2、EVPN-VXLAN交流1210.pptx

资源描述

《2、EVPN-VXLAN交流1210.pptx》由会员分享，可在线阅读，更多相关《2、EVPN-VXLAN交流1210.pptx（27页珍藏版）》请在金锄头文库上搜索。

1、目录Contents VXLANEVPN协议简述EVPN VXLAN总结传统数据中心网络用VLAN来隔离二层域不同VLAN跑不同业务问题一 VLAN数量不足规模难以扩展问题二主机虚拟机资源受限于物理网络无法灵活迁移问题三网络资源固化无法在不改变物理拓扑的情况下划分新的子网 VXLAN 为了解决上述问题需要在物理网络基础上比如L3网络构建一个叠加的逻辑网络承载网络 Underlay 和虚拟网络 Overlay 完全分离互不感知Underlay网络要求简单易管理同时能够为Overlay网络提供稳定可靠的转发能力Overlay网络需要提供灵活性和可扩展性 VXLA

2、N VXLAN VXLAN RFC7348 就是一种Overlay技术通过把二层报文封装在UDP隧道报文中的方式在L3网络基础上构建了一个逻辑上的二层网络 VXLAN VXLAN技术具有如下特点通过UDP隧道跨IP网络构建二层网络因此以成熟稳定的IP网络作为承载使得用户可以在不改变原有网络架构的情况下完成对VXLAN的部署 VXLAN内部虚拟机之间的互相访问无须感知作为承载的L3网络因此虚拟机可以跨L3网络在不同物理服务器之间自由迁移中间的网络设备无须感知VXLAN的存在并通过五元组HASH实现对VXLAN报文的负载均衡总共24bit的VXLAN网络标识符 VNI

3、可提供最多16m个VXLAN网段通过为租户分配不同VNI的方式来实现多租户之间的流量隔离通过IP组播来封装多播广播组播未知名单播的二层报文部署了VXLAN之后由于VTEP仅对符合特征的报文做二层转发处于VXLAN网络内部的虚拟机就无法进行和其他VXLAN通信了也无法对外提供服务因此如果虚拟机有此类需求则需要有一种设备能够根据VXLAN报文内部的IP进行路由充当VXLAN网络内虚拟机的网关 VXLAN路由 RFC7348中只定义了VXLAN的转发面没有定义VXLAN的控制面需要依赖于数据面的泛洪来学习远端的VTEP和主机信息在实际部署中泛洪问题成为VXLAN

4、规模化部署的阻碍 VXLAN转发面需要使用IP组播来承载泛洪的流量依赖于underlay网络部署组播组播协议本身的缺陷管理复杂协议开销组播组数量等也成为VXLAN部署的阻碍运营商往往不会将广域网上的组播服务开放给普通用户当存在跨运营商网络组建VXLAN网络的需求时现有的VXLAN技术将无能为力存在问题目录Contents VXLANEVPNEVPN VXLAN总结为了解决上述缺陷需要为VXLAN引入一个可靠的控制面协议提供VTEP自动发现及VXLAN网络内主机信息的同步机制以减少VXLAN数据面的泛洪并避免VXLAN对底层部署组播的依赖 MP BGPEVPN Mu

5、ltiprotocolBorderGatewayProtocolEthernetVirtualPrivateNetwork 由cisco等主流厂商发起最初用于MPLS网络后续扩展支持了overlay 目前已经成为VXLAN控制面事实上的标准通过EVPN可以完成VTEP发现以及终端可达信息的自动同步使VXLAN具备了规模化部署的可能相关标准如下 BGP 4 https tools ietf org html rfc4271MP BGP https tools ietf org html rfc4760EVPN https tools ietf org html rfc7432EVPN扩

6、展支持overlay https tools ietf org html draft ietf bess evpn overlay 01 EVPN EVPN标准目前定义了4种类型的路由 EthernetAuto Discovery AD Route 以太子网 EthernetSegment 发现路由用于发现CE PE的以太网连接集并按照规则分配ESI CE PE多归情况下必选否则ESI 0 MAC IPAdvertisementRoute 主机可达信息 NLRI 通告路由分为MAC ONLY 二层信息和MAC IP 三层信息两种用于EVPN发布主机信息 InclusiveMult

7、icastEthernetTagRoute 多播广播组播未知名单播路径发现路由在EVPN VXLAN中用于完成VTEP互相发现 EthernetSegmentRoute 当两个或多个 PE连接到同一个Ethernetsegment时可通过该路由发现彼此以实现多归情况下的DF选举等 EVPN 目录Contents VXLANEVPNEVPN VXLAN功能简述转发流程组网方案总结传统VXLAN没有一个基于控制面协议的VTEP发现及认证机制这样的缺陷一方面导致VXLAN必须依赖转发面的组播泛洪来完成VTEP发现另一方面也存有重大的安全缺陷因为其他非法的VTEP很容易添加

