Virtuelles Bridging am Edge
Grundlegendes zum virtuellen Edge-Bridging für die Verwendung mit VEPA-Technologie auf Switches der EX-Serie
Server, die Virtual Ethernet Port Aggregator (VEPA) verwenden, senden Pakete nicht direkt von einer virtuellen Maschine (VM) zu einer anderen. Stattdessen werden die Pakete zur Verarbeitung an virtuelle Bridges auf einem benachbarten Switch gesendet. Switches der EX-Serie verwenden Edge Virtual Bridging (EVB) als virtuelle Bridge, um die Pakete an dieselbe Schnittstelle zurückzugeben, die die Pakete übermittelt hat.
- Was ist EVB?
- Was ist VEPA?
- Warum VEPA anstelle von VEB verwenden?
- Wie funktioniert EVB?
- Wie implementiere ich EVB?
Was ist EVB?
EVB ist eine Softwarefunktion auf einem Switch mit Junos OS, die es mehreren virtuellen Maschinen ermöglicht, miteinander und mit externen Hosts in der Ethernet-Netzwerkumgebung zu kommunizieren.
Was ist VEPA?
VEPA ist eine Softwarefunktion auf einem Server, die mit einem benachbarten, externen Switch zusammenarbeitet, um Bridging-Unterstützung zwischen mehreren virtuellen Maschinen und externen Netzwerken bereitzustellen. Die VEPA arbeitet mit dem benachbarten Switch zusammen, indem sie alle von VMs stammenden Frames zur Frame-Verarbeitung und Frame-Weiterleitung (einschließlich Hairpin-Weiterleitung) an den benachbarten Switch weiterleitet und repliziert und die vom VEPA-Uplink empfangenen Frames an die entsprechenden Ziele lenkt und repliziert.
Warum VEPA anstelle von VEB verwenden?
Obwohl virtuelle Maschinen in der Lage sind, Pakete mit einer Technologie namens Virtual Ethernet Bridging (VEB) direkt aneinander zu senden, sollten Sie in der Regel physische Switches für das Switching verwenden, da VEB teure Serverhardware verwendet, um diese Aufgabe zu erfüllen. Anstatt VEB zu verwenden, können Sie VEPA auf einem Server installieren, um die Switching-Funktionalität auf einen benachbarten, kostengünstigeren physischen Switch auszulagern. Weitere Vorteile der Verwendung von VEPA sind:
VEPA reduziert die Komplexität und ermöglicht eine höhere Leistung am Server.
VEPA nutzt die Sicherheits- und Tracking-Funktionen des physischen Switches.
VEPA bietet Einblick in den Datenverkehr zwischen virtuellen Maschinen für Netzwerkmanagement-Tools, die für eine benachbarte Bridge entwickelt wurden.
VEPA reduziert den Netzwerkkonfigurationsaufwand für Serveradministratoren und damit die Arbeit für den Netzwerkadministrator.
Wie funktioniert EVB?
EVB verwendet zwei Protokolle, Virtual Station Interface (VSI) Discovery and Configuration Protocol (VDP) und Edge Control Protocol (ECP), um Richtlinien für jede einzelne virtuelle Switch-Instanz zu programmieren – insbesondere verwaltet EVB die folgenden Informationen für jede VSI-Instanz:
VLAN-ID
VSI-Typ
VSI-Typversion
MAC-Adresse des Servers
VDP wird vom VEPA-Server verwendet, um VSI-Informationen an den Switch weiterzugeben. Dies ermöglicht es dem Switch, Richtlinien für einzelne VSIs zu programmieren, und unterstützt die Migration virtueller Maschinen durch die Implementierung von Logik zur Vorabzuordnung eines VSI zu einer bestimmten Schnittstelle.
ECP ist eine LLDP-ähnliche Transportschicht (Link Layer Discovery Protocol), die es mehreren Protokollen der oberen Schicht ermöglicht, PDUs (Protocol Data Units) zu senden und zu empfangen. ECP verbessert LLDP durch die Implementierung von Sequenzierung, erneuter Übertragung und einem ACK-Mechanismus, während es gleichzeitig leicht genug bleibt, um in einem Single-Hop-Netzwerk implementiert zu werden. ECP wird in einer EVB-Konfiguration implementiert, wenn Sie LLDP auf Schnittstellen konfigurieren, die Sie für EVB konfiguriert haben. Das heißt, Sie konfigurieren LLDP, nicht ECP.
