Trong trường hợp kết quả tra cứu là MISS, khi đích đến khơng xác định hoặc máy chủ cuối im lặng, ToR sẽ tiêm lại ARP request nhận được từ máy chủ cuối yêu cầu và phát nó trong VNI lớp 2. Điều này địi hỏi phải gưi ARP request ra cục bộ qua các cổng đối mặt với máy chủ cũng như gưi một gói VXLAN được đóng gói với VNI lớp 2 qua lõi IP.
Gói được đóng gói VXLAN sẽ được giải mã bởi mọi VTEP nhận có tư cách thành viên trong cùng VNI lớp 2. Sau đó, các VTEP nhận này sẽ chuyển tiếp khung ARP bên trong về phía các cổng đối diện với máy chủ.
Giả sư rằng đích cịn sống, ARP request sẽ đến đích, từ đó sẽ gưi ARP response về phía người gưi. ARP request bị giữ lại bởi ToR nhận, mặc dù ARP response là một gói đơn phát hướng đến máy ảo nguồn, vì tính năng ARP suppression được kích hoạt. ToR sẽ tìm hiểu về IP / MAC đích và lần lượt quảng cáo nó qua BGP-EVPN cho tất cả các ToR khác. Ngoài ra, ToR sẽ phát lại gói ARP response vào mạng (VXLAN-đóng gói nó về phía lõi IP vì người yêu cầu ban đầu ở xa) để nó sẽ đến được người yêu cầu ban đầu.
b) Cổng phân phối IP Anycast
Trong MP-BGP EVPN, mọi VTEP trong VNI có thể là cổng anycast phân tán cho các máy chủ cuối trong mạng con IP của nó bằng cách hỗ trợ cùng một địa chỉ IP cổng ảo và địa chỉ MAC của cổng ảo (hiển thị trong Hình 1.23). Với chức năng cổng
Nguyễn Đức Linh – D17CQVT06-B
Đồ án tốt nghiệp đại học Chương 1. Tìm hiểu giải pháp cơng nghệ VXLAN
anycast trong EVPN, các máy chủ cuối trong VNI có thể sư dụng VTEP cục bộ của chúng cho VNI này làm cổng mặc định để gưi lưu lượng ra khỏi mạng con IP của chúng. Khả năng này cho phép tối ưu lưu lượng truy cập từ các máy chủ cuối trong mạng overlay VXLAN.
Một cổng anycast phân tán cũng cung cấp tính di động của máy chủ trong suốt trong mạng overlay VXLAN. Do địa chỉ IP cổng và địa chỉ MAC ảo được cung cấp giống hệt nhau trên tất cả các VTEP trong VNI, khi máy chủ cuối chuyển từ VTEP này sang VTEP khác, nên nó khơng cần phải gưi một u cầu ARP khác để tìm lại địa chỉ MAC của cổng.
Hình 1. 21: Cổng phân phối IP Anycast
Nói chung Distributed Anycast Layer 3 Gateway có nhiều ưu điểm trong mạng VXLAN/EVPN như sau:
- Phân tán các gateway tới tất cả các switch. Mỗi thiết bị đầu cuối có thể sư dụng thiết bị VTEP kết nối trực tiếp để định tuyến các traffic layer 3. Trong trường hợp đích đến của traffic thuộc cùng một thiết bị VTEP, flow dữ liệu sẽ đi trực tiếp trên cùng thiết bị VTEP đó thay vì phải đi vòng ra thiết bị chứa Gateway riêng biệt.
- Khi kết hợp với ARP suppression, nố giảm thiểu tối đa các traffic/ các bản tin flooding trong toàn mạng.
