1 VXLAN：云推算时期的隧路技术（二）
如图1-1所示，，，，，，这是一个典型的VXLAN组网架构图，，，，，，其选取Border/Spine/Leaf三层架构设计。。。。。。。Border Leaf作为VXLAN出口网关，，，，，，Spine作为南北向流量，，，，，，Leaf作为VXLAN散布式网关。。。。。。。VXLAN部署在Leaf与Leaf之间Border Leaf与Leaf之间。。。。。。。VXLAN在网络中是若何进行工作的，，，，，，下文中我们会具体介绍。。。。。。。VXLAN的概想介绍请拜见：/jszl/88850/。。。。。。。
图1-1    常见的数据中心VXLAN网络架构图

1.1   VXLAN工作过程
VXLAN的运行重要蕴含如下几个部门：
(1)    在设备上创建VXLAN事俘。。。。。。。
(2)    VTEP之间成立隧路，，，，，，并将隧路和VXLAN事俘关联。。。。。。。
(3)    进建MAC地址，，，，，，作为转发的凭据。。。。。。。
(4)    VTEP判断接管的MAC帧的VXLAN归属，，，，，，封装为VXLAN报文后，，，，，，凭据MAC地址的进建了局选择相宜的隧路进行转发；；；；；；；；对端VTEP则从隧路中接管报文，，，，，，并进行解封装和转发。。。。。。。
(5)    VXLAN网关对跨VXLAN子网的报文进行三层路由转发。。。。。。。
1.1.1  VXLAN隧路成立
VXLAN报文通过VXLAN隧路在两个VTEP之间传输。。。。。。。业务报文在进入隧路时进行封装，，，，，，通过Underlay网络的三层转发将封装后的报文传输给远端VTEP，，，，，，再由远端VTEP对其进行出隧路解封装处置。。。。。。。因而，，，，，，必要在VTEP之间成立VXLAN隧路。。。。。。。成立的VXLAN隧路必要关联VXLAN事俘，，，，，，能力被用于传输该VXLAN事俘的报文。。。。。。。VXLAN隧路能够通过手动或自动两种方式创建。。。。。。。手动成立VXLAN隧路称为静态VXLAN隧路，，，，，，自动成立VXLAN称为动态VXLAN隧路。。。。。。。
1.     手工成立VXLAN隧路
手工成立VXLAN隧路意味着通过VXLAN隧路传输数据的所有必要前提都必要人为配置。。。。。。。具体过程如下：
(1)    创建VXLAN隧路接口，，，，，，并指定隧路的源IP和主张IP。。。。。。。
(2)    创建VXLAN路由接口。。。。。。。
(3)    创建VXLAN事俘，，，，，，并与VXLAN隧路接口和VXLAN路由接口绑定。。。。。。。
(4)    （可选。。。。。。┦止づ渲弥斩说腁RP表和MAC地址表。。。。。。。
2.     自动成立VXLAN隧路
云推算中的数据中节点数量是重大的，，，，，，逐一手工成立VXLAN隧路险些是不成能的。。。。。。。EVPN（Ethernet Virtual Private Network，，，，，，以太网虚构专用网络）可能实现VXLAN隧路自动成立。。。。。。。
