Descripción de las VXLAN
La tecnología del protocolo Virtual Extensible LAN (VXLAN) permite que las redes admitan más VLAN. Según el estándar IEEE 802.1Q, los identificadores de VLAN tradicionales tienen una longitud de 12 bits; esta denominación limita las redes a 4094 VLAN. El protocolo VXLAN supera esta limitación mediante el uso de un identificador de red lógico más largo que permite más VLAN y, por lo tanto, más aislamiento de red lógico para redes grandes, como nubes que suelen incluir muchas máquinas virtuales.
Ventajas de VXLAN
La tecnología VXLAN le permite segmentar sus redes (como lo hacen las VLAN), pero proporciona beneficios que las VLAN no pueden. Estas son las ventajas más importantes de usar VXLAN:
En teoría, puede crear hasta 16 millones de VXLAN en un dominio administrativo (en lugar de 4094 VLAN en un dispositivo de Juniper Networks).
Los enrutadores de la serie MX y los conmutadores EX9200 admiten hasta 32 000 VXLAN, 32 000 grupos de multidifusión y 8000 puntos de conexión de túnel virtual (VTEP). Esto significa que las VXLAN basadas en enrutadores de la serie MX proporcionan segmentación de red a la escala que requieren los creadores de nubes para admitir un gran número de inquilinos.
Los conmutadores de la serie QFX10000 admiten 4000 VXLAN y 2000 VTEP remotos.
Los conmutadores QFX5100, QFX5110, QFX5200, QFX5210 y EX4600 admiten 4000 VXLAN, 4000 grupos de multidifusión y 2000 VTEP remotos.
Los conmutadores EX4300-48MP admiten 4000 VXLAN.
Puede habilitar la migración de máquinas virtuales entre servidores que existen en dominios de capa 2 separados mediante la canalización del tráfico a través de redes de capa 3. Esta funcionalidad le permite asignar recursos de forma dinámica dentro o entre centros de datos sin estar limitado por límites de capa 2 ni verse obligado a crear dominios de capa 2 grandes o ampliados geográficamente.
El uso de VXLAN para crear dominios de capa 2 más pequeños que estén conectados a través de una red de capa 3 significa que no es necesario usar el protocolo de árbol de expansión (STP) para converger la topología, sino que puede usar protocolos de enrutamiento más sólidos en la red de capa 3. En ausencia de STP, ninguno de sus enlaces está bloqueado, lo que significa que puede obtener el valor completo de todos los puertos que compre. El uso de protocolos de enrutamiento para conectar los dominios de capa 2 también le permite equilibrar la carga del tráfico para asegurarse de que obtiene el mejor uso del ancho de banda disponible. Dada la cantidad de tráfico este-oeste que a menudo fluye dentro o entre centros de datos, es muy importante maximizar el rendimiento de la red para ese tráfico.
El video ¿Por qué usar una red superpuesta en un centro de datos? presenta una breve descripción de las ventajas de usar VXLAN.
¿Cómo funciona VXLAN?
VXLAN se describe a menudo como una tecnología de superposición, ya que permite ampliar las conexiones de capa 2 a través de una red de capa 3 intermedia mediante la encapsulación (tunelización) de tramas Ethernet en un paquete VXLAN que incluye direcciones IP. Los dispositivos que admiten VXLAN se denominan puntos de conexión de túnel virtual (VTEP): pueden ser hosts finales, conmutadores de red o enrutadores. Los VTEP encapsulan el tráfico VXLAN y desencapsulan dicho tráfico cuando sale del túnel VXLAN. Para encapsular una trama Ethernet, los VTEP agregan varios campos, incluidos los siguientes:
Dirección de destino MAC externa (dirección MAC) del punto de conexión del túnel VTEP)
Dirección de origen MAC externa (dirección MAC del VTEP de origen del túnel)
Dirección de destino IP externa (dirección IP del punto de conexión del túnel VTEP)
Dirección IP de origen externa (dirección IP del VTEP de origen del túnel)
Encabezado UDP externo
Un encabezado VXLAN que incluye un campo de 24 bits, denominado identificador de red VXLAN (VNI), que se usa para identificar de forma exclusiva la VXLAN. El VNI es similar a un ID de VLAN, pero tener 24 bits le permite crear muchas más VXLAN que VLAN.
