Overlay網絡技術原理介紹

1、Overlay網絡技術原理介紹0102網絡虛擬化的發(fā)展Overlay基本概念與分類目錄03VXLAN技術基礎22數據中心虛擬化起源所謂虛擬化，本身就是一個廣義的通用術語，保羅萬象。虛擬化是一種資源管理技術，本質是從物理到邏輯的映射，是物理資源的復用或融合。特點：仿真、透明 實現風格：模擬、偽裝起源：分時 共享1950s 1960s 1970s1980s 1990s 1998 19992001 20032004 2005 2006 2007 2008 2009 2010 2014虛擬虛擬內存機虛擬路 由轉發(fā)VTLRAID以太網VLAN通道X86虛擬化Data CoreESXiVmotion虛擬S

2、ANXEN虛擬 服務 器Invista微軟Metro ClusterSAN彈性卷控計算制器云Hype vSphe虛擬 交換系統(tǒng)r-VreKVMFCoEVDSOpen FlowvSwitVXL chAN23虛擬化技術分類虛擬化技術按實現方法， 可以分類為：池化、抽 象、分區(qū)。按照技術領域來劃分， 可以分為：網絡、存儲、 服務器(計算)虛擬化 ，其中計算虛擬化是虛擬化劑?；夹g發(fā)展最重要的催網絡虛擬化24存儲虛擬化服務器虛擬化虛擬內存vSwitchFCOEUCSVXLANNVGREVPLS VLANTRILLSPBRAID陣列虛擬化虛擬磁帶庫LUNx86虛擬化大型機虛擬化 時分共享計算虛擬化業(yè)務的

3、發(fā)展25計算虛擬化業(yè)務經歷了由單一到多元、分散到統(tǒng)一、由集中到分布，由局限于設備的虛擬化到整體數據中心云化，最后再由云服務各行各業(yè)的過程。云計算的出現極大推動了計算虛擬化技術的提升，也促進了其他虛擬化技 術的發(fā)展。1959年6月，Chirstopher首次提出計算虛擬化概念。1965年，IBM發(fā)布首款操作系統(tǒng)虛擬化技術1974年， Popek和Goldberg正式定義虛擬機。1998年，Vmware將虛擬化技術引入x86架構。1999年，第一個商業(yè)化IaaS平臺LoudCloud出現.2000年 ,SaaS興起。2004年，Google發(fā)布MapReduce論文，大數據基石Hadoop出現。2

4、005年，亞馬遜推出AWS，公有云業(yè)務進入蓬勃發(fā)展。計算虛擬化面臨的挑戰(zhàn)26隨著計算虛擬化發(fā)展，DC內大量部署的虛擬機提供云服務。部署虛擬機需 要在網絡中無限制地遷移，虛擬機數量和增長速度也遠超物理服務器，給 計算虛擬化帶來了新的挑戰(zhàn)。虛擬機遷移范圍受到網絡架構限制遷移的不中斷性限制了網絡是二層傳統(tǒng)的STP等部署繁瑣，配置復雜，并且網絡規(guī)模不能過大，限制了虛擬化的網絡擴展性各廠家私有的設備級虛擬化技術（如IRF）雖然可以簡化拓撲，單只能一般適合于數據中心內部網絡計算虛擬化面臨的挑戰(zhàn)27虛擬機規(guī)模受網絡規(guī)格限制在二層網絡環(huán)境下，MAC地址表成為決定了云計算環(huán)境下虛擬機的規(guī)模 上限的瓶頸，限制了整

5、個云計算數據中心的虛擬機數量。虛擬化業(yè)務的網絡隔離/分離能力限制VLAN數量在標準定義中只有12個比特單位，即可用的數量為4K，這樣 的數量級對于公有云或大型虛擬化云計算應用而言微不足道網絡虛擬化技術概述28什么是網絡虛擬機化：可以構建出虛擬的網絡鏈路或網絡節(jié)點的技術，無論是二層的、大二層 的、三層的，還是多虛一、一虛多，都屬于網絡虛擬化技術。網絡虛擬化的分層：數據平面、控制平面、管理平面網絡虛擬化的優(yōu)點：可擴展性、靈活性、安全性、構建邏輯分區(qū)網絡虛擬化從來不是單獨發(fā)展的，而是和服務器虛擬化、存儲虛擬化并列發(fā) 展的，為解決計算虛擬化面臨的挑戰(zhàn)，發(fā)展出了多種新的網絡虛擬化技術， 網絡虛擬化進入高

