VXLAN. Virtual Extensible LAN VXLAN. Autor: Prof. Dr.-Ing. Anatol Badach



Ähnliche Dokumente
NVGRE. Network Virtualization using Generic Routing Encapsulation NVGRE

VRRP. Bild zeigt die Adressangaben in einem IP-Paket bei dessen Übermittlung über die Grenze eines IP-Subnetzes hinweg.

Anbindung des eibport an das Internet

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

IRF2000 Application Note Lösung von IP-Adresskonflikten bei zwei identischen Netzwerken

IAC-BOX Netzwerkintegration. IAC-BOX Netzwerkintegration IACBOX.COM. Version Deutsch

Guide DynDNS und Portforwarding

How-to: Webserver NAT. Securepoint Security System Version 2007nx

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

EVB. Edge Virtual Bridging EVB. Autor: Prof. Dr.-Ing. Anatol Badach

WLAN Konfiguration. Michael Bukreus Seite 1

Walther- Übungsaufgabe 24. Januar 2016 Rathenau- Routing Name: Gewerbeschule Freiburg DHCP Klasse: E3FI1T Seite 1 Punkte: /20 Note:

BPE. Bridge Port Extension BPE

Einführung in IP, ARP, Routing. Wap WS02/03 Ploner, Zaunbauer

FOPT 5: Eigenständige Client-Server-Anwendungen (Programmierung verteilter Anwendungen in Java 1)

Tips, Tricks und HOWTOs Virtualisierung für Profis und Einsteiger Serverkonsolidierung, Testumgebung, mobile Demo

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Konfiguration des Fernzugriffes auf Eyseo-IP-Netzwerkkameras mittels dynamischer IP-Adresse

Gefahren aus dem Internet 1 Grundwissen April 2010

Lizenzierung von System Center 2012

Switch 1 intern verbunden mit onboard NICs, Switch 2 mit Erweiterungs-NICs der Server 1..6

Kurzanleitung. MEYTON Aufbau einer Internetverbindung. 1 Von 11

Technical Note ewon über DSL & VPN mit einander verbinden

Man unterscheidet zwischen LAN (Local Area Network) und WAN (Wide Area Network), auch Internet genannt.

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

DNÜ-Tutorium HS Niederrhein, WS 2014/2015. Probeklausur

Thema: VLAN. Virtual Local Area Network

ICS-Addin. Benutzerhandbuch. Version: 1.0

Rechnernetzwerke. Rechnernetze sind Verbünde von einzelnen Computern, die Daten auf elektronischem Weg miteinander austauschen können.

1 Mit einem Convision Videoserver über DSL oder ISDN Router ins Internet

Professionelle Seminare im Bereich MS-Office

Virtual Private Network

3 Das verbindungslose Vermittlungsprotokoll IP

2. Kommunikation und Synchronisation von Prozessen 2.2 Kommunikation zwischen Prozessen

Root-Server für anspruchsvolle Lösungen

Anleitung zur Nutzung des SharePort Utility

Netzwerkeinstellungen unter Mac OS X

Virtual Private Network. David Greber und Michael Wäger

Step by Step Webserver unter Windows Server von Christian Bartl

C.M.I. Control and Monitoring Interface. Zusatzanleitung: Datentransfer mit CAN over Ethernet (COE) Version 1.08

CCNA Exploration Network Fundamentals. Chapter 6 Subnetze

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Kontrollfragen: Internet

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

Einrichtung von VPN-Verbindungen unter Windows NT

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Proxy. Krishna Tateneni Übersetzer: Stefan Winter

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Übung 6. Tutorübung zu Grundlagen: Rechnernetze und Verteilte Systeme (Gruppen MI-T7 / DO-T5 SS 2015) Michael Schwarz

Local Control Network Technische Dokumentation

Dieser Ablauf soll eine Hilfe für die tägliche Arbeit mit der SMS Bestätigung im Millennium darstellen.

Einführung in die. Netzwerktecknik

Konfigurationsanleitung Tobit David Fax Server mit Remote CAPI Graphical User Interface (GUI) Seite - 1 -

Teil 1: IT- und Medientechnik

Lokale Installation von DotNetNuke 4 ohne IIS

Switch: - nicht konfigurierbare (unmanaged) - konfigurierbare (managed)

Anleitung zur Konfiguration eines NO-IP DynDNS-Accounts mit der TOOLBOXflex-3.2

Netzwerk einrichten unter Windows

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

ANYWHERE Zugriff von externen Arbeitsplätzen

Aufruf der Weboberflache des HPM- Warmepumpenmanagers aus dem Internet TIPPS

Lizenzierung von Windows Server 2012

How-to: Mailrelay und Spam Filter. Securepoint Security System Version 2007nx

Das Handbuch zu Simond. Peter H. Grasch

Kurzanleitung So geht s

Lizenzierung von SharePoint Server 2013

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Scharl 2010 Dokument ist Urheberrechtlich geschützt. Port Forwarding via PuTTY und SSH. Was ist Port forwarding?

