一、VXLAN 数据包分析
1.1 VXLAN头
VXLAN头步有8个字节组成,第一个字节为标识位,其中标识位 I 位 志1 代表是一个合法的VXLAN的头部,其余都是保留的,所以默认为0
地 2-4个字节为保留部分,5-7个字节用来表示VNI ,大概可以标识一千6百万个VNI
第八字节同样为保留字段。
1.2数据包总封装
VXLAN传输过程中,将下面网络发送过来的数据帧,先添加VXLAN头部
然后添加UDP头部 ,IP头部,最外层帧头
二、子接口不同封装类型的接口对应的处理方式
2.1 dot1q
只允许携带指定VLAN Tag的报文进入VXLAN隧道(咱们配置的)
报文进入VXLAN隧道之前的处理;
进入VXLAN隧道,之前进行剥离tag
报文走出VXLAN 隧道之后的处理;
如果报文携带TAG ,则将原有的VLAN Tag 替换为指定的VLAN Tag
如果报文不带TAG ,则添加指定的VLAN Tag 再转发
对应关系----VNI—>BD域—>子接口—VID
2.2 Untag
只允许不带VLAN Tag 的报文进入VXLAN隧道
报文进入VXLAN隧道之前的处理;
不对原始报文添加任何tag
报文走出VXLAN 隧道之后的处理;
如果报文报文有VLAN Tag 那就剥离掉,在转发
2.3 Default (如果使用Default ,那么此物理口就只能启用这么一个Defaut子接口)
报文进入VXLAN隧道之前的处理;
不对报文做任何处理,也就是不添加,不替换不剥离任何tag (原汁原味)
报文走出VXLAN 隧道之后的处理;
不对报文做任何处理,也就是不添加,不替换不剥离任何tag (原汁原味)
**
三、VXLAN集中式网关
**
Vxlan L2 Getway :实现同网段流量互访的设备
Vxlan L3 Getway :实现不同VNI之间跨网段互访
通过上一章简单的VXlan配置,已经可以达到跨NVE二层互通
通过配置集中式网关,可以达到不同的VNI网络之间三层互通
3.1 配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73**CE1;** bridge-domain 10 ;创建BD域 vxlan vni 10 ;绑定VXLAN # bridge-domain 20 ;创建BD域 vxlan vni 20 ;绑定VXLAN # interface Vbdif10 ;创建虚拟BD域接口,当做BD域的网关 ip address 192.168.1.254 255.255.255.0 # interface Vbdif20 ip address 192.168.2.254 255.255.255.0 # interface Nve1 source 1.1.1.1 vni 10 head-end peer-list 2.2.2.2 ;创建隧道 vni 10 head-end peer-list 3.3.3.3 vni 20 head-end peer-list 2.2.2.2 vni 20 head-end peer-list 3.3.3.3 **CE2;** 新增部分: interface Nve1 vni 10 head-end peer-list 1.1.1.1 ;针对VNI 10与网关建立隧道 vni 20 head-end peer-list 1.1.1.1 原始部分: bridge-domain 10 vxlan vni 10 # bridge-domain 20 vxlan vni 20 interface GE1/0/0.10 mode l2 encapsulation dot1q vid 10 bridge-domain 10 # interface GE1/0/0.20 mode l2 encapsulation dot1q vid 20 bridge-domain 20 interface Nve1 source 2.2.2.2 vni 10 head-end peer-list 3.3.3.3 vni 20 head-end peer-list 3.3.3.3 **CE3;** 新增部分: interface Nve1 vni 10 head-end peer-list 1.1.1.1 ;针对VNI 10 与网关建立隧道 vni 20 head-end peer-list 1.1.1.1 原始部分: bridge-domain 10 vxlan vni 10 # bridge-domain 20 vxlan vni 20 # interface GE1/0/0.10 mode l2 encapsulation dot1q vid 10 bridge-domain 10 # interface GE1/0/0.20 mode l2 encapsulation dot1q vid 20 bridge-domain 20 # nterface Nve1 source 3.3.3.3 vni 10 head-end peer-list 1.1.1.1 vni 20 head-end peer-list 1.1.1.1
3.2 数据包分析过程
NVE设备通过VXLAN隧道将跨网段数据发送给网关设备
网关设备收到后查询路由表后,根据BD域绑定的VNI 进行替换,.
然后发送给对应的VTEP(隧道)
3.3 网络虚拟化的概念
在数据中心中的网络拓扑及其复杂,但是通过VXLAN的技术,可以单独的划分出逻辑的网络拓扑
对于用户而言,只能感知到逻辑上的网络拓扑,至于物理拓扑,用户不需要知道(花钱的就是大爷)
3.4 集中式网关路由隔离
当有多个租户时,可以把网关的路由表隔离开
1
2
3
4
5
6
7
8
9
10
11
12
13CE1; ip vpn-instance 10 ;创建VPN 实例10 ipv4-family route-distinguisher 1:1 ;配置RD值 # interface Vbdif10 ip binding vpn-instance 10 ;绑定到VPN实例10 ip address 192.168.1.254 255.255.255.0 # interface Vbdif20 ip binding vpn-instance 10 ;绑定到VPN实例20 ip address 192.168.2.254 255.255.255.0
从而就租户的路由,和全局路由表就隔离开了
网关设备收到数据之后,根据数据包内的VNI 对应到VPN实例 查询VPN实例路由表
打上其他网段的VNI ,并进入隧道,从而达到跨网段通信的
3.5 物理机关联到 VPN实例,访问VNI中的PC
1
2
3
4
5
6
7
8interface Vlanif30 ;创建VLANIF 30 ip binding vpn-instance 1 ;绑定到VPN实例1 ip address 192.168.3.254 255.255.255.0 # interface GE1/0/2 undo shutdown port default vlan 30;接口分配到vlan 30
3.6集中式网关上网
由于Vbdif 存在与VPN实例中,只能通过泄露的方式进行关联
**
四、l2 binding vlan
**
除了使用子接口除外还可以使用,L2 binding 的方式
命令;
1
2
3
4
5
6
7l2 binding vlan命令用来将VLAN绑定到广播域BD。 system-view vlan 10 quit bridge-domain 10 l2 binding vlan 10
注意事项
1.VLAN绑定BD后,该BD不支持创建对应的VBDIF接口。同时不支持创建该VLAN对应的VLANIF接口。
2.VLAN和BD是一一对应的关系,即:一个VLAN只能绑定到一个BD,一个BD也只能绑定一个VLAN。
3.VLAN绑定BD功能和ARP广播报文抑制功能互斥,配置VLAN为VXLAN业务接入点后,不建议再使能ARP广播报文抑制功能。
4.VLAN绑定到BD后,因为广播域切换到BD,所以VLAN内的其他业务配置(如DHCP Snooping、IGMP Snooping等)均会失效。
5.VLAN绑定BD功能和BD下的IGMP Snooping功能互斥,不可以同时配置。
欢迎阅读下一章 VXLAN 架构-集中式多活网关数据中心部署
最后
以上就是灵巧电源最近收集整理的关于VXLAN 数据包分析-集中式网关的全部内容,更多相关VXLAN内容请搜索靠谱客的其他文章。
发表评论 取消回复