Overlay網(wǎng)絡(luò)技術(shù)原理介紹課件

Overlay網(wǎng)絡(luò)技術(shù)原理介紹Overlay網(wǎng)絡(luò)技術(shù)原理介紹10102網(wǎng)絡(luò)虛擬化的發(fā)展Overlay基本概念與分類目錄03VXLAN技術(shù)基礎(chǔ)220102網(wǎng)絡(luò)虛擬化的發(fā)展Overlay基本概念與分類目錄032數(shù)據(jù)中心虛擬化起源所謂虛擬化，本身就是一個廣義的通用術(shù)語，保羅萬象。虛擬化是一種資源管理技術(shù)，本質(zhì)是從物理到邏輯的映射，是物理資源的復(fù)用或融合。特點：仿真、透明

實現(xiàn)風(fēng)格：模擬、偽裝起源：分時共享1950s

1960s

1970s 1980s1990s1998

19992001

2003 2004200520062007200820092010

2014虛擬 虛擬內(nèi)存 機虛擬路由轉(zhuǎn)發(fā)VTLRAID 以太網(wǎng)VLAN 通道X86虛擬化DataCoreESXiVmotion虛擬SANXEN虛擬服務(wù)器Invista微軟MetroClusterSAN 彈性卷控 計算制器 云Hype

vSphe虛擬交換系統(tǒng) r-V reKVM FCoE VDSOpenFlowvSwit VXLch AN23數(shù)據(jù)中心虛擬化起源所謂虛擬化，本身就是一個廣義的通用術(shù)語，保3虛擬化技術(shù)分類虛擬化技術(shù)按實現(xiàn)方法，可以分類為：池化、抽象、分區(qū)。按照技術(shù)領(lǐng)域來劃分，可以分為：網(wǎng)絡(luò)、存儲、服務(wù)器(計算)虛擬化

，其中計算虛擬化是虛擬化劑?；夹g(shù)發(fā)展最重要的催 網(wǎng)絡(luò)虛擬化24存儲虛擬化服務(wù)器虛擬化虛擬內(nèi)存vSwitchFCOEUCSVXLANNVGREVPLSVLANTRILL SPBRAID陣列虛擬化虛擬磁帶庫LUNx86虛擬化大型機虛擬化時分共享虛擬化技術(shù)分類虛擬化技術(shù)按實現(xiàn)方法，可以分類為：池化、抽4計算虛擬化業(yè)務(wù)的發(fā)展25計算虛擬化業(yè)務(wù)經(jīng)歷了由單一到多元、分散到統(tǒng)一、由集中到分布，由局限于設(shè)備的虛擬化到整體數(shù)據(jù)中心云化，最后再由云服務(wù)各行各業(yè)的過程。云計算的出現(xiàn)極大推動了計算虛擬化技術(shù)的提升，也促進了其他虛擬化技術(shù)的發(fā)展。1959年6月，Chirstopher首次提出計算虛擬化概念。1965年，IBM發(fā)布首款操作系統(tǒng)虛擬化技術(shù)1974年，

Popek和Goldberg正式定義虛擬機。1998年，Vmware將虛擬化技術(shù)引入x86架構(gòu)。1999年，第一個商業(yè)化IaaS平臺LoudCloud出現(xiàn).2000年

,SaaS興起。2004年，Google發(fā)布MapReduce論文，大數(shù)據(jù)基石Hadoop出現(xiàn)。2005年，亞馬遜推出AWS，公有云業(yè)務(wù)進入蓬勃發(fā)展。計算虛擬化業(yè)務(wù)的發(fā)展25計算虛擬化業(yè)務(wù)經(jīng)歷了由單一到多元、分5計算虛擬化面臨的挑戰(zhàn)26隨著計算虛擬化發(fā)展，DC內(nèi)大量部署的虛擬機提供云服務(wù)。部署虛擬機需要在網(wǎng)絡(luò)中無限制地遷移，虛擬機數(shù)量和增長速度也遠超物理服務(wù)器，給計算虛擬化帶來了新的挑戰(zhàn)。虛擬機遷移范圍受到網(wǎng)絡(luò)架構(gòu)限制遷移的不中斷性限制了網(wǎng)絡(luò)是二層傳統(tǒng)的STP等部署繁瑣，配置復(fù)雜，并且網(wǎng)絡(luò)規(guī)模不能過大，限制了虛擬化的網(wǎng)絡(luò)擴展性各廠家私有的設(shè)備級虛擬化技術(shù)（如IRF）雖然可以簡化拓撲，單只能一般適合于數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)計算虛擬化面臨的挑戰(zhàn)26隨著計算虛擬化發(fā)展，DC內(nèi)大量部署的6計算虛擬化面臨的挑戰(zhàn)27虛擬機規(guī)模受網(wǎng)絡(luò)規(guī)格限制在二層網(wǎng)絡(luò)環(huán)境下，MAC地址表成為決定了云計算環(huán)境下虛擬機的規(guī)模上限的瓶頸，限制了整個云計算數(shù)據(jù)中心的虛擬機數(shù)量。虛擬化業(yè)務(wù)的網(wǎng)絡(luò)隔離/分離能力限制VLAN數(shù)量在標(biāo)準(zhǔn)定義中只有12個比特單位，即可用的數(shù)量為4K，這樣的數(shù)量級對于公有云或大型虛擬化云計算應(yīng)用而言微不足道計算虛擬化面臨的挑戰(zhàn)27虛擬機規(guī)模受網(wǎng)絡(luò)規(guī)格限制7網(wǎng)絡(luò)虛擬化技術(shù)概述28什么是網(wǎng)絡(luò)虛擬機化：可以構(gòu)建出虛擬的網(wǎng)絡(luò)鏈路或網(wǎng)絡(luò)節(jié)點的技術(shù)，無論是二層的、大二層的、三層的，還是多虛一、一虛多，都屬于網(wǎng)絡(luò)虛擬化技術(shù)。網(wǎng)絡(luò)虛擬化的分層：數(shù)據(jù)平面、控制平面、管理平面網(wǎng)絡(luò)虛擬化的優(yōu)點：可擴展性、靈活性、安全性、構(gòu)建邏輯分區(qū)網(wǎng)絡(luò)虛擬化從來不是單獨發(fā)展的，而是和服務(wù)器虛擬化、存儲虛擬化并列發(fā)展的，為解決計算虛擬化面臨的挑戰(zhàn)，發(fā)展出了多種新的網(wǎng)絡(luò)虛擬化技術(shù)，網(wǎng)絡(luò)虛擬化進入高速發(fā)展期。網(wǎng)絡(luò)虛擬化技術(shù)概述28什么是網(wǎng)絡(luò)虛擬機化：8網(wǎng)絡(luò)虛擬化技術(shù)的發(fā)展29計算虛擬化面臨的挑戰(zhàn)，要求網(wǎng)絡(luò)虛擬化能夠以較低成本提供一個擁有充足隔離能力的透明大二層網(wǎng)絡(luò)。STP:部署繁瑣，無法構(gòu)建跨三層的二層網(wǎng)絡(luò)，規(guī)模有限IRF:簡化網(wǎng)絡(luò)拓撲，強制要求拓撲，只能用于數(shù)據(jù)中心內(nèi)部EVB：包括VEB、VEPA等部分，只能解決虛擬機網(wǎng)絡(luò)接入的問題。802.1Qbh：需要專門芯片支持，廠商限制嚴(yán)重，也只能解決接入層。Trill:引入了L2

