产品维护经理认证体系教材VXLANISIS技术课件.ppt

《产品维护经理认证体系教材VXLANISIS技术课件.ppt》由会员分享，可在线阅读，更多相关《产品维护经理认证体系教材VXLANISIS技术课件.ppt（49页珍藏版）》请在三一办公上搜索。

1、VXLAN IS-IS,培训提纲,VXLAN简介VXLAN原理VXLAN增强特性配置举例,VXLAN简介-起源背景,在云计算的多租户环境中，每个租户都需要分配一个能够与其它逻辑网络进行很好隔离的逻辑网络。逻辑网络的隔离一般通过VLAN技术来解决。在IEEE802.1Q标准中，由于VLAN的标识最大12bit，所以一定范围内最大的VLAN个数只有4K。随着云环境下的多租户需求越来越多，4K个VLAN已经不能满足数据中心大规模网络部署的需求。另外，在云计算环境中，工作负载经常需要在多个数据中心和多个云平台中进行迁移，而当前基于IP子网的区域划分限制了二层连通性的应用。,VXLAN简介-封装,VXL

2、AN（Virtual eXtensible LAN，可扩展虚拟局域网络）是基于IP网络、采用“MAC in UDP”封装形式的二层VPN技术。VXLAN可以基于已有的服务提供商或企业IP网络，为分散的物理站点提供二层互联，并能够为不同的租户提供业务隔离。VXLAN主要应用于数据中心网络。,VXLAN简介-技术特点,VXLAN具有如下特点：支持大量的租户：使用24位的标识符，最多可支持2的24次方（16777216）个VXLAN，支持的租户数目大规模增加，解决了传统二层网络VLAN资源不足的问题。易于维护：基于IP网络组建大二层网络，使得网络部署和维护更加容易，并且可以充分地利用现有的IP网络技

3、术，例如利用等价路由进行负载分担等；只有IP核心网络的边缘设备需要进行VXLAN处理，网络中间设备只需根据IP头转发报文，降低了网络部署的难度和费用。,VXLAN简介-典型应用,VXLAN 网络模型：,培训提纲,VXLAN简介VXLAN原理VXLAN增强特性配置举例,VXLAN基本术语,VXLAN网络标识符,RFC草案所描述的VXLAN标准使用一个名为VXLAN网络标识符（VNI）的24位标识符，将与应用程序关联的VLAN分组到一个片段中。每一个管理域能够定义多达1600万个VNI，而每一个VNI可能最多包含4,094个VLAN。客户数据会保证分离，因为只有运行在同一个VNI的VM可以进行通信

4、。,VXLAN报文结构,VXLAN报文的封装格式为：在原始二层数据帧外添加8字节VXLAN头、8字节UDP头和20字节IP头。其中，UDP头的目的端口号为VXLAN UDP端口号（缺省为4789）。VXLAN头主要包括两部分：Flags：“I”位为1时，表示VXLAN头中的VXLAN ID有效；为0，表示VXLAN ID无效。Flags字段的其他位保留未用，设置为0。VXLAN ID：用来标识一个VXLAN网络，长度为24比特。,VXLAN隧道类型-静态单播隧道,VXLAN类型的隧道有三种类型：静态单播隧道、动态单播隧道和组播隧道。静态单播隧道：顾名思义，这是一种用户手工配置的隧道，需要用户指

5、定明确的目的地址和源地址，只要目的地址在fib表里面存在，隧道就可以UP。这种隧道可以转发各种类型用户报文：已知单播、未知单播、广播和组播报文。,interface Tunnel3 mode vxlan source 1.1.1.1 destination 2.2.2.2,VXLAN隧道类型-动态单播隧道,VXLAN类型的隧道有三种类型：静态单播隧道、动态单播隧道和组播隧道。动态单播隧道：这种隧道使用ENDP（EVI Neighbor Discovery Protocol）协议自动创建。使用ENDP协议自动建立VXLAN隧道，包含两个角色：ENDS和ENDC。基本原理：ENDS通过接收ENDC

