VXLAN是众多可用的网络虚拟化覆盖技术之一,它具有许多优点。它是一个工业标准协议,使用底层IP网络。它将第2层分段扩展到第3层基础设施上,以构建第2层覆盖逻辑网络。它将以太网帧封装到IP用户数据协议(UDP)报头中,并使用普通的IP路由和转发机制将封装的数据包通过底层网络传输到远程VXLAN隧道端点(VTEPs)。思科在2014年左右开始支持VXLanFlood,并在思科Nexus5600平台、思科Nexus7000和9000系列等多种思科Nexus交换机上学习spine和leaf技术。本节介绍Cisco VXLAN洪水和学习这些Cisco硬件交换机的特性。
封装格式和标准符合性
Cisco VXLAN flood and learn技术符合IETF VXLAN标准(RFC 7348),该标准定义了基于多播的flood,并在没有控制平面的情况下学习VXLAN。最初的第2层帧用一个VXLAN报头封装,然后放在UDP-IP包中并通过IP网络传输。
底层网络
VXLAN flood and learn spine and leaf网络使用第3层IP作为底层网络。底层IP多播用于减少参与VXLAN段的主机集的泛洪范围。每个VXLAN段都有一个VXLAN网络标识符(VNID),VNID被映射到传输IP网络中的IP多播组。每个VTEP设备都与这个多播组独立配置,并参与PIM路由。该组的多播分发树是根据参与vtep的位置通过传输网络构建的。在底层网络中启用多播功能的要求对一些组织提出了挑战,因为它们不希望在其数据中心或广域网中启用多播。
Cisco Nexus 9000系列引入了入口复制功能,因此底层网络是无多播的。VXLAN VTEP使用网络中其他VTEP的IP地址列表来发送广播和未知的单播通信量。这些IP地址通过静态入口复制配置在VTEP之间交换(图10)。
图10. VXLAN IP底层网络
覆盖网络
VXLAN flood and learn spine and leaf网络没有覆盖网络的控制平面。第二层覆盖网络是在第三层IP底层网络之上通过VTEP隧道机制来传输第二层包而建立的。覆盖网络使用flood和learn语义(图11)。
图11. VXLAN覆盖网络
广播和未知单播流量
底层IP PIM或入口复制功能用于发送广播和未知单播通信量。请注意,入口复制功能仅在Cisco Nexus 9000系列交换机上受支持。
主机检测和可达性
VXLAN flood和learn spine和leaf网络依赖于初始数据平面流量泛洪,使VTEPs能够发现彼此,并学习每个VXLAN段的远程主机MAC地址和MAC到VTEP映射。完成MAC到VTEP映射后,VTEPs在单播流中转发VXLAN流量。
多播通信量
在VXLAN flood and learn spine and leaf网络中,overlay tenant Layer 2多播流量支持使用underlay IP PIM或入口复制功能。注意,入口复制仅在Cisco Nexus 9000系列交换机上受支持。
第三层IP多播业务通过基于第三层PIM的多播路由转发。
多播组缩放需要仔细设计。理想情况下,您应该将一个VXLAN段映射到一个IP多播组,以提供最佳的多播转发。您也可以让多个VXLAN段共享核心网络中的单个IP多播组;但是,多播组的过载会导致次优的多播转发。
第三层路由功能
与传统的VLAN环境一样,在许多情况下都需要在VXLAN段之间或从VXLAN段到VLAN段之间进行路由。在典型的VXLAN flood和learn spine和leaf网络设计中,leaf Top of Rack(ToR)交换机作为VTEP设备启用,以扩展机架之间的第2层网段。这些vtep是VXLAN到VLAN或VLAN到VXLAN桥接的第2层VXLAN网关。当需要在VXLAN段之间或从VXLAN段路由到VLAN段和vice visa时,需要在一些vtep上启用第3层VXLAN网关功能。常用的设计是脊椎层的内部和外部布线,以及叶层的内部和外部布线。两种设计都提供集中路由:即第3层内部和外部路由功能集中在特定交换机上。
脊椎层的内部和外部布线
如图12spine层的内部和外部路由设计所示,leaf-ToR-VTEP交换机是一个第2层VXLAN网关,用于在第3层IP网络上传输第2层网段。脊椎开关有两个功能。它是底层第3层IP网络的一部分,传输VXLAN封装的数据包。它还执行内部VXLAN路由和外部路由。内部和外部路由通信量需要从叶VTEP到要路由的脊椎交换机进行一次底层跃点。
注意,使用热备用路由器协议(HSRP)和vPC配置时,VXLAN间活动活动网关的最大数量为两个。另外,spine Layer 3 VXLAN网关学习主机MAC地址,因此您需要考虑MAC地址规模,以避免超过硬件的可扩展性限制。
图12. 脊椎层的内部和外部布线
边界页上的内部和外部路由
如图13边界叶上的内部和外部路由设计所示,叶ToR VTEP交换机是一个用于在底层第3层IP网络上传输第2层网段的第2层VXLAN网关。spine交换机只是底层第3层IP网络的一部分,用于传输VXLAN封装的数据包。它不会学习覆盖主机的MAC地址。border leaf路由器通过第3层VXLAN网关启用,并执行内部VXLAN路由和外部路由。内部和外部路由流量需要从叶VTEP到脊椎交换机,然后到边界叶交换机的两个下层跃点才能到达外部网络。
在HSRP和vPC配置下,VXLAN间活动网关的最大数量为两个。另外,border leaf Layer 3 VXLAN gateway学习主机MAC地址,因此您需要考虑MAC地址规模,以避免超出硬件的可扩展性限制。
图13. 边界页上的内部和外部路由
多租户技术
VXLAN flood and learn spine and leaf网络支持第2层多租户(图14)。VXLAN使用一个24位的段ID,或者VNID,它允许多达1600万个VXLAN段在同一个管理域中共存。为了支持多租户,相同的VLAN可以在不同的VTEP交换机上重用,并且VTEP上接收到的IEEE 802.1Q标记帧被映射到特定的vni。vni用于在第2层为每个租户提供隔离。VLAN在叶VTEP交换机上具有局部意义,VNI在VXLAN网络上具有全局意义。
图14.使用VNI的第2层多租户示例
VXLAN flood and learn spine and leaf网络还支持使用VRF lite的第3层多租户(图15)。VXLAN泛洪学习网络是一个第二层覆盖网络,第三层SVI位于第二层覆盖网络的顶部。使用VRF-lite,VXLAN泛洪学习网络支持的vlan数量为4096。
图15. 使用VRF lite的第3层多租户示例
Cisco VXLAN flood and learn spine and leaf网络概述
VXLAN flood and learn spine and leaf网络符合IETF VXLAN标准(RFC 7348)。它在第3层IP底层网络上传输第2层帧。然而,它仍然是一个洪水和学习为基础的第二层技术。随着广播域中主机数量的增加,它面临着与FabricPath spine和leaf网络相同的泛洪挑战。第3层功能位于第2层网络的顶部。常见的第3层设计提供集中路由:即第3层路由功能集中在特定交换机(脊椎交换机或边界叶交换机)上。VXLAN flood and learn spine和leaf网络最多支持两个活动网关和vPC,用于内部VXLAN路由。
有关Cisco VXLAN flood和learn技术的功能支持和更多信息,请参阅本文档末尾列出的配置指南、发行说明和参考文档。
