redes de virtualização por sobreposição vxlan, nvgre e stt
DESCRIPTION
Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT. Guilherme S. Sengès Igor D. Alvarenga Julio C. E. Moreira. 1. Redes nos Data Centers. Infraestrutura de servidores custa caro Aluguel de máquinas virtuais é uma boa alternativa Expansão do mercado consumidor Do pequeno ao grande - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/1.jpg)
Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT
Guilherme S. SengèsIgor D. AlvarengaJulio C. E. Moreira
![Page 2: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/2.jpg)
1. Redes nos Data Centers
• Infraestrutura de servidores custa caro
o Aluguel de máquinas virtuais é uma boa alternativa
• Expansão do mercado consumidor
o Do pequeno ao grande
• Centenas de milhares de inquilinos
Imagem: http://gunnertech.com/2011/12/what-is-aws-amazon-web-services/
![Page 3: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/3.jpg)
a. Limitações do STP
• Garantia de não existência de ciclos inutiliza vários caminhos existentes em uma redeo Operadores de Data Centers criticam o desperdício
• Impossibilidade de múltiplos caminhoso Saturação dos links
![Page 4: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/4.jpg)
b. Limitações da VLAN
• Campo de identificação de uma VLAN de apenas 12 bitso 4096 VLANs é insuficiente
• Cada inquilino utiliza várias VMs através de um ID VLAN
![Page 5: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/5.jpg)
2. Propostas Gerais para Solução
• Questões cobertas pelos protocolos
o Gerência de endereços sobrepostos entre diversos
inquilinos.
o Desacoplamento entre rede virtual e rede física
o Mobilidade da máquina virtual
o Suporte a um número "ilimitado" de redes virtuaiso Endereçamento das redes virtuais é isolado da rede
física Tamanho das tabelas é reduzido
![Page 6: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/6.jpg)
3. Os Protocolos
![Page 7: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/7.jpg)
a. VXLAN
Disponível em: http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9902/white_paper_c11-685115.html
![Page 8: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/8.jpg)
a. VXLAN - VTEP
• VTEP - VXLAN Tunnel Endpoint (extremidade do túnel VXLAN)
• VNI - VXLAN Network Identifier (Identificador de Rede VXLAN)
Disponível em: http://codingrelic.geekhold.com/2011/09/care-and-feeding-of-vxlan.html
![Page 9: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/9.jpg)
Quadro VXLAN
Disponível em: http://www.borgcube.com/blogs/2011/11/vxlan-primer-part-1/
Cabeçalho Ethernet• Outer Destination MAC Address
o Local - MAC do VTEP de destinoo Outra rede L3 - dispositivo do próximo salto, geralmente um roteador.
• VLAN - Opcional. EtherType de 0x8100, associado a etiqueta VLAN ID.• Ethertype - Definido por 0x0800 - IPv4. Não inclui implementação IPv6.
![Page 10: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/10.jpg)
Quadro VXLAN
Cabeçalho IP
• Protocol (Protocolo) - Definido como 0x11- pacote UDP.
• Outer Source Address (IP de origem) - Endereço IP do VTEP de origem.
• Outer Destination Adress (IP de destino) - Endereço IP do VTEP de destino. Se não conhecido, realizar processo de detecção:o IP de destino é substituído pelo grupo de IP multicast da VNI da
VM de origem.o Todos os VTEPs recebem o quadro e desencapsulam, obtendo o
mapeamento do MAC da VM de origem e o host VTEP.o Host VTEP da VM de destino envia respostas das máquinas
virtuais ao VTEP de origem usando o endereço IP.o VTEP de origem acrescenta em suas tabelas o mapeamento do
VTEP até o MAC da VM.
![Page 11: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/11.jpg)
Quadro VXLANCabeçalho UDP
• Source Port (Porta de Origem) - Definido pelo VTEP transmissor.
• VXLAN Port (Porta VXLAN) - IANA - Internet Assigned Numbers Authority (Autoridade para Atribuição de Números da Internet) - atribuído à porta VXLAN. Ainda não definido.
• UDP Checksum (Soma de Verificação UDP) - Definido como 0x0000. VTEP receptor deve verificar o checksum e, se não estiver correto, o quadro deve ser descartado.
Cabeçalho VXLAN
• VNI - Campo de 24 bits - identificador da Rede VXLAN.
• Reserved (Reservado) - 24 bits e 8 bits reservados e definidos como zero.
![Page 12: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/12.jpg)
Exemplo VXLAN
Disponível em: http://www.borgcube.com/blogs/2011/11/vxlan-primer-part-1/
![Page 13: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/13.jpg)
b. NVGRE
• Proposto por Microsoft, Arista Networks, Intel, Dell, Hewlett-Packard, Broadcom e Emulex;
• Tunelamento através do protocolo GRE (RFC2784 e RFC2890);
• Introdução de um identificador de sub-rede virtual (VSID) de 24 bits e um opcional de fluxo (FlowID) de 8 bits;
• Usa multicast IP sobre a rede física para prover broadcast e multicast para rede virtual;
• Prevê a extensão de de sub-redes entre diferentes instalações através do uso de VPN;
• Ainda não especifica o tratameto de fragmentação (ponto futuro).
