Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre les VXLAN

La technologie VXLAN (Virtual Extensible LAN Protocol) permet aux réseaux de prendre en charge davantage de VLAN. Selon la norme IEEE 802.1Q, les identifiants VLAN traditionnels ont une longueur de 12 bits, ce nom limite les réseaux à 4 094 VLAN. Le protocole VXLAN surmonte cette limitation en utilisant un identifiant de réseau logique plus long qui permet plus de VLAN et, par conséquent, une isolation plus logique du réseau pour les grands réseaux tels que les clouds qui comprennent généralement de nombreuses machines virtuelles.

Avantages VXLAN

La technologie VXLAN vous permet de segmenter vos réseaux (comme le font les VLAN), mais elle offre des avantages que les VLAN ne peuvent pas. Voici les avantages les plus importants de l’utilisation des VXLAN :

  • Vous pouvez théoriquement créer jusqu’à 16 millions de VXLAN dans un domaine administratif (contre 4 094 VLAN sur un équipement Juniper Networks).

    • Les routeurs MX Series et les commutateurs EX9200 prennent en charge jusqu’à 32 000 VXLAN, 32 000 groupes multicast et 8 000 points de terminaison de tunnel virtuel (VTEP). Cela signifie que les VXLAN basés sur les routeurs MX Series permettent une segmentation du réseau à l’échelle requise par les constructeurs cloud pour prendre en charge un très grand nombre de locataires.

    • Les commutateurs QFX10000 Series prennent en charge 4 000 VXLAN et 2 000 VTEP distants.

    • Les commutateurs QFX5100, QFX5110, QFX5200, QFX5210 et EX4600 prennent en charge 4 000 VXLAN, 4 000 groupes multicast et 2 000 VTEP distants.

    • Les commutateurs EX4300-48MP prennent en charge 4 000 VXLAN.

  • Vous pouvez activer la migration des machines virtuelles entre des serveurs qui existent dans des domaines de couche 2 distincts en tunnelisant le trafic sur les réseaux de couche 3. Cette fonctionnalité vous permet d’allouer dynamiquement des ressources au sein ou entre les centres de données sans être limité par les frontières de couche 2 ou être contraint de créer des domaines de couche 2 vastes ou géographiquement étendus.

L’utilisation de VXLAN pour créer des domaines de couche 2 plus petits connectés sur un réseau de couche 3 signifie que vous n’avez pas besoin d’utiliser le protocole STP (Spanning Tree Protocol) pour faire converger la topologie, mais que vous pouvez utiliser des protocoles de routage plus robustes dans le réseau de couche 3 à la place. En l’absence de STP, aucune de vos liaisons n’est bloquée, ce qui signifie que vous pouvez tirer toute la valeur de tous les ports que vous achetez. L’utilisation de protocoles de routage pour connecter vos domaines de couche 2 vous permet également d’équilibrer la charge du trafic afin de vous assurer que vous obtenez la meilleure utilisation de votre bande passante disponible. Étant donné la quantité de trafic est-ouest qui circule souvent à l’intérieur ou entre les centres de données, il est très important d’optimiser les performances de votre réseau pour ce trafic.

La vidéo Pourquoi utiliser un réseau overlay dans un centre de données ? présente brièvement les avantages des VXLAN.

Comment fonctionne VXLAN ?

VXLAN est souvent décrit comme une technologie de superposition, car elle vous permet d’étendre les connexions de couche 2 sur un réseau de couche 3 intermédiaire en encapsulant (tunnelisant) des trames Ethernet dans un paquet VXLAN qui comprend des adresses IP. Les équipements qui prennent en charge les VXLAN sont appelés points de terminaison de tunnel virtuel (VTEP) : ils peuvent être des hôtes finaux, des commutateurs ou des routeurs réseau. Les VTEP encapsulent le trafic VXLAN et le déscapsulent lorsqu’il quitte le tunnel VXLAN. Pour encapsuler une trame Ethernet, les VTEP ajoutent un certain nombre de champs, notamment les champs suivants :

  • Adresse de destination MAC (Outer Media Access Control) (adresse MAC du terminal de tunnel VTEP)

  • Adresse SOURCE MAC externe (adresse MAC du tunnel source VTEP)

  • Adresse IP externe de destination (adresse IP du terminal VTEP du tunnel)

  • Adresse IP externe (adresse IP du tunnel source VTEP)

  • En-tête UDP externe

  • Un en-tête VXLAN comprenant un champ 24 bits, appelé identifiant de réseau VXLAN (VNI), utilisé pour identifier le VXLAN de manière unique. Le VNI est similaire à un ID VLAN, mais avoir 24 bits vous permet de créer beaucoup plus de VXLAN que de VLAN.

