opencontrail—VXLAN模式下数据包的传输过程

在这篇文章中，我们将看到VM生成的数据包如何能够到达另一个VM或外部资源，Neutron使用OpenContrail插件的上下文中的关键概念/组件是什么。

我们将重点介绍OpenContrail，它如何实现覆盖以及它提供的工具来检查/解决数据包的转发方式。

在开始之前，我将简要介绍一下OpenContrail的关键概念。

Virtual networks, Overlay with OpenContrai

对于Overlay ，OpenContrail使用MPLS,L3VPNs和MPLS EVPN来解决l3覆盖和l2覆盖。OpenContrail中有很多组件，但我们将关注两个关键组件： controller和the vRouter.。

对于控制平面，每个控制器使用BGP和XMPP协议充当BGP路由反射器。BGP用于控制器和物理路由器之间。控制器和vRouters之间使用XMPP。XMPP协议传输BGP路由公告以及其他一些非路由需求的信息。

对于数据平面，OpenContrail支持用于隧道的GRE / VXLAN / UDP。OpenContrail要求网关路由器支持以下功能：

L3VPN
- http://tools.ietf.org/html/rfc4364
MP-BGP
- http://tools.ietf.org/html/rfc4760

在这篇文章中，我们将重点关注数据平面区域。

包的旅程

为了展示数据包的旅程，让我们使用以下拓扑，我们在两个不同的网络上有两个虚拟机，这要归功于路由器。

假设我们通过相应地设置安全组来允许ICMP数据包，我们可以从vm1向vm2开始ping 。

OpenContrail中有许多内省工具可用于清楚地了解数据包的转发方式。

在vm1和vm2之间启动ping ，我们可以逐步检查数据包的去向。

由于VM不在同一网络上，因此它们都将使用其默认网关。本地vRouter用自己的MAC应答默认网关IP的ARP请求。

现在我们已经看到数据包将被转发到本地vRouter，我们将检查vRouter将如何转发它们。

因此，首先通过浏览在托管我们的VM的计算节点上运行的vRouter代理内省Web界面来检查数据平面层，地址为http：// <vrouter agent ip>：8085 / agent.xml,一般情况下可以通过计算节点的IP地址来访问

有很多子接口，但我们只使用其中的三个：

VrfListReq，http://<vrouter agent ip>：8085/Snh_VrfListReqWhic为您提供相关的网络和VRF。对于给定的VRF - 让我们说单播VRF（ucindex） - 我们可以看到所有的路线。
ItfReq，http://<vrouter agent ip>：8085/Snh_ItfReqWhich为您提供vRouter处理的所有接口。
MplsReq，http//<vrouter agent ip>：8085/Snh_MplsReqWhich为给定的vRouter提供所有关联MPLS Label / NextHop

由于XSL样式表，这些接口只是XML文档呈现，因此可以通过某些监视脚本轻松处理。

我们可以从接口（ItfReq）内省页面开始，找到与VM1对应的TAP接口。TAP的名称包含中子端口ID的一部分。

在界面旁边，我们看到与该界面所属的网络相关联的VRF名称。在同一行，我们有一些其他信息，安全组，浮动ips，VM ID等。

单击VRF链接将我们带到此VRF的索引页面。我们看到我们根据其类型链接到VRF：单播，多播，第2层。默认情况下，OpenContrail不处理第2层。如前所述，来自虚拟机的大多数第2层流量都被本地捕获vRouter充当ARP响应者。但是仍然需要处理一些像广播这样的特定数据包，这就是为什么存在特定的第2层VRF。

单击ucindex（Unicast）列中的链接，我们可以看到此vRouter处理的虚拟网络的所有单播L3路由。由于vm1应该能够达到vm2，我们应该看到IP为vm2的路由。

由于这个接口，我们看到为了达到IP 192.168.0.3这是我们的vm2的IP ，数据包将通过GRE隧道转发，其端点是托管vm2的计算节点的IP 。这就是我们在“ dip ”（目标IP）字段中看到的内容。我们看到数据包将封装在VXLAN数据包中。MPLS标签为16，如标签栏中所示。

好的，我们在代理级别看到了数据包将如何转发，但我们可能想要检查数据路径方面。OpenContrail为此提供命令行工具。

例如，在代理的情况下，我们可以看到vRouter内核模块和关联的VRF处理的接口。

我们在此索引3处具有TAP接口，并且相关联的VRF为数字1。

现在让我们检查一下这个VRF的路线。为此，我们使用rt命令行。

为了知道如何转发数据包，我们必须检查用于此路由的NextHop。

我们有几乎相同的代理人给我们的信息。在Oif字段中，我们有一个接口，将数据包发送到另一个计算节点。感谢vif命令行，我们可以获得有关此接口的详细信息。

由于数据包将通过bond1.89接口，因此tcpdump应该确认我们上面描述的内容。

如隧道端点所示，数据包将直接转发到托管目标VM的计算节点，而不是使用第三方路由设备。

另一方面，第二计算节点上的vRouter将接收封装的数据包。根据MPLS标签，它在MPLS Label / NextHop上进行查找，正如我们在内省时所看到的那样。

正如我们在这里看到的，Label 17的NextHop字段是我们第二个VM的TAP接口。在数据路径方面，我们可以检查相同的信息。检查MPLS Label / NextHop表：

最后是NextHop和带有以下命令的接口：

这篇文章只是概述了数据包如何从一个节点转发到另一个节点，以及可用于故障排除目的的接口/工具是什么。OpenContrail的一个有趣之处在于，几乎所有组件都有自己的内省界面，可以在故障排除会话期间为您提供很多帮助。正如我们所看到的，路由完全分布在OpenContrail中，每个vRouter使用众所周知的路由协议（如BGP / MPLS）处理部分路由，这证明了它们的扩展能力。