![Page 14: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/14.jpg)
b. NVGRE
![Page 15: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/15.jpg)
b. NVGRE – Quadro
![Page 16: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/16.jpg)
b. NVGRE – Quadro
GRE Original
GRE para NVGRE
![Page 17: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/17.jpg)
b. NVGRE – Quadro
Não deve haver VLAN
![Page 18: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/18.jpg)
b. NVGRE – VPN
![Page 19: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/19.jpg)
c. STT
• Elo virtual Ethernet ponto-a-pontoo Exemplificado por Switches virtuais
• Semelhanças com TCP/IPo Não há estado da conexão
![Page 20: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/20.jpg)
c. STT
![Page 21: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/21.jpg)
c. STT
• Encapsulamento da cargao Carga pode conter outro cabeçalho TCP
• TSO (TCP Segmentation Offload)o Diferencial na segmentaçãoo Presentes em muitas placas de rede
![Page 22: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/22.jpg)
c. STT
Até 64 KB
![Page 23: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/23.jpg)
c. STT
Até 64 KB
Apresenta diferenças !
![Page 24: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/24.jpg)
c. STT
• Cabeçalho de quadro STT
![Page 25: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/25.jpg)
c. STT
• Versão do protocolo STTo Versão 0
![Page 26: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/26.jpg)
c. STT
• Flagso Características dos dados encapsulados
Integridade verificada
Integridade cabeçalhos TCP e IP
Versão do IPEncapsulado é um pacote TCP
Não utilizados
![Page 27: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/27.jpg)
c. STT
• L4 Offseto Distância entre cabeçalho STT e cabeçalho
encapsulado TCP ou UDP
o Rapidez para leitura da carga
![Page 28: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/28.jpg)
c. STT
• Reservedo Ignorado pelo receptor
Bits em zero
![Page 29: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/29.jpg)
c. STT
• Tamanho máximo de segmentoo Tamanho de segmento TCP
Usado por uma terminação do túnel para envio em outra rede
![Page 30: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/30.jpg)
c. STT
• PCPo Prioridade deste pacote no envio para outra rede
![Page 31: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/31.jpg)
c. STT
• Validade dos campos PCP e VLAN ID
![Page 32: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/32.jpg)
c. STT
• VLAN IDo Identificação da VLAN de destino aplicada pela
terminação de túnel
![Page 33: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/33.jpg)
c. STT
• Context IDo Contexto pode possuir diferentes atribuições
Inquilino VM
![Page 34: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/34.jpg)
c. STT
• Cabeçalho TCPo Diferentes interpretações
![Page 35: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/35.jpg)
c. STT
• Número de Sequênciao Primeiros 16 bits
Tamanho do quadro STTo Últimos 16 bits
Deslocamento do segmento STT
![Page 36: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/36.jpg)
c. STT
• Número de confirmação (ACK)o Identificador para fragmentação
Mesma identificação para um quadro STT
![Page 37: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/37.jpg)
c. STT
• Perda de pacoteso Não há controle de correçãoo Cabeçalho TCP encapsulado pelo STT será
responsável
![Page 38: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/38.jpg)
c. STT
• Segurança
o Mecanismos de segurança para datagramas IP
Necessário ajustes no firewall para o aceite de
pacotes STTo Sem estado de da conexão não há ataques por
enchente de SYNs
Imagem retirada de: http://pt.kioskea.net/faq/12083-o-que-e-um-firewall-como-funciona
![Page 39: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/39.jpg)
4. Considerações Finais
• Muitas semelhanças entre os protocolos
• Representam interesses de empresas distintas
![Page 40: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/40.jpg)
5. Perguntas
1) Quais são as duas principais limitações empregadas pelo uso do STP (Spanning Tree Protocol) na camada 2 da rede em sistemas com diversos inquilinos?
![Page 41: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/41.jpg)
5. Perguntas
Resposta
Em sistemas com diversos inquilinos, o corte alguns possíveis caminhos para evitar ciclos acarreta o desperdício de links que custam dinheiro e subutilizam a capacidade real da rede. Outra limitação expressiva é a incapacidade do uso de múltiplos caminhos para atingir um mesmo destino, assim não há como realizar o balanceamento de carga.
![Page 42: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/42.jpg)
5. Perguntas
2) Qual o motivo principal para o surgimento de protocolos como o VXLAN, o NVGRE e o STT em relação ao VLAN para sistemas com muitos inquilinos?
