EN ESTA PÁGINA
Puentes virtuales de borde
Descripción del puente virtual de borde para su uso con tecnología VEPA en conmutadores de la serie EX
Los servidores que utilizan el agregador de puerto Ethernet virtual (VEPA) no envían paquetes directamente de una máquina virtual (VM) a otra. En su lugar, los paquetes se envían a puentes virtuales en un conmutador adyacente para su procesamiento. Los conmutadores de la serie EX usan puentes virtuales de borde (EVB) como un puente virtual para devolver los paquetes en la misma interfaz que los entregó.
- ¿Qué es EVB?
- ¿Qué es VEPA?
- ¿Por qué usar VEPA en lugar de VEB?
- ¿Cómo funciona EVB?
- ¿Cómo implemento EVB?
¿Qué es EVB?
EVB es una capacidad de software en un conmutador que ejecuta Junos OS que permite que varias máquinas virtuales se comuniquen entre sí y con hosts externos en el entorno de red Ethernet.
¿Qué es VEPA?
VEPA es una capacidad de software en un servidor que colabora con un conmutador externo adyacente para proporcionar soporte de puente entre varias máquinas virtuales y redes externas. El VEPA colabora con el conmutador adyacente reenviando todas las tramas originadas por VM al conmutador adyacente para el procesamiento de tramas y el relé de tramas (incluido el reenvío de horquillas) y dirigiendo y replicando tramas recibidas del enlace ascendente VEPA a los destinos apropiados.
¿Por qué usar VEPA en lugar de VEB?
Aunque las máquinas virtuales son capaces de enviar paquetes directamente entre sí con una tecnología llamada puente ethernet virtual (VEB), normalmente desea usar conmutadores físicos para la conmutación, ya que VEB utiliza costoso hardware de servidor para llevar a cabo la tarea. En lugar de usar VEB, puede instalar VEPA en un servidor para descargar la funcionalidad de conmutación a un conmutador físico adyacente y menos costoso. Las ventajas adicionales de usar VEPA incluyen:
VEPA reduce la complejidad y permite un mayor rendimiento en el servidor.
VEPA aprovecha las funciones de seguridad y seguimiento del conmutador físico.
VEPA ofrece visibilidad del tráfico entre máquinas virtuales a herramientas de administración de red diseñadas para un puente adyacente.
VEPA reduce la cantidad de configuración de red que requieren los administradores de servidores y, como consecuencia, reduce el trabajo para el administrador de red.
¿Cómo funciona EVB?
EvB usa dos protocolos, el protocolo de detección y configuración (VDP) de interfaz de estación virtual (VSI) y el protocolo de control de borde (ECP) para programar políticas para cada instancia de conmutador virtual individual; en concreto, EVB mantiene la siguiente información para cada instancia de VSI:
VLAN ID
Tipo de VSI
Versión de tipo VSI
Dirección MAC del servidor
El servidor VEPA usa VDP para propagar información de VSI al conmutador. Esto permite que el conmutador programe políticas en VSIs individuales y admite la migración de máquinas virtuales mediante la implementación de lógica para preasociar una VSI con una interfaz determinada.
El ECP es una capa de transporte parecida al protocolo de descubrimiento de capa de vínculo (LLDP) que permite que varios protocolos de capa superior envíen y reciban unidades de datos de protocolo (PDU). El ECP mejora el LLDP mediante la implementación de secuenciación, retransmisión y un mecanismo de ack, a la vez que sigue siendo lo suficientemente ligero como para implementarse en una red de un solo salto. El ECP se implementa en una configuración de EVB cuando configura LLDP en interfaces que haya configurado para EVB. Es decir, configura LLDP, no ECP.
¿Cómo implemento EVB?
Puede configurar EVB en un conmutador cuando ese conmutador esté adyacente a un servidor que incluya tecnología VEPA. En general, esto es lo que se hace para implementar EVB:
El administrador de red crea un conjunto de tipos de VSI. Cada tipo de VSI está representado por un ID de tipo VSI y una versión de VSI. el administrador de red puede implementar una o más versiones de VSI en cualquier momento dado.
El administrador de VM configura VSI (que es una interfaz de estación virtual para una máquina virtual que está representada por una dirección MAC y un par de ID de VLAN) . Para lograr esto, el administrador de VM consulta los ID de tipo VSI (VTID) disponibles y crea una instancia de VSI que consta de un ID de instancia de VSI y el VTID elegido. Esta instancia se conoce como VTDB y contiene un ID de administrador de VSI, un ID de tipo VSI, una versión de VSI y un ID de instancia de VSI.
