1 VXLAN：云計(jì)算時(shí)代的隧道技術(shù)（二）
如圖1-1所示，這是一個(gè)典型的VXLAN組網(wǎng)架構(gòu)圖，其采用Border/Spine/Leaf三層架構(gòu)設(shè)計(jì)。Border Leaf作為VXLAN出口網(wǎng)關(guān)，Spine作為南北向流量，Leaf作為VXLAN分布式網(wǎng)關(guān)。VXLAN部署在Leaf與Leaf之間Border Leaf與Leaf之間。VXLAN在網(wǎng)絡(luò)中是如何進(jìn)行工作的，下文中我們會(huì)詳細(xì)介紹。VXLAN的概念介紹請(qǐng)參見：http://www.yeeliu.cn/jszl/88850/。
圖1-1    常見的數(shù)據(jù)中心VXLAN網(wǎng)絡(luò)架構(gòu)圖

1.1   VXLAN工作過(guò)程
VXLAN的運(yùn)行主要包含如下幾個(gè)部分：
(1)    在設(shè)備上創(chuàng)建VXLAN實(shí)例。
(2)    VTEP之間建立隧道，并將隧道和VXLAN實(shí)例關(guān)聯(lián)。
(3)    學(xué)習(xí)MAC地址，作為轉(zhuǎn)發(fā)的依據(jù)。
(4)    VTEP判斷接收的MAC幀的VXLAN歸屬，封裝為VXLAN報(bào)文后，根據(jù)MAC地址的學(xué)習(xí)結(jié)果選擇合適的隧道進(jìn)行轉(zhuǎn)發(fā)；對(duì)端VTEP則從隧道中接收?qǐng)?bào)文，并進(jìn)行解封裝和轉(zhuǎn)發(fā)。
(5)    VXLAN網(wǎng)關(guān)對(duì)跨VXLAN子網(wǎng)的報(bào)文進(jìn)行三層路由轉(zhuǎn)發(fā)。
1.1.1  VXLAN隧道建立
VXLAN報(bào)文通過(guò)VXLAN隧道在兩個(gè)VTEP之間傳輸。業(yè)務(wù)報(bào)文在進(jìn)入隧道時(shí)進(jìn)行封裝，通過(guò)Underlay網(wǎng)絡(luò)的三層轉(zhuǎn)發(fā)將封裝后的報(bào)文傳輸給遠(yuǎn)端VTEP，再由遠(yuǎn)端VTEP對(duì)其進(jìn)行出隧道解封裝處理。因此，需要在VTEP之間建立VXLAN隧道。建立的VXLAN隧道需要關(guān)聯(lián)VXLAN實(shí)例，才能被用于傳輸該VXLAN實(shí)例的報(bào)文。VXLAN隧道可以通過(guò)手動(dòng)或自動(dòng)兩種方式創(chuàng)建。手動(dòng)建立VXLAN隧道稱為靜態(tài)VXLAN隧道，自動(dòng)建立VXLAN稱為動(dòng)態(tài)VXLAN隧道。
1.     手工建立VXLAN隧道
手工建立VXLAN隧道意味著通過(guò)VXLAN隧道傳輸數(shù)據(jù)的一切必要條件都需要人工配置。具體過(guò)程如下：
(1)    創(chuàng)建VXLAN隧道接口，并指定隧道的源IP和目的IP。
(2)    創(chuàng)建VXLAN路由接口。
(3)    創(chuàng)建VXLAN實(shí)例，并與VXLAN隧道接口和VXLAN路由接口綁定。
(4)    （可選）手工配置終端的ARP表和MAC地址表。
2.     自動(dòng)建立VXLAN隧道
云計(jì)算中的數(shù)據(jù)中節(jié)點(diǎn)數(shù)量是龐大的，逐一手工建立VXLAN隧道幾乎是不可能的。EVPN（Ethernet Virtual Private Network，以太網(wǎng)虛擬專用網(wǎng)絡(luò)）能夠?qū)崿F(xiàn)VXLAN隧道自動(dòng)建立。
自動(dòng)建立VXLAN隧道的實(shí)現(xiàn)過(guò)程大致如下。VTEP設(shè)備首先需要同其他VTEP或者IBGP路由反射器建立BGP鄰居關(guān)系。之后，VTEP向支持BGP-EVPN的鄰居發(fā)送EVPN 3類路由（Inclusive Multicast Ethernet Tag），EVPN 3類路由主要包含了VTEP信息、VNI信息和RD值。VTEP之間通過(guò)互相發(fā)送EVPN 3類路由，完成VTEP發(fā)現(xiàn)，并創(chuàng)建VXLAN隧道OverlayTunnel。隧道本端的地址為本機(jī)的VTEP-IP，隧道對(duì)端的地址為通過(guò)3類路由學(xué)習(xí)到的對(duì)端的VTEP-IP。利用EVPN自動(dòng)創(chuàng)建的VXLAN隧道會(huì)自動(dòng)關(guān)聯(lián)VXLAN實(shí)例。創(chuàng)建VXLAN隧道后，VTEP還將通過(guò)EVPN 2類路由（MAC/IP Advertisement Route）通告主機(jī)MAC地址、主機(jī)ARP和主機(jī)路由信息，此部分為EVPN相關(guān)知識(shí)，本文不作過(guò)多介紹。
