Hướng dẫn cấu hình VXLAN tĩnh (Static VXLAN) trên MX series

Hướng dẫn cấu hình VXLAN tĩnh (Static VXLAN) trên MX series

Juniper Networks hỗ trợ tính năng VXLAN tĩnh (Static VXLAN) trong các mạng nhỏ sử dụng nhóm liên kết nhiều khung (MC-LAG) và trong các mạng nhỏ có thiết bị đóng vai trò cổng VXLAN tầng 2 (L2 VXLAN gateway).

Tìm hiểu về VXLAN tĩnh

VXLAN tĩnh (Static VXLAN), còn được gọi là VXLAN unicast, cho phép bạn cấu hình thủ công các điểm cuối đường hầm ảo (VTEP – Virtual Tunnel Endpoints) nguồn và đích cho một luồng dữ liệu cụ thể. Một VTEP nguồn sẽ đóng gói (encapsulate) và một VTEP đích sẽ gỡ đóng gói (de-encapsulate) các gói tin tầng 2 với phần đầu VXLAN, qua đó truyền tải các gói tin này thông qua một mạng IP tầng 3 bên dưới.

**Lưu ý: Mặc dù tính năng này còn được gọi là VXLAN unicast, các đường hầm VXLAN tĩnh có thể hỗ trợ cả lưu lượng unicast, broadcast, unicast chưa biết đích và multicast (gọi chung là lưu lượng BUM). Chúng tôi hỗ trợ việc sao chép và chuyển tiếp lưu lượng BUM bằng phương pháp nhân bản tại điểm vào (ingress replication).

Bắt đầu từ phiên bản Junos OS 14.1X53-D40, Juniper Networks hỗ trợ VXLAN tĩnh trên các thiết bị đóng vai trò là cổng VXLAN tầng 2 (L2 VXLAN gateway). Tài liệu này cung cấp ví dụ về các môi trường triển khai nhỏ như mạng MC-LAG nhỏ hoặc thiết bị leaf trong kiến trúc spine-leaf cổ điển.

Lợi ích của Static VXLAN

• Thay vì sử dụng mặt phẳng điều khiển EVPN (Ethernet VPN) để học địa chỉ MAC của các host, Static VXLAN sử dụng cơ chế flooding and learning ngay trong mặt phẳng dữ liệu (data plane) của VXLAN. Vì vậy, việc sử dụng VXLAN tĩnh giúp giảm độ phức tạp của mặt phẳng điều khiển (control plane).
• Trong một mạng MC-LAG quy mô nhỏ, việc triển khai EVPN có thể quá phức tạp để cấu hình và vận hành. Static VXLAN mang lại đầy đủ lợi ích của VXLAN nhưng dễ thiết kế và cấu hình hơn nhiều.

Cách hoạt động của Static VXLAN

Để kích hoạt Static VXLAN trên thiết bị Juniper Networks hoạt động như một VTEP (Virtual Tunnel Endpoint), bạn cần cấu hình các thành phần sau:

• Danh sách các VTEP từ xa (remote VTEPs) mà VTEP cục bộ sẽ thiết lập VXLAN tunnel.
• Ingress replication – nhân bản lưu lượng BUM tại VTEP gửi.
• Giao diện loopback (lo0) của VTEP:
• Cấu hình địa chỉ IP anycast làm địa chỉ chính (primary address).
• Chỉ định giao diện này là nguồn cho tunnel VXLAN.

Xử lý lưu lượng BUM (Broadcast, Unknown unicast, Multicast)

Khi VTEP nhận một gói tin BUM, nó sẽ dùng ingress replication để nhân bản và flood gói tin đó đến các VTEP từ xa đã được định nghĩa trong danh sách tĩnh. Các VTEP nhận được sẽ tiếp tục flood gói tin tới các host nằm trong VXLAN mà chúng quản lý.

VTEP học địa chỉ MAC theo hai cách:

• Host từ xa: thông qua gói tin từ các VTEP trong danh sách remote VTEPs.
• Host cục bộ: học từ các giao diện truy cập (access interface) nội bộ.

Khi học được một địa chỉ MAC, thiết bị sẽ thêm nó vào bảng chuyển mạch Ethernet (Ethernet switching table).

