CloudEngine 12800交換機VXLAN技術(shù)白皮書

CloudEngine系列交換機VXLAN技術(shù)白皮書文檔版本03發(fā)布日期2015-05-30CloudEngine系列交換機VXLANCloudEngine系列交換機VXLAN技術(shù)白皮書03(2015-05-30)PAGE\*romanii03(2015-05-30)PAGE\*romaniiVXLAN配置 1VXLAN簡介 2原理描述 3基本概念 4報文格式 5VXLAN部署方案 6數(shù)據(jù)報文轉(zhuǎn)發(fā) 10VXLANQoS 18VXLAN增強特性 18ARP/MAC動態(tài)學(xué)習(xí) 19ARP廣播抑制 20VXLAN集中式多活網(wǎng)關(guān) 22VXLAN分布式網(wǎng)關(guān) 28VXLAN雙活接入 37應(yīng)用場景 43同網(wǎng)段終端用戶通信的應(yīng)用 43不同網(wǎng)段終端用戶通信的應(yīng)用 44在虛擬機遷移場景中的應(yīng)用 45VXLAN分布式網(wǎng)關(guān)的應(yīng)用 47VXLAN集中式多活網(wǎng)關(guān)的應(yīng)用 48VXLAN雙活接入的應(yīng)用 49配置注意事項 50配置VXLAN（SNC控制器方式） 52配置VXLAN（單機方式） 53配置同網(wǎng)段用戶通過VXLAN隧道互通 53配置業(yè)務(wù)接入點實現(xiàn)區(qū)分業(yè)務(wù)流量 55配置VXLAN隧道轉(zhuǎn)發(fā)業(yè)務(wù)流量 56（可選）配置提升VXLAN網(wǎng)絡(luò)安全性 57檢查配置結(jié)果 57配置不同網(wǎng)段用戶通過VXLAN三層網(wǎng)關(guān)通信 57配置業(yè)務(wù)接入點實現(xiàn)區(qū)分業(yè)務(wù)流量 59配置VXLAN隧道轉(zhuǎn)發(fā)業(yè)務(wù)流量 60配置三層網(wǎng)關(guān)實現(xiàn)不同網(wǎng)段業(yè)務(wù)流量互通 61（可選）配置VXLAN集中式多活網(wǎng)關(guān) 62（可選）配置提升VXLAN網(wǎng)絡(luò)安全性 63檢查配置結(jié)果 64配置VXLAN分布式網(wǎng)關(guān) 64配置VXLAN二層網(wǎng)關(guān) 66配置VXLAN三層網(wǎng)關(guān) 68（可選）配置提升VXLAN網(wǎng)絡(luò)安全性 70檢查配置結(jié)果 71配置VXLAN雙活接入功能 71配置雙歸設(shè)備通過M-LAG與服務(wù)器對接 72配置DFSGroup 73配置peer-link 73配置綁定DFSGroup 74檢查配置結(jié)果 76配置雙歸設(shè)備上的虛擬VTEP 76維護VXLAN 77統(tǒng)計并查看VXLAN統(tǒng)計信息 77清除BD內(nèi)報文統(tǒng)計信息 77監(jiān)控VXLAN運行狀況 78配置VXLAN告警上報功能 78配置舉例 79配置同網(wǎng)段用戶通過VXLAN隧道互通示例（單機方式） 79配置不同網(wǎng)段用戶通過VXLAN三層網(wǎng)關(guān)通信示例（SNC控制器方式） 83配置集中式多活網(wǎng)關(guān)示例（單機方式） 99配置VXLAN雙活接入示例（單機方式） 107配置VXLAN分布式網(wǎng)關(guān)示例（單機方式） 114配置VXLAN分布式網(wǎng)關(guān)+雙活接入綜合示例（單機方式） 122參考標(biāo)準(zhǔn)和協(xié)議 134文檔版本03(2015-05-30) iiiCloudEngine系列交換機VXLANCloudEngine系列交換機VXLAN技術(shù)白皮書1VXLAN配置03(2015-05-30)PAGE103(2015-05-30)PAGE11VXLAN配置關(guān)于本章VXLAN簡介的定義、目的和受益。原理描述介紹VXLAN的實現(xiàn)原理。應(yīng)用場景介紹VXLAN的應(yīng)用場景。配置注意事項介紹部署VXLAN的注意事項。配置VXLAN（SNC控制器方式）介紹了SNC控制器配合設(shè)備實現(xiàn)VXLAN部署的方法。配置VXLAN（單機方式）介紹了不依賴于任何控制器，直接在設(shè)備上配置VXLAN的方法。維護VXLAN通過維護VXLAN，可以實現(xiàn)清除VXLAN統(tǒng)計數(shù)據(jù)、監(jiān)控VXLAN的運行狀況等。配置舉例介紹VXLAN配置舉例，配置舉例中包括組網(wǎng)需求、配置思路、配置過程和配置文件。參考標(biāo)準(zhǔn)和協(xié)議介紹VXLAN的參考標(biāo)準(zhǔn)和協(xié)議。VXLAN簡介介紹VXLAN的定義、目的和受益。定義RFC7348定義了VXLAN擴展方案（VirtualeXtensibleLocalAreaNetwork），采用MACinUDP（UserDatagramProtocol）NVO3（NetworkVirtualizationoverLayer3）中的一種網(wǎng)絡(luò)虛擬化技術(shù)。目的作為云計算的核心技術(shù)之一，服務(wù)器虛擬化憑借其大幅降低IT成本、提高業(yè)務(wù)部署靈活性、降低運維成本等優(yōu)勢已經(jīng)得到越來越多的認可和部署。圖1-1服務(wù)器虛擬化示意圖VMVMVMVMVMVMVMVMVMVMVMVSwitchVSwitchVMVMVMVMVMVMVMVMVSwitchVSwitchServer1

Server2

Server3

Server4如圖1-1所示，一臺服務(wù)器可虛擬成多臺虛擬機，而一臺虛擬機相當(dāng)于一臺主機。主機的數(shù)量發(fā)生了數(shù)量級的變化，這也為虛擬網(wǎng)絡(luò)帶來了如下問題：CloudEngine系列交換機VXLANCloudEngine系列交換機VXLAN技術(shù)白皮書1VXLAN配置虛擬機規(guī)模受網(wǎng)絡(luò)規(guī)格限制在大二層網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)報文是通過查詢MAC地址表進行二層轉(zhuǎn)發(fā)，而MAC地址表的容量限制了虛擬機的數(shù)量。網(wǎng)絡(luò)隔離能力限制當(dāng)前主流的網(wǎng)絡(luò)隔離技術(shù)是VLAN或VPN（VirtualPrivateNetwork），在大規(guī)模的虛擬化網(wǎng)絡(luò)中部署存在如下限制：IEEE802.1QVLAN124096個VLAN，無法滿足大二層網(wǎng)絡(luò)中標(biāo)識大量用戶群的需求。傳統(tǒng)二層網(wǎng)絡(luò)中的VLAN/VPN無法滿足網(wǎng)絡(luò)動態(tài)調(diào)整的需求。虛擬機遷移范圍受網(wǎng)絡(luò)架構(gòu)限制虛擬機啟動后，可能由于服務(wù)器資源等問題（如CPU過高，內(nèi)存不夠等），需要將虛擬機遷移到新的服務(wù)器上。為了保證虛擬機遷移過程中業(yè)務(wù)不中斷，則需要保證虛擬機的IP地址、MAC地址等參數(shù)保持不變，這就要求業(yè)務(wù)網(wǎng)絡(luò)是一個二層網(wǎng)絡(luò)，且要求網(wǎng)絡(luò)本身具備多路徑的冗余備份和可靠性。針對大二層網(wǎng)絡(luò)，VXLAN的提出很好地解決了上述問題：針對虛擬機規(guī)模受網(wǎng)絡(luò)規(guī)格限制VXLAN將虛擬機發(fā)出的數(shù)據(jù)包封裝在UDP中，并使用物理網(wǎng)絡(luò)的IP和MAC地址作對MAC地址規(guī)格的需求。針對網(wǎng)絡(luò)隔離能力限制VXLAN引入了類似VLANID的用戶標(biāo)識，稱為VXLAN網(wǎng)絡(luò)標(biāo)識VNI（VXLANNetworkID），由24比特組成，支持多達16M（(2^24-1)/1024^2）的VXLAN段，從而滿足了大量的用戶標(biāo)識。針對虛擬機遷移范圍受網(wǎng)絡(luò)架構(gòu)限制通過VXLAN構(gòu)建大二層網(wǎng)絡(luò)，保證了在虛擬遷移時虛擬機的IP地址、MAC地址等參數(shù)保持不變。受益隨著數(shù)據(jù)中心在物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施上實施服務(wù)器虛擬化的快速發(fā)展，作為NVO3技術(shù)之一的VXLAN：24VNI16M的VXLAN識不再受到限制，可滿足海量租戶。除VXLAN網(wǎng)絡(luò)邊緣設(shè)備，網(wǎng)絡(luò)中的其他設(shè)備不需要識別虛擬機的MAC地址，減輕了設(shè)備的MAC地址學(xué)習(xí)壓力，提升了設(shè)備性能。通過采用MACinUDP封裝來延伸二層網(wǎng)絡(luò)，實現(xiàn)了物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)解耦，租IP低了網(wǎng)絡(luò)管理的難度。原理描述介紹VXLAN的實現(xiàn)原理。文檔版本03(2015-05-30) 3CloudEngine系列交換機VXLANCloudEngine系列交換機VXLAN技術(shù)白皮書1VXLAN配置03(2015-05-30)PAGE1003(2015-05-30)PAGE10基本概念VXLAN是NVO3中的一種網(wǎng)絡(luò)虛擬化技術(shù)，通過將VM或物理服務(wù)器發(fā)出的數(shù)據(jù)包封裝在UDP中，并使用物理網(wǎng)絡(luò)的IP/MAC作為報文頭進行封裝，然后在IP網(wǎng)絡(luò)上傳輸，到達目的地后由隧道終結(jié)點解封裝并將數(shù)據(jù)發(fā)送給目標(biāo)虛擬機或物理服務(wù)器。L3Device3VTEPIP1NVEL3Device3VTEPIP1NVEUDP4789VNI VNI5020 VAP2 VAP3L3NetworkVLAN20 UntagDevice1Device2NVEVSwitchVSwitchVM2Untag/24VLAN20/24VM1...VMmVM1...VMmVLAN10/24Server1