STRATO Mail Einrichtung Mozilla Thunderbird

7. TCP-IP Modell als Rollenspiel

Referat von Sonja Trotter Klasse: E2IT1 Datum Jan Subnetting

Collax PPTP-VPN. Howto

Lizenzen auschecken. Was ist zu tun?

Ether S-Net Diagnostik

Anwendungsbeispiele Buchhaltung

Routing im Internet Wie findet ein IP Paket den Weg zum Zielrechner?

Inhalt. Erreichbarkeit von VPN-Gateways hinter einem Genexis FTTH-Abschlussrouter

Machen Sie Ihr Zuhause fit für die

HowTo: Einrichtung & Management von APs mittels des DWC-1000

Installationsanleitung Webserver - Datenkommunikation

Anbinden der Visualisierung GILLES TOUCH (VNC)

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

DynDNS Router Betrieb

Anleitung Grundsetup C3 Mail & SMS Gateway V

ADSL-Verbindungen über PPtP (Mac OS X 10.1)

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

HTBVIEWER INBETRIEBNAHME

OP-LOG

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

2.1 Adressierung im Internet

Lizenzierung von SharePoint Server 2013

3 System Center Virtual Machine Manager 2012

Virtual Private Network

Binärdarstellung von Fliesskommazahlen

Voice over IP (VoIP) PING e.v. Weiterbildung Blitzvortrag. Dennis Heitmann

So richten Sie Outlook Express ein. Einrichten von Outlook Express (hier am Beispiel von Outlook Express 6) für den Empfang meiner s

WinVetpro im Betriebsmodus Laptop

Transkript:

Autor: Prof. Dr.-Ing. Anatol Badach Auszug aus dem Werk: Herausgeber: Heinz Schulte WEKA-Verlag ISBN 978-3-8276-9142-2 VXLAN Virtual Extensible LAN Heutzutage kann man sich kaum noch ein Datacenter im Netzwerk eines Unternehmens vorstellen, in dem keine virtuellen Server als sog. Virtual Machines (VMs) eingerichtet werden. In Datacentern großer Unternehmen bzw. Anbieter verschiedener Cloud Services ist es oft sogar nötig, die auf verschiedenen, unter Umständen weltweit verteilten, physischen Wirt-Servern eingerichteten VMs so zu gruppieren, dass voneinander isolierte, einem Virtual Local Area Network (VLAN) in herkömmlichen Netzwerken entsprechende Gruppen von VMs entstehen. Eine solche Gruppierung von VMs führt zur Bildung von Virtual Extensible LANs (VXLANs). Unter einem VXLAN versteht man eine isolierte Gruppe von auf verschiedenen physischen Wirt-Servern eingerichteten VMs, wobei diese Gruppe von VMs sich so verhält, dass eine MAC 1 -Broadcast- Domain d.h. eine Domain, wie man sie in herkömmlichen Ethernet-basierten Netzwerken vorfindet nachgebildet wird. Somit stellt das VXLAN eine in der Regel räumlich über mehrere Standorte verteilte, eine MAC-Broadcast-Domain bildende Gruppe von VMs dar. Diese kann sogar weltweit verteilt sein und als IP 2 -Subnetz eingerichtet werden. Die Übermittlung von Daten zwischen VMs aus einem VXLAN verläuft über spezielle virtuelle Tunnel, die sog. MAC-in-UDP 3 - Tunnel. Ein VXLAN könnte man sich im Allgemeinen auch als virtuelles Netzwerk vorstellen, in dem VMs als Endsysteme an mehrere auf der Basis eines IP-Netzwerks miteinander vernetzte virtuelle Layer-2-Switches angebunden sind und die Kommunikation zwischen diesen verteilten Switches in MAC-in-UDP-Tunneln verläuft. 1 Media Access Control 2 Internet Protocol 3 User Datagram Protocol 1