Dado que VXLAN agrega de 50 a 54 bytes de información de encabezado adicional a la trama Ethernet original, es posible que desee aumentar la MTU de la red subyacente. En este caso, configure la MTU de las interfaces físicas que participan en la red VXLAN, no la MTU de la interfaz de origen de VTEP lógica, que se omite.
La figura 1 muestra el formato del paquete VXLAN.
de paquete VXLAN
Métodos de implementación de VXLAN
Junos OS admite la implementación de VXLAN en los siguientes entornos:
VXLAN manual: en este entorno, un dispositivo de Juniper Networks actúa como un dispositivo de tránsito para los dispositivos descendentes que actúan como VTEP o una puerta de enlace que proporciona conectividad a los servidores descendentes que alojan máquinas virtuales (VM), que se comunican a través de una red de capa 3. En este entorno, los controladores de redes definidas por software (SDN) no se despliegan.
Nota:QFX10000 conmutadores no admiten VXLAN manuales.
OVSDB-VXLAN: en este entorno, los controladores SDN utilizan el protocolo de administración Open vSwitch Database (OVSDB) para proporcionar un medio a través del cual los controladores (como un controlador VMware NSX o Juniper Networks Contrail) y los dispositivos de Juniper Networks compatibles con OVSDB puedan comunicarse.
EVPN-VXLAN: en este entorno, Ethernet VPN (EVPN) es una tecnología de plano de control que permite que los hosts (servidores físicos y VM) se coloquen en cualquier lugar de una red y permanezcan conectados a la misma red lógica de capa 2, y VXLAN crea el plano de datos para la red superpuesta de capa 2.
Uso de conmutadores QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, EX4300-48MP y EX4600 con VXLAN
Puede configurar los conmutadores para que realicen todas las funciones siguientes:
(Todos los conmutadores excepto EX4300-48MP) En un entorno sin controlador SDN, actuar como un conmutador de tránsito de capa 3 para los hosts descendentes que actúen como VTEP. En esta configuración, no es necesario configurar ninguna funcionalidad de VXLAN en el conmutador. Debe configurar IGMP y PIM para que el conmutador pueda formar los árboles de multidifusión para los grupos de multidifusión de VXLAN. (Consulte Las VXLAN manuales requieren PIM para obtener más información).
(Todos los conmutadores excepto EX4300-48MP) En un entorno con o sin controlador SDN, actuar como puerta de enlace de capa 2 entre redes virtualizadas y no virtualizadas en el mismo centro de datos o entre centros de datos. Por ejemplo, puede usar el conmutador para conectar una red que use VXLAN a una que use VLAN.
(Conmutadores EX4300-48MP) Actuar como puerta de enlace de capa 2 entre las redes virtualizadas y no virtualizadas en una red de campus. Por ejemplo, puede usar el conmutador para conectar una red que use VXLAN a una que use VLAN.
(Todos los conmutadores excepto EX4300-48MP) Actuar como una puerta de enlace de capa 2 entre redes virtualizadas en el mismo centro de datos o en otros, y permitir que las máquinas virtuales se muevan (VMotion) entre esas redes y los centros de datos. Por ejemplo, si desea permitir VMotion entre dispositivos en dos redes diferentes, puede crear la misma VLAN en ambas redes y colocar ambos dispositivos en esa VLAN. Los conmutadores conectados a estos dispositivos, que actúan como VTEP, pueden asignar esa VLAN a la misma VXLAN y el tráfico VXLAN se puede enrutar entre las dos redes.
(Conmutadores QFX5110 y QFX5120 con EVPN-VXLAN) Actuar como puerta de enlace de capa 3 para enrutar el tráfico entre diferentes VXLAN del mismo centro de datos.