Consulte también
Configuración de puentes virtuales de borde en un conmutador de la serie EX
Configure el puente virtual de borde (EVB) cuando un conmutador está conectado a un servidor de máquina virtual (VM) mediante la tecnología de agregador de puerto Ethernet virtual (VEPA). EVB no convierte paquetes; en cambio, garantiza que los paquetes de una máquina virtual destinada a otra máquina virtual en el mismo servidor de máquina virtual se conmutan. En otras palabras, cuando el origen y el destino de un paquete son el mismo puerto, EVB entrega el paquete correctamente, lo que de otro modo no ocurriría.
La configuración de EVB también habilita el protocolo de detección y configuración (VDP) de interfaz de estación virtual (VSI).
Antes de comenzar a configurar EVB, asegúrese de que dispone de lo siguiente:
Configure la agregación de paquetes en el servidor conectado al puerto que utilizará en el conmutador para EVB. Consulte la documentación del servidor.
Configure la interfaz EVB para todas las VLAN ubicadas en las máquinas virtuales. Consulte Configuración de redes VLAN para conmutadores de la serie EX.
Nota:Las funciones de seguridad del puerto, la limitación de movimiento de MAC y la limitación de MAC se admiten en interfaces configuradas para EVB; sin embargo, el EVB no admite la seguridad del puerto con protección de origen IP, la inspección dinámica de ARP (DAI) y la inspección de DHCP. Para obtener más información acerca de estas funciones, consulte Características de seguridad de puerto.
Para configurar EVB en el conmutador:
Consulte también
Ejemplo: Configuración de puentes virtuales de borde para su uso con tecnología VEPA en un conmutador de la serie EX
Las máquinas virtuales (VM) pueden usar un conmutador físico adyacente al servidor de las máquinas virtuales para enviar paquetes tanto a otras máquinas virtuales como al resto de la red cuando se cumplan dos condiciones:
El agregador de paquetes de Ethernet virtual (VEPA) está configurado en el servidor de vm.
El puente virtual de borde (EVB) está configurado en el conmutador.
En este ejemplo, se muestra cómo configurar EVB en el conmutador para que los paquetes puedan fluir hacia y desde las máquinas virtuales.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador EX4500 o EX8200
Junos OS versión 12.1 o posterior para conmutadores serie EX
Antes de configurar EVB en un conmutador, asegúrese de que ha configurado el servidor con máquinas virtuales, VLAN y VEPA:
A continuación, se muestran los números de componentes utilizados en este ejemplo, pero puede usar menos o más para configurar la función.
En el servidor, configure seis máquinas virtuales, vm 1 a VM 6 como se muestra en Figura 1. Consulte la documentación del servidor.
En el servidor, configure tres VLAN denominadas VLAN_Purple, VLAN_Orange y VLAN_Blue, y agregue dos máquinas virtuales a cada VLAN. Consulte la documentación del servidor.
En el servidor, instale y configure VEPA para agregar los paquetes de máquina virtual.
En el conmutador, configure una interfaz con las mismas tres VLAN como servidor (VLAN_Purple, VLAN_Orange y VLAN_Blue). Consulte Configuración de redes VLAN para conmutadores de la serie EX.
Descripción general y topología
EVB es una capacidad de software que proporciona varias estaciones finales virtuales que se comunican entre sí y con conmutadores externos en el entorno de red Ethernet.
En este ejemplo, se muestra la configuración que se lleva a cabo en un conmutador cuando dicho conmutador está conectado a un servidor con VEPA configurado. En este ejemplo, un conmutador ya está conectado a un servidor que aloja seis máquinas virtuales (VM) y está configurado con VEPA para agregar paquetes. Las seis máquinas virtuales del servidor son de VM 1 a VM 6, y cada máquina virtual pertenece a una de las tres VLAN de servidor: VLAN_Purple, VLAN_Orange u VLAN_Blue. Dado que el VEPA está configurado en el servidor, no hay dos máquinas virtuales que puedan comunicarse directamente: toda comunicación entre máquinas virtuales debe ocurrir a través del conmutador adyacente. Figura 1 muestra la topología de este ejemplo.
Topología de ejemplo de puente virtual de borde
El componente VEPA del servidor envía todos los paquetes desde cualquier máquina virtual, independientemente de si los paquetes están destinados a otras máquinas virtuales en el mismo servidor o a cualquier host externo, al conmutador adyacente. El conmutador adyacente aplica políticas a los paquetes entrantes según la configuración de interfaz y, luego, los reenvía a las interfaces adecuadas según la tabla de aprendizaje MAC. Si el conmutador aún no ha aprendido una MAC de destino, inunda el paquete a todas las interfaces, incluido el puerto de origen al que llegó el paquete.
