Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VXLANs verstehen

Dank der VXLAN-Technologie (Virtual Extensible LAN Protocol) können Netzwerke mehr VLANs unterstützen. Gemäß dem IEEE 802.1Q-Standard sind herkömmliche VLAN-Kennungen 12 Bit lang – diese Benennung beschränkt Netzwerke auf 4094 VLANs. Das VXLAN-Protokoll überwindet diese Einschränkung, indem es eine längere logische Netzwerkkennung verwendet, die mehr VLANs und damit eine logischere Netzwerkisolierung für große Netzwerke wie Clouds mit typischerweise vielen virtuellen Maschinen ermöglicht.

Vorteile von VXLAN

Mit der VXLAN-Technologie können Sie Ihre Netzwerke segmentieren (wie dies bei VLANs der Fall ist), aber sie bietet Vorteile, die VLANs nicht bieten können. Hier sind die wichtigsten Vorteile der Verwendung von VXLANs:

  • Sie können theoretisch bis zu 16 Millionen VXLANs in einer administrativen Domäne erstellen (im Gegensatz zu 4094 VLANs auf einem Gerät von Juniper Networks).

    • Router und EX9200-Switches der MX-Serie unterstützen bis zu 32.000 VXLANs, 32.000 Multicast-Gruppen und 8000 Virtual Tunnel Endpoint (VTEPs). Das bedeutet, dass VXLANs, die auf Routern der MX-Serie basieren, eine Netzwerksegmentierung in dem Umfang bieten, den Cloud-Entwickler benötigen, um eine sehr große Anzahl von Mandanten zu unterstützen.

    • Switches der QFX10000-Serie unterstützen 4000 VXLANs und 2000 Remote-VTEPs.

    • QFX5100-, QFX5110-, QFX5200-, QFX5210- und EX4600-Switches unterstützen 4000 VXLANs, 4000 Multicast-Gruppen und 2000 Remote-VTEPs.

    • EX4300-48MP-Switches unterstützen 4000 VXLANs.

  • Sie können die Migration virtueller Maschinen zwischen Servern aktivieren, die sich in separaten Layer-2-Domänen befinden, indem Sie den Datenverkehr über Layer-3-Netzwerke tunneln. Mit dieser Funktionalität können Sie Ressourcen innerhalb oder zwischen Datencentern dynamisch zuweisen, ohne durch Layer-2-Grenzen eingeschränkt zu werden oder gezwungen zu sein, große oder geografisch gestreckte Layer-2-Domänen zu erstellen.

Die Verwendung von VXLANs zur Erstellung kleinerer Layer-2-Domänen, die über ein Layer-3-Netzwerk verbunden sind, bedeutet, dass Sie nicht das Spanning Tree Protocol (STP) verwenden müssen, um die Topologie zu konvergieren, sondern stattdessen robustere Routing-Protokolle im Layer-3-Netzwerk verwenden können. Ohne STP wird keiner Ihrer Links blockiert, was bedeutet, dass Sie den vollen Nutzen aus allen von Ihnen erworbenen Ports ziehen können. Die Verwendung von Routing-Protokollen zur Verbindung Ihrer Layer-2-Domänen ermöglicht Ihnen auch einen Lastenausgleich des Datenverkehrs, um sicherzustellen, dass Sie Ihre verfügbare Bandbreite optimal nutzen. Angesichts des hohen Ost-West-Datenverkehrs, der häufig innerhalb oder zwischen Datencentern fließt, ist die Maximierung der Netzwerkleistung für diesen Datenverkehr sehr wichtig.

Das Video Warum ein Overlay-Netzwerk in einem Datencenter verwenden? gibt einen kurzen Überblick über die Vorteile des Einsatzes von VXLANs.

Wie funktioniert VXLAN?

