华为FusionSphere 3.1 VXLAN技术白皮书

华为FusionSphere 3.1 VXLAN技术白皮书

版权所有? 华为技术有限公司2013。保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明

和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意

您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司

地址：深圳市龙岗区坂田华为总部办公楼邮编：518129

网址：https://www.doczj.com/doc/989307611.html,

客户服务邮箱：support@https://www.doczj.com/doc/989307611.html,

客户服务电话：0755-******** 4008302118

客户服务传真：0755-********

目录

目录

1 VXLAN概述 (3)

1.1 产生背景 (3)

1.2 技术简介 (3)

1.3 总结 (7)

2 华为方案简介 (8)

2.1 方案概述 (8)

2.2 方案架构 (8)

2.3 方案特点 (9)

3 VXLAN配置管理 (10)

3.1 准备工作 (10)

3.2 VXLAN配置 (10)

4 VXLAN应用场景 (12)

1 VXLAN概述

1.1 产生背景

服务器虚拟化后，数据中心内部VM的数量比原有的物理机发生了数量级的变化，与之对应的虚拟机虚拟网卡的MAC地址数量也相应的增加，这对原有的TOR交换机的

地址容量能力产生了很大冲击。其次，大规模数据中心以及公有云的场景下，原有的数

据中心用来划分虚拟网络的VLAN技术不再能够满足需求，因为现有VLAN只有4094

个虚拟网络标识可用。另一方面，云数据中心中虚拟机可以进行一定范围的迁移，在

VLAN网络下，虚拟机只能在二层网络下迁移，并且为了能够支持虚拟机的迁移，需要

对二层网络中进行VLAN的预配置，因而造成VLAN配置的滥用，影响VLAN广播域

的隔离，降低了网络的效率。

VXLAN(Virtual eXtensible Local Area Network，全称虚拟扩展局域网)这一标准就是在这种背景下应运而生的，VXLAN是一种进行大二层虚拟网络扩展的隧道封装技术，

很好地解决了上述问题。目前这个技术在IETF已经是标准草案，并已经成为业界主流

的虚拟网络技术之一。

1.2 技术简介

VXLAN技术是一种大二层的虚拟网络技术，主要的技术原理就是引入一个UDP 格式的外层隧道，作为数据的链路层，而原有数据报文内容作为隧道净荷来传输。由于

外层采用了UDP作为传输手段，就可以让净荷数据轻而易举的在二三层网络中传送，

为了能够支持原有VLAN广播域寻址能力，VXLAN还引入了三层IP组播来代替以太

网的广播，让BUM（Broadcast广播，unknown unicast，multicast）报文通过广播方式

在虚拟网络中传送。

1)标准说明

?VXLAN报文的格式

图 1 VXLAN报文格式

如上，包括VXLAN外层封装和内层的原始净荷。

其中

●Flags (8 bits) 其中I必须被设置为1，才是有效的。R需设为0。

●VXLAN Segment ID/VXLAN Network Identifier (VNI) –为24bit，是虚拟

网络的标识。

●Reserved fields (24 bits and 8 bits) –必须被设置为0.

●VXLAN外层隧道的目的端口号为4789，为专为VXLAN分配的端口号。

说明：VXLAN引入了一个VXLAN ID（VNI - VXLAN Network Identifier)来作为虚拟网络的标识，为24bits，与原有的VLAN 12bits长度相比，VXLAN ID长度增加了一倍，可以支持16M个虚拟网络。

?VTEP

在VXLAN标准中，引入了一个VTEP(VXLAN Tunnel End Point)的逻辑体，来完成VXLAN报文的封装和解封装。VTEP与物理网络相连，分配有物理网络的IP地址，该地址与虚拟网络无关。

图 2 VXLAN虚拟网络的示意图

?VXLAN网关

为了让VXLAN虚拟网络之间以及虚拟网络与物理网络之间能够进行通信，VXLAN标准还定义了一个VXLAN网关实体。

3 VXLAN网关工作的示意图

?VXLAN的组播学习过程

图 4 VM1与VM3的通信过程示意图（1）

图 5 VM1与VM3的通信过程示意图（2）

VM1与VM3的通信过程步骤说明：

1）VM发送ARP广播报文，到达VTEP后，VTEP将广播报文封装为组播报文发送到L3网络中；

2）VTEP2收到组播报文后，首先学习VM1-VTEP1之间的映射关系，并把组播报文转发给本地的VM3；

3）VM3进行单播的应答；

4）VTEP2封装VXLAN隧道，并根据学习到的映射表，封装成VTEP1的外层地址，

单播发送给VTEP1.

5）VTEP1收到应答后，学习VM3-VTEP2之间的地址映射，并去掉隧道转发报文给

VM1.

