Descripción de las VXLAN
La tecnología de protocolo LAN extensible virtual (VXLAN) permite que las redes admitan más VLAN. Según el estándar IEEE 802.1Q, los identificadores VLAN tradicionales tienen 12 bits de longitud, lo que limita las redes a 4094 VLAN. El protocolo VXLAN supera esta limitación mediante el uso de un identificador de red lógico más largo que permite más VLAN y, por lo tanto, un mayor aislamiento de red lógico para redes grandes, como nubes que suelen incluir muchas máquinas virtuales.
Beneficios de VXLAN
La tecnología VXLAN le permite segmentar sus redes (como lo hacen las VLAN), pero ofrece beneficios que las VLAN no pueden. Estos son los beneficios más importantes de usar VXLAN:
En teoría, puede crear hasta 16 millones de VXLAN en un dominio administrativo (en lugar de 4094 VLAN en un dispositivo de Juniper Networks).
Los enrutadores de la serie MX y los conmutadores EX9200 admiten hasta 32 000 VXLAN, 32 000 grupos de multidifusión y 8000 puntos de conexión de túnel virtual (VTEP). Esto significa que las VXLAN basadas en enrutadores serie MX proporcionan segmentación de red a la escala que requieren los creadores de nube para admitir un gran número de inquilinos.
Los conmutadores de la serie QFX10000 admiten 4000 VXLAN y 2000 VTEP remotos.
Los conmutadores QFX5100, QFX5110, QFX5200, QFX5210 y EX4600 admiten 4000 VXLAN, 4000 grupos de multidifusión y 2000 VTEP remotos.
Los conmutadores EX4300-48MP admiten 4000 VXLAN.
Puede habilitar la migración de máquinas virtuales entre servidores que existen en dominios de capa 2 independientes mediante la tunelización del tráfico a través de redes de capa 3. Esta funcionalidad le permite asignar recursos de manera dinámica dentro o entre centros de datos sin verse limitado por los límites de la capa 2 o verse obligado a crear dominios de capa 2 grandes o geográficamente extendidos.
El uso de VXLAN para crear dominios de capa 2 más pequeños que se conectan a través de una red de capa 3 significa que no necesita usar el protocolo de árbol de expansión (STP) para converger la topología, pero puede usar protocolos de enrutamiento más sólidos en la red de capa 3 en su lugar. En ausencia de STP, ninguno de sus vínculos se bloquea, lo que significa que puede obtener el valor total de todos los puertos que compra. El uso de protocolos de enrutamiento para conectar sus dominios de capa 2 también le permite equilibrar la carga del tráfico para garantizar el mejor uso del ancho de banda disponible. Dada la cantidad de tráfico de este a oeste que a menudo fluye dentro o entre centros de datos, maximizar el rendimiento de su red para ese tráfico es muy importante.
El video ¿Por qué usar una red superpuesta en un centro de datos? presenta una breve descripción de las ventajas de usar VXLAN.
¿Cómo funciona VXLAN?
A menudo, se describe VXLAN como una tecnología de superposición, ya que le permite extender las conexiones de capa 2 a través de una red de capa 3 intermedia mediante la encapsulación (tunelización) de tramas Ethernet en un paquete VXLAN que incluye direcciones IP. Los dispositivos que admiten VXLAN se denominan puntos de conexión de túnel virtual (VTEP); pueden ser hosts finales, conmutadores de red o enrutadores. Los VTEP encapsulan el tráfico de VXLAN y desencapsulan ese tráfico cuando salen del túnel VXLAN. Para encapsular una trama Ethernet, los VTEP agregan varios campos, incluidos los siguientes:
Dirección de destino del control de acceso a medios (MAC) externo (dirección MAC del punto de conexión del túnel VTEP)
Dirección MAC de origen externa (dirección MAC del VTEP de origen del túnel)
Dirección ip de destino externa (dirección IP del punto de conexión del túnel VTEP)
Dirección IP de origen externa (dirección IP del VTEP de origen del túnel)
Encabezado UDP externo
Un encabezado VXLAN que incluye un campo de 24 bits llamado identificador de red VXLAN (VNI) que se utiliza para identificar de forma exclusiva la VXLAN. El VNI es similar a un ID de VLAN, pero tener 24 bits le permite crear muchas más VXLAN que VLAN.
