Bài viết chuyên đề
OVERLAY TRANSPORT VIRTUALIZATION
20/11/2017 11:30:00
1. Giới thiệu:
Ngày nay hầu hết các trung tâm dữ liệu đang dịch chuyển dần về hướng ảo hóa, một trong những tính năng được sử dụng phổ biến là chuyển Guest OS từ host này sang host khác, tính năng này thường được dùng khi sử dụng giải pháp ảo hóa của VMWare còn gọi là Vmotion. Tuy nhiên sẽ rất phức tạp nếu thực hiện chuyển một Guest OS từ một ESX host trong một Data Center đến một ESX host ở DataCenter khác, tình huống này là một kịch bản được áp dụng trong trường hợp khôi phục sau thảm họa.
Với thiết kế thông thường dựa vào định tuyến lớp 3, vấn đề được đặt ra: nếu datacenter A có subnet 1.1.1.0/24 và data center dùng subnet 2.2.2.0/24, việc di chuyển máy chủ có địa chỉ 1.1.1.1 từ A đến B là không thể nếu như không cấu hình lại địa chỉ ở vị trí mới. Về mặt kỹ thuật điều này không phải là trở ngại, nhưng cũng có thể một dịch vụ nào đó không hoạt động được (ví dụ như một active directory controller).
Trong tình huống này các kỹ thuật được chọn lựa là mở rộng vùng layer 2 qua hạ tầng mạng định tuyến của nhà cung cấp dịch vụ như Q-in-Q tunnel, VPLS…Trong bài viết này sẽ đề cập đến kỹ thuật OTV (Overlay Transport virtualization) được Cisco giới thiệu cho trong Nesus 7000 và các dòng sản phẩm dùng IOS XE như ASR 1000 hoặc CSR 1000V.
OTV cho phép hai hoặc nhiều Data Center tạo các liên kết lớp 2 với nhau qua hạ tầng lớp 3 của nhà cung cấp dịch vụ dùng khái niệm “layer 2 over layer 3”.
Có thể mô tả hoạt động của OTV qua hai tiến trình chính:
- Xây dựng bảng địa chỉ MAC giữa các OTV.
- Chuyển tiếp gói tin dựa vào bảng MAC.
2. Xây dựng thông tin địa chỉ MAC
Hoạt động cập nhật thông tin địa chỉ MAC có thể được mô tả như hình 1:
- Máy chủ với địa chỉ MAC X gửi frame được flooding hay broadcast bên trong site 1
- OTV1 học MAC X và xây dụng bảng MAC của nó.
- OTV1 quảng bá MAC X với các cập nhật dùng giao thức định tuyến IS-IS.
- OTV2 và OTV3 xây dựng bảng MAC dùng cổng tunnel (virtual Layer 2) hay Overlay để đến MAC X.
3. Tiến trình gửi gói dữ liệu:
Gói tin có thể được gửi từ Site 2 đến Site 1 qua OTV như sau:
- Sevver 2 gửi 1 frame đến MAC X (Server 1) được chuyển tiếp đến OTV2
- OTV2 kiểm tra bảng địa chỉ MAC và xác định cổng Overlay là cổng Out cho MAC X.
- Cổng Overlay đang được ánh xạ đến địa chỉ IP của OTV1 do đó frame được đóng vào gói OTV (hình 3) và chuyển tiếp đến OTV1.
- OTV1 nhận gói OTV và thực hiện mở gói, khôi phục lại frame Ethernet được gửi từ Server 2.
- Bảng địa chỉ MAC của OTV1 được dùng để chuyển tiếp frame đến server 1.
4. Các thành phần chính:
- Edge device: Thiết bị tạo kết nối mạng Layer 2 qua hạ tầng mạng Layer 3, thực hiện tiến trình đóng gói và mở gói.
- Internal interface: Cổng của Edge device kết nối với mạng lớp 2, thường là cổng trunk để học địa chỉ MAC từ các VLAN trong mạng.
- Join interface: Là cổng lớp 3 của thiết bị edge device kết nối đến mạng định tuyến của ISP. Địa chỉ IP trên cổng này được dùng như địa chỉ source của các gói tin được đóng gói bởi OTV.
- Overlay interface: Là cổng tunnel cho phép mở rộng lớp 2 đến các thiết bị Edge Device khác. Trên một Edge Device, Overlay interface luôn được kết hợp với join interface.
- Overlay: Đây là mạng ảo lớp 2 bao gồm hai hai nhiều thiết bị thực hiện trao đổi thông tin địa chỉ MAC.
- Site VLAN: Vlan dành riêng được sử dụng để thiết lập quan hệ và giao tiếp giữa các thiết bị edge devices trên cùng Site. Không nên được mở rộng đến Site khác.
