Tiểu luận Công nghệ mạng | Tìm hiểu về VXLAN

Bài tiểu luận Các công nghệ mạng truyền thông tiên tiến Đề tài Tìm hiểu về VXLAN GV TS Nguyễn Tiến Ban SVTH Nguyễn Đức Trung B17DCVT375 Nguyễn Đức Mạnh B17DCVT228 Chu Trần Định B16DCVT060 Nguyễn Thế Nguyên B15DCVT288 CHƯƠNG I Tổng quan về VXLAN CHƯƠNG II Triển khai các giao thức CHƯƠNG III Một số công nghệ sử dụng trong VXLAN CHƯƠNG IV Mô hình và cách thức triển khai CHƯƠNG I TỔNG QUAN VỀ VXLAN 1 1 Tại sao lại cần VxLAN Với chuẩn IEEE 802 1Q, chúng ta có thể dùn.

Bài tiểu luận nhóm 20

Môn học Các công nghệ mạng truyền thông tiên tiến

Đề tài: Tìm hiểu về VXLAN

GV: TS.Nguyễn Tiến Ban

 CHƯƠNG I: Tổng quan về VXLAN

CHƯƠNG I: TỔNG QUAN VỀ VXLAN

1.1 Tại sao lại cần VxLAN

 Với chuẩn IEEE 802.1Q, chúng ta có thể dùng tối đa 4094 VLAN

 VLAN cũng có thể được dùng để mô tả thuê bao, customer, host…

 Trong các dịch vụ điện toán đám mây thì con số 4094 trên không còn đáp ứng được

 VLAN chỉ hoạt động ở lớp 2 chứ không phải ở lớp 3

 Lúc này thì VLAN truyền thống không thể giải quyết được nhưng VxLAN thì có thể

 Các đặc tính của VxLan

 VXLAN là công nghệ mở rộng Vlan truyền thống

 Địa chỉ MAC trong gói tin UDP tạo ra một đường hầm (tunnel) cho phép bạn mở rộng Layer 2 trên bất kỳ mạng Layer 3 nào

 VXLAN bao gồm một mã định danh gọi là VNID hay VXLAN

 Định danh này được định nghĩa bởi 24 bit nhị phân, lớn hơn so với 12 bit của VLAN truyền thống tương ứng với con số 16 triệu VXLAN so với 4094 VLAN

 Các thiết bị thiết lập giữa 2 đầu tunnel gọi là VTEPs hay VXLAN tunnel

 Một kết nối với mạng IP ở giữa và một kết nối tới phân đoạn mạng nội bộ, bạn có thể chuyển dữ liệu VXLAN sang một mạng khác

 VXLAN có thể cung cấp hàng triệu Vlan

mà vẫn đảm bảo tính riêng tư trên mỗi phân đoạn mạng

 Một tính năng ưu việt khác của VXLAN

là hỗ trợ tất cả các giao thức định tuyến nên có thể mở rộng hệ thống mạng phi tập trung

Hình 1: Mô hình VxLAN

1.1 Tại sao lại cần VxLAN

 VXLAN có thể cung cấp hàng triệu

Vlan mà vẫn đảm bảo tính riêng tư trên mỗi phân đoạn mạng

 Một tính năng ưu việt khác của

VXLAN là hỗ trợ tất cả các giao thức định tuyến nên có thể mở rộng hệ

thống mạng phi tập trung

Hình 1: Cấu trúc VxLAN

1.2 Khái niệm, cấu trúc VxLAN

 VM (Virtual Machine: Máy ảo): Là một chương trình đóng vai trò như một máy vi tính

ảo

 VxLAN Tunnel Endpoint: Điểm cuối đường hầm ảo VxLAN

 VxLAN sử dụng VTEP để ánh xạ các thiết bị cuối của người thuê tới các phân đoạn

VxLAN và để thực hiện đóng gói và giải mã VxLAN

 Mỗi chức năng VTEP có hai giao diện:

 Giao diện chuyển mạch trên phân đoạn mạng LAN cục bộ

 Giao diện IP

1.2 Khái niệm, cấu trúc VxLAN

 Để đóng gói khung Ethernet, VTEP thêm một số trường, bao gồm các trường sau:

 Địa chỉ đích kiểm soát truy cập phương tiện bên ngoài (MAC)

 Địa chỉ nguồn MAC bên ngoài

 Địa chỉ đích IP bên ngoài

 Địa chỉ nguồn IP bên ngoài

 Tiêu đề UDP bên ngoài

 Tiêu đề VXLAN bao gồm trường 24 bit - được gọi là mã định danh mạng VXLAN

 VNID (VxLAN Network Identifier: Danh định mạng VxLAN)

