱Tag),用以標識VLAN信息。其中,數據幀中的VID(VLAN ID)字段標識了該數據幀所屬的VLAN,共12bit,數據幀只能在其所屬VLAN內進行傳輸。一共支持4096個租戶VLAN。
傳統VLAN的限制
1、傳統vlan標籤受限於4096個(12bit)標籤,當租戶數量劇增,又必須隔離租戶,傳統的vlan滿足不了要求;
2、傳統vlan無法滿足虛擬機動態遷移,虛擬化遷移業務要求遷移後IP不變,要求提供一個無障礙接入的網絡,所以必須是大2層的網絡結構;
VXLAN
VXLAN概念
VXLAN(Virtual eXtensible Local Area Network,虛擬擴展局域網),是由IETF定義的NVO3(Network Virtualization OverLayer 3)標準技術之一,是對傳統VLAN協議的一種擴展。VXLAN的特點是將L2的以太幀封裝到UDP報文中,並在L3網絡中傳輸。VXLAN本質上是一種隧道技術,在源網絡設備與目的網絡設備之間的IP網絡上,建立一條邏輯隧道,將用戶側報文經過特定的封裝後通過這條隧道轉發。從用戶的角度來看,接入網絡的服務器就像是連接到了一個虛擬的二層交換機的不同端口上(可把藍色三角形虛框表示的數據中心VXLAN網絡看成一個二層虛擬交換機),可以方便地通信。從服務器的角度看,VXLAN爲它們將整個數據中心基礎網絡虛擬成了一臺巨大的“二層交換機”,所有服務器都連接在這臺虛擬二層交換機上。而基礎網絡之內如何轉發都是這臺“巨大交換機”內部的事情,服務器完全無需關心。
VXLAN關鍵術語
l VNI(VXLAN Network Identifier,VXLAN網絡標識符):VXLAN通過VXLAN ID來標識,其長度爲24bit。VXLAN 16M個標籤數解決了VLAN標籤不足的缺點。
l VTEP(VXLAN Tunnel End Point,VXLAN隧道端點):VXLAN的邊緣設備。VXLAN的相關處理都在VTEP上進行,例如識別以太網數據幀所屬的VXLAN、基於VXLAN對數據幀進行二層轉發、封裝/解封裝報文等。VTEP可以是一臺獨立的物理設備,也可以是虛擬機所在宿主服務器的虛擬交換機。
l VXLAN Tunnel:兩個VTEP之間點到點的邏輯隧道。VTEP爲數據幀封裝VXLAN頭、UDP頭、IP頭後,通過VXLAN隧道將封裝後的報文轉發給遠端VTEP,遠端VTEP對其進行解封裝。
l VSI(Virtual Switching Instance,虛擬交換實例):VTEP上爲一個VXLAN提供二層交換服務的虛擬交換實例。VSI可以看作是VTEP上的一臺基於VXLAN進行二層轉發的虛擬交換機,它具有傳統以太網交換機的所有功能。
l VSI-Interface(VSI的虛擬接口):類似於Vlan-Interface,用來處理跨VNI即跨VXLAN的流量。VSI-Interface與VSI一一對應,在沒有跨VNI流量時可以沒有VSI-Interface。
l BD(Bridge-Domain)類似於傳統網絡中VLAN(虛擬局域網)的概念,只不過在VXLAN網絡中,它有另外一個名字BD。不同的VLAN是通過VLAN ID來進行區分的,那不同的BD是通過VNI來區分的。
l 二層子接口, 傳統VLAN網絡中定義了三種不同類型的接口:Access、Trunk、Hybrid。這三種類型的接口雖然應用場景不同,但它們的最終目的是一樣的:一是根據配置來檢查哪些報文是允許通過的;二是判斷對檢查通過的報文做怎樣的處理。在VXLAN網絡中,VTEP上的接口也承擔着類似的任務,是一個叫做“二層子接口”的邏輯接口。
VXLAN報文
作爲傳統的網絡隔離技術,VLAN的TAG VID數量只有4000個,無法滿足大型數據中心的租戶間隔離需求。另外,VLAN的二層範圍一般較小且固定,無法支持虛擬機大範圍的動態遷移。
l VXLAN Header
增加VXLAN頭(8字節),其中包含24bit的VNI字段,用來定義VXLAN網絡中不同的租戶(共支持16777216租戶)。此外,還包含VXLAN Flags(8bit,取值爲00001000)和兩個保留字段(分別爲24bit和8bit)。
l UDP Header
