NVE and VTEP
NVE(Network Virtualization Edge)
NVE(Network Virtualization Edge,网络虚拟边缘):是实现网络虚拟化功能的网络实体,是运行 VXLAN 的设备,或是硬件交换机,或是软件交换机(例如虚拟化软件创建的虚拟交换机);负责在三层网络上构建二层虚拟网络;
图中 SW1 和 SW2 都是 NVE 设备:
/4.4.1_Virtual_Extensible_LAN_(VXLAN)/1_Architecture_and_Concepts/pasted_image.png)
VTEP(VXLAN Tunnel Endpoints)
VTEP(VXLAN Tunnel Endpoints, VXLAN 隧道端点):是 VXLAN 隧道端点,位于 NVE 中,用于 VXLAN 报文的封装和解封装;
/4.4.1_Virtual_Extensible_LAN_(VXLAN)/1_Architecture_and_Concepts/pasted_image001.png)
VXLAN 报文的外层 IP-Header 中:SRC-IP-ADDR 为源端 VTEP 的 IP 地址,DST-IP-ADDR 为目的端 VTEP 的 IP 地址;
一对 VTEP 地址就对应着一条 VXLAN 隧道;
在源端封装报文后,通过隧道向目的端 VTEP 发送封装报文,目的端 VTEP 对接收到的封装报文进行解封装;
通常情况,使用设备的 Loopback 接口地址作为 VTEP 地址,并通过动态路由协议与对端 VTEP 实现三层互通;
VNI and BD
/4.4.1_Virtual_Extensible_LAN_(VXLAN)/1_Architecture_and_Concepts/pasted_image002.png)
BD
BD(Bridge Domain,桥域)
类似传统网络中采用 VLAN 划分广播域,在 VXLAN 中,一个 BD 就标识一个大二层广播域;
VNI
VNI(VXLAN Network Identifier,VXLAN 网络标识)
其为 VXLAN Header 中的字段(类似 VLAN-Tag.VLAN-ID)用于区分 VXLAN 段。不同 VXLAN 段的虚拟机不能直接二层相互通信。同个租户可以有一个或多个 VNI,VNI 长度为 24bit,支持多达 16M 的租户;
VNI 必须以 1:1 方式映射到广播域 BD(VNI 与 BD 进行绑定关联);同个 BD 内的终端可以进行二层互通;然后,设备接口 与 BD 关联;
VAP, Virtual Access Point
VAP(Virtual Access Point,虚拟接入点):实现 VXLAN 的业务接入,负责连接终端设备;
VAP 有两种配置方式:
1)二层子接口方式接入,例如在 SW1 创建二层子接口关联 BD 10,则该子接口下的特定流量会被注入到 BD 10 中;
2)VLAN 绑定方式接入,例如在 SW2 配置 VLAN10 与广播域 BD 10 关联,则所有 VLAN10 的流量会被注入到 BD 10 中;
/4.4.1_Virtual_Extensible_LAN_(VXLAN)/1_Architecture_and_Concepts/pasted_image003.png)
对于传统网络的流量,当进入 VXLAN 网络后,通过二层子接口或 VLAN 绑定的方式,来与 BD 进行绑定,在 BD 中会指定 VXLAN VNI,实现从传统的 VLAN 网络到 VXLAN 网络的映射(当进入 VXLAN 网络中,通常配置去除 VLAN Tag 信息);
Border and Edge
/4.4.1_Virtual_Extensible_LAN_(VXLAN)/1_Architecture_and_Concepts/pasted_image004.png)
Edge
Edge,是 VXLAN 网络的边缘接入设备,传统网络的流量由此进入 VXLAN 网络;
如果接入层交换机不支持 VXLAN,那该接入层交换机不为 Edge 设备;
Border
Border,是 VXLAN 网络和外部网络通信的节点。其用于外部流量进入 VXLAN 网络或 VXLAN 内部流量访问外部,通常连接具有三层转发能力的设备(如 Router、Firewall);
外部网络:是个统称,在 VXLAN 中,不属于 VXLAN 的网络都属于外部网络;
L2 Gateway vs. L3 Gateway
二层(L2)网关
/4.4.1_Virtual_Extensible_LAN_(VXLAN)/1_Architecture_and_Concepts/pasted_image009.png)
其实现流量进入 VXLAN 网络,也可用于同个 VXLAN 网络内终端的同子网通信;
三层(L3)网关
/4.4.1_Virtual_Extensible_LAN_(VXLAN)/1_Architecture_and_Concepts/pasted_image010.png)
其用于 VXLAN 网络内终端的跨子网通信,以及终端对外部网络(非 VXLAN 网络)的访问;
VBDIF(in L3 Gateway)
类似于传统网络中采用 Vlanif 实现不同广播域互通,在 VXLAN 中,引入 VBDIF 概念;
通过 VBDIF 接口,能够可实现不同网段的用户通过 VXLAN 网络通信,及 VXLAN 网络和非 VXLAN 网络间的通信,也可实现二层网络接入三层网络;
/4.4.1_Virtual_Extensible_LAN_(VXLAN)/1_Architecture_and_Concepts/pasted_image006.png)
在 VXLAN 的 L3 Gateway 上,配置 VBDIF,是基于 BD 创建的三层逻辑接口;
分布式网关 and 集中式网关
集中式网关
/4.4.1_Virtual_Extensible_LAN_(VXLAN)/1_Architecture_and_Concepts/pasted_image007.png)
L3 Gateway 部署在一台设备上,所有跨子网的流量都通过该设备转发,实现流量的集中管理;
优点:
1)跨子网流量集中管理,简化网关部署和管理;
缺点:
1)转发路径并非最优,所有流量都要经过 L3-Gateway;
2)ARP 表项规格瓶颈:由于采用集中式网关,网关上需要维护大量通过 VXLAN 接入网络的终端其 ARP;
分布式网关
/4.4.1_Virtual_Extensible_LAN_(VXLAN)/1_Architecture_and_Concepts/pasted_image008.png)
VTEP 设备既是 L2 Gateway,又是 L3 Gateway;非网关节点对 VXLAN 隧道不感知,仅作为 VXLAN 报文的转发节点;
优点:
1)VTEP 节点只学习连接在本节点下终端的 ARP 表项,解决集中式三层网关带来的 ARP 表项瓶颈问题,网络规模扩展能力强;
缺点:
1)相对集中式部署配置、实现复杂,部署工程量大;