Dado que la VXLAN agrega de 50 a 54 bytes de información de encabezado adicional a la trama Ethernet original, es posible que desee aumentar la MTU de la red subyacente. En este caso, configure la MTU de las interfaces físicas que participan en la red VXLAN, no la MTU de la interfaz de origen lógica VTEP, que se omite.
La Figura 1 muestra el formato del paquete VXLAN.
de paquete VXLAN
Métodos de implementación de VXLAN
Junos OS admite la implementación de VXLAN en los siguientes entornos:
VXLAN manual: en este entorno, un dispositivo de Juniper Networks actúa como dispositivo de tránsito para dispositivos descendentes que actúan como VTEP o una puerta de enlace que proporciona conectividad para servidores descendentes que alojan máquinas virtuales (VM), que se comunican a través de una red de capa 3. En este entorno, los controladores de redes definidas por software (RDS) no se implementan.
Nota:Los conmutadores QFX10000 no admiten VXLAN manuales.
OVSDB-VXLAN: en este entorno, los controladores SDN usan el protocolo de administración de open vSwitch Database (OVSDB) para proporcionar un medio a través del cual los controladores (como VMware NSX o un controlador Contrail de Juniper Networks) y los dispositivos de Juniper Networks que admiten OVSDB pueden comunicarse.
EVPN-VXLAN: en este entorno, la VPN de Ethernet (EVPN) es una tecnología de plano de control que permite que los hosts (servidores físicos y VM) se coloquen en cualquier lugar de una red y permanezcan conectados a la misma red lógica de capa 2, y VXLAN crea el plano de datos para la red superpuesta de capa 2.
Uso de conmutadores QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4300-48MP y EX4600 con VXLAN
Puede configurar los conmutadores para que realicen todas las funciones siguientes:
(Todos los conmutadores excepto EX4300-48MP) En un entorno sin un controlador SDN, actúe como conmutador de tránsito de capa 3 para hosts descendentes que actúan como VTEP. En esta configuración, no es necesario configurar ninguna funcionalidad de VXLAN en el conmutador. Debe configurar IGMP y PIM para que el conmutador pueda formar los árboles de multidifusión para los grupos de multidifusión VXLAN. (Consulte VXLAN manuales requieren PIM para obtener más información.)
(Todos los conmutadores excepto EX4300-48MP) En un entorno con o sin un controlador SDN, actuar como una puerta de enlace de capa 2 entre redes virtualizadas y no virtualizadas en el mismo centro de datos o entre centros de datos. Por ejemplo, puede usar el conmutador para conectar una red que use VXLAN a una que use VLAN.
(Conmutadores EX4300-48MP) Actuar como puerta de enlace de capa 2 entre redes virtualizadas y no virtualizadas en una red de campus. Por ejemplo, puede usar el conmutador para conectar una red que use VXLAN a una que use VLAN.
(Todos los conmutadores excepto EX4300-48MP) Actuar como puerta de enlace de capa 2 entre redes virtualizadas en el mismo centro de datos o en diferentes y permitir que las máquinas virtuales se muevan (VMotion) entre esas redes y los centros de datos. Por ejemplo, si desea permitir VMotion entre dispositivos en dos redes diferentes, puede crear la misma VLAN en ambas redes y colocar ambos dispositivos en esa VLAN. Los conmutadores conectados a estos dispositivos, que actúan como VTEP, pueden asignar esa VLAN a la misma VXLAN, y el tráfico de VXLAN se puede enrutar entre las dos redes.
(Conmutadores QFX5110 y QFX5120 con EVPN-VXLAN) Actuar como puerta de enlace de capa 3 para enrutar el tráfico entre diferentes VXLAN en el mismo centro de datos.