Die Notwendigkeit, ein VXLAN einzurichten, entsteht beispielsweise dann, wenn eine verteilte Applikation mehrere an verschiedenen Standorten als VMs implementierte Server (z.b. einen Webserver und einen bzw. mehrere Datenbankserver) nutzt oder wenn ein virtueller Server von einem Standort auf einen anderen verschoben werden muss und dabei weder seine MAC- noch seine IP- Adresse geändert werden darf. Dank des VXLAN-Konzepts kann sogar eine weltweite sog. VM-Mobilität (Virtual Machine Mobility) garantiert werden, ohne die Adressen von VMs ändern zu müssen. Ein Service Provider kann z.b. für seine Kunden im Datacenter mehrere virtuelle Datacenter (Virtual Data Center, VDD) als voneinander isolierte VXLANs so einrichten, dass man von Multi- Tenancy also von Mandantenfähigkeit sprechen kann. Um die auf mehrere VMs verteilten Applikationen dabei insbesondere die sog. Multi-Tier-Applikationen einzelner Mandanten in einem Datacenter voneinander zu isolieren und dadurch ihre Sicherheit zu erhöhen, ist die Bildung von VXLANs nötig. Die in diesem Beitrag dargestellten Ideen und Konzepte von VXLANs basieren hauptsächlich auf dem Internet Draft VXLAN: A Framework for Overlaying Virtualized Layer 2 Networks over Layer 3 Networks 4, zu dessen Verfassern die Vertreter aller namhaften auf dem Gebiet Networking tätiger Firmen (u.a. VMware, Cisco Systems, Arista Networks, Broadcom, Citrix Systems) gehören. Um die VXLAN betreffenden Entwicklungen weiter voranzutreiben, hat sich bei der Internet Engineering Task Force (IETF) eine Working Group namens Network Virtualization Overlays (NVO3) etabliert, die über ihre Homepage 5 vertiefende Informationen zu dem Thema zur Verfügung stellt. VXLAN eine besondere Art von VLAN Wie bereits erwähnt wurde, repräsentiert VXLAN eine Gruppe von auf verschiedenen Wirt-Servern eingerichteten VMs, die weitgehend einer als VLAN anzusehenden Gruppe physischer Rechner im herkömmlichen IP-Netzwerk entspricht. Worin bestehen aber die Un- 4 http://www.potaroo.net/ietf/idref/draft-mahalingam-dutt-dcops-vxlan 5 http://datatracker.ietf.org/wg/nvo3/charter 2

terschiede zwischen einem VLAN und einem VXLAN? Diese möchten wir vorstellen, bevor wir uns den technischen Details von VXLANs widmen. Hierfür betrachten wir die in Bild 005481 dargestellten, auf der Basis eines L2-Switch (L2: Layer 2), genau genommen durch die Gruppierung dessen Ports, eingerichteten VLANs. Wie hier ersichtlich ist, kann ein L2-Switch unterschiedlich realisiert werden, und zwar: in Form einer eigenständigen Hardwarekomponente als physischer L2-Switch (Bild 005481a) oder in einem Wirt-Server mit mehreren VMs als - virtueller L2-Switch (kurz vswitch) in Form einer Softwarekomponente (Bild 005481b) 6, - embedded vswitch auf einem physischen Network Interface Controller (NIC), z.b. auf einer 10GE 7 -Adapterkarte. Dazu sei noch angemerkt, dass ein L2-Switch auch als Ethernet Switch bezeichnet wird. Bild 005481: VLANs auf der Basis: a) eines physikalischen L2- Switch, b) eines virtuellen L2-Switch in einem Wirt-Server L2: Layer 2 (Schicht 2) VLAN: Virtual Local Area Network VM: Virtual Machine, d.h. virtueller Rechner (Server) 6 Für fundierte Informationen über die Betriebsarten virtueller L2-Switches und über die Grundlagen der Mobilität von VMs sei auf Edge Virtual Bridging (EVB) in [3] verwiesen. 7 10 Gigabit Ethernet 3

Anmerkung: Eine wichtige Funktion bei der Virtualisierung von Rechnern übernimmt der sog. Hypervisor. Er repräsentiert eine Softwareeinheit, die es den auf einem Wirtserver implementierten VMs erlaubt, seine Hardware und Speicher gemeinsam zu nutzen. Aus der Sicht des Networking realisiert der Hypervisor im Wesentlichen die Funktion eines L2-Switch und aus diesem Grund kann er allerdings lediglich aus der Sicht von Networking als virtueller L2-Switch angesehen werden. Für das Verständnis von VLANs und folglich auch von VXLANs ist von großer Bedeutung, dass ein L2-Switch ganze L2-Frames auch MAC-Frames genannt auf der Grundlage einer Forwarding Table (Weiterleitungstabelle) weiterleitet und dabei in den Frames nur die Ziel-MAC-Adresse interpretiert. Die Forwarding Table gibt an, über welchen Port eine MAC-Adresse (de facto ein Rechner) erreichbar ist und zu welchem VLAN die MAC-Adresse gehört. Jedes VLAN hat einen VLAN-Identifier (VLAN-ID, VID). Ein VLAN auf der Basis eines L2-Switch entsteht in der Regel durch die Gruppierung von Ports im L2-Switch. Die zu einem VLAN gehörenden Rechner bilden dann eine MAC-Broadcast- Domain 8, auch L2-Broadcast-Domain genannt. Diese stellt ein logisches (virtuelles) lokales Netzwerk dar; also, wie der Name VLAN bereits sagt, ein virtuelles LAN. Die in Bild 005481 dargestellten VLANs sind auf einen L2-Switch beschränkt sind also L2-Switch-begrenzt. VLANs können sich aber auch über mehrere L2-Switches erstrecken, d.h. sie können L2- Switch-übergreifend sein. Weil ein VXLAN wie bereits erwähnt eine Gruppe von auf verschiedenen Wirt-Servern eingerichteten VMs repräsentiert, widmen wir uns nun, um die grundlegende Idee vom VXLAN anschaulich darstellen zu können, den L2-Switchübergreifenden VLANs. Anhand von Bild 005482 soll nun gezeigt werden, dass ein VLAN auf der Basis mehrerer, auf eine besondere Weise über ein IP- 8 Eine MAC-Broadcast-Domain repräsentiert eine isolierte Gruppe von Rechnern, in der jeder Rechner die Möglichkeit hat, an alle zur Gruppe gehörenden Rechner einen MAC-Frame (Ethernet Frame) mit der einzigen Broadcast-MAC-Adresse zu schicken. 4

