Unterschiede zwischen Layer 2 und Layer 3 VXLAN

Virtuelle lokale Netzwerke (VLANs) sind eine traditionelle Methode der Netzwerkvirtualisierung, die physische Netzwerke zur Isolierung und Verwaltung in mehrere logische Subnetze segmentieren. VLANs weisen jedoch in mehreren Bereichen erhebliche Einschränkungen auf:

• Skalierbarkeitsbeschränkungen: VLANs verwenden eine 12-Bit-Kennung (VLAN-ID) und unterstützen maximal 4,096 VLANs. Diese Einschränkung wird in großen Rechenzentren und Umgebungen mit mehreren Mandanten deutlich, da sie den wachsenden Netzwerkanforderungen nicht gerecht werden.
• Komplexität der Verbindung über physische Netzwerke: VLANs sind in erster Linie für einzelne Broadcast-Domänen konzipiert. Die Verbindung über physische Netzwerke erfordert komplexe Konfigurationen und zusätzliche Protokollunterstützung, wie z. B. VLAN Trunking Protocol (VTP) oder Multiple Spanning Tree Protocol (MSTP).
• Netzwerkisolierung und -sicherheit: In Umgebungen mit mehreren Mandanten basiert die VLAN-Isolierung auf der Verwaltung und Konfiguration von VLAN-IDs. Fehlkonfigurationen können zu Datenverkehrslecks oder Sicherheitslücken zwischen verschiedenen Mandanten führen.
• Mangelnde Flexibilität: Die statische Konfiguration von VLANs schränkt dynamische Netzwerkanpassungen und schnelle Reaktionen auf sich ändernde Geschäftsanforderungen und Netzwerktopologien ein.

Um die Einschränkungen herkömmlicher VLANs in Bezug auf Skalierbarkeit, Flexibilität und netzwerkübergreifende Konnektivität zu beheben, wurde Virtual Extensible LAN (VXLAN) entwickelt.

VXLAN ist eine Netzwerkvirtualisierungstechnologie, die zum Erstellen virtueller Layer-2-Netzwerke über vorhandenen Layer-3-Netzwerkinfrastrukturen entwickelt wurde und großskalige, flexible und effiziente Netzwerkarchitekturen ermöglicht.

VXLAN-Grundlagen

VXLAN (Virtual Extensible LAN) behebt die Skalierbarkeits- und Flexibilitätsbeschränkungen herkömmlicher VLANs in großen Rechenzentren und Umgebungen mit mehreren Mandanten. VXLAN erstellt ein virtuelles Layer-2-Netzwerk über die vorhandene Layer-3-Infrastruktur und ermöglicht die Konnektivität virtueller Maschinen (VM) über physische Netzwerkgrenzen hinweg.

Das Kernkonzept von VXLAN besteht darin, Ethernet-Frames, die ursprünglich in einem Layer-2-Netzwerk übertragen wurden, in Layer-3-UDP-Pakete (User Datagram Protocol) einzukapseln. Dadurch können VMs über verschiedene physische Server, Switches und sogar Rechenzentren hinweg kommunizieren. Dieser Kapselungsmechanismus verbessert nicht nur die Netzwerkskalierbarkeit, sondern auch die Netzwerkisolierung und -sicherheit in Umgebungen mit mehreren Mandanten.

Funktionsprinzipien von VXLAN

Der Kernmechanismus von VXLAN (Virtual Extensible LAN) umfasst Kapselungs- und Entkapselungstechnologie, bei der Layer-2-Ethernet-Frames zur Übertragung in Layer-3-UDP-Pakete gekapselt werden. Der detaillierte Prozess ist wie folgt:

Verkapselung:

1. Quelle: Wenn eine virtuelle Maschine (VM1) einen Ethernet-Frame sendet, wird der Frame zuerst an den VXLAN-Tunnel-Endpunkt (VTEP) übertragen.
2. VTEP-Verarbeitung: Der VTEP kapselt den ursprünglichen Layer-2-Ethernet-Frame in einem VXLAN-Header. Der VXLAN-Header enthält einen 24-Bit-VXLAN-Netzwerkbezeichner (VNI) zur Identifizierung verschiedener VXLAN-Netzwerke.
3. UDP-Kapselung: Der VXLAN-Header wird dann in ein UDP-Paket gekapselt, normalerweise unter Verwendung von Port 4789 (dem Standardport für VXLAN).
4. Schicht 3-Übertragung: Das gekapselte UDP-Paket wird über die vorhandene Layer-3-Netzwerkinfrastruktur (z. B. ein IP-Netzwerk) übertragen.