 VNIs phạm vi toàn mạng

 Các VNI được chỉ định cục bộ

1.2 Khái niệm, cấu trúc VxLAN

 Bất kỳ lớp mạng nào cũng hỗ trợ

VXLAN nhưng có thể có vài yêu cầu

về cấu hình trong hệ thống mạng ví dụ như kỹ thuật thiết lập đường hầm

(tunnel) cho VXLAN có hơn 50 byte được chèn thêm vào gói Frame

 Phải kích hoạt tính năng IP Multicast

điểm-đến-điểm

 Một địa chỉ Mac được VTEP ánh xạ

vào các phân đoạn mạng và dùng giao thức IP Multicast để định tuyến

Hình 3: Định dạng khung VxLAN

1.3 Định dạng khung VxLAN

 Frame Ethernet thông thường bao gồm địa chỉ MAC nguồn, MAC đích, Ethernet type

Đây là frame được đóng gói sử dụng VXLAN, thêm các header sau:

 VXLAN header: 8 byte bao gồm các trường quan trọng sau:

 Flags: 8bit

 VNI: 24 bit cung cấp định danh duy nhất cho VXLAN segment

 Outer UDP Header: Port nguồn của Outer UDP được gán tự động và sinh ra bởi

VTEP và port đích thông thường được sử dụng là port 4789 hay được sử dụng

 Outer IP Header: Cung cấp địa chỉ IP nguồn của VTEP nguồn kết nối với VM bên

trong

 Outer Ethernet Header: Cung cấp địa chỉ MAC nguồn của VTEP có khung frame

ban đầu

1.3 Định dạng khung VxLAN

 VXLAN được phát triển để cung cấp các dịch vụ mạng Ethernet Lớp 2 giống như Vlan

hiện nay, Dưới đây là những lợi ích đáng kể nhất của việc sử dụng VXLAN:

 Hỗ trợ nhiều khách hàng trên cùng 1 hệ thống

 Tính di động

 Tăng số lượng segments lớp 2

 Multi-path Layer 2

 VM có thể di chuyển giữa các Server hiện tại trong các miền Lớp 2 riêng biệt bằng

cách tạo đường hầm truy cập thông qua mạng IP

 Linh hoạt trong hệ thống mạng có nhiều phân đoạn

 Tận dụng tốt hơn các kết nối mạng khả dụng trong cơ sở hạ tầng bên dưới

1.4 Ưu điểm của mô hình triển khai VxLAN

 So sánh VxLAN và VLAN:

 Với tiêu chuẩn IEEE 802.1Q dùng VLAN trunking, có tối đa 4094 VLAN

 VLAN chỉ hoạt động ở Layer 2 chứ không phải ở Layer 3 (theo mô hình OSI)

 Thực tế cho thấy Vlan truyền thống là không đủ đáp ứng các yêu cầu phức tạp của các nhà cung cấp dịch vụ đám mây

 VXLAN cung cấp khả năng mở rộng mạng Lớp 2 trên một mạng IP

 VXLAN là kỹ thuật ảo hóa mạng cho phép người dùng tạo một mạng logic cho các máy ảo (VM) trên các mạng khác nhau

 có khả năng có thể tạo 16 triệu mạng con bằng kỹ thuật VXLAN

 phân chia hệ thống mạng logic hơn trong một hệ thống lớn và có thể chứa nhiều máy ảo hơn

1.4 Ưu điểm của mô hình triển khai VxLAN

 Tại sao chọn VxLAN thay thế VLAN:

 VXLAN cho phép bạn tạo các vùng quản trị Lớp 2 nhỏ hơn được kết nối qua mạng Lớp 3

 VXLAN tạo ra cuộc cách mạng lớn trong việc xây dựng các trung tâm dữ liệu đám mây

 VXLAN: Xu thế của hệ thống mạng trong tương lai

 Khi so sánh VXLAN với Vlan, VXLAN chắc chắn là một giải pháp tốt hơn với lợi ích rõ ràng

 Công nghệ VXLAN có nghĩa là cung cấp các dịch vụ tương tự được kết nối với các

hệ thống đầu cuối Ethernet mà Vlan thực hiện ngày nay

 VXLAN vẫn đảm bảo được ranh giới logic của các VM và dữ liệu được truyền tải thông qua mạng IP qua đó nâng cao độ tin cậy và khả năng mở rộng hệ thống

