VXLAN 이해하기

VXLAN 기술을 사용하면 VLAN과 같이 네트워크를 분할할 수 있지만 VLAN이 제공할 수 없는 이점을 제공합니다. VXLAN 사용의 가장 중요한 이점은 다음과 같습니다.

• 이론적으로 관리 도메인에서 최대 1,600만 개의 VXLAN을 생성할 수 있습니다(주니퍼 네트웍스 디바이스의 VLAN 4094개와 다름).

  • MX 시리즈 라우터와 EX9200 스위치는 최대 32,000개의 VXLAN, 32,000개의 멀티캐스트 그룹 및 8,000개의 가상 터널 엔드포인트(VTEP)를 지원합니다. 즉, MX 시리즈 라우터를 기반으로 하는 VXLAN은 클라우드 구축자가 다수의 테넌트를 지원하는 데 필요한 규모로 네트워크 세그먼테이션을 제공합니다.

  • QFX10000 시리즈 스위치는 4,000개의 VXLAN 및 2,000개의 원격 VTEP를 지원합니다.

  • QFX5100, QFX5110, QFX5200, QFX5210 및 EX4600 스위치는 4,000개의 VXLAN, 4,000개의 멀티캐스트 그룹 및 2,000개의 원격 VTEP를 지원합니다.

  • EX4300-48MP 스위치는 4000개의 VXLAN을 지원합니다.

• 계층 3 네트워크를 통해 트래픽을 터널링하여 별도의 계층 2 도메인에 있는 서버 간에 가상 시스템을 마이그레이션할 수 있습니다. 이 기능을 사용하면 레이어 2 경계의 제약을 받거나 대규모나 지리적으로 확장된 레이어 2 도메인을 생성해야 하는 필요 없이 데이터센터 내부 또는 간에 리소스를 동적으로 할당할 수 있습니다.

VXLAN을 사용하여 레이어 3 네트워크를 통해 연결된 더 작은 레이어 2 도메인을 생성한다는 것은 토폴로지를 통합하기 위해 STP(Spanning Tree Protocol)를 사용할 필요 없이 레이어 3 네트워크에서 더 강력한 라우팅 프로토콜을 사용할 수 있음을 의미합니다. STP가 없으면 링크가 차단되지 않으므로 구매한 모든 포트에서 전체 가치를 얻을 수 있습니다. 라우팅 프로토콜을 사용하여 레이어 2 도메인을 연결하면 트래픽 부하를 분산하여 사용 가능한 대역폭을 최대한 활용할 수 있습니다. 데이터센터 내부 또는 데이터 센터 간에 자주 발생하는 횡적 트래픽의 양을 감안할 때 해당 트래픽에 대한 네트워크 성능을 최대화하는 것이 매우 중요합니다.

데이터센터에서 오버레이 네트워크를 사용해야 하는 이유 동영상에서는 VXLAN 사용의 이점에 대해 간략히 설명합니다.

VXLAN은 종종 오버레이 기술로 설명되는데, 그 이유는 IP 주소가 포함된 VXLAN 패킷에 이더넷 프레임을 캡슐화(터널링)하여 중간 레이어 3 네트워크를 통해 레이어 2 연결을 확장할 수 있기 때문입니다. VXLAN을 지원하는 디바이스를 가상 터널 엔드포인트(VTEP)라고 하며, 엔드 호스트, 네트워크 스위치 또는 라우터가 될 수 있습니다. VTEP는 VXLAN 트래픽을 캡슐화하고 VXLAN 터널을 나갈 때 해당 트래픽의 캡슐화를 해제합니다. 이더넷 프레임을 캡슐화하기 위해 VTEP는 다음 필드를 포함한 여러 필드를 추가합니다.

• 외부 미디어 액세스 제어(MAC) 대상 주소(터널 엔드포인트 VTEP의 MAC 주소)

• 외부 MAC 소스 주소(터널 소스 VTEP의 MAC 주소)

• 외부 IP 대상 주소(터널 엔드포인트 VTEP의 IP 주소)

• 외부 IP 소스 주소(터널 소스 VTEP의 IP 주소)

• 외부 UDP 헤더

• VXLAN을 고유하게 식별하는 데 사용되는 VXLAN 네트워크 식별자(VNI)라고 하는 24비트 필드를 포함하는 VXLAN 헤더입니다. VNI는 VLAN ID와 유사하지만 24비트를 사용하면 VLAN보다 더 많은 VXLAN을 생성할 수 있습니다.

그림 1 은 VXLAN 패킷 형식을 보여줍니다.

그림 1: 가상 확장형 LAN(VXLAN) 패킷 형식

Junos OS는 다음 환경에서 VXLAN 구현을 지원합니다.