Entkapselung:

1. Reiseziel: Bei der Ankunft beim Ziel-VTEP entkapselt der VTEP das UDP-Paket und extrahiert den ursprünglichen Layer-2-Ethernet-Frame.
2. Übertragung zur Ziel-VM: Der entkapselte Ethernet-Frame wird an die Ziel-virtuelle Maschine (VM2) übertragen und ermöglicht die Kommunikation über physische Netzwerke.

VXLAN-Header-Struktur

• Flags: Normalerweise auf 0x08 gesetzt, was auf VXLAN-Kapselung hinweist.
• VNI: Identifiziert verschiedene VXLAN-Netzwerke und ermöglicht so die Netzwerkisolierung in Umgebungen mit mehreren Mandanten.

VXLAN-Tunnel-Endpunkt (VTEP)

Der VTEP ist eine kritische Komponente in der VXLAN-Architektur und verantwortlich für die VXLAN-Kapselungs- und Entkapselungsvorgänge. VTEPs können auf physischen Switches, virtuellen Switches oder dedizierten Netzwerkgeräten bereitgestellt werden. Jeder VTEP verfügt über eine oder mehrere Layer-3-Schnittstellen (z. B. Loopback-Schnittstellen) für die Kommunikation mit dem physischen Netzwerk und stellt gleichzeitig eine Verbindung zu virtuellen Switches oder virtuellen Maschinen her, um den Layer-2-Netzwerkverkehr abzuwickeln.

Zu den Hauptfunktionen von VTEPs gehören:

1. Kapselung und Entkapselung: Kapselung von Layer-2-Ethernet-Frames in VXLAN-Headern für die Layer-3-Übertragung und Entkapselung dieser am Empfangsende, um die ursprünglichen Ethernet-Frames wiederherzustellen.
2. Verwaltung von Netzwerkkennungen: Identifizieren und Isolieren verschiedener VXLAN-Netzwerke basierend auf VNIs.
3. Routing und Weiterleitung: In Layer 3 VXLAN (L3 VXLAN) handhaben VTEPs auch die Kommunikation über Subnetze oder Rechenzentren hinweg basierend auf Routing-Protokollen.

VXLAN-Steuerebene

Die VXLAN-Steuerebene ist für die Verwaltung und Verteilung von Netzwerkinformationen zwischen VTEPs (VXLAN Tunnel Endpoints) verantwortlich und stellt die Konnektivität und Konsistenz des virtuellen Netzwerks sicher. Zu den gängigen VXLAN-Steuerebenenprotokollen gehören:

Multicast-Modus basierend auf IGMP (Internet Group Management Protocol):

• Verwendet IP-Multicast zur Verteilung des VXLAN-Verkehrs, geeignet für einfache Netzwerkumgebungen.
• Relativ einfache Konfiguration, bei groß angelegten Bereitstellungen kann es jedoch zu Komplexitäten bei der Verwaltung von Multicast-Gruppen kommen.

EVPN (Ethernet-VPN):

• EVPN ist ein auf BGP (Border Gateway Protocol) basierendes Control Plane-Protokoll, das eine effizientere und flexiblere Verwaltung des VXLAN-Verkehrs bietet.
• Unterstützt das Lernen von MAC-Adressen und die Pfadauswahl in Umgebungen mit mehreren Mandanten und ist daher für große und komplexe Netzwerkarchitekturen geeignet.

Hauptvorteile von VXLAN

Hohe Skalierbarkeit: VXLAN verwendet eine 24-Bit-Netzwerkkennung (VXLAN Network Identifier, VNI) und unterstützt bis zu 16,777,216 VXLAN-Netzwerke. Dadurch wird die Skalierbarkeit erheblich verbessert, um den Anforderungen großer Rechenzentren und Umgebungen mit mehreren Mandanten gerecht zu werden.

