Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre les VXLAN

La technologie VXLAN protocole (VXLAN) permet aux réseaux de prendre en charge davantage de VLAN. Selon la norme IEEE 802.1Q, les identifiants VLAN traditionnels ont une longueur de 12 bits, ce qui limite les réseaux à 4 094 VLAN. Le protocole VXLAN surmonte cette limitation en utilisant un identifiant de réseau logique plus long qui permet d’augmenter le nombre de VLAN et, par conséquent, d’isoler davantage le réseau de manière logique pour les grands réseaux tels que les clouds, qui incluent généralement de nombreuses machines virtuelles.

Avantages du VXLAN

La technologie VXLAN vous permet de segmenter vos réseaux (comme le font les VLAN), mais elle offre des avantages que les VLAN ne peuvent pas offrir. Voici les principaux avantages de l’utilisation de VXLAN :

  • Vous pouvez théoriquement créer jusqu’à 16 millions de VXLAN dans un domaine administratif (contre 4 094 VLAN sur un équipement Juniper Networks).

    • Les routeurs MX Series et les commutateurs EX9200 prennent en charge jusqu’à 32 000 VXLAN, 32 000 groupes multicast et 8 000 points de terminaison de tunnel virtuel (VTEP). Cela signifie que les VXLAN basés sur des routeurs MX Series fournissent une segmentation du réseau à l’échelle requise par les constructeurs cloud pour prendre en charge un très grand nombre de locataires.

    • Les commutateurs QFX10000 Series prennent en charge 4 000 VXLAN et 2 000 VTEP distants.

    • QFX5100, QFX5110, QFX5200, QFX5210 et les commutateurs EX4600 prennent en charge 4 000 VXLAN, 4 000 groupes multicast et 2 000 VTEP distants.

    • Les commutateurs EX4300-48MP prennent en charge 4 000 VXLAN.

  • Vous pouvez activer la migration des machines virtuelles entre les serveurs qui existent dans des domaines de couche 2 distincts en tunnelisant le trafic sur les réseaux de couche 3. Cette fonctionnalité vous permet d’allouer dynamiquement des ressources au sein des centres de données ou entre eux sans être contraint par les limites de la couche 2 ni être obligé de créer des domaines de couche 2 plus grands ou géographiquement étendus.

L’utilisation de VXLAN pour créer des domaines de couche 2 plus petits connectés sur un réseau de couche 3 signifie que vous n’avez pas besoin d’utiliser le protocole STP (Spanning Tree Protocol) pour faire converger la topologie, mais que vous pouvez utiliser des protocoles de routage plus robustes dans le réseau de couche 3. En l’absence de STP, aucun de vos liens n’est bloqué, ce qui signifie que vous pouvez tirer pleinement parti de tous les ports que vous achetez. L’utilisation de protocoles de routage pour connecter vos domaines de couche 2 vous permet également d’équilibrer la charge du trafic et d’optimiser l’utilisation de votre bande passante disponible. Étant donné la quantité de trafic est-ouest qui circule souvent à l’intérieur ou entre les datacenters, il est très important d’optimiser les performances de votre réseau pour ce trafic.

La vidéo « Pourquoi utiliser un réseau superposé dans un datacenter ? » présente brièvement les avantages de l’utilisation des VXLAN.

Comment fonctionne VXLAN ?

VXLAN est souvent décrit comme une technologie de superposition, car il permet d’étendre les connexions de couche 2 sur un réseau de couche 3 intermédiaire en encapsulant (tunnelisation) des trames Ethernet dans un paquet VXLAN comprenant des adresses IP. Les périphériques prenant en charge les VXLAN sont appelés points de terminaison de tunnel virtuel (VTEP) : ils peuvent être des hôtes finaux, des commutateurs réseau ou des routeurs. Les VTEP encapsulent le trafic VXLAN et le désencapsulent lorsqu’il quitte le tunnel VXLAN. Pour encapsuler une trame Ethernet, les VTEP ajoutent un certain nombre de champs, dont les suivants :

  • Adresse de destination MAC (Media Access Control) externe (adresse MAC du point de terminaison de tunnel VTEP)

  • Adresse source MAC externe (adresse MAC du VTEP source du tunnel)

  • Adresse IP de destination externe (adresse IP du point de terminaison de tunnel VTEP)

  • Adresse IP source externe (adresse IP du VTEP source du tunnel)

  • En-tête UDP externe

  • En-tête VXLAN comprenant un champ de 24 bits, appelé identifiant de réseau VXLAN (VNI), utilisé pour identifier le VXLAN de manière unique. Le VNI est similaire à un ID de VLAN, mais le fait d’avoir 24 bits vous permet de créer beaucoup plus de VXLAN que de VLAN.

