VXLAN：云計算時代的隧道技術（一）

【VXLAN隧道技術】本文主要是介紹了什么VXLAN，VXLAN二層隧道技術以及為什么需要VXLAN， VXLAN的優勢和價值。

#交換機

發布時間：2022-04-27
點擊量：
點贊：

分享至

我想評論

1 VXLAN：云計算時代的隧道技術

1.1 什么是VXLAN

VXLAN（Virtual eXtensible Local Area Network，虛擬可擴展局域網）是建立在物理IP網絡之上的二層隧道技術。在云計算快速發展的時代，傳統網絡無法滿足云計算對擴展性的要求，VXLAN能夠為跨地域的多數據中心間提供二層互聯，并且能夠對海量用戶不同業務進行隔離。VXLAN使用UDP報文對原始二層以太網數據幀進行封裝，因此能夠跨三層網絡傳輸二層業務流量。

圖1-1 VXLAN二層隧道技術

1.2 為什么需要VXLAN

1.2.1 傳統技術在數據中心場景下的困境

隨著網絡和虛擬化技術的發展，服務器虛擬化在數據中心中的應用越發廣泛。在數據中心的服務器設備上部署虛擬機提高了服務器的設備利用率，有效降低了數據中心的硬件成本和運營成本。
虛擬化技術的引入為傳統數據中心網絡帶來了新的挑戰。

●二層網絡邊界限制

隨著虛擬化技術的應用，每個實體服務器上可能會運行大量虛擬機，因此二層網絡中虛擬機MAC地址數量面臨數量級的增長。為了不同二層網絡間能夠正常轉發數據報文，接入交換機需要學習每一個二層網絡中虛擬機的MAC地址。受限于硬件水平，接入交換機的MAC地址表容量一般較小，難以滿足需求。

圖1-2 MAC地址表限制

●網絡隔離能力有限

在傳統數據中心網絡中，虛擬機通過VLAN進行流量隔離，不同租戶虛擬機被劃分到不同的VLAN中。VLAN技術通過VLAN ID對不同的VLAN進行區分，用于進行VLAN識別的VID字段長度為12bit，即實際可分配的VLAN ID數量為2^12-2 = 4094（首尾兩個VLAN ID保留），這個數量在某些大規模數據中心內是不足的。另外傳統的VLAN無法滿足網絡動態調整的需求，網絡的擴容和調整都非常困難。

●虛擬機遷移限制

由于服務器硬件資源問題（如CPU過高、磁盤不夠和內存不足等）或機房的搬遷轉移，虛擬機需遷移到其他服務器上。為了保證虛擬機遷移過程中業務不被中斷，要求虛擬機的MAC地址和IP地址在遷移前后不發生改變，因此虛擬機只能在當前所在二層網絡中進行遷移。

圖1-3 虛擬機遷移限制

1.2.2 VXLAN的優勢和價值

1）VXLAN報文格式

為了便于理解VXLAN是如何解決數據中心網絡發展遇到的種種困難，我們先對VXLAN的報文格式進行介紹。
VXLAN設備在收到虛擬機發送的數據幀時會封裝四個部分以形成新的幀頭（內層的數據幀攜帶的原始目的/源MAC、內層VLAN Tag和以太網類型保持不變）。這四個部分由內而外分別是“VXLAN頭部”、“外層UDP頭”、“外層IP頭”和“外層以太幀頭”。VXLAN頭和原始以太網數據幀作為UDP報文的數據段。

圖1-4 VXLAN報文格式

●VXLAN頭部

長度為64位，目前協議版本設計中，其唯一的作用就是攜帶中間24位的VNI標識，這個VNI標識是由VTEP（VXLAN Tunnel End Point，虛擬擴展本地網絡隧道終結結點）分配的。

○Flag（8位）：其中I位必須設置成1以表示有效的VNI，R位設置成0。

○VXLAN Segment ID/VXLAN Network Identifier (VNI)：占24位，表示VXLAN網絡標識符。與VLAN的情況類似，虛擬機屬于相同的VXLAN才能進行二層通信。

○Reserved：有兩處，分別占24位和8位，填充0。

●外層UDP頭部

圖1-5 外層UDP頭部

UDP頭部各字段含義如下：
○Source Port：UDP源端口號。由VTEP分配，源端口號是數據幀本身的二層幀頭哈希運算的結果。
○Destination Port：目的端口號，IANA分配端口號為4789。
○UDP Length：UDP頭部的長度。
○UDP Checksum：UDP校驗和，發送時填充0。
●外層IP頭部

圖1-6 外層IP頭部

外層IP頭部主要字段含義如下：

○Outer Source IPv4 Address：VXLAN隧道本端VTEP的IP地址。VTEP為VXLAN隧道兩端的設備。

○Outer Destination IPv4 Address：可以是單播IP地址，也可以是多播地址。如果是單播地址，表示需要通信的虛擬機對應的VTEP的IP地址。

外層IP頭部的IP地址不再是通信雙方虛擬機的地址，而是隧道兩端的VTEP設備地址。如果虛擬機所在服務器的虛擬機監視器直接承擔VTEP的工作，那么此處IP地址就是運行虛擬機軟件的服務器網卡的IP地址。若VTEP是交換或路由設備，則IP地址是出端口上的IP地址或三層SVI接口的IP地址。

●外層以太網頭部

圖1-7 外層以太網頭部

外層以太網頭部主要字段含義如下：
○   Outer destination MAC address：指向目的VTEP IP的下一跳MAC地址。
○   Outer source MAC address：本端VTEP的MAC地址。
○   Outer VLAN tag information：可選攜帶。