Flexible Konnektivität über physische Netzwerke: Durch die Kapselung des Datenverkehrs über die vorhandene Layer-3-Netzwerkinfrastruktur ermöglicht VXLAN eine nahtlose Konnektivität virtueller Maschinen über verschiedene physische Server, Switches oder Rechenzentren hinweg.

Verbesserte Netzwerkisolierung und Sicherheit: VXLAN bietet feinkörnigere Isolationsmechanismen auf Basis von VNI und reduziert so Verkehrsstörungen und Sicherheitsrisiken zwischen verschiedenen Mietern oder Geschäftseinheiten.

Unterstützung für Multi-Tenant-Umgebungen: VXLAN ist für Umgebungen mit mehreren Mandanten konzipiert und bietet flexible Netzwerkpartitionierungs- und Isolierungsmechanismen, um unabhängige und sichere virtuelle Netzwerke für verschiedene Mandanten bereitzustellen.

Kompatibilität mit vorhandenen Netzwerkarchitekturen: VXLAN läuft über die vorhandene Layer-3-Netzwerkinfrastruktur, ohne dass umfangreiche physische Netzwerkänderungen erforderlich sind, was Bereitstellungskosten und Komplexität reduziert.

Die VXLAN-Technologie wird hauptsächlich in Layer 2 VXLAN (L2 VXLAN) und Layer 3 VXLAN (L3 VXLAN) unterteilt. Diese beiden VXLAN-Typen unterscheiden sich erheblich in Funktionalität, Architektur und Anwendungsszenarien und sind jeweils für unterschiedliche Netzwerkanforderungen und -umgebungen geeignet.

Schicht 2 VXLAN (L2 VXLAN)

Layer 2 Virtual Extensible LAN (L2 VXLAN) ist eine Netzwerkvirtualisierungstechnologie, die virtuelle Layer-2-Netzwerke über vorhandene Layer-3-Infrastrukturen erstellt und Layer-2-Kommunikation zwischen virtuellen Maschinen (VMs) ermöglicht. L2 VXLAN ermöglicht die Koexistenz mehrerer virtueller Netzwerke (Broadcast-Domänen) auf derselben physischen Netzwerkinfrastruktur und bietet ähnliche Funktionen wie herkömmliche lokale Netzwerke (LANs), jedoch mit höherer Skalierbarkeit und Flexibilität.

Kernfunktionen von L2 VXLAN

1. Isolierung virtueller Netzwerke: Erreicht eine Isolierung zwischen verschiedenen virtuellen Netzwerken durch den VXLAN Network Identifier (VNI) und stellt sicher, dass kein Datenverkehr zwischen verschiedenen Mandanten oder Geschäftseinheiten verloren geht.
2. Layer-2-Konnektivität über physische Netzwerke: Ermöglicht VMs die Kommunikation auf Layer 2 über verschiedene physische Server und Switches hinweg, ohne auf herkömmliche VLANs angewiesen zu sein.
3. Unterstützung für Umgebungen mit mehreren Mandanten: Ermöglicht jedem Mandanten, über ein unabhängiges virtuelles Netzwerk zu verfügen, und gewährleistet so die Verkehrsisolierung und Sicherheit zwischen den Mandanten.
4. Hohe Skalierbarkeit: Verwendet 24-Bit-VNIs und unterstützt bis zu 16,777,216 virtuelle Netzwerke, was die Skalierbarkeit im Vergleich zu herkömmlichen VLANs erheblich verbessert.
5. Vereinfachte Netzwerkverwaltung: Zentralisierte Steuerungsebenen (wie EVPN) vereinfachen die Verwaltung und Konfiguration großer virtueller Netzwerke.

Architekturdesign von L2 VXLAN

Die Architektur von L2 VXLAN umfasst mehrere Schlüsselkomponenten:

1. VXLAN-Tunnelendpunkt (VTEP): Verantwortlich für die VXLAN-Kapselung und -Entkapselung und verbindet das virtuelle Netzwerk mit dem physischen Netzwerk. VTEPs können auf physischen Switches, virtuellen Switches oder dedizierten Netzwerkgeräten bereitgestellt werden.
2. Physisches Layer-3-Netzwerk: Überträgt die gekapselten VXLAN-Pakete und nutzt für die Übertragung die vorhandene IP-Netzwerkinfrastruktur.
3. VXLAN Network Identifier (VNI): Unterscheidet zwischen verschiedenen virtuellen Netzwerken, um eine Netzwerkisolation zu erreichen.
4. Control Plane Protocol (wie EVPN): Verwaltet und verteilt Netzwerkinformationen zwischen VTEPs und stellt die Konnektivität und Konsistenz des virtuellen Netzwerks sicher.

