本文将为大家详细介绍VXLAN以及其相关的15个重要知识点,理解这些知识点让你在客户沟通时,可以显得更加专业。VXLAN(Virtual Extensible LAN)是一种网络虚拟化技术,用于扩展传统VLAN的规模限制。它通过将二层以太网帧封装在UDP报文中(三层IP网络传输),实现跨物理网络的逻辑大二层组网。核心有24位VXLAN ID,支持1600万虚拟网络,远超VLAN的4094个限制;基于UDP封装,默认使用4789端口,可穿越三层网络;使用VTEP设备用来负责封装/解封装报文,实现虚拟网络与物理网络的桥接。应用场景是在云计算、数据中心overlay网络,解决多租户隔离和虚拟机迁移问题。
VXLAN通过在现有的物理网络上通过封装二层帧到UDP报文实现跨三层网络的虚拟大二层通信。其关键键点事VXLAN依赖IP网络构建逻辑二层隧道,实现虚拟机跨物理网络的透明通信。
封装(VTEP):源主机发送的以太网帧到达VTEP(VXLAN隧道端点),VTEP为其添加VXLAN头部(含24位VNI标识虚拟网络)和外层UDP/IP报头。隧道传输:封装后的报文通过三层网络传输,像普通IP流量一样路由。解封装(对端VTEP):目标VTEP收到后剥离外层头,根据VNI将原始帧转发到对应虚拟网络的主机。
1. 虚拟机动态迁移 (VMotion/VM Dynamic Migration)
虚拟机动态迁移技术(如VMware的vMotion)允许VXLAN 支持虚拟机动态迁移的关键在于其 基于隧道的大二层扩展能力。当虚拟机从一台物理主机迁移到另一台时,VXLAN 通过 VTEP(VXLAN Tunnel Endpoint) 保持虚拟网络的连通性,无需修改 IP 或 MAC 地址。迁移后,流量仍通过相同的 VXLAN 网络标识(VNI) 传输,确保网络策略(如安全组、ACL)持续生效,实现无缝迁移,不受底层物理网络拓扑限制。
2. 网络隔离技术 (Network Segmentation)
VXLAN 通过 24 位的 VNI(VXLAN Network Identifier) 实现网络隔离,每个 VNI 对应一个独立的虚拟二层域,类似于传统 VLAN 但规模更大(支持 1600 万个隔离网络)。不同 VNI 之间的流量完全隔离,即使共享同一物理网络也无法直接通信。结合 VTEP(隧道端点) 的封装机制,VXLAN 可在三层网络上构建多个逻辑隔离的虚拟网络,适用于多租户云计算环境,确保安全性和资源隔离。
3. 服务器虚拟化技术 (Server Virtualization Technology)
VXLAN 为服务器虚拟化提供了灵活的网络扩展能力。它通过 VTEP(虚拟隧道端点) 将虚拟机的二层流量封装在 UDP/IP 报文中,使虚拟机可以在三层网络范围内自由迁移,同时保持网络策略不变。结合 VNI(虚拟网络标识),VXLAN 能在同一物理网络上创建多个隔离的虚拟网络,满足多租户需求。这种技术使云计算平台(如 OpenStack、VMware)能够动态调配虚拟机,突破传统 VLAN 的数量和地理限制,实现高效资源管理。
4. 虚拟隧道 (Virtual Tunnel)
VXLAN虚拟隧道技术是一种基于IP网络的大二层扩展方案,通过VTEP(虚拟隧道端点)将原始二层以太网帧封装在UDP/IP报文中传输。每个VXLAN网络由24位的VNI标识,支持多达1600万个隔离的虚拟网络。该技术突破了传统VLAN的4094个数量限制和地理范围约束,使虚拟机能够在不同物理位置的服务器间无缝迁移,同时保持网络策略不变,为云计算环境提供了灵活、可扩展的网络虚拟化解决方案。
5. Outer IP Header
VXLAN Outer IP Header是封装原始以太网帧时添加的外层IP包头,用于在三层网络中传输VXLAN隧道流量。该IP头包含源VTEP和目标VTEP的IP地址(通常采用物理网络设备的Underlay IP),使封装后的UDP报文能够通过常规IP路由进行转发。这种设计实现了二层网络流量的跨三层网络透明传输,同时保持底层网络拓扑与虚拟网络解耦,是VXLAN实现大二层扩展的关键封装要素。
6. Outer MAC Header
VXLAN Outer MAC Header 是 VXLAN 封装的最外层以太网帧头,用于在物理网络中传输封装的 VXLAN 数据包。它包含源和目标物理设备的 MAC 地址(通常是 VTEP 或底层交换机的接口地址),确保 VXLAN 的 UDP/IP 报文能在本地二层网络正确转发。该 MAC 头在每一跳可能被重写(基于路由),但不会影响内层封装的虚拟机原始流量,从而实现了虚拟网络与物理网络的解耦。
7. VTEP (VXLAN Tunnel Endpoint)