1.4 Ưu điểm của mô hình triển khai VxLAN

 Lợi ích của kiểu gói dùng UDP trong VxLan

 Bất kỳ thiết bị định tuyến IP nào cũng có thể mang một gói tin VxLAN

 Địa chỉ IP nguồn trong header này sẽ là địa chỉ của node mạng đang đóng gói

gói tin vào trong VxLAN

 các node mạng trung gian không cần biết, không cần hiểu và không cần diễn

dịch các header VxLAN bên trong

 Đặc điểm này cho phép VxLAN hoạt động như một lớp trung chuyển bên

trên của một hạ tầng mạng IP bên dưới

Tổng kết chương I

 VxLAN hỗ trợ các mạng ảo (Virtual Network Support)

 Khả năng mang giá trị VNI có chiều dài 24 bit bên trong VxLAN header

mang lại giá trị rất lớn

 Giá trị VNI tương ứng với giá trị VRF

 Khi mở gói VxLAN, gói tin cùng sẽ được gán lại giá trị VRF tương ứng

 VxLAN cung cấp một khả năng nhận biết các phân đoạn mạng và khả năng

hỗ trợ các hạ tầng mạng bảo mật cao

Tổng kết chương I

 VxLAN hỗ trợ đánh dấu SGT (Scalable Group Tag) cho các nhóm người dùng và

 Ưu điểm nổi trội khi triển khai các giải pháp mạng doanh nghiệp

 VxLAN mang đến các chức năng đóng gói rất quan trọng trong một mạng ảo

 Các khả năng của VxLAN bao gồm khả năng chuyên chở các dữ liệu ở lớp 2

và lớp 3 trên toàn mạng

 VxLAN cũng có khả năng mang các giá trị về mạng ảo, giá trị SGT

Tổng kết chương I

CHƯƠNG II: TRIỂN KHAI CÁC GIAO THỨC

2.1.Định dạng đóng gói VXLAN

VXLAN là một kỹ thuật ảo hóa mạng sử dụng đóng gói MAC-trong-UDP bằng cách thêm một tiêu đề UDP và một tiêu đề VXLAN trước một gói Ethernet thô

VXLAN Header :

 VXLAN Flags (8 bit)

 VNI (24 bit): Mã định danh mạng VXLAN được sử dụng để xác định một đoạn VXLAN

 Các trường dành riêng (24 bit và 8 bit): phải được thiết lập bằng 0

Outer UDP Header:

 DestPort: số cổng đích là 4789 cho UDP

 Source Port: số cổng nguồn, được tính bằng cách thực hiện thao tác băm trên các tiêu đề khung Ethernet bên trong

2.1.Định dạng và đóng gói VXLAN

Outer IP Header:

• IP SA: địa chỉ IP nguồn, là địa chỉ IP của VTEP cục

bộ của đường hầm VXLAN.

• IP DA: địa chỉ IP đích, là địa chỉ IP của VTEP từ xa

của đường hầm VXLAN.

Outer Ethernet Header:

• MAC DA: địa chỉ MAC đích, là địa chỉ MAC được

ánh xạ tới địa chỉ IP bước tiếp theo dựa trên địa chỉ

VTEP đích trong bảng định tuyến của VTEP mà máy

ảo gửi gói tin cư trú.

• MAC SA: địa chỉ MAC nguồn, là địa chỉ MAC của

VTEP mà máy ảo gửi gói tin cư trú.

• Thẻ 802.1Q: Thẻ VLAN mang trong các gói tin

Trường này không bắt buộc.

• Ethernet type: Loại khung Ethernet.

2.2.Thiết lập đường hầm VXLAN

 VTEP:

 VTEP là một thiết bị biên trên mạng VXLAN Nó có thể là một thiết

bị mạng độc lập (chẳng hạn như bộ chuyển mạch Huawei CloudEngine) hoặc bộ chuyển mạch ảo được triển khai trên máy chủ.

 VTEP là điểm bắt đầu hoặc điểm kết thúc của một đường hầm VXLAN, đóng gói và giải mã các khung dữ liệu người dùng ban đầu tương ứng.

2.2.Thiết lập đường hầm VXLAN

 Thiết lập đường hầm VTEP VXLAN

Một đường hầm VXLAN được thiết lập giữa hai VTEP Miền Layer 2 có thể vượt qua ranh giới lớp vật lý thông qua các đường hầm VXLAN, giúp cho việc giao tiếp giữa các máy ảo trên mạng Lớp 2 lớn có thể thực hiện được Do đó, tất cả các VTEP trong một Same Large Layer 2 Domain phải thiết lập các đường hầm VXLAN giữa chúng

 Phương pháp thiết lập đường hầm VXLAN

 Có hai phương pháp để thiết lập một đường hầm VXLAN:

2.3.Mặt phẳng điều khiển VXLAN

 Hai mặt phẳng điều khiển được chấp nhận rộng rãi được sử dụng với VXLAN:

 Mặt phẳng điều khiển dựa trên VXLAN Flood và Learn Multicast.