Wie implementiere ich EVB?
Sie können EVB auf einem Switch konfigurieren, wenn sich dieser Switch neben einem Server befindet, der VEPA-Technologie enthält. Im Allgemeinen gehen Sie wie folgt vor, um EVB zu implementieren:
Der Netzwerkmanager erstellt eine Reihe von VSI-Typen. Jeder VSI-Typ wird durch eine VSI-Typ-ID und eine VSI-Version dargestellt – der Netzwerkmanager kann jederzeit eine oder mehrere VSI-Versionen bereitstellen.
Der VM-Manager konfiguriert VSI (eine virtuelle Stationsschnittstelle für eine VM, die durch ein Paar aus MAC-Adresse und VLAN-ID dargestellt wird). Dazu fragt der VM-Manager die verfügbaren VSI-Typ-IDs (VTIDs) ab und erstellt eine VSI-Instanz, die aus einer VSI-Instanz-ID und der ausgewählten VTID besteht. Diese Instanz wird als VTDB bezeichnet und enthält eine VSI-Manager-ID, eine VSI-Typ-ID, eine VSI-Version und eine VSI-Instanz-ID.
Siehe auch
Konfigurieren von virtuellem Edge-Bridging auf einem Switch der EX-Serie
Konfigurieren Sie Edge Virtual Bridging (EVB), wenn ein Switch mithilfe der VEPA-Technologie (Virtual Ethernet Port Aggregator) mit einem VM-Server (Virtual Ethernet Port Aggregator) verbunden ist. EVB konvertiert keine Pakete; Vielmehr wird sichergestellt, dass Pakete von einer VM, die für eine andere VM auf demselben VM-Server bestimmt ist, umgeschaltet werden. Mit anderen Worten, wenn Quelle und Ziel eines Pakets derselbe Port sind, liefert EVB das Paket ordnungsgemäß zu, was sonst nicht passieren würde.
Durch die Konfiguration von EVB wird auch das Virtual Station Interface (VSI) Discovery and Configuration Protocol (VDP) aktiviert.
Bevor Sie mit der Konfiguration von EVB beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Konfigurierte Paketaggregation auf dem Server, der mit dem Port verbunden ist, den Sie auf dem Switch für EVB verwenden. Weitere Informationen finden Sie in der Dokumentation zu Ihrem Server.
Die EVB-Schnittstelle wurde für alle VLANs auf den virtuellen Maschinen konfiguriert. Weitere Informationen finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.
HINWEIS:Die Portsicherheitsfunktionen MAC-Verschiebungsbegrenzung und MAC-Begrenzung werden auf Schnittstellen unterstützt, die für EVB konfiguriert sind. Die Port-Sicherheitsfunktionen IP Source Guard, dynamische ARP-Inspektion (DAI) und DHCP-Snooping werden von EVB jedoch nicht unterstützt. Weitere Informationen zu diesen Funktionen finden Sie unter Portsicherheitsfeatures.Overview of Port Security
So konfigurieren Sie EVB auf dem Switch:
Siehe auch
Beispiel: Konfigurieren von virtuellem Edge-Bridging für die Verwendung mit VEPA-Technologie auf einem Switch der EX-Serie
Virtuelle Maschinen (VMs) können einen physischen Switch verwenden, der an den Server der VMs angrenzt, um Pakete sowohl an andere VMs als auch an den Rest des Netzwerks zu senden, wenn zwei Bedingungen erfüllt sind:
Virtual Ethernet Packet Aggregator (VEPA) ist auf dem VM-Server konfiguriert.
Edge Virtual Bridging (EVB) ist auf dem Switch konfiguriert.
Dieses Beispiel zeigt, wie EVB auf dem Switch so konfiguriert wird, dass Pakete zu und von den virtuellen Maschinen fließen können.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein EX4500- oder EX8200-Switch
Junos OS Version 12.1 oder höher für Switches der EX-Serie
Bevor Sie EVB auf einem Switch konfigurieren, stellen Sie sicher, dass Sie den Server mit virtuellen Maschinen, den VLANs und VEPA konfiguriert haben:
Im Folgenden finden Sie die Anzahl der Komponenten, die in diesem Beispiel verwendet werden, aber Sie können weniger oder mehr verwenden, um die Funktion zu konfigurieren.