Server2

NVE通過VXLAN，虛擬網(wǎng)絡(luò)可接入大量租戶，且租戶可以規(guī)劃自己的虛擬網(wǎng)絡(luò)，不需要考IP1-2相關(guān)概念。NVE（NetworkVirtualizationEdge）：網(wǎng)絡(luò)虛擬邊緣節(jié)點NVE，是實現(xiàn)網(wǎng)絡(luò)虛擬化NVENVE層虛擬化網(wǎng)絡(luò)。說明設(shè)備和服務(wù)器上的虛擬交換機VSwitch都可以作為NVE。VTEP（VXLANTunnelEndpoints）：VTEP是VXLAN隧道端點，封裝在NVE中，用于VXLAN報文的封裝和解封裝。VTEP與物理網(wǎng)絡(luò)相連，分配有物理網(wǎng)絡(luò)的IP地址，該地址與虛擬網(wǎng)絡(luò)無關(guān)。VXLAN報文中源IP地址為本節(jié)點的VTEP地址，VXLAN報文中目的IP地址為對端節(jié)點的VTEP地址，一對VTEP地址就對應(yīng)著一個VXLAN隧道。VNI（VXLANNetworkIdentifier）：VXLAN網(wǎng)絡(luò)標(biāo)識VNI類似VLANID，用于區(qū)分VXLAN段，不同VXLAN段的虛擬機不能直接二層相互通信。VNI由24比特組成，支持多達16M（(2^24-1)/1024^2）的租戶。VAP（VirtualAccessPoint）：虛擬接入點VAP統(tǒng)一為二層子接口，用于接入數(shù)據(jù)報文。為二層子接口配置不同的流封裝，可實現(xiàn)不同的數(shù)據(jù)報文接入不同的二層子接口。報文格式VXLAN是MACinUDP的網(wǎng)絡(luò)虛擬化技術(shù)，所以其報文封裝是在原始以太報文之前添加了一個UDP頭及VXLAN頭封裝。具體報文格式如圖1-3所示。圖1-3VXLAN報文格式48bits48bits16bits12bits

16bitsMACDAMACSAVLANTypeVLANIDEthernetType72bits8bits16bits16bits16bits…...

Protocol

…...

IPSA

IPDAVXLAN封裝

原始報文OuterEthernetheader

OuterIPheader

OuterUDPheader

VXLANheader

InnerEthernetheader

InnerIPheader

PayloadVXLANFlags(00001000)

Reserved VNI Reserved8bits

24bits

24bits

8bitsSourcePort16bits

DestPort(VXLANPort)16bits

UDPLength16bits

UDPChecksum16bitsVXLAN頭封裝Flags：8比特，取值為00001000。VNI：VXLAN網(wǎng)絡(luò)標(biāo)識，24比特，用于區(qū)分VXLAN段。Reserved：24比特和8比特，必須設(shè)置為0。外層UDP頭封裝目的UDP端口號是4789。源端口號是內(nèi)層以太報文頭通過哈希算法計算后的值。外層IP頭封裝源IP地址為發(fā)送報文的虛擬機所屬VTEP的IP地址；目的IP地址是目的虛擬機所屬VTEP的IP地址。外層Ethernet頭封裝SA：發(fā)送報文的虛擬機所屬VTEP的MAC地址。DA：目的虛擬機所屬VTEP上路由表中直連的下一跳MAC地址。VLANType：可選字段，當(dāng)報文中攜帶VLANTag時，該字段取值為0x8100。EthernetType：以太報文類型，IP協(xié)議報文該字段取值為0x0800。VXLAN部署方案目前，設(shè)備支持通過單機方式和控制器方式來部署VXLAN網(wǎng)絡(luò)。數(shù)據(jù)中心中，此方式無法協(xié)同云平臺實現(xiàn)網(wǎng)絡(luò)的自動化部署。動化部署。SNC控制器方式SNC控制器方式概述SNC控制器方式是指通過SNC控制器動態(tài)建立VXLAN隧道，并通過OpenFlow協(xié)議向轉(zhuǎn)發(fā)器下發(fā)相應(yīng)的流表以指導(dǎo)轉(zhuǎn)發(fā)器生成VXLAN隧道和報文在隧道中的轉(zhuǎn)發(fā)。OpenFlow行任何VXLAN的配置。WEBPortal/APPPortal業(yè)務(wù)呈現(xiàn)層NovaNeutronCinder協(xié)同層OpenStackRESTfulAPINetMatrixNETCONFWEBPortal/APPPortal業(yè)務(wù)呈現(xiàn)層NovaNeutronCinder協(xié)同層OpenStackRESTfulAPINetMatrixNETCONFSNCControllerOpenFlow網(wǎng)絡(luò)控制層VXLANL3GW轉(zhuǎn)發(fā)器VXLANL3GW轉(zhuǎn)發(fā)器基L3 礎(chǔ)Network 網(wǎng)Device 絡(luò)NVE轉(zhuǎn)發(fā)器OVSNVENVE1VSwitchOVSVM1 VM2 VM3 VM4服務(wù)器VMWareServer KVMServer物理服務(wù)器NVE2如圖1-4所示，SNC控制器北向通過NetMatrix與Neutron連接，獲得用戶虛擬網(wǎng)絡(luò)的表1-1所示。表1-1基于SNC控制器+VXLAN解決方案網(wǎng)絡(luò)框架介紹框架名稱說明業(yè)務(wù)呈現(xiàn)層面向運營商、企業(yè)、租戶，提供業(yè)務(wù)靈活定制化界面。租戶通過Portal定制業(yè)務(wù)，包括網(wǎng)絡(luò)業(yè)務(wù)和主機業(yè)務(wù)?？蚣苊Q說明協(xié)同層Nova、Neutron、Cinder屬于云平臺，是標(biāo)準(zhǔn)、開放的OpenStack架構(gòu)，可實現(xiàn)存儲、計算和網(wǎng)絡(luò)資源的協(xié)同。租戶通過Portal定制不同的業(yè)務(wù)，云平臺的動作也不一樣：網(wǎng)絡(luò)業(yè)務(wù)：Neutron負責(zé)分配NetworkID、子網(wǎng)ID、VNI等資源，并保存至NeutronDB。主機業(yè)務(wù)：NovaVM、VM、VM所屬服務(wù)器的ID，并通告給Neutron。Neutron：實現(xiàn)業(yè)務(wù)與網(wǎng)絡(luò)ID關(guān)聯(lián)，確定VMIP、VMMAC、VNI、Port、VM所屬服務(wù)器的ID、NVEIP映射關(guān)系。Cinder：負責(zé)分配存儲資源。網(wǎng)絡(luò)控制層由NetMatrix網(wǎng)管系統(tǒng)和控制器組成，完成網(wǎng)絡(luò)建模和網(wǎng)絡(luò)實例化。NETCONF協(xié)議與控制器建立通信通道，實現(xiàn)網(wǎng)絡(luò)配置、信息采集和規(guī)劃結(jié)果下發(fā)；通過API（ApplicationProgrammingInterface）連接Neutron實現(xiàn)業(yè)務(wù)快速定制和自動發(fā)放。OpenFlow理都由控制器獨立完成。通常，刀片服務(wù)器即可作為控制器。說明控制器和轉(zhuǎn)發(fā)器的鄰居關(guān)系建立是通過OpenFlow協(xié)議完成?？刂破骱娃D(zhuǎn)發(fā)器的鄰居關(guān)系建立過程請見SNC控制器與轉(zhuǎn)發(fā)器之間通信通道的建立與維護?；A(chǔ)網(wǎng)絡(luò)物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)統(tǒng)一規(guī)劃。支持基于硬件的VXLAN網(wǎng)關(guān)提高業(yè)務(wù)性能。支持對傳統(tǒng)VLAN網(wǎng)絡(luò)的兼容。轉(zhuǎn)發(fā)器只負責(zé)數(shù)據(jù)報文轉(zhuǎn)發(fā)。SNC控制器與轉(zhuǎn)發(fā)器之間通信通道的建立與維護通過云平臺，控制器可及時感知終端租戶的狀態(tài)，獲得用戶虛擬網(wǎng)絡(luò)的信息。如圖1-5所示，終端租戶上線后，通過云平臺，控制器根據(jù)獲得的用戶虛擬網(wǎng)絡(luò)信息進行動態(tài)計算，生成網(wǎng)絡(luò)相關(guān)配置信息及流表信息，并自動映射到物理網(wǎng)絡(luò)。圖1-5控制器與轉(zhuǎn)發(fā)器數(shù)據(jù)同步示意圖控制器上相關(guān)表項VM1MAC1VM1IP1VNI1VLAN1NVEIP1VM2MAC2VM2IP2VNI2VLAN2NVEIP1VM3MAC3VM3IP3VNI1VLAN1NVEIP2VM4MAC4VM4IP4VNI2VLAN2NVEIP2Server1/24