(Conmutadores QFX5110 y QFX5120 con EVPN-VXLAN) Actuar como puerta de enlace de capa 3 para enrutar el tráfico entre diferentes VXLAN en diferentes centros de datos a través de una WAN o Internet mediante protocolos de enrutamiento estándar o túneles del servicio de LAN privada virtual (VPLS).
Si desea que un conmutador QFX5110 o QFX5120 sea una puerta de enlace VXLAN de capa 3 en un entorno EVPN-VXLAN, debe configurar interfaces de enrutamiento y puente integrados (IRB) para conectar las VXLAN, tal como lo hace si desea enrutar el tráfico entre redes VLAN.
Dado que los encabezados adicionales agregan de 50 a 54 bytes, es posible que deba aumentar la MTU en un VTEP para alojar paquetes más grandes. Por ejemplo, si el conmutador usa el valor MTU predeterminado de 1514 bytes y desea reenviar paquetes de 1500 bytes a través de la VXLAN, debe aumentar la MTU para permitir el aumento del tamaño del paquete causado por los encabezados adicionales.
Cambio del puerto UDP en conmutadores QFX5100, QFX5110, QFX5200, QFX5210 y EX4600
A partir de Junos OS versión 14.1X53-D25 en conmutadores QFX5100, Junos OS versión 15.1X53-D210 en conmutadores QFX5110 y QFX5200, Junos OS versión 18.1R1 en conmutadores QFX5210 y Junos OS versión 18.2R1 en conmutadores EX4600, puede configurar el puerto UDP utilizado como puerto de destino para el tráfico de VXLAN. Para configurar el puerto de destino VXLAN para que no sea el puerto UDP predeterminado de 4789, escriba la siguiente instrucción:
set protocols l2-learning destination-udp-port port-number
El puerto que configure se utilizará para todas las VXLAN configuradas en el conmutador.
Si realiza este cambio en un conmutador de una VXLAN, debe realizar el mismo cambio en todos los dispositivos que terminan las VXLAN configuradas en el conmutador. Si no lo hace, se interrumpirá el tráfico de todas las VXLAN configuradas en el conmutador. Cuando cambia el puerto UDP, se pierden los VTEP y LOS MAC remotos aprendidos anteriormente, y el tráfico de VXLAN se interrumpe hasta que el conmutador vuelve a aprender los VTEP y LOS MAC remotos.
Control del tráfico de multidifusión de tránsito en conmutadores QFX5100, QFX5110, QFX5200, QFX5210 y EX4600
Cuando el conmutador que actúa como VTEP recibe una difusión, unidifusión desconocida o paquete de multidifusión, realiza las siguientes acciones en el paquete:
Desencapsula el paquete y lo entrega a los hosts conectados localmente.
Luego, agrega la encapsulación VXLAN de nuevo y envía el paquete a los otros VTEP en la VXLAN.
Estas acciones se realizan mediante la interfaz de circuito cerrado utilizada como dirección de túnel VXLAN y, por lo tanto, pueden afectar negativamente el ancho de banda disponible para el VTEP. A partir de Junos OS versión 14.1X53-D30 para conmutadores QFX5100, Junos OS versión 15.1X53-D210 para conmutadores QFX5110 y QFX5200, Junos OS versión 18.1R1 para conmutadores QFX5210 y Junos OS versión 18.2R1 para conmutadores EX4600, si sabe que no hay receptores de multidifusión conectados a otros VTEP en la VXLAN que deseen tráfico para un grupo de multidifusión específico, puede reducir la carga de procesamiento en la interfaz de circuito cerrado ingresando la siguiente instrucción:
set protocols l2-learning disable-vxlan-multicast-transit vxlan-multicast-group multicast-group
En este caso, no se reenviará tráfico para el grupo especificado, pero se reenviará todo el resto del tráfico de multidifusión. Si no desea reenviar tráfico de multidifusión a otros VTEP en la VXLAN, escriba la siguiente instrucción:
set protocols l2-learning disable-vxlan-multicast-transit vxlan-multicast-group all
Uso de un enrutador de la serie MX, un conmutador EX9200 o un conmutador QFX10000 como un VTEP
Puede configurar un enrutador de la serie MX, un conmutador EX9200 o un conmutador QFX10000 para que actúe como VTEP y realice todas las funciones siguientes:
Actuar como puerta de enlace de capa 2 entre redes virtualizadas y no virtualizadas en el mismo centro de datos o entre centros de datos. Por ejemplo, puede usar un enrutador serie MX para conectar una red que use VXLAN a una que use VLAN.