6、速發(fā)展期。網絡虛擬化技術的發(fā)展29計算虛擬化面臨的挑戰(zhàn)，要求網絡虛擬化能夠以較低成本提供一個擁有充足隔離能力的透明大二層網絡。STP:部署繁瑣，無法構建跨三層的二層網絡，規(guī)模有限IRF:簡化網絡拓撲，強制要求拓撲，只能用于數據中心內部EVB：包括VEB、VEPA等部分，只能解決虛擬機網絡接入的問題。802.1Qbh：需要專門芯片支持，廠商限制嚴重，也只能解決接入層。Trill:引入了L2 ISIS做為尋址協議，在內外層Ethernet報頭之間引入了TRILL報頭，使用NickName作為轉發(fā)標識，用于報文在TRILL網絡中的尋址轉發(fā)，MAC in MAC，落地情況一般，收斂慢，缺乏運維經驗。S

7、PB：同樣使用L2 ISIS做為尋址協議，MAC in MAC，負載均衡需要預 配置，缺乏運維經驗。需要一種新的網絡虛擬化技術來滿足計算虛擬化告訴發(fā)展帶來的需求。0102網絡虛擬化Overlay基本概念與分類目錄03VXLAN技術基礎1010Overlay技術的出現1011Overlay在網絡技術領域，是一種網絡架構上疊加的虛擬化技術模式，其大體框架是對 基礎網絡不進行大規(guī)模修改的條件下，實現應用在網絡上的承載，并能與其它網絡業(yè) 務分離，并且以基于IP的基礎網絡技術為主。Overlay網絡是指建立在已有網絡上的虛擬網，邏輯節(jié)點和邏輯鏈路構成了Overlay網絡。Overlay網絡是具有獨立的控

8、制和轉發(fā)平面，對于連接在Overlay邊緣設備之外的 終端系統(tǒng)來說，物理網絡是透明的。Overlay網絡的出現是為了實現已有網絡所不能提供的功能和服務Overlay網絡是 物理網絡向云和虛擬化的深度延伸，使云資源池化能力可以擺脫物理網絡的重重 限制，是實現云網融合的關鍵。Overlay技術基本概念Overlay 網絡物理承載網絡主機主機Overlay 邊緣設備Overlay 邊緣設備Overlay 控制平面承載網絡 控制平面數據平面Payload封裝Overlay 邊緣設備Overlay數據報文的封裝/解封裝 節(jié)點，決定了Overlay網絡的規(guī)模Overlay 控制平面服務發(fā)現1012地址通告

9、和映射隧道管理Overlay 數據平面提供數據封裝，基于承載網絡傳輸Overlay技術解決的問題1013針對虛機遷移范圍受到網絡架構限制的解決方式Overlay把二層報文封裝在IP報文之上，因此，只要網絡支持IP路由可達就可以部署Overlay網絡，而IP路由網絡本身已經非常成熟，且在網絡結構上沒有特殊要求。而 且路由網絡本身具備良好的擴展能力，很強的故障自愈能力和負載均衡能力。針對虛機規(guī)模受網絡規(guī)格限制的解決方式虛擬機數據封裝在IP數據包中后，對網絡只表現為封裝后的網絡參數，即隧道端點的地址，因此，對于承載網絡（特別是接入交換機），MAC地址規(guī)格需求極大降低。針對網絡隔離/分離能力限制的解決

10、方式針對VLAN只能支持數量4K以內的限制，在Overlay技術中擴展了隔離標識的位數， 可以支持高達16M的用戶，極大擴展了隔離數量。Overlay技術的功能要求1014較低成本的構建跨越三層的大二層，通過隧道實現跨三層的二層互聯。感知虛擬機。接入交換機/隧道端點交換機與虛擬機機直連或通過TOR交換 機間接感知到虛擬機。充足的網絡或虛擬子網標識數量。租戶隔離：虛機的MAC藏在幀內部，不通邏輯2層網絡或子網之間是隔離的，在不同的租戶內，實現IP MAC地址復用。經過隧道封裝，減輕物理交換機的MAC地址表壓力，只需要學習隧道端點IP MAC地址信息。對虛擬機透明：虛擬機感知不到隧道封裝?？蓪崿F細