Netzwerk verbundener, virtueller L2-Switches als VXLAN angesehen werden kann. Es sei an dieser Stelle aber angemerkt, dass es sich in diesem Fall um ein VXLAN auf der Basis von nur zwei virtuellen L2-Switches handelt. VXLANs können jedoch auch auf der Basis von einer Vielzahl virtueller L2-Switches eingerichtet werden. Virtuelle L2-Switches in einem VXLAN werden im Weiteren als VXLAN-Instanzen (VXLIs) bezeichnet (vgl. Bild 005484). Bild 005482: L2-Switch-übergreifende VLANs auf der Basis a) von physischen, mit einem Uplink verbundenen L2-Switches, b) von virtuellen, mit einem über ein IP-Netzwerk eingerichteten MAC-in- UDP-Tunnel verbundenen L2-Switches IP: Internet Protocol L2: Layer 2 MAC: Media Access Control UDP: User Datagram Protocol VDS: Virtual Distributed Switch (virtueller verteilter Switch) VLAN: Virtual Local Area Network VM: Virtual Machine Aus Bild 005482 ist ersichtlich, dass ein VXLAN ein besonderes auf der Basis von mehreren virtuellen in verschiedenen Wirt-Servern 5

enthaltenen L2-Switches eingerichtetes VLAN darstellt. 9 Im VXLAN sind im Vergleich zum VLAN aber folgende Besonderheiten hervorzuheben: Die virtuellen L2-Switches sind mit einem virtuellen Uplink in Form eines MAC-in-UDP-Tunnels verbunden; dessen Endpunkte werden mit zwei UDP-Sockets adressiert. Die mit dem Tunnel verbundenen virtuellen L2-Switches verhalten sich so, als ob sie einen virtuellen verteilten Switch (Virtual Distributed Switch, VDS) bilden würden. Im VXLAN fungieren VMs als Endsysteme, wobei nur VMs aus einem VXLAN miteinander kommunizieren können. Es findet also keine Kommunikation zwischen VXLANs statt. Oberhalb einer Gruppe virtueller L2-Switches, die einen virtuellen verteilten Switch (VDS) bilden (vgl. Bild 005482b), können quasi parallel mehrere VXLANs eingerichtet werden. Jedes von ihnen hat eine Identifikation, den sog. VXLAN Network Identifier (VNI). Es sei hervorgehoben, dass jedes VXLAN ebenso wie jedes herkömmliche VLAN eine MAC-Broadcast-Domain bilden muss. VXLAN oberhalb eines L2- oder eines L3-Netzwerks Ein VXLAN kann als virtuelles Overlay-L2-Netzwerk (Virtual Overlay Network) oberhalb eines physischen IP-Netzwerks angesehen werden. Wie Bild 005483 zeigt, muss man aber wegen der Notwendigkeit einer MAC-Broadcast-Domain bei VXLAN darauf achten, oberhalb welchen physischen Netzwerks ob oberhalb eines L2- oder eines L3-Netzwerks ein VXLAN gebildet wird. Wird ein VXLAN, wie Bild 005483a zeigt, oberhalb eines L2- Netzwerks de facto eines VLAN, welches ein IP-Subnetz bildet und demzufolge eine MAC-Broadcast-Domain darstellt eingerichtet, so bildet auch das VXLAN eine MAC-Broadcast-Domain. 9 Beispielsweise beim Einsatz von Virtual Ethernet Moduls (VEMs) aus der Cisco Nexus 1000V Series Switches als virtuelle L2-Switches in Wirt- Servern (z.b. in ESX Hosts von VMware) können bis zu 64 VEMs in einem VDS vorkommen [2]. Verwendet man aber VEMs als VXLAN-Instanzen, könnte man die zu einem VXLAN gehörenden VMs sogar auf 64 verschiedenen Wirt-Servern installieren [3]. 6