ISIS做為尋址協(xié)議，在內(nèi)外層Ethernet報頭之間引入了TRILL報頭，使用NickName作為轉(zhuǎn)發(fā)標(biāo)識，用于報文在TRILL網(wǎng)絡(luò)中的尋址轉(zhuǎn)發(fā)，MAC

in

MAC，落地情況一般，收斂慢，缺乏運維經(jīng)驗。SPB：同樣使用L2

ISIS做為尋址協(xié)議，MAC

inMAC，負載均衡需要預(yù)配置，缺乏運維經(jīng)驗。需要一種新的網(wǎng)絡(luò)虛擬化技術(shù)來滿足計算虛擬化告訴發(fā)展帶來的需求。網(wǎng)絡(luò)虛擬化技術(shù)的發(fā)展29計算虛擬化面臨的挑戰(zhàn)，要求網(wǎng)絡(luò)虛擬化90102網(wǎng)絡(luò)虛擬化Overlay基本概念與分類目錄03VXLAN技術(shù)基礎(chǔ)10100102網(wǎng)絡(luò)虛擬化Overlay基本概念與分類目錄03VXLOverlay技術(shù)的出現(xiàn)1011Overlay在網(wǎng)絡(luò)技術(shù)領(lǐng)域，是一種網(wǎng)絡(luò)架構(gòu)上疊加的虛擬化技術(shù)模式，其大體框架是對基礎(chǔ)網(wǎng)絡(luò)不進行大規(guī)模修改的條件下，實現(xiàn)應(yīng)用在網(wǎng)絡(luò)上的承載，并能與其它網(wǎng)絡(luò)業(yè)務(wù)分離，并且以基于IP的基礎(chǔ)網(wǎng)絡(luò)技術(shù)為主。Overlay網(wǎng)絡(luò)是指建立在已有網(wǎng)絡(luò)上的虛擬網(wǎng)，邏輯節(jié)點和邏輯鏈路構(gòu)成了Overlay網(wǎng)絡(luò)。Overlay網(wǎng)絡(luò)是具有獨立的控制和轉(zhuǎn)發(fā)平面，對于連接在Overlay邊緣設(shè)備之外的終端系統(tǒng)來說，物理網(wǎng)絡(luò)是透明的。Overlay網(wǎng)絡(luò)的出現(xiàn)是為了實現(xiàn)已有網(wǎng)絡(luò)所不能提供的功能和服務(wù)Overlay網(wǎng)絡(luò)是物理網(wǎng)絡(luò)向云和虛擬化的深度延伸，使云資源池化能力可以擺脫物理網(wǎng)絡(luò)的重重限制，是實現(xiàn)云網(wǎng)融合的關(guān)鍵。Overlay技術(shù)的出現(xiàn)1011Overlay在網(wǎng)絡(luò)技術(shù)領(lǐng)域Overlay技術(shù)基本概念Overlay

網(wǎng)絡(luò)物理承載網(wǎng)絡(luò)主機主機Overlay邊緣設(shè)備Overlay邊緣設(shè)備Overlay控制平面承載網(wǎng)絡(luò)控制平面數(shù)據(jù)平面Payload封裝Overlay

邊緣設(shè)備Overlay數(shù)據(jù)報文的封裝/解封裝節(jié)點，決定了Overlay網(wǎng)絡(luò)的規(guī)模Overlay

控制平面服務(wù)發(fā)現(xiàn)1012地址通告和映射隧道管理Overlay

數(shù)據(jù)平面提供數(shù)據(jù)封裝，基于承載網(wǎng)絡(luò)傳輸Overlay技術(shù)基本概念Overlay網(wǎng)絡(luò)物理承載網(wǎng)絡(luò)主Overlay技術(shù)解決的問題1013針對虛機遷移范圍受到網(wǎng)絡(luò)架構(gòu)限制的解決方式Overlay把二層報文封裝在IP報文之上，因此，只要網(wǎng)絡(luò)支持IP路由可達就可以部署Overlay網(wǎng)絡(luò)，而IP路由網(wǎng)絡(luò)本身已經(jīng)非常成熟，且在網(wǎng)絡(luò)結(jié)構(gòu)上沒有特殊要求。而且路由網(wǎng)絡(luò)本身具備良好的擴展能力，很強的故障自愈能力和負載均衡能力。針對虛機規(guī)模受網(wǎng)絡(luò)規(guī)格限制的解決方式虛擬機數(shù)據(jù)封裝在IP數(shù)據(jù)包中后，對網(wǎng)絡(luò)只表現(xiàn)為封裝后的網(wǎng)絡(luò)參數(shù)，即隧道端點的地址，因此，對于承載網(wǎng)絡(luò)（特別是接入交換機），MAC地址規(guī)格需求極大降低。針對網(wǎng)絡(luò)隔離/分離能力限制的解決方式針對VLAN只能支持?jǐn)?shù)量4K以內(nèi)的限制，在Overlay技術(shù)中擴展了隔離標(biāo)識的位數(shù)，可以支持高達16M的用戶，極大擴展了隔離數(shù)量。Overlay技術(shù)解決的問題1013針對虛機遷移范圍受到網(wǎng)絡(luò)Overlay技術(shù)的功能要求1014較低成本的構(gòu)建跨越三層的大二層，通過隧道實現(xiàn)跨三層的二層互聯(lián)。感知虛擬機。接入交換機/隧道端點交換機與虛擬機機直連或通過TOR交換機間接感知到虛擬機。充足的網(wǎng)絡(luò)或虛擬子網(wǎng)標(biāo)識數(shù)量。租戶隔離：虛機的MAC藏在幀內(nèi)部，不通邏輯2層網(wǎng)絡(luò)或子網(wǎng)之間是隔離的，在不同的租戶內(nèi)，實現(xiàn)IP

MAC地址復(fù)用。經(jīng)過隧道封裝，減輕物理交換機的MAC地址表壓力，只需要學(xué)習(xí)隧道端點IP

MAC地址信息。對虛擬機透明：虛擬機感知不到隧道封裝?？蓪崿F(xiàn)細粒度的負載均衡。Overlay技術(shù)的功能要求1014較低成本的構(gòu)建跨越三層的Overlay網(wǎng)絡(luò)類型物理設(shè)備vDeviceVMVMVMvDeviceVMVMVM虛擬設(shè)備vDeviceVMVMVMDB/Controller物理設(shè)備虛擬設(shè)備物理設(shè)備網(wǎng)絡(luò)Overlay：1015路由器或交換機作為Overlay網(wǎng)絡(luò)的邊緣設(shè)備服務(wù)器無需支持Overlay通過控制協(xié)議來實現(xiàn)網(wǎng)絡(luò)構(gòu)建和擴展虛擬設(shè)備主機Overlay：虛擬設(shè)備（vDevice）作為Overlay網(wǎng)絡(luò)的邊緣設(shè)備適用于服務(wù)器全虛擬化的場景，不能接入非虛擬化服務(wù)器混合Overlay：混合組網(wǎng)，物理設(shè)備、虛擬設(shè)備作為Overlay網(wǎng)絡(luò)的邊緣設(shè)備可接入各種形態(tài)的服務(wù)器Overlay網(wǎng)絡(luò)類型物理設(shè)備vDeviceVMvDevic主流Overlay技術(shù)1016名稱支持者方案簡述產(chǎn)品形式網(wǎng)絡(luò)虛擬化方式數(shù)據(jù)新增報頭長度技術(shù)特點VXLANCisco、VMware、HP、Citrix、RedHat、BroadcomL2over

UDPCisco:

N1000VBCM:Trident2其他：OpenvSwitchVXLAN報頭24bit

VNI50Byte不改變L2~L4報文結(jié)構(gòu)，現(xiàn)有網(wǎng)絡(luò)設(shè)備即可支持多路徑負載均衡。NVGRE微軟、HP、Broadcom、Dell、Emulex、IntelL2over

GRE微軟:

Hyper-VvSwitchBCM:

TridentEmulex:

網(wǎng)卡其他：OpenvSwitchNVGRE報頭24bit

VSI42Byte問題：改變了GRE報文頭，需要升級網(wǎng)絡(luò)設(shè)備才能支持多路徑負載均衡。STTNicira(被VMware收購)無狀態(tài)TCPvSwitchSTT報頭64bitContext

ID58~76Byte問題：改變了TCP報文頭，當(dāng)前無商用芯片支持，僅VMware純虛擬化環(huán)境可用，產(chǎn)業(yè)生態(tài)脆弱。Cisco也不支持主流Overlay技術(shù)1016名稱支持者方案簡述產(chǎn)品形式網(wǎng)絡(luò)0102網(wǎng)絡(luò)虛擬化Overlay基本概念與分類目錄03VXLAN技術(shù)基礎(chǔ)10170102網(wǎng)絡(luò)虛擬化Overlay基本概念與分類目錄03VXLVXLAN技術(shù)基本概念VTEPVTEPVXLAN虛擬可擴展局域網(wǎng)（Virtual