自动成立VXLAN隧路的实现过程大体如下。。。。。。。VTEP设备首先必要同其他VTEP或者IBGP路由反射器成立BGP邻居关系。。。。。。。之后，，，，，，VTEP向支持BGP-EVPN的邻居发送EVPN 3类路由（Inclusive Multicast Ethernet Tag），，，，，，EVPN 3类路由重要蕴含了VTEP信息、VNI信息和RD值。。。。。。。VTEP之间通过相互发送EVPN 3类路由，，，，，，实现VTEP发现，，，，，，并创建VXLAN隧路OverlayTunnel。。。。。。。隧路本端的地址为本机的VTEP-IP，，，，，，隧路对端的地址为通过3类路由进建到的对端的VTEP-IP。。。。。。。利用EVPN自动创建的VXLAN隧路会自动关联VXLAN事俘。。。。。。。创建VXLAN隧路后，，，，，，VTEP还将通过EVPN 2类路由（MAC/IP Advertisement Route）公告主机MAC地址、主机ARP和主机路由信息，，，，，，此部门为EVPN有关知识，，，，，，本文不作过多介绍。。。。。。。
1.1.2  若何鉴别VXLAN流量
设备鉴别接入报文所属VXLAN的方式有以下两种：
●    配置VXLAN网络事俘关联的VLAN。。。。。。。当设备在某个VLAN上接管到MAC帧时，，，，，，若是该VLAN被关联到某个VXLAN，，，，，，则设备会将接管到的MAC帧封装为VXLAN报文，，，，，，并在对应VXLAN的隧路上进行转发。。。。。。。在统一个接入设备上，，，，，，分歧的VXLAN事俘不成以关联一样的VLAN。。。。。。。当一个VLAN被VXLAN关联后，，，，，，其所有报文将被封装成VXLAN报文，，，，，，对应VLAN将无法创建SVI接口充任IP网关。。。。。。。
●    配置二层以太网子接口接入指定VXLAN网络。。。。。。。设备在二层以太网子接口接管到MAC帧后，，，，，，若是该二层以太网子接口已配置接入VXLAN网络，，，，，，则该报文归属于配置的VXLAN网络，，，，，，设备会将接管到的MAC帧封装为VXLAN报文并转发。。。。。。。二层以太网子接口支持不携带VLAN Tag封装、携带VLAN Tag封装与QinQ封装接入VXLAN网络。。。。。。。在二层以太网子接口生效的前提下，，，，，，二层以太网子接口的封装规定优先级比VXLAN事俘的关联VLAN高。。。。。。。
1.1.3  VXLAN若何进行MAC地址进建
VTEP必要进建用户的MAC地址作为VXLAN报文转发时的凭据。。。。。。。VTEP的MAC地址进建蕴含本地MAC地址进建和远端MAC地址进建。。。。。。。除此之表，，，，，，也能够手动配置MAC地址表项，，，，，，指定其所属的VLAN、接口以及VNI，，，，，，手动绑定静态MAC和静态ARP比动态进建越发不变安全。。。。。。。
1.     本地MAC地址进建
本地MAC地址进建是由转发面作为触发的，，，，，，VTEP在接管到本地主机的数据帧后，，，，，，判断该数据帧属于哪一个VXLAN事俘。。。。。。。若确定数据帧属于某个VXLAN事俘，，，，，，VTEP会将数据帧的源MAC地址增长到VXLAN事俘的MAC地址表中，，，，，，并纪录VNI和接管到数据帧的接口。。。。。。。
2.     远端MAC地址进建
远端MAC地址的进建方式凭据VXLAN隧路成立方式的分歧而有所区别。。。。。。。
●   静态VXLAN隧路
使用静态隧路配置时，，，，，，MAC表和ARP表都是通过转发面行为触发进建远端源MAC地址。。。。。。。当VTEP设备收到远端VTEP邻居发送的VXLAN报文时，，，，，，VTEP进行解封装，，，，，，还原二层数据帧。。。。。。，，，，并将VNI与内层源MAC地址（远端主机MAC地址）纪录在MAC地址表钟祝。。。。。。如图1-2所示，，，，，，VM-a与VM-c都属于VNI10，，，，，，VM-a已知VM-c的IP地址IP-c，，，，，，要求VM-c的MAC地址过程如下：
图1-2    静态隧路MAC地址动态进建