Konfigurieren Sie auf dem Server sechs virtuelle Maschinen, VM 1 bis VM 6, wie in Abbildung 1gezeigt. Weitere Informationen finden Sie in der Dokumentation zu Ihrem Server.
Konfigurieren Sie auf dem Server drei VLANs mit den Namen VLAN_Purple, VLAN_Orange und VLAN_Blue und fügen Sie jedem VLAN zwei virtuelle Maschinen hinzu. Weitere Informationen finden Sie in der Dokumentation zu Ihrem Server.
Installieren und konfigurieren Sie VEPA auf dem Server, um die Pakete der virtuellen Maschine zu aggregieren.
Konfigurieren Sie auf dem Switch eine Schnittstelle mit denselben drei VLANs wie der Server (VLAN_Purple, VLAN_Orange und VLAN_Blue). Weitere Informationen finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.
Übersicht und Topologie
EVB ist eine Softwarefunktion, die mehrere virtuelle Endstationen bereitstellt, die miteinander und mit externen Switches in der Ethernet-Netzwerkumgebung kommunizieren.
In diesem Beispiel wird die Konfiguration veranschaulicht, die auf einem Switch stattfindet, wenn dieser Switch mit einem Server verbunden ist, für den VEPA konfiguriert ist. In diesem Beispiel ist ein Switch bereits mit einem Server verbunden, auf dem sechs virtuelle Maschinen (VMs) gehostet werden, und mit VEPA für die Aggregation von Paketen konfiguriert. Die sechs virtuellen Maschinen des Servers sind VM 1 bis VM 6, und jede virtuelle Maschine gehört zu einem der drei Server-VLANs – VLAN_Purple, VLAN_Orange oder VLAN_Blue. Da VEPA auf dem Server konfiguriert ist, können keine zwei VMs direkt kommunizieren – die gesamte Kommunikation zwischen VMs muss über den benachbarten Switch erfolgen. zeigt die Topologie für dieses Beispiel.Abbildung 1
Beispieltopologie für Edge Virtual Bridging
Die VEPA-Komponente des Servers überträgt alle Pakete von einer beliebigen VM, unabhängig davon, ob die Pakete für andere VMs auf demselben Server oder für einen externen Host bestimmt sind, an den benachbarten Switch. Der benachbarte Switch wendet basierend auf der Schnittstellenkonfiguration Richtlinien auf eingehende Pakete an und leitet die Pakete dann basierend auf der MAC-Lerntabelle an die entsprechenden Schnittstellen weiter. Wenn der Switch noch keine Ziel-MAC-Adresse gelernt hat, überflutet er das Paket an alle Schnittstellen, einschließlich des Quellports, an dem das Paket angekommen ist.
Tabelle 1 Zeigt die Komponenten, die in diesem Beispiel verwendet werden.
| Komponente | Beschreibung |
|---|---|
Switch der EX-Serie |
Eine Liste der Switches, die diese Funktion unterstützen, finden Sie unter Übersicht über die Switch-Software der EX-Serie oder Übersicht über die Softwarefunktionen der EX-Serie.https://www.juniper.net/documentation/en_US/release-independent/junos/topics/concept/ex-series-software-features-overview.htmlhttps://www.juniper.net/documentation/en_US/release-independent/junos/topics/concept/ex-series-software-features-overview-vc.html |
ge-0/0/20 |
Wechseln Sie die Schnittstelle zum Server. |
Server |
Server mit virtuellen Maschinen und VEPA-Technologie. |
Virtuelle Maschinen |
Sechs virtuelle Maschinen auf dem Server mit den Namen VM 1, VM 2, VM 3, VM 4, VM 5 und VM 6. |
VLANs |
Drei VLANs mit den Namen VLAN_Purple, VLAN_Orange und VLAN_Blue. Jedes VLAN verfügt über zwei Mitglieder der virtuellen Maschine. |
VEPA |
Ein Virtual Ethernet Port Aggregator (VEPA) ist eine Softwarefunktion auf einem Server, die mit einem benachbarten, externen Switch zusammenarbeitet, um Bridging-Unterstützung zwischen mehreren virtuellen Maschinen und mit externen Netzwerken bereitzustellen. Die VEPA arbeitet mit dem Switch zusammen, indem sie alle von VMs stammenden Frames zur Frame-Verarbeitung und zum Frame-Relay (einschließlich Hairpin-Weiterleitung) an die benachbarte Bridge weiterleitet und repliziert und die vom VEPA-Uplink empfangenen Frames an die entsprechenden Ziele lenkt und repliziert. |