Extensible

Lan），是Overlay技術(shù)的一種，通過隧道機制在現(xiàn)有網(wǎng)絡(luò)上構(gòu)建一個疊加的網(wǎng)絡(luò)從而繞過現(xiàn)有VLAN標(biāo)簽的限制VTEP VTEPVTEPVTEPVXVXLLAANN網(wǎng)絡(luò)1018NetworkVXLAN技術(shù)基本概念VTEPVTEPVXLANVTEPVTVXLAN技術(shù)基本概念1019VTEPVXLAN

Tunnel

EndPoint

虛擬擴展本地網(wǎng)絡(luò)隧道終結(jié)節(jié)點上行方向?qū)⑻摂M機（服務(wù)器）產(chǎn)生的數(shù)據(jù)封裝到UDP包頭內(nèi)發(fā)送出去，下行方向?qū)⑹盏降腣XLAN報文解封裝后發(fā)給虛擬機（服務(wù)器）VTEP之間建立了兩點之間的隧道（VTEP可以為軟件、硬件服務(wù)器或者網(wǎng)路設(shè)備、隧道是無狀態(tài)的）VNIVXLAN

Network

Identifier

虛擬擴展本地網(wǎng)絡(luò)標(biāo)示符VNI取代VLAN用來表示不同的VXLAN網(wǎng)絡(luò)VNI是一個24位進制表示，可以擴展到2的24次方個網(wǎng)段VXLAN技術(shù)基本概念1019VTEP20VXLAN的報文結(jié)構(gòu)(一)標(biāo)記位RRRRIRRR保留未用（24位）VXLAN

ID（24位）保留未用（8位）

20外層MAC頭外層IP頭外層UDP頭VXLAN頭原始二層報文基本格式：L2oUDP封裝報頭開銷50字節(jié)UDP目的端口為已知端口4798，源端口可按流分配，標(biāo)準(zhǔn)5元組方式有利于IP網(wǎng)絡(luò)轉(zhuǎn)發(fā)過程中進行負載分擔(dān)VXLAN標(biāo)簽標(biāo)志位（8bits），一個有效的VXLAN網(wǎng)絡(luò)ID（VNI），第5個bit的I標(biāo)志位必須設(shè)置為1，余下的7個bit的標(biāo)志位是保留的，必須設(shè)置為0VXLAN網(wǎng)絡(luò)ID(VNI)，長24bit，用于標(biāo)識一個單獨的VXLAN網(wǎng)絡(luò)14字節(jié) 20字節(jié) 8字節(jié) 8字節(jié)20VXLAN的報文結(jié)構(gòu)(一)標(biāo)記位保留未用（24位）VXL20VXLAN的報文結(jié)構(gòu)(二)外層三層包頭外層ip包頭的ip地址為隧道兩端的VTEP設(shè)備地址，如果Hypervisor承擔(dān)了VTEP工作則為服務(wù)器網(wǎng)卡地址，如果VTEP為接入交換機，則IP地址為出端口上的

IP地址或者三層接口地址、loopback地址外層二層包頭外層二層包頭為報文在普通網(wǎng)絡(luò)中做二、三層轉(zhuǎn)發(fā)的MAC地址（目的mac為目的VTEP設(shè)備的硬件mac或者三層網(wǎng)關(guān)的MAC)新添加的VXLAN包頭原始報文2121外層MAC頭外層IP頭外層UDP頭VXLAN頭原始二層報文VXLAN的報文結(jié)構(gòu)(二)外層三層包頭新添加的VXLAN包頭VXLAN報文舉例2122VXLAN報文舉例2122VXLANGW和VXLAN

IP

GW網(wǎng)絡(luò)設(shè)備支持VXLAN報文的封裝與解封裝，并根據(jù)內(nèi)層報文的IP頭部進行三層轉(zhuǎn)發(fā)VXLAN

GW支持VXLAN報文的封裝與解封裝，并根據(jù)內(nèi)層報文的MAC頭部進行二層轉(zhuǎn)發(fā)，實現(xiàn)VXLAN與VLAN的互通leafleafSpineSpineleafrouterleafrouter1、ingress

VTEP設(shè)備將報文封裝成VXLAN報文VXLANIP

GW2

、核心設(shè)備做為VXLANIP

GW，終結(jié)VXLAN報文并進行L3轉(zhuǎn)發(fā)3

、egress

VTEP

設(shè)備將VXLAN

報文解封裝，實現(xiàn)VXLAN與VLAN的互通VVXXLLAANN網(wǎng)絡(luò)Network2123VXLANGW和VXLANIPGW網(wǎng)絡(luò)設(shè)備支持VXLAVXLAN

網(wǎng)絡(luò)互通需求VXLAN

二層/三層網(wǎng)關(guān)：傳統(tǒng)L2網(wǎng)絡(luò)中，報文跨VLAN轉(zhuǎn)發(fā)，需要借助VLAN

Mapping或者L3

設(shè)備來完成不同VLAN之間的互通問題，VXLAN網(wǎng)絡(luò)同樣需要解決：VXLAN和VLAN之間如何互通，這個是解決VXLAN虛擬網(wǎng)絡(luò)和傳統(tǒng)物理網(wǎng)絡(luò)之間如何通信的問題VXLAN和VXLAN之間如何互通，這個是解決VXLAN網(wǎng)絡(luò)內(nèi)部不同租戶如何互通的問題VXLAN

L2GatewayVLANVLAN

100VXLAN

10VXLAN

L3GatewayVXLAN

202124VXLAN

10VXLAN

IDVLAN

ID10100VXLAN

IDVXLAN

ID1020VXLANVXLAN

二層網(wǎng)關(guān)：最簡單的實現(xiàn)應(yīng)該是一個Bridge設(shè)備僅僅完成VXLAN到VLAN的轉(zhuǎn)換，包含VXLAN到VLAN的1：1、N：1轉(zhuǎn)換實體形態(tài)可以是vSwitch、交換機VXLAN VXLANVXLAN

三層網(wǎng)關(guān)：實現(xiàn)可以是一個Router設(shè)備，支持跨VXLAN三層轉(zhuǎn)發(fā)實體形態(tài)可以是vRouter、交換機、路由器VXLAN網(wǎng)絡(luò)互通需求VXLAN二層/三層網(wǎng)關(guān)：傳統(tǒng)L2VXLAN

集中式網(wǎng)關(guān)LeafLeafSpineLeafVXLANNetworkservervsi-interface

10VSI/VXLAN

10VSI/VXLAN

10vsi-interface

2010.0.0.10server0集中式VXLAN

IP網(wǎng)關(guān)進行二層VXLAN業(yè)務(wù)終結(jié)對內(nèi)層封裝的IP報文進行三層轉(zhuǎn)發(fā)VXLAN

IP網(wǎng)關(guān)功能由VXLAN對應(yīng)的三層虛接口（VSI虛接口）承擔(dān)2125VXLAN集中式網(wǎng)關(guān)LeafLeafSpineLeafVXVXLAN

分布式網(wǎng)關(guān)LeafLeafSpineLeafserverVXLANNetworkvsi-interface

10VSI/VXLAN

10VSI/VXLAN

10vsi-interface

20server00分布式VXLAN

IP網(wǎng)關(guān)所有的分布式VXLAN

IP網(wǎng)關(guān)上都需要創(chuàng)建VSI虛接口不同網(wǎng)關(guān)上的相同VSI虛接口配置相同的網(wǎng)關(guān)IP地址vsi-interface

10VSI/VXLAN

10VSI/VXLAN

10vsi-interface

20vsi-interface

10VSI/VXLAN

10VSI/VXLAN

10vsi-interface

202126VXLAN分布式網(wǎng)關(guān)LeafLeafSpineLeafseVXLAN的控制平面2127外層源/目的mac外層802.1q標(biāo)簽外層目的IP地址外層源IP地址外層UDP包頭VXLAN標(biāo)簽原始數(shù)據(jù)包VXLAN的控制平面實現(xiàn)方式分為3類自學(xué)習(xí)模式利用泛洪/廣播機制來實現(xiàn)VXLAN網(wǎng)絡(luò)的建立基于SDNController的集中式模式SDN