a     VM-a广播发送主张IP为IP-c的ARP要求报文。。。。。。。
b     VTEP-1收到ARP要求后，，，，，，凭据接口判断该ARP要求报文属于VNI10。。。。。。。VTEP-1进建VM-a的MAC地址（MAC-a）、VNI（VNI10）和起源端信息（Gi0/1）。。。。。。。
c     VTEP-1对该ARP要求进行VXLAN封装，，，，，，并通过VXLAN隧路泛洪给对端VTEP，，，，，，示例中为VTEP-2和VTEP-3。。。。。。。如图1-2中发送给VTEP-2的报文3，，，，，，表层源MAC地址为MAC-1，，，，，，表层主张MAC为下一跳设备的MAC地址（MAC-n），，，，，，表层源IP为VTEP-1的IP IP-1，，，，，，表层主张IP为VTEP-2的IP IP-2。。。。。。。封装后的报文通过Underlay网络转发至VTEP-2和VTEP-3。。。。。。。
d     VTEP-2和VTEP-3收到报文后进行解封装，，，，，，同时进建VM-a的MAC地址（MAC-a）、VNI（VNI10）和起源端信息（IP-1），，，，，，并纪录在VTEP本地MAC地址表钟祝。。。。。。
e     VTEP-2和VTEP-3在本地二层域内广播ARP要求。。。。。。。VM-c收到ARP要求后，，，，，，比对ARP要求的主张IP，，，，，，并单播回复ARP应答报文。。。。。。。VM-c的ARP应答报文的封装与解封装过程与VM-a的ARP要求过程类似，，，，，，VTEP-2、VTEP-1与VM-a都将进建到VM-c的MAC地址。。。。。。。

  注明
在VXLAN进行跨子网的三层通讯时，，，，，，只需进建三层网关的MAC地址，，，，，，其动态进建过程与上文一样。。。。。。。

●    通过EVPN成立动态VXLAN隧路
从逻辑架构上看，，，，，，EVPN作为VXLAN的节造面，，，，，，使VTEP能够通过自动颁布EVPN的2类路由MAC/IP Advertisement Route传递主机MAC，，，，，，从而削减VXLAN网络的流量泛洪。。。。。。。当VTEP设备进建到本地主机的MAC信息后，，，，，，能够颁布一条MAC-ONLY的2类路由，，，，，，将该MAC地址和其对应的VNI信息公告给其他VTEP邻居。。。。。。。
1.1.4  VXLAN报文若何进行转发
VXLAN的转发分为二层转发和三层转发。。。。。。。一样VNI用户之间通过VXLAN二层转发，，，，，，分歧VNI用户之间通过VXLAN三层转发。。。。。。。VXLAN三层转发必要通过VXLAN网关设备。。。。。。。
1.     VXLAN二层转发
VTEP判断MAC帧属于某个VXLAN后会将该MAC帧封装为VXLAN报文。。。。。。。VXLAN报文由UDP报文承载，，，，，，在增长IP头部后由IP网络进行传输。。。。。。。在接管方，，，，，，VTEP对VXLAN报文进行解封装得到MAC帧。。。。。。，，，，再进行转发。。。。。。。如下图所示：
图1-3    VXLAN二层转发

(1)    互换机Device1收到以太网报文，，，，，，将以太网报文封装成VXLAN报文。。。。。。。
(2)    VXLAN报文在IP主题网中进行转发，，，，，，如上图Device2对VXLAN报文进行转发。。。。。。。
(3)    Device3收到VXLAN报文，，，，，，对报文进行解封装，，，，，，在本地局域网进行二层转发。。。。。。。
下面我们以一个例子来介绍VXLAN二层转发的过程。。。。。。。如图1-4，，，，，，三个服务器通过IP网络使用VXLAN进行二层互联，，，，，，使用的VXLAN VNI为100。。。。。。。
图1-4    VXLAN二层转发拓扑示意图

以Server A向Server B发送ARP要求，，，，，，Server B回复ARP应答过程为例，，，，，，注明VXLAN的报文转发过程。。。。。。。

 注明
本章节中提到的Next Hop MAC和Last Hop MAC指的是Underlay网络传输的下一跳和上一跳MAC地址，，，，，，Next Hop MAC和Last Hop MAC在分歧图例中取值分歧。。。。。。。

图1-5    静态VXLAN隧路中Server A向Server B发送ARP要求

(1)    Server A发送ARP要求，，，，，，互换机VTEP1收到报文ARP要求的广播报文，，，，，，由于报文是广播报文，，，，，，所以必要通过隧路进行泛洪，，，，，，封装成2份单播报文别离通过隧路发送到VTEP2和VTEP3。。。。。。。
(2)    IP主题网对单播VXLAN报文进行转发。。。。。。。
图1-6    VTEP3对VXLAN报文的解封装和地址进建

