NESTA PÁGINA
Usando QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4300-48MP e switches EX4600 com VXLANs
Mudando a porta UDP nos switches QFX5100, QFX5110, QFX5200, QFX5210 e EX4600
Controle do tráfego multicast de trânsito nos switches QFX5100, QFX5110, QFX5200, QFX5210 e EX4600
Usando um roteador da Série MX, switch EX9200 ou switch QFX10000 como VTEP
Entender as VXLANs
A tecnologia de protocolo lan extensível virtual (VXLAN) permite que as redes ofereçam suporte a mais VLANs. De acordo com o padrão IEEE 802.1Q, os identificadores VLAN tradicionais têm 12 bits de comprimento — essa nomeação limita as redes a 4094 VLANs. O protocolo VXLAN supera essa limitação usando um identificador de rede lógico mais longo que permite mais VLANs e, portanto, isolamento de rede mais lógico para redes grandes, como nuvens que normalmente incluem muitas máquinas virtuais.
Benefícios do VXLAN
A tecnologia VXLAN permite segmentar suas redes (como as VLANs fazem), mas oferece benefícios que as VLANs não podem. Aqui estão os benefícios mais importantes do uso de VXLANs:
Teoricamente, você pode criar até 16 milhões de VXLANs em um domínio administrativo (em oposição a 4094 VLANs em um dispositivo da Juniper Networks).
Roteadores da Série MX e switches EX9200 oferecem suporte a até 32.000 VXLANs, 32.000 grupos multicast e 8000 endpoints de túnel virtual (VTEPs). Isso significa que as VXLANs baseadas em roteadores da Série MX fornecem segmentação de rede na escala exigida pelos construtores de nuvem para oferecer suporte a um número muito grande de locatários.
Os switches da Série QFX10000 oferecem suporte a 4000 VXLANs e VTEPs remotos de 2000.
Os switches QFX5100, QFX5110, QFX5200, QFX5210 e EX4600 oferecem suporte a 4000 VXLANs, 4000 grupos multicast e 2000 VTEPs remotos.
Os switches EX4300-48MP oferecem suporte a 4000 VXLANs.
Você pode habilitar a migração de máquinas virtuais entre servidores que existem em domínios separados de Camada 2, tunelando o tráfego em redes de Camada 3. Essa funcionalidade permite alocar recursos dinamicamente dentro ou entre data centers sem ser restringido pelos limites da Camada 2 ou ser forçado a criar domínios de Camada 2 grandes ou geograficamente estendidos.
Usar VXLANs para criar domínios menores de Camada 2 conectados por uma rede de Camada 3 significa que você não precisa usar o Spanning Tree Protocol (STP) para convergir a topologia, mas pode usar protocolos de roteamento mais robustos na rede de Camada 3. Na ausência de STP, nenhum de seus links está bloqueado, o que significa que você pode obter valor total de todas as portas que você compra. Usar protocolos de roteamento para conectar seus domínios de Camada 2 também permite que você balancee o tráfego para garantir que você tenha o melhor uso de sua largura de banda disponível. Dada a quantidade de tráfego leste-oeste que costuma fluir dentro ou entre data centers, maximizar o desempenho da sua rede para esse tráfego é muito importante.
O vídeo Por que usar uma rede overlay em um data center? apresenta uma breve visão geral das vantagens do uso de VXLANs.
Como funciona o VXLAN?