Controller作為控制平面，通過下發(fā)流表指導(dǎo)VTEP的轉(zhuǎn)發(fā)路由協(xié)議擴展模式通過擴展ISIS（類EVI)、BGP（EVPN)協(xié)議來實現(xiàn)VXLAN網(wǎng)絡(luò)的建立VTEP設(shè)備轉(zhuǎn)發(fā)時需要哪些信息？VXLAN的控制平面2127外層源/目的mac外層802VXLAN的控制平面—自學(xué)習(xí)模式一LeafLeafLeafvswitchVM1VM2serverVTEPIP

VTEPIP

指定VXLAN

ID映射到一個IP組播組，此VXLAN的VTEP都加入該組播組，通過flooding和learning機制完成學(xué)習(xí)如圖，VM

server屬于同一個VXLAN

10

加入特定組播組Spine Spine1）VM發(fā)送ARP報文請求server的地址2）VTEP將報文進行

VXLAN

封裝

，

在組播

組里廣播3）同一個VXLAN的VTEP收到ARP請求后，學(xué)習(xí)對端VTEP的地址，并生成VTEP

上的MAC

地址表，并將VTEP報文解封裝后廣播到相關(guān)接口MAC地址VTEP地址VM

macVXLANNetwork2128VXLAN的控制平面—自學(xué)習(xí)模式一LeafLeafLeafvVXLAN的控制平面—自學(xué)習(xí)模式二Leaf-BSpineSpineLeaf-CvswitchVM1VM2serverLeaf-AVTEPIPVTEP

IP10.0.0.26）Leaf-A將報文進行VXLAN

解封裝后發(fā)給VM1

，

并且學(xué)習(xí)對端VTEP

的IP,

生成VTEP上的MAC地址表5）Leaf-C查看MAC地址表，將報文封裝成VXLAN報文后，單播發(fā)送給Leaf-AMAC地址VTEP地址VM

mac4）server收到ARP報文，回應(yīng)ARP請求MAC地址VTEP地址server

macVXLANNetwork2129VXLAN的控制平面—自學(xué)習(xí)模式二Leaf-BSpineSpVXLAN的控制平面—基于Controller方式Leaf-ASpine SpineControllerVXLAN

app未知報文1

）

Leaf-A收到未知報文通過packet

in報文將報文發(fā)給controllerVM1基于SDN

Controller方式的控制平面和地址學(xué)習(xí)SDN

Controller與所有VXLAN

ED設(shè)備建立連接（通過OpenFlow協(xié)議），通過SDN

Controller給各VXLAN

ED部署下發(fā)流表來進行VXLAN的轉(zhuǎn)發(fā)2）Controller上學(xué)習(xí)MAC地址表并和Leaf-A地址對應(yīng)MAC

地址VTEP地址VM

macLeaf-B Leaf-C3）controller下發(fā)流表給VTEP指導(dǎo)轉(zhuǎn)發(fā)4）controller將學(xué)習(xí)到的MAC與VTEP對應(yīng)關(guān)系同步到其他VTEP注：通過云業(yè)務(wù)平臺在創(chuàng)建VM的時候直接將VM

MAC地址表（包括與VTEP

IP地址的對應(yīng)關(guān)系）通知SDNcontroller，這樣controller一直有整網(wǎng)的VM

MAC地址表VXLANNetwork2130VXLAN的控制平面—基于Controller方式Leaf-VXLAN的控制平面—基于ISIS協(xié)議(一)ENDCENDCENDC基于ISIS擴展協(xié)議的控制平面和mac地址學(xué)習(xí)基于EVI鄰居發(fā)現(xiàn)協(xié)議，通過ISIS擴展協(xié)議來實現(xiàn)控制平面和MAC地址學(xué)習(xí)VXLAN網(wǎng)絡(luò)啟用ENDP協(xié)議，核心設(shè)備作為ENDS設(shè)備、接入設(shè)備作為ENDC設(shè)備，ISIS擴展協(xié)議來完成MAC的發(fā)布和回收ENDS ENDSVXLANNetwork2131VXLAN的控制平面—基于ISIS協(xié)議(一)ENDCENDCVXLAN的控制平面—基于ISIS協(xié)議(二)Leaf-BSpineLeaf-CvswitchVM1VM2serverVTEPIP

VTEPIP

1）VTEP學(xué)習(xí)到VM

MAC之后通過ISIS擴展協(xié)議通告給其他VTEP設(shè)備Leaf-A2）同一個域內(nèi)的VTEP設(shè)備收到ISIS報文，學(xué)習(xí)VM

MAC和對應(yīng)的VTEP地址MAC地址VTEP地址VM

macSpine設(shè)備作為ENDS設(shè)備、接入設(shè)備（VTEP）作為ENDC設(shè)備，ENDC設(shè)備向ENDS設(shè)備發(fā)起注冊（包括VXLAN

ID、VTEPID、network

ID)ENDS發(fā)送應(yīng)答包括所有ENDC設(shè)備信息，建立VXLAN控制平面SpineVXLANNetwork2132VXLAN的控制平面—基于ISIS協(xié)議(二)Leaf-BSp優(yōu)勢：標(biāo)準(zhǔn)化：控制面使用EVPN，屬于標(biāo)準(zhǔn)協(xié)議靈活：使用MP-BGP完成地址同步，更靈活控制地址發(fā)布規(guī)則SpineSpineLeafLeafLeafEVPN地址同步EVPN地址同步VXLAN隧道建立VXLANNetworkVXLAN的控制平面—基于EVPN協(xié)議2133優(yōu)勢：SpineSpineLeafLeafLeafEVPN地VXLAN的數(shù)據(jù)平面(一)隧道機制源和目的VTEP之間建立隧道，負責(zé)報文的VXLAN封裝和解封裝VTEP為虛擬機數(shù)據(jù)包分裝了層層包頭，這些新包頭只會在報文到目的VTEP時才會解封裝，中間路徑網(wǎng)絡(luò)設(shè)備只會根據(jù)外層包頭的目的地址進行轉(zhuǎn)發(fā)，對于轉(zhuǎn)發(fā)路徑上的網(wǎng)絡(luò)設(shè)備，一個VXLAN報文就是一個普通IP報文leafleafSpine SpineleafleafTunnelVXVXLLAANN網(wǎng)絡(luò)Network2134VXLAN的數(shù)據(jù)平面(一)隧道機制leafleafSpineVXLAN的數(shù)據(jù)平面(二)Leaf-BserverVTEPIP

Leaf-AVTEPIP

Leaf-CMACVTEP地址AMACVTEP地址B在VTEP設(shè)備上進行VXLAN的封裝解封裝，根據(jù)MAC地址表（對應(yīng)有對端的VTEP

IP地址）轉(zhuǎn)發(fā),以虛擬機的二層轉(zhuǎn)發(fā)/同一個VXLAN為例Spine SpineMAC

BIP

mac

Bmac

A20.0.0.1MAC

AIP

VM2VXLAN2135Networkmac

Bmac

A20.0.0.220.0.0.1外層UDP包頭VXLAN標(biāo)簽mac

Bmac

A20.0.0.1VXLAN的數(shù)據(jù)平面(二)Leaf-BserverVTEPVXLAN的基本配置1.創(chuàng)建VSI和VXLAN使能L2VPN功能創(chuàng)建VSI，并進入VSI視圖創(chuàng)建VXLAN，并進入VXLAN視圖注：在一個VSI下只能創(chuàng)建一個VXLAN不同VSI下創(chuàng)建的VXLAN，其VXLAN

ID不能相同2136[Switch]l2vpn

enable[Switch]vsi

vsi-name[Switch]vxlan

vxlan-idVXLAN的基本配置1.創(chuàng)建VSI和VXLAN創(chuàng)建VSI，并2.創(chuàng)建VXLAN隧道配置VXLAN隧道的全局源地址2137創(chuàng)建模式為VXLAN隧道的Tunnel接口配置隧道的源端地址或源接口配置隧道目的地址[Switch]source{ipv4-address|interface-typeinterface-number