- Trong trường hợp một host cần chuyển dịch giữa các leaf hoặc DC, host đó khơng cần thay đổi IP hoặc gưi ARP để tìm kiếm MAC của default gateway.
c) Kết nối và định tuyến tích hợp đối xứng và bất đối xứng
IETF EVPN định nghĩa định tuyến và chuyển mạch (IRB): IRB bất đối xứng và IRB đối xứng. Cisco NX-OS cho các nền tảng Nexus của Cisco triển khai IRB đối xứng cho các lợi thế về khả năng mở rộng và hỗ trợ đa tầng lớp 2 và lớp 3 đơn giản hóa.
Nguyễn Đức Linh – D17CQVT06-B
IRB bất đối xứng
Máy chủ A, được kết nối với VTEP V1, muốn liên lạc với Máy chủ X, được kết nối với VTEP V2. Do Máy chủ A và Máy chủ X thuộc các subnets khác nhau, quy trình định tuyến IRB khơng đối xứng được sư dụng. Máy chủ A gưi lưu lượng dữ liệu tới cổng mặc định trong Vlan 10. Từ Vlan 10, thao tác định tuyến được thực hiện đến Vlan 20 - được ánh xạ tới VXLAN VNI 30002. Lưu lượng dữ liệu được gói gọn trong VXLAN với VNI 30002 Khi lưu lượng được đóng gói đến VTEP V2, nó sẽ được giải mã và sau đó được chuyển sang Vlan 20 vì Vlan 20 cũng được ánh xạ tới VNI 30002 trên VTEP V2.
Hình 1. 22: Định tuyến IRB không đối xứng
Đối với lưu lượng truy cập trở lại, Máy chủ X gưi lưu lượng dữ liệu đến cổng mặc định cho mạng con cục bộ tương ứng với Vlan 20. Sau khi định tuyến từ Vlan 20 đến Vlan 10 được thực hiện, lưu lượng được đóng gói trong VXLAN VNI 30001 và được chuyển sang hướng VTEP V1. Khi lưu lượng truy cập đến VTEP V1, lưu lượng dữ liệu được mở gói và chuyển mạch nối Vlan 10 vì Vlan 10 được ánh xạ tới VNI 30001. Do đó, đối với lưu lượng truy cập từ máy chủ X đến máy chủ A, hoạt động chuyển mạch-định tuyến-chuyển mạch được thực hiện, với lưu lượng được đóng gói đi cùng với VNI 30001. Lưu lượng đầu-cuối từ máy chủ A đến máy chủ X sư dụng VNI 30002 và lưu lượng truy cập trở lại từ Máy chủ X đến Máy chủ A sư dụng VNI 30001.
Nguyễn Đức Linh – D17CQVT06-B
Đồ án tốt nghiệp đại học Chương 1. Tìm hiểu giải pháp cơng nghệ VXLAN
Ví dụ trước cho thấy sự bất cân xứng lưu lượng với các VNI khác nhau được sư dụng để liên lạc giữa Máy chủ A và Máy chủ X với IRB không đối xứng. IRB không đối xứng yêu cầu cấu hình VNI nhất quán trên tất cả các VXLAN VTEP để ngăn chặn lưu lượng truy cập bị mất. Tính nhất qn cấu hình là cần thiết cho hoạt động của chuyển mạch thứ 2 trong chuỗi chuyển mạch-định tuyến-chuyển mạch vì trình tự chuỗi khơng thành cơng nếu thiếu cấu hình miền chuyển mạch / cấu hình VNI với mạng mà đích đến nằm trong đó.
Hình 1.24 minh họa thực tế rằng có lưu lượng truy cập từ Máy chủ A và Máy
chủ Y, nhưng lưu lượng truy cập ngược từ Máy chủ Y sang Máy chủ A khơng hoạt động, do khơng có cấu hình cho VNI 30001 tại VTEP được gắn với Máy chủ Y. Lưu lượng giữa Máy chủ A và Máy chủ X sẽ được chuyển tiếp chính xác vì cả hai giao diện IRB (SVI 10 và SVI 20) đều được cấu hình trên VTEP tương ứng với 2 máy chủ.
