VXLAN深度技术胶片PPT课件.pptx

数据中心VXLAN解决方案 1 术语缩写释义 与客户交流时请X删除 BUM Broadcast Multicast UnknownUnicastNVE NetworkVirtualEndpointToR TopofRackVXLAN VirtualeXtensibleLocalAreaNetworkVXLANSegment VXLANLayer2overlaynetworkoverwhichVMscommunicateVXLANOverlayNetwork VXLANSegmentVXLANGateway anentitywhichforwardstrafficbetweenVXLANandnon VXLANenvironmentsVTEP VXLANTunnelEndPoint anentitywhichoriginatesand orterminatesVXLANtunnelsVLAN VirtualLocalAreaNetworkVM VirtualMachineVNI VXLANNetworkIdentifier orVXLANSegmentID 2020 1 8 2 目录 需求与挑战 特性描述 应用与部署 2020 1 8 3 需求背景 数据中心虚拟化 计算 存储 网络资源池化 虚拟化 与物理位置无关 资源利用率高 网络和业务联动 自动部署 网络资源基于业务按需分配 需支持大规模的租户和业务ID 4K 数M 实现逻辑隔离 物理位置相关的DC资源和管道资源 资源利用率低 网络和业务分离 业务开通时间长 业务扩展受物理位置限制 各DC基础设施资源独立 小二层网络 租户隔离限制在DC内 无大于4K需求 演进方向 传统数据中心 DC1 DC2 DC3 DC4 Network VirtualNetwork Computing StoragePool Hypervisor NetworkHypervisor CustomerbuyvDC includingvirtualcomputing storage network Server Storage Application 虚拟化的数据中心 vDC1 vDC2 vDC3 2020 1 8 4 需求背景 数据中心多租户需求 VLAN最大支持4K个广播域 虚拟化数据中心中租户规模远超过4K 每个租户都需要独立的隔离的广播域 基于VLAN的二层隔离技术不能满足云虚拟化数据中心多租户需求 2020 1 8 5 需求背景 虚拟机迁移需求 服务器规模增长ScaleUP大容量 服务器IO性能增长 10G 40G端口应用 ScaleOut交互多 分布式业务大量应用 交互大幅增长 资源灵活调度服务器虚拟化后 需要网络提供更大范围二层域 适应虚拟机的灵活迁移和IT资源整合 2020 1 8 6 特性概述 VXLAN简介 VXLAN VirtualExtensibleLAN 技术简介 VxLAN是一种overlay的网络技术 使用MACoverUDP封装实现多租户公有云数据中心虚拟二层网络 VXLAN技术具有以下特点 24位的VXLAN网络标识符可以支持多达16M的VxLAN段的网络隔离MacoverUDP的报文封装 二层网络叠加在三层网络之 实现二层网络在三层网络上的延伸 物理网络和虚拟网络解耦 租户可以独立规划自己的IP地址空间 2011年 由VMWare等IT厂商和Cisco为代表的CT厂商共同向IETF发起VxLAN的草案 2014年8月VxLAN基础协议正式发布为RFC7348 VXLAN技术支持厂商多 技术较成熟 2020 1 8 7 特性概述 VXLAN报文格式 如上 包括VXLAN外层封装和内层的原始净荷 其中 Flags 8bits 其中I必须被设置为1 才是有效的 R需设为0 VXLANSegmentID VXLANNetworkIdentifier VNI 为24bit 是虚拟网络的标识 Reservedfields 24bitsand8bits 必须被设置为0 VXLAN外层隧道的目的端口号为4789 为专为VXLAN分配的端口号 2020 1 8 8 特性概述 VxLAN网络标识符 VNI