(Conmutadores QFX5110 y QFX5120 con EVPN-VXLAN) Actuar como puerta de enlace de capa 3 para enrutar el tráfico entre diferentes VXLAN en diferentes centros de datos a través de una WAN o Internet mediante protocolos de enrutamiento estándar o túneles del servicio de LAN privada virtual (VPLS).
Si desea que un conmutador QFX5110 o QFX5120 sea una puerta de enlace VXLAN de capa 3 en un entorno EVPN-VXLAN, debe configurar interfaces de enrutamiento y puente integrados (IRB) para conectar las VXLAN, del mismo modo que lo haría si desea enrutar el tráfico entre VLAN.
Dado que los encabezados adicionales suman de 50 a 54 bytes, es posible que deba aumentar la MTU en un VTEP para dar cabida a paquetes más grandes. Por ejemplo, si el conmutador utiliza el valor MTU predeterminado de 1514 bytes y desea reenviar paquetes de 1500 bytes a través de la VXLAN, debe aumentar la MTU para permitir el aumento del tamaño del paquete que provocaron los encabezados adicionales.
Cambio del puerto UDP en conmutadores QFX5100, QFX5110, QFX5200, QFX5210 y EX4600
A partir de Junos OS versión 14.1X53-D25 en conmutadores QFX5100, Junos OS versión 15.1X53-D210 en conmutadores QFX5110 y QFX5200, Junos OS versión 18.1R1 en conmutadores QFX5210 y Junos OS versión 18.2R1 en conmutadores EX4600, puede configurar el puerto UDP utilizado como puerto de destino para el tráfico VXLAN. Para configurar el puerto de destino de VXLAN para que sea distinto del puerto UDP predeterminado de 4789, escriba la instrucción siguiente:
set protocols l2-learning destination-udp-port port-number
El puerto que configure se utilizará para todas las VXLAN configuradas en el conmutador.
Si realiza este cambio en un conmutador de una VXLAN, debe realizar el mismo cambio en todos los dispositivos que terminan las VXLAN configuradas en el conmutador. Si no lo hace, se interrumpirá el tráfico de todas las VXLAN configuradas en el conmutador. Cuando se cambia el puerto UDP, se pierden los VTEP remotos y MAC remotos aprendidos anteriormente, y el tráfico de VXLAN se interrumpe hasta que el conmutador vuelve a aprender los VTEP remotos y los MAC remotos.
Control del tráfico de multidifusión de tránsito en conmutadores QFX5100, QFX5110, QFX5200, QFX5210 y EX4600
Cuando el conmutador que actúa como VTEP recibe una difusión, una unidifusión desconocida o un paquete de multidifusión, realiza las acciones siguientes en el paquete:
Desencapsula el paquete y lo entrega a los hosts conectados localmente.
A continuación, agrega de nuevo la encapsulación VXLAN y envía el paquete a los demás VTEP de la VXLAN.
Estas acciones las realiza la interfaz de circuito cerrado utilizada como dirección del túnel VXLAN y, por lo tanto, pueden afectar negativamente al ancho de banda disponible para el VTEP. A partir de Junos OS versión 14.1X53-D30 para conmutadores QFX5100, Junos OS versión 15.1X53-D210 para conmutadores QFX5110 y QFX5200, Junos OS versión 18.1R1 para conmutadores QFX5210 y Junos OS versión 18.2R1 para conmutadores EX4600, si sabe que no hay receptores de multidifusión conectados a otros VTEP en la VXLAN que deseen tráfico para un grupo de multidifusión específico, Puede reducir la carga de procesamiento en la interfaz de circuito cerrado introduciendo la instrucción siguiente:
set protocols l2-learning disable-vxlan-multicast-transit vxlan-multicast-group multicast-group
En este caso, no se reenviará ningún tráfico para el grupo especificado, pero se reenviará el resto del tráfico de multidifusión. Si no desea reenviar tráfico de multidifusión a otros VTEP de la VXLAN, escriba la instrucción siguiente:
set protocols l2-learning disable-vxlan-multicast-transit vxlan-multicast-group all
Uso de un enrutador de la serie MX, un conmutador EX9200 o un conmutador QFX10000 como VTEP
Puede configurar un enrutador de la serie MX, un conmutador EX9200 o un conmutador QFX10000 para que actúe como VTEP y realice todas las funciones siguientes:
Actuar como puerta de enlace de capa 2 entre redes virtualizadas y no virtualizadas en el mismo centro de datos o entre centros de datos. Por ejemplo, puede usar un enrutador de la serie MX para conectar una red que use VXLAN a una que use VLAN.
