Beispiel: Einrichten eines VXLAN-Layer-2-Gateways und OVSDB-Verbindungen in einer VMware NSX-Umgebung (Trunk-Schnittstellen, die Tagged Packets unterstützen)
In einem physischen Netzwerk kann ein Gerät von Juniper Networks, das Virtual Extensible LAN (VXLAN) unterstützt, als Hardware Virtual Tunnel Endpoint (VTEP) fungieren. In dieser Rolle kapselt das Gerät von Juniper Networks Layer-2-Ethernet-Frames, die von Softwareanwendungen empfangen werden, die direkt auf einem physischen Server ausgeführt werden, in VXLAN-Paketen. Die VXLAN-Pakete werden über ein Layer-3-Transportnetzwerk getunnelt. Nach Erhalt der VXLAN-Pakete entkapseln Software-VTEPs im virtuellen Netzwerk die Pakete und leiten die Pakete an virtuelle Maschinen (VMs) weiter.
In dieser VXLAN-Umgebung können Sie auch VMware NSX-Controller einbinden und das Verwaltungsprotokoll Open vSwitch Database (OVSDB) auf dem Gerät von Juniper Networks implementieren, das als Hardware-VTEP fungiert. Die Junos OS-Implementierung von OVSDB bietet eine Möglichkeit, mit der VMware NSX-Controller und Juniper Networks-Geräte MAC-Adressen von Entitäten in physischen und virtuellen Netzwerken austauschen können. Dieser Austausch von MAC-Adressen ermöglicht es dem Gerät von Juniper Networks, das als Hardware-VTEP fungiert, Datenverkehr an Software-VTEPs im virtuellen Netzwerk und Software-VTEPs im virtuellen Netzwerk weiterzuleiten, Datenverkehr an das Junipet Networks-Gerät im physischen Netzwerk weiterzuleiten.
In diesem Beispiel wird erläutert, wie ein Gerät von Juniper Networks konfiguriert wird, das VXLAN als Hardware-VTEP unterstützt. (Der VTEP dient als Layer-2-Gateway.) In diesem Beispiel wird auch erläutert, wie dieses Gerät mit einer OVSDB-Verbindung zu einem NSX-Controller konfiguriert wird.
Beginnend mit Junos OS Version 14.1X53-D15 für QFX5100-Switches, 15.1X53-D10 für QFX10002-Switches, 15.1X53-D30 für QFX10008-Switches, 15.1X53-D60 für QFX10016-Switches, 15.1X53-D210 für QFX5110- und QFX5200-Switches und 18.1R1 für QFX5210-Switches wird die dynamische Konfiguration von Trunk-Schnittstellen und deren Verknüpfung mit einem OVSDB-verwalteten VXLAN unterstützt. In diesem Beispiel muss eine Anwendung, die direkt auf einem physischen Server ausgeführt wird, mit einer VM in einem VXLAN kommunizieren, während eine andere Anwendung auf dem physischen Server mit VMs in einem anderen VXLAN kommunizieren muss. Daher werden die Pakete, die zwischen den auf dem physischen Server ausgeführten Anwendungen und den jeweiligen VMs, mit denen sie kommunizieren müssen, ausgetauscht werden, getaggt. Daher wird eine Trunk-Schnittstelle für die Verbindung zwischen dem physischen Server und dem Gerät von Juniper Networks verwendet.
Anforderungen
Dieses Beispiel umfasst die folgenden Hardware- und Softwarekomponenten:
Ein physischer Server, auf dem Softwareanwendungen direkt ausgeführt werden.
Ein Switch von Juniper Networks, der VXLAN und OVSDB unterstützt. Bei diesem Switch kann es sich um einen QFX5100 Switch handeln, auf dem Junos OS Version 14.1X53-D15 oder höher ausgeführt wird.
Auf dem Switch von Juniper Networks stellt die physische Schnittstelle ge-1/0/0 eine Verbindung zum physischen Server 1 her.
