Entendendo as VXLANs

A tecnologia VXLAN permite segmentar suas redes (como as VLANs), mas oferece benefícios que as VLANs não conseguem. Aqui estão os benefícios mais importantes do uso de VXLANs:

• Teoricamente, você pode criar até 16 milhões de VXLANs em um domínio administrativo (em oposição a 4094 VLANs em um dispositivo da Juniper Networks).

  • Os roteadores da Série MX e os switches EX9200 oferecem suporte a até 32.000 VXLANs, 32.000 grupos multicast e 8000 endpoints de túneis virtuais (VTEPs). Isso significa que as VXLANs baseadas em roteadores da Série MX fornecem segmentação de rede na escala exigida pelos construtores de nuvem para oferecer suporte a um número muito grande de locatários.

  • os switches da Série QFX10000 oferecem suporte a 4000 VXLANs e 2000 VTEPs remotos.

  • QFX5100, QFX5110, QFX5200, QFX5210 e switches EX4600 oferecem suporte a 4000 VXLANs, 4000 grupos multicast e 2000 VTEPs remotos.

  • Os switches EX4300-48MP oferecem suporte a 4000 VXLANs.

• Você pode permitir a migração de máquinas virtuais entre servidores que existem em domínios de Camada 2 separados, tunelando o tráfego em redes de Camada 3. Essa funcionalidade permite alocar dinamicamente recursos dentro ou entre data centers sem ser restringido pelos limites da Camada 2 ou ser forçado a criar domínios de Camada 2 grandes ou geograficamente estendidos.

Usar VXLANs para criar domínios menores de Camada 2 conectados em uma rede de Camada 3 significa que você não precisa usar o Spanning Tree Protocol (STP) para convergir a topologia, mas pode usar protocolos de roteamento mais robustos na rede de Camada 3. Na ausência de STP, nenhum dos seus links está bloqueado, o que significa que você pode obter o valor total de todas as portas que você compra. Usar protocolos de roteamento para conectar seus domínios de Camada 2 também permite que você balancee o tráfego para garantir que você tenha o melhor uso da sua largura de banda disponível. Dada a quantidade de tráfego leste-oeste que muitas vezes flui dentro ou entre data centers, maximizar o desempenho da sua rede para esse tráfego é muito importante.

O vídeo Por que usar uma rede overlay em um data center? apresenta uma breve visão geral das vantagens do uso de VXLANs.

O VXLAN é frequentemente descrito como uma tecnologia de sobreposição porque permite estender as conexões de Camada 2 em uma rede de Camada 3 intervindo encapsulando quadros Ethernet (tunelamento) em um pacote VXLAN que inclui endereços IP. Dispositivos que oferecem suporte a VXLANs são chamados de endpoints de túnel virtual (VTEPs) — eles podem ser hosts finais ou switches de rede ou roteadores. Os VTEPs encapsulam o tráfego VXLAN e des encapsulam esse tráfego quando ele sai do túnel VXLAN. Para encapsular um quadro Ethernet, os VTEPs adicionam vários campos, incluindo os seguintes campos:

• Endereço de destino do controle de acesso de mídia externa (MAC) (endereço MAC do VTEP de endpoint do túnel)

• Endereço fonte MAC externo (endereço MAC do VTEP de origem do túnel)

• Endereço de destino IP externo (endereço IP do ponto de extremidade do túnel VTEP)

• Endereço de origem IP exterior (endereço IP do VTEP de origem do túnel)

• Cabeçalho externo de UDP

• Um cabeçalho VXLAN que inclui um campo de 24 bits — chamado de identificador de rede VXLAN (VNI) — que é usado para identificar o VXLAN com exclusividade. O VNI é semelhante a um VLAN ID, mas ter 24 bits permite que você crie muito mais VXLANs do que VLANs.

A Figura 1 mostra o formato de pacote VXLAN.

