在静态方式部署集中式网关的场景中,控制平面的流程包括VXLAN隧道建立、MAC地址动态学习;转发平面的流程包括同子网已知单播报文转发、同子网BUM(Broadcast&Unknown-unicast&Multicast)报文转发、跨子网报文转发。
静态方式部署集中式网关,手工配置工作量大,灵活性较差,不适合大规模的组网场景,如果在VXLAN网络中采用集中式网关,推荐使用BGP EVPN方式部署集中式网关。
下面以IPv4 over IPv4为例进行详细描述,其他Underlay网络和Overlay网络组合相对于IPv4 over IPv4的实现差异如表1所示。
| 组合类别 | 实现差异 |
|---|---|
| IPv6 over IPv4 |
|
| IPv4 over IPv6 | VXLAN隧道的两端VTEP采用IPv6地址,且VTEP之间需要IPv6三层路由互通。 |
| IPv6 over IPv6 |
|
VXLAN隧道建立
VXLAN隧道由一对VTEP IP地址确定,静态VXLAN隧道的创建完全通过手工配置本端和远端的VNI、VTEP IP地址来完成,只要VXLAN隧道的两端VTEP IP是三层路由可达的,VXLAN隧道就可以建立成功。
如图1所示,VTEP2上部署了Host1和Host3,VTEP3上部署了Host2,VTEP1上部署三层网关。
-
为了实现Host3和Host2之间的通信,需要分别在VTEP2和VTEP3上配置二层VNI,并在配置头端复制列表时指定对端VTEP IP地址。只要VTEP2和VTEP3上存在到对端VTEP IP地址的三层路由,就可以建立到对端的VXLAN隧道。
-
为了实现Host1和Host2之间的通信,需要分别在VTEP2和VTEP1、VTEP1和VTEP3上配置二层VNI,并在配置头端复制列表时指定对端VTEP IP地址。只要VTEP2和VTEP1上存在到对端VTEP IP地址的三层路由,就可以建立到对端的VXLAN隧道;同样的,只要VTEP1和VTEP3上存在到对端VTEP IP地址的三层路由,就可以建立到对端的VXLAN隧道。
MAC地址动态学习
在VXLAN网络中,为了实现终端租户的互通,支持MAC地址动态学习,不需要网络管理员手工维护,大大减少了维护工作量。下面结合图2,详细介绍一下同子网主机互通时,MAC地址动态学习的过程。
-
Host3发送源MAC为MAC3、目的MAC为全F、源IP为IP3、目的IP为IP2的ARP请求报文,请求Host2的MAC地址。
-
VTEP2收到该ARP请求后,根据报文接入的端口和携带的VLAN信息判断该请求报文需进入VXLAN隧道,并确定报文所对应的VNI(20)。同时VTEP2学习到了Host3的MAC地址、BD ID(二层广播域标识)和报文入接口的对应关系,并在本地MAC表中生成Host3的MAC表项,其出接口为Port1。
-
VTEP2对该ARP请求报文进行VXLAN封装,如图3所示,封装的VNI是绑定当前BD的VNI,封装的外层源IP地址为VTEP2的VTEP IP地址,外层目的IP地址为VTEP3的VTEP IP地址,外层源MAC地址为VTEP2的MAC地址,外层目的MAC地址为去往目的IP的网络下一跳的MAC地址。封装后的报文根据外层MAC和IP信息在IP网络中传输,送达VTEP3。
-
VTEP3收到报文后进行解封装,得到Host3发送的原始ARP请求报文,同时VTEP3学习到Host3的MAC地址、BD ID和VTEP2上VTEP IP地址的对应关系,并在本地的MAC表中生成Host3的MAC表项,其出接口需根据下一跳(即VTEP2的VTEP IP地址)进行迭代,最终迭代结果是指向VTEP2的VXLAN隧道。
-
VTEP3在对应的二层域内广播ARP请求。Host2收到ARP请求后,比较报文中的目的IP是否为本机的IP地址,如果是,则将Host3的MAC地址保存到本地的MAC表中,并进行ARP应答。