VXLAN wird oft als Overlay-Technologie bezeichnet, da es Ihnen ermöglicht, Layer-2-Verbindungen über ein dazwischenliegendes Layer-3-Netzwerk zu strecken, indem Ethernet-Frames in einem VXLAN-Paket gekapselt (getunnelt) werden, das IP-Adressen enthält. Geräte, die VXLANs unterstützen, werden als virtuelle Tunnelendpunkte (VTEPs) bezeichnet – sie können Endhosts, Netzwerk-Switches oder Router sein. VTEPs kapseln VXLAN-Datenverkehr und entkapseln diesen Datenverkehr, wenn er den VXLAN-Tunnel verlässt. Um einen Ethernet-Frame zu kapseln, fügen VTEPs eine Reihe von Feldern hinzu, darunter die folgenden Felder:

  • MAC-Zieladresse (Outer Media Access Control) (MAC-Adresse des Tunnelendpunkts VTEP)

  • Äußere MAC-Quelladresse (MAC-Adresse der Tunnelquelle VTEP)

  • Äußere IP-Zieladresse (IP-Adresse des Tunnelendpunkts VTEP)

  • Äußere IP-Quelladresse (IP-Adresse der Tunnelquelle VTEP)

  • Äußerer UDP-Header

  • Ein VXLAN-Header, der ein 24-Bit-Feld enthält, das als VXLAN-Netzwerkkennung (VNI) bezeichnet wird und zur eindeutigen Identifizierung des VXLAN verwendet wird. Der VNI ähnelt einer VLAN-ID, aber mit 24 Bit können Sie viel mehr VXLANs als VLANs erstellen.

Hinweis:

Da VXLAN dem ursprünglichen Ethernet-Frame 50 bis 54 Byte an zusätzlichen Headerinformationen hinzufügt, empfiehlt es sich, die MTU des zugrunde liegenden Netzwerks zu erhöhen. Konfigurieren Sie in diesem Fall die MTU der physischen Schnittstellen, die am VXLAN-Netzwerk beteiligt sind, und nicht die MTU der logischen VTEP-Quellschnittstelle, die ignoriert wird.

Abbildung 1 zeigt das VXLAN-Paketformat.

Abbildung 1: VXLAN-Paketformat VXLAN Packet Format

VXLAN-Implementierungsmethoden

Junos OS unterstützt die Implementierung von VXLANs in den folgenden Umgebungen:

  • Manuelles VXLAN: In dieser Umgebung fungiert ein Gerät von Juniper Networks als Transitgerät für nachgeschaltete Geräte, die als VTEPs fungieren, oder als Gateway, das Konnektivität für nachgeschaltete Server bereitstellt, die virtuelle Maschinen (VMs) hosten, die über ein Layer-3-Netzwerk kommunizieren. In dieser Umgebung werden keine SDN-Controller (Software-Defined Networking) bereitgestellt.

    Hinweis:

    QFX10000-Switches unterstützen keine manuellen VXLANs.

  • OVSDB-VXLAN: In dieser Umgebung verwenden SDN-Controller das Verwaltungsprotokoll OVSDB (Open vSwitch Database), um eine Möglichkeit bereitzustellen, über die Controller (z. B. ein VMware NSX- oder Juniper Networks Contrail-Controller) und Geräte von Juniper Networks, die OVSDB unterstützen, kommunizieren können.

  • EVPN-VXLAN—In dieser Umgebung ist Ethernet VPN (EVPN) eine Steuerungsebenentechnologie, die es ermöglicht, Hosts (physische Server und VMs) an einer beliebigen Stelle in einem Netzwerk zu platzieren und mit demselben logischen Layer-2-Overlay-Netzwerk verbunden zu bleiben, und VXLAN erstellt die Datenebene für das Layer-2-Overlay-Netzwerk.

Verwendung von QFX5100-, QFX5110-, QFX5120-, QFX5200-, QFX5210-, EX4300-48MP- und EX4600-Switches mit VXLANs

Sie können die Switches so konfigurieren, dass sie alle der folgenden Rollen ausführen:

  • (Alle Switches außer EX4300-48MP) In einer Umgebung ohne SDN-Controller als Transit-Layer-3-Switch für nachgeschaltete Hosts fungieren, die als VTEPs fungieren. In dieser Konfiguration müssen Sie keine VXLAN-Funktionen auf dem Switch konfigurieren. Sie müssen IGMP und PIM konfigurieren, damit der Switch die Multicast-Strukturen für die VXLAN-Multicast-Gruppen bilden kann. (Weitere Informationen finden Sie unter Manuelle VXLANs erfordern PIM .)

