Hướng dẫn cấu hình VxLAN Bridging trên Switch Cisco Nexus

Trong bài viết này, CNTTShop sẽ hướng dẫn các bạn step by step cấu hình VxLAN Bridging trên các dòng Nexus 3000 hoặc 9000 series thuộc thiết bị chuyển mạch Switch Cisco . Trước khi thực hành cấu hình VxLAN, các bạn nên tìm hiểu về các khái niệm được sử dụng trong VxLAN, tham khảo bài viết: VXLAN là gì? Giới thiệu tổng quan về công nghệ VXLAN.

Trong nội dung bài viết này, mình sẽ hướng dẫn các bạn triển khai VxLAN dựa trên Data Plane, nó còn được gọi là VxLAN bridging, vì các VTEP sẽ hoạt động như 1 cầu nối lớp 2 để các máy chủ có thể giao tiếp được với nhau. Đây là phương pháp đơn giản nhất để triển khai VxLAN. Mặc dù hiện nay, tất cả các Data center đều triển khai VxLAN với MP-BGP và EVPN, tuy nhiên khi mới tìm hiểu về VxLAN, các bạn nên thực hành với mô hình này trước, vì nó sẽ đơn giản và dễ hiểu hơn. Mình sẽ sử dụng kiến trúc Leaf- Spine để lab.

Hoạt động của VxLAN Bridging

Với phương pháp học MAC dựa trên data-plane, nó cũng tương tự như các mạng sử dụng VLAN thông thường, nó sẽ không hỗ trợ định tuyến, nếu cần định tuyến giữa nhiều VNI, các bạn cần có thêm 1 thiết bị hỗ trợ định tuyến như Router hoặc Firewall.

Ví dụ như mô hình trên, mình đang có 2 máy tính là VPC5 và VPC6 cùng access vào VLAN 10, và VLAN 10 được cấu hình maping với VNI 5000 trên cả 2 switch Leaf1 và Leaf2.

VPC5 cần gửi 1 gói tin đến VPC6. Ban đầu, VPC5 biết địa chỉ IP của VPC6 nhưng không biết địa chỉ MAC, nó sẽ gửi 1 yêu cầu ARP để hỏi địa chỉ MAC của VPC6, ARP được chuyển đến switch Leaf1. Khi Leaf1 nhận được ARP, trước tiên chúng sẽ lưu thông tin vào cache để sử dụng, sau đó chuyển ARP đến tất cả các switch thuộc cùng VNI 5000, ở đây là Leaf2. Leaf1 có thể forward theo cả 2 đường Spine1 và Spine2 do trên các switch này đều chạy giao thức ECMP và kiến trúc Leaf-Spine.

Leaf2 nhận được ARP sẽ forward tới tất cả host thuộc vlan 10 do chúng ta đã maping VNI 5000 với VLAN 10, VPC6 nhận được sẽ phản hồi lại, còn các máy tính khác sẽ hủy gói tin. Việc này tương tự như ARP trong mạng ethernet thông thường, chỉ khác ARP sẽ được đóng gói trong các VxLAN Header và gửi trong mạng IP Layer 3. Và 1 điều nữa là chỉ các Leaf switch mới biết về VLAN, các Spine switch chỉ forward các gói tin layer 3 thông thường.

Xử lý BUM Traffic

Với các traffic BUM, là các traffic Broadcast, Unknown Unicast, Multicast, có nhiều cách để chúng ta có thể xử lý, như sử dụng multicast hoặc Head End Replication. Trong bài viết này, mình sẽ sử dụng multicast. Mỗi VNI sẽ được ánh xạ tới 1 nhóm multicast, mình sử dụng group 239.1.1.1 cho VNI 5000. Khi Leaf1 gửi lưu lượng BUM như ARP ở trên, chúng sẽ gửi đến nhóm multicast 239.1.1.1. Tất cả các VTEP thuộc nhóm multicast 239.1.1.1 sẽ nhận được traffic đó, nó sẽ hạn chế được việc ARP gửi đến toàn bộ mạng.

Cấu hình Underlay

Cấu hình cơ bản

Quay trở lại mô hình, trước tiên mình sẽ cấu hình Underlay, đặt IP cho các interface, sử dụng các giao thức OSFP để quảng bá các route, các bạn có thể sử dụng bất kỳ giao thức IGP như EIGRP, RIP… Multicast mình sẽ sử dụng PIM sparse mode để cấu hình, với Rendevouz Points là 2 switch Spine 1 và spine2 có chung địa chỉ cổng loopback1 là 5.5.5.5 làm RP address.

Trước tiên trên các switch mình sẽ đặt hostname và tạo 1 tài khoản user. Trên switch Nexus nếu không có tài khoản user thì sẽ không lưu được cấu hình. Các bạn cấu hình tương tự trên cả 4 switch.

Do VxLAN đóng gói thêm 8 byte cho header, do đó mình sẽ đổi Jumbo farm sang 9216 để gói tin không bị phân mảnh, cấu hình này cũng được thực hiện trên cả 4 switch.

Tiếp theo mình sẽ bật các tính năng OSPF, PIM và cấu hình ospf process 1, các bạn cấu hình tương tự trên cả 4 switch.