由于此时Host2已经学习到了Host3的MAC地址,所以ARP应答报文为单播报文,后续的ARP应答报文发送过程与上述过程类似,这里不再赘述。Host3和Host2互相学习到对方的MAC地址之后,双方将采用单播通信。
在跨子网主机互通时,只需在主机和三层网关之间进行MAC地址动态学习,与上述过程相同。
同子网已知单播报文转发
同子网已知单播报文转发只在VXLAN二层网关之间进行,三层网关无需感知。报文转发流程如图4所示。
- VTEP2收到来自Host3的报文,根据报文中接入的端口和VLAN信息获取对应的二层广播域,并在该二层广播域内查找出接口和封装信息。
- VTEP2根据查找到的封装信息对数据报文进行VXLAN封装,然后根据查找到的出接口进行报文转发。
- VTEP3收到VXLAN报文后,根据UDP目的端口号、源/目的IP地址、VNI判断VXLAN报文的合法有效性。然后依据VNI获取对应的二层广播域,进行VXLAN解封装,获取内层的二层报文。
- VTEP3根据内层二层报文的目的MAC,从本地MAC表找到对应的出接口和封装信息,对报文进行VLAN Tag的相应处理,转发给对应的主机Host2。
Host2向Host3发送报文的过程类似,这里不再赘述。
同子网BUM报文转发
同子网BUM报文转发只在VXLAN二层网关之间进行,三层网关无需感知。同子网BUM报文转发采用头端复制方式。
头端复制是指,当BUM报文进入VXLAN隧道时,接入端VTEP根据头端复制列表进行报文的VXLAN封装,并将报文发送给头端复制列表中的所有出端口VTEP。BUM报文出VXLAN隧道时,出口端VTEP对报文解封装。BUM报文采用头端复制的转发流程如图5所示。
- VTEP1收到来自终端A的报文,根据报文中接入的端口和VLAN信息获取对应的二层广播域。
- VTEP1根据对应的二层广播域获取对应VNI的头端复制列表,依据获取的列表进行报文复制,并进行VXLAN封装。然后将封装后的报文从出接口转发出去。
- VTEP2/VTEP3收到VXLAN报文后,根据UDP目的端口号、源/目的IP地址、VNI判断VXLAN报文的合法有效性。然后依据VNI获取对应的二层广播域,进行VXLAN解封装,获取内层二层报文。
- VTEP2/VTEP3检查内层二层报文的目的MAC,发现是BUM MAC,在对应的二层广播域内的非VXLAN隧道侧进行广播处理,即:VTEP2/VTEP3分别从本地MAC表中找到非VXLAN隧道侧的所有出接口和封装信息,对报文进行VLAN Tag的相应处理,转发给对应的终端B/C。
跨子网报文转发
跨子网报文转发需要通过三层网关实现。在集中式网关场景中,跨子网报文转发的流程如图6所示。
- VTEP2收到来自Host1的报文,根据报文中接入的端口和VLAN信息获取对应的二层广播域,在对应的二层广播域内查找出接口和封装信息。
- VTEP2根据查找到的出接口和封装信息进行VXLAN封装,向VTEP1转发报文。
- VTEP1收到VXLAN报文后进行解封装,发现内层报文中的目的MAC是三层网关接口VBDIF10的MAC地址MAC3,判断需要进行三层转发。
- VTEP1剥除内层报文的以太封装,解析目的IP。根据目的IP查找路由表,找到目的IP的下一跳地址,再根据下一跳地址查找ARP表项,获取目的MAC、VXLAN隧道出接口及VNI等信息。
- VTEP1重新封装VXLAN报文,向VTEP3转发。其中内层报文以太头中的源MAC是三层网关接口VBDIF20的MAC地址MAC4。
- VTEP3收到VXLAN报文后,根据UDP目的端口号、源/目的IP地址、VNI判断VXLAN报文的合法有效性。依据VNI获取对应的二层广播域,然后进行VXLAN解封装,获取内层二层报文,并在对应的二层广播域内查找出接口和封装信息。
- VTEP3根据查找到的出接口和封装信息,对报文进行VLAN Tag的相应处理,转发给对应的Host2。
Host2向Host1发送报文的过程类似,这里不再赘述。
![[golang] 25 图片操作](https://img-blog.csdnimg.cn/direct/ace99c1661ae41378e6d6e286adaa331.png)