  • (Alle Switches außer EX4300-48MP) In einer Umgebung mit oder ohne SDN-Controller als Layer-2-Gateway zwischen virtualisierten und nicht virtualisierten Netzwerken im selben Datencenter oder zwischen Datencentern fungieren. Sie können den Switch beispielsweise verwenden, um ein Netzwerk, das VXLANs verwendet, mit einem Netzwerk zu verbinden, das VLANs verwendet.

  • (EX4300-48MP Switches) Sie fungieren als Layer-2-Gateway zwischen virtualisierten und nicht virtualisierten Netzwerken in einem Campus-Netzwerk. Sie können den Switch beispielsweise verwenden, um ein Netzwerk, das VXLANs verwendet, mit einem Netzwerk zu verbinden, das VLANs verwendet.

  • (Alle Switches außer EX4300-48MP) Sie fungieren als Layer-2-Gateway zwischen virtualisierten Netzwerken im selben oder in verschiedenen Datencentern und ermöglichen das Verschieben virtueller Maschinen (VMotion) zwischen diesen Netzwerken und Datencentern. Wenn Sie beispielsweise VMotion zwischen Geräten in zwei verschiedenen Netzwerken zulassen möchten, können Sie dasselbe VLAN in beiden Netzwerken erstellen und beide Geräte in dieses VLAN einbinden. Die mit diesen Geräten verbundenen Switches, die als VTEPs fungieren, können dieses VLAN demselben VXLAN zuordnen, und der VXLAN-Datenverkehr kann dann zwischen den beiden Netzwerken geroutet werden.

  • (QFX5110 und QFX5120 Switches mit EVPN-VXLAN) Sie fungieren als Layer-3-Gateway, um den Datenverkehr zwischen verschiedenen VXLANs im selben Datencenter weiterzuleiten.

  • (QFX5110 und QFX5120 Switches mit EVPN-VXLAN) Fungieren Sie als Layer-3-Gateway, um den Datenverkehr zwischen verschiedenen VXLANs in verschiedenen Datencentern über ein WAN oder das Internet unter Verwendung von Standard-Routing-Protokollen oder VPLS-Tunneln (Virtual Private LAN Service) weiterzuleiten.

Hinweis:

Wenn Sie möchten, dass ein QFX5110- oder QFX5120-Switch ein Layer-3-VXLAN-Gateway in einer EVPN-VXLAN-Umgebung ist, müssen Sie integrierte Routing- und Bridging-Schnittstellen (IRB) konfigurieren, um die VXLANs zu verbinden, genau wie Sie es tun, wenn Sie Datenverkehr zwischen VLANs routen möchten.

Da die zusätzlichen Header 50 bis 54 Byte hinzufügen, müssen Sie möglicherweise die MTU für einen VTEP erhöhen, um größere Pakete aufnehmen zu können. Wenn der Switch beispielsweise den Standard-MTU-Wert von 1514 Byte verwendet und Sie 1500-Byte-Pakete über das VXLAN weiterleiten möchten, müssen Sie die MTU erhöhen, um die erhöhte Paketgröße zu berücksichtigen, die durch die zusätzlichen Header verursacht wird.

Ändern des UDP-Ports auf QFX5100-, QFX5110-, QFX5200-, QFX5210- und EX4600-Switches

Beginnend mit Junos OS Version 14.1X53-D25 auf QFX5100-Switches, Junos OS Version 15.1X53-D210 auf QFX5110- und QFX5200-Switches, Junos OS Version 18.1R1 auf QFX5210-Switches und Junos OS Version 18.2R1 auf EX4600-Switches können Sie den UDP-Port konfigurieren, der als Zielport für VXLAN-Datenverkehr verwendet wird. Geben Sie die folgende Anweisung ein, um den VXLAN-Zielport so zu konfigurieren, dass er nicht der Standard-UDP-Port 4789 ist:

set protocols l2-learning destination-udp-port port-number

Der von Ihnen konfigurierte Port wird für alle auf dem Switch konfigurierten VXLANs verwendet.