Server2/24NETCONFControllerIPNetworkNETCONFControllerIPNetworkNMSTOR3Switch_1Switch_2VSwitchVSwitchVM1VM2VM3 VM41-5CLINETCONF協(xié)議建立連接后，用戶通過NMS配置控制器。在控制器上創(chuàng)建NVE，指定VTEP的源、目的IP地址，配置靜態(tài)MAC地址或ARP表項。由此在控制器上生成靜態(tài)MAC地址表項或靜態(tài)ARP表項。OpenFlowOpenFlow斷連，轉(zhuǎn)發(fā)器不會刪除靜態(tài)MAC地址表項和靜態(tài)ARP表項，以保證流量正常轉(zhuǎn)發(fā)。當(dāng)SNC控制器和轉(zhuǎn)發(fā)器重新建立OpenFlow連接后，SNC控制器會將本地更新后的所有靜態(tài)MAC地址表項和靜態(tài)ARP表項重新下發(fā)給轉(zhuǎn)發(fā)器，以確保SNC器和轉(zhuǎn)發(fā)器上的靜態(tài)MAC地址表項和靜態(tài)ARP表項數(shù)據(jù)一致。如果SNC控制器上更新后的表項數(shù)量小于OpenFlow重新連接前轉(zhuǎn)發(fā)器上保存的表項數(shù)量，OpenFlow重新建立連接后，轉(zhuǎn)發(fā)器同步SNC控制器上所有表項，并自動刪除多余的表項。數(shù)據(jù)報文轉(zhuǎn)發(fā)在VXLAN網(wǎng)絡(luò)中，業(yè)務(wù)接入點統(tǒng)一表現(xiàn)為二層子接口，通過在二層子接口上配置流封裝實現(xiàn)不同的接口接入不同的數(shù)據(jù)報文。廣播域統(tǒng)一表現(xiàn)為BD（Bridge-Domain），將二層子接口關(guān)聯(lián)BD后，可實現(xiàn)數(shù)據(jù)報文通過BD轉(zhuǎn)發(fā)。由于VXLAN網(wǎng)絡(luò)中通過VNI標(biāo)識不同租戶，將VNI以1:1方式映射到BD，可實現(xiàn)不同的租戶通過不同的BD轉(zhuǎn)發(fā)。和VLAN類似，不同VNI之間的VXLAN，及VXLAN和非VXLAN之間不能直接相互通信。為了使VXLAN之間，以及VXLAN和非VXLAN之間能夠進行通信，VXLAN引入了VXLAN網(wǎng)關(guān)，如圖1-6所示。說明VXLANVXLANVXLAN報文轉(zhuǎn)發(fā)的MAC地址表項通過動態(tài)學(xué)習(xí)建立。NVE可以部署在VSwitch上，也可部署在支持NVE的設(shè)備上。本章節(jié)主要以NVE部署在支持NVE的設(shè)備上為例描述VXLAN網(wǎng)絡(luò)中數(shù)據(jù)報文如何轉(zhuǎn)發(fā)。NVE1VXLAN網(wǎng)關(guān)NVE2NVE3不同VXLANNVE1VXLAN網(wǎng)關(guān)NVE2NVE3不同VXLAN之間VXLAN與非VXLAN之間VTEP1VTEP2VM1VM2VM3VM4VM5VM6VM7VM8VM9VXLAN網(wǎng)關(guān)分為：網(wǎng)絡(luò)的子網(wǎng)通信。VXLAN二層網(wǎng)關(guān)收到用戶報文，根據(jù)報文中包含的目的MAC地址類型，報文轉(zhuǎn)發(fā)流程分為：MAC地址是BUM（Broadcast&Unknown-unicast&Multicast）地址，按照BUM文轉(zhuǎn)發(fā)流程進行轉(zhuǎn)發(fā)。地址是已知單播地址，按照已知單播報文轉(zhuǎn)發(fā)流程進行轉(zhuǎn)發(fā)。：用于VXLAN虛擬網(wǎng)絡(luò)的跨子網(wǎng)通信以及外部網(wǎng)絡(luò)的訪問。BUM報文轉(zhuǎn)發(fā)流程當(dāng)BUM報文進入VXLAN隧道，接入端VTEP采用頭端復(fù)制方式進行報文的VXLAN封裝。BUM報文出VXLAN隧道，出口端VTEP對報文解封裝。BUM報文具體轉(zhuǎn)發(fā)流程如圖1-7所示。說明VTEP通過控制平VNI的VTEP列表，將收到的BUM報文根據(jù)VTEP列表進行復(fù)制并發(fā)送給屬于同一個VNI的所有VTEP。通過頭端復(fù)制完成BUM報文的廣播，不需要依賴組播路由協(xié)議。為了防止環(huán)路，VXLAN遵循水平分割原則，即：基于VXLAN隧道收到的BUM報文不會再向其他VXLAN隧道進行頭端復(fù)制轉(zhuǎn)發(fā)，只向?qū)?yīng)廣播域BD下的用戶側(cè)進行廣播。圖1-7BUM報文轉(zhuǎn)發(fā)過程圖

終端C：IP3MAC3VLAN4VXLANL2GW

VXLANL2GW

Device3VNI:5000VTEP:終端A：IP1MAC1VLAN2

Device1VNI:5000VTEP:

NetworkNVE1Device2VNI:5000VTEP:NVE1

VXLANL2GW終端A發(fā)出的二層報文

終端B：IP2MAC2VLAN3流量轉(zhuǎn)發(fā)路徑解封裝Device1封裝VXLAN報文 報文并重新封裝Device1—>Device2

二層報文DMACAllFDMACAllFSMACMAC1VLANTag 2DMACNetMACSMACNVE1MAC1SMACSIP SIPDIP DIPUDPS_PHASH UDPS_PUDPD_P4789 UDPD_PVNI 5000 VNIDMAC AllF DMACSMAC MAC1 SMACSIP IP1 SIPDIP IP2 DIPNetMACNVE1HASH47895000AllFMAC1IP1IP3DMACSMACVLANTagDMACSMACVLANTagAllFMAC13AllFMAC14Pay-loadPay-loadAVLAN信息獲取對應(yīng)的二層廣播域，并判斷報文的目的MAC是否為BUMMAC。是，在對應(yīng)的二層廣播域內(nèi)廣播，并跳轉(zhuǎn)到2。不是，通過已知單播報文轉(zhuǎn)發(fā)流程。Device1上VTEP根據(jù)對應(yīng)的二層廣播域獲取對應(yīng)VNI的頭端復(fù)制隧道列表，依據(jù)獲信息封裝VXLAN頭和外層IP信息，并從出端口轉(zhuǎn)發(fā)。Device2上VTEP收到VXLAN報文后，根據(jù)UDP目的端口號、源/目的IP地址、VNIVXLANVXLAN解封裝，獲取內(nèi)層二層報文，判斷報文的目的MAC是否為BUMMAC。是，在對應(yīng)的二層廣播域內(nèi)非VXLAN側(cè)進行廣播處理。不是，再判斷是否是本機MAC。是，上送CPU處理。不是，在對應(yīng)的二層廣播域內(nèi)查找出接口和封裝信息，并跳轉(zhuǎn)到4。Device2/Device3根據(jù)查找到的出接口和封裝信息，為報文添加VLANTag，轉(zhuǎn)發(fā)給對應(yīng)的B/C。說明終端B/C上回應(yīng)終端A的消息，按照已知單播報文轉(zhuǎn)發(fā)流程進行轉(zhuǎn)發(fā)。已知單播報文轉(zhuǎn)發(fā)流程已知單播報文具體轉(zhuǎn)發(fā)流程如圖1-8所示。圖1-8已知單播報文轉(zhuǎn)發(fā)過程圖NVE2VXLANL2GWNVE2

NVE1NetworkNVE1

VXLANL2GW終端A：IP1MAC1VLAN2

Device1VNI:5000VTEP:

Device2VNI:5000VTEP:

終端B：IP2MAC2VLAN3流量轉(zhuǎn)發(fā)路徑終端A發(fā)出的二層報文 Device1封裝VXLAN報

Device2解封裝VXLAN報文并重新封裝二層報文DMACMAC2DMACDMACMAC2DMACNetMACSMACMAC1SMACNVE1MAC1VLANTag2SIPDIPUDPS_PHASHUDPD_P4789VNI5000DMACMAC2SMACMAC1SIPIP2DIPIP1Pay-loadDMACMAC2SMACMAC1VLANTag3終端B發(fā)出的二層報文 Device2封裝VXLAN報

Device1解封裝VXLAN報文并重新封裝二層報文DMACMAC1DMACDMACMAC1DMACNetMACSMACMAC2SMACNVE2MAC1VLANTag3SIPDIPUDPS_PHASHUDPD_P4789VNI5000DMACMAC1SMACMAC2SIPIP2DIPIP1Pay-loadDMACMAC1SMACMAC2VLANTag2AVLAN信息獲取對應(yīng)的二層廣播域，并判斷報文的目的MAC是否為已知單播MAC。是，再判斷是否為本機MAC。是，上送主機處理。不是，在對應(yīng)的二層廣播域內(nèi)查找出接口和封裝信息，并跳轉(zhuǎn)到2。不是，在對應(yīng)的二層廣播域內(nèi)進行廣播處理，并跳轉(zhuǎn)到2。Device1上VTEP根據(jù)查找到的出接口和封裝信息進行VXLAN封裝和報文轉(zhuǎn)發(fā)。Device2上VTEP收到VXLAN報文后，根據(jù)UDP目的端口號、源/目的IP地址、VNIVXLANVXLAN解封裝，獲取內(nèi)層二層報文，判斷報文的目的MAC是否為已知單播報文MAC。是，在對應(yīng)的二層廣播域內(nèi)查找出接口和封裝信息，并跳轉(zhuǎn)到4。不是，再判斷是否是本機MAC。是，上送主機處理。不是，通過BUM報文轉(zhuǎn)發(fā)流程。Device2VLANTag，轉(zhuǎn)發(fā)給對應(yīng)的終端B。三層網(wǎng)關(guān)

