1 VXLAN：云推算时期的隧路技术（二）
如图1-1所示，这是一个典型的VXLAN组网架构图，其选取Border/Spine/Leaf三层架构设计。Border Leaf作为VXLAN出口网关，Spine作为南北向流量，Leaf作为VXLAN散布式网关。VXLAN部署在Leaf与Leaf之间Border Leaf与Leaf之间。VXLAN在网络中是若何进行工作的，下文中我们会具体介绍。VXLAN的概想介绍请拜见：/jszl/88850/。
图1-1    常见的数据中心VXLAN网络架构图

1.1   VXLAN工作过程
VXLAN的运行重要蕴含如下几个部门：
(1)    在设备上创建VXLAN事俘。
(2)    VTEP之间成立隧路，并将隧路和VXLAN事俘关联。
(3)    进建MAC地址，作为转发的凭据。
(4)    VTEP判断接管的MAC帧的VXLAN归属，封装为VXLAN报文后，凭据MAC地址的进建了局选择相宜的隧路进行转发；对端VTEP则从隧路中接管报文，并进行解封装和转发。
(5)    VXLAN网关对跨VXLAN子网的报文进行三层路由转发。
1.1.1  VXLAN隧路成立
VXLAN报文通过VXLAN隧路在两个VTEP之间传输。业务报文在进入隧路时进行封装，通过Underlay网络的三层转发将封装后的报文传输给远端VTEP，再由远端VTEP对其进行出隧路解封装处置。因而，必要在VTEP之间成立VXLAN隧路。成立的VXLAN隧路必要关联VXLAN事俘，能力被用于传输该VXLAN事俘的报文。VXLAN隧路能够通过手动或自动两种方式创建。手动成立VXLAN隧路称为静态VXLAN隧路，自动成立VXLAN称为动态VXLAN隧路。
1.     手工成立VXLAN隧路
手工成立VXLAN隧路意味着通过VXLAN隧路传输数据的所有必要前提都必要人为配置。具体过程如下：
(1)    创建VXLAN隧路接口，并指定隧路的源IP和主张IP。
(2)    创建VXLAN路由接口。
(3)    创建VXLAN事俘，并与VXLAN隧路接口和VXLAN路由接口绑定。
(4)    （可。┦止づ渲弥斩说腁RP表和MAC地址表。
2.     自动成立VXLAN隧路
云推算中的数据中节点数量是重大的，逐一手工成立VXLAN隧路险些是不成能的。EVPN（Ethernet Virtual Private Network，以太网虚构专用网络）可能实现VXLAN隧路自动成立。
自动成立VXLAN隧路的实现过程大体如下。VTEP设备首先必要同其他VTEP或者IBGP路由反射器成立BGP邻居关系。之后，VTEP向支持BGP-EVPN的邻居发送EVPN 3类路由（Inclusive Multicast Ethernet Tag），EVPN 3类路由重要蕴含了VTEP信息、VNI信息和RD值。VTEP之间通过相互发送EVPN 3类路由，实现VTEP发现，并创建VXLAN隧路OverlayTunnel。隧路本端的地址为本机的VTEP-IP，隧路对端的地址为通过3类路由进建到的对端的VTEP-IP。利用EVPN自动创建的VXLAN隧路会自动关联VXLAN事俘。创建VXLAN隧路后，VTEP还将通过EVPN 2类路由（MAC/IP Advertisement Route）公告主机MAC地址、主机ARP和主机路由信息，此部门为EVPN有关知识，本文不作过多介绍。
1.1.2  若何鉴别VXLAN流量
设备鉴别接入报文所属VXLAN的方式有以下两种：
●    配置VXLAN网络事俘关联的VLAN。当设备在某个VLAN上接管到MAC帧时，若是该VLAN被关联到某个VXLAN，则设备会将接管到的MAC帧封装为VXLAN报文，并在对应VXLAN的隧路上进行转发。在统一个接入设备上，分歧的VXLAN事俘不成以关联一样的VLAN。当一个VLAN被VXLAN关联后，其所有报文将被封装成VXLAN报文，对应VLAN将无法创建SVI接口充任IP网关。
●    配置二层以太网子接口接入指定VXLAN网络。设备在二层以太网子接口接管到MAC帧后，若是该二层以太网子接口已配置接入VXLAN网络，则该报文归属于配置的VXLAN网络，设备会将接管到的MAC帧封装为VXLAN报文并转发。二层以太网子接口支持不携带VLAN Tag封装、携带VLAN Tag封装与QinQ封装接入VXLAN网络。在二层以太网子接口生效的前提下，二层以太网子接口的封装规定优先级比VXLAN事俘的关联VLAN高。
1.1.3  VXLAN若何进行MAC地址进建
VTEP必要进建用户的MAC地址作为VXLAN报文转发时的凭据。VTEP的MAC地址进建蕴含本地MAC地址进建和远端MAC地址进建。除此之表，也能够手动配置MAC地址表项，指定其所属的VLAN、接口以及VNI，手动绑定静态MAC和静态ARP比动态进建越发不变安全。
1.     本地MAC地址进建
本地MAC地址进建是由转发面作为触发的，VTEP在接管到本地主机的数据帧后，判断该数据帧属于哪一个VXLAN事俘。若确定数据帧属于某个VXLAN事俘，VTEP会将数据帧的源MAC地址增长到VXLAN事俘的MAC地址表中，并纪录VNI和接管到数据帧的接口。
2.     远端MAC地址进建
远端MAC地址的进建方式凭据VXLAN隧路成立方式的分歧而有所区别。
●   静态VXLAN隧路
使用静态隧路配置时，MAC表和ARP表都是通过转发面行为触发进建远端源MAC地址。当VTEP设备收到远端VTEP邻居发送的VXLAN报文时，VTEP进行解封装，还原二层数据帧，并将VNI与内层源MAC地址（远端主机MAC地址）纪录在MAC地址表中。如图1-2所示，VM-a与VM-c都属于VNI10，VM-a已知VM-c的IP地址IP-c，要求VM-c的MAC地址过程如下：
图1-2    静态隧路MAC地址动态进建

