什么是VXLAN(什么是VXLAN中的VTEP)
Vxlan的作用
VXLAN是一種現代網絡協議,廣泛部署在數據中心云中,是當今軟件定義的網絡。如果您想了解VXLAN協議及其工作原理,您首先需要知道為什么我們需要一個新協議以及它試圖解決什么問題。以及VLAN和VXLAN的區別。許多人感到困惑,他們認為VXLAN和VLAN是相同的,但事實并非如此。那么我們來看看VLAN和VXLAN的區別。
VLAN和VXLAN的區別
VLAN是一種對二層網絡進行分段的機制,將單個廣播域分成多個廣播域。因為VLAN有一個12位的標簽,所以允許的最大VLAN為4094,這對于傳統網絡來說綽綽有余,但對于一切都在云中且具有多租戶的現代網絡來說,就不夠了。
由于VLAN使用STP,并且交換機之間有多個冗余鏈路,因此其中只有一個處于轉發狀態。這會產生另一個問題,即它不能有效地使用鏈接的一半,因此您需要設法有效地使用鏈接。
相比之下,VXLAN是一種隧道封裝協議,在UDP封裝中使用mac。VXLAN將VLANID映射到VXLANVNID。您可以將VLAN從一個位置延伸到第三層或underlay網絡上的另一個位置,而不是僅僅在同一個layer2域中承載VLAN。您可以在位置A中使用VLAN100,在位置B中使用VLAN100。借助VXLAN,您可以通過第3層與地理上分離的VLAN進行通信。好像是同一個L2域。
基本上,將在VTEP之間創建一個VXLAN隧道。VXLAN虛擬隧道作為Overlay網絡,實際網絡作為underlay網絡。現在您可能想知道什么是underlay網絡和overlay網絡,我們也會討論這個問題。如果您考慮今天的VLAN,就會有一些限制。只有4094個VLAN可供使用,許多客戶遷移到云中,物理服務器被虛擬機取代。僅4094個VLAN的可用性是不夠的。
特別是如果您是一家云公司或任何向多個客戶提供服務的網絡服務提供商,您肯定會很快用完這些VLAN。所以我們需要一些東西來幫助我們在多個客戶之間擁有相同的VLAN。因此,我們可以將VLAN100與客戶A和客戶B一起使用,而VXLAN在邏輯上將兩者分開。
由于VXLAN標頭是24位的,因此您可以攜帶多達1600萬個VNID,并且在涉及云中的多租戶環境時為服務提供商提供了極大的靈活性。現在您知道VXLAN和VLAN是不一樣的。我們今天在網絡中仍然使用VLAN,但是VXLAN在使用VLAN的同時提供了更多的封裝選項。
Vxlan中的Vtep
傳統的網絡設備無法讀取VXLAN數據包,要使用VXLAN需要使用稱為vxlan隧道端點設備的VTEP。VTEP可以封裝和解封裝VXLAN數據包;有兩種類型的VTEP。基于硬件和基于軟件。VTEP通常配置有IP地址。說起VXLAN,就會發現大家都在說underlay和overlayIP網絡,那么什么是overlay和underlay網絡呢?
overlay和underlay之間的差異
underlay網絡
我們談到了在Layer3網絡上承載VLAN的VXALN,這只是underlay網絡。underlay網絡是一個物理網絡,可讓您在網絡設備(例如路由器、交換機甚至防火墻)之間進行連接。它還使用傳統的網絡協議來路由主機之間的流量。例如,下面是兩個網絡服務網關或(如果您從傳統網絡角度來看,則為路由器),它通過互聯網鏈接internet-1連接。您可以將其視為underlay網絡。每個鏈接都有其公共IP網絡。所以這里的ISP提供了underlay連接。
這些NSG可以在地理上分開的任何地方。
Overlay網絡
overlay網絡是在underlay網絡基礎架構之上路由的虛擬網絡。路由決策將在軟件的幫助下進行。
基于IPsec的VXLAN
XLAN是否提供開箱即用的安全性?它沒有。您通常不需要在數據中心進行任何加密,因為它是一個受信任的區域,但是如果您開始將VXLAN流量發送到Internet,類似于Nuagesd-wan的實施方式,您需要在其之上使用IPsec加密VXLAN隧道。下面的示例顯示了兩個overlay私有IP地址空間,10.1.1.0/24和10.2.2.0/24通過公共underlay路由(Internet-1。從最終用戶的角度來看,他們不知道這些變化。
綠線代表overlay網絡
Overlay和underlay簡單表述
您是否曾在VMware或KVM等虛擬化領域工作過?在虛擬化中,您擁有VM所在的主機稱為Hostmachine(管理程序),而VM稱為GuestVM。同樣,物理網絡稱為Underlay網絡,而運行在物理網絡之上的網絡稱為overlay網絡。
基于Underlay網絡的情況
當underlay(Internet-1)網絡出現故障時,overlay網絡也會出現故障,因為遠程主機沒有第3層IP可達性。
基于Overlay網絡的情況
當Overlay網絡出現故障時,Underlay網絡繼續工作,但是,您的生產流量將關閉,并且Underlay不知道這些網絡中斷中的任何一個。由于overlay獨立于underlay網絡。那么如果underlay是核心網絡,我們如何避免underlay上的網絡中斷呢?在數據中心環境中,交換機之間可以有多個鏈路,因為沒有STP并且VXLAN使用ECMP來平衡鏈路之間的負載。當任何鏈路發生故障時,您仍然可以通過其他鏈路獲得冗余。對于SD-WAN,您可以將輔助ISP(internet-2)鏈接作為underlay。
現在您可以使兩個互聯網鏈接都處于活動狀態,這意味著它可以對流量進行負載平衡或進行活動待機,這意味著即使internet-1出現故障,互聯網兩個也會接管underlay流量并為overlay提供冗余。
overlay網絡不知道underlay網絡上的任何這些變化。只要underlay網絡可用,它就會繼續轉發流量。這個概念在SDN網絡的故障排除過程中也很有用。您還可以根據存在問題的圖層(underlay或overlay層)縮小問題范圍。
