資料中心網路技術新貴：VXLAN與園區網路虛擬化

摘要：為了應對傳統資料中心網路對伺服器虛擬化技術的限制，VXLAN技術應運而生。

1 概述

傳統資料中心網路面臨的問題

• 虛擬機器規模受裝置表項規格限制

在傳統二層網路中，交換機通過查詢MAC地址表來轉發資料幀，虛擬機器的數量受限於MAC地址表的容量。

伺服器虛擬化後，VM的數量比原有的物理機發生了數量級的增長，而接入側二層裝置的MAC地址表規格較小，無法滿足快速增長的VM數量。

• 網路隔離能力限制

VLAN Tag只有12bit。對於大型虛擬化雲端計算服務的場景而言，VLAN的隔離能力無法滿足。

傳統二層網路中的VLAN無法滿足網路動態調整的需求。

• 虛擬機器遷移範圍受限

虛擬機器遷移必須發生在一個二層網路中。

傳統的二層網路將虛擬機器遷移限制在了一個較小的區域性範圍內。

VXLAN簡介

• VXLAN（Virtual eXtensible Local Area Network，虛擬擴充套件區域網）在本質上屬於一種VPN技術，能夠在任意路由可達的網路上疊加二層虛擬網路，通過VXLAN閘道器實現VXLAN網路內部的互通，同時，也可以實現與傳統的非VXLAN網路的互通。
• VXLAN通過採用MAC in UDP封裝來延伸二層網路，將以太報文封裝在IP報文之上，通過路由在網路中傳輸，中間的傳輸網路無需關注虛擬機器的MAC地址，且路由網路無網路結構限制，具備大規模擴充套件能力。通過路由網路，虛擬機器遷移不受網路架構限制。

VXLAN在資料中心的應用

伺服器虛擬化技術的廣泛部署，極大地增加了資料中心的計算密度；同時，為了實現業務的靈活變更，虛擬機器VM（Virtual Machine）需要能夠在網路中不受限遷移，這給傳統的“二層+三層”資料中心網路帶來了新的挑戰。為了應對傳統資料中心網路對伺服器虛擬化技術的限制，VXLAN技術應運而生，其能夠很好地解決如下問題：

• 針對虛擬機器規模受裝置表項規格限制
• 伺服器虛擬化後，VM的數量比原有的物理機發生了數量級的增長，而接入側二層裝置的MAC地址表規格較小，無法滿足快速增長的VM數量。
• VXLAN將管理員規劃的同一區域內的VM發出的原始報文封裝成新的UDP報文，並使用物理網路的IP和MAC地址作為外層頭，這樣報文對網路中的其他裝置只表現為封裝後的引數。因此，極大降低了大二層網路對MAC地址規格的需求。
• 針對網路隔離能力限制
• VLAN作為當前主流的網路隔離技術，在標準定義中只有12bit，因此可用的VLAN數量僅4096個。對於公有云或其它大型虛擬化雲端計算服務這種動輒上萬甚至更多租戶的場景而言，VLAN的隔離能力無法滿足。
• VXLAN引入了類似VLAN ID的使用者標識，稱為VXLAN網路標識VNI（VXLAN Network Identifier），由24位元組成，支援多達16M的VXLAN段，有效地解決了雲端計算中海量租戶隔離的問題。
• 虛擬機器遷移範圍受限
• 虛擬機器遷移是指將虛擬機器從一個物理機遷移到另一個物理機。為了保證虛擬機器遷移過程中業務不中斷，則需要保證虛擬機器的IP地址保持不變，這就要求虛擬機器遷移必須發生在一個二層網路中。而傳統的二層網路，將虛擬機器遷移限制在了一個較小的區域性範圍內。
• VXLAN將VM發出的原始報文進行封裝後通過VXLAN隧道進行傳輸，隧道兩端的VM不需感知傳輸網路的物理架構。這樣，對於具有同一網段IP地址的VM而言，即使其物理位置不在同一個二層網路中，但從邏輯上看，相當於處於同一個二層域。即VXLAN技術在三層網路之上，構建出了一個虛擬的大二層網路，只要虛擬機器路由可達，就可以將其規劃到同一個大二層網路中。這就解決了虛擬機器遷移範圍受限問題。

在園區網路中使用VXLAN實現“一網多用”

• 通過引入虛擬化技術，在園區網路中基於一張物理網路建立多張虛擬網路（VN，Virtual Network）。不同的虛擬網路應用於不同的業務，例如辦公、研發或物聯網等。
• 通過iMaster NCE（華為園區網路SDN控制器）實現全網裝置集中管理，管理員通過圖形化介面實現網路配置。
• iMaster NCE將管理員的網路業務配置意圖“翻譯”成裝置命令，通過NETCONF協議將配置下發到各臺裝置，實現網路的自動駕駛。