• 수동 VXLAN - 이 환경에서 주니퍼 네트웍스 디바이스는 VTEP 역할을 하는 다운스트림 디바이스의 전송 디바이스 또는 레이어 3 네트워크를 통해 통신하는 가상 머신(VM)을 호스팅하는 다운스트림 서버에 대한 연결을 제공하는 게이트웨이 역할을 합니다. 이 환경에서는 SDN(소프트웨어 정의 네트워킹) 컨트롤러가 배포되지 않습니다.

  참고:

  QFX10000 스위치는 수동 VXLAN을 지원하지 않습니다.

• OVSDB-VXLAN - 이 환경에서 SDN 컨트롤러는 OVSDB(Open vSwitch Database) 관리 프로토콜을 사용하여 컨트롤러(예: VMware NSX 또는 주니퍼 네트웍스 Contrail 컨트롤러)와 OVSDB를 지원하는 주니퍼 네트웍스 디바이스가 통신할 수 있는 수단을 제공합니다.

• EVPN-VXLAN—이 환경에서 EVPN(Ethernet VPN)은 호스트(물리적 서버 및 VM)를 네트워크의 아무 곳에나 배치하고 동일한 논리적 레이어 2 오버레이 네트워크에 연결된 상태를 유지할 수 있도록 하는 컨트롤 플레인 기술이며, VXLAN은 레이어 2 오버레이 네트워크를 위한 데이터 플레인을 생성합니다.

다음 역할을 모두 수행하도록 스위치를 구성할 수 있습니다.

• (EX4300-48MP를 제외한 모든 스위치) SDN 컨트롤러가 없는 환경에서는 VTEP 역할을 하는 다운스트림 호스트의 전송 레이어 3 스위치 역할을 합니다. 이 구성에서는 스위치에서 VXLAN 기능을 구성할 필요가 없습니다. 스위치가 VXLAN 멀티캐스트 그룹에 대한 멀티캐스트 트리를 형성할 수 있도록 IGMP 및 PIM을 구성해야 합니다. (자세한 내용은 수동 VXLAN에 PIM 필요 를 참조하십시오.)

• (EX4300-48MP를 제외한 모든 스위치) SDN 컨트롤러가 있거나 없는 환경에서 동일한 데이터센터에 있는 가상화된 네트워크와 가상화되지 않은 네트워크 사이 또는 데이터센터 간에 레이어 2 게이트웨이 역할을 합니다. 예를 들어, 스위치를 사용하여 VXLAN을 사용하는 네트워크를 VLAN을 사용하는 네트워크에 연결할 수 있습니다.

• (EX4300-48MP 스위치) 캠퍼스 네트워크에서 가상화된 네트워크와 가상화되지 않은 네트워크 간의 레이어 2 게이트웨이 역할을 합니다. 예를 들어, 스위치를 사용하여 VXLAN을 사용하는 네트워크를 VLAN을 사용하는 네트워크에 연결할 수 있습니다.

• (EX4300-48MP를 제외한 모든 스위치) 동일하거나 다른 데이터센터에 있는 가상화된 네트워크 간에 레이어 2 게이트웨이 역할을 하며 해당 네트워크와 데이터센터 간에 가상 머신이 이동(VMotion)할 수 있도록 합니다. 예를 들어 서로 다른 두 네트워크에 있는 디바이스 간에 VMotion을 허용하려는 경우 두 네트워크에서 동일한 VLAN을 생성하고 두 디바이스를 해당 VLAN에 배치할 수 있습니다. VTEP 역할을 하는 이러한 디바이스에 연결된 스위치는 해당 VLAN을 동일한 VXLAN에 매핑할 수 있으며, 그런 다음 두 네트워크 간에 VXLAN 트래픽을 라우팅할 수 있습니다.

• (EVPN-VXLAN이 있는 QFX5110 및 QFX5120 스위치) 동일한 데이터센터에 있는 여러 VXLAN 간에 트래픽을 라우팅하는 레이어 3 게이트웨이 역할을 합니다.

• (EVPN-VXLAN이 있는 QFX5110 및 QFX5120 스위치) 표준 라우팅 프로토콜 또는 VPLS(Virtual Private LAN Service) 터널을 사용하여 WAN 또는 인터넷을 통해 서로 다른 데이터센터의 여러 VXLAN 간에 트래픽을 라우팅하는 레이어 3 게이트웨이 역할을 합니다.

추가 헤더가 50바이트에서 54바이트를 추가하기 때문에 더 큰 패킷을 수용하려면 VTEP에서 MTU를 늘려야 할 수도 있습니다. 예를 들어, 스위치가 기본 최대 전송 단위(MTU) 값인 1514바이트를 사용하고 VXLAN을 통해 1500바이트 패킷을 전달하려는 경우, 추가 헤더로 인해 패킷 크기가 증가할 수 있도록 MTU를 늘려야 합니다.

