高质量的讲解VXLAN技术

由三个公司创建：Cisco、Arista 和 VMware，VXLAN RFC7348

是什么时候发明的？

RFC 于 2014 年 8 月发布，但思科文档指出更早的时间

为什么要发明 VXLAN？

为了解决数据中心和云中的 VLAN 限制，它可以通过允许将 Layer2 封装在 UDP 中来提供可扩展性，扩展了 VLAN，这称为MAC-in-UDP（UDP 端口 4789）封装。

此外，它还帮助客户站点配置二层VPN。

VXLAN 标识符（VNI）是一个 24 位的段，这意味着它可以在同一域内提供 1600 万个 VXLAN。

VXLAN 用途

• 数据中心（虚拟主机）允许 VM 在两个 DC 之间进行通信
• 在远程站点扩展第 2 层 (VLAN)
• 多播而不是广播。例如：在没有它的同一个二层域中，而不是ARP广播，多播与VXLAN一起使用

组件和配置基础

VXLAN 组件包括：

• VTEP：这是完成 VXLAN 封装和解封装的地方，基本上是路由器或 A 交换机
• VNID：VXLAN 网络标识符，是标识广播域的 24 位段
• NVE：在 VTEP 上创建的网络虚拟接口（逻辑上）

VXLAN 示例

• 在一个域或站点内：例如，在数据中心，我们可以将两个子网连接到核心交换机以使用 VXLAN 和多播路由
• 在将使用 BGP 和 EVPN 实现的两个远程站点之间
• 虚拟机到虚拟机通信

配置初始步骤

• 启用多播
• IGP 配置为到达 RP
• 将核心配置为 RP
• 使用 NVE 接口（网络虚拟接口）配置 VTEPS（虚拟隧道端点）
• 使 VTEP NVI 成为 VNI（VXLAN 网络标识符）的多播组的成员

如何验证 VXLAN

关于 VTEPS：

#show ip mroute group-ip

#show ne peers（必须先产生流量）

#show nve vni

#show run interface nve x

简单了解 VM-TO-VM 单播通信

这里的基本思想是使用 VXLAN 创建的覆盖网络在 VM 之间进行通信。从 VM#1 到 VM#2 的请求将发往 VM#2 的 MAC 地址，该请求还将发送到位于主机上的 VTEP，它将检查 VNI 以查找与源关联的 VM。

然后 VTEP 将检查目标 MAC 地址，看它是否在同一网段上并映射到远程目标上的 VTEP。

VN 段是标记数据包的新方法，但它是 24 位的，这与 VLAN 标记 (802.1Q) 上的标记不同。

欺骗可能会发生，因为我们正在处理 MAC 地址、MAC 地址泛洪、UDP 泛洪、ARP 攻击和双重标记 802.1Q，这些都可能受到潜在攻击，但这些风险也存在于传统的 layer2 甚至 MPLS 和 GRE 等其他技术中。

VXLAN 为网络和数据中心带来了很多好处，并支持跨远程站点的第 2 层漫游，安全性不是这些好处之一，但将来可能会添加。