Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Grundlegendes zu VXLANs

Die VXLAN-Technologie (Virtual Extensible LAN Protocol) ermöglicht Es Netzwerken, mehr VLANs zu unterstützen. Gemäß dem IEEE 802.1Q-Standard sind herkömmliche VLAN-Identifikatoren 12 Bit lang – diese Benennung beschränkt Netzwerke auf 4094 VLANs. Das VXLAN-Protokoll überwindet diese Einschränkungen, indem es einen längeren logischen Netzwerkbezeichner verwendet, der mehr VLANs und damit eine logischere Netzwerkisolierung für große Netzwerke wie Clouds ermöglicht, die normalerweise viele virtuelle Maschinen umfassen.

Vorteile von VXLAN

Mit der VXLAN-Technologie können Sie Ihre Netzwerke segmentieren (wie VLANs), aber sie bietet Vorteile, die VLANs nicht bieten können. Dies sind die wichtigsten Vorteile der Verwendung von VXLANs:

  • Theoretisch können Sie bis zu 16 Millionen VXLANs in einer administrativen Domäne erstellen (im Gegensatz zu 4094 VLANs auf einem Gerät von Juniper Networks).

    • Router der MX-Serie und EX9200-Switches unterstützen bis zu 32.000 VXLANs, 32.000 Multicast-Gruppen und 8.000 virtuelle Tunnel-Endgeräte (VTEPs). Das bedeutet, dass VXLANs, die auf Routern der MX-Serie basieren, eine Netzwerksegmentierung in dem Umfang bieten, den Cloud-Entwickler zur Unterstützung einer sehr großen Anzahl von Mandanten benötigen.

    • Switches der QFX10000-Serie unterstützen 4.000 VXLANs und 2.000 Remote-VTEPs.

    • Die Switches QFX5100, QFX5110, QFX5200, QFX5210 und EX4600 unterstützen 4000 VXLANs, 4000 Multicast-Gruppen und 2000 Remote-VTEPs.

    • EX4300-48MP-Switches unterstützen 4.000 VXLANs.

  • Sie können die Migration virtueller Maschinen zwischen Servern in separaten Layer-2-Domänen ermöglichen, indem Sie den Datenverkehr über Layer-3-Netzwerke tunneln. Mit dieser Funktionalität können Sie Ressourcen innerhalb oder zwischen Datencentern dynamisch zuweisen, ohne durch Layer-2-Grenzen eingeschränkt zu werden oder gezwungen zu sein, große oder geografisch gestreckte Layer-2-Domänen zu erstellen.

Die Verwendung von VXLANs zum Erstellen kleinerer Layer-2-Domänen, die über ein Layer-3-Netzwerk verbunden sind, bedeutet, dass Sie nicht das Spanning Tree Protocol (STP) verwenden müssen, um die Topologie zu konvergieren, sondern können stattdessen robustere Routing-Protokolle im Layer 3-Netzwerk verwenden. Ohne STP wird keine Ihrer Links blockiert, was bedeutet, dass Sie von allen ports, die Sie kaufen, voll ausschöpfen können. Durch die Verwendung von Routing-Protokollen zur Verbindung Ihrer Layer 2-Domänen können Sie auch den Lastausgleich des Datenverkehrs durchführen, um sicherzustellen, dass Sie Ihre verfügbare Bandbreite optimal nutzen. Angesichts der menge des horizontalen Datenverkehrs, der oft innerhalb oder zwischen Datencentern fließt, ist es sehr wichtig, die Leistung Ihres Netzwerks für diesen Datenverkehr zu maximieren.

Das Video Warum ein Overlay-Netzwerk in einem Datencenter verwenden? präsentiert einen kurzen Überblick über die Vorteile der Verwendung von VXLANs.

Wie funktioniert VXLAN?

