了解 VXLAN

VXLAN 技术允许您对网络进行分段（就像 VLAN 一样），但它可以提供 VLAN 无法实现的优势。以下是使用 VXLAN 的最重要优势：

• 理论上，您最多可以在管理域中创建 1600 万个 VXLAN（而非瞻博网络设备支持的 4094 个 VLAN）。

  • MX 系列路由器和 EX9200 交换机最多可支持 32000 个 VXLAN、32000 个组播组和 8000 个虚拟隧道端点 （VTEP）。这意味着基于 MX 系列路由器的 VXLAN 可以根据云构建商需要的规模提供网络分段，从而支持大量租户。

  • QFX10000 系列交换机可支持 4000 个 VXLAN 和 2000 个远程 VTEP。

  • QFX5100、QFX5110、QFX5200、QFX5210 和 EX4600 交换机可支持 4000 个 VXLAN、4000 个组播组和 2000 个远程 VTEP。

  • EX4300-48MP 交换机可支持 4000 个 VXLAN。

• 您可以通过第 3 层网络上的隧道发送流量，以便在位于不同的第 2 层域中的服务器之间实现虚拟机迁移。此功能允许您在数据中心内部或跨数据中心动态分配资源，而不受第 2 层边界约束，也不会被强制用来创建大型的或地理位置较为分散的第 2 层域。

使用 VXLAN 创建连通第 3 层网络的小型第 2 层域意味着无需使用生成树协议 （STP） 来融合拓扑网络，而是可以在第 3 层网络中使用更为强大的路由协议。没有 STP 意味着所有链路均不会受阻，这使得您可以充分利用所购买的所有端口。通过使用路由协议连接第 2 层域，您还可以均衡流量负载，进而确保可用带宽得到充分利用。鉴于东西向流量经常在数据中心内部或跨数据中心大量流动，最大限度提升该流量的网络性能十分重要。

视频 《为何在数据中心使用叠加网络？ 》简要概述了使用 VXLAN 的优势。

VXLAN 通常被描述为一种叠加技术，因为可通过该技术在包含 IP 地址的 VXLAN 数据包中封装（通过隧道传输）以太网帧，进而通过介于中间的第 3 层网络扩展第 2 层网络连接。支持 VXLAN 的设备被称为 虚拟隧道端点 （VTEP），它们可以是终端主机，也可以是网络交换机或路由器。VTEP 可封装 VXLAN 流量，还可在流量离开 VXLAN 隧道时对该流量进行解封装。要封装以太网帧，VTEP 会添加多个字段，其中包括：

• 外部介质访问控制 （MAC） 目的地址（隧道端点 VTEP 的 MAC 地址）

• 外部 MAC 源地址（隧道源 VTEP 的 MAC 地址）

• 外部 IP 目的地址（隧道端点 VTEP 的 IP 地址）

• 外部 IP 源地址（隧道源 VTEP 的 IP 地址）

• 外部 UDP 报头

• 一个 VXLAN 报头，其中包含一个 24 位字段，称为 VXLAN 网络标识符 （VNI），用于唯一标识 VXLAN。VNI 类似于 VLAN ID，但拥有 24 个数位，允许您创建比 VLAN 数量更多的 VXLAN。

图 1 显示了 VXLAN 数据包格式。

图 1：VXLAN 数据包格式

Junos OS 支持在以下环境中实现 VXLAN：

• 手动 VXLAN — 在此环境中，瞻博网络设备可作为充当 VTEP 下游设备的中转设备，或者为托管虚拟机 （VM） 的下游服务器（可通过第 3 层网络进行通信）提供连接的网关。此环境中未部署软件定义网络 （SDN） 控制器。

  注意：

  QFX10000交换机不支持手动 VXLAN。

• OVSDB-VXLAN — 在此环境中，SDN 控制器使用 Open vSwitch 数据库 （OVSDB） 管理协议提供一种方法，支持 OVSDB 的控制器（例如 VMware NSX 或瞻博网络 Contrail 控制器）和瞻博网络设备可以通过该协议进行通信。

• EVPN-VXLAN — 在此环境中，以太网 VPN （EVPN） 属于一种控制平面技术，通过该技术可将主机（物理服务器和虚拟机）置于网络中的任意位置，并保持与相同逻辑第 2 层叠加网络的连接，同时 VXLAN 可为第 2 层叠加网络创建数据平面。