Note:

Étant donné que VXLAN ajoute 50 à 54 octets d’informations d’en-tête supplémentaires à la trame Ethernet d’origine, vous souhaiterez peut-être augmenter la MTU du réseau sous-jacent. Dans ce cas, configurez la MTU des interfaces physiques qui font partie du réseau VXLAN, et non la MTU de l’interface source VTEP logique, qui est ignorée.

La figure 1 illustre le format de paquet VXLAN.

Figure 1 : format VXLAN Packet Format de paquet VXLAN

Méthodes d’implémentation VXLAN

Junos OS prend en charge l’implémentation de VXLAN dans les environnements suivants :

  • VXLAN manuel : dans cet environnement, un équipement Juniper Networks sert de périphérique de transit pour les équipements en aval faisant office de VTEP ou de passerelle assurant la connectivité des serveurs en aval hébergeant des machines virtuelles (VM) qui communiquent sur un réseau de couche 3. Dans cet environnement, aucun contrôleur SDN (Software-Defined Networking) n’est déployé.

    Note:

    QFX10000 commutateurs ne prennent pas en charge les VXLAN manuels.

  • OVSDB-VXLAN : dans cet environnement, les contrôleurs SDN utilisent le protocole de gestion Open vSwitch Database (OVSDB) pour permettre aux contrôleurs (par exemple un contrôleur VMware NSX ou Juniper Networks Contrail) et aux équipements Juniper Networks prenant en charge OVSDB de communiquer.

  • EVPN-VXLAN : dans cet environnement, Ethernet VPN (EVPN) est une technologie de plan de contrôle qui permet aux hôtes (serveurs physiques et machines virtuelles) d’être placés n’importe où dans un réseau tout en restant connectés au même réseau logique de superposition de couche 2. VXLAN crée le plan de données pour le réseau de superposition de couche 2.

Utilisation de commutateurs QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4300-48MP et EX4600 avec des VXLAN

Vous pouvez configurer les commutateurs pour qu’ils remplissent tous les rôles suivants :

  • (Tous les commutateurs sauf EX4300-48MP) Dans un environnement sans contrôleur SDN, agir comme un commutateur de couche 3 de transit pour les hôtes en aval agissant comme des VTEP. Dans cette configuration, vous n’avez pas besoin de configurer de fonctionnalité VXLAN sur le commutateur. Vous devez configurer IGMP et PIM pour que le commutateur puisse former les arborescences de multicast pour les groupes de multicast VXLAN. (Pour plus d’informations, reportez-vous à la section Les VXLAN manuels nécessitent un PIM .)

  • (Tous les commutateurs sauf EX4300-48MP) Dans un environnement avec ou sans contrôleur SDN, agissez comme une passerelle de couche 2 entre les réseaux virtualisés et non virtualisés dans le même centre de données ou entre les centres de données. Par exemple, vous pouvez utiliser le commutateur pour connecter un réseau qui utilise des VXLAN à un réseau qui utilise des VLAN.

  • (Commutateurs EX4300-48MP) Agir comme une passerelle de couche 2 entre les réseaux virtualisés et non virtualisés dans un réseau de campus. Par exemple, vous pouvez utiliser le commutateur pour connecter un réseau qui utilise des VXLAN à un réseau qui utilise des VLAN.

  • (Tous les commutateurs sauf EX4300-48MP) Agir comme une passerelle de couche 2 entre les réseaux virtualisés du même centre de données ou de centres de données différents et permettre aux machines virtuelles de se déplacer (VMotion) entre ces réseaux et centres de données. Par exemple, si vous souhaitez autoriser VMotion entre des périphériques dans deux réseaux différents, vous pouvez créer le même VLAN dans les deux réseaux et placer les deux périphériques sur ce VLAN. Les commutateurs connectés à ces équipements, agissant comme des VTEP, peuvent mapper ce VLAN sur le même VXLAN, et le trafic VXLAN peut ensuite être acheminé entre les deux réseaux.