![Page 43: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/43.jpg)
5. Perguntas
Resposta
A ocorrência de centenas de milhares de inquilinos torna insuficiente o número de identificações disponíveis para segmentos de redes virtuais - destinados a um inquilino - em uma VLAN.
![Page 44: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/44.jpg)
5. Perguntas
3) Qual o objetivo principal de uma VXLAN?
![Page 45: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/45.jpg)
5. Perguntas
Resposta
Conectar duas ou mais redes de camada 3 fazendo com que elas operem como se estivessem conectadas em uma rede da camada 2, ou seja, cada uma faz parte da sua própria rede, mas “dentro” do mesmo domínio.
![Page 46: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/46.jpg)
5. Perguntas
4) Por qual motivo o protocolo STT defende a idéia de que seu desempenho é melhor do que os demais existentes?
![Page 47: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/47.jpg)
5. Perguntas
Resposta
O motivo principal do ganho em desempenho do STT está no uso do TSO (TCP Segmentation Offload) implementado por várias NICs (Network Interface Cards). Essa tecnologia permite a entrega de extensos quadros STT a placa de interface de rede, realizando a segmentação de acordo com o MSS (Maximum Segment Size) especificado pelos metadados do cabeçalho STT.
![Page 48: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/48.jpg)
5. Perguntas
5) Como é proposta a realização de multicast e broadcast na rede virtual pelo protocolo NVGRE?
![Page 49: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/49.jpg)
5. Perguntas
Resposta
É feita a associação de cada VSID com um endereço multicast de escopo administrativo. Desta forma, todo tráfego multicast e broadcast será encaminhado por uma rede multicast na qual estarão inscritos todos os NVEs que possuam CAs associadas à sub-rede correspondente.
![Page 50: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/50.jpg)
6. Referências
• [1] M. Mahalingam, D. Dutt, K. Duda, Arista, P. Agarwal, Broadcom, L. Kreeger, Cisco, T. Sridhar, VMware, M. Bursell, Citrix, C. Wright, RedHat. VXLAN: A framework for overlaying virtualized layer 2 networks over layer 3 networks. Internet-Drafts, 2012.
• [2] M. Sridharan, A. Greenberg, N. Venkataramiah, Y. Wang, Microsoft, K. Duda, Arista Networks, I. Ganga, Intel, G. Lin, Dell, M. Pearson, Hewlett-Packard, P. Thaler, Broadcom, C. Tumuluri, Emulex. Nvgre: Network virtualization using generic routing encapsulation. Internet-Drafts, 2012.
• [3] B. Davie, J. Gross, VMware. A stateless transport tunneling protocol for network virtualization. Internet-Drafts, 2012.
• [4] L. Yong, X. Xu, Huawei. NVGRE and VXLAN Encapsulation for L3VPN Extension. Internet-Drafts, 2012.
• [5] Balaji Venkat Venkataswami , Bhargav Bhikkaji , DELL-Force10. VM to VTEP maps topology discovery in VXLAN based data centers. Internet-Drafts, 2012.
![Page 51: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/51.jpg)
6. Referências
• [6] T. Nadeau, J. Drake, Juniper Networks, B. Schlisser James Uttaro, Y. Rekhter, ATT, Ravi Shekhar, Juniper Networks, Wim Hendrix, Nabil Bitar, Alcatel-Lucent, Verizon, Aldrin Isaac, Bloomberg. A Control Plane for Network Virtualized Overlays. Internet-Drafts, 2012.
• [7] G. Van de Velde, K. Patel, D. Rao, Cisco Systems, R. Raszuk, NTT MCL, R. Bush, Internet Initiative Japan. BGP Remote-Next-Hop. Internet-Drafts, 2012.
• [8] Samer Salam, Clarence Filsfils, Juniper Networks, Nabil Bitar, Verizon, Jim Uttaro, AT&T, Aldrin Isaac, Bloomberg, Wim Henderickx, Alcatel-Lucent.Requirements for Ethernet VPN (E-VPN). Internet-Drafts, 2012.
• [9] Ali Sajassi, Samer Salam, Keyur Patel, Cisco, Nabil Bitar, Verizon, Wim Henderickx, Alcatel-Lucent. A Network Virtualization Overlay Solution using E-VPN. Internet-Drafts, 2012.
• [10] D. Farinacci, T. Li, S. Hanks, D. Meyer, P. Traina. RFC 2784 - Generic Routing Encapsulation (GRE). IETF, 2000.
![Page 52: Redes de Virtualização por Sobreposição VXLAN, NVGRE e STT](https://reader035.vdocuments.net/reader035/viewer/2022062222/56815a5f550346895dc7966d/html5/thumbnails/52.jpg)
6. Referências
• [11] G. Dommety. RFC 2890 - Key and Sequence Number Extensions to GRE. IETF, 2000.
• [12] C. Perkins. RFC 2003 - IP Encapsulation within IP. IETF, 1996.