6、的注册报文来学习ENDC的信息，同时通过注册应答报文向ENDC发布同一个网络域中所有ENDC的信息。ENDC收到应答报文后，与同一个网络域的每个ENDC建立VXLAN隧道。,interface Tunnel0 mode nve source LoopBack0 network-id 1 vxlan neighbor-discovery client enable 3.3.3.3,VXLAN隧道类型-组播隧道,VXLAN类型的隧道有三种类型：静态单播隧道、动态单播隧道和组播隧道。组播隧道：在VXLAN下配置组播地址和源接口IP，源接口使能IGMP Host功能，中间设备使能PIM协议，其他设备如

7、果也配置了相同的组播地址就会加入相同的（*，G），从而联通各个VXLAN。不同VXLAN下配置相同的组播地址，那么源地址配置也必须相同，即相同的组播地址只创建一条组播隧道。组播隧道不能运行VXLAN IS-IS，同时VXLAN通过组播隧道发送数据后，远端VTEP接收组播报文必须基于VXLAN单播隧道，由此VTEP上必须配置对应的单播隧道用于接收组播VXLAN报文。,vsi 1 vxlan 1 group 224.1.1.1 source 1.1.1.1,interface FortyGigE10/0/7 port link-mode route ip address 1.1.1.1 255.2

8、55.255.0 igmp host enable,interface Tunnel3 mode vxlan source 1.1.1.1 destination 2.2.2.2,隧道加入VXLAN的方式-手工加入,隧道加入VXLAN方式有两种：手工加入和自动加入。手工加入：这种方式针对静态单播和动态组播隧道，用户需要在VXLAN视图下使用命令配置的方式将这两种隧道加入VXLAN。,HPdisplay vxlan tunnel Total number of VXLANs:1 VXLAN ID:1,VSI name:1,Total tunnels:1(1 up,0 down)Tunnel na

9、me Link ID State Type Tunnel1 0 x5000001 Up Manual,vsi 1 vxlan 1 tunnel 1,隧道加入VXLAN的方式-自动加入,隧道加入VXLAN方式有两种：手工加入和自动加入。自动加入：这种方式针对动态单播隧道，依赖Overlay ISIS协议：配置VXLAN的VTEP之间存在单播隧道，在这个隧道上发送ISIS Hello报文，建立ISIS邻居，通过ISIS的LSP报文携带各自的VXLAN ID信息，提取VXLAN ID的交集，交集中的每一个VXLAN和当前隧道自动进行绑定。,HPdisplay vxlan tunnel Total n

10、umber of VXLANs:1 VXLAN ID:1,VSI name:1,Total tunnels:1(1 up,0 down)Tunnel name Link ID State Type Tunnel1 0 x5000001 Up Auto HP,vxlan-isis negotiate-vni enable mac-synchronization enable,VXLAN MAC表项-流量触发学习,VXLAN的MAC表来源有两个：静态配置与动态学习。动态学习：动态学习分为流量触发的MAC学习和ISIS协议通告MAC学习两种。对流量触发的动态学习有两个方向，一个方向为对AC侧上来的用

11、户报文源MAC进行学习；一个方向为隧道侧进来的VXLAN报文，解封装以后，对用户报文源MAC进行学习。,interface Ten-GigabitEthernet10/0/25:3 port link-mode bridge service-instance 1 encapsulation untagged xconnect vsi 1,HPdis l2vpn mac-address MAC Address State VSI Name Link ID/Name Aging 0000-0000-0001 Dynamic 1 0 Aging-1 mac address(es)found-,H3C

12、display l2vpn mac-address MAC Address State VSI Name Link ID/Name Aging 0000-0000-0001 Dynamic 1 Tunnel1 Aging-1 mac address(es)found-,VXLAN MAC表项-ISIS协议学习,VXLAN的MAC表来源有两个：静态配置与动态学习。动态学习：ISIS协议通告MAC学习。VXLAN ISIS MAC同步功能打开以后，ISIS协议就会将本地学习到的MAC同步给远端VTEP，这样，每个站点都可以获取到其他站点的MAC地址信息，从而达到MAC学习的目的。,vxlan-is

