VXLAN大二層技術

1.VXLAN背景

由redhat、思科、vmware、arista等眾多網絡廠商聯合開發的共有協議，互聯互通可操作性強

VXLAN(Virtual eXtensible LAN)是一種overlay網絡技術，VXLAN的特點是將L2的以太幀封裝到UDP報文（即L2 over L4）中，並在L3網絡中傳輸。

如圖1-1所示，VXLAN本質上是一種隧道技術，在源網絡設備與目的網絡設備之間的IP網絡上，建立一條邏輯隧道，將用戶側報文經過特定的封裝后通過這條隧道轉發。從用戶的角度來看，接入網絡的服務器就像是連接到了一個虛擬的二層交換機的不同端口上（可把藍色虛框表示的數據中心VXLAN網絡看成一個二層虛擬交換機），可以方便地通信。

 

 VXLAN已經成為當前構建數據中心的主流技術，是因為它能很好地滿足數據中心里虛擬機動態遷移和多租戶等需求。

2.VXLAN使用場景

眾所周知，同一台二層交換機可以實現下掛服務器之間的二層通信，而且服務器從該二層交換機的一個端口遷移到另一個端口時，IP地址是可以保持不變的。這樣就可以滿足虛擬機動態遷移的需求了。VXLAN的設計理念和目標正是由此而來的。

（1）大型數據中心DC內部，由於跨域多個核心交換后，要使用二層技術實現互通，數據中心內部的L3 SWITCH和router運行的路由協議，是為了DC內的公網或者私有IP能有路由

（2）公網IP通常是分配給客戶的網段，用於讓客戶能通過ssl VPN，ipsec VPN等方式訪問自己在DC內部的設備

（3）私網IP分為兩種：

• DC內部管理網段，登錄設備，ssh，telnet，包括snmp，netflow
• DC屬於私有雲或者公有雲架構，體現在DC內的租戶tenant，每個tenant都有自己的獨立的私網IP段，有可能是IPV4或者IPV6，要保證每個租戶（tenant）完全隔離的

（4）客戶要求在DC內，能夠跨越三層網絡，讓二層設備互訪，必須用VXLAN

（5）DC管理員可以為客戶提供純L2的接入，中間通過trunk打通，就算是給客戶提供L2接入，VLAN如何分配？VLAN是要占用整個DC，VLAN的數量不能和其他客戶沖突，因為Vlan的個數最大4096個

（6）跨域DC之間的公有雲架構，客戶在北京，上海，東京，倫敦4個site都有站點，通過公有雲做全互聯架構

客戶在北京，上海，東京，倫敦4個site都有站點，通過公有雲做全互聯架構，運行BGP或者其他L3協議，實現多個site內網之間的互通，必須使用VXLAN技術，有可能使用到BGP-EVPN

3.VXLAN網絡架構部署方式

（1）傳統網絡是接入層，匯聚層，核心層，改為兩層架構，spine+leaf架構

vxlan gateway:實現了Vlan和VXLAN之間的轉換的關系

VXLAN的實現可以通過軟件（如：wmware的虛擬交換機，cisco的nexus 1000v），也可以通過硬件來實現（如：Cisco的nexus 3k, 5k, 7k, 9k來實現）

在這個圖中，也體現了多租戶，所謂多租戶，就是提供了網絡和網絡之間的隔離，每個VXLAN面向一個客戶，客戶和客戶之間進行隔離。圖中的藍色和綠色區域就是兩個不同的vxlan。

（2）在underlay層面，提供ECMP協議最多支持64路多上聯，所有鏈路實現無block網絡，全可以轉發數據

（3）在overlay層面，可以通過VXLAN技術，實現不同的tenant之間的完全隔離，實現一個跨域DC設備之間的大二層技術

（4）對於客戶來說，通過VXLAN可以實現點對點同網段之間的通信，可以跑類似於L2的方式互聯，也可以通過路由協議BGP等實現L3方式互聯，VXLAN對於客戶來說，是透明不存在的，如：客戶設計的點對點的分配VLAN10，VXLAN(VNI)分配的10001

4.Overlay

Overlay是虛擬機業務通信所在的網絡平面。主要目的是實現虛擬機之間通信及虛擬機與外網通信。

VXLAN網關有哪些種類

VXLAN二層網關與三層網關

和VLAN類似，不同VNI之間的主機，以及VXLAN網絡和非VXLAN網絡中的主機不能直接相互通信。為了滿足這些通信需求，VXLAN引入了VXLAN網關的概念。VXLAN網關分為二層網關和三層網關：

• VXLAN二層網關：用於終端接入VXLAN網絡，也可用於同一VXLAN網絡的子網通信。

• VXLAN三層網關：用於VXLAN網絡中跨子網通信以及訪問外部網絡。

VXLAN集中式網關與分布式網關

根據三層網關部署方式的不同，VXLAN三層網關又可以分為集中式網關和分布式網關。

VXLAN集中式網關

集中式網關是指將三層網關集中部署在一台設備上，如下圖所示，所有跨子網的流量都經過這個三層網關轉發，實現流量的集中管理。

主要典型場景有以下兩種：集中式網關（圖4.1）和分布式網關（圖4.2）。由於分布式網關擴容方便，所以現網中主推分布式網關。

（1）集中式網關

 

　　　　　　　　　　　　　　　　　　　　　圖4.1

集中式網關：不同網段的虛擬機之間通信，數據流需要通過Spine的3層VXLAN網關設備轉發，適用於南北向流量大，流量走向次優，邏輯、配置簡單。

 

 （2）分布式網關

VXLAN分布式網關

通過部署分布式網關可以解決集中式網關部署的缺點。VXLAN分布式網關是指在典型的“Spine-Leaf”組網結構下，將Leaf節點作為VXLAN隧道端點VTEP，每個Leaf節點都可作為VXLAN三層網關（同時也是VXLAN二層網關），Spine節點不感知VXLAN隧道，只作為VXLAN報文的轉發節點。如下圖所示，Server1和Server2不在同一個網段，但是都連接到同一個Leaf節點。Server1和Server2通信時，流量只需要在該Leaf節點上轉發，不再需要經過Spine節點。

部署分布式網關時：

• Spine節點：關注於高速IP轉發，強調的是設備的高速轉發能力。
• Leaf節點：
  • 作為VXLAN網絡中的二層網關設備，與物理服務器或VM對接，用於解決終端租戶接入VXLAN虛擬網絡的問題。
  • 作為VXLAN網絡中的三層網關設備，進行VXLAN報文封裝/解封裝，實現跨子網的終端租戶通信，以及外部網絡的訪問。

 

 　　　　　　　　　　　　　　　　　　　　圖4.2

分布式網關：不同網段的虛擬機之間通信，數據流可以通過上連的Leaf 3層VXLAN網關設備轉發，適用於東西向流量大，流量走向更優化，邏輯、配置復雜。

 

 

 參考文檔：什么是VXLAN