Tabla 1 muestra los componentes utilizados en este ejemplo.
| Componente | Description |
|---|---|
Conmutador de la serie EX |
Para obtener una lista de los conmutadores que admiten esta función, consulte Descripción general de las características del software del conmutador de la serie EX o Descripción general delas características del software de chasis virtual de la serie EX. |
ge-0/0/20 |
Cambie la interfaz al servidor. |
Servidor |
Servidor con máquinas virtuales y tecnología VEPA. |
Máquinas virtuales |
Seis máquinas virtuales ubicadas en el servidor, denominadas VM 1, VM 2, VM 3, VM 4, VM 5 y VM 6. |
Vlan |
Tres VLAN, denominadas VLAN_Purple, VLAN_Orange y VLAN_Blue. Cada VLAN tiene dos miembros de máquina virtual. |
VEPA |
Un agregador de puerto Ethernet virtual (VEPA) es una capacidad de software en un servidor que colabora con un conmutador externo adyacente para proporcionar soporte de puente entre varias máquinas virtuales y con redes externas. El VEPA colabora con el conmutador reenviando todas las tramas originadas por VM al puente adyacente para el procesamiento de tramas y el relé de trama (incluido el reenvío de horquilla) y dirigiendo y replicando tramas recibidas del enlace ascendente VEPA a los destinos apropiados. |
La configuración de EVB también habilita el protocolo de detección y configuración (VDP) de interfaz de estación virtual (VSI).
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente EVB, copie los siguientes comandos y péguelos en la CLI del conmutador en el [edit] nivel jerárquico.
set interfaces ge-0/0/20 unit 0 family ethernet-switching port-mode tagged-access set protocols lldp interface ge-0/0/20.0 set vlans vlan_purple interface ge-0/0/20.0 set vlans vlan_orange interface ge-0/0/20.0 set vlans vlan_blue interface ge-0/0/20.0 set protocols edge-virtual-bridging vsi-discovery interface ge-0/0/20.0 set policy-options vsi-policy P1 from vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb998 set policy-options vsi-policy P1 then filter f2 set policy-options vsi-policy P3 from vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997 set policy-options vsi-policy P3 then filter f3 set firewall family ethernet-switching filter f2 term t1 then accept set firewall family ethernet-switching filter f2 term t1 then count f2_accept set firewall family ethernet-switching filter f3 term t1 then accept set firewall family ethernet-switching filter f3 term t1 then count f3_accept set protocols edge-virtual-bridging vsi-discovery vsi-policy P1 set protocols edge-virtual-bridging vsi-discovery vsi-policy P3
Procedimiento paso a paso
Para configurar EVB en el conmutador:
Configure el modo de acceso con etiquetas para las interfaces en las que habilitará EVB:
[edit interfaces ge-0/0/20] user@switch# set unit 0 family ethernet-switching port-mode tagged-access
Habilite el Protocolo de detección de capa de vínculo (LLDP) en las interfaces de puertos en las que habilitará EVB:
[edit protocols] user@switch# set lldp interface ge-0/0/20.0
Configure la interfaz como miembro de todas las VLAN ubicadas en las máquinas virtuales.