Figura 1: Formato de pacote VXLAN

O Junos OS oferece suporte à implementação de VXLANs nos seguintes ambientes:

• VXLAN manual — Neste ambiente, um dispositivo da Juniper Networks atua como um dispositivo de trânsito para dispositivos downstream que atuam como VTEPs, ou um gateway que fornece conectividade para servidores downstream que hospedam máquinas virtuais (VMs), que se comunicam por uma rede de Camada 3. Nesse ambiente, os controladores de redes definidas por software (SDN) não são implantados.

  Nota:

  QFX10000 switches não oferecem suporte a VXLANs manuais.

• OVSDB-VXLAN — Neste ambiente, os controladores SDN usam o protocolo de gerenciamento de banco de dados vSwitch aberto (OVSDB) para fornecer um meio através do qual controladores (como um VMware NSX ou controlador Contrail da Juniper Networks) e dispositivos Juniper Networks que oferecem suporte ao OVSDB podem se comunicar.

• EVPN-VXLAN — Nesse ambiente, a VPN Ethernet (EVPN) é uma tecnologia de plano de controle que permite que hosts (servidores físicos e VMs) sejam colocados em qualquer lugar de uma rede e permaneçam conectados à mesma rede de sobreposição lógica de Camada 2, e a VXLAN cria o plano de dados para a rede overlay de Camada 2.

Você pode configurar os switches para desempenhar todas as seguintes funções:

• (Todos os switches, exceto EX4300-48MP) Em um ambiente sem um controlador SDN, atue como um switch de camada 3 de trânsito para hosts downstream atuando como VTEPs. Nesta configuração, você não precisa configurar nenhuma funcionalidade VXLAN no switch. Você precisa configurar O IGMP e o PIM para que o switch possa formar as árvores multicast para os grupos multicast VXLAN. (Veja VXLANs manuais que exigem PIM para obter mais informações.)

• (Todos os switches, exceto EX4300-48MP) Em um ambiente com ou sem um controlador SDN, atue como um gateway de Camada 2 entre redes virtualizadas e nãovirtualizadas no mesmo data center ou entre data centers. Por exemplo, você pode usar o switch para conectar uma rede que usa VXLANs a uma que usa VLANs.

• (switches EX4300-48MP) Atue como um gateway de Camada 2 entre redes virtualizadas e nãovirtualizadas em uma rede de campus. Por exemplo, você pode usar o switch para conectar uma rede que usa VXLANs a uma que usa VLANs.

• (Todos os switches, exceto EX4300-48MP) Atue como um gateway de Camada 2 entre redes virtualizadas nos mesmos ou diferentes data centers e permita que as máquinas virtuais movam (VMotion) entre essas redes e data centers. Por exemplo, se você quiser permitir o VMotion entre dispositivos em duas redes diferentes, você pode criar a mesma VLAN em ambas as redes e colocar ambos os dispositivos nessa VLAN. Os switches conectados a esses dispositivos, atuando como VTEPs, podem mapear essa VLAN para o mesmo VXLAN, e o tráfego VXLAN pode então ser roteado entre as duas redes.

• (switches de QFX5110 e QFX5120 com EVPN-VXLAN) Atue como um gateway de Camada 3 para rotear o tráfego entre diferentes VXLANs no mesmo data center.

• (switches de QFX5110 e QFX5120 com EVPN-VXLAN) Atue como um gateway de Camada 3 para rotear o tráfego entre diferentes VXLANs em diferentes data centers por uma WAN ou internet usando protocolos de roteamento padrão ou túneis de serviço de LAN privada virtual (VPLS).

Como os cabeçalhos adicionam de 50 a 54 bytes, você pode precisar aumentar o MTU em um VTEP para acomodar pacotes maiores. Por exemplo, se o switch estiver usando o valor mtu padrão de 1514 bytes e quiser encaminhar pacotes de 1500 byte pelo VXLAN, você precisa aumentar o MTU para permitir o aumento do tamanho do pacote causado pelos cabeçalhos adicionais.