Hinweis:

Wenn Sie diese Änderung an einem Switch in einem VXLAN vornehmen, müssen Sie dieselbe Änderung auf allen Geräten vornehmen, die die auf Ihrem Switch konfigurierten VXLANs beenden. Wenn Sie dies nicht tun, wird der Datenverkehr für alle auf Ihrem Switch konfigurierten VXLANs unterbrochen. Wenn Sie den UDP-Port ändern, gehen die zuvor erlernten Remote-VTEPs und Remote-MACs verloren und der VXLAN-Datenverkehr wird unterbrochen, bis der Switch die Remote-VTEPs und Remote-MACs erneut lernt.

Steuerung des Transit-Multicast-Datenverkehrs auf QFX5100-, QFX5110-, QFX5200-, QFX5210- und EX4600-Switches

Wenn der Switch, der als VTEP fungiert, ein Broadcast-, unbekanntes Unicast- oder Multicast-Paket empfängt, führt er die folgenden Aktionen für das Paket aus:

  1. Das Paket wird entkapselt und an die lokal angeschlossenen Hosts übermittelt.

  2. Anschließend wird die VXLAN-Kapselung erneut hinzugefügt und das Paket an die anderen VTEPs im VXLAN gesendet.

Diese Aktionen werden von der Loopback-Schnittstelle ausgeführt, die als VXLAN-Tunneladresse verwendet wird, und können sich daher negativ auf die für den VTEP verfügbare Bandbreite auswirken. Beginnend mit Junos OS Version 14.1X53-D30 für QFX5100-Switches, Junos OS Version 15.1X53-D210 für QFX5110- und QFX5200-Switches, Junos OS Version 18.1R1 für QFX5210-Switches und Junos OS Version 18.2R1 für EX4600-Switches, wenn Sie wissen, dass keine Multicast-Empfänger mit anderen VTEPs im VXLAN verbunden sind, die Datenverkehr für eine bestimmte Multicast-Gruppe benötigen, Sie können die Verarbeitungslast auf der Loopback-Schnittstelle reduzieren, indem Sie die folgende Anweisung eingeben:

In diesem Fall wird kein Datenverkehr für die angegebene Gruppe weitergeleitet, aber der gesamte andere Multicast-Datenverkehr wird weitergeleitet. Wenn Sie keinen Multicast-Datenverkehr an andere VTEPs im VXLAN weiterleiten möchten, geben Sie die folgende Anweisung ein:

Verwenden eines Routers der MX-Serie, eines EX9200-Switches oder eines QFX10000-Switches als VTEP

Sie können einen Router der MX-Serie, einen EX9200-Switch oder QFX10000-Switch so konfigurieren, dass er als VTEP fungiert und alle der folgenden Rollen ausführt:

  • Fungiert als Layer-2-Gateway zwischen virtualisierten und nicht virtualisierten Netzwerken im selben Datencenter oder zwischen Datencentern. Sie können beispielsweise einen Router der MX-Serie verwenden, um ein Netzwerk, das VXLANs verwendet, mit einem Netzwerk zu verbinden, das VLANs verwendet.

  • Sie fungieren als Layer-2-Gateway zwischen virtualisierten Netzwerken im selben oder in verschiedenen Datencentern und ermöglichen das Verschieben virtueller Maschinen (VMotion) zwischen diesen Netzwerken und Datencentern.

  • Sie fungieren als Layer-3-Gateway, um den Datenverkehr zwischen verschiedenen VXLANs im selben Datencenter weiterzuleiten.

  • Fungieren Sie als Layer-3-Gateway, um den Datenverkehr zwischen verschiedenen VXLANs in verschiedenen Datencentern über ein WAN oder das Internet unter Verwendung von Standard-Routing-Protokollen oder VPLS-Tunneln (Virtual Private LAN Service) weiterzuleiten.

Hinweis:

Wenn Sie möchten, dass eines der in diesem Abschnitt beschriebenen Geräte ein VXLAN-Layer-3-Gateway ist, müssen Sie integrierte Routing- und Bridging-Schnittstellen (IRB) konfigurieren, um die VXLANs zu verbinden, genau wie beim Weiterleiten des Datenverkehrs zwischen VLANs.

