微分段原理描述

基本概念

• EPG（End Point Group）

  指按照一定的原则，对终结点（服务器）进行的分组。

  用户对网络中的服务器进行EPG分组后，不属于EPG分组的服务器就是未知EPG分组成员，属于EPG分组的服务器就是EPG分组成员。其中，属于同一个EPG分组的服务器，就是EPG分组的组内成员，属于不同EPG分组的服务器，就是EPG分组的组间成员。同一个EPG分组下，可以包含多个服务器。

• GBP（Group Based Policy）

  指基于分组的流量控制策略，它规定了分组内部/分组之间的流量控制策略。

  设备的默认GBP策略如下，用户可以根据需要修改默认GBP策略，也可以为不同的EPG分组指定各自的GBP策略。

  • 未知EPG分组成员的默认访问控制策略为permit，即允许未知EPG分组成员之间相互访问。
  • EPG分组成员的默认访问控制策略为deny，即所有EPG成员（包括EPG分组的组内成员、EPG分组的组间成员）都不能相互访问。

  • EPG分组的组内成员的默认访问控制策略为none，即不对EPG分组的组内成员进行访问控制。此时，设备按照EPG分组成员的默认访问控制策略对EPG分组的组内成员进行访问控制。

    当EPG分组的组内成员的默认访问控制策略不为none时，EPG分组的组内成员按照配置的默认访问控制策略进行相互访问。

VXLAN报文头中的微分段信息

如图5-1所示，源端VTEP通过VXLAN报文头中的G标志位和Group Policy ID字段向目的VTEP传递微分段信息。

图5-1 VXLAN报文头中的微分段信息

• G标志位：该位默认为0。当此位置为1时，表示VXLAN报文头中通过Group Policy ID字段携带源端服务器所属的EPG组号。
• Group Policy ID字段：当G标志位为1时，表示该字段中的值为源端服务器所属的EPG组号。

工作机制

微分段应用在VXLAN网络中，其在报文的目的VTEP上按照GBP策略的要求对报文进行流量控制。因此，若需要对双向流量进行控制，则需要在源VTEP和目的VTEP上都部署微分段功能。

三层报文在VXLAN网络中进行本地转发

如图5-2所示，在分布式VXLAN网络中，Leaf1为VXLAN隧道的端点（VTEP1），其下连接了两个服务器Host1和Host2。此时，Host1和Host2之间的互访流量只需在Leaf1上进行本地转发。其中，Host1属于EPG1，Host2属于EPG2。

图5-2 三层报文在VXLAN网络中进行本地转发

三层报文在VXLAN网络中进行跨设备转发

如图5-3所示，在分布式VXLAN网络中，Leaf1、Leaf2为VXLAN隧道的端点（VTEP1和VTEP2），其下分别连接了服务器Host1、Host3。此时，Host1和Host3之间的互访流量需要通过VXLAN隧道进行跨设备转发。其中，Host1属于EPG1，Host3属于EPG3。

图5-3 三层报文在VXLAN网络中进行跨设备转发