5 分間の技術講演 | VXLAN トンネルと「クラウド ゲートウェイ」でのその応用

パート01

導入

従来のデータセンター ネットワークは現在、次のような問題点に直面しています。

❗スイッチMACテーブルの制限

仮想化技術の適用により、データセンター内のサーバー上で多数の仮想マシンが実行されるようになりました。各仮想マシンには少なくとも 1 つの MAC アドレスが含まれます。ご存知のとおり、レイヤー 2 転送ではスイッチが MAC アドレスを学習する必要があり、これにより ToR スイッチが学習する必要がある MAC テーブルの数が指数関数的に増加します。 MACテーブルがオーバーフローするとスイッチフラッディングが発生し、転送効率に影響を及ぼします^[1] 。

❗入居者数の制限

従来のデータセンターでは、テナントを分離するために VLAN を使用します。異なるテナントには異なる VLAN が割り当てられます。 VLAN メッセージでユーザーを識別するために使用される VID の長さは 12 ビットです。つまり、最大 212-2=4094 のテナントを収容できます (通常、0 と 4095 は予約値です)。ただし、大規模なデータセンターの場合、このテナント数では十分ではなく、ネットワークの拡張が制限されます。

❗仮想マシン移行の制限

データセンターでは、サーバーハードウェアの拡張や部屋の移動が発生する可能性があります。この場合、サービスに影響を与えないように、仮想マシンを他のサーバーに移行する必要があります。仮想マシンの MAC アドレスと IP アドレスは変更しないでください。そのため、移行はレイヤー2ネットワーク内でのみ実行でき、サービスの柔軟性が大幅に制限されます[2]。

上記のデータセンターの問題を解決するために、RFC 7348 では、仮想拡張ローカル エリア ネットワーク (VXLAN) の概念を提案しました。これは、元のレイヤー 2 メッセージを VXLAN トンネル ヘッダーを介して IP メッセージにカプセル化し、元のメッセージをレイヤー 2 ネットワーク経由で送信できるようにします。

図1 VXLANメッセージ構造

上の図は、3 つの部分に分けられる標準 VXLAN 形式のメッセージを示しています。

1. 最外層は、VTEP 間の伝送に使用される VXLAN トンネルの基盤となるネットワーク カプセル化です。

2. 中央は、UDP プロトコルに基づいて伝送される VXLAN トンネル ヘッダーです。

3. 最内層は、イーサネット ヘッダー、IP ヘッダー、メッセージ データ、つまり仮想マシン ネットワーク カードによって送信されるメッセージなど、送信される元のメッセージ コンテンツです。

VXLAN ヘッダーは 8 バイトの長さで、次の内容が含まれます。

VXLAN フラグ (8 ビット): 固定値は 00001000 です。

VNI (24 ビット): 異なるテナントを定義するために使用されるネットワーク識別子。

予約フィールド: それぞれ 24 ビットと 8 ビットの 2 つがあります。

図2 VXLANパケットキャプチャ

上図はVXLANのパケットキャプチャを示しています。 VNI 値は 100 です。UDP プロトコルに基づいて送信されます。送信元ポートはランダムに生成され、宛先ポートは 4789 です。

上記の VXLAN メッセージ形式は、VXLAN トンネルがデータセンターが直面する 3 つの主な問題をどのように解決するかを示しています。

1. VXLAN はカプセル化に UDP を使用します。 UDP の外側の層の MAC アドレスは、VTEP の物理出力の MAC アドレスです。通常、1 台の物理マシンは 1 つの VTEP に対応し、マシン上のすべての仮想マシンによって使用されます。この方法では、ToRスイッチの場合、サーバーは1つのMACテーブルを記録するだけでよく、MACテーブル爆発の問題を回避できます^[1] 。

2. VNI の 24 ビット長は、1,600 万を超えるテナントをサポートできます。ネットワーク内で分離されたテナントの数に制限がなくなり、その後のネットワーク拡張が極めて柔軟になります。

3. VXLAN は UDP の MAC を使用してカプセル化および送信し、レイヤー 2 ネットワークを拡張します。異なる地域のデータセンターも、UNDERLAY レイヤー 3 ネットワークを介して大規模なレイヤー 2 接続を実現し、物理ネットワークと仮想ネットワークの分離を実現します。ネットワーク計画は物理ネットワークによって制限されなくなり、IPアドレスとMACアドレスが変更されないまま仮想マシンのロスレス移行を実現できます^[2] 。

パート02

クラウドゲートウェイにおけるVXLANトンネルの応用

図3 クラウドゲートウェイソリューションのアーキテクチャ

現在、チャイナモバイルはクラウドゲートウェイの研究開発と実装を積極的に推進しています。解決策の 1 つは、州または市のコンピューター室で BRAS の後のネットワーク要素としてクラウド ゲートウェイを展開することです。図 3 に示すように、ネットワーク アーキテクチャでは、VXLAN トンネルを使用してユーザー メッセージにアクセスし、終了します。つまり、各ホワイト ボックス ゲートウェイ (ONU) はクラウド ゲートウェイとの VXLAN トンネルを作成し、一意の VNI 識別子を割り当てます。端末メッセージは ONU の VXLAN トンネルにカプセル化され、クラウド ゲートウェイに転送されます。クラウド ゲートウェイはメッセージをカプセル化解除して内部の元のメッセージを取得し、メッセージの種類に応じて異なる処理を実行します。クラウド ゲートウェイ アーキテクチャは、従来のホーム ゲートウェイのコントロール プレーン機能と付加価値サービスのほとんどを BRAS の背後にあるクラウド ゲートウェイ システムに移動し、統合された処理を実現します。