Note:

Étant donné que VXLAN ajoute 50 à 54 octets d’informations d’en-tête supplémentaires à la trame Ethernet d’origine, vous pouvez augmenter le MTU du réseau sous-jacent. Dans ce cas, configurez la MTU des interfaces physiques qui participent au réseau VXLAN, et non la MTU de l’interface source VTEP logique, qui est ignorée.

La figure 1 montre le format de paquet VXLAN.

Figure 1 : format VXLAN Packet Format de paquet VXLAN

Méthodes d’implémentation VXLAN

Junos OS prend en charge l’implémentation de VXLAN dans les environnements suivants :

  • VXLAN manuel : dans cet environnement, un équipement Juniper Networks agit comme un équipement de transit pour les équipements en aval agissant comme des VTEP, ou une passerelle qui fournit la connectivité aux serveurs en aval qui hébergent des machines virtuelles (VM) qui communiquent sur un réseau de couche 3. Dans cet environnement, les contrôleurs SDN (Software-Defined Networking) ne sont pas déployés.

    Note:

    Les commutateurs QFX10000 ne prennent pas en charge les VXLAN manuels.

  • OVSDB-VXLAN : dans cet environnement, les contrôleurs SDN utilisent le protocole de gestion OVSDB (Open vSwitch Database) pour fournir un moyen par lequel les contrôleurs (tels qu’un contrôleur VMware NSX ou Juniper Networks Contrail) et les équipements Juniper Networks compatibles OVSDB peuvent communiquer.

  • EVPN-VXLAN : dans cet environnement, ethernet VPN (EVPN) est une technologie de plan de contrôle qui permet de placer des hôtes (serveurs physiques et VM) n’importe où dans un réseau et de rester connectés au même réseau de superposition logique de couche 2, et VXLAN crée le plan de données pour le réseau overlay de couche 2.

Utilisation des commutateurs QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4300-48MP et EX4600 avec VXLAN

Vous pouvez configurer les commutateurs pour qu’ils remplissent tous les rôles suivants :

  • (Tous les commutateurs sauf EX4300-48MP) Dans un environnement sans contrôleur SDN, agissez comme un commutateur de couche 3 de transit pour les hôtes en aval agissant comme des VTEP. Dans cette configuration, vous n’avez pas besoin de configurer une fonctionnalité VXLAN sur le commutateur. Vous devez configurer IGMP et PIM pour que le commutateur puisse former les arbres multicast pour les groupes de multicast VXLAN. (Voir VXLAN manuels Nécessitent un PIM pour plus d’informations.)

  • (Tous les commutateurs sauf EX4300-48MP) Dans un environnement avec ou sans contrôleur SDN, agissez comme une passerelle de couche 2 entre les réseaux virtualisés et non virtualisés dans le même centre de données ou entre les centres de données. Par exemple, vous pouvez utiliser le commutateur pour connecter un réseau qui utilise des VXLAN à un réseau qui utilise des VLAN.

  • (commutateurs EX4300-48MP) Agir comme une passerelle de couche 2 entre les réseaux virtualisés et non virtualisés dans un réseau de campus. Par exemple, vous pouvez utiliser le commutateur pour connecter un réseau qui utilise des VXLAN à un réseau qui utilise des VLAN.

  • (Tous les commutateurs sauf EX4300-48MP) Agir comme une passerelle de couche 2 entre les réseaux virtualisés dans un même datacenter ou différents et permettre aux machines virtuelles de se déplacer (VMotion) entre ces réseaux et les centres de données. Par exemple, si vous souhaitez autoriser VMotion entre les équipements de deux réseaux différents, vous pouvez créer le même VLAN dans les deux réseaux et placer les deux équipements sur ce VLAN. Les commutateurs connectés à ces équipements, agissant en tant que VTEP, peuvent mapper ce VLAN au même VXLAN, et le trafic VXLAN peut ensuite être acheminé entre les deux réseaux.