Bạn có thể kiểm tra các VTEP tĩnh từ xa bằng các lệnh CLI sau:

• show ethernet-switching vxlan-tunnel-end-point-remote
  → Hiển thị các VTEP từ xa trên thiết bị, bao gồm địa chỉ IP và tên giao diện VTEP. Xem các trường RVTEP-IP và Interface trong kết quả.
• show interfaces
  → Hiển thị trạng thái của giao diện VTEP. Các giao diện được cấu hình với Static VXLAN sẽ hiển thị giá trị Configured-remote trong trường VXLAN Endpoint type.

Ví dụ cấu hình, giả sử bạn cấu hình các VTEP từ xa (static VXLAN remote VTEPs) cho VLAN 200 và 300 trong một L2 routing-instance có tên ri1, thì sẽ cần cấu hình các thông tin nêu trên để đảm bảo khả năng kết nối và chuyển mạch trong mạng VXLAN.

Trường hợp sử dụng Static VXLAN trong mạng MC-LAG nhỏ

Phần này minh họa cách triển khai VXLAN tĩnh ở cấp độ toàn cục (global level) trong một mạng quy mô nhỏ sử dụng MC-LAG (Multichassis Link Aggregation Group).

Hình 1: Ví dụ về mạng MC-LAG có triển khai Static VXLAN

Trong mô hình mạng MC-LAG ở Hình 1, ta có:

• Tầng dưới cùng gồm các host (Host 1 đến Host 4), mỗi host được multihomed (kết nối đồng thời đến hai thiết bị leaf) và là thành viên của một VXLAN.
• Tầng giữa gồm các thiết bị leaf (Leaf 1 đến Leaf 4), mỗi thiết bị đóng vai trò là gateway VXLAN tầng 2 (L2 VXLAN gateway).
• Leaf 1 và Leaf 2 tạo thành một MC-LAG và cùng nhau hoạt động như VTEP 1.
• Leaf 3 và Leaf 4 tạo thành một MC-LAG khác và hoạt động như VTEP 2.
• Tầng trên cùng gồm các thiết bị spine (Spine 1 và Spine 2), tạo thành một MC-LAG và hoạt động như các router IP trong mạng.

**Lưu ý cấu hình cho Static VXLAN trên Leaf 1 đến Leaf 4:

• Thay vì sử dụng EVPN-VXLAN, cấu hình sử dụng Static VXLAN.
• Mỗi thiết bị leaf là thành viên của một MC-LAG và cùng với thiết bị peer trong nhóm MC-LAG, hoạt động như một VTEP duy nhất (virtual VTEP).
  → Tức là: mỗi VTEP là một cặp thiết bị leaf vật lý.
• Điều này ảnh hưởng đến cấu hình theo các cách sau:
• Trên mỗi leaf trong một VTEP, cần cấu hình cùng một địa chỉ loopback (dùng làm địa chỉ nguồn VXLAN).
• Trên mỗi leaf trong một VTEP, cần cấu hình cùng một danh sách VTEP từ xa (remote VTEP list).
• Thay vì sử dụng multicast IP, mạng này sử dụng ingress replication để truyền tải lưu lượng BUM (Broadcast, Unknown unicast, Multicast).
• Để xem cấu hình mẫu, tham khảo mục “Configure Static VXLAN at the Global Level”.

Trường hợp sử dụng Static VXLAN ở cấp VLAN hoặc Bridge Domain

Trên một số nền tảng phần cứng, bạn có thể triển khai L2 VXLAN Gateway mà không cần EVPN tại cấp độ VLAN hoặc Bridge Domain. Trong trường hợp này, bạn cấu hình danh sách các VTEP từ xa ở cấp độ global, sau đó ánh xạ (map) danh sách này tới một VLAN hoặc bridge domain cụ thể.

**Lưu ý: Bạn không cần cấu hình EVPN trong quá trình cấu hình Static VXLAN. Tuy nhiên, bạn có thể triển khai đồng thời cả EVPN-VXLAN và Static VXLAN trên cùng một thiết bị, miễn là hai cấu hình này sử dụng các tập VTEP từ xa khác nhau.