QFX5100 스위치의 Junos OS 릴리스 14.1X53-D25, QFX5110 및 QFX5200 스위치의 Junos OS 릴리스 15.1X53-D210, QFX5210 스위치의 Junos OS 릴리스 18.1R1, EX4600 스위치의 Junos OS 릴리스 18.2R1부터 VXLAN 트래픽의 대상 포트로 사용되는 UDP 포트를 구성할 수 있습니다. VXLAN 대상 포트를 기본 UDP 포트 4789가 아닌 다른 포트로 구성하려면 다음 명령문을 입력합니다.

set protocols l2-learning destination-udp-port port-number

구성한 포트는 스위치에 구성된 모든 VXLAN에 사용됩니다.

VTEP 역할을 하는 스위치가 브로드캐스트, 알 수 없는 유니캐스트 또는 멀티캐스트 패킷을 수신하면 패킷에 대해 다음과 같은 작업을 수행합니다.

1. 패킷의 캡슐화를 해제하고 로컬로 연결된 호스트로 전달합니다.

2. 그런 다음 VXLAN 캡슐화를 다시 추가하고 패킷을 VXLAN의 다른 VTEP로 보냅니다.

이러한 작업은 VXLAN 터널 주소로 사용되는 루프백 인터페이스에 의해 수행되므로 VTEP에서 사용할 수 있는 대역폭에 부정적인 영향을 미칠 수 있습니다. QFX5100 스위치용 Junos OS 릴리스 14.1X53-D30, QFX5110 및 QFX5200 스위치용 Junos OS 릴리스 15.1X53-D210, QFX5210 스위치용 Junos OS 릴리스 18.1R1, EX4600 스위치용 Junos OS 릴리스 18.2R1부터 시작하여, 특정 멀티캐스트 그룹에 대한 트래픽을 원하는 VXLAN의 다른 VTEP에 연결된 멀티캐스트 수신기가 없다는 것을 알고 있는 경우, 다음 문을 입력하여 루프백 인터페이스의 처리 부하를 줄일 수 있습니다.

이 경우 지정된 그룹에 대한 트래픽은 전달되지 않지만 다른 모든 멀티캐스트 트래픽은 전달됩니다. VXLAN의 다른 VTEP로 멀티캐스트 트래픽을 전달하지 않으려면 다음 문을 입력합니다.

MX 시리즈 라우터, EX9200 스위치 또는 QFX10000 스위치를 VTEP로 구성하고 다음 역할을 모두 수행할 수 있습니다.

• 동일한 데이터센터에 있는 가상화된 네트워크와 가상화되지 않은 네트워크 사이 또는 데이터센터 간에 레이어 2 게이트웨이 역할을 합니다. 예를 들어, MX 시리즈 라우터를 사용하여 VXLAN을 사용하는 네트워크를 VLAN을 사용하는 네트워크에 연결할 수 있습니다.

• 동일하거나 다른 데이터센터에 있는 가상화된 네트워크 간에 레이어 2 게이트웨이 역할을 하며 해당 네트워크와 데이터센터 간에 가상 머신이 이동(VMotion)할 수 있도록 합니다.

• 동일한 데이터센터에 있는 여러 VXLAN 간에 트래픽을 라우팅하는 레이어 3 게이트웨이 역할을 합니다.

• 표준 라우팅 프로토콜 또는 VPLS(Virtual Private LAN Service) 터널을 사용하여 WAN 또는 인터넷을 통해 서로 다른 데이터센터의 여러 VXLAN 간에 트래픽을 라우팅하는 레이어 3 게이트웨이 역할을 합니다.

컨트롤러가 있는 환경(예: VMware NSX 또는 주니퍼 네트웍스 Contrail 컨트롤러)에서는 주니퍼 네트웍스 디바이스에 VXLAN을 프로비저닝할 수 있습니다. 컨트롤러는 또한 VTEP가 도달 가능성을 광고하고 다른 VTEP의 도달 가능성에 대해 학습하는 데 사용하는 컨트롤 플레인을 제공합니다. 컨트롤러를 사용하는 대신 주니퍼 네트웍스 디바이스에서 VXLAN을 수동으로 생성할 수도 있습니다. 이 접근 방식을 사용하는 경우 VTEP에서 PIM(Protocol Independent Multicast)을 구성하여 VTEP 간에 VXLAN 터널을 생성할 수 있도록 해야 합니다.