Actuar como puerta de enlace de capa 2 entre redes virtualizadas en el mismo centro de datos o en diferentes y permitir que las máquinas virtuales se muevan (VMotion) entre esas redes y los centros de datos.
Actuar como puerta de enlace de capa 3 para enrutar el tráfico entre diferentes VXLAN en el mismo centro de datos.
Actuar como puerta de enlace de capa 3 para enrutar el tráfico entre diferentes VXLAN en diferentes centros de datos a través de una WAN o Internet mediante protocolos de enrutamiento estándar o túneles del servicio de LAN privada virtual (VPLS).
Si desea que uno de los dispositivos descritos en esta sección sea una puerta de enlace de capa 3 VXLAN, debe configurar interfaces de enrutamiento y puentes integrados (IRB) para conectar las VXLAN, del mismo modo que lo hace si desea enrutar el tráfico entre redes VLAN.
Las VXLAN manuales requieren PIM
En un entorno con un controlador (como VMware NSX o un controlador contrail de Juniper Networks), puede aprovisionar VXLAN en un dispositivo de Juniper Networks. Un controlador también proporciona un plano de control que los VTEP utilizan para anunciar su accesibilidad y aprender sobre la accesibilidad de otros VTEP. También puede crear VXLAN manualmente en dispositivos de Juniper Networks en lugar de usar un controlador. Si utiliza este enfoque, también debe configurar la multidifusión independiente de protocolo (PIM) en los VTEP para que puedan crear túneles VXLAN entre ellos.
También debe configurar cada VTEP en una VXLAN dada para que sea miembro del mismo grupo de multidifusión. (Si es posible, debe asignar una dirección de grupo de multidifusión diferente a cada VXLAN, aunque esto no es obligatorio. Varias VXLAN pueden compartir el mismo grupo de multidifusión.) Luego, los VTEP pueden reenviar las solicitudes ARP que reciben de sus hosts conectados al grupo de multidifusión. Los otros VTEP del grupo desencapsulan la información de la VXLAN y (suponiendo que sean miembros de la misma VXLAN) reenvían la solicitud ARP a sus hosts conectados. Cuando el host de destino recibe la solicitud ARP, responde con su dirección MAC y su VTEP reenvía esta respuesta de ARP al VTEP de origen. A través de este proceso, los VTEP aprenden las direcciones IP de los otros VTEP en la VXLAN y las direcciones MAC de los hosts conectados a los otros VTEP.
Los grupos y árboles de multidifusión también se utilizan para reenviar tráfico de difusión, unidifusión desconocida y multidifusión (BUM) entre VTEP. Esto evita que el tráfico BUM se inunde innecesariamente fuera de la VXLAN.
El tráfico de multidifusión que se reenvía a través de un túnel VXLAN se envía solo a los VTEP remotos de la VXLAN. Es decir, el VTEP de encapsulación no copia ni envía copias de los paquetes según el árbol de multidifusión; solo reenvía los paquetes de multidifusión recibidos a los VTEP remotos. Los VTEP remotos desencapsulan los paquetes de multidifusión encapsulados y los reenvía a las interfaces de capa 2 adecuadas.