O VXLAN é frequentemente descrito como uma tecnologia de sobreposição porque permite que você estenda as conexões de Camada 2 em uma rede de Camada 3 intervindo encapsulando (tunelamento) quadros Ethernet em um pacote VXLAN que inclui endereços IP. Dispositivos que oferecem suporte a VXLANs são chamados de endpoints de túnel virtual (VTEPs) — eles podem ser hosts finais ou switches ou roteadores de rede. Os VTEPs encapsulam o tráfego VXLAN e des encapsulam esse tráfego quando ele sai do túnel VXLAN. Para encapsular um quadro Ethernet, os VTEPs adicionam vários campos, incluindo os seguintes campos:
Endereço de destino do controle de acesso de mídia externa (MAC) (endereço MAC do VTEP do endpoint do túnel)
Endereço de origem MAC externo (endereço MAC do VTEP de origem do túnel)
Endereço de destino IP externo (endereço IP do VTEP de endpoint do túnel)
Endereço de origem IP externo (endereço IP do VTEP de origem do túnel)
Cabeçalho UDP externo
Um cabeçalho VXLAN que inclui um campo de 24 bits — chamado de identificador de rede VXLAN (VNI) — usado para identificar o VXLAN com exclusividade. O VNI é semelhante a um VLAN ID, mas ter 24 bits permite que você crie muito mais VXLANs do que VLANs.
Como o VXLAN adiciona de 50 a 54 bytes de informações adicionais de cabeçalho ao quadro Ethernet original, você pode querer aumentar o MTU da rede subjacente. Nesse caso, configure o MTU das interfaces físicas que participam da rede VXLAN, e não o MTU da interface de origem VTEP lógica, que é ignorada.
A Figura 1 mostra o formato de pacote VXLAN.
Métodos de implementação de VXLAN
O Junos OS oferece suporte à implementação de VXLANs nos seguintes ambientes:
VXLAN manual — Nesse ambiente, um dispositivo da Juniper Networks atua como um dispositivo de trânsito para dispositivos downstream que atuam como VTEPs, ou um gateway que fornece conectividade para servidores downstream que hospedam máquinas virtuais (VMs), que se comunicam por uma rede de Camada 3. Nesse ambiente, os controladores de rede definida por software (SDN) não são implantados.
Nota:Os switches QFX10000 não oferecem suporte a VXLANs manuais.
OVSDB-VXLAN — Nesse ambiente, os controladores SDN usam o protocolo de gerenciamento open vSwitch Database (OVSDB) para fornecer um meio através do qual os controladores (como um VMware NSX ou controlador Juniper Networks Contrail) e dispositivos Juniper Networks que oferecem suporte ao OVSDB podem se comunicar.
EVPN-VXLAN — Nesse ambiente, a VPN Ethernet (EVPN) é uma tecnologia de plano de controle que permite que hosts (servidores físicos e VMs) sejam colocados em qualquer lugar de uma rede e permaneçam conectados à mesma rede de sobreposição lógica de Camada 2, e a VXLAN cria o plano de dados para a rede de sobreposição de Camada 2.
Usando QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4300-48MP e switches EX4600 com VXLANs
Você pode configurar os switches para executar todas as seguintes funções:
(Todos os switches, exceto EX4300-48MP) Em um ambiente sem um controlador SDN, atue como um switch de Camada 3 de trânsito para hosts downstream que atuam como VTEPs. Nesta configuração, você não precisa configurar nenhuma funcionalidade VXLAN no switch. Você precisa configurar IGMP e PIM para que o switch possa formar as árvores multicast para os grupos multicast VXLAN. (Veja VXLANs manuais que exigem PIM para obter mais informações.)
(Todos os switches, exceto EX4300-48MP) Em um ambiente com ou sem um controlador SDN, atue como um gateway de Camada 2 entre redes virtualizadas e nãovirtualizadas no mesmo data center ou entre data centers. Por exemplo, você pode usar o switch para conectar uma rede que usa VXLANs a uma que usa VLANs.
(Switches EX4300-48MP) Atue como um gateway de Camada 2 entre redes virtualizadas e não virtualizadas em uma rede de campus. Por exemplo, você pode usar o switch para conectar uma rede que usa VXLANs a uma que usa VLANs.