Wird ein VXLAN jedoch, wie Bild 005483b zeigt, oberhalb eines L3-Netzwerks in der Tat oberhalb mehrerer VLANs, welche verschiedene, über L3-Switches bzw. über Router vernetzte IP- Subnetze darstellen eingerichtet, dann bilden die dem VXLAN zugrunde liegenden VLANs nicht eine einzige das VLAN erfassende MAC-Broadcast-Domain, wie man sie beim VXLAN benötigt, sondern stellen mehrere, voneinander getrennte MAC-Broadcast- Domains dar. Jedes VXLAN muss aber eine MAC-Broadcast- Domain repräsentieren. Im Folgenden zeigen wir, wie sich dies erreichen lässt. Bild 005483: VXLANs im Datacenter oberhalb a) eines L2- Netzwerks (VLAN-begrenzt), b) eines L3-Netzwerks (VLANübergreifend) AS: Access Switch CS: Core Switch GS: Aggregation Switch VM: Virtual Machine VXLI: VXLAN-Instanz (virtueller L2-Switch mit VXLAN- Unterstützung) 7

VXLAN oberhalb eines L3-Netzwerks MAC-Broadcast- Domain Im Allgemeinen besteht ein VXLAN aus einer Vielzahl von oft über ein L3-Netzwerk vernetzten VXLAN-Instanzen de facto von virtuellen, in verschiedenen Wirt-Servern implementierten L2- Switches und eine solche Vernetzung von VXLAN-Instanzen muss eine MAC-Broadcast-Domain oberhalb eines IP-Netzwerks nachbilden. Bild 005484 bringt dies zum Ausdruck. Die Tatsache, dass jedes VXLAN ebenso wie jedes herkömmliche VLAN eine MAC-Broadcast-Domain bildet, hat zur Folge, dass jede VXLAN-Instanz ähnlich wie jeder herkömmliche L2-Switch das Versenden von MAC-Broadcasts sowohl an lokale VMs im gleichen Wirt-Server als auch an Remote-VMs in anderen Wirt- Servern unterstützen muss. Um das MAC-Broadcast innerhalb eines IP-Netzwerks zu versenden, benötigt man eine besondere Lösung, die im Folgenden erörtert werden soll. Bild 005484: Bildung einer MAC-Broadcast-Domain bei VXLANs IP: Internet Protocol R: Router VM: Virtual Machine Damit man ein VXLAN als MAC-Broadcast-Domain oberhalb eines IP-Netzwerks mit Routern realisieren kann, um also einen MAC- Frame (auch Ethernet Frame genannt) von einer VM an alle in anderen Wirt-Servern implementierten Remote-VMs aus dem gleichen VXLAN quasi in einem Zug verschicken zu können, wird die 8

MAC-Broadcast-Domain eines VXLAN oberhalb des IP-Netzwerks als IP-Multicast-Domain nachgebildet. Somit muss jedem VXLAN eine IP-Multicast-Adresse 10 zugeordnet werden. Weil jedes VXLAN eine IP-Multicast-Adresse hat, kann die dem VXLAN entsprechende MAC-Broadcast-Domain im IP-Netzwerk in Form eines IP-Multicast-Verteilbaums nachgebildet werden. Bild 005484 illustriert dies und bringt auch zum Ausdruck (vgl. auch Bild 005485), dass mehrere VXLANs auf dem gleichen IP-Multicast- Verteilbaum basieren können ihnen also die gleiche IP-Multicast- Adresse zugrunde liegen kann. Bei IP-Multicasting sind zwei Protokolle von großer Bedeutung: ein Protokoll für das Management von Multicast-Gruppen (MC- Gruppen) und ein Multicast-Routingprotokoll (MC-Routingprotokoll). 11 Das Management von MC-Gruppen beim Internetprotokoll IPv4 erfolgt nach dem Internet Group Management Protocol Version 3 (IGMPv3) 12. Unterstützt eine VXLAN-Instanz das Managementprotokoll IGMPv3, kann sie einer oder auch mehreren MC-Gruppe/n angehören. Mithilfe von IGMPv3 kann sie den Routern z.b. signalisieren, dass sie bereits zu einer MC-Gruppe gehört, dass sie einer MC-Gruppe beitreten oder eine MC-Gruppe verlassen möchte. Für Näheres über das IP-Multicast-Management in VXLANs sei auf [2] verwiesen. Beim VXLAN kommt Protocol Independent Multicast Sparse Mode (PIM-SM) 13 als MC-Routingprotokoll zum Einsatz. Wie Bild 005484 illustriert, wird im IP-Netzwerk für jede IP-Multicast- Adresse mithilfe von Routern nach dem MC-Routingprotokoll ein logischer IP-Multicast-Verteilbaum eingerichtet. Die Edge Router, über die die IP-Subnetze mit einzelnen VXLAN-Instanzen an den IP-Multicast-Verteilbaum angebunden sind, können als Blät- 10 http://www.iana.org/assignments/multicast-addresses 11 Für kompakte Informationen über IP-Multicasting und MC-Routing darunter auch über PIM-SM siehe die Abschnitte 2.8 und 9.6 in [1]. 12 RFC 3376 13 RFC 4601 9