Equilibrio de carga de tráfico VXLAN
Las rutas de capa 3 que forman los túneles VXLAN utilizan el equilibrio de carga por paquete de forma predeterminada, lo que significa que el equilibrio de carga se implementa si hay rutas ECMP al VTEP remoto. Esto es diferente del comportamiento normal de enrutamiento en el que el equilibrio de carga por paquete no se utiliza de forma predeterminada. (El enrutamiento normal usa el equilibrio de carga por prefijo de forma predeterminada.)
El campo de puerto de origen en el encabezado UDP se utiliza para habilitar el equilibrio de carga ECMP del tráfico VXLAN en la red de capa 3. Este campo se establece en un hash de los campos de paquete interno, lo que da como resultado una variable que ECMP puede usar para distinguir entre túneles (flujos).
Ninguno de los otros campos que utiliza normalmente el ECMP basado en flujos es adecuado para su uso con VXLAN. Todos los túneles entre los mismos dos VTEP tienen las mismas direcciones IP externas de origen y destino, y el puerto de destino UDP se establece en el puerto 4789 por definición. Por lo tanto, ninguno de estos campos proporciona una forma suficiente para que el ECMP diferencie los flujos.
Habilitación de conmutadores QFX5120 para el tráfico de túnel en interfaces IRB y etiquetadas de núcleo de capa 3
Esta sección solo se aplica a los conmutadores QFX5120 que ejecutan Junos OS versiones 18.4R1, 18.4R2, 18.4R2-S1 a 18.4R2-S3, 19.1R1, 19.1R2, 19.2Rx y 19.3Rx.
Cuando un conmutador QFX5120 intenta tunelización del tráfico en interfaces con etiqueta de núcleo de capa 3 o IRB, el conmutador deja caer los paquetes. Para evitar este problema, puede configurar un firewall simple basado en filtros de dos términos en la interfaz etiquetada de capa 3 o IRB.
Los conmutadores QFX5120 admiten un máximo de 256 firewalls basados en filtros de dos términos.
Por ejemplo:
set interfaces et-0/0/3 unit 0 family inet filter input vxlan100 set firewall family inet filter vxlan100 term 1 from destination-address 192.168.0.1/24 then accept set firewall family inet filter vxlan100 term 2 then routing-instance route1
El término 1 coincide y acepta el tráfico destinado al conmutador QFX5210, el cual se identifica mediante la dirección IP VTEP de origen (192.168.0.1/24) asignada a la interfaz de circuito cerrado del conmutador. Para el término 1, tenga en cuenta que, al especificar una acción, puede contar el tráfico de forma alternativa en lugar de aceptarlo.
El término 2 coincide y reenvía el resto del tráfico de datos a una instancia de enrutamiento (ruta 1), que está configurada en la interfaz et-0/0/3.
En este ejemplo, tenga en cuenta que la instancia de enrutamiento route1 hace referencia a la interfaz et-0/0/3. Como resultado, debe incluir el set firewall family inet filter vxlan100 term 2 then routing-instance route1 comando. Sin este comando, el filtro de firewall no funcionará correctamente.
Uso de ping y traceroute con una VXLAN
En los conmutadores QFX5100 y QFX5110, puede usar los comandos y y traceroute para solucionar problemas del flujo de ping tráfico a través de un túnel VXLAN incluyendo el overlay parámetro y varias opciones. Utilice estas opciones para obligar a los ping o traceroute paquetes a seguir la misma ruta que los paquetes de datos a través del túnel VXLAN. En otras palabras, hace que los paquetes subyacentes (ping y traceroute) tomen la misma ruta que los paquetes superpuestos (tráfico de datos). Consulte ping superpuesta y traceroute superpuesta para obtener más información.
Estándares VXLAN compatibles
RFC y borradores de Internet que definen estándares para VXLAN:
RFC 7348, Red de área local virtual eXtensible (VXLAN): un marco para superponer redes de capa 2 virtualizadas en redes de capa 3
Borrador de Internet draft-ietf-nvo3-vxlan-gpe, Extensión de protocolo genérico para VXLAN