a     VM-a广播发送主张IP为IP-c的ARP要求报文。
b     VTEP-1收到ARP要求后，凭据接口判断该ARP要求报文属于VNI10。VTEP-1进建VM-a的MAC地址（MAC-a）、VNI（VNI10）和起源端信息（Gi0/1）。
c     VTEP-1对该ARP要求进行VXLAN封装，并通过VXLAN隧路泛洪给对端VTEP，示例中为VTEP-2和VTEP-3。如图1-2中发送给VTEP-2的报文3，表层源MAC地址为MAC-1，表层主张MAC为下一跳设备的MAC地址（MAC-n），表层源IP为VTEP-1的IP IP-1，表层主张IP为VTEP-2的IP IP-2。封装后的报文通过Underlay网络转发至VTEP-2和VTEP-3。
d     VTEP-2和VTEP-3收到报文后进行解封装，同时进建VM-a的MAC地址（MAC-a）、VNI（VNI10）和起源端信息（IP-1），并纪录在VTEP本地MAC地址表中。
e     VTEP-2和VTEP-3在本地二层域内广播ARP要求。VM-c收到ARP要求后，比对ARP要求的主张IP，并单播回复ARP应答报文。VM-c的ARP应答报文的封装与解封装过程与VM-a的ARP要求过程类似，VTEP-2、VTEP-1与VM-a都将进建到VM-c的MAC地址。

