gaopeng
ice cubes
gaopeng的小站

VXLAN与园区网络虚拟化

一、技术背景

1. 虚拟化与云化带来的网络新需求

  • 二层扩展:虚拟机可跨物理位置、跨三层网络迁移,需跨三层实现二层互通。
  • 多租户隔离:租户间网络隔离,租户内二层互通;支持海量租户,地址可重叠。

2. 传统网络痛点

  • 虚拟机规模受限:接入设备MAC表规格不足。
  • 隔离能力不足:VLAN仅12bit,最多4096个,无法满足大型云化场景。
  • 迁移范围受限:虚拟机只能在同二层/同VLAN内迁移。

二、VXLAN基础认知

1. 定义

  • VXLAN(Virtual eXtensible Local Area Network):RFC定义的VLAN扩展方案,NVO3技术之一,采用MAC in UDP封装。
  • 本质:VPN技术,在三层物理网络(Underlay)上叠加二层虚拟网络(Overlay)。

2. 核心优势

  • 突破VLAN数量限制,支持1600万+租户(24bit VNI)。
  • 虚拟机迁移不受物理网络限制,可跨三层部署。
  • 适配Spine-Leaf架构,无二层环路,易扩展。
  • 园区场景可实现一网多用(办公/安防/视讯等虚拟隔离)。

3. 报文结构

外层以太头 → 外层IP头 → UDP头(目的端口4789)→ VXLAN头 → 内层以太头 → 载荷

  • VXLAN头关键:VNI(24bit)、Flags(00001000)。
  • 外层IP:源/目的为VTEP IP

三、VXLAN核心概念

1. NVE(Network Virtualization Edge)

  • 网络虚拟边缘,运行VXLAN的实体(硬件/软件交换机)。

2. VTEP(VXLAN Tunnel Endpoint)

  • VXLAN隧道端点,位于NVE中,负责封装/解封装报文。
  • 隧道建立前提:两端VTEP三层路由可达。

3. VNI与BD

  • VNI:VXLAN网络标识,类似VLAN ID,隔离租户,24bit。
  • BD(Bridge Domain):VXLAN广播域,与VNI1:1映射,同一BD内二层互通。

4. VAP(Virtual Access Point)

  • 业务接入点,两种方式:
    • 二层子接口绑定BD;
    • VLAN绑定BD。

5. Edge与Border

  • Edge:边缘接入设备,流量进入VXLAN网络。
  • Border:边界网关,连接VXLAN与外部网络。

6. 网关类型

  • 二层网关:同子网、同VXLAN内互通。
  • 三层网关:跨子网、跨VXLAN、访问外部网络。
  • VBDIF接口:基于BD创建的三层逻辑接口,类似VLANIF,用于三层转发。

7. 网关部署模式

| 模式 | 特点 | 优点 | 缺点 | |——|——|——|——| | 集中式 | 三层网关集中在一台设备 | 部署简单、便于管理 | 转发路径非最优、ARP表项瓶颈 | | 分布式 | VTEP同时是L2/L3网关 | 无ARP瓶颈、扩展性强 | 配置复杂 |

四、VXLAN工作原理

1. 隧道建立方式

  • 静态隧道:手工配置VNI、VTEP IP、头端复制列表,无控制平面。
  • 动态隧道:通过BGP EVPN自动建立,自动学习转发表项。

2. MAC地址学习

  • 传统模式:Flood and Learn(泛洪学习),依赖ARP广播。
  • 学习过程:本地VTEP学习直连MAC → 封装广播 → 远端VTEP学习远端MAC。

3. 流量转发

  1. 同子网单播:查MAC表 → VXLAN封装 → 隧道转发 → 解封装送达。
  2. BUM流量(广播/未知单播/组播):头端复制,发往所有同VNI远端VTEP。
  3. 跨子网转发:流量上送三层网关(VBDIF)→ 路由转发 → 再封装隧道。

五、BGP EVPN(VXLAN控制平面)

1. 作用

  • 解决静态VXLAN配置量大、泛洪流量大问题。
  • 实现VTEP自动发现、隧道动态建立、MAC/ARP/路由控制平面通告

2. 基础属性

  • 地址族:AFI=25(L2VPN),SAFI=70(EVPN)。
  • 携带:RD、RT(扩展团体属性),控制路由收发。

3. 关键路由类型

(1)Type 2(MAC/IP路由)

  • 用途:通告主机MAC、ARP、主机IP路由
  • 场景:同子网互访、集中/分布式网关。

(2)Type 3(Inclusive Multicast)

  • 用途:VTEP自动发现、隧道动态建立,传递VNI与VTEP IP。

(3)Type 5(IP前缀路由)

  • 用途:通告网段路由,用于访问外部网络。

4. 转发模式

(1)非对称IRB

  • 入端VTEP:L3+L2查表;出端VTEP:仅L2查表。

(2)对称IRB(主流)

  • 两端均做L3查表,引入L3 VNI与IP VPN实例,隔离三层路由。

5. 核心特性

  • ARP广播抑制:用Type 2路由预存ARP信息,替代广播。
  • 本地ARP代理:VBDIF代理响应同网段ARP,减少泛洪。
  • 分布式网关:仅维护本地ARP,删除网络侧ARP表项。
  • MAC Mobility:虚拟机迁移时,用序列号更新路由,刷新转发表。

六、园区网络虚拟化(Fabric)

1. 架构分层

  • Underlay:物理网络,提供IP连通性(OSPF/ISIS)。
  • Fabric:资源池化,解耦物理与虚拟网络。
  • Overlay:虚拟网络(VN),VXLAN+EVPN承载。

2. 网络角色

  • Border:核心,Fabric与外部互联,常作为RR(路由反射器)
  • Edge:边缘,用户接入,执行VXLAN封装。
  • Access/Transparent:接入/透传,无需支持VXLAN。

3. VN(Virtual Network)

  • 虚拟网络,对应业务(OA、RD、IoT、访客)。
  • 隔离方式:VNI+VPN实例,转发面与控制面双隔离。
  • 能力:VN内互通,VN间隔离,可访问外部网络。

4. 典型流程

  1. 搭建Underlay,IP可达。
  2. 构建Fabric,指定角色,建立BGP EVPN。
  3. 创建VN,配置网段、网关、接入点。
  4. 自动建立隧道,终端DHCP获取地址。
  5. 同子网/跨子网/访问外网正常转发。

七、基础配置(华为)

1. 核心配置步骤

  1. 创建BD 
    bridge-domain 100
  2. BD绑定VNI 
    vxlan vni 10000
  3. 创建NVE接口,配置源VTEP 
    interface Nve 1
source 1.1.1.1
  4. 配置头端复制(静态) 
    vni 10000 head-end peer-list 2.2.2.2
  5. 业务接入(子接口) 
    interface GE1/0/1.1 mode l2
encapsulation untag
bridge-domain 100
  6. 配置三层网关 
    interface Vbdif100
ip address 192.168.1.254 24

八、关键总结

  1. VXLAN是MAC in UDP的Overlay技术,解决VLAN局限。
  2. VTEP是封装解封装核心,VNI是租户隔离标识。
  3. BGP EVPN是VXLAN最优控制平面,减少泛洪、简化部署。
  4. 园区Fabric用VXLAN实现一网多用、业务隔离、灵活扩展
  5. 分布式网关+对称IRB是园区大规模部署首选方案。