VXLAN. Virtual Extensible LAN VXLAN. Autor: Prof. Dr.-Ing. Anatol Badach

Transkript

1 Autor: Prof. Dr.-Ing. Anatol Badach Auszug aus dem Werk: Herausgeber: Heinz Schulte WEKA-Verlag ISBN VXLAN Virtual Extensible LAN Heutzutage kann man sich kaum noch ein Datacenter im Netzwerk eines Unternehmens vorstellen, in dem keine virtuellen Server als sog. Virtual Machines (VMs) eingerichtet werden. In Datacentern großer Unternehmen bzw. Anbieter verschiedener Cloud Services ist es oft sogar nötig, die auf verschiedenen, unter Umständen weltweit verteilten, physischen Wirt-Servern eingerichteten VMs so zu gruppieren, dass voneinander isolierte, einem Virtual Local Area Network (VLAN) in herkömmlichen Netzwerken entsprechende Gruppen von VMs entstehen. Eine solche Gruppierung von VMs führt zur Bildung von Virtual Extensible LANs (VXLANs). Unter einem VXLAN versteht man eine isolierte Gruppe von auf verschiedenen physischen Wirt-Servern eingerichteten VMs, wobei diese Gruppe von VMs sich so verhält, dass eine MAC 1 -Broadcast- Domain d.h. eine Domain, wie man sie in herkömmlichen Ethernet-basierten Netzwerken vorfindet nachgebildet wird. Somit stellt das VXLAN eine in der Regel räumlich über mehrere Standorte verteilte, eine MAC-Broadcast-Domain bildende Gruppe von VMs dar. Diese kann sogar weltweit verteilt sein und als IP 2 -Subnetz eingerichtet werden. Die Übermittlung von Daten zwischen VMs aus einem VXLAN verläuft über spezielle virtuelle Tunnel, die sog. MAC-in-UDP 3 - Tunnel. Ein VXLAN könnte man sich im Allgemeinen auch als virtuelles Netzwerk vorstellen, in dem VMs als Endsysteme an mehrere auf der Basis eines IP-Netzwerks miteinander vernetzte virtuelle Layer-2-Switches angebunden sind und die Kommunikation zwischen diesen verteilten Switches in MAC-in-UDP-Tunneln verläuft. 1 Media Access Control 2 Internet Protocol 3 User Datagram Protocol 1

2 Die Notwendigkeit, ein VXLAN einzurichten, entsteht beispielsweise dann, wenn eine verteilte Applikation mehrere an verschiedenen Standorten als VMs implementierte Server (z.b. einen Webserver und einen bzw. mehrere Datenbankserver) nutzt oder wenn ein virtueller Server von einem Standort auf einen anderen verschoben werden muss und dabei weder seine MAC- noch seine IP- Adresse geändert werden darf. Dank des VXLAN-Konzepts kann sogar eine weltweite sog. VM-Mobilität (Virtual Machine Mobility) garantiert werden, ohne die Adressen von VMs ändern zu müssen. Ein Service Provider kann z.b. für seine Kunden im Datacenter mehrere virtuelle Datacenter (Virtual Data Center, VDD) als voneinander isolierte VXLANs so einrichten, dass man von Multi- Tenancy also von Mandantenfähigkeit sprechen kann. Um die auf mehrere VMs verteilten Applikationen dabei insbesondere die sog. Multi-Tier-Applikationen einzelner Mandanten in einem Datacenter voneinander zu isolieren und dadurch ihre Sicherheit zu erhöhen, ist die Bildung von VXLANs nötig. Die in diesem Beitrag dargestellten Ideen und Konzepte von VXLANs basieren hauptsächlich auf dem Internet Draft VXLAN: A Framework for Overlaying Virtualized Layer 2 Networks over Layer 3 Networks 4, zu dessen Verfassern die Vertreter aller namhaften auf dem Gebiet Networking tätiger Firmen (u.a. VMware, Cisco Systems, Arista Networks, Broadcom, Citrix Systems) gehören. Um die VXLAN betreffenden Entwicklungen weiter voranzutreiben, hat sich bei der Internet Engineering Task Force (IETF) eine Working Group namens Network Virtualization Overlays (NVO3) etabliert, die über ihre Homepage 5 vertiefende Informationen zu dem Thema zur Verfügung stellt. VXLAN eine besondere Art von VLAN Wie bereits erwähnt wurde, repräsentiert VXLAN eine Gruppe von auf verschiedenen Wirt-Servern eingerichteten VMs, die weitgehend einer als VLAN anzusehenden Gruppe physischer Rechner im herkömmlichen IP-Netzwerk entspricht. Worin bestehen aber die Un