Trước tiên, cấu hình danh sách toàn cục các VTEP từ xa bằng câu lệnh: remote-vtep-list [ ... ]. Sau đó, ánh xạ (gán) danh sách VTEP từ xa này tại cấp độ VLAN hoặc Bridge Domain bằng câu lệnh: static-remote-vtep-list [ ... ]. Mỗi VLAN tham gia VXLAN bắt buộc phải có ánh xạ với một VNI (VXLAN Network Identifier) tương ứng.

**Lưu ý bổ sung cho dòng thiết bị PTX10000 chạy Junos OS Evolved: Khi bạn cấu hình Static VXLAN trong môi trường triển khai EVPN-VXLAN trên router dòng PTX10000, bạn phải bật tùy chọn tunnel-termination tại cấp cấu hình sau: [edit forwarding-options]. Tùy chọn này cho phép kết thúc tunnel VXLAN (tunnel termination) trên tất cả các giao diện ở cấp độ toàn cục (global level).

Juniper hỗ trợ cấu hình Static VXLAN ở các cấp sau: Global level, VLAN level, Bridge domain level.

Bảng 1: Cấu hình VXLAN tĩnh được hỗ trợ.

Khi bạn cấu hình các VTEP từ xa ở cấp VLAN hoặc Bridge Domain:

• Trong switch instance mặc định (default switch instance):
  Bạn phải cấu hình lại cùng các VTEP đó ở cấp toàn cục (global level) trong switch instance mặc định tại cấp cấu hình: [edit switch-options]
• Trong virtual-switch routing instance:
  Bạn phải cấu hình lại cùng các VTEP đó ở cấp toàn cục (global level) trong chính routing instance đó tại cấp cấu hình: [edit routing-instances <tên-instance>]

Để nhân bản và flood lưu lượng BUM qua tunnel Static VXLAN ở cấp VLAN hoặc Bridge Domain, bạn phải bật chế độ ingress node replication tại cấp độ tương ứng bằng tùy chọn: ingress-node-replication

→ Chế độ này sẽ giới hạn phạm vi flood BUM chỉ trong tập VTEP đã được ánh xạ với VLAN hoặc bridge domain cụ thể đó.

Để xem cấu hình mẫu cho trường hợp này, tham khảo mục: "Configure Static VXLAN at the VLAN or Bridge Domain Level on L2 VXLAN Gateway Devices"

Q-in-Q VLAN Tunnel trong mạng Spine-Leaf sử dụng Static VXLAN

Bắt đầu từ Junos OS phiên bản 23.4R1, Juniper hỗ trợ Q-in-Q tunnels trong mạng spine-and-leaf có cấu hình MC-LAG kết hợp với Static VXLAN. Bạn phải sử dụng cấu hình theo kiểu nhà cung cấp dịch vụ (service provider style) để triển khai Q-in-Q tunnel.

Giới thiệu về Q-in-Q, các nhà cung cấp dịch vụ sử dụng Q-in-Q (hay còn gọi là VLAN stacking hoặc VLAN translation) để phân tách hoặc gom nhóm lưu lượng khách hàng vào các VLAN khác nhau hoặc giảm số lượng VLAN.

Cơ chế hoạt động: Gói tin từ VLAN khách hàng (C-VLAN) sẽ được gắn thêm một thẻ VLAN dịch vụ (S-VLAN). Điều này giúp nhà mạng tạo kết nối tầng 2 giữa hai site khách hàng ở các vị trí địa lý khác nhau. Khi gói tin thoát khỏi mạng của nhà cung cấp, thẻ S-VLAN sẽ được gỡ bỏ. Mô tả Hình 2 – Q-in-Q trong mô hình Spine-and-Leaf: Leaf 1 và Leaf 2 được cấu hình là VXLAN gateway sử dụng Static VXLAN. Đồng thời, chúng là MC-LAG peers để đảm bảo dự phòng (redundancy) và cân bằng tải (load balancing). Các VTEP trên Leaf sẽ: Push (chèn) thẻ S-VLAN vào gói C-VLAN khi gửi lưu lượng lên spine, Pop (gỡ) thẻ S-VLAN khi nhận lưu lượng từ spine. Trong trường hợp xảy ra lỗi kết nối giữa Leaf và thiết bị CE (Customer Edge), gói tin sẽ được gửi sang leaf còn lại, và thẻ S-VLAN vẫn được giữ nguyên để đảm bảo tính nhất quán.

Hình 2: VLAN trong mạng Spine-and-Leaf

Để tìm hiểu thêm về cách cấu hình các thành phần khác nhau trong tính năng này, hãy tham khảo:

Configure Static VXLAN at the Global Level (Cấu hình VXLAN tĩnh ở cấp toàn cục)

Bạn có thể triển khai VXLAN bằng tính năng Static VXLAN trên các thiết bị L2 VXLAN Gateway. Trong phần này, chúng tôi trình bày việc sử dụng VXLAN tĩnh trong một mạng MC-LAG quy mô nhỏ. Trong mạng MC-LAG này, các thiết bị của Juniper Networks hoạt động như VTEP nguồn và VTEP đích (Virtual Tunnel Endpoints). Trong môi trường này, VXLAN tĩnh phục vụ hai mục tiêu chính:

• Để thực hiện điều này, Static VXLAN sử dụng tính năng ingress node replication để flood các gói BUM trong toàn bộ VXLAN. Các VTEP: Học địa chỉ MAC từ xa từ các VTEP trong danh sách remote VTEP, học địa chỉ MAC nội bộ từ các giao diện access local. Sau khi học địa chỉ MAC, thiết bị thêm địa chỉ đó vào bảng chuyển mạch Ethernet (Ethernet switching table).
• Đóng gói và giải đóng gói các gói L2 với tiêu đề VXLAN. Gói tin L2 được đóng gói với tiêu đề VXLAN (encapsulation) và sau đó giải đóng gói (de-encapsulation) tại đầu bên kia, cho phép truyền gói qua mạng IP Layer 3. Để làm được điều này, mỗi VTEP phải được cấu hình danh sách các VTEP từ xa (remote VTEPs) để thiết lập VXLAN tunnel tĩnh.

Cấu hình mẫu này trình bày các bước thực hiện và ví dụ cấu hình trên switch instance mặc định, không sử dụng routing-instance kiểu virtual-switch.

**Lưu ý: Để tham khảo một tình huống khác, nơi cấu hình Static VXLAN ở cấp VLAN hoặc bridge domain, xem tài liệu: “Configure Static VXLAN at the VLAN or Bridge Domain Level on L2 VXLAN Gateway Devices”. Tài liệu đó sử dụng routing-instance kiểu virtual-switch.

Trước khi bắt đầu

• Xác minh rằng EVPN không được bật trên các thiết bị leaf của Juniper.
• Xác minh rằng multicast IP cũng không được bật trên các thiết bị leaf.

Trong mô hình mạng MC-LAG minh họa tại Hình 3: Mỗi VTEP (VTEP 1 và VTEP 2) được tạo thành từ hai thiết bị leaf vật lý. Tức là, hai thiết bị vật lý hoạt động như một thực thể VTEP ảo (virtual VTEP). → Vì vậy, cả hai thiết bị leaf tạo nên một VTEP phải được cấu hình:

• Cùng một địa chỉ loopback anycast.
• Cùng một danh sách remote VTEPs.

Hình 3: Mạng MC-LAG mẫu với VXLAN tĩnh

Bảng 2 hiển thị ví dụ về địa chỉ loopback và danh sách VTEP từ xa (remote VTEP list) được cấu hình trên mỗi thiết bị leaf trong mạng.

Bảng 2: Các cấu hình mẫu VXLAN tĩnh.

**Lưu ý: Quy trình này tập trung vào việc cấu hình tính năng Static VXLAN. Nó không bao gồm cấu hình các thành phần liên quan khác như: interface, VLAN, v.v. Tuy nhiên, cấu hình mẫu ở phần sau sẽ bao gồm đầy đủ hơn, bao gồm cả các thành phần liên quan.

Để kích hoạt Static VXLAN trên thiết bị leaf:

1. Cấu hình giao diện loopback (lo0).

• Chỉ định địa chỉ IP anycast làm địa chỉ chính (primary address) cho giao diện loopback đó.

• Chỉ định giao diện loopback làm giao diện nguồn (source interface) cho các đường hầm VXLAN (VXLAN tunnels).

2. Tạo một danh sách các VTEP từ xa (remote VTEP) được cấu hình tĩnh.

3. Đối với mỗi VXLAN, hãy bật tính năng ingress node replication (nhân bản tại nút vào).

Cấu hình mẫu Static VXLAN

Các đoạn cấu hình dưới đây là trích xuất cấu hình mẫu Static VXLAN dành cho Leaf 1 và Leaf 2 (cùng tạo thành VTEP 1), bao gồm các tham số đã nêu trong Bảng 2.

Cấu hình Static VXLAN ở cấp VLAN hoặc Bridge Domain trên thiết bị L2 VXLAN Gateway

Trong các mạng spine–leaf quy mô nhỏ, bạn có thể kích hoạt tính năng Static VXLAN trên các thiết bị L2 VXLAN gateway, vốn hoạt động như VTEP nguồn và đích (Virtual Tunnel Endpoints). Các thiết bị này thực hiện việc tunnel lưu lượng L2 qua mạng IP Layer 3 bằng cách:

• Đóng gói (encapsulate) các gói L2 bằng tiêu đề VXLAN khi gửi đến các VTEP từ xa.
• Giải đóng gói (de-encapsulate) các gói nhận được từ tunnel VXLAN để gửi tới host đích.

Trong trường hợp này, đối với mỗi VTEP trên thiết bị L2 VXLAN Gateway, bạn cần thực hiện: Cấu hình danh sách các VTEP từ xa (remote VTEPs) tại cấp toàn cục (global level) – những VTEP mà VTEP local sẽ thiết lập tunnel VXLAN. Ánh xạ danh sách VTEP đó tới một VLAN hoặc bridge domain cụ thể trong một routing instance L2. Bạn có thể cấu hình danh sách VTEP từ xa tĩnh bằng câu lệnh: remote-vtep-list

1. Ví dụ bên dưới sẽ hướng dẫn cách cấu hình trong default switch instance (instance chuyển mạch mặc định).

Trong một routing instance kiểu virtual-switch:

2. Ánh xạ danh sách VTEP từ xa vào một VLAN hoặc bridge domain như sau:

• Cấu hình VLAN với ánh xạ VNI của VXLAN.
• Ánh xạ danh sách VTEP từ xa vào VLAN bằng câu lệnh: static-remote-vtep-list

Ví dụ cấu hình dưới đây áp dụng cho switch instance mặc định.

Trong một routing instance kiểu virtual-switch

Xem phần “VLAN or Bridge Domain Level Static VXLAN Use Case” để có cái nhìn tổng quan về cách hoạt động của Static VXLAN trong trường hợp này. Xem Bảng 1 để biết tóm tắt các kiểu cấu hình Static VXLAN được hỗ trợ.

**Lưu ý: Nếu bạn cấu hình danh sách global các remote VTEPs trong một routing instance bằng câu lệnh remote-vtep-list, nhưng không cấu hình static-remote-vtep-list cho VLAN cụ thể, thì VLAN đó sẽ kế thừa toàn bộ danh sách VTEP từ xa đã cấu hình ở cấp toàn cục. Phần dưới đây trình bày các bước cấu hình và một cấu hình mẫu đơn giản trên hai thiết bị L2 VXLAN gateway để thiết lập VXLAN tĩnh ở cấp VLAN giữa chúng. Bảng 3 thể hiện các tham số cho cấu hình này. Chúng tôi sử dụng routing instance kiểu virtual-switch, do đó bạn sẽ cấu hình phần lớn các thành phần trong routing instance tại cấp cấu hình: [edit routing-instances <tên-instance>]. Mỗi bước sẽ ghi chú rõ khác biệt về cấp câu lệnh nếu bạn dùng default switch instance thay thế.

Bảng 3: Cấu hình mẫu Static VXLAN ở cấp VLAN

1. Cấu hình giao diện loopback (lo0)

• Chỉ định một địa chỉ IP anycast cho giao diện loopback.

Ví dụ, đối với VXLAN-GW1 trong Bảng 3:

Chỉ định giao diện loopback làm giao diện nguồn (source interface) cho các đường hầm VXLAN trong routing instance.