(Todos os switches, exceto EX4300-48MP) Atue como um gateway de Camada 2 entre redes virtualizadas nos mesmos data centers ou diferentes e permita que as máquinas virtuais movam (VMotion) entre essas redes e data centers. Por exemplo, se você quiser permitir o VMotion entre dispositivos em duas redes diferentes, você pode criar o mesmo VLAN em ambas as redes e colocar ambos os dispositivos nessa VLAN. Os switches conectados a esses dispositivos, atuando como VTEPs, podem mapear esse VLAN para o mesmo VXLAN, e o tráfego VXLAN pode então ser roteado entre as duas redes.
(Switches QFX5110 e QFX5120 com EVPN-VXLAN) Atue como um gateway de Camada 3 para rotear o tráfego entre VXLANs diferentes no mesmo data center.
(Switches QFX5110 e QFX5120 com EVPN-VXLAN) Atue como um gateway de Camada 3 para rotear o tráfego entre diferentes VXLANs em diferentes data centers por uma WAN ou Internet usando protocolos de roteamento padrão ou túneis de serviço de LAN privada virtual (VPLS).
Se você quiser que um switch QFX5110 ou QFX5120 seja um gateway VXLAN de Camada 3 em um ambiente EVPN-VXLAN, você deve configurar interfaces integradas de roteamento e ponte (IRB) para conectar as VXLANs, assim como você faz se quiser rotear o tráfego entre VLANs.
Como os cabeçalhos adicionais adicionam de 50 a 54 bytes, você pode precisar aumentar o MTU em um VTEP para acomodar pacotes maiores. Por exemplo, se o switch estiver usando o valor MTU padrão de 1514 bytes e você quiser encaminhar pacotes de 1500 byte pelo VXLAN, você precisa aumentar o MTU para permitir o aumento do tamanho do pacote causado pelos cabeçalhos adicionais.
Mudando a porta UDP nos switches QFX5100, QFX5110, QFX5200, QFX5210 e EX4600
Começando pelo Junos OS Release 14.1X53-D25 nos switches QFX5100, Junos OS Release 15.1X53-D210 nos switches QFX5110 e QFX5200, Junos OS Release 18.1R1 nos switches QFX5210 e Junos OS Release 18.2R1 nos switches EX4600, você pode configurar a porta UDP usada como porta de destino para tráfego VXLAN. Para configurar a porta de destino VXLAN para ser algo diferente da porta UDP padrão do 4789, digite a seguinte declaração:
set protocols l2-learning destination-udp-port port-number
A porta configurada será usada para todas as VXLANs configuradas no switch.
Se você fizer essa mudança em um switch em uma VXLAN, você deve fazer a mesma mudança em todos os dispositivos que terminam as VXLANs configuradas em seu switch. Se você não fizer isso, o tráfego será interrompido para todas as VXLANs configuradas em seu switch. Quando você muda a porta UDP, os VTEPs remotos e MACs remotos aprendidos anteriormente são perdidos e o tráfego VXLAN é interrompido até que o switch reaprende os VTEPs remotos e MACs remotos.
Controle do tráfego multicast de trânsito nos switches QFX5100, QFX5110, QFX5200, QFX5210 e EX4600
Quando o switch atua como um VTEP recebe uma transmissão, unicast desconhecido ou pacote multicast, ele executa as seguintes ações no pacote:
Ele des encapsula o pacote e o entrega aos hosts conectados localmente.
Em seguida, ele adiciona o encapsulamento VXLAN novamente e envia o pacote para os outros VTEPs no VXLAN.