2 VXLAN的基本概念

VXLAN的報文格式

NVE（Network Virtualization Edge，網路虛擬邊緣）

NVE是實現網路虛擬化功能的網路實體，可以是硬體交換機也可以是軟體交換機。NVE在三層網路上構建二層虛擬網路，是執行VXLAN的裝置。圖中SW1和SW2都是NVE。

VTEP（VXLAN Tunnel Endpoints， VXLAN隧道端點）

• VTEP是VXLAN隧道端點，位於NVE中，用於VXLAN報文的封裝和解封裝。
• VXLAN報文（的外層IP頭部）中源IP地址為源端VTEP的IP地址，目的IP地址為目的端VTEP的IP地址。
• 一對VTEP地址就對應著一條VXLAN隧道。
• 在源端封裝報文後通過隧道向目的端VTEP傳送封裝報文，目的端VTEP對接收到的封裝報文進行解封裝。
• 通常情況下使用裝置的Loopback介面地址作為VTEP地址。

VNI（VXLAN Network Identifier，VXLAN網路標識）

• 類似VLAN ID，用於區分VXLAN段。不同VXLAN段的虛擬機器不能直接二層相互通訊。
• 一個租戶可以有一個或多個VNI，VNI長度為24bit。

BD（Bridge Domain）

• 類似傳統網路中採用VLAN劃分廣播域，在VXLAN網路中一個BD就標識一個大二層廣播域。
• VNI以1:1方式對映到廣播域BD，同一個BD內的終端可以進行二層互通。

VAP（Virtual Access Point，虛擬接入點）

實現VXLAN的業務接入。VAP有兩種配置方式，二層子介面方式或者VLAN繫結方式：

1. 二層子介面方式接入，例如本例在SW1建立二層子介面關聯BD 10，表示僅這個介面下的特定流量注入到BD 10。
2. VLAN繫結方式接入，例如本例在SW2配置VLAN 10與廣播域BD 10關聯，表示所有VLAN10的流量注入到BD 10。

3 VXLAN二層閘道器、三層閘道器

二層（L2）閘道器：實現流量進入VXLAN虛擬網路，也可用於同一VXLAN虛擬網路的同子網通訊。例如下圖中的Edge1和Edge2。

三層（L3）閘道器：用於VXLAN虛擬網路的跨子網通訊以及外部網路（非VXLAN網路）的訪問。例如下圖中的Border。

4 VBDIF

• 類似於傳統網路中採用VLANIF解決不同廣播域互通的方法，在VXLAN中引入了VBDIF的概念。
• VBDIF介面在VXLAN三層閘道器上配置，是基於BD建立的三層邏輯介面。
• 通過VBDIF介面配置IP地址可實現不同網段的VXLAN間，及VXLAN和非VXLAN的通訊，也可實現二層網路接入三層網路。

5 分散式與集中式閘道器

集中式閘道器

L3閘道器部署在一臺裝置上。所有跨子網的流量都通過閘道器轉發，實現流量的集中管理。

優點：跨子網流量集中管理，簡化閘道器部署和管理。

缺點：轉發路徑並非最優。

分散式閘道器

L3閘道器部署在多臺裝置上，VTEP節點既是L2閘道器，又是L3閘道器。

優點：跨子網流量轉發路徑更優。

缺點：閘道器部署、故障定位及網路運維相對集中式閘道器複雜。VTEP節點之間需互動及維護主機路由。

6 VXLAN隧道的建立方式

VXLAN隧道由一對VTEP IP地址確定，報文在VTEP裝置進行封裝之後在VXLAN隧道中依靠路由進行傳輸。在進行VXLAN隧道的配置之後，只要VXLAN隧道的兩端VTEP IP是三層路由可達的，VXLAN隧道就可以建立成功。

靜態VXLAN：隧道建立

VXLAN隧道由一對VTEP IP地址確定；靜態VXLAN隧道的建立通過手工配置本端和遠端的VNI、VTEP IP地址來完成，只要VXLAN隧道的兩端VTEP IP是三層路由可達的，VXLAN隧道就可以建立成功。

使用BGP EVPN作為控制面協議

最初的VXLAN方案（RFC 7348）中沒有定義控制平面，即使用者需手工配置VXLAN隧道，然後通過流量泛洪的方式學習主機地址，這種方式會導致網路中存在很多泛洪流量，並且網路擴充套件起來困難。