8、进VNI来进行发送或接收VXLAN流量使用MP BGPEVPN作为控制面 VTEP设备首先需要同其他VTEP或者路由反射器 RouteRefractor 建立BGP邻居关系邻居之间通过MD5加密认证以甄别流氓VTEP 之后通过交互EVPNInclusiveMulticastEthernetTag路由来完成VTEP发现 VTEP发现及认证完成VTEP自动发现后转发面可以在源端采用单播复制的方式来泛洪从而避免部署组播按RFC7432中的要求 InclusiveMulticastEthernetRoute是基于ESI EVI发布的因此实际上在设备间完成上述交互之后 VTEP可以精确

9、的将泛洪流量转发到其他关心的VTEP 而无需在整网泛洪单播复制泛洪直连的VTEP学习到主机二三层信息后由VXLAN模块通告BGP模块对外发布EVPN路由当BGP收到邻居的MAC IP路由时通过优选和RT过滤机制导入到EVI中然后通告VXLAN VXLAN再将对应的主机信息下发转发面用于指导转发在此情况下远端VTEP的二三层信息将不再通过转发面的报文进行学习主机二三层信息同步 ARP抑制当arp抑制功能开启后 VTEP会维护VNI内的arp信息的缓存表当终端发出arp请求直连的VTEP就会拦截arp请求报文并代为应答arp 由于大多数终端一上线就会发送GARP或

10、RARP 直连的VTEP可以马上学习到终端的mac和ip信息并扩散到其他VTEP上因此 ARP抑制可以减少终端arp学习带来的泛洪流量传统的VXLAN三层转发一个VNI只能有一个网关此时虚拟机的三层流量需要先转发到全网唯一的网关触发路由哪怕目标终端其实就和本机连在同一台TOR上这样流量显然不是最优在引入EVPN作为VXLAN控制面后可以支持AnycastGateway 所有分布式网关拥有相同的虚mac 主机的三层报文直接在直连TOR上触发路由以优化数据中心内部的流量并支持虚拟机迁移 AnycastGateway 在Borderleaf上实现如下内容外网路由需要导入EV

11、PN地址族通过EVPN发布到VXLAN网络内部 VXLAN内部主机的路由需要通过EVPN导入IPv4地址族并发布到外部路由器 Borderleaf连接外部路由器可通过一个物理三层口连接并在该物理三层口下为每个租户创建一个三层子接口指定子接口的VRF为租户VRF 租户访问外网 EVPN VXLAN为了处理虚拟机迁移在MAC IPAdvertisementRoute中引入了序列号的概念同一台虚拟机的信息在迁移之后在新的VTEP会将序列号 1后向外通告接收端根据序列号大小完成EVPN路由的优选虚拟机原来所在VTEP在发现迁移后需要携带原来的序列号通告路由撤销虚拟机迁移目录Co

12、ntents VXLANEVPNEVPN VXLAN功能简述转发流程组网方案总结整体拓扑目录Contents VXLANEVPNEVPN VXLAN功能简述转发流程组网方案总结虚拟机的网关部署在直连的TOR设备上同时TOR设备还需要完成VXLAN代理工作根据实际部署的需要分布式还可分为对称转发和非对称转发分布式VXLAN VXLAN网络内部虚拟机的网关集中部署在核心设备上在TOR上完成VXLAN桥转发核心设备上完成VXLAN路由转发集中式VXLAN 目录Contents VXLANEVPNEVPN VXLAN功能简述转发流程组网方案总结使用EVPN作为VXLAN的控制面具

13、有如下优点 MP BGPEVPN协议基于工业标准支持厂商互联通过控制面学习终端的二三层信息有利于VXLAN网络的健壮性和扩展性使用了成熟的MP BGPVPN技术EVPN协议族可携带二三层信息因此可支持VXLAN桥和VXLAN路由功能通过协议同步arp信息和arp抑制功能减少了网络中的arp泛洪通过分布式anycastgateway 优化了网络的东西向和南北向流量并支持虚拟机迁移支持VTEP的发现和认证避免了底层对组播的依赖同时可有效防止在VXLAN网络中伪造VTEP攻击可以为主机二层连接提供双活机制总结 THANKS 星网锐捷网络有限公司地址北京海淀区复兴路29号中意鹏奥大厦东塔A座11层邮编 100036OfficeTel 010 51715999Fax 010

展开阅读全文