VXLAN网络模型详解

Posted 2021-04-07 网工与H3C

VXLAN（Virtual eXtensible LAN，可扩展虚拟局域网络）是基于IP网络、采用“MAC in UDP”封装形式的二层VPN技术。VXLAN可以基于已有的服务提供商或企业IP网络，为分散的物理站点提供二层互联，并能够为不同的租户提供业务隔离。VXLAN主要应用于数据中心网络。

VXLAN具有如下特点：

·     支持大量的租户：使用24位的标识符，最多可支持2的24次方（16777216）个VXLAN，使支持的租户数目大规模增加，解决了传统二层网络VLAN资源不足的问题。

·     易于维护：基于IP网络组建大二层网络，使得网络部署和维护更加容易，并且可以充分地利用现有的IP网络技术，例如利用等价路由进行负载分担等；只有IP核心网络的边缘设备需要进行VXLAN处理，网络中间设备只需根据IP头转发报文，降低了网络部署的难度和费用。

目前，设备只支持基于IPv4网络的VXLAN技术，不支持基于IPv6网络的VXLAN技术。

1.1  VXLAN网络模型

VXLAN技术将已有的三层物理网络作为Underlay网络，在其上构建出虚拟的二层网络，即Overlay网络。Overlay网络通过封装技术、利用Underlay网络提供的三层转发路径，实现租户二层报文跨越三层网络在不同站点间传递。对于租户来说，Underlay网络是透明的，同一租户的不同站点就像工作在一个局域网中。

图1-1 VXLAN网络模型示意图

 

如图1-1所示，VXLAN的典型网络模型中包括如下几部分：

·     VM（Virtual Machine，虚拟机）：在一台服务器上可以创建多台虚拟机，不同的虚拟机可以属于不同的VXLAN。属于相同VXLAN的虚拟机处于同一个逻辑二层网络，彼此之间二层互通；属于不同VXLAN的虚拟机之间二层隔离。VXLAN通过VXLAN ID来标识，VXLAN ID又称VNI（VXLAN Network Identifier，VXLAN网络标识符），其长度为24比特。

·     VTEP（VXLAN Tunnel End Point，VXLAN隧道端点）：VXLAN的边缘设备。VXLAN的相关处理都在VTEP上进行，例如识别以太网数据帧所属的VXLAN、基于VXLAN对数据帧进行二层转发、封装/解封装报文等。VTEP可以是一台独立的物理设备，也可以是虚拟机所在的服务器。

·     VXLAN隧道：两个VTEP之间的点到点逻辑隧道。VTEP为数据帧封装VXLAN头、UDP头和IP头后，通过VXLAN隧道将封装后的报文转发给远端VTEP，远端VTEP对其进行解封装。

1.2  VXLAN报文封装格式

图1-2 VXLAN报文封装示意图

 

如图1-2所示，VXLAN报文的封装格式为：在原始二层数据帧外添加8字节VXLAN头、8字节UDP头和20字节IP头。其中，UDP头的目的端口号为VXLAN UDP端口号（缺省为4789）。VXLAN头主要包括两部分：