또한 지정된 VXLAN의 각 VTEP를 동일한 멀티캐스트 그룹의 멤버로 구성해야 합니다. (가능하면 각 VXLAN에 다른 멀티캐스트 그룹 주소를 할당해야 합니다. 필수는 아닙니다. 여러 VXLAN이 동일한 멀티캐스트 그룹을 공유할 수 있습니다.) 그런 다음 VTEP는 연결된 호스트에서 수신한 ARP 요청을 멀티캐스트 그룹으로 전달할 수 있습니다. 그룹 내 다른 VTEP는 VXLAN 정보를 캡슐화 해제하고 (동일한 VXLAN의 멤버라고 가정) ARP 요청을 연결된 호스트로 전달합니다. 대상 호스트가 ARP 요청을 수신하면 MAC 주소로 응답하고 VTEP는 이 ARP 응답을 소스 VTEP로 다시 전달합니다. 이 프로세스를 통해 VTEP는 VXLAN에 있는 다른 VTEP의 IP 주소와 다른 VTEP에 연결된 호스트의 MAC 주소를 학습합니다.

멀티캐스트 그룹과 트리는 VTEP 간에 브로드캐스트, 알 수 없는 유니캐스트 및 멀티캐스트(BUM) 트래픽을 전달하는 데에도 사용됩니다. 이를 통해 BUM 트래픽이 VXLAN 외부로 불필요하게 플러딩되는 것을 방지할 수 있습니다.

VXLAN 터널을 형성하는 레이어 3 경로는 기본적으로 패킷당 로드 밸런싱을 사용하며, 이는 원격 VTEP에 대한 ECMP 경로가 있는 경우 로드 밸런싱이 구현됨을 의미합니다. 이는 패킷당 로드 밸런싱이 기본적으로 사용되지 않는 일반적인 라우팅 동작과 다릅니다. (일반 라우팅은 기본적으로 접두사별 로드 밸런싱을 사용합니다.)

UDP 헤더의 소스 포트 필드는 레이어 3 네트워크에서 VXLAN 트래픽의 ECMP 로드 밸런싱을 활성화하는 데 사용됩니다. 이 필드는 내부 패킷 필드의 해시로 설정되며, 그 결과 ECMP가 터널(플로우)을 구별하는 데 사용할 수 있는 변수가 생성됩니다.

플로우 기반 ECMP가 일반적으로 사용하는 다른 필드는 VXLAN과 함께 사용하기에 적합하지 않습니다. 동일한 두 VTEP 사이의 모든 터널은 동일한 외부 소스 및 대상 IP 주소를 가지며, UDP 대상 포트는 정의에 따라 포트 4789로 설정됩니다. 따라서 이러한 필드 중 어느 것도 ECMP가 플로우를 구별할 수 있는 충분한 방법을 제공하지 않습니다.

QFX5120 스위치가 코어 대면 레이어 3 태그 처리된 인터페이스 또는 IRB 인터페이스에서 트래픽을 터널링하려고 시도하면 스위치는 패킷을 삭제합니다. 이 문제를 방지하기 위해 레이어 3 태그 지정 또는 IRB 인터페이스에서 간단한 2항 필터 기반 방화벽을 구성할 수 있습니다.

예를 들어:

용어 1은 스위치의 루프백 인터페이스에 할당된 소스 VTEP IP 주소(192.168.0.1/24)로 식별되는 QFX5210 스위치로 향하는 트래픽을 일치시키고 수락합니다. 용어 1의 경우, 작업을 지정할 때 트래픽을 수락하는 대신 카운트할 수도 있습니다.

용어 2는 다른 모든 데이터 트래픽을 일치시키고 인터페이스 et-0/0/3으로 구성된 라우팅 인스턴스(경로 1)로 전달합니다.

이 예에서 인터페이스 et-0/0/3은 라우팅 인스턴스 route1에 의해 참조됩니다. 따라서 명령을 포함해야 set firewall family inet filter vxlan100 term 2 then routing-instance route1 합니다. 이 명령이 없으면 방화벽 필터가 제대로 작동하지 않습니다.

QFX5100 및 QFX5110 스위치에서 및 traceroute 명령을 사용하여 ping 매개 변수와 다양한 옵션을 포함하여 overlay VXLAN 터널을 통과하는 트래픽 플로우 문제를 해결할 수 있습니다. 이러한 옵션을 사용하여 또는 traceroute 패킷이 VXLAN 터널을 통과하는 데이터 패킷과 동일한 경로를 따르도록 할 ping 수 있습니다. 즉, 언더레이 패킷(ping및 traceroute)이 오버레이 패킷(데이터 트래픽)과 동일한 경로를 사용하도록 합니다. 자세한 내용은 ping overlay 및 traceroute overlay 를 참조하십시오.

VXLAN에 대한 표준을 정의하는 RFC 및 인터넷 초안:

• RFC 7348, 가상 확장형 로컬 영역 네트워크(VXLAN): 레이어 3 네트워크 위에 가상화된 레이어 2 네트워크를 오버레이하기 위한 프레임워크

• 인터넷 초안 draft-ietf-nvo3-vxlan-gpe, VXLAN용 일반 프로토콜 확장