不同網(wǎng)段的VXLAN間通信，及VXLAN和非VXLAN的通信，需要通過IP路由實現(xiàn)。在VXLAN網(wǎng)絡(luò)中，將虛擬廣播域VN（VirtualNetwork）對應(yīng)的VNI（VXLANNetworkIdentifier）以1:1方式映射到廣播域BD，BD成為VXLAN網(wǎng)絡(luò)的實體，通過BD轉(zhuǎn)發(fā)流BDBDIF接口，通過BDIF接口配置IP地址實現(xiàn)不同網(wǎng)段的VXLAN間，及VXLAN和非VXLAN的通信。說明BDIF接口類似VLANIF接口。IPCoreNetworkBD路由表Destination/24/24Device3NextHop0/240/24InterfaceBDIF10IPCoreNetworkBD路由表Destination/24/24Device3NextHop0/240/24InterfaceBDIF10BDIF20VNIL3Gateway:BDIF10:0/24MAC3NVE3BDIF20:0/24MAC4NVE4PacketL2GatewayDevice1VSwitchVM1MAC1VLAN10/24L2GatewayDevice2VSwitchVM2MAC2VLAN20/24BDIFServer1 Server2VXLANTunnelPacketflow如圖1-9所示，三層網(wǎng)關(guān)通信具體實現(xiàn)過程如下：收到VXLANDMAC是否是本網(wǎng)關(guān)接口的MAC地址。是，轉(zhuǎn)給對應(yīng)目的網(wǎng)段的三層網(wǎng)關(guān)處理，并跳轉(zhuǎn)2。不是，在對應(yīng)的二層廣播域內(nèi)查找出接口和封裝信息。作為VXLAN三層網(wǎng)關(guān)的Device3剝除內(nèi)層報文的以太封裝，解析目的IP。根據(jù)目的IP查找ARP表項，確認DMAC、VXLAN隧道出接口及VNI等信息。沒有VXLAN隧道出接口及VNI信息，進行三層轉(zhuǎn)發(fā)。有VXLAN隧道出接口及VNI信息，跳轉(zhuǎn)3。Device3VXLANSMAC是網(wǎng)關(guān)接口的MAC地址。說明Device3與其他Device之間的通信，請參見二層網(wǎng)關(guān)實現(xiàn)原理。ARP代答

說明目前，僅SNC控制器支持ARP代答功能。VM1VM3VM1VM3VM3收到ARP廣播請求報文后進行ARP單播應(yīng)答。圖1-10ARP代答組網(wǎng)圖VM1MAC1VM1IP1VNI1VLAN1NVEIP1VM2MAC2VM2IP2VNI2VLAN2NVEIP1VM3MAC3VM3IP3VNI1VLAN1NVEIP2VM4MAC4VM4IP4VNI2VLAN2NVEIP2ControllerIPControllerIPnetworkSwitch_3Switch_1Switch_2VSwitchVM1 VM2VM4VM3VSwitch

Server2/24NVE為了避免ARP廣播請求報文給網(wǎng)絡(luò)帶來廣播風(fēng)暴，可在圖1-10所示的控制器上使能代答功能。VM1發(fā)送ARP請求報文，請求目的主機VM3的MAC地址具體實現(xiàn)過程如下：VM1發(fā)送ARP（SMAC:MAC1，SIP:IP1，DMAC:FF-FF-FF，DIP：IP3）。NVE1收到ARP請求報文后，通過OpenFlow通道上送控制器處理?？刂破鞲鶕?jù)IP3查詢用戶信息庫，獲得VM3對應(yīng)的MAC地址MAC3?？刂破鞣庋bARP應(yīng)答報文，通過OpenFlow通道發(fā)送給NVE1。NVE1根據(jù)控制器指定的出端口（ARP請求報文的入端口）將ARPVM1。VXLANQoSVXLANQoS用來實現(xiàn)原始報文攜帶的QoS優(yōu)先級、設(shè)備內(nèi)部優(yōu)先級（又稱為本地優(yōu)先級，是設(shè)備內(nèi)部區(qū)分報文服務(wù)等級的優(yōu)先級）與封裝后報文優(yōu)先級之間的轉(zhuǎn)換，從而設(shè)備根據(jù)內(nèi)部優(yōu)先級提供有差別的QoS服務(wù)質(zhì)量。NetworkSwitch_1VXLANtunnelSwitch_2VSwitchVSwitchVM1 NetworkSwitch_1VXLANtunnelSwitch_2VSwitchVSwitchVM1 VM2VM1 VM2NVE如圖1-11所示，VXLANQoS實現(xiàn)的原始報文攜帶的QoS優(yōu)先級、設(shè)備內(nèi)部優(yōu)先級與封裝后報文優(yōu)先級之間的轉(zhuǎn)換過程如下。原始報文由二層子接口進入Switch_1設(shè)備，原始報文按照子接口上指定的VLAN上綁定的DiffServ模板進行映射，將原始報文的802.1p優(yōu)先級映射為設(shè)備內(nèi)部優(yōu)先級（PHB行為和報文顏色），以此入隊列。報文進入隧道，對報文進行加封裝（外層依次添加VXLAN報文頭、UDP報文頭、IP802.1pDSCP文內(nèi)部優(yōu)先級按照DiffServ域的缺省模板進行映射。報文按照映射后的優(yōu)先級在隧道中進行傳輸。802.1p或DSCP（優(yōu)先級，進入隊列進行傳輸。最后，由設(shè)備內(nèi)部優(yōu)先級按照子接口上指定的VLAN上綁定的DiffServ域模板進行映射，映射到出接口報文的802.1p優(yōu)先級，報文按照映射后的優(yōu)先級進行傳輸。VXLAN增強特性說明本特性從V100R005C10版本開始支持。ARP/MAC動態(tài)學(xué)習(xí)動態(tài)ARP/MAC地址表項通過ARP/MAC報文動態(tài)學(xué)習(xí)創(chuàng)建和更新，不需要網(wǎng)絡(luò)管理員手工維護，大大減少了網(wǎng)絡(luò)管理員的維護量。在VXLAN網(wǎng)絡(luò)中如何通過ARP/MAC動態(tài)學(xué)習(xí)建立動態(tài)ARP/MAC地址表項以實現(xiàn)終端租戶互通，將基于圖1-12詳細介紹。圖1-12不同網(wǎng)段租戶互通實現(xiàn)過程示意圖BDIF路由表BDIFDestinationNextHopDestinationNextHopInterface/240BDIF10/240BDIF20VNIPacket

NVE3

Device3L3Gateway:BDIF10:0/24MAC3BDIF20:0/24MAC4L3NetworkIP1 IP2Device1 Device2VSwitch VSwitchVM1MAC1VLAN10/24

VM2MAC2VLAN20/24Server1 Server2VM1初次和VM2通信，VM1會先發(fā)送目的MAC為全F的ARP請求報文。Device1收到ARP請求報文后，更新本地保存的MAC地址表（MAC表中增加VNIID），并將ARP請求報文在本網(wǎng)段內(nèi)廣播。Device3收到ARPARP表項，并向Device1發(fā)送源MAC是MAC3的ARP應(yīng)答報文。Device1收到ARP應(yīng)答報文后更新本地保存的MAC地址表。VM1收到ARP應(yīng)答報文后，更新本地保存的ARP文。Device1收到報文后，根據(jù)本地保存的MAC表，找到出接口是NVE3，進行VXLAN封裝，封裝后的VXLAN報文如圖1-13所示。圖1-13VXLAN報文DMACNetMACSMACNVE3MACSIPNVE3DIPNVE2UDPS_PHASHUDPD_P4789VNI6000DMACMAC3SMACMAC1SIPDIPPay-loadDevice3收到VXLAN報文后先進行解封裝，再查找路由表轉(zhuǎn)發(fā)報文。VM2的IPMAC地址映射關(guān)系，三層網(wǎng)關(guān)NVE3向NVE2發(fā)送ARP請求報文。Device2收到ARP請求報文后，更新本地保存的MAC地址表，并將ARP請求報文在本網(wǎng)段內(nèi)廣播。VM2收到ARP請求報文后，更新本地保存的ARP表項，并向Device2發(fā)送ARP應(yīng)答報文。ARPMAC地址表，并向Device3發(fā)送ARP應(yīng)答報文。NVE3收到ARP應(yīng)答報文，更新本地保存的ARP表項。三層網(wǎng)關(guān)向VM2發(fā)送數(shù)據(jù)報文。三層網(wǎng)關(guān)根據(jù)本地保存的MAC口是NVE2，進行VXLAN封裝，封裝后的VXLAN報文如圖1-14所示。圖1-14VXLAN報文DMACNetMACSMACNVE3MACSIPNVE1DIPNVE3UDPS_PHASHUDPD_P4789VNI5000DMACMAC2SMACMAC4SIPDIPPay-load報文依據(jù)圖1-14中的外層路由表轉(zhuǎn)發(fā)到Device2。Device2收到VXLAN報文后進行解封裝，查找MAC地址表，將數(shù)據(jù)報文轉(zhuǎn)發(fā)至目的租戶VM2。VM2->VM1通信過程與VM1->VM2類似，這里不再贅述。由于VM1->VM2的通信過程中，三層網(wǎng)關(guān)、Device1、Device2上都更新了ARP和MAC表項，VM2->VM1通信過程中無需再發(fā)送ARP請求，以單播形式通信。由此實現(xiàn)VM1和VM2之間通過VXLAN三層網(wǎng)關(guān)實現(xiàn)跨網(wǎng)段通信。ARP廣播抑制在終端租戶初次互通過程中，終端租戶會發(fā)送ARP廣播請求報文，而ARP請求報文會在二層網(wǎng)絡(luò)內(nèi)廣播。為了抑制ARP廣播請求報文給網(wǎng)絡(luò)帶來的廣播風(fēng)暴，可在VXLAN二層網(wǎng)關(guān)設(shè)備上使能廣播抑制功能。圖1-15ARP廣播抑制示意圖Server1MACMAC1Server1MACMAC1Server1IPIP1Server1VTEPServer1VNIVNIIDServer2MACMAC2Server2IPIP2Server2VTEPServer2VNIVNIID

ARP請求報文主機信息發(fā)布

DMACMAC2DMACMAC2SMACMAC1…...SenderMACMAC1SenderIPIP1TargetMACMAC2TargetIPIP2GatewayDevice1

L2Gateway:VTEP:

L2Gateway:VTEP:

Device2Server1IP1：0/24MAC1DMACAllFSMACMAC1DMACAllFSMACMAC1…...SenderMACMAC1SenderIPIP1TargetMACAll0TargetIPIP2