VTEP(VXLAN Tunnel Endpoint)是VXLAN网络的边缘设备,负责虚拟网络与物理网络的桥接。作为封装/解封装的执行点,VTEP将虚拟机发出的原始二层帧添加VXLAN头部(含VNI)、外层UDP/IP及MAC头,通过三层网络发送至目标VTEP;接收方VTEP则剥离外层头,按VNI将帧送达对应虚拟机。VTEP可部署在物理交换机(如TOR)或虚拟交换机(如vSwitch)上,是实现大二层扩展的核心组件。
8. VNI (VXLAN Network Identifier)
VNI(VXLAN Network Identifier)是VXLAN的24位虚拟网络标识符,用于区分不同的逻辑二层域(类似VLAN ID但规模更大)。每个VNI对应一个独立的虚拟网络,不同VNI间的流量完全隔离。VTEP通过VNI识别报文所属的虚拟网络,并在解封装后将其转发至对应租户或应用。VNI支持1600万个隔离网络(0~16777215),解决了传统VLAN仅4094个ID的限制,是云计算多租户隔离的关键。
9. VXLAN Header
VXLAN Header是封装在原始以太网帧前的8字节协议头,核心字段包括24位VNI
标识虚拟网络,实现多租户隔离;标志位如I标志位(有效VNI指示);保留字段用于未来扩展。该头部与原始帧一起被封装到UDP报文中,使VTEP能基于VNI正确转发流量。
10. UDP Header
VXLAN的UDP头部是封装协议的关键部分,使用4789作为默认目标端口(可配置)。源端口由哈希原始帧头生成,支持ECMP负载均衡。UDP校验和通常置零(IPv4)或可选(IPv6)。这种设计使VXLAN流量可穿透传统三层网络,同时利用UDP的无连接特性实现高效传输。由于不依赖TCP的可靠性机制,VXLAN保持了二层流量的低延迟特性,但依赖上层协议处理丢包问题。
11. 同一大二层域 (Same Large Layer 2 Domain)
VXLAN 通过 逻辑大二层域 实现跨物理网络的虚拟机无缝通信。所有共享同一 VNI(VXLAN Network Identifier) 的终端(如虚拟机、容器)属于同一广播域,即使分布在不同的物理位置,也能像在传统二层网络中直接通信。VTEP 设备负责封装/解封装流量,使底层三层网络对虚拟网络透明。这种设计突破了 VLAN 的地理限制,支持虚拟机跨数据中心迁移,同时保持网络策略(如 MAC 学习、ARP)的一致性。
12. Bridge-Domain (BD)
Bridge-Domain(BD)是VXLAN中的一个重要概念,它代表一个逻辑二层广播域。BD将属于同一VNI的虚拟机、虚拟网络设备等集成在一起,使它们能够进行二层通信。一个VNI通常对应一个Bridge-Domain。
13. EVPN (Ethernet VPN)
EVPN(Ethernet VPN)是一种控制平面协议,用于优化VXLAN的自动化部署和管理。通过BGP扩展,EVPN动态分发VTEP的IP、MAC及VNI信息,替代传统泛洪学习机制,实现高效MAC地址同步和ARP抑制。结合VXLAN数据平面,EVPN提供多租户隔离、主机迁移和负载均衡能力,大幅简化数据中心overlay网络的运维,成为SDN时代大二层组网的核心技术组合。
14. 二层网关与三层网关 (Layer 2 Gateway & Layer 3 Gateway)
在VXLAN环境中,二层网关(L2 Gateway)用于连接不同的VXLAN网络,提供二层数据转发。而三层网关(L3 Gateway)则负责处理跨VXLAN网络的路由功能,允许不同的VNI间进行三层通信。
15. 集中式网关与分布式网关 (Centralized Gateway & Distributed Gateway)
VXLAN的网关分为集中式和分布式两种部署模式,核心区别在于三层流量的处理方式。
集中式网关:所有跨子网流量必须经过指定的物理或虚拟网关设备(如核心交换机或防火墙),由网关集中完成路由和策略执行。这种模式结构简单,但容易形成流量瓶颈,且网关单点故障会影响整个网络。
分布式网关(如EVPN方案):每个VTEP(如TOR交换机或主机vSwitch)均可作为三层网关,本地处理跨子网路由。通过控制平面协议(如BGP EVPN)同步路由表,实现网关能力的水平扩展,避免流量迂回,提升性能并降低延迟,是现代云数据中心的主流选择。
写在最后:
VXLAN作为现代网络虚拟化的核心技术,已经成为数据中心和云计算平台的重要组成部分。相信通过本文的讲解,你已经对VXLAN的核心术语和相关概念有了深入的理解。
阅读原文:原文链接
该文章在 2025/9/28 10:32:43 编辑过
400 186 1886