(3)    VTEP3收到VXLAN报文，，，，，，将该报文解封装成以太网报文并进行VXLAN地址进建（VNI为100，，，，，，MAC地址为0000.0000.0001，，，，，，VTEP IP地址为192.168.1.100），，，，，，解封装后的报文广播泛洪至Server C。。。。。。。
图1-7    VTEP2对VXLAN报文的解封装和地址进建

(4)    VTEP2收到VXLAN报文，，，，，，将报文解封装成以太网报文，，，，，，对以太网报文网进行地址进建（VNI为100，，，，，，MAC地址为0000.0000.0001，，，，，，VTEP IP地址为192.168.1.100）并转发，，，，，，Server B收到ARP要求并应答。。。。。。。
图1-8    VTEP2查找地址表，，，，，，互换机封装报文为单播VXLAN报文

(5)    VTEP2收到Server B发送的ARP应答报文，，，，，，查找地址表，，，，，，得到出口主张为IP 192.168.1.100地址。。。。。。。互换机将报文封装成发往互换机192.168.1.100的单播VXLAN报文，，，，，，表层源IP为192.168.2.100。。。。。。。
图1-9    VTEP1收到VXLAN报文，，，，，，解封装并进行地址进建

(6)    IP主题网对VXLAN报文进行转发
(7)    VTEP1收到Server B的ARP应答VXLAN封装报文，，，，，，将报文解封装成以太网报文，，，，，，进行地址进建（VNI为100，，，，，，MAC地址为0000.0000.0002，，，，，，IP地址为192.168.2.100）和转发，，，，，，Server A收到ARP应答。。。。。。。

 注明
Server A获取到Server B的MAC地址后，，，，，，将以单播的大局与Server B进行交互，，，，，，其过程与Server B回复ARP应答过程类似，，，，，，此处不再赘述。。。。。。。

2.     VXLAN三层转发
若是要为VXLAN站点内的虚构机提供三层业务，，，，，，则必要在网络中部署VXLAN网关，，，，，，以便站点内的虚构机通过VXLAN网关与表界网络或其他VXLAN网络内的虚构机进行三层通讯。。。。。。。VXLAN的网关类型分为集中式网关和散布式网关，，，，，，具体介绍请拜见1.2   VXLAN路由部署类型。。。。。。。本章节将以集中式网关介绍VXLAN三层转发过程。。。。。。。

 注明
本章节中提到的NH MAC（Next Hop MAC，，，，，，下一跳MAC地址）指的是Underlay网络传输的下一跳MAC地址，，，，，，NH MAC在分歧图例中取值分歧。。。。。。。

?    VXLAN内分歧VNI用户之间的三层转发
如图1-10所示，，，，，，VTEP-1和VTEP-2掌管VXLAN二层转发，，，，，，VTEP-3作为VXLAN网关设备，，，，，，掌管路由转发。。。。。。。VTEP-1与VTEP-3成立1个VNI10隧路，，，，，，VTEP-2与VTEP-3成立1个VNI20隧路。。。。。。。
VTEP之间已经通过EVPN实现MAC和ARP信息同步。。。。。。。各设备已有的ARP和MAC表项请参考表1-1、表1-2和表1-3。。。。。。。

VM-a与VM-b进行通讯的过程如下：
图1-10    VM-a要求网关MAC地址

a     由于VM-a和VM-b属于分歧网段，，，，，，VM-a通过广播ARP报文要求网关IP-3的MAC地址。。。。。。。
b     VTEP-1收到来自VM-a的ARP报文，，，，，，封装VXLAN头（VNI 10）后通过隧路发送到VTEP-3。。。。。。。
c     VTEP-3对报文进行解封装，，，，，，发现是VM-a通过ARP要求自身的MAC地址，，，，，，因而回复ARP应答报文，，，，，，报文中携带IP-3的MAC地址MAC-3，，，，，，封装VXLAN（VNI 10）后发往VTEP-1。。。。。。。
d     VTEP-1收到封装为VXLAN（VNI 10）报文的ARP报文，，，，，，解封装后凭据MAC表项发往VM-a。。。。。。。
图1-11    VXLAN内虚构机间ICMP要求转发