使能ARP廣播變單播前

Server2IP2：0/24MAC2DMACNetMACSMACNVE1MAC1DMACNetMACSMACNVE1MAC1SIPDIPUDPS_PHASHUDPD_P4789VNIVNIIDDMACAllFSMACMAC1SIPIP1DIPIP2Pay-loadSMAC NVE1MAC1SIP DIP UDPS_PUDPD_P 4789VNI VNIIDDMAC MAC2SMAC MAC1SIP IP1DIP IP2Pay-load使能ARP廣播變單播后如圖1-15所示，VXLAN三層網(wǎng)關(guān)通過動態(tài)學(xué)習(xí)終端租戶的ARP表項，再根據(jù)ARP表項生成主機信息（包括主機IP地址、MAC地址、VTEP地址和VNIID），并將主機信息通過BGP對外發(fā)布，使其他的BGP鄰居可以學(xué)習(xí)到主機信息。VXLAN二層網(wǎng)關(guān)學(xué)習(xí)到的主機信息用于廣播抑制。Server1初次訪問Server2時，Server1會向Server2發(fā)送ARP廣播請求報文，請求目的主機Server2的MAC地址，具體實現(xiàn)過程如下：Server1發(fā)送ARP請求報文，請求目的主機Server2的MAC地址。作為VXLAN二層網(wǎng)關(guān)的Device1收到ARP請求報文后，查詢主機信息。MAC地址替換為目的主機的MAC地址，并進行VXLAN封裝后轉(zhuǎn)發(fā)。如果主機信息中沒有目的主機信息，ARP請求報文中的廣播目的MAC變，Device1進行VXLAN封裝后轉(zhuǎn)發(fā)。作為VXLAN二層網(wǎng)關(guān)的Device2收到封裝后的ARP請求報文進行VXLAN解封裝獲取內(nèi)層二層報文，判斷報文的目的MAC是否為廣播地址。是，在對應(yīng)的二層廣播域內(nèi)非VXLAN網(wǎng)絡(luò)側(cè)進行廣播處理。不是，發(fā)送給對應(yīng)的目的主機。目的主機Server2收到單播ARP請求報文后，進行ARP應(yīng)答。Server1收到ARP應(yīng)答報文建立ARP緩存表，并可以與Server2通信。VXLAN集中式多活網(wǎng)關(guān)產(chǎn)生原因

在VXLAN網(wǎng)絡(luò)中，為了提高可靠性，用戶經(jīng)常會部署多個網(wǎng)關(guān)進行主備備份，以保證一臺網(wǎng)關(guān)設(shè)備故障時流量可以及時切換到另外的網(wǎng)關(guān)設(shè)備上，避免業(yè)務(wù)中斷。VRRPVRRP發(fā)流量，充分利用設(shè)備資源。圖1-16VXLAN多活網(wǎng)關(guān)組網(wǎng)圖園區(qū)出口園區(qū)出口安全資源池...虛擬VTEPSpine1Spine2Leaf1

Leaf2

Leaf3

Leaf4通過配置VXLAN集中式多活網(wǎng)關(guān)可以解決上述問題。VXLAN集中式多活網(wǎng)關(guān)是指在典型的“Spine-Leaf”組網(wǎng)結(jié)構(gòu)下，通過給Spine設(shè)備配置相同的VTEP地址，將多個Spine設(shè)備模擬成一個VXLAN隧道端點，然后在所有Spine設(shè)備上配置三層網(wǎng)關(guān)，使得無論流SpineSpine所示，在Spine1和Spine2配置VXLAN采用VXLAN集中式多活網(wǎng)關(guān)時，Spine設(shè)備作為三層網(wǎng)關(guān)設(shè)備，所有通過三層轉(zhuǎn)發(fā)的終SpineVM或服務(wù)器數(shù)量越來越多時，容易成為瓶頸。因此，VXLAN集中式網(wǎng)關(guān)適合部署在中小型網(wǎng)絡(luò)中。相關(guān)概念

結(jié)合圖1-16介紹VXLAN多活網(wǎng)關(guān)相關(guān)概念：SpineVXLAN網(wǎng)絡(luò)中的三層網(wǎng)關(guān)設(shè)備，通過將VXLAN報文解封裝后重新轉(zhuǎn)發(fā)，實現(xiàn)負責(zé)不同子網(wǎng)間的服務(wù)器或VM的互相訪問以及物理服務(wù)器、VM與外部網(wǎng)絡(luò)的通信。LeafVXLAN網(wǎng)絡(luò)中的二層接入設(shè)備，與物理服務(wù)器或VM對接，通過將物理服務(wù)器和VM發(fā)送過來的報文封裝在VXLAN報文中，將對應(yīng)的流量接入VXLAN網(wǎng)絡(luò)中。虛擬VTEP在VXLAN多活網(wǎng)關(guān)方案中，當(dāng)手動配置多個網(wǎng)關(guān)設(shè)備為相同的VTEP后，多臺網(wǎng)關(guān)設(shè)備將形成一個多活網(wǎng)關(guān)設(shè)備組，對外表現(xiàn)為一個虛擬的VTEP。多活網(wǎng)關(guān)報文轉(zhuǎn)發(fā)原理VXLANSpine1Spine2上配的互相訪問以及物理服務(wù)器、VM與外部網(wǎng)絡(luò)的通信功能。Spine1、Spine2共用BDIF接口地址、MAC地址以及源VTEP地址。在網(wǎng)絡(luò)正常和故障情況下，多活網(wǎng)關(guān)報文轉(zhuǎn)發(fā)原理如表1-2所示。表1-2多活網(wǎng)關(guān)報文轉(zhuǎn)發(fā)原理組網(wǎng)圖報文轉(zhuǎn)發(fā)原理圖1-17鏈路正常組網(wǎng)示意圖IPCoreNetworkL3GWSpine1Loopback:(VTEPIPBDIF:/24MAC:0000-5e00-0101Leaf1FloLeaf1 Match:DAction:VSwitchVM Server當(dāng)設(shè)備之間的網(wǎng)絡(luò)通信正常時：Leaf1通過路由協(xié)議學(xué)習(xí)到兩條網(wǎng)關(guān)路由，Leaf1根據(jù)路由選路規(guī)則選擇最優(yōu)分擔(dān)。Spine1、Spine2向IP核心網(wǎng)絡(luò)通告VXLAN三層網(wǎng)關(guān)的網(wǎng)段路由，IP核心、Spine2通告來自其他網(wǎng)L。Spine2)wtable:MAC=0000-5e00-0101(GWMAC)utput=(VTEPIP)NVEPacketFlow組網(wǎng)圖報文轉(zhuǎn)發(fā)原理圖1-18Spine下行鏈路故障組網(wǎng)示意圖IPCoreNetworkL3GWSpine1Loopback:(VTEPIP)BDIF:/24MAC:0000-5e00-0101Leaf1Leaf1 MatchActionVSwitchVM VM當(dāng)Spine1與Leaf1之間鏈路出現(xiàn)故障時：Leaf1上保存的來自Spine1的路由被刪Spine2IP行到Spine1。Spine1IPIP核心IP到2W再發(fā)給Leaf。Spine2Flowtable::DMAC=0000-5e00-0101(GWMAC):Output=(VTEPIP)NVEPacketFlowServer組網(wǎng)圖報文轉(zhuǎn)發(fā)原理圖1-19Spine上行鏈路故障組網(wǎng)示意圖IPCoreNetworkL3GWSpine1Loopback:(VTEPIP)BDIF:/24MAC:0000-5e00-0101Leaf1Leaf1 MatchActionVSwitchVM VM當(dāng)Spine1與骨干網(wǎng)之間鏈路出現(xiàn)故障時：Spine1上去往IP核心網(wǎng)絡(luò)的路由被刪IP發(fā)往Server的流量將優(yōu)選Spine2自身的路由，而不會繞行到Spine1。Spine1收到來自Leaf1的流量，將通過Leaf1（實際網(wǎng)絡(luò)中，為Spine與Leaf的內(nèi)部網(wǎng)絡(luò)，不一定是Leaf1）先繞行到Spine2，再發(fā)給IP核心網(wǎng)絡(luò)。3過配置rLink，使下行上去往IP核心網(wǎng)絡(luò)的路由被刪除，Leafpi的來自1的路由也被刪除。此后，Leaf1發(fā)送的流量，將直接從Spine1到達IP核心網(wǎng)絡(luò)；同樣，Spine1收到來自IP核心網(wǎng)絡(luò)的流量，將直接發(fā)給Leaf1。Flowtable::DMAC=0000-5e00-0101(GWMAC):Output=(VTEPIP)NVEPacketFlowServerARP表項同步

ECMPECMPARPARP報文泛洪和流量丟棄。ARP。目前，設(shè)備支持以下兩種方式來實現(xiàn)ARP表項同步：BDIFARP單機方式：不依賴控制器，由設(shè)備自動進行學(xué)習(xí)，具體原理如下：建立多活網(wǎng)關(guān)鄰居用戶在DFS下指定該網(wǎng)關(guān)設(shè)備的所有鄰居的IP地址后，此設(shè)備開始與指定IP地址的設(shè)備建立鄰居關(guān)系。步通道，用于網(wǎng)關(guān)之間ARP表項的同步。設(shè)備開始周期性發(fā)送心跳報文，更新鄰居狀態(tài)。ARP表項學(xué)習(xí)與同步當(dāng)網(wǎng)關(guān)設(shè)備接收到ARP請求報文時，該設(shè)備首先判斷該報文是否為經(jīng)過VXLAN封裝的ARP則將報文發(fā)送至VXLAN功能的ARP解析模塊。ARP解析模塊解析報文后獲取報文中的廣播域和VNI信息，根據(jù)VNI找到對應(yīng)的網(wǎng)關(guān)接口，繼續(xù)判斷網(wǎng)關(guān)類型。若是分布式網(wǎng)關(guān)，則按照分布式網(wǎng)關(guān)方式進行同步，具體請參見VXLAN息）。通過快速同步通道，將同步報文發(fā)送給其他的所有鄰居。關(guān)；若是，則按照分布式網(wǎng)關(guān)方式進行同步，具體請參見VXLAN分布式網(wǎng)關(guān)；若不是分布式網(wǎng)關(guān)，則直接學(xué)習(xí)報文中的ARP信息，生成ARP表項，實現(xiàn)同步。VXLAN產(chǎn)生原因圖1-20VXLAN集中式網(wǎng)關(guān)示意圖Spine1Spine1Spine2L3GWL2GWLeaf1Leaf2Server/24