Cấu hình Interface, OSPF, PIM

Trên các cổng của switch, mình sẽ đặt IP và cấu hình luôn OSPF và pim sparse mode. Mỗi switch sẽ có 1 cổng loopback 0 để VTEP lấy địa chỉ Ip và sẽ là router ID cho ospf, các IP này khác nhau giữa các switch. Trên 2 switch spine sẽ có thêm cổng loopback 1 với cùng địa chỉ IP 5.5.5.5 làm Anycast Rendevouz Points để tăng tính dự phòng.

Cấu hình trên Switch Leaf1

Cấu hình trên switch Leaf2

Cấu hình trên switch Spine1

Cấu hình trên switch Spine2

Sau đó mình sẽ cấu hình multicast với RP address là địa chỉ loopback1 là 5.5.5.5 cho tất cả các nhóm multicast 224.0.0.0/4. Tùy mô hình thực tế, các bạn nên quy hoạch các nhóm multicast cho hợp lý. Mình sẽ cấu hình anycast-rp cho địa chỉ loopback0 của switch Spine để tăng tính dự phòng. Chúng ta cần cấu hình tương tự trên cả 4 switch.

Kiểm tra

Sau khi cấu hình xong, các bạn có thể check lại OSPF và PIM, Trên Leaf1 mình sẽ show ip ospf neighbour và show ip route để kiểm tra, các bạn có thể thấy Leaf2 đã học được tất cả các tuyến.

Như vậy là phần Underlay mình đã cấu hình xong. Giờ mình sẽ cấu hình phần overlay cho VxLAN. 2 Switch Spine sẽ không quan tâm đến VxLAN mà chỉ định tuyến các gói tin IP thông thường, do vậy mọi cấu hình VxLAN chúng ta chỉ cần thực hiện trên 2 leaf switch.

Cấu hinh Overlay

Cấu hình VxLAN

Đầu tiên mình sẽ bật tính năng VxLAN bằng lệnh feature nv overlay, và bật tính năng vn-segment-vlan-based để cho phép mapping giữa VLAN và VxLAN.

Tiếp theo mình sẽ tạo vlan 10 và map vào VNI 5000 bằng lệnh vn-segment 5000, cổng e1/3 vẫn cấu hình mode access như bình thường.

Đối với dòng switch Nexus, chúng ta cần cấu hình 1 virtual interface là nve1, đây là VTEP. Mỗi switch sẽ có duy nhất 1 cổng nve và chúng ta có thể sử dụng cho nhiều VNI, các bạn kích hoạt interface này bằng lệnh interface nve1, interface này lấy IP từ cổng loopback0 bằng lệnh source-interface loopback0, sau đó add VNI member 5000 và chỉ định nhóm multicast cho VNI này. Mình sẽ sử dụng nhóm multicast 239.1.1.1 cho VNI 5000

Tương tự các bạn cấu hình trên switch Leaf2

Kiểm tra

Sau khi cấu hình xong, các bạn có thể sử dụng 1 số lệnh show để kiểm tra. Lệnh show nve interface sẽ cho chúng ta thấy trạng thái của cổng nve, encapsulation là VxLAN, kiểu học MAC là data-plane và IP của đang được lấy từ cổng loopback0 là 3.3.3.3.

Để xem việc mapping giữa VLAN và VxLAN, các bạn sử dụng lệnh show nve vni, output sẽ cho chúng ta thấy VNI 5000 đang được mapping với VLAN 10 trên cổng nve1, với multicast group là 239.1.1.1, mode là data-plane và trạng thái đang là UP.

Để xem các remote VTEP, các bạn sử dụng lệnh show nve peers, do chưa có ARP nên chúng ta sẽ không thấy VTEP nào ở đây. Các bạn cần ping từ VPC5 sang VPC6 để VPC5 gửi ARP, sau đó quay lại switch để kiểm tra, các bạn sẽ thấy có 1 remote VTEP là 4.4.4.4 của Leaf2. Như vậy là chúng ta đã cấu hình thành công.

Mở rộng thêm VLAN khi sử dụng VxLAN

Nếu có nhiều VLAN thì các bạn vẫn cấu hình phần overlay tương tự. Ví dụ mình sẽ thêm 1 VLAN 11 với VNI là 5001, multicast group là 239.1.1.2, các bạn có thể sử dụng lại nhóm multicast 239.1.1.1 nhưng việc tách nhóm multicast sẽ hạn chế được ARP gửi đến các switch không liên quan. Mình sẽ cắm thêm 2 VPC7 và VPC8 vào cổng e1/4 trên 2 switch và access vào vlan 11.

Cấu hình trên switch Leaf1

Cấu hình trên switch Leaf2

Kiểm tra

Trên switch các bạn show nve peer và nve vni, các bạn có thể thấy đã xuất hiện thêm VNI 5001 đang được map vào VLAN11.

Cuối cùng, để kiểm tra địa chỉ MAC được học thông qua VxLAN trên 2 VTEP, các bạn có thể sử dụng lệnh show mac address-table dynamic inteface nve1, output sẽ cho chúng ta thấy 2 địa chỉ MAC của 2 VPC6 và VPC8 đang được học quan VxLAN, port là nve1.

Như vậy là mình đã hướng dẫn các bạn cấu hình VxLAN dựa trên data-plane và multicast. Đây là phương pháp cơ bản và đơn giản để hiểu về hoạt động của VXLAN. Khi mới làm quen với VxLAN, các bạn nên thực hành với phương pháp này. Trong môi trường thực tế, chúng ta thường sử dụng VxLAN mode control-plane sử dụng MP-BGP và EVPN, mình sẽ hướng dẫn trong các bài viết tiếp theo.

Chúc các bạn thành công!