VXLAN是一种现代网络协议,广泛部署在数据中心云中,是当今软件定义的网络。如果您想了解VXLAN协议及其工作原理,您首先需要知道为什么我们需要一个新协议以及它试图解决什么问题。以及VLAN和VXLAN的区别。许多人感到困惑,他们认为VXLAN和VLAN是相同的,但事实并非如此。那么我们来看看VLAN和VXLAN的区别。
VLAN和VXLAN的区别VLAN是一种对二层网络进行分段的机制,将单个广播域分成多个广播域。因为VLAN有一个12位的标签,所以允许的最大VLAN为4094,这对于传统网络来说绰绰有余,但对于一切都在云中且具有多租户的现代网络来说,就不够了。
由于VLAN使用STP,并且交换机之间有多个冗余链路,因此其中只有一个处于转发状态。这会产生另一个问题,即它不能有效地使用链接的一半,因此您需要设法有效地使用链接。
相比之下,VXLAN是一种隧道封装协议,在UDP封装中使用mac。VXLAN将VLANID映射到VXLANVNID。您可以将VLAN从一个位置延伸到第三层或underlay网络上的另一个位置,而不是仅仅在同一个layer2域中承载VLAN。您可以在位置A中使用VLAN100,在位置B中使用VLAN100。借助VXLAN,您可以通过第3层与地理上分离的VLAN进行通信。好像是同一个L2域。
基本上,将在VTEP之间创建一个VXLAN隧道。VXLAN虚拟隧道作为Overlay网络,实际网络作为underlay网络。现在您可能想知道什么是underlay网络和overlay网络,我们也会讨论这个问题。如果您考虑今天的VLAN,就会有一些限制。只有4094个VLAN可供使用,许多客户迁移到云中,物理服务器被虚拟机取代。仅4094个VLAN的可用性是不够的。
特别是如果您是一家云公司或任何向多个客户提供服务的网络服务提供商,您肯定会很快用完这些VLAN。所以我们需要一些东西来帮助我们在多个客户之间拥有相同的VLAN。因此,我们可以将VLAN100与客户A和客户B一起使用,而VXLAN在逻辑上将两者分开。
由于VXLAN标头是24位的,因此您可以携带多达1600万个VNID,并且在涉及云中的多租户环境时为服务提供商提供了极大的灵活性。现在您知道VXLAN和VLAN是不一样的。我们今天在网络中仍然使用VLAN,但是VXLAN在使用VLAN的同时提供了更多的封装选项。
Vxlan中的Vtep传统的网络设备无法读取VXLAN数据包,要使用VXLAN需要使用称为vxlan隧道端点设备的VTEP。VTEP可以封装和解封装VXLAN数据包;有两种类型的VTEP。基于硬件和基于软件。VTEP通常配置有IP地址。说起VXLAN,就会发现大家都在说underlay和overlayIP网络,那么什么是overlay和underlay网络呢?
overlay和underlay之间的差异underlay网络我们谈到了在Layer3网络上承载VLAN的VXALN,这只是underlay网络。underlay网络是一个物理网络,可让您在网络设备(例如路由器、交换机甚至防火墙)之间进行连接。它还使用传统的网络协议来路由主机之间的流量。例如,下面是两个网络服务网关或(如果您从传统网络角度来看,则为路由器),它通过互联网链接internet-1连接。您可以将其视为underlay网络。每个链接都有其公共IP网络。所以这里的ISP提供了underlay连接。
这些NSG可以在地理上分开的任何地方。
Overlay网络overlay网络是在underlay网络基础架构之上路由的虚拟网络。路由决策将在软件的帮助下进行。
基于IPsec的VXLANXLAN是否提供开箱即用的安全性?它没有。您通常不需要在数据中心进行任何加密,因为它是一个受信任的区域,但是如果您开始将VXLAN流量发送到Internet,类似于Nuagesd-wan的实施方式,您需要在其之上使用IPsec加密VXLAN隧道。下面的示例显示了两个overlay私有IP地址空间,10.1.1.0/24和10.2.2.0/24通过公共underlay路由(Internet-1。从最终用户的角度来看,他们不知道这些变化。
绿线代表overlay网络
Overlay和underlay简单表述您是否曾在VMware或KVM等虚拟化领域工作过?在虚拟化中,您拥有VM所在的主机称为Hostmachine(管理程序),而VM称为GuestVM。同样,物理网络称为Underlay网络,而运行在物理网络之上的网络称为overlay网络。
基于Underlay网络的情况
当underlay(Internet-1)网络出现故障时,overlay网络也会出现故障,因为远程主机没有第3层IP可达性。
基于Overlay网络的情况
当Overlay网络出现故障时,Underlay网络继续工作,但是,您的生产流量将关闭,并且Underlay不知道这些网络中断中的任何一个。由于overlay独立于underlay网络。那么如果underlay是核心网络,我们如何避免underlay上的网络中断呢?在数据中心环境中,交换机之间可以有多个链路,因为没有STP并且VXLAN使用ECMP来平衡链路之间的负载。当任何链路发生故障时,您仍然可以通过其他链路获得冗余。对于SD-WAN,您可以将辅助ISP(internet-2)链接作为underlay。
现在您可以使两个互联网链接都处于活动状态,这意味着它可以对流量进行负载平衡或进行活动待机,这意味着即使internet-1出现故障,互联网两个也会接管underlay流量并为overlay提供冗余。
overlay网络不知道underlay网络上的任何这些变化。只要underlay网络可用,它就会继续转发流量。这个概念在SDN网络的故障排除过程中也很有用。您还可以根据存在问题的图层(underlay或overlay层)缩小问题范围。