Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解 VXLAN

虚拟可扩展 LAN 协议 (VXLAN) 技术允许网络支持更多 VLAN。根据 IEEE 802.1Q 标准,传统 VLAN 标识符的长度为 12 位,此命名将网络限制为 4094 个 VLAN。VXLAN 协议通过使用更长的逻辑网络标识符克服了这一限制,该标识符允许更多的 VLAN,从而为大型网络(例如通常包含许多虚拟机的云)提供更多的逻辑网络隔离。

VXLAN 的优势

VXLAN 技术允许您对网络进行分段(就像 VLAN 一样),但它提供了 VLAN 无法提供的优势。以下是使用 VXLAN 的最重要优势:

  • 理论上,您可以在管理域中创建多达 1600 万个 VXLAN(而非瞻博网络设备上的 4094 个 VLAN)。

    • MX 系列路由器和 EX9200 交换机支持多达 32000 个 VXLAN、32000 个组播组和 8000 个虚拟隧道端点 (VTEP)。这意味着基于 MX 系列路由器的 VXLAN 能够以云构建商所需的规模提供网络分段,以支持大量租户。

    • QFX10000 系列交换机支持 4000 个 VXLAN 和 2000 个远程 VTEP。

    • QFX5100、QFX5110、QFX5200、QFX5210 和 EX4600 交换机支持 4000 个 VXLAN、4000 个组播组和 2000 个远程 VTEP。

    • EX4300-48MP 交换机支持 4000 个 VXLAN。

  • 您可以通过第 3 层网络上的隧道传输流量,以便在位于不同第 2 层域中的服务器之间启用虚拟机迁移。此功能允许您在数据中心内部或数据中心之间动态分配资源,而不受第 2 层边界的限制,也不必被迫创建大型或地理上延伸的第 2 层域。

使用 VXLAN 创建通过第 3 层网络连接的较小的第 2 层域意味着您无需使用生成树协议 (STP) 来融合拓扑,而是可以在第 3 层网络中使用更强大的路由协议。如果没有 STP,您的所有链路都不会被阻塞,这意味着您可以从购买的所有端口中获得全部价值。使用路由协议连接第 2 层域还可以对流量进行负载平衡,以确保充分利用可用带宽。鉴于东西向流量经常在数据中心内部或数据中心之间流动,最大限度地提高该流量的网络性能非常重要。

视频“ 为什么在数据中心使用叠加网络?” 简要概述了使用 VXLAN 的优势。

VXLAN 的工作原理是什么?

VXLAN 通常被描述为一种叠加技术,因为它允许您通过在包含 IP 地址的 VXLAN 数据包中封装(隧道)以太网帧,在中间的第 3 层网络上扩展第 2 层连接。支持 VXLAN 的设备称为 虚拟隧道端点 (VTEP),它们可以是终端主机,也可以是网络交换机或路由器。VTEP 封装 VXLAN 流量,并在流量离开 VXLAN 隧道时对其进行解封装。要封装以太网帧,VTEP 会添加多个字段,其中包括以下字段:

  • 外部介质访问控制 (MAC) 目标地址(隧道端点 VTEP 的 MAC 地址)

  • 外部 MAC 源地址(隧道源 VTEP 的 MAC 地址)

  • 外部 IP 目标地址(隧道端点 VTEP 的 IP 地址)

  • 外部 IP 源地址(隧道源 VTEP 的 IP 地址)

  • 外部 UDP 报头

  • 一个 VXLAN 报头,其中包含一个 24 位字段(称为 VXLAN 网络标识符 (VNI),用于唯一标识 VXLAN。VNI 类似于 VLAN ID,但拥有 24 位允许您创建比 VLAN 多得多的 VXLAN。

注意:

由于 VXLAN 会向原始以太网帧添加 50 到 54 字节的额外报头信息,因此您可能需要增加底层网络的 MTU。在这种情况下,请配置参与 VXLAN 网络的物理接口的 MTU,而不是逻辑 VTEP 源接口的 MTU(该 MTU 将被忽略)。

图 1 显示了 VXLAN 数据包格式。

图 1:VXLAN 数据包格式 VXLAN Packet Format

VXLAN 实现方法

Junos OS 支持在以下环境中实施 VXLAN:

  • 手动 VXLAN — 在此环境中,瞻博网络设备可充当充当 VTEP 的下游设备的中转设备,或为托管虚拟机 (VM) 的下游服务器(通过第 3 层网络进行通信)提供连接的网关。在此环境中,不会部署软件定义网络 (SDN) 控制器。

