VXLAN原理深度理解

1、VXLAN 深入探究沈建军资深工程师VMware, Inc.2免责声明 这个讲座内容有可能包括产品功能目前还正在开发中。 这里涉及到的新技术并不意味着威睿公司会放在未来产品中。 这里涉及到的功能有可能更改，因此它们目前不可以用在任何合约、订单或者其它协议中。 技术的可行性以及市场需求会影响最终这里可能涉及到的未来产品或者功能。 这里涉及到新技术以产品功能体现的价格或者销售形式并未考虑。3议程 为什么需要VXLAN? 什么是VXLAN? VMware的VXLAN实现 VXLAN网络配置要求 VXLAN生态系统 后备资料 VXLAN配置流程4议程 为什么需要VXLAN? 什么是VXLAN? VMw

2、are的VXLAN实现 VXLAN网络配置要求 VXLAN生态系统 后备资料 VXLAN配置流程5挑战: 物理网络的不灵活性 允许应用在仸意（拥有空闲计算资源的）服务器上灵活部署而不受物理网络的限制，提升业务的敏捷性。 支持包括：站点灾难恢复，业务迁移在内的场景。机遇 受限的移动性 局限于一个小广播域 难以满足多租户环境和规模扩展的需求 最多4094个VLANVLAN的限制将业务负载与物理网络脱离VXLAN: 多厂商共同倡议的弹性计算支撑技术概述 VXLAN 允许跨越物理子网边界的移动性。 软件定义网络、软件定义计算中心的基础。优点 跨集群、甚至跨越多个计算中心的移动性。 按需进行虚拟网络部署

3、，而无需物理网络的重新配置。 支持多租户环境下的大规模网络部署。6VDCCluster 1Cluster 2Cloud InfrastructureVMwarevCloudWebAppDB计算集群 B计算集群 AWebVXLAN 把业务负载与物理网络脱离，负载向云环境的迁移成为可能7云环境下的业务拓展用例VXLAN FabricWeb层需要扩展?容量?IP地址?网络设计 ?8VXLAN解决的具体技术问题（从VXLAN IETF提案的角度） VLAN的数量限制 4094个VLAN远不能满足大规模云计算中心的需求。 物理网络基础设施的限制 基于IP子网的区域划分限制了需要二层网络连通性的应用负载的

4、部署。 ToR交换机MAC表耗尽 虚拟化以及东西向流量导致更多的MAC表项。 汇聚层STP（生成树协议）高负荷 由于大量VLAN配置在大量接口，汇聚层交换机的压力大增。9议程 为什么需要VXLAN? 什么是VXLAN? VMware的VXLAN实现 VXLAN网络配置要求 VXLAN生态系统 后备资料 VXLAN配置流程 建立在物理IP（overlay）网络之上的虚拟以太网 使用UDP封装完整的内层以太报文 共50字节的封装报文头 24位VXLAN网络标识符 最大支持16,000,000个逻辑网络 可跨越物理三层网络10 利用IP多播封装广播和多播报文 限制虚拟网络的广播域 利用ECMP（等价

5、多路径负载均衡） 对不同数据流使用不同UDP源端口 已提交到ITEF，启动标准化进程 与Cisco, Citrix, Red Hat, Broadcom,Arista等厂商协作。VXLAN： 虚拟可扩展局域网（Virtual EXtensible LAN）VM2MAC2ESX 2VTEP2IGMP report: 加入组239.119.1.1VM1MAC1ESX1VTEP1IGMP report: 加入组239.119.1.1VXLAN协议 网络初始化L2/L3 networkinfraVM1及VM2连接到VXLAN网络100, 两个VXLAN主机加入IP多播组239.119.1.1VTEP

6、VXLAN隧道终端 (VXLAN Tunneling End Point)11NetIDMACIPNetIDMACIP100MAC1IP1_vtep1ESX 2VTEP2VM2MAC2ESX1VTEP1VM1MAC1BCASTMAC1ARP Req1MAC HdrIP HdrDA:239.119.1.1SA:IP_vtep1UDP HdrVXLAN HdrVXLAN ID:100BCASTMAC1ARPReq2用IP多播封装原广播报文3 封装后的报文经多播转发到达BCASTMAC1ARPReq5MAC HdrIP HdrDA:239.119.1.1SA:IP_vtep1UDP HdrVXLAN