3 terschiede zwischen einem VLAN und einem VXLAN? Diese möchten wir vorstellen, bevor wir uns den technischen Details von VXLANs widmen. Hierfür betrachten wir die in Bild dargestellten, auf der Basis eines L2-Switch (L2: Layer 2), genau genommen durch die Gruppierung dessen Ports, eingerichteten VLANs. Wie hier ersichtlich ist, kann ein L2-Switch unterschiedlich realisiert werden, und zwar: in Form einer eigenständigen Hardwarekomponente als physischer L2-Switch (Bild a) oder in einem Wirt-Server mit mehreren VMs als - virtueller L2-Switch (kurz vswitch) in Form einer Softwarekomponente (Bild b) 6, - embedded vswitch auf einem physischen Network Interface Controller (NIC), z.b. auf einer 10GE 7 -Adapterkarte. Dazu sei noch angemerkt, dass ein L2-Switch auch als Ethernet Switch bezeichnet wird. Bild : VLANs auf der Basis: a) eines physikalischen L2- Switch, b) eines virtuellen L2-Switch in einem Wirt-Server L2: Layer 2 (Schicht 2) VLAN: Virtual Local Area Network VM: Virtual Machine, d.h. virtueller Rechner (Server) 6 Für fundierte Informationen über die Betriebsarten virtueller L2-Switches und über die Grundlagen der Mobilität von VMs sei auf Edge Virtual Bridging (EVB) in [3] verwiesen Gigabit Ethernet 3

4 Anmerkung: Eine wichtige Funktion bei der Virtualisierung von Rechnern übernimmt der sog. Hypervisor. Er repräsentiert eine Softwareeinheit, die es den auf einem Wirtserver implementierten VMs erlaubt, seine Hardware und Speicher gemeinsam zu nutzen. Aus der Sicht des Networking realisiert der Hypervisor im Wesentlichen die Funktion eines L2-Switch und aus diesem Grund kann er allerdings lediglich aus der Sicht von Networking als virtueller L2-Switch angesehen werden. Für das Verständnis von VLANs und folglich auch von VXLANs ist von großer Bedeutung, dass ein L2-Switch ganze L2-Frames auch MAC-Frames genannt auf der Grundlage einer Forwarding Table (Weiterleitungstabelle) weiterleitet und dabei in den Frames nur die Ziel-MAC-Adresse interpretiert. Die Forwarding Table gibt an, über welchen Port eine MAC-Adresse (de facto ein Rechner) erreichbar ist und zu welchem VLAN die MAC-Adresse gehört. Jedes VLAN hat einen VLAN-Identifier (VLAN-ID, VID). Ein VLAN auf der Basis eines L2-Switch entsteht in der Regel durch die Gruppierung von Ports im L2-Switch. Die zu einem VLAN gehörenden Rechner bilden dann eine MAC-Broadcast- Domain 8, auch L2-Broadcast-Domain genannt. Diese stellt ein logisches (virtuelles) lokales Netzwerk dar; also, wie der Name VLAN bereits sagt, ein virtuelles LAN. Die in Bild dargestellten VLANs sind auf einen L2-Switch beschränkt sind also L2-Switch-begrenzt. VLANs können sich aber auch über mehrere L2-Switches erstrecken, d.h. sie können L2- Switch-übergreifend sein. Weil ein VXLAN wie bereits erwähnt eine Gruppe von auf verschiedenen Wirt-Servern eingerichteten VMs repräsentiert, widmen wir uns nun, um die grundlegende Idee vom VXLAN anschaulich darstellen zu können, den L2-Switchübergreifenden VLANs. Anhand von Bild soll nun gezeigt werden, dass ein VLAN auf der Basis mehrerer, auf eine besondere Weise über ein IP- 8 Eine MAC-Broadcast-Domain repräsentiert eine isolierte Gruppe von Rechnern, in der jeder Rechner die Möglichkeit hat, an alle zur Gruppe gehörenden Rechner einen MAC-Frame (Ethernet Frame) mit der einzigen Broadcast-MAC-Adresse zu schicken. 4

