VXLAN深度技术胶片PPT课件

数据中心VXLAN解决方案,术语缩写释义,与客户交流时请X删除,BUM-Broadcast,Multicast,UnknownUnicastNVE-NetworkVirtualEndpointToR-TopofRackVXLAN-VirtualeXtensibleLocalAreaNetworkVXLANSegment-VXLANLayer2overlaynetworkoverwhichVMscommunicateVXLANOverlayNetwork-VXLANSegmentVXLANGateway-anentitywhichforwardstrafficbetweenVXLANandnon-VXLANenvironmentsVTEP-VXLANTunnelEndPoint-anentitywhichoriginatesand/orterminatesVXLANtunnelsVLAN-VirtualLocalAreaNetworkVM-VirtualMachineVNI-VXLANNetworkIdentifier(orVXLANSegmentID),目录,需求与挑战,特性描述,应用与部署,需求背景：数据中心虚拟化,计算/存储/网络资源池化，虚拟化，与物理位置无关，资源利用率高。网络和业务联动，自动部署；网络资源基于业务按需分配。需支持大规模的租户和业务ID(4K数M)，实现逻辑隔离。,物理位置相关的DC资源和管道资源，资源利用率低。网络和业务分离，业务开通时间长，业务扩展受物理位置限制。各DC基础设施资源独立，小二层网络。租户隔离限制在DC内，无大于4K需求。,演进方向,传统数据中心,DC1,DC2,DC3,DC4,Network,VirtualNetwork,Computing/StoragePool,Hypervisor,NetworkHypervisor,CustomerbuyvDC,includingvirtualcomputing/storage/network,Server/Storage,Application,虚拟化的数据中心,vDC1,vDC2,vDC3,需求背景：数据中心多租户需求,VLAN最大支持4K个广播域，虚拟化数据中心中租户规模远超过4K，每个租户都需要独立的隔离的广播域，基于VLAN的二层隔离技术不能满足云虚拟化数据中心多租户需求。,需求背景：虚拟机迁移需求,服务器规模增长ScaleUP大容量：服务器IO性能增长，10G/40G端口应用。ScaleOut交互多：分布式业务大量应用，交互大幅增长。资源灵活调度服务器虚拟化后，需要网络提供更大范围二层域，适应虚拟机的灵活迁移和IT资源整合。,特性概述：VXLAN简介,VXLAN（VirtualExtensibleLAN）技术简介:VxLAN是一种overlay的网络技术，使用MACoverUDP封装实现多租户公有云数据中心虚拟二层网络，VXLAN技术具有以下特点：24位的VXLAN网络标识符可以支持多达16M的VxLAN段的网络隔离MacoverUDP的报文封装，二层网络叠加在三层网络之，实现二层网络在三层网络上的延伸。物理网络和虚拟网络解耦，租户可以独立规划自己的IP地址空间。,2011年，由VMWare等IT厂商和Cisco为代表的CT厂商共同向IETF发起VxLAN的草案。2014年8月VxLAN基础协议正式发布为RFC7348。VXLAN技术支持厂商多，技术较成熟。,特性概述：VXLAN报文格式,如上，包括VXLAN外层封装和内层的原始净荷,其中:Flags(8bits)其中I必须被设置为1，才是有效的。R需设为0。VXLANSegmentID/VXLANNetworkIdentifier(VNI)为24bit，是虚拟网络的标识。Reservedfields(24bitsand8bits)必须被设置为0.VXLAN外层隧道的目的端口号为4789，为专为VXLAN分配的端口号。