 Mặt phẳng điều khiển VXLAN MPBGP EVPN.

2.4.VXLAN Gateway

 VXLAN Gateway được sử dụng để kết nối VXLAN và các phân đoạn VLAN để tạo miền chuyển tiếp chung để các thiết bị của đối tượng thuê có thể cư trú trong cả hai môi trường.

 Có 2 loại cổng VXLAN:

 Layer 2 Gateway.

 Layer 3 Gateway

2.5 Tính khả dụng cao của VxLAN

- Các thiết bị chuyển mạch vPC cung cấp vPC cho kết nối máy chủ dự phòng trong khi chạy riêng các giao thức lớp 3 với các thiết bị ngược dòng trong mạng lớp dưới.

- Sử dụng 1 cặp chuyển mạch kênh cổng ảo ( vPC) như một thiết bị VTEP logic để chia sẻ địa chỉ VTEP anycast

2.5 Tính khả dụng cao của VxLAN

- Các thiết bị sẽ quảng cáo địa chỉ VTEP trên mạng lớp dưới để các thiết bị tự tìm hiểu tuyến đường từ cả 2 vPC, từ đó chúng có thể tải – chia sẻ lưu lượng đóng gói

VxLAN giữa chúng

- Trường hợp lỗi liên kết ngang hàng vPC, công tắc thứ cấp hoạt động vPC sẽ tắt giao diện lặp lại của nó được liên kết với

VXLAN NVE

- Việc tắt này sẽ khiến các thiết bị ngược dòng trong mạng lớp dưới bắt đầu gửi tất cả lưu lượng chỉ đến công tắc vPC chính

- Mục đích của quá trình này là để tránh tình huống vPC hoạt động tích cực khi liên kết ngang hàng bị ngắt và các thiết bị mồ côi được kết nối với công tắc vPC phụ sẽ không thể nhận lưu lượng VXLAN

2.6 VxLAN định tuyến đa phương tiện cho người thuê

- Đa hướng định tuyến cho người thuê (TRM) dựa trên mặt phẳng điều khiển thế

hệ tiếp theo tiêu chuẩn (ngMVPN) được

mô tả trong IETF RFCs 6513 và 6514 cho phép phân phối lưu lượng đa hướng Lớp

3 của khách hàng trong một kết cấu đa đối tượng và điều này một cách hiệu quả

và linh hoạt

- Khi TRM được bật, chuyển tiếp đa hướng trong lớp dưới được tận dụng để tái tạo lưu lượng đa hướng được định tuyến được đóng gói VXLAN

- Ưu điểm của việc sử dụng cách tiếp cận dựa trên BGP là TRM có thể hoạt động như một điểm hẹn lớp phủ phân tán hoàn toàn (RP), với sự hiện diện RP trên mọi thiết bị biên (VTEP)

- Cấu trúc trung tâm dữ liệu hỗ trợ đa hướng thường là một phần của mạng đa hướng.

- Các nguồn phát đa hướng, bộ thu và thậm chí là điểm hẹn phát đa hướng có thể nằm bên trong trung tâm dữ liệu hoặc nằm trong khuôn viên trường hoặc có thể truy cập bên ngoài qua mạng WAN

- TRM cho phép tích hợp liền mạch với các mạng đa hướng hiện có

- Nó cho phép kết nối bên ngoài nhận biết đối tượng thuê sử dụng giao diện vật lý Lớp 3 hoặc giao diện con

CHƯƠNG III: MỘT SỐ CÔNG NGHỆ SỬ DỤNG TRONG VXLAN

 BGP

 eVPN

- Sau khi đã tạo được các peer kết nối, BGP speaking device sẽ sử dụng thông tin mà chúng có được tạo ra một BGP graph và bắt đầu trao đổi thông tin định tuyến

- Trong lúc khởi tạo BGP speaking sẽ trao đổi toàn bộ bảng đinh tuyến của nó và trao đổi thông tin update từng phần giữa các peer với nhau và trao đổi bản tin để duy trì kết nối

- Các bộ định tuyến chạy eBGP “thường” được kết nối trực tiếp với nhau eBGP multi-hop cho phép các hàng xóm eBGP không được kết nối trực tiếp

Một số yêu cầu đối với mối quan hệ láng giềng eBGP:

+ Số AS khác nhau

+ Xác định hàng xóm

+ Khả năng tiếp cận

- Đối số AS-number xác định xem bộ định tuyến hàng xóm là eBGP hay hàng xóm iBGP + Các số AS khác nhau có nghĩa là các đồng nghiệp eBGP

+ Các số AS giống nhau có nghĩa là các đồng nghiệp iBGP

3.2 eVPN

- eVPN cũng được đặt tên là Ethernet VPN Nó phần lớn được coi là một giải pháp mặt phẳng điều khiển thống nhất cho VxLAN không có bộ điều khiển, cho phép xây dựng và triển khai các VxLAN ở quy mô

- eVPN dựa trên BGP đa giao thức (MP-BGP) để vận chuyển cả thông tin IP lớp 2 và lớp 3 cùng một lúc,

nó cho phép phân tách giữa lớp dữ liệu và lớp mặt phẳng điều khiển

- Do dựa trên BGP, do đã có sẵn địa chỉ MAC và IP của tất cả các bộ định tuyến nên việc định tuyến và tối ưu hóa trong mạng trở nên khả thi, tình trạng nghẽn lưu lượng được giảm thiểu

- Việc định tuyến lưu lượng giữa VxLAN và giao diện logic Layer 3 bị vô hiệu hóa Nếu chức năng

bị vô hiệu hóa, giao diện logic Layer 3 thuần túy trên switch A sẽ giảm lưu lượng Layer 3 khỏi lưu lượng được đóng gói A và VxLAN khỏi switch B

- Để ngăn sự giảm lưu lượng này, ta có thể cấu hình lại giao diện logic Layer 3 thuần túy như giao diện logic Layer 2

- Sau đó ta cần liên kết giao diện này với Vlan giả

và mã định danh mạng VXLAN giả (VNI), một giao diện định tuyến và bắc cầu tích hợp (IRB) được tạo, cung cấp chức năng Layer 3 trong Vlan giả

Dựa vào các giao thức đã có, từ đó ra đời kiến trúc đa điểm VxLAN – eVPN là thiết kế dành cho mạng lớp phủ.

Nó cho phép kết nối nhiều loại vải VxLAN BGP eVPN riêng biệt hoặc các miền lớp phủ, và nó cho phép các phương pháp tiếp cận mới đối với việc mở rộng quy mô vải, chia ngăn và DCI

Kiến trúc eVPN multi- Site

Một số yêu cầu thiết bị và phần cứng/ mềm đối với kiến trúc eVPN Multi-Site

• Cổng biên giới: thành phần chức năng chính của kiến trúc eVPN Multi-Site là cổng biên giới, hoặc BGW Nó được kết nối với các VTEP nội bộ và với một mạng lưới vận tải bên ngoài trang web cho phép lưu lượng truy cập đến các BGW ở các trang web từ xa

sự ngang hàng hay quan hệ hàng xóm để

eBGP có thể bình bầu người được chỉ định

Kết Luận

Như vậy kiến trúc eVPN Multi-Site có nhiều kịch bản triển khai khác nhau áp dụng cho các

trường hợp sử dụng khác nhau Cấu trúc liên kết hoạt động tốt nhất phụ thuộc vào trường hợp sử dụng Dựa vào cách thức hoạt động mà eVPN mang lại thì VxLAN có thể triền khai theo các mô hình khác nhau phụ thuộc vào điêu kiện và cách sử dụng khác nhau Có thể coi rằng eBGP và eVPN là công nghệ được ứng dụng thực tế cho VxLAN một cách tốt nhất hiện nay

CHƯƠNG IV: MÔ HÌNH VÀ CÁCH THỨC TRIỂN KHAI

4.1.Mô hình mạng cho VxLan

• Với công nghệ mạng mới như

VxLAN thì mô hình mạng

truyền thống không thể đáp ứng

được yêu cầu về sự linh hoạt,

khả năng mở rộng theo hàng

ngang Và mô hình mạng mới ra

đời là điều tất yếu, tên gọi của nó

là Clos Model và tên quen thuộc

là LeafSpine

Hình 4.1: Leaf - spine and Traditional

4.1.Mô hình mạng cho VxLan

Lợi ích mà Leaf-Spine đem lại gồm:

- Khả năng mở rộng theo hàng ngang.

- Multiple Path per Destination cho phép áp dụng ECMP một cách hiệu quả.

- Với mô hình triển khai thực tế thì không chỉ có LEAF và SPINE mà còn có thêm thành phần Border Gateway (BGW) chính là thành phần CORE như ở hình dưới

- Nhiệm vụ của BGW là giao tiếp với các phân vùng mạng khác

Hình 4.2: LEAF-SPINE-BGW