}[Switch]interfacetunneltunnel-numbermode

vxlan[Switch]tunnelglobalsource-address

ip-addressVXLAN的基本配置[Switch]destination

ipv4-address2.創(chuàng)建VXLAN隧道2137創(chuàng)建模式為VXLAN隧道的Tu[Switch]tunneltunnel-number[flooding-proxy

]21383.關(guān)聯(lián)VXLAN與VXLAN隧道進入VSI視圖進入VXLAN視圖配置VXLAN與VXLAN隧道關(guān)聯(lián)VXLAN的基本配置[Switch]vsi

vsi-name[Switch]vxlan

vxlan-id[Switch]tunneltunnel-numberVXLAN的基本配置2139配置AC與VSI關(guān)聯(lián)進入二層以太網(wǎng)接口視圖或二層聚合接口視圖創(chuàng)建以太網(wǎng)服務(wù)實例，并進入以太網(wǎng)服務(wù)實例視圖配置以太網(wǎng)服務(wù)實例的報文匹配規(guī)則將以太網(wǎng)服務(wù)實例與VSI關(guān)聯(lián)[Switch]interfaceinterface-type

interface-number[Switch-interface]service-instance

instance-id[Switch-interface-srv]encapsulation{default|untagged|s-vidvlan-id

}[Switch-interface-srv]xconnectvsivsi-name[access-mode{

ethernet|vlan}

]VXLAN的基本配置2139配置AC與VSI關(guān)聯(lián)創(chuàng)建以太網(wǎng)服VXLAN的基本配置2140配置集中式VXLAN

IP網(wǎng)關(guān)創(chuàng)建VSI虛接口，并進入VSI虛接口視圖配置VSI虛接口的IP地址進入VXLAN所在VSI視圖為VSI指定網(wǎng)關(guān)接口[Switch]interfacevsi

interface-number[Switch-vsi-int]ipaddressip-address{mask|mask-length}[sub

][Switch]vsi

vsi-name[Switch-vsi]gatewayvsi-interface

vsi-interface-idVXLAN的基本配置2140配置集中式VXLANIP網(wǎng)關(guān)配[Switch]vsi

vsi-name2141配置分布式VXLAN

IP網(wǎng)關(guān)創(chuàng)建VSI虛接口，并進入VSI虛接口視圖配置VSI虛接口為分布式網(wǎng)關(guān)接口進入VXLAN所在VSI視圖為VSI指定網(wǎng)關(guān)接口[Switch]interfacevsi

interface-numberVXLAN的基本配置[Switch-vsi-int]distributed-gateway

local[Switch-vsi]gatewayvsi-interface

vsi-interface-id[Switch]vsivsi-name2141配置分布式謝謝聆聽！謝謝聆聽！42Overlay網(wǎng)絡(luò)技術(shù)原理介紹Overlay網(wǎng)絡(luò)技術(shù)原理介紹430102網(wǎng)絡(luò)虛擬化的發(fā)展Overlay基本概念與分類目錄03VXLAN技術(shù)基礎(chǔ)2440102網(wǎng)絡(luò)虛擬化的發(fā)展Overlay基本概念與分類目錄0344數(shù)據(jù)中心虛擬化起源所謂虛擬化，本身就是一個廣義的通用術(shù)語，保羅萬象。虛擬化是一種資源管理技術(shù)，本質(zhì)是從物理到邏輯的映射，是物理資源的復(fù)用或融合。特點：仿真、透明

實現(xiàn)風(fēng)格：模擬、偽裝起源：分時共享1950s

1960s

1970s 1980s1990s1998

19992001

2003 2004200520062007200820092010

2014虛擬 虛擬內(nèi)存 機虛擬路由轉(zhuǎn)發(fā)VTLRAID 以太網(wǎng)VLAN 通道X86虛擬化DataCoreESXiVmotion虛擬SANXEN虛擬服務(wù)器Invista微軟MetroClusterSAN 彈性卷控 計算制器 云Hype

vSphe虛擬交換系統(tǒng) r-V reKVM FCoE VDSOpenFlowvSwit VXLch AN245數(shù)據(jù)中心虛擬化起源所謂虛擬化，本身就是一個廣義的通用術(shù)語，保45虛擬化技術(shù)分類虛擬化技術(shù)按實現(xiàn)方法，可以分類為：池化、抽象、分區(qū)。按照技術(shù)領(lǐng)域來劃分，可以分為：網(wǎng)絡(luò)、存儲、服務(wù)器(計算)虛擬化

，其中計算虛擬化是虛擬化劑。化技術(shù)發(fā)展最重要的催 網(wǎng)絡(luò)虛擬化246存儲虛擬化服務(wù)器虛擬化虛擬內(nèi)存vSwitchFCOEUCSVXLANNVGREVPLSVLANTRILL SPBRAID陣列虛擬化虛擬磁帶庫LUNx86虛擬化大型機虛擬化時分共享虛擬化技術(shù)分類虛擬化技術(shù)按實現(xiàn)方法，可以分類為：池化、抽46計算虛擬化業(yè)務(wù)的發(fā)展247計算虛擬化業(yè)務(wù)經(jīng)歷了由單一到多元、分散到統(tǒng)一、由集中到分布，由局限于設(shè)備的虛擬化到整體數(shù)據(jù)中心云化，最后再由云服務(wù)各行各業(yè)的過程。云計算的出現(xiàn)極大推動了計算虛擬化技術(shù)的提升，也促進了其他虛擬化技術(shù)的發(fā)展。1959年6月，Chirstopher首次提出計算虛擬化概念。1965年，IBM發(fā)布首款操作系統(tǒng)虛擬化技術(shù)1974年，

Popek和Goldberg正式定義虛擬機。1998年，Vmware將虛擬化技術(shù)引入x86架構(gòu)。1999年，第一個商業(yè)化IaaS平臺LoudCloud出現(xiàn).2000年

,SaaS興起。2004年，Google發(fā)布MapReduce論文，大數(shù)據(jù)基石Hadoop出現(xiàn)。2005年，亞馬遜推出AWS，公有云業(yè)務(wù)進入蓬勃發(fā)展。計算虛擬化業(yè)務(wù)的發(fā)展25計算虛擬化業(yè)務(wù)經(jīng)歷了由單一到多元、分47計算虛擬化面臨的挑戰(zhàn)248隨著計算虛擬化發(fā)展，DC內(nèi)大量部署的虛擬機提供云服務(wù)。部署虛擬機需要在網(wǎng)絡(luò)中無限制地遷移，虛擬機數(shù)量和增長速度也遠超物理服務(wù)器，給計算虛擬化帶來了新的挑戰(zhàn)。虛擬機遷移范圍受到網(wǎng)絡(luò)架構(gòu)限制遷移的不中斷性限制了網(wǎng)絡(luò)是二層傳統(tǒng)的STP等部署繁瑣，配置復(fù)雜，并且網(wǎng)絡(luò)規(guī)模不能過大，限制了虛擬化的網(wǎng)絡(luò)擴展性各廠家私有的設(shè)備級虛擬化技術(shù)（如IRF）雖然可以簡化拓撲，單只能一般適合于數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)計算虛擬化面臨的挑戰(zhàn)26隨著計算虛擬化發(fā)展，DC內(nèi)大量部署的48計算虛擬化面臨的挑戰(zhàn)249虛擬機規(guī)模受網(wǎng)絡(luò)規(guī)格限制在二層網(wǎng)絡(luò)環(huán)境下，MAC地址表成為決定了云計算環(huán)境下虛擬機的規(guī)模上限的瓶頸，限制了整個云計算數(shù)據(jù)中心的虛擬機數(shù)量。虛擬化業(yè)務(wù)的網(wǎng)絡(luò)隔離/分離能力限制VLAN數(shù)量在標(biāo)準(zhǔn)定義中只有12個比特單位，即可用的數(shù)量為4K，這樣的數(shù)量級對于公有云或大型虛擬化云計算應(yīng)用而言微不足道計算虛擬化面臨的挑戰(zhàn)27虛擬機規(guī)模受網(wǎng)絡(luò)規(guī)格限制49網(wǎng)絡(luò)虛擬化技術(shù)概述250什么是網(wǎng)絡(luò)虛擬機化：可以構(gòu)建出虛擬的網(wǎng)絡(luò)鏈路或網(wǎng)絡(luò)節(jié)點的技術(shù)，無論是二層的、大二層的、三層的，還是多虛一、一虛多，都屬于網(wǎng)絡(luò)虛擬化技術(shù)。網(wǎng)絡(luò)虛擬化的分層：數(shù)據(jù)平面、控制平面、管理平面網(wǎng)絡(luò)虛擬化的優(yōu)點：可擴展性、靈活性、安全性、構(gòu)建邏輯分區(qū)網(wǎng)絡(luò)虛擬化從來不是單獨發(fā)展的，而是和服務(wù)器虛擬化、存儲虛擬化并列發(fā)展的，為解決計算虛擬化面臨的挑戰(zhàn)，發(fā)展出了多種新的網(wǎng)絡(luò)虛擬化技術(shù)，網(wǎng)絡(luò)虛擬化進入高速發(fā)展期。網(wǎng)絡(luò)虛擬化技術(shù)概述28什么是網(wǎng)絡(luò)虛擬機化：50網(wǎng)絡(luò)虛擬化技術(shù)的發(fā)展251計算虛擬化面臨的挑戰(zhàn)，要求網(wǎng)絡(luò)虛擬化能夠以較低成本提供一個擁有充足隔離能力的透明大二層網(wǎng)絡(luò)。STP:部署繁瑣，無法構(gòu)建跨三層的二層網(wǎng)絡(luò)，規(guī)模有限IRF:簡化網(wǎng)絡(luò)拓撲，強制要求拓撲，只能用于數(shù)據(jù)中心內(nèi)部EVB：包括VEB、VEPA等部分，只能解決虛擬機網(wǎng)絡(luò)接入的問題。802.1Qbh：需要專門芯片支持，廠商限制嚴(yán)重，也只能解決接入層。Trill:引入了L2