7、 HdrVXLAN ID:100BCASTMAC1ARPReq4 学习内层MAC到外层源IP地址的映射L2/L3 网络VM1发送ARP请求(广播)以获得VM2的MAC地址，VXLAN ID为100VTEP VXLAN隧道终端 (VXLAN Tunneling End Point)12VXLAN协议 ARP请求NetIDMACIP100MAC2IP_vtep2NetIDMACIP100MAC1IP_vtep1ESX 2VTEP2VM2MAC2ESX1VTEP1VM1MAC1MAC1MAC2ARPResp42 已知MAC1的外层IP地址, 使用IP单播封装MAC1MAC2ARPResp1MAC H

8、drIP HdrDA:IP_vtep1SA:IP_vtep2UDP HdrVXLAN HdrVXLAN ID:100MAC1MAC2ARPResp3 学习内层MAC到外层源IP地址的映射MAC HdrIP HdrDA:IP_vtep1SA:IP_vtep2UDP HdrVXLAN HdrVXLAN ID:100MAC1MAC2ARPRespL2/L3 网络VM2发送ARP应答(单播)到VM1VTEP VXLAN隧道终端 (VXLAN Tunneling End Point)13VXLAN协议 ARP应答ESX 2VTEP2VM2MAC2L2/L3 网络14ESX1VTEP1网关MAC1MAC1

9、MAC2DataMAC1MAC2DataMAC HdrIP HdrDA:IP_vtep1SA:IP_vtep2UDP HdrVXLAN HdrVXLAN ID:100MAC1MAC2DataMAC HdrIP HdrDA:IP_vtep1SA:IP_vtep2UDP HdrVXLAN HdrVXLAN ID:100MAC1MAC2DataIP HdrDA: YahooSA: GW IPSWMACMAC1DataVXLAN协议 VXLAN网关15议程 为什么需要VXLAN? 什么是VXLAN? VMware的VXLAN实现 VXLAN网络配置要求 VXLAN生态系统 后备资料 VXLAN配置流程

10、16VXLAN实现组件 vShield Manager VXLAN管理控制台 vSphere 5.1主机 实现VXLAN隧道终端（VTEP）功能 参与VXLAN的主机应安装VXLAN vSphere安装包 VXLAN网关(如需要) 功能：1. VXLAN网络之间以及VXLAN网络与VLAN之间的路由2. 桥接VXLAN网络与VLAN 实现：1. vShiled Edge 路由及4-7层网络服务：NAT，防火墙，负载均衡，DHCP，DNS等2. 硬件实现 典型用于连接VXLAN虚拟网络与物理VLAN17VXLAN管理层概念由vShield Manager定义并管理 VDN (虚拟分布式网络) S

11、cope 定义VXLAN网络的延展范围 包括一组vSphere集群；对每个集群指定承载VXLAN网络的VDS及VLAN VTEP vmknic 在每个参与VXLAN网络的vSphere主机上创建的IP接口，与用于VXLAN IP封装的IP地址关联 VTEP portgroup 在VDN Scope范围的每个VDS上创建的portgroup，在其上创建VTEP vmknic VXWire portgroup 在VDN Scope范围的每个VDS上创建的portgroup，在其上部署使用VXLAN网络的虚拟机VDN ScopeESXi - 1VIBVTEP PG10.10.10.10VLAN 10

12、239.0.0.110.10.10.1010.10.20.10VTEP PG10.10.20.10VIB ESXi - 2VLAN 20239.0.0.110.10.20.1010.10.10.10IP 路由网络18VXWire 192.168.10.x/24VDS 2VDS 1VMWare的VXLAN实现逻辑广播域VLAN 10VXWirePortGroupVLAN 20VXWirePortGroup19ESXi - 1ESXi - 2IP 网络单数据中心部署场景VXWireVDSVLAN 10VLAN 2020IP 网络跨两个数据中心的部署场景VXWireVDS 1ESXi - 1VLAN

13、 10VDS 2ESXi - 2VLAN 2021ESXi - 1ESXi - 2vSphere Distributed SwitchVXWireVLAN 10VLAN 20IP 网络1IP 网络2172.10.10.x/2410.10.10.x/24192.168.10.x/24VXLAN与vShield EdgeDC - 1DC - 2VXLAN逻辑视图 两个虚拟机位于同一VXLAN网络VXLAN192.168.1.0/24VMVM192.168.1.10192.168.1.11192.168.1.1网关172.26.10.10外部网络172.26.10.0/24Internet虚拟机 虚

