數(shù)據(jù)中心:VxLAN技術(shù)及園區(qū)網(wǎng)絡(luò)虛擬化
01
概述
虛擬機(jī)規(guī)模受設(shè)備表項(xiàng)規(guī)格限制
網(wǎng)絡(luò)隔離能力限制
虛擬機(jī)遷移范圍受限
VXLAN(Virtual eXtensible Local Area Network,虛擬擴(kuò)展局域網(wǎng))在本質(zhì)上屬于一種VPN技術(shù),能夠在任意路由可達(dá)的網(wǎng)絡(luò)上疊加二層虛擬網(wǎng)絡(luò),通過(guò)VXLAN網(wǎng)關(guān)實(shí)現(xiàn)VXLAN網(wǎng)絡(luò)內(nèi)部的互通,同時(shí),也可以實(shí)現(xiàn)與傳統(tǒng)的非VXLAN網(wǎng)絡(luò)的互通。 VXLAN通過(guò)采用MAC in UDP封裝來(lái)延伸二層網(wǎng)絡(luò),將以太報(bào)文封裝在IP報(bào)文之上,通過(guò)路由在網(wǎng)絡(luò)中傳輸,中間的傳輸網(wǎng)絡(luò)無(wú)需關(guān)注虛擬機(jī)的MAC地址,且路由網(wǎng)絡(luò)無(wú)網(wǎng)絡(luò)結(jié)構(gòu)限制,具備大規(guī)模擴(kuò)展能力。通過(guò)路由網(wǎng)絡(luò),虛擬機(jī)遷移不受網(wǎng)絡(luò)架構(gòu)限制。
針對(duì)虛擬機(jī)規(guī)模受設(shè)備表項(xiàng)規(guī)格限制
針對(duì)網(wǎng)絡(luò)隔離能力限制
虛擬機(jī)遷移范圍受限
通過(guò)引入虛擬化技術(shù),在園區(qū)網(wǎng)絡(luò)中基于一張物理網(wǎng)絡(luò)創(chuàng)建多張?zhí)摂M網(wǎng)絡(luò)(VN,Virtual Network)。不同的虛擬網(wǎng)絡(luò)應(yīng)用于不同的業(yè)務(wù),例如辦公、研發(fā)或物聯(lián)網(wǎng)等。 通過(guò)iMaster NCE(華為園區(qū)網(wǎng)絡(luò)SDN控制器)實(shí)現(xiàn)全網(wǎng)設(shè)備集中管理,管理員通過(guò)圖形化界面實(shí)現(xiàn)網(wǎng)絡(luò)配置。 iMaster NCE將管理員的網(wǎng)絡(luò)業(yè)務(wù)配置意圖“翻譯”成設(shè)備命令,通過(guò)NETCONF協(xié)議將配置下發(fā)到各臺(tái)設(shè)備,實(shí)現(xiàn)網(wǎng)絡(luò)的自動(dòng)駕駛。
02
VXLAN的基本概念
VTEP是VXLAN隧道端點(diǎn),位于NVE中,用于VXLAN報(bào)文的封裝和解封裝。 VXLAN報(bào)文(的外層IP頭部)中源IP地址為源端VTEP的IP地址,目的IP地址為目的端VTEP的IP地址。 一對(duì)VTEP地址就對(duì)應(yīng)著一條VXLAN隧道。 在源端封裝報(bào)文后通過(guò)隧道向目的端VTEP發(fā)送封裝報(bào)文,目的端VTEP對(duì)接收到的封裝報(bào)文進(jìn)行解封裝。 通常情況下使用設(shè)備的Loopback接口地址作為VTEP地址。
類(lèi)似VLAN ID,用于區(qū)分VXLAN段。不同VXLAN段的虛擬機(jī)不能直接二層相互通信。 一個(gè)租戶可以有一個(gè)或多個(gè)VNI,VNI長(zhǎng)度為24bit。
類(lèi)似傳統(tǒng)網(wǎng)絡(luò)中采用VLAN劃分廣播域,在VXLAN網(wǎng)絡(luò)中一個(gè)BD就標(biāo)識(shí)一個(gè)大二層廣播域。 VNI以1:1方式映射到廣播域BD,同一個(gè)BD內(nèi)的終端可以進(jìn)行二層互通。
03
VXLAN二層網(wǎng)關(guān)、三層網(wǎng)關(guān)
04
VBDIF
