A um tempo atrás nosso CTO Junior Corazza fez uma apresentação sobre VXlan na Semana da Infraestrutura da Internet e muito nos foi perguntados sobre Vxlan em Huawei, com essa busca resolvemos então colocar aqui um artigo sobre como fazer túneis vxlan nesses equipamentos, principalmente na criação de túneis para mitigação de ataques DDoS para substituir pelos tradicionais túneis GRE.
Primeiro, vamos entender um pouco mais sobre o que é VxLan, para quais funções podemos utilizar e quais as vantagens sobre o uso de túneis GRE.
Os túneis VxLan, assim como o GRE, são tecnologias usadas para criar redes sobrepostas sobre infraestruturas de rede existentes, basicamente overlay sobre um underlay já existente. Ambos os métodos permitem a virtualização de redes, mas possuem características e usos distintos. Vamos explorar as diferenças e as vantagens do VXLAN sobre o GRE:
Propósito
Enquanto o VxLan foi desenvolvido principalmente para superar as limitações de escala das tradicionais VLANs em grandes data centers e ambientes de nuvem, o GRE é uma técnica de encapsulamento mais genérica.
Encapsulamento
O VXLAN utiliza encapsulamento MAC in UDP, o que significa que os pacotes da camada 2 são encapsulados em pacotes UDP. Já o GRE encapsula pacotes de vários protocolos dentro de conexões IP, o que pode incluir encapsulamento de pacotes IP dentro de outro IP ou de pacotes Ethernet dentro de IP.
Suporte a Multicast
VXLAN pode utilizar o multicast IP para otimizar a distribuição de tráfego de broadcast, multicast e unknown unicast dentro da sobreposição de rede, enquanto GRE normalmente requer processamento adicional para gerenciar esses tipos de tráfego.
Necessidade de TCP-MSS
Aqui temos o maior ganho do VxLan. Quando utilizamos o túnel GRE para mitigação de ataques DDoS temos um grande problema, pois sempre é necessário fazer o ajuste de TCP-MSS, já em túneis VxLan isso pode não ser necessário.
Em nossos exemplos usaremos 100% equipamentos Huawei e em primeiro lugar é necessário ter em mente que nos modelos NE40 e NE20 é necessário uma licença adicional para utilizar túneis VxLAN, já nos modelos Ne8000 (F1A, M4 e M8) e nos switches da série 6730 já existe vxlan por padrão.
Chega de explicações e vamos ao cenário e às configurações.
Abaixo temos o cenário de dois roteadores em lugares distintos na internet, cada um com um IP público em uma interface do tipo loopback, também podemos fazer usando IPv6 que funcionará normalmente.
No R1:
O primeiro que precisamos fazer é criar uma bridge domain para associar o VNI do VXLAN, nesse exemplo usamos o VNI 222
bridge–domain 222
description VXLAN–TELIC
vxlan vni 222
Depois é necessário criar a interface de túneis virtuais onde diremos o IP de source (IP local do roteador) e IP de destino do túnel (IP do roteador remoto)
interface Nve1
source 192.0.2.100
vni 222 head–end peer–list 198.51.100.30
Agora vamos configurar a interface Bridge-Domain com IP e todas as opções normais de uma interface
interface Vbdif222
description VXLAN–TELIC
ipv6 enable
ip address 10.222.222.1 30
ipv6 address 2001:db0:222::1/126
statistic enable
No R2, a configuração é basicamente a mesma, mas intervertendo o IP de origem e destino do Túnel.
bridge–domain 222
description VXLAN–TELIC
vxlan vni 222
interface Nve1
source 198.51.100.30
vni 222 head–end peer–list 192.0.2.100
interface Vbdif222
description VXLAN–TELIC
ipv6 enable
ip address 10.222.222.2 30
ipv6 address 2001:db0:222::2/126
statistic enable
Pronto! Com isso já temos o túnel VXLAN pronto. Veja abaixo alguns comandos de troubleshooting
<R2>display vxlan peer vni 222
Number of peers : 1
Vni ID Source Destination Type
—————————————
222 198.51.100.30 192.0.2.100 static
<R2>display vxlan vni 222
VNI BD–ID State
—————————————
222 222 up