IRB Đối Xứng
Với IRB đối xứng, cả VTEP nguồn và đích đều thực hiện tra cứu Lớp 2 và Lớp
3.IRB đối xứng giới thiệu một số cấu trúc logic mới:
- VNI lớp 3: Mỗi phiên VRF được ánh xạ tới một VNI lớp 3 duy nhất trong mạng. Ánh xạ này cần nhất quán trên tất cả các VTEP trong mạng. Tất cả lưu lượng truy cập được định tuyến giữa các VXLAN được gói gọn với VNI Lớp 3 trong tiêu đề VXLAN và cung cấp bối cảnh VRF cho VTEP nhận. VTEP nhận sư dụng VNI này để xác định bối cảnh VRF trong đó gói IP bên trong cần được chuyển tiếp. VNI này cũng cung cấp cơ sở để thực thi phân đoạn Lớp 3 trong mặt phẳng dữ liệu.
- Địa chỉ MAC của bộ định tuyến VTEP: Mỗi VTEP có một địa chỉ MAC hệ thống duy nhất mà các VTEP khác có thể sư dụng để định tuyến giữa các VNI. Địa chỉ MAC này được gọi ở đây là địa chỉ MAC của bộ định tuyến. Địa chỉ MAC của bộ định tuyến được sư dụng làm địa chỉ MAC đích bên trong cho gói VXLAN được định tuyến.
Như được hiển thị trong Hình 1.25, khi một gói được gưi từ VNI A đến VNI B, VTEP nguồn sẽ định tuyến gói đến VNI Layer-3. Nó thay đổi địa chỉ MAC đích bên trong thành địa chỉ MAC của bộ định tuyến VTEP đích và mã hóa VNI lớp 3 trong tiêu đề VXLAN. Sau khi VTEP đi ra nhận gói VXLAN được đóng gói, trước tiên, nó sẽ giải mã gói bằng cách gỡ tiêu đề VXLAN. Sau đó, nó kiểm tra tiêu đề gói bên trong. Vì địa chỉ MAC đích trong tiêu đề gói bên trong là địa chỉ MAC của chính nó, nên nó thực hiện tra cứu định tuyến Lớp 3. VNI lớp 3 trong tiêu đề VXLAN cung cấp bối cảnh VRF trong đó việc tra cứu định tuyến này được thực hiện.
Nguyễn Đức Linh – D17CQVT06-B
Hình 1. 23: Định tuyến IRB đối xứng 1.7.4 Sự phát triển của BGP EVPN Vxlan
Theo truyền thống, VLAN là phương pháp tiêu chuẩn để cung cấp phân đoạn mạng trong các mạng cơ sở. Các VLAN sư dụng các kỹ thuật ngăn chặn vòng lặp như Giao thức cây kéo dài (STP), áp đặt các hạn chế về thiết kế mạng và khả năng phục hồi. Hơn nữa, do có giới hạn về số lượng VLAN có thể được sư dụng để giải quyết các phân đoạn lớp 2 (4094 VLAN), VLAN là một yếu tố hạn chế đối với các bộ phận CNTT và nhà cung cấp đám mây, những người xây dựng mạng khuôn viên lớn và phức tạp.
VXLAN được thiết kế để khắc phục những hạn chế cố hữu của VLAN và STP. Đây là tiêu chuẩn IETF được đề xuất [RFC 7348] để cung cấp các dịch vụ mạng Ethernet Lớp 2 tương tự như các VLAN, nhưng có tính linh hoạt cao hơn. Về mặt chức năng, nó là một giao thức đóng gói MAC-in-UDP chạy như một lớp phủ ảo trên mạng Lớp 3 hiện có.
Tuy nhiên, bản thân VXLAN không cung cấp khả năng chuyển mạch và định tuyến tối ưu trong mạng, bởi vì cơ chế “flood and learn” mà nó sư dụng, hạn chế khả năng mở rộng của nó (đối với một máy chủ có thể truy cập được, thông tin của máy chủ bị tràn ngập trên mạng). Lớp phủ VXLAN, yêu cầu:
• Một mạng truyền tải cơ bản thực hiện chuyển tiếp mặt phẳng dữ liệu, để liên lạc unicast giữa các điểm cuối được kết nối với kết cấu.