可对交换机进行配置，充当以下所有角色：

• （除 EX4300-48MP 以外的所有交换机）在没有 SDN 控制器的环境中，可充当作为 VTEP 的下游主机的中转第 3 层交换机。在此配置中，无需在交换机上配置任何 VXLAN 功能。需要配置 IGMP 和 PIM，以便交换机可以为 VXLAN 组播组形成组播树。（有关详细信息，请参阅 手动 VXLAN 需要 PIM 。）

• （除 EX4300-48MP 以外的所有交换机）在配备或缺少 SDN 控制器的环境中，均可充当相同数据中心内部或跨数据中心的虚拟化与非虚拟化网络之间的第 2 层网关。例如，您可以通过交换机将使用 VXLAN 的网络连接到一个应用 VLAN 的网络。

• （EX4300-48MP 交换机）充当园区网络中虚拟化和非虚拟化网络之间的第 2 层网关。例如，您可以通过交换机将使用 VXLAN 的网络连接到一个应用 VLAN 的网络。

• （除 EX4300-48MP 以外的所有交换机）充当相同或不同数据中心的虚拟化网络之间的第 2 层网关，允许虚拟机在这些网络和数据中心之间移动 （VMotion）。例如，如果您希望在两个位于不同网络的设备之间进行 VMotion，则可以在这两个网络中创建相同的 VLAN，并将这两个设备均配置在该 VLAN 上。连接到这些设备的交换机（作为 VTEP）可将该 VLAN 映射到相同的 VXLAN，之后就可以在两个网络之间路由 VXLAN 流量。

• （带 EVPN-VXLAN 的 QFX5110 和 QFX5120 交换机）作为第 3 层网关，在同一数据中心的不同 VXLAN 之间路由流量。

• （带 EVPN-VXLAN 的 QFX5110 和 QFX5120 交换机）作为第 3 层网关，使用标准路由协议或虚拟专用 LAN 服务 （VPLS） 隧道通过 WAN 或互联网在不同数据中心内的不同 VXLAN 之间路由流量。

由于附加报头会增加 50 到 54 个字节，因此您可能需要增加 VTEP 上的 MTU，以容纳更大的数据包。例如，如果交换机使用默认 1514 字节的 MTU 值，而您希望通过 VXLAN 转发 1500 字节的数据包，这时就需要增加 MTU，以便应对附加报头导致的数据包大小增加的情况。

从QFX5100交换机上的 Junos OS 14.1X53-D25 版本、QFX5110 和 QFX5200 交换机上的 Junos OS 15.1X53-D210 版本、QFX5210 交换机上的 Junos OS 18.1R1 版本以及 EX4600 交换机上的 Junos OS 18.2R1 版本开始，您可以将 UDP 端口配置为用于 VXLAN 流量的目的端口。要将 VXLAN 目的端口配置为默认 UDP 端口 4789 以外的其他端口，请输入以下语句：

set protocols l2-learning destination-udp-port port-number

您配置的端口将用于交换机上配置的所有 VXLAN。

作为 VTEP 的交换机收到广播、未知单播或组播数据包时，将对数据包执行以下操作：

1. 对数据包进行解封，并将其发送至本地连接的主机。

2. 然后再次进行 VXLAN 封装，并将数据包发送至 VXLAN 中的其他 VTEP。

这些操作由用作 VXLAN 隧道地址的环路接口执行，因此可能会对 VTEP 可用带宽产生负面影响。从 QFX5100 交换机的 Junos OS 版本 14.1X53-D30 版本、Junos OS QFX5110 和 QFX5200 交换机的 15.1X53-D210 版本、QFX5210 交换机的 Junos OS 18.1R1 版本以及 EX4600 交换机的 Junos OS 版本 18.2R1 开始，如果您知道在需要特定组播组流量的 VXLAN 中没有附加到其他 VTEP 的组播接收器， 输入以下语句，可以减少环路接口上的处理负载：

在这种情况下，不会转发指定组的任何流量，而是会转发所有其他组播流量。如果您不想将任何组播流量转发到 VXLAN 中的其他 VTEP，请输入以下语句：

您可以将 MX 系列 路由器、EX9200 交换机或QFX10000交换机配置为 VTEP 设备，并执行以下所有角色：

• 充当相同数据中心内或跨数据中心的虚拟化与非虚拟化网络之间的第 2 层网关。例如，您可以通过 MX 系列路由器将使用 VXLAN 的网络连接到一个应用 VLAN 的网络。