  • (Commutateurs QFX5110 et QFX5120 avec EVPN-VXLAN) Agir comme une passerelle de couche 3 pour acheminer le trafic entre différents VXLAN dans le même datacenter.

  • (Commutateurs QFX5110 et QFX5120 avec EVPN-VXLAN) Agir comme une passerelle de couche 3 pour acheminer le trafic entre différents VXLAN dans différents centres de données sur un WAN ou sur Internet à l’aide de protocoles de routage standard ou de tunnels VPLS (Virtual Private LAN Service).

Note:

Si vous souhaitez qu’un commutateur QFX5110 ou QFX5120 devienne une passerelle VXLAN de couche 3 dans un environnement EVPN-VXLAN, vous devez configurer des interfaces de routage et de pontage intégrées (IRB) pour connecter les VXLAN, comme vous le faites pour acheminer le trafic entre les VLAN.

Étant donné que les en-têtes supplémentaires ajoutent 50 à 54 octets, vous devrez peut-être augmenter la MTU sur un VTEP pour accueillir des paquets plus volumineux. Par exemple, si le commutateur utilise la valeur MTU par défaut de 1 514 octets et que vous souhaitez transférer des paquets de 1 500 octets sur le VXLAN, vous devez augmenter la MTU pour tenir compte de l’augmentation de la taille des paquets causée par les en-têtes supplémentaires.

Modification du port UDP sur les commutateurs QFX5100, QFX5110, QFX5200, QFX5210 et EX4600

À partir de Junos OS version 14.1X53-D25 sur les commutateurs QFX5100, Junos OS version 15.1X53-D210 sur les commutateurs QFX5110 et QFX5200, Junos OS version 18.1R1 sur les commutateurs QFX5210 et Junos OS version 18.2R1 sur les commutateurs EX4600, vous pouvez configurer le port UDP utilisé comme port de destination pour le trafic VXLAN. Pour configurer le port de destination VXLAN pour qu’il ne soit pas le port UDP par défaut 4789, entrez l’instruction suivante :

set protocols l2-learning destination-udp-port port-number

Le port que vous configurez sera utilisé pour tous les VXLAN configurés sur le commutateur.

Note:

Si vous effectuez cette modification sur un commutateur d’un VXLAN, vous devez effectuer la même modification sur tous les périphériques qui terminent les VXLAN configurés sur votre commutateur. Si vous ne le faites pas, le trafic sera interrompu pour tous les VXLAN configurés sur votre commutateur. Lorsque vous modifiez le port UDP, les VTEP distants et les MAC distants précédemment appris sont perdus et le trafic VXLAN est interrompu jusqu’à ce que le commutateur réapprenne les VTEP distants et les MAC distants.

Contrôle du trafic multicast de transit sur les commutateurs QFX5100, QFX5110, QFX5200, QFX5210 et EX4600

Lorsque le commutateur agissant en tant que VTEP reçoit un paquet de diffusion, unicast inconnu ou multicast, il effectue les actions suivantes sur le paquet :

  1. Il désencapsule le paquet et le délivre aux hôtes attachés localement.

  2. Il ajoute ensuite à nouveau l’encapsulation VXLAN et envoie le paquet aux autres VTEP du VXLAN.

Ces actions sont effectuées par l’interface de bouclage utilisée comme adresse de tunnel VXLAN et peuvent, par conséquent, avoir un impact négatif sur la bande passante disponible pour le VTEP. Depuis Junos OS version 14.1X53-D30 pour les commutateurs QFX5100, Junos OS version 15.1X53-D210 pour les commutateurs QFX5110 et QFX5200, Junos OS version 18.1R1 pour les commutateurs QFX5210 et Junos OS version 18.2R1 pour les commutateurs EX4600, si vous savez qu’aucun récepteur de multicast n’est connecté à d’autres VTEP dans le VXLAN et qu’il n’y a pas de trafic pour un groupe de multicast spécifique, Vous pouvez réduire la charge de traitement sur l’interface de bouclage en entrant l’instruction suivante :

Dans ce cas, aucun trafic ne sera transféré pour le groupe spécifié, mais tout le reste du trafic multicast sera transféré. Si vous ne souhaitez pas transférer de trafic multicast vers d’autres VTEP dans le VXLAN, entrez l’instruction suivante :

Utilisation d’un routeur MX Series, d’un commutateur EX9200 ou d’un commutateur QFX10000 en tant que VTEP

Vous pouvez configurer un routeur MX Series, un commutateur EX9200 ou un commutateur QFX10000 pour qu’il agisse comme un VTEP et remplisse tous les rôles suivants :

  • Agir comme une passerelle de couche 2 entre les réseaux virtualisés et non virtualisés dans le même centre de données ou entre les centres de données. Par exemple, vous pouvez utiliser un routeur MX Series pour connecter un réseau qui utilise des VXLAN à un réseau qui utilise des VLAN.

