Overlay网络技术原理介绍课件

Overlay网络技术原理介绍Overlay网络技术原理介绍10102网络虚拟化的发展Overlay基本概念与分类目录03VXLAN技术基础220102网络虚拟化的发展Overlay基本概念与分类目录032数据中心虚拟化起源所谓虚拟化，本身就是一个广义的通用术语，保罗万象。虚拟化是一种资源管理技术，本质是从物理到逻辑的映射，是物理资源的复用或融合。特点：仿真、透明

实现风格：模拟、伪装起源：分时共享1950s

1960s

1970s 1980s1990s1998

19992001

2003 2004200520062007200820092010

2014虚拟 虚拟内存 机虚拟路由转发VTLRAID 以太网VLAN 通道X86虚拟化DataCoreESXiVmotion虚拟SANXEN虚拟服务器Invista微软MetroClusterSAN 弹性卷控 计算制器 云Hype

vSphe虚拟交换系统 r-V reKVM FCoE VDSOpenFlowvSwit VXLch AN23数据中心虚拟化起源所谓虚拟化，本身就是一个广义的通用术语，保3虚拟化技术分类虚拟化技术按实现方法，可以分类为：池化、抽象、分区。按照技术领域来划分，可以分为：网络、存储、服务器(计算)虚拟化

，其中计算虚拟化是虚拟化剂。化技术发展最重要的催 网络虚拟化24存储虚拟化服务器虚拟化虚拟内存vSwitchFCOEUCSVXLANNVGREVPLSVLANTRILL SPBRAID阵列虚拟化虚拟磁带库LUNx86虚拟化大型机虚拟化时分共享虚拟化技术分类虚拟化技术按实现方法，可以分类为：池化、抽4计算虚拟化业务的发展25计算虚拟化业务经历了由单一到多元、分散到统一、由集中到分布，由局限于设备的虚拟化到整体数据中心云化，最后再由云服务各行各业的过程。云计算的出现极大推动了计算虚拟化技术的提升，也促进了其他虚拟化技术的发展。1959年6月，Chirstopher首次提出计算虚拟化概念。1965年，IBM发布首款操作系统虚拟化技术1974年，

Popek和Goldberg正式定义虚拟机。1998年，Vmware将虚拟化技术引入x86架构。1999年，第一个商业化IaaS平台LoudCloud出现.2000年

,SaaS兴起。2004年，Google发布MapReduce论文，大数据基石Hadoop出现。2005年，亚马逊推出AWS，公有云业务进入蓬勃发展。计算虚拟化业务的发展25计算虚拟化业务经历了由单一到多元、分5计算虚拟化面临的挑战26随着计算虚拟化发展，DC内大量部署的虚拟机提供云服务。部署虚拟机需要在网络中无限制地迁移，虚拟机数量和增长速度也远超物理服务器，给计算虚拟化带来了新的挑战。虚拟机迁移范围受到网络架构限制迁移的不中断性限制了网络是二层传统的STP等部署繁琐，配置复杂，并且网络规模不能过大，限制了虚拟化的网络扩展性各厂家私有的设备级虚拟化技术（如IRF）虽然可以简化拓扑，单只能一般适合于数据中心内部网络计算虚拟化面临的挑战26随着计算虚拟化发展，DC内大量部署的6计算虚拟化面临的挑战27虚拟机规模受网络规格限制在二层网络环境下，MAC地址表成为决定了云计算环境下虚拟机的规模上限的瓶颈，限制了整个云计算数据中心的虚拟机数量。虚拟化业务的网络隔离/分离能力限制VLAN数量在标准定义中只有12个比特单位，即可用的数量为4K，这样的数量级对于公有云或大型虚拟化云计算应用而言微不足道计算虚拟化面临的挑战27虚拟机规模受网络规格限制7网络虚拟化技术概述28什么是网络虚拟机化：可以构建出虚拟的网络链路或网络节点的技术，无论是二层的、大二层的、三层的，还是多虚一、一虚多，都属于网络虚拟化技术。网络虚拟化的分层：数据平面、控制平面、管理平面网络虚拟化的优点：可扩展性、灵活性、安全性、构建逻辑分区网络虚拟化从来不是单独发展的，而是和服务器虚拟化、存储虚拟化并列发展的，为解决计算虚拟化面临的挑战，发展出了多种新的网络虚拟化技术，网络虚拟化进入高速发展期。网络虚拟化技术概述28什么是网络虚拟机化：8网络虚拟化技术的发展29计算虚拟化面临的挑战，要求网络虚拟化能够以较低成本提供一个拥有充足隔离能力的透明大二层网络。STP:部署繁琐，无法构建跨三层的二层网络，规模有限IRF:简化网络拓扑，强制要求拓扑，只能用于数据中心内部EVB：包括VEB、VEPA等部分，只能解决虚拟机网络接入的问题。802.1Qbh：需要专门芯片支持，厂商限制严重，也只能解决接入层。Trill:引入了L2