Essas ações são executadas pela interface de loopback usada como endereço do túnel VXLAN e podem, portanto, afetar negativamente a largura de banda disponível para o VTEP. Começando com o Junos OS Release 14.1X53-D30 para switches QFX5100, Junos OS Release 15.1X53-D210 para switches QFX5110 e QFX5200, Junos OS Release 18.1R1 para switches QFX5210 e Junos OS Release 18.2R1 para switches EX4600, se você souber que não há receptores multicast conectados a outros VTEPs no VXLAN que queiram tráfego para um grupo multicast específico, você pode reduzir a carga de processamento na interface de loopback inserindo a seguinte declaração:
set protocols l2-learning disable-vxlan-multicast-transit vxlan-multicast-group multicast-group
Neste caso, nenhum tráfego será encaminhado para o grupo especificado, mas todo o tráfego multicast será encaminhado. Se você não quiser encaminhar nenhum tráfego multicast para outros VTEPs no VXLAN, insira a seguinte declaração:
set protocols l2-learning disable-vxlan-multicast-transit vxlan-multicast-group all
Usando um roteador da Série MX, switch EX9200 ou switch QFX10000 como VTEP
Você pode configurar um roteador da Série MX, switch EX9200 ou switch QFX10000 para atuar como um VTEP e executar todas as seguintes funções:
Atue como um gateway de Camada 2 entre redes virtualizadas e não virtualizadas no mesmo data center ou entre data centers. Por exemplo, você pode usar um roteador da Série MX para conectar uma rede que usa VXLANs a uma que usa VLANs.
Atue como um gateway de Camada 2 entre redes virtualizadas nos mesmos data centers ou diferentes e permita que as máquinas virtuais movam (VMotion) entre essas redes e data centers.
Atue como um gateway de Camada 3 para rotear o tráfego entre VXLANs diferentes no mesmo data center.
Atue como um gateway de Camada 3 para rotear o tráfego entre diferentes VXLANs em diferentes data centers por uma WAN ou Internet usando protocolos de roteamento padrão ou túneis de serviço de LAN privada virtual (VPLS).
Se você quiser que um dos dispositivos descritos nesta seção seja um gateway VXLAN Layer 3, você deve configurar interfaces integradas de roteamento e ponte (IRB) para conectar as VXLANs, assim como você faz se quiser rotear o tráfego entre VLANs.
VXLANs manuais exigem PIM
Em um ambiente com um controlador (como um VMware NSX ou controlador Juniper Networks Contrail), você pode provisionar VXLANs em um dispositivo da Juniper Networks. Um controlador também fornece um plano de controle que os VTEPs usam para anunciar sua alcance e aprender sobre a alcance de outros VTEPs. Você também pode criar VXLANs manualmente em dispositivos Juniper Networks em vez de usar um controlador. Se você usar essa abordagem, você também deve configurar o Protocol Independent Multicast (PIM) nos VTEPs para que eles possam criar túneis VXLAN entre si.
Você também deve configurar cada VTEP em um determinado VXLAN para ser um membro do mesmo grupo multicast. (Se possível, você deve atribuir um endereço de grupo multicast diferente a cada VXLAN, embora isso não seja necessário. Várias VXLANs podem compartilhar o mesmo grupo multicast.) Os VTEPs podem encaminhar as solicitações de ARP que recebem de seus hosts conectados para o grupo multicast. Os outros VTEPs do grupo des encapsulam as informações do VXLAN e (supondo que sejam membros da mesma VXLAN) encaminham a solicitação de ARP para seus hosts conectados. Quando o host alvo recebe a solicitação ARP, ele responde com seu endereço MAC, e seu VTEP encaminha esta resposta ARP de volta ao VTEP de origem. Por meio desse processo, os VTEPs aprendem os endereços IP dos outros VTEPs no VXLAN e nos endereços MAC dos hosts conectados aos outros VTEPs.
Os grupos e árvores multicast também são usados para encaminhar tráfego de broadcast, unicast desconhecido e multicast (BUM) entre VTEPs. Isso impede que o tráfego BUM seja inundado desnecessariamente fora do VXLAN.
O tráfego multicast que é encaminhado por um túnel VXLAN é enviado apenas para os VTEPs remotos no VXLAN. Ou seja, o VTEP encapsulador não copia e envia cópias dos pacotes de acordo com a árvore multicast — ele só encaminha os pacotes multicast recebidos para os VTEPs remotos. Os VTEPs remotos des encapsulam os pacotes multicast encapsulados e os encaminham para as interfaces de Camada 2 apropriadas.