ISIS做為尋址協(xié)議，在內(nèi)外層Ethernet報頭之間引入了TRILL報頭，使用NickName作為轉(zhuǎn)發(fā)標(biāo)識，用于報文在TRILL網(wǎng)絡(luò)中的尋址轉(zhuǎn)發(fā)，MAC

in

MAC，落地情況一般，收斂慢，缺乏運維經(jīng)驗。SPB：同樣使用L2

ISIS做為尋址協(xié)議，MAC

inMAC，負載均衡需要預(yù)配置，缺乏運維經(jīng)驗。需要一種新的網(wǎng)絡(luò)虛擬化技術(shù)來滿足計算虛擬化告訴發(fā)展帶來的需求。網(wǎng)絡(luò)虛擬化技術(shù)的發(fā)展29計算虛擬化面臨的挑戰(zhàn)，要求網(wǎng)絡(luò)虛擬化510102網(wǎng)絡(luò)虛擬化Overlay基本概念與分類目錄03VXLAN技術(shù)基礎(chǔ)10520102網(wǎng)絡(luò)虛擬化Overlay基本概念與分類目錄03VXLOverlay技術(shù)的出現(xiàn)1053Overlay在網(wǎng)絡(luò)技術(shù)領(lǐng)域，是一種網(wǎng)絡(luò)架構(gòu)上疊加的虛擬化技術(shù)模式，其大體框架是對基礎(chǔ)網(wǎng)絡(luò)不進行大規(guī)模修改的條件下，實現(xiàn)應(yīng)用在網(wǎng)絡(luò)上的承載，并能與其它網(wǎng)絡(luò)業(yè)務(wù)分離，并且以基于IP的基礎(chǔ)網(wǎng)絡(luò)技術(shù)為主。Overlay網(wǎng)絡(luò)是指建立在已有網(wǎng)絡(luò)上的虛擬網(wǎng)，邏輯節(jié)點和邏輯鏈路構(gòu)成了Overlay網(wǎng)絡(luò)。Overlay網(wǎng)絡(luò)是具有獨立的控制和轉(zhuǎn)發(fā)平面，對于連接在Overlay邊緣設(shè)備之外的終端系統(tǒng)來說，物理網(wǎng)絡(luò)是透明的。Overlay網(wǎng)絡(luò)的出現(xiàn)是為了實現(xiàn)已有網(wǎng)絡(luò)所不能提供的功能和服務(wù)Overlay網(wǎng)絡(luò)是物理網(wǎng)絡(luò)向云和虛擬化的深度延伸，使云資源池化能力可以擺脫物理網(wǎng)絡(luò)的重重限制，是實現(xiàn)云網(wǎng)融合的關(guān)鍵。Overlay技術(shù)的出現(xiàn)1011Overlay在網(wǎng)絡(luò)技術(shù)領(lǐng)域Overlay技術(shù)基本概念Overlay

網(wǎng)絡(luò)物理承載網(wǎng)絡(luò)主機主機Overlay邊緣設(shè)備Overlay邊緣設(shè)備Overlay控制平面承載網(wǎng)絡(luò)控制平面數(shù)據(jù)平面Payload封裝Overlay

邊緣設(shè)備Overlay數(shù)據(jù)報文的封裝/解封裝節(jié)點，決定了Overlay網(wǎng)絡(luò)的規(guī)模Overlay

控制平面服務(wù)發(fā)現(xiàn)1054地址通告和映射隧道管理Overlay

數(shù)據(jù)平面提供數(shù)據(jù)封裝，基于承載網(wǎng)絡(luò)傳輸Overlay技術(shù)基本概念Overlay網(wǎng)絡(luò)物理承載網(wǎng)絡(luò)主Overlay技術(shù)解決的問題1055針對虛機遷移范圍受到網(wǎng)絡(luò)架構(gòu)限制的解決方式Overlay把二層報文封裝在IP報文之上，因此，只要網(wǎng)絡(luò)支持IP路由可達就可以部署Overlay網(wǎng)絡(luò)，而IP路由網(wǎng)絡(luò)本身已經(jīng)非常成熟，且在網(wǎng)絡(luò)結(jié)構(gòu)上沒有特殊要求。而且路由網(wǎng)絡(luò)本身具備良好的擴展能力，很強的故障自愈能力和負載均衡能力。針對虛機規(guī)模受網(wǎng)絡(luò)規(guī)格限制的解決方式虛擬機數(shù)據(jù)封裝在IP數(shù)據(jù)包中后，對網(wǎng)絡(luò)只表現(xiàn)為封裝后的網(wǎng)絡(luò)參數(shù)，即隧道端點的地址，因此，對于承載網(wǎng)絡(luò)（特別是接入交換機），MAC地址規(guī)格需求極大降低。針對網(wǎng)絡(luò)隔離/分離能力限制的解決方式針對VLAN只能支持?jǐn)?shù)量4K以內(nèi)的限制，在Overlay技術(shù)中擴展了隔離標(biāo)識的位數(shù)，可以支持高達16M的用戶，極大擴展了隔離數(shù)量。Overlay技術(shù)解決的問題1013針對虛機遷移范圍受到網(wǎng)絡(luò)Overlay技術(shù)的功能要求1056較低成本的構(gòu)建跨越三層的大二層，通過隧道實現(xiàn)跨三層的二層互聯(lián)。感知虛擬機。接入交換機/隧道端點交換機與虛擬機機直連或通過TOR交換機間接感知到虛擬機。充足的網(wǎng)絡(luò)或虛擬子網(wǎng)標(biāo)識數(shù)量。租戶隔離：虛機的MAC藏在幀內(nèi)部，不通邏輯2層網(wǎng)絡(luò)或子網(wǎng)之間是隔離的，在不同的租戶內(nèi)，實現(xiàn)IP