5. Lab mô tả cấu hình và kiểm tra hoạt động:
Thực hiện cấu hình để cho phép mở rộng VLAN qua môi trường định tuyến dùng OTV. Mặc dù OTV cho phép tự động thiết lập quan hệ qua multicast (yêu cầu hạ tầng của ISP cũng hỗ trợ multicast), tuy nhiên trong bài Lab này sẽ hướng dẫn cấu hình qua Unicast, khi đó các edge device sẽ thực hiện đăng ký với adjacency-server.
6. Cấu hình
Bước 1: Cấu hình Site Vlan và Site identifier:
Trên R1:
otv site bridge-domain 1
otv site-identifier 0000.0000.0001
Trên R2:
otv site bridge-domain 1
otv site-identifier 0000.0000.0002
Bước 2: Cấu hình cổng Overlay
Trên R1:
interface Overlay1
otv join-interface GigabitEthernet1.12
otv use-adjacency-server 12.1.1.1 unicast-only //Xác định ADJ Server
otv adjacency-server unicast-only //Chỉ cấu hình trên Server
service instance 1 ethernet // Xác định VLAN được phép mở rộng
encapsulation dot1q 10
bridge-domain 10 //Cho phép giao tiếp lưu lương lớp 2 giữa hai cỗng (overlay và internal)
Trên R2:
interface Overlay1
otv join-interface GigabitEthernet1.23
otv use-adjacency-server 12.1.1.1 unicast-only
service instance 1 ethernet
encapsulation dot1q 10
bridge-domain 10
Bước 3: Cấu hình địa chỉ cho join-interface
Trên R1:
interface GigabitEthernet1.12
encapsulation dot1Q 12
ip address 12.1.1.1 255.255.255.0
Trên R2:
interface GigabitEthernet1.23
encapsulation dot1Q 23
ip address 23.1.1.3 255.255.255.0
Bước 4: Cấu hình internal-interface
interface GigabitEthernet2
service instance 1 ethernet //Cấu hình này cho phép nhận diện dữ liệu của VLAN khác nhau trên cùng cổng vật lý (tương tự như cấu hình cổng trunk)
encapsulation dot1q 10
bridge-domain 10
service instance 100 ethernet
encapsulation untagged //Site Vlan
bridge-domain 1
Trên R2:
interface GigabitEthernet2
service instance 1 ethernet
encapsulation dot1q 10
bridge-domain 10
service instance 100 ethernet
encapsulation untagged
bridge-domain 1
7. Kiểm tra:
Thiết lập quan hệ neighbor qua giao thức định tuyến IS-IS:
R1#sh otv isis neighbors
Tag Overlay1:
System Id Type Interface IP Address State Holdtime Circuit Id
R2 L1 Ov1 23.1.1.3 UP 7 R2.01
Thiết lập quan hệ Adjacency giữa hai thiết bị Edge device:
R1#sh otv adjacency
Overlay Adjacency Database for overlay 1
Hostname System-ID Dest Addr Site-ID Up Time State
R2 001e.e658.3d00 23.1.1.3 0000.0000.0002 00:06:50 UP
Đảm bảo các trạng thái hoạt động để chuyển tiếp dữ liệu được thành công:
R1#show otv
Overlay Interface Overlay1
VPN name : None
VPN ID : 1
State : UP
Fwd-capable : Yes
Fwd-ready : Yes
AED-Server : Yes
Backup AED-Server : No
AED Capable : Yes
Join interface(s) : GigabitEthernet1.12
Join IPv4 address : 12.1.1.1
Tunnel interface(s) : Tunnel0
Encapsulation format : GRE/IPv4
Site Bridge-Domain : 1
Capability : Unicast-only
Is Adjacency Server : Yes
Adj Server Configured : Yes
Prim/Sec Adj Svr(s) : 12.1.1.1
Giao tiếp thành công từ các PC:
- Từ PC với địa chỉ 192.168.1.10 ping đến 192.168.1.11(site 1):
- Và 192.168.1.12 (khác site 2):
Thông tin bảng OTV route:
R1#sh otv route
Codes: BD - Bridge-Domain, AD - Admin-Distance,
SI - Service Instance, * - Backup Route
OTV Unicast MAC Routing Table for Overlay1
Inst VLAN BD MAC Address AD Owner Next Hops(s)
0 10 10 000c.29e1.5286 40 BD Eng Gi2:SI1
0 10 10 000c.29fc.edd8 40 BD Eng Gi2:SI1
0 10 10 0050.56b8.2112 50 ISIS R2
3 unicast routes displayed in Overlay1
TRUNG TÂM WAREN
