Ponte virtual de borda
Entender a ponte virtual de borda para uso com a tecnologia VEPA nos switches da Série EX
Os servidores que usam o agregador virtual de portas Ethernet (VEPA) não enviam pacotes diretamente de uma máquina virtual (VM) para outra. Em vez disso, os pacotes são enviados para pontes virtuais em um switch adjacente para processamento. Os switches da Série EX usam a ponte virtual de borda (EVB) como uma ponte virtual para devolver os pacotes na mesma interface que entregou os pacotes.
- O que é EVB?
- O que é VEPA?
- Por que usar VEPA em vez de VEB?
- Como funciona a EVB?
- Como implemento o EVB?
O que é EVB?
O EVB é um recurso de software em um switch que executa o Junos OS que permite que várias máquinas virtuais se comuniquem entre si e com hosts externos no ambiente de rede Ethernet.
O que é VEPA?
VEPA é um recurso de software em um servidor que colabora com um switch externo adjacente para fornecer suporte de ponte entre várias máquinas virtuais e redes externas. A VEPA colabora com o switch adjacente encaminhando todos os quadros originados por VM para o switch adjacente para processamento de quadros e relé de quadro (incluindo encaminhamento de grampos) e direcionando e replicando quadros recebidos do uplink VEPA para os destinos apropriados.
Por que usar VEPA em vez de VEB?
Embora as máquinas virtuais sejam capazes de enviar pacotes diretamente uns aos outros com uma tecnologia chamada ponte Ethernet virtual (VEB), você normalmente quer usar switches físicos para comutação porque a VEB usa hardware de servidor caro para realizar a tarefa. Em vez de usar o VEB, você pode instalar VEPA em um servidor para descarregar a funcionalidade de comutação em um switch físico adjacente e mais barato. Outras vantagens do uso do VEPA incluem:
A VEPA reduz a complexidade e permite um desempenho mais alto no servidor.
A VEPA aproveita os recursos de segurança e rastreamento do switch físico.
A VEPA oferece visibilidade do tráfego entre máquinas virtuais para ferramentas de gerenciamento de rede projetadas para uma ponte adjacente.
A VEPA reduz a quantidade de configuração de rede exigida pelos administradores de servidor e, como consequência, reduz o trabalho para o administrador de rede.
Como funciona a EVB?
A EVB usa dois protocolos, Virtual Station Interface (VSI) Discovery and Configuration Protocol (VDP) e Edge Control Protocol (ECP), para programar políticas para cada instância de switch virtual individual — especificamente, a EVB mantém as seguintes informações para cada instância VSI:
VLAN ID
Tipo VSI
Versão do tipo VSI
Endereço MAC do servidor
O VDP é usado pelo servidor VEPA para propagar informações VSI para o switch. Isso permite que o switch programe políticas em VSIs individuais e ofereça suporte à migração de máquinas virtuais, implementando a lógica para preassociar um VSI com uma interface específica.
ECP é uma camada de transporte semelhante ao Link Layer Discovery Protocol (LLDP) que permite que vários protocolos de camada superior enviem e recebam unidades de dados de protocolo (PDUs). O ECP melhora a LLDP implementando sequenciamento, retransmissão e um mecanismo ack, ao mesmo tempo em que permanece leve o suficiente para ser implementado em uma rede de salto único. O ECP é implementado em uma configuração EVB quando você configura o LLDP em interfaces que você configurou para EVB. Ou seja, você configura LLDP, não ECP.
Como implemento o EVB?
Você pode configurar o EVB em um switch quando esse switch estiver adjacente a um servidor que inclui a tecnologia VEPA. Em geral, é isso que você faz para implementar o EVB:
O gerente de rede cria um conjunto de tipos VSI. Cada tipo VSI é representado por um ID do tipo VSI e uma versão VSI — o gerente de rede pode implantar uma ou mais versões VSI a qualquer momento.
O gerente de VM configura o VSI (que é uma interface de estação virtual para uma VM que é representada por um endereço MAC e um par de ID VLAN) . Para isso, o gerente de VM consulta os IDs do tipo VSI (VTIDs) disponíveis e cria uma instância VSI que consiste em um ID de instância VSI e o VTID escolhido. Esta instância é conhecida como VTDB e contém um ID de gerente VSI, um ID tipo VSI, uma versão VSI e um ID de instância VSI.