Server/24

Server3/24跨子網(wǎng)流量傳統(tǒng)的集中式三層網(wǎng)關(guān)將服務(wù)器的網(wǎng)關(guān)設(shè)置在匯聚或者Spine節(jié)點，如圖1-20所示，跨子網(wǎng)的報文都必須經(jīng)過Spine節(jié)點轉(zhuǎn)發(fā)，若三層網(wǎng)關(guān)集中部署，存在如下問題：轉(zhuǎn)發(fā)路徑不優(yōu)化：異地數(shù)據(jù)中心三層流量都需要經(jīng)過集中三層網(wǎng)關(guān)轉(zhuǎn)發(fā)。ARPARP通過配置VXLAN分布式網(wǎng)關(guān)可以解決上述問題。VXLAN分布式網(wǎng)關(guān)是指在典型的Leaf節(jié)點作為VXLAN隧道端點VTEP，每個Leaf節(jié)點都可作為VXLAN三層網(wǎng)關(guān)，Spine節(jié)點不感知VXLAN隧道，只作為VXLAN報文的轉(zhuǎn)發(fā)節(jié)點。如圖1-21所示，Server1和Server2不在同一個網(wǎng)段，但是都下掛在Leaf1節(jié)點下。Server1和Server2通信時，流量只需要在Leaf1節(jié)點進行轉(zhuǎn)發(fā)，不再需要經(jīng)過Spine節(jié)點。圖1-21VXLAN分布式網(wǎng)關(guān)示意圖Spine1

Spine2L3L3GWL2GWLeaf1Leaf2Server/24

Server/24

Server3/24

Server4/24跨子網(wǎng)流量分布式網(wǎng)關(guān)具有如下特點：同一個Leaf節(jié)點既可以做VXLAN二層網(wǎng)關(guān)，也可以做VXLAN三層網(wǎng)關(guān)，部署靈活。Leaf節(jié)點只需要學(xué)習(xí)自身下掛服務(wù)器的ARP表項，而不必像集中三層網(wǎng)關(guān)一樣，需要學(xué)習(xí)所有服務(wù)器的ARP表項，解決了集中式三層網(wǎng)關(guān)帶來的ARP網(wǎng)絡(luò)規(guī)模擴展能力強。如果有相同子網(wǎng)的服務(wù)器在不同Leaf節(jié)點下，在Leaf節(jié)點上配置三層網(wǎng)關(guān)，需要配IPMACLeaf也不需要刷新ARP表項，減少了維護工作量。相關(guān)概念VXLAN分布式網(wǎng)關(guān)由Leaf和Spine組成，結(jié)合圖1-21介紹Leaf節(jié)點和Spine節(jié)點在VXLAN分布式網(wǎng)關(guān)場景中的作用：SpineSpine節(jié)點關(guān)注于高速IP轉(zhuǎn)發(fā)，強調(diào)的是設(shè)備的高速轉(zhuǎn)發(fā)能力。Leaf作為VXLAN網(wǎng)絡(luò)中的二層接入設(shè)備，與物理服務(wù)器或VM租戶接入VXLAN虛擬網(wǎng)絡(luò)的問題。作為VXLAN網(wǎng)絡(luò)中的三層網(wǎng)關(guān)設(shè)備，需要綁定VPN實例，VXLAN隧道的建立VPNVXLAN/終端租戶通信，以及外部網(wǎng)絡(luò)的訪問。報文轉(zhuǎn)發(fā)原理

同子網(wǎng)報文轉(zhuǎn)發(fā)VXLAN分布式網(wǎng)關(guān)場景下同子網(wǎng)的BUM（Broadcast&Unknown-unicast&Multicast）報文、已知單播報文轉(zhuǎn)發(fā)原理同集中式網(wǎng)關(guān)場景下報文原理，詳細描述請參考BUM報文轉(zhuǎn)發(fā)流程和已知單播報文轉(zhuǎn)發(fā)流程。為了抑制ARP廣播流量，可在Leaf節(jié)點上部署ARP廣播報文變單播報文功能，詳細描述請參考ARP廣播抑制。跨子網(wǎng)報文轉(zhuǎn)發(fā)–控制平面VXLAN分布式網(wǎng)關(guān)場景下跨子網(wǎng)互通必須通過三層轉(zhuǎn)發(fā)，這就要求Leaf節(jié)點間必須互相學(xué)習(xí)到主機路由。為了實現(xiàn)跨子網(wǎng)互通，控制平面需要滿足表1-3所示要求。表1-3控制平面要求控制平面要求組網(wǎng)圖報文轉(zhuǎn)發(fā)原理ARP本地主VXLANLeaf點學(xué)習(xí)終端租戶的ARP表項，再根據(jù)ARP表項生成主機路由，并將主機路由通過BGP對Spine2外發(fā)布，使其他的BGP鄰居可以學(xué)習(xí)到主機路由。Leaf2W：VTEP：路由Server0/24機路由發(fā)布圖1-22ARP發(fā)布本地路由組網(wǎng)圖Spine1Leaf1GW：GVTEP：發(fā)布本地主機Server0/24控制平面要求組網(wǎng)圖報文轉(zhuǎn)發(fā)原理ARP學(xué)習(xí)圖1-23ARP學(xué)習(xí)組網(wǎng)圖Spine1Leaf12 GW：VTEP：41 3Server0/24Server1發(fā)送A收到AR回應(yīng)Leaf2從VXL的ARP同一個子網(wǎng)的網(wǎng)關(guān)部署在不同Leaf節(jié)點發(fā)布主機路由，其他LeafSpine2節(jié)點不能發(fā)布該主機的主機路量引入到非本地的Leaf節(jié)點上。該問題可通過Leaf節(jié)點學(xué)習(xí)主機的ARP發(fā)布主機路由解決。分布式VXLAN網(wǎng)關(guān)場景下，Leaa機的P1.01.機路由，不學(xué)：T.22的P報文。Server0/24RP請求報文P請求報文，在二層網(wǎng)學(xué)習(xí)Server1的ARPver1的ARP請求AN隧道側(cè)收到Server1學(xué)習(xí)控制平面要求組網(wǎng)圖報文轉(zhuǎn)發(fā)原理控制平面要求組網(wǎng)圖報文轉(zhuǎn)發(fā)原理分布式網(wǎng)關(guān)在Leaf節(jié)點上，除了給每個子網(wǎng)分配VNI，還會給每個租戶（VPN實例）分配一個三層ne2發(fā)時，VNI10000通過VXLAN隧道傳輸?shù)竭h端Leaf節(jié)點，遠Leaf識別VPN，這樣即可識別租戶是否屬于同一個VPN，以及是否需要互通或隔離。以Server1訪問其他子網(wǎng)Servereaf.W1.Leaf...N隧LnlP動態(tài)管理，Leaf1學(xué)習(xí)到Server1的ARP生成主機路由，BGP通過remote-nexthop路徑屬性發(fā)Server1BGP鄰居。Leaf2收到Leafrv30.0e.VNIID、VTEP的IP地址，實例的VNIIrvII1建v2I20010erfI0報文，Leaf1查找主機路由表，租戶，VNI10000找到去往目的主機的VXLAN隧道，通過VXLAN封裝將報文發(fā)送給目的主機所在的Leaf節(jié)點，目的主機的Leaf節(jié)點VXLAN解封裝后，通過查找路由表將報文發(fā)送給目的主機。當(dāng)Leaf1下不再有主機，Leaf1將撤銷所有的主機路由，Leaf2發(fā)現(xiàn)Leaf1不再有可達的主機路由，將動態(tài)刪除Leaf之間的VXLAN隧道。VXLAN隧圖1-24分布式網(wǎng)關(guān)VXLAN道管理隧道管理組網(wǎng)圖SpineLeaf1L3GW L2GW VTEP：1.1.VServer1 Server0/240/24控制平面要求組網(wǎng)圖報文轉(zhuǎn)發(fā)原理路由優(yōu)先級控制圖1-25BGP控制路由優(yōu)先級組網(wǎng)圖NetworkLeaf1 GW：10.VTEP：Leaf節(jié)點通過BGP向?qū)Χ税l(fā)布主機路由時，可以根據(jù)BGP機制控制主機路由的優(yōu)先級。10.20.1 GW：VTEP：Server1Server0/240/24控制平面要求組網(wǎng)圖報文轉(zhuǎn)發(fā)原理1-26網(wǎng)圖NetworkLeaf1 VTEP：2.2主機雙活接入場景，Leaf2節(jié)點上的路由表中存在兩條目的IP是Server1的路由：另一條是Leaf2節(jié)點通過BGP發(fā)布的路由Leaf2節(jié)點需要優(yōu)先選擇主機路由，防止流量繞行。0.1 Leaf2.2.2GW：VTEP：Server0/241-27

在業(yè)務(wù)節(jié)點引流場景下，外部訪問Server1的流量需要繞行到Leaf節(jié)點。這種情況下，主機路由報文轉(zhuǎn)發(fā)原理組網(wǎng)圖控制平面要求tor報文轉(zhuǎn)發(fā)原理組網(wǎng)圖控制平面要求FW

GW：VTEP：GW：VTEP：

Leaf2Server0/24–轉(zhuǎn)發(fā)平面圖1-28跨子網(wǎng)報文轉(zhuǎn)發(fā)示意圖Spine1

Spine2GW：VTEP：

GW：VTEP：L3GW

Leaf1 Leaf2L2GW

L3NVE1

VXLANTunnel

L3NVE2Server1MAC1IP1:0/24

Server2MAC2IP2:0/24跨子網(wǎng)流量Server1發(fā)出跨子網(wǎng)IP報文

Leaf1封裝VXLAN報文

Leaf2解封裝VXLAN報文DMACGWMACDMACDMACGWMACDMACNetMACSMACMAC1SMACNVE1MAC1SIPIP1SIPDIPIP2DIPPay-loadUDPS_PHASHUDPD_P4789VNIVPNVNIIDDMACLeaf2MACSMACLeaf1MACSIPIP1DIPIP2Pay-loadDMACMAC2SMACLeaf2MACSIPIP1DIPIP2Pay-load如圖1-28所示，VXLAN分布式網(wǎng)關(guān)下跨子網(wǎng)報文轉(zhuǎn)發(fā)實現(xiàn)過程如下：Leaf1Server1IPVXLANLeaf2VXLANVNIVPNVPN內(nèi)查找主機路由，替換以太頭發(fā)給目標(biāo)主機。VXLAN雙活接入產(chǎn)生原因