Nguyễn Đức Linh – D17CQVT06-B
Đồ án tốt nghiệp đại học Chương 1. Tìm hiểu giải pháp cơng nghệ VXLAN
• Một mặt phẳng điều khiển có khả năng phân phối thơng tin về khả năng truy cập máy chủ Lớp 2 và Lớp 3 trên toàn mạng.
Để đáp ứng các yêu cầu bổ sung này, đề xuất MP-BGP, có tính năng Thơng tin khả năng tiếp cận lớp mạng (NLRI), mang cả MAC và lớp 2. 3 thông tin IP cùng lúc. Với thông tin MAC và IP có sẵn cùng nhau cho các quyết định chuyển tiếp, việc định tuyến và chuyển mạch trong mạng được tối ưu hóa. Điều này cũng giảm thiểu việc sư dụng cơ chế flood thơng thường, hạn chế khả năng đóng cặn của fabric VXLAN. Phần mở rộng cho phép BGP vận chuyển thông tin IP Lớp 2 và Lớp 3 là EVPN.
1.8.Kết luận
Overlay networking là công nghệ cho phép tạo ra các mạng ảo trên hệ thống mạng vật lý bên dưới (underlay network) mà không ảnh hưởng hoặc ảnh hưởng không đáng kể tới hạ tầng mạng bên dưới. Chương 1 đã trình bày q trình đóng gói của gói tin mạng VXLAN qua mơ hình tham chiếu giữa mạng Overlay và Underlay. Ngồi ra chương cũng đưa ra chi tiết các thành phần trong mạng VXLAN và nguyên lý hoạt động của giao thức VXLAN. Việc VXLAN kết hợp với giao thức điều khiển BGP- EVPN là điều khuyên dung trong mạng trung tâm dữ liệu hiện nay, đem lại rất nhiều lợi ích cho nhà cung cấp dịch vụ trong việc triển khai và mở rộng trung tâm dữ liệu.
Nguyễn Đức Linh – D17CQVT06-B
CHƯƠNG 2: KIẾN TRÚC SPINE-LEAF 2.1.Tổng quan về Data Center 2.1.Tổng quan về Data Center
2.1.1 Khái niệm Data Center
Một trung tâm dữ liệu là một thiết bị vật lý mà các tổ chức sư dụng để lưu trữ các ứng dụng và dữ liệu quan trọng của họ. Thiết kế của một trung tâm dữ liệu dựa trên một mạng lưới các tài nguyên lưu trữ và tính tốn cho phép phân phối các ứng dụng và dữ liệu được chia sẻ.
Các trung tâm dữ liệu hiện đại rất khác so với chỉ một thời gian ngắn trước đây. Cơ sở hạ tầng đã chuyển từ các máy chủ vật lý tại chỗ truyền thống sang cơ sở hạ tầng ảo hóa hỗ trợ các ứng dụng và khối lượng cơng việc trên các nhóm cơ sở hạ tầng vật lý và vào một môi trường đa tầng.
Sự phát triển này đã diễn ra nhanh chóng và trong một khoảng thời gian tương đối ngắn, mang đến các cơng nghệ phổ biến như ảo hóa, đám mây (private, public, and hybrid), mạng định nghĩa bằng phần mềm (SDN). Dành cho thế hệ di động đầu tiên và trên nền tảng đám mây, quy mô, sự linh hoạt, bảo mật, hợp nhất và tích hợp với tính tốn / lưu trữ là u cầu trung tâm dữ liệu phổ biến.
Ngồi ra, khả năng hiển thị, tự động hóa, dễ quản lý, khả năng hoạt động, xư lý sự cố và phân tích nâng cao cũng được dự kiến là một phần của các giải pháp trung tâm dữ liệu ngày hôm nay.