ter im IP-Multicast-Verteilbaum angesehen werden. Der designierte, im PIM-SM als Rendezvous Point (RP) bezeichnete Router stellt die Wurzel (Root) im IP-Multicast-Verteilbaum dar. Um über ein IP-Netzwerk einen MAC-Frame mit einer MAC- Broadcast-Adresse von einer VM an alle anderen VMs im gleichen VXLAN zu verschicken, wird der MAC-Frame in ein IP-Paket mit der dem betreffenden VXLAN zugewiesenen IP-Multicast-Adresse als Ziel-IP-Adresse eingekapselt (vgl. Bild 005489). Ein solches, von einer VXLAN-Instanz stammendes Multicast-IP-Paket wird zuerst von dieser VXLAN-Instanz an den Rendezvous Point übergeben. Im nächsten Schritt verschickt dieser das Multicast-IP-Paket an die restlichen VXLAN-Instanzen. Im Endeffekt kann man den IP- Multicast-Verteilbaum als ein virtuelles Broadcast-Medium betrachten (vgl. hierzu Bild 005485). IP-Netzwerk als virtuelles Broadcast-Medium In Bild 005484 wurde gezeigt, dass ein IP-Netzwerk aus der Sicht eines VXLAN einen logischen IP-Multicast-Verteilbaum darstellt. Über diesen Baum wird ein IP-Multicast-Paket mit einem eingekapselten MAC-Frame von einer VXLAN-Instanz an andere VXLAN- Instanzen aus dem gleichen VXLAN über ein IP-Netzwerk verteilt. Wie Bild 005485 illustriert, verhält sich ein IP-Netzwerk aus VXLAN-Sicht so, als ob es ein virtuelles Broadcast-Medium (virtual Broadcast Media) wäre. Ein derartiges Medium könnte man in Form eines virtuellen Bussystems 14 darstellen und so ließe sich dessen Broadcast-Eigenschaft besser zum Ausdruck bringen. Die einzelnen VXLAN-Instanzen müssen am virtuellen Broadcast- Medium identifiziert de facto adressiert werden und hierfür dienen die sog. VXLAN Tunnel End Points (VTEPs); diese stellen UDP-Sockets 15 dar. Folglich ist jede VXLAN-Instanz praktisch eine 14 Das in Bild 005485 gezeigte virtuelle Bussystem soll an das erste, aus dem Jahr 1982 stammende Ethernet-Konzept 10Base5 auf der Basis des dicken, gelben Koaxialkabels ( Thick Yellow Cable Ethernet ) erinnern, das nach dem Broadcast-Prinzip funktioniert. 15 Das Paar (UDP-Port, IP-Adresse) nennt man UDP-Socket. Dementsprechend bildet das Paar (TCP-Port, IP-Adresse) einen TCP-Socket (Transmissi- 10

UDP-Applikation. Wie aus Bild 005485 hervorgeht, könnte man die VTEPs als Anschlusspunkte von VXLAN-Instanzen am virtuellen Broadcast-Medium und die Tunnel zu diesen Anschlusspunkten als virtuelle Uplinks ansehen. 16 Bild 005485: Multicast-Verteilbaum als virtuelles Broadcast- Medium VTEP: VXLAN Tunnel End Point (Ende und/oder Beginn des Tunnels) VM: Virtual Machine Die einzelnen, an eine VXLAN-Instanz angebundenen VMs können aber verschiedenen, mithilfe von VNIs identifizierten VXLANs angehören. Um dies zu ermöglichen, kann wie Bild 005486 illustriert an mehrere virtuelle Broadcast-Medien eine VXLAN-Instanz angebunden werden. Folglich kann eine VXLAN-Instanz seitens des IP-Netzwerks über mehrere VTEPs erreichbar sein. on Control Protocol). Ein Socket stellt den Endpunkt einer Kommunikationsbeziehung über ein IP-Netz dar, d.h.: eine verbindungslose Kommunikation nach UDP verläuft zwischen zwei UDP-Sockets, eine virtuelle TCP- Verbindung verläuft zwischen zwei TCP-Sockets. 16 Die in Bild 005485 gezeigte virtuelle Struktur ähnelt dem Virtual Chassis Model der Fa. Cisco, und zwar entspricht das virtuelle Broadcast-Medium dem virtual Chassis, ein virtueller Uplink einer Line Card und eine VXLAN-Instanz repräsentiert ein Virtual Ethernet Modul (VEM) [2]. 11