VXLAN wird oft als Overlay-Technologie beschrieben, da Sie Layer-2-Verbindungen über ein dazwischenliegendes Layer-3-Netzwerk ausdehnen können, indem Sie Ethernet-Frames in ein VXLAN-Paket mit IP-Adressen verkapseln (Tunneling). Geräte, die VXLANs unterstützen, werden als virtuelle Tunnel-Endgeräte (VTEPs) bezeichnet – sie können Endhosts oder Netzwerk-Switches oder -Router sein. VTEPs verkapseln VXLAN-Datenverkehr und entkapseln ihn, wenn er den VXLAN-Tunnel verlässt. Um einen Ethernet-Frame zu verkapseln, fügen VTEPs eine Reihe von Feldern hinzu, einschließlich der folgenden Felder:

  • Outer Media Access Control (MAC) Zieladresse (MAC-Adresse des Tunnelendpunkts VTEP)

  • Äußere MAC-Quelladresse (MAC-Adresse der Tunnelquelle VTEP)

  • Äußere IP-Zieladresse (IP-Adresse des Tunnelendpunkts VTEP)

  • Äußere IP-Quelladresse (IP-Adresse der Tunnelquelle VTEP)

  • Äußerer UDP-Header

  • Ein VXLAN-Header, der ein 24-Bit-Feld mit dem Namen VXLAN Network Identifier (VNI) enthält, das zur eindeutigen Identifizierung des VXLAN verwendet wird. Der VNI ähnelt einer VLAN-ID, aber mit 24 Bits können Sie viel mehr VXLANs als VLANs erstellen.

Hinweis:

Da VXLAN dem ursprünglichen Ethernet-Frame 50 bis 54 Bytes zusätzliche Header-Informationen hinzufügt, können Sie die MTU des zugrunde liegenden Netzwerks erhöhen. Konfigurieren Sie in diesem Fall die MTU der physischen Schnittstellen, die am VXLAN-Netzwerk teilnehmen, und nicht die MTU der logischen VTEP-Quellschnittstelle, die ignoriert wird.

Abbildung 1 zeigt das VXLAN-Paketformat.

Abbildung 1: VXLAN-Paketformat VXLAN Packet Format

VXLAN-Implementierungsmethoden

Junos OS unterstützt die Implementierung von VXLANs in den folgenden Umgebungen:

  • Manuelles VXLAN: In dieser Umgebung fungiert ein Gerät von Juniper Networks als Transitgerät für Downstream-Geräte, die als VTEPs fungieren, oder als Gateway, das die Konnektivität für Downstream-Server bereitstellt, die virtuelle Maschinen (VMs) hosten, die über ein Layer-3-Netzwerk kommunizieren. In dieser Umgebung werden sdN-Controller (Software-Defined Networking) nicht bereitgestellt.

    Hinweis:

    QFX10000-Switches unterstützen keine manuellen VXLANs.

  • OVSDB-VXLAN: In dieser Umgebung verwenden SDN-Controller das OVSDB-Managementprotokoll (Open vSwitch Database), um ein Mittel bereitzustellen, über das Controller (z. B. ein VMware NSX oder Juniper Networks Contrail-Controller) und Geräte von Juniper Networks, die OVSDB unterstützen, kommunizieren können.

  • EVPN-VXLAN: In dieser Umgebung ist Ethernet VPN (EVPN) eine Steuerungsebenentechnologie, mit der Hosts (physische Server und VMs) überall in einem Netzwerk platziert werden und mit demselben logischen Layer-2-Overlay-Netzwerk verbunden bleiben, und VXLAN erstellt die Datenebene für das Layer-2-Overlay-Netzwerk.

Verwenden von Switches QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4300-48MP und EX4600 mit VXLANs

Sie können die Switches so konfigurieren, dass sie alle folgenden Rollen ausführen:

  • (Alle Switches außer EX4300-48MP) Fungieren Sie in einer Umgebung ohne SDN-Controller als Transit-Layer-3-Switch für Downstream-Hosts, die als VTEPs fungieren. In dieser Konfiguration müssen Sie keine VXLAN-Funktionen auf dem Switch konfigurieren. Sie müssen IGMP und PIM so konfigurieren, dass der Switch die Multicastbäume für die VXLAN-Multicast-Gruppen bilden kann. (Weitere Informationen finden Sie unter Manuelle VXLANs erfordern PIM .)