,特性概述：VxLAN网络标识符,VNI（VXLANNetworkIdentifier），VxLAN网络标识符，类似VLANtag，VxLAN使用VNI标识不同的网段,特性概述：VTEP,基于软件实现优点：TOR交换机不需要虚拟感知，实现简单缺点：消耗主机硬件资源，影响性能；故障定位与流量识别比较困难。,基于硬件ASIC芯片实现优点：高性能，线速转发能力；尤其南北流WAN侧支持异构服务器缺点：功能灵活性受芯片厂商限制；TOR交换机需要借助虚拟感知功能才能实现端到端流程的打通。,VTEP(VirtualTunnelEndPoint):VXLAN隧道端点，报文在VTEP处进行VxLAN报文头的封装与解封装。,特性描述：VXLANSDN解决方案,提供完善的SDN+VXLAN解决方案，实现VXLAN业务的自动化部署TORNVE:VXLAN虚拟网络边缘，VXLAN隧道的终结点，用于用户虚拟机接入VXLAN网络。VXLANGateway:VXLAN网关，用于VLAN、VXLAN网络，VXLAN网络之间不同子网间三层互通。SDNController(DCController,DCIController):SDN控制器，用于和协同层一起，构建vxlan网络，下发TOR和VXLANGateway的转发表项。NetMatrix:Netmatrix是华为SDN领域的新一代网管产品，北向通过RESTful与Neutronplug-in互通，与云平台协同实现自动化。南向通过Netconf与华为SDN控制器、防火墙互通，负责业务模版定义和业务发放。OpenStack:OpenStack是一个开源的云平台，负责DC业务的整体协同，包括存储、计算、网络。,NetMatrix,DCFabric,TOR,TOR,TOR,DCFabric,TOR,TOR,TOR,Providernetwork,PE2,DC1Controller,NVE,server,NVE,NVE,CoreSwitch,CoreSwitch,DCIController,DC2Controller,NVE,server,NVE,CoreSwitch,CoreSwitch,NVE,Openstack,特性描述：VXLAN业务SDN控制面,OpenStack提供了虚拟网络管理的接口，通过openstack可以对IT和网络系统进行解耦，华为SDN+VXLAN解决方案支持openstack虚拟网络管理的功能，netmetrix组件对外提供对接openstack网络管理的restful接口，openstack下发的网络操作接口通过netmetix翻译为netconf消息，下发给SNC,SNC可以根据下发的抽象网络操作接口实现自动生成vxlanfabric网络，将用户接入VXLAN网络，下发流表信息等功能。华为SDN+VXLAN解决方案也支持与vmware云平台对接。,业务流程,特性描述：VXLAN二层网关,VXLAN二层网关用于传统以太网络和虚拟化VXLAN网络的互通，VXLAN二层网关工作流程如下：1、VXLAN二层网关从传统网络收到以太报文，根据报文接入的Port和VLAN信息获取对应的二层广播域；查mac表找到出接口和封装信息，进行封装与转发；缺省需要剥掉原二层头的VLANTAG;然后新加VXLAN封装，包含VXLAN头VNI、VXLANUDP头、VXLAN隧道头（DIPSIP）以及外层二层头；完成vxlan报文封装后，根据vxlan隧道头目的IP查路由表发送报文。2、VXLAN二层网关从VXLAN网络收到vxlan报文，首先根据vxlan隧道表检查VXLANUDPD_PORT、VXLAN隧道DIPSIP、VXLANVNI的合法有效性；然后根据VXLANVNI获取对应的二层广播域;然后解VXLAN封装，获取内层二层报文，根据二层报文目的mac地址查mac表发送报文。,业务流程,特性描述：VXLANL3网关,不同网段的VXLAN网络之间通信，以及不同网段VXLAN网络和非VXLAN网络的通信，需要通过VXLAN三层网关实现，VXLAN三层网关工作流程如下：1、VXLAN三层网关收到vxlan报文后解封装获取内层二层报文，判断二层报文目的mac为本机mac，入三层转发流程。