  • (commutateurs QFX5110 et QFX5120 avec EVPN-VXLAN) Agissez comme une passerelle de couche 3 pour acheminer le trafic entre différents VXLAN dans le même centre de données.

  • (commutateurs QFX5110 et QFX5120 avec EVPN-VXLAN) Agissez comme une passerelle de couche 3 pour acheminer le trafic entre différents VXLAN de différents centres de données sur un WAN ou Internet à l’aide de protocoles de routage standard ou de tunnels VPLS (Virtual Private LAN Service).

Note:

Si vous voulez qu’un commutateur QFX5110 ou QFX5120 soit une passerelle VXLAN de couche 3 dans un environnement EVPN-VXLAN, vous devez configurer des interfaces de routage et de pontage intégrés (IRB) pour connecter les VXLAN, comme vous le faites si vous souhaitez acheminer le trafic entre VLAN.

Étant donné que les en-têtes supplémentaires ajoutent 50 à 54 octets, vous devrez peut-être augmenter la MTU sur un VTEP pour accueillir des paquets plus importants. Par exemple, si le commutateur utilise la valeur MTU par défaut de 1 514 octets et que vous souhaitez transférer des paquets de 1 500 octets sur le VXLAN, vous devez augmenter le MTU pour permettre l’augmentation de la taille des paquets causée par les en-têtes supplémentaires.

Modification du port UDP sur les commutateurs QFX5100, QFX5110, QFX5200, QFX5210 et EX4600

À partir de la version 14.1X53-D25 de Junos OS sur les commutateurs QFX5100, Junos OS Version 15.1X53-D210 sur les commutateurs QFX5110 et QFX5200, Junos OS Version 18.1R1 sur les commutateurs QFX5210 et Junos OS Version 18.2R1 sur les commutateurs EX4600, vous pouvez configurer le port UDP utilisé comme port de destination pour le trafic VXLAN. Pour configurer le port de destination VXLAN comme autre chose que le port UDP par défaut de 4789, saisissez l’instruction suivante :

set protocols l2-learning destination-udp-port port-number

Le port que vous configurez sera utilisé pour tous les VXLAN configurés sur le commutateur.

Note:

Si vous réalisez cette modification sur un commutateur d’un VXLAN, vous devez effectuer la même modification sur tous les équipements qui terminent les VXLAN configurés sur votre commutateur. Si vous ne le faites pas, le trafic sera interrompu pour tous les VXLAN configurés sur votre commutateur. Lorsque vous modifiez le port UDP, les VTEP distants et les MAC distants précédemment appris sont perdus et le trafic VXLAN est interrompu jusqu’à ce que le commutateur réapprendre les VTEP distants et les MAC distants.

Contrôle du trafic multicast de transit sur les commutateurs QFX5100, QFX5110, QFX5200, QFX5210 et EX4600

Lorsque le commutateur agissant en tant que VTEP reçoit un paquet de diffusion, d’unicast inconnu ou de multicast, il effectue les actions suivantes sur le paquet :

  1. Il déscapsule le paquet et le transmet aux hôtes locaux.

  2. Il ajoute à nouveau l’encapsulation VXLAN et envoie le paquet aux autres VTEP du VXLAN.

Ces actions sont exécutées par l’interface de bouclage utilisée comme adresse de tunnel VXLAN et peuvent, par conséquent, avoir un impact négatif sur la bande passante disponible pour le VTEP. À partir de Junos OS version 14.1X53-D30 pour les commutateurs QFX5100, junos OS version 15.1X53-D210 pour les commutateurs QFX5110 et QFX5200, Junos OS Version 18.1R1 pour les commutateurs QFX5210 et Junos OS Version 18.2R1 pour les commutateurs EX4600, si vous savez qu’aucun récepteur multicast connecté à d’autres VTEP dans le VXLAN ne veut du trafic pour un groupe de multicast spécifique, vous pouvez réduire la charge de traitement sur l’interface de bouclage en entrant l’instruction suivante :

Dans ce cas, aucun trafic ne sera transféré pour le groupe spécifié, mais tous les autres trafics multicast seront transférés. Si vous ne souhaitez pas transférer de trafic multicast vers d’autres VTEP dans le VXLAN, saisissez l’instruction suivante :

Utiliser un routeur MX Series, un commutateur EX9200 ou un commutateur QFX10000 en tant que VTEP

Vous pouvez configurer un routeur MX Series, un commutateur EX9200 ou un commutateur QFX10000 pour agir comme un VTEP et remplir tous les rôles suivants :

  • Agissez comme une passerelle de couche 2 entre les réseaux virtualisés et non virtuels dans le même centre de données ou entre les centres de données. Par exemple, vous pouvez utiliser un routeur MX Series pour connecter un réseau qui utilise des VXLAN à un réseau qui utilise des VLAN.