ISIS做为寻址协议，在内外层Ethernet报头之间引入了TRILL报头，使用NickName作为转发标识，用于报文在TRILL网络中的寻址转发，MAC

in

MAC，落地情况一般，收敛慢，缺乏运维经验。SPB：同样使用L2

ISIS做为寻址协议，MAC

inMAC，负载均衡需要预配置，缺乏运维经验。需要一种新的网络虚拟化技术来满足计算虚拟化告诉发展带来的需求。网络虚拟化技术的发展29计算虚拟化面临的挑战，要求网络虚拟化90102网络虚拟化Overlay基本概念与分类目录03VXLAN技术基础10100102网络虚拟化Overlay基本概念与分类目录03VXLOverlay技术的出现1011Overlay在网络技术领域，是一种网络架构上叠加的虚拟化技术模式，其大体框架是对基础网络不进行大规模修改的条件下，实现应用在网络上的承载，并能与其它网络业务分离，并且以基于IP的基础网络技术为主。Overlay网络是指建立在已有网络上的虚拟网，逻辑节点和逻辑链路构成了Overlay网络。Overlay网络是具有独立的控制和转发平面，对于连接在Overlay边缘设备之外的终端系统来说，物理网络是透明的。Overlay网络的出现是为了实现已有网络所不能提供的功能和服务Overlay网络是物理网络向云和虚拟化的深度延伸，使云资源池化能力可以摆脱物理网络的重重限制，是实现云网融合的关键。Overlay技术的出现1011Overlay在网络技术领域Overlay技术基本概念Overlay

网络物理承载网络主机主机Overlay边缘设备Overlay边缘设备Overlay控制平面承载网络控制平面数据平面Payload封装Overlay

边缘设备Overlay数据报文的封装/解封装节点，决定了Overlay网络的规模Overlay

控制平面服务发现1012地址通告和映射隧道管理Overlay

数据平面提供数据封装，基于承载网络传输Overlay技术基本概念Overlay网络物理承载网络主Overlay技术解决的问题1013针对虚机迁移范围受到网络架构限制的解决方式Overlay把二层报文封装在IP报文之上，因此，只要网络支持IP路由可达就可以部署Overlay网络，而IP路由网络本身已经非常成熟，且在网络结构上没有特殊要求。而且路由网络本身具备良好的扩展能力，很强的故障自愈能力和负载均衡能力。针对虚机规模受网络规格限制的解决方式虚拟机数据封装在IP数据包中后，对网络只表现为封装后的网络参数，即隧道端点的地址，因此，对于承载网络（特别是接入交换机），MAC地址规格需求极大降低。针对网络隔离/分离能力限制的解决方式针对VLAN只能支持数量4K以内的限制，在Overlay技术中扩展了隔离标识的位数，可以支持高达16M的用户，极大扩展了隔离数量。Overlay技术解决的问题1013针对虚机迁移范围受到网络Overlay技术的功能要求1014较低成本的构建跨越三层的大二层，通过隧道实现跨三层的二层互联。感知虚拟机。接入交换机/隧道端点交换机与虚拟机机直连或通过TOR交换机间接感知到虚拟机。充足的网络或虚拟子网标识数量。租户隔离：虚机的MAC藏在帧内部，不通逻辑2层网络或子网之间是隔离的，在不同的租户内，实现IP

MAC地址复用。经过隧道封装，减轻物理交换机的MAC地址表压力，只需要学习隧道端点IP

MAC地址信息。对虚拟机透明：虚拟机感知不到隧道封装。可实现细粒度的负载均衡。Overlay技术的功能要求1014较低成本的构建跨越三层的Overlay网络类型物理设备vDeviceVMVMVMvDeviceVMVMVM虚拟设备vDeviceVMVMVMDB/Controller物理设备虚拟设备物理设备网络Overlay：1015路由器或交换机作为Overlay网络的边缘设备服务器无需支持Overlay通过控制协议来实现网络构建和扩展虚拟设备主机Overlay：虚拟设备（vDevice）作为Overlay网络的边缘设备适用于服务器全虚拟化的场景，不能接入非虚拟化服务器混合Overlay：混合组网，物理设备、虚拟设备作为Overlay网络的边缘设备可接入各种形态的服务器Overlay网络类型物理设备vDeviceVMvDevic主流Overlay技术1016名称支持者方案简述产品形式网络虚拟化方式数据新增报头长度技术特点VXLANCisco、VMware、HP、Citrix、RedHat、BroadcomL2over

UDPCisco:

N1000VBCM:Trident2其他：OpenvSwitchVXLAN报头24bit

VNI50Byte不改变L2~L4报文结构，现有网络设备即可支持多路径负载均衡。NVGRE微软、HP、Broadcom、Dell、Emulex、IntelL2over

GRE微软:

Hyper-VvSwitchBCM:

TridentEmulex:

网卡其他：OpenvSwitchNVGRE报头24bit

VSI42Byte问题：改变了GRE报文头，需要升级网络设备才能支持多路径负载均衡。STTNicira(被VMware收购)无状态TCPvSwitchSTT报头64bitContext

ID58~76Byte问题：改变了TCP报文头，当前无商用芯片支持，仅VMware纯虚拟化环境可用，产业生态脆弱。Cisco也不支持主流Overlay技术1016名称支持者方案简述产品形式网络0102网络虚拟化Overlay基本概念与分类目录03VXLAN技术基础10170102网络虚拟化Overlay基本概念与分类目录03VXLVXLAN技术基本概念VTEPVTEPVXLAN虚拟可扩展局域网（Virtual

Extensible

Lan），是Overlay技术的一种，通过隧道机制在现有网络上构建一个叠加的网络从而绕过现有VLAN标签的限制VTEP VTEPVTEPVTEPVXVXLLAANN网络1018NetworkVXLAN技术基本概念VTEPVTEPVXLANVTEPVTVXLAN技术基本概念1019VTEPVXLAN

Tunnel

EndPoint

虚拟扩展本地网络隧道终结节点上行方向将虚拟机（服务器）产生的数据封装到UDP包头内发送出去，下行方向将收到的VXLAN报文解封装后发给虚拟机（服务器）VTEP之间建立了两点之间的隧道（VTEP可以为软件、硬件服务器或者网路设备、隧道是无状态的）VNIVXLAN

Network

Identifier

虚拟扩展本地网络标示符VNI取代VLAN用来表示不同的VXLAN网络VNI是一个24位进制表示，可以扩展到2的24次方个网段VXLAN技术基本概念1019VTEP20VXLAN的报文结构(一)标记位RRRRIRRR保留未用（24位）VXLAN

ID（24位）保留未用（8位）

20外层MAC头外层IP头外层UDP头VXLAN头原始二层报文基本格式：L2oUDP封装报头开销50字节UDP目的端口为已知端口4798，源端口可按流分配，标准5元组方式有利于IP网络转发过程中进行负载分担VXLAN标签标志位（8bits），一个有效的VXLAN网络ID（VNI），第5个bit的I标志位必须设置为1，余下的7个bit的标志位是保留的，必须设置为0VXLAN网络ID(VNI)，长24bit，用于标识一个单独的VXLAN网络14字节 20字节 8字节 8字节20VXLAN的报文结构(一)标记位保留未用（24位）VXL20VXLAN的报文结构(二)外层三层包头外层ip包头的ip地址为隧道两端的VTEP设备地址，如果Hypervisor承担了VTEP工作则为服务器网卡地址，如果VTEP为接入交换机，则IP地址为出端口上的

IP地址或者三层接口地址、loopback地址外层二层包头外层二层包头为报文在普通网络中做二、三层转发的MAC地址（目的mac为目的VTEP设备的硬件mac或者三层网关的MAC)新添加的VXLAN包头原始报文2121外层MAC头外层IP头外层UDP头VXLAN头原始二层报文VXLAN的报文结构(二)外层三层包头新添加的VXLAN包头VXLAN报文举例2122VXLAN报文举例2122VXLANGW和VXLAN

IP

GW网络设备支持VXLAN报文的封装与解封装，并根据内层报文的IP头部进行三层转发VXLAN

GW支持VXLAN报文的封装与解封装，并根据内层报文的MAC头部进行二层转发，实现VXLAN与VLAN的互通leafleafSpineSpineleafrouterleafrouter1、ingress