5 Netzwerk verbundener, virtueller L2-Switches als VXLAN angesehen werden kann. Es sei an dieser Stelle aber angemerkt, dass es sich in diesem Fall um ein VXLAN auf der Basis von nur zwei virtuellen L2-Switches handelt. VXLANs können jedoch auch auf der Basis von einer Vielzahl virtueller L2-Switches eingerichtet werden. Virtuelle L2-Switches in einem VXLAN werden im Weiteren als VXLAN-Instanzen (VXLIs) bezeichnet (vgl. Bild ). Bild : L2-Switch-übergreifende VLANs auf der Basis a) von physischen, mit einem Uplink verbundenen L2-Switches, b) von virtuellen, mit einem über ein IP-Netzwerk eingerichteten MAC-in- UDP-Tunnel verbundenen L2-Switches IP: Internet Protocol L2: Layer 2 MAC: Media Access Control UDP: User Datagram Protocol VDS: Virtual Distributed Switch (virtueller verteilter Switch) VLAN: Virtual Local Area Network VM: Virtual Machine Aus Bild ist ersichtlich, dass ein VXLAN ein besonderes auf der Basis von mehreren virtuellen in verschiedenen Wirt-Servern 5

6 enthaltenen L2-Switches eingerichtetes VLAN darstellt. 9 Im VXLAN sind im Vergleich zum VLAN aber folgende Besonderheiten hervorzuheben: Die virtuellen L2-Switches sind mit einem virtuellen Uplink in Form eines MAC-in-UDP-Tunnels verbunden; dessen Endpunkte werden mit zwei UDP-Sockets adressiert. Die mit dem Tunnel verbundenen virtuellen L2-Switches verhalten sich so, als ob sie einen virtuellen verteilten Switch (Virtual Distributed Switch, VDS) bilden würden. Im VXLAN fungieren VMs als Endsysteme, wobei nur VMs aus einem VXLAN miteinander kommunizieren können. Es findet also keine Kommunikation zwischen VXLANs statt. Oberhalb einer Gruppe virtueller L2-Switches, die einen virtuellen verteilten Switch (VDS) bilden (vgl. Bild b), können quasi parallel mehrere VXLANs eingerichtet werden. Jedes von ihnen hat eine Identifikation, den sog. VXLAN Network Identifier (VNI). Es sei hervorgehoben, dass jedes VXLAN ebenso wie jedes herkömmliche VLAN eine MAC-Broadcast-Domain bilden muss. VXLAN oberhalb eines L2- oder eines L3-Netzwerks Ein VXLAN kann als virtuelles Overlay-L2-Netzwerk (Virtual Overlay Network) oberhalb eines physischen IP-Netzwerks angesehen werden. Wie Bild zeigt, muss man aber wegen der Notwendigkeit einer MAC-Broadcast-Domain bei VXLAN darauf achten, oberhalb welchen physischen Netzwerks ob oberhalb eines L2- oder eines L3-Netzwerks ein VXLAN gebildet wird. Wird ein VXLAN, wie Bild a zeigt, oberhalb eines L2- Netzwerks de facto eines VLAN, welches ein IP-Subnetz bildet und demzufolge eine MAC-Broadcast-Domain darstellt eingerichtet, so bildet auch das VXLAN eine MAC-Broadcast-Domain. 9 Beispielsweise beim Einsatz von Virtual Ethernet Moduls (VEMs) aus der Cisco Nexus 1000V Series Switches als virtuelle L2-Switches in Wirt- Servern (z.b. in ESX Hosts von VMware) können bis zu 64 VEMs in einem VDS vorkommen [2]. Verwendet man aber VEMs als VXLAN-Instanzen, könnte man die zu einem VXLAN gehörenden VMs sogar auf 64 verschiedenen Wirt-Servern installieren [3]. 6

