首页 Switch 叠加网络

叠加网络

Switch · 06/11/2024 · 0 Comment

叠加网络提供了一种灵活部署拓扑结构的机制,以适应不断变化的端点和应用需求。它将用户数据流量及其相关策略与网络物理拓扑完全解耦,使得可以按需部署2层或3层服务。此外,叠加简化了在整个网络中传输设备或用户角色信息的过程,并无需所有路径中的设备都理解或管理这些角色。叠加网络是建立在由物理基础设施组成的底层网络之上的虚拟网络,而底层则设计为稳定、可扩展且预测性强。像GRE和IPSEC这样的技术已经被用于创建园区和WAN空间内的叠加很多年了。目前,Virtual Extensible LAN (VXLAN) 是创建园区分布式叠加网络的一个选项。

Aruba 提供选择集中式叠加或分布式叠加来满足各种流量工程和策略执行要求。“User Based Tunneling”是一种集中式叠加架构,在网关设备上提供简化操作和高级安全特性。“EVPN-VXLAN”是一种分布式叠加架构,允许在园区内任何地方建立交换机之间动态隧道,并提供连贯的策略执行。这两种叠加模型都支持“无色端口(Colorless Ports)”特性,使得自动化客户端上线和接入控制变得简单易操作。

集中式叠加概述(Centralized Overlay)

基于用户的隧道(UBT)是一种集中式的网络叠加技术,它允许管理员将特定用户的流量引导至网关集群。这样可以利用防火墙、深度包检查、应用程序可见性和带宽控制等服务来执行策略。UBT能够根据用户或设备的角色有选择地进行流量隧道化。与每个客户端相关联的策略通常由RADIUS服务器(例如ClearPass Policy Manager)分配。

分布式叠加概述(Distributed Overlay)

分布式叠加是园区网络设计的进一步发展,它基于高可用性底层并利用EVPN-VXLAN构建。同时,它与全局角色为基础的微段划分策略相结合,贯穿整个网络基础设施。这种以角色为基础的策略将策略从底层网络中抽象出来,使得定义和执行策略更加灵活简单。通过完全自动化叠加实现这一点,并提供了一个统一管理视窗。

通过在网络中为各种设备分配角色,创建一个分布式fabric。下表详细解释了每个角色的功能。

  • 路由反射器 (RR) – 核心交换机被设置为BGP路由反射器(RR角色)以共享EVPN的可达信息,从而减少fabric中需要的对等会话数量。
  • Stub – 无线汇聚交换机被设置为stub角色,以便将策略执行扩展到只支持静态VXLAN隧道的无线网关。该汇聚交换机会将来自园区fabric VXLAN隧道的GPID值转发至其与网关之间配置的静态VXLAN隧道中。
  • Border – 互联网边缘交换机使用Border角色来提供fabric内部和外部服务之间的连接。
  • Edge – Edge角色被应用于接入交换机,它们主要提供VXLAN隧道的进出口,并在数据流量进入或离开fabric时执行策略。
  • 中间设备(Intermediate Devices) – 未分配fabric角色的底层有线汇聚交换机,它们不运行VTEP但是必须支持巨型(jumbo)帧。

分布式叠加

在Aruba ESP园区,利用EVPN-VXLAN构建分布式叠加网络。这套协议形成了一个动态的网络fabric,能够将二层连接性扩展至现有的物理网络和三层底层之上。它是一套开放标准的工具集,旨在创建更灵活、安全且可扩展的园区和数据中心网络。EVPN-VXLAN包括:

  • Ethernet VPN (EVPN) 是一种由BGP驱动的叠加控制平面,它在IP或MPLS网络上提供不同2层/3层域之间的虚拟连接。
  • 虚拟可扩展局域网 (VXLAN),是一种常见的网络虚拟化隧道协议,它将2层广播域的数量从使用传统VLAN可用的4000个扩展到1600万个。

Aruba ESP通过使用冗余的三层链接在IP底层实现EVPN-VXLAN叠加,以提高速度灵活性和最大化带宽利用率。

Distributed Overlay

EVPN-VXLAN的优点

  • 在多样化的园区拓扑中实现统一的桥接和路由:
    • 在3层边界上实现高效的2层扩展。
    • 任播网关确保了整个园区一致的首跳(first-hop)路由服务。
  • 使用VXLAN-基于组的策略(VXLAN-GBP)进行端到端分段,可以在园区的任何地方传播策略。
  • 支持巨帧的任何IP网络都可以传输VXLAN,但VXLAN只能在fabric的边缘设备上部署。

EVPN-VXLAN 控制平面

在Aruba ESP中,EVPN-VXLAN的控制平面采用多协议BGP(MP-BGP),通过传递MAC地址、MAC/IP绑定和IP前缀来保证跨fabric端点的可达性。这种方式比数据平面上效率较低的泛洪学习通信以及具有固有扩展限制的集中式控制平面更优越。