類(lèi)似于傳統(tǒng)網(wǎng)絡(luò)中采用VLANIF解決不同廣播域互通的方法,在VXLAN中引入了VBDIF的概念。 VBDIF接口在VXLAN三層網(wǎng)關(guān)上配置,是基于BD創(chuàng)建的三層邏輯接口。 通過(guò)VBDIF接口配置IP地址可實(shí)現(xiàn)不同網(wǎng)段的VXLAN間,及VXLAN和非VXLAN的通信,也可實(shí)現(xiàn)二層網(wǎng)絡(luò)接入三層網(wǎng)絡(luò)。
05
?分布式與集中式網(wǎng)關(guān)
優(yōu)點(diǎn):跨子網(wǎng)流量集中管理,簡(jiǎn)化網(wǎng)關(guān)部署和管理。 缺點(diǎn):轉(zhuǎn)發(fā)路徑并非最優(yōu)。
優(yōu)點(diǎn):跨子網(wǎng)流量轉(zhuǎn)發(fā)路徑更優(yōu)。 缺點(diǎn):網(wǎng)關(guān)部署、故障定位及網(wǎng)絡(luò)運(yùn)維相對(duì)集中式網(wǎng)關(guān)復(fù)雜。VTEP節(jié)點(diǎn)之間需交互及維護(hù)主機(jī)路由。
06
?VXLAN隧道的建立方式
07
VXLAN在CloudCampus解決方案中的典型應(yīng)用
基于物理網(wǎng)絡(luò)構(gòu)建一個(gè)Fabric。 采用分布式網(wǎng)關(guān)方案。
創(chuàng)建2個(gè)VN,分別為辦公(OA)及研發(fā)(RD)。 缺省時(shí),2個(gè)VN完全隔離,VN內(nèi)可實(shí)現(xiàn)同子網(wǎng)、跨子網(wǎng)互訪。 2個(gè)VN均可訪問(wèn)FW所上聯(lián)的外部網(wǎng)絡(luò)。 2個(gè)VN內(nèi)的終端均可通過(guò)DHCP Server獲取IP地址。
用戶根據(jù)業(yè)務(wù)需求,將物理設(shè)備(核心交換機(jī)、匯聚交換機(jī)及接入交換機(jī))添加到Fabric中。 用戶指定交換機(jī)的角色:Border節(jié)點(diǎn)及Edge節(jié)點(diǎn)。 iMaster NCE自動(dòng)將Border指定為RR,優(yōu)化網(wǎng)絡(luò)邏輯架構(gòu)、BGP對(duì)等體關(guān)系模型。 用戶預(yù)定義2個(gè)“外部網(wǎng)絡(luò)”,用于供2個(gè)VN到達(dá)外部網(wǎng)絡(luò)。 用戶定義1個(gè)“網(wǎng)絡(luò)服務(wù)資源”,用于后續(xù)終端通過(guò)該資源(中的DHCP Server)獲取IP地址。
iMaster NCE根據(jù)已發(fā)現(xiàn)的物理網(wǎng)絡(luò)拓?fù)洌Y(jié)合用戶所定義的Fabric網(wǎng)絡(luò),自動(dòng)進(jìn)行網(wǎng)絡(luò)編排(用戶可選擇OSPF多區(qū)域或單區(qū)域,是否針對(duì)OSPF報(bào)文進(jìn)行認(rèn)證等)。 iMaster NCE根據(jù)網(wǎng)絡(luò)編排結(jié)果將Underlay網(wǎng)絡(luò)配置自動(dòng)下發(fā)到設(shè)備,使得設(shè)備之間IP可達(dá)。完成本步驟后,交換機(jī)便自動(dòng)獲得互聯(lián)IP地址、VLAN配置,以及OSPF配置,交換機(jī)之間實(shí)現(xiàn)了路由可達(dá)。 iMaster NCE將Fabric配置自動(dòng)下發(fā)到設(shè)備,設(shè)備之間建立BGP EVPN對(duì)等體關(guān)系,完成控制面的準(zhǔn)備工作。
用戶分別創(chuàng)建OA及RD虛擬網(wǎng)絡(luò),指定虛擬網(wǎng)絡(luò)的IP網(wǎng)段/VLAN、網(wǎng)關(guān)地址、所關(guān)聯(lián)的外部網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)資源,以及終端接入點(diǎn)位。 iMaster NCE將用戶意圖翻譯成配置下發(fā)到網(wǎng)絡(luò)設(shè)備上。