e     VM-a进建到ARP信息后，，，，，，向VM-b发送ICMP报文。。。。。。。由于二者是跨网段通讯，，，，，，所以报文的主张MAC为网关VTEP-3的MAC-3。。。。。。。
f     ICMP要求报文达到VTEP-1，，，，，，进行二层地址表查找，，，，，，匹配地址表MAC-3+VNI10+出口为远端隧路IP-3，，，，，，则VTEP-1对报文进行VXLAN封装发往VTEP-3，，，，，，内层报文不变，，，，，，表层主张MAC为路由表中主张为IP-3的下一跳MAC地址。。。。。。。
g     VTEP-3收到VXLAN封装报文，，，，，，进行VXLAN解封装，，，，，，得到内层报文。。。。。。。
h     VTEP-3是网关设备，，，，，，解封装后的内层报文触发三层转发，，，，，，匹配路由表出口为远端隧路IP-2。。。。。。。则VTEP-3进行路由VXLAN封装转发，，，，，，内层报文主张MAC代替成MAC-b，，，，，，表层VNI为VNI10。。。。。。。
i     VXLAN封装报文达到VTEP-2，，，，，，进行VXLAN解封装，，，，，，得到内层报文进行二层单播直接转发给VM-b。。。。。。。
图1-12    VXLAN内虚构机间ICMP应答转发

j     VM-b收到ICMP要求报文，，，，，，判断是发给本端的，，，，，，则进行ICMP应答，，，，，，发出ICMP应答报文。。。。。。。
k     ICMP应答报文达到VTEP-2，，，，，，进行二层单播VXLAN封装转发。。。。。。。
l     VTEP-3收到VXLAN封装报文，，，，，，进行VXLAN解封装，，，，，，得到内层报文。。。。。。。
m     VTEP-3是网关设备，，，，，，解封装后的内层报文触发三层转发，，，，，，匹配路由表出口是远端隧路IP-1，，，，，，进行路由VXLAN封装转发，，，，，，内层报文主张MAC代替为MAC-a，，，，，，表层VNI为VNI10。。。。。。。
n     VXLAN封装报文达到VTEP-1，，，，，，进行VXLAN解封装，，，，，，得到内层报文进行二层单播直接转发给VM-a。。。。。。。VM-a收到报文后，，，，，，判断是给本端的，，，，，，则显示ping通。。。。。。。
?    VXLAN内用户和VXLAN表用户的通讯
VXLAN内部用户与VXLAN表部用户通讯必要通过VXLAN网关设备，，，，，，表部的Underlay网络通过VXLAN网关与虚构化Overlay网络相连。。。。。。。VXLAN网关的Overlay路由表中导入Underlay网络路由表，，，，，，使得在VTEP间通过Overlay网络进行通讯转发。。。。。。。VXLAN内部用户和VXLAN表部用户通讯过程与VXLAN内三层通讯过程类似，，，，，，差距在于VXLAN网关在收到内部对表通讯流量时，，，，，，是往Internet转发，，，，，，故此处不再对转发过程赘述。。。。。。。
1.2   VXLAN路由部署类型
当前VXLAN路由重要有两种部署大局，，，，，，一种是面向幼规模的数据中心的集中式VXLAN网关部署，，，，，，另一种是面向大规模的数据中心的散布式VXLAN网关部署。。。。。。。
1.2.1  集中式网关
如图1-13所示，，，，，，VXLAN网关均集中部署在主题设备，，，，，，跨VNI的流量都必须经过主题设备的VXLAN网关转发。。。。。。。主题设备必要进建拓扑中所有虚构机的MAC地址和ARP信息。。。。。。。所有接入设备只进行VXLAN二层转发，，，，，，不进行VXLAN流量的跨VNI转发。。。。。。。
●     利益：跨子网流量集中治理，，，，，，便于治理员对跨子网流量进行监控和配置安全战术。。。。。。。
●     弊端：同网关下的跨子网通讯存在绕行，，，，，，主题网关存在转发机能瓶颈；；；；；；；；主题网关必要进建所有虚机的MAC地址和ARP表项，，，，，，存在MAC地址表项和ARP表项容量瓶颈。。。。。。。
●     场景：适合幼规模的数据中心。。。。。。。
图1-13    集中式网关流量走向图