13、is negotiate-vni enable mac-synchronization enable,HPdis vxlan isis local-mac dynamic VXLAN ID:1 MAC address:0000-0000-0001 HP,VXLAN MAC表项-ISIS协议学习,VXLAN的MAC表来源有两个：静态配置与动态学习。动态学习：ISIS协议通告MAC学习。VXLAN ISIS MAC同步功能打开以后，ISIS协议就会将本地学习到的MAC同步给远端VTEP，这样，每个站点都可以获取到其他站点的MAC地址信息，从而达到MAC学习的目的。,H3Cdis vxlan isi

14、s remote-mac MAC Flags:C-MAC conflict with local dynamic MAC F-MAC has been flushed to the remote MAC address table A-Active MAC for Tunnel interface can forward traffic to the MAC VXLAN ID:1 MAC address:0000-0000-0001 Interface:Tunnel1 Flags:AF,H3Cdis l2vpn mac-address MAC Address State VSI Name Li

15、nk ID/Name Aging 0000-0000-0001 Static 1 Tunnel1 Aging-1 mac address(es)found-H3C,VXLAN MAC表项-静态配置,VXLAN的MAC表来源有两个：静态配置与动态学习。静态配置：用户通过命令行静态配置一个MAC，指定VSI和VXLAN隧道，配置以后，指定VSI AC侧上来的用户报文，命中该MAC就会固定走配置的VXLAN隧道。,HPmac-address static 0-0-1 interface Tunnel 1 vsi 1 HPdisplay l2vpn mac-address MAC Address St

16、ate VSI Name Link ID/Name Aging 0000-0000-0001 Static 1 Tunnel1 NotAging-1 mac address(es)found-HP,VXLAN转发流程-站点内流量,对于站点内流量，VTEP通过以太网服务实例判断出报文所属的VSI后，根据目的MAC地址查找该VSI的MAC地址表，从相应的本地接口转发给目的VM。,VXLAN转发流程-站点间流量,对于站点间流量，VTEP通过以太网服务实例判断出报文所属的VSI后，根据目的MAC地址查找该VSI的MAC地址表，查找到出接口为Tunnel隧道接口后进行VXLAN封装，将封装好的报文通过V

17、XLAN隧道Tunnel1、经由P设备发送给VTEP 2。,VXLAN转发流程-泛洪流量1,泛洪流量包括组播、广播和未知单播流量。根据复制方式的不同，流量泛洪方式分为单播路由方式（头端复制）和组播路由方式（核心复制）两种。在单播路由方式下，VTEP负责复制报文，采用单播方式将复制后的报文通过本地接口发送给本地站点，并通过VXLAN隧道发送给VXLAN内的所有远端VTEP。,VXLAN转发流程-泛洪流量2,组播路由方式（核心复制）：数据中心网络中需要通过IP核心网络进行二层互联的站点较多时，采用组播路由方式可以节省泛洪流量对核心网络带宽资源的占用。,培训提纲,VXLAN简介VXLAN原理VXLA

18、N增强配置举例,VXLAN IS-IS简介,为了简化VXLAN特性的配置量，VXLAN使用IS-IS动态协商交互VXLAN ID信息，把Tunnel和VXLAN的绑定关系下刷给L2VPN模块，VXLAN ISIS作为VXLAN整体特性的一个子模块，除了实现动态协商两端VTEP的VXLAN信息外，还可以进行交互学习远端MAC。VXLAN学习MAC的机制是基于默认情况下对未知单播进行泛洪处理。为了减少这种流量的泛洪节省带宽资源，通过VXLAN IS-IS协议对MAC进行传递建立MAC转发表项，这样就可关闭VXLAN的泛洪机制大大节约了带宽资源。,VXLAN IS-IS基本术语,VXLAN IS-I