Bild 005486: Mehrere Tunnel können zu einer VXLAN-Instanz führen vbm: virtuelles Broadcast-Medium VM: Virtual Machine VNI: VXLAN Network Identifier VTEP: VXLAN Tunnel End Point (Ende und/oder Beginn des Tunnels) Weil der VNI mit 24 Bit codiert ist (vgl. Bild 005490), könnte man theoretisch oberhalb eines physischen IP-Netzwerks bis zu 2 24 VXLANs einrichten. Dies hat in großen Datacentern eine enorme Bedeutung, denn in einem großen, auf mehrere Standorte verteilten Datacenter (Distributed Virtual Datacenter), das als öffentliche Cloud (Public Cloud) mit virtuellen Servern als VMs fungiert, könnte man zur Bereitstellung diverser Cloud Services bis zu 2 24 private Clouds in Form von VXLANs einrichten. VXLAN-Instanz und Profile von VM-Ports Um das Konzept vom VXLAN erläutern zu können, betrachten wir nun eine VXLAN-Instanz etwas detaillierter. Wie Bild 005487 zum Ausdruck bringt, wird in diesem Beitrag unter einer VXLAN- Instanz ein virtueller L2-Switch, kurz vswitch genannt, verstanden, in dem einige seiner Ports im VXLAN-Modus betrieben werden. Ein solcher vswitch verfügt über zwei Arten virtueller, nach Bedarf generierter Ports, nämlich Ports zur Anbindung von VMs und als VTEPs bezeichneter Ports für seine Anbindung an das virtuelle Broadcast Medium (vgl. Bild 005486). VTEPs können hier als eine Art Uplink Ports angesehen werden. 12

Bild 005487: Arten von Ports im VXLAN und deren Profile DB: pnic: vnic: Data Base (Datenbank) physical Network Interface Controller virtual Network Interface Controller Anmerkung: Bild 005487 zeigt eine auf mehrere zu einem VXLAN gehörende und auf verschiedenen Wirt-Servern implementierte VMs (Client-, Web- und DB-VM) verteilte Applikation. Die Client-VM wird hier über zwei vnics an den vswitch angebunden; sie dient dadurch als Gateway zwischen dem VLAN 2 und dem VXLAN 7. Weil das VLAN 2 eine Gruppe von Ports im Access Switch repräsentiert, wird es als Access-VLAN bezeichnet. Bild 005487 soll insbesondere zum Ausdruck bringen, dass jede VM eine virtuelle, als vnic bezeichnete Adapterkarte hat, der eine MAC-Adresse zugewiesen wird. Die virtuelle Adapterkarte einer VM kann als deren Port, über den sie an den vswitch angebunden wird, betrachtet werden. Jeder VM-Port außer der MAC-Adresse hat auch bestimmte Profile. Ein besonderes Profil ist die Zugehörigkeit der VM zum VLAN und/oder zum VXLAN. Beispiel: In Bild 005487 hat die Client-VM als dual-homed VM, Gateway zwei Ports mit folgenden Profilen: Port mit Access-VLAN 2: Dieser Port, und somit auch die VM, gehört zum Access-VLAN 2; über dieses erfolgt der Zugriff von außen auf diese Client-VM. 13

Port mit Access-VLAN 3 und VXLAN 7: Dieser Port gehört zum Access-VLAN 3 und zum VXLAN 7; über das VLAN 3 verläuft der virtuelle Uplink als MAC-in-UDP-Tunnel nach außen über physische Access Switches de facto zum virtuellen Broadcast-Medium (vgl. Bild 005484). Bei der Anbindung (Mapping) einer VM an einen vswitch werden die Profile und die MAC-Adressen ihrer Ports an den vswitch übergeben. Dadurch wird der vswitch in die Lage versetzt, seine MAC- Adresstabelle (MAC Address Table) 17 zu erzeugen (vgl. Bild 005488). Für jedes VXLAN am vswitch ist eine spezielle MAC- Adresstabelle nötig; sie gibt an, über welche Ports im vswitch welche MAC-Adressen erreichbar sind. VXLAN wird zwar als eine isolierte, eine MAC-Broadcast bildende Gruppe von VMs definiert, aber irgendwie muss auf einige VMs eines VXLAN der Zugriff von außen erfolgen. Bild 005487 zeigt nur eine Möglichkeit hierfür, und zwar über eine als Gateway fungierende, zu einem VLAN gehörende VM, die an denselben vswitch wie die anderen, zum VXLAN gehörenden VMs angebunden ist. Der vswitch fungiert demzufolge wie eine VXLAN-Instanz mit VLAN-Ports, also wie eine hybride VXLAN-Instanz. Man kann sich aber auch eine reine VXLAN-Instanz, d.h. ohne VLAN-Ports, vorstellen. Der Zugriff auf ein VXLAN auf der Basis von nur reinen VXLAN-Instanzen muss über eine als Gateway dienende, dualhomed VM erfolgen, wobei diese einerseits an einen vswitch mit nur VLAN-Unterstützung und andererseits an einen vswitch mit nur VXLAN-Unterstützung de facto an eine VXLAN-Instanz angebunden sein muss. Im Weiteren werden nur reine VXLAN-Instanzen betrachtet. VXLAN-Instanz und ihre Adresstabellen Wie bereits zum Ausdruck gebracht wurde, stellt eine VXLAN- Instanz einen vswitch dar, dessen Aufgabe in der Weiterleitung empfangener MAC-Frames auf der Basis von in ihnen enthaltenen Ziel-MAC-Adressen besteht; hierfür braucht der vswitch bestimmte Adresstabellen. Bild 005488 zeigt, welche Adresstabellen das sind. 17 Eine MAC-Adresstabelle im Layer-2-Switch (auch im vswitch) wird auch Forwarding Table genannt. 14