BGP EVPN將用于建立VXLAN隧道的相關(guān)信息在對(duì)等體之間通告。 設(shè)備之間建立VXLAN隧道,為后續(xù)的數(shù)據(jù)轉(zhuǎn)發(fā)做準(zhǔn)備。
銷(xiāo)售員工A接入網(wǎng)絡(luò),首先完成用戶認(rèn)證,認(rèn)證成功后,認(rèn)證點(diǎn)Edge1獲得該用戶的授權(quán)結(jié)果,將用戶劃分到對(duì)應(yīng)VLAN。 A發(fā)起DHCP請(qǐng)求,該請(qǐng)求到達(dá)網(wǎng)關(guān)設(shè)備Edge1后,后者將DHCP請(qǐng)求進(jìn)行中繼,中繼報(bào)文通過(guò)VXLAN隧道轉(zhuǎn)發(fā)給Border。 Border將VXLAN解封裝,并將DHCP中繼報(bào)文轉(zhuǎn)發(fā)給DHCP Server。 DHCP Server為A分配IP地址。
銷(xiāo)售員工A與B通過(guò)準(zhǔn)入認(rèn)證,接入園區(qū)網(wǎng)絡(luò)。 以銷(xiāo)售員工B為例,Edge2將其MAC地址通過(guò)BGP更新報(bào)文通告給Border,后者將其反射給Edge1。 Edge1學(xué)習(xí)到MAC地址0000.0002。 當(dāng)A發(fā)送數(shù)據(jù)給B時(shí),流量到達(dá)Edge1后,Edge1將其執(zhí)行VXLAN封裝,然后轉(zhuǎn)發(fā)到Edge2。后者VXLAN解封裝后送達(dá)目的地。
銷(xiāo)售員工C通過(guò)準(zhǔn)入認(rèn)證,接入園區(qū)網(wǎng)絡(luò)。 Edge2將其主機(jī)路由通過(guò)BGP更新報(bào)文通告給Border,后者將其反射給Edge1。 Edge1學(xué)習(xí)到1.20.1/32路由,路由下一跳為2.2.2.2,出接口為VXLAN隧道接口。 當(dāng)A發(fā)送數(shù)據(jù)給C時(shí),流量到達(dá)Edge1后,Edge1將其執(zhí)行VXLAN封裝,然后轉(zhuǎn)發(fā)到Edge2。后者VXLAN解封裝后送達(dá)目的地。
當(dāng)用戶將外部網(wǎng)絡(luò)(目的網(wǎng)段為2.3.0/24)關(guān)聯(lián)到OA虛擬網(wǎng)絡(luò)后,iMaster NCE會(huì)將路由信息下發(fā)至Border,并由Border將上述外部路由重分發(fā)到BGP,通告給Edge1和Edge2。 當(dāng)A發(fā)送數(shù)據(jù)到2.3.0/24時(shí),流量送達(dá)Edge1后,由其進(jìn)行VXLAN封裝,然后送至Border,后者將VXLAN解封裝,然后將IP報(bào)文轉(zhuǎn)發(fā)給FW。
原文作者:迷圖小書(shū)童?
原文鏈接:
https://blog.csdn.net/devcloud/article/details/113585563
扣我2021
轉(zhuǎn)載申明:轉(zhuǎn)載本號(hào)文章請(qǐng)注明作者和來(lái)源,本號(hào)發(fā)布文章若存在版權(quán)等問(wèn)題,請(qǐng)留言聯(lián)系處理,謝謝。
推薦閱讀
更多架構(gòu)相關(guān)技術(shù)知識(shí)總結(jié)請(qǐng)參考“架構(gòu)師全店鋪技術(shù)資料打包”相關(guān)電子書(shū)(37本技術(shù)資料打包匯總詳情可通過(guò)“閱讀原文”獲取)。
全店內(nèi)容持續(xù)更新,現(xiàn)下單“全店鋪技術(shù)資料打包(全)”,后續(xù)可享全店內(nèi)容更新“免費(fèi)”贈(zèng)閱,價(jià)格僅收198元(原總價(jià)350元)。
溫馨提示:
掃描二維碼關(guān)注公眾號(hào),點(diǎn)擊閱讀原文鏈接獲取“架構(gòu)師技術(shù)全店資料打包匯總(全)”電子書(shū)資料詳情。
評(píng)論
圖片
表情