Consulte também
Configuração da ponte virtual de borda em um switch da Série EX
Configure a ponte virtual de borda (EVB) quando um switch é conectado a um servidor de máquina virtual (VM) usando a tecnologia de agregador virtual de portas Ethernet (VEPA). A EVB não converte pacotes; em vez disso, garante que os pacotes de um VM destinados a outra VM no mesmo servidor VM sejam comutados. Em outras palavras, quando a origem e o destino de um pacote são a mesma porta, a EVB entrega o pacote corretamente, o que de outra forma não aconteceria.
A configuração do EVB também permite o protocolo de descoberta e configuração (VDP) virtual Station Interface (VSI).
Antes de começar a configurar o EVB, garanta que você tenha:
Agregação configurada de pacotes no servidor conectado à porta que você usará no switch para EVB. Veja a documentação do seu servidor.
Configurou a interface EVB para todas as VLANs localizadas nas máquinas virtuais. Veja a configuração de VLANs para switches da Série EX.
Nota:Os recursos de segurança de porta mac move limiting e limitação MAC são suportados em interfaces que estão configuradas para EVB; no entanto, os recursos de segurança de porta proteção de origem IP, inspeção dinâmica de ARP (DAI) e espionagem DHCP não são suportados pelo EVB. Para obter mais informações sobre esses recursos, consulte recursos de segurança de porta.
Para configurar o EVB no switch:
Consulte também
Example: Configurando a ponte virtual de borda para uso com a tecnologia VEPA em um switch da Série EX
As máquinas virtuais (VMs) podem usar um switch físico adjacente ao servidor das VMs para enviar pacotes tanto para outras VMs quanto para o resto da rede quando duas condições foram atendidas:
O agregador virtual de pacotes Ethernet (VEPA) está configurado no servidor VM.
A ponte virtual de borda (EVB) está configurada no switch.
Este exemplo mostra como configurar o EVB no switch para que os pacotes possam fluir de e para as máquinas virtuais.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch EX4500 ou EX8200
Junos OS Versão 12.1 ou posterior para switches da Série EX
Antes de configurar o EVB em um switch, certifique-se de ter configurado o servidor com máquinas virtuais, VLANs e VEPA:
A seguir estão os números de componentes usados neste exemplo, mas você pode usar menos ou mais para configurar o recurso.
No servidor, configure seis máquinas virtuais, VM 1 a VM 6 como mostrado em Figura 1. Veja a documentação do seu servidor.
No servidor, configure três VLANs nomeadas VLAN_Purple, VLAN_Orange e VLAN_Blue e adicione duas máquinas virtuais a cada VLAN. Veja a documentação do seu servidor.
No servidor, instale e configure VEPA para agregar os pacotes de máquina virtual.
No switch, configure uma interface com as mesmas três VLANs que o servidor (VLAN_Purple, VLAN_Orange e VLAN_Blue). Veja a configuração de VLANs para switches da Série EX.
Visão geral e topologia
O EVB é um recurso de software que fornece várias estações finais virtuais que se comunicam entre si e com switches externos no ambiente de rede Ethernet.
Este exemplo demonstra a configuração que ocorre em um switch quando esse switch está conectado a um servidor com VEPA configurado. Neste exemplo, um switch já está conectado a um servidor que hospeda seis máquinas virtuais (VMs) e configurado com VEPA para agregação de pacotes. As seis máquinas virtuais do servidor são VM 1 a VM 6, e cada máquina virtual pertence a uma das três VLANs de servidor — VLAN_Purple, VLAN_Orange ou VLAN_Blue. Como o VEPA está configurado no servidor, nenhuma das duas VMs pode se comunicar diretamente — toda a comunicação entre VMs deve acontecer pelo switch adjacente. Figura 1 mostra a topologia para este exemplo.
Topologia de exemplo de ponte virtual de borda
O componente VEPA do servidor empurra todos os pacotes de qualquer VM, independentemente de os pacotes serem destinados a outras VMs no mesmo servidor ou a qualquer host externo, para o switch adjacente. O switch adjacente aplica políticas a pacotes de entrada com base na configuração da interface e depois encaminha os pacotes para interfaces apropriadas com base na tabela de aprendizado MAC. Se o switch ainda não aprendeu um MAC de destino, ele inunda o pacote para todas as interfaces, incluindo a porta de origem na qual o pacote chegou.
Tabela 1 mostra os componentes usados neste exemplo.
| Componente | Descrição |
|---|---|
Switch da Série EX |
Para obter uma lista de switches com suporte a esse recurso, consulte a visão geral dos recursos de software do switch da Série EX ou a visão geral dos recursos de software do chassi virtual da Série EX. |
ge-0/0/20 |
Interface do switch para o servidor. |
Servidor |
Servidor com máquinas virtuais e tecnologia VEPA. |
Máquinas virtuais |
Seis máquinas virtuais localizadas no servidor, nomeadas VM 1, VM 2, VM 3, VM 4, VM 5 e VM 6. |
Vlans |
Três VLANs, nomeadas VLAN_Purple, VLAN_Orange e VLAN_Blue. Cada VLAN tem dois membros de máquina virtual. |
VEPA |
Um agregador de porta Ethernet virtual (VEPA) é um recurso de software em um servidor que colabora com um switch externo adjacente para fornecer suporte de ponte entre várias máquinas virtuais e com redes externas. A VEPA colabora com o switch encaminhando todos os quadros originados por VM para a ponte adjacente para processamento de quadros e relé de quadro (incluindo encaminhamento de grampos) e direcionando e replicando quadros recebidos do uplink VEPA para os destinos apropriados. |
A configuração do EVB também permite o protocolo de descoberta e configuração (VDP) virtual Station Interface (VSI).
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o EVB, copie os seguintes comandos e cole-os na CLI do switch no nível de [edit] hierarquia.
set interfaces ge-0/0/20 unit 0 family ethernet-switching port-mode tagged-access set protocols lldp interface ge-0/0/20.0 set vlans vlan_purple interface ge-0/0/20.0 set vlans vlan_orange interface ge-0/0/20.0 set vlans vlan_blue interface ge-0/0/20.0 set protocols edge-virtual-bridging vsi-discovery interface ge-0/0/20.0 set policy-options vsi-policy P1 from vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb998 set policy-options vsi-policy P1 then filter f2 set policy-options vsi-policy P3 from vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997 set policy-options vsi-policy P3 then filter f3 set firewall family ethernet-switching filter f2 term t1 then accept set firewall family ethernet-switching filter f2 term t1 then count f2_accept set firewall family ethernet-switching filter f3 term t1 then accept set firewall family ethernet-switching filter f3 term t1 then count f3_accept set protocols edge-virtual-bridging vsi-discovery vsi-policy P1 set protocols edge-virtual-bridging vsi-discovery vsi-policy P3
Procedimento passo a passo
Para configurar o EVB no switch:
Configure o modo de acesso marcado para as interfaces nas quais você habilitará o EVB:
[edit interfaces ge-0/0/20] user@switch# set unit 0 family ethernet-switching port-mode tagged-access
Habilite o link Layer Discovery Protocol (LLDP) nas interfaces de portas nas quais você habilitará o EVB:
[edit protocols] user@switch# set lldp interface ge-0/0/20.0
Configure a interface como um membro de todas as VLANs localizadas nas máquinas virtuais.