Bild 005488: VXLAN-Instanz: a) MAC-Adressen von VMs und IP- Adressen von VTEPs, b) VXLAN-spezifische Adresstabellen IGMP: IP-MC-Adr: MAC: VNI: VTEP: Internet Group Management Protocol IP-Multicast-Adresse Media Access Control VXLAN Network Identifier VXLAN Tunnel End Point Jedes VXLAN bildet eine MAC-Broadcast-Domain und, falls das virtuelle Broadcast-Medium als IP-Netzwerk mehrere IP-Subnetze enthält, muss dem VXLAN eine IP-Multicast-Adresse zugewiesen werden, damit das IP-Netzwerk mithilfe des Multicast- Routingprotokolls (z.b. PIM-SM) in eine IP-Multicast-Domain abgebildet wird. Wie bereits in Bild 005484 gezeigt wurde, stellt diese IP-Multicast-Domain einen Multicast-Verteilbaum dar. Dabei kommt noch das Managementprotokoll IGMPv3 ins Spiel, mit dessen Hilfe eine VXLAN-Instanz einer Multicast-Gruppe beitreten bzw. diese verlassen kann. Um in der Lage zu sein, dies zu tun, muss eine VXLAN-Instanz das IGMPv3 unterstützen und eine IGMP- Tabelle (vgl. Bild 005488b) verwalten. In dieser Tabelle einer VXLAN-Instanz wird angegeben, welche IP-Multicast-Adressen den an der VXLAN-Instanz eingerichteten VXLANs zugeordnet worden sind (vgl. Bild 005486) bei mehreren VXLANs an VXLAN-Instanzen, 15

welche IP-Adresse der dem VXLAN zugeordnete Uplink Port hat. Diese IP-Adresse muss im Outer Header des zu sendenden VXLAN-Frame eingetragen werden (vgl. Bild 005490). Wie bereits in Bild 005487 gezeigt wurde, stellt eine VXLAN- Instanz einen vswitch dar, dessen Ports verschiedenen VXLANs angehören können und über die verschiedene MAC-Adressen erreichbar sind. Hierbei muss man aber zwischen Ports, an denen nur lokale, auf demselben Wirt-Server implementierte VMs angebunden sind. und Uplink Ports, die zu den auf anderen Wirt-Servern implementierten Remote-VMs führen, unterscheiden. Die VXLAN- Instanz muss somit eine entsprechende MAC-Adresstabelle enthalten, die angibt, welche MAC-Adressen über diese beiden Arten von Ports erreichbar sind. Bild 005488b zeigt ein Beispiel dafür, wie eine MAC-Adresstabelle strukturiert werden kann. 18 In diesem Fall wird sie in Form von zwei Tabellen organisiert, d.h. mittels einer lokalen MAC-Adresstabelle (Local MAC Address Table) und einer Remote-MAC-Adresstabelle (Remote MAC Address Table). Die lokale MAC-Adresstabelle gibt an, welche MAC-Adressen lokaler VMs über welche Ports erreichbar sind. In die Remote-MAC-Adresstabelle wird eingetragen, welche MAC-Adressen von Remote-VMs über welche VXLAN-Instanz genauer über welche Remote-VTEP, d.h. unter welchen IP- Adressen erreichbar sind. Diese Adressen müssen als Ziel-IP- Adressen im Outer Header von zu sendenden VXLAN-Frames eingetragen werden (vgl. Bild 005490). Für die Fortsetzung siehe: Fachkompendium Protokolle und Dienste der Informationstechnologie, WEKA-Verlag, ISBN: 978-3-8276-9142-2 http://shop.weka.de/webapp/wcs/stores/servlet/product2s_protokolle -und-dienste-der-informationstechnologieonline_10203_10053_10635_-3_10061_10010_10010 18 Es sei hervorgehoben, dass Bild 005488b nur ein Beispiel dafür zeigt, wie eine MAC-Adresstabelle in der VXLAN-Instanz organisiert werden kann. Die MAC-Adresstabelle kann auch in Form einer zusammengesetzten Tabelle implementiert werden. 16

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback