Ponte virtual de borda
Entendendo a ponte virtual de borda para uso com a tecnologia VEPA em switches da Série EX
Os servidores que usam o agregador virtual de portas Ethernet (VEPA) não enviam pacotes diretamente de uma máquina virtual (VM) para outra. Em vez disso, os pacotes são enviados para pontes virtuais em um switch adjacente para processamento. Os switches da Série EX usam a ponte virtual de borda (EVB) como uma ponte virtual para devolver os pacotes na mesma interface que entregava os pacotes.
- O que é EVB?
- O que é VEPA?
- Por que usar VEPA em vez de VEB?
- Como funciona a EVB?
- Como implemento o EVB?
O que é EVB?
O EVB é um recurso de software em um switch que executa o Junos OS que permite que várias máquinas virtuais se comuniquem entre si e com hosts externos no ambiente de rede Ethernet.
O que é VEPA?
VEPA é um recurso de software em um servidor que colabora com um switch externo adjacente para fornecer suporte de ponte entre várias máquinas virtuais e redes externas. A VEPA colabora com o switch adjacente encaminhando todos os quadros originados por VM para o switch adjacente para processamento de quadros e retransmissão de quadros (incluindo encaminhamento de grampos) e direcionando e replicando quadros recebidos do uplink VEPA para os destinos apropriados.
Por que usar VEPA em vez de VEB?
Embora as máquinas virtuais sejam capazes de enviar pacotes diretamente uns aos outros com uma tecnologia chamada ponte Ethernet virtual (VEB), você normalmente quer usar switches físicos para comutação porque a VEB usa hardware de servidor caro para realizar a tarefa. Em vez de usar o VEB, você pode instalar VEPA em um servidor para descarregar a funcionalidade de comutação em um switch físico adjacente e mais barato. Outras vantagens do uso da VEPA incluem:
A VEPA reduz a complexidade e permite um desempenho mais alto no servidor.
A VEPA aproveita os recursos de segurança e rastreamento do switch físico.
A VEPA oferece visibilidade do tráfego entre máquinas virtuais às ferramentas de gerenciamento de rede projetadas para uma ponte adjacente.
A VEPA reduz a quantidade de configuração de rede exigida pelos administradores de servidores e, como conseqüência, reduz o trabalho para o administrador de rede.
Como funciona a EVB?
A EVB usa dois protocolos, Virtual Station Interface (VSI) Discovery and Configuration Protocol (VDP) e Edge Control Protocol (ECP), para programar políticas para cada instância virtual de switch individual — especificamente, o EVB mantém as seguintes informações para cada instância VSI:
VLAN ID
Tipo VSI
Versão do tipo VSI
Endereço MAC do servidor
O VDP é usado pelo servidor VEPA para propagar informações vsi para o switch. Isso permite que o switch programe políticas em VSIs individuais e oferece suporte à migração de máquinas virtuais implementando lógica para pré-integrar uma VSI com uma interface específica.
ECP é uma camada de transporte semelhante ao Link Layer Discovery Protocol (LLDP) que permite que vários protocolos de camada superior enviem e recebam unidades de dados de protocolo (PDUs). O ECP melhora o LLDP implementando sequenciamento, retransmissão e um mecanismo ack, ao mesmo tempo em que permanece leve o suficiente para ser implementado em uma rede de salto único. O ECP é implementado em uma configuração EVB quando você configura o LLDP em interfaces que você configurou para EVB. Ou seja, você configura LLDP, não ECP.
Como implemento o EVB?
Você pode configurar o EVB em um switch quando esse switch é adjacente a um servidor que inclui a tecnologia VEPA. Em geral, é isso que você faz para implementar o EVB:
O gerente de rede cria um conjunto de tipos VSI. Cada tipo de VSI é representado por um ID do tipo VSI e uma versão VSI — o gerente de rede pode implantar uma ou mais versões VSI a qualquer momento.
O gerente de VM configura o VSI (que é uma interface de estação virtual para uma VM que é representada por um endereço MAC e um par de ID VLAN) . Para isso, o gerente de VM consulta os IDs do tipo VSI (VTIDs) disponíveis e cria uma instância VSI composta por um ID de instância VSI e o VTID escolhido. Esta instância é conhecida como VTDB e contém um ID de gerente VSI, um ID do tipo VSI, uma versão VSI e um ID de instância VSI.
Consulte também
Configuração da ponte virtual de borda em um switch da Série EX
Configure a ponte virtual de borda (EVB) quando um switch é conectado a um servidor de máquina virtual (VM) usando a tecnologia virtual de agregador de portas Ethernet (VEPA). A EVB não converte pacotes; em vez disso, garante que os pacotes de um VM destinado a outra VM no mesmo servidor VM sejam comutos. Em outras palavras, quando a origem e o destino de um pacote são a mesma porta, o EVB entrega o pacote corretamente, o que de outra forma não aconteceria.
A configuração do EVB também permite a descoberta e o protocolo de configuração (VDP) da Interface de Estação Virtual (VSI).
Antes de começar a configurar o EVB, certifique-se de ter:
Agregação configurada de pacotes no servidor conectado à porta que você usará no switch para EVB. Consulte a documentação do seu servidor.
Configurou a interface EVB para todas as VLANs localizadas nas máquinas virtuais. Veja a configuração de VLANs para switches da Série EX.
Nota:Os recursos de segurança de porta mac movem limitação e limitação MAC são suportados em interfaces que estão configuradas para EVB; no entanto, a segurança de porta possui proteção de origem IP, inspeção dinâmica de ARP (DAI) e snooping DHCP não são suportados pelo EVB. Para obter mais informações sobre esses recursos, veja recursos de segurança de porta.
Para configurar o EVB no switch:
Consulte também
Exemplo: Configurando a ponte virtual de borda para uso com a tecnologia VEPA em um switch da Série EX
As máquinas virtuais (VMs) podem usar um switch físico adjacente ao servidor dos VMs para enviar pacotes tanto para outras VMs quanto para o resto da rede quando duas condições foram atendidas:
O agregador virtual de pacotes Ethernet (VEPA) está configurado no servidor VM.
A ponte virtual de borda (EVB) está configurada no switch.
Este exemplo mostra como configurar o EVB no switch para que os pacotes possam fluir de e para as máquinas virtuais.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch EX4500 ou EX8200
Versão 12.1 ou posterior do Junos OS para switches da Série EX
Antes de configurar o EVB em um switch, certifique-se de ter configurado o servidor com máquinas virtuais, VLANs e VEPA:
A seguir, estão os números de componentes usados neste exemplo, mas você pode usar menos ou mais para configurar o recurso.
No servidor, configure seis máquinas virtuais, VM 1 a VM 6 como mostrado em Figura 1. Consulte a documentação do seu servidor.
No servidor, configure três VLANs nomeadas como VLAN_Purple, VLAN_Orange e VLAN_Blue, e adicione duas máquinas virtuais a cada VLAN. Consulte a documentação do seu servidor.
No servidor, instale e configure a VEPA para agregar os pacotes de máquina virtual.
No switch, configure uma interface com as mesmas três VLANs que o servidor (VLAN_Purple, VLAN_Orange e VLAN_Blue). Veja a configuração de VLANs para switches da Série EX.
Visão geral e topologia
O EVB é um recurso de software que oferece várias estações finais virtuais que se comunicam entre si e com switches externos no ambiente de rede Ethernet.
Este exemplo demonstra a configuração que ocorre em um switch quando esse switch está conectado a um servidor com VEPA configurada. Neste exemplo, um switch já está conectado a um servidor que hospeda seis máquinas virtuais (VMs) e é configurado com VEPA para agregar pacotes. As seis máquinas virtuais do servidor são VM 1 a VM 6, e cada máquina virtual pertence a uma das três VLANs de servidor — VLAN_Purple, VLAN_Orange ou VLAN_Blue. Como o VEPA está configurado no servidor, nenhum VMs pode se comunicar diretamente — toda a comunicação entre VMs deve acontecer através do switch adjacente. Figura 1 mostra a topologia para este exemplo.
Topologia de exemplo de ponte virtual de borda
O componente VEPA do servidor empurra todos os pacotes de qualquer VM, independentemente de os pacotes estarem destinados a outras VMs no mesmo servidor ou a qualquer host externo, para o switch adjacente. O switch adjacente aplica políticas aos pacotes de entrada com base na configuração da interface e depois encaminha os pacotes para interfaces apropriadas com base na tabela de aprendizado MAC. Se o switch ainda não tiver aprendido um MAC de destino, ele inunda o pacote para todas as interfaces, incluindo a porta de origem em que o pacote chegou.
Tabela 1 mostra os componentes usados neste exemplo.
| Componente | Descrição |
|---|---|
Switch da Série EX |
Para obter uma lista de switches que oferecem suporte a esse recurso, veja a visão geral dos recursos de software do switch da Série EX ou dos recursos de software do Virtual Chassis da Série EX. |
ge-0/0/20 |
Interface de switch para o servidor. |
Servidor |
Servidor com máquinas virtuais e tecnologia VEPA. |
Máquinas virtuais |
Seis máquinas virtuais localizadas no servidor, nomeadas como VM 1, VM 2, VM 3, VM 4, VM 5 e VM 6. |
VLANs |
Três VLANs, nomeadas como VLAN_Purple, VLAN_Orange e VLAN_Blue. Cada VLAN tem dois membros de máquinas virtuais. |
VEPA |
Um agregador virtual de portas Ethernet (VEPA) é um recurso de software em um servidor que colabora com um switch externo adjacente para fornecer suporte de ponte entre várias máquinas virtuais e com redes externas. A VEPA colabora com o switch encaminhando todos os quadros originados por VM para a ponte adjacente para processamento de quadros e retransmissão de quadros (incluindo encaminhamento de grampos) e direcionando e replicando quadros recebidos do uplink vepa para os destinos apropriados. |
A configuração do EVB também permite a descoberta e o protocolo de configuração (VDP) da Interface de Estação Virtual (VSI).
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o EVB, copie os seguintes comandos e cole-os no CLI do switch no [edit] nível de hierarquia.
set interfaces ge-0/0/20 unit 0 family ethernet-switching port-mode tagged-access set protocols lldp interface ge-0/0/20.0 set vlans vlan_purple interface ge-0/0/20.0 set vlans vlan_orange interface ge-0/0/20.0 set vlans vlan_blue interface ge-0/0/20.0 set protocols edge-virtual-bridging vsi-discovery interface ge-0/0/20.0 set policy-options vsi-policy P1 from vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb998 set policy-options vsi-policy P1 then filter f2 set policy-options vsi-policy P3 from vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997 set policy-options vsi-policy P3 then filter f3 set firewall family ethernet-switching filter f2 term t1 then accept set firewall family ethernet-switching filter f2 term t1 then count f2_accept set firewall family ethernet-switching filter f3 term t1 then accept set firewall family ethernet-switching filter f3 term t1 then count f3_accept set protocols edge-virtual-bridging vsi-discovery vsi-policy P1 set protocols edge-virtual-bridging vsi-discovery vsi-policy P3
Procedimento passo a passo
Para configurar o EVB no switch:
Configure o modo de acesso com tags para as interfaces nas quais você habilitará o EVB:
[edit interfaces ge-0/0/20] user@switch# set unit 0 family ethernet-switching port-mode tagged-access
Habilite o Link Layer Discovery Protocol (LLDP) nas interfaces de portas nas quais você habilitará o EVB:
[edit protocols] user@switch# set lldp interface ge-0/0/20.0
Configure a interface como um membro de todas as VLANs localizadas nas máquinas virtuais.