VXLANNetworkIdentifier VxLAN网络标识符 类似VLANtag VxLAN使用VNI标识不同的网段 2020 1 8 9 特性概述 VTEP 基于软件实现优点 TOR交换机不需要虚拟感知 实现简单缺点 消耗主机硬件资源 影响性能 故障定位与流量识别比较困难 基于硬件ASIC芯片实现优点 高性能 线速转发能力 尤其南北流WAN侧支持异构服务器缺点 功能灵活性受芯片厂商限制 TOR交换机需要借助虚拟感知功能才能实现端到端流程的打通 VTEP VirtualTunnelEndPoint VXLAN隧道端点 报文在VTEP处进行VxLAN报文头的封装与解封装 2020 1 8 10 特性描述 VXLANSDN解决方案 提供完善的SDN VXLAN解决方案 实现VXLAN业务的自动化部署TORNVE VXLAN虚拟网络边缘 VXLAN隧道的终结点 用于用户虚拟机接入VXLAN网络 VXLANGateway VXLAN网关 用于VLAN VXLAN网络 VXLAN网络之间不同子网间三层互通 SDNController DCController DCIController SDN控制器 用于和协同层一起 构建vxlan网络 下发TOR和VXLANGateway的转发表项 NetMatrix Netmatrix是华为SDN领域的新一代网管产品 北向通过RESTful与Neutronplug in互通 与云平台协同实现自动化 南向通过Netconf与华为SDN控制器 防火墙互通 负责业务模版定义和业务发放 OpenStack OpenStack是一个开源的云平台 负责DC业务的整体协同 包括存储 计算 网络 NetMatrix DCFabric TOR TOR TOR DCFabric TOR TOR TOR Providernetwork PE2 DC1Controller NVE server NVE NVE CoreSwitch CoreSwitch DCIController DC2Controller NVE server NVE CoreSwitch CoreSwitch NVE Openstack 2020 1 8 11 特性描述 VXLAN业务SDN控制面 OpenStack提供了虚拟网络管理的接口 通过openstack可以对IT和网络系统进行解耦 华为SDN VXLAN解决方案支持openstack虚拟网络管理的功能 netmetrix组件对外提供对接openstack网络管理的restful接口 openstack下发的网络操作接口通过netmetix翻译为netconf消息 下发给SNC SNC可以根据下发的抽象网络操作接口实现自动生成vxlanfabric网络 将用户接入VXLAN网络 下发流表信息等功能 华为SDN VXLAN解决方案也支持与vmware云平台对接 业务流程 2020 1 8 12 特性描述 VXLAN二层网关 VXLAN二层网关用于传统以太网络和虚拟化VXLAN网络的互通 VXLAN二层网关工作流程如下 1 VXLAN二层网关从传统网络收到以太报文 根据报文接入的Port和VLAN信息获取对应的二层广播域 查mac表找到出接口和封装信息 进行封装与转发 缺省需要剥掉原二层头的VLANTAG 然后新加VXLAN封装 包含VXLAN头VNI VXLANUDP头 VXLAN隧道头 DIP SIP 以及外层二层头 完成vxlan报文封装后 根据vxlan隧道头目的IP查路由表发送报文 2 VXLAN二层网关从VXLAN网络收到vxlan报文 首先根据vxlan隧道表检查VXLANUDPD PORT VXLAN隧道DIP SIP VXLANVNI的合法有效性 然后根据VXLANVNI获取对应的二层广播域 然后解VXLAN封装 获取内层二层报文 根据二层报文目的mac地址查mac表发送报文 业务流程 2020 1 8 13 特性描述 VXLANL3网关 不同网段的VXLAN网络之间通信 以及不同网段VXLAN网络和非VXLAN网络的通信 需要通过VXLAN三层网关实现 VXLAN三层网关工作流程如下 1 VXLAN三层网关收到vxlan报文后解封装获取内层二层报文 