在之前我们讨论了SDN Overlay 网络中5个不同场景下虚机数据包如何转发,今天我们将继续讨论处于Overlay网络中的虚机如何与物理机进行数据转发。有关于微软网络虚拟化HNV的相关概念,如RDID、VSID、虚机网络、虚拟子网、默认网关等,可以参考http://ichbinleo.blog.51cto.com/11948851/1902265和http://ichbinleo.blog.51cto.com/11948851/1903866 进一步了解。
在开始今天的讨论之前,我们需要引入一个概——HNV网关,也即转发网关,转发网关在SDN Overlay场景中的主要目的有3个:
- 通过NAT实现Overlay网络中虚机访问外部网络(Internet)
- 通过NAT或直接路由功能实现Overlay网络中虚机访问物理网络上的设备
- 外部网络到Overlay网络的S2S VPN。
HNV网关可由启用了RRAS功能的Windows Server (2012及后续版本)虚机实现,也可以由支持NVGRE/VXLAN的物理网络设备来支持,如Cisco、F5、Iron Network以及nAppliance等都提供相应的网络设备。
我们这次设定的场景如下图所示,2台虚机VM1和VMgwca在不同的虚拟子网,分别运行在不同的物理机上,VMgwca作为VM1所在的虚拟子网的转发网关。VMgwca具备至少2个网卡:一个网卡关联HNV逻辑网络,连接和VM1相同的虚机网络(RDID相同),一个网卡连接物理网络(我们可称之为外部网络)。启用了HNV网关特性也意味着2块网卡所在的子网也默认启用了静态路由。
VM1的IP地址为172.16.188.2,MAC地址为MACvm1, VSID为11111。
VMgwca的内部IP地址为192.168.188.2,MAC地址为MACgwca,VSID为22222;外部地址为10.1.21.16,外部网卡MAC地址为MAClan。
当虚机VM1需要和外部网络的主机10.1.21.18通信时,数据流是怎样的呢,下面我们对这一场景的数据流进行详细的描述:
- 因为源和目的IP地址不在同一个子网,所以VM1发送ARP消息询给默认网关,而不是直接发送给目标IP地址。
- Hyper-V虚拟交换机广播ARP到HNV Filter
- HNV Filter返回默认网关的MAC地址MACdfgw,MACdfgw就是HNV Filter自身。
- VM1学习到默认网关的MAC地址为MACdfgw,其VSID为11111 (默认网关的MAC地址MACdfgw包含在OOB数据里)。
- VM1封装IP数据包,目的IP为默认网关的IP地址,目的MAC地址为MACdfgw。
- IP数据包发送到Hyper-V虚拟交换机,虚拟交换机获取到发送虚机的网卡VSID 11111的OOB数据。
- HNV Filter 查询到去往10.1.21.xx子网的客户路由的下一跳为192.168.188.2(转发网关)。
- HNV Filter 使用其查找记录来确定下一跳虚机(转发网关)的PA地址。如果没有找到PA地址记录,那么数据包将被丢弃。
- 接着HNV Filter 重写数据包,以将目的MAC地址更改为MACgwca(转发网关的MAC地址)
- HNV Filter 在查找记录里查询到gwca的CA地址为192.168.188.2,MAC地址MACdfgw,VSID为22222,PA地址为10.2.41.206,于是HNV Filter将获取到的这些信息和原始IP数据包使用NVGRE/XVLAN进行二次封装。外部数据包中,目的IP地址为gwca的的PA地址10.2.41.206,目的MAC地址为MACdfgw,VSID为22222,如下图绿色部分所示。
- 二次封装的数据包通过传输网络栈传输到网络上。
- IP地址为10.2.41.206以及MAC地址为MACPA2的Hyper-V物理机接收到数据包,然后发送到HNV Filter
- HNV Filter拆开封装的包,获取到原始数据包,以及包含了VSID 22222的OOB数据。
- HNV Filter将原始数据包转发到具有VSID为22222的Hyper-V虚拟交换机。
- Hyper-V虚拟交换机按照访问控制策略将原始数据包发送到目标虚机(转发网关虚机)。在整个过程中,源和目标虚机都没能感知封装的存在。而此时,数据包已经到达转发网关虚机gwca。
- 转发网关虚机将数据包在自己2块不同的网卡之间转发(连接内部网络的网卡转发到连接外部网络的网卡)
- 转发网关虚机的连接到物理Underlay网络的网卡将当前MAC地址更改为目的物理服务器的MAC地址MACphy
- 物理服务器接收到数据包,但是并不知道该数据包来自虚拟网络。