一、VXLAN 数据包分析
1.1 VXLAN头
VXLAN头步有8个字节组成,第一个字节为标识位,其中标识位 I 位 志1 代表是一个合法的VXLAN的头部,其余都是保留的,所以默认为0
地 2-4个字节为保留部分,5-7个字节用来表示VNI ,大概可以标识一千6百万个VNI
第八字节同样为保留字段。1.2数据包总封装
VXLAN传输过程中,将下面网络发送过来的数据帧,先添加VXLAN头部
然后添加UDP头部 ,IP头部,最外层帧头
二、子接口不同封装类型的接口对应的处理方式
2.1 dot1q
只允许携带指定VLAN Tag的报文进入VXLAN隧道(咱们配置的)
报文进入VXLAN隧道之前的处理;
进入VXLAN隧道,之前进行剥离tag报文走出VXLAN 隧道之后的处理;
如果报文携带TAG ,则将原有的VLAN Tag 替换为指定的VLAN Tag
如果报文不带TAG ,则添加指定的VLAN Tag 再转发
对应关系----VNI—>BD域—>子接口—VID
2.2 Untag
只允许不带VLAN Tag 的报文进入VXLAN隧道
报文进入VXLAN隧道之前的处理;
不对原始报文添加任何tag
报文走出VXLAN 隧道之后的处理;
如果报文报文有VLAN Tag 那就剥离掉,在转发
2.3 Default (如果使用Default ,那么此物理口就只能启用这么一个Defaut子接口)
报文进入VXLAN隧道之前的处理;
不对报文做任何处理,也就是不添加,不替换不剥离任何tag (原汁原味)
报文走出VXLAN 隧道之后的处理;
不对报文做任何处理,也就是不添加,不替换不剥离任何tag (原汁原味)
**
三、VXLAN集中式网关
**
Vxlan L2 Getway :实现同网段流量互访的设备
Vxlan L3 Getway :实现不同VNI之间跨网段互访
通过上一章简单的VXlan配置,已经可以达到跨NVE二层互通
通过配置集中式网关,可以达到不同的VNI网络之间三层互通
3.1 配置
**CE1;**
bridge-domain 10 ;创建BD域
vxlan vni 10 ;绑定VXLAN
#
bridge-domain 20 ;创建BD域
vxlan vni 20 ;绑定VXLAN
#
interface Vbdif10 ;创建虚拟BD域接口,当做BD域的网关
ip address 192.168.1.254 255.255.255.0
#
interface Vbdif20
ip address 192.168.2.254 255.255.255.0
#
interface Nve1
source 1.1.1.1
vni 10 head-end peer-list 2.2.2.2 ;创建隧道
vni 10 head-end peer-list 3.3.3.3
vni 20 head-end peer-list 2.2.2.2
vni 20 head-end peer-list 3.3.3.3
**CE2;**
新增部分:
interface Nve1
vni 10 head-end peer-list 1.1.1.1 ;针对VNI 10与网关建立隧道
vni 20 head-end peer-list 1.1.1.1
原始部分:
bridge-domain 10
vxlan vni 10
#
bridge-domain 20
vxlan vni 20
interface GE1/0/0.10 mode l2
encapsulation dot1q vid 10
bridge-domain 10
#
interface GE1/0/0.20 mode l2
encapsulation dot1q vid 20
bridge-domain 20
interface Nve1
source 2.2.2.2
vni 10 head-end peer-list 3.3.3.3
vni 20 head-end peer-list 3.3.3.3
**CE3;**
新增部分:
interface Nve1
vni 10 head-end peer-list 1.1.1.1 ;针对VNI 10 与网关建立隧道
vni 20 head-end peer-list 1.1.1.1
原始部分:
bridge-domain 10
vxlan vni 10
#
bridge-domain 20
vxlan vni 20
#
interface GE1/0/0.10 mode l2
encapsulation dot1q vid 10
bridge-domain 10
#
interface GE1/0/0.20 mode l2
encapsulation dot1q vid 20
bridge-domain 20
#
nterface Nve1
source 3.3.3.3
vni 10 head-end peer-list 1.1.1.1
vni 20 head-end peer-list 1.1.1.13.2 数据包分析过程
NVE设备通过VXLAN隧道将跨网段数据发送给网关设备
网关设备收到后查询路由表后,根据BD域绑定的VNI 进行替换,.
然后发送给对应的VTEP(隧道)
3.3 网络虚拟化的概念
在数据中心中的网络拓扑及其复杂,但是通过VXLAN的技术,可以单独的划分出逻辑的网络拓扑
对于用户而言,只能感知到逻辑上的网络拓扑,至于物理拓扑,用户不需要知道(花钱的就是大爷)
3.4 集中式网关路由隔离
当有多个租户时,可以把网关的路由表隔离开
CE1;
ip vpn-instance 10 ;创建VPN 实例10
ipv4-family
route-distinguisher 1:1 ;配置RD值
#
interface Vbdif10
ip binding vpn-instance 10 ;绑定到VPN实例10
ip address 192.168.1.254 255.255.255.0
#
interface Vbdif20
ip binding vpn-instance 10 ;绑定到VPN实例20
ip address 192.168.2.254 255.255.255.0从而就租户的路由,和全局路由表就隔离开了
网关设备收到数据之后,根据数据包内的VNI 对应到VPN实例 查询VPN实例路由表
打上其他网段的VNI ,并进入隧道,从而达到跨网段通信的
3.5 物理机关联到 VPN实例,访问VNI中的PC
interface Vlanif30 ;创建VLANIF 30
ip binding vpn-instance 1 ;绑定到VPN实例1
ip address 192.168.3.254 255.255.255.0
#
interface GE1/0/2
undo shutdown
port default vlan 30;接口分配到vlan 303.6集中式网关上网
由于Vbdif 存在与VPN实例中,只能通过泄露的方式进行关联
**
四、l2 binding vlan
**
除了使用子接口除外还可以使用,L2 binding 的方式
命令;
l2 binding vlan命令用来将VLAN绑定到广播域BD。
system-view
vlan 10
quit
bridge-domain 10
l2 binding vlan 10注意事项
1.VLAN绑定BD后,该BD不支持创建对应的VBDIF接口。同时不支持创建该VLAN对应的VLANIF接口。
2.VLAN和BD是一一对应的关系,即:一个VLAN只能绑定到一个BD,一个BD也只能绑定一个VLAN。
3.VLAN绑定BD功能和ARP广播报文抑制功能互斥,配置VLAN为VXLAN业务接入点后,不建议再使能ARP广播报文抑制功能。
4.VLAN绑定到BD后,因为广播域切换到BD,所以VLAN内的其他业务配置(如DHCP Snooping、IGMP Snooping等)均会失效。
5.VLAN绑定BD功能和BD下的IGMP Snooping功能互斥,不可以同时配置。