2）為什么VXLAN是數據中心的最優解
從上文的VXLAN報文格式可以看出VXLAN是如何解決傳統技術在數據中心場景下的困境。

●打破二層網絡邊界限制，解決MAC容量問題
VXLAN利用UDP封裝虛擬機發出的數據包，UDP數據包的外層IP/MAC頭部均使用物理網絡的IP/MAC地址。因此，除了VXLAN網絡邊緣設備，網絡中的其他設備不需要識別虛擬機的MAC地址，減輕了設備的MAC地址學習壓力。

●解決VLAN數量不足問題
VXLAN可以支持多達16M的VXLAN網段的網絡隔離，對用戶進行隔離和標識不再受到限制，可滿足海量租戶。

●虛擬機遷移限制
VXLAN通過采用MAC in UDP封裝來延伸二層網絡，實現了物理網絡和虛擬網絡解耦，租戶規劃虛擬網絡時不需要考慮物理網絡IP地址和廣播域的限制，降低了網絡管理的難度。通過VXLAN構建大二層網絡，保證了在虛擬遷移時虛擬機的IP地址、MAC地址等參數保持不變。

1.3 VXLAN基本概念
1.3.1 什么是Underlay網絡和Overlay網絡

Underlay網絡是一個已有的物理承載網絡。Overlay網絡是一個建立在已有網絡上的虛擬網絡，由邏輯節點和邏輯鏈路構成。VXLAN就是在物理網絡基礎上（比如IP網絡）構建了一個疊加的虛擬網絡。

圖1-8 Overlay和Underlay示意圖

這里我們以班車為例做一個類比，便于大家理解Underlay網絡和Overlay網絡和其中的概念。公共交通道路好比上文中提到的承載網絡。若員工選擇自駕上班，那么員工需要在每個路口規劃下一段路需要怎么走，這種情況屬于工作在Underlay網絡。若員工選擇坐班車上班，員工不需要知道中間每個路段需要如何通行，只需了解班車時間表和站點信息（上車地點和目的地），并通過工牌等方式搭乘班車即可，員工只需要關心起點和終點即可，這種情況屬于工作在Overlay網絡。員工選擇Overlay方式上班的案例中，班車排班、站點規劃、行政分發班車信息等均屬控制面板行為，通過工牌搭乘班車和下班車屬于數據面行為。
Underlay網絡和Overlay網絡存在如下特點：

●承載網絡（Underlay）和虛擬網絡（Overlay）完全分離，互不感知。
●Underlay網絡要求簡單、易管理，同時能夠為Overlay網絡提供穩定、可靠的轉發能力。
●Overlay網絡需要提供靈活性和可擴展性。

1.3.2 什么是VTEP

以VLAN使用場景為類比，VTEP相當于交換機設備。局域網中交換機負責修改和還原VLAN數據幀，而VTEP用于封裝和解封裝VXLAN報文。VTEP是VXLAN隧道的起點和終點，在VXLAN隧道的起點，VTEP將虛擬機產生的數據封裝到UDP包頭內再發送出去，虛擬機本身的MAC地址和VLAN信息在經過封裝后不再作為數據轉發的依據；在隧道終點將收到的VXLAN報文解封裝。

1.3.3 什么是VNI

VNI（VXLAN Network Identifier，VXLAN 網絡標識符）是一種類似于VLAN ID的用戶標識，用來表示不同的租戶和不同的VXLAN網段（VXLAN Segment）。只有具有相同VNI，處于同一VXLAN網段的虛擬機才能通過VXLAN二層轉發相互通信，否則需要通過VXLAN三層轉發通信。VNI用一個24位二進制數表示，可以支持2^24個租戶。

1.3.4 什么是VXLAN隧道

VXLAN隧道是在兩個VTEP之間完成VXLAN封裝報文傳輸的邏輯隧道，是Overlay層面的傳輸鏈路。業務報文在進入隧道時進行VXLAN頭、UDP頭和IP頭封裝后，通過Underlay網絡的三層轉發透明地將封裝后的報文傳輸給遠端VTEP，再由遠端VTEP對其進行出隧道解封裝處理。VXLAN隧道使得不同VTEP上的相同VNI的主機互通，VLAN中的Trunk則是使不同交換機上的相同VLAN中的主機互通。雖然二者作用有些相似，但是本質卻有很大不同。VXLAN隧道是虛擬鏈路，傳輸的是封裝后的UDP報文，而Trunk鏈路是物理鏈路，傳輸的是幀頭改造后的數據幀。

1.3.5 什么是VXLAN網關
VXLAN網關的功能是根據VXLAN報文內層的IP進行三層轉發，充當VXLAN網絡內虛擬機的網關，類似于局域網中的網關設備，實現跨網段通訊功能。配置VXLAN網關之后，便可以構建Overlay層面的三層網絡，實現VXLAN子網之間的跨網段通信和Internet訪問。

VXLAN網關上必須擁有VXLAN路由接口，類似于VLAN網絡中的SVI（Switch Virtual Interface，交換機虛擬接口）。VXLAN路由接口和VXLAN實例一一對應，VXLAN路由接口負責VXLAN實例內所有三層業務數據的轉發工作。

1.3.6 什么是VXLAN實例

VXLAN實例是基于VXLAN的Overlay網絡上的一個節點，類似于VLAN實例，處理一個VNI內的報文轉發。該節點可以在Overlay網絡實現MAC地址學習和泛洪等傳統的二層交換功能，在被指定為VXLAN網關（配置VXLAN路由接口）后也可以進行三層轉發。在同一臺設備上，VXLAN實例和VNI為一一對應關系。

1.3.7 VXLAN網絡概念圖示

上文中我們介紹了大量VXLAN相關的概念，現在我們以架構圖的方式呈現，便于大家能夠理解VXLAN內各個元素之間的關系。

圖1-9 VXLAN概念圖示