Manuelle VXLANs erfordern PIM

In einer Umgebung mit einem Controller (z. B. einem VMware NSX- oder Juniper Networks Contrail-Controller) können Sie VXLANs auf einem Gerät von Juniper Networks bereitstellen. Ein Controller stellt auch eine Steuerungsebene bereit, die VTEPs verwenden, um ihre Erreichbarkeit anzukündigen und mehr über die Erreichbarkeit anderer VTEPs zu erfahren. Sie können VXLANs auch manuell auf Geräten von Juniper Networks erstellen, anstatt einen Controller zu verwenden. Wenn Sie diesen Ansatz verwenden, müssen Sie auch Protocol Independent Multicast (PIM) auf den VTEPs konfigurieren, damit sie untereinander VXLAN-Tunnel erstellen können.

Außerdem müssen Sie jeden VTEP in einem bestimmten VXLAN so konfigurieren, dass er Mitglied derselben Multicastgruppe ist. (Wenn möglich, sollten Sie jedem VXLAN eine andere Multicast-Gruppenadresse zuweisen, obwohl dies nicht erforderlich ist. Mehrere VXLANs können dieselbe Multicast-Gruppe gemeinsam nutzen.) Die VTEPs können dann ARP-Anfragen, die sie von ihren verbundenen Hosts erhalten, an die Multicast-Gruppe weiterleiten. Die anderen VTEPs in der Gruppe entkapseln die VXLAN-Informationen und leiten (vorausgesetzt, sie sind Mitglieder desselben VXLAN) die ARP-Anfrage an ihre verbundenen Hosts weiter. Wenn der Zielhost die ARP-Anfrage empfängt, antwortet er mit seiner MAC-Adresse, und sein VTEP leitet diese ARP-Antwort an den Quell-VTEP zurück. Durch diesen Prozess lernen die VTEPs die IP-Adressen der anderen VTEPs im VXLAN und die MAC-Adressen der Hosts, die mit den anderen VTEPs verbunden sind.

Die Multicastgruppen und -strukturen werden auch verwendet, um Broadcast-, unbekannten Unicast- und Multicast-Datenverkehr (BUM) zwischen VTEPs weiterzuleiten. Dadurch wird verhindert, dass der BUM-Datenverkehr unnötig außerhalb des VXLAN überflutet wird.

Hinweis:

Multicast-Datenverkehr, der über einen VXLAN-Tunnel weitergeleitet wird, wird nur an die Remote-VTEPs im VXLAN gesendet. Das heißt, das kapselnde VTEP kopiert und sendet keine Kopien der Pakete gemäß der Multicast-Struktur, sondern leitet nur die empfangenen Multicast-Pakete an die Remote-VTEPs weiter. Die Remote-VTEPs entkapseln die gekapselten Multicast-Pakete und leiten sie an die entsprechenden Layer-2-Schnittstellen weiter.

Load Balancing des VXLAN-Datenverkehrs

Die Layer-3-Routen, die VXLAN-Tunnel bilden, verwenden standardmäßig einen Load Balancing pro Paket, was bedeutet, dass Load Balancing implementiert wird, wenn ECMP-Pfade zum Remote-VTEP vorhanden sind. Dies unterscheidet sich vom normalen Routingverhalten, bei dem der Lastenausgleich pro Paket standardmäßig nicht verwendet wird. (Beim normalen Routing wird standardmäßig ein Lastenausgleich pro Präfix verwendet.)

Das Quellportfeld im UDP-Header wird verwendet, um den ECMP-Lastausgleich des VXLAN-Datenverkehrs im Layer-3-Netzwerk zu aktivieren. Dieses Feld wird auf einen Hash der inneren Paketfelder gesetzt, was zu einer Variablen führt, die ECMP zur Unterscheidung zwischen Tunneln (Flows) verwenden kann.

Keines der anderen Felder, die Flow-basiertes ECMP normalerweise verwendet, ist für die Verwendung mit VXLANs geeignet. Alle Tunnel zwischen denselben beiden VTEPs haben die gleichen äußeren Quell- und Ziel-IP-Adressen, und der UDP-Zielport ist per Definition auf Port 4789 festgelegt. Daher bietet keines dieser Felder eine ausreichende Möglichkeit für ECMP, Datenströme zu unterscheiden.