判断二层报文目的mac为本机mac 入三层转发流程 根据内层报文的目的IP地址查路由表 进行三层转发 2 根据路由表获取下一跳IP地址 根据IP地址查ARP表 如果ARP表出接口为VXLAN隧道 DC产品实现 则按照ARP表中的VXLAN隧道封装信息进行vxlan封装 然后将报文发送出去 业务流程 2020 1 8 14 特性描述 VXLANL3分布式网关 VxLAN vSwitch vSwitch 物理服务器 虚拟服务器 虚拟服务器 WAN 增值业务设备 Leaf Leaf Leaf Leaf spine spine 私网侧 公网侧 Border leaf Leaf节点是VXLAN网络边缘设备 Leaf节点支持分布式网关功能 终端设备可以通过二层或三层网络接入Leaf节点 二层接入时候 Leaf需要支持ARP ND处理 三层接入时候 Leaf和外部网络支持普通私网路由协议 Leaf节点之间支持ARP或路由同步 Leaf节点可以为TOR AGG 或OVS 2020 1 8 16 特性描述 VXLANL3分布式网关转发 Spine1 Spine2 Leaf1 ServerVNI20 Leaf4 vSwitch VM3VNI10 DA Leaf4 1 租户主机或VM发出跨子网的IP报文 2 1 DA GW 根据用户报文查找网关接口 根据接口的VRF 报文走三层转发 路由下一跳指向Vxlan隧道2 2 进行Vxlan隧道封装 填写SA DA VNI 3 不同的Leaf间通过一个共享的VRFVNI拉通 替换内层以太头 报文封装VRFVNI 封装外层IP 4 1vniVRF查找找到BDIF4 2根据BDIFMAC DMAC 走三层转发 BDIFMAC是VTEPMAC 4 3根据网络侧BDIF查找到VRF VRF内查主机路由 替换以太头发给目标主机 2020 1 8 17 特性描述 VXLANL3分布式网关典型场景 跨子网互通 如图 Leaf1下挂的主机H1与Leaf2下挂的主机H2分别属于子网VNI10和VNI20 且他们接入的是同一VPN H1要访问H2 就是同一VRF不同子网互通 2020 1 8 18 如图 H1与H2属于不同子网 且属于不同VRF 这样在Leaf上无法互相学到对方的主机路由 场景1 不同VM直接互通 采用增加IRT直接导入方案leaf1和leaf2上VRF1和VRF2分别配置对方的IRT 直接实现互通 主要应用于不同VM直接互通场景 该方案流量路径不用环回 路径优 场景2 多个VRF需访问同一公共域 采用Hub Spoke方案多个VRF需要同时访问同一公共域 比如同一租户的不同VRF要走防火墙 如图 leaf1上VRF1与VRF2要互访 需要通过Hub leaf Hub CE做环回 特性描述 VXLANL3分布式网关典型场景 跨VRF互通 2020 1 8 19 特性描述 VXLANL3分布式网关典型场景 外部L3网络接入 如图 Boardleaf连接外部路由器Router Boardleaf与Router部署OptionA Boardleaf与router把对方互看做CE Boardleaf与router直接部署正常的L3路由协议 当存在多个Boardleaf时 所以不能发缺省路由 2020 1 8 20 特性描述 VXLANL3分布式网关典型场景 1个VRF对多个VRF 2020 1 8 21 特性描述 ARP广播抑制 一般的广播报文会在二层网络进行泛洪 这样既浪费带宽 影响网络性能 而且容易引起环路等网络问题 ARP请求报文是二层网络中最为普遍的一种广播报文 ARP代答功能可以抑制ARP请求广播报文 减少广播报文对网络的影响 ARP代答的过程如下 1 openstack在创建vm时 将vm的 ip mac 信息下发给SNC SNC对vm信息进行缓存 用于ARP代答 2 主机发送ARP请求报文到TOR TOR将ARP报文通过openflow通道上送给SNC 3 SNC查询ARP缓存表 SNC查找到ARP缓存表情况下 代替ARP请求的主机进行应答 将应答报文通过openflow通道发送给TOR TOR解openflow封装 将ARP应答报文发送主机 