  • (Alle Switches außer EX4300-48MP) Fungieren Sie in einer Umgebung mit oder ohne SDN-Controller als Layer-2-Gateway zwischen virtualisierten und nichtvirtualisierten Netzwerken im selben Datencenter oder zwischen Datencentern. Sie können beispielsweise den Switch verwenden, um ein Netzwerk, das VXLANs verwendet, mit einem Netzwerk zu verbinden, das VLANs verwendet.

  • (EX4300-48MP-Switches) Fungieren Sie als Layer-2-Gateway zwischen virtualisierten und nichtvirtualisierten Netzwerken in einem Campus-Netzwerk. Sie können beispielsweise den Switch verwenden, um ein Netzwerk, das VXLANs verwendet, mit einem Netzwerk zu verbinden, das VLANs verwendet.

  • (Alle Switches außer EX4300-48MP) Fungiert als Layer-2-Gateway zwischen virtualisierten Netzwerken in demselben oder verschiedenen Datencentern und ermöglicht virtuelle Maschinen den Wechsel zwischen diesen Netzwerken und Datencentern. Wenn Sie beispielsweise VMotion zwischen Geräten in zwei verschiedenen Netzwerken zulassen möchten, können Sie dasselbe VLAN in beiden Netzwerken erstellen und beide Geräte in dieses VLAN einfügen. Die mit diesen Geräten verbundenen Switches, die als VTEPs fungieren, können dieses VLAN demselben VXLAN zuordnen, und der VXLAN-Datenverkehr kann dann zwischen den beiden Netzwerken geroutet werden.

  • (QFX5110- und QFX5120-Switches mit EVPN-VXLAN) Fungieren Sie als Layer-3-Gateway, um den Datenverkehr zwischen verschiedenen VXLANs im selben Datencenter zu leiten.

  • (QFX5110- und QFX5120-Switches mit EVPN-VXLAN) Fungieren Sie als Layer-3-Gateway, um den Datenverkehr zwischen verschiedenen VXLANs in verschiedenen Datencentern über ein WAN oder das Internet mithilfe von Standard-Routing-Protokollen oder VPLS-Tunneln (Virtual Private LAN Service) zu routen.

Hinweis:

Wenn ein QFX5110- oder QFX5120-Switch ein Layer-3-VXLAN-Gateway in einer EVPN-VXLAN-Umgebung sein soll, müssen Sie integrierte Routing- und Bridging-Schnittstellen (IRB) konfigurieren, um die VXLANs zu verbinden, genau wie Sie es tun, wenn Sie den Datenverkehr zwischen VLANs routen möchten.

Da die zusätzlichen Header 50 bis 54 Bytes hinzufügen, müssen Sie möglicherweise die MTU auf einem VTEP erhöhen, um größere Pakete aufzunehmen. Wenn der Switch beispielsweise den STANDARD-MTU-Wert von 1514 Bytes verwendet und Sie 1500-Byte-Pakete über das VXLAN weiterleiten möchten, müssen Sie die MTU erhöhen, um die durch die zusätzlichen Header verursachte größere Paketgröße zu ermöglichen.

Ändern des UDP-Ports auf den Switches QFX5100, QFX5110, QFX5200, QFX5210 und EX4600

Ab Junos OS-Version 14.1X53-D25 auf QFX5100-Switches Junos OS Version 15.1X53-D210 auf QFX5110- und QFX5200-Switches, Junos OS Release 18.1R1 auf QFX5210-Switches und Junos OS Version 18.2R1 auf EX4600-Switches können Sie den UDP-Port konfigurieren, der als Zielport für VXLAN-Datenverkehr verwendet wird. Geben Sie die folgende Anweisung ein, um den VXLAN-Zielport so zu konfigurieren, dass er nicht der Standard-UDP-Port von 4789 ist:

set protocols l2-learning destination-udp-port port-number

Der von Ihnen konfigurierte Port wird für alle auf dem Switch konfigurierten VXLANs verwendet.