Aktivieren von QFX5120-Switches für Tunnel-Datenverkehr auf Core-seitigen Layer-3-Tagged- und IRB-Schnittstellen

Hinweis:

Dieser Abschnitt gilt nur für QFX5120 Switches, auf denen die Junos OS-Versionen 18.4R1, 18.4R2, 18.4R2-S1 bis 18.4R2-S3, 19.1R1, 19.1R2, 19.2Rx und 19.3Rx ausgeführt werden.

Wenn ein QFX5120-Switch versucht, den Datenverkehr auf Core-seitigen Layer-3-Tagged-Schnittstellen oder IRB-Schnittstellen zu tunneln, verwirft der Switch die Pakete. Um dieses Problem zu vermeiden, können Sie eine einfache, filterbasierte Firewall mit zwei Begriffen auf der Layer-3-Tagged- oder IRB-Schnittstelle konfigurieren.

Hinweis:

QFX5120 Switches unterstützen maximal 256 filterbasierte Firewalls mit zwei Laufzeiten.

Zum Beispiel:

Term 1 gleicht den Datenverkehr ab und akzeptiert ihn, der für den QFX5210 Switch bestimmt ist, der durch die VTEP-Quell-IP-Adresse (192.168.0.1/24) identifiziert wird, die der Loopback-Schnittstelle des Switches zugewiesen ist. Beachten Sie für Begriff 1, dass Sie beim Angeben einer Aktion alternativ den Datenverkehr zählen können, anstatt ihn zu akzeptieren.

Term 2 gleicht den gesamten restlichen Datenverkehr ab und leitet ihn an eine Routing-Instanz (Route 1) weiter, die als Schnittstelle et-0/0/3 konfiguriert ist.

Beachten Sie in diesem Beispiel, dass die Schnittstelle et-0/0/3 von der Routinginstanz route1 referenziert wird. Daher müssen Sie den set firewall family inet filter vxlan100 term 2 then routing-instance route1 Befehl einschließen. Ohne diesen Befehl funktioniert der Firewall-Filter nicht richtig.

Verwenden von Ping und Traceroute mit einem VXLAN

Auf QFX5100- und QFX5110-Switches können Sie die Befehle und traceroute verwenden, um Fehler ping im Datenverkehrsfluss durch einen VXLAN-Tunnel zu beheben, indem Sie den overlay Parameter und verschiedene Optionen einschließen. Sie verwenden diese Optionen, um zu erzwingen, dass die oder-Pakete traceroute denselben Pfad wie Datenpakete ping durch den VXLAN-Tunnel nehmen. Mit anderen Worten, Sie sorgen dafür, dass die Underlay-Pakete (ping und traceroute) die gleiche Route wie die Overlay-Pakete (Datenverkehr) nehmen. Weitere Informationen finden Sie unter Ping-Overlay und Traceroute-Overlay.

Unterstützte VXLAN-Standards

RFCs und Internet-Entwürfe, die Standards für VXLAN definieren:

  • RFC 7348, Virtual eXtensible Local Area Network (VXLAN): Ein Framework für die Überlagerung virtualisierter Layer-2-Netzwerke über Layer-3-Netzwerke

  • Internet-Entwurf draft-ietf-nvo3-vxlan-gpe, Generic Protocol Extension for VXLAN

Tabelle "Änderungshistorie"

Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
14.1X53-D30
Beginnend mit Junos OS Version 14.1X53-D30 für QFX5100-Switches, Junos OS Version 15.1X53-D210 für QFX5110- und QFX5200-Switches, Junos OS Version 18.1R1 für QFX5210-Switches und Junos OS Version 18.2R1 für EX4600-Switches, wenn Sie wissen, dass keine Multicast-Empfänger mit anderen VTEPs im VXLAN verbunden sind, die Datenverkehr für eine bestimmte Multicast-Gruppe benötigen, Sie können die Verarbeitungslast auf der Loopback-Schnittstelle reduzieren
14.1X53-D25
Beginnend mit Junos OS Version 14.1X53-D25 auf QFX5100-Switches, Junos OS Version 15.1X53-D210 auf QFX5110- und QFX5200-Switches, Junos OS Version 18.1R1 auf QFX5210-Switches und Junos OS Version 18.2R1 auf EX4600-Switches können Sie den UDP-Port konfigurieren, der als Zielport für VXLAN-Datenverkehr verwendet wird.