7 Wird ein VXLAN jedoch, wie Bild b zeigt, oberhalb eines L3-Netzwerks in der Tat oberhalb mehrerer VLANs, welche verschiedene, über L3-Switches bzw. über Router vernetzte IP- Subnetze darstellen eingerichtet, dann bilden die dem VXLAN zugrunde liegenden VLANs nicht eine einzige das VLAN erfassende MAC-Broadcast-Domain, wie man sie beim VXLAN benötigt, sondern stellen mehrere, voneinander getrennte MAC-Broadcast- Domains dar. Jedes VXLAN muss aber eine MAC-Broadcast- Domain repräsentieren. Im Folgenden zeigen wir, wie sich dies erreichen lässt. Bild : VXLANs im Datacenter oberhalb a) eines L2- Netzwerks (VLAN-begrenzt), b) eines L3-Netzwerks (VLANübergreifend) AS: Access Switch CS: Core Switch GS: Aggregation Switch VM: Virtual Machine VXLI: VXLAN-Instanz (virtueller L2-Switch mit VXLAN- Unterstützung) 7

8 VXLAN oberhalb eines L3-Netzwerks MAC-Broadcast- Domain Im Allgemeinen besteht ein VXLAN aus einer Vielzahl von oft über ein L3-Netzwerk vernetzten VXLAN-Instanzen de facto von virtuellen, in verschiedenen Wirt-Servern implementierten L2- Switches und eine solche Vernetzung von VXLAN-Instanzen muss eine MAC-Broadcast-Domain oberhalb eines IP-Netzwerks nachbilden. Bild bringt dies zum Ausdruck. Die Tatsache, dass jedes VXLAN ebenso wie jedes herkömmliche VLAN eine MAC-Broadcast-Domain bildet, hat zur Folge, dass jede VXLAN-Instanz ähnlich wie jeder herkömmliche L2-Switch das Versenden von MAC-Broadcasts sowohl an lokale VMs im gleichen Wirt-Server als auch an Remote-VMs in anderen Wirt- Servern unterstützen muss. Um das MAC-Broadcast innerhalb eines IP-Netzwerks zu versenden, benötigt man eine besondere Lösung, die im Folgenden erörtert werden soll. Bild : Bildung einer MAC-Broadcast-Domain bei VXLANs IP: Internet Protocol R: Router VM: Virtual Machine Damit man ein VXLAN als MAC-Broadcast-Domain oberhalb eines IP-Netzwerks mit Routern realisieren kann, um also einen MAC- Frame (auch Ethernet Frame genannt) von einer VM an alle in anderen Wirt-Servern implementierten Remote-VMs aus dem gleichen VXLAN quasi in einem Zug verschicken zu können, wird die 8