14、拟机通讯虚拟机 外网通讯22交换机VLAN 10ESX HostVLAN 20VMVMVTEPVDSESX HostVTEPVDSVXLAN网络物理视图 两个虚拟机位于同一VXLAN网络192.168.1.10网关172.26.10.10192.168.1.1192.168.1.11路由器Internet虚拟机 虚拟机通讯虚拟机 外网通讯23VXLAN逻辑视图 两个虚拟机位于不同VXLAN网络网关VMVXLAN Blue192.168.1.0/24192.168.1.1192.168.1.10172.26.10.10外部网络172.26.10.0/24Internet两个VXLAN网络间的虚拟

15、机 虚拟机通讯24VM192.168.2.10VXLAN Purple192.168.2.0/24192.168.2.125议程 为什么需要VXLAN? 什么是VXLAN? VMware的VXLAN实现 VXLAN网络配置要求 VXLAN生态系统 后备资料 VXLAN配置流程26VXLAN网络配置要求 物理网络 VXLAN主机间的IP连通性 配置交换机和路由器MTU不小于1550字节 配置Jumbo Frame 配置IP多播 打开交换机的IGMP Snooping功能 配置PIM（建议使用PIM-SM bidir以支持更大的多播组规模） IP多播组 VXLAN网络需要分配一个( 224.0.0

16、.0 239.255.255.255范围内)IP多播地址 vShpere主机上用于VXLAN IP封装的IP接口（vmknic) 通过DHCP分配vmknic IP地址27VMVMVMVMVDSHost场景一: 物理二层网络之上划分逻辑二层网络HostL2 PodVLAN 20VLAN 20交换机28物理网络配置及VXLAN部署AccessAggregationvPC/MLAGSTPVDS创建单一物理子网配置IGMP部署VDS部署VXLAN网络VDSVXLANVXLANEdgeEdgeVXLANVXLANEdgeEdgeAggregationAccess29VMVMVMVDSPhysicalS

17、witchVDSPhysicalSwitchVML2 Pod路由器场景二: 跨越物理三层网络的逻辑二层网络L2 PodDC30部署VDS部署VXLAN网络vSphere Distributed SwitchEdgeVXLANEdgeVXLAN物理网络配置及VXLAN部署AggregationECMP与下层物理网络拓扑无关Access31议程 为什么需要VXLAN? 什么是VXLAN? VMware的VXLAN实现 VXLAN网络配置要求 VXLAN生态系统 后备资料 VXLAN配置流程32二层网关服务物理IP网络VXLAN Overlay网络主机网卡offloadVXLAN生态系统: 性能，互

18、操作性，可见性VMwareEdge可见性用户数据中心广域网 或InternetBroadcom BCM56850 VXLAN交换机基于VLAN的网络Linux/Windows主机VXLAN L2oL3隧道VXLAN 交换机可见性, 负载均衡基于VM 和租户的服务VXLAN 网关封装/解封装VXLAN报文VXLAN 网关封装/解封装VXLAN报文存储服务器不支持VXLAN的Hypervisors支持VXLAN的主机支持VXLAN的主机支持VXLAN的主机33VNISegmentM-castNetwork5001239.10.10.5151.51.51.0vDSVLAN 5151.51.51.0硬

19、件VTEP实现VTEPVNI 5001Virtualized Network10.10.20.0通过硬件VTEP把802.1q设备连接到VXLAN网络34VTEPVNI 5001192.168.10.0Arista VXLAN交换机VLAN 51Brocade ADX VXLAN交换机 全局负载均衡解决方案VXLAN10ms RTT (1000KMs)EMC VPLEX MetroSynchronous ReplicationFCIP Fast Write35VXLANAvaya VXLAN交换机 支持VXLAN在SPB网络上的部署为VXLAN网络提供无需PIM的IP多播路由支持VLANVXLANVXLAN标准IGMPVLANVXLANVLAN标准IGMPSPB IP多播网络针对VLAN & VXLAN进行优化Avaya VENA Fabric Connect优点： 仅需在网络边缘端配置 快速收敛 ( 5 s) 无缝支持语音、视频应用 低延迟 最小化路由跳数，支持长距离路径 端到端网络虚拟化3637VXLAN配置流