Começando pelo Junos OS Release 14.1X53-D25 em switches de QFX5100, Versão Junos OS 15.1X53-D210 em QFX5110 e switches QFX5200, o Junos OS Release 18.1R1 em switches QFX5210 e o Junos OS Release 18.2R1 nos switches EX4600, você pode configurar a porta UDP usada como porta de destino para tráfego VXLAN. Para configurar a porta de destino VXLAN para ser algo diferente da porta UDP padrão do 4789, digite a seguinte declaração:

set protocols l2-learning destination-udp-port port-number

A porta configurada será usada para todas as VXLANs configuradas no switch.

Quando o switch atua como um VTEP recebe um pacote de broadcast, unicast desconhecido ou multicast, ele executa as seguintes ações no pacote:

1. Ele des encapsula o pacote e o entrega aos hosts conectados localmente.

2. Em seguida, ele adiciona o encapsulamento VXLAN novamente e envia o pacote para os outros VTEPs no VXLAN.

Essas ações são realizadas pela interface de loopback usada como endereço de túnel VXLAN e, portanto, podem afetar negativamente a largura de banda disponível para o VTEP. Começando pelo Junos OS Release 14.1X53-D30 para switches QFX5100, Junos OS Release 15.1X53-D210 para switches QFX5110 e QFX5200, Junos OS Release 18.1R1 para switches QFX5210 e Junos OS Release 18.2R1 para switches EX4600, se você souber que não há receptores multicast vinculados a outros VTEPs no VXLAN que queiram tráfego para um grupo multicast específico, você pode reduzir a carga de processamento na interface de loopback digitando a seguinte declaração:

Neste caso, nenhum tráfego será encaminhado para o grupo especificado, mas todo o tráfego multicast será encaminhado. Se você não quiser encaminhar nenhum tráfego multicast para outros VTEPs no VXLAN, digite a seguinte declaração:

Você pode configurar um roteador da Série MX, switch EX9200 ou QFX10000 switch para atuar como um VTEP e executar todas as seguintes funções:

• Atue como um gateway de Camada 2 entre redes virtualizadas e nãovirtualizadas no mesmo data center ou entre data centers. Por exemplo, você pode usar um roteador da Série MX para conectar uma rede que usa VXLANs a uma que usa VLANs.

• Atue como um gateway de Camada 2 entre redes virtualizadas nos mesmos ou diferentes data centers e permita que as máquinas virtuais movam (VMotion) entre essas redes e data centers.

• Atue como um gateway de Camada 3 para rotear o tráfego entre diferentes VXLANs no mesmo data center.

• Atue como um gateway de Camada 3 para rotear o tráfego entre diferentes VXLANs em diferentes data centers por uma WAN ou internet usando protocolos de roteamento padrão ou túneis de serviço de LAN privada virtual (VPLS).

Em um ambiente com um controlador (como um VMware NSX ou controlador Juniper Networks Contrail), você pode provisionar VXLANs em um dispositivo da Juniper Networks. Um controlador também fornece um plano de controle que os VTEPs usam para anunciar sua acessibilidade e aprender sobre a acessibilidade de outros VTEPs. Você também pode criar VXLANs manualmente em dispositivos Juniper Networks em vez de usar um controlador. Se você usa essa abordagem, você também deve configurar o Protocol Independent Multicast (PIM) nos VTEPs para que eles possam criar túneis VXLAN entre si.