[edit] user@switch# set vlans vlan_purple interface ge-0/0/20.0 user@switch# set vlans vlan_orange interface ge-0/0/20.0 user@switch# set vlans vlan_blue interface ge-0/0/20.0
Habilite o VSI Discovery and Control Protocol (VDP) na interface:
[edit protocols] user@switch# set edge-virtual-bridging vsi-discovery interface ge-0/0/20.0
Definir políticas para informações de VSI. As informações do VSI são baseadas em um ID do gerente VSI, tipo VSI, versão VSI e ID da instância VSI:
[edit policy-options] user@switch# set vsi-policy P1 from vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb998 user@switch# set vsi-policy P1 then filter f2 user@switch# set vsi-policy P3 from vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997 user@switch# set vsi-policy P3 then filter f3
Duas políticas VSI foram definidas na etapa anterior, cada uma delas mapeando para diferentes filtros de firewall. Definir os filtros de firewall:
[edit firewall family ethernet-switching] user@switch# set filter f2 term t1 then accept user@switch# set filter f2 term t1 then count f2_accept user@switch# set filter f3 term t1 then accept user@switch# set filter f3 term t1 then count f3_accept
Associar políticas VSI com protocolo de descoberta de VSI
[edit] user@switch# set protocols edge-virtual-bridging vsi-discovery vsi-policy P1 user@switch# set protocols edge-virtual-bridging vsi-discovery vsi-policy P3
Resultados
user@switch# show protocols
edge-virtual-bridging {
vsi-discovery {
interface {
ge-0/0/20.0;
}
vsi-policy {
P1;
P3;
}
}
}
lldp {
interface ge-0/0/20.0;
user@switch# show policy-options
vsi-policy P1 {
from {
vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4ee
b-8f00-c84ebb0bb998;
}
then {
filter f2;
}
}
vsi-policy P3 {
from {
vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4ee
b-8f00-c84ebb0bb997;
}
then {
filter f3;
}
}user@switch# show vlans
vlan_blue {
interface {
ge-0/0/20.0;
}
}
vlan_orange {
interface {
ge-0/0/20.0;
}
}
vlan_purple {
interface {
ge-0/0/20.0;
interface;
}
}user@switch# show firewall
family ethernet-switching {
filter f2 {
term t1 {
then {
accept;
count f2_accept;
}
}
}
filter f3 {
term t1 {
then {
accept;
count f3_accept;
}
}
}
}
Verificação
Para confirmar que o EVB está habilitado e funcionando corretamente, execute essas tarefas:
- Verificar se o EVB está configurado corretamente
- Verificando se a máquina virtual se associou com sucesso ao switch
- Verificando se os perfis vsi estão sendo aprendidos no switch
Verificar se o EVB está configurado corretamente
Propósito
Verifique se o EVB está configurado corretamente
Ação
user@switch# show edge-virtual-bridging Interface Forwarding Mode RTE Number of VSIs Protocols ge-0/0/20.0 Reflective-relay 25 400 ECP, VDP, RTE
Significado
Quando o LLDP é habilitado pela primeira vez, uma troca de LLDP EVB ocorre entre switch e servidor usando LLDP. Como parte desta troca, os seguintes parâmetros são negociados: Número de VSIs suportados, modo de encaminhamento, suporte para ECP, suporte a VDP e Retransmissão Timer Exponent (RTE). Se a saída tiver valores para os parâmetros negociados, o EVB será configurado corretamente.
Verificando se a máquina virtual se associou com sucesso ao switch
Propósito
Verifique se a máquina virtual foi associada com sucesso ao switch. Após uma associação bem-sucedida do perfil VSI com a interface do switch, verifique o aprendizado do endereço MAC do VM na Tabela MAC ou na Tabela de dados de encaminhamento. O tipo de aprendizado dos endereços MAC da VM será VDP e, após o fechamento bem-sucedido da VM, a entrada MAC-VLAN correspondente será liberada da tabela FDB caso contrário, ela nunca será paralisada.
Ação
user@switch# run show ethernet-switching table Ethernet-switching table: 10 entries, 4 learned VLAN MAC address Type Age Interfaces v3 * Flood - All-members v3 00:02:a6:11:bb:1a VDP - ge-1/0/10.0 v3 00:02:a6:11:cc:1a VDP - ge-1/0/10.0 v3 00:23:9c:4f:70:01 Static - Router v4 * Flood - All-members v4 00:02:a6:11:bb:bb VDP - ge-1/0/10.0 v4 00:23:9c:4f:70:01 Static - Router v5 * Flood - All-members v5 00:23:9c:4f:70:01 Static - Router v5 52:54:00:d5:49:11 VDP - ge-1/0/20.0
Verificando se os perfis vsi estão sendo aprendidos no switch
Propósito
Verifique se os perfis VSI estão sendo aprendidos no switch.
Ação
user@switch# show edge-virtual-bridging vsi-profiles
Interface: ge-0/0/20.0
Manager: 97, Type: 997, Version: 3, VSI State: Associate
Instance: 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997
MAC VLAN
00:10:94:00:00:04 3Significado
Sempre que as VMs configuradas para VEPA são iniciadas no servidor, as VMs começam a enviar mensagens VDP. Como parte deste protocolo, os perfis VSI são aprendidos no switch.
Se a saída tiver valores para o gerenciador, tipo, versão, estado VSI e instância, os perfis VSI estarão sendo aprendidos no switch.