1.1.2  如何識(shí)別VXLAN流量
設(shè)備識(shí)別接入報(bào)文所屬VXLAN的方式有以下兩種：
●    配置VXLAN網(wǎng)絡(luò)實(shí)例關(guān)聯(lián)的VLAN。當(dāng)設(shè)備在某個(gè)VLAN上接收到MAC幀時(shí)，如果該VLAN被關(guān)聯(lián)到某個(gè)VXLAN，則設(shè)備會(huì)將接收到的MAC幀封裝為VXLAN報(bào)文，并在對(duì)應(yīng)VXLAN的隧道上進(jìn)行轉(zhuǎn)發(fā)。在同一個(gè)接入設(shè)備上，不同的VXLAN實(shí)例不可以關(guān)聯(lián)相同的VLAN。當(dāng)一個(gè)VLAN被VXLAN關(guān)聯(lián)后，其所有報(bào)文將被封裝成VXLAN報(bào)文，對(duì)應(yīng)VLAN將無(wú)法創(chuàng)建SVI接口充當(dāng)IP網(wǎng)關(guān)。
●    配置二層以太網(wǎng)子接口接入指定VXLAN網(wǎng)絡(luò)。設(shè)備在二層以太網(wǎng)子接口接收到MAC幀后，如果該二層以太網(wǎng)子接口已配置接入VXLAN網(wǎng)絡(luò)，則該報(bào)文歸屬于配置的VXLAN網(wǎng)絡(luò)，設(shè)備會(huì)將接收到的MAC幀封裝為VXLAN報(bào)文并轉(zhuǎn)發(fā)。二層以太網(wǎng)子接口支持不攜帶VLAN Tag封裝、攜帶VLAN Tag封裝與QinQ封裝接入VXLAN網(wǎng)絡(luò)。在二層以太網(wǎng)子接口生效的前提下，二層以太網(wǎng)子接口的封裝規(guī)則優(yōu)先級(jí)比VXLAN實(shí)例的關(guān)聯(lián)VLAN高。
1.1.3  VXLAN如何進(jìn)行MAC地址學(xué)習(xí)
VTEP需要學(xué)習(xí)用戶的MAC地址作為VXLAN報(bào)文轉(zhuǎn)發(fā)時(shí)的依據(jù)。VTEP的MAC地址學(xué)習(xí)包括本地MAC地址學(xué)習(xí)和遠(yuǎn)端MAC地址學(xué)習(xí)。除此之外，也可以手動(dòng)配置MAC地址表項(xiàng)，指定其所屬的VLAN、接口以及VNI，手動(dòng)綁定靜態(tài)MAC和靜態(tài)ARP比動(dòng)態(tài)學(xué)習(xí)更加穩(wěn)定安全。
1.     本地MAC地址學(xué)習(xí)
本地MAC地址學(xué)習(xí)是由轉(zhuǎn)發(fā)面動(dòng)作觸發(fā)的，VTEP在接收到本地主機(jī)的數(shù)據(jù)幀后，判斷該數(shù)據(jù)幀屬于哪一個(gè)VXLAN實(shí)例。若確定數(shù)據(jù)幀屬于某個(gè)VXLAN實(shí)例，VTEP會(huì)將數(shù)據(jù)幀的源MAC地址添加到VXLAN實(shí)例的MAC地址表中，并記錄VNI和接收到數(shù)據(jù)幀的接口。
2.     遠(yuǎn)端MAC地址學(xué)習(xí)
遠(yuǎn)端MAC地址的學(xué)習(xí)方式根據(jù)VXLAN隧道建立方式的不同而有所區(qū)別。
●   靜態(tài)VXLAN隧道
使用靜態(tài)隧道配置時(shí)，MAC表和ARP表都是通過(guò)轉(zhuǎn)發(fā)面行為觸發(fā)學(xué)習(xí)遠(yuǎn)端源MAC地址。當(dāng)VTEP設(shè)備收到遠(yuǎn)端VTEP鄰居發(fā)送的VXLAN報(bào)文時(shí)，VTEP進(jìn)行解封裝，還原二層數(shù)據(jù)幀，并將VNI與內(nèi)層源MAC地址（遠(yuǎn)端主機(jī)MAC地址）記錄在MAC地址表中。如圖1-2所示，VM-a與VM-c都屬于VNI10，VM-a已知VM-c的IP地址IP-c，請(qǐng)求VM-c的MAC地址過(guò)程如下：
圖1-2    靜態(tài)隧道MAC地址動(dòng)態(tài)學(xué)習(xí)