·     标记位：“I”位为1时，表示VXLAN头中的VXLAN ID有效；为0，表示VXLAN ID无效。其他位保留未用，设置为0。

·     VXLAN ID：用来标识一个VXLAN网络，长度为24比特。

1.3  VXLAN运行机制

VXLAN运行机制可以概括为：

(1)     发现远端VTEP，在VTEP之间建立VXLAN隧道，并将VXLAN隧道与VXLAN关联。

1.3.1  建立VXLAN隧道并将其与VXLAN关联

为了将VXLAN报文传递到远端VTEP，需要创建VXLAN隧道，并将VXLAN隧道与VXLAN关联。

1. 创建VXLAN隧道

2. 关联VXLAN隧道与VXLAN

VXLAN隧道与VXLAN关联的方式为：手工将VXLAN隧道与VXLAN关联。

1.3.2  识别报文所属的VXLAN

1. 本地站点内接收到数据帧的识别

VTEP将连接本地站点的三层接口与VSI关联。VTEP从三层接口接收到数据帧后，查找与其关联的VSI，VSI内创建的VXLAN即为该数据帧所属的VXLAN。

在VXLAN中，与VSI关联的三层接口称为AC（Attachment Circuit，接入电路）。

2. VXLAN隧道上接收报文的识别

对于从VXLAN隧道上接收到的VXLAN报文，VTEP根据报文中携带的VXLAN ID判断该报文所属的VXLAN。

1.3.3  学习MAC地址

1. 本地MAC地址学习

2. 远端MAC地址学习

1.3.4  转发单播流量

1. 站点内流量

图1-3 站点内单播流量转发

 

2. 站点间流量

图1-4 站点间单播流量转发

 

(4)     VTEP 1为数据帧封装VXLAN头、UDP头和IP头后，将封装好的报文通过VXLAN隧道Tunnel1、经由P设备发送给VTEP 2。

(5)     VTEP 2接收到报文后，根据报文中的VXLAN ID判断该报文属于VXLAN 10，并剥离VXLAN头、UDP头和IP头，还原出原始的数据帧。

(7)     VTEP 2从接口GigabitEthernet1/1/1的VLAN 20内将数据帧发送给VM 7。

1.3.5  转发泛洪流量

泛洪流量包括组播、广播和未知单播流量。流量泛洪方式为单播路由方式（头端复制）。

在单播路由方式下，VTEP负责复制报文，采用单播方式将复制后的报文通过本地接口发送给本地站点，并通过VXLAN隧道发送给VXLAN内的所有远端VTEP。

图1-5 单播路由方式转发示意图

 

如图1-5所示，单播路由方式的泛洪流量转发过程为：

(1)     VTEP 1接收到本地虚拟机发送的组播、广播和未知单播数据帧后，判断数据帧所属的VXLAN，通过该VXLAN内除接收接口外的所有本地接口和VXLAN隧道转发该数据帧。通过VXLAN隧道转发数据帧时，需要为其封装VXLAN头、UDP头和IP头，将泛洪流量封装在多个单播报文中，发送到VXLAN内的所有远端VTEP。

(2)     远端VTEP（VTEP 2和VTEP 3）接收到VXLAN报文后，解封装报文，将原始的数据帧在本地站点的指定VXLAN内泛洪。为了避免环路，远端VTEP从VXLAN隧道上接收到报文后，不会再将其泛洪到其他的VXLAN隧道。

1.4  ARP泛洪抑制

图1-6 ARP泛洪抑制示意图

 

如图1-6所示，ARP泛洪抑制的处理过程如下：

(2)     VTEP 1根据接收到的ARP请求，建立VM 1的ARP泛洪抑制表项，并在VXLAN内泛洪该ARP请求（图1-6以单播路由泛洪方式为例）。

(3)     远端VTEP（VTEP 2和VTEP 3）解封装VXLAN报文，获取原始的ARP请求报文后，建立VM 1的ARP泛洪抑制表项，并在本地站点的指定VXLAN内泛洪该ARP请求。

(4)     VM 7接收到ARP请求后，回复ARP应答报文。

(5)     VTEP 2接收到ARP应答后，建立VM 7的ARP泛洪抑制表项，并通过VXLAN隧道将ARP应答发送给VTEP 1。

(6)     VTEP 1解封装VXLAN报文，获取原始的ARP应答，并根据该应答建立VM 7的ARP泛洪抑制表项，之后将ARP应答报文发送给VM 1。

(8)     VTEP 1接收到ARP请求后，建立VM 4的ARP泛洪抑制表项，并查找本地ARP泛洪抑制表项，根据已有的表项回复ARP应答报文，不会对ARP请求进行泛洪。

(10)     VTEP 3接收到ARP请求后，建立VM 10的ARP泛洪抑制表项，并查找本地ARP泛洪抑制表项，根据已有的表项回复ARP应答报文，不会对ARP请求进行泛洪。