1.2.2  散布式网关
如所示，，，，，，布式网关部署方式中，，，，，，每台VTEP都是本地直连虚构机的网关，，，，，，因而跨VNI的流量无需在集中式网关处绕杏祝。。。。。。这种方式既能够保障蹊径最优，，，，，，又能够缓解集中式网关设备流量转发的压力。。。。。。。散布式网关部署方式分为非对称网关和对称网关。。。。。。。
图1-14    散布式网关流量走向图

1.     散布式非对称网关 
数据报文在跨VNI转发过程中只在入口VTEP查找路由，，，，，，并凭据主张端主机所属的VNI进行封装转发。。。。。。。每个VTEP配置VXLAN网络中所有VNI，，，，，，以保障VXLAN网络中所有VNI之间相互可达。。。。。。。如图1-15所示，，，，，，VTEP 1下没有VNI B的主机，，，，，，但是为了保障Host 1能与Host 2进行三层通讯，，，，，，VTEP 1下也必要创建VNI B。。。。。。。同理，，，，，，如图1-16VTEP 2下也必要创建 VNI A。。。。。。。VTEP同时做VXLAN桥和VXLAN路由转发，，，，，，VTEP必要进建所有VNI下的终端主机ARP和地址表项，，，，，，蕴含不在本地的终端主机，，，，，，所以散布式非对称网关的拓展性欠安。。。。。。。
●     利益：非对称网关组网在转发报文时蹊径是最优的，，，，，，并支持虚构机的无缝迁徙。。。。。。。
●     弊端：VTEP必要配置本地网络中不存在的VNI信息，，，，，，必要进建非本地终端主机的MAC地址和ARP信息，，，，，，扩大性欠安。。。。。。。
●     场景：适合中幼型数据中心。。。。。。。
图1-15    散布式非对称网关发送流量

图1-16    散布式非对称网关应答流量

2.     散布式对称网关
散布式对称网关引入了一个L3VNI的概想，，，，，，L3VNI掌管VTEP所有三层流量的转发。。。。。。。如图1-17所示，，，，，，虚构机的三层流量会在直接衔接的VTEP上触发一次三层转发，，，，，，而后封装成VXLAN报文达到对端VTEP后解封装再次触发三层转发，，，，，，相比非对称网关，，，，，，在整体上看起来是对称的，，，，，，因而称之为VXLAN对称网关。。。。。。。
部署散布式对称网关时，，，，，，若是统一个VNI转发，，，，，，则在入口VTEP上做VXLAN二层转发；；；；；；；；若是是跨网段的通讯，，，，，，在入口VTEP路由到L3VNI，，，，，，再在主张VTEP设备上凭据内层IP路由到终端。。。。。。。这种模式下，，，，，，入口的VTEP不必要配置主张端设备的VNI信息，，，，，，因而不必要进建远端终端的MAC和ARP信息，，，，，，削减了MAC地址表和ARP邻接表的亏损。。。。。。。
●     利益：转发报文时蹊径是最优的，，，，，，减轻了VTEP设备的MAC地址表容量压力，，，，，，具备更好的扩大性。。。。。。。
●     弊端：虚构机的无缝迁徙因VTEP单边部署VNI会受到肯定限度。。。。。。。
●    场景：合用于中大型数据中心。。。。。。。
图1-17    散布式对称网关流量走向图
 

1.3   VXLAN典型组网利用
VXLAN的典型组网利用及在全发国际设备上的配置指南请进入全发国际文档中心，，，，，，选择互换机或者路由器分类，，，，，，选择对应产品型号后，，，，，，打开配置调测中的配置指南，，，，，，进入“数据中心配置指南-VXLAN配置-典型配置举例章节”进行阅读。。。。。。。

有关链接

基于EVPN的散布式VXLAN实现规划

VXLAN：云推算时期的隧路技术（一）

什么是数据中心VXLAN Overlay网络