VXLAN将VM发出的原始报文进行封装后通过VXLAN隧道进行传输,隧道两端的VM不需感知传输网络的物理架构。这样,对于具有同一网段IP地址的VM而言,即使其物理位置不在同一个二层网络中,但从逻辑上看,相当于处于同一个二层域。即VXLAN技术在三层网络之上,构建出了一个虚拟的大二层网络,只要虚拟机路由可达,就可以将其规划到同一个大二层网络中。这就解决了虚拟机迁移范围受限问题。
在园区网络中使用VXLAN实现“一网多用”通过引入虚拟化技术,在园区网络中基于一张物理网络创建多张虚拟网络(VN,Virtual Network)。不同的虚拟网络应用于不同的业务,例如办公、研发或物联网等。
通过iMaster NCE(华为园区网络SDN控制器)实现全网设备集中管理,管理员通过图形化界面实现网络配置。
iMaster NCE将管理员的网络业务配置意图“翻译”成设备命令,通过NETCONF协议将配置下发到各台设备,实现网络的自动驾驶。
2 VXLAN的基本概念 VXLAN的报文格式
NVE是实现网络虚拟化功能的网络实体,可以是硬件交换机也可以是软件交换机。NVE在三层网络上构建二层虚拟网络,是运行VXLAN的设备。图中SW1和SW2都是NVE。
VTEP(VXLAN Tunnel Endpoints, VXLAN隧道端点)
VTEP是VXLAN隧道端点,位于NVE中,用于VXLAN报文的封装和解封装。
VXLAN报文(的外层IP头部)中源IP地址为源端VTEP的IP地址,目的IP地址为目的端VTEP的IP地址。
一对VTEP地址就对应着一条VXLAN隧道。
在源端封装报文后通过隧道向目的端VTEP发送封装报文,目的端VTEP对接收到的封装报文进行解封装。
通常情况下使用设备的Loopback接口地址作为VTEP地址。
VNI(VXLAN Network Identifier,VXLAN网络标识)
类似VLAN ID,用于区分VXLAN段。不同VXLAN段的虚拟机不能直接二层相互通信。
一个租户可以有一个或多个VNI,VNI长度为24bit。
BD(Bridge Domain)类似传统网络中采用VLAN划分广播域,在VXLAN网络中一个BD就标识一个大二层广播域。
VNI以1:1方式映射到广播域BD,同一个BD内的终端可以进行二层互通。
VAP(Virtual Access Point,虚拟接入点)
实现VXLAN的业务接入。VAP有两种配置方式,二层子接口方式或者VLAN绑定方式:
二层子接口方式接入,例如本例在SW1创建二层子接口关联BD 10,表示仅这个接口下的特定流量注入到BD 10。
VLAN绑定方式接入,例如本例在SW2配置VLAN 10与广播域BD 10关联,表示所有VLAN10的流量注入到BD 10。
3 VXLAN二层网关、三层网关二层(L2)网关:实现流量进入VXLAN虚拟网络,也可用于同一VXLAN虚拟网络的同子网通信。例如下图中的Edge1和Edge2。
三层(L3)网关:用于VXLAN虚拟网络的跨子网通信以及外部网络(非VXLAN网络)的访问。例如下图中的Border。