一、LAN(Local Area Network,局域網)
1.通信方式:
向目標IP地址發送ARP廣播,獲取目的IP地址的MAC地址,然后用單播MAC地址實現相互通信
2.LAN的特點:
1.同一LAN下的節點不需要通過三層設備(路由器)就可以通信。
2.LAN中的結點能夠互相發送廣播報文,這些結點組成了一個廣播域
3.LAN的不足:
當一個LAN中的結點數量增加時,隨之帶來的廣播風暴就會導致整個網絡的癱瘓,。
比較LOW的解決辦法:
買兩台交換機,兩台交換機不做連接,這樣兩個LAN就不會相互影響。
靠譜解決方法:
把一台交換機當成兩台虛擬虛擬交換機,兩台虛擬機交換機相互之間互不影響,並能動態的調整交換機的端口。這就是VLAN
二、VLAN
1.VLAN的特點:
1.一台物理交換機上可以有多個LAN
2.每個LAN之間的廣播報文互相不可達,VLAN之間互不影響。
3.每一個VLAN就是一個廣播域
2.VLAN的優點:
1.提高網絡安全:不同VLAN之間的結點需要通信必須通過三層設備,這種情況下就可以在三層設備上配置訪問列表,阻止部分業務流在VLAN之間的流動。
2.降低開銷:不用另外再買一台物理交換機就可以實現LAN的隔離
3.提高性能:減少邏輯組之間不必要的廣播流量,提升網絡性能
4.減輕廣播風暴
3.VLAN下源地址追蹤:
1.幀標記(顯式標記):根據數據幀進入的端口屬於哪一個VLAN確定(發生在交換機的內部)。在幀進入交換機之前就決定幀屬於哪一個VLAN。
優點:立即標記VLAN
標記機制:IEEE 802.1Q
2.幀過濾(隱式標記):交換機通過某種方式為每個VLAN保持一張MAC地址表,當幀需要轉發時才做出決定
優點:不修改幀
4.802.1Q新增標簽信息
802.1QTag的長度是4bytes,它位於以太網幀中源MAC地址和長度/類型之間。
802.1QTag包含4個字段的含義:
Type:長度為2bytes,表示幀類型,802.1Qtag幀中type字段取固定值0x8100,如果不支持802.1Q的設備收到802.1Q幀,則將其丟棄。
PRI:priority字段,長度為3bit,表示以太網幀的優先級,取值范圍是0~7,數值越大,優先級越高。當交換機/路由器發生傳輸阻塞時,優先發送優先級高的數據幀。
CFI:Canonical FormatIndicator,長度為1bit,表示MAC地址是否是經典格式。CFI為0說明是經典格式,CFI為1表示為非經典格式。該字段用於區分以太網幀、FDDI幀和令牌環網幀,在以太網幀中,CFI取值為0。
VID:VLAN ID,長度為12bit,取值范圍是0~4095,其中0和4095是保留值,不能給用戶使用。
5.VLAN間路由:
VLAN之間的互訪需要借助路由器或三層交換機
三 、VXLAN
1.基本概念
1.VXLAN (Virtual eXtensible Local Area Network,虛擬可拓展局域網):VXLAN是NVO3(Network Virtualization over Layer3)中的一種網絡虛擬化技術,通過將VM或物理服務器發出的數據包封裝在UDP中,並使用物理網絡的IP/MAC作為報文頭進行封裝,然后在IP網絡上傳輸,到達目的地后由隧道終結點解封裝並將數據發送給目標虛擬機或物理服務器。
2. NVE (Network Virtual Endpoint):網絡虛擬邊緣節點NVE,是實現網絡虛擬化功能的網絡實體。報文經過NVE封裝轉換后,NVE間就可基於三層基礎網絡建立二層虛擬化網絡。
3.VTEP(VXLAN Tunnel Endpoints):VTEP是VXLAN隧道端點,封裝在NVE中,用於VXLAN報文的封裝和解封裝。
4. VNI(VXLAN Network Identifier):VXLAN網絡標識VNI類似VLAN ID,用於區分VXLAN段,不同VXLAN段的虛擬機不能直接二層相互通信。