Durch die Konfiguration von EVB wird auch das Virtual Station Interface (VSI) Discovery and Configuration Protocol (VDP) aktiviert.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um EVB schnell zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie auf Hierarchieebene in die CLI des Switches ein.[edit]
set interfaces ge-0/0/20 unit 0 family ethernet-switching port-mode tagged-access set protocols lldp interface ge-0/0/20.0 set vlans vlan_purple interface ge-0/0/20.0 set vlans vlan_orange interface ge-0/0/20.0 set vlans vlan_blue interface ge-0/0/20.0 set protocols edge-virtual-bridging vsi-discovery interface ge-0/0/20.0 set policy-options vsi-policy P1 from vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb998 set policy-options vsi-policy P1 then filter f2 set policy-options vsi-policy P3 from vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997 set policy-options vsi-policy P3 then filter f3 set firewall family ethernet-switching filter f2 term t1 then accept set firewall family ethernet-switching filter f2 term t1 then count f2_accept set firewall family ethernet-switching filter f3 term t1 then accept set firewall family ethernet-switching filter f3 term t1 then count f3_accept set protocols edge-virtual-bridging vsi-discovery vsi-policy P1 set protocols edge-virtual-bridging vsi-discovery vsi-policy P3
Schritt-für-Schritt-Anleitung
So konfigurieren Sie EVB auf dem Switch:
Konfigurieren Sie den Tagged-Access-Modus für die Schnittstellen, auf denen Sie EVB aktivieren möchten:
[edit interfaces ge-0/0/20] user@switch# set unit 0 family ethernet-switching port-mode tagged-access
Aktivieren Sie das Link Layer Discovery Protocol (LLDP) auf den Portschnittstellen, auf denen Sie EVB aktivieren möchten:
[edit protocols] user@switch# set lldp interface ge-0/0/20.0
Konfigurieren Sie die Schnittstelle als Mitglied aller VLANs, die sich auf den virtuellen Maschinen befinden.
[edit] user@switch# set vlans vlan_purple interface ge-0/0/20.0 user@switch# set vlans vlan_orange interface ge-0/0/20.0 user@switch# set vlans vlan_blue interface ge-0/0/20.0
Aktivieren Sie das VSI Discovery and Control Protocol (VDP) auf der Schnittstelle:
[edit protocols] user@switch# set edge-virtual-bridging vsi-discovery interface ge-0/0/20.0
Definieren Sie Richtlinien für VSI-Informationen. VSI-Informationen basieren auf einer VSI-Manager-ID, einem VSI-Typ, einer VSI-Version und einer VSI-Instanz-ID:
[edit policy-options] user@switch# set vsi-policy P1 from vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb998 user@switch# set vsi-policy P1 then filter f2 user@switch# set vsi-policy P3 from vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997 user@switch# set vsi-policy P3 then filter f3
Im vorherigen Schritt wurden zwei VSI-Richtlinien definiert, die jeweils unterschiedlichen Firewallfiltern zugeordnet sind. Definieren Sie die Firewall-Filter:
[edit firewall family ethernet-switching] user@switch# set filter f2 term t1 then accept user@switch# set filter f2 term t1 then count f2_accept user@switch# set filter f3 term t1 then accept user@switch# set filter f3 term t1 then count f3_accept
Verknüpfen von VSI-Richtlinien mit dem VSI-Erkennungsprotokoll