MAC地址復(fù)用。經(jīng)過隧道封裝，減輕物理交換機的MAC地址表壓力，只需要學(xué)習(xí)隧道端點IP

MAC地址信息。對虛擬機透明：虛擬機感知不到隧道封裝。可實現(xiàn)細粒度的負載均衡。Overlay技術(shù)的功能要求1014較低成本的構(gòu)建跨越三層的Overlay網(wǎng)絡(luò)類型物理設(shè)備vDeviceVMVMVMvDeviceVMVMVM虛擬設(shè)備vDeviceVMVMVMDB/Controller物理設(shè)備虛擬設(shè)備物理設(shè)備網(wǎng)絡(luò)Overlay：1057路由器或交換機作為Overlay網(wǎng)絡(luò)的邊緣設(shè)備服務(wù)器無需支持Overlay通過控制協(xié)議來實現(xiàn)網(wǎng)絡(luò)構(gòu)建和擴展虛擬設(shè)備主機Overlay：虛擬設(shè)備（vDevice）作為Overlay網(wǎng)絡(luò)的邊緣設(shè)備適用于服務(wù)器全虛擬化的場景，不能接入非虛擬化服務(wù)器混合Overlay：混合組網(wǎng)，物理設(shè)備、虛擬設(shè)備作為Overlay網(wǎng)絡(luò)的邊緣設(shè)備可接入各種形態(tài)的服務(wù)器Overlay網(wǎng)絡(luò)類型物理設(shè)備vDeviceVMvDevic主流Overlay技術(shù)1058名稱支持者方案簡述產(chǎn)品形式網(wǎng)絡(luò)虛擬化方式數(shù)據(jù)新增報頭長度技術(shù)特點VXLANCisco、VMware、HP、Citrix、RedHat、BroadcomL2over

UDPCisco:

N1000VBCM:Trident2其他：OpenvSwitchVXLAN報頭24bit

VNI50Byte不改變L2~L4報文結(jié)構(gòu)，現(xiàn)有網(wǎng)絡(luò)設(shè)備即可支持多路徑負載均衡。NVGRE微軟、HP、Broadcom、Dell、Emulex、IntelL2over

GRE微軟:

Hyper-VvSwitchBCM:

TridentEmulex:

網(wǎng)卡其他：OpenvSwitchNVGRE報頭24bit

VSI42Byte問題：改變了GRE報文頭，需要升級網(wǎng)絡(luò)設(shè)備才能支持多路徑負載均衡。STTNicira(被VMware收購)無狀態(tài)TCPvSwitchSTT報頭64bitContext

ID58~76Byte問題：改變了TCP報文頭，當(dāng)前無商用芯片支持，僅VMware純虛擬化環(huán)境可用，產(chǎn)業(yè)生態(tài)脆弱。Cisco也不支持主流Overlay技術(shù)1016名稱支持者方案簡述產(chǎn)品形式網(wǎng)絡(luò)0102網(wǎng)絡(luò)虛擬化Overlay基本概念與分類目錄03VXLAN技術(shù)基礎(chǔ)10590102網(wǎng)絡(luò)虛擬化Overlay基本概念與分類目錄03VXLVXLAN技術(shù)基本概念VTEPVTEPVXLAN虛擬可擴展局域網(wǎng)（Virtual

Extensible

Lan），是Overlay技術(shù)的一種，通過隧道機制在現(xiàn)有網(wǎng)絡(luò)上構(gòu)建一個疊加的網(wǎng)絡(luò)從而繞過現(xiàn)有VLAN標(biāo)簽的限制VTEP VTEPVTEPVTEPVXVXLLAANN網(wǎng)絡(luò)1060NetworkVXLAN技術(shù)基本概念VTEPVTEPVXLANVTEPVTVXLAN技術(shù)基本概念1061VTEPVXLAN

Tunnel

EndPoint

虛擬擴展本地網(wǎng)絡(luò)隧道終結(jié)節(jié)點上行方向?qū)⑻摂M機（服務(wù)器）產(chǎn)生的數(shù)據(jù)封裝到UDP包頭內(nèi)發(fā)送出去，下行方向?qū)⑹盏降腣XLAN報文解封裝后發(fā)給虛擬機（服務(wù)器）VTEP之間建立了兩點之間的隧道（VTEP可以為軟件、硬件服務(wù)器或者網(wǎng)路設(shè)備、隧道是無狀態(tài)的）VNIVXLAN

Network

Identifier

虛擬擴展本地網(wǎng)絡(luò)標(biāo)示符VNI取代VLAN用來表示不同的VXLAN網(wǎng)絡(luò)VNI是一個24位進制表示，可以擴展到2的24次方個網(wǎng)段VXLAN技術(shù)基本概念1019VTEP20VXLAN的報文結(jié)構(gòu)(一)標(biāo)記位RRRRIRRR保留未用（24位）VXLAN

ID（24位）保留未用（8位）

20外層MAC頭外層IP頭外層UDP頭VXLAN頭原始二層報文基本格式：L2oUDP封裝報頭開銷50字節(jié)UDP目的端口為已知端口4798，源端口可按流分配，標(biāo)準(zhǔn)5元組方式有利于IP網(wǎng)絡(luò)轉(zhuǎn)發(fā)過程中進行負載分擔(dān)VXLAN標(biāo)簽標(biāo)志位（8bits），一個有效的VXLAN網(wǎng)絡(luò)ID（VNI），第5個bit的I標(biāo)志位必須設(shè)置為1，余下的7個bit的標(biāo)志位是保留的，必須設(shè)置為0VXLAN網(wǎng)絡(luò)ID(VNI)，長24bit，用于標(biāo)識一個單獨的VXLAN網(wǎng)絡(luò)14字節(jié) 20字節(jié) 8字節(jié) 8字節(jié)20VXLAN的報文結(jié)構(gòu)(一)標(biāo)記位保留未用（24位）VXL62VXLAN的報文結(jié)構(gòu)(二)外層三層包頭外層ip包頭的ip地址為隧道兩端的VTEP設(shè)備地址，如果Hypervisor承擔(dān)了VTEP工作則為服務(wù)器網(wǎng)卡地址，如果VTEP為接入交換機，則IP地址為出端口上的

IP地址或者三層接口地址、loopback地址外層二層包頭外層二層包頭為報文在普通網(wǎng)絡(luò)中做二、三層轉(zhuǎn)發(fā)的MAC地址（目的mac為目的VTEP設(shè)備的硬件mac或者三層網(wǎng)關(guān)的MAC)新添加的VXLAN包頭原始報文2163外層MAC頭外層IP頭外層UDP頭VXLAN頭原始二層報文VXLAN的報文結(jié)構(gòu)(二)外層三層包頭新添加的VXLAN包頭VXLAN報文舉例2164VXLAN報文舉例2122VXLANGW和VXLAN

IP

GW網(wǎng)絡(luò)設(shè)備支持VXLAN報文的封裝與解封裝，并根據(jù)內(nèi)層報文的IP頭部進行三層轉(zhuǎn)發(fā)VXLAN

GW支持VXLAN報文的封裝與解封裝，并根據(jù)內(nèi)層報文的MAC頭部進行二層轉(zhuǎn)發(fā)，實現(xiàn)VXLAN與VLAN的互通leafleafSpineSpineleafrouterleafrouter1、ingress

VTEP設(shè)備將報文封裝成VXLAN報文VXLANIP

GW2

、核心設(shè)備做為VXLANIP

GW，終結(jié)VXLAN報文并進行L3轉(zhuǎn)發(fā)3

、egress

VTEP

設(shè)備將VXLAN

報文解封裝，實現(xiàn)VXLAN與VLAN的互通VVXXLLAANN網(wǎng)絡(luò)Network2165VXLANGW和VXLANIPGW網(wǎng)絡(luò)設(shè)備支持VXLAVXLAN

網(wǎng)絡(luò)互通需求VXLAN

二層/三層網(wǎng)關(guān)：傳統(tǒng)L2網(wǎng)絡(luò)中，報文跨VLAN轉(zhuǎn)發(fā)，需要借助VLAN

Mapping或者L3

設(shè)備來完成不同VLAN之間的互通問題，VXLAN網(wǎng)絡(luò)同樣需要解決：VXLAN和VLAN之間如何互通，這個是解決VXLAN虛擬網(wǎng)絡(luò)和傳統(tǒng)物理網(wǎng)絡(luò)之間如何通信的問題VXLAN和VXLAN之間如何互通，這個是解決VXLAN網(wǎng)絡(luò)內(nèi)部不同租戶如何互通的問題VXLAN