a     VM-a廣播發(fā)送目的IP為IP-c的ARP請(qǐng)求報(bào)文。
b     VTEP-1收到ARP請(qǐng)求后，根據(jù)接口判斷該ARP請(qǐng)求報(bào)文屬于VNI10。VTEP-1學(xué)習(xí)VM-a的MAC地址（MAC-a）、VNI（VNI10）和來(lái)源端信息（Gi0/1）。
c     VTEP-1對(duì)該ARP請(qǐng)求進(jìn)行VXLAN封裝，并通過(guò)VXLAN隧道泛洪給對(duì)端VTEP，示例中為VTEP-2和VTEP-3。如圖1-2中發(fā)送給VTEP-2的報(bào)文3，外層源MAC地址為MAC-1，外層目的MAC為下一跳設(shè)備的MAC地址（MAC-n），外層源IP為VTEP-1的IP IP-1，外層目的IP為VTEP-2的IP IP-2。封裝后的報(bào)文通過(guò)Underlay網(wǎng)絡(luò)轉(zhuǎn)發(fā)至VTEP-2和VTEP-3。
d     VTEP-2和VTEP-3收到報(bào)文后進(jìn)行解封裝，同時(shí)學(xué)習(xí)VM-a的MAC地址（MAC-a）、VNI（VNI10）和來(lái)源端信息（IP-1），并記錄在VTEP本地MAC地址表中。
e     VTEP-2和VTEP-3在本地二層域內(nèi)廣播ARP請(qǐng)求。VM-c收到ARP請(qǐng)求后，比對(duì)ARP請(qǐng)求的目的IP，并單播回復(fù)ARP應(yīng)答報(bào)文。VM-c的ARP應(yīng)答報(bào)文的封裝與解封裝過(guò)程與VM-a的ARP請(qǐng)求過(guò)程類似，VTEP-2、VTEP-1與VM-a都將學(xué)習(xí)到VM-c的MAC地址。

  說(shuō)明
在VXLAN進(jìn)行跨子網(wǎng)的三層通信時(shí)，只需學(xué)習(xí)三層網(wǎng)關(guān)的MAC地址，其動(dòng)態(tài)學(xué)習(xí)過(guò)程與上文相同。