根据内层报文的目的IP地址查路由表，进行三层转发。2、根据路由表获取下一跳IP地址，根据IP地址查ARP表，如果ARP表出接口为VXLAN隧道（DC产品实现），则按照ARP表中的VXLAN隧道封装信息进行vxlan封装，然后将报文发送出去。,业务流程,特性描述：VXLANL3分布式网关,VxLAN,vSwitch,vSwitch,物理服务器,虚拟服务器,虚拟服务器,WAN,增值业务设备,Leaf,Leaf,Leaf,Leaf,spine,spine,私网侧,公网侧,Border-leaf,Leaf节点是VXLAN网络边缘设备，Leaf节点支持分布式网关功能。终端设备可以通过二层或三层网络接入Leaf节点。二层接入时候，Leaf需要支持ARP/ND处理。三层接入时候，Leaf和外部网络支持普通私网路由协议。Leaf节点之间支持ARP或路由同步。Leaf节点可以为TOR/AGG，或OVS。,特性描述：VXLANL3分布式网关转发,Spine1,Spine2,Leaf1,ServerVNI20,Leaf4,vSwitch,VM3VNI10,DA（Leaf4）,1.租户主机或VM发出跨子网的IP报文,2.1).DA=GW，根据用户报文查找网关接口，根据接口的VRF，报文走三层转发，路由下一跳指向Vxlan隧道2.2).进行Vxlan隧道封装，填写SA、DA、VNI,3.不同的Leaf间通过一个共享的VRFVNI拉通，替换内层以太头，报文封装VRFVNI，封装外层IP,4.1vniVRF查找找到BDIF4.2根据BDIFMAC=DMAC，走三层转发。【BDIFMAC是VTEPMAC】4.3根据网络侧BDIF查找到VRF，VRF内查主机路由，替换以太头发给目标主机,特性描述：VXLANL3分布式网关典型场景跨子网互通,如图，Leaf1下挂的主机H1与Leaf2下挂的主机H2分别属于子网VNI10和VNI20，且他们接入的是同一VPN；H1要访问H2，就是同一VRF不同子网互通。,如图，H1与H2属于不同子网，且属于不同VRF，这样在Leaf上无法互相学到对方的主机路由；场景1：不同VM直接互通，采用增加IRT直接导入方案leaf1和leaf2上VRF1和VRF2分别配置对方的IRT，直接实现互通。主要应用于不同VM直接互通场景，该方案流量路径不用环回，路径优。场景2：多个VRF需访问同一公共域，采用Hub-Spoke方案多个VRF需要同时访问同一公共域，比如同一租户的不同VRF要走防火墙。如图，leaf1上VRF1与VRF2要互访，需要通过Hub-leaf、Hub-CE做环回。,特性描述：VXLANL3分布式网关典型场景跨VRF互通,特性描述：VXLANL3分布式网关典型场景外部L3网络接入,如图，Boardleaf连接外部路由器Router，Boardleaf与Router部署OptionA：Boardleaf与router把对方互看做CE；Boardleaf与router直接部署正常的L3路由协议；当存在多个Boardleaf时，所以不能发缺省路由。,特性描述：VXLANL3分布式网关典型场景1个VRF对多个VRF,特性描述：ARP广播抑制,一般的广播报文会在二层网络进行泛洪，这样既浪费带宽、影响网络性能，而且容易引起环路等网络问题，ARP请求报文是二层网络中最为普遍的一种广播报文，ARP代答功能可以抑制ARP请求广播报文，减少广播报文对网络的影响，ARP代答的过程如下：1、openstack在创建vm时，将vm的(ip,mac)信息下发给SNC,SNC对vm信息进行缓存，用于ARP代答。2、主机发送ARP请求报文到TOR，TOR将ARP报文通过openflow通道上送给SNC。3、SNC查询ARP缓存表，SNC查找到ARP缓存表情况下，代替ARP请求的主机进行应答，将应答报文通过openflow通道发送给TOR，TOR解openflow封装，将ARP应答报文发送主机，主机可以学习到请求的ARP表项。