  注明
在VXLAN进行跨子网的三层通讯时，只需进建三层网关的MAC地址，其动态进建过程与上文一样。

●    通过EVPN成立动态VXLAN隧路
从逻辑架构上看，EVPN作为VXLAN的节造面，使VTEP能够通过自动颁布EVPN的2类路由MAC/IP Advertisement Route传递主机MAC，从而削减VXLAN网络的流量泛洪。当VTEP设备进建到本地主机的MAC信息后，能够颁布一条MAC-ONLY的2类路由，将该MAC地址和其对应的VNI信息公告给其他VTEP邻居。
1.1.4  VXLAN报文若何进行转发
VXLAN的转发分为二层转发和三层转发。一样VNI用户之间通过VXLAN二层转发，分歧VNI用户之间通过VXLAN三层转发。VXLAN三层转发必要通过VXLAN网关设备。
1.     VXLAN二层转发
VTEP判断MAC帧属于某个VXLAN后会将该MAC帧封装为VXLAN报文。VXLAN报文由UDP报文承载，在增长IP头部后由IP网络进行传输。在接管方，VTEP对VXLAN报文进行解封装得到MAC帧，再进行转发。如下图所示：
图1-3    VXLAN二层转发

(1)    互换机Device1收到以太网报文，将以太网报文封装成VXLAN报文。
(2)    VXLAN报文在IP主题网中进行转发，如上图Device2对VXLAN报文进行转发。
(3)    Device3收到VXLAN报文，对报文进行解封装，在本地局域网进行二层转发。
下面我们以一个例子来介绍VXLAN二层转发的过程。如图1-4，三个服务器通过IP网络使用VXLAN进行二层互联，使用的VXLAN VNI为100。
图1-4    VXLAN二层转发拓扑示意图

以Server A向Server B发送ARP要求，Server B回复ARP应答过程为例，注明VXLAN的报文转发过程。

 注明
本章节中提到的Next Hop MAC和Last Hop MAC指的是Underlay网络传输的下一跳和上一跳MAC地址，Next Hop MAC和Last Hop MAC在分歧图例中取值分歧。

图1-5    静态VXLAN隧路中Server A向Server B发送ARP要求

(1)    Server A发送ARP要求，互换机VTEP1收到报文ARP要求的广播报文，由于报文是广播报文，所以必要通过隧路进行泛洪，封装成2份单播报文别离通过隧路发送到VTEP2和VTEP3。
(2)    IP主题网对单播VXLAN报文进行转发。
图1-6    VTEP3对VXLAN报文的解封装和地址进建

(3)    VTEP3收到VXLAN报文，将该报文解封装成以太网报文并进行VXLAN地址进建（VNI为100，MAC地址为0000.0000.0001，VTEP IP地址为192.168.1.100），解封装后的报文广播泛洪至Server C。
图1-7    VTEP2对VXLAN报文的解封装和地址进建

(4)    VTEP2收到VXLAN报文，将报文解封装成以太网报文，对以太网报文网进行地址进建（VNI为100，MAC地址为0000.0000.0001，VTEP IP地址为192.168.1.100）并转发，Server B收到ARP要求并应答。
图1-8    VTEP2查找地址表，互换机封装报文为单播VXLAN报文

(5)    VTEP2收到Server B发送的ARP应答报文，查找地址表，得到出口主张为IP 192.168.1.100地址。互换机将报文封装成发往互换机192.168.1.100的单播VXLAN报文，表层源IP为192.168.2.100。
图1-9    VTEP1收到VXLAN报文，解封装并进行地址进建

(6)    IP主题网对VXLAN报文进行转发
(7)    VTEP1收到Server B的ARP应答VXLAN封装报文，将报文解封装成以太网报文，进行地址进建（VNI为100，MAC地址为0000.0000.0002，IP地址为192.168.2.100）和转发，Server A收到ARP应答。

 注明
Server A获取到Server B的MAC地址后，将以单播的大局与Server B进行交互，其过程与Server B回复ARP应答过程类似，此处不再赘述。

2.     VXLAN三层转发
若是要为VXLAN站点内的虚构机提供三层业务，则必要在网络中部署VXLAN网关，以便站点内的虚构机通过VXLAN网关与表界网络或其他VXLAN网络内的虚构机进行三层通讯。VXLAN的网关类型分为集中式网关和散布式网关，具体介绍请拜见1.2   VXLAN路由部署类型。本章节将以集中式网关介绍VXLAN三层转发过程。