9 MAC-Broadcast-Domain eines VXLAN oberhalb des IP-Netzwerks als IP-Multicast-Domain nachgebildet. Somit muss jedem VXLAN eine IP-Multicast-Adresse 10 zugeordnet werden. Weil jedes VXLAN eine IP-Multicast-Adresse hat, kann die dem VXLAN entsprechende MAC-Broadcast-Domain im IP-Netzwerk in Form eines IP-Multicast-Verteilbaums nachgebildet werden. Bild illustriert dies und bringt auch zum Ausdruck (vgl. auch Bild ), dass mehrere VXLANs auf dem gleichen IP-Multicast- Verteilbaum basieren können ihnen also die gleiche IP-Multicast- Adresse zugrunde liegen kann. Bei IP-Multicasting sind zwei Protokolle von großer Bedeutung: ein Protokoll für das Management von Multicast-Gruppen (MC- Gruppen) und ein Multicast-Routingprotokoll (MC-Routingprotokoll). 11 Das Management von MC-Gruppen beim Internetprotokoll IPv4 erfolgt nach dem Internet Group Management Protocol Version 3 (IGMPv3) 12. Unterstützt eine VXLAN-Instanz das Managementprotokoll IGMPv3, kann sie einer oder auch mehreren MC-Gruppe/n angehören. Mithilfe von IGMPv3 kann sie den Routern z.b. signalisieren, dass sie bereits zu einer MC-Gruppe gehört, dass sie einer MC-Gruppe beitreten oder eine MC-Gruppe verlassen möchte. Für Näheres über das IP-Multicast-Management in VXLANs sei auf [2] verwiesen. Beim VXLAN kommt Protocol Independent Multicast Sparse Mode (PIM-SM) 13 als MC-Routingprotokoll zum Einsatz. Wie Bild illustriert, wird im IP-Netzwerk für jede IP-Multicast- Adresse mithilfe von Routern nach dem MC-Routingprotokoll ein logischer IP-Multicast-Verteilbaum eingerichtet. Die Edge Router, über die die IP-Subnetze mit einzelnen VXLAN-Instanzen an den IP-Multicast-Verteilbaum angebunden sind, können als Blät Für kompakte Informationen über IP-Multicasting und MC-Routing darunter auch über PIM-SM siehe die Abschnitte 2.8 und 9.6 in [1]. 12 RFC RFC

10 ter im IP-Multicast-Verteilbaum angesehen werden. Der designierte, im PIM-SM als Rendezvous Point (RP) bezeichnete Router stellt die Wurzel (Root) im IP-Multicast-Verteilbaum dar. Um über ein IP-Netzwerk einen MAC-Frame mit einer MAC- Broadcast-Adresse von einer VM an alle anderen VMs im gleichen VXLAN zu verschicken, wird der MAC-Frame in ein IP-Paket mit der dem betreffenden VXLAN zugewiesenen IP-Multicast-Adresse als Ziel-IP-Adresse eingekapselt (vgl. Bild ). Ein solches, von einer VXLAN-Instanz stammendes Multicast-IP-Paket wird zuerst von dieser VXLAN-Instanz an den Rendezvous Point übergeben. Im nächsten Schritt verschickt dieser das Multicast-IP-Paket an die restlichen VXLAN-Instanzen. Im Endeffekt kann man den IP- Multicast-Verteilbaum als ein virtuelles Broadcast-Medium betrachten (vgl. hierzu Bild ). IP-Netzwerk als virtuelles Broadcast-Medium In Bild wurde gezeigt, dass ein IP-Netzwerk aus der Sicht eines VXLAN einen logischen IP-Multicast-Verteilbaum darstellt. Über diesen Baum wird ein IP-Multicast-Paket mit einem eingekapselten MAC-Frame von einer VXLAN-Instanz an andere VXLAN- Instanzen aus dem gleichen VXLAN über ein IP-Netzwerk verteilt. Wie Bild illustriert, verhält sich ein IP-Netzwerk aus VXLAN-Sicht so, als ob es ein virtuelles Broadcast-Medium (virtual Broadcast Media) wäre. Ein derartiges Medium könnte man in Form eines virtuellen Bussystems 14 darstellen und so ließe sich dessen Broadcast-Eigenschaft besser zum Ausdruck bringen. Die einzelnen VXLAN-Instanzen müssen am virtuellen Broadcast- Medium identifiziert de facto adressiert werden und hierfür dienen die sog. VXLAN Tunnel End Points (VTEPs); diese stellen UDP-Sockets 15 dar. Folglich ist jede VXLAN-Instanz praktisch eine 14 Das in Bild gezeigte virtuelle Bussystem soll an das erste, aus dem Jahr 1982 stammende Ethernet-Konzept 10Base5 auf der Basis des dicken, gelben Koaxialkabels ( Thick Yellow Cable Ethernet ) erinnern, das nach dem Broadcast-Prinzip funktioniert. 15 Das Paar (UDP-Port, IP-Adresse) nennt man UDP-Socket. Dementsprechend bildet das Paar (TCP-Port, IP-Adresse) einen TCP-Socket (Transmissi- 10

