VXLAN、VLAN有何不同?

VXLAN、VLAN有何不同?

VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。 每个VLAN是一个广播域，VLAN内的主机间可以直接通信，而VLAN间则不能直接互通。这样，广播报文就被限制在一个VLAN内。

因此，VLAN具备以下优点：

• 限制广播域：广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。
• 增强局域网的安全性：不同VLAN内的报文在传输时相互隔离，即一个VLAN内的用户不能和其它VLAN内的用户直接通信。
• 提高了网络的健壮性：故障被限制在一个VLAN内，本VLAN内的故障不会影响其他VLAN的正常工作。
• 灵活构建虚拟工作组：用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活

VLAN数据帧就是在传统的以太网数据帧源MAC地址后加了4Bytes的VLAN tag。
VLAN数据帧中的VID字段标识了该数据帧所属的VLAN，数据帧只能在其所属VLAN内进行传输。VID字段代表VLAN ID，VLAN ID取值范围是0～4095。由于0和4095为协议保留取值，所以VLAN ID的有效取值范围是1～4094。

云化场景下，VLAN存在的不足：
VLAN作为传统的网络隔离技术，在标准定义中VLAN的数量只有4000个左右，无法满足大二层网络的租户间隔离需求。另外，VLAN的二层范围一般较小且固定，无法支持虚拟机大范围的动态迁移。

VXLAN即虚拟扩展局域网，是大二层网络中广泛使用的网络虚拟化技术。在源网络设备与目的网络设备之间建立一条逻辑VXLAN隧道，采用MAC in UDP（User Datagram Protocol）封装方式，即，将虚拟机发出的原始以太报文完整的封装在UDP报文中，然后在外层使用物理网络的IP报文头和以太报文头封装，这样，封装后的报文就像普通IP报文一样，可以通过路由网络转发，这就像给二层网络的虚拟机插上了路由的翅膀，使虚拟机彻底摆脱了二、三层网络的结构限制。

VXLAN完美地弥补了VLAN的上述不足：
一方面通过VXLAN中的24比特VNI字段，提供多达16M租户的标识能力，远大于VLAN的4000；另一方面，VXLAN本质上在两台交换机之间构建了一条穿越基础IP网络的虚拟隧道，将IP基础网络虚拟成一个巨型“二层交换机”，即大二层网络，满足虚拟机大范围动态迁移的需求。

虽然从名字上看，VXLAN是VLAN的一种扩展协议，但VXLAN构建虚拟隧道的本领已经与VLAN迥然不同了。

下面来看看，VXLAN报文到底长啥样?

VXLAN的报文结构

VXLAN报文格式（以外层IP头为IPv4格式为例）

如上图所示，VTEP对VM发送的原始以太帧（Original L2 Frame）进行了以下“包装”：

• VXLAN Header
  增加VXLAN头（8字节），其中包含24比特的VNI字段，用来定义VXLAN网络中不同的租户。此外，还包含VXLAN Flags（8比特，取值为00001000）和两个保留字段（分别为24比特和8比特）。

• UDP Header
  VXLAN头和原始以太帧一起作为UDP的数据。UDP头中，目的端口号（VXLAN Port）固定为4789，源端口号（UDP Src. Port）是原始以太帧通过哈希算法计算后的值。

• Outer IP Header
  封装外层IP头。其中，源IP地址（Outer Src. IP）为源VM所属VTEP的IP地址，目的IP地址（Outer Dst. IP）为目的VM所属VTEP的IP地址。

• Outer MAC Header
  封装外层以太头。其中，源MAC地址（Src. MAC Addr.）为源VM所属VTEP的MAC地址，目的MAC地址（Dst. MAC Addr.）为到达目的VTEP的路径中下一跳设备的MAC地址。

VXLAN网络模型示意图：
VXLAN网络中出现了一些传统网络中没有的新元素，如VTEP、VNI等，它们的作用是什么呢？下面将向您介绍这几个新元素。

什么是VXLAN VTEP？
VTEP（VXLAN Tunnel Endpoints，VXLAN隧道端点）是VXLAN网络的边缘设备，是VXLAN隧道的起点和终点，源服务器发出的原始数据帧，在VTEP上被封装成VXLAN格式的报文，并在IP网络中传递到另外一个VTEP上，并经过解封转还原出原始的数据帧，最后转发给目的服务器。

什么是VXLAN VNI？
VNI（VXLAN Network Identifier，VXLAN 网络标识符），VNI是一种类似于VLAN ID的用户标识，一个VNI代表了一个租户，属于不同VNI的虚拟机之间不能直接进行二层通信。

VNI还可分为二层VNI和三层VNI，它们的作用不同，二层VNI是普通的VNI，用于VXLAN报文同子网的转发；三层VNI和VPN实例进行关联，用于VXLAN报文跨子网的转发。

VXLAN网络中的报文是如何转发的？

基本的二三层转发中，二层转发依赖的是MAC表，三层转发依赖的是FIB表。在VXLAN中，其实也是同样的道理。下面以VXLAN隧道的建立）为例，分别介绍同子网内、跨子网间是如何进行通信的，帮助您理解VXLAN中的概念。

集中式VXLAN中同子网互通流程

如下图所示，VM_A、VM_B和VM_C属于同网段。此时，VM_A想与VM_C进行通信，首次进行通信，报文进行如下处理：

1）VM_A上没有VM_C的MAC地址，所以会发送ARP广播报文请求VM_C的MAC地址。

2）VTEP_1收到ARP请求后，先进行VXLAN封装，然后将VXLAN报文复制多份分别发送给所有的对端VTEP。

3）报文到达VTEP_2和VTEP_3后，VTEP对报文进行解封装，得到VM_A发送的原始报文。VTEP_2和VTEP_3在对应的二层域内广播。

4）当VM_C收到该请求报文后，发现目的IP与本机IP相同，因此VM_C将进行ARP应答。而其他VM收到该请求报文会丢弃。

5）经过上述过程，VM_A和VM_C均已学习到了对方的MAC地址。之后，VM_A和VM_C将采用单播方式进行通信。

同子网VM互通组网图

集中式VXLAN中跨子网互通流程

跨子网报文转发需要通过三层网关实现。如下图所示，VM_A、VM_B属于不同网段。VM_A与VM_B进行通信的报文处理过程如下：

1）VM_A先将数据报文发送给VTEP_1。

2）VTEP_1收到后进行VXLAN封装，然后将VXLAN报文发送给对端VTEP_3。

3）VTEP_3收到VXLAN报文后进行解封装，发现目的MAC是三层网关接口BDIF的MAC地址MAC_10，而目的IP地址为IP_B（10.1.20.1），因此需要进行三层转发。

4）VTEP_3根据路由表查找到IP_B的下一跳，发现出接口为BDIF 20，VTEP_3将报文重新进行VXLAN封装，然后将VXLAN报文发送给对端VTEP_2。

5）报文到达VTEP_2后，VTEP_2对报文进行解封装，并将其发送给VM_B。

不同子网VM互通组网图