VXLAN和GENEVE：隧道協(xié)議之爭

隨著IT環(huán)境的不斷變化以及新技術(shù)的快速發(fā)展，新的客戶需求下，新的隧道協(xié)議也隨之被引入進(jìn)來。從GRE到VXLAN、GENEVE，網(wǎng)絡(luò)虛擬化技術(shù)得到了迅猛發(fā)展，VXLAN 已成為目前網(wǎng)絡(luò)虛擬化Overlay的事實標(biāo)準(zhǔn)，那么，它與Geneve 有何區(qū)別與聯(lián)系呢？

網(wǎng)絡(luò)虛擬化的發(fā)展

網(wǎng)絡(luò)虛擬化（Networking Virtualization）是在一個underlay網(wǎng)絡(luò)上劃分出多個overlay網(wǎng)絡(luò)。原本只支持一套網(wǎng)絡(luò)的設(shè)備，通過網(wǎng)絡(luò)虛擬化，現(xiàn)在可以用來支持多套網(wǎng)絡(luò)。 如果我們把網(wǎng)絡(luò)中的所有節(jié)點看成一個分布式系統(tǒng)，那么underlay網(wǎng)絡(luò)為這個分布式系統(tǒng)的各個節(jié)點提供了網(wǎng)絡(luò)連接。而各種各樣的網(wǎng)絡(luò)虛擬化協(xié)議，則為這個分布式系統(tǒng)的各個節(jié)點提供了通信所使用的協(xié)議。比如說，在一個云環(huán)境里面，所有的服務(wù)器共同組成了一個部署虛機(jī)的分布式系統(tǒng)。underlay網(wǎng)絡(luò)連接這個分布式系統(tǒng)的各個節(jié)點（各個服務(wù)器），而網(wǎng)絡(luò)虛擬化協(xié)議用來封裝各個節(jié)點之間傳遞的數(shù)據(jù)（虛機(jī)之間的網(wǎng)絡(luò)數(shù)據(jù)）。 網(wǎng)絡(luò)虛擬化本身不是一個新的技術(shù)，從其誕生之日起，各種各樣的協(xié)議被提出。其中較早的是通用路由封裝 (GRE)，它是從物理拓?fù)渲谐橄蟪雎酚删W(wǎng)絡(luò)的一種方便的方法。雖然 GRE 是一個很好的工具，但它缺少兩個主要特征，阻礙了它的多功能性:

向外部發(fā)送隧道流量或原始流量的差異信號的能力——Overlay Entropy，并允許傳輸網(wǎng)絡(luò)在所有可用鏈路上進(jìn)行哈希。

提供二層網(wǎng)關(guān)的能力，因為 GRE 只能封裝 IP 流量。封裝其他協(xié)議(如MPLS)是后來添加的，GRE 本身的屬性不包括橋接能力。

由于 GRE 的可擴(kuò)展性有限，隨著新用例的開發(fā)，網(wǎng)絡(luò)行業(yè)變得更具創(chuàng)造性。一種方法是使用以太網(wǎng) over MPLS over GRE (EoMPLSoGRE) 來實現(xiàn)第 2 層網(wǎng)關(guān)用例。思科將其稱為Overlay Tunnel Virtualization (OTV)，其他供應(yīng)商將其稱為下一代 GRE 或 NVGRE。雖然OTV是成功的，但NVGRE的采用有限，主要是因為它在網(wǎng)絡(luò)虛擬化方面出現(xiàn)較晚，同時下一代協(xié)議虛擬可擴(kuò)展 LAN (VXLAN) 已經(jīng)取得了進(jìn)展。

網(wǎng)絡(luò)虛擬化隧道協(xié)議 VXLAN 是目前網(wǎng)絡(luò)虛擬化Overlay的事實標(biāo)準(zhǔn)。基于IP，VXLAN也有一個UDP頭，因此屬于基于IP/UDP的封裝或隧道協(xié)議。這個家族的其他成員包括 OTV、LISP、GPE、GUE 和 GENEVE 等。重要性在于 Internet 工程任務(wù)組 (IETF) 網(wǎng)絡(luò)虛擬化覆蓋 (NVO3) 工作組中的相似性及其密切關(guān)系/起源。 VXLAN是目前網(wǎng)絡(luò)虛擬化覆蓋的實際標(biāo)準(zhǔn)?；贗P (Internet Protocol)， VXLAN也有一個UDP頭，因此屬于基于IP/UDP的封裝或隧道協(xié)議。這個家族的其他成員包括OTV、LISP、GPE、GUE和genee等。

VXLAN

VXLAN 的全稱是虛擬擴(kuò)展局域網(wǎng)（Virtual eXtensible Local Area Network），它是VMware、Arista Networks 和 Cisco 聯(lián)合開發(fā)的。VXLAN技術(shù)很好地解決了現(xiàn)有VLAN技術(shù)無法滿足大二層網(wǎng)絡(luò)需求的問題。VXLAN 負(fù)責(zé)在三層網(wǎng)絡(luò)中形成二層局域網(wǎng)段。通過在底層路由三層網(wǎng)絡(luò)上利用 VXLAN 技術(shù)，可以減少 VLAN 的生成樹和中繼問題。 VXLAN在RFC 7348中被正式記錄，是一個標(biāo)準(zhǔn)。每個 VXLAN 段都有一個名為 VNI 的標(biāo)識符，它是 24 位的，允許將 VXLAN 值擴(kuò)展到大約 1600 萬個 VXLAN 段以進(jìn)行處理。下圖描述了 VXLAN 標(biāo)頭及其相關(guān)字段：