 注明
本章节中提到的NH MAC（Next Hop MAC，下一跳MAC地址）指的是Underlay网络传输的下一跳MAC地址，NH MAC在分歧图例中取值分歧。

?    VXLAN内分歧VNI用户之间的三层转发
如图1-10所示，VTEP-1和VTEP-2掌管VXLAN二层转发，VTEP-3作为VXLAN网关设备，掌管路由转发。VTEP-1与VTEP-3成立1个VNI10隧路，VTEP-2与VTEP-3成立1个VNI20隧路。
VTEP之间已经通过EVPN实现MAC和ARP信息同步。各设备已有的ARP和MAC表项请参考表1-1、表1-2和表1-3。

VM-a与VM-b进行通讯的过程如下：
图1-10    VM-a要求网关MAC地址

a     由于VM-a和VM-b属于分歧网段，VM-a通过广播ARP报文要求网关IP-3的MAC地址。
b     VTEP-1收到来自VM-a的ARP报文，封装VXLAN头（VNI 10）后通过隧路发送到VTEP-3。
c     VTEP-3对报文进行解封装，发现是VM-a通过ARP要求自身的MAC地址，因而回复ARP应答报文，报文中携带IP-3的MAC地址MAC-3，封装VXLAN（VNI 10）后发往VTEP-1。
d     VTEP-1收到封装为VXLAN（VNI 10）报文的ARP报文，解封装后凭据MAC表项发往VM-a。
图1-11    VXLAN内虚构机间ICMP要求转发

e     VM-a进建到ARP信息后，向VM-b发送ICMP报文。由于二者是跨网段通讯，所以报文的主张MAC为网关VTEP-3的MAC-3。
f     ICMP要求报文达到VTEP-1，进行二层地址表查找，匹配地址表MAC-3+VNI10+出口为远端隧路IP-3，则VTEP-1对报文进行VXLAN封装发往VTEP-3，内层报文不变，表层主张MAC为路由表中主张为IP-3的下一跳MAC地址。
g     VTEP-3收到VXLAN封装报文，进行VXLAN解封装，得到内层报文。
h     VTEP-3是网关设备，解封装后的内层报文触发三层转发，匹配路由表出口为远端隧路IP-2。则VTEP-3进行路由VXLAN封装转发，内层报文主张MAC代替成MAC-b，表层VNI为VNI10。
i     VXLAN封装报文达到VTEP-2，进行VXLAN解封装，得到内层报文进行二层单播直接转发给VM-b。
图1-12    VXLAN内虚构机间ICMP应答转发

j     VM-b收到ICMP要求报文，判断是发给本端的，则进行ICMP应答，发出ICMP应答报文。
k     ICMP应答报文达到VTEP-2，进行二层单播VXLAN封装转发。
l     VTEP-3收到VXLAN封装报文，进行VXLAN解封装，得到内层报文。
m     VTEP-3是网关设备，解封装后的内层报文触发三层转发，匹配路由表出口是远端隧路IP-1，进行路由VXLAN封装转发，内层报文主张MAC代替为MAC-a，表层VNI为VNI10。
n     VXLAN封装报文达到VTEP-1，进行VXLAN解封装，得到内层报文进行二层单播直接转发给VM-a。VM-a收到报文后，判断是给本端的，则显示ping通。
?    VXLAN内用户和VXLAN表用户的通讯
VXLAN内部用户与VXLAN表部用户通讯必要通过VXLAN网关设备，表部的Underlay网络通过VXLAN网关与虚构化Overlay网络相连。VXLAN网关的Overlay路由表中导入Underlay网络路由表，使得在VTEP间通过Overlay网络进行通讯转发。VXLAN内部用户和VXLAN表部用户通讯过程与VXLAN内三层通讯过程类似，差距在于VXLAN网关在收到内部对表通讯流量时，是往Internet转发，故此处不再对转发过程赘述。
1.2   VXLAN路由部署类型
当前VXLAN路由重要有两种部署大局，一种是面向幼规模的数据中心的集中式VXLAN网关部署，另一种是面向大规模的数据中心的散布式VXLAN网关部署。
1.2.1  集中式网关
如图1-13所示，VXLAN网关均集中部署在主题设备，跨VNI的流量都必须经过主题设备的VXLAN网关转发。主题设备必要进建拓扑中所有虚构机的MAC地址和ARP信息。所有接入设备只进行VXLAN二层转发，不进行VXLAN流量的跨VNI转发。
●     利益：跨子网流量集中治理，便于治理员对跨子网流量进行监控和配置安全战术。
●     弊端：同网关下的跨子网通讯存在绕行，主题网关存在转发机能瓶颈；主题网关必要进建所有虚机的MAC地址和ARP表项，存在MAC地址表项和ARP表项容量瓶颈。
●     场景：适合幼规模的数据中心。
图1-13    集中式网关流量走向图

