APP下载

VxLAN配置中故障发现与解决

2019-09-13云南李红卢立云

网络安全和信息化 2019年9期
关键词:数据包调试平面

■ 云南 李红 卢立云

编者按: 虚拟机给传统的二层和三层网络带来了极大的挑战,VxLAN技术的出现提供了良好的解决方案,本文讲解了VxLAN在配置中出现的问题及解决方法。

虚拟机的灵活迁移性、可扩展性和高密度计算带来的容量等问题使传统的二层和三层网络无法满足需求,VxLAN(虚拟扩展局域网)提供了良好的解决方案。

首先,它扩充了VLAN容量,将传统的VLAN数量由12位的4096个扩展为24位的1600万个。其次,VxLAN通过隧道技术可实现服务器、虚拟机的无障碍平滑迁移。第三,VxLAN通过overlay技术在三层网络基础上实现大二层络扩展。第四,VxLAN兼容传统的二层生成树协议,限制了数据中心生成树规模,提高收敛效率。

问题发现

图1 网络拓扑图

图2 看不到对端

一次在做VxLAN实验时,按照图1所示,添加了节点,并在各个节点上做了配置,完成后,在NXOS-VTEP-EAST节点上通过命令”sh nve peers”查看,结果看不到对端,通过“sh run interface nve1”查看配置,未发现错误,用命令“debug nve all”打开调试后,在interface nve1中添加配置“overlayencapllusation vxlan”,仍 看 不 到对端,在NXOS-VTEP-EAST一端ping underlay网络中的路由器如ISPEAST和ISP-WEST的接口地址可以ping通,ping对 端 NXOSVTEP-WEST接口地址30.1.1.2也可ping通。查看调试显示“Active peer count: 0”,笔者百思不得其解,以为配置上出现错误,才导致上述故障。

在几处自己认为可能出错的地方,修改了配置后,仍然没有解决问题。详见图2。

原因分析

通过vxLAN的工作原理可以看出,在NXOS-VTEP-EAST处 和NXOS-VTEP-WEST处在配置了vxLan后,双方没有构建控制平面地址映射表项,也不知道彼此在哪里。只有当LAN-East要与LANWest进行通信时,LANEast发ARP请求包,请求LAN-West的MAC地址,其格式为源MAC为LAN-East的MAC地址,目的MAC为 全 F,NXOS-VTEP-EAST收到数据包后,由于没有建立NXOS-VTEP-WEST的地址映射表项,因此对其进行vxLAN封 装,其vxLAN 的vni为10000,外部 SRC-IP为 NXOSVTEP-EAST的ip地址,外部Dest-IP为230.1.1.1(加入的组播组地址),封装完成后将其发送到组播组中。

加入到同一组播组的所有设备,如NXOS-VTEP-WEST收到了该组播包,对其进行解封后,对比VxLAN vni是否与本地的vni匹配,发现匹配后通过交换机发至本地网络,同时建立对端NXOS-VTEP-EAST的控制平面地址映射表项,当LAN-West收到该ARP请求包并发ACK响应后,由于NXOSVTEP-WEST有对端的控制平面地址映射表项,所以NXOSVTEP-WEST收到ACK包,对其进行VxLAN封装,直接就以单播发送到对端NXOS-VTEPEAST处,这时外部SRC-IP为NXOS-VTEP-WEST的IP地址,外部Dest-IP为NXOS-VTEPEAST的IP地址。

图3 发现对端并添加

NXOS-VTEP-EAST收到单播数据包后,对其解封,并对比vni是否与本地vni匹配,如果匹配就将数据包发送给LAN-East,并构建控制平面地址映射表项。自此,双方均建立了控制平面地址映射表项,以后如果传送VxLAN数据就以单播方式传送。

通过以上原理分析得知,NXOS-VTEP-EAST、NXOS-VTEPWEST、ISP-EAST、ISP-WEST 配好后,虽然都运行ospf路由协议,且彼此相互能够ping通,这只是检验underlay网络的三层连通性,双方的VTEP(VxLAN Tunnel Endpoint)并未构建控制平面地址映射表项,导致调试中显示Active peer count为0。只有当LANEast发出ping lanwest的命令时,激发了NXOS-VTEP-EAST发出组播包,NXOSVTEP-WEST收到组播包后建立了控制平面地址映射表项,并将LAN-West的ACK数据包封装成VxLAN数据包以单播形式发给NXOS-VTEP-EAST,NXOS-VTEP-EAST收到VxLAN数据包后解封,发给LANEast,同时构建自己的控制平面地址映射表项。此时双方才彼此知道对端在哪,后续的相互通信以单播方式进行。

问题解决

在NXOS-VTEP-EAST和NXOS-VTEP-WEST都打开调试,在LAN-East端ping LANWest,结果在两台设备上均显示发现了对方,并将对方添加到自己的控制平面地址映射表项,通过命令“sh nve peers”显示有对端设备,状态为UP,如图3所示,至此问题解决。

猜你喜欢

数据包调试平面
二维隐蔽时间信道构建的研究*
高温气冷堆示范工程TSI系统安装及调试
电气仪表自动化安装与调试分析
民用飞机飞行模拟机数据包试飞任务优化结合方法研究
调试新设备
调试机械臂
立体几何基础训练A卷参考答案
立体几何强化训练B卷参考答案
C#串口高效可靠的接收方案设计
参考答案