Hinweis:

Wenn Sie diese Änderung an einem Switch in einem VXLAN vornehmen, müssen Sie dieselbe Änderung auf allen Geräten vornehmen, die die auf Ihrem Switch konfigurierten VXLANs beenden. Wenn Sie dies nicht tun, wird der Datenverkehr für alle auf Ihrem Switch konfigurierten VXLANs unterbrochen. Wenn Sie den UDP-Port ändern, gehen die zuvor gelernten Remote-VTEPs und Remote-MACs verloren und der VXLAN-Datenverkehr wird unterbrochen, bis der Switch die Remote-VTEPs und Remote-MACs erneut erlernt.

Steuerung des Transit-Multicast-Datenverkehrs auf den Switches QFX5100, QFX5110, QFX5200, QFX5210 und EX4600

Wenn der Switch als VTEP ein Broadcast, unbekanntes Unicast- oder Multicast-Paket empfängt, führt er die folgenden Aktionen für das Paket aus:

  1. Es entkapselt das Paket und liefert es an die lokal angeschlossenen Hosts.

  2. Anschließend fügt es die VXLAN-Kapselung erneut hinzu und sendet das Paket an die anderen VTEPs im VXLAN.

Diese Aktionen werden von der Loopback-Schnittstelle durchgeführt, die als VXLAN-Tunneladresse verwendet wird, und können sich daher negativ auf die für den VTEP verfügbare Bandbreite auswirken. Ab Junos OS-Version 14.1X53-D30 für QFX5100-Switches, Junos OS-Version 15.1X53-D210 für QFX5110- und QFX5200-Switches, Junos OS-Version 18.1R1 für QFX5210-Switches und Junos OS Release 18.2R1 für EX4600-Switches, wenn Sie wissen, dass keine Multicast-Empfänger an andere VTEPs im VXLAN angeschlossen sind, die Datenverkehr für eine bestimmte Multicast-Gruppe wünschen, können Sie die Verarbeitungslast auf der Loopback-Schnittstelle reduzieren, indem Sie die folgende Anweisung eingeben:

In diesem Fall wird kein Datenverkehr für die angegebene Gruppe weitergeleitet, sondern der gesamte andere Multicast-Datenverkehr wird weitergeleitet. Wenn Sie keinen Multicast-Datenverkehr an andere VTEPs im VXLAN weiterleiten möchten, geben Sie die folgende Anweisung ein:

Verwendung eines Routers der MX-Serie, eines EX9200-Switches oder eines QFX10000-Switches als VTEP

Sie können einen Router der MX-Serie, einen EX9200-Switch oder einen QFX10000-Switch so konfigurieren, dass er als VTEP fungiert und alle folgenden Rollen ausführt:

  • Fungieren Sie als Layer-2-Gateway zwischen virtualisierten und nichtvirtualisierten Netzwerken im selben Datencenter oder zwischen Datencentern. Sie können beispielsweise einen Router der MX-Serie verwenden, um ein Netzwerk, das VXLANs verwendet, mit einem Netzwerk zu verbinden, das VLANs verwendet.

  • Fungiert als Layer-2-Gateway zwischen virtualisierten Netzwerken in demselben oder verschiedenen Datencentern und ermöglicht virtuelle Maschinen den Wechsel zwischen diesen Netzwerken und Datencentern.

  • Fungieren Sie als Layer-3-Gateway, um den Datenverkehr zwischen verschiedenen VXLANs im selben Datencenter zu leiten.

  • Fungieren Sie als Layer-3-Gateway, um den Datenverkehr zwischen verschiedenen VXLANs in verschiedenen Datencentern über ein WAN oder das Internet mithilfe von Standard-Routing-Protokollen oder VPLS-Tunneln (Virtual Private LAN Service) zu routen.

Hinweis:

Wenn es sich bei einem der in diesem Abschnitt beschriebenen Geräte um ein VXLAN Layer 3-Gateway handeln soll, müssen Sie integrierte Routing- und Bridging-Schnittstellen (IRB) konfigurieren, um die VXLANs zu verbinden, genau wie beim Routen des Datenverkehrs zwischen VLANs.