19、S协议位置与报文类型,VXLAN IS-IS协议为我司私有协议，所有PDU（包括Hello、LSP、SNP报文）均封装在UDP中。,VXLAN IS-IS协议报文有4种：Hello、LSP、CSNP、PSNP。,1、Hello报文用于建立维护VXLAN-ISIS邻居；2、LSP报文的全称是链路状态报文，主要负责传递可达前缀信息（MAC表项）；3、CSNP报文的全称是完全序列号报文，报文中记录了本地LSDB 库中所有LSP的摘要，用于LSDB的同步；4、PSNP报文用于请求最新与丢失的LSP。,VXLAN IS-IS邻居建立,VXLAN IS-IS系统邻接关系的建立是通过发送Hello报文完成的

20、，所有协议报文包括Hello报文均承载在VXLAN隧道上，包括VXLAN自动隧道和静态隧道，组播隧道不支持。当用户配置了MAC同步或者VNI协商功能后系统启动VXLAN IS-IS并自动使能添加VXLAN隧道为协议端口开始发送协议报文。,#vxlan-isis negotiate-vni enable mac-synchronization enable#,HPdisplay vxlan isis brief Network-entity:00.4431.9234.5f3c.0000 LSP-length receive:1400 LSP-length originate:1400 Timer

21、s:LSP-max-age:1200s LSP-refresh:900s State:Enable,VXLAN IS-IS邻居建立,VXLAN IS-IS邻居建立过程,SysId:1 MAC:A,VTEP1,VTEP2,SysId:2 MAC:B,IIH(SsyId:1,Neighbor:NULL),创建邻居:INT,IIH(SsyId:1,Neighbor:B),通过2-way:UP,创建邻居:INT通过2-way:UP,IIH(SsyId:2,Neighbor:A),Hello定时器,不区分Level，VXLAN IS-IS隧道接口只有一个HELLO定时器。动态隧道定时器不能配置将继承NV

22、E隧道参数。DED发送Hello报文的时间间隔是普通ED的1/3，这样可以保证DED失效可以被快速检测到。,interface Tunnel0 mode nve overlay isis timer hello 100 source LoopBack0 network-id 1 vxlan neighbor-discovery client enable 3.3.3.3,DED（Designated ED）,在VXLAN IS-IS中，VTEP间运行IS-IS和路由器运行三层IS-IS的效果一致，简化了拓扑，同时被选为DED的接口周期性发布CSNP用于同步网络上的LSDB库。,DED,DED选

23、举,在VXLAN IS-IS协议中按照以下规则进行DED选举：1、根据VXLAN IS-IS Hello报文选举DED，具备最高优先级的ED会当选；2、如果所有VTEP的优先级相同，则最高MAC地址者当选。3、当一个VTEP的VXLAN IS-IS交互被使能时，等待两个Hello报文间隔时间后才开始进行选举。UP状态的邻居参加DED的选举；如果没有UP状态的邻居，VTEP识别自身为DED；4、当VTEP长时间没有收到DED的Hello时，将重新进行DED的选举。,DED与伪节点,伪节点由DED产生，和本网络中的所有路由器建立邻接。DED的作用：减少LSDB的大小在链路中创建并向所有路由器通告伪

24、节点LSP,链路状态数据单元LSP,LSP（Link State PDU）报文的全称是链路状态报文，主要负责传递可达前缀信息（MAC表项）。LSP报文记录了各类TLV信息，包括邻居TLV、区域地址TLV、协议支持TLV、VXLAN TLV等。,唯一标识一个LSP的三要素：system-ID(产生该LSP的结点或伪结点的SysID)；Pseudonode ID：对普通LSP为0；对Pseudonode LSP非0，这是区分一个LSP是否是伪结点产生的标志；LSP number：分片号(产生的LSP大于LSP MTU将分片)举例：4900.4900.4900(system-id).0000（PSN

25、 ID）-01（分片号）,LSP更新,LSP实例用LSP-ID 序列号、校验和、剩余时间标识，比较lsp实例的新旧时比较这几个值，比较原则按重要性排列如下：如果比较的LSP信息在本地不存在，则收到的LSP信息新；序列号使用规则：数值越大代表LSP越新；剩余生存时间判断规则：剩余生存时间为零的为最新；校验和比较规则：校验和的值越大代表LSP越新。,HPdis vxlan isis lsdb Link state database information for VXLAN ISIS(Tunnel 1)LSP ID Seq num Checksum Holdtime Length Overload