• 充当相同或不同数据中心的虚拟化网络之间的第 2 层网关，允许虚拟机在这些网络和数据中心之间移动 （VMotion）。

• 作为第 3 层网关，在同一数据中心的不同 VXLAN 之间路由流量。

• 作为第 3 层网关，使用标准路由协议或虚拟专用 LAN 服务 （VPLS） 隧道通过 WAN 或互联网在不同数据中心内的不同 VXLAN 之间路由流量。

在配有控制器（如 VMware NSX 或瞻博网络 Contrail 控制器）的环境中，您可以在瞻博网络设备上配置 VXLAN。控制器还可提供控制平面，VTEP 可通过此控制平面来通告自身的可访问性并了解其他 VTEP 的可访问性。您还可在瞻博网络设备上手动创建 VXLAN，而非使用控制器。如果您使用此方法，还必须在 VTEP 上配置协议无关组播 （PIM），以便它们可以在自身之间创建 VXLAN 隧道。

您还必须将给定 VXLAN 中的每个 VTEP 均配置为同一组播组的成员。（虽然不是必须要求，但如果情况允许，您仍然应该为每个 VXLAN 分配一个不同的组播组地址。多个 VXLAN 可以共享同一个组播组。）然后，VTEP 可以将通过连接主机接收到的 ARP 请求转发到组播组。组中的其他 VTEP 可以对 VXLAN 信息进行解封装，（假设它们是相同 VXLAN 的成员）并且会将 ARP 请求转发到它们连接的主机。当目标主机收到 ARP 请求时，会使用其 MAC 地址进行响应，并且该主机的 VTEP 会将此 ARP 回复转发回源 VTEP。通过此过程，VTEP 可学习 VXLAN 中其他 VTEP 的 IP 地址，以及连接到其他 VTEP 的主机的 MAC 地址。

组播组和树还可用于在 VTEP 之间转发广播、未知单播和组播 （BUM） 流量。这样可防止 BUM 流量在 VXLAN 之外发生不必要的泛洪。

默认情况下，形成 VXLAN 隧道的第 3 层路由会根据数据包使用负载平衡，这意味着如果存在到远程 VTEP 的 ECMP 路径，则系统将实施负载平衡。这与常规路由行为不同，常规路由不会在默认情况下根据数据包进行负载平衡。（默认情况下，常规路由使用按前缀的负载平衡。）

UDP 报头中的源端口字段用于在第 3 层网络中启用 VXLAN 流量的 ECMP 负载平衡。此字段被设置为内部数据包字段的散列值，其将产生一个变量，ECMP 可使用此变量来区分隧道（流）。

基于流的 ECMP 通常使用的其他字段均不适用于与 VXLAN 配合使用。相同的两个 VTEP 之间的所有隧道均具有相同的外部源和目的 IP 地址，并且 UDP 目的端口会按定义设置为端口 4789。因此，这些字段均不够用来为 ECMP 区分流。

当 QFX5120 交换机尝试在面向核心的第 3 层标记接口或 IRB 接口上通过隧道发送流量时，交换机将丢弃数据包。为避免出现此问题，可以在第 3 层标记接口或 IRB 接口上配置一个简单的基于两期限过滤器的防火墙。

例如：

术语 1 匹配并接受发往 QFX5210 交换机的流量，该流量由分配给交换机环路接口的源 VTEP IP 地址 （192.168.0.1/24） 标识。对于术语 1，请注意，在指定操作时，您可以选择计算流量，而不是接受它。

术语 2 匹配所有其他数据流量并将其转发到路由实例（路由 1），该实例配置为接口 et-0/0/3。

在此示例中，请注意路由实例 route1 引用的接口 et-0/0/3。因此，必须包含命令 set firewall family inet filter vxlan100 term 2 then routing-instance route1 。如果不使用此命令，防火墙过滤器将无法正常工作。

在 QFX5100 和 QFX5110 交换机上，可以通过添加overlay参数和各种选项来使用ping和 traceroute 命令对通过 VXLAN 隧道的流量进行故障排除。您可以使用这些选项强制ping或 traceroute 数据包采用与通过 VXLAN 隧道的数据包相同的路径。换句话说，可以让底层数据包（pingtraceroute和）与叠加数据包（数据流量）采用相同的路径。更多信息，请参阅 ping 叠加和 traceroute 叠加。

定义 VXLAN 标准的 RFC 和互联网草案：

• RFC 7348， 虚拟可扩展局域网 （VXLAN）：在第 3 层网络上叠加虚拟化第 2 层网络的框架

• 互联网草案 draft-ietf-nvo3-vxlan-gpe，VXLAN 通用协议扩展