  • Agir comme une passerelle de couche 2 entre les réseaux virtualisés du même centre de données ou de centres de données différents et permettre aux machines virtuelles de se déplacer (VMotion) entre ces réseaux et centres de données.

  • Agir comme une passerelle de couche 3 pour acheminer le trafic entre différents VXLAN dans le même datacenter.

  • Agir comme une passerelle de couche 3 pour acheminer le trafic entre différents VXLAN dans différents centres de données sur un WAN ou sur Internet à l’aide de protocoles de routage standard ou de tunnels VPLS (Virtual Private LAN Service).

Note:

Si vous souhaitez que l’un des équipements décrits dans cette section soit une passerelle VXLAN de couche 3, vous devez configurer des interfaces de routage et de pontage intégrées (IRB) pour connecter les VXLAN, comme vous le faites si vous souhaitez acheminer le trafic entre les VLAN.

Les VXLAN manuels nécessitent un PIM

Dans un environnement avec un contrôleur (tel qu’un contrôleur VMware NSX ou Juniper Networks Contrail), vous pouvez provisionner des VXLAN sur un équipement Juniper Networks. Un contrôleur fournit également un plan de contrôle que les VTEP utilisent pour annoncer leur accessibilité et en savoir plus sur l’accessibilité des autres VTEP. Vous pouvez également créer manuellement des VXLAN sur les équipements Juniper Networks au lieu d’utiliser un contrôleur. Si vous utilisez cette approche, vous devez également configurer le multicast indépendant du protocole (PIM) sur les VTEP afin qu’ils puissent créer des tunnels VXLAN entre eux.

Vous devez également configurer chaque VTEP d’un VXLAN donné pour qu’il soit membre du même groupe de multidiffusion. (Si possible, vous devez attribuer une adresse de groupe multicast différente à chaque VXLAN, bien que cela ne soit pas obligatoire. Plusieurs VXLAN peuvent partager le même groupe de multidiffusion.) Les VTEP peuvent ensuite transférer les requêtes ARP qu’ils reçoivent de leurs hôtes connectés au groupe de multidiffusion. Les autres VTEP du groupe désencapsulent les informations VXLAN et (en supposant qu’ils soient membres du même VXLAN) ils transmettent la demande ARP à leurs hôtes connectés. Lorsque l’hôte cible reçoit la demande ARP, il répond avec son adresse MAC et son VTEP transmet cette réponse ARP au VTEP source. Grâce à ce processus, les VTEP apprennent les adresses IP des autres VTEP dans le VXLAN et les adresses MAC des hôtes connectés aux autres VTEP.

Les groupes et arborescences de multicast sont également utilisés pour transférer le trafic de diffusion, unicast inconnu et multicast (BUM) entre VTEP. Cela permet d’éviter que le trafic BUM ne soit inutilement inondé en dehors du VXLAN.

Note:

Le trafic multicast transféré via un tunnel VXLAN est envoyé uniquement aux VTEP distants du VXLAN. C’est-à-dire que le VTEP d’encapsulation ne copie pas et n’envoie pas de copies des paquets en fonction de l’arborescence de multidiffusion, il ne fait que transférer les paquets de multidiffusion reçus aux VTEP distants. Les VTEP distants désencapsulent les paquets multicast encapsulés et les transmettent aux interfaces de couche 2 appropriées.

Équilibrage de charge du trafic VXLAN

Les routes de couche 3 qui forment les tunnels VXLAN utilisent l’équilibrage de charge par paquet par défaut, ce qui signifie que l’équilibrage de charge est implémenté s’il existe des chemins ECMP vers le VTEP distant. Ceci est différent du comportement de routage normal dans lequel l’équilibrage de charge par paquet n’est pas utilisé par défaut. (Le routage normal utilise l’équilibrage de charge par préfixe par défaut.)