Actuar como una puerta de enlace de capa 2 entre redes virtualizadas en el mismo centro de datos o en otros, y permitir que las máquinas virtuales se muevan (VMotion) entre esas redes y los centros de datos.
Actuar como puerta de enlace de capa 3 para enrutar el tráfico entre diferentes VXLAN del mismo centro de datos.
Actuar como puerta de enlace de capa 3 para enrutar el tráfico entre diferentes VXLAN en diferentes centros de datos a través de una WAN o Internet mediante protocolos de enrutamiento estándar o túneles del servicio de LAN privada virtual (VPLS).
Si desea que uno de los dispositivos descritos en esta sección sea una puerta de enlace VXLAN de capa 3, debe configurar interfaces de enrutamiento y puente integrados (IRB) para conectar las VXLAN, del mismo modo que lo haría si desea enrutar el tráfico entre VLAN.
Las VXLAN manuales requieren PIM
En un entorno con un controlador (como VMware NSX o Juniper Networks Contrail), puede aprovisionar VXLAN en un dispositivo de Juniper Networks. Un controlador también proporciona un plano de control que los VTEP utilizan para anunciar su accesibilidad y obtener información sobre la accesibilidad de otros VTEP. También puede crear VXLAN manualmente en dispositivos de Juniper Networks en lugar de usar un controlador. Si utiliza este método, también debe configurar la multidifusión independiente del protocolo (PIM) en los VTEP para que puedan crear túneles VXLAN entre ellos.
También debe configurar cada VTEP en una VXLAN determinada para que sea miembro del mismo grupo de multidifusión. (Si es posible, debe asignar una dirección de grupo de multidifusión diferente a cada VXLAN, aunque esto no es obligatorio. Varias VXLAN pueden compartir el mismo grupo de multidifusión). A continuación, los VTEP pueden reenviar las solicitudes ARP que reciban de sus hosts conectados al grupo de multidifusión. Los otros VTEP del grupo desencapsulan la información de VXLAN y (suponiendo que sean miembros de la misma VXLAN) reenvían la solicitud ARP a sus hosts conectados. Cuando el host de destino recibe la solicitud ARP, responde con su dirección MAC y su VTEP reenvía esta respuesta ARP al VTEP de origen. A través de este proceso, los VTEP aprenden las direcciones IP de los otros VTEP en la VXLAN y las direcciones MAC de los hosts conectados a los otros VTEP.
Los grupos y árboles de multidifusión también se usan para reenviar tráfico de difusión, unidifusión desconocida y multidifusión (BUM) entre VTEP. Esto evita que el tráfico BUM se inunde innecesariamente fuera de la VXLAN.
El tráfico de multidifusión que se reenvía a través de un túnel VXLAN solo se envía a los VTEP remotos de la VXLAN. Es decir, el VTEP encapsulado no copia ni envía copias de los paquetes de acuerdo con el árbol de multidifusión, solo reenvía los paquetes de multidifusión recibidos a los VTEP remotos. Los VTEP remotos desencapsulan los paquetes de multidifusión encapsulados y los reenvían a las interfaces de capa 2 adecuadas.