11、粒度的負載均衡。Overlay網絡類型物理設備vDeviceVMVM VMvDeviceVMVM VM虛擬設備vDeviceVMVM VMDB/Controller物理設備虛擬設備物理設備網絡Overlay：1015路由器或交換機作為Overlay網絡的 邊緣設備服務器無需支持Overlay通過控制協議來實現網絡構建和擴展虛擬設備主機Overlay：虛擬設備（vDevice）作為Overlay網絡的邊緣設備適用于服務器全虛擬化的場景， 不能接入非虛擬化服務器混合Overlay：混合組網，物理設備、虛擬設備 作為Overlay網絡的邊緣設備可接入各種形態(tài)的服務器主流Overlay技術1016名稱

12、支持者方案簡述產品形式網絡虛擬化方式數據新增報頭長度技術特點VXLANCisco、VMware、HP、Citrix、 RedHat、BroadcomL2 over UDPCisco: N1000V BCM: Trident2 其 他 ： OpenvSwitchVXLAN報頭24 bit VNI50Byte不改變L2L4報文結構，現有網絡設備即可支持多路徑負載均衡。NVGRE微軟、HP、Broadcom、Dell、Emulex、IntelL2 over GRE微軟: Hyper-V vSwitchBCM: TridentEmulex: 網卡 其 他 ： OpenvSwitchNVGRE報頭24

13、bit VSI42Byte問題：改變了GRE報文 頭，需要升級網絡設備 才能支持多路徑負載均 衡。STTNicira(被VMware收購)無狀態(tài)TCPvSwitchSTT報頭 64 bit Context ID5876Byte問題：改變了TCP報文 頭，當前無商用芯片支 持，僅VMware純虛擬 化環(huán)境可用，產業(yè)生態(tài) 脆弱。Cisco也不支持0102網絡虛擬化Overlay基本概念與分類目錄03VXLAN技術基礎1017VXLAN技術基本概念VTEPVTEPVXLAN虛擬可擴展局域網（Virtual Extensible Lan），是Overlay技術的一種，通過隧道機制在現有網絡上構建一個疊

14、加的網絡從而繞過現有VLAN標簽的限制VTEPVTEPVTEPVTEPVXVXLLAANN網絡1018NetworkVXLAN技術基本概念1019VTEPVXLAN Tunnel End Point 虛擬擴展本地網絡隧道終結節(jié)點上行方向將虛擬機（服務器）產生的數據封裝到UDP包頭內發(fā)送出去，下行方向將收到的VXLAN報文解封裝后發(fā)給虛擬機（服務器）VTEP之間建立了兩點之間的隧道（VTEP可以為軟件、硬件服務器或者網路設備、隧 道是無狀態(tài)的）VNIVXLAN Network Identifier 虛擬擴展本地網絡標示符VNI取代VLAN用來表示不同的VXLAN網絡VNI是一個24位進制表示，可

15、以擴展到2的24次方個網段20VXLAN的報文結構(一)標記位RRRRIRRR保留未用（24位）VXLAN ID（24位）保留未用（8 位）20外層MAC 頭外層IP頭外層UDP 頭VXLAN頭原始二層報文基本格式：L2oUDP封裝報頭開銷50字節(jié)UDP目的端口為已知端口4798，源端口可按流分配，標準5元組方式有利于IP網絡轉發(fā)過程中進行負載分擔VXLAN標簽標志位（8bits），一個有效的VXLAN網絡ID（VNI），第5個bit的I標志位必 須設置為1，余下的7個bit的標志位是保留的，必須設置為0VXLAN網絡ID(VNI)，長24bit，用于標識一個單獨的VXLAN網絡14字節(jié)20字

16、節(jié)8字節(jié)8字節(jié)VXLAN的報文結構(二)外層三層包頭外層ip包頭的ip地址為隧道兩端的VTEP設備地址，如果Hypervisor承擔了VTEP工作則為服務 器網卡地址，如果VTEP為接入交換機，則IP地址為出端口上的 IP地址或者三層接口地址、loopback地址外層二層包頭外層二層包頭為報文在普通網絡中做二、三層轉發(fā)的MAC地址（目的mac為目的VTEP設備的 硬件mac或者三層網關的MAC)新添加的VXLAN包頭原始報文2121外層MAC 頭外層IP頭外層UDP 頭VXLAN頭原始二層報文VXLAN報文舉例2122VXLAN GW和VXLAN IP GW網絡設備支持VXLAN報文的封裝與解

17、封裝，并根據內層報文的IP頭部進行三層轉發(fā)VXLAN GW支持VXLAN報文的封裝與解封裝，并根據內層報文的MAC頭部進行二層轉發(fā)，實現VXLAN與VLAN 的互通leafleafSpineSpineleafrouterleafrouter1、ingress VTEP設 備將報文封裝成 VXLAN報文VXLAN IP GW2 、核心設備做為 VXLAN IP GW， 終結VXLAN報文并進行L3轉發(fā)3 、egress VTEP 設備 將VXLAN 報文解封裝， 實現VXLAN與VLAN的互通VVXXLLAANN網絡Network2123VXLAN 網絡互通需求VXLAN 二層/三層網關：傳統(tǒng)L