Le champ port source dans l’en-tête UDP est utilisé pour activer l’équilibrage de charge ECMP du trafic VXLAN dans le réseau de couche 3. Ce champ est défini sur un hachage des champs de paquets internes, ce qui génère une variable qu’ECMP peut utiliser pour distinguer les tunnels (flux).

Aucun des autres champs qu’ECMP basé sur les flux utilise normalement ne peut être utilisé avec des VXLAN. Tous les tunnels entre les deux mêmes VTEP ont les mêmes adresses IP source et de destination externes, et le port de destination UDP est défini sur le port 4789 par définition. Par conséquent, aucun de ces champs ne fournit un moyen suffisant pour ECMP de différencier les flux.

Activation des commutateurs QFX5120 pour tunneliser le trafic sur les interfaces RC et de couche 3 balisées et IRB

Note:

Cette section s’applique uniquement aux commutateurs QFX5120 exécutant Junos OS les versions 18.4R1, 18.4R2, 18.4R2-S1 à 18.4R2-S3, 19.1R1, 19.1R2, 19.2Rx et 19.3Rx.

Lorsqu’un commutateur QFX5120 tente de tunneliser le trafic sur des interfaces de couche 3 balisées ou des interfaces IRB orientées vers le centre, le commutateur abandonne les paquets. Pour éviter ce problème, vous pouvez configurer un pare-feu simple basé sur un filtre à deux termes sur l’interface avec balise de couche 3 ou IRB.

Note:

QFX5120 commutateurs prennent en charge un maximum de 256 pare-feu basés sur des filtres à double durée.

Par exemple :

Le terme 1 correspond et accepte le trafic destiné au commutateur QFX5210, qui est identifié par l'adresse IP VTEP source (192.168.0.1/24) attribuée à l'interface de bouclage du commutateur. Pour le terme 1, notez que lorsque vous spécifiez une action, vous pouvez également compter le trafic au lieu de l’accepter.

Le terme 2 correspond et transfère tout le reste du trafic de données à une instance de routage (route 1), qui est configurée sur l’interface et-0/0/3.

Dans cet exemple, notez que l’interface et-0/0/3 est référencée par l’instance de routage route1. Par conséquent, vous devez inclure la set firewall family inet filter vxlan100 term 2 then routing-instance route1 commande. Sans cette commande, le filtre de pare-feu ne fonctionnera pas correctement.

Utilisation de ping et traceroute avec un VXLAN

Sur les commutateurs QFX5100 et QFX5110, vous pouvez utiliser les ping commandes et pour résoudre les problèmes liés au flux de trafic dans un tunnel VXLAN en incluant le overlay paramètre et traceroute diverses options. Vous utilisez ces options pour forcer les ping paquets ou traceroute à suivre le même chemin que les paquets de données à travers le tunnel VXLAN. En d’autres termes, les paquets underlay (ping et traceroute) empruntent le même chemin que les paquets overlay (trafic de données). Pour plus d’informations, reportez-vous aux sections superposition ping et superposition traceroute.

Normes VXLAN prises en charge

RFC et brouillons Internet qui définissent les normes pour VXLAN :

  • RFC 7348, Virtual eXtensible Local Area Network (VXLAN) : Cadre pour la superposition de réseaux virtualisés de couche 2 sur des réseaux de couche 3

  • Internet draft draft-ietf-nvo3-vxlan-gpe, Extension de protocole générique pour VXLAN

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libération
Description
14.1X53-D30
Depuis Junos OS version 14.1X53-D30 pour les commutateurs QFX5100, Junos OS version 15.1X53-D210 pour les commutateurs QFX5110 et QFX5200, Junos OS version 18.1R1 pour les commutateurs QFX5210 et Junos OS version 18.2R1 pour les commutateurs EX4600, si vous savez qu’aucun récepteur de multicast n’est connecté à d’autres VTEP dans le VXLAN et qu’il n’y a pas de trafic pour un groupe de multicast spécifique, vous pouvez réduire la charge de traitement sur l’interface de bouclage
14.1X53-D25
À partir de Junos OS version 14.1X53-D25 sur les commutateurs QFX5100, Junos OS version 15.1X53-D210 sur les commutateurs QFX5110 et QFX5200, Junos OS version 18.1R1 sur les commutateurs QFX5210 et Junos OS version 18.2R1 sur les commutateurs EX4600, vous pouvez configurer le port UDP utilisé comme port de destination pour le trafic VXLAN.