Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解 VXN

虚拟可扩展 LAN协议 (VXLAN) 技术允许网络支持更多 VLAN。根据 802.1Q IEEE标准,传统 VLAN 标识符长 12 位 — 此命名方式将网络限制为 4094 个 VLAN。该VXLAN协议通过使用更长的逻辑网络标识符(允许更多 VLAN)克服了这种限制,因此,大型网络(例如通常包含许多虚拟机的云)的逻辑隔离更多。

VXLAN优势

VXLAN技术允许您对网络进行分段(就像 VLAN 一样),但它可以提供 VLAN 无法提供的好处。以下是使用 VXLAN 的最重要的优势:

  • 理论上,您可在管理域中创建 1600 万个 VXLA(而非一台设备上的 4094 瞻博网络 VPN)。

    • MX 系列路由器和 EX9200 交换机支持 32,000 个 VXLAN、32,000 个组播组和 8000 个虚拟隧道端点 (TEP)。这意味着基于 MX 系列路由器的 VX VPN 可以云构建商所需的规模提供网络分段,以支持大量租户。

    • QFX10000系列交换机支持 4000 个 VXLAN 和 2000 个远程 TEP。

    • QFX5100、QFX5110、QFX5200、QFX5210 和 EX4600 交换机支持 4000 个 VXLAN、4000 个组播组和 2000 个远程 TEP。

    • EX4300-48MP 交换机支持 4000 个 VXLAN。

  • 您可以通过为第 3 层网络上的流量建立隧道,在位于单独第 2 层域中的服务器之间实现虚拟机迁移。此功能允许您在数据中心内部或数据中心之间动态分配资源,而不受第 2 层边界约束,也无需被迫创建大型或地理位置分散的 2 层域。

使用 VX VPN 创建通过第 3 层网络连接的较小第 2 层域意味着无需使用生成树协议 (STP) 融合拓扑,而是可以在第 3 层网络中使用更强大的路由协议。没有 STP 时,所有链路均不会受阻,这意味着您可以充分利用所购买的所有端口。使用路由协议连接第 2 层域还允许您均衡流量负载,以确保可用带宽得到充分利用。鉴于东西向流量经常在数据中心内部或数据中心之间流动,最大限度提升该流量的网络性能非常重要。

视频 为什么在数据中心使用 叠加网络? 简要概述了使用 VXLAN 的优势。

服务VXLAN工作?

VXLAN通常被描述为一种叠加技术,因为通过该技术,您可以在包含 IP 地址的 VXLAN 数据包中封装(通过隧道传输)以太网帧,通过中间第 3 层网络扩展第 2 层连接。支持 VXLA 的设备称为虚拟隧道端点 (TEP),它们可以是终端主机,可以是网络交换机或路由器。TEP 可VXLAN流量进行封装,当流量离开此流量时VXLAN封装。要封装以太网帧,TEP 会添加多个字段,包括以下字段:

  • 外部媒体访问控制(地址) (MAC) 目标地址(MAC 地址端点地址VTEP)

  • 外部 MAC 源地址(MAC 地址通道源地址VTEP)

  • 外部 IP 目标地址(隧道端点地址VTEP)

  • 外部 IP 源地址(隧道源地址VTEP)

  • 外部 UDP 报头

  • 包含VXLAN 24 位字段(称为 VXLAN 网络标识符 (VNI))的一个标头,用于唯一标识VXLAN。VNI 类似于 VLAN ID,但是具有 24 位可让您创建比 VLAN 更多的 VXLAN。

注意:

由于VXLAN向原始以太网帧添加 50 到 54 字节的额外报头信息,因此您可能需要增加MTU网络的带宽。在这种情况下,请配置MTU网络的物理接口的VXLAN,而非MTU源接口(将被忽略VTEP逻辑接口的子接口)。

图 1 显示了VXLAN格式。

图 1:VXLAN数据包格式 VXLAN Packet Format

VXLAN实施方法

Junos OS支持在下列环境中实施 VXLAN:

  • 手动VXLAN — 在此环境中,瞻博网络 设备充当充当 TEP 的下游设备的中转设备,或者为托管虚拟机 (VM) 的下游服务器(通过第 3 层网络进行通信)提供连接的网关。此环境中未部署软件定义网络 (SDN) 控制器。

    注意:

    QFX10000交换机不支持手动 VXLAN。

  • OVSDB-VXLAN — 在此环境中,SDN 控制器使用 Open vSwitch 数据库 (OVSDB) 管理协议,提供控制器(如 VMware NSX 或 瞻博网络 Contrail 控制器)和支持 OVSDB 的 瞻博网络 设备相互通信的方式。

  • EVPN-VXLAN — 在此环境中,以太网 VPN (EVPN) 是一种控制平面技术,允许将主机(物理服务器和虚拟机)放置在网络中的任何位置,保持连接到同一逻辑第 2 层叠加网络,而 VXLAN 为第 2 层叠加网络创建数据平面。

使用 QFX5100、QFX5110、QFX5120、QFX5200、QFX5210、EX4300-48MP 和 EX4600 交换机(带 VXLAN)

您可以将交换机配置为执行以下所有角色:

  • (除 EX4300-48MP 以外的所有交换机)在未安装有 SDN 的环境中,可充当充当 TEP 的下游主机的过渡第 3 层交换机。在此配置中,无需在交换机VXLAN配置任何配置功能。需要配置 IGMP 和 PIM,以便交换机可以构成组播组VXLAN树。(有关详细信息 ,请参阅 手动 VXLAN 需要 PIM 。)

  • (除 EX4300-48MP 以外的所有交换机)在带或不带 SDN 的环境中,可充当相同数据中心内或数据中心之间的虚拟化与非虚拟化网络之间的第 2 层网关。例如,您可以使用交换机将使用 VX VPN 的网络连接到一个使用 VLAN 的网络。

  • (EX4300-48MP 交换机)充当园区网络中虚拟化和非虚拟化网络之间的第 2 层网关。例如,您可以使用交换机将使用 VX VPN 的网络连接到一个使用 VLAN 的网络。

  • (除 EX4300-48MP 以外的所有交换机)充当相同或不同数据中心的虚拟化网络之间的第 2 层网关,允许虚拟机在这些网络和数据中心之间移动 (VMotion)。例如,如果您希望在两个不同的网络中设备之间允许 VMotion,您可以在这两个网络中创建相同的 VLAN,同时将两个设备都放在该 VLAN 上。连接到这些设备的交换机(作为 TEP)可以将该 VLAN 映射到同一 VXLAN,然后VXLAN流量可在两个网络之间路由。

  • (QFX5110 EVPN-QFX5120交换机的VXLAN)充当第 3 层网关,在同一数据中心的不同 VXLAN 之间路由流量。

  • (QFX5110 EVPN-QFX5120 交换机和 VXLAN)用作第 3 层网关,使用标准路由协议或虚拟专用 LAN 服务 (VPLS) 隧道通过 WAN 或互联网在不同数据中心内的不同 VXLAN 之间路由流量。

注意:

如果您希望 QFX5110 或 QFX5120 交换机成为 EVPN-VXLAN 环境中第 3 层 VXLAN 网关,就必须配置集成路由和桥接 (IRB) 接口来连接 VXLAN,就像您希望在 VVPN 之间路由流量一样。

由于附加报头会增加 50 到 54 个字节,因此您可能需要增加MTU以VTEP较大数据包。例如,如果交换机使用默认的 MTU 值 1514 字节,并且您想要通过 VXLAN 转发 1500 字节数据包,则需要增加 MTU,以允许额外标头引起的数据包大小增加。

更改交换机、QFX5100、QFX5110、QFX5200、QFX5210 上的 UDP EX4600端口

从 QFX5100 交换机上的 Junos OS 版本 14.1X53-D25 开始,Junos OS 和 QFX5200 交换机上的 15.1X53-D210 版本、QFX5210 交换机上的 Junos OS 18.1R1 和 EX4600 交换机上的 Junos OS 18.2R1 版本18.2R1开始,您可配置用作 QFX5110 VXLAN 信息流目标端口的 UDP 端口。要将VXLAN端口配置为默认 UDP 端口 4789 的其他端口,请输入以下语句:

set protocols l2-learning destination-udp-port port-number

您配置的端口将用于交换机上配置的所有 VXLAN。

注意:

如果在交换机中的一台交换机上VXLAN,则必须在终止交换机上配置的 VXLA 的所有设备上进行相同更改。如果不这样做,则交换机上配置的所有 VXLA 的流量都将中断。更改 UDP 端口时,之前学习的远程 TEP 和远程 MAC 将丢失,VXLAN流量中断,直到交换机重新学习远程 TEP 和远程 MAC。