Ein Cluster aus fünf NSX-Controllern. (In diesem Beispiel konfigurieren Sie explizit eine Verbindung mit einem NSX-Controller.)
NSX Manager.
Ein Serviceknoten, der die Replikation und Weiterleitung von Layer-2-Broadcast-, unbekanntem Unicast- und Multicast-Datenverkehr (BUM) innerhalb der VXLANs verarbeitet.
Zwei Hosts, die VMs enthalten. Jeder Host wird von einem Hypervisor verwaltet, und jeder Hypervisor enthält einen Software-VTEP.
Bevor Sie mit der Konfiguration beginnen, müssen Sie die folgenden Aufgaben ausführen:
Erstellen Sie einen privaten SSL-Schlüssel und ein Zertifikat, und installieren Sie diese im Verzeichnis /var/db/certs des Switches von Juniper Networks. Weitere Informationen finden Sie unter Erstellen und Installieren eines SSL-Schlüssels und -Zertifikats auf einem Gerät von Juniper Networks für die Verbindung mit SDN-Controllern.
Geben Sie in NSX Manager die IP-Adresse des Dienstknotens an.
Informationen zur Verwendung von NSX Manager finden Sie in der Dokumentation zu NSX Manager.
Übersicht und Topologie
Abbildung 1 zeigt eine Topologie, in der eine Softwareanwendung, die direkt auf dem physischen Server 1 im physischen Netzwerk ausgeführt wird, mit der virtuellen Maschine VM 1 in VXLAN 1 kommunizieren muss und umgekehrt, und eine andere Softwareanwendung auf dem physischen Server 1 mit den virtuellen Maschinen VM 3 und VM 4 in VXLAN 2 kommunizieren muss und umgekehrt.
Um die Kommunikation zwischen den Softwareanwendungen auf dem physischen Server 1 und den VMs in den VXLANs 1 und 2 herzustellen, müssen einige Entitäten in der VXLAN-OVSDB-Topologie sowohl in NSX Manager als auch auf dem Juniper Networks-Switch konfiguriert werden. Tabelle 1 enthält eine Zusammenfassung der Entitäten, die konfiguriert werden müssen, und wo sie konfiguriert werden müssen.
Der Begriff, der für eine in NSX Manager konfigurierte Entität verwendet wird, kann sich von dem Begriff unterscheiden, der für im Wesentlichen dieselbe Entität verwendet wird, die auf dem Junos Network-Switch konfiguriert ist. Um Verwechslungen zu vermeiden, werden in Tabelle 1 die Entitäten NSX Manager und Junos OS nebeneinander dargestellt.
Entitäten |
Was muss in NSX Manager konfiguriert werden? |
Was muss auf dem Switch von Juniper Networks konfiguriert werden? |
|---|---|---|
VXLAN 1 VXLAN 2 |
Logischer Switch für VXLAN 1 Logischer Switch für VXLAN 2 |
VXLAN 1 VXLAN 2
Anmerkung:
Der Switch von Juniper Networks konfiguriert diese VXLANs dynamisch. |
Schnittstelle (ge-1/0/0) zwischen physischem Server 1 und Juniper Networks Switch |
Ein Gateway-Dienst. Wählen Sie als Gateway-Service-Typ die Option VTEP L2-Gateway-Service aus. |
OVSDB-Verwaltung. Geben Sie an, dass die Schnittstelle ge-1/0/0 von OVSDB verwaltet wird. |
Eine logische Schnittstelle, die VXLAN 1 zugeordnet ist Eine logische Schnittstelle, die VXLAN 2 zugeordnet ist |
Ein logischer Switch-Port für VXLAN 1. Geben Sie für diesen Port die VLAN-Nummer 10 an. Ein logischer Switch-Port für VXLAN 2. Geben Sie für diesen Port die VLAN-Nummer 20 an.