Manuelle VXLANs erfordern PIM

In einer Umgebung mit einem Controller (z. B. VMware NSX oder Juniper Networks Contrail-Controller) können Sie VXLANs auf einem Gerät von Juniper Networks bereitstellen. Ein Controller bietet auch eine Steuerungsebene, mit der VTEPs ihre Erreichbarkeit bekannt machen und sich über die Erreichbarkeit anderer VTEPs informieren. Sie können VXLANs auch manuell auf Geräten von Juniper Networks erstellen, anstatt einen Controller zu verwenden. Wenn Sie diesen Ansatz verwenden, müssen Sie auch Protokollunabhängiges Multicast (PIM) auf den VTEPs konfigurieren, damit diese VXLAN-Tunnel untereinander erstellen können.

Sie müssen auch jeden VTEP in einem bestimmten VXLAN so konfigurieren, dass er Mitglied derselben Multicast-Gruppe ist. (Wenn möglich, sollten Sie jedem VXLAN eine andere Multicast-Gruppenadresse zuweisen, obwohl dies nicht erforderlich ist. Mehrere VXLANs können dieselbe Multicast-Gruppe gemeinsam nutzen.) Die VTEPs können dann ARP-Anforderungen, die sie von ihren verbundenen Hosts erhalten, an die Multicast-Gruppe weiterleiten. Die anderen VTEPs in der Gruppe entkapseln die VXLAN-Informationen und leiten (wenn sie Mitglieder desselben VXLAN sind) die ARP-Anfrage an ihre verbundenen Hosts weiter. Wenn der Zielhost die ARP-Anforderung empfängt, antwortet er mit seiner MAC-Adresse, und sein VTEP leitet diese ARP-Antwort zurück an den Quell-VTEP. Durch diesen Prozess lernen die VTEPs die IP-Adressen der anderen VTEPs im VXLAN und die MAC-Adressen der Hosts, die mit den anderen VTEPs verbunden sind.

Die Multicast-Gruppen und -Bäume werden auch verwendet, um Broadcast-, unbekannten Unicast- und Multicast-Datenverkehr (BUM) zwischen VTEPs weiterzuleiten. Dadurch wird verhindert, dass BUM-Datenverkehr unnötig außerhalb des VXLAN überflutet wird.

Hinweis:

Multicast-Datenverkehr, der über einen VXLAN-Tunnel weitergeleitet wird, wird nur an die Remote-VTEPs im VXLAN gesendet. Das heißt, der verkapselte VTEP kopiert und sendet keine Kopien der Pakete gemäß der Multicast-Struktur– er leitet nur die empfangenen Multicast-Pakete an die Remote-VTEPs weiter. Die Remote-VTEPs entkapseln die gekapselten Multicast-Pakete und leiten sie an die entsprechenden Layer-2-Schnittstellen weiter.

Load Balancing des VXLAN-Datenverkehrs

Die Layer-3-Routen, die VXLAN-Tunnel bilden, verwenden standardmäßig Load Balancing pro Paket, was bedeutet, dass Load Balancing implementiert wird, wenn ECMP-Pfade zum Remote-VTEP vorhanden sind. Dies unterscheidet sich von normalem Routing-Verhalten, bei dem Load Balancing pro Paket standardmäßig nicht verwendet wird. (Normales Routing verwendet standardmäßig Load Balancing pro Präfix.)

Das Quell-Port-Feld im UDP-Header wird verwendet, um ECMP-Load Balancing des VXLAN-Datenverkehrs im Layer-3-Netzwerk zu ermöglichen. Dieses Feld ist auf einen Hash der inneren Paketfelder festgelegt, was zu einer Variablen führt, die ECMP zur Unterscheidung zwischen Tunneln (Datenströmen) verwenden kann.

Keines der anderen Felder, die datenstrombasiertes ECMP normalerweise verwendet, ist für die Verwendung mit VXLANs geeignet. Alle Tunnel zwischen denselben VTEPs haben die gleichen äußeren Quell- und Ziel-IP-Adressen, und der UDP-Zielport ist definitionsgemäß auf Port 4789 festgelegt. Daher bietet keines dieser Felder eine ausreichende Möglichkeit für ECMP, Datenströme zu differenzieren.

Aktivierung von QFX5120-Switches zum Tunneln des Datenverkehrs auf Core-bezogenen Layer-3-Tagged- und IRB-Schnittstellen

Hinweis:

Dieser Abschnitt gilt nur für QFX5120-Switches mit Junos OS-Versionen 18.4R1, 18.4R2, 18.4R2-S1 bis 18.4R2-S3, 19.1R1, 19.1R2, 19.2Rx und 19.3Rx.