為了解決上述問題，VXLAN引入了EVPN（Ethernet Virtual Private Network，乙太網虛擬專用網）作為VXLAN的控制平面。EVPN可視為BGP協議的一種擴充套件，定義了幾種新的路由型別來實現VTEP的自動發現、主機地址學習等。

7 VXLAN在CloudCampus解決方案中的典型應用

需求

Fabric需求：

• 基於物理網路構建一個Fabric。
• 採用分散式閘道器方案。

VN需求：

• 建立2個VN，分別為辦公（OA）及研發（RD）。
• 預設時，2個VN完全隔離，VN內可實現同子網、跨子網互訪。
• 2個VN均可訪問FW所上聯的外部網路。
• 2個VN內的終端均可通過DHCP Server獲取IP地址。

Fabric管理

Fabric建立及配置：

• 使用者根據業務需求，將物理裝置（核心交換機、匯聚交換機及接入交換機）新增到Fabric中。
• 使用者指定交換機的角色：Border節點及Edge節點。
• iMaster NCE自動將Border指定為RR，優化網路邏輯架構、BGP對等體關係模型。
• 使用者預定義2個“外部網路”，用於供2個VN到達外部網路。
• 使用者定義1個“網路服務資源”，用於後續終端通過該資源（中的DHCP Server）獲取IP地址。

Fabric及Underlay網路自動化部署：

• iMaster NCE根據已發現的物理網路拓撲，結合使用者所定義的Fabric網路，自動進行網路編排（使用者可選擇OSPF多區域或單區域，是否針對OSPF報文進行認證等）。
• iMaster NCE根據網路編排結果將Underlay網路配置自動下發到裝置，使得裝置之間IP可達。完成本步驟後，交換機便自動獲得互聯IP地址、VLAN配置，以及OSPF配置，交換機之間實現了路由可達。
• iMaster NCE將Fabric配置自動下發到裝置，裝置之間建立BGP EVPN對等體關係，完成控制面的準備工作。

VN管理

建立VN：

• 使用者分別建立OA及RD虛擬網路，指定虛擬網路的IP網段/VLAN、閘道器地址、所關聯的外部網路及網路服務資源，以及終端接入點位。
• iMaster NCE將使用者意圖翻譯成配置下發到網路裝置上。

VXLAN隧道自動建立

• BGP EVPN將用於建立VXLAN隧道的相關資訊在對等體之間通告。
• 裝置之間建立VXLAN隧道，為後續的資料轉發做準備。

終端獲取地址

• 銷售員工A接入網路，首先完成使用者認證，認證成功後，認證點Edge1獲得該使用者的授權結果，將使用者劃分到對應VLAN。
• A發起DHCP請求，該請求到達閘道器裝置Edge1後，後者將DHCP請求進行中繼，中繼報文通過VXLAN隧道轉發給Border。
• Border將VXLAN解封裝，並將DHCP中繼報文轉發給DHCP Server。
• DHCP Server為A分配IP地址。

相同VN內的同子網互訪

• 銷售員工A與B通過准入認證，接入園區網路。
• 以銷售員工B為例，Edge2將其MAC地址通過BGP更新報文通告給Border，後者將其反射給Edge1。
• Edge1學習到MAC地址0000.0002。
• 當A傳送資料給B時，流量到達Edge1後，Edge1將其執行VXLAN封裝，然後轉發到Edge2。後者VXLAN解封裝後送達目的地。

相同VN內的跨子網互訪

• 銷售員工C通過准入認證，接入園區網路。
• Edge2將其主機路由通過BGP更新報文通告給Border，後者將其反射給Edge1。
• Edge1學習到1.20.1/32路由，路由下一跳為2.2.2.2，出介面為VXLAN隧道介面。
• 當A傳送資料給C時，流量到達Edge1後，Edge1將其執行VXLAN封裝，然後轉發到Edge2。後者VXLAN解封裝後送達目的地。

訪問外部網路

• 當使用者將外部網路（目的網段為2.3.0/24）關聯到OA虛擬網路後，iMaster NCE會將路由資訊下發至Border，並由Border將上述外部路由重分發到BGP，通告給Edge1和Edge2。
• 當A傳送資料到2.3.0/24時，流量送達Edge1後，由其進行VXLAN封裝，然後送至Border，後者將VXLAN解封裝，然後將IP報文轉發給FW。

本文分享自華為雲社群《新HCIE知識點：VXLAN與園區網路虛擬化》，原文作者：迷圖小書童 。

 

點選關注，第一時間瞭解華為雲新鮮技術~