26、-4431.9234.59f4.0000-00 0 x000002cb 0 xfca1 861 55 0 4431.9234.5f3c.0000-00*0 x0000013e 0 x3df8 605 74 0 4431.9234.5f3c.0002-00*0 x0000012a 0 x125 862 57 0,LSP生存时间,LSP Remaining lifetime LSP最大剩余生存时间（默认1200s）当一个新的LSP产生时，最大剩余生存时间会设置为LSP最大生存时间（LSP Max age），开始递减LSP refresh interval是LSP周期发布的时间间隔（默认900s）,

27、LSP生存时间,需要注意的是路由器产生的第一条LSP序列号从1开始，如果序列号到达最大值，则VXLAN IS-IS进程失效21分钟（LSP Maxage+ZeroAgeLifetime），路由器不接收、不发送任何报文，不刷新LSP当没有收到周期的LSP更新时，最大剩余生存时间会一直递减，减至0后，会再经历60s的零寿命生存时间（ZeroAgeLifetime）再将LSP彻底清除，因此我们需要明确的是LSP的存活时间应该是：LSP Max age Zero Age Lifetime,数据库同步-CSNP,CSNP报文CSNP报文的全称是完全序列号报文，报文中记录了本地LSDB库中从0000.00

28、00.0000.00.00到FFFF.FFFF.FFFF.FF.FF的所有LSP摘要。由于CSNP报文中记录了所有LSP的摘要信息，所以当一个VTEP系统收到一个CSNP报文时，就会与LSDB中的LSP摘要相比较，检查LSDB中的LSP是否是老化的、缺失的或对端有老化的、缺失的，达到LSDB同步的目的。由DED周期性发送CSNP报文。,数据库同步-PSNP,PSNP报文PSNP报文的全称是部分序列号报文，在VXLAN IS-IS中主要用于请求，请求最新LSP或丢失的LSP，报文中只记录了用于请求的LSP摘要。当PSNP用于请求报文时，LSP摘要的序列号字段的值为0，或与本地LSDB中LSP摘要

29、序列号的值一样。,数据库同步-同步过程,VTEP1与VTEP2的链路上VTEP2为DED，VTEP2上在某条链路上发送CSNP报文时，只发送本地LSP与该链路上对应邻居的LSP摘要，即向VTEP1发送CNSP时不发送VTEP3产生LSP的摘要。VTEP1与VTEP3的LSP同步则由VTEP1与VTEP3直接同步，若VTEP1与VTEP3之间不存在邻居关系，则VTEP1上无法同步到VTEP3的LSP信息。VXLAN站点能同步到的只有与之形成了邻居关系VTEP的LSP以及邻居虚系统的LSP信息。,VNI协商与隧道绑定1,VTEP之间交互VXLAN ID信息的目的是为了动态协商出本地VTEP的VXL

30、AN和Tunnel Link的关系，简化VXLAN的配置量。由于VXLAN的量可能会比较多，因此使用ISIS的LSP报文进行交互协商，使用现有的ISIS报文交互机制可以达到VTEP之间LSDB的数据同步，并且增量变化的VXLAN只需要发送VXLAN所在的LSP分片。,HPdisplay vxlan isis lsdb lo v Link state database information for VXLAN ISIS(Tunnel 1)LSP ID:4431.9234.5f3c.0000-00*Sequence number:0 x00000144 Checksum:0 x31fe Hold

31、time:1095s Length:74 Overload:0 Source:4431.9234.5f3c.0000 Neighbour ID:4431.9234.5f3c.0002,Cost:10 VXLANs:VXLAN ID:1 VXLAN ID:2,VNI协商与隧道绑定2,同步到邻居VTEP的LSDB后，获取到邻居支持的VXLAN信息，与本地支持的取交集协商出双方均支持的VXLAN并绑定相应邻居的VXLAN隧道。,HPdisplay vxlan isis tunnel Tunnel1 MTU:1400 DED:Yes DED priority:64 Hello timer:100s H