控制交换机、QFX5100、QFX5110、QFX5200、QFX5210 路由器上的EX4600播流量

作为路由器的交换机VTEP广播、未知单播或组播数据包时,它会对数据包执行以下操作:

  1. 它可以对数据包进行解封装,然后传送给本地连接的主机。

  2. 然后,它会再次VXLAN数据包并将数据包发送到该封装中的其他 TEP VXLAN。

这些操作由用作隧道地址的环路VXLAN接口执行,因此可能会对通道可用带宽产生负面影响VTEP。从 QFX5100 交换机的 Junos OS 14.1X53-D30 版开始,Junos OS 和 QFX5200 QFX5110 交换机的 15.1X53-D210 版本,Junos OS QFX5210 交换机的 18.1R1 版本,以及 EX4600 交换机的 Junos OS 版本 18.2R1(如果您知道 VXLAN 中没有连接到其他需要特定组播组流量的 TEP 的组播接收器, 输入以下语句可以减少环路接口上的处理负载:

在这种情况下,不会为指定的组转发任何信息流,但所有其他组播信息流将被转发。如果您不想将任何组播信息流转发至 VXLAN中的其他 TEP,请输入以下语句:

将 MX 系列路由器、EX9200交换机或 QFX10000 交换机用作VTEP

您可以将 MX 系列路由器、EX9200交换机或 QFX10000 交换机配置为VTEP,并执行以下所有角色:

  • 充当相同数据中心内或数据中心之间的虚拟化与非虚拟化网络之间的第 2 层网关。例如,您可以使用 MX 系列路由器将使用 VX VPN 的网络连接到一个使用 VLAN 的网络。

  • 充当相同或不同数据中心的虚拟化网络之间的第 2 层网关,允许虚拟机在这些网络和数据中心之间移动 (VMotion)。

  • 充当第 3 层网关,在同一数据中心的不同 VXLAN 之间路由流量。

  • 用作第 3 层网关,使用标准路由协议或虚拟专用 LAN 服务 (VPLS) 隧道通过 WAN 或互联网在不同数据中心内的不同 VXLAN 之间路由流量。

注意:

如果您希望本部分介绍的一台设备成为 VXLAN 第 3 层网关,就必须配置集成路由和桥接 (IRB) 接口来连接 VXLAN,就像您希望在 VRB 之间路由流量一样。

手动 VXLAN 需要 PIM

在具有控制器(如 VMware NSX 或 瞻博网络 Contrail 控制器)的环境中,您可以在一个虚拟设备上瞻博网络 VXLAN。控制器还可提供控制平面,TEP 用于通告其可达性并了解其他 TEP 的可达性。您还可以在设备上手动瞻博网络 VXLAN,而非使用控制器。如果使用此方法,还必须在 TEP 上配置协议无关组播 (PIM),以便它们可以在VXLAN隧道。

您还必须将给定VTEP中的每个VXLAN配置为同一组播组的成员。(虽然不是必需,但如果可能,您应当为每个组播组VXLAN不同的组播组地址。多个 VXLAN 可共享同一组播组。)然后,TEP 可以将从连接的主机接收到的 ARP 请求转发至组播组。组中其他 TE 对 VXLAN 信息进行解封装,(假设它们是相同 VXLAN的成员)他们将 ARP 请求转发至其连接的主机。当目标主机收到 ARP 请求时,会使用其源MAC 地址,并且其VTEP将此 ARP 回复转发回源VTEP。通过此过程,TEP 可学习 VXLAN 中其他 TEP 的 IP 地址,以及连接到其他 TEP 的主机的 MAC 地址。

组播组和树还用于在 TEP 之间转发广播、未知单播和组播 (BUM) 流量。这样可防止 BUM 流量在网络外部发生不必要的VXLAN。

注意:

通过虚拟隧道转发的VXLAN组播流量仅会发送至该隧道中的远程 TE VXLAN。也就是说,封装数据包VTEP根据组播树复制和发送数据包的副本 — 只会将收到的组播数据包转发至远程 TEP。远程 TEPS 对封装的组播数据包进行解封装,将其转发至相应的第 2 层接口。Junos OS交换机18.1R1版本QFX5210版本