簡単に言えば、クラウド ゲートウェイ シナリオにおけるユーザーのインターネット アクセス プロセスは次のとおりです。1. ホワイト ボックス ゲートウェイは PPPOE ダイヤルアップを開始し、BRAS からインターネットにアクセス可能な IP アドレスを取得します。

2. PPPOE ダイヤルアップを通じて取得した IP をローカル IP として使用し、事前に割り当てられた VNI 値を使用して、クラウド ゲートウェイとの VXLAN トンネルを作成します。

3. ユーザー端末（携帯電話、PC など）が DHCP 要求を開始し、それがホワイト ボックス ゲートウェイにカプセル化され、VXLAN トンネルを介してクラウド ゲートウェイに転送されます。 VXLAN メッセージはクラウド ゲートウェイでカプセル化解除され、元のメッセージはクラウド ゲートウェイ コントロール プレーンに透過的に送信されます。 DHCP サーバーは端末にイントラネット アドレスを割り当て、ゲートウェイと DNS 情報を端末に送り返します。

4. ユーザーはゲートウェイへの ARP 要求を開始します。メッセージはステップ 3 と同様にコントロール プレーンに透過的に送信され、ゲートウェイは ARP REPLY で応答します。

5. 端末ユーザーは通常通りインターネットにアクセスし（DNS を含む）、メッセージがクラウド ゲートウェイに到達し、ポリシーに基づいて付加価値サービスが加入されているかどうかが判断されます。

（５．１）非付加価値サービス利用者の場合、NATにパブリックネットワークIPを使用し、パブリックネットワークのアンロードと転送を実行する。

（5.2）付加価値サービス利用者の場合、パケットはサービスサーバに送信され、サービスサーバはパケットの破棄、加速、再注入など、注文された特定のサービスに基づいてパケットを処理します。

このソリューションは、ユーザー アクセスに VXLAN トンネルを使用します。ホワイト ボックス ゲートウェイは VTEP として機能し、元のアップストリーム メッセージを VXLAN トンネルにカプセル化します。これにより、3 層ネットワークをスムーズに通過してクラウド ゲートウェイに到達し、後続の処理のためにカプセル化を解除できます。次のような利点があります。

1. VXLAN トンネルは、当然ながらテナントの分離をサポートします。異なるブロードバンド ユーザーは VNI によって区別でき、24 ビットの VNI で十分です。

2. VXLAN はレイヤー 2 トンネルであるため、GRE や IPIP などのレイヤー 3 トンネルと比較して、元のユーザー情報をそのままクラウド ゲートウェイに送信できます。デバイスの送信元 MAC 情報は、特定のデバイスの制御や速度制限などの付加価値サービスに使用できます。

パート03

NAT の VXLAN トンネルトラバーサル

VXLAN トンネルは従来の C/S モデルではありません。両方の VTEP エンドは UDP4789 宛先ポートをリッスンし、送信元ポートはランダムに生成されます。図 4 は、BRAS デバイスによる NAT 処理後にユーザーのホワイト ボックス ゲートウェイから送信された VXLAN メッセージの 5 タプルの変化を簡単に示しています。図に示すように、ホームゲートウェイのアップリンクメッセージにカプセル化された VXLAN 送信元ポートがランダムな 1234 であると仮定すると、BRAS による SNAT 後は 5678 になります。宛先ポートは依然として 4789 であるため、クラウド ゲートウェイは正常に受信して処理できます。メッセージがダウンリンクされると、宛先ポート 4789 でカプセル化され、BRAS はそれに応じて DNAT を実行する必要があります。ただし、BRAS には 1234 -> 5678 の NAT セッション マッピングしか存在せず、この時点でメッセージの宛先ポートは 4789 であり、正しい NAT セッションが見つかりません。したがって、メッセージは BRAS によって破棄され、NAT のトラバーサルをサポートできません。

図4 NATデバイスを介したVXLANメッセージフロー

クラウド ゲートウェイ システムの VXLAN トンネルは次のように変換されました。

1) ホワイト ボックス ゲートウェイが VXLAN パケットをカプセル化する場合、送信元ポートと宛先ポートは 4789 に固定されます。

2) クラウドゲートウェイは、VNI とアップストリームメッセージの送信元ポート間のマッピング関係を記録し、ダウンストリームメッセージを VXLAN でカプセル化するときに、記録された送信元ポートを宛先ポートとしてカプセル化します。

上記の変換後、ホームゲートウェイが VXLAN をカプセル化すると、外側の UDP の送信元ポートと宛先ポートが 4789 で埋められます。BRAS アップストリームを通過すると、送信元ポートが Y に SNAT され、宛先ポートは 4789 のままになります。メッセージはクラウドゲートウェイによって正常に受信され、カプセル化解除され、このときに VNI と送信元ポート情報が記録されます。メッセージがダウンストリームの場合、送信元ポート情報 Y が VNI に従って照会され、VXLAN トンネルの外側の UDP 宛先ポートにカプセル化されます。 BRAS を通過すると、4789->Y の対応する NAT セッションが見つかり、宛先ポートが 4789 に復元されます。ホーム ゲートウェイは、VXLAN メッセージを正常に受信してカプセル化を解除できます。

パート04

要約する

広く使用されている大規模なレイヤー 2 トンネル テクノロジーである VXLAN トンネルは、物理ネットワークと仮想ネットワークを分離します。従来の LAN と比較して、比類のない拡張性と柔軟性を備えています。 24 ビット VNI は、多数のテナントを分離するニーズを完全に満たすことができます。現在、チャイナモバイルのスマートホームオペレーションセンターは、VXLANトンネルアーキテクチャに基づく自社開発のクラウドゲートウェイを完成させ、多くの省でパイロット展開を完了し、完全なエンドツーエンドのソリューションを形成しています。