VTEP设备将报文封装成VXLAN报文VXLANIP

GW2

、核心设备做为VXLANIP

GW，终结VXLAN报文并进行L3转发3

、egress

VTEP

设备将VXLAN

报文解封装，实现VXLAN与VLAN的互通VVXXLLAANN网络Network2123VXLANGW和VXLANIPGW网络设备支持VXLAVXLAN

网络互通需求VXLAN

二层/三层网关：传统L2网络中，报文跨VLAN转发，需要借助VLAN

Mapping或者L3

设备来完成不同VLAN之间的互通问题，VXLAN网络同样需要解决：VXLAN和VLAN之间如何互通，这个是解决VXLAN虚拟网络和传统物理网络之间如何通信的问题VXLAN和VXLAN之间如何互通，这个是解决VXLAN网络内部不同租户如何互通的问题VXLAN

L2GatewayVLANVLAN

100VXLAN

10VXLAN

L3GatewayVXLAN

202124VXLAN

10VXLAN

IDVLAN

ID10100VXLAN

IDVXLAN

ID1020VXLANVXLAN

二层网关：最简单的实现应该是一个Bridge设备仅仅完成VXLAN到VLAN的转换，包含VXLAN到VLAN的1：1、N：1转换实体形态可以是vSwitch、交换机VXLAN VXLANVXLAN

三层网关：实现可以是一个Router设备，支持跨VXLAN三层转发实体形态可以是vRouter、交换机、路由器VXLAN网络互通需求VXLAN二层/三层网关：传统L2VXLAN

集中式网关LeafLeafSpineLeafVXLANNetworkservervsi-interface

10VSI/VXLAN

10VSI/VXLAN

10vsi-interface

2010.0.0.10server0集中式VXLAN

IP网关进行二层VXLAN业务终结对内层封装的IP报文进行三层转发VXLAN

IP网关功能由VXLAN对应的三层虚接口（VSI虚接口）承担2125VXLAN集中式网关LeafLeafSpineLeafVXVXLAN

分布式网关LeafLeafSpineLeafserverVXLANNetworkvsi-interface

10VSI/VXLAN

10VSI/VXLAN

10vsi-interface

20server00分布式VXLAN

IP网关所有的分布式VXLAN

IP网关上都需要创建VSI虚接口不同网关上的相同VSI虚接口配置相同的网关IP地址vsi-interface

10VSI/VXLAN

10VSI/VXLAN

10vsi-interface

20vsi-interface

10VSI/VXLAN

10VSI/VXLAN

10vsi-interface

202126VXLAN分布式网关LeafLeafSpineLeafseVXLAN的控制平面2127外层源/目的mac外层802.1q标签外层目的IP地址外层源IP地址外层UDP包头VXLAN标签原始数据包VXLAN的控制平面实现方式分为3类自学习模式利用泛洪/广播机制来实现VXLAN网络的建立基于SDNController的集中式模式SDN

Controller作为控制平面，通过下发流表指导VTEP的转发路由协议扩展模式通过扩展ISIS（类EVI)、BGP（EVPN)协议来实现VXLAN网络的建立VTEP设备转发时需要哪些信息？VXLAN的控制平面2127外层源/目的mac外层802VXLAN的控制平面—自学习模式一LeafLeafLeafvswitchVM1VM2serverVTEPIP

VTEPIP

指定VXLAN

ID映射到一个IP组播组，此VXLAN的VTEP都加入该组播组，通过flooding和learning机制完成学习如图，VM

server属于同一个VXLAN

10

加入特定组播组Spine Spine1）VM发送ARP报文请求server的地址2）VTEP将报文进行

VXLAN

封装

，

在组播

组里广播3）同一个VXLAN的VTEP收到ARP请求后，学习对端VTEP的地址，并生成VTEP

上的MAC

地址表，并将VTEP报文解封装后广播到相关接口MAC地址VTEP地址VM

macVXLANNetwork2128VXLAN的控制平面—自学习模式一LeafLeafLeafvVXLAN的控制平面—自学习模式二Leaf-BSpineSpineLeaf-CvswitchVM1VM2serverLeaf-AVTEPIPVTEP

IP10.0.0.26）Leaf-A将报文进行VXLAN

解封装后发给VM1

，

并且学习对端VTEP

的IP,

生成VTEP上的MAC地址表5）Leaf-C查看MAC地址表，将报文封装成VXLAN报文后，单播发送给Leaf-AMAC地址VTEP地址VM

mac4）server收到ARP报文，回应ARP请求MAC地址VTEP地址server

macVXLANNetwork2129VXLAN的控制平面—自学习模式二Leaf-BSpineSpVXLAN的控制平面—基于Controller方式Leaf-ASpine SpineControllerVXLAN

app未知报文1

）

Leaf-A收到未知报文通过packet

in报文将报文发给controllerVM1基于SDN

Controller方式的控制平面和地址学习SDN

Controller与所有VXLAN

ED设备建立连接（通过OpenFlow协议），通过SDN

Controller给各VXLAN

ED部署下发流表来进行VXLAN的转发2）Controller上学习MAC地址表并和Leaf-A地址对应MAC

地址VTEP地址VM

macLeaf-B Leaf-C3）controller下发流表给VTEP指导转发4）controller将学习到的MAC与VTEP对应关系同步到其他VTEP注：通过云业务平台在创建VM的时候直接将VM