32、ello multiplier:3 CSNP timer:10s LSP timer:100ms Max LSP transmit number:5 VXLANs:1 HP,HPdisplay vxlan isis remote-vxlan VXLAN Flags:S-VXLAN supported at the local end F-Association between VXLAN and Tunnels has been flushed to L2VPN VXLAN ID:1 Flags:FS Tunnel:1,本地MAC维护与发布1,MAC地址的种类有下面几种：动态MAC：动态学习到

33、的MAC地址信息，最为常用。静态MAC：配置静态MAC，出接口为VXLAN Tunnel。泛洪MAC：配置生成，允许这些目的MAC的报文泛洪到核心网。远端MAC：VTEP学习到的远端ED通告的远端站点的MAC地址信息。黑洞MAC：配置生成，匹配源/目的后丢弃报文，不对外发布。,动态MAC,静态MAC,泛洪MAC,本地MAC维护,静态配置,动态学习,动态MAC,对外发布,黑洞MAC,本地MAC维护与发布2,VXLAN IS-IS对外发布的LSP中的MAC地址，实际上只有与tunnel绑定的VXLAN上的MAC地址。,HPdisplay l2vpn mac-address MAC Address

34、State VSI Name Link ID/Name Aging 0000-0000-0001 Dynamic 1 0 Aging-1 mac address(es)found-HP HPdis vxlan isis local-mac dynamic VXLAN ID:1 MAC address:0000-0000-0001 HPHPdisplay vxlan tunnel Total number of VXLANs:2 VXLAN ID:1,VSI name:1,Total tunnels:1(1 up,0 down)Tunnel name Link ID State Type Tun

35、nel1 0 x5000001 Up Auto,HPdisplay vxlan isis lsdb local verbose Link state database information for VXLAN ISIS(Tunnel 1)LSP ID:4431.9234.5f3c.0000-00*Sequence number:0 x00000145 Checksum:0 x2fff Holdtime:1023s Length:74 Overload:0 Source:4431.9234.5f3c.0000 Neighbour ID:4431.9234.5f3c.0002,Cost:10 V

36、XLANs:VXLAN ID:1 VXLAN ID:2 MAC addresses:VXLAN ID:1 Confidence:1 0000-0000-0001,远端MAC学习,VTEP交互MAC信息的最终目的就是为目的地址不在本VTEP的报文查找到其他VTEP的单播路由。VTEP的MAC地址由通过隧道传递的LSP报文带给对方，并下刷数据平面，从而实现VTEP间的转发路径的建立。,H3Cdis vxlan isis remote-mac MAC Flags:C-MAC conflict with local dynamic MAC F-MAC has been flushed to the r

37、emote MAC address table A-Active MAC for Tunnel interface can forward traffic to the MAC VXLAN ID:1 MAC address:0000-0000-0001 Interface:Tunnel1 学习远端MAC Flags:AFH3C-probedisplay system internal overlay mac-address MAC address Vsi name Interface Type 0000-0000-0001 1 Tunnel1 protocol-learned 远端MAC下内核

38、H3C-probeH3Cdis l2vpn mac-address MAC Address State VSI Name Link ID/Name Aging 0000-0000-0001 Static 1 Tunnel1 Aging 内核下驱动-1 mac address(es)found-H3C,培训提纲,VXLAN简介VXLAN原理VXLAN增强特性配置举例,配置举例,VXLAN IS-IS配置要点：1、全局配置预留VXLAN V，VXLAN IS-IS协议使用。2、配置静态或者动态VXLAN隧道。3、使能MAC同步或者VNI协商功能触发进程使能。,Eth0/0/2,Eth0/0/2,V

39、XLAN Tunnel,VTEP1,VTEP2,H3Creserved vxlan 1000,interface Tunnel0 mode nve source LoopBack0 network-id 1 vxlan neighbor-discovery client enable 3.3.3.3,vxlan-isis negotiate-vni enable mac-synchronization enable,H3Cdisplay vxlan isis peer System ID:4431.9234.5f3c Link interface:Tunnel1 Circuit ID:4431.9234.5f3c.0002 State:Up Hold time:81s Neighbour DED priority:64 Uptime:43:15:40 H3C,科技成就未来,