    注意:

    QFX10000交换机不支持手动 VXLAN。

  • OVSDB-VXLAN — 在此环境中,SDN 控制器使用 Open vSwitch 数据库 (OVSDB) 管理协议,提供一种控制器(例如 VMware NSX 或瞻博网络 Contrail 控制器)和支持 OVSDB 的瞻博网络设备可以通信的方法。

  • EVPN-VXLAN — 在此环境中,以太网 VPN (EVPN) 是一种控制平面技术,它使主机(物理服务器和虚拟机)能够放置在网络中的任何位置并保持与同一逻辑第 2 层叠加网络的连接,VXLAN 可为第 2 层叠加网络创建数据平面。

将 QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4300-48MP 和 EX4600 交换机与 VXLAN 结合使用

您可以将交换机配置为执行以下所有角色:

  • (除 EX4300-48MP 以外的所有交换机)在没有 SDN 控制器的环境中,充当充当 VTEP 的下游主机的中转第 3 层交换机。在此配置中,您无需在交换机上配置任何 VXLAN 功能。您需要配置 IGMP 和 PIM,以便交换机可以为 VXLAN 组播组形成组播树。(有关详细信息 ,请参阅手动 VXLAN 需要 PIM 。)

  • (除 EX4300-48MP 以外的所有交换机)在配备或不配备 SDN 控制器的环境中,均可充当同一数据中心内或数据中心之间的虚拟化和非虚拟化网络之间的第 2 层网关。例如,您可以使用交换机将使用 VXLAN 的网络连接到使用 VLAN 的网络。

  • (EX4300-48MP 交换机)充当园区网络中虚拟化和非虚拟化网络之间的第 2 层网关。例如,您可以使用交换机将使用 VXLAN 的网络连接到使用 VLAN 的网络。

  • (除 EX4300-48MP 以外的所有交换机)充当相同或不同数据中心的虚拟化网络之间的第 2 层网关,并允许虚拟机在这些网络和数据中心之间移动 (VMotion)。例如,如果要允许在两个不同网络中的设备之间进行 VMotion,则可以在这两个网络中创建相同的 VLAN,并将这两个设备都放在该 VLAN 上。连接到这些设备的交换机(作为 VTEP)可以将该 VLAN 映射到同一个 VXLAN,然后可以在两个网络之间路由 VXLAN 流量。

  • (带 EVPN-VXLAN 的 QFX5110 和QFX5120交换机)充当第 3 层网关,在同一数据中心的不同 VXLAN 之间路由流量。

  • (带 EVPN-VXLAN 的 QFX5110 和QFX5120交换机)充当第 3 层网关,使用标准路由协议或虚拟专用 LAN 服务 (VPLS) 隧道通过 WAN 或互联网在不同数据中心的不同 VXLAN 之间路由流量。

注意:

如果您希望 QFX5110 或 QFX5120 交换机成为 EVPN-VXLAN 环境中的第 3 层 VXLAN 网关,则必须配置集成路由和桥接 (IRB) 接口来连接 VXLAN,就像您希望在 VLAN 之间路由流量一样。

由于附加报头会增加 50 到 54 个字节,因此您可能需要增加 VTEP 上的 MTU 以容纳更大的数据包。例如,如果交换机使用默认 1514 字节的 MTU 值,而您希望通过 VXLAN 转发 1500 字节的数据包,则需要增加 MTU,以应对附加报头导致的数据包大小增加的情况。

更改 QFX5100、QFX5110、QFX5200、QFX5210 和 EX4600 交换机上的 UDP 端口

从 QFX5100 交换机上使用的 Junos OS 14.1X53-D25 版本、QFX5110和 QFX5200 交换机上使用的 Junos OS 15.1X53-D210、QFX5210交换机上使用的 Junos OS 18.1R1 版本以及 EX4600 交换机上的 Junos OS 18.2R1 版本开始,您可以将 UDP 端口配置为 VXLAN 流量的目标端口。要将 VXLAN 目标端口配置为默认 UDP 端口 4789 以外的其他端口,请输入以下语句:

set protocols l2-learning destination-udp-port port-number

您配置的端口将用于交换机上配置的所有 VXLAN。

注意:

如果您在 VXLAN 中的一台交换机上进行此更改,则必须在终止交换机上配置的 VXLAN 的所有设备上进行相同的更改。如果不这样做,交换机上配置的所有 VXLAN 的流量将会中断。更改 UDP 端口时,之前学习的远程 VTEP 和远程 MAC 将丢失,VXLAN 流量将中断,直到交换机重新学习远程 VTEP 和远程 MAC。

控制 QFX5100、QFX5110、QFX5200、QFX5210 交换机和 EX4600 交换机上的中转组播流量

当充当 VTEP 的交换机收到广播、未知单播或组播数据包时,将对数据包执行以下操作:

  1. 它对数据包进行解封,并将其传送到本地连接的主机。

  2. 然后再次添加 VXLAN 封装,并将数据包发送到 VXLAN 中的其他 VTEP。

这些操作由用作 VXLAN 隧道地址的环路接口执行,因此可能会对 VTEP 可用带宽产生负面影响。从适用于 QFX5100 交换机的 Junos OS 14.1X53-D30 版、适用于 QFX5110 和 QFX5200 交换机的 Junos OS 15.1X53-D210 版、适用于QFX5210交换机的 Junos OS 18.1R1 版以及适用于 EX4600 交换机的 Junos OS 18.2R1 版开始,如果您知道 VXLAN 中没有连接到需要特定组播组流量的其他 VTEP 的组播接收器, 您可以通过输入以下语句来减少环路接口上的处理负载:

在这种情况下,不会转发指定组的任何流量,但会转发所有其他组播流量。如果您不想将任何组播流量转发到 VXLAN 中的其他 VTEP,请输入以下语句:

使用 MX 系列路由器、EX9200 交换机或 QFX10000 交换机作为 VTEP

您可以将 MX 系列路由器、EX9200 交换机或 QFX10000 交换机配置为充当 VTEP 并执行以下所有角色:

  • 充当同一数据中心内或数据中心之间的虚拟化和非虚拟化网络之间的第 2 层网关。例如,您可以使用 MX 系列路由器将使用 VXLAN 的网络连接到使用 VLAN 的网络。

  • 充当相同或不同数据中心的虚拟化网络之间的第 2 层网关,并允许虚拟机在这些网络和数据中心之间移动 (VMotion)。

  • 充当第 3 层网关,在同一数据中心的不同 VXLAN 之间路由流量。

  • 充当第 3 层网关,使用标准路由协议或虚拟专用 LAN 服务 (VPLS) 隧道通过 WAN 或互联网在不同数据中心的不同 VXLAN 之间路由流量。

注意:

如果您希望本节中描述的设备之一成为 VXLAN 第 3 层网关,则必须配置集成路由和桥接 (IRB) 接口来连接 VXLAN,就像您希望在 VLAN 之间路由流量一样。

手动 VXLAN 需要 PIM

在带有控制器(如 VMware NSX 或瞻博网络 Contrail 控制器)的环境中,您可以在瞻博网络设备上配置 VXLAN。控制器还提供一个控制平面,VTEP 使用该平面来通告其可访问性并了解其他 VTEP 的可访问性。您也可以在瞻博网络设备上手动创建 VXLAN,而无需使用控制器。如果使用此方法,还必须在 VTEP 上配置协议无关组播 (PIM),以便它们可以在自身之间创建 VXLAN 隧道。

您还必须将给定 VXLAN 中的每个 VTEP 配置为同一组播组的成员。(如果可能,您应该为每个 VXLAN 分配一个不同的组播组地址,尽管这不是必需的。多个 VXLAN 可以共享同一个组播组。)然后,VTEP 可以将它们从连接的主机收到的 ARP 请求转发到组播组。组中的其他 VTEP 对 VXLAN 信息进行解封装,并且(假设它们是同一 VXLAN 的成员)将 ARP 请求转发到连接的主机。当目标主机收到 ARP 请求时,它会使用其 MAC 地址进行响应,并且其 VTEP 会将此 ARP 回复转发回源 VTEP。通过此过程,VTEP 可学习 VXLAN 中其他 VTEP 的 IP 地址,以及连接到其他 VTEP 的主机的 MAC 地址。

组播组和树还可用于在 VTEP 之间转发广播、未知单播和组播 (BUM) 流量。这可以防止 BUM 流量在 VXLAN 之外发生不必要的泛洪。

注意:

通过 VXLAN 隧道转发的组播流量仅会发送至 VXLAN 中的远程 VTEP。也就是说,封装 VTEP 不会根据组播树复制和发送数据包的副本,它只会将收到的组播数据包转发到远程 VTEP。远程 VTEP 对封装的组播数据包进行解封装,并将其转发至相应的第 2 层接口。

均衡 VXLAN 流量负载

默认情况下,形成 VXLAN 隧道的第 3 层路由使用按数据包进行负载均衡,这意味着,如果存在到远程 VTEP 的 ECMP 路径,则会实施负载均衡。这与常规路由行为不同,在常规路由行为中,默认情况下不使用按数据包的负载平衡。(默认情况下,常规路由使用按前缀负载均衡。

UDP 报头中的源端口字段用于在第 3 层网络中启用 VXLAN 流量的 ECMP 负载均衡。此字段设置为内部数据包字段的散列,这将产生一个变量,ECMP 可以使用该变量来区分隧道(流)。

基于流的 ECMP 通常使用的其他字段都不适合与 VXLAN 一起使用。相同的两个 VTEP 之间的所有隧道都具有相同的外部源和目标 IP 地址,并且 UDP 目的端口根据定义设置为端口 4789。因此,这些字段都没有为 ECMP 提供足够的方法来区分流。

启用 QFX5120 交换机,以便在面向核心的第 3 层标记接口和 IRB 接口上通过隧道传输流量

注意:

本部分仅适用于运行 Junos OS 版本 18.4R1、18.4R2、18.4R2-S1 至 18.4R2-S3、19.1R1、19.1R2、19.2Rx 和 19.3Rx 的 QFX5120 交换机。

当 QFX5120 交换机尝试在面向核心的第 3 层标记接口或 IRB 接口上通过隧道传输流量时,交换机会丢弃数据包。为避免此问题,您可以在第 3 层标记接口或 IRB 接口上配置一个简单的基于过滤器的两期限防火墙。

注意:

QFX5120交换机最多支持 256 个基于过滤器的双期限防火墙。

例如:

术语 1 匹配并接受发往QFX5210交换机的流量,该流量由分配给交换机环路接口的源 VTEP IP 地址 (192.168.0.1/24) 标识。对于术语 1,请注意,在指定操作时,您也可以计算流量,而不是接受流量。

术语 2 匹配所有其他数据流量并将其转发到路由实例(路由 1),该实例配置了接口 et-0/0/3。

在此示例中,请注意路由实例 route1 引用接口 et-0/0/3。因此,必须包含 set firewall family inet filter vxlan100 term 2 then routing-instance route1 该命令。如果没有此命令,防火墙过滤器将无法正常工作。

将 ping 和跟踪路由与 VXLAN 结合使用

在 QFX5100 和 QFX5110 交换机上,您可以使用和traceroute命令通过ping添加overlay参数和各种选项来排除通过 VXLAN 隧道的流量故障。您可以使用这些选项强制pingtraceroute数据包遵循与通过 VXLAN 隧道的数据包相同的路径。换句话说,您可以使底层数据包(pingtraceroute)采用与叠加数据包(数据流量)相同的路由。有关更多信息,请参阅 ping 叠加路由跟踪叠加

支持的 VXLAN 标准

定义 VXLAN 标准的 RFC 和互联网草案:

  • RFC 7348, 虚拟可扩展局域网 (VXLAN):在第 3 层网络上叠加虚拟化第 2 层网络的框架

  • 互联网草案 draft-ietf-nvo3-vxlan-gpe,VXLAN 通用协议扩展

更改历史记录表

功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。

释放
描述
14.1X53-D30
从适用于 QFX5100 交换机的 Junos OS 14.1X53-D30 版、适用于 QFX5110 和 QFX5200 交换机的 Junos OS 15.1X53-D210 版、适用于QFX5210交换机的 Junos OS 18.1R1 版以及适用于 EX4600 交换机的 Junos OS 18.2R1 版开始,如果您知道 VXLAN 中没有连接到需要特定组播组流量的其他 VTEP 的组播接收器, 您可以减少环路接口上的处理负载
14.1X53-D25
从 QFX5100 交换机上使用的 Junos OS 14.1X53-D25 版本、QFX5110和 QFX5200 交换机上使用的 Junos OS 15.1X53-D210、QFX5210交换机上使用的 Junos OS 18.1R1 版本以及 EX4600 交换机上的 Junos OS 18.2R1 版本开始,您可以将 UDP 端口配置为 VXLAN 流量的目标端口。