L2GatewayVLANVLAN

100VXLAN

10VXLAN

L3GatewayVXLAN

202166VXLAN

10VXLAN

IDVLAN

ID10100VXLAN

IDVXLAN

ID1020VXLANVXLAN

二層網(wǎng)關(guān)：最簡單的實現(xiàn)應(yīng)該是一個Bridge設(shè)備僅僅完成VXLAN到VLAN的轉(zhuǎn)換，包含VXLAN到VLAN的1：1、N：1轉(zhuǎn)換實體形態(tài)可以是vSwitch、交換機VXLAN VXLANVXLAN

三層網(wǎng)關(guān)：實現(xiàn)可以是一個Router設(shè)備，支持跨VXLAN三層轉(zhuǎn)發(fā)實體形態(tài)可以是vRouter、交換機、路由器VXLAN網(wǎng)絡(luò)互通需求VXLAN二層/三層網(wǎng)關(guān)：傳統(tǒng)L2VXLAN

集中式網(wǎng)關(guān)LeafLeafSpineLeafVXLANNetworkservervsi-interface

10VSI/VXLAN

10VSI/VXLAN

10vsi-interface

2010.0.0.10server0集中式VXLAN

IP網(wǎng)關(guān)進行二層VXLAN業(yè)務(wù)終結(jié)對內(nèi)層封裝的IP報文進行三層轉(zhuǎn)發(fā)VXLAN

IP網(wǎng)關(guān)功能由VXLAN對應(yīng)的三層虛接口（VSI虛接口）承擔(dān)2167VXLAN集中式網(wǎng)關(guān)LeafLeafSpineLeafVXVXLAN

分布式網(wǎng)關(guān)LeafLeafSpineLeafserverVXLANNetworkvsi-interface

10VSI/VXLAN

10VSI/VXLAN

10vsi-interface

20server00分布式VXLAN

IP網(wǎng)關(guān)所有的分布式VXLAN

IP網(wǎng)關(guān)上都需要創(chuàng)建VSI虛接口不同網(wǎng)關(guān)上的相同VSI虛接口配置相同的網(wǎng)關(guān)IP地址vsi-interface

10VSI/VXLAN

10VSI/VXLAN

10vsi-interface

20vsi-interface

10VSI/VXLAN

10VSI/VXLAN

10vsi-interface

202168VXLAN分布式網(wǎng)關(guān)LeafLeafSpineLeafseVXLAN的控制平面2169外層源/目的mac外層802.1q標(biāo)簽外層目的IP地址外層源IP地址外層UDP包頭VXLAN標(biāo)簽原始數(shù)據(jù)包VXLAN的控制平面實現(xiàn)方式分為3類自學(xué)習(xí)模式利用泛洪/廣播機制來實現(xiàn)VXLAN網(wǎng)絡(luò)的建立基于SDNController的集中式模式SDN

Controller作為控制平面，通過下發(fā)流表指導(dǎo)VTEP的轉(zhuǎn)發(fā)路由協(xié)議擴展模式通過擴展ISIS（類EVI)、BGP（EVPN)協(xié)議來實現(xiàn)VXLAN網(wǎng)絡(luò)的建立VTEP設(shè)備轉(zhuǎn)發(fā)時需要哪些信息？VXLAN的控制平面2127外層源/目的mac外層802VXLAN的控制平面—自學(xué)習(xí)模式一LeafLeafLeafvswitchVM1VM2serverVTEPIP

VTEPIP

指定VXLAN

ID映射到一個IP組播組，此VXLAN的VTEP都加入該組播組，通過flooding和learning機制完成學(xué)習(xí)如圖，VM

server屬于同一個VXLAN

10

加入特定組播組Spine Spine1）VM發(fā)送ARP報文請求server的地址2）VTEP將報文進行

VXLAN

封裝

，

在組播

組里廣播3）同一個VXLAN的VTEP收到ARP請求后，學(xué)習(xí)對端VTEP的地址，并生成VTEP

上的MAC

地址表，并將VTEP報文解封裝后廣播到相關(guān)接口MAC地址VTEP地址VM

macVXLANNetwork2170VXLAN的控制平面—自學(xué)習(xí)模式一LeafLeafLeafvVXLAN的控制平面—自學(xué)習(xí)模式二Leaf-BSpineSpineLeaf-CvswitchVM1VM2serverLeaf-AVTEPIPVTEP

IP10.0.0.26）Leaf-A將報文進行VXLAN

解封裝后發(fā)給VM1

，

并且學(xué)習(xí)對端VTEP

的IP,

生成VTEP上的MAC地址表5）Leaf-C查看MAC地址表，將報文封裝成VXLAN報文后，單播發(fā)送給Leaf-AMAC地址VTEP地址VM

mac4）server收到ARP報文，回應(yīng)ARP請求MAC地址VTEP地址server

macVXLANNetwork2171VXLAN的控制平面—自學(xué)習(xí)模式二Leaf-BSpineSpVXLAN的控制平面—基于Controller方式Leaf-ASpine SpineControllerVXLAN

app未知報文1

）

Leaf-A收到未知報文通過packet

in報文將報文發(fā)給controllerVM1基于SDN

Controller方式的控制平面和地址學(xué)習(xí)SDN

Controller與所有VXLAN

ED設(shè)備建立連接（通過OpenFlow協(xié)議），通過SDN

Controller給各VXLAN

ED部署下發(fā)流表來進行VXLAN的轉(zhuǎn)發(fā)2）Controller上學(xué)習(xí)MAC地址表并和Leaf-A地址對應(yīng)MAC

地址VTEP地址VM

macLeaf-B Leaf-C3）controller下發(fā)流表給VTEP指導(dǎo)轉(zhuǎn)發(fā)4）controller將學(xué)習(xí)到的MAC與VTEP對應(yīng)關(guān)系同步到其他VTEP注：通過云業(yè)務(wù)平臺在創(chuàng)建VM的時候直接將VM

MAC地址表（包括與VTEP

IP地址的對應(yīng)關(guān)系）通知SDNcontroller，這樣controller一直有整網(wǎng)的VM

MAC地址表VXLANNetwork2172VXLAN的控制平面—基于Controller方式Leaf-VXLAN的控制平面—基于ISIS協(xié)議(一)ENDCENDCENDC基于ISIS擴展協(xié)議的控制平面和mac地址學(xué)習(xí)基于EVI鄰居發(fā)現(xiàn)協(xié)議，通過ISIS擴展協(xié)議來實現(xiàn)控制平面和MAC地址學(xué)習(xí)VXLAN網(wǎng)絡(luò)啟用ENDP協(xié)議，核心設(shè)備作為ENDS設(shè)備、接入設(shè)備作為ENDC設(shè)備，ISIS擴展協(xié)議來完成MAC的發(fā)布和回收ENDS ENDSVXLANNetwork2173VXLAN的控制平面—基于ISIS協(xié)議(一)ENDCENDCVXLAN的控制平面—基于ISIS協(xié)議(二)Leaf-BSpineLeaf-CvswitchVM1VM2serverVTEPIP

VTEPIP

1）VTEP學(xué)習(xí)到VM

MAC之后通過ISIS擴展協(xié)議通告給其他VTEP設(shè)備Leaf-A2）同一個域內(nèi)的VTEP設(shè)備收到ISIS報文，學(xué)習(xí)VM

MAC和對應(yīng)的VTEP地址MAC地址VTEP地址VM

macSpine設(shè)備作為ENDS設(shè)備、接入設(shè)備（VTEP）作為ENDC設(shè)備，ENDC設(shè)備向ENDS設(shè)備發(fā)起注冊（包括VXLAN

ID、VTEPID、network

ID)ENDS發(fā)送應(yīng)答包括所有ENDC設(shè)備信息，建立VXLAN控制平面SpineVXLANNetwork2174VXLAN的控制平面—基于ISIS協(xié)議(二)Leaf-BSp優(yōu)勢：標(biāo)準(zhǔn)化：控制面使用EVPN，屬于