Você também deve configurar cada VTEP em um determinado VXLAN para ser um membro do mesmo grupo multicast. (Se possível, você deve atribuir um endereço de grupo multicast diferente a cada VXLAN, embora isso não seja necessário. Várias VXLANs podem compartilhar o mesmo grupo multicast.) Os VTEPs podem então encaminhar solicitações de ARP que recebem de seus hosts conectados para o grupo multicast. Os outros VTEPs do grupo des encapsulam as informações de VXLAN e (assumindo que são membros da mesma VXLAN) encaminham a solicitação de ARP para seus hosts conectados. Quando o host alvo recebe a solicitação de ARP, ele responde com seu endereço MAC, e seu VTEP encaminha esta resposta ARP de volta ao VTEP de origem. Através desse processo, os VTEPs aprendem os endereços IP dos outros VTEPs no VXLAN e nos endereços MAC dos hosts conectados aos outros VTEPs.

Os grupos e árvores multicast também são usados para encaminhar tráfego de broadcast, unicast desconhecido e multicast (BUM) entre VTEPs. Isso impede que o tráfego BUM seja desnecessariamente inundado fora da VXLAN.

As rotas de Camada 3 que formam túneis VXLAN usam o balanceamento de carga por pacote por padrão, o que significa que o balanceamento de carga é implementado se houver caminhos de ECMP para o VTEP remoto. Isso é diferente do comportamento normal de roteamento no qual o balanceamento de carga por pacote não é usado por padrão. (O roteamento normal usa o balanceamento de carga por prefixo por padrão.)

O campo de porta de origem no cabeçalho UDP é usado para permitir o balanceamento de carga de ECMP do tráfego VXLAN na rede de Camada 3. Este campo é definido para um hash dos campos de pacotes internos, o que resulta em uma variável que o ECMP pode usar para distinguir entre túneis (fluxos).

Nenhum dos outros campos que o ECMP baseado em fluxo normalmente usa é adequado para uso com VXLANs. Todos os túneis entre os mesmos dois VTEPs têm os mesmos endereços IP de origem e destino externos, e a porta de destino UDP está definida para porta 4789 por definição. Portanto, nenhum desses campos fornece uma maneira suficiente para o ECMP diferenciar fluxos.

Quando um switch de QFX5120 tenta tunelar o tráfego em interfaces de camada 3 ou interfaces IRB voltadas para o núcleo, o switch derruba os pacotes. Para evitar esse problema, você pode configurar um firewall simples baseado em filtro de dois prazos na interface taged ou IRB da Camada 3.

Por exemplo:

O termo 1 combina e aceita o tráfego destinado ao switch QFX5210, identificado pelo endereço IP VTEP de origem (192.168.0.1/24) atribuído à interface de loopback do switch. Para o termo 1, observe que ao especificar uma ação, você pode, alternativamente, contar o tráfego em vez de aceitá-lo.

O termo 2 combina e encaminha todo o tráfego de dados para uma instância de roteamento (rota 1), que é a interface configurada et-0/0/3.

Neste exemplo, observe que a interface et-0/0/3 é referenciada pela rota de instância de roteamento1. Como resultado, você deve incluir o set firewall family inet filter vxlan100 term 2 then routing-instance route1 comando. Sem esse comando, o filtro de firewall não funcionará corretamente.

Nos switches QFX5100 e QFX5110, você pode usar e traceroute comandos para solucionar problemas de ping fluxo de tráfego por meio de um túnel VXLAN, incluindo o overlay parâmetro e várias opções. Você usa essas opções para forçar os ping pacotes ou traceroute pacotes a seguir o mesmo caminho que os pacotes de dados através do túnel VXLAN. Em outras palavras, você faz os pacotes underlay (ping e traceroute) tomar a mesma rota que os pacotes overlay (tráfego de dados). Consulte o overlay de ping e traceroute overlay para obter mais informações.

RFCs e rascunhos de Internet que definem padrões para VXLAN:

• RFC 7348, Virtual eXtensible Local Area Network (VXLAN): uma estrutura para sobrepor redes virtualizadas de camada 2 em redes de camada 3

• Rascunho do rascunho da Internet-ietf-nvo3-vxlan-gpe, Extensão de protocolo genérico para VXLAN