Anmerkung:
Eine VLAN-Nummer von 1 through 4000 zeigt an, dass es sich bei dem Port um einen Trunk-Port handelt. |
Eine logische Schnittstelle (ge-1/0/0.10) für VXLAN 1 Eine logische Schnittstelle (ge-1/0/0.20) für VXLAN 2
Anmerkung:
Der Switch von Juniper Networks konfiguriert diese logischen Schnittstellen dynamisch. |
Switch von Juniper Networks (Hardware VTEP 1) |
Tor |
– |
Basierend auf der Konfiguration der Entitäten in NSX Manager, wie in Tabelle 1 beschrieben, erstellt der Juniper Networks-Switch dynamisch die VXLANs 1 und 2 und die zugehörigen logischen Schnittstellen. Tabelle 2 enthält die relevante NSX Manager-Konfiguration und die daraus resultierenden VXLANs und die zugehörigen logischen Schnittstellen, die der Juniper Networks-Switch dynamisch konfiguriert.
NSX Manager-Konfiguration: Logischer Switch und logischer Switch-Port |
VXLANs und zugehörige logische Schnittstellen, die vom Switch von Juniper Networks dynamisch konfiguriert werden |
|---|---|
Konfiguration des logischen Switches: UUID: 28805c1d-0122-495d-85df-19abd647d772 VNI: 100 Konfiguration des logischen Switch-Ports: VLAN-ID: 10 |
Für VXLAN 1: set vlans 28805c1d-0122-495d-85df-19abd647d772 vxlan vni 100 Für die zugehörige logische Schnittstelle ge-1/0/0.10: set interfaces ge-1/0/0 flexible-vlan-tagging set interfaces ge-1/0/0 encapsulation extended-vlan-bridge set interfaces ge-1/0/0 unit 10 vlan-id 10 set vlans 28805c1d-0122-495d-85df-19abd647d772 interfaces ge-1/0/0.10 |
Konfiguration des logischen Switches: UUID: 9acc24b3-7b0a-4c2e-b572-3370c3e1acff VNI: 200 Konfiguration des logischen Switch-Ports: VLAN-ID: 20 |
Für VXLAN 2: set vlans 9acc24b3-7b0a-4c2e-b572-3370c3e1acff vxlan vni 200 Für die zugehörige logische Schnittstelle ge-1/0/0.20: set interfaces ge-1/0/0 flexible-vlan-tagging set interfaces ge-1/0/0 encapsulation extended-vlan-bridge set interfaces ge-1/0/0 unit 20 vlan-id 20 set vlans 9acc24b3-7b0a-4c2e-b572-3370c3e1acff interfaces ge-1/0/0.20 |
Für VXLANs 1 und 2 verwendet der Switch von Juniper Networks die UUIDs und VNI-Werte, die für die entsprechenden logischen Switches bereitgestellt wurden.
In den Portkonfigurationen des logischen Switches in NSX Manager werden die VLAN-ID-Werte 10 und 20 sowie logische Switch-Zuordnungen angegeben. Infolgedessen erstellt der Switch von Juniper Networks die logischen Schnittstellen ge-1/0/0.10 bzw. ge-1/0/0.20. Beide logischen Schnittstellen fungieren als Trunk-Schnittstellen. Der Switch von Juniper Networks ordnet außerdem die logischen Schnittstellen ge-1/0/0.10 und ge-1/0/0.20 ihren jeweiligen VXLANs zu.
Basierend auf den vom Switch von Juniper Networks generierten Konfigurationen akzeptiert die Schnittstelle ge-1/0/0.10 Pakete mit dem VLAN-Tag 10 von VXLAN 1 und die Schnittstelle ge-1/0/0.20 Pakete mit dem VLAN-Tag 20 von VXLAN 2. Beim Empfang von Paketen von VXLAN 1 wird den Paketen ein VLAN-Tag von 100 und den Paketen von VXLAN 2 ein VLAN-Tag von 200 hinzugefügt. Diese Tags werden zu den jeweiligen Paketströmen hinzugefügt, um die VLAN-ID in einem bestimmten VXLAN dem entsprechenden VNI zuzuordnen.