Ví dụ, trong routing instance L2 có tên rt1:

Nếu bạn sử dụng default switch instance trong cấu hình, hãy cấu hình lo0.0 làm vtep-source-interface tại cấp cấu hình: [edit switch-options]

→ thay vì cấu hình bên trong một routing instance.

2. Cấu hình các VLAN trong routing instance L2 (hoặc trong default switch instance), mỗi VLAN cần gắn với một interface tương ứng. Sau đó, ánh xạ mỗi VLAN với một VNI để sử dụng cho tunnel VXLAN.

Ví dụ, đối với VXLAN-GW1 trong Bảng 3:

Nếu cấu hình của bạn sử dụng default switch instance, hãy cấu hình các tham số VLAN như đã đề cập ở trên tại cấp toàn cục (global) trong hierarchy: [edit vlans]

→ thay vì cấu hình trong một routing instance.

3. Tạo danh sách các VTEP từ xa (remote VTEP) được cấu hình tĩnh trong routing instance L2 tại cấp global.

Ví dụ: Trong bảng 3, thiết bị VXLAN-GW1 có VXLAN-GW2 là VTEP từ xa.

Nếu cấu hình của bạn sử dụng default switch instance, hãy cấu hình danh sách các VTEP từ xa (remote VTEPs) tại cấp: [edit switch-options]

→ thay vì cấu hình bên trong một routing instance.

4. Ánh xạ tĩnh (statically map) các VTEP từ xa đến từng VLAN cụ thể trong routing instance L2.

Ví dụ: Trên thiết bị VXLAN-GW1, sử dụng câu lệnh static-remote-vtep-list tại cấp VLAN trong routing instance rt1 để ánh xạ cùng một danh sách VTEP từ xa từ cấp toàn cục cho các VLAN v100 và v200.

Nếu cấu hình của bạn sử dụng default switch instance, hãy cấu hình danh sách các VTEP từ xa ở cấp VLAN tại hierarchy: [edit vlans <tên-vlan> vxlan]

→ thay vì cấu hình bên trong một routing instance.

5. Đối với mỗi VXLAN, hãy bật tùy chọn ingress node replication để nhân bản và phát tán lưu lượng BUM (Broadcast, Unknown Unicast, Multicast) chỉ đến các VTEP mà bạn đã ánh xạ với VLAN liên quan.

**Lưu ý: Trên các thiết bị switch QFX5100 và QFX5120 được hỗ trợ, để đảm bảo rằng lưu lượng BUM chỉ được flood đến các VTEP được ánh xạ với một VLAN cụ thể, chúng tôi rất khuyến nghị bạn cấu hình danh sách VTEP tĩnh một cách đối xứng trên tất cả các switch. Chúng tôi khuyến nghị điều này để tránh các tình huống bất đối xứng, ví dụ:

• Switch 1 có danh sách gồm Switch 2 và Switch 3,
• Switch 2 có danh sách gồm Switch 1 và Switch 3,
• Nhưng Switch 3 chỉ có Switch 2 trong danh sách.

Trong tình huống này, khi Switch 1 gửi lưu lượng BUM đến Switch 2 và Switch 3, thì Switch 3 có thể tiếp tục forward lưu lượng BUM đó ra các cổng local trong VLAN, gây ra hành vi không mong muốn.

Nếu cấu hình của bạn sử dụng default switch instance, hãy thiết lập tùy chọn vxlan ingress-node-replication tại cấp cấu hình: [edit vlans <tên-vlan>]

→ thay vì thiết lập trong một routing instance.

Xem các khối cấu hình mẫu set dưới đây, chúng thể hiện cấu hình tương ứng (complementary) trên hai thiết bị VXLAN-GW1 và VXLAN-GW2.

Dựa trên các tham số trong Bảng 3, các câu lệnh sau sẽ thiết lập một tunnel VXLAN tĩnh giữa hai thiết bị trong routing instance L2 rt1, ở cấp VLAN cho VLAN 100 và 200.

VXLAN-GW1:

VXLAN-GW2:

Chúc các bạn thực hiện thành công. Hi vọng bài viết này sẽ giúp ích cho các bạn trong công việc. Nếu bạn có vấn đề gì thắc mắc đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.

Hẹn gặp lại các bạn trong các bài viết tiếp theo!