主机可以学习到请求的ARP表项 4 SNC查找不到ARP缓存表情况下 将报文发给转发器进行广播 远端主机收到请求报文后进行arp应答 主机根据应答学习到请求的ARP 业务流程 2020 1 8 22 特性描述 VXLAN已知单播转发 1 TOR1收到来自终端H1的报文 根据报文中接入的端口和VLAN信息获取对应的二层广播域 并判断报文的目的MAC是否为已知单播MAC 如果是已知单播报文 则走已知单播流程 否则走BUM报文转发流程 2 TOR1判断是已知单播的情况下 TOR1上VTEP根据查找到的VNI和远端VTEP地址进行VXLAN封装和报文转发 封装后的VXLAN报文通过TOR1和TOR2之间的IP网络进行转发 3 TOR2上VTEP收到VXLAN报文后 根据UDP目的端口号 源 目的IP地址 VNI判断VXLAN报文的合法有效性 依据VNI获取对应的二层广播域 然后进行VXLAN解封装 获取内层二层报文 4 TOR2根据内层二层报文的目的MAC 查MAC表找到的出接口和封装信息 为报文添加VLANTag 转发给对应的终端H3 业务流程 2020 1 8 23 特性描述 VXLANBUM报文转发 1 TOR1收到来自终端H1的报文 根据报文中接入的端口和VLAN信息获取对应的二层广播域 并判断报文的目的MAC是否为BUMMAC 如果是则进入BUM报文转发流程 否则走单播流程进行转发 2 在TOR1判断是BUM报文的情况下 TOR1上VTEP根据对应的二层广播域获取对应VNI的头端复制隧道列表 依据获取的隧道列表进行报文复制 并进行VXLAN封装 并从出端口转发 3 TOR2 TOR3上VTEP收到VXLAN报文后 根据UDP目的端口号 源 目的IP地址 VNI判断VXLAN报文的合法有效性 依据VNI获取对应的二层广播域 然后进行VXLAN解封装 获取内层二层报文 4 TOR2 TOR3根据获取的内层二层报文进行转发 如果二层报文的目的mac能够命中mac表 则根据mac表中查找到的端口进行报文封装和转发 否则将报文广播到TOR的用户侧端口 业务流程 2020 1 8 24 方案亮点 对接主流云管理平台 完善的网络解决方案 华为VXLAN解决方案 高性能硬件网关 三层VXLAN网关二层VXLAN网关分布式网关支持头端复制模式ARP广播流量消除 VMwareOpenstack 完善的SDN解决方案完善的二层和三层解决方案 方案亮点 对接主流的云管理平台目前支持和Openstack和VmWare云平台集成 实现VXLAN业务的自动部署 高性能的硬件网关 支持硬件VXLAN二层和三层网关 对于BUM报文支持头端复制模式 无需部署组播 SNC控制器支持ARP代答 消除ARP广播流量 提升网络性能 完善的SDN解决方案可以通过SDN控制器统一控制转发VXLAN流量的转发器 提供DC内同子网流量互通和跨子网流量互通的解决方案 提供DC之间流量互通的解决方案 2020 1 8 25 应用与部署 不同物理数据中心相同子网互通 Vm1和vm2属于两个不同物理数据中心中的虚拟机 这两个虚拟机属于同一个子网的vxlan网络 我们以VM1和VM2互通 说明一下业务走向 1 VM1预发送报文到VM2 首先发送ARP请求获取VM2的MAC 通过ARP代答机制 VM1学习到VM2的ARP 然后VM1封装报文发送 2 TOR1受到VM1报文 查询SNC下发的MAC转发表进行转发 3 TOR1的MAC转发表包含macaddress vni和vxlan隧道信息 TOR转发前 会根据vxlan隧道信息进行封装 会在原来的报文外面添加vxlanhead 封装后的外层报文源IP和目的IP为Tunnel的源IP和目的IP 完成vxlan封装 依附基础网络进行传输 4 TOR3收到vxlan报文 进行vxlan解封装 同时根据TOR3配置的vlan和vxlan关系 把解封装后的报文打上vlan标签 给VM2传输 5 VM2所在的Vswitch会对vlan解封装 数据传输到VM2 业务流程 2020 1 8 26 应用与部署 跨虚拟数据中心的虚拟机互通 Vm1和vm2属于两个不同物理数据中心中的虚拟机 这两个虚拟机属于两个不同子网的v