《云时代下VLAN与VXLAN各施所长.docx》由会员分享,可在线阅读,更多相关《云时代下VLAN与VXLAN各施所长.docx(9页珍藏版)》请在第一文库网上搜索。
1、云时代下V1AN与VX1AN各施所长VX1AN(Virtua1extensib1e1oca1AreaNetwork,虚拟可扩展局域网)可以说是目前最热门的网络虚拟化技术。自2014年引入以来,VX1AN已逐渐成为现代数据中心网络架构的重要组成部分。而同样作为网络虚拟化技术之一的V1AN(Virtua11oca1Network,虚拟局域网)早在1998年就已经提出,可以说是网络虚拟化技术的“骨灰级元老”,长期以来得到了广泛的应用。V1AN/VX1AN到底是什么、有什么区别、为什么有了V1AN还需要VX1AN、二者究竟在什么场景使用?让我们带着这些疑问一起看下去吧。V1AN交换机是一个12设备,插
2、在同一个交换机的网络设备组成了一个12网络,12网络之间通过MAC地址通信,同时这个12网络也是一个广播域。同属于一个广播域的两个设备想要通信,一设备须得向网络中的所有设备发送请求信息,只有对应MAC地址的设备才是真正的接收方,但实际上却是数据帧传遍整个网络,所有设备都会收到,且直接丢弃。/msimp1y、(retransmittingIsigna1toa11/vImyp(Imreceivingbutignoring.Jmu1tiportreed+erI/IHey,1ook!This罩邓/isforme!J(Imreceivinganignoringtoo.J如此一来,将造成一系列不好的后果:
3、网络整体带宽被占用、潜在的信息安全风险、占用CPU资源因此,V1AN应运而生!E+hcrc+GanneV1AN是一项把12网络再做分区隔离的技术。V1AN直接在EthernetFrame的头部加上4个字节的V1ANID用来标识不同的二层网络,处理起来也比较简单,在读取Ethernet数据的时候,只需要根据EtherType相应的偏移4个字节就行。1dyeraEthernet4ramev1Am从技术上讲,V1AN是一种用“数字”(也就是V1ANID)标记单个12网段EthernetFrame的机制。简单来说就像是一个交换机被拆成了多个虚拟交换机,原本的一个广播域也分成了多个。举例来看,下图的交换
4、机在接口上设置了两个V1AN,ID分别是1和2,两个同时也分割出了两个广播域。因为这种分割是虚拟的不是物理的,所以叫做Virtua11ANone+uork33计Ch连接到特定单个V1AN的计算机和服务器只能看到属于同一V1AN的帧。不同ID的帧在逻辑上属于不同的网络。V1AN30codiV1AN的原理我们大概已经了解了,总结一下,V1AN究竟能够解决什么问题?1、限制广播域。广播域被限制在一个局域网内,节省了带宽,提高了网络处理能力。2、增强局域网的安全性。不同局域网内的报文在传输时是相互隔离的,即一个V1AN内的用户不能和其它V1AN内的用户直接通信,如果不同V1AN要进行通信,则需要通过路
5、由器或三层交换机等三层设备。3、灵活构建虚拟工作组。用局域网可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。不过V1AN也并非没有缺点。1、随着虚拟化技术的发展,一台物理服务器往往承载了多台虚拟机,公有云或其它大型虚拟化云数据中心动辄需容纳上万甚至更多租户,V1AN技术最多支持4000多个V1AN,逐渐无法满足需求。2、公有云提供商的业务要求将实体网络租借给多个不同的用户,这些用户对于网络的要求有所不同,而不同用户租借的网络有很大的可能会出现IP地址、MAC地址的重叠。传统的V1AN并没有涉及这个问题,因此需要一种新的技术来保证在多个
6、租户网络中存在地址重叠的情况下依旧能有效通信的技术。3、虚拟化技术使得单台主机可以虚拟化出多台虚拟机同时运行,而每台虚拟机都会有其唯一的MAC地址。这样,为了保证集群中所有虚机可以正常通信,交换机必须保存每台虚机的MAC地址,这样就导致了交换机中的MAC表异常庞大,从而影响交换机的转发性能。VX1ANVX1AN是另一种网络虚拟化技术,有点类似于V1AN,但功能更强大。在传统的V1AN网络中,共享同一底层12网段的V1AN不能超过4096个。只有12比特用于对EthernetFrame格式中的V1ANID字段进行编码。VX1AN协议定义了8个字节的VX1ANHeader,引入了类似V1ANID的
7、网络标识,称为VN1(VX1ANNetworkID),由24比特组成,这样总共是1600多万个,从而满足了大规模不同租户之间的标识、隔离需求。VX1AN是基于13网络构建的虚拟12网络,是一种OVer1ay网络。VX1AN不关心底层物理网络拓扑,它将EthernetFrame封装在UDP包中,只要它能承载UDP数据包,就可以在远端网段之间提供以太网12连接。VPpacketJEthernetEthernetHeaderIPHeaderUDPHeaderVX1ANHeaderVirtua1X1AN,sEthernetframe2In)Pda+aqramEthernet每个VX1AN节点上的出站1