Tabelle 3 enthält eine Zusammenfassung der Komponenten, die auf dem Switch von Juniper Networks konfiguriert sind. Sofern nicht anders angegeben, werden alle Konfigurationen manuell in der Junos OS CLI durchgeführt.
Topologie
Komponenten |
Einstellungen |
|---|---|
NSX-Controller |
IP-Adresse: 10.94.184.1 |
OVSDB-verwaltete Schnittstelle |
Schnittstellenname: ge-1/0/0 |
VXLAN 1 und zugehörige logische Schnittstelle |
Anmerkung:
Der Juniper Networks-Switch konfiguriert dynamisch das VXLAN und die zugehörige logische Schnittstelle, die auf den Konfigurationen des logischen Switches und des logischen Switch-Ports in NSX Manager basieren. Daher ist keine manuelle Konfiguration erforderlich. VXLAN-Name: 28805c1d-0122-495d-85df-19abd647d772 VNI: 100 Name der logischen Schnittstelle: ge-1/0/0.10 VLAN-ID: 10 Schnittstellentyp: Trunk |
VXLAN 2 und zugehörige logische Schnittstelle |
Anmerkung:
Der Juniper Networks-Switch konfiguriert dynamisch das VXLAN und die zugehörige Schnittstelle, die auf den logischen Switch- und logischen Switch-Portkonfigurationen in NSX Manager basieren. Daher ist keine manuelle Konfiguration erforderlich. VXLAN-Name: VXLAN 9acc24b3-7b0a-4c2e-b572-3370c3e1acff VNI: 200 Name der logischen Schnittstelle: ge-1/0/0.20 VLAN-ID: 20 Schnittstellentyp: Trunk |
OVSDB-Tracing-Vorgänge |
Dateiname: /var/log/ovsdb Dateigröße: 10 MB Flagge: Alle |
Hardware-VTEP-Quellenkennung |
Quellschnittstelle: Loopback (lo0.0) Quell-IP-Adresse: 10.17.17.17/32 |
Verarbeitung von Layer-2-BUM-Datenverkehr innerhalb von VXLAN 28805c1d-0122-495d-85df-19abd647d772 und innerhalb von VXLAN 9acc24b3-7b0a-4c2e-b572-3370c3e1acff |
Serviceknoten
Anmerkung:
Standardmäßig verarbeiten ein oder mehrere Dienstknoten den Layer-2-BUM-Datenverkehr in einem VXLAN. Daher ist keine Konfiguration erforderlich. |
Nicht-OVSDB- und Nicht-VXLAN-Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Konfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein, und geben Sie sie dann aus dem Konfigurationsmodus ein commit .
set interfaces ge-1/0/9 unit 0 family inet address 10.40.40.1/24 set routing-options static route 10.19.19.19/32 next-hop 10.40.40.2 set routing-options router-id 10.17.17.17 set protocols ospf area 0.0.0.0 interface lo0.0 set protocols ospf area 0.0.0.0 interface ge-1/0/9.0
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie das Layer-3-Netzwerk, über das die zwischen physischem Server 1 und VM1 ausgetauschten Pakete getunnelt werden:
Konfigurieren Sie die Layer-3-Schnittstelle.
[edit interfaces] user@switch# set ge-1/0/9 unit 0 family inet address 10.40.40.1/24
Legen Sie die Routing-Optionen fest.
[edit routing-options] user@switch# set static route 10.19.19.19/32 next-hop 10.40.40.2 user@switch# set router-id 10.17.17.17
Konfigurieren Sie das Routing-Protokoll.