VXLAN頭和原始以太幀一起作爲UDP的數據。UDP頭中,目的端口號(VXLAN Port)固定爲4789,源端口號(UDP Src. Port)是原始以太幀通過哈希算法計算後的值。
l Outer IP Header
封裝外層IP頭。其中,源IP地址(Outer Src. IP)爲源VM所屬VTEP的IP地址,目的IP地址(Outer Dst. IP)爲目的VM所屬VTEP的IP地址。
l Outer MAC Header
封裝外層以太頭。其中,源MAC地址(Src. MAC Addr.)爲源VM所屬VTEP的MAC地址,目的MAC地址(Dst. MAC Addr.)爲到達目的VTEP的路徑中下一跳設備的MAC地址。
虛擬機如何接入VXLAN
二層子接口主要做兩件事:一是根據配置來檢查哪些報文需要進入VXLAN隧道;二是判斷對檢查通過的報文做怎樣的處理。在二層子接口上,可以根據需要定義不同的流封裝類型(類似於傳統網絡中不同的接口類型)。以華爲CloudEngine系列交換機爲例,目前支持的流封裝類型有dot1q、untag、qinq和default四種類型:
l dot1q:對於帶有一層VLAN Tag的報文,該類型接口只接收與指定VLAN Tag匹配的報文;對於帶有兩層VLAN Tag的報文,該類型接口只接收外層VLAN Tag與指定VLAN Tag匹配的報文。
l untag:該類型接口只接收不帶VLAN Tag的報文。
l qinq:該類型接口只接收帶有指定兩層VLAN Tag的報文。
l default:允許接口接收所有報文,不區分報文中是否帶VLAN Tag。不論是對原始報文進行VXLAN封裝,還是解封裝VXLAN報文,該類型接口都不會對原始報文進行任何VLAN Tag處理,包括添加、替換或剝離。
下面一臺虛擬化服務器中有兩個不同VLAN VID的虛擬機VM1(VLAN 10)和VM2(VLAN 20),它們與其他虛擬機通信時需要接入VXLAN網絡。此時我們可以分別在VTEP的物理接口10GE 1/0/1上,分別針對VM1和VM2封裝不同的二層子接口,並將其分別加入不同的BD。這樣後續VM1和VM2的流量將會進入不同的VXLAN隧道繼續轉發。vSwitch的上行口配置成Trunk模式。這樣vSwitch發給VTEP的報文中,既有帶tag的VM1流量(對應BD 10,VNI 5000),又有untag的VM2流量(對應BD 20,VNI 6000),此時在VTEP的接入口上創建兩個二層子接口,分別配置爲dot1q和untag的封裝類型。
交換機相關命令行
1、建立VNI-BD映射
bridge-domain 10 //表示創建一個“大二層廣播域”BD,其編號爲10
vxlan vni 5000 //表示在BD 10下,指定與之關聯的VNI爲5000,BD與VNI是1:1的映射關係
2、查看映射
display vxlan vni
Number of vxlan vni : 1
VNI BD-ID State
---------------------------------------
5000 10 up
3、二層子接口命令
interface 10GE1/0/1.1 mode l2 //創建二層子接口10GE1/0/1.1
encapsulation dot1q vid 10 //只允許攜帶VLAN Tag 10的報文進入VXLAN隧道
bridge-domain 10 //指定報文進入的是BD 10
interface 10GE1/0/1.2 mode l2 //創建二層子接口10GE1/0/1.2
encapsulation untag //只允許不攜帶VLAN Tag的報文進入VXLAN隧道
bridge-domain 20 //指定報文進入的是BD 20
VXLAN網絡之上的SDN
SDN提供從應用到物理網絡的自動映射、資源池化部署和可視化運維,協助客戶構建以業務爲中心的網絡業務動態調度能力。即可以獨立承擔業務呈現/協同的工作,也支持通過標準化的北向接口開放能力與業界主流雲平臺無縫對接,使得客戶可以根據自身業務發展,靈活部署和調度網絡資源,讓數據中心網絡更敏捷地爲雲業務服務。通過支持北向對接雲平臺,南向對接物理交換機、虛擬交換機、防火牆,實現了對網絡資源的管理控制及計算、存儲等資源的協同發放。