[edit] user@switch# set protocols edge-virtual-bridging vsi-discovery vsi-policy P1 user@switch# set protocols edge-virtual-bridging vsi-discovery vsi-policy P3
Ergebnisse
user@switch# show protocols
edge-virtual-bridging {
vsi-discovery {
interface {
ge-0/0/20.0;
}
vsi-policy {
P1;
P3;
}
}
}
lldp {
interface ge-0/0/20.0;
user@switch# show policy-options
vsi-policy P1 {
from {
vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4ee
b-8f00-c84ebb0bb998;
}
then {
filter f2;
}
}
vsi-policy P3 {
from {
vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4ee
b-8f00-c84ebb0bb997;
}
then {
filter f3;
}
}user@switch# show vlans
vlan_blue {
interface {
ge-0/0/20.0;
}
}
vlan_orange {
interface {
ge-0/0/20.0;
}
}
vlan_purple {
interface {
ge-0/0/20.0;
interface;
}
}user@switch# show firewall
family ethernet-switching {
filter f2 {
term t1 {
then {
accept;
count f2_accept;
}
}
}
filter f3 {
term t1 {
then {
accept;
count f3_accept;
}
}
}
}
Überprüfung
Gehen Sie folgendermaßen vor, um zu bestätigen, dass EVB aktiviert ist und ordnungsgemäß funktioniert:
- Überprüfen, ob EVB korrekt konfiguriert ist
- Überprüfen, ob die virtuelle Maschine erfolgreich mit dem Switch verknüpft wurde
- Überprüfen, ob VSI-Profile am Switch gelernt werden
Überprüfen, ob EVB korrekt konfiguriert ist
Zweck
Vergewissern Sie sich, dass EVB korrekt konfiguriert ist
Was
user@switch# show edge-virtual-bridging Interface Forwarding Mode RTE Number of VSIs Protocols ge-0/0/20.0 Reflective-relay 25 400 ECP, VDP, RTE
Bedeutung
Wenn LLDP zum ersten Mal aktiviert wird, findet ein EVB-LLDP-Austausch zwischen Switch und Server statt, der LLDP verwendet. Im Rahmen dieses Austauschs werden folgende Parameter ausgehandelt: Anzahl der unterstützten VSIs, Weiterleitungsmodus, ECP-Unterstützung, VDP-Unterstützung und Retransmission Timer Exponent (RTE). Wenn der Ausgang Werte für die ausgehandelten Parameter enthält, ist EVB korrekt konfiguriert.
Überprüfen, ob die virtuelle Maschine erfolgreich mit dem Switch verknüpft wurde
Zweck
Stellen Sie sicher, dass die virtuelle Maschine erfolgreich mit dem Switch verknüpft wurde. Überprüfen Sie nach erfolgreicher Zuordnung des VSI-Profils zur Switch-Schnittstelle, ob die MAC-Adresse der VM in der MAC-Tabelle oder der Weiterleitungsdatenbanktabelle gelernt wurde. Der Lerntyp der MAC-Adressen der VM ist VDP, und nach erfolgreichem Herunterfahren der VM wird der entsprechende MAC-VLAN-Eintrag aus der FDB-Tabelle geleert, andernfalls wird er nie heruntergefahren.
Was
user@switch# run show ethernet-switching table Ethernet-switching table: 10 entries, 4 learned VLAN MAC address Type Age Interfaces v3 * Flood - All-members v3 00:02:a6:11:bb:1a VDP - ge-1/0/10.0 v3 00:02:a6:11:cc:1a VDP - ge-1/0/10.0 v3 00:23:9c:4f:70:01 Static - Router v4 * Flood - All-members v4 00:02:a6:11:bb:bb VDP - ge-1/0/10.0 v4 00:23:9c:4f:70:01 Static - Router v5 * Flood - All-members v5 00:23:9c:4f:70:01 Static - Router v5 52:54:00:d5:49:11 VDP - ge-1/0/20.0
Überprüfen, ob VSI-Profile am Switch gelernt werden
Zweck
Stellen Sie sicher, dass VSI-Profile am Switch gelernt werden.
Was
user@switch# show edge-virtual-bridging vsi-profiles
Interface: ge-0/0/20.0
Manager: 97, Type: 997, Version: 3, VSI State: Associate
Instance: 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997
MAC VLAN
00:10:94:00:00:04 3Bedeutung
Jedes Mal, wenn für VEPA konfigurierte VMs auf dem Server gestartet werden, beginnen die VMs mit dem Senden von VDP-Nachrichten. Im Rahmen dieses Protokolls werden VSI-Profile am Switch gelernt.
Wenn die Ausgabe Werte für Manager, Typ, Version, VSI-Status und Instanz enthält, werden VSI-Profile am Switch gelernt.