[edit protocols] user@switch# set ospf area 0.0.0.0 interface lo0.0 user@switch# set ospf area 0.0.0.0 interface ge-1/0/9.0
OVSDB- und VXLAN-Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Konfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf der Hierarchieebene [edit] ein, und geben Sie sie dann aus dem Konfigurationsmodus ein commit .
set switch-options ovsdb-managed set protocols ovsdb controller 10.94.184.1 set protocols ovsdb interfaces ge-1/0/0 set protocols ovsdb traceoptions file ovsdb set protocols ovsdb traceoptions file size 10m set protocols ovsdb traceoptions flag all set interfaces lo0 unit 0 family inet address 10.17.17.17/32 primary set interfaces lo0 unit 0 family inet address 10.17.17.17/32 preferred set switch-options vtep-source-interface lo0.0
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den Juniper Networks-Switch als Hardware-VTEP 1 und mit einer OVSDB-Verbindung zu einem NSX-Controller:
Aktivieren Sie den Switch von Juniper Networks, um OVSDB-verwaltete VXLANs und zugehörige Schnittstellen dynamisch zu konfigurieren.
[edit switch-options] user@switch# set ovsdb-managed
Konfigurieren Sie explizit eine Verbindung mit einem NSX Controller.
[edit protocols] user@switch# set ovsdb controller 10.94.184.1
Geben Sie an, dass die Schnittstelle ge-1/0/0 von OVSDB verwaltet wird.
[edit protocols] user@switch# set ovsdb interfaces ge-1/0/0
Richten Sie OVSDB-Ablaufverfolgungsvorgänge ein.
[edit protocols] user@switch# set ovsdb traceoptions file ovsdb user@switch# set ovsdb traceoptions file size 10m user@switch# set ovsdb traceoptions flag all
Geben Sie eine IP-Adresse für die Loopback-Schnittstelle an. Diese IP-Adresse dient als Quell-IP-Adresse im äußeren Header aller VXLAN-gekapselten Pakete.
[edit interfaces] user@switch# set lo0 unit 0 family inet address 10.17.17.17/32 primary user@switch# set lo0 unit 0 family inet address 10.17.17.17/32 preferred
-
Legen Sie die Loopback-Schnittstelle als Schnittstelle fest, die Hardware-VTEP 1 identifiziert.
[edit switch-options] user@switch# set vtep-source-interface lo0.0
Konfigurieren Sie in NSX Manager einen logischen Switch für VXLAN 1 und einen logischen Switch für VXLAN 2. Weitere Informationen finden Sie in der Dokumentation zu NSX Manager.
Konfigurieren Sie in NSX Manager ein Gateway für den Juniper Networks-Switch, einen Gateway-Dienst für die von OVSDB verwaltete Schnittstelle ge-1/0/0 und einen logischen Switch-Port für die logische Schnittstelle ge-1/0/0.10, die VXLAN 1 zugeordnet ist, und einen logischen Switch-Port für die logische Schnittstelle ge-1/0/0.20, die VXLAN 2 zugeordnet ist.
Weitere Informationen finden Sie unter VMware NSX-Konfiguration für Juniper Networks-Geräte, die als virtuelle Tunnelendpunkte fungieren.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der Konfiguration des logischen Switches
- Überprüfen der MAC-Adressen von VM 1, VM 3 und VM 4
- Überprüfen der NSX Controller-Verbindung
- Verifizieren der OVSDB-verwalteten Schnittstelle
Überprüfen der Konfiguration des logischen Switches
Zweck
Stellen Sie sicher, dass die Konfiguration logischer Switches mit den UUIDs 28805c1d-0122-495d-85df-19abd647d772 und 9acc24b3-7b0a-4c2e-b572-3370c3e1acff im OVSDB-Schema für physische Geräte vorhanden ist und dass das Feld show ovsdb logical-switch Flags der Ausgabe von beiden erstellt ist.
Aktion
Geben Sie im Betriebsmodus den show ovsdb logical-switch Befehl ein.
user@switch> show ovsdb logical-switch Logical switch information: Logical Switch Name: 28805c1d-0122-495d-85df-19abd647d772 Flags: Created by both VNI: 100 Num of Remote MAC: 1 Num of Local MAC: 0 Logical Switch Name: 9acc24b3-7b0a-4c2e-b572-3370c3e1acff Flags: Created by both VNI: 200 Num of Remote MAC: 2 Num of Local MAC: 0
Bedeutung
Die Ausgabe überprüft, ob die Konfiguration für die logischen Switches vorhanden ist. Der Created by both Status gibt an, dass die logischen Switches in NSX Manager konfiguriert wurden und dass der Juniper Networks-Switch die entsprechenden VXLANs dynamisch konfiguriert hat. In diesem Zustand sind die logischen Switches und VXLANs betriebsbereit.