11 UDP-Applikation. Wie aus Bild hervorgeht, könnte man die VTEPs als Anschlusspunkte von VXLAN-Instanzen am virtuellen Broadcast-Medium und die Tunnel zu diesen Anschlusspunkten als virtuelle Uplinks ansehen. 16 Bild : Multicast-Verteilbaum als virtuelles Broadcast- Medium VTEP: VXLAN Tunnel End Point (Ende und/oder Beginn des Tunnels) VM: Virtual Machine Die einzelnen, an eine VXLAN-Instanz angebundenen VMs können aber verschiedenen, mithilfe von VNIs identifizierten VXLANs angehören. Um dies zu ermöglichen, kann wie Bild illustriert an mehrere virtuelle Broadcast-Medien eine VXLAN-Instanz angebunden werden. Folglich kann eine VXLAN-Instanz seitens des IP-Netzwerks über mehrere VTEPs erreichbar sein. on Control Protocol). Ein Socket stellt den Endpunkt einer Kommunikationsbeziehung über ein IP-Netz dar, d.h.: eine verbindungslose Kommunikation nach UDP verläuft zwischen zwei UDP-Sockets, eine virtuelle TCP- Verbindung verläuft zwischen zwei TCP-Sockets. 16 Die in Bild gezeigte virtuelle Struktur ähnelt dem Virtual Chassis Model der Fa. Cisco, und zwar entspricht das virtuelle Broadcast-Medium dem virtual Chassis, ein virtueller Uplink einer Line Card und eine VXLAN-Instanz repräsentiert ein Virtual Ethernet Modul (VEM) [2]. 11

12 Bild : Mehrere Tunnel können zu einer VXLAN-Instanz führen vbm: virtuelles Broadcast-Medium VM: Virtual Machine VNI: VXLAN Network Identifier VTEP: VXLAN Tunnel End Point (Ende und/oder Beginn des Tunnels) Weil der VNI mit 24 Bit codiert ist (vgl. Bild ), könnte man theoretisch oberhalb eines physischen IP-Netzwerks bis zu 2 24 VXLANs einrichten. Dies hat in großen Datacentern eine enorme Bedeutung, denn in einem großen, auf mehrere Standorte verteilten Datacenter (Distributed Virtual Datacenter), das als öffentliche Cloud (Public Cloud) mit virtuellen Servern als VMs fungiert, könnte man zur Bereitstellung diverser Cloud Services bis zu 2 24 private Clouds in Form von VXLANs einrichten. VXLAN-Instanz und Profile von VM-Ports Um das Konzept vom VXLAN erläutern zu können, betrachten wir nun eine VXLAN-Instanz etwas detaillierter. Wie Bild zum Ausdruck bringt, wird in diesem Beitrag unter einer VXLAN- Instanz ein virtueller L2-Switch, kurz vswitch genannt, verstanden, in dem einige seiner Ports im VXLAN-Modus betrieben werden. Ein solcher vswitch verfügt über zwei Arten virtueller, nach Bedarf generierter Ports, nämlich Ports zur Anbindung von VMs und als VTEPs bezeichneter Ports für seine Anbindung an das virtuelle Broadcast Medium (vgl. Bild ). VTEPs können hier als eine Art Uplink Ports angesehen werden. 12