●    通過(guò)EVPN建立動(dòng)態(tài)VXLAN隧道
從邏輯架構(gòu)上看，EVPN作為VXLAN的控制面，使VTEP可以通過(guò)主動(dòng)發(fā)布EVPN的2類路由MAC/IP Advertisement Route傳遞主機(jī)MAC，從而減少VXLAN網(wǎng)絡(luò)的流量泛洪。當(dāng)VTEP設(shè)備學(xué)習(xí)到本地主機(jī)的MAC信息后，可以發(fā)布一條MAC-ONLY的2類路由，將該MAC地址和其對(duì)應(yīng)的VNI信息通告給其他VTEP鄰居。
1.1.4  VXLAN報(bào)文如何進(jìn)行轉(zhuǎn)發(fā)
VXLAN的轉(zhuǎn)發(fā)分為二層轉(zhuǎn)發(fā)和三層轉(zhuǎn)發(fā)。相同VNI用戶之間通過(guò)VXLAN二層轉(zhuǎn)發(fā)，不同VNI用戶之間通過(guò)VXLAN三層轉(zhuǎn)發(fā)。VXLAN三層轉(zhuǎn)發(fā)需要通過(guò)VXLAN網(wǎng)關(guān)設(shè)備。
1.     VXLAN二層轉(zhuǎn)發(fā)
VTEP判斷MAC幀屬于某個(gè)VXLAN后會(huì)將該MAC幀封裝為VXLAN報(bào)文。VXLAN報(bào)文由UDP報(bào)文承載，在添加IP頭部后由IP網(wǎng)絡(luò)進(jìn)行傳輸。在接收方，VTEP對(duì)VXLAN報(bào)文進(jìn)行解封裝得到MAC幀，再進(jìn)行轉(zhuǎn)發(fā)。如下圖所示：
圖1-3    VXLAN二層轉(zhuǎn)發(fā)

(1)    交換機(jī)Device1收到以太網(wǎng)報(bào)文，將以太網(wǎng)報(bào)文封裝成VXLAN報(bào)文。
(2)    VXLAN報(bào)文在IP核心網(wǎng)中進(jìn)行轉(zhuǎn)發(fā)，如上圖Device2對(duì)VXLAN報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
(3)    Device3收到VXLAN報(bào)文，對(duì)報(bào)文進(jìn)行解封裝，在本地局域網(wǎng)進(jìn)行二層轉(zhuǎn)發(fā)。
下面我們以一個(gè)例子來(lái)介紹VXLAN二層轉(zhuǎn)發(fā)的過(guò)程。如圖1-4，三個(gè)服務(wù)器通過(guò)IP網(wǎng)絡(luò)使用VXLAN進(jìn)行二層互聯(lián)，使用的VXLAN VNI為100。
圖1-4    VXLAN二層轉(zhuǎn)發(fā)拓?fù)涫疽鈭D

以Server A向Server B發(fā)送ARP請(qǐng)求，Server B回復(fù)ARP應(yīng)答過(guò)程為例，說(shuō)明VXLAN的報(bào)文轉(zhuǎn)發(fā)過(guò)程。

 說(shuō)明
本章節(jié)中提到的Next Hop MAC和Last Hop MAC指的是Underlay網(wǎng)絡(luò)傳輸?shù)南乱惶蜕弦惶鳰AC地址，Next Hop MAC和Last Hop MAC在不同圖例中取值不同。

圖1-5    靜態(tài)VXLAN隧道中Server A向Server B發(fā)送ARP請(qǐng)求

(1)    Server A發(fā)送ARP請(qǐng)求，交換機(jī)VTEP1收到報(bào)文ARP請(qǐng)求的廣播報(bào)文，由于報(bào)文是廣播報(bào)文，所以需要通過(guò)隧道進(jìn)行泛洪，封裝成2份單播報(bào)文分別通過(guò)隧道發(fā)送到VTEP2和VTEP3。
(2)    IP核心網(wǎng)對(duì)單播VXLAN報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
圖1-6    VTEP3對(duì)VXLAN報(bào)文的解封裝和地址學(xué)習(xí)

(3)    VTEP3收到VXLAN報(bào)文，將該報(bào)文解封裝成以太網(wǎng)報(bào)文并進(jìn)行VXLAN地址學(xué)習(xí)（VNI為100，MAC地址為0000.0000.0001，VTEP IP地址為192.168.1.100），解封裝后的報(bào)文廣播泛洪至Server C。
圖1-7    VTEP2對(duì)VXLAN報(bào)文的解封裝和地址學(xué)習(xí)