18、2網絡中，報文跨VLAN轉發(fā)，需要借助VLAN Mapping或者L3 設備來完成不同VLAN之間的互通問題，VXLAN網絡同樣需要解決：VXLAN和VLAN之間如何互通，這個是解決VXLAN虛擬網絡和傳統(tǒng)物理網絡之間如何通信的問題VXLAN和VXLAN之間如何互通，這個是解決VXLAN網絡內部不同租戶如何互通的問題VXLAN L2GatewayVLANVLAN 100VXLAN 10VXLAN L3GatewayVXLAN 202124VXLAN 10VXLAN IDVLAN ID10100VXLAN IDVXLAN ID1020VXLANVXLAN 二層網關：最簡單的實現應該是一個Brid

19、ge設備僅僅完成VXLAN到VLAN的轉換，包含VXLAN到VLAN的1：1、N：1轉換實體形態(tài)可以是vSwitch、交換機VXLANVXLANVXLAN 三層網關：實現可以是一個Router設備，支持 跨VXLAN三層轉發(fā)實體形態(tài)可以是vRouter、交換機、 路由器VXLAN 集中式網關LeafLeafSpineLeafVXLANNetworkservervsi-interface 10VSI/VXLAN 10VSI/VXLAN 10vsi-interface 2010.0.0.10server0集中式VXLAN IP網關進行二層VXLAN業(yè)務終結對內層封裝的IP報文進行三層轉發(fā)VXLAN

20、 IP網關功能由VXLAN對應的三層虛接口（VSI虛接口）承擔2125VXLAN 分布式網關LeafLeafSpineLeafserverVXLANNetworkvsi-interface 10VSI/VXLAN 10VSI/VXLAN 10vsi-interface 20server00分布式VXLAN IP網關所有的分布式VXLAN IP網關上都需要創(chuàng)建VSI虛接口不同網關上的相同VSI虛接口配置相同的網關IP地址vsi-interface 10VSI/VXLAN 10VSI/VXLAN 10vsi-interface 20vsi-interface 10VSI/VXLAN 10VSI/V

21、XLAN 10vsi-interface 202126VXLAN的控制平面2127外層源/目的 mac外層802.1q標 簽外層目的IP 地址外層源IP地 址外層UDP包 頭VXLAN標簽原始數據 包VXLAN的控制平面實現方式分為3類自學習模式利用泛洪/廣播機制來實現VXLAN網絡的建立基于SDN Controller的集中式模式SDN Controller作為控制平面，通過下發(fā)流表指導VTEP的轉發(fā)路由協議擴展模式通過擴展ISIS（類EVI)、BGP（EVPN)協議來實現VXLAN網絡的建立VTEP設備轉發(fā)時需要哪些信息？VXLAN的控制平面自學習模式一LeafLeafLeafvswitc

22、hVM1VM2serverVTEP IP VTEP IP 指定VXLAN ID映射到一個IP組播組，此VXLAN的VTEP都加入該組播組，通過flooding和learning機制完成學習如圖，VM server屬于同一個VXLAN 10 加入特定組播組SpineSpine1）VM發(fā)送ARP 報文請求server 的地址2 ） VTEP 將 報 文 進 行 VXLAN 封裝 ， 在組播 組里廣播3）同一個VXLAN的VTEP收到ARP請求后，學習對端VTEP的地址，并生成VTEP 上的MAC 地址表，并將VTEP報 文解封裝后廣播到相關接口MAC地址VTEP地址VM macVXLANNetwo

23、rk2128VXLAN的控制平面自學習模式二Leaf-BSpineSpineLeaf-CvswitchVM1VM2serverLeaf-AVTEP IP VTEP IP 10.0.0.26）Leaf-A將報文進 行VXLAN 解封裝后 發(fā)給VM1 ， 并且學 習對端VTEP 的IP, 生 成VTEP上的MAC地 址表5）Leaf-C查看MAC地址表， 將報文封裝成VXLAN報文后， 單播發(fā)送給Leaf-AMAC地址VTEP地址VM mac4）server收到ARP報 文，回應ARP請求MAC地址VTEP地址server macVXLANNetwork2129VXLAN的控制平面基于Contro

