VXLAN网络架构

229

发表时间：2021-03-23 16:47

VXLAN是NVO3中的一种网络虚拟化技术，通过将原主机发出的数据包封装在UDP中，并使用物理网络的IP、MAC作为外层头进行封装，然后在IP网络上传输，到达目的地后由隧道终结点解封装并将数据发送给目标主机。

通过VXLAN，虚拟网络可接入大量租户，且租户可以规划自己的虚拟网络，不需要考虑物理网络IP地址和广播域的限制，降低了网络管理的难度，同时满足虚拟机迁移和多租户的需求。

类似于传统的VLAN网络，VXLAN网络也有VXLAN网络内互访和VXLAN网络间互访。

VXLAN网络内互访

通过VXLAN技术可以实现在已有三层网络上构建虚拟二层网络，实现主机之间的二层互通。VXLAN网络内互访如图1-1所示。

图1-1 VXLAN网络内互访

VXLAN网络内互访中涉及的概念如下：

网络标识VNI（VXLAN Network Identifier）
类似于传统网络中的VLAN ID，用于区分VXLAN段，不同VXLAN段的租户不能直接进行二层通信。一个租户可以有一个或多个VNI，VNI由24比特组成，支持多达16M的租户。
广播域BD（Bridge Domain）
类似传统网络中采用VLAN划分广播域方法，在VXLAN网络中通过BD划分广播域。
在VXLAN网络中，将VNI以1:1方式映射到广播域BD，一个BD就表示着一个广播域，同一个BD内的主机就可以进行二层互通。
VXLAN隧道端点VTEP（VXLAN Tunnel Endpoints）
VTEP可以对VXLAN报文进行封装和解封装。
VXLAN报文中源IP地址为源端VTEP的IP地址，目的IP地址为目的端VTEP的IP地址。一对VTEP地址就对应着一条VXLAN隧道。在源端封装报文后通过隧道向目的端VTEP发送封装报文，目的端VTEP对接收到的封装报文进行解封装。
虚拟接入点VAP（Virtual Access Point）
VXLAN业务接入点，可以基于VLAN或报文流封装类型（相关介绍参考VXLAN接入方式）接入业务：
- 基于VLAN接入业务：在VTEP上建立VLAN与BD的一对一或多对一的映射。这样，当VTEP收到业务侧报文后，根据VLAN与BD的映射关系，实现报文在BD内进行转发。
- 基于报文流封装类型接入业务：在VTEP连接下行业务的物理接口上创建二层子接口，并配置不同的流封装类型，使得不同的接口接入不同的数据报文。同时，将二层子接口与BD进行一一映射。这样业务侧报文到达VTEP后，即会进入指定的二层子接口。即根据二层子接口与BD的映射关系，实现报文在BD内进行转发。
网络虚拟边缘NVE（Network Virtualization Edge）
NVE是实现网络虚拟化功能的网络实体。报文经过NVE封装转换后，NVE间就可基于三层基础网络建立二层虚拟化网络。
二层网关
类似传统网络的二层接入设备，在VXLAN网络中通过二层网关解决租户接入VXLAN虚拟网络，也可用于同一VXLAN虚拟网络的子网通信。

VXLAN网络间互访（集中式网关）

不同BD之间的主机不能直接进行二层通信，需要通过VXLAN三层网关实现主机间的三层通信。

集中式网关是指将三层网关集中部署在一台设备上，如图1-2所示，所有跨子网的流量都经过三层网关进行转发，实现流量的集中管理。

图1-2 VXLAN网络间互访

VXLAN网络间互访中涉及的概念如下：

三层网关
类似传统网络中不同VLAN的用户间不能直接进行二层互访，不同VNI之间的VXLAN及VXLAN和非VXLAN之间也不能直接相互通信。为了使VXLAN之间，以及VXLAN和非VXLAN之间能够进行通信，引入了VXLAN三层网关的概念。
三层网关用于VXLAN虚拟网络的跨子网通信以及外部网络的访问。
VBDIF接口
类似于传统网络中采用VLANIF解决不同广播域互通的方法，在VXLAN中引入了VBDIF的概念。
VBDIF接口在VXLAN三层网关上配置，是基于BD创建的三层逻辑接口。通过VBDIF接口配置IP地址可实现不同网段的VXLAN间，及VXLAN和非VXLAN的通信，也可实现二层网络接入三层网络。

VXLAN网络间互访（分布式网关）

分布式网关是指将VXLAN二层网关和三层网关部署在同一台设备上，如图1-3所示，VTEP设备既作为VXLAN网络中的二层网关设备，与主机对接，用于解决终端租户接入VXLAN虚拟网络的问题。同时也作为VXLAN网络中的三层网关设备，实现跨子网的终端租户通信，以及外部网络的访问。仅BGP EVPN方式部署VXLAN网络时支持分布式网关。

图1-3 VXLAN网络间互访

VXLAN分布式网关具有如下特点：

同一个VTEP节点既可以做VXLAN二层网关，也可以做VXLAN三层网关，部署灵活。
VTEP节点只需要学习自身连接服务器的ARP表项，而不必像集中式三层网关一样，需要学习所有服务器的ARP表项，解决了集中式三层网关带来的ARP表项瓶颈问题，网络规模扩展能力强。

与VLAN对比

上面介绍VXLAN相关概念时与传统网络中的VLAN进行了对比，下面总结VXLAN与VLAN的差别。

表1-1 VXLAN网络与传统VLAN网络对比

对比项	VLAN网络	VXLAN网络
概念	虚拟局域网。	虚拟扩展局域网。
网络存在形式	将一个物理的LAN在逻辑上划分成多个广播域，并且将网络范围限制在一个较小的地域范围内。	在已有的任意路由可达的网络上叠加的二层虚拟网络，不受地域范围限制，具备大规模扩展能力。
可支持虚拟局域网范围	VLAN作为当前主流的网络隔离技术，在标准定义中只有12比特，因此可用的VLAN数量仅4096个。对于公有云或其它大型虚拟化云计算服务这种动辄上万甚至更多租户的场景而言，VLAN的隔离能力无法满足。	VXLAN作为新型的网络隔离技术，在RFC 7348定义中有24比特，支持多达16M（约1600万）租户隔离，有效地解决了云计算中海量租户隔离的问题。
网络划分方式	通过VLAN ID划分广播域，同一个广播域之间的主机能进行二层互通。	通过BD划分广播域，同一个BD内的主机可以进行二层互通。
封装方式	在报文中添加VLAN Tag。	原始报文在封装过程中先被添加一个VXLAN帧头，再被封装在UDP报头中，*后使用承载网络的IP、MAC地址作为外层头进行封装。（具体封装格式请参见VXLAN报文封装格式）
网络间互通方式	VLAN间互访通过VLANIF接口实现，VLANIF接口是一种三层的逻辑接口，可以实现VLAN间的三层互通。	VXLAN间互访以及VXLAN和非VXLAN之间的通信通过VBDIF接口实现。 VBDIF接口在VXLAN三层网关上配置，是基于BD创建的三层逻辑接口。
受益	限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。增强局域网的安全性：不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。	位置无关性：业务可在任意位置灵活部署，缓解了服务器虚拟化后相关的网络扩展问题。网络部署灵活性：在传统网络架构上叠加新的网络，部署方便，同时避免了大二层的广播风暴，可扩展性极强。适合云业务：支持***别租户隔离，支持云业务的大规模部署。技术优势：采用MAC in UDP封装方式，无需关注主机的MAC地址，降低了大二层网络对MAC地址规格的需求。