(4)    VTEP2收到VXLAN報(bào)文，將報(bào)文解封裝成以太網(wǎng)報(bào)文，對(duì)以太網(wǎng)報(bào)文網(wǎng)進(jìn)行地址學(xué)習(xí)（VNI為100，MAC地址為0000.0000.0001，VTEP IP地址為192.168.1.100）并轉(zhuǎn)發(fā)，Server B收到ARP請(qǐng)求并應(yīng)答。
圖1-8    VTEP2查找地址表，交換機(jī)封裝報(bào)文為單播VXLAN報(bào)文

(5)    VTEP2收到Server B發(fā)送的ARP應(yīng)答報(bào)文，查找地址表，得到出口目的為IP 192.168.1.100地址。交換機(jī)將報(bào)文封裝成發(fā)往交換機(jī)192.168.1.100的單播VXLAN報(bào)文，外層源IP為192.168.2.100。
圖1-9    VTEP1收到VXLAN報(bào)文，解封裝并進(jìn)行地址學(xué)習(xí)

(6)    IP核心網(wǎng)對(duì)VXLAN報(bào)文進(jìn)行轉(zhuǎn)發(fā)
(7)    VTEP1收到Server B的ARP應(yīng)答VXLAN封裝報(bào)文，將報(bào)文解封裝成以太網(wǎng)報(bào)文，進(jìn)行地址學(xué)習(xí)（VNI為100，MAC地址為0000.0000.0002，IP地址為192.168.2.100）和轉(zhuǎn)發(fā)，Server A收到ARP應(yīng)答。

 說(shuō)明
Server A獲取到Server B的MAC地址后，將以單播的形式與Server B進(jìn)行交互，其過(guò)程與Server B回復(fù)ARP應(yīng)答過(guò)程類似，此處不再贅述。

2.     VXLAN三層轉(zhuǎn)發(fā)
如果要為VXLAN站點(diǎn)內(nèi)的虛擬機(jī)提供三層業(yè)務(wù)，則需要在網(wǎng)絡(luò)中部署VXLAN網(wǎng)關(guān)，以便站點(diǎn)內(nèi)的虛擬機(jī)通過(guò)VXLAN網(wǎng)關(guān)與外界網(wǎng)絡(luò)或其他VXLAN網(wǎng)絡(luò)內(nèi)的虛擬機(jī)進(jìn)行三層通信。VXLAN的網(wǎng)關(guān)類型分為集中式網(wǎng)關(guān)和分布式網(wǎng)關(guān)，具體介紹請(qǐng)參見1.2   VXLAN路由部署類型。本章節(jié)將以集中式網(wǎng)關(guān)介紹VXLAN三層轉(zhuǎn)發(fā)過(guò)程。

 說(shuō)明
本章節(jié)中提到的NH MAC（Next Hop MAC，下一跳MAC地址）指的是Underlay網(wǎng)絡(luò)傳輸?shù)南乱惶鳰AC地址，NH MAC在不同圖例中取值不同。

?    VXLAN內(nèi)不同VNI用戶之間的三層轉(zhuǎn)發(fā)
如圖1-10所示，VTEP-1和VTEP-2負(fù)責(zé)VXLAN二層轉(zhuǎn)發(fā)，VTEP-3作為VXLAN網(wǎng)關(guān)設(shè)備，負(fù)責(zé)路由轉(zhuǎn)發(fā)。VTEP-1與VTEP-3建立1個(gè)VNI10隧道，VTEP-2與VTEP-3建立1個(gè)VNI20隧道。
VTEP之間已經(jīng)通過(guò)EVPN完成MAC和ARP信息同步。各設(shè)備已有的ARP和MAC表項(xiàng)請(qǐng)參考表1-1、表1-2和表1-3。

