最近自己看了下视频,了解了下vxlan,自行写个博客做个笔记
vxlan是一个大二层技术,组网结构一般都是leaf-spine结构,leaf-spine上构建三层互联网络,同时leaf/spine交换机也是VTEP端点,对于进入交换机或除交换机的结构上进行vxlan的封装与解封装,从而实现二层数据帧在三层网络上转发。
当服务器发出一个数据包以数据帧的格式进入交换机时,当该交换机是一个VTEP节点,并且针对该二层帧会进行vxlan封装(首先加上vxlan头部,并且根据源数据包的目的地址选择需要封装的隧道构建新数据包的源、目的地址,并为新的数据包构建新的二层头部),当新构建的数据包到达对端VTEP节点时,该节点会解开该vxlan报文,并根据报文中的vxlan ID决定往当前网络中的哪一个二层vlan网络中转发(华为的交换机是vxlan-->domainid-->vlan)。
集中式网关
vxlan网络中根据网关的分布情况分为集中式网关和分布式网关。在集中式网络环境中,该网络内的所有的三层网关全部集中在spine交换机上,网络内所有的跨网络访问流量都得经过spine中转(网络中不同的租户通过VPC隔离开),当同一租户的的不同网段的虚机处在同一个物理机时,并且该2台物理机需要通信时,流量会流经leaf、spine交换机,造成次优路径,并且对交换机带宽也是一种浪费,于是就有了分布式网关的网络架构。
在集中式网关的场景下,当由于网络健壮性需求存在多个spine节点时,为使spine节点都能同时转发三层网络流量,更高的利用网络带宽,一般使用多活网关的方式。以双活网关为例,由于vxlan隧道都是以本地环回口的地址当做是vxlan隧道接口,当两台spine交换机都使用同一个环回口地址时,下层leaf交换机无法感知到上面是存在一个spine交换机还是多个spine交换机。环回口地址配置好后,在两台spine交换机上配置相同的三层网关地址,并配置相同的MAC地址,配置完成后,对于下面的leaf交换机而言,二层数据到达网关存在两条对等的三层路由(vxlan二层是构建在三层通信上)。因此,当网络内主机需要跨网段访问时,它会将数据包的MAC地址改为自己网关的MAC地址,leaf交换机收到该数据包时,根据本地桥表选择vxlan包的目的地址,然后会将其封装为一个vxlan的三层包,由于目的地址存在等价路由,因此选择其中的一条路径随机转发,一条路径对应一个spine交换机(多活网关会造成数据包来回路径不一致,但是并不会影响数据包的转发,也不会造成网络不通情况)。在完成多活网关配置后,通常需要配置一个dfs组用于同步两台spine交换机之间的表项。
分布式网关
为了解决次优路径问题,vxlan网络可以使用分布式网关网络架构。使用分布式网关,必须使用EVPN。在分布式网关场景中,当leaf交换机上存在某网段的虚机时,就会在该leaf交换机下创建该网关。分布式网关场景中,需要使用BGP协议用来承载EVPN,使用BGP后,所有VTEP节点之间的tunnel由EVPN动态生成,当网络有内新建虚拟机上线时,会有EVPN协议通过BGP将该主机的物理位置通告至所有网络中。在BGP-EVPN场景中,用这三层vxlan的概念,当同一个租户的几个网段的主机分布在不同的物理机上,而有存在互访需求,由于是分布式的组网结构,各个网关分布在不同的leaf上的虚拟路由器上,而又要实现对用户来说说有网段都接在同一个虚拟路由器上,这个时候就要用到三层VNI(华为的说法)。三层VNI中会配置特殊的RT值,如果RT值相同,就会把对端所携带的EVPN路由加入到自己所在的VPN实例路由表上,实现网络互通(三层VNI和VPC并无直接关联,一个VPC可以使用多个三层VNI,分布式网络中路由的控制并不是有VNI来控制,而是由VNI中的RT值控制,三层VNI只是路由下一跳需要封装的三层VXLAN号,用于标识到对端网络中哪一个具体的VPC内去,通常来说,一个VPC一般使用同一个三层VNI,便于管理,配置也更直观)。
使用了BGP-EVPN后,每个主机上线时其所在位置都会有该协议推送至所有交换机,对于同段的网络,会将该表项加入到MAC表,对于非通断的网络,会变成一个32为的主机路由(同段、不同段是指在该交换机上是否存在该网关)。因此,使用BGP-EVNP可以有效的抑制广播流量,通过特殊配置可以将广播流量变成单播流量。对于集中式网关而言,BGP-EVPN是可选的,对于分布式网关,该协议是必选的。
BGP-EVPN协议type2类型路由就是指32位的主机路由,在某些交换机上可以转化为二层MAC表项
BGP=EVPN协议type3类型路由是指网段路由,用于当MAC地址在表项中无法找到进行全网广播