均衡流量VXLAN

默认情况下,构成 VXLAN 隧道的 3 层路由使用按数据包负载平衡,这意味着,如果存在到远程隧道的 ECMP 路径,则执行负载VTEP。这不同于常规路由行为,常规路由不会在默认情况下根据数据包进行负载均衡。(默认情况下,常规路由使用按前缀进行负载均衡。)

UDP 标头中的源端口字段用于启用第 3 层网络中VXLAN ECMP 负载平衡。此字段设置为内部数据包字段的散列值,其将生成一个变量,ECMP 可使用该变量来区分隧道(流)。

其他基于流量的 ECMP 通常使用的字段均不适用于 VXLAN。相同两个 TEP 之间的所有隧道都具有相同的外部源和目标 IP 地址,并且 UDP 目标端口按定义设置为端口 4789。因此,这些字段均不足以让 ECMP 区分流。

VXLAN 的 VLAN ID

在支持 V QFX10000 XLAN 的任何 VXLAN 交换机(瞻博网络 交换机除外)上配置 VLAN ID 时,强烈建议使用 3 或 3 以上的 VLAN ID。如果使用 1 或 2 的 VLAN ID,这些 VXLAN 的复制广播、组播和未知单播 (BUM) 数据包可能不会被标记,这反过来可能会导致接收数据包的设备丢弃数据包。

使QFX5120交换机在面向核心的 3 层标记和 IRB 接口上通过隧道传输流量

注意:

本部分仅适用于运行 Junos OS Junos OS 版本 18.4R1、18.4R2、18.4R2-S1 到 18.4R2-S3、19.1R1、19.1R2、19.2R 和 x 19.3R 的 QFX5120 交换机 x

当交换机QFX5120在面向核心的 3 层标记接口或 IRB 接口上通过隧道发送流量时,交换机会丢弃数据包。为避免这一问题,您可以在第 3 层标记或 IRB 接口上配置一个简单的基于过滤器的两术语防火墙。

注意:

QFX5120交换机最多支持 256 个基于两期限过滤器的防火墙。

例如:

术语 1 匹配和接受向 QFX5210 交换机发往的流量,该流量由分配给交换机环路接口的源 VTEP IP 地址 (192.168.0.1/24) 识别。对于术语 1,请注意,在指定操作时,您可以选择对信息流进行计数,而不是接受它。

术语 2 匹配所有其他数据信息流,并转发至路由实例(路由 1),路由实例配置接口 et-0/0/3。

在此例中,请注意,路由实例路由 1 引用接口 et-0/0/3。因此,您必须包含 set firewall family inet filter vxlan100 term 2 then routing-instance route1 命令。如果不使用此命令,防火墙过滤器将无法正常工作。

使用带路由的 ping 和 traceroute VXLAN

在QFX5100交换机QFX5110交换机上,可以通过包括参数和各种选项,使用 和 命令对通过 VXLAN 隧道 ping traceroute overlay 的流量进行故障排除。您可以使用这些选项强制 或数据包遵循与通过隧道的数据包相同的 ping traceroute VXLAN路径。换言之,您可让叠加数据包 ( 和 ) 采取与叠加数据包(数据流量)相同的 ping traceroute 路由。有关详细信息 ,请参阅 ping 叠加traceroute 叠加 。

支持VXLAN标准

定义标准 RFC 和互联网草案VXLAN:

  • RFC 7348,虚拟 eXtensible本地网 (VXLAN):第 2 层网络第 3 层网络叠加框架

  • 互联网草案 draft-ietf-nvo3-vxlan-gpe, 通用协议扩展VXLAN

版本历史记录表
释放
描述
14.1X53-D30
从 QFX5100 交换机的 Junos OS 14.1X53-D30 版开始,Junos OS 和 QFX5200 QFX5110 交换机的 15.1X53-D210 版本,Junos OS QFX5210 交换机的 18.1R1 版本,以及 EX4600 交换机的 Junos OS 版本 18.2R1(如果您知道 VXLAN 中没有连接到其他需要特定组播组流量的 TEP 的组播接收器, 可以减少环路接口上的处理负载
14.1X53-D25
从 QFX5100 交换机上的 Junos OS 14.1X53-D25 版本开始,Junos OS 和 QFX5200 QFX5110 交换机上的 15.1X53-D210 版本Junos OS、QFX5210 交换机上的 18.1R1 和 EX4600 交换机上的 Junos OS 18.2R1 版本,您可配置用作 VXLAN 流量目标端口的 UDP 端口。