[edit] user@switch# set vlans vlan_purple interface ge-0/0/20.0 user@switch# set vlans vlan_orange interface ge-0/0/20.0 user@switch# set vlans vlan_blue interface ge-0/0/20.0
Habilite el protocolo de detección y control (VDP) de VSI en la interfaz:
[edit protocols] user@switch# set edge-virtual-bridging vsi-discovery interface ge-0/0/20.0
Defina políticas para la información de VSI. La información de VSI se basa en un ID de administrador de VSI, tipo de VSI, versión de VSI e ID de instancia de VSI:
[edit policy-options] user@switch# set vsi-policy P1 from vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb998 user@switch# set vsi-policy P1 then filter f2 user@switch# set vsi-policy P3 from vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997 user@switch# set vsi-policy P3 then filter f3
En el paso anterior se definieron dos políticas de VSI, cada una de ellas asignación a distintos filtros de firewall. Defina los filtros de firewall:
[edit firewall family ethernet-switching] user@switch# set filter f2 term t1 then accept user@switch# set filter f2 term t1 then count f2_accept user@switch# set filter f3 term t1 then accept user@switch# set filter f3 term t1 then count f3_accept
Asociar políticas de VSI con el protocolo de descubrimiento de VSI
[edit] user@switch# set protocols edge-virtual-bridging vsi-discovery vsi-policy P1 user@switch# set protocols edge-virtual-bridging vsi-discovery vsi-policy P3
Resultados
user@switch# show protocols
edge-virtual-bridging {
vsi-discovery {
interface {
ge-0/0/20.0;
}
vsi-policy {
P1;
P3;
}
}
}
lldp {
interface ge-0/0/20.0;
user@switch# show policy-options
vsi-policy P1 {
from {
vsi-manager 98 vsi-type 998 vsi-version 4 vsi-instance 09b11c53-8b5c-4ee
b-8f00-c84ebb0bb998;
}
then {
filter f2;
}
}
vsi-policy P3 {
from {
vsi-manager 97 vsi-type 997 vsi-version 3 vsi-instance 09b11c53-8b5c-4ee
b-8f00-c84ebb0bb997;
}
then {
filter f3;
}
}user@switch# show vlans
vlan_blue {
interface {
ge-0/0/20.0;
}
}
vlan_orange {
interface {
ge-0/0/20.0;
}
}
vlan_purple {
interface {
ge-0/0/20.0;
interface;
}
}user@switch# show firewall
family ethernet-switching {
filter f2 {
term t1 {
then {
accept;
count f2_accept;
}
}
}
filter f3 {
term t1 {
then {
accept;
count f3_accept;
}
}
}
}
Verificación
Para confirmar que EVB está habilitado y funciona correctamente, realice estas tareas:
- Verificar que EVB esté correctamente configurado
- Comprobar que la máquina virtual se asocia correctamente con el conmutador
- Verificar que se aprenden perfiles de VSI en el conmutador
Verificar que EVB esté correctamente configurado
Propósito
Compruebe que EVB está correctamente configurado
Acción
user@switch# show edge-virtual-bridging Interface Forwarding Mode RTE Number of VSIs Protocols ge-0/0/20.0 Reflective-relay 25 400 ECP, VDP, RTE
Significado
Cuando lldp se habilita por primera vez, se produce un intercambio de LLDP EVB entre el conmutador y el servidor mediante LLDP. Como parte de este intercambio se negocian los siguientes parámetros: Número de VSIs compatibles, modo de reenvío, compatibilidad con ECP, soporte de VDP y exponente de temporizador de retransmisión (RTE). Si el resultado tiene valores para los parámetros negociados, EVB está correctamente configurado.
Comprobar que la máquina virtual se asocia correctamente con el conmutador
Propósito
Compruebe que la máquina virtual se asoció correctamente con el conmutador. Después de asociar correctamente el perfil de VSI con la interfaz del conmutador, compruebe el aprendizaje de la dirección MAC de la máquina virtual en la tabla MAC o en la tabla de base de datos de reenvío. El tipo de aprendizaje de las direcciones MAC de la MÁQUINA virtual será VDP, y cuando se apague correctamente la máquina virtual, la entrada MAC-VLAN correspondiente se eliminará de la tabla FDB, de lo contrario, nunca se apagará.
Acción
user@switch# run show ethernet-switching table Ethernet-switching table: 10 entries, 4 learned VLAN MAC address Type Age Interfaces v3 * Flood - All-members v3 00:02:a6:11:bb:1a VDP - ge-1/0/10.0 v3 00:02:a6:11:cc:1a VDP - ge-1/0/10.0 v3 00:23:9c:4f:70:01 Static - Router v4 * Flood - All-members v4 00:02:a6:11:bb:bb VDP - ge-1/0/10.0 v4 00:23:9c:4f:70:01 Static - Router v5 * Flood - All-members v5 00:23:9c:4f:70:01 Static - Router v5 52:54:00:d5:49:11 VDP - ge-1/0/20.0
Verificar que se aprenden perfiles de VSI en el conmutador
Propósito
Compruebe que se están aprendiendo perfiles de VSI en el conmutador.
Acción
user@switch# show edge-virtual-bridging vsi-profiles
Interface: ge-0/0/20.0
Manager: 97, Type: 997, Version: 3, VSI State: Associate
Instance: 09b11c53-8b5c-4eeb-8f00-c84ebb0bb997
MAC VLAN
00:10:94:00:00:04 3Significado
Cada vez que se inician máquinas virtuales configuradas para VEPA en el servidor, las máquinas virtuales comienzan a enviar mensajes VDP. Como parte de este protocolo, los perfiles de VSI se aprenden en el conmutador.
Si el resultado tiene valores para administrador, tipo, versión, estado de VSI e instancia, los perfiles VSI se aprenden en el conmutador.