MAC地址表（包括与VTEP

IP地址的对应关系）通知SDNcontroller，这样controller一直有整网的VM

MAC地址表VXLANNetwork2130VXLAN的控制平面—基于Controller方式Leaf-VXLAN的控制平面—基于ISIS协议(一)ENDCENDCENDC基于ISIS扩展协议的控制平面和mac地址学习基于EVI邻居发现协议，通过ISIS扩展协议来实现控制平面和MAC地址学习VXLAN网络启用ENDP协议，核心设备作为ENDS设备、接入设备作为ENDC设备，ISIS扩展协议来完成MAC的发布和回收ENDS ENDSVXLANNetwork2131VXLAN的控制平面—基于ISIS协议(一)ENDCENDCVXLAN的控制平面—基于ISIS协议(二)Leaf-BSpineLeaf-CvswitchVM1VM2serverVTEPIP

VTEPIP

1）VTEP学习到VM

MAC之后通过ISIS扩展协议通告给其他VTEP设备Leaf-A2）同一个域内的VTEP设备收到ISIS报文，学习VM

MAC和对应的VTEP地址MAC地址VTEP地址VM

macSpine设备作为ENDS设备、接入设备（VTEP）作为ENDC设备，ENDC设备向ENDS设备发起注册（包括VXLAN

ID、VTEPID、network

ID)ENDS发送应答包括所有ENDC设备信息，建立VXLAN控制平面SpineVXLANNetwork2132VXLAN的控制平面—基于ISIS协议(二)Leaf-BSp优势：标准化：控制面使用EVPN，属于标准协议灵活：使用MP-BGP完成地址同步，更灵活控制地址发布规则SpineSpineLeafLeafLeafEVPN地址同步EVPN地址同步VXLAN隧道建立VXLANNetworkVXLAN的控制平面—基于EVPN协议2133优势：SpineSpineLeafLeafLeafEVPN地VXLAN的数据平面(一)隧道机制源和目的VTEP之间建立隧道，负责报文的VXLAN封装和解封装VTEP为虚拟机数据包分装了层层包头，这些新包头只会在报文到目的VTEP时才会解封装，中间路径网络设备只会根据外层包头的目的地址进行转发，对于转发路径上的网络设备，一个VXLAN报文就是一个普通IP报文leafleafSpine SpineleafleafTunnelVXVXLLAANN网络Network2134VXLAN的数据平面(一)隧道机制leafleafSpineVXLAN的数据平面(二)Leaf-BserverVTEPIP

Leaf-AVTEPIP

Leaf-CMACVTEP地址AMACVTEP地址B在VTEP设备上进行VXLAN的封装解封装，根据MAC地址表（对应有对端的VTEP

IP地址）转发,以虚拟机的二层转发/同一个VXLAN为例Spine SpineMAC

BIP

mac

Bmac

A20.0.0.1MAC

AIP

VM2VXLAN2135Networkmac

Bmac

A20.0.0.220.0.0.1外层UDP包头VXLAN标签mac

Bmac

A20.0.0.1VXLAN的数据平面(二)Leaf-BserverVTEPVXLAN的基本配置1.创建VSI和VXLAN使能L2VPN功能创建VSI，并进入VSI视图创建VXLAN，并进入VXLAN视图注：在一个VSI下只能创建一个VXLAN不同VSI下创建的VXLAN，其VXLAN

ID不能相同2136[Switch]l2vpn

enable[Switch]vsi

vsi-name[Switch]vxlan

vxlan-idVXLAN的基本配置1.创建VSI和VXLAN创建VSI，并2.创建VXLAN隧道配置VXLAN隧道的全局源地址2137创建模式为VXLAN隧道的Tunnel接口配置隧道的源端地址或源接口配置隧道目的地址[Switch]source{ipv4-address|interface-typeinterface-number

}[Switch]interfacetunneltunnel-numbermode

vxlan[Switch]tunnelglobalsource-address

ip-