1.2.2  散布式网关
如所示，布式网关部署方式中，每台VTEP都是本地直连虚构机的网关，因而跨VNI的流量无需在集中式网关处绕行。这种方式既能够保障蹊径最优，又能够缓解集中式网关设备流量转发的压力。散布式网关部署方式分为非对称网关和对称网关。
图1-14    散布式网关流量走向图

1.     散布式非对称网关 
数据报文在跨VNI转发过程中只在入口VTEP查找路由，并凭据主张端主机所属的VNI进行封装转发。每个VTEP配置VXLAN网络中所有VNI，以保障VXLAN网络中所有VNI之间相互可达。如图1-15所示，VTEP 1下没有VNI B的主机，但是为了保障Host 1能与Host 2进行三层通讯，VTEP 1下也必要创建VNI B。同理，如图1-16VTEP 2下也必要创建 VNI A。VTEP同时做VXLAN桥和VXLAN路由转发，VTEP必要进建所有VNI下的终端主机ARP和地址表项，蕴含不在本地的终端主机，所以散布式非对称网关的拓展性欠安。
●     利益：非对称网关组网在转发报文时蹊径是最优的，并支持虚构机的无缝迁徙。
●     弊端：VTEP必要配置本地网络中不存在的VNI信息，必要进建非本地终端主机的MAC地址和ARP信息，扩大性欠安。
●     场景：适合中幼型数据中心。
图1-15    散布式非对称网关发送流量

图1-16    散布式非对称网关应答流量

2.     散布式对称网关
散布式对称网关引入了一个L3VNI的概想，L3VNI掌管VTEP所有三层流量的转发。如图1-17所示，虚构机的三层流量会在直接衔接的VTEP上触发一次三层转发，而后封装成VXLAN报文达到对端VTEP后解封装再次触发三层转发，相比非对称网关，在整体上看起来是对称的，因而称之为VXLAN对称网关。
部署散布式对称网关时，若是统一个VNI转发，则在入口VTEP上做VXLAN二层转发；若是是跨网段的通讯，在入口VTEP路由到L3VNI，再在主张VTEP设备上凭据内层IP路由到终端。这种模式下，入口的VTEP不必要配置主张端设备的VNI信息，因而不必要进建远端终端的MAC和ARP信息，削减了MAC地址表和ARP邻接表的亏损。
●     利益：转发报文时蹊径是最优的，减轻了VTEP设备的MAC地址表容量压力，具备更好的扩大性。
●     弊端：虚构机的无缝迁徙因VTEP单边部署VNI会受到肯定限度。
●    场景：合用于中大型数据中心。
图1-17    散布式对称网关流量走向图
 

1.3   VXLAN典型组网利用
VXLAN的典型组网利用及在iSlot官方网站设备上的配置指南请进入iSlot官方网站文档中心，选择互换机或者路由器分类，选择对应产品型号后，打开配置调测中的配置指南，进入“数据中心配置指南-VXLAN配置-典型配置举例章节”进行阅读。

有关链接

基于EVPN的散布式VXLAN实现规划

VXLAN：云推算时期的隧路技术（一）

什么是数据中心VXLAN Overlay网络