Equilibrio de carga del tráfico VXLAN
Las rutas de capa 3 que forman túneles VXLAN usan el equilibrio de carga por paquete de forma predeterminada, lo que significa que el equilibrio de carga se implementa si hay rutas ECMP al VTEP remoto. Esto difiere del comportamiento normal de enrutamiento, en el que no se usa el equilibrio de carga por paquete de forma predeterminada. (El enrutamiento normal usa el equilibrio de carga por prefijo de forma predeterminada).
El campo puerto de origen del encabezado UDP se utiliza para habilitar el equilibrio de carga ECMP del tráfico VXLAN en la red de capa 3. Este campo se establece en un hash de los campos de paquetes internos, lo que da como resultado una variable que ECMP puede usar para distinguir entre túneles (flujos).
Ninguno de los otros campos que el ECMP basado en flujo utiliza normalmente son adecuados para su uso con VXLAN. Todos los túneles entre los mismos dos VTEP tienen las mismas direcciones IP de origen y destino externas, y el puerto de destino UDP se establece en el puerto 4789 por definición. Por lo tanto, ninguno de estos campos proporciona una forma suficiente para que el ECMP diferencie los flujos.
Habilitación de conmutadores QFX5120 para el tráfico de túnel en interfaces IRB y etiquetadas de capa 3 orientadas hacia el núcleo
Esta sección solo se aplica a los conmutadores QFX5120 que ejecuten Junos OS versiones 18.4R1, 18.4R2, 18.4R2-S1 a 18.4R2-S3, 19.1R1, 19.1R2, 19.2Rx y 19.3Rx.
Cuando un conmutador QFX5120 intenta tunelizar el tráfico en interfaces etiquetadas de capa 3 orientadas hacia el núcleo o IRB, el conmutador descarta los paquetes. Para evitar este problema, puede configurar un firewall sencillo basado en filtros de dos términos en la interfaz etiquetada de capa 3 o IRB.
QFX5120 conmutadores admiten un máximo de 256 firewalls basados en filtros de dos términos.
Por ejemplo:
set interfaces et-0/0/3 unit 0 family inet filter input vxlan100 set firewall family inet filter vxlan100 term 1 from destination-address 192.168.0.1/24 then accept set firewall family inet filter vxlan100 term 2 then routing-instance route1
El término 1 coincide y acepta el tráfico destinado al conmutador QFX5210, que se identifica mediante la dirección IP del VTEP de origen (192.168.0.1/24) asignada a la interfaz de circuito cerrado del conmutador. Para el término 1, tenga en cuenta que al especificar una acción, también puede contar el tráfico en lugar de aceptarlo.
El término 2 empareja y reenvía todo el resto del tráfico de datos a una instancia de enrutamiento (ruta 1), que está configurada como interfaz et-0/0/3.
En este ejemplo, observe que la instancia de enrutamiento route1 hace referencia a la interfaz et-0/0/3. Como resultado, debe incluir el set firewall family inet filter vxlan100 term 2 then routing-instance route1 comando. Sin este comando, el filtro del firewall no funcionará correctamente.
Uso de ping y traceroute con una VXLAN
En los conmutadores QFX5100 y QFX5110, puede usar los comandos y traceroute para solucionar problemas de ping flujo de tráfico a través de un túnel VXLAN si incluye el overlay parámetro y varias opciones. Estas opciones se usan para forzar que los ping traceroute o paquetes sigan la misma ruta que los paquetes de datos a través del túnel VXLAN. En otras palabras, hace que los paquetes subyacentes (ping y traceroute) tomen la misma ruta que los paquetes de superposición (tráfico de datos). Consulte ping superpuesto y traceroute superpuesto para obtener más información.
Estándares de VXLAN compatibles
RFC y borradores de Internet que definen los estándares para VXLAN:
RFC 7348, Red de área local extensible virtual (VXLAN): un marco para superponer redes virtualizadas de capa 2 a través de redes de capa 3
Borrador de Internet draft-ietf-nvo3-vxlan-gpe, extensión de protocolo genérico para VXLAN
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.