In einer typischen L2-VXLAN-Architektur sind VTEP1 und VTEP2 über das physische Layer-3-Netzwerk verbunden, sodass VM1 und VM2 auf Layer 2 innerhalb desselben VLAN (VLAN 10) und VNI (5000) kommunizieren können.

Konfigurationsbeispiel für Layer 2 VXLAN

Nachfolgend finden Sie ein Konfigurationsbeispiel für L2 VXLAN basierend auf Cisco Nexus-Switches, das zeigt, wie Sie ein VNI erstellen, VTEP-Schnittstellen konfigurieren, VLANs VNIs zuordnen und physische Schnittstellen zu VLANs hinzufügen. Angenommen, wir haben zwei Rechenzentren, jedes mit einem VTEP (VTEP1 und VTEP2), und wir möchten ein L2 VXLAN zwischen diesen Rechenzentren erstellen, sodass VMs (VM1 und VM2) in verschiedenen Rechenzentren innerhalb desselben virtuellen Netzwerks (VNI 5000) kommunizieren können.

Konfigurationsschritte

• VNI (VXLAN Network Identifier) ​​konfigurieren

Konfigurieren Sie zunächst das VNI auf jedem VTEP, um verschiedene VXLAN-Netzwerke zu identifizieren.

nve1

Mitglied VNI 5000

Ingress-Replikationsprotokoll BGP

• VTEP-Schnittstelle konfigurieren

Konfigurieren Sie die VTEP-Schnittstelle, einschließlich der Quellschnittstelle (normalerweise eine Loopback-Schnittstelle) und der Zuordnung zum VNI.

Schnittstelle nve1

kein Herunterfahren

Quellschnittstelle Loopback0

Mitglied VNI 5000

Ingress-Replikationsprotokoll BGP

• VLAN zu VNI zuordnen

Ordnen Sie das physische VLAN dem entsprechenden VNI zu, um eine korrekte Kapselung und Entkapselung des Datenverkehrs sicherzustellen.

vlan 10

Name VM-Netzwerk

vn-segment 5000

• Physische Schnittstelle zum VLAN hinzufügen

Konfigurieren Sie die physische Schnittstelle im Trunk-Modus und lassen Sie das entsprechende VLAN durch.

Schnittstelle Ethernet1/1

Beschreibung Rumpf bis Wirbelsäule

Switch-Modus-Trunk

switchport trunk erlaubt vlan 10

• Konfigurieren des BGP-Routingprotokolls

Konfigurieren Sie BGP, um Ingress Replication für die Verkehrsreplikation zwischen VTEPs zu unterstützen.

Router BGP 65000

Adressfamilie L2VPN EVPN

Nachbar 10.0.0.2 remote-as 65000

Nachbar 10.0.0.2 aktivieren

• Loopback-Schnittstelle konfigurieren

Konfigurieren Sie die Loopback-Schnittstelle als Quellschnittstelle für das VTEP und stellen Sie sicher, dass sie über eine stabile Layer-3-IP-Adresse verfügt.

Schnittstelle Loopback0

IP-Adresse 192.168.0.1/32

Vollständiges Konfigurationsbeispiel

Unten sehen Sie das vollständige Konfigurationsbeispiel, das die oben genannten Schritte integriert:

! Loopback-Schnittstelle konfigurieren

Schnittstelle Loopback0

  IP-Adresse 192.168.0.1/32

! NVE-Schnittstelle konfigurieren

Schnittstelle nve1

  kein Herunterfahren

  Quellschnittstelle Loopback0

  Mitglied VNI 5000

  Ingress-Replikationsprotokoll BGP

! VLAN zu VNI zuordnen

vlan 10

  Name VM-Netzwerk

  vn-segment 5000

! Physikalische Schnittstelle konfigurieren

Schnittstelle Ethernet1/1

  Beschreibung Rumpf bis Wirbelsäule

  Switch-Modus-Trunk

  switchport trunk erlaubt vlan 10

! BGP-Routing-Protokoll konfigurieren

Router BGP 65000

  Adressfamilie L2VPN EVPN

  Nachbar 10.0.0.2 remote-as 65000

  Nachbar 10.0.0.2 aktivieren

Vorteile und Nachteile

Vorteile

1. Hohe Skalierbarkeit: L2 VXLAN unterstützt bis zu 16,777,216 virtuelle Netzwerke mit 24-Bit-VNI und übertrifft damit die Grenze von 4,096 VLANs bei weitem. Dadurch ist es für große Rechenzentren und Umgebungen mit mehreren Mandanten geeignet.
2. Flexible Netzwerkisolierung: Erreicht eine feinkörnige Netzwerkisolierung durch VNIs und stellt sicher, dass es zwischen verschiedenen virtuellen Netzwerken zu keinen Verkehrsstörungen kommt, was die Sicherheit erhöht.
3. Layer-2-Konnektivität über physische Netzwerke: Ermöglicht VMs die Kommunikation auf Layer 2 über verschiedene physische Server und Switches hinweg, ohne auf herkömmliche VLAN-Protokolle angewiesen zu sein, was die Konfiguration vereinfacht.
4. Unterstützung für Multi-Tenant-Umgebungen: Jeder Mandant kann über ein unabhängiges virtuelles Netzwerk verfügen, wodurch Verkehrsisolierung und Sicherheit gewährleistet werden. Geeignet für Cloud-Service-Provider und große Unternehmen.
5. Vereinfachte Netzwerkverwaltung: Zentralisierte Steuerungsebenen (wie EVPN) vereinfachen die Verwaltung und Konfiguration großer virtueller Netzwerke und verringern das Risiko menschlicher Fehler.

Nachteile

1. Höhere Konfigurationskomplexität: Im Vergleich zu herkömmlichen VLANs umfasst die L2-VXLAN-Konfiguration die VNI-Zuweisung, VTEP-Konfiguration und Bereitstellung eines Control Plane-Protokolls (z. B. EVPN), was Verwaltung und Wartung komplexer macht.
2. Abhängigkeit von Control Plane-Protokollen: L2 VXLAN verlässt sich zur Verwaltung der Netzwerkinformationen zwischen VTEPs normalerweise auf Control Plane-Protokolle wie EVPN, was die Komplexität der Netzwerkarchitektur erhöht.
3. Broadcast-Sturmrisiko: Da L2 VXLAN Layer-2-Broadcast-Verkehr unterstützt, können ineffektive Kontrollmechanismen zu Broadcast-Stürmen führen, die die Leistung und Stabilität des Netzwerks beeinträchtigen.
4. Schwierigkeiten bei der Netzwerksichtbarkeit und Fehlerbehebung: VXLAN fügt eine zusätzliche Kapselungsschicht hinzu, wodurch die Netzwerksichtbarkeit und Fehlerbehebung erschwert wird und spezielle Tools zur Netzwerküberwachung und -analyse erforderlich sind.
5. Hardwareanforderungen: Für eine effiziente Kapselung und Entkapselung sind in der Regel leistungsstarke Netzwerkgeräte erforderlich, die VXLAN unterstützen, was die Hardwarekosten erhöht.

Schicht 3 VXLAN (L3 VXLAN)

Layer 3 Virtual Extensible LAN (L3 VXLAN) ist eine fortschrittliche Netzwerkvirtualisierungstechnologie, die virtuelle Layer-3-Netzwerke über vorhandene Layer-3-Infrastrukturen erstellt und die Kommunikation zwischen virtuellen Maschinen (VMs) über verschiedene Subnetze, Rechenzentren oder geografische Standorte hinweg ermöglicht. Im Gegensatz zu Layer 2 VXLAN (L2 VXLAN) unterstützt L3 VXLAN sowohl Layer-2- als auch Layer-3-Kommunikation durch die Einführung von Routing-Mechanismen, sodass VMs effizient über verschiedene Broadcast-Domänen hinweg kommunizieren können.