13 Bild : Arten von Ports im VXLAN und deren Profile DB: pnic: vnic: Data Base (Datenbank) physical Network Interface Controller virtual Network Interface Controller Anmerkung: Bild zeigt eine auf mehrere zu einem VXLAN gehörende und auf verschiedenen Wirt-Servern implementierte VMs (Client-, Web- und DB-VM) verteilte Applikation. Die Client-VM wird hier über zwei vnics an den vswitch angebunden; sie dient dadurch als Gateway zwischen dem VLAN 2 und dem VXLAN 7. Weil das VLAN 2 eine Gruppe von Ports im Access Switch repräsentiert, wird es als Access-VLAN bezeichnet. Bild soll insbesondere zum Ausdruck bringen, dass jede VM eine virtuelle, als vnic bezeichnete Adapterkarte hat, der eine MAC-Adresse zugewiesen wird. Die virtuelle Adapterkarte einer VM kann als deren Port, über den sie an den vswitch angebunden wird, betrachtet werden. Jeder VM-Port außer der MAC-Adresse hat auch bestimmte Profile. Ein besonderes Profil ist die Zugehörigkeit der VM zum VLAN und/oder zum VXLAN. Beispiel: In Bild hat die Client-VM als dual-homed VM, Gateway zwei Ports mit folgenden Profilen: Port mit Access-VLAN 2: Dieser Port, und somit auch die VM, gehört zum Access-VLAN 2; über dieses erfolgt der Zugriff von außen auf diese Client-VM. 13

14 Port mit Access-VLAN 3 und VXLAN 7: Dieser Port gehört zum Access-VLAN 3 und zum VXLAN 7; über das VLAN 3 verläuft der virtuelle Uplink als MAC-in-UDP-Tunnel nach außen über physische Access Switches de facto zum virtuellen Broadcast-Medium (vgl. Bild ). Bei der Anbindung (Mapping) einer VM an einen vswitch werden die Profile und die MAC-Adressen ihrer Ports an den vswitch übergeben. Dadurch wird der vswitch in die Lage versetzt, seine MAC- Adresstabelle (MAC Address Table) 17 zu erzeugen (vgl. Bild ). Für jedes VXLAN am vswitch ist eine spezielle MAC- Adresstabelle nötig; sie gibt an, über welche Ports im vswitch welche MAC-Adressen erreichbar sind. VXLAN wird zwar als eine isolierte, eine MAC-Broadcast bildende Gruppe von VMs definiert, aber irgendwie muss auf einige VMs eines VXLAN der Zugriff von außen erfolgen. Bild zeigt nur eine Möglichkeit hierfür, und zwar über eine als Gateway fungierende, zu einem VLAN gehörende VM, die an denselben vswitch wie die anderen, zum VXLAN gehörenden VMs angebunden ist. Der vswitch fungiert demzufolge wie eine VXLAN-Instanz mit VLAN-Ports, also wie eine hybride VXLAN-Instanz. Man kann sich aber auch eine reine VXLAN-Instanz, d.h. ohne VLAN-Ports, vorstellen. Der Zugriff auf ein VXLAN auf der Basis von nur reinen VXLAN-Instanzen muss über eine als Gateway dienende, dualhomed VM erfolgen, wobei diese einerseits an einen vswitch mit nur VLAN-Unterstützung und andererseits an einen vswitch mit nur VXLAN-Unterstützung de facto an eine VXLAN-Instanz angebunden sein muss. Im Weiteren werden nur reine VXLAN-Instanzen betrachtet. VXLAN-Instanz und ihre Adresstabellen Wie bereits zum Ausdruck gebracht wurde, stellt eine VXLAN- Instanz einen vswitch dar, dessen Aufgabe in der Weiterleitung empfangener MAC-Frames auf der Basis von in ihnen enthaltenen Ziel-MAC-Adressen besteht; hierfür braucht der vswitch bestimmte Adresstabellen. Bild zeigt, welche Adresstabellen das sind. 17 Eine MAC-Adresstabelle im Layer-2-Switch (auch im vswitch) wird auch Forwarding Table genannt. 14