在VXLAN網(wǎng)絡(luò)中，為了提高可靠性，用戶經(jīng)常采用雙歸接入的方式將安裝有雙網(wǎng)卡的服務(wù)器接入到VXLAN網(wǎng)絡(luò)，使得當(dāng)服務(wù)器的一個網(wǎng)卡發(fā)生故障時不會導(dǎo)致業(yè)務(wù)中斷。活，從而充分利用網(wǎng)卡和網(wǎng)絡(luò)帶寬資源。此時，將會存在以下問題：問題1造成冗余。問題2此其設(shè)備上會不斷產(chǎn)生MAC地址漂移現(xiàn)象。圖1-29VXLAN雙活接入組網(wǎng)圖Device1M-LAGVXLANNetworkDevice1M-LAGVXLANNetworkVTEPCServer2Device3Server4Device2VTEPpeer-linkServer3通過配置VXLAN雙活接入可以解決上述問題。如圖1-29所示，Server2采用雙歸接入的方式接入到VXLAN網(wǎng)絡(luò)：對于問題1，通過M-LAG技術(shù)將服務(wù)器雙歸的兩臺接入設(shè)備虛擬成一臺設(shè)備，消除了冗余路徑。對于問題2，通過虛擬VTEP技術(shù)，兩臺雙歸的設(shè)備使用的是同一個虛擬VTEP，對于遠端設(shè)備，相當(dāng)于是通過一臺邏輯設(shè)備接入到VXLAN網(wǎng)絡(luò)中，從而消除了MAC地址漂移現(xiàn)象。相關(guān)概念

結(jié)合圖1-29介紹VXLAN雙活接入相關(guān)概念：虛擬VTEP在VXLANVTEPpeer-link在VXLAN雙活接入方案中，部署Eth-Trunk的兩臺設(shè)備之間必須存在一條直連鏈路，且該鏈路必須配置為peer-link。peer-link鏈路是一條保護鏈路。當(dāng)接口配置為peer-link接口后，設(shè)備會自動在該接口上創(chuàng)建QinQ子接口，該接口上不能再配置具體業(yè)務(wù)。當(dāng)流量進入Peer-Link接口時，對于IP報文，按照DSCP優(yōu)先級進行映射；對于非IP報文，按照命令portpriority配置的優(yōu)先級進行映射。DFSGroup動態(tài)交換服務(wù)組DFS（DynamicFabricService）Group，主要用于設(shè)備之間的配對，確保VXLAN雙活接入場景正常運行。M-LAG接口指的是部署M-LAG的兩臺設(shè)備上連接接入服務(wù)器的Eth-Trunk接口。接入側(cè)M-LAG工作原理以下介紹M-LAG涉及的協(xié)議報文以及它們的作用。M-LAG協(xié)商報文如圖1-29所示，M-LAG的配置完成后，M-LAG協(xié)商報文通過peer-link鏈路進行交互，先進行DFSGroup的配對，配對成功后協(xié)商出主備狀態(tài)。M-LAG心跳報文如圖1-29所示，完成M-LAG狀態(tài)的協(xié)商后，M-LAG心跳報文通過網(wǎng)絡(luò)側(cè)鏈路周期性的檢測對端狀態(tài)，保證正常工作。根據(jù)M-LAG協(xié)議報文的情況，在網(wǎng)絡(luò)正常和故障情況下，M-LAG的主備狀態(tài)及鏈路狀態(tài)的確定如表1-4所示。表1-4確定M-LAG的主備狀態(tài)及鏈路狀態(tài)組網(wǎng)圖 確定成員口Eth-Trunk的主備狀態(tài)及鏈狀態(tài)在VXLAN雙活接入場景且為無故障狀態(tài)1-30

PE1

與形成負載分擔(dān)，共同進行流量轉(zhuǎn)發(fā)。peer-link和M-LAG以及網(wǎng)絡(luò)側(cè)分別進行單向隔離，保證網(wǎng)絡(luò)中沒有環(huán)路。peer-linkM-LAG Networkpeer-linkCEPE2圖1-31peer-link故障組網(wǎng)示意圖MasterPE1peer-linkM-LAGpeer-linkCEPE2Backup

當(dāng)peer-link故障時，M-LAG主備狀態(tài)決定了Eth-Trunk的鏈路狀態(tài)。M-LAG狀態(tài)為主的設(shè)備側(cè)Eth-Trunk鏈路狀態(tài)仍為Up。M-LAG狀態(tài)為備的設(shè)備側(cè)Eth-Trunk鏈路狀態(tài)變?yōu)镈own，雙歸場景變?yōu)閱螝w場景。peer-link故障但心跳狀態(tài)正常會導(dǎo)致狀態(tài)為備的設(shè)備上M-LAG接口處于ERRORk狀態(tài)。一旦peer-link于ERRORDOWN狀態(tài)的物理接口將自動恢復(fù)為Up狀態(tài)。說明如果將peer-link接口和M-LAGpeer-link故障同時M-LAG接口也會故Eth-Trunk變?yōu)镈own，將導(dǎo)致業(yè)務(wù)流量不通、業(yè)務(wù)中斷。為了提高可靠性，建議將peer-link接口和M-LAG接口的成員接口均部署在不同的單板上。組網(wǎng)圖1-32M-LAG示意圖MasterPE1peer-linkM-LAGpeer-linkCE

確定成員口Eth-Trunk的主備狀態(tài)及鏈路狀態(tài)當(dāng)M-LAG狀態(tài)為主的設(shè)備發(fā)生故障時：通過M-LAG機制，M-LAG狀態(tài)為備的設(shè)備將升級為主，其設(shè)備側(cè)Eth-Trunk鏈路狀態(tài)仍為Up，流量轉(zhuǎn)發(fā)狀態(tài)不變，繼續(xù)轉(zhuǎn)發(fā)流量。M-LAG狀態(tài)為主的設(shè)備側(cè)Eth-Trunk鏈路狀態(tài)變?yōu)镈own，雙歸場景變?yōu)閱螝w場景。說明M-LAG的主eth-Trun狀態(tài)為主的設(shè)備側(cè)Eth-Trunk鏈路狀態(tài)仍為Up，流量轉(zhuǎn)發(fā)狀態(tài)不變，繼續(xù)轉(zhuǎn)發(fā)流量，雙歸場景變?yōu)閱螝w場景。PE2BackupMaster1-33Eth-TrunkMasterPE1peer-linkM-LAGpeer-link

當(dāng)接入VXLAN網(wǎng)絡(luò)的Eth-Trunk鏈路發(fā)生故障時：M-LAG到另一條鏈路上進行轉(zhuǎn)發(fā)。發(fā)生故障的Eth-Trunk鏈路狀態(tài)變?yōu)镈own。通過M-LAG機制，發(fā)生故障的Eth-Trunk鏈路不再轉(zhuǎn)發(fā)流量，VXLAN雙歸場景變trk場景。CEPE2BackupVXLAN雙活接入報文轉(zhuǎn)發(fā)流程在VXLAN雙活接入方案中，在Device1和Device2設(shè)備上，通過手動配置方式配置相同的虛擬VTEP，使Device1、Device2進行VXLAN報文封裝時采用的是虛擬VTEP。同時，Device1和Device2會進行配對，如果兩端的虛擬VTEP一致則匹配成功，否則匹配不成功。配對成功之后，兩端互相交換真實的VTEP及MAC地址，當(dāng)peer-link或某端設(shè)備發(fā)生故障時，VXLAN協(xié)議可以盡快感知并通知另一方，解除雙活接入。Peer-linkPeer-link如圖1-29所示，Device1與Device2之間部署peer-link，Device1與Device2有相同的虛擬VETP，則Server2與Device1、Device2共同構(gòu)成了VXLAN雙活接入方案。對于網(wǎng)絡(luò)中來自各個方向、不同類型的流量，VXLAN協(xié)議會做出不同的處理，具體處理過程如表1-5所示。Peer-linkPeer-link表1-5VXLAN雙活接入流量處理區(qū)分表流量類型流量轉(zhuǎn)發(fā)示意圖VXLAN雙活接入對流量的處理方式來自非雙活端口的單播流量1-34單播流量Device1Server1VXLNetwServer2Device2Server3程進行轉(zhuǎn)發(fā)。ANork來自雙活端口的單播流量1-35播流量Device11Server11VXNetServer22Device22Server3Device1和Device2形成負載分擔(dān)，共同進行流量轉(zhuǎn)發(fā)。說明據(jù)。LANwork流量類型來自非雙活端口的BUM流量

流量轉(zhuǎn)發(fā)示意圖1-36BUM流量Device1Peer-linkServer1Peer-link

VXLAN雙活接入對流量的處理方式Device1BUM流量后對用虛擬的VTEP。封裝完成后，Device1向各時，通過單向隔離Server2Server3

Device2

VXLAN機制，流量只會向Network進行轉(zhuǎn)發(fā)，不會向VXLAN網(wǎng)絡(luò)和Server2進行轉(zhuǎn)發(fā)。來自雙活端口的BUM流量

1-37BUM流量Device1Peer-linkServer1Peer-linkServer2Device2Server3

Server2發(fā)送的BUM流量會Device2以Device1轉(zhuǎn)發(fā)為例進行說明。Device1收到BUM流量后對VXNetwork用虛擬的VTEP。封裝完成后，Device1向各個下一跳轉(zhuǎn)發(fā)，當(dāng)流量到達Device2對于網(wǎng)絡(luò)側(cè)發(fā)往非雙活量 圖1-38來自VXLAN網(wǎng)的單播流量Device1Peer-linkServer1Peer-link

端口的單播流量，以發(fā)往Server1為例，由于流VTEP裝，流量會負載分擔(dān)到Device1和Device2，發(fā)Server2Server3