VXLAN，作為成熟的Overlay網(wǎng)絡(luò)虛擬化隧道技術(shù)，在數(shù)字化時代，逐漸暴露出其不夠靈活、缺乏擴(kuò)展性的問題，其結(jié)果就是無法滿足越來越多的網(wǎng)絡(luò)要求。要滿足上述需求，需要在網(wǎng)絡(luò)數(shù)據(jù)包中進(jìn)行相對靈活的調(diào)整，以支撐業(yè)務(wù)應(yīng)用、支撐安全等的需求。而現(xiàn)有的協(xié)議基本是已經(jīng)固定的字段，缺少可變的、可控的區(qū)域，難以添加和修改。

GENEVE

GENEVE（Generic Network Virtualization Encapsulation）是2016-2017年開源界出現(xiàn)的一種新型開源數(shù)據(jù)虛擬化封裝（隧道）協(xié)議，它設(shè)計的初衷就是解決當(dāng)前數(shù)據(jù)傳輸缺乏靈活性，難以滿足用戶在安全，在業(yè)務(wù)應(yīng)用支撐上的各種靈活要求。 Geneve 只定義了一種封裝數(shù)據(jù)格式，不包括控制平面的信息。GENEVE 相較于 VXLAN 封裝的關(guān)鍵優(yōu)勢在于其靈活性以及通過 IANA（國際互聯(lián)網(wǎng)代理成員管理局）來指定選項類別。VXLAN包含一個 24 位的隧道標(biāo)識符字段。GENEVE則是通過一組可以設(shè)置的 TLV 選項實現(xiàn)可擴(kuò)展性。供應(yīng)商可以根據(jù)自己的需要靈活選擇，不受24位的限制。

2020年11月，IETF（全球互聯(lián)網(wǎng)技術(shù)任務(wù)組）正式出版了詳細(xì)的白皮書（RFC：8926），標(biāo)志著該技術(shù)已經(jīng)足夠成熟。目前，Cisco已經(jīng)用于數(shù)據(jù)中心場景，而Juniper、VMware、Amazon、Oracle、IBM、Ericsson等公司也已經(jīng)開始了實際研究開發(fā)在實際項目中使用各自Geneve 標(biāo)準(zhǔn)的私有協(xié)議服務(wù)最終客戶。

VXLAN vs.GENEVE

從表面來看，VXLAN 和 Geneve 提供的功能相同，都是在三層 IP 數(shù)據(jù)包內(nèi)封裝和傳輸二層幀。兩者都使用 UDP 協(xié)議來實現(xiàn)其功能。然而，兩種隧道協(xié)議還是有較大的區(qū)別。VXLAN 幀的標(biāo)頭長度是 8 字節(jié)，而 Geneve 的標(biāo)頭長度是 16 字節(jié)。此外，VXLAN不具備傳輸安全、服務(wù)鏈和帶內(nèi)遙測。Geneve 解決了 VXLAN 的一些主要缺點：

VXLAN缺少協(xié)議標(biāo)識符字段。VXLAN進(jìn)一步的多路復(fù)用/多路分解需要在負(fù)載地址中提供協(xié)議標(biāo)識符，而 VXLAN 缺少該協(xié)議標(biāo)識符。

VXLAN不能發(fā)送不屬于客戶端的包幀，即對方無法區(qū)分是否是客戶端包。

VXLAN 中的所有字段都是固定的，無法通過使用可擴(kuò)展字段實現(xiàn)互操作性，GENEVE 的最大特點是擁有靈活的可變長區(qū)域，提供了更為靈活的空間。

比較 VXLAN 和 GENEVE 封裝格式 Geneve 用例的覆蓋范圍與VXLAN今天能夠做的差不多。像單播/組播流量的橋接和路由等用例，無論是IPv4、IPv6還是多租戶，VXLAN(與BGP EVPN一起)已經(jīng)可用了近十年。有了GENEVE，所有這些用例都可以通過另一種封裝方法訪問。 通過 GENEVE 協(xié)議，我們可以在網(wǎng)絡(luò)數(shù)據(jù)傳輸中做到很多以前難以完成的工作，比如：

提升數(shù)據(jù)安全：在數(shù)據(jù)包中，通過傳輸安全值等元數(shù)據(jù)，以更好的防止數(shù)據(jù)篡改，保障數(shù)據(jù)安全。用戶也可以基于此構(gòu)建私有鏈，從而進(jìn)一步提升對數(shù)據(jù)的保護(hù)。

無接觸數(shù)據(jù)處理：基于存放在 GENEVE 協(xié)議頭中的元數(shù)據(jù)，系統(tǒng)不需要完整解開數(shù)據(jù)包，就可以知道哪個應(yīng)用需要此數(shù)據(jù)，或者該如何處理此數(shù)據(jù)，從而可以完成數(shù)據(jù)的預(yù)處理。

下表展示了兩種協(xié)議之間的區(qū)別：

總 結(jié)

總的來說，當(dāng)只有一個供應(yīng)商環(huán)境時，VXLAN 可以正常工作，但是當(dāng)客戶環(huán)境中有多個供應(yīng)商且相對比較復(fù)雜時，Geneve 是首選技術(shù)。另外，還有一點需要強(qiáng)調(diào)的是，Geneve 的更改僅在數(shù)據(jù)平面上，而對控制平面沒有更改。GENEVE 中可變區(qū)域的引入提供了更為靈活的空間去實現(xiàn)更多的新業(yè)務(wù)需求。 當(dāng)前，GENEVE 協(xié)議的利用還在不斷發(fā)掘中，相信隨著 GENEVE 的深入利用，未來可以在工業(yè)互聯(lián)網(wǎng)安全、車聯(lián)網(wǎng)安全、SASE架構(gòu)、SaaS傳輸甚至是未來元宇宙場景的發(fā)揮更大的作用。

審核編輯：湯梓紅