Kernfunktionen von L3 VXLAN

1. Kommunikation zwischen Subnetzen: L3 VXLAN ermöglicht die Kommunikation von VMs in unterschiedlichen Subnetzen über Routing und eignet sich daher für komplexe Netzwerkumgebungen, die eine Konnektivität zwischen Subnetzen oder Standorten erfordern.
2. Hohe Skalierbarkeit: Durch die Einbindung von Layer-3-Routing-Mechanismen unterstützt L3 VXLAN groß angelegte, mandantenfähige Netzwerkarchitekturen und erfüllt so die Anforderungen von Unternehmen und Dienstanbietern.
3. Geografische Redundanz und Notfallwiederherstellung: L3 VXLAN unterstützt virtuelle Netzwerkverbindungen über Rechenzentren und Regionen hinweg und verbessert so die Netzwerkverfügbarkeit und die Notfallwiederherstellungsfunktionen.
4. Verbesserte Netzwerkisolierung und Sicherheit: Durch die Kombination von Routing und VNI bietet L3 VXLAN feinkörnigere Netzwerkisolierung und Sicherheitsrichtlinien und gewährleistet so die Verkehrsisolierung in Umgebungen mit mehreren Mandanten.
5. Flexibles Traffic Engineering: Durch die Einführung von Routing-Protokollen und -Richtlinien können Netzwerkadministratoren den Netzwerkverkehr flexibel verwalten und optimieren und so die Netzwerkleistung und -effizienz verbessern.

Architekturdesign von L3 VXLAN

Die Architektur von L3 VXLAN ist komplexer als die von L2 VXLAN und umfasst die folgenden Hauptkomponenten:

1. VXLAN-Tunnelendpunkt (VTEP): In L3-VXLAN sind VTEPs nicht nur für die VXLAN-Kapselung und -Dekapselung verantwortlich, sondern auch für Routing-Funktionen, die Weiterleitung des Datenverkehrs zwischen Subnetzen und Routing-Entscheidungen.
2. Physisches Layer-3-Netzwerk: Überträgt die gekapselten VXLAN-Pakete, nutzt die vorhandene IP-Netzwerkinfrastruktur zur Übertragung und unterstützt effizientes Routing und Weiterleiten.
3. VXLAN Network Identifier (VNI): Unterscheidet zwischen virtuellen Netzwerken und erreicht so Netzwerkisolation und Multi-Tenant-Unterstützung.
4. Control Plane Protocol (wie EVPN): Verwaltet und verteilt Routing-Informationen zwischen VTEPs und gewährleistet Konnektivität und Konsistenz über Subnetze und Rechenzentren hinweg.
5. Routing-Protokolle (wie BGP, OSPF): Verbreiten Sie Routing-Informationen zwischen VTEPs und erleichtern Sie die Weiterleitung des Datenverkehrs und Routing-Entscheidungen zwischen verschiedenen VNIs.

In einer typischen L3-VXLAN-Architektur sind VTEP1 und VTEP2 über das physische Layer-3-Netzwerk und Router verbunden. VMs (VM1 und VM2) befinden sich in unterschiedlichen Subnetzen (Subnetz A und Subnetz B) und kommunizieren über L3-VXLAN zwischen den Subnetzen.

Konfigurationsbeispiel für Layer 3 VXLAN

Nachfolgend finden Sie ein Konfigurationsbeispiel für L3 VXLAN basierend auf Cisco Nexus-Switches, das zeigt, wie Sie ein VNI erstellen, VTEP-Schnittstellen konfigurieren, VLANs VNIs zuordnen, Routing-Protokolle konfigurieren und eine Kommunikation zwischen Subnetzen erreichen. Angenommen, wir haben zwei Rechenzentren, jedes mit einem VTEP (VTEP1 und VTEP2), und wir möchten ein L3 VXLAN zwischen diesen Rechenzentren erstellen, das es VMs (VM1 und VM2) in verschiedenen Subnetzen (Subnetz A und Subnetz B) ermöglicht, zu kommunizieren.