VM-a與VM-b進(jìn)行通信的過(guò)程如下：
圖1-10    VM-a請(qǐng)求網(wǎng)關(guān)MAC地址

a     由于VM-a和VM-b屬于不同網(wǎng)段，VM-a通過(guò)廣播ARP報(bào)文請(qǐng)求網(wǎng)關(guān)IP-3的MAC地址。
b     VTEP-1收到來(lái)自VM-a的ARP報(bào)文，封裝VXLAN頭（VNI 10）后通過(guò)隧道發(fā)送到VTEP-3。
c     VTEP-3對(duì)報(bào)文進(jìn)行解封裝，發(fā)現(xiàn)是VM-a通過(guò)ARP請(qǐng)求自身的MAC地址，因此回復(fù)ARP應(yīng)答報(bào)文，報(bào)文中攜帶IP-3的MAC地址MAC-3，封裝VXLAN（VNI 10）后發(fā)往VTEP-1。
d     VTEP-1收到封裝為VXLAN（VNI 10）報(bào)文的ARP報(bào)文，解封裝后根據(jù)MAC表項(xiàng)發(fā)往VM-a。
圖1-11    VXLAN內(nèi)虛擬機(jī)間ICMP請(qǐng)求轉(zhuǎn)發(fā)

e     VM-a學(xué)習(xí)到ARP信息后，向VM-b發(fā)送ICMP報(bào)文。因?yàn)槎呤强缇W(wǎng)段通信，所以報(bào)文的目的MAC為網(wǎng)關(guān)VTEP-3的MAC-3。
f     ICMP請(qǐng)求報(bào)文到達(dá)VTEP-1，進(jìn)行二層地址表查找，匹配地址表MAC-3+VNI10+出口為遠(yuǎn)端隧道IP-3，則VTEP-1對(duì)報(bào)文進(jìn)行VXLAN封裝發(fā)往VTEP-3，內(nèi)層報(bào)文不變，外層目的MAC為路由表中目的為IP-3的下一跳MAC地址。
g     VTEP-3收到VXLAN封裝報(bào)文，進(jìn)行VXLAN解封裝，得到內(nèi)層報(bào)文。
h     VTEP-3是網(wǎng)關(guān)設(shè)備，解封裝后的內(nèi)層報(bào)文觸發(fā)三層轉(zhuǎn)發(fā)，匹配路由表出口為遠(yuǎn)端隧道IP-2。則VTEP-3進(jìn)行路由VXLAN封裝轉(zhuǎn)發(fā)，內(nèi)層報(bào)文目的MAC替換成MAC-b，外層VNI為VNI10。
i     VXLAN封裝報(bào)文到達(dá)VTEP-2，進(jìn)行VXLAN解封裝，得到內(nèi)層報(bào)文進(jìn)行二層單播直接轉(zhuǎn)發(fā)給VM-b。
圖1-12    VXLAN內(nèi)虛擬機(jī)間ICMP應(yīng)答轉(zhuǎn)發(fā)