6）后续VM1与VM3之间就可以按照单播进行正常的隧道报文通信了。

注：由于VXLAN对原始报文增加了外层隧道，隧道的长度在IPV4场景下是50

字节，因此在进行VXLAN通信环境构建中，需要考虑把VXLAN路径上的路由

器和交换机的最大MTU进行相应调整。

1.3 总结

VXLAN技术解决了云数据中心中的诸多问题，主要包括：

?解决了VLAN网络下虚拟网络数量不足的问题；

24bit的网络标识，支持16M虚拟网络。

?解决了对物理交换机地址表能力不足的问题；

交换机所连接的服务器包含多个虚拟机，每个虚拟机都有自己的MAC地址，当

虚拟机数量很多时，会导致交换机的MAC地址表溢出，从而导致数据帧的丢弃

或者产生大量的广播帧，严重影响网络的性能；而VXLAN封装隧道后，TOR交换

机只需要看到VTEP的外层IP地址，因此不需要再学习虚拟网卡的MAC地址。

?实现了物理网络与虚拟网络的解耦。让云数据中心组网更加灵活，扩容更加方

便，不再有二层网络的限制。VM的迁移也可以实现跨越三层。

传统网络为了支持虚拟机live migrate的特性，要保证虚拟机的IP地址和MAC

地址在迁移前后保持不变。目前数据中心的虚拟机只能在同一个IP子网内实现

live migrate。通常同一个IP子网的虚拟机配置在一个VLAN中，而一个VLAN只

能在一个二层网络中。即目前的虚拟机只能在二层网络中实时迁移，无法支持

任意位置的迁移。VXLAN通过增加UDP隧道，使得虚拟网络内的净荷通信不再受

到二层限制，可以任意穿越三层网络。

2 华为方案简介

2.1 方案概述

华为VXLAN采用了VXLAN与VLAN兼容的方式进行扩展，在原有的虚拟交换机上叠加了VTEP功能，来实现对VXLAN虚拟网络功能的支持。在虚拟交换机的管理，维护，

监控等方面，仍然延续VLAN时采用的方式，简化用户的操作。

VTEP VTEP VTEP

2.2 方案架构

如图所示，华为的VXLAN VTEP是基于虚拟交换机软件基础上叠加了VTEP功能，

采用OS协议栈的组播管理协议实现组播的加入和退出。

2.3 方案特点

1.支持VLAN/VXLAN混合模式

a)支持VLAN和VXLAN混合的模式，VNI=1~4095（VLAN），VNI>4095（VXLAN），

支持16M虚拟子网

b)一个vPort只能工作在普通VLAN或VXLAN模式，不能同时支持，VM无感

知

2.IGMP在位于Dom 0的VSA 来完成，一个组播地址可以复用给多个VNI。

3.VXLAN网关支持的VXLAN数量不受VM虚拟网卡数量的限制。

3 VXLAN配置管理

3.1 准备工作

在进行VXLAN配置前，需要做以下准备工作：

●VXLAN VTEP功能在主机虚拟交换机中，虚拟交换机的Uplink端口的最大MTU，以

及与Uplink相连的交换机端口，路由器接口需要配置的比VM虚拟网卡的最大MTU

值增加50字节。如果无法操作的的话，也可以把VM的最大MTU值减小50字节。

●VXLAN外层隧道使用了目的端口号4789作为VXLAN隧道的标识，在隧道所经过的

物理防火墙中，要配置允许目的端口号4789的UDP报文通过。

●TOR交换机需要支持IGMP功能；

●VXLAN经过的L3交换机以及路由器需要支持组播路由协议PIM。

3.2 VXLAN配置

VXLAN作为vlan的增强能力，主要应用于虚拟交换机和VSA(虚拟机业务网关)中，其中VTEP功能作为虚拟交换机的一个增强特性功能，而VXLAN网关作为VSA一个网络业务功能。

虚拟化管理员或业务系统管理员可根据租户或业务对虚拟子网划分的需要，为每个DVS 中分配VXLAN子网资源池，为port group选择VXLAN子网标识；根据VXLAN的要求，VXLAN需要在server上指定相应的VTEP关联端口（VTEP port），并配置相应的VTEP端口外层IP地址，也可以为外层VTEP关联端口配置VLAN。

在系统中，为了便于VXLAN与VLAN的使用和配置，VLAN ID范围设定为0~4095；而VXLAN ID范围设定为4096~16777215。

配置步骤：

1.配置组播地址池

组播地址的范围为D类地址的范围：[224.0.1.0～231.255.255.255] 以及

[233.0.0.0~239.255.255.255]；为了防止组播地址与其他组播业务冲突，需要提前调研，预留出VXLAN所使用的组播地址范围。此外还要考虑组播路由器等相关组播设备对组播的支持情况。

2.创建VXLAN地址池

为用户的虚拟网络创建VXLAN VNI标识的范围，有效地址范围：4096~2^24-1。VNI地址范围对云系统来说是全局性的，所以VPC租户之间，VNI地址范围不能冲突。

3.创建端口组

创建端口组，从VXLAN的VNI池中选择VXLAN VNI。

如果创建的是一个三层虚拟网络，还需要：

4.为VXLAN虚拟网络创建子网，并配置虚拟业务网关VSA，虚拟业务网关同时也是

VXLAN网关。

4 VXLAN应用场景VXLAN有如下多个场景应用。

数据中心内的多租户网络和多子网隔离

采用VXLAN可以支持4M个虚拟网络，支持更多的租户。

虚拟机跨三层迁移

传统VLAN网络中，VM迁移只能在二层范围内进行，而使用了VXLAN后，可以简化对物理网络的要求，虚拟网络可以跨三层；VM迁移也可以跨三层。而且数据中心扩容也可以跨三层。

跨三层扩容

数据中心进行扩容时，可以采用从三层设备上进行，而不限于在二层网络设备上实施。