  • Agir comme une passerelle de couche 2 entre les réseaux virtualisés dans un même datacenter ou différents et permettre aux machines virtuelles de se déplacer (VMotion) entre ces réseaux et les centres de données.

  • Agissez comme une passerelle de couche 3 pour acheminer le trafic entre différents VXLAN dans le même centre de données.

  • Agissez comme une passerelle de couche 3 pour acheminer le trafic entre différents VXLAN de différents centres de données sur un WAN ou Internet à l’aide de protocoles de routage standard ou de tunnels VPLS (Virtual Private LAN Service).

Note:

Si vous souhaitez que l’un des équipements décrits dans cette section soit une passerelle VXLAN de couche 3, vous devez configurer des interfaces de routage et de pontage intégrés (IRB) pour connecter les VXLAN, tout comme vous le faites si vous souhaitez acheminer le trafic entre VLAN.

VXLAN manuels nécessitent un PIM

Dans un environnement doté d’un contrôleur (tel qu’un contrôleur VMware NSX ou Juniper Networks Contrail), vous pouvez provisionner des VXLAN sur un équipement Juniper Networks. Un contrôleur fournit également un plan de contrôle que les VTEP utilisent pour annoncer leur accessibilité et en savoir plus sur l’accessibilité des autres VTEP. Vous pouvez également créer manuellement des VXLAN sur les équipements Juniper Networks au lieu d’utiliser un contrôleur. Si vous utilisez cette approche, vous devez également configurer le protocole PIM (Protocol Independent Multicast) sur les VTEP afin qu’ils puissent créer des tunnels VXLAN entre eux.

Vous devez également configurer chaque VTEP dans un VXLAN donné pour qu’il soit membre du même groupe multicast. (Si possible, vous devez attribuer une adresse de groupe multicast différente à chaque VXLAN, bien que cela ne soit pas requis. Plusieurs VXLAN peuvent partager le même groupe multicast.) Les VTEP peuvent ensuite transférer les requêtes ARP qu’ils reçoivent de leurs hôtes connectés vers le groupe multicast. Les autres VTEP du groupe encapsulent les informations VXLAN et (en supposant qu’ils sont membres du même VXLAN) ils transfèrent la demande ARP à leurs hôtes connectés. Lorsque l’hôte cible reçoit la requête ARP, il répond avec son adresse MAC, et son VTEP transfère cette réponse ARP vers le VTEP source. Grâce à ce processus, les VTEP apprennent les adresses IP des autres VTEP dans le VXLAN et les adresses MAC des hôtes connectés aux autres VTEP.

Les groupes et les arbres multicast sont également utilisés pour transférer le trafic broadcast, unicast inconnu et multicast (BUM) entre les VTEP. Cela évite que le trafic BUM ne soit inutilement inondé en dehors du VXLAN.

Note:

Le trafic multicast transféré via un tunnel VXLAN est envoyé uniquement aux VTEP distants du VXLAN. En d’autres termes, le VTEP encapsulant ne copie pas et n’envoie pas de copies des paquets selon l’arbre de multicast: il transfère uniquement les paquets multicast reçus aux VTEP distants. Les VTEP distants encapsulent les paquets multicast encapsulés et les transfèrent aux interfaces de couche 2 appropriées.

Équilibrage de charge du trafic VXLAN

Les routes de couche 3 qui forment les tunnels VXLAN utilisent l’équilibrage de charge par paquet par défaut, ce qui signifie que l’équilibrage de charge est mis en œuvre s’il existe des chemins ECMP vers le VTEP distant. Ceci est différent du comportement de routage normal dans lequel l’équilibrage de charge par paquet n’est pas utilisé par défaut. (Le routage normal utilise par défaut un équilibrage de charge par préfixe.)