Balanceamento de carga do tráfego VXLAN
As rotas de Camada 3 que formam túneis VXLAN usam o balanceamento de carga por pacote por padrão, o que significa que o balanceamento de carga é implementado se houver caminhos ECMP para o VTEP remoto. Isso é diferente do comportamento normal de roteamento no qual o balanceamento de carga por pacote não é usado por padrão. (Roteamento normal usa balanceamento de carga por prefixo por padrão.)
O campo de porta de origem no cabeçalho UDP é usado para permitir o balanceamento de carga de ECMP do tráfego VXLAN na rede de Camada 3. Este campo é definido como um hash dos campos de pacotes internos, o que resulta em uma variável que o ECMP pode usar para distinguir entre túneis (fluxos).
Nenhum dos outros campos que o ECMP baseado em fluxo normalmente usa é adequado para uso com VXLANs. Todos os túneis entre os mesmos dois VTEPs têm os mesmos endereços IP de origem e destino externos, e a porta de destino UDP está definida para porta 4789 por definição. Portanto, nenhum desses campos fornece uma maneira suficiente para o ECMP diferenciar fluxos.
Habilitação de switches QFX5120 para tráfego de túnel em interfaces de Camada 3 e IRB voltadas para o núcleo
Esta seção se aplica apenas aos switches QFX5120 que executam as versões Junos OS 18.4R1, 18.4R2, 18.4R2-S1 a 18.4R2-S3, 19.1R1, 19.1R2, 19.2Rx e 19.3Rx.
Quando um switch QFX5120 tenta tunelar o tráfego em interfaces marcadas de Camada 3 ou IRB voltadas para o núcleo, o switch derruba os pacotes. Para evitar esse problema, você pode configurar um firewall simples baseado em filtro de dois prazos na interface de Camada 3 marcada ou IRB.
Os switches QFX5120 oferecem suporte a um máximo de 256 firewalls baseados em filtro de dois prazos.
Por exemplo:
set interfaces et-0/0/3 unit 0 family inet filter input vxlan100 set firewall family inet filter vxlan100 term 1 from destination-address 192.168.0.1/24 then accept set firewall family inet filter vxlan100 term 2 then routing-instance route1
O prazo 1 combina e aceita tráfego destinado ao switch QFX5210, identificado pelo endereço IP VTEP de origem (192.168.0.1/24) atribuído à interface de loopback do switch. Para o termo 1, observe que, ao especificar uma ação, você pode, alternativamente, contar o tráfego em vez de aceitá-lo.
O prazo 2 combina e encaminha todo o tráfego de dados para uma instância de roteamento (rota 1), que é a interface configurada et-0/0/3.
Neste exemplo, observe que a interface et-0/0/3 é referenciada pela rota de instância de roteamento1. Como resultado, você deve incluir o set firewall family inet filter vxlan100 term 2 then routing-instance route1
comando. Sem esse comando, o filtro de firewall não funcionará corretamente.
Usando ping e rastreamento com um VXLAN
Nos switches QFX5100 e QFX5110, você pode usar e traceroute
comandos para solucionar problemas no ping
fluxo de tráfego por um túnel VXLAN, incluindo o overlay
parâmetro e várias opções. Você usa essas opções para forçar os ping
pacotes a traceroute
seguir o mesmo caminho que os pacotes de dados pelo túnel VXLAN. Em outras palavras, você faz os pacotes underlay (ping
e traceroute
) tomar a mesma rota que os pacotes de overlay (tráfego de dados). Consulte o overlay de ping e a sobreposição de roteamento de rastreamento para obter mais informações.
Padrões VXLAN suportados
RFCs e projetos de Internet que definem padrões para VXLAN:
RFC 7348, Virtual eXtensible Local Area Network (VXLAN): uma estrutura para sobreposição de redes virtualizadas de Camada 2 em redes de Camada 3
Draft da Internet-ietf-nvo3-vxlan-gpe, Extensão genérica de protocolo para VXLAN