2.1.2 Thách thức và yêu cầu của Data Center
Trong bối cảnh mới, nơi tất cả các khối lượng công việc và ứng dụng đang được chuyển đến các trung tâm dữ liệu, các thiết kế truyền thống cho các trung tâm dữ liệu khơng cịn đủ để giải quyết tất cả các yêu cầu. Đây là trường hợp bất kể các trung tâm dữ liệu tồn tại kết hợp với private cloud, public cloud, or hybrid cloud. Một số yêu cầu chính của việc triển khai trung tâm dữ liệu như sau:
- Khả năng mở rộng: Khả năng mở rộng là rất quan trọng, đặc biệt là trong dữ
liệu dựa trên đám mây trung tâm. Một trung tâm dữ liệu có thể chứa hàng ngàn người thuê và một số mạng người thuê ngàn. Giới hạn mạng 4096 (hoặc 4K) được áp đặt bởi 12-trường Vlan bit không đủ để hỗ trợ các trung tâm dữ liệu đa tầng lớn.
- Tính khả dụng: Một trung tâm dữ liệu phải có khả năng hoạt động liên tục
(24/7, 365 ngày). Ngoài ra, quyền truy cập vào các ứng dụng cần có sẵn từ tất cả các loại thiết bị (như máy tính bảng, điện thoại thơng minh và đồng hồ thơng minh).
- Chi phí thấp: Tổng chi phí sở hữu (TCO- The total cost of ownership) cho một
trung tâm dữ liệu bao gồm cả chi phí vốn (CAPEX- capital expenditure) và chi phí hoạt động (OPEX- the operating expenditure). Trong khi phần CAPEX được khấu hao theo thời gian, phần OPEX là một khoản chi liên tục. Do đó, OPEX chịu sự giám sát chặt chẽ
Nguyễn Đức Linh – D17CQVT06-B
Đồ án tốt nghiệp đại học Chương 2. Kiến trúc Spine-Leaf
từ hầu hết các CIO/CFO. Do đó, giảm OPEX cho các trung tâm dữ liệu thường là một việc ưu tiên cao.
- Bảo mật: Đặc biệt là trong việc triển khai trung tâm dữ liệu nhiều tầng, yêu
cầu chính là áp dụng các chính sách bảo mật hiệu quả để đảm bảo lưu lượng truy cập từ người thuê được cách ly hoàn toàn với người thuê khác. Một số yêu cầu liên quan đến bảo mật khác bao gồm thực thi chính sách ứng dụng, ngăn chặn truy cập trái phép, phát hiện các mối đe dọa, cách ly thiết bị bị nhiễm, phân phối các bản vá bảo mật cho các thiết bị bị ảnh hưởng và các ứng dụng chính sách nhất quán giữa private cloud và public cloud.
- Định hướng giải pháp: Ngày nay, các trung tâm dữ liệu yêu cầu một giải pháp
hợp nhất với nhiều phần khác nhau theo quan điểm mạng và họ cũng yêu cầu tích hợp chặt chẽ với các bộ điều phối tính tốn và lưu trữ cũng như các thiết bị dịch vụ (vật lý và ảo). Ngồi ra, tự động hóa kết hợp với bộ điều khiển SDN là bắt buộc trong không gian này.
- Dễ sử dụng: Ngay cả với cách tiếp cận theo hướng giải pháp, việc quản lý,
giám sát liên tục và khả năng hiển thị trong các hoạt động hàng ngày của một Data Center là rất đáng mong đợi. Dễ sư dụng có tác động trực tiếp đến việc giảm OPEX.
- Hỗ trợ cho việc triển khai kết hợp: Cả doanh nghiệp và nhà cung cấp dịch vụ
đã áp dụng mơ hình đám mây ở một mức độ nào đó. Kết quả là, một trong những yêu