j     VM-b收到ICMP請(qǐng)求報(bào)文，判斷是發(fā)給本端的，則進(jìn)行ICMP應(yīng)答，發(fā)出ICMP應(yīng)答報(bào)文。
k     ICMP應(yīng)答報(bào)文達(dá)到VTEP-2，進(jìn)行二層單播VXLAN封裝轉(zhuǎn)發(fā)。
l     VTEP-3收到VXLAN封裝報(bào)文，進(jìn)行VXLAN解封裝，得到內(nèi)層報(bào)文。
m     VTEP-3是網(wǎng)關(guān)設(shè)備，解封裝后的內(nèi)層報(bào)文觸發(fā)三層轉(zhuǎn)發(fā)，匹配路由表出口是遠(yuǎn)端隧道IP-1，進(jìn)行路由VXLAN封裝轉(zhuǎn)發(fā)，內(nèi)層報(bào)文目的MAC替換為MAC-a，外層VNI為VNI10。
n     VXLAN封裝報(bào)文達(dá)到VTEP-1，進(jìn)行VXLAN解封裝，得到內(nèi)層報(bào)文進(jìn)行二層單播直接轉(zhuǎn)發(fā)給VM-a。VM-a收到報(bào)文后，判斷是給本端的，則顯示ping通。
?    VXLAN內(nèi)用戶和VXLAN外用戶的通信
VXLAN內(nèi)部用戶與VXLAN外部用戶通訊需要通過(guò)VXLAN網(wǎng)關(guān)設(shè)備，外部的Underlay網(wǎng)絡(luò)通過(guò)VXLAN網(wǎng)關(guān)與虛擬化Overlay網(wǎng)絡(luò)相連。VXLAN網(wǎng)關(guān)的Overlay路由表中導(dǎo)入U(xiǎn)nderlay網(wǎng)絡(luò)路由表，使得在VTEP間通過(guò)Overlay網(wǎng)絡(luò)進(jìn)行通信轉(zhuǎn)發(fā)。VXLAN內(nèi)部用戶和VXLAN外部用戶通訊過(guò)程與VXLAN內(nèi)三層通訊過(guò)程相似，差別在于VXLAN網(wǎng)關(guān)在收到內(nèi)部對(duì)外通訊流量時(shí)，是往Internet轉(zhuǎn)發(fā)，故此處不再對(duì)轉(zhuǎn)發(fā)過(guò)程贅述。
1.2   VXLAN路由部署類型
當(dāng)前VXLAN路由主要有兩種部署形式，一種是面向小規(guī)模的數(shù)據(jù)中心的集中式VXLAN網(wǎng)關(guān)部署，另一種是面向大規(guī)模的數(shù)據(jù)中心的分布式VXLAN網(wǎng)關(guān)部署。
1.2.1  集中式網(wǎng)關(guān)
如圖1-13所示，VXLAN網(wǎng)關(guān)均集中部署在核心設(shè)備，跨VNI的流量都必須經(jīng)過(guò)核心設(shè)備的VXLAN網(wǎng)關(guān)轉(zhuǎn)發(fā)。核心設(shè)備需要學(xué)習(xí)拓?fù)渲兴刑摂M機(jī)的MAC地址和ARP信息。所有接入設(shè)備只進(jìn)行VXLAN二層轉(zhuǎn)發(fā)，不進(jìn)行VXLAN流量的跨VNI轉(zhuǎn)發(fā)。
●     優(yōu)點(diǎn)：跨子網(wǎng)流量集中管理，便于管理員對(duì)跨子網(wǎng)流量進(jìn)行監(jiān)控和配置安全策略。
●     缺點(diǎn)：同網(wǎng)關(guān)下的跨子網(wǎng)通訊存在繞行，核心網(wǎng)關(guān)存在轉(zhuǎn)發(fā)性能瓶頸；核心網(wǎng)關(guān)需要學(xué)習(xí)所有虛機(jī)的MAC地址和ARP表項(xiàng)，存在MAC地址表項(xiàng)和ARP表項(xiàng)容量瓶頸。
●     場(chǎng)景：適合小規(guī)模的數(shù)據(jù)中心。
圖1-13    集中式網(wǎng)關(guān)流量走向圖

1.2.2  分布式網(wǎng)關(guān)
如所示，布式網(wǎng)關(guān)部署方式中，每臺(tái)VTEP都是本地直連虛擬機(jī)的網(wǎng)關(guān)，因此跨VNI的流量無(wú)需在集中式網(wǎng)關(guān)處繞行。這種方式既可以保證路徑最優(yōu)，又可以緩解集中式網(wǎng)關(guān)設(shè)備流量轉(zhuǎn)發(fā)的壓力。分布式網(wǎng)關(guān)部署方式分為非對(duì)稱網(wǎng)關(guān)和對(duì)稱網(wǎng)關(guān)。
圖1-14    分布式網(wǎng)關(guān)流量走向圖