通过在虚拟隧道端点(VTEP)间使用带EVPN地址族的MP-BGP提供了一种基于标准且高度可扩展的控制平面,用以共享端点可达性信息,并原生支持多租户。多年来服务提供商已经利用MP-BGP在大规模上安全地提供2层和3层VPN服务。采用路由反射器的iBGP设计简化了架构,避免了需要在所有包含VTEP的交换机之间进行完全网状BGP对等连接。只需在VTEP终结交换机(如接入、stub和服务汇聚)与核心之间建立BGP对等连接即可。

BGP控制平面构造包括:

  • 地址族(AF) – MP-BGP通过将它们分类为地址族(IPv4,IPv6,L3VPN等)来实现多种地址类型的网络可达性信息交换。2层VPN地址族(AFI=25)和EVPN子地址族(SAFI=70)在MP-BGP speaker之间广播IP和MAC地址信息。EVPN地址族包含了建立VTEP之间VXLAN隧道的可达性信息。
  • 路由区分符 (RD) – 路由区分符使MP-BGP能在同一地址族中传递重叠的第三层和第二层地址,其方法是在原始地址前添加一个唯一值。RD仅是一个无固定含义的数字属性,它并不会将地址与路由或桥接表关联起来。通过确保两个不同VRF对相同地址范围的路由声明可以在同一MP-BGP地址族中进行广播,RD值支持了多租户性。
  • 路由目标 (RT) – 路由目标是MP-BGP的扩展,它将地址与路由或桥接表进行关联。在EVPN-VXLAN网络中,通过将公共VRF的路由目标导入和导出到MP-BGP EVPN地址族,实现了跨多个VTEP定义的VRF之间的三层可达性。通过在L2 VNI定义中导入和导出公共路由目标,二层可达性可以在分布式的L2 VNI集合中实现共享。此外,还可以使用IPv4地址族来泄露三层路径,方法是将其他VRF导出的路由目标导入一个VRF。
  • 路由反射器 (RR) – 为了优化在VTEP之间共享可达性信息的过程,核心层使用路由反射器可以简化iBGP对等连接。这种设计使所有VTEP具有相同的iBGP对等配置,从而消除了需要完全网状的iBGP邻居的需求。

Aruba ESP园区设计采用两个通过三层连接的核心交换机作为iBGP路由反射器。请注意,目标前缀和叠加网络数量会消耗以转发表形式存在的物理资源,因此在设计网络时应考虑这一因素。有关扩展fabric底层设计的硬件指南,请参阅”参考架构”部分。

VXLAN 网络模型

VXLAN将二层以太网帧封装在三层UDP数据包中,为连接的端点提供了同时具备二层和三层的虚拟化网络服务。处理VXLAN隧道起始或终止的交换机内部功能被称为VTEP。在一个VXLAN叠加拓扑中,类似于传统的VLAN ID,我们使用VXLAN网络标识符(VNI)来标记独立的二层段。对称集成路由和桥接(IRB)使得叠加网络能够支持连续的二层转发和跨Leaf节点的三级路由。

在Fabric的所有底层连接上配置巨型帧,以确保额外封装内容的准确传输。

VXLAN网络主要包含两个重要的虚拟网络元素:二层VNI和三层VNI。以下是对二层VNI、三层VNI以及VRF之间关系的描述:

  • L2VNI与VLAN相似,其在AOS-CX中的配置方式也与VLAN一样。它主要用于在不同的VTEP端点之间桥接二层流量。
  • L3VNI与VRF相似,它在各个VTEP之间的L2VNI子网进行路由。
    • 在单个VRF中可以存在多个L2VNI。

VXLAN封装

叠加网络通过使用虚拟可扩展局域网(VXLAN)隧道来提供连接到园区端点的2层和3层虚拟化网络服务。这些隧道利用VXLAN网络标识符(VNI)将流量与相应的2层 VLAN 或 3层路由表关联,使得接收VTEP能够正确转发封装帧。此外,对称集成路由和桥接(IRB)功能让叠加网络能支持跨Leaf节点的连续2层转发和3层路由。

VTEP将帧封装在以下的头部中:

  • IP头部:IP地址在头部可以是传输网络中的VTEP或VXLAN组播组。源和目标之间的中间设备会根据这个外部IP头部来转发VXLAN数据包。
  • VXLAN的UDP头部:默认的VXLAN目标UDP端口号是4789。
  • VXLAN头部:封装帧的VXLAN信息。
    • 8位VXLAN标志:第一位表示是否在数据包上设置了GBP ID,第五位表示VNI是否有效。所有其他位都保留并设置为“0”。
    • 16位VXLAN组策略ID:组ID用于识别对隧道流量执行的策略。
    • 24位VXLAN网络标识符:指定封装帧的虚拟网络标识符(VNI)。
    • 24位保留字段
    vxlan_packet_header

请登录评论。