Wenn der Status der logischen Switches etwas anderes ist als Created by both, finden Sie weitere Informationen unter Fehlerbehebung bei einem nicht betriebsbereiten logischen Switch und dem entsprechenden Junos OS OVSDB-verwalteten VXLAN.
Überprüfen der MAC-Adressen von VM 1, VM 3 und VM 4
Zweck
Stellen Sie sicher, dass die MAC-Adressen von VM 1, VM 3 und VM 4 im OVSDB-Schema vorhanden sind.
Aktion
Geben Sie im Betriebsmodus den show ovsdb mac remote Befehl ein.
user@switch> show ovsdb mac remote Logical Switch Name: 28805c1d-0122-495d-85df-19abd647d772 Mac IP Encapsulation Vtep Address Address Address a8:59:5e:f6:38:90 0.0.0.0 Vxlan over Ipv4 10.17.17.17 Logical Switch Name: 9acc24b3-7b0a-4c2e-b572-3370c3e1acff Mac IP Encapsulation Vtep Address Address Address 00:23:9c:5e:a7:f0 0.0.0.0 Vxlan over Ipv4 10.17.17.17 00:23:9c:5e:a7:f0 0.0.0.0 Vxlan over Ipv4 10.17.17.17
Bedeutung
Die Ausgabe zeigt, dass die MAC-Adressen für VM 1, VM 3 und VM 4 vorhanden sind und ihren jeweiligen logischen Switches zugeordnet sind. Wenn die MAC-Adressen vorhanden sind, sind VM 1, VM 3 und VM 4 über den Switch von Juniper Networks erreichbar, der als Hardware-VTEP fungiert.
Überprüfen der NSX Controller-Verbindung
Zweck
Stellen Sie sicher, dass die Verbindung mit dem NSX Controller hergestellt wird.
Aktion
Geben Sie im Betriebsmodus den show ovsdb controller Befehl ein, um zu überprüfen, ob der Verbindungsstatus des Controllers .up
user@switch> show ovsdb controller VTEP controller information: Controller IP address: 10.94.184.1 Controller protocol: ssl Controller port: 6632 Controller connection: up Controller seconds-since-connect: 542325 Controller seconds-since-disconnect: 542346 Controller connection status: active
Bedeutung
Die Ausgabe zeigt, dass der Verbindungsstatus des NSX-Controllers upist, zusätzlich zu anderen Informationen über den Controller. Da diese Verbindung aktiv ist, ist OVSDB auf dem Switch von Juniper Networks aktiviert.
Verifizieren der OVSDB-verwalteten Schnittstelle
Zweck
Stellen Sie sicher, dass die Schnittstelle ge-1/0/0 von OVSDB verwaltet wird.
Aktion
Geben Sie im Betriebsmodus den show ovsdb interface Befehl ein, und überprüfen Sie, ob die logischen Schnittstellen ge-1/0/0.10 und ge-1/0/0.20 von OVSDB verwaltet werden.
user@switch> show ovsdb interface Interface VLAN ID Bridge-domain ge-1/0/0 10 28805c1d-0122-495d-85df-19abd647d772 ge-1/0/0 20 9acc24b3-7b0a-4c2e-b572-3370c3e1acff
Bedeutung
Die Ausgabe zeigt, dass logische Schnittstellen ge-1/0/0.10 und ge-1/0/0.20 von OVSDB verwaltet werden. Es gibt auch an, dass die Schnittstelle ge-1/0/0.10 mit VXLAN 28805c1d-0122-495d-85df-19abd647d772 und die Schnittstelle ge-1/0/0.20 mit VXLAN 9acc24b3-7b0a-4c2e-b572-3370c3e1acffverknüpft ist.
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.