Konfigurationsschritte

• VNI (VXLAN Network Identifier) ​​konfigurieren

Konfigurieren Sie zunächst das VNI auf jedem VTEP, um verschiedene VXLAN-Netzwerke zu identifizieren.

nve1
Mitglied VNI 6000
Ingress-Replikationsprotokoll BGP

• VTEP-Schnittstelle konfigurieren

Konfigurieren Sie die VTEP-Schnittstelle, einschließlich der Quellschnittstelle (normalerweise eine Loopback-Schnittstelle) und der Zuordnung zum VNI.

Schnittstelle nve1

kein Herunterfahren
Quellschnittstelle Loopback0
Mitglied VNI 6000
Ingress-Replikationsprotokoll BGP

• VLAN zu VNI zuordnen

Ordnen Sie das physische VLAN dem entsprechenden VNI zu, um eine korrekte Kapselung und Entkapselung des Datenverkehrs sicherzustellen.

vlan 20

Name DMZ-Netzwerk

vn-segment 6000

• Physische Schnittstelle zum VLAN hinzufügen

Konfigurieren Sie die physische Schnittstelle im Trunk-Modus und lassen Sie das entsprechende VLAN durch.

Schnittstelle Ethernet1/2

Beschreibung Rumpf bis Wirbelsäule

Switch-Modus-Trunk

switchport trunk erlaubt vlan 20

• Routing-Protokoll konfigurieren (z. B. BGP)

Konfigurieren Sie BGP, um Ingress Replication für die Verkehrsreplikation und den Austausch von Routinginformationen zwischen VTEPs zu unterstützen.

Router BGP 65000

Adressfamilie L2VPN EVPN

Nachbar 10.0.0.2 remote-as 65000

Nachbar 10.0.0.2 aktivieren

• Loopback-Schnittstelle konfigurieren

Konfigurieren Sie die Loopback-Schnittstelle als Quellschnittstelle für das VTEP und stellen Sie sicher, dass sie über eine stabile Layer-3-IP-Adresse verfügt.

Schnittstelle Loopback0

IP-Adresse 192.168.0.1/32

• Konfigurieren Sie SVI (Switched Virtual Interface) für das Routing

Konfigurieren Sie SVI-Schnittstellen und weisen Sie jedem Subnetz IP-Adressen zu, um das Routing zwischen verschiedenen Subnetzen zu ermöglichen.

Schnittstelle Vlan20

Beschreibung DMZ Netzwerk SVI

IP-Adresse 192.168.20.1/24

VXLAN-Kapselung VXLAN6000

• Konfigurieren Sie statische oder dynamische Routing-Protokolle

Konfigurieren Sie basierend auf den Netzwerkanforderungen statische Routen oder dynamische Routing-Protokolle (z. B. OSPF, BGP), um die Kommunikation zwischen verschiedenen VNIs zu ermöglichen.

OSF-Router 1

Netzwerk 192.168.0.0 0.0.0.255 Bereich 0

Netzwerk 192.168.20.0 0.0.0.255 Bereich 0

• Vollständiges Konfigurationsbeispiel

Unten sehen Sie das vollständige Konfigurationsbeispiel, das die oben genannten Schritte integriert:

! Loopback-Schnittstelle konfigurieren

Schnittstelle Loopback0

  IP-Adresse 192.168.0.1/32

! NVE-Schnittstelle konfigurieren

Schnittstelle nve1

  kein Herunterfahren

  Quellschnittstelle Loopback0

  Mitglied VNI 6000

  Ingress-Replikationsprotokoll BGP

! VLAN zu VNI zuordnen

vlan 20

  Name DMZ-Netzwerk

  vn-segment 6000

! Physikalische Schnittstelle konfigurieren

Schnittstelle Ethernet1/2

  Beschreibung Rumpf bis Wirbelsäule

  Switch-Modus-Trunk

  switchport trunk erlaubt vlan 20

! SVI-Schnittstelle konfigurieren

Schnittstelle Vlan20

  Beschreibung DMZ Netzwerk SVI

  IP-Adresse 192.168.20.1/24

  VXLAN-Kapselung VXLAN6000

! BGP-Routing-Protokoll konfigurieren

Router BGP 65000

  Adressfamilie L2VPN EVPN

  Nachbar 10.0.0.2 remote-as 65000

  Nachbar 10.0.0.2 aktivieren

! OSPF-Routing-Protokoll konfigurieren

OSF-Router 1

  Netzwerk 192.168.0.0 0.0.0.255 Bereich 0

  Netzwerk 192.168.20.0 0.0.0.255 Bereich 0

Vor- und Nachteile von Layer 3 VXLAN

Vorteile

1. Hohe Skalierbarkeit: Durch die Einbindung von Layer-3-Routingmechanismen unterstützt L3 VXLAN virtuelle Netzwerkverbindungen über Subnetze und Rechenzentren hinweg und eignet sich daher für groß angelegte Netzwerkarchitekturen mit mehreren Mandanten.
2. Geografische Redundanz und Notfallwiederherstellung: Unterstützt Verbindungen zwischen geografisch verteilten Rechenzentren und verbessert so die Netzwerkverfügbarkeit und die Notfallwiederherstellungsfunktionen.
3. Verbesserte Netzwerkisolierung und Sicherheit: Kombiniert VNI- und Routing-Richtlinien, um eine feinere Netzwerkisolierung und Sicherheitskontrollen bereitzustellen und so die Sicherheit in Umgebungen mit mehreren Mandanten zu verbessern.
4. Flexibles Traffic Engineering: Führt Routing-Protokolle und Richtlinien ein, die es Netzwerkadministratoren ermöglichen, den Netzwerkverkehr flexibel zu verwalten und zu optimieren und so Leistung und Effizienz zu verbessern.
5. Unterstützung für Multi-Tenant- und Hybrid-Cloud-Umgebungen: Erfüllt die komplexen Netzwerkanforderungen von Multi-Tenant- und Hybrid-Cloud-Umgebungen und ermöglicht flexible Verbindungen und Isolierung zwischen verschiedenen Tenanten und Cloud-Umgebungen.

Nachteile

1. Höhere Konfigurationskomplexität: Im Vergleich zu L2 VXLAN umfasst die Konfiguration von L3 VXLAN die Bereitstellung und Verwaltung von Routing-Protokollen, was die Komplexität der Netzwerkkonfiguration und -wartung erhöht.
2. Abhängigkeit von Control Plane-Protokollen: L3 VXLAN basiert normalerweise auf erweiterten Control Plane-Protokollen wie EVPN, was die Komplexität und den Verwaltungsaufwand der Netzwerkarchitektur erhöht.
3. Mögliche Latenz- und Leistungseinbußen: Routerübergreifende Übertragungen können zusätzliche Latenzzeiten verursachen und die Kapselungs- und Entkapselungsprozesse können Leistungseinbußen verursachen, insbesondere in Umgebungen mit hohem Datenverkehr.
4. Höhere Hardwareanforderungen: Effizientes Routing und VXLAN-Verarbeitung erfordern normalerweise leistungsstärkere Netzwerkgeräte, was die Hardwarekosten erhöht.
5. Herausforderungen bei der Netzwerksichtbarkeit und Fehlerbehebung: L3 VXLAN führt zusätzliche Kapselungsschichten und Routing-Mechanismen ein, was die Netzwerksichtbarkeit und Fehlerbehebung erschwert und spezielle Tools zur Netzwerküberwachung und -analyse erforderlich macht.

Vergleich zwischen Layer 2 und Layer 3 VXLAN

Funktionsvergleich

Leistungsvergleich

Vergleich der Bereitstellungskomplexität

Vergleich geeigneter Szenarien

Layer 2 VXLAN und Layer 3 VXLAN verfügen jeweils über einzigartige Funktionen und Vorteile, die für unterschiedliche Netzwerkanforderungen und -umgebungen geeignet sind. Netzwerkadministratoren sollten beim Entwerfen und Bereitstellen von VXLAN-Netzwerken spezifische Geschäftsanforderungen, Netzwerkskalen und Umgebungsmerkmale berücksichtigen:

Wählen Sie L2 VXLAN: Wenn der Schwerpunkt auf der groß angelegten Layer-2-VM-Kommunikation innerhalb eines einzelnen Rechenzentrums liegt, bietet L2 VXLAN eine effiziente Lösung mit geringer Latenz, die die Netzwerkverwaltung und -konfiguration vereinfacht.

Wählen Sie L3 VXLAN: Wenn virtuelle Maschinen über Rechenzentren, Subnetze oder geografische Standorte hinweg verbunden werden müssen