24、ller方式Leaf-ASpineSpineController VXLAN app未知報文1 ） Leaf-A收到未知報文 通過packet in報文將報文 發(fā)給controllerVM1基于SDN Controller方式的控制平面和地址學習SDN Controller與所有VXLAN ED設備建立連接（通過OpenFlow協議），通過SDN Controller給各VXLAN ED部署下發(fā)流表來進行VXLAN的轉發(fā)2）Controller上學習MAC地址表并和Leaf-A 地址對應MAC 地址VTEP地址VM macLeaf-BLeaf-C3）controller下發(fā)流 表給VTEP指導

25、轉發(fā)4）controller將學習 到的MAC與VTEP對 應關系同步到其他 VTEP注：通過云業(yè)務平臺在創(chuàng)建VM的時候直接將VM MAC地址表（包括與VTEP IP地址的對應關系）通知SDNcontroller，這樣controller一直有整網的VM MAC地址表VXLANNetwork2130VXLAN的控制平面基于ISIS協議(一)ENDCENDCENDC基于ISIS擴展協議的控制平面和mac地址學習基于EVI鄰居發(fā)現協議，通過ISIS擴展協議來實現控制平面和MAC地址學習VXLAN網絡啟用ENDP協議，核心設備作為ENDS設備、接入設備作為ENDC設備，ISIS擴展協議來完成MAC的

26、發(fā)布和回收ENDSENDSVXLANNetwork2131VXLAN的控制平面基于ISIS協議(二)Leaf-BSpineLeaf-CvswitchVM1VM2serverVTEP IP VTEP IP 1）VTEP學習到VM MAC之后通過ISIS擴展協議通告 給其他VTEP設備Leaf-A2）同一個域內的VTEP設備收 到ISIS報文，學習VM MAC和 對應的VTEP地址MAC地址VTEP地址VM macSpine設備作為ENDS設備、接入設備（VTEP）作為ENDC設備，ENDC設備向ENDS設備發(fā)起注冊（包括VXLAN ID、VTEP ID、network ID)ENDS發(fā)送應答包括

27、所有ENDC設備信息，建立VXLAN控制平面SpineVXLANNetwork2132優(yōu)勢：標準化：控制面使用EVPN，屬于標準協議靈活：使用MP-BGP完成地址同步，更靈活控制地址發(fā)布規(guī)則SpineSpineLeafLeafLeafEVPN地址同步EVPN地址同步VXLAN隧道建立VXLANNetworkVXLAN的控制平面基于EVPN協議2133VXLAN的數據平面(一)隧道機制源和目的VTEP之間建立隧道，負責報文的VXLAN封裝和解封裝VTEP為虛擬機數據包分裝了層層包頭，這些新包頭只會在報文到目的VTEP時才會解封裝，中間路徑網絡設備 只會根據外層包頭的目的地址進行轉發(fā)，對于轉發(fā)路徑

28、上的網絡設備，一個VXLAN報文就是一個普通IP報文leafleafSpineSpineleafleafTunnelVXVXLLAANN網絡Network2134VXLAN的數據平面(二)Leaf-BserverVTEP IP Leaf-AVTEP IP Leaf-CMACVTEP地址AMACVTEP地址B在VTEP設備上進行VXLAN的封裝解封裝，根據MAC地址表（對應有對端的VTEP IP地址）轉發(fā),以虛擬機的二層轉發(fā)/同一個VXLAN為例SpineSpineMAC BIP mac Bmac A20.0.0.1MAC AIP VM2VXLAN2135Networkmac Bmac A20.

29、0.0.220.0.0.1外層UDP包頭VXLAN標簽mac Bmac A20.0.0.1VXLAN的基本配置1.創(chuàng)建VSI和VXLAN使能L2VPN功能創(chuàng)建VSI，并進入VSI視圖創(chuàng)建VXLAN，并進入VXLAN視圖注：在一個VSI下只能創(chuàng)建一個VXLAN不同VSI下創(chuàng)建的VXLAN，其VXLAN ID不能相同2136Switch l2vpn enableSwitch vsi vsi-nameSwitch vxlan vxlan-id2.創(chuàng)建VXLAN隧道配置VXLAN隧道的全局源地址2137創(chuàng)建模式為VXLAN隧道的Tunnel接口配置隧道的源端地址或源接口配置隧道目的地址Switch source ipv4-address | interface-type interface-number Switch interface tunnel tunnel-number mode vxlanSwitch tunnel global source-address ip-addressVXLAN的基本配置Switch d