Device2

VXLAN送至Device2的流量會通Network過peer-link將流量發(fā)送至Device1，再通過Device1發(fā)往Server1。對于網(wǎng)絡(luò)側(cè)發(fā)往雙活端口的單播流量，由于流VTEP裝，流量會負載分擔(dān)到Device1和Device2，然后發(fā)送至雙活接入的設(shè)備。流量類型流量轉(zhuǎn)發(fā)示意圖VXLAN雙活接入對流量的處理方式來自VXLAN網(wǎng)絡(luò)的BUM流量圖1-39來自VXLAN網(wǎng)絡(luò)的BUM流量Device1Server1VXLNetwServer2Device2Server3的BUM流量，由于流量采用虛擬VTEP進行封裝，流量會負載分擔(dān)到Device1和Device1為例。首先對報文進行解Nork戶側(cè)端口，由于peer-link與Device2的流量不會向Server2轉(zhuǎn)發(fā)，避免了路由環(huán)路。應(yīng)用場景介紹VXLAN的應(yīng)用場景。同網(wǎng)段終端用戶通信的應(yīng)用業(yè)務(wù)描述目前，規(guī)?；?、虛擬化、云計算已成為數(shù)據(jù)中心的發(fā)展方向，同時，數(shù)據(jù)中心為適應(yīng)更大的業(yè)務(wù)量并降低維護成本，逐漸向大二層技術(shù)及虛擬化遷移。隨著數(shù)據(jù)中心在物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施上實施服務(wù)器虛擬化的快速發(fā)展，作為NVO3技術(shù)之一的VXLAN技術(shù)具有很強的適應(yīng)性，為數(shù)據(jù)中心提供了良好的解決方案。Peer-link組網(wǎng)描述Peer-link

如圖1-40所示，某企業(yè)在不同的數(shù)據(jù)中心中都擁有VM，且位于同一網(wǎng)段?，F(xiàn)需要實現(xiàn)不同數(shù)據(jù)中心相同ID的VM的互通。圖1-40同網(wǎng)段終端用戶通信的應(yīng)用組網(wǎng)圖ControllerNetworkSwitch_1

VXLANtunnel

Switch_2VM1:VLAN10VM2:VLAN20

VSwitchVM1

VSwitchVM1 VM2Server1/24

Server2/24NVE特性部署

如圖1-40所示，可將交換機設(shè)備作為VXLAN二層網(wǎng)關(guān)，交換機設(shè)備之間建立VXLAN隧道，通過VXLAN二層網(wǎng)關(guān)實現(xiàn)同一網(wǎng)段終端用戶互通。不同網(wǎng)段終端用戶通信的應(yīng)用業(yè)務(wù)描述

隨著數(shù)據(jù)中心在物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施上實施服務(wù)器虛擬化的快速發(fā)展，作為NVO3技術(shù)之一的VXLAN技術(shù)具有很強的適應(yīng)性，為數(shù)據(jù)中心提供了良好的解決方案。組網(wǎng)描述

如圖1-41所示，某企業(yè)在不同的數(shù)據(jù)中心中都擁有VM，且位于不同網(wǎng)段?，F(xiàn)需要實現(xiàn)不同數(shù)據(jù)中心相同VM的互通。圖1-41不同網(wǎng)段終端用戶通信的應(yīng)用組網(wǎng)圖NetworkControllerSwitch_3VXLANL3GWVSwitchSwitch_1 Switch_2VSwitchVSwitchVM1:VLAN10VM2:VLAN20VSwitch

VM1VM2VM1VM2Server1/24

VM1VM2VM1VM2Server2/24NVE特性部署如圖1-41所示，可將Switch_3設(shè)備作為VXLAN三層網(wǎng)關(guān)，其他交換機設(shè)備作為VXLAN在虛擬機遷移場景中的應(yīng)用業(yè)務(wù)描述當(dāng)前數(shù)據(jù)中心網(wǎng)絡(luò)中企業(yè)通過部署服務(wù)器虛擬化來達到整合IT資源、提升資源利用效增加，虛擬化環(huán)境下運行的應(yīng)用數(shù)量也在不斷上升，為虛擬網(wǎng)絡(luò)帶來了很大的挑戰(zhàn)。組網(wǎng)描述如圖1-42所示，某企業(yè)在數(shù)據(jù)中心中有兩個群集Cluster，其中工程部門和財務(wù)部門都在Cluster1上，營銷部門在Cluster2上。Cluster1上顯示計算空間不足，而Cluster2未充分利用。網(wǎng)絡(luò)管理員需要將工程部門遷移到Cluster2上，而且不影響業(yè)務(wù)。1-42Controller

Switch_1Switch_2Cluster1Cluster2HardwareHardwareSwitch_1Switch_2Cluster1Cluster2HardwareHardwarePG-EngineeringPG-FinancePG-MarketingVM VM VMVM VM VMVMEngineering(VLAN10):/24Finance(VLAN20):/24Marketing(VLAN30):/24特性部署

IPMAC地址等參數(shù)保持不變，這就要求兩個Cluster屬于一個二層網(wǎng)絡(luò)。如果使用傳統(tǒng)方法解決此問題，這可能需要網(wǎng)絡(luò)管理員購買新的物理設(shè)備以分離流量，并可能導(dǎo)致諸如VLAN散亂、網(wǎng)絡(luò)成環(huán)以及系統(tǒng)和管理開銷等問題。為了成功將工程部門遷移到Cluster2VXLANVXLAN是MACin的網(wǎng)絡(luò)虛擬化技術(shù)，只要物理網(wǎng)絡(luò)支持IP轉(zhuǎn)發(fā)，所有IP范圍二層網(wǎng)絡(luò)。Cluster1遷移到Cluster2后，終端租戶會發(fā)送免費ARP或RARP報文，所有網(wǎng)關(guān)設(shè)備上保存的原VM對MACARPVMMACARP表。VXLAN分布式網(wǎng)關(guān)的應(yīng)用業(yè)務(wù)描述

Spine經(jīng)過Spine節(jié)點轉(zhuǎn)發(fā)，若三層網(wǎng)關(guān)集中部署，存在如下問題：轉(zhuǎn)發(fā)路徑不優(yōu)化：異地數(shù)據(jù)中心三層流量都需要經(jīng)過集中三層網(wǎng)關(guān)轉(zhuǎn)發(fā)。ARPARP通過配置VXLAN分布式網(wǎng)關(guān)可以解決上述問題。VXLAN分布式網(wǎng)關(guān)場景下，將Leaf節(jié)點作為VXLAN隧道端點VTEP，每個Leaf節(jié)點都可作為VXLAN三層網(wǎng)關(guān)，Spine節(jié)點不感知VXLAN隧道，只作為VXLAN報文的轉(zhuǎn)發(fā)節(jié)點。組網(wǎng)描述

如圖1-43所示，Server1和Server2不在同一個網(wǎng)段，但是都下掛在Leaf1節(jié)點下。在Leaf1上部署VXLAN三層網(wǎng)關(guān)，Server1和Server2通信時，流量只需要在Leaf1節(jié)點進行轉(zhuǎn)發(fā)，不再需要經(jīng)過Spine節(jié)點。和Server3Leaf節(jié)點下。在不同Leaf上部署VXLAN三層網(wǎng)關(guān)，Server1和Server3通信時，流量通過VXLAN隧道傳輸，Spine節(jié)點不感知VXLAN隧道，只作為VXLAN報文的轉(zhuǎn)發(fā)節(jié)點。圖1-43VXLAN分布式網(wǎng)關(guān)的應(yīng)用組網(wǎng)圖Spine1

Spine2L3L3GWL2GWLeaf1Leaf2Server/24

Server/24

Server3/24

Server4/24跨子網(wǎng)流量特性部署

如圖1-43所示，在Leaf節(jié)點上同時部署VXLAN二層網(wǎng)關(guān)和三層網(wǎng)關(guān)：虛擬網(wǎng)絡(luò)的子網(wǎng)通信。三層網(wǎng)關(guān)：用于VXLAN虛擬網(wǎng)絡(luò)的跨子網(wǎng)通信以及外部網(wǎng)絡(luò)的訪問。部署VXLAN分布式網(wǎng)關(guān)時需注意：在VXLAN三層網(wǎng)關(guān)上使能ARP本地主機路由發(fā)布功能，Leaf節(jié)點學(xué)習(xí)終端租戶的ARPBGP對外發(fā)布，使其他的BGP鄰居可以學(xué)習(xí)到主機路由。如果有相同子網(wǎng)的服務(wù)器在不同Leaf節(jié)點下，在Leaf節(jié)點上配置三層網(wǎng)關(guān)，需要配IPMAC器的三層網(wǎng)關(guān)配置，減少了維護工作量。當(dāng)跨Leaf節(jié)點進行三層通信時，終端租戶必須綁定VPN實例，VXLAN隧道的建立依賴于VPN鄰居的建立。VXLAN集中式多活網(wǎng)關(guān)的應(yīng)用業(yè)務(wù)描述

在VXLAN網(wǎng)絡(luò)中，為了提高可靠性，用戶經(jīng)常會部署多個網(wǎng)關(guān)進行主備備份，以保證一臺網(wǎng)關(guān)設(shè)備故障時流量可以及時切換到另外的網(wǎng)關(guān)設(shè)備上，避免業(yè)務(wù)中斷。VRRPVRRP發(fā)流量，充分利用設(shè)備資源。通過VXLAN集中式多活網(wǎng)關(guān)可解決上述問題。VXLAN集中式多活網(wǎng)關(guān)可保證多臺網(wǎng)關(guān)設(shè)備同時轉(zhuǎn)發(fā)流量，實現(xiàn)負載分擔(dān)，也可實現(xiàn)鏈路備份，從而提供了更可靠的服務(wù)。組網(wǎng)描述

如圖1-44所示，Leaf1雙歸接入至Spine1和Spine2，現(xiàn)需要通過VXLAN多活網(wǎng)關(guān)實現(xiàn)：Spine1和Spine2形成負載分擔(dān)，共同進行流量轉(zhuǎn)發(fā)。當(dāng)一條接入鏈路或設(shè)備發(fā)生故障時，流量可以快速切換到另一條鏈路或設(shè)備。IPCoreNetworkSpine1Spine2VXLANL3GWLeaf1VXLANL2IPCoreNetworkSpine1Spine2VXLANL3GWLeaf1VXLANL2GWVSwitchVM ServerNVE特性部署

如圖1-44所示，Spine1、Spine2和Leaf1之間建立VXLAN隧道，用于為L