4、SNC查找不到ARP缓存表情况下，将报文发给转发器进行广播，远端主机收到请求报文后进行arp应答，主机根据应答学习到请求的ARP。,业务流程,特性描述：VXLAN已知单播转发,1、TOR1收到来自终端H1的报文，根据报文中接入的端口和VLAN信息获取对应的二层广播域，并判断报文的目的MAC是否为已知单播MAC，如果是已知单播报文，则走已知单播流程，否则走BUM报文转发流程。2、TOR1判断是已知单播的情况下，TOR1上VTEP根据查找到的VNI和远端VTEP地址进行VXLAN封装和报文转发。封装后的VXLAN报文通过TOR1和TOR2之间的IP网络进行转发。3、TOR2上VTEP收到VXLAN报文后，根据UDP目的端口号、源/目的IP地址、VNI判断VXLAN报文的合法有效性。依据VNI获取对应的二层广播域，然后进行VXLAN解封装，获取内层二层报文。4、TOR2根据内层二层报文的目的MAC，查MAC表找到的出接口和封装信息，为报文添加VLANTag，转发给对应的终端H3。,业务流程,特性描述：VXLANBUM报文转发,1、TOR1收到来自终端H1的报文，根据报文中接入的端口和VLAN信息获取对应的二层广播域，并判断报文的目的MAC是否为BUMMAC，如果是则进入BUM报文转发流程，否则走单播流程进行转发。2、在TOR1判断是BUM报文的情况下，TOR1上VTEP根据对应的二层广播域获取对应VNI的头端复制隧道列表，依据获取的隧道列表进行报文复制，并进行VXLAN封装，并从出端口转发。3、TOR2/TOR3上VTEP收到VXLAN报文后，根据UDP目的端口号、源/目的IP地址、VNI判断VXLAN报文的合法有效性。依据VNI获取对应的二层广播域，然后进行VXLAN解封装，获取内层二层报文。4、TOR2/TOR3根据获取的内层二层报文进行转发，如果二层报文的目的mac能够命中mac表,则根据mac表中查找到的端口进行报文封装和转发，否则将报文广播到TOR的用户侧端口。,业务流程,方案亮点：,对接主流云管理平台,完善的网络解决方案,华为VXLAN解决方案,高性能硬件网关,三层VXLAN网关二层VXLAN网关分布式网关支持头端复制模式ARP广播流量消除,VMwareOpenstack,完善的SDN解决方案完善的二层和三层解决方案,方案亮点,对接主流的云管理平台目前支持和Openstack和VmWare云平台集成，实现VXLAN业务的自动部署。高性能的硬件网关，支持硬件VXLAN二层和三层网关，对于BUM报文支持头端复制模式，无需部署组播，SNC控制器支持ARP代答，消除ARP广播流量，提升网络性能。完善的SDN解决方案可以通过SDN控制器统一控制转发VXLAN流量的转发器，提供DC内同子网流量互通和跨子网流量互通的解决方案，提供DC之间流量互通的解决方案。,应用与部署：不同物理数据中心相同子网互通,Vm1和vm2属于两个不同物理数据中心中的虚拟机，这两个虚拟机属于同一个子网的vxlan网络，我们以VM1和VM2互通，说明一下业务走向。1、VM1预发送报文到VM2，首先发送ARP请求获取VM2的MAC，通过ARP代答机制，VM1学习到VM2的ARP，然后VM1封装报文发送。2、TOR1受到VM1报文，查询SNC下发的MAC转发表进行转发。3、TOR1的MAC转发表包含macaddress、vni和vxlan隧道信息，TOR转发前，会根据vxlan隧道信息进行封装，会在原来的报文外面添加vxlanhead，封装后的外层报文源IP和目的IP为Tunnel的源IP和目的IP，完成vxlan封装，依附基础网络进行传输。4、TOR3收到vxlan报文，进行vxlan解封装，同时根据TOR3配置的vlan和vxlan关系，把解封装后的报文打上vlan标签，给VM2传输。5、VM2所在的Vswitch会对vlan解封装，数据传输到VM2。,业务流程,应用与部署：跨虚拟数据中心的虚拟机互通,Vm1和vm2属于两个不同物理数据中心中的虚拟机，这两个虚拟机属于两个不同子