15 Bild : VXLAN-Instanz: a) MAC-Adressen von VMs und IP- Adressen von VTEPs, b) VXLAN-spezifische Adresstabellen IGMP: IP-MC-Adr: MAC: VNI: VTEP: Internet Group Management Protocol IP-Multicast-Adresse Media Access Control VXLAN Network Identifier VXLAN Tunnel End Point Jedes VXLAN bildet eine MAC-Broadcast-Domain und, falls das virtuelle Broadcast-Medium als IP-Netzwerk mehrere IP-Subnetze enthält, muss dem VXLAN eine IP-Multicast-Adresse zugewiesen werden, damit das IP-Netzwerk mithilfe des Multicast- Routingprotokolls (z.b. PIM-SM) in eine IP-Multicast-Domain abgebildet wird. Wie bereits in Bild gezeigt wurde, stellt diese IP-Multicast-Domain einen Multicast-Verteilbaum dar. Dabei kommt noch das Managementprotokoll IGMPv3 ins Spiel, mit dessen Hilfe eine VXLAN-Instanz einer Multicast-Gruppe beitreten bzw. diese verlassen kann. Um in der Lage zu sein, dies zu tun, muss eine VXLAN-Instanz das IGMPv3 unterstützen und eine IGMP- Tabelle (vgl. Bild b) verwalten. In dieser Tabelle einer VXLAN-Instanz wird angegeben, welche IP-Multicast-Adressen den an der VXLAN-Instanz eingerichteten VXLANs zugeordnet worden sind (vgl. Bild ) bei mehreren VXLANs an VXLAN-Instanzen, 15

16 welche IP-Adresse der dem VXLAN zugeordnete Uplink Port hat. Diese IP-Adresse muss im Outer Header des zu sendenden VXLAN-Frame eingetragen werden (vgl. Bild ). Wie bereits in Bild gezeigt wurde, stellt eine VXLAN- Instanz einen vswitch dar, dessen Ports verschiedenen VXLANs angehören können und über die verschiedene MAC-Adressen erreichbar sind. Hierbei muss man aber zwischen Ports, an denen nur lokale, auf demselben Wirt-Server implementierte VMs angebunden sind. und Uplink Ports, die zu den auf anderen Wirt-Servern implementierten Remote-VMs führen, unterscheiden. Die VXLAN- Instanz muss somit eine entsprechende MAC-Adresstabelle enthalten, die angibt, welche MAC-Adressen über diese beiden Arten von Ports erreichbar sind. Bild b zeigt ein Beispiel dafür, wie eine MAC-Adresstabelle strukturiert werden kann. 18 In diesem Fall wird sie in Form von zwei Tabellen organisiert, d.h. mittels einer lokalen MAC-Adresstabelle (Local MAC Address Table) und einer Remote-MAC-Adresstabelle (Remote MAC Address Table). Die lokale MAC-Adresstabelle gibt an, welche MAC-Adressen lokaler VMs über welche Ports erreichbar sind. In die Remote-MAC-Adresstabelle wird eingetragen, welche MAC-Adressen von Remote-VMs über welche VXLAN-Instanz genauer über welche Remote-VTEP, d.h. unter welchen IP- Adressen erreichbar sind. Diese Adressen müssen als Ziel-IP- Adressen im Outer Header von zu sendenden VXLAN-Frames eingetragen werden (vgl. Bild ). Für die Fortsetzung siehe: Fachkompendium Protokolle und Dienste der Informationstechnologie, WEKA-Verlag, ISBN: und-dienste-der-informationstechnologieonline_10203_10053_10635_-3_10061_10010_ Es sei hervorgehoben, dass Bild b nur ein Beispiel dafür zeigt, wie eine MAC-Adresstabelle in der VXLAN-Instanz organisiert werden kann. Die MAC-Adresstabelle kann auch in Form einer zusammengesetzten Tabelle implementiert werden. 16