2.VXLAN產生的背景
雲計算和大規模的虛擬化網絡環境的產生。
2.1. 虛擬機規模受網絡規格限制
在大的數據中心,單台交換機連接數十台物理服務器,單台物理服務器又可以虛擬出多台虛擬機,為了保證集群中所有的虛擬機可以正常通信,交換機必須保存所有虛擬機的MAC地址,而MAC地址表的容量限制了虛擬機的數量
2.2. 網絡隔離能力限制
VLAN 使用 12-bit 標記 VLAN ID,最多支持 4094 個 VLAN,這對大型雲部署會成為瓶頸。VXLAN 的 ID (VNI 或者 VNID)則用 24-bit 標記,支持 16777216 個二層網段。
2.3.虛擬機遷移范圍受網絡架構限制
虛擬機啟動后,可能由於服務器資源等問題(如CPU過高,內存不夠等),需要將虛擬機遷移到新的服務器上。為了保證虛擬機遷移過程中業務不中斷,則需要保證虛擬機的IP地址、MAC地址等參數保持不變,這就要求業務網絡是一個二層網絡,且要求網絡本身具備多路徑的冗余備份和可靠性。參考(http://developer.huawei.com/ict/cn/site-agile-network/article/site-doc-vxlan/)
3.VXLAN的優勢
1. 支持更多的二層網段。
VLAN 使用 12-bit 標記 VLAN ID,最多支持 4094 個 VLAN,這對大型雲部署會成為瓶頸。VXLAN 的 ID (VNI 或者 VNID)則用 24-bit 標記,支持 16777216 個二層網段。
2. 能更好地利用已有的網絡路徑。
VLAN 使用 Spanning Tree Protocol 避免環路,這會導致有一半的網絡路徑被 block 掉。VXLAN 的數據包是封裝到 UDP 通過三層傳輸和轉發的,可以使用所有的路徑。
3. 避免物理交換機 MAC 表耗盡。
VXLAN將虛擬機發出的數據包封裝在UDP中,並使用物理網絡的IP/MAC地址作為外層頭進行封裝,對網絡只表現為封裝后的參數。因此,極大降低了大二層網絡對MAC地址規格的需 求。由於采用隧道機制,TOR (Top on Rack) 交換機無需在 MAC 表中記錄虛擬機的信息。
4. 針對虛擬機遷移范圍受網絡架構限制
通過VXLAN構建大二層網絡,保證了在虛擬遷移時虛擬機的IP地址、MAC地址等參數保持不變。
4.VXLAN的報文格式
5.VXLAN包轉發流程
圖中 Host-A 和 Host-B 位於 VNI 10 的 VXLAN,通過 VTEP-1 和 VTEP-2 之間建立的 VXLAN 隧道通信。數據傳輸過程如下:
1. Host-A 向 Host-B 發送數據時,Host-B 的 MAC 和 IP 作為數據包的目標 MAC 和 IP,Host-A 的 MAC 作為數據包的源 MAC 和 IP,然后通過 VTEP-1 將數據發送出去。
2. VTEP-1 從自己維護的映射表中找到 MAC-B 對應的 VTEP-2,然后執行 VXLAN 封裝,加上 VXLAN 頭,UDP 頭,以及外層 IP 和 MAC 頭。此時的外層 IP 頭,目標地址為 VTEP-2 的 IP,源地址為 VTEP-1 的 IP。同時由於下一跳是 Router-1,所以外層 MAC 頭中目標地址為 Router-1 的 MAC。
3. 數據包從 VTEP-1 發送出后,外部網絡的路由器會依據外層 IP 頭進行路由,最后到達與 VTEP-2 連接的路由器 Router-2。
4. Router-2 將數據包發送給 VTEP-2。VTEP-2 負責解封數據包,依次去掉外層 MAC 頭,外層 IP 頭,UDP 頭 和 VXLAN 頭。VTEP-2 依據目標 MAC 地址將數據包發送給 Host-B。
6.關於VXLAN的網關