关于数据中心VXLAN的一点知识讲解--多租户
一、说明
VXLAN设计的初衷就是为了实现在三层网络上打通二层网络,实现多租户的网络隔离。
二、设计与规划
1、在网络架构方面通过spine-leaf 的网络组网架构。
2、对当前的业务进行分类,不通类型的业务,同一个类型的业务划分在一个租户下面,在网络设备上通过VRF进行区分,一个租户一个VRF。
3、一个VRF(同一个类型)可能对应多个业务网段,针对业务在网段方面进行细分,比如x.x.1.0/24分给业务1,x.x.2.0/24分给业务2,等等,通过VLAN进行区分。
4、为每一个VRF规划一个组播组,为了提升网络转发效率,推荐通过组播的方式解决ARP的泛洪学习流量。
5、在vni方面,分为二层vni和三层vni,业务VLAN映射到二层vni,因为可用的范围为1-2^24个,建议从10000开始,VRF映射到三层vni,因为在Overlay的VXLAN中识别的是vni,通过vni进行通信的。
三、怎么落地
1、租户怎么映射到VRF
- 在一台leaf交换机上,通过划分多个VRF实现了多个租户的天然隔离,但因为VRF只是对本地设备有效,只要解决了在一个数据中心的一个POD内多台leaf交换机上VRF的联动,实现一个租户对应的多台leaf交换机上的VRF可以同步路由,就实现了多租户的效果了。
- 这里引入了BGP的扩展属性community的RT,通过RT的import和export配置,将多个leaf交换机上的VRF实现路由同步,具体的配置如下:
leaf交换机上:
router bgp 65001
router-id x.x.x..8
address-family ipv4 unicast
address-family l2*** e***
neighbor x.x.x.1
remote-as 65001
update-source loopback0
address-family l2*** e***
send-community extended
vrf xxxx
address-family ipv4 unicast
advertise l2*** e***
-----------------------------------------
e***
vni 10004 l2
rd auto
route-target import 64800:10004 //64800:10004 改成auto 也可以
route-target export 64800:10004
vni 10009 l2
rd auto
route-target import 64800:10009
route-target export 64800:10009
interface nve1
no shutdown
host-reachability protocol bgp
source-interface loopback1
member vni 10004
suppress-arp
mcast-group 239.0.0.104
member vni 10009
suppress-arp
mcast-group 239.0.0.109
member vni 20004 associate-vrf
member vni 20009 associate-vrf
2、租户之间如果要实现访问,怎么处理
1)可以通过防火墙连通两个租户之间的互访,既可以进行安全策略的管控,也可以实现租户之间的互访,但是防火墙在逻辑上相当于串接在租户之间,如果流量很大,防火墙可能会遇到性能瓶颈的问题。
2)租户之间不用防火墙联通,直接通过路由泄露的方式实现。
我现在是通过防火墙连接租户的方式部署的,网络拓扑如下:
欢迎大家进行交流,如有问题,欢迎进行指正,谢谢。