8、2EthernetFrame都会被捕获,然后封装成UDP数据包,并通过13网络发送到目标VX1AN节点。当12EthernetFrame到达VX1AN节点时,就从UDP数据包中提取(解封装),并注入目标设备的网络接口。这种技术称为隧道。因此,VX1AN节点会创建一个虚拟12网段,从而创建一个12广播域。segmentsegment口口口segmentVX1Ak)over厂一口口口Virtua112segment因为VX1AN通过UDP传输EthernetFrame,那相应的可以在一个13网络上传递12的数据。又或者说是在一个13网络上构建了12网络。物理网络的二层边界还存在,但是现在虚机的网络
9、数据可以跨越物理二层网络的限制,在三层网络传输。下面看一下VX1AN报文:如上图所示,VTEP对VM发送的原始以太帧(OriginaI12Frame)进行了以下“包装”: VX1ANHeader:增加VX1AN头(8字节),其中包含24比特的VN1字段,用来定义VX1AN网络中不同的租户。此外,还包含VX1ANF1ags(8比特,取值为OoOo1Ooo)和两个保留字段(分别为24比特和8比特)。 UDPHeader:VX1AN头和原始以太帧一起作为UDP的数据。UDP头中,目的端口号(VX1ANPort)固定为4789,源端口号(UDPSrc.Port)是原始以太帧通过哈希算法计算后的值。 O
10、uterIPHeader:封装外层IP头。其中,源IP地址(OUterSrc.IP)为源VM所属VTEP的IP地址,目的IP地址(OUterDst.IP)为目的VM所属VTEP的IP地址。OuterMACHeader:封装外层以太头。其中,源MAC地址(Src.MACddr.)为源VM所属VTEP的MAC地址,目的MAC地址(Dst.MACddr.)为到达目的VTEP的路径中下一跳设备的MAC地址。同样的,我们再来总结一下VX1AN解决了哪些问题:VX1AN支持大量租户:支持多达1600万个相互隔离的二层网络,解决传统二层网络V1AN资源不足问题。VX1AN网络易于维护:基于IP网络构建大二层
11、网络,将原始二层数据帧封装成VX1AN报文在IP网络中透传,充分利用现有IP网络技术,部署和维护更容易。VX1AN网络保证虚拟机动态迁移:采用“MACinUDP”的封装方式,保证虚拟机迁移前后的IP和MAC不变。下表展示了V1AN和VX1AN的一些区别。V1ANVX1AN封装带竹802.IQ标头的以太网帧UDP数据包携带的VXIJKN报头底层要求与需要使用V1AN的所有端点的第2层以太网连接每个VX1AN隧道端点之间的第3层连接冗余和环路避免限于禁于以太网的解决方案.例如生成网协议、第2/3层支持的任何内容.TRI11.SPB、MCjAG、交换结构最常见的是使用动态路由协议.例如(JSPF或B
12、GPe有限:很高:可扩展性-只彳4094个珑拟网络(可以使用QinQ扩展它.但有几个跳点)-超过1600万个虚拟网络-不推荐大以太网段BGP的纯第3层网络可能非常大并且支持狂杂的拓扑结构-不能在第3层网段上进行本地扩展-可以扩展到第3层连接到达的任何地方在小型网络中很简单。手动配置很复杂、即使在小型网络中也是如此。易于配置和维护需要格外小心、.在大型环境中可能会遇到麻烦。可以使用多播、BGP或SD、控制器等专有解决方案作为自动建立所需VXIAN隧道的控JM平面。可以使用GvRP、VrP或类似的协议来自动扩展VIN并简化配置.但仍然存在大型以太网广播城的问题通过正确配置这样的控制平面.即使在非常
13、大的网络中.添加和扩展现拟网络也相却容易。低:高:虚拟拓扑主要受实除物理连接的限JW虚拟拓扑不受底层物理网络的限制灵活性可用网络路径的最佳使用需要广泛使用以太网设路聚合,这通常需要使用专行机制.例如Me1AG在到达目的地之前,可以使用VX1AN隧道强制流Jit通过多个设备(所谓的服务锥)只能通过第2层隧道协议进行隧道传输使用动态路由协议和卜:CMP相对容易实现可用网络路径的城佳使用-可以在其他第2层或第3层隧道协议中进行隧道传输设备成本低中等偏上额外注意事项婺求MTU大于标准的1500字节。否则.VX1AN数据报可能需要分段.但这也并不总是可行.与以太网VIAN相比,由于报头开的更大,因此单个
14、链路上的吞吐量较低。小结:V1AN和VX1AN之间存在不少差异。但是一个就真的比另一个更好吗?尽管前文谈到了VX1AN的种种优点,但在可以预见的未来,VX1AN还是不能完全替代V1AN。VX1AN最多是在构建数据中心时的一个选项,而不是唯一的选项。首先VX1AN是一种OVerIay网络,不能独立存在,必须依赖Under1ay网络,而在构建UnderIay网络时,还是需要借助V1AN。其次,VX1AN的优势主要体现在大规模环境下,如果数据中心的规模只有百十台,那直接用V1AN就可以了,没必要上VX1AN。此外,支持VX1AN的网络设备虽然也很常见,但通常要贵得多。此外,正确配置VX1AN隧道需要大量人工配置或使用复杂的自动配置工具。一种常见的方法是使用BGPEVPN,但这对底层网络设备必须支持的协议的要求也增加了。所以VX1AN就一定比V1AN更好吗?这没有一个标准的答案,而是取决于我们试图解决的问题。
免费区 