Wenn ein QFX5120-Switch versucht, den Datenverkehr auf Core-bezogenen Layer-3-getaggten Schnittstellen oder IRB-Schnittstellen zu tunneln, lässt der Switch die Pakete fallen. Um dieses Problem zu vermeiden, können Sie eine einfache, auf Zwei-Term-Filter basierende Firewall auf der Layer-3-getaggten oder IRB-Schnittstelle konfigurieren.

Hinweis:

QFX5120-Switches unterstützen maximal 256 Zwei-Term-Filter-basierte Firewalls.

Zum Beispiel:

Term 1 entspricht und akzeptiert Datenverkehr, der für den QFX5210-Switch bestimmt ist, der durch die VTEP-Quell-IP-Adresse (192.168.0.1/24) identifiziert wird, die der Loopback-Schnittstelle des Switches zugewiesen ist. Beachten Sie für Term 1, dass Sie beim Festlegen einer Aktion alternativ Den Datenverkehr zählen können, anstatt sie zu akzeptieren.

Term 2 gleicht den gesamten anderen Datenverkehr ab und leitet sie an eine Routing-Instanz (Route 1) weiter, die eine Schnittstelle et-0/0/3 konfiguriert ist.

Beachten Sie in diesem Beispiel, dass die Schnittstelle et-0/0/3 von der Routing-Instanz route1 referenziert wird. Daher müssen Sie den set firewall family inet filter vxlan100 term 2 then routing-instance route1 Befehl einschließen. Ohne diesen Befehl funktioniert der Firewall-Filter nicht richtig.

Verwendung von Ping und Traceroute mit einem VXLAN

Auf QFX5100- und QFX5110-Switches können Sie die Befehle verwendentraceroute, um den ping Datenverkehrsfluss durch einen VXLAN-Tunnel zu beheben, indem Sie den overlay Parameter und verschiedene Optionen angeben. Sie verwenden diese Optionen, um die ping Pakete zu traceroute zwingen, denselben Pfad wie Datenpakete durch den VXLAN-Tunnel zu folgen. Mit anderen Worten, Sie machen die Underlay-Pakete (ping und traceroutenehmen die gleiche Route wie die Overlay-Pakete (Datenverkehr). Weitere Informationen finden Sie unter Ping-Overlay und Traceroute-Overlay.

Unterstützte VXLAN-Standards

RFCs und Internet-Entwürfe, die Standards für VXLAN definieren:

  • RFC 7348, Virtual eXtensible Local Area Network (VXLAN): Ein Framework für das Overlaying virtualisierter Layer-2-Netzwerke über Layer-3-Netzwerke

  • Internet draft-ietf-nvo3-vxlan-gpe, Generic Protocol Extension for VXLAN (Internet Draft-ietf-nvo3-vxlan-gpe, Generic Protocol Extension for VXLAN)

Ähnliche Dokumentation

Tabelle "Versionshistorie"
Release
Beschreibung
14.1X53-D30
Ab Junos OS-Version 14.1X53-D30 für QFX5100-Switches, Junos OS-Version 15.1X53-D210 für QFX5110- und QFX5200-Switches, Junos OS-Version 18.1R1 für QFX5210-Switches und Junos OS Release 18.2R1 für EX4600-Switches, wenn Sie wissen, dass keine Multicast-Empfänger an andere VTEPs im VXLAN angeschlossen sind, die Datenverkehr für eine bestimmte Multicast-Gruppe wünschen, können Sie die Verarbeitungslast auf der Loopback-Schnittstelle reduzieren
14.1X53-D25
Ab Junos OS-Version 14.1X53-D25 auf QFX5100-Switches Junos OS Version 15.1X53-D210 auf QFX5110- und QFX5200-Switches, Junos OS Release 18.1R1 auf QFX5210-Switches und Junos OS Version 18.2R1 auf EX4600-Switches können Sie den UDP-Port konfigurieren, der als Zielport für VXLAN-Datenverkehr verwendet wird.