[edit] user@switch# set vlans vlan_purple interface ge-0/0/20.0 user@switch# set vlans vlan_orange interface ge-0/0/20.0 user@switch# set vlans vlan_blue interface ge-0/0/20.0
Habilite o VSI Discovery and Control Protocol (VDP) na interface:
[edit protocols] user@switch# set edge-virtual-bridging vsi-discovery interface ge-0/0/20.0
Definir políticas para informações de VSI. As informações do VSI são baseadas em um ID do gerente vsi, tipo VSI, versão VSI e ID da instância VSI:
[edit policy-options] user@switch# set vsi-policy P1 from vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb998 user@switch# set vsi-policy P1 then filter f2 user@switch# set vsi-policy P3 from vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997 user@switch# set vsi-policy P3 then filter f3
Duas políticas vsi foram definidas na etapa anterior, cada uma delas mapeando para diferentes filtros de firewall. Defina os filtros de firewall:
[edit firewall family ethernet-switching] user@switch# set filter f2 term t1 then accept user@switch# set filter f2 term t1 then count f2_accept user@switch# set filter f3 term t1 then accept user@switch# set filter f3 term t1 then count f3_accept
Políticas de VSI associadas com protocolo de descoberta de VSI
[edit] user@switch# set protocols edge-virtual-bridging vsi-discovery vsi-policy P1 user@switch# set protocols edge-virtual-bridging vsi-discovery vsi-policy P3
Resultados
user@switch# show protocols
edge-virtual-bridging {
vsi-discovery {
interface {
ge-0/0/20.0;
}
vsi-policy {
P1;
P3;
}
}
}
lldp {
interface ge-0/0/20.0;
user@switch# show policy-options
vsi-policy P1 {
from {
vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4ee
b-8f00-c84ebb0bb998;
}
then {
filter f2;
}
}
vsi-policy P3 {
from {
vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4ee
b-8f00-c84ebb0bb997;
}
then {
filter f3;
}
}user@switch# show vlans
vlan_blue {
interface {
ge-0/0/20.0;
}
}
vlan_orange {
interface {
ge-0/0/20.0;
}
}
vlan_purple {
interface {
ge-0/0/20.0;
interface;
}
}user@switch# show firewall
family ethernet-switching {
filter f2 {
term t1 {
then {
accept;
count f2_accept;
}
}
}
filter f3 {
term t1 {
then {
accept;
count f3_accept;
}
}
}
}
Verificação
Para confirmar que o EVB está habilitado e funcionando corretamente, execute essas tarefas:
- Verificar se o EVB está configurado corretamente
- Verificando se a máquina virtual se associou com sucesso ao switch
- Verificando se os perfis VSI estão sendo aprendidos no switch
Verificar se o EVB está configurado corretamente
Propósito
Verifique se o EVB está configurado corretamente
Ação
user@switch# show edge-virtual-bridging Interface Forwarding Mode RTE Number of VSIs Protocols ge-0/0/20.0 Reflective-relay 25 400 ECP, VDP, RTE
Significado
Quando o LLDP é habilitado pela primeira vez, uma troca de LLDP EVB ocorre entre switch e servidor usando LLDP. Como parte desta troca, os seguintes parâmetros são negociados: Número de VSIs suportados, modo de encaminhamento, suporte a ECP, suporte a VDP e Retransmission Timer Exponent (RTE). Se a saída tiver valores para os parâmetros negociados, o EVB estará configurado corretamente.
Verificando se a máquina virtual se associou com sucesso ao switch
Propósito
Verifique se a máquina virtual está associada com sucesso ao switch. Após uma associação bem-sucedida do perfil VSI com a interface do switch, verifique o aprendizado do endereço MAC da VM na Tabela mac-table ou na tabela de banco de dados de encaminhamento. O tipo de aprendizado dos endereços MAC da VM será VDP e, após o encerramento bem-sucedido da VM, a entrada MAC-VLAN correspondente será retirada da tabela FDB, caso contrário, nunca será paralisada.
Ação
user@switch# run show ethernet-switching table Ethernet-switching table: 10 entries, 4 learned VLAN MAC address Type Age Interfaces v3 * Flood - All-members v3 00:02:a6:11:bb:1a VDP - ge-1/0/10.0 v3 00:02:a6:11:cc:1a VDP - ge-1/0/10.0 v3 00:23:9c:4f:70:01 Static - Router v4 * Flood - All-members v4 00:02:a6:11:bb:bb VDP - ge-1/0/10.0 v4 00:23:9c:4f:70:01 Static - Router v5 * Flood - All-members v5 00:23:9c:4f:70:01 Static - Router v5 52:54:00:d5:49:11 VDP - ge-1/0/20.0
Verificando se os perfis VSI estão sendo aprendidos no switch
Propósito
Verifique se os perfis VSI estão sendo aprendidos no switch.
Ação
user@switch# show edge-virtual-bridging vsi-profiles
Interface: ge-0/0/20.0
Manager: 97, Type: 997, Version: 3, VSI State: Associate
Instance: 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997
MAC VLAN
00:10:94:00:00:04 3Significado
Sempre que as VMs configuradas para VEPA são iniciadas no servidor, as VMs começam a enviar mensagens VDP. Como parte deste protocolo, os perfis VSI são aprendidos no switch.
Se a saída tiver valores para Gerente, Tipo, Versão, Estado VSI e Instância, os perfis VSI estão sendo aprendidos no switch.