1.     分布式非對(duì)稱網(wǎng)關(guān) 
數(shù)據(jù)報(bào)文在跨VNI轉(zhuǎn)發(fā)過(guò)程中只在入口VTEP查找路由，并根據(jù)目的端主機(jī)所屬的VNI進(jìn)行封裝轉(zhuǎn)發(fā)。每個(gè)VTEP配置VXLAN網(wǎng)絡(luò)中所有VNI，以保證VXLAN網(wǎng)絡(luò)中所有VNI之間相互可達(dá)。如圖1-15所示，VTEP 1下沒(méi)有VNI B的主機(jī)，但是為了保證Host 1能與Host 2進(jìn)行三層通信，VTEP 1下也需要?jiǎng)?chuàng)建VNI B。同理，如圖1-16VTEP 2下也需要?jiǎng)?chuàng)建 VNI A。VTEP同時(shí)做VXLAN橋和VXLAN路由轉(zhuǎn)發(fā)，VTEP需要學(xué)習(xí)所有VNI下的終端主機(jī)ARP和地址表項(xiàng)，包括不在本地的終端主機(jī)，所以分布式非對(duì)稱網(wǎng)關(guān)的拓展性不佳。
●     優(yōu)點(diǎn)：非對(duì)稱網(wǎng)關(guān)組網(wǎng)在轉(zhuǎn)發(fā)報(bào)文時(shí)路徑是最優(yōu)的，并支持虛擬機(jī)的無(wú)縫遷移。
●     缺點(diǎn)：VTEP需要配置本地網(wǎng)絡(luò)中不存在的VNI信息，需要學(xué)習(xí)非本地終端主機(jī)的MAC地址和ARP信息，擴(kuò)展性不佳。
●     場(chǎng)景：適合中小型數(shù)據(jù)中心。
圖1-15    分布式非對(duì)稱網(wǎng)關(guān)發(fā)送流量

圖1-16    分布式非對(duì)稱網(wǎng)關(guān)應(yīng)答流量

2.     分布式對(duì)稱網(wǎng)關(guān)
分布式對(duì)稱網(wǎng)關(guān)引入了一個(gè)L3VNI的概念，L3VNI負(fù)責(zé)VTEP所有三層流量的轉(zhuǎn)發(fā)。如圖1-17所示，虛擬機(jī)的三層流量會(huì)在直接連接的VTEP上觸發(fā)一次三層轉(zhuǎn)發(fā)，然后封裝成VXLAN報(bào)文到達(dá)對(duì)端VTEP后解封裝再次觸發(fā)三層轉(zhuǎn)發(fā)，相比非對(duì)稱網(wǎng)關(guān)，在整體上看起來(lái)是對(duì)稱的，因此稱之為VXLAN對(duì)稱網(wǎng)關(guān)。
部署分布式對(duì)稱網(wǎng)關(guān)時(shí)，如果同一個(gè)VNI轉(zhuǎn)發(fā)，則在入口VTEP上做VXLAN二層轉(zhuǎn)發(fā)；如果是跨網(wǎng)段的通信，在入口VTEP路由到L3VNI，再在目的VTEP設(shè)備上根據(jù)內(nèi)層IP路由到終端。這種模式下，入口的VTEP不需要配置目的端設(shè)備的VNI信息，因此不需要學(xué)習(xí)遠(yuǎn)端終端的MAC和ARP信息，減少了MAC地址表和ARP鄰接表的消耗。
●     優(yōu)點(diǎn)：轉(zhuǎn)發(fā)報(bào)文時(shí)路徑是最優(yōu)的，減輕了VTEP設(shè)備的MAC地址表容量壓力，具備更好的擴(kuò)展性。
●     缺點(diǎn)：虛擬機(jī)的無(wú)縫遷移因VTEP單邊部署VNI會(huì)受到一定限制。
●    場(chǎng)景：適用于中大型數(shù)據(jù)中心。
圖1-17    分布式對(duì)稱網(wǎng)關(guān)流量走向圖
 

1.3   VXLAN典型組網(wǎng)應(yīng)用
VXLAN的典型組網(wǎng)應(yīng)用及在銳捷設(shè)備上的配置指南請(qǐng)進(jìn)入銳捷文檔中心，選擇交換機(jī)或者路由器分類，選擇對(duì)應(yīng)產(chǎn)品型號(hào)后，打開配置調(diào)測(cè)中的配置指南，進(jìn)入“數(shù)據(jù)中心配置指南-VXLAN配置-典型配置舉例章節(jié)”進(jìn)行閱讀。

相關(guān)鏈接

基于EVPN的分布式VXLAN實(shí)現(xiàn)方案

VXLAN：云計(jì)算時(shí)代的隧道技術(shù)（一）

什么是數(shù)據(jù)中心VXLAN Overlay網(wǎng)絡(luò)