Le champ de port source dans l’en-tête UDP permet d’équilibrer la charge ECMP du trafic VXLAN du réseau de couche 3. Ce champ est défini sur un hachage des champs de paquets internes, ce qui donne une variable qu’ECMP peut utiliser pour distinguer les tunnels (flux).

Aucun des autres domaines utilisés par ECMP basé sur les flux n’est adapté aux VXLAN. Tous les tunnels entre les deux mêmes VTEP ont les mêmes adresses IP externes source et de destination, et le port de destination UDP est défini sur le port 4789 par définition. Par conséquent, aucun de ces domaines ne permet à l’ECMP de différencier les flux.

Activation des commutateurs QFX5120 pour tunneliser le trafic sur les interfaces de couche 3 et IRB orientées vers le cœur

Note:

Cette section s’applique uniquement aux commutateurs QFX5120 exécutant junos OS versions 18.4R1, 18.4R2, 18.4R2-S1 à 18.4R2-S3, 19.1R1, 19.1R2, 19.2Rx et 19.3Rx.

Lorsqu’un commutateur QFX5120 tente de tunneliser le trafic sur des interfaces de couche 3 ou IRB orientées vers le cœur, le commutateur abandonne les paquets. Pour éviter ce problème, vous pouvez configurer un pare-feu simple à deux termes basé sur des filtres sur l’interface IRB ou de couche 3.

Note:

Les commutateurs QFX5120 prennent en charge un maximum de 256 pare-feu à filtres à deux termes.

Par exemple :

La clause 1 correspond et accepte le trafic destiné au commutateur QFX5210, identifié par l'adresse IP VTEP source (192.168.0.1/24) affectée à l'interface de bouclage du commutateur. Pour le terme 1, notez que lorsque vous spécifiez une action, vous pouvez également compter le trafic au lieu de l’accepter.

La clause 2 correspond et transfère tout le trafic de données vers une instance de routage (route 1), qui est configurée interface et-0/0/3.

Dans cet exemple, notez que l’interface et-0/0/3 est référencée par routage d’instance route1. Par conséquent, vous devez inclure la set firewall family inet filter vxlan100 term 2 then routing-instance route1 commande. Sans cette commande, le filtre de pare-feu ne fonctionnera pas correctement.

Utilisation de ping et de traceroute avec un VXLAN

Sur les commutateurs QFX5100 et QFX5110, vous pouvez utiliser les commandes and traceroute pour dépanner le ping flux de trafic via un tunnel VXLAN en incluant le overlay paramètre et diverses options. Vous utilisez ces options pour forcer le ping ou traceroute les paquets à suivre le même chemin que les paquets de données via le tunnel VXLAN. En d’autres termes, vous faites que les paquets sous-jacents (pinget traceroute) empruntent le même chemin que les paquets overlay (trafic de données). Pour plus d’informations, consultez l’overlay ping et l’overlay traceroute.

Normes VXLAN prises en charge

RFC et projets Internet qui définissent des normes pour VXLAN :

  • RFC 7348, Virtual eXtensible Local Area Network (VXLAN) : une infrastructure pour la superposition de réseaux virtualisés de couche 2 sur des réseaux de couche 3

  • Projet Internet draft-ietf-nvo3-vxlan-gpe, Extension de protocole générique pour VXLAN

Tableau de l’historique des versions
Libération
Description
14.1X53-D30
À partir de Junos OS version 14.1X53-D30 pour les commutateurs QFX5100, junos OS version 15.1X53-D210 pour les commutateurs QFX5110 et QFX5200, Junos OS Version 18.1R1 pour les commutateurs QFX5210 et Junos OS Version 18.2R1 pour les commutateurs EX4600, si vous savez qu’aucun récepteur multicast connecté à d’autres VTEP dans le VXLAN ne veut du trafic pour un groupe de multicast spécifique, vous pouvez réduire la charge de traitement sur l’interface de bouclage
14.1X53-D25
À partir de la version 14.1X53-D25 de Junos OS sur les commutateurs QFX5100, Junos OS Version 15.1X53-D210 sur les commutateurs QFX5110 et QFX5200, Junos OS Version 18.1R1 sur les commutateurs QFX5210 et Junos OS Version 18.2R1 sur les commutateurs EX4600, vous pouvez configurer le port UDP utilisé comme port de destination pour le trafic VXLAN.